الف- اولین حمله شنود است که علیه رکن محرمانگی سامانه انجام می شود.
ب-حمله دیگر فیشینگ[۱۳۳] است که علیه صحت داده ها بوده و برای مهاجم تفاوتی ندارد به کجا حمله می کند.
( اینجا فقط تکه ای از متن پایان نامه درج شده است. برای خرید متن کامل فایل پایان نامه با فرمت ورد می توانید به سایت feko.ir مراجعه نمایید و کلمه کلیدی مورد نظرتان را جستجو نمایید. )
ج-حمله آخر روی دسترسی پذیری انجام می شود. در این حمله آنقدر برای فرد یا سرور خاص، اطّلاعات فرستاده می شود که فرد نمی داند چه کند. ضمن آنکه سایر سیستم ها ارتباط خود را با این فرد یا سرور از دست می دهند (خرازی، فاوا، پاییز۱۳۸۷: ۱۹).
در این خصوص باید توجه داشت که:
۱- امنیت باید در عمق باشد تا اگر لایه ای از کار افتاد سایر لایه ها مورد حمله قرار نگیرد.
۲- امنیت باید در حین طراحی سیستم روی آن قرار گیرد نه بعد از آن.
۲-۴-۴-۵-۸) احراز هویت:
احراز هویت یک شیوه پیشگیرانه در کنترل دسترسی است. کنترل دسترسی نیز شامل احراز هویت و تصدیق اصالت است. که روش هایی بر اساس: دانسته های فرد (شامل گذروازه، پین کد[۱۳۴] و…)، داشته های فرد (شامل اسمارت کارت[۱۳۵]، کارت پلاستیکی گذرواژه یکبار مصرف و…) و مشخصات بیولوژیکی (شامل چشم، اثر انگشت و … که بسیار پیچیده و هزینه برند) برای احراز هویت وجود دارد.
کنترل دسترسی در این سطح نیز چهار نوع است.
الف- کنترل دسترسی اختیاری: مالک تعیین می کند چه کسی به اطّلاعات دسترسی داشته باشد.
ب-کنترل دسترسی اجباری: در این شیوه برای حفظ محرمانگی هیچ کس اجازه خواندن از اشیاء سطح بالاتر از امنیت خود و نوشتن برای پایین تر از سطح خود را ندارد.
ج-کنترل دسترسی مدل های نقش مبنا: که در آن مجوزها برای نقش ها تعریف می شود که باید روش اعمال حداقل مجوزها در نظر گرفته شود و نقش های متنافر مشخص شوند.
د-کنترل دسترسی خصوصیت مبنا: که در آن هر فرد با ارائه یک گواهی معتبر دیجیتالی اجازه ورود می یابد (امینی، فصلنامه فاوا، پاییز۱۳۸۷: ۲۰-۲۱).
۲-۴-۴-۵-۹) استانداردهای امنیت اطّلاعات:
نگرانی های امنیتی مرتبط با سامانه های اطّلاعاتی شامل دستیابی نفوذ گران به سامانه های اطّلاعاتی و سرقت اطّلاعات آنها، ایجاد وقفه و اختلال در ارائه سرویس های حیاتی و تغییر یا تخریب اطّلاعات می باشند. بدیهی است که در این شرایط روش های حفاظت فیزیکی به تنهایی قادر به تأمین امنیت نخواهند بود. (بهاری،۱۳۸۴: ۱۲۰) در حال حاضر، مجموعه ای از استانداردهای مدیریتی و فنی ایمن سازی فضای تبادل اطّلاعات سامانه های رایانه ای سازمان ها ارائه شده که عبارتند از:
الف- استاندارد مدیریتی موسسه استاندارد انگلیس[۱۳۶].
ب-استاندارد مدیریتی موسسه بین المللی استاندارد[۱۳۷].
ج-گزارش فنی موسسه بین المللی استاندارد[۱۳۸]. (دستور العمل امنیت اطلاعات، ۱۳۸۳: ۳)
۲-۴-۴-۵-۱۰) اتخاذ سیاست های امنیتی:
برای پیکر بندی رایانه هاو برقراری امنیت در یک سازمان، نیاز به داشتن سیاست های امنیتی در لایه های مختلف وجوددارد. صرفا با ایجاد امنیت در یک سطح نمی توان رایانه های سازمانی را در برابر تمامی حملات امن کرد (رحمانی, ۱۰۱:۱۳۹۰).
در جهت طراحی پیاده سازی و کنترل امنیت نرم افزار و سخت افزار سامانه های اطلاعاتی و در واقع ابزاری برای امنیت اطّلاعات، می توان سامانه مدیریت اطلاعات را پیشنهاد و بر اساس استاندارد چگونگی پیاده سازی امنیت در ابعاد مختلف سازمان، مواردی را برای پیاده سازی یک سامانه امنیتی در بخش سامانه های اطلاعاتی و سطح دسترسی به اطلاعات اعمال و به نکات ذیل باید توجه نمود:
الف- انتخاب لایه کانال ارتباطی امن، انتخاب توپولوژی مناسب برای شبکه، امنیت فیزیکی، محل های امن برای تجهیزات، منابع تغذیه شبکه و حفاظت تجهیزات در مقابل عوامل محیطی مواردی است که در امنیت یک سامانه اطّلاعاتی بسیار مؤثر است.
ب-سطح بندی صحیح اطّلاعات با توجه به ارزش اطّلاعات و امکان دسترسی به موقع به اطّلاعات.
ج-آموزش کاربران سامانه های اطّلاعاتی سازمان در چگونگی استفاده از تجهیزات سخت افزاری و نرم افزاری سازمان، راه های نفوذگران، حفاظت از اطلاعات سازمان، ایجاد حس تعهد نسبت به شغل.
د-رمزگذاری اطّلاعات و استفاده از امضاء دیجیتال در ارسال اطّلاعات و تبادل الکترونیک.
ذ-تغییر مداوم الگوریتم های استفاده شده برای رمز گذاری در کاهش احتمال کشف رمز مؤثر است.
ر-استفاده از انواع امکانات امنیتی، از جمله استفاده از پراکسی که نقش ایجاد دیواره آتش، فیلتر کردن، ثبت کردن[۱۳۹] و تصدیق هویت[۱۴۰]را در شبکه بر عهده دارد و استفاده از نرم افزار مقابله با ویروس.
ز-استفاده از تست نفوذ پذیری، ارزیابی ضعف های شبکه و ساختارهای اطلاعاتی و اصلاح آنها.
س-استفاده از یک سامانه پشتیبان گیری اطّلاعات، سازگار با سامانه اطلاعاتی سازمان.
ش-به طور مرتب تجهیزات و سامانه اطّلاعاتی سازمان را بازرسی و سامانه های اطّلاعاتی و امنیتی سازمان را به صورت مستمر به روز رسانی نمود (جعفری، فصلنامه فاوا، تابستان ۱۳۸۷: ۸۰).
۲-۴-۴-۵-۱۱)انواع تهدیدات:
عملکرد ویروس های کامپیوتری که می تواند منجر به حذف اطلاعات موجود بر روی یک کامپیوتر شود،
نفوذ افراد غیر مجاز به کامپیوتر شما و تغییر فایل ها،
استفاده از کامپیوتر شما برای تهاجم علیه دیگران،
سرقت اطّلاعات حساس نظیر شماره کارت اعتباری وخرید غیر مجاز با بهره گرفتن از آن (داوری دولت آبادی, ۱۳۹۰: ۲۰-۲۱).
خلاصه کلام آنکه موضوع امنیت باید مورد توجه عمـومی قـرار گرفتـه و همگـان اهمیّـت آن را دریابند. این نکته سه عنصر اساسی یعنی برنامـه ریـزی، تـوان فنـی و نیـز شـرایط اقتـصادی را در بـرمیگیرد. به عبارت دیگر، علاوه بر تصمیم گیری در سطح کلان، توان و نیـروی فنـی، بودجـه و منـابع کافی بدان اختصاص داده شود (محوری،۱۳۷۴: ۱۰۸).
۲-۴-۴-۶)بانک های اطّلاعاتی (پایگاه های اطّلاعات رایانه ای):
بانک های اطّلاعاتی مجموعه ای از رکورد های اطلاعاتی است. با ساختاری منظم، سامانمند و طبقه بندی شده که در اختیار یک سازمان یا یک واحد اطّلاعانی می باشد. لذا ایجاد ونگهداری از داده های طبقه بندی شده، بخش عمده ای از یک نظام فرایند اطّلاعات است (بیابانی, ۲۷۳:۱۳۸۹).
یک بانک اطلاعاتی مجموعه ای از اطّلاعات سازمان یافته است که شخص می تواند سریعاً اطّلاعات دلخواه را بازیابی کند. این پایگاه ، شبیه یک قفس پراست که تمامی رکورد های شما طوری در ان سازماندهی شده اند. که بازیابی آنها آسان باشد یک پایگاه داد از سه عنصر یعنی فیلدها( میدان ها)، رکوردها(سابقه ها)، و فایل ها(پرونده ها) تشکیل شده است (داوری دولت آبادی،۳۸۹:۱۳۹۰).
۲-۴-۴-۶-۱)مزایای تشکیل بانک های اطّلاعاتی:
۱-سرعت در جست وجو ۲ -افزایش دقت ۳ -کاهش هزینه ها ۴ -ذخیره سازی داده ها و به روز بودن اطّلاعات
۲-۴-۴-۶-۲)دشواریهای روش های سنّتی:
روش سنتی انعطاف پذیری نداشته و همه سیستم ها برای تهیه گزارش های مشخص به وجود می آید.در نتیجه هرگاه اطّلاعات یا گزارش های ویژه ای مورد نیاز باشد، سیستم از ارائه آن ناتوان خواهد بود . در این حالت، کاربران و به ویژه مدیران از خود می پرسند که اصلا کارایی این سیستم رایانه ای چیست به دلیل گستردگی و پخش اطّلاعات، جنبه مهار کردن واداره آن بسیار دشوار است. و مشارکت در بهره گیری از اطّلاعات برای همگان در سازمان برای همگان در سازمان آسان نیست؛ زیرا هر بخشی در گوشه ای انبار و نگهداری می شود(خیرگو و صمیمی،۱۰۱:۱۳۹۰).
۲-۴-۴-۶-۳)وضعیت امروزی بانک های اطّلاعاتی( پایگاه های اطّلاعاتی):
فنآوری پایگاه داده ها، مشکلات ناشی از سیستم پرونده ای سنتی را از میان برداشته است تعریف محدودی از پایگاه داده ها را می توان این طور بیان کرد، گردآوری ومتمرکز ساختن داده ها به گونه ای که موارد تکراری را حذف وکاربرد موثر اطّلاعات را در زمینه های گوناگون آسان نماید در این سیستم به جای نگهداری داده ها در پرونده های جداگانه روش کار به گونه ای است که کاربران همه اطّلاعات را از یک مکان دریافت می کنند. یک پایگاه اطّلاعاتی به تنهایی چندین برنامه راپشتیبانی می نماید (همان:۱۰۱-۱۰۲).
۲-۴-۴-۶-۴)سیستم مدیریت پایگاه داده:
این سیستم نرم افزاری است که کار گرد آوری، تمرکز، کاربرد اثر بخش و دستیابی آسان به داده ها را به عهده می گیرد سیستم مدیریت پایگاه داده ها، رابطه بین برنامه کاربردی و پرونده داده ها است. هر سیستم مدیریت پایگاه داده ها از سه بخش تشکیل می شود.
الف) زبان تعریف داده ها ب) زبان به کار گیری داده ها ج) فرهنگ واژگان داده ها،
(خیرگو و صمیمی،۱۰۲:۱۳۹۰).
۲-۴-۴-۶-۵)امتیازات سیستم مدیریت بانک اطّلاعاتی( پایگاه داده ها):
۱-با مدیریت مرکزی داده ها، دسترسی آسان و ایجاد امنیت، پیچیدگی های اطّلاعات سازمان کاهش می یابد.
۲-از طریق یکپارچه سازی اطّلاعات، نگهداری داده های تکراری در پرونده های جداگانه از میان می رود.
۳-با برقراری کنترل و مهار مرکزی داده ا، از سردرگمی در تعریف ها و پردازش آنها کاسته می شود.
۴-با جداکردن منطقی داده ها، تکیه آنها بر برنامه های اجرایی کاهش می یابد.
۵-هزینه های ایجاد و نگهداری بسیار کمتر می شود.
۶-دستیابی به داده ها و انعطاف پذیری سیستم آسانتر و پرشتاب تر می گردد(همان:۱۰۲-۱۰۳).