بسمه تعالی
عنوان:
اخلاقیات , حریم شخصی و امنیت اطلاعات
نام درس : سیستم های اطلاعاتی مدیریت
اخلاقیات حریم خصوصی و امنیت اطلاعاتی
استفاده مناسب از فناوری اطلاعات, مزایای فراوانی برای انسانها، سازمانها و کل جامعه دارد. متاسفانه فناوری اطلاعات با مقاصد مخرب نیز می تواند مورد استفاده قرار گیرد . موارد زیر را در نظر بگیرید: 1- اطلاعات شخصی افراد ممکن است سرقت گردد 2- امکان دارد سازمان ها با اطلاعات سرقت شده ی مشتریانشان مواجه شوند که می تواند همراه با زیان های مالی و یا از دست رفتن اعتمادو اطمینان مشتریان گردد3-کشورها نیز با تروریسم کامپیوتری و جنگ الکترونیکی مواجه می باشند. 4- سواستفاده از فناوری اطلاعات بحث اول درزمینه فناوری اطلاعات است. هم اکنون شما با بیشتر کارکردهای IT آشنا می شوید. و ما موضوعات پیچیده اخلاق , حریم خصوصی و امنیت را به شما نشان می دهیم.
اهداف یادگیری :
شرح تهدیدات عمده اخلاقی مربوط به فناوری اطلاعات , و شرح وضعیت هایی مربوط به آن
بیان تهدیدات عمده امنیت اطلاعات
شناخت مکانیزم های دفاعی گوناگونی که در محافظت از سیستم های اطلاعلاتی مورد استفاده قرار می گیرد.
مطالعه موردی
شهر سین سیتی چه چیزی را می تواند درباره امنیت شهری مطرح نماید.
هیچ شهری نمی تواند جذابیت لاس و گاس را داشته باشد. سین سیتی کاربری آگاه و تلاشگر در زمینه نظارت پیشرفته بر تشخیص هویت ، کنترل برپیشینه افراد و فناوری های امنیتی است. مسائلمربوط به کسب و کار ساده است : آدم های شرور را دستگیر کنید. راه حل فناوری پیچیده است چرا که کازینوها میزان زیادی از فناوری های اطلاعات را در مسائل امنیتی خود مورد استفاده قرار می گیرند.
راه حل های فناوری اطلاعات : نورا و آنا
نورا (آگاهی از روابط غیر قابل مشاهده) نرم افزاری است که ارتباطات روابط قابل مشاهده و غیر قابل مشاهده را در بین داده های ذخیره شده در پایگاه های اطلاعاتی چندگانه را جستجو می کند. نورا افراد ریسک پذیر-ازمتقلبان کازینو تا تروریست ها – را شناسایی کرده و آنگاه این اطلاعات را با اطلاعات مربوط به رزرو پروازها , پاسپورت و سایر پایگاه های دیگر به هم مرتبط می سازد . نورا قادر است هر نوع ارتباطی را شناسایی کند. از لحاظ تکنیکی می توان گفت این نرم افزارمی تواند انواع روابط را شناسایی نماید و فاصله تا سی درجه را تنظیم نماید میزان فاصله ؛ نزدیکی ارتباطات بین داده های گوناگون است به طور کلی درجه پایین تر,با ارتباطات نزدیک همراه است درجه واقعی و ثانویه می تواند فراهم کننده تراشه های سومی باشد که برای کازینو امکانات لازم را به وجود می اورد. درجه سوم می تواند تمامی افراد را کنترل نماید اما این روند بیش از 30 درجه است در حقیقت نورا قادر است میزان خاصی از عملکردها را به طور کامل با امکانات هدف مشخص نماید .
آنا بررسی های هدفمند را در باره پایگاه های اطلاعاتی انجام می دهد در حقیقت آنا صاحب داده هایی می باشد که در آن اطلاعات به طرف ارسال شده می وطرف سوم مستقل عمل می نماید و این استقلال در عمل با روابط ویژه ای بیان می شود محققان نیز داده های کد گذاری شده را به طور کامل به دست می آ ورند و در حقیقت متقلبان وافراد خطاکار شناسایی می شوند
نظارت بر مشتری
علاوه بر این سیستم ها کازینوها از دوربین های مدار بسته نیز استفاده می کنند در حقیقت این دوربین ها مجهز به نرم افزارهای خاص با سیستم های ردیابی معاملاتی است. نظارت ویدئویی دیجیتال کازینوها را قادر ساخته تا 24 ساعته و هر روزه تحلیل های هدفمند در مورد تصاویر بیان کنند. نرم افزارهای شناسایی می تواند اندازه گیری ها ی متفاوتی را بین فاصله های چشمی یا ساختارهای فیزیکی فراهم آورند در کازینوها نرم افزار تشخیص چهره مشتریان کارآیی زیادی داشته و بررسی کنندگان تصمیمات را در این مورد اتخاذ می کنند.
سیستم های ردیابی مورد استفاده شده ی کازینوها دارای سیستم های متفاوت هستند. مثالا اگر شما با ماشین شخصی یا تاکسی برسید این سیستم ها علاوه بر تصویر شما تصویر پلاک ماشین را نیز ضبط می کنند. این سیستم ها حتی اگر شما پیاده بیایید تصویر شما را می گیرند.
بعلاوه با استفاده از اشعه های X و سگ های ردیاب بمب ها بسته ها ؛ لب تابها و کیف های شما کاملا کنترل می کنند . و اگر شما بیش از 1000 دلار در یک بار برنده شوید بخش امنیت کازینو از شما برای پول شویی بازجویی می کند .حتی اگر شما بیش از 600 دلار برنده شوید. قبل از دریا فت آن باید 2 فرم شناسایی را پر کنید . و برد های شما بطور کامل ثبت خواهد شد. و اگر از پول نقد استفاده کنید شماره سریال هر اسکناس ثبت خواهد شد. و اگراز اتاق خود تماس بگیرید شماره تماس , زمان مکالمه و زمان تماس ثبت می شود. سفارشات اتاق نیز ثبت می شود .
برخی از کازینوها هم چنین از ژتون هایی استفاده می کنند که در آن فرکانس رادیویی شناسایی جاسازی شده است . کازینو می تواند الگوهای بهتر را شناسایی نماید و در واقع حرکت ژتون ها را ارزیابی نماید.
نظارت برکارکنان
کازینوها قادر به تشخیص این موضوع هستند که افراد و تغییر جریانات در یک زمان اتفاق می افتد برای این منظور در بررسی پیشینه یا اعتبار همیشه کارکنان کازینو ها چک می شوند. کازینوها می بایست عملکرد کارکنان خود را دقیقا بررسی کنند. برای انجام این امر روش هایی مانند نظارت بر مشتریان را بکار می گیرند.
به اشتراک گذاری اطلاعات
کازینوها اطلاعات خود را درباره مشتریان و کارکنان به اشتراک می گذارند بنابراین آنها معمولاً اطلاعات را با بخش پلیس امنیتی لاس وگاس ( FBI )به اشتراک می گذارند . و FBI نیز هر روز با استفاده از ایمیل اسامی تروریست های را به کازینو ها اعلام می کند.
نتایج :
بر طبق گزارشات FBI , از 2001 لاس وگاس با بیش از یک میلیون جمعیت نسبت به شهرهای دیگر آمریکا کمترین جرایم را ثبت کرده است.بخش امنیت کشور و سایر نمایندگی های فدرال هم اکنون از فناوری های امنیتی مشابه برای تحت پیگرد قرار دادن تروریست ها استفاده می کنند. سوالی که باقی می ماند این است که نمایندگی ها, اطلاعات را در چه سطحی با یکدیگر به اشتراک بگذارند. سرپرست امنیتی یک کازینو در لاس وگاس اشاره می کند که اگر نمایندگان دولت از این فناوری ها استفاده کرده بودند و اطلاعاتشان را به اشتراک می گذاشتند , می بایست 9/11 تروریست را دستگیر و مانع حملات می شدند.
از این case چه آموختیم :
بعد از 11 سپتامبر 2001 دولت بوش تصمیم گرفت بخش امنیت داخلی را تشکیل دهد و دولت را در برابر حملات تررویستی ؛ محافظت کند. گرایش شهروندان آمریکایی نسبت به وجود امنیت افزایش یافته است که شامل استراتژی های دولتی در ایجاد امنیت و مسایل امنیتی می باشد. کازینوهای شهر لاس و گاس سه مساله اساسی را در بر می گیرد که اخلاقیات و حریم خصوصی و امنیت از آن جمله می باشد. هر یک از این مسایل ارتباطات ویژه ای با فناوری اطلاعات دارند و سوالات فراوانی را بوجود می آورد. مثالا : آیا این امر اخلاقی است که کازینوها اطلاعات فراوانی از مهمانشان به دست آورند؟ آیا این نظارت ها ضروری بنظر می رسد ؟ حریم شخصی افراد برای چه میزانی از اطلاعات اضافی از بین می رود؟ نهایتا باید چه کسی این تصمیمات را بگیرد؟ پاسخ این سوالات روشن نیست . هم چنان که ما در مورد اخلاق , حریم خصوصی و امنیت در متن بحث می کنیم شما درک بهتری از این موضوعات , اهمیتشان و ارتباطشان و تجارتشان به دست می آورید.
1-3- موضوعات اخلاقی
همانطورکه در فصل 2 بحث کردیم, اخلاقیات به عنوان انچه با صحیح یا غیر صحیح در رابطه است مد نظر گرفته می شود. قبل از اینکه به موضوع بپردازیم دانستن این نکته ضروری است که غیر اخلاقی بودن صرفا به معنای غیر قانونی بودن نیست .در اکثر موارد هنگامیکه افراد و سازمان ها با مسئله ای غیر اخلاقی روبه رو می شوند با قانون شکنی روبرو نیستند . ولی این بدان معنی نیست که تصمیمات اخلاقی اثر جدی بر فرد؛ سازمان و یا جامعه در سطح کلان ندارد. تصمیم گیری در مورد صحیح یا غیر صحیح بودن معمولا ساده و روشن نمی باشد. به همین علت بسیاری از شرکت ها و سازمان های حرفه ای اصول اخلاقی را برای خودشان تدوین می کنند. اصول اخلاقی مجموعه اصولی است که راهنمای عمل اعضای سازمان در تصمیم گیری ها در نظر گرفته شده است. تنوع و گسترش کاربرد نرم افزارهای فناوری اطلاعات مسایل اخلاقی متنوعی را بوجود آورده است. این مسایل به 4 دسته تقسیم می شوند: مسایل شخصی ؛ صحت ؛ مالکیت، دسترسی
1- مسایل خصوصی : گردآوری و ذخیره سازی و انتشار اطلاعات در مورد افراد می باشد.2 – مسایل صحت : تایید قانونی و دقت اطلاعات می باشد .3 -مسایل مربوط به دارایی ها: مالکیت و ارزش اطلاعات است4- قابلیت دسترسی : قسمتهایی که در آن دسترسی کامل به اطلاعات هماهنگ می شود
لیست کنترل مدیر 3.1؛ مسایلی را برای هر یک از این طبقات لیست می کند .
لیست کنترل مدیر 3.1
مسایل حریم خصوصی
اطلاعات شخصی که لازم است که از طرف فرد آشکار شود چیست ؟
کارفرما قادر است چه نوع نظارتی را در مورد کارکنانش بکار گیرد؟
افراد چه مسایلی را می توانند نزد خودشان حفظ کنند که نیاز نیست دیگران از ان اطلاع داشته باشند ؟
اطلاعاتی که باید درباره افراد در پایگاه داده نگه داری شود چیست و این اطلاعات چگونه در آنجا امنیت دارند؟
مسایل مربوط به صحت
مسئول اعتبار, صداقت و صحت اطلاعات جمع آوری شده کیست ؟
این اطمینان چگونه حاصل می شود که اطلاعات مناسب پردازش شده و با دقت به کاربران ارئه شده است؟
چگونه این اطمینان حاصل می شود که اشتباهات بوجود آمده در پایگاه داده , انتقال داده , و پردازش داده عمدی نبوده است؟
چه کسی مسئول اشتباهات بوجود آمده درمورد اطلاعات شناخته می شود و چگونه می توان این اشتباهات را جبران کرد؟
مسایل مالکیت
مالک اطلاعات کیست؟
قیمت مناسب و منصفانه برای مبادله چیست؟
فرد چگونه می بایست با سرقت نرم افزاری برخورد کند(کپی حق تکثیر نرم افزار)؟
تحت چه شرایطی افراد می توانند از پایگاه داده خصوصی بهره گیرند؟
آیا می توان کامپیوتر های شرکت را برای اهداف شخصی بکار برد؟
چگونه کار فرد خبره ای که دانش را برای ایجاد سیستم خبره در اختیار سازمان گذاشته پوشش داده می شوذ؟
چگونه می توان به کانال های اطلاعاتی تخصیص داده شده دسترسی پیدا کرد؟
مسایل مربوط به دسترسی
چه کسانی اجازه دارند به اطلاعات دسترسی داشته باشند؟
برای انکه به اطلاعات دسترسی داشته باشیم چقدر شارژ باید انجام شود؟
دسترسی به کامپیوتربرای کارکنان با عدم قابلیت چگونه باید فراهم شود؟
تجهیزات لازم برای دسترسی به اطلاعات را چه کسی باید را فراهم آورد؟
سازمان یا فرد امتیاز کسب اطلاعاتی را , تحت چه شرایط و با چه امنیتی دارد؟
حفاظت از حریم خصوصی
حریم خصوصی می تواند متناسب و به صورت معقولانه تعیین شود . اطلاعات خصوصی مشخص می کند چه کسی و به چه میزان می تواند اطلاعات شخصی در مورد شما راجمع آوری نماید . حقوق شخصی نیز در باره افراد , گروه ها و موسسات به کار می رود.. همچنین در بسیاری کشورها رای دادگاه 2 قانون را مطرح می کند: 1- حریم خصوصی مطلق نیست . و حریم خصوصی باید با نیاز های جامعه متناسب باشد و بر این اساس تعیین شود. 2- حقوق عمومی بر حریم خصوصی مقدم است این دو قانون نشان می دهد که چرا در برخی موارد تعیین حریم خصوصی دشوار بنظر می رسد . امروزه حقوق حریم خصوصی در سراسر ایالت متحده آمریکا و دولت های فدرال به رسمیت شناخته می شود.
بررسی های الکترونیکی
بر طبق نظر اتحادیه آزادی های مدنی آمریکا (ACLU) فعالیت های افراد با استفاده از کامپیوترها مسئله اصلی و مهم در رابطه با حریم خصوصی می باشد. ACLU در این مورد بیان می کند که بررسی الکترونیکی به سرعت در حال افزایش بوده و با ظهور تکنولوژی های جدید به صورت مشخصی مطرح می شود.
عموما کارکنان امنیت کمی در برابر نظارت کارفرمایان خود دارند . اگر چه حق طلبی های قانونی متعددی در نظر گرفته شده است , اماچنین به نظر می رسد که قانون از کارفرمایان در برابر خواندن ایمیل کارکنان و سایر اسناد الکترونیکی انان و نظارت بر کاربرد اینترنت حمایت می کند. نظارت علیرغم این که به وسیله شرکت , دولت و انجام می گیرد برای حریم شخصی نگرانی هایی را بوجود آورده است. آمریکائیان زیادی برای ایجاد توازن میان حریم خصوصی و نظارت الکترونیکی تلاش می کنند. بویژه در زمینه هایی که تهدیدی علیه امنیت ملی وجود دارد . حمله بعدی یعنی سیاه زخم , باعث شد که آمریکائیان بسیاری دیدگاهشان در باره حفاظت بیشتر دولتی تغییر دادند.مثال بعدی نشان می دهد چگونه فناوری موجب افزایش نظارت بر افراد می شود.
نمونه : نرخ بیمه اتومبیل بر اساس GPS
چه اتفاقی خواهد افتاد اگر مسئولیت حق بیمه بر طبق ویژگی های جمعیت شناختی ( مانند : سن و جنسیت) و سابقه اتومبیل (برگه های جریمه ای که در سه سال گذشته برای سرعت داشته اید ) نباشد ؛ بلکه بر اساس عادت همیشگی رانندگی شما تعیین شود ؟ با کمکGPS شرکت بیمه نورویچ انگلیس سعی کرده است که این کار را انجام دهد.
در یک آزمون آزمایشی اتحادیه نورویچ 5 هزار نفر از مشتریان را با استفاده از منابع GPS ارزیابی کرد . شرکت توانست با استفاده از داده های حاصل از دستگاه ها برای تعیین حق بیمه ماهیانه بهره گیرد برای انجام اینکار سرعت و شتاب رانندگان مد نظر قرار گرفته شد و سر پیچی از قانون برای هر یک از انان مطرح شد. در هر صورت این شرکت اطلاعات حاصل از 1 میلیون سفر را گرد آوری نموده و در تلاش است که برای 3.5 میلیون مشتری دیگر خود هم این برنامه را بکار گیرد به امید آن که تصادفات کمتر و در نهایت سود بیشتری را داشته باشد .
درباره کسب و کار :
301 رئیس شما را می بیند
شرکت ها ی بسیاری بر ایمیل کارکنان و استفاده از اینترنت نظارت می کنند و دوربین های امنیتی مبتنی بر وب در بسیاری از ساختمان های خود استفاده می کند . اگرچه فناوری هایی مانند سیستم GPS و سیستم ردیابی و شناسایی کارکنان از طریق فرکانس رادیویی (RFID) نظارت بر کارکنان را به مرحله جدیدی وارد نموده است. سیستم های ردیابی امروزی می توانند مکان دقیق هریک از کارکنان چه در بیرون وچه در درون سازمان ؛ در هر زمانی را ضبط؛ نشان دادن ، و بایگانی کند و به مدیران برای نظارت بر رفتار کارکنان راهکارهایی را ارائه می دهد.
بر این اساس ردیابی کارکنان راهی برای بالا بردن بهره وری به نظر می رسد. مثالا مشاهده رانندگان کامیون در جاده به دفاتر ارسال این امکان را فراهم می آورد که مسیر تحویل موثرتری داشته باشند. فراهم آوردن امکان مشاهده در جاده ها کمک های جاده ای را آسان تر نموده و دادخواهی خسارت را کاهش می دهد؛ بعلاوه زمان استراحت زیاد را کاهش دهد. و نیزمشاهده کارکنان در دفاترشان با بکار گیری فناوری RFID می تواند به مدیران برای تعیین سریع محل افراد کلیدی ودور نگه داشتن افراد غیر مجاز از مکان های امنیتی کمک کند.
علی رغم مزایای بسیار , بسیاری از کارکنان فناوری های ردیابی را دخالت گردر امورشان می دانند. مثلا : بخش پلیس اورلاندو فلوریدا را در مشاهده می کنیم. همه افسران پلیس از این موضوع وحشت دارند که زمانی که در خیابان تنها هستند آسیب ببینند. بر این اساس بخش پلیس اورلاندا یک سیستم GPS جدید را مورد آزمایش قرار داد که به دفتر مرکزی اجازه می داد افرادشان را ردیابی کنند. بر خلاف پیش بینی پلیس , به جای خوشحال شدن , افسران پلیس از نظارت 24 ساعته و شبانه روزی ناراحت شدند . علاوه بر ان ، آنان در احساس منفعت قابل توجهی در کار روزمره شان نکردند. پس از اعتراض شدید اتحادیه، پروژه لغو گردید.
سوالات:
1. اگر درمحل کار، شما از طریق RFID که به ID تان متصل است مورد کنترل قرار گیرید به شما چه حسی دست می دهد. .آیا این بیش از حد دخالت در امورتان است؟ اگر هست چرا و و اگر نیست چرا نه؟
2. آیا مشاهده ایمیل ها و استفاده شما از اینترنت بیش از حد کنجکاوانه است؟
3. تفاوت (اگر وجود دارد) میان نظارت مکان شما با مشاهده استفاده شما از اینترنت چیست؟ آیا شما احساس متفاوتی نسبت به این دو نوع نظارت دارید؟شرح دهید.
اطلاعات خصوصی در پایگاه های اطلاعاتی
اطلاعات در مورد افراد در پایگاه های اطلاعاتی نگهداری می شود. سایر موسساتی که مخزن اطلاعات خصوصی شما هستند می توان به موارد زیر اشاره نمود :
1-موسسات مالی وبانکها 2- تلویزیون های کابلی و شرکت های تلفن 3- کارفرمایان 4- شرکت های آپارتمانی 5- شرکت های رهنی 6 -شرکت های اجاره تجهیزات – بیمارستان ها، مدارس و دانشگاه ها 8- سوپرمارکت ها و خرده فروشی ها 9- آژانس های دولتی 10-کتابخانه ها 11-شرکت های بیمه 12- اطلاعات به دست آمده از پرسشنامه هایی که شما در اینترنت پر کرده اید.
نگرانی هاییی در باره نگهداری اطلاعاتی شما وجود دارد. بعضی از این نگرانی ها عبارتند از:
شما می دانید که سوابق در کجا ذخیره می شوند؟ آیا سوابق دقیق اند؟ آیا قادرید اطلاعات غلط را تغییر دهید؟ این تغییر تا چه زمانی بطول می انجامد؟ در چه شرایطی داده های پرسنل ارائه می گردد؟ داده ها چگونه استفاده می شوند؟ داده ها به چه کسانی داده می شوند؟ امنیت داده ها در مقابل دسترسی افراد غیر مجاز به چه میزان است
مثال : رهبر و سیاست ها:
Fundrace.org سیاستهای پولی را تا مقابل درخانه شما دنبال می کند. اطلاعات ثبت شده در آن به صورت آنلاین به مدت طولانی در دسترس می باشد. با اتصال به سیستم و وارد کردن آدرس می توانید لیستی از افراد وجایگاهشان را به همراه نام نماینده مورد نظرشان را ملاحظه کنید. وب سایت فوندراس اطلاعات ویژه ای را در این مورد ارائه می دهد.
این وب سایت توانایی و کارآیی این را دارد که بتواند به صورت هدفمند هماهنگی ها را انجام دهد. بعلاوه این وب سایت شاخص های زیادی را که از طلاعات سرشماری برای رتبه بندی نمایندگان بر اساس خصوصیات طرفدارانشان را فراهم می اورد . شاخص ها نشان می دهد که چه کسی طرفدار کمتری در آمریکا دارد. در می 2004 بوش توانست در شاخص های عمومی و فداکاری ؛ رتبه اول را بدست آورد . نهایتا نقشه های وب سایت، سهم دموکراتها و جمهوری خواهان را به وسیله دوایر قرمز و آبی بر روی نقشه مشخص کرد . کاربران همچنین قادرند از فاندرایس برای جستجوی نام شرکت کنندگان و تعقیب اعضای ممتاز بهره گیرند.
فاندراس شکایتهای زیادی در مورد آدرس ها دریافت کرد و افراد زیادی می خواستندکه اطلاعاتشان حذف گردد. یک نفر به کمیته انتخابات فدرال شکایت کرد که وب سایت حقوق وی را نادیده گرفته است . او گفت که " کارفرمایان در آینده قادرند کاری که من متقاضی آن هستم را به فردی دیگر که مشترکات سیاسی با او است واگذار کند" . فاندرایس حذف هر آدرسی را که جزئی از رکورد عمومی است و دروب سایت کمیته انتخابات فدرال یافت می شود را رد کرد.
اطلاعات در تابلوهای اینترنتی و گروه های خبری
تابلوهای آگهی الکترونیکی ,گروه های خبری و گفتگوهای الکترونیکی از جمله چت روم ها هر روزه در وبلاگها مشخص می شود. این سایت ها در در اینترنت وبلاگ ها پدیدار می گردد . وبلاگ یک مجله غیر رسمی و خصوصی است که برای دسترسی عموم برروز می شود . جامعه چگونه دارندگان این آگهی هارا از انتشار مطالب توهین آمیز برای خوانندگان یا مطالب غیر حقیقی دور نگه دارد ؟ این مشکلی بزرگ است زیرا از طرفی با آزادی بیان و حریم خصوصی از طرف دیگر در تقابل است. درآمریکا این تقابل یک موضوع اخلاقی پایه ای و ممتد است.
اصول مربوط به حریم خصوصی و سیاست ها
سیاست های یا اصول حریم خصوصی استراتژی های سازمانی هستند که با توجه به حفظ حریم خصوصی مشتری , ارباب رجوع و کارکنان تعیین می شود . در اشرکت های بسیاری مدیران ارشد این مسئله را دریافتند که ؛ زمانی که اطلاعاتی با حجم زیاداز افراد گرد آوری می شود می بایست محفاظت شود. لیست کنترل مدیر 3.2 نمونه ای استراتژی های از سیاست حریم خصوصی را نشان می دهد. داشتن سیاست حصوصی به سازمان برای پیشگیری از مشکلات و مسائل قانونی کمک می کند. همانطور که در باره سیر کسب و کار نشان داده شده است . مجرمان به کدها وسیاست های خصوصی توجه ندارند . همانگونه که درباره تجارت 3.2 نشان می دهد.
لیست کنترل 3.
استراتژی های سیاست حریم خصوصی:
گردآوری
در باره افراد داده ها فقط می بایست با منظور انجام اهداف تجاری مشروع و قانونی گرد آوری شود.
می بایست داده ها مربوط ؛ مناسب و نه بیش از حد وابسته به کسب وکار باشند.
می بایست افراد قبل از گردآوری داده های مربوط به آنان است رضایتشان را اعلام کنند. این رضایت ممکن است به طور ضمنی از فعالیت افراد درک شود (به عنوان مثال درخواست اعتبار , بیمه , یا استخدام)
دقت داده
داده های حساس گرد آوری شده ی افراد قبل از ورود به پایگاه داده باید مورد تایید واقع شوند.
داده ها باید ، در زمان لازم و مکان موردنظر ، به روز نگهداری شوند.
باید داده ها در دسترس باشند تا اطمینان حاصل شود داده ها در دسترس اند.
اگر درمورد دقت داده ها توافق کامل وجود نداشته باشد فرد باید آگاه شود و اطلاعات درست را فاش آشکار کند.
اطلاعات محرمانه
شیوه های امنیتی کامپیوتری برای حصول اطمینان دربرابر آشکار کردن داده ها برای افراد غیر مجاز , فعال می شوند. آنها شامل اقدامات امنیتی فیزیکی ، فنی و اداری می باشند.
شخص سومی مگر با حق قانونی نمی تواند بدون آگاهی و اجازه فرد به اطلاعات وی دسترسی پیدا نماید.
به جز موارد روزمره ، افشای داده ها باید اطلاع داده شود تا زمانی که داده ها نگه داری می شوند ، داده ها نباید برای دلیلی ناسازگار با هدف تجاری که جمع آوری شده اند ، فاش شوند
در باره کسب و کار
2-3- شرکت نیازمند افشای داده ها می باشد
چویس پونت خبر خوان داده هاست. این شرکت داده ها را بازیابی , نگهداری و تحلیل می کند و آنها را به شرکت های تجاری در هر سایزی که باشند مانند می رساند . شرکت چویس پونت ادعا دارد که می تواند ازداده های خصوصی افراد حفاظت کند شرکت جهت انجام این کار ، استانداردهای سختی را تدوین نموده که به آنان بسیار پایبند است. این قسمت بسیار مطمئن به نظر می رسید. به هر حال ثابت شد که بخش امنیت سازمان در مقابل انتشار اطلاعات شخصی بسیار نا کارآمد است. در یک بخش سارقان هویت 50 نام تجاری جعلی درست کردند و با فریب شرکت توانستند به اطلاعات نزدیک به 150000 مشتری دسترسی پیدا کنند.
در اکتبر 2004 چویس پونت درباره حفره ایجاد شده هشدار داد . با این حال حدود 35000 مشتری کالیفرنیایی از این امر که که قربانیان بالقوه هستند آگاه نشدندتا زمانیکه در فوریه چویس پونت به آنها هشدار داد .در آخر، قانون کالیفرنیا مساله را بررسی کرد. و شرکت موافقت کرد که 110000 اطلاعیه اخطار دیگر را به مشتریان خارج از کالیفرنیا بفرستد.
سوالات:
1. آیا شما فکر می کنید چویس پونت از نظر قانونی مسئول سرقت اطلاعات مشتریان است؟ در مورد جواب خود توضیح دهید
2. درباره راه های ممکن برای دفاع از خودتان در مقابل حملات به وسیله خبرخوان داده ها مانند چویس پونت بحث کنید .
جنبه های بین المللی حقوق خصوصی
قوانین در مورد حقوق خصوصی از کشوری به کشور دیگر متفاوت است. نبود مشابهت ها و یا استاندارهای مشابه می تواند باعث ایجاد محدودیت های شود که در کشورهای بسیاری این محدودیتها مشخص است اتحادیه اروپا عملیات ویه ای را جهت غلبه بر مشکلاتشدر نظر گرفته است .
کمیسیون اتحادیه اروپا در سا ل1998 برای تمامی اعضای خود استراتی هایی را بیان نمود که براین اساس افراد به اطلاعات شخصی خود توجه نمایند . قوانین و مقررات نگهداری و محافظت از داده ها در کمیسیون اتحادیه اروپا از آمریکا سختگیرانه تر است و این امر مشکلاتی را برای شرکت های چند ملیتی ایجاد کرده که ممکن است با نقض حریم خصوصی مواجه شوند.
جابجا کردن اطلاعات به داخل یا خارج از کشور بدون اطلاع مسئولین یا صاحبان آن , مسایل حریم خصوصی را بوجود آورده است . ه ثبت ها در کشورهای گوناگون ؛ برای پردازش مجدد ذخیره شده اند . مثالا اگر داده ها به وسیله یک شرکت لهستانی با ماهواره آمریکایی به شرکتی در بریتانیا منتقل شود قانون حریم خصوصی کدام کشور و در چه زمانی باید داده ها را چک کند؟ هرچه به جلو ژیش می رویم سوالاتی از این قبیل پیچیده ترمی شوند. دولت ها باید برای توسعه قوانین و استانداردها که با تغییرات سریع فناوری همراه است تلاش کنند تا چنین موضوعات مربوط به حریم شخصی حل گردد.
قبل از این که ادامه دهید…
1. اخلاقیات را تعریف کنید و چهار دسته از آنها را که در فناوری اطلاعات کاربر دارد بیان کنید ؟
2. مسایل حریم خصوصی که با فناوری اطلاعات تحت تاثیر قرار می گیرد را توضیح دهید
3. اصول اخلاق شامل چه چیزی است
4. رابطه فناوری اطلاعات با حریم خصوصی را بیان کنید
2-3 تهدیدات امنیت اطلاعات
عوامل بسیاری امروزه امنیت اطلاعات را بیشتر با خطر مواجه کرده است . 1-وسایل کوچک تر شده اند ، قدرت آنها افزایش یافته و هزینه هایشان کمتر شده است. نتیجتا، افراد بیشتری توانایی استفاده از کامپیوتر با قدرت پردازش و ذخیره سازی بالا را دارند. هرچه اطلاعات خصوصی ذخیره شده بیشتر شود احتمال سرقت نیز افزایش می یابد. 2- اینترنت باعث شده است که شبکه های نا امن بسیاری بوجود آید . امنیت اطلاعات ذخیره شده در هر کامپیوتربا ارتباط با هر کامپیوتر دیگری از طریق شبکه تحت تاثیر قرار می گیرد.
شبکه ها بنحو گسترده ای بهره وری خود را افزایش داده اند و در محیط کسب و کار امروزی به عاملی ضروری تبدیل شده اند. هم زمان ، آنها اطلاعات و داده های سازمان را در مقابل خطر آسیب پذیر تر می کنند.
هر روزه افراد جامعه بین المللی نسبت به قبل سواد کامپیوتری بیشتری کسب میکنند و وسایل کامپیوتری ببه میزان بیشتری در دسترس افراد قرار می گیرد و امنیت کامپیوترها آسیب پذیرتر می گردد. در شبکه ها و محیط اینترنتی امروز ، کاربران می توانند بسیار کم هزینه و سریع و آسان به دستگاه های کامپیوتری دسترسی پیدا کنند .و این نشان می دهد که افراد مخرب از هرکجای دنیا و در هر زمانی می توانند حمله کنند.
قبل از اینکه در باره خطرات زیاد امنیت اطلاعات بحث کنیم ابتدا به چند بحث مهم و اساسی می پردازیم . سازمان ها منابع اطلاعاتی بسیاری دارند. و این منابع در معرض آسیب های بزرگی قرار دارند. تهدید برای منابع اطلاعات شامل ریسکی است که می تواند موجب فاش شدن اطلاعات سیستم شود. افشای منبع اطلاعات آسیب ، یا خرابی است که ممکن است موجب سازش این منابع شود. آسیب پذیری سیستم امکان متحمل شدن خرابی سیستم در مقابل خطر است. ریسک , احتمال وقوع خطر و کنترل های سیستم رویه ها , دستگاه ها و نرم افزارهایی هستند که هدفشان جلوگیری از سازش سیستم است .
سیستم های اطلاعاتی اجزای زیادی در قسمتهای مختلف دارد . بنابر این، هر سیستم اطلاعاتی می تواند در برابر تهدیدات بالقوه و خطرات زیادی آسیب پذیز است.
تهدیدات اصلی در مورد سیستم های اطلاعاتی
* تهدیدات عمدی
* غیر عمدی
1- جاسوسی یا تجاوز
2- سرقت اطلاعات
3- خرابکاری
4- سرقت
5- سرقتهویت و شخصیت
6- حمله های نرم افزاری
1- ویروس ها 2- کرم ها 3- اسب های تروجا ن 4-بمب های منطقی
5 در های پشتی( back door ) 6- انکار خدمات (denial of service)
7- نرم افزارهای بیگانه (spam ware ، pestware کوکی ها اسپم ها ؛ وب باگ) 8- پیشینگها 9-فارمی ها
تهدیدات غیر عمدی
تهدیدات غیر عمدی شامل به سه دسته عمده می باشند : خطاهای انسانی , بلایای طبیعی , و خرابی سیستم های کامپیوتری. خطاهای انسانی ممکنست در طراحی سخت افزارها و یا سیستم های اطلاعاتی بوجود آید. این خطاها همچنین می توانند در برنامه ریزی ، تست ، جمع آوری داده ها , وارد کردن داده و رویه ها بوجود آید. خطاهای انسانی در بسیاری از سازمانها روی می دهد.
بلایای طبیعی مثل زلزله ، سیل، طوفان شدید، قطعی برق یا نوسانات شدید ، آتش سوزی شرای جوی نا مناسب، انفجار ، رادیو اکتیو ،خرابی فن می باشند . این خطرات می توانند عملکرد معمول کامپیوترها را با اشکال مواجه نماید و باعث ایجاد زمان انتظار بالا و هزینه سنگین جهت بازسازی مجدد داده ها و برنامه های کامپیوتری گردند. خرابی های سیستم های کامپیوتری ممکنست بعلت تولید نا مناسب و ضعیف یا ماده اولیه نامرغوب صورت گیرد. خرابی های غیر عمدی نیز می تواند به دلایل چون کمبود تجربه کاربران و یا آزمایشات ناقص بوجو آید خطرات محیطی شامل زلزله ، طوفان شدید ، سیل ، خاموشی با زیان های متفاوت همراه است این گونه حوادث طبیعی عملکرد کامپیوترها را با مشکل مواجه میکنند .
تهدیدات عمدی
نوعا تهدیدات عمدی به عنوان جرم شناخته می شوند. جرایم کامپیوتری ، عملکردهای فریب دهنده ای هستند که با استفاده از کامپیوتر و ارتباطات کامپیوتری بویژه اینترنت صورت می گیرند.در جوامع پیشرفته امروزی جرایم کامپیوتری مشکلی بسیار مهم می باشد . بر اساس گزارش FBI ,به طور میانگین سرقت حدود 3000 دلار ؛ میانگین جرائم کارمندان 23000 دلارهزینه به بار آورده است . در مقابل جرایم کامپیوتری حدود 600000دلار هزینه به بار آورده است.
جرایم کامپیوتری ممکنست توسط افراد خارج از سازمان که به سیستم کامپیوتری نفوذ کرده اند ویا توسط افراد درون سازمانی که از سیستم استفاده می کنند صورت گیرد . افرادی که معمولا بدون قصد مجرمانه به سیستم نفوذ کرده اند و معمولا خارج از سازمانند ، تحت عنوان هکر شناخته می شوند . کراکرها ، هکرهای مخربی است که برای سازمان یک مشکل جدی بوجود می آورند .
کراکر ها افراد داخل سازمان را در جرایمشان درگیر می کنند . به عنوان مثال ، در استراتژی مهندسی اجتماعی ، مجرمان کامپیوتری یا جاسوسان شرکتها با ایجاد اعتماد ساختگی در رابطه با افراد درون سازمانی به سیستم های امنیتی نزدیک می شوند . آنگاه افراد درون سازمانی کراکرها را با دادن اطلاعات حساس یا امتیاز دسترسی غیر مجاز تامین می کنند مثالا : یک کراکر اینطور نشان می دهد که کارمند بخش فناوری اطلاعات است . و به کلیه منشی ها درسراسر سازمان اعلام می کند برای انجام نظارتهای امنیتی سیستم های کامپیوتریشان به کلمه عبور و رمز آنان احتیاج دارد . سه چهارم این افراد بدون اینکه بررسی کنند که این فرد واقعا مسئول اینکار است اطلاعات را در اختیاروی قرار می دهند.
علاوه بر جرایم کامپیوتری در سازمان ها , خطر افزایش ارتکاب تقلب در مقابل افراد به وسیله اینترنت وجود دارد . محیط اینترنت یک دور نمای فوق العاده آسان برای انجام فعالیت های مجرمانه را نشان می دهد . مجرمین خلاق بیش از هزارحقه و روش مختلف را برای گرفتن پول از افراد بی گناه , خرید بدون پرداخت , فروش بدون تحویل , سو استفاده و اذیت مردم , و بیش از این به کار می برند .
انواع مختلفی از تهدیدات عمدی وجود دارد : جاسوسی یا تجاوز به حریم , اخاذی اطلاعات , کارشکنی و خرابکاری , سرقت , دزدی هویت , حملات نرم افزاری , و به خطر انداختن مالکیت معنوی . ما راجع به هریک به نوبه خود با مثال بحث می کنیم .
جاسوسی یا تجاوز به حریم
هنگامیکه افرد غیرمجاز , قادرند به اطلاعاتی که سازمان سعی در حفاظت از آن را دارد دسترسی یابند ، این عمل به عنوان جاسوسی یا تجاوز به حریم در نظر گرفته می شود. جاسوسی صنعتی در جایی بوقوع می پیوندد که پیدا کردن اطلاعات درباره ی رقبا در محدوده معین قانونی است . در جاسوسی اطلاعات جمع آوری شده فراتر از این حدود قانونی می رود . دولت ها در کل جهان از جاسوسی صنعتی در مقابل سازمانهای سایر کشورها استفاده می کنند. رده پایین فناوری جاسوسی از بالای شانه نگاه کردن (دزدکی نگاه کردن ) است , که افراد اطلاعات را بدون اجازه با نگاه کردن از بالای شانه افراد به مونیتور کامپیوتر یا دستگاه خودپرداز مشاهده می کنند.
اخاذی اطلاعات
اخاذی اطلاعات هنگامیکه رخ می دهد که کارمندی که قبلا مورد اعتماد بوده است اطلاعات را از سیستم کامپیوتری سرقت می کند و سپس برای فاش نکردن آن درخواست پول می کند . مثال های زیر اخاذی با استفاده از پیام های فوری را نشان می دهد .
مثال : اخاذی با پیام فوری( اسپایم )
نخستین بار در ایالت متحده یک نوجوان برای ارسال اسپایم دستگیر شد . او تقریبا 1.5 میلیون اسپایم؛ را بصورت نا خواسته به استفاده کنندگان Myspace.com که برای نوجوانان تهیه شده را ارسال نمود . پس از ارسال اسپیم , او با مالکان و مدیران My space تماس گرفت و مسئولیت ارسال اسپایم ها را به عهده گرفت , و پیشنهاد کرد حق انحصاری ارسال پیام تجاری به استفاده کنندگان My space را عهده دار شود . همچنین پیشنهاد کرد که ازMy space در مقابل سایر اسپایم های تبلیغاتی به اعضای با مبلغ روزی 150 دلار محافظت کند. هنگامی که My space پاسخ نداد , او تهدید کرد که راه ارسال اسپیم به استفاده کنندگان My space را به سایر تبلیغ کنندگان نشان می دهد . او به وسیله سرویس امنیتی ایالت متحده زمانی که برای ملاقات با صاحبان شرکت My space ,که با سرویس امنیتی همکاری می کردند , به لس آنجلس سفر کرده بود دستگیر شد.
خرابکاری یا دشمنی
وب سایت سازمان معمولا پر بازدید ترین وجه سازمان برای عموم است . اگروب سایت سازمان با مشکلی مواجه شود , مشتریان سازمان اعتمادشان نسبت به سازمان را از دست می دهند و از دست رفتن اطمینان مشتری همراه با کاهش سود و درآمد می شود . رایجترین نوع خرابکاری آنلاین , فعالیت های و طرفداران عملکرد کامپیوتری است
مثلا , هنگامیکهکه هکر بدنام , کوین میتنیک , از زندان آزاد شد , متوجه شد که وب سایت شخصی اش به وسیله هکری به نام باگ بر تخریب شده است . متن پیام عبارت بود از :" به دنیای آزاد خوش آمدید . مهارت های امنیتی تو فرسوده شده اند . این طور نیست؟ " در مثالی دیگردر وب سایت یک حزب سیاسی در نیوزلند شعار نئونازی ارائه شد. این تغییر چهره سایت باعث خجالت فراوان شد و سایت سریع برای بازدید امنیتی بسته شد .
تروریسم کامپیوتری منحوس تر از فعال کامپیوتری مطرح می شود. تروریسم کامپیوتری می تواند به عنوان , حمله به اطلاعات با انگیزه سیاسی , سیستم های کامپیوتری , برنامه های کامپیوتری , و داده ها به صورت عمدی که باعث خشونت علیه اهداف افراد غیر نظامی به وسیله گروه ها یا عوامل منفی تعریف می شود. در این زمان , مثال تروریسم کامپیوتری به فعالیت هایی مانند تخریب صفحات وب ناتو در طول زمان جنگ کوزوو محدود می شود .
تهدید تمایل به جنگ کامپیوتری در حال افزایش است , که در آن سیستم اطلاعات کشورها با حمله شدید نرم افزارمخرب از کار می افتد . سیستم های هدف می تواند به صورت سیستم اطلاعات تجارت , سرویس های دولتی و سیستمهای فرماندهی نظامی دسته بندی شود . در ایالات متحده , هیئت حفاظت از زیر ساختهای مهم , آماده حفاظت از برنامه ها , سیاست ها , و استراتژی ها در مقابل تروریسم کامپیوتری است . برای جزئیات و اطلاعات بیشتر www.cdt.org/security/critinfra و www.ciaonet.org را ببینید.
دزدی
دزدی اخذ غیر قانونی دارایی های می باشد که متعلق به فرد یا سازمان دیگر است و در خود سازمان این دارایی ها ممکن است شامل دارایی فیزیکی ، الکترونیکی , عقلایی و غیره باشد .درباره تجارت 3.3 پیچیدگی دزدی در فناوری اطلاعات را شرح می دهد .
دزدی هویت
جرم یقه سفیدها ( کارمندان ) که به سرعت در حال رشد است , دزدی هویت می باشد .
که در آن مجرم وانمود می کند که شخص دیگری است . دزد شماره امنیت اجتماعی و شماره کارت اعتباری را معمولا از طریق اینترنت و با ارتکاب تقلب , سرقت می کند (مثال : برای خرید محصولات یا خدمات مشتریان ) . بزرگترین مشکل برای شخصی که هویتش دزدیده شده است , به حالت اول برگرداندن درجه اعتباری آسیب دیده اش می باشد . مطابق ممیزی سال 2003 به وسیله مرکز منابع سرقت هویت , قربانیان دزدی هویت به طور میانگین 600 ساعت طی سالیان متعدد و 16000 دلار برای برگرداندن آن می پردازند . برای اطلاعات بیشتر www.identitytheft.org را ببینید. دانشجویان کالج نیزاز این جرم مصون نیستند. ضمیمه 1 در پایان این فصل اطلاعاتی برای امنیت کامپیوتر خانگیتان مطرح می کند و ضمیمه 2 اطلاعاتی را برای حفاظت از هویتتان را فراهم می کند .
درباره تجارت
3.3 استفاده از eBay برای حفظ کالاهای دزدی
دزدیدن کالاها بخش ساده بود . حلقه ای از مردان و زنان طرفداران ربودن ژاکت ترمه , عطر , و سایر اشیای گران از فروشگاه هایی مانند Abercrombie & Fitch , Victoria's Secret , Pottery Barn هستند . مشکل این است که چگونه کالاهای دزدیده شده را به پول نقد تبدیل کنند . هر تلاشی برای برگرداندن کالاها به منظور عودت , بدون داشتن مدرکی از خرید(فاکتور خرید) امکان پذیر نیست . این حلقه کشف کرد که برخی مغازه ها به آنها اجازه می دهند که کالاها را بدون رسید اعتباری مغازه یا کارت های هدیه باز گردانند . سپس آنان , این فاکتورها را در eBay می فروشند . این کار آسان , فوری و ناشناسانه است . آنان به ازای هر دلارکالای مسروقه , 76 سنت دریافت می کنند , با توجه به مقدار عظیم کالاهای دزدی که به طور خالص 10درصد یا کمتراز قیمت آن کالای دزدی در خرده فروشی را می گیرند . این گروه 20000 دلار یا بیشتر در 10 ماه را به دست آورد .
شکست نقشه عملیات سالانه و بزرگ که در پنج ایالت شمال شرقی اقتدار داشتند را درگیر کرد . مسئولین امر مجبور به تحلیل هزاران فایل کامپیوتری ,بر قراری نظارت امنیتی در مغازه ها و قرار دادن نمایندگان مخفی برای نفوذ به حلقه شدند .
eBay توضیح داد که با دقت اشاره کردن به کالاهای دزدیه شده قبل از اطلاع به کارخانه غیز ممکن است . eBay اشاره می کند, "ما مالک آن نیستیم , ارسالش نمی کنیم , و هرگز نگهش نمی داریم . " شرکت تیم امنیتش را به هزار نفر, 13 درصد کل کارکنانش , برای کمک به مبارزه با این مشکل, افزایش داد. eBay همچنین تحلیل سیستم های کامپیوتری را برای علامت دادن فعالیت های مظنونانه تکمیل کرد.
سوالات :
1. آیا تیم امنیتی eBay می توانند از شرکت و مشتریانش در مقابل حلقه دزدان مانند این کیس ذفاع کنند ؟ اگر چنین است , چگونه ؟
2. آیا شما نسبت به خرید کارت های هدیه از eBay در حراج بدگمان شدید ؟ چرا یا چرا نه ؟
حملات نرم افزاری
مهمترین و مشخص ترین نوع تهدید کامپیوتری حمله نرم افزاری است . حملات نرم افزاری آزادانه زمانی روی میدهد که افراد یا گروه ها نرم افزارهای خاص را طراحی میکنند- نرم افزار مخرب یا بدافزار نامیده می شود – تا به سیستم های کامپیوتری حمله کنند. این نرم افزارها برای اسیب زدن و تخریب کردن یا از بین بردن خدمات و سیستم های هدف طراحی مس شوند. مشهور ترین انواع نرم افزارهای مخرب ویروسها , کرم ها , اسب تروا , بمب های منطقی , درهای پشتی , رد خدمات , نرم افزار ناسازگار , فیشینگ , فارمینگ هستند.
ویروس ها
ویروس های کامپیوتری, کدهای کامپیوتری که فعالیت هارا اجرا می کنند را قطعه قطعه کرده و از حالت اذیت کننده تا ویرانگر دسته بندی می شوند . ویروس ها به برنامه های کامپیوتری که در کامپیوتر وجود دارند ضمیمه شده و کنترل برنامه ها را به عهده می گیرند. ویروس برنامه را آلوده می کند و سپس بر روی سیستم های فرعی تکرار می شود . یکی از متداول ترین روش های انتقال ویروس چنانچه مثال زیر نیز نشان می دهد از طریق فایل های ضمیمه ایمل هاست.
مثال : FBI نگران جعل ایمیل است
ایمیل جعلی حامل ویروس کامپیوتری که به نظر می رسید از طرف FBI است بر روی اینترنت منتشر شد. ایمیل ناخواسته به استفاده کنندگان می گفت : " که استفاده اینترنتی آنان به وسیله مرکز شکایات تقلبات اینترنتی FBI مورد مشاهده قرار می گیرد و آنان به وب سایت های غیر مجاز دسترسی یافته اند . " پیام جعلی سپس از گیرندگان پیام می خواست که بر روی دریافت کلیک کنند و به برخی سوالات درباره ادعای استفاده اینترنتی غیر مجاز پاسخ دهند " و دریافت , ویروس را با خود حمل می کرد. FBI گفت که هرگز ایمیل ناخواسته ای را برای شهروندان به هر دلیلی ارسال نکرده است . هر ایمیلی که به نظر می رسد از طرف FBI است باید رد شود.
نوع جدیدی از ویروس ها به وجود آمده که هدفش بروی تلفن های همراه است. اولین ویروس تلفن موبایل جهان در فیلیپین شروع شد و به آرامی در 12 کشور تا مارس 2005 گسترش یافت . این ویروس , که کبیر نامیده می شد , می توانست روزی عمر بسیاری از 1.5 بیلیون استفاده کننده از موبایل در سراسر جهان را مختل کند . تا کنون , بزرگتریت ضربه نسبتا بی ضرر ویروس خالی کردن باطری موبایل ها بوده است . پیش بینی شده است که تهدید ویروس موبایل ها در آینده افزایش یابد . نویسندگان ویروس خبره تر می شوند , و تلفن های همراه به فناوری های استاندارد تکیه می کنند . این توسعه گسترش یافتن ویروس ها را نه تنها در اختراعات خاص بلکه در صنعت نیز آسان می کند.
کرم ها
کرم ها برنامه های مخربی هستند که بدون نیاز به برنامه دیگر معمولاً برای فراهم کردن محیط امن برای تکثیر , تکرار میشوند .
به عنوان مثال , کرم های درهم کوبنده را تصور کنید . این کرم سریع ترین کرم در تاریخ است . در ژانویه 2003 , شروع به گسترش دراینترنت کرد و هر 8.5 ثانیه سایزش دو برابر می شد. و بیش از نود درصد کامپیوتر های آسیب پذیر در سراسر دنیا را در 10 دقیقه آلوده کرد . کرم باعث قطع شبکه شد و باعث نتایج پیش بینی نشده ای مانند کنسل شدن پروازهای هوایی وشکست ماشین سخنگوی خودکارشد.
اسب های تروا
اسب های تروا برنامه های نرم افزاری هستند که در برنامه های کامپیوتری دیگر پنهان می شوند و تنها زمانی که فعال می شوند رفتار طراحی شده خود را نمایان می کنند . اسب های تروا معمولا به صورت جذاب , کمک کننده و اعضای لازم نرم افزارها تغییر قیافه می دهند . مانند فایل های راهنما شامل بسته های نرم افزارهای اشتراکی یا نرم افزارهای رایگان که از اینترنت به طور رایگان کپی می شوند .
بمب های منطقی
بمب های منتطقی قسمت هایی از کدهای کامپیوتری اند که با برنامه های کامپیوتری حیاتی سازمان, معمولا به وسیله کارکنان بدخلق , محاط شده اند . بمب های منطقی برای انجام عملیات ویرانگر در زمان و تاریخ معین طراحی شده اند . برای مثال , کارمندی که کارش در سازمان به پایان رسیده یک بمب منطقی در سیستم لیست حقوقی شرکت اضافه می کند . بمب منطقی طراحی شده تا در شش ماه فعال باشد و چک کند که آن فرد هنوز در لیست حقوق است . زمانی بمب فعال می شود , که دریابد که فرد در لیست حقوق نیست و تمام ثبت های لیست حقوقی را پاک می کند . خوش بختانه , شرکت یک کپی از فایل های لیست حقوق در تسهیلات دیگر دارد.
درهای پشتی
یک ویروس یا کرم می تواند یک درپشتی را در سیستم کامپیوتر نسب کند . در پشتی نوعا کلمه عبوری است که فقط مهاجم می داند , این به مهاجم اجازه می دهد که به سیستم بدون نیاز به عبور از هر برنامه امنیتی دسترسی یابد .
رد خدمات
در حمله رد خدمت , مهاجم تقاضاهای اطلاعات زیادی را به سیستم هدف می فرستد که سیستم هدف نمی تواند آنها را با موفقیت به کاربرد . دربرخی موارد تهاجم رد خدمت , سیستم هدف را از اجرای وظایف اصلی اش باز می دارد . در موارد جدی تر باعث می شود که سیستم اصلی درهم شکند . در حمله رد سیستم توزیع شده ( DDOS ) جریان هماهنگ تقاضاها درمقابل سیستم هدف از طرف کامپیوتر های مختلف در یک زمان شروع می شود . بیشتر حملات DDOS امتیازشان در توافق میان سیستم های مختلف است . مهاجم از دور ماشین آلات مصالحه , به نام زامبی شناخته می شوند , را در مقابل هدف هدایت می کند.
نرم افزار بیگانه :
بر روی بسیاری از کامپیوترهای شخصی , بدون این که صاحب آنها بداند اجرا می شوند . موارد مختلف نرم افزارهای بیگانه شامل : pestware , adware (نرم افزار پشتیبان ) , spyware , cookies , و web bugs می باشد .
پست ور یک نرم افزار مخفی است که از طریق کانال ها و مجاری دو گانه بر روی کامپیوتر شما نصب میشود.در بسیاری
از موارد آن عنصر شما را در نصب آن با این ادعا که این نرم افزار سود و نفع زیادی برای شما دارد فریب میدهد.
پست ور ها به خرابکاری ویروس ها نیستند اما منابع ارزشمند سیستم را مصرف میکنند.به علاوه میتوانند گشت و گذار های اینترنتی شما و بقیه ی رفتار های شخصی شما را گزارش دهند.
تحلیل گران تخمین میزنند که افزون بر 90% کامپیوتر های شخصی به وسیله ی آن ها تحت تاثیر قرار میگیرند.یک نشانه واضح که نرم افزار از نوع" پست وار" میباشد این است که هیچ موقع با برنامه ی پاک کردن خود همراه نیست.برنامه های پاک کردن برنامه های خودکاری هستند که برنامه ی خاصی را به صورت کلی یا سیستماتیک حذف میکنند.
اکثریت گسترده ی "پست وار ها" از نوع "ادوار سافت ور" هستند که به منظور ظاهر شدن آگهی های زاید بر روی صفحه ی شما کمک میکنند.
تولید کنندگان آن ها اغلب به رضایت شما برای نصب شان نیاز دارند.که این کار به وسیله گول زدن شما از طریق القای این تفکر که شما نرو افزار های مجانی نصب میکنید انجام میشود.مثل برنامه های ساعت یا پیش بینی وضع هوای محلی.
چرا این همه "ادوار" وجود دارد؟ جواب این است:چون کار میکند.
بر اساس اعلام ازانس های تبلیغ کننده به ازای هر 100 نفر که آن ها را پاک میکنند 3 نفر بر روی آن ها کلیک میکنند.این نرخ موفقیت برای تبلیغات اینترنتی شدیدا بالاست.
برای مثال رهبر در صنعت نو پای "ادوار" شرکت کلاریا سودی برابر 35 ملیون دلار در ازای 90 ملیون دلار فروش داشت.
امروزه محصول این شرکت بر روی 43 ملیون کامپیوتر شخصی وجود دارد.
تعدادی از "پست وار " ها نرم افزار های جاسوسی هستند:
1-برنامه های "کیی لاگر" که "کی استرک"های شما را ثبت میکند.
2-برنامه های تصاحب پسورد که پسورد های شما را ثبت میکند.
3-آن هایی که برای استفاده از کامپیوتر شما به عنوان یک سکوی پرتاب برای جاسوس ها طراحی شده اند.
جاسوس ها ای-میل های نا خواسته ای هستند که معمولا برای اهداف تبلیغاتی محصولات و خدمات هستند.جاسوس ها نه تنها باعث آزار هستند بلکه وقت و پول را نیز هدر میدهند.در واقع جاسوس ها هزینه ای بیش از 20بیلیون دلار در هر سال برای شرکت های امریکایی دارند.این هزینه ناشی از کاهش بهره وری-ذخیره سازی های اضافی و برنامه های ضد جاسوسی است.شرکت ها و سازمان های ارایه دهنده ی خدمات اینترنتی از "فایر وال ها یی مثل باراکولا استفاده میکنند.
این فایروال هر ای میلی را که به عنوان جاسوس شناسایی شده باشد در یک فولدر قرنطینه قرار میدهد.همچنین کاربران را در صورتیکه این ای-میل ها را در آن فولدر قرار دهد به طور مرتب متوجه میکند.و چنانچه کاربران آن پیغام ها را به عنوان جاسوس مشخص کنند فایروال میاموزد که مناع این پیغام ها را مشخص کند و دریافت هر پیغامی از آن ها را مسدود کند.متاسفانه بسیاری از برنامه های انتی ویروس پستوار ها را مسدود نمیکنند.اما محصولاتی تحت عنوان "آنتی پستوار" وجود دارند که به صورت فعالانه از ورود آن ها به حافظه ی کامپیوتر جلوگیری میکنند.که شامل موارد زیر هستند:
Ad-aware
a-squared
pest patrol
spybot search
spysweeper
xcleaner
کوکی ها مقدار کمی از اطلاعات هستند که وب سایت ها بر روی کامپیوتر شما به صورت دایمی یا وقت ذخیره میکنند.
در بسیاری موارد کوکی ها مفید و بی ضرر هستند.برای مثال برخی از کوکی ها پسورد وآی دی کاربر هستند که دیگر لازم نیست هر بار که شما قصد بارگذاری یک صفحه ی جدید را دارید آن را دوباره تایپ کنید.همچنین کوکی ها به عنوان کارت های خرید در بسیاری از مرکز فروش اینترنتیدر صورتیکه قصد خرید داشته باشید ضروری هستند.
اما دیگر کوکی ها میتوانند برای گذاشتن ردپایی از شما در یک وب سایت و زمانی که در آن جا صرف کرده اید و دیگر جزئیاتی که شرکت میخواهد ثبت کند استفاده شود.که بیشتر برای اهداف بازاریابی میباشد.
بیشتر کوکی ها می توانند صرفا به وسیله ی کسانی که آن ها را ایجاد کرده اند خوانده شوند . اما برخی شرکت ها که بنر های تبلیغاتی را مدیریت میکنند در ذات خود حلقه های "به اشتراک گذاری کوکی" هستند.
این شرکت ها میتوانند اطلاعاتی مانند اینکه چه صفحاتی را بارگذاری کرده اید و بر روی چه چیزی کلیک کرده اید را ردیابی کنند.بعد آن ها این اطلاعات را با وب سایت های مرجعشان به اشتراک میگذارند.چند مثال برای آن ها عبارتند از:
Double click-link exchange-ad cast
نهایتا اشکال وب تصاویز گرافیکی کوچک و نامرعی هستند که به صفحات وب یا پیغام های ایمیل اضافه میشوند.
کمپانی ها از "وب باگز" ها برای به دست آوردن آمار بر روی الگو های استفاده از اینترنت واینکه چه کسی به اسناد خاص نگاه کرده است استفاده میکنند.بیشتر استفاده ی نادرست زمانی است که جاسوس ها آن ها را در ایمیل ها پنهان میکنند.این تکنیک به جاسوس اجازه میدهد که بفهمد که ایمیل شما واقعی است و کار میکند.فقط یکبار که جاسوس بفهمد ایمیل آدرس شما را بارها خواهد فروخت.
فیشینگ: فیشینگ از فریبکاری به منظور به دست آوردن اطلاعات شخصی حساس مثل شماره حساب و پسورد به وسیله مبدل کردن خود به یک ایمیل ظاهرا رسمی استفاده میکند.
اطلاعات اما به حساب سارقین میرود".فیشر" ها در حدود 1.2 بیلیون کالا ها و خدمات را در سال میدزدند.آنها از 50 یا حتی بیشتر از مجرمین حرفه ای که در روسیه و اروپای شرقی فعالیت میکنند کمک دریافت میکنند.
فارمینگ:
در فارمینگ مهاجم با حیله گری نام دامنه ی وب سایت شرکت را به دست میاورد.وقتی که افراد آدرس وب سایت را تایپ میکنند آن ها در حقیقت در وب سایت ساختگی مهاجم هستند که کاملا شبیه به وب سایت واقعی میباشد.این افراد ممکن است اطلاعات حساس خود را با این فکر که در سایت واقعی هستند وارد کنند.در زانویه ی 2005 اسم دامنه ی یک شرکت بزرگ خدمات کامپیوتری توسط یک وب سایت در استرالیا دزدیده شد.
بسیاری از این حملات نرم افزاری به هم وبسته اند و با هم اتفاق میفتند.تمرین 4-3 راجب یک سری از حملات به یک وبسایت بحث میکند.
در ارتباط با تجارت:
حمله ی گروه "مای دووم" به گروه "اس-سی-ا "
گروه" اس-سی-ا" یک تامین کننده ی راه حل های نرم افزاری برای تجارت های کوچک و متوسط است.که از وقتیکه چند بلیون دلار در دعوی علیه آی-بی-ام در ماه مارچ 2003 ضبط کرد,هدف تکراری حمله های اینترنتی بوده است که این با اختلاس کردن اسرار تجاری و رقابت ناجوانمردانه بوده است.همچنین "اس-سی-ا" متهم کرده است "آی-بی-ام " را که کپی رایت آن را در سیتم یونیکس به وسیله ی کپی کردن عناصر آن سیستم عملیاتی در لینوکس شکسته است و آن را مجانی پخش کرده است.و بر اساس آن ادعا میکند که مالک قسمتی از لینوکس است.علاوه بر این تهدید کرده است که مالکیت خود را را به وسیله ی نقض قوانین دادخواهی در مقابل کاربران لینوکس,با زور اجرا میکند.بسیاری از مردم فعالیت های حقوقی "اس-سی-ا" را به عنوان تهدید برای گسترش لینوکس که آن را به عنوان یک حریف ورقیب برای سلطه ی سرور سیستم عامل مایکرسافت میشناسند,میدانند.این افراد علاقه مند به یک جایگزین برای ویندوز مایکروسافت هستند.در ژانویه ی 2004 "مای دوم" یک کرم را در اینترنت ایمیل کرد و در سیستم های ایمیل با ÷یغام های تحت تاثیر قرار گرفته طوفانی به پا کرد. "مای دوم" یک برنامه ی اسب تروژان" بر روی ماشین هایی که تحت تاثیر قرار گرفتند نصب کرد.ماشین های تحت تاثیر قرار گرفته استفاده میشوند به منظور شروع حمله ی رد خدمات در برابر وب سایت "اس-سی-ا".
تخمین ها میگویند 25000تا 50000 کامپیوتر در این حمله ها مشارکت کرده اند.در حمله ی بعدی هکر های بدکار با وب سایت "اس-سی-ا" سازش کردند به وسیله ی پست کردن پیغام هایی که ادعا های شرکت در داشتن سهم از لینوکس را مسخره میکرد.آن ها عکسی فرستاده بودند که نوشته بود ما صاحب همه ی کد های شما هستیم.همه ی پول هایتان را به ما پرداخت کنید.صبح روز بعد عکس حذف شد.در نوامبر 2005 دادخواست "اس-سی-ا" علیه "آی-بی-ام-برای دادگاه برنامه ریزی شد.
سوالات:
1-نرم افزار های متحدی را که به صورت ضربتی به گروه "اس-سی-ا" حمله میکنند مشخص کنید.
2-اگر شما مدیر اطلاعات "اس-سی-ا" بودید چه قدم هایی بر میداشتید که اطمینان حاصل کنید که وب سایت شما دوباره به وسیله ی حمله های" انکار درخواست " در هم شکسته نمیشود؟
مصالحه بر سر دارایی های فکری:
حمایت کردن از دارایی های فکری یک مسئله ی حیاتی برای افرادی است که معاش خود را بر عرصه ی دانش قرار داده اند.دارایی فکری دارایی است که به وسیله ی افراد یا شرکت هایی که زیز قوانین کپی رایت-حق امتیاز-و اسرار تجارت حمایت میشوند خلق شده است.
راز تجارت یک کار فکری است.مثل یرنامه ی تجارت که راز یک شرکت است و بر اساس اطلاعات عمومی نیست.یک مثال برای آن برنامه ی استراتزیک یک شرکت است.
حق امتیاز سندی است که حقوق انحصاری یک اختراع یا یک فرایند را برای مدت 20 سال به خالق آن اهدا میکند.
کپی رایت یک امتیاز قانونی است که بر اساس آن خالق یک دارایی و ایده ی فکری مالکیت آن را برای مدت 70 سال به دست میاورد.و به مالکین آن حق این داده میشود که از کسانی که میخواهند از آن ایده کپی برداری کنند مزدی بگیرد.
مرسوم ترین دارایی فکری مرتبط با فناوری اطلاعات در ارتباط با نرم افزار است.بخش کپی ریت نرم افزار های کامپیوتری فدرال آمریکا از منابع و کد های نرم افزار های کامپیوتری حمایت میکند.اما این قانون مشخص نمیکند که چه چیزی برای پشتیبانی قانونی است.برای مثال قانون کپی رایت از مفاهیم مشابه-عملیات ها و خصوصیات عمومی مثل منو ها و رنگ ها و آیکون ها حمایت نمیکند.اما کپی کردن برنامه ی نرم افزار بدون پرداخت به مالک آن-شامل دادن دیسک به دوست برای نصب بر روی کامپیوترش- نقض قانون کپی رایت است.
بدون هیچ تعجبی این عمل که دزدی ادبی یا هنری گفته میشود مسئله ی لصلی برای فروشندگان نرم افزار است.تجارت جهانی در دزدی نرم افزار در سال 2004 در حدود 30 بیلیون دلار بوده است.
سازمانی است کهصنعت نرم افزار بازرگانی جهانی را ارایه میدهد که نرم افزار های حقوقی را ارتقا میدهد و بر روی BSA
سرقت نرم افزاری تحقیق میکند و سعی میکند که آن را تخمین بزند.
ویتنام و چین و اندونزی و اوکراین و روسیه را به عنوان کشور هایی با درصد بالای نرم افزار های غیر قانونی شناساییBSA
کرده است.در آن کشور ها بیش از 85% نرم افزار های مورد استفاده جزو کپی های غیر قانونی هستند.شرکت های کامپیوتری قدم هایی را برای مبارزه با سرقت نرم افزاری برداشته اند.برای مثال مایکروسافت ویرایشی بسیار ارزان از ویندوز اکس پی را در سه کشور آسیایی مالزی-تایلند و اندونزی میفروشد.کارشناسان صنعتی پیشگویی میکنند که برزیل-چین-هند و روسیه شرکای مورد علاقه ی بعدی هستند.
چرا متوقف کردن مجرمان اینترنتی سخت است؟ یک دلیل این هست که صنایع بازرگانی اینترنتی نمیخواهند از محافظ استفاده کنند که کامل کردن معامله را سخت تر کند.که این برای مثال با تقاضای پسورد یا اعداد هویت شخصی برای همه ی معاملات با کارت اعتباری ممکن خواهد بود.اما این کار ممکن است افراد از خرید اینترنتی دلسرد کند.
همچنین انگیزه ی کمی برلای صدمه دیدگان اینترنتی مثل" ای ا ال " وجود دارد که آنچه را که به فعالیت های جنایی منجر شده است با یک نفر دیگر یا اف بی آی سهیم شوند.و این ارزان تر است که کارت اعتباری دزدیده شده را مسدود کنند تا اینکه روی آن پول یل زمان سرمایه گذاری کنند.
شرکت ها چه کار میکنند؟علیرغم همه ی این مشکلات صنعت امنیت اطلاعات برای مبارزه بازگشته است.شرکت ها خدمات و نرم افزار هایی که هشدار های فجایع را بر روی اینترنت اعلام میکنند را توسعه میدهند.آنتی ویروس های مرسوم اینترنت را برای ویروس های جدید اسکن میکنند و خطرات را به شرکت ها اطلاع میدهند.
همچنین سیستم های جدید برای پاسخ دادن به نویسندگان ویروس ایجاد میشود.
هرچه نویسنده ی ویروس حرفه ای تر باشد روزنه و شکافی که بین زمانی که آن ها راجب آسیب پذیری ها یاد میگیرند و زمانی که آن ها را به کار می اندازند سریعا کاهش میابد.
برای مثال نوعی کرم تنها 17 روز بعد از اینکه مایکروسافت در آوریل 2004 یک رخنه در ویندوز ایجاد کرد به آن آسیب زد.
کارشناسان امنیتی پیش بینی میکنند که هکر ها به زودی ویروس های جدیدی را تولید میکنند.تکنسین ها در دو شرکت تراسکیور و سیمنتک بر روی ساعت کار میکنند تا ترافیک شبکه را منعکس کنند.تیم سیمنتک در 20000منطقه ی حساس در مراکز اینترنتی در 180 کشور رخنه کرده است تا ایمیل ها و بسته ای اطلاعاتی دیگر که به نظر میرسد حامل ویروس باشند را کشف کنند.
تراسکیور تکنسین هایش را به عنوان هکر به چت روم های اینترنتی نویسندگان ویروس میفرستد تا کشف کند که آن ها چه برنامه ریزی ای کرده اند.تراسکیور افتخار میکند که در دستگیری نویسندگان "لاو لتر" "کورنیکوا" "ملیسا" همکاری کرده است.
علیرغم مشکلات بحث شده در مقابل حمله ها سازمان ها به منظور حمایت از منابع اطلاعاتی شان مقدار زیاد پول و زمان هزینه میکنند.
ما در بخش بعدی روش های حمایت را بحث خواهیم کرد.
پیش از آنکه ادامه دهید……..
1-مثالی از یکی از انواع تهدیدات غیر عمدی در ارتباط با سیستم های کامپیوتری ارایه دهید.
2-انواع مختلف حمله های نرم افزاری را توصیف کنید.
3-مجرم اینترنتی را تعریف کنید و برای آن مثال بزنید.
4-پیامد حمایت از سرمایه های ذهنی را توصیف کنید.
3-3 حمایت از منابع اطلاعاتی
تجزیه و تحلیل ریسک:
قبل از هزینه کردن پول برای کنترل ها سازمان ها اندازه گیری خطر را انجام میدهند.یک خطر میزان احتمالی لست که یک تهدید بر روی منابع اطلاعاتی اثر میگذارد.
هدف مدیریت ریسک شناسایی-کنترل و حداقل کردن اثر تهدید هاست.به عبارت دیگر مدیریت ریسک خواهان کاهش ریسک به یک سطح قابل قبول است.
سه مرحله در مدیریت ریسک وجود دارد: آنالیز ریسک-خرد کردن ریسک-ارزشیابی کنترل ها
تجزیه و تحلیل ریسک فرایندی است که در آن سازمان ها ارزش هرکدام از دارایی هایی که باید حمایت شوند را ارزیابی میکنند -احتمال اینکه چقدر ممکن است هر دارایی مورد مصالحه قرار گیرد را تخمیم میزنند و هزینه ی مصالحه ی هرکدام را با هزینه ی حمایت از آن ها مقایسه میکنند.
سازمان ها تجزیه و تحلیل ریسک را انجام میدهند تا اطمینان حاصل کنند برنامه های امنیتی سیستم های اطلاعاتی شان موثر هستند.
فرایند تجزیه و تحلیل ریسک اموالی را که باید حمایت شوند را بر اساس ارزش احتمال اینکه مورد مصالحه قرار بگیرند و تخمین هزینه ی حمایت از آن ها اولویت بندی میکنند.پس از آن سازمان ها بررسی میکنند که چطور ریسک را خرد کنند.
در خرد کردن ریسک سازمان ها یک فعالیت واقعی در مقابل ریسک انجام میدهند.خرد کردن ریسک دو وظیفه دارد:
1-پیاده کردن کنترل به منظور جلوگیری از اینکه تهدیدات شناسایی شده اتفاق بیفتد.
2-توسعه ی یک راه چاره از بازنگری در این موضوع که تهدید به واقعیت تبدیل شود.
تعدادی استراتزی خرد کردن ریسک وجود دارد که سازمان ها باید خود را با آن ها وفق دهند.مرسوم ترین آن ها عبارتند از:
قبول ریسک: قبول ریسک های بالقوه-ادامه دادن عملیات بدون کنترل-جذب هر زیانی که اتفاق میفتد.
محدودیت ریسک:محدود کردن ریسک به وسیله ی پیاده کردن کنترل که اثر تهدید را حداقل میکند.
انتقال ریسک:انتقال ریسک به وسیله ی استفاده از راه چاره های دیگر به منظور تاوان ضرر. مثل خرید بیمه
در ارزیابی کنترل ها سازمان عیب های امنیتی را مشخص میکند و هزینه ی پیاده سازی اندازه گیری کنترل کافی را محاسبه میکند.اگر هزینه ی پیاده سازی کنترل بیشتر از ارزش اموال حمایت شده باشد کنترل مقرون به صرفه نیست.برای مثال کامپیوتر های مرکزی سازمان هابرای قبول ریسک بسیار ارزشمند هستند .در نتیجه سازمان ها ریسک آن ها را از طریق کنترل محدود میکنند.مثل دسترسی کنترل ها
سازمان ها همچنین از انتقال ریسک برای کامپیوتر های مرکزی شان استفاده میکنند.(به وسیله ی خریداری کردن بیمه)
در مثال دیگر فرض کنید که یک ماشین قدیمی را رانندگی میکنید که 2000 دلار میارزد.همچنین فرض کنید احتمال اینکه تصادف یا صدمه ی دیگری برای ماشین شما اتفاق بیفتد 0.01 است.که مقدار ضرر احتمالی شما 20 دلار میشود.اگر در ایالتی باشید که به شما این اجازه را بدهد شما تصمیم میگیرید که ماشین خود را بیمه نکنید.و شما قبول ریسک را تمرین میکنید.و یا شاید شما سعی کنید که با رانندگی با دقت ریسک را محدود کنید.نهایتا شما میتوانید ریسک را به وسیله ی خرید بیمه منتقل کنید.ولی شما سعی خواهید کرد که هزینه ی بیمه را کمتر از 20 دلار نگه دارید.
کنترل ها:
سازمان ها از سیتم هایشان از راه های مختلف حمایت میکنند.یک استرتزی اصلی متصل شدن به اف-بی-آی برای شکل دادن مرکز حفاظت ملی میباشد.این مشارکت بین دولت و بخش خصوصی برای حفاظت از زیر ساخت های ملی فراهم آمده است(انرزی-حمل ونقل-مسایل مالی-عملیات های دولتی).
اف-بی-آی همچنین یک موسسه ی کامپیوتری محلی ایجاد کرده است که بر روی شنود تلفنی و فرستنده های کامپیوتری -تعدی پنهانی-جاسوسی صنعتی و دیگر جرایم اینترنتی متمرکز شده است.دیگر سازمان ملی سازمان سی-ای-آر-تی در دانشگاه" کارنجی ملون" است.
مشکلات پشتیبانی از منابع اطلاعاتی:
1-صد ها تهدید بالقوه وجود دارد.
2-محاسبات مانبع شاید در جاهای مختلفی واقع شده باشند.
3-افراد زیادی دارایی های اطلاعاتی را کنترل میکنند.
4-فرستده های کامپیوتری میتوانند خارج از سازمان باشند که پشتیبانی را سخت میکند.
5-تغییرات سریع فناوریکی بعضی از کنترل ها را به محض نصب شدن منسوخ میکند.
6-بسیاری از جرم های اینترنتی تا مدت ا کشف نمیشوند.بنابراین یادگیری از تجربه ها سخت است.
7-مردم تمایل دارند که دستورالعمل های امنیتی را نقض کنند چراکه آن ها دست و پا گیر هستند.
9-بسیاری از مجرمان اینترنتی که دستگیر میشوند تنبیه نمیشوند.بنابراین تاثیر بازدارنده ندارد.
10-هزینه ی جلوگیری از مخاطره ها میتواند خیلی بالا باشد.بنابراین بیشتر سازمان ها نمیتوانند امکانات مالی لازم برای حمایت در مقابل خطر های ممکن را فراهم کنند.
11-توجیه هزینه-سود برای کنترل قبل از اینکه حمله اتفاق بیفتد سخت است.چرا که دستیابی به ارزش یک حمله ی فرضی سخت است.
چک لیست مدیران مشکلات اصلی در پشتیبانی از اطلاعات را لیست میکند.چرا که این برای کل سازمان خیلی مهم است که یک سیستم دفاعی مناسب را (که این یکی از فعالیت های اصلی یک مدیر عملیاتی لستکه منابع اطلاعاتی را کنترل کند) سازماندهی کند.در حقیقت امنیت اطلاعات تجارت هر کسی در سازمان است.
مهمترین استراتژی پشتیبانی از اطلاعات این است که کنترل را دخیل کنند(مکانیزم کنترل).کنترل ها قصد دارند که از مخاطرات تصادفی جلوگیری کنند,از فعالیت های عمدی جلوگیری کنند,بهبودی صدمه را بالا ببرند و مسایل را تصحیح کنند.نکته ی مهم این است که که دفاع باید به عوامل ممانعت کننده فشار وارد کند.دفاع هیچ سودی بعد از اینکه جرم به وقوع پیوست ندارد.
زیرا تهدیدات امنیتی زیادی وجود دارند و مکانیزم های کنترل زیادی نیز وجود دارند.کنترل امنیت بدین منظور طراحی شده است که از تمامی عناصر سیستم اطلاعاتی به خصوص اطلاعات,نرم افزار,سخت افزار و فرستنده ها پشتیبانی کند.
یک استراتژی دفاعی شاید شامل چندین کنترل باشد.ما کنترل های دفاعی را به دو گروه اصلی تقسیم میکنیم: کنترل های عمومی و کنترل های کاربردی.
هر دوی این گروه ها چندین زیر گروه دارند.جدول 1-3 انواع این کنترل ها را نشان میدهد وشکل 2-3 این کنترل ها را توضیح میدهد.
کنترل های عمومی : برای حفاظت از سیستم ها صرف نظر از نرم افزار خاص تاسیس شده اند . برای مثال : محافظت از سخت افزار و کنترل دسترسی به مرکز داده ها مستقل از هر نرم افزار خاصی است. مهمترین طبقات کنترل عمومی , کنترل فیزیکی , کنترل دسترسی , کنترل امنیت داده ها , کنترل ارتباطات ( شبکه ) و کنترل های اجرائی است . در بخش زیر ما تنها به بحث در مورد کنترل های فیزیکی , دسترسی و ارتباطات می پردازیم .
کنترل فیزیکی: جلوگیری از دسترسی به امکانات کامپیوتری توسط افراد غیر مجاز. کنترل های فیزیکی متداول . شامل : دیوار ها , درها , حصارها , دروازه ها , قفل ها , علامت ها , محافظان و سیستم هشدار است. یکی از نقاط ضعف سیستم کنترل تعقیب با فاصله کم و خطرناک است . تعقیب با فاصله کم موجب می شود که وقتی شخص مجار قفل در را باز کرد (با کلید یا علامت ) فرد دیگری همراه با شخص مجاز وارد شود.
کنترل دسترسی: محدود کردن افراد غیر مجاز از استفاده از منابع و اهمیت به شناسایی کاربران . راه های زیادی برای کنترل دسترسی وجود دارد. شامل : چیزی که کاربر هست , چیزی که کاربر دارد , چیزی که کاربر انجام می دهد و چیزی که کاربر می داند.
کنترل های عمومی و نرم افزار برای محافظت از سیستم های اطلاعات:
نوع کنترل شرح هدف
کنترل های عمومی
کنترل های فیزیکی حفاظت های فیزیکی از تجهیزات کامپیوتر و منابع
کنترل های دسترسی محدودیت های کاربران غیر مجاز برای دسترسی به منابع کامپیوتری , مرتبط با هویت کاربران
کنترل امنیت داده حفاظت داده ها از فاش کردن های عمدی یا اتفاقی برای افراد غیر مجاز , یا از تخریب ها یا اصلاحات غیر مجاز
کنترل های اداری صادر کردن و نظارت بر راهبردهای امنیتی
کنترل های ارتباطات (شبکه)
امنیت مرزی هدف عمده کنترل دسترسی است
دیوارهای آتش سیستمی که سیاست های کنترل دسترسی را بین دو شبکه اجرا می کند .
کنترل های ویروس نرم افزارهای آنتی ویرووس(www.trendmicro.com , www.cert.org , www.pgp.com , www.symantec.com , www.rsasecurity.com , www.mvafee.com ,وwww.iss.net )
تشخیص نفوذ هدف اصلی تشخیص دسترسی غیر مجاز به شبکه است
شبکه خصوصی مجازی استفاده از اینترنت برای حمل اطلاعا در درون شرکت و یا بین شرکای تجاری ولی با افزایش امنیت با رمزگذاری
تصدیق موضوع اصلی اثبات مدرک شناسائی است .
اختیار صدور اجازه برای افراد و گروه ها برای انجام فعالیت های اصلی با منابع اطلاعات برپایه هویت تایید شده
نرم افزارهای کنترل
کنترل های داخلی جلوگیری از گم شدن یا دگرگونی داده ها
کنترل روندها مطمئن شوید که داده ها هنگامی که پردازش می شوند و برنامه ها اجرا می گردند کامل , معتبر , و دقیق است
کنترل خروجی ها اطمینان از اینکه نتایج پردازش های کامپیوتری دقیق , معتبر , کامل و نامتناقض است .
چیزی که کابر هست : هم چنین به عنوان خصوصیات بیومتریک شناخته می شود. این کنترل دسترسی به عنوان مثال خصوصیات فیزیکی طبیعی کاربر را را کنترل می کند . مثل : اثر انگشت , اسکن کف دست , اسکن شبکه چشم , تشخیص عنبیه , تشخیص چهره . از میان این موارد اثر انگشت , اسکن شبکه چشم , تشخیص عنبیه کارآمد ترند. تشخیص عنبیه چشم در آلمان در فرود گاه فرانک فورد مورد استفاده قرار می گیرد.
چیزی که کاربر دارد: این نوع کنترل دستریس شامل : کار شناسایی , کارت های هوشمند ,و رمز ها می باشد . کارت های شناسایی معمول دارای عکس کاربر و همچنین امضای فرد می باشد . کارت های هوشمند دارای تراشه های جاسازی شده که دارای اطلاعات کاربر میباشند , هستند . رمز ها دارای تراشه های جاسازی شده و صفحه نمایش دیجیتالی که شماره ورود به سیستم را ارائه می دهد هستند. و شماره با هر بار ورود تغییر می کند.
چیزی که کاربران انجام می دهند : این کنترل ها شامل صدا و امضای به رسمیت شناخته شده می باشند . در صدای شناخته شده , کاربر یک عبارت را که قبلا ضبط شده است بیان می کند : (مثلا نام خود و سازمان را ) سیستم شناخت صدا , دو سیگنال صدا را با یکدیگر مطابقت می دهد . در شناخت امضا , کاربر نام خود را امضا می کند و سیستم آن را با امضای ثبت شده قبلی مقایسه می کند . سیستم شناخت امضا همچنین سرعت و میزان فشار در هنگام امضا کردن را مطابقت می دهد .
چیزی که کاربر می داند : این شیوه کنترل شامل کلمه عبور (password) و عبارت عبور می باشد. کلمه عبور یک ترکیب از کاراکتر های خصوصی است که تنها کاربر باید آن را بداند . عبارت عبور مجموعه ای از کاراکترها است طولانی تر از کلمه عبور است ولی به سادگی می تواند به خاطر سپرده شود. به عنوان مثال : ممکن است زور همیشه با شما باشد . به پیش برو روز من را بساز . یا آمان دوست دارد می خواهد محدودیت هایش را بداند.
کلمه ی عبور موثر مشخصات زیر را داراست :
باید حدس زدن آن دشوار باشد.
بهتر است بلند باشد تا کوتاه .
باید شامل حروف بزرگ , حروف کوچک و کاراکترهای خاص باشد.
نباید نام چیز ی یا فردی آشنا باشد مانند خانواده تان یا حیوان خانگیتان .
نباید یک رشته از اعداد قابل تشخیص باشد , مانند شماره تامین اجتماعی یا تولدتان .
نباید یک کلمه قابل تشخیص باشد .
کلمه عبوری با خصوصیات ذکر شده کلمه عبور قوی شناخته می شود. هکر ها می توانند کلمات عبور ضعیف را با استفاده ازنیروی حمله بی رحمانه کشف کنند . هکر ها معمولا از برنامه کامپیوتری استفاده می کنند که تمامی کلمات دیکشنری شامل نامهای مناسب , را امتحان می کند تا کلمه منطبق را پیدا کند . مثال بعدی اهمیت کلمات عبور را روشن می سازد .
پاریس هیلتون هک شد : در اواخر 2004 , شماره پاریس هیلتون بالاترین موضوع , مورد جستجو در وب بود . خوانند گان آرزو داشتند که شماره افراد مشهور هالیوود را که اطلاعات تماسشان نشت یافته است رابه دست آورند . شخصی T-mobile هیلتون را هک کرد و T-mobile به کاربران پیرو خود پیغام داد که از کلمه عبور ترکیبی استفاده کنند و آن را به یک زمینه با قاعده تبدیل کنند تا امنیت آن بالا رود . بر اساس گفته کارشناسان صنعتی , در سال 2004, 84 درصد نظر سنجی ها ادعا می کند که خطای انسانی تا حدی برای نقص های امنیتی مسئولند . بسیاری از این خطاهای انسانی درگیر امنیت ضعیف کلمات عبور است . متخصصان توصیه می کند کلمات عبور شامل ترکیبی از اعداد , حروف , علامت های نشانه باشند . هم چنین توصیه می کنند کلما ت عبور حداقل هر 90 روز عوض شوند.
کنترل ارتباطات (شبکه ) : با حرکت اطلاعات از میان شبکه ها مقابله می کند و شامل مرز امنیتی , سندیت و مجوز است . کنترل های مرز امنیت شامل دیوار آتش , کنترل بدافزارها , کنترل و تشخیص نفوذ ( ورود ) بی اجازه , رمز گذاری و شبکه مجازی خصوصی است . کنترل ویروس ها و کنترل ورود بی اجازه در جدول 3-1 تعریف شده است .
دیوار آتش (fire wall) : سیستمی است که از داده های خاص در مقابل حرکت در میان شبکه های غیر قابل اعتماد , مانند اینترنت و شبکه های خصوصی مانند شبکه ی کمپانی ها جلوگیری می کند . دیوار آتش می تواند شامل سخت افزار , نرم افزار یا ترکیبی از هردو باشد . هر پیغامی که وارد یا خارج از شبکه کمپانی می شوند از دیوار آتش عبور می کنند . سپس دیوار آتش هر پیغام را آزمون می کند و آنهای را که از ضوابط امنیتی معین عبور نکرده اند می بندد.
دیوارهای آتش از ساده ( برای استفاده های خانگی ) تا بسیار پیچیده ( برای سازمانها که نیاز به امنیت بالا دارند ) دسته بندی می شوند . برخی سازمانها دارای دیوار آتش داخلی و خارجی و یک منطقه غیر نظامی در بین آن هستند . پیغام های رسیده از طریق اینترنت باید ابتدا از دیوار خارجی عبور کند . اگر مطابق قوانین تعریف شده باشد سپس به سرور های کمپانی که در منطقه غیر نظامی (DMZ) واقع هستند وارد می شود . این سرورها نوعا از درخواست وب و ایمیل استفاده می کنند .
رمز گذاری : میلیون ها نفر دو سراسر جهان ایمیل می فرستند . از تلفن های بی سیم برای تماس با دوستان , خانواده و شرکای کاری خود استفاده می کنند و اطلاعات حساس را در کامپیوتر خود قرار می دهند . تا کنون , اندکی راجع به این که ارتباطات و اطلاعات امن است تفکر می شد اما امروزه مسئله این نیست .
زمانی که شما کانال امنی برای ارسال اطلاعات ندارید باید از رمزگذاری برای جلوگیری از افتادن به دست افراد فاقد مجوز استفاده کنید . رمز گذاری فرایندی است که از طریق آن پیام اصلی تبدیل به فرمی می شود که قابل خواندن به جز برای دریافت کننده در نظر گرفته شده نباشد . در رمز گذاری متوازن فرستنده و گیرنده از یک کلید استفاده می کنند . یک مشکل رمزگذاری متوازن این است که هردو فرستنده و گیرنده باید کلید را بدانند و از همه مخفی نگه دارند . علاوه بر این اگر فرستنده از کلیدهای مختلف برای ارسال پیام به افراد گوناگون استفاده کند , مدیریت کلید واژه ها دشوار خواهد بود.
مشکل مدیریت کلید واژه ها منجر به توسعه رمزگذاری کلید عمومی شد . رمز گذاری کلید عمومی که همچنین به عنوان رمز گذاری نا متقارن نیز شناخته می شود از دو کلید متفاوت استفاده می کند . کلید عمومی و کلید خصوصی . کلید عمومی و خصوصی هردو هم زمان خلق می شوند و از یک الگوریتم استفاده می کنند . به این دلیل که هر دو کلید از نظرریاضی به هم مرتبط هستند اطلاعات رمزگذاری شده با یک کد به وسیله کد دیگر می تواند رمز گشایی شود . کلید عمومی به صورت عمومی در دسترس است و همه می توانند به آن دسترسی داشته باشند . کلید خصوصی به عنوان یک راز نگهداری می شود و هرگز با کسی به اشتراک گذاشته نمی شود.و هرگز از طریق اینترنت فرستاده نمی شود. دراین سیستم اگر آلیس بخواهد پیغامی را به باب بفرستد , آلیس ابتدا کلید عمومی باب را که درفهرست راهنما موجود است به دست می آورد و از کلید عمومی وی برای رمز گذاری پیام استفاده می کند زمانی که باب پیام آلیس را دریافت می کند از کلید شخصی خود برای رمز گشایی آن استفاده می کند . سیستم کلید عمومی همچنین نشان می دهد که پیام قابل اعتماد است . این نشان می دهد اگر شما پیامی را با استفاده از کلی شخصیتان رمز گذاری کنید در واقع آن را به صورت الکترونیکی امضا کرده اید و دریافت کننده متوجه می شود که پیام از سمت شما آمده است .
اگرچه این سیستم برای مکاتبات خصوصی مناسب است .انجام تجارت در اینترنت نیاز به سیستم پیچیده تری دارد . در این بحث , دسته سوم , گواهی اقتدار نامیده می شود. که به عنوان یک میانجی در بین شرکت ها عمل می کند . گواهی الکترونیکی , یک مدرک الکترونیکی است که به فایل می پیوندد تا تایید کند که فایل از شرکتی که ادعا می کند آمده و از فرم اصلی خود خارج نشده است . به عنوان مثال sony درخواست گواهی الکترونیکی از verisign , گواهی اقتدار, کرد و از آن در تجارت با dell استفاده کرد .
توجه داشته باشید به گواهی الکترونیکی شامل شماره شناسایی , صادر کننده , تاریخ اعتبار و کلید عمومی درخواست کننده باشد .
شبکه مجازی خصوصی VPN)) : یک شبکه خصوصی است که از یک شبکه عمومی (معمولا اینترنت ) برای اتصال کاربران استفاده می کند . به جای استفاده از باند پهن شبکه , VPN از کانال های مجازی اینترنت استفاده می کند ازشبکه خصوصی شرکت تا سایت های از راه دور و کارکنان و سایر شرکت ها .
کنترل نرم افزار : زمانی که کنترل های عمومی از سراسرسیستم محافظت می کنند , کنترل نرم افزارها چنانچه نامشان نشان می دهد , محافظت از نرم افزارهای خاص را به عهده دارند .کنترل های عمومی از محتویات هر نرم افزار محافظت نمی کنند . بنابراین , کنترل ها برای نرم افزارها ساخته می شوند . یعنی آنها بخشی از نرم افزار هستند . کنترل های نرم افزار از سه دسته تشکیل شده اند . کنترل های ورودی , کنترل های فرایند و کنترل های خروجی . کنترل های ورودی شامل برنامه های روزانه وروردی ها قبل از انجام عملیات بر رویشان می باشد . برای مثال : شماره تامین اجتماعی نباید شامل هیچ کاراکتر الفبایی باشد . کنترل فرایندها , برای مثال , باید کارت زمانی کارکنان را با حقوق و دستمزدشان مطابقت داده و کاستی ها یا کارتهای زمان تکراری را گزارش دهد . کنترل های فرایند هم چنین تعداد کل موچودی های فیند را با تعداد کل ورودی ها و خروجی ها را متعادل می کند. مثال برای کنترل خروجی ها : تعیین مستندات که دریافت کنندگان مجاز گزارشات , چکهای پرداختی ویا اسناد منتقدانه را دریافت نموده اند .
ممیزی سیستم های اطلاعات :
سازمان ها کنترل های امنیتی را پیاده می کنند تا مطمئن شوند که سیستم های اطلاعات به خوبی کار می کنند . این کنترل ها می توانند به راحتی در سیستم های اصلی پیاده شوند یا در زمانی که سیستم در حال اجراست به آن اضافه شوند.نصب کنترل ها ضروری است اما برای فراهم کردن امنیت مناسب کافی نیست . در مقابل افراد مسئول امنیت نیاز دارند که به سوالاتی مانند : آیا همه کنترل ها همانگونه که قصد داشتند نصب شد ؟ آیا موثرند؟
این سوالات باید به وسیله مشاهده کنندگان مستقل و بی غرض پاسخ داده شود. چنین مشاهده کنندگانی وظیفه ممیزی سیستم های اطلاعات را انجام می دهند . در محیط های سیستم اطلاعات , ممیزی , آزمون سیستم های اطلاعات , خروجی ها , و فرایند است .
انواع ممیزی و ممیزان:
دو نوع ممیز و ممیزی وجود دارد: داخلی-خارجی
ممیزی سیستم های اطلاعاتی معمولا قسمتی از ممیزی داخلی حسابداری میباشد.و اغلب به وسیله ی ممیزان داخلی شرکت انجام میشود.یک ممیز خارجی یافته های ممیزی داخلی را مثل ورودی ها-فرایند پردازش و خروجی ها را بازنگری میکند.
ممیزی خارجی سیستم های اطلاعاتی اغلب قسمتی از ممیزی خارجی کلی است که توسط شرکت های دارای سرتیفیکیت انجام میشود.
ممیزی سیستم های اطلاعاتی عنوان گسترده ای است.لذا ما فقط مطالب ضروری را در اینجا ارائه میکنیم:
ممیزی تمامی احتمالات مخاطره برانگیز و کنترل ها را در سیتم های اطلاعاتی مورد بررسی قرار میدهد.و بیشتر بر روی عناوینی مثل عملیات-صحت اطلاعات و بهره وری متمرکز میشود.
همچنین خطوط راهنما برای کمک به ممیزان در شغل هایشان موجود هستند.مثل خطوط راهنمایی که متعلق به موسسه ممیزان داخلی است.
چطور ممیزی اجرا میشود:
دستورالعمل ممیزی سیتم های اطلاعاتی در سه گروه قرار میگیرد:
ممیزی حول و حوش کامپیوتر ها
ممیزی به واسطه کامپیوتر ها
ممیزی به وسیله ی کامپیوتر ها
ممیزی حول و حوش کامپیوتر ها تایید کردن فرایند به وسیله ی چک کردن خروجی های شناخته شده به وسیله ی ورودی های مشخص.این رویکرد بهترین حالت برای سیستم هایی است که خروجی های محدود دارند.
در ممیزی به واسطه ی کامپیوتر ها خروجی ها-ورودی ها و فرایندها همه چک میشوند.
ممیزی به وسیله ی کامپیوتر ها یعنی استفاده کردن از ترکیبی از اطلاعات مشتری -نرم افزار های ممیز-سخت افزار های ممیز و مشتری.این روش به ممیز اجازه میدهد که وظایفی مثل شبیه سازی برنامه های پرداخت حقوق را با استفاده از اطلاعات زنده انجام دهد.
برنامه ریزی بهبود و ترمیم فاجعه:
یک استراتزی مهم دفاعی این است که برای احتمالات مختلف آماده باشیم.مهمترین عضو در هر سیستم ایمنی برنامه ریزی بهبود و ترمیم فاجعه است.خرابی بیشتر یا همه ی تجهیزات محاسباتی سازمان ها میتواند سبسب صدمه های قابل توجهی شود.در حقیقت بسیاری از سازمان ها در به دست آوردن بیمه و اطمینان مشکل دارند مگر اینکه دارای یک سیستم رضایت بخش جلوگیری کننده از فاجعه و برنامه ریزی ترمیم برای سیستم اطلاعاتی خود داشته باشند.
ترمیم فاجعه:
زنجیره ای است که وقایع را به برنامه ریزی به منظور حمایت و ترمیم متصل میکند.هدف برنامه ریزی ترمیم این است که بعد از وقوع فاجعه تجارت به کار خود ادامه دهد.فرایندی که" ادامه و بقای تجارت" نامیده میشود.
برنامه ریزی باید بر روی ضرر همه ی قابلیت های محاسبه شده متمرکز شود.
برنامه ریزی باید در یک مکان امن نگهداشته شود و همه ی مدیران باید یک کپی از آن داشته باشند.
اجتناب از فاجعه:
به جلوگیری از فاجعه دلالت دارد.این ایده یعنی حداقل کردن شانس فاجعه های موجود مثل حریق یا دیگر تهدیدات انسانی.برای مثال بسیاری از شرکت ها از وسیله ای استفاده میکنند که یو-پی-اس نامیده میشود که یک نیروی پشتیبانی را در زمان قطع برق تامین میکند.
همچنین در زمان وقوع فجایع مهم باید به یک محل پشتیبانی هنگامیکه تجهیزات مرکزی از کار افتاده اند دسترسی داشته باشیم.
بسیاری از شرکت ها با برخی از سایت های خارجی قرار داد میبندند.این سایت ها کپی هایی را به صورت مرتب شده از اطلاعات شرکت ها را نگهداری میکنند.
فاجعه ی مرکز تجارت جهانی اهمیت وجود پشتیبانی از اطلاعات را مشخص کرد.
درباره تجارت :
3.5 کانتور فیتز جرالد آزمون های مرسوم می دهد
در سپتامبر 2001 قرارداد عمل تجاری کانتور فیتزگارد در یک حمله تروریستی در مرکز معاملات جهانی ویران شد . و 658 کارمند مردند . با این وجود فروشگاه های الکترونیکی در 48 ساعت ترمیم شد . پس ازحمله , کانتور تجارت جدیدی را راه اندازی کرد , فروشگاه های جدیدی را تاسیس کرد و تمرکزش را بر تجارت و سرمایه گذاری بانکی به طور برابر معطوف کرد. با این حال , به خاطر تجربه شکست در زندگی , شرکت دائما برای درهم گسیختگی بعدی مراقبت می شد . او یک تکنیک ساده برای اطمینان از آمادگی در برابر تهدید پذیرفته بود . "آزمون مرسوم ( آزمون پاپ)" به جای بررسی های ماهانه , سه ماهه یا سالانه , کانتور سیستمش, زیر بنای فناوری اطلاعات , و استمرار برنامه های سالانه اش را در زمان غیر منتظره را آزمایش می کرد . یک طرح زسمی وجود نداشت . شرکت می دانست که برای بهترین نتایج , نمی تواند آگهی برگزاری آزمون بدهد و به کارکنان زمان برای آماده شدن برای این آزمون . کانتور هم چنین گروه هایی را که به طور مستقیم درگیربازیابی فاجعه نبودند نیز تست می کرد زیرا این تنها راه برای آگاهی از این بود که آیا رویه هایی که طراحان تنظیم کرده اند واضح و دقیق است .
پاپ کویز چگونه عمل می کند ؟در یک مثال , انجمن سازمان های صنعتی وهیات فناوری آن ساعت ناراحت کننده ای را برای بیدارشدن کارکنانش در نظر گرفت وساعت ناهار را 3 بعدازظهر قرار داد , سپس به آنان ماموریت داد سیستم امنیت تجارت را در یک ساعت بازسازی کنند . سایر مثالها مانند مثال بالا فوق العاده نیست . مدیران و بازرگانانی که در مرکز شرکت کاناتور در منهتن کار می کنند , یک شماره تماس قبل از این که کار به آنان بگوید که به مرکز پشتیبانس روند می گیرند .
در 9/11 برنامه ریزی پیشرفته بازیابی فاجعه , شرکت را از فاجعه نجات داد .
فناوری اطلاعات برای من چه کاربردی دارد؟
برای اهداف حسابداری: رسوایی های مرتبط با حسابداری در سال های اخیر منجر به" فعالیت ساربانز-اکسل" شده است.این عملیات به حسابداران حرفه ای مسئولیتی فزونی یافته در اصول گزارش های اخلاقی میدهد.شرکت ها مجبور هستند که اظهار نامه های دقیق مالیاتی را فراهم کنند و به ازمون های خارجی سیتم های داخلی تسلیم کنند.در نتیجه ممیزی سیستم های اطلاعاتی یک ناحیه ی پرورش یافته از علایق اجتماعی است.همچنین امنیت اطلاعات یک نگرانی مهم برای حسابداران است.حسابداران همچنین در برنامه های کشف و جلوگیری از شیادی کمک میکنند و به عنوان دستیار در برنامه ریزی ترمیم فاجعه حضور دارند.
برای اهداف مالی:صنایع بانکداری و مالی به شدت به کامپیوترهایشان وابسته هستند.امنیت یکی از مهمترین نیاز ها برای توسعه ی تکنولوزی های جدید مثل بانکداری الکترونیک و کارت های هوشمند است.همچنین سیتم های پرداخت برای تجارت الکترونیک و امنیت و ممیزی آن ها بسیار مهم و بحرانی است.نهایتا اینکه موسسات مالی و بانکداری بهترین هدف برای جرم های کامپیوتری هستن.مهمترین شیادی ها در ارتباط با سهام هایی است که در اینترنت فروخته میشود و پرسنل مالی باید از آن ها آگاه باشند.
برای اهداف بازاریابی: بازاریابی حرفه ای فرصت های جدید به منظور جمع آوری اطلاعات مشتریان فراهم کرده است.برای مثال در ارتباط با تجارت الکترونیکی "عرضه کننده-مشتری" تعهدات اخلاقی تجارت به وضوح بیان میدارد که این اطلاعات باید به صورت داخلی در شرکت ها استفاده شوند و به هیچ کس دیگری فروخته نشوند.
بازاریابان به وضوح نمیخواهند به دلیل هجوم پنهان کاری در اطلاعات جمع شده برای پایگاه اطلاعاتی بازاریابی تحت پیگرد قانونی قرار بگیرند .و همینطور آن ها نمیخواهند که استراتزی های نواورنه ی بازاریابی شان در دستان شرکت های رقیب بیفتد.
برای اهداف مدیریت نیروی انسانی:
اخلاقیات در مدیریت نیروی انسانی بسیار مهم است.سیاست های نیروی انسانی استفاده ی مناسب از تکنولوزی اطلاعات را در مکان های کاری توصیف میکند.سوالاتی پیش میاید مانند:
آیا کارکنان میتوانند از اینترنت- ای میل و یا چت در زمان های کاری استفاده کنند هنگامی که سر کار هستند؟
آیا این اخلاقی است که بر کارکنان نظارت داشته باشیم و آن ها را منعکس کنیم؟ اگر بله چطور؟ چقدر؟ چه تعداد؟
وظیفه و عملکرد ام-آی-اس:
اخلاقیات شاید برای پرسنل ام-آی-اس بیشتر اهمیت داشته باشد نسبت به سایر افراد سازمان.چرا که آن ها بر دارایی های اطلاعات کنترل دارند.آن ها همچنین بر مقدار عظیمی از اطلاعات در ارتباط با کارکنان کنترل دارند.در نیجه وظایف ام-آی-اس باید با بالاتریت استاندارد های اخلاقی انجام شود.
وظایف ام-آی-اس امنیت زیر بنایی را که از دارایی های اطلاعاتی سازمان حمایت میکند فراهم میکند.این وظیفه برای موفقیت سازمان بسیار بحرانی و مهم است.اگرچه معمولا نامرئی است تا وقتی حمله ای اتفاق بیفتد.
نتیجه:
1-توصیف کنید برامد های اخلاقی مهم مرتبط با تکنولوزی اطلاعات را و مشخص کنید هر مدام در چه موقعیتی اتفاق میفتد؟
برامدهای اخلاقی مرتبط با آی-تی پنهانی بودن-دقیق بودن-دارایی گونه بودن و قابلیت پذیری دسترسی به اطلاعات است.÷نهان بودن شاید خودش را نشان دهد وقتی که اطلاعات در حال اجرا در پایگاه اطلاعاتی هستند یا در طول فرستنده مخابره میشوند.
سیاست های پنهانی مانند دقت اطلاعات و میزان محرمانه بودن اطلاعات میتواند به سازمان ها کمک کند که از مشکلات حقوقی اجتناب کنند.مرسوم ترین دارایی در ارتباط با آی-تی در تقابل با نرم افزار است.کپی ککردن نرم افزار ها بدون پرداخت حق کپی رایت به مالک تعرض به حق اوست و بزرگترین مشکل برای عرضه کنندگان نرم افزار است.
2-تهدیدات در ارتباط با امنیت اطلاعات را توصیف کنید.
تهدیدات متنوعی در ارتباط با امنیت اطلاعات وجود دارد که به گرو های تهدیدات عمدی و غیر عمدی تقسیم میشود.
تهدیدات غیر عمدی مثل: خطا های انسانی- خطرات طبیعی-خرابی های سیستم کامپیوتری
خرابی های عمدی شامل: جاسوسی-اخاذی-خرابکاری- دزدی-حمله ی نرم افزار(کرم ها-ویروس ها-اسب تروا- بک دور ها………….)
3-فهم مکانیزم های دفاعی مختلف که برای پشتیبانی سیستم های اطلاعاتی استفاده میشوند:
سیستم های اطلاعاتی با مقدار گسترده ای از کنترل ها مثل دستورالعمل های امنیتی-گارد های فیزیکی ونرم افزار های کشف پشتیبانی میشوند.این ها میتوانند طبقه بندی شوند به کنترل برای جلوگیری-کنترل صدمه ها-کشف-ترمیم و تصحیح سیستم اطلاعاتی.
انواع مهم کنترل های عمومی شامل:
کنترل امنیت اطلاعات-کنترل فیزیکی-کنترل دسترسی-کنترل مدیریتی-کنترل ارتباطی-
کنترل های کاربردی نیز شامل کنترل ورودی-خروجی و فرایند است.
4-ممیزی آی-تی و برنامه ریزی برای ترمیم فاجعه را توضیح دهید.
ممیزی سیستم های اطلاعاتی با یک روش یک دست به منظور ممیزی مالی/ حسابداری در حول و حوش-به واسطه-با کام÷یتر انجام میشود.مشروح جزئیات ممیزی داخلی و خارجی آی-تی شامل صد ها برامد است که میتوانند به وسیله ی نرم افزار و چک لیست پشتیبانی شوند.
ضمیمه 1 :
حفاظت از کامپیوتر شخصی
از یک کلمه عبور قوی استفاده کنید
یک کپی از فایل ها و فلدرهای مهم بگیرید
یک برنامه آنتی ویروس را نصب و از آن استفاده کنید .
سیستمتان رابه روز نگه دارید
درباره باز کردن ضمیمه های ایمیل دقت کنید
در مورد دانلود و نصب نرم برنامه ها از اینترنت دقت کنید
برنامه های دیوار آتش را نصب و از آن استفاده کنید
این سایت را برای برنامه های دیوار آتش رایگان ببینید http://netsecurity.about.com/od/personalfirewalls/alaafreefirewall.htm
سخت افزار دیوار آتش را نصب و استفاده کنید .
از رمزگذاری استفاده کنید
این وب سایت را برا ینرم افزار رمزگذاری رایگان ببینید :
http://netsecurity.about.com/cs/hackertools/a/aafreecrypt.htm
به حفظ حریم شخصی به دقت توجه کنید. در www.pgp.com/downloads/freeware/index.html
ضمیمه 2 :
اجتناب از دزدان هویت
تنها کارت اعتباری و شناسایی که لازم دارید بردارید . و بقیه را در جای مطمئن نگه داری کنید .
کارت اعتباریتان را سریع تر ثبت کنید
کارت امنیت اجتماعیتان را با خودتان حمل نکنید و آن را در جای امن نگه دارید
شماره هویت فردی تان یا شماره امنیت اجتماعی تان را به هیچ کارتی که همراه دارید ضمیمه نکنید
شماره هویت فردی تان یا شماره امنیت اجتماعی تان راروی هرچیزی که دور می اندازید ننویسید یا ضمیمه نکنید
هرسندی که شامل شماره های امنیتی و اعتباریتان است را پاره و خرد کنید
رسیدها و اسناد را کنترل کنید تا مطمئن شوید که مربوط به شماست نه فرد دیگری
اگر سند هر اعتباری را نگرفتید هشدار دهید زیرا ممکن است کسی از میلتان آن را بر داشته باشد
سریعا ظن به دزدیده شدن هر سند اعتباری کلیدی مانند گواهینامه , پاسپورت , کارت امنیت اجتماعی را به نمایندگی مطمئن اطلاع دهید
2