دنیای مجازی
فناوری اطلاعات +جهان=جهان بی میهن
صفحه نخست       نسخه موبایل       عناوین مطالب وبلاگ      تماس با من
درباره وبلاگ


دین و دنیایت را نزد خداوند به امانت گذار،و از او بهترین مقدرات را هم‏اکنون و در آینده،در دنیا و آخرت مسئلت نما!
آخرین مطالب
آرشیو وبلاگ
عضویت درخبر نامه
Check PageRank


دنیای مجازی
on Google+

مجموعه آثار دکتر علی شریع مجموعه آثار دکتر علی شریع
تمام آثار دکتر شریعتی شامل کتاب، فیلم ویدئویی و سخنرانی 		۱۱۵ فیلم ۲۰۱۱ و ۲۰۱۲!
مجموعه ای از جذاب ترین و پرفروشترین
فیلمهای روز دنیا!هر فیلم 135 تومان!
X
تبلیغات در بلاگ اسکای
افسانه های امنیت فناوری
یکشنبه 11 مهر ماه سال 1389 :: 10:16 AM ::  نویسنده : محمدرضا گرامی

اکثر ما تا زمانی که به اشکال بر نخوریم به اهمیت امنیت ابزارهای دیجیتالی مان بی توجهیم. هر بار که آنتی ویروس جدیدی را بر روی سیستم ها و ابزارهای دیجیتالی مان نصب و راه اندازی می کنیم با اظهارات نا امید کننده متخصصان مواجه می شویم که حفظ امنیت به سادگی و همیشگی امکان پذیر نیست، در اینجا با پنج حقیقت فعلی درباره امنیت دیجیتالی که احتمالا چیزی در مورد آنها نمی دانستید آشنا خواهید شد؛



ادامه مطلب ...
0 نظر
مشکلات "هویت‌دزدی" در دنیای مجازی
پنجشنبه 20 فروردین ماه سال 1388 :: 07:45 AM ::  نویسنده : محمدرضا گرامی
بودن به جای دیگران چه حسی دارد؟ رفت‌وآمد با نامی "عاریه‌ای" ، بدون این‌که ردپایی باقی بماند؟ این حسی است که شاید برای بسیاری لذت‌بخش باشد. حال اگر در این شرایط جرمی اتفاق بیفتد، مسئولیت با کیست و به سراغ چه کسی باید رفت؟ بسیاری افراد ترجیح می‌دهند بدون نام و نشان خودشان به دنیای مجازی اینترنت وارد شوند، گشت بزنند، چت کنند و به فروم‌ها سربکشند، بدون این‌که ردپایی از هویت واقعی خود بر جای بگذارند. این حس را شاید بسیاری از کاربران اینترنتی تجربه کرده باشند. اولین مشکل همین‌جا بروز می‌کند و آن هم این‌که مشخص نیست چه کسی چه کاری را انجام داده و در واقع نمی‌توان رد کسی را در اینترنت پیگیری کرد. این یکی از موضوعاتی است که در کنفرانس IT در برلین به آن پرداخته خواهد شد. کنفرانسی که روز پنج‌شنبه (۲۰ نوامبر) کار خود را آغاز می‌کند. مشکل همیشگی در اینترنت سوء استفاده از اطلاعات فردی افراد، مشکلی به وسعت خود اینترنت خلافکاران اینترنتی در ارتباط‌های اینترنتی عمومی مانند چت‌روم‌ها، فروم‌ها یا سایت‌های اینترنتی مختلف، نام، مشخصات، شماره حساب‌های بانکی و رمز عبور کاربران را به دست می‌آورند و آنها را به دیگران می‌فروشند یا از حساب بانکی افراد پول برداشت می‌کنند. پلیس آلمان در سال میلادی گذشته (۲۰۰۷) تعداد ۴ هزار و ۲۰۰ مورد از این نوع جرم را ثبت کرده و هشدار می‌دهد که گرایش‌ها به این جرایم در حال افزایش است. کارشناسان این معضل را جدی می‌دانند و خسارات ناشی آن‌را تا میلیون‌ها یورو برآورد می‌کنند. پیامدهای "چندهویتی‌" بودن کسی که در چت‌روم‌ها می‌چرخد، در فروم‌ها شرکت می‌کند یا در پایگاه‌های اینترنتی همسریابی، به دنبال شریک جنسی می‌گردد، از هویت شریک مجازی خود یا کسی که با او در اینترنت آشنا شده اطلاعی ندارد. مثال ملموس این ادعا را می‌توان در چت‌روم های ایرانی جست. در این چت‌روم‌ها، اکثر غریب به اتفاق پسرها – البته کسانی که با آی‌دیِ پسرانه چت می‌کنند – ساکن محلات مرفه‌نشین شهرند و دانشجو یا فارغ‌التحصیلان رشته‌های مهندسی و البته از تمول مالی نیز برخوردارند. بخش قابل توجهی از دخترها – صرف‌نظر از این‌که فرد واقعا خانم است یا خیر - نیز دانشجوی رشته‌های روز هستند و تصادفا ساکن همان محله‌های ممتاز. گویی که چت در ایران تنها در میان افراد یک طبقه خاص جریان دارد. در دنیای مجازی یکی سرمست است از این‌که می‌تواند در هر لحظه با نقشی جدید ظاهر شود و دیگری دلخور از این‌که در دام حقه‌بازی دیگران گرفتار شده است. البته این مشکل مرز جغرافیایی نمی‌شناسد و تنها مختص ایران نیست. کارشناسان در تلاشند با ابزاری هم‌چون کارت‌های شناسایی الکترونیکی، هویت افراد را در روابط اینترنتی ثبت کنند یکی از نکات شگفت‌انگیز، تفاوت گاه بسیار فاحش هویت افراد، در دنیای مجازی و واقعی است. در دنیای واقعی وقتی دو نفر با هم آشنا می‌شوند، برخی حد و حدود را رعایت می‌کنند، وارد برخی مباحث نمی‌شوند یا در برخی حوزه‌ها اغراق می‌کنند. در دنیای مجازی اما قوانین دیگری حاکم است. اگر بتوان به پروفایل یک دوست در اینترنت تصادفا دست یافت و از علاقه‌مندی‌ها و موضوع‌های مطلوب او آگاه شد، باور تفاوت‌های احتمالی با دنیای واقعی شاید مشکل باشد. کارشناسان می‌گویند، کسانی که با نام و نشان واقعی خود در اینترنت ظاهر می‌شوند، بسیار محافظه‌کارتر از کاربرانی هستند که با هویت "عاریه‌ای" پا به دنیای مجازی می‌گذارند. کارت‌های شناسایی الکترونیکی یکی از موفقیت‌هایی که کارشناسان IT به آن دست یافته‌اند، طراحی کارت‌های شناسایی الکترونیکی است که به ادعای طراحان آن می‌توان با استفاده از آن، از جرایم اینترنتی تا حدود زیادی کاست. این کارت‌ها حاوی اطلاعات فردی شخص هستند و کاربر می‌تواند امضای الکترونیکی خود را هم در کارت ذخیره کند. کاربر می‌تواند با استفاده از این کارت خود را در اینترنت معرفی کرده و از آن برای اثبات هویت خود در خریدهای اینترنتی و عملیات بانکی برخط استفاده کند. البته این روش منتقدانی هم دارد. آنان بر این عقیده‌اند که کارت‌های شناسایی تا کنون تنها به پلیس ارائه می‌شدند اما اکنون در اختیار شرکت‌ها هم قرار می‌گیرد. این‌که شرکت‌ها با اطلاعات خصوصی کاربران چه می‌کنند، سؤال مهمی است که همواره در مورد اطلاعات شخصی افراد مطرح بوده است
2 نظر
امضای دیجیتالی
پنجشنبه 20 فروردین ماه سال 1388 :: 07:42 AM ::  نویسنده : محمدرضا گرامی
مضای دیجیتالی یا همان قفل کردن اطلاعات، یک روش کاملاً ریاضی است. چیزی که لازم است شماره های رمزی است که یکطرفه عمل می‌کنند. رمزهای یکطرفه رمزهای هستند که فقط از یک جهت خوانده می‌شوند. اگر یک عدد جا به جا شود کل رمز باطل می‌شود. مطمئناً در مورد مسائل شخصی به همین راحتی با کسی صحبت نمی‌‌کنید. در مورد بعضی مسائل که نه تنها صحبت نمی‌‌کنید بلکه محتاط هم هستید، مثلاً در مورد حساب بانکی! شماره کردیت کارت را هم آدم به هر کسی نمی‌ دهد! ولی گاهی اوقات چاره‌ای نیست، در همه شرایط نمی‌توان پول نقد پرداخت کرد. مثلاً خریدهای اینترنتی، مثل بلیط‌های ارزان قیمت برخی شرکتهای هواپیمایی که فقط فروش اینترنتی دارند. در این شرایط باید مطمئن بود که کس دیگری به این اطلاعات دسترسی پیدا نمی‌‌کند. شرکتهای معتبری که خدماتی مثل خریدهای اینترنتی ارائه می‌دهند به سیستم محافظت کننده‌ای مطمئنی هم مجهز هستند، مثلاً امضاهای دیجیتالی. کلاوس پتر اشنور (Claus Peter Schnorr) یکی از طراحان امضاهای دیجیتالی است. می‌گوید:" این امضاها مثل رمزنویسی است. از طریق این امضای دیجیتالی که اطلاعات رو قفل می‌کنید و مطمئن می‌شوید که کس دیگری به آنها دسترسی پیدا نمی‌‌کند. این اطمینان تضمین شده است." وب سایتهای اینترنتی که این قفلهای مطمئن را در اختیار دارند به راحتی قابل تشخیص‌اند. وقتی وارد این سایتها می‌شوید یک کلید زرد رنگ کوچک در سمت چپ صفحه می‌بینید. این یعنی اینکه اطلاعاتی که فرستنده ارسال می‌کند قفل شده به گیرنده می‌رسند، اطلاعات را کس دیگری نمی‌تواند بخواند و یا تغییر بدهد. گیرنده برنامه مخصوصی در اختیار دارد که قفل اطلاعات فرستاده شده را باز می‌کند. برنامه پیچیده‌ای که به راحتی هک شدنی نیستند. اشنور: "ببینید اینطوری است که، امضا کننده نیازی ندارد از اطلاعات پس زمینه نرم افزاری سر در بیاورد، فقط باید بداند روی کدام دکمه باید کلیک کند تا امضا تایید شود. این روزها معمول ترین نوع امضاهای اینترنتی، امضاهایی هستند که شما اصلاً نمی‌دانید امضا کرده‌اید. مثلاً وقتی یک برنامه نرم افزاری را دانلود می‌کنید باید مطمئن باشید که نرم افزاری که دارید دانلود می‌کنید ارژینال است. این هم وقتی شدنی است که این نرم افزار با کلید امضا همراه است که آن هم توسط فرستنده کنترل می‌شود." امضای دیجیتالی یا همان قفل کردن اطلاعات یک روش کاملاً ریاضی است. چیزی که لازم است شماره‌های رمزی است که یکطرفه عمل می‌کنند. رمزهای یکطرفه رمزهای هستند که فقط از یک جهت خوانده می‌شوند. اگر یک عدد جا به جا شود کل رمز باطل می‌شود. اکثر این اعداد هم عددهای فرد هستند. این هم یکی از رازهای دنیای ریاضی برنامه‌نویس‌هاست. از قرار معلوم هک کردن اعداد فرد مشکل‌تر است. هرچه اعداد این رمزهای یکطرفه بیشتر باشند ضریب اطمینان قفل بالاتر می‌رود، چون باز کردنش سخت تر می‌شود، و یا آنطور که اشنور که معتقد است با تکنیک امروزی اصلاً شدنی نیست. اشنور:" در مورد ضریب اطمینان این امضاها باید به این نکته توجه کرد که هر روش مطمئنی دست کم تا مدت زمان مشخصی مطمئن است. تا زمانی که قفل هک نشده، اطلاعات محفوظ می‌مانند. البته هنوز کسی نتوانسته این نوع قفل‌ها را که در خریدهای اینترنتی از آنها استفاده می‌شود باز کند، اما نمی‌توان صددرصد مطمئن بود. " برای اشنور که ریاضدان و برنامه‌نویس است، بعضی از این قفل و امضاها به سادگی باز شدنی هستند. هر چند که شکستن قفل یک برنامه برای کاربرهای اینترنتی که به آن اطمینان کرده‌اند فاجعه است، اما برای یک ریاضی‌دان نکته جالبی است که نشان می‌دهد نقطه ضعف برنامه کجا بوده که هکرها توانسته‌اند آن را باز کنند. اشنور:" هیچ اطمینانی نیست که بتوان صددرصد بودنش را تضمین کرد و گفت در همه شرایط جواب می‌دهد. خوب است که بتوان چیزی را تضمین کرد ولی معنی‌اش این نیست که هک شدنی نیست و راحت و بی‌دردسر می‌توان از آن استفاده کرد. هیمن طور که در زندگی روزمره هم می‌بینیم برای هیچ چیز گارانتی وجود ندارد." کلاوس پتر اشنور یکی از معروفترین برنامه نویسان کامپیوتری، پروفسور ریاضیات و اینفورماتیک دانشگاه گوته در فرانکفورت آلمان است. او طراح امضای دیجیتالی است به نام امضا اشنور که یکی از معروفترین و مطمئن ترین قفلهای اینترنتی است که در تمام دنیا از ان استفاده می‌شود. اشنور پیش از این، برای این طرح جایزه یک ونیم میلیون مارکی لابنیز (Leibniz) را دریافت کرده است. لابنیز یکی از مطرحترین جوایزی است که از سوی جامعه دانشمندان آلمانی به خلاقترین طرحهای علمی اهدا می‌شود.
1 نظر
امضای دیجیتالی
پنجشنبه 25 مهر ماه سال 1387 :: 09:24 AM ::  نویسنده : محمدرضا گرامی

امضای دیجیتالی چیه؟

باامضای دیجیتال اصل بودن و صداقت یک پیغام یا سند و یا فایل اطلاعاتی تضمین میشود. به منظور ایجاد امضای دیجیتال از یک الگوریتم ریاضی به منظور ترکیب اطلاعات در یک کلید با اطلاعات پیام ، استفاده می شود . ماحصل عملیات ، تولید رشته ای مشتمل بر مجموعه ای از حروف و اعداد است .



ادامه مطلب ...
1 نظر
امنیت در فناوری اطلاعات
جمعه 26 بهمن ماه سال 1386 :: 07:58 AM ::  نویسنده : محمدرضا گرامی

نویسنده :مهندس حامد خیابانی

استفاده از رایانه در کسب و کار از زمانی متحول و فراگیر شد که دسترسی به اطلاعات با سرعت بالا و هزینه کم امکان پذیر گردید. این تحول به شرکتهایی که در گذشته از رایانه برای واژه پردازی و یا ذخیره اطلاعات استفاده می کردند، اجازه داد که رایانه های خود را به صورت شبکه درآورند و آن شبکه را به اینترنت متصل کنند. نیروهای رقابتی و شرایط سریع کسب و کار، سازمانها را مجبور ساخته است که برای بقا، شبکه های خود را به روی دیگران باز کنند و تا جایی که ممکن است از راه کارهای الکترونیک برای کسب و کار استفاده کنند درحالی که این تحولات منافع بسیاری در گسترش تجارت امکان کار در خارج از اداره و حمایت نیروهای فروش در خارج از شرکت را برای بسیاری از شرکتها ایجاد می کند. متاسفانه خطراتی مانند ویروس‌های رایانه ای و خرابکاریهای رایانه‌ای را نیز به همراه خود می آورد.

به طورمعمول اخبار روز شامل گزارشهایی درباره آخرین کرمها و ویروسهای رایانه‌ای و خرابکاریهای روزافزون رایانه در شرکتها وسازمانهای مختلف است. اینگونه اخبار ممکن است مدیر یک شرکت را بر آن دارد که بگوید استفاده از اینترنت در تجارت به خطراتش نمی‌ارزد. درحالی که خطرات جدی و واقعی، هنگامی که شناخته شوند می توان با آنها برخورد مناسب داشت و جلو بروز آنها را به میزان قابل ملاحظه ای گرفت. استفاده روزافزون از اینترنت توسط شرکتهای کوچک و متوسط، لزوم آگاهی و یادگیری بیشتر درموردامنیت اطلاعات در سیستم‌های رایانه ای را برای مدیران این شرکتها ایجاب می‌کند. در اینجا هدف ما ارائه اطلاعاتی است که بتواند به شرکتها کمک کند تا ضمن استفاده از اینترنت و شبکه‌های رایانه ای در برابر خطرات ناشی از ویروسها و خرابکاریهای رایانه‌ای نیز از خود محافظت کنند.

امنیت اطلاعات

به طورکلی امنیت اطلاعات در سه اصل زیر خلاصه می شود:

  • محرمانه بودن: بدین معنی که فقط افراد مجاز حق دسترسی به اطلاعات را داشته باشند.
  • صحت و استحکام: بدین معنی که اطلاعات دست نخورده بماند و تغییر در آنها فقط توسط افراد مجاز در صورت لزوم به صورت درست و قابل پیگیری انجام شود.
  • دردسترس بودن: بدین معنی که اطلاعات درموقع نیاز به صورت قابل استفاده دردسترس قرار گیرد.

تهدیدها

تهدیدهای امنیتی مربوط به اطلاعات رایانه ای و یا به عبارتی حملات رایانه‌ای شامل مواردی می شود که حداقل یکی از اصول سه گانه امنیت را مخدوش سازد. هدف از یک حمله رایانه ای در کنترل گرفتن یک یا چند رایانه به منظور از کارانداختن، مخدوش کردن یا سوءاستفاده از اطلاعات موجود در آنها ویا به کارگیری آنها برای خرابکاری در رایانه‌های دیگر است.

کسانی که به این حملات دست می‌زنند یا به اصطلاح خرابکارها معمولا" سه دسته هستند:

  • افراد آماتور که اغلب اطلاعات دقیقی از نحوه کار سیستم های عامل و فناوری اطلاعات نداشته و صرفا" برای تفریح از برنامه‌ها و ابزارهای از پیش تهیه شده برای دسترسی به رایانه‌های محافظت نشده استفاده می‌کنند این افراد را SCRIPT KIDDIES یا SREKCARC می‌نامند.
  • خرابکاران حرفه ای که معمولا" در ازای دریافت پول اطلاعات ذیقیمت شرکتها را دراختیار رقبای آنها یا گروههای ذینفع قرار می‌دهند و یا در سیستم شرکتهای رقیب خرابکاری می‌کنند. این افراد در امور فناوری اطلاعات وارد بوده واز آسیب‌پذیریهای سیستم های عامل و برنامه‌های مورداستفاده مطلع بوده و قادرند ردپای خود را ناپدید سازند. این افراد را در اصطلاح هکرها (HACKERS) می‌گویند.
  • کارکنان فعلی شرکتها و یا کارکنان سابق آنها که به نحوی از شرکت مذکور نارضایتی داشته و به قصد انتقامجویی و یا صدمه زدن در سیستم‌های اطلاعاتی شرکت با استفاده از دانش و اطلاعات خود از سیستم‌های موردنظر به خرابکاری دست می زنند.

حملات رایانه ای معمولا" در سه مرحله انجام می شود:

  1. مرحله اول – شناسایی و جمع آوری اطلاعات درمورد رایانه هدف؛
  2. مرحله دوم – یافتن نقاط آسیب پذیر و راههای واردشدن به سیستم به عنوان یک کاربر مجاز؛
  3. مرحله سوم – درصورت امکانپذیر نبودن مرحله دوم تلاش برای دسترسی به رایانه هدف از طریق دیگر و بدون استفاده از مشخصات کاربران مجاز انجام می پذیرد.

انواع تهدیدهای رایانه ای

تهدیدهای رایانه ای به صورت زیر دسته‌بندی می شوند:

  1. ویروسها و کرمها – اینها برنامه‌های کوچکی هستند که ازطریق پست الکترونیک و یا نرم افزارهای آلوده به این ویروسها وارد یک رایانه شده و در آنجا به صدمه زدن و خرابکاری در برنامه ها و یا اطلاعات رایانه مذکور می پردازند.
  2. اسب تروا (TROJAN HORSE) – برنامه‌هایی هستند که ظاهرا" ماهیت خرابکاری نداشته به صورت برنامه‌های بازی و یا کمکی وارد سیستم شده و سپس در خفا به کارهای غیرمجاز و کنترل رایانه و سرقت اطلاعات محرمانه و یا شخصی کاربر می‌پردازند.
  3. از کارانداختن (DENIAL OF SERVICE) – این عمل با ایجاد تعداد زیادی تقاضای سرویس از یک سیستم انجام شده و درنتیجه سیستم مذکور کارایی خود را از دست داده و یا از کار می افتد. درنتیجه سیستم نمی تواند خدمات لازم را به مشتریان واقعی خود ارائه کند. نظیر مشغول کردن یک تلفن.
  4. شنود اطلاعات – در این مورد در مسیر ارتباطات ازطرق گوناگون اطلاعات مبادله شده سرقت و یا شنود می شوند.
  5. وب سایت های تقلبی (PHISHING) – در این مورد یک وب سایت تقلبی با شکل و قیافه و امکانات کاملا" مشابه به یک وب سایت واقعی طراحی و دراختیار کاربران قرار می‌گیرد و بدین‌وسیله اطلاعات شخصی و محرمانه کاربران را به سرقت می برند.

محافظت

برای محافظت از سیستم‌های اطلاعاتی رایانه‌ای شناسایی قسمتهای مختلف سیستم و آسیب پذیریهای موجود در آن ضروری است. پس از شناسایی و رفع آسیب پذیریهای سیستم باید مرتباً مواظب بود که آسیب پذیریهای جدید به وجود نیاید و به طور متناوب سیستم را بررسی کرد تا از امنیت آن مطمئن شد درحالی که هیچگاه نمی‌توان صددرصد از امنیت یک سیستم مطمئن بود ولی با اقدامات زیر می توان تا حد بسیار بالایی امنیت وحفاظت از یک سیستم را فراهم ساخت:

1- تهیه نقشه و راهنمای سیستم: این کار شامل شناسایی رایانه ها و شبکه‌های متصل و غیرمتصل به اینترنت و به خط تلفن و یا بی سیم، نرم افزارها و سیستم های عامل مورداستفاده نرم افزارهای ضدویروس و محافظ و اطلاعات و برنامه های حساس تجاری خواهدشد؛

2- تهیه سیاست امنیتی: این کار شامل تعریف سیاستهای مربوط به استفاده از رایانه‌‌ها توسط کارکنان و روشهای مورداستفاده در امنیت و حفاظت اطلاعات است. این سیاست چارچوبی را برای حفاظت از شبکه‌های رایانه‌ای و منابع اطلاعاتی موجود در آنها تعیین می‌کند. این سیاست باید به سادگی برای مدیران و کارکنان قابل درک بوده و تمامی نکات و موارد مربوط به امنیت را دربرگیرد. ازجمله مطالب مهم این سیاست عبارتند از:

تعریف استفاده مجاز، چگونگی احراز هویت و انتخاب کلمه رمز، مسئولیت به روز کردن نرم افزارهای موجود در هر رایانه اقدامات لازم درهنگام بروز یک حمله و یا ویروس رایانه ای و مسئولیتهای افراد دراین مورد.

معمولاً سیاست امنیتی در دو شکل تهیه می‌گردد. یکی به صورت ساده وکلی که برای عموم کارکنان قابل استفاده باشد و دیگری با جزئیات بیشتر که معمولاً محرمانه است و برای استفاده مدیران و کارشناسان فناوری اطلاعات و امنیت است.

3- محکم کاری در نرم افزارهای مورداستفاده: این قسمت شامل شناسایی نرم افزارهای موجود در سیستم و به روز کردن آنهاست. زیرا معمولا" آخرین مدل یک نرم افزار آسیب پذیریهای کمتری نسبت به مدلهای قدیمی تر آن دارد. ازجمله کارهای دیگر دراین قسمت حذف برنامه های آزمایشی و نمونه و برنامه‌هایی که ازنظر امنیتی مطمئن نیستند از سیستم های مورداستفاده است.

4- کاهش تعداد نقاط دسترسی و کنترل نقاط باقیمانده: این مرحله شامل بررسی نقشه سیستم و شناسایی نقاط اتصال به اینترنت و دسترسی از راه دور به منظور کاهش نقاط دسترسی به حداقل ممکن و کنترل نقاط باقیمانده ازنظر دسترسی و ورود و خروج اطلاعات است.

5- شناسایی نقاط ورود پنهان: شناسایی و حذف مودم ها و نقاط دسترسی غیرمعمول که احتمالا" از نظرها پنهان می ماند ولی بعضی از کارکنان آنها را مورداستفاده قرار می دهند.

6- نصب دیواره آتش (FIREWALL): این سیستم برای جداسازی و محافظت سیستم داخلی از اینترنت و همچنین کنترل دسترسی به سایت های اینترنتی به خصوص سایت‌های غیرمربوط به کار نصب می گردد. در مواردی می‌توان رایانه‌های مشخصی را جهت استفاده از اینترنت اختصاص داد. درصورت نیاز تغییر پورت های اتصال و آموزش کارکنان درمورد راههای درست دسترسی حائزاهمیت است.

7- نصب سیستم‌های تشخیص و جلوگیری از ورود غیرمجاز (INTRUSION DETECTION AND PREVENTION SYSTEMS): این سیستم‌ها به مانند دزدگیر عمل کرده و ورود و دسترسی غیرمجاز به سیستم را ثبت و اطلاع می‌دهد و یا از انجام آن جلوگیری می‌کند. حتی در مواردی که عبور غیرمجاز از دیواره آتش انجام پذیرد با استفاده از این سیستم می توان آن را شناسایی و از بروز مجدد آن جلوگیری کرد. همچنین با بررسی به موقع لیست ثبت شده توسط سیستم IDP وشناسایی تلاشهای انجام شده برای دسترسی غیرمجاز به سیستم می‌توان از خطرات آتی جلوگیری کرد.

8- نصب نرم‌افزارهای ضدویروس: نصب نرم افزارهای ضدویروس در دروازه های ورودی سیستم و در رایانه‌ها برای شناسایی و جلوگیری از ورود ویروس های رایانه های به سیستم و احیاناً مرمت سیستم های آلوده به ویروس ضروری است. این نرم افزارها باید مرتباً به روز درآیند تا همواره از آخرین اطلاعات مربوط به ویروس‌های رایانه‌ای استفاده گردد.

9- بررسی متناوب عملکرد سیستم و رفع اشکالات آن: این بررسی ها به مدیریت این امکان را می دهد تا با درنظر گرفتن خطرات امنیتی موجود و نیاز به انجام عملیات تجاری، ضمن رفع اشکالات شناخته شده سیاست و برنامه امنیتی متناسب و متوازنی را اتخاذ کند.

10- آموزش کارکنان: کارکنان باید باتوجه به نیاز آنها در سطوح مختلف درباره مسائل امنیتی و حفاظت از اطلاعات رایانه ای آموزش دیده و آگاهی های لازم را پیدا کنند. ازجمله آموزش سیاست امنیتی شرکت از ضروریات است.

استانداردهای بین المللی برای امنیت اطلاعات

دررابطه با امنیت اطلاعات و داده ها و حفاظت از اطلاعات حساس، استاندارد انگلیسی BS۷۷۹۹ به وجود آمده که بعداً به صورت استاندارد بین المللی ISO۱۷۷۹۹ درآمد. این استانداردها ایجاد ۱۰ کنترل کلیدی را ملزم ساخته که عبارتنداز:

  1. تهیه یک سیاست امنیتی مدون؛
  2. مشخص کردن مسئولیتهای امنیتی در سازمان؛
  3. آموزش درموارد امنیت اطلاعات؛
  4. گزارش به موقع تهدیدات امنیتی و نحوه برخورد با آنها؛
  5. جلوگیری و کنترل ویروس‌های رایانه‌ای؛
  6. برنامه ادامه تجارت درصورت بروز خطرات امنیتی؛
  7. کنترل تکثیر و کپی کردن نرم‌افزارهای دارای حقوق محفوظ؛
  8. ایجاد فرایند مناسب برای مدیریت ثبت اطلاعات حساس؛
  9. حفاظت از اطلاعات شخصی و خصوصی افراد؛
  10. بررسی متناوب پیروی از استانداردها.

این ۱۰ کنترل، اطلاعات الکترونیک و غیرالکترونیک و همچنین نحوه ذخیره الکترونیک و فیزیکی آنها را شامل می‌شود.

باتوجه به اینکه مقوله امنیت اطلاعات و بخصوص مطابقت با یک استاندارد قابل قبول بین المللی هم ازنظر شرکتها و تولیدکنندگان و هم ازنظر مشتریان و خریداران خدمات این شرکتها حائزاهمیت است و بادرنظر گرفتن اینکه رعایت استانداردهای امنیتی شرکتها را در زمینه مسئولیتهای قانونی آنها حمایت می‌کند توجه به استانداردهای بین‌المللی امنیت اطلاعات و پیروی از آنها در بازار جهانی امروز از اهمیت بیشتری برخوردار گشته است.

نتیجه گیری

اینترنت و شبکه های رایانه ای موجود در سازمانها و شرکتها قابلیت جستجو و مبادله اطلاعات را به صورت بی‌سابقه امکان‌پذیر ساخته است. به وجود آمدن تجارت الکترونیک شرکتهایی را که حتی در گذشته تصور آن را هم نمی کردند قادر ساخته است که به عرضه خدمات و کالاهای خود در سطح جهانی بپردازند.

درحالی که چنین ابزار قدرتمندی در امر تجارت، انقلابی ایجاد کرده است نیاز به داشتن رایانه های امن و دسترسی امن به اینترنت را نیز الزام آور ساخته است. یک شرکت کوچک یا متوسط در مقایسه با یک شرکت بزرگ که سرمایه زیادی را درجهت امن کردن سیستم های رایانه ای خود به کار برده است ممکن است برای یک خرابکار اطلاعاتی هدفی به مراتب ساده تر و بهتر باشد. به عنوان یک مدیر شما باید از چند وچون خطراتی که دسترسی به اینترنت و شبکه رایانه ای شما را تهدید می کند اطلاع داشته باشید. شما نیازمند این هستید که وقتی را به مقوله امنیت اختصاص دهید زیرا ایجاد یک سیستم امن رایانه ای نیازمند صرف وقت و منابع لازم است. دقت کافی توسط مدیریت وکارشناسان فناوری اطلاعات در زمینه امنیت اطلاعات و ایجاد محیط امن رایانه ای به شما امکان می دهد تا از منافع بسیاری که اینترنت و شبکه های رایانه‌ای برای تجارت شما ایجاد می کند بهره‌مند گردید. آگاهی کامل از انواع تهدیدات وچگونگی مقابله با آنها خطرات ناشی از تهدیدات را به مرور کمتر خواهدکرد. درک مسائل امنیتی توسط مدیران و حضور موثر آنها در ایجاد و اجرای یک برنامه امنیت اطلاعات کارامد و متناسب با نیازهای سازمان و با رعایت استانداردهای موجود ضروری است.

منبع :www.aftab.ir

0 نظر
   1      2      3      4   >>
موضوعات
پیوندهای روزانه
پیوندها
لوگو
دنیای مجازی
آمار وبلاگ
  • تعداد بازدیدکنندگان: 2243204