THE DOCUMENT FOUNDATION ANNOUNCES LIBREOFFICE 5.0.3 “FRESH” AND LIBREOFFICE 4.4.6 “STILL”
—----------------------------------------------
Berlin, November 3, 2015 – The Document Foundation announces LibreOffice 5.0.3 “fresh”, the 4rd release of the LibreOffice 5.0 family, and LibreOffice 4.4.6, the 7th release of the LibreOffice 4.4 family. So far, the LibreOffice 5.0 family is the most popular LibreOffice ever, based on feedback from journalists and end users.
LibreOffice 5.0.3 is more feature-rich, and as such is targeted to tech enthusiasts and power users, and LibreOffice 4.4.6 is targeted to more conservative users and enterprise deployments as it has been in widespread use for a longer time, and as such offers a better experience for document production.
#lx_news
—----------------------------------------------
Berlin, November 3, 2015 – The Document Foundation announces LibreOffice 5.0.3 “fresh”, the 4rd release of the LibreOffice 5.0 family, and LibreOffice 4.4.6, the 7th release of the LibreOffice 4.4 family. So far, the LibreOffice 5.0 family is the most popular LibreOffice ever, based on feedback from journalists and end users.
LibreOffice 5.0.3 is more feature-rich, and as such is targeted to tech enthusiasts and power users, and LibreOffice 4.4.6 is targeted to more conservative users and enterprise deployments as it has been in widespread use for a longer time, and as such offers a better experience for document production.
#lx_news
متن های برای مطالعه و کمی فکر کردن
خانم «کاندولیزا رايس» وزير امور خارجهٔ پیشین آمريكا میگه:
«تو بچگی، پدرم هميشه از کنار كاخ سفید منو میبرد مدرسه و میگفت: اينجا محل كار آیندهٔ تو است.
او حتی عكسهای كاخ سفيد رو تو اتاقم نصب كرده بود...!»
.
.
.
خانم «كِيت وينسلِت» بازيگر نقش «رُز» در فيلم «تايتانيک»، وقتی به خاطر بازیِ زیباش جايزهٔ اسكار رو میگيره، میگه:
«وقتی بچه بودم و میرفتم حمام، شامپومو بغل میكردم و تصور میكردم جايزهٔ اسكاره!»
اشک از چشمهاش سرازير میشه و میگه:
«اما اينیکی ديگه واقعاً شامپو نيست؛ جايزهٔ اسكاره!!!»
.
.
.
چند وقت پيش داشتم يه روزنامهٔ انگليسی میخوندم. از قول «زِلاتان اِبراهيموويچ» بازيكن مشهور تيم ملی سوئد و باشگاه «پاری سن ژرمن»، كه جديداً يه خيابونِ مهم تو سوئد به نامش زدن نوشته بود:
«باور کنید من رؤیای تمام موفقيتهايم را در بچگیهايم ديده بودم...!»
.
.
.
آقای «هیلتون» سرایدار یک هتل بود و تمام جوانی و نوجوانیاش را صرف سرایداری کرده بود...؛ اما الآن ٨۴ تا «هتل هیلتون» تو دنیا داریم!!! او بیشک بزرگترین هتلدار زنجیرهای در دنیا است. در مصاحبه از ایشون سؤال میشه:
«تمام نوجوانی و جوانی سرایدار بودی...؛ چی شد که این شدی؟؟!»
جواب میده:
«من هتلبازی کردم!»
- «آقای هیلتون، هتلبازی دیگه چیه؟!! بگو ما هم به جای خالهبازی، هتلبازی کنیم!»
- «در تمام اون دوره که همه میدونن من سرایدار بودم و کیف مشتریها رو جابهجا میکردم...، شبها که رییس هتل میرفت خونه، من میرفتم تو اتاقش؛ لباسهامو درمیآوردم؛ لباسهای رییس رو میپوشیدم؛ پشت میز مینشستم و هتلبازی میکردم!
مدام تصور ذهنی من این بود که یکی از بزرگترین هتلداران دنیا هستم...!»
.
.
.
حالا بعضی از ما تو خلوتمون «سرطانبازی» میکنیم...!
بعضیها تو ذهنشون روزی چند بار دادگاه خانواده میرن...!
روزی چند بار ورشکست میشن!
روزی چند بار چاقو تو شکمشون میره...!!!
رابطهٔ زيبا و عاشقانهشون رو تموم شده میبينن!
بچهها و عزيزانشون رو از دست رفته احساس میكنن!!!
خيلی وقتها نقش يک آدم شكستخورده، بیمسئوليت، نالايق، طَرد شده، زشت و غيردوستداشتنی رو بازی میكنن!
درسته!!!
به قول مرد بزرگ «آلبرت اینشتين»:
«انسان در نهایت شبیه رؤیاهایش میشود...؛ رؤیاهای مهتابی و نیکخواهی برای خود و ديگران بسازید؛ همين!»
خانم «کاندولیزا رايس» وزير امور خارجهٔ پیشین آمريكا میگه:
«تو بچگی، پدرم هميشه از کنار كاخ سفید منو میبرد مدرسه و میگفت: اينجا محل كار آیندهٔ تو است.
او حتی عكسهای كاخ سفيد رو تو اتاقم نصب كرده بود...!»
.
.
.
خانم «كِيت وينسلِت» بازيگر نقش «رُز» در فيلم «تايتانيک»، وقتی به خاطر بازیِ زیباش جايزهٔ اسكار رو میگيره، میگه:
«وقتی بچه بودم و میرفتم حمام، شامپومو بغل میكردم و تصور میكردم جايزهٔ اسكاره!»
اشک از چشمهاش سرازير میشه و میگه:
«اما اينیکی ديگه واقعاً شامپو نيست؛ جايزهٔ اسكاره!!!»
.
.
.
چند وقت پيش داشتم يه روزنامهٔ انگليسی میخوندم. از قول «زِلاتان اِبراهيموويچ» بازيكن مشهور تيم ملی سوئد و باشگاه «پاری سن ژرمن»، كه جديداً يه خيابونِ مهم تو سوئد به نامش زدن نوشته بود:
«باور کنید من رؤیای تمام موفقيتهايم را در بچگیهايم ديده بودم...!»
.
.
.
آقای «هیلتون» سرایدار یک هتل بود و تمام جوانی و نوجوانیاش را صرف سرایداری کرده بود...؛ اما الآن ٨۴ تا «هتل هیلتون» تو دنیا داریم!!! او بیشک بزرگترین هتلدار زنجیرهای در دنیا است. در مصاحبه از ایشون سؤال میشه:
«تمام نوجوانی و جوانی سرایدار بودی...؛ چی شد که این شدی؟؟!»
جواب میده:
«من هتلبازی کردم!»
- «آقای هیلتون، هتلبازی دیگه چیه؟!! بگو ما هم به جای خالهبازی، هتلبازی کنیم!»
- «در تمام اون دوره که همه میدونن من سرایدار بودم و کیف مشتریها رو جابهجا میکردم...، شبها که رییس هتل میرفت خونه، من میرفتم تو اتاقش؛ لباسهامو درمیآوردم؛ لباسهای رییس رو میپوشیدم؛ پشت میز مینشستم و هتلبازی میکردم!
مدام تصور ذهنی من این بود که یکی از بزرگترین هتلداران دنیا هستم...!»
.
.
.
حالا بعضی از ما تو خلوتمون «سرطانبازی» میکنیم...!
بعضیها تو ذهنشون روزی چند بار دادگاه خانواده میرن...!
روزی چند بار ورشکست میشن!
روزی چند بار چاقو تو شکمشون میره...!!!
رابطهٔ زيبا و عاشقانهشون رو تموم شده میبينن!
بچهها و عزيزانشون رو از دست رفته احساس میكنن!!!
خيلی وقتها نقش يک آدم شكستخورده، بیمسئوليت، نالايق، طَرد شده، زشت و غيردوستداشتنی رو بازی میكنن!
درسته!!!
به قول مرد بزرگ «آلبرت اینشتين»:
«انسان در نهایت شبیه رؤیاهایش میشود...؛ رؤیاهای مهتابی و نیکخواهی برای خود و ديگران بسازید؛ همين!»
تعریف سیستم یا System و استاندارد
سیستم به معنی مجموعه ای از اجزاء است که برای رسیدن به هدف خاصی در کنار هم جمع شده اند. در واقع سیستم مدیریت امنیت اطلاعات نیز از مجموعه ای از اجزاء تشکیل شده است که برای رسیدن به هدف خاصی که در اینجا برقراری و مدیریت امنیت اطلاعات سازمان یا شرکت شما می باشد در کنار هم جمع شده اند. سیستم مدیریت امنیت یک ساختار استاندارد و تعریف شده است و این بدین معنا می باشد که ما به خودی خود نمی توانیم تعیین کنیم چگونه اطلاعات بایستی امن شوند و یک معیار و پایه و اساس برای اینکار بایستی تعریف شود. تعریف کردن این معیارها بر عهده یک سازمان بین المللی است که استانداردها در آن تهیه و تنظیم می شوند و این سازمان جایی نیست به غیر از سازمان ISO یا International Standardization Organization ، این سازمان وظیفه تدوین استاندارد های یکپارچه در دنیا را بر عهده دارد ، تا به حال هر استانداردی که شنیده اید در این سازمان تعریف و تدوین شده است ، قطعا با ISO 9000 یا استاندارد کیفیت کالا آشنایی دارید ، همین نوع استاندارد برای مدیریت سیستم امنیت اطلاعات با کد ISO 27000 تعریف شده است که در ادامه با آن آشنا خواهید شد.
ساختار یک استاندارد به چه شکل است ؟
همه استانداردها ساختاری شبیه به هم دارند اما از نظر محتوایی متفاوت هستند. در همه استانداردهای بین المللی ISO یک سری کنترل وجود دارد که بیانگر معیارهایی است که برای پیاده سازی استانداردها مورد نیاز است ، برای مثال یکی از کنترل های سیستم مدیریت امنیت اطلاعات این است که بایستی بر روی امنیت فیزیکی درب های ورود و خروج ساختمان کنترل انجام شود. بنابراین کنترل ها معیار را برای ما تشریح می کنند اما چگونگی انجام شدن آن را تعریف نمی کنند و این یک اصل است. هر استانداردی برای خود دارای یک سری کنترل است که در قالب سرفصل هایی ارائه می شوند. همیشه در تمامی سازمان ها لازم نیست تمامی این معیارها رعایت شود تا بتوانید سیستم مدیریتی خود را پیاده سازی کنید ، شما بر حسب سرویس و نیازی که دارید از بین این کنترل ها ، آنهایی که در محیط شما قابل استفاده هستند را انتخاب و شروع به پیاده سازی می کنید. اما بعد از اینکه شما از بین کنترل های موجود ، آنهایی که مورد نیازتان هستند را انتخاب کردید ، بایستی آنها را بصورت مدون و مرتب تشریح کنید و بر حسب نیاز خودتان آن را بهینه سازی و تدوین کنید . بعد از اینکه تمامی این مراحل انجام شد یک مستند متنی به وجود می آید که به آن خط مشی یا Policy گفته می شود و شما ساختار استاندارد سازمان را بر اساس آن تعریف می کنید. خط مشی امنیت اطلاعات که به بیانیه امنیت اطلاعات نیز معروف است در واقع الگوی اصلی است که شما در حوزه امنیت اطلاعات برای سازمان خود تدوین می کنید تا بر اساس آن امنیت اطلاعات خود را مدیریت کنید. توجه کنید که در این مستند چگونگی برقراری امنیت تشریح نشده است ، چگونگی انجام و پیاده سازی امنیت در مستندی جداگانه به نام دستورالعمل امنیت اطلاعات تشریح می شود.
فواید استفاده از سیستم مدیریت امنیت اطلاعات ( ISMS ) چیست ؟
طبیعی است که شما زمانیکه به یک کشور خارجی سفر می کنید یکی از مهمترین معیارها برقرار بودن امنیت در آن کشور است ، همین موضوع باعث ترقیب شدن توریست ها برای سفر کردن و سرمایه گذاری در آن کشور می شود . در خصوص سازمان ها هم به همین شکل است ، اگر سازمانی بتواند سیستم مدیریت امنیت اطلاعات را به درستی پیاده سازی و مدیریت کند تجارتی دائمی و همراه با ریسک کمتر خواهد داشت ، تصور کنید شخصی قصد سرمایه گذاری در یک شرکت را دارد ، اگر این شرکت که در کار تولید مواد اولیه رنگ پلاستیک است فرمول ساخت رنگ را به درستی امن نگاه ندارد و رقیبان تجاری آن فرمول را بدست بیاورند این شرکت دچار تهدید و در نهایت ممکن است بازار کار خود را از دست بدهد ، بنابراین سیستم مدیریت امنیت اطلاعات ( ISMS) بصورت کلی باعث اطمينان از تداوم تجارت و کاهش صدمات توسط ايمن ساختن اطلاعات و کاهش تهديدها می شود.پیاده سازی سیستم مدیریت امنیت اطلاعات علاوه بر موارد بالا می تواند باعث اطمينان از سازگاري با استانداردهای امنيت اطلاعات و محافظت از داده ها ، قابل اطمينان کردن تصميم گيري ها و محک زدن سيستم مديريت امنيت اطلاعات ، ايجاد اطمينان نزد مشتريان و شرکاي تجاري ،امکان رقابت بهتر با ساير شرکت ها و ايجاد مديريت فعال و پويا در پياده سازي امنيت داده ها و اطلاعات شود.
سیستم مدیریت امنیت اطلاعات یا ISMS شامل چه مستنداتی است ؟
سیستم به معنی مجموعه ای از اجزاء است که برای رسیدن به هدف خاصی در کنار هم جمع شده اند. در واقع سیستم مدیریت امنیت اطلاعات نیز از مجموعه ای از اجزاء تشکیل شده است که برای رسیدن به هدف خاصی که در اینجا برقراری و مدیریت امنیت اطلاعات سازمان یا شرکت شما می باشد در کنار هم جمع شده اند. سیستم مدیریت امنیت یک ساختار استاندارد و تعریف شده است و این بدین معنا می باشد که ما به خودی خود نمی توانیم تعیین کنیم چگونه اطلاعات بایستی امن شوند و یک معیار و پایه و اساس برای اینکار بایستی تعریف شود. تعریف کردن این معیارها بر عهده یک سازمان بین المللی است که استانداردها در آن تهیه و تنظیم می شوند و این سازمان جایی نیست به غیر از سازمان ISO یا International Standardization Organization ، این سازمان وظیفه تدوین استاندارد های یکپارچه در دنیا را بر عهده دارد ، تا به حال هر استانداردی که شنیده اید در این سازمان تعریف و تدوین شده است ، قطعا با ISO 9000 یا استاندارد کیفیت کالا آشنایی دارید ، همین نوع استاندارد برای مدیریت سیستم امنیت اطلاعات با کد ISO 27000 تعریف شده است که در ادامه با آن آشنا خواهید شد.
ساختار یک استاندارد به چه شکل است ؟
همه استانداردها ساختاری شبیه به هم دارند اما از نظر محتوایی متفاوت هستند. در همه استانداردهای بین المللی ISO یک سری کنترل وجود دارد که بیانگر معیارهایی است که برای پیاده سازی استانداردها مورد نیاز است ، برای مثال یکی از کنترل های سیستم مدیریت امنیت اطلاعات این است که بایستی بر روی امنیت فیزیکی درب های ورود و خروج ساختمان کنترل انجام شود. بنابراین کنترل ها معیار را برای ما تشریح می کنند اما چگونگی انجام شدن آن را تعریف نمی کنند و این یک اصل است. هر استانداردی برای خود دارای یک سری کنترل است که در قالب سرفصل هایی ارائه می شوند. همیشه در تمامی سازمان ها لازم نیست تمامی این معیارها رعایت شود تا بتوانید سیستم مدیریتی خود را پیاده سازی کنید ، شما بر حسب سرویس و نیازی که دارید از بین این کنترل ها ، آنهایی که در محیط شما قابل استفاده هستند را انتخاب و شروع به پیاده سازی می کنید. اما بعد از اینکه شما از بین کنترل های موجود ، آنهایی که مورد نیازتان هستند را انتخاب کردید ، بایستی آنها را بصورت مدون و مرتب تشریح کنید و بر حسب نیاز خودتان آن را بهینه سازی و تدوین کنید . بعد از اینکه تمامی این مراحل انجام شد یک مستند متنی به وجود می آید که به آن خط مشی یا Policy گفته می شود و شما ساختار استاندارد سازمان را بر اساس آن تعریف می کنید. خط مشی امنیت اطلاعات که به بیانیه امنیت اطلاعات نیز معروف است در واقع الگوی اصلی است که شما در حوزه امنیت اطلاعات برای سازمان خود تدوین می کنید تا بر اساس آن امنیت اطلاعات خود را مدیریت کنید. توجه کنید که در این مستند چگونگی برقراری امنیت تشریح نشده است ، چگونگی انجام و پیاده سازی امنیت در مستندی جداگانه به نام دستورالعمل امنیت اطلاعات تشریح می شود.
فواید استفاده از سیستم مدیریت امنیت اطلاعات ( ISMS ) چیست ؟
طبیعی است که شما زمانیکه به یک کشور خارجی سفر می کنید یکی از مهمترین معیارها برقرار بودن امنیت در آن کشور است ، همین موضوع باعث ترقیب شدن توریست ها برای سفر کردن و سرمایه گذاری در آن کشور می شود . در خصوص سازمان ها هم به همین شکل است ، اگر سازمانی بتواند سیستم مدیریت امنیت اطلاعات را به درستی پیاده سازی و مدیریت کند تجارتی دائمی و همراه با ریسک کمتر خواهد داشت ، تصور کنید شخصی قصد سرمایه گذاری در یک شرکت را دارد ، اگر این شرکت که در کار تولید مواد اولیه رنگ پلاستیک است فرمول ساخت رنگ را به درستی امن نگاه ندارد و رقیبان تجاری آن فرمول را بدست بیاورند این شرکت دچار تهدید و در نهایت ممکن است بازار کار خود را از دست بدهد ، بنابراین سیستم مدیریت امنیت اطلاعات ( ISMS) بصورت کلی باعث اطمينان از تداوم تجارت و کاهش صدمات توسط ايمن ساختن اطلاعات و کاهش تهديدها می شود.پیاده سازی سیستم مدیریت امنیت اطلاعات علاوه بر موارد بالا می تواند باعث اطمينان از سازگاري با استانداردهای امنيت اطلاعات و محافظت از داده ها ، قابل اطمينان کردن تصميم گيري ها و محک زدن سيستم مديريت امنيت اطلاعات ، ايجاد اطمينان نزد مشتريان و شرکاي تجاري ،امکان رقابت بهتر با ساير شرکت ها و ايجاد مديريت فعال و پويا در پياده سازي امنيت داده ها و اطلاعات شود.
سیستم مدیریت امنیت اطلاعات یا ISMS شامل چه مستنداتی است ؟
همانطور که اشاره کردیم ، سیستم مدیریت امنیت اطلاعات به خودی خود یک مستند متنی است که بایستی بر اساس آن سازمان ها ساختار خود را پیاده سازی کنند. در ادامه گفتیم که از بین کنترل های موجود بایستی کنترل های متناسب با سازمان خود را انتخاب کنیم و مستند متنی به عنوان خط مشی امنیت تدوین کنیم. در نهایت پیاده سازی سیستم مدیریت امنیت اطلاعات منجر به تولید چندین مستند متنی می شود که به نوع می توان گفت ISMS دارای کاغذ بازی زیادی است. اما این مستندات چه هستند و چند نوع از این مستندات بایستی در یک ساختار مدیریت امنیتی درست وجود داشته باشد ؟ بر اساس استانداردهاي مديريت امنيت اطلاعات و ارتباطات ، هر دستگاه یا سازمان بايد مجموعه مستندات مديريت امنيت اطلاعات و ارتباطات را به شرح زير، براي خود تدوين نمايد:
مستند اهداف، راهبردها و سياستهاي امنيتي فضاي تبادل اطلاعات دستگاه ( Security Policy )
مستند طرح تحليل مخاطرات امنيتي فضاي تبادل اطلاعات دستگاه ( Risk Assessment )
مستند طرح امنيت فضاي تبادل اطلاعات دستگاه
مستند طرح مقابله با حوادث امنيتي و ترميم خرابيهاي فضاي تبادل اطلاعات دستگاه ( Disaster Recovery)
مستند برنامة آگاهي رساني امنيتي به پرسنل دستگاه ( Awareness )
مستند برنامة آموزش امنيتي پرسنل تشکيلات تامين امنيت فضاي تبادل اطلاعات دستگاه
مراحل پیاده سازی و دریافت استاندارد ISO 27001 یا ISMS چیست ؟
سازمان قصد به دریافت استاندار ISO 27001 می گیرد . ( نیت می کنیم )
این قصد را با یک شرکت مشاور در زمینه پیاده سازی سیستم مدیریت امنیت اطلاعات ISMS در میان می گذارد.
شرکت مشاور در جلسه هیات مدیره خط مشی امنیتی را مشخص می کند .
بر اساس کنترل های امنیتی کلیه نیاز های امنیتی مربوط به سازمان مطابق با استاندارد ISO 27001 پیاده سازی می شود .
قبل از اینکه سر ممیز اصلی ( Lead Auditor) از نماینده بین المللی ارائه مدارک ISO یا اصطلاحا CB در محل حضور پیدا کند خود شرکت مشاور از یک گروه با عنوان ممیز داخلی ، بازرسی های لازم را انجام می دهند .
از یک سر ممیز بین المللی که به عنوان نماینده یک مرکز صدور گواهی مانند TUV یا DNV هستند دعوت می شود برای انجام بازرسی های لازم.
در صورت تایید صلاحیت و کسب حداقل امتیازات لازم ، گواهینامه صادر می شود.
مشکلات معمول در پیاده سازی سیستم مدیریت امنیت اطلاعات ( ISMS )
بایستی توجه کرد که امنیت یک فرهنگ است قبل از آنکه یک فناوری باشد. براین اساس پیاده سازی مدیریت امنیت قبل ازخرید تجهیزات امنیتی توصیه می گردد. وقتی امنیت فرهنگ باشد عمری لازم است تا یک فرهنگ ایجاد شود و جا بیفتد. وقتی امنیت فرهنگ باشد نمی توان فرهنگ سازی سازمانی بومی شده در یک کشور پیشرفته اروپایی را به سادگی در یک مرحله ضربتی به یک سازمان دیگر وارد نمود. این یکی از اصلی ترین موانع در پیاده سازی استانداردهای مدیریت امنیت است.
امنیت تداوم می خواهد. حتی اگر موفق شویم در یک سازمان سیستم مدیریت امنیت را پیاده سازی نموده و گواهی استاندارد مربوطه را هم در یک مرحله اخذ نمائیم؛ عدم تداوم آن هیچ آورده ای را از نظر امنیتی برای سازمان نخواهد داشت. بنابراین همیشه در استانداردهای بین المللی از چرخه ای به نام چرخه دمینگ یا PDCA که یک چرخه مدور و دائمی است برای طراحی ، انجام ، آزمایش و اعمال مجدد طراحی استفاده می شود.
ناامنی تداوم دارد. چون ناامنی تداوم دارد بایستی امن سازی و تفکرامنیت در همه شئون سازمان تداوم داشته باشد و اعتبار مداوم و سالیانه داشته باشد. مدیران سازمانی ما احساس نا امنی مداوم از فضای تبادل اطلاعات خود ندارند و یا مایملک اطلاعاتی ذی قیمتی را در معرض تهاجم نمی بینند. بر این اساس،حمایت جدی و همه جانبه از پیاده سازی و تداوم استانداردهای مدیریت امنیت ندارند.
امنیت نا محسوس است. لذا وقتی یک پروژه امنیتی (از نوع مدیریت امنیت)انجام می شود بعضاً مدیریت و کارشناسان احساس می کنند که هیچ اتفاق جدیدی نیفتادهاست و ممکن است گلایه کنند که چرا هزینه نموده اند. در پاسخ به این گلایه باید فکرکرد که اگر روی امنیت کار نمی شد چه اتفاقی ممکن بود بیفتد. پس باید در هر زمان ودر هر مکان از فضای تبادل اطلاعات سازمانی به فکر امنیت بود.
مستند اهداف، راهبردها و سياستهاي امنيتي فضاي تبادل اطلاعات دستگاه ( Security Policy )
مستند طرح تحليل مخاطرات امنيتي فضاي تبادل اطلاعات دستگاه ( Risk Assessment )
مستند طرح امنيت فضاي تبادل اطلاعات دستگاه
مستند طرح مقابله با حوادث امنيتي و ترميم خرابيهاي فضاي تبادل اطلاعات دستگاه ( Disaster Recovery)
مستند برنامة آگاهي رساني امنيتي به پرسنل دستگاه ( Awareness )
مستند برنامة آموزش امنيتي پرسنل تشکيلات تامين امنيت فضاي تبادل اطلاعات دستگاه
مراحل پیاده سازی و دریافت استاندارد ISO 27001 یا ISMS چیست ؟
سازمان قصد به دریافت استاندار ISO 27001 می گیرد . ( نیت می کنیم )
این قصد را با یک شرکت مشاور در زمینه پیاده سازی سیستم مدیریت امنیت اطلاعات ISMS در میان می گذارد.
شرکت مشاور در جلسه هیات مدیره خط مشی امنیتی را مشخص می کند .
بر اساس کنترل های امنیتی کلیه نیاز های امنیتی مربوط به سازمان مطابق با استاندارد ISO 27001 پیاده سازی می شود .
قبل از اینکه سر ممیز اصلی ( Lead Auditor) از نماینده بین المللی ارائه مدارک ISO یا اصطلاحا CB در محل حضور پیدا کند خود شرکت مشاور از یک گروه با عنوان ممیز داخلی ، بازرسی های لازم را انجام می دهند .
از یک سر ممیز بین المللی که به عنوان نماینده یک مرکز صدور گواهی مانند TUV یا DNV هستند دعوت می شود برای انجام بازرسی های لازم.
در صورت تایید صلاحیت و کسب حداقل امتیازات لازم ، گواهینامه صادر می شود.
مشکلات معمول در پیاده سازی سیستم مدیریت امنیت اطلاعات ( ISMS )
بایستی توجه کرد که امنیت یک فرهنگ است قبل از آنکه یک فناوری باشد. براین اساس پیاده سازی مدیریت امنیت قبل ازخرید تجهیزات امنیتی توصیه می گردد. وقتی امنیت فرهنگ باشد عمری لازم است تا یک فرهنگ ایجاد شود و جا بیفتد. وقتی امنیت فرهنگ باشد نمی توان فرهنگ سازی سازمانی بومی شده در یک کشور پیشرفته اروپایی را به سادگی در یک مرحله ضربتی به یک سازمان دیگر وارد نمود. این یکی از اصلی ترین موانع در پیاده سازی استانداردهای مدیریت امنیت است.
امنیت تداوم می خواهد. حتی اگر موفق شویم در یک سازمان سیستم مدیریت امنیت را پیاده سازی نموده و گواهی استاندارد مربوطه را هم در یک مرحله اخذ نمائیم؛ عدم تداوم آن هیچ آورده ای را از نظر امنیتی برای سازمان نخواهد داشت. بنابراین همیشه در استانداردهای بین المللی از چرخه ای به نام چرخه دمینگ یا PDCA که یک چرخه مدور و دائمی است برای طراحی ، انجام ، آزمایش و اعمال مجدد طراحی استفاده می شود.
ناامنی تداوم دارد. چون ناامنی تداوم دارد بایستی امن سازی و تفکرامنیت در همه شئون سازمان تداوم داشته باشد و اعتبار مداوم و سالیانه داشته باشد. مدیران سازمانی ما احساس نا امنی مداوم از فضای تبادل اطلاعات خود ندارند و یا مایملک اطلاعاتی ذی قیمتی را در معرض تهاجم نمی بینند. بر این اساس،حمایت جدی و همه جانبه از پیاده سازی و تداوم استانداردهای مدیریت امنیت ندارند.
امنیت نا محسوس است. لذا وقتی یک پروژه امنیتی (از نوع مدیریت امنیت)انجام می شود بعضاً مدیریت و کارشناسان احساس می کنند که هیچ اتفاق جدیدی نیفتادهاست و ممکن است گلایه کنند که چرا هزینه نموده اند. در پاسخ به این گلایه باید فکرکرد که اگر روی امنیت کار نمی شد چه اتفاقی ممکن بود بیفتد. پس باید در هر زمان ودر هر مکان از فضای تبادل اطلاعات سازمانی به فکر امنیت بود.
ساخت تراشه c2cens با قابلیت بخشیدن حس بویایی به رایانه ها
برای سالیان متمادی مدافعان حریم خصوصی، توسعه دهندگان وب و برنامههای کاربردی از VPN و دیگر نرم افزارهای رمزنگاری برای استفاده
از تبادل کلید Diffie-Hellman برای مقابله با شنود آژانس امنیت ملی و سایر سازمانهای دولتی جاسوسی، تحت فشار قرار دادهاند. اما
حالا محققان در حال تجدید نظر دربارهی توصیههای خود هستند چرا که نقص آشکاری در روش پیاده سازی تبادل کلید، اجازهی استراق
سمع و شکستن تریلیونها اتصال رمزگذاری شده را میدهد.
هزینه تمام شده برای متجاوزان به هیچ وجه کم نیست. برای کلیدهای ۱۰۲۴ بیتی معمول مورد استفاده، حدود یک سال وقت و چند صد میلیون دلار برای شکستن فقط یکی از اعداد اول بزرگی که فاز شروع به تبادل Diffie-Hellman را تشکیل میدهد، نیاز است. البته با در نظر گرفتن بودجهی ۱۱ میلیارد دلاری NSA برای تواناییهای رمز گشایی تعداد اعداد اولی که بهطور معمول استفادهمیشوند، بسیار کم است. محققان، الکس هیلدرمن و نادیا هنینگر در پستی که مدتی قبل منتشر کردند نوشتند: «از آنجایی که تعداد انگشت شماری از اعداد اول بهطور گسترده استفاده میشوند، نتیجهی حاصل، از نظر اتصالاتی که آنها میتوانند رمز گشایی کنند، بسیار عظیم خواهد بود. شکستن تنها یک عدد اول ۱۰۲۴ بیتی معممول، به NSA اجازه میدهد به شکل غیر فعال، اتصالات حدود دو سوم از VPNها و یک چهارم از اتصالات SSH در سطح جهانی را رمز گشایی کند. شکستن دومین عدد اول 1024 بیتی اجازهی استراق سمع بر روی اتصالات حدود ۲۰ درصد از میلیونها وب سایتی که توسط https محافظت میشوند را میدهد. به عبارت دیگر یک بار سرمایه گذاری در محاسبات عظیم، امکان استراق سمع تریلیونها اتصال رمز گذاری شده را میدهد.
قابل قبولترین نظریه:
هیلدرمن و هنینگر باور دارند که نظریهی آنها دربارهی رمز گشایی انبوه NSA، قابل قبولتر از دیگر نظریه هاست. مستندات فاش شده توسط کارمند سابق NSA، ادوارد اسنودن، برای مثال نشان داد که آژانس قادر به شنود اتصالات VPN رمز گذاری شده، فرستادن دادههای بازدارنده به ابر رایانهها و به دست آوردن کلید مورد نیاز برای رمز گشایی ارتباطات است.
طراحی سیستم، تا حد زیادی به جمعاوری دادههای خاص وابسته است که برای حمله به Diffie-Hellman ضروری است و البته برای الگوریتمهای جایگزین مانند شکستن AES یا دیگر رمز گذاریهای متقارن کارآمد نیست. در حالی که مستندات و مدارک به وضوح مشخص کردند که NSA از دیگر تکنیکها مانند پیادهسازی سخت افزاری و نرم افزاری برای شکستن رمز گذاری هدفهای خاص استفاده میکند،اما هیچ توضیحی دربارهی توانایی استراق سمع غیر فعال بر روی ترافیک VPNها در مقادیر عظیم، ندادند.
این پست در پی ارائهی مقالهی هیلدرمن، هنینگر و تعداد دیگری از محققان در بیست و دومین کنفرانس کامپیوتر و امنیت در شهر دنور، نوشته شد. عنوان مقاله «Imperfect Forward Secrecy : چگونه در عمل Diffie-Hellman شکست میخورد» بود که در اولین ارائهی خود با پوشش گستردهی رسانه ها همراه شد. علاوه بر آن در کنار افشای راز پشت پردهی NSA مبنی بر شنود انبوه ارتباطات رمز گذاری شده، مقاله به نقص دیگری اشاره کرد که میتوانست هزاران سایت، میل سرور و دیگر سرویسهای پر استفادهی اینترنتی که با https محافظت میشدند را در برابر شنود آسیب پذیر کند.
از تبادل کلید Diffie-Hellman برای مقابله با شنود آژانس امنیت ملی و سایر سازمانهای دولتی جاسوسی، تحت فشار قرار دادهاند. اما
حالا محققان در حال تجدید نظر دربارهی توصیههای خود هستند چرا که نقص آشکاری در روش پیاده سازی تبادل کلید، اجازهی استراق
سمع و شکستن تریلیونها اتصال رمزگذاری شده را میدهد.
هزینه تمام شده برای متجاوزان به هیچ وجه کم نیست. برای کلیدهای ۱۰۲۴ بیتی معمول مورد استفاده، حدود یک سال وقت و چند صد میلیون دلار برای شکستن فقط یکی از اعداد اول بزرگی که فاز شروع به تبادل Diffie-Hellman را تشکیل میدهد، نیاز است. البته با در نظر گرفتن بودجهی ۱۱ میلیارد دلاری NSA برای تواناییهای رمز گشایی تعداد اعداد اولی که بهطور معمول استفادهمیشوند، بسیار کم است. محققان، الکس هیلدرمن و نادیا هنینگر در پستی که مدتی قبل منتشر کردند نوشتند: «از آنجایی که تعداد انگشت شماری از اعداد اول بهطور گسترده استفاده میشوند، نتیجهی حاصل، از نظر اتصالاتی که آنها میتوانند رمز گشایی کنند، بسیار عظیم خواهد بود. شکستن تنها یک عدد اول ۱۰۲۴ بیتی معممول، به NSA اجازه میدهد به شکل غیر فعال، اتصالات حدود دو سوم از VPNها و یک چهارم از اتصالات SSH در سطح جهانی را رمز گشایی کند. شکستن دومین عدد اول 1024 بیتی اجازهی استراق سمع بر روی اتصالات حدود ۲۰ درصد از میلیونها وب سایتی که توسط https محافظت میشوند را میدهد. به عبارت دیگر یک بار سرمایه گذاری در محاسبات عظیم، امکان استراق سمع تریلیونها اتصال رمز گذاری شده را میدهد.
قابل قبولترین نظریه:
هیلدرمن و هنینگر باور دارند که نظریهی آنها دربارهی رمز گشایی انبوه NSA، قابل قبولتر از دیگر نظریه هاست. مستندات فاش شده توسط کارمند سابق NSA، ادوارد اسنودن، برای مثال نشان داد که آژانس قادر به شنود اتصالات VPN رمز گذاری شده، فرستادن دادههای بازدارنده به ابر رایانهها و به دست آوردن کلید مورد نیاز برای رمز گشایی ارتباطات است.
طراحی سیستم، تا حد زیادی به جمعاوری دادههای خاص وابسته است که برای حمله به Diffie-Hellman ضروری است و البته برای الگوریتمهای جایگزین مانند شکستن AES یا دیگر رمز گذاریهای متقارن کارآمد نیست. در حالی که مستندات و مدارک به وضوح مشخص کردند که NSA از دیگر تکنیکها مانند پیادهسازی سخت افزاری و نرم افزاری برای شکستن رمز گذاری هدفهای خاص استفاده میکند،اما هیچ توضیحی دربارهی توانایی استراق سمع غیر فعال بر روی ترافیک VPNها در مقادیر عظیم، ندادند.
این پست در پی ارائهی مقالهی هیلدرمن، هنینگر و تعداد دیگری از محققان در بیست و دومین کنفرانس کامپیوتر و امنیت در شهر دنور، نوشته شد. عنوان مقاله «Imperfect Forward Secrecy : چگونه در عمل Diffie-Hellman شکست میخورد» بود که در اولین ارائهی خود با پوشش گستردهی رسانه ها همراه شد. علاوه بر آن در کنار افشای راز پشت پردهی NSA مبنی بر شنود انبوه ارتباطات رمز گذاری شده، مقاله به نقص دیگری اشاره کرد که میتوانست هزاران سایت، میل سرور و دیگر سرویسهای پر استفادهی اینترنتی که با https محافظت میشدند را در برابر شنود آسیب پذیر کند.
حملهای که Logjam نام گرفت از اهمیت بسیاری برخوردار بود چراکه تنها به دو هفته نیاز داشت تا دادههای مورد نیاز برای حمله به دو تا از
معمولترین اعداد اول ۵۱۲ بیتی Diffie-Hellman، مورد استفاده برای تبادل کلید های کوتاه مدت را تولید کند. این حمله حدود ۸/۴
درصد از یک میلیون دامنهی وب و ۳/۴ درصد از کل وب سایتهای محافظت شده با https را تحت تاثیر قرار داد. سرورهای ایمیلی که SMTP را با secure pop3، startTLS و IMAP ساپورت میکنند به ترتیب ۱۴/۸ درصد، ۸/۹ درصد و ۸/۴ درصد از کلیهی موارد، آسیب پذیر تخمین زده شدند. حمله کنندگان برای استفاده از این آسیب پذیری از الگوریتم غربال میدان اعداد برای پیش محاسبهی دادهها استفاده کردند. پس از انجام پیش محاسبات، آنها توانایی انجام حملهی مرد میانی را به صورت در لحظه داشتند. ضعف Logjam نتیجهی محدودیت صادراتی بود که دولت ایالات متحده در دههی ۱۹۹۰ برای توسعه دهندگان آمریکایی که قصد تولید نرم افزار برای استفاده برون مرزی داشتند، اعمال کرد. این قانون توسط دولت کلینتون تصویب شد به طوری که افبیآی و سازمانهای دیگر قادر بودند رمز گذاری استفاده شده توسط نهادهای خارجی را بشکنند. در طی پنج ماه گذشته از ارائهی مقاله، اغلب مرورگرهای پر استفاده، VPN ها و برنامههای کاربردی سرورها پشتیبانی از کلید ۵۱۲ بیتی Diffie-Hellman را حذف کردهاند، و این احتمال آسیب پذیری توسط Logjam را کاهش داد. اما همین آسیب پذیری میتواند توسط مهاجمانی با بودجههایی در حد بودجههای ملی در جهت رمز گشایی غیر فعال از سیستمهایی که هنوز به طور پیش فرض از Diffie-Hellman استفاده میکنند، مورد بهره برداری قرار گیرد.
واقعیات نگران کننده
تیم هیلدرمن و هنینگر در ماه می به این واقعیات نگران کننده رسیدند، اما چنین به نظر میرسد که آژانس امنیت ملی از مدتها قبل به این نتیجه رسیده باشد. در حالی که این دانش، NSA را قادر به رمز گشایی ارتباطات در مقیاس انبوه کرده است، میتواند همین توانایی را به کشورهای دیگر که برخی دشمن ایالات متحده هستند نیز بدهد. هیلدرمن و هنینگر نوشتند: «یافتههای ما تنش بین دو ماموریت NSA را روشن میسازد: جمعآوری اطلاعات و دفاع از امنیت کامپیوتر ایالات متحده. اگر فرضیهی ما درست باشد، آژانس تا حد زیاد
از ضعف Diffie-Hellman بهره برداری کرده در حالی که برای کمک به حل مشکل، قدمهای بسیار کوچکی برداشته است. اما در دفاع از آن، NSA به پیادهکنندگان توصیه کرده است که به رمز نگاری با استفاده از خم های بیضوی (که چنین ضعفهایی برای آنها شناخته نشده است) مهاجرت کنند، اما چنین توصیههایی معمولا به خاطر نداشتن توجیه و نتیجهی قابل لمس، نادیده گرفته میشوند. این یک مشکل بغرنج است، زیرا جامعه ی امنیت به سختی به NSA اعتماد دارد و توصیههای NSA را به خاطر شواهد قبلی از تلاش این نهاد در ایجاد در پشتی در استانداردها، نادیده میگیرد.
این وضعیت، امنیت افراد را در خطر میاندازد. آسیب پذیری در این مقیاس بی رویه است (بر روی امنیت همه از جمله شهروندان آمریکایی و شرکتها تاثیر میگذارد)، اما ما امیدواریم که درک فنی روشنتر از سازوکار رمزنگاری و شنود دولتی، قدم مهمی در جهت بهبود وضعیت امنیت همهی افراد باشد.
الگوریتم Diffie-Hellman به دو نفر که قبلا همدیگر را ندیدهاند این امکان را میدهد که روی یک کانال نا امن که توسط یک شنودگر
(با امکانات پیچیده) شنود میشود، کلید مخفیای بین خود به اشتراک بگذارند. این روش همچنین امکان داشتنperfect forward secrecy (این قابلیت که اگر کلیدی لو برود، تنها بخشی از یک مکالمه لو برود نه همهی آن) را فراهم میسازد بدین شکل که به صورت دورهای کلیدهای رمزگذاری را تغییر می دهند. این امکان باعث به مراتب سختتر شدن کار شنود کنندگان است زیرا برای شنود کامل، بر خلاف روشهای مبتنی بر RSA، نیاز به یافتن چندین کلید بجای یک کلیداست.
این تحقیق از این نظر حائض اهمیت است که ضعفهای احتمالی در یک روش رمز نگاری که توسط فعالان حوزهی امنیت توصیه میشد را آشکار میسازد. تیم اصلی تحقیق توصیه میکند که وب سایت ها از کلید ۲۰۴۸ بیتی Diffie-Hellman استفاده کنند و راهنمایی برای توسعه Diffie-Hellman نیز منتشر کرده است. تیم تحقیق همچنین توصیه میکند که کاربران SSH نرم افزار هر دو طرف سرور و کلاینت را به آخرین نسخهی Open SSH به روز رسانی کنند که از تبادل کلید با ترکیبی از Diffie-Hellman و خم بیضوی پشتیبانی میکند.
معمولترین اعداد اول ۵۱۲ بیتی Diffie-Hellman، مورد استفاده برای تبادل کلید های کوتاه مدت را تولید کند. این حمله حدود ۸/۴
درصد از یک میلیون دامنهی وب و ۳/۴ درصد از کل وب سایتهای محافظت شده با https را تحت تاثیر قرار داد. سرورهای ایمیلی که SMTP را با secure pop3، startTLS و IMAP ساپورت میکنند به ترتیب ۱۴/۸ درصد، ۸/۹ درصد و ۸/۴ درصد از کلیهی موارد، آسیب پذیر تخمین زده شدند. حمله کنندگان برای استفاده از این آسیب پذیری از الگوریتم غربال میدان اعداد برای پیش محاسبهی دادهها استفاده کردند. پس از انجام پیش محاسبات، آنها توانایی انجام حملهی مرد میانی را به صورت در لحظه داشتند. ضعف Logjam نتیجهی محدودیت صادراتی بود که دولت ایالات متحده در دههی ۱۹۹۰ برای توسعه دهندگان آمریکایی که قصد تولید نرم افزار برای استفاده برون مرزی داشتند، اعمال کرد. این قانون توسط دولت کلینتون تصویب شد به طوری که افبیآی و سازمانهای دیگر قادر بودند رمز گذاری استفاده شده توسط نهادهای خارجی را بشکنند. در طی پنج ماه گذشته از ارائهی مقاله، اغلب مرورگرهای پر استفاده، VPN ها و برنامههای کاربردی سرورها پشتیبانی از کلید ۵۱۲ بیتی Diffie-Hellman را حذف کردهاند، و این احتمال آسیب پذیری توسط Logjam را کاهش داد. اما همین آسیب پذیری میتواند توسط مهاجمانی با بودجههایی در حد بودجههای ملی در جهت رمز گشایی غیر فعال از سیستمهایی که هنوز به طور پیش فرض از Diffie-Hellman استفاده میکنند، مورد بهره برداری قرار گیرد.
واقعیات نگران کننده
تیم هیلدرمن و هنینگر در ماه می به این واقعیات نگران کننده رسیدند، اما چنین به نظر میرسد که آژانس امنیت ملی از مدتها قبل به این نتیجه رسیده باشد. در حالی که این دانش، NSA را قادر به رمز گشایی ارتباطات در مقیاس انبوه کرده است، میتواند همین توانایی را به کشورهای دیگر که برخی دشمن ایالات متحده هستند نیز بدهد. هیلدرمن و هنینگر نوشتند: «یافتههای ما تنش بین دو ماموریت NSA را روشن میسازد: جمعآوری اطلاعات و دفاع از امنیت کامپیوتر ایالات متحده. اگر فرضیهی ما درست باشد، آژانس تا حد زیاد
از ضعف Diffie-Hellman بهره برداری کرده در حالی که برای کمک به حل مشکل، قدمهای بسیار کوچکی برداشته است. اما در دفاع از آن، NSA به پیادهکنندگان توصیه کرده است که به رمز نگاری با استفاده از خم های بیضوی (که چنین ضعفهایی برای آنها شناخته نشده است) مهاجرت کنند، اما چنین توصیههایی معمولا به خاطر نداشتن توجیه و نتیجهی قابل لمس، نادیده گرفته میشوند. این یک مشکل بغرنج است، زیرا جامعه ی امنیت به سختی به NSA اعتماد دارد و توصیههای NSA را به خاطر شواهد قبلی از تلاش این نهاد در ایجاد در پشتی در استانداردها، نادیده میگیرد.
این وضعیت، امنیت افراد را در خطر میاندازد. آسیب پذیری در این مقیاس بی رویه است (بر روی امنیت همه از جمله شهروندان آمریکایی و شرکتها تاثیر میگذارد)، اما ما امیدواریم که درک فنی روشنتر از سازوکار رمزنگاری و شنود دولتی، قدم مهمی در جهت بهبود وضعیت امنیت همهی افراد باشد.
الگوریتم Diffie-Hellman به دو نفر که قبلا همدیگر را ندیدهاند این امکان را میدهد که روی یک کانال نا امن که توسط یک شنودگر
(با امکانات پیچیده) شنود میشود، کلید مخفیای بین خود به اشتراک بگذارند. این روش همچنین امکان داشتنperfect forward secrecy (این قابلیت که اگر کلیدی لو برود، تنها بخشی از یک مکالمه لو برود نه همهی آن) را فراهم میسازد بدین شکل که به صورت دورهای کلیدهای رمزگذاری را تغییر می دهند. این امکان باعث به مراتب سختتر شدن کار شنود کنندگان است زیرا برای شنود کامل، بر خلاف روشهای مبتنی بر RSA، نیاز به یافتن چندین کلید بجای یک کلیداست.
این تحقیق از این نظر حائض اهمیت است که ضعفهای احتمالی در یک روش رمز نگاری که توسط فعالان حوزهی امنیت توصیه میشد را آشکار میسازد. تیم اصلی تحقیق توصیه میکند که وب سایت ها از کلید ۲۰۴۸ بیتی Diffie-Hellman استفاده کنند و راهنمایی برای توسعه Diffie-Hellman نیز منتشر کرده است. تیم تحقیق همچنین توصیه میکند که کاربران SSH نرم افزار هر دو طرف سرور و کلاینت را به آخرین نسخهی Open SSH به روز رسانی کنند که از تبادل کلید با ترکیبی از Diffie-Hellman و خم بیضوی پشتیبانی میکند.
باید درهای علم به روی همه باز باشد، هرجا مزرعه هست، هرجا آدم هست، آنجا کتاب هم باید باشد.»
— ویکتور هوگو
— ویکتور هوگو
نرمافزار امنیتی شما متن باز/آزاد است آیا این (موضوع) امنیتش را کاهش نمیدهد؟
این سوالی تکراری است که ما معمولا در بنهتک «Benetech» در ارتباط با مارتوس میشنویم. ابزار قدرتمند و رایگان ما برای رمزنگاری، برای امن کردن جمعآوری و مدیریت اطلاعات حساس است که توسط برنامه حقوق بشر بنهتک(۱) ایجاد و آماده شده است. سوال مهمی است برای ما و همه کسانی که توسعهدهنده نرمافزارهای متنباز/آزاد هستند؛ آن هم در عصر پسا-اسنودن که کاربران زیادی نگران درز اطلاعات شخصی یا شنود اطلاعاتشان توسط سرویسهای امنیتی هستند. با این حال ما بر این باوریم که نه تنها نرمافزارهای آزاد امنیت بالایی دارند بلکه برای آن ضروری هستند.
اجازه دهید تا قیاس زیر را تعریف کنیم:
رمزنگاری ترکیبی امنیتی است که باعث حفاظت از اطلاعات شما میشود و شما تنها کسی هستید که از آن ترکیب استفاده میکنید. یا این که این عمل را به یکی از همکارانی که به شما نزدیک است، میسپارید که هدف شما دور نگاهداشتن افراد غیرمجاز از دسترسی به دادههایتان است. آنها ممکن است سارقینی باشند که قصد دزدیدن اطلاعات مرتبط با کسب و کار شما را دارند یا این که کارمندان همرده شما که قصد اطلاع از حقوقتان را دارند. یا موکلی که قصد دزدیدن اطلاعات مرتبط با کلاهبرداری را دارد؛ در تمام این موارد شما مجبورید اطلاعات خود را از آنان محفوظ داشته و از دسترسی افراد غیرمجاز جلوگیری کنید.
حال اجازه دهید بگویم مکانی امن برای اشیاء با ارزشم یافتهام. دو گزینه پیش رو دارم گزینه اول که از گاو صندوقی در تبلیغات مطلع میشوم که نیم اینچ عمق دیواره آن بوده و یک اینچ ضخامت درب آن است. همچنین برای نگهداری اطلاعات از ۶ قفل پیچیده برخوردار است. که توسط آژانس امنیتی مستقلی تایید شده است که تا دو ساعت در آتش دوام میآورد. گزینه دوم این است که از گاوصندوقی استفاده کنم که سازنده آن گفته است روش امن نگاهداشتن چیزهایی که درون است به صورت سری است که میتواند اطلاعات شما را با تخته سهلا و استیلی نازک امن نگاهدارد. پس اینکه به نظر شما کدام یک امنتر است؛ بسیار بدیهی است.
حال باید به دلیل آن که اطلاعات طراحی گاوصندوق اول در اختیار است و میتوان به راحتی با تجهیزات و مواد اولیه لازم همانند آن طراحی کرد، گفت که شفافیت، باعث ناامن بودن گزینه اول خواهد بود؟ خیر، امنیت اطلاعات شما در گاو صندوق اول به دو دلیل است. یکی استفاده از ترکیبات و قدرت بالای آن در حفاظت اشیاء و ترکیبات امنیتی فوقالعاده بالا است و دیگری به خاطر در دسترس بودن اطلاعات گاوصندوق برای کارشناسان که منجر به این میشود که آنان با کمک به طراحی و ارائه راهکارهایی جدید همیشه آن را بهتر از قبل نگاه میدارند. این گزینه باعث میشود که راهی مخفی در گاوصندوق برای گشودن آن وجود نداشته باشد. مثلا اگر مشکلی یا ایرادی در گاوصندوق وجود داشت، که با اطلاع از آن ساق میتوانست آن را به سرعت باز کند، فردی خبره آن را متوجه شده و راهکار آن را ارائه خواهد کرد؛ زیرا که روش طراحی آن برای افراد در دسترس است.
هدف ما از امنیت چیست؟
چیزی نیست که کامل مطلق باشد با این حال تبلیغات در حال اغراق هستند، به عنوان مثال هیچ روش امنیتی وجود ندارد تا اجازه دزدی از اشیاء سرقت شده را به سارقان ندهد و یا کاملا آنان را متوقف کند، بلکه آنها فقط قادرند هزینه دزدی از شما را برای سارقین بالا برند و سرقت از شما هزینهای گزاف داشته باشد. این که بدانید آن روش امنیتی چگونه کار میکند آن را غیر امن نمیسازد. ممکن است علم به مواد اولیه و نوع فلز و یا فولاد به کار رفته در گاوصندوق باعث شود سارقین از ابزار مناسب به آن بهره جویند ولی چنین چیزی نیز باعث نمیشود که بگوییم چنین روشهایی برای سارقین کمهزینه باشند. گاوصندوقی با طراحی و ترکبات رمزی سخت میتواند هر مهاجمی را دلسرد کند.
قیاس ما از گاوصندوق و مکان امن، به راحتی میتواند موضوع نرمافزارهای امنیتی متنباز/آزاد را برای شما روشن کند.
این سوالی تکراری است که ما معمولا در بنهتک «Benetech» در ارتباط با مارتوس میشنویم. ابزار قدرتمند و رایگان ما برای رمزنگاری، برای امن کردن جمعآوری و مدیریت اطلاعات حساس است که توسط برنامه حقوق بشر بنهتک(۱) ایجاد و آماده شده است. سوال مهمی است برای ما و همه کسانی که توسعهدهنده نرمافزارهای متنباز/آزاد هستند؛ آن هم در عصر پسا-اسنودن که کاربران زیادی نگران درز اطلاعات شخصی یا شنود اطلاعاتشان توسط سرویسهای امنیتی هستند. با این حال ما بر این باوریم که نه تنها نرمافزارهای آزاد امنیت بالایی دارند بلکه برای آن ضروری هستند.
اجازه دهید تا قیاس زیر را تعریف کنیم:
رمزنگاری ترکیبی امنیتی است که باعث حفاظت از اطلاعات شما میشود و شما تنها کسی هستید که از آن ترکیب استفاده میکنید. یا این که این عمل را به یکی از همکارانی که به شما نزدیک است، میسپارید که هدف شما دور نگاهداشتن افراد غیرمجاز از دسترسی به دادههایتان است. آنها ممکن است سارقینی باشند که قصد دزدیدن اطلاعات مرتبط با کسب و کار شما را دارند یا این که کارمندان همرده شما که قصد اطلاع از حقوقتان را دارند. یا موکلی که قصد دزدیدن اطلاعات مرتبط با کلاهبرداری را دارد؛ در تمام این موارد شما مجبورید اطلاعات خود را از آنان محفوظ داشته و از دسترسی افراد غیرمجاز جلوگیری کنید.
حال اجازه دهید بگویم مکانی امن برای اشیاء با ارزشم یافتهام. دو گزینه پیش رو دارم گزینه اول که از گاو صندوقی در تبلیغات مطلع میشوم که نیم اینچ عمق دیواره آن بوده و یک اینچ ضخامت درب آن است. همچنین برای نگهداری اطلاعات از ۶ قفل پیچیده برخوردار است. که توسط آژانس امنیتی مستقلی تایید شده است که تا دو ساعت در آتش دوام میآورد. گزینه دوم این است که از گاوصندوقی استفاده کنم که سازنده آن گفته است روش امن نگاهداشتن چیزهایی که درون است به صورت سری است که میتواند اطلاعات شما را با تخته سهلا و استیلی نازک امن نگاهدارد. پس اینکه به نظر شما کدام یک امنتر است؛ بسیار بدیهی است.
حال باید به دلیل آن که اطلاعات طراحی گاوصندوق اول در اختیار است و میتوان به راحتی با تجهیزات و مواد اولیه لازم همانند آن طراحی کرد، گفت که شفافیت، باعث ناامن بودن گزینه اول خواهد بود؟ خیر، امنیت اطلاعات شما در گاو صندوق اول به دو دلیل است. یکی استفاده از ترکیبات و قدرت بالای آن در حفاظت اشیاء و ترکیبات امنیتی فوقالعاده بالا است و دیگری به خاطر در دسترس بودن اطلاعات گاوصندوق برای کارشناسان که منجر به این میشود که آنان با کمک به طراحی و ارائه راهکارهایی جدید همیشه آن را بهتر از قبل نگاه میدارند. این گزینه باعث میشود که راهی مخفی در گاوصندوق برای گشودن آن وجود نداشته باشد. مثلا اگر مشکلی یا ایرادی در گاوصندوق وجود داشت، که با اطلاع از آن ساق میتوانست آن را به سرعت باز کند، فردی خبره آن را متوجه شده و راهکار آن را ارائه خواهد کرد؛ زیرا که روش طراحی آن برای افراد در دسترس است.
هدف ما از امنیت چیست؟
چیزی نیست که کامل مطلق باشد با این حال تبلیغات در حال اغراق هستند، به عنوان مثال هیچ روش امنیتی وجود ندارد تا اجازه دزدی از اشیاء سرقت شده را به سارقان ندهد و یا کاملا آنان را متوقف کند، بلکه آنها فقط قادرند هزینه دزدی از شما را برای سارقین بالا برند و سرقت از شما هزینهای گزاف داشته باشد. این که بدانید آن روش امنیتی چگونه کار میکند آن را غیر امن نمیسازد. ممکن است علم به مواد اولیه و نوع فلز و یا فولاد به کار رفته در گاوصندوق باعث شود سارقین از ابزار مناسب به آن بهره جویند ولی چنین چیزی نیز باعث نمیشود که بگوییم چنین روشهایی برای سارقین کمهزینه باشند. گاوصندوقی با طراحی و ترکبات رمزی سخت میتواند هر مهاجمی را دلسرد کند.
قیاس ما از گاوصندوق و مکان امن، به راحتی میتواند موضوع نرمافزارهای امنیتی متنباز/آزاد را برای شما روشن کند.
همانند امنیت گاوصندوق مذکور امنیت نرمافزار قوی رمزنگاری به دلیل آزاد بودن برای شما پرخطر نیست. در واقع کد منبع نرمافزار امنیتی با دیده شدن توسط دیگران تقویت شده و بر حسب نیاز امنیت و حریم خصوص کاربران افزایش خواهد یافت. این همان دلیلی است که مرتبا اشاره میشود که نرمافزارهای آزاد با بررسی توسط کاربر نهایی ، میتواند از راههای پنهان و درهای پشتی عاری باشد. در دنیایی که نظارت بر کاربران در حال تبدیل به یک هنجار است؛ بدیهی است کاربران خواهان شفافیت در عرضه محصولات امنیتی باشند و لزوم حفاظت از حریم خصوصی و بالا بردن امنیت بسیار حیاتی است. این موضوع برای فعالین حقوق بشر، روزنامهنگاران، فعالین گروههای مدنی و اجتماعی، سازمانهای مردمنهاد «NGOها» و دیگران بازیگران عرصه عدل و عدالت که امنیت و حریم خصوصی برای آنان از نزدیک ملموس است، ضروری است.
شاید موضوع متنباز بودن کد منبع برنامهای امنیتی منجر به بالا رفتن امنیت برنامه میشود را یک پارادوکس بدانید، با این حال با توجه به قیاس مذکور در ابتدای مقاله نرمافزاری که به صورت متن بسته عرضه میشود امنیت را بالاتر نخواهد برد؛ زیرا که امنیت به نحوه کار ترکیبات رمزی، الگوریتمهای مورد استفاده و دیگر موارد موثر وابسته است. با این حال همانطور که در قیاس ذکر شد مهاجمان با مطالعه عمیق کدهای برنامه متنباز میتوانند به مواردی دستیابند که باعث حمله به امنیت کاربران شود ولی امنیت به معنای عدم حمله و نبود ضعف نیست بلکه باعث پرهزینه شدن حمله و سرقت میشود.
ما در بنهتک بر این عقیده هستیم که استفاده از مدل متنباز برای توسعه به جامعه کاربران کمک خواهد کرد تا ما را در بهبود کدهایمان یاری دهند. در رابطه با موضوع مارتوس ما دیگر به اختراع مجدد چرخ نیازی نداشتیم و میتوانستیم به راحتی از ابزارهای موجود مانند ابزار تور (۲) «Tor» برای ناشناس ماندن و دیگر ابزار متنباز و آزاد بهره جوییم.
موضوع نرمافزارهای امنیتی برای فعالین حقوق بشر به موضوعی مهم برای فعالین تبدیل شده است که به طور روزافزونی خواهان پشتیبانی از فعالین امنیتی در این بخشها هستند. برخی از آنان بمانند بنیاد فنآوری باز که کاربران را برای بررسی کدها تشویق مینماید. به طور جامع استفاده از نرمافزارهایی با شفافیت بالا، مسیولیتپزیری بیشتر و اثباتپزیری قویتر منجر به بهبود امنیت نرمافزار خواهد شد که تمامی این موارد در نرمافزارهای آزاد قابل دسترسی هستند.
1- Benetech Human Rights Program
۲− Tor- برنامهای برای ناشناس ماندن در اینترنت است که از شبکهای از کاربران در اینترنت شکل گرفته است.
شاید موضوع متنباز بودن کد منبع برنامهای امنیتی منجر به بالا رفتن امنیت برنامه میشود را یک پارادوکس بدانید، با این حال با توجه به قیاس مذکور در ابتدای مقاله نرمافزاری که به صورت متن بسته عرضه میشود امنیت را بالاتر نخواهد برد؛ زیرا که امنیت به نحوه کار ترکیبات رمزی، الگوریتمهای مورد استفاده و دیگر موارد موثر وابسته است. با این حال همانطور که در قیاس ذکر شد مهاجمان با مطالعه عمیق کدهای برنامه متنباز میتوانند به مواردی دستیابند که باعث حمله به امنیت کاربران شود ولی امنیت به معنای عدم حمله و نبود ضعف نیست بلکه باعث پرهزینه شدن حمله و سرقت میشود.
ما در بنهتک بر این عقیده هستیم که استفاده از مدل متنباز برای توسعه به جامعه کاربران کمک خواهد کرد تا ما را در بهبود کدهایمان یاری دهند. در رابطه با موضوع مارتوس ما دیگر به اختراع مجدد چرخ نیازی نداشتیم و میتوانستیم به راحتی از ابزارهای موجود مانند ابزار تور (۲) «Tor» برای ناشناس ماندن و دیگر ابزار متنباز و آزاد بهره جوییم.
موضوع نرمافزارهای امنیتی برای فعالین حقوق بشر به موضوعی مهم برای فعالین تبدیل شده است که به طور روزافزونی خواهان پشتیبانی از فعالین امنیتی در این بخشها هستند. برخی از آنان بمانند بنیاد فنآوری باز که کاربران را برای بررسی کدها تشویق مینماید. به طور جامع استفاده از نرمافزارهایی با شفافیت بالا، مسیولیتپزیری بیشتر و اثباتپزیری قویتر منجر به بهبود امنیت نرمافزار خواهد شد که تمامی این موارد در نرمافزارهای آزاد قابل دسترسی هستند.
1- Benetech Human Rights Program
۲− Tor- برنامهای برای ناشناس ماندن در اینترنت است که از شبکهای از کاربران در اینترنت شکل گرفته است.
Forwarded from Youtube Box
This media is not supported in your browser
VIEW IN TELEGRAM
What is Apache Web Server?
@youtubeboxbot
@youtubeboxbot