آموزش های اطلاعاتی و امنیتی - بررسی مفهوم امنیت اطلاعات به زبان ساده
با افزایش استفاده از سیستمها و شبکههای کامپیوتری، میزان مشکلاتی نظیر سرقت اطلاعات، نشت اطلاعات، هک شدن و جعل هویت آنلاین نیز افزایش یافته است.
با پیشرفت تکنولوژی، راههای دور زدن سیستمهای امنیتی و شکستن قفلهایی که برای حفاظت از اطلاعات تعبیه شدهاند نیز، با پیشرفت همراه بوده است.
هکرها با تکیه با دانش فنی بالای خود در زمینه امنیت شبکه و استفاده از ابزارهایی نظیر زبانهای برنامه نویسی مختلف، میتوانند به سامانهها، نرم افزارها و شبکههای کامپیوتری نفوذ کنند.
وسایلی که به اینترنت متصل میشوند نیز از نفوذ هکرها در امان نیستند. تقریباً تمامی وسایل هوشمند در معرض خطر هک شدن و نفوذ قرار دارند و باید تدابیر امنیتی مناسبی برای آنها در نظر گرفته شود.
نفوذ یک هکر به سیستمهای کامپیوتری میتواند با انگیزههای مختلفی صورت بگیرد. هکر کلاه سیاه به دنبال خرابکاری و سرقت اطلاعات، باج گیری و سایر اهداف شوم هستند.
هکرهای کلاه سفید اما با هدف پیدا کردن نقاط ضعف سیستم به آن نفوذ میکنند و در واقع برای رفع مشکلات امنیتی سامانهها استخدام شدهاند.
فارغ از ماهیت هکر و انگیزه او، همواره باید در طراحی سیستمهای نرم افزاری خود، مباحث امنیتی را جدی بگیرید.
حتی به عنوان یک کاربر عادی تکنولوژی نیز باید روشهایی را برای جلوگیری از سرقت اطلاعات مهم خود به کار ببرید.
امروزه بیشتر افراد از سیستم عاملهای مختلف، نرم افزارهای مختلف و دستگاههایی نظیر کامپیوتر و گوشی هوشمند استفاده میکنند.
استفاده از تمامی این دستگاهها و نرم افزارها باید با رعایت نکات امنیتی همراه باشد. همچنین با گسترش مبحث اینترنت اشیا، تعداد دستگاههای که قابلیت اتصال به اینترنت دارند و اصطلاحاً هوشمند شدهاند، افزایش یافته است.
امروز در منازل وسایلی نظیر یخچال هوشمند، چراغهای هوشمند، اسپیکر هوشمند و غیره وجود دارند که همگی به اینترنت متصل میشوند. بنابراین به صورت بالقوه امکان هک کردن آنها و به دست گرفتن کنترل این وسایل وجود دارد.
در این مطلب قصد داریم اطلاعاتی درباره امنیت سیستمهای کامپیوتری و جلوگیری از هک شدن را به شما ارائه دهیم.
در همین راستا با انواع خطراتی که شما را در این زمینه تهدید کرده و راههای پیشگیری از آنها آشنا خواهید شد.
امنیت سایبری چیست؟
امنیت سایبری با بکارگیری شیوههای مختلفی برای محافظت سرورها، گوشیهای هوشمند، سیستمهای کامپیوتری، شبکه و اطلاعات حساس در برابر دسترسی غیرمجاز تآمین میشود.
از امنیت سایبری با عنوان امنیت فناوری اطلاعات نیز یاد میشود.
انواع خطراتی که امنیت سایبری را تهدید میکنند
حملات سایبری میتواند توسط هکرهای مختلف و با انگیزههای متفاوت صورت بگیرد. گاهی هدف سرقت اطلاعات مهمی نظیر اطلاعات ورود به حساب کاربری است. گاهی نیز هکرها کنترل حساب یکی از اعضای سازمان را به دست گرفته و به وسیله او راهی برای سرقت دیتا و باج گیری پیدا میکنند.
مهمترین خطراتی که توسط هکرها متوجه امنیت سایبری است را در این قسمت مرور خواهیم کرد.
به کار گیری بدافزارها
بدافزار به برنامهای کامپیوتری گفته میشود که برای ایجاد اختلال در یک سیستم کامپیوتری برنامه ریزی شده است. از بدافزار میتوان برای سرقت اطلاعات مهم نیز استفاده کرد.
بدافزارها معمولاً از طریق سرویس ایمیل منتشر میشوند، به این صورت که به عنوان ضمیمه ایمیلهای آلوده برای کاربران فرستاده میشوند. اگر غقلت کنید و روی لینک آلوده کلیک کنید، بد افزار روی سیستم شما نصب و اجرا میشود.
دانلود نرم افزار از سایتهای غیرمعتبر نیز میتواند سیستم شما را به بدافزار آلوده کند. بد افزار همچنین میتواند از طریق یک فلش دیسک آلوده به سیستمهای کامپیوتری نفوذ کند.
تروجان (Trojan) یکی از پراستفادهترین بدافزارها است و معمولاً برای حذف یا سرقت اطلاعات استفاده میشود. عدم نصب نرم افزار از منابع ناشناس و همچنین توجه به پسوند فایل، به خصوص در سیستم عامل ویندوز میتواند به شما در جلوگیری از آلوده شدن به تروجان کمک کند.
فایلی با نام image.jpg در واقع میتواند یک فایل اجرایی با نام کامل image.ipg.exe باشد، بنابراین اگر به فایلی مشکوک هستید ابتدا پسوند آن را بررسی نمایید.
نوع دیگری از بدافزار، جاسوس افزار است که به طور خاص برای جاسوسی از شما توسعه داده شده است. در بهترین حالت از جاسوس افزار برای نمایش تبلیغاتی که مطابق با علایق شما باشد استفاده میشود اما در بدترین حالت از آن برای سرقت اطلاعات حساس، سرقت اسناد محرمانه سازمانی و یا سرقت پول استفاده میشود.
مهمترین عامل گسترش جاسوس افزار نیز از طریق لینکها و سایتهای آلوده است. جاسوس افزار میتواند فعالیتهای کاربر نظیر سایتهایی که بازدید کرده و پیامهایی که ارسال کرده را بررسی و ضبط کند.
حال که با بدافزار آشنا شدید، به مهم ترین نحوه پخش آن یعنی فیشینگ میپردازیم.
فیشینگ
فیشینگ تکنیکی است که در آن ابتدا ایمیل یا اس ام اسی به کاربر ارسال میشود. با باز کردن این لینک صفحهای آشنا برای کاربر باز خواهد شد. این صفحه میتواند ساختاری شبیه به سایتهای معروفی که کاربر قبلاً از آن استفاده کرده (مثلاً سایت یک فروشگاه آنلاین بسیار معروف) داشته باشد. به همین علت کاربر به سایت اطمینان کرده و اطلاعات حساس خود نظیر اطلاعات مربوط به کارت بانکی یا اطلاعات ورود به حساب خود را در آن صفحه وارد خواهد کرد.
حال این اطلاعات توسط هکر ذخیره شده و از آن برای ورود به حساب کاربری، برداشت پول و هر کار غیرقانونی دیگری استفاده خواهد کرد.
فیشینگ تنها یکی از راههای مهندسی اجتماعی در راستای سرقت و افشای اطلاعات است.
مهندسی اجتماعی
مهندسی اجتماعی عبارت است از استخراج اطلاعات مفید با استفاده از مطالعه رفتار اشخاص.
این تکنیک به صورت گسترده توسط هکرهای باتجربه استفاده میشود و در بسیاری از موارد، قربانی حتی متوجه نفوذ و هک شدن سیستم خود نمیشود.
نشت اطلاعات
نشت اطلاعات عبارت است از یک نقص امنیتی که به لو رفتن نا خواسته اطلاعات منجر میشود.
هزینه جبران خسارت ناشی از نشت اطلاعات بالاست، به خصوص برای کمپانیها. نشت اطلاعات میتواند به دلایل گوناگونی اتفاق بیفتد از جمله حمله هکر، خطای انسانی و یا نصب بدافزار.
زمانی که اطلاعات به دست هکر بیفتد، قبل از نابود کردن یا پخش عمومی آن، معمولاً درخواست باج میشود.
باج افزار
استفاده از باج افزار به شدت در دنیا گسترش پیدا کرده است.
باج افزاری نوعی بدافزار است که دسترسی کاربر را به حساب کاربری یا دستگاه او محدود کرده و در ازای پرداخت پول، حاضر است آن محدودیت را رفع کند. نحوه باج گیری میتواند متفاوت باشد، از قطع دسترسی تا تهدید به افشا کردن اسرار سازمان.
سازمانها بزرگترین اهداف باج افزارها محسوب میشوند.
حملات محروم سازی از سرویس
حمله محروم سازی از سرویس، حملهای است که مستقیماً زیرساختهای آی تی را در یک سازمان هدف قرار میدهد.
حمله محروم سازی از سرویس یا DDoS، باعث میشود تا کاربران نتوانند به سایتها یا سرویسها دسترسی داشته باشند و به نوعی از آنها محروم شوند.
این حملات منابع وب سرور را به خود مشغول میکنند تا دیگر وب سرویس قادر به ارائه خدمات به کاربران نباشد و در واقع منابعی برای این کار در اختیار خود نداشته باشد.
مهار کردن حمله DDoS کار دشواری است، چرا که ترافیک حمله از منابع مختلفی سرچشمه میگیرد. حمله معمولاً با فرستادن تعداد زیادی بستهی درخواستی به سرور وب یا ایمیل صورت میگیرد تا منابع سرور درگیر پاسخ دادن به این درخواستها و مدیریت آنها شود.
البته ارسال درخواستهای زیادی همیشه به عنوان تحت حمله قرار گرفتن نیست، بلکه ممکن است کاربران زیادی به صورت همزمان تمایل به استفاده از سایت یا سامانه را داشته باشند.
برای آشنایی بیشتر با این نوع از حملات، مقاله انواع حملات DoS در مجله فرادرس را مطالعه کنید.
حمله جستجوی فراگیر یا Brute Force
همواره به شما توصیه میشود که از رمزعبورهای پیچیده استفاده کنید. سایتها در هنگام ثبتنام از شما میخواهند تا رمز عبور انتخابی شما دارای حروف بزرگ و کوچک، ارقام و کاراکترهای خاص باشد.
دلیل این امر این است که اگر رمز عبور انتخابی شما ضعیف باشد، امنیت حساب کاربری و سایت را به خطر خواهید انداخت.
هکر با انجام یک حمله جستجوی فراگیر و استفاده از ابزارهای شکستن رمز عبور، میتواند ترکیبهای مختلف نام کاربری و رمزعبور را امتحان و در نهایت به نام کاربری و رمز عبور صحیح برسد.
مهم ترین راه پیشگیری از حمله جستجوی فراگیر، انتخاب یک رمز عبور قوی و غیر قابل حدس زدن است.
آشنایی با انواع روشهای هک میتواند به شما در تأمین امنیت سایبری کمک کند:
امنیت سایبری باید در چه حوزههایی مورد توجه قرار بگیرد؟
مهمترین حوزههایی که باید در آنها امنیت سایبری را مورد توجه قرار داد عبارتاند از:
امنیت شبکه
امنیت شبکه بر محافظت از شبکههای کامپیوتری تمرکز میکند. راهکارهایی اتخاذ میشود تا از نفوذ غیرمجاز به شبکه کامپیوتری جلوگیری شود.
در صورتی که یک بیگانه به شبکه کامپیوتری نفوذ کند، میتواند به راحتی بدافزارهای خود را در شبکه و سیستمها گسترش دهد.
به همین منظور باید از متخصصانی استفاده کنید که بتوانند تست نفوذ روی شبکه را انجام داده و از آسیبهای مطلع شوند.
برای آشنایی بیشتر با مبحث امنیت در شبکههای کامپیوتری و اینترنت، میتوانید صفحات زیر را در سایت فرادرس مشاهده کنید.
- آموزش امنیت در شبکه های کامپیوتری و اینترنت
- آموزش امنیت شبکه های بی سیم
- آموزش تست نفوذ در وب و راه های مقابله با آن
امنیت اپلیکیشن
این نوع از امنیت سایبری به طور خاص روی امنیت نرم افزارها و دستگاههای مختلف تمرکز دارد.
هکر با نفوذ به یک اپلیکیشن یا دستگاه، ممکن است بتواند در نهایت کنترل کل شبکه را نیز به دست بگیرد.
بنابراین امنیت وب اپلیکیشنها و اپلیکیشنها باید جدی گرفته شود.
امنیت اطلاعات
این نوع از امنیت، به طور ویژه روی دادهها متمرکز شده است. هدف این است که یکپارچگی دادهها حفظ شده و از نشت آنها جلوگیری شود.
اطلاعات و دادههای مربوط به یک سازمان و کارکنانش نباید به دست رقبا بیفتد، به همین علت تأمین امنیت اطلاعات اهمیت زیادی دارد.
در همین راستا میتوانید آموزش زیر را در فرادرس تهیه و مشاهده کنید:
امنیت سازوکارها
در یک سازمان، کارکنان زیادی با دادههای مختلف کار میکنند. چگونگی مدیریت این دادهها و این که هر کاربر به چه سطحی از اطلاعات دسترسی داشته باشد بسیار مهم است.
پایگاه دادهها باید به خوبی پیکربندی شده باشد و از نفوذ کاربران به سطوح غیرمجاز جلوگیری شود.
به همین منظور، باید از شیوههای مناسبی برای احراز هویت کاربران استفاده کرد. بنابراین مشخص خواهد شد که کدام کاربر در چه زمانی وارد سامانه شده و روی فایلها چه تغییراتی را اعمال کرده است.
به اشتراکگذاری دادهها نیز باید در یک بستر خاص باشد و سازوکار آن از قبل مشخص شده باشد.
امنیت سرویسهای ابری
ابر اطلاعاتی را در خود ذخیره میکند که میتوان به آنها از هر جای دنیا دسترسی پیدا کرد.
البته این دسترسی هم باید تنها توسط افراد مجاز صورت بگیرد. استفاده از روشهایی مانند ورود دو مرحلهای و نیز انتخاب رمز عبور قوی، میتواند از دسترسی افراد بیگانه به سرویس ابری جلوگیری کند.
امنیت دستگاههای قابل حمل
به امنیت دستگاههای قابل حمل باید توجه ویژهای کرد، چرا که ممکن است شخصی بیرون از سازمان به دستگاه شما دسترسی پیدا کند.
بنابراین باید تا جایی که ممکن است از ذخیره اطلاعات حساس روی دستگاههای قابل حمل پرهیز کنید.
همچنین همواره از روشهایی مانند انتخاب رمز عبور قوی، تشخیص چهره یا اثر انگشت برای محافظت از دستگاههای قابل حمل استفاده کنید.
همواره از فایلهای موجود در دستگاههای قابل حمل پشتیبان تهیه کنید.
آموزش نکات امنیتی به کاربران
هرچقدر هم که از روشهای مختلفی برای تأمین امنیت سایبری استفاده کنید، باز هم باید آموزش و آگاه سازی کاربران را در نظر بگیرید.
گاهی هکرها با استفاده از شیوههایی میتوانند کاربران را فریب داده و اطلاعاتی نظیر رمزعبور را از آنان دریافت کنند.
بنابراین مهم است که به کاربران و کارمندان خود آموزشهایی در این زمینه ارائه کنید. کاربران باید همواره نرم افزارها را از منابع امن دانلود و نصب کنند و همچنین از کلیک کردن روی لینکهای ناشناس پرهیز کنند.
- آموزش محافظت از اطلاعات شخصی در ویندوز و اینترنت (رایگان)
- راهنمای جامع بهبود امنیت آنلاین و حفاظت از حریم خصوصی
استفاده از سیستمهای تشخیص نفوذ
در نهایت از بکارگیری سیستمهای تشخیص نفوذ و تشخیص بدافزار غافل نشوید.
این سیستمها میتوانند نفوذ غیرمجاز و فعالیتهای مخرب را در شبکه و سیستمهای کامپیوتری تشخیص دهند. پس از تشخیص، اعلانی برای تیم پشتیبان یا تیم آی تی فرستاده میشود تا آنان اقدامات لازم را برای جلوگیری از پیشروی هکر انجام دهند.
راههای تأمین امنیت سایبری
راههایی وجود دارد تا از خودمان در برابر هکرها و مهاجمان سایبری محافظت کنیم.
محافظت از کامپیوترها و لپتاپها
اطمینان از به روز بودن نرم افزارها و سیستم عامل:
نرم افزارهایی که از اینترنت استفاده میکنند نظیر مرورگر، پخش کننده موسیقی، برنامه مدیریت ایمیل و غیره باید به طور منظم بروزرسانی شوند.
نصب نرم افزارهای آنتی ویروس:
بهتر است از یک آنتی ویروس عرضه شده توسط یک شرکت معتبر برای محافظت از دستگاه خود استفاده کنید.
زمانی که از اینترنت استفاده نمیکنید، اتصال به آن را قطع کنید:
اتصالاتی نظیر وای فای و بلوتوث را زمانی که به آنها نیازی ندارید قطع کنید.
محافظت از گوشی هوشمند
استفاده از رمز عبور قوی:
اگر شخصی به گوشی شما دسترسی پیدا کند، داشتن رمز عبور قوی احتمالاً سد محکمی در برابر ورود او به گوشی و دسترسی به فایلها خواهد بود.
نصب اپلیکیشنها از منابع قابل اطمینان:
سعی کنید تنها از بازارچههای قابل اطمینانی که برای دانلود و نصب اپلیکیشن وجود دارند استفاده کنید. اپلیکیشنها را از شبکههای اجتماعی و سایتهای مختلف دانلود و نصب نکنید.
به روز نگه داشتن اپلیکیشنها:
توسعه دهندگان اپلیکیشن، به طور منظم بروزرسانیهایی برای اپلیکیشن خود منتشر میکنند که شامل وصلههای امنیتی نیز است. بنابراین همواره اپلیکیشنهای مهمی نظیر مرورگر یا اپلیکیشنهای بانکی را بروز نگه دارید.
محافظت از حسابهای کاربری آنلاین
پاک کردن ایمیلهای مشکوک:
اگر ایمیلی دریافت کردهاید که احساس میکنید حاوی لینکهای مشکوک است، به هیچ وجه روی آن لینکها کلیک نکنید. بهترین راه این است که ایمیلهای مشکوک را پاک کنید. محتویات ضمیمه شده به این ایمیلها را نیز دانلود نکنید.
استفاده از دستگاه امن برای ورود به حسابهای حساس:
تا جایی که ممکن است از دستگاههای شخصی برای ورود به حسابهای حساس استفاده کنید.
سعی کنید از کامپیوترهای اشتراکی که در مکانهای عمومی موجود هستند، برای ورود به حسابهای آنلاین خود استفاده نکنید. اگر هم مجبور به این کار شدید، مراقب باشد تا رمز عبور شما در مرورگر این کامپیوترها ذخیره نشود و تاریخچه وبگردی خود را نیز پاک کنید.
استفاده از رمز عبور قوی:
برای حسابهای خود از رمزعبور پیچیده و غیر قابل حدس استفاده کنید. برنامههای مدیریت رمز عبور به شما برای تولید رمزعبورهای پیچیده کمک میکنند.
استفاده از احراز هویت چند عاملی:
اتکا کردن به رمز عبور برای ورود به حسابهای حساس، کار چندان عاقلانهای نیست. بهتر است از ورود چند عاملی یا چند مرحلهای استفاده کنید.
بدین وسیله، علاوه بر رمز عبور از روشهای دیگری مانند ارسال کد یک بار مصرف به شماره همراه یا تولید رمز عبور موقت با استفاده از اپلیکیشن و همچنین احراز هویت بیومتریک برای ورود به حساب استفاده خواهد شد.
در صورت هک شدن، چه اقداماتی را انجام دهیم؟
اگر دستگاه یا حساب کاربری شما هک شد، اقدامات زیر را انجام دهید:
· اتصال اینترنت را قطع کرده و دستگاه یا حساب خود را توسط یک متخصص مورد بررسی قرار دهید.
· پس از رفع خطر و پاک کردن ویروسها و بدافزارها، تمامی رمزهای عبور خود را تغییر دهید.
· حسابهای مالی خود را به منظور یافتن تراکنشهای مشکوک بررسی کنید.
· در زمان مناسب، به دوستان و خانواده خود هشدارهای لازم را برای حفاظت از دستگاهها و حسابهای کاربری شان بدهید.
· مراقب پیامهایی که از سمت دوستان خود دریافت میکنید باشید. چرا که ممکن است علاوه بر حساب شما، حساب دوست شما نیز هک شده باشد و در واقع هکر خود را به جای دوست شما جا زده باشد.
سخن پایانی درباره تأمین امنیت سایبری
امنیت سایبری مبحثی است که باید در دنیای امروز بسیار جدی گرفته شود.
آشنایی با روشهایی که هکرها به کار میگیرند و همچنین روشهای مقابله با نفوذ اهمیت زیادی دارد.
برای آشنایی با این روشها ابتدا باید بر نحوه عملکرد سیستمها و شبکههای کامپیوتری مسلط شوید. پس از آن میتوانید راههای تأمین امنیت شبکه را بیاموزید.
در این راستا به شما توصیه میکنیم از آموزشهای فرادرس در زمینه شبکه و تأمین امنیت آن استفاده کنید. در این سایت که بزرگترین منبع ویدیوهای آموزشی در زمینه برنامه نویسی و شبکه محسوب میشود، دورههای آموزشی فوقالعادهای برای شما قرار داده شده است.
مطلبی دیگر از این انتشارات
نکات مهم برای تبدیل شدن به برنامه نویس اندروید
مطلبی دیگر از این انتشارات
آموزش سی شارپ مقدماتی (بخش دوم - ایجاد پروژه ی Console):
مطلبی دیگر از این انتشارات
اصول برنامه نویسی شی گرا