این محصول در قالب ورد و قابل ویرایش در 205 صفحه می باشد.
فهرست
پیشگفتار ۲
خلاصه اجرایی ۵
بخش اول
مقدمه ۹
فصل ۱: امنیت اطلاعات چیست؟ ۱۰
فصل ۲: انواع حملات ۲۶
فصل ۳: سرویس های امنیت اطلاعات ۴۲
فصل ۴ : سیاست گذاری ۵۵
فصل ۵: روند بهینه در امینت اطلاعات ۹۱
نتیجه گیری ۱۱۴
بخش دوم
فصل ۱: امنیت رایانه و داده ها ۱۱۹
فصل ۲: امنیت سیستم عامل و نرم افزارهای کاربردی ۱۴۰
فصل ۳: نرم افزارهای مخرب ۱۵۰
فصل ۴: امنیت خدمات شبکه ۱۶۳
نتیجه گیری ۱۹۱
پیوست آشنایی با کد و رمزگذاری ۱۹۳
منابع ۲۰۴
امنیت اطلاعات نمی تواند ایمنی را صد در صد سازماندهی اطلاعاتی سیستم کامپیوتری شما ضمانت نماید. به عبارت دیگر امنیت اطلاعات قادر به نگهداری اطلاعات شما نیست. هیچ سحر و جادویی را نمی توان یافت تا امنیت کاملی برای اطلاعات ایجاد نمود. مفاهیم موجود در امنیت اطلاعات، علم نظامی و فنی هم نیست که واضح و آشکار باشد.
در واقع امنیت اطلاعات نوعی طرز فکر است. طرز فکری که در آن انواع تهدیدهای ممکن و راههای ضربه زدن به سازماندهی اطلاعاتی بررسی می شود و مدیریت مناسبی برای آن پیشنهاد می گردد. شاید به تعداد زیادی از تولید کنندگان برخورد کرده باشید که هر یک ادعا می کنند محصول تولیدی آنها بهترین راه حل برای رفع مشکلات امنیتی است .
در این فصل سعی بر آن است تا مسائل مربوط به امنیت اطلاعات تشریح گردد و در نهایت استراتژی مدیریتی مناسبی برای سازماندهی اطلاعاتی پیشنهاد گردد.
تعریف امنیت اطلاعات
بنا بر فرهنگ Merrian- Webster (که به صورت زنده در آدرس www.m-w.com موجود است) کلمه «اطلاعات» بصورت زیر تعریف شده است:
اطلاعات دانشی است که از طریق تحقیق، مطالعه، آموزش، فهم مطلب، اخبار، حقایق، دیتا، سیگنال یا کارکتری که حاوی دیتا باشد ( مانند سیستمهای مخابراتی یا کامپیوتری)، چیزی که نحوه ایجاد تغییرات در یک ساختار را بیان می کند (مانند طرح یا تئوری) و چیزهایی از این قبیل بدست آمده باشد.
در همین فرهنگ نامه امنیت بصورت زیر تعریف شده است :
رهایی از خطر ، وجود ایمنی ، رهایی از ترس یا نگرانی
اگر دو کلمه فوق را در کنار هم قرار دهیم ، به تعریفی از «امنیت اطلاعات» بصورت زیر خواهیم رسید:
امنیت اطلاعات میزان اجازه و اختیاری است که استفاده از یک سرویس ، عدم استفاده از آن، و مقدار ایجاد اصلاحات توسط آن تعریف می شود و جلوگیری از بکارگیری دانش، حقایق ، دیتا یا قابلیت ها را باعث می شود .این تعریف حوزه وسیعی را شامل می شود که دانش ، حقایق ، دیتا یا قابلیت ها در برابر اتفاقات بد محافظت شود. علاوه بر این در تعریف فوق محدودیتی روی شکل اطلاعات قرار ندادیم بطوریکه می تواند بصورت دانش یا قابلیت های یک سیستم باشد.
اما تعریفی که از امنیت شبکه ارائه شد ضمانتی روی حفاظت از اطلاعات ندارد . زیرا اگر بزرگترین قلعه نظامی دنیا بسازیم باز هم یک نفر پیدا خواهد شد که با ابزار جنگی قوی تر و بزرگتری آن قلعه را فتح خواهد کرد.
امنیت اطلاعات نامی است که به اقدامات پیشگرانه اطلاق می شود بطوریکه این اقدامات قادر است از اطلاعات و قابلیت هایمان نگهبانی نماید. بدین ترتیب می توانیم اطلاعات را در برابر حملات خارجی و بهره برداری های غیر مجاز محافظت نماییم.
تاریخچه مختصری از امنیت
امنیت اطلاعات در طول زمان و بتدریج سیر تکاملی خود را پیموده است بطوریکه این روند تکاملی از رشد تکنولوژی و مسائل اجتماعی متأثر بوده است . فهمیدن روند رشد امنیت اطلاعات در این جهت مهم است که می توانیم احتیاجات خود را بهتر درک کرده و مطابق نیازهای روز آنرا ایجاد نمائیم . علاوه بر دانستن تاریخچه امنیت اطلاعات ، باید بر جنبه های مختلف آن نیز اشراف داشت بدین ترتیب اشتباهاتی که افراد قبل از ما انجام داده اند تکرار نخواهد شد . در ادا مه به این موارد خواهیم پرداخت .
امنیت فیزیکی
از جهت تاریخی می توان گفت اولین شکل اطلاعاتی که بشر آنها را نگهداری می کرد به صورت فیزیکی بودند بطوریکه در ابتدا آنها را روی سنگ و بعداً روی کاغذ ثبت می کرد. ( بسیاری از کتابهای راهنمای تاریخی در مکان امن و مناسبی قرار نداشته اند تا اطلاعات حیاتی آنها در امان بماند . به همین دلیل امروزه اطلاعات بسیار کمی درباره علم کیمیا وجود دارد. علاوه بر این کسانی که اطلاعات مهم در اختیار داشتند آنرا فقط در برخی شاگردان خاص خود قرار می دارند چنانکه ضرب المثلی معروف میگوید دانش همان قدرت است . شاید این روش بهترین روش باشد . یک ضرب المثل معروف می گوید: رازی که بیش از یکنفر آنرا بداند دیگر راز نیست ). بهر حال برای محافظت از این سرمایه ها امنیت فیزیکی بصورت دیوار ، خندق و نگهبان بکار می رفت.
برای ارسال این نوع اطلاعات از یک پیام رسان استفاده می شد که اغلب نگهبانی هم او را همراهی می کرد. خطر موجود در این حالت کاملاً فیزیکی است چون راهی وجود ندارد که بدون بدست آوردن آن شئ اطلاعاتش را بدست آورد. در اکثر موارد سرمایه موجود به سرقت می رفت ( این سرمایه پول یا اطلاعات مکتوب بود ) و مالک اصلی آنرا از دست می داد.
امنیت مخابراتی
متأسفانه امنیت فیزیکی دارای نقص عمده ا ی است و آن اینکه اگر هنگام جابجایی اطلاعات، پیام به سرقت رود اطلاعات آن قابل استفاده و یادگیری برای دشمن خواهد بود . این نقیصه توسط ژولیس سزار شناسایی شده بود. راه حل این نقص در امنیت مخابراتی است. ژولیس سزار برای رفع این مشکل رمز سزار را ایجاد کرد. این نوع رمز باعث میشد تا اطلاعات در حال انتقال حتی اگر به سرقت برود توسط کسی قابل خواندن و استفاده نباشد .
این مسئله در جنگ جهانی دوم ادامه پیدا کرد. آلمانی ها از ماشینی به نام Enigma استفاده کردند که پیام های ارسالی به واحدهای نظامی توسط آن رمز میشد. آلمانی ها ادعا می کردند اگر از ماشین Enigmaبدرستی استفاده شود نمی توان قفل آنرا شکست . اما استفاده درست از آن کار بسیار سختی بود، به همین دلیل برخی اپراتورها هنگام استفاده از این ماشین دچار اشتباه می شدند و در نتیجه طرف مقابل قادر بود برخی پیامها را بخواند ( بعد از آنکه مقادیر قابل توجهی از منابع رمز این ماشین بدست آمد مشکل خواندن پیام های آن نیز حل شد).
ارتباطات نظامی برای ارسال پیام به واحدها و مکان های نظامی از کلمات کد استفاده می نمایند. ژاپن در طول جنگ از کلمات کدی استفاده می کرد که درک درست پیام ها را برای آمریکایی ها ، حتی اگر کدها را کشف می کردند بسیار مشکل می ساخت . زمانیکه جنگ به نبرد Midway کشیده شد، کد شکن های آمریکایی سعی می کردند هدف ژاپنی ها پیدا کنند. این هدف در پیام های ژاپنی ها بصورت ” AF ” دیده می شد. سرانجام آمریکایی کاری می کردند تا Midway عمداً پیامی درباره کمبود آب ارسال نماید. ژاپنی ها مجبور شدند در پاسخ و یک پیام کد ارسال کنند. در پیام کد شده معلوم گردیده که AF مخفف آب است . از انجام که آمریکایی ها پیام ژاپنی ها را خواندند لذا قادر بودند که بفهمند AF در واقع همان Midway است.
پیام ها تنها نوع ترافیکی نبود که کد می شدند . واحدهای ارتش آمریکا از یک زبان محلی استفاده می کردند تا دشمن نتواند به پیام های مخابره شده گوش کند . این افراد محلی برای ارسال پیام ها استفاده می کردند به همین دلیل اگر دشمن به این پیام ها گوش می داد نمی توانست از آن چیزی بفهمد.
بعد از جنگ جهانی دوم جاسوسان اتحاد جماهیر شوروی برای ارسال اطلاعات از یک سیستم خاص استفاده می کرد که one- time pads ( الگوی یکبار مصرف) نام داشت. این سیستم در واقع از چند صفحه کاغذ ادبی تشکیل شده بود که هر صفحه از آن دارای یک عدد تصادفی بود. هر صفحه فقط و فقط برای یک پیام بکار می رفت . چنانچه از این روش رمز نگاری بدرستی استفاده می شد، غیر قابل شکست بود اما در اینجا هم اشتباهات انسان باعث شد تا برخی از پیام ها قابل رمز گشایی شود.
امنیت تشعشع
صرف نظر از اشتباهاتی که باعث لو رفتن یک پیام رمز شده می شود، استفاده از یک رمز کننده خوب باعث می شود که شکستن آن رمز بسیار مشکل گردد. به همین دلیل تلاش ها به سمت دیگری معطوف گردید تا بوسیله آن بتوان اطلاعات رمز شده برای ارسال را به چنگ آورد. در سال۱۹۵۰ کشف گردید اگر سیگنالهای الکتریکی که از طریق خطوط تلفن عبور می کنند تحت نظر قرار گیرند می توان به پیام اصلی دست پیدا کرد.
تمام سیستم های الکترونیکی از خود تشعشع الکترونیکی صادر می کنند. این پدیده در دستگاه تله تایپ و دستگاه رمز کننده ای که برای ارسال پیام های رمز شده بکار می رود نیز وجود دارد .
وظیفه دستگاه رمز کننده این است که سر راه پیام قرار داده شود و پس از رمز نمودن پیام، آنرا روی خط تلفن ارسال کند. اما نکته جالب این است که سیگنالهای الکتریکی که پیام اصلی و رمز نشده را در خود دارند بدلیل تشعشع ، اندکی روی خط تلفن دیده می شود. در واقع اگر از تجهیزات خوبی استفاده شود می توان پیام را از روی خط تلفن بازیابی کرد.
این مشکل ایالات متحده آمریکا را بر آن داشت تا برنامه ای به نام TEMPTEST ایجاد کند. وظیفه این برنامه ایجاد استاندارد های تشعشع الکتریکی برای سیستم های کامپیوتری است که در محیطهای بسیار حساس استفاده می شوند . نتیجه این بود که با کاهش تشعشعات ، امکان به سرقت رفتن اطلاعات کاش یافت .
امنیت کامپیوتری
اگر از سیستم تله تایپ برای ارسال پیام استفاده شود، کافی است برای محافظت پیام امنیت مخابراتی و امنیت تشعشع رعایت شود. اما با ورود کامپیوتر به عرصه زندگی انسان چشم اندازهای جدیدی در نحوه ذخیره و ارسال اطلاعات ایجاد گردید و فرمت های جدیدی برای سیگنالهای الکتریکی حاوی پیام ابداع گردید . با گذشت زمان استفاده از کامپیوتر آسانتر شد و مردمان بیشتری امکان استفاده و برقراری ارتباط دو طرفه با آنرا پیدا کردند. بدین ترتیب اطلاعات موجود روی سیستم کامپیوتر ی برای هر کسی ک بتواند از این وسیله استفاده کند قابل استفاده می شود.
در سال ۱۹۷۰ دو نفر به نامهای Leonard La Padula و Davd Bel مدلی برای عملکرد ایمن کامپیوتر ابداع کردند. این مدل بر اساس یک مفهوم حکومتی بنا شده است که در آن اطلاعات بصورت طبقه بندی شده وبا سطوح مختلف قرار می گیرد و مجوزهایی با سطوح مختلف برای استفاده از اطلاعات وجود دارد . ( در این سیستم اطلاعات به چهار فرم طبقه بندی نشده ، محرمانه ، سری و بسیار سری تقسیم بندی می شود) . بدین ترتیب اگر کسی یا سیستمی دارای مجوزی باشد که سطح آن از سطح طبقه بندی اطلاعات بالاتر باشد می تواند به آن فایل دسترسی پیدا کند.
مدل فوق اساس استاندارد ۲۸/۵۲۰۰ در آمریکا گردید که به نام TCSEC شناخته می شود (البته به نام کتاب نارنجی هم شناخته می شود). کتاب نارنجی سیستم های کامپیوتری را بر طبق معیار زیر تعریف می کند :
حداقل محافظت ( و یا خارج از محدوده ) D
محافظت امنیتی از روی احتیاط C1
محافظت بصورت دسترسی کنترل شده C2
محافظت امنیتی طبقه بندی B1
محافظت ساختار یافته B2
حوزه های امنیتی B3
طراحی بازبینی A1
برای هر یک از تقسیم بندی های فوق کتاب نارنجی وظایف خاصی را به عنوان پیش نیاز معین کرده است تا اطمینان و ضمانت لازم حاصل شود. بنابراین برای آنکه سیستمی به سطح خاصی از اطمینان برسد و مورد تصدیق قرار گیرد باید این وظایف و خصوصیات را بدرستی رعایت نماید.
فراهم کردن ملزومات سیستمی کاملاً امن و مطمئن ، نیاز به دقت بسیار و هزینه بالا دارد. به همین دلیل سیستم های کمی وجود دارند که از تقسیم بندیC2 بالاتر باشند (تاکنون فقط یک سیستم توانسته به A1 برسد و آن سیستم Honeywel Scomp است. معیار های دیگری که وجود دارند سعی کردهاند وظایف یک سیستم را از اطمینان و ضمانت آن جدا نمایند. برای نمونه می توان به German Green Book در سال ۱۹۸۹، Canadian Criterid در سال ۱۹۹۰ ، CISE یا Criteria Information Security Evaluation در سال ۱۹۹۱ و بلاخره Federal Criteria در سال ۱۹۹۲ اشاره کرد. هر یک از این معیارها تلاش کرده اند برای امنیت بخشیدن به سیستم های کامپیوتری روشی را پیشنهاد دهند.
در آخر باید گفت سیستم های کامپیوتری به سرعت به طرف برنا مه های تضمین شده و مطمئن در حرکتند . این حرکت آنقدر سریع است که قبل از آنکه نسخه های قدیمی سیستم عامل و سخت افزار کامپیوتر بتواند مورد تائید واقع شوند، نسخه های جدید به بازار می آید.
امنیت شبکه
از جمله مشکلات موجود در هنگام ارزیابی معیار های امنیت کامپیوتری فقدان درک مفهوم شبکه بود. هنگامی که کامپیوترها به هم شبکه شدند مفاهیم جدیدی از امنیت هم پدیدار شد و مفاهیم قبلی امنیت دیگر مفید نبود. به عنوان مثال هنگام استفاده از مخابرات، شبکه ای محلی وجود دارد و نه یک شبکه گسترده، علاوه بر این در یک شبکه کامپیوتری از سرعت های بالاتری استفاده می شود و تعداد زیادی ارتباط از طریق یک واسطه ایجاد می شود. در این حالت استفاده از یک رمز کننده خاص به هیچ عنوان جوابگوی نیاز امنیتی نمی باشد. علاوه بر این مسئله تشعشع الکتریکی از سیم هایی که در یک اتاق یا ساختمان کامپیوترها را به هم شبکه کرده است نیز وجود دارد و سرانجام این که در یک شبکه کامپیوتری کاربرانی وجود دارند که از سیستم های بسیار متنوع به سیستم ما دسترسی دارند بدون اینکه توسط یک کامپیوتر واحد، کنترل مرکزی روی آنها اعمال گردد.
در کتاب نارنجی به مفهوم کامپیوتر های شبکه شده اشاره ای نشده است . به عبارت دیگر دسترسی از طریق شبکه قادر است اعتبار کتاب نارنجی را زیر سؤال ببرد. جواب این مشکل در کتاب آورده شده است که به شرح شبکه امن در TCSEC می پردازد و به TNI یا کتاب قرمز معروف است. مفاد کتاب قرمز در سال ۱۹۸۷ تنظیم شده است . کتاب قرمز تمام نیازهایی که کتاب نارنجی به آن اشاره کرده است را در خود دارد و علاوه برآن سعی کرده است به محیط شبکه ای کامپیوترها هم بپردازد . متأسفانه کتاب قرمز بیشتر به مسائل وظیفه ای پرداخته است به همین دلیل سیستم های کمی توانسته اند تحت TNI یا کتاب قرمز ارزیابی گردند که البته هیچکدام از آنها به موفقیت تجاری نرسیدند.
امنیت اطلاعات
به نظر شما تاریخچه ای که تا اینجا از امنیت ارائه شد ما را به چه چیز راهنمایی می کند ؟ از این تاریخچه معلوم می شود هیچ یک از انواع امنیتی که به آن اشاره شد به تنهایی قادر نیستند مشکلات امنیتی ما را حل نماید. امنیت فیزیکی خوب زمانی نیاز است که بخواهیم سرمایه ای مانند کاغذ یا یک سیستم ثبت اطلاعات را محافظت کنیم. امنیت مخابراتی برای محافظت اطلاعات به هنگام ارسال آنها مفید است . امنیت تشعشع زمانی مفید است که دشمن بتواند با استفاده از منابع کافی که در اختیار دارد تشعشعات الکتریکی حاصل از سیستم کامپیوتری را بخواند . امنیت کامپیوتری برای کنترل دسترسی دیگران به سیستم های کامپیوتری نیاز است و بلاخره امنیت شبکه برای امنیت شبکه محلی نیاز است .
جمع بندی تمام مفاهیم فوق و استفاده از تمام آنها در کنار هم، امنیت اطلاعات را تحقق می بخشد.
هر آنچه ما انجام می دهیم نمی تواند نوعی پروسه اعتبار بخشی به سیستم های کامپیوتری باشد. تکنولوژی به سرعت در حال پیشرفت است و بسیاری ا ز این پروسه ها را پشت سر می گذارند. اخیراً آزمایشگاه بیمه گر امنیتی پیشنهاد شده است . در این آزمایشگاه میزان امنیت انواع محصولات موجود مورد ارزیابی قرار گرفته و تصدیق میشود . اگر محصولی نتواند گواهی لازم را کسب کند در آن صورت کاربر، تولید کننده آن محصول را بی دقت خواهد دید چون ممکن است سایت یا اطلاعات کاربر در معرض تهاجم قرار گیرد . متأسفانه این ایده دو مشکل دارد:
تکنولوژی با سرعت رو به جلو در حرکت است و در نتیجه دلیل چندانی وجود ندارد چنین آزمایشگاهی شانس بهتری برای گواهی کردن محصولات داشته باشد. چون ممکن است قبل از تصدیق یک محصول نسخه جدیدتر آن وارد بازار گردد.
ثابت کردن این مسئله که برخی چیزها امن و مطمئن هستند، اگر غیر ممکن نباشد بسیار سخت است . شما به سادگی تحت تاثیر گواهی چنین آزمایشگاهی به یک حصول اعتماد می کنید و آنرا غیر قابل نفوذ خواهید پنداشت در حالیکه یک پیشرفت جدید و یک توسعه جدیدتر می تواند تمامی گواهی های امروز را بی اعتبار کند.
در حالیکه صنایع در حال جستجو برای یک جواب نهایی هستند ، ما سعی می کنیم تا امنیت را به بهترین حالتی که بتوانیم پیاده کنیم . این کار از طریق ممارست و پشتکار دائم حاصل می شود.
امنیت یک پروسه است ، نه یک محصول خاص
برای محافظت از اطلاعات سازمان نمی توان به نوع خاصی از امنیت اکتفا کرد. به همین طریق نمی توان به یک محصول اعتماد کرد و انتظار داشت که تمام احتیاجات امنیتی برای کامپیوترها و سیستم های شبکه ای را فراهم کند . متأسفانه برخی از فروشندگان محصولات امنیتی برای کسب
درآمد و جلب مشتری ادعا می کنند که محصول کاملی را ارائه کرده اند، اما حقیقت امر آن است که هیچ محصولی نمی تواند به تنهایی امنیت سازمان را تأمین نماید. برای آنکه از سرمایه های اطلاعاتی سازمان بطور کامل محافظت شود به تعداد زیادی از این محصولات و انواع گوناگونی از آن نیاز می باشد. در چند پاراگراف بعد خواهیم دید چرا چند محصول برجسته و معروف امنیتی نمی توانند به تنهایی راه حل نهایی و کاملی باشند.
نرم افزار ضد ویروس
نرم افزار ضد ویروس بخش لازمی از یک برنامه خوب امنیتی می باشد. با نصب و تنظیم درست نرم افزار ضد ویروس می توان حملات وارده به سازمان را کاهش داد. اما برنامه های ضد ویروس فقط قادرند با برنامه های نرم افزاری بدخواهانه مقابله کنند (هر چند با همه آنها هم نمی توانند).
چنین برنامه ای قادر نیست در برابر مزاحمی که قصد سوء استفاده از برنامه های مجاز یک سازمان را دارد از یک سازمان محافظت کند. علاوه بر این نرم افزار ضد ویروس نمی تواند سازمان را در برابر کسی که قصد دارد به فایل های آن سازمان دسترسی پیدا کند ( در حالیکه چنین اجازه ای ندارد) محافظت نماید.
کنترل دسترسی
هر سیستم متعلق به سازمان باید قادر باشد دسترسی به فایل ها را بر اساس نوع ID که به کاربر داده شده است محدود نماید چنانچه این سیستم بطور صحیح پیکر بندی شود قادر خواهد بود تا دسترسی کاربران مجاز را محدود نماید و بدین ترتیب روی دسترسی کاربران کنترل داشته باشد . با استفاده از کنترل دسترسی ، کسی که ا ز یک سیستم آسیب پذیر قصد دسترسی به فایل های سیستم را دارد
نمی تواند مدیر سیستم آن فایل ها را مشاهده کند. حتی سیستم کنترل دسترسی که اجازه پیکره بندی کنترل دسترسی روی سیستم را صادر می کند نمی تواند این فایل ها را مشاهده کند. بنابراین در چنین سیستمی ، مهاجم سعی میکند تا به عنوان یک کاربر مجاز از نوع مدیر به سیستم نگاه کند تا مجوز دسترسی به فایل را بدست آورد .
دیوار آتش، Firewall
دیوار آتش نوعی ابزار کنترل دسترسی به شبکه است، بطوریکه می تواند شبکه داخلی سازمان را در برابر حملات خارجی محافظت کند. با توجه به ماهیت دیوار آتش، این ابزار از نوع تولیدات امنیت حاشیه ای می باشد، معنای این جمله آن است که بین شبکه داخلی و شبکه خارجی حاشیه اطمینان قرار داده می شود. با پیکر بندی صحیح ، دیوار آتش توانسته است به یکی از ابزارهای لازم امنیتی تبدیل شود. اما دیوار آتش نمی تواند در برابر مهاجمی که دارای مجوز اتصال به شبکه است محافظتی به عمل آورد. برای مثال چنانچه یک سرور وب مجاز به برقراری تماس از خارج شبکه باشد و چنانچه آن سرور در برابر حمله نرم افزاری دیگری آسیب پذیر باشد، در آن صورت دیوار آتش به این نرم افزار مهاجم اجازه کار خواهد داد. علاوه بر این دیوار آتش نمی تواند در برابر کاربر داخلی سازمان محافظتی به عمل آورد، چون این کاربر از قبل در داخل شبکه قرار داشته است.
کارت های هوشمند
به رسمیت شناختن یک نفر را می توان با ترکیبی ا ز آنچه آن شخص می داند، آن چیزی که آن شخص دارد یا بر پایه آنچه که هست انجام داد. یکی از روش های اعتبار سنجی افراد که سابقه زیادی هم دارد استفاده از کلمه عبور یا Password است تا با استفاده از آن هویت افراد برای کامپیوتر تعیین گردد. این نوع اعتبار سنجی بر پایه آن چیزی که شخص می داند انجام می گیرد . اما با گذشت زمان معلوم گردید اعتبار سنجی بر پایه آنچه یک شخص می داند روش چندان مطمئنی نیست چون ممکن است کلمه عبور توسط افراد دیگر کشف گردد یا هنگام تایپ لو برود. برای مقابله با این مشکل، امنیت به سمت روش های دیگر اعتبار سنجی حرکت کرد بطوریکه این کار بر پایه آنچه یک شخص دارد و آنطوری که آن شخص هست انجام می شود.
از کارت های هوشمند می توان برای اعتبار سنجی استفاده کرد ( اعتبار سنجی بر پایه چیزی که شخص دارد ) و خطر لو رفتن کلمه عبور را کاهش داد. اما اگر آن کارت به سرقت رود یا مفقود گردد یک نفر دیگر می تواند با کتمان هویت اصلی خود و با استفاده از کارت هوشمند ، به عنوان فردی مجاز وارد شبکه گردد. به عبارت دیگر هنگامیکه کاربری از مسیر درست و با استفاده از کارت هوشمند وارد شبکه میشود، سیستم قادر نخواهد بود خود را در برابر حمله او محافظت کند.
بیومتری
بیومتری یکی ا ز روش های اعتبار سنجی است (بر پایه آن چیزی که یک شخص هست) و می تواند خطر لو رفتن کلمه عبور تا حد زیادی کاهش دهد. برای آنکه روش بیومتری بتواند همانند دیگر روش های قدرتمند اعتبار سنجی کار کند باید دسترسی به این سیستم از طریق روش ورود مناسبی انجام گیرد . اگر مهاجم روشی برای پیشدستی کردن بر روش بیومتری پیدا کند، این روش نخواه د توانست امنیت سیستم را تأمین کند.
تشخیص ورود غیر مجاز
سیستم تشخیص ورود غیر مجاز یکی از محصولاتی است که ادعا می کند مشکلات امنیتی را بطور کامل حل می کند. در این سیستم نیازی به محافظت فایل و سیستم نمی باشد بلکه در این سیستم وقتی یکنفر وارد سیستم می شود و قصد دارد کار خطایی را انجام دهد از ادامه کار ا و جلوگیری می شود. در واقع برخی از سیستم های تشخیص ورود غیر مجاز که توانسته اند بازاری بدست آورند دارای این قابلیت هستند که قبل از آنکه مهاجم بتواند کاری انجام دهد او را متوقف می سازند. هیچ یک از سیستمهای تشخیص ورود غیر مجاز کاملاً ایده آل نیستند لذا نمی توان آنرا یک برنامه امنیتی خوب تعریف کرد. علاوه بر این چنین سیستمی قادر به تشخیص کاربران مجازی که احتمالاًً دسترسی نادرست به اطلاعات دارند نمی باشد.
مدیریت سیاسی
در یک برنامه خوب امنیتی ، سیاست و رویه ای که در پیش گرفته شده است جزء مهمی می باشد و مدیریت سیستم کامپیوتری اهمیت زیادی دارد. با استفاده از مدیریت سیاسی، سازمان مقتدر خواهد بود خود را از سیستم های دیگر که خط مشی متفاوتی دارند دور نگه دارد. اما توجه کنید که از مدیریت استفاده کرد و هریک از این موارد می تواند باعث نفوذ موفق دشمن گردد. علاوه براین برای کاربرانی که کلمه عبور خود را در اختیار افراد غیر مجاز قرار می دهند یا به طریقی کلمه عبور آنها لو می رود نمی توان از این سیستم استفاده کرد.
جستجوی راه های نفوذ
یکی از بخشهای مهم یک برنامه امنیتی خوب آن است که به دنبال را های نفوذ در سیستم کامپیوتری خود باشد و آنها را بیابد. به کمک این جستجو سازمان می تواند پتانسیل های موجود برای ورود مزاحمین را پیدا کند البته ین سیستم به تنهایی قادر به حفاظت سیستم کامپیوتری شما نخواهد بود و باید بعد از یافتن را ه های نفوذ آنها را مسدود کرد. یکی از نقائص این روش آن است که کاربران مجازی که دسترسی نادرست به اطلاعات دارند را کشف نمی کند و همچنین مزاحمینی که از قبل وارد سیستم شده اند را نمی تواند پیدا کند.
رمزنگاری
رمزنگاری از جمله اولین مکانیزمهای امنیت مخابراتی می با شد و قطعاً اطلاعات را به هنگام ارسال محافظت می کند برای محافظت اطلاعاتی که به صورت فایل ذخیره می شوند نیز می توان از سیستم رمز نگاری استفاده کرد. البته کاربران مجاز باید قادر به دسترسی به این فایل ها باشند. چنانچه کلید استفاده شده در الگوریتم رمزنگاری در اختیار افراد قرار گیرد، سیستم رمزنگاری نمی تواند تفاوتی میان افراد مجاز و افراد غیر مجاز قائل شود. بنابراین رمزنگاری به تنهایی نمی تواند امنیت لازم را فراهم کند و باید روی کلید رمزنگاری کنترل دقیقی اعمال شود.
مقاله امنیت فناوری اطلاعات
