رفتن به محتوای اصلی
تاریخ بروز رسانی: ۲۰۱۷-۰۹-۲۱

بیانیه امنیت

بیانه امنیت اطلاعات تارنمای اداره کل امور عشایر آذربایجان شرقی

 

Information Security Policy

 

اگر بخواهیم هدف اصلی یک بیانه یا Policy در حوزه امنیت اطلاعات را بصورت خلاصه بیان کنیم موارد زیر قابل ذکر هستند :

  1. مشخص کردن و طرح ریزی یک روش مدیریت و نگهداری درست و منظم برای امنیت شبکه
  2. حفاظت و برقراری امنیت منابع اطلاعاتی و محاسباتی سازمان
  3. رفع مشکلات ناشی از نقض قوانین و مسئولیت های کارکنان و شرکت ها و افراد همکار
  4. جلوگیری از هدر رفتن منابع اطلاعاتی و محاسبانی سازمان و اطمینان از صحت و تمامیت اطلاعات
  5. جلوگیری از دسترسی و اعمال تغییرات غیرمجاز بر روی داده های سازمانی
  6. کاهش دادن ریسک ناشی از استفاده غیرقانونی از اطلاعات و منابع و جلوگیری از از بین رفتن داده های حساس و حیاتی
  7. تشخیص و تعریف دقیق سطوح دسترسی کاربران
  8. حفاظت از دارایی های اطلاعاتی محرمانه سازمان در برابر سرقت ، خرابی و افشاء ITPRO باشید
  9. نقش مرورگرهای وب در امنیت و حریم خصوصی
    مرورگر وب (Web Browser)، ابزاری برای کاربران به‌منظور مشاهده صفحات اینترنتی و استفاده از خدمات تحت وب‌ است. به بیانی دیگر، مرورگر وب پنجره‌ای است که کاربر از درون آن، فضای وب را مشاهده می‌کند! تمامی اطلاعاتی که در هنگام کار با وب‌گاه‌های مختلف از سوی کاربر ارسال می‌شود، از درگاه مرورگر عبور کرده و هر داده‌ای که از فضای وب به سمت کاربر روانه شود (سالم یا ناسالم)، ابتدا به دست مرورگر می‌رسد و توسط آن پردازش می‌شود. لذا شایسته است تا کاربران از نقش مهم مرورگرهای وب در امنیت و حریم خصوصی خود در هنگام استفاده از انواع وب‌گاه‌ها اعم از شبکه‌های اجتماعی، آگاهی یابند.

 


۱.    امنیت نرم‌افزار مرورگر

زمانی که شما با آسودگی در حال مرور صفحات وب هستید، مرورگر وب شما با انبوهی از داده‌ها مواجه می‌شود که برخی از آن‌ها ممکن است آلوده به محتوای مخبر نظیر انواع بدافزار نیز باشند. بنابراین یک

مرورگر وب مناسب و امن، باید به‌گونه‌ای تولید شده باشد که کمترین آسیب‌پذیری نرم‌افزاری را داشته باشد. درغیراین‌صورت، ممکن است برخی از وب‌گاه‌ها، با آگاهی از وجود این آسیب‌پذیری‌ها در نرم‌افزار مرورگر، شما را هدف حملات امنیتی قرار داده و بتوانند به رایانه یا دستگاه شما نفوذ کرده و اطلاعات محرمانه شما را به سرقت برند.
راه‌کار جلوگیری از بروز این حالات، آن است که در زمان انتخاب مرورگر وب، از گزینه‌های متفرقه‌ای که توسط توسعه‌دهندگان ناشناس تولید شده‌اند و هیچ نهاد امنیتی یا شرکت نرم‌افزاری معتبری امنیت آن‌ها را تایید نکرده است، اجتناب نموده و در مقابل، از نمونه‌های معتبر و نام‌آشنایی استفاده کنید که سازنده آن‌ها مورد تایید عموم است. همچنین در زمان استفاده از مرورگر، توجه ویژه‌ای به نصب به‌روزرسانی‌های امنیتی (هم برای خود مرورگر و هم برای افزونه‌های اضافه‌شده توسط کاربر) که توسط سازنده پیشنهاد می‌شود، داشته باشید. در مورد انتخاب صحیح مرورگر در آگاهی‌رسان‌های آتی توضیحات بیشتری ارائه خواهد شد.

۲.    مدیریت صحیح کوکی‌ها
کوکی، سازوکاری شناخته‌شده و پراستفاده در ارتباطات وب است که برای تبادل اطلاعات میان کاربران و کارگزاران استفاده می‌شود؛ اطلاعاتی که در احراز هویت، اعمال تنظیمات و ارائه خدمات به صورت شخصی‌سازی‌شده برای کاربر نقش دارند.

کوکی‌ها از دو جهت حائز اهمیت ویژه هستند. یکی آن‌که اکثر قریب به اتفاق وب‌گاه‌های حال حاضر، از آن‌ها برای تبادل شناسه نشست کاربر استفاده می‌کنند؛ به این معنی که در صورت افشای کوکی‌های ذخیره‌شده در مرورگر شما برای یک مهاجم، وی می‌تواند از آن‌ها استفاده کرده و به جای شما وارد

وب‌گاه‌هایی شود که شما پیش‌تر وارد آن‌ها شده‌اید. دلیل دوم اهمیت کوکی‌ها در حوزه امنیت و حریم خصوصی، امکان ردیابی عملکرد کاربر در میان وب‌گاه‌های مختلف توسط کوکی‌های شخص سوم است. در صورتی که مرورگر، امکانات لازم برای کنترل نحوه ارسال و دریافت کوکی‌ها را در اختیار کاربر قرار داده باشد، کاربر می‌تواند حریم خصوصی خود را کنترل کند، کوکی‌های به‌جامانده از وب‌گاه‌ها را حذف کرده و ردپای فعالیت‌های خود را پاک کند و حتی در صورت تمایل، اجازه ردیابی خود را به وب‌گاه‌های مختلف ندهد.

۳.    رعایت امنیت در اجرای اسکریپت‌ها
امروزه صفحات وب در کنار محتوای متنی، دارای مجموعه وسیعی از داده‌های چندرسانه‌ای نیز هستند؛ مانند تصویر، فیلم و صدا. برای افزودن رفتار و امکان پیاده‌سازی فرآیندهای پردازشی در سمت کاربر، استفاده از اسکریپت‌های مختلف هم در وب‌گاه‌های امروزی مرسوم است. مهم‌ترین و رایج‌ترین نمونه این پدیده، استفاده از کدهای جاوا اسکریپت است. این کدها پس از دریافت از وب‌گاه، توسط مؤلفه‌های مخصوص که در داخل مرورگر قرار گرفته‌اند و یا به صورت افزونه به آن ملحق شده‌اند، پردازش و اجرا می‌شوند.

طبیعتا اجرای کدی که از فضای ناامن اینترنت آمده است، می‌تواند خطرات زیادی به همراه داشته باشد؛ نظیر سرقت اطلاعات حساس کاربر و ارسال آن‌ها برای دیگران، تخریب فایل‌ها، نصب بدافزار بر روی دستگاه کاربر و غیره. اما جلوگیری از این تهدیدات ساده است؛ کافی است مرورگرهای وب در حین اجرای اسکریپت‌های موجود در صفحات وب، اصول امنیتی را در نظر داشته و اجازه دسترسی بیش از اندازه را به این کدها ندهند. محدوده دسترسی‌های امن برای این اسکریپت‌ها، امری است که به صورت پیوسته در حال مطالعه و بررسی متخصصین حوزه امنیت است و به همین سبب، مرورگرهای وب باید همواره در حال به‌روزرسانی خود در زمینه اجرای امن و درعین‌حال، سودمند اسکریپت‌ها باشند.

۳.    رعایت امنیت در اجرای اسکریپت‌ها
امروزه صفحات وب در کنار محتوای متنی، دارای مجموعه وسیعی از داده‌های چندرسانه‌ای نیز هستند؛ مانند تصویر، فیلم و صدا. برای افزودن رفتار و امکان پیاده‌سازی فرآیندهای پردازشی در سمت کاربر، استفاده از اسکریپت‌های مختلف هم در وب‌گاه‌های امروزی مرسوم است. مهم‌ترین و رایج‌ترین نمونه این پدیده، استفاده از کدهای جاوا اسکریپت است. این کدها پس از دریافت از وب‌گاه، توسط مؤلفه‌های مخصوص که در داخل مرورگر قرار گرفته‌اند و یا به صورت افزونه به آن ملحق شده‌اند، پردازش و اجرا می‌شوند.

طبیعتا اجرای کدی که از فضای ناامن اینترنت آمده است، می‌تواند خطرات زیادی به همراه داشته باشد؛ نظیر سرقت اطلاعات حساس کاربر و ارسال آن‌ها برای دیگران، تخریب فایل‌ها، نصب بدافزار بر روی دستگاه کاربر و غیره. اما جلوگیری از این تهدیدات ساده است؛ کافی است مرورگرهای وب در حین اجرای اسکریپت‌های موجود در صفحات وب، اصول امنیتی را در نظر داشته و اجازه دسترسی بیش از اندازه را به این کدها ندهند. محدوده دسترسی‌های امن برای این اسکریپت‌ها، امری است که به صورت پیوسته در حال مطالعه و بررسی متخصصین حوزه امنیت است و به همین سبب، مرورگرهای وب باید همواره در حال به‌روزرسانی خود در زمینه اجرای امن و درعین‌حال، سودمند اسکریپت‌ها باشند.

۴.    نصب، مدیریت و استفاده امن از افزونه‌ها

افزونه‌ها، نرم‌افزارهای کوچکی هستند که به یک نرم‌افزار بزرگ‌تر الصاق شده و خدمات جانبی و مکملی را به آن اضافه می‌کنند. مرورگرهای وب، یکی از مهم‌ترین نمونه‌های نرم‌افزارهایی هستند که برای آن‌ها افزونه ساخته می‌شوند. افزونه‌های بسیار زیادی برای هر مرورگر وب ساخته شده‌اند. روشی که مرورگر اتخاذ کرده است تا افزونه‌ها را به خود الصاق کرده و به آن‌ها اجازه دسترسی به اطلاعات کاربر و اجرای کدهای خود را می‌دهد، بسیار بر روی امنیت و حریم خصوصی کاربر تاثیرگذار است. اگر یک مرورگر وب، دسترسی‌های بیش‌ازحد به افزونه‌های خود داده و یا به هر افزونه‌ای (بدون بررسی اعتبار تولیدکننده آن و یا اعلام به کاربر) اجازه الصاق به خود را بدهد، می‌تواند کاربر را در معرض خطر ابتلا به افزونه‌های مخرب نماید. مدیریت افزونه‌ها نیز، یکی از موضوعاتی است که در آگاهی‌رسان‌های آتی به آن خواهیم پرداخت.


۵.    جلوگیری از نمایش پنجره‌های بالاپر (Pop-Ups)

صفحات وب می‌توانند پیوندهایی به صفحات دیگر داشته باشند و این اساس ارتباط میان صفحات و تشکیل وب است. اما برخی از صفحات هستند که رفتار نامتعارفی دارند؛ به این صورت که هم‌زمان با صفحات دیگر یا پس از هر کلیک کاربر، پنجره‌ای جدید باز کرده و به کاربر نمایش می‌دهند. به این پنجره‌ها، بالاپر (Pop-Up) گفته می‌شود. ممکن است برخی از پنجره‌های بالاپر، توسط خود وب‌گاه طراحی شده و به‌منظور ارائه خدمات به کاربر مورد استفاده قرار گیرند؛ اما اکثر این پنجره‌ها، تنها به‌منظور ارائه تبلیغات به کاربران و حتی گاهی با هدف طعمه‌گذاری برای حملات صیادی ساخته شده‌اند. به بیانی دیگر، محتوای این پنجره‌های بالاپر، مشابه محتوای هرزنامه‌ها است که در آگاهی‌رسان «مهندسی اجتماعی (۴): هرزنامه‌های اجتماعی» به آن اشاره شد. همان‌طور که کارگزاران رایانامه و شبکه‌های اجتماعی، پیام‌هایی که به عنوان هرزنامه تشخیص می‌دهند را از معرض دید کاربر کنار گذاشته و به وی هشدار می‌دهند تا از مشاهده آن‌ها پرهیز کند، مرورگرهای وب نیز می‌توانند از نمایش پنجره‌های بالاپر مزاحم جلوگیری کرده و به کاربر هشدار دهند تا از مشاهده این پنجره‌ها خودداری نماید. مرورگری که این امکان را فراهم نکرده باشد و مدام پنجره‌های بالاپر را نمایش دهد، کاربر را در معرض مواجهه با هرزنامه‌ها و به‌خصوص، حملات صیادی می‌کند.


۷.    ذخیره‌سازی و مدیریت امن گذرواژه‌های کاربر

Image removed.

همان‌طور که در آگاهی‌رسان «گذرواژه و سوالات امنیتی در شبکه‌های اجتماعی» مطرح شد، کاربران باید از امنیت گذرواژه‌های خود که در نرم‌افزارهای مدیریت گذرواژه ثبت شده‌اند، اطمینان داشته باشند. یکی از ابزارهایی که گذرواژه کاربران را ذخیره‌سازی می‌کند، مرورگر وب است. بسیاری از مرورگرها این امکان را برای کاربران فراهم کرده‌اند تا نام کاربری و گذرواژه خود در وب‌گاه‌های مختلف را در داخل مرورگر ذخیره کنند تا در زمان مراجعه مجدد، مجبور به ورود دوباره این اطلاعات نباشند. با توجه به این زیرساخت و در نظر گرفتن این موضوع که مرورگر‌های امروزی گذرواژه‌های کاربران را عمدتا بدون رمزنگاری ذخیره می‌کنند، درمی‌یابیم که چه خطری متوجه کاربر است، اگر مرورگر وب گذرواژه‌های کاربر را به درستی مدیریت نکرده باشد. مرورگر وب باید این امکان را فراهم کند تا کاربر به تشخیص خود، تصمیم بگیرد که کدام گذرواژه‌ها ذخیره‌سازی بشوند، کدام‌یک نشوند و در ضمن، گذرواژه‌هایی که پیش‌تر ذخیره‌سازی کرده را حذف نماید.


۶.    رعایت حریم خصوصی اطلاعات زمینه‌ای

مرورگر وب هم مانند تمام نرم‌افزارهای دیگر، می‌تواند به برخی از منابع سخت‌افزاری و اطلاعات نرم‌افزاری موجود دسترسی داشته باشد، آن‌ها را پردازش کرده و مورد استفاده قرار دهد. با توجه به گسترش روزافزون استفاده از نرم‌افزارهای تحت وب، وب‌گاه‌های امروزی با استفاده از افزونه‌ها و روش‌های مرسوم، می‌توانند از مرورگرهای وب درخواست کنند تا اطلاعات زمینه‌ای کاربر (نظیر موقعیت مکانی) را برای آن‌ها ارسال کرده و یا برخی سخت‌افزارها (نظیر بلوتوث یا دوربین عکاسی) را راه‌اندازی کند. برای مثال، یک وب‌گاه گفتگوی تصویری به مرورگر وب اعلام می‌کند که دوربین جلوی دستگاه (تلفن همراه، تبلت یا لپ‌تاپ) را روشن کرده و تصویر کاربر را ارسال نماید. هرچند اکثر این فعالیت‌ها با هدف ارائه خدمات به کاربران انجام می‌شود؛ اما می‌توان سناریوهایی را متصور شد که در آن‌ها، یک وب‌گاه اقداماتی خصمانه مرتکب شده و با اهداف سوء، نظیر سرقت اطلاعات زمینه‌ای کاربر و نقض حریم خصوصی وی، درخواست‌هایی از مرورگر وب داشته باشد.
مرورگرهای وب امن و قابل اعتماد، باید این امکان را داشته باشند تا کاربر را در جریان این موضوع قرار دهند که اطلاعات زمینه‌ای وی در حال تبادل است، سخت‌افزارهای موجود بر روی دستگاه در حال استفاده هستند و مهم‌تر از همه، در صورت عدم تمایل کاربر به اعطای این دسترسی‌ها، این امکان را برای وی فراهم کنند تا به مرورگر اعلام کند که اطلاعات زمینه‌ای و دسترسی به سخت‌افزارها را در اختیار وب‌گاه‌ها نگذارد.

.