امتیاز موضوع:
  • 0 رأی - میانگین امتیازات: 0
  • 1
  • 2
  • 3
  • 4
  • 5

امنیت در فضای مجازی اینترنت

#1
جستار حاضر بر آن است تا به برخی از رایج ترین تهدیدات امنیتی که می توانند منجر به نقض ملاحظات امنیتی شوند و نیز اقدامات ساده ای که این احتمال را تا حد زیادی کاهش می دهند اشاراتی داشته باشد. منظور از «تهدید امنیتی»، «مخاطره» ای است که می تواند با بهره برداری از یک «آسیب پذیری» منجر به نقض «محرمانگی»، «دسترس پذیری»، و «صحت» داده ها گردد. در کنار تلاش برای پیشگیری از «رخدادهای امنیتی»، باید آمادگی لازم برای مقابله و خنثی سازی آثار تهدیدات امنیتی را نیز مد نظر قرار داد، چرا که دستیابی به شرایط امنیت مطلق امکان پذیر نیست و نمی توان جلوی تمام رخدادهای امنیتی را گرفت.


همچنین باید توجه داشت که در شرایط نقض امنیت، بسیاری از قربانیان هیچگاه و یا دست کم تا مدت ها از این مساله آگاه نمی شوند، چون مهاجمین جز در موارد خاص معمولا فعالیت خود را از چشم قربانیان پنهان نگاه می دارند تا بدون مزاحمت بتوانند دسترسی غیرمجاز خود را حفظ کنند. بنابراین پس از کشف یک حمله امنیتی، ممکن است متوجه شویم که مهاجم مدت ها است که مشغول سوء استفاده از منابعی است که به آن ها دسترسی غیرمجاز پیدا کرده است. سوء استفاده ای که مهاجم می تواند از یک نفوذ موفقیت آمیز انجام دهد فقط این نیست که با دریافت شماره حساب و رمز اینترنتی، حساب بانکی قربانی خود را خالی کند، بلکه جذابیت این کار برای او می تواند موارد مختلف دیگری نظیر دسترسی به اطلاعات محرمانه و ذی قیمت (نظیر مساله ویکی لیکس)، استفاده از منابع محاسباتی قربانیان مختلف برای سازماندهی یک حمله بزرگ تر نظیر حمله منع سرویس گسترده و یا کسب سود از طریق جمع آوری ایمیل های معتبر و ارسال هرزنامه برای آن ها باشد.
 
رخدادهای امنیتی می توانند حاصل یک رفتار نادرست، یک فرهنگ کاری غلط، دانش و آگاهی نازل، یک فرآیند ناقص یا نادرست، یک ابزار ناکارآمد، دنبال نشدن صحیح یک رویه امنیتی، و مواردی از این دست باشند. گستردگی مخاطرات و تهدیدها و همچنین به دلیل ضرورت وجود رویه یکپارچه همکاری میان عوامل مختلف علیرغم تغییرات دائمی محیط باعث می شود که نتوان دستیابی به سطح مطلوب امنیتی را یک «پروژه» دانست، بلکه برای افزایش ماندگاری سطح مطلوب امنیتی باید فرآیندی به وجود آورد تا به طور مستمر ملاحظات امنیتی را بررسی و بر اساس آخرین تغییرات محیط روزآمدسازی نماید. هرچند چارچوب های عمومی و استانداردهای امنیتی نظیر ISO 27001 و پیش از آن BS 7799 با معرفی «سیستم مدیریت امنیت اطلاعات» با ارائه کنترل های مختلف به مساله امنیت در سطوح مختلف پرداخته اند، نقص های فنی و یا خطاهای کاربران هیچکدام تنها علت نقض امنیت فناوری اطلاعات نیستند؛ لذا تامین امنیت در فناوری اطلاعات، آمیزه ای از فناوری، عامل انسانی، و ابزار است، بروز نقص در هر یک از حلقه های این زنجیره می تواند منجر به نقض ملاحظات امنیتی گردد.
 
به عنوان مثال هر یک از شرایط زیر را به طور مستقل در نظر بگیرید:
- هنگام ورود رمز در دستگاه خودپرداز، یکنفر از بالای شانه شما رمز را می خواند؛ همکار مجاور بعد از مدتی توجه به صفحه کلید هنگام وارد کردن رمز عبور توسط شما آن را متوجه می شود؛ و یا کاغذی که رمز خود را روی آن نوشته اید به دست شخص دیگری می افتد.

- سیستم رایانه شما آلوده به بدافزارها و ابزارهای جاسوسی (نظیر ثبات های صفحه کلید، درب های مخفی، و یا اسب های تراوا) شده و هر آنچه به عنوان شناسه کاربری و رمز عبور وارد سیستم می کنید (به علاوه سایر فعالیت های شما) در اختیار فرد مهاجم قرار می گیرد.

- شما مطلب محرمانه و مهمی را برای فرد مورد نظر خود ارسال می کنید، اما بعد از مدتی متوجه می شوید که محتوای پیام شما در همان زمان انتقال به دست افرادی رسیده که نباید از آن مطلع می شده اند.

- شما قصد ورود به خدمات آنلاین یک سرویس دهنده نظیر یاهو یا جی میل را دارید، اما بعد از وارد کردن آدرس این سرویس دهنده ها بدون اینکه شما متوجه شوید به سرویس دهنده دیگری متصل می شوید که شمایل صفحه ورود شناسه کاربری و رمز عبور سرویس دهنده مورد نظر شما را کپی برداری کرده و شما نیز بدون اطلاع از این موضوع، شناسه کاربری و رمز عبور خود را در اختیار مهاجمین قرار می دهید.

- شما پیام مهمی از طرف یکی از افراد مورد اعتماد خود دریافت می کنید، اما پس از مدتی متوجه می شوید که او واقعا چنین پیامی برای شما ارسال نکرده است؛ یا از طرف بانک برای شما نامه ای می آید مبنی بر اینکه «همان طور که درخواست کرده بودید مبلغ ... بابت ... به ... پرداخت شد» در حالی که شما اساسا چنین درخواستی نداشته اید.

- شما به عنوان یکی از مدیران سازمان وارد جلسه ای با کارکنان می شوید، و ناگهان مشاهده می کنید که وایت برد پر است از مطالب جلسه/جلسات قبلی که بسیاری محتویات آن باید محرمانه بمانند، و یا اینکه یادداشت های افراد حاضر در جلسات قبلی هنوز روی میز باقی مانده است.

- برای اینکه می خواهید یکی از دیسک های سخت خود را در اختیار شخص دیگری بگذارید، فایل های شخصی خود را از روی آن حذف می کنید، اما پس از مدتی متوجه می شوید که فرد یادشده موفق شده به محتویات فایل های شما دسترسی پیدا کند.

- هنگام رخداد یک سانحه، متوجه می شوید که نسخه ای از آخرین اطلاعات به صورت پشتیبان وجود ندارد چون رویه ای برای این کار نداشته اید؛ و یا اینکه برای بازیابی اطلاعات به دیسک حاوی آخرین نسخه پشتیبان از اطلاعات مراجعه می کنید، اما اطلاعات قابل بازیابی نیستند.

- شما وارد سیستم اطلاعات سازمان می شوید، اما اطلاعات ذخیره شده را متفاوت از آنچه دفعه قبل بود می یابید و از طرف دیگر اطمینان دارید که محتویات قبلی داده ها صحیح بوده اند و کسی جز شما مجوز رسمی دسترسی به آن ها را نداشته است.

- یک روز صبح که به محل کار می آیید مشاهده می کنید که سرویس دهنده اصلی سازمان به سرقت رفته است؛
و...
 
هدف از ذکر این موارد اشاره به گستردگی موارد نقض امنیت بود، چه اینکه مثال های مختلف از شرایط نقض امنیت به این چند مورد محدود نمی شوند و خود می توانند سیاهه ای تمام ناشدنی را به وجود آورند. مثال هایی که ذکر شد، هر کدام می توانند به نوعی نقض ملاحظات امنیتی محسوب می شوند. شاید تشخیص نقض امنیت که به عبارت رایج تر، بخشی از آن «نقض حریم خصوصی» هم هست برای اشخاص و افراد حقیقی چندان دشوار نباشد (هرچند می تواند بسته به سلیقه افراد متفاوت باشد)، اما در سطح اشخاص حقوقی و در سطح یک سازمان، برای تشخیص اینکه نقض امنیت اتفاق افتاده یا خیر، انواع دارائی ها و تهدیدات امنیتی مرتبط با هر یک باید شناسایی و دسته بندی شده باشند. بنابراین می توان مدیریت امنیت فناوری اطلاعات را نوعی چارچوب عمومی برای مدیریت مخاطرات امنیتی به حساب آورد که طی آن تهدیدات امنیتی شناسایی و ارزیابی می شوند، بر اساس احتمال رخداد و آثار زیانبار دسته بندی می گردند، برای هر دسته اقداماتی جهت کاهش احتمال وقوع و کاهش دامنه آثار زیانبار پیش بینی و انجام می گردد، و برای هر دسته طرحی نیز برای ترمیم خسارت های وارده و بازگشت به شرایط عادی فراهم می گردد. (معمولا در چارچوب های استانداردی که در حوزه فناوری اطلاعات وجود دارد، مجموعه این اقدامات را تحت عنوانی نظیر طرح تداوم کسب و کار و یا طرح ترمیم بحران دسته بندی می کنند).

بنابراین برای افزایش احتمال در امان بودن از تهدیدات امنیتی (همان طور که گفته شد امنیت صد در صد وجود ندارد)، باید تمام حلقه های زنجیره امنیتی را تقویت کنیم. به عنوان مثال در مورد خودمان، باید علاوه بر کسب اطمینان از تمیز بودن سیستم عامل و نرم افزارهای کاربردی رایانه مورد استفاده، از یک نرم افزار ضد ویروس استفاده و هر از چند گاه آن را به روزرسانی کنیم، از اینکه کسی هنگام ورود رمز عبور، صفحه کلید را زیر نظر نگرفته اطمینان حاصل نماییم، روش های ایمن اتصال به سایت های سرویس دهنده ها را بدانیم، وصله های امنیتی که هر از چند گاه منتشر می شوند را روی سیستم نصب کنیم، برای تبادل پیام از رمزنگاری استفاده کنیم، اطلاعات طبقه بندی شده را در دسترس عموم قرار ندهیم و هنگام حذف فایل های حساس از روش های غیرقابل بازیابی استفاده کنیم، اتصال به انباره های اطلاعاتی را محدود به ایستگاه های کاری خاص و شرایط ویژه نماییم، از اطلاعات حساس پشتیبان امن تهیه کنیم و آن را در جایی ایمن نگهداری نماییم، و علاوه بر همه این ها، کاری کنیم که این ملاحظات همچنان پاسخگوی نیاز امنیتی ما باشند (مثلا در خصوص سیستم عامل، برای اطمینان از تمیز ماندن آن باید بدانیم که مجاز نیستیم فایل های اجرایی را از منابع نامطمئن اینترنتی دریافت کنیم و روی سیستم اجرا نماییم).

اما همان طور که مشاهده می شود، فهرست جنبه هایی که باید برای تامین سطح مناسبی از امنیت برای خودمان مدنظر قرار دهیم فهرست نسبتا بلندی است که نمی توان برای هر اقدامی، یک بار آن را مرور کرد. یک راهکار در این شرایط این است که «رفتار ایمن» را در ناخودآگاهمان نهادینه کنیم و برای کارهایی که از حساسیت بیشتری برخوردارند، از رویه های تامینی که پیش تر تهیه کرده ایم استفاده نماییم. از سوی دیگر وقتی برای تضمین سطحی از امنیت برای خودمان یک شخصیت حقیقی چنین سیاهه ای از ملاحظات را پیش رو داریم که هنوز ناقص است و نیاز به تکمیل دارد ناگفته پیدا است که تضمین سطحی مطلوب از امنیت برای یک بنگاه تجاری ضرورتا باید در پی فرآیندها و چارچوب های معتبر انجام گیرد تا نتیجه مطلوب را در پی داشته باشد.
پاسخ
آگهی


[-]
به اشتراک گذاری/بوکمارک (نمایش همه)
google Facebook cloob Twitter
برای ارسال نظر وارد حساب کاربری خود شوید یا ثبت نام کنید
شما جهت ارسال نظر در مطلب نیازمند عضویت در این انجمن هستید
ایجاد حساب کاربری
ساخت یک حساب کاربری شخصی در انجمن ما. این کار بسیار آسان است!
یا
ورود
از قبل حساب کاربری دارید? از اینجا وارد شوید.

موضوعات مرتبط با این موضوع...
Earth ベآموزش امنیت شبکه های کامپیوتریプ
  امنیت سایت وردپرس – آیا وردپرس امن است؟ ببینیم داده‌ها چه می‌گویند
  درخواست نویسندگی در بخش امنیت و روش های مقابله با هـک
  اصطلاحات Hک و امنیت در دنیای سایبری
  امنیت اطلاعات چیست؟
  آیا می دانید تفاوت http با https در امنیت اطلاعات چیست ؟
  اینترنت اکسپلورر اطلاعات کاربران را لو می‌دهد
  اینترنت رایگان بستر مناسب سرقت اطلاعات بانکی
  بدون اتصال به اینترنت هم Hک می شوید
  عادتهای بدی که امنیت شما را به خطر می اندازند

پرش به انجمن:


کاربرانِ درحال بازدید از این موضوع: 1 مهمان