مهمترین نقاط آسیب پذیر یونیکس و لینوکس ( بخش اول )
سیستم عامل، یکی از عناصر چهار گانه در یک سیستم کامپیوتری است که دارای نقشی بسیار مهم و حیاتی در نحوه مدیریت منابع سخت افزاری و نرم افزاری است . پرداختن به مقوله  امنیت سیستم های عامل ، همواره از بحث های مهم در رابطه با ایمن سازی اطلاعات در یک سیستم کامپیوتری بوده که امروزه با گسترش اینترنت ، اهمیت آن مضاعف شده است . بررسی و آنالیز امنیت در سیستم های عامل می بایست با ظرافت و در چارچوبی کاملا" علمی و با در نظر گرفتن تمامی واقعیت های موجود ، انجام تا از یک طرف تصمیم گیرندگان مسائل استراتژیک در یک سازمان قادر به انتخاب مستند و منطقی یک سیستم عامل باشند و از طرف دیگر امکان نگهداری و پشتیبانی آن با در نظر گرفتن مجموعه تهدیدات موجود و آتی  ، بسرعت و بسادگی میسر گردد .
اکثر کرم ها و سایر حملات موفقیت آمیز در اینترنت ، بدلیل وجود نقاط آسیب پذیر در تعدادی  اندک  از سرویس های سیستم  های عامل متداول است . مهاجمان ، با فرصت طلبی خاص خود از روش  های متعددی بمنظور سوء استفاده از نقاط ضعف امنیتی شناخته شده ، استفاده نموده  و در این راستا ابزارهای  متنوع ، موثر و گسترده ای را بمنظور نیل به اهداف خود ، بخدمت می گیرند . مهاجمان ، در این رهگذر متمرکز بر سازمان ها و موسساتی می گردند که هنوز مسائل موجود امنیتی ( حفره ها و نقاط آسیب پذیر ) خود را برطرف نکرده و بدون هیچگونه تبعیضی آنان را بعنوان هدف ، انتخاب می نمایند . مهاجمان بسادگی و بصورت مخرب ،  کرم هائی نظیر : بلستر ، اسلامر و Code Red را در شبکه  منتشر می نمایند. آگاهی از مهمترین نقاط آسیب پذیر در سیستم های  عامل ، امری ضروری است . با شناسائی و آنالیز اینگونه نقاط آسیب پذیر توسط کارشناسان امنیت اطلاعات ، سازمان ها و موسسات قادر به استفاده از مستندات علمی تدوین شده بمنظور برخورد منطقی با مشکلات موجود و ایجاد یک لایه حفاظتی مناسب می باشند.
در مجموعه مقالاتی که ارائه خواهد شد ، به بررسی مهمترین نقاط آسیب پذیر یونیکس و لینوکس خواهیم پرداخت . در این راستا ، پس از معرفی هر یک از نقاط آسیب پذیر ، علت وجود ضعف امنیتی ، سیستم های عامل در معرض تهدید ، روش های  تشخیص آسیب پذیری سیستم و نحوه مقابله و یا پیشگیری در مقابل هر یک از نقاط آسیب پذیر ، بررسی می گردد .همزمان با  ارائه مجموعه مقالات مرتبط با  یونیکس ( پنج مقاله ) ، به بررسی مهمترین نقاط آسیب پذیر در ویندوز  ، طی مقالات جداگانه ای خواهیم پرداخت .
همانگونه که اشاره گردید ، اغلب تهدیدات و حملات ، متاثر از وجود نقاط آسیب پذیر در سیستم های عامل بوده که زمینه تهاجم را برای مهاجمان فراهم می آورد .  شناسائی و آنالیز نقاط آسیب پذیر در هر یک از سیستم های عامل ، ماحصل  تلاش و پردازش دهها کارشناس امنیتی ورزیده در سطح جهان است و می بایست مدیران سیستم و شبکه در یک سازمان بسرعت با آنان آشنا و اقدامات لازم را انجام دهند.
نقاط آسیب پذیر موجود در هر سیستم عامل  که در ادامه به آنان اشاره می گردد ، سندی پویا و شامل دستورالعمل های لازم بمنظور برخورد مناسب با هر یک از نقاط آسیب پذیر و لینک هائی به سایر اطلاعات مفید و تکمیلی مرتبط با ضعف امنیتی است .

مهمترین نقاط آسیب پذیر یونیکس:
یونیکس ، یکی از سیستم های عامل رایج در جهان بوده که امروزه در سطح بسیار وسیعی استفاده می گردد . تا کنون حملات متعددی توسط مهاجمین متوجه سیستم هائی بوده است که از یونیکس ( نسخه های متفاوت )  بعنوان سیستم عامل استفاده می نمایند . با توجه به حملات متنوع و گسترده انجام شده ، می توان مهمترین نقاط آسیب پذیر یونیکس را به ده گروه عمده تقسیم نمود :

• BIND Domain Name System

• Remote Procedure Calls (RPC)

• Apache Web Server

• General UNIX Authentication Accounts with No Passwords or Weak Passwords

• Clear Text Services

• Sendmail

• Simple Network Management Protocol (SNMP)

• Secure Shell (SSH)

• Misconfiguration of Enterprise Services NIS/NFS

• Open Secure Sockets Layer (SSL)

در بخش اول این مقاله ، به بررسی BIND Domain Name System  وRemote Procedure Calls   (موارد یک و دو)  ، خواهیم پرداخت .

اولین نقطه آسیب پذیر : BIND Domain Name System
 نرم افزار BIND ) Berkeley Internet Name Domain) ، در مقیاس گسترده ای و بمنظور پیاده سازی DNS)Domain Name Service) ، استفاده می گردد. BIND ، سیستمی حیاتی است که از آن بمنظور تبدیل اسامی میزبان ( نظیر : www.srco.ir ) به آدرس IP ریجستر شده ،استفاده می گردد .با توجه به استفاده وسیع از BIND  و جایگاه حیاتی آن در یک شبکه کامپیوتری ، مهاجمان آن را بعنوان یک هدف مناسب بمنظور انجام حملات ، خصوصا"  از نوع DoS)Denila Of  Service) انتخاب و حملات متنوعی را در ارتباط با آن انجام داده اند. حملات فوق،از کارافتادن سرویس DNS و عدم دستیابی به اینترنت برای سرویس های مربوطه و میزبانان را می تواند بدنبال داشته باشد. با اینکه پیاده کنندگان BIND ، تلاشی مستمر را از گذشته تا کنون بمنظور برطرف نمودن نقاط آسیب پذیر انجام داده اند ، ولی هنوز تعداد زیادی از نقاط آسیب پذیر قدیمی ، بدرستی پیکربندی نشده و سرویس دهندگان آسیب پذیر در آن باقی مانده است .
عوامل متعددی در بروز اینگونه حملات نقش دارد: عدم آگاهی لازم مدیران سیستم در خصوص ارتقاء امنیتی سیستم هائی که بر روی آنان Bind deamon  بصورت غیر ضروری  اجراء می گردد و پیکربندی نامناسب فایل ها ، نمونه هائی از عوامل فوق بوده و  می تواند زمینه  یک تهاجم از نوع DoS  ، یک Buffer Overflow و یا  بروز اشکال در DNS Cache  را بدنبال داشته باشد.از جمله مواردیکه اخیرا" در رابطه با ضعف امنیتی  BIND کشف شده است مربوط به یک تهاجم از نوع DoS است . مقاله CERT Advisory CA-2002-15  جزئیات بیشتری را در این رابطه ارائه می نماید. از دیگر حملات اخیر ، تهاجمی  از نوع Buffer Overflow است . مقاله CERT Advisory CA-2002-19  جزئیات بیشتری را در این رابطه در اختیار قرار می دهد. درتهاجم فوق ، یک مهاجم از نسخه آسیب پذیر پیاده سازی  توابع Resolver مربوط به DNS  استفاده و با ارسال پاسخ های مخرب به DNS و اجرای کد دلخواه ، امکان  سوء استفاده از نقطه آسیب پذیر فوق را فراهم و حتی دربرخی موارد می تواند زمینه بروز یک تهاجم از نوع  DoS را باعث گردد .
تهدیدی دیگر که می تواند در این رابطه وجود داشته باشد ، حضور یک سرویس دهنده BIND آسیب پذیر در شبکه است . در چنین مواردی ، مهاجمان از وضعیت فوق استفاده و از آن بمنزله مکانی جهت استقرار داده های غیر معتبر خود و بدون آگاهی مدیرسیستم استفاده می نمایند. بدین ترتیب ، مهاجمان از سرویس دهنده بعنوان پلات فرمی بمنظور فعالیت های آتی مخرب خود بهره برداری خواهند کرد .

سیستم های عامل در معرض تهدید :
تقریبا" تمامی سیستم های عامل  یونیکس و لینوکس بهمراه یک نسخه از BIND  ارائه شده اند .در صورت پیکربندی میزبان بعنوان سرویس دهنده ، نسخه ای  از BIND بر روی آن نصب خواهد شد.

نحوه تشخیص آسیب پذیری سیستم
در صورت دارا بودن  نسخه خاصی از BIND  که بهمراه سیستم عامل ارائه و بر روی سیستم نصب شده است ، می بایست عملیات بهنگام سازی آن را با استفاده از آخرین Patch های ارائه شده توسط تولید کننده ( عرضه کننده ) انجام داد. در صورت استفاده از نسخه BIND مربوط به  ISC: Internet Software Consortium ، می بایست از نصب آخرین نسخه BIND ، اطمینان حاصل نمود . در صورتیکه BIND  نصب شده بر روی سیستم ، نسخه ای قدیمی بوده و یا بطور کامل  Patch نشده باشد ، احتمال آسیب پذیری سیستم وجود خواهد داشت . در اکثر سیستم ها ، دستور : "named - v " ، اطلاعات لازم در خصوص نسخه BIND نصب شده بر روی سیستم را بصورت X.Y.Z نمایش خواهد داد . X ، نشاندهنده نسخه اصلی ، Y ،نشاندهنده جزئیات نسخه و Z نشاندهنده یک Patch Level است . پیشنهاد می گردد ، آخرین نسخه BIND  ارائه شده  توسط  ISC  را دریافت و آن را  بر روی سیستم نصب نمود. آخرین نسخه موجود Version 9.2.2 بوده و می توان آن را از سایت  ISC دریافت نمود.  یکی دیگر از رویکردهای کنشگرایانه مرتبط با نگهداری امنیت  BIND ،  عضویت در گروه های خبری نظیر Symantec  برای آگاهی از آخرین هشدارهای امنیتی است . در این راستا می توان از یک برنامه پویشگر بهنگام شده  که قادر به بررسی دقیق سیستم های DNS بمنظور تشخیص نقاط  آسیب پذیراست ، نیز استفاده گردد .

نحوه حفاظت در مقابل نقطه آسیب پذیر
بمنظور حفاظت در مقابل نقاط آسیب پذیر مرتبط با BIND موارد زیر پیشنهاد می گردد :

• غیر فعال نمودن BIND deamon ( به آن  named نیز اطلاق  می گردد ) بر روی سیستم هائی که بعنوان یک سرویس دهنده DNS در نظر گرفته نشده اند .  بمنظور پیشگیری ازاعمال برخی تغییرات خاص ( نظیر فعال نمودن مجدد آن ) ،  می توان  نرم افزار BIND  را از روی اینگونه سیستم ها حذف نمود.

• بمنظور بهنگام سازی سرویس دهنده DNS ، از تمامی Patch های ارائه شده توسط تولید کنندگان استفاده و در صورت امکان آن را به آخرین نسخه موجود ارتقاء دهید . برای دریافت اطلاعات تکمیلی در رابطه با نصب مطمئن تر BIND ، از مقالات ارائه شده درسایت CERT و بخش UNIX Security Checklist ، استفاده نمائید .

• بمنظور پیچیده تر نمودن حملات اتوماتیک و یا پویش سیستم مورد نظر ، Banner مربوط به " Version String " را از BIND حذف و نسخه واقعی BIND  را با یک شماره نسخه غیرواقعی در فایل named.conf ، جایگزین نمائید .

• امکان ارسال انتقالات Zone را صرفا" برای سرویس دهندگان ثانویه DNS در Domain فراهم نمائید (  secondary DNS servers) . امکان انتقالات Zone در ارتباط با  Domain های Parent و Child را غیر فعال و در مقابل از امکان Delegation ( واگذاری مسئولیت ) و فورواردینگ ( Forwarding ) استفاده نمائید .

• امکان Recursion و glue fetching را بمنظور حفاظت در مقابل عماکرد ناصحیح  DNS Cache ، غیر فعال نمائید .

• بمنظور حفاظت در رابطه با استفاده از "named" و  تحت تاثیر قرار دادن تمامی سیستم ، BIND را محدود نمائید . بنابراین BIND بعنوان یک کاربر non-privilage در دایرکتوری Chroot اجراء می گردد. برای نسخه شمازه نه BIND از آدرس  http://www.losurs.org/docs/howto/Chroot-BIND.html  استفاده نمائید .

بمنظور حفاظت در مقابل حملات اخیر و مرتبط با  نقاط آسیب پذیر کشف شده BIND  می توان از منابع زیر استفاده نمود:

• برای نقطه آسیب پذیر DoS در رابطه با ISC BIND 9 از آدرس  http//www.cert.org/advisories/CA-2002-15.html    استفاده گردد.

• چندین نقطه آسیب پذیر DoS در رابطه با ISC BIND 8  از آدرس  http://www.isc.org/products/BIND/bind-security.html  استفاده گردد .

برای آگاهی و استفاده از پیشنهادات لازم بمنظور نصب ایمن تر BIND بر روی سیستم های سولاریس ، می توان از آدرس : Running the BIND9 DNS Server Securely   و آرشیو مقالات ارائه شده در آدرس Afentis  استفاده نمود.

دومین  نقطه آسیب پذیر :  ( Remote Procedure Calls (RPC
با استفاده از RPC برنامه های موجود بر روی یک کامپیوتر قادر به  اجرای روتین هائی در کامپیوتر دوم از طریق  ارسال داده و بازیابی نتایج می باشند . با توجه به جایگاه عملیاتی RPC ، استفاده از آن  بسیار متداول بوده و درموارد متعددی از آن بمنظور ارائه سرویس های توزیع شده شبکه نظیر مدیریت از راه دور ، اشتراک فایل NFS و NIS  استفاده می گردد.وجود ضعف های امنیتی متعدد در RPC باعث  بهره برداری مهاجمان بمنظور انجام حملات مختلفی شده است .دراکثر موارد ، سرویس های RPC با مجوزهای بیش از حد معمول  ، اجراء می گردند . بدین ترتیب یک مهاجم غیر مجاز قادر به استفاده از سیستم های آسیب پذیر در جهت اهداف خود خواهد بود.اکثر حملات از نوع DoS در  سال 1999 و اوایل سال 2000 در ارتباط با سیستم هائی بود که دارای ضعف امنیـتی و نقظه آسیب پذیر RPC بودند. مثلا" حملات گشترده و موفقیت آمیز در رابطه با سیستم های نظامی امریکا ، بدلیل نقطه آسیب پذیر RPC کشف شده در صدها دستگاه کامپیوتر مربوط به وزارت دفاع امریکا بوده است . اخیرا" نیز  وجود یک ضعف امنیتی DCOM RPC  در ویندوز ،  باعث انتشار گسترده یک کرم  در سطح اینترنت گردید .

سیستم های عامل در معرض تهدید :
تمامی نسخه های یونیکس و لینوکس که بر روی آنان سرویس های RPC نصب شده است در معرض این آسیب می باشند .

نحوه تشخیص آسیب پذیری سیستم
با استفاده از یک پویشگر نقاط آسیب پذیر و یا دستور " rpcinfo" ، می توان از اجراء یکی از سرویس های متداول RPC  بر روی سیستم آگاه گرید :

سرویس های RPC ، عموما" از طریق حملات buffer Overflow ، مورد سوء استفاده قرار می گیرند .علت این امر ، عدم انجام بررسی لازم و کافی در خصوص خطاها و یا اعتبار داده های ورودی توسط برنامه های RPC است . نقاط آسیب پذیر Buffer overflow ، این امکان را برای یک مهاجم فراهم می نماید که داده غیر قابل پیش بینی را ( اغلب بصورت کد مخرب ) به درون حافظه برنامه ، ارسال نماید . با توجه به ضعف موجود در رابطه با بررسی خطاء و  صحت داده ، داده ارسالی مکان هائی حساس و کلیدی که مورد استفاده پردازنده می باشند را بازنویسی می نماید.در یک تهاجم موفقیت آمیز Overflow ، کد مخرب ارسالی ،در ادامه توسط سیستم عامل اجراء می گردد . با توجه به اینکه تعداد زیادی از سرویس های RPC ، با مجوزهای بیش از حد معمول ،  اجراء می گردند ، استفاده موفقیت آمیز از نقاط آسیب پذیر فوق می تواند امکان دسـیابی غیر مجاز و از راه  دور را به سیستم فراهم می نماید.

نحوه حفاظت در مقابل نقطه آسیب پذیر 
بمنظور حفاظت سیستم در مقابل حملات مبتنی بر RPC ، موارد زیر پیشنهاد می گردد :

• غیر فعال نمودن و یا حذف هر یک از سرویس های  RPC که ضرورتی به استفاده از آن  بر روی شبکه  نمی باشد .
• نصب آخرین Patch ارائه شده در رابطه با سرویس هائی که امکان حذف آنان وجود ندارد:
  - برای نرم افزار سولاریس از آدرس  (   http://sunsolve.sun.com   )   استفاده گردد.
  - برای IBM AIX  از آدرس : http://www.ibm.com/support/us  و  http://techsupport.services.ibm.com/server/fixes   استفاده گردد.
  - برای نرم افزار SGI  از آدرس :  http://support.sgi.com  استفاده گردد .
  - برای کامپک ( Digital Unix ) از آدرس    http://www.compaq.com/support  
  - برای لینوکس  از آدرس :  http://www.redhat.com/apps/support/errata    و http://www.debian.org./security  استفاده گردد .
•  عملیات جستجو بمنظور آگاهی و نصب آخرین Patch  مربوطه می بایست بصورت مستمر انجام شود.
• پورت 111 ( TCP و UDP ) مربوط به RPC portmapper  و پورت 135 ( TCP و UDP ) مربوط به  Windows RPC را در سطح روتر و یا فایروال بلاک نمائید .
•  پورت های Loopback  32770 ، 32789  مربوط بهTCP و UDP را بلاک نمائید .
• فعال نمودن یک پشته غیراجرائی  بر روی سیستم های عاملی که از ویژگی فوق ، حمایت می نمایند. استفاده از یک پشته غیراجرائی ، لایه ای حفاظتی در مقابل تمامی حملات Buffer overflows نبوده ولی می تواند عاملی موثر در جهت مقابله با برخی از حملات استاندارد گردد.
• در ارتباط با سیستم های فایل NFS صادراتی  ، مراحل زیر می بایست دنبال گردد :
  - استفاده از میزبان / IP   مبتنی بر لیست های صادراتی
  - پیکربندی سیستم های  فایل صادراتی بصورت فقط خواندنی
  - استفاده از "nfsbug" برای پویش نقاط آسیب پذیر 

برای اخذ اطلاعات تکمیلی در رابطه با نقاط آسیب پذیر RPC ،  می توان از آدرس های زیر استفاده نمود :

• http://www.cert.org/advisories/CA-2000-17.html
• http://www.cert.org/advisories/CA-1999-05.html
• http://www.cert.org/advisories/CA-1997-26.html
• http://www.cert.org/advisories/CA-2002-26.html
• http://www.cert.org/advisories/CA-2002-20.html
• http://www.cert.org/advisories/CA-2001-27.html
• http://www.cert.org/advisories/CA-2002-25.html
• http://www.cert.org/advisories/CA-1999-08.html 
• http://www.cert.org/advisories/CA-2002-11.html
• http://www.cert.org/advisories/CA-1999-16.html
• http://www.cert.org/advisories/CA-2001-11.html
• http://www.cert.org/advisories/CA-1998-12.html
• http://www.cert.org/advisories/CA-2001-05.html
• http://www.cert.org/advisories/CA-2002-10.html
• http://www.cert.org/advisories/CA-2003-10.html
• http://www.cert.org/advisories/CA-2003-16.html
• http://www.cert.org/advisories/CA-2003-19.html

نحوه انتخاب یک هارد دیسک
هارد دیسک (Hard disk ) ، یکی از مهمترین عناصر سخت افزاری درکامپیوتر پس از پردازنده و حافظه است. از هارد دیسک ، بمنظور ذخیره سازی اطلاعات استفاده می گردد . اطلاعات مربوط به راه اندازی سیستم ، برنامه ها و داده ها، جملگی بر روی هارد دیسک ذخیره می گردند. در زمان انجام برخی عملیات خاص توسط کامپیوتر، نظیر ویرایش فیلم ها ، بازی های کامپیوتری و یا پخش موزیک ، استفاده از یک هارد دیسک با ظرفیت بالا، سرعت مناسب و قابل اطمینان ، بطرز محسوسی بهبود محیط عملیاتی خصوصا" ذخیره و بازیابی اطلاعات را بدنبال خواهد داشت . در سالیان اخیر  تکنولوژی ساخت هارد دیسک بسرعت  و در ابعاد متفاوت رشد و گسترش یافته است . در این مقاله ، به بررسی پارامترهای لازم در خصوص انتخاب یک هارد دیسک خواهیم پرداخت .

جایگاه هارد دیسک
با توجه به رشد چشمگیر تکنولوژی ساخت هارد دیسک ، ظرفیت آنان درفواصل زمانی بین دوازده تا هیجده ماه ، دو برابر می شود . بدین ترتیب ،عملا" کامپیوترهای شخصی بسمت ماشین های چند رسانه ای حرکت نموده که می توان حجم بالائی از اطلاعات شامل صوت ، تصویر و گرافیک را بر روی آنان ذخیره نمود. بیشترین ظرفیت هارد دیسک قابل نصب بر روی کامپیوترهای Desktop  ، معادل 250 گیگابایت می باشد. طرفیت فوق ، ده برابر بیش از ظرفیت هارد دیسک های سه سال پیش است . در اوایل سال 2003 میلادی ، هارد دیسک های با ظرفیت 320 گیگا بایت مطرح شده اند. تولید کنندگان در صدد ارائه اینترفیس های سریال  ATA بوده که نسبت به مدل های پیشین ( اینترفیس های موازی ATA ) دارای سرعت بمراتب بیشتری می باشند. محصولات تولید شده در سال آینده ، از تکنولوژی فوق استفاده خواهند کرد. عملکرد تمامی هارد دیسک ها در زمان اجرای یک برنامه مشابه یکدیگر بوده و استفاده از درایوهای با سرعت بالا، مزایا و امتیازات متعددی را برای کاربرانی که قصد پردازش داده هائی با حجم بالا ( تصاویر و ویدئوهای دیجیتال ) را دارند ، بدنبال خواهد داشت.بر اساس آزمایشات متعدد انجام شده توسط برنامه Photoshop ، مشخص شده است که انجام عملیات پیچیده ای نظیر : اعمال فیلترها ، گردش و ویرایش تصاویر در هارد دیسک های با  سرعت بالا ، شصت درصد سریعتر از سیستم هائی است که دارای درایوهائی با سرعت پائین می باشند.

ویژگی ها ی مهم
از مهمترین ویژگی های مرتبط با هارد دیسک ، می توان به موارد زیر اشاره نمود :

• ظرفیت : اغلب کامپیوترهای شخصی در حال حاضر از هارد دیسک هائی با ظرفیت معادل بیست گیگابایت ، استفاده می نمایند. ظرفیت فوق ، بمراتب بیش از انداره مورد نیاز کاربرانی است که صرفا" از هارد دیسک بمنزله ابزاری بمنظور ذخیره سازی اطلاعات استفاده می نمایند . ظرفیت هارد دیسک برای کاربرانی همچون طراحان آثار گرافیکی و یا افرادیکه بر روی فیلم های ویدئویی کار می کنند ، از اهمیت بیشتری برخوردار است . مثلا" ضبط تصاویردر مدت زمان  محدود از یک دوربین فیلم برداری ، چندین گیگابایت ظرفیت هارد دیسک را اشغال خواهد کرد . در صورت ضرورت استفاده از فضای ذخیره سازی بالا ، می توان از یک هارد با ظرفیت بالا و یا دو هارد دیسک ،استفاده نمود. در چنین حالتی می توان هارد موجود را نگهداری و متناسب با نیاز، اقدام به تهیه و نصب هارد دوم نمود. مثلا" در صورتیکه به یک هارد با ظرفیت 160 گیگابایت نیاز باشد و هارد دیسک موجود 80 گیگابایت ظرفیت داشته باشد ، می توان با تهیه یک هارد دیسک دیگر و با ظرفیت 80 گیگابایت ، نیاز خود را مرتفع نمود ( تامین 160 گیگابایت فضای ذخیره سازی  ، مشروط به وجود پتانسیل لازم ازلحاظ توانائی حمایت برد اصلی سیستم ) .

• سرعت دورانی :.سرعت دوران ( چرخش ) هارد دیسک های ATA  موجود ، 5400 یا 7200 دور در دقیقه ( rpm ) می باشد . درایوهائی که دارای  سرعت 7200 دور در دقیقه می باشند، معمولا" ( در تمامی موارد صادق نخواهد بود ) دارای سرعت بیشتری در ارتباط با بازیابی اطلاعات ، می باشند . در آزمایشاتی که بر روی یک نمونه درایو با سرعت 5200 دور در دقیقه انجام شده است ، مشاهده شده است که  سرعت تکثیر اطلاعاتی به اندازه 1/2 گیگابایت ، حدود 33 %  سریعتر از سرعت درایوهای 7200 دور در دقیقه می باشد! در بعضی موارد، پارامترهای  دیگری نظیر نوع الگوریتم استفاده شده بمنظور بازیابی اطلاعات، تاثیر مستقیمی بر کارآئی یک درایو دارد.

• اینترفیس : تقریبا" تمامی کامپیوترهای Desktop از اینترفیس موازی ATA استفاده می نمایند.. حداکثر سرعت انتقال داده در این نوع  اینترفیس ها ،  100 و یا 133 مگابایت در ثانیه است. بر اساس مجموعه تست های انجام شده بر روی اینترفیس های ATA/133 ، مشخص شده است که سرعت آنان تاثیر مشهودی  را در افزایش کارائی بدنبال نداشته است ، چراکه  درایوهای موجود امکان استفاده مناسب از سرعت بالای انتقال داده در باندهای عریض را دارا نمی باشند. ( درایوهای موجود در سرعت بالای 100 و یا بیشتر ممکن است  دچار مشکل شوند ). اکثر مادربردهای قدیمی ( MotherBoard ) از ATA/133  حمایت نمی نمایند.بنابراین برای استفاده از این نوع درایوها ، می بایست کارت های جانبی بر روی سیستم نصب گردد . خوشبختانه درایوهائی که دارای استاندارد ATA/133 می باشند ، امکان حمایت از استاندارد ATA/100  را نیز دارا می باشند . 
  درایوهائی که از اینترفیس های سریال ATA ( در مقابل اینترفیس های موازی ) استفاده می نمایند ، بتدریج متداول می گردند .از اینترفیس های فوق در مواردیکه  با مشکل سرعت در ارتباط با اینترفیس های موازی برخورد می شود ، استفاده می گردد(اینترفیس های سریال ATA مشکل کمبود سرعت  را برطرف می نمایند)  . این نوع درایوها ، قادر به انتقال 150 مگابایت در ثانیه بوده و این میزان در سالیان آینده به مرز 600 مگابایت در ثانیه خواهد رسید . بر اساس تست های انجام شده ،استفاده از یک اینترفیس سریال ATA بر روی سیستم هائی که شامل یک درایو می باشند ، مزایای عمده ای را بدنبال نداشته است ( از پهنای باند اضافه عملا" استفاده نمی گردد) . در صورت استفاده از چندین درایو بر روی یک اینترفیس مشابه ، از پهنای باند اضافی بطور مطلوب استفاده و نتایج مثبتی را بدنبال خواهد داشت . استفاده از  درایوهای ATA با اینترفیس سریال ، طی سالیان آینده در اکثر کامپیوترهای شخصی بکار گرفته خواهد شد .

• حافظه موقت ( بافر ) : زمانیکه یک سیستم درخواست اطلاعاتی را می نماید ، هارد دیسک علاوه بر اینکه می بایست بازیابی داده درخواستی ر ا انجام دهد بلکه مسئولیت استقرار ( load ) داده در بافر مربوطه به خود را نیز برعهده دارد . بدین ترتیب در صورتیکه پردازنده درخواست مجدد همان اطلاعات قبلی را داشته باشد ، اطلاعات مورد نیاز آن از طریق بافر هارد دیسک تامین خواهد شد . استفاده از دو مگابایت بافر، ظرفیت مناسبی  در این رابطه می باشد . در مواردیکه از برنامه های خاصی نظیر فتوشاپ ، استفاده می شود ، ظرفیت هشت مگابایت برای بافر ، منظقی بوده و اثرات مثبتی را در رابطه با افزایش کارائی سیستم بدنبال خواهد داشت .

تشریح مشخصات
تعیین ظرفیت ، یکی از اولین و در عین حال مهمترین تصمیات در رابطه با انتخاب یک هارد دیسک می باشد .هارد دیسک های با ظرفیت بالا همیشه  از لحاظ قیمت گرانتر می باشند،چرا که توزیع آخرین مدل ها و ظرفیت ها در ماه های نخست تولید بسیار اندک بوده و همین عامل افزایش قیمت آنان را بدنبال خواهد داشت.برای تهیه یک هارد دیسک با ظرفیت مطلوب می توان پس از کاهش قیمت آخرین مدل های ارائه شده ، اقدام لازم را انجام داد .( تامین هارد دیسک مورد نظر پس از فروکش نمودن جو ایجاد شده در ماه های نخست تولید ) . پارامترهای زیر را می توان در زمان انتخاب یک هارد دیسک در نظر گرفت :

• ظرفیت : حداقل ( بیست تا چهل گیگابایت )  ، پیشنهادی  ( شصت تا هشتاد گیگابایت )   ،  حداکثر ( یکصد تا دویست و پنجاه گیگابایت )
   تهیه هارد دیسک هایی با ظرفیت بالاتر از نیاز موجود، تصمیمی منطقی می باشد . قیمت هارد دیسک های با ظرفیت بیشتر همواره بالاتر از ظرفیت های پائین تر می باشد ( تفاوت زیاد نمی باشد)  بعنوان نمونه،تفاوت ظرفیت هاردیسک های 60GB با 80GB چیزی در حدود 20GB می باشد که این ظرفیت قابل توجهی است اما از نظر قیمتی این هاردیسک ها اختلاف چندانی با هم ندارند.

• سرعت دوران : حداقل ( 5400 دور در دقیقه)   ،پیشنهادی  (  5400  تا 7200 دور در دقیقه )   ، حداکثر ( 5400  تا 7200 دور در دقیقه )
  بالا بودن سرعت دوران یک هاردیسک نشاندهنده بالا بودن سرعت ذخیره و بازیابی اطلاعات است. درصورتیکه از کامپیوتر بمنظور انجام کارهای چندرسانه ای استفاده می گردد ، بالا بودن تعداد دور در دقیقه یک هاردیسک بسیار حائز اهمیت است. این خصوصیت هارددیسک در برنامه هایی نظیر word  و یا استفاده از اینترنت ، چندان مشهود نخواهد بود .هارددیسک ها ی با ظرفیت بالا ، اغلب  دارای سرعت دوران کمتری می باشند ( 5400rpm ) .

• سرعت اینترفیس :  حداقل ( Ultra ATA/100 or ATA 133) ، پیشنهادی (Ultra ATA/100 or ATA 133  ) ، حداکثر ( Ultra ATA/100 or ATA 133)
  تفاوت سرعت بین درایوهای ATA/100 و ATA/133 برای اکثر کاربران مشهود و قابل ملاحظه نخواهد بود. برای اینکه از سرعت درایوهای انتخابی بطرز موثری استفاده شود، می بایست  سرعت آنان با کامپیوتر سازگار باشد ،  در غیر اینصورت می بایست ار کارت هائی استفاده شود که سرعت درایو را با سرعت کامپیوتر هماهنگ نماید.

• سرعت جستجو : حداقل (8ms و یا پائین تر)   ، پیشنهادی ( 8ms تا  9ms   )   ، حداکثر ( 9ms )
  متوسط سرعت جستجو ( بر حسب میلی ثانیه اندازه گیری می گردد)  در واقع به سرعت پیدا نمودن اطلاعات ( یک بخش خاص از داده ) ذخیره شده در یک درایو اطلاق می شود.اکثر کاربران در زمان انتخاب یک هارد دیسک به موضوع فوق توجه نکرده و حتی در فعالیت های روزمره خود با کامپیوتر کمبودی از این بابت را حس نمی نمایند . در مواردیکه اطلاعات  در بخش های متفاوت هارد ذخیره شده باشد، یافتن هر بخش از اطلاعات ذخیره شده و ارتباط بین آنان ، زمان مختص خود را خواهد داشت  .

• اندازه  بافر :  حداقل (دو مگابایت)  ، پیشنهادی (دو مگابایت و یا هشت مگابایـت )   ، حداکثر (دو مگا بایت و یا هشت مگابایت)
  بافر ،‌ یک حافظه Cache بر روی درایو بوده که بطور موقت اطلاعات در آن ذخیره شده تا در صورتیکه پردازنده مجددا" درخواست آنان را داشته باشد ، اطلاعات از محل فوق و با سرعت بیشتری در اختیار پردازنده قرار داده شوند. اکثر هارددیسک ها به طور معمول دارای بافری به ظرفیت دو مگابایت می باشند(درایوهایی با بافر بالاتر نیز وجود داشته که از آنان برای اهداف خاصی استفاده می گردد).

نکاتی دررابطه با تهیه هارد دیسک

• استفاده از کامپیوترهای جدیدتر. کامپیوترهای جدیدتر قادر به استفاده مطلوب از مزایای یک درایو با ظرفیت بالا می باشند ( افزایش کارائی ) . سیستمی که دارای پردازنده ای  با سرعت پائین و یا میزان اندکی حافظه اصلی می باشد ، نمی تواند از تمام ظرفیت  و پتناسیل های هارددیسک انتخابی ، بنحو احسن استفاده نماید. در صورتیکه یک کامپیوتر ارزش ارتقاء را داشته باشد ( سیستم موجود دارای کارآئی لازم می باشد ) می توان بمنظور دستیابی به ظرفیت ذخیره سازی بیشتر ، هارد آن را بتنهائی ارتقاء داد.
   

• اطمینان از وجود فضای کافی درون کیس  .اکثر کیس های استفاده شده در  کامپیوترهای شخصی حداقل دارای یک و یا چندین محل برای نصب هارد می باشند.با استفاده از دفترچة‌ راهنما و یا با باز نمودن کیس ، می توان بررسی لازم در خصوص وجود فضای کافی را انجام داد( خصوصا" در مواردیکه قصد استفاده از یک هارد جدید و نگهداری هارد قدیم وجود داشته باشد ).
   

• تهیه هارد دیسک با ظرفیت بیشتر از نیاز اولیه .پیشنهاد می گردد همواره هارد دیسکی با ظرفیت بیش از نیاز اولیه ، انتخاب گردد. ظرفیت انتخابی می بایست پاسخگوی نیازهای آینده بوده و لازم است باتوجه به نوع استفاده از کامپیوتر در حال و آینده ، تصمیم مناسبی در اینخصوص اتخاذ گردد.

• سازگاری سرعت هارد انتخابی با سرعت اینترفیس کامپیوتر. سرعت درایوهای ATA/100 و ATA/133 بمراتب از سرعت اینترفیس های  کامپیوتر بیشتر است ( خصوصا" اگر از زمان خرید کامپیوتر یک سال گذشته باشد). قبل از انتخاب هارد دیسک ،می بایست با استفاده از دفترچه های راهنمای کامپیوتر که فروشندگان ارائه می نمایند، سرعت اینترفیس های کامپیوتر را مشخص نمود.

• تهیه هارد دیسک با قیمت مناسب .رقابت تنگانتنگی بین تولید کنندگان درایوها وجود داشته  و اکثر فروشندگان کاربران را بدلیل اختلاف ناچیز قیمت ، ترغیب به تهیه هارد دیسک های با ظرفیت بالاتر می نمایند. این امر در خصوص درایوهایی با ظرفیت پایین تر صادق است چرا که آخرین ظرفیت های موجود در بازار به علت تولید کم دارای قیمت بالاتری هستند. بنابران پیشنهاد می گردد هرگز به دنبال آخرین ظرفیت موجود در بازار نباشید.

• تهیه بسته کامل( کیت )  درایو .این نوع بسته ها شامل  قطعه سخت افزاری،‌کابل ها ،‌دفترچه راهنما و در برخی موارد درایور مورد نظر برای نصب می باشد.

• استفاده از درایوهای external در صورت لزوم .با استفاده از این نوع درایوها می توان اطلاعات مهم و حیاتی را در زمانیکه در محل کار خود نمی باشیم ، حفاظت نمود. در مواردیکه نیازمند جابجائی حجم بالائی از اطلاعات می باشیم ، استفاده از درایوهای external می تواند یکی از گزینه های موجود باشد .قیمت درایوهای فوق ، نسبت به درایوهای معمولی که در درون کیس نصب می شوند، بیشتر بوده و جهت ارتباط با سیستم از پورت های USB2.0 استفاده می نمایند.

مراحل اولیه ایجاد امنیت  در شبکه
شبکه های کامپیوتری زیر ساخت لازم برای عرضه اطلاعات در یک سازمان را فراهم می نمایند . بموازات رشد و گسترش تکنولوژی اطلاعات، مقوله امنیت در شبکه های کامپیوتری ، بطور چشمگیری  مورد توجه قرار گرفته و همه روزه بر تعداد افرادی که علاقه مند به آشنائی با اصول سیستم های امنیتی در این زمینه می باشند ، افزوده می گردد . در این مقاله ، پیشنهاداتی در رابطه با ایجاد یک محیط ایمن در شبکه ، ارائه می گردد .
سیاست امنیتی
یک سیاست امنیتی، اعلامیه ای رسمی مشتمل بر مجموعه ای از قوانین است که می بایست توسط افرادیکه به یک تکنولوژی سازمان و یا سرمایه های اطلاعاتی دستیابی دارند،  رعایت و به آن پایبند باشند . بمنظور تحقق اهداف امنیتی ، می بایست سیاست های تدوین شده  در رابطه با تمام کاربران ، مدیران شبکه و مدیران عملیاتی سازمان، اعمال  گردد . اهداف مورد نظر عموما"  با تاکید بر گزینه های  اساسی زیر مشخص  می گردند .

" سرویس های عرضه شده  در مقابل امنیت ارائه شده   ، استفاده ساده در مقابل امنیت  و هزینه ایمن سازی در مقابل ریسک از دست دادن اطلاعات " 

مهمترین هدف یک سیاست امنیتی ، دادن آگاهی لازم به کاربران،  مدیران شبکه و مدیران عملیاتی یک سازمان در رابطه با امکانات و تجهیزات لازم ، بمنظور حفظ و صیانت از تکنولوژی و سرمایه های اطلاعاتی است . سیاست امنیتی ، می بایست مکانیزم و راهکارهای مربوطه را با تاکید بر امکانات موجود تبین نماید . از دیگر اهداف یک سیاست امنیتی ،  ارائه یک خط اصولی برای  پیکربندی و ممیزی سیستم های کامپیوتری و شبکه ها ،  بمنظور تبعیت از سیاست ها است . یک سیاست امنیتی مناسب و موثر ، می بایست رضایت و حمایت تمام پرسنل موجود در یک سازمان را بدنبال داشته باشد .
یک سیاست امنیتی خوب دارای ویژگی های زیر است :

• امکان  پیاده سازی عملی آن بکمک روش های متعددی نظیر رویه های مدیریتی،  وجود داشته باشد .

• امکان تقویت آن توسط ابزارهای امنیتی ویا  دستورات مدیریتی  در مواردیکه پیشگیری واقعی از لحاظ فنی امکان پذیر نیست ، وجود داشته باشد .

• محدوده مسئولیت  کاربران ، مدیران شبکه  و مدیران عملیاتی بصورت  شفاف مشخص گردد . 

• پس از استقرار، قابلیت برقرای ارتباط با منابع متفاوت انسانی را دارا باشد . ( یک بار گفتن و همواره در گوش داشتن )

• دارای انعطاف لازم بمنظور برخورد با  تغییرات درشبکه  باشد .(  سیاست های تدوین شده ،  نمونه ای بارز از مستندات زنده تلقی می گردنند . )

سیستم های  عامل و برنامه های کاربردی : نسخه ها و بهنگام سازی
در صورت امکان، می بایست از آخرین نسخه  سیستم های عامل و برنامه های کاربردی بر روی تمامی کامپیوترهای  موجود در شبکه ( سرویس گیرنده ، سرویس دهنده ، سوئیچ، روتر، فایروال و سیستم های تشخیص مزاحمین ) استفاده شود . سیستم های عامل و برنامه های کاربردی می بایست بهنگام بوده و همواره از آخرین امکانات موجود بهنگام سازی ( patches , service pack , hotfixes) استفاده گردد . در این راستا می بایست حساسیت بیشتری نسبت به برنامه های آسیب پذیر که زمینه لازم برای متجاوزان اطلاعاتی را فراهم می نمایند ، وجود داشته باشد  .
برنامه های  : IIS ,OutLook , Internet Explorer , BIND و sendmail  بدلیل وجود نقاط آسیب پذیر می بایست مورد توجه جدی قرار گیرند . متجاوزان اطلاعاتی ،  بدفعات از نقاط آسیب پذیر برنامه های فوق برای خواسته های خود استفاده کرده اند .

شناخت شبکه موجود
بمنظور پیاده سازی و پشتیبانی سیستم امنیتی ، لازم است لیستی از تمام دستگاههای  سخت افزاری و برنامه های نصب شده ، تهیه گردد . آگاهی از برنامه هائی که بصورت پیش فرض نصب شده اند،  نیز دارای اهمیت خاص خود است ( مثلا" برنامه IIS بصورت پیش فرض توسط SMS و یا سرویس دهنده SQL در شبکه های مبتنی بر ویندوز نصب می گردد ) . فهرست برداری از سرویس هائی که بر روی شبکه در حا ل اچراء می باشند، زمینه را برای پیمایش و تشخیص مسائل مربوطه ،  هموار خواهد کرد .

سرویس دهندگان TCP/UDP و سرویس های موجود در شبکه
 تمامی سرویس دهندگان TCP/UDP در شبکه بهمراه سرویس های موجود بر روی هر کامپیوتر در شبکه ، می بایست شناسائی و مستند گردند . در صورت امکان، سرویس دهندگان و سرویس های غیر ضروری،  غیر فعال گردند . برای سرویس دهندگانی که وجود آنان ضروری تشخیص داده می شود،  دستیابی به آنان محدود به کامپیوترهائی گردد که به خدمات آنان نیازمند می باشند . امکانات عملیاتی را که بندرت از آنان استفاده و دارای  آسیب پذیری بیشتری می باشند ، غیر فعال تا زمینه بهره برداری آنان توسط متجاوزان اطلاعاتی  سلب گردد. توصیه می گردد ،  برنامه های نمونه (Sample)  تحت هیچ شرایطی بر روی سیستم های تولیدی ( سیستم هائی که محیط لازم برای تولید نرم افزار بر روی آنها ایجاد و با استفاده از آنان محصولات نرم افزاری تولید می گردند )  نصب نگردند .

رمزعبور
انتخاب رمزعبور ضعیف ،  همواره یکی از مسائل اصلی در رابطه با هر نوع  سیستم امنیتی است . کاربران،  می بایست متعهد و مجبور به تغییر رمز عبور خود بصورت ادواری گردند . تنظیم مشخصه های رمز عبور در سیستم های مبتنی بر ویندوز،  بکمک Account Policy صورت می پذیرد . مدیران شبکه،  می بایست برنامه های مربوط به تشخیص رمز عبور را تهیه و آنها را اجراء تا آسیب پذیری سیستم  در بوته نقد و آزمایش قرار گیرد .
برنامه های john the Ripper   ، LOphtcrack و Crack ،  نمونه هائی در این زمینه می باشند . به کاربرانی که رمز عبور آنان ضعیف تعریف شده است ، مراتب اعلام و در صورت تکرار  اخطار داده شود ( عملیات فوق،  می بایست بصورت متناوب انجام گیرد ) . با توجه به اینکه برنامه های تشخیص رمزعبور،زمان زیادی از پردازنده را بخود اختصاص خواهند  داد،  توصیه می گردد،  رمز عبورهای کد شده ( لیست SAM بانک اطلاعاتی در ویندوز ) را بر روی  سیستمی دیگر که در شبکه نمی باشد،  منتقل  تا زمینه بررسی رمزهای عبور ضعیف ،  فراهم گردد . با انجام عملیات فوق برروی یک کامپیوتر غیر شبکه ای ،  نتایج بدست آمده برای هیچکس قابل استفاده نخواهد بود( مگراینکه افراد بصورت فیزیکی به سیستم دستیابی پیدا نمایند) .
برای تعریف رمز عبور،  موارد زیر پیشنهاد می گردد :

• حداقل طول رمز عبور، دوازده و یا بیشتر باشد . 

• دررمز عبور از حروف کوچک، اعداد، کاراکترهای خاص و Underline استفاده شود .

• از کلمات موجود در دیکشنری استفاده نگردد .

• رمز های عبور ، در فواصل زمانی مشخصی ( سی و یا نود روز)  بصورت ادواری تغییر داده شوند .

• کاربرانی  که رمزهای عبور ساده و قابل حدسی را برای خود تعریف نموده اند، تشخیص و به آنها تذکر داده شود .( عملیات فوق بصورت متناوب و در فواصل زمانی  یک ماه انجام گردد).

عدم اجرای برنامه ها ئی  که  منابع  آنها تایید نشده است . 
در اغلب حالات ، برنامه های کامپیوتری در یک چارچوب امنیتی خاص مربوط به  کاربری که آنها را فعال می نماید ،  اجراء می گردند.دراین زمینه ممکن است،  هیچگونه توجه ای  به ماهیت منبع ارائه دهنده  برنامه  توسط کاربران انجام نگردد . وجود یک زیر ساخت PKI ) Public key infrastructure ) ، در این زمینه می تواند مفید باشد . در صورت عدم وجود زیرساخت امنیتی فوق ،می بایست مراقبت های لازم در رابطه با طرفندهای استفاده شده توسط برخی از متجاوران اطلاعاتی را انجام داد. مثلا" ممکن است برخی آسیب ها  در ظاهری کاملا" موجه از طریق یک پیام الکترونیکی جلوه نمایند . هرگز یک ضمیمه پیام الکترونیکی و یا برنامه ای را که از منبع ارسال کننده آن مطمئن نشده اید ، فعال و یا اجراء ننمائید . همواره از برنامه ای نظیر Outlook بمنظور دریافت پیام های الکترونیکی استفاده گردد . برنامه فوق در یک ناحیه محدوده شده اجراء و می بایست امکان اجرای  تمام اسکریپت ها و محتویات فعال  برای ناحیه فوق ، غیر فعال گردد .

ایجاد محدودیت در برخی از  ضمائم پست الکترونیکی
 ضرورت توزیع و عرضه تعداد زیادی از انواع فایل های ضمیمه ، بصورت روزمره در یک سازمان وجود ندارد .بمنظور پیشگیری از اجرای کدهای مخرب ، پیشنهاد می گردد این نوع فایل ها ،غیر فعال گردند . سازمان هائی که از Outlook استفاده می نمایند،  می توانند با استفاده از نسخه 2002 اقدام به بلاک نمودن آنها نمایند . ( برای سایر نسخه های Outlook می توان از Patch  امنیتی مربوطه استفاده کرد ) .
 فایل های زیر را می توان  بلاک کرد :

در صورت ضرورت می توان ، به لیست فوق برخی از فایل ها را اضافه و یا  حذف کرد. مثلا" با توجه به وجود عناصر اجرائی در برنامه های آفیس ، میتوان امکان اجرای برنامه ها را در آنان بلاک نمود . مهمترین نکته در این راستا به برنامه  Access بر می گردد که برخلاف سایر اعضاء خانواده آفیس ،  دارای امکانات حفاظتی ذاتی  در مقابل ماکروهای آسیب رسان  نمی باشد .

پایبندی به  مفهوم کمترین امتیاز 
اختصاص حداقل امتیاز به کاربران، محور اساسی درپیاده سازی یک سیتم امنیتی است. رویکرد فوق بر این اصل مهم استوار است که  کاربران می بایست صرفا"  دارای حقوق و امتیازات لازم بمنظور انجام کارهای مربوطه باشند ( بذل و بخشش امتیازات در این زمینه شایسته نمی باشد!) .  رخنه در سیستم امنیتی از طریق کدهای مخربی که توسط کاربران اجراء می گردند، تحقق می یابد .  در صورتیکه کاربر، دارای حقوق و امتیازات  بیشتری باشد ، آسیب پذیری اطلاعات در اثر اجرای کدها ی مخرب ، بیشتر خواهد شد . موارد زیر برای اختصاص حقوق کاربران ،  پیشنهاد می گردد :

• تعداد account مربوط به مدیران شبکه،  می بایست  حداقل باشد . 

• مدیران شبکه ، می بایست بمنظور انجام فعالیت های روزمره نظیر خواندن پیام های پست الکترونیکی ، از یک account روزمره در مقابل ورود به شبکه  بعنوان administrator ،استفاده نمایند .

• مجوزهای لازم برای منابع بدرستی تنظیم و پیکربندی گردد . در این راستا  می بایست حساسیت بیشتری نسبت به برخی از برنامه ها که همواره مورد استفاده  متجاوزان اطلاعاتی است ، وجود داشته باشد . این نوع برنامه ها ، شرایط مناسبی برای متجاوزان اطلاعاتی را فراهم  می نمایند. جدول زیر برخی از این نوع برنامه ها را نشان می دهد .

• رویکرد حداقل امتیاز ، می تواند به برنامه های سرویس دهنده نیز تعمیم یابد . در این راستا می بایست حتی المقدور،  سرویس ها و برنامه ها  توسط یک account که حداقل امتیاز را دارد ،اجراء گردند .

ممیزی برنامه ها
اغلب برنامه های سرویس دهنده ،  دارای قابلیت های ممیزی گسترده ای  می باشند . ممیزی می تواند شامل دنبال نمودن حرکات مشکوک و یا برخورد با آسیب های واقعی باشد . با فعال نمودن ممیزی برای برنامه های سرویس دهنده و کنترل دستیابی به برنامه های کلیدی نظیر برنامه هائی که لیست آنها در جدول قبل ارائه گردید،  شرایط مناسبی بمنظور حفاظت از اطلاعات  فراهم می گردد . 

چاپگر شبکه
امروزه اغلب چاپگرهای شبکه دارای قابلیت های از قبل ساخته شده برای  سرویس های  FTP,WEB و Telnet بعنوان بخشی از سیستم عامل مربوطه ،  می باشند . منابع فوق پس از فعال شدن ، مورد استفاده قرار خواهند گرفت . امکان استفاده از  چاپگرهای شبکه بصورت  FTP Bound servers  ، Telnet  و یا  سرویس های مدیریتی وب ، وجود خواهد داشت . رمز عبور پیش فرض را به یک رمز عبور پیچیده تغییر  و با  صراحت پورت های چاپگر را در محدوده روتر / فایروال بلاک نموده و  در صورت عدم نیاز  به  سرویس های  فوق ، آنها را غیر فعال نمائید .

پروتکل SNMP)Simple Network Management Protocol)
پروتکل SNMP ،  در مقیاس گسترده ای توسط مدیران شبکه بمنظور مشاهده و مدیریت تمام کامپیوترهای موجود در شبکه ( سرویس گیرنده ، سرویس دهنده،  سوئیچ ، روتر،  فایروال ) استفاده می گردد .SNMP ،  بمنظور تایید اعتبار کاربران ،  از روشی غیر رمز شده استفاده می نماید . متجاوزان اطلاعاتی ، می توانند از نفطه ضعف فوق در جهت اهداف سوء خود استفاده نمایند . در چنین حالتی، آنان قادر به اخذ اطلاعات متنوعی در رابطه با عناصر موجود در شبکه بوده و حتی امکان  غیر فعال نمودن یک سیستم از راه دور  و یا تغییر پیکربندی سیستم ها  وجود خواهد داشت . در صورتیکه یک متجاوز اطلاعاتی قادر به جمع آوری ترافیک SNMP دریک شبکه گردد، از اطلاعات مربوط به  ساختار شبکه موجود بهمراه سیستم ها و دستگاههای متصل شده به آن ، نیز آگاهی خواهد یافت . سرویس دهندگان SNMP  موجود بر روی هر کامپیوتری را که ضرورتی به وجود آنان نمی باشد ، غیر فعال نمائید . در صورتیکه بهر دلیلی استفاده از  SNMP ضروری باشد ،  می بایست امکان دستیابی بصورت فقط خواندنی در نظر گرفته شود . در صورت امکان،  صرفا" به تعداد اندکی از کامپیوترها امتیاز استفاده از سرویس دهنده SNMP  اعطاء گردد .

تست امنیت شبکه
مدیران شبکه های کامپیوترهای می بایست، بصورت ادواری اقدام به تست امنیتی تمام کامپیوترهای موجود در شبکه (سرویس گیرندگان، سرویس دهندگان، سوئیچ ها ، روترها ، فایروال ها و سیتستم های تشخیص مزاحمین   )  نمایند. تست امنیت شبکه ،  پس از اعمال هر گونه تغییر اساسی  در پیکربندی شبکه ، نیز می بایست انجام شود .

منبع:http://www.srco.ir

نحوه انتخاب یک مادربرد
انتخاب مادربرد ، یکی از تصمیمات مهم در زمان تهیه و یا ارتقاء یک کامپیوتر است .انتخاب فوق ، علاوه بر تاثیر مستقیم بر عملکرد فعلی سیستم ، بیانگر انعطاف سیستم در زمان ارتقاء نیز می باشد . قابلیت های فعلی یک کامپیوتر و پتانسیل های ارتقاء آن در آینده ، جملگی به نوع مادربرد انتخابی بستگی خواهد داشت . امروزه بر روی مادربردها ، پورت های پیشرفته ای نظیر( Fireware(IEEE 1394و یا USB 2.0 و حتی کارت های ( تراشه ) صدای شش کاناله و کنترل های RAID وجود داشته که می توان از آنان در زمان ارتقاء سیستم  و بدون نیاز به نصب امکانات جانبی دیگر ، استفاده بعمل آورد.
درزمان انتخاب یک مادربرد همواره سوالات متعددی در ذهن تهیه کننده ( خریدار ) مطرح می گردد: مادربردها چگونه با یکدیگر مقایسه می گردند؟ پارامترها ی سنجش و وزن هر کدام چیست؟ ( پردازنده ها ، نوع تراشه ها ، نحوه ارتباط با دستگاههای ذخیره سازی ). معیار انتخاب یک مادربرد چیست ؟ Chip set های یک مادربرد بیانگر چه واقعیت هائی می باشند ؟ امکانات یک مادربرد چه تاثیراتی را در حیات فعلی و آتی سیستم بدنبال خواهد داشت؟میزان کارایی و کیفیت یک سیستم تا چه میزان وابسته به پتانسیل های مادربرد می باشد ؟ موارد فوق ، نمونه سوالاتی است که  در زمان انتخاب یک مادربرد در ذهن تهیه کنندگان  مطرح می گردد. در این مقاله قصد داریم به برخی از پرسش های متداول در زمینه انتخاب یک مادربرد پاسخ داده و از این رهگذر با ضوابط و معیارهای انتخاب صحیح یک مادربرد بیشتر آشنا شویم .

جایگاه مادربرد
مادربرد ، پردازنده و حافظه سه عنصرحیاتی در کامپیوتر بوده که در زمان انتخاب مادربرد، سرنوشت پردازنده و حافظه نیز بنوعی رقم خواهد خورد.انتخاب مناسب یک مادربرد از جمله تصمیمات مهمی است که دامنه آن گریبانگیر تجهیزات سخت افزاری دیگر نیز خواهد شد. انتخاب یک مادربرد قدیمی و از رده خارج ( ولو اینکه در حال حاضر پاسخگوی نیازها و خواسته ها باشد ) می تواند زمینه بروز مسائل متعددی در ارتباط با ارتقاء و افزایش توان عملیاتی کامپیوتر در آینده  را بدنبال داشته باشد . فراموش نکنیم ما کامپیوتر را نه بخاطر خود بلکه بخاطر اجرای برنامه ها ( در حال حاضر و آینده )  تهیه می نمائیم .

ویژگی ها ی مهم
از مهمترین ویژگی های مرتبط با مادربرد، می توان به موارد زیر اشاره نمود :

• Chip Set مادربرد ، عملیاتی حیاتی و مهم نظیر روتینگ داده از هارد دیسک به حافظه و پردازنده را انجام و این اطمینان را بوجود می آورد که تمامی دستگاههای جانبی و کارت های الحاقی ، قادر به گفتگو ( ارتباط ) با پردازنده می باشند . تولید کنندگان مادربردها ، با افزدون چیپ ست های متفاوت بر روی مادر برد تولیدی خود نظیر کنترلر RAID و پورت های Fireware ، قابلیت ها ی مادربرد تولیدی خود نسبت به سایر محصولات مشابه را نشان می دهند .
  چیپ ست های موجود بر روی یک مادربرد ، باعث اعمال محدودیت در رابطه با انتخاب نوع پردازنده ، حافظه  و سایر تجهیزات جانبی دیگر نظیر کارت گرافیک ، کارت صدا و پورت های USB 2.0 می گردد. ( برخی از امکانات فوق نظیر کارت صدا ، می تواند بعنوان پتانسیل های ذاتی همراه مادربرد ارائه گردد).  اغلب مادر بردهائی که از یک نوع مشابه Chip set  استفاده می نمایند ، ویژگی های متعارفی  را به اشتراک گذاشته ( به ارث رسیده از Chip set) و کارآئی آنان در اکثرموارد مشابه می باشد. آگاهی از نوع پردازنده ، حافظه ، سرعت کنترل کننده IDE ، کارت گرافیک و صدا ، می تواند کمک  مناسبی در خصوص انتخاب  مادربرد را ارائه نماید (خصوصا" در مواردیکه از Chip set مشابه استفاده می گردد ) .

• پردازنده :تولید کنندگان مادربرد در برخی حالات  ، فهرست مادربردهای تولیدی خود را بر اساس نوع سوکتی که مادربرد حمایت می نماید ، ارائه می نمایند. مثلا" سوکت 478 برای P4 و سوکت A برای Athlon . در اکثر کاربردهای تجاری ، کاربران تفاوت مشهودی را در ارتباط با سرعت بین دو  پردازنده Athlon و P4 مشاهده نمی نمایند در حالیکه ممکن است تفاوت قیمت آنان مشهود باشد.بهرحال نوع و سرعت پردازنده ای که می تواند همراه یک مادر برد استفاده شود ، یکی از نکات مهم در رابطه با انتخاب مادربرد است . 

• حافظه : امروزه اکثر مادربردها از حافظه های SDRam DDR )Double Date Rate) استفاده می نمایند . البته هنوز مادر بردهائی نیز وجود دارد که از RDRAM یا Rambus استفاده می نمایند. ( تعداد این نوع از مادربردها اندک است ).حافظه های DDR دارای سرعت های مختلفی بوده و پیشنهاد می شود که سریعترین نوعی را که مادربرد حمایت می نماید ، انتخاب گردد . تولید کنندگان مادربرد ،حافظه های DDR را بر اساس  سرعت Clock و یا پهنای باند تقسیم می نمایند . سرعت این نوع از حافظه ها ( DDR ) به ترتیب  از کندترین  به سریعترین نوع ،  بصورت زیر می باشد :

  DDR200 ( aka PC1600)  , DDR266 ( PC2100) , DDR333(PC2700) , DDR400(PC3200)

  بردهایی که از RDRAM استفاده می نمایند  دارای Chip set   اینتل 850 یا 850E می باشند. این نوع  از حافظه ها ( RDRAM ) می بایست بمنظور افزایش کارآئی ، بصورت زوج بر روی مادربرد استفاده شده و اسلات های  خالی توسط  CRIMM تکمیل ( پر) گردند.حافظه ها ی RDRAM، قادر به تامین پهنای باند بالای مورد نیاز برنامه هائی با حجم عملیات سنگین  در ارتباط با حافظه، می باشند.( برنامه های ویرایش فیلم های ویدیوئی و یا بازیهای سه بعدی گرافیکی) . قیمت حافظه های RDRAM نسبت به حافظه های DDR دو برابر است .حافظه های RDRAM در حال حاضر با دو سرعت متفاوت ارائه می گردند :  PC800 و PC1066 .  در صورت انتخاب  پردازنده ای از نوع  P4  که بر روی BUS با سرعت 533 مگاهرتز اجراء می گردد، سرعت بیشتر پردازنده معیار اصلی انتخاب قرار گیرد . در زمان انتخاب حافظه ، می بایست تعداد سوکت های DIMM و RIMM موجود بر روی مادربرد بهمراه حداکثر حافظه قابل نصب بر روی آن دقیقا" بررسی گردد.

• صدا و گرافیک :اکثر مادربردهای موجود دارای کارت صدا بوده و بندرت می توان مادربردی را یافت که فاقد این قابلیت باشد. آخرین مدل مادر بردها دارای چیپ  ست دیجیتالی صدای 6 کاناله بوده  که برای   بازی ها و فایل های  MP3 مناسب تر می باشد. در صورتیکه قصد نصب یک کارت صدا بر روی مادر برد بمنظور افزایش کیفیت صدا وجود داشته باشد ، می توان با استفاده از Jumper و یا BIOS سیستم ، کارت صدای موجود بر روی مادربرد ( OnBoard ) را غیر فعال و از کارت صدای مورد نظر خود استفاده نمود .در صورتیکه بخواهیم از بازی های کامپیوتری استفاده نمائیم که دارای گرافیک سه بعدی می باشند ، می بایست کارت گرافیک موجود بر روی مادربرد را غیرفعال و یک کارت گرافیک متناسب با نوع نیاز را بر روی مادر برد نصب نمود.در این رابطه لازم است به این نکته دقت شود که مادربرد انتخابی  دارای اسلات  AGP باشد .امروزه  اکثر کارت های گرافیکی موجود از اسلات AGP بمنظور ارتباط با کامپیوتر استفاده می نمایند.

• نحوه ارتباط با دستگاههای ذخیره سازی : اکثر مادربردها، با استفاده از یک کنترلر IDE از درایوهای ATA/100 یا ATA/133 پشتیبانی می نمایند. بر اساس مطالعات انجام شده، تفاوت بین  دو استاندارد فوق ، بسیار ناچیز بوده و این امر نمی تواند تاثیر چندانی در رابطه با انتخاب یک مادربرد را داشته باشد.انتخاب مادربردهایی که توانایی پشتیبانی از RAID را دارند بسیار حائز اهمیت است . با استفاده از کنترلر فوق ، می توان  بر روی یک کامپیوتر از دو هارددیسک بطور همزمان استفاده نمود. بدین ترتیب ، اطلاعات بر روی دو هارددیسک ذخیره و در صورت خرابی یک هارد دیسک ،می توان از هارددیسک دیگر استفاده نمود. (تهیه یک کنترلر RAID بتنهائی مقرون بصرفه نبوده و لازم است درزمان انتخاب ، مادربردی برگزیده شود که از RAID حمایت می نماید).

• ارتباطات ( اتصالات ) : اکثر مادربردها  دارای پورت هایی نظیر :  اترنت،‌USB2.0 و FireWire می باشند .برخی از مادربردهای جدید ، دارای امکاناتی بمنظور خواندن  Flash Memory می باشند. اخیرا"‌ مادر بردهایی به نام Legacy  free مطرح شده اند که  نیازی به پورت های جداگانه نداشته و تمامی پورت ها بطور مختصر در یک پورت تعبیه شده اند.

تشریح مشخصات
در اکثر موارد تهیه یک مادربردجدیدهمراه با خرید پردازنده و حافظه اصلی نیز می باشد.  بدین دلیل لازم است بررسی لازم در خصوص تاثیر این قطعات بر کارآئی مادربرد نیز مورد بررسی و توجه قرار گیرد .فراموش نکنیم که همواره پردازنده های جدید و با سرعت بالا دارای قیمت بمراتب بالاتری نسبت به نمونه های قبل از خود بوده و در صورتیکه ضرورتی به استفاده از پردازنده های جدید ، سریع و در عین حال گران وجود ندارد ، می توان با توجه به نوع نیاز خود از پردازنده های دیگر( با سرعت کمتر نسبت به آخرین مدل های موجود )  که با مادربرد انتخابی نیز مطابقت می نمایند، استفاده نمود.
یکی از اجزاء مهم هر مادربرد ، Chip set می باشد که اطلاعات متنوعی را در ارتباط با توانائی مادربرد مشخص می نماید . نوع پردازنده و  حافظه ای که مادربرد می تواند حمایت نماید ، برخاسته  از نوع Chip set یک مادربرد است . در برخی حالات نوع Chip set موجود بر روی یک مادربرد ، بیانگر نوع پورت های صدا، ویدئو و کارت شبکه نیز می باشد ( عناصر فوق بصورت onboard بر روی مادربرد تعبیه می شوند ) . در زمان انتخاب یک مادربرد لازم است به این نکته دقت شود که تفاوت بسیار بالائی  بین مادربردها از لحاظ قیمت وجود نداشته و می توان با در نظر گرفتن تمامی جوانب مادربردی را انتخاب نمود که دارای امکانات جانبی نظیر کارت شبکه و کنترلر RAID باشد. ( تفاوت قیمت بین این نوع از مادربردها با مادربردهائی که فاقد امکانات فوق ، می باشند زیاد نمی باشد) .
پارامترهای زیر را می توان در زمان انتخاب یک مادربرد در نظر گرفت :

• حمایت از پردازنده :
  حداقل : قادر به حمایت از پردازنده های رایج نمی باشد  .
  پیشنهادی : قادر به حمایت از پردازنده های AMD و یا اینتل باشد  .
  حداکثر :  قادر به حمایت از پردازنده های AMD و یا اینتل باشد.
  توانائی مادربرد انتخابی در رابطه با حمایت از پردازنده های موجود ، یکی از تصمیمات مهم در زمینه  انتخاب یک مادربرد است ( حمایت ازپردازنده های خانواده AMD و یا اینتل )  .

• نوع حافظه :
  حداقل : DDR 200/266  
  پیشنهادی : DDR266/333  یا PC800/1066 Rambus   
  حداکثر  : DDR333/400 یاPC1066Rambus
  نوع و سرعت حافظه ای که بهمراه  یک مادربرد نصب می گردد ، تاثیر مستقیمی بر کارآئی و در عین حال قیمت یک کامپیوتر دارد. حافظه های Rambus ، قابل استفاده بر روی تعداد اندکی از مادربردها بوده و قیمت آنان بمراتب بیشتر از حافظه های SDRAM می باشد .

• اتصالات جانبی :
  حداقل :  USB 1.1 
  پیشنهادی :   USB 2.0 در صورت امکان FireWire 
  حداکثر :  USB 2.0 و FireWire 
  در صورتیکه تصمیم به تهیه تجهیزات جانبی نظیر چاپگر، دوربین های دیجیتال و درایوهای خارجی CD-RW وجود داشته باشد ( درآینده ) ، پیشنهاد می گردد مادربردی تهیه گردد که دارای پورت های USB2.0 و Firewire باشد .

• عناصر مجتمع و پیوسته :
  حداقل :  کارت صدا 
  پیشنهادی : کارت صدای دیجیتالی، کارت شبکه و در صورت امکان پشتیبانی ازویدئو 
  حداکثر :  کارت صدای دیجیتالی و کارت شبکه
  اکثر مادربردها دارای امکانات از قبل تعبیه شده ای در رابطه با کارت صدا می باشند ( Onboard ) . در مادربردهای پیشرفته تر امکانات لازم در خصوص کارت های صدای 6 کاناله دیجیتال و کارت شبکه نیز پیش بینی شده است .برخی از مادربردها دارای تراشه های لازم بمنظور حمایت از گرافیک بوده که که باعث کاهش هزینه ها خصوصا" در رابطه با کاربرانی می گردد که نوع استفاده آنان از کامپیوتر ، ضرورت  وجود  کارت های گرافیک قدرتمند را کم رنگ می نماید .

• نحوه ارتباط با دستگاههای ذخیره سازی :
  حداقل : ATA /100 
  پیشنهادی :  ATA/133 در صورت امکان RAID 
  حداکثر :  ATA/133. RAID در صورت امکان Serial ATA
  سرعت اینترفیس هارد دیسک و سایر دستگاههای IDE استفاده شده را مشخص می نماید.استاندارد جدید Serial ATA در مادربردهای جدید استفاده می شود(افزایش سرعت اینترفیس ).برخی از مادربردها امکان استفاده از RAID را فراهم می نمایند. در چنین مواردی می توان از  دو هارددیسک در یک سیستم استفاده بعمل آورد. بدین ترتیب کارآئی سیستم افزایش و در مواردیکه  یکی از هارددیسک ها با مشکل مواجه شود ، امکان استفاده از هارد دیسک دوم وجود خواهد داشت .

نکاتی دررابطه با تهیه مادربرد 

• بررسی Chip sets . تولید کنندگان متعددی اقدام به تولید Chip set می نمایند .شرکت هائی مانند Intel، Via،‌SIS، و NVida اکثر چیپ های موجود در بازار را تولید نموده و می توان تمامی آنان را به دو گروه عمده تقسیم نمود: چیپ هائی که از  پردازنده های اینتل حمایت می نمایند و چیپ هائی که از پردازنده های AMD پشتیبانی می نمایند.Chip sets  ،  مشخص کننده نوع حافظه ،‌ سرعت پردازنده و نوع تجهیزات جانبی نظیر صدا و ویدئو می باشد که مادربرد قادر به حمایت از آنان می باشد.

• عدم تهیه سریعترین پردازنده :تهیه سریعترین پردازنده موجود، مستلزم پرداخت هزینه بالائی خواهد بود . سرعت آخرین پردازنده با یک و یا دو مدل پائین تر، تفاوت محسوسی نخواهد داشت .

• تهیه سریعترین حافظه ای که ماربرد قادر به حمایت از آن می باشد . تفاوت مشهودی در ارتباط با کارآئی سیستم و در مواردیکه از حافظه های با سرعت پائین تر استفاده می شود ، وجود نخواهد داشت ولی در صورتیکه تصمیم به افزایش  حافظه در آینده گرفته شود ، پیدا نمودن حافظه ای با همان ظرفیت بسیار راحت تر خواهد بود( با توجه به این واقعیت که ممکن است در زمان افزایش حافظه ، پیدا نمودن حافظه های قدیمی مشکلات خاص خود را دارا باشد ).

• توجه به بروز برخی از مشکلات مرتبط با کارت های گرافیک همراه مادربرد . چیپ ست هائی که امکانات گرافیک را بهمراه مادربرد ارائه می نمایند ( Onboard )  ، بخشی از حافظه سیستم را جهت ذخیره  اطلاعات گرافیکی ، استفاده نموده که همین موضوع می تواند کاهش کارآئی سیستم را بدنبال داشته باشد. پیشنهاد می گردد در صورت تهیه مادربردی با قابلیت فوق ، چیپ گرافیکی آنرا غیر فعال  و از یک کارت گرافیکی ارزان قیمت استفاده گردد. درصورتیکه در آینده قصد استفاده از گرافیک بالا وجود داشته باشد ، می توان مادربردی را انتخاب که دارای ایننترفیس  AGP باشد.

• تهیه مادربردی با مشخصات بیش از نیاز فعلی . در زمان انتخاب یک مادربرد سعی گردد ، مادربردی انتخاب گردد که امکان حمایت از  RAID ،‌ کارت شبکه ،پورت USB2 و FireWire  را دارا باشد. استفاده از چنین مادربردهائی از لحاظ اقتصادی نیز مقرون بصرفه بوده و در صورت نیاز به استفاده از قابلیت های فوق ، می توان از پتانسیل های مادربرداستفاده نمود( بدون هزینه مجدد) .