در صورتيکه تاکنون مدت زمان کوتاهی از اينترنت استفاده کرده باشيد و يا در يک اداره  مشغول بکار هستيد که بستر لازم برای دستيابی به اينترنت فراهم شده باشد،  احتمالا" واژه  " فايروال " را  شنيده ايد. مثلا" اغلب گفته می شود که : " در اداره ما امکان استفاده از اين سايت وجود ندارد ، چون سايت فوق را از طريق فايروال بسته اند " .  در صورتيکه از طريق خط تلفن به مرکز ارائه دهنده خدمات اينترنت (ISP) متصل و  از اينترنت استفاده می نمائيد ، امکان استفاده  فايروال توسط ISP مربوطه نيز وجود دارد. امروزه در کشورهائی که دارای خطوط ارتباطی با سرعت بالا نظير DSL و يا مودم های کابلی می باشند ، به کاربران خانگی توصيه می گردد که هر يک از فايروال استفاده نموده و با استقرار لايه فوق بين شبکه داخلی در منزل و اينترنت ، مسائل ايمنی را رعايت نمايند. بدين ترتيب با استفاده از يک فايروال می توان يک شبکه را در مقابل عمليات غير مجاز توسط افراد مجاز و عمليات مجاز توسط افراد غيرمجاز حفاظت کرد.

 

فايروال چيست ؟

فايروال نرم افزار و يا سخت افزاری است که اطلاعات ارسالی از طريق  اينترنت  به شبکه خصوصی و يا کامپيوتر شخصی را فيلتر می نمايد. اطلاعات فيلترشده ، فرصت توزيع  در شبکه را بدست نخواهند آورد.

فرض کنيد، سازمانی دارای 500 کارمند باشد. سازمان فوق دارای ده ها کامپيوتر بوده که بر روی هر کدام يک کارت شبکه نصب شده و يک شبکه درون سازمانی ( خصوصی ) ايجاد شده است . سازمان فوق دارای يک يا چند خط اختصاصی ( T1 و يا T3 ) برای استفاده از اينترنت است . بدون استفاده از فايروال تمام کامپيوترهای موجود در شبکه داخلی، قادر به ارتباط با هر سايت و هر شخص بر روی اينترنت می باشند. کاربران مربوطه قادر به استفاده از برنامه هائی همچون FTP و يا Telnet بمنظور ارتباط مستقيم با افراد حقوقی و يا حقيقی موجود بر روی اينترنت می باشند. عدم رعايت مسائل ايمنی توسط پرسنل سازمان، می تواند زمينه دستيابی به اطلاعات موجود در شبکه داخلی را برای سارقين و متجاوزان اطلاعاتی اينترنت فراهم نمايد.

زمانيکه در سازمان فوق از فايروال استفاده گردد، وضعيت کاملا"  تغيير خواهد کرد. سازمان مربوطه می تواند برروی هر يک از خطوط ارتباطی اينترنت يک فايروال نصب نمايد.فايروال مجموعه سياست های امنيتی را پياده سازی می نمايد. مثلا" يکی از قوانين فوق می تواند بصورت زير باشد :

- تمام کامپيوترهای موجود در شبکه مجاز به استفاده از اينترنت می باشند ، فقط يک فرد مجاز به استفاده از سرويس FTP است و ساير پرسنل مجاز به استفاده از سرويس فوق نخواهند بود.

يک سازمان می تواند برای هر يک از سرويس دهندگان خود ( وب ، FTP،  Telnet و ... ) قوانين مشابه تعريف نمايد. سازمان قادر به کنترل پرسنل  بهمراه  ليست سايت های مشاهده  خواهد بود.  با استفاده از  فايروال يک سازمان قادر به کنترل کاربران شبکه  خواهد بود .

فايروال ها بمنظور کنترل ترافيک يک شبکه از روش های زير استفاده می نمايند:

- فيلتر نمودن بسته های اطلاعاتی . بسته های اطلاعاتی با استفاده ازتعدادی فيلتر، آناليز خواهند شد. بسته هائی که از آناليز فوق سربلند بيرون  آيند از فايروال عبور داده شده و  بسته ها ئی  که شرايط لازم را برای عبور از فايروال را نداشته باشند دور انداخته شده و از فايروال عبور نخواهند کرد.

- سرويس Proxy . اطلاعات درخواستی از طريق اينترنت توسط فايروال بازيابی و در ادامه در اختيار  درخواست کننده گذاشته خواهد شد. وضعيت فوق در موارديکه کامپيوتر موجود در شبکه داخلی، قصد ارسال  اطلاعاتی را برای خارج از شبکه خصوصی  داشته باشند ، نيز صدق می کند.

بهينه سازی استفاده از فايروال

فايروال ها را می توان با توجه به اهداف سازمانی بصورت کاملا" سفارشی نصب و پيکربندی کرد. در اين راستا امکان اضافه  و يا حذف فيلترهای متعدد بر اساس شرايط متفاوت وجود خواهد داشت  :

- آدرس های IP . هر ماشين بر روی اينترنت دارای يک آدرس منحصر بفرد با نام IP است . IP يک عدد 32 بيتی بوده که بصورت چهار عدد دهدهی که توسط نقظه از هم جدا می گردند نمايش داده می شود (Octet) . در صورتيکه يک آدرس IP خارج از شبکه، فايل های زيادی را از سرويس دهنده می خواند ( ترافيک و حجم عمليات سرويس دهنده را افزايش خواهد داد) فايروال می تواند ترافيک از مبداء آدرس فوق و يا به مقصد آدرس فوق را بلاک نمايد.

- اسامی دامنه ها ( حوزه ) . تمام سرويس دهندگان بر روی اينترنت دارای اسامی منحصر بفرد با نام " اسامی حوزه"  می باشند. يک سازمان می تواند با استفاده از فايروال، دستيابی به سايت هائی را غيرممکن  و يا صرفا" امکان استفاده از يک سايت خاص را برای پرسنل خود فراهم نمايد.

- پروتکل ها . پروتکل نحوه گفتگوی بين سرويس دهنده و سرويس گيرنده را مشخص می نمايد . پروتکل های متعدد با توجه به اهداف گوناگون در اينترنت استفاده می گردد. مثلا"  http  پروتکل وب و Ftp پروتکل مربوط به دريافت و يا ارسال فايل ها است . با استفاده از فايروال می توان، ميدان  فيلتر نمودن را  بر روی  پروتکل ها متمرکز کرد.   برخی از پروتکل های رايج که می توان بر روی آنها فيلتر اعمال نمود بشرح زير می باشند :

• § IP)Internet Protocol) پروتکل اصلی برای عرضه اطلاعات بر روی اينترنت است .
• § TCP)Transport Control Protocol ) مسئوليت تقسيم يک بسته اطلاعاتی به بخش های کوچکتر را دارد.
• § HTTP)Hyper Text Transfer Protocol) . پروتکل فوق برای عرضه اطلاعات در وب است.
• § FTP)File Transfer Protocol) . پروتکل فوق برای دريافت و ارسال فايل ها استفاده می گردد.
• § UDP)User Datagram Protocol) . از پروتکل فوق برای اطلاعاتی که به پاسخ نياز ندارند استفاده می شود( پخش صوت و تصوير)
• § ICMP)Internet control Message Protocol). پروتکل فوق توسط روترها و بمنظور تبادل اطلاعات فی المابين استفاده می شود.
• § SMTP)Simple Mail Transfer Protocol) . از پروتکل فوق برای ارسال e-mail استفاده می گردد.
• § SNMP)Simple Network Management Protocol).از پروتکل فوق بمنظور اخذ اطلاعات از يک کامپيوتر راه دور استفاده ميشود
• § Telnet . برای اجرای دستورات بر روی يک کامپيوتر از راه دور استفاده می گردد.

- پورت ها . هر سرويس دهنده ، خدمات مورد نظر خود را با استفاده از پورت های شماره گذاری شده بر روی اينترنت ارائه می دهد. مثلا" سرويس دهنده وب اغلب از پورت 80 و سرويس دهنده Ftp از پورت 21 استفاده می نمايد.  يک سازمان ممکن است با استفاده از فايروال امکان دستيابی به پورت 21 را بلاک نمايد.

- کلمات و عبارات خاص . می توان با استفاده از فايروال کلمات و يا عباراتی را مشخص نمود تا امکان کنترل بسته های اطلاعاتی حاوی کلمات و عبارات فراهم گردد. هر بسته اطلاعاتی  که حاوی  کلمات مشخص شده  باشد  توسط فايروال بلاک خواهد شد.

همانگونه که اشاره شد فايروال ها به  دو صورت نرم افزاری وسخت افزاری استفاده می گردند.فايروال های نرم افزاری بر روی کامپيوتری نصب می گردند که خط اينترنت به آنها متصل است .کامپيوتر فوق بمنزله يک Gateway رفتار می نمايد چون تنها نقطه قابل تماس، بمنظور ارتباط کامپيوتر و اينترنت است . زمانيکه فايروال بصورت سخت افزاری در نظر گرفته شود ، تمام بخش فوق بصورت Gateway خواهد بود.  امنيت فايروال های سخت افزاری بمراتب بيشتر از فايروال های نرم افزاری است .

تهد يدات

حمله کنندگان به شبکه های کامپيوتری از روش های متعددی استفاده می نمايند.

- Remote Login .  امکان برقراری ارتباط با کامپيوتر و کنترل آن توسط فرد غيرمجاز است .  دامنه عمليات فوق می تواند از مشاهده و دستيابی به برخی از فايل ها تا اجرای برخی برنامه ها بر روی کامپيوتر باشد.

-Application Backdoors . برخی از برنامه ها دارای امکانات ويژه ای برای دستيابی از راه دور می باشند. برخی ديگر از برنامه ها دارای اشکالاتی بوده بگونه ای که يک Backdoor را ايجاد و يا امکان دستيابی مخفی را ارائه می دهند. در هر حالت امکان کنترل برنامه فراهم خواهد گرديد.

- SMTP session hijacking . پروتکل SMTP رايج ترين روش برای ارسال e-mail است . با دستيابی به ليستی از آدرس های e-mail ، يک شخص قادر به ارسال e-mail به هزاران کاربر ديگر خواهد شد.

- اشکالات سيستم های عامل . سيستم های عامل نظير ساير برنامه های کاربردی ممکن است دارای Backdoors باشند.

- انفجار E-mail . يک شخص قادر به ارسال صدها و هزاران e-mail مشابه در مقاطع زمانی متفاوت است . با توجه به وضعيت فوق سيستم پست الکترونيکی قادر به دريافت تمام نامه های ارسالی نخواهد بود.

- ماکرو. اغلب برنامه های کاربردی اين امکان را برای کاربران خود فراهم می نمايند که مجموعه ای از اسکريپت ها را بمنظور انجام عمليات خاصی نوشته و نرم افزار مربوطه آنها را اجراء نمايد. اسکريپت های فوق " ماکرو " ناميده می شوند. حمله کنندگان به شبکه های کامپيوتری با آگاهی از واقعيت فوق، اقدام به ايجاد اسکريپت های خاص خود نموده که با توجه به نوع برنامه ممکن است داده ها را حذف  و يا باعث از کار افتادن کامپيوتر گردند.

- ويروس . رايج ترين روش جهت آسيب رساندن به اطلاعات، ويروس است . ويروس يک برنامه کوجک است که قادر به تکثير خود بر روی کامپيوتر ديگر است . عملکرد ويروس ها بسيار متفاوت بوده و از اعلام يک پيام ساده  تا حذف تمام داده ها  را می تواند شامل گردد.

سرويس دهنده Proxy

سرويس دهنده Proxy اغلب با يک فايروال ترکيب می گردد. سرويس دهنده Proxy بمنظور دستيابی به صفحات وب توسط ساير کامپيوترها استفاده می گردد. زمانيکه  کامپيوتری درخواست يک صفحه وب را می نمايد،  صفحه مورد نظر توسط سرويس دهنده Proxy بازيابی و در ادامه برای کامپيوتر متقاضی ارسال خواهد شد. بدين ترتيب تمام ترافيک ( درخواست و پاسخ ) بين درخواست کننده يک صفحه وب و پاسخ دهنده از طريق سرويس دهنده Proxy انجام می گيرد.

سرويس دهنده Proxy می تواند کارائی استفاده از اينترنت را افزايش دهد. پس از دستيابی  به يک صفحه وب ،  صفحه فوق بر روی سرويس دهنده Proxy  نيز ذخيره (Cache) می گردد. در صورتيکه در آينده قصد استفاده از صفحه فوق را داشته باشيد  صفحه مورد نظر از روی سرويس دهنده Proxy در اختيار شما گذاشته می شود( الزامی به برقراری ارتباط مجدد و درخواست صفحه مورد نظر نخواهد بود)

اينترنت ، امکان استفاده از سرويس ها و خدمات متعددی را در اختيار کاربران قرار می دهد . ارسال و دريافت نامه الکترونيکی ( E-mail ) ، يکی از قديمی ترين و در عين حال متداولترين سرويس ارائه شده بر روی اينترنت است.عليرغم تمامی مزايا و پتانسيل های سرويس فوق ، در چند سال اخير و همزمان با رشد و گسترش استفاده از اينترنت  ، شاهد مشکلات و مسائل جانبی در اين رابطه نيز می باشيم . توزيع نامه های آلوده به ويروس ها و يا کرم ها ، ارسال و يا دريافت نامه های الکترونيکی ناخواسته که از آنان با نام Spam ياد می شود ، نمونه هائی در اين زمينه می باشد .
در اين مقاله قصد داريم ضمن بررسی جايگاه سرويس پست الکترونيکی با مفهوم Spam ، منابع توزيع و روش های مقابله با آن ، آشنا شويم .

E-mail : بهترين گزينه ارتباطی در عصر اطلاعات
امروزه از Email به عنوان متداولترين روش ارتباطی در جهان ، استفاده می شود .

• روزانه سی و يک ميليارد نامه الکترونيکی بر روی اينترنت ويا شبکه های داخلی ، ارسال می گردد .پيش بينی می شود اين رقم تا سال 2006 ، دو برابر گردد.
• بر اساس بررسی انجام شده توسط موسسه تحقيقاتی Forrester ، بيش از 35 درصد زمان استفاده از اينترنت به ارسال و دريافت نامه های الکترونيکی ، صرف می شود.
• شصت درصد کاربران اينترنت در طی روز ده و يا کمتر ، بيست و سه درصد بيش از بيست و صرفا" شش درصد بيش از پنجاه نامه الکترونيکی را در طی روز دريافت می کنند .
• هفتاد و هشت درصد کاربران اينترنت در طی روز ده و يا کمتر و  يازده درصد بيش از بيست نامه الکترونيکی را در طی روز ارسال می نمايند .
• هفتاد و سه درصد کاربران اينترنت ، حداکثر يک ساعت از زمان استفاده از اينترنت را به دريافت و يا ارسال نامه الکترونيکی ، صرف می نمايند .
• چهل و شش درصد از استفاده کنندگان سرويس پست الکترونيکی در سال 2003 ، اعلام نموده اند که فضای استفاده شده آن نظير فضای استفاده شده در ساليان گذشته است .
• چهل و هشت درصد از استفاده کنندگان سرويس پست الکترونيکی در سال 2003 ، اعلام نموده اند که فضای اختصاص يافته برای آنان نسبت به سال 2002 ، افزايش يافته است .
• در سال 1995 ، هر کاربر اينترنت ( خصوصا" کارمندان موسسات و سازمان ها ) ، در طی روز سه نامه را ارسال و در مقابل پنج نامه را دريافت نموده است . در سال 2002 ، وضعيت فوق تغيير و در مقابل ارسال بيست نامه ،  سی نامه را دريافت داشته اند .
• پيش بينی می شود که تعداد نامه های ارسالی تا سال 2006 از مرز سی و يک ميليارد در يک روز به شصت ميليارد برسد . در صورتی که ظرفيت هر نامه الکترونيکی را معادل پنجاه و نه کيلو بايت در نظر بگيريم ( منبع : موسسه تحقيقاتی Forrester  ) ، روزانه حجمی معادل 1،829 ترابايت ( ده به توان دوازده )  و در طی يک سال 3،35 پتابايت ( ده به توان هيجده ) ، اطلاعات مبادله می گردد .

Spam چيست ؟
به نامه های الکترونيکی ناخواسته و اغواکننده ، Spam گفته می شود. بين Spam و ويروس ها ی کامپيوتری ارتباط مستقيمی وجود نداشته و حتی پيام های معتبر و از منابع موثق می توانند در زمره اين نوع از نامه های الکترونيکی قرار گيرند. نامه های الکترونيکی ناخواسته معمولا" به صورت عمده ( Bulk ) ، ارسال می گردند . به منظور آشنائی بيشتر با ابعاد متفاوت نامه های الکترونيکی ناخواسته ، به برخی از اطلاعات استخراج شده در اين خصوص اشاره می گردد :

• نيمی از ترافيک مربوط به نامه های الکترونيکی مربوط به Spam می باشد (پيام های تجاری ، آگهی ها و ساير موارد مشابه) .
• بر اساس بررسی انجام شده توسط موسسه تحقيقاتی Forrester ، فروشندگان کالا و خدمات در طی يک سال بيش از دويست ميليارد نامه الکترونيکی ناخواسته را ارسال می نمايند .
• بر اساس بررسی انجام شده توسط يکی از بزرگترين شرکت های فيلترينگ نامه های الکترونيکی ناخواسته ، Spam بيش از چهل درصد از ترافيک نامه های الکترونيکی در اينترنت راشامل می شود .
• سه شرکت عمده ارائه دهنده خدمات پست الکترونيکی در جهان ( AOL ، مايکروسافت ، ياهو ) ، بيش از دويست ميليون آدرس Email را در خود نگهداری نموده اند . مراکز فوق ، اهداف جذابی برای ارسال کنندگان نامه های الکترونيکی ناخواسته ( Spammers ) ، می باشد .
• بر اساس اعلام شرکت AOL در ماه مارس سال 2003 ، بيش از يک ميليارد نامه الکترونيکی ناخواسته صرفا" در طی يک روز با استفاده از نرم افزارهای فيلترينگ ، حذف شده اند .
• شرکت AOL اعلام نموده است که بطور متوسط در هر روز  به ازای هر آدرس نامه الکترونيکی ( Account ) ، بيست و هشت نامه الکترونيکی را بلاک می نمايد .

هر يک از ما ممکن است در طی روز چندين نامه الکترونيکی ناخواسته را دريافت نمائيم . ( برخی کاربران تعدادی بيشتر و برخی ديگر ، تعداد کمتری ) .  در صورتی که دارای يک آدرس پست الکترونيکی می باشيد ، همواره امکان دريافت نامه های الکترونيکی ناخواسته ، وجود خواهد داشت . فرض کنيد ، پس از بررسی صندوق پستی خود با پيامی مطابق زير برخورد نمائيد :

يک نمونه Spam

فرض کنيد که ما به شما بگوئيم که می توانيد هشتاد و دو درصد ار وزن خود را صرفا" در چندين ماه ، کاهش دهيد ، آيا اين موضوع برای شما جالب است ؟ ما نيز اميدواريم که چنين اتفاقی بيافتد . برای آگاهی از اطلاعات بيشتر سايت ما را ديدن نمائيد.

پيام فوق قطعا" يک Spam می باشد . اين نوع از نامه های الکترونيکی بدون شک رنج آور و در صورتی که تعداد آنان زياد باشد ، مشکلات و مسائل خاص خود را به دنبال خواهند داشت . در صورتی که شما دارای يک آدرس پست الکترونيکی عمومی می باشيد ،  ممکن است صدها پيام ناخواسته را با ظاهری کاملا" معقول و منطقی دريافت نمائيد . حتی با استفاده از فيلترهای مناسبی که ممکن است استفاده شود ، امکان دريافت اينچنين نامه های الکترونيکی ناخواسته ای وجود خواهد داشت .  در برخی موارد ممکن است  برنامه های فيلتر باعث حذف نامه های الکترونيکی گردند که تمايل به دريافت آنان را داشته باشيم !
شايد تاکنون اين سوال برای شما مطرح شده باشد که منبع ارسال اين همه نامه الکترونيکی ناخواسته کجا بوده و فرستندگان اين نوع از نامه های الکترونيکی چه اهدافی را دنبال می نمايند ؟ آيا روشی برای مقابله  و توقف آنان وجود دارد ؟ در ادامه سعی خواهيم کرد به سوالات فوق ، پاسخ دهيم .

منبع نامه های الکترونيکی ناخواسته
Spam از جمله مسائل و مشکلاتی است که دامنه آن گريبانگير تمامی افراديکه دارای آدرس پست الکترونيکی می باشند ، می گردد.بر اساس تحقيقات انجام شده در رابطه با ابعاد متفاوت اين نوع از نامه های الکترونيکی که در Business Week magazine ، منتشر شده است ، به موارد جالب زير برخورد می نمائيم :

ابعاد مخرب نامه های الکترونيکی ناخواسته

صرفا" درطی يک روز در سال 2003 ، يکی از عظيم ترين ارائه دهندگان خدمات اينترنتی  ( AOL ) ، بيش از دو ميليارد پيام ناخواسته را بلاک نموده است .  شرکت مايکروسافت که دومين ارائه دهنده سرويس اينترنت MSN و سرويس hotmail می باشد ، اظهار داشته است که بطور متوسط روزانه حدود 4 / 2 ميليارد پيام ناخواسته را بلاک می نمايد . بر اساس بررسی انجام شده در موسسه تحقيقاتی Radicati Group در ارتباط با  نامه های الکترونيکی ناخواسته، بيش از چهل و پنج درصد از 9 / 10 تريليون پيام ارسال شده در سال 2003 ، Spam بوده اند .

يکی از مسائل مرتبط با Spam و اين که چرا حجم آنان تا به اين اندازه زياد می باشد به سهولت در ايجاد آنان ، برمی گردد . شما نيز می توانيد به سادگی به يک ارسال کننده نامه های الکترونيکی ناخواسته تبديل شويد .در حال حاضر ، صدها شرکت وجوددارد که لوح های فشرده شامل ميليون ها آدرس معتبر پست الکترونيکی را می فروشند . با استفاده از نرم افزاری نظير Word ، می توان بسادگی آدرس های فوق را به خطوطی مشتمل بر يکصد آدرس در هر خط تبديل و در ادامه با استفاده از پتانسيل هميشه جذاب  Cut و Paste آنان را در فيلد TO هر برنامه معمولی نامه الکترونيکی، قرار دارد . پس از فشردن دکمه Send ، در کمتر از چندين ثانيه، صدها نامه الکترونيکی ارسال خواهد شد . سادگی در ايجاد و توزيع اين نوع از نامه های الکترونيکی ، از مهمترين مسائل و مشکلات مرتبط با  Spam ، است .

آدرس های پست الکترونيکی ، چگونه جمع آوری می گردند ؟ 
شايد اين سوال در ذهن شما مطرح شده باشد که يک شرکت چگونه ميليون ها آدرس پست الکترونيکی معتبر را جمع آوری تا پس از استقرار  آنان بر روی CD ، امکان فروش آنان را فراهم نمايد ؟ در اين رابطه منابع متعددی وجود دارد :

• اولين منبع جمع آوری آدرس های پست الکترونيکی ، گروه های خبری ( newsgropus )  و اتاق های چت ، می باشند. ( خصوصا" برروی سايت های بزرگی نظير AOL ) . کاربران ( خصوصا" افرادی  که اولين مرتبه از اين امکانات استفاده می نمايند ) ، اغلب از اسامی Screen استفاده نموده و يا آدرس واقعی پست الکترونيکی خود را در گروههای خبری قرار می دهند . ارسال کنندگان نامه های الکترونيکی ناخواسته ( Spammers ) ، از يک نرم افزار خاص برای استخراج اسامی Screen و آدرس های پست الکترونيکی به صورت اتوماتيک استفاده می نمايند .
• دومين منبع برای جمع آوری آدرس های پست الکترونيکی ، وب می باشد . در حال حاضر ده ها ميليون سايت بر روی اينترنت وجود دارد و ارسال کنندگان نامه های الکترونيکی ناخواسته می توانند با ايجاد "مراکز جستجو"  ، عمليات جستجو  به منظور يافتن علامت "@ "  را که نشاندهنده يک آدرس الکترونيکی می باشد را پيمايش می نمايند . اين نوع از برنامه ها را Spambots می نامند .
• سومين منبع تامين کننده آدرس های پست الکترونيکی ، سايت هائی می باشندکه صرفا" با هدف جذب آدرس های پست الکترونيکی، ايجاد می گردند. مثلا" يک ارسال کننده نامه های الکترونيکی ناخواسته می تواند ، سايتی را ايجاد نمايد که به شما بگوئيد که شما " يک ميليون دلار " برنده شده ايد  و صرفا" آدرس پست الکترونيکی خود را در اين محل تايپ و يا درج نمائيد .
• يکی ديگر از روش های جمع آوری آدرس های پست الکترونيکی که در گذشته بيشتر استفاده می گيرد ، فروش آدرس پست الکترونيکی اعضاء توسط سايت های بزرگ ، است . برخی ديگر از سايت ها ، مخاطبان خود را با اين سوال مواجه می نمودند که آيا تمايل به دريافت خبرنامه پست الکترونيکی را داريد؟"  در صورت پاسخ مثبت به سوال فوق ، آدرس شما  دريافت و در ادامه به يک ارسال کننده نامه الکترونيکی فروخته می گرديد .
• بزرگترين و متداولترين منبع تامين کننده آدرس های نامه های الکترونيکی ، جستجو بر حسب کليد واژه " ديکشنری " ، مربوط به  سرويس دهنده پست الکترونيکی شرکت های عظيم خدمات اينترنتی و پست الکترونيکی  نظير MSN,AOL و يا Hotmail ، می باشد.  يک حمله مبتنی بر ديکشنری ، در ابتدا ارتباطی را با يک سرويس دهنده پست الکترونيکی به عنوان هدف ، برقرار نموده و در ادامه و با سرعت به صورت تصادفی اقدام به ارسال ميليون ها آدرس پست الکترونيکی ، می نمايد . تعداد زيادی از اين آدرس ها دارای تفاوت های اندکی با يکديگر می باشند. نرم افزار مورد نظر در ادامه بررسی لازم در خصوص Live بودن آدرس های فوق را انجام و در ادامه آنان را به ليست آدرس ارسال کننده نامه الکترونيکی ، اضافه می نمايد . در نهايت ليست آماده شده به تعداد زيادی از ارسال کنندگان نامه های الکترونيکی ناخواسته ، فروخته می گردد .

آدرس های نامه های الکترونيکی ، عموما" خصوصی تلقی نمی گردند ( نظير درج شماره تلفن شما در ليست دفترچه تلفن عمومی ) . زمانی که يک ارسال کننده نامه الکترونيکی ، موفق به آگاهی از آدرس پست الکترونيکی شما گردد ، آن را در اختيار ساير ارسال کنندگان نامه های الکترونيکی قرار می دهد. در چنين مواردی می بايست در انتظار دريافت تعداد زيادی از نامه های الکترونيکی ناخواسته باشيم ( شناسنائی دقيق هدف برای ارسال نامه الکترونيکی ) .

شرکت های بزرگ ارسال کننده Spam
در صورتی که تمايل به ارسال تعداد زيادی Spam را داشته باشيد ، می توان از شرکت های متعددی که اقدام به ارسال عمده ( نه خرده فروشی ! ) نامه های الکترونيکی می نمايند ، استفاده کرد! . برخی از شرکت هائی که در اين رابطه فعاليت می نمايند، قادر به ارسال ميلياردها Spam در طی يک روز می باشند . اين شرکت ها در کشورهای متعدد تاسيس و فعاليت می نمايند (خصوصا" در کشورهائی که  برای برخورد قانونی با اينچنين فعاليت هائی ، قانون مشخصی  تدوين و تعريف نشده است) . برای اين که با برخی از اين شرکت ها بيشتر آشنا شويم بد نيست به سراغ Google رفته و بر حسب کليد واژه "Spam " ، و يا " bulk e-mail " جستجو نمائيم . نتايج جالب زير را مشاهده خواهيم کرد :

 

 

شرکت فوق ، اعلام می نمايد که در طی يک روز قادر به ارسال 7 / 2 ميليون  نامه الکترونيکی به ازای پرداخت سی دلار می باشد .
تمامی موسسات و شرکت ها ی فوق ، ادعا می نمايند که عمليات آنان " Spam-free"  ، بوده و صرفا" پس از تائيد متقاضی مبنی بر دريافت نامه الکترونيکی ، اقدام به ارسال نامه الکترونيکی برای آنان می نمايند .
در مواردی ديگر، ممکن است شما يک کالا را سفارش داده و يا يک فرم online را تکميل نمائيد که دارای يک Chck box در قسمت انتهائی  می باشد که به شما اعلام می نمايد:  " در صورت عدم تمايل برای درج آدرس پست الکترونيکی شما در ليست مربوطه ، می توانيد check box مربوطه را غير فعال unclick نمائيد ". در برخی موارد ممکن است چنين پيام هائی در قسمت پائين فرم های online وجود نداشته باشد و يا شما توجهی به آنان نمی نمائيد . در صورتی که به هر حال نام شما در ليست مجاز ارسال نامه الکترونيکی قرار گيرد ، همواره امکان دريافت تعداد زيادی  spam، وجود خواهد داشت .

برخورد با Spam
برای مقابله با نامه های الکترونيکی ناخواسته تاکنون روش های متعددی ايجاد و اين روند با توجه به ابعاد گسترده آن ، همچنان ادامه دارد .
بهترين تکنولوژی که در حال حاضر بری توقف Spam وجود دارد ، استفاده از نرم افزارهای فيلترينگ است .اين نوع برنامه ها  ، وجود کليد واژه های خاصی را در خط موضوع پيام ، بررسی و در صورت شناسائی آنان ،نامه الکترونيکی مورد نظر را حذف می نمايند. برنامه های فيلترينگ ، کليد واژه های مورد نظر را Spell و آنان را شناسائی می نمايند .  برای spell  يک کليد واژه، روش های متعددی وجود داشته و در برخی موارد ممکن است فرآيند Spelling  نتايج مطلوبی را به دنبال نداشته و باعث حذف نادرست نامه هائی گردند که تمايل به دريافت آنان را داشته باشيم . برخی از برنامه های فيلترينگ پيشرفته ،  نظير heuristic و يا Bayesian ، با استفاده از روش های متعدد آماری اقدام به شناسائی Spam بر اساس الگوهائی خاص( با توجه به فرکانس تکرارهر الگو ) ، می نمايند .
سازمان های متعددی اقدام به انتشار ليست آدرس های IP استفاده شده توسط ارسال کنندگان نامه های الکترونيکی ناخواسته ، می نمايند. هر Spammer بزرگ ، قطعا" دارای مجموعه ای از ماشين های سرويس دهنده است که اقدام به ارسال پيام های Spam نموده و هر ماشين نيز دارای آدرس IP اختصاصی مربوط به خود است . پس از تشخيص  Spam  از طريق آدرس IP آن ، آدرس فوق به ليست سياه اضافه می گردد.( www.spamhaus.org يکی از مراکزی است که چنين ليست هائی را ايجاد و بطور دائم آنان را به هنگام می نمايند).شرکت هائی که accoun  پست الکترونيکی را host  می نمايند ، می توانند با بررسی آدرس IP فرستنده و مقايسه آن با ليست سياه ارائه شده توسط مراکزی نظير :  Spamhaus.org    ، آن را فيلتر و بلاک نمايند .
ارسال کنندگان نامه های الکترونيکی نيز در اين زمينه ساکت ننشسته و در اين رابطه از رويکردهای متعددی استفاده می نمايند :

• تغيير متناوب آدرس های IP :  با توجه به وجود اينگونه آدرس های IP در ليست سياه ، در صورتی که آدرس های فوق در اختيار سازمان ها و يا موسساتی ديگر قرار گيرد ، عملا" برای استفاده کنندگان غيرقابل استفاده بوده و آنان نمی توانند از چنين آدرس هائی برای ارسال نامه های  الکترونيکی واقعی ، استفاده نمايند.
• استفاده از توان ساير کامپيوترهائی که به آنان شکی وجود ندارد : ارسال کنندگان Spam ، با استفاده از تکنيک های خاصی از بين کامپيوترهای مطمئن موجود در شبکه که به آنان سوظنی وجود ندارد ، اصطلاحا" يارگيری نموده و از آنان برای ارسال نامه های الکترونيکی ناخواسته ، استفاده می نمايند . در چنين مواردی عملا" ماشين مورد نظر در اختيار ارسال کنندگان Spam ، قرار خواهد گرفت (Zombie machines )  . از طرفی چون آدرس های IP اين نوع از ماشين ها جديد بوده و در ليست سياه آدرس های IP قرار ندارند ، امکان ارسال ميليون ها پيام الکترونيکی  با استفاده از آنان فراهم می گردد ( قبل از اين که شناسائی و در ليست سياه قرار گيرند ) .

از  ديگر راهکارهای مقابله با spam ، می توان به تدوين مجموعه قوانين مناسب برای برخورد با افراد و يا موسسات ارسال کننده اين نوع نامه های الکترونيکی ، تهيه يک ليست اختياری برای افراديکه تمايل به دريافت Spam را دارند و استفاده از گزينه هائی نظير فرم های Online در مقابل Email ، اشاره نمود .
با توجه به حجم نامه های ارسالی ناخواسته و غير قابل کنترل بودن آن  ، می بايست تغييرات عمده ای در سرويس دهندگان پست الکترونيکی سنتی ايجاد و آنان خود را مجهز به تکنولوژی های پيشرفته ای به منظور ايمن سازی سرويس دهنده، نمايند.هم اينک موضوع مقابله با  Spam  در دستور کار شرکت های عظيم توليد کننده نرم افزار( سرويس دهندگان پست الکترونيکی )  ، سخت افزار و امنيت اطلاعات  قرار گرفته و تمامی آنان در تلاش برای ايجاد روش ها و تکنيک هائی خاص برای مقابله با Spam می باشند .

 

شبکه های کامپيوتری زير ساخت لازم برای عرضه اطلاعات در يک سازمان را فراهم می نمايند . بموازات رشد و گسترش تکنولوژی اطلاعات، مقوله امنيت در شبکه های کامپيوتری ، بطور چشمگيری  مورد توجه قرار گرفته و همه روزه بر تعداد افرادی که علاقه مند به آشنائی با اصول سيستم های امنيتی در اين زمينه می باشند ، افزوده می گردد . در اين مقاله ، پيشنهاداتی در رابطه با ايجاد يک محيط ايمن در شبکه ، ارائه می گردد .
سياست امنيتی
يک سياست امنيتی، اعلاميه ای رسمی مشتمل بر مجموعه ای از قوانين است که می بايست توسط افراديکه به يک تکنولوژی سازمان و يا سرمايه های اطلاعاتی دستيابی دارند،  رعايت و به آن پايبند باشند . بمنظور تحقق اهداف امنيتی ، می بايست سياست های تدوين شده  در رابطه با تمام کاربران ، مديران شبکه و مديران عملياتی سازمان، اعمال  گردد . اهداف مورد نظر عموما"  با تاکيد بر گزينه های  اساسی زير مشخص  می گردند .

" سرويس های عرضه شده  در مقابل امنيت ارائه شده   ، استفاده ساده در مقابل امنيت  و هزينه ايمن سازی در مقابل ريسک از دست دادن اطلاعات "

مهمترين هدف يک سياست امنيتی ، دادن آگاهی لازم به کاربران،  مديران شبکه و مديران عملياتی يک سازمان در رابطه با امکانات و تجهيزات لازم ، بمنظور حفظ و صيانت از تکنولوژی و سرمايه های اطلاعاتی است . سياست امنيتی ، می بايست مکانيزم و راهکارهای مربوطه را با تاکيد بر امکانات موجود تبين نمايد . از ديگر اهداف يک سياست امنيتی ،  ارائه يک خط اصولی برای  پيکربندی و مميزی سيستم های کامپيوتری و شبکه ها ،  بمنظور تبعيت از سياست ها است . يک سياست امنيتی مناسب و موثر ، می بايست رضايت و حمايت تمام پرسنل موجود در يک سازمان را بدنبال داشته باشد .
يک سياست امنيتی خوب دارای ويژگی های زير است :

• امکان  پياده سازی عملی آن بکمک روش های متعددی نظير رويه های مديريتی،  وجود داشته باشد .
• امکان تقويت آن توسط ابزارهای امنيتی ويا  دستورات مديريتی  در موارديکه پيشگيری واقعی از لحاظ فنی امکان پذير نيست ، وجود داشته باشد .
• محدوده مسئوليت  کاربران ، مديران شبکه  و مديران عملياتی بصورت  شفاف مشخص گردد .
• پس از استقرار، قابليت برقرای ارتباط با منابع متفاوت انسانی را دارا باشد . ( يک بار گفتن و همواره در گوش داشتن )
• دارای انعطاف لازم بمنظور برخورد با  تغييرات درشبکه  باشد .(  سياست های تدوين شده ،  نمونه ای بارز از مستندات زنده تلقی می گردنند . )

سيستم های  عامل و برنامه های کاربردی : نسخه ها و بهنگام سازی
در صورت امکان، می بايست از آخرين نسخه  سيستم های عامل و برنامه های کاربردی بر روی تمامی کامپيوترهای  موجود در شبکه ( سرويس گيرنده ، سرويس دهنده ، سوئيچ، روتر، فايروال و سيستم های تشخيص مزاحمين ) استفاده شود . سيستم های عامل و برنامه های کاربردی می بايست بهنگام بوده و همواره از آخرين امکانات موجود بهنگام سازی ( patches , service pack , hotfixes) استفاده گردد . در اين راستا می بايست حساسيت بيشتری نسبت به برنامه های آسيب پذير که زمينه لازم برای متجاوزان اطلاعاتی را فراهم می نمايند ، وجود داشته باشد  .
برنامه های  : IIS ,OutLook , Internet Explorer , BIND و sendmail  بدليل وجود نقاط آسيب پذير می بايست مورد توجه جدی قرار گيرند . متجاوزان اطلاعاتی ،  بدفعات از نقاط آسيب پذير برنامه های فوق برای خواسته های خود استفاده کرده اند .

شناخت شبکه موجود
بمنظور پياده سازی و پشتيبانی سيستم امنيتی ، لازم است ليستی از تمام دستگاههای  سخت افزاری و برنامه های نصب شده ، تهيه گردد . آگاهی از برنامه هائی که بصورت پيش فرض نصب شده اند،  نيز دارای اهميت خاص خود است ( مثلا" برنامه IIS بصورت پيش فرض توسط SMS و يا سرويس دهنده SQL در شبکه های مبتنی بر ويندوز نصب می گردد ) . فهرست برداری از سرويس هائی که بر روی شبکه در حا ل اچراء می باشند، زمينه را برای پيمايش و تشخيص مسائل مربوطه ،  هموار خواهد کرد .

سرويس دهندگان TCP/UDP و سرويس های موجود در شبکه
تمامی سرويس دهندگان TCP/UDP در شبکه بهمراه سرويس های موجود بر روی هر کامپيوتر در شبکه ، می بايست شناسائی و مستند گردند . در صورت امکان، سرويس دهندگان و سرويس های غير ضروری،  غير فعال گردند . برای سرويس دهندگانی که وجود آنان ضروری تشخيص داده می شود،  دستيابی به آنان محدود به کامپيوترهائی گردد که به خدمات آنان نيازمند می باشند . امکانات عملياتی را که بندرت از آنان استفاده و دارای  آسيب پذيری بيشتری می باشند ، غير فعال تا زمينه بهره برداری آنان توسط متجاوزان اطلاعاتی  سلب گردد. توصيه می گردد ،  برنامه های نمونه (Sample)  تحت هيچ شرايطی بر روی سيستم های توليدی ( سيستم هائی که محيط لازم برای توليد نرم افزار بر روی آنها ايجاد و با استفاده از آنان محصولات نرم افزاری توليد می گردند )  نصب نگردند .

رمزعبور
انتخاب رمزعبور ضعيف ،  همواره يکی از مسائل اصلی در رابطه با هر نوع  سيستم امنيتی است . کاربران،  می بايست متعهد و مجبور به تغيير رمز عبور خود بصورت ادواری گردند . تنظيم مشخصه های رمز عبور در سيستم های مبتنی بر ويندوز،  بکمک Account Policy صورت می پذيرد . مديران شبکه،  می بايست برنامه های مربوط به تشخيص رمز عبور را تهيه و آنها را اجراء تا آسيب پذيری سيستم  در بوته نقد و آزمايش قرار گيرد .
برنامه های john the Ripper   ، LOphtcrack و Crack ،  نمونه هائی در اين زمينه می باشند . به کاربرانی که رمز عبور آنان ضعيف تعريف شده است ، مراتب اعلام و در صورت تکرار  اخطار داده شود ( عمليات فوق،  می بايست بصورت متناوب انجام گيرد ) . با توجه به اينکه برنامه های تشخيص رمزعبور،زمان زيادی از پردازنده را بخود اختصاص خواهند  داد،  توصيه می گردد،  رمز عبورهای کد شده ( ليست SAM بانک اطلاعاتی در ويندوز ) را بر روی  سيستمی ديگر که در شبکه نمی باشد،  منتقل  تا زمينه بررسی رمزهای عبور ضعيف ،  فراهم گردد . با انجام عمليات فوق برروی يک کامپيوتر غير شبکه ای ،  نتايج بدست آمده برای هيچکس قابل استفاده نخواهد بود( مگراينکه افراد بصورت فيزيکی به سيستم دستيابی پيدا نمايند) .
برای تعريف رمز عبور،  موارد زير پيشنهاد می گردد :

• حداقل طول رمز عبور، دوازده و يا بيشتر باشد .
• دررمز عبور از حروف کوچک، اعداد، کاراکترهای خاص و Underline استفاده شود .
• از کلمات موجود در ديکشنری استفاده نگردد .
• رمز های عبور ، در فواصل زمانی مشخصی ( سی و يا نود روز)  بصورت ادواری تغيير داده شوند .
• کاربرانی  که رمزهای عبور ساده و قابل حدسی را برای خود تعريف نموده اند، تشخيص و به آنها تذکر داده شود .( عمليات فوق بصورت متناوب و در فواصل زمانی  يک ماه انجام گردد).

عدم اجرای برنامه ها ئی  که  منابع  آنها تاييد نشده است . 
در اغلب حالات ، برنامه های کامپيوتری در يک چارچوب امنيتی خاص مربوط به  کاربری که آنها را فعال می نمايد ،  اجراء می گردند.دراين زمينه ممکن است،  هيچگونه توجه ای  به ماهيت منبع ارائه دهنده  برنامه  توسط کاربران انجام نگردد . وجود يک زير ساخت PKI ) Public key infrastructure ) ، در اين زمينه می تواند مفيد باشد . در صورت عدم وجود زيرساخت امنيتی فوق ،می بايست مراقبت های لازم در رابطه با طرفندهای استفاده شده توسط برخی از متجاوران اطلاعاتی را انجام داد. مثلا" ممکن است برخی آسيب ها  در ظاهری کاملا" موجه از طريق يک پيام الکترونيکی جلوه نمايند . هرگز يک ضميمه پيام الکترونيکی و يا برنامه ای را که از منبع ارسال کننده آن مطمئن نشده ايد ، فعال و يا اجراء ننمائيد . همواره از برنامه ای نظير Outlook بمنظور دريافت پيام های الکترونيکی استفاده گردد . برنامه فوق در يک ناحيه محدوده شده اجراء و می بايست امکان اجرای  تمام اسکريپت ها و محتويات فعال  برای ناحيه فوق ، غير فعال گردد .

ايجاد محدوديت در برخی از  ضمائم پست الکترونيکی
ضرورت توزيع و عرضه تعداد زيادی از انواع فايل های ضميمه ، بصورت روزمره در يک سازمان وجود ندارد .بمنظور پيشگيری از اجرای کدهای مخرب ، پيشنهاد می گردد اين نوع فايل ها ،غير فعال گردند . سازمان هائی که از Outlook استفاده می نمايند،  می توانند با استفاده از نسخه 2002 اقدام به بلاک نمودن آنها نمايند . ( برای ساير نسخه های Outlook می توان از Patch  امنيتی مربوطه استفاده کرد ) .
فايل های زير را می توان  بلاک کرد :

نوع فايل هائی که می توان آنها را بلاک نمود .

.bas  .hta  .msp  .url  .bat  .inf  .mst  .vb  .chm  .ins  .pif  .vbe .cmd .isp  .pl  .vbs .com .js .reg .ws  .cpl  .jse  .scr  .wsc  .crt .lnk .sct  .wsf  .exe .msi  .shs  .wsh

در صورت ضرورت می توان ، به ليست فوق برخی از فايل ها را اضافه و يا  حذف کرد. مثلا" با توجه به وجود عناصر اجرائی در برنامه های آفيس ، ميتوان امکان اجرای برنامه ها را در آنان بلاک نمود . مهمترين نکته در اين راستا به برنامه  Access بر می گردد که برخلاف ساير اعضاء خانواده آفيس ،  دارای امکانات حفاظتی ذاتی  در مقابل ماکروهای آسيب رسان  نمی باشد .

پايبندی به  مفهوم کمترين امتياز 
اختصاص حداقل امتياز به کاربران، محور اساسی درپياده سازی يک سيتم امنيتی است. رويکرد فوق بر اين اصل مهم استوار است که  کاربران می بايست صرفا"  دارای حقوق و امتيازات لازم بمنظور انجام کارهای مربوطه باشند ( بذل و بخشش امتيازات در اين زمينه شايسته نمی باشد!) .  رخنه در سيستم امنيتی از طريق کدهای مخربی که توسط کاربران اجراء می گردند، تحقق می يابد .  در صورتيکه کاربر، دارای حقوق و امتيازات  بيشتری باشد ، آسيب پذيری اطلاعات در اثر اجرای کدها ی مخرب ، بيشتر خواهد شد . موارد زير برای اختصاص حقوق کاربران ،  پيشنهاد می گردد :

• تعداد account مربوط به مديران شبکه،  می بايست  حداقل باشد .
• مديران شبکه ، می بايست بمنظور انجام فعاليت های روزمره نظير خواندن پيام های پست الکترونيکی ، از يک account روزمره در مقابل ورود به شبکه  بعنوان administrator ،استفاده نمايند .
• مجوزهای لازم برای منابع بدرستی تنظيم و پيکربندی گردد . در اين راستا  می بايست حساسيت بيشتری نسبت به برخی از برنامه ها که همواره مورد استفاده  متجاوزان اطلاعاتی است ، وجود داشته باشد . اين نوع برنامه ها ، شرايط مناسبی برای متجاوزان اطلاعاتی را فراهم  می نمايند. جدول زير برخی از اين نوع برنامه ها را نشان می دهد .

برنامه های  مورد توجه متجاوزان اطلاعاتی

explorer.exe, regedit.exe, poledit.exe, taskman.exe, at.exe, cacls.exe,cmd.exe, finger.exe, ftp.exe, nbstat.exe, net.exe, net1.exe,netsh.exe, rcp.exe, regedt32.exe, regini.exe, regsvr32.exe,rexec.exe, rsh.exe, runas.exe, runonce.exe, svrmgr.exe,sysedit.exe, telnet.exe, tftp.exe, tracert.exe, usrmgr.exe,wscript.exe,xcopy.exe

• رويکرد حداقل امتياز ، می تواند به برنامه های سرويس دهنده نيز تعميم يابد . در اين راستا می بايست حتی المقدور،  سرويس ها و برنامه ها  توسط يک account که حداقل امتياز را دارد ،اجراء گردند .

مميزی برنامه ها
اغلب برنامه های سرويس دهنده ،  دارای قابليت های مميزی گسترده ای  می باشند . مميزی می تواند شامل دنبال نمودن حرکات مشکوک و يا برخورد با آسيب های واقعی باشد . با فعال نمودن مميزی برای برنامه های سرويس دهنده و کنترل دستيابی به برنامه های کليدی نظير برنامه هائی که ليست آنها در جدول قبل ارائه گرديد،  شرايط مناسبی بمنظور حفاظت از اطلاعات  فراهم می گردد .

چاپگر شبکه
امروزه اغلب چاپگرهای شبکه دارای قابليت های از قبل ساخته شده برای  سرويس های  FTP,WEB و Telnet بعنوان بخشی از سيستم عامل مربوطه ،  می باشند . منابع فوق پس از فعال شدن ، مورد استفاده قرار خواهند گرفت . امکان استفاده از  چاپگرهای شبکه بصورت  FTP Bound servers  ، Telnet  و يا  سرويس های مديريتی وب ، وجود خواهد داشت . رمز عبور پيش فرض را به يک رمز عبور پيچيده تغيير  و با  صراحت پورت های چاپگر را در محدوده روتر / فايروال بلاک نموده و  در صورت عدم نياز  به  سرويس های  فوق ، آنها را غير فعال نمائيد .

پروتکل SNMP)Simple Network Management Protocol)
پروتکل SNMP ،  در مقياس گسترده ای توسط مديران شبکه بمنظور مشاهده و مديريت تمام کامپيوترهای موجود در شبکه ( سرويس گيرنده ، سرويس دهنده،  سوئيچ ، روتر،  فايروال ) استفاده می گردد .SNMP ،  بمنظور تاييد اعتبار کاربران ،  از روشی غير رمز شده استفاده می نمايد . متجاوزان اطلاعاتی ، می توانند از نفطه ضعف فوق در جهت اهداف سوء خود استفاده نمايند . در چنين حالتی، آنان قادر به اخذ اطلاعات متنوعی در رابطه با عناصر موجود در شبکه بوده و حتی امکان  غير فعال نمودن يک سيستم از راه دور  و يا تغيير پيکربندی سيستم ها  وجود خواهد داشت . در صورتيکه يک متجاوز اطلاعاتی قادر به جمع آوری ترافيک SNMP دريک شبکه گردد، از اطلاعات مربوط به  ساختار شبکه موجود بهمراه سيستم ها و دستگاههای متصل شده به آن ، نيز آگاهی خواهد يافت . سرويس دهندگان SNMP  موجود بر روی هر کامپيوتری را که ضرورتی به وجود آنان نمی باشد ، غير فعال نمائيد . در صورتيکه بهر دليلی استفاده از  SNMP ضروری باشد ،  می بايست امکان دستيابی بصورت فقط خواندنی در نظر گرفته شود . در صورت امکان،  صرفا" به تعداد اندکی از کامپيوترها امتياز استفاده از سرويس دهنده SNMP  اعطاء گردد .

تست امنيت شبکه
مديران شبکه های کامپيوترهای می بايست، بصورت ادواری اقدام به تست امنيتی تمام کامپيوترهای موجود در شبکه (سرويس گيرندگان، سرويس دهندگان، سوئيچ ها ، روترها ، فايروال ها و سيتستم های تشخيص مزاحمين   )  نمايند. تست امنيت شبکه ،  پس از اعمال هر گونه تغيير اساسی  در پيکربندی شبکه ، نيز می بايست انجام شود .

در بخش اول اين مقاله به ضرورت ايجاد يک سيستم امنيتی در رابطه با نامه های الکترونيکی اشاره و در اين رابطه پيشنهاداتی ارائه گرديد. در اين بخش ، به بررسی ساير موارد موجود بمنظور پيشگيری و حفاظت سيستم در رابطه با نامه های الکترونيکی ، اشاره می گردد.

پيشگيری سوم : تغيير فايل مرتبط و يا غير فعال نمودن WSH
patch امنيتی ارائه شده در پيشگيری اول، باعث حفاظت سيستم در مقابل ويروس هائی نظير ILOVEYOU ، در outlook 98 و outlook 2000 می گردد . متاسفانه روش مشابهی بمنظور استفاده در outlook Express ، وجود ندارد. بمنظور حفاظت سيستم در مقابل نامه های الکترونيکی که دارای عملکردی نظير ILOVEYOU می باشند ، می توان از روشی ديگر در outlook express استفاده کرد. بدين منظورمی توان تغييراتی را در سطح برنامه هائی که مسئول فعال نمودن فايل مورد نظر( File Associations ) می باشند ، اعمال نمود. کرم ILOVEYOU ، از طريق يک فايل اسکريپت ويژوال بيسيک ( vbs .) ، که توسط ميزبان اسکريپت ويندوز (Windows Scripting Host :WSH ) تفسير می گردد ، فعال خواهد شد. در حقيقت WSH محيط ( شرايط) لازم برای ILOVEYOU را فراهم می نمايد. اعمال محدوديت در رابطه با WSH و يا تغيير در فايل پيش فرض مربوطه ای که مسئول برخورد( نمايش ، ايجاد شرايط اجراء) با فايل مورد نظر می باشد ، می تواند يک سطح مناسب امنيتی را در رابطه با ضمائم نامه های الکترونيکی که حاوی کدهای مخرب می باشند ، فراهم می نمايد. در اين رابطه از راهکارهای متفاوتی می توان استفاده کرد .
روش اول : يکی از روش های پيشگيری موثر در مقابل اين نوع از حملات ، تغيير واکنش پيش فرض در زمانی است که کاربر باعث فعال شدن اينچنين فايل های می گردد ( double click بر روی فايلی با انشعاب vbs . ) .در ويندوز NT ، اين عمليات از طريق Windows Explorer و بصورت زير انجام می شود.

View | Folder Options ==> Select VBScript Script File ==> Click Edit ==> Highlight Edit ==> Click Set Default

پس از اعمال تغييرات فوق ، در صورتيکه کاربری فايلی ضميمه با انشعاب vbs . را فعال نمايد ، فايل مورد نظر توسط WSH اجراء نخواهد شد ، در مقابل ، فايل فوق ، بدون نگرانی توسط اديتور پيش فرض ( معمولا" notepad ) ، فعال و نمايش داده خواهد شد. فرآيند فوق را می توان به فايل های ديگر نيز تعميم داد. فايل هائی که دارای يکی از انشعابات زير باشند ، توسط WSH فعال خواهند شد . بنابراين می توان تغييرات لازم را مطابق آنچه اشاره گرديد ، در رابطه با آنها نيز اعمال نمود.

WSC , WSH ,WS ,WSF,VBS,VBE,JS,JSE

روش ارائه شده در رابطه با outlook Express بخوبی کار خواهد کرد . در اين راستا ، لازم است به اين مسئله مهم اشاره گردد که تضمينی وجود ندارد که سرويس گيرندگان پست الکترونيکی از تنظيمات پيش فرض، زمانيکه کاربر يک فايل ضميمه را فعال می نمايد، استفاده نمايند . مثلا" زمانيکه يک فايل ضميمه vbs. ، توسط Netscape messenger فعال می گردد ، کاربر دارای گزينه های open و يا Save خواهد بود. در صورتيکه کاربر گزينه open را انتخاب نمايد ، کد مورد نظر صرفنظر از تنظيمات پيش فرض فعال خواهد شد.( ناديده گرفتن تنظيمات پيش فرض )
روش دوم : راهکار ديگری که می توان بکمک آن باعث پيشگيری از بروز چنين مسائلی گرديد ، غير فعال نمودن WSH است . برای انجام عمليات فوق ( غير فعال نمودن WSH ) می بايست برنامه های ويندوز را که باعث حمايت و پشتيبانی از اجراء اسکريپت ها می گردند ( برنامه های wscript.exe و csscript ) را تغيير نام داد .در سيستم هائی شامل ويندوزNT ، اين فايل ها در مسير %System%\System32 ، قرار دارند( معمولا" C:\Winnt\System32 ) . بمنظور تغيير نام فايل های فوق ، بهتر است از طريق خط دستور ( command prompt) اين کار انجام شود. در برخی از نسخه های سيستم عامل، بموازات تغيير نام فايل مرتبط با يک نوع حاص از فايل ها ، بصورت اتوماتيک برنامه مرتبط با آنان به نام جديد تغيير داده خواهد شد. بدين ترتيب تغيير اعمال شده هيچگونه تاثير مثبتی را از لحاظ امنيتی بدنبال نخواهد داشت .
روش سوم : گزينه سوم در خصوص غير فعال نمودن WSH ، تغيير مجوز فايل ( File Permission ) در رابطه با فايل های Wscript.exe و CSscript.exe است . روش فوق ، نسبت به دو روش اشاره شده ، ترجيح داده می شود. در چنين مواردی امکان استفاده از پتانسيل های WSH برای مديران سيستم وجود داشته در حاليکه امکان استفاده از پتانسيل فوق از کاربران معمولی سلب می گردد .
لازم است به اين نکته مهم اشاره گردد که با اينکه پيشگيری فوق ، در رابطه با کرم هائی نظير ILOVEYOU و موارد مشابه موثرخواهد بود ، ولی نمی تواند تمام ريسک های مربوط در اين خصوص و در رابطه با ساير فايل ها ئی که ممکن است شامل کدهای اسکريپت باشند را حذف نمايد. در اين رابطه می توان به فايل های با انشعاب exe . ، اشاره نمود. اين نوع فايل ها دارای نقشی حياتی در رابطه با انجام عمليات بر روی يک کامپيوتر بوده و نمی توان آنها را غير فعال نمود . بدين ترتيب متجاوزان اطلاعاتی می توانند از اين نوع فايل ها ، بعنوان مکانيزمی جهت توزيع کدهای مخرب ، استفاده نمايند .

پيشگيری چهارم : حفاظت ماکروهای آفيس و آموزش کاربران
ماکروسافت در رابطه با حفاظت در مقابل فايل های ضميمه حاوی کدهای مخرب از طريق ساير برنامه های جانبی، نيز تدابيری انديشيده است . مثلا" با اينکه patch امنيتی ارائه شده در پيشگيری اول ، بصورت پيش فرض در رابطه با ماکروهای word موثر واقع نمی شود ، ولی در بطن اين نوع نرم افزارها امکانات خاصی قرار گرفته شده است که می توان بکمک آنان ، يک سطح امنيتی اوليه در رابطه با فعال شدن ماکروها را اعمال نمود. مثلا" آفيس 97 ، گزينه اختياری حفاظت ماکرو را ارائه که می توان بکمک آن يک لايه حفاظتی را در رابطه با عملکرد ماکروها ، ايجاد نمود. در چنين مواردی به کاربران پيامی ارائه و کاربران می توانند قبل از فعال شدن ماکرو در رابطه با آن تصميم گيری نمايند ( ارائه پاسخ مناسب توسط کاربران ) . لازم است در اين خصوص به کاربران آموزش های ضروری و مستمر در رابطه با خطرات احتمالی عدم رعايت اصول اوليه امنيتی خصوصا" در رابطه با دريافت نامه های الکترونيکی از منابع غيرمطمئن داده شود . گزينه فوق را می توان از طريق Tools|options|General| Enable macro virus protection ، فعال نمود. آفيس 2000 و XP وضعيت فوق را بهبود و می توان تنظيمات لازم در خصوص اجرای ماکروهای دريافتی از يک منبع موثق و همراه با امضاء ديجيتالی را انجام داد . در word , Powerpoint .Excel می توان ، گزينه فوق را از طريق Tools|macro|Security ، استفاده و تنظيمات لازم را انجام داد. با انتخاب گزينه High ، حداکثر ميزان حفاظت ، در نظر گرفته خواهد شد.

پيشگيری پنجم : نمايش و انشعاب فايل
يکی از روش متداول بمنظور ايجاد مصونيت در مقابل فايل های حاوی کدهای مخرب ، تبديل فايل فوق به فايلی بی خاصيت ( عدم امکان اجراء) است . بدين منظور می توان از يک انشعاب فايل اضافه استفاده نمود .(مثلا" فايل : ILOVYOU.TXT.VBS) . در صورتيکه ويندوز برای نمايش اين نوع فايل ها ( با در نظر گرفتن انشعاب فايل ها ) ، پيکربندی نشده باشد ، فايل فوق بصورت يک فايل متن تفسير خواهد شد. ( ILOVEYOU.TXT ) . بمنظور پياده سازی روش فوق می بايست دو فاز عملياتی را دنبال نمود : در اولين مرحله می بايست به ويندوز اعلام گردد که انشعاب فايل ها را از طريق Windows Explorer ، نمايش دهد . ( انتخاب Options|View و غير فعال نمودن Hide file extensions for known file types ) . متاسفانه برای برخی فايل های خاص که می توانند شامل عناصر اجرائی و يا اشاره گری به آنان باشند ، تنظيم فوق ، تاثيری را بدنبال نداشته و در اين رابطه لازم است کليد های ريجستری زير ، بمنظور پيکربندی ويندوز برای نمايش انشعاب اين نوع از فايل ها ، حذف گردد ( مرحله دوم).

انشعاب فايل	کليد ريجستری	توضيحات
.lnk	HKEY_CLASSES_ROOT\lnkfile\NeverShowExt	Shortcut
.pif	HKEY_CLASSES_ROOT\piffile\NeverShowExt	Program information file (shortcut to a DOS program)
.scf	HKEY_CLASSES_ROOT\SHCmdFile\NeverShowExt	Windows Explorer Command file
.shb	HKEY_CLASSES_ROOT\DocShortcut\NeverShowExt	Shortcut into a document
.shs	HKEY_CLASSES_ROOT\ShellScrap	Shell Scrap Object
.xnk	HKEY_CLASSES_ROOT\xnkfile\NeverShowExt	Shortcut to an Exchange folder
.url	HKEY_CLASSES_ROOT\InternetShortcut\NeverShowExt	Internet shortcut
.maw	HKEY_CLASSES_ROOT\Access.Shortcut.DataAccessPage.1\NeverShowExt	Shortcuts to elements of an MS Access database. Most components of an Access database can containan executable component.
.mag	HKEY_CLASSES_ROOT\Access.Shortcut.Diagram.1\NeverShowExt
.maf	HKEY_CLASSES_ROOT\Access.Shortcut.Form.1\NeverShowExt
.mam	HKEY_CLASSES_ROOT\Access.Shortcut.Macro.1\NeverShowExt
.mad	HKEY_CLASSES_ROOT\Access.Shortcut.Module.1\NeverShowExt
.maq	HKEY_CLASSES_ROOT\Access.Shortcut.Query.1\NeverShowExt
.mar	HKEY_CLASSES_ROOT\Access.Shortcut.Report.1\NeverShowExt
.mas	HKEY_CLASSES_ROOT\Access.Shortcut.StoredProcedure.1\NeverShowExt
.mat	HKEY_CLASSES_ROOT\Access.Shortcut.Table.1\NeverShowExt
.mav	HKEY_CLASSES_ROOT\Access.Shortcut.View.1\NeverShowExt

پيشگيری ششم : از Patch های بهنگام شده، استفاده گردد
اغلب حملات مبتنی بر اينترنت از نقاط آسيب پذير يکسانی بمنظور نيل به اهداف خود استفاده می نمايند . ويروس Bubbleboy ، نمونه ای مناسب در اين زمينه بوده که تهيه کننده آن از نفاط آسيب پذير شناخته شده در مرورگر اينترنت ( IE ) ، استفاده کرده است . ماکروسافت بمنظور حل مشکل اين نوع از نقاط آسيب پذير در محصولات خود خصوصا" برنامه مرورگر اينترنت ، patch های امنيتی خاصی را ارائه نموده است . با توجه به امکان بروز حوادث مشابه و بهره برداری از نقاط آسيب پذير در محصولات نرم افزاری استفاده شده ، خصوصا" نرم افزارهائی که بعنوان ابزار ارتباطی در اينترنت محسوب می گردند ، پيشنهاد می گردد که patch های ارائه شده را بر روی سيستم خود نصب تا حداقل از بروز حوادث مشابه قبلی بر روی سيستم خود جلوگيری نمائيم .

پيشگيری هفتم : محصولات آنتی ويروس
اغلب محصولات تشخيص ويروس های کامپيوتری، عمليات تشخيص خود را بر اساس ويروس های شناخته شده ، انجام خواهند داد . بنابراين اينگونه محصولات همواره در مقابل حملات جديد و نامشخص ، غيرموثر خواهند بود. محصولات فوق ، قادر به برخورد و پيشگيری از تکرار مجدد ، حملات مشابه تهاجمات سابق می باشند. برخی از محصولات آنتی ويروس ، امکان بلاک نمودن ضمائم نامه های الکترونيکی را در سطح سرويس دهنده پست الکترونيکی فراهم می نمايند. پتانسيل فوق می تواند عاملی مهم بمنظور بلاک نمودن ضمائم نامه های الکترونيکی حاوی کدهای مخرب قبل از اشاعه آنان باشد .

پيشگيری هشتم : رعايت و پايبندی به اصل " کمترين امتياز "
" کمترين امتياز " ، يک رويکرد پايه در رابطه با اعمال امنيت در کامپيوتر است . بر اين اساس توصيه می شود که به کاربران صرفا" امتيازاتی واگذار گردد که قادر به انجام عمليات خود باشند . کدهای مخرب بمنظور تحقق اهداف خود به يک محيط ، نياز خواهند داشت . محيط فوق ، می تواند از طريق اجرای يک برنامه توسط يک کاربر خاص بصورت ناآگاهانه ايجاد گردد. در اين رابطه پيشنهاد می گردد ، پس از آناليز نوع فعاليت هائی که هر کاربر می بايست انجام دهد ، مجوزها ی لازم برای وی تعريف و از بذل و بخشش مجوز در اين رابطه می بايست جدا" اجتناب ورزيد.

پيشگيری نهم : امنيت سيستم عامل
حفاظت در مقابل کدهای مخرب می تواند به ميزان قابل محسوسی از طريق کليدهای اساسی سيستم ، کنترل و بهبود يابد. در اين راستا از سه رويکرد خاص استفاده می گردد : حفاظت عناصر کليدی در ريجستری سيستم ، ايمن سازی اشياء پايه و محدوديت در دستيابی به دايرکتوری سيستم ويندوز NT . در ادامه به بررسی هر يک از رويکردهای فوق ، خواهيم پرداخت .

پيشگيری نهم - رويکرد اول : ايمن سازی ريجستری سيستم
کرم ILOVEYOU از مجوزهای ضعيف نسبت داده شده به کليدهای ريجستری RUN و RUNSERVICES ، استفاده و اهداف خود را تامين نموده است . مجوزهای دستيابی پيش فرض در رابطه با کليدهای فوق ، امکان تغيير محتويات و يا حتی ايجاد محتويات جديد را در اختيار کاربران قرار می دهد.مثلا" می توان با اعمال تغييراتی خاص در رابطه با کليدهای فوق ، زمينه اجرای اسکريپت های خاصی را پس از ورود کاربران به شبکه و اتصال به سرويس دهنده بصورت تکراری فراهم نمود . ( پس از ورود کاربران به شبکه ، اسکريپت ها بصورت اتوماتيک اجراء خواهند شد ) . بدين منظور پيشنهاد می گردد که مجوزهای مربوط به کليدهای فوق بصورت جدول زير تنظيم گردد : ( پيشنهادات ارائه شده شامل کليدهای اساسی و مشخصی است که توسط ILOVEYOU استفاده و علاوه بر آن کليدهای اضافه ديگر را نيز شامل می شود) :

مجوزهای پيشنهادی	User / Groups	کليد ريجستری
Full Control Read, Write, Execute Full Control Full Control	Administrators Authenticated Users CREATOR OWNER SYSTEM	MACHINE\SOFTWARE\Microsoft\Windows کليدها و زير کليدها پارامترهای استفاده شده توسط زير سيستم های win32
Full Control Read, Execute Full Control	Administrators Authenticated Users SYSTEM	\MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run کليدها و زير کليدها شامل اسامی امورد نظر که در هر مرتبه راه اندازی سيستم ، اجراء خواهند شد.
Full Control Read, Execute Full Control	Administrators Authenticated Users SYSTEM	\MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\RunOnce کليدها و زير کليدها شامل نام برنامه ای که در اولين مرتبه ورود به شبکه کاربر ، اجراء می گردد.
Full Control Read, Execute Full Control	Administrators Authenticated Users SYSTEM	\MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\RunOnceEx کليدها و زير کليدها شامل اطلاعات پيکربندی برای برخی از عناصر سيستم و مرورگر. عملکرد آنان مشابه کليد RunOnce است.
Full Control Read, Execute Full Control Full Control	Administrators Authenticated Users CREATOR OWNER SYSTEM	\MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Shell Extensions کليدها و زير کليدها شامل تمام تنظيمات Shell Extebsion که از آنان بمنظور توسعه اينترفيس ويندوز NT استفاده می گردد.

بمنظور اعمال محدوديت در دستيابی به ريجستری ويندوز از راه دور ، پيشنهاد می گردد يک کليد ريجستری ايجاد و مقدار آن مطابق زير تنظيم گردد :

Hive: HKEY_LOCAL_MACHINE Key: \System\CurrentControlSet\Control\SecurePipeServers\winreg Name: RestrictGuestAccess Type: REG_DWORD Value: 1

پيشگيری نهم - رويکرد دوم : ايمن سازی اشياء پايه
ايمن سازی اشياء پايه باعث ممانعت کدهای مخرب در ابطه با اخذ مجوزها و امتيازات مديريتی توسط يک ( DLL(Dynamic lonk Library می گردد . بدون پياده سازی سياست امنيتی فوق ، کدها ی مخرب قادر به استقرار در حافظه و لود نمودن فايلی با نام مشابه بعنوان يک DLL سيستم و هدايت برنامه به آن خواهند بود. در اين راستا لازم است ، با استفاده از برنامه ويرايشگر ريجستری ، يک کليد ريجستری ايجاد و مقدار آن مطابق زير تنظيم گردد :

Hive: HKEY_LOCAL_MACHINE Key: \System\CurrentControlSet\Control\Session Manager Name: AdditionalBaseNamedObjectsProtectionMode Type: REG_DWORD Value: 1

پيشگيری نهم - رويکرد سوم : ايمن سازی دايرکتوری های سيستم
کاربران دارای مجوز لازم در خصوص نوشتن در دايرکتوری های سيستم ( winnt/system32 و winnt/system ) می باشند . کرم ILOVEYOU از وضعيت فوق ، استفاده و اهداف خود را دنبال نموده است . پيشنهاد می گردد ، کاربران تائيد شده صرفا" دارای مجوز Read دررابطه با دايرکتوری های و فايل ها ی مربوطه بوده و امکان ايجاد و يا نوشتن در دايرکتوری های سيستم، از آنها سلب گردد. در اين رابطه ، تنظيمات زير پيشنهاد می گردد :

مجوزهای پيشنهادی	User / Group	فايل / فولدر
Full Control Read, Execute Full Control Full Control	Administrators Authenticated Users CREATOR OWNER SYSTEM	%WINNT% فايل ها ، فولدرها شامل تعداد زيادی از فايل های اجرائی سيستم عامل
Full Control Read, Execute Full Control Full Control	Administrators Authenticated Users CREATOR OWNER SYSTEM	%WINNT/SYSTEM% فايل ها ، فولدرها شامل تعداد زيادی از فايل های DLL ، درايور و برنامه های اجرائی
Full Control Read, Execute Full Control Full Control	Administrators Authenticated Users CREATOR OWNER SYSTEM	%WINNT/SYSTEM32% فايل ها ، فولدرها شامل تعداد زيادی از فايل های DLL ، درايور و برنامه های اجرائی ( برنامه های سی و دو بيتی )

اينترنت چالش های جديدی را در عرصه ارتباطات ايجاد کرده است. کاربران اينترنت با استفاده از روش های متفاوت ،امکان ارتباط با يکديگر را بدست آورده اند .اينترنت زير ساخت مناسب برای ارتباطات نوين را فراهم و زمينه ای مساعد و مطلوب بمنظور بهره برداری از سرويس های ارتباطی توسط کاربران فراهم شده است . بدون شک ، پست الکترونيکی در اين زمينه دارای جايگاهی خاص است .
پست الکترونيکی، يکی از قديمی ترين و پرکاربردترين سرويس موجود در اينترنت است . شهروندان اينترنت، روزانه ميليون ها نامه الکترونيکی را برای يکديگر ارسال می دارند. ارسال و دريافت نامه الکترونيکی، روش های سنتی ارسال اطلاعات ( نامه های دستی ) را بشدت دستخوش تحول نموده و حتی در برخی از کشورها ،اغلب مردم تمايل به استفاده از نامه الکترونيکی در مقابل تماس تلفتی با همکاران و خويشاوندان خود دارند . در اين مقاله قصد نداريم به بررسی مزايای سيستم پست الکترونيکی اشاره نمائيم. در صورتيکه بپذيريم که سيستم پست الکترونيکی عرصه جديدی را در ارتباطات افراد ساکن در کره زمين ايجاد کرده است، می بايست بگونه ای حرکت نمائيم که از آسيب های احتمالی تکنولوژی فوق نيز در امان باشيم .
طی ساليان اخير، بدفعات شنيده ايم که شبکه های کامپيوتری از طريق يک نامه الکترونيکی آلوده و دچار مشکل و تخريب اطلاعاتی شده اند. صرفنظر از وجود نواقص امنيتی در برخی از محصولات نرم افزاری که در جای خود توليد کنندگان اين نوع نرم افزارها بمنظور استمرار حضور موفقيت آميز خود در عرصه بازار رقابتی موجود، می بايست مشکلات و حفره های امنيتی محصولات خود را برطرف نمايند ، ما نيز بعنوان استفاده کنندگان از اين نوع نرم افزارها در سطوح متفاوت ، لازم است با ايجاد يک سيستم موثر پيشگيرانه ضريب بروز و گسترش اين نوع حوادث را به حداقل مقدار خود برسانيم . عدم وجود سيستمی مناسب جهت مقابله با اين نوع حوادث ، می تواند مسائلی بزرگ را در يک سازمان بدنبال داشته که گرچه ممکن است توليدکننده نرم افزار در اين زمينه مقصر باشد ولی سهل انگاری و عدم توجه به ايجاد يک سيستم امنيتی مناسب ، توسط استفاده کنندگان مزيد بر علت خواهد بود ( دقيقا" مشابه عدم بستن کمربند ايمنی توسط سرنشين يک خودرو با نواقص امنيتی ) . در اين مقاله ، به بررسی روش های پيشگيری از تخريب اطلاعات در شبکه های کامپيوتری از طريق پست الکترونيکی پرداخته و با ارائه راهکارهای مناسب ، يک سيستم حفاظتی مطلوب پيشنهاد می گردد . در اين راستا ، عمدتا" بر روی برنامه سرويس گيرنده پست الکترونيکی ماکروسافت (Outlook) متمرکز خواهيم شد( بدليل نقش بارز و مشهود اين نوع از برنامه ها در جملات اينترنتی اخير) .
سيل ناگهانی حملات اينترنتی مبتنی بر کدهای مخرب، با ظهور کرم ILOVEYOU ، وارد عرصه جديدی شده است . سيتسم های مدرن پست الکترونيکی بمنظور مقابله با اين نوع از تهديدات ، تدابير لازم را در جهت ايجاد يک حفاظ امنيتی مناسب برای مقابله با عرضه و توزيع کدهای مخرب آغاز نموده اند .برنامه های سرويس گيرنده پست الکترونيکی متعلق به شرکت ماکروسافت ، هدفی جذاب برای اغلب نويسندگان کدهای مخرب می باشند . شايد يکی از دلايل آن ، گستردگی و مدل برنامه نويسی خاص بکارگرفته شده در آنان باشد . تاکنون کدهای مخرب فراوانی ، محصولات ماکروسافت را هدف قرار داده اند . عملکرد قدرتمند سه نوع ويروس ( و يا کرم ) در زمينه تخريب اطلاعات از طريق اينترنت ، شرکت ماکروسافت را وادار به اتخاذ تصميمات امنيتی خاص در اينگونه موارد نمود . اين ويروس ها عبارتند از :

• ويروس Melissa ، هدف خود را بر اساس يک فايل ضميمه Word مورد حمله ويرانگر قرار می دهد . بمحض باز نمودن فايل ضميمه ، کد مخرب بصورت اتوماتيک فعال می گردد .
• ويروس BubbleBoy ، همزمان با مشاهده ( پيش نمايش ) يک پيام ، اجراء می گردد . در اين رابطه ضرورتی به باز نمودن فايل ضميمه بمنظور فعال شدن و اجرای کدهای مخرب وجود ندارد . در ويروس فوق ، کدهای نوشته شده در بدنه نامه الکترونيکی قرار می گيرند . بدين ترتيب، بمحض نمايش پيام توسط برنامه مربوطه ، زمينه اجرای کدهای مخرب فراهم می گردد .
• کرم ILOVEYOU از لحاظ مفهومی شباهت زيادی با ويروس Mellisa داشته و بصورت يک فايل ضميمه همراه يک نامه الکترونيکی جابجا می گردد . در اين مورد خاص، فايل ضميمه خود را بشکل يک سند Word تبديل نکرده و در مقابل فايل ضميمه از نوع يک اسکريپت ويژوال بيسيک (vbs . ) بوده و بمحض فعال شدن، توسط ميزبان اسکريپت ويندوز (Windows Scripting Host :WSH) تفسير و اجراء می گردد .

پيشگيری ها
در اين بخش به ارائه پيشنهادات لازم در خصوص پيشگيری از حملات اطلاعاتی مبتنی بر سرويس گيرندگان پست الکترونيکی خواهيم پرداخت.رعايت موارديکه در ادامه بيان می گردد، بمنزله حذف کامل تهاجمات اطلاعاتی از اين نوع نبوده بلکه زمينه تحقق اين نوع حوادث را کاهش خواهد داد .

پيشگيری اول : Patch های برنامه پست الکترونيکی ماکروسافت
بدنبال ظهور کرم ILOVEYOU و ساير وقايع امنيتی در رابطه با امنيت کامپيوترها در شبکه اينترنت، شرکت ماکروسافت يک Patch امنيتی برای برنامه های outlook 98 و outlook 2000 عرضه نموده است . Patch فوق، با ايجاد محدوديت در رابطه با برخی از انواع فايل های ضميمه ، زمينه اجرای کدهای مخرب را حذف می نمايد . با توجه به احتمال وجود کدهای مخرب در فايل های ضميمه و ميزان مخرب بودن آنان، تقسيمات خاصی توسط ماکروسافت انجام گرفته است .فايل های ضميمه ای که دارای بيشترين احتمال تهديد برای سيستم های کامپيوتری می باشند ، سطح يک و فايل هائی با احتمال تخريب اطلاعاتی کمتر سطح دو ، ناميده شده اند. نحوه برخورد برنامه های سرويس گيرنده پست الکترونيکی با هر يک از سطوح فوق متفاوت است . اين نوع برنامه ها ، امکان اجرای کدهای موجود در فايل های ضميمه از نوع سطح يک را بلاک می نمايند. جدول زير انواع فايل ها ی موجود در سطح يک را نشان می دهد .

انشعاب	شرح
ade	Microsoft Access project extension
adp	Microsoft Access project
bas	Visual Basic class module
bat	Batch file
chm	Compiled HTML Help file
cmd	Windows NT Command script
com	MS-DOS program
cpl	Control Panel extension
crt	Security certificate
exe	Program
hlp	Help file
hta	HTML
inf	Setup Information
ins	Internet Naming Service
isp	Internet Communication settings
js	JScript Script file
jse	JScript Encoded Script file
lnk	Shortcut
mdb	Microsoft Access program
mde	Microsoft Access MDE database
msc	Microsoft Common Console document
msi	Windows Installer package
msp	Windows Installer patch
mst	Visual Test source files
pcd	Photo CD image
pif	Shortcut to MS-DOS program
reg	Registration entries
scr	Screen saver
sct	Windows Script Component
shs	Shell Scrap Object
url	Internet shortcut
vb	VBScript file
vbe	VBScript encoded script file

Patch فوق، در رابطه با ضمائمی که با نام سطح دو( مثلا" فايل هائی از نوع zip ) ، شناخته می شوند از رويکردی ديگر استفاده می نمايد . اين نوع ضمائم بلاک نمی گردند ولی لازم است که کاربر قبل از اجراء آنان را بر روی کامپيوتر خود ذخيره نمايد . بدين ترتيب در روند اجراء يک توقف ناخواسته بوجود آمده و زمينه فعال شدن ناگهانی آنان بدليل سهل انگاری ، حذف می گردد. در رابطه با اين نوع از فايل ها ، پيامی مشابه زير ارائه می گردد .

فايل هائی بصورت پيش فرض درسطح دو ، وجود نداشته و مديرسيستم می تواند فايل هائی با نوع خاص را اضافه نمايد (در رابطه با فايل های سطح يک نيز امکان حذف و يا افزودن فايل هائی وجود دارد ) . در زمان تغيير نوع فايل های سطح يک و دو، می بايست به دو نکته مهم توجه گردد : عمليات فوق، صرفا" برای کاربرانی که به سرويس دهنده پست الکترونيکی Exchange متصل هستند امکان پذير بوده و کاربرانی که از فايل ها ی pst . برای ذخيره سازی پيام های الکترونيکی خود استفاده می نمايند را شامل نمی شود. قابليت تغيير تعاريف ارائه شده سطح يک و دو، می تواند بعنوان يک رويکرد مضاعف در رابطه با سياست های امنيتی محلی، مورد استفاده قرار گيرد . مثلا" می توان با استفاده از ويژگی فوق، فايل های با انشعاب doc . ( فايل های word) را به ليست فايل های سطح يک اضافه کرد. برای انجام تغييرات مورد نظر در نوع فايل ضميمه تعريف شده در سطح يک ، می بايست مراحل زير را دنبال نمود :

• برنامه Regedit.exe را اجراء نمائيد .
• کليد HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Security key را انتخاب نمائيد . ( در صورتيکه کليد فوق وجود ندارد می بايست آن را ايجاد کرد ) .
• از طريق منوی Edit دستور New و در ادامه String Value انتخاب گردد .
• نام جديد را Level1AttachmentAdd منظور نمائيد.
• گزينه new Level1AttachmentAdd value را انتخاب و دکمه Enter را فعال نمائيد .
• يک رشته شامل انشعاب فايل های مورد نظر را که قصد اضافه کردن آنها را داريم ، وارد نمائيد ( هر يک از انشعاب فايل ها توسط ";" از يکديگر تفکيک می گردند )

Example: Name: Level1AttachmentAdd Type: REG_SZ Data: doc;xls

در زمان بازنمودن فايل های ضميمه ای که از نوع سطح يک و يا دو نمی باشند( فايل های آفيس نظير Word ,Powerpoint بجزء فايل های مربوط به Access ) ، پيامی مطابق شکل زير ارائه و کاربران دارای حق انتخاب بمنظور فعال نمودن ( مشاهده ) فايل ضميمه و يا ذخيره آن بر روی کامپيوتر را دارند . پيشنهاد می گردد که در چنين مواردی فايل ذخيره و پس از اطمينان از عدم وجود کدهای مخرب ، فعال و مشاهده گردد . در اين رابطه می توان از ابزارهای موجود استفاده کرد .

 

Patch فوق، همچنين امکان دستيابی به دفترچه آدرس Outlook را از طريق مدل شی گراء Outlook و CDO)Collaborative Data Objects) ، توسط کدهای برنامه نويسی کنترل می نمايد .بدين ترتيب، پيشگيری لازم در مقابل کدهای مخربی که بصورت خودکار و تکراری اقدام به تکثير نسخه هائی از خود برای ليست افراد موجود در دفترچه آدرس می نمايند ، انجام خواهد يافت . Patch فوق، صرفا" برای نسخه های Outlook 98 و outlook 2000 ارائه شده است ( برای نسخه های قبلی و يا Outlook Express نسخه مشابهی ارائه نشده است ) .

پيشگيری دوم : استفاده از نواحی امنيتی Internet Explorer
سرويس گيرندگان Outlook 98/2000 و Outlook Express 4.0/5.0 امکان استفاده از مزايای نواحی (Zones) امنيتی مرورگر IE را بمنظور حفاظت در مقابل کدهای مخرب ( کنترل های ActiveX ، جاوا و يا اسکريپت ها ) موجود در بدنه پيام ها ،خواهند داشت . مرورگر IE ، امکان اعمال محدوديت در اجرای کدها را بر اساس چهار ناحيه فراهم می نمايد . قبل از پرداختن به نحوه استفاده از تنظيمات فوق توسط برنامه outlook ، لازم است که به کاربرد هر يک ازنواحی در مرورگر IE ، اشاره گردد :

• Local Intranet zone . ناحيه فوق، شامل آدرس هائی است که قبل از فايروال سازمان و يا سرويس دهنده Proxy قرار می گيرند . سطح امنيتی پيش فرض برای ناحيه فوق ، " medium -low" است .
• Trusted Sites zone . ناحيه فوق، شامل سايت هائی است که مورد اعتماد می باشند . ( سايت هائی که شامل فايل هائی بمنظور تخريب اطلاعاتی نمی باشند ) . سطح امنيتی پيش فرض برای ناحيه فوق، " low" است .
• Restricted Sites zone . ناحيه فوق، شامل ليست سايت هائی است که مورد اعتماد و تائيد نمی باشند . ( سايت هائی که ممکن است دارای محتوياتی باشند که در صورت دريافت و اجرای آنها ، تخريب اطلاعات را بدنبال داشته باشد ) .سطح امنيتی پيش فرض برای ناحيه فوق ،" high" است .
• Internet zone . ناحيه فوق ، بصورت پيش فرض شامل هرچيزی که بر روی کامپيوتر و يا اينترانت موجود نمی باشد ، خواهد بود . سطح امنيتی پيش فرض برای ناحيه فوق، " medium " است .

برای هر يک از نواحی فوق، می توان يک سطح امنيتی بالاتر را نيز تعريف نمود. ماکروسافت در اين راستا سياست هائی با نام : low , medium-low , medium و high را تعريف کرده است . کاربران می توانند هر يک از پيش فرض های فوق را انتخاب و متناسب با نياز خود آنان را تغيير نمايند .
برنامه outlook می تواند از نواحی فوق استفاده نمايد . در اين حالت کاربر قادر به انتخاب دو ناحيه ( Internet zone و Restricted Zone ) خواهد بود .

 

تنظيمات تعريف شده برای ناحيه انتخاب شده در رابطه با تمام پيام های outlook اعمال خواهد شد . پيشنهاد می گردد ناحيه restricted انتخاب گردد . بدين منظور گزينه Tools/Options و در ادامه گزينه Security را انتخاب نموده و از ليست مربوطه ناحيه Restricted sites را انتخاب نمائيد. در ادامه و بمنظور انجام تنظيمات مورد نظر ، دکمه Zone Settings را فعال و گزينه Custom Level را انتخاب نمائيد . تغييرات اعمال شده در زمان استفاده از برنامه مرورگر برای دستيابی به وب سايت ها نيز مورد توجه قرار خواهند گرفت . پيشنهادات ارائه شده مختص برنامه IE 5.5 بوده و در نسخه های 5 و 4 نيز از امکانات مشابه با اندکی تغييرات استفاده می گردد. در اين رابطه تتظيمات زير پيشنهاد می گردد :

گزينه	وضعيت
Download signed ActiveX controls	DISABLE
Download unsigned ActiveX controls	DISABLE
Initialize and script ActiveX controls not marked as safe	DISABLE
Run ActiveX controls and plug-ins	DISABLE
Script ActiveX controls marked safe for scripting	DISABLE
Allow per-session cookies (not stored)	DISABLE
File download	DISABLE
Font download	DISABLE
Java permissions	DISABLE JAVA
Access data sources across domains	DISABLE
Don�t prompt for client certificate selection when no certificates or only one certificate exists	DISABLE
Drag and drop or copy and paste files	DISABLE
Installation of desktop items	DISABLE
Launching programs within an IFRAME	DISABLE
Navigate sub-frames across different domains	DISABLE
Software channel permissions	HIGH SAFETY
Submit nonencrypted form data	DISABLE
Userdata persistence	DISABLE
Active scripting	DISABLE
Allow paste operations via script	DISABLE
Scripting of Java Applets	DISABLE
Logon	Anonymous logon

در بخش اول اين مقاله به چالش های سازمانها و موسسات برای حرکت بسمت يک سازمان مدرن اطلاعاتی اشاره و پس از بررسی اهميت ايمن سازی اطلاعات بر لزوم تدوين يک استراتژی امنيتی تاکيد گرديد . در اين زمينه به انواع حملات اطلاعاتی نيز اشاره و مشخصات هر يک از آنان توضيح داده شد . در اين بخش ، به بررسی عناصر اساسی در استراتژی پيشنهادی يعنی انسان ، تکنولوژی و عمليات خواهيم پرداخت .
ايمن سازی اطلاعات
توفيق در ايمن سازی اطلاعات منوط به حفاظت از اطلاعات و سيستم های اطلاعاتی در مقابل حملات است . بدين منظور از سرويس های امنيتی متعددی استفاده می گردد. سرويس های انتخابی ، می بايست پتانسيل لازم در خصوص ايجاد يک سيستم حفاظتی مناسب ، تشخيص بموقع حملات و واکنش سريع را داشته باشند. بنابراين می توان محور استراتژی انتخابی را بر سه مولفه حفاظت ، تشخيص و واکنش استوار نمود . حفاظت مطمئن ، تشخيص بموقع و واکنش مناسب از جمله مواردی است که می بايست همواره در ايجاد يک سيستم امنيتی رعايت گردد. سازمان ها و موسسات، علاوه بر يکپارچگی بين مکانيزم های حفاظتی ، می بايست همواره انتظار حملات اطلاعاتی را داشته و لازم است خود را به ابزارهای تشخيص و روتين های واکنش سريع ، مجهز تا زمينه برخورد مناسب با مهاجمان و بازيافت اطلاعات در زمان مناسب فراهم گردد . يکی از اصول مهم استراتژی "دفاع در عمق" ، برقراری توازن بين سه عنصر اساسی : انسان، تکنولوژی و عمليات ، است . حرکت بسمت تکنولوژی اطلاعات بدون افراد آموزش ديده و روتين های عملياتی که راهنمای آنان در نحوه استفاده و ايمن سازی اطلاعات باشد ، محقق نخواهد شد .
انسان
موفقيت در ايمن سازی اطلاعات با پذيرش مسئوليت و حمايت مديريت عالی يک سازمان ( معمولا" در سطح مديريت ارشد اطلاعات ) و بر اساس شناخت مناسب از تهاجمات ، حاصل می گردد. نيل به موفقيت با پيگيری سياست ها و روتين های مربوطه ، تعيين وظايف و مسئوليت ها ، آموزش منابع انسانی حساس ( کاربران، مديران سيستم ) و توجيه مسئوليت های شخصی کارکنان ، حاصل می گردد.در اين راستا لازم است يک سيستم امنيتی فيزيکی و شخصی بمنظور کنترل و هماهنگی در دستيابی به هر يک از عناصر حياتی در محيط های مبتنی بر تکنولوژی اطلاعات ، نيز ايجاد گردد . ايمن سازی اطلاعات از جمله مواردی است که می بايست موفقيت خود را در عمل و نه در حرف نشان دهد . بنابراين لازم است که پس از تدوين سياست ها و دستورالعمل های مربوطه ، پيگيری مستمر و هدفمند جهت اجرای سياست ها و دستورالعمل ها ، دنبال گردد. بهترين استراتژی تدوين شده در صورتيکه امکان تحقق عملی آن فراهم نگردد ، ( سهوا" و يا عمدا") ، هرگز امتياز مثبتی را در کارنامه خود ثبت نخواهد کرد .
با توجه به جايگاه خاص منابع انسانی در ايجاد يک محيط ايمن مبتنی بر تکنولوژی اطلاعات ، لازم است به موارد زير توجه گردد :

• تدوين سياست ها و رويه ها
• ارائه آموزش های لازم جهت افزايش دانش
• مديريت سيستم امنيتی
• امنيت فيزيکی
• امنيت شخصی
• تدابير لازم در خصوص پيشگيری

تکنولوژی
امروزه از تکنولوژی ها ی متعددی بمنظور ارائه سرويس های لازم در رابطه با ايمن سازی اطلاعات و تشخيص مزاحمين اطلاعاتی، استفاده می گردد. سازمان ها و موسسات می بايست سياست ها و فرآيندهای لازم بمنظور استفاده از يک تکنولوژی را مشخص تا زمينه انتخاب و بکارگيری درست تکنولوژی در سازمان مربوطه فراهم گردد. در اين رابطه می بايست به مواردی همچون : سياست امنيتی ، اصول ايمن سازی اطلاعات، استانداردها و معماری ايمن سازی اطلاعات ، استفاده از محصولات مربوط به ارائه دهندگان شناخته شده و خوش نام ، راهنمای پيکربندی ، پردازش های لازم برای ارزيابی ريسک سيستم های مجتمع و بهم مرتبط ، توجه گردد . در اين رابطه موارد زير ،پيشنهاد می گردد :

• دفاع در چندين محل . مهاجمان اطلاعاتی( داخلی و يا خارجی ) ممکن است ، يک هدف را از چندين نفطه مورد تهاجم قرار دهند. در اين راستا لازم است سازمان ها و موسسات از روش های حفاظتی متفاوت در چندين محل ( سطح ) استفاده ، تا زمينه عکس العمل لازم در مقابل انواع متفاوت حملات ، فراهم گردد . در اين رابطه می بايست به موارد زير توجه گردد :
  ◄ دفاع از شبکه ها و زير ساخت . در اين رابطه لازم است شبکه های محلی و يا سراسری حفاظت گردند . ( حفاظت در مقابل حملات اطلاعاتی از نوع عدم پذيرش خدمات )
  ◄ حفاظت يکپارچه و محرمانه برای ارسال اطلاعات در شبکه ( استفاده از رمزنگاری و کنترل ترافيک بمنظور واکنش در مقابل مشاهده غيرفعال )
  ◄ دفاع در محدوده های مرزی . ( بکارگيری فايروال ها و سيستم های تشخيص مزاحمين بمنظور واکنش در مقابل حملات اطلاعاتی از نوع فعال )
  ◄ دفاع در محيط های محاسباتی ( کنترل های لازم بمنظور دستيابی به ميزبان ها و سرويس دهنده بمنظور واکنش لازم در مقابل حملات از نوع خودی، توزيع و مجاور ) .
• دفاع لايه ای . بهترين محصولات مربوط به ايمن سازی اطلاعات دارای نقاط ضعف ذاتی ، مربوط به خود می باشند. بنابراين همواره زمان لازم در اختيار مهاجمان اطلاعاتی برای نفوذ در سيستم های اطلاعاتی وجود خواهد داشت.بدين ترتيب لازم است قبل از سوءاستفاده اطلاعاتی متجاوزان، اقدامات مناسبی صورت پذيرد. يکی از روش های موثر پيشگيری در اين خصوص ، استفاده از دفاع لايه ای در مکان های بين مهاجمان و اهداف مورد نظر آنان ،می باشد . هر يک از مکانيزم های انتخابی ، می بايست قادر به ايجاد موانع لازم در ارتباط با مهاجمان اطلاعاتی ( حفاظت ) و تشخيص بموقع حملات باشد . بدين ترتيب امکان تشخيص مهاجمان اطلاعاتی افزايش و از طرف ديگر شانس آنها بمنظور نفوذ در سيستم و کسب موفقيت، کاهش خواهد يافت . استفاده از فايروال های تودرتو ( هر فايروال در کنار خود از يک سيستم تشخيص مزاحمين ، نيز استفاده می نمايد) در محدوده های داخلی و خارجی شبکه ، نمونه ای از رويکرد دفاع لايه ای است . فايروال های داخلی ممکن است امکانات بيشتری را در رابطه با فيلتر سازی داده ها و کنترل دستيابی به منابع موجود ارائه نمايند . جدول زير رويکردهای ديگر بمنظور تحقق دفاع لايه ای را نشان می دهد .

سطح دوم	سطح اول دفاع	نوع تهاجم
برنامه های مبتنی بر امنيت	لايه ارتباطی و شبکه رمزنگاری امنيت ترافيک شبکه	غير فعال
دفاع محيط محاسباتی	دفاع در محدوده های بسته ( حفاظتی )	فعال
کنترل و بررسی دقيق دستيابی	امنيت فيزيکی و شخصی	مجاور
نظارت وپيشگيری فنی	امنيت فيزيکی و شخصی	خودی
کنترل های يکپارچگی زمان اجراء	نرم افزارهای مطمئن ( پياده سازی ، توزيع )	توزيع

• تعيين ميزان اقتدار امنيتی هر يک از عناصر موجود در ايمن سازی اطلاعات (چه چيزی حفاظت شده و نحوه برخورد با تهاجم اطلاعاتی در محلی که از عنصر مربوطه استفاده شده ، به چه صورت است ؟) . پس از سنجش ميزان اقتدار امنيتی هر يک از عناصر مربوطه ، می توان از آنان در جايگاهی که دارای حداکثر کارآئی باشند ، استفاده کرد . مثلا" می بايست از مکانيزم های امنيتی مقتدر در محدوده های مرزی شبکه استفاده گردد .
• استفاده از مديريت کليد مقتدر و زير ساخت کليد عمومی، که قادر به حمايت از تمام تکنولوژی های مرتبط با ايمن سازی اطلاعات بوده و دارای مقاومت مطلوب در مقابل يک تهاجم اطلاعاتی باشد.
• بکارگيری زيرساخت لازم بمنظور تشخيص مزاحمين ، آناليز و يکپارچگی نتايج بمنظور انجام واکنش های مناسب در رابطه با نوع تهاجم . زير ساخت مربوطه می بايست به پرسنل عملياتی، راهنمائی لازم در مواجه با سوالاتی نظير : آيا من تحت تهاجم اطلاعاتی قزار گرفته ام ؟ منبع تهاجم چه کسی می باشد ؟ به چه فرد ديگری تهاجم شده است ؟ راه حل ها و راهکارهای من در اين رابطه چيست ؟ ، را ارائه نمايد.

عمليات
منظور از عمليات ، مجموعه فعاليت های لازم بمنظور نگهداری وضعيت امنيتی يک سازمان است . در اين رابطه لازم است ، به موارد زير توجه گردد :

• پشتيبانی ملموس و بهنگام سازی سياست های امنيتی
• اعمال تغييرات لازم با توجه به روند تحولات مرتبط با تکنولوژی اطلاعات. در اين رابطه می بايست داده های مورد نظر جمع آوری تا زمينه تصميم سازی مناسب برای مديريت فراهم گردد ( تامين اطلاعات ضروری برای مديريت ريسک ) .
• مديريت وضعيت امنيتی با توجه به تکنولوژی های استفاده شده در رابطه ايمن سازی اطلاعات ( نصب Patch امنيتی، بهنگام سازی ويروس ها ، پشتيبانی ليست های کنترل دستيابی )
• ارائه سرويس های مديريتی اساسی و حفاظت از زيرساخت های مهم ( خصوصا" زير ساخت هائی که برای يک سازمان ختم به درآمد می گردد ) .
• ارزيابی سيستم امنيتی
• هماهنگی و واکنش در مقابل حملات جاری
• تشخيص حملات و ارائه هشدار و پاسخ مناسب بمنظور ايزوله نمودن حملات و پيشگيری از موارد مشابه
• بازيافت و برگرداندن امور به حالت اوليه (بازسازی )

نمونه هائی از حملات اينترنتی توسط نامه های الکترونيکی
بمنظور بررسی نقاط آسيب پذير و نحوه انتشار ويروس های کامپيوتری با استفاده از کدهای مخرب ،عملکرد سه ويروس را مورد بررسی قرار می دهيم . هدف از بررسی فوق استفاده از تجارب موجود و اتخاذ راهکارهای مناسب بمنظور پيشگيری از موارد مشابه است .آناليز دقيق رفتار هر يک از ويروس ها و نحوه مقابله و يا آسيب زدائی آنان از حوصله اين مقاله خارج بوده و هدف ، صرفا" نشان دادن تاثير نقاط آسيب پذير در يک تهاچم اطلاعاتی بمنظور تخريب اطلاعات و منابع موجود در يک شبکه کامپيوتری ( اينترانت ، اينترنت ) و نقش کاربران در اين زمينه است .

بررسی عملکرد کرم ILOVEYOU
کرم فوق ، در يک اسکريپت ويژوال بيسيک و بصورت فايلی ضميمه در يک نامه الکترونيکی عرضه می گردد .همزمان با بازنمودن فايل ضميمه توسط کاربران، زمينه فعال شدن کرم فوق، فراهم خواهد شد . عملکرد اين کرم ، بصورت زير است :

• نسخه هائی از خود را در فولدر سيستم ويندوز با نام MSKernel32.vbs و LOVE-LETTER-FOR-YOU.vbs تکثير می نمايد.
• نسخه ای از خود را در فولدر ويندوز و با نام Win32DLL.vbs تکثير می نمايد .
• اقدام به تغيير مقادير دو کليد ريجستری زير می نمايد .کليدهای فوق، باعث فعال نمودن ( فراخوانی ) کرم ، پس از هر بار راه انداری سيستم می گردند .

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Run\MSKernel32 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\RunService\Win32DLL

• در ادامه، بررسی می گردد که آيا دايرکتوری سيستم شامل فايل WinFAT32.exe است؟ در صورت وجود فايل فوق( نشاندهنده ويندوز 95 و 98 )، صفحه آغاز برنامه مرورگر اينترنت( IE ) ، به فايل WIN-BUGFIX.exe بر روی سايت www.skyinet.net تبديل می گردد . فايل فوق از يکی از دايرکتوری های موجود در سايت فوق با نام angelcat , chu , koichi دريافت خواهد شد . پس از فعال شدن مرورگر اينترنت ( در زمان آتی ) ، صفحه آغاز ، آدرس فايل مورد نظر را از راه دور مشخص وبدين ترتيب فايل از سايت skyinet اخذ می گردد . کليد ريجستری صفحه آغاز، در آدرس زير قرار می گيرد .

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page

• ما قادر به دستيابی به www.skyinet.net ، بمنظور اخذ يک نسخه از فايل فوق نمی باشيم . با پيگيری انجام شده بر روی اينترنت مشخص شده است که برنامه فوق ، ممکن است آژانسی بمنظور جمع آوری رمزهای عبور و ارسال آنها به يک سايت مرکزی از طريق پست الکترونيکی باشد .

• ILOVEYOU در ادامه بررسی می نمايد که آيا ماشين را آلوده کرده است؟ بدين منظور در دايرکتوری مربوط به اخذ فايل ها (Download directory) ، بدنبال فايل WIN-BUGFIX.exe می گردد . در صورتيکه فايل فوق پيدا گردد ، کدهای مخرب ، يک کليد RUN را بمنظور فراخوانی WIN-BUGFIX.exe از دايرکتوری مربوطه فعال می نمايند .نشانه گويای اين کليد ريجستری، بصورت زير است :

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\WINBUGFIX

• ILOVEYOU در ادامه ، يک فايل با نام LOVE-LETTER-FOR-YOU.HTM در دايرکتوری سيستم ايجاد می نمايد .فايل Htm ، شامل منطق VBScript بوده که به نسخه مربوطه vbs ارتباط خواهد داشت .
• کدهای مخرب در ادامه ، از طريق نامه الکترونيکی برای افراديکه در ليست دفترچه آدرس مربوط به کاربر می باشند،اشاعه و توزيع می شوند . برای هر شخص موجود در دفترچه آدرس، يک پيام الکترونيکی ايجاد و يک نسخه از فايل LOVE-LETTER-FOR-YOU.vbs قبل از ارسال به آن ضميمه می گردد. پس ازارسال پيام برای تمام افراد موجود در ليست دفترچه آدرس، ILOVEYOU برروی تمام درايوهای موجود در کامپيوتر ، عمليات خود را تکرار می نمايد . درصورتيکه درايو يک درايو شناخته شده ( نظير هارد و يا CDROM ) باشد ، در تمام زيرفهرست های موجود در درايو مربوطه ، عمليات جستجو برای يافتن فايل های با انشعاب vbs , vbe , sct , hta jpg , jpeg . انجام خواهد شد . تمامی فايل ها ی با انشعابات فوق، توسط کدهای مخرب بازنويسی و يک نسخه از کدهای مخرب در آنها قرار خواهد گرفت .
• در صورتيکه فايلی از نوع mp2 و يا mp3 پيدا گردد، يک نسخه از کدهای مخرب در فايلی با انشعاب vbs ايجاد و در دايرکتوری مربوطه مستقر می گردد . نام فايل به نام دايرکتوری بستگی داشته و دارای انشعاب vbs است .
• در صورتيکه ILOVEYOU فايلی با نام micr32.exe , mlink.exe mric.ini و يا mirc.hlp را پيدا نمايد، فرض را بر اين خواهد گذاشت که فهرست مربوطه ، يک دايرکتوری شروع IRC)Internet Relay Chat) است وفايلی با نام Script.ini را ايجاد و در محل مربوطه قرار خواهد داد . اسکريپت فوق، زمانيکه برنامه سرويس گيرنده IRC اجراء گردد، شروع به فعاليت نموده و اقدام به ارسال کدهای مخرب برای تمام کامپيوترهائی که با ميزبان آلوده يک ارتباط IRC ايجاد نموده اند ، خواهد کرد .

بررسی عملکرد ويروس Melissa
Melissa يک ويروس در ارتباط با فايل های Word97 و Word2000 بوده که امکان توزيع آن توسط برنامه Microsoft Outlook فراهم می گردد . ويروس فوق، نسخه هائی از خود را با سرعت بسيار زياد برای کاربران توزيع می نمايد . نحوه انتشار و گسترش ويروس فوق ، مشابه بروز يک حريق بزرگ در سيستم های پست الکترونيکی در يک سازمان و اينترنت بوده که آسيب های فراوانی را بدنبال خواهد داشت . اين ويروس با نام Mellissa ويا W97M/Melissa (نام کلاسی که شامل ماکرو ويروس است) ناميده می شود. ويروس فوق، با استفاده از VBA)Visual Basic for Application) سندهای ايجاد شده توسط Microsoft word را آلوده می نمايد.( VBA يک زبان مبتنی بر اسکريپت بوده که امکان استفاده از آن در مجموعه برنامه های آفيس وجود دارد). ويروس فوق سه عمليات اساسی را انجام می دهد :

• Word را آلوده و در ادامه تمام سندهای فعال شده word را نيز آلوده و.بدين ترتيب امکان توزيع و گسترش آن فراهم می گردد .
• باعث بروز برخی تغييرات در تنظيمات سيستم بمنظور تسهيل در ماموريت خود ( آلودگی اطلاعات ) می گردد .
• با استفاده از برنامه Microsoft Outlook و در ظاهر يک پيام دوستانه ، نمونه هائی از خود را به مقصد آدرس های متعدد، ارسال می نمايد.

زمانيکه يک فايل Word آلوده به ويروس Melissa فعال می گردد،Melissa به تمپليت سند NORMAL.DOT نيز سرايت می گردد. محل فوق،مکانی است که Word تنظيمات خاص و پيش فرض در ارتباط با ماکروها را ذخيره می نمايد . Melissa ، با تکثير خود درون NORMAL.DOT برنامه نصب شده Word را آلوده و بدين ترتيب هر سند و يا تمپليتی که ايجاد می گردد، ويروس به آن اضافه خواهد شد. بنابراين در موارديکه يک سند فعال و يا غيرفعال می گردد ، زمينه اجرای ويروس فراهم خواهد شد . در صورتيکه کليد ريجستری زيردر کامپيوتری وجود داشته باشد، نشاندهنده آلودگی سيستم به ويروس Melissa است . مقدار کليد ريجستری فوق " by Kwyjibo..." است .

HKEY_CURRENT_USER\Software\Microsoft\Office\Melissa

بررسی عملکرد ويروس BubbleBoy
BubbleBoy يک کرم مبتنی بر اسکريپت در يک نامه الکترونيکی بوده که از نقاط آسيب پذير IE 5.0 استفاده و باعث آسيب سيستم های مبتنی بر ويندوز 98 و 2000 می گردد . کرم فوق بصورت Html در يک پيام الکترونيکی قرار می گيرد. در زمان مشاهده نامه های الکترونيکی با استفاده از برنامه Outlook Expree بصورت حتی پيش نمايش ، زمينه فعال شدن کرم فوق فراهم خواهد شد . در صورتيکه از برنامه Microsoft Outlook استفاده می گردد، پس از فعال شدن( باز شدن ) نامه الکترونيکی، زمينه اجرای آن فراهم خواهد شد .کرم فوق با استفاده از VBScript نوشته شده و پس از فراهم شدن شرايط لازم برای اجراء ، فايلی با نام UPDATW.HTA را در دايرکتوری Startup ويندوز ايجاد می نمايد . فايل فوق تغييرات زير رادر ريجستری سيستم ، انجام خواهد داد :

• تغيير Registered owner به BubbleBoy
• تغيير Registered organization به Vandelay Industries

کرم فوق درادامه اقدام به تکثير خود از طريق يک نامه الکترونيکی به تمام افراد موجود در ليست دفترچه آدرس برنامه Outlook Express می نمايد . علت انتشار و اجرای کرم فوق بدليل وجود نقص امنيتی در تکنولوژی ActiveX ماکروسافت است . اشکال فوق به عناصر scriplet , typelib و Eyedog در ActiveX ، مربوط می گردد . عناصر فوق بعنوان المان های امين و تائيد شده در نظر گرفته شده و اين امکان به آنها داده خواهد شد که کنترل عمليات را بر اساس حقوق کاربران بر روی ماشين مربوطه انجام دهند . ماکروسافت بمنظور مقابله با مشکل فوق اقدام به عرضه يک Patch امنيتی برای برنامه IE نموده است .

خلاصه
همانگونه که حدس زده ايد،وجود نواقص امنيتی در محصولات نرم افزاری يکی از مهمترين دلايل توزيع و گسترش ويروس در شبکه های کامپيوتری است . برنامه های Outlook Express و Microsoft Outlook نمونه هائی در اين زمينه بوده که عموما" از آنها برای دريافت و ارسال نامه های الکترونيکی استفاده می گردد . دستيابی به دفترچه آدرس از طريق کدهای برنامه نويسی و هدايت سيستم بسمت ارسال نامه های الکترونيکی آلوده به مقصد های قانونی ( با توجه به وجود آدرس های معتبر در هر يک از دفترچه های آدرس ) از علل مهم در توزيع و گسترش اين نوع از ويروس های کامپيوتری محسوب می گردد . تعلل يک کاربر در شبکه مبنی بر عدم رعايت موارد ايمنی خصوصا" در رابطه با فعال نمودن و مشاهده نامه های الکترونيکی آلوده ، نه تنها باعث صدمه اطلاعاتی برای کاربر و يا سازمان مربوطه وی می گردد ، بلکه کاربر فوق، خود بعنوان ابزاری ( غير مستقيم ) برای توزيع و گسترش ويروس در شبکه تبديل شده است . امنيت در شبکه های کامپيوتری فرآيندی مستمر است که می بايست توسط تمام کاربران صرفنظر از موقعيت عملياتی و شغلی در يک سازمان رعايت گردد. ما در رابطه با سازمان خود چه تدابيری را انديشيده و کاربران شبکه تا چه ميزان نسبت به عملکرد خود توجيه و تاثيررفتار غير امنيتی خود در تمام شبکه را می دانند ؟ در صورتيکه يکی از مسافران يک پرواز هواپيمائی مسائل ايمنی را در رابطه با پرواز رعايت ننمايد و از اين بابت به ساير مسافران موجود در پرواز صدمه ( جانی ،روحی ، مالی و ... ) وارد گردد ، مقصر کيست ؟ در صورتيکه دامنه صدمات احتمالی ،سازمان ارائه دهنده خدمات پرواز را نيز شامل گردد مقصر کيست ؟ چه کاری می توانستيم انجام دهيم که احتمال بروز چنين مسائلی را کاهش و حتی حذف نمائيم ؟ وجود نقص امنيتی در منابع سخت افزاری و نرم افزاری پرواز نيز در جای خود می تواند شرايط مساعدی را برای صدمات احتمالی فراهم نمايد .
بهرحال عملکرد نادرست کاربران موجود در يک شبکه کامپيوتری ، تاثير مستقيمی بر عملکرد تمام سيستم داشته و لازم است قبل از بروز حوادث ناگوار اطلاعاتی ، تدابير لازم اتخاذ گردد ! . امنيت در يک شبکه کامپيوتری مشابه ايجاد يک تابلوی نقاشی است که نقاشان متعددی برای خلق آن با يکديگر تشريک مساعی می نمايند. در صورتيکه يکی از نقاشان در اين زمينه تعلل ( سهوا" و يا عمدا" ) نمايد، قطعا" اثر هنری خلق شده ( در صورتيکه خلق شود ! ) آنچيزی نخواهد بود که می بايست باشد !

مقدمه
اطلاعات در سازمان ها و موسسات مدرن، بمنزله شاهرگ حياتی  محسوب می گردد . دستيابی به اطلاعات و عرضه مناسب و سريع آن، همواره مورد توجه سازمان هائی است که اطلاعات در آنها دارای نقشی محوری و سرنوشت ساز است . سازمان ها و موسسات می بايست يک زير ساخت مناسب اطلاعاتی را  برای خود ايجاد و در جهت انظباط اطلاعاتی در سازمان خود حرکت نمايند . اگر می خواهيم ارائه دهنده اطلاعات در عصر اطلاعات بوده و  صرفا" مصرف کننده اطلاعات نباشيم ، در مرحله نخست می بايست فرآيندهای توليد ،عرضه و استفاده از اطلاعات را در سازمان خود  قانونمد نموده و در مراحل بعد ، امکان استفاده از اطلاعات ذيربط را برای متقاضيان ( محلی،جهانی )  در سريعترين زمان ممکن فراهم نمائيم . سرعت در توليد و عرضه اطلاعات ارزشمند ، يکی از رموز موفقيت سازمان ها و موسسات در عصر اطلاعات است . پس از ايجاد انظباط اطلاعاتی، می بايست با بهره گيری از شبکه های کامپيوتری زمينه استفاده قانومند و هدفمند از اطلاعات  را برای سايرين فراهم کرد . اطلاعات ارائه شده می تواند بصورت محلی ( اينترانت ) و يا جهانی ( اينترنت )  مورد استفاده قرار گيرد . فراموش نکنيم در اين هنگامه اطلاعاتی، مصرف کنندگان اطلاعات دارای حق مسلم انتخاب می باشند و در صورتيکه سازمان و يا موسسه ای در ارائه اطلاعات سهوا" و يا تعمدا" دچار اختلال و يا مشکل گردد ، دليلی بر توقف عملکرد مصرف کنندگان اطلاعات  تا بر طرف نمودن مشکل ما ، وجود نخواهد داشت . سازمان ها و موسسات می بايست خود را برای نبردی سخت در عرضه و ارائه اطلاعات آماده نمايند و در اين راستا علاوه بر پتانسيل های سخت افزاری و نرم افزاری استفاده شده ، از تدبير و دورانديشی فاصله نگيرند . در ميدان عرضه و ارائه اطلاعات ، کسب موفقيت نه بدليل ضعف ديگران بلکه بر توانمندی ما استوار خواهد بود. مصرف کنندگان اطلاعات، قطعا" ارائه دهندگان اطلاعاتی را برمی گزيند که نسبت به توان و پتانسيل آنان اطمينان حاصل کرده باشند . آيا سازمان ما در عصر اطلاعات به پتانسيل های لازم در اين خصوص دست پيدا کرده است ؟ آيا در سازمان ما بستر و ساختار مناسب اطلاعاتی ايجاد شده است ؟ آيا گردش امور در سازمان ما مبتنی بر يک سيستم اطلاعاتی مدرن است ؟ آيا سازمان ما قادر به تعامل اطلاعاتی با ساير سازمان ها است ؟ آيا در سازمان ما نقاط تماس اطلاعاتی با دنيای خارج از سازمان تدوين شده است ؟  آيا فاصله توليد و استفاده از اطلاعات در سازمان ما به حداقل مقدار خود رسيده است ؟ آيا اطلاعات قابل عرضه  سازمان ما ، در سريعترين زمان و با کيفيتی مناسب در اختيار  مصرف کنندگان متقاضی قرار می گيرد ؟ حضور يک سازمان  در عرصه جهانی ، صرفا"  داشتن يک وب سايت با اطلاعات ايستا نخواهد بود . امروزه ميليون ها وب سايت بر روی اينترنت وجود داشته که هر روز نيز به تعداد آنان افزوده می گردد . کاربران اينترنت برای پذيرش سايت سازمان ما ، دلايل موجه ای را دنبال خواهند کرد . در اين هنگامه سايت داشتن و راه اندازی سايت ، اصل موضوع که همانا ايجاد يک سازمان مدرن اطلاعاتی است ، فراموش نگردد.   سازمان ما در اين راستا چگونه حرکت کرده و مختصات آن در نقشه اطلاعاتی يک سازمان مدرن چيست ؟
بديهی است ارائه دهندگان اطلاعات خود در سطوحی ديگر به مصرف کنندگان اطلاعات تبديل و مصرف کنندگان  اطلاعات ، در حالات ديگر، خود می تواند بعنوان ارائه دهنده اطلاعات مطرح گردند.  مصرف بهينه و هدفمند اطلاعات در صورتيکه به افزايش آگاهی ، توليد و ارائه اطلاعات ختم شود، امری بسيار پسنديده خواهد بود . در غير اينصورت، مصرف مطلق و هميشگی اطلاعات بدون جهت گيری خاص ، بدترين نوع استفاده از اطلاعات بوده که قطعا" به سرانجام مطلوبی ختم نخواهد شد .

شبکه های کامپيوتری
در صورتيکه قصد ارائه و يا حتی مصرف بهينه و سريع اطلاعات را داشته باشيم، می بايست زير ساخت مناسب را در اين جهت ايجاد کنيم . شبکه های کامپيوتری ، بستری مناسب برای عرضه ، ارائه و مصرف اطلاعات می باشند( دقيقا" مشابه نقش جاده ها در يک سيستم حمل و نقل) . عرضه ، ارائه و مصرف يک کالا نيازمند وجود يک سيستم حمل و نقل مطلوب خواهد بود. در صورتيکه سازمان و يا موسسه ای  محصولی را توليد ولی قادر به عرضه  آن در زمان مناسب ( قبل از اتمام تاريخ مصرف )  برای متقاضيان نباشد، قطعا" از  سازمان ها ئی که توليدات خود را با بهره گيری از يک زير ساخت مناسب ، بسرعت در اختيار متقاضيان قرار می دهند ، عقب خواهند افتاد . شايد بهمين دليل باشد که وجود جاده ها و زير ساخت های مناسب ارتباطی، بعنوان يکی از دلايل موفقيت برخی از کشورها در عصر انقلاب صنعتی ، ذکر می گردد. فراموش نکنيم که امروزه زمان کهنه شدن اطلاعات از زمان توليد اطلاعات بسيار سريعتر بوده و می بايست قبل  از اتمام تاريخ مصرف اطلاعات با استفاده از زير ساخت مناسب ( شبکه های ارتباطی ) اقدام به عرضه آنان نمود. برای عرضه اطلاعات می توان از امکاناتی ديگر نيز استفاده کرد ولی قطعا" شبکه های کامپيوتری بدليل سرعت ارتباطی بسيار بالا دارای نقشی کليدی و منحصر بفرد می باشند . مثلا" می توان مشخصات کالا و يا محصول توليد شده در يک سازمان را از طريق يک نامه به متقاضيان اعلام نمود ولی در صورتيکه سازمانی در اين راستا از گزينه پست الکترونيکی استفاده نمايد ، قطعا" متقاضيان مربوطه در زمانی بسيار سريعتر نسبت به مشخصات کالای توليده شده ، آگاهی پيدا خواهند کرد .

امنيت اطلاعات در شبکه های کامپيوتری
بموازات حرکت بسمت يک سازمان مدرن و مبتنی بر تکنولوژی اطلاعات، می بايست تدابير لازم در رابطه با حفاظت از اطلاعات نيز انديشيده گردد. مهمترين مزيت و رسالت شبکه های کامپيوتری ، اشتراک منابع سخت افزاری و نرم افزاری است . کنترل دستيابی و نحوه استفاده از منابع به اشتراک گذاشته شده ، از مهمترين اهداف يک سيستم امنيتی در شبکه است . با گسترش شبکه های کامپيوتری خصوصا" اينترنت ، نگرش نسبت به امنيت اطلاعات و ساير منابع به اشتراک گذاشته شده ، وارد مرحله جديدی شده است . در اين راستا ، لازم است که هر سازمان برای حفاظت از اطلاعات ارزشمند ، پايبند به يک استراتژی خاص بوده و بر اساس آن سيستم امنيتی را اجراء و پياده سازی نمايد . عدم ايجاد سيستم مناسب امنيتی ، می تواند پيامدهای  منفی و دور از انتظاری را  بدنبال داشته باشد . استراتژی سازمان ما  برای حفاظت و دفاع از اطلاعات چيست؟ در صورت بروز مشکل امنيتی در رابطه با اطلاعات در سازمان ، بدنبال کدامين مقصر می گرديم ؟ شايد اگر در چنين مواردی ، همه مسائل امنيتی و مشکلات بوجود آمده را به خود کامپيوتر نسبت دهيم ، بهترين امکان برون رفت از مشکل بوجود آمده است ، چراکه کامپيوتر توان دفاع کردن از خود را ندارد . آيا واقعا" روش و نحوه برخورد با مشکل بوجود آمده چنين است ؟ در حاليکه يک  سازمان  برای خريد سخت افزار  نگرانی های خاص خود را داشته و سعی در برطرف نمودن معقول آنها دارد ، آيا برای امنيت و حفاظت از اطلاعات  نبايد نگرانی بمراتب بيشتری در سازمان وجود داشته  باشد ؟
استراتژی
دفاع در عمق ، عنوان يک استراتژی عملی  بمنظور نيل به تضمين و ايمن سازی اطلاعات در محيط های شبکه امروزی است . استراتژی فوق، يکی از مناسبترين و عملی ترين گزينه های  موجود است که متاثر از برنامه های هوشمند برخاسته  از تکنيک ها و تکنولوژی های متفاوت تدوين می گردد . استراتژی پيشنهادی ، بر سه مولفه متفاوت ظرفيت های حفاظتی ، هزينه ها و  رويکردهای  عملياتی تاکيد داشته و توازنی معقول بين آنان را  برقرار می نمايد . دراين مقاله به بررسی عناصر اصلی و نقش هر يک از آنان  در استراتژی پيشنهادی، پرداخته خواهد شد.  
دشمنان، انگيزه ها ،  انواع حملات اطلاعاتی
بمنظور دفاع موثر و مطلوب در مقابل حملات به اطلاعات و سيستم های اطلاعاتی ، يک سازمان می بايست دشمنان، پتانسيل و انگيزه های آنان و انواع حملات را بدرستی برای خود آناليز تا  از اين طريق ديدگاهی منطقی نسبت به موارد فوق ايجاد و در ادامه امکان برخورد مناسب با آنان فراهم گردد .اگر قصد تجويز دارو برای  بيماری  وجود داشته باشد ،  قطعا" قبل از معاينه و آناليز وضعيت بيمار، اقدام به تجويز دارو برای وی نخواهد شد. در چنين مواری   نمی توان برای برخورد با مسائل پويا از راه حل های مشابه و ايستا استفاده کرد .بمنظور ارائه راهکارهای پويا و متناسب با مسائل متغير، لازم است در ابتدا نسبت به کالبد شکافی دشمنان ، انگيزه ها و انواع حملات ، شناخت مناسبی ايجاد گردد.

• دشمنان ، شامل سارقين اطلاعاتی ، مجرمان ،دزدان کامپيوتری ، شرکت های رقيب و ... می باشد.
• انگيزه ها ی  موجود شامل : جمع آوری هوشمندانه،  دستبرد فکری ( عقلانی ) ،عدم پذيرش سرويس ها ، کنف کردن ،احساس غرور و مورد توجه واقع شدن ، با شد .
• انواع حملات شامل : مشاهده غيرفعال ارتباطات ، حملات به شبکه های فعال، حملات از نزديک( مجاورت سيستم ها ) ، سوء استفاده و بهره برداری  خوديان ( محرمان ) و حملات مربوط به ارائه دهندگان صنعتی يکی از منابع تکنولوژی اطلاعات ،  است .

سيستم های اطلاعاتی و شبکه های کامپيوتری اهداف مناسب و جذابی برای مهاجمان اطلاعاتی می باشند . بنابراين لازم است، تدابير لازم در خصوص حفاظت سيستم ها و شبکه ها در مقابل انواع متفاوت حملاتی اطلاعاتی انديشيده گردد. بمنظور آناليز حملات اطلاعاتی و اتخاذ راهکار مناسب بمنظور برخورد با آنان، لازم است در ابتدا  با انواع حملات اطلاعات  آشنا شده  تا از اين طريق امکان برخورد مناسب و سيستماتيک با هريک از آنان فراهم گردد . قطعا" وقتی ما شناخت مناسبی را نسبت به نوع  و علل حمله داشته باشيم ، قادر به برخورد منطقی با آن بگونه ای خواهيم بود که پس از برخورد، زمينه تکرار موارد مشابه حذف گردد .
انواع حملات اطلاعاتی بشرح ذيل می باشند :

• غيرفعال
• فعال
• نزديک ( مجاور)
• خودی ها ( محرمان )
• عرضه ( توزيع )

ويژگی هر يک از انواع حملات فوق ، بشرح زير می باشد :

• غير فعال (Passive) . اين نوع حملات شامل: آناليزترافيک شبکه ،شنود ارتباطات حفاظت نشده، رمزگشائی ترافيک های رمز شده ضعيف و بدست آوردن اطلاعات معتبری همچون رمز عبور می باشد  . ره گيری غيرفعال عمليات شبکه ، می تواند به مهاجمان، هشدارها و اطلاعات لازم را  در خصوص عمليات قريب الوقوعی که قرار است در شبکه اتفاق افتند بدهد( قرار است از مسير فوق در آينده محموله ای ارزشمند عبور داده شود !)  ، را خواهد داد .پيامدهای اين نوع حملات ، آشکارشدن اطلاعات و يا فايل های اطلاعاتی برای يک مهاجم ، بدون رضايت و آگاهی کاربر خواهد بود .
• فعال (Active) .اين نوع حملات شامل : تلاش در جهت خنثی نمودن و يا حذف ويژگی های امنيتی ، معرفی کدهای مخرب ، سرقت و يا تغيير دادن اطلاعات می باشد . حملات فوق ، می تواند از طريق ستون فقرات يک شبکه ، سوء استفاده موقت اطلاعاتی ، نفوذ الکترونيکی در يک قلمرو بسته و حفاظت شده و يا حمله به يک کاربر تاييد شده در زمان اتصال به يک ناحيه بسته و حفاظت شده ، بروز نمايد . پيامد حملات فوق ، افشای  اطلاعات ، اشاعه فايل های اطلاعاتی ، عدم پذيرش سرويس و يا تغيير در داده ها ، خواهد بود.
• مجاور (Close-in) .اين نوع حملات توسط افراديکه در مجاورت ( نزديکی ) سيستم ها قرار دارند با  استفاده از تسهيلات موجود ، با يک ترفندی خاص بمنظور نيل به اهدافی نظير : اصلاح ، جمع آوری و انکار دستيابی به اطلاعات باشد، صورت می پذيرد . حملات مبتنی بر مجاورت فيزيکی ، از طريق ورود مخفيانه ، دستيابی باز و يا هردو انجام می شود .
• خودی (Insider) . حملات خودی ها ، می تواند بصورت مخرب و يا غير مخرب جلوه نمايد . حملات مخرب از اين نوع شامل استراق سمع تعمدی ، سرقت و يا آسيب رسانی به اطلاعات ، استفاده از اطلاعات بطرزی کاملا" شيادانه و فريب آميز و يا  رد دستيابی  ساير کاربران تاييد شده باشد . حملات غير مخرب از اين نوع ، عموما" بدليل سهل انگاری ( حواس پرتی ) ، فقدان دانش لازم و يا سرپيچی عمدی از سياست های امنيتی صورت پذيرد.
• توزيع (Distribution) . حملات از اين نوع شامل  کدهای مخربی است که  در زمان تغيير سخت افزار و يا نرم افزار در محل مربوطه ( کارخانه ، شرکت )  و يا در زمان توزيع آنها ( سخت افزار ، نرم افزار) جلوه می نمايد . اين نوع حملات می تواند، کدهای مخربی را در بطن يک محصول جاسازی نمايد . نظير يک درب از عقب که امکان دستيابی غيرمجاز به اطلاعات و يا عمليات سيستم در زمان آتی را بمنظور سوء استفاده اطلاعاتی ، فراهم  می نمايد .

در اين رابطه لازم است ، به ساير موارد  نظير آتس سوزی ، سيل ، قطع برق و خطای کاربران نيز توجه خاصی صورت پذيرد . در بخش دوم اين مقاله ، به بررسی روش های ايمن سازی اطلاعات بمنظور نيل به يک استراتژی خاص امنيتی ، خواهيم پرداخت .

يک سيستم کامپيوتری از چهار عنصر :  سخت افزار ، سيستم عامل ، برنامه های کاربردی و کاربران ، تشکيل می گردد. سخت افزار شامل حافظه ، دستگاههای ورودی  ، خروجی و پردازشگر بوده که بعنوان منابع اصلی پردازش اطلاعات ،  استفاده می گردند. برنامه های کاربردی شامل کمپايلرها ، سيستم های بانک اطلاعاتی ، برنامه های تجاری و بازرگانی ، بازی های کامپيوتری و موارد متنوع ديگری بوده که  روش بخدمت گرفتن سخت افزار جهت نيل به اهداف از قبل تعريف شده را مشخص می نمايند. کاربران ، شا مل انسان ، ماشين و ديگر کامپيوترها می باشد . هر يک  از کاربران سعی در حل مشکلات تعريف شده خود از طريق بکارگيری نرم افزارهای کاربردی در محيط سخت افزار می نمايند. سيستم عامل ، نحوه استفاده از سخت افزار را در ارتباط با  برنامه های کاربردی متفاوتی که توسط  کاربران گوناگون نوشته و اجراء می گردند ، کنترل و هدايت می نمايد. بمنظور بررسی امنيت در يک سيستم کامپيوتری ، می بايست به تشريح و تبين جايگاه هر يک از عناصر موجود در يک  سيستم کامپيوتری پرداخته گردد.
در اين راستا ، قصد داريم به بررسی نقش عوامل انسانی  دررابطه با  امنيت اطلاعات پرداخته و جايگاه هر يک از مولفه های موجود را تبين و تشريح نما ئيم . اگر ما بهترين سيستم سخت افزاری و يا سيستم عامل را بخدمت بگيريم ولی کاربران و يا عوامل انسانی درگير در يک سيستم کامپوتری، پارامترهای امنيتی را رعايت ننمايند ، کاری را از پيش نخواهيم برد. وضعيت فوق مشابه اين است که  شما بهترين اتومبيل با درجه بالای امنيت را طراحی و يا تهيه نمائيد  ولی آن را در اختيار افرادی قرار دهيد که نسبت به اصول اوليه رانندگی توجيه نباشند ( عدم رعايت اصول ايمنی ) .
ما می بايست به مقوله امنيت اطلاعات در عصر اطلاعات نه بصورت يک کالا و يا محصول بلکه  بصورت يک فرآيند نگاه  کرده و امنيت  را در حد  يک محصول خواه نرم افزاری و يا سخت افزاری تنزل ندهيم .هر يک از موارد فوق ، جايگاه خاص خود را با وزن مشخص شده ای  دارند و نبايد به بهانه پرداختن به امنيت اطلاعات وزن يک پارامتر را بيش از آنچيزی که هست در نظر گرفت و پارامتر ديگری را ناديده گرفته و يا وزن غير قابل قبولی برای آن مشخص نمائيم . بهرحال ظهور و عرضه شگفت انگيز تکنولوژی های نو در عصر حاضر ، تهديدات خاص خود را نيز بدنبال خواهد داشت . ما چه کار می بايست بکنيم که از تکنولوژی ها استفاده مفيدی را داشته و در عين حال از تهديدات مستقيم و يا غير مستقيم آنان نيز مصون بمانيم ؟ قطعا" نقش عوامل انسانی که استقاده کنندگان مستقيم اين نوع تکنولوژی ها می باشند ، بسيار محسوس و مهم است . 
با گسترش اينترنت و استفاده از آن در ابعاد متفاوت ، سازمانها و موسسات با مسائل جديدی در رابطه با  امنيت اطلاعات و تهاجم به  شبکه های کامپيوتری مواجه می باشند. صرفنظر از موفقيت و يا عدم موفقيت مهاجمان و عليرغم آخرين اصلاحات انجام شده در رابطه با تکنولوژی های امنيتی ، عدم وجود دانش و اطلاعات لازم ( سواد عمومی ايمنی )  کاربران شبکه های کامپيوتری  و استفاده کنندگان اطلاعات  حساس در يک سازمان ،  همواره بعنوان مهمترين تهديد امنيتی مطرح و عدم پايبندی و رعايت اصول امنيتی تدوين شده ، می تواند زمينه ايجاد پتانسيل هائی شود  که  توسط مهاجمين  استفاده و باعث  بروز مشکل در سازمان گردد. مهاجمان  همواره بدنبال چنين فرصت هائی بوده تا با اتکاء به آنان به اهداف خود نائل گردند. در برخی حالات اشتباه ما زمينه موفقيت ديگران!  را فراهم می نمايد . اگر سعی نمائيم بر اساس يک روش مناسب درصد بروز اشتباهات خود را کاهش دهيم به همان نسبت نيز شانس موفقيت مهاجمان  کاهش پيدا خواهد کرد.
مديران شبکه ( سيستم ) ، مديران سازمان و کاربران معمولی  جملگی عوامل انسانی در يک سازمان می باشند که حرکت و يا حرکات اشتباه هر يک می تواند پيامدهای منفی در ارتباط با امنيت اطلاعات را بدنبال داشته باشد . در ادامه به بررسی اشتباهات متداولی  خواهيم پرداخت که می تواند توسط سه گروه ياد شده انجام و زمينه بروز يک مشکل امنيتی در رابطه با اطلاعات  حساس در يک سازمان را باعث گردد. 
اشتباهات متداول مديران سيستم
مديران سيستم ، به افرادی اطلاق می گردد  که مسئوليت نگهداری و نظارت بر عملکرد صحيح و عملياتی سيستم ها  و شبکه موجود در يک سازمان را برعهده دارند.در اغلب سازمانها افراد فوق ، مسئوليت امنيت دستگاهها ، ايمن سازی شبکه و تشخيص ضعف های امنيـتی موجود در رابطه با اطلاعات حساس را نيز برعهده دارند. بديهی است واگذاری  مسئوليت های متعدد  به يک فرد، افزايش تعداد خطاء و اشتباه را بدنبال خواهد داشت . فشار عصبی در زمان انجام کار مستمر بر روی چندين موضوع  متفاوت و بصورت همزمان ، قطعا" احتمال بروز اشتباهات فردی را افزايش خواهد داد. در ادامه با برخی از خطاهای متداولی که ممکن است توسط مديران سيستم  انجام و سازمان مربوطه را با تهديد امنيتی مواجه سازد ، آشنا خواهيم شد.

مورديک : عدم وجود يک سياست امنيتی شخصی 
اکثر قريب به اتفاق مديران سيستم دارای يک سياست امنيتی شخصی بمنظور انجام  فعاليت های مهمی نظير امنيت فيزيکی سيستم ها ، روش های بهنگام سازی يک نرم افزار و  روشی بمنظور بکارگيری  patch های جديد در زمان مربوطه نمی باشند .حتی شرکت های بزرگ و شناخته شده به اين موضوع اذعان  دارند که برخی از سيستم های آنان با همان سرعت که يک باگ و يا اشکال تشخيص و شناسائی می گردد ، توسط patch مربوطه اصلاح نشده است .در برخی حالات ، مديران سيستم حتی نسبت به آخرين نقاط آسيب پذيرتشخيیص داده شده  نيز آگاهی  بهنگام شده ای را نداشته و قطعا" در چنين مواردی انتظار نصب patch  مربوطه نيز توقعی بی مورد است . وجود نقاط آسيب پذير در شبکه می تواند يک سازمان را در معرض تهديدات جدی قرار دهد . امنيت فرآيندی است که می بايست بصورت مستمر به آن پرداخته شود و هرگز به اتمام نمی رسد.در اين راستا لازم است، بصورت مستمرنسبت به آخرين حملات  بهمراه تکنولوژی ها ی مربوطه ، آگاهی لازم کسب و  دانش خود را بهنگام نمائيم .اکثر مديران سيستم ،  کارشناسان حرفه ای و خبره امنيتی نمی باشند ، در اين رابطه لازم است ، بمنظور افزايش حفاظت و ايمن سازی شبکه ، اطلاعات و دانش مربوطه بصورت مستمر ارتقاء يايد .افراديکه دارای گواهينامه های خاصی امنيتی و يا دانش و اطلاعات  اضافه در رابطه با امنيت اطلاعات می باشند ، همواره يک قدم  از کسانی مهارت آنان صرفا" محدود به  شبکه است ، جلوتر می باشند . در ادامه ، پيشنهاداتی  بمنظور بهبود وضعيت امنيتی سازمان و افزايش و ارتقاء سطح معلومات مديران سيستم ،  ارائه می گردد :

• بصورت فيزيکی محل کار و سيستم خود را ايمن سازيد .زمينه استفاده از سيستم توسط افراديکه در محدوده کاری شما فعاليت دارند ، می بايست کاملا" کنترل شده و تحت نظارت باشد .
• هر مرتبه که سيستم خود را ترک می کنيد ، عمليات  logout را فراموش نکنيد .در اين رابطه می توان يک زمان time out را تنظيم تا  در صورت  فراموش نمودن  عمليات  logout ، سيستم قادر به حفاظت خود گردد.
• خود را عضو خبرنامه ها ی متفاوت امنيتی کرده تا شما را با آخرين نقاط آسيب پذير آشنا نمايند. درحقيقت آنان چشم شما در اين معرکه خواهند بود( استفاده مفيد از تجارب ديگران ) .
• سعی گردد بصورت مستمر از سايت های مرتبط با مسائل امنيتی ديدن تا درزمان مناسب با پيام های هشداردهنده امنيتی در رابطه با نرم افزارهای خارج از رده و يا نرم افزارهای غير اصلاح شده ( unpatched ) آشنا گرديد.
• مطالعه آخرين مقالات مرتبط با مسائل امنيتی يکی از مراحل ضروری و مهم در فرآيند خود آموزشی ( فراگيری ) مديران شبکه است . بدين ترتيب اين اطمينان بوجود خواهد آمد که مدير مربوطه نسبت به آخرين اطلاعات و مسائل مربوطه امنيتی در کميته های موجود ، توجيه است .
• استفاده از ياداشت ها و مقالات در ارتباط با هر نوع اطلاعات حساس نظير رمزهای عبور وI هر چيزی که ممکن است  زمينه ساز ايجاد يک پتانسيل آسيب پذير و دستيابی به سيستم مطرح گردد را محدود نمائيد. در صورتيکه از اين نوع اطلاعات استفاده می شود، قبل ازترک  محل کار ، آنها را از بين ببريد. افراديکه دارای سوء نيت بوده در محدوده کاری شما می باشند ، می توانند ازمزايای ضعف های شناخته شده استفاده نمايند، بنابراين ضروری است استفاده از چنين ياداشت هائی محدود و يا بصورت کامل حذف  گردد .

مورد دو : اتصال سيستم های فاقد پيکربندی مناسب به اينترنت
همزمان با گسترش نيازهای سازمان، سيستم ها و سرويس دهندگان جديدی بر اساس يک روال معمول به اينترنت متصل می گردند. قطعا" توسعه سيستم با هدف افزايش بهره وری در يک سازمان دنبال خواهد شد.اکثر اينچنين سيستمهائی  بدون تنظيمات امنيتی خاص  به اينترنت متصل شده  و می تواند زمينه بروز آسيب و حملات اطلاعاتی توسط مهاجمان را باعث گردد ( در بازه زمانی که سيستم از لحاظ امنيتی بدرستی مميزی  نشده باشد ، اين امر امکان پذير خواهد بود).
مديران سيستم ممکن است به اين موضوع استناد نمايند که سيستم جديد بوده و هنوز کسی آن را نمی شناسد و آدرس IP آن شناخته شده نيست ، بنابراين امکان شناسائی و حمله به آن وجود نخواهد داشت .طرز فکر فوق  ، يک تهديد برای هر سازمان بشمار می رود . افراد و يا اسکريپت های پويش اتوماتيک در اينترنت ، بسرعت عمليات يافتن و تخريب اين نوع سيستم های آسيب پذير را دنبال می نمايند. در اين راستا ، شرکت هائی خاصی وجود دارد که موضوع فعاليت آنان شبکه بوده و برای تست سيستم های  توليدی خود بدنبال سيستم های ضعيف و آسيب پذير می گردند.( سيستم آسيب پذير ما ابزار تست ديگران خواهد شد). بهرحال همواره ممکن است افرادی بصورت مخفيانه شبکه سازمان شما را پويش تا در صورت وجود يک نقطه آسيب پذير، از آن برای اهداف خود استفاده نمايند. لازم است در اين راستا تهديدات و خطرات را جدی گرفته و پيگری لازم در اين خصوص انجام شود. در اين رابطه موارد زير پيشنهاد می گردد :

• قبل از اتصال فيزيکی يک کامپيوتر به شبکه ، مجوز امنيتی لازم با توجه به سياست های تدوين شده امنيتی برای آن صادر گردد ( بررسی سيستم و صدور مجوز اتصال )
• کامپيوتر مورد نظر می بايست شامل آخرين نرم افزارهای امنيتی لازم بوده و از پيکربندی صحيح آنان می بايست مطمئن گرديد.
• در صورتيکه لازم است  بر روی سيستم مورد نظر تست های شبکه ای خاصی صورت پذيرد ، سعی گردد امکان دستيابی به سيستم فوق از طريق اينترنت در زمان تست ، بلاک گردد.
• سيستمی را که قصد اتصال آن به اينترنت وجود دارد ، نمی بايست شامل اطلاعات حساس سازمان باشد.
• سيستم مورد نظر را تحت برنامه های موسوم به Intrusion Detection System قرار داده تا نرم افزارهای فوق بسرعت نقاط آسيب پذير و ضعف های امنيتی را شناسائی نمايند.

مورد سه : اعتماد بيش از اندازه  به ابزارها
برنامه های پويش و بررسی نقاط آسيب پذير،اغلب بمنظور اخذ اطلاعات در رابطه وضعيت جاری امنيتی شبکه استفاده می گردد . پويشگرهای تشخيص نقاط آسيب پذير ،  اطلاعات مفيدی را در ارتباط با   امنيت سيستم  نظير : مجوزهای فايل ، سياستهای رمز عبور و ساير مسائل موجود، ارائه می نمايند . بعبارت ديگر پويشگران نقاط آسيب پذير شبکه ، امکان نگرش از ديد يک مهاجم را به مديريت شبکه خواهند داد. پويشگرها ی فوق  ، عموما" نيمی از مسائل امنيتی مرتبط را به سيستم واگذار نموده و نمی توان به تمامی نتايج بدست آمده توسط آنان  بسنده  و محور عمليات خود را بر اساس يافته های آنان قرار دهيم . در اين رابطه لازم است متناسب با نوع سيستم عامل نصب شده  بر روی سيستم ها از پويشگران متعدد و مختص سيستم عامل مربوطه استفاده گردد( اخذ نتايج مطلوبتر)  .  بهرحال استفاده از اين نوع نرم افزارها قطعا" باعث شناسائی سريع نقاط آسيب پذير و  صرفه جوئی  زمان می گردد ولی  نمی بايست اين تصور وجود داشته باشد که استفاده از آنان بمنزله يک راه حل جامع امنيتی است . تاکيد صرف بر نتايج بدست آمده توسط آنان ، می تواند نتايج نامطلوب امنيتی را بدنبال داشته باشد . در برخی موارد ممکن است  لازم باشد ، بمنظور تشخيص نقاط آسيب پذير يک سيستم ،عمليات دستی انجام و يا حتی تاسکريپت های خاصی در اين رابطه نوشته گردد .

مورد چهار : عدم مشاهده لاگ ها  ( Logs )
مشاهده لاگ های سيستم،  يکی از مراحل ضروری در تشخيص مستمر و يا قريب الوقوع تهديدات  است . لاگ ها، امکان شناسائی نقاط آسيب پذير متداول و حملات مربوطه را فراهم می نمايند. بنابراين می توان تمامی سيستم را بررسی و آن را در مقابل حملات مشخص شده ، مجهز و ايمن نمود. در صورت بروز يک تهاجم ، با استفاده از لاگ های  سيستم ، تسهيلات لازم  بمنظور رديابی مهاجمان فراهم می گردد.( البته بشرطی که آنان اصلاح نشده باشند ) . لاگ ها را بصورت ادواری بررسی و آنها را در يک مکان ايمن ذخيره نمائيد.

مورد پنج : اجرای سرويس ها و يا اسکريپت های اضافه و غير ضروری
استفاده از منابع و شبکه سازمان ، بعنوان يک زمين بازی شخصی برای تست اسکريپت ها و سرويس های متفاوت ، يکی ديگر از اشتباهات متداولی است که توسط اکثريت قريب به اتفاق مديران سيستم انجام می شود . داشتن اينچنين اسکريپت ها و سرويس های اضافه ای که بر روی سيستم اجراء می گردند ، باعث ايجاد مجموعه ای از پتانسيل ها و نفاط ورود جديد برای يک مهاجم می گردد ( در صورتيکه سرويس های اضافه و يا اسکريپت ها بر روی سرويس دهنده اصلی  نصب و تست گردند ، مشکلات می تواند مضاعف گردد ). در صورت نياز به  تست اسکريپت ها  و يا اجرای سرويس های اضافه ، می بايست  عمليات مورد نظر خود را از طريق يک کامپيوتر ايزوله شده انجام داد (هرگز از کامپيوتری که به شبکه متصل است در اين راستا استفاده نگردد ) .

اشتباهات متداول مديران سازمان ها 
مديران سازمان، به افرادی اطلاق می گردد که مسئوليت مديريت ، هدايت و توسعه  سازمان را بر عهده داشته و با  منابع متفاوت موجود در سازمان نظير بودجه ،  سروکار  دارند. امروزه استفاده از اينترنت توسط سازمان ها و موسسات ، مزايای متعددی را بدنبال دارد. واژه " تجارت الکترونيکی"  بسيار متداول  و استراتژی تجارت الکترونيکی ، از جمله مواردی است که در هر برنامه ريزی تجاری به آن توجه خاص می گردد. در صورتيکه سازمان ها و موسسات دارای يک استراتژی امنيتی مشخص شده ای نباشند ، اتصال به شبکه جهانی تهديدی در ارتباط با اطلاعات حساس خواهد بود. در ادامه به برخی از اشتباهات متداول که از ناحيه مديران سازمان بروز و تاثير منفی در ارتباط با امنيت اطلاعات در سازمان را بدنبال خواهد داشت ، اشاره می گردد :

مورد يک : استخدام کارشناسان آموزش نديده و غيرخبره
بدون ترديد ، کارشناسان آموزش ديده و خبره ، يکی از منابع ارزشمند درهر سازمان محسوب می گردند. همواره می بايست از کارشناسان ورزيده در ارتباط با امنيت در يک سازمان استفاده گردد. فرصت سعی و خطاء نيست و ممکن است در اين محدوده زمانی چيزی را که يک سازمان از دست می دهد بمراتب بيشتر از چيزی است که می خواهد بدست آورد. امنيت اطلاعات از جمله مقولاتی است  که برای يک سازمان دارای جايگاهی است و همواره می بايست بهترين تصميم دررابطه با   استفاده از منابع انسانی  ماهر ، اتخاذ گردد. استفاده از  يک کارشناس غير ماهر در امور امنيت اطلاعات و شبکه در يک سازمان ، خود تهديدی امنيتی است که بر ساير تهديدات موجود اضافه خواهد شد . ( ما نمی توانيم مسئوليت پياده سازی استراتژی امنيتی در سازمان  را به افرادی واگذار نمائيم که در اين رابطه اطلاعات و دانش لازم را ندارند ) .

مورد دوم : فقدان آگاهی لازم در رابطه با  تاثير يک  ضعف امنيتی  بر عملکرد سازمان
بسياری از مديران سازمان بر اين باور می باشند که  " اين مسئله برای ما اتفاق نخواهد افتاد "  و بر همين اساس و طرز فکر به مقوله امنيت نگاه می نمايند . بديهی است در صورت بروز مشکل در سازمان ، امکان عکس العمل مناسب در مقابل خطرات و تهديدات احتمالی وجود نخواهد داشت . اين مسئله می تواند بدليل عدم آشنائی با ابعاد و اثرات يک ضعف امنيتی در سازمان باشد . در اين رابطه لازم است به اين نکته اشاره گردد که همواره مشکل برای ديگران بوجود نمی آيد و ما نيز در معرض مشکلات فراوانی قرار خواهيم داشت .بنابراين لازم است همواره و بصورت مستمر مديران سازمان نسبت به اثرات احتمالی يک ضعف امنيتی توجيه  و دانش لازم در اختيار آنان قرار گيرد . در صورت بروز يک مشکل امنيتی در سازمان ، مسئله بوجود آمده محدود به خود سازمان نشده و می تواند اثرات منفی متعددی در ارتباط با  ادامه فعاليت سازمان را  بدنبال داشته باشد. در عصر اطلاعات و دنيای شديد رقابت ،  کافی است سازمانی لحظاتی آنچيزی باشد که نمی بايست باشد ، همين امر کافی است که  تلاش چندين ساله يک سازمان هرز و در برخی حالات فرصت جبران آن نيز وجود نخواهد داشت .

• تاثير منفی بر ساير فعاليت های تجاری online سازمان
• عاملی برای توزيع اطلاعات غير مفيد و غير قابل استفاده  در يک چرخه تجاری
• عرضه اطلاعات حساس مشتريان به يک مهاجم و  بمخاطره افتادن  اطلاعات  خصوصی مشتريان
• آسيب جدی  وجهه سازمان و بدنبال آن از دست دادن مشتريان و همکاران تجاری

مورد سوم : عدم تخصيص بودجه مناسب برای پرداختن به  امنيت اطلاعات
مجاب نمودن يک مدير سازمان مبنی بر اختصاص  بودجه مناسب برای پرداختن به مقوله امنيت اطلاعات در سازمان  از حمله مواردی است که چالش های خاص خود را خواهد داشت .مديران، تمايل دارند بودجه را به حداقل مقدار خود برسانند، چراکه آنان يا اطلاعات محدودی در رابطه با تاثير وجود ضعف های امنيتی در عملکرد  سازمان را دارند و يا در برخی حالات بودجه ، آنان را برای اتخاذ تصميم مناسب محدود می نمايد.اينترنت يک شبکه جهانی است که فرصت های جذاب و نامحدود تجاری را برای هر بنگاه تجاری فراهم می نمايد، با رعايت امنيت اطلاعات و حفا ظت مناسب از داده های حساس ،امکان استفاده از فرصت های تجاری بيشتری برای يک سازمان فراهم خواهد شد. با اختصاص يک بودجه مناسب برای پرداختن و بهاء دادن به مقوله امنيت اطلاعات در يک سازمان ، پيشگيری های لازم انجام ودر صورت بروز مسائل بحرانی ، امکان تشخيص سريع آنان و انجام واکنش های مناسب فراهم می گردد . بعبارت ديگر با در نظر گرفتن بودجه مناسب برای ايمن سازی سازمان ، بستر مناسب برای حفاظت سيستم ها و داده های حساس در يک سازمان فراهم خواهد شد . قطعا" توليد و عرضه سريع اطلاعات در سازمان های مدرن و مبتنی بر اطلاعات ، يکی از مهمترين شاخص های رشد در عصر حاضر بوده  و هر آنچيزی که می تواند خللی در فرآيند فوق ايجاد نمايد ، باعث توقف و گاها" برگشت به عقب يک سازمان ، می گردد.

مورد چهارم : اتکاء کامل به  ابزارها و محصولات تجاری
اگر از يک سازمان سوال شود که چگونه خود را در مقابل حملات حفاظت نموده ايد ؟ اغلب آنان در پاسخ خواهند گفت :" ما از يک فايروال شناخته شده و يک  برنامه ويروس ياب  بر روی  سرويس دهنده استفاده می کنيم ، بنابراين ما در مقابل حملات ايمن خواهيم بود " . توجه داشته باشيد که امنيت يک فرآيند است نه يک محصول که با خريداری آن خيال خود را در ارتباط  با امنيت راحت نمائيم . مديران سازمان لازم است شناخت مناسب و اوليه ای از پتانسل های عمومی يک فايروال و يا برنامه های ويروس ياب داشته باشند ( قادر به انجام چه کاری می باشند و چه کاری را نمی توانند انجام دهند. مثلا" اگر ويروس جديدی نوشته و در شبکه توزيع گردد ، برنامه های ويروس ياب موجود قادر به تشخيص و برخورد با آن نخواهند بود.اين نوع برنامه ها  صرفا" پس از مطرح شدن يک ويروس و آناليز نحوه عملکرد آن می بايست بهنگام شده تا بتوانند در صورت بروز وضعيتی مشابه با آن برخورد نمايند) . ابزارهائی همچون فايروال و يا برنامه های ويروس ياب ، بخشی از فرآيند مربوط به ايمن سازی اطلاعات حساس در يک سازمان بوده و با بکارگيری آنان نمی توان اين ادعا را داشت که آنان سازمان را بطور کامل در مقابل تهاجمات ، حفاظت خواهند نمود .

مورد پنجم : يک مرتبه سرمايه گذاری در ارتباط با  امنيت
امنيت مفهمومی فراگير و گسترده  بوده که نيازمند هماهنگی و سرمايه گذاری در دو بعد تکنولوژی و آموزش است. هر روز ما شاهد ظهور تکنولوژی های جديدی می باشيم . ما نمی توانيم در مواجهه با يک تکنولوژی جديد بصورت انفعالی برخورد و يا عنوان نمائيم که ضرورتی به استفاده از اين تکنولوژی خاص را نداريم . بکارگيری تکنولوژی عملا"  صرفه جوئی در زمان و سرمايه مادی را بدنبال داشته و اين امر باعث ارائه سرويس های مطلوبتر و ارزانتر به مشتريان خواهد شد. موضوع فوق هم از جنبه يک سازمان حائز اهميت است و هم از نظر مشتريان ، چراکه ارائه سرويس مطلوب با قيمت تمام شده مناسب يکی از مهمترين اهداف هر بنگاه تجاری محسوب شده و مشتريان نيز همواره بدنبال استفاده از سرويس ها و خدمات با کيفيت و قيمت مناسب می باشند. استفاده از تکنولوژی های جديد و سرويس های مرتبط با آنان،همواره تهديدات خاص خود را بدنبال خواهد داشت . بنابراين لازم است به اين موضوع توجه شود که امنيت يک سرمايه گذاری پيوسته  را طلب می نمايد، چراکه با بخدمت گرفتن تکنولوژی ها ی نو بمنظور افزايش بهره وری در يک سازمان ، زمينه پرداختن به امنيت می بايست مجددا" و در ارتباط با تکنولوژی مربوطه بررسی و در صورت لزوم سرمايه گذاری لازم در ارتباط با آن صورت پذيرد . تفکر اينکه، امنيت يک نوع سرمايه گذاری يکبار مصرف است ، می تواند از يکطرف سازمان را در استفاده از تکنولوژی ها ی نو با ترديد مواجه سازد و از طرف ديگر با توجه به  نگرش به مقوله امنيت ( يکبار مصرف ) ، بهاء لازم به آن داده نشده و شروع مناسبی برای پياده سازی يک سيستم امنيتی و حفاظتی مناسب را نداشته باشيم .

اشتباهات متداول کاربران معمولی
کاربران ، به افرادی اطلاق می گردد که طی روز با داده ها ی حساس در يک سازمان سروکار داشته و  تصميمات و فعاليت های آنان،  داده ها ی حساس و مقوله امنيت و حفاظت از اطلاعات را تحت تاثير مستقيم  قرار خواهد داد. در ادامه با برخی از اشتباهات متداولی  که اين نوع استفاده کنندگان از سيستم و شبکه مرتکب می شوند ، اشاره می گردد.

مورد يک : تخطی از سياست امنينی سازمان
سياست امنيتی سازمان ، اعلاميه ای است که بصورت جامع ، مسئوليت هر يک از پرسنل سازمان ( افراديکه به اطلاعات و سيستم های حساس در سازمان دستيابی دارند )  در ارتباط با امنيت اطلاعات و شبکه  را تعريف و مشخص می نمايد. سند و يا اعلاميه مورد نظر ، بعنوان  بخش لاينفک در هر مدل امنيتی بکارگرفته شده در سازمان محسوب می گردد.هدف عمده اعلاميه فوق ، ارائه روشی آسان بمنظور شناخت و درک ساده نحوه حفاظت سيستم های سازمان در زمان استفاده است . کاربران معمولی ، عموما" تمايل به تخطی از سياست های تدوين شده امنيتی در يک سازمان را داشته و اين موضوع می تواند عاملی مهم برای تحت تاثير قراردادن سيستم های حساس و اطلاعات مهم سازمان در مواجهه با يک تهديد باشد. پيامد اين نوع عمليات ، بروز اشکال و خرابی در رابطه با اطلاعات ارزشمند در يک سازمان خواهد بود.بهمين دليل است که اکيدا" توصيه می گردد که اطلاعات لازم در رابطه با نقش کاربران در تبعيت از سياست های امنيتی در سازمان  به آنان يادآوری و بر آن تاکيد گردد .

مورد دوم : ارسال داده حساس بر روی کامپيوترهای منزل
يکی از خطرناکترين روش ها در رابطه با داده های حساس موجود در يک سازمان ، فعاليتی است که باعث غير فعال شدن تمامی پيشگيری های امنيتی ايجادشده  و در گير شدن آنان در يک فرآيند غير امنيتی می گردد . پرسنل سازمان عادت دارند،اطلاعات حساس سازمان را بر روی کامپيوتر منزل خود فوروارد ( ارسال ) نمايند . در حقيقت کاربران تمايل به فوروارد نمودن يک پروژه ناتمام و يا برنامه ريزی تجاری به کامپيوتر منازل خود را داشته  تا از اين طريق امکان اتمام  کار خود در منزل را پيدا نمايند. کاربران به اين موضوع توجه نکرده اند که تغيير محيط ايمن سازمان با کامپيوتر منزل خود که دارای ايمنی بمراتب کمتری است ، بطور جدی اطلاعات را در معرض آسيب و تهاجم قرار خواهد داد . در صورتيکه ضروری است که اطلاعات را به کامپيوترهای منزل فوروارد نمود ، يک سطح مناسب ايمنی می بايست وجود داشته باشد تا اين اطمينان بوجود آيد که نوت بوک ها و يا کامپيوترهای منازل در مقابل مهاجمين اطلاعاتی حفاظت شده و ايمن می باشند.

مورد سوم : ياداشت داده های حساس و ذخيره غيرايمن آنان
ايجاد و نگهداری رمزهای عبور قدرتمند ، فرآيندی مستمر است که  همواره می بايست مورد توجه قرار گيرد. کاربران همواره  از اين موضوع نفرت دارند که  رمزعبورهائی را ايجاد نمايند که قادر به بخاطرآوردن آن نمی باشند. سياست امنيتی تدوين شده  سازمان می بايست تعيين نمايد که يک رمز عبور چگونه می بايست ايجاد و نگهداری گردد. بخاطر سپردن چنين رمزعبوری همواره مسائل خاص خود را خواهد داشت . بمنظور حل اينچنين مشکلی ، کاربران تمايل دارند که ياداشت های مخفی را نوشته و آنها را زير صفحه کليد ، کيف جيبی و يا هر مکان ديگر در محل کار خود نگهداری نمايند. ياداشت ها ی فوق ، شامل اطلاعات حساس در ارتباط با داده های  مربوط به رمزعبور و ساير موارد مرتبط  است .استفاده از روشهای فوق برای نگهداری اطلاعات ، يک تخطی امنيتی است  .دراين راستا لازم است ،کاربران توجيه و به آنان آگاهی لازم داده شود که با عدم رعايت موارد مشخص شده امنيتی ،پتانسيل های  لازم  بمنظور بروز مشکل در سيستم افزايش خواهد يافت . لازم است به کاربران ، روش ها و تکنيک های متفاوت بخاطر سپردن رمز عبور آموزش داده شود تا زمينه استفاده کاربران از ياداشت  برای ثبت اينگونه اطلاعات حساس کاهش يابد . سناريوی های متفاوت برای آنان تشريح و گفته شود که يک مهاجم با استفاده از چه روش هائی ممکن است به اطلاعات ثبت شده در ياداشت ها ، دست پيدا نموده و زمينه بروز مشکل را فراهم نمايد.

مورد چهارم : دريافت فايل از سايت های غير مطمئن
يکی از سرويس های اينترنت امکان  دريافت فايل توسط کاربران است . کاربران بمنظور دريافت فايل از اينترنت ، اغلب از امتيازات  خود تعدی و حتی سياست ها ی موجود در سازمان  را در معرض مخاطره و آسيب قرار می دهند . دريافت فايل از وب سايت های گمنام و يا غير مطمئن باعث کمک در توزيع برنامه های مهاجم  در اينترنت می گردد. بدين ترتيب ما بعنوان ابزاری برای توزيع يک برنامه مخرب در اينترنت  تبديل خواهيم شد. فايل ها و برنامه های دريافتی پس از آلودگی به نوع خاصی از برنامه مخرب ( ويروس ، کرم ، اسب تراوا ) ، می تواند تاثيرات منفی فراوانی را در ارتباط با عملکرد يک سازمان بدنبال داشته باشد .کاربران می بايست بندرت فايل هائی را از اينترنت دريافت  در موارديکه ضرورت اين کار حس و به برنامه ای خاص نياز باشد ،  اکيدا" توصيه  می گردد که موضوع با دپارتمان IT ( يا ساير بخش های مسئول در سازمان )  درميان گذاشته شود تا آنان بر اساس تجربه و دانش خود ، اقدام به تهيه برنامه مورد نظر از منابع مطمئن نمايند .

مورد پنجم : عدم رعايت امنيت فيزيکی
ميزان آگاهی و دانش کاربران در رابطه با رعايت مسائل ايمنی  خصوصا"  امنيت  فيزيکی  ، بطرز کاملا" محسوسی افزايش امنيت و حفاظت داده ها ی حساس  در يک سازمان را بدنبال خواهد داشت . عموما" ، رفتار کاربران در زمان استفاده از ايستگاه های کاری سازمان  سهل انگارانه و فاقد سوادعمومی ايمنی است . کاربران ، اغلب  ايستگاههای کاری خود را بدون در نظر گرفتن امنيت فيزيکی  رها  و screensaver آنان ، بندرت دارای رمز عبور بوده و می تواند باعث بروزمسائل متعددی گردد. به کاربران می بايست آموزش های لازم در رابطه با استراتژی های متفاوت بمنظور استفاده از سيستم های سازمان داده شود : مطمئن شويد آنها قادرند بدرستی با اطلاعات حساس در سازمان برخورد نمايند و همواره  پيامدهای عدم رعايت  امنيت فيزيکی به آنان يادآوری گردد.

خلاصه
در اين مقاله به بررسی اهم اشتباهات متداول که ممکن است از جانب عوامل انسانی در يک سيستم کامپيوتری بروز نمايد ، اشاره و گفتته شد که عدم رعايت مسائل مربوطه می تواند زمينه بروز مشکلات متعدد ايمنی در سازمان را بدنبال داشته باشد . موارداعلام شده را جدی گرفته و در صورت ضرورت مدل امنيتی جاری را بازسازی نمائيد . به کاربران ، مديران شبکه و حتی مديران سازمان آموزش های لازم داده شود تا سطح آگاهی و اطلاعات آنان دررابطه با امنيت افزايش يابد( جملگی می بايست دارای يک سطح مناسب از سوادعمومی در ارتباط با امنيت اطلاعات باشيم ). تداوم عمليات يک سازمان در عصر حاضر ارتباط مستقيم به رعايت مسائل ايمنی توسط عوامل انسانی آن  سازمان دارد.

در بخش اول اين مقاله به ضرورت شناسائی سرويس ها و پروتکل ها ی غيرضروری ، نصب و پيکربندی سرويس ها و پروتکل های مورد نياز با لحاظ نمودن مسائل امنيتی در يک شبکه ، اشاره گرديد . همانگونه که در بخش اول اين مقاله اشاره شد ، حملات در يک شبکه کامپيوتری ، حاصل پيوند سه عنصر مهم سرويس ها ی فعال ، پروتکل های استفاده شده و پورت های باز می باشد. کارشناسان امنيت اطلاعات می بايست با تمرکز بر سه محور فوق ، شبکه ای ايمن و مقاوم در مقابل انواع حملات را ايجاد و نگهداری نمايند.

انواع حملات
Denial of Service (DoS) & Distributed Denial of Service (DDoS)
Back Door	Spoofing
Man in the Middle	Replay
TCP/IP Hijacking	Weak Keys
Mathematical	Password Guessing
Brute Force	Dictionary
Birthday	Software Exploitation
Malicious Code	Viruses
Virus Hoaxes	Trojan Horses
Logic Bombs	Worms
Social Engineering	Auditing
System Scanning

حملات از نوع DoS
هدف از حملات DoS ، ايجاد اختلال در منابع و يا سرويس هائی است که کاربران قصد دستيابی و استفاده از آنان را دارند ( از کار انداختن سرويس ها ) . مهمترين هدف اين نوع از حملات ، سلب دستيابی کاربران به يک منبع خاص است . در اين نوع حملات، مهاجمان با بکارگيری روش های متعددی تلاش می نمايند که کاربران مجاز را به منظور دستيابی و استفاده از يک سرويس خاص ، دچار مشکل نموده و بنوعی در مجموعه سرويس هائی که يک شبکه ارائه می نمايد ، اختلال ايجاد نمايند . تلاش در جهت ايجاد ترافيک کاذب در شبکه ، اختلال در ارتباط بين دو ماشين ، ممانعت کاربران مجاز به منظور دستيابی به يک سرويس ، ايجاد اختلال در سرويس ها ، نمونه هائی از ساير اهدافی است که مهاجمان دنبال می نمايند . در برخی موارد و به منظور انجام حملات گسترده از حملات DoS به عنوان نقطه شروع و يک عنصر جانبی استفاده شده تا بستر لازم برای تهاجم اصلی ، فراهم گردد . استفاده صحيح و قانونی از برخی منابع نيز ممکن است ، تهاجمی از نوع DoS را به دنبال داشته باشد . مثلا" يک مهاجم می تواند از يک سايت FTP که مجوز دستيابی به آن به صورت anonymous می باشد ، به منظور ذخيره نسخه هائی از نرم افزارهای غيرقانونی ، استفاده از فضای ذخيره سازی ديسک و يا ايجاد ترافيک کاذب در شبکه استفاده نمايد . اين نوع از حملات می تواند غيرفعال شدن کامپيوتر و يا شبکه مورد نظر را به دنبال داشته باشد . حملات فوق با محوريت و تاکيد بر نقش و عمليات مربوط به هر يک از پروتکل های شبکه و بدون نياز به اخذ تائيديه و يا مجوزهای لازم ، صورت می پذيرد . برای انجام اين نوع حملات از ابزارهای متعددی استفاده می شود که با کمی حوصله و جستجو در اينترنت می توان به آنان دستيابی پيدا کرد . مديران شبکه های کامپيوتری می توانند از اين نوع ابزارها ، به منظور تست ارتباط ايجاد شده و اشکال زدائی شبکه استفاده نمايند . حملات DoS تاکنون با اشکال متفاوتی ، محقق شده اند . در ادامه با برخی از آنان آشنا می شويم .

• Smurf/smurfing : اين نوع حملات مبتنی بر تابع Reply پروتکل Internet Control Message Protocol) ICMP) ،بوده و بيشتر با نام ping شناخته شده می باشند .( Ping ، ابزاری است که پس از فعال شدن از طريق خط دستور ، تابع Reply پروتکل ICMP را فرامی خواند) . در اين نوع حملات ، مهاجم اقدام به ارسال بسته های اطلاعاتی Ping به آدرس های Broadcast شبکه نموده که در آنان آدرس مبداء هر يک از بسته های اطلاعاتی Ping شده با آدرس کامپيوتر قربانی ، جايگزين می گردد .بدين ترتيب يک ترافيک کاذب در شبکه ايجاد و امکان استفاده از منابع شبکه با اختلال مواجه می گردد.
• Fraggle : اين نوع از حملات شباهت زيادی با حملات از نوع Smurf داشته و تنها تفاوت موجود به استفاده از User Datagram Protocol ) UDP) در مقابل ICMP ، برمی گردد . در حملات فوق ، مهاجمان اقدام به ارسال بسته های اطلاعاتی UDP به آدرس های Broadcast ( مشابه تهاجم Smurf ) می نمايند . اين نوع از بسته های اطلاعاتی UDP به مقصد پورت 7 ( echo ) و يا پورت 19 ( Chargen ) ، هدايت می گردند.
• Ping flood : در اين نوع تهاجم ، با ارسال مستقيم درخواست های Ping به کامپيوتر فربانی ، سعی می گردد که سرويس ها بلاک و يا فعاليت آنان کاهش يابد. در يک نوع خاص از تهاجم فوق که به ping of death ، معروف است ، اندازه بسته های اطلاعاتی به حدی زياد می شود که سيستم ( کامپيوتر قربانی ) ، قادر به برخورد مناسب با اينچنين بسته های اطلاعاتی نخواهد بود .
• SYN flood : در اين نوع تهاجم از مزايای three-way handshake مربوط به TCP استفاده می گردد . سيستم مبداء اقدام به ارسال مجموعه ای گسترده از درخواست های synchronization ) SYN) نموده بدون اين که acknowledgment ) ACK) نهائی آنان را ارسال نمايد. بدين ترتيب half-open TCP sessions (ارتباطات نيمه فعال ) ، ايجاد می گردد . با توجه به اين که پشته TCP ، قبل از reset نمودن پورت ، در انتظار باقی خواهد ماند ، تهاجم فوق ، سرريز بافر اتصال کامپيوتر مقصد را به دنبال داشته و عملا" امکان ايجاد ارتباط وی با سرويس گيرندگان معتبر ، غير ممکن می گردد .
• Land : تهاجم فوق، تاکنون در نسخه های متفاوتی از سيستم های عامل ويندوز ، يونيکس ، مکينتاش و IOS سيسکو،مشاهده شده است . در اين نوع حملات ، مهاجمان اقدام به ارسال يک بسته اطلاعاتی TCP/IP synchronization ) SYN) که دارای آدرس های مبداء و مقصد يکسان به همراه پورت های مبداء و مقصد مشابه می باشد ، برای سيستم های هدف می نمايند . بدين ترتيب سيستم قربانی، قادر به پاسخگوئی مناسب بسته اطلاعاتی نخواهد بود .
• Teardrop : در اين نوع حملات از يکی از خصلت های UDP در پشته TCP/IP برخی سيستم های عامل ( TCPپياده سازی شده در يک سيستم عامل ) ، استفاده می گردد. در حملات فوق ، مهاجمان اقدام به ارسال بسته های اطلاعاتی fragmented برای سيستم هدف با مقادير افست فرد در دنباله ای از بسته های اطلاعاتی می نمايند . زمانی که سيستم عامل سعی در بازسازی بسته های اطلاعاتی اوليه fragmented می نمايد، قطعات ارسال شده بر روی يکديگر بازنويسی شده و اختلال سيستم را به دنبال خواهد داشت . با توجه به عدم برخورد مناسب با مشکل فوق در برخی از سيستم های عامل ، سيستم هدف ، Crash و يا راه اندازی مجدد می گردد .
• Bonk : اين نوع از حملات بيشتر متوجه ماشين هائی است که از سيستم عامل ويندوز استفاده می نمايند . در حملات فوق ، مهاجمان اقدام به ارسال بسته های اطلاعاتی UDP مخدوش به مقصد پورت 53 DNS ، می نمايند بدين ترتيب در عملکرد سيستم اختلال ايجاد شده و سيستم Crash می نمايد .
• Boink : اين نوع از حملات مشابه تهاجمات Bonk می باشند. با اين تفاوت که در مقابل استفاده از پورت 53 ، چندين پورت ، هدف قرارمی گيرد .

 

Port	Service
7	Echo
11	Systat
15	Netstat
19	Chargen
20	FTP-Data
21	FTP
22	SSH
23	Telnet
25	SMTP
49	TACACS
53	DNS
80	HTTP
110	POP3
111	Portmap
161/162	SNMP
443	HTTPS
1812	RADIUS

متداولترين پورت های استفاده شده در حملات DoS

يکی ديگر از حملات DoS ، نوع خاص و در عين حال ساده ای از يک حمله DoS می باشد که با نام Distributed DoS ) DDoS) ، شناخته می شود .در اين رابطه می توان از نرم افزارهای متعددی به منظور انجام اين نوع حملات و از درون يک شبکه ، استفاده بعمل آورد. کاربران ناراضی و يا افرادی که دارای سوء نيت می باشند، می توانند بدون هيچگونه تاثيری از دنيای خارج از شیکه سازمان خود ، اقدام به ازکارانداختن سرويس ها در شبکه نمايند. در چنين حملاتی ، مهاجمان نرم افزاری خاص و موسوم به Zombie را توزيع می نمايند . اين نوع نرم افزارها به مهاجمان اجازه خواهد داد که تمام و يا بخشی از سيستم کامپيوتری آلوده را تحت کنترل خود درآورند. مهاجمان پس از آسيب اوليه به سيستم هدف با استفاده از نرم افزار نصب شده Zombie ، تهاجم نهائی خود را با بکارگيری مجموعه ای وسيع از ميزبانان انجام خواهند داد. ماهيت و نحوه انجام اين نوع از حملات ، مشابه يک تهاجم استاندارد DoS بوده ولی قدرت تخريب و آسيبی که مهاجمان متوجه سيستم های آلوده می نمايند ، متاثر از مجموع ماشين هائی ( Zombie ) است که تحت کنترل مهاجمان قرار گرفته شده است .
به منظور حفاظت شبکه ، می توان فيلترهائی را بر روی روترهای خارجی شبکه به منظور دورانداختن بسته های اطلاعاتی مشمول حملات DoS ، پيکربندی نمود .در چنين مواردی می بايست از فيلتری ديگر که امکان مشاهده ترافيک (مبداء از طريق اينترنت) و يک آدرس داخلی شبکه را فراهم می نمايد ، نيز استفاده گردد .

حملات از نوع Back door
Back door ، برنامه ای است که امکان دستيابی به يک سيستم را بدون بررسی و کنترل امنيتی ، فراهم می نمايد . برنامه نويسان معمولا" چنين پتانسيل هائی را در برنامه ها پيش بينی تا امکان اشکال زدائی و ويرايش کدهای نوشته شده در زمان تست بکارگيری نرم افزار ، فراهم گردد. با توجه به اين که تعداد زيادی از امکانات فوق ، مستند نمی گردند ، پس از اتمام مرحله تست به همان وضعيت باقی مانده و تهديدات امنيتی متعددی را به دنبال خواهند داشت .
برخی از متداولترين نرم افزارها ئی که از آنان به عنوان back door استفاده می گردد ، عبارتند از :

• Back Orifice : برنامه فوق يک ابزار مديريت از راه دور می باشد که به مديران سيستم امکان کنترل يک کامپيوتر را از راه دور ( مثلا" از طريق اينترنت ) ، خواهد داد. نرم افزار فوق ، ابزاری خطرناک است که توسط گروهی با نام Cult of the Dead Cow Communications ، ايجاد شده است . اين نرم افزار دارای دو بخش مجزا می باشد : يک بخش سرويس گيرنده و يک بخش سرويس دهنده . بخش سرويس گيرنده بر روی يک ماشين اجراء و زمينه مانيتور نمودن و کنترل يک ماشين ديگر که بر روی آن بخش سرويس دهنده اجراء شده است را فراهم می نمايد .
• NetBus : اين برنامه نيز نظير Back Orifice ، امکان دستيابی و کنترل از راه دور يک ماشين از طريق اينترنت را فراهم می نمايد.. برنامه فوق تحت سيستم عامل ويندوز ( نسخه های متفاوت از NT تا 95 و 98 ) ، اجراء و از دو بخش جداگانه تشکيل شده است : بخش سرويس دهنده ( بخشی که بر روی کامپيوتر قربانی مستقر خواهد شد ) و بخش سرويس گيرنده ( برنامه ای که مسوليت يافتن و کنترل سرويس دهنده را برعهده دارد ) . برنامه فوق ، به حريم خصوصی کاربران در زمان اتصال به اينترنت ، تجاوز و تهديدات امنيتی متعددی را به دنبال خواهد داشت .
• Sub7) SubSeven) ، اين برنامه برنامه نيز تحت ويندوز اجراء شده و دارای عملکردی مشابه Back Orifice و NetBus می باشد . پس از فعال شدن برنامه فوق بر روی سيستم هدف و اتصال به اينترنت ،هر شخصی که دارای نرم افزار سرويس گيرنده باشد ، قادر به دستيابی نامحدود به سيستم خواهد بود .

نرم افزارهای Back Orifice ، NetBus, Sub7 دارای دو بخش ضروری سرويس دهنده و سرويس گيرنده، می باشند . سرويس دهنده بر روی ماشين آلوده مستقر شده و از بخش سرويس گيرنده به منظور کنترل از راه دور سرويس دهنده ، استفاده می گردد.به نرم افزارهای فوق ، " سرويس دهندگان غيرقانونی " گفته می شود .
برخی از نرم افزارها از اعتبار بالائی برخوردار بوده ولی ممکن است توسط کاربرانی که اهداف مخربی دارند ، مورد استفاده قرار گيرند :

• Virtual Network Computing)VNC) : نرم افزار فوق توسط آزمايشگاه AT&T و با هدف کنترل از راه دور يک سيستم ، ارائه شده است . با استفاده از برنامه فوق ، امکان مشاهده محيط Desktop از هر مکانی نظير اينترنت ، فراهم می گردد . يکی از ويژگی های جالب اين نرم افزار ، حمايت گسترده از معماری های متفاوت است .
• PCAnywhere : نرم افزار فوق توسط شرکت Symantec ، با هدف کنترل از راه دور يک سيستم با لحاظ نمودن فن آوری رمزنگاری و تائيد اعتبار ، ارائه شده است . با توجه به سهولت استفاده از نرم افزار فوق ، شرکت ها و موسسات فراوانی در حال حاضر از آن و به منظور دستيابی به يک سيستم از راه دور استفاده می نمايند .
• Terminal Services : نرم افزار فوق توسط شرکت مايکروسافت و به همراه سيستم عامل ويندوز و به منظور کنترل از راه دور يک سيستم ، ارائه شده است .

همانند ساير نرم افزارهای کاربردی ، نرم افزارهای فوق را می توان هم در جهت اهداف مثبت و هم در جهت اهداف مخرب بکارگرفت.
بهترين روش به منظور پيشگيری از حملات Back doors ، آموزش کاربران و مانيتورينگ عملکرد هر يک از نرم افزارهای موجود می باشد. به کاربران می بايست آموزش داده شود که صرفا" از منابع و سايت های مطمئن اقدام به دريافت و نصب نرم افزار بر روی سيستم خود نمايند . نصب و استفاده از برنامه های آنتی ويروس می تواند کمک قابل توجهی در بلاک نمودن عملکرد اينچنين نرم افزارهائی ( نظير : Back Orifice, NetBus, and Sub7 ) را به دنبال داشته باشد . برنامه های آنتی ويروس می بايست به صورت مستمر بهنگام شده تا امکان شناسائی نرم افزارهای جديد ، فراهم گردد .

در بخش سوم اين مقاله به بررسی ساير حملات ، خواهيم پرداخت .

امنيت اطلاعات و ايمن سازی شبکه های کامپيوتری از جمله موضوعاتی است که اين روزها در کانون توجه تمامی سازمان ها و موسسات قرار گرفته شده است . در يک شبکه کامپيوتری به منظور ارائه خدمات به کاربران ، سرويس ها و پروتکل های متعددی نصب و پيکربندی می گردد. برخی از سرويس ها دارای استعداد لازم برای انواع حملات بوده و لازم است در مرحله اول و در زمان نصب و پيکربندی آنان ، دقت لازم در خصوص رعايت مسائل ايمنی انجام و در مرحله دوم سعی گردد که از نصب سرويس ها و پروتکل های غيرضروری ، اجتناب گردد . در اين مقاله قصد داريم از اين زاويه به مقوله امنيت اطلاعات و ايمن سازی شبکه های کامپيوتری پرداخته و در ادامه با انواع حملاتی که امروزه متوجه شبکه های کامپيوتری است ، بيشتر آشنا شويم . قطعا" شناسائی سرويس های غيرضروری و انواع حملاتی که مهاجمان با استفاده از آنان شبکه های کامپيوتری را هدف قرار می دهند ، زمينه برپاسازی و نگهداری شبکه های کامپيوتری ايمن و مطمئن را بهتر فراهم می نمايد .

مقدمه
حملات در يک شبکه کامپيوتری حاصل پيوند سه عنصر مهم سرويس ها ی فعال ، پروتکل های استفاده شده و پورت های باز می باشد . يکی از مهمترين وظايف کارشناسان فن آوری اطلاعات ، اطيمنان از ايمن بودن شبکه و مقاوم بودن آن در مقابل حملات است (مسئوليتی بسيار خطير و سنگين ) . در زمان ارائه سرويس دهندگان ، مجموعه ای از سرويس ها و پروتکل ها به صورت پيش فرض فعال و تعدادی ديگر نيز غير فعال شده اند.اين موضوع ارتباط مستقيمی با سياست های يک سيستم عامل و نوع نگرش آنان به مقوله امنيت دارد. در زمان نقد امنيتی سيستم های عامل ، پرداختن به موضوع فوق يکی از محورهائی است که کارشناسان امنيت اطلاعات با حساسيتی بالا آنان را دنبال می نمايند.
اولين مرحله در خصوص ايمن سازی يک محيط شبکه ، تدوين ، پياده سازی و رعايت يک سياست امنيتی است که محور اصلی برنامه ريزی در خصوص ايمن سازی شبکه را شامل می شود . هر نوع برنامه ريزی در اين رابطه مستلزم توجه به موارد زير است :

• بررسی نقش هر سرويس دهنده به همراه پيکربندی انجام شده در جهت انجام وظايف مربوطه در شبکه
• انطباق سرويس ها ، پروتکل ها و برنامه های نصب شده با خواسته ها ی يک سازمان
• بررسی تغييرات لازم در خصوص هر يک از سرويس دهندگان فعلی (افزودن و يا حذف سرويس ها و پروتکل های غيرضروری ، تنظيم دقيق امنيتی سرويس ها و پروتکل های فعال ) .

تعلل و يا ناديده گرفتن فاز برنامه ريزی می تواند زمينه بروز يک فاجعه عظيم اطلاعاتی را در يک سازمان به دنبال داشته باشد . متاسفانه در اکثر موارد توجه جدی به مقوله برنامه ريزی و تدوين يک سياست امنيتی نمی گردد . فراموش نکنيم که فن آوری ها به سرعت و به صورت مستمر در حال تغيير بوده و می بايست متناسب با فن آوری های جديد ، تغييرات لازم با هدف افزايش ضريب مقاومت سرويس دهندگان و کاهش نقاط آسيب پذير آنان با جديت دنبال شود . نشستن پشت يک سرويس دهنده و پيکربندی آن بدون وجود يک برنامه مدون و مشخص ، امری بسيار خطرناک بوده که بستر لازم برای بسياری از حملاتی که در آينده اتفاق خواهند افتاد را فراهم می نمايد . هر سيستم عامل دارای مجموعه ای از سرويس ها ، پروتکل ها و ابزارهای خاص خود بوده و نمی توان بدون وجود يک برنامه مشخص و پويا به تمامی ابعاد آنان توجه و از پتانسيل های آنان در جهت افزايش کارائی و ايمن سازی شبکه استفاده نمود. پس از تدوين يک برنامه مشخص در ارتباط با سرويس دهندگان ، می بايست در فواصل زمانی خاصی ، برنامه های تدوين يافته مورد بازنگری قرار گرفته و تغييرات لازم در آنان با توجه به شرايط موجود و فن آوری های جديد ارائه شده ، اعمال گردد . فراموش نکنيم که حتی راه حل های انتخاب شده فعلی که دارای عملکردی موفقيت آميز می باشند ، ممکن است در آينده و با توجه به شرايط پيش آمده قادر به ارائه عملکردی صحيح ، نباشند .

وظيفه يک سرويس دهنده
پس از شناسائی جايگاه و نقش هر سرويس دهنده در شبکه می توان در ارتباط با سرويس ها و پروتکل های مورد نياز آن به منظور انجام وظايف مربوطه ، تصميم گيری نمود . برخی از سرويس دهندگان به همراه وظيفه آنان در يک شبکه کامپيوتری به شرح زير می باشد :

• Logon Server : اين نوع سرويس دهندگان مسئوليت شناسائی و تائيد کاربران در زمان ورود به شبکه را برعهده دارند . سرويس دهندگان فوق می توانند عمليات خود را به عنوان بخشی در کنار ساير سرويس دهندگان نيز انجام دهند .
• Network Services Server : اين نوع از سرويس دهندگان مسئوليت ميزبان نمودن سرويس های مورد نياز شبکه را برعهده دارند . اين سرويس ها عبارتند از :
  - Dynamic Host Configuration Protocol ) DHCP)
  - Domain Name System ) DNS)
  - Windows Internet Name Service) WINS)
  - Simple Network Management Protocol ) SNMP)
• Application Server : اين نوع از سرويس دهندگان مسئوليت ميزبان نمودن برنامه ها ی کاربردی نظير بسته نرم افزاری Accounting و ساير نرم افزارهای مورد نياز در سازمان را برعهده دارند .
• File Server : از اين نوع سرويس دهندگان به منظور دستيابی به فايل ها و دايرکتوری ها ی کاربران ، استفاده می گردد .
• Print Server : از اين نوع سرويس دهندگان به منظور دستيابی به چاپگرهای اشتراک گذاشته شده در شبکه ، استفاده می شود .
• Web Server : اين نوع سرويس دهندگان مسئوليت ميزبان نمودن برنامه های وب و وب سايت های داخلی و يا خارجی را برعهده دارند .
• FTP Server : اين نوع سرويس دهندگان مسئوليت ذخيره سازی فايل ها برای انجام عمليات Downloading و Uploading را برعهده دارند. سرويس دهندگان فوق می توانند به صورت داخلی و يا خارجی استفاده گردند .
• Email Server : اين نوع سرويس دهندگان مسئوليت ارائه سرويس پست الکترونيکی را برعهده داشته و می توان از آنان به منظور ميزبان نمودن فولدرهای عمومی و برنامه های Gropuware ، نيز استفاده نمود.
• News/Usenet (NNTP) Server : اين نوع سرويس دهندگان به عنوان يک سرويس دهنده newsgroup بوده و کاربران می توانند اقدام به ارسال و دريافت پيام هائی بر روی آنان نمايند .

به منظور شناسائی سرويس ها و پروتکل های مورد نياز بر روی هر يک از سرويس دهندگان ، می بايست در ابتدا به اين سوال پاسخ داده شود که نحوه دستيابی به هر يک از آنان به چه صورت است ؟ : شبکه داخلی ، شبکه جهانی و يا هر دو مورد . پاسخ به سوال فوق زمينه نصب و پيکربندی سرويس ها و پروتکل های ضروری و حذف و غير فعال نمودن سرويس ها و پروتکل های غيرضروری در ارتباط با هر يک از سرويس دهندگان موجود در يک شبکه کامپيوتری را فراهم می نمايد .

سرويس های حياتی و موردنياز
هر سيستم عامل به منظور ارائه خدمات و انجام عمليات مربوطه ، نيازمند استفاده از سرويس های متفاوتی است . در حالت ايده آل ، عمليات نصب و پيکربندی يک سرويس دهنده می بايست صرفا" شامل سرويس ها و پروتکل های ضروری و مورد نياز به منظور انجام وظايف هر سرويس دهنده باشد. معمولا" توليد کنندگان سيستم های عامل در مستندات مربوطه به اين سرويس ها اشاره می نمايند. استفاده از مستندات و پيروی از روش های استاندارد ارائه شده برای پيکربندی و آماده سازی سرويس دهندگان ،زمينه نصب و پيکربندی مطمئن با رعايت مسائل ايمنی را بهتر فراهم می نمايد .
زمانی که کامپيوتری در اختيار شما گذاشته می شود ، معمولا" بر روی آن نرم افزارهای متعددی نصب و پيکربندی های خاصی نيز در ارتباط با آن اعمال شده است . يکی از مطمئن ترين روش ها به منظور آگاهی از اين موضوع که سيستم فوق انتظارات شما را متناسب با برنامه تدوين شده ، تامين می نمايد ، انجام يک نصب Clean با استفاده از سياست ها و ليست ها ی از قبل مشخص شده است . بدين ترتيب در صورت بروز اشکال می توان به سرعت از اين امر آگاهی و هر مشکل را در محدوده خاص خود بررسی و برای آن راه حلی انتخاب نمود. ( شعاع عمليات نصب و پيکربندی را به تدريج افزايش دهيم ) .

مشخص نمودن پروتکل های مورد نياز
برخی از مديران شبکه عادت دارند که پروتکل های غيرضروری را نيز بر روی سيستم نصب نمايند ، يکی از علل اين موضوع ، عدم آشنائی دقيق آنان با نقش و عملکرد هريک از پروتکل ها در شبکه بوده و در برخی موارد نيز بر اين اعتقاد هستند که شايد اين پروتکل ها در آينده مورد نياز خواهد بود. پروتکل ها همانند سرويس ها ، تا زمانی که به وجود آنان نياز نمی باشد ، نمی بايست نصب گردند . با بررسی يک محيط شبکه با سوالات متعددی در خصوص پروتکل های مورد نياز برخورد نموده که پاسخ به آنان امکان شناسائی و نصب پروتکل های مورد نياز را فراهم نمايد .

• به چه نوع پروتکل و يا پروتکل هائی برای ارتباط سرويس گيرندگان ( Desktop ) با سرويس دهندگان ، نياز می باشد ؟
• به چه نوع پروتکل و يا پروتکل هائی برای ارتباط سرويس دهنده با سرويس دهنده ، نياز می باشد ؟
• به چه نوع پروتکل و يا پروتکل هائی برای ارتباط سرويس گيرندگان ( Desktop ) از راه دور با سرويس دهندگان ، نياز می باشد ؟
• آيا پروتکل و يا پروتکل های انتخاب شده ما را ملزم به نصب سرويس های اضافه ای می نمايند ؟
• آيا پروتکل های انتخاب شده دارای مسائل امنيتی خاصی بوده که می بايست مورد توجه و بررسی قرار گيرد ؟

در تعداد زيادی از شبکه های کامپيوتری ،از چندين سيستم عامل نظير ويندوز ، يونيکس و يا لينوکس ، استفاده می گردد . در چنين مواردی می توان از پروتکل TCP/IP به عنوان فصل مشترک بين آنان استفاده نمود. در ادامه می بايست در خصوص فرآيند اختصاص آدرس های IP تصيم گيری نمود ( به صورت ايستا و يا پويا و به کمک DHCP ) . در صورتی که تصميم گرفته شود که فرآيند اختصاص آدرس های IP به صورت پويا و به کمک DHCP ، انجام شود، به يک سرويس اضافه و با نام DHCP نياز خواهيم داشت . با اين که استفاده از DHCP مديريت شبکه را آسانتر می نمايد ولی از لحاظ امنيتی دارای درجه پائين تری نسبت به اختصاص ايستای آدرس های IP ، می باشد چراکه کاربران ناشناس و گمنام می توانند پس از اتصال به شبکه ، بلافاصله از منبع صادرکننده آدرس های IP ، يک آدرس IP را دريافت و به عنوان يک سرويس گيرنده در شبکه ايفای وظيفه نمايند. اين وضعيت در ارتباط با شبکه های بدون کابل غيرايمن نيز صدق می نمايد. مثلا" يک فرد می تواند با استقرار در پارکينگ يک ساختمان و به کمک يک Laptop به شبکه شما با استفاده از يک اتصال بدون کابل ، متصل گردد. پروتکل TCP/IP ، برای "معادل سازی نام به آدرس " از يک سرويس دهنده DNS نيز استفاده می نمايد . در شبکه های ترکيبی شامل چندين سيستم عامل نظير ويندوز و يونيکس و با توجه به اين که ويندوز NT 4.0 و يا 2000 شده است ، علاوه بر DNS به سرويس WINS نيز نياز می باشد . همزمان با انتخاب پروتکل ها و سرويس های مورد نياز آنان ، می بايست بررسی لازم در خصوص چالش های امنيتی هر يک از آنان نيز بررسی و اطلاعات مربوطه مستند گردند( مستندسازی ، ارج نهادن به زمان خود و ديگران است ) . راه حل انتخابی ، می بايست کاهش تهديدات مرتبط با هر يک از سرويس ها و پروتکل ها را در يک شبکه به دنبال داشته باشد .

مزايای غيرفعال نمودن پروتکل ها و سرويس های غيرضروری
استفاده عملياتی از يک سرويس دهنده بدون بررسی دقيق سرويس ها ، پروتکل ها و پيکربندی متنتاظر با هر يک از آنان زمينه بروز تهديدات و حملات را در يک شبکه به دنبال خواهد داشت . فراموش نکنيم که مهاجمان همواره قربانيان خود را از بين سرويس دهندگانی که به درستی پيکربندی نشده اند ، انتخاب می نمايند. بنابراين می بايست به سرعت در خصوص سرويس هائی که قصد غيرفعال نمودن آنان را داريم ، تصميم گيری شود . قطعا" نصب سرويس ها و يا پروتکل هائی که قصد استفاده از آنان وجود ندارد ، امری منطقی و قابل قبول نخواهد بود. در صورتی که اين نوع از سرويس ها نصب و به درستی پيکربندی نگردند ، مهاجمان می توانند با استفاده از آنان ، آسيب های جدی را متوجه شبکه نمايند . تهديد فوق می تواند از درون شبکه و يا خارج از شبکه متوجه يک شبکه کامپيوتری گردد . بر اساس برخی آمارهای منتشر شده ، اغلب آسيب ها و تهديدات در شبکه يک سازمان توسط کارکنان کنجکا و و يا ناراضی صورت می پذيرد تا از طريق مهاجمان خارج از شبکه .
بخاطر داشته باشيد که ايمن سازی شبکه های کامپيوتری مستلزم اختصاص زمان لازم و کافی برای برنامه ريزی است . سازمان ها و موسسات علاقه مندند به موازات عرضه فن آوری های جديد ، به سرعت از آنان استفاده نموده تا بتوانند از مزايای آنان در جهت اهداف سازمانی خود استفاده نمايند. تعداد و تنوع گزينه های انتخابی در خصوص پيکربندی هر سيستم عامل ، به سرعت رشد می نمايد . امروزه وجود توانائی لازم در جهت شناسائی و پياده سازی سرويس ها و پروتکل های مورد نياز در يک شبکه خود به يک مهارت ارزشمند تبديل شده است. بنابراين لازم است کارشناسان فن آوری اطلاعات که مسئوليت شغلی آنان در ارتباط با شبکه و ايمن سازی اطلاعات است ، به صورت مستمر و با اعتقاد به اصل بسيار مهم " اشتراک دانش و تجارب " ، خود را بهنگام نمايند. اعتقاد عملی به اصل فوق ، زمينه کاهش حملات و تهديدات را در هر شبکه کامپيوتری به دنبال خواهد داشت .

حملات ( Attacks )
با توجه به ماهيت ناشناس بودن کاربران شبکه های کامپيوتری ، خصوصا" اينترنت ،امروزه شاهد افزايش حملات بر روی تمامی انواع سرويس دهندگان می باشيم . علت بروز چنين حملاتی می تواند از يک کنجکاوی ساده شروع و تا اهداف مخرب و ويرانگر ادامه يابد.
برای پيشگيری ، شناسائی ، برخورد سريع و توقف حملات ، می بايست در مرحله اول قادر به تشخيص و شناسائی زمان و موقعيت بروز يک تهاجم باشيم . به عبارت ديگر چگونه از بروز يک حمله و يا تهاجم در شبکه خود آگاه می شويم ؟ چگونه با آن برخورد نموده و در سريعترين زمان ممکن آن را متوقف نموده تا ميزان صدمات و آسيب به منابع اطلاعاتی سازمان به حداقل مقدار خود برسد ؟ شناسائی نوع حملات و نحوه پياده سازی يک سيستم حفاظتی مطمئن در مقابل آنان يکی از وظايف مهم کارشناسان امنيت اطلاعات و شبکه های کامپيوتری است .شناخت دشمن و آگاهی از روش های تهاجم وی ، احتمال موفقيت ما را در روياروئی با آنان افزايش خواهد داد. بنابراين لازم است با انواع حملات و تهاجماتی که تاکنون متوجه شبکه های کامپيوتری شده است ، بيشتر آشنا شده و از اين رهگذر تجاربی ارزشمند را کسب تا در آينده بتوانيم به نحو مطلوب از آنان استفاده نمائيم . جدول زير برخی از حملات متداول را نشان می دهد :

انواع حملات
Denial of Service (DoS) & Distributed Denial of Service (DDoS)
Back Door	Spoofing
Man in the Middle	Replay
TCP/IP Hijacking	Weak Keys
Mathematical	Password Guessing
Brute Force	Dictionary
Birthday	Software Exploitation
Malicious Code	Viruses
Virus Hoaxes	Trojan Horses
Logic Bombs	Worms
Social Engineering	Auditing
System Scanning

در بخش دوم اين مقاله به بررسی هر يک از حملات فوق ، خواهيم پرداخت .

امروزه شاهد گسترش  حضور کامپيوتر در تمامی ابعاد زندگی خود می باشيم . کافی است به اطراف خود نگاهی داشته باشيم تا به صحت گفته فوق بيشتر واقف شويم . همزمان با  گسترش استفاده از کامپيوترهای شخصی و مطرح شدن شبکه های کامپيوتری و به دنبال آن اينترنت (بزرگترين شبکه جهانی ) ، حيات کامپيوترها و کاربران آنان دستخوش  تغييرات اساسی شده است . استفاده کنندگان کامپيوتر به منظور استفاده از دستاوردها و مزايای فن آوری اطلاعات و ارتباطات ، ملزم به رعايت اصولی خاص و اهتمام جدی به تمامی مولفه های تاثير گذار در تداوم ارائه خدمات در يک سيستم کامپيوتری می باشند . امنيت اطلاعات و ايمن سازی شبکه های کامپيوتری از جمله اين مولفه ها بوده که نمی توان آن را مختص يک فرد و يا سازمان در نظر گرفت . پرداختن به مقوله امنيت اطلاعات و ايمن سازی شبکه های کامپيوتری در هر کشور ، مستلزم توجه تمامی کاربران صرفنظر از موقعيت شغلی و سنی به جايگاه امنيت اطلاعات و ايمن سازی شبکه های کامپيوتری بوده و می بايست به اين مقوله در سطح کلان و از بعد منافع ملی نگاه کرد. وجود ضعف امنيتی در شبکه های کامپيوتری و اطلاعاتی ، عدم آموزش و توجيه صحيح تمامی کاربران صرفنظر از مسئوليت شغلی آنان نسبت به جايگاه و اهميت امنيت اطلاعات ، عدم وجود دستورالعمل های لازم برای پيشگيری از نقايص امنيتی ، عدم وجود سياست های مشخص و مدون به منظور برخورد مناسب و بموقع با اشکالات  امنيتی ، مسائلی را به دنبال خواهد داشت که ضرر آن متوجه تمامی کاربران کامپيوتر در يک کشور شده و عملا" زيرساخت اطلاعاتی يک کشور را در معرض آسيب و تهديد جدی قرار می دهد .
در اين مقاله قصد داريم به بررسی مبانی و اصول اوليه امنيت اطلاعات و ايمن سازی شبکه های کامپيوتری پرداخته و از اين رهگذر با مراحل مورد نياز به منظور حفاظت کامپيوترها در مقابل حملات ، بيشتر آشنا شويم .

اهميت امنيت اطلاعات و ايمن سازی کامپيوترها
تمامی کامپيوترها از کامپيوترهای موجود در منازل تا کامپيوترهای موجود در سازمان ها  و موسسات بزرگ ، در معرض آسيب و تهديدات امنيتی می باشند .با انجام تدابير لازم و استفاده از برخی روش های  ساده می توان پيشگيری لازم و اوليه ای را خصوص ايمن سازی محيط کامپيوتری خود انجام داد.عليرغم تمامی مزايا و دستاوردهای اينترنت ، اين شبکه عظيم به همراه فن آوری های مربوطه ، دريچه ای را در مقابل تعداد زيادی از تهديدات امنيتی برای تمامی استفاده کنندگان ( افراد ، خانواده ها ، سازمان ها ، موسسات و ... ) ، گشوده است . با توجه به ماهيت حملات ، می بايست در انتظار نتايج نامطلوب متفاوتی بود( از مشکلات و مزاحمت های اندک تا از کار انداختن سرويس ها و خدمات ) .در معرض آسيب قرار گرفتن داده ها و اطلاعات حساس ، تجاوز به حريم خصوصی کاربران ، استفاده از کامپيوتر کاربران برای تهاجم بر عليه ساير کامپيوترها ، از جمله اهداف مهاجمانی است که با بهره گيری از آخرين فن آوری های موجود ، حملات خود را سازماندهی و بالفعل می نمايند . بنابراين ، می بايست به موضوع امنيت اطلاعات ، ايمن سازی کامپيوترها و شبکه های کامپيوتری، توجه جدی شده و از فرآيندهای متفاوتی در جهت مقاوم سازی آنان ، استفاده گردد .

داده ها و اطلاعات حساس در معرض تهديد
تقريبا" هر نوع تهاجم ، تهديدی است در مقابل حريم خصوصی ، پيوستگی ، اعتبار و صحت داده ها .يک سارق اتومبيل می تواند در هر لحظه صرفا" يک اتومبيل را سرقت نمايد ، در صورتی که يک مهاجم با بکارگيری صرفا" يک دستگاه کامپيوتر ، می تواند آسيب های فراوانی را متوجه تعداد زيادی از شبکه های کامپيوتری نموده و باعث بروز اشکالاتی متعدد در زيرساخت اطلاعاتی يک کشورگردد. آگاهی لازم در رابطه با تهديدات امنيـتی و نحوه حفاظت خود در مقابل آنان ، امکان حفاظت اطلاعات و داده های حساس را در يک شبکه کامپيوتری فراهم می نمايد .

ويروس ها
ويروس های کامپيوتری ، متداولترين نوع تهديدات امنيتی در ساليان اخير بوده که تاکنون مشکلات گسترده ای را ايجاد و همواره از خبرسازترين موضوعات در زمينه کامپيوتر و شبکه های کامپيوتری ، بوده اند. ويروس ها ، برنامه هائی کامپيوتری می باشند که توسط برنامه نويسان گمراه و در عين حال ماهر نوشته شده و بگونه ای طراحی می گردند که قادر به تکثير خود و آلودگی کامپيوترها بر اثر وقوع يک رويداد خاص ، باشند . مثلا" ويروس ها ئی که از آنان با نام "ماکرو ويروس " ياد می شود ، خود را به فايل هائی شامل دستورالعمل های ماکرو ملحق نموده و در ادامه ، همزمان با فعال شدن ماکرو ، شرايط لازم به منظور اجرای آنان نيز فراهم می گردد.برخی از ويروس ها بی آزار بوده و صرفا" باعث بروز اختلالات موقت در روند انجام عمليات در کامپيوتر می شوند ( نظير نمايش يک پيام مضحک بر روی صفحه نمايشگر همزمان با فشردن يک کليد خاص توسط کاربر) . برخی ديگر از ويروس ها دارای عملکردی مخرب تر بوده و می توانند مسائل و مشکلات بيشتری نظير حذف فايل ها و يا کاهش سرعت سيستم را به دنبال داشته باشند. يک کامپيوتر صرفا" زمانی آلوده به يک ويروس می گردد که شرايط و امکان ورود ويروس از يک منبع خارجی (  اغلب از طريق فايل ضميمه يک نامه الکترونيکی و يا دريافت و نصب يک فايل و يا برنامه آلوده از اينترنت ) ، برای آن فراهم گردد . زمانی که يک کامپيوتر در شبکه ای آلوده گرديد ، ساير کامپيوترها ی موجود در شبکه و يا ساير کامپيوترهای موجود در اينترنت، دارای استعدادی مناسب  به منظور مشارکت و همکاری با ويروس،خواهند بود.

برنامه های اسب تروا ( دشمنانی در لباس دوست )
برنامه های اسب تروا و يا Trojans ، به منزله ابزارهائی برای توزيع کد های مخرب می باشند . تروجان ها ، می توانند بی آزار بوده  و يا حتی نرم افزاری مفيدی نظير بازی های کامپيوتری باشند که با تغيير قيافه و با  لباسی مبدل و ظاهری مفيد خود را عرضه می نمايند. تروجان ها ، قادر به انجام عمليات متفاوتی نظير حذف فايل ها ، ارسال يک نسخه از خود به ليست آدرس های پست الکترونيکی ، می باشند. اين نوع از برنامه ها صرفا" می توانند از طريق تکثير برنامه های اسب تروا به يک کامپيوتر،دريافت فايل از طريق اينترنت و يا باز نمودن يک فايل ضميمه همراه يک نامه الکترونيکی ، اقدام به آلودگی يک سيستم نمايند.

ويرانگران
در وب سايت های متعددی از نرم افزارهائی نظير اکتيوايکس ها و يا اپلت های جاوا استفاده می گردد . اين نوع برنامه ها به منطور ايجاد انيميشن و ساير افکت های خاص مورد استفاده قرار گرفته و جذابيت و ميزان تعامل  با کاربر را افزايش می دهند . با توجه به دريافت و نصب آسان اين نوع از برنامه ها توسط کاربران ، برنامه های فوق به ابزاری مطئمن و آسان به منظور آسيب رسانی به ساير سيستم ها تبديل شده اند . اين نوع  برنامه ها که به "ويرانگران" شهرت يافته اند ، به شکل يک برنامه نرم افزاری و يا اپلت ارائه و در دسترس استفاده کنندگان قرار می گيرند . برنامه های فوق ، قادر به ايجاد مشکلات متعددی برای کاربران می باشند( از بروز اشکال دريک فايل تا ايجاد اشکال در بخش اصلی يک سيستم کامپيوتری )  .

حملات
تاکنون حملات متعددی متوجه شبکه های کامپيوتری بوده که می توان تمامی آنان را به سه گروه عمده تقسيم نمود :

• حملات شناسائی : در اين نوع حملات ، مهاجمان اقدام به جمع آوری و شناسائی اطلاعات با هدف تخريب و آسيب رساندن به آنان می نمايند . مهاجمان در اين رابطه از نرم افزارهای خاصی نظير Sniffer  و يا Scanner  به منظور شناسائی نقاط ضعف و آسيب پذير کامپيوترها ، سرويس دهندگان وب و برنامه ها ، استفاده می نمايند . در اين رابطه برخی توليدکنندگان ، نرم افزارهائی را با اهداف خيرخواهانه طراحی و پياده سازی نموده اند که متاسفانه از آنان در جهت اهداف مخرب نيز استفاده می شود.مثلا" به منظور تشخيص و شناسائی رمز های عبور، نرم افزارهای متعددی تاکنون طراحی و پياده سازی شده است .نرم افرارهای فوق با هدف کمک به مديران شبکه ، افراد و کاربرانی که رمز عبور خود را فراموش کرده و يا آگاهی از رمز عبور افرادی که سازمان خود را بدون اعلام رمز عبور به مدير شبکه ، ترک نموده اند،استفاده می گردند. به هر حال وجود اين نوع نرم افزارها واقعيتی انکارناپذير بوده که می تواند به منزله يک سلاح مخرب در اختيار مهاجمان قرار گيرد .
• حملات دستيابی : دراين نوع حملات، هدف اصلی مهاجمان ، نفوذ در شبکه  و دستيابی به آدرس های پست الکترونيکی ، اطلاعات ذخيره شده در بانک های اطلاعاتی و ساير اطلاعات حساس، می باشد.
• حملات از کار انداختن سرويس ها  : در اين نوع حملات ، مهاجمان سعی در ايجاد مزاحمت  به منظور دستيابی به تمام و يا بخشی از امکانات موجود در شبکه برای کاربران مجازمی نمايند . حملات فوق به اشکال متفاوت و با بهره گيری از فن آوری های متعددی صورت می پذيرد . ارسال حجم بالائی از داده ها ی غيرواقعی برای يک ماشين متصل به  اينترنت و ايجاد ترافيک کاذب در شبکه ، نمونه هائی از اين نوع حملات می باشند.

ره گيری داده  ( استراق سمع )
بر روی هر شبکه کامپيوتری روزانه اطلاعات متفاوتی جابجا می گردد و همين امر می تواند موضوعی مورد علاقه برای مهاجمان باشد . در اين نوع حملات ، مهاجمان اقدام به استراق سمع و يا حتی تغيير بسته های اطلاعاتی در شبکه می نمايند . مهاجمان به منظور نيل به اهداف مخرب خود از روش های متعددی به منظور شنود اطلاعات ، استفاده می نمايند .

کلاهبرداری  ( ابتدا جلب اعتماد و سپس تهاجم )
کلاهبرداران از روش های متعددی به منظور اعمال شيادی خود استفاده می نمايند. با گشترش اينترنت اين نوع افراد فضای مناسبی برای اعمال مخرب خود يافته اند ( چراکه می توان به هزاران نفر در زمانی کوتاه و از طريق اينترنت دستيابی داشت ) . در برخی موارد شيادان با ارسال نامه های الکترونيکی وسوسه انگيز از خوانندگان می خواهند که اطلاعاتی خاص را برای آنان ارسال نموده و يا از يک سايت به عنوان طعمه در اين رابطه استفاده می نمايند. به منظور پيشگيری از اينگونه اعمال ، می بايست کاربران دقت لازم در خصوص درج نام ، رمز عبور و ساير اطلاعات شخصی در سايت هائی که نسبت به هويت آنان شک و ترديد وجود دارد را داشته باشند. با توجه به سهولت جعل آدرس های پست الکترونيکی ؛ می بايست به اين نکته توجه گردد که قبل از ارسال اطلاعات شخصی برای هر فرد ، هويت وی شناسائی گردد.هرگز بر روی لينک ها و يا ضمائمی که از طريق يک نامه الکترونيکی برای شما ارسال شده است ، کليک نکرده و همواره می بايست به شرکت ها و موسساتی که به طور شفاف آدرس فيزيکی و شماره تلفن های خود را ذکر نمی نمايند ، شک و ترديد داشت .

نامه های الکترونيکی ناخواسته
از واژه Spam  در ارتباط با نامه های الکترونيکی ناخواسته و يا پيام های تبليغاتی ناخواسته ، استفاده می گردد. اين نوع از نامه های الکترونيکی ، عموما" بی ضرر بوده و صرفا" ممکن است مزاحمت و يا دردسر ما را بيشتر نمايند . دامنه اين نوع مزاحمت ها می تواند از به هدر رفتن زمان کاربر تا هرز رفتن فضای ذخيره سازی بر روی کامپيوترهای کاربران را شامل می شود .

ابزارهای امنيتی
پس از آشنائی با تهديدات، می توان تمهيدات امنيتی لازم در خصوص پيشگيری و مقابله با آنان را انجام داد. بدين منظور می توان از فن آوری های متعددی نظير آنتی ويروس ها و يا فايروال ها ، استفاده بعمل آورد .

نرم افزارهای آنتی ويروس
نرم افزارهای آنتی ويروس ، قادر به شناسائی و برخورد مناسب با اکثر تهديدات مربوط به ويروس ها می باشند.( مشروط به اينکه اين نوع نرم افزارها به صورت منظم بهنگام شده و بدرستی پشتيبانی گردند). نرم افزارهای آنتی ويروس درتعامل اطلاعاتی با شبکه ای گسترده از کاربران بوده و در صورت ضرورت  پيام ها و هشدارهای لازم در خصوص ويروس های جديد را اعلام می نمايند. بدين ترتيب ، پس از شناسائی يک ويروس جديد ، ابزار مقابله با آن سريعا" پياده سازی و در اختيار عموم کاربران قرار می گيرد. با توجه به طراحی و پياده سازی ويروس های متعدد در سراسر جهان و گسترش سريع آنان از طريق اينترنت ، می بايست بانک اطلاعاتی ويروس ها  بر اساس فرآيندی مشخص و مستمر ، بهنگام گردد .

سياست های امنيتی
سازمان های بزرگ و  کوچک نيازمند ايجاد سياست های امنيتی لازم در خصوص استفاده از کامپيوتر و ايمن سازی اطلاعات و شبکه های کامپيوتری می باشند. سياست های امنيتی ، مجموعه قوانين لازم به منظور استفاده از کامپيوتر و شبکه های کامپيوتری بوده که در آن وظايف تمامی کاربران دقيقا" مشخص و در صورت ضرورت ، هشدارهای لازم به کاربران در خصوص استفاده از منابع موجود در شبکه داده می شود . دانش تمامی کاربرانی که به تمام و يا بخشی از شبکه دستيابی دارند ، می بايست به صورت منظم و با توجه به سياست های تدوين يافته ، بهنگام گردد ( آموزش مستمر و هدفمند با توجه به سياست های تدوين شده ) .

رمزهای عبور
هر سيستم کامپيوتری می بايست دارای ايمنی مناسبی در خصوص رمز های عبور باشد . استحکام رمزهای عبور ، ساده ترين و در عين حال متداولترين روش به منظور اطمينان از اين موضوع است که صرفا" افراد تائيد شده و مجاز قادر به استفاده از کامپيوتر و يا بخش های خاصی از شبکه می باشند . فراموش نکنيم که زيرساخت های امنيتی ايجاد شده ، در صورتی که کاربران دقت لازم در خصوص مراقبت از رمزهای عبور خود را نداشته باشند ، موثر نخواهد بود ( خط بطلانی بر تمامی تلاش های انجام شده) . اکثر کاربران در زمان انتخاب رمز عبور، از اعداد و يا کلماتی استفاده نمايند که بخاطر آوردن آنان ساده باشد( نظير تاريخ تولد ، شماره تلفن ).برخی ديگر از کاربران علاقه ای به تغيير منظم رمزهای عبور خود در مقاطع زمانی خاصی نداشته و همين امر می تواند زمنيه تشخيص رمزهای عبور توسط مهاجمان را فراهم نمايد.
در زمان تعريف رمز عبور می بايست تمهيدات لازم در خصوص استحکام و نگهداری مطلوب  آنان انديشيده گردد:

• حتی المقدور سعی گردد از رمز های عبور فاقد معنی خاصی استفاده گردد .
• به صورت منظم و در مقاطع زمانی مشخص شده ، اقدام به تغيير رمزهای عبور گردد .
• عدم افشای رمزهای عبور برای سايرين

فايروال ها
فايروال ، راه حلی سخت افزاری و يا نرم افزاری به منظور تاکيد ( اصرار ) بر سياست های امنيتی می باشد .يک فايروال نظير قفل موجود بر روی يک درب منزل  و يا بر روی درب يک اطاق درون منزل می باشد . بدين ترتيب صرفا" کاربران تائيد شده (آنانی که دارای کليد دستيابی می باشند)  ، امکان ورود به سيستم را خواهند داشت . فايروال ها دارای  فيلترهای از قبل تعبيه شده ای بوده که امکان دستيابی افراد غير مجاز به منابع سيستم  را سلب می نمايند .

رمزنگاری
فن آوری رمزنگاری ، امکان مشاهده ، مطالعه و تفسير پيام های ارسالی توسط افراد غير مجاز را سلب می نمايد . از رمزنگاری به منظور حفاظت داده ها در شبکه های عمومی نظير اينترنت استفاده می گردد . در اين رابطه از الگوريتم های پيشرفته رياضی به منظور رمزنمودن پيام ها و ضمائم مربوطه ، استفاده می شود.

چند نکته اوليه در خصوص ايمن سازی اطلاعات و شبکه های کامپيوتری

• پذيرش مسئوليت به عنوان يک شهروند سايبر 
  در صورتی که از اينترنت استفاده می نمائيد ، شما به عنوان عضوی از جامعه جهانی و يا شهروند سايبر، محسوب شده و همانند يک شهروند معمولی ، دارای مسئوليت های خاصی بوده  که می بايست پذيرای آنان باشيم .
• استفاده از نرم افزارهای آنتی ويروس
  يک ويروس کامپيوتری ، برنامه ای است که می تواند به کامپيوتر شما نفوذ کرده و صدمات فراوانی را باعث گردد . نرم افزارهای آنتی ويروس به منظور حفاظت اطلاعات و کامپيوترها در مقابل ويروس های شناخته شده ، طراحی شده اند . با توجه به اين که روزانه شاهد عرضه ويروس های جديد می باشيم ، می بايست برنامه های آنتی ويروس به صورت منظم و مرتب بهنگام گردند .
• عدم فعال نمودن نامه های الکترونيکی ارسال شده توسط منابع نامشخص و گمنام
  نامه های الکترونيکی ارسالی توسط منابع ناشناس را می بايست همواره حذف نمود. به فايل هائی که به عنوان ضميمه همراه يک نامه الکترونيکی ارسال می گردند،  توجه گردد. حتی در صورتی که اين نوع از نامه های الکترونيکی را از طريق دوستان و آشنايان خود دريافت می نمائيد ( خصوصا" اگر دارای انشعاب exe . باشند.) . برخی فايل ها مسئوليت توزيع ويروس ها را برعهده داشته و می توانند باعث بروز اشکالات فراوانی نظير حذف دائم فايل ها و يا بروز اشکال در يک وب سايت گردند. هرگز نمی بايست اقدام به فوروارد نمودن نامه های الکترونيکی برای ساير کاربران قبل از حصول اطمينان از ايمن بودن آنان نمود .
• از رمزهای عبوری که تشخيص  آنان مشکل می باشد ، استفاده نموده و آنان را محرمانه نزد خود نگه داريد
  هرگز رمزهای عبور خود را بر  روی کاغذ ننوشته و آنان را به کامپيوتر نچسبانيد! . تعداد زيادی از کاربران کامپيوتر دقت لازم در خصوص نگهداری رمز عبور خود را نمی نمايند و همين امر می تواند مشکلات متعددی را متوجه آنان ، نمايد . رمزهای عبوری که تشخيص و يا حدس آنان آسان است ، گزينه های مناسبی در اين رابطه نمی باشند . مثلا" در صورتی که نام شما Ali می باشد ، هرگز رمز عبور خود را با همين نام در نظر نگيريد . در فواصل زمانی مشخص و به صورت مستمر ، اقدام به تغيير رمز عبور خود نمائيد . هرگز رمز عبور خود را در اختيار اشخاص ديگری قرار ندهيد.برای انتخاب يک رمز عبور از ترکيب اعداد ، حروف و علائم استفاده گردد تا حدس و رديابی آنان توسط افراد غيرمجاز ، مشکل شود .
• استفاده از فايروال ها به منظور حفاظت کامپيوترها
  نصب و پيکربندی يک فايروال کار مشکلی نخواهد بود. يک فايروال ، امکان دستيابی و کنترل سيستم توسط مهاجمان را سلب نموده و پيشگيری لازم در خصوص سرقت اطلاعات موجود بر روی کامپيوتر را انجام می دهد .
• Back-up گرفتن منظم از اطلاعات ارزشمند موجود بر روی کامپيوتر
  در فواصل زمانی مشخص و بر اساس يک برنامه خاص از اطلاعات ارزشمند موجود بر روی کامپيوتر backup گرفته شده و آنان را بر روی رسانه های ذخيره سازی نظير لوح های فشرده ذخيره نمود .
• دريافت و نصب منظم Patch های  بهنگام شده مربوط به نقايص امنيتی
  نقايص امنيتی به صورت مرتب در سيستم های عامل و برنامه های کاربردی کشف می گردند . شرکت های توليد کننده نرم افزار ، به سرعت اقدام به ارائه نسخه های بهنگام شده ای با نام Patch نموده که کاربران می بايست آنان را دريافت و بر روی سيستم خود نصب نمايند.در اين رابطه لازم است به صورت منظم از سايت های مربوط به توليد کنندگان نرم افزار بازديد بعمل آمده تا در صورت ارائه Patch ، آن را دريافت و بر روی  سيستم نصب نمود .
• بررسی و ارزيابی امنيتی کامپيوتر 
  وضعيت  امنيتی کامپيوتر خود را در مقاطع زمانی مشخصی ، بررسی نموده و  در صورتی که خود نمی توانيد اين کار را انجام دهيد از کارشناسان ذيربط استفاده نمائيد .
• غير فعال نمودن ارتباط با اينترنت در زمان عدم استفاده
  اينترنت نظير يک جاده دو طرفه است . شما اطلاعاتی را دريافت و يا ارسال می نمائيد. غيرفعال نمودن ارتباط با اينترنت در مواردی که به آن نياز نمی باشد، امکان دستيابی سايرين به کامپيوتر شما را سلب می نمايد.
• عدم اشتراک منابع موجود بر روی کامپيوتر با کاربرانی که هويت آنان نامشخص است 
  سيستم عامل نصب شده بر روی يک کامپيوتر، ممکن است امکان به اشتراک گذاشتن برخی منابع موجود نظير فايل ها را با ساير کاربران شبکه ، فراهم نمايد. ويژگی فوق ، می تواند زمينه بروز تهديدات امنيتی خاصی را فراهم نمايد . بنابراين می بايست نسبت به غيرفعال نمودن ويژگی فوق ، اقدام لازم صورت پذيرد.