امنیت

كتاب راهنمای امنیت فناوری اطلاعات به زبان فارسی برای اولین بار در ایران منتشر شد

عنوان كتاب: راهنمای امنیت فناوری اطلاعات
عنوان لاتین:
IT Security Handbook
نویسندگان: جورج سادوسكای، جیمز اكس. دمپزی، آلن گرین برگ، باربارا جی.مك، آلن شوارتز
مترجمین: مهدی میردامادی، زهرا شجاعی، محمد جواد صمدی
صفحه آرایی: ماریا قادری
ناشر: شورایعالی اطلاع رسانی
نوبت چاپ: اول
شمارگان: 1500 نسخه
قیمت: -/000/50 ریال


ICTna.ir - این کتاب به سفارش بانک جهانی و توسط گروه infoDev (یکی از زیرمجموعه‌های این بانک) به عنوان تلاشی برای ارتقای سطح امنیت فناوری اطلاعات در کشورهای عضو در این نهاد بین‌المللی تدوین و برای اولین بار در اجلاس نخست سران جامعة اطلاعاتی (WSIS) در سوئیس، میان شرکت‌کنندگان توزیع شد. محتویات این کتاب حاصل بررسی کتابها، مقالات، رساله‌ها، و مستندات تخصصی زیادی از کارشناسان و متخصصین این حوزه در سراسر دنیا است.

به گزارش آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا) کتاب مزبور علاوه بر اینکه مجموعه‌ای از تعاریف و راهکارهای امنیت عمومی را ارائه کرده، جنبه‌های فنی مدیریتی آنها را نیز مدنظر قرار داده است و در متن اولیه و همچنین ترجمة آن تلاش شده تا حد امکان مطالب بگونه‌ای عنوان شوند که فهم و درک آنها نیاز به دانش اختصاصی در این حوزه نداشته باشد و بتواند به کار جامعة گسترده­ای از کاربران فناوری اطلاعات (خصوصاً مدیران) بیاید.

کارشناسان آشنا ایمن در ترجمة این اثر همواره کوشیده‌اند تا در انتقال مفاهیم و نکات این کتاب، حفظ امانت نمایند و هیچگاه معانی را فدای الفاظ نکرده و در بسیاری از موارد واژه‌سازی یا معادل‌سازی نموده‌اند، که کاری طاقت‌فرسا و مسئولیت‌آور است. سایر عناوینی که برای آنها معادل فارسی یافته و یا ساخته نشده نیز بصورت اصلی در ترجمه تکرار شده‌اند. امیدواریم خوانندگان محترم اعم از صاحبنظران، اساتید دانشجویان، و علاقه‌مندان با ارائه پیشنهادات و انتقادات خود ما را در رفع لغزشها و کاستیهای احتمالی این کتاب آگاه سازند تا در صدد رفع آنها برآییم.


چكیده:
راهنمای امنیت فناوری اطلاعات، راهنمایی كاربردی جهت فهم و اجرای گامهای دستیابی به امنیت در كاربردهای حوزة فناوری اطلاعات در منزل و محل كار شما است. گرچه این كتاب بهترین و نوین‌ترین راهكارها را در زمینة فناوری اطلاعات ارائه می‌دهد، اما در اصل برای خوانندگان كشورهای درحال توسعه نوشته شده است. این كتاب علاوه بر ارائه خلاصه‌ای از تهدیدات فیزیكی و الكترونیكیِ موجود در حوزة امنیت فناوری اطلاعات، به راهكارهای مدیریتی، محیطهای ضابطه‌مند و الگوهای مشاركت سازمانهای همكار می‌پردازد كه درحال حاضر در بازارها، دولتها، مؤسسات حرفه‌ای و سازمانهای بین‌المللی وجود دارند. این كتاب از پنج بخش تشكیل شده كه هریك را می‌توان بصورت مستقل از دیگری مطالعه كرد.


سازگارسازی فناوری‌ اطلاعات و ارتباطات در حال افزایش است

 این كتاب در ابتدا مروری بر رشد بخش فناوری اطلاعات و ارتباطات (ICT) دارد. این  رشد و ارتقا كاربران عادی ICT را در بر می‌گیرد و از افزایش تعداد شبكه‌های خانگی و رشد سازمانهای كوچك و متوسط (SME) - كه برای پشتیبانی از بازارهایی كه به شدت به توسعة فناوری و بكارگیری آن در سراسر جهان وابسته‌اند،متكی به منابع رایانه‌ای میباشند - میتوان به آن پی برد.

اطلاعات موجود از سوابق فعالیتهای تأمیـن امنیت فناوری اطلاعات

از آنجا كه توسعة بازار محصولات و خدمات فناوری در دو سطح فردی و سازمانی چشمــگیر است، اطلاع از مباحـــث امنیت فناوری اطلاعات بسیار مفید و مهم می‌باشد. ممكن است كاربران فردی در مورد خطراتی كه هنگام استفاده از اینتـرنت متوجه آنها است مطلع نباشند. اگر كاربران خطرات شبكه‌های حفاظت نشده را تشخیص دهند، باز هم ممكن است یادگیری در مورد دیواره‌های آتش، ویروسیابه
ا، رمزگذاری، و نگهداری قاعده‌مند از اطلاعات را به دلیل هزینه و وقتی كه از آنها می‌گیرد و تغییری كه در رفتار رایانه‌ای آنها ایجاد می­كند به تعویق بیاندازند. علاوه بر این سازمانهای كوچك و متوسط ممكن است از یك راه‌حل فنی نظیر دیوارة آتش استفاده نمایند و به طبقه‌بندی سطوح امنیت توجهی نداشته باشند و ندانند كه بدون توجه به آن، امنیت سیستم به شدت دچار مخاطره است. همچنین ممكن است به دلایل مختلف ایمن ساختن سیستمهای خود را به تأخیر بیاندازند و در تدوین سیاستهای شفاف امنیتی برای كاربران و مدیران نیز كوتاهی كنند. اگر ارتباطات، آگاهی و آموزش مناسب در سازمان وجود نداشته باشد، تبهكاران ممكن است به آسانی حفاظهای فنی را پشت سر بگذارند.

فناوری در یك محیط متغیر: دستگاههای سیـار، نرم‌افزار‌های رایـج كاربردی، و تهدیداتی كه موجب ایجاد پیچیدگی می‌شوند


در حال حاضر كاربران جدید و غیرمتخصص تنها علت نقض امنیت فناوری اطلاعات نیستند. محیط فناوری اطلاعات و ارتباطات با پیدایش محصولات جدید خصوصاً دستگاههای سیار (مانند رایانه‌های كیفی، تلفنهای همراه و
PDAها) كه چالشهای متفاوتی را در زیرساخت و امنیت داده‌ها ایجاد می‌كنند بسرعت رو به تغییر می‌باشد. پیدایش برنامه‌های كاربردی رایانه‌ای برای سرمایه‌گذاری الكترونیكی و تجارت الكترونیك نیز موجب بروز پیچیدگیهایی در محیطهای شبكه‌ای شده‌اند. از هنگام ظهور دستگاههای خودپرداز گرفته تا زمان رواج بانكداری اینترنتی، این قابلیتها موجب صرفه‌جویی مناسب در هزینه‌ها می‌شوند، اما تهدیدات و خطرات بالقوه­ای نیز به همراه دارند. آنچه كه اوضاع را بدتر می‌كند این است كه اكنون نفوذگران قادر به توسعه و گسترش تهدیدات خود می­باشند: مثل تركیبی از ویروسها، كرمها و تراواهایی كه می‌تواند آسیبهای شدیدتری را به این سیستمها و داده‌ها وارد كند. این صدمات حتی می‌توانند از بعضی نرم‌افزارهای مخرب (بدافزارها) نیز خطرناكتر باشند. از آنجا كه تمامی این پیشرفتها كاربران فناوری را در سطح جهانی تحت تأثیر قرار می‌دهند، بهترین روشهای مقابله با تهدیدات ناشی از آنها تنها از طریق همكاری بین‌المللی حاصل می‌شود.


همكاری بین‌المللی و امنیت در كشورهای درحال توسعه

امنیت فناوری اطلاعات در كشورهای درحال توسعه از اهمیت شایانی برخوردار است. واضح است كه اینترنت فرصتهایی طلایی برای تجارت و ارتباطات فراهم آورده كه حدود ده سال قبل حتی تصور آنها مشكل بود. البته دسترسی به اینترنت همیشه هم ارزان نیست. اینترنت كاربران را قادر می‌سازد تا نگاهی به گسترة وسیعی از موضوعات داشته باشند و با استفاده از آن ارتباط مردم از طریق پست الكترونیكی بسیار كارآمدتر از خدمات پستی سنتی شده است. اینترنت بر اصول تجارت بین‌المللی نیز تأثیر گذاشته است؛ بازارهای كشورهای درحال توسعه اكنون می‌توانند كالاهای خود را بصورت برخط بفروشند. اگرچه هنوز تعداد رقبا در بازار بسیار زیاد است، اما مشتریان می‌توانند بسادگی تواناییها و محصولات شركتهای رقیب را ببینند و برای انجام اینكار نیازی به اطلاعات وسیع در این زمینه ندارند. از آنجا كه دسترسی به بازارهای آنسوی مرزهای جغرافیایی برای هر سیستم اقتصادی بسیار جذاب است، همكاری گسترده­ای برای جا افتادن مدل یك نظام شبكه‌ای كارآمد و جهانی لازم است.


گزیده‌هایی از كتاب:امنیت فناوری اطلاعات و كشورهای در حال توسعه

گزیده‌هایی از بخش اول: امنیت فناوری اطلاعات در عصر دیجیتال


بخش اول كتاب مقدمه‌ای بر مباحث كلی امنیت در عصر الكترونیك می‌باشد. مردم از گذشته تا كنون همیشه نگران مسائل امنیتی بوده‌اند، اما ابداع رایانه‌ها و شبكه‌ها روند كار را تغییر داده است. این بخش محدودة موضوعات امنیت فناوری اطلاعات را ترسیم كرده و انواع متعددی از اعمال نامناسب در قبال رایانه‌ها و شبكه‌ها را توضیح می‌دهد و خطرات كار با آنها بدون انجام اقدامات مناسب امنیتی را معرفی می‌نماید. بخش اول شامل موارد زیر است:




  • انقلاب دیجیتال



  • تعریف امنیت



  • كلیات مسائل امنیتی



  • مهاجمین به امنیت فناوری اطلاعات


آگاهی از موضوعات كلی امنیت فناوری اطلاعات مانند وجود و گسترش تهدیدات امنیتی خاص، به كاربران، مدیران و سیاستگذاران كمك خواهد كرد تا برای تقویت ایمنی شبكه‌های خود در منزل و یا محل كار در مقابل نقض حریمهای امنیتی از تدابیر مؤثر استفاده كنند.


گزیده‌هایی از بخش دوم: امنیت فناوری اطلاعات و كاربران منفرد


بخش دوم كتاب به كاربرانی می‌پردازد كه از منابع شبكه‌ای و رایانه‌ای برای اهداف متعدد در منزل و یا محل كار استفاده می‌كنند و البته برای سازمانهای كوچكی كه قادر به تعیین دقیق سیاستهای امنیت فناوری اطلاعات و راهبری آن سیاستها در سطح سازمانی نیستند نیز مفید خواهد بود. این بخش به تشریح اصول اساسی امنیت برای كاربران پرداخته و در مورد فنونی كه موجب كاهش تهدیدات امنیتی می‌شوند راهنماییهایی ارائه كرده است. برخی از موضوعات مذكور در بخش دوم عبارتند از:




  • ضرورت امنیت رایانه و شبكه؛ تأثیر رخنههای امنیتی؛


  • امنیت فیزیكی‌، پشتیبانی از تصدیق هویت از طریق شناسه­های كاربری و رمزهای عبور ؛


  • انواع نرم‌افزارهای مخرب و چگونگی گسترش آنها ؛


  • مبنای كار پست الكترونیكی و اینترنت و دلیل اینكه ابزاری برای انجام حملات رایانه‌ای هستند؛



  • ابزارهای نرم‌افزاری شامل ویروس‌یابها، دیواره‌های آتش و ابزارهای دسترسی از راه دور؛


  • مفاهیم پیشرفته‌تری چون ساختار شبكه­های TCP/IP و رمزگذاری برای كاربران علاقه مند؛

بخش دوم مسائل امنیتی و روشهای كاهش مخاطرات را از لحاظ فنی بطور كامل پوشش می‌دهد. این بخش از دیدگاه كاربران خانگی و بخش سوم از دیدگاه سازمانی به مسئله امنیت می‌نگرد.


گزیده‌هایی از بخش سوم :امنیت فناوری اطلاعات و سازمانها


بخش سوم این كتاب ابعاد سیاست و راهبری امنیت را از نگاه سازمانی بررسی می‌كند. اتخاذ سیاستهای امنیتی مناسب و اجرای صحیح آنها خطر از دست دادن ناگهانی اطلاعات را كاهش می‌دهد، ورود غیرمجاز به سیستم را بسیار مشكلتر می­كند و ابزار امنیتی برای شناسایی حملات و اصلاح رخنه‏های امنیتی را فراهم می‌سازد. برای حفظ داده‌های محرمانه و كمك به یكپارچگی برنامه‌ها و داده‌های ذخیره‏شده و انتقال این داده‌ها از طریق شبكه، باید تلفیقی از سیاستگذاری و پیاده‌سازی آن انجام ‌شود. این بخش اجزای مختلف سیاستهای امنیتی مؤثر برای سازمانهای مختلف مانند شركتهای تجاری، دولتها، دانشگاهها و سازمانهای غیرانتفاعی را پوشش می‌دهد.


بخش سوم موضوعات زیر را بصورت دقیق مورد بررسی قرار می‌دهد:




  • روش هشت ركنی برای تأمین امنیت كه خصوصاً در محیطهای خدمات مالی و اعتباری ارزشمند هستند؛


  • ارزیابی خطر امنیتی و تحلیل امنیت در یك شركت نوعی؛


  • سیاستها و رویه‌های پیشنهادی برای تدوین برنامه­ها و طرحهای امنیتی؛


  • نقش مدیریت در تأمین امنیت رایانه‌ها، شبكه‌ها و داده‌ها؛


  • امنیت كارمندان شامل آموزش‌ و آگاهی، فرآیند استخدام و استفاده از منابع امنیتی خارجی؛


  • جرائم رایانه‌ای، گزارش وقایع و ترمیم سوانح؛


  • تهدیدات امنیتی فناوریهای بی‌سیم برای شركتها؛


  • راهنماییهای ضمیمه و عواملی كه به طراحی و پیاده‏سازی امنیت سازمانی مناسب كمك می‌كنند.

همچنین بخش سوم بر سیاستهایی كه بطور مستقیم با عملیات تجاری، غیرانتفاعی و دولتی در دنیای شبكه‌ای در ارتباط هستند مروری كلی می‌كند و به مباحث متخصصین و گفتگوهای بین‌المللی بانك جهانی دربارة امنیت فناوری اطلاعات می‌پردازد. بخش چهارم مباحث عمیق‌تری راجع‌ به قوانین و سیاستهای كلی در دنیای سایبر مطرح می‌كند و این مسائل را در قالب جهانی بررسی می‌نماید.



گزیده‌هایی از بخش چهارم : امنیت فناوری اطلاعات و سیاستهای دولتی


بخش چهارم این كتاب عناوین امنیتی را بررسی می‌كند كه فهم آنها در سطوح دولتی لازم است. یك دولت علاوه بر تأمین امنیت منابع اطلاعاتی خود، باید متعهد باشد كه مجموعه سیاستهایی را برای ایمن­ساختن اطلاعات زیرساختی ملی خود تنظیم كند. این سیاستها نقش مهمی در امنیت فناوری اطلاعات دارد، ولی با اینحال تناقضی نیز وجود خواهد داشت و آن اینكه چارچوب سیاست ملی باید قادر به افزایش سطح امنیت باشد، اما قوانین ضعیف دولتی بیش از آنكه سودی در پی داشته باشند، ضرر به بار خواهند آورد. فناوری بسرعت درحال تغییر است و تهدیدات رایانه‌ای جدید به دلیل همین تغییرات بوجود می­آیند. در چنین وضعیتی از قوانین دولتی برای به دام انداختن جنایتكاران و جلوگیری از گسترش شیوه‌های نوین خلافكاری استفاده می­شود. بنابراین دستیابی به توازنی مناسب میان معیارهای تقنینی و غیرتقنینی اهمیت بسزایی دارد. واضح است كه سیاستهای امنیت سایبر دولت باید با توجه به ویژگیهای اجتماعی و فنی اینترنت تدوین شده باشند. در این زمینه دولتها می‌توانند ‌بدون دخالت در مسائل فنی گامهای زیادی را برای ارتقای امنیت رایانه­ای بردارند.

بخش چهارم حاوی موضوعات زیر است:




  • شبكة ارتباطی و دیگر زیرساختهای حیاتی كه متعلق به بخش خصوصی بوده اما نظارت بر آنها با دولت است (تصویری از وابستگی متقابل دولت و بخش خصوصی


  • نقش كلی دولت و وظایف آن در ارتقای امنیت رایانه­ای ‌در بخشهای عمومی، خصوصی، و غیرانتفاعی؛


  • قوانین جرائم رایانه‌ای كه برای حفاظت از رایانه‌ها و شبكه‌های خصوصی و دولتی تدوین می­شوند؛


  • مفاهیم سنتی كه به نحوی به قالب قوانین رایانه‌ای منتقل شده­اند؛


  • قوانین، مقررات و سیاستهای دولتی كه بر ارتقای امنیت رایانه­ای ‌در عرصة پشتیبانی از مصرف‌كننده، داده‌های ارتباطات شخصی، و چارچوبهای تجارت الكترونیكی تأكید دارند؛ و


  • نمونه‌هایی از سیاستها و قوانین تعدادی از كشورها و مراجع در سازمانهای بین‌المللی معتبر؛

بخش چهارم امنیت را از دیدگاه حقوقی و سیاستهای كلان ارزیابی می‌كند. بخش پنجم نگاهی عمیقتر به لوازم و روالهای فنی مورد نیاز برای تأمین امنیت فناوری اطلاعات دارد.


گزیده‌هایی از بخش پنجم: امنیت فناوری اطلاعات و راهبران فنی


بخش پنجم به راهبران شبكه و سیستم‌ كمك می‌كند تا بتوانند وظایف خود را بصورت كارآمدتری انجام دهند. این بخش مسائلی را پوشش می‌دهد كه باید در سطوح فنی و مدیریتی درك شوند؛ مثلاً اینكه ضوابط امنیتی چگونه نقض می­شوند و یا روشهای مقابله با تهدیدات كدامند. بخشهای دیگر این كتاب مروری بر مسائلی نظیر امنیت كاربران خانگی، امنیت از دیدگاه سازمانی و پیاده‌سازی سیاستهای كلان امنیتی دارند. بخش پنجم به تفصیل به بررسی تهدیدات ویژة امنیتی می‌پردازد كه شامل روشهای مختلف حمله به سیستمها و برنامه‌ها، روشهای نظارت بر ترافیك شبكه‌های مهم، الگوهای سرآمدی در تأمین امنیت این سیستمها، و روش مناسب كار با ابزارهای امنیتی در زمان بحران می‌باشد.

بخش پنجم حاوی مطالب زیر است:





  • طراحی سیستمهای امنیتی و روشهای مورد استفادة نفوذگران سیستم؛


  • تهدیدات مختلف امنیت فناوری اطلاعات از سوی عوامل محیطی برای خرابكاری و دزدی اطلاعات و راهكارهایی برای مقابله با آنها؛


  • مكانیزمهای حفاظت از داده­ها در مقابله با افشای غیرعمدی اطلاعات كه با عناوین محرمانگی داده­ها (جلوگیری از دسترسی كاربران غیرمجاز به سیستم و تغییر داده‌ها و برنامه‌ها توسط آنها) و یكپارچگی داده­ه (اطمینان از اینكه نرم‌افزارها و اطلاعات بی‌نقص و صحیح باقی‌خواهند ماند) شناخته می­شوند؛


  • روالهایی برای شناسایی، تصدیق هویت، و تأیید اعتبار كاربران؛


  • مشكلات امنیتی رایج در رایانه‌هایی كه برای ارائه خدمات اطلاعاتی بكار می­روند و تنظیمات سرویس‌دهنده‌ها برای به حداقل رساندن این مسائل؛


  • امنیت شبكه از بعد سخت افزاری (مودمها، مسیریابها و دسترسی بی‌سیم) و نرم‌افزاری (پروتكلهای شبكه‌ای موجود روی شبكه‌های محلی و اینترنت؛ مثل TCP/IP)؛


  • فناوریهای مورد استفاده برای حمله به ایستگاههای كاری و سرویس‌دهنده‌ها كه به آنها تخریب سرویس (DoS) و تهدیدات برنامه‌ریزی­شده می‌گویند.


  • چگونگی استفاده از ابزارهای ممیزیو ورود به سیستم برای كمك به شناسایی سیستمهای آسیب‌پذیر و یافتن مواردی كه روی این سیستمها دچار تغییر شده‌اند.


  • توصیه‌های فنی ویژه برای سیستم عاملهای Unix، Linux، Windows، وMacintosh

به دلیل حجم و پیچیدگی موضوع، چندین ضمیمه نیز در انتهای كتاب آمده است.

پیوست 1 حاوی واژه­نامه­ای از اصطلاحات رایجی است كه در حوزة فناوری اطلاعات و ارتباطات مورد استفاده قرار می‌گیرند، و پیوستهای 2 تا 5 نیز مراجع مورد استفاده در تهیه و تدوین كتاب را معرفی نموده‌اند. این منابع شامل مستندات چاپی، مدارك الكترونیكی و فهرستی از سازمانهایی كه دربارة مسائل امنیتی به فعالیت می‌پردازند هستند. توصیه می­شود تمامی خوانندگان به مراجعی كه در بخش منابع و مآخذ ذكر شده‌اند سری بزنند.


گامهای آتی و نتیجه‌گیری

فناوری دیجیتالی ابزارهای جدیدی را در اختیار ما قرار داده كه تأثیر عمدة آنها در آموزش و پرورش، بهداشت، تجارت و دیگر بخشهای جامعه نمایان است. این فناوری برای تمام كشورها و مردم مفید است، اما می‌تواند جذابیت خاصی برای كشورهای درحال توسعه داشته باشد و به آنها كمك كند تا انسجام خود را به سمت جامعة اقتصادی جهانی افزایش دهند؛ ولی در عین حال انجام اینكار برای كشورها هزینة زیادی دارد. سرمایه‌گذاری مستقیم خارجی و اطمینان و اعتماد به كشورهای درحال توسعه، بستگی به پیاده‌سازی امن و كارآمد فناوری و زیرساختها دارد. دولتها، سازمانها و كاربران خانگی همگی در تأمین امنیت شبكه‌ها و سرمایه‌های الكترونیكی و اطلاعاتی آنها نقش بسزایی دارند. این كتاب حاوی مجموعه‌ای از بهترین شیوه‌های رایج و الگوهای سرآمدی در زمینة امنیت است كه به خوانندگان در پیاده‌سازی سیاستها و روالها - بر حسب شرایط - كمك می‌كند. این كتاب همچنین شامل مراجع فراوانی از موضوعاتی است كه ابعاد دیگر امنیت فناوری اطلاعات را پوشش می‌دهند و لذا آموختن محتویات آن، گامی در جهت انتقال اطلاعات و تولید ظرفیت در سطح محلی در جهان رو به گسترش امروز به حساب می‌آید. این كتاب توسط بانك جهانی منتشر شده و دیسك فشرده و پایگاه وب آن كه حاوی مطالب جدید در این زمینه است نیز در اختیار علاقه‌مندان قرار گرفته است. اولین ویرایش این كتاب در اجلاس جهانی سران جامعة اطلاعاتی (WSIS) در ژنو در دسامبر 2003 میلادی ارائه شد.

بانك جهانی طبق منشور حق تكثیر جهانی مایل به حفظ قانون حق تكثیر این كتاب است و به هیچ عنوان نسخه‏برداری مطالب این كتاب برای تحقیق، آموزش و دیگر اهداف جز در كشورهای درحال توسعة عضو بانك جهانی مجاز نمی‌باشد. یافته‌ها، تفاسیر و نتایج موجود در این كتاب همگی متعلق به نویسندگان هستند و نباید آنها را به بانك جهانی، سازمانهای وابسته به آن، اعضای هیأت مدیره و یا كشورهای عضو نسبت داد.


​​