امنیت اطلاعات قسمت اول : مفهوم کلی امنیت اطلاعات

واژه امنیت اطلاعات حجم وسیعی از فعالیت های یک سازمان را تحت پوشش قرار می دهد . امنیت اطلاعات به معنای واقعی یعنی با استفاده از یک سری فرآیند ها از دسترسی غیر مجاز به اطلاعات و یا محصولات و اعمال تغییرات یا حذف کردن آنها جلوگیری کنیم .این عمل را می توان به نحوی حفاظت از منابع موجود ، در موقعیت های مختلف ( مانند یک حمله هکری که معمولا خیلی انجام می شود ) توسط افرادی که مسئول امنیت اطلاعات هستند در نظر گرفت .

شما به عنوان یک فرد حرفه ای در زمینه کامپیوتر ، همیشه با مسائلی جدی تر از بحث جلوگیری از ورود و حمله ویروس ها به کامپیوتر ها مواجه هستید .البته این موضوع بستگی به طرز تفکر مسئولین امنیتی آن شرکت یا سازمان دارد ، شاید برای شما خنده دار باشد اما چه بسا مشاهده شده است که بسیاری از شرکت ها و یا حتی سازمان های دولتی با نصب یک نرم افزار آنتی ویروس و یک فایروال ساده نرم افزاری شبکه خود را به گمان خود 80% ایمن می کنند !!!!

زمانی که شما به عنوان مسئول و کارشناس امنیت اطلاعات یک شرکت یا سازمان محسوب می شوید ، در واقع شما مسئول حفاظت از دارایی های اطلاعاتی یک سازمان در مقابل کسانی یا چیزهایی هستید که می خواهند از آن دارایی ها سوء استفاده کنند . ممکن است برخی از این افراد هم اکنون در سازمان و در کنار خود شما باشند ، ولی اکثر این افراد در خارج از سازمان قرار دارند و همیشه قصد نفوذ به شبکه و سازمان را دارند .این جمله طلایی را همیشه به خطر بسپارید : هیچ چیز برای یک مسئول یا کارشناس امنیت اطلاعات خطرناکتر و هولناکتر از کاربران خود آن شبکه نمی باشد .

متاسفانه این عمل چندان هم آسان نیست ، در حال حاضر نقاط ضعف و آسیب پذیری های سیستم های تجاری در حال رشد است و این نقاط روز به روز بیشتر و بیشتر می شود ، حال کافیست شما تنها یک روز از این اطلاعات بی خبر باشید و همین کافیست تا به شبکه و سازمان شما نفوذ شود . برای مثال اگر از ویندوز نسخه اصلی یا ارجینال استفاده کرده باشید و به اینترنت متصل بشوید می بینید که دائما در حال بروز رسانی خود می باشد بطوری که همه روزه بسته های امنیتی خود را بروز میکند و بر روی سیستم شما نصب میکند ، این یعنی اینکه همه روزه حملات گسترده ای در سطح دنیا به سیستم ها انجام می شود که باعث ایجاد نقاط ضعف در سیستم ها می شود و برای جلوگیری از نفوذ از طریق این نقاط ، بسته های امنیتی برای آنها ساخته و عرضه می شود .

دشمنان شما می توانند براحتی با استفاده از موتورهای جستجو ، نقاط ضعف و آسیب پذیر هر محصول یا سیستم عامل را بیابند ، آنها برای اینکه بتوانند به شبکه شما وارد شوند و از نقاظ ضعف شما بهره برداری کنند ، می توانند کتابهای آموزش هک بخرند ، به عضویت گروه های خبری امنیتی و هک در اینترنت در بیایند و یا به وب سایت هایی دسترسی پیدا کنند که در آنها اطلاعات صریح و با جزئیاتی در خصوص شبکه شما وجود دارد .

در بسیاری از موارد شما نرم افزاری را خریداری می کنید که خود آن نرم افزار بصورت ذاتی دارای نقاظ ضعف امنیتی است و این نقاط ضعف امنیتی به خودی خود باعث به زیر سئوال رفتن امنیت سازمان شما خواهد شد ، مثلا نرم افزار مجموعه آفیس را خریداری می کنید و در آن نقاط ضعف امنیتی وجود دارد که هکرها می توانند از طریق آن به سیستم عامل حمله و به آن دسترسی یابند .

متاسفانه در کشور عزیز ما ایران بدلیل عدم وجود قانون کپی رایت نرم افزارهایی که توسط برنامه نویس ها نوشته می شود زیر نظر هیچ سازمان مرکزی خاصی قرار ندارند ، تا مشکلات احتمالی آنها را را بررسی و به آنها رسیدگی کند .البته قسمتی در مرکز تحقیقات صنایع انفورماتیک ایران برای تست برخی نرم افزارهای خاص ایجاد شده است اما به هیچ عنوان جوابگوی این سطح حجیم از نرم افزارهای تولیدی در داخل کشور را ندارد ، بنابراین اعتماد کردن به اینگونه نرم افزارها بسیار سخت است .

خارج از گود : آیا تا به حال به این موضوع فکر کرده اید که چرا نرم افزارهای گران قیمت خارجی با قیمتی فوق العاده ارزان براحتی در اختیار شما قرار می گیرند ؟ چرا ما همیشه به دنبال فایلی با عنوان کرک ( Crack) یا کیجن ( Keygen) در نرم افزارها می گردیم ؟ آیا گمان می کنید شرکت بزرگ مایکروسافت که غول نرم افزاری دنیا است و برای تنها ویندوز XP خود 50 هزار برنامه نویس را مدیریت و یکپارچه کرده است تمهیدات امنیتی برای محصول خود در نظر نگرفته است ؟ آیا گمان می کنید شرکت های تولید کننده محصولات آنتی ویروس که به خودی خود دانشی بسیار دشوار است زیرا می بایست یک کد مخرب را تحلیل و برای مقابله با آن راهکاری در کمترین زمان ممکن ارائه دهند ، متوجه استفاده غیر مجاز شما از آنتی ویروس تقلبی خود نمی شوند و آنها را براحتی بروز می کنند ؟ آیا این شرکت ها با داشتن این دانش فنی قوی نمی توانند غیر اصلی بودن محصول مورد استفاده توسط شما را در اینترنت تشخصی دهند ؟ خیلی ساده هستید اگر تصور کنید که متوجه نمی شوند. اگر کمی که با خود فکر کنیم و منطقی باشیم متوجه این مطلب خواهیم شد که هیچ کس عاشق چشم و ابروی ما نیست ، هیچ چیز در اینترنت رایگان نیست و حتما هدفی در پس این رایگان بودن وجود دارد . در مقاله ای جداگانه به این مبحث خواهیم پرداخت .

همیشه اینطور فکر کنید که در حال هک شدن هستید ، حتی همین الان که مشغول خواندن همین مقاله هستید ممکن است در حال هک شدن باشید. البته نترسید چون اگر هم بدانید الان کار خاصی نمیتوانید انجام دهید ، لااقل تا انتهای خواندن این مقاله صبر کنید .در این قسمت به بحث و بررسی جزئیات وضعیتهایی می پردازیم که شما اگر می خواهید شانسی برای برقراری امنیت اطلاعات ، شبکه ، و کامپیوتر های خود داشته باشید باید به آنها توجه کنید . این موضوع را همیشه به خاطر داشته باشید که با هر موضوعی منظقی برخورد کنید یعنی اینکه : هیچ شبکه ای در جهان وجود ندارد که صد در صد ایمن باشد ، همیشه ابتدا ویروس ساخته می شود و بعد از آن آنتی ویروس می آید ، همیشه ابتدا شبکه هک می شود و بعد از آن راه های نفوذ به آن فاش می شود ، پس هیچوقت در مورد شبکه یا سیستم های خود احساس امنیت نکنید .

از یکی از بزرگترین کارشناسان امنیت اطلاعات در جهان سئوال شد که : چه سیستمی کاملا ایمن است ؟ در جواب گفت : سیستمی ایمن است که خاموش باشد ، از برق کشیده شده باشد ، در یک تانکر فولادی زره دار ضد انفجار قرار گرفته باشد ، تمام داخل تانکر را با گاز اعصاب پر کرده باشند ، بهترین مأمورین امنیتی از آن مراقبت کنند ، و 400 متر زیر دریا قرار گرفته باشد و در این حالت نیز حاضر نیستم روی امنیت آن شرط ببندم !!!!!!

یکی از مهمترین قدم ها برای اینکه شما بتوانید یک مدیر امنیت خوب بشوید ، این است که حس سوء ظن شدید نسبت به افراد داشته باشید .این مسئله بسیار مهم است که شما به این درک برسید که در یک سازمان ، شما نه تنها با نقاط ضعف سیستم ها سر و کار دارید بلکه شما با نقاط ضعف انسانی نیز مواجه هستید که واقعا مهمتر از همه چیز در یک شبکه است . اگرچه این دو با هم یکی نیستند ولی تاثیر قابل توجهی بر روی هم دارند . برای مثال : شما در سازمان خود مقرر کرده اید که حداقل طول رمز عبور باید 8 کاراکتر باشد و خیلی نیز بر روی این مسئله تاکید دارید ، حال کاربر شما نیز این قانون را رعایت کرده ، ناگهان یکی از اقوام یا دوستان آن کاربر قصد استفاده از اینترنت داخلی شبکه شما را دارد و براحتی از کاربر شما رمز عبورش را می پرسد و وی هم رمز را براحتی در اختیار او قرار می دهد !!! همه تمهیدات فنی در زمینه امنیت در این حالت زیر سئوال می رود . راه حل مبارزه با اینگونه تهدیدات تنها بحث آموزش است .

نویسنده : محمد نصیری

منبع

۲۳ اسفند ۱۳۹۳


محصولات مشابه