srco – کرم ها و ويروس ها نوع خاصى از برنامه هاى کامپيوترى موسوم به ” کد مخرب ” مى باشند. علت ظهور کرم ها و ويروس ها ، وجود ضعف در برنامه ها ى کامپيوترى است . آنان نسخه هائى از خود را تکرار و يا به ساير برنامه ها متصل، بسرعت گسترش و بسادگى از سيستمى به سيستم ديگر توزيع مى شوند.درابتدا لازم است که تعريف مناسبى براى هر يک از آنان ارائه گردد .
کرم ها ، نوع خاصى زبرنامه هاى کامپيوترى مى باشند که پس از آغاز فعاليت خود ، بدون مداخله انسانى منتشر و توزيع خواهند شد. ويروس ها ، نوع ديگرى از برنامه هاى کامپيوترى مى باشند که بمنظور انتشار و توزيع خود نيازمند انجام عمليات خاصى توسط کاربر نظير فعال شدن فايل همراه يک نامه الکترونيکى مى باشند.کاربران در اغلب موارد و در مشاهده با فايل هاى ضميمه همراه نامه هاى الکترونيکى ، اغوا و بدون لحاظ نمودن مسائل امنيتى آنان را باز و به عاملى براى گسترش يک ويروس تبديل مى شوند. کاربران بدليل کنجکاوى مربوط به موضوع يک نامه و يا ظاهر شدن نامه بگونه اى که براى مخاطب خود آشنا است ، اقدام به باز نمودن ضمائم يک نامه الکترونيکى مى نمايند. کرم ها و ويروس مى توانند اقدامات پيشگيرانه امنيتى نظير فايروال ها و سيستم هاى حفاظتى را ناديده و اهداف خود را دنبال نمايند.
کرم ها و ويروس ها در مقايسه با گذشته با سرعت بمراتب بيشترى اقدام به خرابى سيستم هاى آسيب پذير نموده و در اين راستا نسخه هائى از خود را براى اکثر سيستم هاى فوق ، توزيع و منتشر مى نمايند. کامپيوترهاى موجود در منازل ، نمونه مناسبى از سيستم هاى آسيب پذير بوده که شرايط و استعداد مناسبى را در اين رابطه دارند.
کرم Code Red در سال 2001 بسرعت در سطح جهان منتشر گرديد . سرعت انتشار کرم فوق، بمراتب بيشتر از کرم Morris در سا 1988 و ويروس مليزا در سال 1999 بود. بديهى است، افزايش سرعت انتشار اين نوع از کدهاى مخرب ، سرعت در بروز خرابى و آسيب را بدنبال خواهد داشت . مثلا” فاصله زمانى بين شناسائى اولين نسخه کرم Code Red و خرابى گسترده آن ، صرفا” چندين روز بيشتر نبوده است و دراين فاصله زمانى محدود، Code Red بسرعت اشاعه و گسترش پيدا کرده بود. پس از گذشت يک ماه از ظهور کرم Code Red ، کرم ديگرى با نام “نيمدا” توانست در اولين ساعت فعاليت خود ، خرابى بسيار گسترده اى را ايجاد نمايد . در ژانويه همان سال ، ” اسلامر” توانست صرفا” در مدت چندين دقيقه خرابى گسترده اى را بوجود آورد .
شکل زير،سرعت انتشار و ميزان آسيب رسانى ” اسلامر” ، بلستر و Code red در اولين روز فعال شدن را نشان مى دهد . همانگونه که مشاهده مى شود ، اسلامر توانسته است با سرعت بيشترى در اولين ساعات فعال شدن خود ، تعداد زيادى از سيستم ها را آلوده نمايد. سرعت انتشار بلستر از اسلامر کندتر ولى از Code Red سريعتر بوده است . پس از گذشت بيست و چهار ساعت، بلستر به 336،000 ، .Code Red به 265،000 و اسلامر به 55،000 دستگاه کامپيوتر آسيب رسانده بودند. دقت داشته باشيد که بلستر در هيجده ساعت اوليه فعاليت خود تواسنه است بيش از 336،000 کامپيوتر را آلوده نمايد. بلستر نسبت به اسلامر توانسته است عليرغم کند بودن انتشار در ساعات اوليه ، تعداد بمراتب بيشترى از يستم ها را آلوده نمايد . بنابراين ، ما از يکطرف سرعت در انتشار و از طرف ديگر افزايش بالاى تعداد سيستم هاى آسيب پذير را مى توانيم مشاهده نمائيم .
شکل زير، عملکرد کرم بلستر و Code Red در هيجده ساعت اوليه فعاليت آنان را نشان مى دهد. در هر دو حالت در ساعات بين سه تا پنج اوليه فعاليت ، نزديک به 100،000 کامپيوتر آلوده شده بود. سرعت انتشار و آسيب به اندازه اى سريع بوده است که اغلب مديران سيستم و کاربران زمان لازم بمنظور ايمن سازى سيستم ها پس از اعلام ضعف امنيتى را نداشته اند .
عملکرد کرم ها و ويروس ها
در بهترين حالت ، کرم ها و ويروس ها بمنزله مزاحمينى مى باشند که بمنظور برخورد با آنان مى بايست هزينه هاى زيادى صرف گردد . در بدترين حالت ، آنان بمنزله دشمنان خانمان سوزى بوده که قادرند سرمايه هاى اطلاعاتى را نابود و ويران نمايند. بر اساس گزارشات منتشر شده ، صرفا” در دوازده ماه گذشته ، حملات کرم ها و ويروس ها ميليون ها دلار خسارت را متوجه سازمان ها و موسسات نموده است .
براساس نظر سنجى انجام شده توسط CSI/FBI در سال 2003 ، بيش از هشتاد و دو درصد از پاسخ دهندگان با نوع خاصى از حملات توسط ويروس ها و کرم ها برخورد داشته که هزينه اى معادل 27،382،340 دلار صرف برطرف نمودن مشکلات مربوطه شده است . کمترين هزينه گزارش شده 40،000 دلار و بيشترين هزينه گزارش شد بالغ بر 6،000،000 دلار بوده است . در يک نظر سنجى ديگر و در استراليا نيز نتايجى مشابه بدست آمده است . در اين نظر سنجى بيش از هشتاد درصد از پاسخ دهندگان با نوع خاصى از حملات توسط کرم ها و يا ويروس ها مواجه بوده اند . در بررسى انجام شده توسط موسسه تحقيقاتى استراليا ، 33 % درصد از پاسخ دهندگان اعلام نموده اند که مشکل آنان در کمتراز يک روز ، 30 % اعلام نموده اند که مشکل آنان بين يک تا هفت روز و 37 % ديگر اعلام نموده اند که بيش از يک هفته صرف برطرف نمودن مشکل آنان شده است . ( برخى از سازمان ها و موسسات نيز اعلام نموده اند که مشکل آنان هرگز برطرف نشده است ) .
ميزان صدمات وخرابى گزارش شه در ارتباط با کرم بلستر، بالغ بر 525 ميليون دلار و در ارتباط با سوبيگ ( نوع F ) ، بين 500 ميليون تا يک ميليارد دلار برآورد شده است.هزينه فوق ، شامل ازدست دادن بهره ورى ، ساعات تلف شده ، عدم فروش کالا و يا خدمات و هزينه هاى اضافى مربوط به پهناى باند است . بر اساس اظهارات ارائه شده در نشريه اکونوميست 23 اگوست 2003 ، سوبيگ (نوع F )، مسئول يکى از شانزده نامه الکترونيکى ارسال شده بر روى اينترنت بوده است . برخى سازمان هاى بزرگ ، صرفا” طى يک روز بيش از 10،000 نامه الکترونيکى آلوده را دريافت نموده اند ( در هر 6. 8 ثانيه ، يک پيام ) . سوبيگ ، قادر به ارسال چندين نامه الکترونيکى در يک زمان بود و بدين ترتيب ضريب نفوذ و اشاعه آن بشدت بالا بود . ( هزاران پيام در يک دقيقه ) . با توجه به اينکه، سوبيگ چندين مرتبه تغيير و نسخه هاى جديدترى از آن ارائه مى شد، برخورد و غير فعال نمودن آن با مشکل مواجه مى گرديد . ( حرف F نشاندهنده نسخه شماره شش سوبيگ است ) .
وضعيت آينده
نتايج و تجارب کسب شده ، صرفا” محدود به عملکرد خاص برخى از کرم ها و ويروس ها نظير بلستر و سوبيگ بوده و ما مى بايست به اين واقعيت مهم توجه نمائيم که کرم ها و ويروس ها يک تهديد جدى در رابطه با امنيت اينترنت بوده و مى توانند مسائل متعدد و غيرقابل پيش بينى را در آينده براى هر يک از شهروندان حقوقى و يا حقيقى اينترنت بدنبال داشته باشند .بنابراين مى توان اين ادعا را داشت که اينترنت نه تنها در حال حاضر در مقابل اينگونه حملات آسيب پذير است بلکه آسيب پذيرى آن در آينده نيز قابل پيش بينى و واقعيتى غيرقابل کتمان است. کامپيوترهاى موجود در سازمان ها ، موسسات دولتى و خصوصى ، مراکز تحقيقاتى ، مدارس ، دانشگاه ها در حال حاضر نسبت به ضعف هاى امنيتى کشف شده آسيب پذير بوده و قطعا” نسبت به ضعف هائى که در آينده مشخص مى گردند، نيز آسيب پذيرى خود را خواهند داشت . بنابراين ، سيستم هاى کامپيوترى هم در مقابل حملات در حال حاضر و هم براى حملات در آينده ، داراى استعداد لازم بمنظور پذيرش آسيب خواهن بود. بديهى است ، همزمان با افزايش وابستگى سازمان ها و موسسات دولتى و خصوصى به اينترنت ، انجام فعاليت هاى تجارى، تهديدات و خطرات خاص خود را بدنبال خواهد داشت .
محدوديت راه حل هاى واکنشى
پس از گذشت قريب به پانزده سال از عموميت يافتن اينترنت و مطالعات گسترده انجام شده بمنظور کاهش خطرات ، خرابى و سرعت در تشخيص و غلبه بر حملات ، مى توان اين ادعا را نمود که راه حل هاى واکنشى به تنهائى کافى نخواهند بود. ادعاى فوق ، ماحصل توجه به عوامل زير است :
• اينترنت در حال حاضر بيش از 171،000،000 کامپيوتر را بيديگر متصل و رشد آن همچنان ادامه دارد . در حال حاضر ، ميليون ها کامپيور آسيب پذير در اينترنت وجود دارد که مستعد يک نوع خاص از حملات توسط مهاجمين مى باشند.
• تکنولوژى حملات بسيار پيشرفته شده و مهاجمان مى توانند با اتکاء بر آخرين فنآورى ها ى موجود ، بسادگى از نقاط ضعف موجود در سيستم هاى آسيب پذير استفاده و به آنان آسيب مورد نظر خود را برسانند( حملات مبتنى بر آخرين تکنولوژى موجود ).
• تعداد زيادى از حملات در حال حاضر بصورت کاملا” اتوماتيک عمل نموده و با سرعت بسيار بالائى در اينترنت و صرفنظر از منطقه جغرافيائى ويا محدوديت هاى ملى ، توزيع و گسترش مى يابند.
• تکنولوژى بکارگرفته شده در حملات بسيار پيچيده و در برخى موارد تعمد پنهنى در آنان دنبال مى گردد . بنابراين ، کشف و آناليز مکانيزمهاى استفاده شده بمنظور توليد پادزهر و برطرف نمودن مشکل ، مستلزم صرف زمان زيادى خواهد بود .
• کاربران اينترنت وابستگى زيادى به اينترنت پيدا کرده و از آن بمنظور انجام کارهاى حياتى خود نظير: فعاليت هاى تجارى Online استفاده مى نمايند. کوچکترين وقفه در ارائه خدمات مى تواند ازدست دادن منابع اقتصادى و بمخاطره افتادن سرويس هاى حياتى را بدنبال داشته باشد .
توجه به هر يک از موارد اشاره شده ، شاهدى است بر اين ادعا که ما همچنان در معرض طيف گسترده اى از حملات قرار گرفته ايم . حملاتى که از دست دادن منابع اقتصادى و عد امکان عرضه سرويس ها را بدنبال خواهد داشت .در اين راستا مى بايست از تمامى امکانات و پتانسيل هاى موجود بمنظور سرعت در پاسخ و برخورد با حملات استفاده نمود. بازنگرى در راه حل ها ى موجود و استفاده از رويکردهاى علمى و جامع مى تواند عاملى موثر در جهت برخورد مناسب با حملات باشد.
وظايف مديران سيستم
شناسائى تهديدات کرم ها و ويروس ها عمليات ساده و ايستائى نبوده و در اين رابطه مى بايست از رويکردهاى کاملا” پويا و مبتنى بر آخرين دستاوردهاى تکنولوژى استفاده گردد. با کشف بيش از چهار هزار نوع نقطه آسيب پذير در طى هر سال ، مديران سيستم و شبکه در وضعيت دشوارى قرار دارند . آنان با چالش هاى جدى در ارتباط با تمامى سيستم ها ى موجود و Patch هاى مورد نظر که براى برطرف نمودن نقايص امنيتى ارائه مى گردد ، مواجه مى باشند .
استفاده و بکارگيرى Patch ها ى ارائه شده در عين مفيد بودن بمنظور مقابله با مشکل امنيتى ايجاد شده ، مى تواند زمينه بروز مسائل و اثرات جانبى غيرقابل پيش بينى را فراهم نمايد . در اين رابطه لازم است به اين نکته مهم نيز اشاره گردد که پس از ارائه يک Patch امنيتى ، مدت زمان زيادى طول خواهد کشيد که مديران سيستم و يا شبکه مشکل تمامى سيستم هاى آسيب پذير خود را برطرف نمايند. مدت زمان برطرف سازى مشکلات و اشکالات بوجود آمده در برخى موارد مى تواند مه ها ويا حتى سالها پس از ارائه patch پياده سازى شده ،بطول مى انجامد . مثلا” هنوز گزاشاتى در رابطه با ويروس مليزا که چهار سال از فعال شدن آن گذشته است ، توسط برخى سازمان ها و موسسات در سطح جهان ارائه مى گردد. ريشه کن نمودن يک کرم و يا ويروس شايع ، با توجه به گستردگى اينترنت ، عملياتى نيست که در يک بازه زمانى محدود، بتوان موفق به انجام آن گرديد ومى بايست براى نيل به موفقيت فوق ، زمان زيادى صرف گردد .
شايد اين سوال مطرح گردد که دلايل اينهمه تاخير در ريشه کن نمودن يک ويروس و يا کرم چيست ؟ در پاسخ مى توان به موارد متعددى نظير صرف زمان زياد ، پيچيدگى گسترده آنان و عدم اختصاص اولويت مناسب براى مقابله با آنان در يک سازمان و يا موسسه ، اشاره نمود.متاسفانه ، بسيارى از مديران شناخت کامل و جامعى نسبت به تهديدات نداشته و هرگز به مقوله امنيت با يک اولويت سطح بالا نگاه نکرد و حتى منابع لازم را به اين مقوله اختصاص نمى دهند. علاوه بر اين ، سياست هاى تجارى در برخى موارد سازمان ها را بسمت انتخاب يکى از دو گزينه : اهداف تجارى و نيازهاى امنيتى هدايت که در اکثر موارد رسيدن به اهداف تجارى داراى اولويت و جايگاه بالاترى براى آنان مى باشند. علاوه بر تمامى مسائل فوق، مى بايست به اين نکته مهم نيز اشاره گردد که تقاضا براى مديران سيستم ورزيده و کارشناس بيش ازميزان موجود بوده و همين امر همواره استفاده از متخصصين و کارشناسان امنيتى را با مشکل جدى مواجه مى سازد( عدم توازن بين عرضه و تقاضا) .
بمنظور برخورد مناسب با وضعيـت فوق ، مديران سيستم در يک سازمان مى توانند با دنبال نمودن مراحل زير عمليات لازم در جهت تسهيل در امر حفاظت سيستم هاى سازمان را انجام دهند:
• اتخاذ روش هاى امنيتى .انتخاب سيستم هاى ارزيابى امنيت اطلاعات ، مديريت سياست ها و تبعيت از روش هاى امنيتى براى تمامى سازمان ها (بزرگ و کوچک ) امرى حياتى است . سازمان ها و موسسات مى توانند بر اساس وضعيت موجود خود ، يکى از روش هاى مناسب امنيتى را انتخاب نمايند. در اين راستا مى توان از پتانسيل ها و تجارب بخش دولتى و يا خصوصى استفاده گردد. در اين رابطه مى توان از منابع متعدد اطلاع رسانى موجود بمنظور اتخاذ سياست هاى کلى امنيتى استفاده و پس از بررسى آنان نسبت به تدوين و پياده سازى سياست امنيتى در سازمان مربوطه ، اقدام نمود.
• بهنگام نمودن دانش و اطلاعات . مديران سيستم مى بايست بمنظور ارتقاء سطح دانش و معلومات خود ، دوره هاى آموزشى خاصى را بگذرانند . شرکت در دوره هاى آموزشى مستمر و اختصاص وقت لازم براى استفاده مفيد از دوره هاى آموزشى مى بايست در دستور کار مديران سيستم در سازمان ها و موسسات قرار گيرد . مديران سيستم لازم است ضمن آشنئى با آخرين تهديدات و حملات با ابزارهاى لازم در جهت افزايش حفاظت سيستم ها نيز شناخت مناسبى را پيدا نمايند .لازم است به اين نکته مهم اشاره گردد که امنيت ، داراى ماهيتى کاملا” پويا بوده که همزمان با بروز حملات جديد و شناسائى نقاط آسيب پذير جديد بصورت روزانه تغيير و ارتقاء مى يابد. با دانش استاتيک و محدود نمى توان با مقوله هاى پويا و گسترده برخوردى مناسب و علمى داشت .
• آموزش کاربرانى که از سيستم ها استفاده مى نمايند . مديران سيستم مى بايست برنامه هاى آموزشى خاصى را در رابطه با امنيت ، بمنظور ارتقاء دانش کاربران نسبت به مسائل امنيتى ، ارائه نمايند. دوره ها و برناه هاى آموزشى مى بايست کاملا” هدفمند بوده و کاربران پس از شرکت وگذراندن دوره هاى فوق ، به سطح مطلوبى از توانائى بمنظور تشخيص يک مسئله ، انجام عمليات لازم بمنظور افزايش حفاظت سيستم، برخورد مناسب در صورت مواجه با يک مشکل امنيتى دست پيدا کرده باشند . بمنظور پياده سازى سياست امنيتى در يک سازمان ،وجود کاربران آگاه با مسائل ايمنى اطلاعات و حفاظت از اطلاعات حساس ، امرى ضرورى و لازم است .
• وظايف ارائه دهندگان تکنولوژى
مديران سيستم با دنبال نمودن پيشنهادات ارائه شده، صرفا” قادر به حل بخش هائى از مسئله امنيـت اطلاعات مى باشند. با توجه به جايگاه شرکت هاى ارائه دهنه تکنولوژى، حرکات و تدابير مثبت آنان مى تواند تاثير زيادى در جهت ممانعت و گسترش کرم ها و ويروس ها را بدنبال داشته باشد . با اينکه برخى شرکت ها بسمت ارتقاء و بهبود امنيت در محصولات خود حرکت نموده اند ، ولى هنوز راهى طولانى در پيش است . متاسفانه ، پياده کنندگان نرم افزار از تجارب گذشته در رابطه با نقايص امنيتى در ارائه نسخه ها ى جديد نرم افزار خود استفاده نمى نمايند. بر اساس مطالعات انجام شده ، مشاهده شده است که برخى از نقاط آسيب پذير جديد در نسخه هاى جديد برخى محصولات در نسخه هاى قبلى هم وجود داشته و تلاش مناسبى در جهت بهسازى وضعيت امنيتى نسخه جديد صورت نگرفته است .
وجود برخى از نقاط آسيب پذير بدليل عدم پيکربندى ايمن سيستم هاى عامل و برنامه هاى کاربردى است . محصولات فوق ، بسيار پيچيده بوده و اغلب با غير فعال نمودن برخى از ويژگى ها ى امنيتى به مشتريان عرضه مى شوند .شرکت هاى ارائه دهنده بر اين اعتقاد مى باشند که همزمان با استفاده از محصول ارائه شده ، کاربران مى توانند ويژگى هاى امنيتى غير فعال شده را در زمان لازم و بدلخواه خود فعال نمايند. بدين ترتيب تعداد زيادى از سيستم هاى متصل شده به اينترنت داراى پيکربندى مناسب در رابطه با امنيت اطلاعات نبوده و شرايط مناسبى را براى نفوذ کرم ها و ويروس ها فراهم مى نمايند.
ارائه محصولاتى ه در مقابل کرم ها و ويروس ها نفوذناپذير باشند ، براى هر شرکت ارائه کننده محصولات ،امرى ضرورى و حياتى است . اعتقاد به اين رويکرد امنيتى که ” کاربر مى بايست مواظب باشد ” ، در عصر حاضر پذيرفتنى نيست ، چراکه سيستم ها بسيار پيچيده بوده و سرعت حملات نيز باورنکردنى است و در برخى موارد فرصت مناسب براى برخورد با نقص امنيتى از کاربر سلب مى گردد . توليد کنندگان محصولات مى توانند با اتکاء و استفاده از روش هاى مهندسى نرم افزار تلاش خود را در جهت توليد محصولات مقاوم در برابر حملات ، مضاعف نمايند . در اين راستا موارد زير پيشنهاد مى گردد :
• نرم افزار ضد ويروس / مقاوم در مقابل وروس . کامپيوترها و نرم افزارها داراى امکانات ذاتى بمنظور ايمن شدن در مقابل تهديدات و حملات کرم ها و ويروس ها نمى باشند. طراحى کامپيوترها و يا نرم افزارهاى کامپيوترى بگونه اى است که امکان توزيع و انتشار ويروس ها و آلودگى سيستم ها را فراهم مى نمايد. در برخى موارد طراحى انجام شده بگونه اى است که شرايط لازم براى حملات و نفوذ کرم ها و ويروس ها را فراهم و استعداد فوق در بطن محصول ارائه شده وجود خواهد داشت . اجراء يک کد نامشخص و وارده از يک منبع ناشناس و گمنام نمونه اى از استعداد اشاره شده در بطن محصولات بوده که امکان فعال شدن يک کد اجرائى بدون محدوديت و نظارت خاصى بر روى ي ماشين ، فراهم مى گردد.بدين ترتيب سيستم در مقابل حملات ويروس ها آسيب پذير و لازم است توليد کنندگان، سيستم ها و نرم افزارهاى خود را بگونه اى ارائه نمايند که باعث محدوديت در اجراى کدهاى وارده ، خصوصا” کدهائى که از منابع تائيد نشده و ناشناخته سرچشمه مى گيرند، گردند. در اين رابطه مى توان از روش هاى شناخته شده و مبتنى بر مهندسى نرم افزار متعددى استفاده نمود.
• کاهش خطاء پياده سازى . اکثر نقاط آسيب پذير موجود در محصولات از خطاهاى موجود در مرحله پياده سازى نرم افزار، ريشه مى گيرد. اين نوع خطاها در محصولات باقى مانده و شايد منتظرند که در زمان بکارگيرى نرم افزار شناساى گردند ! تشخيص و برطرف نمودن اين نوع خطاها ، صرفا” زمانى ميسر مى گردد که محصول در حال استفاده و کاربرى است . در موارد زيادى ، نقايص امنيتى مشابه بصورت پيوسته در نسخه هاى جديد محصولات، مجددا” مشاهده و کشف مى گردد.مهمترين علت بروز اينگونه نقاط آسيب پذير، طراحى سطح پائين و يا عدم برخورد مناسب با خطاها در زمان پياده سازى است . توليدکنندگان و ارائه دهندگان محصولات نرم افزارى لازم است با مطالعه و بررسى اشتباهات گذشته و بکارگيرى روش هاى موثر موجود در مهندسى نرم افزار سعى در کاهش حفره ها و نقايص امنيـى در محصولات خود نمايند .
• پيکربندى پيش فرض با امنيت بالا . امروزه با توجه به پيچيدگى محصولات نرم افزارى ، پيکربندى مناسب سيستم ها و شبکه ها بمنظور استفاده از تدابير امنيتى پيش بينى شده ، امرى دشوار بنظر مى رسد . حتى در برخى موارد افراديکه داراى مهارت هاى فنى قابل قبولى بوده و آموزش هاى لازم را نيز فراگرفته اند ، بمنظور استفاده و بکارگيرى امکانات امنيتى در يک محصول نرم افزارى، داراى مشکلات خاص خود مى باشند.اشتباهات کوچک مى تواند سيستم ها را در معرض تهديد و کاربران را با حملات غير قابل پيش بينى مواجه نمايد. توليد کنندگان و ارائه دهندگان تکنولوژى مى توانند محصولات خود را با پيکربندى پيش فرض ايمن،ارائه نمايند . در چنين مواردى اکثر گزينه ها و امکانات امنيتى موجود ، بصورت پيش فرض و در زمان نصب فعال خواهند بود. بدين ترتيب کاربران در آغاز استفاده از يک محصول نيازمند تغييرات خاصى در رابطه با پيکربندى محصول نداشته و در ادامه و در صورت ضرورت ،مى توانند پيکربندى هاى پيش فرض را متناسب با خواسته خود تغيير نمايند . بنابراين ، کاربران با يک سطح امنيتى قابل قبول استفاده از محصول را آغاز مى نمايند.
وظايف تصميم گيرندگان
تصميم گيرندگان در يک سازمان ، موسسه و ساير بخش ها ى کلان يک کشور، مى توانند بمنظور افزايش امنيت از رويکردهاى متفاوتى استفاده نمايند . در اين راستا موارد زير پيشنهاد مى گردد :
• قويت انگيزه هاى لازم براى ارائه محصولات با ايمنى بيشتر و کيفيت بالا . بمنظور ترغيب ارائه دهندگان بمنظور توليد محصولات باکيفيت و ايمنى مناسب ، پيشنهاد مى گردد که تصميم گيرندگان از قدرت خريد خود بمنظور تقاضاى نرم افزار با کيفيت بالا استفاده نمايند . در هنگام تهيه نرم افزار و عقد قرارداد مربوطه مى بايست عبارت ” کد بى نقص ” با صراحت در متن قرارداد آورده شود. بدين ترتيب توليد کنندگان و ارائه دهندگان محصولات در مواردى که نقايص خاصى نظير نقايص امنيتى در محصول مربوطه تشخيص و کشف مى گردد ، ملزم به رفع عيب و اشکال موجود خواهند بود. پايبندى به رويکرد فوق ، انگيزه هاى مناسبى را براى توليدکنندگان ايجاد و هر توليد کننده که محصول بى نقصى را توليد و ارائه نمائيد ، شانس موفقيت بيشترى را خواهد داشت .
دراين رابطه لازم است ، تصميم گيرندگان با مسائل متعددى همچون فرآيندهاى تهيه يک محصول آشنا و بصورت مستمر اطلاعات خود را نيز ارتقاء تا بتوانند در زمان لازم تصميمات منطقى و مبتنى بر دانش را براى تهيه يک محصول اتخاذ نمايند.بمنظور حمايت از چنين فرآيندهائى، تهيه کنندگان مى بايست آموزش هاى لازم در خصوص نظارت ، سياست هاى امنيتى ، اصول و مفاهيم امنيتى و معمارى مربوطه را فرا بگيرند .بهرحال هدف ، تهيه و بکارگيرى سيستمهائى است که با روح يک سازمان مطابت و افزايش کارآئى و بهره ورى را بدنبال داشته باشند .
• تحقيق در رابطه با تضمين ايمن سازى اطلاعات . تصميم گيرندگان ، مى بايست همواره بدنبال راه حل هاى تکنيکى بمنظور افزايش ضريب امنيت اطلاعات بوده و در اين راستا لازم است تحقيقات گسترده و سازمان يافته اى را بمنظور آگاهى از روش هاى کنشگرايانه وپيشگيرانه در دستور کار خود قرار دهند ( استفاده از روش هاى واکنشى و انفعالى به تنهائى کفايت نخواهد کرد) . بنابراين ، تصميم گيرندگان مى بايست از يک برنامه منسجم تحقيقاتى حمايت تا ب
