با ما به‌روز باشید!
info@nsec.ir
(+98)-313-3915336

معرفی واحد آموزش

آموزش یکی از اساسی‌ترین مراحل ارتقاء امنیت سازمان‌ها محسوب می‌شود و انجام آن برای تمامی اعضای یک سازمان (از بالاترین سطوح مدیریتی تا پایین‌ترین افراد) الزامی است. در این حوزه مرکز تخصصی آپا دانشگاه صنعتی اصفهان با توجه به توصیه‌ها و روال‌های آگاهی‌رسانی و آموزش در دنیا و شرایط بومی ایران، رویکرد خاص خود را در ارائه این سرویس دارد. این مرکز معتقد است که بهترین راه تامین امنیت سیستم آن است که خود مخاطبان بتوانند امنیت سیستم را تامین کنند. این امر نیازمند آن است که برنامه آگاهی‌رسانی و آموزش هر سازمان با توجه به شرایط آن سازمان تدوین شود.

دسته بندی مخاطبان
یکی از نکات مهم در هنگام ارائه سرویس آگاهی‌رسانی و آموزش، متناسب بودن سطح آگاهی اولیه افراد با آموزش‌ ارائه شده می‌باشد. از این‌رو دسته‌بندی مخاطبین از اهمیت ویژه‌ای برخوردار است. به طور کلی می‌توان افراد را به 4 دسته تقسیم کرد:

الف) راهبران: عامل و کنترل‌کننده‌ی اصلی فناوری اطلاعات در شبکه محسوب می‌شوند و وظایف سنگین و کلیدی در امنیت شبکه برعهده دارند. به‌علاوه این دسته با تمامی دسته‌های دیگر نیز مستقیماً ارتباط دارند. آموزش‌های پیش‌بینی شده برای این دسته تخصصی و کاربردی بوده و شامل مباحث اجرایی، مدیریتی و تعامل با افراد دیگر می‌شود.
ب) مدیران: بالاترین سطوح سازمانی محسوب می‌شوند و نقش عمده‌ای در ارتقاء امنیت سازمان خویش ایفاء می‌کنند. حتی می‌توان گفت که بدون حمایت مدیران یک سازمان، تمامی تلاش‌ها برای برقراری امنیت و آگاهی‌رسانی ناقص و منجر به شکست است. انتقال مفاهیم در این سطح معمولاً به صورت آگاهی‌رسانی با هدف آشنایی با مفاهیم امنیتی در بالاترین سطح بوده و در قالب جلساتی مانند جلسات هم اندیشی انجام می‌شود. توجیه شدن مدیران در مورد برنامه‌ی آگاهی‌رسانی و آموزش، تاثیر مهمی در انجام برنامه دارد و در نتیجه برنامه‌ی آموزش مدیران یکی از ابتدایی‌ترین مراحل انجام فرایند آگاهی‌رسانی و آموزش محسوب می‌شود.
ج) توسعه‌دهندگان: نرم‌افزارها و سرویس‌ها، کاربرد فناوری اطلاعات محسوب می‌شوند و بخش قابل توجهی از آسیب‌پذیری‌ها در این حوزه گزارش می‌شوند. از این رو آموزش توسعه‌دهندگان کمک شایانی به امنیت سیستم‌های اطلاعاتی می‌کند. انتقال مفاهیم در این سطح به صورت آگاهی‌رسانی و آموزش در تفهیم مفاهیم امنیتی در توسعه‌ی نرم‌افزاری است.
د) کاربران نهایی: کاربران نهایی، استفاده‌کنندگان از فناوری اطلاعات هستند. آموزش کاربران نهایی با دو هدف انجام می‌شود. از یک‌سو باید کاربران به طور عمومی با مفاهیم امنیت شبکه آشنا باشند و از سوی دیگر هنگامی که کاربران به طور عملی با مفاهیم امنیت شبکه درگیر شوند، راحت‌تر و موثرتر سیاست‌ها و توصیه‌های امنیتی را به‌کار می‌برند. انتقال مفاهیم در این سطح به صورت آگاهی‌رسانی در موضوع‌های عمومی انجام می‌شود.

دسته بندی موضوعی
یکی دیگر از نکات مهم در هنگام ارائه سرویس آگاهی‌رسانی و آموزش، دسته‌بندی موضوعی مطالب است. امنیت شبکه دامنه‌ی وسیعی از موضوعات را شامل می‌شود. در سرویس آگاهی‌رسانی و آموزش هدف اصلی ارائه‌ی موضوعاتی است که امنیت پایه را محقق می‌کنند. تنوع سازمان‌ها و نیازهای خاص هر یک از آن‌ها، انتخاب موضوعات آموزشی را بیش از پیش مهم می‌کند. به طور کلی می‌توان سرفصل‌های آموزشی در حوزه امنیت شبکه را به 5 دسته تقسیم کرد:

الف) مدیریت آسیب‌پذیری: وجود آسیب‌پذیری در سیستم‌ها امری اجتناب ناپذیر است و سالانه تعداد زیادی آسیب‌پذیری در سخت‌افزار و نرم‌افزار گزارش می‌شود. معمولاً پیشگیری از سوء استفاده از آسیب‌پذیری‌ها راحت است ولی عدم توجه به‌موقع به آن‌ها می‌تواند عواقب خطرناکی به دنبال داشته باشد. مقابله با آسیب‌پذیری‌ها به علت تعداد زیاد آن‌ها و تهدیداتی که برای سیستم به دنبال دارد، نیاز به روش‌های سیستماتیک و همکاری سطوح مختلف سازمان دارد. ذیل این موضوع، مفاهیمی همچون آسیب‌پذیری، سوء استفاده و وصله معرفی می‌شوند و مدیریت آسیب‌پذیری و نحوه پیاده‌سازی آن در یک سازمان مورد بحث قرار می‌گیرد.
ب) مدیریت حوادث: در هر سازمانی علی‌رغم تمامی تدابیر اندیشیده شده ممکن است حوادث رایانه‌ای رخ دهد. این حوادث قابل محدودسازی، تشخیص و درمان هستند. مدیریت حوادث دارای چهار رکن اصلی پیشگیری، تشخیص، درمان و عملیات پس از حادثه می‌باشد. راه کار‌های پیشگیری، راهکار‌هایی سیستماتیک و وابسته به محیط هستند و در تمام سطوح شبکه اعمال می‌شوند. ذیل این موضوع، مدیریت حوادث معرفی شده و مفاهیمی همچون پیشگیری از حادثه، رصد شبکه، دیواره‌‌های آتش، سیستم‌های تشخیص و جلوگیری از نفوذ و ظرف‌های عسل بررسی می‌شوند.
ج) امن‌سازی پایه: شبکه از اجزای متفاوتی همچون زیرساخت‌های ارتباطی، اجزای فعال و غیر فعال، سرویس‌ها و غیره تشکیل شده است. امن‌سازی فرآیندی پایین به بالا است و باید در تمام اجزاء و سطوح شبکه اعمال شود. پیکربندی امن شبکه نیاز به آموزش‌هایی فراتر از راه‌اندازی شبکه دارد و هر کدام از اجزای شبکه راه کار خاص خود را برای امن‌سازی دارند. ذیل این موضوع، امن‌سازی سرویس‌ها، تجهیزات و توپولوژی‌های مختلف شبکه مورد بررسی قرار می‌گیرد.
د) آفند و پدافند: در سال‌های اخیر حمله به شبکه‌های رایانه‌ای وسیع‌تر و پیچیده‌تر شده است و روز به روز به دانش کمتری برای انجام یک حمله موفق نیاز است. این در حالی است که به دانش بیشتری برای پیشگیری از آن‌ها نیاز است. حملات رایانه‌ای علاوه بر اجزای شبکه، کاربران را نیز هدف قرار می‌دهد. از این‌رو آشنایی با سناریو‌های مختلف حمله می‌تواند کمک شایانی به دفاع در مقابل حملات کند. در نتیجه ذیل این موضوع، حملات متداول و راه‌های مقابله با آن‌ها بررسی می‌شوند.
ه) امنیت نرم‌افزار: نرم‌افزار‌ جزء مهمی از سیستم محسوب می‌شود و وجود آسیب‌پذیری در آن می‌تواند باعث هدر رفتن بسیاری از تمهیدات امنیتی شود. این در حالی است که بسیاری از توسعه‌دهندگان نرم‌افزار از نکات امنیتی که باید رعایت شوند، آگاه نیستند. در نتیجه ذیل این موضوع، ملاحظات امنیتی که توسعه‌دهندگان باید به آن‌ها توجه کنند و همچنین روال‌های مدیریت و توزیع وصله مورد بررسی قرار می‌گیرند.