Type

جستجو در محصولات

گالری پروژه های افتر افکت
گالری پروژه های PSD
جستجو در محصولات


تبلیغ بانک ها در صفحات
ربات ساز تلگرام در صفحات
ایمن نیوز در صفحات
.. سیستم ارسال پیامک ..
ضرورت توجه به امنيت اطلاعات ( بخش جهارم )
-(1 Body) 
ضرورت توجه به امنيت اطلاعات ( بخش جهارم )
Visitor 639
Category: دنياي فن آوري
استراتژي "دفاع در عمق " يك فريمورك امنيتي مناسب براي حفاظت و نگهداري ايمن زيرساخت فن آوري اطلاعات يك سازمان است . در اين مدل،زير ساخت فن آوري اطلاعات يك سازمان به عنوان مجموعه اي از لايه هاي مرتبط به هم در نظر گرفته شده و به منظور حفاظت و ايمن سازي هر لايه از مكانيزم ها و روش هاي حفاظتي خاصي استفاده مي گردد .

بررسي لايه سياست ها ، رويه ها و اطلاع رساني

در اولين لايه مدل امنيتي "دفاع در عمق " ، سياست ها و رويه هاي امنيتي تعريف و تمامي كاربران صرفنظر از موقعيت شغلي خود مي بايست با آنان آشنا شوند . با توجه به جايگاه برجسته اين لايه و تاثير آن بر روي عملكرد ساير لايه ها ، مي بايست با حوصله و دقت بيشتري اين لايه بررسي و قبل از هر چيز سياست هاي امنيتي در يك سازمان تعريف گردد .
در زمان تعريف سياست هاي امنيتي مي بايست به موارد زير توجه گردد :
• تعريف عناصر زيادي نظير : استفاده قابل قبول از منابع موجود ، دستيابي از راه دور ، حفاظت اطلاعات ، تهيه نسخه هاي پشتيبان از اطلاعات ، امنيت پيرامون شبكه ، ايمن سازي و ايمن نگهداشتن دستگاه ها و كامپيوترهاي ميزبان و ...
• يك سياست امنيتي مناسب مي بايست قادر به برقراري ارتباط مناسب با كاربران بوده و با ارائه يك ساختار اساسي آنان را در زمان بروز يك رويداد و يا مشكل امنيتي كمك نمايد .
• تدوين رويه هاي مناسب به منظور برخورد با يك مشكل امنيتي . در اين رويه ها مي بايست محدوده مسئوليت ها به دقت مشخص گردد .
• تعيين دقيق نوع و مكان ذخيره سازي اطلاعات مهمي كه براي يك سازمان ارزش حياتي دارند .
• مشخص نمودن اقداماتي كه مي بايست پس از بروز يك مشكل امنيتي انجام شود.
• سياست هاي امنيتي به عنوان اصول عملياتي رويه هاي امنيتي مطرح مي باشند . بنابراين ، مي بايست به اندازه كافي عمومي باشند تا بتوان آنان را با استفاده از فن آوري ها و پلت فرم هاي موجود پياده سازي نمود .
• سياست هاي امنيتي مي بايست اطلاعات لازم براي كارشناسان حرفه اي فن آوري اطلاعات در خصوص نحوه پياده سازي كنترل هاي امنيتي به منظور حمايت از سياست هاي امنيتي را ارائه نمايند .
• محدوده سياست هاي امنيتي براي يك سازمان ، به اندازه و پيچيدگي هاي آن بستگي دارد .
• رويه هاي امنيتي نحوه انجام عملياتي خاص بر روي دستگاه هائي بخصوص نظير نحوه پيكربندي يك سرويس دهنده وب جديد را مشخص مي نمايند .
• اطلاع رساني يك عنصر امنيتي است كه اغلب به فراموشي سپرده مي شود . اكثر كاربران فعاليت هاي روزمره خود را با ناديده گرفتن مسائل امنيتي انجام مي دهند . بدون وجود آموزش هاي لازم ، اغلب پرسنل در ابتدا سعي مي نمايند كار خود را بگونه اي كه راحتر مي باشند انجام دهند و در مرحله بعد به امنيت انجام كار فكر كنند . تدوين سياست ها و رويه هاي امنتيي بدون اين كه كاربران نسبت به آنان آگاهي داشته باشند ، نتايج مثبت و مشهودي را در زمينه ايجاد يك سيستم ايمن به دنبال نخواهد داشت .

تهديدات لايه سياست ها ، رويه ها و اطلاع رساني

• بسياري از كاربران قوانين امنيتي را به عنوان يك ضرورت در نظر نگرفته و از آنان تبعيت نمي نمايند . اينگونه كاربران متاسفانه نسبت به مسائل امنيتي شناخت مناسبي نداشته و از تبعات زيانبار آن آگاهي ندارند . بديهي است زماني كه كاربران نسبت به اهميت امنيت اطلاعات شناخت مناسبي را نداشته باشند ، نمي توانند از رمزهاي عبور خود حفاظت نموده و يا از اطلاعات سازمان خود محافظت نمايند (نظير پيكربندي سخت افزارها و يا نرم افزارها با رعايت مسائل امنيتي )
• تعداد زيادي از حملات مبتني بر " مهندسي اجتماعي " است . اين نوع حملات از مزاياي ضعف امنيت و عدم رعايت نكات ايمني در زندگي روزمره انسان ها استفاده مي نمايند . يك مهاجم مي تواند زمان زيادي را در محل كار و يا اوقات فراغت خود صرف نمايد تا بتواند اعتماد يك كاربر را جلب نمايد . زماني كه يك مهاجم سوالاتي را مطرح و پاسخ آنان را دريافت مي نمايد ، با قرار دادن اطلاعات فوق در كنار يكديگر و آناليز آنان مي تواند به اطلاعات اررشمندي دست يابد كه از آنان به منظور برنامه ريزي حملات استفاده نمايد .
دو نمونه از حملات مبتني بر مهندسي اجتماعي :
يك مهاجم با مسئول فني يك مركز ارائه دهنده خدمات اينترنت (ISP ) تماس مي گيرد و در مدت زمان مكالمه تلفني با وي به اين نكته اشاره مي نمايد كه داراي يك اتومبيل است كه قصد دارد آن را با قيمت مناسبي بفروشد . مسئول فني ISP نسبت به خريد اتومبيل اظهار تمايل مي نمايد . مهاجم به وي پيشنهاد مي نمايد كه يك mail را كه حاوي تصوير اتومبيل است براي وي ارسال خواهد كرد . مهاجم ، در مقابل ارسال تصوير اتومبيل ( به عنوان يك فايل ضميمه ) يك برنامه مخرب از نوع backdoor را به همراه email براي مسئول فني ISP ارسال مي نمايد . زماني كه مسئول فني ISP نامه را دريافت و فايل ضميمه را فعال مي نمايد ، برنامه مخرب ارسالي اجراء و يك حفره امنيتي را در بطن شبكه ISP ايجاد مي نمايد.
يك مهاجم مي تواند اسامي كليدي پرسنل يك سازمان را از طريق تماس با واحد مربوطه بدست آورد . در ادامه وي طي تماس با محل كار و يا منزل و شنيدن پيام دستگاه پيام گير آنان از اين موضوع آگاه مي گردد كه كدام مدير در خارج از شهر مي باشد . در ادامه ، مهاجم با مراجعه به سازمان مربوطه وانمود مي نمايد كه كليد خود را جا گذاشته است تا بتواند وارد ساختمان گردد . پس از ورود مهاجم ( كه ممكن است از كاركنان همان سازمان باشد ) به ساختمان اصلي سازمان مورد نظر ، وي وارد دفتر كار پرسنلي مي گردد كه در خارج از شهر مي باشد و بدون نگراني كامپيوتر وي را بررسي و با بكارگيري انواع نرم افزارهاي موجود تلاش مي نمايد كه به اطلاعات موجود بر روي كامپيوتر دستيابي نمايد .

حفاظت لايه سياست ها ، رويه ها و اطلاع رساني

• براي مقابله با انواع تهديدات ، مي بايست سياست ها و رويه هاي امنيتي به صورت واضح تدوين ، پياده سازي و توسط تمامي پرسنل بكار گرفته شوند . هر فرآيند و يا عملياتي كه در خصوص سياست هاي امنيتي تعريف مي گردد ، مي بايست داراي دستورالعمل هاي مستند و روشني باشد .
• پرسنل سازمان مي بايست نسبت به سياست ها و رويه هاي امنيتي آموزش ببينند . آموزش امنيت يك امر ضروري است تا اين اطمينان حاصل گردد كه كاربران نسبت به كارهائي كه مي بايست در راستاي تامين سياست ها و رويه هاي امنيتي انجام دهند، توجيه و آنان را رعايت مي نمايند . نحوه آموزش مي بايست بگونه اي باشد كه تصويري واقعي از جايگاه و اهميت امنيت اطلاعات را براي كاربران تشريح تا آنان نياز به امنيت را همواره و در تمامي سطوح احساس و به آن پايبند باشند .
• يك سياست امنيتي تركيبي از خواسته ها و فرهنگ يك سازمان است كه متاثر از اندازه و اهداف يك سازمان مي باشد . برخي سياست ها ممكن است به تمامي سايت ها اعمال گردد و برخي ديگر ممكن است در رابطه با محيط هائي خاص بكار گرفته شود . يك سياست امنيتي مي بايست سطح كنترل را با سطح بهره وري بالانس نمايد . در صورتي كه يك سياست امنيتي محدوديت هاي زيادي را براي كاربران درپي داشته باشد ، كاربران روش هاي ناديده گرفتن آن را بررسي و براي آن راه حل هاي خاص خود را پيدا خواهند كرد .
• اطلاع رساني در خصوص مسائل امنيتي مي بايست ترويج و در دستور كار قرار گيرد . مثلا" مي توان از پوسترهاي امنيتي و كارت هاي checklist براي اطلاع رساني استفاده نمود . پوسترها و كارت هاي checklist داراي كارآئي بمراتب بهتري نسبت به مستندات حجيم سياست هاي امنيتي مي باشند كه ممكن است جهت استفاده عموم بر روي شبكه اينترانت سازمان منتشر شده باشد. پوسترها و كارت هاي checklist را مي بايست در مكاني نصب نمود كه در معرض ديد بيشتري باشند .
• به منظور بررسي وضعيت برخي سياست هاي امنيتي نظير رمزهاي عبور و پيكربندي امنيتي ، مي توان از ابزارهائي نظير Microsoft Baseline Security استفاده نمود .
Add Comments
Name:
Email:
User Comments:
SecurityCode: Captcha ImageChange Image
پست الکترونیک: info @ imencms . ir
پشتیبانی سیستم پیامک و فروش فایل تا ساعت ده شب: 09395510284
تمام کالا و خدمات این فروشگاه، دارای مجوزلازم از مراجع مربوط می‌باشد و فعالیت‌ این سایت تابع قوانین ومقررات جمهوری اسلامی ایران است.