بخشی از مقاله
چکیده
طراحی و پیاده سازي یک محیط ایمن در سازمان هاي مدرن اطلاعاتی یکی از چالش هاي اساسی در عصر حاضر محسوب می گردد . براي بسیاري از سازمان ها و موسسات اهمیت و ضرورت توجه جدي به مقوله امنیت اطلاعات هنوز در هاله اي از ابهام قرار دارد و برخی دیگر امنیت را تا سطح یک محصول تنزل داده و فکر می کنند که با تهیه یک محصول نرم افزاري خاص و نصب آن در سازمان خود ، امنیت را براي سازمان خود به ارمغان می آورند. به خاطر داشته باشیم که امنیت یک فرآیند است نه یک محصول. وجود یک حفره و یا مشکل امنیتی ، می تواند یک سازمان را به روش هاي متفاوتی تحت تاثیر قرار خواهد داد . آشنایی با عواقب خطرناك یک حفره امنیتی در یک سازمان و شناسائی مهمترین تهدیدات امنیتی که می تواند حیات یک سازمان را با مشکل مواجه نماید، از جمله موارد ضروري به منظور طراحی و پیاده سازي یک مدل امنیتی در یک سازمان می باشد. در این مقاله به بررسی حفره هاي امنیتی ناشی از سیستم هاي اطلاعاتی در سازمانها خصوصا بانکها و موسسات مالی خواهیم پرداخت.
کلمات کلیدي:سیستم اطلاعات، حفره هاي امنیتی، بانک
مقدمه
امکان دست یابی سریع به اطلاعات مورد نظر از طریق جست وجو در بانک هاي اطلاعاتی در تمامی ساعات بدون محدودیت زمانی و جغرافیایی و امکان دیدن همزمان یک سند، توسط کاربران متعدد در نقاط گوناگون، ارسال و دریافت اطلاعات به نقطه مورد نظر، گفت و گو و تبادل نظر متنی، صوتی و تصویري، فرصت هایی است که باید از آن بهره کامل برد. رشد این فناوري آن چنان سریع و عمیق بوده که در جاي جاي زندگی فردي و اجتماعی انسان ها، نفوذ کرده و حضور قدرت مندانه خود را به رخ میکشد. بسیاري از مراکز و مؤسسات دولتی و خصوصی، بانک ها، شرکت ها و ادارات، مراکز آموزشی، پژوهشی، تبلیغی و اطلاع رسانی، در انجام وظایف و مأموریت هاي خود، از این فناوري بهره می برند و خدمات خود را نیز از طریق آن عرضه داشته و اطلاعرسانی می کنند.
اگر نگاهی به اخبار و اطلاعات مربوط به حوزه فناوري اطلاعات و ارتباطات بیندازیم خبرهاي بسیاري در زمینه عملیات خرابکارانه در سرورها، شبکه ها و سایت هاي اینترنتی مشاهده خواهیم کرد. نفوذ به سیستم هاي بانکی، سرقت حساب هاي بانکی، دستبرد زدن به اطلاعات مهم، حذف اطلاعات، مخدوش کردن اطلاعات، از سرویس خارج کردن و از کار انداختن سرورها، از جمله کارهایی است که در نقاط مختلف جهان رخ داده و میدهد. در این میان حتی کشورهاي مدعی در حوزه فناوري اطلاعات و ارتباطات از عواقب سوء این حملات، مصون نبودهاند و هر یک به تناسب دانش، توانایی، و درك موقعیت، براي جلوگیري از حملات و نیز رفع آثار در صورت موفقیت حملات و ترمیم خرابیها و تثبیت نقاط آسیب پذیر و توسعه فناوري با توجه به شرایط و تحولات پیش رو، هزینه کرده اند و موفقیت هاي خوبی هم داشته اند. - ,کأپعyغپغA٣٦ ,٢٠٠٩ -
امنیت اطلاعات
بسیاري از این اطلاعات در حال حاضر بر روي کامپیوترهاي الکترونیکی جمع آوري، پردازش و ذخیره و در شبکه به کامپیوترهاي دیگر منتقل میشود. اگر اطلاعات محرمانه در مورد مشتریان و یا امور مالی یا محصول جدید موسسهاي به دست رقیب بیفتد، این درز اطلاعات ممکن است به خسارات مالی به کسب و کار، پیگرد قانونی و یا حتی ورشکستگی منجر شود.حفاظت از اطلاعات محرمانه یک نیاز تجاري و در بسیاري از موارد نیز نیاز اخلاقی و قانونی است. امنیت اطلاعات یعنی حفاظت اطلاعات و سیستمهاي اطلاعاتی از فعالیتهاي غیرمجاز. این فعالیتها عبارتند از دسترسی، استفاده، افشاء، خواندن، نسخه برداري یا ضبط، خراب کردن، تغییر، دستکاريح دولت ها، مراکز نظامی، شرکت ها، موسسات مالی، بیمارستان ها و مشاغل خصوصی مقدار زیادي اطلاعات محرمانه در مورد کارکنان، مشتریان، محصولات، تحقیقات و وضعیت مالی گردآوري میکنند.
براي افراد، امنیت اطلاعات تاثیر معناداري بر حریم خصوصی دارد. جالبته در فرهنگهاي مختلف این مفهوم حریم خصوصی تعبیرهاي متفاوتی دارد امنیت اطلاعات در این سالها به میزان قابل توجهی رشد کرده است و تکامل یافته است. راههاي بسیاري براي ورود به این حوزه کاري به عنوان یک حرفه وجود دارد. موضوعات تخصصی گوناگونی وجود دارد از جمله: تامین امنیت شبکه - ها - وزیرساختها، تامین امنیت برنامههاي کاربردي و پایگاه دادهها، تست امنیت، حسابرسی و بررسی سیستمهاي اطلاعاتی، برنامهریزي تداوم تجارت و بررسی جرائم الکترونیکی، و غیره. - ج٢٠٠٨,حع - .در جهان امروز شاهد بکارگیري تجهیزات الکترونیک و روشهاي مجازي براي برقراري ارتباطات و تبادل اطلاعات هستیم.
اما همراه با گسترش این تکنولوژيها روشهاي مختلف حمله به آنها نیز توسعه یافته و امنیت اطلاعات را در معرض خطر قرار داده است. از این رو، به منظور بهرهمندجشدن سازمانها و مشتریان از این تکنولوژيها نیازمند برقراري ارتباطاتی امن هستیم.لازم است که کنترلها و بررسیهاي متعددي انجام گیرد تا از امنیت اطلاعات در سازمان اطمینان یابیم. این کنترلها محدودهي وسیعی از فعالیتها را در برمیگیرد بدون شک مهمترین آنها سیاست امنیت اطلاعات یا سیاست امنیتی خواهد بود. سیاست امنیت اطلاعات تعیین کننده جهت امنیت اطلاعات در سازمان است و میبایست به صورت یک سند مکتوب تهیه گردد.
این سند بایستی مکمل اهداف تجاري سازمان باشد و مشارکت مدیریت را در برقراري امنیت اطلاعات و پشتیبانی از آن، نظیر نقشی که امنیت اطلاعات در تعریف دیدگاه و مأموریت سازمان ایفا میکند، تعریف کند.همچنین، سیاست امنیت اطلاعات باید نیاز به امنیت اطلاعات و مفاهیم آن را براي تمامی کاربران منابع اطلاعاتی سازمان شرح دهد و کارمندان را در مورد مسئولیتهاي خود و نحوه استفاده از منابع سازمان مطلع سازد. لازم است که در این سند استفادههاي مجاز شرح داده شوند و فعالیتهاي غیرمجاز به صورت لیستی ارائه گردند. به عبارت دیگر این سند بیان میکند که یک سازمان چگونه قصد دارد از سرمایههاي فیزیکی و اطلاعاتی خود محافظت کند.
اهداف اصلی یک سیاست امنیت اطلاعات را میتوان به سه بخش محرمانگی - اطمینان از اینکه اطلاعات تنها در دستان افراد مجاز قرار میگیرند. - ، درستی - حفاظت از اطلاعات در مقابل تغییر، تحریف و نابودي - ، و دسترسپذیري - اطمینان از اینکه اطلاعات و سیستمهاي اطلاعاتی در زمان مورد نیاز در دسترس و قابل استفاده هستند. همچنین استفاده از توسعه امنیت کاربر محور از یک رابط گرافیکی نمونه اولیه براي یک سیستم مدیریت اطلاعات خرید و فروش با امنیت اطلاعات با مدیریت سطح بالا به عنوان کاربران در نظر گرفته شده استحج همچنین وجود مجموعه اي مفید از فن آوري هوشمند که می تواند در توسعه سیستم هاي اطلاعات مدیریت و سایر راهنمایی هاي عملی براي پروژه هاي مشابه استفاده شود نیز فرآیندي مهم می باشدح - ١١٧ ,٢٠٠٧ , - .
باگ یا حفره امنیتی
از مفاهیم بسیار جالب و در عین حال بسیار پیچیده در دنیاي برنامه نویسی، مفهوم باگ یا نقص نرم افزاري است. اصطلاحاً به اشکالات نرم افزاري باگ اطلاق می شود ولی آیا تاکنون فکر کرده اید واقعاً چرا نرم افزارها باگ دارند؟ شاید هیچ مفهوم و موضوع دیگري در علوم مهندسی را نتوان یافت که به اندازه مفهوم باگ، این واقعیت مهم را براي انسان روشن کرده باشد که هیچ فرمول و قانون ساخت انسان، بی اشکال و نقص نیست و در هر طرح و برنامه اي، بدون تردید، نقصان ها و لغزش هایی وجود دارد که در نگاه اول به نظر نرسیده است. بنابراین همواره باید در جهت اصلاح طرح ها، برنامه ها، قوانین و فرمول ها کوشید.
باگ از نظر لغوي یعنی حشره کوچک و در تاریخ مهندسی نرم افزار گفته می شود این اصطلاح را اولین بار گریس هوپر خانمی که در دانشگاه هاروارد مشغول تحصیل و تحقیق در رشته کامپیوتر بود، به کار برده است. او که در حال کار با کامپیوترهاي عع فطهق و ععع فطهق بود، یک بار با مشکل مواجه شد و تکنسین هایی که براي بررسی مشکل و تعمیر کامپیوتر، آن را باز کرده بودند سوسکی را پیدا کردند که وارد دستگاه شده بود و آن را از کار انداخته بود. البته در حقیقت این واژه را اولین بار همان تکنسین هایی که این حشره را داخل دستگاه یافته بودند، به شوخی به کار برده بودند البته این تکنسین ها یا خانم هوپر اولین کسانی نبودند که از این واژه براي اشاره به یک ایراد در دستگاهی استفاده می کردند.
آنها صرفاً براي نخستین بار از این اصطلاح در دنیاي کامپیوتر استفاده کردند، ولی اعتقاد بر این است که اصطلاح توسط همین افراد ابداع شد. موضوع باگ یکی از سرفصل هاي مهم رشته مهندسی نرم افزار است. از این رو متون و کتاب هاي مفصلی در زمینه یا اشکال زدایی از نرم افزار و متدهاي آن تالیف شده است و همچنان ادامه دارد. برنامه نویسان تازه کار معمولاً از این شاخه مهندسی نرم افزار گریزانند و امیدوارند برنامه هایی بنویسند که به قدري خوب باشد که اصلاً کارش به اشکال زدایی نکشد، ولی پس از دو سه سال کار حرفه اي در این زمینه سرانجام تسلیم می شوند و آشنایی با اصول
