هر روزه دزدان اینترنتی راه های جدیدی را برای بدست آوردن هویت شخصی افراد و دست یابی به اطلاعات شخصی آنها به کار می برند . یکی از روش هایی که اخیراً بسیار مورد توجه آنها قرار گرفته و البته کمی هم پیچیده می باشد ، فیشینگ نام دارد .

 

فیشینگ در حال حاضر یکی از مهمترین جرایم در فضای سایبر است . عبارت فیشینگ برای توصیف نوعی از جرم که با تلاش فریبکارانه برای بدست آوردن اطلاعات حساس است شناخته می شود . ( گرکی ، ۱۳۸۹ ، ۴۹ )

 

فیشینگ یک تکنیک قدیمی ( بیشتر از بیست سال پیش ) برای شنود اطلاعات کاربران است که همچنان امروزه هم مورد استفاده هکرها است . فیشینگ به زبان ساده یعنی صفحه ای شبیه صفحه لاگین یک سایت معتبر که حاوی کدی است که آنچه شما در قسمت نام کاربری و رمز وارد می کنید را به طور مخفیانه برای هکر می فرستد .

 

فیشینگ در اصطلاح به معنای شبیه سازی قسمت هایی از یک سایت اینترنتی ( مثلا یک صفحه از سایت ) آشنا و یا معروف است که به وسیله آن بتوان کاربر را گمراه کرده و اطلاعات شخصی وی را بدست آورد . این اطلاعات می تواند شامل نام کاربری و کلمه ی عبور فرد در آن سایت یا اطلاعاتی مربوط به شماره حساب بانکی فرد و خیلی موارد دیگر باشد . ( مجرب ، ۱۳۸۸ ، ۲۳ )

 

فیشینگ یک نمونه از تکنیک مهندسی اجتماعی به منظور گمراه کردن کاربران اینترنتی برای بدست آوردن اطلاعات محرمانه آنان است . در این تکنیک فیشرها ( کسانی که عمل فیشینگ را انجام می دهند ) با طراحی یک سایت که شبیه به سایت مورد نظر می باشد ، کار خود را آغاز می کنند و اطلاعات در حال انتقال کاربران را شنود و ثبت می نمایند . شاید خود شما تا به حال به طور ناخواسته و بدون اینکه متوجه چیزی شوید ، یکی از قربانیان فیشینگ شده باشید . ( به اصطلاح در قلاب ماهیگیر افتاده باشید ! )

 

فیشینگ در عمل به صورت کپی دقیق رابط گرافیکی یک وب سایت معتبر مانند بانک های آنلاین انجام می شود . ابتدا کاربر از طریق ایمیل و یا آگهی های تبلیغاتی سایت های دیگر ، به این صفحه قلابی راهنمایی می شود . سپس از کاربر درخواست می شود تا اطلاعاتی را که می تواند مانند اطلاعات کارت اعتباری مهم و حساس باشد ، آنجا وارد کند . در صورت گمراه شدن کاربر و وارد کردن اطلاعات خود ، فیشرها به اطلاعات شخص دسترسی می یابند . ( ایازی ، ۱۳۸۶، ۱۵ )

 

تنها راه برای جلوگیری از افزایش آمار فیشینگ و دستیابی به اطلاعات ، افزایش آگاهی کاربران است .

 

بخش دوم : ارکان تشکیل دهنده دسترسی و شنود غیرمجاز

 

جرایم رایانه ای نیز مانند هر جرم دیگری دارای سه رکن می باشد که عبارتند از :

 

پایان نامه

 

۱ . رکن قانونی : رکن قانونی یعنی اینکه قانون ، فعل یا ترک فعل آن را تحت عنوان جرم ، قانونگذاری و برای آن مجازات بیان کرده باشد و تا هنگامی که قانون درباره فعل یا ترک فعلی چنین نکرده باشد رکن قانونی تحقق نیافته است .

 

۲ . رکن مادی : رکن مادی هر جرم عبارت است از فعل ، ترک فعل ، فعل ناشی از ترک فعل و داشتن و نگهداری که به موجب قانون جرم باشند . اما در جرایم رایانه ای ترک فعل و داشتن و نگهداری تا کنون مصداق عینی نداشته است ؛ از این رو باید گفت در حال حاضر جرایم رایانه ای از جرایم عمدی است و هرگونه بی احتیاطی ، بی مبالاتی و عدم مهارت که جزء مصادیق خطا هستند باید به عنوان تخلفات مدنی یا اداری مورد بررسی قرار گیرند .

 

۳ . رکن معنوی : رکن معنوی عبارت است از قصد مجرمانه یا خطایی که مجرم بر اثر آن مرتکب جرم شده باشد و با شرایطی مسئولیت جزایی متوجه او خواهد بود . جرایم رایانه ای نیز مانند دیگر جرایم نیازمند رکن معنوی است . ( حسینی خواه و رحمتی ، ۱۳۸۹ ، ۵۶ )

 

مبحث اول : ارکان تشکیل دهنده دسترسی غیرمجاز   

 

دسترسی توانایی یک کاربر جهت مشاهده کردن ، تغییر دادن و ارتباط برقرار کردن با یک فایل در یک سیستم رایانه ای است . دسترسی ، نوعاً تبادل اطلاعات بین کاربر و اطلاعات می باشد ، به عنوان مثال ، کاربر می تواند یک فایل را فقط بخواند یا اینکه فهرست یا برنامه ای را ایجاد و اجرا نماید .

 

بخشی از کار در برقراری امنیت سامانه های رایانه ای و مخابراتی ، مربوط به حفاظت اطلاعات موجود در آنهاست که دسترسی غیرمجاز می تواند امنیت آن را کاهش داده یا به طور کامل سلب نماید . ( گروه مؤلفین ، ۱۳۸۲ ، ۴۱ )

 

 

به همین جهت مسؤولان ذی صلاح عموماً به منظور حفاظت محتوای اطلاعات موجود ، اقدام به کنترل و دسترسی می کنند و افراد مجاز فقط در محدوده های مجاز می توانند به اطلاعات دسترسی داشته باشند .

 

گفتار اول : رکن قانونی دسترسی غیرمجاز

 

مطابق مادۀ یک قانون جرایم رایانه ای : هرکس به طور غیرمجاز به داده ها یا سامانه های رایانه ای یا مخابراتی که به وسیله تدابیر امنیتی حفاظت شده است دسترسی یابد ، به حبس از نود و یک روز تا یک سال یا جزای نقدی از پنج تا بیست میلیون ریال یا هر دو مجازات محکوم خواهد شد   .

 

دسترسی یعنی وجود شرایط لازم به منظور دستیابی به اطلاعات طبقه بندی شده و دسترسی غیرمجاز ، به دست آوردن هرگونه اطلاعات طبقه بندی شده خارج از ضوابط و مقررات حفاظتی می باشد . ( ترکی ، ۱۳۸۸ ، ۱۳ )

 

جرم دسترسی غیرمجاز از جرایم جدید می باشد که پیش از این در خصوص اطلاعات اسنادی و مدارکی سابقه جرم انگاری نداشته است . به طور کلی دسترسی به اطلاعات طبقه بندی شده حفاظتی به دو صورت انجام می گیرد :

 

دسترسی مجاز : اطلاع یافتن از محتویات اطلاعات در چارچوب تعیین شده  .

 

دسترسی غیرمجاز : اطلاع یافتن از محتویات اطلاعاتی برای افرادی که نیاز به دانستن اطلاعات را ندارند.

 

یکی از اصل های مهم در حفاظت اطلاعات ، جلوگیری از دسترسی غیرمجاز است . برای جلوگیری از افشای اطلاعات ، مقرراتی از سوی مقامات ذی صلاح وضع شده تا دسترسی به اطلاعات در محدوده مشخص شده انجام گیرد و هرگونه دسترسی خارج از آن مسیر ، دسترسی غیرمجاز تعریف می شود . به طور کلی سه عامل در دسترسی نقش تعیین کننده ای ایفا می کنند که عبارتند از :

 

الف ) نیاز به دانستن

 

ب ) صلاحیت امنیتی

 

ج ) آشنایی با مقررات

 

اولین اصل لازم در دسترسی ، نیاز به دانستن است ؛ به عبارتی فرد برای انجام مأموریت و مسؤلیت خود ، نیاز به اطلاعات مورد نیاز دسترسی داشته باشد و بتواند از آنها در جهت انجام وظیفه یا مأموریت واگذاری ، بهره برداری مجاز نماید . البته دو عامل گفته شده دیگر نیز باید در فرد وجود داشته باشد تا شروط لازم برای دسترسی مجاز مهیا گردد . ( گروه مؤلفین ، ۱۳۸۲ ، ۴۲ )

 

دسترسی هر یک از گروه ها از اطلاعات گروه های دیگر دسترسی غیرمجاز محسوب شده و جرم تلقی می شود . همچنین شروع به جرم دسترسی غیرمجاز ، جرم نمی باشد ؛ چراکه در هیچ یک از مواد قانونی جرایم رایانه ای بدان اشاره نشده است .

 

ولی معاونت در جرم در صورت وجود شرایط مقرر در ماده ۴۳ مجازات اسلامی امکان پذیر است و از این نظر تابع شرایط عمومی مجازات ها می باشد . ( گلدوزیان ، ۱۳۸۴ ،۲۱۱ )

 

مقررات حفاظتی در مورد اطلاعات موجود در سامانه های رایانه ای یا مخابراتی ، شرایطی را ایجاد می کند تا فقط افراد مجاز بتوانند به اطلاعات موجود دسترسی یابند و در صورت دسترسی غیرمجاز ، محتویات موجود افشاء شده محسوب می شود . از این رو کسانی که در یک سازمان اداری یا نظامی فعالیت می کنند ولی نیازی به اطلاعات مورد نظر ندارند ، جزء افراد غیرمجاز محسوب می شوند .

 

به طور مثال تصور کنید در یک مجموعه پژوهشی یک رایانه وجود دارد که سه نفر از اعضای این گروه به صورت مشترک با یک رمز اولیه « گذرواژه » می توانند وارد آن شوند ، ولی هر کدام به منظور دسترسی به اطلاعات مربوط دارای گذرواژه اختصاصی هستند اگرچه افراد مزبور صلاحیت دسترسی به دستگاه رایانه مشترکی را دارند ولی از آنجا که آگاهی از اطلاعات یکدیگر در سامانه برای آنها تعریف نشده است ، از این رو چنانچه یکی از پژوهشگرها بدون رعایت تدایبر حفاظتی به اطلاعات دیگری در همان دستگاه اشتراکی ورود پیدا کند ، مشمول ماده خواهد بود ، ولی در فرض دیگر چنانچه فضای مشترکی در همان مجموعه جهت استفاده کارکنان تعبیه شده باشد تا بتوانند در آن مطالب گذاشته ، دیگران استفاده نمایند یا از آن مطلب بردارند . در چنین حالتی چنانچه یکی از اعضای مجموعه ، اطلاعات طبقه بندی خود را به هر دلیلی یا از روی سهل انگاری در این فضا به اشتراک بگذارد و دیگران نیز به صورت تصادفی آن را ببینند و از آن بهره برداری نمایند ، هیچ گونه جرم یا تخلفی صورت نگرفته است . ( ترکی ، ۱۳۸۸ ، ۱۳ )

 

 

 

گفتار دوم : رکن مادی دسترسی غیرمجاز

 

مرتکب این جرم ، شخص حقیقی بوده و شخص حقوقی مشمول حکم این ماده نمی شود ، چراکه در فصل هشتم مباحث جداگانه ای به اشخاص حقوقی و مسؤلیت ایشان اختصاص داده شده است . از این رو قانونگذار به عمد از واژه شخص که در علم حقوق هم در مورد اشخاص حقیقی و هم حقوقی استعمال می شود ، استفاده نکرده است و به جای آن از واژهA هرکس@ استفاده نموده است . بنابراین هر فرد ایرانی یا خارجی زن یا مرد ، اداری یا دارای شغل آزاد نظامی یا غیرنظامی می توانند مرتکبان این جرم باشند . چنانچه مرتکب از اشخاص مذکور در بند (الف) مادۀ ۲۶ همان قانون باشد ، از موارد تشدید مجازات نیز خواهد بود . مادۀ ۲۶ قانون مزبور مقرر می دارد در موارد زیر ، حسب مورد مرتکب به بیش از دو سوم حداکثر یک یا دو مجازات مقرر محکوم خواهد شد :

 

پایان نامه رشته حقوق

 

الف ) هریک از کارمندان اداره ها و سازمان ها یا شوراها و یا شهرداری ها و مؤسسه هایی که زیر نظر ولی فقیه اداره می شوند و دیوان محاسبات و مؤسسه هایی که با کمک مستمر دولت اداره می شوند و یا دارندگان پایه قضایی و به طور کلی اعضاء و کارکنان قوای سه گانه و همچنین نیروهای مسلح و مأموران به خدمت عمومی اعم از رسمی و غیر رسمی به مناسبت انجام وظیفه مرتکب جرم رایانه ای شده باشد .

 

حال چنانچه چند نفر به اتفاق به ارتکاب این جرم دست بزنند ، همه آنها طبق قانون مجازات اسلامی شرکای جرم محسوب می گردند .

 

حال این پرسش مطرح می شود که چنانچه فرد نظامی به مناسبت انجام وظایف محوله مرتکب جرم دسترسی غیرمجاز شود ، دادگاه نظامی به استناد کدام قانون تعیین تکلیف خواهد نمود ؛ به استناد قانون مجازات جرایم نیروهای مسلح یا قانون جرایم رایانه ای ؟

 

پاسخ قانون جرایم رایانه ای است ، چراکه جرم مزبور در قانون مجازات جرایم نیروهای مسلح پیش بینی نشده است . از این رو و با توجه به سکوت قانون اخیر الذکر ، دادگاه نظامی می بایست به قانون جرایم رایانه ای مراجعه و تکلیف موضوع را معین نماید . ( ترکی ، ۱۳۸۸ ، ۱۴ )

 

دسترسی رفتاری است که از سوی قانونگذار بازداشته شده است و مرتکب با انجام رفتار ، این نهی قانونگذار را نادیده می گیرد . بنابراین دسترسی به صورت فعل است و نه ترک فعل .

 

در ضمن این جرم از جمله جرایم مطلق است و نیازی به نتیجه ندارد یعنی صرف دسترسی پیدا کردن به داده ها یا سامانه های رایانه ای و مخابراتی صرف نظر از ایجاد نتیجه جرم است .

 

گفتار سوم : رکن معنوی دسترسی غیرمجاز

 

برای تحقق رکن معنوی این جرم ، سوء نیت با قصد عام لازم است ، ولی وقوع آن نیاز به قصد خاص مانند قصد افشای اطلاعات و اقدام علیه امنیت و مانند آن ندارد و به صرف دسترسی غیرمجاز به داده ها یا سامانه های رایانه ای یا مخابراتی که به وسیلۀ تدابیر امنیتی حفاظت شده باشد ، جرم محقق می شود . همچنین در قانون جرایم رایانه ای ، جرم دسترسی غیرمجاز ، جزء جرایم مطلق است چراکه تحقق جرم منوط به حصول نتیجه نیست . ( ترکی ، ۱۳۸۸ ، ۱۵ )

 

مرتکب باید عمد در دسترسی به داده یا سامانه را داشته باشد ، خواه این دسترسی از روی کنجکاوی باشد و خواه به قصد ربودن داده یا از بین بردن آن و تنها این تفاوت می تواند در اندازه کیفر مؤثر باشد . همچنین مرتکب باید بداند که از دارنده داده یا سامانه برای نقض تدابیر حفاظتی و ورود به سامانه اجازه نداشته است . اگر مرتکب اجازه داشته یا به غیرمجاز بودن آگاهی نداشته بزه رخ نمی دهد . ( جلالی فراهانی ، ۱۳۸۶ ، ۲۸ )

 

چنانچه دسترسی غیرمجاز به داده های سری به منظور جاسوسی باشد ، مرتکب مشمول مبحث سوم قانون جرایم رایانه ای یعنی جاسوسی رایانه ای بوده و به مجازات های مقرر در آن ماده محکوم خواهد بود . همچنین انگیزۀ دسترسی نقشی در تحقق جرم ندارد .

 

مبحث دوم : ارکان تشکیل دهنده شنود غیرمجاز

 

شنود که معنای دقیق آن همان شنیدن است به عمل مخفیانه گوش دادن به مکالمه خصوصی و غیرعمومی دیگران است که بدون رضایت آنها صورت بگیرد . که این شنود شامل بسیاری از محتواهای در حال انتقال و حتی ذخیره شده رایانه ای از قبیل پیامک ها و یا نامه های الکترونیکی می شود .

 

شنود از جمله ابزارهای کارآمد در کشف جرم و خصوصاً جرایم رایانه ای است . اما از آنجا که با حریم خصوصی افراد تزاحم دارد ، می بایست به موارد خاص محدود و تحت شرایط خاص انجام شود . این قاعده در مادۀ ۱۲ اعلامیۀ جهانی حقوق بشر و بند ب مادۀ ۱۸ اعلامیۀ اسلامی حقوق بشر و سایر اسناد بین المللی نیز تصریح شده است . ( آخوندی ، ۱۳۸۴ ، ۱۸۵ )

 

در این مبحث به ارکان تشکیل دهندۀ این بزه می پردازیم و سعی بر آن کرده ایم که تمامی نکات حائز اهمیت در این جرم را تبیین و تشریح نمایم .

 

گفتار اول : رکن قانونی شنود غیرمجاز

 

مطابق ماده ۲ قانون جرایم رایانه ای : A هرکس به طور غیرمجاز محتوای در حال انتقال ارتباطات غیرعمومی در سامانه های رایانه ای یا مخابراتی یا امواج الکترومغناطیسی یا نوری را شنود کند ، به حبس از شش ماه تا دو سال یا جزای نقدی از ده تا چهل ملیون ریال یا هر دو مجازات محکوم خواهد شد @ .

 

و همچنین تبصره ذیل ماده ۴۸ که بیان می دارد :

 

A دسترسی به محتوای ارتباطات غیرعمومی ذخیره شده ، نظیر پست الکترونیکی یا پیامک در حکم شنود و مستلزم رعایت مقررات مربوط است @ .

 

این تبصره نیز جزء عنصر قانونی جرم شنود غیرمجاز تلقی می شود چراکه عدم رعایت مقررات مورد اشاره مشمول عنوان شنود غیرمجاز خواهد بود .

 

با توجه به معنای لغوی شنود که قبلاً ذکر شد ؛ اصطلاح به کار رفته در قانون مجازات جرایم رایانه ای ، دارای ابهام است ، مگر آنکه بگوییم با توجه به این که شنود محتوای ارتباطات در فضای مجازی و پنهانی انجام می شود ، از این رو نیازی به تصریح قید A پنهانی@ نیست .

 

( ترکی ، ۱۳۸۸ ، ۱۶ )

 

همچنین شنود محتوای ارتباطات در فضای تبادل A در طول مسیر انتقال @ توسط شخص ثالث انجام می شود . البته این بدان معنا نیست که امکان شنود در مبدأ و مقصد وجود ندارد ؛ به عبارت دیگر از زمانی که پیام وارد سامانۀ رایانه ای یا مخابراتی می شود تا هنگامی که از سامانه خارج شود ، مسیر انتقال محسوب می شود . مثلاً A در یک دستگاه تلفن معمولی ، از زمانی که صوت از طریق میکروفن گوشی تلفن مبدأ دریافت و به جریان الکتریکی تبدیل تا هنگامی که از بلندگوی گوشی خارج گردد ، مسیر انتقال محسوب می شود . از این رو شنود یک مکالمۀ تلفنی ممکن است از تلفن مبدأ با نصب یک میکروفن شروع شود یا در مسیر انتقال از چاله های مخابراتی انشعاب گیرد یا در مسیر انتقال امواج بین شهری توسط گیرنده های بی سیم صورت پذیرد .

 

یک دستگاه نمابر یا دورنگار نیز که تصاویر و مندرجات نوشتاری روی کاغذ را تبدیل و از طریق دستگاه و خطوط مخابراتی منتقل می کند ، مسیری چون تلفن دارد یعنی از زمان گذاشتن کاغذ بر روی دستگاه تا خروج تصویر آن در مقصد ، احتمال شنود و دریافت اطلاعات وجود دارد @ .

 

( رستمی ، ۱۳۷۸ ، ۸۱ )

 

بنابراین همان گونه که ملاحظه شد از طریق شنود تهدید های متنوعی نسبت به سامانه های رایانه ای می تواند مطرح شود و حریم خصوصی اشخاص و امنیت جامعه به انحاء مختلف خدشه دار شود به ویژه با فناوری پیشرفته امروزی که هر لحظه با شیوه های نوینی می توان امنیت عمومی جامعه و آسایش افراد را به خطر انداخت ، لذا قانونگذار در شرایط تحقق این جرم ، بر خلاف جرم دسترسی غیرمجاز ، A حفاطت سامانه به وسیله تدابیر امنیتی @ را ضروری نمی داند ؛ از این رو با توجه به تقسیم بندی های رایج حقوق جزا ، در صورتی که موضوع این جرم ، شنود محتوای ارتباطات غیرعمومی باشد ، جرم شنود موضوع ماده ۲ قانون جرایم رایانه ای که از جرایم علیه آسایش عمومی است ، محقق می گردد ، لیکن چنانچه همین محتوای داده های سری باشد ، در زمرۀ جرم جاسوسی موضوع ماده ۳ همین قانون که از جرایم علیه امنیت است ، محسوب می گردند .

 

این توجیه خالی از ایراد نمی باشد ، اما از آنجا که نظر قانونگذار از اصطلاح شنود ، پنهانی بودن آن است ، از این رو ما نیز به تبعیت ، همان را به کار می بریم . ( گروه مؤلفین ، ۱۳۸۲ ، ۸۰ )

 

در تعریف جرم شنود گفته اند : A دسترسی به اطلاعات در حال ارسال ( تبادل ) به وسیله سیستم های مخابراتی یا توسط دیگری غیر از طرفین ارتباط .

 

ولی این تعریف دارای ایراداتی به شرح زیر است :

 

۱ . دسترسی به اطلاعات غیر از شنود آنهاست ، چه بسا فردی به اطلاعاتی دسترسی پیدا کند ، در حالی که مصداق شنود نیست ( مطابق مواد ۱ و ۲ قانون جرایم رایانه ای ) از این رو قید A دسترسی@ در تعریف مزبور نامناسب می باشد .

 

۲ . قید Aاطلاعات@ نیز جامع نمی باشد چراکه گاهی آنچه شنود می شود ؛ داده هایی است که معرف هیچ گونه اطلاعاتی نیستند .

 

۳ . قید Aطرفین ارتباط@ نیز نارساست ، چراکه ممکن است داده هایی قبل از دریافت مخاطب در مسیر انتقال قطع شده و شخص ثالثی آنها را شنود کند .

 

بنابراین تعریفی که می توان از شنود ارائه داد و جامع و مانع هم باشد عبارت است از :

 

Aدریافت محتوای در حال ارسال امواج به طور پنهانی@ و شنود غیرمجاز نیز A دریافت محتوای در حال ارسال امواج به طور پنهانی و غیرقانونی@  خواهد بود .

 

با توجه به آنچه که گفته شد در تعریف جرم شنود غیرمجاز در جرایم رایانه ای با توجه به اینکه محل و مرکز وقوع اینگونه جرایم در فضای تبادل اطلاعات است ، می توان چنین گفت :

 

هرگونه دریافت محتوای در حال ارسال امواج در فضای تبادل ارتباطات به طور غیرقانونی و پنهانی . ( ترکی ، ۱۳۸۸ ، ۱۴ )

 

شروع به جرم شنود غیرمجاز نیز جرم نمی باشد چراکه در هیچ یک از مواد قانون جرایم رایانه ای بدان اشاره نشده است . حال اگر چنانچه فردی مقدمات شروع به جرم را انجام دهد مثلاً دستگاه مخصوص شنود را نصب کند ، در حالی که ارتباط حاصل شده است ، ولی به هر علتی شنود حاصل نشود ، با توجه به قید A در حال انتقال @ در این ماده ، جرم محقق نشده است . البته چنانچه قصد دسترسی به داده های سری داشته باشد مطابق مادۀ ۴ قانون مزبور شروع به جرم چنین جرایمی جرم است .

 

به عبارت دیگر شروع به جرم شنود در صورتی جرم محسوب می شود که مصداق جاسوسی باشد .

 

علاوه بر مطالب مذکور ماهیت این عمل توأم با نوعی پیچیدگی فنی و در عین حال حقوقی است . از بعد فنی ، شنود مستلزم قطع و موقوف سازی است که گاه هر دو عمل صورت می گیرد و زمانی یکی به خاطر دیگری یعنی قطع به خاطر موقوف سازی انجام می شود . از لحاظ حقوقی نیز جرمی مستقل است ، اما می تواند به عنوان جزئی از رکن مادی در جرایم دستیابی غیرمجاز ، استفاده غیرمجاز ، کلاهبرداری رایانه ای و جاسوسی رایانه ای به کار رود و همچنین در حالت مستقل آن جرمی ساده است که فقط شامل قطع ارتباط و دستیابی به ارتباطات و خطوط ارتباطی و خطوط انتقال داده می باشد . ( حسن بیگی ، ۱۳۸۴ ، ۲۵۵ )

 

اما در خصوص تبصرۀ ذیل ماده ۴۸ نیز نکاتی لازم به ذکر است :

 

نکته ‌مهمی که ذکر آن ضروری می ‌باشد این است که به موجب تبصره ‌ذیل ماده ۴۸ قانون جرایم رایانه‌ای A دسترسی به محتوای ارتباطات غیرعمومی ذخیره شده نظیر پست الکترونیکی یا پیامک در حکم شنود و مستلزم رعایت مقررات مربوطه است@  .

 

بر این اساس ، با توجه به این که قانونگذار دسترسی به محتوای ارتباطات غیرعمومی ذخیره شده را در حکم شنود دانسته است ، چنانچه مقررات مربوط به این موضوع رعایت نشود ، به طور یقین شنود مذکور غیرمجاز خواهد بود . ‌

 

مطلب دیگری که لازم است به آن پرداخته شود این است که با توجه به نص صریح ماده ۲ که بر محتوای در حال انتقال ارتباطات تصریح نموده و یا تبصره‌ ذیل ماده ۴۸ که به محتوای ذخیره شده اشاره دارد ، لازم نیست محتوای در حال انتقال الزاماً صوتی باشد . این تبصره دسترسی به مواردی همچون نامه الکترونیکی یا پیامک ذخیره شده را در حکم شنود دانسته است . بنابراین کلمه ‌Aشنود@ از معنای سنتی‌اش در حقوق ما فراتر رفته و معادل معنای جدا نمودن یا در بین راه ‌بدست آوردن است۱ و نه صرف گوش دادن . ( امانی ، ۱۳۸۹ ، ۱۱ )

 

گفتار دوم : رکن مادی شنود غیرمجاز

 

همانگونه که در بررسی رکن مادی جرم دسترسی غیرمجاز گفته شد ، منظور از واژهA  هرکس@ شخص حقیقی بوده و شخص حقوقی مشمول حکم این ماده قرار نمی گیرد . از این رو هر فرد ایرانی و یا خارجی ، زن یا مرد ، اداری یا دارای شغل آزاد ، نظامی یا غیر نظامی می توانند از مرتکبان این جرم باشند . همچنین در صورتی که مرتکب از اشخاص مذکور در بند A الف@ مادۀ ۲۶ همین قانون باشد که شامل ؛ ( هر یک از کارمندان و کارکنان اداره‌‌ ها و سازمان‌‌ ها یا شوراها و یا شهرداری‌‌  ها و موسسه‌‌ ها و شرکت‌ های دولتی و یا وابسته به دولت یا نهادهای انقلابی و بنیادها و مؤسسه‌هایی که زیر نظر ولی فقیه اداره می‌ شوند و دیوان محاسبات و مؤسسه‌ هایی که با کمک مستمر دولت اداره می‌ شوند و یا دارندگان پایه قضایی و به طور کلی اعضا و کارکنان قوای سه‌گانه و همچنین نیروهای مسلح و مأموران به خدمت عمومی اعم از رسمی و غیررسمی به مناسبت انجام وظیفه مرتکب جرم رایانه ای شده باشند ) ، از موارد تشدید مجازات خواهد بود و چنانچه چند نفر به اتفاق اقدام به ارتکاب این جرم نمایند ، در این صورت همۀ آنان طبق قانون مجازات اسلامی شرکای جرم محسوب می شوند . ( ترکی ، ۱۳۸۸ ،۱۷ )

 

گفتار سوم : رکن معنوی شنود غیرمجاز

 

جرم شنود غیرمجاز موضوع ماده ۲ قانون جرایم رایانه‌ای مانند هر جرم دیگری نیاز به رکن معنوی دارد که رکن معنوی آن را سوء نیت به معنای عمد تشکیل می‌ دهد . در عبارت ماده ۲ قانون مذکور آمده است : A هرکس به طور غیرمجاز محتوای در حال انتقال ارتباطات غیرعمومی در سیستم های رایانه ای یا مخابراتی یا امواج الکترومغناطیسی یا نوری را شنود کند ، به حبس از شش ماه تا دو سال یا جزای نقدی از ده تا چهل میلیون ریال یا هر دو مجازات محکوم خواهد شد@  .

 

‌       فعل A شنود کند@  به فردی که به صورت غیرعمدی در جریان خبری قرار می‌ گیرد نسبت داده نمی‌ شود ؛ بلکه شخص باید قصد انجام فعلی را داشته باشد که قانونگذار آن را ممنوع دانسته و این همان سوء نیت عام است . بنابراین ماده ۲ در صورتی قابلیت اعمال را دارد که شخص از روی علم و عمد مرتکب جرم شده باشد ؛ اما سوء نیت خاص در ارتکاب جرم مذکور ضروری نیست . ‌

 

اگرچه در بسیاری موارد ارتکاب جرم با منظور خاصی صورت می‌ گیرد ، مانند ضربه زدن به دیگری ؛ اما به صرف احراز سوء نیت عام جرم مذکور تحقق یافته تلقی می‌‌ شود .

 

تشخیص مرز بین خطا و عمد در بحث شنود نیز حایز اهـمـیت است . ممکن است فردی به صورت اتفاقی از محتوای در حال انتقال موارد مذکور در ماده ۲ اطلاع حاصل نماید ؛ اما اگر اقدامات بعدی وی با عمد و سوء نیت همراه شود ، چنین شخصی نمی‌ تواند به این امر متمسک شود که عمل وی عمدی نبوده است .

 

برخی تلاش کرده‌اند صفت عمد و قصد مـجـرمـانـه را از عـنـصـر مـعنوی شنود غـیـرمـجـاز حـذف کـرده و تـقـصـیـر را جایگزین آن نمایند ‌که این امر با ظاهر قانون و اصول حقوقی سازگار نیست . ( امانی ، ۱۳۸۹ ، ۹ )

 

اما بر خلاف جرم دسترسی غیرمجاز نیازی به حفاظت داده ها به وسیله تدابیر امنیتی ندارد و صرف شنود محتوای ارتباطات غیرعمومی موجب تحقق این جرم می شود . همچنین همانند جرم دسترسی غیرمجاز ، جزء جرایم مطلق می باشد ؛ چراکه تحقق جرم منوط به حصول نتیجه نشده است و نیز چنانچه شنود غیرمجاز نسبت به داده های سری باشد مرتکب مشمول جرم جاسوسی مذکور در قانون جرایم رایانه ای خواهد بود و به مجازات مقرر در آن محکوم خواهد شد و همانند جرم دسترسی غیرمجاز انگیزه نقشی در تحقق جرم ندارد . ( ترکی ، ۱۳۸۸ ، ۷ )

 

مبحث سوم : مسائل و نکات کلیدی در باب دسترسی و شنود غیرمجاز

 

در کنار مسائل و توضیحات ذکر شده ، همیشه نکاتی باقی می ماند که از یک سوء دانستن آنها ضروری و باعث کسب اطلاعات مفید در آن زمینه است ، و از سوی دیگر بیان کردن آنها در کنار و همسوء کردن آنها تحت عناوین مشابه صحیح به نظر نمی رسد ، بنابراین در این مبحث تلاش کرده ایم که نکات ناگفته ای که ذکر آنها تحت عناوین یاد شده در بالا ، خارج از حوصلۀ بحث بود در اینجا با عنوان نکات کلیدی ، مورد بررسی قرار دهیم . همچنین در گفتار آخر این بحث به بیان اوصاف سامانه های گوناگونی که شنود در آنها می تواند صورت گیرد می پردازیم .

 

گفتار اول : نکات کلیدی در باب دسترسی غیرمجاز

 

در خصوص ماده ۱ قانون جرایم رایانه ای ذکر چند نکته ضروری است :

 

۱ . با توجه به این که دسترسی غیرمجاز ، نیازمند ورود غیرمجاز به داده های موجود در سیستم های رایانه ای یا مخابراتی است که به وسیله تدابیر امنیتی حفاظت شده می باشد ، از این رو دسترسی غیرمجاز بایستی به مباشرت صورت بگیرد و چنانچه فردی پس از استخراج اطلاعاتی که توسط دیگری صورت گرفته ، به داده های محرمانه دسترسی پیدا کند ، چون در زمان دسترسی فرد دوم ، داده های مورد دسترسی به وسیله تدابیر امنیتی حفاظت نشده است ، شامل حکم این ماده نمی گردد و از سوی دیگر اصل تفسیر مضیق قوانین کیفری ، تفسیر به نفع متهم را اقتضاء می نماید .

 

۲ . دسترسی بایستی غیرمجاز باشد ، از این رو چنانچه دسترسی مجاز یا به حکم قانون باشد جرم مذکور تحقق پیدا نمی کند ، چراکه از عوامل موجهه جرم می باشد و همچنین نحوۀ دسترسی با توجه به اطلاق ماده ، موثر در تحقق جرم نیست .

 

۳ . با توجه به اطلاق ماده تفاوتی ندارد که دسترسی غیرمجاز به داده های در حال انتقال یا نسبت به داده های ذخیره شده باشد . در هر صورت با وجود سایر شرایط جرم محسوب می شود .

 

۴ . از دیگر شروط تحقق این جرم آن است که بایستی داده ها و یا سیستم ها به وسیله تدابیر امنیتی حفاظت شده باشند . از این رو چنانچه موارد مزبور محرمانه تلقی شوند ، ولی به وسیله تدابیر امنیتی حفاظت نشده باشند ، جرم مزبور محقق نمی شود . مثلاً در یک سازمان اگر یک فضای مجازی به طور مشترک بین کاربران باشد ، چنانچه سند محرمانه ای در داخل این فضا وجود داشته باشد ، اگرچه اطلاعات مزبور محرمانه تلقی می شود ، ولی چون به وسیله تدابیر امنیتی حفاظت نشده است، شامل این ماده نخواهد بود .

 

۵ . منظور از Aتدابیر امنیتی@ ، ایجاد محدودیت یا ممنوعیت دسترسی به اطلاعات برای افراد غیرمجاز با توجه به طبقه بندی و ارزش اطلاعاتی داده ها است .

 

۶ . سامانه های رایانه ای یا مخابراتی ، گاه خود موضوع ارتکاب جرم می باشند ، مثل جرم سرقت رایانه ای و گاه وسیله ارتکاب جرم می باشند ، مانند جعل ، سرقت ، اخلال و یا دستکاری در داده ها و یا دسترسی و شنود غیرمجاز ، و چنانچه هر دو مورد در یک فرد تحقق یابد ، مانند آن که فردی مرتکب سرقت یک دستگاه رایانه شود و سپس به وسیله آن ، داده های محرمانه رایانه ای را سرقت یا دستکاری نماید ، مشمول مقررات تعدد مادی جرم در قانون مجازات اسلامی بوده و قاعده جمع مجازات ها اعمال می شود .

 

۷ . آیا رفتار افرادی که با بهره گرفتن از فیلترشکن به داده ها یا سامانه های رایانه ای یا مخابراتی یا محتوای پالایش ( فیلتر ) شده دسترسی پیدا می کنند ، دارای عنوان خاصی می باشد ؟ و در صورت جرم بودن ، رفتار آنان مشمول کدام عنوان مجرمانه است ؟ در پاسخ بایستی گفت در صورتی که این افراد با بهره گرفتن از نرم افزارهای فیلترشکن به داده ها یا سامانه های رایانه ای یا مخابراتی که به وسیله تدابیر امنیتی حفاطت شده است ، یعنی ممنوعیت دسترسی برای آنها ایجاد شده است ، دسترسی حاصل نمایند با توجه به این که دسترسی آنان به صورت غیرقانونی انجام شده است ، لذا عمل آنان جرم بوده و می تواند با جمع سایر شرایط مشمول جرم دسترسی غیرمجاز موضوع ماده ۱ قانون جرایم رایانه ای قرار گیرد .

 

۸ . کسانی که عملیات دسترسی غیرمجاز توسط آنان انجام نمی گیرد ، ولی بسترهای دسترسی غیرمجاز را از طریق فروش ، انتشار و آموزش فراهم می سازند ، مطابق بندهای A ب و ج @ مادۀ ۲۵ مجازات خواهند شد : A هر شخص که مرتکب اعمال زیر شود ، به حبس از نود و یک روز تا یک سال یا جزای نقدی از پنج ملیون (۰۰۰/۰۰۰/۵ ) ریال تا بیست میلیون (۰۰۰/۰۰۰/۲۰ ) ریال یا هر دو مجازات محکوم خواهد شد :

 

ب : فروش یا انتشار یا در دسترس قرار دادن گذرواژه یا هر داده ای که امکان دسترسی غیرمجاز به داده ها یا سامانه های رایانه ای یا مخابراتی متعلق به دیگری را بدون رضایت او فراهم کند .

 

ج : آموزش دسترسی غیرمجاز نحوه ارتکاب جرایم دسترسی غیرمجاز ، شنود غیرمجاز ، جاسوسی رایانه‌ ای و تخریب و اخلال در داده‌ ها یا سیستم‌ های رایانه‌ ای و مخابراتی .

 

با عنایت به مراتب مذکور افرادی که هرگونه نرم افزار یا وسیله دسترسی غیرمجاز مانند فیلترشکن را در معرض عرضه یا فروش یا انتشار یا آموزش یا امثال آن قرار دهند ، به نحوی که بسترهای دسترسی غیرمجاز فراهم آورند از مرتکبان جرم موضوع ماده ۲۵ قانون جرایم رایانه ای محسوب می گردند . البته روشن است که با توجه به عدم وحدت مرتکبان ، جرم مورد اشاره غیر از شروع به جرم دسترسی غیرمجاز است که با توجه به عدم تصریح در قانون ، جرم نمی باشد .

 

۹ . دسترسی غیرمجاز به محتوای داده های رایانه ای همانند پست الکترونیکی مطابق تبصرۀ مادۀ ۴۸ قانون جرایم رایانه ای از شمول مادۀ یک همان قانون مستثنی شده و در حکم شنود تلقی می شود . به موجب این تبصره A دسترسی به محتوای ارتباطات غیرعمومی ذخیره شده ، نظیر پست الکترونیکی یا پیامک ، در حکم شنود و مستلزم رعایت مقررات مادۀ یک که به طور کلی دسترسی غیرمجاز به داده ها یا سامانه های رایانه ای یا مخابراتی که به وسیله تدابیر امنیتی حفاطت شده را جرم دانسته ، در این موارد مجری نخواهد بود . ( ترکی ، ۱۳۸۸ ، ۱۵ )

 

گفتار دوم : نکات کلیدی در باب شنود غیرمجاز

 

در خصوص ماده ۲ قانون جرایم رایانه ای ، چند نکته قابل توجه است :

 

۱ . با توجه به قید Aدر حال انتقال@ ، شنود غیرمجاز در سامانه های رایانه ای در صورتی جرم است که در طول مسیر انتقال اتفاق بیافتد . از این رو چنانچه داده هایی ابتدا ذخیره شود و سپس شنود گردد ، مشمول حکم این ماده نیست ولی با توجه به تبصره مادۀ ۴۸ قانون جرایم رایانه ای دسترسی به محتوای ارتباطات غیرعمومی ذخیره شده نیز در حکم شنود بوده و مشمول مادۀ ۲ همین قانون خواهد بود . ماده ۴۸ قانون مزبور در این خصوص چنین مقرر می دارد :

 

A شنود محتوایی در حال انتقال ارتباطات غیرعمومی در سیستم های رایانه ای یا مخابراتی مطابق مقررات راجع به شنود مکلمات تلفنی خواهد بود .

 

تبصره : A دسترسی به محتوای ارتباطات غیرعمومی ذخیره شده ، نظیر پست الکترونیکی یا پیامک در حکم شنود و مستلزم رعایت مقررات مربوط است @ .

 

در این ماده نکته ای است که بایستی مورد توجه قرار گیرد :

 

با توجه به کلمۀ A نظیر@ مصادیق ذکر شده در مورد داده های ذخیره شده تمثیلی می باشند و این مصادیق حصری نیستند ، از این رو چنانچه فردی به طور غیرمجاز از طریق رایانه ، مکالمه ای را ضبط نموده و سپس مبادرت به شنود آن نماید ، می تواند مشمول حکم این ماده قرار گیرد . چنانچه فرد دیگری نسبت به استماع نوار ضبط شده از طریق رایانه که حاوی مکالمات دیگری است ، اقدام نماید ، به نظر می رسد عمل فرد اخیر با توجه به تفسیر مضیق قوانین کیفری جرم نیست .

 

اما با توجه به تبصره ماده ۴۸ قانون جرایم رایانه ای چنانچه فردی به صورت غیرمجاز به محتوای غیرعمومی ذخیره شده مانند پست الکترونیکی و پیامک دسترسی پیدا نماید ، با صرف دسترسی به محتوای غیرعمومی مزبور ، عمل در حکم شنود تلقی می گردد و مطالعه و بررسی یا هرگونه بهره برداری دیگر از محتوای مورد اشاره ، شرط تحقق جرم نمی باشد و به عبارتی این جرم مطلق است .

 

۲ . شنود بایستی به صورت غیرمجاز باشد لذا در صورتی که به دستور مقام قضایی و یا به حکم قانون ( توسط مقامات و مأموران امنیتی ) مجاز باشد ، جرم محقق نمی شود .

 

۳ . مهم نیست که مدت زمان شنود چه قدر باشد ، لذا دریافت آدرس ، شماره تلفن و یا حتی شماره رمز می تواند مشمول این ماده قرار گیرد و همچنین نحوۀ شنود با توجه به اطلاق ماده ، موثر در تحقق جرم نمی باشد .

 

۴ . قانونگذار در جرم انگاری A شنود@ ، بیشتر به معنای عرفی آن توجه داشته است ؛ چراکه برخی از پیام ها به گونه ای است که پس از دریافت محتوای ارتباطات حتماً بایستی به وسیله یک سری عملیاتی به صورت متن درآید تا قابل شناسایی باشد . از این رو این واژه دارای ابهام است .

 

۵ . ملاک شناسایی عمومی بودن یا نبودن محتوای ارتباطات غیرعمومی ، قصد ارسال کننده پیام و رفتار وی و تلقی عرف می باشد ، مثلاً ارسال امواج رادیویی یا تلویزیونی ، عمومی می باشد ، ولی ارسال پیامک به فرد خاص ، غیرعمومی است . البته در صورتی که جرم به صورت سازمان یافته ارتکاب یافته باشد یعنی کسانی با رهبری و تشکیل شبکه چند نفری به این امر اقدام کرده باشند ، مطابق ماده ۲۶ قانون جرایم رایانه ای از موارد تشدید مجازات خواهد بود .

 

۶ . کسانی که عملیات شنود غیرمجاز توسط آنان انجام نمی گیرد ، ولی بستر شنود غیرمجاز را از طریق آموزش نحوۀ ارتکاب آن فراهم می کنند . مطابق بند A ج @ مادۀ ۲۵ مجازات خواهند شد : ماده ۲۵ قانون جرایم رایانه ای چنین مقرر می دارد :

 

A هر شخص که مرتکب اعمال زیر شود به حبس از نود و یک روز تا یک سال یا جزای نقدی از پنج تا بیست میلیون ریال یا هر دو مجازات محکوم خواهد شد @ .

 

که بند Aج @ ماده ۲۵ اینگونه بیان می دارد :

 

آموزش نحوۀ ارتکاب جرایم دسترسی غیرمجاز ، شنود غیرمجاز ، جاسوسی رایانه‌ ای و تخریب و اخلال در داده‌ ها یا سیستم‌ های رایانه‌ ای و مخابراتی . ( ترکی ، ۱۳۸۸ ، ۱۷ )

 

گفتار سوم : تبیین و بیان اوصاف سامانه های گوناگون

 

همانطور که در مادۀ ۲ قانون جرایم رایانه ای بیان شده ، بزه شنود غیرمجاز با اوصاف گفته شده باید در یکی از سامانه های رایانه ای ، مخابراتی ، امواج الکترومغناطیسی و یا نوری صورت گیرد . در غیر این صورت ، اگرشنودی خارج از سامانه های مذکور انجام گیرد مشمول ماده ۲ قانون جرایم رایانه ای نخواهد بود .

 

به عنوان مثال : چنانچه شخصی صحبت دو نفر را از کنار آیفون منزل بشنود و یا به طور عادی صحبت دو نفر را استراق سمع کند ، نمی توان اقدام او را مشمول ماده ۲ دانست . بنابراین به توضیح مختصری در خصوص این چهار سامانه می پردازیم .

 

۱ . سامانه های رایانه ای :

 

این واژه که ترجمه ‌عبارت ( system computer ) می ‌باشد ، دارای تعاریف مختلفی است و شاید تعریفی که بند A و@ ماده‌ ۲ قانون تجارت الکترونیکی از سیستم رایـانـه‌ای ارائـه می‌ دهد ، یکی از بهترین تعاریف باشد . براساس این تعریف A سیستم رایانه‌ای هر نوع دستگاه یا مـجـمـوعـه‌ای از دسـتـگـاه‌ هـای مـتـصـل سـخـت‌افـزاری ـ نرم‌افزاری است که از طریق اجرای برنامه‌ های پردازش خودکار داده ‌‌پیام عمل می ‌کند @ . ( امانی ، ۱۳۸۹ ، ۵ )

 

۲ . سـامانه های ‌مخابراتی :

 

این سامانه عبارت است از انتقال سیگنال‌ ها از فاصله ‌های مختلف به منظور برقراری ارتباط . سـامـانـه های ‌مـخـابـراتـی شـامـل سـه جزء است : یک فرستنده ، اطلاعات را گرفته و آن را به سیگنال تبدیل می ‌کند ؛ یک کانال مخابراتی که سیگنال را حمل می‌ کند و یک گیرنده که سیگنال را می‌ گیرد و آن را به اطلاعات قابل استفاده تبدیل می کند . بنابراین یک شبکه‌ مخابراتی شامل مجموعه‌ای از فرستنده‌ ها ، گیرنده‌ ها و ترانزیستورها و حامل‌هایی است که با همدیگر ارتباط دارند .

 

(www. persianforum.com  )

 

کار اصلی تمام سیستم های مخابراتی انتقال اطلاعات است .

 

۳ . امـواج الـکترومغناطیسی :

 

امواجی که از میدان‌ های الکتریکی و مغناطیسی ساخته شده و در فضا انتشار می‌ یابند ، امواج الکترومغناطیسی نام دارند . این امواج که شامل امواج رادیویی نیز هستند با سرعتی نزدیک به سرعت نور انتقال می‌ یابند و نقش بسزایی را در تسریع ارتباطات برعهده دارند . ( امانی ، ۱۳۸۹ ، ۵ )

 

تابش الکترومغناطیسی یا انرژی الکترومغناطیسی براساس تئوری موجی ، نوعی موج است که در فضا انتشار می‌ یابد و از میدان‌ های الکتریکی و مغناطیسی ساخته شده‌ است . این میدان‌ ها در حال انتشار بر یکدیگر و بر جهت پیشروی موج عمود هستند .

 

گاهی به تابش الکترومغناطیسی نور می‌ گویند ، ولی باید توجه داشت که نور مرئی فقط بخشی از گسترۀ امواج الکترومغناطیسی است . امواج الکترومغناطیسی برحسب بسامدشان به نام‌ های گوناگونی خوانده می‌ شوند :

 

امواج رادیویی ، ریزموج ، فروسرخ ( مادون قرمز ) ، نور مرئی ، فرا بنفش ، پرتو ایکس و پرتو گاما . این نام ‌ها به ترتیب افزایش بسامد مرتب شده‌اند . (Ivan Tolstoy  ، ۱۹۸۳ ، ۷۵ )

 

۴ . امواج نوری :

 

‌       به فرآیند انتقال سیگنال‌ های الکتریکی به وسیله نور گفته می‌شود . در این فناوری سیگنال های الکتریکی که همان اخبار و اطلاعات یا به اصطلاح قانونA  محتوا@  می‌ باشند ، به قسمت الکتریکی داده می ‌شوند . این قسمت ، منبع نوری را که ممکن است لیزر یا نور دیگری ‌باشد به کار انداخته و سیگنال‌ های خبر روی امواج نوری مدولاسیون می ‌شوند . سپس وارد کابل‌ های فیبر نوری۱ شده و این کابل‌ ها که متشکل از رشته‌ های نوری هستند ، انتقال سیگنال‌ های مخابراتی را انجام داده و در مقصد یا در محل تقویت‌ کننده‌ ها به گیرنده می رسانند و گیرنده آنها را تبدیل به سیگنال‌ های الکتریکی می‌‌ کند . امروزه ۸۰ درصد از ترافیک اطلاعاتی و صوتی راه دور جهان توسط کابل‌ های فیبر نوری انجام می‌ پذیرد . انتقال پیام ‌ها و محتواها در حال حاضر در یکی از حالات و طرق یاد شده انجام می‌ پذیرد . ( www.persianforum.com )

 

فیبر نوری از پالس‌ های نور برای انتقال داده‌ ها از طریق تارهای سیلکون بهره می‌ گیرد . یک کابل فیبر نوری که کمتر از یک اینچ قطر دارد می ‌تواند صدها هزار مکالمۀ صوتی را حمل کند . فیبرهای نوری تجاری ظرفیت ۵/۲ گیگابایت در ثانیه تا ۱۰ گیگابایت در ثانیه را فراهم می‌ سازند .

 

گسترش ارتباطات و راحتی انتقال اطلاعات از طریق سیستم های انتقال و مخابرات فیبر نوری یکی از پر اهمیت ترین موارد مورد بحث در جهان امروز است . سرعت ، دقت و تسهیل از مهم ترین ویژگی های مخابراتی فیبر نوری می باشد . یکی از پر اهمیت ترین موارد استفاده از مخابرات فیبر نوری آسانی انتقال در فرستادن سیگنال های حامل اطلاعات دیجیتالی است که قابلیت تقسیم بندی در حوزه زمانی را دارا می باشد . ( پزشپور و معتمدی ، ۱۳۸۴ ، ۸۵ )

 

 

 

 

 

 

 

مبحث چهارم : بررسی پرونده های مطروحه با موضوع جرم دسترسی و شنود غیرمجاز

 

این مبحث از پایان نامه ، به بیان پرونده های مطروحه در باب دسترسی و شنود غیرمجاز اطلاعات محرمانه افراد پرداخته است که با همکاری رئیس پلیس فضای تولید و تبادل اطلاعات فرماندهی انتظامی استان اصفهان سرهنگ ” ستار خسروی ” و گروه ویژۀ پلیس تخصصی فتا استان ، تدوین گشته است .

 

گفتار اول : نفوذگر شرکت خدمات مسافرتی دستگیر شد

 

رئیس پلیس فضای تولید و تبادل اطلاعات اصفهان سرهنگ ستار خسروی بیان داشت :

 

فردی که با نفوذ و دسترسی به سیستم اینترنتی یک شرکت خدمات مسافرتی با ایجاد تغییرات در تعداد صندلی های هواپیما در رزرواسیون فروش بلیط هواپیما اختلالاتی را ایجاد نموده بود دستگیر شد .

 

به گزارش پایگاه خبری پلیس ، سرهنگ ” ستار خسروی ” رئیس پلیس فضای تولید و تبادل اطلاعات فرماندهی انتطامی استان اصفهان بیان داشت : در پی شکایت مدیریت یکی از دفاتر بزرگ خدمات مسافرتی اصفهان مبنی بر اینکه مدتی است سیستم اینترنتی رزرواسیون و فروش بلیط پروازهای هواپیمایی آن موسسه توسط فرد یا افرادی دستخوش تغییراتی شده و به طور مثال تعداد کل صندلی های خالی از ۱۲۰ صندلی به ۱۴۰ صندلی خالی بدون اطلاع قبلی افزایش یافته که این امر موجب فروش بیش از حد ظرفیت بلیط از جانب آژانس های هواپیمایی دیگری که با موسسه همکاری دارند شده و به تبع آن آژانس ها و مسافران دچار مشکل گردیده اند .

 

بلافاصله پرونده مقدماتی تشکیل ، با هماهنگی قضایی تحقیقات تخصصی کاراگاهان و کارشناسان این پلیس آغاز ، بدواً از شاکی و اپراتورهای سیستم رزرواسیون موصوف مفصلاً پیرامون موضوع تحقیق به عمل آمد . همچنین چند تن از کارشناسان این پلیس به محل فعالیت موسسه خدمات مسافرتی اعزام و از نزدیک نحوه عملکرد سیستم های رایانه ای و رزرواسیون را بررسی نموده نهایتاً با بررسی های فنی صورت گرفته از طریق فضای سایبر و سیستم ها دو نفر به نام های ح . ص ۳۷ ساله و م . ک ۳۰ ساله شناسایی و دستگیر گردیدند .

 

سرهنگ خسروی افزود : همچنین در تحقیقات ابتدا منکر اتهامات وارده بودند لیکن در مواجهه با ادله الکترونیک جمع آوری شده به بزه انتسابی اقرار نمودند . بررسی ها و تحقیقات نشان داده این افراد از برنامه نویسان سابق موسسه بوده اند و به دلیل اخراج از موسسه و با انگیزه انتقام جوئی مرتکب این عمل شده اند .

 

این مقام مسئول توصیه نمود : کلیه شرکت ها و موسسات که به نوعی خدمات ارائه شده آنها از طریق اینترنت صورت می گیرد لازم است نسبت به ارتقاء سطح امنیتی سیستم ها و سامانه های خود اقدام نمایند .

 

گفتار دوم : دسترسی به اطلاعات یک مخترع

 

فردی که اقدام با نفوذ به ایمیل شخصی یک مخترع و سرقت اطلاعات مربوط به اختراع وی ، آن را به نام خود ثبت کرده بود توسط کارشناسان پلیس فتای اصفهان شناسایی و دستگیر شد .

 

به گزارش پایگاه خبری پلیس ، سرهنگ ” ستار خسروی ” ، رئیس پلیس فضای تولید و تبادل اطلاعات فرماندهی انتظامی استان اصفهان با اعلام این مطلب گفت : در پی شکایت جوانی مبنی بر اینکه فردی ناشناس با ورود به ایمیل شخصی وی و سرقت اطلاعات مربوط به اختراع او و ثبت آن به نام خود ، موضوع به صورت ویژه در دستور کار این پلیس قرار گرفت .

 

وی افزود : در بررسی های انجام شده مشخص شد تمام اطلاعات مربوط به اختراع این جوان بر روی ایمیل شخصی او بوده است که پس از اینکه اختراع خود به سایت مربوطه مراجعه می کند متوجه می شود این اختراع دقیقاً با همان مشخصات چند روز قبل ثبت شده است . در این رابطه تیم ویژه ای مأمور رسیدگی به موضوع شده و پس از انجام تحقیقات لازم در محیط سایبر متهم به نام نوید . ر که از دوستان و همکاران فرد شاکی بود شناسایی و در یک اقدام غافلگیرانه دستگیر شد .

 

این مقام مسئول با بیان اینکه متهم صراحتاً به بزه انتسابی خود اقرار کرده است عنوان داشت : متهم انگیزه خود را از انجام این عمل مجرمانه کسب سود مالی و شهرت برای خود عنوان کرد .

 

سرهنگ خسروی در پایان به منظور جلوگیری از وقوع اینگونه جرایم به کاربران توصیه کرد از ذخیره اطلاعات شخصی و مهم بر روی ایمیل شخصی خود خودداری کنند و برای ایمیل های خود رمزهای ورود قوی انتخاب کنند .

 

گفتار سوم : هکر اینترنتی سازمان های دولتی دستگیر شد

 

رئیس پلیس فضای تولید و تبادل اطلاعات اصفهان سرهنگ ستار خسروی بیان داشت : فردی که با نفوذ و ورود غیرمجاز به سیستم های رایانه ای یکی از سازمان های دولتی باعث بروز خسارات، آسیب و صدمات جبران ناپذیری بر اطلاعات آن سازمان شده بود توسط کارشناسان و متخصصین پلیس فتا شناسایی و دستگیر گردید .

 

به گزارش پایگاه خبری پلیس ، سرهنگ ” ستار خسروی ” رئیس پلیس فضای تولید و تبادل اطلاعات فرماندهی انتظامی استان اصفهان بیان داشت : در پی شکایت مدیر عامل یکی از سازمان های استانی مبنی بر اینکه فرد یا افرادی به صورت غیرمجاز به سیستم های رایانه ای آنها نفوذ کرده و اقدام به دستکاری و حذف اطلاعات نموده است که این امر باعث به وجود آمدن خسارات زیادی به آن سازمان گردیده موضوع در دستور کار کاراگاهان این پلیس قرار گرفت .

 

سرهنگ خسروی افزود : با اعزام تیم کارشناسان این پلیس به آن سازمان و بررسی های فنی و تخصصی لازم بر روی سامانه های رایانه ای مشخص گردید فردی از خارج سازمان توانسته به شبکه های آنها نفوذ و اطلاعات آنها را سرقت و دستکاری نماید .

 

وی خاطر نشان کرد پس از بررسی های فنی و نهایی توسط کاراگاهان و متخصصین متهم به هویت حسین . د که از کارمندان اخراجی آن سازمان بوده ، شناسایی و در یک عملیات غافلگیرانه توسط مأمورین پلیس فتا دستگیر شد . متهم پس از مواجه با مدارک و مستندات این پلیس به بزه انتسابی اقرار و انگیزه خود را انتقام جویی عنوان داشت .

 

سرهنگ خسروی در پایان توصیه نمود :

 

از رمزهای عبور قوی جهت ورود به سیستم های رایانه ای استفاده نمایید .

 

آنتی ویروس ها و ضد بد افزارهای بروز شده و اصلی بر روی سیستم ها نصب نمایید .

 

از فایروال های قوی جهت جلوگیری از نفوذ هکرها استفاده نمایید .

 

به محض اخراج پرسنلی از سازمان کلیه دسترسی ها و رمزهای عبور وی را تغییر دهید .

 

 

 

 

 

گفتار چهارم : باند فیشینگ و سرقت اطلاعات بانکی متلاشی شد

 

رئیس پلیس فضای تولید و تبادل اطلاعات اصفهان سرهنگ ستار خسروی بیان داشت : باندی متشکل از ۳ نفر که با بهره گیری از روش فیشینگ اقدام به سرقت اطلاعات بانکی افراد و برداشت از حساب های بانکی آنها می نمودند توسط کاراگاهان پلیس فتا شناسایی و دستگیر گردیدند .

 

به گزارش پایگاه خبری پلیس ، سرهنگ ” ستار خسروی ” رییس پلیس فضای تولید و تبادل اطلاعات فرماندهی انتظامی استان اصفهان بیان داشت : در پی شکایت متعدد از شهروندان مبنی بر برداشت غیرمجاز از حساب های آنها بلافاصله تحقیقات تخصصی کاراگاهان  و کارشناسان در این زمینه آغاز و نهایتاً با پیگیری های فنی و تخصصی انجام شده در حوزه سایبر ۳ جوان به نام های  میثم . آ ۲۵ ساله ، شهاب . ش ۲۴ ساله و  رضا . ق ۲۵ ساله  که با تشکیل یک باند اقدام به برداشت غیرمجاز و سرقت از حساب های بانکی مردم می نمودند شناسایی و با هماهنگی قضایی دستگیر گردیدند .

 

وی افزود : این افراد با ایجاد یک وب سایت جعلی به نام www.echarge.com و ایجاد یک ایمیل با روش فیشینگ اطلاعات حساب افراد را در خریدهای اینترنتی کارت شارژ سرقت نموده و سپس با بهره گرفتن از اطلاعات بدست آمده از طریق اینترنت اقدام به برداشت غیرمجاز از حساب های بانکی آنها می نمودند ، از فعالیت سایت سریعاً جلوگیری گردیده و متهمین با قرار صدور مناسب روانه زندان گردیدند و تعداد ۴۳۰ شماره حسابی که اطلاعات آن سرقت شده توسط کارکنان پلیس فتا شناسایی و از طریق بانک های مربوطه اطلاع رسانی لازم صورت گرفت .

 

متهمین تاکنون از چندین حساب برداشت نموده بودند که خوشبختانه در مراحل اولیه با اشرافیت کامل کاراگاهان پلیس فتا این باند شناسایی ، منهدم و اقدامات آنها خنثی گردید تا از ادامه برداشت و خسارات مادی بیشتر بر مردم جلوگیری به عمل آید .

 

سرهنگ خسروی در پایان به شهروندان توضیه نمود :

 

در هنگام خریدهای اینترنتی از کلیک کردن بر روی آگهی های دروغین خودداری نمایند .

 

در هنگام خرید به نوار آدرس دقت نمایید و پس از باز شدن درگاه بانک در صورتی که درگاه فاقد پروتکل SSL یا همان Https:// بود از ورود اطلاعات خودداری نمایند .

 

پس از هربار خرید اینترنتی در صورت امکان رمز خود را تغییر دهند .

 

در هنگام خرید اینترنتی از اصالت فروشگاه اینترنتی اطمینان حاصل کنند .

 

به نماد الکترونیکی فروشگاه مجازی دقت نمایند .

 

گفتار پنجم : دستگیری هکر ۱۴ ساله

 

رئیس پلیس فضای تولید و تبادل اطلاعات اصفهان سرهنگ “ستار خسروی” بیان داشت : فردی که اقدام به هک و نفوذ غیرمجاز به سیستم های رایانه ای یکی از شرکت های فروش HOST و DOMAIN نموده بود شناسایی و دستگیر گردید .

 

به گزارش پایگاه خبری پلیس ، سرهنگ ” ستار خسروی ” رئیس پلیس فضای تولید و تبادل اطلاعات فرماندهی انتظامی استان اصفهان بیان داشت : در پی دادخواهی مدیر یکی از شرکت های فروش HOST و DOMAIN مبنی بر اینکه فرد یا افرادی با هک یوزر و پسورد وی وارد حساب  کاربری مدیریتی شده و اقدام به خرابکاری ، تغییر در داده ها و مختل کردن وب سایت های تحت پوشش نموده موضوع در دستور کار ویژه این پلیس قرار گرفت .

 

سرهنگ خسروی بیان داشت : پرونده مقدماتی تشکیل و با هماهنگی مقام قضایی تحقیقات تخصصی کارشناسان و کاراگاهان این پلیس آغاز که با بررسی های انجام شده و استخراج ادله الکترونیکی و اقدامات فنی و تخصصی نهایتاً نوجوانی ۱۴ ساله به هویت  محمد حسین . د شناسایی و دستگیرگردید .

 

سرهنگ خسروی افزود : در تحقیقات صورت گرفته متهم به بزه انتسابی اقرار و انگیزه خود را خرابکاری و خدشه دار وارد کردن به اعتبار شرکت به دلیل داشتن اختلاف با مدیر شرکت عنوان داشت .

 

رئیس پلیس فضای تولید و تبادل اطلاعات استان اصفهان توصیه نمود : سازمان ها و شرکت ها می بایست امنیت سامانه های اینترنتی  و رایانه ای خود را مورد توجه قرار داده و از رمز های ورودی قوی استفاده کنند و در بازده زمانی مناسب رمز های عبور خود را تغییر داده و همچنین آنتی ویروس ها و ضد بد افزارهای خود را باید مستمراً به روز رسانی نمایند . و در صورت بازنشستگی و یا اخراج کارکنان سریعاً دسترسی وی به سامانه و سیستم ها را قطع نموده و رمز عبور آنها را غیر فعال نمایند و در سازمان ها می بایست محدوده  دسترسی کاربران به اطلاعات و داده ها مشخص گردد و کارکنان صرفاً به اطلاعاتی دسترسی داشته باشند که در حیطه وظایف خود به آن احتیاج دارند و نه بیشتر .

 

بخش سوم : پیشگیری۱ از شنود غیر مجاز با متدلوژی امنیت۲ در فضای سایبر

 

واژه پیشگیری در فرهنگ لغت به معنای A جلوگیری کردن ، مانع سرایت شدن و پیش بینی کردن @ آمده است . ( معین ، ۱۳۶۳ ، ۹۳۳ )

 

از نظر ریشه شناسی پیشگیری به معنای پیش دستی کردن و Aبه جلوی چیزی رفتن@ و همچنین Aآگاه کردن و هشدار دادن@ است . پیشگیری یک مفهوم کلی است و مجموعه فعالیت ها و تدابیری است که از اساس ، مانع وقوع جرم و فضیلت یافتن اندیشۀ جنایی می شود و با ریشه ها و علل پیدایش جرم مبارزه می کند . ( گسن ، ۱۳۷۰ ،۱۳۳ )

 

مبحث اول : انواع پیشگیری از شنود غیرمجاز در فضای سایبر

 

پیشگیری به معنایی که گذشت ، انواعی دارد که بر حسب تحول و تکامل نظریات جرم شناسی پدیدار شده است . پیدایش و ارائه انواع و نظریات گوناگون دربارۀ پیشگیری ، مرهون رهیافت ها  و

 

نظریات گوناگونی بوده که درباره A پدیده مجرمانه@ و علل وقوع آن ارائه گشته است .

 

برای پیشگیری از جرم انواع مختلفی ذکر کرده اند که اهم آنها عبارتند از :

 

ـ پیشگیری عمومی

 

ـ پیشگیری کیفری و غیرکیفری

 

ـ پیشگیری وضعی

 

که در گفتارهایی جداگانه هریک از آنها را مورد بررسی قرار می دهیم .

 

 

 

 

 

 

 

گفتار اول : پیشگیری عمومی

 

مقابله با علل و عوامل عمومی وقوع جرم ، نظیر عوامل اجتماعی ، جغرافیایی ، اقتصادی و فرهنگی است . هریک از علل یاد شده می تواند به نوعی در پیدایش رفتارهای مجرمانه یا پرورش و رشد آنها مؤثر باشد . ( حسینی خواه و رحمتی ، ۱۳۸۹ ، ۱۲۷ )

 

در دسترسی یا شنود به اطلاعات دیگران ، از پیشگیری عمومی می توان از عوامل اجتماعی و فرهنگی استفاده نمود . و با نشان دادن قبح این سری از امور و فرهنگ سازی بین کاربران اینترنتی از روی دادن اینگونه از جرایم جلوگیری نمود  .

 

گفتار دوم : پیشگیری کیفری و غیرکیفری

 

پیشگیری کیفری با تکیه بر اثرهای اعمال کیفر ، اجرای سریع و حتمی آن سعی می نماید بر افکار عمومی جامعه تأثیر گذارند تا از ارتکاب جرایم پیشگیری گردد . از آنجا که پیشگیری کیفری اثرات محدودتری در پیشگیری از جرایم داشته است ، جرم شناسان و صاحب نظران برای پیشگیری از جرایم فعالیت های خود را به منابع غیررسمی و غیرکیفری متمرکز کرده اند . پیشگیری غیرکیفری جلوگیری از به فعل در آوردن اندیشه مجرمانه با تغییر دادن اوضاع و احوال خاصی است که یک سلسله جرم مشابه در آن بوقوع پیوسته یا ممکن است در آن اوضاع و احوال ارتکاب یابند . به عبارت دیگر ، پیشگیری غیرکیفری در صدد است علل و عوامل و ریشه های زمینه ساز بروز جرایم و بزهکاری را از طریق توجه به مسئله کنترل اجتماعی و تأثیر بر افکار مجرمانه از بین ببرد به طوری که انسان هایی پرورش یابند که از مجرمیت به دور باشند . ( حسینی خواه و رحمتی ، ۱۳۸۹ ، ۱۲۸ )

 

قانونگذار با تصویب قانون جرایم رایانه ای ، پیشگیری کیفری و پلیس فضای تولید و تبادل اطلاعات در صدد است با آگاه سازی کاربران اینترنتی و با برقراری نظارت امنیتی و آموزش های لازم ، پیشگیری غیرکیفری را در دنیای سایبر اعمال سازند .

 

گفتار سوم : پیشگیری وضعی

 

پیشگیری وضعی یا موضعی به مجموعه اقداماتی گفته می شود که در جهت تسلط بر محیط و اوضاع پیرامونی مشرف بر جرم و نیز مهار آن انجام می شود تا از این طریق ، افراد یا آماج ها را از بزه دیدگی محافظت کند . پیشگیری وضعی ریشه در بزه دیده شناسی دارد و در بزه دیده شناسی نقش بزه دیده در وقوع جرم مورد مطالعه قرار می گیرد ؛ لذا برای جلوگیری از قربانی شدن افراد جامعه از روش های پیشگیری وضعی استفاده می نمایند .

 

ژرژ پیکا پیشگیری وضعی را این گونه توصیف می کند : A پیشگیری وضعی عبارت است از اقدام به محدود کردن فرصت های ارتکاب جرم یا مشکل تر کردن تحقق این فرصت ها برای مجرمان بالقوه  @. ( پیکا ، ۱۳۷۶ ، ۴۲ )

 

که بهترین پیشگیری وضعی ، در فضای سایبر برقراری امنیت با بهره گرفتن از نرم افزار های موجود در این زمینه می باشد .

 

مبحث دوم : پیشگیری از شنود غیرمجاز با علم به مفاهیم امنیت اطلاعات

 

همانطور که می دانیم همواره پیشگیری در ارتکاب جرم مؤثرتر و سودمندتر از مبارزه و مجازات می باشد . در جرایم کامپیوتری نیز پیشگیری باید به عنوان هدف عمده هرگونه سیاست گذاری در این خصوص باشد . امنیت کامپیوتری اولین و مهمترین مانع در جلوگیری از جرم کامپیوتری است .

 

تمامی کامپیوترها از کامپیوترهای موجود در منازل تا کامپیوترهای موجود در سازمان ها و مؤسسات بزرگ ، در معرض آسیب و تهدیدات امنیتی می باشند . و همانطور که می دانیم امروزه فعالیت های گوناگونی از قبیل اطلاع رسانی ، ارائه خدمات ، مدیریت ، کنترل و ارتباطات از طریق ساز و کارهای الکترونیکی و مجازی انجام می پذیرد . بنابراین امنیت فناوری اطلاعات از سازمان های دولتی و خصوصی گرفته تا صندوقچه ی کوچک اطلاعات هر فرد در سیستم رایانه او ، که داده ها و اطلاعات حساس و محرمانه ای دارند ، می تواند مورد دستبرد قرار گیرد و اسرار را فاش سازد حائز اهمیت است . ( معاونت حفاظت و امنیت هسته ای ، ۱۳۹۰ ، ۱۶ )

 

در نتیجه با انجام تدابیر لازم و استفاده از برخی روش های ساده می توان پیشگیری لازم و اولیه ای را در خصوص ایمن سازی محیط کامپیوتری خود انجام داد .

 

علیرغم تمامی مزایا و دستاورد های اینترنت ، این شبکه عظیم به همراه فناوری های مربوطه ، دریچه هایی را در مقابل تعداد زیادی از تهدیدات امنیتی برای تمامی استفاده کنندگان گشوده  است .

 

( باری ، ۱۳۷۸ ، ۲۸ )

 

گفتار اول : تعریف امنیت اطلاعات

 

واژه « امن » یعنی بی گزند و بی آسیب و دارای آرامش . امنیت هم یعنی بی گزندی و بی آسیبی یا حالتی که در آن گزند و خطر و آسیب راه ندارد و آرامش در آن برقرار است.

 

در تعریف امنیت(Security)  می توان گفت :

 

در لغت حالت فراغت از هرگونه تهدید یا حمله و یا آمادگی برای رویارویی با هر تهدید و حمله را گویند . در اصطلاح سیاسی و حقوقی به صورت امنیت فردی ، امنیت اجتماعی ، امنیت ملی و بین المللی به کار برده می شود . ( آشوری ، ۱۳۹۱ ، ۵۲ )

 

تعاریف و توضیحاتی که در فرهنگ های لغات و واژه نامه ها برای واژه امنیت وجود دارد به مواردی اشاره دارند که با سلامتی مرتبط هستند ، نظیر” کیفیت یا حالتی از اطمینان ، آزادی از خطر و رهایی از ترس یا اضطراب ” . با این حال هیچ یک از این تعاریف نمی توانند برای توصیف دقیق امنیت در فضای سایبر بکار روند .

 

در عوض ما تعریف زیر را پیشنهاد می کنیم :

 

هنگامی در فضای سایبر ایمن هستید که دسترسی به منابع اطلاعاتی شما تحت کنترل خودتان باشد ، یعنی هیچکس بدون کسب اجازه از جانب شما قادر به دسترسی به این منابع اطلاعاتی را نداشته باشد . این منابع شامل داده ها و منابع رایانه ای ، شبکه ای ، تراکنشی ، پردازشی ، و اطلاعاتی می باشند . عناوین حریم خصوصی و محرمانگی با مسئله امنیت در ارتباط هستند .

 

اطلاعاتی که “خصوصی” بشمار می روند تنها زمانی می توانند واقعاً خصوصی بمانند که به صورت ایمن ذخیره شده باشند . برای این منظور در دنیای واقعی بگونه ای رفتار می کنیم که گویی چنین اطلاعاتی وجود خارجی ندارند . این سیاست را امنیت گمنامی می نامند . به همین ترتیب اطلاعاتی که باید به صورت محرمانه به اشتراک گذارده شوند باید برای کسانی که آنها را به اشتراک گذاشته اند به صورت ایمن باقی بمانند .

 

موقعیت هایی نظیر این مسئله در فضای سایبر نیز وجود دارد ، ولی با فرض طبیعت خاص فضای سایبر و ارتباط میان رایانه های موجود در آن ، امنیت گمنامی یا استفاده از پنهان سازی سیاستی ضعیف می نماید و باید از آن اجتناب کرد  . (www.wikipedia.org  )

 

امنیت اطلاعات به معنای واقعی یعنی با بهره گرفتن از یک سری فرایندها از دسترسی غیرمجاز به اطلاعات و یا محصولات و اعمال تغییرات یا حذف کردن آنها جلوگیری کنیم . این عمل را می توان به نحوی حفاظت از منابع موجود ، در موقعیت های مختلف ( مانند یک حمله هکری که معمولا خیلی انجام می شود ) توسط افرادی که مسئول امنیت اطلاعات هستند در نظر گرفت . امنیت اطلاعات به محرمانگی ، یکپارچگی  و در دسترس بودن داد‌ه ها مربوط است بدون در نظر گرفتن فرم اطلاعات اعم از الکترونیکی ، چاپ ، و یا اشکال دیگر.

 

محرمانگی اطلاعات و حریم خصوصی حفاظت از داده های یک سیستم است ، به شکلی که افراد غیرمجاز نتوانند به این اطلاعات دسترسی داشته باشند . به اعتقاد بسیاری از متخصصان امنیت اطلاعات این نوع حفاظت مهم ترین جنبه امنیتی برای سازمان های نظامی ، دولتی و اشخاص است که نیاز به حفاظت برنامه ها و اطلاعات خود در مقابل نفوذگران دارند . برای حفظ محرمانگی اطلاعات ، از روش های متعددی می توان استفاده کرد . یکی از پرکاربرد ترین و مناسب ترین روش ها رمزنگاری اطلاعات است . انتخاب یک الگوریتم کارآمد و امن برای رمزنگاری اطلاعات می تواند تا حد بسیار زیادی محرمانگی اطلاعات را تضمین کند .

 

( معاونت حفاظت و امنیت هسته ای ، ۱۳۹۰ ، ۳۲ )

 

گفتار دوم : وجوه کنترل امنیت اطلاعات

 

امنیت رایانه عموماً به صورت حفاظت از داده های یک سیستم در مقابل افشا سازی ، تغییر یا تخریب غیرمجاز و حفاظت از خود سیستم رایانه ای در مقابل استفاده ، دستکاری یا شنود تعریف می شود . از سوی دیگر مفهوم امنیت در مورد اطلاعات ، به صورت حفاظت از اطلاعات در مقابل آسیب یا حمله ، قابل اعتماد بودن و بی خطا بودن اطلاعات تعریف می شود . به دلیل آنکه کنترل هایی که برای تامین امنیت رایانه و اطلاعات اعمال می شود باعث ایجاد محدودیت هایی در استفاده از آن می گردد معمولا ً نیاز به برقراری توازنی بین این دو وجود دارد .

 

کنترل هایی که برای تامین امنیت اطلاعات انجام می شوند ، به سه دسته تقسیم می شوند که عبارتند از :

 

 

 

۱ . امنیت فیزیکی :

 

امنیت فیزیکی عبارت است از استفاده قفل ها ، نگهبان ها ، علایم ، وسایل اعلان خطر و ابزار های مشابه برای کنترل دسترسی به رایانه ها و تجهیزات مربوط به آنهاست . به علاوه ، تمهیداتی نیز برای حفاظت از رایانه ها و محتویات آنها در مقابل جاسوسی ، سرقت و دسترسی و تخریب آنها در اثر اتفاقاتی نظیر آتش سوزی یا بمب گذاری لازم است .

 

۲ . امنیت فنی  :

 

امنیت فنی مربوط است به استفاده از سخت افزار ، برنامه های کاربردی و سخت افزار و نرم افزار ارتباط شبکه و سایر تجهیزات .

 

این نوع کنترل ها ، به نام کنترل های منطقی نیز شناخته می شوند .

 

۳ . امنیت مدیریتی :

 

امنیت مدیریتی یا امنیت پرسنلی تشکیل می شوند از باید و نباید های مدیریتی ، روش های اجرایی عملیاتی ، روش های اجرایی رویداد نگاری ، و دیگر کنترل های مدیریتی که برای تأمین سطح قابل قبولی از حفاظت و امنیت به کار می روند . علاوه بر این ، کنترل های مدیریتی شامل روش های اجرایی هستند که برای اطمینان از مجاز بودن دسترسی تمامی پرسنلی که به منابع رایانه ای دسترسی دارند ، برقرار می شوند . مدیریت امنیت رایانه و شبکه به مرور زمان پیچیده تر می شود. ( باستانی ، ۱۳۸۳ ، ۱۱۵ )

 

گفتار سوم : ابعاد امنیت اطلاعات

 

برقراری امنیت در فضای سایبر مانند دنیای ملموس و واقعی ، به طور کامل امکان پذیر نیست . اما می توان در فضای سایبر امنیت نسبی را برقرار کرد ، فقط کافیست ابعاد امنیتی را شناخته و در حد امکان در پیاده سازی آنها کوشا باشیم . برای امنیت اطلاعات چهار بعد در نظر گرفته اند که عبارتند از :

 

 

 

 

 

  1. محرمانگی :

محرمانگی اطلاعات و حریم خصوصی حفاظت از داده های یک سیستم است ، به شکلی که ، افراد غیرمجاز نتوانند به این اطلاعات دسترسی داشته باشند . به اعتقاد بسیاری از متخصصان امنیت اطلاعات ، این نوع حفاظت مهمترین جنبۀ امنیتی برای سازمان های نظامی ، دولتی و شخصی است که نیاز به حفاظت برنامه ها و اطلاعات خود در مقابل دشمنان بالقوه دارند . برای حفظ محرمانگی اطلاعات ، از روش های متعددی می توان استفاده کرد .

 

( معاونت حفاظت و امنیت هسته ای ، ۱۳۹۰ ، ۵۲ )

 

قانون حریم خصوصی باید حفاظت و کاربرد داده ها ، حفاظت از مصرف کننده و سایر نیازهای مرتبط تجاری را در برگیرد و سیاست های سازمان در مورد بکارگیری اطلاعات را اعلام کند . اتحادیۀ اروپایی همچنان در حفاظت ازحریم خصوصی شهروندانش طبق دستورالعمل حفاظت از داده ها ( مصوب سال ۱۹۹۵ ) پیشتاز است .

 

نقض حریم خصوصی اطلاعاتی شهروندان عملاً به معنای نقض امنیت داده ها و اطلاعات آنهاست ، و هرگونه تلاش برای حمایت و رعایت این حریم ، افزایش امنیت و احساس ایمن بودن را در میان کاربران فضای مجازی موجب خواهد شد . در نتیجه ، قوانین ناظر به رعایت حریم خصوصی اطلاعاتی ، در عمل باعث حمایت از ایجاد و حفظ امنیت در فضای مجازی نیز می شوند .

 

( فیروزمنش ، ۱۳۸۸ ، ۳۲ )

 

۲ . تصدیق هویت :

 

تصدیق هویت عبارت است از تأیید شناسه یک کاربر توسط یک سیستم ، براساس ارائه اعتبارنامه های منحصر به فرد آن سیستم . اعتبارنامه های منحصر به فرد می توانند شامل سه فاکتور باشد :

 

چیزی که کاربر می داند ، چیزی که کاربر دارد ، چیزی که کاربر هست ، به ترتیب مانند رمزهای عبور ، نشانه ها و زیست سنجی .

 

تصدیق هویت زمانی استفاده می شود که به یک مکمل برای شناسایی افراد نیاز است ، یا مواقعی که نیاز به تضمین وجود دستگاه های مجاز بر روی شبکه می باشد . تصدیق هویت ، اثبات هویت مدعی ، از طرف نهاد درخواست شونده است . این نهاد لزوماً عامل انسانی نبوده است و دستگاه ها و سرویس ها و برنامه های کاربردی را نیز شامل می شود . ( معاونت حفاظت و امنیت هسته ای ، ۱۳۹۰ ،۸۴ )

 

تصدیق هویت این امکان را فراهم می کند که رایانه بداند شما چه کسی هستید . این دانایی باعث می شود که بتوان از تقلب جلوگیری کرد . معمولاً شما با یک نام کاربری و رمز عبور شناسایی می شوید ، هرچند گونه های مختلفی از این سیستم های شناسایی وجود دارد .

 

نکتۀ قابل توجه این است که باید کلماتی به عنوان رمز عبور بکار گرفته شوند که نتوان آنها را براحتی حدس زد تا مهاجمان نتوانند آنها را پیدا کنند .

 

اکثر سیستم ها برای شناسایی افراد از آنها می خواهند که بگونه ای هویت خود را احراز کنند . این مسئله می تواند با دریافت اطلاعات مختلفی انجام شود : نام کاربری ، شماره عضویت ، اسم عضو ؛ که در این مباحث عموماً از نام کاربری استفاده می شود . در بعضی سیستم ها به جای نام کاربری از آدرس پست الکترونیکی استفاده می شود . در حقیقت در این سیستم ها آدرس پست الکترونیکی به عنوان نمادی خاص از نام کاربری تلقی می گردد .

 

(George Sadowsky ، ۲۰۰۳ ، ۳۱ )

 

۳ . صحت و عدم انکار :

 

حفظ صحت به معنای حفاظت داده های سیستم در مقابل تغییرات غیرمجاز سهوی یا عمدی است . برای حفظ صحت ، برنامۀ امنیتی باید همواره اطلاعات را در حالتی که مورد انتظار کاربران سیستم است ، نگهداری کند . اگرچه برنامه ی امنیتی نمی تواند دقت داده هایی را توسط کاربران در سیستم قرار داده می شود ارزیابی کند ، اما می تواند تضمین کند که تمامی تغییراتی که توسط کاربران درخواست می شود ، به شکل صحیح روی سیستم اعمال می شود . جنبۀ دیگری از صحت ، نیاز به حفاظت از برنامه هایی است که داده های سیستم را تغییر می دهند ، تا این برنامه ها توسط افراد غیرمجاز دستکاری نشوند . ( معاونت حفاظت و امنیت هسته ای ، ۱۳۹۰ ،۳۲ )

 

 

 

 

 

۴ . دسترس پذیری :

 

اطلاعات باید زمانی که مورد نیاز توسط افراد مجاز هستند در دسترس باشند . این بدان معنی است که باید از درست کار کردن و جلوگیری از اختلال در سیستم ‌های ذخیره و پردازش اطلاعات و کانال‌ های ارتباطی مورد استفاده برای دسترسی به اطلاعات اطمینان حاصل کرد . سیستم‌ های با دسترسی بالا در همه حال حتی به علت قطع برق ، خرابی سخت افزار ، و ارتقاء سیستم ، در دسترس باقی می ماند . (George Sadowsky، ۲۰۰۳ ، ۳۴ )

 

مبحث سوم : تهدیدات امنیت اطلاعات در فضای سایبر

 

فضای سایبر ، علی رغم تمامی جنبه های مثبت دارای مجموعه ای گسترده از خطرات و تهدیدات امنیتی است که برخی از آنان بسیار جدی و مهم بوده و برخی دیگر از اهمیت کمتری برخوردار می باشند .

 

از نظر مفهومی میان ماهیت تهدیدات فضای سایبر و تهدیداتی که در دنیای واقعی وجود دارند هیچ تفاوتی نیست ، بلکه تفاوت این دو مقوله برخاسته از خصوصیات فضای الکترونیکی و تهدیدات این حوزه است که باعث می شود بتوان از بروز آنها جلوگیری کرد و آنها را خنثی ، یا شناسایی و رفع نمود .

 

قطعاً تاکنون اخبار متعددی را در خصوص سرقت اطلاعات حساس نظیر شماره کارت اعتباری و یا شیوع یک ویروس کامپیوتری شنیده اید و شاید شما نیز از جمله قربانیان این نوع حملات بوده اید . آگاهی از تهدیدات موجود و عملیات لازم به منظور حفاظت در مقابل آنان ، یکی از روش های مناسب دفاعی است . ( امیریان ، ۱۳۸۹ ، ۲۹۰ )

 

اولین مرحله به منظور حفاظت و ایمن سازی اطلاعات ، شناخت تهدیدات و آگاهی لازم در خصوص برخی مفاهیم اولیه در خصوص ایمن سازی اطلاعات است . بنابراین در این مبحث به شناخت مهمترین تهدیدات ، در فضای سایبر می پردازیم .

 

 

 

 

 

 

 

گفتار اول : تهدید و یروس های اینترنتی

 

ویروس برنامه ای است که به انتهای برنامۀ دیگر متصل می شود و یا وارد بدنۀ یک برنامۀ دیگر می گردد . وقتی آن برنامه به اجرا در می آید ، ویروس نیز اجرا می شود و نسخه های خود را وارد فایل ها یا دیسک های دیگر می کند و بدین صورت خود را تکرار می نماید ، و هنگامی که هر یک از فایل ها یا برنامه های آلوده اجرا می شوند این روند بار دیگر تکرار می گردد .

 

( GeorgeSadowsky ، ۲۰۰۳ ، ۷۰ )

 

ویروس ها از یک رایانه به رایانه دیگر منتقل می شود . اغلب ویروس ها خودشان را به فایل های اجرایی می چسبانند و برخی از آنها می توانند رکورد بوت اصلی ، کدهای اجرایی خودکار و حتی در برخی موارد دیگر ، فایل ها را هدف قرار دهند . برخی از ویروس ها برای از کار انداختن کامل رایانه طراحی شده اند ، در حالی که برخی دیگر به حذف فایل های کاربر یا آسیب رساندن به آنها کفایت می کنند . در حالت کلی ، هدف یک ویروس ویران کردن فایل و نفوذ به درون فایل ها و برنامه هاست . ( معاونت حفاظت و امنیت هسته ای ، ۱۳۹۰ ، ۱۶۴ )

 

گفتار دوم : تهدید کرم های اینترنتی

 

کرم برنامه ای است که از طریق شبکه کامپیوتری و به وسیله نفوذ در کامپیوترها به همان شیوه ای که هکر می تواند وارد آنها شود از یک کامپیوتر به کامپیوتر دیگر تکثیر شود . آنها بر خلاف ویروس ها هیچ کمکی از کاربران بی حواس نمی گیرند . آنها باید کامپیوتری را بیابند که بتوانند نفوذ کنند ، حمله ای را انجام دهند و کپی خود را برای اجرا شدن به میزبان هدف انتقال دهند . در عمل ، یک کرم به طور کامل گام هایی را که یک متجاوز به سوی کامپیوترها بر می دارد و از کامپیوتری به روی کامپیوتر بعدی می پرد به صورت خودکار انجام می دهد .

 

( ضیایی پرور ، ۱۳۸۳ ، ۲۱۴ )

 

گفتار سوم :  تهدید اسب های تروآ

 

اسب های تروآ و اجزاء وابسته به آنها تهدیداتی هستند که اصالت اطلاعات ذخیره شده در سیستم یا داده های مبادله شده در شبکه ها را به خطر می اندازد .

 

( جی . آیکاو و همکاران ، ۱۳۸۳ ، ۹۳ )

 

نام این نرم افزار از افسانۀ جنگ شهر تروآ در یونان برگرفته شده است . در آن افسانه ، یونانی ها یک اسب چوبی بزرگ را از دروازه شهر به داخل می فرستند و هنگامی که اسب وارد شهر می شود تعداد زیادی سرباز یونانی از آن خارج می شوند و شهر را به تصرف خود در می آورند . از آن زمان به بعد ” اسب تراوآ ” به معنای چیزی است که ظاهری عادی اما محتویاتی خطرناک دارد . در مفاهیم رایانه ای ، اسب تراوآ می تواند خرابی های زیادی به بار آورد و یا اعمالی غیر از آنچه که کاربر انتظار آن را دارد انجام دهد . این اصطلاح در سال های اخیر به برنامه های مخربی اطلاق می شود که معمولاً بدون اطلاع و اجازۀ کاربر وارد سیستم می شوند و به جمع آوری و ارسال اطلاعات می پردازند . (George Sadowsky  ، ۲۰۰۳ ، ۷۱ )

 

این برنامه دو قسمت دارد ؛ که یه قسمت آن به کامپیوتر قربانی ، و قسمت دیگر مدیریت سیستم است که در اختیار هکر می ماند . هکر قسمت سرور برنامه را به یک فایل ( مثلاً عکس یا یک فایل جالب ) متصل کرده و برای قربانی اتصال می نماید ، کاربر بدون اطلاع از چنین فایلی عکس را باز و اسب تروآ به کامپیوتر منتقل می شود . با ورود این فایل به درون سیستم قربانی ، هکر می تواند به وسیلۀ سرور الحاق شده به آن کنترل کامپیوتر مذکور را توسط بخش مدیریت سرور در اختیار گرفته و اطلاعات مورد نیاز خود را دریافت نماید .

 

اطلاعاتی که توسط یک برنامه تروآ قادر به دریافت است می تواند از کلمۀ رمز برنامه های مختلف موجود در کامپیوتر قربانی باشد تا شمارۀ رمز کارت اعتباری . ( امیریان ، ۱۳۸۹ ، ۲۹۳ )

 

نرم افزار های مخرب مذکور می توانند اطلاعاتی در مورد رایانۀ شما و فایل های موجود در آن بدست آورند و این اطلاعات را در اختیار نویسنده خود قرار دهند . این برنامه ها می توانند همه فایل های رایانه شما ( حتی فایل های رمزگذاری شده ) را بخوانند . اگر اطلاعات حساب بانکی یا کارت های اعتباری خود را در رایانه ذخیره می کنید ممکن است این داده ها مورد علاقۀ نفوذگران باشند . اگر از امضای خود در رایانه تصویری تهیه کرده باشید تا از آن در چاپ و یا ارسال نامه ها استفاده کنید ، آن هم ممکن است بکار مهاجمان بیاید . جمع آوری این بسته های اطلاعاتی در کنار هم می تواند برای مهاجم این امکان را بوجود آورد که بتواند از هویت شما سوء استفاده کند .

 

(George Sadowsky ، ۲۰۰۳ ، ۷۳ )

 

دستیابی و استفاده از داده های حساس توسط افراد غیرمجاز مهمترین تهدید امنیتی در حال حاضر است که می بایست همواره نسبت به آن حساسیت خاصی داشت . بنابراین تنها راه حفاظت از داده های محرمانه ، استفاده از روش هایی برای ارتقاء امنیت اطلاعات می باشد که در مبحث بعدی به معرفی مهمترین و پرکاربردترین آنها می پردازیم .

 

مبحث چهارم : روش های برقراری امنیت در فضای تبادل اطلاعات

 

داده ها و یا اطلاعات دارای نقشی اساسی در عصر حاضر می باشند . اهمیت این موضوع به حدی است که عصر حاضر را عصر اطلاعات نامیده اند . کامپیوتر نیز در این هنگامه توانسته است با توجه به توان بالای پردازش ، سرعت مطلوب در امر ذخیره و بازیابی اطلاعات نقشی محوری و تعیین کننده را بر عهده بگیرد . صیانت از اطلاعات حساس موجود بر روی هر کامپیوتر وظیفه ای مهم برای هر کاربر کامپیوتر است . با کمی صبر و حوصله و دانش اندکی نسبت به کامپیوتر می توان تمهیدات امنیتی لازم در این خصوص را اندیشید و پیشگیری لازم را انجام داد ، چراکه همۀ ما می دانیم پیشگیری بهتر از درمان است .

 

در این مبحث به مهمترین روش های برقراری امنیت در فضای تبادل اطلاعات می پردازیم .

 

گفتار اول : رمزنگاری اطلاعات

 

رمزنگاری علم کدها و رمزهاست . یک هنر قدیمی است و برای قرن ها به منظور محافظت از پیغام هایی که بین فرماندهان ، جاسوسان ، عشاق و دیگران رد و بدل می شده ، استفاده شده است تا پیغام های آنها محرمانه بماند . هنگامی که با امنیت دیتا سر وکار داریم ، نیاز به اثبات هویت فرستنده و گیرنده پیغام داریم و در ضمن باید از عدم تغییر محتوای پیغام مطمئن شویم . این سه موضوع یعنی محرمانگی ، تصدیق هویت و جامعیت در قلب امنیت ارتباطات دیتای مدرن قرار دارند .

 

اغلب این مسأله باید تضمین شود که یک پیغام فقط می تواند توسط کسانی خوانده شود که پیغام برای آنها ارسال شده است و دیگران این اجازه را ندارند . روشی که تامین کننده این مسأله باشد “رمزنگاری” نام دارد . رمزنگاری هنر نوشتن به صورت رمز است به طوری که هیچکس بغیر از دریافت کننده موردنظر نتواند محتوای پیغام را بخواند . ( امیریان ، ۱۳۸۹ ، ۲۳۰ )

 

رمزنگاری داده ها به ویژه در شبکه های رایانه ای ضرورت دارد . در شیوه های رمزنگاری قدیمی قبل از ارسال اطلاعات از کلید رمز جهت رمز نمودن اطلاعات استفاده می شده است و رمزگشایی یا کشف این اطلاعات نیز تنها با بهره گرفتن از همان کلید رمز ممکن بود . در شیوه های رمزنگاری عصر جدید از دو کلید جهت رمزنگاری و کشف رمز یک پیام استفاده می شود . در این روش ها حتی امکان امضاء پیام نیز فراهم شده تا گیرنده پیام از هویت فرستنده آن مطلع شود .

 

رمزنگاری به صورت معمول در سازمان های نظامی ، سرویس های اطلاعاتی و ادارات پلیس کاربرد داشته است . بیشترین کاربرد رمزنگاری در حال حاضر در بخش خصوصی و توسط مردم عادی است ، سهولت دسترسی به برنامه های رمزنگاری دلیل عمده این موضوع بوده است .

 

( جی . آیکاو و همکاران ، ۱۳۸۳ ، ۲۰۹ )

 

رمزنگاری موضوع پیچیده ای است و امکان بررسی تمامی جوانب آن در این بحث امکان پذیر نبود ولی هدف ، آشنایی کاربران با رایج ترین شیوه حفظ امنیت اطلاعات است .

 

گفتار دوم : امنیت اطلاعات با دیوارۀ آتشین۱

 

یکی از شیوه های مؤثر حفاظت اطلاعات در مقابل نفوذ افراد غیرمجاز و فرصت طلب طراحی و نصب دیواره آتشین می باشد . البته این فناوری مانع دسترسی کاربران به خدمات اینترنت نمی شود و دیوارۀ آتشین باید پیکره بندی ، نصب و به دقت مراقبت شود تا مؤثر واقع گردد .

 

دیواره آتشین یک روش نرم افزاری یا سخت افزاری است که بر کلیه ارتباطات شبکه اعم از ارتباطات بین شبکه داخلی و اینترنت یا بالعکس نظارت می کند . سخت افزار یا نرم افزاری که دیواره آتشین را تشکیل می دهد اطلاعات و داده های در حال تبادل شبکه را بررسی و مبادله اطلاعات اعم از پست الکترونیکی ، انتقال فایل ها ، ورود در سیستم از راه دور و سایر عملیات مشابه را مجاز یا متوقف می نماید . ( جی . آیکاو و همکاران ، ۱۳۸۳ ، ۲۱۱ )

 

ایجاد برقراری امنیت در حفظ اطلاعات متفاوت است . همانطوری که ما اجرای پروژه ها را مشخص می نمایم باید سطوح امنیت را نیز مشخص کنیم تا بنوانیم آن را پیاده سازی نمایم ، و این تنها روش برای موفقت در پیاده سازی مکانیسم های امنیت است . دیواره آتشین علاوه بر اینکه امنیت واقعی را برقرار می کند یک نقش اساسی در مدیریت امنیت را پوشش می دهد .

 

گفتار سوم : ظرف عسل حامی امنیت اطلاعات

 

با گذشت سال ها تعداد هکرها و نفوذ کنندگان به سرورها و شبکه های گسترده اینترنتی افزایش یافت و هر روز اطلاعات بسیار ارزشمندی از قبیل شماره های حساب بانکی ،  شماره های کاربری و پسوردها در دسترس هکرها قرار می گرفت و خسارت های بسیار زیادی از نظر مالی و اعتباری به شرکت های کوچک و بزرگ و افراد زده می شد . حتی دسترسی به اطلاعات کوچک گاهی بزرگترین خسارت ها را وارد می کرد . بنابراین دانشمندان و برنامه نویسان چیره دست سریع دست به کار شدند تا بتوانند سدی در مقابل اینگونه حملات باشند ، و یا به نوعی نفوذ کنندگان را منحرف کنند .

 

بهترین طعمه برای فریب دادن نفوذکنندگان ، اطلاعات نادرست و گمراه کننده بود . پس برنامه نویسان و دانشمندان بعد از چندی تلاش توانستند برنامه ای به نام ظرف عسل تولید کنند .

 

( سلطانی ، ۱۳۸۸ ، ۱۵ )

 

ظرف عسل بر روی سیستم رایانه متصل به شبکه و اینترنت به طور عمد قرار می گیرد ( شامل اطلاعات کاذب ) تا بتواند به عنوان یک تله عمل کرده و مورد تهاجم یک نفوذگر قرار گیرد . هنگامی که یک نفوذگر یک ظرف عسل را شناسایی می کند مدت زمانی را صرف شناسایی و سوء استفاده و آسیب پذیری به آن می کند . در طول این مدت می توان فعالیت های نفوذگر را به منظور شناسایی رفتارها و تکنیک های او بررسی کرد . بعد از شناسایی تکنیک ها می توان از این اطلاعات برای افزایش امنیت سرورهای واقعی استفاده نمود . ( معاونت حفاظت و امنیت هسته ای ، ۱۳۹۰ ، ۲۴۱ )

 

این هم تکنیک جالب ظرف عسل و حفاظت آن از داده ها و اطلاعات ذخیره شده با روش خود نفوذگران سیستم های رایانه ای .

 

و در سخن آخر بهتر است بدانیم :

 

در وهلۀ اول امنیت یک هنر است نه یک علم و در وهلۀ دوم در ایمن سازی رایانه ها و شبکه ها هیچ تضمین صد در صدی وجود ندارد ، چراکه همیشه نقایص تازه و راه های جدید نفوذ و فرصت های نو برای ایجاد مشکل که خود ناشی از خطاهای انسانی است وجود خواهد داشت . اما اگر مطالعه دقیقی انجام بگیرد و از تجارب موفق امنیتی استفاده شود می توان در عملکرد سیستم ، امنیت لازم را بوجود آورد .

 

۱.Interception

 

    1. ۱. Optic Cable

 

  1. ۱. Prevention

۲ . Security Methodology

 

  1. ۱. Firewall
موضوعات: بدون موضوع  لینک ثابت


فرم در حال بارگذاری ...