- ما هو الذكاء الاصطناعي؟
- شبكة ذكاء الشبكة العصبية أسطورة أم حقيقة؟
- حماية الوصول إلى المعلومات
- الحياة في السحابة
- حوسبة سحابية
- المجهول كوسيلة لحماية النقود الإلكترونية
- إنشاء مدونة الشركة
- الفيروسات على المواقع
- مساحات لا حصر لها من الإنترنت. بريد الالكتروني.
- مقدمة إلى OpenCL
- أمن المعلومات لمنظمة صغيرة
- أنظمة مؤتمرات الفيديو
كريتوف نيكولاي نيكولاييفيتش: أمن المعلومات لمنظمة صغيرة
إذا كنت ، على الأقل في بعض الأحيان ، تستمع إلى البيانات الإخبارية ، فربما تكون قد سمعت عن سرقة أو إتلاف معلومات مهمة وسرية في البنوك والهيئات الحكومية والعديد من المنظمات الأخرى. ربما لديك حتى دليل هاتف على جهاز الكمبيوتر الخاص بك ، والذي ، وفقًا لأحد معارفك ، قدمه صديقك بيتيا ، الذي يعمل في مقسم هاتف آلي في المدينة ، والذي تم نسخ هذا الدليل من أجهزة الكمبيوتر الخاصة به. هذه كلها "أخطاء" تتعلق بضمان أمن المعلومات في المنظمات. لسوء الحظ ، هذا ممكن حتى في مؤسستك.
لا تصدق؟ وهنا بعض الأمثلة:يوجد في موظفي مؤسستك رجل لطيف Kolya ، يقوم بإصلاح الطابعات وتنظيف أجهزة الكمبيوتر وتثبيت العديد من البرامج الحيوية للعمل ، ويمكنه في بعض الأحيان إعداد 1C Accounting أو Fireplace. لكنه كثيرًا ما يشتكي من راتبه الضئيل ، وعندما يتوقف ، في رأيه ، عن دفع الراتب عن عمله ، يغادر. وبعد أيام قليلة ، فإن قواعد البيانات الخاصة بك من 1C "تترك" في النسيان ، والتي ، بسبب بعض المصادفة التي لا يمكن تصورها ، لا يمكن استعادتها. والأسوأ من ذلك ، إذا كان هذا Kolya ، في نوبة من الانتقام الصالح ، كما يبدو له ، يرسل القواعد إلى مكتب الضرائب ، أو يضعها في مكان ما على الإنترنت ، وسيكون لدى العديد من طلاب الاقتصاد فرصة ممتازة لممارسة رسم مختلف أنواع الميزانيات باستخدام مثال شركتك.
يحدث أن الرجل الطيب كوليا لا يشتكي حتى من راتبه ، ويحاول مثل القديس فرنسيس ، ولكن ذات يوم جيد ، قام عدد قليل من السادة المحترمين ، بفتح الباب ، وسحب جميع ممتلكات منظمتك المكتسبة عن طريق العمل الزائد (على طول مع أجهزة الكمبيوتر) ويبتلع محاسبك أطنانًا من Validol ، مدركين أنه لا يمكن إعداد تقرير لمكتب الضرائب من قطع من الورق. وإذا كان هناك حريق في مؤسستك (لا سمح الله!) ، فلن يتبقى حتى أوراق. بالتأكيد ، بعد قراءة كل ما هو مكتوب أعلاه ، فكرت: "حسنًا! هذا من سلسلة ما هو سيئ وكيفية التعامل معه! او نعم! نعم! سننظر بالتأكيد في كيفية سير الأمور معنا ، ولكن في غضون أسبوع ". وبعد يوم ، حدث شيء ما أدى إلى موت معلوماتك وأنت على استعداد لتمزيق شعرك ، لكن كما يقولون: "فات الأوان يا صديقي!"
صور مظلمة ، أليس كذلك؟ إذا كنت معتادًا على كل هذا من التجربة الشخصية أو تجربة الأصدقاء ، وقد توصلت إلى الاستنتاجات المناسبة ، فأنت محظوظ! يُقال إنك قللت من مخاطر فقدان المعلومات. مع هؤلاء السادة والسيدات الذين لم يواجهوا مثل هذه المشاكل بعد ، أود مشاركة تجربتي.
لذا حان الوقت للنظر في الأساليب العملية للتعامل مع الأخطار التي تهددنا. أولاً. أنت بحاجة إلى مسؤول نظام عادي وعاقل. للتبسيط ، في المستقبل ، سوف نسميه مسؤول النظام. من المستحسن للغاية إجراء استفسارات من الوظائف السابقة حول الشخص المتقدم لوظيفة مسؤول النظام الخاص بك. يمكن أن يكون ، كما يقولون "سبع فترات في الجبهة" ، مقبسًا لجميع المهن ، لكنه مارق ولديه ميل للعمل "المتبقي" بدوام جزئي ، على سبيل المثال ، تمرير أي بيانات عن مؤسستك إلى منافسيك ، مما يتسبب في ضرر مباشر لمؤسستك. من واقع خبرتي (قد يبدو الأمر متناقضًا بالنسبة لك ، لكنه حقيقة) يمكنني أن أوصي بالبحث عن مسؤول نظام بين طلاب المرحلة الجامعية الأولى في الجامعات التقنية. كقاعدة عامة ، هناك 3-4 رؤوس "مشرقة" ، من بينها يمكنك اختيار شخص قادر تمامًا على التعامل مع المهام الإدارية في المرحلة الأولى من تكوين المنظمة. بالإضافة إلى ذلك ، فإن العديد من الطلاب الكبار ، في المرحلة الأولى من حياتهم المهنية ، "لا يتعرضون للتعذيب من الحياة" ، ولا تثقلهم عائلاتهم ويسعون جاهدين من أجل شيء جديد. والرغبة في شيء جديد في عمل مسؤول النظام هي صفة مهمة ، لأن البرنامج الذي يجب أن يعمل به يتغير بسرعة كبيرة.
في عقد العمل (أو أي مستند آخر ، على سبيل المثال ، عقد) ، من الضروري تحديد المسؤولية عن الإجراءات غير القانونية فيما يتعلق بمعلوماتك من جانب مسؤول النظام. بالطبع ، يحتوي القانون الجنائي للاتحاد الروسي على مواد ذات صلة بهذا الموضوع (الواردة في الفصل 28 من القانون الجنائي ، والتي تسمى "الجرائم في مجال معلومات الكمبيوتر" وتحتوي على ثلاث مواد: "الوصول غير القانوني إلى معلومات الكمبيوتر" (المادة 272) ، "إنشاء واستخدام وتوزيع البرامج الخبيثة لأجهزة الكمبيوتر" (المادة 273) و "انتهاك قواعد تشغيل أجهزة الكمبيوتر أو أنظمة الكمبيوتر أو شبكاتها" (المادة 274) ، ولكن ذكر في العقد المسؤولية لن تكون زائدة عن الحاجة. لأنه إذا علم الشخص أنه مسؤول بشكل مباشر عن شيء ما (ويفضل أن يكون ذلك من الناحية المالية) ، فسوف يفكر عشر مرات قبل أن يفعل شيئًا خاطئًا.
بطبيعة الحال ، مع المتطلبات المذكورة أعلاه ، يجب أن تكون مكافأة مدير النظام كافية. على الأقل ليس مثل عاملة التنظيف. كن مستعدًا لدفع رواتب مسؤول النظام مثل المحاسب الجيد.
بالإضافة إلى ذلك ، من المستحسن للغاية أن يُنص في عقد العمل على أن جميع منتجات البرامج ورموز المصدر الخاصة بها التي طورها مسؤول النظام الخاص بك لتلبية احتياجات المنظمة خلال فترة العمل فيها هي ملك للمؤسسة. أنت بحاجة إلى هذا العنصر في حال قرر المسؤول الخروج. سيكون من الأسهل على الشخص الجديد فهم شؤون مسؤول النظام القديم. وهذا بدوره سيسمح لشركتك بالعمل دون إخفاقات مرتبطة بتكنولوجيا المعلومات.
يتذكر! مدير النظام الجيد هو يدك اليسرى ، إن لم تكن يدك اليمنى ، في إدارة الشركة. يمكن أن يساعد كثيرًا في مختلف المواقف الحرجة ، وحتى العادية. استمع لرأيه! إذا كان المسؤول غبيًا وكسولًا ولا يسعى لتحقيق التنمية ، فتوقع مشكلة!
ثانية. تحتاج ، مع مسؤول النظام لديك ، إلى تطوير نوع من التنظيم التكنولوجي الداخلي ، والذي يجب اتباعه بدقة. يجب أن تتضمن اللائحة ، كحد أدنى ، الأقسام التالية:
- كيفية عمل نسخة احتياطية من المعلومات الهامة والحاسمة
- إجراء التحقق من النسخ الاحتياطية واستعادة المعلومات في حالة الطوارئ
- سياسة حقوق المستخدم
لماذا تحتاج إليها؟ دعنا نفكر في النقاط:
يجب أن ينظم إجراء النسخ الاحتياطي للمعلومات المهمة متى وكيف وأين يتم إجراء نسخ احتياطي لقواعد البيانات الخاصة بك ، والتي تحتوي على المعلومات الضرورية للتشغيل العادي للمؤسسة. على سبيل المثال ، كل يوم جمعة في الساعة 17-00 ، بعد انتهاء عمل المحاسبين ، تقوم بإخراج محرك أقراص ثابتة متنقل أو قرص فلاش كبير السعة من خزنتك المضاد للحريق (يُشار إليه عمومًا باسم "محرك أقراص فلاش") ، و يقوم مسؤول النظام الخاص بك بذلك بمساعدة برامج معينة في "الطلب" أو قواعد البيانات الاحتياطية من الخوادم أو محطات العمل إلى هذا القرص. يوجد الكثير من برامج النسخ الاحتياطي الآن ، وقد يقرر مسؤول النظام لديك البرنامج الذي سيقوم بعمل نسخ منه.
يجب أن يكون محرك الأقراص الذي يتم إجراء النسخ الاحتياطية عليه خاصًا ، مما يعني أنه يجب أن تحتفظ به أنت فقط ، ويفضل أن يكون في خزنة مقاومة للحريق ، أو بعيدًا عن متناول جميع موظفيك. يتذكر! في حالة الطوارئ ، هذا هو الشيء الوحيد الذي يمكن أن يساعدك في تجنب العديد من المشاكل. يجب أن يكون هذا القرص في يد مسؤول النظام فقط أثناء النسخ الاحتياطي للبيانات أو استعادتها. قد يكون لديك سؤال: "لماذا لا يمكنك منح حق الوصول إلى مسؤول النظام؟" لأن روح شخص آخر مظلمة ، وبغض النظر عن مدى جودة مسؤول النظام لديك ، فإنه بين عشية وضحاها ، غاضبًا لسبب ما من العالم بأسره أو معك تحديدًا ، يمكن أن يفسد قاعدة البيانات الرئيسية ونسختها الاحتياطية. في النهاية ، لن يتبقى لك أي شيء!
لذلك يتم عمل نسخ. ماذا بعد؟ بعد ذلك ، تحتاج إلى تقديم الإجراء الخاص باستعادة النسخ الاحتياطية والتحقق منها في المستند التنظيمي. لم؟ ومن الذي سيضمن أن مسؤول النظام لديك لم يشرب القهوة فحسب ، بل فعل بضمير حي ما كان من المفترض أن يفعله؟ لمعرفة ذلك ، تحتاج إلى إجراء استعادة بيانات تجريبية من القرص الخاص بك (بالطبع ، على كمبيوتر آخر) ، على سبيل المثال ، إذا كانت هذه معلومات محاسبية ، اطلب من المحاسب التحقق من الأرصدة الخاصة بالرقم الذي تم الاحتفاظ بنسخة احتياطية منه صنع. إذا تقاربت البقايا - يكون مسؤول النظام في حالة تأهب. خلاف ذلك ، يجب معاقبة مسؤول النظام بسبب الإهمال. يتذكر! يمكن أن يؤدي عدم وجود تسويات (على سبيل المثال ، مرة واحدة في الشهر) إلى حقيقة أن مسؤول النظام سيبلغك بأن كل شيء على ما يرام ، ولكن في اللحظة الحرجة لن يكون قادرًا على فعل أي شيء.
من الممارسات الجيدة أيضًا نسخ نسخة من قاعدة البيانات التي يتم استعادتها إلى أقراص CD / DVD بعد التحقق الناجح. يجب تخزين هذه الأقراص ، مثل قرص الهاتف المحمول ، في خزنتك. نظرًا لتراكم أقراص المعلومات المضغوطة / أقراص DVD ، يمكن إتلافها ، ولكن بناءً على التجربة الشخصية ، يمكن تدمير الأقراص التي يبلغ عمرها عام أو أكبر إذا لم تحتوي على معلومات قد تكون مطلوبة في المستقبل. يجب أيضًا أن ينعكس تدمير المعلومات في "لوائحك" ويجب التقيد به بدقة. لا يقتصر الأمر على أخذ قرص أو قرص مرن وإلقائه في دلو ، وبالتالي إعطاء بيانات منافس حول مؤسستك ، ولكن نسخه أو تقطيعه إلى عدة أجزاء. من المنطقي منع جميع الموظفين من رمي الأقراص والأقراص المرنة وحتى الأوراق التي تحتوي على أي معلومات في الحاوية دون تقطيعها أولاً إلى قطع أو تمريرها عبر آلة التقطيع. بعد كل شيء ، إذا وجد أحد المهاجمين قرصًا مرنًا أو وسيطًا آخر به معلومات تنتمي إلى مؤسستك ، حتى المقالة الفنية. 272 من القانون الجنائي (الوصول غير القانوني إلى المعلومات) ، لأنه وجدها للتو ، وقمت برميها بعيدًا. والمنافسون لا ينامون!
يفهم مع النسخ الاحتياطي. كل شىء؟ لا! هناك تهديد آخر. هذه المرة ، يأتي من مستخدمي الكمبيوتر. إذا أتيحت الفرصة للمستخدمين لتصفح الشبكة بشكل لا يمكن التحكم فيه ، وحتى الإنترنت أكثر من ذلك ، فسيتعين "رفع" قواعد البيانات من النسخ الاحتياطية بانتظام ، كما يقول مسؤولو النظام. لماذا ا؟ نظرًا لأنه يمكن للمستخدمين مسح الملفات الخاصة بمستخدمين آخرين بحرية ، فيمكنهم إحضار فيروس من الإنترنت إلى شبكتك ، ويمكنهم أخيرًا معرفة متى قامت الآلة الحاسبة بحساب الراتب هناك ، والمبلغ الذي دفعوه لمن ، متبوعًا بمناقشة الرواتب في غرفة التدخين. في ممارستي ، كانت هناك حالة عندما قام أحد المحاسبين (أ) بإدخال إدخالات للمحاسب (ب) ، وتم فصل المحاسب (ب) ، الذي لم يكن موجودًا في ذلك اليوم ، بموجب المقال ، لأن معاملات الحساب تم تنفيذها نيابة عن المحاسب ب. ؟ هذا هو السبب في أنه من الضروري تحديد اسم فريد لكل مستخدم ويجب على المستخدم اختيار كلمة مرور للوصول ، والتي يجب عليه (وهو وحده) تغييرها بانتظام (مرة واحدة في الشهر كافية) وعدم الكتابة على قطعة من الورق مطوية تحت لوحة المفاتيح. يجب أن تكون كلمة المرور "قوية". وهذا يعني أنه حتى المتسلل عديم الخبرة سوف يلتقط كلمة مرور مثل 211281 في بضع دقائق. ولكن حتى المخترق المتمرس لن يتمكن من التقاط كلمة المرور "zgxv 123 $".
قد تعترض ، ولكن كيف تتذكر هذا الخليط الذي لا معنى له من الحروف والأرقام؟ أوصي بالطريقة التالية. خذ أي قافية تتذكرها منذ الطفولة ، على سبيل المثال ، "من الابتسامة ستصبح أكثر إشراقًا للجميع". نكتب الأحرف الأولى من كلمات القافية في تخطيط لوحة المفاتيح الإنجليزية. نحصل على سلسلة مثل "jecdc". دعنا نضيف كلمة المرور إلى 7 أحرف ، على سبيل المثال ، الأرقام 12. إذا أضفنا علامة أخرى أو علامة # ، فسنحصل على كلمة مرور مثل "jecdc12 #" ، والتي ستكون صعبة للغاية حتى بالنسبة للقراصنة ذوي الخبرة.
بالإضافة إلى ذلك ، يجب أن يميز مسؤول النظام بين المستخدمين الذين يستخدمون حقوق الوصول (فهو يعرف كيفية القيام بذلك) ، ومنح حق الوصول فقط إلى الدلائل (المجلدات) اللازمة للعمل على الخادم الخاص بك ، وإغلاق الإنترنت لأي شخص ليس من المفترض أن يقوم بذلك (لأن الإنترنت هو الآن بؤرة للفيروسات) ، لإتاحة الوصول إلى الإنترنت لمن هو ضروري. يجب توضيح كل هذا في "سياسة حقوق المستخدم" الخاصة بك. يتذكر! من المهم جدًا أن يدخل مستخدمو الكمبيوتر إلى نظام تشغيل الكمبيوتر (نفس Windows) والبرامج المختلفة (إذا كانت لديهم الوظيفة المقابلة) تحت "أسمائهم" و "كلمات المرور" الخاصة بهم. لا تسمح للموظفين باستخدام كلمات مرور أو أسماء مستخدمين "أجنبية". قم بالرد على الرسائل الواردة من مسؤول النظام حول استخدام الموظفين لأسماء المستخدمين بخلاف أسماء المستخدمين الخاصة بك عن طريق غرسها. فقط مع الالتزام الصارم بسياسة استخدام كلمات المرور وأسماء المستخدمين ، يمكن تحديد من وكيف ومتى أتلف ملفات ووثائق وقواعد بيانات معينة. تعمل هذه الإجراءات على تبسيط استعادة البيانات التالفة وتقليل وقت التوقف عن العمل في حالة حدوث فشل في توفير المعلومات للمؤسسة. إذا أدخل جميع الموظفين برامج مختلفة تحت اسم "Administrator" بكلمة المرور "1" ، فلن يتم العثور على مرتكبي الإخفاقات والأخطاء!
ثالث. لا تقم أبدًا بتخزين التوقيعات الرقمية الإلكترونية (EDS) وكلمات المرور من أنظمة Bank-Client والبطاقات البلاستيكية وبرامج نقل البيانات إلى خدمة الضرائب الفيدرالية والمؤسسات الأخرى على محركات الأقراص الثابتة لأجهزة الكمبيوتر لديك. لا تريد رؤية الأصفار على حساباتك في لحظة واحدة؟ أعتقد لا. لذلك ، يجب تخزين جميع المعلومات الهامة على وسيط قابل للإزالة في خزنتك الشخصية. (على سبيل المثال ، على محرك أقراص محمول شخصي) لا أحد باستثناء أنه يجب أن يكون لديك حق الوصول إلى هذه الوسائط. بالإضافة إلى مخاطر استخدام EDS أو كلمة المرور الخاصة بك لتحويل الأموال في أنظمة Bank-Client من قبل موظفي مؤسستك (عن طريق النية الخبيثة أو عن طريق الخطأ) ، هناك احتمال أن يتم سرقة هذه البيانات بواسطة الفيروسات أو البرامج الأخرى التي تم الحصول عليها على جهاز الكمبيوتر الخاص بك عبر الإنترنت. في الحالة الأخيرة ، قد تكتشف أنه تم خصم الأموال من الحسابات أمس ، وحتى محاولات معرفة من فعل ذلك لن تنجح. ستكون المأساة أيضًا أن نفس البنك سينفذ أمر تحويل الأموال ، حيث سيتم إدخال كلمة المرور الصحيحة أو EDS الصحيح ، وسيكون من المستحيل إثبات أنك لست أنت من أدخل التوقيع أو كلمة المرور. يجب أن تنطبق نفس المتطلبات على EDS للمحاسبين العاملين مع البنك وخدمة الضرائب الفيدرالية والوكلاء الآخرين. يجب أن يكون لدى المحاسبين وسائط شخصية بها معلومات من هذا النوع.
في حالة الشك ، حتى على أقل تقدير ، من أن شخصًا ما يمكن أن يكتشف حتى جزء من كلمة المرور أو على الأقل لمدة ثانية يمكنه استخدام (حتى مجرد الاحتفاظ) بالوسائط مع EDS - قم بحظرها على الفور وبعد ذلك تغيير كلمات المرور أو EDS.
الرابعة. استخدم البرامج المرخصة (البرامج). يمكن أن يؤدي التوفير في البرامج إلى خطر التعرض للمقاضاة وإلى حقيقة أن البرامج غير المرخصة يمكن أن تكون مصدرًا لإلحاق الضرر ببياناتك أو نقل بياناتك إلى المهاجمين على الإنترنت (يجعل المتسللون البرامج "مجانية" ليس فقط من أجل الحب من الفن). في حالة البرنامج ، سيخبرك مسؤول النظام لديك بما هو مطلوب لضمان أداء مؤسستك. كحد أدنى ، بالإضافة إلى البرامج الخاصة بأداء العمل الرئيسي للموظفين ، يجب أن يكون لدى جميع محطات العمل والخوادم دون استثناء نظام تشغيل مرخص مع أحدث مجموعة من التحديثات ومضاد فيروسات مرخص مع تثبيت أحدث قواعد بيانات مكافحة الفيروسات. ومع ذلك ، حاول تجنب "الحلي" الجديدة ، لأن البرامج غير المختبرة ، كقاعدة عامة ، غير مستقرة ويمكن أن تلحق الضرر ببياناتك.
هذه مجرد توصيات قليلة ، لكنها مهمة تستند إلى خبرة المؤلف كمسؤول نظام ورئيس مسؤول نظام في مؤسسات مختلفة. اسمع ، وحتى إذا حدث شيء لبياناتك ، فلن يكون الحادث كارثة.
ملاحظة. بحلول وقت كتابة المقال ، كان على المؤلف ، بناءً على طلب صديق ، التعامل مع عواقب حريق في إحدى المنظمات ، قبل حلول العام الجديد. لقد التزموا بصرامة بالمتطلبات المذكورة أعلاه ، وقاموا بعمل نسخ احتياطية ، ولكن ... مرة واحدة كل ستة أشهر. لا ، قبل أن يفعلوا كل شيء كما هو متوقع ، مرة في الأسبوع ، ولكن بما أنه لم يحدث شيء رهيب ، لوح التنظيم بيدهم واسترخى. اندلع حريق احترق جميع التقارير الورقية بما في ذلك اصدار الرواتب وحسابات الجرد. وفي بداية العام ، كما يعلم العديد من المحاسبين على الأرجح ، يلزم تقديم تقارير إلى دائرة الضرائب الفيدرالية ...
لسوء الحظ ، لا يمكن استعادة القرص الصلب للخادم. والنسخة التي تمت استعادتها مؤرخة في 3 يوليو 2009.