ايجاد CERT در كشور ضرورى است
بخش کامپيوتر ابرار اقتصادى – انجمن رمز ايران به منظر ايجاد اعتماد و امنيت در محيط هاى مجازى با توجه به اهميت امنيت الكترونيكى در دنياى كنونى، تشكيل شده است•
محمود سلماسى زاده عضو شوراى اجرايى انجمن رمز ايران در گفت وگو با خبرنگار گروه كامپيوتر ابراراقتصادى ضمن بيان اين مطلب گفت: انجمن رمز ايران در سال 79 به منظور گسترش و توسعه علمى و فناورى هاى رمز و همچنين كمك به توسعه كمى و كيفى نيروهاى متخصص و بهبود امور پژوهشى، تشكيل شده است•
وى با اشاره به گسترش فناورى اطلاعات و ايجاد فضاى مجازى گفت: مشخصات فضاى مجازى (cyber space) با فضاهاى فيزيكى و سنتى از لحاظ اعتماد و امنيت متفاوت است و براى استفاده صحيح از اين فناورى لزم است تمهيداتى در خصوص امنيت و ايجاد زيرساخت هاى جديد صورت گيرد•
وى همچنين گفت: امنيت در فضاى مجازى با ورود فناورى به كشور تأمين نمى شود و بايد اقداماتى از جمله ايجاد زيرساخت و بالا بردن دانش و علم در اين زمينه انجام شود•
وى با اشاره به لزوم تدوين راهبردهاى تأمين امنيت در كشور گفت: متولى اين امر در كشور هنوز كاملاً معلوم نيست و بسيارى از نهادها و سازمان ها كه به نحوى به صورت سنتى با امنيت سر و كار دارند، خود را متولى اين امر مى دانند•
وى با تأكيد بر ايجاد مراكزى براى ارايه پاسخ سريع در هنگام وقوع حوادث گفت: در فضاى مجازى وقايع بين المللى هستند و تمهيدات براى مقابله در اين فضا بايد ايجاد شود كه از آن جمله مى توان به ايجاد مراكز پاسخ اضطرارى در قبال حملات اينترنتى (CERT) اشاره كرد•
وى با اشاره به حملات اخير كرمهاى اينترنتى گفت: در چين 20 ميليون كامپيوتر آلوده به ويروس هاى جديد شدند و در دنيا 5/5 ميليارد دلار خسارت وارد شد اما در ايران معلوم نيست چه مقدار خسارت وارد شده و اين نشانگر نبود سازمان هايى در سطح كلان براى مقابله با اين گونه وضعيت ها است•
مسوول كميته علمى انجمن رمز در خصوص فعاليت هاى اين انجمن گفت: انجمن رمز، انجمنى علمى و غيرانتفاعى است و مشابه دستگاه هاى علمى و غيرانتفاعى ديگر، فراهم آورنده زمينه هاى علمى و بسترسازى براى فعاليت هاى پژوهشى است و به فعاليت هاى اجرايى نمى پردازد•
وى در ادامه گفت: از اقدامات عملى در اين راستا، مى توان به برگزارى سخنرانى هاى ادوارى، انتشار نشريه علمى و برگزارى مسابقات علمى در زمينه امنيت و رمزگذارى اشاره كرد• وى همچنين گفت: اين انجمن 25 عضو حقوقى و 350 عضو حقيقى دارد و تاكنون توانسته است فرهنگ لزوم ايجاد امنيت الكترونيكى را در جامعه رشد دهد•
سلماسى زاده در پايان گفت: انجمن به سازمان هايى كه به طور حرفه اى به امنيت نياز دارند راهكارهايى در زمينه آموزش و تربيت نيروى متخصص، تدوين دستورالعمل هاى حفاظتى و كلان نگرى در بحث امنيت ارايه كرده است•
سيستم اطلاع رسانى در برابر حملات اينترنتى در كشور وجود ندارد همچنين پورآذين كارشناس امنيت شبكه در گفت وگو با خبرنگار ما گفت: مشخص نبودن متولى براى اطلاع رسانى به موقع در زمينه حملات پى درپى ويروس هايى شبيه سوبيگ و بلستر موجب شده تا امنيت شبكه هاى داخلى به نوعى دچار اختلال شوند•
وى در ادامه گفت: در زمينه اطلاع رسانى و پيشگيرى از انتشار اين گونه ويروس ها يا متولى وجود ندارد و يا اينكه اگر كارشناسى در اين زمينه شروع به فعاليت كند مشكل بودجه مانع از انجام اقدامات اجرايى آن مى شود•
وى افزود: در خصوص اين موضوع اقدام به ساخت دستگاههاى تأمين امنيت شبكه كرده ايم تا شايد با اجراى اين طرح گامى در جهت تقويت امنيت شبكه هاى داخلى در كشور خود برداريم•
پورآذين با اشاره به ضعف امنيت شبكه در كشور گفت: كارشناسان مدعى در امر امنيت شبكه هاى داخلى بايد بر حسب تجربه باشد تا به راحتى تمامى نقاط ضعف شبكه اى داخلى كشور بررسى شوند•
براى امنيت شبكه هاى خصوصى هيچ تضمينى وجود ندارد عضو هيات علمى دانشكده كامپيوتر دانشگاه صنعتى اميركبير در گفت و گو با ايسنا، گفت: هيچ تضمينى براى امنيت كامل شبكه هاى كاملا خصوصى وجود ندارد•
دكتر مسعود صبائى،افزود: شبكه هاى خصوصى مجازى (VPN) به علت ساختار شبكه اى خود از امنيت بالايى برخوردار است•
هر چند كه اين ميزان امنيت ذاتى براى قرار دادن بسيارى از اطلاعات كافى نيست و شركت ها و سازمان ها بايد ميزان محرمانه بودن اطلاعات را تشخيص داده و ضمن بررسى راه هاى نفوذ به سيستم هاى امنيتى براى بستن اين راه ها اقدام كنند• وى ادامه داد: تفاوت VPN با شبكه هاى Private در كيفيت سرويس دهى است كه شبكه هاى Private كيفيت بالاترى را تامين مى كنند؛ هرچند كه نصب و ايجاد تغييرات در آن بسيار هزينه بر است• به علت اين كه اين شبكه ها بر سر راه خود از مراكز تلفنى رد مى شود، امكان نفوذ به آنها وجود ندارد•
دكتر صبائى، در ادامه با اشاره به وجود يك سرى پروتكل هاى ارتباطى براى ارسل و دريافت اطلاعات در شبكه، اظهار داشت: امنيت شبكه هاى كامپيوترى از سه جنبه قابل بررسى است؛ اول اين كه كسى به اين اطلاعات گوش بدهد، دوم اين كه شخصى اطلاعات را پس از ايجاد تغييرات در آن به گيرنده برساند و مورد آخر اين كه شخصى خود را به عنوان يك استفاده كننده شناخته شده معرفى كرده و اطلاعات نادرست را ارسال كند•
وى افزود: براى هريك از موارد فوق، راه حل هايى مثل رمزنگارى و تصديق هويت وجود دارد كه با استفاده از اين روش ها احتمال نفوذ به شبكه به حداقل مى رسد•
عضو هيات علمى دانشگاه اميركبير با اشاره به روش هاى رمزنگارى اطلاعات، ابراز داشت: هيچ الگوريتم رمزنگارى را نمى توان قطعا غير قابل شكستن دانست و قدرت الگوريتم ها به عنوان يك پارامتر مطرح و بر اساس قدرت الگوريتم هاى رمزگشايى بر اساس زمان شكستن رمز است•
وى در پايان، لزوم پيش بينى سيستم هاى امنيتى را براى شبكه هاى خصوصى و سايت هاى اينترنتى يادآور شد و گفت: براى جلوگيرى از شنود اطلاعات و نفوذ بايد از الگوريتم هاى رمزنگارى در انتقال ديتا و سطوح ديگر شبكه استفاده كرد•