آموزش SQL Server2012

«و عنده مفاتح الغیب لا یعلمها الا هو»

SSL راهنمایی برای امنیت وب سایت ها

امروزه با افزایش استفاده از اینترنت برای تبادل اطلاعات مهم و اساسی بحث امنیت در فضای مجازی از اهمیت بالایی برخوردار شده است. شرکت های امنیتی برای پیشگیری از سرقت اطلاعات خدمات گوناگونی را ارائه می دهند که از جمله ی این امکانات می توان به گواهی امنیتی SSL، فایروال، اسکنرهای سنجش امنیت و ارزیابی سالیانه امنیتی وب سایت ها اشاره کرد.
همانطور که می دانید بسیاری از مردم از طریق اینترنت خرید می کنند، ایمیل ارسال می کنند، به مدیریت حساب های بانکی شان و کارهایی از این دست می پردازند، اما اگر اندکی در خصوص تعداد کاربران اینترنت تأمل کنید، شگفت زده و البته کمی نگران خواهید شد. 15 سال پیش تنها 15 درصد از آمریکایی ها به اینترنت وصل می شدند، حالا این آمار حدود 80 درصد است. جالب است بدانید که آمار جهانی کاربران اینترنت از این هم چشمگیر تر است. آمار به ما نشان می دهد که در یک دهه ی قبل تنها حدود 350 میلیون نفر در سراسر جهان از اینترنت استفاده می کردند، حال آنکه در 10 سال گذشته این رقم به حدود 2 میلیارد نفر رسیده است.

هر چقدر به تعداد کاربران اینترنت افزوده شود، به همان نسبت وب سایت ها بیشتر در معرض حملات سایبری از قبیل سرقت رمزهای عبور کاربران قرار خواهند گرفت. تهدید کاربران اینترنت روز به روز افزایش می یابد. بر طبق گزارش ها هر ساله بیش از 3.5 میلیون نفر در آمریکا مورد سرقت اطلاعات در فضای مجازی قرار می گیرند.
بسیاری از کاربران فضای مجازی که خود یا افراد نزدیک به آنها مانند دوستان و خانواده شان مورد سرقت اطلاعات قرار می گیرند و یا اینکه خبر مربوط به این سرقت ها را می شنوند، پس از آن به راحتی و با آسودگی اطلاعات شخصی مانند نام واقعی شان را در فضای اینترنت منتشر نخواهند کرد. نتایج یک گزارش تحقیقاتی که به تازگی منتشر شده است، نشان می دهد که بیش از 62 درصد از کاربران اینترنت در ایالت متحده بابت مسأله ی امنیت اطلاعاتشان در فضای مجازی نگرانی های جدی دارند. واضح است که اگر کاربری در فضای مجازی برای دادن اطلاعات شخصی ساده مانند اسم واقعی اش احساس امنیت نکند، صحبت در خصوص استفاده ی این کاربر از کارت اعتباری برای خرید اینترنتی یک شوخی بی مورد بیشتر نخواهد بود! تحقیقات نشان می دهد که اگر وب سایتی در سطح مطلوبی از امنیت قرار نداشته باشد، کاربران اینترنت به سادگی اطلاعات خود را در آن به اشتراک نخواهند گذاشت.
خوشبختانه در حال حاضر فنآوری SSL وجود دارد. SSL یک راه حل استاندارد برای محافظت از اطلاعات حساس و مهم در فضای مجازی است. البته به اعتقاد متخصصان مزایای SSL تنها به مباحث امنیت ابتدایی وب سایت ها خلاصه نمی شود. این راهنما به شما در آشنایی با مفاهیم SSL، طرز کار آن و چگونگی ایمن سازی وب سایت ها در فضای مجازی کمک شایانی خواهد کرد.

 

SSL پایه و اساس امنیت فضای مجازی

SSL1 که در سال 1995 برای اولین بار مورد تحلیل و استفاده قرار گرفت، اکنون به یک فنآوری جهانی برای ایمن سازی فضای مجازی تبدیل شده است. در ابتدا SSL به نظر یک فنآوری بسیار پیچیده می آید، اما در واقع یک فنآوری بسیار ساده است که به ایجاد اطمینان و اعتماد در فضای مجازی کمک شایانی می کند. در واقع تصور اینترنت عمومی، بدون وجودِ امنیتِ سراسریِ ایجاد شده توسط SSL، امری دشوار و غیر ممکن است.
در اصل اِلمان ویژه ی وب سایت های دارای گواهی SSL یک بخش کوچک از یک کد است که صاحب سایت آن را در وب سایت خود نصب کرده است. پس از نصب و راه اندازی، ارائه دهنده ی خدمات SSL چک امنیتی گسترده ای از سرور، مرورگر و مرکز داده به منظور ایجاد یک دامنه و سرور امن به عمل می آورد. پس از انجام ایمن سازی، اطلاعات کدگذاری شده از طریق اینترنت برای صاحب سایت ارسال خواهد شد. این اطلاعات به گونه ای است که امکان رمزگشایی یا رهگیری آنها به منظور انجام حملات سایبری توسط شخص سومی وجود ندارد.
به عبارت دیگر فنآوری SSL به شیوه ای کاملاً مؤثر از وب سایت ها در برابر حملات سایبری محافظت می کند. این فنآوری به ویژه از سایت ها در برابر آن دسته از حملاتی که سارقان اطلاعات (هکرها) مخفیانه به استراق سمع گفتگو های اینترنتی مهم صاحبان و کاربران سایت می پردازند و یا از تراکنش های آنلاین کارت های اعتباری به شیوه ای مخفیانه باخبر می شوند، حفاظت می کند.

 

SSL Authentication

برای صدور گواهی SSL و تأیید ایمنی وب سایت ها لازم است هویت قانونی و حقوقی صاحب وب سایت و وب سایت ها به اثبات برسد. صاحب وب سایت برای پیشبرد پروژه ی تأیید هویت با مرکزی به نام Certificate Authority (به صورت مخفف CA) که مسئول صدور گواهی های SSL است، مرتبط می شود. در صورتی که وب سایتی درخواست استفاده از گواهی SSL را به CA بدهد، این مؤسسه به بررسی و تحقیق در خصوص سایت می پردازد تا اطمینان حاصل کند که سایت قانونی و حقوقی است. معمولاً کارشناسان این مؤسسه برای تأیید محل سکونت و هویت صاحب وب سایت به بررسی اسناد ثبت شده ی تجاری و حقوقی وب سایت خواهد پرداخت.
هر چند وب سایت ها خود امکان تهیه و امضای گواهی SSL را دارند، اما معمولاً به دلیل امنیت بیشتر و مدیریت بهتر، صدور گواهی نامه توسط نهاد معتبر سومی صورت می گیرد. وقتی صدور این گواهی نامه توسط یک نهاد بی طرف و سومی صورت بپذیرد، دیگر شکی برای قانونی نبودن وب سایت وجود نخواهد داشت. البته برخی از سایت های ارائه دهنده ی خدمات، به طور مستقیم گواهی نامه ی SSL را تهیه و صادر می کنند که این مورد بیشتر برای سایت ها و محیط های آزمایشی اتفاق می افتد.
فروشندگان بزرگ ارائه دهنده خدمات SSL مانند مایکروسافت توصیه اکید دارند در صورتی که وب سایت عمومی است صدور گواهی SSL حتماً توسط نهاد و مؤسسه ی بی طرف و سومی انجام پذیرد.
در حال حاضر بهره گیری از پروتکل امنیتی SSL فراگیر شده است و طیف گسترده ای از وب سایت ها و مرور گر ها برای ایمن سازی از این فنآوری بهره گرفته اند. جالب است بدانید که این فنآوری نه تنها از وب سایت ها که از ارتباطات در فضای مجازی نیز محافظت می کند. SSL همچنین از محتوای ایمیل ها، پیام ها و ارتباطات تلفنی و اطلاعات رد و بدل شده بین دو سرور در فضای مجازی به خوبی محافظت می کند.

 

چگونگی عملکرد SSL

در یک وب سایت که مجهز به گواهی SSL است، تمام اطلاعات تبادل شده میان سرور و مرور گر پیش از ارسال کدگذاری خواهند شد.
برای این کار، گواهی SSL دو کد دارد که کلید نامیده می شوند. کلید امنیتی (private key) که منحصراً به سرور میزبان وب سایت اختصاص دارد و کلید عمومی (public key) که در دسترس تمام مرورگرها قرار خواهد گرفت. داده هایی که توسط کلید امنیتی رمز گذاری شوند تنها توسط کلید عمومی رمز گشایی شده و بالعکس داده هایی که توسط کلید عمومی رمزگذاری می شوند توسط کلید امنیتی رمزگشایی خواهند شد.
سطح امنیتی که توسط SSL ایجاد می شود به عوامل محدودی از جمله نوع گواهی SSL وب سایت، نوع مرور گر استفاده شده توسط کاربر و قابلیت ها و ویژگی های سرور میزبان بستگی خواهد داشت.
یکی از ویژگی های گواهی SSL، وجود طیفی از سطح رمزگذاری نظیر «بالاتر از 256 بیت» است. در این بخش مثالی برای مقایسه ی قدرت رمز گذاری SSL آورده شده است. جالب است بدانید که قدرت SSL 128 بیتی ۲ به توان ۸۸ برابر گواهی SSL 40 بیتی است. به عبارت دیگر تریلیون ها تریلیون بار قویتر است. می توان گفت که یک سارق اطلاعات (هکر) باید برای شکستن حصار امنیتی یک گواهی SSL 128 بیتی و رمز گشایی کدهای آن یک تریلیون سال وقت صرف کند و این زمان برای گواهی SSL 256 بیتی بسیار بیشتر خواهد بود.

 

تجربیات کاربران از SSL

شما برای دانستن اینکه سایتی از گواهی SSL استفاده می کند، نیازی به دانش آی تی و آشنایی با روش کدنویسی HTML نخواهید داشت. در واقع، مرورگرهای اینترنتی به نشانه های بصری مجهز هستند که به شما برای اطلاع از استفاده ی سایت از گواهی SSL کمک می کند. برای مثال، آدرس سایتی که گواهی SSL دارد با //:https شروع می شود. در حالی که سایت های غیر امن با //:http شروع می شوند.
در صورتی که شما از یک وب سایت دارای گواهی SSL بازدید نمایید بسیاری از مرورگرهای اینترنتی مانند اینترنت اکسپلورر، فایر فاکس و سافاری یک آیکون کوچک قفل را در بالای صفحه نمایش خواهند داد.
محل و شکل ظاهری قفل بسته به نوع مرورگر استفاده شده متفاوت خواهد بود، اما شما حتماً برای اطمینان از امنیت سایت مورد بازدید از وجود آن مطمئن شوید.

بسیاری از مرورگرها زمانی که روی آیکون قفل کلیک کنید، اطلاعاتی را در خصوصCA و شرکت ارائه دهنده ی گواهی SSL نمایش خواهند داد. در صورتی که روی گزینه ی اطلاعات بیشتر کلیک کنید اطلاعاتی نظیر تاریخ انقضای گواهی نامه و اطلاعات فنی دیگر در خصوص SSL را مشاهده خواهید نمود. جالب است بدانید که مرورگرها در صورت قابل اعتماد نبودن گواهی SSL سایت، انقضای گواهی آن یا عدم انطباق آن با آدرس سایت پیام هشداری را نمایش می دهند.

 

وجود گواهی SSL برای ایجاد حس اعتماد در کاربران سایت ضروری است

اگر شما صاحب سایتی هستید که به ویژه در آن معاملات و تراکنش هایی از طریق کارت های اعتباری صورت می گیرد، کاربران باید از سطح بالای امنیتی سایت شما اطمینان کامل حاصل نمایند. به نظر شما چرا این حس اعتماد اهمیت بالایی دارد؟ برای مثال اگر اطلاعات کارت اعتباری کاربران سایت شما مورد حمله ی سایبری قرار گیرد، طبق آمار آنها دیگر از وب سایت شما بازدید نمی کنند. همچنین به احتمال زیاد آنها این تجربه بد و دید منفی را در سایر سایت ها و شبکه های اجتماعی منتشر کرده و سایر کاربران را از این اتفاق مطلع خواهند کرد. هر چند کاری از دست شما برای جبران خسارت کاربران سایتتان بر نمی آید اما این اتفاق روی ساختار روابط کاری شما با مشتریانتان تأثیر خواهد گذاشت و سایت شما مشتریان جدید و بالقوه ی خود را از دست خواهد داد.
استفاده از گواهی امنیتی SSL سریعترین، ساده ترین و مقرون به صرفه ترین راهی است که به اعتبار وب سایت و اطمینان کاربر از ضریب ایمنی آن و موفقیت کسب و کار شما کمک قابل توجهی خواهد کرد. هنگامی که داده های کاربران کدگذاری شود، دیگر امکان رهگیری آن در اینترنت توسط سارقان اطلاعات وجود نخواهد داشت و اطلاعات حساس مشتریان شما محفوظ خواهد ماند و در نتیجه اطمینان آنها به شرکت شما افزایش خواهد یافت. به طور خلاصه می توان گفت که شما علاوه بر حافظت از اطلاعات بازدیدکنندگان سایتتان از شهرت خود در فضای مجازی نیز محافظت خواهید کرد.

 

اهمیت انتخاب درست ارائه دهنده ی خدمات SSL

بسیاری از کاربران در هنگام بازدید از یک سایت به وجود نشان های تجاری شرکت های امنیتی مجازی که در اصطلاح trust marks نامیده می شوند و دال بر ایمنی سایت هستند، توجه ویژه ای نشان می دهند. نتیجه ی یک تحقیق نشان داده است که بیش از 86 درصد خریداران آنلاین ابتدا از وجود و اعتبار این آرم اطمینان حاصل می کنند و سپس با احساس امنیت بیشتری اطلاعات شخصی خود را در اختیار وب سایت قرار می دهند. با توجه به این واقعیت مهم، انتخاب یک ارائه دهنده ی خدمات SSL مطمئن یکی از مهمترین تصمیمات کسب و کار شما خواهد بود.
تعداد شرکت های ارائه دهنده ی گواهی امنیتی SSL بسیار زیاد است، اما تعداد کمی از این شرکت ها در سطح جهان از شهرت و اعتبار خوبی برخوردار هستند. لازم است قبل از خرید گواهی SSL درباره ی شرکت ارائه دهنده ی خدمات تحقیق کرده و از حسن شهرت و اعتبار آن اطمینان حاصل نمایید.

 

همکاری با یک شرکت متخصص در زمینه ی ارائه ی گواهی امنیتی SSL به اعتبار سایت شما و اعتماد کاربران به آن کمک قابل توجهی خواهد کرد.
اما در مقابل انتخاب یک ارائه دهنده ی غیر قابل اعتماد می تواند عواقب جدی و خطرناکی را به دنبال داشته باشد. برای مثال در 4 آوریل 2009 به دلیل مشکلات فنی شرکت گلوبال ساین، دارندگان گواهی SSL این شرکت با مشکلات و ضررهای زیادی مواجه شدند.
به همین دلیل است که انتخاب درست شرکت ارائه دهنده ی خدمات SSL امری ضروری قلمداد می شود.

 

تجربه ی امنیت در سطحی بالاتر با بهره گیری از EV SSL

اخذ گواهی SSL معمولی برای فروشگاه های مجازی و وب سایت های معاملاتی امری ضروری است، اما شما می توانید از فنآوری پیشرفته و سطح بالای SSL استفاده نمایید که رمزگذاری پیچیده تر و فرآیند صحه گذاری سخت گیرانه تری را اجرا می کند. این نوع از SSL در اصطلاح فنآوری EV SSL نامیده می شود و نشانه ی واضح آن برای کابران وب سایت قرار گرفتن آدرس سایت در نواری سبزرنگ درون کادر مرورگر خواهد بود که نتیجه ی آن امنیت بیشتر سایت شما و اعتماد بیشتر کاربران به ضریب امنیت وب سایتتان خواهد بود.

 

چگونگی عملکرد EV SSL

برخی از ارائه دهندگان خدمات SSL هنگامی که با تقاضا برای قیمت پایین تر این گواهی نامه مواجه شدند، اقدام به عرضه ی گواهی هایی کردند از لحاظ سطح رمزگذاری و تصدیق هویت با گواهی های SSL با قیمت بالا تفاوت های چشمگیری دارد. یک گروه مستقل صنعتی با نام CA/Browser Forum7 برای جلوگیری از سردرگمی کاربران و تسهیل شناسایی وب سایت هایی که از گواهی SSL قویتری استفاده می کنند، اقدام به اعطای گواهی EV SSL کرده است.
گواهی های EV SSL به مانند گواهی های امنیتی SSL از همان روش رمزگذاری کلید عمومی / امنیتی برای محافظت از انتقال داده ها استفاده می کنند. با این حال وب سایت هایی که از EV SSL بهره می گیرند، ضریب امنیتی بسیار بالاتری دارند. وقتی سایتی از EV SSL بهره می گیرد، فرآیند دقیق تری برای تصدیق هویت انجام خواهد شد. همان طور که قبلاً به آن اشاره شد یکی از نشانه های ورود به یک سایت امن مجهز به گواهی EV SSL سبز شدن آدرس سایت در داخل کادر مرور گر است.

چرایی اهمیت EV SSL

نتایج یک تحقیق نشان داده است که بازدیدکنندگان سایت شما در صورتی که نوار سبز رنگ را مشاهده کنند، تمایل بیشتری برای ارتباط و تعامل با سایت شما دارند و این می تواند بدین معنی باشد که از سایت شما خرید خواهند کرد، در خبرنامه ی سایت عضو خواهند شد و از خدمات سایت شما بهره خواهند گرفت. نتایج مطالعه ی مستقل مؤسسه ی Tec-Ed نشان داده است که 97 درصد از شرکت کنندگان در نظرسنجی در صورتی که نوار سبز مربوط به گواهی EV SSL را مشاهده کنند، با اطمینان خاطر بیشتری اطلاعات شخصی و مالی خود را در اختیار سایت قرار خواهند داد.
اگر به دنبال بالاترین سطح امنیتی رمزگذاری داده ها و افزایش ضریب ایمنی سایتتان هستید، گواهی EV SSL بهترین انتخاب برای شما خواهد بود.

 

سایتتان را به SSL مجهز کنید!

اگر شما قصد دارید برای افزایش امنیت سایتتان از گواهی SSL استفاده نمایید، اولین گام انتخاب یک شرکت ارائه دهنده ی این خدمت است. شرکت های ارائه دهنده ی خدمات SSL بسیار زیاد هستند، اما به یاد داشته باشید که باید بهترین شرکت را از میان آنها انتخاب کنید. شرکتی که دستورالعمل های امنیتی سخت گیرانه ای را در پیش می گیرد.
وقتی شما با یک شرکت قرارداد همکاری امضا کردید، این شرکت از شما قبل از صدور گواهی SSL مدارک هویتی و قانونی شرکت یا سایت تان را برای احراز هویت درخواست خواهد کرد. در این بخش هر شرکت ارائه دهنده مقررات خاص خود را دارد اما معمولاً بسیاری از شرکت های ارائه دهنده ی خدمات SSL اسناد ثبت شده ی حقوقی و قانونی سایت (شرکت) را درخواست خواهند کرد. برای مثال، شرکت «ژئو تراست» برای تکمیل مراحل درخواست گواهی و تأیید هویت قانونی محلی و ملی سایت شما، کپی تمام اسناد ثبتی شرکت را به دقت بررسی می کند. این شرکت همچنین اسناد مربوط به ثبت دامنه ی سایت شما را نیز مورد بررسی قرار می دهد. ژئو تراست به منظور تسهیل فرآیند بررسی برای مشتریانش، این تحقیق را از طریق پایگاه های داده ی عمومی انجام می دهد
فرآیند صدور گواهی SSL توسط CA بسته به نوع و سطح گواهی خریداری شده از چند دقیقه تا چند روز زمان خواهد برد. فرآیند صدور گواهی های امن تر و قابل اعتماد تر زمان بیشتری خواهد برد، اما انتظار برای دریافت این نوع گواهی ها ارزشش را نیز دارد. به عنوان نمونه، صدور گواهی EV SSL بسیار طولانی است، اما حداکثر امنیت و اعتماد را برای شما مهیا خواهد کرد، به نحوی که کاربران از حضور در سایت شما احساس امنیت خواهند کرد. گواهی EV به دلیل ایجاد فضای امن تر برای تعاملات شما با مشتریان و کاربران، تأثیر بسیار مثبتی روی افزایش سود کسب و کار شما خواهد داشت.
لازم است شما پس از اخذ گواهی، آن را بروی وب سرور خود نصب نمایید. هر چند مراحل نصب SSL ساده و روشن است، اما به دلیل نگرانی برخی از خریداران از ایجاد مشکل، برخی از شرکت های CA به هنگام خرید گواهی، دستورالعمل کاملی برای نصب ارائه می دهند. چگونگی نصب SSL با توجه به نوع سرورها متفاوت است، بنابراین لازم است برای اطمینان بیشتر هر گونه سؤال و ابهامی را با نماینده ی CA مطرح کنید.
برخی از شرکت های CA به خریدارانشان نشانه ی امنیتی ویژه ای ارائه می دهند که خریداران با نشان دادن آن به بازدیدکنندگان سایت به آنها اطمینان می دهند که این سایت توسط گواهی امنیتی SSL محافظت می شود. برای نصب این نشان ویژه ی امنیتی کافی است که کد مورد نظر را از نماینده ی CA دریافت کرده و آن را در بخش Source Code وب سایتتان کپی کنید. اطمینان حاصل کنید که این نشان ویژه ی امنیتی در سایت شما به ویژه در صفحه ی اول (home page) برجسته و قابل رؤیت باشد. در صورتی که سایت شما یک فروشگاه الکترونیک است توصیه می شود این نشان ویژه را در تمامی صفحات سایت از جمله صفحه ی محصولات و صفحه ی ویژه ی خرید الکترونیک نمایش دهید.
زمانی که بازدیدکنندگان هولوگرام SSL را در سایت شما مشاهده می کنند، زمان بیشتری را در سایتتان می گذرانند، در خبرنامه ی شما عضو خواهند شد و خرید بیشتری خواهند کرد. متخصصان توصیه می کنند که این نشان را در بالای صفحه ی اصلی نمایش دهید.بسیاری از صاحبان وب سایت ها این نشان را در تمامی صفحات سایت نمایش می دهند تا امنیت بالای آن را به مشتریان یادآوری کنند.

 

نتیجه : مزایای بهره گیری از گواهی های SSL

وقتی شما از گواهی SSL استفاده می کنید، این پیام روشن را به کاربرانتان می دهید که ما مراقب ایمنی شما هستیم و سایت ما مورد اعتماد است. با این وجود تمام گواهی های SSL از لحاظ سطح امنیتی موقعیت یکسانی ندارند. هنگامی که قصد خرید SSL را دارید باید از اعتبار، قابل اعتماد بودن و حسن شهرت شرکت ارائه دهنده اطمینان حاصل فرمایید. توصیه متخصصان به خریداران استفاده از گواهی EV SSL است.
بهره گیری از گواهی EV SSL که از شرکت ارائه دهنده ی معتبری خریداری شده باشد، امنیت و اعتبار سایت شما در فضای مجازی را تضمین خواهد کرد. علاوه بر این موارد گواهی EV SSL کاربران را تشویق می کند تا زمان بیشتری را در سایت شما حضور داشته باشند که این اتفاق به افزایش فروش و در نتیجه موفقیت سایت شما منجر خواهد شد.
برای خرید SSL، ارائه دهنده ای قابل اعتماد، معتبر و مستقل را انتخاب نمایید. این گواهی باید حداقل سطح رمزگذاری اش 128 بیتی باشد، اما به گفته ی متخصصان یک حالت خوب برای آن سطح رمزگذاری 256 بیتی است. برای حفاظت بهتر از داده ها و اطلاعات، باید SSL به مراکز داده ی قوی و سایت های بازیابی اطلاعات قدرتمند مجهز باشد. از نمونه شرکت های معتبر در زمینه ی ارائه ی گواهی SSL می توان به KPMG، دلویت و تاچ، ارنست و یانگ و ژئوتراست اشاره کرد.

 

گواهی SSL در ایران

از آنجایی که گواهی های امنیتی SSL با واسطه یا بی واسطه باید به یک CA معتبر متصل باشند با توجه به شرایط امروز کشور ما و نیاز سایت های ایرانی به اخذ این گواهی نامه برای تأمین امنیت کاربران، معمولاً این گواهی ها با 2 یا 3 واسطه از شرکت CA اصلی خریداری می شود که لازم است در خصوص نوع SSL خریداری شده و اعتبار شرکت اصلی و شرکت های واسطه تحقیق و ارزیابی دقیقی انجام شود.


+ سید حسین موسوی ; ۳:٠۱ ‎ق.ظ ; ۱۳٩٢/٩/٢٩
comment نظرات ()

سیستم مدیریت امنیت اطلاعات (ISMS)

امروزه اطلاعات یکی از با ارزش ترین دارایی های شرکتها می باشد. فاش شدن اطلاعات بازرگانی یا خرابى در  سیستم اطلاعات براى شرکت شما چه مفهومى دارد؟ چنانچه از نقطه نظر تهدید مداوم  و توسعه شرکتتان، این ریسک ها برایتان مهم هستند، باید از طریق مشاوره یک سیستم مدیریت امنیت اطلاعات به دنبال راه حلى باشید.

به وسیله ی دریافت گواهی این سیستم می توانید اعتماد شرکایتان را براى دسترسی به سیستم های اطلاعات آنها یا برای تسهیم دوجانبه ی داده و اطلاعات، کسب نمایید.
تعدادی از شرکت های معروف، ریسک های مربوط به استفاده گسترده و ارتباط با سیستم های اطلاعات الکترونیکی را تجزیه و تحلیل کرده و پی بردند که مهمترین دلیل سوء استفاده، فاش شدن یا نقص اطلاعاتIT، مربوط به فقدان کنترل های ابتدایی مى باشد.
تامین امنیت اطلاعات نیاز حیاتی هر سازمانی است. یک سیستم استاندارد و کارآمد مدیریت امنیت اطلاعات
(ISMS)، ضمن مقابله با تهدیدات امنیتی، آمادگی سازمان را در مواجهه و واکنش به وقایع امنیتی احتمالی، تضمین می نماید.

 

اساس سیستم مدیریت امنیت اطلاعات

سیستم جامع مدیریت امنیت اطلاعات بر سه پایه استوار است:
1)     سیاست ها و دستورالعملهای امنیتی
2)     تکنولوژی و محصولات امنیتی
3)     عوامل اجرایی

سیاستها و دستورالعملهای امنیتی

طرحها و برنامه های مرتبط برای نحوه محافظت از سیستم های اطلاعاتی و داده های آنها در این قسمت مورد توجه قرار می گیرد. استراتژی امنیتی در دو بخش غیر‌فنی و فنی ارائه می‌گردد. بخش غیرفنی شامل تعیین سطوح امنیتی مطلوب و انتخاب استانداردهای امنیتی و بخش فنی شامل تهیه دستورالعملهای لازم برای بکارگیری و نظارت بر اجزای سیستم امنیتی جهت نیل به اهداف استراتژیک می‌باشد.

تکنولوژی و محصولات امنیتی

این قسمت شامل تمام ابزارهای مورد استفاده در بخش‌های مختلف امنیتی برای اعمال کنترل، نظارت و دستورالعملها می‌باشد. ابزارهای محافظتی و نظارت بر شبکه، سیستم‌های کنترل دسترسی و راهکارهای ضدویروس در این بخش مطرح می‌گردند.

عوامل اجرایی

افراد مرتبط با مدیریت و اجرای سیستم امنیتی شامل مدیران سیستم‌ها و شبکه‌ها، پرسنل و کاربران عادی در این قسمت جای دارند. این عوامل از تکنولوژی و ابزارها در جهت اجرای سیاستها و دستورالعملهای امنیتی استفاده می‌کنند.

استانداردهای سیستم مدیریت امنیت اطلاعات

  • ISO /IEC 17799

همزمان با بکارگیری استانداردBS 7799 در برخی سازمانها و همچنین جلوگیری از گسترش آن در برخی کشورها، تقاضا برای انتشار یک استاندارد امنیت اطلاعات تحت نظر یک موسسه مشخص بین المللی نظیر ISO افزایش یافت و منجر به «پیگیری سریع» بخش اول BS 7799 توسط موسسه بین المللی استاندارد (ISO) شد و با انتشار آن برای نخستین بار توسط موسسه ISO تحت عنوان ISO/IEC 17799 : 2000 در دسامبر سال ۲۰۰۰به اوج خود رسید.

  • ISO 27001

بخش اولBS 7799 به دلیل اینکه در تمام سازمانها و در هر نقطه ای ازجهان قابل انطباق و استفاده بود، برای استاندارد شدن توسط موسسه بین المللی استاندارد ISO در قالب ISO 17799 و سپس در قالب ISO 27002 پذیرفته شد. سپس با توجه به گسترش سیستم های مدیریت امنیت اطلاعات و نیاز به یک استاندارد مخصوص به آن، بخش دوم BS 7799 نیز در قالب ISO 27001 توسط موسسه بین المللی استاندارد ارائه گردید.

 

· سایر استانداردهای سری ISO27001

ISO27002، ISO27003، ISO 27004، ISO 27005، ISO 27011و سایر


مزیت پیاده سازی استانداردISO 27001 درسازمانها

استانداردISO 27001 قالبی مطمئن برای داشتن یک سیستم مورد اطمینان امنیتی می باشد. در زیر به تعدادی از فوائد پیاده سازی این استاندارد اشاره شده است:

  • اطمینان از تداوم تجارت و کاهش صدمات توسط ایمن ساختن اطلاعات و کاهش تهدیدها
  • اطمینان از سازگاری با استاندارد امنیت اطلاعات و محافظت از داده ها
  • قابل اطمینان کردن تصمیم گیری ها و محک زدن سیستم مدیریت امنیت اطلاعات
  • ایجاد اطمینان نزد مشتریان و شرکای تجاری
  • امکان رقابت بهتر با سایر شرکت ها
  • ایجاد مدیریت فعال و پویا در پیاده سازی امنیت داده ها و اطلاعات
  • بیان نمودن ایده ها در خارج از سازمان (بخاطر مشکلات امنیتی اطلاعات و ایده های خود را در خارج سازمان پنهان نسازید)

بنابراین، این استاندارد علاوه بر داشتن رویکردی فرآیندگرایانه و مشتری محوری، رویکردی تجاری دارد. یک مشاور امنیتی باید خدمات مرتبط با تحلیل، طراحی و اجرای سیستم‌های مدیریت امنیت اطلاعات را به شرح زیر ارائه ‌دهد:

  • ارائه مشاوره در زمینه تهیه سیاستها و استراتژی ‌های امنیتی
  • طراحی و مستند‌سازی رویه ها و دستورالعمل های امنیتی مطابق با استانداردهای امنیت اطلاعات و قوانین موجود مثل شورای عالی انفورماتیک (BS7799/ISO17799 )
  • ارائه مشاوره و خدمات فنی جهت دریافت گواهینامه امنیت اطلاعات
  • ارائه خدمات آموزش امنیتی برای مدیران و پرسنل پیرامون سیستم‌های امنیت اطلاعات
  • شناسائی و مستند‌سازی ضعف‌های امنیتی و تهدیدات مرتبط برای سیستم‌های اطلاعاتی، شبکه‌های رایانه‌ای و روالهای سازمانی
  • طراحی و پیاده‌سازی راهکارهای حفاظتی و کنترلی برای سیستم‌های اطلاعاتی و شبکه‌های کامپیوتری
  • ارائه خدمات سخت‌افزاری و نرم‌افزاری جهت نظارت بر اجزای سیستم مدیریت اطلاعات شامل:
  1. خدمات بررسی آسیب‌پذیری ‌های امنیتی
  2. راهکارهای مدیریت آسیب‌پذیری ‌های امنیتی

متاسفانه مقوله امنیت در ایران چندان جدی گرفته نشده و حداکثر محدود به فروش و نصب فایروال و آنتی ویروس است. اما در یکی دو سال اخیر تعداد معدودی سازمان اقدام به پیاده سازی راهکارهای امنیتی و استقرار استاندارد مدیریت امنیت اطلاعات نموده اند.

ISMSفازهای

بر اساس استانداردهای مدیریت امنیت اطلاعات و ارتباطات و مطابق با سند افتا، هر سازمان باید مجموعه مستندات مدیریت امنیت اطلاعات و ارتباطات را به شرح زیر، برای خود تدوین نماید:

  • اهداف، راهبردها و سیاستهای امنیتی فضای تبادل اطلاعات سازمان
  • طرح تحلیل مخاطرات امنیتی فضای تبادل اطلاعات سازمان
  • طرح امنیت فضای تبادل اطلاعات سازمان
  • طرح مقابله با حوادث امنیتی و ترمیم خرابیهای فضای تبادل اطلاعات سازمان
  • برنامه آگاهی رسانی امنیتی به پرسنل سازمان
  • برنامه آموزش امنیتی پرسنل تشکیلات تامین امنیت فضای تبادل اطلاعات سازمان

بر اساس این استاندارد، شرکت گیلاس کامپیوتر در جهت تهیه مستندات فوق فازبندیهایی را بصورت زیر در نظر می گیرد:

فاز صفر:ارزیابی اولیه از وضع موجود سازمان در حوزه فناوری اطلاعات و فعالیت­های آن

فازاول: تعیین اهداف،‌ راهبردها و سیاست‌های امنیتی سازمان (در حوزه کاربرد –Scope)

فاز دوم: طرح تحلیل مخاطرات امنیتی

فاز سوم: ارائه طرح جامع امنیت شبکه و اطلاعات

فاز چهارم: انتخاب کنترل­های مناسب استاندارد ISO 27001برای سازمان

فاز پنجم: ممیزی داخلی سازمان (در حوزه کاری–Scope)

فاز ششم: صدور گواهینامه بین‌المللی استاندارد ISO 27001(بسته به دامنه کاربرد نهایی جهت صدور گواهینامه متغیر خواهدبود.)

+ سید حسین موسوی ; ٢:٥۸ ‎ق.ظ ; ۱۳٩٢/٩/٢٩
comment نظرات ()

قفل های سخت افزاری و نرم افزاری

برای جلوگیری از استفاده غیرمجاز از برنامه ها ویا تکثیرغیرقانونی آنها، اصطلا حا به آنها قفل می زنند. قفل گذاری کلا به دو روش نرم افزاری و سخت افزاری انجام می شود . قفل سخت افزاری ( Hardware lock ) چنانچه ازسخت افزارخاصی برای قفل گذاری استفاده شود، به آن قفل سخت افزاری می گوییم. این قفلها بعضی به صورت یک رابط، بر روی پورت پارالل سیستم نصب می شوند که البته هر دو نوع آن عملکرد مشابه دارند. بخش اصلی قفل، از یک حافظه قابل پاک شدن تشکیل شده که با توجه به نوع و حجم آن، دارای عملکردی متفاوت می باشد و عمدتا به یکی از دو روش زیر عمل می کند :


الف) روش اول قفل گذاری به این صورت است که تولید کننده نرم افزار یک یا چند بایت از اطلاعات را در قفل نوشته و برنامه در هنگام اجرا آن را چک می کند. در صورتیکه قفل وجود داشته باشد، برنامه به کار خود ادامه می دهد و اگر قفل وجود نداشته باشد و یا اطلاعات خوانده شده از روی قفل صحیح نباشد، برنامه متوقف شده و با اعلام خطا، از اجرای صحیح، سرباز می زند. این نوع قفل ها دارای ساختاری ساده، حافظه ای در حد چند بایت، و قیمتی ارزان هستند. استفاده از این قفل ها بسیار ساده بوده و نیاز به تخصص خاصی ندارد،تنها کافیست که نرم افزار ویژه قفل را ( که توسط شرکت تولید کننده قفل ارائه شده ) اجرا نمود. در ابتدا که قفل فاقد اطلاعات است، اول یک کلمه دلخواه، به عنوان کلمه عبور درخواست کرده و سپس با توجه به نوع قفل، یک یا چند کلمه اطلاعات را دریافت و در حافظه قفل ثبت کنید. در دفعات بعد می بایست کلمه عبوری که اولین بار ثبت شده، وارد شود تا بتوان به اطلاعات درونی قفل دسترسی داشت. البته بعد از ورود به برنامه این کلمه قابل تغییر است. در هر صورت، پس از ثبت اطلاعات در قفل، تولید کننده نرم افزار، اطلاعات ثبت شده در یک برنلمه چک می کند که نحوه چک کردن اطلاعات، با توجه به نوع قفل متفاوت است. در بعضی فقط اطلاعات درون قفل چک می شود و در بعضی دیگر، در مرحله اول وجود قفل چک شده و در مرحله بعدی، اطلاعات درون آن چک می شود.
ب) روش دیگر قفل گذاری به این صورت است که تولید کننده نرم افزار، بخش کوچکی از برنامه را در حافظه قفل قرار می دهد که در این حالت، چنانچه قفل وجود نداشته باشد برنامه به هیچ وجه، قادر به اجرا و ادامه کار نخواهد بود. این نوع قفل ها، دارای ساختاری کمی پیچیده، حافظه ای بعضا تا چند کیلو بایت، و قیمتی نسبتَََا گران هستند. استفاده از این قفل ها، به سادگی نوع قبلی نیست. البته نحوه کلی کار مشابه روش قبلی است. با اجرای نرم افزار ویژه قفل و وارد نمودن کلمه عبور، باید نام فایلی را که می خواهیم بر روی آن قفل بزنیم، مشخص کنیم، تا بخشی از آن در قفل ثبت گردد. البته در بعضی دیگر از این نوع قفل ها، که حفاظت بیشتری را انجام می دهند، می بایست توسط تولید کننده نرم افزار دقیقا کنترل شود که چه بخش هایی از فایل باید در قفل ثبت گردد که ابته انجام این کار نیاز به تخصص و تجربه کافی دارد، چرا که بعضا ممکن است که خطا در انجام کار، باعث بروز اشکال در برنامه تولیدی بشود. چون با این کار در واقع بخشی از برنامه در قفل ثبت می گردد، واضح است که هر قفل فقط برای یک نسخه از برنامه می تواند مورد استفاده قرار بگیرد و به همین علت کاربرد این قفل، کمتر است. ضمنا نوع دیگری از قفل ها هستند که هر دو روش فوق استفاده می کنند، اما طرفدار چندانی ندارند.
قفل نرم افزاری (Software Lock) چنانچه از روش ها و ترفند های نرم افزاری، برای قفل گذاری استفاده شود، به آن قفل نرم افزاری می گوییم. قفل های نرم افزاری دارای تنوع بیشتری بوده و بعضا از لحاظ طراحی و اجرا سلیقه ای و ابتکاری می با شند. اما می توان نحوه عملکرد اکثر آنها را، توسط یکی از 3 روش ذیل، تشریح نمود:
1) محدودیت در تعداد کپی(Copy Limited) در این حالت برنامه نصب کننده نرم افزار، فضای مشخصی در دیسک را با روش خاصی مرمت کرده، و تعداد مجاز نسخه برداری را در آن درج می کند. بدین طریق با هر بار کپی کردن برنامه، یک واحد از این عدد کم می شود و هنگامی که تعداد مجاز آن به صفر رسید، دیگر نمی توان برنامه را بر روی سیستم نصب نمود. حال ممکن است این سوال مطرح شود که مگر نمی توان پس از نصب برنامه، از آن پشتیبانی(Back Up) گرفته و سپس از نسخه پشتیبان نیز، بر روی سیستم دیگری استفاده نمود؟ پاسخ منفی است. زیرا هنگام نصب، اطلاعاتی راجع به سخت افزار سیستم که می تواند مثلا شامل نوع قطعات و یا شماره سریال قطعات باشد، در جایی، در محدوده قفل ذخیره می شود و از این پس هر بار در هنگام اجرای برنامه، این اطلاعات به دقت چک می شود و در صورت هرگونه تغییر، برنامه اجرا نمی شود.
2) استفاده از دیسکت، در هنگام اجرای برنامه (Disk Required) در این حالت، دیسکت مورد نظر، یا به روش خاصی فرمت می شود و سپس در هنگام اجرا، اطلاعات روی آن بررسی می شود، و یا اینکه قسمتی از دیسکت را بصورت فیزیکی و عمدی خراب می کنند و در اینجا، در واقع همان صدمه ای که به عمد، بر سطح دیسکت وارد شده است، به عنوان قفل و محافظ نرم افزار عمل می کند. از این پس برای انتقال برنامه از یک سیستم به سیستم دیگر، این فلاپی مانند قفل سخت افزاری عمل می کند و می بایست مختصات آن توسط برنامه تایید شود و چنانچه این فلاپی در درایو نباشد، برنامه اجرا نخواهد شد.
3) قفل سی دی (اجرا از روی سی دی) با متداول شدن سی دی ویا لوح فشرده، روش جدیدی در قفل گذاری ابداع شد و آن اجرای برنامه از روی سی دی است. در این حالت برنامه هنگام اجرا، به سی دی رجوع کرده و نقاط خاصی از آن را چک می کند. این نقاط بخش هایی هستند که به صورت فیزیکی علامت گذاری شده اند ودر واقع به نوعی صدمه دیده اند و معمولا این خرابی با تابش اشعه لیزر انجام می شود. به این ترتیب به اصطلاح نقاط معینی از سی دی لیزرسوز می شود. این نقطه یا نقاط، به عنوان قفل سی دی عمل می کند و از عمل تکثیر یا کپی برداری و همچنین استفاده غیر مجاز از آن جلوگیری به عمل می آورد.
در خاتمه سوالی که در مورد سه روش فوق الذکر مطرح است، این است که آیا می توان قبل از نصب، از دیسکت ها و سیدی های قفل گذاری شده کپی تهیه کرد و سپس آنها را نصب کرد؟
پاسخ منفی است، زیرا همانگونه که اشاره شد، یا بخشی از دیسکت و یا تمامی ان، به روش خاصی فرمت می شود که قابل کپی برداری نیست و یا اینکه محل ونقاطی که بر روی دیسکت و یا سی دی، به صورت فیزیکی و عمدی صدمه دیده اند، اجازه کپی برداری را نمی دهند و مانع از انجام این کار می شوند.

+ سید حسین موسوی ; ٢:٥۱ ‎ق.ظ ; ۱۳٩٢/٩/٢٩
comment نظرات ()

نظریه‌های امنیت

در این کتاب تلاش شده است تا ادبیات مناسب و نسبتاً جامعی در خصوص نظریه‌ها، نظام‌ها و الگوهای امنیتی فراهم آورده شود؛ به همین منظور، کتاب در ۴ بخش، شامل «مطالعات امنیتی، نظریه‌های امنیتی، نظام‌های امنیتی و الگوهای امنیتی» و ۲۳ فصل ارائه خواهد شد.

هر یک از فصول بخش اول این کتاب، دیدگاه‌ها و ارزیابی بخشی از نظریه‌پردازان امنیتی را درخصوص مؤلفه‌های مختلف یک نظریه امنیتی انعکاس خواهد داد. در این چهارچوب، مطالعات امنیتی رئالیستی، مطالعات امنیتی لیبرالیستی، مکتب امنیتی جهان سوم و مکتب کپنهاک به‌عنوان راهکارهای پوزیتیویستی و سنتی امنیت در یک مجموعه قرار دارند. هرچند مکتب کپنهاک، آغاز حرکت ایجاد تغییر در راهکار سنتی امنیت است و مکتب امنیتی جهان سوم از زاویه‌ای دیگر و با تمرکز بر مسائل امنیتی جهان سوم به بررسی امنیت می‌پردازد و نیز به برخی نتایج مغایر با مبانی مطالعات سنتی امنیت می‌رسد، روح حاکم بر این مکاتب، پوزیتیویستی و سنتی است.


راهکارهای پست‌پوزیتیویستی در بخش اول شامل مطالعات امنیتی فراساختارگرایان و مطالعات امنیتی انتقادی و فمینیستی می‌شود. این رهیافت‌ها و مکاتب دارای هستی‌شناختی، روش‌شناسی و شناخت‌شناسی متفاوتی با مکاتب و رهیافت‌های سنتی و پوزیتیویستی هستند و به‌طور کامل در چهارچوب مطالعات امنیتی قرار دارند، درحالی‌که مکاتب و رهیافت‌های پوزیتیویستی نیز مورد ادعای مطالعات استراتژیکند.


مطالعات امنیتی سازه‌انگاران یکی دیگر از فصول بخش اول است که در حد فاصل میان مطالعات امنیتی پوزیتیویستی و پست‌پوزیتیویستی قرار دارد. این رهیافت مطالب درخور توجهی درخصوص مسائل امنیتی ارائه می‌دهد و تلاش وافری دارد تا شکاف میان دو قطب مطالعات امنیتی را پر نماید.


بخش دوم یعنی «نظریه‌های امنیتی» از پنج فصل شامل نظریة مجموعة امنیت منطقه‌ای؛ نظریة امنیتی ساختن؛ نظریة تهاجم ـ دفاع؛ رهیافت فرهنگ استراتژیک و ایدة امنیت مشترک تشکیل گردیده است.


در این پنج فصل به اصلی‌ترین نظریه‌های موجود در حوزة مسائل امنیتی توجه شده است: نظریة مجموعة امنیت منطقه‌ای که متأثر از مکتب کپنهاگ است، با محور قرار دادن محیط امنیتی در سطح منطقه‌ای تلاش دارد تا دستگاه مناسبی برای تحلیل مسائل امنیتی ارائه دهد؛ نظریة امنیتی ساختن فرایند امنیتی و غیرامنیتی کردن مسائل و پدیده‌ها را مورد توجه قرار می‌دهد و به تبیین موفقیت‌ها و شکست‌ها در این فرایند می‌پردازد؛ نظریة تهاجم ـ دفاع بیشتر معطوف به مهم‌ترین پدیدة امنیتی یعنی «جنگ‌» است و تلاش دارد تا قابلیت تبیین و پیش‌بینی آن را افزایش دهد. رهیافت فرهنگ استراتژیک شبه‌نظریه‌ای متعلق به مطالعات امنیتی سازه‌انگاران است که تلاش می‌کند قابلیت‌های تحلیلی درخصوص شناخت‌شناسی امنیت را متفاوت با رویکردهای سنتی ارائه دهد و درنهایت، ایدة امنیت مشترک تلاش می‌کند تا راهکار مناسبی را برای پیوند میان مقوله‌ها و موضوعات امنیتی قدرت‌های بزرگ بیابد.


بخش سوم در چهار فصل شامل نظام‌های امنیتی موازنة قوا، رژیم‌های امنیتی، هژمونیک و اجتماع امنیتی تنظیم گردیده است. بخش چهارم نیز شامل پنج فصل است که در آن، اصلی‌ترین مدل‌های کاربردی امنیتی شامل الگوهای دفاع غیرتهاجمی، امنیت دسته‌جمعی، امنیت تعاونی، بازدارندگی و مشارکت برای امنیت منطقه‌ای مورد بررسی قرار گرفته‌اند.


دراین‌راستا نظام‌های چهارگانة امنیتی از قابلیت بسیار مناسبی برای فراهم آوردن چهارچوب کلی و منطقی انواع مدل‌های کاربردی امنیتی که ازسوی کشورها و یا مجموعه کشورهای مختلف در جهان کنونی مورد استفاده قرار گرفته‌اند، برخوردارند. نظام موازنة قوا نظامی فراگیر و مبتنی‌بر مطالعات رئالیستی امنیتی و مکتب کپنهاگ است که مدعی است هنوز هم از قابلیت مناسبی برای مدیریت امنیتی در جهان امروز برخوردار است. این نظام را می‌توان قدیمی‌ترین نوع نظام امنیتی در جهان معاصر دانست. نظام رژیم‌های امنیتی بیشتر متأثر از رویکردهایی‌اند که امکان و یا ضرورت همکاری در جهان کنونی را اجتناب‌ناپذیر می‌دانند. نظام هژمونیک امنیتی متعلق به دنیای قدرت‌های ایدئولوژیک است. باوجوداین، به‌لحاظ نظریه‌های پشتیبان، آبشخور آن با نظام امنیتی موازنة قوا تا حدود زیادی یکسان و بیشتر متأثر از مطالعات رئالیستی امنیتی است. نظام اجتماع امنیتی که به‌نظر می‌رسد به آموز‌ه‌های اسلامی نزدیک‌ باشد، جدیدترین نوع نظام امنیتی است که براساس ایجاد انسجام در میان کشورها و ترکیب منافع و ارزش‌های جوامع با یکدیگر شکل گرفته و بیشتر متأثر از مطالعات امنیتی سازه‌انگاران است.


الگو‌های امنیتی که در بخش چهارم آورده شده است، بیشتر شامل مواردی است که هم‌اکنون ازسوی کشورها و یا مجموعه‌ای از آنها برای مدیریت امنیتی در سطح ملی یا منطقه‌ای و بین‌المللی انتخاب گردیده است. دراین‌چهارچوب، مدل بازدارندگی از قدیمی‌ترین مدل‌های کاربردی امنیتی است که بیشتر در قالب نظام موازنة قوا به‌کار می‌رود و مدل امنیت تعاونی، الگوی کاربردی در نظام اجتماع امنیتی است که به‌منظور کاربردی کردن این نظام طراحی گردیده است. مدل مشارکت برای امنیت منطقه‌ای یکی از مدل‌های جدید است که به‌منظور کاربردی کردن نظام رژیم‌ها و نهادگرایی امنیتی در مناطق و مجموعه‌های کمتر متجانس با این نظام‌ها طراحی شده است. این الگو تلاش دارد تا با استفاده از اصل همکاری و تشریک مساعی میان کشورها به مدیریت امنیتی در سطوح منطقه‌ای کمک نماید.

+ سید حسین موسوی ; ٢:٤٩ ‎ق.ظ ; ۱۳٩٢/٩/٢٩
comment نظرات ()

ضرورت توجه به امنیت اطلاعات

طراحی و پیاده سازی یک محیط ایمن در سازمان های مدرن اطلاعاتی یکی از چالش های اساسی در عصر حاضر محسوب می گردد . برای بسیاری از سازمان ها و موسسات اهمیت و ضرورت توجه جدی به مقوله امنیت اطلاعات هنوز در هاله ای از ابهام قرار دارد و برخی دیگر امنیت را تا سطح یک محصول تنزل داده و فکر می کنند که با تهیه یک محصول نرم افزاری خاص و نصب آن در سازمان خود ، امنیت را برای سازمان خود به ارمغان می آورند .  بخاظر داشته باشیم که امنیت یک فرآیند است نه یک محصول .
در مجموعه مقالاتی که بدین منظور آماده شده است و به تدریج بر روی سایت منشتر خواهد شد قصد داریم به ضرورت توجه جدی به مقوله امنیت اطلاعات اشاره نموده تا از این رهگذر با ابعاد متفاوت ایجاد یک محیط ایمن آشنا شده و بتوانیم یک مدل امنیتی مناسب را در سازمان خود پیاده سازی نمائیم .

اهمیت امنیت اطلاعات برای یک سازمان
وجود یک حفره و یا مشکل  امنیتی ، می تواند یک سازمان را به روش های متفاوتی تحت تاثیر قرار خواهد داد . آشنائی با عواقب خطرناک یک حفره امنیتی در یک سازمان و شناسائی مهمترین تهدیدات امنیتی که می تواند حیات یک سازمان را با مشکل مواجه نماید ، از جمله موارد ضروری به منظور طراحی و پیاده سازی یک مدل امنیتی در یک سازمان می باشد .

پیشگیری از خرابی و عواقب خطرناک یک حفره امنیتی ، یکی از مهمترین دلایل پیاده سازی یک استراتژی امنیتی موثر و کارآ است .


وجود حفره های امنیتی در یک سازمان ، می تواند پیامدهای منفی متعددی را برای یک سازمان به دنبال داشته باشد :

  •  کاهش درآمد و افزایش هزینه

  • خدشه به اعتبار و شهرت یک سازمان

  • از دست دادن داده و اطلاعات مهم

  • اختلال در فرآیندهای جاری یک سازمان

  • پیامدهای قانونی به دلیل عدم ایجاد یک سیستم ایمن و تاثیر جانبی منفی بر فعالیت سایر سازمان ها

  • سلب اعتماد مشتریان

  • سلب اعتماد سرمایه گذاران

 امنیت اطلاعات در سازمان ها  طی سالیان اخیر
ماحصل بررسی انجام شده توسط موسسات و مراکز تحقیقاتی معتبر در خصوص امنیت اطلاعات ،نشاندهنده این واقعیت مهم است که حملات مهاجمان بر روی درآمد و هزینه یک سازمان بطور مستقیم و یا غیرمستقیم تاثیر خواهد داشت ( کاهش درآمد ، افزایش هزینه ) .

  •  در سال 2003 ، ویروس ها و حملات از نوع DoS  ( برگرفته از Denial of Service ) بیشترین تبعات منفی را برای سازمان ها به دنبال داشته اند.
     

  • در سال 2004 ، سرقت اطلاعات بالاترین جایگاه را داشته و حملات از نوع DoS با اندکی کاهش نسبت به سال 2003 در رتبه دوم قرار گرفته اند .
     

  • با این که هزینه پیاده سازی یک سیستم حفاظتی اندک نمی باشد ولی می توان آن را به عنوان بخشی از هزینه هائی در نظر گرفت که یک سازمان به دلیل عدم ایمن سازی ، می بایست پرداخت نماید ( برخورد با تبعات منفی  ) .  
     

  • موثرترین راهکار و یا راه حل امنیتی ، ایجاد یک محیط چندلایه ای است . در یک محیط چند لایه ، مهاجمان در هر لایه شناسائی و با آنان برخورد خواهد شد . موفقیت یک مهاجم نیز به عبور موفقیت آمیز از هر لایه بستگی دارد . راه هکار امنیتی چندلایه به "دفاع در عمق " نیز مشهور است . در این مدل ،‌ در هر لایه از استراتژی های تدافعی خاصی استفاده می گردد که با توجه به ماهیت پویای امنیت اطلاعات ، می بایست به صورت ادواری توسط کارشناسان حرفه ای امنیت اطلاعات ، بررسی و بهنگام گردند .

     هر سازمان  می بایست یک فریمورک و یا چارچوب امنیتی فعال و پویا را برای خود
    ایجاد و به درستی از آن نگهداری نماید .

     

  • در سال 2004 ، هفتاد درصد سازمان ها حداقل یک مرتبه مورد تهاجم قرار گرفته اند .
     

  • در سال 2003 بالغ بر 666 میلیون دلار صرف برخورد با مشکلات امنیتی در سازمان ها شده است . 
     

  • نیمی از سازمان ها به این موضوع اعتراف نموده اند که نمی دانند چه میزان از اطلاعات سازمان خود را به دلیل حملات از دست داده اند .
     

  • چهل و یک درصد سازمان ها اعلام داشته اند که دارای هیچگونه طرح و یا برنامه ای برای گزارش و یا پاسخ به تهدیدات امنیتی نمی باشند .

مزایای سرمایه گذاری در امنیت اطلاعات
سازمان ها و موسسات تجاری با پیاده سازی یک استراتژی امنیتی از مزایای زیر بهره مند خواهند شد :

  • کاهش احتمال غیرفعال شدن سیستم ها و برنامه ها ( از دست دادن فرصت ها )

  • استفاده موثر از منابع انسانی و غیرانسانی در یک سازمان ( افزایش بهره وری )
     

  • کاهش هزینه از دست دادن داده توسط ویروس های مخرب و یا حفره های امنیتی ( حفاظت از داده های ارزشمند )

  •  افزایش حفاظت از مالکیت معنوی

  •  هزینه پیشگیری از یک مشکل امنیتی ،  همواره کمتر از هزینه بازسازی خرابی متاثر از آن است .
     

  • یک مشکل امنیتی که باعث از بین رفتن اطلاعات مشتریان می شود ، می تواند پیامدهای قانونی را برای یک سازمان به دنبال داشته باشد .

+ سید حسین موسوی ; ٢:٤٢ ‎ق.ظ ; ۱۳٩٢/٩/٢٩
comment نظرات ()

← صفحه بعد