نعمت اله پیرنیافر
رییس اداره حراست
تلفکس: 06135530340
--------------------------------------------------------------------------------
منشور اخلاقی
- عمل به احکام و موازين دين مبين اسلام
- رعايت قوانين و مقررات و ترويج فرهنگ مسئليت پذيري، قانون گرائي و تعميم آن در وزارتخانه
- تلاش در تامين امنيت شغلي مديران و کارکنان
- رعايت اصل احترام و تکريم ارباب رجوع
- رعايت حريم خصوصي افراد و تلاش در جهت حفظ ابرو و اسرار کارکنان
- تلاش در جهت استقرار شايسته سالاري با تکيه بر شناسائي و معرفي کارکنان متعهد و متخصص
- تعامل و همکاري با مديران جهت تحقق اهداف وزارتخانه ای
- تلاش مجدانه در شناسائي و پيشگيري از آسيب هاي وزارتخانه
- شناسائي متخلفان و قانون گريزان و برخورد متناسب و قانوني با آنان
- بهره مندي از نگرشي کلان و برنامه ريزي متناسب با فن آوري هاي روز
- توجه لازم به سه اصل: دقت، صحت و سرعت در بررسي گزارش هاي رسيده و اطلاع رساني به موقع
- اهتمام به تحقق بخشيدن سه شعار اساسي: حراست اثرگذار، تصميم ساز و پاسخگو
امروزه امنيت اطلاعات در سيستم هاي کامپيوتري به عنوان يکي از مسائل مهم مطرح است و مي بايست به مقوله امنيت اطلاعات نه به عنوان يک محصول بلکه به عنوان يک فرآيند نگاه گردد. بدون شک اطلاع رساني در رابطه با تهديدات، حملات و نحوه برخورد با آنان، داراي جايگاهي خاص در فرآيند ايمن سازي اطلاعات بوده و لازم است همواره نسبت به آخرين اطلاعات موجود در اين زمينه خود را بهنگام نمائيم. بدين دليل و با توجه به اهميت اطلاع رساني در اين زمينه، به اختصار مطالبي در ارتباط با امنيت اطلاعات، هشدارهاي امنيتي، ابزارهاي برخورد با حملات و تهديدات امنيتي تقديم مي گردد.
امنيت داده ها در کامپيوترها
عمليات لازم به منظور امنيت داده ها
- استفاده صحيح از رمزهاي عبور: سعي نمائيد که براي استفاده از اطلاعات موجود بر روي دستگاه هاي قابل حمل همواره از رمزهاي عبور استفاده نمائيد. در زمان وارد کردن رمز عبور، گزينه هائي را انتخاب ننمائيد که به کامپيوتر امکان به خاطر سپردن رمزهاي عبور را بدهد. از رمزهاي عبوري که امکان تشخيص آسان آنان براي افراد غيرمجاز وجود دارد، استفاده نکنيد.
- ذخيره سازي جداگانه داده هاي مهم: از امکانات و دستگاه هاي متعددي به منظور ذخيره سازي داده مي توان استفاده نمود. ديسک هاي فشرده CD ، DVD و يا ديسک هاي قابل حمل پيشنهاد مي گردد. اطلاعات موجود بر روي دستگاه هاي قابل حمل( نظير کامپيوترهاي Note book ) بر روي رسانه هاي ذخيره سازي قابل حمل و در مکان هاي متفاوت، ذخيره و نگهداري گردد. بدين ترتيب در صورت سرقت و يا خرابي کامپيوتر، امکان دستيابي و استفاده از داده ها همچنان وجود خواهد داشت. مکان نگهداري داده ها مي بايست داراي شرايط مطلوب امنيتـي باشد.
- رمزنگاري فايل ها:با رمزنگاري فايل ها، صرفاً افراد مجاز قادر به دستيابي و مشاهده اطلاعات خواهند بود. در صورتي که افراد غير مجاز امکان دستيابي به داده ها را پيدا نمايند، قادر به مشاهده اطلاعات نخواهند بود. در زمان رمزنگاري اطلاعات، مي بايست تمهيدات لازم در خصوص حفاظت و به خاطر سپردن رمزهاي عبور اتخاذ گردد.
- نصب و نگهداري نرم افزارهاي ضد ويروس: حفاظت کامپيوترهاي قابل حمل در مقابل ويروس ها، نظير حفاظت ساير کامپيوترها بوده و مي بايست همواره از بهنگام بودن اين نوع برنامه ها، اطمينان حاصل نمود.
- نصب و نگهداري يک فايروال: در صورت استفاده از شبکه هاي متعدد، ضرورت استفاده از فايروال ها مضاعف مي گردد. با استفاده از فايروال ها حفاظت لازم و پيشگيري اوليه در خصوص دستيابي به سيستم توسط افراد غير مجاز انجام خواهد شد.
- Back up گرفتن داده ها: از هر نوع داده ارزشمند موجود بر روي يک کامپيوتر بايد Back up گرفته و آنها را ذخيره نمود. بدين ترتيب در صورتي که کامپيوتر سرقت و يا با مشکل مواجه شود، امکان دستيابي به اطلاعات در معرض تهديد وجود خواهد داشت .
نحوه انتخاب و حفاظت رمزهاي عبور:
رمزهاي عبور، روشي به منظور تائيد کاربران بوده و تنها حفاظ موجود بين کاربر و اطلاعات موجود بر روي يک کامپيوتر مي باشند. مهاجمان با استفاده از برنامه هاي متعدد نرم افزاري، قادر به حدس رمزهاي عبور و يا اصطلاحاً "Crack " نمودن آنان مي باشند. با انتخاب مناسب رمزهاي عبور و نگهداري آنان، امکان حدس آنان مشکل و بالطبع افراد غير مجاز قادر به دستيابي اطلاعات شخصي شما نخواهند بود. يکي از بهترين روشهاي حفاظت از اطلاعات، حصول اطمينان از اين موضوع است که صرفاً افراد مجاز قادر به دستيابي به اطلاعات مي باشند. فرآيند تائيد هويت و اعتبار کاربران در دنياي مجازي شرايط و ويژگي هاي خاص خود را داشته و شايد بتوان ادعا کرد که اين موضوع به مراتب پيچيده تر از دنياي غيرمجازي است. در صورتي که شما رمزهاي عبور را به درستي انتخاب نکرده و يا از آنان به درستي مراقبت ننمائيد، قطعاً پتانسيل فوق جايگاه و کارايي واقعي خود را از دست خواهد داد. تعداد زيادي از سيستم ها و سرويس ها صرفاً به دليل عدم ايمن بودن رمزهاي عبور با مشکل مواجه شده و برخي از ويروس ها با حدس و تشخيص رمزهاي عبور ضعيف، توانسته اند به اهداف مخرب خود دست يابند.
چگونه يک رمزعبور خوب تعريف کنيم؟
اکثر افراد از رمزهاي عبوري استفاده مي نمايند که مبتني بر اطلاعات شخصي آنان است، چراکه بخاطر سپردن اين نوع رمزهاي عبور براي آنان ساده تر مي باشد. بديهي است به همان نسبت، مهاجمان نيز با سادگي بيشتري قادر به تشخيص و کراک نمودن رمزهاي عبور خواهند بود. اين نوع رمزهاي عبور داراي استعداد لازم براي حملات از نوع "ديکشنري "، مي باشند. به منظور تعريف رمزعبور، موارد زير پيشنهاد مي گردد :
- عدم استفاده از رمزهاي عبوري که مبتني بر اطلاعات شخصي هستند زيرا اين نوع رمزهاي عبور به سادگي حدس و تشخيص داده مي شوند.
- عدم استفاده از کلماتي که مي توان آنان را در هر ديکشنري و يا زباني پيدا نمود .
- پياده سازي يک سيستم و روش خاص به منظور به خاطرسپردن رمزها
- استفاده از حروف بزرگ و کوچک در زمان تعريف رمزعبور
- استفاده از ترکيب حروف ، اعداد و حروف ويژه
- استفاده از رمزهاي عبور متفاوت براي سيستم هاي متفاوت
نحوه حفاظت رمزهاي عبور
- پس از انتخاب يک رمزعبور که امکان حدس و تشخيص آن مشکل است، مي بايست تمهيدات لازم در خصوص نگهداري آنان پيش بيني گردد. در اين رابطه موارد زير پيشنهاد مي گردد:
- از دادن رمز عبور خود به ساير افراد جداً اجتناب گردد.
- از نوشتن رمز عبور بر روي کاغذ و گذاشتن آن بر روي ميز محل کار، نزديک کامپيوتر و يا چسباندن آن بر روي کامپيوتر، جداً اجتناب گردد. افرادي که امکان دستيابي فيزيکي به محل کار شما را داشته باشند، به راحتي قادر به تشخيص رمز عبور شما خواهند بود.
- هرگز به خواسته افرادي که به بهانه هاي مختلف از طريق تلفن و يا نامه از شما درخواست رمز عبور را مي نمايند، توجه ننمائيد.
- در صورتي که مرکز ارائه دهنده خدمات اينترنت شما، انتخاب سيستم تائيد (Authentication ) را برعهده شما گذاشته است، سعي نمائيد يکي از گزينه هاي Challenge/response يا Public encryption key را در مقابل رمزهاي عبور ساده، انتخاب نمائيد.
بسياري از برنامه ها امکان به خاطر سپردن رمزهاي عبور را ارائه مي نمايند، برخي از اين برنامه ها داراي سطوح مناسب امنيتي به منظور حفاظت از اطلاعات نمي باشند. برخي برنامه ها نظير برنامه هاي سرويس گيرنده پست الکترونيکي، اطلاعات را به صورت متن (غيررمزشده) در يک فايل بر روي کامپيوتر ذخيره مي نمايند. اين بدان معني است که افرادي که به کامپيوتر شما دستيابي دارند، قادر به کشف تمامي رمزهاي عبور و دستيابي به اطلاعات شما خواهند بود. بدين دليل، همواره به خاطر داشته باشيد زماني که از يک کامپيوتر عمومي، استفاده مي نمائيد، عمليات logout را انجام دهيد. برخي از برنامه ها از يک مدل رمزنگاري مناسب به منظور حفاظت اطلاعات استفاده مي نمايند که ممکن است داراي امکانات ارزشمندي به منظور مديريت رمزهاي عبور باشند .
چند عادت خوب امنيتي
انسان عصر اطلاعات مي بايست در کنار استفاده از فن آوري هاي متعدد، سعي نمايد برخي عادات و حرکات پسنديده را براي خود اصل قرار داده و با تکرار مدوام آنان، امکان و يا بهتر بگوئيم شانس خرابي اطلاعات و يا کامپيوتر را کاهش دهد. دستـيابي به يک کامپيوتر به دو صورت فيزيکي و از راه دور، امکان پذير مي باشد. شما مي توانيد به سادگي افرادي را که قادر به دستيابي فيزيکي به سيستم شما مي باشند را شناسايي نمائيد. آيا شناسايي افرادي که قادرند از راه دور به سيستم شما متصل گردند، نيز امري ساده است؟ پاسخ سوال فوق، منفي است و شناسائي افرادي که از راه دور به سيستم شما متصل مي شوند، به مراتب مشکل تر خواهد بود. اگر شما کامپيوتر خود را به يک شبکه متصل نموده ايد، قطعاً در معرض تهديد و آسيب خواهيد بود. استفاده کنندگان کامپيوتر و کاربران شبکه هاي کامپيوتري (خصوصاً اينترنت)، مي توانند با رعايت برخي نکات که مي بايست به عادت تبديل شوند، ضريب مقاومت و ايمني سيستم خود را افزايش دهند. در ادامه به برخي از اين موارد اشاره مي گردد :
- قفل نمودن کامپيوتر زماني که از آن دور هستيم: شما با قفل نمودن کامپيوتر خود، عرصه را براي افرادي که با نشستن پشت کامپيوتر شما قصد دستيابي بدون محدوديت به اطلاعات شما را دارند، تنگ خواهيد کرد.
- قطع ارتباط با اينترنت زماني که از آن استفاده نمي گردد: پياده سازي فناوري هائي نظير DSL و مودم هاي کابلي اين امکان را براي کاربران فراهم نموده است که همواره به اينترنت متصل و اصطلاحاًonline باشند. اين مزيت داراي چالش هاي امنيتي خاص خود نيز مي باشد. باتوجه به اين که شما بطور دائم به شبکه متصل مي باشيد، مهاجمان و ويروس ها فرصت بيشتري براي يافتن قربانيان خود خواهند داشت. در صورتي که کامپيوتر شما همواره به اينترنت متصل است. مي بايست در زماني که قصد استفاده از اينترنت را نداريد، اتصال خود را غير فعال نماييد. فرآيند غيرفعال نمودن اتصال به اينترنت به نوع ارتباط ايجاد شده، بستگي دارد. چنانچه اطلاعات شما اهميت زيادي دارد از اتصال سيستم به اينترنت اجتناب کنيد.
- بررسي تنظيمات امنيتي: اکثر نرم افزارها نظير برنامه هاي مرورگر و يا پست الکترونيکي، امکانات متنوعي را به منظور پيکربندي سفارشي متناسب با شرايط و خواسته استفاده کنندگان، ارائه مي نمايند. در برخي موارد همزمان با فعال نمودن برخي از گزينه ها از يک طرف امکان استفاده از سيستم راحت تر شده و از طرف ديگر ممکن است احتمال آسيب پذيري شما در مقابل حملات، افزايش يابد. در اين رابطه لازم است تنظيمات امنيتي موجود در نرم افزار را بررسي نموده و گزينه هائي را انتخاب نمائيد که علاوه بر تأمين نياز شما، آسيب پذيري سيستم شما در مقابل حملات را افزايش ندهد. در صورتي که يک Patch و يا نسخه جديدي از يک نرم افزار را بر روي سيستم خود نصب مي نمائيد، ممکن است تغييراتي را در تنظيمات انجام شده اعمال نمايد، مي بايست بررسي مجدد در خصوص تنظيمات امنيتي را انجام داده تا اين اطمينان حاصل گردد که سيستم داراي شرايط مناسب و مقاوم در مقابل تهديدات است.
- از دانلود کردن نرم افزارهاي موجود در بازار و نصب کپي نرم افزار ها بر روي سيستم خودداري نماييد. به منظور افزايش مقاومت سيستم در مقابل خرابي و از دست دادن اطلاعات، مي بايست به ابعاد ديگري نيز توجه داشت. برخي مواقع تهديد اطلاعات و در معرض آسيب قرار گرفتن آنان از جانب افراد نبوده و اين موضوع به عوامل طبيعي و فني ديگري بستگي دارد. با اينکه روشي براي کنترل و يا پيشگيري قطعي اين نوع از حوادث وجود ندارد ولي مي توان با رعايت برخي نکات ميزان خرابي را کاهش داد.
نتايج بي توجهي به امنيت اطلاعات
- نفوذ به شبکه و دسترسي به اطلاعات طبقه بندي شده
- تخريب و دستکاري اطلاعات موجود در سيستم و نرم افزارها
- اشغال پهناي باند و اتلاف پهناي باند
- سوء استفاده هاي آموزشي، مالي، اداري و... از طريق نفوذ به سيستم هاي مربوطه
هرگاه دو كشور يا دو گروه يا حتي دو طرز تفكر، طوري كنار هم قراربگيرندكه منافع آنها با هم تقابل داشته باشند بخصوص اينكه باهم در تخاصم باشند، مي طلبد كه جهت مقابله با همديگر،اطلاعات و شناخت كافي از اهداف، مواضع، امكانات، توان علمي ياتسليحاتي يا ... وبالاخره كوچكترين مسايل همديگر داشته باشندتا در زمان لازم با برنامه ريزي بر اساس اطلاعات بدست آمده به اهداف خود برسند. كسب اطلاعات و اخبار حوزه تعريف،ازطرق مختلف آشكار و پنهان ميباشد. يكي ازآسان ترين و كم خطرترين شيوه هاي طرف متخاصم براي كسب اطلاعات به صورت مخفيانه استفاده از ابزار فني و مخابراتي مثل تلفن، فاكس،تلكس و اينترنت است و ساده ترين و كم هزينه ترين آن استفاده ازتلفن است. جمع آوري از طريق تلفن را جاسوسي تلفني و به نوعي ديگر كه همراه با فريب باشد تخليه تلفني مي گويند.
- از آنجا كه گروهك هاي منافق و برخي عناصر خود فروخته همواره در پي كسب اطلاعات از مراكز دانشگاهي و فعاليت هاي علمي كشور هستند، جهت اطلاع جنابعالي برخي نكات بارز دربرخورد با اين افراد ذكر مي گردد.
- زنگ تلفن هميشه زنگ خبر نيست،بلكه گاهي زنگ خطر است.
- هرگونه اطلاعات درون سازماني که دانستن آن براي عموم جايز نيست، داراي ارزش است و نمي بايست فاش گردد.
- دادن اطلاعات به تماس گيرنده را موکول به تماس تلفني خودتان کنيد که ضمن اخذ شماره تلفن و چک کردن آن برقرار خواهيد کرد.
- صرف اينکه طرف تماس، به شما يک شماره داد، دليل صحت او نيست بلکه بايد شماره داده شده را بررسي کنيد.
- از دادن شماره تلفن هاي غير عمومي به افراد ناشناس خودداري کنيد.
- در صورتي که تماس گيرنده به موارد ضعف شما اشاره کند، يا در صورت ندادن اطلاعات تهديد به از دست دادن شغل يا گزارش به رده هاي بالاتر نمايد، اعتنا نکنيد.
- بعضي وقتها تماس گيرنده، اتفاق مدنظر را به صورتي تعريف مي نمايد تا مخاطب تحريک شده و اطلاعات جزئي تري بدهد.
- اگر فردي تماس گرفته و اطلاعات آشکاري راجع به موضوع دارد، دليل صاحب نظر بودن او نيست، پس به او اعتماد نکنيد.
- جاسوس ها از علاقه نيروهاي يک سازمان در جهت راه اندازي کار سازمان هاي ديگر استفاده کرده و در ساعات غير اداري تماس گرفته، خود را مسوول سازمان ديگر معرفي مي کنند، پس با سوال و جواب زيرکانه ادعاي او را بررسي کنيد.
- اساس تخليه تلفني بر غفلت و فريب است، مواظب غفلت خود و فريبكاري دشمن باشيد.
در ادامه برخي روش هايي که منافقين اخيراً از آنها در تماس با افراد نخبه و علمي کشور بهره برده اند، جهت بهره برداري اعلام مي شود:
- تماس گيرنده خود را با هويت فردي ديگر از مراکز علمي و پژوهشي يا رياست جمهوري يا وزارت علوم معرفي مي نمايد.
- موضوع صحبت در محور برگزاري سمينار يا نشست علمي، ارائه مقاله، مصاحبه مطبوعاتي بوده و خواستار اطلاعات از مخاطب پيرامون افراد و پروژه هاي علمي و اداري مي گردند.
- مشخصات و شماره تماس افراد مختلف و اساتيد و پژوهشگران مرتبط با علوم فوق الذکر را خواستار مي گردند.
- مشخصات و شماره تماس افراد مرتبط با صنايع نظامي و يا دانشجويان دوره دکتري يا کارشناسي ارشد نظامي، شاغل به تحصيل در محيط هاي وزارت علوم را درخواست مي نمايند.
- مشخصات پروژه هاي مرتبط با پيشرفت هاي علمي و افراد فعال در آن را درخواست مي نمايند.
- فرد تماس گيرنده، نامه اي رسمي و جعلي به امضاي مقامي مسوول مي فرستد و خواستار ارسال اطلاعات خاص مي شود.
- در مكالمات تلفني از بكار بردن اخبار و اطلاعات طبقه بندي شده خودداري فرماييد.آيا مي دانيد تخليه تلفني، دقيق ترين و آسانترين شيوه جمع آوري دشمن است.