درنیم قرن گذشته بروز تحولات عظیم در زمینهٔ
کامپیوتر و ارتباطات دگرگونی عمدهای را در عرصههای متفاوت حیات بشری به دنبال
داشته است . انسان همواره از فناوری استفاده نموده و کارنامه حیات بشری مملو از
ابداع فناوری های ارتباطات و اطلاعات که از انان به عنوان فناوری های جدید یا عالی
یاد میشود بیشترین تاثیر را در حیات بشری داشته اند .
فناوری مربوط به سخت
افزار و نرم افزار کامپیوتر برای پردازش ذخیره سازی و انتقال اطلاعات است .فناوری
اطلاعات علم ومهارت های همه جانبه محاسبات ذخیره سازی اطلاعات و ارتباطات است.ITمبحث جدیدی است که به
سرعت رشد کرده و تغییرات بنیادی در دنیای کنونی ایجاد میکند. این تغییرات ناشی
ازانجام روش های تجاری نوین و ایجاد تنوعات و سرگرمی های بروز و
بوجود اوردن هنرهای جدید میباشد.
امروزه با گسترش فناوری اطلاعات در زندگی بشر و وابستگی هرچه بیشتر آن به کسب و کار؛ محافظت از اطلاعات، به منزله شاهرگ حیاتی یک صنعت مدرن محسوب می گردد.
درنیم قرن گذشته بروز تحولات عظیم در زمینهٔ
کامپیوتر و ارتباطات دگرگونی عمدهای را در عرصههای متفاوت حیات بشری به دنبال
داشته است . انسان همواره از فناوری استفاده نموده و کارنامه حیات بشری مملو از
ابداع فناوری های ارتباطات و اطلاعات که از انان به عنوان فناوری های جدید یا عالی
یاد میشود بیشترین تاثیر را در حیات بشری داشته اند .
واژهٔ فناوری اطلاعات (Information
Technology )یا IT
فناوری مربوط به سخت
افزار و نرم افزار کامپیوتر برای پردازش ذخیره سازی و انتقال اطلاعات است .فناوری
اطلاعات علم ومهارت های همه جانبه محاسبات ذخیره سازی اطلاعات و ارتباطات است.ITمبحث جدیدی است که به
سرعت رشد کرده و تغییرات بنیادی در دنیای کنونی ایجاد میکند. این تغییرات ناشی
ازانجام روش های تجاری نوین و ایجاد تنوعات و سرگرمی های بروز و
بوجود اوردن هنرهای جدید میباشد.
امروزه با گسترش فناوری اطلاعات در زندگی بشر و
وابستگی هرچه بیشتر آن به کسب و کار؛ محافظت از اطلاعات، به منزله شاهرگ حیاتی یک
صنعت مدرن محسوب می گردد.
اطلاعات بعنوان یکی از باارزشترین و حساسترین داراییهای سازمان بوده و دستیابی به
آن و عرضه بموقع و مناسب اطلاعات مورد نیاز، همواره دارای نقش محوری و سرنوشت ساز
می باشد. حفظ و نگهداری اطلاعات شرط لازم برای تداوم فرآیند کسب و کار بنگاههای
اقتصادی می باشد.
دسترسی غیرمجاز و رخنه به اطلاعات روی دیسک ها ، کامپیوترها و استفاده غیرمجاز از
آنها تبدیل به معضل شده است و این دسترسی توسط کارمندان یک سازمان،کاربران اینترنت
و یا توسط عوامل دیگر صورت می گیرند لذا سازمان ها و شرکت ها ناگزیر به دنبال
پیاده سازی موارد امنیتی می باشند. برای پیاده سازی امنیت تنها توجه به مسائل
تکنیکی کافی نیست بلکه ایجاد سیاستهای کنترلی و استاندارد کردن آن و همچنین ایجاد
روالهای صحیح، درصد امنیت اطلاعات را بالا خواهد برد و همین امر بکارگیری
سیستمهای، مدیریت امنیت اطلاعات را الزامی کرده است.
اکنون مباحث مربوط به امنیت اطلاعات، بعُد جدیدتری پیدا کرده و از موضوعاتی است که
، این روزها در کانون توجه تمامی سازمان ها و موسسات قرار گرفته است. علی رغم
استفاده کشورهای مختلف جهان از انواع استانداردهای سیستم مدیریت امنیت
اطلاعات،متاسفانه در ایران تاکنون هیچ تلاشی در جهت تطبیق و پیاده سازی سیستم
مدیریت امنیت اطلاعات در ادارات و سازمانها صورت نگرفته است هرچند این امر به تدریج
در حال شکل گیری است.
بنابراین، با شروع ایجاد دولت الکترونیکی در ایران توسط سازمانها و نهادهای دولتی،
برای تأمین امنیت اطلاعات، شناخت و درک صحیح و همچنین اجرا و پیاده سازی سیستمهای
مدیریت امنیت اطلاعات ضروری می باشد.
+ نوشته شده در شنبه هجدهم آذر 1391ساعت 9:38 توسط سمانه بشیری | یک نظر
با توجه به اهمیت موضوع، آحاد جامعه بخصوص
مدیران سازمانها باید همراستا با نظام ملی امنیت فضای تبادل اطلاعات به تدوین
سیاست امنیتی متناسب با حوزه فعالیت خویش بپردازند. در حقیقت امروزه مدیران،
مسئولیتی بیش از حفاظت دارند. آنها باید سیستمهای آسیبپذیر خود را بشناسند و
روشهای استفاده نابجا از آنها را در سازمان خود تشخیص دهند. علاوهبرآن باید قادر
به طرحریزی برنامههای بازیابی و جبران خسارت هم باشند. ایجاد یک نظام مدیریت
امنیت اطلاعات در سازمانها باعث افزایش اعتماد مدیران در بکارگیری دستاوردهای
نوین فناوری اطلاعات و برخورداری از مزایای انکارناپذیر آن در چنین سازمانهایی میشود.
خوشبختانه قریب به یک دهه از ارائه یک ساختار امنیت
اطلاعات، توسط مؤسسه استاندارد انگلیس میگذرد. در این مدت استاندارد فوقالذکر(BS7799) مورد
بازنگری قرار گرفته و در سال 2000 میلادی نیز موسسه بینالمللی ISO اولین بخش آن
را در قالب استاندارد ISO17799 ارائه کرده است. در سال 2002 نیز یک بازنگری در بخش دوم
استانداردBS7799 بهمنظور ایجاد سازگاری با سایر
استانداردهای مدیریتی نظیر
ISO9001-2000 و ISO14001-1996 صورت پذیرفت. در حال حاضر
نیز بازنگری به منظور انجام بهبود در بخشهای مربوط به پرسنل و خدمات تامینکنندگان
و راحتی کاربری و مفاهیم مرتبط با امنیت برنامههای موبایل بر روی این استاندارد
در حال انجام است که پیشبینی میشود در سال جاری میلادی ارائه شود.
پیش از توضیح راجعبه استاندارد مذکور، لازم است شرایط
تحقق امنیت اطلاعات تشریح شود. امنیت اطلاعات اصولاً در صورت رعایت سه خصیصه زیر
تامین میشود :
_ محرمانه بودن اطلاعات: یعنی اطمینان از اینکه اطلاعات
میتوانند تنها در دسترس کسانی باشند که مجوز دارند.
_ صحت اطلاعات: یعنی حفاظت از دقت و صحت اطلاعات و راههای
مناسب پردازش آن اطلاعات.
_ در دسترس بودن اطلاعات: اطمینان از اینکه کاربران مجاز
در هر زمان که نیاز داشته باشند، امکان دسترسی به اطلاعات و تجهیزات وابسته به
آنها را دارند.
در این راستا امنیت اطلاعات از طریق اجرای مجموعهای از
کنترلها که شامل سیاستها ، عملیات ، رویهها ، ساختارهای سازمانی و فعالیتهای نرمافزاری
است، حاصل میشود. این کنترلها باید بهمنظور اطمینان از تحقق اهداف امنیتی مشخص
هر سازمان برقرار شوند.
استانداردBS7799/ISO17799 در دو قسمت منتشر شده است
:
_ ((ISO/IEC17799 part1) یک نظامنامه عملی مدیریت امنیت
اطلاعات است مبتنی بر نظام پیشنهادها و به منظور ارائه و ارزیابی زیرساختهای
امنیت اطلاعات.
_ (BS7799 part 2) مشخصات و راهنمای استفاده مدیریت
امنیت اطلاعات است که در حقیقت یک راهنمای ممیزی است که بر مبنای نیازمندیها
استوار است.
بخش اول مشخص کننده مفاهیم امنیت اطلاعاتی است که یک
سازمان بایستی بکار گیرد، در حالیکه بخش دوم در برگیرنده مشخصه های راهبردی برای
سازمان است.
بخش اول شامل رهنمودها و توصیههایی است که ?? هدف
امنیتی و ??? کنترل را در قالب ?? حوزه مدیریتی از سطوح مدیریتی تا اجرایی بهقرار
زیر ارائه نموده است :
-1 سیاست امنیتی: دربرگیرنده راهنماییها و توصیههای
مدیریتی بهمنظور افزایش امنیت اطلاعات است. این بخش در قالب یک سند سیاست امنیتی
شامل مجموعهای از عبارات اجرایی در جهت پیشبرد اهداف امنیتی سازمان تنظیم میشود.
-2 امنیت سازمانی: این بعد اجرایی کردن مدیریت امنیت
اطلاعات در سازمان از طریق ایجاد و مدیریت زیرساختهای امنیتی شامل:
- کمیته مدیریت امنیت اطلاعات
- متصدی امنیت سیستم اطلاعاتی
- صدور مجوزهای لازم برای سیستمهای پردازش اطلاعات
- بازنگری مستقل تاثیرات سیستمهای امنیتی
- هدایت دسترسی تامینکنندگان به اطلاعات درون سازمان را
دربرمی گیرد.
-3 طبقهبندی و کنترل داراییها: طبقهبندی داراییها و
سرمایههای اطلاعاتی و پیشبرد انبارگردانی و محافظت مؤثر از این سرمایههای
سازمان، حوزه سوم این بحث است.
-4 امنیت پرسنلی: تقلیل مخاطرات ناشی از خطای انسانی ،
دستبرد ، حیله و استفاده نادرست از تجهیزات که به بخشهای زیر قابل تقسیم است :
- کنترل پرسنل توسط یک سیاست سازمانی که با توجه به
قوانین و فرهنگ حاکم برای ارزیابی برخورد پرسنل با داراییهای سازمان اتخاذ میشود.
- مسئولیت پرسنل که باید برای ایشان بخوبی تشریح شود.
- شرایط استخدام که در آن پرسنل باید بهوضوح از
مسئولیتهای امنیتی خویش آگاه شوند.
- تعلیمات که شامل آموزشهای پرسنل جدید و قدیمی سازمان
در این زمینه میشود.
-5 امنیت فیزیکی و محیطی: محافظت در برابر تجاوز ، زوال
یا از هم گسیختگی دادهها و تسهیلات مربوط که شامل بخشهای امنیت فیزیکی محیط ،
کنترل دسترسیها ، امنیت مکان ، تجهیزات و نقل و انتقال داراییهای اطلاعاتی میشود .
-6 مدیریت ارتباطات و عملیات: کسب اطمینان از عملکرد
مناسب و معتبر تجهیزات پردازش اطلاعات که شامل روشهای اجرایی، کنترل تغییرات ،
مدیریت وقایع و حوادث، تفکیک وظایف و برنامهریزی ظرفیتهای سازمانی میشود.
-7 کنترل دسترسی: کنترل نحوه و سطوح دسترسی به اطلاعات
که در شامل مدیریت کاربران ، مسئولیتهای کاربران، کنترل دسترسی به شبکه، کنترل
دسترسی از راه دور و نمایش دسترسیهاست.
-8 توسعه و نگهداری سیستمها: اطمینان از اینکه امنیت
جزء جدانشدنی سیستمهای اطلاعاتی شده است. این بخش شامل تعیین نیازمندیهای امنیت
سیستمها و امنیت کاربردی، استانداردها و سیاستهای رمزنگاری، انسجام سیستمها و
امنیت توسعه است.
-9 تداوم و انسجام کسب و کار: تقلیل تاثیرات وقفههای کسب
و کار و محافظت فرایندهای اساسی سازمان از حوادث عمده و شکست.
-10 همراهی و التزام: اجتناب از هرگونه پیمانشکنی
مجرمانه از قوانین مدنی ، قواعد و ضوابط قراردادی و سایر مسائل امنیتی
بخش دوم استاندارد فراهم کننده شرایط مدیریت امنیت
اطلاعات است. این بخش به قدمهای توسعه ، اجرا و نگهداری نظام مدیریت امنیت اطلاعات
میپردازد. ارزیابی سازمانهای متقاضی اخذ گواهینامه از طریق این سند انجام میپذیرد.
نظام
مدیریت امنیت اطلاعات
نظام مدیریت امنیت اطلاعات ISMS ، در مجموع یک رویکرد نظاممند به مدیریت اطلاعات حساس بمنظور
محافظت از آنهاست. امنیت اطلاعات چیزی فراتر از نصب یک دیواره آتش ساده یا عقد
قرارداد با یک شرکت امنیتی است . در چنین رویکردی بسیار مهم است که فعالیتهای
گوناگون امنیتی را با راهبردی مشترک بهمنظور تدارک یک سطح بهینه از حفاظت همراستا
کنیم . نظام مدیریتی مذکور باید شامل روشهای ارزیابی، محافظت، مستندسازی و
بازنگری باشد ، که این مراحل در قالب یک چرخه PDCA(PLAN-DO-CHECK-ACT) تحقق پذیر است.
(چرخه یادشده نقش محوری در تشریح و تحقق استاندارد ISO9001 دارد. )
_ برنامه ریزی Plan :
- تعریف چشمانداز نظام مدیریتی و سیاستهای امنیتی
سازمان.
- تعیین و ارزیابی مخاطرات.
- انتخاب اهداف کنترل و آنچه سازمان را در مدیریت این
مخاطرات یاری میکند.
- آمادهسازی شرایط اجرایی.
_ انجام
Do:
- تدوین و اجرای یک طرح برای تقلیل مخاطرات.
- اجرای طرحهای کنترلی انتخابی برای تحقق اهداف کنترلی.
_ ارزیابی
Check :
- استقرار روشهای نظارت و پایش.
- هدایت بازنگریهای ادواری بهمنظور ارزیابی اثربخشی ISMS.
- بازنگری درحد قابل قبول مخاطرات.
- پیشبرد و هدایت ممیزیهای داخلی بهمنظور ارزیابی تحقق ISMS.
_ بازانجام
Act:
- اجرای توصیههای ارائه شده برای بهبود.
- نظام مدیریتی مذکور.
- انجام اقدامات اصلاحی و پیشگیرانه.
- ارزیابی اقدامات صورت پذیرفته در راستای بهبود.
همانند نظامهای مدیریت کیفیت نظام مدیریت امنیت اطلاعات
نیز در دو بخش فرایندها و محصولات مطرح است. بخش فرایندها بر طراحی و اجرای
دستورالعملهای مدیریتی بهمنظور برقراری و حفظ امنیت اطلاعات استوار است و بخش
محصولات یک نظام مدیریتی است که سازمان بهمنظور بکارگیری محصولات نرمافزاری
معتبر در زیرساختهای فناوری اطلاعات خود برای برقراری و حفظ امنیت اطلاعات خویش از
آن بهره میگیرد . چیزی که این دو بخش را به هم پیوند میدهد میزان انطباق با
بخشهای استاندارد است که در یکی از چهار رده زیر قرار میگیرد :
* کلاس اول : حفاظت ناکافی
* کلاس دوم : حفاظت حداقل
* کلاس سوم : حفاظت قابل قبول
* کلاس چهارم : حفاظت کافی
مراحل
اجرای نظام مدیریت امنیت اطلاعات
پیادهسازی
ISMS در یک سازمان این مراحل را شامل میشود:
- آماده سازی اولیه : در این مرحله باید از همراهی
مدیریت ارشد سازمان اطمینان حاصل شده، اعضای تیم راهانداز انتخاب شوند و آموزش
ببینند . باید توجه شود که امنیت اطلاعات یک برنامه نیست بلکه یک فرایند است .
- تعریف نظام مدیریت امنیت اطلاعات: این مرحله شامل
تعریف چشمانداز و چهارچوب نظام در سازمان است. لازم به ذکر است که چگونگی این
تعریف از مهمترین عوامل موفقیت پروژه محسوب میشود .
- ایجاد سند سیاست امنیت اطلاعات : که پیشتر به آن
اشاره شد .
- ارزیابی مخاطرات : باید به بررسی سرمایههایی که نیاز
به محافظت دارند پرداخته و تهدیدهای موجود را شناخته و ارزیابی شود. در این مرحله
باید میزان آسیبپذیری اطلاعات و سرمایههای فیزیکی مرتبط نیز مشخص شود .
- آموزش و آگاهیبخشی: به دلیل آسیبپذیری بسیار زیاد
پرسنل در حلقه امنیت اطلاعات آموزش آنها از اهمیت بالایی برخوردار است .
- آمادگی برای ممیزی : باید از نحوه ارزیابی چهارچوب
مدیریتی سازمان آگاه شد و آمادگی لازم برای انجام ممیزی را فراهم کرد.
- ممیزی : باید شرایط لازم برای اخذ گواهینامه در سازمان
شناسایی شود .
- کنترل و بهبود مداوم : اثربخشی نظام مدیریتی پیاده
شده باید مطابق مدل بهرسمیت شناخته شده کنترل و ارتقا یابد.
در کلیه مراحل استقرار نظام مدیریت امنیت اطلاعات مستندسازی
از اهمیت ویژهای برخوردار است. مستندات از یک طرف به تشریح سیاست ، اهداف و
ارزیابی مخاطرات میپردازند و از طرف دیگر کنترل و بررسی و نظارت بر روند اجرای ISMS را بر عهده
دارند . در کل میتوان مستندات را به چهار دسته تقسیم کرد:
-1 سیاست ، چشمانداز ، ارزیابی مخاطرات و قابلیت اجرای
نظام مذکور که در مجموع بهعنوان نظامنامه امنیتی شناخته میشود .
-2 توصیف فرایندها که پاسخ سؤالات چه کسی ؟ چه چیزی ؟ چه
موقع ؟ و در چه مکانی را می دهد و بهعنوان روشهای اجرایی شناخته میشوند .
-3 توصیف چگونگی اجرای وظایف و فعالیتهای مشخص شده که
شامل دستورالعملهای کاری ، چک لیستها ، فرمها و نظایر آن میشود .
-4 مدارک و شواهد انطباق فعالیتها با الزامات ISMS که از آنها
بهعنوان سوابق یاد میشود .
+ نوشته شده در شنبه هجدهم آذر 1391ساعت 11:40 توسط سمانه بشیری | نظر بدهید
پنج اشتباه متداول درباره امنیت شبکه های بی سیم
با ظهور شاخه های جدید فناوری بی سیم، تعداد
شرکت هایی که با استفاده از روش های نامناسب تأمین امنیت، سیستم های خود را در
معرض خطر قرار می دهند، باورکردنی نیست. به نظر می رسد، اغلب شرکت های دارای
LAN بی سیم، به واسطه شناسایی نقاط دسترسی غیرمعتبر که
ابزارها را به طور رایگان مورداستفاده قرار می دهند، به دنبال احراز شرایط
استاندارد PCI هستند. با هدف آگاهی کاربران از آخرین ضعف های امنیتی (و البته
بعضی از شکاف های امنیتی قدیمی) تصمیم گرفتیم، فهرستی از پنج اشتباه متداول را در
تأمین امنیت شبکه های بی سیم در این مقاله ارائه کنیم. شناسایی این اشتباه ها حاصل
تجربه های شخصی در جریان آزمون و ایمن سازی شبکه های مشتریان است.
۱) دیواره آتش= تأمین امنیت کامل در برابر ورود
غیرمجاز به شبکه
اغلب سازمان ها، شبکه
های بی سیم را به عنوان بخش مکملی برای شبکه سیمی خود راه اندازی می کنند. اتصال
بی سیم، یک رسانه فیزیکی است و برای تأمین امنیت آن نمی توان تنها به وجود یک
دیوار آتش تکیه کرد. کاملاً واضح است که نقاط دسترسی غیرمجاز، به واسطه ایجاد راه
های ورود مخفی به شبکه و مشکل بودن تعیین موقعیت فیزیکی آن ها، نوعی تهدید علیه
شبکه به شمار می روند. علاوه براین نقاط دسترسی، باید نگران لپ تاپ های بی سیم
متصل به شبکه سیمی خود نیز باشید. یافتن لپ تاپ های متصل به شبکه سیمی که یک کارت
شبکه بی سیم فعال دارند، اقدامی متداول برای ورود به شبکه محسوب می شود. در اغلب
موارد این لپ تاپ ها توسط SSID شبکه هایی را
که قبلاً مورد دسترسی قرار داده اند، جست وجو می کنند و در صورت یافتن آن ها صرف
نظر از این که اتصال به شبکه قانونی یا مضر باشد یا شبکه بی سیم در همسایگی شبکه
فعلی قرار داشته باشد، به طور خودکار به آن وصل می شوند. به محض این که لپ تاپ به
یک شبکه مضر متصل شود، مهاجمان آن را مورد حمله قرار داده و پس از اسکن و یافتن
نقاط ضعف ممکن است کنترل آن را به دست گرفته و به عنوان میزبانی برای اجرای حمله
ها به کار گیرند. در این شرایط علاوه بر افشای اطلاعات مهم لپ تاپ، مهاجم می تواند
از آن به عنوان نقطه شروعی برای حمله به شبکه سیمی استفاده کند. مهاجم درصورت
انجام چنین اقداماتی، به طور کامل از دیواره آتش شبکه عبور می کند.
ما امنیت شبکه های معتبر و غیرمعتبر را ارزیابی کرده ایم
و به این نتیجه رسیدیم که اغلب سازمان ها دیواره آتش شبکه را به گونه ای تنظیم می
کنند که از آن ها در برابر حمله های مبتنی بر اینترنت محافظت می کند، اما امنیت
شبکه در مقابل خروج از شبکه
(Extrusion) و خروج غیرمجاز اطلاعات (leakage) تأمین
نمی شود. اصولاً زمانی که درباره خروج غیرمجاز اطلاعات صحبت می کنیم، منظورمان
خروج اطلاعات از شبکه است.
بسیاری از سازمان ها تنظیمات دیواره آتش را برای کنترل
ترافیک اطلاعات خروجی به درستی انجام نمی دهند. در نتیجه این سهل انگاری معمولاً
اطلاعات محرمانه سازمان به خارج منتقل می شود. به عنوان مثال، یکی از متداول ترین
مواردی که هنگام انجام آزمون های امنیتی با آن مواجه شدیم، خروج اطلاعات شبکه سیمی
از طریق نقاط دسترسی بی سیم بود. در این آزمون ها با استفاده از یک نرم افزار
ردیاب (Sniffer) بی سیم توانستیم حجم زیادی از ترافیک اطلاعات خروجی ناخواسته
را شناسایی کنیم. این اطلاعات شامل داده های مربوط به STP (سرنام IGRP ،(Speaning Tree
Protocol سایر سرویس های شبکه و حتی در مواردی اطلاعات
مربوط به NetBIOS بودند.
چنین نقطه ضعفی شبکه را به یک اسباب سرگرمی برای مهاجم
تبدیل می کند. در حقیقت، نفوذ به چنین شبکه ای حتی نیازمند یک اسکن فعال یا حمله
واقعی نیست. به واسطه ردیابی جریان اطلاعاتی یک شبکه بی سیم علاوه بر شناسایی
توپولوژی بخش سیمی آن می توان اطلاعات مربوط به تجهیزات حیاتی شبکه و حتی گاهی
اطلاعات مربوط به حساب های کاربری را به دست آورد.
۲) دیواره آتش= تأمین امنیت کامل در برابر ورود
غیرمجاز به شبکه
این تصور اشتباه، بسیار گیج کننده است. چگونه می توان
بدون اسکن شبکه از نبود تجهیزات بی سیم در آن مطمئن شد؟! در محل هایی که شبکه های LAN بی سیم راه
اندازی نشده اند، علاوه بر نقاط دسترسی غیرمجاز، می توان از شبکه های Ad Hoc، دسترسی تصادفی لپ تاپ ها و ایجاد پل
های ارتباطی با شبکه، به عنوان تهدیدات بالقوه برای امنیت شبکه نام برد. دسترسی
تصادفی لپ تاپ های بی سیم یک خطر امنیتی برای صاحبان این لپ تاپ ها محسوب می شود.
اگر شرکت مجاور شما از یک نقطه دسترسی بی سیم یا یک شبکه Ad Hoc استفاده می کند، احتمال اتصال
تصادفی لپ تاپ های بی سیم عضو شبکه شما به این شبکه های بی سیم زیاد است. این
اتصال نوعی خروج از شبکه است. مهاجمان نحوه بهره برداری از این شرایط را به خوبی
می دانند و در نتیجه می توانند از یک نقطه دسترسی نرم افزاری یا Soft AP (نرم
افزاری که از روی یک لپ تاپ اجرا می شود) برای ارسال شناسه های SSID موجود روی لپ
تاپ به یک کامپیوتر خارج از شبکه و حتی ارسال آدرس IP لپ تاپ برای کامپیوتر خارجی استفاده
کنند. چنان که گفته شد، این نقطه ضعف امکان کنترل لپ تاپ و حمله به شبکه سیمی را
برای مهاجمان فراهم می کند. به علاوه، مهاجمان می توانند از طریق لپ تاپ، حمله های MITM (سرنام Man In The Middle) یا سرقت هویت را به اجرا درآورند.
بقیه در ادامه مطلب....
+ نوشته شده در شنبه هجدهم آذر 1391ساعت 11:2 توسط سمانه بشیری | یک نظر
مدرک CISSP مانند مدرک RSA مدرکی برای متخصصان امنیت است وکسب این مدرک مراحلی دارد . این
مدرک مستقل از هر نوع سخت افزار ونرم افزار خاص یک شرکت است و به عنوان یک عنصر
کلیدی در ارزشیابی داوطلبان کار در موسسات بزرگ وسیستم های Enterprise شناخته میشود .افرادی که
صاحب این مدرک باشند میتوانند برای پست مدیریت شبکههای کوچک و بزرگ اطلاعاتی خود
را معرفی کنند.
در سال 1989 ، چند سازمان فعال در زمینهٔ امنیت اطلاعات
کنسرسیومی را تحت نام ISC بنا نهادند که هدف ان ارایهٔ استاندارد های حفاظت از اطلاعات و
آموزش همراه با ارایهٔ مدرک مربوط به افراد آموزش دیده بود.
در سال 1992 کنسرسیوم مذکور اقدام به طرح مدرکی به نام CISSP نمود که هدف
آن ایجاد یک سطح مهارت حرفهای و عملی در زمینهٔ امنیت اطلاعات برای افراد علاقمند
به آن بود.
اعتبار
این مدرک به دلیل این
که بر خلاف سایر مدارک امنیتی ، وابسته به محصولات هیچ فروشنده سخت افزار یا نرم
افزار خاصی نیست ، قادر است به افراد متخصص امنیت ، تبحر لازم را در طرح و پیاده
سازی سیاست های کلان امنیتی اعطا نماید. اتخاذ تصمیمات اصلی و حیاتی برای برقراری
امنیت ، مسالهای نیست که مدیران سطح بالای یک سازمان بزرگ آن را به عهدهٔ
کارشناسان تازه کار یا حتی آنهایی که مدرک امنیت در پلتفرم کاری خاصی را دارند،
بگذارند بلکه مهم آن است که این قبیل مسئولیت ها به اشخاصی که درک کامل و مستقلی
از مسائل مربوط به مهندسی اجتماعی دارند و میتوانند در جهت برقراری امنیت اطلاعات
در یک سازمان به ارایه خط مشی ویژه و سیاست امنیت خاص کمک کننده سپرده شود
.
مراحل
کسب مدرک
برای کسب مدرک
CISSP ،
داوطلبان باید حداقل سه سال سابقه کاری مفید در یکی از زمینههای امنیتی اعلام شده
توسط ISC راداشته باشند . از ابتدای سال۲۰۰۳ به بعد شرط مذکور به
چهار سال سابقه کاری یا سه سال سابقه کار به علاوهٔ یک مدرک دانشگاهی یا بین
المللی در این زمینه تغیر یافت .زمینههای کاری امنیتی که انجمن
ISC داوطلبان را به داشتن تجربه در آن ترغیب میکند شامل
ده مورد است کهبه آن عنوان
(Common Body Of Knowlege) CBKیا همان اطلاعات پایه در
زمینهٔ امنبیت اطلاق میشود این موارد عبارتنداز:
1. سیستمهای کنترل دسترسی ومدولژی
2. توسعه سیستمها وبرنامههای کاربردی
3. برنامه ریزی برای مقابله با بلاهای طبیعی وخطرات کاری
4. رمزنگاری
5. مسا ئل حقوقی
6. امنیت عملیاتی
7. امنیت فیزیکی
8. مدلهاومعماری امنیتی
9. تمرینهای مدیریت امنیت
10. امنیت شبکهٔ دادهای و مخابراتی
زمانی که داوطلب موفق به دریافت مدرک CISSP میشود باید
برای حفظ این مدرک همواره خود را در وضعیت مطلوبی از لحاظ سطح دانش علمی وعملی در
مقولههای مورد نظر نگه دارد .هر دارندهی این مدرک لازم است که هرسال برای تمدید
گواهینامهٔ خود ، کارهایی را برای اثبات پشتکار وعلاقهٔ خود به مقولهٔ امنیت انجام
داده وموفق به کسب سالانه ۱۲۰ امتیاز (از لحاظ ارزش کارهای انجام شده از دید
انجمن ) شود. به این منظور انجمن ، فعالیتهای مختلفی را برای کسب امتیاز ات لازم
به دارندگان مدرک پیشنهاد میکند. به عنوان مثال کسب یک مدرک معتبعر در زمینهٔ
امنیت اطلاعات ،فعالیت در زمینههای آموزش مفاهیم امنیتی به متخصصان دیگر ،
استخدام شدن درشرکتهای معتبر ، چاپ مقالات در زمینهٔ امنیت ،شرکت در سمینارهای
مهم وکنفرانسهای مربوط به حوزهٔ امنیت ، داشتن تحقیقا ت شخصی وامثال آن میتوانند
دارندگان مدرک را در کسب امتیازات لازم یاری دهند . کلیهٔ فعالیتهای مذکور به
صورت مستند و مکتوب تحویل نمایندگیهای انجمن در سراسر دنیا شده تا مورد ارزشیابی
و امتیازدهی انجمن قرار گیرد . در صورتی که دارندهٔ مدرک موفق به کسب ۱۲۰ امتیاز نشود باید جهت
حفظ مدرک خود دوباره آزمون CISSP را بگذراند. CISSP شامل ۲۵۰ سئوال چهار گزینهای
است که کلیهٔ مفاهیم امنیتی را در بر میگیرد .CISSP یکی از محبوبترین مدارک بین المللی در سال ۲۰۰۳ شناخته شده به طوری که
با یک افزایش ۱۳۴ درصدی در بین داوطلبان نسبت به سال قبل روبه رو بودهاست .همین
آمار حاکی از موفقیت ۹۸ درصدی دارندگان مدرک در حفظ مدرک خود است . به
هر حال با اوضاع و احوال امروزهٔ دنیای فناوری اطلاعات وخطرات ناشی از حملات انواع
ویروسها و هکرها به نظر میرسد هر روز نیاز به وجود متخصصان امنیتی ، خصوصا
دارندگان مدارک معتبر بین المللی بیشتر محسوس است. هم اکنون دو مدرک امنیتی یعنی
SECURITY+ متعلق به انجمن کامپتیا و مدرک CISSP متعلق به
انجمن بین المللی حرفهایهای امنیت از شهرت خاصی در این زمینه برخوردارند.
وضعیت
درآمد
طبق آمار مجلهٔ
certification میانگین درآمد سالانهٔ دارندگان مدرک CISSP در سال ۲۰۰۴ نزدیک به ۸۶ هزار دلار بوده است
این میزان درآمد در بین درآمد مدرکهای مختلف که طبق همین آمارگیری بدست آمده نشان
میدهد که مدرک CISSP در جایگاه
اول قرار دارد. در این مقایسه مدرک
security+ با ۶۰ هزار دلار و مدرک
MCSE securityMCP با ۶۷ هزار دلار در سال در
ردههای دیگر این لیست قرار دارند که همه نشان از اهمیت ودر عین حال دشوار بودن
مراحل کسب و نگهداری مدرک CISSP دارد.
+ نوشته شده در شنبه هجدهم آذر 1391ساعت 10:54 توسط سمانه بشیری | نظر بدهید
ارزیابی عملیات تجارت الکترونیک
اولین گام برای ایجاد یک برنامه جامع امنیت
تجارت الکترونیک ، انجام یک ارزیابی کامل از ارزش و اهمیت تجارت الکترونیک در
موفقیت کلی اهداف و برنامه تجاری شرکت است.گام بعدی باید ارزیابی آسیب پذیری سیستم
تجارت الکترونیک شرکت از هر دو جنبهٔ تهدیات داخلی و خطرات موجود خارجی است.شناخت
آسیب پذیریهای خارجی بسیار ساده تر از دیدن آسیب پذیری های خارجی است.با این وجود
تمام تلاش ها باید در راستای شناخت حوزههایی باشد که سیستم از داخل مورد
سوءاستفاده قرار میگیرد.این کار را میتوان به خوبی با صحبت با کاربران سیستم و
توسعه دهندگان انجام داد.علاوه بر این بستههای نرم افزاری بسیاری هم وجود دارند
که میتوانند توانایی نظارت بر استفاده کلی از سیستم و دسترسی داخلی به آن را
دارند و میتوانند تحلیل کاملی از فعالیت های مشکوک احتمالی کاربران داخلی ارائه
دهند.
گام بعد ایجاد یک طرح مستمر تجارت الکترونیک است که بطور
شفاف تمام نقاط ضعف احتمالی ، روشهای جلوگیری و مقابله با آنها و برنامههای محتمل
برای ترمیم نفوذها و و تهدیدهای امنیتی است.بسیاری از شرکت ها تمایل دارند به خود
بقبولانند که داشتن برنامه ضد ویروس و دیوارههای آتش ، برای حفاظت از سیستم
هایشان کافی است.داشتن چنین نرم افزارهایی گام نخست خوبی است اما حتی با این وجود
نیز سیستم های تجارت الکترونیک با نقاط ضعف زیر روبرو هستند:
1. آتش سوزی و انفجار،
2. خرابکاری عمدی در سخت افزار ، نرم افزار و یا دادهها
و اطلاعات،
3. دزدیده شدن نرم افزار و سخت افزار،
4. فقدان پرسنل کلیدی امنیت تجارت الکترونیک
5. فقدان برنامههای کاربردی
6. فقدان فناوری
7. فقدان ارتباطات
8. فقدان فروشندگان.
تهدیدها در هر یک از این حوزهها باید به دقت ارزیابی و
طرح های محتمل ترمیم باید با جزئیات کامل برای مقابله با هر کدام تهیه شود.علاوه
بر این باید در طرح افراد مسئول مدیریت و تصحیح مشکلات بوجود آمده از این نقائص
معین گردند. فناوری های تجارت الکترونیک :سپس ، سازمان باید نرم افزارها و سخت
افزارهایی که حفاظت از سیستم تجارت الکترونیک را برعهده دارند را ، ارزیابی
کند.درک اینکه فناوری های مورد استفاده باید مناسب نیازهای شرکت بوده و برای تمام
تهدیدهای امنیتی احتمالی سطحی از محافظت را فراهم کنند از اهمیت بسزایی برخوردار
است.
حوزههای بحرانی که با مورد توجه قرار گیرند عبارتند از
: حساسیت دادهها و اطلاعات در دسترس ، حجم ترافیک دسترسی و روشهای دسترسی.امنیت
تجارت SSL (Secure Socket
Layer) یا
SET (Secure Electronic Transaction)الکترونیک مبتنی بر
تکنولوژی باید با استفاده از الگوی امنیت شامل لایههای مختلف امنیتی باشد.هدف
نهایی امنیت مبتنی بر فناوری باید فراهم کردن صحت ، یکپارچگی ، پنهان کردن و غیر
قابل رد بودن موثر باشد.بسیاری از شرکت ها ،
در طول این مرحله ایجاد برنامه جامع امنیت تجارت الکترونیک
از تجربه شرکت های دیگری که در زمینه ارزیابی سیستم های امنیتی مبتنی بر فناوری
تخصص دارند ، استفاده می کنند.
افراد
مهمترین مولفه هر
برنامه امنیتی موثری افرادی هستند که آنرا اجرا و مدیریت میکنند.نقائص امنیتی بیش
از آنگه ناشی از سیستم باشند ، به وسیلهٔ افرادی که مدیریت سیستم را برعهده دارند
و کاربران سیستم رخ میدهند.بیشتر مطالعات گذشته نشان داده اند تهدیدهای داخلی
سیستم های تجارت الکترونیک اغلب بسیار مهمتر از تهدیدهای خارجی بوده اند.در بسیاری
از موارد مجرمانی که در نفوذ به سیستم بوده اند یا دانش قبلی از سیستم داشته اند و
یا شریک جرمی در داخل شرکت.مهمترین ابزاری که مدیریت برای کاهش تهدید داخلی در
اختیار دارد آموزش کاربران داخلی سیستم و پرسنل مدیریت آن در مورد نتیجه اخلال در
یکپارچگی و امنیت سیستم است.بسیاری از کاربران از این واقعیت که نفوذ به سیستم های
اطلاعاتی جرم است و اخلالگران تحت پیگرد قانونی قرار میگیرند ، اطلاع دارند.شرکت
، با آگاهی دادن به کاربران و ترساندن آنها از عواقب این اعمال میتواند تا حد
زیادی مانع آنها گردد.
راهبرد
ایجاد یک برنامه
راهبردی موثر و بی عیب اهمیت بسیاری در امنیت تجارت الکترونیک دارد.چنین راهبردی
باید شامل هدف کلی برنامه جامعه امنیت تجارت الکترونیک ، اهداف جزئی و محدوده آن
باشد.این راهبرد باید در راستای راهبرد تجاری کلی تجارت الکترونیک شرکت باشد.یکی
از اهداف جزئی این راهبرد میتواند حفاظت کامل از تمامی منابع تجارت الکترونیک شرکت
و فراهم کردن امکان ترمیم هر اخلال با حداکثر سرعت ممکن باشد.علاوه بر این این
برنامه باید شامل منابع مورد نیاز برای پشتیبانی از اهداف جزئی و کلی در کنار قیود
و محدودیت های برنامه راهبردی و همچنین حاوی منابع انسانی کلیدی ، اجرای برنامههای
امنیتی متفاوت در غالب بخشی از برنامه راهبردی باشد. ساختارهای مدیریتی و تصمیم
سازان
مدیریت
موفقیت برنامه جامع
امنیت تجارت الکترونیک در گروی مدیریت موثر چنین برنامهای است.پشتیبانی مدیریت ،
از مدیران رده بالا شروع و در تمام سطوح ادامه مییابد.چنین برنامهای در شرکت های
بزرگ باید مستقیما بوسیله یک مدیر ارشد و در شرکت های متوسط و کوچکتر بوسیله رئیس
یا صاحب آن شرکت اداره و نظارت گردد.مسئولیت اصلی مدیر برنامه به روز نگه داشتن
کامل برنامه ، اجرای برنامههای آن و ارزیابی مجدد برنامههای موجود است.
بخشی از فعالیت های چنین فردی آموختن راهکارهای عملی
موثر در برنامه امنیتی سایر سازمانهاست که میتواند آنرا با مطالعه مقالات ، کتب و
مطالعات موردی منتشر شده بدست آورد.
+ نوشته شده در شنبه هجدهم آذر 1391ساعت 10:40 توسط سمانه بشیری | نظر بدهید
برنامه جامع امنیت تجارت الکترونیک
با وجود تمام مزایایی که تجارت الکترونیک بهمراه دارد ، انجام تراکنش ها و ارتباطات آنلاین محملی بزرگتر برای سوء استفاده از فناوری و حتی اعمال مجرمانه فراهم میکند.این مشکلات تنها مختص تجارت الکترونیک نیست و بخشی از مشکلات گسترده ایست که در سراسر جهان گریبانگیر سیستم های اطلاعاتی و کامپیوتری هستند.هر ساله سازمان های بسیاری هدف جرائم مرتبط با امنیت ، از حملات ویروسی گرفته تا کلاه برداری های تجاری از قبیل سرقت اطلاعات حساس تجاری و اطلاعات محرمانه کارت های اعتباری ، قرار میگیرند.چنین حملات امنیتی موجب میلیون ها دلار ضرر و اخلال در فعالیت شرکت ها میشوند. بسیاری از گزارشگران و مشاوران هزینه خسارات مرتبط با نقائص امنیتی را تا میلیاردها دلار برآورد کرده اند.با اینحال آنچه مهمتر از صحت میزان این خسارات است ، این واقعیت است که با افزایش کاربران سیستم های اطلاعاتی ، دسترسی آسان به اطلاعات و رشد فزاینده کاربران مطلع (فنی) میتوان به راحتی فرض کرد که تعداد این سوء استفادهها از فناوری و تهدیدهای امنیتی نیز به همین نسبت افزایش یابد. متاسفانه ، از آنجا که بسیاری از شرکت ها دوست ندارند نفوذ به سیستمشان را تایید و اطلاعاتشان در مورد این نفوذها و وسعت آنها را با دیگران به اشتراک بگذارند ، میزان دقیق خساراتی که شرکت ها از جرائم مرتبط با امنیت متحمل شده اند ، را نمیتوان بدست آورد.بی میلی به ارائه اطلاعات مربوط به نقائص امنیتی ، از این ترس معمول ناشی می میشود که اطلاع عموم از چنین نقائصی باعث بی اعتمادی مشتریان نسبت به توانایی شرکت در حفظ داراییهای خود میشود و شرکت با این کار مشریان خود و در نتیجه سوددهی اش را از دست خواهد داد.از آنجایی که مصرف کنندگان امروزی نسبت به ارائه آن لاین اطلاعات مالی بی اعتماد اند ، شرکت ها با تایید داوطلبانه این واقعیت که قربانی جرائم مرتبط با امنیت شده اند ، چیزی بدست نمیآورند.با هیجانات رسانهای که امروزه دور و بر اینترنت و قابلیت های آن وجود دارد ، حفظ یک تصویر مثبت از امنیت تجارت الکترونیک در اذهان ، دغدغه شماره یک بسیاری از شرکت ها است و برای بقاء و باقی ماندن در رقابت کاملا ضروری است. نبود اطلاعات دست اول از موارد واقعی برنامه ریزی و مقابله با تهدیدهای امنیتی را بسیار مشکلتر کرده است اما با این وجود هم فناوری ها و روشهای امنیت اطلاعات و فنون کلی مدیریتی در برنامه ریزی و حفاظت از منابع فناوری اطلاعات سازمان ، در یک دهه گذشته پیشرفت قابل توجهی داشته اند.اکنون خبرگانی هستند که در حوزه امنیت سایبر تخصص پیدا کرده اند و راهکارهای زیادی برای حفاظت از فناوری های تجارت الکترونیک از مجرمین بالقوه فضای سایبر دارند.بسیاری از شرکت ها دریافته اند که برای موفقیت در تجارت الکترونیم ، علاوه بر روشهای امنیتی که برای حفاظت از منابع فناوری اطلاعات طراحی شده اند ، نیازمند سرمایه گذاری و برنامه ریزی برای ایجاد یک برنامه جامع امنیت هستند تا بدان طریق از داراییهایشان در اینترنت محافظت و از نفوذ مجرمین به سیستم هایشان که موجب خسارت دیدن فعالیت های تجارت الکترونیک آنها میشود جلوگیری کنند. برنامه جامع امنیت تجارت الکترونیک شامل برنامههای حفاظتی که از فناوری های موجود (نرم افزار و سخت افزار) ، افراد ، برنامه ریزی راهبردی استفاده میکنند و برنامههای مدیریتی که برای حفاظت از منابع و عملیات تجارت الکترونیک شرکت طراحی و اجرا میشوند ، است.چنین برنامهای برای بقاء کلی فعالیت های تجارت الکترونیک شرکت حیاتی است و سازمان باید آنرا به عنوان مولفهای اساسی در راهبرد تجارت الکترونیک موفق به حساب آورد.موفقیت چنین برنامههایی به حمایت کامل مدیران رده بالا و مشارکت کامل بخش فناوری اطلاعات و مدیریت در جهت درک تاثیر گذاری و محدودیت های برنامه است.علاوه بر این برای اطمینان از بروز بودن این برنامه و ابزارهای آن و هماهنگی با آخرین فناوری ها و فنون مدیریت ، باید آن را بطور مداوم مورد ارزیابی و سنجش قرار داد.
+ نوشته شده در شنبه هجدهم آذر 1391ساعت 10:33 توسط سمانه بشیری | نظر بدهید
به دنبال روشی برای مدیریت امنیت اطلاعات
به دنبال جستوجوی روشی بهجز شیوههای سنتی امنیت شبکهٔ IT شرکت آیبیام و چند شرکت و سازمان IT شورای جدید حفاظت از اطلاعات را احداث کردهاند. هدف از این کار ایجاد روشهایی برای مقابله با هکرها و دیگر راههای دسترسی غیرقانونی به اطلاعات است. شرکت IBM در گزارشی اعلام کرد که این شورا برای تنظیم طرحی نوین برای محافظت و کنترل در اطلاعات شخصی و سازمانی افراد همهٔ تلاش خود را به کار خواهد گرفت . استوارت مکایروین، مدیر بخش امنیت اطلاعات مشتری IBM میگوید: "بیشتر شرکتها و همینطور افراد حقیقی کنترل و امنیت اطلاعات خود را به عنوان مسالهای فرعی در نظر میگیرند و در کنار دیگر فعالیتهای خود به آن میپردازند." به عقیدهٔ اعضای این شورا کنترل و نظارت بر اطلاعات به این معناست که چهگونه یک شرکت در کنار ایجاد امکان بهرهبرداری از اطلاعات مجاز، محدودیتهایی را برای دسترسی و محافظت از بخشهای مخفی تدارک میبیند. اعضای این شورا برآناند تا تعریفی جدید از مدیرت کنترل اطلاعات و سیاستهای مربوط به آن ارایه دهند. همچنین پیشبینی شده است که این راهکارها بخش مهمی را در زیربنای سیاستهای IT داشته باشد. مکآروین میگوید: "ایدهٔ اولیهٔ تشکیل این شورا در جلسات سه ماه یکبار و غیررسمی شرکت IBM با مشتریان و برخی شرکا شکل گرفت. ما با افرادی گفتوگو میکردیم که با مشکلات ناامنی اطلاعات به شکل عینی روبهرو بودند. برای شرکت IBM و شرکای تجاری آن مشارکت مشتریان عاملی موثر در اصلاح و هماهنگی نرمافزارهای امنیتی موجود و طراحی نرمافزارهای جدید است. ما سعی میکنیم ابزارهای امنیتی IBM را با نیازهای مشتری آشتی دهیم. بسیاری از مشتریان شرکت که اکنون اعضای فعال این شورا را تشکیل دادهاند، خود طرح پروژههای جدید برای کنترل خروج اطلاعات و مدیریت آنرا تنظیم کردهاند. آنها داوطلب شدهاند که برای اولین بار این روشها را در مورد اطلاعات شخصی خود به کار گیرند. بدیهی است شرایط واقعی در مقایسه با وضعیت آزمایشی نتیجهٔ بهتری دارد. رابرت گاریگ، مدیر ارشد بخش امنیتی بانک مونترآل و یکی از اعضای شورا، معتقد است اکنون زمان آن رسیده که شرکتها روشهای جدیدی را برای کنترل اطلاعات مشتریان خود بهکار بگیرند او میگوید: "من فکر میکنم اکنون زمان مدیریت کنترل اطلاعات فرارسیده است.." پیش از این بخش IT تمام حواس خود را بر حفاظت از شبکهها متمرکز کرده بود، اما اکنون اطلاعات به عنوان بخشی مستقل به محدودیتهایی برای دستیابی و همچنین روشهای مدیریتی نوین نیازمند است. این حوزه به کوششی چشمگیر نیازمند است. شرکتها هر روز بیش از پیش با سرقت اطلاعات روبهرو هستند. هدف اصلی شورا ایجاد مدیریتی هوشمند و بیواسطه است . مسایل مورد توجه این شورا به ترتیب اهمیت عبارتاند از: "امنیت، حریم خصوصی افراد، پذیرش قوانین و برطرف کردن سوء تعبیرهایی که در مورد IT و وظایف آن وجود دارد." به نظر این شورا مشکل اصلی ناهماهنگی برنامههای بخش IT با فعالیتهای شرکت و بیتوجهی به ادغام این راهکارهاست. شرکت آمریکن اکسپرس و بانک جهانی، دانشگاه ایالتی کارولینای شمالی و ... از اعضای این شورا هستند.