مدیریت امنیت اطلاعات

اطلاعات کلید رشد و موفقیت یک شرکت است. سیستم مدیریت امنیت اطلاعات ثبت شده، به مشتریان شما اطمینان خواهد داد که اطلاعات شما به نحو مناسب حفاظت شده چه در ثبت الکترونیک و چه بر روی کاغذ و یا در اذهان کارکنان.

سیستم مدیریت امنیت اطلاعات شما را در شناسایی و کاهش ریسکهای بحرانی امنیتی، از طریق تمرکز بر تلاشهایی جهت امنیت اطلاعات و حفاظت از آنها، یاری می نماید. کشف نقاط قوت، نقاط ضعف و فرصتهای بهبود در مدیریت ریسکهای امنیتی امری حیاتی است. با رویکرد Risk  Based CertificationTM، ممیزان DNV قادر به ارزیابی میزان پشتیبانی سیستم مدیریت امنیت اطلاعات شما در زمینه هایی که دارای اهمیت بیشتر برای شما هستند خواهند بود و بدین وسیله میزان تطابق این سیستم را با استاندارد انتخاب شده تعیین خواهند نمود.

-

در این صفحه مدیریت امنیت اطلاعات ما شما را در پی بردن به چرا و چگونگی سیستم مدیریت امنیت اطلاعات یاری خواهیم نمود. اینکه این سیستم چیست و چگونه کسب و کار شما از مزایای پیاده سازی آن بهره مند خواهد شد.

چرا و چگونه

 

امنیت اطلاعات چیزی بیش از تکنولوژی اطلاعات است. با استفاده از سیستم مدیریت امنیت اطلاعات شما می توانید، از کار درست بر روی اطلاعات سازمان با وجود جلوگیری از نشر اطلاعات اطمینان یابید.

با افزایش راه حل های فنی که به منظور اشتراک سریع اطلاعات طراحی شده اند، امکان نشر اطلاعات گسترده تر گردیده است. جابجایی بیشتر کارکنان در بین سازمانها نیز به معنی از دست دادن بخشی از دانش شما در زمان بیرون رفتن هر یک از آنها از درب شرکت می باشد. رویکردی سیستماتیک در امنیت اطلاعاتمی تواند شما را در مدیریت جریان اطلاعات کمک نماید. حرکت از فرآیند های تک منظوره شما را در برخورداری از دید جامعی که مدیریت، اندازه گیریو بهبودفرآیند های داخلی را ساده تر می نماید، برخوردار خواهد نمود. این قدم اول در سفر به بهبود مستمر کسب و کار می باشد.

-

حفاظت سه بعدی(3D) از اطلاعات سازمان

 

با به کارگیری یک سیستم مدیریت شما می توانید امنیت اطلاعاتخود را پایه گذاری، استقرار، بهره برداری، پایش، بازنگری، نگهداری و بهبود دهید. شما ابزاری برای شناسایی دارایی های بحرانی و حفاظت آنها خواهید داشت. همزمان با ایجاد اطمینان در مشتریان، کارکنان و صاحبان سهام و در نهایت جامعه، موجب تقویت سازمان خود در دستیابی به اهداف استراتژیک خواهید داشت.

-

اطلاعات شما در سه بعد زیر محافظت خواهد شد:

-

حفظ محرمانه بودن اطلاعات، از طریق اطمینان از دسترسی اطلاعات تنها توسط افراد مجاز.

-

حفظ یکپارچگی اطلاعات از لحاظ دقت و کامل بودن و روشهای پردازش

-

اطمینان از در دسترس بودن با اطمینان از در دسترس بودن اطلاعات و دارایی های مرتبط توسط افراد مجاز در زمان نیاز.

-

تمرکز بر امنیت

هدف سیستم مدیریت امنیت اطلاعات اطمینان از تداوم کسب و کار از طریق جلوگیری و به حداقل رساندن اثرات حوادث امنیتی است. گزارش Audit Commisionدر سال 1998 نمایانگر این مطلب است که، حملات و یا نمونه هایی از سوء استفاده های ITاغلب در اثر عدم وجود کنترلهای بسیار ساده به وقوع پیوسته اند که نیمی از آنها تصادفا کشف شده اند. اطمینان از ضبط مطمئن اطلاعات، و حفاظت از آن توسط یک سیستم مدیریت مرزهای رقابتی سازمان را بزرگتر خواهد نمود.

-

شما براساس چه استانداردی قادر به دریافت گواهینامه می باشید؟

برای قرار گیری در مسیر دستیابی به گواهینامه، شما باید شروع به مطالعه در مورد ISO27001، استاندارد سیستم های مدیریت امنیت اطلاعات، و قابل اعمال به تمامی سازمانها، نمایید.

-

استاندارد بین المللی ISO/IEC 27001 در تاریخ 15 آپریل 2006 به جای استاندارد BS7799 جایگزین گردید.

امروزه امنيت اطلاعات در سيستم های کامپيوتری به عنوان يکی از مسائل مهم مطرح ، و می بايست به مقوله امنيت اطلاعات نه بعنوان يک محصول بلکه به عنوان يک فرآيند نگاه کردد. بدون شک اطلاع رسانی در رابطه با تهديدات ، حملات  و نحوه برخورد با آنان ، دارای  جايگاهی خاص در فرآيند ايمن سازی اطلاعات بوده و لازم است همواره نسبت به آخرين اطلاعات موجود در اين زمينه خود را بهنگام نمائيم . .با استفاده از امکانات موجود در اين بخش می توان  نسبت به آخرين اخبار در ارتباط با امنيت اطلاعات ، هشدارهای امنيتی ، ابزارهای برخورد با حملات و تهديدات امنيتی آشنا گرديد .اطلاعات موجود در اين بخش بصورت کاملا" پويا و متاثر از سايت های اطلاع رسانی ديگر در رابطه با امنيت اطلاعات اخذ و بر روی سايت منتشر می گردد.

مبانی امنيت اطلاعات

امروزه شاهد گسترش  حضور کامپيوتر در تمامی ابعاد زندگی خود می باشيم . کافی است به اطراف خود نگاهی داشته باشيم تا به صحت گفته فوق بيشتر واقف شويم . همزمان با  گسترش استفاده از کامپيوترهای شخصی و مطرح شدن شبکه های کامپيوتری و به دنبال آن اينترنت (بزرگترين شبکه جهانی ) ، حيات کامپيوترها و کاربران آنان دستخوش  تغييرات اساسی شده است . استفاده کنندگان کامپيوتر به منظور استفاده از دستاوردها و مزايای فن آوری اطلاعات و ارتباطات ، ملزم به رعايت اصولی خاص و اهتمام جدی به تمامی مولفه های تاثير گذار در تداوم ارائه خدمات در يک سيستم کامپيوتری می باشند . امنيت اطلاعات و ايمن سازی شبکه های کامپيوتری از جمله اين مولفه ها بوده که نمی توان آن را مختص يک فرد و يا سازمان در نظر گرفت . پرداختن به مقوله امنيت اطلاعات و ايمن سازی شبکه های کامپيوتری در هر کشور ، مستلزم توجه تمامی کاربران صرفنظر از موقعيت شغلی و سنی به جايگاه امنيت اطلاعات و ايمن سازی شبکه های کامپيوتری بوده و می بايست به اين مقوله در سطح کلان و از بعد منافع ملی نگاه کرد. وجود ضعف امنيتی در شبکه های کامپيوتری و اطلاعاتی ، عدم آموزش و توجيه صحيح تمامی کاربران صرفنظر از مسئوليت شغلی آنان نسبت به جايگاه و اهميت امنيت اطلاعات ، عدم وجود دستورالعمل های لازم برای پيشگيری از نقايص امنيتی ، عدم وجود سياست های مشخص و مدون به منظور برخورد مناسب و بموقع با اشکالات  امنيتی ، مسائلی را به دنبال خواهد داشت که ضرر آن متوجه تمامی کاربران کامپيوتر در يک کشور شده و عملا" زيرساخت اطلاعاتی يک کشور را در معرض آسيب و تهديد جدی قرار می دهد .

در اين مقاله قصد داريم به بررسی مبانی و اصول اوليه امنيت اطلاعات و ايمن سازی شبکه های کامپيوتری پرداخته و از اين رهگذر با مراحل مورد نياز به منظور حفاظت کامپيوترها در مقابل حملات ، بيشتر آشنا شويم .

اهميت امنيت اطلاعات و ايمن سازی کامپيوترها

تمامی کامپيوترها از کامپيوترهای موجود در منازل تا کامپيوترهای موجود در سازمان ها  و موسسات بزرگ ، در معرض آسيب و تهديدات امنيتی می باشند .با انجام تدابير لازم و استفاده از برخی روش های  ساده می توان پيشگيری لازم و اوليه ای را خصوص ايمن سازی محيط کامپيوتری خود انجام داد.عليرغم تمامی مزايا و دستاوردهای اينترنت ، اين شبکه عظيم به همراه فن آوری های مربوطه ، دريچه ای را در مقابل تعداد زيادی از تهديدات امنيتی برای تمامی استفاده کنندگان ( افراد ، خانواده ها ، سازمان ها ، موسسات و ... ) ، گشوده است . با توجه به ماهيت حملات ، می بايست در انتظار نتايج نامطلوب متفاوتی بود( از مشکلات و مزاحمت های اندک تا از کار انداختن سرويس ها و خدمات ) .در معرض آسيب قرار گرفتن داده ها و اطلاعات حساس ، تجاوز به حريم خصوصی کاربران ، استفاده از کامپيوتر کاربران برای تهاجم بر عليه ساير کامپيوترها ، از جمله اهداف مهاجمانی است که با بهره گيری از آخرين فن آوری های موجود ، حملات خود را سازماندهی و بالفعل می نمايند . بنابراين ، می بايست به موضوع امنيت اطلاعات ، ايمن سازی کامپيوترها و شبکه های کامپيوتری، توجه جدی شده و از فرآيندهای متفاوتی در جهت مقاوم سازی آنان ، استفاده گردد .

داده ها و اطلاعات حساس در معرض تهديد

تقريبا" هر نوع تهاجم ، تهديدی است در مقابل حريم خصوصی ، پيوستگی ، اعتبار و صحت داده ها .يک سارق اتومبيل می تواند در هر لحظه صرفا" يک اتومبيل را سرقت نمايد ، در صورتی که يک مهاجم با بکارگيری صرفا" يک دستگاه کامپيوتر ، می تواند آسيب های فراوانی را متوجه تعداد زيادی از شبکه های کامپيوتری نموده و باعث بروز اشکالاتی متعدد در زيرساخت اطلاعاتی يک کشورگردد. آگاهی لازم در رابطه با تهديدات امنيـتی و نحوه حفاظت خود در مقابل آنان ، امکان حفاظت اطلاعات و داده های حساس را در يک شبکه کامپيوتری فراهم می نمايد .

ويروس ها

ويروس های کامپيوتری ، متداولترين نوع تهديدات امنيتی در ساليان اخير بوده که تاکنون مشکلات گسترده ای را ايجاد و همواره از خبرسازترين موضوعات در زمينه کامپيوتر و شبکه های کامپيوتری ، بوده اند. ويروس ها ، برنامه هائی کامپيوتری می باشند که توسط برنامه نويسان گمراه و در عين حال ماهر نوشته شده و بگونه ای طراحی می گردند که قادر به تکثير خود و آلودگی کامپيوترها بر اثر وقوع يک رويداد خاص ، باشند . مثلا" ويروس ها ئی که از آنان با نام "ماکرو ويروس " ياد می شود ، خود را به فايل هائی شامل دستورالعمل های ماکرو ملحق نموده و در ادامه ، همزمان با فعال شدن ماکرو ، شرايط لازم به منظور اجرای آنان نيز فراهم می گردد.برخی از ويروس ها بی آزار بوده و صرفا" باعث بروز اختلالات موقت در روند انجام عمليات در کامپيوتر می شوند ( نظير نمايش يک پيام مضحک بر روی صفحه نمايشگر همزمان با فشردن يک کليد خاص توسط کاربر) . برخی ديگر از ويروس ها دارای عملکردی مخرب تر بوده و می توانند مسائل و مشکلات بيشتری نظير حذف فايل ها و يا کاهش سرعت سيستم را به دنبال داشته باشند. يک کامپيوتر صرفا" زمانی آلوده به يک ويروس می گردد که شرايط و امکان ورود ويروس از يک منبع خارجی (  اغلب از طريق فايل ضميمه يک نامه الکترونيکی و يا دريافت و نصب يک فايل و يا برنامه آلوده از اينترنت ) ، برای آن فراهم گردد . زمانی که يک کامپيوتر در شبکه ای آلوده گرديد ، ساير کامپيوترها ی موجود در شبکه و يا ساير کامپيوترهای موجود در اينترنت، دارای استعدادی مناسب  به منظور مشارکت و همکاری با ويروس،خواهند بود.

برنامه های اسب تروا ( دشمنانی در لباس دوست )

برنامه های اسب تروا و يا Trojans ، به منزله ابزارهائی برای توزيع کد های مخرب می باشند . تروجان ها ، می توانند بی آزار بوده  و يا حتی نرم افزاری مفيدی نظير بازی های کامپيوتری باشند که با تغيير قيافه و با  لباسی مبدل و ظاهری مفيد خود را عرضه می نمايند. تروجان ها ، قادر به انجام عمليات متفاوتی نظير حذف فايل ها ، ارسال يک نسخه از خود به ليست آدرس های پست الکترونيکی ، می باشند. اين نوع از برنامه ها صرفا" می توانند از طريق تکثير برنامه های اسب تروا به يک کامپيوتر،دريافت فايل از طريق اينترنت و يا باز نمودن يک فايل ضميمه همراه يک نامه الکترونيکی ، اقدام به آلودگی يک سيستم نمايند.

ويرانگران

در وب سايت های متعددی از نرم افزارهائی نظير اکتيوايکس ها و يا اپلت های جاوا استفاده می گردد . اين نوع برنامه ها به منطور ايجاد انيميشن و ساير افکت های خاص مورد استفاده قرار گرفته و جذابيت و ميزان تعامل  با کاربر را افزايش می دهند . با توجه به دريافت و نصب آسان اين نوع از برنامه ها توسط کاربران ، برنامه های فوق به ابزاری مطئمن و آسان به منظور آسيب رسانی به ساير سيستم ها تبديل شده اند . اين نوع  برنامه ها که به "ويرانگران" شهرت يافته اند ، به شکل يک برنامه نرم افزاری و يا اپلت ارائه و در دسترس استفاده کنندگان قرار می گيرند . برنامه های فوق ، قادر به ايجاد مشکلات متعددی برای کاربران می باشند( از بروز اشکال دريک فايل تا ايجاد اشکال در بخش اصلی يک سيستم کامپيوتری )  .

حملات

تاکنون حملات متعددی متوجه شبکه های کامپيوتری بوده که می توان تمامی آنان را به سه گروه عمده تقسيم نمود :

         حملات شناسائی :

         در اين نوع حملات ، مهاجمان اقدام به جمع آوری و شناسائی اطلاعات با هدف تخريب و آسيب رساندن به آنان می نمايند . مهاجمان در اين رابطه از نرم افزارهای خاصی نظير Sniffer  و يا Scanner  به منظور شناسائی نقاط ضعف و آسيب پذير کامپيوترها ، سرويس دهندگان وب و برنامه ها ، استفاده می نمايند . در اين رابطه برخی توليدکنندگان ، نرم افزارهائی را با اهداف خيرخواهانه طراحی و پياده سازی نموده اند که متاسفانه از آنان در جهت اهداف مخرب نيز استفاده می شود.مثلا" به منظور تشخيص و شناسائی رمز های عبور، نرم افزارهای متعددی تاکنون طراحی و پياده سازی شده است .نرم افرارهای فوق با هدف کمک به مديران شبکه ، افراد و کاربرانی که رمز عبور خود را فراموش کرده و يا آگاهی از رمز عبور افرادی که سازمان خود را بدون اعلام رمز عبور به مدير شبکه ، ترک نموده اند،استفاده می گردند. به هر حال وجود اين نوع نرم افزارها واقعيتی انکارناپذير بوده که می تواند به منزله يک سلاح مخرب در اختيار مهاجمان قرار گيرد .

         حملات دستيابی : دراين نوع حملات، هدف اصلی مهاجمان ، نفوذ در شبکه  و دستيابی به آدرس های پست الکترونيکی ، اطلاعات ذخيره شده در بانک های اطلاعاتی و ساير اطلاعات حساس، می باشد.

         حملات از کار انداختن سرويس ها

         : در اين نوع حملات ، مهاجمان سعی در ايجاد مزاحمت  به منظور دستيابی به تمام و يا بخشی از امکانات موجود در شبکه برای کاربران مجازمی نمايند . حملات فوق به اشکال متفاوت و با بهره گيری از فن آوری های متعددی صورت می پذيرد . ارسال حجم بالائی از داده ها ی غيرواقعی برای يک ماشين متصل به  اينترنت و ايجاد ترافيک کاذب در شبکه ، نمونه هائی از اين نوع حملات می باشند.

ره گيری داده  ( استراق سمع )

بر روی هر شبکه کامپيوتری روزانه اطلاعات متفاوتی جابجا می گردد و همين امر می تواند موضوعی مورد علاقه برای مهاجمان باشد . در اين نوع حملات ، مهاجمان اقدام به استراق سمع و يا حتی تغيير بسته های اطلاعاتی در شبکه می نمايند . مهاجمان به منظور نيل به اهداف مخرب خود از روش های متعددی به منظور شنود اطلاعات ، استفاده می نمايند .

کلاهبرداری  ( ابتدا جلب اعتماد و سپس تهاجم )

کلاهبرداران از روش های متعددی به منظور اعمال شيادی خود استفاده می نمايند. با گشترش اينترنت اين نوع افراد فضای مناسبی برای اعمال مخرب خود يافته اند ( چراکه می توان به هزاران نفر در زمانی کوتاه و از طريق اينترنت دستيابی داشت ) . در برخی موارد شيادان با ارسال نامه های الکترونيکی وسوسه انگيز از خوانندگان می خواهند که اطلاعاتی خاص را برای آنان ارسال نموده و يا از يک سايت به عنوان طعمه در اين رابطه استفاده می نمايند. به منظور پيشگيری از اينگونه اعمال ، می بايست کاربران دقت لازم در خصوص درج نام ، رمز عبور و ساير اطلاعات شخصی در سايت هائی که نسبت به هويت آنان شک و ترديد وجود دارد را داشته باشند. با توجه به سهولت جعل آدرس های پست الکترونيکی ؛ می بايست به اين نکته توجه گردد که قبل از ارسال اطلاعات شخصی برای هر فرد ، هويت وی شناسائی گردد.هرگز بر روی لينک ها و يا ضمائمی که از طريق يک نامه الکترونيکی برای شما ارسال شده است ، کليک نکرده و همواره می بايست به شرکت ها و موسساتی که به طور شفاف آدرس فيزيکی و شماره تلفن های خود را ذکر نمی نمايند ، شک و ترديد داشت .

نامه های الکترونيکی ناخواسته

از واژه Spam  در ارتباط با نامه های الکترونيکی ناخواسته و يا پيام های تبليغاتی ناخواسته ، استفاده می گردد. اين نوع از نامه های الکترونيکی ، عموما" بی ضرر بوده و صرفا" ممکن است مزاحمت و يا دردسر ما را بيشتر نمايند . دامنه اين نوع مزاحمت ها می تواند از به هدر رفتن زمان کاربر تا هرز رفتن فضای ذخيره سازی بر روی کامپيوترهای کاربران را شامل می شود .

ابزارهای امنيتی

پس از آشنائی با تهديدات، می توان تمهيدات امنيتی لازم در خصوص پيشگيری و مقابله با آنان را انجام داد. بدين منظور می توان از فن آوری های متعددی نظير آنتی ويروس ها و يا فايروال ها ، استفاده بعمل آورد .

نرم افزارهای آنتی ويروس

نرم افزارهای آنتی ويروس ، قادر به شناسائی و برخورد مناسب با اکثر تهديدات مربوط به ويروس ها می باشند.( مشروط به اينکه اين نوع نرم افزارها به صورت منظم بهنگام شده و بدرستی پشتيبانی گردند). نرم افزارهای آنتی ويروس درتعامل اطلاعاتی با شبکه ای گسترده از کاربران بوده و در صورت ضرورت  پيام ها و هشدارهای لازم در خصوص ويروس های جديد را اعلام می نمايند. بدين ترتيب ، پس از شناسائی يک ويروس جديد ، ابزار مقابله با آن سريعا" پياده سازی و در اختيار عموم کاربران قرار می گيرد. با توجه به طراحی و پياده سازی ويروس های متعدد در سراسر جهان و گسترش سريع آنان از طريق اينترنت ، می بايست بانک اطلاعاتی ويروس ها  بر اساس فرآيندی مشخص و مستمر ، بهنگام گردد .

سياست های امنيتی

سازمان های بزرگ و  کوچک نيازمند ايجاد سياست های امنيتی لازم در خصوص استفاده از کامپيوتر و ايمن سازی اطلاعات و شبکه های کامپيوتری می باشند. سياست های امنيتی ، مجموعه قوانين لازم به منظور استفاده از کامپيوتر و شبکه های کامپيوتری بوده که در آن وظايف تمامی کاربران دقيقا" مشخص و در صورت ضرورت ، هشدارهای لازم به کاربران در خصوص استفاده از منابع موجود در شبکه داده می شود . دانش تمامی کاربرانی که به تمام و يا بخشی از شبکه دستيابی دارند ، می بايست به صورت منظم و با توجه به سياست های تدوين يافته ، بهنگام گردد ( آموزش مستمر و هدفمند با توجه به سياست های تدوين شده ) .

 

رمزهای عبور

هر سيستم کامپيوتری می بايست دارای ايمنی مناسبی در خصوص رمز های عبور باشد . استحکام رمزهای عبور ، ساده ترين و در عين حال متداولترين روش به منظور اطمينان از اين موضوع است که صرفا" افراد تائيد شده و مجاز قادر به استفاده از کامپيوتر و يا بخش های خاصی از شبکه می باشند . فراموش نکنيم که زيرساخت های امنيتی ايجاد شده ، در صورتی که کاربران دقت لازم در خصوص مراقبت از رمزهای عبور خود را نداشته باشند ، موثر نخواهد بود ( خط بطلانی بر تمامی تلاش های انجام شده) . اکثر کاربران در زمان انتخاب رمز عبور، از اعداد و يا کلماتی استفاده نمايند که بخاطر آوردن آنان ساده باشد( نظير تاريخ تولد ، شماره تلفن ).برخی ديگر از کاربران علاقه ای به تغيير منظم رمزهای عبور خود در مقاطع زمانی خاصی نداشته و همين امر می تواند زمنيه تشخيص رمزهای عبور توسط مهاجمان را فراهم نمايد.

در زمان تعريف رمز عبور می بايست تمهيدات لازم در خصوص استحکام و نگهداری مطلوب  آنان انديشيده گردد:

         حتی المقدور سعی گردد از رمز های عبور فاقد معنی خاصی استفاده گردد .

         به صورت منظم و در مقاطع زمانی مشخص شده ، اقدام به تغيير رمزهای عبور گردد .

         عدم افشای رمزهای عبور برای سايرين 

فايروال ها

فايروال ، راه حلی سخت افزاری و يا نرم افزاری به منظور تاکيد ( اصرار ) بر سياست های امنيتی می باشد .يک فايروال نظير قفل موجود بر روی يک درب منزل  و يا بر روی درب يک اطاق درون منزل می باشد . بدين ترتيب صرفا" کاربران تائيد شده (آنانی که دارای کليد دستيابی می باشند)  ، امکان ورود به سيستم را خواهند داشت . فايروال ها دارای  فيلترهای از قبل تعبيه شده ای بوده که امکان دستيابی افراد غير مجاز به منابع سيستم  را سلب می نمايند .

رمزنگاری

فن آوری رمزنگاری ، امکان مشاهده ، مطالعه و تفسير پيام های ارسالی توسط افراد غير مجاز را سلب می نمايد . از رمزنگاری به منظور حفاظت داده ها در شبکه های عمومی نظير اينترنت استفاده می گردد . در اين رابطه از الگوريتم های پيشرفته رياضی به منظور رمزنمودن پيام ها و ضمائم مربوطه ، استفاده می شود.

 

چند نکته اوليه در خصوص ايمن سازی اطلاعات و شبکه های کامپيوتری

         پذيرش مسئوليت به عنوان يک شهروند سايبر

        

در صورتی که از اينترنت استفاده می نمائيد ، شما به عنوان عضوی از جامعه جهانی و يا شهروند سايبر، محسوب شده و همانند يک شهروند معمولی ، دارای مسئوليت های خاصی بوده  که می بايست پذيرای آنان باشيم .

         استفاده از نرم افزارهای آنتی ويروس

        

يک ويروس کامپيوتری ، برنامه ای است که می تواند به کامپيوتر شما نفوذ کرده و صدمات فراوانی را باعث گردد . نرم افزارهای آنتی ويروس به منظور حفاظت اطلاعات و کامپيوترها در مقابل ويروس های شناخته شده ، طراحی شده اند . با توجه به اين که روزانه شاهد عرضه ويروس های جديد می باشيم ، می بايست برنامه های آنتی ويروس به صورت منظم و مرتب بهنگام گردند .

         عدم فعال نمودن نامه های الکترونيکی ارسال شده توسط منابع نامشخص و گمنام

نامه های الکترونيکی ارسالی توسط منابع ناشناس را می بايست همواره حذف نمود. به فايل هائی که به عنوان ضميمه همراه يک نامه الکترونيکی ارسال می گردند،  توجه گردد. حتی در صورتی که اين نوع از نامه های الکترونيکی را از طريق دوستان و آشنايان خود دريافت می نمائيد ( خصوصا" اگر دارای انشعاب exe . باشند.) . برخی فايل ها مسئوليت توزيع ويروس ها را برعهده داشته و می توانند باعث بروز اشکالات فراوانی نظير حذف دائم فايل ها و يا بروز اشکال در يک وب سايت گردند. هرگز نمی بايست اقدام به فوروارد نمودن نامه های الکترونيکی برای ساير کاربران قبل از حصول اطمينان از ايمن بودن آنان نمود .

         از رمزهای عبوری که تشخيص  آنان مشکل می باشد ، استفاده نموده و آنان را محرمانه نزد خود نگه داريد

        

هرگز رمزهای عبور خود را بر  روی کاغذ ننوشته و آنان را به کامپيوتر نچسبانيد! . تعداد زيادی از کاربران کامپيوتر دقت لازم در خصوص نگهداری رمز عبور خود را نمی نمايند و همين امر می تواند مشکلات متعددی را متوجه آنان ، نمايد . رمزهای عبوری که تشخيص و يا حدس آنان آسان است ، گزينه های مناسبی در اين رابطه نمی باشند . مثلا" در صورتی که نام شما Ali می باشد ، هرگز رمز عبور خود را با همين نام در نظر نگيريد . در فواصل زمانی مشخص و به صورت مستمر ، اقدام به تغيير رمز عبور خود نمائيد . هرگز رمز عبور خود را در اختيار اشخاص ديگری قرار ندهيد.برای انتخاب يک رمز عبور از ترکيب اعداد ، حروف و علائم استفاده گردد تا حدس و رديابی آنان توسط افراد غيرمجاز ، مشکل شود .

         استفاده از فايروال ها به منظور حفاظت کامپيوترها

        

نصب و پيکربندی يک فايروال کار مشکلی نخواهد بود. يک فايروال ، امکان دستيابی و کنترل سيستم توسط مهاجمان را سلب نموده و پيشگيری لازم در خصوص سرقت اطلاعات موجود بر روی کامپيوتر را انجام می دهد .

         Back-up گرفتن منظم از اطلاعات ارزشمند موجود بر روی کامپيوتر

در فواصل زمانی مشخص و بر اساس يک برنامه خاص از اطلاعات ارزشمند موجود بر روی کامپيوتر backup گرفته شده و آنان را بر روی رسانه های ذخيره سازی نظير لوح های فشرده ذخيره نمود .

         دريافت و نصب منظم Patch های  بهنگام شده مربوط به نقايص امنيتی

        

نقايص امنيتی به صورت مرتب در سيستم های عامل و برنامه های کاربردی کشف می گردند . شرکت های توليد کننده نرم افزار ، به سرعت اقدام به ارائه نسخه های بهنگام شده ای با نام Patch نموده که کاربران می بايست آنان را دريافت و بر روی سيستم خود نصب نمايند.در اين رابطه لازم است به صورت منظم از سايت های مربوط به توليد کنندگان نرم افزار بازديد بعمل آمده تا در صورت ارائه Patch ، آن را دريافت و بر روی  سيستم نصب نمود .

         بررسی و ارزيابی امنيتی کامپيوتر 

        

وضعيت  امنيتی کامپيوتر خود را در مقاطع زمانی مشخصی ، بررسی نموده و  در صورتی که خود نمی توانيد اين کار را انجام دهيد از کارشناسان ذيربط استفاده نمائيد .

         غير فعال نمودن ارتباط با اينترنت در زمان عدم استفاده      

اينترنت نظير يک جاده دو طرفه است . شما اطلاعاتی را دريافت و يا ارسال می نمائيد. غيرفعال نمودن ارتباط با اينترنت در مواردی که به آن نياز نمی باشد، امکان دستيابی سايرين به کامپيوتر شما را سلب می نمايد.

         عدم اشتراک منابع موجود بر روی کامپيوتر با کاربرانی که هويت آنان نامشخص است    

سيستم عامل نصب شده بر روی يک کامپيوتر، ممکن است امکان به اشتراک گذاشتن برخی منابع موجود نظير فايل ها را با ساير کاربران شبکه ، فراهم نمايد. ويژگی فوق ، می تواند زمينه بروز تهديدات امنيتی خاصی را فراهم نمايد . بنابراين می بايست نسبت به غيرفعال نمودن ويژگی فوق ، اقدام لازم صورت پذيرد.

 

            امنیت پایگاه داده و اطلاعات (Data Security) چیست؟

امروزه گسترش استفاده از سیستم های کامپیوتری، سایت های اینترنتی و برنامه های کاربردی موجب گردیده که مباحث مربوط به امنیت پایگاه داده دارای اهمیت بسیار بالایی باشد و در نتیجه با توجه به نقش اطلاعات به عنوان کالای با ارزش در تجارت امروز، لزوم حفاظت صحیح از آن ضروری تر به نظر می رسد.

برای رسیدن به این هدف هر سازمان بسته به ارزش داده های خود، نیازمند پیاده سازی یک سیاست کلی جهت مدیریت امنیت داده ها می باشد.

 

امنیت اطلاعات تهدیدی بزرگ برای سازمانها

                         

باید به این نکته توجه داشته باشید که در بسیاری از موارد هزینه افشای اطلاعات و داده ها جبران ناپذیر است و در بسیاری موارد دیگر سازمان را متحمل ضرر های بسیاری می کند.

از آنجایی که مسائل امنیتی اغلب به سادگی دیگر بخشهای فن آوری اطلاعات، توجیه اقتصادی قابل لمس ندارند، بنابراین این امر در بسیاری از موارد ( به طور عام در کشور ما) مورد توجه مدیران ارشد سازمان قرار گرفته نمی شود.

بحث امنیت اطلاعات و به طور خاص مدیریت امنیت پایگاه های داده نیازمند مهارتهای خاص همچون راهبری امنیت پایگاه داده می باشد. متاسفانه به دلیل گستردگی دانش های فوق و عدم اولویت امنیت در سایر فعالیتهای فناوری، این بحث از نظر مدیران فناوری اطلاعات و راهبران پایگاه داده به میزان لازم مورد توجه قرار گرفته نمی شود.

این موضوع، کلیه فعالیتهای تجاری سازمان را همیشه با یک ریسک بزرگ روبرو می سازد.

 

 

مفاهیم اصلی امنیت اطلاعات

امنیت داده ها به چهار مفهوم کلی قابل تقسیم است :

 

محرمانگی(Confidentially)

 

تمامیت (Integrity)

 

اعتبار و سندیت(Authenticity)

 

دسترس پذیری (Availability)

 

 

 

محرمانگی(Confidentially)

محرمانگی اطلاعات یعنی حفاظت از اطلاعات در مقابل دسترسی و استفاده غیر مجاز . داده های محرمانه تنها توسط افراد مجاز قابل دسترسی می باشند.

 

 

تمامیت (Integrity)

در بحث امنیت اطلاعات، تمامیت به این معناست که داده ها نمی توانند توسط افراد غیر مجاز ساخته، تغییر و یا حذف گردند. تمامیت ، همچنین یکپارچگی داده ها که در بخشهای مختلف پایگاه داده ذخیره شده اند را تحت الشعاع قرار می دهد.

 

 

اعتبار و سندیت(Authenticity)

 

اعتبار و سندیت دلالت بر موثق بودن داده ها و نیز اصل بودن آنها دارد. به طریقی که اطمینان حاصل شود داده ها کپی یا جعلی نیستند.

 

 

دسترس پذیری(Availability)

 

 

دسترس پذیری به این معنی می باشد که داده ها، پایگاه های داده و سیستمهای حفاظت امنیت، در زمان نیاز به اطلاعات در دسترس باشند.

 

 


مطالب مشابه :


مفاهیم امنیت اطلاعات

امنیت اطلاعات خود آگاه نیستند و به همین دلیل در پی راه‌های مناسب جهت تضمین امنیت داده‌ها




امنیت اطلاعات در شبکه های کامپیوتری

IT-Student - امنیت اطلاعات در شبکه های کامپیوتری - مطالب it - IT-Student




مدیریت امنیت اطلاعات

امنیت پایگاه داده و اطلاعات (Data Security) چیست؟ امروزه گسترش




مقاله ای با موضوع: "طراحی امنیت پایگاه داده"

کارشناسی ارشد مهندسی نرم افزار - مقاله ای با موضوع: "طراحی امنیت پایگاه داده" - مقالات و مباحث




امنیت اطلاعات چیست ؟

امنیت اطلاعات دربرگیرنده سیاست سازمان در امنیت it ،امنیت اینترنت،امنیت داده ها و غیره است




رمز نگاری : راه حلی برای حفظ امنیت داده ها

مقاله - رمز نگاری : راه حلی برای حفظ امنیت داده ها -




مرکز داده (بخش اول)

راهکارهای شبکه و امنیت - مرکز داده (بخش اول) - مباحث کلی در زمینه شبکه و امنیت شامل: لینوکس




برچسب :