مشخصات گزارش
نام درس: کاربرد فناوری اطلاعات و ارتباطات
شماره جلسه: ۱۴
تاریخ جلسه: ۹۴/۰۳/۰۴
درجه کیفی: +A
تهیه کننده: فاطمه سمرقندی
توجه
گزارش صرفاً خلاصه ای از آنچه که در کلاس اتفاق افتاده می باشد و برای دانشجویانی آماده گردیده که به هر دلیل نتوانستند در آن جلسه حضور به عمل رسانند. لذا به هیچ عنوان نباید به عنوان جزوه آن جلسه تلقی گردد.
بسم الله الرحمن الرحیم
این جلسه درس کاربرد فناوری اطلاعات و ارتباطات با بیست دقیقه تأخیر دانشجویان آغاز شد.
مقدمه:
مبحث امنیت اطلاعات، جزء نمونه سؤال های مهم امتحان خواهد بود که احتیاج به دقت دارد. معمولأ سؤال هایی که از امنیت اطلاعات داده می شود، دانشجویان نمی توانند به درستی پاسخ دهند. امنیت اطلاعات درسی سنگین و مفهومی است که نیاز به دقت و توجه دارد.
موضوع درس: امنیت اطلاعات
رشته امنیت اطلاعات از همه رشته ها سنگین تر است، ذات امنیت سخت است (مانند: درس علوم و درس فلسفه، ذات فلسفه سخت است) سخت بودنش از ذات است نه از اینکه سخت درس داده شود. به واژه باید دقت نمود و هر واژه بار معنایی خاص خود را دارد.
امنیت (Security): حفاظت داده ها در مقابل حوادث، خرابکاری ها، تغییرات، افشای اطلاعات، که این چهار مورد حفاظت داده را امنیت گو یند.
حوادث: حوادث از سه حرف حدث تشکیل شده است. یعنی چیزی پدیدار شود یا اتفاقی رخ دهد، که این اتفاق می تواند خارج از اختیار و کنترل شما باشد.
حوادث غیر مترقبه: حوادثی که در کنترل ما و قابل پیش بینی نباشد را حوادث غیر مترقبه گویند. مانند: سیل، زلزله و……
بحث امنیت بحث گسترده ای است ما باید داده ها را در مقابل سیل و زلزله و…. محافظت نماییم.
خرابکاری: انواع و اقسام دارد، به صورت فیزیکی یا غیر فیزیکی است.
- خرابکاری فیزیکی: خرابکارها پایگاه داده را آتش می زنند (سرور را با چکش خرد می کنند).
- خرابکاری غیر فیزیکی: خرابکارها به اطلاعات ما نفوذ یا رسوخ می کنند.
تغییرات: چیزی را که وجود دارد، بدون اینکه شما اجازه داشته باشید آن را تغییر دهید.
افشای اطلاعات: اطلاعاتی که محرمانه است نه هر اطلاعاتی. افشای هر اطلاعاتی مشکل به وجود نمی آورد.
بنابراین در تعریف امنیت می گوییم، داده ها را در مقابل (حوادث، خرابکاری، تغییرات، افشای اطلاعات) هر کدام از آنها که با هم متفاوت است را حفاظت نماییم.
سؤال: امنیت به چه کسانی بستگی دارد؟
- کاربران:
مثلأ من سیستم را خیلی امن می کنم بعد به خانم X یوزرنیم (user name) و پسورد (password) می دهم که از این یوزرنیم و پسورد خوب محافظت کند. بعد خانم Y به خانم X می گوید برای چند لحظه یوزرنیم و پسورد سیستم را دراختیار من قرار بده چون کار مهمی دارم و خانم X یوزرنیم و پسورد را در اختیار آن شخص قرار می دهد و کل امنیتی را که از قبل چیده شده را از دست می دهد. یا به عبارتی کل امنیت را بهم می ریزد. به کار خانم Y، اگر با سو نیت انجام پذیرد، مهندسی اجتماعی می گویند.
مهندسی اجتماعی: استفاده از فنون روانشناسی برای نفوذ در سیستم افراد
بنابراین امنیت را کاربرها به راحتی از بین می برند؛ صرف نظر از امنیتی که چیده شده است.
مثال: من برای اینکه بتوانم به سیستم خانم X نفود کنم، به جای اینکه کلی کد یا دستورالعمل بنویسم یا کلی IT بلد باشم و بنویسم، مخ خانم X را از طریق روانشناسی می زنم.
مثالی دیگر: من در شرکت به یکی از همکارها می گویم یوزرنیم پسورد را در اختیارم قرار میدهی که ببینم چه قدر پاداش ریختند. در آن لحظه یک تخلفی هم انجام می دهم که به آن مهندسی اجتماعی می گویند.
به جای اینکه از نرم افزارهای مختلف و سنگین بنویسم از این تکنیک (مخ می زنم) استفاده می کنم که به هوش اجتماعی افراد بستگی دارد.
- سیستم عامل مناسب:
ضعیف ترین سیستم عامل در سیستم عامل های مرسوم برای امنیت Windows است که استفاده می نماییم. چون Windows یک سیستم، عام پسند است و همه از آن استفاده می کنند بخاطر همین خیلی از دزد ها و جاسوس ها روی آن کد نویسی می کنند.
Linux سیستم امنی است و خیلی ها نمی توانند از آن سو استفاده نمایند. سیستم عامل های دیگر مثل Mackintosh – UNIX
Windows حفره دارد یعنی باگ امنیتی در آن وجود دارد.
مثال: شما وقتی Windows seven یا XP را نصب می کنید، سیستم مرتب به شما سرویس پک می دهد که این سرویس پک ها برای جبران کردن حفره های امنیتی است. بخاطر همین می گویند Windows را همیشه به روز کنید و آنتی ویروس جدید نصب کنید.
اندروید: بعضی ها می گویند نیاز به نصب آنتی ویروس ندارد و از نظر امنیتی یک سیستم امن محسوب می شود (نیاز به تحقیق دارد).
گوشی اپل: بلوتوث آن با خیلی از گوشی ها کار نمی کند این امنیت را زیاد می کند. چون اگر شخصی بخواهد فایل ویروسی ارسال کند، ارسال نمی شود. یا پورت های آن، پورت های خاص هستند.
نکته خیلی خیلی مهم در بحث امنیت که در ذهن ما بماند، هر چه امنیت سیستم را بالا ببریم، سهولت استفاده از آن کاهش می یابد.
مثال: در بانکداری الکترو نیکی بانک صادرات یا ملی یا تات که وارد می شوید، یک دستگاهی وجود دارد به نام توکن (Token). با موبایل هم با یک کدی می توانیم انجام دهیم. اول یک کد بزنید، بعد کد به شما می دهد، بعد آن کد را وارد کنید و فرآیند آن را بیاورید. سخت است اما امنیت آن بیشتر است.
به شما توصیه می شود از کارت هایی که توکن (Token) دارند مبالغ زیاد (سه الی چهار میلیون به بالا) را در آن کارت قرار دهید و برای استفاده، مقداری از آن را در کارت دیگری که توکن (Token) ندارد واریز و کار انتقال یا برداشت و…… را انجام دهید. بعضی از حساب ها را پیشنهاد می شود که کارت دریافت نکنند، چون همان لحظه که کارت صادر می شود یک خطر امنیتی به وجود می آورد.
- تجهیزات مناسب:
فرض کنید سیستم عامل مناسب وجود دارد ولی ما یک سخت افزار دیوار آتش، قبل از اینکه اطلاعات وارد سیستم شود، از این مرحله بگذرد نداریم.
مثال: شما وقتی VPN خریداری می کنید کاری که برای فیلتر شکن انجام می دهد. یک تونل می زند مثلأ از ایران به آلمان یا انگلستان، شما از آنجا به Facebook وصل می شوید این تونل که شما می زنید باعث می شود اطلاعات شما در این تونل خوانده شود. به خاطر همین پیشنهاد می شود اگر فیلتر شکن خریداری می کنید هر زمان با سایت های فیلتری کار داشتید فیلتر شکن را روشن و بعد از اتمام فیلترشکن را خاموش نمایید این کار شما امنیت را بالا می برد.
مثال: پورت هایی که نوت بوک ها دارند. اگر یکی از پورت های فلش یا مموری را وصل می کنید بالا می آید و اگر ویروس داشته باشد سریع Run می شود.
از نظر امنیتی ما باید خیلی دقت کنیم فرق بین ویروس (Virus)، کرم (Worm)، تروجان ( Trojan)، که ما همیشه این ها را اشتباه می گیریم. ویروس را تروجان می گیریم. هر اطلاعاتی که از سیستم شما از بین می رود می گوییم ویروس دارد در صورتی که ممکن است تروجان یا موردهای دیگری باشد که دقت و تمرکز می خواهد.
روش های مناسب جهت ایجاد امنیت:
فرض کنید کاربر می خواهد اطلاعاتش را حفظ نماید. سیستم عامل و تجهیزات هم مناسب است اما روش مناسب برای ایجاد امنیت درست نکردیم.
تعریف امنیت اطلاعات: حفاظت و مراقبت از اطلاعات و سیستم های اطلاعاتی در مقابل هر گونه مخاطره و تهدید
سؤال:
آسیب هایی که در دنیای اطلاعات با آن مواجه هستیم؟ دسترسی، کاربرد، افشا، قطع، تغییر یا انهدام غیر مجاز اطلاعات، که هر کدام از آنها تعاریف و معانی خاص خود را دارد.
مطلبی که برای ما مهم است استاندارد ISO 27001 است که محرمانگی جامعیت در دست دادن اطلاعات است.
تحلیل ریسک:
ما در هر سیستمی بخواهیم تحلیل ریسک کنیم باید ببینیم که از دسترس خارج شدن یک سیستم چه قدر برای ما ضرر دارد.
مثال: شرکتی که کار آن کاملأ اینترنتی است. یک ADSL داردکه کار می کند اگر آداپتور آن خراب شود یا یک ساعت کار نکند و در این یک ساعت آداپتور جدیدی را خریداری کنیم و بیاوریم، ما در این یک ساعت چه قدر ضرر مالی می دهیم.
تفاوت نگاه به ریسک در ایران و ژاپن:
یک ژاپنی در ایران، در یک سمیناری می خواست صحبت کند نوت بوک را باز کرد دید کار نمی کند ناراحت شد، نوت بوک دوم را هم آورد و آن هم کار نکرد گفت من باید نوت بوک سومی هم می آوردم. بنابراین نوع دید چه قدر تفاوت دارد.
تجزیه و تحلیل ریسک: من هزینه نمودم و امنیت سایت خود را برقرار کردم. می خواهم امنیت را از ۶۰% به ۷۰% برسانم باید کلی هزینه کنم. چقدر باید هزینه کنم؟ ۵۰۰,۰۰ تومان. اگر حمله کنند چه قدر خسارت وارد می شود؟ (نقطه بهینه) ۱۰۰,۰۰۰ تومان. پس نمی ارزد.
حال می خواهم امنیت را از ۶۰% به ۷۰% برسانم چقدر باید هزینه کنم؟ ۵۰۰,۰۰۰ تومان. اگر حمله کنند چه قدر خسارت وارد می شود؟ (نقطه بهینه) ۲,۰۰۰,۰۰۰ تومان. پس می ارزد.
اما یک نکته وجود دارد هزینه ها همیشه ملموس نیست. گاهی اوقات هزینه ها نا ملموس است هزینه اعصاب خرد کن شده است. شاید ارزش اطلاعات ۲۰۰,۰۰۰ تومان باشد. شما تو این دو سال کلی اطلاعات وارد کردی دوباره بخواهی وارد کنی اعصابت خرد می شود.
الان شما سر کلاس نشستی از کجا متوجه می شود که منفعت اینجا بالاترازهزینه است؟ هزینه و منفعت بر اساس اطلاعات کنونی شما می آید به خاطر همین است که سه سال آینده می گویی: ای کاش آن کار را انجام نمی دادم. چرا؟ چون اطلاعات شما تغییر کرده است. پس بدترین ایرادی که بشر ممکن است به آن دچار شود، ای کاش این کار را انجام نمی دادم که این احمقانه ترین کار است.
نکته: در انگلیسی یک واژه داریم، به نام DEVELOP یک خیانتی در ترجمه کردن آن شده است. ترجمه کردن توسعه دادن.
توسعه: یک چیزی وجود دارد زیادش کنید.
DEVELOP: چیزی که اصلأ وجود ندارد ایجاد کنید و بعد آن را توسعه دهید و یکی از معانی آن توسعه یافتن می باشد.
فرآیند توسعه امنیت اطلاعات غلط است، فرآیند ایجاد امنیت اطلاعات صحیح است.
اطلاعات: من میخواهم یک جایی امنیت اطلاعات را ایجاد نمایم اول باید خطرات را تحلیل کنم. بعد سیاستهای امنیتی را مشخص نمایم، مثلاً از پورت USB استفاده نکنم. خدمات امنیتی و مکانیزم های امنیتی مشخص شود( هر چی پایین تر می آیند ریزتر می شوند)
تحلیل خطرات: مثال جامعه شناسی: به این نتیجه رسیدند (شاید مصداق آن صحیح نباشد) که هر چه حجاب در ایران پایین تر برود (حجاب کم شود) دید مردم نسبت به جمهوری اسلامی کاهش می یابد و منفی تر می شود که آن را تحلیل خطرات می گویند.
سیاست های امنیتی: یکی از سیاست ها این است که فردی در تلویزیون بد حجاب نباشد و کامل پوشیده باشد ( اما در سینما موهای خانم ها پیداست) که این یک نوع سیاست است.
خدمات امنیتی: ما به مردم چادرهای عربی را معرفی کنیم، که با آن راحت باشند.
مکانیزم های امنیتی: مکانیزم های امنیتی اگر نیاز بود، هرچند وقت یک بار می گیریم.
بحث سطح یا سطوح: گشت ارشاد از خودش نیامده از یک فکر آمده است. بنابراین گشت ارشاد تغییر نمی کند فکری که آن بالاست تغییر می کند.
ما می گوییم گشت ارشاد بد است و آن را جمع کنیم. مشکل ما این است که می خواهیم رفتار انسان ها را تغییر دهیم. رفتار انسان ها از نگرش آن ها است. نگرش انسان ها از اعتقادات و باورهای آن ها است شما اگر رفتار یک انسان را تغییر دهید بعد از مدتی که در محیطی دیگر قرار گیرد دوباره به همان رفتار برمی گردد.
مثال معروف آن: رانندگی کردن است و باید در سه سطح (رفتار، مهارت، نگرش) تغییرکند. (در امنیت هم به این روش می باشد)
بنابراین در تغییر انسان ها سه مورد نگرش (قضاوت افراد در مورد محیط پیرامونشان)، مهارت (آنتی ویروس دوست دارم نصب کنم اما بلد نیستم، به عبارتی: این مدلی نصب می شود) و رفتار (در سازمان اگر آنتی ویروس آن جدید نبود جریمه شود) باید این سه مرحله با هم وجود داشته باشد.
مؤلفه اصلی امنیت شامل: صحت، محرمانگی، قابلیت دسترسی که قابلیت دسترسی از همه مهمتر است در بحث امنیت
مهم و قطعأ سؤال امتحان به صورت مفهومی خواهد بود و تفاوت آن ها را با هم درک نمایید.
خدمات ۵ گانه امنیتی ISO 27001:
- احراز هویت: اطمینان ازاصالت و مؤثق بودن هویت یک عنصر
مثال: شما به اسم ایران خودرو، برای خودتان یک ایمیل می سازید و یک ایمیل، به ایران خودرو ارسال می کنید. ایران خودرو هم فکر می کند که این همان شرکت یا فرد مورد نظر است که ایمیل ارسال نموده است. (ایران خودرو چگونه متوجه می شود که این، همان فرد یا شرکت مورد نظر است؟!)
- احراز هویت عناصر هم سنخ: یعنی این همان فردی است که در آن گروه است. به عبارتی این فرد با آن گروه ارتباط دارد نه با گروه دیگر، یعنی فرد الف با گروه A در ارتباط است نه با گروه B
- احراز هویت منبع داده: یعنی اطلاعات A از منبع B آمده نه از منبع C
- کنترل و دستیابی: اطمینان از دسترسی عناصر مجاز به منابع حفاظت شده (خیلی مهم)
مثال: از طریق ارسال فایل برای استاد فایل ارسال کنی یعنی مجازهستی، منتهی نمی توانی یعنی کنترل دستیابی نداری.
- محرمانگی داده: اطمینان از توانایی فهم اطلاعات حفاظت شده توسط عناصر مجاز
مثال: تعدادی از اطلاعات را رمز دادم آیا این اطلاعات را آن هایی که باید بدانند می دانند یا آنها هم نمی دانند. بنابراین اطلاعات برای این رمز می شوند برای آن هایی که نباید بدانند، ندانند.
سؤال: آیا محرمانگی برای عناصر مجاز قابل فهم است یا نیست؟ شامل:
- محرمانگی اتصال: بین دو گروه یا دو کانال ارتباطی
مثال: شخصی به شخص دیگری بلوتوث ارسال می کند. من بین راه این بلوتوث را هک می کنم و اطلاعات آن را بر می دارم. بنابراین محرمانگی داده قسمت اتصال دچار سؤال می شود.
- محرمانگی انتخابی: محرمانه کردن اطلاعات خاص به صورت انتخابی مثل پروتکل HTTPS
مثال: قرار است برای یک شخصی فایلی را ارسال کنیم اما او همه فایل را نیاز ندارد بنابراین آن مطالبی را که خواسته انتخاب و سپس ارسال می کنیم.
- محرمانگی جریان ترافیک: محرمانه ساختن اطلاعات ترافیک برای جلوگیری از عدم تحلیل و استفاده تهدید آمیز
مثال: من اگر موبایل شما را بگیرم می توانم با یک نرم افزار بفهمم که شما چه قدر از لاین، وایبرو… استفاده کردی این عدم محرمانگی است ولی اگر محرمانه باشد این اتفاق نمی افتد.
- یکپارچگی یا اصالت داده: اطمینان از انجام نشدن هیچ تغییر یا تحریفی در اطلاعات توسط عناصر غیر مجاز
مثال: نمره شما در سامانه سجاد ۱۲ است. تجدید نظر می زنید. استاد (عنصر مجاز) نمره شما را ۱۵ می کند. این یکپاچگی به هم نمی خورد. اما نمره ۱۲ را که تجدید نظر زدید، استاد X نمره را تغییر داد به جای استاد، و این یکپارچگی به هم می خورد.
بحث خدمات صحت داده برای پروتکل های مبتنی بر اتصال می شود، و خدمات صحت داده برای پروتکل های بدون اتصال
- عدم انکار: اطمینان از عدم انکار عملیات اجرایی
مثال: یعنی اگر اتفاقی داخل سیستم رخ دهد و من انجام دادم نتوانم انکار یا قبول کنم که از طریق من انجام نشده است.
در این مبحث استاد دو نمونه از سؤال های ترم های قبل را مطرح نمودند.
تعیین مکانیزم های امنیتی:
سؤال: چگونه من سیستم را امن کنم؟ چه راه هایی برای امن کردن نوت بوک شما و ورود به ویندوز وجود دارد؟
پسورد- اثر انگشت- تشخیص چهره- یک سری کارت ها و فلش هایی که به آن ها می خورد و با آن ها وارد می شوند.
ما مکانیزم های مختلف داریم: گاهی خدمات ۵ گانه امنیتی را می توانیم با هم ترکیب کنیم.
گاهی مکانیزم کنترل دستیابی با مکانیزم احراز هویت ترکیب می شود.
مثال: در سامانه سجاد شما یوزرنیم وپسورد خانم X را می گیرید و وارد می شوید آنها فکر می کنند خانم X است. چطوری متوجه شوند؟ چگونه بتوانیم احراز هویت نماییم؟ با امضای دیجیتال
فرق امضای الکترونیکی با امضای دیجیتال : امضای الکترونیکی یعنی یک امضایی شود مثلأ همان امضای خود شما که به صورت دیجیتال درآید. دربانک پاسارگاد وقتی افراد می خواهند امضاء کنند یه پدی وجود دارد که روی آن می گذارند وامضا می کنند. یعنی امضای سنتی بشود امضای الکترونیک
امضای دیجیتال، مکانیزم رمزیابی، کلید عبوری و تخصصی دارد باید در دفتر اسناد رسمی ثبت شود. کد پیشرفته اخصاصی و عمومی است که بحث پیچیده ای دارد.
تخصیص مجموعه ای از مجوزها به هر عنصر: مثل خواندن و نوشتن و اجراو عملکرد صحیح مکانیزم
مکانیزم صحت داده:
مثال: یک عددی ۱۲ بوده و حالا ۱۵ شده است. از کجا باید متوجه شویم که شخصی مجاز بوده که این رقم را تغییر داده یا کسی که غیر مجاز بوده آن را تغییر داده است؟ چگونه می توان فهمید؟ از IP می شود تشخیص داد. هر سیستمی یک IP دارد. IP مانند آدرس خانه عمل می کند و منحصر به فرد برای هر سیستم است.
مکانیزم پوشش ترافیک:
مثال: وقتی شما از فیلترشکن استفاده می کنید ذاتأ بیشتر مصرف می شود. چون باید دور بزند و عمل نماید.
مکانیزم های کنترل مسیریابی:
مثال: شما وقتی که می خواهید داخل شبکه، پکت ارسال کنید، می توانید مسیر را انتخاب و کنترل نمایید که از کجا حرکت کند و به جای این مسیر از مسیر دیگری استفاده نماید. که به این ها روتر (مسیریاب) می گویند. شما می توانید بگویید از روتر یک به روتر ۵ یا از روتر۵ به روتر۷ برود. به عبارتی شما برای اطلاعات مسیر انتخاب می کنید. مسیر را برای آن مشخص و مکانیزم تأیید می شود.
توسط عامل سوم، یعنی نه از جانب من و نه از جانب طرف مقابل بلکه از جانب وسط که بین ما قرار دارد بتواند احراز هویت نماید. (از جانب عامل سوم)
در انتهای این جلسه با مشخص نمودن بخش هایی از کتاب کاربرد فناوری اطلاعات و ارتباطات برای کنفرانس هفته آینده، توسط دانشجویان به اتمام رسید.
گزارشات جلسات دیگر درس کاربرد فناوری اطلاعات و ارتباطات واحد ۵۵