در توسینسو تدریس کنید

و

با دانش خود درآمد کسب کنید

ده قانون تغییر ناپذیر امنیت - بخش دوم


قانون چهارم: اگر به شخصی (غیر قابل اطمینان) اجازه دهید تا برنامه اش را روی وب سایت شما آپلود کند، آن وب سایت دیگر وب سایت شما نیست!


این درست عکس قانون اول است. در آن قانون اشاره شد که نباید از وب سایت های نامطمئن برنامه ای دانلود و روی کامپیوتر اجرا کرد. حالا در اینجا فرد، برنامه مخرب خود را روی وب سایت شما آپلود می کند. قابلیت تخریبی این حالت وسیع تر از حالت قبل است. احتمالا تعداد زیادی بازدید کننده از وب سایت شما بازدید می کنند و این یعنی ...کارهایی را که بازدید کنندگان می توانند روی وب سایت شما انجام دهند محدود کنید. اگر برنامه ای را روی وب سایت تان آپلود می کنید آن را خودتان نوشته باشید یا از برنامه نویسی که آن را برای شما نوشته مطمئن شوید. اما اینها به تنهایی کافی نیست. اگر وب سایت شما در یک سرور مشترک واقع شده، باید بیشتر مراقب باشید. هر فردی در صورت دسترسی به یکی از وب سایت های روی سرور مشترک، می تواند کنترل خود را روی سرور توسعه دهد و به سایر سایت های روی سرور دسترسی پیدا کند. اگر وب سایت تان را روی یک سرور مشترک قرار می دهید از قوانین مدیریتی آن سرور مطلع شوید.


قانون پنجم: کلمه عبور ضعیف، امنیت را مغلوب می کند.


هدف پروسهlogon تصدیق شخصی است که دارد آن پروسه را انجام می دهد. اگر سیستم عامل بداند که شما که هستید می تواند اجازه دسترسی به منابع سیستم را بدهد یا ندهد. اگر شخصی کلمه عبور شما را بداند می تواند به جای شما وارد سیستم شود. در حقیقت از دید سیستم عامل این شما هستید که وارد سیستم شده اید. هر آنچه که شما اجازه دارید در آن سیستم انجام دهید او نیز می تواند، چون الان او شماست! ممکن است او بخواهد اطلاعات حساسی را که شما روی سیستم ذخیره کرده اید بخواند، مانند ایمیل های شما. ممکن است شما دسترسی های بیشتری در شبکه نسبت به او داشته باشید، حالا او می تواند در شبکه به جای شما کارهای بیشتری انجام دهد. شاید اصلا او کارهای غیرمجازی به عنوان شما انجام دهد که شما مجرم شناخته شوید. در هر صورت این اعتبار شماست.همیشه از پسورد استفاده کنید. چه بسیار حساب هایی که اصلا پسورد ندارند! باید پسورد پیچیده ای انتخاب کنید. اسم حیوان خانگی تان، تاریخ مناسبت دار، اسم یک تیم فوتبال محلی و ... را به عنوان پسورد استفاده نکنید. از خود کلمه "password" استفاده نکنید. پسوردی را انتخاب کنید که ترکیبی از حروف بزرگ و کوچک، اعداد و کاراکترهای نشانه گذاری باشد. در صورت امکان آن را طولانی انتخاب کنید. هر از گاهی آن را تغییر دهید. اگر پسورد پیچیده ای انتخاب می کنید به شکل مناسب از آن نگه داری کنید. آن را جایی ننویسید، اگر می نویسید آن را در کشویی که قفل می شود نگه داری کنید. اولین کاری که هر فردی برای دسترسی به پسورد شما می کند چک کردن کاغذهای یادداشتی است که به مانیتورتان چسبانده اید. به هیچ کس پسوردتان را ندهید.در نهایت به فکر استفاده از یک چیز قوی تر از پسورد برای ورود به سیستم باشید. برای مثال برخی از ویندوزها از کارت های هوشمند برای شناسایی افراد مجاز استفاده می کنند. شاید بخواهید از محصولات بیومتریک مثل اثر انگشت یا اسکن شبکیه چشم نیز استفاده کنید.


قانون ششم: یک کامپیوتر زمانی در امنیت است که administrator قابل اعتماد داشته باشد.


هر کامپیوتری باید یک administrator داشته باشد. کسی که بتواند نرم افزار نصب کند، سیستم عامل را پیکربندی کند، حساب های کاربری را اضافه و مدیریت کند، قوانین امنیتی را برقرار کند، و تمام وظایف مدیریتی که مربوط به سرپا نگه داشتن یک کامپیوتر است انجام دهد. با این تفاصیل او کامپیوتر را تحت کنترل دارد و این administrator را در مقام قدرت بی مانندی (در محدوه کاری خودش) قرار می دهد.یک administrator غیر قابل اعتماد می تواند تمام تدابیر امنیتی شما را از بین ببرد. می تواند اجازه دسترسی به کامپیوترها را تغییر دهد، سیاست های امنیتی سیستم را دستکاری کند، نرم افزارهای مخرب نصب کند، کاربر جعلی تعریف کند، و هزاران کار دیگر. می تواند هر تدبیر امنیتی موجود در سیستم عامل را تخریب کند، چون آن را در کنترل دارد. بدتر از همه این است که می تواند همه این خرابکاری ها را پنهان کند. اگر شما یک administrator غیر قابل اعتماد داشته باشید، قطعا هیچ امنیتی نخواهید داشت.زمانی که شخصی را به عنوان administrator به کار می گیرید، از اینکه او می تواند قابل اطمینان باشد مطمئن شوید و درباره سوابق وی تحقیق کنید. به کارمندانی که آن ها را به صورت موقت استخدام کرده اید این وظیفه را ندهید بلکه این مسئولیت را به کارمندان قدیمی خود واگذار کنید.

تدابیر امنیتی را خودتان ایجاد کنید. برای اتاق سرور خود برگه های ورود و خروج تهیه کنید تا بفهمید چه کسانی به اتاق سرور رفت و آمد داشته اند. همان طور که گفته شد سرور خود را در اتاقی که درب آن قفل می شود نگه دارید. برای نصب و به روز رسانی نرم افزارها قانون "دو نفره" (two person) را پیاده کنید. در صورت امکان وظایف مدیریتی را متمرکز نکنید به این معنی که قدرت مطلق را به یک نفر ندهید. حساب Administrator را استفاده نکنید بلکه به هر administrator یک حساب جداگانه با امتیاز administrative بدهید، بنابراین می توانید مشخص کنید که چه کسی چه کاری را انجام دهد.در نهایت برای اینکه یک administrator بد ذات نتواند کارهای خود را پنهان کند تدابیری بیاندیشد. برای مثال داده های حسابرسی یا ممیزی (audit data) را روی رسانه های write-only ذخیره کنید، یا audit data های سیستم A را روی سیستم B نیز قرار دهید و برای هر سیستم یک administrator جدا معین کنید. هر چقدر administrator های شما مسئول تر و قابل اطمینان تر، مشکلات شما کمتر.

بخش سوم را نیز بخوانید.

نویسنده : الهه موبد

منبع : جزیره امنیت اطلاعات و ارتباطات وب سایت توسینسو

هر گونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده، دارای اشکال اخلاقی می باشد.

#امنیت_در_سیستم_های_کامپیوتری #قوانین_مهم_در_امنیت_اطلاعات #آموزش_امنیت_اطلاعات #امنیت_کامپیوتر_شخصی #امنیت_اطلاعات_چیست #امنیت_در_سیستم_عامل #قوانین_تغییرناپذیر_امنیت #آنچه_که_باید_درباره_امنیت_بدانیم #امنیت_در_سایت_های_اینترنتی
عنوان
1 ده قانون تغییر ناپذیر امنیت – بخش اول رایگان
2 ده قانون تغییر ناپذیر امنیت - بخش دوم رایگان
3 ده قانون تغییر ناپذیر امنیت - بخش سوم رایگان
زمان و قیمت کل 0″ 0
0 نظر

هیچ نظری ارسال نشده است! اولین نظر برای این مطلب را شما ارسال کنید...

نظر شما
برای ارسال نظر باید وارد شوید.
از سرتاسر توسینسو
تنظیمات حریم خصوصی
تائید صرفنظر
×

تو می تونی بهترین نتیجه رو تضمینی با بهترین های ایران بدست بیاری ، پس مقایسه کن و بعد خرید کن : فقط توی جشنواره پاییزه می تونی امروز ارزونتر از فردا خرید کنی ....