امنیت در فناوری اطلاعات

استفاده از رایانه در كسب و كار از زمانی متحول و فراگیر شد كه دسترسی به اطلاعات با سرعت بالا و هزینه كم امكان پذیر گردید. این تحول به شركتهایی كه در گذشته از رایانه برای واژه پردازی و یا ذخیره اطلاعات استفاده می كردند، اجازه داد كه رایانه های خود را به صورت شبكه درآورند و آن شبكه را به اینترنت متصل كنند. نیروهای رقابتی و شرایط سریع كسب و كار، سازمانها را مجبور ساخته است كه برای بقا، شبكه های خود را به روی دیگران باز كنند و تا جایی كه ممكن است از راه كارهای الكترونیك برای كسب و كار استفاده كنند درحالی كه این تحولات منافع بسیاری در گسترش تجارت امكان كار در خارج از اداره و حمایت نیروهای فروش در خارج از شركت را برای بسیاری از شركتها ایجاد می كند. متاسفانه خطراتی مانند ویروس‌های رایانه ای و خرابكاریهای رایانه‌ای را نیز به همراه خود می آورد.
به طورمعمول اخبار روز شامل گزارشهایی درباره آخرین كرمها و ویروسهای رایانه‌ای و خرابكاریهای روزافزون رایانه در شركتها وسازمانهای مختلف است. اینگونه اخبار ممكن است مدیر یك شركت را بر آن دارد كه بگوید استفاده از اینترنت در تجارت به خطراتش نمی‌ارزد. درحالی كه خطرات جدی و واقعی، هنگامی كه شناخته شوند می توان با آنها برخورد مناسب داشت و جلو بروز آنها را به میزان قابل ملاحظه ای گرفت. استفاده روزافزون از اینترنت توسط شركتهای كوچك و متوسط، لزوم آگاهی و یادگیری بیشتر درموردامنیت اطلاعات در سیستم‌های رایانه ای را برای مدیران این شركتها ایجاب می‌كند. در اینجا هدف ما ارائه اطلاعاتی است كه بتواند به شركتها كمك كند تا ضمن استفاده از اینترنت و شبكه‌های رایانه ای در برابر خطرات ناشی از ویروسها و خرابكاریهای رایانه‌ای نیز از خود محافظت كنند.
● امنیت اطلاعات
به طوركلی امنیت اطلاعات در سه اصل زیر خلاصه می شود:
- محرمانه بودن: بدین معنی كه فقط افراد مجاز حق دسترسی به اطلاعات را داشته باشند.
- صحت و استحكام: بدین معنی كه اطلاعات دست نخورده بماند و تغییر در آنها فقط توسط افراد مجاز در صورت لزوم به صورت درست و قابل پیگیری انجام شود.
- دردسترس بودن: بدین معنی كه اطلاعات درموقع نیاز به صورت قابل استفاده دردسترس قرار گیرد.
● تهدیدها
تهدیدهای امنیتی مربوط به اطلاعات رایانه ای و یا به عبارتی حملات رایانه‌ای شامل مواردی می شود كه حداقل یكی از اصول سه گانه امنیت را مخدوش سازد. هدف از یك حمله رایانه ای در كنترل گرفتن یك یا چند رایانه به منظور از كارانداختن، مخدوش كردن یا سوءاستفاده از اطلاعات موجود در آنها ویا به كارگیری آنها برای خرابكاری در رایانه‌های دیگر است.
كسانی كه به این حملات دست می‌زنند یا به اصطلاح خرابكارها معمولا" سه دسته هستند:
- افراد آماتور كه اغلب اطلاعات دقیقی از نحوه كار سیستم های عامل و فناوری اطلاعات نداشته و صرفا" برای تفریح از برنامه‌ها و ابزارهای از پیش تهیه شده برای دسترسی به رایانه‌های محافظت نشده استفاده می‌كنند این افراد را SCRIPT KIDDIES یا SREKCARC می‌نامند.
-خرابكاران حرفه ای كه معمولا" در ازای دریافت پول اطلاعات ذیقیمت شركتها را دراختیار رقبای آنها یا گروههای ذینفع قرار می‌دهند و یا در سیستم شركتهای رقیب خرابكاری می‌كنند. این افراد در امور فناوری اطلاعات وارد بوده واز آسیب‌پذیریهای سیستم های عامل و برنامه‌های مورداستفاده مطلع بوده و قادرند ردپای خود را ناپدید سازند. این افراد را در اصطلاح هكرها (HACKERS) می‌گویند.
- كاركنان فعلی شركتها و یا كاركنان سابق آنها كه به نحوی از شركت مذكور نارضایتی داشته و به قصد انتقامجویی و یا صدمه زدن در سیستم‌های اطلاعاتی شركت با استفاده از دانش و اطلاعات خود از سیستم‌های موردنظر به خرابكاری دست می زنند.
حملات رایانه ای معمولا" در سه مرحله انجام می شود:
مرحله اول – شناسایی و جمع آوری اطلاعات درمورد رایانه هدف؛
مرحله دوم – یافتن نقاط آسیب پذیر و راههای واردشدن به سیستم به عنوان یك كاربر مجاز؛
مرحله سوم – درصورت امكانپذیر نبودن مرحله دوم تلاش برای دسترسی به رایانه هدف از طریق دیگر و بدون استفاده از مشخصات كاربران مجاز انجام می پذیرد.
● انواع تهدیدهای رایانه ای
تهدیدهای رایانه ای به صورت زیر دسته‌بندی می شوند:
۱ – ویروسها و كرمها – اینها برنامه‌های كوچكی هستند كه ازطریق پست الكترونیك و یا نرم افزارهای آلوده به این ویروسها وارد یك رایانه شده و در آنجا به صدمه زدن و خرابكاری در برنامه ها و یا اطلاعات رایانه مذكور می پردازند.
۲ – اسب تروا (TROJAN HORSE) – برنامه‌هایی هستند كه ظاهرا" ماهیت خرابكاری نداشته به صورت برنامه‌های بازی و یا كمكی وارد سیستم شده و سپس در خفا به كارهای غیرمجاز و كنترل رایانه و سرقت اطلاعات محرمانه و یا شخصی كاربر می‌پردازند.
۳ – از كارانداختن (DENIAL OF SERVICE) – این عمل با ایجاد تعداد زیادی تقاضای سرویس از یك سیستم انجام شده و درنتیجه سیستم مذكور كارایی خود را از دست داده و یا از كار می افتد. درنتیجه سیستم نمی تواند خدمات لازم را به مشتریان واقعی خود ارائه كند. نظیر مشغول كردن یك تلفن.
۴ – شنود اطلاعات – در این مورد در مسیر ارتباطات ازطرق گوناگون اطلاعات مبادله شده سرقت و یا شنود می شوند.
۵ – وب سایت های تقلبی (PHISHING) – در این مورد یك وب سایت تقلبی با شكل و قیافه و امكانات كاملا" مشابه به یك وب سایت واقعی طراحی و دراختیار كاربران قرار می‌گیرد و بدین‌وسیله اطلاعات شخصی و محرمانه كاربران را به سرقت می برند.
● محافظت
برای محافظت از سیستم‌های اطلاعاتی رایانه‌ای شناسایی قسمتهای مختلف سیستم و آسیب پذیریهای موجود در آن ضروری است. پس از شناسایی و رفع آسیب پذیریهای سیستم باید مرتباً مواظب بود كه آسیب پذیریهای جدید به وجود نیاید و به طور متناوب سیستم را بررسی كرد تا از امنیت آن مطمئن شد درحالی كه هیچگاه نمی‌توان صددرصد از امنیت یك سیستم مطمئن بود ولی با اقدامات زیر می توان تا حد بسیار بالایی امنیت وحفاظت از یك سیستم را فراهم ساخت:
۱ – تهیه نقشه و راهنمای سیستم: این كار شامل شناسایی رایانه ها و شبكه‌های متصل و غیرمتصل به اینترنت و به خط تلفن و یا بی سیم، نرم افزارها و سیستم های عامل مورداستفاده نرم افزارهای ضدویروس و محافظ و اطلاعات و برنامه های حساس تجاری خواهدشد؛
۲ – تهیه سیاست امنیتی: این كار شامل تعریف سیاستهای مربوط به استفاده از رایانه‌‌‌ها توسط كاركنان و روشهای مورداستفاده در امنیت و حفاظت اطلاعات است. این سیاست چارچوبی را برای حفاظت از شبكه‌های رایانه‌ای و منابع اطلاعاتی موجود در آنها تعیین می‌كند. این سیاست باید به سادگی برای مدیران و كاركنان قابل درك بوده و تمامی نكات و موارد مربوط به امنیت را دربرگیرد. ازجمله مطالب مهم این سیاست عبارتند از:
تعریف استفاده مجاز، چگونگی احراز هویت و انتخاب كلمه رمز، مسئولیت به روز كردن نرم افزارهای موجود در هر رایانه اقدامات لازم درهنگام بروز یك حمله و یا ویروس رایانه ای و مسئولیتهای افراد دراین مورد.
معمولاً سیاست امنیتی در دو شكل تهیه می‌گردد. یكی به صورت ساده وكلی كه برای عموم كاركنان قابل استفاده باشد و دیگری با جزئیات بیشتر كه معمولاً محرمانه است و برای استفاده مدیران و كارشناسان فناوری اطلاعات و امنیت است.
۳ – محكم كاری در نرم افزارهای مورداستفاده: این قسمت شامل شناسایی نرم افزارهای موجود در سیستم و به روز كردن آنهاست. زیرا معمولا" آخرین مدل یك نرم افزار آسیب پذیریهای كمتری نسبت به مدلهای قدیمی تر آن دارد. ازجمله كارهای دیگر دراین قسمت حذف برنامه های آزمایشی و نمونه و برنامه‌هایی كه ازنظر امنیتی مطمئن نیستند از سیستم های مورداستفاده است.
۴ – كاهش تعداد نقاط دسترسی و كنترل نقاط باقیمانده: این مرحله شامل بررسی نقشه سیستم و شناسایی نقاط اتصال به اینترنت و دسترسی از راه دور به منظور كاهش نقاط دسترسی به حداقل ممكن و كنترل نقاط باقیمانده ازنظر دسترسی و ورود و خروج اطلاعات است.
۵ – شناسایی نقاط ورود پنهان: شناسایی و حذف مودم ها و نقاط دسترسی غیرمعمول كه احتمالا" از نظرها پنهان می ماند ولی بعضی از كاركنان آنها را مورداستفاده قرار می دهند.
۶ – نصب دیواره آتش (FIREWALL): این سیستم برای جداسازی و محافظت سیستم داخلی از اینترنت و همچنین كنترل دسترسی به سایت های اینترنتی به خصوص سایت‌های غیرمربوط به كار نصب می گردد. در مواردی می‌توان رایانه‌های مشخصی را جهت استفاده از اینترنت اختصاص داد. درصورت نیاز تغییر پورت های اتصال و آموزش كاركنان درمورد راههای درست دسترسی حائزاهمیت است.
۷ – نصب سیستم‌های تشخیص و جلوگیری از ورود غیرمجاز (INTRUSION DETECTION AND PREVENTION SYSTEMS): این سیستم‌ها به مانند دزدگیر عمل كرده و ورود و دسترسی غیرمجاز به سیستم را ثبت و اطلاع می‌دهد و یا از انجام آن جلوگیری می‌كند. حتی در مواردی كه عبور غیرمجاز از دیواره آتش انجام پذیرد با استفاده از این سیستم می توان آن را شناسایی و از بروز مجدد آن جلوگیری كرد. همچنین با بررسی به موقع لیست ثبت شده توسط سیستم IDP وشناسایی تلاشهای انجام شده برای دسترسی غیرمجاز به سیستم می‌توان از خطرات آتی جلوگیری كرد.
۸ – نصب نرم‌افزارهای ضدویروس: نصب نرم افزارهای ضدویروس در دروازه های ورودی سیستم و در رایانه‌ها برای شناسایی و جلوگیری از ورود ویروس های رایانه های به سیستم و احیاناً مرمت سیستم های آلوده به ویروس ضروری است. این نرم افزارها باید مرتباً به روز درآیند تا همواره از آخرین اطلاعات مربوط به ویروس‌های رایانه‌ای استفاده گردد.
۹ – بررسی متناوب عملكرد سیستم و رفع اشكالات آن: این بررسی ها به مدیریت این امكان را می دهد تا با درنظر گرفتن خطرات امنیتی موجود و نیاز به انجام عملیات تجاری، ضمن رفع اشكالات شناخته شده سیاست و برنامه امنیتی متناسب و متوازنی را اتخاذ كند.
۱۰ – آموزش كاركنان: كاركنان باید باتوجه به نیاز آنها در سطوح مختلف درباره مسائل امنیتی و حفاظت از اطلاعات رایانه ای آموزش دیده و آگاهی های لازم را پیدا كنند. ازجمله آموزش سیاست امنیتی شركت از ضروریات است.
● استانداردهای بین المللی برای امنیت اطلاعات
دررابطه با امنیت اطلاعات و داده ها و حفاظت از اطلاعات حساس، استاندارد انگلیسی BS۷۷۹۹ به وجود آمده كه بعداً به صورت استاندارد بین المللی ISO۱۷۷۹۹ درآمد. این استانداردها ایجاد ۱۰ كنترل كلیدی را ملزم ساخته كه عبارتنداز:
۱ – تهیه یك سیاست امنیتی مدون؛
۲ – مشخص كردن مسئولیتهای امنیتی در سازمان؛
۳ – آموزش درموارد امنیت اطلاعات؛
۴ – گزارش به موقع تهدیدات امنیتی و نحوه برخورد با آنها؛
۵– جلوگیری و كنترل ویروس‌های رایانه‌ای؛
۶– برنامه ادامه تجارت درصورت بروز خطرات امنیتی؛
۷ – كنترل تكثیر و كپی كردن نرم‌افزارهای دارای حقوق محفوظ؛
۸ – ایجاد فرایند مناسب برای مدیریت ثبت اطلاعات حساس؛
۹ – حفاظت از اطلاعات شخصی و خصوصی افراد؛
۱۰ – بررسی متناوب پیروی از استانداردها.
این ۱۰ كنترل، اطلاعات الكترونیك و غیرالكترونیك و همچنین نحوه ذخیره الكترونیك و فیزیكی آنها را شامل می‌شود.
باتوجه به اینكه مقوله امنیت اطلاعات و بخصوص مطابقت با یك استاندارد قابل قبول بین المللی هم ازنظر شركتها و تولیدكنندگان و هم ازنظر مشتریان و خریداران خدمات این شركتها حائزاهمیت است و بادرنظر گرفتن اینكه رعایت استانداردهای امنیتی شركتها را در زمینه مسئولیتهای قانونی آنها حمایت می‌كند توجه به استانداردهای بین‌المللی امنیت اطلاعات و پیروی از آنها در بازار جهانی امروز از اهمیت بیشتری برخوردار گشته است.
●● نتیجه گیری
اینترنت و شبكه های رایانه ای موجود در سازمانها و شركتها قابلیت جستجو و مبادله اطلاعات را به صورت بی‌سابقه امكان‌پذیر ساخته است. به وجود آمدن تجارت الكترونیك شركتهایی را كه حتی در گذشته تصور آن را هم نمی كردند قادر ساخته است كه به عرضه خدمات و كالاهای خود در سطح جهانی بپردازند.
درحالی كه چنین ابزار قدرتمندی در امر تجارت، انقلابی ایجاد كرده است نیاز به داشتن رایانه های امن و دسترسی امن به اینترنت را نیز الزام آور ساخته است. یك شركت كوچك یا متوسط در مقایسه با یك شركت بزرگ كه سرمایه زیادی را درجهت امن كردن سیستم های رایانه ای خود به كار برده است ممكن است برای یك خرابكار اطلاعاتی هدفی به مراتب ساده تر و بهتر باشد. به عنوان یك مدیر شما باید از چند وچون خطراتی كه دسترسی به اینترنت و شبكه رایانه ای شما را تهدید می كند اطلاع داشته باشید. شما نیازمند این هستید كه وقتی را به مقوله امنیت اختصاص دهید زیرا ایجاد یك سیستم امن رایانه ای نیازمند صرف وقت و منابع لازم است. دقت كافی توسط مدیریت وكارشناسان فناوری اطلاعات در زمینه امنیت اطلاعات و ایجاد محیط امن رایانه ای به شما امكان می دهد تا از منافع بسیاری كه اینترنت و شبكه های رایانه‌ای برای تجارت شما ایجاد می كند بهره‌مند گردید. آگاهی كامل از انواع تهدیدات وچگونگی مقابله با آنها خطرات ناشی از تهدیدات را به مرور كمتر خواهدكرد. درك مسائل امنیتی توسط مدیران و حضور موثر آنها در ایجاد و اجرای یك برنامه امنیت اطلاعات كارامد و متناسب با نیازهای سازمان و با رعایت استانداردهای موجود ضروری است.