فناوری اطلاعات و ارتباطات (قسمت هشتم)-امنیت و حریم خصوصی

امنیـّت کامپیوتر

الف- امنیت سخت‌افزاری (فیزیکی)

  • محافظت از محیط (نظافت و مرتب‌سازی)
  • تهویه در محل نگهداری سیستم و جلوگیری از افزایش دمای آن
  • خاموش کردن سیستم به صورت سیستماتیک (استفاده از Shutdown به جای خاموش کردن فیزیکی)
  • استفاده از برق اضطراری (UPS)
  • جلوگیری از ریختن خوراکی‌ها روی وسایل
  • محافظت از وسایل (اجتناب از سرقت)
    • مشکلاتی که ممکن است در این حالت اتفاق بیفتند:
      • قابل دسترس شدن اطلاعات و فایل‌های محرمانه و شخصی توسط افراد ناشناس
      • از دست دادن همیشگی فایل‌هایی که نسخه‌ی پشتیبان از آنها تهیه نشده است
      • از دست دادن همیشگی تماس‌ها و افرادی که نسخه‌ی پشتیبان آنها موجود نیست
      • قابل دسترس شدن اطلاعات بسیار مهم نظیر اطلاعات مربوط به کارت‌های اعتباری

  • مراقبت از وسایل (استفاده از پوشش‌های مناسب و ضد ضربه)
  • محدود کردن دسترسی به محل تجهیزات مهم مثل سرورها

ب- امنیت نرم‌افزاری

امنیت اطلاعات: محافظت از اطلاعات اساسی و بغرنج سازمان (مثل رکوردهای مالی)

ویژگی طرح‌های امنیت اطلاعات:

خط مشی‌های امنیت اطلاعات نوشته شود تا کارمندان، خطرات امنیتی را فراگیرند و بدانند کدام اطلاعات باید محافظت شوند.

اطلاعات حساس باید دسترسی محدود داشته باشند.

یک رویه‌ی شفاف برای گزارش وقایع امنیتی، محرز یا مشکوک به متخصصان IT وجود داشته باشد تا تحقیقات درستی انجام داده و نهایتاً تصمیم‌های درستی اتخاذ کنند.

دستورالعمل‌های مصلحت‌اندیشانه و نگهداری مداوم و دوره‌ای باید انجام گیرد تا از این طریق هم کارمندان، اهمیت امنیت اطلاعات را درک کنند.

پشتیبان‌گیری از اطلاعات ضروری: الف- پشتیبان‌گیری کامل ب- پشتیبان‌گیری افزایشی پ- Offsite

موضوعات امنیتی و حریم خصوصی (Privacy)

قسمتی از امنیت اطلاعات عبارت است از حصول اطمینان از خصوصی ماندن اطلاعاتی که نباید به آنها دسترسی عمومی داشت. یکی از این روش‌ها، ایجاد شناسه‌ی کاربری (User ID) و رمز عبور (Password) برای هر کاربر است.

اصول انتخاب رمز عبور:

حدأقل 7 کاراکتر باشد

رمز استفاده شده، در فرهنگ لغت موجود نباشد.

پسوردها حتی‌المقدور از هر 4 گروه «حروف بزرگ، حروف کوچک، عددها و سمبل‌ها» ساخته شوند.

در صورت امکان، هر چند وقت یکبار (مثل هر دو ماه) عوض شوند.

در جایی نوشته نشده باشند که توسط دیگران قابل دسترس باشد.

انواع بد افزارها (Malware):

Virus: ویروس برنامه‌ی کوچکی است که خود را مدام تکثیر (کپی) کرده و کامپیوتر را با گسترش خود از یک فایل به فایل دیگر آلوده می کند. سپس وقتی فایل ها از یک رایانه به دیگری کپی شده و بین دو یا چند رایانه به اشتراک گذاشته می شوند، از کامپیوتر آلوده به دیگران منتقل می شود و این روند همچنان ادامه پیدا می کند.

اکثر ویروس خود را به فایل های اجرایی متصل می کنند، اما برخی می توانند به فایل های ذخیره اطلاعات بوت ، اسکریپت فایلهای اتوران ( autorun )، فایلهای آفیس و یا حتی در برخی موارد، به فایل های دلخواهی متصل شوند. نقطه نظر کلی این است که ویروس ها برای خراب کردن و از بین بردن اطلاعات طراحی شده اند.

Spyware: نرم افزار نصب شده بر روی کامپیوتر، که اطلاعات را بدون اطلاع شما جمع آوری کرده، و آنها را به سازنده خود بفرستد. سازنده‌ی برنامه با استفاده از اطلاعات شخصی شما، برای مقاصد سوء خود استفاده می کند. ممکن است این جاسوسی به شکل (Key logging) جاسوسی صفحه کلید برای کشف و استفاده از رمز عبور، تماشای نتایج جستجو، تغییر صفحه خانگی و موتور جستجوی مرورگر شما،  اضافه کردن نوار ابزار مضر یا ناخواسته به مرورگر ، یا فقط سرقت شماره کارت اعتباری شما باشد.

از آنجا که نرم افزارهای جاسوسی عمدتا به منظور کسب درآمد از جیب شما طراحی شده اند، معمولا نیازی به خرابکاری در کامپیوتر شما ندارند.

Worm: کرم های رایانه‌ای از شبکه، برای ارسال نسخه ای از خود به رایانه‌های شخصی دیگر استفاده می‌کنند. معمولاً این کار با استفاده از نقص یک حفره امنیتی برای انتقال از یک رایانه به رایانه دیگر انجام می گردد، که غالباً به طور خودکار و بدون دخالت کاربر اتفاق می‌افتد. کرم‌ها بر خلاف ویروس‌ها برای انتشارشان به فایلی نیاز ندارند که خود را به آن بچسبانند. کرم می‌تواند نسخه‌های متعددی از خود ایجاد کند و به این طریق فضای زیادی از حافظه را اشغال نموده و باعث کند شدن سیستم گردد (یا کند شدن اینترنت یا ریست شدن خودکار سیستم و …). از آنجا که آنها به سرعت در حال گسترش در سراسر شبکه هستند و هر کامپیوتری را در مسیر خود آلوده می‌کنند، از آنها به عنوان شایع ترین نوع بدافزارها یاد می شود.

Scareware: نوع نسبتا جدیدی از حمله رایانه ای است. در این روش کاربر چیزی را که به نظر یک نرم افزار آنتی ویروس واقعی می رسد، دانلود می کند. پس از نصب این برنامه و اسکن رایانه، برنامه به شما خواهد گفت که کامپیوتر تان آلوده به صدها نوع ویروس است. برنامه هم تنها در صورتی می تواند رایانه شما را تمیز کند که شما برای نسخه کامل برنامه مقداری پول پرداخت کنید؛ کامپیوتر شما را تا زمانی که به طراح برنامه پول پرداخت نکنید به گروگان نگه می دارد. در اکثر موارد، شما نمی توانید آنها را از روی کامپیوتر خود حذف کرده و یا در برخی موارد حتی از کامپیوتر استفاده کنید.

Trojan: اسب های تروجان (تراوا) برنامه هایی اند که در ظاهر به نظر می رسد در حال انجام کار بی ضرری هستند. اما در خفا دارای کدهای مخربی هستند که کار دیگری انجام می دهند. تروجان توسط کاربر به شکل ناآگاه نصب می شود. در بسیاری از موارد، تروجان ها یک در پشتی روی رایانه طعمه قرار می دهند که اجازه کنترل از راه دور کامپیوتر آلوده را به سازنده شان می دهند. یک کامپیوتر آلوده معمولا به صورت مستقیم یا به عنوان عضوی از شبکه رایانه های الوده به تروجان و یا دیگر برنامه های مخرب (botnet) مورد سوء استفاده قرار می گیرد. تفاوت عمده بین ویروس و تروجان این است که تروجان خود را تکثیر نمی کند. هنگامی که کامپیوتر شما به تروجان آلوده شد، طراح تروجان می تواند از آن برای هر هدف بدی استفاده کند.

Adware: این دسته غالبا بصورت جزئی از یک برنامه هستند و گاهی اوقات هم بصورت مجزا. هدف این دسته، تبلیغات است. بطوری که برای شرکت تبلیغ کننده وقت و بی وقت تبلیغ انجام می‌دهد و مزاحمتهای زیادی برای کاربر ایجاد می‌کند. میزان خطر این دسته، معمولاً بسیار پایین است. بدافزارهای تبلیغاتی، به خودی خود تکثیر نمی‌شوند و باید توسط فرد خاصی، بطور مستقیم یا از طریق رسانه‌های انتقال یا اینترنت و یا از طریق فریب دادن کاربر و وادار کردن وی به دانلود آنها بصورت اختیاری روی سیستم کپی شده و اجرا می‌شوند.

Spam: سپم ها ایمیل های ناخواسته ای هستند که برای شما ارسال می شوند و می توانند واقعا در نقش یک ابزار تخریبی برای قربانی نقش آفرینی کنند. اولویت کاری و هدف اصلی یک اسپم انتشار بدافزارها و کدهای مخرب می باشد اما امروزه ارسال ایمیل های تبلیغاتی به عنوان یک تجارت رایگان در جهان گسترش یافته است که به اینگونه تجارت نیز Spamming گفته می شود. اسپم‌ها ممکن است بارها و بارها به ایمیل شما ارسال شوند و به این طریق، باعث پر شدن اینباکس، از کار افتادن ایمیل، کند شدن و یا در برخی موارد از کار افتادن وب‌سایت شما گردند (در صورتی که برای حجم صندوق پستی، محدودیتی وجود نداشته باشد).

Hoax: در این نوع از حملات معمولا برای شما نامه ای ارسال می شود که در خصوص موضوعی جعلی اطلاع رسانی کرده است و از شما می خواهد که این موضوع را به دیگران و تمام کسانی که می شناسید اطلاع رسانی کنید ، در برخی موارد ممکن است از Hoax ها برای انجام مراحل اولیه حملات هکری استفاده شود اما اینکار چندان مرسوم نیست

حق نشر (Copy Right)

حقوق نشر عبارت است از قانون حمایت از نشر و توزیع هر گونه اثر ادبی، هنری یا نرم‌افزاری.

قانون حمایت از حقوق مؤلفان و مصنفان و هنرمندان در ایران: http://rc.majlis.ir/fa/law/show/96427

انواع نرم‌افزارها از نظر مجوز نشر:

 Free Software یا نرم‌افزار آزاد، نرم افزاری است که متن باز (Open Source) بوده و کاربر، آزاد است تا نرم‌افزار را برای هر کاربرد دلخواهی استفاده نموده و در منبع نرم افزار نیز تغییر ایجاد کرده و حتی بعد از اعمال تغییرات مورد نظر خود، آن را توسعه داده و توزیع هم بنماید. نرم‌افزارهای آزاد معمولاً با همکاری برنامه‌نویس‌های داوطلب به‌عنوان یک پروژه به‌وجود می‌آیند.

 Freeware یا نرم‌افزار رایگان، برای استفاده کاربر کاملاً رایگان‌ است، اما اجازه تغییر در منبع آنها وجود ندارد. اینگونه نرم افزارها در بین کاربران کشورهایی که قانون کپی رایت را رعایت می کنند ، دارای محبوبیت بالایی است .

 Shareware یا نرم‌افزار اشتراکی، نرم افزاری است که در آن محدودیت‌هایی از طرف سازنده آن اعمال شده است، و می‌توان برای مدتی محدود به طور رایگان از آن استفاده نمود؛ محدودیت‌های اعمال شده ممکن است به صورت محدودیت در اجرا (Demo)، محدودیت در مدت زمان استفاده (Trial) و گاهی نیز به صورت محدودیت هایی در امکانات نرم افزار باشد. برای حذف این محدودیت ها و استفاده از این نرم‌افزارها، باید آنها را خریداری کرد.

Proprietary software یا نرم‌افزارهای مالکیتی یا انحصاری (مانند مایکروسافت ویندوز) که آزادی کاربر در استفاده، مطالعه، ویرایش یا انتشار مجدد را در درجه‌های مختلف محدود می‌کنند (محدودیت‌ها در موافقت نامه‌ی مجوز نرم‌افزار End user license agreement بیان می‌شود). این محدودیت‌ها با در نظر گرفتن مجازات‌هایی قانونی برای کاربرانی که قوانین آن‌ها را نقض می‌کنند، به‌وجود می‌آیند. نرم‌افزارهای مالکیتی عموماً به صورت بسته‌های اجراپذیر باینری و بدون دسترسی به کد منبع فروخته می‌شوند تا جلوی ویرایش و وصله‌کردن نرم‌افزار توسط کاربر گرفته شود و او را برای به‌روزرسانی و پشتیبانی به شرکت نرم‌افزاری تولید کننده وابسته ‌کنند.

بنابراین، این نرم‌افزارها در مالکیت انحصاری توسعه دهندگان و توزیع کنندگانش قرار دارند و مطابق با موافقت نامه‌های نرم‌افزاری نمی‌توان آنها را تکثیر و توزیع کرد.

بیشتر بخوانید:

فناوری اطلاعات و ارتباطات (قسمت اول)

فناوری اطلاعات و ارتباطات (قسمت دوم)-سخت افزار ۱

فناوری اطلاعات و ارتباطات (قسمت سوم)-سخت افزار ۲

فناوری اطلاعات و ارتباطات (قسمت چهارم)- نرم افزار

فناوری اطلاعات و ارتباطات (قسمت پنجم)-شبکه‌های کامپیوتری و اینترنت

فناوری اطلاعات و ارتباطات (قسمت ششم)-کاربردهای ICT

فناوری اطلاعات و ارتباطات (قسمت هفتم)-سلامت در ICT و حفظ محیط زیست

فناوری اطلاعات و ارتباطات (قسمت هشتم)-امنیت و حریم خصوصی