ما در عصر اطلاعات به سر میبریم زمانی که باید از اطلاعات {مهمترین دارایی}حفاظت کرد

برچسب‌ها: اطلاعات حساس, امنیت, امنیت وب, وب

+ نوشته شده در ساعت توسط هک.کارمند.مدیریت.رقابت.کنترل.امنیت.شرکت. |

سرقت اطلاعات موشکی ژاپن

بدافزار جدیدی با آلوده کردن کامپیوتر متصل به موشک فضایی اپسیلون، اطلاعات حیاتی ژاپنی ها را به سرقت برد.

مقامات ژاپنی در شمال شرق توکیو در حال بررسی این موضوع هستند که چگونه بدافزار ناشناسی از طریق آلوده کردن کامپیوتر متصل به موشک فضایی اپسیلون اطلاعات حساس را به سرقت برده است. این مقامات تایید کردند اوایل ماه جاری کامپیوترهای آلوده را شناسایی کرده و از شبکه خارج کردند ولی ظاهرا اطلاعات مربوط به اپسیلون و ماموریت فضایی سال آینده آن و موشک موسوم به M-5 و موشکهای H2A و H2B‌ به دست حمله کنندگان افتاده است.

نیویورک تایمز گزارش داده کامپیوتر آلوده در ۲۱ نوامبر کشف و چیزی در آن مشاهده نشده است! و این بدان معنا است که ژاپنی های نتوانسته بودند بدافزار را که بسیار جدید است را کشف کنند. مقامات فضایی ژاپن مطمئن هستند که این حادثه حمله سایبری بوده است و به گفته برخی منابع مظنون شماره یک چینی ها هستند.

موشک اپسیلون ژاپن چند منظوره بوده و در حال توسعه است تا ژاپن ضمن ارسال ماهواره به فضا در مواقع لزوم از آن در صنایع نظامی نیز استفاده کند. حملات سایبری در سالهای اخیر را امریکا و اسرائیل با استاکس نت و فلیم به ایران شروع کرده اند.

تمهیدات امنیتی بعد از این حادثه دوبرابر شده تا اطلاعات بیشتری به خارج از سازمان منتقل نشود. ژاپن سعی کرده در رقابت با کشورهایی مانند امریکا و روسیه و نیز سازمان فضایی اروپا، سیاست مستقل فضایی اخذ کرده و برای کاهش هزینه ها خود راسا اقدام به ارسال موشک به فضا کند.

ژاپنی ها بعد از کشف این موضوع ظاهرا کامپیوتر آلوده را به خارج از مرکز فضایی منتقل کرده اند.

برچسب‌ها: رمزگذاری, اطلاعات, حساس, فلش مموری

+ نوشته شده در ساعت توسط هک.کارمند.مدیریت.رقابت.کنترل.امنیت.شرکت. |

مراقب سوء استفاده از وب کم خود باشید

علیرضا برادران

به راستی چقدر از امنیت اطلاعات شخصی خود در فضای مجازی مطمئن هستید. همه کاربران اینترنت و به‌ خصوص افراد تازه کار از چند جبهه تحت هجوم قرار دارند. از یک سو دولت ها و سازمان های جاسوسی آنها، سعی در سرقت اطلاعات شهروندان دارند. از سوی دیگر هکرها و خرابکاران مستقل مدام در حال نفوذ به حریم خصوصی افراد هستند. و در نهایت این شرکت های بزرگ چند ملیتی هستند که با ادعای تبلیغات هدفمند، به فروش و بعضاً سوء‌ استفاده از اطلاعات کاربران می پردازند.

احتمالاً اصطلاح «آزار جنسی سایبری» به گوشتان خورده است. مدتی است که محققان به ویژه جامعه شناسان و روان شناسان حوزه امنیت روانی خانواده از بابت وجود و بسط این پدیده در فضای مجازی اخطار می دهند. نا آگاهی افراد از مخاطرات پیش رو در فضای مجازی راه نفوذ و سوء‌ استفاده افراد سودجو را هموارتر می کند.

طی بررسی های به عمل آمده و همچنین طبق گزارشی از سوی «یورو نیوز» وب کم ها یکی از موارد به شدت آسیب‌پذیر کاربران اینترنت هستند که روزانه هزاران قربانی می گیرند. در این بررسی مشخص شده که تعداد کسانی که به نفوذ و ضبط تصاویر وب کم کاربران در فضای مجازی می پردازند، به علت سهولت انجام این کار بسیار زیاد است و این در حالی است که اکثر قربانیان از دانش کافی برای جلوگیری از آن برخوردار نبوده اند.

آن‌ها با ضبط ویدیوی قربانیان خود یا آن‌ ویدیوها را به اشخاص دیگر می فروشند، یا برای منتشر نکردن تصاویر از قربانی باج طلب می‌کنند. یا حتی او را مجبور به نشان دادن دیگر اعضای بدن خود می کنند. اینها و دیگر موارد از این دست مادامی که خود کاربران در صدد حفظ حریم خود بر نیایند تمامی نخواهد داشت.

ما در نگهبان همواره متذکر شده‌ ایم که نگهبان اصلی و نهایی اسرار شما، خودتان هستید و هرگز نباید از کنار این مسأله بی تفاوت بگذرید. برای پیشگیری و ممانعت از نفوذ خرابکاران به وب کم رایانه راه کارهایی وجود دارد که البته همه آن‌ها فقط در صورتی که با هم به کار برده شوند مؤثر خواهند بود:

همیشه گفته‌ایم ضد بدافزارها و فایروال ها فقط زمانی مفید هستند که به هنگام باشند. روزانه هزاران ویروس و تروجان ساخته می‌شود که می‌توانند راه نفوذ به وب کم و رایانه شما را برای خرابکاران هموار کنند، و فقط زمانی می‌توانید جلوی آنها را با آنتی ویروس ها بگیرید که به روز باشند.

- مراقب ایمیل از سوی افراد ناشناس باشید. بهتر است به طور کل ایمیل‌های ناشناس را باز نکنید. ولی در صورت باز کردن، هرگز روی لینک های احتمالی موجود در آن کلیک نکنید.

- از اعتبار سایت هایی که برای ثبت نام، ایمیل شما را می‌ خواهند مطمئن شوید. بسیاری از سایت ها و حتی تالارهای گفتگو با مبالغ ناچیز حاضر به فروش ایمیل های کاربران خود به اشخاص ثالث می شوند.

- وقتی از وب کم خود استفاده نمی‌کنید اگر قابلیت بستن لنز در آن وجود دارد آن را ببندید در غیر این صورت یا روی آن را بپوشانید یا آن را به سمت دیوار بگردانید.

- اگر حین گپ با غریبه ای احساس نزدیکی بیش از حد کردید، قبل از تبادل تصویر به خود متذکر شوید که او می‌تواند این مکالمه تصویری را ضبط و احیاناً منتشر کند.

- قبل از هرکاری راه و رسم آن را باید آموزش داد. والدین باید بدانند همان‌طور که فرزند خود را به کلاس شنا و زبان و… می‌فرستند تا آموزش‌های لازم را ببیند، نباید او را بدون آموزش در دریای متلاطم و بی رحم اینترنت و شبکه‌های مجازی رها کنند.

-با مهربانی باید کودکان را ترغیب کرد که اگر از طریق وب کم مورد سوء‌استفاده قرار گرفتند به والدین خود گزارش دهند تا از گسترش قضیه جلوگیری شود.

- خود شما هم اگر حس کردید که ممکن است قربانی شده باشید به مراجع ذیصلاح اطلاع دهید.

- در همه حال مراقب باشید و چشم از چراغ وب کم خود بر ندارید!

برچسب‌ها: امنیت, مجازی, حریم خصوصی, رمز

+ نوشته شده در ساعت توسط هک.کارمند.مدیریت.رقابت.کنترل.امنیت.شرکت. |

سرقت اطلاعات میلیون‌ها کاربر اپل

پلیس آمریکا ادعای سرقت اطلاعات میلیون‌ها کاربر اپل را به علت هک شدن لپ تاپ یکی از نیروهای پلیس رد کرده است.

روز گذشته یک گروه هکری مدعی شده بود موفق شده اطلاعات لازم برای شناسایی هویت میلیون‌ها نفر از کاربران آیفون، آی پد و دیگر محصولات اپل را با هک کردن لپ تاپ یک مامور پلیس اف بی آی به دست آورد. در حالی که اعضای این گروه هکری موسوم به AntiSec اطلاعات مسروقه را بر روی اینترنت منتشر کرده‌اند، مقامات اف بی آی می‌گویند هرگز چنین اطلاعاتی را در اختیار نداشته‌اند که حال هکرها بخواهند آن را سرقت کنند. در مقابل هکرهای AntiSec تاکید دارند که اطلاعات منتشر شده تنها بخشی از اطلاعات مربوط به ۱۲ میلیون نفر کاربر آیفون و آی پد است که از طریق نفوذ به لپ تاپ یک مامور اف بی آی به دست آمده است. در حالی که صحت این اطلاعات تایید نشده، کارشناسان امنیتی به کاربران در مورد رعایت نکات امنیتی و کلیک نکردن بر روی لینک‌های مشکوک ارسالی هشدار داده‌اند. در این میان اپل هنوز در این زمینه واکنشی از خود نشان نداده و مشخص نیست این شرکت اطلاعات یاد شده را داوطلبانه در اختیار اف بی آی قرار داده یا خیر. اپل برای هر یک از محصولاتش یک شماره هویت خاص شامل رشته‌ای از اعداد و حروف را در نظر می‌گیرد که با استفاده از آن می‌توان محصولات این شرکت را در زمان اجرای برنامه‌های مختلف ، اتصال به فروشگاه آنلاین آی تیونز و ... شناسایی کرد. این رشته‌ها برای برنامه نویسان هم در جهت شناسایی علائق کاربران قابل استفاده است.

+ نوشته شده در ساعت توسط هک.کارمند.مدیریت.رقابت.کنترل.امنیت.شرکت. |

سرقت پسوردها روی هوا حتی از وب‌سایتهای دارای SSL

شرکت امنیتی ترندمیکرو طبق خبری که در وبلاگ این شرکت منتشر شده اعلام کرد شیوه جدیدی جهت سرقت اطلاعات توسط خلافکاران سایبری اجرا شده است را شناسایی کرده است

یکی از جالب ترین بخشهای این گزارش این است که در این شیوه خلافکاران سایبری حتی قادر به سرقت اطلاعات از وب‌سایتهایی هستند که از تکنولوژی SSL جهت امن سازی ارتباط استفاده می‌کنند هستند . در این شیوه که PASSTEAL نام دارد با استفاده از ابزارهای بازیابی پسوردها به صورت ویژه خلافکاران سایبری کاربران را هدف حمله قرار می‌دهند . یکی از این ویروسها TSPY_PIXSTEAL.A نام دارد که اطلاعات عکسها و فایلهای تصویری را جمع آوری کرده و برای سرورهای FTP مورد نظر نفوذگران و کلاهبرداران سایبری ارسال می‌کند . یکی دیگر از کارهایی که ویروس TSPY_PIXSTEAL.A انجام می‌دهد سرقت اطلاعات ذخیره شده در مرورگرهای اینترنتی است . یکی از نمونه‌های این ویروس به طور خاص برنامه PasswordFox را که یک افزونه مرورگر اینترنتی فایرفاکس است هدف قرار می‌دهد. همانطور که می‌بینید شیوه کار این ویروس بر خلاف تهدیدات کی لاگر است . ویروسها و تروجانهای کی لاگر هم اقدام به سرقت اطلاعات محرمانه کاربر و نامهای کاربری و پسوردهای مختلف می کنند .

+ نوشته شده در ساعت توسط هک.کارمند.مدیریت.رقابت.کنترل.امنیت.شرکت. |

سرقت اطلاعات کاربران اینترنتی در ازاء دریافت پول

جوان گلستانی که در ازای پول، اطلاعات کاربران اینترنتی را سرقت می‌کرد، به سرعت شناسایی و دستگیر شد.
پایگاه اطلاع رسانی پلیس فتا: رئیس پلیس فتا استان گلستان در گفتگو با خبرنگار ما اعلام کرد: در پی انجام گشت های اینترنتی و پایش مستمر فضای مجازی توسط کارشناسان پلیس فتا، وبلاگی به نام معلوم که اقدام به آموزش هک می‌کرد، شناسایی شد.
رییس پلیس فتا استان گلستان ادامه داد: همچنین مدیر این وبلاگ ادعا کرده که در قبال دریافت مبلغی، اطلاعات کاربران اینترنتی را که مشتری معرفی کند به سرقت برده و در اختیار آنان قرار می‌دهد.
وی افزود: با توجه به این موضوع که اقدامات فوق از لحاظ قانونی جرم محسوب می‌شود، جهت شناسایی و دستگیری عامل یا عاملان، مراتب در دستور کار این پلیس قرار گرفت.
این مقام انتظامی گفت: با پیگیری‌های تخصصی و تحقیقات میدانی متهم با هویت معلوم شناسایی و دستگیر شد، وی پس از مشاهده مدارک مستدل به جرم خود اعتراف کرد.
پلیس فتا هشدار داد: خرید و فروش نرم افزارهای هک و کرک و نیز آموزش این موارد در فضای مجازی و نیز نفوذ به سیستم‌ها و صفحات اینترنتی دیگران بدون مجوز، جرم تلقی شده و پلیس با عاملان آن برخوردی قانونی خواهند داشت.
منبع:
پایگاه اطلاع رسانی پلیس فتا

برچسب‌ها: امنیت, مجازی, حریم خصوصی, رمز

+ نوشته شده در ساعت توسط هک.کارمند.مدیریت.رقابت.کنترل.امنیت.شرکت. |

هـشـدار پلیـس فتا به بانک مرکزی درباره حفـره‌هـای امنیتـی بانـک‌هـا

رییس پلیس فضای تولید و تبادل اطلاعات ناجا ضمن تشریح آخرین اقدامات صورت گرفته در مورد پرونده هک شرکت نفت، گفت: آمریکا در خصوص مالکان IPهای مورد استفاده شده سکوت کرده است.

پایگاه اطلاع رسانی پلیس فتا: سردار کمال هادیانفر روز پنجشنبه در حاشیه برگزاری همایش کارگاه منطقه ای همکاری های بین المللی در مبارزه با جرایم سایبری در جمع خبرنگاران گفت: برداشت غیرمجاز از حساب‌های بانکی با 48.5 درصد بیشترین جرم در فضای مجازی را به خود اختصاص داده است. ابلاغ رسمی پلیس به بانک مرکزی در خصوص حفره‌های امنیتی

هادیانفر همچنین در ادامه سخنان خود با اشاره به برگزاری جلسات مشترک زیادی با بانک مرکزی، تاکید کرد: در این جلسات هشدارهای لازم در خصوص درگاه‌ها و حفره‌های بانک‌ها به روسای بانک‌ها رسما ابلاغ شده است و بعضا نیز به بانک‌های دیگر اعلام کرده‌ایم.

به گفته هادیانفر، بعد از برداشت غیرمجاز از حساب‌های بانکی، جرایم اجتماعی، فرهنگی و دینی در مرتبه بعدی قرار دارد به گونه‌ای که بیشترین رصد پلیس در این حوزه است.

رییس پلیس فتای ناجا افزود: باید توجه داشته باشیم که تغییر باورهای دینی جوانان یکی از هدف‌گذاری‌های اصلی دشمنان در فضای مجازی است. منع قانونی برای فعالیت در شبکه‌های اجتماعی وجود ندارد

وی با بیان اینکه منع قانونی برای فعالیت در شبکه‌های اجتماعی وجود ندارد، گفت: اما پلیس به دنبال مجرمان است و کسانی که در این فضا به ارتکاب جرایم مبادرت کنند، حتما با آنان برخورد خواهد شد.

هادیانفر در بخش دیگری از سخنان خود به رصد سایت‌های فروش داروهای غیر مجاز که بعضا کشنده هستند، اشاره کرد و گفت: افراد برای سودجویی اقدام به فروش داروهای غیرمجاز و غیربهداشتی در شبکه‌های اینترنت می‌کنند که اساسا این عمل غیرمجاز بوده و هیچ مجوزی برای آنان صادر نشده است. عملیات پانک‌آ 5 در راه است

رییس پلیس فتای ناجا به انجام عملیات "پانک‌آ" که با حضور 74 کشور در حوزه فروش داروهای غیرمجاز اشاره کرد و گفت: این عملیات که در عرصه بین‌الملل برگزار شد، یکی از عملیات‌های بزرگ مشترک بود که در رنکینگ اینترپل نیز پلیس فتای ایران جزء برترین کشورها انتخاب شد.

به گفته وی، در حال حاضر پلیس فتا با هماهنگی اینترپل در صدد طرح‌ریزی عملیات مشترک "پانک‌آ 5 " است. سکوت آمریکا در قبال معرفی IP هکرهای شرکت نفت

هادیانفر در مورد آخرین وضعیت حمله سایبری به شرکت نفت نیز گفت: پلیس فتا پس از چند روز از ورودش به این پرونده توانست درگاهی را که این تیم هکر از طریق آن به شرکت نفت ورود پیدا کرده بود را شناسایی کند اما نکته قابل توجه آن است که IP این هکرها از طریق provider آمریکایی ایجاد شده است.

وی با بیان اینکه پلیس با هماهنگی مقام قضایی از آمریکا درخواست کرده است که مالک IPهای هکرهای حمله‌کننده به شرکت‌ نفت را معرفی کند، گفت: این اقدام پلیس ایران کاملا رسمی است اما آمریکا تا این لحظه در قبال این درخواست رسمی سکوت کرده است. رییس پلیس فتا ناجا در ادامه با اشاره به پرونده‌ای دیگر در خصوص سرقت اطلاعات، گفت: فردی در خارج از کشور بدافزاری طراحی کرده و به شناسایی مجرمانی در داخل کشور مبادرت کرده بود.

هادیانفر با بیان اینکه این فرد برنامه طراحی شده خود را از طریق میل به همدستانش در ایران ارسال کرده بود، گفت: این برنامه در کافی‌نت‌ها نصب و مردم با مراجعه به کافی‌نت‌ها، اطلاعات خود را ناخواسته در اختیار این افراد قرار می‌دادند.

وی با بیان اینکه این برنامه اساسا برای سوء استفاده از اطلاعات افراد طراحی شده بود، گفت: اطلاعات مردم آنلاین به خارج از کشور ارسال می‌شد.

وی با بیان اینکه تاکنون دو هزار User و password افراد برای فردی که در خارج از کشور است، ایمیل شده است، گفت: اطلاعات بانکی مال‌باختگان به صورت مرحله‌ای در اختیار مجرمان در داخل کشور قرار داده می‌شد و از آنان سوء استفاده می‌شد. به گفته هادیانفر، مردم نباید به کافی‌نت‌ها اعتماد کنند.

وی در خصوص ویروس madi که عوامل آمریکایی مدعی شده بودند که این ویروس از سوی ایران طراحی شده است، گفت: شرکت کسپرسکی این ویروس را شناسایی و عنوان کرده است که این ویروس نیز به ایران حمله کرده است.

وی با طرح این سوال که این ویروس توسط چه کسی تولید شده است گفت: اساسا این شیوه ویروس‌نویسی در ایران نیست و اینکه چرا در این ویروس از زبان فارسی استفاده شده است نیز مبهم است.

وی با بیان اینکه تاکنون هیچ آسیب و گزارش جدی در مورد ضربه زدن این ویروس به سامانه‌های کشور دریافت نشده است، گفت: اساسا کشورهایی همچون آمریکا و اسرائیل نسبت به تولید این گونه ویروس‌ها اقدام می‌کنند و استفاده برنامه‌نویسان از زبان فارسی نیز جای سوال دارد.

وی افزود: بر اساس بررسی‌های اولیه این اطلاعات به سرورهای کانادایی منتقل می‌شود، اما ممکن است از VPNهای کانادایی استفاده شده باشد و کشور مقصد کانادا نباشد.

برچسب‌ها: کافی‌نت‌ | سرقت اطلاعات | برداشت غیرمجاز از حساب‌ه

+ نوشته شده در ساعت توسط هک.کارمند.مدیریت.رقابت.کنترل.امنیت.شرکت. |

نحوه سرقت اطلاعات شما توسط نرم افزارهای جاسوسی

- نرم افزار جاسوسی، برنامه‌ای است که رویهارددیسکسیستم شما قرار می‌گیرد و اطلاعاتی را در مورد شما و نحوه استفاه شما از کامپیوتر را برای بازاریاب‌ها و افراد سودجو ارسال می‌کند. در حالی که، معمولاً شما از این موضوع بی‌اطلاع هستید.تبلیغ افزارها،یکی از انواع نرم افزارهای جاسوسی هستند. این دسته از برنامه‌ها با استفاده از صفحات وب که شما آنها را مرور می‌کنید، سعی می‌کنند کالاهایی را که ممکن است برای شما مفید باشند، شناسایی کرده و تبلیغات آن محصولات را برای شما ارسال می‌کنند.

- استفاده از پیوندهایی که بین صفحات وب وجود دارند، ممکن است باعث ارسال و اجرای یک نرم افزار جاسوسی در سیستم شما شود.

- اخطار در مورد برنامه‌هایی که شما خودتان آنها را درخواست و نصب کرده‌اید معمولاً هنگام دریافت برنامه یا هنگام نصب آن، در صفحه ای به نام Privacy Policy یا صفحه (قوانین حفظ حریم شخصی) نمایش داده می‌شود و همان گونه که می‌دانید این گونه صفحات اطلاعات قابل درکی را در اختیار شما قرار نمی‌دهند.

بیشتر نرم افزارهای جاسوسی در پوشه برنامه‌ها، به عنوان یک برنامه دیگر نصب می‌شوند. بعضی از نرم افزارهای جاسوسی نیز دررجیستریویندوز ذخیره می‌شوند که در این صورت شناسایی آنها سخت می‌شود.

- برنامهنرم افزار جاسوسیشروع به جمع آوری اطلاعات می‌کند. بعضی از برنامه‌ها نظیر Comet Cursor، کار خود را به جمع آوری اطلاعات محدود می‌کنند و به داده‌هایی که دسترسی به آنها باعث شناسایی برنامه می‌شود، کاری ندارند. اما بعضی از انواع نرم افزارهای جاسوسی ممکن است اطلاعات مربوط به تک تک کلیدهای صفحه کلید را که استفاده می‌کنید (شامل کلمات عبوری که شما جمع آوری می‌کنید و اطلاعات مربوط به تک تک اسناد و صفحات گسترده‌ای را که شما مشاهده می‌کنید و حتی در وب سایت‌هایی را که به آنها دسترسی دارید، جمع آوری کرده و حتی فایل‌های شما را به دنبال هرچیزی که شبیه به شماره کارت اعتباری باشد، جست و جو و شناسایی کنند. این گونه اطلاعات ممکن است در فایل‌هایی به نامکوکی‌هاذخیره شده باشد،( اما وجود کوکی‌ها در کامپیوتر شما نشانه‌ای از وجود یک نرم افزار جاسوسی به حساب نمی‌آید.)

- فعالیت نرم افزارهایضدجاسوسیتنها به زیرورو کردن داده‌های شما محدود نمی‌شود. نرم افزارهای جاسوسی تقریباً قادرند هر کاری را که کامپیوتر شما انجام می‌دهد، نیز انجام دهند. این برنامه‌ها می‌توانند به وب سایت‌های مورد علاقه شما وارد شده یا حتی صفحه پیش فرض مرورگر اینترنتی شما را تغییر دهند.

- نرم افزار جاسوسی با ایجاد یک کانال مخفی (یک پیوند اینترنتی مخفی در پس زمینه پردازش‌های کامپیوتر شما و ارتباط با کسی که نرم افزار ضدجاسوسی را ایجاد کرده است.) اطلاعات دریافتی از کامپیوتر شما را برای طراح نرم افزار جاسوسی، ارسال می‌کند. اگر برنامه از نوع تبلیغ افزار باشد، در این صورت از اطلاعات دریافتی برای نمایش تبلیغاتی استفاده می‌کند که ممکن است برای شما جالب باشند.

- کوشش برای حذف نرم افزارهای ضدجاسوسی معمولاً ناموفق است. بعضی از نرم افزارهای جاسوسی، برنامه‌های سیالی مجزایی دارند که بعد از حذف برنامه، به سرعت مجدداً آنها را نصب می‌کند. حداقل حذف این گونه برنامه‌ها یا به اصطلاح uninstall کردن آنها باعث می‌شود برنامه‌ای که نرم افزار جاسوسی را به همراه آن دریافت کردید، نیز از کار بیفتد.

ضد جاسوس‌ها

سعی نکنید که نرم افزارهای جاسوسی را خودتان پاک کنید. این برنامه‌ها، وجود شما را در همه جا شناسایی می‌کنند. به جای این کار از برنامه‌‌هایی نظیرSpybot Search and Destroyاستفاده کنید. این برنامه یکی از بهترین نرم افزارهای ضدجاسوسی است ولی با این وجود، نمی‌تواند همه نرم افزارهای ضدجاسوسی را شناسایی و منحدم کند.

برچسب‌ها: نحوه سرقت اطلاعات شما توسط نرم افزارهای جاس

+ نوشته شده در ساعت توسط هک.کارمند.مدیریت.رقابت.کنترل.امنیت.شرکت. |

سایت های جعلی: با هدف سرقت اطلاعات بانکی کاربران

سایت های cardsharje.com و www.iran3ll.com جعلی بوده وبه قصد اخاذی از مردم راه اندازی شده است.

به گزارش پایگاه خبری فناوری اطلاعات برسام و به نقل از پارسینه، کارشناسان فنی شرکت رایانمهر در تاریخ ۶ فروردین سال جاری با سایتی روبرو شد(cardsharje.com) که ظاهرا مشغول فروش کارت شارژ تلفن همراه بود اما پس از بررسی ها کارشناسی متوجه شدند این سایت توسط یک هکر حرفه ای و با هدف سرقت اطلاعات بانکی کاربران راه اندازی شده است.

این سایت با شبیه سازی سایت های معروف فروش کارت شارژ و با کمک تبلیغ درگوگل طعمه های خود را فریب می داد . سپس با وارد کردن مشتریان به صفحه ای که به شکل دروازه پرداخت بانک پاسارگاد طراحی شده بود اطلاعات بانکی فریب خوردگان را ثبت می کرد و با دادن پیغام خطا بدون پرداخت هیچ کالایی اطلاعات کاربرانش را سرقت می کرد.

شرکت رایانمهر موضوع را با بانک پاسارگاد، بخش جرایم اینترنتی آگاهی تهران بزرگ و پلیس دیجیتال (فتا) در میان گذاشت و در عرض مدت کوتاهی این وب سایت از مجاری قانونی بسته شد.

با این وجود این هکر موفق شد ظرف مدت کوتاهی اطلاعات بیش از ۳۰۰۰ نفر را سرقت کند با فرض میانگین ۳٫۰۰۰٫۰۰۰ تومان موجودی در هر کارت هک شده می توان انتظار داشت که حدود یک میلیارد تومان سرمایه صاحبان این کارت ها در معرض خطر قرار گرفته است.

تداوم سرقت های هکر حرفه ای

دوشنبه پنجم اردیبهشت ماه سایت دیگری با نام www.iran3ll.comراه اندازی شد که با ساختاری کاملا مشابه سایت قبلی به سرقت اطلاعات کاربران خود می پردازد.

این سایت باظاهری کاملا مشابه سایت های موجود فروش اینترنتی کارت شارژ کاربر را به صفحه ای که به نظر پرداخت الکترونیک پاسارگاد می باشد راهنمایی می کند .

اما این سایت هم دقیقا به روش سایت مشابه دیگر تنها به دادن پیغام خطا و سرقت اطلاعات مراجعه کنند گان می پردازد.

تلاش ها برای دستگیری این سارق اینترنتی همچنان ادامه دارد.در صورتی که به هر طریق فریب این هکر را خورده اید و از سایت های cardsharje.com و www.iran3ll.com خرید نموده اید هر چه سریعتر با مراجعه به خودپرداز بانک شماره رمز عبور خود را تغییر دهید.

*هکر ها معمولا برای فریب طعمه های خود از آدرس هایی شبیه دروازه های پرداخت الکترونیک بانک ها استفاده می کنند از این رو هنگام هر خرید اینترنتی آدرس صحیح صفحه پرداخت الکترونیک بانک را بشناسید ودقت کنید اطلاعات بانکی خود را در صفحه پرداخت الکترونیک بانک وارد نمایید.

آدرس صحیح دروازه های پرداخت بانک ها از این قرار است:

آدرس پرداخت اینترنتی بانک سامان: sb24.comآدرس پرداخت اینترنتی بانک پارسیان: pec24.comآدرس پرداخت اینترنتی بانک پاسارگاد: BankPasargad.comآدرس پرداخت اینترنتی بانک ملت: bankmellat.ir
آدرس پرداخت اینترنتی بانک سینا: esinabank.comآدرس پرداخت اینترنتی بانک ملی: bankmelli-iran.com

برچسب‌ها: اطلاعات بانکی بانک پاسارگاد دزدی سایت های جعلی سرق

+ نوشته شده در ساعت توسط هک.کارمند.مدیریت.رقابت.کنترل.امنیت.شرکت. |

سرقت اطلاعات

امروز در تمام دنيا، حتي در داخل كشور خودمان، مكان‌هاي عمومي مثل فرودگاه‌ها، كافي شاپ‌ها و حتي بعضي ادارات دولتي و بانك‌ها، سرويس اينترنت را به‌صورت بي‌سيم و رايگان به مراجعان خود ارائه مي‌دهند. از آنجا كه بيشتر افراد مجهز به گوشي‌هاي تلفن همراه هوشمند يا لپ‌تاپ‌هاي مدرن شده‌اند، با چند كليك مي‌توانند با اين بستر شبكه‌اي عمومي، به اينترنت متصل شوند و از خدمات مختلف استفاده كنند. تصور كنيد مردمي را كه خسته از انتظار طولاني در فرودگاه، با لپ‌تاپ خود به اينترنت بي‌سيم و رايگان فرودگاه وصل شده‌اند و آخرين اطلاعات پرواز، اطلاعات شخصي، احوالپرسي‌هاي دوستان و هزار و يك كار ديگر را كه مي‌توان در اينترنت انجام داد، پيگيري مي‌كنند. اين تصور دست‌كم براي كاربران حرفه‌اي اينترنت تصور شيريني است. ‌ ‌

نكته‌اي كه نبايد فراموش كرد، اين است كه شبكه‌هاي عمومي در اختيار همه نوع كاربري قرار مي‌گيرد. از كاربرهاي ساده گرفته تا كاربرهاي حرفه‌اي حوزه فناوري اطلاعات و حتي كاربران مخرب كه بيشتر فعاليت خود را صرف سرقت اطلاعات يا حمله به شبكه‌ها مي‌كنند. اين بستر باز سبب مي‌شود كه امنيت به حداقل ممكن برسد و امن نگاه داشتن اطلاعات فقط به دست خود كاربر باشد.

تصور كنيد از بستر اين شبكه وارد اي‌ميل خود شده‌ايد و يك هكر به دستگاه شما متصل شده و تمام اطلاعات حياتي شما را مي‌ربايد. اصلا تصور خوشايندي نيست. براي اينكه اين اتفاق گريبان شما را نگيرد، پيشنهادات ساده‌اي داريم كه به‌كمك آن مي‌توانيد رايگان و ساده از آن‌لاين بودن خود لذت ببريد.

آنتي ويروس و ديوارآتش

قبل از هرچيز، هميشه بايد يك آنتي‌ويروس به‌روز داشته باشيد و همينطور يك ديوار آتش مناسب. اگر توانايي خريد مجوز آنتي‌ويروس‌هاي حرفه‌اي را نداريد، ازآنتي‌ويروس رايگان آويرا ‌(Avira)‌كه اسكنري سريع دارد و به خوبي به‌روز مي‌شود استفاده كنيد. براي ديواره آتش هم ازكومودو ‌(komodo)‌استفاده كنيد كه آن هم رايگان است. هميشه بايد آنتي‌ويروس خود را به‌روز كنيد و به هيچ وجه از آنتي‌ويروس‌هاي كرك شده استفاده نكنيد. سعي كنيد آن ‌را به صورت »اصل« بخريد يا از آنتي ويروس‌هاي رايگان استفاده كنيد.

توجه به يك مساله قبل از هر توضيحي لازم است. به‌هيچ وجه قبل از مطالعه و درك يك پيغام آن را نبنديد يا تاييد نكنيد. براي مثال، ويندوز ويستا هنگام هر اتصال شما به شبكه مي‌پرسد كه اين شبكه كجا قرار دارد؛ خانه، محل كار يا يك جاي عمومي. قطعا پاسخ دادن به اين سوال مي‌تواند تغييرات زيادي در تنظيمات شبكه شما به وجود بياورد. پس با دقت به اين سوالات پاسخ بدهيد و پيغام‌هاي خطا و هشدار را با دقت بيشتري بخوانيد.

غيرفعال كردن ادهاك ‌ ‌

اد هاك ‌(ad hoc)‌ يك نوع سرويس براي اتصال يا ساختن شبكه‌هاي بي سيم است و قطعا وقتي در شبكه‌هاي بي‌سيم عمومي هستيد،‌نيازي به آن نداريد. پس مي‌توانيد آن را غيرفعال كنيد، اما اگر فعال باشد، ممكن است بدون اينكه شما مطلع باشيد به دستگاه شما وصل شوند و اطلاعات مهم شما را سرقت كنند. براي اينكه خيال خود را راحت كنيد، بهتر است اين قابليت را غيرفعال كنيد و در صورت نياز بعدا دوباره آن را فعال كنيد. البته در ويندوز ويستا و نسخه‌هاي بعدي، نيازي به اين كار نيست.

براي غيرفعال‌ كردن اين آپشن در ويندوز ايكس‌پي، روي آيكون شبكه بي‌سيم خود در نوار وظيفه ويندوز راست كليك كرده و گزينه ‌Status‌ را انتخاب كنيد. سپس با باز شدن پنجره گزينه ‌Properties‌ را انتخاب كنيد. بالاي پنجره تب ‌Wireless Networks‌ را انتخاب كنيد و در ميان شبكه‌ها، شبكه‌اي را كه به آن متصل هستيد بيابيد. يك بار ديگر گزينه ‌Properties‌‌را بزنيد و به تب ‌Association‌ برويد و تيك ‌ad hoc‌‌ را برداريد. البته لازم به توضيح نيست كه عكس همين كار باعث مي‌شود همه چيز به حالت عادي برگردد. حالا مي‌توانيد همه چيز را تاييد كنيد. ‌ ‌

غيرفعال‌كردن اشتراك‌گذاري فايل‌ها ‌ ‌

اگر ويژگي اشتراك‌گذاري فايل‌هاي شما فعال باشد، قطعا دچار مشكل خواهيد شد. حتي اگر با داشتن بهترين آنتي‌ويروس‌ها فايل‌هايتان را به‌اشتراك بگذاريد، ديگران به راحتي مي‌توانند آنها را بردارند. براي جلوگيري از اين كار در ويندوز ويستا و نسخه‌هاي بعدي ويندوز بايد كار بسيار ساده‌اي انجام دهيد. موقع اتصال به شبكه، به ويستا بگوييد كه اين شبكه عمومي است، ويندوز به‌صورت خودكار اشتراك‌گذاري فايل‌ها را محدود مي‌كند. در ويندوز اكس‌پي اشتراك‌گذاري به‌صورت پيش‌فرض غيرفعال است، اما براي احتياط مي‌توانيد با استفاده راهنماي ويندوز، اين قسمت را هم غيرفعال كنيد.

در آخر سعي كنيد رمزهاي حياتي خود را با دقت انتخاب كنيد و در مكان‌هاي عمومي پست‌هاي الكترونيكي مهم خود را چك نكنيد. اين جمله را زير آينه خود بنويسيد: امنيت اطلاعات شما بسيار بسيار مهم است. اين موضوع را به هيچ وجه فراموش نكنيد.

برچسب‌ها: Issue Statement شرح وضعيت سازمان قابليت اجرا , خط مشي فناوري اطلاعات خط مشي هاي كلي Gen

+ نوشته شده در ساعت توسط هک.کارمند.مدیریت.رقابت.کنترل.امنیت.شرکت. |

ارزیابی عملیات تجارت الکترونیک

اولین گام برای ایجاد یک برنامه جامع امنیت تجارت الکترونیک، انجام یک ارزیابی کامل از ارزش و اهمیت تجارت الکترونیک در موفقیت کلی اهداف و برنامه تجاری شرکت است.گام بعدی باید ارزیابی آسیب پذیری سیستم تجارت الکترونیک شرکت از هر دو جنبهٔ تهدیات داخلی و خطرات موجود خارجی است.شناخت آسیب پذیریهای خارجی بسیار ساده تر از دیدن آسیب پذیری های خارجی است.با این وجود تمام تلاش ها باید در راستای شناخت حوزه هایی باشد که سیستم از داخل مورد سوءاستفاده قرار می گیرد.این کار را می توان به خوبی با صحبت با کاربران سیستم و توسعه دهندگان انجام داد.علاوه بر این بسته های نرم افزاری بسیاری هم وجود دارند که می توانند توانایی نظارت بر استفاده کلی از سیستم و دسترسی داخلی به آن را دارند و می توانند تحلیل کاملی از فعالیت های مشکوک احتمالی کاربران داخلی ارائه دهند.

طرح مستمر

گام بعد ایجاد یک طرح مستمر تجارت الکترونیک است که بطور شفاف تمام نقاط ضعف احتمالی، روشهای جلوگیری و مقابله با آنها و برنامه های محتمل برای ترمیم نفوذها و و تهدیدهای امنیتی است. بسیاری از شرکت ها تمایل دارند به خود بقبولانند که داشتن برنامه ضد ویروس و دیواره های آتش، برای حفاظت از سیستم هایشان کافی است. داشتن چنین نرم افزارهایی گام نخست خوبی است اما حتی با این وجود نیز سیستم های تجارت الکترونیک با نقاط ضعف زیر روبرو هستند:

آتش سوزی و انفجار،

خرابکاری عمدی در سخت افزار، نرم افزار و یا داده ها و اطلاعات،

دزدیده شدن نرم افزار و سخت افزار،

فقدان پرسنل کلیدی امنیت تجارت الکترونیک

فقدان برنامه های کاربردی

فقدان فناوری

فقدان ارتباطات

فقدان فروشندگان.

تهدیدها در هر یک از این حوزه ها باید به دقت ارزیابی و طرح های محتمل ترمیم باید با جزئیات کامل برای مقابله با هر کدام تهیه شود. علاوه بر این باید در طرح افراد مسئول مدیریت و تصحیح مشکلات بوجود آمده از این نقائص معین گردند. سپس، سازمان باید نرم افزارها و سخت افزارهایی که حفاظت از سیستم تجارت الکترونیک را برعهده دارند را، ارزیابی کند.درک اینکه فناوری های مورد استفاده باید مناسب نیازهای شرکت بوده و برای تمام تهدیدهای امنیتی احتمالی سطحی از محافظت را فراهم کنند از اهمیت بسزایی برخوردار است.

حوزه های بحرانی که با مورد توجه قرار گیرند عبارتند از : حساسیت داده ها و اطلاعات در دسترس، حجم ترافیک دسترسی و روشهای دسترسی.امنیت تجارت SSL (Secure Socket Layer) یا SET (Secure Electronic Transaction)الکترونیک مبتنی بر تکنولوژی باید با استفاده از الگوی امنیت شامل لایه های مختلف امنیتی باشد.هدف نهایی امنیت مبتنی بر فناوری باید فراهم کردن صحت، یکپارچگی، پنهان کردن و غیر قابل رد بودن موثر باشد.بسیاری از شرکت ها ،

در طول این مرحله ایجاد برنامه جامع امنیت تجارت الکترونیک از تجربه شرکت های دیگری که در زمینه ارزیابی سیستم های امنیتی مبتنی بر فناوری تخصص دارند، استفاده می کنند.

افراد

مهمترین مولفه هر برنامه امنیتی موثری افرادی هستند که آنرا اجرا و مدیریت می کنند.نقائص امنیتی بیش از آنگه ناشی از سیستم باشند، به وسیلهٔ افرادی که مدیریت سیستم را برعهده دارند و کاربران سیستم رخ می دهند.بیشتر مطالعات گذشته نشان داده اند تهدیدهای داخلی سیستم های تجارت الکترونیک اغلب بسیار مهمتر از تهدیدهای خارجی بوده اند.در بسیاری از موارد مجرمانی که در نفوذ به سیستم بوده اند یا دانش قبلی از سیستم داشته اند و یا شریک جرمی در داخل شرکت.مهمترین ابزاری که مدیریت برای کاهش تهدید داخلی در اختیار دارد آموزش کاربران داخلی سیستم و پرسنل مدیریت آن در مورد نتیجه اخلال در یکپارچگی و امنیت سیستم است.بسیاری از کاربران از این واقعیت که نفوذ به سیستم های اطلاعاتی جرم است و اخلالگران تحت پیگرد قانونی قرار می گیرند، اطلاع دارند.شرکت، با آگاهی دادن به کاربران و ترساندن آنها از عواقب این اعمال می تواند تا حد زیادی مانع آنها گردد.

راهبرد

ایجاد یک برنامه راهبردی موثر و بی عیب اهمیت بسیاری در امنیت تجارت الکترونیک دارد.چنین راهبردی باید شامل هدف کلی برنامه جامعه امنیت تجارت الکترونیک، اهداف جزئی و محدوده آن باشد.این راهبرد باید در راستای راهبرد تجاری کلی تجارت الکترونیک شرکت باشد.یکی از اهداف جزئی این راهبرد می تواند حفاظت کامل از تمامی منابع تجارت الکترونیک شرکت و فراهم کردن امکان ترمیم هر اخلال با حداکثر سرعت ممکن باشد.علاوه بر این این برنامه باید شامل منابع مورد نیاز برای پشتیبانی از اهداف جزئی و کلی در کنار قیود و محدودیت های برنامه راهبردی و همچنین حاوی منابع انسانی کلیدی، اجرای برنامه های امنیتی متفاوت در غالب بخشی از برنامه راهبردی باشد. ساختارهای مدیریتی و تصمیم سازان

مدیریت

موفقیت برنامه جامع امنیت تجارت الکترونیک در گروی مدیریت موثر چنین برنامه ای است.پشتیبانی مدیریت، از مدیران رده بالا شروع و در تمام سطوح ادامه می یابد.چنین برنامه ای در شرکت های بزرگ باید مستقیما بوسیله یک مدیر ارشد و در شرکت های متوسط و کوچکتر بوسیله رئیس یا صاحب آن شرکت اداره و نظارت گردد.مسئولیت اصلی مدیر برنامه به روز نگه داشتن کامل برنامه، اجرای برنامه های آن و ارزیابی مجدد برنامه های موجود است.

بخشی از فعالیت های چنین فردی آموختن راهکارهای عملی موثر در برنامه امنیتی سایر سازمانهاست که می تواند آنرا با مطالعه مقالات، کتب و مطالعات موردی منتشر شده بدست آورد.

مدرک CISSP

مدرک (Certified Information Systems Security Professional) مدرکی برای متخصصان امنیت است وکسب این مدرک مراحلی دارد . این مدرک مستقل از هر نوع سخت افزار و نرم افزار خاص یک شرکت است و به عنوان یک عنصر کلیدی در ارزشیابی داوطلبان کار در موسسات بزرگ و سیستم های Enterprise شناخته می شود. افرادی که صاحب این مدرک باشند می توانند برای پست مدیریت شبکه های کوچک و بزرگ اطلاعاتی خود را معرفی کنند.

در سال ۱۹۸۹، چند سازمان فعال در زمینهٔ امنیت اطلاعات کنسرسیومی را تحت نام ۲(ISC) بنا نهادند که هدف ان ارایهٔ استانداردهای حفاظت از اطلاعات و آموزش همراه با ارایهٔ مدرک مربوط به افراد آموزش دیده بود.

در سال ۱۹۹۲ کنسرسیوم مذکور اقدام به طرح مدرکی به نام CISSP نمود که هدف آن ایجاد یک سطح مهارت حرفه ای و عملی در زمینهٔ امنیت اطلاعات برای افراد علاقمند به آن بود.

اعتبار

این مدرک به دلیل این که بر خلاف سایر مدارک امنیتی، وابسته به محصولات هیچ شرکت خاصی نیست، قادر است به افراد متخصص امنیت، تبحر لازم را در طرح و پیاده سازی سیاست های کلان امنیتی اعطا نماید. اتخاذ تصمیمات اصلی و حیاتی برای برقراری امنیت، مسئله ای نیست که مدیران سطح بالای یک سازمان بزرگ آن را به عهدهٔ کارشناسان تازه کار یا حتی آنهایی که مدرک امنیت در پلتفرم کاری خاصی را دارند، بگذارند بلکه مهم آن است که این قبیل مسئولیت ها به اشخاصی که درک کامل و مستقلی از مسائل مربوط به مهندسی اجتماعی دارند و می توانند در جهت برقراری امنیت اطلاعات در یک سازمان به ارایه خط مشی ویژه و سیاست امنیت خاص کمک کننده سپرده شود .

برچسب‌ها: اطلاعات حساس, امنیت, امنیت وب, وب

+ نوشته شده در ساعت توسط هک.کارمند.مدیریت.رقابت.کنترل.امنیت.شرکت. |

امنیت اطلاعات یعنی حفاظت اطلاعات

تعریف امنیت اطلاعات

امنیت اطلاعات یعنی حفاظت اطلاعات و سیستم های اطلاعاتی از فعالیت های غیرمجاز. این فعالیت ها عبارتند از دسترسی، استفاده، افشاء، خواندن، نسخه برداری یا ضبط، خراب کردن، تغییر، دستکاری.

واژه های امنیت اطلاعات، امنیت کامپیوتری و اطلاعات مطمئن گاها به اشتباه به جای هم بکار برده می شود. اگر چه اینها موضوعات به هم مرتبط هستند و همگی دارای هدف مشترک حفظ محرمانگی اطلاعات، یکپارچه بودن اطلاعات و قابل دسترس بودن را دارند ولی تفاوت های ظریفی بین آنها وجود دارد. این تفاوت ها در درجه اول در رویکرد به موضوع امنیت اطلاعات، روش های استفاده شده برای حل مسئله، و موضوعاتی که تمرکز کرده اند دارد.

امنیت اطلاعات به محرمانگی، یکپارچگی و در دسترس بودن داده ها مربوط است بدون در نظر گرفتن فرم اطلاعات اعم از الکترونیکی، چاپ، و یا اشکال دیگر.

امنیت کامپیوتر در حصول اطمینان از در دسترس بودن و عملکرد صحیح سیستم کامپیوتری تمرکز دارد بدون نگرانی از اطلاعاتی که توسط این سیستم کامپیوتری ذخیره یا پردازش می شود.

دولت ها، مراکز نظامی، شرکت ها، موسسات مالی، بیمارستان ها، و مشاغل خصوصی مقدار زیادی اطلاعات محرمانه در مورد کارکنان، مشتریان، محصولات، تحقیقات، و وضعیت مالی گردآوری میکنند. بسیاری از این اطلاعات در حال حاضر بر روی کامپیوترهای الکترونیکی جمع آوری، پردازش و ذخیره و در شبکه به کامپیوترهای دیگر منتقل می شود.اگر اطلاعات محرمانه در مورد مشتریان و یا امور مالی یا محصول جدید موسسه ای به دست رقیب بیافتد، این درز اطلاعات ممکن است به خسارات مالی به کسب و کار، پیگرد قانونی و یا حتی ورشکستگی منجر شود. حفاظت از اطلاعات محرمانه یک نیاز تجاری، و در بسیاری از موارد نیز نیاز اخلاقی و قانونی است.

برای افراد، امنیت اطلاعات تاثیر معنی داری بر حریم خصوصی دارد. البته در فرهنگ های مختلف این مفهوم حریم خصوصی تعبیرهای متفاوتی دارد.

بحث امنیت اطلاعات در سال های اخیر به میزان قابل توجهی رشد کرده است و تکامل یافته است. راههای بسیاری برای ورود به این حوزه کاری به عنوان یک حرفه وجود دارد. موضوعات تخصصی گوناگونی وجود دارد از جمله: تامین امنیت شبکه (ها) و زیرساخت ها، تامین امنیت برنامه های کاربردی و پایگاه داده ها، تست امنیت، حسابرسی و بررسی سیستم های اطلاعاتی، برنامه ریزی تداوم تجارت و بررسی جرائم الکترونیکی، و غیره.

این مقاله یک دید کلی از امنیت اطلاعات و مفاهیم اصلی آن فراهم میکند.

تاریخچه

با رشد سریع و استفاده گسترده از پردازش الکترونیکی داده ها و کسب و کار الکترونیک از طریق اینترنت، همراه با ظهور بسیاری از خرابکاریهای بین المللی، نیاز به روش های بهتر حفاظت از رایانه ها و اطلاعات آنها ملموس گردید. رشته های دانشگاهی از قبیل امنیت کامپیوتری، امنیت اطلاعات و اطلاعات مطمئن همراه با سازمان های متعدد حرفه ای پدید آمدند. هدف مشترک این فعالیت ها و سازمانها حصول اطمینان از امنیت و قابلیت اطمینان از سیستم های اطلاعاتی است.

مفاهیم پایه

همانگونه که تعریف شد، امنیت اطلاعات یعنی حفظ محرمانگی، یکپارچه بودن و قابل دسترس بودن اطلاعات از افراد غیرمجاز. در اینجا مفاهیم سه گانه "محرمانگی"، "یکپارچه بودن" و "قابل دسترس بودن" توضیح داده میشود. در بین متخصصان این رشته بحث است که علاوه بر این ۳ مفهوم موارد دیگری هم را باید در نظر گرفت مثل "قابلیت حسابرسی"، "قابلیت عدم انکار انجام عمل" و "اصل بودن".

محرمانگی

محرمانگی یعنی جلوگیری از افشای اطلاعات به افراد غیر مجاز. به عنوان مثال، برای خرید با کارت های اعتباری بر روی اینترنت نیاز به ارسال شماره کارت اعتباری از خریدار به فروشنده و سپس به مرکز پردازش معامله است. در این مورد شماره کارت و دیگر اطلاعات مربوط به خریدار و کارت اعتباری او نباید در اختیار افراد غیرمجاز بیافتد و این اطلاعات باید محرمانه بماند. در این مورد برای محرمانه نگهداشتن اطلاعات، شماره کارت رمزنگاری میشود و در طی انتقال یا جاهایی که ممکن است ذخیره شود (در پایگاه های داده، فایل های ثبت وقایع سیستم، پشتیبان گیری، چاپ رسید، و غیره) رمز شده باقی میماند. همچنین دسترسی به اطلاعات و سیستم ها نیز محدود میشود. اگر فردی غیر مجاز به شماره کارت به هر نحوی دست یابد، نقض محرمانگی رخ داده است.

نقض محرمانگی ممکن است اشکال مختلف داشته باشد. مثلا اگر کسی از روی شانه شما اطلاعات محرمانه نمایش داده شده روی صفحه نمایش کامپیوتر شما را بخواند. یا فروش یا سرقت کامپیوتر لپ تاپ حاوی اطلاعات حساس. یا دادن اطلاعات محرمانه از طریق تلفن همه موارد نقض محرمانگی است.

یکپارچه بودن

یکپارچه بودن یعنی جلوگیری از تغییر داده ها بطور غیرمجاز و تشخیص تغییر در صورت دستکاری غیر مجاز

اطلاعات. یکپارچگی وقتی نقض میشود که اطلاعات در حین انتقال بصورت غیرمجاز تغییر داده میشود. سیستم های امنیت اطلاعات به طور معمول علاوه بر محرمانه بودن اطلاعات، یکپارچگی آنرا نیز تضمین میکنند.

قابل دسترس بودن

اطلاعات باید زمانی که مورد نیاز توسط افراد مجاز هستند در دسترس باشند. این بدان معنی است که باید از درست کار کردن و جلوگیری از اختلال در سیستم های ذخیره و پردازش اطلاعات و کانال های ارتباطی مورد استفاده برای دسترسی به اطلاعات اطمینان حاصل کرد. سیستم های با دسترسی بالا در همه حال حتی به علت قطع برق، خرابی سخت افزار، و ارتقاء سیستم در دسترس باقی می ماند. یک از راههای از دسترس خارج کردن اطلاعات و سیستم اطلاعاتی درخواست بیش از طریق خدمات از سیستم اطلاعاتی است که در این حالت چون سیستم توانایی و ظرفیت چنین حجم انبوده خدمات دهی را ندارد از سرویس دادن بطور کامل یا جزیی عاجز میماند.

قابلیت حسابرسی

در بسیاری موارد، باید امکانی در سیستم اطلاعاتی تعبیه شود تا بتوان انجام دهنده عملی روی اطلاعات را

حسابرسی کرد. مثلا با ثبت دسترسی افراد میتوان فرد یا افرادی که به اطلاعات دست یافته اند را حسابرسی کرد.

قابلیت عدم انکار انجام عمل

در انتقال اطلاعات و یا انجام عملی روی اطلاعات، گیرنده یا فرستنده و یا عمل کننده روی اطلاعات نباید قادر به انکار عمل خود باشد. مثلا فرستنده یا گیرنده نتواند ارسال یا دریافت پیامی را انکار کند.

اصل بودن

در بسیاری از موارد باید از اصل بودن و درست بودن اطلاعات ارسالی و نیز فرستنده و گیرنده اطلاعات اطمینان حاصل کرد. در بعضی موارد ممکن است اطلاعات رمز شده باشد و دستکاری هم نشده باشد و به خوبی به دست گیرنده برسد ولی ممکن است اطلاعات غلط باشد و یا از گیرنده اصلی نباشد. در این حالت اگر چه محرمانگی، یکپارچگی و در دسترس بودن رعایت شده ولی اصل بودن اطلاعات مهم است.

کنترل دسترسی

برای حراست از اطلاعات، باید دسترسی به اطلاعات کنترل شود. افراد مجاز باید و افراد غیرمجاز نباید توانایی دسترسی داشته باشند. بدین منظور روش ها و تکنیک های کنترل دسترسی ایجاد شده اند که در اینجا توضیح داده میشوند.

دسترسی به اطلاعات حفاظت شده باید محدود باشد به افراد، برنامه های کامپیوتری، فرآیندها و سیستم هایی که مجاز به دسترسی به اطلاعات هستند. این مستلزم وجود مکانیزم های برای کنترل دسترسی به اطلاعات حفاظت شده می باشد. پیچیدگی مکانیزم های کنترل دسترسی باید مطابق با ارزش اطلاعات مورد حفاظت باشد. اطلاعات حساس تر و با ارزش تر نیاز به مکانیزم کنترل دسترسی قوی تری دارند. اساس مکانیزم های کنترل دسترسی بر دو مقوله احراز هویت و تصدیق هویت است.

احراز هویت تشخیص هویت کسی یا چیزی است. این هویت ممکن است توسط فرد ادعا شود و یا ما خود تشخیص دهیم. اگر یک فرد میگوید "سلام، نام من علی است" این یک ادعا است. اما این ادعا ممکن است درست یا غلط باشد. قبل از اینکه به علی اجازه دسترسی به اطلاعات حفاظت شده داده شود ضروری است که هویت این فرد بررسی شود که او چه کسی است و آیا همانی است که ادعا میکند.

تصدیق هویت عمل تایید هویت است. زمانی که "علی" به بانک میرود تا پول برداشت کند، او به کارمند بانک می گوید که او "علی" است (این ادعای هویت است). کارمند بانک کارت شناسایی عکس دار تقاضا میکند، و "علی" ممکن است گواهینامه رانندگی خود را ارئه دهد. کارمند بانک عکس روی کارت شناسایی با چهره "علی" مطابقت میدهد تا مطمئن شود که فرد ادعا کننده "علی" است. اگر عکس و نام فرد با آنچه ادعا شده مطابقت دارند تصدیق هویت انجام شده است.

از سه نوع اطلاعات می توان برای احراز و تصدیق هویت فردی استفاده کرد: چیزی که فرد می داند، چیزی که فرد دارد، و یا کسی که فرد هست. نمونه هایی از چیزی که می داند شامل مواردی از قبیل کد، رمز عبور، و یا نام فامیل قبل از ازدواج مادر فرد باشد. نمونه هایی از چیزی که دارد شامل گواهینامه رانندگی یا کارت مغناطیسی بانک است. کسی که هست اشاره به تکنیک های بیومتریک هستند. نمونه هایی از بیومتریک شامل اثر انگشت، اثر کف دست، صدا و اسکن شبکیه چشم هستند. احراز و تصدیق هویت قوی نیاز به ارائه دو نوع از این سه نوع مختلف از اطلاعات است. به عنوان مثال، چیزی که فرد می داند به علاوه آنچه دارد یعنی مثلا ورود رمز عبور علاوه بر نشان دادن کارت مخصوص بانک. این تکنیک را احراز و تصدیق هویت دو عامله گویند که قوی تر از یک عامله (فقط کنترل کلمه عبور) است.

در سیستم های کامپیوتری امروزی، نام کاربری رایج ترین شکل احراز و رمز عبور رایج ترین شکل تصدیق هویت است. نام کاربری و کلمه عبور به اندازه کافی به امنیت اطلاعات خدمت کرده اند اما در دنیای مدرن با سیستم های پیچیده تر از گذشته، دیگر کافی نمی باشند. نام کاربری و کلمه عبور به تدریج با روش های پیچیده تری جایگزین میشوند.

پس از آنکه فرد، برنامه یا کامپیوتر با موفقیت احراز و تصدیق هویت شد سپس باید تعیین کرد که او به چه منابع اطلاعاتی و چه اقداماتی روی آنها مجاز به انجام است (اجرا، نمایش، ایجاد، حذف، یا تغییر). این عمل را صدور مجوز گویند.

صدور مجوز برای دسترسی به اطلاعات و خدمات کامپیوتری با برقراری سیاست و روش های مدیریتی آغاز می شود. سیاست دسترسی تبیین میکند که چه اطلاعات و خدمات کامپیوتری می تواند توسط چه کسی و تحت چه شرایطی دسترسی شود. مکانیسم های کنترل دسترسی سپس برای به اجرا درآوردن این سیاست ها نصب و تنظیم میشوند.

رویکردهای کنترل دسترسی مختلفی وجود دارند. سه رویکرد شناخته شده وجود دارند که عبارتند از: رویکرد صلاحدیدی، غیرصلاحدیدی و اجباری. در رویکرد صلاحدیدی خالق یا صاحب منابع اطلاعات قابلیت دسترسی به این منابع را تعیین میکند. رویکرد غیر صلاحدیدی تمام کنترل دسترسی متمرکز است و به صلاحدید افراد نیست. در روش اجباری، دسترسی به اطلاعات و یا محروم کردن بسته به طبقه بندی اطلاعات و رتبه فرد خواهان دسترسی دارد.

کنترل امنیت اطلاعات

کنترل امنیت به اقداماتی گفته میشود که منجر به حفاظت، مقابله، پیشگیری و یا به حداقل رساندن خطرات امنیتی است. این اقدامات را میتوان به سه دسته تقسیم کرد.

مدیریتی

کنترل مدیریتی ( کنترل رویه ها) عبارتند از سیاست ها، رویه ها، استانداردها و رهنمودهای مکتوب که توسط مراجع مسئول تایید شده است. کنترل های مدیریتی چارچوب روند امن کسب و کار و مدیریت افراد را تشکیل میدهد. این کنترل ها به افراد نحوه امن و مطمئن انجام کسب و کار را میگویند و نیز چگونه روال روزانه عملیات ها هدایت شود. قوانین و مقررات ایجاد شده توسط نهادهای دولتی یک نوع از کنترل مدیریتی محسوب میشوند چون به شرکت ها و سازمانها نحوه امن کسب و کار را بیان میکنند. برخی از صنایع سیاست ها، رویه ها، استانداردها و دستورالعمل های مختص خود دارند که باید دنبال کنند مثل استاندارد امنیت داده های صنعت کارتهای پرداخت (PCI-DSS) مورد نیاز ویزا و مستر کارت. نمونه های دیگر از کنترل ها مدیریتی عبارتند از سیاست امنیتی شرکت های بزرگ، سیاست مدیریت رمز عبور، سیاست استخدام، و سیاست های انضباطی. کنترل های مدیریتی پایه ای برای انتخاب و پیاده سازی کنترل های منطقی و فیزیکی است. کنترل های منطقی و فیزیکی پیاده سازی و ابزاری برای اعمال کنترل های مدیریتی هستند.

منطقی

کنترل منطقی (کنترل فنی) استفاده از نرم افزار، سخت افزار و داده ها است برای نظارت و کنترل دسترسی به اطلاعات و سیستم های کامپیوتری. به عنوان مثال : کلمه عبور، فایروال ها ی شبکه و ایستگاههای کاری، سیستم های تشخیص نفوذ به شبکه، لیست های کنترل دسترسی و رمزنگاری داده ها نمونه هایی از کنترل منطقی می باشند.

فیزیکی

کنترل فیزیکی برای حفاظت و کنترل محیط کار و تجهیزات کامپیوتری و نحوه دسترسی به آنها است که جنبه فیزیکی دارند. به عنوان مثال: درب، قفل، گرمایش و تهویه مطبوع، آژیر دود و آتش، سیستم دفع آتش سوزی، دوربین ها مداربسته، موانع، حصارکشی، نیروی های محافظ و غیره.

رمزنگاری

در امنیت اطلاعات از رمزنگاری استفاده میشود تا اطلاعات به فرمی تبدیل شود که به غیر از کاربر مجاز کس دیگری نتواند از آن اطلاعات استفاده کند حتی اگر به آن اطلاعات دسترسی داشته باشد. اطلاعاتی که رمزگذاری شده تنها توسط کاربر مجازی که کلید رمز نگاری را دارد میتواند دوباره به فرم اولیه تبدیل شود(از طریق فرایند رمزگشایی). رمزنگاری برای حفاظت اطلاعات در حال انتقال (اعم از الکترونیکی و یا فیزیکی) و یا ذخیره شده است. رمزنگاری امکانات خوبی برای امنیت اطلاعات فراهم می کند از جمله روش های بهبود یافته تصدیق هویت، فشرده سازی پیام، امضاهای دیجیتالی، قابلیت عدم انکار و ارتباطات شبکه رمزگذاری شده.

رمزنگاری اگر درست پیاده سازی نشود می تواند مشکلات امنیتی در پی داشته باشد. راه حل های رمز نگاری باید با استفاده از استانداردهای پذیرفته شده که توسط کارشناسان مستقل و خبره بررسی دقیق شده انجام گیرد. همچنین طول و قدرت کلید استفاده شده در رمزنگاری بسیار مهم است. کلیدی ضعیف یا خیلی کوتاه منجر به رمزگذاری ضعیف خواهد شد. مدیریت کلید رمزنگاری موضوع مهمی است.

به دنبال روشی برای مدیریت امنیت اطلاعات

به دنبال جست وجوی روشی به جز شیوه های سنتی امنیت شبکهٔ IT شرکت آی بی ام و چند شرکت و سازمان IT شورای جدید حفاظت از اطلاعات را احداث کرده اند. هدف از این کار ایجاد روش هایی برای مقابله با هکرها و دیگر راه های دسترسی غیرقانونی به اطلاعات است. شرکت IBM در گزارشی اعلام کرد که این شورا برای تنظیم طرحی نوین برای محافظت و کنترل در اطلاعات شخصی و سازمانی افراد همهٔ تلاش خود را به کار خواهد گرفت. استوارت مک ایروین، مدیر بخش امنیت اطلاعات مشتری IBM می گوید: "بیش تر شرکت ها و همین طور افراد حقیقی کنترل و امنیت اطلاعات خود را به عنوان مسئله ای فرعی در نظر می گیرند و در کنار دیگر فعالیت های خود به آن می پردازند." به عقیدهٔ اعضای این شورا کنترل و نظارت بر اطلاعات به این معناست که چه گونه یک شرکت در کنار ایجاد امکان بهره برداری از اطلاعات مجاز، محدودیت هایی را برای دست رسی و محافظت از بخش های مخفی تدارک می بیند. اعضای این شورا برآن اند تا تعریفی جدید از مدیرت کنترل اطلاعات و سیاست های مربوط به آن ارایه دهند. هم چنین پیش بینی شده است که این راهکارها بخش مهمی را در زیربنای سیاست های IT داشته باشد. مک آروین می گوید: "ایدهٔ اولیهٔ تشکیل این شورا در جلسات سه ماه یک بار و غیررسمی شرکت IBM با مشتریان و برخی شرکا شکل گرفت. ما با افرادی گفت وگو می کردیم که با مشکلات ناامنی اطلاعات به شکل عینی روبه رو بودند. برای شرکت IBM و شرکای تجاری آن مشارکت مشتریان عاملی موثر در اصلاح و هماهنگی نرم افزارهای امنیتی موجود و طراحی نرم افزارهای جدید است. ما سعی می کنیم ابزارهای امنیتی IBM را با نیازهای مشتری آشتی دهیم. بسیاری از مشتریان شرکت که اکنون اعضای فعال این شورا را تشکیل داده اند، خود طرح پروژه های جدید برای کنترل خروج اطلاعات و مدیریت آن را تنظیم کرده اند. آن ها داوطلب شده اند که برای اولین بار این روش ها را در مورد اطلاعات شخصی خود به کار گیرند. بدیهی است شرایط واقعی در مقایسه با وضعیت آزمایشی نتیجهٔ بهتری دارد. رابرت گاریگ، مدیر ارشد بخش امنیتی بانک مونترآل و یکی از اعضای شورا، معتقد است اکنون زمان آن رسیده که شرکت ها روش های جدیدی را برای کنترل اطلاعات مشتریان خود به کار بگیرند او می گوید: "من فکر می کنم اکنون زمان مدیریت کنترل اطلاعات فرارسیده است." پیش از این بخش IT تمام حواس خود را بر حفاظت از شبکه ها متمرکز کرده بود، اما اکنون اطلاعات به عنوان بخشی مستقل به محدودیت هایی برای دستیابی و هم چنین روش های مدیریتی نوین نیازمند است. این حوزه به کوششی چشمگیر نیازمند است. شرکت ها هر روز بیش از پیش با سرقت اطلاعات روبه رو هستند. هدف اصلی شورا ایجاد مدیریتی هوشمند و بی واسطه است . مسائل مورد توجه این شورا به ترتیب اهمیت عبارت اند از: "امنیت، حریم خصوصی افراد، پذیرش قوانین و برطرف کردن سوء تعبیرهایی که در مورد IT و وظایف آن وجود دارد." به نظر این شورا مشکل اصلی ناهماهنگی برنامه های بخش IT با فعالیت های شرکت و بی توجهی به ادغام این راهکارهاست. شرکت آمریکن اکسپرس و بانک جهانی، دانشگاه ایالتی کارولینای شمالی و ... از اعضای این شورا هستند

برنامه جامع امنیت تجارت الکترونیک

با وجود تمام مزایایی که تجارت الکترونیک بهمراه دارد، انجام تراکنش ها و ارتباطات آنلاین محملی بزرگتر برای سوء استفاده از فناوری و حتی اعمال مجرمانه فراهم می کند. این مشکلات تنها مختص تجارت الکترونیک نیست و بخشی از مشکلات گسترده ایست که در سراسر جهان گریبانگیر سیستم های اطلاعاتی و کامپیوتری هستند. هر ساله سازمان های بسیاری هدف جرائم مرتبط با امنیت اطلاعات، از حملات ویروسی گرفته تا کلاه برداری های تجاری از قبیل سرقت اطلاعات حساس تجاری و اطلاعات محرمانه کارت های اعتباری، قرار می گیرند. چنین حملات امنیتی موجب میلیون ها دلار ضرر و اخلال در فعالیت شرکت ها می شوند. بسیاری از گزارشگران و مشاوران هزینه خسارات مرتبط با نقائص امنیتی را تا میلیاردها دلار برآورد کرده اند. با اینحال آنچه مهمتر از صحت میزان این خسارات است، این واقعیت است که با افزایش کاربران سیستم های اطلاعاتی، دسترسی آسان به اطلاعات و رشد فزاینده کاربران مطلع (فنی) می توان به راحتی فرض کرد که تعداد این سوء استفاده ها از فناوری و تهدیدهای امنیتی نیز به همین نسبت افزایش یابد. متاسفانه، از آنجا که بسیاری از شرکت ها دوست ندارند نفوذ به سیستمشان را تایید و اطلاعاتشان در مورد این نفوذها و وسعت آنها را با دیگران به اشتراک بگذارند، میزان دقیق خساراتی که شرکت ها از جرائم مرتبط با امنیت متحمل شده اند، را نمی توان بدست آورد. بی میلی به ارائه اطلاعات مربوط به نقائص امنیتی، از این ترس معمول ناشی می می شود که اطلاع عموم از چنین نقائصی باعث بی اعتمادی مشتریان نسبت به توانایی شرکت در حفظ داراییهای خود می شود و شرکت با این کار مشریان خود و در نتیجه سوددهی اش را از دست خواهد داد. از آنجایی که مصرف کنندگان امروزی نسبت به ارائه آن لاین اطلاعات مالی بی اعتماد اند، شرکت ها با تایید داوطلبانه این واقعیت که قربانی جرائم مرتبط با امنیت شده اند، چیزی بدست نمی آورند. با هیجانات رسانه ای که امروزه دور و بر اینترنت و قابلیت های آن وجود دارد، حفظ یک تصویر مثبت از امنیت تجارت الکترونیک در اذهان، دغدغه شماره یک بسیاری از شرکت ها است و برای بقاء و باقی ماندن در رقابت کاملا ضروری است. نبود اطلاعات دست اول از موارد واقعی برنامه ریزی و مقابله با تهدیدهای امنیتی را بسیار مشکلتر کرده است اما با این وجود هم فناوری ها و روشهای امنیت اطلاعات و فنون کلی مدیریتی در برنامه ریزی و حفاظت از منابع فناوری اطلاعات سازمان، در یک دهه گذشته پیشرفت قابل توجهی داشته اند. اکنون خبرگانی هستند که در حوزه امنیت سایبر تخصص پیدا کرده اند و راهکارهای زیادی برای حفاظت از فناوری های تجارت الکترونیک از مجرمین بالقوه فضای سایبر دارند. بسیاری از شرکت ها دریافته اند که برای موفقیت در تجارت الکترونیک، علاوه بر روشهای امنیتی که برای حفاظت از منابع فناوری اطلاعات طراحی شده اند، نیازمند سرمایه گذاری و برنامه ریزی برای ایجاد یک برنامه جامع امنیت هستند تا بدان طریق از داراییهایشان در اینترنت محافظت و از نفوذ مجرمین به سیستم هایشان که موجب خسارت دیدن فعالیت های تجارت الکترونیک آنها می شود جلوگیری کنند. برنامه جامع امنیت تجارت الکترونیک شامل برنامه های حفاظتی که از فناوری های موجود (نرم افزار و سخت افزار)، افراد، برنامه ریزی راهبردی استفاده می کنند و برنامه های مدیریتی که برای حفاظت از منابع و عملیات تجارت الکترونیک شرکت طراحی و اجرا می شوند، است.چنین برنامه ای برای بقاء کلی فعالیت های تجارت الکترونیک شرکت حیاتی است و سازمان باید آنرا به عنوان مولفه ای اساسی در راهبرد تجارت الکترونیک موفق به حساب آورد.موفقیت چنین برنامه هایی به حمایت کامل مدیران رده بالا و مشارکت کامل بخش فناوری اطلاعات و مدیریت در جهت درک تاثیر گذاری و محدودیت های برنامه است.علاوه بر این برای اطمینان از بروز بودن این برنامه و ابزارهای آن و هماهنگی با آخرین فناوری ها و فنون مدیریت، باید آن را بطور مداوم مورد ارزیابی و سنجش قرار داد.

برچسب‌ها: دسترسی, ستفاده, افشاء, خواندن

+ نوشته شده در ساعت توسط هک.کارمند.مدیریت.رقابت.کنترل.امنیت.شرکت. |

ساختار سازمانهای اطلاعاتی و امنیتی سوریه

سوریه دارای چهار سرویس اطلاعاتی عمده می باشد که بطور مستقیم و تحت نظارت رئیس جمهور این کشور فعالیت می کنند . فعالیت این سازمانها کاملا مستقل از یکدیگر و محرمانه می باشد به نحوی که هیچ یک از این چهار سرویس اطلاعاتی اجازه دسترسی به اطلاعات و هویت افراد سرویس های دیگر را ندارند . روسای سرویسهای چهارگانه مستقیما به شخص رئیس جمهور (بشار اسد) گزارش می دهند و وفاداری و پایبندی بی چون و چرا و یکسانی نسبت به اسد دارند .

این سازمانهای چهارگانه عبارتند از :

سازمان امنیت سیاسی

سازمانهای امنیت عمومی

اداره اطلاعات نظامی

سازمان اطلاعات نیروی هوایی

الف- سازمان امنیت سیاسی

این سازمان مسئول شناسایی و پیگیری نشانه هایی از فعالیت سیاسی سازمان یافته ای است که علیه منافع رژیم فعالیت می کنند و شامل نظارت و کنترل بر مخالفان سیاسی مظنون همینطور فعالیتهای خارجیانی است که در این کشور سکونت دارند و با افراد محلی در تعامل هستند . فرمانده این سازمان بر عهده سر لشکر ‌«عدنان بدر حسن»adnan badr hasan (یک شیعه علوی از حمص homs ) است و از سال 1978 عهده دار این پست گردیده است .

ب- سازمانهای امنیت عمومی

سازمانهای امنیت عمومی ، سرویس اطلاعاتی غیر نظامی عمده در این کشور است که به سه شعبه تقسیم می شود:

1- دایره امنیت داخلی که مسئول نظارت داخلی بر مردم است (مسئولیتی که دقیقا مکمل مسئولیت سازمان اطلاعات و امنیت سیاسی است .) رئیس کنونی اداره ملی «بهجت سلیمان » می باشد که قبل بر این از مشاوران سیاسی بشار اسد بود و سال گذشته به این سمت گمارده شد.

2- دایره امنیت خارجی که فعالیتش معادل کار سازمان سیا است . در حال حاضر بدرستی روشن نیست که چه کسی ریاست دایره امنیت خارجی را بر عهده دارد ولی بنا به اطلاعات منتشر شده در بولتن اطلاعاتی خاورمیانه ، ژنرال قاضی (غازی) کنعان ، رئیس سابق اطلاعات نظامی سوریه در لبنان ، این پست را اشغال کرده است .

3- بخش فلسطینی که بر فعالیتهای گروههای فلسطینی در سوریه و لبنان نظارت می کند . رئیس این بخش طبق آخرین گزارش «هشام بختیار» بود. اما این اطلاعات مربوط به دو سال گذشته است . تعیین کردن قطعی کسانی که این پست ها را بدست آورده اند مشکل است چرا که این تقسیم بندیها بندرت در مطبوعات سوریه به چاپ می رسد .رئیس سازمان امنیت عمومی ،سرلشکر «علی حوری» عضو فرقه اسماعلیه است.

نکته قابل توجه اینکه تا انتصاب حوری در سال گذشته ، همیشه این سمت از آن یکی از اعضای جامعه مسلمانان سنی بود . رئیس پیشین سازمان امنیت عمومی ، سرتیپ «بشیر النجار» از مسلمانان سنی بود که به اتهام رشوه خواری و فساد اداری از کار بر کنار و زندانی گردید. جانشین رئیس سازمان امنیت عمومی «محمد ناصف» افسر نظامی بازنشسته و رئیس فرقه «علوی خیر بک » می باشد . وی در ارتباط با ایران و مبارزان شیعی لبنان در جنوب این کشور ، شخصیت میانه روی داشت و در گذشته رئیس دایره امنیتی سازمان امنیت عمومی بود.

ج- اداره اطلاعات نظامی

اداره اطلاعات نظامی سوریه که (دفتر مرکزی آن در مجموعه وزارت دفاع در دمشق است )رسما مسئولیت حوزه عملیات نظارت و کنترل نظامی ، برنامه ریزی و ...را دارد .بطور کلی کار پشتیبانی لجستیکی و نظامی گروههای تندرو ترکیه ، فلسطین و لبنان و عملیات نظارت بر و (اغلب حذف) ناراضیان و مخالفان سیاسی در خارج از کشور را بر عهده دارد. رئیس کنونی سرویس اطلاعات نظامی ، ژنرال «حسن خلیل » (شصت و سه ساله) است که پنج ماه پیش به منظور جایگزینی «علی دوباء خلیل» (یک شیعه علوی از لاذقیه)منصوب شد. وی از سال 1993 بعنوان معاون «دوبا» انجام وظیفه می کرد.

با این حال ، بولتن اطلاعاتی خاورمیانه از منابع آگاه پی برده است که سیاستمدار و تصمیم گیرنده اصلی این پست «حسن خلیل » نیست، بلکه ژنرال «آصف شوکت» جانشین رئیس سرویس اطلاعات نظامی است که به تازگی به این سمت گمارده شده است . شوکت یک شیعه علوی و همسر «بشری» خواهر بزرگتر بشار اسد است.

د- سازمان اطلاعات نیروی هوایی

به رغم نام این سازمان ، وظیفه اصلی آن گردآوری اطلاعات برای نیروی هوایی نیست ، بلکه باید این سازمان را یکی از محرمانه ترین و مخوف ترین سرویسهای اطلاعاتی سوریه دانست . سابقه این سازمان به دهه 70 باز می گردد، یعنی پس از آنکه حافظ اسد رئیس جمهور فقید سوریه در سال 1970 قدرت را به دست گرفت .وی به این سرویس اطلاعاتی با هدف انجام عملیاتهای حساس داخلی و بین المللی روی آورد . حدود سی سال فرماندهی این سرویس را سرلشکر «محمد الخولی»بر عهده داشت ، مشاور امین و قابل اعتمادی که دفترش در مجاورت دفتر اسد در کاخ ریاست جمهوری بود . بطور کلی فعالیتهای سازمان اطلاعات نیروی هوایی در دو سطح خلاصه می شود:

1-سطح داخلی : در این سطح اطلاعات نیروی هوایی سوریه اغلب عملیاتهای بر ضد عناصر اپوزیسیون اسلام گرا در این کشور را به پیش برده است و نقش مهمی در سرکوب قیام اخوان المسلمین در دهه 1970 و اوایل دهه 1980 بازی کرد . به تازگی عوامل اطلاعاتی نیروی هوایی جستجویی گسترده از اعضای حزب آزادیبخش اسلامی (حزب التحریر )در دسامبر 1999 بعمل آوردند .

2- سطح خارجی : در سطح خارجی عوامل این سازمان بیشتر در خارج و در سفارتخانه های سوریه و دفاتر شرکتهای هواپیمایی ملی سوریه مستقر هستند و کانون پشتیبانی اطلاعاتی و مالی گروه های سیاسی همسو با خود در کشورهای خارجی محسوب می شوند . عملیات بمب گذاری نافرجام در یک هواپیمای مسافربری اسرائیلی در فرودگاه Heathrow لندن در آوریل 1986 به این سازمان نسبت داده شد و متعاقب آن حکم دادگاه بین المللی بر علیه « هیثم سعید » جانشین رئیس اطلاعات نیروی هوایی صادر شد و بریتانیا روابط دیپلماتیک خود را با سوریه قطع کرد. البته چهار سال بعد ، زمانی که سوریه به ائتلاف متحد علیه عراق پیوسته بود ، این روابط برقرار گردید.

ژنرال «ابراهیم هوئیجی» رئیس سازمان اطلاعات نیروی هوایی ، یک شیعه علوی از قبیله «حدادین» بود که بعدها به عضویت کمیته مرکزی حزب بعث نیز برگزیده شد.رویکرد چند ماهه اخیر بشار اسد در خصوص انجام برخی اصلاحات سیاسی و اقتصادی در کشور ، مقاومت برخی از مقامات نظامی و امنیتی سوریه را بر انگیخته است از همین رو شاهد برخی تغییر و تحولات در سطوح عالی و امنیتی و نظامی هستیم . تحلیل گران مسائل نظامی و امنیتی سوریه معتقدند که تزریق خون ساده به دستگاه امنیتی سوریه به نحوی شگفت انگیز ، افق ها و آرزوهای دستیابی به آزادیهای سیاسی و اقتصادی در دراز مدت را افزایش داده است . هواداران اسد می گویند ، بشار اسد آرام آرام در صدد کاستن قدرت دستگاههای امنیتی و سپردن آنان به غیر نظامیان است . امری که بخش قابل توجه آن متاثر از تنش های خاورمیانه و فشارهای بین المللی بر سوریه می باشد .

ژنرال حکمت شهابی و علی اصلان از روسای پی در پی بسیار پر سابقه ستاد ارتش سوریه ، مصطفی تلاس وزیر دفاع ، سر لشکر حسن خلیل ، رئیس سازمان اطلاعات نظامی ، ژنرال ابراهیم هوئیجی ، رئیس سازمان اطلاعات نیروی هوایی وژنرال علی حمود ، رئیس سازمان اطلاعات عمومی ، نمونه هایی از چندین شخصیت نظامی و امنیتی سطح بالای سوریه هستند که در ماههای اخیر از مناصب خود بر کنار و یا جا به جا گردیده اند .

ارتباط ارتش با سازمانهای اطلاعاتی و امنیتی سوریه

همانطور که در بخش های قبلی گذشت پس از سال 1970 و به قدرت رسیدن حافظ اسد به عنوان رئیس جمهور و رئیس حزب بعث ، این حزب همواره حزب حاکم ، بلا معارض و تصمیم گیرنده اطلاعات سیاسی ، اقتصادی ،نظامی و امنیتی بوده است . بر اساس قانون اساسی سوریه مسئولیت و فرماندهی سرویسهای اطلاعاتی و ارتش به عهده رئیس جمهور که رهبری حزب بعث سوسیالیست عربی را نیز به عهده دارد، می باشد. از همین رو همواره مسئولین امنیتی و اطلاعاتی سوریه عمدتاً نظامیان طراز اول و معتمد رئیس حزب بعث (رئیس جمهور ) بوده اند. به عبارتی می توان گفت که تشکیلات نظامی و امنیتی بالاترین مقامات و مسئولین سوری را در بر می گیرد و حلقه های حلزونی خاص آن تا سطوح پائین و در همه جا دیده می شود.

حافظ اسد رئیس جمهور فقید سوریه ، به منظور تحکیم موقعیت شخصی خویش ، نظامیانی را که حامی وی بوده و واجد خصوصیات وفاداری و اطاعت محض بوده اند در راس مشاغل مهم اطلاعاتی ، امنیتی و نظامی منصوب کرده است. بدین ترتیب مقامات علیرتبه نظامی و امنیتی سوریه متعلق به اعضای گروه افسران طرفدار اسد می باشد و این روند پس از فوت وی کماکان با یکسری تغییرات صوری ادامه یافته است.

مراکز متعدد اطلاعاتی و امنیتی سوریه در آن حد که مطبوعات عربی و بولتن اطلاعاتی خاورمیانه به آنها پرداخته اند نشان می دهد که نمی توان سازمانهای اطلاعاتی و امنیتی سوریه را مجزای از ارتش و حزب بعث مورد مطالعه قرار داد.

تعداد این دستگاهها به حدی است که گاه و بی گاه رقابت میان آنها را سبب می شود. به این معنی که روسای این دستگاهها برای کسب محبوبیت بیشتر نزد فرمانده کل خود و یا بدست آوردن قدرت بیشتر ممکن است دست به عملیاتهایی بزنند که خارج از حوزه وظایف آنها و یا افراط در انجام وظیفه محسوب می شود.

برچسب‌ها: اطلاعات حساس, امنیت, امنیت وب, وب

+ نوشته شده در ساعت توسط هک.کارمند.مدیریت.رقابت.کنترل.امنیت.شرکت. |

سیستم تشخیص اثر انگشت

در دنیای امروز هیچ چیز ارزشمندتر از اطلاعات نیست. این اطلاعات گاهی بسیار با اهمیت بوده و حفاظت از آنها کاری است که همواره مورد توجه می باشد. بنابراین باید به نحوی هویت افرادی که به این اطلاعات دسترسی دارند را تعیین نمود.

در روش های سنتی جهت تعیین هویت افراد از اطلاعاتی که فرد در اختیار داشت ، مانند کلمه رمز و یا شماره شناسایی استفاده می شد ؛ این رو ش ها در عین ساده و کم هزینه بودن ، معایبی چون امکان دزدیده شدن ، فراموش شدن و ... را نیز داشتند. در واقع در این روش ها سیستم قادر نبود تا بین فرد واقعی و فرد نفوذ کننده تمایز قایل شود ؛ بنابراین می توان نتیجه گرفت که سیستم های سنتی از امنیت کافی برای جامعه الکترونیکی امروزی ما برخوردار نیستند.

اما با توجه به اینکه تعیین هویت قطعی افراد در مبادله اطلاعات یک عنصر حیاتی در ایمنی داده هاست ، باید از روش های دیگری برای تعیین هویت افراد استفاده کرد. یکی از پایه های خودکار سازی تعیین هویت افراد ، شناسایی انسان ها بر اساس ویژگی های بیومتریکی آنها مانند چهره ، الگوهای گفتاری ، اثر انگشت و ... است. در این میان استفاده از اثر انگشت رواج بیشتری دارد. بزرگترین دلیل استفاده گسترده و عمومی از اثر انگشت بعنوان ابزار تعیین هویت این است که اثر انگشت افراد منحصر به فرد است و در طول عمر فرد تغییر نمی کند ، بنابراین می توان از آن به عنوان یک امضا و یا ابزار تشخیص هویت استفاده کرد.

البته این نکته را نیز نباید فراموش کرد که مشکلات عملی زیادی در سیستم های شناسایی اثر انگشت وجود دارد. از جمله اینکه هر دفعه که یک اثر انگشت گرفته می شود ممکن است بخاطر قابلیت کشساتی پوست ، تحریفاتی در شکل و محل اثر انگشت ایجاد شود.

عملیات تشخیص اثر انگشت مستلزم بررسی دقیق و جزء به جزء تمامی پستی و بلندی ها و شیارهای اثر انگشت است. سیستم های تشخیص اثر انگشت با انجام عملیات پردازشی (که ترکیبی از الگوریتم های پیچیده پردازش تصویر می باشند) بر روی الگوهای اثر انگشت افرادی که مایل به دسترسی به اطلاعات هستند ، دسترسی های مجاز را کنترل می کنند.

اولین گام در تشخیص هویت بر اساس اثر انگشت ، نمونه برداری تصویری از اثر انگشت است. با این کار مشخصات نقاط مینوشیا (minutiae) - نقاطی که در آنها خطوط ریز انگشت با هم تلاقی داشته اند ، انشعاب داشته اند و یا پایان یافته اند - از تصویر اثر انگشت گرفته می شود. حال برای بررسی و انجام عملیات تشخیص هویت باید از مجموعه ای از الگوریتم ها برای مشخص کردن ویژگی های خاص این اثر انگشت استفاده شود. این ویژگی ها هر انگشت را به صورت منحصر بفرد در بانک اطلاعاتی ذخیره می کند و آن را از دیگر اثر انگشت های ثبت شده متمایز می سازد.

الگوریتم تشخیص اثر انگشت VeriFinger از طرح ها و رویه های پذیرفته شده و رایج تعیین هویت اثر انگشت پیروی می کند که از مجموعه ای از نقاط minutiae استفاده می کنند. این الگوریتم راه حل های الگوریتمی خاصی دارد که قابلیت اطمینان و عملکرد سیستم را بالا می برند.

VeriFinger می تواند از ورودی های بانک اطلاعاتی که بر اساس یکسری خصوصیات کلی خاص از قبل مرتب شده اند ، استفاده کند . تطبیق اثر انگشت در ابتدا بر اساس ورودی هایی از بانک اطلاعاتی که بیشترین خصوصیات کلی مشابه را با اثر انگشت تست شده دارند ، انجام می شود. اگر عمل تطبیق با این گروه هیچ نتیجه مثبتی در بر نداشت ، رکورد بعدی که بیشترین خصوصیات کلی مشابه را دارد انتخاب می شود و به همبن منوال ادامه پیدا می کند تا یا به نتیجه موفقیت آمیز دست یافت و یا به انتهای بانک اطلاعاتی رسید.

جهت ثبت نتایج دقیق تر و با کیفیت تر ، سه اثر انگشت از یک انگشت گرفته می شود. هر یک از این سه تصویر پردازش شده و خصوصیاتش استخراج می شود. سپس این سه مجموعه از خصوصیات آنالیز شده و تحت یک مجموعه خصوصیات واحد قرار می گیرد که در بانک اطلاعاتی نوشته می شود. بدین ترتیب ، خصوصیات ثبت شده قابل اطمینان تر خواهند بود و کیفیت تشخیص اثر انگشت بطور قابل ملاحظه ای افزایش پیدا می کند.

رابط برنامه نویسی سیستم تشخیص اثر انگشت (VeriFinger SDK) ، مجموعه ای از چندین component است که امکان استفاده سریع و آسان از تکنولوژی تشخیص اثر انگشت را در راه حل های نرم افزاری مختلف ایجاد می کند.

این component ها برنامه نویسان را قادر می سازند تا از تشخیص هویت بر اساس اثر انگشت در برنامه های خود تحتWindows,Linux,OS/2 ، تحت شبکه (Client/Server) و تحت وب به شیوه ای بسیار انعطاف پذیر استفاده نمایند.

VeriFinger شامل SDK های مختلفی است که هر یک مصارف خاص خود را دارند :

SDK استاندارد : این SDK برای توسعه دهندگان سیستم های بیومتریک در نظر گرفته شده و امکان توسعه کاربردهای بیومتریکی را بر روی سیستم عامل های ویندوز و لینوکس فراهم می آورد.

SDK توسعه یافته : این SDK شامل تمام خصوصیات SDK استاندارد می باشد و علاوه بر آن کامپوننت های COM/Activex ای دارد که قابلیت استفاده مجدد دارند و تنها برای توسعه سریع نرم افزارهای Client/Server ای (فقط برای MS Windows) ایجاد شده اند

برچسب‌ها: رمزگذاری, اطلاعات, حساس, فلش مموری

+ نوشته شده در ساعت توسط هک.کارمند.مدیریت.رقابت.کنترل.امنیت.شرکت. |

برای حراست از اطلاعات، باید دسترسی به اطلاعات کنترل شود

برای حراست از اطلاعات، باید دسترسی به اطلاعات کنترل شود. افراد مجاز باید و افراد غیرمجاز نباید توانایی دسترسی داشته باشند. بدین منظور روش‌ها و تکنیک‌های کنترل دسترسی ایجاد شده اند که در اینجا توضیح داده میشوند.

کنترل دسترسی

دسترسی به اطلاعات حفاظت شده باید محدود باشد به افراد، برنامه‌های کامپیوتری، فرآیندها و سیستم هایی که مجاز به دسترسی به اطلاعات هستند. این مستلزم وجود مکانیزم‌های برای کنترل دسترسی به اطلاعات حفاظت شده می باشد. پیچیدگی مکانیزم‌های کنترل دسترسی باید مطابق با ارزش اطلاعات مورد حفاظت باشد. اطلاعات حساس تر و با ارزش تر نیاز به مکانیزم کنترل دسترسی قوی تری دارند.

اساس مکانیزم‌های کنترل دسترسی بر دو مقوله

احراز هویت و تصدیق هویت است.

احراز هویت

تصدیق هویت

تصدیق هویت عمل تایید هویت است. زمانی که "علی" به بانک میرود تا پول برداشت کند، او به کارمند بانک می گوید که او"علی" است (این ادعای هویت است). کارمند بانک کارت شناسایی عکس دار تقاضا میکند، و "علی" ممکن است گواهینامه رانندگی خود را ارئه دهد. کارمند بانک عکس روی کارت شناسایی با چهره "علی" مطابقت میدهد تا مطمئن شود که فرد ادعا کننده "علی" است. اگر عکس و نام فرد با آنچه ادعا شده مطابقت دارند تصدیق هویت انجام شده است.

از سه نوع اطلاعات می توان برای احراز و تصدیق هویت فردی استفاده کرد:

چیزی که فرد می داند،

نمونه هایی از چیزی که می داند شامل مواردی از قبیل کد، رمز عبور، و یا نام فامیل قبل از ازدواج مادر فرد باشد.

چیزی که فرد دارد،

نمونه هایی از چیزی که دارد شامل گواهینامه رانندگی یا کارت مغناطیسی بانک است.

کسی که فرد هست.

کسی که هست اشاره به تکنیک‌های بیومتریک هستند. نمونه هایی از بیومتریک شامل اثر انگشت، اثر کف دست، صدا و اسکن شبکیه چشم هستند.

احراز و تصدیق هویت قوی نیاز به ارائه دو نوع از این سه نوع مختلف از اطلاعات است. به عنوان مثال، چیزی که فرد می داند به علاوه آنچه دارد یعنی مثلا ورود رمز عبور علاوه بر نشان دادن کارت مخصوص بانک. این تکنیک را احراز و تصدیق هویت دو عامله گویند که قوی تر از یک عامله (فقط کنترل کلمه عبور) است.

در سیستم‌های کامپیوتری امروزی، نام کاربری رایج‌ترین شکل احراز و رمز عبور رایج‌ترین شکل تصدیق هویت است. نام کاربری و کلمه عبور به اندازه کافی به امنیت اطلاعات خدمت کرده اند اما در دنیای مدرن با سیستم‌های پیچیده تر از گذشته، دیگر کافی نمی باشند. نام کاربری و کلمه عبور به تدریج با روش‌های پیچیده تری جایگزین میشوند.

صدور مجوز برای دسترسی به اطلاعات و خدمات کامپیوتری با برقراری سیاست و روش‌های مدیریتی آغاز می شود. سیاست دسترسی تبیین میکند که چه اطلاعات و خدمات کامپیوتری می تواند توسط چه کسی و تحت چه شرایطی دسترسی شود. مکانیسم‌های کنترل دسترسی سپس برای به اجرا درآوردن این سیاست‌ها نصب و تنظیم میشوند.

رویکردهای کنترل دسترسی مختلفی وجود دارند. سه رویکرد شناخته شده وجود دارند که عبارتند از:

1. رویکرد صلاحدیدی،

2. غیرصلاحدیدی و

3. اجباری.

در رویکرد صلاحدیدی خالق یا صاحب منابع اطلاعات قابلیت دسترسی به این منابع را تعیین میکند.

رویکرد غیر صلاحدیدی تمام کنترل دسترسی متمرکز است و به صلاحدید افراد نیست.

در روش اجباری، دسترسی به اطلاعات و یا محروم کردن بسته به طبقه بندی اطلاعات و رتبه فرد خواهان دسترسی دارد.

کنترل امنیت اطلاعات

کنترل مدیریتی

کنترل مدیریتی ( کنترل رویه ها) عبارتند از سیاست ها، رویه ها، استانداردها و رهنمودهای مکتوب که توسط مراجع مسئول تایید شده است. کنترل‌های مدیریتی چارچوب روند امن کسب و کار و مدیریت افراد را تشکیل میدهد. این کنترل‌ها به افراد نحوه امن و مطمئن انجام کسب و کار را میگویند و نیز چگونه روال روزانه عملیات‌ها هدایت شود. قوانین و مقررات ایجاد شده توسط نهادهای دولتی یک نوع از کنترل مدیریتی محسوب میشوند چون به شرکت‌ها و سازمانها نحوه امن کسب و کار را بیان میکنند. برخی از صنایع سیاست ها، رویه ها، استانداردها و دستورالعمل‌های مختص خود دارند که باید دنبال کنند مثل استاندارد امنیت داده‌های صنعت کارتهای پرداخت (PCI-DSS) مورد نیاز ویزا و مستر کارت. نمونه‌های دیگر از کنترل‌ها مدیریتی عبارتند از سیاست امنیتی شرکت‌های بزرگ، سیاست مدیریت رمز عبور، سیاست استخدام، و سیاست‌های انضباطی. کنترل‌های مدیریتی پایه ای برای انتخاب و پیاده سازی کنترل‌های منطقی و فیزیکی است. کنترل‌های منطقی و فیزیکی پیاده سازی و ابزاری برای اعمال کنترل‌های مدیریتی هستند.

کنترل منطقی

کنترل منطقی (کنترل فنی) استفاده از نرم افزار، سخت افزار و داده‌ها است برای نظارت و کنترل دسترسی به اطلاعات و سیستم‌های کامپیوتری. به عنوان مثال : کلمه عبور، فایروال‌ها ی شبکه و ایستگاههای کاری، سیستم‌های تشخیص نفوذ به شبکه، لیست‌های کنترل دسترسی و رمزنگاری داده‌ها نمونه هایی از کنترل منطقی می باشند.

کنترل فیزیکی

کنترل فیزیکی برای حفاظت و کنترل محیط کار و تجهیزات کامپیوتری و نحوه دسترسی به آنها است که جنبه فیزیکی دارند. به عنوان مثال: درب، قفل، گرمایش و تهویه مطبوع، آژیر دود و آتش، سیستم دفع آتش سوزی، دوربین‌ها مداربسته، موانع، حصارکشی، نیروی‌های محافظ و غیره.

امنیت شبکه و ارتباطات راه دور

امنیت اطلاعات و مدیریت ریسک

امنیت برنامه‌های کاربردی

رمزنگاری

در امنیت اطلاعات از رمزنگاری استفاده میشود تا اطلاعات به فرمی تبدیل شود که به غیر از کاربر مجاز کس دیگری نتواند از آن اطلاعات استفاده کند حتی اگر به آن اطلاعات دسترسی داشته باشد. اطلاعاتی که رمزگذاری شده تنها توسط کاربر مجازی که کلید رمز نگاری را دارد میتواند دوباره به فرم اولیه تبدیل شود(از طریق فرایند رمزگشایی). رمزنگاری برای حفاظت اطلاعات در حال انتقال (اعم از الکترونیکی و یا فیزیکی) و یا ذخیره شده است. رمزنگاری امکانات خوبی برای امنیت اطلاعات فراهم می کند از جمله روش‌های بهبود یافته تصدیق هویت، فشرده سازی پیام، امضاهای دیجیتالی، قابلیت عدم انکار و ارتباطات شبکه رمزگذاری شده.

رمزنگاری اگر درست پیاده سازی نشود می تواند مشکلات امنیتی در پی داشته باشد. راه حل‌های رمز نگاری باید با استفاده از استانداردهای پذیرفته شده که توسط کارشناسان مستقل و خبره بررسی دقیق شده انجام گیرد. همچنین طول و قدرت کلید استفاده شده در رمزنگاری بسیار مهم است. کلیدی ضعیف یا خیلی کوتاه منجر به رمزگذاری ضعیف خواهد شد. مدیریت کلید رمزنگاری موضوع مهمی است

برچسب‌ها: امنیت, مجازی, حریم خصوصی, رمز

+ نوشته شده در ساعت توسط هک.کارمند.مدیریت.رقابت.کنترل.امنیت.شرکت. |

واژه‌های امنیت اطلاعات، امنیت کامپیوتری و اطلاعات

امنیت اطلاعات یعنی حفاظت اطلاعات و سیستم‌های اطلاعاتی از فعالیت‌های غیرمجاز. این فعالیت‌ها عبارتند از دسترسی، استفاده، افشاء، خواندن، نسخه برداری یا ضبط، خراب کردن، تغییر، دستکاری.

واژه‌های امنیت اطلاعات، امنیت کامپیوتری و اطلاعات مطمئن گاه به اشتباه به جای هم بکار برده می‌شود. اگر چه اینها موضوعات به هم مرتبط هستند و همگی دارای هدف مشترک حفظ محرمانگی اطلاعات، یکپارچه بودن اطلاعات و قابل دسترس بودن را دارند ولی تفاوت‌های ظریفی بین آنها وجود دارد. این تفاوت‌ها در درجه اول در رویکرد به موضوع امنیت اطلاعات، روش‌های استفاده شده برای حل مسئله، و موضوعاتی که تمرکز کرده‌اند دارد.

امنیت اطلاعات به محرمانگی، یکپارچگی و در دسترس بودن داده‌ها مربوط است بدون در نظر گرفتن فرم اطلاعات اعم از الکترونیکی، چاپ، و یا اشکال دیگر.

امنیت کامپیوتر در حصول اطمینان از در دسترس بودن و عملکرد صحیح سیستم کامپیوتری تمرکز دارد بدون نگرانی از اطلاعاتی که توسط این سیستم کامپیوتری ذخیره یا پردازش می‌شود.

دولت ها، مراکز نظامی، شرکت ها، موسسات مالی، بیمارستان ها، و مشاغل خصوصی مقدار زیادی اطلاعات محرمانه در مورد کارکنان، مشتریان، محصولات، تحقیقات، و وضعیت مالی گردآوری می‌کنند. بسیاری از این اطلاعات در حال حاضر بر روی کامپیوترهای الکترونیکی جمع آوری، پردازش و ذخیره و در شبکه به کامپیوترهای دیگر منتقل می‌شود.اگر اطلاعات محرمانه در مورد مشتریان و یا امور مالی یا محصول جدید موسسه‌ای به دست رقیب بیفتد، این درز اطلاعات ممکن است به خسارات مالی به کسب و کار، پیگرد قانونی و یا حتی ورشکستگی منجر شود. حفاظت از اطلاعات محرمانه یک نیاز تجاری، و در بسیاری از موارد نیز نیاز اخلاقی و قانونی است.

برای افراد، امنیت اطلاعات تاثیر معناداری بر حریم خصوصی دارد. البته در فرهنگ‌های مختلف این مفهوم حریم خصوصی تعبیرهای متفاوتی دارد.

بحث امنیت اطلاعات در سال‌های اخیر به میزان قابل توجهی رشد کرده است و تکامل یافته است. راههای بسیاری برای ورود به این حوزه کاری به عنوان یک حرفه وجود دارد. موضوعات تخصصی گوناگونی وجود دارد از جمله: تامین امنیت شبکه (ها) و زیرساخت ها، تامین امنیت برنامه‌های کاربردی و پایگاه داده ها، تست امنیت، حسابرسی و بررسی سیستم‌های اطلاعاتی، برنامه ریزی تداوم تجارت و بررسی جرائم الکترونیکی، و غیره.

این مقاله یک دید کلی از امنیت اطلاعات و مفاهیم اصلی آن فراهم می‌کند.

تاریخچه

از زمانی که نوشتن و تبادل اطلاعات آغاز شد، همه انسانها مخصوصا سران حکومتها و فرماندهان نظامی در پی راهکاری برای محافظت از محرمانه بودن مکاتبات و تشخیص دستکاری آنها بودند.ژولیوس سزار ۵۰ سال قبل از میلاد یک سیستم رمزنگاری مکاتبات ابداع کرد تا از خوانده شدن پیام‌های سری خود توسط دشمن جلوگیری کند حتی اگر پیام به دست دشمن بیافتد. جنگ جهانی دوم باعث پیشرفت چشمگیری در زمینه امنیت اطلاعات گردید و این آغاز کارهای حرفه ای در حوزه امنیت اطلاعات شد. پایان قرن بیستم و سالهای اولیه قرن بیست و یکم شاهد پیشرفتهای سریع در ارتباطات راه دور، سخت افزار، نرم افزار و رمزگذاری داده‌ها بود. در دسترس بودن تجهیزات محاسباتی کوچکتر، قوی تر و ارزان تر پردازش الکترونیکی داده‌ها باعث شد که شرکت‌های کوچک و کاربران خانگی دسترسی بیشتری به آنها داشته باشند. این تجهیزات به سرعت از طریق شبکه‌های کامپیوتر مثل اینترنت به هم متصل شدند.
با رشد سریع و استفاده گسترده از پردازش الکترونیکی داده‌ها و کسب و کار الکترونیک از طریق اینترنت، همراه با ظهور بسیاری از خرابکاریهای بین‌المللی، نیاز به روش‌های بهتر حفاظت از رایانه‌ها و اطلاعات آنها ملموس گردید. رشته‌های دانشگاهی از قبیل امنیت کامپیوتری، امنیت اطلاعات و اطلاعات مطمئن همراه با سازمان‌های متعدد حرفه ای پدید آمدند. هدف مشترک این فعالیت‌ها و سازمانها حصول اطمینان از امنیت و قابلیت اطمینان از سیستم‌های اطلاعاتی است.
مفاهیم پایه
همانگونه که تعریف شد، امنیت اطلاعات یعنی حفظ محرمانگی، یکپارچه بودن و قابل دسترس بودن اطلاعات از افراد غیرمجاز. در اینجا مفاهیم سه گانه "محرمانگی"، "یکپارچه بودن" و "قابل دسترس بودن" توضیح داده میشود. در بین متخصصان این رشته بحث است که علاوه بر این ۳مفهوم موارد دیگری هم را باید در نظر گرفت مثل "قابلیت حسابرسی"، "قابلیت عدم انکار انجام عمل" و "اصل بودن".
1- محرمانگی
محرمانگی یعنی جلوگیری از افشای اطلاعات به افراد غیر مجاز. به عنوان مثال، برای خرید با کارت‌های اعتباری بر روی اینترنت نیاز به ارسال شماره کارت اعتباری از خریدار به فروشنده و سپس به مرکز پردازش معامله است. در این مورد شماره کارت و دیگر اطلاعات مربوط به خریدار و کارت اعتباری او نباید در اختیار افراد غیرمجاز بیافتد و این اطلاعات باید محرمانه بماند. در این مورد برای محرمانه نگهداشتن اطلاعات، شماره کارت رمزنگاری میشود و در طی انتقال یا جاهایی که ممکن است ذخیره شود (در پایگاه‌های داده، فایل‌های ثبت وقایع سیستم، پشتیبان گیری، چاپ رسید، و غیره) رمز شده باقی میماند. همچنین دسترسی به اطلاعات و سیستم‌ها نیز محدود میشود. اگر فردی غیر مجاز به شماره کارت به هر نحوی دست یابد، نقض محرمانگی رخ داده است.
نقض محرمانگی ممکن است اشکال مختلف داشته باشد. مثلا اگر کسی از روی شانه شما اطلاعات محرمانه نمایش داده شده روی صفحه نمایش کامپیوتر شما را بخواند. یا فروش یا سرقت کامپیوتر لپ تاپ حاوی اطلاعات حساس. یا دادن اطلاعات محرمانه از طریق تلفن همه موارد نقض محرمانگی است.
2- یکپارچه بودن
یکپارچه بودن یعنی جلوگیری از تغییر داده‌ها بطور غیرمجاز و تشخیص تغییر در صورت دستکاری غیر مجاز اطلاعات. یکپارچگی وقتی نقض میشود که اطلاعات در حین انتقال بصورت غیرمجاز تغییر داده میشود. سیستم‌های امنیت اطلاعات به طور معمول علاوه بر محرمانه بودن اطلاعات، یکپارچگی آنرا نیز تضمین میکنند.
3- قابل دسترس بودن
اطلاعات باید زمانی که مورد نیاز توسط افراد مجاز هستند در دسترس باشند. این بدان معنی است که باید از درست کار کردن و جلوگیری از اختلال در سیستم‌های ذخیره و پردازش اطلاعات و کانال‌های ارتباطی مورد استفاده برای دسترسی به اطلاعات اطمینان حاصل کرد. سیستم‌های با دسترسی بالا در همه حال حتی به علت قطع برق، خرابی سخت افزار، و ارتقاء سیستم در دسترس باقی می ماند. یک از راههای از دسترس خارج کردن اطلاعات و سیستم اطلاعاتی درخواست بیش از طریق خدمات از سیستم اطلاعاتی است که در این حالت چون سیستم توانایی و ظرفیت چنین حجم انبوده خدمات دهی را ندارد از سرویس دادن بطور کامل یا جزیی عاجز میماند.
قابلیت عدم انکار انجام عمل
در انتقال اطلاعات و یا انجام عملی روی اطلاعات، گیرنده یا فرستنده و یا عمل کننده روی اطلاعات نباید قادر به انکار عمل خود باشد. مثلا فرستنده یا گیرنده نتواند ارسال یا دریافت پیامی را انکار کند.
اصل بودن
در بسیاری از موارد باید از اصل بودن و درست بودن اطلاعات ارسالی و نیز فرستنده و گیرنده اطلاعات اطمینان حاصل کرد. در بعضی موارد ممکن است اطلاعات رمز شده باشد و دستکاری هم نشده باشد و به خوبی به دست گیرنده برسد ولی ممکن است اطلاعات غلط باشد و یا از گیرنده اصلی نباشد. در این حالت اگر چه محرمانگی، یکپارچگی و در دسترس بودن رعایت شده ولی اصل بودن اطلاعات مهم است.
کنترل دسترسی
برای حراست از اطلاعات، باید دسترسی به اطلاعات کنترل شود. افراد مجاز باید و افراد غیرمجاز نباید توانایی دسترسی داشته باشند. بدین منظور روش‌ها و تکنیک‌های کنترل دسترسی ایجاد شده اند که در اینجا توضیح داده میشوند.
دسترسی به اطلاعات حفاظت شده باید محدود باشد به افراد، برنامه‌های کامپیوتری، فرآیندها و سیستم هایی که مجاز به دسترسی به اطلاعات هستند. این مستلزم وجود مکانیزم‌های برای کنترل دسترسی به اطلاعات حفاظت شده می باشد. پیچیدگی مکانیزم‌های کنترل دسترسی باید مطابق با ارزش اطلاعات مورد حفاظت باشد. اطلاعات حساس تر و با ارزش تر نیاز به مکانیزم کنترل دسترسی قوی تری دارند. اساس مکانیزم‌های کنترل دسترسی بر دو مقوله احراز هویت و تصدیق هویت است.
احراز هویت تشخیص هویت کسی یا چیزی است. این هویت ممکن است توسط فرد ادعا شود و یا ما خود تشخیص دهیم. اگر یک فرد میگوید "سلام، نام من علی است" این یک ادعا است. اما این ادعا ممکن است درست یا غلط باشد. قبل از اینکه به علی اجازه دسترسی به اطلاعات حفاظت شده داده شود ضروری است که هویت این فرد بررسی شود که او چه کسی است و آیا همانی است که ادعا میکند.
تصدیق هویت عمل تایید هویت است. زمانی که "علی" به بانک میرود تا پول برداشت کند، او به کارمند بانک می گوید که او "علی" است (این ادعای هویت است). کارمند بانک کارت شناسایی عکس دار تقاضا میکند، و "علی" ممکن است گواهینامه رانندگی خود را ارئه دهد. کارمند بانک عکس روی کارت شناسایی با چهره "علی" مطابقت میدهد تا مطمئن شود که فرد ادعا کننده "علی" است. اگر عکس و نام فرد با آنچه ادعا شده مطابقت دارند تصدیق هویت انجام شده است.
از سه نوع اطلاعات می توان برای احراز و تصدیق هویت فردی استفاده کرد: چیزی که فرد می داند، چیزی که فرد دارد، و یا کسی که فرد هست. نمونه هایی از چیزی که می داند شامل مواردی از قبیل کد، رمز عبور، و یا نام فامیل قبل از ازدواج مادر فرد باشد. نمونه هایی از چیزی که دارد شامل گواهینامه رانندگی یا کارت مغناطیسی بانک است. کسی که هست اشاره به تکنیک‌های بیومتریکهستند. نمونه هایی از بیومتریک شامل اثر انگشت، اثر کف دست، صدا و اسکن شبکیه چشم هستند. احراز و تصدیق هویت قوی نیاز به ارائه دو نوع از این سه نوع مختلف از اطلاعات است. به عنوان مثال، چیزی که فرد می داند به علاوه آنچه دارد یعنی مثلا ورود رمز عبور علاوه بر نشان دادن کارت مخصوص بانک. این تکنیک را احراز و تصدیق هویت دو عامله گویند که قوی تر از یک عامله (فقط کنترل گذرواژه) است.
در سیستم‌های کامپیوتری امروزی، نام کاربری رایج‌ترین شکل احراز و رمز عبور رایج‌ترین شکل تصدیق هویت است. نام کاربری و گذرواژه به اندازه کافی به امنیت اطلاعات خدمت کرده اند اما در دنیای مدرن با سیستم‌های پیچیده تر از گذشته، دیگر کافی نمی باشند. نام کاربری و گذرواژه به تدریج با روش‌های پیچیده تری جایگزین میشوند.
پس از آنکه فرد، برنامه یا کامپیوتر با موفقیت احراز و تصدیق هویت شد سپس باید تعیین کرد که او به چه منابع اطلاعاتی و چه اقداماتی روی آنها مجاز به انجام است (اجرا، نمایش، ایجاد، حذف، یا تغییر). این عمل را صدور مجوز گویند.
صدور مجوز برای دسترسی به اطلاعات و خدمات کامپیوتری با برقراری سیاست و روش‌های مدیریتی آغاز می شود. سیاست دسترسی تبیین میکند که چه اطلاعات و خدمات کامپیوتری می تواند توسط چه کسی و تحت چه شرایطی دسترسی شود. مکانیسم‌های کنترل دسترسی سپس برای به اجرا درآوردن این سیاست‌ها نصب و تنظیم میشوند.
رویکردهای کنترل دسترسی مختلفی وجود دارند. سه رویکرد شناخته شده وجود دارند که عبارتند از: رویکرد صلاحدیدی، غیرصلاحدیدی و اجباری. در رویکرد صلاحدیدی خالق یا صاحب منابع اطلاعات قابلیت دسترسی به این منابع را تعیین میکند. رویکرد غیر صلاحدیدی تمام کنترل دسترسی متمرکز است و به صلاحدید افراد نیست. در روش اجباری، دسترسی به اطلاعات و یا محروم کردن بسته به طبقه بندی اطلاعات و رتبه فرد خواهان دسترسی دارد.
کنترل امنیت اطلاعات
کنترل امنیت به اقداماتی گفته میشود که منجر به حفاظت، مقابله، پیشگیری و یا به حداقل رساندن خطرات امنیتی است. این اقدامات را میتوان به سه دسته تقسیم کرد.
1- مدیریتی
کنترل مدیریتی ( کنترل رویه ها) عبارتند از سیاست ها، رویه ها، استانداردها و رهنمودهای مکتوب که توسط مراجع مسئول تایید شده است. کنترل‌های مدیریتی چارچوب روند امن کسب و کار و مدیریت افراد را تشکیل میدهد. این کنترل‌ها به افراد نحوه امن و مطمئن انجام کسب و کار را میگویند و نیز چگونه روال روزانه عملیات‌ها هدایت شود. قوانین و مقررات ایجاد شده توسط نهادهای دولتی یک نوع از کنترل مدیریتی محسوب میشوند چون به شرکت‌ها و سازمانها نحوه امن کسب و کار را بیان میکنند. برخی از صنایع سیاست ها، رویه ها، استانداردها و دستورالعمل‌های مختص خود دارند که باید دنبال کنند مثل استاندارد امنیت داده‌های صنعت کارتهای پرداخت (PCI-DSS) مورد نیاز ویزا و مستر کارت. نمونه‌های دیگر از کنترل‌ها مدیریتی عبارتند از سیاست امنیتی شرکت‌های بزرگ، سیاست مدیریت رمز عبور، سیاست استخدام، و سیاست‌های انضباطی.کنترل‌های مدیریتی پایه ای برای انتخاب و پیاده سازی کنترل‌های منطقی و فیزیکی است. کنترل‌های منطقی و فیزیکی پیاده سازی و ابزاری برای اعمال کنترل‌های مدیریتی هستند.
2- منطقی
کنترل منطقی (کنترل فنی) استفاده از نرم افزار، سخت افزار و داده‌ها است برای نظارت و کنترل دسترسی به اطلاعات و سیستم‌های کامپیوتری. به عنوان مثال : گذرواژه، فایروال‌ها ی شبکه و ایستگاههای کاری، سیستم‌های تشخیص نفوذ به شبکه، لیست‌های کنترل دسترسی و رمزنگاری داده‌ها نمونه هایی از کنترل منطقی می باشند.
3- فیزیکی
کنترل فیزیکی برای حفاظت و کنترل محیط کار و تجهیزات کامپیوتری و نحوه دسترسی به آنها است که جنبه فیزیکی دارند. به عنوان مثال: درب، قفل، گرمایش و تهویه مطبوع، آژیر دود و آتش، سیستم دفع آتش سوزی، دوربین‌ها مداربسته، موانع، حصارکشی، نیروی‌های محافظ و غیره.
رمزنگاری
در امنیت اطلاعات از رمزنگاری استفاده میشود تا اطلاعات به فرمی تبدیل شود که به غیر از کاربر مجاز کس دیگری نتواند از آن اطلاعات استفاده کند حتی اگر به آن اطلاعات دسترسی داشته باشد. اطلاعاتی که رمزگذاری شده تنها توسط کاربر مجازی که کلید رمز نگاری را دارد میتواند دوباره به فرم اولیه تبدیل شود(از طریق فرایند رمزگشایی). رمزنگاری برای حفاظت اطلاعات در حال انتقال (اعم از الکترونیکی و یا فیزیکی) و یا ذخیره شده است. رمزنگاری امکانات خوبی برای امنیت اطلاعات فراهم می کند از جمله روش‌های بهبود یافته تصدیق هویت، فشرده سازی پیام، امضاهای دیجیتالی، قابلیت عدم انکار و ارتباطات شبکه رمزگذاری شده.
رمزنگاری اگر درست پیاده سازی نشود می تواند مشکلات امنیتی در پی داشته باشد. راه حل‌های رمز نگاری باید با استفاده از استانداردهای پذیرفته شده که توسط کارشناسان مستقل و خبره بررسی دقیق شده انجام گیرد. همچنین طول و قدرت کلید استفاده شده در رمزنگاری بسیار مهم است. کلیدی ضعیف یا خیلی کوتاه منجر به رمزگذاری ضعیف خواهد شد. مدیریت کلید رمزنگاری موضوع مهمی است. رمز گذاری داده ها و اطلاعات و تبدیل کردن آنها به شکل رمز گذاری شده ،روشس موثر در جلوگیری از انتشار اطلاعات محرمانه شرکت می باشد.
حراست فیزیکی
حراست فیزیکی دارایی ها عنصری است که در هر سیستم حسابداری وجود دارد.رایانه ها و اطلاعات و برنامه های موجود در این رایانه ها در حقیقت دارایی های با ارزش سازمان هستند.امنیت فیزیکی می تواند با اعمال کنترل ها ی زیر به دست آید : ۱-در صورت داشتن امکانات مالی استفاده از سیستم امنیتی هشدار دهنده و دوربین مدار بسته ۲-نگهداری و حفاظت و انبار کردن ابزار های حاوی اطلاعات مثل دیسک ها و نوار ها
به دنبال روشی برای مدیریت امنیت اطلاعات
به دنبال جست‌وجوی روشی به‌جز شیوه‌های سنتی امنیت شبکهٔ IT شرکت آی‌بی‌ام و چند شرکت و سازمان IT شورای جدید حفاظت از اطلاعات را احداث کرده‌اند. هدف از این کار ایجاد روش‌هایی برای مقابله با هکرها و دیگر راه‌های دسترسی غیرقانونی به اطلاعات است. شرکت IBM در گزارشی اعلام کرد که این شورا برای تنظیم طرحی نوین برای محافظت و کنترل در اطلاعات شخصی و سازمانی افراد همهٔ تلاش خود را به کار خواهد گرفت. استوارت مک‌ایروین، مدیر بخش امنیت اطلاعات مشتری IBM می‌گوید: "بیش‌تر شرکت‌ها و همین‌طور افراد حقیقی کنترل و امنیت اطلاعات خود را به عنوان مسئله‌ای فرعی در نظر می‌گیرند و در کنار دیگر فعالیت‌های خود به آن می‌پردازند." به عقیدهٔ اعضای این شورا کنترل و نظارت بر اطلاعات به این معناست که چه‌گونه یک شرکت در کنار ایجاد امکان بهره‌برداری از اطلاعات مجاز، محدودیت‌هایی را برای دست‌رسی و محافظت از بخش‌های مخفی تدارک می‌بیند. اعضای این شورا برآن‌اند تا تعریفی جدید از مدیرت کنترل اطلاعات و سیاست‌های مربوط به آن ارایه دهند. هم‌چنین پیش‌بینی شده است که این راهکارها بخش مهمی را در زیربنای سیاست‌های IT داشته باشد. مک‌آروین می‌گوید: "ایدهٔ اولیهٔ تشکیل این شورا در جلسات سه ماه یک‌بار و غیررسمی شرکت IBM با مشتریان و برخی شرکا شکل گرفت. ما با افرادی گفت‌وگو می‌کردیم که با مشکلات ناامنی اطلاعات به شکل عینی روبه‌رو بودند. برای شرکت IBM و شرکای تجاری آن مشارکت مشتریان عاملی موثر در اصلاح و هماهنگی نرم‌افزارهای امنیتی موجود و طراحی نرم‌افزارهای جدید است. ما سعی می‌کنیم ابزارهای امنیتیIBM را با نیازهای مشتری آشتی دهیم. بسیاری از مشتریان شرکت که اکنون اعضای فعال این شورا را تشکیل داده‌اند، خود طرح پروژه‌های جدید برای کنترل خروج اطلاعات و مدیریت آن‌را تنظیم کرده‌اند. آن‌ها داوطلب شده‌اند که برای اولین بار این روش‌ها را در مورد اطلاعات شخصی خود به کار گیرند. بدیهی است شرایط واقعی در مقایسه با وضعیت آزمایشی نتیجهٔ بهتری دارد.رابرت گاریگ، مدیر ارشد بخش امنیتی بانک مونترآل و یکی از اعضای شورا، معتقد است اکنون زمان آن رسیده که شرکت‌ها روش‌های جدیدی را برای کنترل اطلاعات مشتریان خود به‌کار بگیرند او می‌گوید: "من فکر می‌کنم اکنون زمان مدیریت کنترل اطلاعات فرارسیده است." پیش از این بخشIT تمام حواس خود را بر حفاظت از شبکه‌ها متمرکز کرده بود، اما اکنون اطلاعات به عنوان بخشی مستقل به محدودیت‌هایی برای دستیابی و هم‌چنین روش‌های مدیریتی نوین نیازمند است. این حوزه به کوششی چشمگیر نیازمند است. شرکت‌ها هر روز بیش از پیش با سرقت اطلاعات روبه‌رو هستند. هدف اصلی شورا ایجاد مدیریتی هوشمند و بی‌واسطه است . مسائل مورد توجه این شورا به ترتیب اهمیت عبارت‌اند از: "امنیت، حریم خصوصی افراد، پذیرش قوانین و برطرف کردن سوء تعبیرهایی که در مورد IT و وظایف آن وجود دارد." به نظر این شورا مشکل اصلی ناهماهنگی برنامه‌های بخش IT با فعالیت‌های شرکت و بی‌توجهی به ادغام این راهکارهاست. شرکت آمریکن اکسپرس و بانک جهانی، دانشگاه ایالتی کارولینای شمالی و ... از اعضای این شورا هستند
برنامه جامع امنیت تجارت الکترونیک
با وجود تمام مزایایی که تجارت الکترونیک بهمراه دارد، انجام تراکنش‌ها و ارتباطات آنلاین محملی بزرگتر برای سوء استفاده از فناوری و حتی اعمال مجرمانه فراهم می‌کند. این مشکلات تنها مختص تجارت الکترونیک نیست و بخشی از مشکلات گسترده ایست که در سراسر جهان گریبانگیر سیستم‌های اطلاعاتی و کامپیوتری هستند. هر ساله سازمان‌های بسیاری هدف جرائم مرتبط با امنیت اطلاعات، از حملات ویروسی گرفته تا کلاه برداری‌های تجاری از قبیل سرقت اطلاعات حساس تجاری و اطلاعات محرمانه کارت‌های اعتباری، قرار می‌گیرند. چنین حملات امنیتی موجب میلیون‌ها دلار ضرر و اخلال در فعالیت شرکت‌ها می‌شوند. بسیاری از گزارشگران و مشاوران هزینه خسارات مرتبط با نقائص امنیتی را تا میلیاردها دلار برآورد کرده اند. با اینحال آنچه مهمتر از صحت میزان این خسارات است، این واقعیت است که با افزایش کاربران سیستم‌های اطلاعاتی، دسترسی آسان به اطلاعات و رشد فزاینده کاربران مطلع (فنی) می‌توان به راحتی فرض کرد که تعداد این سوء استفاده‌ها از فناوری و تهدیدهای امنیتی نیز به همین نسبت افزایش یابد. متاسفانه، از آنجا که بسیاری از شرکت‌ها دوست ندارند نفوذ به سیستمشان را تایید و اطلاعاتشان در مورد این نفوذها و وسعت آنها را با دیگران به اشتراک بگذارند، میزان دقیق خساراتی که شرکت‌ها از جرائم مرتبط با امنیت متحمل شده اند، را نمی‌توان بدست آورد. بی میلی به ارائه اطلاعات مربوط به نقائص امنیتی، از این ترس معمول ناشی می‌شود که اطلاع عموم از چنین نقائصی باعث بی اعتمادی مشتریان نسبت به توانایی شرکت در حفظ دارائی های خود می‌شود و شرکت با این کار مشریان خود و در نتیجه سوددهی اش را از دست خواهد داد. از آنجایی که مصرف کنندگان امروزی نسبت به ارائه آن لاین اطلاعات مالی بی اعتماد اند، شرکت‌ها با تایید داوطلبانه این واقعیت که قربانی جرائم مرتبط با امنیت شده اند، چیزی بدست نمی‌آورند. با هیجانات رسانه‌ای که امروزه دور و بر اینترنت و قابلیت‌های آن وجود دارد، حفظ یک تصویر مثبت از امنیت تجارت الکترونیک در اذهان، دغدغه شماره یک بسیاری از شرکت‌ها است و برای بقاء و باقی ماندن در رقابت کاملا ضروری است. نبود اطلاعات دست اول از موارد واقعی برنامه ریزی و مقابله با تهدیدهای امنیتی را بسیار مشکلتر کرده است اما با این وجود هم فناوری‌ها و روشهای امنیت اطلاعات و فنون کلی مدیریتی در برنامه ریزی و حفاظت از منابع فناوری اطلاعات سازمان، در یک دهه گذشته پیشرفت قابل توجهی داشته اند. اکنون خبرگانی هستند که در حوزه امنیت سایبر تخصص پیدا کرده اند و راهکارهای زیادی برای حفاظت از فناوری‌های تجارت الکترونیک از مجرمین بالقوه فضای سایبر دارند. بسیاری از شرکت‌ها دریافته اند که برای موفقیت در تجارت الکترونیک، علاوه بر روشهای امنیتی که برای حفاظت از منابع فناوری اطلاعات طراحی شده اند، نیازمند سرمایه گذاری و برنامه ریزی برای ایجاد یک برنامه جامع امنیت هستند تا بدان طریق از داراییهایشان در اینترنت محافظت و از نفوذ مجرمین به سیستم هایشان که موجب خسارت دیدن فعالیت‌های تجارت الکترونیک آنها می‌شود جلوگیری کنند. برنامه جامع امنیت تجارت الکترونیک شامل برنامه‌های حفاظتی که از فناوری‌های موجود (نرم‌افزار و سخت‌افزار)، افراد، برنامه ریزی راهبردی استفاده می‌کنند و برنامه‌های مدیریتی که برای حفاظت از منابع و عملیات تجارت الکترونیک شرکت طراحی و اجرا می‌شوند، است.چنین برنامه‌ای برای بقاء کلی فعالیت‌های تجارت الکترونیک شرکت حیاتی است و سازمان باید آنرا به عنوان مولفه‌ای اساسی در راهبرد تجارت الکترونیک موفق به حساب آورد.موفقیت چنین برنامه‌هایی به حمایت کامل مدیران رده بالا و مشارکت کامل بخش فناوری اطلاعات و مدیریت در جهت درک تاثیر گذاری و محدودیت‌های برنامه است.علاوه بر این برای اطمینان از بروز بودن این برنامه و ابزارهای آن و هماهنگی با آخرین فناوری‌ها و فنون مدیریت، باید آن را بطور مداوم مورد ارزیابی و سنجش قرار داد

برچسب‌ها: Issue Statement شرح وضعيت سازمان قابليت اجرا , خط مشي فناوري اطلاعات خط مشي هاي كلي Gen

+ نوشته شده در ساعت توسط هک.کارمند.مدیریت.رقابت.کنترل.امنیت.شرکت. |

لو رفتن اطلاعاتی در تاریخ آژانس امنیت ملی آمریکا توسط این فرد

روزنامه گاردین دقایقی پیش هویت فردی را فاش کرد که سبب بزرگترین لو رفتن اطلاعاتی در تاریخ آژانس امنیت ملی آمریکا شده است.

فردی که نامش در تاریخ باقی خواهد ماند و به عنوان یکی از جاسوسانی تلقی خواهد شد که خودش را فدای آزادی حریم خصوصی انسان ها کرده است.

وقتش رسیده تا با Edward Snowden آشنا شوید. جوان ۲۹ ساله ای که پشت تمام این اطلاعات لو رفته در مورد پروژه پریسم و خبرچین بیکران بوده. روزنامه گاردین طی روزهای گذشته، با او ساعت ها مصاحبه کرده و حالا او به صورت داوطلبانه خواستار این شده تا هویت اش افشا شود.

او می گوید من دلیلی برای مخفی کردن هویتم ندارم چرا که از نظر خودم کار اشتباهی انجام نداده ام.

این در حالی است که او از زندگی مرفهی برخوردار بوده. شغلی پایدار و حقوق سالیانه ۲۰۰۰۰۰ دلاری داشته و از زندگی در کنار خانواده خوبش لذت می برده. اما تصمیم گرفته تا تمام آنها را قربانی هدفش کند. به خاطر اینکه نمی خواسته این اجازه را به دولت آمریکا بدهد تا حریم خصوصی کاربران و آزادی اینترنت را نابود کنند.

او به صورت قراردادی با آژانس امنیت ملی آمریکا کار می کرده و طی سه هفته گذشته برای جمع آوری این اسناد از درون NSA اقدام کرده و سپس یک مرخصی یک هفته ای به بهانه درمان بیماری صرع اش گرفته و به هنگ کنگ سفر کرده. او از آنجا اقدام به انتشار این اطلاعات نموده.

سنودن می گوید که من به خوبی می دانم که به خاطر این کارم، چه سرنوشتی خواهم داشت. اما از آن نمی ترسم چون این انتخابی است که خودم کرده ام.

ادوارد سنودن طی ۳ هفته گذشته با وحشت زیاد در هتلی در هنگ کنگ اقامت کرده و می گوید به خاطر ترس از جاسوسان آژانس امنیت ملی فقط سه بار از اتاقش خارج شده است.

او می گوید طی این مدت درب اتاقش را از ترس استراق سمع، با بالش ها پوشانده و از ترس دوربین های مخفی، هنگام وارد کردن رمزهای عبور یک پتو روی سر و لپ تاپش می کشیده.

ممکن است به نظرتان برسد که او دچار سوء ظن شدید است. اما برای کسی که حدود یک دهه با سرویس های اطلاعاتی آمریکا کار کرده، داستان متفاوت است. او از درون بزرگترین سازمان جاسوسی آمریکا آمده و می داند که آن پشت چه خبر است و حالا آنها به دنبال او هستند.

گاردین ساعت ها با ادوارد سنودن مصاحبه کرده و می گوید که او می داند در حال حاضر در چه خطری قرار دارد. اما بیشتر از همه نگران خانواده اش است که معلوم نیست با چه مشکلاتی گریبانگیر خواهند شد.

ادوارد سنودن سابقه فعالیت های امنیتی زیادی داشته است. او کارشناس امنیت آی تی به حساب می آمده و طی سال های گذشته در عملیات های مختلفی شرکت داشته. برای مثال در سال ۲۰۰۷ توسط CIA با پوشش یک کارمند دیپلماتیک به ژنو رفته و امنیت یک شبکه بزرگ کامپیوتری را در دست داشته. او از آنجا به اسناد طبقه بندی شده زیادی دسترسی داشته.

یکی از خاطرات دیگر آقای سنودن به تلاش CIA برای استخدام یکی از کارمندان با نفوذ بانک سویس برمی گردد. او می گوید که در یک نقشه از پیش طراحی شده، آنها کاری کرده اند که بانکدار مورد هدفشان بیش از حد الکل بنوشد و بعد هنگام رانندگی در خیابان سبب دستگیری او شده اند. در نهایت به بانکدار کمک کرده اند تا از دردسر این دستگیری رها شده و در عوض دوستی او را به دست آورده و استخدامش کرده اند.

ادوارد سنودن می گوید چیزهایی که در ژنو دیده، سبب شده که به فکر فرو رود؛ اینکه دولت آمریکا چگونه عمل می کند و چطور روی بقیه دنیا تاثیر می گذارد. او می گوید که من نمی خواستم بخشی از سیستمی باشم که بیش از سود رسانی، در حال ضرر زدن به جهان است.

او معتقد است که اینترنت مهمترین اختراع در کل تاریخ بشریت است و داشتن حریم خصوصی یکی از مبانی پایه آن به شمار می آید. در حالی که امروزه این حریم در حال نابودی است. او می گوید که این وضعیت باید اصلاح شود و اینترنت و حریم خصوصی باید آزاد بمانند.

ادوارد سنودن می گوید من از کاری که کردم راضی ام و فکر می کنم که ارزشش را داشت. من پشیمان نیستم…

برچسب‌ها: اطلاعات حساس, امنیت, امنیت وب, وب

+ نوشته شده در ساعت توسط هک.کارمند.مدیریت.رقابت.کنترل.امنیت.شرکت. |

در امنیت اطلاعات، تهدیدات امنیتی به سه دسته اصلی تقسیم می‌شوند.

۱- محرمانگی اطلاعات (Confidentiality)

۲- یکپارچگی اطلاعات (Integrity)

۳- در دسترس بودن اطلاعات (Availability)

محرمانه بودن اطلاعات بدان اشاره دارد که دسترسی به محتوای اطلاعات، به جز افراد مورد نظر، مقدور نباشد. به عنوان مثال، ارسال اشتباه سندی محرمانه، به گیرنده‌ای که منظور ما نبوده است از این دست محسوب می‌شود.

در یکپارچگی اطلاعات، هدف حصول اطمینان از این مورد است که اطلاعات در طول مسیر، و یا در محل ذحیره‌سازی دچار تغییر نشده‌اند. حال تفاوتی نمی‌کند که عمدی و یا غیر عمدی. در اینجا، عدم اطلاع از محتوای اطلاعات مد نظر نیست. بلکه میخواهیم مطمئن شویم که اطلاعات به همانگونه‌ای ذخیره سازی شده‌اند و یا در شبکه جابجا میشوند که انتظار می‎رود. یعنی بدون تغییر.

در دسترس پذیری داده‌ها، به ایم موضوع پرداخته می‌شود که سیستم و اطلاعات در هر زمان برای دسترسی‌های مجاز، سرویس‌دهی نماید. گاهی افراد مجوز دسترسی به سیستم را دارند، اما مثلا به دلیل فراموش کردن گذرواژه خویش، از دسترسی به سیستم محدودند. در اینجا مساله Availibility مطرح است که کاربر مجاز است و نمی‌تواند از سیستم استفاده کند.

جالب است که بدانیم نوعی حملات شبکه‌ای با نام Denial of Service، همین ویژه‌گی از امنیت یعنی Availibility را نشانه رفته است و مانع از سرویس‌دهی به موقع به کاربران می‌شود.

حال تاثیر عاملهای انسانی در هریک از موارد فوق، می‌تواند بر روی امنیت تاثیر منفی گذاشته و آنرا به مخاطره بیاندازد. از این رو، دسته بندی فوق را به ۵ بخش توسعه داده، و پاسخگویی و طرح و نقشه برای هر یک، در راستای استقرار امنیت در سازمانها و شرکتها ضروری می‌باشد. این ۵ بخش شامل موارد ذیل است:

۱- کنترل دسترسی

۲- یکپارچگی سیستم

۳- رمزنگاری

۴- نظارت و گزارش گیری

۵- پایش و بررسی پیکربندی‌ها

برچسب‌ها: Issue Statement شرح وضعيت سازمان قابليت اجرا , خط مشي فناوري اطلاعات خط مشي هاي كلي Gen

+ نوشته شده در ساعت توسط هک.کارمند.مدیریت.رقابت.کنترل.امنیت.شرکت. |

امنیت با نوار ابزار ضد جعل هویت

آیا تصور می‌کنید که بتوانید یک سایت جعل هویت را شناسایی کنید؟ از این موضوع چندان هم مطمئن نباشید. نتایج مطالعات اخیر نشان داده است که حتی برخی از افرادی که از نظر فنی دانش بالایی دارند نیز در برابر این حملات مصون نمانده‌اند.
خوشبختانه ابزارهای متعددی برای فرار از دام چنین کلاهبردارانی وجود دارند. در این زمینه شرکت‌های بسیاری برنامه‌های افزودنی مرورگر رایگان می‌سازند که سایت‌های جعل هویت را شناسایی می‌کنند.
زمانی که در معرض چنین سایت‌هایی قرار گیرید، اغلب توسط این نرم‌افزارها هشداری تصویری به شما ارسال می‌شود. برخی بر اساس گزارش کاربرانی که در دام چنین سایت‌هایی گرفتار شده‌اند، فهرستی از آنها در اختیار می‌گذارد. برخی دیگر آدرس‌های سایت‌ها را بررسی می‌کنند تا نکته‌ای جهت گمراهی کاربران وجود نداشته باشد. به عنوان مثال، ممکن است در یک URL نام ebay مشاهده شود، در حالی که واقعا متعلق به ebay.com نیست. برخی دیگر از نوار ابزارها نیز چندین روش را با یکدیگر ترکیب می‌کنند.
یکی از برنامه‌هایی که به شما پیشنهاد می‌کنیم، برنامه Netcraft toolbar واقع در آدرس/http://toolbar.netcraet.com است. این برنامه به شما نشان می‌دهد که سایت به نام چه کسی ثبت شده و با قید درجه ریسک آن می‌توانید به سرعت تصمیم بگیرید که آیا رمز عبور خود را در آن سایت وارد کنید یا خیر؟ برنامه دیگر TrustWatch نام دارد که در آدرس/www.trustwatch.com قرار گرفته است. این برنامه یک نوار ابزار جهت برنامه Explorer اینترنت ایجاد می‌کند که سایت‌های معتبر و قانونی را تایید کرده و همانند Netcraft گزارش جزئیات سایت را در اختیار می نهد.
گزارشی که این برنامه ارائه می‌کند به شما کمک می‌کند تا دریابید که آیا آن سایت در فهرست سایت‌های مشکوک قرار دارد یا برای تبادل ایمن داده‌ها از فناوری SSL استفاده می‌کند. همچنین TrustWatch انشعابی برای Firefox ایجاد می‌کند. این انشعاب در هنگام جست‌وجو توسط گوگل در صورتی که در مورد آدرس‌های یافته شده اطلاعاتی داشته باشد در کنار آن آدرس‌ها یک پیوند قرار می‌دهد.
گزینه‌های دیگری هم در این رابطه وجود دارند؛ از جمله ویژگی EarthLink Toolbar with ScamBlocher که هنگام بازدید از سایتی که میزبان حملات جعل هویت است، توسط یک پیغام در یک کادر بازشو شما را از وجود خطرات سایت آگاه می‌کند. این برنامه از آدرس www.earthlink.net/software/free/toolbar قابل دریافت است.
برنامه SpoofStick محصول شرکت CoreStreet با قرار دادن نام حوزه سایتی که جعل هویت می‌کند به صورت حروف بزرگ و تو پر در نوار ابزار IE شما را نسبت به آن سایت آگاه می‌کند. این برنامه در آدرس www.corestreet.com/spoofstick قرار گرفته است.
همچنین برنامه IE Toolbar شرکت Cloudmark واقع در آدرسwww.cloudmark.com، به‌طور خودکار سایت‌هایی که به عنوان سایت‌های میزبان جعل هویت شناخته شده‌اند را مسدود می‌کند. سایت ebay هم نوار ابزاری به همراه ویژگی Account Guard ارائه می‌دهد و در صورتی که بخواهید با رمز عبور eBay یا PayPal خود در صفحه ورودی یک وب سایت مشکوک وارد شوید، این ابزار به شما اخطار می‌دهد.
با مطالعاتی که در بالا در مورد سایت‌های جعل هویت شرح داده شد، مشخص شد یک چهارم کاربران به اطلاعاتی که جهت جلوگیری از حملات جعل هویت توسط این ابزارها و از طریق نوار آدرس یا آیکن Padlock ارائه می‌شود؛ توجهی ندارند. امروزه هم بدون آگاهی از چنین ابزارهایی مرور در شبکه دشوار و پر خطر خواهد بود

برچسب‌ها: هویت, ضد جعل, جعل هویت, انسان

+ نوشته شده در ساعت توسط هک.کارمند.مدیریت.رقابت.کنترل.امنیت.شرکت. |

امنیت با نوار ابزار ضد جعل هویت

برچسب‌ها: هویت, ضد جعل, جعل هویت, انسان

+ نوشته شده در ساعت توسط هک.کارمند.مدیریت.رقابت.کنترل.امنیت.شرکت. |

مطالب قدیمی‌تر

ضد جاسوس‌ها

آنتي ويروس و ديوارآتش

غيرفعال كردن ادهاك ‌ ‌

غيرفعال‌كردن اشتراك‌گذاري فايل‌ها ‌ ‌

مفاهیم پایه

1- محرمانگی

2- یکپارچه بودن

3- قابل دسترس بودن

قابلیت عدم انکار انجام عمل

اصل بودن

کنترل دسترسی

کنترل امنیت اطلاعات

1- مدیریتی

2- منطقی

3- فیزیکی

رمزنگاری

حراست فیزیکی

به دنبال روشی برای مدیریت امنیت اطلاعات

برنامه جامع امنیت تجارت الکترونیک

نوشته‌های پیشین

آرشیو موضوعی

برچسب‌ها