مدیریت محافظت از شبكه‌هاي كامپيـــــوتري 1

ذخیره سازی دیسک تکرارساز
پشتیبان داده ها چندین مشکل مربوط به سلامت داده ها را نمی تواند جواب دهد. نخست، زمان بندی تهیه پشتیبان می باشد:
هر گونه داده تغییر یافته از زمان آخرین تهیه پشتیبان در یک خرابی فاجعه‌آمیز از دست می رود. دوم، مشکل بازبودن فایل ها را داریم تهیه پشتیبان از فایل های باز غیر ممکن می باشد و بسیاری از سیستم ها تعدادی از فایل ها را به طور همیشگی برای انجام عملیات باز نگه می دارند. سوم، زمان بازیافت یک مشکل داریم: جهت بازیافت از یک نوار به چندین ساعت نیاز داریم که می تواند مشکلات زیادی را برای محیط های کاری بلادرنگ ایجاد کند.
می توان این مشکلات را با استفاده از (RAID) رفع نمود. ایده RAID ساده می باشد: از چندین دیسک جهت فراهم نمودن تکرارسازی سخت افزاری استفاده کنید و بدین ترتیب ریسک از دست دادن داده ها هنگام خرابی دیسک را کاهش دهید . ایده RAID توسعه داده شده است تا بازدهی از طریق چندین درایو برای زیر سیستم دیسک بهبود داده شود.
سطوح مختلف RAID وجود دارند هر یک ویژگیهای متفاوتی را فراهم می‌سازند و دارای مزیت ها و کاستی های خاص خود می باشند.
نخست، RAID 0 ،اجرای بهتری را فراهم می سازد: RAID 0 داده ها را بر روی چندین دیسک درایو توزیع می کند. این سیستم بازدهی احتمالی اینکه زیر سیستم دیسک بتواند چندین بخش مختلف از یک فایل مشابه از چندین چرخش درایو در یک زمان به دست آورد را افزایش می دهد. RAID 0 فواید بیشتر دیگری را در رابطه با تحمل خرابی فراهم نمی‌سازد در واقع، یک سیستم RAID 0 در مقابل خرابی آسیب پذیر می باشد زیرا بیش از یک دیسک دارد که هر یک از آنها با خرابی می توانند کل حجم آن را از کار بیندازند.
RAID 1 از نظارت و / یا استفاده دو طرفه از دیسک تشکیل می شود. RAID 1 تحمل خرابی خطا و در سیستم های پیشرفته با عملکرد بالاتر را فراهم می سازد، زیرا داده های مشابه را می توان از چندین دیسک و / یا کنترل کننده ها خواند.
RAID 2 که اصلاً رایج نمی باشد داده ها را به صورت بیت به بیت بر روی دیسک ها توزیع می کند.
RAID 3 داده ها را در سطح بابت بر روی تمام دیسک ها توزیع می کند و از یک درایو جداگانه جهت ذخیره سازی داده های checksum/parity استفاده می کند. در صورت خرابی یک درایو، داده های توازن را می توان جهت ساخت مجدد RAID  بر روی یک دیسک جدید معاوضه شده بدون هیچ گونه از دست دادن داده ها استفاده نمود.    RAID 3 اغلب به دلیل توزیع داده ها و همچنین فراهم نمودن عامل تحمل خرابی بالا به خوبی کار می کند . تهیه پشتیبان از درایو توازن می تواند تحمل خطا را به دلیل کاهش ریسک خرابی این درایو بهتر سازد.
RAID 4 داده ها را در سطح بلوک توزیع نموده و مانند RAID3 از درایو توازن استفاده می کند. RAID4 می تواند به صورت بالقوه کاراتر از RAID 3 باشد، زیرا داده ها فرایندهی خواندن و نوشتن به صورت واحد را جهت دسترسی و ذخیره سازی به کار می گیرند.
RAID 5 داده ها را در دو سطح بلوک مانند RAID 4  توضیح می کند، اما بر خلاف RAID 3  و RAID 4 داده های توازن را بر روی تمام دیسک ها توزیع می نماید. این روش مشکلات حاصله از نگهداری داده های توازن بر روی یک دیسک را حذف می کند و بدین ترتیب عملیات نوشتنی بیشتری را برای سیستم با نرخ سریعتر فراهم می سازد این روش می تواند بازسازی RAID  را آهسته تر کند.
RAID  را می توان در نرم افزار یا در سخت افزار با سیستم عامل خاص – کنترل کننده های RAID  ترانسپارنت  – پیاده سازی نمود روشهای سخت افزاری به طور کل بسیار بهتر عمل می کنند اما غالباً هزینه زیادی را در بر دارند. روشهای سخت افزاری امکانات بیشتری مرتبط با تعویض بدون خاموش نمودن درایوها را فراهم می سازند. اگر یم دیسک در چنین وضعیتی خراب شود می توانید به سادگی درایو از کار افتاده را با نوع جدید آن عوض کنید و بدین ترتیب زمان مدت خرابی سیستم را حذف نمایید . تعدادی از سیستم های تعویض بدون خاموش کردن سیستم نصب دیسک پشتیبان را ممکن می سازند که سریعاً در صورت خرابی یک دیسک می تواند در سیستم با مابقی دیسک ها ادغام شود. سپس می توانید دیسک خراب را با یک دیسک جدید تعویض نمایید که خود به یک دیسک پشتیبان تبدیل می شود.

فصل یازدهم

پیـــــــاده‌‌ سازی برنامــــــه سلامت داده‌ها
 
پیاده‌سازی برنامه سلامت داده‌ها
عوامل زیر را هنگام ارزیابی برنامه سلامت داده‌ها در نظر داشته باشید:
    اهمیت داده‌ها ـ داده‌های شما از چه درجه‌ای از اهمیت برخوردارند؟ از دست ندادن داده‌ها بسیار حساس و مهم می‌باشند یا مراقبت از سرویس‌دهنده برایتان مهم می‌باشد؟ آیا استفاده از نسخه‌های پشتیبان کافی خواهد بود یا اینکه باید از RAID‌نیز استفاده کنید؟ آیا می‌توانید چند ساعت خرابی سیستم را متحمل شوید، یا اینکه در هر ثانیه‌ای که سیستم کار نمی‌کند ضرر مالی برایتان خواهد داشت؟
    عملی بودن ـ آیا مدیریت این سیستم‌ها تنها وظیفه اداری شما می‌باشد یا اینکه وظایف دیگری نیز داریدکه زمان مورد نیاط جهت تضمین سلامت داده‌ها را برایتان محدود می‌کند؟ آیا کارکنانی دارید که بتوانند این مشکلات را رفع کنند؟ آیا شرکت شما می‌تواند یک اتاق کامپیوتر فراهم سازد یا اینکه فقط باید از UPS‌استفاده کنید و حرارت و رطوبت را خودتان کنترل کنید؟
    ریسک ـ ضریب ریسک شما چقدر است؟ آیا در یک منطقه اصلی شهری یا اینکه در منطقه دورافتاده‌ای قرار گرفته‌اید؟ آیا حملات امنیتی خواهید داشت؟ در رابطه با حوادث طبیعی و خدادادی تا چه حد آسیب‌پذیر می‌باشید؟
برنامه‌ریزی برای امنیت شبکه و داده‌ها
بگذارید یکی از جدی‌ترین تهدیدهایی را هر شبکه یا کاربری می‌توانند با آن مواجه شوند را مورد مطالعه قرار دهیم. اگرچه تهدید خارجی برای بسیاری مهمترین می‌باشد، مطالعات نشان داده است که تهدیدهای عمدی معمولاً در داخل شرکت شکل می‌گیرند. در واقع، ۸۰‌درصد از تخلف‌های امنیتی که عمدی می‌باشند از داخل شرکت شکل گرفته‌اند. یک لغت که بسیاری آن را با تهدید عمدی مرتبط می‌سازند لغت hacker‌می‌باشد. اشخاص بد عنوان crackers  شناخته می‌شوند.
Crackers ها افرادی می‌باشند که با استفاده از توانایی‌های رمز‌شکنی منافع شخصی خود را رفع می‌کنند یا مشکلات ناخوشایندی را برای دیگران به بار می‌آورند. رمزشکن‌ها باعث بهبود امنیت کامپیوترها شده و اجرای برنامه‌ها و برنامه‌های کاربردی بهتر می‌شوند.
 
سطوح امنیت
درجه امنیتی که یک کاربر بر روی یک سیستم دارد به وسیله امنیت واگذار شده به آن کاربر توسط گرداننده مشخص می شود. گرداننده یک سیستم خاص برای مشخص نمودن درجه امنیت برای کاربر برای منبع خاص و کاربر خاص مهم می باشد. بدین دلیل، در نظر داشتن امنیت همیشه قبل از نصب یا تنظیم عاقلانه می باشد. به علاوه، گرداننده جهت هموار نمودن اجرایی بودن امنیت با یک روش متعادل و کامل باید از یک سیاست امنیتی استفاده کند.
اولین قدم در رابطه با به اجر درآوردن هر نوع سیستم امنیتی شناسایی و اعتبارسنجی کاربر می‌باشد. اعتبار سنجی خصوصاً یک فرآیند دو مرحله‌ای می‌باشد: تصدیق و به اثبات رسانیدن.
شناسایی فرآیندی می‌باشد که در آن کاربر خود را در سیستم شناسایی می‌کند که خصوصاً از طریق استفاده از اسامی وارد شدن به سیستم مدیریت انجام می‌گیرد. جهت اعتبار سنجی کاربر، سیستم چالش جدیدی را در شکل دیگری با درخواست قسمت دوم فرآیند اعتبارسنجی تقاضا می‌کند: به اثبات رسانیدن.
 به اثبات رسانیدن فرآیندی می‌باشد که سیستم جهت تأیید اطلاعات کاربر برای وارد شدن به سیستم به کار می‌گیرد که معمولاً در شکل عرضه یک کلمه رمز می‌باشد. فرآیندهای تأیید زیست متریکی به طور گسترده‌ای در حال به کارگیری می‌باشند ـ دستگاههای خواندن آثار انگشت، پویشگرهای قرینه چشم و امضاء که در حال معرفی در شبکه‌ها می‌باشند.
اگر کاربر بتواند شناسایی (یک نام معتبر وارد شدن به سیستم) و به اثبات رسانیدن(کلمه رمز صحیح برای نام وارد شدن به سیستم) را فراهم کند، مجوز امنیتی جهت استفاده از اشیاء خاص بر روی سیستم به کاربر داده می‌شود.
سیاستهای امنیتی
عبارت سیاست‌های امنیتی معمولاً دارای دو معنی متفاوت می‌باشد. معنی اول به استانداردی ارجاع داده می‌شود که به وسیله مدیر یا مدیران جهت به اجرا در آوردن سطحی از امنیت در کل شرکت به توافق رسیده است. معنی دوم به ابزار مدیریتی که در ویندوز NT نگارش ۴ وجود دارد ارجاع داده می‌شود. این ابزار سازماندهی Policy Editor‌ نامیده می‌شود و جهت تنظیم و به اجرا در آوردن یک محیط خاص برای کاربران یک سیستم استفاده می‌شود.
یک سیاست امنیتی ابزار مفیدی می باشد برای تضمین اینکه تمام کاربران شرکت راهنماهای امنیتی شرکت را رعایت می کنند. یک سیاست امنیتی مؤثر دارای چندین بخش می باشد و هر یک از این بخشها از اطلاعات جمع آوری شده در خلال مراحل اولیه برقراری سیاست امنیتی تکامل می یابند: ارزیابی ریسک. ارزیابی ریسک سنجیدن شرکت و ریسک های مرتبط می‌باشد. ارزیابی ریسک کامل قابلیت های آسیب پذیری، تهدید ها و اقدامات متقابل را می سنجد.
ارزیابی قابلیت‌های آسیب‌پذیری امنیت
یک سیاست امنیتی خوب با این سؤال گرداننده شروع می‌شود، نقطه‌های آسیب‌پذیری ما کجا قرار گرفته‌اند؟ قابلیت آسیب‌پذیری در زیر لیست شده‌اند:
    سیستم تهیه پشتیبان ـ اگر اطلاعات روی یک درایو نوار مغناطیسی یا شکل دیگری از رسانه ذخیره‌سازی کپی نشود، شرکت در کل با نقطه ضعف‌هایی رو به رو است که شامل از دست‌دادن داده‌ها در صورتی که شخص یا چیزی به داده‌ها یا رسانه‌ای که داده‌ها بر روی آن قرار گرفته‌اند صدمه زنند؛ این مطلب در هر دو مورد عوامل عمدی و غیرعمدی حقیقت دارد.
    کاربران ـ کاربران می‌توانند به دو طریق آسیب‌پذیر باشند. نخست، اگر کاربری به طور صحیح در رابطه با استفاده از سیستم یا برنامه مربوطه آموزش ندیده باشد، می‌تواند اشتباهاتی را مرتکب شود که نتیجه آن از دست دادن یا صدمه زدن به اطلاعات را در بر خواهد داشت. برای مثال، کاربری که آموزش صحیح در رابطه با استفاده، ذخیره‌سازی و ایجاد کلمه‌های رمز ندیده است می‌تواند سیستم را به طور کامل در اختیار یک متجاوز قرار دهد. همچنین، کاربر آموزش ندیده می‌تواند سعی به ذخیره‌سازی داده‌ها با استفاده از رویه غلط و رونویسی یا حذف داده‌ها به صورت تصادفی نماید. دومین روشی که یک کاربر می‌تواند یک ریسک امنیتی باشد این است که بخواهد به صورت عمد صدمه‌ای به داده‌ها وارد کند.
 
ارزیابی تهدیدهای امنیتی
علاوه بر سنجش قابلیت‌های آسیب‌پذیری بالقوه که یک سازمان با آنها مواجه می‌باشد. که از یک آسیب‌پذیری خاص استفاده می‌کند. مثالهای زیر را در نظر گیرید:
    رمزشکن ـ اگر یکی از آسیب‌پذیریها نوعی مشکل در سیستم باشد، مطمئن باشید که رمزشکن آن را پیدا و از آن سوء استفاده می‌کند. یک رمزشکن جهت نفوذ به سیستم روشهای مختلفی را به کار می‌گیرد و بنابراین تهدید جدی برای سیستم می‌باشد.
    ویروس‌ها ـ پویش ویروس‌ها در هر محیط کاری ضروری می‌باشد. ویروس‌ها در فایل‌ها و برنامه‌ها، پیامهای پست الکترونیکی انتقال داده شده و حتی در نرم‌افزارهای تهیه شده ظاهر می‌شوند. اگر یکی از ارزیابی‌های ریسک آسیب‌‌پذیری عدم پویش ویروس در سیستم می‌باشد، یک ویروس باید به عنوان تهدید به حساب آید.
    محیط‌زیست ـ هر منطقه از جهان تهدیدهای زیست‌محیطی خاص خود را دارا می‌باشد. آتش‌فشان‌ها، طوفانها، زمین‌لرزه‌ها، گردبادها، سیل‌ها و سایر حوادث بالقوه تعدادی از مشکلترین تهدیدها جهت حفاظت در مقابل آنها می‌باشند. در واقع، در بعضی مواقع تنها اقدام متقابل برای این نوع تهدید وجود یک نسخه پشتیبان و بازیافت داده‌ها در مکانی دیگر می‌باشد.برقراری اقدامات متقابل امنیتی
پس از اینکه اعضای یک سازمان آسیب‌پذیری‌ها و تهدیدهای بالقوه را مورد مطالعه، شناسایی و ارزیابی قرار دارند. می‌توانند به مرحله بعدی ارزیابی ریسک و فرآیند سیاست امنیتی قدم بردارند: اقدام‌های متقابل، یک اقدام متقابل عاملی می‌باشد که جهت به حداقل‌رسانی ریسک ایجاد شده به وسیله یک آسیب‌پذیری یا تهدید انجام می‌گیرد. چندین مثال در زیر لیست شده‌اند:
    نسخه‌های پشتیبان ـ نگهداری یک نسخه پشتیبان از اطلاعات سیستم‌های کامپیوتری بهترین روش تضمین بازیافت داده‌ها در صورت رخ‌دادن یک فاجعه می‌باشد. این نوع اقدام متقابل در رابطه با تهدیدهایی مانند خرابی قطعات و فاجعه‌های طبیعی بسیار مفید می‌باشد.
    امنیت فیزیکی ـ به اجرا در آوردن یک سیاست امنیتی سفت و سخت فیزیکی یکی از روشهای جلوگیری از متجاوزهای خارجی می‌باشد. درهای قفل شده، کارت‌های ورود الکترونیکی و دیسک‌های سخت قابل انتقال که هر شب در اتاق قفل شده نگهداری می‌شوند چندین روش جهت جلوگیری دسترسی بدون مجوز به اطلاعات مهم می‌باشد.
امنیت کابل ـ تعدادی از سازمانها در مورد تجاوز به سیگنالهای انتقال داده شده بر روی کابل‌های شبکه نگران می‌باشند. اگر چنین می‌باشد، شاید بهتر باشد جهت انتقال تمام داده‌ها از فیبرنوری استفاده کنید، زیرا دزدیدن سیگنال از یک کابل فیبرنوری در مقایسه با کابل هم محور یا انواع سیم‌های جفت به هم تابیده مشکلتر می‌باشد.
وسایل اشتراکی با کلمه رمز
جهت تنظیم یک منبع اشتراکی در ویندوز ۹x، نخست باید قطعات صحیح Microsoft Networking‌را نصب کرده باشید که به اشتراک‌گذاری فایل و چاپگر را نیز در بر دارد. آسانترین روش به اشتراک‌گذاری یک فهرست(پوشه در زمان تخصصس ویندوز ۹x )استفاده از ویندوز اکسپلورر یا My Computer‌جهت مرور فهرست می‌باشد. پس از پیدا نمودن پوشه‌ای که فایل‌ها یا پوشه‌هایی را که می‌خواهید به صورت اشتراکی استفاده نمایید در بر دارد، کلید راست ماوس را کلیک کنید و منوی متنی پوشه را فعال سازید.
با انتخاب sharing‌کادر مکالمه share properties‌برای این پوشه ظاهر می‌شود و سپس منبع اشتراکی را نامگذاری کنید.
چندین نکته را هنگام نامگذاری این منبع اشتراکی رعایت کنید:
    چه فردی نیاز دسترسی به وسیله اشتراکی دارد؟ اگر انتظار دارید که کاربران کامپیوترهای داس آن را پیدا کنند، بهترین کار استفاده از ۸ کاراکتر ب رعایت قوانین نامگذاری تحت داس می‌باشد تا کاربران داس دسترسی به این منبع اشتراکی برایشان ساده‌تر باشد.
    چه نامی را باید برای منبع اشتراکی به کار گیرید؟ واضح است، یک نام مانند WORDDOCS‌برای یک منبع اشتراکی فایل‌های وُرد خوب خواهد بود. اما نام DOCS برای منبع اشتراکی شاید به خوبی کار کند. می‌توانید یک توضیح مفصل‌تر در کادر زیر نام منبع اشتراکی را فراهم کنید تا بدین ترتیب نامگذاری منبع اشتراکی برایتان پیچیده نشود. این مطلب را به خاطر بسپارید که هر چه نام منبع اشتراکی منطقی‌تر باشد، پیدا نمودن آن به‌وسیله کاربران ساده‌تر خواهد بود.
چه نوع مجوزی را باید به منبع اشتراکی تخصیص دهید؟ به خاطر بسپارید که انواع مجوزها را می‌توانید تخصیص دهید. کاربران می‌توانند مجوزهای None,full,Read را داشته باشند.
با انتخاب دکمه OK زمانی که تمام فیلدها کامل شدند منبع اشتراک و تنظیم‌های مربوطه برقرار می‌شوند.
ایستگاههای کاری بدون دیسک
یک روش جلوگیری از کپی اطلاعات از سیستم‌های شبکه و قراردادن آن بر روی دیسکت‌های فلاپی یا دیسک‌های سخت محلی نداشتن یک درایو دیسک سخت یا درایو دیسک‌گردان فلاپی محلی می‌باشد. اگر سیستم کامپیوتری دیسک سخت روشی جهت راه‌اندازی از ایستگاه‌کاری نداشته‌باشد، سیستم‌ می‌تواند یک ایستگاه‌کاری بدون ریسک برروی شبکه داشته باشد.
ایستگاههای کاری بدون دیسک خصوصاً از یک کارت رابط شبکه خاص استفاده می‌کنند که یک تراشه راه‌انداز PROM  را دارا می‌باشد. تراشه PROM‌جهت بارگذاری نرم‌افزار شبکه به داخل حافظه کامپیوتر استفاده می‌شود و امکان متصل شدن و راه‌اندازی از فایل‌های سیستم‌عامل ذخیره شده بر روی شبکه را فراهم می‌سازد.
رمز‌گذاری
آخرین خط دفاع برای گردانندگان و کاربران استفده از امکانا رمزگذاری داده می‌باشد تا در صورت دسترسی شخصی به این اطلاعات قبل از استفاده از داده‌ها باید عملیات زیادی را جهت رمزگشایی به کار گیرد.
داده‌های رمزگذاری شده به شکل دیگری تبدیل یا «قفل» می‌شوند که به سادگی قابل استفاده نخواهند بود و در صورت نیاز می‌توان آنها را به وسیله یک کلید به حالت اولیه بازگرداند. فرایند رمزگذاری در ماهیت مانند«قفل نمودن»داده‌ها می‌باشد تا بدین ترتیب شخص بدون مجوز به آنها دسترسی پیدا نکند فرآیند برداشتن قفل را رمزگشایی می‌نامیم.
 در ماهیت، فقط دو روش جهت رمزگذاری داده‌ها استفاده می‌شوند: جابجاسازی و جانشین سازی.
با جابجاسازی، ترتیب بیت‌های ارسالی جابجا می‌شوند. برای مثال، تصور کنید که می‌خواهید پیام “HELLO”   را به کاربر دیگری ارسال کنید. شما و کاربر دیگر موافقت می‌کنید که کلید جابجاسازی انتقال حرف اول هر لغت به انتهای لغت می‌باشد، بنابراین پیام “Elloh” را ارسال خواهیم نمود. اگر از روش جانشین سازی برای رمزگذاری استفاده می‌کنید باید الگو یا ارزش دیگری را جهت جانشین نمودن پیام خود پیدا کنید. اگر کلید جانشین سازی استفاده از روشهای رقمی برای حروف الفبا می‌باشد، پیام شما به “85121215” تبدیل می‌شود.
اگر فقط یک نوع جابجاسازی یا جانشین‌سازی را انتخاب کنید، تشخیص پیام بدون مشکل زیاد توسط فرد بدون مجوز ممکن خواهد شد. بدین دلیل، اکثر روشهای رمزگذاری معرف به کار گرفته شده امروزی از سری‌های مختلف جابه‌جاسازی و جانشین‌سازی استفاده می‌کنند. یک فرمول ریاضی جهت به دست آوردن کلید استفاده می‌شود که جهت رمزگذاری و رمزگشایی پیام استفاده می‌شود. زمانی که هر دو طرف کلید مشابهی را جهت رمزگذاری و رمزگشایی بدانند، فن رمزگذاری با نام رمزنگاری متقارن شناخته می‌شود.
در بعضی مواقع، رمزگذاری باید بین طرفینی استفاده شود که از یک کلید مشابه استفاده نمی کنند. برای انجام این کار باید از رمزنگاری نامتقارن استفاده شود. زمزنگاری نامتقارن به یک کلید عمومی و یک کلید خصوصی برای هر دو طرف نیاز دارد.
 کلیدهای عمومی و خصوصی با استفاده از توابع ریاضی به یکدیگر می‌باشند تا بدین ترتیب یک سری‌از کلیدهای استفاده شده برای رمزگذاری باشند. کلیدعمومی جهت ارسال پیام در اختیار همگان قرار می‌گیرد. پیام با استفاده از کلید عمومی رمزگذاری می‌شود و سپس با به کارگیری کلید خصوصی رمزگشایی می‌شود. به دلیل اینکه کاربری که پیام را ارسال می‌کند همیشه کلید خصوصی را در اختیار دارد، تنها شخصی خواهد بود که می‌تواند پیام ارسال شده را بخواند.
 
حافظه‌های ویروسی
هیچ‌گونه بحث و گفتگو درباره امنیت شبکه بدون ذکر ویروس‌ها مانند وسایل نفوذ و بمب‌های منطقی و سایر انواع حیات وحش الکترونیکی کامل نخواهد بود. یک ویروس برنامه‌ای می‌باشد که هنگام اجرای یک برنامه آلوده فعال می‌شود.
بنابراین می‌توان گفت که فقط فایل‌های اجرایی با پسوندهایی مانند SYS,COM,BAT,EXE  قابلیت آلوده شدن را دارا می‌باشند. مانند یک ویروس جانوری، ویروس‌های کامپیوتری به زندگی خود با تکثیر و کپی نمودن به سایر سیستم‌ها و فایل‌ها ادامه می دهند.
تعدادی از ویروس‌ها کاری بجز تکثیر و اشغال فضا انجام نمی‌دهند، اما سایر ویروس‌ها می‌توانند صدمات عظیمی را وارد کنند و حتی با اجرا خود را نیز نابود سازند. اگر چیزی داده‌ها را صدمه زند یا دسترسی به آن راجلوگیری کند، یک تخلف امنیتی رخ داده است. ویروس‌ها حتماً نگرانی بزرگی برای تمام سیستم‌ها می‌باشند. ویروس‌ها را می‌توان از شبکه، از فایل‌های انتقال داده شده از برنامه‌های نرم‌افزاری و نرم‌افزاری رایگان و حتی از نرم افزارهای تهیه شده به سیستم وارد نمود.
جهت جلوگیری از این هیولاها برای آلوده‌سازی سیستم‌ها، باید نوعی اقدام متقابل را داشته باشید و به کار گیرید.
ویروس‌یاب‌ها و حافظ‌های ویروسی دو نوع وسیله می‌باشند که می‌توانید جهت حفاظت سیستم‌ها از آنها استفاده نمایید. هر یک نوع متفاوتی از حفاظت را فراهم می‌سازد. ویروس‌یاب‌ها در صورت تردید در مورد وجود یک ویروس می‌توانند اجرا شوند یا بر اساس یک برنامه زمان بندی به‌کار گرفته شوند. آنها کار کاملی را در مورد بررسی هر یک از فایل‌ها انجام می‌دهند و هرگونه ویروس شناسایی شده را حذف می‌کنند. برنامه‌های ویروس‌یاب خصوصاً از یک بانک اطلاعاتی با رشته‌های کد ویروس نمونه برای هریک از فایل‌ها استفاده می‌کنند.
این فایل‌های بانک اطلاعاتی معمولاً به عنوان فایل‌های تعریف ویروس شناخته می‌شوند. اگر یک ویروس‌یاب یک رشته کد خاص را شناسایی کند، این برنامه یک ویروس پیدا کرده است. اکثر ویروس‌یاب‌ها امکانات حذف ویروس‌های امکانات حذف ویروس‌های پیدا شده را نیز دارا می‌باشند. جهت محافظت کامل سیستم در مقابل ویروس‌ها، فایل تعریف ویروس باید به طور مرتب به روز رسانیده شود.
یک حافظ ویروس نوعی برنامه می‌باشد که از زمان راه‌اندازی تا خاموش نمودن سسیستم در حافظه در تمام مدت در حال اجرا خواهد بود. حافظ ویروس به طور دائم تمام پردازش‌ها را جهت پیدانمودن ویروس تحت نظارت قرار می‌دهد. پس از شناسایی ویروس، ویروس را می‌توان قبل از وارد نمودن‌هرگونه صدمه حذف نمود و اجرای عادی برنامه می‌تواند به کار خود ادامه دهد.
                       

فصل دوازدهم

تنظیمات مربوط به امنیت در شبکــــــه‌ها
 

محافظت با استفاده از کلمه عبور
احتمالا بدون توجه به سیستم عاملی که روی کامپیوترهای شبکه شما وجود دالرد از کلمه عبور برای کنترل دستیابی به منابع مختلف شبکه استفاده می‌کنید. برای شبکه هایی که نیاط به امنیت بسیار بالایی دارند ابزارهای حرفه ای پیچیده ای وجود دارد.
همچنین ابزارهای دیگری هم در بازار .وجود دارند که کاربران را با توجه به خصوصیات فیزیکی منحصر بفرد انها . مثل اثر انگشت و یا الگوی شبکه چشم. شناسایی می کنند. اما در اغلب شبکه ها به اینگونه روش های امنیتی پیچیده نیاز نمی باشد بلکه داشتن یک کلمه عبور برای دستیابی به درایوهای مشترک. برنامه های کاربردی روی سرور و منابع دیگر شبکه کافی می باشد.
کارا بودن یا نبودن استفاده از محافظت با کلمه عبور در حد زیادی به تدابیری بستگی دارد که مدیر شبکه از آن تدابیر برای تعیین ضوابط کلمه عبور استفاده می کند.
البته این امکان هم وجود دارد که مدیران شبکه خود به هر یک از کاربران کلمه عبوری اختصاص دهند.
در اغلب سیستم عامل ها ابزارهایی در اختیار مدیران شبکه قرار داده می شود که بتوانند با ترکیب دو روش بالا، راه حلی مناسب برای استفاده از کلمه عبور پیاده کنند.
تنظیمات مربوط به کلمه های عبور حسابهای کاربران
در ویندوز ۲۰۰۰ و یا NT زمان ایجاد یک حساب کاربری جدید، گزینه های مختلفی برای کنترل ابتدایی ترین مسائل امنیتی وجود دارد.
•    User Must Change Password At Next Logon. این گزینه مدیر شبکه را قادر می سازد یک کلمه عبور یکسان به هر حساب کاربری جدیدی واگذار کند و کاربران را مجبور کند در اولین ورود به شبکه کلمه عبور را تغییر دهند.
•    User Cannot Change Password . این گزینه به کاربران این امکان را نمی دهد که بتوانند کلمه عبوری را که در هنگام ایجاد حساب کاربری آنها تعیین شده است تغییر دهند. اگر مدیر شبکه ای تصمیم بگیرد که خودش برای تک تک کاربران کلمه عبور انتخاب کند با فعال کردن این گزینه در همه حسابها مطمئن خواهد بود که هیچ کاربری نمی تواند کلمه عبور خود را تغییر دهد بنابراین همه چیز تحت کنترل مدیر شبکه می ماند.
•    Password Never expire . با فعال کردن این گزینه کاربران هنوز می توانند در صورت تمایل کلمه عبور خود را تغییر دهند ولی مجبور نیستند که حتماً در یک زمان خاص اینکار را انجام دهند.
•    Account is disabled . این گزینه مدیر شبکه را قادر می سازد بدون اینکه نیاز به پاک کردن و ایجاد مجدد باشد، حسابی را موقتاً غیر فعال کند.
مشخص کردن طول کلمه عبور
سرویس Active Directory ویندوز ۲۰۰۰ از کلمه های عبور بطول حداکثر ۱۰۴ کاراکتر پشتیبانی می کند، گرچه در عمل هرگز استفاده از چنین کلمه عبوری امکان پذیر نمی باشد. در ویندوز NT حداکثر طول هر کلمه عبور می تواند ۱۴ کاراکتر باشد. بطور کلی برای اغلب شبکه ها کلمه های عبوری بطول پنج یا شش کاراکتر مناسب است.
در جایی که امنیت بالاتری احتیاج باشد، ممکن است حداقل طول کلمه های عبور هشت کاراکتر و یا حتی بیشتر باشد.
تعیین طول کلمه های عبور مانند خصوصیات دیگر توسط سیستم عامل و به روش های گوناگون انجام می شود. در ویندوز ۲۰۰۰ اینکار را می‌توانید با استفاده از ویژگی Group Policy انجام دهید.
تنظیم مدت اعتبار کلمه های عبور
فاکتور مهم دیگر در اجاد امنیت بوسیله کلمه عبور اینست که کلمه های عبور بطور مرتب تغییر داده شوند. کاربران گاهی حتی کلمه عبور خود را به کاربران دیگر می دهند و بعد معمولاً فراموش می کنند که آنرا تغییر دهند. با مجبور کردن کاربران به تغییر کلمه های عبور خود بطور مرتب، می توانید تضمین کنید که بعد از مدتی کلمه های عبور در دست عموم قرار نخواهد گرفت.
در ویندوز ۲۰۰۰ علاوه بر این امکان شما می توانید با استفاده از گزینه Maximum Password Age کاربران را مجبور کنید هر چند یکبار کلمه عبور خود را تغییر دهند. مدت اعتبار کلمه های عبور بنابر نیازهای امنیتی شبکه معمولاً از یک هفته تا یک ماه می باشد.
الزام بر استفاده از کلمه های عبور پیچیده
معمولاً استفاده از نام همسر، بچه ها، تاریخ تولد، حروف اول اسم و فامیل و اطلاعات عمومی دیگر بعنوان کلمه عبور مناسب نیستند چون براحتی قابل حدس زدن می باشند. بعنوان انتخابی بهتر بد نیست از مثلاً نام یکی از دوستان قدیم خود استفاده کنید و بعد برای اطمینان بیشتر کاراکترهای آن اسم را بهم بریزید.
اگر در کادر Security Policy Setting گزینه password must meet complexity requirement را فعال کنید کلمه عبور منتخب کاربران باید در چهار چوب ضوابط زیر باشد:
•    حداقل طول کلمه عبور باید شش کاراکتر باشد.
•    کلمه عبور نمی تواند شامل هیچ بخشی از شناسه کاربری خود باشد.
•    کلمه عبور باید متشکل از سه نوع کاراکتر از چهار نوع کاراکتر زیر باشد: حروف بزرگ، کوچک، اعداد،علائم.
رمزنگاری کلمه های عبور
اغلب سیستم عامل ها کلمه های عبور را بصورت رمزنگاری شده ذخیره می کنند تا کسی نتواند بوسیله نرم افزارهای مخصوص ویرایش دیسک، محتوی درایوی که کلمه های عبور روی آن ذخیره شده است را بخواند. بطور پیش فرض الگوریتمی که در ویندوز ۲۰۰۰ برای رمز نگاری بکار می رود قابل برگشت نمی باشد. اما در صورت نیاز می توانید با فعال کردن گزینه Store Password Using Reversible Encryption For All User In The Domain از روش رمزنگاری استفاده کنید که برای بازیابی کلمه های عبور فراموش شده قابل برگشت باشد.
تدابیر مربوط به بستن یک حساب
هر کسی ممکن است بتواند با حدس زدن به تعداد کافی، هر کلمه عبوری را پیدا کند این روش به brute force مشهور است. در اغلب سیستم عامل ها امکان بستن یک حساب وجود دارد تا هر کسی نتواند متناوباً سعی در حدس زدن کلمه عبور آن حساب کند.