ده قانون تغييرناپذير در رابطه با امنيت اطلاعات

به منظور ايمن سازی و ايمن نگهداشتن زيرساخت منابع اطلاعاتی تاكنون مقالات متعددی نوشته شده و توصيه های فراوانی ارائه شده است . اگر بخواهيم برخی از نكات مهم و كليدی در اين رابطه را ليست نمائيم ، می توان به ده قانون تغيير ناپذير در اين زمينه اشاره نمود كه صرفنظر از نوع سيستم كامپيوتری، با رعايت آنان يك سطح مطلوب امنيتی و حفاظتی برای كاربران ايجاد می گردد.
قانون اول : زمانی كه يك برنامه را جهت اجراء‌ انتخاب می نمائيد ، در واقع شما اين تصميم را گرفته ايد كه كنترل كامپيوتر خود را به آن واگذار نمائيد . يك برنامه پس از فراهم شدن شرايط لازم جهت اجراء ، قادر به انجام هر كاری می باشد و حتی می تواند محدوديت هائی را به منظور استفاده از سيستم برای شما ايجاد نمايد

 در صورتی كه يك مهاجم بتواند شما را ترغيب به اجرای برنامه خود بر روی كامپيوتر  نمايد ، ديگر كامپيوتر متعلق به شما نخواهد بود .


قانون دوم : يك سيستم عامل (نظير ساير برنامه های كامپيوتری) از مجموعه ای صفر و يك تشكيل می گردد كه پس از تفسير توسط پردازنده ، باعث انجام عمليات خاصی در كامپيوتر می شود . در صورتی كه صفر و يك ها تغيير يابند، سيستم عامل كارها را بگونه ای ديگر انجام می دهد . صفر و يك ها در فايل هائی بر روی كامپيوتر شما ذخيره شده اند و اگر يك مهاجم بتواند به آنان دستيابی و آنان را تغيير دهد ، می تواند مشكلات متعددی را برای سيستم ايجاد نمايد .

 در صورتی كه يك مهاجم بتواند سيستم عامل موجود بر روی  كامپيوتر شما را تغيير دهد ، ديگر كامپيوتر متعلق به شما نخواهد بود . 


قانون سوم : در صورتی كه افرادی بتوانند بطور فيريكی به كامپيوتر شما دستيابی داشته باشند ، می توانند كنترل كامپيوتر شما را بطور كامل دراختيار گرفته و هر كاری را كه دوست دارند انجام دهند (تغيير داده ، سرقت اطلاعات ، سرقت سخت افزار و يا ايجاد اشكال فيزيكی در كامپيوتر) .

 در صورتی كه يك مهاجم بتواند بطور فيريكی به كامپيوتر شما دستيابی داشته باشد ،  ديگر كامپيوتر متعلق به شما نخواهد بود.  


قانون چهارم : در صورتی كه دارای يك وب سايت می باشيد ، می بايست محدوديت های لازم در خصوص اين كه كاربران قادر به انجام چه نوع عملياتی می باشند را ايجاد نمائيد( تائيد كاربران و صدور مجوزهای لازم با توجه به سطوح دستيابی تعريف شده جهت استفاده از منابع موجود بر روی يك وب سايت ) . بر روی يك وب سايت صرفا" می بايست برنامه هائی را اجراء نمود كه توسط افراد و يا شركت های تائيد شده نوشته شده باشند . در بسياری از موارد رويكرد امنيتی فوق به تنهائی كافی نخواهد بود و در صورتی كه وب سايت شما بر روی يك سرويس دهنده مشترك host شده باشد ، می بايست اقدامات احتياطی بيشتری را انجام داد . در صورتی كه يك مهاجم بتواند به ساير سايت های موجود بر روی‌ يك سرويس دهنده دستيابی نمايد ، در ادامه می تواند فعاليت خود را گسترش و ساير سايت های موجود را نيز مديريت و متناسب با خواسته خود با آنان برخورد نمايد .

 در صورتی كه يك مهاجم بتواند فايل هائی را بر روی وب سايت شما ارسال نمايد ، ديگر وب سايت متعلق به شما نخواهد بود .    


قانون پنجم : در صورتی كه يك مهاجم بتواند به رمز عبور شما دستيابی پيدا نمايد ، وی می تواند به كامپيوتر شما log on نموده و هر نوع عملياتی را انجام دهد. سعی نمائيد كه همواره از رمزهای عبور مناسب و در عين حال پيچيده استفاده نمائيد .رمزهای عبوری نظير تاريخ تولد ، شماره شناسنامه ، شماره تلفن ، شماره دانشجوئی ، شماره پرسنلی و مواردی از اين قبيل ، گزينه های مناسبی در اين زمينه نمی باشند . در ضمن ، هرگز واژه password را به عنوان رمز عبور انتخاب ننمائيد .

 رمزهای عبور ضعيف ، مشكلات امنيتی متعددی را ايجاد می نمايند و مانع جدی ايجاد يك سيستم ايمن و با ضريب امنيتی بالا می باشند .


قانون ششم : يك مدير غيرقابل اعتماد می تواند ساير اقدامات انجام شده در خصوص امنيت اطلاعات را خنثی نمايد . اين نوع مديران با توجه به جايگاه خود قادر به انجام هر گونه عملياتی می باشند . تغيير مجوزها ، تغيير سياست های امنيتی سيستم ، نصب برنامه های مخرب و تعريف كاربران خيالی ، نمونه هائی در اين زمينه می باشد. عملكرد اين گونه مديران تمامی اقدامات پيشگيرانه در سيستم عامل را بی اثر می نمايد ، چراكه آنان بطور كامل به سيستم دستيابی داشته و قادر به انجام هر نوع عملياتی می باشند . از همه بدتر ، آنان می توانند عمليات اشاره شده را بگونه ای انجام دهند كه هيچگونه ردپائی از خود را بر جای نگذارند . در صورتی كه شما از يك مدير غيرقابل اعتماد استفاده می نمائيد ، عملا" نمی توانيد امنيت را در سازمان خود ايجاد نمائيد .

يك كامپيوتر و يا سيستم كامپيوتری  صرفا" زمانی می تواند ايمن گردد كه مديريت آن در اختيار افراد قابل اعتماد باشد . 


قانون هفتم : تعداد زيادی از سيستم های عامل و محصولات نرم افزاری رمزنگاری ، اين امكان را فراهم می نمايند تا بتوان كليدهای رمزگشائی را به صورت مخفی بر روی كامپيوتر ذخيره نمود .بدين ترتيب كاربران در خصوص مديريت اين كليدها نگران نبوده و همه چيز با استفاده از امكانات نرم افزاری موجود مديريت می گردد . صرفنظر از اين كه كليدها به چه صورت مخفی شده اند ، همواره اين احتمال وجود دارد كه بتوان به آنان دستيابی داشت . حتی المقدور سعی نمائيد كه از فضای ذخيره سازی offline برای كليدها استفاده نمائيد ( امكان دستيابی به كليدها توسط ساير كاربران online وجود نداشته باشد ) .

رمزنگاری اطلاعات و رمزگشائی اطلاعات دو كفه يك ترازو می باشند كه هر يك دارای جايگاه خاص خود می باشند و نمی توان اهميت يكی را بيش از ديگری در نظر گرفت . بنابراين ، می بايست به منظور حفاظت از كليدهای رمزگشائی تدابير لازم انديشيده گردد .

قانون هشتم : نرم افزارهای آنتی ويروس با مقايسه داده موجود بر روی كامپيوتر با مجموعه ای از الگوهای ويروس ، قادر به تشخيص آلودگی آنان می باشند . هر الگو خصايص منحصربفرد يك ويروس را مشخص می نمايد كه پس از يافتن آن در يك فايل و يا email ، پيام لازم از طرف برنامه دراختيار كاربر گذاشته می شود . نرم افزارهای آنتی ويروس صرفا" قادر به يافتن ويروس هائی می‌باشند كه قبلا" الگوی آنان مشخص و مستند شده باشد . بديهی است با توجه به اين كه بطور مستمر ويروس های جديدی نوشته و عرضه می گردد ، می بايست برنامه هآی آنتی ويروس را بهنگام نگهداشت تا بتوانند با ويروس های جديد نيز برخورد نمايند .

داشتن يك نرم افزار آنتی ويروس بهنگام نشده بهتر از نداشتن يك برنامه آنتی ويروس  است . 


قانون نهم : بهترين روش حفاظت از حريم خصوصی خود در اينترنت ، رعايت مسائل ايمنی است ( مشابه حفاظت از حريم خصوصی خود در زندگی روزمره ) . در زمان استفاده از وب سايت ها قبل از هر چيز privacy آنان را مطالعه نموده و صرفا" با افراد و يا موسساتی ارتباط برقرار نمائيد كه نسبت به privacy آنان شناخت كاملی وجود داشته باشد . در صورتی كه نگران كوكی هستيد ، آنان را غيرفعال نمائيد .

  گمنامی مطلق نه در زندگی عادی امكان پذير است  و نه در وب 


قانون دهم : امنيت كامل نيازمند يك سطح تكاملی قابل قبول است كه در عمل امكان آن وجود ندارد . پياده سازی نرم افزار يك علم غيركامل است و از لحاظ مجازی تمامی نرم افزارها دارای باگ هستند كه برخی از آنان ممكن است باعث ايجاد حفره های امنيتی خطرناك در سيستم گردند . حتی در صورتی كه يك نرم افزار به نظر كامل باشد ، نمی تواند تمام مسائل امنيتی را بطور كامل برطرف نمايد . چراكه درصد بسيار زيادی از حملات مبتنی بر مهندسی اجتماعی می باشند كه گرچه ساختار امنيتی يك نرم افزار می تواند يك سطح حفاظتی مناسب را ايجاد نمايد ولی در مقابله با اين نوع حملات نمی تواند نقش موثری را داشته باشد .

فن آوری های موجود را نمی توان به عنوان يك اكسير و يا راه حل جامع  به منظور ايجاد يك محيط ايمن در نظر گرفت .