متخصص امنیت اطلاعات

چگونه یک متخصص امنیت اطلاعات شوم؟

چگونه یک متخصص امنیت اطلاعات شوم؟ کسب چه مهارت های امنیتی، آینده مرا تضمین می کند؟ شاید این سوال بسیاری از مبتدی های امنیت اطلاعات باشد که می پرسند: "چه مهارت هایی من نیاز دارم تا اولین شغل امنیتی خود را پیدا کنم؟" اخیرا در همین زمینه من با افراد زیادی برخورد کردم که درباره مهارت های مورد نیاز یک "تحلیگر امنیتی تکنولوژی های اطلاعاتی" سوال داشتند...

چگونه یک متخصص امنیت اطلاعات شوم؟ کسب چه مهارت های امنیتی، آینده مرا تضمین می کند؟ شاید این سوال بسیاری از مبتدی های امنیت اطلاعات باشد که می پرسند: "چه مهارت هایی من نیاز دارم تا اولین شغل امنیتی خود را پیدا کنم؟" اخیرا در همین زمینه من با افراد زیادی برخورد کردم که درباره مهارت های مورد نیاز یک "تحلیگر امنیتی تکنولوژی های اطلاعاتی" سوال داشتند.

واقعا این سوال بسیار مهمی در زندگی حرفه ای یک شخص است که من چگونه می توانم مهارت های فردی خود را ارتقاء دهم. تقریبا در تمامی کسانیکه در حرفه های مربوط به کامپیوتر فعالیت می کنند، یک نقطه مشترک وجود دارد. در حقیقت اینگونه نیست که ما فقط در زمینه حرفه خود باید اطلاعات کسب کنیم و آموخته شویم؛ ما نیاز داریم که از حرفه ها و تخصص های دیگر نیز در زمینه های مربوط به حرفه و شغل خود با خبر باشیم. در زمان ما، یک مرکز تحصیلاتی متمرکز  هم نبود که بخواهد تمامی مسایل امنیتی را یک جا مطرح کند. اما امروزه مراکز دانشگاهی و علمی متعددی هستند که در زمینه "امنیت اطلاعات" به صورت تخصصی فعالیت می کنند.

هر چند به دلیل ضعف اغلب مراکز آموزش رسمی در زمینه امنیت اطلاعات، برای رسیدن به جایگاه یک "تحلیلگر امنیتی" نیاز به تلاش فردی بسیاری است. درست است که آوردن مهارت های دانشگاهی به دنیای واقعی امنیتی، به یک تحلیلگر می تواند کمک شایانی بکند، اما امروزه این غلط است که بگوییم یک نفر یک ترم درسی را در دانشگاه می گذراند و تبدیل به یک تحلیگر امنیتی می شود.

همه ما برای یک بار هم که شده در رویایمان، خود را در جایگاه یک تحلیلگر امنیتی قرار داده ایم و بدون آنکه کاری  کرده باشیم پله های ترقی را بالا رفته ایم. اما در واقعیت چه؟ در واقعیت هم ما بهترین کسی هستیم که نقاط ضعف خود را می دانیم و به آن واقفیم و همانطور که در بالا اشاره کردم فقط با کسب برخی مهارت ها می توانید آینده شغلی خود را تضمین کنید. 

آیا همه مسیر ها به یک نقطه ختم می شود؟

همه ما می دانیم که برخی حرفه ها از جمله مدیریت سیستم (System Administrator )، متخصص سخت افزار – اشخاصیکه در زمینه نگهداری روترها، سوییچ ها و ابزارهای دیگر تخصص دارند– و مدیران پایگاههای داده ای (Database Administrator )، تخصص های اصلی مشترکی با هم دارند. 

بله! یک مدیر سیستم کسی است که بتواند در یک زمان تمامی کارهای گفته شده در بالا را انجام دهد، البته به دلیل آنکه در یک شرکت بزرگ و یا در یک سازمان دولتی مشغول است فقط می تواند در یک فیلد خاص فعالیت کند. بخشی از تخصص هایی که یک مدیر سیستم دارد در زیر آمده است و بعد از آن خواهیم گفت که چگونه آنها می توانند برای یک تحلیلگر امنیتی نیز مفید باشند:

·         دانش و تخصص لازم در زمینه سیستم های ویندوزی

·         دانش و تخصص در زمینه پروتکل های اصلی شبکه

·         مفاهیم معماری شبکه

·         آشنایی با فایروال، راه حل های آنتی ویروس ها و برنامه های فیلتر محتوا(Content Filter )

·         تخصص های لازم در زمینه مدیریت پروژه

یکی از مهارتهایی که یک مدیر سیستم نیاز دارد دانش و تخصص کافی در زمینه سیستم عامل هایی است که در شبکه استفاده می گردد. در شبکه های امروزی این به معنی یادگیری در زمینه سیستم های ویندوزی و در برخی مواقع لینوکسی و یا BSD می باشد، زیرا تجربه به من نشان داده است که در اغلب شبکه ها فقط ما از یک نوع سیستم عامل استفاده نمی کنیم بنابراین آشنایی با اغلب آنها لازم است. این موضوع دقیقا همان چیزی است که یک تحلیلگر امنیتی باید انجام دهد زیرا برای او تفاوتی بین سیستم عامل های مختلف وجود ندارد و او نیاز دارد که اطلاعات جامعی از کلیه سیستم عامل های ذکر شده داشته باشد.

اگر شما مدیر سیستم های ویندوزی باشید حتما با پروتکل های NetBIOS و فولدرهای اشتراکی ویندوز آشنایی کامل دارید زیرا که آنها پایه اصلی فعالیت های ویندوز در شبکه هستند. یکی از ریسک های امنیتی این سرویس ها، بی حفاظ گذاشتن آنها به دلیل نداشتن کلمه عبور است. همه مدیران سیستم ها می دانند که با استفاده از کلمه عبور می توان امنیت را برای فولدرهای اشتراکی در شبکه برقرار کرد. این موضوع و دانش نیز یکی از چیزهای عمومی است که یک تحلیلگر امنیتی باید بداند.

داشتن دانش لازم در زمینه پروتکل های مورد استفاده از شبکه یکی از تخصص های مورد نیاز برای هر مدیر سیستم است. در ضمن یک مدیر سیستم کسی است که سرویس دهنده های وب (Web Server ) را راه اندازی و پیکربندی می کند .

دانش و تخصص لازم در زمینه خطاهای پروتکل HTTP، چیزی است که علاوه بر یک مدیر سیستم، یک تحلیلگر امنینی نیز آن را می داند. همچنین دانستن پروسه های مورد نیاز جهت محکم سازی یک سرویس دهنده وب جهت حفط امنیت آن، دانش مورد نیاز هر دو آنها است. این موضوع در زمینه پروتکل FTP نیز صادق است.

هر دو پروتکل FTP و HTTP دو بخشی هستند که بسیار مورد نفوذ و حمله کدهای مخرب قرار می گیرند. پس تعجبی ندارد که داشتن تخصص لازم در زمینه این دسته از پروتکل ها نیاز اصلی یک مدیر سیستم و یک تحلیلگر امنیتی است.

معماری یک شبکه جزو بخش هایی است که معمولا در شبکه های بزرگ مورد غفلت قرار می گیرند و باز هم یک مدیر سیستم تنها کسی است که در این زمینه  بیشترین نگرانی را دارد. با کمی پیچیدگی، یک شبکه می تواند هم از داخل و هم از بیرون در معرض خطر باشد. داشتن DMZ امروزه در برابر تکنیک های حفاظتی دیگر، بسیار معمول و پیش پا افتاده است. همه این مسایل که درباره معماری و طراحی یک شبکه است، نیاز به دانشی دارد که مدیران سیستم ها و تحلیلگران امنیتی هر دو به اندازه کافی از آن بهره مند باشند.

هر شبکه بزرگ و امروزی دارای ابزارهای مختلف امنیتی است. این ابزارها شامل فایروال، راه حل های آنتی ویروس ها، فیلترکنندگان محتوا و پروکسی سرور ها می باشد که معمولا تمامی آنها توسط مدیران سیستم ها، مدیریت می شود. تنها تفاوت یک مدیر سیستم و یک تحلیلگر امنیتی عمق دانش آنها درباره خروجی های این ابزارها می باشد. برای نمونه یک تحلیلگر سیستم، کلیه ترافیک خروجی یک فایروال را تجزیه و تحلیل می کند و می گوید آیا هشدار های این سیستم معتبر هستند یا خیر. شاید فقط تعداد محدودی از مدیران سیستم  هستند که با خواندن جزییات بسته های شبکه راحتند. این کار نیاز به زمان زیادی دارد، در حالیکه تنها چیزهایی که مدیران سیستم نیاز دارند راه اندازی سیستم ، پیکربندی و نگهداری از این ابزارهاست، این همان دانشی است که یک تحلیلگر امنیتی نیز آن را دارا می باشد.

مدیریت پروژه بخشی است که فقط در هنگام نیاز به کار می آید. دانش و تخصص آن نیز برای یک مدیر سیستم و یک تحلیلگر امنیتی یکسان است. ره آوردهای مدیریت پروژه به هر فرآیندی که یک نفر به عهده می گیرد قابل اعمال است. شاید این سوال در ذهن ایجاد شود که چرا یک مدیر سیستم نیاز به دانستن این مساله دارد؟ یک نگاهی به اموری که در طول یک ماه مدیر سیستم انجام می دهد داشته باشید. این کارها از به روزرسانی سیستم ها بعد از انتشار یک اصلاحیه تا ارائه یک سرویس جدید در شبکه می باشد. شما برای انجام تمامی این امور، به صورت ناخواسته اغلب مسایلی که در مدیریت پروژه مطرح است را انجام می دهید. برای نمونه به روز رسانی سیستم عامل ویندوز XP به ویستا می تواند به عنوان یک پروژه مطرح شود. طرح های مختلفی مطرح می شود تا این پروژه با موفقیت صورت پذیرد و این همان کاری است که یک مدیر پروژه انجام می دهد.

حال این مساله چگونه به یک تحلیلگر امنیتی ارتباط پیدا می کند؟ اغلب مواقع یک تحلیلگر امنیتی به عنوان یک مشاور عمل می کند و در یک شرکت بزرگ جهت امری همچون "تجزیه و تحلیل ریسک" فعالیت می کند. طراحی "سیستم مدیریت اصلاحیه ها" نیز امری مشابه آن است و نیاز به مشخص کردن وظایف جهت پیشبرد آن دارد. همانطور که می بینید این مسایل به گونه ای با هم شباهت دارند و نیاز است که یک ره آورد مشابه مدیریت پروژه به آنها اعمال شود. در واقع اگر شما نخواهید این امور را تحت ره آوردهای مدیریت پروژه انجام دهید، این امور به سرعت و در بهترین حالت به سرانجام نخواهند رسید.

مرور دوباره

حالا بدیهی است که مهارت های مورد نیاز یک مدیر سیستم، بسیار مشابه یک تحلیلگر امنیتی است. برعکس اگر شما تخصص لازم در زمینه سیستم عامل های متفاوت، پروتکل های مختلف در شبکه و یا مهارت های مورد نیاز یک مدیر سیستم را نداشته باشید نمی توانید یک تحلیلگر امنیتی خوب باشید.

بیان وجوه اشتراکی این دو حرفه بسیار سمبلیک است. یک مدیر سیستم نه تنها در زمینه عملکرد سرویس های ارائه شده در شبکه مهارت دارد، همچنین نگران وضعیت امنیتی آنها نیز است. شما نمی توانید یک سیستم یا سرویس را بدون داشتن تخصص و دانش لازم درباره آن، امن کنید. یک تحلیلگر امنیتی شخصی است که دانش گسترده ای دارد. شما می توانید یکی از تخصص های دیگر همچون "تست نفوذگری" (Penetration Testing ) و یا متخصص "امنیت برنامه های کاربردی" (Web Application Security ) را نیز به عنوان حرفه آینده خود انتخاب کنید.

بنابراین برای تمامی مدیران سیستم ها، انتخاب حرفه تحلیلگر امنیتی نمی تواند دور از ذهن و بعید باشد.

 امیر حسین شریفی 

منبع : http://www.sgnec.net/Articledet-f.asp?number=145

همایش

همایش مدیریت دانش و علوم اطلاعات: پیوندها و برهم‌کنشها

زمان برگزاری 26 فروردین ماه 1388

پژوهشگاه اطلاعات و مدارک علمی ایران و انجمن کتابداری و اطلاع رسانی ایران با حمایت نهادهای مرتبط در نظر دارند این همایش را برگزار کنند. تمامی امور مربوط به مقالات و چکیده ها و داوری های همایش از طریق سایت همایش به نشانی http://www.km-seminar.ir صورت خواهد گرفت. برای یافتن آخرین اطلاعات همایش به همین سایت مراجعه بفرمائید.

(نحوه عضویت در سایت برای دریافت خبرهای همایش به زودی اعلام می شود.)  

    محورها:

-         مدیریت دانش و مدیریت اطلاعات: اشتراک و افتراق در مفاهیم، نظریه ها و الگوها

-         مدیریت دانش و مدیریت اطلاعات: نقدها و نظرها

-         مدیریت دانش و دانش میان سازمانی

-         مدیریت دانش و روابط میان رشته ای

-         مدیریت دانش و سرمایه معنوی

-         فناوری اطلاعات و بهینه سازی مدیریت دانش

-         مدیریت محتوا و مدیریت دانش

-         نظام مدیریت دانش و مدیریت کتابخانه ها و مراکز اطلاعاتی

-         گزارشها و تجربه های پژوهشی مدیریت دانش در کتابخانه ها و مراکز اطلاعاتی

-         گزارش ها و تجربه های موفقیت متخصصان کتابداری و اطلاع رسان در مدیریت دانش

-         راهبردها و روشهای ارزیابی دانش و مدیریت دانش

-         علوم اطلاعات و گردآوری، انتقال و ارزیابی دانش

-         مبانی نظری علوم کتابداری و اطلاع رسانی و مدیریت دانش

-         سازماندهی اطلاعات و مدیریت دانش در سازمانهای دانش محور

-         مدیریت دانش و آموزش کتابداری و اطلاع رسانی

-         مستندسازی تجربه ها از دیدگاه مدیریت دانش و نقش ابزارها و تجربیات کتابداری و اطلاع رسانی

-         رابطان دانش (واسطه‌های دانش) و تخصص های کتابداری و اطلاع رسانی

-         وضعیت مدیریت دانش در ایران

-         کتابداران و اطلاع‌رسانان و مدیریت دانش

-         تحلیل پژوهشهای مدیریت دانش در ایران

-         کاربردهای پیشنهادی مدیریت دانش در ایران

-         مدیریت دانش و افقهای تازه در چشم انداز علوم کتابدارای و اطلاع رسانی

-         فرصتها و تهدیدهای مدیریت دانش برای کتابداران و متخصصان اطلاع رسانی  

سازمان همایش:

-         رئیس همایش: دکتر سید امید فاطمی

-         دبیر علمی همایش: دکتر محمد حسن‌زاده

-         دبیر اجرایی همایش:‌ سید ابراهیم عمرانی  

کمیته علمی:

-         دکتر محمد حسن زاده

-         دکتر عباس حری

-         دکتر رحمت الله فتاحی

-         دکتر سید امید فاطمی

-         دکتر رحمان سرشت

-         دکتر مهری پریرخ

-         دکتر افسانه حاضری

-         دکتر محمد ابویی

-         دکتر سیروس علیدوستی

-         دکتر یزدان منصوریان

-         دکتر مریم صراف‌زاده  

 تاریخ های مهم

-         25 آذر 1387:  تاریخ نهایی دریافت چکیده ها و پیشنهاد برگزاری کارگاه های آموزشی

-         5 دی: اعلام نتایج داوری چکیده ها و کارگاه ها

-         15 بهمن: آخرین مهلت دریافت متن کامل مقالات پذیرفته شده  و درخواست شرکت در نمایشگاه

-         15 اسفند: اعلام نتایج نهایی مقالات پذیرفته شده در مرحله داوری متن کامل

-         25 اسفند: دریافت مقالات اصلاح شده در فرمت مورد نظر همایش و شروع ثبت نام در همایش.

-         15 فروردین 1388: بارگذاری اسلایدهای سخنرانی در وب سایت همایش

-         26 فروردین 88 برگزاری همایش

EBOOK

 

معرفی مرکز کتاب های الکترونیک پارس 

 

در این مرکز کتابهای الکترونیکی به صورت PDF و به صورت رایگان و در موضوعات متنوع ارائه می شود  

هر هفته به معرفی و ارائه چند ایبوک می پردازد

ایبوک پارس تحت نظر شرکت نیک پرداز اسیا ، در زمینه ساخت ، نشرو فروش ایبوک (کتابهای الکترونیکی )به زبان فارسی در سال 1382 راه اندازی شد. و در حال حاضر حاوی مجموعه ای بزرگ و نفیس از انواع ایبوک فارسی و لاتین میباشد

ایبوک پارس  (مرکز کتابهای الکترونیکی ) اولین مرکز ساخت و نشرکتب الکترونیکی میباشد

 شما در هر کجا که هستید میتوانید از خدمات ایبوک پارس استفاده نمایید  

خدمات ایبوک پارس  

• تبلیغات : ایبوک پارس محل مناسبی برای تبلیغات و مورد توجه ناشران کتاب میباشد .

تبلیغات بر اساس نیاز و خواست شما در مکانهای مختلف سایت قرار خواهد گرفت

 • قسمت معرفی ایبوک هفته نیز فرصتی را مهیا میسازد تا با مجال بیشتر ی به معرفی ایبوک خاص خود بپردازید

 • فروش ایبوک پارس :ایبوک قصد دارد بزرگترین کتابخانه دیجیتال را در محیط وب فارسی ایجاد کند  و ایبوک

       های این کتابخانه را برای فروش در معرض دید علاقه مندان قرار دهد

 • ساخت ایبوک : ایبوک پارس امادگی دارد با تمامی افراد حقیقی و حقوقی برای تبدیل کتب انها به کتاب الکترونیکی همکاری و  مذاکره نمایید

 • کتابخانه امانی: ایبوک پارس در نظر دارد برای اولین بار در ایران کتابخانه دیجیتال امانی را  راه اندازی نماید . برای این منظور سامانه ایبوک پارس پذیرای کلیه پیشنهادات در این زمینه می باشد .    

جهت ورود به وب سایت اینجا را کلیک کنید: http://www.ebookpars.com/default.asp

همایش

همایش معرفی کتابخانه دیجیتال نوسا و مدیریت منابع الکترونیک 

مدیریت ذخیره و بازیابی اطلاعات غیرمتنی همواره یکی از خواستهای مهم کتابداران و دست‌اندرکاران اطلاع‌رسانی بوده است. پس از گذشت نزدیک به 20 سال از ارائه اولین نسخه نرم‌افزار کتابخانه نوسا و نزدیک به 10 سال از ارائه اولین نسخه سیستم جامع اطلاع‌رسانی سیمرغ، دیگر تقریبا تمامی نیازهای کتابشناختی کتابخانه ها و مراکز اسناد توسط این نرم‌افزار برطرف شده است. بحث ذخیره و بازیابی اطلاعات غیرمتنی نه به عنوان جایگزین شدن ذخیره و بازیابی اطلاعات کتابشناختی ، بلکه به عنوان تکمیل آن مطرح است. در حال حاضر استفاده‌کنندگان از کتابخانه‌ها خواستار رسیدن به گام بعدی برای طبقه‌بندی منابع کتابخانه و دسترسی به نسخه‌های دیجیتالی آن هستند .

به همین منظور شرکت نوسا با هدف معرفی اولین نسخه سیستم کتابخانه دیجیتال سیمرغ به همراه سیستم نگهداری منابع الکترونیک نوسا اقدام به برگزاری همایشی در نیمه دوم آذر ماه نموده است. علاقه‌مندان به شرکت در این همایش جهت انجام مراحل ثبت نام و دریافت نام کاربری و کلمه عبور می‌توانند از طریق پست الکترونیک seminar1387@nosa.com با شرکت نوسا تماس حاصل نمایند.

اهداف همایش

• معرفی امکانات جدید نرم‌افزار سیمرغ برای کتابخانه‌های دیجیتال
• معرفی نرم‌افزار نگهداری منابع الکترونیک سیمرغ
• بررسی کاربردهای فن‌آوری RFID در کتابخانه‌ها
• بررسی میزبانی سرویس‌های کتابخانه در اینترنت Library Services Web Hosting
• تبادل تجربه‌های موفق در مکانیزه‌کردن کتابخانه‌ها

محورهای همایش

• نرم‌افزار اطلاع‌رسانی سیمرغ و سیر تحول آن
• سرویس‌های سنتی کتابداری
  • فهرست‌نویسی و آماده‌سازی اسناد
  • سرویس‌های امانت
• سرویس‌های اطلاع‌رسانی در اینترنت
  • شبکه سیمرغ
  • سرویس‌های امانت در اینترنت
• فن‌آوری RFID در کتابخانه‌ها
  • معرفی فن آوری RFID
  • چگونگی استفاده از فن‌آوری RFID در سرویس‌های گردش امانات
• سرویس‌های کتابداری و اطلاع‌رسانی دیجیتال
  • نگهداری منابع الکترونیک
  • فهرست‌نویسی منابع الکترونیک
  • راهکارهای دسترسی به منابع الکترونیک در شبکه اینترنت
• میزبانی سرویس‌های کتابخانه در اینترنت برای کتابخانه‌های کوچک
  • میزبانی پایگاه‌های اطلاعات کتابشناختی
  • میزبانی سرویس‌های گردش امانات
  • میزبانی سرویس‌های نگهداری منابع الکترونیک
  • توجیه اقتصادی
• تجربه‌های موفق سیمرغ در مکانیزه‌کردن انواع مختلف کتابخانه‌ها

تاریخ ثبت نام

    ثبت نام در همایش از تاریخ 16/6/1387 لغایت 15/8/1387 می‌باشد.

زمان برگزاری

   دوشنبه 18 آذر 1387 ساعت 8 الی 17

مکان برگزاری

   بزرگراه شهید چمران، نرسیده به هتل استقلال، ورودی شمالی سازمان صدا و
   سیما، مرکز همایش‌های بین‌المللی صدا و سیما، سالن خواجه نصیر

ثبت نام در همایش

   جهت ثبت نام در همایش نام کاربری و کلمه عبور موجود در کارت ارسالی را وارد
   نمائید و سپس فرم ثبت نام را بطور کامل تکمیل نمائید

تجارت الکترونیک

نگاهی جامع به تجارت الکترونیک

چکیده

تجارت الکترونیک انجام کلیه فعالیت های تجاری با استفاده از شبکه های ارتباطی کامپیوتری به ویژه اینترنت است.تجارت الکترونیک به نوعی تجارت کاغذ است.به وسیله تجارت الکترونیک تبادل اطلاعات خرید و فروش واطلاعات لازم برای حمل و نقل کالا ها با زحمت کمتر و مبادلات بانکی با شتاب بیشتر انجام خواهد شد.شرکت ها برای ارطبات با یکدیگر محدودیت های فعلی را نخواهند داشت و ارتباط آنها با یکدیگر ساده تر و سریعتر صورت می پذیرد.ارتباط فروشندگان با مشتریان نیز میتواند به صورت یک به یک با هر مشتری باشد.
به عبارت دیگر تجارت الکترونیک نامی عمومی برای گستره ای از نرم افزارها و سیستم ها است که خدماتی مانند جستجوی اطلاعات مدیریت تبادلات بررسی وضعیت اعتبار اعطای اعتبار پرداخت به صورت online گزارش گیری و مدیریت حساب ها را در اینترنت به عهده می گیرند.این سیستم ها زیر بنای اساسی فعالیت های مبتنی بر اینترنت را فراهم می آورند.هدف از به کار گیری تجارت الکترونیک ارائه روشی جدید در انجام امور بازرگانی و مبادلات تجاری می باشد.این روش یک پل الکترونیکی را بین مراکز تجاری ایجاد نموده است که به واسطه آن تاجران قادرند محصولات و خدمات خود را به شکل تمام وقت و به تمام خریداران در سراسر جهان مستقل از مرزهای جغرافیایی و ملیت ها عرضه کنند.تجارت الکترونیک با حجم کمتری از اطلاعات که لزوما در قالب یکسانی نبوده و بین مردم عادی ردو بدل می شود سرو کار دارد.