دانلود پاورپوینت امنیت در تجارت الکترونیک

اختصاصی از فایل هلپ دانلود پاورپوینت امنیت در تجارت الکترونیک دانلود با لینک مستقیم و پر سرعت .

نوع فایل:  ppt _ pptx ( پاورپوینت )

( قابلیت ویرایش )

---

 قسمتی از اسلاید : 

تعداد اسلاید : 32 صفحه

امنیت در تجارت الکترونیک 1 مقدمه ای بر نقش امنیت در تجارت با تمام مزایایی که تجارت الکترونیک بهمراه دارد ، انجام تراکنش ها و ارتباطات آنلاین محلی بزرگتر برای سوء استفاده از فناوری و حتی اعمال مجرمانه فراهم می کند. هر ساله سازمان های بسیاری هدف جرائم مرتبط با امنیت ، از حملات ویروسی گرفته تا کلاه برداری های تجاری از قبیل سرقت اطلاعات حساس تجاری و اطلاعات محرمانه کارت های اعتباری قرار می گیرند.
با اینحال آنچه مهمتر از میزان خسارات ا ین آمار است ، این واقعیت است که با افزایش کاربران سیستم های اطلاعاتی ، دسترسی آسان به اطلاعات و رشد فزاینده کاربران مطلع (فنی) می توان به راحتی فرض کرد که تعداد این سوء استفاده ها از فناوری و تهدیدهای امنیتی نیز به همین نسبت افزایش یابد. 2 تجارت الکترونیک چیست؟
در دنیای رو به رشد و بهم متصل الکترونیکی امروز، زندگی انسان در دست بسته هایی می باشد که با سرعتی در حدود نور در حرکت می باشند. این انتقال ها که زندگی الکترونیکی ما را شکل می دهند به بخش های مختلفی تقسیم می شوند به طور مثال به انجام کارهای بانکی به صورت الکترونیکی، بانکداری اینترنتی یا الکترونیکی گفته می شود و به داد و ستد الکترونیکی نیز تجارت الکترونیک می گویند که این داد و ستد می تواند شامل خرید و فروش کالا و یا سرویسی خاص باشد.
3 تعریف امنیت : بر اساس واژه نامه Webster امنیت به معنای کیفیت یا حالت امن بودن، رهایی از خطر، ترس و احساس نگرانی و تشویش می باشد.
این تعبیر در دنیای الکترونیکی نیز صادق می باشد اما افراد متخصص این زمینه ، امنیت را در حفظ و بقاء 4 اصل می دانند: 4 ارزیابی عملیات تجارت الکترونیک اولین گام برای ایجاد یک برنامه جامع امنیت تجارت الکترونیک ، انجام یک ارزیابی کامل از ارزش و اهمیت تجارت الکترونیک در موفقیت کلی اهداف و برنامه تجاری شرکت است.گام بعدی ارزیابی آسیب پذیری سیستم تجارت الکترونیک شرکت از هر دو جنبه ی تهدیدات داخلی و خطرات موجود خارجی است.
5 طرح مستمر گام بعد ایجاد یک طرح مستمر تجارت الکترونیک است که بطور شفاف تمام نقاط ضعف احتمالی و روشهای جلوگیری و مقابله با آنها را مورد بررسی قرار دهد.
6 تحقیقات انجام شده درمورد امنیت تجارت الکترونیک مشهورترین سازمان هایی که به تحقیق در این زمینه می پردازند، موسسه امنیت رایانه (CSI) Computer Squad Intrusion و (FBI)Federal Bureau Investigation هستند.
طبق بررسی های انجام شده توسط این دو سازمان به طور کلی سوء استفاده از سیستم های کامپیوتری و سایر اقدامات ضد امنیتی با روندی نزولی روبه روست.
بر خلاف کاهش بیان شده در بررسی CSI/FBI ، تحقیقات Computer Emergency Response Team (CERT) ، دانشگاه Carnegie Mellon بیانگر افزایشی روز افزون در زمینه جرائم الکترونیکی است. CERTتحقیقاتی است که بودجه آن توسط دولت آمریکا تامین شده و در مرکزی در موسسه مهندسی نرم افزار دانشگاه CMU انجام می شود.
این موسسه تحقیقاتی، در سال 1988 جهت رسیدگی به مسائل امنیتی در اینترنت به وجود آمده است.
7 چیست؟
DHS در ایالات متحده ، مسئولیت عمده برقراری امنیت در دنیای مجازی از طریق بخش DHSصورت می گیرد .
برای تامین این هدف ( ایمن سازی فضاهای مجازی)، DHS ، نیز

  متن بالا فقط قسمتی از محتوی متن پاورپوینت میباشد،شما بعد از پرداخت آنلاین ، فایل را فورا دانلود نمایید 

---

  لطفا به نکات زیر در هنگام خرید دانلود پاورپوینت:  ................... توجه فرمایید !

• در این مطلب، متن اسلاید های اولیه قرار داده شده است.
• به علت اینکه امکان درج تصاویر استفاده شده در پاورپوینت وجود ندارد،در صورتی که مایل به دریافت  تصاویری از ان قبل از خرید هستید، می توانید با پشتیبانی تماس حاصل فرمایید
• پس از پرداخت هزینه ،ارسال آنی پاورپوینت خرید شده ، به ادرس ایمیل شما و لینک دانلود فایل برای شما نمایش داده خواهد شد
• در صورت  مشاهده  بهم ریختگی احتمالی در متون بالا ،دلیل آن کپی کردن این مطالب از داخل اسلاید ها میباشد ودر فایل اصلی این پاورپوینت،به هیچ وجه بهم ریختگی وجود ندارد
• در صورتی که اسلاید ها داری جدول و یا عکس باشند در متون پاورپوینت قرار نخواهند گرفت.
  
• هدف فروشگاه جهت کمک به سیستم آموزشی برای دانشجویان و دانش آموزان میباشد .
  

---

 « پرداخت آنلاین »

تحقیق درباره امنیت شبکه

اختصاصی از فایل هلپ تحقیق درباره امنیت شبکه دانلود با لینک مستقیم و پر سرعت .

لینک دانلود و خرید پایین توضیحات

فرمت فایل word  و قابل ویرایش و پرینت

تعداد صفحات: 13

فصل سوم :

امنیت شبکه

امنیت شبکه:

شبکه کامپیوتری یک سیستم اطلاعاتی گسترده است وافراد میتوانند دور از نظر مسئولان سیستم به آن دسترسی داشته باشند از طرف دیگر ممکن است اطلاعات بشیار مهمی در شبکه ذخیره شده باشد،لذا کنترل شدید بر صلاحیت و چگونگی کار کاربران امری حیاتی است.

کنترل امکانات و عملکرد کاربران در شبکه به دو شاخه اساسی تقسیم میشود:

الف-چه کسی در شبکه کار می کند؟

ب-اجازه چه کارهایی به او داده می شود؟

کاربران شبکه

Net wareهنگام ورود هر کاربر به شبکه یک "نام کاربر"از وی میبرسد.اگر نام کاربر یکی از نامهای تعریف شده توسط مدیر شبکه باشد به وی اجازه کار در شبکه داده خواهد شد.امکانات واختیاراتی که یک کاربر در شبکه دارد مستقیماًبه نامی که هنگام ورود تایپ کرده است بستگی دارد.

نام کاربر منظور نامی است که توسط مدیر شبکه برای وی در نظر گرفته شده است.

نام کاربر در شبکه حتی المقدور متناسب با نام واقعی کاربر باشد نام کوچک ویا نام فامیلی کاربر معمولاً انتخابهای مناسبی هستند ارتباط نام کاربر با نام واقعی او این مزیت را دارد که یک کاربر در شبکه به خوبی توسط مدیر شبکه و دیگر کاربران شناخته میشود و این امر در برقراری ارتباط بین کاربران بسیار مفید است.

اما به این ترتیب ممکن است افراد بدون صلاحیت یا کاربران دیگر،به جای یک کاربر خاص وارد شبکه شده و از مجوزهایی که برای او منظور شده است استفاده کنند.برای جلوگیری از این امر در net ware تدابیرشدیدی در نظر گرفته شده است.

گروههادر شبکه:

در بسیاری از موارد در یک شبکه لازم است عملیات و مجوزهای خاصی در مورد تعدادی ازکاربران اعمال شود در این مورد دسته بندی کاربران مفید خواهد بود .سیستم امنیتی netwareامکان دسته بندی کاربران،به صورت «گروه»ها رافراهم می کند.این دسته بندی باید به دقت صورت گیرد و افرادی که در یک دسته قرار میگیرند باید در اطلاعات مورد نیاز و یا عملیاتی که انجام میدهند با یکدیگر وجه اشتراک داشته باشند،یک گروه ممکن است اعضاء مشترکی با یک گروه دیکر داشته باشند

یک گروه مهم،گروهeveryone است.این گروه که شامل همه کاربران شبکه میشود در ابتدای ایجاد سیستم به صورت اتوماتیک ایجاد میشود.یک خاصیت این گروه این است که هر کاربری که برای سیستم تعریف میشود به صورت اتوماتیک عضوی از این گروه خواهد شد.هر گاه این گروه توسط مدیر شبکه پاک شود و دوباره ایجاد شود تنها کاربران جدید در این گروه قرار خواهند گرفت.

گروه بندی کاربران توسط مدیر شبکه صورت میگیرد وهر کاربر تنها می تواند از نام گروههاونام اعضای آنها اطلاع حاصل کند.

امنیت در ورود به شبکه:

هر کاربر هنگام ورودبه شبکه باید یک «نام کاربر»و کد عبور (password)مربوط به این نام را بداند.هر ماربر با استفاده از دستور loginویا وارد کردن نام کاربر و کد عبور وی وارد شبکه می شود.هر گاهدکاربر،نام ویاکدعبورخود را غلط تایپ کند از ورود وی به شبکه جلوگیری خواهد شد.کسانی که در کنار کاربر هستندممکن است هنگام ورود از کد کاربر مطلع شوند،لذا کد عبور هنگام ورود،روی صفحه ظاهر نمی شود.کد عبور ونام کاربر را میتوان هم با حروف کوچک و هم با حروف بزرگ وارد کرد.

اگر کسی سعی کند با نام کاربر وارد شبکه شود وکد عبور صحیح را نداند،پیامی شبیه به پیام زیر روی صفحه نمایش دیده خواهد شد.

Access to server denied

You are attached server SINASOFT.

اگر کسی سعی در ورود داشته باشد و نام او برای شبکه شناخته شده نباشد از او کد عبور پرسیده می شودوسپس پیامی مشابه پیام بالا را دریافت خواهد کرد.

هر کاربردر شبکه دارای حسابی است که به وسیله این حیاب،درصورت لزوم نحوه کار کاربر در شبکه ارزیابی میشود.برای ورود یک کاربر به شبکه لازم است حساب فوق باز بوده و به وسیله مدیر شبکه(یاعوامل دیگر )

بسته نشده باشد.

امنیت کد عبور:

کد عبور یک کاربر،در وافع نشاندهنده شخصیت کاربر در شبکه است و به این وسیله سیستم عامل از صحت هویت کاربر مطلع میشود.در سیستم عامل Net ware تدابیری برای حفظ امنیت کد عبور در اختیار مدیر شبکه قرار داده می شود که این تدابیر شامل موارد زیر مباشد:

مدیر شبکه میتواندبه کاربران اجازه تعویض کد عبوررا بببدهدویا این حق را از آنها بگیرد.در هر دو صورت مدیر شبکه میتواند کدعبور کاربران را عوض کند.

>> SIN SOFT CONNECTION TIME EXPIRED,PLEASE LOG OUT.

دانلود پاورپوینت امنیت شبکه

اختصاصی از فایل هلپ دانلود پاورپوینت امنیت شبکه دانلود با لینک مستقیم و پر سرعت .

نوع فایل:  ppt _ pptx ( پاورپوینت )

( قابلیت ویرایش )

---

 قسمتی از اسلاید : 

تعداد اسلاید : 20 صفحه

FIRE WALLS مفهوم بنیادی در امنیت شبکه.
FIRE WALLS دریک نگاه دیوار آتش چیست ؟
دیوار آتش چه کاری انجام می دهد دیوار آتش چه کاری انجام نمی دهد چه کسی احتیاج به دیوارآتش دارد دیوارآتش چگونه عمل میکند دیوارآتش سیستم رادربرابرچه چیزی محافظت میکند رده های مختلف دیوارآتش دیوارهای آتش شخصی نمونه هایی ازدیوارآتش چه کسی نیازبه فایروال دارد هرشخصی که مسئول ارتباط یک شبکه خصوصی به عمومی است هر کاربرکه باکامپیوترشخصی به اینترنت وصل می شود واژه FIREWALLیا دیوارآتش اولین باربه دیوارهای نسوزی اطلاق شد که درون ساختمانها به منظورجلوگیری از گسترش آتش سوزی احتمالی به کار میرفت. دیوارآتش واژه ای است برای توصیف نرم افزار یاسخت افزاری که معمولادرنقطه اتصال یک شبکه داخلی بامحیط خارج قرارمی گیردتاترافیک شبکه ای ردوبدل شده میان این دوراکنترل کنند.
فایروال چه کاری انجام میدهد فایروال میتواند کل ترافیک بین دوشبکه رابازرسی کند فایروال میتواندترافیک ورودی وخروجی رافیلترکند فایروا ل میتواند کلیه تلاشهایی که جهت اتصال به شبکه خصوصی صورت میگیرد راگزارش کندودرصورت نفوذ بیگانه اعلان خطرکند فایروال میتواندبسته های ارسالی رابرپایه آدرس مبداومقصدوشماره پورت و...جداکند فایروال میتواند قوانین امنیتی رانیزاجراکند Fire wall چگونه عمل می کند دوراه برای عدم دسترسی توسط fire wall وجوددارد یک firewallمیتواند به کل ترافیک اجازه دسترسی دهدمگراینکه باقوانین وضوابط خودش مغایرت داشته باشد کل ترافیک رامسدود کند مگراینکه باضوابط fire wall صدق کند فایروال چه کاری رانمی تواندانجام دهد.
FIRE WALL نمی تواند یک کاربرشخصی که بامودم به داخل یاخارج ازشبکه متصل می شودراکنترل نماید.
Fire wall سیستم رادربرابرچه چیزی محافظت میکند.
Remote logingکنترل کامپیوترازراه دور Spam ایمیلهایی که فرستنده آن مشخص نیست Email bombارسال پیامهای اینترنتی که حجم بسیاربالایی دارد Virus ویروس هایی که باعث اختلال میشود Denial of serviceانواع روشهای حمله به شبکه که باعث ازکارانداختن سرویسهای مختلف آن شبکه می شود بررسی نحوه عمل فایروال درک بهتر روابط لایه ها پایین ترین لایه ای که فایروال درآن کارمی کندلایه سوم است.
------------------ فایروال درلایه سوم به مسیریابی و ارسال بسته ها می پردازد فایروال درلایه ترنسپورت به صدورمجوز یاعدم آن برای دسترسی بسته به لایه بالا ترمی پردازد رده های مختلف fire wall دیوارههای آتش ازنوع PACKET FILTERING دیوارههای آتش باقابلیت بررسی پویای بسته هایاSTATEFUL (DYNAMIC)PACKET INSPECTION دیوارههای آتش ازنوعAPPLICATION PROXY (GATWAY) مسیریابهای NAT دیوارههای آتش شخصی اولین نسل فایروال کنترل برمبنای برخی اطلاعات پایه ای درون هر پکت در دوقالب وجوددارد دیوارههای آتش ازنوع PACKET FILTERING مزایا : کنترلهاباجزئیات خوب (LOW LEVEL) – باوجوداین دیواردراکثربرنامه وابزارروتینگ دیگرنیازبه وسایل جانبی نداریم معایب :تنضیم دشوار ونقص در قوانین سوءاستفاده ازدرگاههای بازشده دیوارههای آتش باقابلیت بررسی پویای ومفهومی بسته ها هایاSTATEFUL (DYNAMIC)PACKET INSPECTION فیلترینگ معمولی STATELES:بررسی محتویات هدر STATEFUL: بررسی CONTEXT &CONTENT مزایا : پکت دارای IP جعلی

  متن بالا فقط قسمتی از محتوی متن پاورپوینت میباشد،شما بعد از پرداخت آنلاین ، فایل را فورا دانلود نمایید 

---

  لطفا به نکات زیر در هنگام خرید دانلود پاورپوینت:  ................... توجه فرمایید !

• در این مطلب، متن اسلاید های اولیه قرار داده شده است.
• به علت اینکه امکان درج تصاویر استفاده شده در پاورپوینت وجود ندارد،در صورتی که مایل به دریافت  تصاویری از ان قبل از خرید هستید، می توانید با پشتیبانی تماس حاصل فرمایید
• پس از پرداخت هزینه ،ارسال آنی پاورپوینت خرید شده ، به ادرس ایمیل شما و لینک دانلود فایل برای شما نمایش داده خواهد شد
• در صورت  مشاهده  بهم ریختگی احتمالی در متون بالا ،دلیل آن کپی کردن این مطالب از داخل اسلاید ها میباشد ودر فایل اصلی این پاورپوینت،به هیچ وجه بهم ریختگی وجود ندارد
• در صورتی که اسلاید ها داری جدول و یا عکس باشند در متون پاورپوینت قرار نخواهند گرفت.
  
• هدف فروشگاه جهت کمک به سیستم آموزشی برای دانشجویان و دانش آموزان میباشد .
  

---

 « پرداخت آنلاین »

تحقیق درباره امنیت شغلی با رویکرد ایمنی و سلامت و نقش آن در نگهداری کارکنان 33 ص

اختصاصی از فایل هلپ تحقیق درباره امنیت شغلی با رویکرد ایمنی و سلامت و نقش آن در نگهداری کارکنان 33 ص دانلود با لینک مستقیم و پر سرعت .

لینک دانلود و خرید پایین توضیحات

فرمت فایل word  و قابل ویرایش و پرینت

تعداد صفحات: 33

امنیت شغلی با رویکرد ایمنی و سلامت و نقش آن در نگهداری کارکنان

چکیده :

این مقاله به بررسی یکی از عوامل مهم نگهداری کارکنان یعنی ایمنی و سلامت حرفه‌ای می‌پردازد. در ابتدا تعریف و مفاهیم مربوط ارائه می‌شود و سپس روش‌های متداول بررسی و اقدام در زمینه بهداشت و ایمنی محیط کار نام برده شده و به قوانین ایمنی و سلامت حرفه‌ای در ایران اشاره می‌گردد. همچنین فرهنگ، سخت افزار و سیستم‌ها که عوامل کلیدی در ایمنی و سلامت حرفه‌ای هستند مورد بررسی قرار می‌گیرند. مواردی راهنما به منظور ارزیابی عملکرد ایمنی و سلامت ارائه می‌شود. انواع برنامه‌های ایمنی بر مبنای مشوق و برمبنای رفتار تحلیل می‌شوند. بعد از این مطالب استرس مرد بررسی قرار می‌گیرد. پس از تعریف استرس و عوامل بوجود آورنده آن، عواملی که بر آن اثر گذاشته و از آن اثر می‌پذیرند، بررسی شده و سپس راهکارهایی در چارچوب مدیریت استرس برای بهینه کردن آن ارائه می‌شود.

کلیدواژه : ایمنی و سلامت حرفه ای؛ امنیت شغلی؛ خطر بالقوه؛ بهداشت محیط کار؛ برنامه های ایمنی؛ استرس؛ فشار روانی؛ مدیریت استرس؛ ایمنی؛ شغل

1- مقدمه

یکی از رسالت‌های اساسی مدیریت منابع انسانی نگهداری کارکنان توانمند می‌باشد. از آنجا که اقدامات نگهداری، مکملی بر سایر اقدامات و فرایند‌های مدیریت منابع انسانی است، حتی اگر عملیات کارمندیابی، انتخاب، انتصاب و سایر اقدامات پرسنلی به نحو بایسته انجام شود بدون توجه کافی به امر نگهداری نتایج حاصل از اعمال مدیریت چندان چشمگیر نخواهد بود. نظام نگهداری منابع انسانی ابعاد متعددی را شامل می‌شود که می‌توان آنها را به دو دسته تقسیم نمود: دسته اول در رابطه با حفظ و تقویت جسم کارکنان است مانند برقراری بهداشت و ایمنی در محیط کار، اجرای برانامه‌های ورزش و تندرستی و بعضی خدمات مشابه. دسته دوم شامل مواردی است که تقویت‌کننده روحیه علاقمندی کارکنان به کار و محیط کار می‌باشد مانند خدمات بیمه و بازنشستگی و خدمات پرسنلی. در صورت داشتن توجه و بکارگیری این موارد امنیت شغلی در کارکنان ایجاد شده و به رضایت شغلی آنها منتهی می‌شود که این امر خود از اهمیت بسزایی برخوردار است.در مقاله حاضر تأکید اصلی بر روی موارد دسته اول است به این صورت که در ابتدا در مورد اصطلاحات ایمنی و سلامت و جنبه‌های قانونی آن بحث می‌شود و در ادامه به برنامه‌ها و راهکار‌های مدیریت ایمنی و سلامت حرفه‌ای پرداخته می‌شود. در قسمت دوم مقاله بحث سلامت کارکنان با توجه به عامل کلیدی استرس در محیط کار با تمرکز بر روی شناخت و بهینه سازی میزان استرس بررسی می‌شود. در پایان امید است که توجه و بکارگیری مطالب و راهکار‌های این مقاله در افزایش ایمنی و سلامت محیط کار، بهینه سازی سطح استرس و ایجاد امنیت شغلی مناسب و در نهایت ایجاد رضایت شغلی موثر باشد که این نیز یکی از عواملی است که در بهبود مستمر و تعالی سازمان‌ها باید در نظر گرفته شود.

2- امنیت شغلی1 در آینده

در آینده و در تجارت تغییرات سریع باعث کوچک‌تر شدن سازمان‌ها می‌شود و سازمان‌ها به سمت مجازی شدن پیش می‌روند. سازمان‌ها به صورت یک هسته مرکزی در می‌آیند و سایر قسمت‌ها و کارکنان به صورت موقت در اطراف آنها قرار می‌گیرند و اکثر مردم برای خود کار خواهند کرد. پرداخت‌ها به صورت قسمتی از سود خواهد شد و جای دستمزد‌های ثابت را می‌گیرد. کارکنان خود را باید با قرارداد‌های نامعین و مستقل وفق دهند. در این شرایط کارکنان مجبورند همواره در حال یادگیری باشند که دلیل این وضعیت افزایش روزافزون رقابت است. در آینده امنیت استخدام بر مبنای توانایی کارکنان در ایجاد ارزش افزوده می‌باشد. با توجه به این عوامل می‌توان نتیجه گرفت که در آینده عمده مسئولیت ایمنی و سلامت به عهده کارکنان است (وارن 1996؛ یوسف 1998).

3- تعاریف و مفاهیم ایمنی و بهداشت کار

ایمنی2: ایمنی میزان دوری از خطر تعریف شده است. ایمنی یک موضوع حفاظت نسبی از برخورد با خطرات است و کمیتی نسبی می‌باشد.

خطر بالقوه3: شرایطی که دارای پتانسیل صدمه به افراد، خسارت به تجهیزات و ساختمان‌ها، از بین بردن مواد و ... باشد.

خطر بالفعل4: واژه خطر بالفعل بیان کننده قرارگرفتن نسبی در معرض یک خطر بالقوه می‌باشد ولی وقتی که یک خطر بالقوه وجود داشته باشد الزاماً یک خطر بالفعل را به همراه نخواهد داشت.

حادثه ناشی از کار5: حادثه یک رویداد یا واقعه برنامه ریزی نشده و بعضاً آسیب‌رسان و خسارت‌آور است که انجام، پیشرفت، یا ادامه کار را به صورت طبیعی مختل ساخته و همواره در اثر یک عمل یا انجام یک کار غیرایمن یا در اثر شرایط غیرایمن یا در اثر ترکیبی از این دو به وقوع می‌پیوندد.

ریسک6: ریسک عبارت است از امکان وارد آمدن آسیب به انسان یا دارائی او (حقیقی 1379، 110).

4- روش‌های متداول بررسی و اقدام در زمینه بهداشت و ایمنی محیط کار

روش‌های تامین سلامت کارکنان در محل کار: شامل روش‌های طبی، روش‌های کنترل محیط  و روش‌های روانشناسی است. در این مقاله بر روی این روش‌ها صحبت می‌شود.

ارگونومی: به مطالعاتی اطلاق می‌شود که در آن ساخت ترکیب و سازمان کار طراحی تجهیزات شغل و محل کار در رابطه با عامل انسانی مورد بررسی قرار می‌گیرد و در این روش‌ها به مسائل فیزیولوژیکی، ادراکی و تاحدی رفتاری انسان توجه می‌گردد.

روش‌های بیومکانیکی: این روش‌ها تعامل فیزیکی بین انسان و سیستم مکانیکی اطراف او را مورد نظر داشته، ابزار، تجهیزات و تسهیلات محل کار را در این رابطه مورد مطالعه قرار می‌دهد.

مهندسی سیستم ها: در این روش با توجه به اصول سیستم‌ها تمامی اجزای موجود شناسائی شده و با استفاده ار روش‌های تجزیه و تحلیل کمی مسائل ایمنی را مورد مطالعه قرار می‌دهد.

روش‌های اکتشافی: در این روش‌ها با مطاله در نحوه توزیع و تشخیص بیماری‌ها و روش‌های آماری و مقایسه میزان سلامت و ایمنی مورد تحلیل قرار می‌گیرد.

روش‌های رفتاری: در این روش‌ها برای بررسی ایمنی و سلامت از متغیر هایی نظیر رضایت از کار ، انگیزش، مشارکت و عواملی از این دست پرداخته می‌شود که در این مقاله از این روش‌ها نیز استفاده می‌شود (میرسپاسی 1375، 239-240).

5- قوانین دولتی و ایمنی و سلامت حرفه‌ای

با توجه به اهمیت ایمنی و سلامت، کارفرمایان همواره از طرف افراد جامعه، کارگران و کارمندان و گروه‌ها و اتحادیه‌های کارگری به منظور پذیرفتن مسئولیت بیشتر در مورد ایمنی و سلامت کارکنان تحت فشار بوده‌اند. این فشار‌ها باعث شده تا دولت‌ها به ایجاد قوانین

مقاله امنیت فناوری اطلاعات

اختصاصی از فایل هلپ مقاله امنیت فناوری اطلاعات دانلود با لینک مستقیم و پر سرعت .

این محصول در قالب ورد و قابل ویرایش در 205 صفحه می باشد.

فهرست

پیشگفتار  ۲
خلاصه اجرایی  ۵
بخش اول
مقدمه  ۹
فصل ۱: امنیت اطلاعات چیست؟    ۱۰
فصل ۲: انواع حملات  ۲۶
فصل ۳: سرویس های امنیت اطلاعات  ۴۲
فصل ۴ : سیاست گذاری  ۵۵
فصل ۵: روند بهینه در امینت اطلاعات  ۹۱
نتیجه گیری  ۱۱۴
بخش دوم
فصل ۱: امنیت رایانه و داده ها  ۱۱۹
فصل ۲: امنیت سیستم عامل و نرم افزارهای کاربردی   ۱۴۰
فصل ۳: نرم افزارهای مخرب  ۱۵۰
فصل ۴: امنیت خدمات شبکه  ۱۶۳
نتیجه گیری  ۱۹۱
پیوست آشنایی با کد و رمزگذاری  ۱۹۳
منابع  ۲۰۴

 امنیت اطلاعات نمی تواند ایمنی را صد در صد سازماندهی اطلاعاتی سیستم کامپیوتری شما ضمانت نماید. به عبارت دیگر امنیت اطلاعات قادر به نگهداری اطلاعات شما نیست. هیچ سحر و جادویی را نمی توان یافت تا امنیت کاملی برای اطلاعات ایجاد نمود. مفاهیم موجود در امنیت اطلاعات، علم نظامی و فنی هم نیست که واضح و آشکار باشد.

در واقع امنیت اطلاعات نوعی طرز فکر است. طرز فکری که در آن انواع تهدیدهای ممکن و راههای ضربه زدن به سازماندهی اطلاعاتی بررسی می شود و مدیریت مناسبی برای آن پیشنهاد می گردد. شاید به تعداد زیادی از تولید کنندگان برخورد کرده باشید که هر یک ادعا می کنند محصول تولیدی آنها بهترین راه حل برای رفع مشکلات امنیتی است .

در این فصل سعی بر آن است تا مسائل مربوط به امنیت اطلاعات تشریح گردد و در نهایت استراتژی مدیریتی مناسبی برای سازماندهی اطلاعاتی پیشنهاد گردد.

تعریف امنیت اطلاعات

بنا بر فرهنگ Merrian- Webster (که به صورت زنده در آدرس www.m-w.com موجود است)  کلمه «اطلاعات» بصورت زیر تعریف شده است:

اطلاعات دانشی است که از طریق تحقیق، مطالعه، آموزش، فهم مطلب، اخبار، حقایق، دیتا، سیگنال یا کارکتری که حاوی دیتا باشد ( مانند سیستمهای مخابراتی یا کامپیوتری)، چیزی که نحوه ایجاد تغییرات در یک ساختار را بیان می کند (مانند طرح یا تئوری) و چیزهایی از این قبیل بدست آمده باشد.

در همین فرهنگ نامه امنیت بصورت زیر تعریف شده است :

رهایی از خطر ، وجود ایمنی ، رهایی از ترس یا نگرانی

اگر دو کلمه فوق را در کنار هم قرار دهیم ، به تعریفی از «امنیت اطلاعات» بصورت زیر خواهیم رسید:

امنیت اطلاعات میزان اجازه و اختیاری است که استفاده از یک سرویس ، عدم استفاده از آن، و مقدار ایجاد اصلاحات توسط آن تعریف می شود و جلوگیری از بکارگیری دانش، حقایق ، دیتا یا قابلیت ها را باعث می شود .این تعریف حوزه وسیعی را شامل می شود که دانش ، حقایق ، دیتا یا قابلیت ها در برابر اتفاقات بد محافظت شود. علاوه بر این در تعریف فوق محدودیتی روی شکل اطلاعات قرار ندادیم بطوریکه می تواند بصورت دانش یا قابلیت های یک سیستم باشد.

اما تعریفی که از امنیت شبکه ارائه شد ضمانتی روی حفاظت از اطلاعات ندارد . زیرا اگر بزرگترین قلعه نظامی دنیا بسازیم باز هم یک نفر پیدا خواهد شد که با ابزار جنگی قوی تر و بزرگتری آن قلعه را فتح خواهد کرد.

امنیت اطلاعات نامی است که به اقدامات پیشگرانه اطلاق می شود بطوریکه این اقدامات قادر است از اطلاعات و قابلیت هایمان نگهبانی نماید. بدین ترتیب می توانیم اطلاعات را در برابر حملات خارجی و بهره برداری های غیر مجاز محافظت نماییم.

تاریخچه مختصری از امنیت 

امنیت اطلاعات در طول زمان و بتدریج سیر تکاملی خود را پیموده است بطوریکه این روند تکاملی از رشد تکنولوژی و مسائل اجتماعی متأثر بوده است . فهمیدن روند رشد امنیت اطلاعات در این جهت مهم است که می توانیم احتیاجات خود را بهتر درک کرده و مطابق نیازهای روز آنرا ایجاد نمائیم . علاوه بر دانستن تاریخچه امنیت اطلاعات ، باید بر جنبه های مختلف آن نیز اشراف داشت بدین ترتیب اشتباهاتی که افراد قبل از ما انجام داده اند تکرار نخواهد شد . در ادا مه به این موارد خواهیم پرداخت .

 امنیت فیزیکی

از جهت تاریخی می توان گفت اولین شکل اطلاعاتی که بشر آنها را نگهداری می کرد به صورت  فیزیکی بودند بطوریکه در ابتدا آنها را روی سنگ و بعداً روی کاغذ ثبت می کرد. ( بسیاری از کتابهای راهنمای تاریخی در مکان امن و مناسبی قرار نداشته اند تا اطلاعات حیاتی آنها در امان بماند . به همین دلیل امروزه اطلاعات بسیار کمی درباره علم کیمیا وجود دارد. علاوه بر این کسانی که اطلاعات مهم در اختیار داشتند آنرا فقط در برخی شاگردان خاص خود قرار می دارند چنانکه ضرب المثلی معروف میگوید دانش همان قدرت است . شاید این روش بهترین روش باشد . یک ضرب المثل معروف می گوید: رازی که بیش از یکنفر آنرا بداند دیگر راز نیست ). بهر حال برای محافظت از این سرمایه ها امنیت فیزیکی بصورت دیوار ، خندق و نگهبان بکار می رفت.

برای ارسال این نوع اطلاعات از یک پیام رسان استفاده می شد که اغلب نگهبانی هم او را همراهی می کرد. خطر موجود در این حالت کاملاً فیزیکی است چون راهی وجود ندارد که بدون بدست آوردن آن شئ اطلاعاتش را بدست آورد. در اکثر موارد سرمایه موجود به سرقت می رفت ( این سرمایه پول یا اطلاعات مکتوب بود ) و مالک اصلی آنرا از دست می داد.

امنیت مخابراتی

متأسفانه امنیت فیزیکی دارای نقص عمده ا ی است و آن اینکه اگر هنگام جابجایی اطلاعات، پیام به سرقت رود اطلاعات آن قابل استفاده و یادگیری برای دشمن خواهد بود . این نقیصه توسط ژولیس سزار شناسایی شده بود. راه حل این نقص در امنیت مخابراتی است. ژولیس سزار برای رفع این مشکل رمز سزار را ایجاد کرد.  این نوع رمز باعث میشد تا اطلاعات در حال انتقال حتی اگر به سرقت برود توسط کسی قابل خواندن و استفاده نباشد .

این مسئله در جنگ جهانی دوم ادامه پیدا کرد. آلمانی ها از ماشینی به نام Enigma استفاده کردند که پیام های ارسالی به واحدهای نظامی توسط آن رمز میشد. آلمانی ها ادعا می کردند اگر از ماشین  Enigmaبدرستی استفاده شود نمی توان قفل آنرا شکست . اما استفاده درست از آن کار بسیار سختی بود، به همین دلیل برخی اپراتورها هنگام استفاده از این ماشین دچار اشتباه می شدند و در نتیجه طرف مقابل قادر بود برخی پیامها را بخواند ( بعد از آنکه مقادیر قابل توجهی از منابع رمز این ماشین بدست آمد مشکل خواندن پیام های آن نیز حل شد).

ارتباطات نظامی برای ارسال پیام به واحدها و مکان های نظامی از کلمات کد استفاده می نمایند. ژاپن در طول جنگ از کلمات کدی استفاده می کرد که درک درست پیام ها را برای آمریکایی ها ، حتی اگر کدها را کشف می کردند بسیار مشکل می ساخت . زمانیکه جنگ به نبرد Midway  کشیده شد، کد شکن های آمریکایی سعی می کردند هدف ژاپنی ها پیدا کنند. این هدف در پیام های ژاپنی ها بصورت ” AF ” دیده می شد. سرانجام آمریکایی کاری می کردند تا Midway عمداً پیامی درباره کمبود آب ارسال نماید. ژاپنی ها مجبور شدند در پاسخ و یک پیام کد ارسال کنند. در پیام کد شده معلوم گردیده که  AF مخفف آب است . از انجام که آمریکایی ها پیام ژاپنی ها را خواندند لذا قادر بودند که بفهمند  AF در واقع همان Midway است.

 پیام ها تنها نوع ترافیکی نبود که کد می شدند . واحدهای ارتش آمریکا از یک زبان محلی استفاده می کردند تا دشمن نتواند به پیام های مخابره شده گوش کند . این افراد محلی برای ارسال پیام ها استفاده می کردند به همین دلیل اگر دشمن به این پیام ها گوش می داد نمی توانست از آن چیزی بفهمد.

بعد از جنگ جهانی دوم جاسوسان اتحاد جماهیر شوروی برای ارسال اطلاعات از یک سیستم خاص استفاده می کرد که one- time pads  ( الگوی یکبار مصرف) نام داشت. این سیستم در واقع از چند صفحه کاغذ ادبی تشکیل شده بود که هر صفحه از آن دارای یک عدد تصادفی بود. هر صفحه فقط و فقط برای یک پیام بکار می رفت . چنانچه از این روش رمز نگاری بدرستی استفاده می شد، غیر قابل شکست بود اما در اینجا هم اشتباهات انسان باعث شد تا برخی از پیام ها قابل رمز گشایی شود.

امنیت تشعشع  

صرف نظر از اشتباهاتی که باعث لو رفتن یک پیام رمز شده می شود، استفاده  از یک رمز کننده خوب باعث می شود که شکستن آن رمز بسیار مشکل گردد. به همین دلیل تلاش ها به سمت دیگری معطوف گردید تا بوسیله آن بتوان اطلاعات رمز شده برای ارسال را به چنگ آورد. در سال۱۹۵۰ کشف گردید اگر سیگنالهای الکتریکی که از طریق خطوط تلفن عبور می کنند تحت نظر قرار گیرند می توان به پیام اصلی دست پیدا کرد.

تمام سیستم های الکترونیکی از خود تشعشع الکترونیکی صادر می کنند. این پدیده در دستگاه تله تایپ و دستگاه رمز کننده ای که برای ارسال پیام های رمز شده بکار می رود نیز وجود دارد .

وظیفه دستگاه رمز کننده این است که سر راه پیام قرار داده شود و پس از رمز نمودن پیام، آنرا روی خط تلفن ارسال کند. اما نکته جالب این است که سیگنالهای الکتریکی که پیام اصلی و رمز نشده را در خود دارند بدلیل تشعشع ، اندکی روی خط تلفن دیده می شود. در واقع اگر از تجهیزات خوبی استفاده شود می توان پیام را از روی خط تلفن بازیابی کرد.

این مشکل ایالات متحده آمریکا را بر آن داشت تا برنامه ای به نام TEMPTEST ایجاد کند. وظیفه این برنامه ایجاد استاندارد های تشعشع الکتریکی برای سیستم های کامپیوتری است که در محیطهای بسیار حساس استفاده می شوند . نتیجه این بود که با کاهش تشعشعات ، امکان به سرقت رفتن اطلاعات کاش یافت .

امنیت کامپیوتری

اگر از سیستم تله تایپ برای ارسال  پیام استفاده شود، کافی است برای محافظت پیام امنیت مخابراتی و امنیت تشعشع رعایت شود. اما با ورود کامپیوتر به عرصه زندگی انسان چشم اندازهای جدیدی در نحوه ذخیره و ارسال اطلاعات ایجاد گردید و فرمت های جدیدی برای سیگنالهای الکتریکی حاوی پیام ابداع گردید . با گذشت زمان استفاده از کامپیوتر آسانتر شد و مردمان بیشتری امکان استفاده و برقراری ارتباط دو طرفه با آنرا پیدا کردند. بدین ترتیب اطلاعات موجود روی سیستم کامپیوتر ی برای هر کسی ک بتواند از این وسیله استفاده کند قابل استفاده می شود.

در سال ۱۹۷۰ دو نفر به نامهای  Leonard La Padula و Davd Bel مدلی برای عملکرد ایمن کامپیوتر ابداع کردند. این مدل بر اساس یک مفهوم حکومتی بنا شده است که در آن اطلاعات بصورت طبقه بندی شده وبا سطوح مختلف قرار می گیرد و مجوزهایی با سطوح مختلف برای استفاده از اطلاعات وجود دارد . ( در این سیستم اطلاعات به چهار فرم طبقه بندی نشده ، محرمانه ، سری و بسیار سری تقسیم بندی می شود) . بدین ترتیب اگر کسی یا سیستمی دارای مجوزی باشد که سطح آن از سطح طبقه بندی اطلاعات بالاتر باشد می تواند به آن فایل دسترسی پیدا کند.

مدل فوق اساس استاندارد ۲۸/۵۲۰۰ در آمریکا گردید که به نام TCSEC شناخته می شود (البته به نام کتاب نارنجی هم شناخته می شود). کتاب نارنجی سیستم های کامپیوتری را بر طبق معیار زیر تعریف می کند :

حداقل محافظت ( و یا خارج از محدوده )  D

محافظت امنیتی از روی احتیاط                 C1

محافظت بصورت دسترسی کنترل شده       C2

محافظت امنیتی طبقه بندی                          B1

محافظت ساختار یافته                              B2

حوزه های امنیتی                                  B3

طراحی بازبینی                                       A1

برای هر یک از تقسیم بندی های فوق کتاب نارنجی وظایف خاصی را به عنوان پیش نیاز معین کرده است تا اطمینان و ضمانت لازم حاصل شود. بنابراین برای آنکه سیستمی به سطح خاصی از اطمینان برسد و مورد تصدیق قرار گیرد باید این وظایف و خصوصیات را بدرستی رعایت نماید.

فراهم کردن ملزومات سیستمی کاملاً امن و مطمئن ، نیاز به دقت بسیار و هزینه بالا دارد. به همین دلیل سیستم های کمی وجود دارند که از تقسیم بندیC2  بالاتر باشند (تاکنون فقط یک سیستم توانسته به A1 برسد و آن سیستم Honeywel Scomp است. معیار های دیگری که وجود دارند سعی کردهاند وظایف یک سیستم را از اطمینان و ضمانت آن جدا نمایند. برای نمونه می توان به German Green Book در سال ۱۹۸۹،      Canadian Criterid در سال ۱۹۹۰ ،  CISE یا Criteria Information Security Evaluation در سال ۱۹۹۱ و بلاخره  Federal Criteria در سال ۱۹۹۲ اشاره کرد. هر یک از این معیارها تلاش کرده اند برای امنیت بخشیدن به سیستم های کامپیوتری روشی را پیشنهاد دهند.

در آخر باید گفت سیستم های کامپیوتری به سرعت به طرف برنا مه های تضمین شده و مطمئن در حرکتند . این حرکت آنقدر سریع است که قبل از آنکه نسخه های قدیمی سیستم عامل و سخت افزار کامپیوتر بتواند مورد تائید واقع شوند، نسخه های جدید به بازار می آید.

امنیت شبکه 

از جمله مشکلات موجود در هنگام ارزیابی معیار های امنیت کامپیوتری فقدان درک مفهوم شبکه بود. هنگامی که کامپیوترها به هم شبکه شدند مفاهیم جدیدی از امنیت هم پدیدار شد و مفاهیم قبلی امنیت دیگر مفید نبود. به عنوان مثال هنگام استفاده از مخابرات، شبکه ای محلی وجود دارد و نه یک شبکه گسترده، علاوه بر این در یک شبکه کامپیوتری از سرعت های بالاتری استفاده می شود و تعداد زیادی ارتباط از طریق یک واسطه ایجاد می شود. در این حالت استفاده از یک رمز کننده خاص به هیچ عنوان جوابگوی نیاز امنیتی نمی باشد. علاوه بر این مسئله تشعشع الکتریکی از سیم هایی که در یک اتاق یا ساختمان کامپیوترها را به هم شبکه کرده است نیز وجود دارد و سرانجام این که در یک شبکه کامپیوتری کاربرانی وجود دارند که از سیستم های بسیار متنوع به سیستم ما دسترسی دارند بدون اینکه توسط یک کامپیوتر واحد، کنترل مرکزی روی آنها اعمال گردد.

در کتاب نارنجی به مفهوم کامپیوتر های شبکه شده اشاره ای نشده است . به عبارت دیگر دسترسی از طریق شبکه قادر است اعتبار کتاب نارنجی را زیر سؤال ببرد. جواب این مشکل در کتاب آورده شده است که به شرح شبکه امن در TCSEC می پردازد و به TNI یا کتاب قرمز معروف است. مفاد کتاب قرمز در سال ۱۹۸۷ تنظیم شده است . کتاب قرمز تمام نیازهایی که کتاب نارنجی به آن  اشاره کرده است را در خود دارد و علاوه برآن سعی کرده است به محیط شبکه ای کامپیوترها هم بپردازد . متأسفانه کتاب قرمز بیشتر به مسائل وظیفه ای پرداخته است به همین دلیل سیستم های کمی توانسته اند تحت TNI  یا کتاب قرمز ارزیابی گردند که البته هیچکدام از آنها به موفقیت تجاری نرسیدند.

امنیت اطلاعات

به نظر شما تاریخچه ای که تا اینجا از امنیت ارائه شد ما را به چه چیز راهنمایی می کند ؟ از این تاریخچه معلوم می شود هیچ یک از انواع امنیتی که به آن اشاره شد به تنهایی قادر نیستند مشکلات  امنیتی ما را حل نماید. امنیت فیزیکی خوب زمانی نیاز است که بخواهیم سرمایه ای مانند کاغذ یا یک سیستم ثبت اطلاعات را محافظت کنیم. امنیت مخابراتی برای محافظت اطلاعات به هنگام ارسال آنها مفید است . امنیت تشعشع زمانی مفید است که دشمن بتواند با استفاده از منابع کافی که در اختیار دارد تشعشعات الکتریکی حاصل از سیستم کامپیوتری را بخواند . امنیت کامپیوتری برای کنترل دسترسی دیگران به سیستم های کامپیوتری نیاز است و بلاخره امنیت شبکه برای امنیت شبکه محلی نیاز است .

جمع بندی تمام مفاهیم فوق و استفاده از تمام آنها در کنار هم، امنیت اطلاعات را تحقق می بخشد.

هر آنچه ما انجام می دهیم نمی تواند نوعی پروسه اعتبار بخشی به سیستم های کامپیوتری باشد. تکنولوژی به سرعت در حال پیشرفت است و بسیاری ا ز این پروسه ها را پشت سر می گذارند. اخیراً آزمایشگاه بیمه گر امنیتی پیشنهاد شده است . در این آزمایشگاه میزان امنیت انواع محصولات موجود مورد ارزیابی قرار گرفته و تصدیق می‌شود . اگر محصولی نتواند گواهی لازم را کسب کند در آن صورت کاربر، تولید کننده آن محصول را بی دقت خواهد دید چون ممکن است سایت یا اطلاعات کاربر در معرض تهاجم قرار گیرد . متأسفانه این ایده دو مشکل دارد:

تکنولوژی با سرعت رو به جلو در حرکت است و در نتیجه دلیل چندانی وجود ندارد چنین آزمایشگاهی شانس بهتری برای گواهی کردن محصولات داشته باشد. چون ممکن است قبل از تصدیق یک محصول نسخه جدیدتر آن وارد بازار گردد.
ثابت کردن این مسئله که برخی چیزها امن و مطمئن هستند، اگر غیر ممکن نباشد بسیار سخت است . شما به سادگی تحت تاثیر گواهی چنین آزمایشگاهی به یک حصول اعتماد می کنید و آنرا غیر قابل نفوذ خواهید پنداشت در حالیکه یک پیشرفت جدید و یک توسعه جدیدتر می تواند تمامی گواهی های امروز را بی اعتبار کند.

در حالیکه صنایع در حال جستجو برای یک جواب نهایی هستند ، ما سعی می کنیم تا امنیت را به بهترین حالتی که بتوانیم پیاده کنیم . این کار از طریق ممارست و پشتکار دائم حاصل می شود.

امنیت یک پروسه است ، نه یک محصول خاص

برای محافظت از اطلاعات سازمان نمی توان به نوع خاصی از امنیت اکتفا کرد. به همین طریق نمی توان به یک محصول اعتماد کرد و انتظار داشت که تمام احتیاجات امنیتی برای کامپیوترها و سیستم های شبکه ای را فراهم کند . متأسفانه برخی از فروشندگان محصولات امنیتی برای کسب

درآمد  و جلب مشتری ادعا می کنند که محصول کاملی را ارائه کرده اند، اما حقیقت امر آن است که هیچ محصولی نمی تواند به تنهایی امنیت سازمان را تأمین نماید. برای آنکه از سرمایه های اطلاعاتی سازمان بطور کامل محافظت شود به تعداد زیادی از این محصولات و انواع گوناگونی از آن نیاز می باشد. در چند پاراگراف بعد خواهیم دید چرا چند محصول برجسته و معروف امنیتی نمی توانند به تنهایی راه حل نهایی و کاملی باشند.

نرم افزار ضد ویروس

نرم افزار ضد ویروس بخش لازمی از یک برنامه خوب امنیتی می باشد. با نصب و تنظیم درست نرم افزار ضد ویروس می توان حملات وارده به سازمان را کاهش داد. اما برنامه های ضد ویروس فقط قادرند با برنامه های نرم افزاری بدخواهانه مقابله کنند (هر چند با همه آنها هم نمی توانند).

چنین برنامه ای قادر نیست در برابر مزاحمی که قصد سوء استفاده از برنامه های مجاز یک سازمان را دارد از یک سازمان محافظت کند. علاوه بر این نرم افزار ضد ویروس نمی تواند سازمان را در برابر کسی که قصد دارد به فایل های آن سازمان دسترسی پیدا کند ( در حالیکه چنین اجازه ای ندارد) محافظت نماید.

کنترل دسترسی

هر سیستم متعلق به سازمان باید قادر باشد دسترسی به فایل ها را بر اساس نوع ID  که به کاربر داده شده است محدود نماید چنانچه این سیستم بطور صحیح پیکر بندی شود قادر خواهد بود تا دسترسی کاربران مجاز را محدود نماید و بدین ترتیب روی دسترسی کاربران کنترل داشته باشد . با استفاده از کنترل دسترسی ، کسی که ا ز یک سیستم آسیب پذیر قصد دسترسی به فایل های سیستم را دارد

 نمی تواند مدیر سیستم آن فایل ها را مشاهده کند. حتی سیستم کنترل دسترسی که اجازه پیکره بندی کنترل دسترسی روی سیستم را صادر می کند نمی تواند این فایل ها را مشاهده کند. بنابراین در چنین سیستمی ، مهاجم سعی میکند تا به عنوان یک کاربر مجاز از نوع مدیر به سیستم نگاه کند تا مجوز دسترسی به فایل را بدست آورد .

دیوار آتش، Firewall

دیوار آتش نوعی ابزار کنترل دسترسی به شبکه است، بطوریکه می تواند شبکه داخلی سازمان را در برابر حملات خارجی محافظت کند. با توجه به ماهیت دیوار آتش، این ابزار از نوع تولیدات امنیت حاشیه ای می باشد، معنای این جمله آن است که بین شبکه داخلی و شبکه خارجی حاشیه اطمینان قرار داده می شود. با پیکر بندی صحیح ، دیوار آتش توانسته است به یکی از ابزارهای لازم امنیتی تبدیل شود. اما دیوار آتش نمی تواند در برابر مهاجمی که دارای مجوز اتصال به شبکه است محافظتی به عمل آورد. برای مثال چنانچه یک سرور وب مجاز به برقراری تماس از خارج شبکه باشد و چنانچه آن سرور در برابر حمله نرم افزاری دیگری آسیب پذیر باشد، در آن صورت دیوار آتش به این نرم افزار مهاجم اجازه کار خواهد داد. علاوه بر این دیوار آتش نمی تواند در برابر کاربر داخلی سازمان محافظتی به عمل آورد، چون این کاربر از قبل در داخل شبکه قرار داشته است.

کارت های هوشمند

به رسمیت شناختن یک نفر را می توان با ترکیبی ا ز آنچه آن شخص می داند، آن چیزی که آن شخص دارد یا بر پایه آنچه که هست انجام داد. یکی از روش های اعتبار سنجی افراد که سابقه زیادی هم دارد استفاده از کلمه عبور یا Password است تا با استفاده از آن هویت افراد برای کامپیوتر تعیین گردد. این نوع اعتبار سنجی بر پایه آن چیزی که شخص می داند انجام می گیرد . اما با گذشت زمان معلوم گردید اعتبار سنجی بر پایه آنچه یک شخص می داند روش چندان مطمئنی نیست چون ممکن است کلمه عبور توسط افراد دیگر کشف گردد یا هنگام تایپ لو برود. برای مقابله با این مشکل، امنیت به سمت روش های دیگر اعتبار سنجی حرکت کرد بطوریکه این کار  بر پایه آنچه یک شخص دارد و آنطوری که آن شخص هست انجام می شود.

از کارت های هوشمند می توان برای اعتبار سنجی استفاده کرد ( اعتبار سنجی بر پایه چیزی که شخص دارد ) و خطر لو رفتن کلمه عبور را کاهش داد. اما اگر آن کارت به سرقت رود یا مفقود گردد یک نفر دیگر می تواند با کتمان هویت اصلی خود و با استفاده از کارت هوشمند ، به عنوان فردی مجاز وارد شبکه گردد. به عبارت دیگر هنگامیکه کاربری از مسیر درست و با استفاده از کارت هوشمند وارد شبکه میشود، سیستم قادر نخواهد بود خود را در برابر حمله او محافظت کند.

بیومتری

بیومتری یکی ا ز روش های اعتبار سنجی است (بر پایه آن چیزی که یک شخص هست) و می تواند خطر لو رفتن کلمه عبور تا حد زیادی کاهش دهد. برای آنکه روش بیومتری بتواند همانند دیگر روش های قدرتمند اعتبار سنجی کار کند باید دسترسی به این سیستم از طریق روش ورود مناسبی انجام گیرد . اگر مهاجم روشی برای پیشدستی کردن بر روش بیومتری پیدا کند، این روش نخواه د توانست امنیت سیستم را تأمین کند.

تشخیص ورود غیر مجاز

سیستم تشخیص ورود غیر مجاز یکی از محصولاتی است که ادعا می کند مشکلات امنیتی را بطور کامل حل می کند. در این سیستم نیازی به محافظت فایل و سیستم نمی باشد بلکه در این سیستم وقتی یکنفر وارد سیستم می شود و قصد دارد کار خطایی را انجام دهد از ادامه کار ا و جلوگیری می شود. در واقع برخی از سیستم های تشخیص ورود غیر مجاز که توانسته اند بازاری بدست آورند دارای این قابلیت هستند که قبل از آنکه مهاجم بتواند کاری انجام دهد او را متوقف می سازند. هیچ یک از سیستمهای تشخیص ورود غیر مجاز کاملاً ایده آل نیستند لذا نمی توان آنرا یک برنامه امنیتی خوب تعریف کرد. علاوه بر این چنین سیستمی قادر به تشخیص کاربران مجازی که احتمالاًً دسترسی نادرست به اطلاعات دارند نمی باشد.

مدیریت سیاسی

در یک برنامه خوب امنیتی ، سیاست و رویه ای که در پیش گرفته شده است جزء مهمی می باشد و مدیریت سیستم کامپیوتری اهمیت زیادی دارد. با استفاده از مدیریت سیاسی، سازمان مقتدر خواهد بود خود را از سیستم های دیگر که خط مشی متفاوتی دارند دور نگه دارد. اما توجه کنید که از مدیریت استفاده کرد و هریک از این موارد می تواند باعث نفوذ موفق دشمن گردد. علاوه براین برای کاربرانی که کلمه عبور خود را در اختیار افراد غیر مجاز قرار می دهند یا به طریقی کلمه عبور آنها لو می رود نمی توان از این سیستم استفاده کرد.

جستجوی راه های نفوذ

یکی از بخشهای مهم یک برنامه امنیتی خوب آن است که به دنبال را های نفوذ در سیستم کامپیوتری خود باشد و آنها را بیابد. به کمک این جستجو سازمان می تواند پتانسیل های موجود برای ورود مزاحمین را پیدا کند البته ین سیستم به تنهایی قادر به حفاظت سیستم کامپیوتری شما نخواهد بود و باید بعد از یافتن را ه های نفوذ آنها را مسدود کرد. یکی از نقائص این روش آن است که کاربران مجازی که دسترسی نادرست به اطلاعات دارند را کشف نمی کند و همچنین مزاحمینی که از قبل وارد سیستم شده اند را نمی تواند پیدا کند.

رمزنگاری

رمزنگاری از جمله اولین مکانیزمهای امنیت مخابراتی می با شد و قطعاً اطلاعات را به هنگام ارسال محافظت می کند برای محافظت اطلاعاتی که به صورت فایل ذخیره می شوند نیز می توان از سیستم رمز نگاری استفاده کرد. البته کاربران مجاز باید قادر به دسترسی به این فایل ها باشند. چنانچه کلید استفاده شده در الگوریتم رمزنگاری در اختیار افراد قرار گیرد، سیستم رمزنگاری نمی تواند تفاوتی میان افراد مجاز و افراد غیر مجاز قائل شود. بنابراین رمزنگاری به تنهایی نمی تواند امنیت لازم را فراهم کند و باید روی کلید رمزنگاری کنترل دقیقی اعمال شود.