30-04-2017, 02:47 PM
تهيه Backup در اولين فرصت و به صورت مرتب : تهيه backup بطور مرتب و بر اساس يك استراتژی خاص ، يكی از اقدامات اساسی در جهت حفاظت از اطلاعات می باشد . اطلاعاتی كه ممكن است به هر دليلی با مشكل مواجه و امكان استفاده از آنان وجود نداشته باشد . برای تهيه backup ، می توان از امكانات موجود در ويندوز نظير برنامه ntbackupاستفاده نمود . با استفاده از ويزارد ارائه شده در برنامه فوق ، می توان به سرعت و به سادگی عمليات لازم به منظور تهيهbackup و يا برگرداندن اطلاعات backup گرفته شده را انجام داد . در صورت ضرورت ، می توان تهيه backup از داده های مهم موجود بر روی سيستم را به صورت يك job تعريف و برای آن يك برنامه زمانبندی خاص را در نظر گرفت .
برای تهيه backup ، می توان از نرم افزارهای متعدد ديگری نيز استفاده نمود كه امكانات بمراتب بيشتری را در مقايسه با برنامه ارائه شده در ويندوز در اختيار كاربران قرار می دهند . صرفنظر از اين كه از چه برنامه ای برای تهيه backup استفاده می گردد ، می بايست از اطلاعات backup گرفته شده به دقت حفاظت و آنها را در مكان هائی با ضريب ايمنی و حفاظتی بالا نگهداری كرد .
استفاده از مجوزهای امنيتی file-level و share-level : به منظور حفاظت از داده در مقابل دستيابی افراد غيرمجاز ، اولين مرحله تنظيم مجوزها بر روی فايل ها و فولدرهای حاوی داده می باشد .در صورتی كه می بايست داده به صورت مشترك در شبكه استفاده گردد ، می توان با تنظيم share permissions نحوه استفاده از آنها را قانونمند نمود . بدين منظور می توان در ويندوز 2000 و يا XP پس از انتخاب فايل و يا فولدر ، از طريق صفحه Properties گزينه Sharing و در نهايت دكمه permission را انتخاب نمود . تنظيمات امنيتی اشاره شده در رابطه با كاربرانی كه به صورت محلی از سيستم حاوی اطلاعات حساس استفاده می نمايند ، اعمال نخواهد شد .
در صورتی كه كامپيوتر با كاربر ديگری به اشتراك گذاشته شده است ، می بايست از مجوزهای file-level استفاده نمود . به اين نوع از مجوزها ، مجوزهای NTFS نيز گفته می شود چراكه استفاده از آنها صرفا" برای فايل ها و فولدرهای ذخيره شده بر روی پارتيشن هائی كه با سيستم فايل NTFS فرمت شده اند ، امكان پذير می باشد . برای استفاده از مجوزهای فوق ، پس از انتخاب فايل و يا فولدر مورد نظر می توان از طريق صفحه properties ، گزينه Security tab را انتخاب و مجوزها را بر اساس سياست مورد نظر تنظيم نمود .
در هر دو مورد ( مجوزهای file-level و share-level ) می توان مجوزها را برای user account و groups تعريف نمود . مجوزها را می توان از "فقط خواندنی" تا " كنترل كامل " در نظر گرفت .
حفاظت از فايل ها و ساير مستندات توسط رمز عبور : تعداد زيادی از نرم افزارها ( نظير نرم افزارهای آفيس و Adobe Acrobat ) ، امكان تعريف رمزعبور برای استفاده از مستندات را در اختيار كاربران قرار می دهند . پس از در نظر گرفتن يك رمز عبور ، در صورت فعال كردن ( بازنمودن ) يك مستند در ابتدا از كاربر درخواست رمز عبور خواهد شد . به منظور انجام اين كار در برنامه ای نظير Microsoft word 2003 ، از طريق منوی Tools گزينه options و در ادامه Security tab را انتخاب می نمائيم . با استفاده از امكاناتفوق ، می توان يك رمز عبور و نحوه رمزنگاری را مشخص نمود .
متاسفانه، سيستم رمز استفاده شده در محصولات مايكروسافت ، به سادگی شكسته می گردد و كاربران غيرمجاز می توانند از برنامه های متعددی به منظور رمزگشائی مستندات استفاده نمايند. برنامه AOPR ( برگرفته از Advanced Office Password Recovery ) نمونه ای در اين زمينه می باشد .
در صورت لزوم می توان از نرم افزارهائی نظير WinZip و PKZip به منظور فشرده سازی و رمزنگاری اسناد و يا فايل ها استفاده نمود .
استفاده از رمزنگاری EFS : ويندوز 2000 ، XP و 2003 از رمزنگاری سيستم فايل موسوم به EFS ( برگرفته از Encrypting File System ) حمايت می نمايند . از سيستم رمزنگاری فوق می توان به منظور رمزنگاری فايل ها و فولدرهای ذخيره شده بر روی پارتيشنی كه با NTFS فرمت شده است ،استفاده نمود . بدين منظور می توان پس از انتخاب صفحهproperties ، از طريق General tab گزينه Advanced button را انتخاب نمود ( بطور همزمان نمی توان از رمزنگاری EFSو مجوزهای NTFS استفاده نمود ) .
سيستم رمزنگاری EFS به منظور افزايش امنيت و كارآئی از تركيب رمزنگاری متقارن و نامتقارن استفاده می نمايد . سيستم فوق برای حفاظت از داده های ذخيره شده بر روی ديسك استفاده می گردد و در صورتی كه يك فايل رمز شده در طول شبكه حركت كند و كاربران از يك sniffer به منظور capture بسته های اطلاعاتی استفاده نمايند ، می توانند اطلاعات موجود در فايل را مشاهده نمايند .
استفاده از رمزنگاری ديسك : با استفاده از نرم افزارهای متعددی می توان تمامی محتويات يك ديسك را رمز نمود . بدين ترتيب ، كاربران غيرمجاز قادر به مشاهده محتويات ذخيره شده بر روی ديسك نخواهند بود . داده بطور اتومانيك و در زمان نوشتن بر روی هارد ديسك رمز و قبل از استقرار درون حافظه ، رمزگشائی می گردد . از اينگونه محصولات می توان به منظور رمزنگاری درايوهای USB ، فلش درايوها و ... استفاده نمود . PGP Whole Disk Encryption و DriveCrypt نمونه هائی از اينگونه برنامه ها می باشند .
استفاده از زيرساخت كليد عمومی : PKI ( برگرفته از public key infrastructure ) ، سيستمی برای مديريت زوج كليد خصوصی و عمومی و گواهينامه های ديجيتال است . با توجه به اين كه كليد ها و گواهينامه ها توسط يك مركز تائيد شده صادر می شوند از استحكام امنيتی بيشتری برخوردار می باشند . (سرويس دهندگان گواهينامه ديجيتال ممكن است به صورت داخلی و در يك شبكه خصوصی نصب و يا در يك شبكه عمومی ، نظير Versign ، نصب شده باشند ) . در چنين مواردی ، می توان داده را با استفاده از كليد عمومی كاربر مورد نظر رمز نمود . در ادامه، صرفا" كاربری قادر به رمزگشائی اطلاعات است كه دارای كليد خصوصی مرتبط با كليد عمومی باشد .
مخفی كردن داده درون داده ديگر : با استفاده از يك برنامه steganography می توان داده مورد نظر را درون ساير داده ها مخفی نمود . به عنوان نمونه ، می توان يك پيام متن را درون يك فايل گرافيكی JPG . و يا فايل موزيك mp3 . ، مخفی نمود . اينگونه ها برنامه ها پيام ها را رمز نمی نمايند و اغلب از آنان به همراه نرم افزارهای رمزنگاری استفاده می گردد . در چنين مواردی ، در ابتدا داده رمز و در ادامه با استفاده از نرم افزارهای steganography مخفی می گردد . برنامه StegoMagic يك نمونه از برنامه های steganography است كه با استفاده از آن می توان متن مورد نظر را رمز و درون فايل هائی از نوع WAV ، . TXT . و يا BMP . ذخيره نمود .
حفاظت داده در حال حمل : داده ارسالی در يك شبكه می تواند در زمان حركت توسط مهاجمان شنود گردد . مهاجمان در اين رابطه از نرم افزارهائی موسوم به sniffer استفاده می نمايند كه امكان آناليز پروتكل و يا مانيتورينگ شبكه را در اختيار آنان قرار می دهد. برای حفاظت داده در زمان حركت در شبكه ، می توان از IPSec ( برگرفته از Internet Protocol Securityy ) استفاده نمود . در چنين مواردی ، سيستم ارسال كننده و سيستم دريافت كننده می بايست قادر به حمايت از ويژگی فوق باشند . از ويندوز 2000 به بعد ، امكانات لازم به منظور حمايت از IPSec در ساير نسخه ها تعبيه شده است .
ايمن سازی مبادله داده در محيط های wireless : داده ئی كه از طريق يك شبكه wireless ارسال می گردد ، دارای استعداد بيشتری به منظور بررسی و شنود توسط مهاجمان نسبت به ساير داده های ارسال شده بر روی يك شبكه اترنت است ، چراكه ضرورتی ندارد مهاجمان به محيط فيزيكی شبكه و يا دستگاه های مربوطه دستيابی داشته باشند . در صورت عدم پيكربندی صحيح و ايمن access point ، مهاجمان با استفاده از يك كامپيوتر قابل حمل كه دارای امكانات wireless است ، می توانند به داده ذخيره شده در شبكه دستيابی داشته باشد . كاربران می بايست صرفا" اقدام به ارسال و دريافت داده بر روی شبكه هائی نمايند كه از رمزنگاری WPA ( برگرفته از Wi-Fi Protected Access ) در مقابل WEP ( برگرفته از Wired Equivalent Protocol ) استفاده می نمايند ( WPA ، بمرابت دارای امنيت بيشتری نسبت به WEP است ) .
استفاده از مديريت حقوق به منظور حفظ كنترل : در برخی موارد ، لازم است كه داده برای ساير كاربران ارسال گردد ولی نگران نحوه برخورد آنان با داده ارسالی می باشيم ( مثلا" آيا آنان می توانند داده ارسالی را حذف و يا تغيير دهند ) . در چنين مواردی می توان از RMS ( برگرفته از Rights Management Servicess ) در ويندوز استفاده نمود . سيستم فوق ، مشخص می نمايد كه دريافت كننده پس از دريافت اطلاعات قادر به انجام چه كاری خواهد بود . به عنوان نمونه ، می توان حقوق مورد نظر را بگونه ای تنظيم نمود كه صرفا" دريافت كننده قادر به مطالعه فايل ارسالی باشد و نتواند در آن تغييراتی را اعمال نمايد . همچنين ، با استفاده از سيستم فوق می توان مدت زمان استفاده از مستندات و يا پيام ها را مشخص نمود . بدين ترتيب پس از گذشت مدت زمان مشخص شده ، اعتبار آنها به اتمام رسيده و عملا" امكان دستيابی و استفاده از آنها وجود نخواهد داشت .
برای استفاده از RMS ، به ويندوز 2003 كه به عنوان يك سرويس دهنده RMS پيكربندی شده است نياز می باشد . در چنين مواردی ، كاربران نيز به يك نرم افزار خاص و يا يك add-in همراه مرورگر نياز خواهند داشت تا بتوانند به مستندات حفاظت شده توسط RMS دستيابی داشته باشند . كاربران مجاز يك گواهينامه را از سرويس دهنده RMS دريافت می نمايند .
برای تهيه backup ، می توان از نرم افزارهای متعدد ديگری نيز استفاده نمود كه امكانات بمراتب بيشتری را در مقايسه با برنامه ارائه شده در ويندوز در اختيار كاربران قرار می دهند . صرفنظر از اين كه از چه برنامه ای برای تهيه backup استفاده می گردد ، می بايست از اطلاعات backup گرفته شده به دقت حفاظت و آنها را در مكان هائی با ضريب ايمنی و حفاظتی بالا نگهداری كرد .
استفاده از مجوزهای امنيتی file-level و share-level : به منظور حفاظت از داده در مقابل دستيابی افراد غيرمجاز ، اولين مرحله تنظيم مجوزها بر روی فايل ها و فولدرهای حاوی داده می باشد .در صورتی كه می بايست داده به صورت مشترك در شبكه استفاده گردد ، می توان با تنظيم share permissions نحوه استفاده از آنها را قانونمند نمود . بدين منظور می توان در ويندوز 2000 و يا XP پس از انتخاب فايل و يا فولدر ، از طريق صفحه Properties گزينه Sharing و در نهايت دكمه permission را انتخاب نمود . تنظيمات امنيتی اشاره شده در رابطه با كاربرانی كه به صورت محلی از سيستم حاوی اطلاعات حساس استفاده می نمايند ، اعمال نخواهد شد .
در صورتی كه كامپيوتر با كاربر ديگری به اشتراك گذاشته شده است ، می بايست از مجوزهای file-level استفاده نمود . به اين نوع از مجوزها ، مجوزهای NTFS نيز گفته می شود چراكه استفاده از آنها صرفا" برای فايل ها و فولدرهای ذخيره شده بر روی پارتيشن هائی كه با سيستم فايل NTFS فرمت شده اند ، امكان پذير می باشد . برای استفاده از مجوزهای فوق ، پس از انتخاب فايل و يا فولدر مورد نظر می توان از طريق صفحه properties ، گزينه Security tab را انتخاب و مجوزها را بر اساس سياست مورد نظر تنظيم نمود .
در هر دو مورد ( مجوزهای file-level و share-level ) می توان مجوزها را برای user account و groups تعريف نمود . مجوزها را می توان از "فقط خواندنی" تا " كنترل كامل " در نظر گرفت .
حفاظت از فايل ها و ساير مستندات توسط رمز عبور : تعداد زيادی از نرم افزارها ( نظير نرم افزارهای آفيس و Adobe Acrobat ) ، امكان تعريف رمزعبور برای استفاده از مستندات را در اختيار كاربران قرار می دهند . پس از در نظر گرفتن يك رمز عبور ، در صورت فعال كردن ( بازنمودن ) يك مستند در ابتدا از كاربر درخواست رمز عبور خواهد شد . به منظور انجام اين كار در برنامه ای نظير Microsoft word 2003 ، از طريق منوی Tools گزينه options و در ادامه Security tab را انتخاب می نمائيم . با استفاده از امكاناتفوق ، می توان يك رمز عبور و نحوه رمزنگاری را مشخص نمود .
متاسفانه، سيستم رمز استفاده شده در محصولات مايكروسافت ، به سادگی شكسته می گردد و كاربران غيرمجاز می توانند از برنامه های متعددی به منظور رمزگشائی مستندات استفاده نمايند. برنامه AOPR ( برگرفته از Advanced Office Password Recovery ) نمونه ای در اين زمينه می باشد .
در صورت لزوم می توان از نرم افزارهائی نظير WinZip و PKZip به منظور فشرده سازی و رمزنگاری اسناد و يا فايل ها استفاده نمود .
استفاده از رمزنگاری EFS : ويندوز 2000 ، XP و 2003 از رمزنگاری سيستم فايل موسوم به EFS ( برگرفته از Encrypting File System ) حمايت می نمايند . از سيستم رمزنگاری فوق می توان به منظور رمزنگاری فايل ها و فولدرهای ذخيره شده بر روی پارتيشنی كه با NTFS فرمت شده است ،استفاده نمود . بدين منظور می توان پس از انتخاب صفحهproperties ، از طريق General tab گزينه Advanced button را انتخاب نمود ( بطور همزمان نمی توان از رمزنگاری EFSو مجوزهای NTFS استفاده نمود ) .
سيستم رمزنگاری EFS به منظور افزايش امنيت و كارآئی از تركيب رمزنگاری متقارن و نامتقارن استفاده می نمايد . سيستم فوق برای حفاظت از داده های ذخيره شده بر روی ديسك استفاده می گردد و در صورتی كه يك فايل رمز شده در طول شبكه حركت كند و كاربران از يك sniffer به منظور capture بسته های اطلاعاتی استفاده نمايند ، می توانند اطلاعات موجود در فايل را مشاهده نمايند .
استفاده از رمزنگاری ديسك : با استفاده از نرم افزارهای متعددی می توان تمامی محتويات يك ديسك را رمز نمود . بدين ترتيب ، كاربران غيرمجاز قادر به مشاهده محتويات ذخيره شده بر روی ديسك نخواهند بود . داده بطور اتومانيك و در زمان نوشتن بر روی هارد ديسك رمز و قبل از استقرار درون حافظه ، رمزگشائی می گردد . از اينگونه محصولات می توان به منظور رمزنگاری درايوهای USB ، فلش درايوها و ... استفاده نمود . PGP Whole Disk Encryption و DriveCrypt نمونه هائی از اينگونه برنامه ها می باشند .
استفاده از زيرساخت كليد عمومی : PKI ( برگرفته از public key infrastructure ) ، سيستمی برای مديريت زوج كليد خصوصی و عمومی و گواهينامه های ديجيتال است . با توجه به اين كه كليد ها و گواهينامه ها توسط يك مركز تائيد شده صادر می شوند از استحكام امنيتی بيشتری برخوردار می باشند . (سرويس دهندگان گواهينامه ديجيتال ممكن است به صورت داخلی و در يك شبكه خصوصی نصب و يا در يك شبكه عمومی ، نظير Versign ، نصب شده باشند ) . در چنين مواردی ، می توان داده را با استفاده از كليد عمومی كاربر مورد نظر رمز نمود . در ادامه، صرفا" كاربری قادر به رمزگشائی اطلاعات است كه دارای كليد خصوصی مرتبط با كليد عمومی باشد .
مخفی كردن داده درون داده ديگر : با استفاده از يك برنامه steganography می توان داده مورد نظر را درون ساير داده ها مخفی نمود . به عنوان نمونه ، می توان يك پيام متن را درون يك فايل گرافيكی JPG . و يا فايل موزيك mp3 . ، مخفی نمود . اينگونه ها برنامه ها پيام ها را رمز نمی نمايند و اغلب از آنان به همراه نرم افزارهای رمزنگاری استفاده می گردد . در چنين مواردی ، در ابتدا داده رمز و در ادامه با استفاده از نرم افزارهای steganography مخفی می گردد . برنامه StegoMagic يك نمونه از برنامه های steganography است كه با استفاده از آن می توان متن مورد نظر را رمز و درون فايل هائی از نوع WAV ، . TXT . و يا BMP . ذخيره نمود .
حفاظت داده در حال حمل : داده ارسالی در يك شبكه می تواند در زمان حركت توسط مهاجمان شنود گردد . مهاجمان در اين رابطه از نرم افزارهائی موسوم به sniffer استفاده می نمايند كه امكان آناليز پروتكل و يا مانيتورينگ شبكه را در اختيار آنان قرار می دهد. برای حفاظت داده در زمان حركت در شبكه ، می توان از IPSec ( برگرفته از Internet Protocol Securityy ) استفاده نمود . در چنين مواردی ، سيستم ارسال كننده و سيستم دريافت كننده می بايست قادر به حمايت از ويژگی فوق باشند . از ويندوز 2000 به بعد ، امكانات لازم به منظور حمايت از IPSec در ساير نسخه ها تعبيه شده است .
ايمن سازی مبادله داده در محيط های wireless : داده ئی كه از طريق يك شبكه wireless ارسال می گردد ، دارای استعداد بيشتری به منظور بررسی و شنود توسط مهاجمان نسبت به ساير داده های ارسال شده بر روی يك شبكه اترنت است ، چراكه ضرورتی ندارد مهاجمان به محيط فيزيكی شبكه و يا دستگاه های مربوطه دستيابی داشته باشند . در صورت عدم پيكربندی صحيح و ايمن access point ، مهاجمان با استفاده از يك كامپيوتر قابل حمل كه دارای امكانات wireless است ، می توانند به داده ذخيره شده در شبكه دستيابی داشته باشد . كاربران می بايست صرفا" اقدام به ارسال و دريافت داده بر روی شبكه هائی نمايند كه از رمزنگاری WPA ( برگرفته از Wi-Fi Protected Access ) در مقابل WEP ( برگرفته از Wired Equivalent Protocol ) استفاده می نمايند ( WPA ، بمرابت دارای امنيت بيشتری نسبت به WEP است ) .
استفاده از مديريت حقوق به منظور حفظ كنترل : در برخی موارد ، لازم است كه داده برای ساير كاربران ارسال گردد ولی نگران نحوه برخورد آنان با داده ارسالی می باشيم ( مثلا" آيا آنان می توانند داده ارسالی را حذف و يا تغيير دهند ) . در چنين مواردی می توان از RMS ( برگرفته از Rights Management Servicess ) در ويندوز استفاده نمود . سيستم فوق ، مشخص می نمايد كه دريافت كننده پس از دريافت اطلاعات قادر به انجام چه كاری خواهد بود . به عنوان نمونه ، می توان حقوق مورد نظر را بگونه ای تنظيم نمود كه صرفا" دريافت كننده قادر به مطالعه فايل ارسالی باشد و نتواند در آن تغييراتی را اعمال نمايد . همچنين ، با استفاده از سيستم فوق می توان مدت زمان استفاده از مستندات و يا پيام ها را مشخص نمود . بدين ترتيب پس از گذشت مدت زمان مشخص شده ، اعتبار آنها به اتمام رسيده و عملا" امكان دستيابی و استفاده از آنها وجود نخواهد داشت .
برای استفاده از RMS ، به ويندوز 2003 كه به عنوان يك سرويس دهنده RMS پيكربندی شده است نياز می باشد . در چنين مواردی ، كاربران نيز به يك نرم افزار خاص و يا يك add-in همراه مرورگر نياز خواهند داشت تا بتوانند به مستندات حفاظت شده توسط RMS دستيابی داشته باشند . كاربران مجاز يك گواهينامه را از سرويس دهنده RMS دريافت می نمايند .