تور لحظه آخری
امروز : چهارشنبه ، 21 آذر 1403    احادیث و روایات:  امام صادق (ع):نصيحت و خيرخواهى از حسود محال است.
سرگرمی سبک زندگی سینما و تلویزیون فرهنگ و هنر پزشکی و سلامت اجتماع و خانواده تصویری دین و اندیشه ورزش اقتصادی سیاسی حوادث علم و فناوری سایتهای دانلود گوناگون شرکت ها

تبلیغات

تبلیغات متنی

صرافی ارکی چنج

صرافی rkchange

سایبان ماشین

دزدگیر منزل

اجاره سند در شیراز

قیمت فنس

armanekasbokar

armanetejarat

صندوق تضمین

Future Innovate Tech

پی جو مشاغل برتر شیراز

خرید یخچال خارجی

موسسه خیریه

واردات از چین

حمية السكري النوع الثاني

ناب مووی

دانلود فیلم

بانک کتاب

دریافت دیه موتورسیکلت از بیمه

طراحی سایت تهران سایت

irspeedy

درج اگهی ویژه

تعمیرات مک بوک

دانلود فیلم هندی

قیمت فرش

درب فریم لس

زانوبند زاپیامکس

روغن بهران بردبار ۳۲۰

قیمت سرور اچ پی

خرید بلیط هواپیما

بلیط اتوبوس پایانه

تعمیرات پکیج کرج

لیست قیمت گوشی شیائومی

خرید فالوور

پوستر آنلاین

بهترین وکیل کرج

بهترین وکیل تهران

خرید اکانت تریدینگ ویو

خرید از چین

خرید از چین

تجهیزات کافی شاپ

ساختمان پزشکان

کاشت ابرو طبیعی و‌ سریع

خرید سرور مجازی

قیمت بالابر هیدرولیکی

قیمت بالابر هیدرولیکی

قیمت بالابر هیدرولیکی

لوله و اتصالات آذین

قرص گلوریا

نمایندگی دوو در کرج

خرید نهال سیب

وکیل ایرانی در استانبول

وکیل ایرانی در استانبول

وکیل ایرانی در استانبول

رفع تاری و تشخیص پلاک

پرگابالین

دوره آموزش باریستا

مهاجرت به آلمان

بهترین قالیشویی تهران

بورس کارتریج پرینتر در تهران

تشریفات روناک

نوار اخطار زرد رنگ

ثبت شرکت فوری

تابلو برق

خودارزیابی چیست

فروشگاه مخازن پلی اتیلن

قیمت و خرید تخت برقی پزشکی

کلینیک زخم تهران

خرید بیت کوین

خرید شب یلدا

پرچم تشریفات با کیفیت بالا و قیمت ارزان

کاشت ابرو طبیعی

پرواز از نگاه دکتر ماکان آریا پارسا

پارتیشن شیشه ای

اقامت یونان

 






آمار وبسایت

 تعداد کل بازدیدها : 1840216188




هواشناسی

نرخ طلا سکه و  ارز

قیمت خودرو

فال حافظ

تعبیر خواب

فال انبیاء

متن قرآن



اضافه به علاقمنديها ارسال اين مطلب به دوستان آرشيو تمام مطالب
archive  refresh

ضرورت توجه به امنيت اطلاعات ( بخش چهارم )


واضح آرشیو وب فارسی:راسخون:
ضرورت توجه به امنيت اطلاعات ( بخش جهارم )
ضرورت توجه به امنيت اطلاعات ( بخش جهارم ) استراتژی "دفاع در عمق " يك فريمورك امنيتی مناسب برای حفاظت و نگهداری ايمن زيرساخت فن آوری اطلاعات يك سازمان است . در اين مدل،زير ساخت فن آوری اطلاعات يك سازمان به عنوان مجموعه ای از لايه های مرتبط به هم در نظر گرفته شده و به منظور حفاظت و ايمن سازی هر لايه از مكانيزم ها و روش های حفاظتی خاصی استفاده می گردد . بررسی لايه سياست ها ، رويه ها و اطلاع رسانی در اولين لايه مدل امنيتی "دفاع در عمق " ، سياست ها و رويه های امنيتی تعريف و تمامی كاربران صرفنظر از موقعيت شغلی خود می بايست با آنان آشنا شوند . با توجه به جايگاه برجسته اين لايه و تاثير آن بر روی عملكرد ساير لايه ها ، می بايست با حوصله و دقت بيشتری اين لايه بررسی و قبل از هر چيز سياست های امنيتی در يك سازمان تعريف گردد . در زمان تعريف سياست های امنيتی می بايست به موارد زير توجه گردد : • تعريف عناصر زيادی نظير : استفاده قابل قبول از منابع موجود ، دستيابی از راه دور ، حفاظت اطلاعات ، تهيه نسخه های پشتيبان از اطلاعات ، امنيت پيرامون شبكه ، ايمن سازی و ايمن نگهداشتن دستگاه ها و كامپيوترهای ميزبان و ...• يك سياست امنيتی مناسب می بايست قادر به برقراری ارتباط مناسب با كاربران بوده و با ارائه يك ساختار اساسی آنان را در زمان بروز يك رويداد و يا مشكل امنيتی كمك نمايد . • تدوين رويه های مناسب به منظور برخورد با يك مشكل امنيتی . در اين رويه ها می بايست محدوده مسئوليت ها به دقت مشخص گردد .• تعيين دقيق نوع و مكان ذخيره سازی اطلاعات مهمی كه برای يك سازمان ارزش حياتی دارند . • مشخص نمودن اقداماتی كه می بايست پس از بروز يك مشكل امنيتی انجام شود. • سياست های امنيتی به عنوان اصول عملياتی رويه های امنيتی مطرح می باشند . بنابراين ، می بايست به اندازه كافی عمومی باشند تا بتوان آنان را با استفاده از فن آوری ها و پلت فرم های موجود پياده سازی نمود . • سياست های امنيتی می بايست اطلاعات لازم برای كارشناسان حرفه ای فن آوری اطلاعات در خصوص نحوه پياده سازی كنترل های امنيتی به منظور حمايت از سياست های امنيتی را ارائه نمايند . • محدوده سياست های امنيتی برای يك سازمان ، به اندازه و پيچيدگی های آن بستگی دارد . • رويه های امنيتی نحوه انجام عملياتی خاص بر روی دستگاه هائی بخصوص نظير نحوه پيكربندی يك سرويس دهنده وب جديد را مشخص می نمايند . • اطلاع رسانی يك عنصر امنيتی است كه اغلب به فراموشی سپرده می شود . اكثر كاربران فعاليت های روزمره خود را با ناديده گرفتن مسائل امنيتی انجام می دهند . بدون وجود آموزش های لازم ، اغلب پرسنل در ابتدا سعی می نمايند كار خود را بگونه ای كه راحتر می باشند انجام دهند و در مرحله بعد به امنيت انجام كار فكر كنند . تدوين سياست ها و رويه های امنتيی بدون اين كه كاربران نسبت به آنان آگاهی داشته باشند ، نتايج مثبت و مشهودی را در زمينه ايجاد يك سيستم ايمن به دنبال نخواهد داشت . تهديدات لايه سياست ها ، رويه ها و اطلاع رسانی • بسياری از كاربران قوانين امنيتی را به عنوان يك ضرورت در نظر نگرفته و از آنان تبعيت نمی نمايند . اينگونه كاربران متاسفانه نسبت به مسائل امنيتی شناخت مناسبی نداشته و از تبعات زيانبار آن آگاهی ندارند . بديهی است زمانی كه كاربران نسبت به اهميت امنيت اطلاعات شناخت مناسبی را نداشته باشند ، نمی توانند از رمزهای عبور خود حفاظت نموده و يا از اطلاعات سازمان خود محافظت نمايند (نظير پيكربندی سخت افزارها و يا نرم افزارها با رعايت مسائل امنيتی )• تعداد زيادی از حملات مبتنی بر " مهندسی اجتماعی " است . اين نوع حملات از مزايای ضعف امنيت و عدم رعايت نكات ايمنی در زندگی روزمره انسان ها استفاده می نمايند . يك مهاجم می تواند زمان زيادی را در محل كار و يا اوقات فراغت خود صرف نمايد تا بتواند اعتماد يك كاربر را جلب نمايد . زمانی كه يك مهاجم سوالاتی را مطرح و پاسخ آنان را دريافت می نمايد ، با قرار دادن اطلاعات فوق در كنار يكديگر و آناليز آنان می تواند به اطلاعات اررشمندی دست يابد كه از آنان به منظور برنامه ريزی حملات استفاده نمايد . دو نمونه از حملات مبتنی بر مهندسی اجتماعی : يك مهاجم با مسئول فنی يك مركز ارائه دهنده خدمات اينترنت (ISP ) تماس می گيرد و در مدت زمان مكالمه تلفنی با وی به اين نكته اشاره می نمايد كه دارای يك اتومبيل است كه قصد دارد آن را با قيمت مناسبی بفروشد . مسئول فنی ISP نسبت به خريد اتومبيل اظهار تمايل می نمايد . مهاجم به وی پيشنهاد می نمايد كه يك mail را كه حاوی تصوير اتومبيل است برای وی ارسال خواهد كرد . مهاجم ، در مقابل ارسال تصوير اتومبيل ( به عنوان يك فايل ضميمه ) يك برنامه مخرب از نوع backdoor را به همراه email برای مسئول فنی ISP ارسال می نمايد . زمانی كه مسئول فنی ISP نامه را دريافت و فايل ضميمه را فعال می نمايد ، برنامه مخرب ارسالی اجراء و يك حفره امنيتی را در بطن شبكه ISP ايجاد می نمايد. يك مهاجم می تواند اسامی كليدی پرسنل يك سازمان را از طريق تماس با واحد مربوطه بدست آورد . در ادامه وی طی تماس با محل كار و يا منزل و شنيدن پيام دستگاه پيام گير آنان از اين موضوع آگاه می گردد كه كدام مدير در خارج از شهر می باشد . در ادامه ، مهاجم با مراجعه به سازمان مربوطه وانمود می نمايد كه كليد خود را جا گذاشته است تا بتواند وارد ساختمان گردد . پس از ورود مهاجم ( كه ممكن است از كاركنان همان سازمان باشد ) به ساختمان اصلی سازمان مورد نظر ، وی وارد دفتر كار پرسنلی می گردد كه در خارج از شهر می باشد و بدون نگرانی كامپيوتر وی را بررسی و با بكارگيری انواع نرم افزارهای موجود تلاش می نمايد كه به اطلاعات موجود بر روی كامپيوتر دستيابی نمايد . حفاظت لايه سياست ها ، رويه ها و اطلاع رسانی • برای مقابله با انواع تهديدات ، می بايست سياست ها و رويه های امنيتی به صورت واضح تدوين ، پياده سازی و توسط تمامی پرسنل بكار گرفته شوند . هر فرآيند و يا عملياتی كه در خصوص سياست های امنيتی تعريف می گردد ، می بايست دارای دستورالعمل های مستند و روشنی باشد . • پرسنل سازمان می بايست نسبت به سياست ها و رويه های امنيتی آموزش ببينند . آموزش امنيت يك امر ضروری است تا اين اطمينان حاصل گردد كه كاربران نسبت به كارهائی كه می بايست در راستای تامين سياست ها و رويه های امنيتی انجام دهند، توجيه و آنان را رعايت می نمايند . نحوه آموزش می بايست بگونه ای باشد كه تصويری واقعی از جايگاه و اهميت امنيت اطلاعات را برای كاربران تشريح تا آنان نياز به امنيت را همواره و در تمامی سطوح احساس و به آن پايبند باشند . • يك سياست امنيتی تركيبی از خواسته ها و فرهنگ يك سازمان است كه متاثر از اندازه و اهداف يك سازمان می باشد . برخی سياست ها ممكن است به تمامی سايت ها اعمال گردد و برخی ديگر ممكن است در رابطه با محيط هائی خاص بكار گرفته شود . يك سياست امنيتی می بايست سطح كنترل را با سطح بهره وری بالانس نمايد . در صورتی كه يك سياست امنيتی محدوديت های زيادی را برای كاربران درپی داشته باشد ، كاربران روش های ناديده گرفتن آن را بررسی و برای آن راه حل های خاص خود را پيدا خواهند كرد . • اطلاع رسانی در خصوص مسائل امنيتی می بايست ترويج و در دستور كار قرار گيرد . مثلا" می توان از پوسترهای امنيتی و كارت های checklist برای اطلاع رسانی استفاده نمود . پوسترها و كارت های checklist دارای كارآئی بمراتب بهتری نسبت به مستندات حجيم سياست های امنيتی می باشند كه ممكن است جهت استفاده عموم بر روی شبكه اينترانت سازمان منتشر شده باشد. پوسترها و كارت های checklist را می بايست در مكانی نصب نمود كه در معرض ديد بيشتری باشند . • به منظور بررسی وضعيت برخی سياست های امنيتی نظير رمزهای عبور و پيكربندی امنيتی ، می توان از ابزارهائی نظير Microsoft Baseline Security استفاده نمود .





این صفحه را در گوگل محبوب کنید

[ارسال شده از: راسخون]
[مشاهده در: www.rasekhoon.net]
[تعداد بازديد از اين مطلب: 276]

bt

اضافه شدن مطلب/حذف مطلب







-


گوناگون

پربازدیدترینها
طراحی وب>


صفحه اول | تمام مطالب | RSS | ارتباط با ما
1390© تمامی حقوق این سایت متعلق به سایت واضح می باشد.
این سایت در ستاد ساماندهی وزارت فرهنگ و ارشاد اسلامی ثبت شده است و پیرو قوانین جمهوری اسلامی ایران می باشد. لطفا در صورت برخورد با مطالب و صفحات خلاف قوانین در سایت آن را به ما اطلاع دهید
پایگاه خبری واضح کاری از شرکت طراحی سایت اینتن