نگاهی به مدارک مختلف در حوزه فناوری اطلاعات و ارتباطات (بخش پنجم)

هکر با ضامن و مدرک معتبر نیازمندیم!

امنیت به‌معنای ایجاد نظم در رفتار و رفع خطر یا تهدید است و اگر کسی یا چیزی یا فعلی، نظم را برهم نزند و درد سر و تهدیدی ایجاد نکند، امنیت بی‌معنا می‌شود. امنیت در دنیای فناوری اطلاعات از جهات مختلفی مورد توجه است از جمله: جنبه‌های تهاجمی، نفوذگری، سوءاستفاده، تضاد منافع مالی، ایجاد رقابت و همچنین جنبه‌های شخصی و فردی و حتی مفهومی.

کد خبر: ۳۳۹۷۰۸

موضوع امنیت تقریبا از سال 2000 به‌عنوان رشته‌ای مجزا در دانشگاه‌های اروپا مورد توجه قرار گرفت. دانشگاه‌های آمریکایی نیز مدتی بعد این دوره‌ را در مقاطع مختلف کارشناسی، کارشناسی ارشد و دوره‌های دکترا (به‌صورت موردی) اجرا کردند. با این‌حال تمام رشته‌های حوزه رایانه با این موضوع درگیر هستند.

موضوع امنیت در فضای سایبر چه اینترنت و چه شبکه‌های محلی، از یک بحث فنی خارج شده و در برخی موارد به موضوع امنیت ملی تبدیل شده است. نیاز همه کشورها نیز به اجرای این دوره‌ها و ایجاد محیط‌های آزمایشی و آموزشی و کاربردی کردن آن در دستگاه‌های دولتی و غیردولتی بسیار محسوس است.

نفوذ به سامانه‌های رایانه‌ای یا همان هک به‌نفسه کار بدی نیست و حتی در شرایطی لازم است. یکی از این ملزومات کسب آمادگی برای مقابله با نفوذ دیگران است چراکه اگر راه نفوذ را بشناسید بهتر می‌توانید در مقابل آن مقاومت کنید. برای این کار نیز آموزش‌های مدونی تدارک دیده شده است. گواهی‌های امنیتی یا همان Security Certificate امنیت را تضمین نمی‌کنند، اما مسیرهای ناامن را محدود می‌کنند.

یک گواهی برای هکرهای اخلاق‌گرا

گواهی CEH ¹است که از سوی «انجمن بین‌المللی مشاوران تجارت الکترونیکی» ارائه می‌شود و آن‌را به اختصار EC-Council می‌نامند. شعار این سازمان این است: «هکرها اینجا هستند، شما کجایید؟» مرکز این سازمان در نیویورک است و در بسیاری از کشورها هم نمایندگی دارد.

رشد تجارت الکترونیک در دنیای امروز الزامی را برای داشتن آموزش‌های استاندارد به‌وجود آورده است. آموزش‌هایEC-Council با ترکیب تجارت و آموزش مدون در همین راستا و برای ایجاد بستر مناسب جهت دستیابی به یک کسب و کار موفق تدارک دیده شده است.

این مدارک، ابعاد کسب‌وکار الکترونیکی از جمله: «در دسترس بودن»، «استانداردهای جامع»، تغییرپذیری «قیاس‌پذیری» و «امنیت» را در خود گنجانیده است. همچنین براساس قراردادهای آموزشی، این سازمان گردآورنده مدل‌های آموزشی شرکت‌هایی مانند مایکروسافت، آی‌بی‌ام، زیراکس، سونی، موتورولا، کوانتوم، سیسکو و ورایزون شده است.

یکی از مدارک ارائه شده توسط این سازمان CEH یا همان «گواهی‌نامه فنی هکرهای قانونمند» است. این دوره آموزشی شامل مراحل و رویه‌های نفوذ است تا مراحل بهتر و ماهرانه‌تر از معمول انجام گیرد و بر پروسه‌های امنیتی فائق آید. سیاست‌های امنیتی آموزش داده شده در این دوره به‌نوعی برگرفته از سیاست‌های امنیتی و آموزشی سایر شرکت‌های تولید کننده تجهیزات و نرم‌افزارهاست که به سرعت نیز تغییرمی‌کند.

عمده کار این دوره، آشنا کردن افراد با فهرست موارد لازم برای بررسی، آشنایی با ابزارهایی که برای شناسایی نقاط ضعف سیستم‌ها به‌کار می‌روند و مرور سیاست‌های مقابله با تهدیدات شرکت‌های تولیدکننده تجهیزات است. این آموزش‌ها از این جهت مورد توجه هستند که نفوذ به سامانه‌ها در بسیاری از کشورها و در بسیاری از قوانین رایانه‌ای جرم محسوب می‌شود. اما تست‌های لازم برای تعیین سطح امنیتی سامانه‌ها قانونی است، البته به شرطی که مهاجم و میزبان هر دو در این مورد توافق داشته باشند.

این مدرک دارای یک امتحان سراسری است.

روش کار این آموزش‌ها مانند عملیات بسیاری از نفوذگران، استفاده از روش‌های مهندسی معکوس برای کشف روش‌ها و سیستم‌های امنیتی سامانه‌های گوناگون است.

امنیت بی‌طرف

کامپتیا یکی از بزرگترین مجامع آموزشی است که با در نظر گرفتن راهکارهای مختلف از تولیدکنندگان فناوری، مجموعه آموزشی همگانی و خوبی را فراهم آورده است.

گواهی امنیتی پیشرفته کامپتیا یا همان +CompTIA Security یکی از گواهی‌نامه‌های این موسسه است که به‌صورت تخصصی درمورد امنیت است. به عقیده ارائه‌دهندگان این مدرک و برگزارکنندگان آزمون آن، این مدرک بین‌المللی تعیین‌کننده استانداردهای مورد نیاز جهت مدیریت امنیت اطلاعات است و برای کسانی است که مسوولیت حفاظت از سطح بنیادی فناوری اطلاعات را به عهده دارند. این دوره بیشتر گرایش به فناوری مایکروسافت دارد و از سویی +Security نیز مورد تایید مایکروسافت قرار گرفته و بر مبنای کتاب +Security از انتشارات مایکروسافت تدریس می‌شود. این دوره می‌تواند جایگزین دوره و آزمون امنیت MCSE‌ شده که توسط مایکروسافت برگزار می‌شود. مدرک آن نیز برای نمایندگی‌های مایکروسافت قابل پذیرش است.

آزمون این دوره 5 سطحی با هزینه‌ای حدود 300دلار برگزار می‌شود و شامل بخش‌های زیر است.

مبانی عمومی امنیت

امنیت ارتباطات

زیرساخت امنیت

اصول رمزنگاری

امنیت سازمانی و عملکردی

گواهی تخصصی امنیت سیستم‌های اطلاعاتی

گواهی CISSP ² توسط موسسه 2(ISC)ارائه می‌شود که نهادی بی‌طرف است و وابستگی به شرکت‌های تولیدکننده فناوری و تجهیزات ندارد. این موسسه آموزشی به‌عنوان یک کنسرسیوم غیرانتفاعی از پیشروان صنعت، تحقیقاتی را در سال 1989 با هدف عرضه مدارک بین‌المللی در زمینه امنیت اطلاعات در سطوح مختلف انجام داد.

مدرک CISSP که یکی از قدیمی‌ترین مدارک حوزه امنیت است از سال 92 میلادی توسط این موسسه طراحی و ارائه شد. دوره و آزمون گواهی بین‌المللی CISSP را موسسه 2(ISC)برگزار می‌کند. مدرک این موسسه مانند خود موسسه به هیچ زیرساخت نرم‌افزاری و سخت‌افزاری وابستگی ندارد.

این مزیت می‌تواند در سازمان‌هایی که از زیرساخت‌های چندوجهی استفاده می‌کنند، کاربرد داشته باشد؛ مانند سازمان‌هایی که دارای رایانه‌های مختلف از نوع آی‌بی‌ام، اپل یا انواع دیگر هستند که روی آنها سیستم‌عامل‌های مختلف با پروتکل‌های ارتباطی مختلف وجود دارد. این موسسه معتبر بوده و از سوی آژانس امنیت ملی ایالات متحده تایید شده است. استانداردهای آموزشی این موسسه از سری ایزو و با شماره‌های 2003:17024 هستند. این مدرک بر پایه 10محور با عنوان «دانش عمومی امنیت» ارائه می‌شود:

1ـ سیستم‌های کنترل دسترسی و متدولوژی

2ـ توسعه سیستم‌ها و برنامه‌های کاربردی

3ـ برنامه‌ریزی برای مقابله با بلاهای طبیعی و خطرات کاری

4ـ رمزنگاری

5ـ مسائل حقوقی و اخلاقی

6ـ امنیت عملیاتی

7ـ امنیت فیزیکی

8ـ مدل‌ها و معماری امنیتی

9ـ تمرین‌های مدیریت امنیت

10ـ امنیت شبکه ارتباطات راه دور

اعتبار این مدرک نه به‌خاطر مراحل کسب آن و نه قیمت و تاییدیه‌های آن است، بلکه به‌خاطر شیوه نگهداری این مدرک است؛ چنانچه فرد دارای این مدرک باید هر سال با اقداماتی نظیر فعالیت‌ها، تحقیقات و مشارکت در کار موسسه بتواند 120امتیاز کسب کند و اگر این کار انجام نشود باید هزینه 500دلاری آزمون را پرداخت کرده و 700 امتیاز از آزمون کسب کند، در غیر این‌صورت مدرک او باطل خواهد شد.

RSA رقیب امنیتی سیسکو

موسسه RSA با تولید ابزار امنیتی شامل سخت‌افزار و نرم‌افزار توانسته در بازار تجهیزات امنیتی جایی داشته باشد و البته عامل اصلی معروفیتش هم، مدرک آموزش امنیتی آن است که بر پایه تجهیزات خود این شرکت ارائه می‌شود. مدرک اصلی این شرکت در مدیریت امنیت، «گواهی پیشرفته امنیت RSA‌» است که دروس مربوط به آن توسط بیش از 2400 موسسه آموزشی در سراسر جهان تدریس می‌شود.

دوره‌های این موسسه بر چند اصل بنا شده است از جمله:SecurID، ClearTrust، Keon (نام سری نرم‌افزار امنیتی این شرکت). این شرکت که دوره‌های خود را به‌صورت کاربردی آموزش می‌دهد، بر پایه یونیکس نرم‌افزار تولید می‌کند و آنها را با ویندوز نیز هماهنگ کرده است.

نکته آخر

تقریبا هیچ هکر واقعی نیازی به مدرک یا تایید مرجعی برای کارش ندارد و اصولا علاقه‌ای هم به شناخته شدن ندارد و این دوره‌ها صرفا برای ایجاد آموزش‌های کلاسیک هستند، در حالی‌که هکر واقعی همیشه یک گام جلوتر از این کلاس‌ها خواهد بود.

اطلاعات بیشتر در مورد این مدارک در نشانی‌های زیر موجود است:

http://www.rsa.com

http://www.eccouncil.org

http://www.isc2.org

http://www.coventry.ac.uk

http://www.abertay.ac.uk

همچنین برای دریافت مدرک آنلاین هک به نشانی‌های زیر مراجعه کنید:

http://www.ehow.com/how_2316182_get-degree-hacking.html

http://www.uat.edu

پی‌نوشت

1. Certified Ethical Hacker

2. Certified Information Systems Security Professional