امنیت اطلاعات

امنیت، حفاظت از دارایی‌های ارزشمند در برابر حملات عمدی و غیر عمدی است. مفهوم امنیت در دنیای واقعی، مفهوم مهم و حیاتی است. در دوران ما قبل تاریخ مفهوم امنیت کامل فیزیکی بوده که شامل اصول حفظ بقا، نظیر امنیت در برابر حمله دیگران یا حیوانات و یا امنیت در زمینه تأمین غذا بود. به تدریج نیازهای دیگری چون امنیت در برابر حوادث طبیعی یا بیماری‌ها و رد اختیار داشتن مکانی برای زندگی و استراحت بدون مواجه با خطر به نیازهای پیشین افزوده شد با پیشرفت تمدن و شکل‌گیری جوامع، محدوده امنیت فراتر رفته و ابعاد وسیع‌تری را شامل می‌شود بطوریکه اموال شخصی نیز به تعریف امنیت اضافه شده است.

  امنیت اطلاعات چیست؟

با توجه ویژگی‌های عصر امروزی که عصر اطلاعات نیز نامیده شده است مهم‌ترین سرمایه برای هر فرد و یا سازمان اطلاعات است به همین جهت در این عصر، امنیت اطلاعات جزء یکی از مهم‌ترین مسائل امروزی گشته است. امنیت اطلاعات در واقع محافظت از اطلاعات در برابر طیف وسیعی از تهدیدات شامل دسترسی، کاربرد، افشاء، قطع، تغییر یا انهدام غیر مجاز اطلاعات است که با هدف تضمین استمرار فعالیت‌های کاری، به حداقل رساندن ریسکهای کاری و به حداکثر رساندن میزان بازده سرمایـه‌گـذاری‌ها و فرصت‌ها صورت می‌پذیرد. طبق این دیدگاه، امنیت اطلاعات، تأثیر مثبت و دراماتیکی بر سازمان دارد. همچنین امنیت اطلاعات، کنترلی برای تضمین تداوم حفاظت از دارایی‌های سازمان از آسیب یا از دست دادن معنا شده است.

به عبارت دیگر امنیت اطلاعات به حفاظت از اطلاعات و به حداقل رساندن خطر افشای اطلاعات در بخش‌های غیر مجاز اشاره دارد. امنیت اطلاعات مجموعه‌ای از ابزارها برای جلوگیری از سرقت، حمله، جنایت، جاسوسی و خرابکاری و علم مطالعه روش‌های حفاظت از داده‌ها در رایانه‌ها و نظام‌های ارتباطی در برابر دسترسی و تغییرات غیر مجاز است .با توجه به تعاریف ارائه شده، امنیت به مجموعه‌ای از تدابیر، روش‌ها و ابزارها برای جلوگیری از دسترسی و تغییرات غیر مجاز در نظام‌های رایانه‌ای و ارتباطی اطلاق می‌شود. اما نکته‌ای که وجود دارد این است مقوله امنیت اطلاعات در عصر اطلاعات نه به صورت یک کالا و یا محصول بلکه به صورت یک فرآیند نگاه کرده و امنیت را در حد یک محصول خواه نرم‌افزاری و یا سخت‌افزاری تنزل ندهیم.

عامل دیگر در اهمیت یافتن امنیت اطلاعات، شبکه‌های جهانی و تجارت جهانی است. با اشاعه اینترنت و جهانی شدن زندگی روزمره ما دچار تغییرات شده است و سازمان‌های مدرن از اینترنت برای عملیات کسب و کار خود استفاده نموده و در نتیجه به آن وابسته شده‌اند این امر، تجارت الکترونیکی را به دنبال داشته است که موجبات تغییر فرایندهای کسب و کار را فراهم نموده است. این وابستگی به کسب و کار الکترونیکی نیز ضرورت حفاظت از اطلاعات را مطرح نموده و رویکردهای گوناگونی را برای پیاده‌سازی امنیت اطلاعات به وجود آورده است. این رویکرد سعی در جلوگیری از آسیب رساندن به عملیات سازمان دارند و می‌توان بیان کرد که برای تداوم کسب و کار، امنیت اطلاعات سازمان اهمیت بسیار یافته است. امروزه حتی با ظهور سازمان‌های مجازی از نظر جغرافیایی، پراکنده و بدون مرز، تبادل اطلاعات اهمیت یافته است و حفظ ایمنی این اطلاعات اهمیتی حیاتی دارد و امنیت اطلاعات لازمه گسترش سازمان‌های مجازی است .

در صورت هر گونه رخنه در محمل هاي اطلاعات، تبعات بسیار ناگواری برای سازمان به وجود می‌آورد که از آن جمله می‌توان به خسارت‌های مالی، تصمیم گیری‌های اشتباه، از دست دادن اعتماد عمومی و ناتوانی در انجام وظایف حیاتی و هزینه‌های اضافی و رخنه در خدمات را ذکر نمود. همچنین از دست دادن داده‌های سازمان می‌تواند منجر به خدشه اعتبار سازمان و در نتیجه خسران کسب و کار، مشکلات قانونی، سقوط ارزش سهام و از بین رفتن اعتماد سرمایه‌گذاران کسب اطلاعات رقبا از دانش داخلی از دست دادن مشتریان و در نهایت ایجاد مشکل در استخدام آتی سازمان گردد. در هر حال دغدغه‌های سازمان‌ها بی‌جهت نمی‌باشد زیرا بسیاری از آن‌ها با حوادث امنیتی مواجهه شده‌اند و ابزارها و سازوکارهای امنیتی، اثر بخشی کمتری دارند زیرا امنیت اطلاعات در وهله اول مسئله انسانی و به همان میزان مسئله‌ای سازمانی یا مدیریتی می‌باشد. با توجه به این دیدگاه اهمیت امنیت اطلاعات به زمینه سازمانی بر می‌گردد که در آنجا وجود دارد. دلیل دیگر برای ضرورت تحقیق در زمینه امنیت اطلاعات این مورد است که دانش در زمینه امنیت اطلاعات با معنی و عمیق اما متنوع و گسترده است و نیازمند تحقیقات گسترده برای نحوه استفاده از آن است.

ظهور تکنولوژی ارتباطات و اینترنت امکان «اشتراک اطلاعات» و «تبادل آسان اطلاعات» بین سیستم‌های کامپیوتری را به وجود آورده است. این فناوريهای نوین با غلبه بر فاصله‌ها و محدودیت‌های فیزیکی و کاهش محسوس زمان، معماری و ساختار ارائه خدمات در سیستم‌ها را به شدت تحت تأثیر قرار داده‌اند. این فناوريهای نوین بستری مناسب را برای انجام مبادلات تجاری، ارائه خدمات آن‌لاین مانند بانکداری الکترونیکی و خدمات دولت الکترونیکی ایجاد کرده‌اند. فناوري اطلاعات یک سکه دو روست هم فرصت است و هم تهدید! اگر به همان نسبتی که به توسعه و همه‌گیری‌اش توجه و تکیه می‌کنیم به «امنیت» آن توجه نکنیم به سادگی و در کسری از ثانیه تبدیل به یک تهدید و مصیبت بزرگ می‌شود. 

  تاریخچه امنیت اطلاعات

مفهوم و اهمیت ایمنی و امنیت از همان آغاز زندگی بشر وجود داشت، بشر همیشه برای بقا و ادامه زندگی سعی نموده است که جهت حفاظت از خود و دارایی‌هایش، آگاهی‌ها و دانش خود را نسبت به محیط و خطرات اطراف خود افزایش دهد(سادوسکای، 1384).ایمنی و امنیت یک مفهوم ذاتی است که با حفاظت از چیزهای ارزشمند ارتباط پیدا می‌کند؛ و به طور خلاصه، ایمنی به راه‌های ممکن که در آن سلامت یک سیستم بایستی تأمین و دفع نقایصی که در راه حصول به اهداف وجود دارد، تعریف می‌شود.

      جهان با گذشت زمان به قول دیوید هاروی (1998) به سوی نوعی فشردگی پیش می‌رود، زمان و مکان درهم آمیخته است، مرکزهای متعالی جای خود را به مرکزهای لرزان و بی ثبات، داده است و هویت‌های کدر ناخالص جایگزین هویت‌های ناب و خالص گشته است. از این لحاظ، امنیت نیز مفهوم سنتی و کلاسیک خود را از دست داده است.

از منظر زبان‌شناسانه “دال” امنیت به مدلول خاص و ثابتی رجوع نمی‌دهد و در گفتمان‌های گوناگون مصداق‌های متفاوتی به خود می‌گیرد اما حفاظت از اطلاعات به عنوان مهم‌ترین سرمایه سازمان‌ها همیشه مورد توجه قرار داشت، قبل ظهور عصر شبکه‌ها، اطلاعات به صورت پرونده‌های کاغذی بایگانی می‌شد هرچند این رویه هنوز رایج است با پدید آمدن شبکه‌ها و دسترسی آسان به اینترنت قسمت اعظم اطلاعات از طریق این بستر که فضای تبادل اطلاعات نام دارد در حال انتقال و پردازش است قسمت اعظم اطلاعات به صورت دیجیتالی ذخیره و بازیابی شده و در این فضا سرعت و دقت انتقال اطلاعات خیلی بیشتر است. به موازات گسترش شبکه‌های محلی و سراسری تهدیدات و سرقت و تخریب اطلاعات نیز بیشتر شده به طوری شاید یکی از مهم‌ترین مسائل در عصر اطلاعات، حفاظت آن‌ها می‌باشد.

امنیت اطلاعات در عصر کامپیوتر

دامنه امنیت اطلاعات در عصر کامپیوتر به شدت تغییر کرده است. در آغاز این دوره مسائل امنیتی مربوط به مسائل زیر می‌شد:

         امنیت فیزیکی مکانی و موقعیت کامپیوترها.

         تایید قابلیت اعتماد کارکنانی که با سیستم‌ها کامپیوتری سروکار دارند.

بهترین مثال این دوره را می‌توان پروژه کلوسسدانست پروژه مذکور در بلکی پارک لندن در نیمه دوم جنگ جهانی دوم به اجرا درآمد. بلکی پارک به منظور تسهیل رمزگشایی پیام‌های مبادله شده بین نیروهای متفقین ساخته شده بود. در طی جنگ جهانی دوم، آلمان از مدل‌های ماشینی رمزگذاری/رمزگشایی الکترونیکی فراوانی با نام انیگمااستفاده می‌کرد به منظور تسریع فرایند رمزگشایی پیام‌های منفصل، بلکی از ماشین حساب‌های الکترومغناطیسی با نام پمپ استفاده می‌کرد. در طول جنگ، آلمان‌ها هرگز در مورد فعالیت‌های بلکی پارک اطلاعاتی پیدا نکرده و پروژه به صورت محرمانه مخفی ماند. اولویت اطلاعات در زمینه این پروژه در سال 1970 منتشر گردید.

در دهه 1970 تمرکز اصلی بر روی امنیت فیزیکی ساختمان‌ها و نیز ایجاد انگیزه مناسب در کاربران بوده است. مسائل امنیتی این دوره به موارد زیر محدود می‌شد

• محافظت در برابر فجایع مانند آتش، سیل، نوسانات نیرو و...
• محافظت در برابر افشای اطلاعات. در این دوره سیستم‌های ارتباطی چندان برای انتقال داده بین تجهیزات مختلف به کار نمی‌رفت. بنابراین داده در قالب مستندات کاغذی ارائه شده و سپس وارد سیستم کامپیوتری می‌شد. از افشای اطلاعات نیز به طور عمده توسط جلوگیری از ذخیره غیر مجاز اطلاعات بر روی رسانه مغناطیسی یا مستندات کاغذی جلوگیری می‌شد. به منظور جلوگیری از این‌گونه تقلب‌ها، کارمندان به صورت کاملاً جدی تحت نظر مدیریت قرار داشتند.
• محافظت در برابر خطاهای ناشی از بد عمل کردن سخت‌افزار، در این دوره زمانی، فناوري بسیار ناپایدارتر از امروز بود، همان‌طور که نرم‌افزار در حال حاضر ناپایدار می‌باشد. اجزای کامپیوتری ممکن بود هر روز از کار بیفتد و زمان بین خرابی‌ها در قیاس ساعت و بلکه روز بوده است.

اينترنت و امنيت اطلاعات

اینترنت در سال 1969 به صورت شبکه‌هایی به نام آرپانتکه مربوط به وزارت دفاع آمریکا بود راه‌اندازی شد. هدف این بود که با استفاده از رایانه‌ای متصل به هم، شرایطی ایجاد شود که حتی اگر بخش‌های عمده‌ای از سیستم اطلاعاتی به هر دلیلی از کار بیفتد کل شبکه بتواند به کار خود ادامه دهد و اطلاعات شبکه حفظ شود. از همان ابتدا فکر ایجاد شبکه­ برای جلوگیری از اثرات مخرب حملات اطلاعاتی مطرح شد.

در سال 1971 تعدادی از رایانه‌های دانشگاه‌ها و مراکز دولتی به این شبکه‌ها متصل شدند و محققین از این طریق شروع به تبادل اطلاعات کردند. با بروز رخدادهای غیر منتظره در اطلاعات، توجه به مسائل امنیت اطلاعات بیشتر شد. در سال 1988 آرپانت برای اولین بار با یک حادثه امنیتی سراسری در شبکه مواجه شد که بعداً کرم موریس نام گرفت. رابرت موریس که یک دانشجو در نیویورک بود برنامه‌ای نوشت که می‌توانست به یک رایانه دیگر راه یابد و در آن تکثیر شده و به همین ترتیب به رایانه‌ای دیگر نفوذ کند و سپس به صورت هندسی تکثیر شود. آن زمان 88000 رایانه به این شبکه وصل بود این برنامه سبب شد طی مدت کوتاهی ده درصد از رایانه‌های متصل به شبکه از کار بیفتد به دنبال این حادثه، بنیاد مقابله با حوادث امنیتی شکل گرفت که در هماهنگی فعالیت‌های مقابله با حملات ضد امنیتی، آموزش و تجهیز شبکه‌ها و روش‌های پیشگیرانه نقش موثری داشت

 عناصر کلیدی در امنیت اطلاعات

در تثبیت امنیت اطلاعات، عناصری کلیدی زیر، نقش بسزایی دارند (استاندارد BS7799) :

     محرمانگی : فرآیندی است که به کمک آن این اطمینان ایجاد می‌گردد که حریم خصوصی داده رعایت و امکان مشاهده آن توسط کاربران غیر مجاز و یا سایر افرادی که قادر به ردیابی ترافیک یک شبکه می‌باشند وجود نخواهد داشت. به عبارتی دیگر محرمانگی به حفاظت اطلاعات از فاش شدن غیر مجاز یا جلوگیری از درک شدن آن‌ها می‌باشد. به عبارت دیگر اطلاعات فقط باید برای افراد مجاز در دسترس باشد که این امر یا با محدود نمودن دسترسی و یا با رمزی نمودن اطلاعات قابل انجام می‌باشد.

     یکپارچگی و تمامیت : فرآیندی است که به کمک آن این اطمینان ایجاد می‌گردد که همواره داده در مقابل تغییرات تصادفی و یا تعمدی حفاظت شود، همانند محرمانگی اطلاعات، یکپارچگی اطلاعات یک فاکتور اساسی در خصوص امنیت داده محسوب می‌شود. به عبارتی دیگر تمامیت یا صحت شامل درستی و جامعیت اطلاعات است. اهمیت صحت اطلاعات در اتخاذ تصمیم است رخنه در صحت اطلاعات می‌تواند ناشی از تغییر غیر مجاز، غیر منتظره و غیر عامدانه باشد .

      در دسترس بودن : فرآیندی است که به کمک آن این اطمینان ایجاد می‌گردد که همواره داده برای کاربران مجاز در دسترس و قابل استفاده خواهد بود در اغلب حملات از نوع حملات ممانعت از سرویس، مهاجمان این هدف را دنبال می‌کنند که بتوانند امکان استفاده و در دسترس بودن برنامه برای کاربران را غیر ممکن و عملاً آن را از کار بیندازند. به عبارتی در دسترس بودن منابع برای استفاده توسط فرد مرتبط در زمان صحیح می‌باشد. این ویژگی از آن‌سو مهم است. چون بدون آن فعالیت‌های معمول شرکت ادامه نمی‌یابد و تصمیمات به موقع گرفته نمی‌شود. همچنین به این وسیله به نیازها پاسخ داده شده و از خسارات قابل توجه جلوگیری می‌شود.

      عدم انکار: به معنای تایید این است که یک فرد یا گروه مشخص اطلاعات خاصی را ارسال و یا دریافت نموده است و این فرد یا گروه نمی‌تواند دریافت اطلاعات را انکار کندو عدم انکار پیش نیاز پیاده‌سازی بسیاری از سرویس‌های الکترونیکی مانند تعاملات کسب و کار در اینترنت می‌باشد.

      تصدیق: فرآیندی است که به کمک آن دست‌یابی گیرندگان تایید شده و عملیاتی که قصد انجام آن را دارند بررسی و مجوز لازم صادر می‌شود. فایل‌ها، بانک‌های اطلاعاتی، جداول و منابع موجود در سطح سیستم نظیر کلیدهایرجیستری، داده‌های پیکربندی نمونه‌های از منابع مورد درخواست سرویس گیرندگان است.

     کنترل دسترسی: برای محدود کردن استفاده از سرویس‌های الکترونیکی فقط برای استفاده از افرادی که مجاز می‌باشند به کار می‌رود. هدف از کنترل دسترسی، حفاظت نسبی از محرمانگی و یکپارچگی اطلاعات است.

  اصطلاحات امنیتی

تهدید: به هر گونه پتانسیل بروز یک رویداد مخرب و یا مواردی که می‌تواند به سرمایه‌های یک سازمان آسیب رساند تهدید گفته می‌شود. به عبارت دیگر هر رویدادی که توانایی آسیب رساندن به سیستم را داشته باشد، در زمره تهدیدات محسوب می‌گردد.

حمله : عملیاتی است که محوریت آن سوءاستفاده از نقاط آسیب‌پذیر و پتانسیل‌های بروز یک رویداد مخرب می‌باشد. ارسال ورودی مخرب به یک برنامه و یا بار بیش از اندازه یک شبکه به منظور از کار انداختن یک سرویس، نمونه‌هایی در این زمینه می‌باشد.

رخنه : نقض سیاست امنیتی یک سیستم را رخنه گویند. که می‌تواند حتی توسط کارمند سازمان در اثر عدم آگاهی و یا بی‌دقتی صورت گیرد.

نفوذ: فرآیند حمله و رخنه ناشی از آن و همچنین دسترسی موفق، قابل تکرار، و غیر مجاز به منابع حفاظت شده سیستم را نفوذ گویند.

حمله امنیتی: عملی است که امنیت اطلاعات سازمان را نقض می‌کند. یک حمله به طرق مختلف می‌تواند چه از داخل سازمان و یا خارج آن صورت گیرد.

سازوكار امنیتی : سازوكاري که جهت شناخت، پیشگیری و درمان یک نفوذ امنیتی طراحی می‌شود. در واقع هر مکانیزم راه‌حلی برای نیازها و مشکلاتی امنیتی است. مکانیزم‌های امنیت انواع روش‌ها و رویه‌های مورد استفاده جهت مقابله با نفوذ و اثرات آن را بیان می‌کند و دربرگیرنده روش در نظر گرفته شده برای تشخیص، جلوگیری و بازیابی از حملات است.

سرویس امنیتی: مجموعه‌ای از مکانیزم‌های امنیتی، فایل‌ها و رویه‌ها است که کمک به حفاظت از شبکه می‌نماید در واقع، سرویس امنیتی، سرویسی است که جهت ارتقاء وضعیت امنیت داده‌ها استفاده می‌شود.

مزایای سرمایه‌گذاری در امنیت اطلاعات

سازمان‌ها و مؤسسات تجاری با پیاده‌سازی یک استراتژی امنیتی از مزایای زیر بهره‌امند خواهند شد :

         کاهش احتمال غیر فعال شدن سیستم‌ها و برنامه‌ها (از دست ندادن فرصت‌ها)

         استفاده موثر از منابع انسانیو غیر انسانی در یک سازمان (افزایش بهره‌وری)

         کاهش هزینه از دست دادن داده‌ها و اطلاعات توسط ویروس­های مخرب و یا حفره‌های امنیتی(حفاظت از داده‌های ارزشمند)

         افزایش حفاظت از مالکیت معنوی

         هزینه پیشگیری از یک مشکل امنیتی، همواره کمتر از هزینه بازسازی خرابی متأثر از آن است.

ضعف در بعد امنیت :

ضعف‌های امنیتی در سامانه‌های رایانه‌ای معمولاً از موارد زیر ناشی می‌شود:

سهل انگاری

برنامه‌نویسان: معمولاً برنامه‌نویسان و طراحان از اهمیت نکات امنیتی، اطلاعاتی ندارند و در طراحی و ساخت نرم‌افزارها، نکات امنیتی را رعایت نمی‌کنند.

اولویت پایین :

 تا چندی قبل، حتی کسانی که از نکات امنیتی آگاهی داشتند نسبت به آن چندان اقدامی نمی‌کردند و در نتیجه مسائل امنیتی مورد توجه قرار نمی‌گرفت.

محدودیت زمان و مکان و هزینه:

 بعضی افراد تصور می‌کنند اقدامات امنیتی جهت طراحی، کد نویسی آزمایش در طول فرایند تولید نرم‌افزار هزینه گزافی در بر داشته و زیان زیادی به خود اختصاص می‌دهد؛ لذا اهمیت شایانی به رعایت نکات ایمنی داده نمی‌شد.

بی‌نظی برنامه‌نویسان :

برنامه‌نویسان در کارهای مربوط به برنامه‌نویسی، معمولاً در اثر بی‌نظمی، اشتباهات را چندین بار تکرار می‌کردند و باعث ایجاد نقایص امنیتی می‌شدند.

خلاقیت تبهکاران :

 انسان موجودی خلاقی است و افراد با ­انگیزه همیشه برای غلبه بر موانع امنیتی و کشف اشتباهاتی که منجر به نقایص امنیتی شوند راهی پیدا خواهند کرد.

سطح پایین آگاهی کاربران:

کاربران معمولی به طور طبیعی، به خاطر پایین بودن سطح معلوماتشان، از تهدیدهای اطراف خود آگاه نیستند و به همین دلیل در پی راه‌های مناسب جهت تضمین امنیت داده‌ها و سیستم‌های خود نیستند.

نگاه غیر واقع‌بینانه قربانیان:

 برخی کاربران نسبت به نکات امنیتی آگاهی دارند ولی آن‌ها را جدی نمی‌گیرند، چون گمان دارند که هیچ‌گاه حمله‌ای علیه آن‌ها صورت نخواهد گرفت.

عوامل مختلف در امنیت اطلاعات

رون و ماریوس امنیت اطلاعات را به سه جنبه تقسیم بندی کرده‌اند (2005) :

۱-تکنولوژی

۲-افراد

۳-فرایندها

کنترل‌های دست‌یابی فیزیکی و سیستم‌های فناوري اطلاعات مثال‌های نوعی از بعد تکنولوژی هستند که حمایت‌هایی برای دیگران فراهم می‌کنند. این سیستم‌ها معمولاً خدماتی فراهم می‌کنند که برای به‌کارگیری کنترل‌های دست‌یابی حیاتی‌اند. فرایندهای امنیتی نشان می‌دهد که چگونه شرکت، هم به صورت رسمی و هم غیر رسمی عمل می‌کند و آن شامل همه خط‌مشی‌ها، فعالیت‌های روتین، رویه‌ها و رهنمودها است، همچنین شامل تعاملات با مشتریان، عرضه‌کنندگان، شرکای تجاری و همچنین برنامه‌های اقتضایی برای کشف هر موقعیت بحرانی است. در نهایت عامل انسانی توصیف می‌کند که چگونه افراد با این سیستم‌ها و فرایندها تکامل می‌یابند اما بدون توجه به شرایط، اطلاعات همیشه نقطه مرکزی است چه به صورت الکترونیک باشد و یا توسط کارمندان نگهداری شود. معمولاً در اینجا عامل انسانی کمتر توجه شده است، شاید به خاطر اینکه مانند جنبه‌های دیگر، کمیت‌پذیر و قابل سنجش نیست.

توفیق در ایمن‌سازی اطلاعات منوط به حفاظت از اطلاعات و سیستم‌های اطلاعاتی در مقابل حملات است. بدین منظور از سرویس‌های امنیتی متعددی استفاده می‌گردد سرویس‌های  انتخابی، می‌بایست پتانسیل لازم در خصوص ایجاد یک سیستم حفاظتی مناسب، تشخیص به موقع حملات و واکنش سریع را داشته باشند. بنابراین می‌توان محور استراتژی انتخابی را بر سه مؤلفه حفاظت، تشخیص و واکنش استوار نمود. حفاظت مطمئن، تشخیص به موقع و واکنش مناسب از جمله مواردی است که می‌بایست همواره در ایجاد یک سیستم امنیتی رعایت گردد. سازمان‌ها و مؤسسات، علاوه بر ­یکپارچگی بین مکانیزم‌های حفاظتی، می‌بایست همواره انتظار حملات اطلاعاتی را داشته  و لازم است خود را به ابزارهای تشخیص و روتین‌های واکنش سریع، مجهز تا زمینه برخورد مناسب با مهاجمان و بازیافت اطلاعات در زمان مناسب فراهم گردد. یکی از اصول مهم استراتژی  «دفاع در عمق»، برقراری توازن بین سه عنصر اساسی : انسان، تکنولوژی و فرايندها است. حرکت به سمت تکنولوژی اطلاعات بدون افراد آموزش دیده و روتین‌های عملیاتی که راهنمای آنان در نحوه استفاده  و ایمن‌سازی اطلاعات باشد، محقق نخواهد شد.

تکنولوژی

 امروزه از تکنولوژی‌های متعددی به منظور ارائه سرویس‌های لازم در رابطه با ایمن‌سازی  اطلاعات و تشخیص مزاحمین اطلاعاتی، استفاده می‌گردد. سازمان‌ها و مؤسسات می‌بایست سیاست‌ها و فرآیندهای لازم به منظور استفاده از یک تکنولوژی را مشخص تا زمینه انتخاب و به‌کارگیری درست تکنولوژی در سازمان مربوطه فراهم گردد. در این رابطه می‌بایست به مواردی همچون: سیاست امنیتی، اصول ایمن‌سازی اطلاعات، استانداردها و معماری ایمن‌سازی اطلاعات، استفاده از محصولات مربوط به ارائه‌دهندگان شناخته شده و خوش‌نام، راهنمای پیکربندی، پردازش‌های لازم برای ارزیابی ریسک سیستم‌های مجتمع و بهم مرتبط، توجه گردد. در این رابطه موارد زیر، پیشنهاد می‌گردد:

1- دفاع در چندین محل

مهاجمان اطلاعاتی (داخلی و یا خارجی)  ممکن است، یک هدف را از چندین نقطه مورد تهاجم قرار دهند. در این راستا لازم است سازمان‌ها و مؤسسات از  روش‌های حفاظتی متفاوت در چندین محل (سطح) استفاده، تا زمینه  عکس‌العمل لازم در مقابل انواع متفاوت حملات، فراهم گردد. در این رابطه می‌بایست به موارد زیر توجه  گردد:

دفاع از شبکه‌ها و زیرساخت. در این رابطه لازم است شبکه‌های محلی و یا سراسری حفاظت گردند. (حفاظت در مقابل حملات اطلاعاتی از نوع  عدم پذیرش خدمات).

حفاظت یکپارچه و محرمانه برای ارسال اطلاعات در شبکه (استفاده از رمزنگاریو کنترل ترافیک به منظور  واکنش در مقابل مشاهده غیر فعال).

دفاع در محدوده‌های مرزی. (به‌کارگیری فایروال­ها و سیستم‌های تشخیص مزاحمین به منظور واکنش در مقابل حملات اطلاعاتی از نوع  فعال). 

دفاع در محیط‌های محاسباتی (کنترل‌های لازم به منظور دست‌یابی به میزبانها و سرویس‌دهنده به منظور واکنش لازم در مقابل حملات از نوع خودی، توزیع و مجاور).

2- دفاع  لایه‌ای

بهترین محصولات مربوط به ایمن‌سازی اطلاعات دارای نقاط ضعف ذاتی، مربوط به خود می‌باشند. بنابراین همواره زمان لازم در اختیار مهاجمان اطلاعاتی برای نفوذ در سیستم‌های اطلاعاتی وجود خواهد داشت. بدین ترتیب لازم است قبل از سوءاستفاده اطلاعاتی متجاوزان،  اقدامات مناسبی صورت پذیرد. یکی از روش‌های موثر پیشگیری در این خصوص، استفاده از  دفاع لایه‌ای در مکان‌های بین مهاجمان و اهداف مورد نظر آنان، می‌باشد. هر یک از مکانیزم‌های انتخابی، می‌بایست قادر به ایجاد موانع لازم در ارتباط با مهاجمان اطلاعاتی و تشخیص به موقع حملات باشد. بدین ترتیب امکان تشخیص مهاجمان  اطلاعاتی افزایش و از طرف دیگر شانس آن‌ها به منظور نفوذ  در سیستم و کسب موفقیت، کاهش خواهد یافت. استفاده از فایروال‌های تودرتو(هر فایروال در کنار خود از یک سیستم تشخیص مزاحمین، نیز استفاده می‌نماید) در محدوده‌های داخلی و خارجی شبکه، نمونه‌ای از رویکرد دفاع لایه‌ای است. فایروال‌های داخلی ممکن است امکانات بیشتری را در رابطه با فیلترسازی داده‌ها و کنترل دست‌یابی به منابع موجود ارائه نمایند

فرایندها و عملیات

منظور از عملیات، مجموعه  فعالیت‌های لازم  به منظور نگهداری  وضعیت امنیتی یک سازمان است. در این رابطه لازم است، به موارد زیر توجه گردد:

- پشتیبانی ملموس و به­هنگام‌سازی سیاست‌های امنیتی 

اعمال تغییرات لازم با توجه به روند تحولات مرتبط با تکنولوژی اطلاعات. در این رابطه می‌بایست داده‌های مورد نظر جمع‌آوری تا زمینه تصمیم‌سازی مناسب برای مدیریت فراهم گردد (تأمین اطلاعات ضروری برای مدیریت ریسک).

- مدیریت وضعیت امنیتی با توجه به تکنولوژی‌های استفاده شده در رابطه ایمن‌سازی اطلاعات (نصب وصلهامنیتی، به هنگام‌سازی آنتی­ویروس‌ها، پشتیبانی لیست‌های کنترل دست‌یابی)

- ارائه سرویس‌های مدیریتی اساسی و حفاظت از زیرساخت‌های مهم (خصوصاً زیرساخت‌هایی که برای یک سازمان ختم به درآمد می‌گردد).

- ارزیابی سیستم امنیتی

- هماهنگی و واکنش در مقابل حملات جاری

- تشخیص حملات و ارائه  هشدار و پاسخ  مناسب به منظور ایزوله نمودن حملات و پیشگیری از موارد مشابه

- بازیابي و برگرداندن امور به حالت اولیه (بازسازی)

افراد

موفقیت در ایمن‌سازی اطلاعات با پذیرش مسئولیت و حمایت مدیریت عالی یک سازمان  (معمولاً در سطح مدیریت ارشد اطلاعات) و بر اساس شناخت مناسب از تهاجمات، حاصل می‌گردد. نیل به موفقیت با پیگیری سیاست‌ها و روتین‌های مربوطه، تعیین وظایف و مسئولیت‌ها، آموزش منابع انسانی حساس (کاربران، مدیران سیستم) و توجیه مسئولیت‌های شخصی کارکنان، حاصل می‌گردد. در این راستا لازم است یک سیستم امنیتی فیزیکی و شخصی به منظور کنترل و هماهنگی در دست‌یابی به هر یک از عناصر حیاتی در محیط‌های مبتنی بر تکنولوژی اطلاعات، نیز ایجاد گردد. ایمن‌سازی اطلاعات از جمله مواردی است که می‌بایست موفقیت خود را در عمل و نه در حرف نشان دهد. بنابراین لازم است که پس از تدوین سیاست‌ها و دستورالعمل‌های مربوطه، پیگیری مستمر و هدفمند جهت اجرای سیاست‌ها و دستورالعمل‌ها، دنبال گردد. بهترین استراتژی تدوین شده در صورتیکه امکان تحقق عملی آن فراهم نگردد، (سهواً و یا عمداً)، هرگز امتیاز مثبتی را در کارنامه خود ثبت نخواهد کرد.

با توجه به جایگاه خاص منابع انسانی در ایجاد یک محیط ایمن مبتنی بر تکنولوژی اطلاعات، لازم است  به موارد زیر توجه گردد:

         تدوین سیاست‌ها و رویه‌ها

         ارائه آموزش‌های لازم جهت افزایش دانش 

         مدیریت سیستم امنیتی

         امنیت فیزیکی

         امنیت شخصی

         تدابیر لازم در خصوص پیشگیری

پست الکترونیکی و مسائل مرتبط

پست الکترونیکی و هرزنامه

اينترنت چالش های جديدی را در عرصه ارتباطات ايجاد کرده است. کاربران اينترنت با استفاده از روش های متفاوت،امکان ارتباط با يکديگر را بدست آورده اند.اينترنت زير ساخت مناسب برای ارتباطات نوين را فراهم و زمينه ای مساعد و مطلوب بمنظور بهره برداری از سرويس های ارتباطی  توسط کاربران فراهم شده است.  بدون شک، پست الکترونيکی در اين زمينه دارای جايگاهی خاص است. پست الکترونيکی،  يکی از قديمی ترين و پرکاربردترين سرويس موجود در اينترنت است.  شهروندان اينترنت، روزانه ميليون ها نامه الکترونيکی را برای يکديگر ارسال می دارند. ارسال و دريافت  نامه الکترونيکی، روش های سنتی ارسال اطلاعات ( نامه های دستی) را بشدت دستخوش تحول نموده و حتی در برخی از کشورها،اغلب مردم تمايل به استفاده از نامه الکترونيکی در مقابل تماس تلفتی با همکاران و خويشاوندان خود دارند. ارسال فايل و ساير مستندات به عنوان فايل ضميمه همراه يک نامه الکترونيکی به امری متداول تبديل شده است. عليرغم تمامی مزايای و پتانسل های ويژگی فوق،  ضمائم نامه های الکترونيکی به  يکی از منابع اصلی به منظور توزيع ويروس، تبديل شده اند. استفاده کنندگان نامه های الکترونيکی، می بايست در زمان بازنمودن فايل های ضميمه، دقت لازم را داشته باشند.(ولو اينکه اين نوع ضمائم و نامه های الکترونيکی توسط افرادی ارسال می گردد که شما آنان را می شناسيد).

طی ساليان اخير، بدفعات شنيده ايم که شبکه های کامپيوتری از طريق يک نامه الکترونيکی آلوده و دچار مشکل و تخريب اطلاعاتی  شده اند. صرفنظر از وجود نواقص امنيتی در برخی از محصولات نرم افزاری که در جای خود توليد کنندگان اين نوع نرم افزارها بمنظور استمرار حضور موفقيت آميز خود در عرصه بازار رقابتی موجود، می بايست مشکلات و حفره های امنيتی محصولات خود را برطرف نمايند، ما نيز بعنوان استفاده کنندگان از اين نوع نرم افزارها در سطوح متفاوت، لازم است با ايجاد يک سيستم موثر پيشگيرانه ضريب بروز و گسترش اين نوع حوادث را به حداقل مقدار خود برسانيم. عدم وجود سيستمی مناسب جهت مقابله با اين نوع حوادث، می تواند مسائلی بزرگ را در يک سازمان بدنبال داشته که گرچه ممکن است توليدکننده نرم افزار در اين زمينه مقصر باشد ولی سهل انگاری و عدم توجه به ايجاد يک سيستم امنيتی مناسب، توسط استفاده کنندگان مزيد بر علت خواهد بود ( دقيقا" مشابه عدم بستن کمربند ايمنی توسط سرنشين يک خودرو با نواقص امنيتی).

هرزنامه

 به نامه های الکترونيکی ناخواسته و اغواکننده، هرزنامه گفته می شود. بين هرزنامه و ويروس ها ی کامپيوتری ارتباط مستقيمی وجود نداشته و حتی پيام های معتبر و از منابع موثق می توانند در زمره اين نوع از نامه های الکترونيکی قرار گيرند. نامه های الکترونيکی ناخواسته معمولا" به صورت عمده ، ارسال می گردند.

هر يک از ما ممکن است در طی روز چندين نامه الکترونيکی ناخواسته را دريافت نمائيم. ( برخی کاربران تعدادی بيشتر و برخی ديگر، تعداد کمتری).  در صورتی که دارای يک آدرس پست الکترونيکی می باشيد، همواره امکان دريافت نامه های الکترونيکی ناخواسته، وجود خواهد داشت. فرض کنيد، پس از بررسی صندوق پستی خود با پيامی مطابق زير برخورد نمائيد :

پيام فوق قطعا" يک هرزنامه می باشد. اين نوع از نامه های الکترونيکی بدون شک رنج آور و در صورتی که تعداد آنان زياد باشد، مشکلات و مسائل خاص خود را به دنبال خواهند داشت. در صورتی که شما دارای يک آدرس پست الکترونيکی عمومی می باشيد،  ممکن است صدها پيام ناخواسته را با ظاهری کاملا" معقول و منطقی دريافت نمائيد. حتی با استفاده از فيلترهای مناسبی که ممکن است استفاده شود، امکان دريافت اينچنين نامه های الکترونيکی ناخواسته ای وجود خواهد داشت. در برخی موارد ممکن است  برنامه های فيلتر باعث حذف نامه های الکترونيکی گردند که تمايل به دريافت آنان را داشته باشيم !

شايد تاکنون اين سوال برای شما مطرح شده باشد که منبع ارسال اين همه نامه الکترونيکی ناخواسته کجا بوده و فرستندگان اين نوع از نامه های الکترونيکی چه اهدافی را دنبال می نمايند ؟ آيا روشی برای مقابله  و توقف آنان وجود دارد ؟ در ادامه سعی خواهيم کرد به سوالات فوق، پاسخ دهيم.

منبع نامه های الکترونيکی ناخواسته

هرزنامه از جمله مسائل و مشکلاتی است که دامنه آن گريبانگير تمامی افراديکه دارای آدرس پست الکترونيکی می باشند، می گردد.بر اساس تحقيقات انجام شده در رابطه با ابعاد متفاوت اين نوع از نامه های الکترونيکی که در Business Week magazine، منتشر شده است، به موارد جالب زير برخورد می نمائيم :

يکی از مسائل مرتبط با هرزنامه و اين که چرا حجم آنان تا به اين اندازه زياد می باشد به سهولت در ايجاد آنان، برمی گردد. شما نيز می توانيد به سادگی به يک ارسال کننده نامه های الکترونيکی ناخواسته تبديل شويد.در حال حاضر، صدها شرکت وجوددارد که لوح های فشرده شامل ميليون ها آدرس معتبر پست الکترونيکی را می فروشند. با استفاده از نرم افزاری نظير Word، می توان بسادگی آدرس های فوق را به خطوطی مشتمل بر يکصد آدرس در هر خط تبديل و در ادامه با استفاده از پتانسيل هميشه جذاب  Cut و Paste آنان را در فيلد TO هر برنامه معمولی نامه الکترونيکی، قرار دارد. پس از فشردن دکمه Send، در کمتر از چندين ثانيه، صدها نامه الکترونيکی ارسال خواهد شد. سادگی در ايجاد و توزيع اين نوع از نامه های الکترونيکی، از مهمترين مسائل و مشکلات مرتبط با  هرزنامه، است.

آدرس های پست الکترونيکی، چگونه جمع آوری می گردند ؟ 

شايد اين سوال در ذهن شما مطرح شده باشد که يک شرکت چگونه ميليون ها آدرس پست الکترونيکی معتبر را جمع آوری تا پس از استقرار  آنان بر روی CD، امکان فروش آنان را فراهم نمايد ؟ در اين رابطه منابع متعددی وجود دارد :

         اولين منبع جمع آوری آدرس های پست الکترونيکی، گروه های خبری ( newsgropus)  و اتاق های چت، می باشند. ( خصوصا" برروی سايت های بزرگی نظير AOL). کاربران ( خصوصا" افرادی  که اولين مرتبه از اين امکانات استفاده می نمايند)، اغلب از اسامی Screen استفاده نموده و يا آدرس واقعی پست الکترونيکی خود را در گروههای خبری قرار می دهند. ارسال کنندگان نامه های الکترونيکی ناخواسته ( Spammers)، از يک نرم افزار خاص برای استخراج اسامی Screen و آدرس های پست الکترونيکی به صورت اتوماتيک استفاده می نمايند.

         دومين منبع برای جمع آوری آدرس های پست الکترونيکی، وب می باشد. در حال حاضر ده ها ميليون سايت بر روی اينترنت وجود دارد و ارسال کنندگان نامه های الکترونيکی ناخواسته می توانند با ايجاد "مراکز جستجو" ، عمليات جستجو  به منظور يافتن علامت "@"  را که نشاندهنده يک آدرس الکترونيکی می باشد را پيمايش می نمايند. اين نوع از برنامه ها را Spambots می نامند.

         سومين منبع تامين کننده آدرس های پست الکترونيکی، سايت هائی می باشندکه صرفا" با هدف جذب آدرس های پست الکترونيکی، ايجاد می گردند. مثلا" يک ارسال کننده نامه های الکترونيکی ناخواسته می تواند، سايتی را ايجاد نمايد که به شما بگوئيد که شما " يک ميليون دلار " برنده شده ايد  و صرفا" آدرس پست الکترونيکی خود را در اين محل تايپ و يا درج نمائيد.

         يکی ديگر از روش های جمع آوری آدرس های پست الکترونيکی که بيشتر استفاده می گيرد، فروش آدرس پست الکترونيکی اعضاء توسط سايت های بزرگ، است. برخی ديگر از سايت ها، مخاطبان خود را با اين سوال مواجه می نمودند که آيا تمايل به دريافت خبرنامه پست الکترونيکی را داريد؟"  در صورت پاسخ مثبت به سوال فوق، آدرس شما  دريافت و در ادامه به يک ارسال کننده نامه الکترونيکی فروخته می شود.

         بزرگترين و متداولترين منبع تامين کننده آدرس های نامه های الکترونيکی، جستجو بر حسب کليد واژه " ديکشنری "، مربوط به  سرويس دهنده پست الکترونيکی شرکت های عظيم خدمات اينترنتی و پست الکترونيکی  نظير MSN,AOL و يا Hotmail، می باشد.  يک حمله مبتنی بر ديکشنری، در ابتدا ارتباطی را با يک سرويس دهنده پست الکترونيکی به عنوان هدف، برقرار نموده و در ادامه و با سرعت به صورت تصادفی اقدام به ارسال ميليون ها آدرس پست الکترونيکی، می نمايد. تعداد زيادی از اين آدرس ها دارای تفاوت های اندکی با يکديگر می باشند. نرم افزار مورد نظر در ادامه بررسی لازم در خصوص Live بودن آدرس های فوق را انجام و در ادامه آنان را به ليست آدرس ارسال کننده نامه الکترونيکی، اضافه می نمايد. در نهايت ليست آماده شده به تعداد زيادی از ارسال کنندگان نامه های الکترونيکی ناخواسته، فروخته می شود.

آدرس های نامه های الکترونيکی، عموماً خصوصی تلقی نمی گردند ( نظير درج شماره تلفن شما در ليست دفترچه تلفن عمومی). زمانی که يک ارسال کننده نامه الکترونيکی، موفق به آگاهی از آدرس پست الکترونيکی شما گردد، آن را در اختيار ساير ارسال کنندگان نامه های الکترونيکی قرار می دهد. در چنين مواردی می بايست در انتظار دريافت تعداد زيادی از نامه های الکترونيکی ناخواسته باشيم ( شناسنائی دقيق هدف برای ارسال نامه الکترونيکی).

چگونه می توان ميزان  هرزنامه را کاهش داد ؟

با رعايت برخی نکات، می توان ميزان هرزنامه دريافتی را بطرز محسوسی کاهش داد :

•  آدرس ایمیل خود را بدون دليل در اختيار ديگران قرار ندهيد. آدرس های پست الکترونيکی به اندازه ای متداول شده اند که شما می توانيد بر روی هر فرمی که به منظور کسب اطلاعات شما در نظر گرفته می شود، وجود فيلد خاصی به منظور دريافت آدرس ایمیل را مشاهد نمائيد. تعدادی زيادی از مردم بدون درنظر گرفتن مسائل جانبی، آدرس ایمیل خود را در هر محلی و يا هر فرمی درج می نمايند. مثلا" شرکت ها، اغلب آدرس ها را در يک بانک اطلاعاتی ثبت تا بتوانند وضعيت مشتيريان خود را در آينده دنبال نمايند. برخی اوقات، اطلاعات فوق به ساير شرکت ها فروخته شده و يا امکان استفاده مشترک برای آنان، فراهم می گردد. بديهی است در چنين مواردی ممکن است برای شما يک ایمیل و از طرف شرکتی ارسال شود که نه توقع آن را داشته ايد و نه از آنان درخواستی مبنی بر ارائه اطلاعات خاصی را داشته ايد.
• بررسی سياست های محرمانگی . قبل از ارسال آدرس ایمیل خود به صورت آنلاین، بدنبال Privacy سايت مورد نظر بگرديد.تعداد بسيار زيادی از سايت های شناخته شده و خوشنام دارای يک لينک خاص بر روی سايت خود به منظور آشنائی کاربران با سياست های آن سايت در خصوص نحوه برخورد با اطلاعات ارسالی شما می باشند. (همواره اين پرسش را برای خود مطرح نمائيد که  آيا ما آدرسایمیل  خود را در  سايت هائی  درج می نمائيم که نسبت به آنان شناخت کافی داريم ؟). شما می بايست قبل از ارسال آدرس ایمیل خود و يا ساير اطلاعات شخصی، سياست های اعلام شده توسط سايت مورد نظر را مطالعه نموده و از اين موضوع آگاه شويد که مالکين و يا مسئولين سايت قصد انجام چه کاری را با اطلاعات ارسالی شما دارند.
• دقت لازم در خصوص گزينه هائی که به صورت پيش فرض فعال شده اند. زمانی که شما برای دريافت خدمات و يا اکانت[2][1]  جديد عمليات sign in را انجام می دهيد، ممکن است بخشی وجود داشته باشد که به شما مجموعه ای از گزينه ها را در خصوص دريافت ایمیل در خصوص محصولات و يا سرويس های جديد، ارائه نمايد. در برخی مواقع، گزينه ها به صورت پيش فرض انتخاب شده اند، بنابراين در صورتی که شما آنان را به همان وضعيت باقی بگذاريد، در آينده نه چندان دور برای شما حجم زيادی از نامه های الکترونيکی که شايد انتظار آنان را نداشته باشد،  ارسال گردد.
• استفاده از فيلترها : تعدادی زيادی از برنامه های پست الکترونيکی امکان فيلترينگ را ارائه می نمايند. پتانسيل فوق به شما اين اجازه را خواهد داد که آدرس های خاصی را بلاک نموده و يا امکان دريافت نامه را صرفا" از طريق ليست تماس موجود بر روی کامپيوتر خود، داشته باشيد. برخی مراکز ارائه دهنده خدمات اينترنت ( ISP) نيز سرويس فيلترينگ  و علامت گذاری مربوط به مقابله با هرزنامه را ارائه می نمايند. در چنين مواردی ممکن است پيام های معتبری که بدرستی طبقه بندی نشده باشند به عنوان هرزنامه درنظر گرفته شده و هرگز به صندوق پستی شما ارسال نگردند.
•  هرگز برروی لينک های موجود در يک هرزنامه، کليک ننمائيد. برخی از منابع ارسال کننده  هرزنامه با ارسال آدرس های ایمیل  متغير در يک Domain خاص، سعی در تشخيص معتبر بودن يک آدرس ایمیل می نمايند. ( مثلا" تشخيص آدرس های ایمیل  معتبر موجود بر روی hotmail و يا yahoo).در صورتی که شما بر روی يک لينک ارسالی توسط يک هرزنامه کليک نمائيد، صرفا" معتبر بودن آدرس ایمیل خود را به اطلاع آنان رسانده ايد. پيام های ناخواسته ای که يک گزينه "عدم عضويت "  وسوسه انگيز را در اختيار شما قرارمی دهند، اغلب به عنوان روشی به منظور جمع آوری آدرس های ایمیل معتبر مورد استفاده قرار گرفته که در آينده از آنان به منظور ارسال هرزنامه استفاده گردد.
• غيرفعال نمودن گزينه دريافت اتوماتيک گرافيک در نامه های الکترونيکی با فرمت HTML. تعداد زيادی از شرکت ها، نامه های الکترونيکی را با فرمت HTML  و همراه با يک فايل گرافيکی لينک شده ارسال نموده  که در ادامه از آن به منظور رديابی فردی که پيام الکترونيکی را باز نموده است، استفاده می نمايند. زمانی که برنامه سرويس گيرنده پست الکترونيکی شما، اقدام به دانلود گرافيک از سرويس دهنده آنان می نمايد، آنان می دانند که شما پيام الکترونيکی را باز نموده ايد. با غير فعال نمودن HTML mail و مشاهده  پيام ها با فرمت صرفا" متن، می توان پيشگيری لازم در خصوص اين مسئله را انجام داد.
• ايجاد و يا بازنمودن اکانت های جديد اضافی: تعداد زيادی از سايت ها، اقدام به عرضه آدرس پست الکترونيکی به صورت رايگان می نمايند. در صورتی که شما بطور مداوم اقدام به ارسال آدرس ایمیل  خود می نمائيد ( برای خريد online، دريافت سرويس و...)، ممکن است مجبور به ايجاد يک اکانت ديگر به منظور حفاظت آدرس اکانت اوليه خود در مقابل هرزنامه شويد. شما همچنين می بايست از يک اکانت ديگر در زمانی که اطلاعاتی را بر روی بولتن های خبری آنلاین، اطاق های چت، ليست های عمومی Mailing و يا USENET ارسال می نمائيد، استفاده نمائيد . بدين تريتب می توان يک سطح حفاظتی مناسب در خصوص دريافت هرزنامه به آدرس ایمیل اوليه خود را ايجاد کرد.

برای سايرين هرزنامه ارسال ننمائيد. يک کاربر متعهد و دلسوز باشيد. در خصوص پيام هائی که قصد فوروارد نمودن آنان را داريد، سختگيرانه عمل کنيد. هرگز هرگونه پيامی را برای هر شخص موجود در ليست دفترجه آدرس خود  فوروارد نکرده و اگر فردی از شما بخواهد که پيامی را برای وی فوروارد ننمائيد، به درخواست وی احترام بگذاريد.

انتخاب و حفاظت رمزهای عبور

 رمزهای عبور، روشی به منظور تائيد کاربران بوده و تنها حفاظ  موجود بين کاربر و اطلاعات موجود بر روی يک کامپيوتر می باشند. مهاجمان با بکارگيری برنامه های متعدد نرم افزاری، قادر به حدس رمز های عبور و يا اصطلاحا" "کراک" نمودن آنان می باشند. با انتخاب مناسب رمزهای عبور و نگهداری ايمن آنان، امکان حدس آنان مشکل و بالطبع افراد غير مجاز قادر به دستيابی اطلاعات شخصی شما نخواهند بود.

چرا به يک رمز عبور نياز است ؟

انسان عصر اطلاعات در طی مدت زمان حيات خود و متناسب با فعاليت های روزانه خود نيازمند استفاده از رمزهای عبور متفاوتی می باشد. بخاطر سپردن شماره کد دستگاه موبايل خود، شماره کد دستگاههای متفاوتی نظير دستگاهای ATM برای دريافت پول، شماره کد لازم به منظور ورود به يک سيستم کامپيوتری، شماره کد مربوط به برنامه های کامپيوتری نظير برنامه های پست الکترونيکی، امضای ديجيتالی درون يک بانک آنلاین و يا فروشگاههای مجازی و موارد بسيار ديگر، نمونه هائی در اين زمينه می باشند. نگهداری اين همه عدد، حرف و شايد هم ترکيب آنان،  کاربران را مستاصل و گاها" نگران می نمايد. مهاجمان با آگاهی از رمز عبور شما قادر به برنامه ريزی يک تهاجم بزرگ و دستيابی به اطلاعات شما می باشند.

يکی از بهترين روش های حفاظت از اطلاعات، حصول اطمينان از اين موضوع است که صرفا" افراد مجاز قادر به دستيابی به اطلاعات می باشد. فرآيند تائيد هويت و اعتبار کاربران در دنيای سايبر شرايط و ويژگی های خاص خود را داشته و شايد بتوان اين ادعا را داشت که اين موضوع بمراتب پيچيده تر از دنيای غيرسايبر است. رمزهای عبور يکی از متداولترين روش های موجود در خصوص تائيد افراد می باشد. در صورتی که شما رمزهای عبور را بدرستی انتخاب نکرده و يا از آنان بدرستی مراقبت ننمائيد، قطعا" پتانسيل فوق جايگاه و کارآئی واقعی خود را از دست خواهد داد. تعداد زيادی از سيستم ها و سرويس ها صرفا" بدليل عدم ايمن بودن رمزهای عبور با مشکل مواجه شده و برخی از ويروس ها و کرم ها با حدس و تشخيص رمزهای عبور ضعيف، توانسته اند به اهداف مخرب خود دست يابند.   چگونه می توان يک رمزعبور خوب را تعريف کرد ؟

اکثر افراد از رمزهای عبوری استفاده می نمايند که مبتنی بر اطلاعات شخصی آنان می باشد، چراکه بخاطر سپردن اين نوع رمزهای عبور برای آنان ساده تر می باشد. بديهی است به همان نسبت، مهاجمان نيز با سادگی بيشتری قادر به تشخيص و کراک نمودن رمزهای عبور خواهند بود. به عنوان نمونه، يک رمز عبور چهار حرفی را در نظر بگيريد. ممکن است اين عدد ارتباطی با تاريخ تولد شما داشته و يا چهار شماره آخر شماره دانشجوئی و يا کارمندی و شماره تلفن باشد. اين نوع رمزهای عبور دارای استعداد لازم برای حملات از نوع "ديکشنری "، می باشند. مهاجمان در اين نوع از حملات با توجه به کلمات موجود در ديکشنری، سعی در حدس و تشخيص رمزهای عبور می نمايند.

    با اين که تايپ نادرست برخی کلمات نظير daytt در مقابل استفاده از date ممکن است مقاومت بيشتری در مقابل حملات از نوع ديکشنری را داشته باشد، يک روش مناسب ديگر می تواند شامل استفاده از مجموعه ای کلمات و بکارگيری روش هائی خاص به منظور افزايش قدرت بخاطر سپردن اطلاعات در حافظه باشد. مثلا" در مقابل رمز عبور "hoops"، از "IITpbb"، استفاده نمائيد. ( بر گرفته شده از کلمات عبارت :  I Like To PlayBasketball). استفاده از حروف بزرگ و کوچک و ترکيب آنان با يکديگر نيز می تواند ضريب مقاومت رمزهای عبور را در مقابل حملات از نوع "ديکشنری" تا اندازه ای افزايش دهد. به منظور افزايش ضريب مقاومت رمزهای عبور، می بايست از رمزهای عبور پيچيده ای استفاده نمود که از ترکيب اعداد، حروف الفبائی و حروف ويژه، ايجاد شده باشند.

پس از تعريف يک رمز عبور مناسب، برخی از کاربران از آن به منظور دستيابی به هر سيستم و يا برنامه های نرم افزاری استفاده می نمايند.( کليد جادوئی !)  اين نوع از کاربران می بايست به اين نکته توجه نمايند که در صورتی که يک مهاجم رمز عبور شما را حدس و تشخيص دهد، وی به تمامی سيستم هائی که با اين رمز عبور کار می کنند، دستيابی پيدا  می نمايد. به منظور تعريف رمزعبور، موارد زير پيشنهاد می گردد :

·         عدم استفاده از رمزهای عبوری که مبتنی بر اطلاعات شخصی می باشند. اين نوع رمزهای عبور به سادگی حدس و تشخيص داده می شوند.

·         عدم استفاده از کلماتی که می توان آنان را در هر ديکشنری  و يا زبانی پيدا نمود.

·         پياده سازی يک سيستم و روش خاص به منظور بخاطرسپردن رمزهای عبور پيچيده

·         استفاده از حروف بزرگ و کوچک در زمان تعريف رمزعبور

·         استفاده از ترکيب حروف، اعداد و حروف ويژه

·         استفاده از رمزهای عبور متفاوت برای سيستم های متفاوت

   نحوه حفاظت از رمزهای عبور

پس از انتخاب يک رمزعبور که امکان حدس و تشخيص آن مشکل است، می بايست تمهيدات لازم در خصوص نگهداری آنان پيش بينی گردد. در اين رابطه موارد زير پيشنهاد می گردد :

 از دادن رمز عبور خود به ساير افراد جدا" اجتناب گردد.

از نوشتن رمز عبور بر روی کاغذ و گذاشتن آن بر روی ميز محل کار، نزديک کامپيوتر و يا چسباندن آن بر روی کامپيوتر، جدا" اجتناب گردد. افراديکه امکان دستيابی فيزيکی به محل کار شما را داشته باشند، براحتی قادر به تشخيص رمز عبور شما خواهند بود.

هرگز به خواسته  افراديکه ( مهاجمان) از طريق تلفن و يا نامه از شما درخواست رمز عبور را می نمايند، توجه ننمائيد.

 در صورتی که مرکز ارائه دهنده خدمات اينترنت شما، انتخاب سيستم تائيد را برعهده شما گذاشته است، سعی نمائيد يکی از گزينه های Kerberos, challenge/response,و يا public key encryption  را در مقابل رمزهای عبور ساده، انتخاب نمائيد.  

تعداد زيادی از برنامه ها امکان بخاطر سپردن رمزهای عبور را ارائه می نمايند، برخی از اين برنامه ها دارای سطوح مناسب امنيتی به منظور حفاظت از اطلاعات نمی باشند. برخی برنامه ها نظير برنامه های سرويس گيرنده پست الکترونيکی، اطلاعات را به صورت متن ( غيررمزشده) در يک فايل بر روی کامپيوتر ذخيره می نمايند. اين بدان معنی است که افراديکه به کامپيوتر شما دستيابی دارند، قادر به کشف تمامی رمزهای عبور و دستيابی به اطلاعات شما خواهند بود. بدين دليل، همواره بخاطر داشته باشيد زمانی که از يک کامپيوتر عمومی ( در کتابخانه، کافی نت و يا يک کامپيوتر مشترک در اداره)، استفاده می نمائيد، عمليات logout را انجام دهيد. برخی از برنامه ها از يک مدل رمزنگاری مناسب به منظور حفاظت اطلاعات استفاده می نمايند. اين نوع برنامه ها ممکن است دارای امکانات ارزشمندی به منظور مديريت رمزهای عبور باشند.