تفاوت میان نسخه‌های «امنیت اطلاعات»

جز
اصلاح فاصله مجازی + اصلاح نویسه با استفاده از AWB
جز (اصلاح فاصله مجازی + اصلاح نویسه با استفاده از AWB)
جز (اصلاح فاصله مجازی + اصلاح نویسه با استفاده از AWB)
{{حق تکثیر مشکوک}}
 
همزمان با گسترش استفاده از کامپیوترهای شخصی و مطرح شدن شبکه‌های کامپیوتری و به دنبال آن اینترنت (بزرگترین شبکه جهانی ) ، حیات کامپیوترها و کاربران آنان دستخوش تغییرات اساسی شده‌است . استفاده کنندگان کامپیوتر به منظور استفاده از دستاوردها و مزایای فناوری اطلاعات و ارتباطات ، ملزم به رعایت اصولی خاص و اهتمام جدی به تمامی مولفه‌های تأثیر گذارتأثیرگذار در تداوم ارائه خدمات در یک سیستم کامپیوتری می‌باشند .
 
[https://www.pavan.ir/ امنیت اطلاعات و ایمن سازیایمن‌سازی شبکه‌های کامپیوتری] از جمله این مولفه‌ها بوده که نمی توان آن را مختص یک فرد یا سازمان در نظر گرفت . پرداختن به مقوله '''امنیت اطلاعات''' و ایمن سازیایمن‌سازی شبکه‌های کامپیوتری در هر کشور ، مستلزم توجه تمامی کاربران صرفنظر از موقعیت شغلی و سنی به جایگاه امنیت اطلاعات و ایمن سازیایمن‌سازی شبکه‌های کامپیوتری بوده و می بایست به این مقوله در سطح کلان و از بعد منافع ملی نگاه کرد. وجود ضعف امنیتی در شبکه‌های کامپیوتری و اطلاعاتی ، عدم آموزش و توجیه صحیح تمامی کاربران صرفنظر از مسئولیت شغلی آنان نسبت به جایگاه و اهمیت امنیت اطلاعات ، عدم وجود دستورالعمل‌های لازم برای پیشگیری از نقایص امنیتی ، عدم وجود سیاست‌های مشخص و مدون به منظور برخورد مناسب و بموقع با اشکالات امنیتی ، مسائلی را به دنبال خواهد داشت که ضرر آن متوجه تمامی کاربران کامپیوتر در یک کشور شده و عملاً" زیرساخت اطلاعاتی یک کشور را در معرض آسیب و تهدید جدی قرار می دهد .
 
== تعریف امنیت اطلاعات ==
پایان قرن بیستم و سالهای اولیه قرن بیست و یکم شاهد پیشرفتهای سریع در ارتباطات راه دور، سخت‌افزار، نرم‌افزار و رمزگذاری داده‌ها بود. در دسترس بودن تجهیزات محاسباتی کوچکتر، قوی تر و ارزان‌تر پردازش الکترونیکی داده‌ها باعث شد که شرکت‌های کوچک و کاربران خانگی دسترسی بیشتری به آن‌ها داشته باشند. این تجهیزات به سرعت از طریق شبکه‌های کامپیوتر مثل اینترنت به هم متصل شدند.
 
با رشد سریع و استفاده گسترده از پردازش الکترونیکی داده‌ها و کسب و کار الکترونیک از طریق اینترنت، همراه با ظهور بسیاری از خرابکاریهای بین‌المللی، نیاز به روش‌های بهتر حفاظت از رایانه‌ها و اطلاعات آن‌ها ملموس گردید. رشته‌های دانشگاهی از قبیل امنیت کامپیوتری، امنیت اطلاعات و اطلاعات مطمئن همراه با سازمان‌های متعدد حرفه‌ای پدید آمدند. هدف مشترک این فعالیت‌ها و سازمانهاسازمان‌ها حصول اطمینان از امنیت و قابلیت اطمینان از سیستم‌های اطلاعاتی است.
 
== مفاهیم پایه ==
همانگونه که تعریف شد،موارد سه‌گانه حفظ محرمانگی، یکپارچه بودن و دسترس پذیریدسترس‌پذیری از مفاهیم اصلی امنیت اطلاعات است. در اینجا مفاهیم سه‌گانه «محرمانگی»، «یکپارچه بودن» و «قابل دسترس بودن» توضیح داده می‌شود. در بین متخصصان این رشته بحث مداومی وجود دارد مبنی بر اینکه علاوه بر این ۳ مفهوم موارد دیگری هم را باید در نظر گرفت مثل «قابلیت حسابرسی»، «قابلیت عدم انکار انجام عمل» و «اصل بودن».
 
=== محرمانگی ===
 
=== مدیریتی ===
کنترل مدیریتی (کنترل رویه‌ها) عبارتند از سیاست‌ها، رویه‌ها، استانداردها و رهنمودهای مکتوب که توسط مراجع مسئول تأیید شده‌است. کنترل‌های مدیریتی چارچوب روند امن کسب و کار و مدیریت افراد را تشکیل می‌دهد. این کنترل‌ها به افراد نحوه امن و مطمئن انجام کسب و کار را می‌گویند و نیز چگونه روال روزانه عملیات‌ها هدایت شود. قوانین و مقررات ایجاد شده توسط نهادهای دولتی یک نوع از کنترل مدیریتی محسوب می‌شوند چون به شرکت‌ها و سازمانهاسازمان‌ها نحوه امن کسب و کار را بیان می‌کنند. برخی از صنایع سیاست‌ها، رویه‌ها، استانداردها و دستورالعمل‌های مختص خود دارند که باید دنبال کنند مثل استاندارد امنیت داده‌های صنعت کارت‌های پرداخت (PCI-DSS) مورد نیاز ویزا و مستر کارت یا سیستم مدیریت امنیت اطلاعات ISMS. نمونه‌های دیگر از کنترل‌ها مدیریتی عبارتند از سیاست امنیتی شرکت‌های بزرگ، سیاست مدیریت رمز عبور، سیاست استخدام، و سیاست‌های انضباطی.
کنترل‌های مدیریتی پایه‌ای برای انتخاب و پیاده‌سازی کنترل‌های منطقی و فیزیکی است. کنترل‌های منطقی و فیزیکی پیاده‌سازی و ابزاری برای اعمال کنترل‌های مدیریتی هستند.
 
== امنیت برنامه‌های کاربردی ==
== کنترل تنظیمات (رمزنگاری) ==
در امنیت اطلاعات از [[رمزنگاری]] استفاده می‌شود تا اطلاعات به فرمی تبدیل شود که به غیر از کاربر مجاز کس دیگری نتواند از آن اطلاعات استفاده کند حتی اگر به آن اطلاعات دسترسی داشته باشد. اطلاعاتی که رمزگذاری شده تنها توسط کاربر مجازی که کلید رمز نگاری را دارد می‌تواند دوباره به فرم اولیه تبدیل شود (از طریق فرایند رمزگشایی). رمزنگاری برای حفاظت اطلاعات در حال انتقال (اعم از الکترونیکی یا فیزیکی) یا ذخیره شده‌است. رمزنگاری امکانات خوبی برای امنیت اطلاعات فراهم می‌کند از جمله روش‌های بهبود یافته تصدیق هویت، فشرده سازیفشرده‌سازی پیام، امضاهای دیجیتالی، قابلیت عدم انکار و ارتباطات شبکه رمزگذاری شده.
 
رمزنگاری اگر درست پیاده‌سازی نشود می‌تواند مشکلات امنیتی در پی داشته باشد. راه حل‌های رمز نگاری باید با استفاده از استانداردهای پذیرفته شده که توسط کارشناسان مستقل و خبره بررسی دقیق شده انجام گیرد. همچنین طول و قدرت کلید استفاده شده در رمزنگاری بسیار مهم است. کلیدی ضعیف یا خیلی کوتاه منجر به رمزگذاری ضعیف خواهد شد. مدیریت کلید رمزنگاری موضوع مهمی است.
رمز گذاریرمزگذاری داده‌ها و اطلاعات و تبدیل کردن آن‌ها به شکل رمز گذاریرمزگذاری شده، روش مؤثر در جلوگیری از انتشار اطلاعات محرمانه شرکت می‌باشد.
 
== معماری و طراحی سیستم‌های امن ==
== برنامه جامع امنیت تجارت الکترونیک ==
با وجود اینکه تمام مزایایی که تجارت الکترونیک بهمراه دارد، انجام تراکنش‌ها و ارتباطات آنلاین محملی بزرگتر برای سوء استفاده از فناوری و حتی اعمال مجرمانه فراهم می‌کند. این مشکلات تنها مختص تجارت الکترونیک نیست و بخشی از مشکلات گسترده ایست که در سراسر جهان گریبانگیر سیستم‌های اطلاعاتی و کامپیوتری هستند. هر ساله سازمان‌های بسیاری هدف جرائم مرتبط با امنیت اطلاعات، از حملات ویروسی گرفته تا کلاه‌برداری‌های تجاری از قبیل سرقت اطلاعات حساس تجاری و اطلاعات محرمانه کارت‌های اعتباری، قرار می‌گیرند. چنین حملات امنیتی موجب میلیون‌ها دلار ضرر و اخلال در فعالیت شرکت‌ها می‌شوند.
بسیاری از گزارشگران و مشاوران هزینه خسارات مرتبط با نقائص امنیتی را تا میلیاردها دلار برآورد کرده‌اند. با اینحال آنچه مهمترمهم‌تر از صحت میزان این خسارات است، این واقعیت است که با افزایش کاربران سیستم‌های اطلاعاتی، دسترسی آسان به اطلاعات و رشد فزاینده کاربران مطلع (فنی) می‌توان به راحتی فرض کرد که تعداد این سوء استفاده‌ها از فناوری و تهدیدهای امنیتی نیز به همین نسبت افزایش یابد.
متأسفانه، از آنجا که بسیاری از شرکت‌ها دوست ندارند نفوذ به سیستمشان را تأیید و اطلاعاتشان در مورد این نفوذها و وسعت آن‌ها را با دیگران به اشتراک بگذارند، میزان دقیق خساراتی که شرکت‌ها از جرائم مرتبط با امنیت متحمل شده‌اند، را نمی‌توان بدست آورد. بی میلی به ارائه اطلاعات مربوط به نقائص امنیتی، از این ترس معمول ناشی می‌شود که اطلاع عموم از چنین نقایصی باعث بی‌اعتمادی مشتریان نسبت به توانایی شرکت در حفظ دارائی‌های خود می‌شود و شرکت با این کار مشتریان خود و در نتیجه سوددهی اش را از دست خواهد داد. از آنجایی که مصرف کنندگان امروزی نسبت به ارائه آن لاین اطلاعات مالی بی‌اعتماد اند، شرکت‌ها با تأیید داوطلبانه این واقعیت که قربانی جرائم مرتبط با امنیت شده‌اند، چیزی بدست نمی‌آورند. با هیجانات رسانه‌ای که امروزه دور و بر اینترنت و قابلیت‌های آن وجود دارد، حفظ یک تصویر مثبت از امنیت تجارت الکترونیک در اذهان، دغدغه شماره یک بسیاری از شرکت‌ها است و برای بقاء و باقی ماندن در رقابت کاملاً ضروری است.
نبود اطلاعات دست اول از موارد واقعی برنامه‌ریزی و مقابله با تهدیدهای امنیتی را بسیار مشکلتر کرده‌است اما با این وجود هم فناوری‌ها و روش‌های امنیت اطلاعات
برنامه‌های مدیریتی که برای حفاظت از منابع و عملیات تجارت الکترونیک شرکت طراحی و اجرا می‌شوند، است. چنین برنامه‌ای برای بقاء کلی فعالیت‌های تجارت
الکترونیک شرکت حیاتی است و سازمان باید آن را به عنوان مولفه‌ای اساسی در راهبرد تجارت الکترونیک موفق به حساب آورد. موفقیت چنین برنامه‌هایی به حمایت کامل مدیران
رده بالا و مشارکت کامل بخش فناوری اطلاعات و مدیریت در جهت درک تأثیر گذاریتأثیرگذاری و محدودیت‌های برنامه است. علاوه بر این برای اطمینان از بروز بودن این برنامه و ابزارهای آن و هماهنگی با آخرین فناوری‌ها و فنون مدیریت، باید آن را بطور مداوم مورد ارزیابی و سنجش قرار داد.
 
=== ارزیابی عملیات تجارت الکترونیک ===
 
=== افراد ===
مهمترین مولفه هر برنامه امنیتی مؤثری افرادی هستند که آن را اجرا و مدیریت می‌کنند. نقائص امنیتی بیش از آن که ناشی از سیستم باشند، به وسیلهٔ کاربران سیستم و افرادی که مدیریت سیستم را برعهده دارند، رخ می‌دهند. بیشتر مطالعات گذشته نشان داده‌اند تهدیدهای داخلی سیستم‌های تجارت الکترونیک اغلب بسیار مهمترمهم‌تر از تهدیدهای خارجی بوده‌اند. در بسیاری از موارد مجرمانی که در نفوذ به سیستم موفق بوده‌اند، یا دانش قبلی از سیستم داشته یا دارای شریک جرمی در داخل شرکت بوده‌اند. مهمترین ابزاری که مدیریت برای کاهش تهدید داخلی در اختیار دارد آموزش کاربران داخلی سیستم و پرسنل مدیریت آن در مورد نتیجه اخلال در یکپارچگی و امنیت سیستم است. بسیاری از کاربران از این واقعیت که نفوذ به سیستم‌های اطلاعاتی جرم است و اخلالگران تحت پیگرد قانونی قرار می‌گیرند، اطلاع دارند. شرکت، با آگاهی دادن به کاربران و ترساندن آن‌ها از عواقب این اعمال می‌تواند تا حد زیادی مانع آن‌ها گردد.
 
=== راهبرد ===
موفقیت برنامه جامع امنیت تجارت الکترونیک در گروی مدیریت مؤثر چنین برنامه‌ای است. پشتیبانی مدیریت، از مدیران رده بالا شروع و در تمام سطوح ادامه می‌یابد. چنین برنامه‌ای در شرکت‌های بزرگ باید مستقیماً بوسیله یک مدیر ارشد و در شرکت‌های متوسط و کوچکتر بوسیله رئیس یا صاحب آن شرکت اداره و نظارت گردد. مسئولیت اصلی مدیر برنامه به روز نگه داشتن کامل برنامه، اجرای برنامه‌های آن و ارزیابی مجدد برنامه‌های موجود است.
 
بخشی از فعالیت‌های چنین فردی آموختن راهکارهای عملی مؤثر در برنامه امنیتی سایر سازمانهاستسازمان‌هاست که می‌تواند آن را با مطالعه مقالات، کتب و مطالعات موردی منتشر شده بدست آورد.
 
== مدرک CISSP ==
۱۳۳٬۲۴۲

ویرایش