»» ضرورت توجه به امنیت اطلاعات ( بخش جهارم )
ضرورت توجه به امنیت اطلاعات ( بخش جهارم )
استراتژی "دفاع در عمق " یک
فریمورک امنیتی مناسب برای حفاظت و نگهداری ایمن زیرساخت فن آوری اطلاعات یک سازمان
است . در این مدل،زیر ساخت فن آوری اطلاعات یک سازمان به عنوان مجموعه ای از لایه
های مرتبط به هم در نظر گرفته شده و به منظور حفاظت و ایمن سازی هر لایه از مکانیزم
ها و روش های حفاظتی خاصی استفاده می گردد .
بررسی لایه سیاست ها ، رویه ها و اطلاع رسانی
در اولین لایه مدل
امنیتی "دفاع در عمق " ، سیاست ها و رویه های امنیتی تعریف و تمامی کاربران صرفنظر
از موقعیت شغلی خود می بایست با آنان آشنا شوند . با توجه به جایگاه برجسته این
لایه و تاثیر آن بر روی عملکرد سایر لایه ها ، می بایست با حوصله و دقت بیشتری این
لایه بررسی و قبل از هر چیز سیاست های امنیتی در یک سازمان تعریف گردد .
در
زمان تعریف سیاست های امنیتی می بایست به موارد زیر توجه گردد :
• تعریف عناصر
زیادی نظیر : استفاده قابل قبول از منابع موجود ، دستیابی از راه دور ، حفاظت
اطلاعات ، تهیه نسخه های پشتیبان از اطلاعات ، امنیت پیرامون شبکه ، ایمن سازی و
ایمن نگهداشتن دستگاه ها و کامپیوترهای میزبان و ...
ادامه مطلب
نوشته های دیگران ()
نویسنده متن فوق: » کهکشان ( یکشنبه 90/2/11 :: ساعت 10:22 صبح )
»» ضرورت توجه به امنیت اطلاعات ( بخش سوم )
ضرورت توجه به امنیت اطلاعات ( بخش سوم )
هر سازمان می بایست یک فریمورک و یا
چارچوب امنیتی فعال و پویا را برای خود ایجاد و به درستی از آن نگهداری نماید .
دفاع در عمق ، یک فریمورک امنیتی مناسب در این رابط است . در این مدل ، زیرساخت فن
آوری اطلاعات یک سازمان به عنوان مجموعه ای از لایه های مرتبط به هم در نظر گرفته
می شود و برای هر لایه مکانیزم های امنیتی و حفاظتی مناسبی تعریف می گردد .
•
لایه اول : سیاست های امنیتی ، رویه ها و اطلاع رسانی
• لایه دوم : امنیت
فیزیکی ( نظیر حفاظت فیزیکی )
• لایه سوم : حفاظت از محدوده عملیاتی یک شبکه
داخلی به منظور ارتباط با سایر شبکه ها ( نظیر استفاده از فایروال ها )
• لایه
چهارم : ایمن سازی شبکه داخلی
• لایه پنجم : امنیت کامپیوترها و دستگاه های
میزبان ( ایجاد سیستم های تدافعی لازم )
• لایه ششم : امنیت برنامه های کاربردی
( نصب های ایمن به همراه نصب تمامی Service Packs و patch محصولات نرم افزاری موجود
در سازمان به منظور پیشگیری از حملات برنامه ریزی شده با بهره گیری از نقاط ضعف
موجود )
• لایه هفتم : امنیت داده ( بهره گیری از سیستم امنیتی فایل و یا فولدر
سیستم فایل NTFS ، رمزنگاری ، لیست های کنترل دستیابی ، ایجاد نسخه های backup از
داده ها و مکانیزم های لازم به منظور بازیافت اطلاعات )
ادامه مطلب
نوشته های دیگران ()
نویسنده متن فوق: » کهکشان ( یکشنبه 90/2/11 :: ساعت 10:22 صبح )
»» انتخاب رمزهای عبور ضعیف
انتخاب رمزهای عبور ضعیف
انتخاب رمزهای عبور ضعیف می تواند کاربران را در معرض
تهدیدات امنیتی متعددی قرار دهد. حتی اگر کاربران وابسته به شبکه ای نمی
باشند که مدیریت شبکه از آنان می خواهد که از رمزهای عبور قوی استفاده و بطور مستمر
آنها را تغییر دهند ، می بایست از رمزهای عبور قوی استفاده گردد . از رمزهای عبوری
که امکان حدس آنها به سادگی وجود دارد نظیر تاریخ تولد ، نام فرد مورد علاقه ،
شماره شناسنامه و ... نمی بایست استفاده گردد . تشخیص رمزهای عبور طولانی برای
مهاجمان بمراتب مشکل تر است . بنابراین ، پیشنهاد می گردد که از رمزهای عبوری با
حداقل هشت حرف استفاده گردد ( چهارده حرف مناسب تر است ) .
ادامه مطلب
نوشته های دیگران ()
نویسنده متن فوق: » کهکشان ( یکشنبه 90/2/11 :: ساعت 10:22 صبح )
»» ویروس های کامپیوتری
ویروس های کامپیوتری
ویروس های کامپیوتری از جمله موارد اسرارآمیز و مرموز در دنیای
کامپیوتر بوده که توجه اغلب کاربران را بخود جلب می نماید. ویروس های کامپیوتری
بخوبی قدرت آسیب پذیری سیستم های اطلاعاتی مبتنی بر کامپیوتر را به ما نشان می
دهند. یک ویروس مدرن و پیشرفته قادر به بروز آسیب های کاملا" غیرقابل پیش بینی در
اینترنت است . مثلا" ویروس ملیزا(Melissa) ، که در سال 1999 متداول گردید ، از چنان
قدرت و توانی برخوردار بود که شرکت های بزرگی نظیر مآیکروسافت و سایر شرکت های بزرگ
را مجبور به خاموش نمودن کامل سیستم های پست الکترونیکی نمود. ویروس "ILOVEYOU" ،
که در سال 2000 رایج گردید ، باعث آسیب های فراوان در اینترنت و شبکه های کامپیوتری
گردید.
ادامه مطلب
نوشته های دیگران ()
نویسنده متن فوق: » کهکشان ( یکشنبه 90/2/11 :: ساعت 10:22 صبح )
»» آنچه در کمپ هکرها آموختم
آنچه در کمپ هکرها آموختم
اشاره :
از آنجا که من هیچگاه به پادگان نرفتم و لباس نظامی هم نپوشیدم و با
اسلحه رژه نرفتم، تا به حال هیچ اردویی را تجربه نکردهام. اما در یکی از همین
روزها به یک اردوی آموزشی برای هکرها رفتم. یک روز را به طور کامل صرف فهمیدن نکات
کاری هکرها کردم و دست نوشتههایی را گیر آوردم که حاوی مطالب آموزشی برای به هم
ریختن دنیای رایانهها بود. هدف شرکت میزبان، TechTrain، یک اردوی آموزشی اخلاقی
بود و 24 نفر را به آن دعوت کرده بود. مربی من در آن دوره، آندره ویتاکر، مدیر بخش
امنیتی شرکت بود که ده سالی را در سیستمهای امنیتی بانکها و آموزش نکات لازم در
ایمنی سیستمهای الکترونیکی مؤسسات مالی گذرانده بود. او پیش از شروع مطالب کلاس،
خلاصهای از آنچه را که قرار بود به من بیاموزد، گفت؛ چگونه ویروس بنویسم، چگونه
شبکههای بیسیم را به هم بریزم و چگونه از دام دیوارههای آتش بگریزم.
چه شیرین!
ادامه مطلب
نوشته های دیگران ()
نویسنده متن فوق: » کهکشان ( یکشنبه 90/2/11 :: ساعت 10:21 صبح )
»» ویروس های کلاسیک دوباره جان می گیرند
ویروس های کلاسیک دوباره جان می گیرند
نرم افزارهای مخرب و حملات
رایانه ای در سال 2009 میلادی، طبق روند فعلی و عادی خود پیش خواهند رفت. این روند
شامل افزایش تعداد، تنوع و پیچیدگی و نیز تشخیص دیرهنگام توسط برنامه های ضد ویروس
خواهد بود بنابر گزارش شرکت امنیتی Panda Security، ویروس های ترکیبی با
قابلیت ایجاد آسیب پذیری در سیستم ها و سپس وارد نمودن سایر انواع بدافزار، یکی از
مهمترین معضلات امنیتی سال 2009 باقی خواهند ماند. همچنین ضد ویروس های جعلی و
تروژان های Banker نیز سهم عمده ای از خرابکاری های سال آتی را به خود اختصاص می
دهند.
با این وجود زمینه های کاملاً جدیدی مانند بحران جهانی اقتصاد، افزایش
نرخ بیکاری و بازشدن فضا برای ظهور مجدد ویروس های کلاسیک، سال 2009 را با انواع
جدیدی از تهدیدها مواجه خواهد نمود.
ادامه مطلب
نوشته های دیگران ()
نویسنده متن فوق: » کهکشان ( یکشنبه 90/2/11 :: ساعت 10:21 صبح )
»» hijacking چیست؟
hijacking چیست؟
hijacking نوعی حمله ضد امنیتی در شبکه است به طوریکه حمله
کننده ارتباط را در دست می گیرد. درست مانند یک هواپیما ربا که کنترل
پرواز را بدست می گیرد (hijacking) به معنای هواپیما رباست. در یک نوع از این حمله
ها در حالیکه قربانی ارتباط خود را با جایی برقرار کرده و در حال انجام کار خود
است، هیجاکر کنترل این ارتباط را در دست می گیرد. حمله کننده مانع از رسیدن پیغام
ها می شود و در عوض پیغام خود را برای طرفین می فرستد. و در این حال طرفین گمان می
کنند که مستقیماً با هم در ارتباط هستند. هیجاکرها برای این کار از یک نرم افزار
استفاده می کنند که در برابر کاربر همانند یک سرور ظاهر می شود و در برابر سرور
مانند یک کاربر ظاهر می شود. و به این ترتیب مخفیانه خرابکاری را شروع می کند. به
این ترتیب خرابکار می تواند به پیغامهای شما دسترسی داشته باشد یا آنها را آن طور
که دوست دارد
ادامه مطلب
نوشته های دیگران ()
نویسنده متن فوق: » کهکشان ( یکشنبه 90/2/11 :: ساعت 10:21 صبح )
»» فایروال ها - یک ضرورت اجتناب ناپذیر؟!
فایروال ها - یک ضرورت اجتناب ناپذیر؟!
امنیت اطلاعات و ایمن سازی کامپیوترها به یک ضرورت غیرقابل انکار در
عصر اطلاعات تبدیل شده است . پرداختن به مقوله امنیت اطلاعات با زبانی ساده بیش از
هر زمان دیگر احساس می شود، چراکه هر یک از عوامل انسانی و غیرانسانی دارای جایگاه
تعریف شده ای در نطام مهندسی امنیت اطلاعات می باشند . آشنائی اصولی و منطقی با این
نطام مهندسی و آگاهی از عناصر موجود در این ساختار به همراه شناخت علمی نسبت به
مسئولیت هر یک از عناصر فوق، امری لازم و حیاتی است .
فایروال ها ، یکی از
عناصر اساسی در نطام مهندسی امنیت اطلاعات می باشند که استفاده از آنان به یک ضرورت
اجتناب ناپذیر در دنیای امنیت اطلاعات و کامپیوتر تبدیل شده است . بسیاری از افرادی
که جدیدا" قدم در عرصه گسترده امنیت اطلاعات می گذارند ، دارای نگرانی و یا سوالات
مفهومی خاصی در ارتباط با فایروال ها و جایگاه استفاده از آنان در جهت ایمن سازی
شبکه های کامپیوتری می باشند .
در این مطلب قصد داریم به برخی از مفاهیم و نکات
مهم و اساسی در خصوص فایروال ها اشاره ای داشته باشیم تا از این رهگذر بتوانیم دانش
لازم به منظور بکارگیری و مدیریت بهینه فایروال ها را بدست آوریم .
ادامه مطلب
نوشته های دیگران ()
نویسنده متن فوق: » کهکشان ( یکشنبه 90/2/11 :: ساعت 10:21 صبح )
»» امضای دیجیتال
امضای دیجیتال
یکی از هدایای ناخواسته فناوری اطلاعات و ارتباطات به
جوامع کاربران را می توان جعل کردن های پیوسته در شبکه دانست. زمانی که
شما برای دوستتان هیچ ایمیلی نفرستاده اید، اما او با شما تماس می گیرد و می گوید
که منظورتان از این ایمیل چه بوده است و یا زمانی که رئیستان شما را برای ایمیلی که
برایش فرستاده اید، مورد بازخواست قرار می دهد، تنها گوشه ای از دنیای جعل فناوری
اطلاعات را دیده اید. امنیت یکی از مهم ترین و بحث انگیزترین مسائل درحوزه فناوری
اطلاعات و ارتباطات است که در سال های اخیر با توجه به رشد روزافزون استفاده از
شبکه جهانی وب (World Wide Web) گریبانگیر کاربران شده است و در بعضی از مواقع نیز
سبب از کار افتادن پایگاه های اطلاعاتی و وب سایت ها شده است. جعل کردن را باید
مقوله ای جدا از هک کردن دانست، زیرا در جعل کردن دزدان دیجیتالی خود را به جای
شخصی که وجود دارد، جا می زنند و اقدام به سرقت اطلاعات می کنند، اما در هک کردن،
نفوذها عمدتا در نقش شخص ثالثی صورت می گیرد که لزوما وجود فیزیکی ندارد، اما نتیجه
هر دو نفوذ، از دست دادن اطلاعات و کاهش امنیت است. برای جلوگیری از نفوذ دزدان به
سیستم ها و پیشگیری از جعل مدارک و امضاها از سیستم های سنتی راهکارهایی پیش بینی
شده است، راهکارهایی مانند گواهی امضا از سوی مقام فوق، استفاده از دستگاه های
تشخیص با حساسیت بالا و غیره، اما در دنیای مجازی نیز برای این قضیه راه حل هایی
اندیشیده شده است که امضای دیجیتال یکی از این راه حل هاست.
ادامه مطلب
نوشته های دیگران ()
نویسنده متن فوق: » کهکشان ( یکشنبه 90/2/11 :: ساعت 10:21 صبح )
»» چرا سایتهای بزرگ با جاوا تولید نمیشوند؟
چرا سایتهای بزرگ با جاوا تولید نمیشوند؟
در دنیای تولیدکننده
نرمافزارهای کاربردی تحت وب با جاوا، همیشه سوال فوق به عنوان یک پارادوکس مطرح
بوده است.
در مجموعه مقالات نرمافزارهای کاربردی (Enterprise application) که
در شمارههای گذشته به آن پرداخته شده، تعریف جامعی از این گونه نرمافزارها و
دلایل مناسب بودن مجموعه تکنولوژیهای جاوا برای آن عنوان شده است.
در اینجا
نگاهی خاص به وبسایتهای بزرگ همچون Flicker، YouTube، Wikipedia و حتی گوگل
خواهیم داشت. در مورد سایتهای بزرگ وب، نکتهای که در نظر اول جلب توجه میکند،
تعداد بالای کاربران آنها در سطح جهان و نیز میزان مراجعه بالای کاربران به
قسمتهای مختلف آن سایتها میباشد.
شاید حجم بسیار بالای پهنای باند و
ذخیرهسازی اطلاعات، به خصوص در مواردی که نوع کار سایت مرتبط با دادههای چند
رسانهای همانند ویدئو یا تصویر است مشخصه اصلی آنها باشد.
با یک حساب سرانگشتی
میتوان حجم بسیار بالای درخواستهای ارسال شده به گوگل آن هم فقط برای جستوجو در
طول یک روز کاری را با توجه به مصرف متوسط یک کاربر و تعداد کاربران جستوجوی گوگل
در جهان حساب نمود! حقیقت این است که اگر چه یکی از اصول اولیه طراحی معماری در
نرمافزارهای کاربردی تحت وب تعداد بالای کاربران همزمان بوده است، اما
وبسایتهای بزرگ در طبقهبندی دیگری از لحاظ تعداد کاربران و حجم تبادل اطلاعات و
صدالبته عملیات مالی اداری مرتبط با نوع کسبوکار خود قرار میگیرند.
ادامه مطلب
نوشته های دیگران ()
نویسنده متن فوق: » کهکشان ( یکشنبه 90/2/11 :: ساعت 10:21 صبح )
»» لیست کل یادداشت های این وبلاگ
عملکرد کلیدهای F در ویندوز xpبا Safe Mode چگونه می توان مشکلات ویندوز را برطرف کرد؟بهترین حالت Safe Modeسلام کار دکمه scroll lock بر روی صفحه کی بورد چیست ؟کلیدهای Insert ، Pause/break . Scroll lock در کیبورد چه کاربردیضرورت Disk Defragmentation و Disk Cleanup در ویندوز به زبان سادهشنود موبایل چگونه انجام میشود؟ + روشهای مقابلهاجرای برنامه ها در یک فضای مجزا در حافظهاجباری کردن پسورد برای ویندوز 98 همانند ویندوز XPتهیه ی نسخه ی پشتیبان از رجیستری و تعمیر رجیستری آسیب دیده :مشاهده ی تغییرات ایجاد شده در رجیستری[عناوین آرشیوشده]
