ده قانون تغییرناپذیر در رابطه با امنیت اطلاعات
، سازمانی ، ملی ) از جمله وظایف یکایک کاربران و استفاده کنندگان شبکه های
کامپیوتری است . به منظور ایمن سازی و ایمن نگهداشتن زیرساخت منابع
اطلاعاتی تاکنون مقالات متعددی نوشته شده و توصیه های فراوانی ارائه شده است . اگر
بخواهیم برخی از نکات مهم و کلیدی در این رابطه را لیست نمائیم ، می توان به ده
قانون تغییر ناپذیر در این زمینه اشاره نمود که صرفنظر از نوع سیستم کامپیوتری، با
رعایت آنان یک سطح مطلوب امنیتی و حفاظتی برای کاربران ایجاد می گردد.
•
قانون اول : زمانی که یک برنامه را جهت اجراء انتخاب می نمائید ، در واقع
شما این تصمیم را گرفته اید که کنترل کامپیوتر خود را به آن واگذار نمائید . یک
برنامه پس از فراهم شدن شرایط لازم جهت اجراء ، قادر به انجام هر کاری می باشد و
حتی می تواند محدودیت هائی را به منظور استفاده از سیستم برای شما ایجاد نماید
داشته باشد .
دفاع از تلفن های موبایل در مقابل حملات
به موازات استفاده از فناوری های
پیشرفته در تلفن های موبایل و سایر دستگاه های الکترونیکی نظیر PDA ، مهاجمان از
روش های جدیدتری برای به دام انداختن قربانیان خود استفاده می نمایند . مهاجمان با
ارسال پیام کوتاه ( SMS ) و یا نامه های الکترونیکی ( Email ) ، می توانند کاربران
را ترغیب به استفاده از یک وب سایت مخرب نموده و یا آنان را متقاعد نمایند که کدهای
مخربی را بر روی دستگاه قابل حمل خود نصب نمایند .
تهدیدات امنیتی
اکثر تلفن های موبایل دارای قابلیت ارسال و یادریافت پیام کوتاه می باشند . برخی از تلفن های موبایل و یا دستگاه های PDA دارای
قابلیت اتصال به اینترنت نیز می باشند .علیرغم مفید بودن امکانات فوق برای استفاده
کنندگان ، مهاجمان نیز ممکن است از اینگونه پتانسیل ها در جهت اهداف مخرب خود سوء
استفاده نموده و عملیات زیر را انجام دهند :
• سوء استفاده از سرویس : اکثر
تلفن های موبایل دارای محدودیت های مختص به خود در خصوص تعداد پیام ارسالی و یا
دریافتی می باشند . در صورتی که یک مهاجم بتواند تعداد زیادی پیام ناخواسته را برای
شما ارسال نماید ( Spam ) ، ممکن است هزینه های فیزیکی و منطقی بیشتری را به شما
تحمیل نماید . یک مهاجم همچنین می تواند تلفن موبایل و یا دستگاه PDA شما را آلوده
به کدهای مخربی نماید که به آنان اجازه استفاده غیرقانونی از آن را خواهد داد . با
توجه به این که از لحاظ قانونی تلفن به نام شما است ، این موضوع می تواند مشکلات
قانونی متعددی را برای مالک آن به دنبال داشته باشد .
ضرورت توجه به امنیت اطلاعات ( بخش هفتم)
استراتژی "دفاع در عمق " یک
فریمورک امنیتی مناسب برای حفاظت و نگهداری ایمن زیرساخت فن آوری اطلاعات یک سازمان
است . در این مدل،زیر ساخت فن آوری اطلاعات یک سازمان به عنوان مجموعه ای
از لایه های مرتبط به هم در نظر گرفته شده و به منظور حفاظت و ایمن سازی هر لایه از
مکانیزم ها و روش های حفاظتی خاصی استفاده می گردد .
آنچه تاکنون گفته شده است
:
• بخش چهارم : بررسی لایه سیاست ها ، رویه ها و اطلاع رسانی
• بخش پنجم :
بررسی لایه فیزیکی
• بخش ششم : بررسی لایه محدوده عملیاتی شبکه و یا Perimeter
در این بخش به بررسی لایه شبکه داخلی خواهیم پرداخت .
بررسی لایه شبکه داخلی
ضرورت توجه به امنیت اطلاعات ( بخش ششم)
استراتژی "دفاع در عمق " یک فریمورک
امنیتی مناسب برای حفاظت و نگهداری ایمن زیرساخت فن آوری اطلاعات یک سازمان است .
در این مدل،زیر ساخت فن آوری اطلاعات یک سازمان به عنوان مجموعه ای از لایه های
مرتبط به هم در نظر گرفته شده و به منظور حفاظت و ایمن سازی هر لایه از مکانیزم ها
و روش های حفاظتی خاصی استفاده می گردد . در بخش چهارم به لایه سیاست ها ، رویه ها
و اطلاع رسانی و در بخش پنجم به لایه فیزیکی اشاره گردید . در این بخش به بررسی
لایه محدوده عملیاتی شبکه و یا Perimeter خواهیم پرداخت .
بررسی لایه Perimeter
• Perimeter شبکه ، مکانی است که شبکه یکسازمان با شبکه های تائید نشده دیگر مرتبط می گردد . بسیاری از کارشناسان شبکه از
تعریف فوق اینگونه استنباط می نمایند که صرفا" اتصال بین شبکه داخلی سازمان و
اینترنت مورد نظر می باشد . در صورتی که در استراتژی دفاع در عمق ، به هر نقطه ای
که شبکه داخلی یک سازمان را به سایر شبکه ها و میزبانان متصل و توسط گروه فن آوری
اطلاعات سازمان مدیریت نمی گردند ،اطلاق می گردد . موارد زیر نمونه هائی در این
زمینه می باشد :
ضرورت توجه به امنیت اطلاعات ( بخش پنجم)
استراتژی "دفاع در عمق " یک فریمورک
امنیتی مناسب برای حفاظت و نگهداری ایمن زیرساخت فن آوری اطلاعات یک سازمان است .
در این مدل،زیر ساخت فن آوری اطلاعات یک سازمان به عنوان مجموعه ای از لایه های
مرتبط به هم در نظر گرفته شده و به منظور حفاظت و ایمن سازی هر لایه از مکانیزم ها
و روش های حفاظتی خاصی استفاده می گردد . در بخش چهارم به لایه سیاست ها ، رویه ها
و اطلاع رسانی اشاره گردید . در این بخش به بررسی لایه فیزیکی خواهیم پرداخت .
بررسی لایه امنیت فیزیکی
• لایه امنیت فیزیکی ، پنج لایه دیگر (محدوده عملیاتی شبکه ، شبکه داخلی ، کامپیوترها و دستگاه های میزبان ، برنامه های
کاربردی و داده ) مدل امنیتی "دفاع در عمق " را دربرمی گیرد .
• از تمامی
سرمایه های موجود در زیر ساخت فن آوری اطلاعات یک سازمان ، می بایست بطور فیزیکی
حفاظت گردد . سرمایه های فوق صرفا" محدود به سخت افزار نبوده و نرم افزار و اطلاعات
مهم و حیاتی موجود در سازمان را که بر روی رسانه های مختلفی ذخیره شده اند را نیز
شامل می شود .
• امنیت فیزیکی یک عنصر کلیدی در استراتژی امنیتی یک سازمان است
.
تهدیدات لایه فیزیکی
ضرورت توجه به امنیت اطلاعات ( بخش جهارم )
استراتژی "دفاع در عمق " یک
فریمورک امنیتی مناسب برای حفاظت و نگهداری ایمن زیرساخت فن آوری اطلاعات یک سازمان
است . در این مدل،زیر ساخت فن آوری اطلاعات یک سازمان به عنوان مجموعه ای از لایه
های مرتبط به هم در نظر گرفته شده و به منظور حفاظت و ایمن سازی هر لایه از مکانیزم
ها و روش های حفاظتی خاصی استفاده می گردد .
بررسی لایه سیاست ها ، رویه ها و اطلاع رسانی
در اولین لایه مدلامنیتی "دفاع در عمق " ، سیاست ها و رویه های امنیتی تعریف و تمامی کاربران صرفنظر
از موقعیت شغلی خود می بایست با آنان آشنا شوند . با توجه به جایگاه برجسته این
لایه و تاثیر آن بر روی عملکرد سایر لایه ها ، می بایست با حوصله و دقت بیشتری این
لایه بررسی و قبل از هر چیز سیاست های امنیتی در یک سازمان تعریف گردد .
در
زمان تعریف سیاست های امنیتی می بایست به موارد زیر توجه گردد :
• تعریف عناصر
زیادی نظیر : استفاده قابل قبول از منابع موجود ، دستیابی از راه دور ، حفاظت
اطلاعات ، تهیه نسخه های پشتیبان از اطلاعات ، امنیت پیرامون شبکه ، ایمن سازی و
ایمن نگهداشتن دستگاه ها و کامپیوترهای میزبان و ...
ضرورت توجه به امنیت اطلاعات ( بخش سوم )
هر سازمان می بایست یک فریمورک و یا
چارچوب امنیتی فعال و پویا را برای خود ایجاد و به درستی از آن نگهداری نماید .
دفاع در عمق ، یک فریمورک امنیتی مناسب در این رابط است . در این مدل ، زیرساخت فن
آوری اطلاعات یک سازمان به عنوان مجموعه ای از لایه های مرتبط به هم در نظر گرفته
می شود و برای هر لایه مکانیزم های امنیتی و حفاظتی مناسبی تعریف می گردد .
•
لایه اول : سیاست های امنیتی ، رویه ها و اطلاع رسانی
• لایه دوم : امنیت
فیزیکی ( نظیر حفاظت فیزیکی )
• لایه سوم : حفاظت از محدوده عملیاتی یک شبکه
داخلی به منظور ارتباط با سایر شبکه ها ( نظیر استفاده از فایروال ها )
• لایه
چهارم : ایمن سازی شبکه داخلی
• لایه پنجم : امنیت کامپیوترها و دستگاه های
میزبان ( ایجاد سیستم های تدافعی لازم )
• لایه ششم : امنیت برنامه های کاربردی
( نصب های ایمن به همراه نصب تمامی Service Packs و patch محصولات نرم افزاری موجود
در سازمان به منظور پیشگیری از حملات برنامه ریزی شده با بهره گیری از نقاط ضعف
موجود )
• لایه هفتم : امنیت داده ( بهره گیری از سیستم امنیتی فایل و یا فولدر
سیستم فایل NTFS ، رمزنگاری ، لیست های کنترل دستیابی ، ایجاد نسخه های backup از
داده ها و مکانیزم های لازم به منظور بازیافت اطلاعات )
ضرورت توجه به امنیت اطلاعات ( بخش سوم )
هر سازمان می بایست یک فریمورک و یا
چارچوب امنیتی فعال و پویا را برای خود ایجاد و به درستی از آن نگهداری نماید .
دفاع در عمق ، یک فریمورک امنیتی مناسب در این رابط است . در این مدل ، زیرساخت فن
آوری اطلاعات یک سازمان به عنوان مجموعه ای از لایه های مرتبط به هم در نظر گرفته
می شود و برای هر لایه مکانیزم های امنیتی و حفاظتی مناسبی تعریف می گردد .
•
لایه اول : سیاست های امنیتی ، رویه ها و اطلاع رسانی
• لایه دوم : امنیت
فیزیکی ( نظیر حفاظت فیزیکی )
• لایه سوم : حفاظت از محدوده عملیاتی یک شبکه
داخلی به منظور ارتباط با سایر شبکه ها ( نظیر استفاده از فایروال ها )
• لایه
چهارم : ایمن سازی شبکه داخلی
• لایه پنجم : امنیت کامپیوترها و دستگاه های
میزبان ( ایجاد سیستم های تدافعی لازم )
• لایه ششم : امنیت برنامه های کاربردی
( نصب های ایمن به همراه نصب تمامی Service Packs و patch محصولات نرم افزاری موجود
در سازمان به منظور پیشگیری از حملات برنامه ریزی شده با بهره گیری از نقاط ضعف
موجود )
• لایه هفتم : امنیت داده ( بهره گیری از سیستم امنیتی فایل و یا فولدر
سیستم فایل NTFS ، رمزنگاری ، لیست های کنترل دستیابی ، ایجاد نسخه های backup از
داده ها و مکانیزم های لازم به منظور بازیافت اطلاعات )
ویروس های کامپیوتری
کامپیوتر بوده که توجه اغلب کاربران را بخود جلب می نماید. ویروس های کامپیوتری
بخوبی قدرت آسیب پذیری سیستم های اطلاعاتی مبتنی بر کامپیوتر را به ما نشان می
دهند. یک ویروس مدرن و پیشرفته قادر به بروز آسیب های کاملا" غیرقابل پیش بینی در
اینترنت است . مثلا" ویروس ملیزا (Melissa) ، که در سال 1999 متداول گردید ، از
چنان قدرت و توانی برخوردار بود که شرکت های بزرگی نظیر مآیکروسافت و سایر شرکت های
بزرگ را مجبور به خاموش نمودن کامل سیستم های پست الکترونیکی نمود. ویروس
"ILOVEYOU" ، که در سال 2000 رایج گردید ، باعث آسیب های فراوان در اینترنت و شبکه
های کامپیوتری گردید.
ضرورت توجه به امنیت اطلاعات ( بخش دهم)
استراتژی "دفاع در عمق " یک فریمورک
امنیتی مناسب برای حفاظت و نگهداری ایمن زیرساخت فن آوری اطلاعات یک سازمان است .
در این مدل،زیر ساخت فن آوری اطلاعات یک سازمان به عنوان مجموعه ای از لایه های
مرتبط به هم در نظر گرفته شده و به منظور حفاظت و ایمن سازی هر لایه از مکانیزم ها
و روش های حفاظتی خاصی استفاده می گردد .
آنچه تاکنون گفته شده است :
• بخش چهارم : بررسی لایه سیاست ها ، رویه ها و اطلاع رسانی
• بخش
پنجم : بررسی لایه فیزیکی
• بخش ششم : بررسی لایه محدوده عملیاتی شبکه و یا
Perimeter
• بخش هفتم : بررسی لایه شبکه داخلی
• بخش هشتم : بررسی لایه
host
• بخش نهم : بررسی لایه Application
در آخرین بخش به بررسی لایه داده
خواهیم پرداخت .
لیست کل یادداشت های این وبلاگ
محافظت در مقابل خطرات ایمیل (?)
قابلیتهای نرمافزارهای ضدویروس
طرز کار برنامه های ضد ویروس
طرز کار برنامه های ضد ویروس
نبرد فیلترها و تولیدکنندگان اسپم (?)
اختلال عاطفی فصلی: نشانه ها و روش های درمان
آیا مصرف ویتامین به درمان افسردگی کمک می کند؟
چند نکته کارساز در مورد " مدیریت زمان "
25 ماده از قانون جرایم رایانه ای به تصویب مجلس شورای اسلامی رسید
نوع موسیقی و تاثیر آن بر کودک
افسردگی و برخی علل آن در ایران
دیدار پرشور هزاران نفر از پرستاران، معلمان و کارگران سراسر کشور
درمان تنش و اضطراب با ماساژ ( ماساژ درمانی
RealPlayer SP 1.0.5 Build 12.0.0.343
[همه عناوین(1218)][عناوین آرشیوشده]
