امنیت، حفاظت از داراییهای ارزشمند در برابر حملات عمدی و غیر عمدی است. مفهوم امنیت در دنیای واقعی، مفهوم مهم و حیاتی است. در دوران ما قبل تاریخ مفهوم امنیت کامل فیزیکی بوده که شامل اصول حفظ بقا، نظیر امنیت در برابر حمله دیگران یا حیوانات و یا امنیت در زمینه تأمین غذا بود. به تدریج نیازهای دیگری چون امنیت در برابر حوادث طبیعی یا بیماریها و رد اختیار داشتن مکانی برای زندگی و استراحت بدون مواجه با خطر به نیازهای پیشین افزوده شد با پیشرفت تمدن و شکلگیری جوامع، محدوده امنیت فراتر رفته و ابعاد وسیعتری را شامل میشود بطوریکه اموال شخصی نیز به تعریف امنیت اضافه شده است.
امنیت اطلاعات چیست؟
با توجه ویژگیهای عصر امروزی که عصر اطلاعات نیز نامیده شده است مهمترین سرمایه برای هر فرد و یا سازمان اطلاعات است به همین جهت در این عصر، امنیت اطلاعات جزء یکی از مهمترین مسائل امروزی گشته است. امنیت اطلاعات در واقع محافظت از اطلاعات در برابر طیف وسیعی از تهدیدات شامل دسترسی، کاربرد، افشاء، قطع، تغییر یا انهدام غیر مجاز اطلاعات است که با هدف تضمین استمرار فعالیتهای کاری، به حداقل رساندن ریسکهای کاری و به حداکثر رساندن میزان بازده سرمایـهگـذاریها و فرصتها صورت میپذیرد. طبق این دیدگاه، امنیت اطلاعات، تأثیر مثبت و دراماتیکی بر سازمان دارد. همچنین امنیت اطلاعات، کنترلی برای تضمین تداوم حفاظت از داراییهای سازمان از آسیب یا از دست دادن معنا شده است.
به عبارت دیگر امنیت اطلاعات به حفاظت از اطلاعات و به حداقل رساندن خطر افشای اطلاعات در بخشهای غیر مجاز اشاره دارد. امنیت اطلاعات مجموعهای از ابزارها برای جلوگیری از سرقت، حمله، جنایت، جاسوسی و خرابکاری و علم مطالعه روشهای حفاظت از دادهها در رایانهها و نظامهای ارتباطی در برابر دسترسی و تغییرات غیر مجاز است .با توجه به تعاریف ارائه شده، امنیت به مجموعهای از تدابیر، روشها و ابزارها برای جلوگیری از دسترسی و تغییرات غیر مجاز در نظامهای رایانهای و ارتباطی اطلاق میشود. اما نکتهای که وجود دارد این است مقوله امنیت اطلاعات در عصر اطلاعات نه به صورت یک کالا و یا محصول بلکه به صورت یک فرآیند نگاه کرده و امنیت را در حد یک محصول خواه نرمافزاری و یا سختافزاری تنزل ندهیم.
عامل دیگر در اهمیت یافتن امنیت اطلاعات، شبکههای جهانی و تجارت جهانی است. با اشاعه اینترنت و جهانی شدن زندگی روزمره ما دچار تغییرات شده است و سازمانهای مدرن از اینترنت برای عملیات کسب و کار خود استفاده نموده و در نتیجه به آن وابسته شدهاند این امر، تجارت الکترونیکی را به دنبال داشته است که موجبات تغییر فرایندهای کسب و کار را فراهم نموده است. این وابستگی به کسب و کار الکترونیکی نیز ضرورت حفاظت از اطلاعات را مطرح نموده و رویکردهای گوناگونی را برای پیادهسازی امنیت اطلاعات به وجود آورده است. این رویکرد سعی در جلوگیری از آسیب رساندن به عملیات سازمان دارند و میتوان بیان کرد که برای تداوم کسب و کار، امنیت اطلاعات سازمان اهمیت بسیار یافته است. امروزه حتی با ظهور سازمانهای مجازی از نظر جغرافیایی، پراکنده و بدون مرز، تبادل اطلاعات اهمیت یافته است و حفظ ایمنی این اطلاعات اهمیتی حیاتی دارد و امنیت اطلاعات لازمه گسترش سازمانهای مجازی است .
در صورت هر گونه رخنه در محمل هاي اطلاعات، تبعات بسیار ناگواری برای سازمان به وجود میآورد که از آن جمله میتوان به خسارتهای مالی، تصمیم گیریهای اشتباه، از دست دادن اعتماد عمومی و ناتوانی در انجام وظایف حیاتی و هزینههای اضافی و رخنه در خدمات را ذکر نمود. همچنین از دست دادن دادههای سازمان میتواند منجر به خدشه اعتبار سازمان و در نتیجه خسران کسب و کار، مشکلات قانونی، سقوط ارزش سهام و از بین رفتن اعتماد سرمایهگذاران کسب اطلاعات رقبا از دانش داخلی از دست دادن مشتریان و در نهایت ایجاد مشکل در استخدام آتی سازمان گردد. در هر حال دغدغههای سازمانها بیجهت نمیباشد زیرا بسیاری از آنها با حوادث امنیتی مواجهه شدهاند و ابزارها و سازوکارهای امنیتی، اثر بخشی کمتری دارند زیرا امنیت اطلاعات در وهله اول مسئله انسانی و به همان میزان مسئلهای سازمانی یا مدیریتی میباشد. با توجه به این دیدگاه اهمیت امنیت اطلاعات به زمینه سازمانی بر میگردد که در آنجا وجود دارد. دلیل دیگر برای ضرورت تحقیق در زمینه امنیت اطلاعات این مورد است که دانش در زمینه امنیت اطلاعات با معنی و عمیق اما متنوع و گسترده است و نیازمند تحقیقات گسترده برای نحوه استفاده از آن است.
ظهور تکنولوژی ارتباطات و اینترنت امکان «اشتراک اطلاعات» و «تبادل آسان اطلاعات» بین سیستمهای کامپیوتری را به وجود آورده است. این فناوريهای نوین با غلبه بر فاصلهها و محدودیتهای فیزیکی و کاهش محسوس زمان، معماری و ساختار ارائه خدمات در سیستمها را به شدت تحت تأثیر قرار دادهاند. این فناوريهای نوین بستری مناسب را برای انجام مبادلات تجاری، ارائه خدمات آنلاین مانند بانکداری الکترونیکی و خدمات دولت الکترونیکی ایجاد کردهاند. فناوري اطلاعات یک سکه دو روست هم فرصت است و هم تهدید! اگر به همان نسبتی که به توسعه و همهگیریاش توجه و تکیه میکنیم به «امنیت» آن توجه نکنیم به سادگی و در کسری از ثانیه تبدیل به یک تهدید و مصیبت بزرگ میشود.
تاریخچه امنیت اطلاعات
مفهوم و اهمیت ایمنی و امنیت از همان آغاز زندگی بشر وجود داشت، بشر همیشه برای بقا و ادامه زندگی سعی نموده است که جهت حفاظت از خود و داراییهایش، آگاهیها و دانش خود را نسبت به محیط و خطرات اطراف خود افزایش دهد(سادوسکای، 1384).ایمنی و امنیت یک مفهوم ذاتی است که با حفاظت از چیزهای ارزشمند ارتباط پیدا میکند؛ و به طور خلاصه، ایمنی به راههای ممکن که در آن سلامت یک سیستم بایستی تأمین و دفع نقایصی که در راه حصول به اهداف وجود دارد، تعریف میشود.
جهان با گذشت زمان به قول دیوید هاروی (1998) به سوی نوعی فشردگی پیش میرود، زمان و مکان درهم آمیخته است، مرکزهای متعالی جای خود را به مرکزهای لرزان و بی ثبات، داده است و هویتهای کدر ناخالص جایگزین هویتهای ناب و خالص گشته است. از این لحاظ، امنیت نیز مفهوم سنتی و کلاسیک خود را از دست داده است.
از منظر زبانشناسانه “دال” امنیت به مدلول خاص و ثابتی رجوع نمیدهد و در گفتمانهای گوناگون مصداقهای متفاوتی به خود میگیرد اما حفاظت از اطلاعات به عنوان مهمترین سرمایه سازمانها همیشه مورد توجه قرار داشت، قبل ظهور عصر شبکهها، اطلاعات به صورت پروندههای کاغذی بایگانی میشد هرچند این رویه هنوز رایج است با پدید آمدن شبکهها و دسترسی آسان به اینترنت قسمت اعظم اطلاعات از طریق این بستر که فضای تبادل اطلاعات نام دارد در حال انتقال و پردازش است قسمت اعظم اطلاعات به صورت دیجیتالی ذخیره و بازیابی شده و در این فضا سرعت و دقت انتقال اطلاعات خیلی بیشتر است. به موازات گسترش شبکههای محلی و سراسری تهدیدات و سرقت و تخریب اطلاعات نیز بیشتر شده به طوری شاید یکی از مهمترین مسائل در عصر اطلاعات، حفاظت آنها میباشد.
امنیت اطلاعات در عصر کامپیوتر
دامنه امنیت اطلاعات در عصر کامپیوتر به شدت تغییر کرده است. در آغاز این دوره مسائل امنیتی مربوط به مسائل زیر میشد:
امنیت فیزیکی مکانی و موقعیت کامپیوترها.
تایید قابلیت اعتماد کارکنانی که با سیستمها کامپیوتری سروکار دارند.
بهترین مثال این دوره را میتوان پروژه کلوسسدانست پروژه مذکور در بلکی پارک لندن در نیمه دوم جنگ جهانی دوم به اجرا درآمد. بلکی پارک به منظور تسهیل رمزگشایی پیامهای مبادله شده بین نیروهای متفقین ساخته شده بود. در طی جنگ جهانی دوم، آلمان از مدلهای ماشینی رمزگذاری/رمزگشایی الکترونیکی فراوانی با نام انیگمااستفاده میکرد به منظور تسریع فرایند رمزگشایی پیامهای منفصل، بلکی از ماشین حسابهای الکترومغناطیسی با نام پمپ استفاده میکرد. در طول جنگ، آلمانها هرگز در مورد فعالیتهای بلکی پارک اطلاعاتی پیدا نکرده و پروژه به صورت محرمانه مخفی ماند. اولویت اطلاعات در زمینه این پروژه در سال 1970 منتشر گردید.
در دهه 1970 تمرکز اصلی بر روی امنیت فیزیکی ساختمانها و نیز ایجاد انگیزه مناسب در کاربران بوده است. مسائل امنیتی این دوره به موارد زیر محدود میشد
- محافظت در برابر فجایع مانند آتش، سیل، نوسانات نیرو و...
- محافظت در برابر افشای اطلاعات. در این دوره سیستمهای ارتباطی چندان برای انتقال داده بین تجهیزات مختلف به کار نمیرفت. بنابراین داده در قالب مستندات کاغذی ارائه شده و سپس وارد سیستم کامپیوتری میشد. از افشای اطلاعات نیز به طور عمده توسط جلوگیری از ذخیره غیر مجاز اطلاعات بر روی رسانه مغناطیسی یا مستندات کاغذی جلوگیری میشد. به منظور جلوگیری از اینگونه تقلبها، کارمندان به صورت کاملاً جدی تحت نظر مدیریت قرار داشتند.
- محافظت در برابر خطاهای ناشی از بد عمل کردن سختافزار، در این دوره زمانی، فناوري بسیار ناپایدارتر از امروز بود، همانطور که نرمافزار در حال حاضر ناپایدار میباشد. اجزای کامپیوتری ممکن بود هر روز از کار بیفتد و زمان بین خرابیها در قیاس ساعت و بلکه روز بوده است.
اينترنت و امنيت اطلاعات
اینترنت در سال 1969 به صورت شبکههایی به نام آرپانتکه مربوط به وزارت دفاع آمریکا بود راهاندازی شد. هدف این بود که با استفاده از رایانهای متصل به هم، شرایطی ایجاد شود که حتی اگر بخشهای عمدهای از سیستم اطلاعاتی به هر دلیلی از کار بیفتد کل شبکه بتواند به کار خود ادامه دهد و اطلاعات شبکه حفظ شود. از همان ابتدا فکر ایجاد شبکه برای جلوگیری از اثرات مخرب حملات اطلاعاتی مطرح شد.
در سال 1971 تعدادی از رایانههای دانشگاهها و مراکز دولتی به این شبکهها متصل شدند و محققین از این طریق شروع به تبادل اطلاعات کردند. با بروز رخدادهای غیر منتظره در اطلاعات، توجه به مسائل امنیت اطلاعات بیشتر شد. در سال 1988 آرپانت برای اولین بار با یک حادثه امنیتی سراسری در شبکه مواجه شد که بعداً کرم موریس نام گرفت. رابرت موریس که یک دانشجو در نیویورک بود برنامهای نوشت که میتوانست به یک رایانه دیگر راه یابد و در آن تکثیر شده و به همین ترتیب به رایانهای دیگر نفوذ کند و سپس به صورت هندسی تکثیر شود. آن زمان 88000 رایانه به این شبکه وصل بود این برنامه سبب شد طی مدت کوتاهی ده درصد از رایانههای متصل به شبکه از کار بیفتد به دنبال این حادثه، بنیاد مقابله با حوادث امنیتی شکل گرفت که در هماهنگی فعالیتهای مقابله با حملات ضد امنیتی، آموزش و تجهیز شبکهها و روشهای پیشگیرانه نقش موثری داشت
عناصر کلیدی در امنیت اطلاعات
در تثبیت امنیت اطلاعات، عناصری کلیدی زیر، نقش بسزایی دارند (استاندارد BS7799) :
محرمانگی : فرآیندی است که به کمک آن این اطمینان ایجاد میگردد که حریم خصوصی داده رعایت و امکان مشاهده آن توسط کاربران غیر مجاز و یا سایر افرادی که قادر به ردیابی ترافیک یک شبکه میباشند وجود نخواهد داشت. به عبارتی دیگر محرمانگی به حفاظت اطلاعات از فاش شدن غیر مجاز یا جلوگیری از درک شدن آنها میباشد. به عبارت دیگر اطلاعات فقط باید برای افراد مجاز در دسترس باشد که این امر یا با محدود نمودن دسترسی و یا با رمزی نمودن اطلاعات قابل انجام میباشد.
یکپارچگی و تمامیت : فرآیندی است که به کمک آن این اطمینان ایجاد میگردد که همواره داده در مقابل تغییرات تصادفی و یا تعمدی حفاظت شود، همانند محرمانگی اطلاعات، یکپارچگی اطلاعات یک فاکتور اساسی در خصوص امنیت داده محسوب میشود. به عبارتی دیگر تمامیت یا صحت شامل درستی و جامعیت اطلاعات است. اهمیت صحت اطلاعات در اتخاذ تصمیم است رخنه در صحت اطلاعات میتواند ناشی از تغییر غیر مجاز، غیر منتظره و غیر عامدانه باشد .
در دسترس بودن : فرآیندی است که به کمک آن این اطمینان ایجاد میگردد که همواره داده برای کاربران مجاز در دسترس و قابل استفاده خواهد بود در اغلب حملات از نوع حملات ممانعت از سرویس، مهاجمان این هدف را دنبال میکنند که بتوانند امکان استفاده و در دسترس بودن برنامه برای کاربران را غیر ممکن و عملاً آن را از کار بیندازند. به عبارتی در دسترس بودن منابع برای استفاده توسط فرد مرتبط در زمان صحیح میباشد. این ویژگی از آنسو مهم است. چون بدون آن فعالیتهای معمول شرکت ادامه نمییابد و تصمیمات به موقع گرفته نمیشود. همچنین به این وسیله به نیازها پاسخ داده شده و از خسارات قابل توجه جلوگیری میشود.
عدم انکار: به معنای تایید این است که یک فرد یا گروه مشخص اطلاعات خاصی را ارسال و یا دریافت نموده است و این فرد یا گروه نمیتواند دریافت اطلاعات را انکار کندو عدم انکار پیش نیاز پیادهسازی بسیاری از سرویسهای الکترونیکی مانند تعاملات کسب و کار در اینترنت میباشد.
تصدیق: فرآیندی است که به کمک آن دستیابی گیرندگان تایید شده و عملیاتی که قصد انجام آن را دارند بررسی و مجوز لازم صادر میشود. فایلها، بانکهای اطلاعاتی، جداول و منابع موجود در سطح سیستم نظیر کلیدهایرجیستری، دادههای پیکربندی نمونههای از منابع مورد درخواست سرویس گیرندگان است.
کنترل دسترسی: برای محدود کردن استفاده از سرویسهای الکترونیکی فقط برای استفاده از افرادی که مجاز میباشند به کار میرود. هدف از کنترل دسترسی، حفاظت نسبی از محرمانگی و یکپارچگی اطلاعات است.
اصطلاحات امنیتی
تهدید: به هر گونه پتانسیل بروز یک رویداد مخرب و یا مواردی که میتواند به سرمایههای یک سازمان آسیب رساند تهدید گفته میشود. به عبارت دیگر هر رویدادی که توانایی آسیب رساندن به سیستم را داشته باشد، در زمره تهدیدات محسوب میگردد.
حمله : عملیاتی است که محوریت آن سوءاستفاده از نقاط آسیبپذیر و پتانسیلهای بروز یک رویداد مخرب میباشد. ارسال ورودی مخرب به یک برنامه و یا بار بیش از اندازه یک شبکه به منظور از کار انداختن یک سرویس، نمونههایی در این زمینه میباشد.
رخنه : نقض سیاست امنیتی یک سیستم را رخنه گویند. که میتواند حتی توسط کارمند سازمان در اثر عدم آگاهی و یا بیدقتی صورت گیرد.
نفوذ: فرآیند حمله و رخنه ناشی از آن و همچنین دسترسی موفق، قابل تکرار، و غیر مجاز به منابع حفاظت شده سیستم را نفوذ گویند.
حمله امنیتی: عملی است که امنیت اطلاعات سازمان را نقض میکند. یک حمله به طرق مختلف میتواند چه از داخل سازمان و یا خارج آن صورت گیرد.
سازوكار امنیتی : سازوكاري که جهت شناخت، پیشگیری و درمان یک نفوذ امنیتی طراحی میشود. در واقع هر مکانیزم راهحلی برای نیازها و مشکلاتی امنیتی است. مکانیزمهای امنیت انواع روشها و رویههای مورد استفاده جهت مقابله با نفوذ و اثرات آن را بیان میکند و دربرگیرنده روش در نظر گرفته شده برای تشخیص، جلوگیری و بازیابی از حملات است.
سرویس امنیتی: مجموعهای از مکانیزمهای امنیتی، فایلها و رویهها است که کمک به حفاظت از شبکه مینماید در واقع، سرویس امنیتی، سرویسی است که جهت ارتقاء وضعیت امنیت دادهها استفاده میشود.
مزایای سرمایهگذاری در امنیت اطلاعات
سازمانها و مؤسسات تجاری با پیادهسازی یک استراتژی امنیتی از مزایای زیر بهرهامند خواهند شد :
کاهش احتمال غیر فعال شدن سیستمها و برنامهها (از دست ندادن فرصتها)
استفاده موثر از منابع انسانیو غیر انسانی در یک سازمان (افزایش بهرهوری)
کاهش هزینه از دست دادن دادهها و اطلاعات توسط ویروسهای مخرب و یا حفرههای امنیتی(حفاظت از دادههای ارزشمند)
افزایش حفاظت از مالکیت معنوی
هزینه پیشگیری از یک مشکل امنیتی، همواره کمتر از هزینه بازسازی خرابی متأثر از آن است.
ضعف در بعد امنیت :
ضعفهای امنیتی در سامانههای رایانهای معمولاً از موارد زیر ناشی میشود:
سهل انگاری
برنامهنویسان: معمولاً برنامهنویسان و طراحان از اهمیت نکات امنیتی، اطلاعاتی ندارند و در طراحی و ساخت نرمافزارها، نکات امنیتی را رعایت نمیکنند.
اولویت پایین :
تا چندی قبل، حتی کسانی که از نکات امنیتی آگاهی داشتند نسبت به آن چندان اقدامی نمیکردند و در نتیجه مسائل امنیتی مورد توجه قرار نمیگرفت.
محدودیت زمان و مکان و هزینه:
بعضی افراد تصور میکنند اقدامات امنیتی جهت طراحی، کد نویسی آزمایش در طول فرایند تولید نرمافزار هزینه گزافی در بر داشته و زیان زیادی به خود اختصاص میدهد؛ لذا اهمیت شایانی به رعایت نکات ایمنی داده نمیشد.
بینظی برنامهنویسان :
برنامهنویسان در کارهای مربوط به برنامهنویسی، معمولاً در اثر بینظمی، اشتباهات را چندین بار تکرار میکردند و باعث ایجاد نقایص امنیتی میشدند.
خلاقیت تبهکاران :
انسان موجودی خلاقی است و افراد با انگیزه همیشه برای غلبه بر موانع امنیتی و کشف اشتباهاتی که منجر به نقایص امنیتی شوند راهی پیدا خواهند کرد.
سطح پایین آگاهی کاربران:
کاربران معمولی به طور طبیعی، به خاطر پایین بودن سطح معلوماتشان، از تهدیدهای اطراف خود آگاه نیستند و به همین دلیل در پی راههای مناسب جهت تضمین امنیت دادهها و سیستمهای خود نیستند.
نگاه غیر واقعبینانه قربانیان:
برخی کاربران نسبت به نکات امنیتی آگاهی دارند ولی آنها را جدی نمیگیرند، چون گمان دارند که هیچگاه حملهای علیه آنها صورت نخواهد گرفت.
عوامل مختلف در امنیت اطلاعات
رون و ماریوس امنیت اطلاعات را به سه جنبه تقسیم بندی کردهاند (2005) :
۱-تکنولوژی
۲-افراد
۳-فرایندها
کنترلهای دستیابی فیزیکی و سیستمهای فناوري اطلاعات مثالهای نوعی از بعد تکنولوژی هستند که حمایتهایی برای دیگران فراهم میکنند. این سیستمها معمولاً خدماتی فراهم میکنند که برای بهکارگیری کنترلهای دستیابی حیاتیاند. فرایندهای امنیتی نشان میدهد که چگونه شرکت، هم به صورت رسمی و هم غیر رسمی عمل میکند و آن شامل همه خطمشیها، فعالیتهای روتین، رویهها و رهنمودها است، همچنین شامل تعاملات با مشتریان، عرضهکنندگان، شرکای تجاری و همچنین برنامههای اقتضایی برای کشف هر موقعیت بحرانی است. در نهایت عامل انسانی توصیف میکند که چگونه افراد با این سیستمها و فرایندها تکامل مییابند اما بدون توجه به شرایط، اطلاعات همیشه نقطه مرکزی است چه به صورت الکترونیک باشد و یا توسط کارمندان نگهداری شود. معمولاً در اینجا عامل انسانی کمتر توجه شده است، شاید به خاطر اینکه مانند جنبههای دیگر، کمیتپذیر و قابل سنجش نیست.
توفیق در ایمنسازی اطلاعات منوط به حفاظت از اطلاعات و سیستمهای اطلاعاتی در مقابل حملات است. بدین منظور از سرویسهای امنیتی متعددی استفاده میگردد سرویسهای انتخابی، میبایست پتانسیل لازم در خصوص ایجاد یک سیستم حفاظتی مناسب، تشخیص به موقع حملات و واکنش سریع را داشته باشند. بنابراین میتوان محور استراتژی انتخابی را بر سه مؤلفه حفاظت، تشخیص و واکنش استوار نمود. حفاظت مطمئن، تشخیص به موقع و واکنش مناسب از جمله مواردی است که میبایست همواره در ایجاد یک سیستم امنیتی رعایت گردد. سازمانها و مؤسسات، علاوه بر یکپارچگی بین مکانیزمهای حفاظتی، میبایست همواره انتظار حملات اطلاعاتی را داشته و لازم است خود را به ابزارهای تشخیص و روتینهای واکنش سریع، مجهز تا زمینه برخورد مناسب با مهاجمان و بازیافت اطلاعات در زمان مناسب فراهم گردد. یکی از اصول مهم استراتژی «دفاع در عمق»، برقراری توازن بین سه عنصر اساسی : انسان، تکنولوژی و فرايندها است. حرکت به سمت تکنولوژی اطلاعات بدون افراد آموزش دیده و روتینهای عملیاتی که راهنمای آنان در نحوه استفاده و ایمنسازی اطلاعات باشد، محقق نخواهد شد.
تکنولوژی
امروزه از تکنولوژیهای متعددی به منظور ارائه سرویسهای لازم در رابطه با ایمنسازی اطلاعات و تشخیص مزاحمین اطلاعاتی، استفاده میگردد. سازمانها و مؤسسات میبایست سیاستها و فرآیندهای لازم به منظور استفاده از یک تکنولوژی را مشخص تا زمینه انتخاب و بهکارگیری درست تکنولوژی در سازمان مربوطه فراهم گردد. در این رابطه میبایست به مواردی همچون: سیاست امنیتی، اصول ایمنسازی اطلاعات، استانداردها و معماری ایمنسازی اطلاعات، استفاده از محصولات مربوط به ارائهدهندگان شناخته شده و خوشنام، راهنمای پیکربندی، پردازشهای لازم برای ارزیابی ریسک سیستمهای مجتمع و بهم مرتبط، توجه گردد. در این رابطه موارد زیر، پیشنهاد میگردد:
1- دفاع در چندین محل
مهاجمان اطلاعاتی (داخلی و یا خارجی) ممکن است، یک هدف را از چندین نقطه مورد تهاجم قرار دهند. در این راستا لازم است سازمانها و مؤسسات از روشهای حفاظتی متفاوت در چندین محل (سطح) استفاده، تا زمینه عکسالعمل لازم در مقابل انواع متفاوت حملات، فراهم گردد. در این رابطه میبایست به موارد زیر توجه گردد:
دفاع از شبکهها و زیرساخت. در این رابطه لازم است شبکههای محلی و یا سراسری حفاظت گردند. (حفاظت در مقابل حملات اطلاعاتی از نوع عدم پذیرش خدمات).
حفاظت یکپارچه و محرمانه برای ارسال اطلاعات در شبکه (استفاده از رمزنگاریو کنترل ترافیک به منظور واکنش در مقابل مشاهده غیر فعال).
دفاع در محدودههای مرزی. (بهکارگیری فایروالها و سیستمهای تشخیص مزاحمین به منظور واکنش در مقابل حملات اطلاعاتی از نوع فعال).
دفاع در محیطهای محاسباتی (کنترلهای لازم به منظور دستیابی به میزبانها و سرویسدهنده به منظور واکنش لازم در مقابل حملات از نوع خودی، توزیع و مجاور).
2- دفاع لایهای
بهترین محصولات مربوط به ایمنسازی اطلاعات دارای نقاط ضعف ذاتی، مربوط به خود میباشند. بنابراین همواره زمان لازم در اختیار مهاجمان اطلاعاتی برای نفوذ در سیستمهای اطلاعاتی وجود خواهد داشت. بدین ترتیب لازم است قبل از سوءاستفاده اطلاعاتی متجاوزان، اقدامات مناسبی صورت پذیرد. یکی از روشهای موثر پیشگیری در این خصوص، استفاده از دفاع لایهای در مکانهای بین مهاجمان و اهداف مورد نظر آنان، میباشد. هر یک از مکانیزمهای انتخابی، میبایست قادر به ایجاد موانع لازم در ارتباط با مهاجمان اطلاعاتی و تشخیص به موقع حملات باشد. بدین ترتیب امکان تشخیص مهاجمان اطلاعاتی افزایش و از طرف دیگر شانس آنها به منظور نفوذ در سیستم و کسب موفقیت، کاهش خواهد یافت. استفاده از فایروالهای تودرتو(هر فایروال در کنار خود از یک سیستم تشخیص مزاحمین، نیز استفاده مینماید) در محدودههای داخلی و خارجی شبکه، نمونهای از رویکرد دفاع لایهای است. فایروالهای داخلی ممکن است امکانات بیشتری را در رابطه با فیلترسازی دادهها و کنترل دستیابی به منابع موجود ارائه نمایند
فرایندها و عملیات
منظور از عملیات، مجموعه فعالیتهای لازم به منظور نگهداری وضعیت امنیتی یک سازمان است. در این رابطه لازم است، به موارد زیر توجه گردد:
- پشتیبانی ملموس و بههنگامسازی سیاستهای امنیتی
اعمال تغییرات لازم با توجه به روند تحولات مرتبط با تکنولوژی اطلاعات. در این رابطه میبایست دادههای مورد نظر جمعآوری تا زمینه تصمیمسازی مناسب برای مدیریت فراهم گردد (تأمین اطلاعات ضروری برای مدیریت ریسک).
- مدیریت وضعیت امنیتی با توجه به تکنولوژیهای استفاده شده در رابطه ایمنسازی اطلاعات (نصب وصلهامنیتی، به هنگامسازی آنتیویروسها، پشتیبانی لیستهای کنترل دستیابی)
- ارائه سرویسهای مدیریتی اساسی و حفاظت از زیرساختهای مهم (خصوصاً زیرساختهایی که برای یک سازمان ختم به درآمد میگردد).
- ارزیابی سیستم امنیتی
- هماهنگی و واکنش در مقابل حملات جاری
- تشخیص حملات و ارائه هشدار و پاسخ مناسب به منظور ایزوله نمودن حملات و پیشگیری از موارد مشابه
- بازیابي و برگرداندن امور به حالت اولیه (بازسازی)
افراد
موفقیت در ایمنسازی اطلاعات با پذیرش مسئولیت و حمایت مدیریت عالی یک سازمان (معمولاً در سطح مدیریت ارشد اطلاعات) و بر اساس شناخت مناسب از تهاجمات، حاصل میگردد. نیل به موفقیت با پیگیری سیاستها و روتینهای مربوطه، تعیین وظایف و مسئولیتها، آموزش منابع انسانی حساس (کاربران، مدیران سیستم) و توجیه مسئولیتهای شخصی کارکنان، حاصل میگردد. در این راستا لازم است یک سیستم امنیتی فیزیکی و شخصی به منظور کنترل و هماهنگی در دستیابی به هر یک از عناصر حیاتی در محیطهای مبتنی بر تکنولوژی اطلاعات، نیز ایجاد گردد. ایمنسازی اطلاعات از جمله مواردی است که میبایست موفقیت خود را در عمل و نه در حرف نشان دهد. بنابراین لازم است که پس از تدوین سیاستها و دستورالعملهای مربوطه، پیگیری مستمر و هدفمند جهت اجرای سیاستها و دستورالعملها، دنبال گردد. بهترین استراتژی تدوین شده در صورتیکه امکان تحقق عملی آن فراهم نگردد، (سهواً و یا عمداً)، هرگز امتیاز مثبتی را در کارنامه خود ثبت نخواهد کرد.
با توجه به جایگاه خاص منابع انسانی در ایجاد یک محیط ایمن مبتنی بر تکنولوژی اطلاعات، لازم است به موارد زیر توجه گردد:
تدوین سیاستها و رویهها
ارائه آموزشهای لازم جهت افزایش دانش
مدیریت سیستم امنیتی
امنیت فیزیکی
امنیت شخصی
تدابیر لازم در خصوص پیشگیری
پست الکترونیکی و هرزنامه
اينترنت چالش های جديدی را در عرصه ارتباطات ايجاد کرده است. کاربران اينترنت با استفاده از روش های متفاوت،امکان ارتباط با يکديگر را بدست آورده اند.اينترنت زير ساخت مناسب برای ارتباطات نوين را فراهم و زمينه ای مساعد و مطلوب بمنظور بهره برداری از سرويس های ارتباطی توسط کاربران فراهم شده است. بدون شک، پست الکترونيکی در اين زمينه دارای جايگاهی خاص است. پست الکترونيکی، يکی از قديمی ترين و پرکاربردترين سرويس موجود در اينترنت است. شهروندان اينترنت، روزانه ميليون ها نامه الکترونيکی را برای يکديگر ارسال می دارند. ارسال و دريافت نامه الکترونيکی، روش های سنتی ارسال اطلاعات ( نامه های دستی) را بشدت دستخوش تحول نموده و حتی در برخی از کشورها،اغلب مردم تمايل به استفاده از نامه الکترونيکی در مقابل تماس تلفتی با همکاران و خويشاوندان خود دارند. ارسال فايل و ساير مستندات به عنوان فايل ضميمه همراه يک نامه الکترونيکی به امری متداول تبديل شده است. عليرغم تمامی مزايای و پتانسل های ويژگی فوق، ضمائم نامه های الکترونيکی به يکی از منابع اصلی به منظور توزيع ويروس، تبديل شده اند. استفاده کنندگان نامه های الکترونيکی، می بايست در زمان بازنمودن فايل های ضميمه، دقت لازم را داشته باشند.(ولو اينکه اين نوع ضمائم و نامه های الکترونيکی توسط افرادی ارسال می گردد که شما آنان را می شناسيد).
طی ساليان اخير، بدفعات شنيده ايم که شبکه های کامپيوتری از طريق يک نامه الکترونيکی آلوده و دچار مشکل و تخريب اطلاعاتی شده اند. صرفنظر از وجود نواقص امنيتی در برخی از محصولات نرم افزاری که در جای خود توليد کنندگان اين نوع نرم افزارها بمنظور استمرار حضور موفقيت آميز خود در عرصه بازار رقابتی موجود، می بايست مشکلات و حفره های امنيتی محصولات خود را برطرف نمايند، ما نيز بعنوان استفاده کنندگان از اين نوع نرم افزارها در سطوح متفاوت، لازم است با ايجاد يک سيستم موثر پيشگيرانه ضريب بروز و گسترش اين نوع حوادث را به حداقل مقدار خود برسانيم. عدم وجود سيستمی مناسب جهت مقابله با اين نوع حوادث، می تواند مسائلی بزرگ را در يک سازمان بدنبال داشته که گرچه ممکن است توليدکننده نرم افزار در اين زمينه مقصر باشد ولی سهل انگاری و عدم توجه به ايجاد يک سيستم امنيتی مناسب، توسط استفاده کنندگان مزيد بر علت خواهد بود ( دقيقا" مشابه عدم بستن کمربند ايمنی توسط سرنشين يک خودرو با نواقص امنيتی).
هرزنامه
به نامه های الکترونيکی ناخواسته و اغواکننده، هرزنامه گفته می شود. بين هرزنامه و ويروس ها ی کامپيوتری ارتباط مستقيمی وجود نداشته و حتی پيام های معتبر و از منابع موثق می توانند در زمره اين نوع از نامه های الکترونيکی قرار گيرند. نامه های الکترونيکی ناخواسته معمولا" به صورت عمده ، ارسال می گردند.
هر يک از ما ممکن است در طی روز چندين نامه الکترونيکی ناخواسته را دريافت نمائيم. ( برخی کاربران تعدادی بيشتر و برخی ديگر، تعداد کمتری). در صورتی که دارای يک آدرس پست الکترونيکی می باشيد، همواره امکان دريافت نامه های الکترونيکی ناخواسته، وجود خواهد داشت. فرض کنيد، پس از بررسی صندوق پستی خود با پيامی مطابق زير برخورد نمائيد :
يک نمونه هرزنامه |
فرض کنيد که ما به شما بگوئيم که می توانيد هشتاد و دو درصد از وزن خود را صرفا" در چندين ماه، کاهش دهيد، آيا اين موضوع برای شما جالب است ؟ ما نيز اميدواريم که چنين اتفاقی بيافتد. برای آگاهی از اطلاعات بيشتر سايت ما را ديدن نمائيد. |
پيام فوق قطعا" يک هرزنامه می باشد. اين نوع از نامه های الکترونيکی بدون شک رنج آور و در صورتی که تعداد آنان زياد باشد، مشکلات و مسائل خاص خود را به دنبال خواهند داشت. در صورتی که شما دارای يک آدرس پست الکترونيکی عمومی می باشيد، ممکن است صدها پيام ناخواسته را با ظاهری کاملا" معقول و منطقی دريافت نمائيد. حتی با استفاده از فيلترهای مناسبی که ممکن است استفاده شود، امکان دريافت اينچنين نامه های الکترونيکی ناخواسته ای وجود خواهد داشت. در برخی موارد ممکن است برنامه های فيلتر باعث حذف نامه های الکترونيکی گردند که تمايل به دريافت آنان را داشته باشيم !
شايد تاکنون اين سوال برای شما مطرح شده باشد که منبع ارسال اين همه نامه الکترونيکی ناخواسته کجا بوده و فرستندگان اين نوع از نامه های الکترونيکی چه اهدافی را دنبال می نمايند ؟ آيا روشی برای مقابله و توقف آنان وجود دارد ؟ در ادامه سعی خواهيم کرد به سوالات فوق، پاسخ دهيم.
منبع نامه های الکترونيکی ناخواسته
هرزنامه از جمله مسائل و مشکلاتی است که دامنه آن گريبانگير تمامی افراديکه دارای آدرس پست الکترونيکی می باشند، می گردد.بر اساس تحقيقات انجام شده در رابطه با ابعاد متفاوت اين نوع از نامه های الکترونيکی که در Business Week magazine، منتشر شده است، به موارد جالب زير برخورد می نمائيم :
ابعاد مخرب نامه های الکترونيکی ناخواسته |
تنها درطی يک روز در سال 2003، يکی از عظيم ترين ارائه دهندگان خدمات اينترنتی ( AOL)، بيش از دو ميليارد پيام ناخواسته را بلاک نموده است. شرکت مايکروسافت که دومين ارائه دهنده سرويس اينترنت MSN و سرويس hotmail است، اظهار داشته است که بطور متوسط روزانه حدود 4 / 2 ميليارد پيام ناخواسته را بلاک می نمايد. بر اساس بررسی انجام شده در موسسه تحقيقاتی Radicati Group در ارتباط با نامه های الکترونيکی ناخواسته، بيش از چهل و پنج درصد از 9 / 10 تريليون پيام ارسال شده در سال 2003، هرزنامه بوده اند. |
يکی از مسائل مرتبط با هرزنامه و اين که چرا حجم آنان تا به اين اندازه زياد می باشد به سهولت در ايجاد آنان، برمی گردد. شما نيز می توانيد به سادگی به يک ارسال کننده نامه های الکترونيکی ناخواسته تبديل شويد.در حال حاضر، صدها شرکت وجوددارد که لوح های فشرده شامل ميليون ها آدرس معتبر پست الکترونيکی را می فروشند. با استفاده از نرم افزاری نظير Word، می توان بسادگی آدرس های فوق را به خطوطی مشتمل بر يکصد آدرس در هر خط تبديل و در ادامه با استفاده از پتانسيل هميشه جذاب Cut و Paste آنان را در فيلد TO هر برنامه معمولی نامه الکترونيکی، قرار دارد. پس از فشردن دکمه Send، در کمتر از چندين ثانيه، صدها نامه الکترونيکی ارسال خواهد شد. سادگی در ايجاد و توزيع اين نوع از نامه های الکترونيکی، از مهمترين مسائل و مشکلات مرتبط با هرزنامه، است.
آدرس های پست الکترونيکی، چگونه جمع آوری می گردند ؟
شايد اين سوال در ذهن شما مطرح شده باشد که يک شرکت چگونه ميليون ها آدرس پست الکترونيکی معتبر را جمع آوری تا پس از استقرار آنان بر روی CD، امکان فروش آنان را فراهم نمايد ؟ در اين رابطه منابع متعددی وجود دارد :
اولين منبع جمع آوری آدرس های پست الکترونيکی، گروه های خبری ( newsgropus) و اتاق های چت، می باشند. ( خصوصا" برروی سايت های بزرگی نظير AOL). کاربران ( خصوصا" افرادی که اولين مرتبه از اين امکانات استفاده می نمايند)، اغلب از اسامی Screen استفاده نموده و يا آدرس واقعی پست الکترونيکی خود را در گروههای خبری قرار می دهند. ارسال کنندگان نامه های الکترونيکی ناخواسته ( Spammers)، از يک نرم افزار خاص برای استخراج اسامی Screen و آدرس های پست الکترونيکی به صورت اتوماتيک استفاده می نمايند.
دومين منبع برای جمع آوری آدرس های پست الکترونيکی، وب می باشد. در حال حاضر ده ها ميليون سايت بر روی اينترنت وجود دارد و ارسال کنندگان نامه های الکترونيکی ناخواسته می توانند با ايجاد "مراکز جستجو" ، عمليات جستجو به منظور يافتن علامت "@" را که نشاندهنده يک آدرس الکترونيکی می باشد را پيمايش می نمايند. اين نوع از برنامه ها را Spambots می نامند.
سومين منبع تامين کننده آدرس های پست الکترونيکی، سايت هائی می باشندکه صرفا" با هدف جذب آدرس های پست الکترونيکی، ايجاد می گردند. مثلا" يک ارسال کننده نامه های الکترونيکی ناخواسته می تواند، سايتی را ايجاد نمايد که به شما بگوئيد که شما " يک ميليون دلار " برنده شده ايد و صرفا" آدرس پست الکترونيکی خود را در اين محل تايپ و يا درج نمائيد.
يکی ديگر از روش های جمع آوری آدرس های پست الکترونيکی که بيشتر استفاده می گيرد، فروش آدرس پست الکترونيکی اعضاء توسط سايت های بزرگ، است. برخی ديگر از سايت ها، مخاطبان خود را با اين سوال مواجه می نمودند که آيا تمايل به دريافت خبرنامه پست الکترونيکی را داريد؟" در صورت پاسخ مثبت به سوال فوق، آدرس شما دريافت و در ادامه به يک ارسال کننده نامه الکترونيکی فروخته می شود.
بزرگترين و متداولترين منبع تامين کننده آدرس های نامه های الکترونيکی، جستجو بر حسب کليد واژه " ديکشنری "، مربوط به سرويس دهنده پست الکترونيکی شرکت های عظيم خدمات اينترنتی و پست الکترونيکی نظير MSN,AOL و يا Hotmail، می باشد. يک حمله مبتنی بر ديکشنری، در ابتدا ارتباطی را با يک سرويس دهنده پست الکترونيکی به عنوان هدف، برقرار نموده و در ادامه و با سرعت به صورت تصادفی اقدام به ارسال ميليون ها آدرس پست الکترونيکی، می نمايد. تعداد زيادی از اين آدرس ها دارای تفاوت های اندکی با يکديگر می باشند. نرم افزار مورد نظر در ادامه بررسی لازم در خصوص Live بودن آدرس های فوق را انجام و در ادامه آنان را به ليست آدرس ارسال کننده نامه الکترونيکی، اضافه می نمايد. در نهايت ليست آماده شده به تعداد زيادی از ارسال کنندگان نامه های الکترونيکی ناخواسته، فروخته می شود.
آدرس های نامه های الکترونيکی، عموماً خصوصی تلقی نمی گردند ( نظير درج شماره تلفن شما در ليست دفترچه تلفن عمومی). زمانی که يک ارسال کننده نامه الکترونيکی، موفق به آگاهی از آدرس پست الکترونيکی شما گردد، آن را در اختيار ساير ارسال کنندگان نامه های الکترونيکی قرار می دهد. در چنين مواردی می بايست در انتظار دريافت تعداد زيادی از نامه های الکترونيکی ناخواسته باشيم ( شناسنائی دقيق هدف برای ارسال نامه الکترونيکی).
چگونه می توان ميزان هرزنامه را کاهش داد ؟
با رعايت برخی نکات، می توان ميزان هرزنامه دريافتی را بطرز محسوسی کاهش داد :
- آدرس ایمیل خود را بدون دليل در اختيار ديگران قرار ندهيد. آدرس های پست الکترونيکی به اندازه ای متداول شده اند که شما می توانيد بر روی هر فرمی که به منظور کسب اطلاعات شما در نظر گرفته می شود، وجود فيلد خاصی به منظور دريافت آدرس ایمیل را مشاهد نمائيد. تعدادی زيادی از مردم بدون درنظر گرفتن مسائل جانبی، آدرس ایمیل خود را در هر محلی و يا هر فرمی درج می نمايند. مثلا" شرکت ها، اغلب آدرس ها را در يک بانک اطلاعاتی ثبت تا بتوانند وضعيت مشتيريان خود را در آينده دنبال نمايند. برخی اوقات، اطلاعات فوق به ساير شرکت ها فروخته شده و يا امکان استفاده مشترک برای آنان، فراهم می گردد. بديهی است در چنين مواردی ممکن است برای شما يک ایمیل و از طرف شرکتی ارسال شود که نه توقع آن را داشته ايد و نه از آنان درخواستی مبنی بر ارائه اطلاعات خاصی را داشته ايد.
- بررسی سياست های محرمانگی . قبل از ارسال آدرس ایمیل خود به صورت آنلاین، بدنبال Privacy سايت مورد نظر بگرديد.تعداد بسيار زيادی از سايت های شناخته شده و خوشنام دارای يک لينک خاص بر روی سايت خود به منظور آشنائی کاربران با سياست های آن سايت در خصوص نحوه برخورد با اطلاعات ارسالی شما می باشند. (همواره اين پرسش را برای خود مطرح نمائيد که آيا ما آدرسایمیل خود را در سايت هائی درج می نمائيم که نسبت به آنان شناخت کافی داريم ؟). شما می بايست قبل از ارسال آدرس ایمیل خود و يا ساير اطلاعات شخصی، سياست های اعلام شده توسط سايت مورد نظر را مطالعه نموده و از اين موضوع آگاه شويد که مالکين و يا مسئولين سايت قصد انجام چه کاری را با اطلاعات ارسالی شما دارند.
- دقت لازم در خصوص گزينه هائی که به صورت پيش فرض فعال شده اند. زمانی که شما برای دريافت خدمات و يا اکانت[2][1] جديد عمليات sign in را انجام می دهيد، ممکن است بخشی وجود داشته باشد که به شما مجموعه ای از گزينه ها را در خصوص دريافت ایمیل در خصوص محصولات و يا سرويس های جديد، ارائه نمايد. در برخی مواقع، گزينه ها به صورت پيش فرض انتخاب شده اند، بنابراين در صورتی که شما آنان را به همان وضعيت باقی بگذاريد، در آينده نه چندان دور برای شما حجم زيادی از نامه های الکترونيکی که شايد انتظار آنان را نداشته باشد، ارسال گردد.
- استفاده از فيلترها : تعدادی زيادی از برنامه های پست الکترونيکی امکان فيلترينگ را ارائه می نمايند. پتانسيل فوق به شما اين اجازه را خواهد داد که آدرس های خاصی را بلاک نموده و يا امکان دريافت نامه را صرفا" از طريق ليست تماس موجود بر روی کامپيوتر خود، داشته باشيد. برخی مراکز ارائه دهنده خدمات اينترنت ( ISP) نيز سرويس فيلترينگ و علامت گذاری مربوط به مقابله با هرزنامه را ارائه می نمايند. در چنين مواردی ممکن است پيام های معتبری که بدرستی طبقه بندی نشده باشند به عنوان هرزنامه درنظر گرفته شده و هرگز به صندوق پستی شما ارسال نگردند.
- هرگز برروی لينک های موجود در يک هرزنامه، کليک ننمائيد. برخی از منابع ارسال کننده هرزنامه با ارسال آدرس های ایمیل متغير در يک Domain خاص، سعی در تشخيص معتبر بودن يک آدرس ایمیل می نمايند. ( مثلا" تشخيص آدرس های ایمیل معتبر موجود بر روی hotmail و يا yahoo).در صورتی که شما بر روی يک لينک ارسالی توسط يک هرزنامه کليک نمائيد، صرفا" معتبر بودن آدرس ایمیل خود را به اطلاع آنان رسانده ايد. پيام های ناخواسته ای که يک گزينه "عدم عضويت " وسوسه انگيز را در اختيار شما قرارمی دهند، اغلب به عنوان روشی به منظور جمع آوری آدرس های ایمیل معتبر مورد استفاده قرار گرفته که در آينده از آنان به منظور ارسال هرزنامه استفاده گردد.
- غيرفعال نمودن گزينه دريافت اتوماتيک گرافيک در نامه های الکترونيکی با فرمت HTML. تعداد زيادی از شرکت ها، نامه های الکترونيکی را با فرمت HTML و همراه با يک فايل گرافيکی لينک شده ارسال نموده که در ادامه از آن به منظور رديابی فردی که پيام الکترونيکی را باز نموده است، استفاده می نمايند. زمانی که برنامه سرويس گيرنده پست الکترونيکی شما، اقدام به دانلود گرافيک از سرويس دهنده آنان می نمايد، آنان می دانند که شما پيام الکترونيکی را باز نموده ايد. با غير فعال نمودن HTML mail و مشاهده پيام ها با فرمت صرفا" متن، می توان پيشگيری لازم در خصوص اين مسئله را انجام داد.
- ايجاد و يا بازنمودن اکانت های جديد اضافی: تعداد زيادی از سايت ها، اقدام به عرضه آدرس پست الکترونيکی به صورت رايگان می نمايند. در صورتی که شما بطور مداوم اقدام به ارسال آدرس ایمیل خود می نمائيد ( برای خريد online، دريافت سرويس و...)، ممکن است مجبور به ايجاد يک اکانت ديگر به منظور حفاظت آدرس اکانت اوليه خود در مقابل هرزنامه شويد. شما همچنين می بايست از يک اکانت ديگر در زمانی که اطلاعاتی را بر روی بولتن های خبری آنلاین، اطاق های چت، ليست های عمومی Mailing و يا USENET ارسال می نمائيد، استفاده نمائيد . بدين تريتب می توان يک سطح حفاظتی مناسب در خصوص دريافت هرزنامه به آدرس ایمیل اوليه خود را ايجاد کرد.
برای سايرين هرزنامه ارسال ننمائيد. يک کاربر متعهد و دلسوز باشيد. در خصوص پيام هائی که قصد فوروارد نمودن آنان را داريد، سختگيرانه عمل کنيد. هرگز هرگونه پيامی را برای هر شخص موجود در ليست دفترجه آدرس خود فوروارد نکرده و اگر فردی از شما بخواهد که پيامی را برای وی فوروارد ننمائيد، به درخواست وی احترام بگذاريد.
انتخاب و حفاظت رمزهای عبور
رمزهای عبور، روشی به منظور تائيد کاربران بوده و تنها حفاظ موجود بين کاربر و اطلاعات موجود بر روی يک کامپيوتر می باشند. مهاجمان با بکارگيری برنامه های متعدد نرم افزاری، قادر به حدس رمز های عبور و يا اصطلاحا" "کراک" نمودن آنان می باشند. با انتخاب مناسب رمزهای عبور و نگهداری ايمن آنان، امکان حدس آنان مشکل و بالطبع افراد غير مجاز قادر به دستيابی اطلاعات شخصی شما نخواهند بود.
چرا به يک رمز عبور نياز است ؟
انسان عصر اطلاعات در طی مدت زمان حيات خود و متناسب با فعاليت های روزانه خود نيازمند استفاده از رمزهای عبور متفاوتی می باشد. بخاطر سپردن شماره کد دستگاه موبايل خود، شماره کد دستگاههای متفاوتی نظير دستگاهای ATM برای دريافت پول، شماره کد لازم به منظور ورود به يک سيستم کامپيوتری، شماره کد مربوط به برنامه های کامپيوتری نظير برنامه های پست الکترونيکی، امضای ديجيتالی درون يک بانک آنلاین و يا فروشگاههای مجازی و موارد بسيار ديگر، نمونه هائی در اين زمينه می باشند. نگهداری اين همه عدد، حرف و شايد هم ترکيب آنان، کاربران را مستاصل و گاها" نگران می نمايد. مهاجمان با آگاهی از رمز عبور شما قادر به برنامه ريزی يک تهاجم بزرگ و دستيابی به اطلاعات شما می باشند.
يکی از بهترين روش های حفاظت از اطلاعات، حصول اطمينان از اين موضوع است که صرفا" افراد مجاز قادر به دستيابی به اطلاعات می باشد. فرآيند تائيد هويت و اعتبار کاربران در دنيای سايبر شرايط و ويژگی های خاص خود را داشته و شايد بتوان اين ادعا را داشت که اين موضوع بمراتب پيچيده تر از دنيای غيرسايبر است. رمزهای عبور يکی از متداولترين روش های موجود در خصوص تائيد افراد می باشد. در صورتی که شما رمزهای عبور را بدرستی انتخاب نکرده و يا از آنان بدرستی مراقبت ننمائيد، قطعا" پتانسيل فوق جايگاه و کارآئی واقعی خود را از دست خواهد داد. تعداد زيادی از سيستم ها و سرويس ها صرفا" بدليل عدم ايمن بودن رمزهای عبور با مشکل مواجه شده و برخی از ويروس ها و کرم ها با حدس و تشخيص رمزهای عبور ضعيف، توانسته اند به اهداف مخرب خود دست يابند. چگونه می توان يک رمزعبور خوب را تعريف کرد ؟
اکثر افراد از رمزهای عبوری استفاده می نمايند که مبتنی بر اطلاعات شخصی آنان می باشد، چراکه بخاطر سپردن اين نوع رمزهای عبور برای آنان ساده تر می باشد. بديهی است به همان نسبت، مهاجمان نيز با سادگی بيشتری قادر به تشخيص و کراک نمودن رمزهای عبور خواهند بود. به عنوان نمونه، يک رمز عبور چهار حرفی را در نظر بگيريد. ممکن است اين عدد ارتباطی با تاريخ تولد شما داشته و يا چهار شماره آخر شماره دانشجوئی و يا کارمندی و شماره تلفن باشد. اين نوع رمزهای عبور دارای استعداد لازم برای حملات از نوع "ديکشنری "، می باشند. مهاجمان در اين نوع از حملات با توجه به کلمات موجود در ديکشنری، سعی در حدس و تشخيص رمزهای عبور می نمايند.
با اين که تايپ نادرست برخی کلمات نظير daytt در مقابل استفاده از date ممکن است مقاومت بيشتری در مقابل حملات از نوع ديکشنری را داشته باشد، يک روش مناسب ديگر می تواند شامل استفاده از مجموعه ای کلمات و بکارگيری روش هائی خاص به منظور افزايش قدرت بخاطر سپردن اطلاعات در حافظه باشد. مثلا" در مقابل رمز عبور "hoops"، از "IITpbb"، استفاده نمائيد. ( بر گرفته شده از کلمات عبارت : I Like To PlayBasketball). استفاده از حروف بزرگ و کوچک و ترکيب آنان با يکديگر نيز می تواند ضريب مقاومت رمزهای عبور را در مقابل حملات از نوع "ديکشنری" تا اندازه ای افزايش دهد. به منظور افزايش ضريب مقاومت رمزهای عبور، می بايست از رمزهای عبور پيچيده ای استفاده نمود که از ترکيب اعداد، حروف الفبائی و حروف ويژه، ايجاد شده باشند.
پس از تعريف يک رمز عبور مناسب، برخی از کاربران از آن به منظور دستيابی به هر سيستم و يا برنامه های نرم افزاری استفاده می نمايند.( کليد جادوئی !) اين نوع از کاربران می بايست به اين نکته توجه نمايند که در صورتی که يک مهاجم رمز عبور شما را حدس و تشخيص دهد، وی به تمامی سيستم هائی که با اين رمز عبور کار می کنند، دستيابی پيدا می نمايد. به منظور تعريف رمزعبور، موارد زير پيشنهاد می گردد :
· عدم استفاده از رمزهای عبوری که مبتنی بر اطلاعات شخصی می باشند. اين نوع رمزهای عبور به سادگی حدس و تشخيص داده می شوند.
· عدم استفاده از کلماتی که می توان آنان را در هر ديکشنری و يا زبانی پيدا نمود.
· پياده سازی يک سيستم و روش خاص به منظور بخاطرسپردن رمزهای عبور پيچيده
· استفاده از حروف بزرگ و کوچک در زمان تعريف رمزعبور
· استفاده از ترکيب حروف، اعداد و حروف ويژه
· استفاده از رمزهای عبور متفاوت برای سيستم های متفاوت
نحوه حفاظت از رمزهای عبور
پس از انتخاب يک رمزعبور که امکان حدس و تشخيص آن مشکل است، می بايست تمهيدات لازم در خصوص نگهداری آنان پيش بينی گردد. در اين رابطه موارد زير پيشنهاد می گردد :
از دادن رمز عبور خود به ساير افراد جدا" اجتناب گردد.
از نوشتن رمز عبور بر روی کاغذ و گذاشتن آن بر روی ميز محل کار، نزديک کامپيوتر و يا چسباندن آن بر روی کامپيوتر، جدا" اجتناب گردد. افراديکه امکان دستيابی فيزيکی به محل کار شما را داشته باشند، براحتی قادر به تشخيص رمز عبور شما خواهند بود.
هرگز به خواسته افراديکه ( مهاجمان) از طريق تلفن و يا نامه از شما درخواست رمز عبور را می نمايند، توجه ننمائيد.
در صورتی که مرکز ارائه دهنده خدمات اينترنت شما، انتخاب سيستم تائيد را برعهده شما گذاشته است، سعی نمائيد يکی از گزينه های Kerberos, challenge/response,و يا public key encryption را در مقابل رمزهای عبور ساده، انتخاب نمائيد.
تعداد زيادی از برنامه ها امکان بخاطر سپردن رمزهای عبور را ارائه می نمايند، برخی از اين برنامه ها دارای سطوح مناسب امنيتی به منظور حفاظت از اطلاعات نمی باشند. برخی برنامه ها نظير برنامه های سرويس گيرنده پست الکترونيکی، اطلاعات را به صورت متن ( غيررمزشده) در يک فايل بر روی کامپيوتر ذخيره می نمايند. اين بدان معنی است که افراديکه به کامپيوتر شما دستيابی دارند، قادر به کشف تمامی رمزهای عبور و دستيابی به اطلاعات شما خواهند بود. بدين دليل، همواره بخاطر داشته باشيد زمانی که از يک کامپيوتر عمومی ( در کتابخانه، کافی نت و يا يک کامپيوتر مشترک در اداره)، استفاده می نمائيد، عمليات logout را انجام دهيد. برخی از برنامه ها از يک مدل رمزنگاری مناسب به منظور حفاظت اطلاعات استفاده می نمايند. اين نوع برنامه ها ممکن است دارای امکانات ارزشمندی به منظور مديريت رمزهای عبور باشند.