امنیت کامپیوتر چیست؟+ ده نکته در مورد امنیت کامپیوتر در اینترنت

امین باقرزاده - دو شنبه -۳۰ تیر ۱۳۹۳ 

امنیت کامپیوتر و شبکه یا امنیت فضای تبادل اطلاعات مقوله­های مهمی هستند. ولی به ندرت میزان حفاظت از داده­ها و  دارایی­های اطلاعاتی شهروندان، شرکتها یا حکومت کافی و وافی است. زیرساخت شبکه، مسیریابها، کارگزاران نام و سوئیچهایی که این سیستمها را به هم متصل می­کنند، نباید از کار بیفتند و گرنه کامپیوترها نمی­توانند دقیق و مطمئن با هم ارتباط برقرار کنند. در اینجا پرسشهای متعددی مطرح می­شوند: دقیقاً زیرساخت چیست، در برابر چه تهدیدهایی باید ایمن شود و چگونه می­توان حفاظت را با هزینه بهینه فراهم کرد. ولی مبنای همه این پرسشها این است که چگونه سیستم امن را تعریف کنیم.

امنیت چیست؟ واضح است که امنیت چیز خوبی است، و همه این را تأیید می­کنند ولی افراد کمی آن را دقیق و یا حتّی نادقیق تعریف می­کنند. این مقاله سعی دارد به این مهم بپردازد.

در ادامه با ما باشید.

 

نیازمندیهای امنیت :

تفاوتهای میان نیازمندیهای یک دانشگاه و یک سازمان نظامی که کارهای رمزنگاری انجام می­دهد را در نظر بگیرید. تفاوت اصلی در نحوه به اشتراک گذاردن اطلاعات است. دانشگاه نتایج پژوهشها ( مقاله، گزارش و ...) را در اختیار عموم قرار می­دهد. از طرف دیگر سازمان نظامی به محرمانگی اهمیت ویژه­ای می­دهد. نه تنها سازمان مایل به افشای نحوه شکستن الگوریتمهای رمز نیست،  بلکه حتی نمی­خواهد دیگران از شکسته شدن الگوریتم رمز آگاه شوند. بنابراین امنیت معنای ثابتی ندارد و این نیاز به تعریف امنیت را گوشزد می­کند.

هنگامی که سازمانی بخواهد سیستمهای خود را امن کند باید نخست نیازمندیها را مشخص کند. دانشگاه نیاز به حفاظت از سلامت داده­ها و تا حدی محرمانگی آنها- مانند نمرات- دارد. ضمناً ممکن است نیاز به دسترس­پذیر بودن سیستم از طریق اینترنت برای دانشجویان و استادان داشته باشد. در مقابل سازمان نظامی به محرمانگی کلیه کارهای خود تأکید دارد. سیستمهای آن نباید از طریق شبکه در دسترس باشند. سلامت داده­ها نیز مهم است ولی نه به اندازه محرمانگی آنها،  یک سازمان نظامی ترجیح می­دهد داده­ها از بین بروند تا اینکه افشا شوند.

سیاست امنیتی¹

نیازمندیهای امنیتی مجاز بودن برخی اعمال ( و حالتهای سیستم) را دیکته کرده و بقیه را غیرمجاز می­دانند. یک سیاست امنیتی بیان خاصی است از آنچه که مجاز است و آنچه که مجاز نیست. اگر همیشه سیستم در حالتهای مجاز باقی بماند و کاربران تنها اعمالی را که مجاز هستند بتوانند انجام دهند، آنگاه سیستم امن است. اگر سیستم بتواند به یک حالت غیرمجاز وارد شود یا کاربر بتواند عمل غیرمجازی را با موفقیت انجام دهد سیستم ناامن است.

راهکارهای امنیتی²

 راهکارهای امنیتی سیاست امنیتی را اجرا می­کنند: هدف آنها این است که از ورود سیستم به حالتهای غیرمجاز جلوگیری کنند. راهکارها ممکن است فنی یا عملیاتی ( یا رویه­ای) باشند. به عنوان مثال فرض کنید سازمان نظامی سندهای طبقه­بندی نشده و سندهای فوق سری دارند. کاربرانی که حق دسترسی به اسناد فوق سری را ندارند، نمی­توانند به آنها دسترسی پیدا کنند.

راهکارهای فنی برای برخی سیاستها مناسب نیستند. برای مثال دانشگاه می­خواهد دانشجویان را از داشتن فایلهای موزیک روی کامپیوترشان منع نماید. جهت انجام اینکار راهبران سیستم قادرند کامپیوتر­ها را برای یافتن موزیک جستجو نمایند ولی دانشجویان باهوش می­توانند فایلهای موزیک را به صورت متنی کدگذاری نمایند. ولی راهکار عملیاتی که دانشجویان را از قراردادن فایل موزیک منع می­کند در کنار تنبیه در صورت تخلف، خیلی مناسبتر و مؤثرتر از راهکار فنی می­تواند باشد.

این که کل راهکارهای اتخاذ شده به درستی سیاست امنیتی را پیاده­سازی می­کنند، پرسشی مربوط به اطمینان یا تضمین³ است. برای مثال فایروالها سیستمهایی هستند که واسطه اتصال سیستم یا شبکه داخلی به اینترنت هستند. فایروال می­تواند تلاشهای اتصال به شبکه داخلی از اینترنت را بلوکه کند. با این حال اگر نرم­افزار فایروال به درستی نوشته نشده باشد، ممکن است برخی اتصالها که سیاست امنیتی اجازه نداده را بلوکه نکند.

در ادامه دو مثال این مورد را بیشتر توضیح می­دهند. اول فرض کنید سیاست سازمان آن است که از شبکه­های خارجی نقطه به نقطه⁴ استفاده نشود. ساده­ترین راه آن است که فایروال به گونه­ای پیکربندی ­شود که پیامهای خارجی درگاه مربوطه را نپذیرد. با این حال اگر فایروال به خوبی پیکربندی نشده باشد، ممکن است پیامی حتّی اگر چه سیاست امنیتی آن را منع کرده باشد، بپذیرد. بنابراین راهکار مورد نظر برای اجرای سیاست امنیتی شکست می­خورد.

دوم فرض کنید دانشگاه یک  وبگاه  برای اسنادی که قرار است در دسترس پژوهشگران بیرونی باشند، دارد. سیاست امنیتی سیستم آن است که فایلهای موجود در دایرکتوریهای کارگزار وب برای اجرای این سیاست پیکربندی شوند. متأسفانه کارگزار یک خطای نرم­افزاری دارد که با فرستادن یک URL  خاص می­توان به هر فایل روی سیستم دسترسی پیدا کرد. در این جا راهکار نه به علت پیکربندی نادرست، بلکه به علت خطای نرم­افزاری شکست می­خورد.  

تضمین های امنیتی :

این که چقدر سیاستهای امنیتی نیازمندیها را می­پوشانند و راهکارها سیاستها را پیاده­سازی می­کنند در قلمرو بحث  تضمین امنیتی قرار می­گیرد. متدولوژیهای مختلفی برای اندازه­گیری تضمین یا اطمینان امنیتی وجود دارند. متدولوژی می­تواند به عنوان بخشی از فرآیند مهندسی نرم­افزار باشد، با این حال هیچ متدولوژی نمی­تواند به طور مطلق امن بودن سیستم را تضمین کند، ولی متدولوژیهای مختلف درجه­های مختلفی از امنیت را فراهم می­کنند. روشهای مختلف ارزیابی میزان تضمین امنیت نه تنها به سیستم، بلکه به محیط ارزیابی و فرآیند تولید سیستم نیز بستگی دارند.

تضمین حتّی به نیروهای انسانی نیز بستگی دارد: راهبران فنی چقدر از سیاست امنیتی را درک کرده­اند؟ آیا سیاست­گذاران افراد را برای پرسش موارد مبهم تشویق می­کنند؟ آیا پاسخها گویا و مفید است؟ و بسیاری موارد دیگر.

این پرسشها اهمیت آموزش افراد متخصص امنیت را یادآور می­شوند. آموزش خود در دو جایگاه می­تواند متجلی شود: آموزش دانشگاهی و آموزش حرفه­ای که هر یک اهداف خاص خود را دارند. بحث مفصلی در این باره در شماره قبل بولتن شده است که خواننده علاقمند را به آن ارجاع می­دهیم.

مؤلفه ­های امنیت :

امنیت سه مؤلفه دارد: نیازمندیها، سیاست و راهکارها.که به تشریح هر یک می پردازیم :

نیازمندیها اهداف امنیت را تعریف می­کنند. آنها به این پرسش که " از امنیت چه انتظاری دارید؟" پاسخ می­دهند. سیاست معنای امنیت را تعریف می­کند و به پرسش "چه گامهایی برای رسیدن به اهداف بالا برمی­دارید؟" پاسخ می­دهد. راهکارها سیاست را اعمال می­کنند. به این پرسش پاسخ می­دهند که آنها "از چه ابزارها، و روالهایی برای اطمینان از طی شدن این گامها استفاده می­کنند؟" از یک دید، امنیت دو مقداری است: یا سیستم امن است یا نیست. با این حال ارزیابی امنیت با این روش مفید نیست. به طور کلی میزان امنیت یک سایت با میزان پوشش دادن  نیازمندیها سنجیده می­شود. بنابراین اگر بخواهیم یک سازمان که از قابلیتهای امنیتی فعال شده بسیاری استفاده می­کند، ممکن از سازمان مشابه دیگری که از امکانات امنیتی کمتری استفاده می­کند، امنیت کمتری داشته باشد.

ده نکته ی طلایی امنیتی :

1- هیچ چیز را بدون دلیل قبول نکنید.مدتی را صرف آموختن در مورد امنیت سیستم خود کنید.

2- از یک آنتی ویروس قابل اعتماد استفاده کنید.آنتی ویروسی را انتخاب کنید که کارنامه قابل قبولی داشته باشد.AV-Test.org و TuV معتبرترین آزمایشگاه های مستقلی هستند که در زمینه آنتی ویروس ها فعالیت می کنند.

3- از یک دیواره آتش (Firewall) قابل اطمینان استفاده کنید.نقدهای مستقل بهترین راهنمایی برای شماست.برخی سیستم های عامل با یک دیواره آتش عرضه می شوند که فقط ترافیک ورودی اطلاعات را کنترل می کنند.از دیواره آتشی استفاده کنید که هر دو سمت انتقال اطلاعات به شبکه اینترنت را کنترل کند.

4- ایمیل هایی را که از طرف منابع نامشخص یا غیرقابل اعتماد برای شما فرستاده می شوند را باز نکنید.بسیاری از ویروس ها از طریق پیام های ایمیل گسترش می یابند در نتیجه اگر هرگونه شک و بدگمانی دارید از فرستنده بخواهید هویت خودش را مشخص کند.

5- پیوست ایمیل های رسیده با موضوعات مشکوک و یا غیرقابل انتظار را باز نکنید.در صورتی که می خواهید آنها را باز کنید، ابتدا آنها را بر روی هارد دیسک ذخیره کنید و سپس با یک برنامه آنتی ویروس بروز شده کنترل کنید.

6- ایمیل های ناخواسته را بدون اینکه باز کنید ، پاک کنید.آنها را برای فرستنده شان بازگشت ندهید و همچنین به آنها جواب ندهید.اینگونه از پیام ها را در اصطلاح هرزنامه (Spam) می نامند ، در غیر اینصورت آدرس ایمیل شما به عنوان یک آدرس معتبر در فهرست آنها ثبت شده و پس از آن شاهد هجوم ایمیل های نامطلوب و ناخواسته خواهید بود.

7- برخی نرم افزارها بصورت بالقوه خطرناک هستند و در صورتی که نصب آنها ضرورتی ندارد ، باید از نصب شان خودداری کرد.برای مثال می توان از نرم افزارهای کنترل کامپیوتر از راه دور ، برنامه های اشتراک فایل نام برد.

8- سیستم و نرم افزارهایتان را در اسرع وقت بروزرسانی کنید.برخی سیستم های عامل و برنامه ها می توانند بصورت خودکار بروزرسانی شوند.از این امکان بصورت کامل استفاده کنید.استفاده نکردن از بسته های اصلاحی می تواند سیستم عامل شما را در برابر خطراتی که اصلاح پذیر هستند آسیب پذیر نماید.

9- هیچ فایلی رو بر روی کامپیوتر خود کپی نکنید مگر اینکه از پاک بودن خود فایل و منبع آن مطمئن باشید.از بی خطر بودن فایلی که قصد کپی کردنش را دارید در همان محل اولیه با کمک یک آنتی ویروس مطمئن شوید.

10- از اطلاعات شخصی مهمتان (اسناد،نامه ها ، تصاویر و غیره) نسخه پشتیبان تهیه کنید.آنها را بر روی حافظه های قابل انتقال مانند CD یا DVD ذخیره کنید و آرشیو فایلهایتان را در بیشتر از یک کامپیوتر نگه دارید.

آیا تا حالا این نکات را رعایت می کردید؟

b-nevis