ضرورت توجه به امنيت اطلاعات New Page 1



ساير




 

 

 

SAKHA RAVESH CO.

 ا مروز

 دوشنبه  4  ارديبهشت  1396  2017  Apr.  24   Monday ToDay
صفحه اصلی  مقالات نکته هادايره المعارف خودآموزها | تازه ها خود آزمون ها  

  نسخه قابل چاپ

 عنوان

 نويسنده

  مشاهده

 ضرورت توجه به امنيت اطلاعات ( بخش نهم)

 مديريت آموزش

6416

با توجه به جایگاه داده در عصر حاضر و  لزوم نگاه جامع به این مقوله مهم ، بر آن شدیم تا محوریت فعالیت های خود را بر  روی این موضوع متمرکز نمائیم . از این رو گروه فابک با شعار فناوری اطلاعات برای کسب وکار شکل گرفت و  خدمات خود  را از طریق  سایت www.fabak.ir  به مخاطبان محترم عرضه می نماید

 

ضرورت توجه به امنيت اطلاعات

ضرورت توجه به امنيت اطلاعات ( بخش نهم)
استراتژی "دفاع در عمق " يك فريمورك امنيتی مناسب برای حفاظت و نگهداری ايمن زيرساخت فن آوری اطلاعات يك سازمان است . در اين مدل،زير ساخت فن آوری اطلاعات يك سازمان به عنوان مجموعه ای از لايه های مرتبط به هم در نظر گرفته شده و به منظور حفاظت و ايمن سازی هر لايه از مكانيزم ها و روش های حفاظتی خاصی استفاده می گردد .
آنچه تاكنون گفته شده است :

در اين بخش به بررسی لايه Application و يا برنامه های كاربردی خواهيم پرداخت . 

بررسی  لايه  Application

  • با اين كه هر سيستم عامل امكانات امنيتی متعددی را به منظور افزايش امنيت كامپيوترهای ميزبان ارائه می نمايد ، ايمن سازی برنامه هائی كه بر روی سرويس دهنده اجراء می شوند، از جمله اقدامات ضروری ديگر به منظور حفاظت و نگهداری ايمن زيرساخت فن آوری اطلاعات يك سازمان محسوب می گردد .
     

  • برنامه های شبكه امكان دستيابی و انجام پردازش های لازم بر روی داده را برای سرويس گيرندگان فراهم می نمايند . اين نوع برنامه ها بمنزله يك نقطه تماس با سرويس دهنده ای می باشند كه برنامه ای خاص بر روی آن اجراء شده است .
     

  • اغلب برنامه های نصب شده در شبكه يك سرويس خاص را در اختيار سرويس گيرندگان قرار می دهند . عملكرد صحيح و استمرار فعاليت  آنها از جمله الزامات ضروری در يك شبكه می باشد . بنابراين ، راهكار امنيتی  می بايست بگونه ای انتخاب شود كه خللی در اين رابطه ايجاد نگردد ( عملكرد صحيح و استمرار سرويس دهی ).
     

  • در زمان بررسی امنيت برنامه های كاربردی ، می بايست برنامه های پياده سازی شده در سازمان و يا تهيه شده از خارج سازمان در كانون توجه قرار گيرد. 

تهديدات  لايه  Application

  • يك مهاجم با تمركز بر روی يك برنامه خاص ، ممكن است بتواند يك برنامه را غيرفعال و يا در روند فعاليت های عادی  آن اختلال ايجاد نمايد . به عنوان نمونه ، حملات از نوع buffer overflow می تواند در نهايت منجر به از كارافتادن يك برنامه گردد .
     

  • مهاجمان با بهره برداری از نقاط ضعف موجود در يك برنامه می توانند كدهای مخرب مورد نظر خود را در سيستم اجراء نمايند . SQL injection يكی از متداولترين حملات از اين نوع است . در حملات فوق ، مهاجمان با تغيير SQL query كه قرار است توسط سرويس دهنده بانك اطلاعاتی پردازش گردد ،  فرصت اجرای دستورات مورد نظر خود را بر روی سرويس دهنده بانك اطلاعاتی پيدا خواهند كرد .  با كنترل و بررسی اعتبار داده های ورودی تا حدود زيادی می توان جلوی اينگونه از حملات را گرفت .
     

  • مهاجمان می توانند با استفاده بيش از حد از يك برنامه خاص ، امكان استفاده از آن را برای كاربران معتبر سلب می نمايند . در حملاتی از اين نوع كه از آنها با نام DoS ( برگرفته از  denial-of-service  ) نام برده می شود ، مهاجمان از چندين سرويس گيرنده به منظور نيل به اهداف خود استفاده می نمايند.
     

  • در برخی موارد ، مهاجمان از يك برنامه خاص به منظور انجام عمليات ناخواسته نظير روتينگ نامه های الكترونيكی استفاده می نمايند . در صورت عدم پيكربندی مناسب يك سرويس دهنده SMTP به منظور مقابله با نامه های الكترونيكی ناخواسته ، مهاجمان قادر به ارسال نامه های الكترونيكی ناخواسته متعددی برای سرويس دهنده می گردند. اين كار در نهايت باعث می شود كه سرويس دهنده SMTP قادر به ارائه سرويس خود برای كاربران مجاز نگردد .

   حفاظت لايه Application   

  • در صورت سوءاستفاده از يك برنامه و يا سرويس خاص در شبكه ، مهاجمان قادر به دستيابی سيستم با همان سطوح دستيابی مجاز همانند برنامه می باشند . بنابراين ، می بايست برنامه ها و سرويس را با حداقل مجوزهای ممكن اجراء نمود .
     

  • در زمان نصب يك برنامه ، می بايست صرفا" سرويس های مورد نياز آن را فعال نمود . نصب و پيكربندی ايمن حداقل سرويس های لازم از جمله اقدامات ضروری در اين رابطه است .
     

  • طراحی ، پياده سازی و بكارگيری برنامه ها می بايست با لحاظ نمودن مسائل امنيتی انجام شود . برخورد بموقع با نقاط ضعف موجود در برنامه ها ، پياده سازی و نصب سريع patches  خصوصا" برای آندسته از برنامه هائی كه در سازمان طراحی و پياده سازی شده اند ، امری لازم و ضروری است .
     

  • برنامه ها و سرويس های مورد نياز در  يك شبكه می بايست به صورت ايمن نصب و تمامی Service pack و patches آنها نيز نصب گردد .
     

  • از برنامه های آنتی ويروس می بايست به منظور پيشگيری از اجرای كدهای مخرب بر روی سيستم استفاده گردد. اين نوع نرم افزارها می بايست بر روی كامپيوترهای سرويس گيرنده ، سرويس دهنده ، فايروال ها و ساير نقاط حساس نصب و بهنگام نگاه داشته شوند .
     

  • در زمان پياده سازی برنامه های جديد ، می بايست از آخرين روش های موجود به منظور ايمن سازی برنامه ها استفاده گردد .
     

  • از سياست های محدودسازی نرم افزار می بايست استفاده گردد . با استفاده از اينگونه سياست ها ، می توان محيط كامپيوتری را در مقابل كدهای تائيد نشده شناسائی و با آنها برخورد نمود . 



جستجو

مقالات                 
دايره المعارف       
دوره های آموزشی


 

 

مشاهده گروه ها



              

 

 تهيه شده در شرکت سخا روش -  1382