کد خبر : 3008
تاریخ انتشار : شنبه 31 خرداد 1393 - 10:48
1,783 views

برنامه ریزی سیاست های امنیتی(ارائه شده در همایش ملی کامپیوتر واحد شوشتر اسفند ۹۲)

برنامه ریزی سیاست های امنیتی(ارائه شده در همایش ملی کامپیوتر واحد شوشتر اسفند ۹۲)

“تصویر خبر از آرشیو میباشد” مطلب زیر میتواند کمک کند به مدیران برای تبیین سیاست های امنیتی در چارچوب اداره و نوع ، درک و سبک دسترسی کارمندان به شبکه یا ایجاد شده در اداره جات مختلف. به گزارش سفیرشوشتر متن زیر مربوط میشود به همایش ملی کامپیوتر و فناوری اطلاعات که در اسفند ماه

“تصویر خبر از آرشیو میباشد”

مطلب زیر میتواند کمک کند به مدیران برای تبیین سیاست های امنیتی در چارچوب اداره و نوع ، درک و سبک دسترسی کارمندان به شبکه یا ایجاد شده در اداره جات مختلف.

به گزارش سفیرشوشتر متن زیر مربوط میشود به همایش ملی کامپیوتر و فناوری اطلاعات که در اسفند ماه سال گذشته در دانشگاه آزاد اسلامی واحد شوشتر توسط دانشجوی کارشناسی ارشد مهندسی نرم افزار دانشگاه مشهد ارائه شد.

چکیده: سیاست به معنای دستورات، قوانین و تصمیم های مدیر امنیتی برای ایجاد یک برنامه امنیتی، پایه ریزی کردن اهداف و تخصیص دادن مسئولیت هاست. پس از تعیین خط مشی های یک سازمان، سیاست های آن برنامه ریزی شده، استانداردها و سپس روال هاو راهنماهای امنیتی مربوطه برای پیاده سازی آن سیاست ها در یک محیط واقعی توسعه داده شده در اختیار کاربران و مدیران قرار دادهمی شود. این سیاست ها برای رسیدن به امنیت مورد نظر در سازمان باید به طور کامل پیاده سازی و اجرا شوند. تمام افرادی که به این منابع دسترسی دارند تحت تأثیر این سیاست ها قرار می گیرند و ملزم به رعایت و اجرای آنها خواهند بود. هر گونه اشتباه در این مرحلهممکن است امنیت سیستم را دچار مشکل کند. پس از تعیین سیاست ها، رویه های امنیتی باید برای کاربران نهایی، مدیران شبکه و مدیران امنیتی و سایر افراد درگیر نوشته شوند. رویه های امنیتی همچنین باید چگونگی برخورد با حوادث مختلفی که رخ می دهند رامشخص کنند. این رویه ها باید به کاربران و مدیران شبکه آموزش داده شوند.پس از آنکه قدم های فوق برداشته شدند دیواره های آتش،ضدویروس ها، سیستم های تشخیص تهاجم و… برای امن سازی سازمان به خدمت گرفته می شوند و رویه های امنیتی پیاده سازیمی شوند. سیاست های امنیتی، تکنولوژی و متدولوژی استفاده از سیستم های امن و روال، گام های جزئی برای دنبال کردن وظایفامنیتی مربوطه را مشخص می کند.

-۱ مقدمه

سیاست ۱ در ارتباط با مدیریت امنیت معانی زیادی دارد.سیاست به معنای دستورات، قوانین و تصمیم های مدیر امنیتی

برای ایجاد یک برنامه امنیتی، پایه ریزی کردن اهداف وتخصیص دادن مسئولیت هاست. پس از تعیین خط مشی های

یک سازمان، سیاست های آن برنامه ریزی شده، استانداردها و سپس روال ها و راهنماهای امنیتی مربوطه برای پیاده سازی آن

سیاست ها در یک محیط واقعی توسعه داده شده در اختیار کاربران و مدیران قرار داده می شود. این سیاست ها برای

رسیدن به امنیت مورد نظر در سازمان باید به طور کاملپیاده سازی و اجرا شوند. تمام افرادی که به این منابع دسترسی دارند تحت تأثیر این سیاست ها قرار می گیرند و ملزمبه رعایت و اجرای آنها خواهند بود. این سیاست ها با دقت وتوجه فراوان باید تدوین شوند. هر گونه اشتباه در این مرحلهممکن است امنیت سیستم را دچار مشکل کند.

١ Policy

سیاست های امنیتی که خوب تدوین شده باشندویژگی های زیر را دارا هستند:

توسط مدیران سیستم قابل پیاده سازی و اجرا هستند.

رویه های تدوین شده ساده، قابل اجرا و مورد پذیرش هستند.

توسط ابزارهای تأمین کننده امنیت موجود قابل اعمال هستند.

به طور مشخص مسؤولیت ها و وظایف کاربران، کادرفنی و مدیران را تعیین می کنند.

به هنگام تدوین سیاست های امنیتی به سؤالات زیر بایدپاسخ داد:

چه کسانی اجازه دارند از منابع استفاده کنند؟

چگونه افراد مجاز شناسایی می شوند؟

استفاده صحیح و مناسب از منابع چیست؟

چه کسی اجازه بخشیدن دسترسی و بالا بردن

سطح دسترسی را داراست؟

چه افرادی سطح دسترسی مدیران ۲ را دارا هستند؟

حق و حقوق کاربران و همچنین مسؤولیت های آنها چیست؟

حق و حقوق مدیران فنی و همچنین مسؤولیت های آنها چیست؟

با اطلاعات حساس چه کار باید کرد؟

فعالیت های انجام شده در سیستم چگونه و تا چه حد نگهداری می شوند؟

با متخلفین و کسانی که از سیاست ها و قوانین پیروی نمی کنند چگونه برخورد می شوند؟

-۲ سیاست های امنیتی

سیاست امنیتی باید در حوزه های بسیاری از هر سازمانباید تعیین شود که از آن جمله می توان به موارد زیر اشارهنمود:

سیاست دسترسی: مشخص می کند که چه افرادی و یا چه بسته هایی اجازه دسترسی بهمنابع مختلف را دارا هستند. سطح ومیزاندسترسی آنها نیز در همین بخش مشخص می شود.

در این بخش همچنین قوانینی برای ارتباطاتبیرونی، انتقال داده ها، اتصال تجهیزات به شبکه واضافه کردن نرم افزارهای جدید تدوین می شود.

سیاست تشخیص هویت: نحوه شناسایی افراد و بسته های مختلفی که متقاضی ورود به شبکه و استفاده ازمنابع هستند را مشخص می کند. یکی از مواردی که در اینبخش مشخص می شود سیاست کلمه عبور(کلمات عبور اولیه،محدودیت در چگونگی کلمات عبور، حداکثر زمان ها و…)

است. در این بخش همچنین تعیین هویت های فرآیندهاینرم افزاری (مثلاً در پروتکل های مسیریابی به هنگام دریافتنیز مورد بررسی قرار می گیرد. (routing-update بسته هایسیاست حسابداری: چگونگی نگهداری اتفاقاتی که در شبکهمی افتند را مشخص می کند. در این بخش مشخص می شودکه انواع مختلف فعالیت های انجام شده چگونه جمع آوری ونگهداری می شوند. باید تمام اطلاعات و فعالیت های افرادتشخیص و تأیید هویت شده اند (نام، شماره خط و یا میزبانیکرده اند، میزان دسترسی قدیم و جدید، login که از آن طریق٢ Administration privilegeتلاش های احتمالی انجام شده برای تغییر سطح دسترسی و…) با زمان دقیق نگهداری شوند.

سیاست گزارش تخلفات: مشخص می کند که انواع تخلفات کدامند و این تخلفات چگونه و به چه کسانی گزارشداده می شوند.

سیاست حریم خصوصی افراد: در این بخشمشخص می شود که مدیران تا چه حد و در چه شرایطیها را مانیتور کنند، دسترسی به فایل های mail می توانندکاربران و مدیران زیربخش ها داشته باشند، از فعالیت های

ها را مشاهده کنند و. .. desktop ، بگیرند log خصوصی افرادسیاست نگهداری شبکه: نگهداری خارجی و داخلی را مشخص می کند و میزان دسترسی افراد خارجی کهبرای نگهداری یا بهینه سازی شبکه با شرکت همکاریمی کنند را تعیین می سازد. چگونگی مدیریت از راه دور نیز دراین بخش مشخص می شود.

سیاست دسترس پذیری: میزان توقع و انتظار کاربران و مدیران از دسترس پذیری منابع را مشخص می کند وبراین اساس افزونگی ۳ منابع و فرآیند باریابی آنها را موردتحلیل قرار می دهد.

سیاست های آگاهی رسانی: چگونگی آموزش کاربران، کادر فنی و مدیران در این بخش مشخص می شود.

در این بخش همچنین مشخص می شود که کدام قسمت و چهافرادی باید به سؤالات کاربران و مدیران در زمینۀ امنیت و در

هنگام بروز حوادث امنیتی پاسخ دهند و به آنها کمک کنند.

پس از تعیین سیاست ها، رویه های امنیتی باید برایکاربران نهایی، مدیران شبکه و مدیران امنیتی و سایر افراددرگیر نوشته شوند. رویه های امنیتی همچنین باید چگونگیبرخورد با حوادث مختلفی که رخ می دهند را مشخص کنند.این رویه ها باید به کاربران و مدیران شبکه آموزش داده شوند.

پس از آنکه قدم های فوق برداشته شدند دیواره های آتش، ضدویروس ها، سیستم های تشخیص تهاجم و… برای امن سازیسازمان به خدمت گرفته می شوند و رویه های امنیتیپیاده سازی می شوند. سیاست های امنیتی، تکنولوژی ومتدولوژی استفاده از سیستم های امن و روال، گام های جزئیبرای دنبال کردن وظایف امنیتی مربوطه را مشخص می کند.

در این راستا پس از شناخت وضعیت معماری موجود و تهیهمعماری امنیتی مطلوب باید برنامه ای برای حرکت از سمت٣ Redundancyمعماری موجود به سمت معماری مطلوب طراحی و اجرا وکنترل نمود. سیاست های امنیتی باید در دسته های مدیریتامنیتء امنیت اطلاعات، امنیت پرسنل، امنیت شبکه وسیستم شامل سیاست های توسعه نرم افزار، سیاست های شبکهو مدیریت سیستم و برنامه ریزی تداوم تجارت ارائه شود، که ازآن جمله ما برای نمونه به بررسی سیاستهای مدیریت امنیتبسنده می کنیم.

-۳ استراتژی های طراحی سیاست ها

در سازمان باید تشکیلاتی برای تأمین امنیت شبکهاز نقطه نظر ساختار، شرح وظایف و جایگاه آن در چارتسازمانی و برنامه های تأمین نیروی انسانی آن طراحی شود.

این تشکیلات در سه سطح سیاست گذاری، مدیریت اجرایی وسطح فنی به طراحی، نظارت و اجرای طرح ها و برنامه هایامنیتی می پردازد.

برنامه ریزی ها باید به دو صورت کوتاه مدت و بلندمدت (یا میان مدت) با توجه به اهداف امنیت سازمانطراحی شود.

برای اینکه سیاست های امنیتی به خوبی پیاده سازی شوند تمام افرادی که وظیفۀ نگهداری و محافظتسیستم را به عهده دارند باید در پیاده سازی آنها همکاریکنند.

برای برنامه ریزی و دادن طرح ها و رویه های امنیتی ابتدا باید سرمایه ها و ریسک ها را شناسایی و درجه بندی نمود.که در بخش مدیریت ریسک به آن خواهیم پرداخت.

پس از طراحی برنامه امنیت سازمان، طراحی برنامه آگاهی رسانی، تربیت نیروی انسانی و آموزش امنیت درسازمان باید و همچنین طرح پشتیبانی حوادث امنیتیسازمان را نیز طراحی نمود.

سیاست های امنیتی باید برای موارد مختلفی از جمله موارد زیر طراحی شود: سیاست های دسترسی کاربرانبه شبکه داخلی، دسترسی کاربران به شبکه اینترنت،وب، ویدئو ،E-mail سیاست های امنیتی در مورد سرویس هایدسترسی از راه دور، ،Wireless ، کنفرانس، وب هاستینگسرویس های اشتراک، دسترسی و انتقال فایل ها، دسترسی بهبانکهای اطلاعاتی، دسترسی کاربران به سخت افزارها،سیاست های انتخاب سیستم عامل، سیاست های انتخاب وتنظیم ایستگاه های کاری، سیاست های نصب نرم افزار،سیاست های پشتیبان گیری، سیاست های محافظت در مقابلویروس، سیاست های بازرسی دوره ای امنیت ایستگاه هایکاری، سیاست های امنیتی استفاده از سخت افزارهای مختلف،سیاست های دسترسی کاربران به نرم افزارها و سرویس هایشبکه و سیاست های امنیت فیزیکی و. ..در هر سازمان پس از تهیه سیاست ها و استانداردها و روال های امنیتی، معماری موجود سازمان بررسی شود،

رخنه ها و خطرهای آن مشخص شوند. سپس با توجه بهاهداف و سیاست ها نیازمندی های امنیتی شامل جزئیاتی مانندها، دسترسی از راه دور، حفاظت از میزبان UPN ، ها TDSو حتی طراحی های شبکه مانند تغییر (host protect)توپولوژی. .. شناسایی و اولویت بندی گردد.

پس از انتخاب هدف ها و سیاست های امنیتی باید به تهیه روال ها و دستورالعمل های اجرایی جهت عملیاتیکردن آن سیاست ها پرداخت.

مدیریت ریسک های حقوقی و حیثیت مقررات و قوانین مربوط به حفظ محرمانگی و حفاظت ازداده ها و تراکنش های مشتریان از یک حوزه قضایی به حوزهدیگر تغییر می کند. با این وجودنهادها مسئولیت دارند تا بهنحو مناسب از افشای اطلاعات مشتریان جلوگیری کرده واقدام لازم برای حفاظت از داده های مشتریان را انجام دهند.

-۴ سیاستهای اجزای سیستم

سیاست امنیتی، یک حکم درباره استراتژی مدیریت با توجه به امنیت می باشد. بیانیه های مربوط به سیاست، بهعناوین زیر دسته بندی می شوند:

سیاست سازمان

سیاست امنیت اطلاعات

سیاست امنیت کارکنان

سیاست امنیت فیزیکی و محیطی

سیاست امنیت کامپیوترها و شبکه

مدیریت سیستم

سیاست شبکه

سیاست توسعۀ برنامه های کاربردی

پیاده سازی مؤفق امنیت اطلاعات به موارد زیر بستگیدارد:

اهداف و فعالیت های امنیتی باید برمبنای اهداف و نیازمندی های تجاری باشند و توسط مدیریت تجاری هدایتشوند.

باید پشیبانی و تعهد روشنی از جانب مدیریت مافوق وجود داشته باشد.

باید درک روشنی از ریسک های امنیتی (تهدیدات و آسیب پذیری های) مربوط به اموال سازمان و نیز سطح ایمنیدرون سازمان وجود داشته باشد.

امنیت باید به صورت مؤثر به کلیۀ مدیران و کارمندان ارائه شود.

باید رهنمودهای جامع درباره سیاست و استانداردهای امنیت در میان کلیۀ کارمندان و پیمان کارانتوزیع شود.

که در بخش های آینده مورد استفاده ، تا سمبل هایقرار گرفته اند، بیانگر ترتیب لازم برای حفاظت داده های بادرجۀ حساسیت خاص می باشند.

-۵ سیاست سازمان

هر واحد تجاری مسئول ایجاد سیاست امنیتی خودشمی باشد. این سیاست باید قواعدی را برای حفاظت داده ها وفرایند های تجاری مطابق با تهدیدها و ریسک های موجود وارزش این اموال تعیین نماید. کلیۀ داده ها باید براساسرده های حساسیت موجود در سازمان، برچسب گذاری شوند.

-۶ سیاست امنیت اطلاعات

برای کلیۀ دارایی های اطلاعاتی عمده باید دارنده یا مالک وجود داشته باشد.

دارنده اطلاعات باید براساس مسئولیت های قانونی، ارزش ، سیاست سازمان و نیازهای تجاری، آن ها را در یکی ازسطوح حساسیت قرار دهد. او مسئول حفاظت از این اطلاعاتاست.

دارنده اطلاعات باید افرادی را که مجاز به دسترسی به داده ها هستند مشخص نماید.

دارنده اطلاعات مسئول آن ها است و باید آن ها را امن نگه دارد.

-۷ طبقه بندی اطلاعات

در این جا، یک سیستم طبقه بندی پیشنهاد می شود کهاطلاعات را در ۴ سطح طبقه بندی می نماید. پایین ترین سطح،

دارای کمترین حساسیت است؛ بالاترین سطح، یعنی ، یعنیبرای مهم ترین داده ها/فرایندها استفاده می شود. هر سطح، فوق مجموعه ای برای سطح قبلی محسوب می شود.

برای مثال،

طبقه بندی شود، در این صورت، آن  اگر یک سیستم در ردهپیروی کند. اگر و سیستم باید از رهنمودهای ردهیک سیستم شامل داده های مربوط به بیش از یک ردهحساسیت باشد، باید براساس نیازهای مربوط به محرمانه ترینداده ها در سیستم، طبقه بندی شود.

اطلاعات عمومی / طبقه بندی نشده : ردهتوصیف: داده های موجود در این سیستم ها 

می توانند بدون ایجاد گرفتاری برای سازمان، دراختیار عموم قرار گیرند. به عبارتی، این داده هامحرمانه نیستند. تمامیت داده ها حیاتی نیست.

فقدان سرویس دهی به دلیل حملات بدخواهانه، یکخطر قابل پذیرش می باشد.

مثال : سرویس های آزمایشی بدون داده های محرمانه، سرویس های اطلاعاتی عمومی

رهنمودهای مربوط به ذخیره سازی: ندارد

رهنمودهای مربوط به انتقال: ندارد

رهنمودهای مربوط به تخریب: ندارد

اطلاعات داخلی : ردهتوصیف: از دسترسی خارجی به این داده ها ممانعت به عمل می آید، اما چنانچه اینداده ها در اختیار عموم باشند، نتایج بحرانی نخواهدداشت. دسترسی داخلی به این داده ها به صورتگزینشی انجام می شود. تمامیت داده ها مهم است اما حیاتی نمی باشد.

مثال: پروتکل های مربوط به میتینگ ها و دفترچه های تلفن داخلیرهنمودهای مربوط به ذخیره سازی: ۱. اطلاعات باید برچسب گذاری شوند، یعنیسطح طبقه بندی باید برروی اسناد، رسانه ها(نوارهایمغناطیسی، دیسکت ها، دیسک های فشرده و …) پیغام های الکترونیکی و فایل ها نوشته شود.

که به حملات ویروسی IT 2. سیستم هایحساس هستند باید به صورت منظم از نظر ویروسبررسی شوند. تمامیت سیستم ها باید به صورت منظممورد نظارت قرار گیرد.

رهنمودهای مربوط به انتقال:

۱. برای پروژه هایی که با همکاری شرکای

خارجی انجام می شوند، باید برای اطلاعاتی که می توانندتوسط شرکای خارجی نیز مورد استفاده قرار گیرند، یکسند سیاست پروژه تنظیم شود.

۲. این اطلاعات باید در سازمان باقی بمانند.چنانچه قرار شود این اطلاعات انتقال یابند، رمزکردنآن ها الزامی است.

۳. به استثناء موارد ذکر شده در بند ۱ و ۲داده های داخلی نباید به خارج از سازمان انتقال یابند.

رهنمودهای مربوط به تخریب: ندارد

اطلاعات محرمانه : رده

توصیف: داده های این رده در سازمان

محرمانه محسوب می شوند و در برابر دسترسیخارجی محافظت می شوند. دسترسی چنینداده هایی توسط افراد غیرمجاز می تواند بر کیفیتعملکرد سازمان تاثیرگذار باشد، باعث خساراتمالی قابل توجه شود، منجر به بهره قابل توجهیبرای رقیب شود و یا باعث افت شدید اطمینانمشتری به سازمان گردد. موضوع تمامیت برای اینداده ها یک موضوع حیاتی است.

مثال: حقوق ها، داده های شخصی، داده های حساب داری، پروژه های حساس،قرارداد های محرمانه.رهنمودهای مربوط به ذخیره سازی:

۱. اطلاعات باید برچسب گذاری شوند،یعنی سطح طبقه بندی باید برروی اسناد،رسانه ها(نوارهای مغناطیسی، دیسکت ها، دیسک هایفشرده و …)، پیغام های الکترونیکی و فایل ها نوشتهشود.

که به حملات ویروسی IT 2. سیستم هایحساس هستند باید به صورت منظم از نظر ویروسبررسی شوند. تمامیت سیستم ها باید به صورت منظمباید برای IT مورد نظارت قرار گیرد. سیستم هایمحافظت در مقابل تغییر غیرمجاز داده ها و برنامه هاپیکربندی شوند.

۳. اطلاعات باید در مکان های قفل شدهنگهداری شوند (مثلا نگهداری اسناد در قفسه هایقفل شده و نگهداری کامپیوترها در اتاق هایقفل شده).

رهنمودهای مربوط به انتقال:

۱. کلمات عبور نباید به صورت عادی ورمزنشده انتقال یابند (به صورت الکترونیکی یا بررویکاغذ).

۲. این اطلاعات باید در سازمان باقیبمانند. چنانچه قرار شود این اطلاعات انتقال یابند،رمزکردن آن ها الزامی است. الگوریتم های رمز مورداستفاده باید مقاوم و قدرتمند باشند.

رهنمودهای مربوط به تخریب:

۱. در زمانی که نیازی به اطلاعات وجودندارد، باید از بین برده شوند(مثلا تخریبدیسک های قدیمی یا استفاده از کاغذپاره کن برایتخریب اسناد کاغذی).اطلاعات سری : رده

توصیف: دسترسی غیرمجاز داخلی یا خارجی به این داده ها می تواند برای سازمان بحرانی باشد. تمامیت داده ها یک امر حیاتی است. تعدادافرادی که می توانند به این داده ها دسترسی داشتهباشند، باید خیلی کم باشد. لازم است تا قواعدسخت گیرانه ای برای استفاده از این داده ها وضعشود.

مثال: داده های نظامی، اطلاعات مربوط به تراکنش های مالی عمده.

رهنمودهای مربوط به ذخیره سازی:

۱. اطلاعات باید برچسب گذاری شوند، یعنیسطح طبقه بندی باید برروی اسناد، رسانه ها(نوارهایمغناطیسی، دیسکت ها، دیسک های فشرده و …)،پیغام های الکترونیکی و فایل ها نوشته شود.

که به حملات ویروسی IT 2. سیستم هایحساس هستند باید به صورت منظم از نظر ویروسبررسی شوند. تمامیت سیستم ها باید به صورت منظمباید برای IT مورد نظارت قرار گیرد. سیستم هایمحافظت در مقابل تغییر غیرمجاز داده ها و برنامه هاپیکربندی شوند و مورد ممیزی قرار گیرند.

۳. اطلاعات باید در مکان های قفل شده

نگهداری شوند (مثلا نگهداری اسناد در قفسه هایقفل شده و نگهداری کامپیوترها در اتاق هایقفل شده).

۴. اطلاعات باید در فرمت های رمزشده یابرروی دیسک های قابل انتقالی که دارای حفاظتفیزیکی هستند ذخیره شوند.

رهنمودهای مربوط به انتقال برای انتقال این اطلاعات به خارج از نواحی امن، باید ازرمزنگاری استفاده شود. الگوریتم های رمز مورد استفاده برایاین اطلاعات باید مقاوم باشد.رهنمودهای مربوط به تخریب در زمانی که نیازی به اطلاعات وجود ندارد، باید از بینبرده شوند(مثلا تخریب دیسک های قدیمی یا استفاده ازکاغذپاره کن برای تخریب اسناد کاغذی).

-۸ سیاست امنیت کارکنان

کاربران به عنوان یکی از عوامل مهم در سیستم، نقشعمده ای در برآورده کردن شرایط امنیتی دارند.

اصول اخلاقی:

کاربران مجاز به انجام این کارها نیستند:

به اشتراکگذاشتن نام کاربر یا کلمات رمز با دوستان یا وابستگان، اجرایهای شبکه، سوءاستفاده از منابع سیستم، سوءاستفاده snifferاز نامه های الکترونیکی، مزاحمت برای سرویس ها، کاوش درفایل های سایر کاربران بدون اخذ اجازه از آن ها، بارگذاریفایل های باینری و کپی کردن نرم افزارهای بدون لیسانس.

سیاست کلمات عبور:

ترکیب نام کاربر و کلمۀ عبور، روشی برای شناساییموجودیت کاربران در یک سیستم است. اتخاذ یک سیاستخوب برای کلمات عبور، مهم ترین مانع در مقابل دسترسی هایغیرمجاز به سیستم می باشد. ویژگی های یک کلمۀ عبورمناسب عبارتند از:

ترکیبی از اعداد، حروف بزرگ، حروف کوچک و سمبل های نقطه گذاری باشد.به خاطر سپردن آن آسان باشد. حدس زدن آن مشکل باشد. تایپ کردن آن با سرعت انجام شود. رهنمودها

کلمۀ عبور را جایی ننویسید یا از طریق پست الکترونیکی ارسال نکنید.از کلمات عبور پیش فرض استفاده نکنید. کلمۀ عبورتان را به دیگران ندهید. چنانچه کلمات عبور فاش شدند، آن ها را بلافاصله تغییر دهید.

از کلمۀ عبور مدیر سیستم به صورت مشترک استفاده نکنید.

در صورت امکان، سعی کنید برای یک کاربر از یک کلمۀ عبور یکسان برروی سکوهایمختلف استفاده کنید. چنانچه کاربر فقط مجبور به حفظ کردن یک کلمۀ عبور باشد، احتمالا کلمۀعبور بهتری را انتخاب خواهد نمود.را به کاربران تذکر دهید. crack خطرات کلیۀ کلمات عبور پیش فرض که توسط فروشنده تعیین شده اند، باید قبل از استفادهسیستم تغییر یابند.

کلمات عبور باید به شکل رمزشده ذخیره شوند. روش رمزنگاری باید مقاوم باشد و امکانحملۀ جامع ۴ به آن وجود نداشته باشد.

کلمات عبور نباید در زمانی که تایپ می شوند، قابل دیدن باشند. حتی نمایش کاراکتر*” به ازای هر کاراکتر از کلمۀ عبور، کار درستینیست.

یک کاربر نباید قادر به خواندن کلمات عبور سایر کاربران از فایل کلمات عبور باشد.ازگنجاندن کلمات عبور به صورت آشکار در نرم افزارباید به هر قیمتی پرهیز شود. حتی کلمات عبوررمزشده هم بهتر است در نرم افزار گنجانده نشوند.

برای یک کلمۀ عبور یک کاربر باید ویژگی های “حداقل عمر”، “حداکثر عمر”، حداقل۴ Brute-forceطول” و “لیست سوابق” مشخص شوند. منظور از”لیست سوابق”، کلمات عبور قبلی کاربر است.برای ایمنی بیشتر می توان استفاده از یک تعدادمشخص از کلمات عبور قبلی را ممنوع کرد.

سیستم باید قبل از پذیرش کلمۀ عبور، محتویات آن را مورد بررسی قرار دهد و از تطبیقآن با قواعد فوق اطمینان حاصل کند.

کاربران نباید قادر به تغییر کلمات عبور سایر کاربران باشند.

در صورت امکان، تغییر کلمات عبور را در اولین ارتباط، الزامی کنید.

استفاده از روش های تصدیق دیگر مانند روش های بیومتریک را هم در نظر بگیرید.در صورت امکان، تولید کلمۀ عبوراتوماتیک را که به منظور کمک به کاربر انجاممی شود غیرفعال نمایید.

-۹ سیاست عمومی نرم افزار

در صورتی که مدیر سیستم مسئولیت تمامیت منابع را بپذیرد، نرم افزارهای عمومی ۵ رامورد استفاده  و  می توان در سیستم های ردهقرار داد.

نرم افزارهای عمومی نباید در سیستم های مورد استفاده واقع شوند. اما، اگر لازم باشد،  ردهمی توان این کار را بعد از مرور کد مبداء، یا (درصورت بزرگ بودن کد) بعد از استفاده عمومینرم افزار به مدت حداقل یک سال در سیستم هایمشابه و نیز آزمایش دقیق نرم افزار در یک محیطمحافظت شده انجام داد.

نرم افزارهای بدون مجوز ۶ نباید مورد استفاده قرار گیرند.

استفاده از بازی های کامپیوتری تنها در صورتی مجاز است که مدیر سیستم مطمئن باشدکه آن ها بیش از ۵% از منابع سیستم (مانندپردازنده، حافظۀ اصلی و دیسک) را مورد استفادهقرار نمی دهند.

۵ public domain

۶ unlicensed

شبکه ها:

اطلاعات محرمانه:

داده های محرمانه قبل از ارسال از طریق شبکه های عمومی باید رمز شوند.

اتصال به شبکه ها:

یک کاربر نباید به ماشین های موجود در شبکه های خارج از شبکۀ محلی سازمان متصلشود.دسترسی به شبکه های خارجی (عمومی و خصوصی) باید از طریق دیواره آتش انجام پذیرند.

کلیۀ دیواره های آتش باید تحت قواعد امنیتی

سازمان نصب و نگهداری شوند.

مودم ها:

کاربران نباید برروی ماشین هایشان از مودم استفاده کنند.به شبکۀ محلی سازمان dial-in دسترسی فقط برای کاربران مشخصی مجاز است. کلیۀباید از طریق dial-in دسترسی های سرویس دهنده های امن با مکانیزم کلمۀ عبور یک بارمصرف ۷ صورت پذیرد.

پست الکترونیکی

کاربران باید آگاه باشند که سیستم های پست الکترونیکی مرسوم، در اغلب موارد تضمینیدر زمینۀ محرمانگی یا گواهی مبداء یا مقصد ارائهنمی دهند. در بسیاری از سیستم ها، مدیر سیستممی تواند کلیۀ نامه های الکترونیکی را بخواند.

را می توان بدون داده های رده رمزکردن در داخل سازمان انتقال داد. داده های ردهنباید از طریق  باید رمز شوند. داده های رده پست الکترونیکی ارسال شوند.

که مشخصا برای تنها داده های رده پروژه های دارای موجودیت های خارجی مجازشناخته شده اند، می توانند از طریق پستالکترونیکی به خارج از سازمان ارسال شوند.

۷ one-time password

کاربران باید از از ریسک های مربوط به بازکردن فایل های شامل ماکرو، فایل هایو نیز نصب برنامه های دریافتی از طریق postscriptپست الکترونیکی آگاه باشند.

-۱۰ اینترنت

در محیط های تجاری امروزی، اتصال به اینترنت به یکفرایند طبیعی تبدیل شده است. به دلیل فقدان ساختار وکنترل در اینترنت، استفاده از آن ریسک های بسیاری رابه دنبال دارد:

افشاء اطلاعات محرمانه امکان نفوذ هکرها از طریق اینترنت به شبکۀ سازمانامکان تغییر یا حذف اطلاعات عدم امکان دسترسی به سیستم ها به دلیل باراضافی آن. چنانچه کاربران مجاز به دسترسی به اینترنت باشند، باید از ریسک های مربوط به آن و نیز سیاست سازمان در مورداستفاده از اینترنت آگاه باشند. یک سیاست اینترنت مشخصباید وجود داشته باشد و اجرا شود.

کلیۀ دسترسی ها به خارج از شبکۀ سازمان های سازمان مورد تایید gateway باید از طریققرار گیرند.

چه کسانی مجاز به استفاده از اینترنت هستند؟ (مثلا، مدیران سیستم و واحدهای تحقیق)

چه کسانی مجاز به استفاده از پست الکترونیکی هستند؟ (مثلا، همۀ افراد)

چه زمان هایی دسترسی به اینترنت مجاز نمی باشد؟ (مثلا، در زمان استفاده از سرویس دهنده های رده)

از امکانات اینترنت برای چه مواردی نمی توان استفاده کرد؟ (مثلا، موارد شهوت انگیز،بارگذاری نرم افزارهای خطرناک یا بدون لیسانس)

چه کسانی سرویس های اینترنت را ارائه می دهند؟ تحت چه شرایطی؟ها laptop -11 کامپیوترهای قابل حمل وکامپیوترهای قابل حمل به افراد امکان می دهند تا بیشترمولد باشند. اما از نقطه نظر امنیت، این کامپیوترها عاملریسک هایی مانند افشاء، دزدی و ارائۀ یک نقطۀ دسترسیغیرمجاز به شبکۀ سازمان هستند. ازطرفی، محاسبات سیار ۸در حال رشد است و اتخاذ یک سیاست ویژه ضروری می باشد.

سیاست های ممکن عبارتند از:

آیا کامپیوترهای قابل حمل توسط کارکنان آماده و راه اندازی شده است. IT متخصصدر صورت امکان، از یک برنامۀ رمزنگاری پیشرفته اما ساده، برای رمزکردن فایل ها استفادهکنید.

در صورتی که یک کاربر عادی نباید به سیستم دسترسی کامل داشته باشد، از یکاستفاده کنید. NT یا UNIX سیستم عامل مانندکاربران در خارج از ساختمان سازمان، مسئول کامپیوترهای قابل حمل خود هستند.

مکانیزم های قفل کردن اتوماتیک صفحۀنمایش و نیز کلمۀ عبور برای بوت کردن سیستمباید مورد استفاده قرار گیرند.

یک ویروس یاب باید برروی سیستم نصب شود.

حمل ونقل کامپیوترهای کیفی در مکان های عمومی باید با استفاده از کیف هایدستی معمولی صورت پذیرد.

نباید با استفاده از  داده های رده کامپیوترهای قابل حمل انتقال یابند مگر این که رمزشده باشند.در زمان عدم استفاده از کامپیوتر آن را خاموش کنید.

-۱۲ سیاست مدیریت سیستم

مدیر سیستم باید مطمئن باشد که سیستم ها در زمانلازم قابل استفاده اند، اطلاعات محرمانه تنها برای افراد دارایمجوز قابل دسترسی اند و اطلاعات نباید بدون مجوز تغییریابند. موارد زیر باید تعریف شوند:

چه کسی سیاست های مدیریتی را اصلاح می کند؟

۸ mobile computing

چه کسی دارای مجوز برای تایید دسترسی و تصویب استفاده است؟ چه کسیمی تواند امتیازات مدیر سیستم را داشته باشد؟

حقوق و مسئولیت های مدیر سیستم چیست؟

آیا کاربران دارای دسترسی در سطح مدیر سیستم به ایستگاه های کاری خود هستند؟

-۱۳ امنیت فیزیکی

یک سند برای سیاست امنیت فیزیکی باید وضع شود کهمعیارهای مربوط به حفاظت ساختمان ها را با توجه به حوادثبد (مانند طوفان، آتش سوزی، زلزله، انفجار و قطع برق)،دزدی، کنترل دسترسی، گاوصندوق ها، اتاق کامپیوترها وجعبه های سیم کشی با جزییات مشخص نماید.

تعریف نواحی الزامی است.

ناحیۀ ۱: نواحی باز برای عموم افراد ناحیۀ ۲: نواحی بسته برای عموم افراد و باز برای کارکنان سازمان

ناحیۀ ۳: نواحی محافظت شده که تنها با شناسایی قابل دسترسی هستند و دسترسی به آن ها شدیدا کنترلمی شود.

چه کسی مسئول تخریب دیسک های محرمانۀ معیوب است؟

چه کسی مسئول تخریب سرویس دهنده ها، دیسک ها و نوارهای مغناطیسی قدیمی است؟

دستوالعمل هایی برای اتاق سرویس دهنده ها تعریف کنید:

کلیۀ ابزارهای محاسباتی باید به صورت درست نصب و برچسب گذاری شوند.

سیم کشی باید مرتب و با برچسب گذاری انجام شود به طوری که تخریب یا قطع عمدی اتصالات میسرنباشد.دیاگرام محل نصب همۀ سرویس دهنده ها باید در اختیار باشد.

دستورالعمل هایی برای انتقال رسانه های الکترونیکی(نوارهای مغناطیسی، پشتیبان ها، دیسک ها و …)وضع کنید.

-۱۴ کنترل دسترسی

کلیۀ کاربران باید دارای مجوز باشند. کاربران باید قادر به تنظیم امتیازات اشیاء متعلق به خودشان باشند.

کاربران باید از حذف فایل های سایر کاربران در دایرکتوری های مشترک منع شوند.

کنترل دسترسی کاربر به کلیۀ اشیاء سیستم (فایل ها، چاپگرها، ابزارها، پایگاه های داده، فرامین، برنامه هایکاربردی و …) باید براساس یک سیاست مشخص صورت گیرد.

کاربران نباید قادر به بررسی کنترل دسترسی واگذار شده به سایر کاربران باشند.باید تا طبقه بندی داده ها در رده های امکان پذیر باشد.

کنترل دسترسی اجباری باید تدارک دیده شود. logon -15 سیاستاصل اساسی: به یک کاربر، کمترین امتیازات و کوتاه ترین زمان لازم برای انجام کارهایش را بدهید.ها فقط باید برای افراد دارای مجوز صادر Account شوند.

هر کاربر باید با یک نام یا شماره، شناسایی شود و به یک گروه تعلق داشته باشد.ساختار مورد استفاده برای نام کاربر و نام گروه باید از استاندارد مشخصی پیروی کند.کاربران و گروه ها باید توسط مدیر سیستم مدیریت شوند نه توسط خودشان.شناسه های گروهی نباید استفاده شوند. هر کاربر باید تنها یک شناسه در سیستم داشته باشد.شناسه های میهمان ۹ نباید استفاده شوند. در صورت انتقال یک کاربر یا خاتمۀ کار وی، شناسۀ او باید بلافاصله بلوک یا حذف شود.بعد از ۱۵ دقیقه بیکار بودن سیستم، باید صفحۀ نمایش قفل شده و برای ورود مجدد به سیستم، کلمۀ عبورلازم باشد.

۹ guest accounts

در مورد اعمالی که امنیت را نقض می کنند، باید به کاربران هشدار داده شود.

چنانچه استفاده از یک شناسه برای ورود به سیستم در مدت زمان کوتاهی دچار مشکل شود (مثلا ۲۰ بارتلاش در ۱ ساعت)، باید آن را بلوک و کاربر را مطلع کنیم.

هنگامی که یک کاربر به سیستم متصل می شود، موارد زیر باید به وی نمایش داده شوند:

یک اخطار قانونی برای آگاه ساختن کاربر از استفاده نادرست از سیستممؤفق و نامؤفق. login زمان آخرین کردن فقط باید در زمان های لازم امکان پذیر loginباشد (مثلا، ۶ صبح تا ۱۰ شب روزهای غیر تعطیل)

بعد از چندبار تلاش dial-up در سیستم های تلفن را قطع کنید. ،login نامؤفق برایاگر یک کاربر، “نام کاربر” یا “کلمۀ عبور” را اشتباه وارد کرد، نباید از پیغام های جداگانه برای اطلاع دادن به ویاستفاده شود.

در صورتی که ترکیب نام کاربر/کلمۀ عبور را اشتباه ۱ ثانیه تاخیر ایجاد ،login وارد کرد، قبل از شروع دومینکنید. چنانچه این مورد تکرار شد، هربار تاخیر را اضافه کنیدتا از فعالیت برنامه های حمله کننده جلوگیری شود.

اعضای گروه مدیران سیستم باید از جانب مدیر انتخاب شوند.

هایی session باید روشی برای محدود کردن تعداد

که یک کاربر می تواند به طور همزمان ایجاد نماید، وجودداشته باشد.

باید روشی برای تنظیم تاریخ انقضاء شناسه های کاربران وجود داشته باشد.

-۱۶ اطمینان

ممیزی ها باید به صورت منظم برروی سیستم اجرا هر سه ماه  یک بار در سال و برای رده  شوند(برای ردهیک بار)

سرویس دهنده های جدید برای مدیر سیستم نصب و آماده سازی می شوند. در این صورت، لازم است که کادرامنیت سازمان، آن ها را مطابق با یکی از رده های حساسیت،ممیزی و تایید کنند.

-۱۷ پاسخ گویی و ممیزی

فایل های ثبت رد ممیزی ۱۰ و برنامه ها باید محافظت شوند. آن ها باید تنها توسط کادر امنیت قابل دسترس باشند.

فایل های ثبت باید شامل کلمات عبور باشند. فعالیت های مدیر سیستم باید ثبت شوند.

باید ثبت شوند. login تلاش های نامؤفق برای رویدادهای مهم باید به صورت اتوماتیک یک اعلان هشدار تواید نمایند.

باید امکان مشخص کردن نحوه ممیزی براساس موضوع یا شیء وجود داشته باشد.

هر مدخل در فایل ثبت ممیزی حداقل باید شامل این موارد باشد: نم اکاربر، تاریخ و ساعت، شناسۀ ترمینال، درجۀ خطا (مؤفقیت یا شکست) و شرح رویداد.

در صورت امکان، فایل های ثبت باید برروی رسانۀ نگهداری شوند. همچنین، (WORM “فقط خواندنی” (کاغذ یابهتر است به جای نگهداری فایل های ثبت در ماشین هایمحلی، آن ها را به یک ماشین امن منتقل کنیم.

کلیۀ ماشین ها باید از ساعت همگام با بقیه استفاده کنند تا مهرهای زمانی ۱۱ مربوط به فایل ثبت ممیزی معتبرباشند.

-۱۸ قابلیت اطمینان سرویس

سیاست پشتیبان گیری و بازیابی پشتیبان ها باید به صورت منظم تهیه شوند. هرچند وقت یک بار، باید پشتیبان ها را به مکانی خارج از سایت منتقل نمود.

باید در گاوصندوق های پشتیبان های رده قفل شده نگهداری شوند. رسانه های قدیمی باید از بین بروندنه این که آن ها را دور بیندازیم.

برای هرسیستم یا گروهی از سیستم ها، باید یک سیاست پشتیبان گیری مستند شامل موارد زیر موجود باشد:

فاصلۀ زمانی تهیۀ پشتیبان ها نوع پشتیبان (افزایشی یا کامل) مکان نگهداری رسانه های پشتیبان مدت نگهداری رسانه های پشتیبان

۱۰ audit trail logs

۱۱ timestamps

چه کسی مسئول کنترل عملکرد درست پشتیبان ها است؟

یک سیاست بازیابی، شامل موارد زیر، باید موجود باشد:

چه کسی مسئول بررسی عملکرد درست است؟

یک شرح مفصل از برنامه هایی که استفاده می شوند و نیز نحوه بازیابی داده ها یک شرح مفصل از نحوه بازیابی سیستم عامل بعد از خرابی دیسک یا سایر قسمت های سیستمسیاست بازیابی را به صورت منظم مورد آزمایش قرار دهید.

مدیریت تغییرات(نصب یا به روزرسانی نرم افزار/ سخت افزار)

تنها مدیران سیستم باید قادر به نصب نرم افزار برروی سرویس دهنده ها باشند. کاربران نباید بتوانند برروینرم افزار نصب کنند.  ایستگاه های کاری ردهسیستم ها باید براساس دستوالعمل های فروشنده، به صورت مرتب و درست نصب شوند.

در هر سرویس دهنده باید یک فایل ثبت تغییرات وجود داشته باشد که کلیۀ تغییرات ایجاد شده در سیستم رابه صورت مفصل نگه داری کند.

patch نصب سیستم عامل باید شامل نصب کلیۀ های آن نیز باشد.

یک برچسب شامل اطلاعات زیر باید برروی کلیۀ ماشین ها چسبانده شود: نام ماشین، نام سازنده و مدل ماشین،تاریخ پایان گارانتی و شماره تلفن ،MAC آدرس ،IP آدرسبخش امداد و امنیت.

برای سرویس دهنده ها باید اطلاعات زیر هم اضافه شود: نام سرویس دهنده برروی کلیۀ ابزارهای جانبی،نوع/تاریخ گارانتی/پیکربندی دیسک، دستورات کنسول برایتوقف یا راه اندازی مجدد.

های فروشنده اصلی نرم افزار استفاده patch تنها ازشود.

-۱۹ سیاست شبکه

انتقال اطلاعات میان کامپیوترها می تواند یک تهدید بزرگبرای امنیت ایجاد نماید.

سیاست سیستم های شبکه ای/توزیعی

اطمینان: پیکربندی شبکه باید مستند باشد. شناسایی و تصدیق اصالت باید راهی برای شناسایی و تصدیق هر موضوعی در شبکۀ سازمان وجود داشته باشد.

در صورت امکان، باید یک مکانیزم واحد برای کردن کاربران به سیستم ها و برنامه های کاربردی logonتفاوت موجود باشد؛ بدین ترتیب، کاربران نیازی به داشتهچندین کلمۀ عبور نخواهند بود.

پاسخ گویی و ممیزی کاربران مسئول و پاسخ گوی اعمال خودشان هستند. آن ها باید از سیاست کاربران شبکه مطلع باشند.

نودهای مهم شبکه باید فعالیت ها را ثبت کنند. این نودها باید به طور منظم برای رخنه های امنیتی مورد بررسیقرار گیرند.

لیست های کنترل دسترسی ۱۲ برای فیلترهای مهم باید هر ۶ ماه یک بار ممیزی شوند.

کنترل دسترسی

پیکربندی نودهای حساس شبکه: سرویس های غیرضروری شبکه باید غیرفعال شوند. سرویس های شبکه بایدبه صورت محدود پیکربندی شوند.

شبکه های موجود باید با برچسب های “دسترسی باز”، “دسترسی محدود” و “دسترسی خیلی محدود”مشخص شوند تا کاربران و صاحبان داده ها از نوع حفاظت ارائهشده مطلع شوند.

در صورتی که به شبکه های با دسترسی محدود نیاز است، کابل های شبکه نباید از مکان های عمومی عبور کنند.

این کابل ها باید از داخل لوله گذرانده شوند. در صورتکابل گذاری توسط افراد خارجی، حتما آن را وارسی کنید.

درستی ۱۳ : نودهای مهم شبکه باید تمامیت داده های خود را به طور منظم کنترل نمایند.

تبادل داده ها اطلاعات محرمانه باید تنها از طریق مکانیزم های انتقال تاییدشده ارسال شوند.

مثلا نام کاربر و کلمۀ ) login اطلاعات مربوط به عبور) نباید به صورت واضح از طریق شبکه ارسال شوند.

۱۲ access control list

۱۳ accuracy

شبکه ها باید در مقابل شنود ۱۴ محافظت شوند. هنگام تبادل اطلاعات، موجودیت فرستنده یا گیرنده باید به اطلاعات ضمیمه شود.نباید برای کاربران بدون مجوز یا داده های رده سیستم هایی که در روه های پایین قرار دارند ارسال شود.

قابلیت اطمینان سرویس / قابلیت دسترسی

شبکه در ۲۴ ساعت شبانه روز و ۷ روز هفته؛ موردنیاز است. نگهداری در روز چهارشنبه ساعت ۱۸ تا ۲۲حداکثر زمان کارنکردن سیستم در ساعات اداری باید ۱ساعت باشد و این رویداد هر ۲ ماه بیش از یکبار اتفاق نیفتد.

شبکه باید برای خطاها و مشکلات کارایی مورد نظارت قرار گیرد. عملیات پیش گیرانه باید قبل از قطعی هایجدی در شبکه صورت گیرد.

مدیریت تغییرات: به روزرسانی ها و تغییرات پیکربندی ها باید ثبت شوند.

-۲۰ سیاست توسعۀ نرم افزار

امنیت باید یک بخش مجتمع در سیستم های جدید باشد.

هنگامی که نیازهای عملیاتی طراحی می شوند، نیازهای امنیتینیز باید متناظر با حساسیت و قابلیت دسترسی داده هایی کهقرار است توسط سیستم استفاده شوند، تنظیم گردند.

رهنمودهای کلی

محیط و داده های مجزا برای توسعه و تولید در نظر گرفتن امنیت به عنوان یک بخش مجتمع در توسعۀ برنامه های کاربردیداده های آزمایشی نباید شامل اطلاعات محرمانه باشند.

استفاده از زبان های دارای ویژگی های به جای Java امنیتی به جای زبان های معمولی (مثلا.(C

برچسب ها :

ناموجود
ارسال نظر شما
مجموع نظرات : 3 در انتظار بررسی : 0 انتشار یافته : ۲
  • نظرات ارسال شده توسط شما، پس از تایید توسط مدیران سایت منتشر خواهد شد.
  • نظراتی که حاوی تهمت یا افترا باشد منتشر نخواهد شد.
  • نظراتی که به غیر از زبان فارسی یا غیر مرتبط با خبر باشد منتشر نخواهد شد.

این سایت از اکیسمت برای کاهش هرزنامه استفاده می کند. بیاموزید که چگونه اطلاعات دیدگاه های شما پردازش می‌شوند.

دانشجوی شوشتری یکشنبه , ۱ تیر ۱۳۹۳ - ۶:۴۵

باسلام.
من دانشجوی کامپیوتر هستم اما در شهرستان دزفول اسفند ماه سال گذشته صحبت این همایش را از یکی از دوستانم شنیدم و در این همایش شرکت کردم بسیار مطالب خوب و پرباری ارائه شد به عنوان یک شوشتری از مسئولین تشکر و درخواست برگزاری این نوع همایش ها در سایر حوزه ها را دارم از معاونت پژوهشی تشکر ویژه ای دارم.

wedding tents rental دوشنبه , ۱۴ مهر ۱۳۹۳ - ۷:۳۷

برنامه ریزی سیاست های امنیتی(ارائه شده در همایش ملی کامپیوتر واحد شوشتر اسفند ۹۲) – پایگاه تحلیلی خبری سفیر شوشتر

انتخاب سردبیر