به نام خدا

 

    تماس با مدیر سایت/Contact  ایمیل من

 وبلاگ من



-->

آشنائى با گواهینامه هاى وب سایت

امنیت اطلاعات ,

شنبه 10 دی 1384

ایسنا - اینترنت فرصت حضور در عرصه هاى جهانى را براى تمامى علاقه مندان فراهم نموده است و به همین دلیل است که امروزه ما شاهد میلیون ها سایت و یا وبلاگ در این عرصه مى باشیم . بدیهى است که از شرایط موجود صرفا" در جهت اهداف مثبت استفاده نگردد و افراد سودجو نیز اینترنت را مکانى براى شکوفائى پتانسیل هاى منفى خود بدانند و به نوعى بر روى آن سرمایه گذارى نمایند .

ایجاد سایت هائى با ظاهرى موجه و ترغیب کاربران براى مشاهده این گونه سایت ها، یکى از متداولترین روش هاى به دام انداختن و در نهایت سرقت اطلاعات شخصى کاربران است . به نظر مى بایست سایت هائى که درخواست اطلاعات شخصى خاصى نظیر شماره کارت اعتبارى و مواردى دیگر از این نوع را از کاربران مى نمایند ، شناسائى و داراى یک شناسنامه معتبر و مورد اعتماد باشند و به قول معروف جواز انجام این نوع فعالیت ها را از یک مرکز مطمئن و مورد اعتماد گرفته باشند .

گواهینامه هاى وب سایت ، تلاش ى است در جهت تائید یک وب سایت و این که سایت مورد نظر داراى هویتى کاملا" شناخته شده و تائید شده است . آشنائى با این نوع گواهینامه ها مى تواند کاربران را در جهت حفاظت از حریم خصوصى یارى نماید .

گواهینامه هاى وب سایت چیست ؟
در صورتى که یک سازمان تمایل به داشتن یک وب سایت ایمن را داشته باشد که در آن براى دریافت و یا ارسال اطلاعات از رمزنگارى استفاده گردد ، مى بایست اقدام به دریافت یک گواهینامه سایت و یا میزبان نماید . شاید این سوال براى شما مطرح شده باشد که چگونه مى توان تشخیص داد که یک سایت از رمزنگارى استفاده مى نماید ؟ بدین منظور مى توان به Status bar پنجره مرورگر خود توجه نمود ، در صورتى که یک آیکون شبیه یک قفل بسته یا همان padlock نمایش داده شود ، به منزله استفاده از رمزنگارى توسط وب سایت مورد نظر است . یکى دیگر از روش هاى موجود به منظور تشخیص استفاده از رمزنگارى در یک سایت ، مشاهده بخش آدرس برنامه مرورگر است .
کل مطلب


امنیت اطلاعات با استفاده از بیومتریک

امنیت اطلاعات ,

چهارشنبه 7 دی 1384

چکیده:
امروزه به علت اهمیت روز افزون اطلاعات و تمایل افراد به امنیت بیشتر اطلاعات مخصوصا در Internet، ابزارهای قدیمی مانند استفاده از Password به تنهایی جوابگو و قابل اعتماد نمی باشد، خصوصا با ایجاد تجارت الکترونیک و خرید و فروش اینترنتی مسئله امنیت نه تنها برای شرکتها وبانکها بلکه برای عموم افراد مهم شده است.بنابرین متخصصین به دنبال راه هایی مطمئن تر می گردند یکی از موفق ترین راه های یافته شده استفاده از علم Biometricاست.
در این مقاله در مورد علم Biometric ودلایل ایجاد آن و انواع آن بحث خواهیم کردونقاط ضعف و قدرت آنها را شناسا یی خواهیم کرد و در پایان کارتهای شناسایی بیومتریکBiometric ID Card مورد بحث قرار خواهد گرفت ودر پایان مقاله پیشنهادی در مورد امنیت در انتخابات الکترونیک.
کلید واژه ها:امنیت ، biometric ،انتخابات الکترونیک
کل مطلب


Secure e-Mail

امنیت اطلاعات ,

یکشنبه 4 دی 1384

Because of the speed and convenience it offers, e-mail has become an instrumental part of day-to-day business processes. Yet as widely as it is used today, e-mail cannot fully serve as a business-commerce platform.
Simply put, e-mail lacks assurance. Messages and attachments traveling across networks and the Internet can be easily opened or altered. This means that the parties cannot be certain that their communication is protected from interception and tampering.
This lack of assurance prevents organizations from using e-mail as a business-commerce platform to conduct negotiations or contractually obligate parties. Rather, businesses must revert to less efficient processes, such as courier service, when communications require a higher level of security and assurance.
Now, as organizations respond to regulatory requirements, customer demands for data privacy and increased competitive pressures, there is a growing demand for secure e-mail. The need is especially strong in key industries, including the insurance, financial services, healthcare, manufacturing and legal sectors.
With the KOBIL GmbH Secure e-Mail technology application, enterprises can help ensure the privacy and integrity of e-mail communications without compromising end-user convenience. In turn, e-mail can be incorporated into trusted e-business processes, helping to shorten transaction times and reduce business process costs.

Author : Shahram ZAHEDI

KOBIL System GmbH


Web Server SSL Security

امنیت اطلاعات ,

یکشنبه 4 دی 1384

Web server authentication is an essential element of an organization’s trust strategy for e-business. In the same way that an enterprise wants to verify the identities of individuals who transact business on their web site, those visitors want to validate the entity they conduct transactions with. By reliably authenticating web servers to visiting browsers, SSL server certificates help build that trust.
Until recently, enterprises had to rely on an external provider to issue SSL server certificates. For many organizations—especially larger enterprises – this service-based model did not meet their needs. For example, in an environment with hundreds of servers, the annual cost of deploying server certificates quickly escalates. In addition, the speed and flexibility of issuing certificates is constrained by the provider’s business processes and delivery capabilities.
Given these factors, many organizations would prefer to manage web server authentication on their own. Now that is possible with the RSA Security Web Server SSL technology application.

Author : Shahram ZAHEDI

KOBIL System GmbH



Secure VPN

امنیت اطلاعات ,

یکشنبه 4 دی 1384

Virtual Private Networks (VPN) have given the world a new way to communicate. Now employees, business partners and customers can tap into critical information resources they need anytime and anywhere through the Internet.
The ability to enable instantaneous communication and information exchange can boost productivity and sharpen an organization’s competitive edge, but when the doors to the network are opened, how do you keep intruders locked out?
Virtual Private Networks provide a private tunnel through the Internet, but privacy does not equal security. The security of an organization’s network is only as strong as the method utilized to identify the end points of the VPN. VPN access protected by user name and passwords is a weak form of authentication and can easily be broken. Once a password is compromised, organizations no longer know who is at the other end of the VPN tunnel. For organizations to fully realize the benefits of a VPN, it must provide:
• Strong authentication of users and devices
• Confidentiality and privacy of information exchanged within the VPN
• Seamless security that is easy to deploy and has minimal impact on users
• Rapid and easy deployment for small and large numbers of users
• Low total cost of ownership over the lifetime of the VPN
With the KOBIL GmbH Secure VPN technology application, enterprises can help ensure against unwanted intruders by strongly authenticating users and devices entering into the VPN.

Author :

Shahram ZAHEDI, 

KOBIL System GmbH


PUBLIC KEY INFRASTRUCTURE

امنیت اطلاعات ,

یکشنبه 4 دی 1384

THE OPEN STANDARD FOR ESTABLISHING INTEGRITY


The security demands on today’s software applications are rapidly changing. The growth of
business process automation and business-to-business integration using the Internet requires a mechanism for digital trust not accomplished by traditional physical barriers, sernames/passwords and other authentication and verification methods. Public key infrastructure (PKI) leverages public key cryptography and provides a unified, scalable framework for securing a wide range of enterprise and Internet applications. The scalability of PKI comes from the use of public/private key pairs and the comparative safety in exchanging public keys over open networks. PKI-based digital certificates allow developers to bind public keys to the identities of individuals and entities—to support authentication, credential validation and the establishment of rules of trust between parties in a transaction. KOBIL Trus software provides the capabilities software developers need to implement this open standard into their transactional environment.


SIMPLIFYING DEVELOPMENT AND DEPLOYMENT OF A NETWORK OF TRUST

KOBIL Trust software gives application developers the capabilities they need to simplify the
development of applications for managing digital certificates and integration into a public key infrastructure. These products help organizations and software vendors build open PKI applications and security products not tied to a single PKI vendor. Applications created with these products seamlessly and automatically interoperate with existing PKI products that support Public Key Cryptography Standards (PKCS) and Public Key Infrastructure x.509 (PKIX) standards. In addition to the certificate management functionality, KOBIL Trust products include protocol support for real-time PKI interaction, including certificate request/response operations such as certificate enrollment, look-up and validation. These products provide a complete portfolio of solutions for enterprises, software OEMs and device manufacturers, helping them meet regulatory and other data security goals. KOBIL GmbH is one of the respected leaders and innovators in information security worldwide.
Establishing trust in a transactional environment requires certification of the integrity of individual transactions. Trust must also “persist” throughout the life of the transaction. Two major components are required: validation that the transaction comes from an authorized sender, and only that sender, and certification that the transaction contents were not tampered with. KOBIL Trust products enable developers to integrate digital transaction signing capabilities which provide a “seal of approval” on the sender’s identity as well as a secure digital “wrapper” around the contents. This helps enforce nonrepudiation because applications have a record of exactly when and by which entity the transaction was initiated. These capabilities help establish a network of trust for your electronic transactions.

Author : Shahram ZAHEDI

KOBIL System GmbH


What is Digital Certificate

امنیت اطلاعات ,

یکشنبه 4 دی 1384


• A digital certificate is an electronic "credit card" that establishes your credentials when doing business or other transactions on the Web. It is issued by a certification authority (CA). It contains your name, a serial number, expiration dates, a copy of the certificate holder's public key (used for encrypting and decrypting messages and digital signatures), and the digital signature of the certificate-issuing authority so that a recipient can verify that the certificate is real

• A form of personal identification that can be verified electronically. Only the certificate owner who holds the corresponding private key can present a certificate for authentication through a Web browser session. Anyone can verify that the certificate is valid by using a readily available public key.

• A Digital Certificate issued by a Certificate Authority certifies that a merchant and a particular website are connected, just as a photo on your driver's licence connects your identity with your personal details. A digital certificate verifies to the shopper that the virtual store is actually associated with a physical address and phone number which can increase the shoppers confidence in the authenticity of the merchant.


• A digital certificate is a special message signed by a certificate authority that contains the name of some user and their public key in such a way that anyone can "verify" that the message was signed by no one other than the certification authority and thereby develop trust in the user's public key.

• Online identification authenticates a consumer, merchant and a financial institution. Digital certificates used to encrypt information exchanged in SET transactions. A certificate is a public key digitally signed by a trusted authority (the financial institution) to identify the user of the public key.

• A digital certificate is a special kind of message that contains information about who it belongs to, who it was issued by, a unique serial number or other unique identification, valid dates, and an encrypted "fingerprint" that can be used to verify the contents of the certificate. Digital certificates are issued by trusted third parties, known as Certificate Authorities. ...

• A digitally signed statement that binds the identifying information of a user, computer, or service to a public/private key pair. A digital certificate is commonly used in the process of authentication and for securing information on networks.

• an attachment to an electronic message that allows the recipient to authenticate the identity of the sender via third party verification from an independent certificate authority. Digital certificates are used to identify encryption and decryption codes between message senders and recipients.

• An electronic document used to verify the identity of a user, server or other End Entity. Digital Certificates are used to verify that a user sending a message is who he, she or (in the case of other End Entities) it claims to be and to provide the recipient with a means to encode a reply.

So  it is a part of our life and business and we have to learn how to live with it. It makes our buisines more easier and faster then ever before.

www.verisign.com
www.rsasecurity.com

www.globalsign.com.tr

Author : Shahram ZAHEDI

KOBIL System GmbH



آیا معاملات اینترنتی امن، واقعاً امن هستند؟

امنیت اطلاعات ,

یکشنبه 4 دی 1384

امروزه مرورگرها از تکنیکی به نام SSL (Secure Socket Layer) استفاده می کنند تا اطلاعاتی را که بین مرورگر شما و وب سرور مبادله می شود، رمزنگاری کنند. هنگامی که علامت «قفل» در گوشه پایین مرورگر نمایش داده می شود، به این معنی است که مرورگر ارتباط رمزشده امن با سرور برقرار کرده است و لذا ارسال دیتای حساس مانند شماره کارت اعتباری امن است. اما آیا واقعا این سیستم امن است و می توان از این طریق با اطمینان تراکنشهای حساس مالی را رد و بدل کرد؟ پاسخ این است که SSL فقط ارتباط بین مرورگر شما و وب سرور را امن می کند و برای محافظت از اطلاعات شما در آن سرور کاری انجام نمی دهد. در شرکت های بزرگ که می توانند سرورها و خطوط ارتباطی با ظرفیت های بالا را اختصاصی و برای ارتباط مستقیم تهیه کنند، تا جایی که شما بتوانید به شرکت اعتماد کنید، مشکلی ایجاد نخواهد شد. اما بسیاری از شرکت های کوچک تر توانایی تهیه سرور اختصاصی را ندارند. آنها از «میزبانی شخص ثالث» استفاده می کنند و این جایی است که عدم امنیت بوجود می آید. شما مجبورید به میزبانی که هیچ شناختی از آن ندارید، اطمینان کنید و به ایمن بودن نحوه دریافت اطلاعاتتان از آن میزبان توسط شرکت مورد نظرتان اعتماد کنید. اما تضمینی برای ایمن بودن این ارتباط نیست!

 

 

 

بیشتر میزبان های وب برای کلاینت های خود یک برنامه  (CGI (Common Gateway Interface ارائه می دهند که FormMail نام دارد. آنچه که این برنامه انجام می دهد این است که محتوای یک فرم اینترنتی را، مانند فرمی که شما اطلاعات کارت اعتباری خود را در آن قرار می دهید، می گیرد و از طریق ایمیل به شرکت ارسال می کند. برای این ایمیل نه محافظتی وجود دارد و نه رمزنگاری صورت می گیرد.

....

کل مطلب


(AAA (Authentication, Authorization and Accounting

امنیت اطلاعات ,

یکشنبه 4 دی 1384

 AAA    که مخفف Authentication, Authorization and Accounting است سه محور اصلی در کنترل دسترسی در شبکه هستند که در این بخش در مورد هریک از آنها به طور مجزا و مختصر صحبت می‌شود. ابتدا تعریفی از هریک از این مفاهیم ارائه می‌دهیم.

۱ - Authentication

۱-۱ - مفهوم Authentication

    به معنای وارسی عناصر شناسایی ارائه شده از سوی کاربر،‌ تجهیزات یا نرم‌افزارهایی است که تقاضای استفاده و دسترسی به منابع شبکه را دارند. عناصر شناسایی در ابتدایی‌ترین و معمول‌ترین حالت شامل نام کاربری و کلمه عبور می‌باشند. در صورت نیاز به بالاتر بودن پیچیدگی فرایند کنترل و وارسی هویت، می‌توان با اضافه نمودن عناصر شناسایی به این مهم دست یافت. بدیهی‌ است که با اضافه نمودن فاکتورها و عناصر شناسایی، نوع خادم مورد استفاده، پایگاه‌های داده‌ای مورد نظر و در بسیاری از موارد پروتکل‌ها و استانداردها نیز باید مطابق با تغییرات اعمال شده در نظر گرفته شوند تا یکسانی در ارائه خدمات در کل شبکه حفظ شود.

    پس از ارائه عناصر شناسایی از سوی متقاضی، سیستم کد کاربری و کلمه عبور را با بانک اطلاعاتی مختص کدهای شناسایی کاربری مقایسه کرده و پذیرش یا عدم پذیرش دسترسی به منابع را صادر می‌کند.

    عمل Authentication، در طراحی‌ شبکه‌هایی با حجم کم و متوسط عموماً توسط تجهیزات مسیریابی و یا دیوارهای آتش انجام می‌گیرد. علت استفاده از این روش مجتمع سازی و ساده سازی پیاده‌سازی عمل Authentication است. با استفاده از امکانات موجود نیاز به استقرار یک خادم مجزا برای صدور پذیرش هویت متقاضیان دسترسی مرتفع می‌گردد.

    از سوی دیگر در شبکه‌های با حجم و پیچیدگی نسبتاً بالا،‌ عموماً با توجه به پردازش بالای مختص عمل Authentication، خادمی بصورت مستقل و مجزا به این امر اختصاص می‌یابد. در این روش از استانداردها و پروتکل‌های مختلفی همچون TACACS+ و RADIUS استفاده می‌گردد.

 

 ..........

کل مطلب


اسپم چیست؟

امنیت اطلاعات ,

یکشنبه 4 دی 1384

اگر برای مدت طولانی است که از اینترنت استفاده می‌کنید، بدون شک تاکنون تعداد زیادی از ایمیل‌های ناخواسته دریافت کرده‌اید. بعضی ادعا می‌کنند که شما را بسرعت ثروتمند می‌کنند. بقیه قول محصولات یا خدمات جدید را می‌دهند. بعضی فضایی از صندوق پیستی شما را اشغال می‌کنند و از شما می‌خواهند که ایمیل را به بقیه ارسال کنید یا وب‌سایت مشخصی را ببینید. در جامعه اینترنتی ایمیلهای بعضاً تجاری ناخواسته، اسپم نامیده می‌شوند. اسپم اثری بیش از مزاحمت برای استفاده‌کنندگان اینترنت دارد و بطور جدی بازدهی شبکه و سرویس‌دهندگان ایمیل را تحت تاثیر قرار می‌دهد. و این به این دلیل است که فرستندگان اسپم از هزینه بسیار پایین ایمیل استفاده می‌کنند و صدهاهزار یا حتی میلیون‌ها ایمیل را در یک زمان ارسال می‌کنند. حمله‌های اسپم پهنای باند زیادی را می‌گیرد، صندوق‌های پستی را پر می‌کند و زمان خوانندگان ایمیل را تلف می‌کند. گاهی می‌توان اسپم‌ها را از عناوین عجیب، غیرمنطقی و مضحکشان تشخیص داد.

آمار زیر درصد ایمیل‌هایی را که در ماه‌های اخیر بعنوان اسپم تشخیص داده شده‌اند، به تفکیک ماه در نمودار و جدول زیر مشخص شده‌اند.

 

درصدهایی که از کل ایمیل‌ها،

 بعنوان اسپم شناخته شده‌اند

(در مدت یک سال)

March 2004

63%

February 2004

62%

January 2004

60%

December 2003

58%

November 2003

56%

October 2003

52%

September 2003

54%

August 2003

50%

July 2003

50%

June 2003

49%

May 2003

48%

April 2003

46%

 

دسته‌بندی اسپم‌ها

برای اینکه بدانید اسپم‌ها بیشتر حاوی چه موضوعاتی هستند و هر موضوع چند درصد از کل اسپم‌ها را شامل می‌شود، می‌توانید به جدول زیر نگاهی بیندازید:

(در قسمت بعد، در مورد روشهای مقابله با اسپم‌ها برای شما خواهیم نوشت.)

 

توضیح

درصد

دسته

ارائه کننده یا تبلیغ‌کننده کالاها و خدمات عمومی

مانند: ابزار، خدمات تحقیقی، پوشاک و لوازم آرایشی

25%

محصولات

ارائه‌کننده یا ارجاع دهنده مربوط به پول، بازار بورس و سایر فرصتهای مالی

مانند: سرمایه‌گذاری، گزارشهای اعتباری، دارایی‌های ثابت و وام‌ها

20%

مالی

ارائه‌کننده محصولات یا سرویس‌هایی که مربوط به افراد بالای ۱۸ سال است که معمولا نامناسب و اهانت‌آمیر هستند

مانند: تبلیغات مربوط به مسائل جنسی

15%

بزرگسالان

ارائه‌کننده یا تبلیغ‌کننده کالاها و خدمات مربوط به اینترنت و کامپیوتر

مانند: میزبانی و طراحی وب.

7%

اینترنت

ارائه‌کننده یا تبلیغ‌کننده محصولات و خدمات مربوط به  سلامتی

مانند: معالجات پزشکی، دارویی و درمانهای گیاهی

7%

تندرستی

موبوط به فعالیتهای کلاهبردای و فریبنده که تعمدا جنبه گمراه‌کننده دارند

مانند: سرمایه‌گذاری در نیجریه، طرحهای هرمی و نامه‌های زنجیره‌ای

7%

فریبنده

ارائه‌کننده یا تبلیغ‌کننده جوایز یا انجام فعالیتهای تفریحی با تخفیف

مانند: پیشنهادهای گذارندن تعطیلات، کازینوهای آنلاین و بازیها

6%

اوقات فراغت

بظاهر ولی نه واقعاً از طرف شرکتهای معروف که برای گول زدن کاربران بمنظور افشاشدن اطلاعات شخصی آنها مانند آدرس ایمیل، اطلاعات مالی و کلمات عبورشان است.

مانند: اطلاعات شماره حساب، تایید کارت اعتباری و بروزرسانی صدور صورتحساب

5%

کلاهبرداری

پیامهای تبلیغ کننده یک کاندیدای سیاسی، پیشنهادها  برای اهدای پول به یک حزب سیاسی، پیشنهادها برای محصولات مربوط به مبارزات انتخاباتی و غیره.

مانند: حزب سیاسی و  انتخابات

2%

سیاسی

پیامها با اطلاعات متعلق به تبلیغات یا خدمات مذهبی یا معنوی

مانند: فیزیک، ستاره‌شناسی، بعضی مذاهب

1%

معنوی

پیامهایی که به هیچ‌یک از گروههای فوق تعلق ندارند.

5%

سایر

منبع : www.ircert.com


بقیه مطالب وبلاگ l یک مثال ساده در ماکرو نویسی
l ایجاد یک ماجول در ماکرو
l اولین درس ماکرو
l آغاز ماکرو نویسی در اکسل
l تبلت پی سی چیست؟
l سیستم عامل آندروید چیست ؟
l ملکه تبلت‌ درCES 2011 کیست؟
l چگونه یك متخصص امنیتی شوم؟
l تحلیلى اقتصادى از تاثیر اینترنت و فناورى اطلاعات بر بازارها و موسسات بیمه‌
l راه‌اندازی بزرگ‌ترین مرکز فناوری دنیا در چین
l معرفی MRTG به عنوان نرم افزار Monitoring شبکه
l نرم‌افزار یک ‌بیستم صادرات هند را شامل می‌شود
l سایت انستیتوی فیلم آمریكا
l What is Chief Information Officer
l مدیریت زنجیره تأمین با استفاده از فناوری‌های بی‌سیم و موبایل

ساخت وبلاگ در میهن بلاگ

شبکه اجتماعی فارسی کلوب | اخبار کامپیوتر، فناوری اطلاعات و سلامتی مجله علم و فن | ساخت وبلاگ صوتی صدالاگ | سوال و جواب و پاسخ | رسانه فروردین، تبلیغات اینترنتی، رپرتاژ، بنر، سئو