میهن داکیومنت بزرگترین مرجع و مرکز دانلود پایان نامه (متن کامل فرمت ورد) فروش پایان نامه - خرید پایان نامه (کاردانی ، کارشناسی)همه رشته ها
حقوق اقتصاد مدیریت روانشناسی ریاضی تربیت بدنی کامپیوتر نرم افزار و سخت افزار عمران معماری برق صنایع غذایی علوم اجتماعی هنر علوم سیاسی فیزیک مکانیک حسابداری

تبلیغات کلیکی - افزایش رتبه گوگل

اگهی رایگان

مقاله امنيت شبکه


کد محصول : 10001048 نوع فایل : word تعداد صفحات : 21 صفحه قیمت محصول : رایگان تعداد بازدید 965

دانلودرایگان فایل رمز فایل : m3d1048

فهرست مطالب و صفحات نخست


 امنيت شبکه

يک سيستم کامپيوتري از چهار عنصر:  سخت افزار ، سيستم عامل ، برنامه هاي کاربردي و کاربران ، تشکيل مي گردد. سخت افزار شامل حافظه ، دستگاههاي ورودي  ، خروجي و پردازشگر بوده که بعنوان منابع اصلي پردازش اطلاعات ،  استفاده مي گردند. برنامه هاي کاربردي شامل کمپايلرها ، سيستم هاي بانک اطلاعاتي ، برنامه هاي تجاري و بازرگاني ، بازي هاي کامپيوتري و موارد متنوع ديگري بوده که  روش بخدمت گرفتن سخت افزار جهت نيل به اهداف از قبل تعريف شده را مشخص مي نمايند. کاربران ، شا مل انسان ، ماشين و ديگر کامپيوترها مي باشد . هر يک  از کاربران سعي در حل مشکلات تعريف شده خود از طريق بکارگيري نرم افزارهاي کاربردي در محيط سخت افزار مي نمايند. سيستم عامل ، نحوه استفاده از سخت افزار را در ارتباط با  برنامه هاي کاربردي متفاوتي که توسط  کاربران گوناگون نوشته و اجراء مي گردند ، کنترل و هدايت مي نمايد. بمنظور بررسي امنيت در يک سيستم کامپيوتري ، مي بايست به تشريح و تبين جايگاه هر يک از عناصر موجود در يک  سيستم کامپيوتري پرداخته گردد.
در اين راستا ، قصد داريم به بررسي نقش عوامل انساني  دررابطه با  امنيت اطلاعات پرداخته و جايگاه هر يک از مولفه هاي موجود را تبين و تشريح نما ئيم . اگر ما بهترين سيستم سخت افزاري و يا سيستم عامل را بخدمت بگيريم ولي کاربران و يا عوامل انساني درگير در يک سيستم کامپوتري، پارامترهاي امنيتي را رعايت ننمايند ، کاري را از پيش نخواهيم برد. وضعيت فوق مشابه اين است که  شما بهترين اتومبيل با درجه بالاي امنيت را طراحي و يا تهيه نمائيد  ولي آن را در اختيار افرادي قرار دهيد که نسبت به اصول اوليه رانندگي توجيه نباشند ( عدم رعايت اصول ايمني ) .
ما مي بايست به مقوله امنيت اطلاعات در عصر اطلاعات نه بصورت يک کالا و يا محصول بلکه  بصورت يک فرآيند نگاه  کرده و امنيت  را در حد  يک محصول خواه نرم افزاري و يا سخت افزاري تنزل ندهيم .هر يک از موارد فوق ، جايگاه خاص خود را با وزن مشخص شده اي  دارند و نبايد به بهانه پرداختن به امنيت اطلاعات وزن يک پارامتر را بيش از آنچيزي که هست در نظر گرفت و پارامتر ديگري را ناديده گرفته و يا وزن غير قابل قبولي براي آن مشخص نمائيم . بهرحال ظهور و عرضه شگفت انگيز تکنولوژي هاي نو در عصر حاضر ، تهديدات خاص خود را نيز بدنبال خواهد داشت . ما چه کار مي بايست بکنيم که از تکنولوژي ها استفاده مفيدي را داشته و در عين حال از تهديدات مستقيم و يا غير مستقيم آنان نيز مصون بمانيم ؟ قطعا" نقش عوامل انساني که استقاده کنندگان مستقيم اين نوع تکنولوژي ها مي باشند ، بسيار محسوس و مهم است . 
با گسترش اينترنت و استفاده از آن در ابعاد متفاوت ، سازمانها و موسسات با مسائل جديدي در رابطه با  امنيت اطلاعات و تهاجم به  شبکه هاي کامپيوتري مواجه مي باشند. صرفنظر از موفقيت و يا عدم موفقيت مهاجمان و عليرغم آخرين اصلاحات انجام شده در رابطه با تکنولوژي هاي امنيتي ، عدم وجود دانش و اطلاعات لازم ( سواد عمومي ايمني )  کاربران شبکه هاي کامپيوتري  و استفاده کنندگان اطلاعات  حساس در يک سازمان ،  همواره بعنوان مهمترين تهديد امنيتي مطرح و عدم پايبندي و رعايت اصول امنيتي تدوين شده ، مي تواند زمينه ايجاد پتانسيل هائي شود  که  توسط مهاجمين  استفاده و باعث  بروز مشکل در سازمان گردد. مهاجمان  همواره بدنبال چنين فرصت هائي بوده تا با اتکاء به آنان به اهداف خود نائل گردند. در برخي حالات اشتباه ما زمينه موفقيت ديگران!  را فراهم مي نمايد . اگر سعي نمائيم بر اساس يک روش مناسب درصد بروز اشتباهات خود را کاهش دهيم به همان نسبت نيز شانس موفقيت مهاجمان  کاهش پيدا خواهد کرد.
مديران شبکه ( سيستم ) ، مديران سازمان و کاربران معمولي  جملگي عوامل انساني در يک سازمان مي باشند که حرکت و يا حرکات اشتباه هر يک مي تواند پيامدهاي منفي در ارتباط با امنيت اطلاعات را بدنبال داشته باشد . در ادامه به بررسي اشتباهات متداولي  خواهيم پرداخت که مي تواند توسط سه گروه ياد شده انجام و زمينه بروز يک مشکل امنيتي در رابطه با اطلاعات  حساس در يک سازمان را باعث گردد. 
2-5 اشتباهات متداول مديران سيستم
مديران سيستم ، به افرادي اطلاق مي گردد  که مسئوليت نگهداري و نظارت بر عملکرد صحيح و عملياتي سيستم ها  و شبکه موجود در يک سازمان را برعهده دارند.در اغلب سازمانها افراد فوق ، مسئوليت امنيت دستگاهها ، ايمن سازي شبکه و تشخيص ضعف هاي امنيـتي موجود در رابطه با اطلاعات حساس را نيز برعهده دارند. بديهي است واگذاري  مسئوليت هاي متعدد  به يک فرد، افزايش تعداد خطاء و اشتباه را بدنبال خواهد داشت . فشار عصبي در زمان انجام کار مستمر بر روي چندين موضوع  متفاوت و بصورت همزمان ، قطعا" احتمال بروز اشتباهات فردي را افزايش خواهد داد. در ادامه با برخي از خطاهاي متداولي که ممکن است توسط مديران سيستم  انجام و سازمان مربوطه را با تهديد امنيتي مواجه سازد ، آشنا خواهيم شد.

1-2-5 عدم وجود يک سياست امنيتي شخصي 
اکثر قريب به اتفاق مديران سيستم داراي يک سياست امنيتي شخصي بمنظور انجام  فعاليت هاي مهمي نظير امنيت فيزيکي سيستم ها ، روش هاي بهنگام سازي يک نرم افزار و  روشي بمنظور بکارگيري  patch هاي جديد در زمان مربوطه نمي باشند .حتي شرکت هاي بزرگ و شناخته شده به اين موضوع اذعان  دارند که برخي از سيستم هاي آنان با همان سرعت که يک باگ و يا اشکال تشخيص و شناسائي مي گردد ، توسط patch مربوطه اصلاح نشده است .در برخي حالات ، مديران سيستم حتي نسبت به آخرين نقاط آسيب پذيرتشخييص داده شده  نيز آگاهي  بهنگام شده اي را نداشته و قطعا" در چنين مواردي انتظار نصب patch  مربوطه نيز توقعي بي مورد است . وجود نقاط آسيب پذير در شبکه مي تواند يک سازمان را در معرض تهديدات جدي قرار دهد . امنيت فرآيندي است که مي بايست بصورت مستمر به آن پرداخته شود و هرگز به اتمام نمي رسد.در اين راستا لازم است، بصورت مستمرنسبت به آخرين حملات  بهمراه تکنولوژي ها ي مربوطه ، آگاهي لازم کسب و  دانش خود را بهنگام نمائيم .اکثر مديران سيستم ،  کارشناسان حرفه اي و خبره امنيتي نمي باشند ، در اين رابطه لازم است ، بمنظور افزايش حفاظت و ايمن سازي شبکه ، اطلاعات و دانش مربوطه بصورت مستمر ارتقاء يايد .افراديکه داراي گواهينامه هاي خاصي امنيتي و يا دانش و اطلاعات  اضافه در رابطه با امنيت اطلاعات مي باشند ، همواره يک قدم  از کساني مهارت آنان صرفا" محدود به  شبکه است ، جلوتر مي باشند . در ادامه ، پيشنهاداتي  بمنظور بهبود وضعيت امنيتي سازمان و افزايش و ارتقاء سطح معلومات مديران سيستم ،  ارائه مي گردد :
•     بصورت فيزيکي محل کار و سيستم خود را ايمن سازيد .زمينه استفاده از سيستم توسط افراديکه در محدوده کاري شما فعاليت دارند ، مي بايست کاملا" کنترل شده و تحت نظارت باشد .
•    هر مرتبه که سيستم خود را ترک مي کنيد ، عمليات  logout را فراموش نکنيد .در اين رابطه مي توان يک زمان time out را تنظيم تا  در صورت  فراموش نمودن  عمليات  logout ، سيستم قادر به حفاظت خود گردد.
•    خود را عضو خبرنامه ها ي متفاوت امنيتي کرده تا شما را با آخرين نقاط آسيب پذير آشنا نمايند. درحقيقت آنان چشم شما در اين معرکه خواهند بود( استفاده مفيد از تجارب ديگران ) .
•    سعي گردد بصورت مستمر از سايت هاي مرتبط با مسائل امنيتي ديدن تا درزمان مناسب با پيام هاي هشداردهنده امنيتي در رابطه با نرم افزارهاي خارج از رده و يا نرم افزارهاي غير اصلاح شده ( unpatched ) آشنا گرديد.
•    مطالعه آخرين مقالات مرتبط با مسائل امنيتي يکي از مراحل ضروري و مهم در فرآيند خود آموزشي ( فراگيري ) مديران شبکه است . بدين ترتيب اين اطمينان بوجود خواهد آمد که مدير مربوطه نسبت به آخرين اطلاعات و مسائل مربوطه امنيتي در کميته هاي موجود ، توجيه است .
•    استفاده از ياداشت ها و مقالات در ارتباط با هر نوع اطلاعات حساس نظير رمزهاي عبور وI هر چيزي که ممکن است  زمينه ساز ايجاد يک پتانسيل آسيب پذير و دستيابي به سيستم مطرح گردد را محدود نمائيد. در صورتيکه از اين نوع اطلاعات استفاده مي شود، قبل ازترک  محل کار ، آنها را از بين ببريد. افراديکه داراي سوء نيت بوده در محدوده کاري شما مي باشند ، مي توانند ازمزاياي ضعف هاي شناخته شده استفاده نمايند، بنابراين ضروري است استفاده از چنين ياداشت هائي محدود و يا بصورت کامل حذف  گردد .
2-2-5 اتصال سيستم هاي فاقد پيکربندي مناسب به اينترنت
همزمان با گسترش نيازهاي سازمان، سيستم ها و سرويس دهندگان جديدي بر اساس يک روال معمول به اينترنت متصل مي گردند. قطعا" توسعه سيستم با هدف افزايش بهره وري در يک سازمان دنبال خواهد شد.اکثر اينچنين سيستمهائي  بدون تنظيمات امنيتي خاص  به اينترنت متصل شده  و مي تواند زمينه بروز آسيب و حملات اطلاعاتي توسط مهاجمان را باعث گردد ( در بازه زماني که سيستم از لحاظ امنيتي بدرستي مميزي  نشده باشد ، اين امر امکان پذير خواهد بود).
مديران سيستم ممکن است به اين موضوع استناد نمايند که سيستم جديد بوده و هنوز کسي آن را نمي شناسد و آدرس IP آن شناخته شده نيست ، بنابراين امکان شناسائي و حمله به آن وجود نخواهد داشت .طرز فکر فوق  ، يک تهديد براي هر سازمان بشمار مي رود . افراد و يا اسکريپت هاي پويش اتوماتيک در اينترنت ، بسرعت عمليات يافتن و تخريب اين نوع سيستم هاي آسيب پذير را دنبال مي نمايند. در اين راستا ، شرکت هائي خاصي وجود دارد که موضوع فعاليت آنان شبکه بوده و براي تست سيستم هاي  توليدي خود بدنبال سيستم هاي ضعيف و آسيب پذير مي گردند.( سيستم آسيب پذير ما ابزار تست ديگران خواهد شد). بهرحال همواره ممکن است افرادي بصورت مخفيانه شبکه سازمان شما را پويش تا در صورت وجود يک نقطه آسيب پذير، از آن براي اهداف خود استفاده نمايند. لازم است در اين راستا تهديدات و خطرات را جدي گرفته و پيگري لازم در اين خصوص انجام شود. در اين رابطه موارد زير پيشنهاد مي گردد : 
•    قبل از اتصال فيزيکي يک کامپيوتر به شبکه ، مجوز امنيتي لازم با توجه به سياست هاي تدوين شده امنيتي براي آن صادر گردد ( بررسي سيستم و صدور مجوز اتصال )
•    کامپيوتر مورد نظر مي بايست شامل آخرين نرم افزارهاي امنيتي لازم بوده و از پيکربندي صحيح آنان مي بايست مطمئن گرديد.
•    در صورتيکه لازم است  بر روي سيستم مورد نظر تست هاي شبکه اي خاصي صورت پذيرد ، سعي گردد امکان دستيابي به سيستم فوق از طريق اينترنت در زمان تست ، بلاک گردد.
•    سيستمي را که قصد اتصال آن به اينترنت وجود دارد ، نمي بايست شامل اطلاعات حساس سازمان باشد.
•    سيستم مورد نظر را تحت برنامه هاي موسوم به Intrusion Detection System قرار داده تا نرم افزارهاي فوق بسرعت نقاط آسيب پذير و ضعف هاي امنيتي را شناسائي نمايند.
3-2-5 اعتماد بيش از اندازه  به ابزارها 
برنامه هاي پويش و بررسي نقاط آسيب پذير،اغلب بمنظور اخذ اطلاعات در رابطه وضعيت جاري امنيتي شبکه استفاده مي گردد . پويشگرهاي تشخيص نقاط آسيب پذير ،  اطلاعات مفيدي را در ارتباط با   امنيت سيستم  نظير : مجوزهاي فايل ، سياستهاي رمز عبور و ساير مسائل موجود، ارائه مي نمايند . بعبارت ديگر پويشگران نقاط آسيب پذير شبکه ، امکان نگرش از ديد يک مهاجم را به مديريت شبکه خواهند داد. پويشگرها ي فوق  ، عموما" نيمي از مسائل امنيتي مرتبط را به سيستم واگذار نموده و نمي توان به تمامي نتايج بدست آمده توسط آنان  بسنده  و محور عمليات خود را بر اساس يافته هاي آنان قرار دهيم . در اين رابطه لازم است متناسب با نوع سيستم عامل نصب شده  بر روي سيستم ها از پويشگران متعدد و مختص سيستم عامل مربوطه استفاده گردد( اخذ نتايج مطلوبتر)  .  بهرحال استفاده از اين نوع نرم افزارها قطعا" باعث شناسائي سريع نقاط آسيب پذير و  صرفه جوئي  زمان مي گردد ولي  نمي بايست اين تصور وجود داشته باشد که استفاده از آنان بمنزله يک راه حل جامع امنيتي است . تاکيد صرف بر نتايج بدست آمده توسط آنان ، مي تواند نتايج نامطلوب امنيتي را بدنبال داشته باشد . در برخي موارد ممکن است  لازم باشد ، بمنظور تشخيص نقاط آسيب پذير يک سيستم ،عمليات دستي انجام و يا حتي تاسکريپت هاي خاصي در اين رابطه نوشته گردد .
4-2-5 عدم مشاهده لاگ ها  
مشاهده لاگ هاي سيستم،  يکي از مراحل ضروري در تشخيص مستمر و يا قريب الوقوع تهديدات  است . لاگ ها، امکان شناسائي نقاط آسيب پذير متداول و حملات مربوطه را فراهم مي نمايند. بنابراين مي توان تمامي سيستم را بررسي و آن را در مقابل حملات مشخص شده ، مجهز و ايمن نمود. در صورت بروز يک تهاجم ، با استفاده از لاگ هاي  سيستم ، تسهيلات لازم  بمنظور رديابي مهاجمان فراهم مي گردد.( البته بشرطي که آنان اصلاح نشده باشند ) . لاگ ها را بصورت ادواري بررسي و آنها را در يک مکان ايمن ذخيره نمائيد. 
5-2-5 اجراي سرويس ها و يا اسکريپت هاي اضافه و غير ضروري
استفاده از منابع و شبکه سازمان ، بعنوان يک زمين بازي شخصي براي تست اسکريپت ها و سرويس هاي متفاوت ، يکي ديگر از اشتباهات متداولي است که توسط اکثريت قريب به اتفاق مديران سيستم انجام مي شود . داشتن اينچنين اسکريپت ها و سرويس هاي اضافه اي که بر روي سيستم اجراء مي گردند ، باعث ايجاد مجموعه اي از پتانسيل ها و نفاط ورود جديد براي يک مهاجم مي گردد ( در صورتيکه سرويس هاي اضافه و يا اسکريپت ها بر روي سرويس دهنده اصلي  نصب و تست گردند ، مشکلات مي تواند مضاعف گردد ). در صورت نياز به  تست اسکريپت ها  و يا اجراي سرويس هاي اضافه ، مي بايست  عمليات مورد نظر خود را از طريق يک کامپيوتر ايزوله شده انجام داد (هرگز از کامپيوتري که به شبکه متصل است در اين راستا استفاده نگردد ) .
3-5 اشتباهات متداول مديران سازمان ها 
مديران سازمان، به افرادي اطلاق مي گردد که مسئوليت مديريت ، هدايت و توسعه  سازمان را بر عهده داشته و با  منابع متفاوت موجود در سازمان نظير بودجه ،  سروکار  دارند. امروزه استفاده از اينترنت توسط سازمان ها و موسسات ، مزاياي متعددي را بدنبال دارد. واژه " تجارت الکترونيکي"  بسيار متداول  و استراتژي تجارت الکترونيکي ، از جمله مواردي است که در هر برنامه ريزي تجاري به آن توجه خاص مي گردد. در صورتيکه سازمان ها و موسسات داراي يک استراتژي امنيتي مشخص شده اي نباشند ، اتصال به شبکه جهاني تهديدي در ارتباط با اطلاعات حساس خواهد بود. در ادامه به برخي از اشتباهات متداول که از ناحيه مديران سازمان بروز و تاثير منفي در ارتباط با امنيت اطلاعات در سازمان را بدنبال خواهد داشت ، اشاره مي گردد :
1-3-5 استخدام کارشناسان آموزش نديده و غيرخبره
بدون ترديد ، کارشناسان آموزش ديده و خبره ، يکي از منابع ارزشمند درهر سازمان محسوب مي گردند. همواره مي بايست از کارشناسان ورزيده در ارتباط با امنيت در يک سازمان استفاده گردد. فرصت سعي و خطاء نيست و ممکن است در اين محدوده زماني چيزي را که يک سازمان از دست مي دهد بمراتب بيشتر از چيزي است که مي خواهد بدست آورد. امنيت اطلاعات از جمله مقولاتي است  که براي يک سازمان داراي جايگاهي است و همواره مي بايست بهترين تصميم دررابطه با   استفاده از منابع انساني  ماهر ، اتخاذ گردد. استفاده از  يک کارشناس غير ماهر در امور امنيت اطلاعات و شبکه در يک سازمان ، خود تهديدي امنيتي است که بر ساير تهديدات موجود اضافه خواهد شد . ( ما نمي توانيم مسئوليت پياده سازي استراتژي امنيتي در سازمان  را به افرادي واگذار نمائيم که در اين رابطه اطلاعات و دانش لازم را ندارند ) .
2-3-5 فقدان آگاهي لازم در رابطه با  تاثير يک  ضعف امنيتي  بر عملکرد سازمان
بسياري از مديران سازمان بر اين باور مي باشند که  " اين مسئله براي ما اتفاق نخواهد افتاد "  و بر همين اساس و طرز فکر به مقوله امنيت نگاه مي نمايند . بديهي است در صورت بروز مشکل در سازمان ، امکان عکس العمل مناسب در مقابل خطرات و تهديدات احتمالي وجود نخواهد داشت . اين مسئله مي تواند بدليل عدم آشنائي با ابعاد و اثرات يک ضعف امنيتي در سازمان باشد . در اين رابطه لازم است به اين نکته اشاره گردد که همواره مشکل براي ديگران بوجود نمي آيد و ما نيز در معرض مشکلات فراواني قرار خواهيم داشت .بنابراين لازم است همواره و بصورت مستمر مديران سازمان نسبت به اثرات احتمالي يک ضعف امنيتي توجيه  و دانش لازم در اختيار آنان قرار گيرد . در صورت بروز يک مشکل امنيتي در سازمان ، مسئله بوجود آمده محدود به خود سازمان نشده و مي تواند اثرات منفي متعددي در ارتباط با  ادامه فعاليت سازمان را  بدنبال داشته باشد. در عصر اطلاعات و دنياي شديد رقابت ،  کافي است سازماني لحظاتي آنچيزي باشد که نمي بايست باشد ، همين امر کافي است که  تلاش چندين ساله يک سازمان هرز و در برخي حالات فرصت جبران آن نيز وجود نخواهد داشت . 
•    تاثير منفي بر ساير فعاليت هاي تجاري online سازمان
•    عاملي براي توزيع اطلاعات غير مفيد و غير قابل استفاده  در يک چرخه تجاري 
•    عرضه اطلاعات حساس مشتريان به يک مهاجم و  بمخاطره افتادن  اطلاعات  خصوصي مشتريان
•    آسيب جدي  وجهه سازمان و بدنبال آن از دست دادن مشتريان و همکاران تجاري
3-3-5 عدم تخصيص بودجه مناسب براي پرداختن به  امنيت اطلاعات
مجاب نمودن يک مدير سازمان مبني بر اختصاص  بودجه مناسب براي پرداختن به مقوله امنيت اطلاعات در سازمان  از حمله مواردي است که چالش هاي خاص خود را خواهد داشت .مديران، تمايل دارند بودجه را به حداقل مقدار خود برسانند، چراکه آنان يا اطلاعات محدودي در رابطه با تاثير وجود ضعف هاي امنيتي در عملکرد  سازمان را دارند و يا در برخي حالات بودجه ، آنان را براي اتخاذ تصميم مناسب محدود مي نمايد.اينترنت يک شبکه جهاني است که فرصت هاي جذاب و نامحدود تجاري را براي هر بنگاه تجاري فراهم مي نمايد، با رعايت امنيت اطلاعات و حفا ظت مناسب از داده هاي حساس ،امکان استفاده از فرصت هاي تجاري بيشتري براي يک سازمان فراهم خواهد شد. با اختصاص يک بودجه مناسب براي پرداختن و بهاء دادن به مقوله امنيت اطلاعات در يک سازمان ، پيشگيري هاي لازم انجام ودر صورت بروز مسائل بحراني ، امکان تشخيص سريع آنان و انجام واکنش هاي مناسب فراهم مي گردد . بعبارت ديگر با در نظر گرفتن بودجه مناسب براي ايمن سازي سازمان ، بستر مناسب براي حفاظت سيستم ها و داده هاي حساس در يک سازمان فراهم خواهد شد . قطعا" توليد و عرضه سريع اطلاعات در سازمان هاي مدرن و مبتني بر اطلاعات ، يکي از مهمترين شاخص هاي رشد در عصر حاضر بوده  و هر آنچيزي که مي تواند خللي در فرآيند فوق ايجاد نمايد ، باعث توقف و گاها" برگشت به عقب يک سازمان ، مي گردد.
4-3-5 اتکاء کامل به  ابزارها و محصولات تجاري
اگر از يک سازمان سوال شود که چگونه خود را در مقابل حملات حفاظت نموده ايد ؟ اغلب آنان در پاسخ خواهند گفت :" ما از يک فايروال شناخته شده و يک  برنامه ويروس ياب  بر روي  سرويس دهنده استفاده مي کنيم ، بنابراين ما در مقابل حملات ايمن خواهيم بود " . توجه داشته باشيد که امنيت يک فرآيند است نه يک محصول که با خريداري آن خيال خود را در ارتباط  با امنيت راحت نمائيم . مديران سازمان لازم است شناخت مناسب و اوليه اي از پتانسل هاي عمومي يک فايروال و يا برنامه هاي ويروس ياب داشته باشند ( قادر به انجام چه کاري مي باشند و چه کاري را نمي توانند انجام دهند. مثلا" اگر ويروس جديدي نوشته و در شبکه توزيع گردد ، برنامه هاي ويروس ياب موجود قادر به تشخيص و برخورد با آن نخواهند بود.اين نوع برنامه ها  صرفا" پس از مطرح شدن يک ويروس و آناليز نحوه عملکرد آن مي بايست بهنگام شده تا بتوانند در صورت بروز وضعيتي مشابه با آن برخورد نمايند) . ابزارهائي همچون فايروال و يا برنامه هاي ويروس ياب ، بخشي از فرآيند مربوط به ايمن سازي اطلاعات حساس در يک سازمان بوده و با بکارگيري آنان نمي توان اين ادعا را داشت که آنان سازمان را بطور کامل در مقابل تهاجمات ، حفاظت خواهند نمود .
5-3-5 يک مرتبه سرمايه گذاري در ارتباط با  امنيت
امنيت مفهمومي فراگير و گسترده  بوده که نيازمند هماهنگي و سرمايه گذاري در دو بعد تکنولوژي و آموزش است. هر روز ما شاهد ظهور تکنولوژي هاي جديدي مي باشيم . ما نمي توانيم در مواجهه با يک تکنولوژي جديد بصورت انفعالي برخورد و يا عنوان نمائيم که ضرورتي به استفاده از اين تکنولوژي خاص را نداريم . بکارگيري تکنولوژي عملا"  صرفه جوئي در زمان و سرمايه مادي را بدنبال داشته و اين امر باعث ارائه سرويس هاي مطلوبتر و ارزانتر به مشتريان خواهد شد. موضوع فوق هم از جنبه يک سازمان حائز اهميت است و هم از نظر مشتريان ، چراکه ارائه سرويس مطلوب با قيمت تمام شده مناسب يکي از مهمترين اهداف هر بنگاه تجاري محسوب شده و مشتريان نيز همواره بدنبال استفاده از سرويس ها و خدمات با کيفيت و قيمت مناسب مي باشند. استفاده از تکنولوژي هاي جديد و سرويس هاي مرتبط با آنان،همواره تهديدات خاص خود را بدنبال خواهد داشت . بنابراين لازم است به اين موضوع توجه شود که امنيت يک سرمايه گذاري پيوسته  را طلب مي نمايد، چراکه با بخدمت گرفتن تکنولوژي ها ي نو بمنظور افزايش بهره وري در يک سازمان ، زمينه پرداختن به امنيت مي بايست مجددا" و در ارتباط با تکنولوژي مربوطه بررسي و در صورت لزوم سرمايه گذاري لازم در ارتباط با آن صورت پذيرد . تفکر اينکه، امنيت يک نوع سرمايه گذاري يکبار مصرف است ، مي تواند از يکطرف سازمان را در استفاده از تکنولوژي ها ي نو با ترديد مواجه سازد و از طرف ديگر با توجه به  نگرش به مقوله امنيت ( يکبار مصرف ) ، بهاء لازم به آن داده نشده و شروع مناسبي براي پياده سازي يک سيستم امنيتي و حفاظتي مناسب را نداشته باشيم .
 
4-5 اشتباهات متداول کاربران معمولي
کاربران ، به افرادي اطلاق مي گردد که طي روز با داده ها ي حساس در يک سازمان سروکار داشته و  تصميمات و فعاليت هاي آنان،  داده ها ي حساس و مقوله امنيت و حفاظت از اطلاعات را تحت تاثير مستقيم  قرار خواهد داد. در ادامه با برخي از اشتباهات متداولي  که اين نوع استفاده کنندگان از سيستم و شبکه مرتکب مي شوند ، اشاره مي گردد.
1-4-5 تخطي از سياست امنيني سازمان
سياست امنيتي سازمان ، اعلاميه اي است که بصورت جامع ، مسئوليت هر يک از پرسنل سازمان ( افراديکه به اطلاعات و سيستم هاي حساس در سازمان دستيابي دارند )  در ارتباط با امنيت اطلاعات و شبکه  را تعريف و مشخص مي نمايد. سند و يا اعلاميه مورد نظر ، بعنوان  بخش لاينفک در هر مدل امنيتي بکارگرفته شده در سازمان محسوب مي گردد.هدف عمده اعلاميه فوق ، ارائه روشي آسان بمنظور شناخت و درک ساده نحوه حفاظت سيستم هاي سازمان در زمان استفاده است . کاربران معمولي ، عموما" تمايل به تخطي از سياست هاي تدوين شده امنيتي در يک سازمان را داشته و اين موضوع مي تواند عاملي مهم براي تحت تاثير قراردادن سيستم هاي حساس و اطلاعات مهم سازمان در مواجهه با يک تهديد باشد. پيامد اين نوع عمليات ، بروز اشکال و خرابي در رابطه با اطلاعات ارزشمند در يک سازمان خواهد بود.بهمين دليل است که اکيدا" توصيه مي گردد که اطلاعات لازم در رابطه با نقش کاربران در تبعيت از سياست هاي امنيتي در سازمان  به آنان يادآوري و بر آن تاکيد گردد .

 2-4-5 ارسال داده حساس بر روي کامپيوترهاي منزل
يکي از خطرناکترين روش ها در رابطه با داده هاي حساس موجود در يک سازمان ، فعاليتي است که باعث غير فعال شدن تمامي پيشگيري هاي امنيتي ايجادشده  و در گير شدن آنان در يک فرآيند غير امنيتي مي گردد . پرسنل سازمان عادت دارند،اطلاعات حساس سازمان را بر روي کامپيوتر منزل خود فوروارد ( ارسال ) نمايند . در حقيقت کاربران تمايل به فوروارد نمودن يک پروژه ناتمام و يا برنامه ريزي تجاري به کامپيوتر منازل خود را داشته  تا از اين طريق امکان اتمام  کار خود در منزل را پيدا نمايند. کاربران به اين موضوع توجه نکرده اند که تغيير محيط ايمن سازمان با کامپيوتر منزل خود که داراي ايمني بمراتب کمتري است ، بطور جدي اطلاعات را در معرض آسيب و تهاجم قرار خواهد داد . در صورتيکه ضروري است که اطلاعات را به کامپيوترهاي منزل فوروارد نمود ، يک سطح مناسب ايمني مي بايست وجود داشته باشد تا اين اطمينان بوجود آيد که نوت بوک ها و يا کامپيوترهاي منازل در مقابل مهاجمين اطلاعاتي حفاظت شده و ايمن مي باشند.
3-4-5 ياداشت داده هاي حساس و ذخيره غيرايمن آنان
ايجاد و نگهداري رمزهاي عبور قدرتمند ، فرآيندي مستمر است که  همواره مي بايست مورد توجه قرار گيرد. کاربران همواره  از اين موضوع نفرت دارند که  رمزعبورهائي را ايجاد نمايند که قادر به بخاطرآوردن آن نمي باشند. سياست امنيتي تدوين شده  سازمان مي بايست تعيين نمايد که يک رمز عبور چگونه مي بايست ايجاد و نگهداري گردد. بخاطر سپردن چنين رمزعبوري همواره مسائل خاص خود را خواهد داشت . بمنظور حل اينچنين مشکلي ، کاربران تمايل دارند که ياداشت هاي مخفي را نوشته و آنها را زير صفحه کليد ، کيف جيبي و يا هر مکان ديگر در محل کار خود نگهداري نمايند. ياداشت ها ي فوق ، شامل اطلاعات حساس در ارتباط با داده هاي  مربوط به رمزعبور و ساير موارد مرتبط  است .استفاده از روشهاي فوق براي نگهداري اطلاعات ، يک تخطي امنيتي است  .دراين راستا لازم است ،کاربران توجيه و به آنان آگاهي لازم داده شود که با عدم رعايت موارد مشخص شده امنيتي ،پتانسيل هاي  لازم  بمنظور بروز مشکل در سيستم افزايش خواهد يافت . لازم است به کاربران ، روش ها و تکنيک هاي متفاوت بخاطر سپردن رمز عبور آموزش داده شود تا زمينه استفاده کاربران از ياداشت  براي ثبت اينگونه اطلاعات حساس کاهش يابد . سناريوي هاي متفاوت براي آنان تشريح و گفته شود که يک مهاجم با استفاده از چه روش هائي ممکن است به اطلاعات ثبت شده در ياداشت ها ، دست پيدا نموده و زمينه بروز مشکل را فراهم نمايد.
4-4-5 دريافت فايل از سايت هاي غير مطمئن
يکي از سرويس هاي اينترنت امکان  دريافت فايل توسط کاربران است . کاربران بمنظور دريافت فايل از اينترنت ، اغلب از امتيازات  خود تعدي و حتي سياست ها ي موجود در سازمان  را در معرض مخاطره و آسيب قرار مي دهند . دريافت فايل از وب سايت هاي گمنام و يا غير مطمئن باعث کمک در توزيع برنامه هاي مهاجم  در اينترنت مي گردد. بدين ترتيب ما بعنوان ابزاري براي توزيع يک برنامه مخرب در اينترنت  تبديل خواهيم شد. فايل ها و برنامه هاي دريافتي پس از آلودگي به نوع خاصي از برنامه مخرب ( ويروس ، کرم ، اسب تراوا ) ، مي تواند تاثيرات منفي فراواني را در ارتباط با عملکرد يک سازمان بدنبال داشته باشد .کاربران مي بايست بندرت فايل هائي را از اينترنت دريافت  در موارديکه ضرورت اين کار حس و به برنامه اي خاص نياز باشد ،  اکيدا" توصيه  مي گردد که موضوع با دپارتمان IT ( يا ساير بخش هاي مسئول در سازمان )  درميان گذاشته شود تا آنان بر اساس تجربه و دانش خود ، اقدام به تهيه برنامه مورد نظر از منابع مطمئن نمايند .
 


منابع :


 
طراحی سایت : سایت سازان