عصر یخبندان

به وبلاگ عصر یخبندان خوش آمدید

ده قانون تغییرناپذیر در رابطه با امنیت اطلاعات

امنیت اطلاعات و ایمن سازی زیر ساخت فن آوری ‌اطلاعات ( فردی ، سازمانی ، ملی )  از جمله وظایف یکایک کاربران و استفاده کنندگان شبکه های کامپیوتری‌ است . به منظور ایمن سازی و ایمن نگهداشتن زیرساخت منابع اطلاعاتی تاکنون مقالات متعددی نوشته شده و توصیه های فراوانی ارائه شده است . اگر بخواهیم برخی از نکات مهم و کلیدی در این رابطه را لیست نمائیم ، می توان به ده قانون تغییر ناپذیر در این زمینه اشاره نمود  که صرف نظر از نوع سیستم کامپیوتری، با رعایت آنان یک سطح مطلوب امنیتی و حفاظتی برای کاربران ایجاد می گردد.

  • قانون اول : زمانی که یک برنامه را جهت اجراء‌ انتخاب می نمائید ، در واقع شما این تصمیم را گرفته اید که کنترل کامپیوتر خود را به آن واگذار نمائید . یک برنامه پس از فراهم شدن شرایط لازم جهت اجراء ، قادر به انجام هر کاری می باشد و  حتی می تواند محدودیت هائی را به منظور استفاده از سیستم برای شما ایجاد نماید .

 در صورتی که یک مهاجم بتواند شما را ترغیب به اجرای برنامه خود بر روی کامپیوتر  نماید ، دیگر کامپیوتر متعلق به شما نخواهد بود .

  • قانون دوم : یک سیستم عامل (نظیر سایر برنامه های کامپیوتری)  از مجموعه ای صفر و یک تشکیل می گردد که پس از تفسیر توسط پردازنده ، باعث انجام عملیات خاصی در کامپیوتر می شود . در صورتی که صفر و یک ها تغییر یابند، سیستم عامل کارها را بگونه ای دیگر انجام می دهد .  صفر و یک ها در فایل هائی بر روی کامپیوتر شما ذخیره شده اند و اگر یک مهاجم بتواند به آنان دستیابی و آنان را تغییر دهد ، می تواند مشکلات متعددی را برای سیستم ایجاد نماید .

 در صورتی که یک مهاجم بتواند سیستم عامل موجود بر روی  کامپیوتر شما را تغییر دهد ، دیگر کامپیوتر متعلق به شما نخواهد بود . 

  •  قانون سوم : در صورتی که افرادی بتوانند بطور فیریکی به کامپیوتر شما دستیابی داشته باشند ، می توانند کنترل کامپیوتر شما را بطور کامل دراختیار گرفته و هر کاری را که دوست دارند انجام دهند (تغییر داده ، سرقت اطلاعات ، سرقت سخت افزار و یا ایجاد اشکال فیزیکی در کامپیوتر) .

 در صورتی که یک مهاجم بتواند بطور فیریکی به کامپیوتر شما دستیابی داشته باشد ،  دیگر کامپیوتر متعلق به شما نخواهد بود.  

  • قانون چهارم : در صورتی که دارای یک وب سایت می باشید ، می بایست محدودیت های لازم در خصوص این که کاربران قادر به انجام چه نوع عملیاتی می باشند را ایجاد نمائید( تائید کاربران و صدور مجوزهای لازم با توجه به سطوح دستیابی تعریف شده جهت استفاده از منابع موجود بر روی یک وب سایت ) . بر روی یک وب سایت صرفا" می بایست برنامه هائی را اجراء نمود که توسط افراد و یا شرکت های تائید شده نوشته شده باشند . در بسیاری از موارد رویکرد امنیتی فوق به تنهائی کافی نخواهد بود و در صورتی که وب سایت شما بر روی یک سرویس دهنده مشترک host شده باشد ، می بایست اقدامات احتیاطی بیشتری را انجام داد . در صورتی که یک مهاجم بتواند به سایر سایت های موجود بر روی‌ یک سرویس دهنده دستیابی نماید ، در ادامه می تواند فعالیت خود را گسترش و سایر سایت های موجود را نیز مدیریت و متناسب با خواسته خود با آنان برخورد نماید .

 در صورتی که یک مهاجم بتواند فایل هائی را بر روی وب سایت شما ارسال نماید ، دیگر وب سایت متعلق به شما نخواهد بود .    

  • قانون پنجم : در صورتی که یک مهاجم بتواند به رمز عبور شما دستیابی پیدا نماید ، وی می تواند به کامپیوتر شما log on نموده و هر نوع عملیاتی را انجام دهد. سعی نمائید که همواره از رمزهای عبور مناسب و در عین حال پیچیده استفاده نمائید .رمزهای عبوری نظیر تاریخ تولد ، شماره شناسنامه ، شماره تلفن ، شماره  دانشجوئی ، شماره پرسنلی و  مواردی از این قبیل ، گزینه های مناسبی در این زمینه نمی باشند . در ضمن ،  هرگز واژه password را به عنوان رمز عبور انتخاب ننمائید . 

 رمزهای عبور ضعیف ، مشکلات امنیتی متعددی را ایجاد می نمایند و مانع جدی ایجاد یک سیستم ایمن و با ضریب امنیتی بالا می باشند .

  • قانون ششم : یک مدیر غیرقابل اعتماد می تواند سایر اقدامات انجام شده در خصوص امنیت اطلاعات را خنثی نماید . این نوع مدیران با توجه به جایگاه خود قادر به انجام هر گونه عملیاتی می باشند . تغییر مجوزها ، تغییر سیاست های امنیتی سیستم ، نصب برنامه های مخرب و تعریف کاربران خیالی ، نمونه هائی در این زمینه می باشد. عملکرد این گونه مدیران تمامی اقدامات پیشگیرانه در سیستم عامل را بی اثر می نماید ، چراکه آنان بطور کامل به سیستم دستیابی داشته و قادر به انجام هر نوع عملیاتی می باشند . از همه بدتر ، آنان می توانند عملیات اشاره شده را بگونه ای انجام دهند که هیچگونه ردپائی از خود را بر جای نگذارند . در صورتی که شما از یک مدیر غیرقابل اعتماد استفاده می نمائید ، عملا" نمی توانید امنیت را در سازمان خود ایجاد نمائید . 

یک کامپیوتر و یا سیستم کامپیوتری  صرفا" زمانی می تواند ایمن گردد که مدیریت آن در اختیار افراد قابل اعتماد باشد . 

  •  قانون  هفتم : تعداد زیادی از سیستم های عامل و محصولات نرم افزاری رمزنگاری ، این امکان را فراهم می نمایند تا بتوان کلیدهای رمزگشائی را به صورت مخفی بر روی کامپیوتر  ذخیره نمود .بدین ترتیب کاربران در خصوص مدیریت این کلیدها نگران نبوده و همه چیز با استفاده از امکانات نرم افزاری موجود مدیریت می گردد . صرفنظر از این که کلیدها به چه صورت مخفی شده اند ، همواره این احتمال وجود دارد که بتوان به آنان دستیابی داشت . حتی المقدور سعی نمائید که از فضای ذخیره سازی offline برای کلیدها استفاده نمائید ( امکان دستیابی به کلیدها توسط سایر کاربران online وجود نداشته باشد ) .   

رمزنگاری اطلاعات و رمزگشائی اطلاعات دو کفه یک ترازو می باشند که هر یک دارای جایگاه خاص خود می باشند و نمی توان اهمیت یکی را بیش از دیگری در نظر گرفت . بنابراین ، می بایست به منظور حفاظت از کلیدهای رمزگشائی تدابیر لازم اندیشیده گردد .

  • قانون هشتم : نرم افزارهای آنتی ویروس با مقایسه داده موجود بر روی کامپیوتر با مجموعه ای از الگوهای ویروس ، قادر به تشخیص آلودگی آنان می باشند . هر الگو خصایص منحصربفرد یک ویروس را مشخص می نماید که پس از یافتن آن در یک فایل و یا email ، پیام لازم از طرف برنامه دراختیار کاربر گذاشته می شود . نرم افزارهای آنتی ویروس صرفا" قادر به یافتن ویروس هائی می‌باشند که قبلا" الگوی آنان مشخص و مستند شده باشد . بدیهی است با توجه به این که بطور مستمر ویروس های جدیدی نوشته و عرضه می گردد ، می بایست برنامه هآی آنتی ویروس را بهنگام نگهداشت تا بتوانند با ویروس های جدید نیز برخورد نمایند . 

داشتن یک نرم افزار آنتی ویروس بهنگام نشده بهتر از نداشتن یک برنامه آنتی ویروس  است . 

  • قانون نهم : بهترین روش حفاظت از حریم خصوصی خود در اینترنت ، رعایت مسائل ایمنی است ( مشابه حفاظت از حریم خصوصی خود در زندگی روزمره ) . در زمان استفاده از وب سایت ها قبل از هر چیز privacy آنان را مطالعه نموده و صرفا" با افراد و یا موسساتی ارتباط برقرار نمائید که نسبت به privacy آنان شناخت کاملی وجود داشته باشد . در صورتی که نگران کوکی هستید ، آنان را غیرفعال نمائید . 

  گمنامی مطلق نه در زندگی عادی امکان پذیر است  و نه در وب 

  • قانون دهم : امنیت کامل نیازمند یک سطح تکاملی قابل قبول است که در عمل امکان آن وجود ندارد . پیاده سازی نرم افزار یک علم غیرکامل است و از لحاظ مجازی تمامی نرم افزارها دارای باگ هستند که برخی از آنان ممکن است باعث ایجاد حفره های امنیتی خطرناک در سیستم گردند . حتی در صورتی که یک نرم افزار به نظر کامل باشد ، نمی تواند تمام مسائل امنیتی را بطور کامل برطرف نماید . چراکه درصد بسیار زیادی از حملات مبتنی بر مهندسی اجتماعی می باشند که گرچه ساختار امنیتی یک نرم افزار می تواند یک سطح حفاظتی مناسب را ایجاد نماید ولی در مقابله با این نوع حملات نمی تواند نقش موثری را داشته باشد .  

فن آوری های موجود را نمی توان به عنوان یک اکسیر و یا راه حل جامع  به منظور ایجاد یک محیط ایمن در نظر گرفت .

 

+   فرید حمیدی ; ٧:٥٢ ‎ق.ظ ; یکشنبه ۱٩ مهر ۱۳۸۸
    پيام هاي ديگران ()  
 

design by macromediax ; Powered by PersianBlog.ir