امنیت فناوری اطلاعات
 
درباره وبلاگ


به وبلاگ ما خوش آمدید
IT ENGINEERING
11 / 4برچسب:, :: 7 ::  نويسنده : BlackHats

مشابه سایر زمینه‌های تاثیر گذار بر اینترنت در مقوله امنیت فناوری اطلاعات نیز سیاست‌های دولت نقش مهمی ایفا می‌کند. با این حال در این مورد باید با احتیاط اظهار نظر کرد چرا که یک چارچوب عمومی سیاست می‌تواند امنیت را تقویت کند اما اشکالاتی که در اثر مقررات نادرست دولتی به وجود می‌آید بیش از مزایای چنین مقرراتی است. فناوری به سرعت در حال تغییر است و تهدیدات سایبر جدید با چنان سرعتی افزایش می‌یابند که مقررات دولتی به راحتی می‌توانند تبدیل به موانعی برای ارائه سریع پاسخ‌های مبتکرانه شوند. بنابرین بهترین راه این است که میان معیارهای تقنینی و غیر تقنینی یک نقطه تعادل پیدا کنیم. برای دستیابی به چنین تعادلی سیاست گذاران باید به برخی ویژگی‌های ذاتی و منحصر به فرد اینترنت توجه کنند. در مقایسه با فناوری اطلاعات پیشین فضای سایبر یک فضای غیر متمرکز است. بخشی از قدرت اینترنت ناشی از این حقیقت است که فاقد دربان است و بیشتر کارایی آن در مرزهای شبکه‌است تا در مرکز آن.

در بسیاری از کشورها یک جز یا تمامی اجزای شبکه‌های ارتباطی و بسیاری از زیرساخت‌های مهم و حساس تحت تملک و عملکرد بخش خصوصی قرار دارد. بنابراین قسمت اعظم مسئولیت کسب اطمینان وابسته به بخش خصوصی است. اما با این وجود مسئولیت امنیت این سیستم‌ها میان دولت و بخش خصوصی تقسیم شده‌است.

کاهش مخاطره زیرساخت اطلاعات حساس

برای توسعه استرتژی کاهش مخاطره زیر ساخت اطلاعات حساس باید اصول زیر مدنظر قرار گیرند:

کشورها باید دارای شبکه‌های هشدار دهنده اضطراری برای تهدیدات و حوادث دنیای سایبر باشند.

کشورها باید سطح دانش و آگاهی خود را ارتقا دهند تا به درک افراد از ماهیت و وسعت زیر ساخت اطلاعات حساس خود کمک نمایند.

کشورها باید مشارکت میان بخش عمومی و بخش خصوصی را افزایش داده و اطلاعات زیرساختی مهم خود را مورد تجزیه و تحلیل قرار دهند و به اشتراک بگذارند.

کشورها باید اطمینان یابند که سیاست‌های در دسترس بودن داده، امنیت زیرساخت‌های اطلاعات حساس را نیز مدنظر قرار داده‌اند.

کشورها باید اطمینان حاصل کنند که برای مقابله با مشکلات امنیتی قوانین مناسب و روال‌های قابل قبول دارند و این تحقیقات را با سایر کشورها مطابقت دهند.

کشورها باید در زمان مناسب در همکاری‌های بین‌المللی شرکت کنند تا زیرساخت‌های مهم اطلاعاتی خود را ایمن سازند.

کشورها باید تحقیق و توسعه ملی و بین‌المللی خود را افزایش دهند و بر اساس استانداردهای بین‌المللی، مشوق به کار گیری فناوری‌های امنیتی باشند.

کشورها باید در خصوص افزایش قابلیت واکنش آموزش‌ها و تمریناتی داشته باشند و برنامه‌های خود را برای پیشامدهای احتمالی مورد ارزیابی قرار دهند.

کاهش مخاطره در حوزه خدمات مالی

طبق تخمین شرکت اینترنت دیتا حدود ۵۷٪ نفوذها علیه صنایع سرمایه گذاری صورت گرفته‌است. علاوه بر این با پیچیده تر شدن روش‌های نفوذ سطح مهارت نفوذگران کاهش می‌یابد، چون تکه برنامه‌های خرابکارانه برای دانلود و کاربرد در دسترس همگان قرار دارد. حتی کسانی که دانش چندان عمیقی ندارند با این امکانات می‌توانند اقدام به نفوذهای بزرگ کنند.

نقش کشورها

نمایندگان اداره مالی هنگ کنگ با مروری بر سه مورد کلاه برداری بحث خود را آغاز کردند:

نفوذگری با استفاده از یک تراوا به سرقت تعدادی رمز عبور و شناسه اقدام کرد و توانست بیش از ۳۵۰۰۰ دلار آمریکا را به صورت غیر مجاز جا به جا کند.

یک مورد کلاهبرداری به دلیل ضعف آگاهی مشتری در مورد امنیت رمز عبور در سیستم پرداخت الکترونیکی نفوذگران توانستند وارد سیستم شوند و سه میلیون دلار به سرقت ببرند.

در یک کلاه برداری اینترنتی نفوذگران توانستند حدود پنج میلیون سهم با ارزش ۲۱٫۷ میلیون دلار را فروخته و در قیمت سهام نوسان شدیدی ایجاد کنند.

درس‌هایی که می‌توان از این رویدادها گرفت این است که باید تغییرات حساب‌های اشخاص ثالث را ثبت کرد. باید معاملات بانکی الکترونیکی را کنترل کرد و در مورد معاملات و حساب‌های مشکوک با صاحبان حساب‌ها هماهنگی مجدد به عمل آید. باید آگاهی مشتری را افزایش داد تا بتوانند از روش‌ها و کانال‌های مختلف برای انتقال اطلاعات به صورت امن استفاده کنند.

در یک رخداد، رایانه‌های مشتریان بزرگترین بانک سنگاپوری آلوده به انواعی از تراواها شد. این تراواها به طور ناخواسته اطلاعات محرمانه کاربران را دریافت و برای آدرس‌های از پیش تعیین شده ارسال می‌کردند و بدین وسیله سارقین می‌توانستند مقادیر عظیمی پول را به سرقت ببرند. این تراوای خاص آنقدر پیشرفته بود که از ضدویروس‌ها و مهاجم یاب‌ها به سلامت عبور می‌کرد. از این موضوع نیز می‌توان نتیجه گرفت که ضدویروس‌ها و مهاجم یاب‌ها نباید تنها مکانیزم‌های دفاعی برای یک محیط اقتصادی باشند.

فناوری‌های سیار و حفاظت از سیستم‌های دولتی

با پدید آمدن فناوری‌های سیار، دستاوردها و مخاطرات جدیدی به وجود آمد. فناوری‌های بی سیم با سرعتی معادل سه برابر سرعت خطوط زمینی در حال رشد است. این فناوری نیز مانند سایر فناوری‌های ارتباطی نسبت به تکه برنامه‌های مخرب مثل تراواها، ویروس‌ها و حملات تخریب سرویس، آسیب پذیر می‌باشد. معمولاً اتصال بی سیم ضعیف‌ترین حلقه زنجیر امنیتی محسوب می‌شود. اما با چند گام ساده می‌توان حفاظت بیشتری به عمل آورد. فعال کردن رمز عبور راه اندازی، نصب نرم‌افزار ضدویروس، نصب یک دیواره آتش شخصی با قابلیت رمز گذاری، اطمینان از نگهداری ایمن از وسایل و حفاظت از نرم‌افزارهای کاربردی با رمزهای عبور از جمله این اقدامات است.

با پدید آمدن فناوری‌های سیار، دستاوردها و مخاطرات جدیدی به وجود آمد. فناوری‌های بی سیم با سرعتی معادل سه برابر سرعت خطوط زمینی در حال رشد است. این فناوری نیز مانند سایر فناوری‌های ارتباطی نسبت به تکه برنامه‌های مخرب مثل تراواها، ویروس‌ها و حملات تخریب سرویس، آسیب پذیر می‌باشد. معمولاً اتصال بی سیم ضعیف‌ترین حلقه زنجیر امنیتی محسوب می‌شود. اما با چند گام ساده می‌توان حفاظت بیشتری به عمل آورد. فعال کردن رمز عبور راه اندازی، نصب نرم‌افزار ضدویروس، نصب یک دیواره آتش شخصی با قابلیت رمز گذاری، اطمینان از نگهداری ایمن از وسایل و حفاظت از نرم‌افزارهای کاربردی با رمزهای عبور از جمله این اقدامات است.

تمهید ساختار ملی برای مسئله امنیت رایانه‌ای دولت را با چالش‌های سازمانی از جمله چگونگی رهبری این ساختار رو به رو می‌کند. برای تعیین مسئولیت‌ها در دولت باید ابتدا به این پرسش پاسخ داد که: آیا از نظر اقتصادی، امنیت ملی و یا مقررات حاکم، امنیت رایانه‌ای یک مسئله قابل اهمیت محسوب می‌شود؟

برای پاسخ به این پرسش بد نیست بدانیم:

کانادا اعتبارات زیادی برای امنیت سایبر به وزارت دفاع خود اختصاص داده‌است.

در بریتانیا اداره اقامت که مسئول اجرای قوانین است رهبری را بر عهده دارد.

ایالات متحده این موضوع را در بخش امنیت داخلی خود قرار داده‌است اما به صورت آگاهانه بخش امنیت رایانه‌ای موسسه استاندارد و فناوری تحت نظارت دپارتمان تجارت را همچنان حفظ کرده‌است.

استرالیا یک گروه همکاری امنیت الکترونیکی را برای هماهنگ سازی سیاست امنیت سایبر ایجاد نموده، یک سازمان اجرایی که توسط اداره ملی برای اقتصاد اطلاعاتی ایجاد شده و تحت نظارت وزارت ارتباطات و فناوری اطلاعات می‌باشد.

ایتالیا یک کمیته داخلی وزارتی برای استفاده مسئولانه از اینترنت برقرار ساخته که توسط دپارتمان نوآوری و فناوری در دفتر نخست وزیری مدیریت می‌گردد.

در سال ۲۰۰۰ نخست وزیر ژاپن گروهی را برای پرداختن به مسئله امنیت فناوری اطلاعات در کابینه دولت ایجاد کرد تا بهتر بتواند معیارها و سیاستهای امنیتی را میان وزیران و سازمان‌ها هماهنگ نماید. این گروه متشکل از متخصصانی بود که عضو سازمانها و وزارت خانه‌های وابسته و نیز بخش خصوصی بودند.

سرپیچی از قوانین موضوعه جرائم

برای ارتکاب جرائم الکترونیکی روش‌های مختلفی متصور است و برای قانون شکنی‌های مختلف نیز نام‌های متفاوتی وجود دارد، اما در مجموع، قوانینی که در مورد جرائم الکترونیکی هستند در یکی از چهار دسته زیر قرار می‌گیرند:

دزدی داده‌ها : نسخه برداری تعمدی و غیر مجاز از داده‌های خصوصی رایانه‌ای. به عنوان مثال می‌توان به نسخه برداری از نامه‌های الکترونیکی اشخاص اشاره کرد.این قوانین به قصد حفاظت از محرمانگی ارتباطات تهیه می‌شوند.در این مورد می‌توان به این نکته اشاره کرد که بیشتر نظام‌های قانونی دنیا، ردیابی بدون مجوز مکالمات تلفنی را جرم می‌دانند و این مفهوم خوش تعریف در جهان ارتباطات تلفنی می‌تواند کاربرد مشابهی در حوزه فضای سایبر نیز داشته باشد.

تداخل داده‌ها : تخریب، حذف، یا تغییر تعمدی و غیر مجاز داده‌ها در رایانه دیگران. مثلا ارسال ویروس‌هایی که فایل‌ها را حذف می‌کنند، یا به رایانه‌ای نفوذ کرده و باعث تغییر داده‌ها می‌شوند، یا به یک پایگاه وب نفوذ کرده و شکل ظاهری آن را تغییر می‌دهند، همه جز این دسته محسوب می‌شوند. شناسایی عنصر «قصد» برای تمایز میان فعالیت‌های تبهکارانه و صرفا اشتباهات معمول و یا ارسال تصادفی ویروس‌ها بسیار حیاتی است.

تداخل سیستم : جلوگیری غیر مجاز از فعالیت سیستم رایانه‌ای به صورت تعمدی از طریق ورود، انتقال، تخریب، حذف، یا تغییر داده‌های رایانه‌ای. این بند شامل مواردی از قبیل حملات تخریب سرویس یا ورود ویروس به یک سیستم به گونه‌ای که با کارکرد طبیعی آن تداخل داشته باشد می‌شود.«آسیب جدی» عنصری است که فعالیت‌های تبهکارانه را از رفتارهای معمولی اینترنتی مثل ارسال یک یا چند نامه الکترونیکی ناخواسته مجزا می‌سازد.

دسترسی غیر قانونی : دسترسی تعمدی و غیر مجاز به سیستم رایانه‌ای شخصی دیگر که در فضای الکترونیکی می‌توان آن را مترادف «تعدی» دانست. (از یک دیدگاه دیگر، دسترسی غیر قانونی، محرمانگی داده‌های ذخیره شده را خدشه دار می‌کند و در نتیجه تهدیدی برای محرمانگی داده‌ها است.) در برخی سیستم‌های حقوقی تعریف دسترسی غیر قانونی محدود به موقعیت‌هایی است که اطلاعات محرمانه(مثل اطلاعات پزشکی یا مالی) دریافت، نسخه برداری یا مشاهده می‌شوند.

نتایج

یک دولت علاوه بر تامین امنیت منابع اطلاعاتی خود، باید متعهد باشد که مجموعه سیاست‌هایی را برای ایمن ساختن اطلاعات زیر ساختی ملی خود تنظیم کند. این سیاست‌ها نقش مهمی در امنیت فناوری اطلاعات دارد، ولی با این حال تناقضی وجود خواهد داشت و آن این که چارچوب سیاست ملی باید قادر به افزایش سطح امنیت باشد اما قوانین ضعیف دولتی بیش از سودی در پی داشته باشد، ضرر به بار خواهند آورد. فناوری به سرعت در حال تغییر است و تهدیدات رایانه‌ای جدید به دلیل همین تغییرات به وجود می‌آیند. در چنین وضعیتی از قوانین دولتی برای به دام انداختن جنایتکاران و جلوگیری از گسترش شیوه‌های نوین خلاف کاری استفاده می‌شود.

wikipedia.org


نظرات شما عزیزان:

نام :
آدرس ایمیل:
وب سایت/بلاگ :
متن پیام:
:) :( ;) :D
;)) :X :? :P
:* =(( :O };-
:B /:) =DD :S
-) :-(( :-| :-))
نظر خصوصی

 کد را وارد نمایید:

 

 

 

عکس شما

آپلود عکس دلخواه:







 
 
نویسندگان
پیوندها
آخرین مطالب