هزاره اطلاع رسانی..............( Information Mellinium)

این وبلاگ در حوزه کتابداری و اطلاع رسانی، الگوی سایبرنتیک و مدیریت کتابخانه های دانشگاهی فعالیت می کند(وعلاقمند به فعالیت در رشته های مربوط مثل علوم رایانه٬ برنامه نویسی و...

هزاره اطلاع رسانی..............( Information Mellinium)

این وبلاگ در حوزه کتابداری و اطلاع رسانی، الگوی سایبرنتیک و مدیریت کتابخانه های دانشگاهی فعالیت می کند(وعلاقمند به فعالیت در رشته های مربوط مثل علوم رایانه٬ برنامه نویسی و...

امنیت، مهم‌ترین اولویت بلک‌بری


امنیت، مهم‌ترین اولویت بلک‌بری - فروش گوشی به سیاستمداران با خرید Secusmart



واحد خبر mobile.ir : کمپانی بلک‌بری در روز سه‌شنبه 29 جولای 2014 (7 مرداد 1393) اعلام کرد که در آستانه خرید یک شرکت خصوصی آلمانی به نام Secusmart قرار دارد. Secumart -- که اخیرا به‌دلیل نرم افزار ضد استراق سمعش به شهرت رسید -- در زمینه رمزنگاری صوت و داده‌ها و تامین امنیت دستگاه‌های موبایل فعال بوده و از سال 2009 با بلک‌بری همکاری داشته است. گفته می‌شود هدف بلک‌بری از این اقدام آن است که Secusmart به هسته مرکزی تامین امنیت مجموعه دستگاه‌های بلک‌بری تبدیل شود. بلک‌بری با انجام این معامله، گستره فعالیت خود را افزایش داده، و در آن واحد امنیت محصولات خود را تقویت خواهد کرد.

 
ادامه مطلب ...

خداحافظی از اینترنت برای همیشه! آموزش حذف تمام سوابق


آیا میخواهید برای همیشه از دنیای مجازی اینترنت خداحافظی کنید؟

شاید باور نکنید. اما خداحافظی از دنیای مجازی، بسیار سخت تر از خداحافظی از دنیای واقعی است. اسم و مشخصات شما در ده ها سایت، صفحات اینترنتی و شبکه های اجتماعی مجازی درج شده و به این سادگی قابل حذف نیست.

 

اگر فعالیت طولانی در اینترنت داشته اید و یا در شبکه ها و سایت های مختلف عضو بوده اید، دیگران با یک جستجوی ساده میتوانند شما را پیدا کنند. نوشته های شما، عکس های شما، و دیگر اطلاعاتی که از خود منتشر کرده اید برای همیشه در سابقه وب سایت های اینترنتی ثبت شده اند....


منبع : وب پارسی

  ادامه مطلب ...

اطلاعات نرم افزاری را کجا ذخیره کنیم؟

اطلاعات نرم افزاری را کجا ذخیره کنیم؟


برای نگهداری و آرشیو کردن مدارک و عکسهای الکترونیکی خود چه میکنید؟ ساده ترین روش نگهداری آنها روی CD یا DVD است ولی آیا میدانید این هم روش مناسبی نیست؟


ادامه مطلب ...

نرم افزار مایکروسافت ناقل ویروس دی یو کیو یو Duqu

 ویروس جدید نرم افزار مایکروسافت

مایکروسافت اخیرا اعلام داشت که هکرها با استفاده از باگ شناخته شده ای به بهره برداری از سیستم عامل های ویندوز مایکروسافت مشغولند تا کامپیوترها را با ویروس Duqu آلوده سازند.

به گزارش بخش خبر شبکه فن آوری اطلاعات ایران از Ciol، مایکروسافت اذعان داشت ما در حال کار در جهت برطرف ساختن این مشکل هستیم و به زودی نسخه امنیتی آن را برای مشتریان خود منتشر خواهیم نمود.

مهندسین امنیت دولتی و خصوصی در سرتاسر جهان در حال بررسی و رمزگشایی اسرار ویروس Duqu هستند و با آنالیزهای اولیه ای که بر روی آن انجام داده اند دریافته اند که هکرها با دانش پیچیده ای، این حمله ها را بر روی زیر ساخت های مهم و اساسی نظیر کارخانجات تولید برق، پالایشگاه ها و خطوط نفت پیاده می نمایند.

محققان سمانتیک می گویند که هکرها با ارسال ویروس از طریق ایمیل هایی که دارای پیوست اسنادMicrosoft Word هستند، بر روی کامپیوترهای مورد هدف حمله خود آنها را هدایت می کنند.

در صورتی که گیرنده، سند Word را باز کند و PC به ویروس آلوده شود، مهاجم می تواند کنترل دستگاه را در اختیار بگیرد و با منتشر نمودن خود در شبکه داده های زیادی را به اصطلاح شکار نماید.

سمانتیک اظهار داشت که سورس کدی که در Duqu به کار رفته است همانی است که در ساختار اسلح سایبری حمله کننده به تسهیلات ایران، استاکسنت Stuxnet به کار رفته است.  

منبع : شبکه فناوری اطلاعات ایران

رمز عبور

 دیگر نیاز به یادسپردن رمز عبورتان نیستید

 

 امروزه یکی از مسائل مهم در امر امنیت اطلاعات نیاز به انتخاب رمز عبور مناسب برای دسترسی به سیستم ها و بازیابی اطلاعات و از جهت دیگر به یادسپاری و یادآوری این رمزعبور های می باشد. ما برای چیزهای مختلفی مانند حسابهای ایمیل، سایتهای فروش و بانکداری آنلاین دارای رمز های عبور زیادی می باشیم و البته به خاطر سپردن همه آنها کار دشواری است. 
به گزارش بخش خبر شبکه فن آوری اطلاعات ایران از Networkworld، استفاده از یک رمز عبور مشابه برای همه چیز و یا حفظ آنها در یک فایل متنی بر روی هارد درایو از لحاظ امنیتی درست نیست. امروزه مرورگرها دارای ذخیره سازی رمز عبور درون ساختاری خود می باشند اما اینها نیز امن نمی باشند. 
 خبر خوشایند برای کسانی که همیشه رمز عبور خود را فراموش می کنند این است که برنامه Password Safe یک برنامه منبع باز فوق العاده عالی برای این مورد است. این برنامه رمزهای عبور شما را در یک فایل رمزگذاری شده حفظ و نگهداری می کند.
با استفاده از این برنامه می توانید رمزهای خود را درون دسته هایی سازماندهی کنید( مثلا تجاری، مالی و تفریحی).در این برنامه می توان با یک دابل کلیک رمز عبور را بر روی کلیپ بورد کپی نمود یا آن را در یک صفحه وب که دارای منو آپشن است درج نمایید. این برنامه حتی می تواند رمزهای عبور تصادفی را تولید کند که کرک و پیگیری آنها بسیار دشوار و حتی غیر ممکن است.
و اگر نتوانید رمز عبور Password Safe را به خاطر آورید، تمامی رمزهای عبور خود را از دست خواهید داد.  

برگرفته از منبع : http://www.iritn.com/ITshow-news-16747.htm 


متخصص امنیت اطلاعات

چگونه یک متخصص امنیت اطلاعات شوم؟

چگونه یک متخصص امنیت اطلاعات شوم؟ کسب چه مهارت های امنیتی، آینده مرا تضمین می کند؟ شاید این سوال بسیاری از مبتدی های امنیت اطلاعات باشد که می پرسند: "چه مهارت هایی من نیاز دارم تا اولین شغل امنیتی خود را پیدا کنم؟" اخیرا در همین زمینه من با افراد زیادی برخورد کردم که درباره مهارت های مورد نیاز یک "تحلیگر امنیتی تکنولوژی های اطلاعاتی" سوال داشتند...

چگونه یک متخصص امنیت اطلاعات شوم؟ کسب چه مهارت های امنیتی، آینده مرا تضمین می کند؟ شاید این سوال بسیاری از مبتدی های امنیت اطلاعات باشد که می پرسند: "چه مهارت هایی من نیاز دارم تا اولین شغل امنیتی خود را پیدا کنم؟" اخیرا در همین زمینه من با افراد زیادی برخورد کردم که درباره مهارت های مورد نیاز یک "تحلیگر امنیتی تکنولوژی های اطلاعاتی" سوال داشتند.

واقعا این سوال بسیار مهمی در زندگی حرفه ای یک شخص است که من چگونه می توانم مهارت های فردی خود را ارتقاء دهم. تقریبا در تمامی کسانیکه در حرفه های مربوط به کامپیوتر فعالیت می کنند، یک نقطه مشترک وجود دارد. در حقیقت اینگونه نیست که ما فقط در زمینه حرفه خود باید اطلاعات کسب کنیم و آموخته شویم؛ ما نیاز داریم که از حرفه ها و تخصص های دیگر نیز در زمینه های مربوط به حرفه و شغل خود با خبر باشیم. در زمان ما، یک مرکز تحصیلاتی متمرکز  هم نبود که بخواهد تمامی مسایل امنیتی را یک جا مطرح کند. اما امروزه مراکز دانشگاهی و علمی متعددی هستند که در زمینه "امنیت اطلاعات" به صورت تخصصی فعالیت می کنند.

هر چند به دلیل ضعف اغلب مراکز آموزش رسمی در زمینه امنیت اطلاعات، برای رسیدن به جایگاه یک "تحلیلگر امنیتی" نیاز به تلاش فردی بسیاری است. درست است که آوردن مهارت های دانشگاهی به دنیای واقعی امنیتی، به یک تحلیلگر می تواند کمک شایانی بکند، اما امروزه این غلط است که بگوییم یک نفر یک ترم درسی را در دانشگاه می گذراند و تبدیل به یک تحلیگر امنیتی می شود.

همه ما برای یک بار هم که شده در رویایمان، خود را در جایگاه یک تحلیلگر امنیتی قرار داده ایم و بدون آنکه کاری  کرده باشیم پله های ترقی را بالا رفته ایم. اما در واقعیت چه؟ در واقعیت هم ما بهترین کسی هستیم که نقاط ضعف خود را می دانیم و به آن واقفیم و همانطور که در بالا اشاره کردم فقط با کسب برخی مهارت ها می توانید آینده شغلی خود را تضمین کنید. 

آیا همه مسیر ها به یک نقطه ختم می شود؟

همه ما می دانیم که برخی حرفه ها از جمله مدیریت سیستم (System Administrator )، متخصص سخت افزار اشخاصیکه در زمینه نگهداری روترها، سوییچ ها و ابزارهای دیگر تخصص دارند و مدیران پایگاههای داده ای (Database Administrator )، تخصص های اصلی مشترکی با هم دارند. 

بله! یک مدیر سیستم کسی است که بتواند در یک زمان تمامی کارهای گفته شده در بالا را انجام دهد، البته به دلیل آنکه در یک شرکت بزرگ و یا در یک سازمان دولتی مشغول است فقط می تواند در یک فیلد خاص فعالیت کند. بخشی از تخصص هایی که یک مدیر سیستم دارد در زیر آمده است و بعد از آن خواهیم گفت که چگونه آنها می توانند برای یک تحلیلگر امنیتی نیز مفید باشند:

·         دانش و تخصص لازم در زمینه سیستم های ویندوزی

·         دانش و تخصص در زمینه پروتکل های اصلی شبکه

·         مفاهیم معماری شبکه

·         آشنایی با فایروال، راه حل های آنتی ویروس ها و برنامه های فیلتر محتوا(Content Filter )

·         تخصص های لازم در زمینه مدیریت پروژه

یکی از مهارتهایی که یک مدیر سیستم نیاز دارد دانش و تخصص کافی در زمینه سیستم عامل هایی است که در شبکه استفاده می گردد. در شبکه های امروزی این به معنی یادگیری در زمینه سیستم های ویندوزی و در برخی مواقع لینوکسی و یا BSD می باشد، زیرا تجربه به من نشان داده است که در اغلب شبکه ها فقط ما از یک نوع سیستم عامل استفاده نمی کنیم بنابراین آشنایی با اغلب آنها لازم است. این موضوع دقیقا همان چیزی است که یک تحلیلگر امنیتی باید انجام دهد زیرا برای او تفاوتی بین سیستم عامل های مختلف وجود ندارد و او نیاز دارد که اطلاعات جامعی از کلیه سیستم عامل های ذکر شده داشته باشد.

اگر شما مدیر سیستم های ویندوزی باشید حتما با پروتکل های NetBIOS و فولدرهای اشتراکی ویندوز آشنایی کامل دارید زیرا که آنها پایه اصلی فعالیت های ویندوز در شبکه هستند. یکی از ریسک های امنیتی این سرویس ها، بی حفاظ گذاشتن آنها به دلیل نداشتن کلمه عبور است. همه مدیران سیستم ها می دانند که با استفاده از کلمه عبور می توان امنیت را برای فولدرهای اشتراکی در شبکه برقرار کرد. این موضوع و دانش نیز یکی از چیزهای عمومی است که یک تحلیلگر امنیتی باید بداند.

داشتن دانش لازم در زمینه پروتکل های مورد استفاده از شبکه یکی از تخصص های مورد نیاز برای هر مدیر سیستم است. در ضمن یک مدیر سیستم کسی است که سرویس دهنده های وب (Web Server ) را راه اندازی و پیکربندی می کند .

دانش و تخصص لازم در زمینه خطاهای پروتکل HTTP، چیزی است که علاوه بر یک مدیر سیستم، یک تحلیلگر امنینی نیز آن را می داند. همچنین دانستن پروسه های مورد نیاز جهت محکم سازی یک سرویس دهنده وب جهت حفط امنیت آن، دانش مورد نیاز هر دو آنها است. این موضوع در زمینه پروتکل FTP نیز صادق است.

هر دو پروتکل FTP و HTTP دو بخشی هستند که بسیار مورد نفوذ و حمله کدهای مخرب قرار می گیرند. پس تعجبی ندارد که داشتن تخصص لازم در زمینه این دسته از پروتکل ها نیاز اصلی یک مدیر سیستم و یک تحلیلگر امنیتی است.

معماری یک شبکه جزو بخش هایی است که معمولا در شبکه های بزرگ مورد غفلت قرار می گیرند و باز هم یک مدیر سیستم تنها کسی است که در این زمینه  بیشترین نگرانی را دارد. با کمی پیچیدگی، یک شبکه می تواند هم از داخل و هم از بیرون در معرض خطر باشد. داشتن DMZ امروزه در برابر تکنیک های حفاظتی دیگر، بسیار معمول و پیش پا افتاده است. همه این مسایل که درباره معماری و طراحی یک شبکه است، نیاز به دانشی دارد که مدیران سیستم ها و تحلیلگران امنیتی هر دو به اندازه کافی از آن بهره مند باشند.

هر شبکه بزرگ و امروزی دارای ابزارهای مختلف امنیتی است. این ابزارها شامل فایروال، راه حل های آنتی ویروس ها، فیلترکنندگان محتوا و پروکسی سرور ها می باشد که معمولا تمامی آنها توسط مدیران سیستم ها، مدیریت می شود. تنها تفاوت یک مدیر سیستم و یک تحلیلگر امنیتی عمق دانش آنها درباره خروجی های این ابزارها می باشد. برای نمونه یک تحلیلگر سیستم، کلیه ترافیک خروجی یک فایروال را تجزیه و تحلیل می کند و می گوید آیا هشدار های این سیستم معتبر هستند یا خیر. شاید فقط تعداد محدودی از مدیران سیستم  هستند که با خواندن جزییات بسته های شبکه راحتند. این کار نیاز به زمان زیادی دارد، در حالیکه تنها چیزهایی که مدیران سیستم نیاز دارند راه اندازی سیستم ، پیکربندی و نگهداری از این ابزارهاست، این همان دانشی است که یک تحلیلگر امنیتی نیز آن را دارا می باشد.

مدیریت پروژه بخشی است که فقط در هنگام نیاز به کار می آید. دانش و تخصص آن نیز برای یک مدیر سیستم و یک تحلیلگر امنیتی یکسان است. ره آوردهای مدیریت پروژه به هر فرآیندی که یک نفر به عهده می گیرد قابل اعمال است. شاید این سوال در ذهن ایجاد شود که چرا یک مدیر سیستم نیاز به دانستن این مساله دارد؟ یک نگاهی به اموری که در طول یک ماه مدیر سیستم انجام می دهد داشته باشید. این کارها از به روزرسانی سیستم ها بعد از انتشار یک اصلاحیه تا ارائه یک سرویس جدید در شبکه می باشد. شما برای انجام تمامی این امور، به صورت ناخواسته اغلب مسایلی که در مدیریت پروژه مطرح است را انجام می دهید. برای نمونه به روز رسانی سیستم عامل ویندوز XP به ویستا می تواند به عنوان یک پروژه مطرح شود. طرح های مختلفی مطرح می شود تا این پروژه با موفقیت صورت پذیرد و این همان کاری است که یک مدیر پروژه انجام می دهد.

حال این مساله چگونه به یک تحلیلگر امنیتی ارتباط پیدا می کند؟ اغلب مواقع یک تحلیلگر امنیتی به عنوان یک مشاور عمل می کند و در یک شرکت بزرگ جهت امری همچون "تجزیه و تحلیل ریسک" فعالیت می کند. طراحی "سیستم مدیریت اصلاحیه ها" نیز امری مشابه آن است و نیاز به مشخص کردن وظایف جهت پیشبرد آن دارد. همانطور که می بینید این مسایل به گونه ای با هم شباهت دارند و نیاز است که یک ره آورد مشابه مدیریت پروژه به آنها اعمال شود. در واقع اگر شما نخواهید این امور را تحت ره آوردهای مدیریت پروژه انجام دهید، این امور به سرعت و در بهترین حالت به سرانجام نخواهند رسید.

 

مرور دوباره

حالا بدیهی است که مهارت های مورد نیاز یک مدیر سیستم، بسیار مشابه یک تحلیلگر امنیتی است. برعکس اگر شما تخصص لازم در زمینه سیستم عامل های متفاوت، پروتکل های مختلف در شبکه و یا مهارت های مورد نیاز یک مدیر سیستم را نداشته باشید نمی توانید یک تحلیلگر امنیتی خوب باشید.

بیان وجوه اشتراکی این دو حرفه بسیار سمبلیک است. یک مدیر سیستم نه تنها در زمینه عملکرد سرویس های ارائه شده در شبکه مهارت دارد، همچنین نگران وضعیت امنیتی آنها نیز است. شما نمی توانید یک سیستم یا سرویس را بدون داشتن تخصص و دانش لازم درباره آن، امن کنید. یک تحلیلگر امنیتی شخصی است که دانش گسترده ای دارد. شما می توانید یکی از تخصص های دیگر همچون "تست نفوذگری" (Penetration Testing ) و یا متخصص "امنیت برنامه های کاربردی" (Web Application Security ) را نیز به عنوان حرفه آینده خود انتخاب کنید.

بنابراین برای تمامی مدیران سیستم ها، انتخاب حرفه تحلیلگر امنیتی نمی تواند دور از ذهن و بعید باشد.

 امیر حسین شریفی 

منبع : http://www.sgnec.net/Articledet-f.asp?number=145