بیانه امنیت اطلاعات تارنمای اداره کل امور عشایر آذربایجان شرقی
Information Security Policy
اگر بخواهیم هدف اصلی یک بیانه یا Policy در حوزه امنیت اطلاعات را بصورت خلاصه بیان کنیم موارد زیر قابل ذکر هستند :
- مشخص کردن و طرح ریزی یک روش مدیریت و نگهداری درست و منظم برای امنیت شبکه
- حفاظت و برقراری امنیت منابع اطلاعاتی و محاسباتی سازمان
- رفع مشکلات ناشی از نقض قوانین و مسئولیت های کارکنان و شرکت ها و افراد همکار
- جلوگیری از هدر رفتن منابع اطلاعاتی و محاسبانی سازمان و اطمینان از صحت و تمامیت اطلاعات
- جلوگیری از دسترسی و اعمال تغییرات غیرمجاز بر روی داده های سازمانی
- کاهش دادن ریسک ناشی از استفاده غیرقانونی از اطلاعات و منابع و جلوگیری از از بین رفتن داده های حساس و حیاتی
- تشخیص و تعریف دقیق سطوح دسترسی کاربران
- حفاظت از دارایی های اطلاعاتی محرمانه سازمان در برابر سرقت ، خرابی و افشاء ITPRO باشید
- نقش مرورگرهای وب در امنیت و حریم خصوصی
مرورگر وب (Web Browser)، ابزاری برای کاربران بهمنظور مشاهده صفحات اینترنتی و استفاده از خدمات تحت وب است. به بیانی دیگر، مرورگر وب پنجرهای است که کاربر از درون آن، فضای وب را مشاهده میکند! تمامی اطلاعاتی که در هنگام کار با وبگاههای مختلف از سوی کاربر ارسال میشود، از درگاه مرورگر عبور کرده و هر دادهای که از فضای وب به سمت کاربر روانه شود (سالم یا ناسالم)، ابتدا به دست مرورگر میرسد و توسط آن پردازش میشود. لذا شایسته است تا کاربران از نقش مهم مرورگرهای وب در امنیت و حریم خصوصی خود در هنگام استفاده از انواع وبگاهها اعم از شبکههای اجتماعی، آگاهی یابند.
1. امنیت نرمافزار مرورگر
زمانی که شما با آسودگی در حال مرور صفحات وب هستید، مرورگر وب شما با انبوهی از دادهها مواجه میشود که برخی از آنها ممکن است آلوده به محتوای مخبر نظیر انواع بدافزار نیز باشند. بنابراین یک
مرورگر وب مناسب و امن، باید بهگونهای تولید شده باشد که کمترین آسیبپذیری نرمافزاری را داشته باشد. درغیراینصورت، ممکن است برخی از وبگاهها، با آگاهی از وجود این آسیبپذیریها در نرمافزار مرورگر، شما را هدف حملات امنیتی قرار داده و بتوانند به رایانه یا دستگاه شما نفوذ کرده و اطلاعات محرمانه شما را به سرقت برند.
راهکار جلوگیری از بروز این حالات، آن است که در زمان انتخاب مرورگر وب، از گزینههای متفرقهای که توسط توسعهدهندگان ناشناس تولید شدهاند و هیچ نهاد امنیتی یا شرکت نرمافزاری معتبری امنیت آنها را تایید نکرده است، اجتناب نموده و در مقابل، از نمونههای معتبر و نامآشنایی استفاده کنید که سازنده آنها مورد تایید عموم است. همچنین در زمان استفاده از مرورگر، توجه ویژهای به نصب بهروزرسانیهای امنیتی (هم برای خود مرورگر و هم برای افزونههای اضافهشده توسط کاربر) که توسط سازنده پیشنهاد میشود، داشته باشید. در مورد انتخاب صحیح مرورگر در آگاهیرسانهای آتی توضیحات بیشتری ارائه خواهد شد.
2. مدیریت صحیح کوکیها
کوکی، سازوکاری شناختهشده و پراستفاده در ارتباطات وب است که برای تبادل اطلاعات میان کاربران و کارگزاران استفاده میشود؛ اطلاعاتی که در احراز هویت، اعمال تنظیمات و ارائه خدمات به صورت شخصیسازیشده برای کاربر نقش دارند.
کوکیها از دو جهت حائز اهمیت ویژه هستند. یکی آنکه اکثر قریب به اتفاق وبگاههای حال حاضر، از آنها برای تبادل شناسه نشست کاربر استفاده میکنند؛ به این معنی که در صورت افشای کوکیهای ذخیرهشده در مرورگر شما برای یک مهاجم، وی میتواند از آنها استفاده کرده و به جای شما وارد
وبگاههایی شود که شما پیشتر وارد آنها شدهاید. دلیل دوم اهمیت کوکیها در حوزه امنیت و حریم خصوصی، امکان ردیابی عملکرد کاربر در میان وبگاههای مختلف توسط کوکیهای شخص سوم است. در صورتی که مرورگر، امکانات لازم برای کنترل نحوه ارسال و دریافت کوکیها را در اختیار کاربر قرار داده باشد، کاربر میتواند حریم خصوصی خود را کنترل کند، کوکیهای بهجامانده از وبگاهها را حذف کرده و ردپای فعالیتهای خود را پاک کند و حتی در صورت تمایل، اجازه ردیابی خود را به وبگاههای مختلف ندهد.
3. رعایت امنیت در اجرای اسکریپتها
امروزه صفحات وب در کنار محتوای متنی، دارای مجموعه وسیعی از دادههای چندرسانهای نیز هستند؛ مانند تصویر، فیلم و صدا. برای افزودن رفتار و امکان پیادهسازی فرآیندهای پردازشی در سمت کاربر، استفاده از اسکریپتهای مختلف هم در وبگاههای امروزی مرسوم است. مهمترین و رایجترین نمونه این پدیده، استفاده از کدهای جاوا اسکریپت است. این کدها پس از دریافت از وبگاه، توسط مؤلفههای مخصوص که در داخل مرورگر قرار گرفتهاند و یا به صورت افزونه به آن ملحق شدهاند، پردازش و اجرا میشوند.
طبیعتا اجرای کدی که از فضای ناامن اینترنت آمده است، میتواند خطرات زیادی به همراه داشته باشد؛ نظیر سرقت اطلاعات حساس کاربر و ارسال آنها برای دیگران، تخریب فایلها، نصب بدافزار بر روی دستگاه کاربر و غیره. اما جلوگیری از این تهدیدات ساده است؛ کافی است مرورگرهای وب در حین اجرای اسکریپتهای موجود در صفحات وب، اصول امنیتی را در نظر داشته و اجازه دسترسی بیش از اندازه را به این کدها ندهند. محدوده دسترسیهای امن برای این اسکریپتها، امری است که به صورت پیوسته در حال مطالعه و بررسی متخصصین حوزه امنیت است و به همین سبب، مرورگرهای وب باید همواره در حال بهروزرسانی خود در زمینه اجرای امن و درعینحال، سودمند اسکریپتها باشند.
3. رعایت امنیت در اجرای اسکریپتها
امروزه صفحات وب در کنار محتوای متنی، دارای مجموعه وسیعی از دادههای چندرسانهای نیز هستند؛ مانند تصویر، فیلم و صدا. برای افزودن رفتار و امکان پیادهسازی فرآیندهای پردازشی در سمت کاربر، استفاده از اسکریپتهای مختلف هم در وبگاههای امروزی مرسوم است. مهمترین و رایجترین نمونه این پدیده، استفاده از کدهای جاوا اسکریپت است. این کدها پس از دریافت از وبگاه، توسط مؤلفههای مخصوص که در داخل مرورگر قرار گرفتهاند و یا به صورت افزونه به آن ملحق شدهاند، پردازش و اجرا میشوند.
طبیعتا اجرای کدی که از فضای ناامن اینترنت آمده است، میتواند خطرات زیادی به همراه داشته باشد؛ نظیر سرقت اطلاعات حساس کاربر و ارسال آنها برای دیگران، تخریب فایلها، نصب بدافزار بر روی دستگاه کاربر و غیره. اما جلوگیری از این تهدیدات ساده است؛ کافی است مرورگرهای وب در حین اجرای اسکریپتهای موجود در صفحات وب، اصول امنیتی را در نظر داشته و اجازه دسترسی بیش از اندازه را به این کدها ندهند. محدوده دسترسیهای امن برای این اسکریپتها، امری است که به صورت پیوسته در حال مطالعه و بررسی متخصصین حوزه امنیت است و به همین سبب، مرورگرهای وب باید همواره در حال بهروزرسانی خود در زمینه اجرای امن و درعینحال، سودمند اسکریپتها باشند.
4. نصب، مدیریت و استفاده امن از افزونهها
افزونهها، نرمافزارهای کوچکی هستند که به یک نرمافزار بزرگتر الصاق شده و خدمات جانبی و مکملی را به آن اضافه میکنند. مرورگرهای وب، یکی از مهمترین نمونههای نرمافزارهایی هستند که برای آنها افزونه ساخته میشوند. افزونههای بسیار زیادی برای هر مرورگر وب ساخته شدهاند. روشی که مرورگر اتخاذ کرده است تا افزونهها را به خود الصاق کرده و به آنها اجازه دسترسی به اطلاعات کاربر و اجرای کدهای خود را میدهد، بسیار بر روی امنیت و حریم خصوصی کاربر تاثیرگذار است. اگر یک مرورگر وب، دسترسیهای بیشازحد به افزونههای خود داده و یا به هر افزونهای (بدون بررسی اعتبار تولیدکننده آن و یا اعلام به کاربر) اجازه الصاق به خود را بدهد، میتواند کاربر را در معرض خطر ابتلا به افزونههای مخرب نماید. مدیریت افزونهها نیز، یکی از موضوعاتی است که در آگاهیرسانهای آتی به آن خواهیم پرداخت.
5. جلوگیری از نمایش پنجرههای بالاپر (Pop-Ups)
صفحات وب میتوانند پیوندهایی به صفحات دیگر داشته باشند و این اساس ارتباط میان صفحات و تشکیل وب است. اما برخی از صفحات هستند که رفتار نامتعارفی دارند؛ به این صورت که همزمان با صفحات دیگر یا پس از هر کلیک کاربر، پنجرهای جدید باز کرده و به کاربر نمایش میدهند. به این پنجرهها، بالاپر (Pop-Up) گفته میشود. ممکن است برخی از پنجرههای بالاپر، توسط خود وبگاه طراحی شده و بهمنظور ارائه خدمات به کاربر مورد استفاده قرار گیرند؛ اما اکثر این پنجرهها، تنها بهمنظور ارائه تبلیغات به کاربران و حتی گاهی با هدف طعمهگذاری برای حملات صیادی ساخته شدهاند. به بیانی دیگر، محتوای این پنجرههای بالاپر، مشابه محتوای هرزنامهها است که در آگاهیرسان «مهندسی اجتماعی (۴): هرزنامههای اجتماعی» به آن اشاره شد. همانطور که کارگزاران رایانامه و شبکههای اجتماعی، پیامهایی که به عنوان هرزنامه تشخیص میدهند را از معرض دید کاربر کنار گذاشته و به وی هشدار میدهند تا از مشاهده آنها پرهیز کند، مرورگرهای وب نیز میتوانند از نمایش پنجرههای بالاپر مزاحم جلوگیری کرده و به کاربر هشدار دهند تا از مشاهده این پنجرهها خودداری نماید. مرورگری که این امکان را فراهم نکرده باشد و مدام پنجرههای بالاپر را نمایش دهد، کاربر را در معرض مواجهه با هرزنامهها و بهخصوص، حملات صیادی میکند.
7. ذخیرهسازی و مدیریت امن گذرواژههای کاربر
همانطور که در آگاهیرسان «گذرواژه و سوالات امنیتی در شبکههای اجتماعی» مطرح شد، کاربران باید از امنیت گذرواژههای خود که در نرمافزارهای مدیریت گذرواژه ثبت شدهاند، اطمینان داشته باشند. یکی از ابزارهایی که گذرواژه کاربران را ذخیرهسازی میکند، مرورگر وب است. بسیاری از مرورگرها این امکان را برای کاربران فراهم کردهاند تا نام کاربری و گذرواژه خود در وبگاههای مختلف را در داخل مرورگر ذخیره کنند تا در زمان مراجعه مجدد، مجبور به ورود دوباره این اطلاعات نباشند. با توجه به این زیرساخت و در نظر گرفتن این موضوع که مرورگرهای امروزی گذرواژههای کاربران را عمدتا بدون رمزنگاری ذخیره میکنند، درمییابیم که چه خطری متوجه کاربر است، اگر مرورگر وب گذرواژههای کاربر را به درستی مدیریت نکرده باشد. مرورگر وب باید این امکان را فراهم کند تا کاربر به تشخیص خود، تصمیم بگیرد که کدام گذرواژهها ذخیرهسازی بشوند، کدامیک نشوند و در ضمن، گذرواژههایی که پیشتر ذخیرهسازی کرده را حذف نماید.
6. رعایت حریم خصوصی اطلاعات زمینهای
مرورگر وب هم مانند تمام نرمافزارهای دیگر، میتواند به برخی از منابع سختافزاری و اطلاعات نرمافزاری موجود دسترسی داشته باشد، آنها را پردازش کرده و مورد استفاده قرار دهد. با توجه به گسترش روزافزون استفاده از نرمافزارهای تحت وب، وبگاههای امروزی با استفاده از افزونهها و روشهای مرسوم، میتوانند از مرورگرهای وب درخواست کنند تا اطلاعات زمینهای کاربر (نظیر موقعیت مکانی) را برای آنها ارسال کرده و یا برخی سختافزارها (نظیر بلوتوث یا دوربین عکاسی) را راهاندازی کند. برای مثال، یک وبگاه گفتگوی تصویری به مرورگر وب اعلام میکند که دوربین جلوی دستگاه (تلفن همراه، تبلت یا لپتاپ) را روشن کرده و تصویر کاربر را ارسال نماید. هرچند اکثر این فعالیتها با هدف ارائه خدمات به کاربران انجام میشود؛ اما میتوان سناریوهایی را متصور شد که در آنها، یک وبگاه اقداماتی خصمانه مرتکب شده و با اهداف سوء، نظیر سرقت اطلاعات زمینهای کاربر و نقض حریم خصوصی وی، درخواستهایی از مرورگر وب داشته باشد.
مرورگرهای وب امن و قابل اعتماد، باید این امکان را داشته باشند تا کاربر را در جریان این موضوع قرار دهند که اطلاعات زمینهای وی در حال تبادل است، سختافزارهای موجود بر روی دستگاه در حال استفاده هستند و مهمتر از همه، در صورت عدم تمایل کاربر به اعطای این دسترسیها، این امکان را برای وی فراهم کنند تا به مرورگر اعلام کند که اطلاعات زمینهای و دسترسی به سختافزارها را در اختیار وبگاهها نگذارد.
.