تفاوت میان نسخه‌های «امنیت اطلاعات»

جز
اصلاح فاصله مجازی + اصلاح نویسه با ویرایشگر خودکار فارسی
(به نسخهٔ 25559575 ویرایش Arash.pt برگردانده شد. (توینکل))
برچسب: خنثی‌سازی
جز (اصلاح فاصله مجازی + اصلاح نویسه با ویرایشگر خودکار فارسی)
 
== تاریخچه ==
از زمانی که نوشتن و تبادل اطلاعات آغاز شد، همه انسان‌ها مخصوصاً سران حکومتهاحکومت‌ها و فرماندهان نظامی در پی راهکاری برای محافظت از محرمانه بودن مکاتبات و تشخیص دستکاری آن‌ها بودند. [[ژولیوس سزار]] ۵۰ سال قبل از میلاد یک سیستم رمزنگاری مکاتبات ابداع کرد تا از خوانده شدن پیام‌های سری خود توسط دشمن جلوگیری کند حتی اگر پیام به دست دشمن بیفتد جنگ جهانی دوم باعث پیشرفت چشمگیری در زمینه امنیت اطلاعات گردید و این آغاز کارهای حرفه‌ای در حوزه امنیت اطلاعات شد.
پایان قرن بیستم و سال‌های اولیه قرن بیست و یکم شاهد پیشرفتهای سریع در ارتباطات راه دور، سخت‌افزار، نرم‌افزار و رمزگذاری داده‌ها بود. در دسترس بودن تجهیزات محاسباتی کوچکتر، قوی تر و ارزان‌تر پردازش الکترونیکی داده‌ها باعث شد که شرکت‌های کوچک و کاربران خانگی دسترسی بیشتری به آن‌ها داشته باشند. این تجهیزات به سرعت از طریق شبکه‌های کامپیوتر مثل اینترنت به هم متصل شدند.
 
با رشد سریع و استفاده گسترده از پردازش الکترونیکی داده‌ها و کسب و کار الکترونیک از طریق اینترنت، همراه با ظهور بسیاری از خرابکاریهایخرابکاری‌های بین‌المللی، نیاز به روش‌های بهتر حفاظت از رایانه‌ها و اطلاعات آن‌ها ملموس گردید. رشته‌های دانشگاهی از قبیل امنیت کامپیوتری، امنیت اطلاعات و اطلاعات مطمئن همراه با سازمان‌های متعدد حرفه‌ای پدید آمدند. هدف مشترک این فعالیت‌ها و سازمان‌ها حصول اطمینان از امنیت و قابلیت اطمینان از سیستم‌های اطلاعاتی است.
 
== مفاهیم پایه ==
 
=== یکپارچه بودن ===
یکپارچه بودن یعنی جلوگیری از تغییر داده‌ها بطوربه‌طور غیرمجاز و تشخیص تغییر در صورت دستکاری غیرمجاز اطلاعات. یکپارچگی وقتی نقض می‌شود که اطلاعات نه فقط در حین انتقال بلکه در حال استفاده یا ذخیره شدن ویا نابودشدن نیز به صورت غیرمجاز تغییر داده شود. سیستم‌های امنیت اطلاعات به‌طور معمول علاوه بر محرمانه بودن اطلاعات، یکپارچگی آن را نیز تضمین می‌کنند.
 
=== قابل دسترس بودن ===
اطلاعات باید زمانی که مورد نیاز توسط افراد مجاز هستند در دسترس باشند. این بدان معنی است که باید از درست کار کردن و جلوگیری از اختلال در سیستم‌های ذخیره و پردازش اطلاعات و کانال‌های ارتباطی مورد استفاده برای دسترسی به اطلاعات اطمینان حاصل کرد. سیستم‌های با دسترسی بالا در همه حال حتی به علت قطع برق، خرابی سخت‌افزار، و ارتقاء سیستم در دسترس باقی می‌ماند. یکی از راه‌های از دسترس خارج کردن اطلاعات و سیستم اطلاعاتی درخواست‌های زیاد از طریق خدمات از سیستم اطلاعاتی است که در این حالت چون سیستم توانایی و ظرفیت چنین حجم انبوه خدمات دهی را ندارد از سرویس دادن بطوربه‌طور کامل یا جزیی عاجز می‌ماند.
 
== قابلیت بررسی (کنترل دسترسی) ==
 
== برنامه جامع امنیت تجارت الکترونیک ==
با وجود اینکه تمام مزایایی که تجارت الکترونیک بهمراهبه همراه دارد، انجام تراکنش‌ها و ارتباطات آنلاین محملی بزرگتر برای سوء استفاده از فناوری و حتی اعمال مجرمانه فراهم می‌کند. این مشکلات تنها مختص تجارت الکترونیک نیست و بخشی از مشکلات گسترده ایست که در سراسر جهان گریبانگیر سیستم‌های اطلاعاتی و کامپیوتری هستند. هر ساله سازمان‌های بسیاری هدف جرائم مرتبط با امنیت اطلاعات، از حملات ویروسی گرفته تا کلاه‌برداری‌های تجاری از قبیل سرقت اطلاعات حساس تجاری و اطلاعات محرمانه کارت‌های اعتباری، قرار می‌گیرند. چنین حملات امنیتی موجب میلیون‌ها دلار ضرر و اخلال در فعالیت شرکت‌ها می‌شوند.
بسیاری از گزارشگران و مشاوران هزینه خسارات مرتبط با نقائص امنیتی را تا میلیاردها دلار برآورد کرده‌اند. با اینحال آنچه مهم‌تر از صحت میزان این خسارات است، این واقعیت است که با افزایش کاربران سیستم‌های اطلاعاتی، دسترسی آسان به اطلاعات و رشد فزاینده کاربران مطلع (فنی) می‌توان به راحتی فرض کرد که تعداد این سوء استفاده‌ها از فناوری و تهدیدهای امنیتی نیز به همین نسبت افزایش یابد.
متأسفانه، از آنجا که بسیاری از شرکت‌ها دوست ندارند نفوذ به سیستمشان را تأیید و اطلاعاتشان در مورد این نفوذها و وسعت آن‌ها را با دیگران به اشتراک بگذارند، میزان دقیق خساراتی که شرکت‌ها از جرائم مرتبط با امنیت متحمل شده‌اند، را نمی‌توان بدست آورد. بی میلی به ارائه اطلاعات مربوط به نقائص امنیتی، از این ترس معمول ناشی می‌شود که اطلاع عموم از چنین نقایصی باعث بی‌اعتمادی مشتریان نسبت به توانایی شرکت در حفظ دارائی‌های خود می‌شود و شرکت با این کار مشتریان خود و در نتیجه سوددهی اش را از دست خواهد داد. از آنجایی که مصرف‌کنندگان امروزی نسبت به ارائه آن لاین اطلاعات مالی بی‌اعتماد اند، شرکت‌ها با تأیید داوطلبانه این واقعیت که قربانی جرائم مرتبط با امنیت شده‌اند، چیزی بدست نمی‌آورند. با هیجانات رسانه‌ای که امروزه دور و بر اینترنت و قابلیت‌های آن وجود دارد، حفظ یک تصویر مثبت از امنیت تجارت الکترونیک در اذهان، دغدغه شماره یک بسیاری از شرکت‌ها است و برای بقاء و باقی ماندن در رقابت کاملاً ضروری است.
سایبر تخصص پیدا کرده‌اند و راهکارهای زیادی برای حفاظت از فناوری‌های تجارت الکترونیک از مجرمین بالقوه فضای سایبر دارند. بسیاری از شرکت‌ها دریافته‌اند
که برای موفقیت در تجارت الکترونیک، علاوه بر روش‌های امنیتی که برای حفاظت از منابع فناوری اطلاعات طراحی شده‌اند، نیازمند سرمایه‌گذاری و برنامه‌ریزی برای
ایجاد یک برنامه جامع امنیت هستند تا بدان طریق از داراییهایشاندارایی‌هایشان در اینترنت محافظت و از نفوذ مجرمین به سیستم‌هایشان که موجب خسارت دیدن فعالیت‌های تجارت الکترونیک
آنهاآن‌ها می‌شود جلوگیری کنند.
برنامه جامع امنیت تجارت الکترونیک شامل برنامه‌های حفاظتی که از فناوری‌های موجود (نرم‌افزار و سخت‌افزار)، افراد، برنامه‌ریزی راهبردی استفاده می‌کنند و
برنامه‌های مدیریتی که برای حفاظت از منابع و عملیات تجارت الکترونیک شرکت طراحی و اجرا می‌شوند، است. چنین برنامه‌ای برای بقاء کلی فعالیت‌های تجارت
الکترونیک شرکت حیاتی است و سازمان باید آن را به عنوان مؤلفه‌ای اساسی در راهبرد تجارت الکترونیک موفق به حساب آورد. موفقیت چنین برنامه‌هایی به حمایت کامل مدیران
رده بالا و مشارکت کامل بخش فناوری اطلاعات و مدیریت در جهت درک تأثیرگذاری و محدودیت‌های برنامه است. علاوه بر این برای اطمینان از بروز بودن این برنامه و ابزارهای آن و هماهنگی با آخرین فناوری‌ها و فنون مدیریت، باید آن را بطوربه‌طور مداوم مورد ارزیابی و سنجش قرار داد.
 
=== ارزیابی عملیات تجارت الکترونیک ===
اولین گام برای ایجاد یک برنامه جامع امنیت تجارت الکترونیک، انجام یک ارزیابی کامل از ارزش و اهمیت تجارت الکترونیک در موفقیت کلی اهداف و برنامه تجاری شرکت است. گام بعدی باید ارزیابی آسیب‌پذیری سیستم تجارت الکترونیک شرکت از هر دو جنبهٔ تهدیدات داخلی و خطرات موجود خارجی است. شناخت آسیب‌پذیریهایآسیب‌پذیری‌های خارجی بسیار ساده‌تر از دیدن آسیب‌پذیری‌های خارجی است. با این وجود تمام تلاش‌ها باید در راستای شناخت حوزه‌هایی باشد که سیستم از داخل مورد سوءاستفاده قرار می‌گیرد. این کار را می‌توان به خوبی با صحبت با کاربران سیستم و توسعه دهندگان انجام داد. علاوه بر این بسته‌های نرم‌افزاری بسیاری هم وجود دارند که می‌توانند توانایی نظارت بر استفاده کلی از سیستم و دسترسی داخلی به آن را دارند و می‌توانند تحلیل کاملی از فعالیت‌های مشکوک احتمالی کاربران داخلی ارائه دهند.
 
=== طرح مستمر ===
گام بعد ایجاد یک طرح مستمر تجارت الکترونیک است که بطوربه‌طور شفاف تمام نقاط ضعف احتمالی، روش‌های جلوگیری و مقابله با آن‌ها و برنامه‌های محتمل برای ترمیم
نفوذها و و تهدیدهای امنیتی است. بسیاری از شرکت‌ها تمایل دارند به خود بقبولانند که داشتن برنامه ضد ویروس و دیواره‌های آتش، برای حفاظت از سیستم‌هایشان
کافی است. داشتن چنین نرم‌افزارهایی گام نخست خوبی است اما حتی با این وجود نیز سیستم‌های تجارت الکترونیک با نقاط ضعف زیر روبرو هستند:
# فقدان ارتباطات
# فقدان فروشندگان.
تهدیدها در هر یک از این حوزه‌ها باید به دقت ارزیابی و طرح‌های محتمل ترمیم باید با جزئیات کامل برای مقابله با هر کدام تهیه شود. علاوه بر این باید در طرح افراد مسئول مدیریت و تصحیح مشکلات بوجودبه وجود آمده از این نقائص معین گردند. سپس، سازمان باید نرم‌افزارها و سخت‌افزارهایی که حفاظت از سیستم تجارت الکترونیک را برعهده دارند را، ارزیابی کند. درک اینکه فناوری‌های مورد استفاده باید مناسب نیازهای شرکت بوده و برای تمام تهدیدهای امنیتی احتمالی سطحی از محافظت را فراهم کنند از اهمیت بسزایی برخوردار است.
 
حوزه‌های بحرانی که با مورد توجه قرار گیرند عبارتند از: حساسیت داده‌ها و اطلاعات در دسترس، حجم ترافیک دسترسی و روش‌های دسترسی. امنیت تجارت SSL (Secure Socket Layer) یا SET (Secure Electronic Transaction)الکترونیک مبتنی بر تکنولوژی باید با استفاده از الگوی امنیت
 
=== اعتبار ===
این مدرک به دلیل این که بر خلاف سایر مدارک امنیتی، وابسته به محصولات هیچ شرکت خاصی نیست، قادر است به افراد متخصص امنیت، تبحر لازم را در طرح و پیاده‌سازی سیاست‌های کلان امنیتی اعطا نماید. اتخاذ تصمیمات اصلی و حیاتی برای برقراری امنیت، مسئله‌ای نیست که مدیران سطح بالای یک سازمان بزرگ آن را به عهدهٔ کارشناسان تازه‌کار یا حتی آنهاییآن‌هایی که مدرک امنیت در پلتفرم کاری خاصی را دارند، بگذارند بلکه مهم آن است.
که این قبیل مسئولیت‌ها به اشخاصی که درک کامل و مستقلی از مسائل مربوط به مهندسی اجتماعی دارند و می‌توانند در جهت برقراری امنیت اطلاعات در یک سازمان به ارائه خط مشی ویژه و سیاست امنیت خاص کمک‌کننده سپرده شود.
 
۱۳۳٬۲۴۲

ویرایش