تحقیق در مورد امنیت در فناوری اطلاعات

لینک دانلود و خرید پایین توضیحات

دسته بندی : وورد

نوع فایل : .doc ( قابل ویرایش و آماده پرینت )

تعداد صفحه : 87 صفحه

قسمتی از متن .doc :

امنیت در فناوری اطلاعات

مقدمهاستفاده از رایانه در کسب و کار از زمانی متحول و فراگیر شد که دسترسی به اطلاعات با سرعت بالا و هزینه کم امکان پذیر گردید. این تحول به شرکتهایی که در گذشته از رایانه برای واژه پردازی و یا ذخیره اطلاعات استفاده می کردند، اجازه داد که رایانه های خود را به صورت شبکه درآورند و آن شبکه را به اینترنت متصل کنند. نیروهای رقابتی و شرایط سریع کسب و کار، سازمانها را مجبور ساخته است که برای بقا، شبکه های خود را به روی دیگران باز کنند و تا جایی که ممکن است از راه کارهای الکترونیک برای کسب و کار استفاده کنند درحالی که این تحولات منافع بسیاری در گسترش تجارت امکان کار در خارج از اداره و حمایت نیروهای فروش در خارج از شرکت را برای بسیاری از شرکتها ایجاد می کند. متاسفانه خطراتی مانند ویروس‌های رایانه ای و خرابکاریهای رایانه‌ای را نیز به همراه خود می آورد.به طورمعمول اخبار روز شامل گزارشهایی درباره آخرین کرمها و ویروسهای رایانه‌ای و خرابکاریهای روزافزون رایانه در شرکتها وسازمانهای مختلف است. اینگونه اخبار ممکن است مدیر یک شرکت را بر آن دارد که بگوید استفاده از اینترنت در تجارت به خطراتش نمی‌ارزد. درحالی که خطرات جدی و واقعی، هنگامی که شناخته شوند می توان با آنها برخورد مناسب داشت و جلو بروز آنها را به میزان قابل ملاحظه ای گرفت. استفاده روزافزون از اینترنت توسط شرکتهای کوچک و متوسط، لزوم آگاهی و یادگیری بیشتر درموردامنیت اطلاعات در سیستم‌های رایانه ای را برای مدیران این شرکتها ایجاب می‌کند. در اینجا هدف ما ارائه اطلاعاتی است که بتواند به شرکتها کمک کند تا ضمن استفاده از اینترنت و شبکه‌های رایانه ای در برابر خطرات ناشی از ویروسها و خرابکاریهای رایانه‌ای نیز از خود محافظت کنند.

امنیت اطلاعاتبه طورکلی امنیت اطلاعات در سه اصل زیر خلاصه می شود:- محرمانه بودن: بدین معنی که فقط افراد مجاز حق دسترسی به اطلاعات را داشته باشند.- صحت و استحکام: بدین معنی که اطلاعات دست نخورده بماند و تغییر در آنها فقط توسط افراد مجاز در صورت لزوم به صورت درست و قابل پیگیری انجام شود.- دردسترس بودن: بدین معنی که اطلاعات درموقع نیاز به صورت قابل استفاده دردسترس قرار گیرد.

تهدیدهاتهدیدهای امنیتی مربوط به اطلاعات رایانه ای و یا به عبارتی حملات رایانه‌ای شامل مواردی می شود که حداقل یکی از اصول سه گانه امنیت را مخدوش سازد. هدف از یک حمله رایانه ای در کنترل گرفتن یک یا چند رایانه به منظور از کارانداختن، مخدوش کردن یا سوءاستفاده از اطلاعات موجود در آنها ویا به کارگیری آنها برای خرابکاری در رایانه‌های دیگر است.کسانی که به این حملات دست می‌زنند یا به اصطلاح خرابکارها معمولا" سه دسته هستند:- افراد آماتور که اغلب اطلاعات دقیقی از نحوه کار سیستم های عامل و فناوری اطلاعات نداشته و صرفا" برای تفریح از برنامه‌ها و ابزارهای از پیش تهیه شده برای دسترسی به رایانه‌های محافظت نشده استفاده می‌کنند این افراد را SCRIPT KIDDIES یا SREKCARC می‌نامند.-خرابکاران حرفه ای که معمولا" در ازای دریافت پول اطلاعات ذیقیمت شرکتها را دراختیار رقبای آنها یا گروههای ذینفع قرار می‌دهند و یا در سیستم شرکتهای رقیب خرابکاری می‌کنند. این افراد در امور فناوری اطلاعات وارد بوده واز آسیب‌پذیریهای سیستم های عامل و برنامه‌های مورداستفاده مطلع بوده و قادرند ردپای خود را ناپدید سازند. این افراد را در اصطلاح هکرها (HACKERS) می‌گویند.- کارکنان فعلی شرکتها و یا کارکنان سابق آنها که به نحوی از شرکت مذکور نارضایتی داشته و به قصد انتقامجویی و یا صدمه زدن در سیستم‌های اطلاعاتی شرکت با استفاده از دانش و اطلاعات خود از سیستم‌های موردنظر به خرابکاری دست می زنند.حملات رایانه ای معمولا" در سه مرحله انجام می شود:مرحله اول – شناسایی و جمع آوری اطلاعات درمورد رایانه هدف؛مرحله دوم – یافتن نقاط آسیب پذیر و راههای واردشدن به سیستم به عنوان یک کاربر مجاز؛مرحله سوم – درصورت امکانپذیر نبودن مرحله دوم تلاش برای دسترسی به رایانه هدف از طریق دیگر و بدون استفاده از مشخصات کاربران مجاز انجام می پذیرد.

انواع تهدیدهای رایانه ایتهدیدهای رایانه ای به صورت زیر دسته‌بندی می شوند:1 – ویروسها و کرمها – اینها برنامه‌های کوچکی هستند که ازطریق پست الکترونیک و یا نرم افزارهای آلوده به این ویروسها وارد یک رایانه شده و در آنجا به صدمه زدن و خرابکاری در برنامه ها و یا اطلاعات رایانه مذکور می پردازند.2 – اسب تروا (TROJAN HORSE) – برنامه‌هایی هستند که ظاهرا" ماهیت خرابکاری نداشته به صورت برنامه‌های بازی و یا کمکی وارد سیستم شده و سپس در خفا به کارهای غیرمجاز و کنترل رایانه و سرقت اطلاعات محرمانه و یا شخصی کاربر می‌پردازند.3 – از کارانداختن (DENIAL OF SERVICE) – این عمل با ایجاد تعداد زیادی تقاضای سرویس از یک سیستم انجام شده و درنتیجه سیستم مذکور کارایی خود را از دست داده و یا از کار می افتد. درنتیجه سیستم نمی تواند خدمات لازم را به مشتریان واقعی خود ارائه کند. نظیر مشغول کردن یک تلفن.4 – شنود اطلاعات – در این مورد در مسیر ارتباطات ازطرق گوناگون اطلاعات مبادله شده سرقت و یا شنود می شوند.5 – وب سایت های تقلبی (PHISHING) – در این مورد یک وب سایت تقلبی با شکل و قیافه و امکانات کاملا" مشابه به یک وب سایت واقعی طراحی و دراختیار کاربران قرار می‌گیرد و بدین‌وسیله اطلاعات شخصی و محرمانه کاربران را به سرقت می برند.

محافظتبرای محافظت از سیستم‌های اطلاعاتی رایانه‌ای شناسایی قسمتهای مختلف سیستم و آسیب پذیریهای موجود در آن ضروری است. پس از شناسایی و رفع آسیب پذیریهای سیستم باید مرتباً مواظب بود که آسیب پذیریهای جدید به وجود نیاید و به طور متناوب سیستم را بررسی کرد تا از امنیت آن مطمئن شد درحالی که هیچگاه نمی‌توان صددرصد از امنیت یک سیستم مطمئن بود ولی با اقدامات زیر می توان تا حد بسیار بالایی امنیت وحفاظت از یک سیستم را فراهم ساخت:1 – تهیه نقشه و راهنمای سیستم: این کار شامل شناسایی رایانه ها و شبکه‌های متصل و غیرمتصل به اینترنت و به خط تلفن و یا بی سیم، نرم افزارها و سیستم های عامل مورداستفاده نرم افزارهای ضدویروس و محافظ و اطلاعات و برنامه های حساس تجاری خواهدشد؛2 – تهیه سیاست امنیتی: این کار شامل تعریف سیاستهای مربوط به استفاده از رایانه‌‌‌ها توسط کارکنان و