جلال روحانی

قلم فارسی Iranian Sans

 خبر  ۶ Responses »
آذر ۲۷۱۳۸۹
 

حتما تا به حال در نگارش‌هایتان از قلم‌های فارسی خانواده برنا رایانه استفاده کرده‌اید. شاید هم از قلم نچندان زیبای نستعلیق و یا نیریزی که شورای عالی اطلاع رسانی منتشر کرده است، استفاده کرده باشید. اگر هم از کاربران لینوکس باشید، می‌بایست با پروژه فونت فارسی آزاد آشنا باشید. این مقدمه برای این بود که شما را دعوت به استفاده از فونت نسبتا جدید فارسی Iranian Sans کنم. این قلم توسط آقای هومن بهرام در قالب یکی از پروژه‌های قدیمی لینوکس فارسی توسعه داده شده است و در اندازه‌های کوچک، از تاهوما خوانا تر است.

 Posted by جلال روحانی at 9:59 ب.ظ  Tagged with: ,

۷ پیشنهاد برای کنترل امنیت اطلاعات

 امنیت  No Responses »
آذر ۲۲۱۳۸۹
 

بسیاری از شرکت ها و سازمان های بزرگ و کوچک برای تامین امنیت اطلاعات خود از راهکارهای مدرن و توسعه یافته استفاده می‌کنند. راهکارهای امروزی تامین امنیت اطلاعات، با استفاده از فن‌آوری های مختلفی پیاده سازی می‌شوند. امنیت شبکه، امنیت سرویس‌دهنده‌ها و امنیت برنامه‌های کاربردی همگی باهم، تنها، باعث ایجاد زمینه امنیت اطلاعات می‌شوند. نکته‌ای که به صورت رایج در مورد امنیت اطلاعات در نظر گرفته نمی‌شود، ضرورت ایجاد ساختار مناسب برای استفاده از مزایای فن‌آوری‌های امنیتی است. با استفاده از ایجاد ساختار و همبندی مناسب، امکان مدیریت، کنترل و ایجاد روال‌های امنیتی برای زیرساخت‌های امنیت اطلاعات فراهم  می‌شود. این نوشتار به صورت خلاصه پیشنهاداتی را برای استفاده از فن‌آوری‌های امنیت اطلاعات بیان می‌کند.

محیط خود را بشناسید

پیش از انجام هر اقدام، تغییر و یا ارایه هر پیشنهاد و درخواستی، می‌بایست نسبت به محیطی که برای امنیت اطلاعات آن در تلاش هستید، آشنایی پیدا کنید. آشنایی سطحی منجر به تصمیمات سطحی خواهد بود! پس تلاش کنید تا تمام اجزای اصلی بخش‌هایی را که امنیت اطلاعات آن‌ها مهم است، از طریق مناسب بشناسید. شما می‌بایست تمام سخت‌افزارها و نرم‌افزارهای موجود را فهرست کرده باشید و از جزییات دسترسی هر کدام آگاهی داشته باشید. برنامه‌های کاربردی و نوع کارکرد آن‌ها نیز برای تصمیم گیری شما مهم است. پروتکل‌های مورد استفاده و نوع تبادل داده در میان برنامه‌های کاربردی به صورت مستقیم با نحوه همبندی شبکه شما مرتبط است.

نقش‌ها را تعیین کنید

پس از آشنایی با محیط عملیاتی، می‌بایست تمامی نقش‌های اجزای سازنده، تعیین و مستند شوند. ممکن است مسئولیت انجام این کار با شما نباشد، در این صورت سعی کنید فرد مرتبط با این موضوع را برای ایجاد سند مربوط آگاه سازید. تعدادی از نقش‌های اصلی عبارت است از وظیفه هر سرور و نوع ارایه سرویس توسط هر سرویس‌دهنده. همچنین نقش برنامه‌های کاربردی در منطق کسب و کار سازمان شما بیانگر میزان اهمیت امنیت اطلاعات برای آن‌ها است. در نظر داشته باشید نقش‌های انسانی نیز در تدوین مدل امنیتی سازمان شما حیاتی است. سعی کنید برای تمامی مواردی که در مرحله شناخت برای شما مهم بوده‌اند، نقش مرتبط را تعیین کنید.

نوع دسترسی‌ها را بررسی کنید

پس از تعیین نقش‌های اصلی، نوع دسترسی برای هر گروه و هر فرد می‌بایست مشخص شود. تمامی اجزای شبکه سازمان شما، می‌بایست دارای نوع دسترسی کنترل شده باشند. از دیدگاه شبکه‌، تمامی کاربران سیستم‌های اطلاعاتی نیز قسمتی از اجزای شبکه می‌باشند. همچنین کاربران راه دور، شرکت‌های همکار، شعب و مشتریان قسمت دیگری از اجزای شبکه می‌باشند. هر چند ممکن است تمامی این اجزا در ۲ و یا ۳ گروه دسترسی خلاصه شوند، اما این دسته بندی می‌بایست آگاهانه و به دور از ایجاد استثنا برای کارهای موقتی باشد. بسیاری از حملات و آسیب‌پذیری‌ها بر روی شبکه‌های اطلاعاتی، به خاطر ایجاد استثنا در زمان نیاز می‌باشد.

از چیز‌هایی که نمی‌دانید به آسانی عبور نکنید

پس از تمامی کنترل‌های اولیه، به احتمال زیاد نقاط تاریکی در ساختار شبکه و سازمان اطلاعاتی شما باقی خواهد ماند. این نقاط تاریک مناسب‌ترین محل شروع برای یک حمله به سمت سازمان شما خواهد بود. خرابکاران اینترنتی و نرم‌افزارهای مخرب تبحر ویژه‌ای در یافتن این نقاط و سواستفاده از آن‌ها  دارند. هر چه قدر این نقاط تاریک مشخص‌تر و شفاف‌تر باشند، شانس خرابکاری و آسیب بر روی اطلاعات مهم شما کمتر خواهد بود. اگر نمی‌توانید تمامی نقاط تاریک را برطرف سازید، حداقل آن را به عنوان یک مشکل مستندسازی کنید و مدیران سازمان خود را از وجود آن مطلع سازید.

چرخ را دوباره اختراع نکنید

ضرب‌العجل‌های کاری، کمبود زمان و نیرو، عدم اشرف کامل به فن‌آوری‌های اطلاعاتی و احساس دانای‌کل بودن از جمله مواردی است که باعث ایجاد مجدد چرخ‌ در سازمان‌ها می‌شود. هر چند این موارد ممکن است در بازه‌های زمانی موقت باعث انجام کار شود، اما در دراز مدت باعث ایجاد هرج و مرج اطلاعاتی و عدم امکان کنترل و مدیریت امنیت اطلاعات خواهد شد. به عنوان مثال استفاده از الگوریتم‌های رمزنگاری خودساخته و غیراستاندارد، و یا ایجاد روش‌های افزونگی غیراستاندارد، و یا استفاده از برنامه‌های اطلاعاتی بدون پشتیبانی مناسب، از مهم‌ترین مواردی است که باعث بروز آسیب‌پذیری‌های امنیتی می‌شوند.
همچنین عدم در نظر گرفتن شیوه‌نامه‌ها و استانداردهایی که برای هر صنعت متداول است، می‌تواند باعث افزایش شانس بروز آسیب‌پذیری‌های امنیتی در ساختار اطلاعاتی سازمان شود. برای این مورد هم می‌توان به عنوان نمونه، از عدم رعایت شیوه‌نامه‌ بازل در صنعت بانکداری در بخش امنیت اطلاعات اشاره نمود.

همه چیز را دوباره بررسی کنید

هر چند در سازمان شما زمان و انرژی زیادی صرف کنترل و بررسی موارد امنیتی و اطلاعاتی شده است، اما می‌بایست در نظر داشت که اطمینان از صحت داشته‌ها و اطلاعات، اولین شرط برای شروع اجرای تصمیمات جدید است. سعی کنید یک فهرست از تمام مواردی که برای امنیت اطلاعات سازمان شما حیاتی است تهیه کنید و با مراجعه به افراد مسئول و تصمیم‌گیر در هر مورد آخرین بررسی‌ها در مورد صحت داشته‌ها و اطلاعات را انجام دهید. پس از بررسی و کنترل، سندی از اطلاعات مورد توافق تهیه کنید و آن را به عنوان معیار هر مورد اطلاعاتی قرار دهید. به عنوان مثال نوع دسترسی افراد به اطلاعات و میزان دسترسی تجهیزات تحت شبکه به منابع شبکه از مواردی است که می‌بایست Double Check و نهایی گردد. از این پس، تصمیم اخذ شده به عنوان معیاری برای اعمال قوانین امنیتی خواهد بود.

همه چیز را به صورت مستمر کنترل کنید

آخرین بخش پیشنهادی، Monitoring  است. تمامی اطلاعاتی که از ساختار اطلاعاتی خود کسب کرده‌اید و تمامی اجزای ساختار امنیت اطلاعات در سازمان شما می‌بایست به صورت مستمر و بدون وقفه تحت کنترل باشد. قسمتی از این کنترل مستمر روال‌های انسانی و قسمت مهم‌تر آن ذخیره‌سازی و پردازش لاگ‌فایل‌ها و گزارشات امنیتی است. به زبان ساده‌تر، پایش امنیتی تمامی اجزای ساختار امنیت اطلاعات در سازمان شما، کلید حفظ وضعیت مطلوب و آگاهی از بروز وقایع در تمامی زمان‌ها است.

 Posted by جلال روحانی at 8:10 ب.ظ  Tagged with: ,

چگونه آلودگی هوا را درک کنیم!

 خبر  ۴ Responses »
آذر ۲۱۱۳۸۹
 

هوای تهران مدتی است که بیش از اندازه آلوده شده است. خبرها و گزارش‌های مختلفی در این مورد منتشر می‌شود، اما وقتی اعداد این اخبار را درک نکنیم و آنچه که می‌شنویم با آنچه که این روزها در آسمان تهران می‌بینیم، تفاوت زیادی داشته باشد،  حتما بر میزان نگرانی‌مان از هوایی که تنفس می‌کنیم افزوده خواهد شد. این نوشته کوتاه، نتیجه جستجو‌های شخصی من به عنوان یک شهروند معمولی در مورد آلودگی هوای تهران است. ممکن است برداشت شخصی من از این جستجوها با واقعیت تفاوت داشته باشد. هوایی که امروز بر ما در تهران گذشت، شاید یکی از بدترین روز‌هایی بود که به خاطر دارم.

آلودگی هوای تهران در آذر ۸۹

آلودگی هوا چیست؟

آلودگی هوا بر اساس تعریف کوتا ویکیپدیا ناشی از تغییر در ویژگی‌های طبیعی جو براثر مواد شیمیایی، غباری یا عامل‌های زیست‌شناختی است. این تغییرات بر اثر آلاینده‌ها و گازهای گلخانه‌ایی اتفاق می‌افتد، که به علت‌های گوناگونی ممکن است ایجاد شوند. دانشگاه علوم پزشکی تهران، در نوشته‌ای کوتاه برخی از این آلاینده‌ها را این گونه فهرست کرده است:

۱- ذرات جامد (particulate matter): این ذرات از سد دفاعی طبیعی بدن عبور می کنند و به طور عمقی به ریه ها نفوذ و باعث تشدید آسم و اختلال عملکرد ریوی می شوند.
۲- ازن O3: این گاز از واکنش های شیمیایی در جو و تحت تاءثیر نور آفتاب تولید می شود و محرک قوی سیستم تنفسی است.
۳- دی اکسید نیتروژن NO2
۴- منواکسید کربن CO
۵- سرب
۶- دی اکسید گوگرد SO2
۷- سولفات ها و سولفیدهیدروژن
۸- آکرولئین  Acrolein (تشدید آسم )
۹- دیوکسین: دیوکسین باعث  تشدید اختلال در تکامل جنین و افزایش خطر سرطان می گردد.

برای بیان میزان آلایندها از شاخص استاندارد آلاینده‌ها یا همان PSI و برای بیان کیفیت هوا از شاخص کیفیت هوا یا همان AQI استفاده می‌شود. برای مشخص کردن این شاخص‌ها از رابطه‌هایی استفاده می‌شود که می‌توانید در سند Guidelines for the Reporting of Daily Air Quality – the Air Quality Index بیشتر در مورد آن‌ها مطالعه کنید. در جدول صفحه ۱۲ این سند، آمده است:

هوای تهران

شرکت کنترل کیفیت هوای تهران، وظیفه برنامه‌ریزی، پژوهش و تحقیق در زمینه کاهش و کنترل آلودگی‌های زیست محیطی هوا و صدا در محیط‌های شهری و صنعتی را بر عهده دارد. گزارش‌های روزانه‌ای از جایی به اسم مرکز هماهنگی اطلاع رسانی آلودگی هوا در در این وب سایت درج می‌شود. به عنوان مثال، برای امروز این گزارش بر خلاف اخباری که در رسانه‌های رسمی درج شده است، نشان دهند وخیم‌تر شدن هوا نسبت به دیروز می‌باشد.

بررسی‌های دیگری مانند بررسی غلظت ذرات معلق و شاخص کیفیت هوا (AQI) در محدوده ی مرکزی شهر تهران نیز برای تهران انجام شده است. اگر به دنبال اطلاعات بیشتری هستید در مورد هوای مکزیکوسیتی و یا برنامه‌های بانک جهانی در مورد آلودگی هوا می‌توانید مطالعه کنید. ممکن است که شاخص تولید سرانه گاز CO2 برای ایران کم باشد، اما این شاخص از ۱۰ سال پیش تقریبا ۲ برابر شده است و برای هر ایرانی شاخ تولید سالانه به بیش از ۷ تن گاز مونوکسید کربن در سال ۲۰۰۷ رسیده است.

وضعیت هوای تهران

مطالب بالا مقدمه‌ای بود برای این قسمت. هوای تهران توسط شرکت کنترل کیفیت هوای تهران با استفاده از برنامه AirWare از شرکت ESS کنترل می‌شود. خروجی‌های این برنامه نشان دهنده وضعیت هوای تهران و منبع اصلی اخبار در رسانه‌های مختلف رسمی کشور است و شاید معیار بسیاری از تصمیم‌گیری‌های دیگر نیز باشد. این برنامه با استفاده از نتایج ایستگاه‌های سنجش آلودگی هوا و پردازش داده‌ها نقشه‌هایی را از وضعیت فعلی آلودگی مدل‌سازی می‌کند. دسترسی به آخرین وضعیت کیفیت هوا برای همگان تا این لحظه فراهم شده است و می‌توانید از نتایج مطلع شوید. تنها جای سوالی که می‌ماند، اختلاف نتایج سایت ایرانی با سایت شرکت تولید کننده است. در وب سایت شرکت تولید کننده، تمامی اعداد تقریبا دو برابر میزانی است که در سایت ایرانی نمایش داده می‌شود. من نتیجه‌ای از این موضوع نمی‌توانم بگیریم به جز اینکه امیدوار باشم اشتباه کرده باشم.

نقشه‌ای که در وب سایت شرکت کنترل کیفیت هوای تهران نمایش داده می‌شود:

نقشه‌ای که در وب سایت شرکت ESS از وضعیت آلودگی هوای تهران نمایش داده می‌شود:

امیدوارم که من اشتباهی کرده باشم، و هوای تهران واقعا چنین آلوده نباشد!

 Posted by جلال روحانی at 3:00 ق.ظ  Tagged with: ,

امنیت ماشین‌های مجازی

 امنیت  No Responses »
آذر ۱۴۱۳۸۹
 

استفاده روزافزون از سیستم‌های “مجازی سازی” (Virtualization) در سازمان ها و شرکت ها باعث جلب علاقه خرابکاران و همچنین جذب فعالان امور امنیتی به سوی این سیستم‌های مجازی شده است. با وجود اینکه مجازی سازی مزایای عمده و قابل توجهی برای سازمان ها دارد، اما عدم توجه به نکات امنیتی می تواند باعث بروز آسیب‌ های جدی گردد.

آسیب‌پذیری ماشین‌های مجازی

به طور کلی آسیب‌پذیری ماشین‌های مجازی به سه گروه تقسیم می شود.

  • گروه اول آسیب‌پذیری هایی هستند که به صورت پیش‌فرض در سیستم‌های عامل و برنامه‌های کاربردی وجود دارند و حتی اگر برنامه‌ها بدون در نظر گرفتن مجازی سازی اجرا شوند، باز هم خواهند بود. این دسته را آسیب‌پذیری های ذاتی می نامیم.
  • گروه دوم آسیب‌پذیری هایی هستند که به علت آسیب‌پذیر بودن سیستم مجازی سازی (مانند محصولات خانواده Vmware و یا OracleVM) وجود دارند. این دسته از مشکلات به واسطه ایرادات طراحی و کشف نقاط آسیب‌پذیر از سوی محققان امنیتی بوجود می آیند و معمولاً پس از اطلاع تولید کنندگان این سیستم‌ها، توسط آنها برطرف می شوند.  این دسته را آسیب‌پذیرهای محیط مجازی سازی می نامیم.
  • گروه سوم آسیب‌پذیری هایی هستند که به واسطه رعایت نکـردن اصـول پیـاده‌سازی از سوی مدیران و راهبران این  سیستم‌های مجازی به وجود می آیند. بخش عمده ای از این دسته از مشکلات در بخش Networking  و Storage به وجود می‌آیند. این دسته را آسیب‌پذیرهای پیاده‌سازی می نامیم.

مقابله با آسیب‌پذیری ماشین‌های مجازی

روش مقابله با آسیب‌پذیری های ذاتی، مانند تمامی برنامه‌های دیگر می باشد. همواره سیستم عامل و سایر برنامه‌ها را به روز نگه دارید و اگر این سیستم نقش حیاتی در سازمان شما دارد، سعی کنید از آخرین نسخه پایدار آن استفاده کرده و طبق توصیه ‌های امنیتی تولید کننده سیستم، عمل نمایید.
برای مقابله با آسیب‌پذیرهای محیط مجازی سازی (مانند محصولات Vmware) علاوه بر به روز رسانی و بکارگیری آخرین نسخه ها، این موارد را نیز در نظر داشته باشید.

  • آخرین به روز رسانی ها را به محض تأیید از طرف تولید کننده نصب کنید. بیشتر ابزارهای مجازی سازی می‌توانند به صورت خودکار آخرین نسخه خود را کنترل کرده و اعلام کنند.
  • سخت افزارهای غیر لازم را از سرورهای مجازی سازی جدا کنید. به عنوان مثال، یک دیسک گردان فلاپی که از آن استفاده نمی‌کنید و یا کارت های شبکه ای که مورد استفاده قرار نگرفته اند، باید از سرور جدا شوند و یا غیر فعال گردند.
  • سرویس های غیر لازم و بلااستفاده مانند سرویس به اشتراک گذاری فایل و یا Clustering را غیر فعال کنید. تمامی سرویس هایی که مورد نیاز نیستند، می‌توانند یک نقطه شروع برای آغاز حمله به سمت محیط مجازی شما باشند.
  • سعی کنید تمام ماشین‌های مجازی را تحت کنترل دایم داشته باشید. هم‌اکنون بیشتر ابزارهای پایش شبکه (Network Monitoring)  امکانات جدیدی را برای ماشین‌های مجازی اضافه کرده اند.
  • از فایل‌های “ثبت وقایع” (log) استفاده کنید. آن‌ها را مرور و در صورت امکان ذخیره کنید. شاید در زمان بروز مشکل تنها روشی که به شما در مشکل یابی و برطرف کردن آن کمک کند، همین فایل‌ها باشند.

برای راهنمایی بیشتر در مـورد حساسیت‌های امنیتی در راه اندازی سیستم‌های مجازی، مطالعه سند SP800-125 را که از سوی  موسسه NIST منتشر شده، پیشنهاد می کنیم.

 Posted by جلال روحانی at 12:17 ق.ظ  Tagged with:

۲۰ دلیلی که اطلاعات سازمانی از بین می‌روند

 امنیت  No Responses »
تیر ۲۵۱۳۸۹
 

از بین رفتن و یا به بیرون درز کردن اطلاعات سازمانی به اندازه تعداد افرادی که به آن‌ها دسترسی دارند متنوع است. علت عمده از بین رفتن اطلاعات و داده‌ها و یا نشت امنیتی‌ این گونه اطلاعات خطاهای انسانی خواسته و یا ناخواسته است. علت عمده این خطاهای ناخواسته بر خلاف تصور عمومی ندانستن و عدم وجود دانش نیست، بلکه سهل‌انگاری و تنبلی باعث ایجاد خطا و بروز نشت اطلاعات و یا از بین رفتن اطلاعات می‌شود.

در نوشته ۲۰ روشی که بانک اطلاعاتی شما از دست خواهد رفت، CREDANT این موارد را بیان کرده است:

  1. Employees able to access a database regardless of their need to do so, with sight of complete records including information that they do not necessarily need to see
  2. Unrestricted downloading of the database to removable media
  3. Employees able to print individual records, or even the full database, in hard copy format
  4. Employees able to access records, in undefined quantities or for unlimited periods of time, providing the opportunity to make a written copy
  5. Records, or even the entire database, altered or deleted
  6. The full database, or individual files, emailed as an attachment
  7. The full database, or individual files, uploaded to an external storage facility/website or a hosted document storage and management solution.
  8. Loss of external or portable media (memory sticks, CDs, laptops, etc) that contain unencrypted information, often during travel.
  9. Misplaced, or stolen, devices (laptops, blackberries, etc) used as a back door to the corporate network
  10. Secure employment for the purpose of having unrestricted access to confidential data with criminal intent
  11. Existing employees being coerced into removing data for financial gain
  12. Ex-employees who have not had their access rights revoked
  13. Photocopy hard copies
  14. Over the shoulder screen theft from mobile workforce
  15. Writing down, or even sharing, passwords
  16. Hacked WiFi networks – even with passwords
  17. Use of non-alphanumeric passphrases and passphrases of eight or less characters – which can be cracked in a few hours
  18. Use of unvetted external contractors or companies
  19. Use of vetted external companies on contracts without remediation/penalty clauses on responsibilities for when things go pear-shaped on the data security front
  20. Failure to use encrypted back-up storage media
 Posted by جلال روحانی at 2:25 ب.ظ  Tagged with:
 Older Entries  Newer Entries
© 2011 تکوپدیا Suffusion theme by Sayontan Sinha