دنیای مجازی

امنیت در فناوری اطلاعات

نویسنده :مهندس حامد خیابانی

استفاده از رایانه در کسب و کار از زمانی متحول و فراگیر شد که دسترسی به اطلاعات با سرعت بالا و هزینه کم امکان پذیر گردید. این تحول به شرکتهایی که در گذشته از رایانه برای واژه پردازی و یا ذخیره اطلاعات استفاده می کردند، اجازه داد که رایانه های خود را به صورت شبکه درآورند و آن شبکه را به اینترنت متصل کنند. نیروهای رقابتی و شرایط سریع کسب و کار، سازمانها را مجبور ساخته است که برای بقا، شبکه های خود را به روی دیگران باز کنند و تا جایی که ممکن است از راه کارهای الکترونیک برای کسب و کار استفاده کنند درحالی که این تحولات منافع بسیاری در گسترش تجارت امکان کار در خارج از اداره و حمایت نیروهای فروش در خارج از شرکت را برای بسیاری از شرکتها ایجاد می کند. متاسفانه خطراتی مانند ویروس‌های رایانه ای و خرابکاریهای رایانه‌ای را نیز به همراه خود می آورد.

به طورمعمول اخبار روز شامل گزارشهایی درباره آخرین کرمها و ویروسهای رایانه‌ای و خرابکاریهای روزافزون رایانه در شرکتها وسازمانهای مختلف است. اینگونه اخبار ممکن است مدیر یک شرکت را بر آن دارد که بگوید استفاده از اینترنت در تجارت به خطراتش نمی‌ارزد. درحالی که خطرات جدی و واقعی، هنگامی که شناخته شوند می توان با آنها برخورد مناسب داشت و جلو بروز آنها را به میزان قابل ملاحظه ای گرفت. استفاده روزافزون از اینترنت توسط شرکتهای کوچک و متوسط، لزوم آگاهی و یادگیری بیشتر درموردامنیت اطلاعات در سیستم‌های رایانه ای را برای مدیران این شرکتها ایجاب می‌کند. در اینجا هدف ما ارائه اطلاعاتی است که بتواند به شرکتها کمک کند تا ضمن استفاده از اینترنت و شبکه‌های رایانه ای در برابر خطرات ناشی از ویروسها و خرابکاریهای رایانه‌ای نیز از خود محافظت کنند.

امنیت اطلاعات

به طورکلی امنیت اطلاعات در سه اصل زیر خلاصه می شود:

  • محرمانه بودن: بدین معنی که فقط افراد مجاز حق دسترسی به اطلاعات را داشته باشند.
  • صحت و استحکام: بدین معنی که اطلاعات دست نخورده بماند و تغییر در آنها فقط توسط افراد مجاز در صورت لزوم به صورت درست و قابل پیگیری انجام شود.
  • دردسترس بودن: بدین معنی که اطلاعات درموقع نیاز به صورت قابل استفاده دردسترس قرار گیرد.

تهدیدها

تهدیدهای امنیتی مربوط به اطلاعات رایانه ای و یا به عبارتی حملات رایانه‌ای شامل مواردی می شود که حداقل یکی از اصول سه گانه امنیت را مخدوش سازد. هدف از یک حمله رایانه ای در کنترل گرفتن یک یا چند رایانه به منظور از کارانداختن، مخدوش کردن یا سوءاستفاده از اطلاعات موجود در آنها ویا به کارگیری آنها برای خرابکاری در رایانه‌های دیگر است.

کسانی که به این حملات دست می‌زنند یا به اصطلاح خرابکارها معمولا" سه دسته هستند:

  • افراد آماتور که اغلب اطلاعات دقیقی از نحوه کار سیستم های عامل و فناوری اطلاعات نداشته و صرفا" برای تفریح از برنامه‌ها و ابزارهای از پیش تهیه شده برای دسترسی به رایانه‌های محافظت نشده استفاده می‌کنند این افراد را SCRIPT KIDDIES یا SREKCARC می‌نامند.
  • خرابکاران حرفه ای که معمولا" در ازای دریافت پول اطلاعات ذیقیمت شرکتها را دراختیار رقبای آنها یا گروههای ذینفع قرار می‌دهند و یا در سیستم شرکتهای رقیب خرابکاری می‌کنند. این افراد در امور فناوری اطلاعات وارد بوده واز آسیب‌پذیریهای سیستم های عامل و برنامه‌های مورداستفاده مطلع بوده و قادرند ردپای خود را ناپدید سازند. این افراد را در اصطلاح هکرها (HACKERS) می‌گویند.
  • کارکنان فعلی شرکتها و یا کارکنان سابق آنها که به نحوی از شرکت مذکور نارضایتی داشته و به قصد انتقامجویی و یا صدمه زدن در سیستم‌های اطلاعاتی شرکت با استفاده از دانش و اطلاعات خود از سیستم‌های موردنظر به خرابکاری دست می زنند.

حملات رایانه ای معمولا" در سه مرحله انجام می شود:

  1. مرحله اول – شناسایی و جمع آوری اطلاعات درمورد رایانه هدف؛
  2. مرحله دوم – یافتن نقاط آسیب پذیر و راههای واردشدن به سیستم به عنوان یک کاربر مجاز؛
  3. مرحله سوم – درصورت امکانپذیر نبودن مرحله دوم تلاش برای دسترسی به رایانه هدف از طریق دیگر و بدون استفاده از مشخصات کاربران مجاز انجام می پذیرد.

انواع تهدیدهای رایانه ای

تهدیدهای رایانه ای به صورت زیر دسته‌بندی می شوند:

  1. ویروسها و کرمها – اینها برنامه‌های کوچکی هستند که ازطریق پست الکترونیک و یا نرم افزارهای آلوده به این ویروسها وارد یک رایانه شده و در آنجا به صدمه زدن و خرابکاری در برنامه ها و یا اطلاعات رایانه مذکور می پردازند.
  2. اسب تروا (TROJAN HORSE) – برنامه‌هایی هستند که ظاهرا" ماهیت خرابکاری نداشته به صورت برنامه‌های بازی و یا کمکی وارد سیستم شده و سپس در خفا به کارهای غیرمجاز و کنترل رایانه و سرقت اطلاعات محرمانه و یا شخصی کاربر می‌پردازند.
  3. از کارانداختن (DENIAL OF SERVICE) – این عمل با ایجاد تعداد زیادی تقاضای سرویس از یک سیستم انجام شده و درنتیجه سیستم مذکور کارایی خود را از دست داده و یا از کار می افتد. درنتیجه سیستم نمی تواند خدمات لازم را به مشتریان واقعی خود ارائه کند. نظیر مشغول کردن یک تلفن.
  4. شنود اطلاعات – در این مورد در مسیر ارتباطات ازطرق گوناگون اطلاعات مبادله شده سرقت و یا شنود می شوند.
  5. وب سایت های تقلبی (PHISHING) – در این مورد یک وب سایت تقلبی با شکل و قیافه و امکانات کاملا" مشابه به یک وب سایت واقعی طراحی و دراختیار کاربران قرار می‌گیرد و بدین‌وسیله اطلاعات شخصی و محرمانه کاربران را به سرقت می برند.

محافظت

برای محافظت از سیستم‌های اطلاعاتی رایانه‌ای شناسایی قسمتهای مختلف سیستم و آسیب پذیریهای موجود در آن ضروری است. پس از شناسایی و رفع آسیب پذیریهای سیستم باید مرتباً مواظب بود که آسیب پذیریهای جدید به وجود نیاید و به طور متناوب سیستم را بررسی کرد تا از امنیت آن مطمئن شد درحالی که هیچگاه نمی‌توان صددرصد از امنیت یک سیستم مطمئن بود ولی با اقدامات زیر می توان تا حد بسیار بالایی امنیت وحفاظت از یک سیستم را فراهم ساخت:

1- تهیه نقشه و راهنمای سیستم: این کار شامل شناسایی رایانه ها و شبکه‌های متصل و غیرمتصل به اینترنت و به خط تلفن و یا بی سیم، نرم افزارها و سیستم های عامل مورداستفاده نرم افزارهای ضدویروس و محافظ و اطلاعات و برنامه های حساس تجاری خواهدشد؛

2- تهیه سیاست امنیتی: این کار شامل تعریف سیاستهای مربوط به استفاده از رایانه‌‌ها توسط کارکنان و روشهای مورداستفاده در امنیت و حفاظت اطلاعات است. این سیاست چارچوبی را برای حفاظت از شبکه‌های رایانه‌ای و منابع اطلاعاتی موجود در آنها تعیین می‌کند. این سیاست باید به سادگی برای مدیران و کارکنان قابل درک بوده و تمامی نکات و موارد مربوط به امنیت را دربرگیرد. ازجمله مطالب مهم این سیاست عبارتند از:

تعریف استفاده مجاز، چگونگی احراز هویت و انتخاب کلمه رمز، مسئولیت به روز کردن نرم افزارهای موجود در هر رایانه اقدامات لازم درهنگام بروز یک حمله و یا ویروس رایانه ای و مسئولیتهای افراد دراین مورد.

معمولاً سیاست امنیتی در دو شکل تهیه می‌گردد. یکی به صورت ساده وکلی که برای عموم کارکنان قابل استفاده باشد و دیگری با جزئیات بیشتر که معمولاً محرمانه است و برای استفاده مدیران و کارشناسان فناوری اطلاعات و امنیت است.

3- محکم کاری در نرم افزارهای مورداستفاده: این قسمت شامل شناسایی نرم افزارهای موجود در سیستم و به روز کردن آنهاست. زیرا معمولا" آخرین مدل یک نرم افزار آسیب پذیریهای کمتری نسبت به مدلهای قدیمی تر آن دارد. ازجمله کارهای دیگر دراین قسمت حذف برنامه های آزمایشی و نمونه و برنامه‌هایی که ازنظر امنیتی مطمئن نیستند از سیستم های مورداستفاده است.

4- کاهش تعداد نقاط دسترسی و کنترل نقاط باقیمانده: این مرحله شامل بررسی نقشه سیستم و شناسایی نقاط اتصال به اینترنت و دسترسی از راه دور به منظور کاهش نقاط دسترسی به حداقل ممکن و کنترل نقاط باقیمانده ازنظر دسترسی و ورود و خروج اطلاعات است.

5- شناسایی نقاط ورود پنهان: شناسایی و حذف مودم ها و نقاط دسترسی غیرمعمول که احتمالا" از نظرها پنهان می ماند ولی بعضی از کارکنان آنها را مورداستفاده قرار می دهند.

6- نصب دیواره آتش (FIREWALL): این سیستم برای جداسازی و محافظت سیستم داخلی از اینترنت و همچنین کنترل دسترسی به سایت های اینترنتی به خصوص سایت‌های غیرمربوط به کار نصب می گردد. در مواردی می‌توان رایانه‌های مشخصی را جهت استفاده از اینترنت اختصاص داد. درصورت نیاز تغییر پورت های اتصال و آموزش کارکنان درمورد راههای درست دسترسی حائزاهمیت است.

7- نصب سیستم‌های تشخیص و جلوگیری از ورود غیرمجاز (INTRUSION DETECTION AND PREVENTION SYSTEMS): این سیستم‌ها به مانند دزدگیر عمل کرده و ورود و دسترسی غیرمجاز به سیستم را ثبت و اطلاع می‌دهد و یا از انجام آن جلوگیری می‌کند. حتی در مواردی که عبور غیرمجاز از دیواره آتش انجام پذیرد با استفاده از این سیستم می توان آن را شناسایی و از بروز مجدد آن جلوگیری کرد. همچنین با بررسی به موقع لیست ثبت شده توسط سیستم IDP وشناسایی تلاشهای انجام شده برای دسترسی غیرمجاز به سیستم می‌توان از خطرات آتی جلوگیری کرد.

8- نصب نرم‌افزارهای ضدویروس: نصب نرم افزارهای ضدویروس در دروازه های ورودی سیستم و در رایانه‌ها برای شناسایی و جلوگیری از ورود ویروس های رایانه های به سیستم و احیاناً مرمت سیستم های آلوده به ویروس ضروری است. این نرم افزارها باید مرتباً به روز درآیند تا همواره از آخرین اطلاعات مربوط به ویروس‌های رایانه‌ای استفاده گردد.

9- بررسی متناوب عملکرد سیستم و رفع اشکالات آن: این بررسی ها به مدیریت این امکان را می دهد تا با درنظر گرفتن خطرات امنیتی موجود و نیاز به انجام عملیات تجاری، ضمن رفع اشکالات شناخته شده سیاست و برنامه امنیتی متناسب و متوازنی را اتخاذ کند.

10- آموزش کارکنان: کارکنان باید باتوجه به نیاز آنها در سطوح مختلف درباره مسائل امنیتی و حفاظت از اطلاعات رایانه ای آموزش دیده و آگاهی های لازم را پیدا کنند. ازجمله آموزش سیاست امنیتی شرکت از ضروریات است.

استانداردهای بین المللی برای امنیت اطلاعات

دررابطه با امنیت اطلاعات و داده ها و حفاظت از اطلاعات حساس، استاندارد انگلیسی BS۷۷۹۹ به وجود آمده که بعداً به صورت استاندارد بین المللی ISO۱۷۷۹۹ درآمد. این استانداردها ایجاد ۱۰ کنترل کلیدی را ملزم ساخته که عبارتنداز:

  1. تهیه یک سیاست امنیتی مدون؛
  2. مشخص کردن مسئولیتهای امنیتی در سازمان؛
  3. آموزش درموارد امنیت اطلاعات؛
  4. گزارش به موقع تهدیدات امنیتی و نحوه برخورد با آنها؛
  5. جلوگیری و کنترل ویروس‌های رایانه‌ای؛
  6. برنامه ادامه تجارت درصورت بروز خطرات امنیتی؛
  7. کنترل تکثیر و کپی کردن نرم‌افزارهای دارای حقوق محفوظ؛
  8. ایجاد فرایند مناسب برای مدیریت ثبت اطلاعات حساس؛
  9. حفاظت از اطلاعات شخصی و خصوصی افراد؛
  10. بررسی متناوب پیروی از استانداردها.

این ۱۰ کنترل، اطلاعات الکترونیک و غیرالکترونیک و همچنین نحوه ذخیره الکترونیک و فیزیکی آنها را شامل می‌شود.

باتوجه به اینکه مقوله امنیت اطلاعات و بخصوص مطابقت با یک استاندارد قابل قبول بین المللی هم ازنظر شرکتها و تولیدکنندگان و هم ازنظر مشتریان و خریداران خدمات این شرکتها حائزاهمیت است و بادرنظر گرفتن اینکه رعایت استانداردهای امنیتی شرکتها را در زمینه مسئولیتهای قانونی آنها حمایت می‌کند توجه به استانداردهای بین‌المللی امنیت اطلاعات و پیروی از آنها در بازار جهانی امروز از اهمیت بیشتری برخوردار گشته است.

نتیجه گیری

اینترنت و شبکه های رایانه ای موجود در سازمانها و شرکتها قابلیت جستجو و مبادله اطلاعات را به صورت بی‌سابقه امکان‌پذیر ساخته است. به وجود آمدن تجارت الکترونیک شرکتهایی را که حتی در گذشته تصور آن را هم نمی کردند قادر ساخته است که به عرضه خدمات و کالاهای خود در سطح جهانی بپردازند.

درحالی که چنین ابزار قدرتمندی در امر تجارت، انقلابی ایجاد کرده است نیاز به داشتن رایانه های امن و دسترسی امن به اینترنت را نیز الزام آور ساخته است. یک شرکت کوچک یا متوسط در مقایسه با یک شرکت بزرگ که سرمایه زیادی را درجهت امن کردن سیستم های رایانه ای خود به کار برده است ممکن است برای یک خرابکار اطلاعاتی هدفی به مراتب ساده تر و بهتر باشد. به عنوان یک مدیر شما باید از چند وچون خطراتی که دسترسی به اینترنت و شبکه رایانه ای شما را تهدید می کند اطلاع داشته باشید. شما نیازمند این هستید که وقتی را به مقوله امنیت اختصاص دهید زیرا ایجاد یک سیستم امن رایانه ای نیازمند صرف وقت و منابع لازم است. دقت کافی توسط مدیریت وکارشناسان فناوری اطلاعات در زمینه امنیت اطلاعات و ایجاد محیط امن رایانه ای به شما امکان می دهد تا از منافع بسیاری که اینترنت و شبکه های رایانه‌ای برای تجارت شما ایجاد می کند بهره‌مند گردید. آگاهی کامل از انواع تهدیدات وچگونگی مقابله با آنها خطرات ناشی از تهدیدات را به مرور کمتر خواهدکرد. درک مسائل امنیتی توسط مدیران و حضور موثر آنها در ایجاد و اجرای یک برنامه امنیت اطلاعات کارامد و متناسب با نیازهای سازمان و با رعایت استانداردهای موجود ضروری است.

منبع :www.aftab.ir

محمدرضا گرامی جمعه 26 بهمن‌ماه سال 1386 ساعت 07:58 ق.ظ
نظرات 1 + ارسال نظر
Nadea شنبه 19 فروردین‌ماه سال 1391 ساعت 05:44 ب.ظ http://taranom72

سلام خسته نباشید وبلاگ خوبی دارید عالیه وفق باشید

برای نمایش آواتار خود در این وبلاگ در سایت Gravatar.com ثبت نام کنید. (راهنما)
ایمیل شما بعد از ثبت نمایش داده نخواهد شد