-
امنیت نرم افزار
-
1401-01-06
-
819
-
0
امنیت
مفهوم امنیت نرمافزار شامل حفاظت از سیستمهای عامل و برنامههای کاربردی سازمان از دستیابی غیرمجاز میباشد. منظور از دستیابی غیر مجاز هرگونه سوء استفاده، تغییرات و حذف عمدی یا غیرعمدی است. چنانچه در برنامهها یا نرم افزارها به اندازه کافی به مسائل امنیتی توجه شده باشد، رایانهها چه از جنبههای سختافزاری و چه از جنبههای نرمافزاری قابلیت محافظت از خود را دارند. رایانهها با اجرای چنین نرمافزارهای امنی از خود و اطلاعات ذخیره شده محافظت خواهند نمود و این امر نقش مهمی دراعمال شیوههای امنیتی مراکزی دارد که دارای سیستمهای رایانهای هستند. هرچه برنامهها و سیستمها، پیچیدهتر و بزرگتر باشند نیاز به اعمال شیوههای کنترل دسترسی و ایمنسازی نرمافزارها بیشتر احساس میشود.
مدل درستی، محرمانگی، در دسترس بودن
این مدل پذیرفته شده جهانی برای تشریح مفاهیم پایهای امنیت اطلاعات است. این مدل بر سه اصل استوار است:
- درستی: یعنی جلوگیری از تغییرات نامطلوب در اطلاعات و یا به صوت اتفاقی یا عمدی
- محرمانگی: یعنی جلوگیری از لو رفتن اطلاعات به افراد نامرتبط، توسط افراد مجاز یا غیرمجاز، به صورت اتفاقی یا عمدی
- در دسترس بودن: یهنی جلوگیری از قطع خدمات یا تخریب داراییها، به صورت اتفاقی یا عمدی
این مدل تمام جوانب تعریف بالا را در مورد امنیت اطلاعات پوشش میدهد.
آشنایی با برخی موضوعات مهم در امنیت اطلاعات
خط مشی امنیت اطلاعات
طبق این استاندارد، پس از شناخت انواع اطلاعات و کاربردها و اهداف آنها باید خط مشی امنیت در سازمان تعیین شود. خط مشی به ما می گوید به حفاظت از کدام دسته از اطلاعات سازمان برای ما مهم تر است. ما باید خود را برای چه نوع ریسکهایی آماده کنیم. چه خطراتی درستی، محرمانگی، و در دسترس بودن اطلاعات سازمان ما را تهدید می کند و کارهای پیشنهادی ما برای پیشگیری یا واکنش در برابر این خطرات کدامند؟
ساختار امنیت اطلاعات
چه ساختار سازمانی برای اداره روشهای امنیت اطلاعات لازم است؟ چه کمیته هایی باید تشکیل شود و چه مسئولانی باید تعیین شوند؟ آیا از مشاوران و صاحب نظران برای کمک در امور تخصصی استفاده می شود؟ بازبینیهای دورهای برای اطمینان از روشهای درست امنیت اطلاعات توسط چه کسانی و در چه دورههایی انجام میشود؟ سیاستهای سازمان برای برخورد با افراد بیرونی و پیمانکاران در ارتباطات با اطلاعات سازمان چیست؟
موضوعات امنیتی مرتبط با نیروی انسانی
آیا افراد سازمان کارهای مجاز و غیرمجاز امنیتی را می شناسند و از تبعات آنها آگاهند؟ آیا آنها از گزارشدهی در مورد وقایع امنیتی اطلاعات (نظیر خطاهای نرم افزاری، نقصهای امنیتی، ویروسها و ...) را یاد گرفتهاند؟ آیا کارکنان به لحاظ امنیت اطلاعات مورد پذیرش قرار میگیرند؟ چه سطحی از گزینش برای هر شغل لازم است؟ آیا برای کارکنان تازه و کم تجربه، آموزشهای خاص در ارتباط با امنیت اطلاعات در نظر گرفته میشود؟
امنیت فیزیکی و محیطی
آیا به مسائل زیر در سازمان توجه شده است؟
- تعریف سطوح امنیت فیزیکی در سازمان
- توجه به فضاها، دیوارها، مکانیزمهای کنترلی، نگهبانی، نرده و حفاظ، سیستمهای هشداردهنده، قفلها و ...
- توجه به شویه حفاظت در برابر حوادث طبیعی نظیر سیل و زلزله و ...
- توجه به سایر حوادث نظیر آتشسوزی، ترکیدگی لوله و ...
- کنترلهای ورود و خروج و عبور و مرور در سازمان
- شرایط کار در محیط های امن
- تعریف مسیرها و مکانهای ایزوله برای حمل و بارگیری
- نصب و حفاظت از تجهیزات مهم
- منابع تغذیه و منابع انرژی، برق اضطراری
- امنیت کابل کشیها (شبکه کامپیوتری، تلفن، دوربین مدار بسته، سیستم اعلام حریق، دزدگیر و ...)
- تعمیرات و نگهداری تجهیزات
- امنیت تجهیزات قابل حمل (مثل لپ تاپ) در خارج از سازمان
- سیاست میز پاک (Clear Desk) و سیاست تصویر پاک (Clear Display)
- شیوه خروج اموال از شرکت و ورود مجدد اموال به شرکت
مدیریت ارتباطات و عملیات
آیا برای موارد زیر پیش بینیهای لازم صورت گرفته و روشهای مناسبی تدوینت و اجرا می شو؟
- کنترل خطاهای نرم افزارری
- تهیه پشتیبان از اطلاعات
- تهیه سوابق عملکرد افراد
- تهیه سوابق خطاها
- توافقنامه های تبادل اطلاعات و نرم افزارها
- امنیت رسانه ها در حالت جابه جایی
- امنیت در تجارت الکترونیکی
- امنیت پست الکترونیکی
- امنیت سیستم های الکترونیکی اداری
- امنیت سیستم های در دسترس عمومی
کنترل دسترسی ها
دسترسی به اطلاعات همواره می تواند موجب بروز مشکلات امنیتی شود بنابراین موارد زیر باید به روشنی تعریف شده باشد:
- ثبت کاربران
- مدیریت سطوح دسترسی کاربران
- مدیریت و کاربرد اسامی رمز
- بازنگری حقوق دسترسی کاربران
- امنیت تجهیزات کاربر در غیاب کاربر
- کنترل مسیرهای شبکه ای
- اعتبارسنجی کاربران در اتصال از خارج از شبکه
- اعتبار سنجی دستگاه های کاری
- حفاظت درگاه های دسترسی از راه دور
- جداسازی شبکه ها
- کنترل اتصالات شبکه ای
- کنترل مسیریابی شبکه ای
- امنیت خدمات شبکه
- روش ورود به سیستم عامل
- شناسایی و اعتبارسنجی کاربر
- محدودیت در زمان و مدت اتصال کاربر به شبکه
- جداسازی سیستم های حساس
امنیت سختافزار به عنوان یک رشته از مهندسی رمزنگاری سرچشمه گرفته و شامل طراحی سختافزار ، کنترل دسترسی، محاسبات ایمنی چند جانبه، ذخیرهسازی کلید ایمن، اطمینان از صحت کد، اقدامهای لازم برای اطمینان از ایمنی زنجیره تأمین که محصول را ساختهاست از جمله موارد دیگر است.
یک ماژول امنیتی سختافزاری (HSM) یک وسیله محاسبات فیزیکی است که از کلیدهای دیجیتالی برای احراز هویت قوی محافظت میکند و مدیریت رمزنگاری را در اختیار شما قرار میدهد. این ماژولها بهطور سنتی به صورت کارت افزونه یا یک دستگاه خارجی ارائه میشوند که مستقیماً به یک کامپیوتر یا سرور شبکه وصل میشوند.
مفهوم امنیت نرمافزار شامل حفاظت از سیستمهای عامل و برنامههای کاربردی سازمان از دستیابی غیرمجاز میباشد. منظور از دستیابی غیر مجاز هرگونه سوء استفاده، تغییرات و حذف عمدی یا غیرعمدی است. چنانچه در برنامهها یا نرم افزارها به اندازه کافی به مسائل امنیتی توجه شده باشد، رایانهها چه از جنبههای سختافزاری و چه از جنبههای نرمافزاری قابلیت محافظت از خود را دارند. رایانهها با اجرای چنین نرمافزارهای امنی از خود و اطلاعات ذخیره شده محافظت خواهند نمود و این امر نقش مهمی دراعمال شیوههای امنیتی مراکزی دارد که دارای سیستمهای رایانهای هستند. هرچه برنامهها و سیستمها، پیچیدهتر و بزرگتر باشند نیاز به اعمال شیوههای کنترل دسترسی و ایمنسازی نرمافزارها بیشتر احساس میشود.
ثبت دیدگاه جدید
0 دیدگاه
نشانی ایمیل شما منتشر نخواهد شد. بخشهای موردنیاز علامتگذاری شدهاند *