IT: تکنولوژی اطلاعات

یکی از مشکلاتی که میتونه مانع یادگیری برنامه نویسی بشه،نبود یک لابراتوار و یک منبع قوی و مهم تر از همه استاندارد باشه.در این جهت قصد دارم تا شما رو با یکی از بهترین وبسایتهای موجود در این زمینه آشنا کنم.
وبسایت THE WORLD'S LARGEST WEB DEVELOPER SITE
میتونید با وارد شدن به این سایت از کلیه امکانات اون مانند کار با زبانهای برنامه نویسی HTML CSS JAVASCRIPT SQL PHP به صورت سناریو محور و آنلاین استفاده کنید.

همونطور که در تصویر بالا میبینید یک سری کدهای از پیش تعریف شده ای رو در اختیار کاربر میذاره که کاربر در نهایت به صورت آنی بتونه کدها رو تغییر بده و نتیجه تغییرات رو در سمت دیگر ببینه.

در سمت چپ صفحه source اصلی و در سمت راست صفحه نتایج حاصل از تغییرات رو میتونیم ببینیم.

همینطور یک سری QUERY های خیلی جالبی رو داره که در اختیار کاربر میزاره که از نزدیک باهاشون کار کنه و در نهایت درک بهتری از برنامه نویسی در اختیار کاربر قرار میده.

امیدوارم این مطلب مفید بوده باشه

منبع : http://links.itpro.ir

یکی از مواردی که معمولا ما ITPRO ها به دنبال آن هستیم شناسایی ایده های جدید است ، اگر مهندس احمدی در مقاله خود در خصوص کهنه بودن یا تکراری بودن برخی ایده هایی که در استارت آپ های ایران مطرح می شود صحبت می کند دلیلش کاملا مشخص است ، ایده قبلا وجود داشته اشت و پیاده سازی شده است ، یا نمونه خارجی یا نمونه داخلی موفقی داشته اشت. اما از کجا می توانیم نسبت به ایده های افراد دید پیدا کنیم؟ امروز می خواهیم به شما وب سایتی که بیش از 6 هزار سرمایه گذار و برنامه نویس را در خودش جا داده است که ایده های بسیار زیادی را به اشتراک گذاشته اند را به شما معرفی کنیم. وب سایت www.ideaswatch.com را می توان به عنوان بزرگترین مرجع معرفی ایده های استارت آپی در دنیا معرفی کرد ، بیش از 1000 عدد ایده که به صورت رایگان در معرض دید همگان قرار گرفته اند و شما می توانید با مشاهده آنها و توضیحات خلاصه ای که در خصوص آنها داده شده است ذهن خودتان را خلاق تر کنید.

 

(MTBF (Mean time between Failures و (MTTR (Mean time to Repair

 

اين شاخص ها نشان مي دهند به طور متوسط دستگاه چند ساعت مي تواند سالم (Up time) كار كند (بدون خرابي) و زمان تعمير بر روي تجهيز به طور متوسط (Down time) چند ساعت است.

 

متوسط زمان سالم كار كردن دستگاه (MTBF) شاخصي مثبت است، به عبارتي ما در نت به دنبال افزايش اين زمان يا شاخص هستيم و متوسط زمان تعمير دستگاه (MTTR) شاخصي منفي است، به عبارتي ما در نت به دنبال روش هايي هستيم كه بتواند ساعات تعمير روي دستگاه را كاهش دهد.

1-       MTTR

براي اينكه متوسط زمان تعمير بر روي تجهيز را محاسبه كنيم بايد مجموع زمان هاي تعمير روي دستگاه را در يك بازه زماني خاصي بر تعداد خرابي در همان بازه زماني تقسيم كنيم

2-       MTBF 

براي اينكه متوسط زمان سالم كار كردن تجهيز را محاسبه كنيم بايد مجموع زمان هاي سالم بودن دستگاه را در يك بازه زماني خاص بر تعداد خرابي در همان بازه زماني تقسيم كنيم .MTTF برگرفته از حروف اول عبارت mean time to failure است و به معنای متوسط زمانی است که یک قطعه یا دستگاه پس از شروع به کار، به اولین خرابی خود می‌رسد. این خرابی به گونه‌ای است که دستگاه دیگر قادر به ادامه فعالیت عادی خود نیست. مثلا اتمام جوهر چاپگر، خرابی محسوب نمی‌شود.
زیرا با شارژ کارتریج، چاپگر قادر به ادامه کار خواهد بود. تنها ابزار کار آن به اتمام رسیده است، اما سوختن یک IC برد مربوط به دیسک سخت یا مادربرد یا سوختن CPU یک خرابی به شمار می‌رود. زمان MTTF را معمولا به ساعت یا هزار ساعت تخمین می‌زنند و معمولا در مشخصات قطعات آن را ذکر می‌کنند. اگر MTTF قطعه‌ای صد هزار ساعت اعلام شد، به این معناست که انتظار می‌رود به طور میانگین بعد از گذشت این مدت زمان، اولین خرابی منجر به توقف کارکرد در قطعه رخ دهد. در اینجا اشاره به دو نکته ضروری است.
یکی این که این زمان صرفا یک تضمین است. هیچ تضمینی وجود ندارد که قطعه بعد از چند ساعت از شروع فعالیت خراب نشود یا حتما بعد از صد هزار ساعت قطعه خراب نخواهدشد و شاید خیلی بیش از آن نیز دوام داشته باشد.
مساله دیگر آن است که زمان اعلام شده، زمان فعالیت قطعه است. مثلا صد هزار ساعت حدود 11 سال و 5 ماه است. اگر روزی 8 ساعت از قطعه استفاده شود این زمان به 3 برابر یعنی چیزی حدود 34 سال افزایش خواهد یافت. زیرا قطعه 24 ساعته در حال فعالیت نبوده است.
قطعات ثابت مثل RAM ،CPU و ... MTTF بسیار بالاتری نسبت به دستگاه‌هایی چون دیسک‌های سخت و درایوهای نوری دارند که فعالیت مکانیکی در آنها به چشم می‌خورد. ضمنا اگر قرار باشد MTTF یک سیستم کامل رایانه‌ای تعیین شود، با توجه به کمترین MTTF تعیین می‌شود. چون در صورت خرابی هر کدام از قطعه‌ها، در واقع به اولین خرابی کل سیستم رسیده‌ایم که این خرابی در قطعات با MTTF کمتر محتمل‌تر است. از MTTF بیشتر برای تضمین قابلیت اطمینان قطعات غیرقابل تعمیر همچون CPU استفاده می‌شود، اما برای قطعات قابل تعمیر اغلب از MTBF استفاده می‌شود.

این عبارت که برگرفته از حروف اول Mean time between failures است و از نظر زمانی از MTTF بیشتر است و گاهی به جای MTTF در مشخصات قطعه‌ها (حتی غیرقابل تعمیر) ذکر می‌شود. MTBF میانگین زمان‌های بین دو خرابی قطعه در بین تعمیرات آن است. به عنوان مثال اگر یک قطعه در طول 450 هزار ساعت، 3 بار خراب شود در آن صورت MTBF آن 150‌هزار ساعت خواهد بود.
توجه داشته باشید که همانند MTTF ، خرابی به آن مفهوم است که دستگاه قادر به ادامه کار نباشد. اما در اینجا با تعمیر، دستگاه را به ادامه فعالیت وادار می‌کنیم. مثلا در صورت سوختن یک IC از درایونوری می‌‌توان با تعویض آن با نمونه سالم آن IC ، دستگاه را تعمیر کرد. این معیارها برای ارزیابی قابلیت اطمینان و قابلیت نگهداری یک قطعه، دستگاه یا سیستم مطرح می‌شوند.

طریقه تخمین‌:
این که می‌گوییم MTBF یک دستگاه مثلا 150 هزار ساعت است به این معنا نیست که 150 هزار ساعت یک نمونه از دستگاه تست شده است. بلکه با توجه به سوابق پیشین یک قطعه مشابه و نیز آزمایش‌های مختلف روی چند نمونه از قطعه، تحت شرایط خاص (دمای بالا، فشار بالا و...) می‌توان به تخمین نهایی دست یافت

 

شاخص MTTR را شاخص قابليت تعمير Maintainability و شاخص MTBF را شاخص قابليت اطمينان Reliability مي نامند.

نكته:

 شاخص هاي MTTR و MTBF وضعيت دستگاه را در حالت سالم و خراب (صفرو يك) مورد بررسي قرار مي دهند، اين شاخص ها عملكرد دستگاه را در زمان سالم بودن با جزئيات بررسي نمي كنند.

 

در ادامه يك مقاله كامل و جامع بزبان انگليسي ارائه ميگردد:

 

Maximizing Web Server Availability

By John W. Graham (March 2002)

Downtime is costly. Not only does it frustrate business users and end users who expect Web servers to be constantly available, but it also results in lost productivity and possible lost revenue. Damages are not limited to financial costs-downtime can harm company reputation, erode customer loyalty, and strain relationships with suppliers, channel partners, business partners, banks, and employees.

Downtime costs can be divided into three categories: hard costs, semi-hard costs, and soft costs. Hard costs are attributed to the hardware, software, and IT staff time and resources required to remedy an outage situation; semi-hard costs include lost business or transaction time during an outage; and soft costs include items such as lost end-user productivity, public relations damage control, public confidence, and lost business opportunities. Quantifying semi-hard costs and soft costs is difficult, but not doing so significantly understates the actual cost of downtime.

Web server administrators can minimize downtime by increasing system availability (see Figure 1 ). Systems achieve high availability when the number of failures and the time required to recover from failure decrease. To determine the best method for decreasing these factors, administrators should collect and analyze the availability data for their particular systems to determine what areas are most vulnerable to failure.

 

 

The costs associated with downtime should determine what level of availability is necessary for your business. For example, a five-person company might be able to tolerate some downtime and experience little cost from it. Conversely, downtime is unacceptable for a financial or online business and the higher the availability, the better.

Measuring availability and reliability

Although no de facto industry standard exists for calculating availability, mean time to failure (MTTF) and mean time to recovery (MTTR) are the metrics most commonly cited.

MTTF measures the average amount of time between failures, where failure is defined as a departure from acceptable service of an application, a computer system (or one of its components), or the network system connecting computer systems.

MTTR measures the average amount of time required to repair a failed system.

Availability is the ratio of the time a system is actually available to the time it should have been available. This ratio is calculated using both MTTF and MTTR:

Availability = MTTF / (MTTF + MTTR)

For example, if a Web server fails once in six months and it takes 20 minutes to restore the service after the failure, then the Web server availability is:

6 months / (6 months + 20 minutes) x 100 = 99.92%

Because a system with a nominal failure rate but zero recovery time is indistinguishable from one with zero failures, administrators can improve availability by increasing MTTF, reducing MTTR, or both.

 

 

After establishing an availability baseline, administrators should compare, categorize, and rank the data to determine current availability and downtime causes. Administrators can disregard planned downtime but should analyze unplanned downtime, categorizing it by failure source (such as software, network, or security) and calculating the total unplanned downtime for each category. The results should reveal which areas need the most attention in terms of increasing availability.

Downtime: Planned and unplanned

Planned downtime occurs when a system must be shut down for maintenance, repair, upgrade, or any other planned event. Unplanned downtime results from a failure, which may be one or more of the following:

Software.  A misconfigured or outdated operating system (OS), third-party drivers, system software, applications, or applications residing on Microsoft® Internet Information Services (IIS) such as HTML, Microsoft Active ServerTM  Pages (ASP), or XML (Extensible Markup Language) can cause software failure. Subtle incompatibilities between applications, programming errors in applications, and programming errors in the underlying software of a database, file system, or OS also can cause software failure. Hardware.  Hardware component failure can cause a server to become unavailable. In rare cases, a cascading effect occurs, causing other hardware components to fail and an outage to occur. Security.  Security issues can cause server failure or denial of service. Configuration.  Poor configuration in parts of the system, such as in the hardware or OS, can cause a server to become unavailable. Network.  Any configuration, modification, bottleneck, or outage within the network can cause a server to become unavailable. Operations.  Any operational action, such as a modification, or an omission, such as a failure to respond to an issue, can cause server downtime. Environment.  Any natural disaster or external incident can cause loss of service. Power.  Any instance of a power failure in which the uninterruptible power supply (UPS) does not function properly will likely result in downtime. Unknown.  In some instances, it may not be possible to identify the root cause of an outage.

Methods for reducing unplanned downtime

To reduce unplanned downtime, administrators must improve availability. Sufficient failover and planned escalation processes can decrease MTTR; proper testing, configuration, and monitoring can minimize the chance of failure and maximize MTTF.

Tested and certified configurations. Software and OS failures often occur because of improperly configured systems, failure to adhere to standard configurations, or use of third-party drivers and software. To avoid such failures, Web server administrators should use tested, certified configurations for their systems.

Load balancing and traffic management. Microsoft Network Load Balancing (NLB) or traffic management devices such as the Dell^®  PowerApp.BIG-IP help administrators manage high-availability Web sites. These load-balancing devices can significantly increase the overall uptime of a site by routing users to available Web servers. Administrators can remove failed or unavailable servers from the cluster so that the Web site remains highly available even when individual servers are not.

Hot spares. Keeping hot or warm spares in a convenient location—so administrators can quickly swap them with the failed server—dramatically reduces MTTR. Administrators can then analyze the failed server in a controlled, detailed manner to determine the root cause of failure.

Proactive hardware management. Because hardware follows a predictable life cycle, administrators can identify when particular hardware components are about to enter "fail mode." Scheduling planned downtime to replace parts prior to failure helps to minimize MTTR. Administrators also can avert the cascade effect, in which one hardware problem leads to another, through aggressive, well-defined responses to monitoring alerts.

Limiting system modifications. Web server environments present increased risks for downtime because Web pages and content are often updated multiple times a day. The number of modifications made to a stable, working production system is directly proportional to the probability that the system will fail. Limiting the number of system changes ensures fewer failures and higher availability.

Service Level Agreement. A Service Level Agreement (SLA) between a product vendor and a company can minimize MTTR. The company chooses which level of support is required for its system and the vendor guarantees swift repair and recovery within a specific time period. Larger IT departments in some businesses often provide SLAs to other departments within the company. When IT departments offer SLAs, they are likely to have contingency plans and escalation procedures in place.

Formal change and control processes. Administrators can help to prevent failure through tight operational procedures including regular, complete backups and avoidance of unnecessary changes to systems, applications, and network configurations. Stringent processes, such as documentation and trouble tickets, also provide a record of previous problems so that administrators can predict future problems and recovery times.

Running ASP applications out-of-process (IIS 5.0). Microsoft IIS 5.0 has added out-of-process application pooling to allow the configuration of several ASP applications outside the Inetinfo.exe process space but within a single Microsoft Transaction Server (MTS)/ASP subsystem. (In IIS 4.0, each out-of-process application required its own MTS and ASP subsystem running—one for each instance.)

IIS 5.0 can run ASP applications out of process with reduced memory and reduced processor usage while still retaining crash protection for IIS. For example, if a poorly written, out-of-process ASP application causes a failure, the Inetinfo.exe process will keep running and IIS will not crash. This crash protection allows the server to maintain high availability.

Minimizing downtime to maximize performance

Reliability and availability data provide a map to determine where a system might fail and how failure responses help or hinder recovery. Building recovery and availability plans based on this data can prevent Web server downtime from ruining site performance and business relationships.

John W. Graham (john_graham@dell.com), a product marketing manager in the Enterprise Systems Group at Dell, has worked on projects such as the PowerApp.web product line and Application Center 2000. Prior to Dell, he worked at Microsoft on the Windows^®  2000 Advanced Server. John has degrees in Computer Information Science and Law and Society.

For more information

Contingency Planning Research, Inc.: http://www.contingencyplanningresearch.com

DataPro. "High Availability: An overview." 1998

"Deploying Microsoft Windows NT Server for High Availability." Redmond, WA: Microsoft Corporation, 1998

EverGreen Data Continuity, Inc.: http://www.evergreen-data.com

Garzia, Mario. "Microsoft IT Showcase High Availability SQL Server Platform Engineering." Redmond, WA: Microsoft Corporation, 1999

Tippet, Peter. "Security for the CXO." Information Security. March 2001 http://www.infosecuritymag.com/articles/march01/columns_executive_view.shtml

منبع: http://www.dell.com/content/topics/global.aspx/power/en/ps1q02_graham?c=us&l=en 

عنـوان پژوهش :  تجزيه و تحليل فرآيندهاي شركت ایران پارس  مبتني بر روش PBSA

استـاد ارجمنـد : جناب دکتر محمود البرزي

تهيـه و تنظيـم : هومن عزيزي  910864861

  ( دانشجوب کارشناسی ارشد مديريت فناوري اطلاعات - گرايش مديريت منابع اطلاعاتي )

دانلود

_{از جمله مباحث مهم و حیاتی که در دهه های اخیر مورد توجه و اقبال گسترده و روز افزون سازمانها در عرصه کسب و کار قرار گرفته مدیریت دانش و اندازه گیری سرمایه های فکری سازمانهاست. آگاهی مدیران از ارزش سرمایه های فکری ، ذهن آنها را متوجه راههای آزادسازی این ظرفیت ها و توانایی های پرقدرت کرده است بطوریکه در سالهای اخیر دانش سازمانی منبع عمده کسب مزیت رقابتی پایدار شناخته شده است . از همین رو شرکتهای مختلف شروع به پیاده سازی  مدیریت دانش را در سازمان خود کرده اند و شرکتهای بیمه و موسسات مالی ترازنامه سالیانه خود را به دو قسمت تقسیم نمود. ترازنامه مالی و ترازنامه دانشی که بر اساس این ترازنامه ارزش مسائلی همچون " سرمایه فکری " ،"تجارب نهادینه شده"، "تکنولوژی  سازمانی " ، " ارتباط با مشتری " ، " مهارتهای حرفه ای " اندازه گیری و سنجش میشود و بر این اساس است که بانک حهانی در بیانیه خود در سال 1998 آورده است که :  امروزه دانش مهمترین تعیین کننده استاندارد زندگی است بطوریکه در کشورهای پیشرو در اقتصاد جهانی ، موازنه بین منابع و دانش از اولویت منابع به اولویت دانش تغییر می یابد . امروزه اقتصادهای توسعه یافته مبتنی بر تکنولوژی واقعاٌ و در عمل دانش محور هستند " .}

در جدول زیر سه دسته از شاخص های اندازه گیری در سازمان شامل شاخص های اندازه گیری گروه منابع انسانی ، گروه رابطه ای و گروه ساختاری ذکر شده است.

سرمایه انسانی  :

جابجایی کارکنان / صف / ستاد / متخصص
چرخش شغلی داخلی
درآمد/ کارمند (سرانه درآمد)
درصد بودجه آموزشی از کل بودجه 
دوره های آموزش برگزار شده در سطوح مختلف سازمانی 
دوره های آموزشی گواهی صادر شده
ساعات آموزشی
سود / کارمند (سرانه سود)
شاخص رضایتمندی کارکنان
صرفه جویی ها / پیشنهادهای بکار گرفته شده کارکنان
کارکنان ارتقا یافته / کل کارکنان
کارکنان پاره وقت (ساعتی)
کارکنان ستادی /  کارکنان صف
کارکنان ستادی / کل کارکنان
کارکنان صفی / کل کارکنان
کارمندان  استانی/ کل کارکنان
کل آمار مربوط به تحصیلات
مدیران ستادی
نرخ داوطلبان استخدام به استخدام
نسبت کارکنان/ مدیران
هزینه آموزش /  حقوق هر کارمند
هزینه آموزش / هزینه اجرایی
هزینه های اجرایی به ازای هر کارمند

سرمایه رابطه ای

 تعداد ارتباط با سرمایه گذاران 
اشتراک در خبرنامه ها و مجلات تخصصی
انتشارات بانک
پایگاه مشتریان پرسود
تعداد حضور در کنفرانسها و سمینارها
تعداد مشتریان
تعداد مشتریان از دست داده / تعداد مشتریان وفادار
تعداد مشتریان جدید/ بازار جدید/ذینفعان جدید
توزیع فروش
ثبات مشتری ( میانگین سالهای همکاری مشتریان)
حضور در رسانه ها
درصد خدمات جدید در سبد خدمات بانک
درصد درآمد ناشی از بخش های مختلف اقتصادی 
رتبه بندی مشتری (الف و ب و ج )
سخنرانی در کنفرانس های علمی
هزینه تبلیغات به ازای هر مشتری
سرمایه گذاری در توسعه بازارهای جدید
سهم بازار
شاخص رضایت/ وفاداری مشتری
فروش (درامد) سالیانه / مشتریان
کشورهایی که در آنها بانک شعبه دارد
مشتریان / کارکنان
مشتریان عمومی/خصوصی و نیمه عمومی
مقالات چاپ شده توسط کارکنان بانک در مجلات تخصصی
منابع به ازای هر مشتری
میانگین اندازه مشتری
میانگین زمان ارتباط مشتریان با بانک
میانگین سن/ تحصیلات /درآمد مشتریان
نقاط فروش
هزینه پشتیبانی / مشتری / سال 
هزینه توسعه کسب و کار/ هزینه های اجرایی
پایان نامه های دانشجویی نظارت شده
تعداد شعبات بانک
رخدادهایی به میزبانی بانک
کارکنان با ماموریتهای آموزشی بیرون از بانک

 سرمایه ساختاری

 هزینه تحقیقاتی و پژوهشی 
آشنایی کارمندان با فناوری اطلاعات
اعتبارنامه ها و گواهینامه ها
بازدیدهای تحقیقاتی از سایر سازمانها
تراکنش های بدون اشتباه
تعداد بازید از وب سایت بانک
تعداد پایگاههای داده ای که بانک به ان دسترسی دارد
تعداد خدمات / خدمات جدید
تغییر موجودی فناوری اطلاعات
خدمات IT (بانکداری الکترونیک)
درصد پروژه های بهبود دهنده ساختار
رایانه به ازای هر کارمند
سرمایه گذاری در داراییهای ثابت و تجهیزات اداری
سرمایه گذاری در فناوری اطلاعات ، تجهیزات رایانه ای
سرمایه گذاری فناوری اطلاعات / کارمند خدمات و پشتیبانی
سرمایه گذاری فناوری اطلاعات به ازای هر کارمند صف 
ظرفیت فناوری اطلاعات به ازای هر کارمند
فضای اداری
موجودی فناوری اطلاعات بلا استفاده / موجودی فناوری اطلاعات
موجودی فناوری اطلاعات قطع شده / موجودی فناوری اطلاعات
هزینه آموزش فناوری اطلاعات / هزینه فناوری اطلاعات
هزینه تحقیق و توسعه / هزینه اجرایی
هزینه توسعه فناوری اطلاعات / هزینه فناوری اطلاعات
هزینه فناوری اطلاعات به ازای هر کارمند
هزینه فناوری اطلاعات به ازای هزینه اجرایی
هزینه نوسازی / هزینه عملیاتی

نگرشي جامع بر تاثير فناوري اطلاعات بر سازمانهاي الكترونيك محور

تأثیر سیستم های اتوماسیون بر ارتباطات سازمانی

ارتباطات سازمانی، همواره از مباحث عمده و مورد توجه در سازمان‌ها بوده است. یکی از پرکاربردترین انواع سیستم‌های اطلاعاتی که مدیران را در کنترل گردش اطلاعات در سازمان یاری می‌دهد، سیستم اتوماسیون اداری (OFFICE AUTOMATIONS SYSTEM) است. در این سیستم، عموما گردش مکاتبات اداری در سازمان مورد توجه قرار می‌گیرد. ولی معمولا دارای ابزارهای ارتباطی متعددی همچون ارسال و دریافت نامه‌ها و دستورالعمل‌ها، ارسال و دریافت پیام‌های شخصی و فوری، ارسال و دریافت نامه‌های الکترونیکی داخلی و ... است.

دراواخر دهه 1980، نتایج یک بررسی در یک دوره 10 ساله بر روی بهره‌وری سازمان‌ها در ابعاد مختلف نشان داد که علیرغم رشد 90 درصدی بهره‌وری در حوزه صنعت، بهره‌وری در بخش امور دفتری، تنها 4 درصد رشد داشته است. این در حالی بود که در همین دوره، هزینه‌های امور دفتری از حدود 30-20 درصد به رقمی حدود 40-30 درصد از کل هزینه‌های سازمان افزایش یافته بود.نتایج این تحقیق و تحقیقات مشابه نشان داد که در حالی که افزایش بهره‌وری در حوزه‌های مختلف سازمانی به طور روز افزون مورد توجه قرار گرفته و ارتقا یافته است، لکن بهره‌وری در حوزه امور دفتری مورد بی‌توجهی واقع شده است. از این زمان بود که ارائه سیستم‌های اطلاعاتی تسهیل کننده امور دفتری و ارتباطات روزمره، مورد توجه قرار گرفت.

مزایا و کاربردهای اتوماسیون اداری

در مجموع از نتایج به دست آمده مشخص شد که اتوماسیون اداری ارتباطات رسمی و مراودات دفتری را بسیار تسهیل نموده است، ولی در مورد ارتباطات غیر رسمی و شخصی افراد تأثیر چندانی نداشته است. همچنین این سیستم در زمینه پیش‌گیری از برخی برخوردها و ارتباطات منفی و غیرضروری در سازمان، نقش مثبتی ایفا می‌کند.بنابراين ايجاد فرهنگ اتوماسيون اداري در سازمانها يك مديريت خاص را مي طلبد.نوع رفتار مديران ارشد و الگوي حيات اداري سازمان مي تواند نقش يك Template بسيار قوي را براي كاربران ايجاد نمايد.

تأثیر فناوری اطلاعات بر مدیریت کیفیت جامع

فناوری اطلاعات (IT) و مدیریت کیفیت جامع (TQM) ، تأثیر مهمی بر عملکرد شرکتها دارند و هر یک به‌صورت گسترده مورد مطالعه قرار گرفته اند. با وجود این، مطالعات اندکی درباره ارتباط بین این دو و به‌ویژه تأثیری که فناوری اطلاعات بر روی مدیریت کیفیت جامع خواهد داشت، انجام شده است. توسعة استفاده از فناوری اطلاعات، جنبه های مختلف مدیریت کیفیت جامع را تحت تأثیر قرار داده و به عنوان یک پشتیبانی کنندة قوی برای مدیریت کیفیت به کار می‌رود، به‌طوری که استفاده از فناوری اطلاعات در مدیریت کیفیت جامع به افزایش بهره وری منجر می شود. بسیاری از محققان تلاش کرده اند تا جنبه های مختلفی که مدیریت کیفیت جامع را شکل می دهد، مشخص سازند. 8 جنبة اصلی مدیریت کیفیت جامع که در مقالة «مارتینز لورنته» و همکارانش بیان شده، پایه و اساس تحقیق را تشکیل می دهد.در ادامه به توضیح جنبه های مختلف مدیریت کیفیت جامع می پردازیم:

1 - پشتیبانی مدیریت ارشد   2 -ارتباط با مشتری  3 -ارتباط با تأمین کننده 4 - مدیریت منابع انسانی 5 - مشخصه ها و رفتارهای کارکنان  6 - فرایند طراحی محصول  7 - مدیریت فرایند تولید  8 - واحد تضمین کیفیت

فناوری اطلاعات در کشورهای مختلف بسیار مورد توجه قرار گرفته است به‌طوری که اکثر کشورها، سرمایه گذاریهای هنگفتی در این زمینه انجام داده اند.  استفاده از فناوری اطلاعات فناوری اطلاعات در راستای مدیریت کیفیت جامع مدیریت کیفیت جامع منجر به نتایج زیر می شود:

-  بهبود روابط با مشتریان؛-  بهبود روابط با تأمین کنندگان؛- افزایش کنترل فرایند؛-  ساده سازی کار گروهی؛- ساده سازی جریان اطلاعات بین واحدهای مختلف شرکت؛-  بهبود فرایند طراحی؛- به‌کارگیری سیستم نگهداری و تعمیرات پیشگیرانه؛- پیاده سازی سیستم‌های کیفیت همچون ایزو 9000؛-  اندازه گیری هزینه های کیفیت؛- بهبود فرایند تصمیم در واحد تضمین کیفیت.

به‌طور کلی، توسعة استفاده از فناوری اطلاعات ، جنبه های مختلف مدیریت کیفیت جامع را تحت تأثیر قرار داده و به عنوان یک پشتیبانی کنندة قوی برای مدیریت کیفیت به‌کار می رود. در نهایت استفاده از فناوری اطلاعات در مدیریت کیفیت جامع مدیریت کیفیت جامع به افزایش بهره وری منجر می شود.

تاثیر فناوری اطلاعات بر مدیریت منابع انسانی

به گفته «بارلی»، « موفقیت در آینده - به احتمال زیاد - وابسته به استفاده از دانش فنی و علمی ، مدیریت اطلاعات و فراهم کردن خدمات بهتر است . آینده ، بیشتر وام گیر مغز است تا ماهیچه ( نیروی عضلانی‌)‌‌.»(Barley, s.1996)

از آنجا که - در محیط تجارت امروزی‌‌- افراد و دانش آنها به عنوان حیاتی‌ترین دارایی سازمان محسوب می شوند ،‌بدیهی است که هر شرکتی باید نسبت به آن با اطلاع و آماده پذیرش تغییرات جدید باشد‌. آگاهی و درک جهت گیریهای جدید ،نه فقط برای متخصصان فناوری اطلاعات لازم است ، بلکه مدیران نیز می بایست از آنها باخبر باشند. تحقیقاتی که در آمریکا ( بر روی 500 وب سایت مربوط به شرکتهای بین المللی که در سال2000 جزء‌ سودآورترین شرکتها بوده اند )‌صورت گرفته ، نشان می دهد که 79 درصد این شرکتها ، به طور گسترده‌ای از اینترنت برای جستجوی کارکنان جدید استفاده می کنند. همچنین مقایسه داده‌های آماری موجودبرای سالهای 1998تا 2000 ، ‌نشان می دهد که در سال 1998، 29 درصد شرکتهای مذکور از اینترنت به منظور کارمندیابی استفاده می کرده اند.

می توان پیش بینی کرد که در آینده شمار زیادی از « افراد برجسته »‌وجود دارند که نمی خواهند محدود به یک شرکت خاص باشند ، بلکه می خواهند مهارتهایشان را در اختیار بازاری با بهترین مراجعه کنندگان و مشتریها ( نه لزوماً بهترین پرداخت کنندگان‌) قرار دهند :«اکثر افرادی که برای یک سازمان کار می کنند ،‌ممکن است هنوز کارمندان استخدامی ( رسمی ) آن سازمان باشند ، اما برخلاف این تعداد زیاد ،‌اقلیت رشد یافته‌ای نیز وجود دارند که اگر چه در حال کار با سازمان هستند ، ولی کارمندان رسمی و تمام وقت محسوب نمی شوند ، آنها کارکنان موقتی یا پاره وقت هستند . اکثریت آنها پیمانکاران خصوصی هستند که به عنوان یک مستخدم (به کار گرفته شده)، یا برای دوره خاصی به صورت قراردادی و شخصی کار می کنند . این موضوع به ویژه برای متخصصان و در نتیجه درباره با‌ارزش‌ترین افرادی که در سازمان کار می کنند ،‌حقیقت دارد.» (Drucker ,2001) هدف اصلی این مقاله معرفی برخی تغییرات است که بوسیله فناوری اطلاعات و ارتباطات و اینترنت در توسعه کارکنان به وجود می آید و شیوه های جدید کار‌، همچون کار پروژه ای با پیمانکاران جزء‌و کارمند مجازی بودن را ممکن می سازد.

نقش فناوری اطلاعات در تولید و ساخت

در جهان صنعتی امروز، به تولید به عنوان یک سلاح رقابتی نگریسته می شود و سازمانهای تولیدی در محیطی قرار گرفته اند که از ویژگیهای آن می توان به افزایش فشارهای رقابتی، تنوع در محصولات، تغییر در انتظارات اجتماعی و افزایش سطح توقع مشتریان اشاره کرد. محصولات در حالی که باید بسیار کیفی باشند، تنها زمان کوتاهی در بازار می مانند و باید جای خود را به محصولاتی بدهند که با آخرین ذائقه، سلیقه و یا نیاز مشتریان سازگار هستند. بی توجهی به خواست مشتری و یا قصور در تحویل به موقع ممکن است بسیار گران تمام شود. شرایط فوق سبب گردیده تا موضوع اطلاعات برای سازمانهای تولیدی از اهمیت زیادی برخوردار شود. از طرف دیگر، آخرین بررسیها حاکی از آن است که استراتژی رقابتی مبتنی بر بازار خود نیز به تدریج در حال گذر است وچشم انداز استراتژیک رقابت در آینده مبتنی بر منابع خواهد بود.

البته منابع تولیدی مورد نظر تنها شامل سرمایه، زمین، ماشین آلات و تجهیزات نمی شوند، بلکه بنای تولید نسل آینده بر تاکید و توجه به اطلاعات، مدیریت دانش و توجه ویژه به مسئله آموزش افراد خواهد بود. وضعیت به وجود آمده و تحولات صورت گرفته مذکور در حوزه فعالیتهای تولیدی، اگرچه خود حاصل به کارگیری گسترده و همه جانبه فناوریهای اطلاعاتی در این حوزه است، ولی در عین حال باعث توجه مضاعف سازمانها و شرکتهای تولیدی به مقوله اطلاعات و فناوریهای مرتبط با آن شده است. این تحقیق با هدف تبیین موضوع فوق صورت گرفته است و سعی دارد تا نقش و تاثیر فناوری اطلاعات در وضعیت کنونی تولید و ساخت کالاها را به تصویر بکشد. در این مقاله شرح داده خواهد شد که چگونه توسعــه های اخیر در حوزه فناوری اطلاعات به ویژه هوش مصنوعی و سیستم های خبره، وضعیت تولید در جوامع صنعتی را دگرگون ساخته است.

تولیدیکپارچه رایانه ای نوعی فناوری است که می تواند به هر صنعت وابسته شده و توسط آن صنعت هدایت شود، بدین معنی که هر صنعت برحسب مجموعه تجارب، نیازمندیها و موقعیتهای خاص خود، شرایطی ویژه برای تولید یکپارچه رایانه ای فراهم می آورد. از این رو، تعاریف و توصیفهای متفاوتی برای آن وجود دارد. در زیر نمونه هایی از توصیف های صورت گرفته ارائه شده است.

سیستم یکپارچه رایانه ای شامل رایانه ای کردن فراگیر و سیستماتیک فرایند تولیدی است. چنین سیستم هایی بااستفاده از پایگاه داده های مشترک، فعالیتهایی همچون طراحی به کمک رایانه، ساخت به کمک رایانه، مهندسی به کمک رایانه، انجام تست ها، تعمیرات و مونتاژ را یکپارچه می سازند.

(اسپریت، کمیسیون انجمن های اروپایی 1982) سیستم تولید یکپارچه رایانه ای عبارتست از به کارگیری یکپارچه اتوماسیون بر پایه رایانه و سیستم های پشتیبانی تصمیم گیری به منظور مدیریت فعالیتهای سیستم تولیدی، از طراحی محصول تا فرایند تولیدی و نهایتاً توزیع به انضمام مدیریت تولید و موجودی و مدیریت منابع مالی.

(هارن و براون 1984) سیستـم تولید یکپارچه رایانـه ای، پردازنـده های مواد و اطلاعات است که سه زیر سیستم اصلی آنها عبارتند از: سیستم فیزیکی کارخانه، سیستم تصمیم و سیستم اطلاعاتی.

(مایر 1990) تولید یکپارچه رایانه ای عبارت است از علم و هنر خودکارسازی بااستفاده از یکپارچگی حاصل از فناوری اطلاعات در فرآیندهای تولیدی. (یومانز و همکاران 1986)

با کمی دقت در توصیفها و دیدگاههای مذکـور در مورد تولیـد یکپارچه رایانـه ای مـــی توان به نقش و اهمیت اطلاعـات و فناوریهای اطلاعاتی در تحقق سیستم تولید یکپارچـه رایانه ای پی برد. به بیان دیگر، می توان گفت که این سیستم در طی روند توسعه فناوری اطلاعات به مانند فعالیت مهمی در کنار آن ظاهر گردیده و گسترش یافته است. ر مجموع می توان گفت که فناوری اطلاعات، روشهای جدید کار را به همراه داشته و باعث کاهش هزینه ها، بهبود کیفیت انجام امور تولیدی و افزایش سرعت تولید شده است.

مدیریت زنجیره تامین و پشتیبانی تکنولوژی اطلاعات

زنجیره های تامین، تامین کنندگان را به یک شرکت تولیدی و شرکت را به مشتریانش ارتباط می دهد. برای اداره صحیح زنجیره تامین لازم است تا نسبت به خدمات عالی به مشتریان، هـزینه های پایین و زمان چرخه کوتاه اطمینان حاصل کنیم. زنجیره های تامین دارای انواع مختلفی هستند که می توان از مهمترین آنها به «ساخت یکپارچه برای ذخیره کردن»، «پس از تخلیه پرکردن به طور مستمر»، «ساخت برمبنای سفارش» و «مونتاژ کانالی» اشاره کرد. اداره زنجیره تامین با وجود عدم اطمینان در تقاضا و تامین و نیاز برای هماهنگی بین چندین فعالیت تجــــاری شرکاء مشکل است. از اصلی ترین این مشکلات می توان از «اثر شلاق چرمی*» و «ذخیره فریبنده**» نام برد. راه حلهایی برای مشکلات زنجیره تامین وجود دارند که از آن جمله می توان به «ادغام عمودی»، «موجودی مناسب»، «استراتژی های کاهش عدم اطمینان محیطی» و استفاده از «تکنیک ها و فنون مناسب برنامه ریزی و تولید» اشاره کرد. فناوری اطلاعات نیز با پشتیبانی از راه حلهای ارائه شده گام موثری در حل مشکلات مذکور برداشته است که از آن جمله به نرم افزارهای SCM، ERP، OPT، ANAL و همچنین حالتهای تکامل یافته و یکپارچه مدیریت زنجیره تامین (SCM) و ERP اشاره کرد. دومین شکل کمک فناوری اطلاعات از زنجیره تامین به وسیله کارکرد تجارت الکترونیک است که آن را ازطریق خودکارکردن فرایندها و یکپارچه کردن فعالیتهای اصلی شغل تجاری به وسیله یک ساختار الکترونیکی فراهم آورده است. اما اجرای سفارش نیز در تجارت الکترونیک به دلیل نیاز به حمل بسته های کوچک کالا برای مشتریان زیاد مشکل است که این مشکل ازطریق راه حلهایی همانند تحویل درهمان روز و حتی همان ساعت و انبارهای خودکار قابل حل است.

نقش فناوری اطلاعات در برنامه ریزی منابع سازمان

یکی از آخرین فناوریهای اطلاعاتی در زمینه تحول سازمانها، سیستم برنامه ریزی منابع سازمان (ERP=ENTERPRISE RESOURCES PLANNING) است. هدف اصلی در این فناوری، نفوذ فناوری اطلاعات در تمامی مراحل فعالیتهای یک سازمان یا بنگاه اقتصادی است تا منابع مختلف بتوانند با یکدیگر و رعایت تبادلات منطقی بین هم، خروجی یکپارچه ای را ارائه کنند.

سه روش متداول برای اجرای یک برنامه ریزی منابع سازمان وجود دارد:

_ انفجار بزرگ :این روش بلندپروازانه‌ترین و سخت‌ترین راه ایجاد یک ERP است. در این روش موسسه یکباره همه‌ سیستم‌های قدیمی خود را کنار می‌گذارد و یک سیستم ERP در تمام موسسه راه می‌اندازد. هرچند روزگاری این روش بر ایجاد ERP ها حکم فرما بود، امروزه کمتر از آن استفاده می‌شود. واداشتن همه به پذیرش سیستم جدید به طور یکدفعه و همزمان، کاری مهیب است، چون سیستم جدید هیچ مدافعی ندارد. هیچ کس در موسسه تجربه‌ کار با آن را ندارد، بنابراین هیچ کس اطمینان ندارد که سیستم جدید کارش را درست انجام می‌دهد.

_ راهبرد انتخابی : این روش به شرکتهای بزرگ توصیه می‌کند خیلی از فرایندها را بین بخشهای مختلف به اشتراک نگذارند، بلکه در هر بخش نسخه ای مجزا از ERP نصب شود و تنها از طریق برخی فرایندهای خاص (مانند نگهداری اطلاعات مالی) مشترک باشند. این متداولترین راه است. در این حالت هر بخش از سازمان نسخه‌ خاص خودش از ERP را دارد که سیستمی جدا با پایگاه داده‌ای جداست. این سیستم ها تنها از طریق به اشتراک گذاشتن اطلاعات لازم برای به دست آوردن تصویری کلی از کار همه‌ واحدهای موسسه (مثلا سود واحدهای مختلف) به هم مربوط می‌شوند، یا از طریق فرایندهایی که در همه‌ بخشها تقریبا یکسان هستند. (مثلا مدیریت منابع انسانی) در این روش ابتدا یکی از بخشها که صبر و حوصله بیشتری دارد و درصورت پیش آمدن اشکال به اصل تجارت ضربه نمی‌زند، برای راه اندازی یک سیستم آزمایشی انتخاب و پس از رفع نقایص ERP در این بخش، کار روی بخشهای دیگر آغاز می‌شود. برنامه‌ریزی برای این روش بلند مدت است.

_ فروکوفتن: در این روش، ERP طراحی را دیکته می‌کند و تمرکز تنها روی تعداد کمی از فرایندهای کلیدی است. این روش بیشتر برای موسسات کوچکی مناسب است که می‌خواهند با ایجاد ERP رشد کنند. در این روش، هدف، راه ‌اندازی سریع ERP است و جدا شدن از روشهای پیچیده مهندسی مجدد، با استفاده از فرایندهای از قبل حاضر شده.‌ موسساتی که ERP را اینگونه به خدمت گرفته‌اند، نمی‌توانند ادعا کنند، برگشت سود زیادی از سیستم جدید برده‌اند. اغلب آنها از این سیستم به عنوان زیربنایی برای کوششهای بعدی استفاده می‌کنند. چنین سیستمی فقط کمی از سیستم ‌های قدیمی بهتر است، چون کارکنان را وادار به تغییر هیچ یک از عادات قدیمی‌شان نمی‌کند.

در ساده ترین سطح، ERP مجموعه‌ای از بهترین عملیات برای انجام وظایف مختلف در سازمان است که این وظایف مثلا شامل مالی، تولید، انبار است. برای اینکه از نرم افزار چیز بیشتری به دست آورید، باید افراد داخل سازمان خود را متقاعد به انطباق با روشهای کاری نرم‌افزار کنید. اگر افراد در بخشهای مختلف (که از ERP استفاده خواهند کرد) قبول نداشته باشند که روشهای کاری که داخل نرم‌افزار گنجانده شده، بهتر از روشهای مرسوم و جاری است، در استفاده از نرم‌افزار مقاومت می‌کنند و بخش فناوری اطلاعات را مجبور به تغییر نرم افزار به منظور تطبیق با فعالیتهای مرسوم و جاری خواهند کرد. اینجاست که پروژه های ERP دچار شکست می شوند و جنگهای درون سازمانی پیرامون نحوه نصب نرم افزار شیوع پیدا می کند. بخش IT درگیر تلاشهای گرانقیمت و طولانی برای سفارشی سازی نرم افزار می‌شود تا خواسته های افراد قدرتمند تجاری را برآورده سازد. این سفارشی‌سازیها ماهیت اصلی نرم‌افزار را ناپایدار می‌کنند و نگهداری آن را نیز بعد از شروع به کار آن مشکل می سازند.

اما واحد IT بخوبی و بسرعت می‌تواند اشکالات را در بیشتر موارد حل کند و به علاوه تعداد کمی از شرکتهای بزرگ می توانند از سفارشی سازی ERP امتناع کنند. هر فعالیت تجاری متفاوت و مجبور به داشتن روشهای خاص خود است که این روشها را فروشنده به هنگام ایجاد نرم‌افزارش در نظر نگرفته است. اشتباهی که شرکتها می‌کنند این است که فکر می‌کنند عوض کردن عادات افرادشان از سفارشی سازی نرم افزار ساده تر است، در صورتی که چنین نیست. مجبور کردن افراد به استفاده از نرم افزار برای بهبود روشهای کاری‌شان چالش بسیار مشکلتری است. اگر شرکت شما نسبت به تغییرات مقاوم باشد، آنگاه در پروژه ERP شما بیشتر احتمال شکست وجود دارد.

* - اثر شلاق چرمی (THE BULL WHIP EFFECT) : اثر شلاقی به تغییرات نامنظم در سفارشات طی زنجیره تامین اطلاق می شود. این اثر برای اولین بار به وسیله پروکتل و گمبل (PSG) در ارتباط با یکی از محصولاتشان مشاهده و شناخته شد. دراین مشکل گرچه فروش واقعی در فروشگاهها نسبتاً ثابت و قابل پیش بینی بود اما سفارشات عمده فروشان و توزیع کنندگان برای PSG (سازنده) میدان نوسانات شدیدی داشته و مشکلات موجودی محصول ساخته شده را برای PSG داشت. یک تحقیق نشان داد که سفارشات توزیع کنندگان به دلیل پیش بینی ضعیف تقاضا و کمبود هماهنگی و اطمینان درمیان شرکاء زنجیره تامین تغییرات نامنظمی داشت، به دلیل اینکه هر ماهیت مجزا طی زنجیره تامین سفارشات و تصمیمات موجودی را با یک دید نسبت به منافع خود به طرف بالای زنجیره تامین انجام می داد که این منجر می شد کــــــه میزان پیش بینی ها به طرف بالای زنجیره همچنان افزایش یافته و به موجودیهای اضافه ای در تمام قسمتهای زنجیره تامین منجر شود.

** - ذخیره فریبنده: این گونه مشکل زمانی که مشتریان محصولی را می خواهند که دردسترس نیست اتفاق می افتد گرچه درحقیقت وجود دارد مثل وقتی که محصول درجایی نادرست قرار می گیرد یا اینکه مقدار ذخیره ناصحیح است.

تهيه و تدوين :هومن عزيزي(بر اساس دستاوردهاي علمي در زمينه فناوري اطلاعات در پايگاه مقالات مديريت –بخش فناوري اطلاعات)

منابع: ماهنامه تدبیر-سال شانزدهم و هفدهم و هجدهم –شمارههاي 148و165و 174 و 186

 Minahan, (1998), “Enterprise resource planning:strategies” , Web Journal.

 O"Leary D.E, (2002), “Enterprise Resource Planning System: systems, Life cycles”.

Bozarth, (2006), “ ERP implementation efforts at three firms Integration lessons from the SISP and IT-enabled change literature”, International journal of operations

Poston et al, (2004), “Financial impacts of enterprise resource planning implementations”.

Patrice, Jon David, Mohammad a, Rashid. Iiaquuet, hossain, (2002), “the evolution of ERP system, anistorical perspective

 الوانی، سیدمهدی و نصرا... میرشفیعی - مدیریت تولید - چاپ دهم - سال 78 - نشر آستان قدس رضوی

 امام، سیدمحمد رضا - جلب مشتریان با ارزش با استفاده از همزمانی زنجیره تامین - فصلنامه لجستیک - سال چهارم - شماره 11 - سال 81

 براون، جیمی و همکاران - سیستم های مدیریت تولیــد - مهدی غضنفری و سروش صغیری - چاپ دوم - سال 81 - نشر دانشگاه علم و صنعت

افقهی، بابک - لجستیک معکوس - فصلنامه لجستیک - سال چهارم - شماره 12 - سال 81

 دفت، ریچارد ال - تئوری و طراحی سازمان - علی پارسائیان و سیدمحمد اعرابی - چاپ اول - سال 77 - نشر دفتر پژوهشهای فرهنگی

نوری حمید و راسل رادرفورد - مباحث نوین در مدیــریت تولید و عملیات جلد 1 و 2 - چاپ اول - سال 79 - نشر سازمان مدیریت صنعتی

داخلی ترین لایه، امنیت فیزیکی مسیریاب می باشد. هر مسیر یاب در صورتی که دسترسی فیزیکی به آن موجود باشد براحتی می توان کنترل آن را در دست گرفت. به همین دلیل این لایه در مرکز تمام لایه ها قرار دارد و باید مورد توجه قرار گیرد.
بیشتر مسیریاب ها دارای یک یا دو مسیر مستقیم برای اعمال تنظیمات دارند که به پورت کنسول معروف هستند.در سیاست نامه امنیتی باید قواعدی را برای نحوه دسترسی به این پورت ها، تعریف کرد.
لایه بعدی، نرم افزار و تنظیمات خود مسیریاب می باشد. هر گاه هکری بتواند کنترل هر کدام از این قسمت ها را بدست آورد، می تواند کنترل لایه های بیرونی خود را نیز در دست گیرد. اطلاعات مربوط به نام کاربر، آدرس مربوط به Interface های مسیریاب، لیست های کنترلی و موارد مهم دیگر در این لایه نگه داری می شوند. این اطلاعات در صورتی که در دسترس نفوذ گر قرار گیرند، به راحتی میتواند مسیر گردش اطلاعات در شبکه داخلی را مختل نماید. معمولا در سیاست نامه امنیتی چگونگی دسترسی به این لایه مشخص می شود.
لایه بعدی، مشخصات مربوط به تنظیمات پویای مسیریاب می باشد. از مهمترین این قسمت ها جدول مسیر یابی می باشد. اطلاعات دیگر که شامل وضعیت Interface ها و جدول ARP و Audit Log ها هم از عناصر مهم این لایه می باشند. دسترسی به این لایه نیز، مانند لایه های پایین تر، برای لایه های خارجی مشکل ساز خواهد بود.
خارجی ترین لایه، ترافیک مربوط به شبکه هایی است که مسیریاب آنها را به هم متصل می سازد. به دلیل اینکه استفاده از پروتکل های نا امن میتوانند امنیت این لایه را با خطر مواجه سازند بنابراین در سیاست نامه امنیتی که برای مسیریاب تدوین خواهد شد، نوع سرویس ها و پروتکل های ارتباطی که اجازه عبور دارند و یا غیر مجاز هستند، می بایست مشخص شوند.
● تدوین سیاست نامه امنیتی برای مسیریاب:
چند نکته مهم برای تدوین این سیاست نامه باید رعایت شود:
- مشخص کردن : تعریف رویه و روال ها بدون مشخص کردن دستورات Security Objectives
- مشخص کردن سیاست امنیتی مانند شکل قبل و تدوین چگونگی دسترسی به هرکدام
- غیر فعال کردن سرویس هایی که غیر مجاز هستند
در بعضی موارد مشخص کردن اینکه چه سرویس هایی مجاز هستند، مفید نخواهد بود، به طور مثال مسیریابی که در بستر اصلی شبکه قرار دارد و ارتباط بین شبکه های مختلف را برقرار می سازد می بایست دارای سیاست نامه امنیتی مناسبی در جهت سرویس دهی به این شبکه ها باشد و حتی کنترل های سطحی برای ارتباطات داشته باشد زیرا ارتباط در بستر اصلی باید از سرعت بالاتر برخوردار بوده و موارد اصلی را تحت پوشش قرار دهد.
سیاست نامه امنیتی باید یک سند زنده و در حال بروز رسانی باشد. این سیاست نامه نیز باید جزئی از
سیاست نامه کلی امنیتی باشد که به طور کلی اجرا و بروز رسانی شود.
اعمال تغییرات در سیاست نامه امنیت مسیریاب نیز باید پس از هر تغییر انجام شود. در واقع این سیاست نامه باید در زمان های مشخص و یا در مواردی که تغییراتی چون،
ـ ایجاد یک ارتباط بین شبکه داخلی و خارج
ـ تغییرات کلی در ساختار مدیریت شبکه و یا رویه و روال ها
ـ اصلاحات کلی در ساختار امنیتی شبکه
ـ اضافه کردن عناصری به شبکه مانند دیواره آتش و یا VPN Connection
ـ تشخیص حمله به شبکه و یا در کنترل گرفتن قسمتی از آن
بازنگری شود.
● چک لیست سیاست نامه امنیتی مسیریاب:
پس از تهیه نسخه اول سیاست نامه امنیتی مسیریاب این سیاست نامه را مطابق لیست زیر چک نمایید تا تمام اجزای آن با سند امنیتی شما مطابق باشد.
▪ امنیت فیزیکی:
مشخص کردن اینکه چه شخصی مسئول نصب و یا راه اندازی مجدد مسیریاب می باشد.
معین کردن شخصی برای نگهداری سخت افزار مسیریاب و یا تغییر سخت افزاری آن.
تعیین فردی که میتواند ارتباط فیزیکی به مسیریاب داشته باشد.
تعریف کنترل ها برای دسترسی به مسیریاب و رابط های دیگر آن.
تعریف رویه روال برای برگشت به قبل از خرابی مسیریاب.
▪ امنیت تنظیمات ثابت روی مسیریاب:
مشخص کردن فرد یا افرادی که میتوانند به مسیریاب از راههای مختلف متصل شوند.
مشخص کردن فردی که میتواند حدود دسترسی مدیریت مسیریاب را داشته باشد.
تعریف رویه روال برای نام ها و کلمه های عبور و یا کلمه های عبوری که به دسترسی کامل منجر خواهد شد که شامل زمان و یا شرایطی است که باید این کلمات عوض شوند.
تعریف رویه و روال های برای برگشت به حالت قبل و مشخص کردن فرد یا افراد مورد نظر
▪ امنیت تنظیمات متغیر:
شناخت سرویس هایی که در مسیریاب فعال می باشند و شبکه هایی که باید به این سرویس ها دسترسی داشته باشند.
مشخص کردن پروتکل هایی که برای مسیریابی مورد استفاده قرار می گیرند و قابلیت های امنیتی که روی هرکدام باید فعال شود.
● تعریف رمزنگاری مناسب در ارتباطات VPN
▪ سرویسهای امنیتی شبکه:
مشخص کردن پروتکل ها، پورت ها، و سرویس هایی که باید توسط مسیریاب اجازه داده شوند و یا مسدود شوند.
تعریف رویه روال در جهت کنترل ارتباطات با شبکه سرویس دهنده اینترنت.
مشخص کردن اینکه هنگامی که شبکه و یا مسیریاب هک شود، چه شخص یا اشخاصی باید مطلع شده و چه روالی باید انجام شود از دیگر اقدامات کنترل مسیریاب می باشد که در سند امنیتی باید تعریف شود.

گردآورنده: معصومه کاظمی

www.iritn.com

آشنایی با انواع شهرهای مجازی شهر مجازی، عنوانی که در این‌ روزها در رسانه‌ها زیاد شنیده می‌شود از جمله پیامدهای دنیای جدید مجازی است. دنیایی که با شکل‌گیری و گسترش وسائل جدید ارتباط جمعی و فناوری‌های نوین ارتباطی به ‌وجود آمده و تحولی در عرصه‌های مختلف زندگی ایجاد کرده است. شبکه‌های ارتباطی نوین و در راس آنها شبکه جهانی اینترنت فضای یکپارچه جهانی به ‌وجود آورده‌اند که می‌توان از آن تحت عنوان «جهان مجازی» یاد کرد. از جمله پیامدهای شکل‌گیری جهان مجازی بازتعریف برخی مفاهیم جهان فیزیکی است. تقسیمات جغرافیایی هم در محیط مجازی بازتعریف شده‌اند که شهرهای مجازی یکی از مصداق‌های آن محسوب می‌شود. اما شهرهای مجازی فقط به تقسیمات جغرافیایی محدود نمی‌شوند و به طیف گسترده‌ای از محیط‌های مجازی اشاره دارد و گاه ارائه تعریف آن با سردرگمی و ابهام همراه است. این مقاله به دنبال ارائه گونه‌شناسی (Typology) از انواع شهرهای مجازی است و با مرور طبقه‌بندی‌های ارائه شده از شهرهای مجازی، آنها را در دو گروه دسته‌بندی می‌کند. ● طبقه‌بندی‌ شهرهای مجازی پیش از این شهرهای مجازی به شکل‌های مختلف تقسیم‌بندی شده‌اند که در اینجا تلاش شده ضمن اشاره به چند مورد از آنها از مجموعه این طبقه‌بندی‌ها برای رسیدن به یک گونه‌‌شناسی مناسب استفاده شود. «مارتین دوج» و همکارانش در مقاله «شهرهای مجازی در شبکه‌ اینترنت» شهرهای مجازی را به چهار گونه تقسیم‌بندی می‌کنند: ▪ دسته اول شهرهای مجازی فهرستی (Web Listing) هستند. این شهرهای مجازی فقط شامل برخی راهنماها و اطلاعات هستند و اغلب با اهداف تبلیغاتی به‌ خصوص در زمینه گردشگری ایجاد می‌شوند. ▪ نوع دوم شهرهای مجازی مسطح (Flat) را شامل می‌شود. در این گونه، از نقشه‌های مسطح شهرها و ساختمان‌ها برای ارائه اطلاعات به کاربران استفاده می‌شود. ▪ دسته سوم شهرهای مجازی سه بعدی (۳D) هستند. در این شهرها با استفاده از تکنولوژی‌های واقعیت مجازی فضای شهری ساخته می‌شود که به فضای واقعی نزدیک است. ▪ گروه چهارم، شهرهای مجازی‌ای هستند که از آنها با عنوان شهر مجازی واقعی (True) یاد شده است. در این شهرها فضای شهری به شکل نزدیک به واقع‌تری در محیط مجازی بازنمایی شده است. در این شهرها نسبتا همه جنبه‌های زندگی واقعی پوشش داده می‌شود. در جایی دیگر دکتر «سعیدرضا عاملی» هفت نوع مختلف از شهرهای مجازی را بر اساس محتوای آنها معرفی می‌کند. نوع اول شهرهای مجازی تاریخی هستند. اینگونه شهرها تلاشی برای نزدیک کردن تاریخ شهر و متراکم کردن موازی مقاطع مختلف تاریخی شهر در کنار یکدیگر محسوب می‌شوند. «گوست» در آلمان (شبیه‌سازی دو جنگ جهانی) نمونه‌ای از این شهرهای مجازی است. دسته دوم، شهرهای مجازی ماهواره‌ای هستند. این شهرها با سیستم نقشه گوگل تحقق پیدا کردند و تلاش می‌کنند حوزه تعامل شهروندان را با شهر بیشتر کنند. شهرهای مجازی داده‌ای، نوع سوم شهرهای مجازی هستند. این شهرها امکان داده‌ای کردن کلیه ظرفیت‌های جغرافیایی را به ‌وجود می‌آورند. نوع چهارم شهرهای مجازی کارگاهی هستند. در اینگونه، شهرها با آزمون و خطا ساخته می‌شوند و کاربران در آنها می‌توانند شهردار باشند. سایت زانپو نمونه‌ای از اینگونه شهرهاست. ▪ دسته پنجم شهرهای مجازی توریستی هستند. در این شهرها که شهر مجازی نیویورک از جمله نمونه‌های آن است علاوه بر ارائه اطلاعات، تلاش می‌شود تعامل نزدیک به فضاهای شهری هم ایجاد شود. ▪ نوع ششم، شهرهای خدمات شهری یا شهرهای کامل مجازی هستند. شهر مجازی آمستردام به عنوان اولین نمونه از این شهرها در سال ۱۹۹۴ راه‌اندازی شد. دسته هفتم شهرهای مجازی، شهرهای انتخاب دوم هستند. در این شهرها زندگی متفاوت با زندگی واقعی محقق می‌شود. سایت سکندلایف از جمله این شهرهاست. با جمع‌بندی تقسیم‌بندی‌های ارائه شده می‌توان انواع شهرهای مجازی را در دو گروه دسته‌بندی کرد. گروه اول شهرهای مجازی، معادل شهرگونه در دنیای فیزیکی دارند. به عبارت دیگر شهرهای دنیای واقعی وقتی به دنیای مجازی می‌روند در این دسته‌بندی قرار می‌گیرد. مثلا شهر مجازی تهران، اصفهان، نیویورک، پکن و غیره در این گروه قرار می‌گیرند. اینگونه شهرها که حیاتشان وابسته به شهرهای فیزیکی است را می‌توان در سه دسته ارائه اطلاعات، خدمات شهری و سه‌بعدی تقسیم‌بندی کرد. البته گونه چهارمی هم برای این شهرها می‌توان تصور کرد که هر سه نوع قبلی را شامل شود، ولی هنوز چنین فضاهایی گسترش نیافته و در سال‌های آینده باید منتظر آن بود. شهر مجازی ایده‌آل یا نوع چهارم، می‌تواند شهری سه بعدی باشد که کاربران ضمن گشت‌وگذار در آن هم به اطلاعات کافی دسترسی داشته باشند و هم بتوانند خدمات شهری را دریافت کنند. گروه دوم، فضاهای مجازی هستند که ما به ‌ازایی در دنیای واقعی ندارند ولی به شهر مجازی معروف شده‌اند. این شهرهای مجازی در دنیای مجازی متولد می‌شوند و رشد پیدا می‌کنند. هر چند ممکن است با دنیای فیزیکی هم ارتباطاتی داشته باشند ولی حیاتشان به دنیای مجازی بستگی دارد. برخی پایگاه‌های تخصصی مجازی که در ساختاری شهرگونه فعالیت می‌کنند، پایگاه‌های اینترنتی که امکان شهرسازی به ‌صورت کارگاهی و آموزشی را فراهم می‌کنند و دنیاهای مجازی که زندگی دومی را در فضای مجازی ایجاد کرده‌اند، انواع مختلف گروه دوم شهرهای مجازی هستند. ▪ گروه اول: شهرهای مجازی وابسته به شهرهای فیزیکی بخش عمده‌ای از جمعیت حال حاضر جهان شهرنشین هستند و جوامع صنعتی امروز به ‌میزان بسیار زیادی مبتنی بر شهر هستند. به گفته «آنتونی گیدنز» فرآیند شهری شدن که در قرن هجدهم و نوزدهم میلادی به اروپا و امریکا محدود می‌شد در قرن بیستم به پدیده‌ای جهانی تبدیل شد. همزمان با رشد و گسترش این پدیده جهانی، مشکلات ناشی از آن نیز به ‌سرعت پدیدار شد و عملا زندگی شهری را با دشواری همراه ساخت. در یک قرن اخیر همواره تلاش شده پیشرفت‌های حوزه فناوری در جهت کاهش دشواری‌های زندگی شهری به خدمت گرفته شود. استفاده از امکانات فضای مجازی در امور شهری هم در راستای همین اقدامات ارزیابی می‌شود. ظهور شبکه جهانی اینترنت شکل‌گیری فضاهای جدید مجازی از جمله شهرهای مجازی موازی با شهرهای فیزیکی را به دنبال داشت. این شهرهای مجازی وابسته به شهرهای فیزیکی را می‌توان در سه دسته مورد ارزیابی قرار داد. ۱) شهرهای مجازی راهنمای اطلاعاتی وب‌سایت‌های منتسب به شهرها یا شهرداری‌ها که فقط به ارائه اطلاعات شهری می‌پردازند را می‌توان شهرهای مجازی راهنمای اطلاعاتی نامید. در این وب‌سایت‌ها صرفا اطلاعاتی در مورد شهر و فهرستی از خدمات شهری موجود ارائه می‌شود. اطلاعاتی در مورد تاریخچه، موقعیت جغرافیایی، ویژگی‌های اجتماعی- اقتصادی- فرهنگی و جاذبه‌های گردشگری و تفریحی شهرها در این سایت‌ها قابل دسترس است. همچنین لیستی از امکانات شهری از قبیل پارک‌ها، موزه‌ها، سینماها، بیمارستان‌ها، ایستگاه‌های پلیس و سایر خدمات دولتی و خصوصی به همراه آدرس و تلفن آنها از جمله دیگر اطلاعاتی است که اغلب در این نوع سایت‌ها یافت می‌شود. این نوع وب‌سایت‌ها در واقع نسل اول شهرهای مجازی در دنیا محسوب می‌شوند و زمانی که بیشترین استفاده از وب به دریافت اطلاعات مربوط می‌شد و هنوز امکانات تعاملی برای کاربران به ‌وجود نیامده بود، پایگاه‌های اینترنتی قابل قبولی محسوب می‌شدند. در دنیا اغلب شهرهای مجازی با این ویژگی‌ها ارتقا پیدا کرده‌اند و حداقل به گونه خدماتی تبدیل شده‌اند و امکانات بیشتری در اختیار مخاطبان‌شان قرار می‌دهند. در ایران اما اغلب وب‌سایت‌های شهرهای کشور که عبارت شهر مجازی یا شهر الکترونیکی را هم در عنوانشان قرار داده‌اند هنوز در این دسته قرار می‌گیرند. تنها در چند کلان‌شهر از جمله تهران است که پایگاه اینترنتی شهر علاوه بر اطلاعات، برخی خدمات شهری را هم ارائه می‌دهد. ۲) شهرهای مجازی ارائه خدمات شهری در شهرهای مجازی خدمات شهری همان‌طور که از عنوان آن مشخص است، علاوه بر ارائه اطلاعات شهری، بخشی از خدمات شهری به ‌صورت آنلاین برای شهروندان قابل دسترس است. شهروندان به کمک این پایگاه‌های اینترنتی می‌توانند برخی امور از قبیل پرداخت عوارض شهری، ارائه درخواست برای دریافت خدمات شهری، پیگیری پرونده‌های مربوط به امور اداری و خدماتی و مواردی از این دست را به شکل آنلاین انجام دهند. انجام این امور به ‌صورت آنلاین، ضرورت حضور فیزیکی برای شهروندان در سازمان‌ها و نهادها را از بین می‌برند و علاوه بر صرفه‌جویی در وقت و هزینه شهروندان و دولت از مسافرت‌های درون شهری غیرضروری نیز خواهد کاست. در نتیجه، از پیامدهای ارائه خدمات شهری به ‌صورت آنلاین کاهش ترافیک شهری است. با این تفاسیر بخشی از مردم از درون خانه‌هاشان به انجام کار و اداره خدمات می‌پردازند و به تعبیر مانوئل کاستلز «مرکزیت خانه» یکی از گرایش‌های مهم جامعه جدید است. در این حالت شهرهای مجازی بخشی از دولت الکترونیکی محسوب می‌شوند که سعی در بهره‌گیری امکانات جدید ارتباطی در جهت تحقق شکل جدیدی از ارائه خدمات دولتی دارد. اغلب شهرهای مجازی دنیا این قبیل خدمات را ارائه می‌دهند و در این دسته قرار می‌گیرند. در ایران هم پایگاه اینترنتی چند کلان‌شهر از جمله شهر تهران (www.tehran.ir) دارای این ویژگی‌هاست. ۳) شهرهای مجازی سه بعدی شهرهای مجازی سه بعدی گونه دیگری از بازسازی شهرهای فیزیکی در دنیای مجازی محسوب می‌شوند. این نوع شهرها کارکردهای گسترده‌ای دارند و برای اهداف متفاوتی از سرگرمی گرفته تا مسائل علمی و تحقیقاتی به کار گرفته می‌شوند. شهرهای سه بعدی گاه برای ارائه اطلاعات شهری و گردشگری به گردشگران به کار می‌روند و در خدمت صنعت تورسیم قرار می‌گیرند، زمانی برای سرگرمی و ایجاد حس تعامل در شهروندان استفاده می‌شوند و گاه در امور تحقیقاتی و پروژه‌های شهرسازی و معماری به ‌کار می‌آیند. نمونه بازسازی شهرهای فیزیکی در قالب شهرهای سه‌بعدی مجازی در سایت پلنت ناین (www.planet۹.com) ارائه می‌شود. نمونه مشهورتر شهرهای مجازی سه ‌بعدی از طریق نرم‌افزار گوگل‌ارث (Google Earth) قابل دسترس هستند. گوگل‌ارث از خدمات نرم‌افزاری شرکت گوگل است که با استفاده از دوربین‌های ماهواره‌ای می‌تواند تماشای نقاط مختلف کره زمین از بالا را برای کاربران ممکن کند. در نسخه‌های جدیدتر این نرم‌افزار علاوه بر اینکه می‌توان نقاط مختلف کره ‌زمین را از بالا مشاهده کرد، برخی شهرها به ‌شکل سه‌ بعدی ساخته شده‌اند و می‌توان آنها را با جزئیات دقیق‌تری تماشا کرد. ▪ گروه دوم: شهرهای مجازی مستقل از دنیای فیزیکی گروه دوم فضاهای مجازی که به عنوان شهرهای مجازی شناخته می‌شوند، هویتی مستقل از شهرهای فیزیکی دارند و در واقع بازسازی یا بازنمایی یک محیط فیزیکی نیستند. حیات این نوع شهرهای مجازی به دنیای مجازی بستگی دارد. این محیط‌ها را می‌توان در سه دسته تقسیم‌بندی کرد: شهرهای مجازی که در دل دنیاهای مجازی به ‌وجود آمده‌اند، شهرهای مجازی کارگاهی و شهرهای مجازی تخصصی. ۱) شهرهای مجازی در دنیاهای مجازی گونه‌ای از محیط‌های مجازی که در آنها به ‌نوعی شهرهای مجازی تحقق پیدا می‌کند، وب‌سایت‌هایی هستند که تحت عنوان «دنیاهای مجازی» (Virtual worlds) طبقه‌بندی می‌شوند. دنیای مجازی محیط شبیه‌سازی شده کامپیوتری است که در آن تلاش شده محیطی شبیه به دنیای واقعی بازسازی شود. در دنیاهای مجازی کاربران به شکل تعاملی با یکدیگر در ارتباط هستند و بخشی از فضاها و مناسبات دنیای فیزیکی در این محیط دیجیتالی ایجاد شده است. گاه محیط شبیه‌سازی شده آنقدر به زندگی فیزیکی نزدیک است که از آنها تحت عنوان سایت‌های زندگی دوم یاد می‌شود. دنیاهای مجازی با اهداف مختلفی راه‌اندازی می‌شوند که ایجاد سرگرمی مجازی را می‌توان از مهم‌ترین این اهداف دانست. بازی‌‌سازی اقتصادی، ایجاد اجتماعات مجازی، آموزش، اهداف سیاسی و تعلیمات نظامی از جمله دیگر اهداف این محیط‌ها به شمار می‌آیند. از جمله معروف‌ترین دنیاهای مجازی، سایت سکند‌لایف (www.secondlife.com) است. در این محیط مجازی تقریبا تمام ویژگی‌های دنیای فیزیکی بازسازی شده است. افراد با مشاغل گوناگون درگیر روابط اجتماعی و اقتصادی شبیه دنیای واقعی هستند و ساختمان‌ها و اماکن با توجه به واقعیت‌های دنیای فیزیکی ساخته شده‌اند. در واقع کاربران این سایت به مثابه شهروندان شهری مجازی، مناسبات دنیای واقعی را بازسازی می‌کنند. ۲) شهرهای مجازی کارگاهی سایت‌هایی که با عنوان شهرهای مجازی کارگاهی شناخته می‌شوند گونه دیگری از شهرهای مجازی هستند. در این سایت‌ها، کاربران به مثابه معماران و شهرسازان عمل می‌کنند و می‌توانند با آزمون و خطا فضاهای شهری را ایجاد کنند و خودشان شهردار این شهرهای مجازی باشند. سایت زانپو (www.zanpo.com) نمونه‌ای از این محیط‌های مجازی است. در معرفی زانپو آمده این سایت یک بازی آنلاین، دنیای مجازی و شبکه اجتماعی است. زانپو از شهرهای مجازی زیادی تشکیل شده که هر کدام معماری خاص خودشان را دارند. ۳) شهرهای مجازی تخصصی نوع دیگر شهرهای مجازی، پایگاه‌های اینترنتی تخصصی هستند که در جهت بازسازی ساختارهای شهری در وب‌سایتشان تلاش کرده‌اند. بیشترین ابهام و گاهی سوءبرداشت در مورد مفهوم شهر مجازی در مورد این نوع سایت‌ها وجود دارد. از آنجایی که شرایط تبدیل شدن یک وب‌سایت به شهرمجازی به روشنی تعریف نشده گاه برخی پایگاه‌های اینترنتی از این عنوان برای توصیف خودشان استفاده می‌کنند در حالی که ویژگی‌های یک شهرمجازی را دارا نیستند. اغلب وب‌سایت‌های فارسی زبان که از عنوان شهرمجازی استفاده کرده‌اند در این گروه قرار می‌گیرند. هرچند وقت‌ یک‌ بار خبر راه‌اندازی پروژه‌ای در وب فارسی منتشر می‌شود که عنوان شهرمجازی را با خود یدک می‌کشد ولی مشخص نیست چه تفاوتی با سایر پایگاه‌های اطلاع‌رسانی و سرویس‌دهنده دارد. شهر مجازی کتاب، شهر مجازی قرآنی، شهر مجازی ایده‌های شهروندی و به ‌تازگی شهر مجازی دانشجویان ایران از جمله این نمونه‌ها هستند. www.iritn.com

دوستان سلام

اگر در یک سازمان دولتی یا خصوصی مشغول فعالیت میباشد و خود سری و بی نظمی سازمان شما را به عنوان مسئول IT انجا کلافه نموده است ، توصیه من راضی نمودن مدیر منابع انسانی به فرمی شبیه ذیل از سوی همه کاربران میباشد هر چند خود من هنوز موفق به اخذ تایید نهایی نشده ام.البته این یک فرمت اولیه است و به دلخواه خود میتوانید آنرا بسته به نیاز های سازمانتان تغییر دهید.

بسمه تعالی

تعاریف

·         واحد ICT ارائه دهنده خدمات

·         کاربر:استفاده کننده از سیستم

·         شبکه ICT:زیر ساخت ، تسهیلات ،تجهیزات و سایر ادوات که در حوزه تمامیت این واحد قرار داشته و اداره و نگهداری میشود.

·         ترافیک :حجم تبادل داده در شبکه

·         وقفه در خدمات : عبارتست از وقفه در مبادله بسته های IP که از طریق شبکه ICT بین تجهیزات و هر نشانی روی شبکه داخلی یا خارجی اتفاق می افتد.

·         نماینده ICT : عبارتست از نیروی مستقیم یا نیروی تحت حمایت حوزه فنی واحد ICT.

تعهدات واحد ICT:

1.       ایجاد ارتباط در شبکه ICT بین کاربر تعریف شده و نقاط مجاز و قابل استفاده جهت کاربر.

2.       ایجاد متوسط  ماهیانه زمان رفت و برگشت بسته های اطلاعاتی در شبکه اینترنت عمومی روی 750 میلی ثانیه تا حد اکثر 800 میلی ثانیه.

3.       ایجاد ارتباط روی بستر LAN و شبکه فیبر نوری و یا سیم مسی  سازمان روی حد اکثر 100 میلی ثانیه.

4.       انجام سرویس کاربر با مجوز مدیر مربوطه و در چها چوب سیاست های تکنولوژی اطلاعات و ارتباطی سازمان براساس تشخیص اولویت از سوی مدیر و سرپرست مربوطه از طریق در خواست رسمی کاربر که دارای امضاء مدیر نامبرده نیز باشد.

5.       انجام backup از اطلاعات و مسیر های معرفی شده توسط کاربر از طریق فرم رسمی سازمانی یا در خواست اتوماسیون اداری و با مجوز مدیر کاربر.

6.       آماده سازی سیستم و تجهیزات سخت افزاری کاربر با رعایت سیاست های سخت افزاری سازمان.

7.       آماده سازی  سیستم عامل و نرم افزارهای  کاری کاربر با رعایت سیاست های نرم افزاری سازمان.

8.       ارائه نام کاربری و پسورد عبور برای هر یک از موارد 6و 7 جهت امنیت اطلاعاتی کاربر.

 

9.       برقرار بودن شبکه ارتباطی به میزان متوسط 95 % ماهیانه.

10.   موارد ذیل وقفه تلقی نمی گردند:

•         هر گونه وقفه در اثر سرویسهای دوره ای و با اطلاع قبلی.

•         هر گونه مشکل که ناشی از عدم رعایت قوانین از سوی یک کاربر متخلف یا ناشی از اشکالات خارج از عهده این واحد باشد.

•         هر گونه وقفه با اطلاع قبلی ناشی از توسعه منطقه ای از شبکه.

تعهدات مشترک:

رعایت کلیه قوانین و مقررات کشور در حوزه استفاده از تکنولوژی اطلاعات و ارتباطات.

عدم ورود به سایت های غیر اخلاقی و غیر عرف و مغایر با شئونات اسلامی.

خودداری نمودن از ایجاد هرگونه اختلال نرم افزاری و سخت افزاری.

محافظت از نام کاربری و رمز عبور جهت سخت افزار و نرم افزارهای حوزه کاری خود.

عدم ایجاد هرگونه تغییر در شبکه و یا تجهیزات مورد اسفاده و یا نرم افزارهای موجوددر سازمان.

حفاظت از اطلاعات خود و سایر همکاران و به خصوص اطلاعات سازمان.

عدم  سعی در استفاده از درگاههای سخت افزاری و نرم افزاری ممنوع در سازمان و کشور.

عدم رد و بدل نمودن اطلاعات سازمان از طریق درگاههای ارتباطی مانند E-mail بدون مجوز از مدیر مربوطه.

عدم استفاده از تجهیزات شخصی جهت اتصال و استفاده به سیستم های سازمان.(مانند موبایل و حافظه جانبی و ....)

حفاظت از سخت افزار و نرم افزار تحویلی و امضاء فرم تحویل به هنگام دریافت منابع لازم ICT در سازمان.

عدم استفاده از منابع  سخت افزاری و نرم افزاری سازمان بدون احذ مجوز لازم از مدیر مربوطه.

توجه:

واحد ICT متولی آموزش کاربر نبوده و تعهدی در این مقوله ندارد مگر در مواردی که یک روش استفاده خاص را معرفی می نماید که مطمئنا دستورالعمل آن به اطلاع کاربر مربوطه خواهد رسید.

واحد ICT در مورد انجام و مشاوره سرویسهای شخصی و خارج از محدوده سازمان تعهدی به کاربر ندارد.

واحد ICT در صورت مشاهده عدم رعایت هر یک از موارد فوق الذکر نسبت به قطع موقت یا دائم کاربر اقدام نموده و موارد را جهت هرگونه برخورد انضباطی به اطلاع مدیر مربوطه و معاونت ادرای سازمان خواهد رسانید.

اولویت انجام سرویس متقاضی منوط به  رعایت اولویت بندی از سوی واحد ICT میباشد نه از سوی کاربر .

هر گونه نصب و حذف نرم افزاری و یا سخت افزاری از سوی کاربر ممنوع میباشد.

تحویل و جابه جایی سخت افزارها با رعایت سیاست های ICT سازمان بوده و واحد ICT همواره این حق را برای خود در جهت مصالح سازمان محفوظ میدارد.

 

 

 

بازیافت اطلاعات

 

اطلاعاتي كه بر روي كامپيوتر توسط عواملي مانند صدمات سخت افزاري، پاك كردن و فرمت كردن از بين مي روند، لزوماً غير قابل دسترس محسوب نمي شوند. غير قابل دسترس بودن اطلاعات بدين معناست كه سيستم عامل ديگر به آنها دسترسي ندارد. در چنين حالتي، اغلبِ آنها را مي شود با برنامه هاي خاص و سرويس هاي پيشرفتة بازيافت اطلاعات دوباره برگرداند. هزينة بازيافت اين اطلاعات، بسته به ميزان خسارت وارد شده متفاوت است.

به عنوان مثال، تصور كنيد كه يك Laptop 3 روز در يك نهر آب قرار گرفته، يا حريق، همة كامپيوترها و Raid-System ها را سوزانده و آب كرده است، هارد با سر و صداي زيادي كه از خود توليد مي كند، از Head-Crash كردن خود خبر مي دهد، ويروسي اطلاعات را پاك، Master Boot Record را نابود يا باعث بروز اشتباه در فايل سيستم مي شود. حتي خود Clean-Up-Utility بعضي اوقات فايل هاي مهم را از هم جدا مي كند. گاهي هم خود كاربران وقتي كه در حالتهاي عصبي قرار مي گيرند، پارتيشني را به اشتباه فرمت يا دايركتوري را پاك مي كنند.
تحقيقات نشان مي دهند كه صدمات سخت افزاري با 44% بيشترين سهم را در پاك شدن و گم شدن اطلاعات دارند. ساير علتها به ترتيب عبارتند از: 32% به كار گيري فرامين اشتباه توسط كاربر، 14% خطاهاي برنامه و 7% ويروس هاي كامپيوتري.

هنگام بروز چنين مشكلاتي اغلب كاربران موضوع را تمام شده فرض كرده و تسليم آن مي شوند. زيرا تصور مي كنند كه اين اطلاعات، ديگر از دست رفته است. اما واقعيت، چيز ديگري است.
اگر فقط اشتباهات منطقي در ابزار ذخيرة اطلاعات ( شامل هارد، ديسكت، CD و ... ) به وجود بيايد، حتي خود شخص در اين زمينه مي تواند با نرم افزارهاي مناسبي اطلاعات از دست رفته را دوباره بازيافت كند. كاربراني كه فايل، دايركتوري يا پارتيشن هايي را به اشتباه پاك مي كنند يا ابزار ذخيرة اطلاعات را دوباره فرمت مي كنند، در واقع به خود اطلاعات ضربه نمي زنند. با اينكه اطلاعات، براي سيستم عامل و سرپرستي File System ديگر وجود خارجي ندارند، اما در واقع هنوز روي اين ابزار ضبط اطلاعات قرار دارند و به راحتي و به طور كامل توسط Recovery-Utility قابل بازيافت هستند. بنابراين، نبايد ابزار ضبط اطلاعات دور انداخته شود. CD-Rom هاي سوخته يا غير قابل خوانده شدن هم نبايد توسط كاربران دور انداخته شوند. به كمك برنامه هاي بازيافت اطلاعات، اين اطلاعاتِ غير قابل دسترس براي شخص ديگري قابل دسترس خواهند شد. بنابراين، كسي كه اين ابزار ضبط اطلاعات را دور بيندازد، در قبال قرار گرفتن اين اطلاعات در دست شخص ديگري مسئول خواهد بود.
قبل از اينكه عمليات نجات اطلاعات انجام شود، موارد زير بايد مدنظر قرار بگيرد. اگر مشخص نيست كه چه نوع صدمه اي باعث عدم دسترسي به اطلاعات شده است، كاربران بايد خيلي مواظب باشند. زيرا كه ممكن است هنگام Restart كامپيوتر، سيستم، به واسطة ايجاد فايل هاي موقتي در سكتورهايي كه اشتباهاً كامپيوتر آنها را به صورت خالي فرض كرده، اطلاعات مهم را روي آن Overwrite كند؛ اطلاعاتي كه بعداً به سختي قابل بازيافت خواهند بود.
همچنين هنگام راه اندازي مجدد سخت افزار مثلاً هارد، اين امكان وجود دارد كه حركت هد خواننده و نويسندة اطلاعات باعث، گم شدن گسترده تر اطلاعات شود. اصولاً هنگام بروز خطاهاي فيزيكي هارد مانند Crash كردن هد، توصيه نمي شود كه شخصاً اقدام كنيد. اگر اين خطا تنها در ارتباط با خطاهاي منطقي باشد، برنامه هاي بازيافت و نجات اطلاعات از هزينة بالاي بازيافت آن در آزمايشگاهها جلوگيري مي كند.
ويروسها و موارد ديگر اگر يك ويروس Master Boot Record يا(File Allocation able) FAT را تخريب كند، هارد اطلاعات را ديگر نمي تواند بخواند، اما خللي در ماهيت واقعي آنها داده نمي شود. چنين اطلاعاتي شبيه كتابي است كه شماره صفحه و فهرست ندارد و صفحات آن در هم و برهم است. يعني همة كتاب موجود است، ولي چون نظم ندارد، عملاً غير قابل استفاده است. كسي كه پس از پديدار شدن خطاي منطقي، نرم افزاري را دوباره نصب مي كند، خطر Overwrite شدن روي اطلاعات قديمي را افزايش مي دهد. در چنين حالتي، يا نجات اطلاعات بسيار مشكل مي شود يا اينكه فقط به كمك افراد متخصص در Recovery-Labor ها امكان پذير مي شود.
ابزارهاي متعددي براي استفاده كاربران جهت بازيافت اطلاعات وجود دارند. اين ابزارها، بسته به نوع برنامه، هم براي سيستم Dos وجود دارد و هم براي سيستم هاي وينــدوز 95 ، 98 ، Me ، NT و 2000 . R-Studio از ســري ابــزارهاي R-Tool و File Recovery For Windows از سري تكنولوژي LC در حال حاضر براي ويندوز XP ارائه مي شوند.
اصولاً امكان نجات اطلاعات بر روي ديسكت، هارد و نوارهاي مغناطيسي به صورت محلي و از طريق شبكه با استفاده از اتصالات TCP/IP امكان پذير است. علاوه بر اين، براي محدوده هاي شبكه، راهكار خاصي وجود دارد، مانند StellarPhoenix براي Novell Netware .
محصولاتي مانند File recovery For Windows ، سيستم هاي Raid و Soft-Raid را نيز پشتيباني مي كند. همچنين دارندگان دوربين هاي ديجيتالي به كمك آن مي توانند اطلاعات پاك شده خود را تحت هر شرايطي بازيافت كنند، چون اين تسهيلات نيز براي جايگزاري با Smart Media ، Compact Flash و Memory Sticks مناسب است.
فرمت به كار رفتة فايل سيستم، نقش تعيين كننده اي براي بازيافت اطلاعات ندارد. براي هر فرمت به كار رفته تحت ويندوز مانند NTFS,FAT32,FAT16,Fat12 و NTFS5 يك ابزار بازيافت مناسب وجود دارد. در همان حال كه File Scavanger جهت نجات فايل هاي پاك شده تحت NTFS به كار مي رود، Easy Recovery 5.1 Professional تمامي فرمت ها را پشتيباني مي كند و مزيت آن، به شرطي كه فرمت فايل سيستمي كه در آن اطلاعات بازيافت شونده قرار دارند، مشخص باشد، سرعت بالاي آن در بازيافت اطلاعات است. به علاوه Easy Recovery بازيافت در Raw-Modus را نيز امكان پذير مي سازد. در اين حال به همه واحدهاي فايل ها، يك شماره ويژه به عنوان اسم اختصاص داده مي شود اين شماره، پيدا كردن فايل هاي مشخص را مشكل تر مي كند. اما اين برنامه شاخص هاي فايل ها (Extension) را نزد خود نگه مي دارد.

بازيافت فايل هاي خراب Office

اغلب ابزارهاي بازيافت مانند Final Data Enterprise ، اطلاعات را بدون توجه به فرمت فايل كنوني آنها دوباره بازيافت مي كند. R-Studio همچنين فايل هاي فشرده و كدگذاري شده را بازيافت مي كند.
محتواي برنامه Office-Recovery-Suite 2.0 Professional عبارت است از قراردادن يك رديف از Add ها براي كاربردهاي Excel , Access , Microsoft-OfficeWord و PowerPoint .
اين نرم افزار پس از نصب، با فرمان Recover يك عملكرد بازيافت را در منوي File برنامه Office كنوني اجرا مي كند. پس از فعال كردن دستور، كاربر فايلي را كه به عنوان مثال به واسطة حملة ويروسي، فروپاشي سيستم يا دستور اشتباه، آسيب ديده است، انتخاب و روي Open كليك مي كند.پس از آن، فايل هايي، كه اغلب آنها را اطلاعات فرسوده شده و بازيافت شده تشكيل مي دهد، به خاطر مسائل حفاظتي در يك Document جديد نگهداري مي شوند. به اين ترتيب، اين برنامه به فايل هاي مرجع خراب دوباره آسيب نمي زند. تحت Excel مي شود بر حسب ميزان خرابي فايل، تحت شرايطي ساختارهاي جداول چند منظوره به همراه متن ها، مرجع ها، فرمت ها و دستورها را بازيافت كرد. از طرفي ابزارهاي بازيافت براي استفاده از Office اجازه مي دهند كه از اطلاعات نسخه هاي جديد Excel تحت يك نسخة قديمي استفاده شود. درباره عملكردهايي مثل فرمت هاي مشخص كه فقط توسط Excel 2002 پشتيباني مي شوند، كاربران بايد از Excel 97 صرفنظر كنند.

بازيافت E-Mail هاي پاك شده

برنامة Final-E-Mail يكي از برنامه هايي است كه براي بازيافت E-Mail هاي پاك شده و زير مجموعه هاي آن شامل Sent , Draft , Folder Inbox يا Trash طراحي و ساخته شده است. تك تك فايل هاي .EML به همان اندازة فايل هاي .DBX و فرمت Folder هاي .DBX و .MBX كه مورد استفادة Outlook Express , Outlook و Eudora-Mail قرار مي گيرد، قابل بازيافت هستند. همچنين برنامة Netscape Mail نيز پشتيباني مي شود.
پس از استارت Final-Data كه برنامه Final-E-Mail را نيز شامل مي شود، اول بايد درايوي كه E-Mail هاي گم شده در آن قرار دارند، انتخاب شود. از طريق منوي File به فرمان Find دسترسي مي يابيد. پس از آن بايد شاخص فايلِ به كار رفته، مثلاً .DBX وارد شود و با اجراي دستور Find عمليات جستجو فعال شود. سپس اين برنامه همة فايل هاي .DBX را ليست مي كند.
Final-Data پس از نشان زدن فايل Outlook.dbx و انتخاب دستور Recover E-Mail File از طريق منوي Repair ، تك تك قسمتها شامل فرستنده، موضوع، اندازه و تاريخ فايل را ليست مي كند. اكنون
E-Mail ها با اجراي دستور Recover توسط شخص قابل بازيافت است. همة اين كارها تا زماني عمل مي كند كه اطلاعات جديد روي فايل هاي پاك شده قبلي جايگزين نشوند.

كمك هاي پيشرفته و حرفه اي

از آنجا كه امكان بازيافت هر فايل آسيب ديده اي وجود ندارد، قيمتهاي بين 35 تا 1000 دلار آمريكا براي برنامه هاي نجات اطلاعات، كمي قابل تامل است. به همين خاطر، اغلب توليد كنندگان اين برنامه ها، نسخه هاي آزمايشي اين برنامه ها را جهت Download در اينترنت ارائه مي كنند. اما اين برنامه ها خيلي محدود هستند. براي مثال، به واسطة استفاده از اين برنامه ها فقط نجات فايل هايي با حجم 4 ، 10 يا 15 كيلو بايت ميسر است، ولي اين برنامه ها مشخص مي كنند كه چه فايل هايي تحت چه شرايطي قابل بازيافت هستند. نسخه هاي رايگان Ontrack ، ابزارهاي ضبط اطلاعات را تحليل مي كنند، فايل هايي را كه با نسخة كامل قابل بازيافت مي باشند، تست مي كنند و به يك فايل اجازة بازيافت مي دهند.
اگر خود محدودة اطلاعات آسيب ديده باشد، مثلاً به واسطة Overwrite يا خطاهاي سخت افزاري مثل Crash هارد، آن وقت نجات اطلاعات در محلهاي مورد نظر غير ممكن است، ولي در اطراف قسمت آسيب ديده، سكتورهاي سالم زيادي وجود دارد.
در اتاقهاي مخصوص در آزمايشگاههاي Ontrack , Vogan يا Ibas براي متخصصان اين امكان وجود دارد كه اطلاعات درست را بازيافت كنند، بويژه در مورد كامپيوترهايي كه مدت زمان طولاني در آب دريا قرار گرفته باشند يا در آتش سوزي سوخته باشند ( صفحة هارد از كبالت و نيكل ساخته شده و تا دماي 700 درجه سانتيگراد تحمل دارد. در چنين حرارتي فقط مشتي خاكستر از خانه باقي خواهد ماند.)
براي آناليز صفحات هارد، متخصصان Ibas از يك دستگاه ساخته شده به نام Pattern Analyzer استفاده مي كنند. آنها توسط اين دستگاه صفحات هارد را باز مي كنند و به آن حركت دوراني مي دهند كه كنترل شده نيز باشد. بدين ترتيب، عمل خواندن محدوده هاي كوچك و غير آسيب ديده صفحة هارد امكان پذير مي شود.
هد خواننده را كه توسط دست قابل هدايت است و از طريق سيگنال هاي يك اسيلوگراف در مدار قرار مي گيرد، مي توان در مكان و موقعيت مورد نظر قرار داد. در محلهاي خوانده شده روي هارد در قسمت هد خواننده، به خاطر مغناطيس موجود جريان الكتريسيته ايجاد مي شود و در نتيجه، سيگنال هاي آنالوگ حاصل مي شود. يك دستگاه الكترونيكي اين سيگنال هاي آنالوگ را اندازه گيري و آنها را به اطلاعات ديجيتالي تبديل مي كند. به اين ترتيب، علائم، فايل ها يا كليه ساختارهاي فهرست شده مي توانند بازيافت شوند.
در حال حاضر، نجات اطلاعات در حالتهاي شديد هزينة بالايي دارد. قبل از هر كاري، آناليز اطلاعات آسيب ديده مطرح است. هم اكنون، فرايند بازيافت اطلاعات براي يك هارد نرمال توسط شركت Ontrack و Ibas 450 مارك هزينه در بر دارد. با اين حال، شركت Ibas اگر در روند بازيافت اطلاعات موفق شود، هزينه را از شخص دريافت مي كند. اين كار شايد برحسب نوع اطلاعات به بيش از دهها هزار مارك بالغ شود.

پاك كردن مطمئن اطلاعات

گاهي اوقات، پاك كردن اطلاعات يك هارد به صورت غير قابل بازيافت، مهم است براي مثال، زماني كه بخواهيد كامپيوتر خود را به شخص ديگري بفروشيد. پاك كردن معمولي يا فرمت كردن، همان طور كه توضيح داده شد، از بازيافت مجدد آنها جلوگيري نمي كند. همچنين بكارگيري يك Degausser هميشه تخريب كامل را به همراه خواهد داشت؛ تا آنجا كه هارد، غير قابل استفاده مي شود.
براي پاك كردن همة آثار و علائم از روي هارد، ابزارهاي خاصي لازم است كه همة اطلاعات هارد را به صورت فيزيكي پاك كند، ولي در عين حال به هارد ضربه نزند.
براي مثال Ibas با ابزار Expert Eraser چنين نرم افزاري را ارائه مي دهد. اين برنامه كه براساس سيستم عامل Dos كار مي كند، مستقل از Bios و سيستم عامل، به واسطة ديسكت عمل مي كند و با هر كامپيوتر سازگار با IBM با پروسسور 386 به بالا و 640 كيلو بايت RAM كار مي كند. برنامه Expert Eraser هاردهاي IDE و SCSI را به صورت اتوماتيك مي شناسد. پس از نصب اين برنامه، هارد به صورت غير قابل برگشت پاك مي شود و حتي متخصصان در آزمايشگاه در اين حالت نيز هيچ اطلاعاتي را نمي توانند بازيافت كنند.
اقدامات پيشگيري كننده براي اينكه كاربران در وضعيت اضطرار قرار نگيرند كه مجبور بشوند اطلاعات خود را دوباره بازيافت كنند، بايد به نكات زير توجه كرد.
· اطلاعات مهم بايد هميشه حفاظت بشوند؛ به همين دليل بايد از آنها Backup تهيه كرد. همچنين توصيه مي شود كه دوباره ذخيره شوند، مثلاً به روش ديگر يا در جاي ديگري در كامپيوتر ضبط شوند. توجه كنيد كه كامپيوتر را بايد از تغييرات شديد آب و هوايي دور نگاه داشت.
· از وارد شدن صدمه و ضربه به كامپيوتر جلوگيري به عمل آوريد. ضربات كوچك، وضعيت هارد را دگرگون مي كند و هد ضبط و خواننده اطلاعات را از محل اصلي خود جا به جا مي كند. اگر بدنة هارد باز شود خطر Head-Crash آن را تهديد مي كند. با توجه به فاصله سر هد تا صفحة هارد كه بين 25 تا 50 نانومتر است، اثر انگشت يا حتي غبار هوا باعث Crash كردن آن مي شود.
· فايل هاي مهم به هيچ وجه نبايد در دايركتوري Root يا روي ابزارهاي ضبطي كه پر هستند ذخيره شوند. در اين حالت، بزرگترين خطر اين است كه ويندوز اطلاعات آسيب ديده را با فايل هاي موقتي Overwrite كند.
· اگر واضح نيست كه كدام نوع خطا باعث گم شدن اطلاعات شده است، يا سر و صداهاي غير معمول خبر از مشكلات سخت افزاري مي دهد، كاربران نبايد خود وارد عمل شوند. در چنين حالتي Restart مي تواند باعث گسترش مكانهاي آسيب ديده شود و اين موضوع باعث از دست رفتن اطلاعاتي مي شود كه البته قابل بازيافت هستند.
· اطلاعات آسيب ديده نبايد مستقيم مورد استفاده قرار بگيرند و دسترسي فقط از طريق يك ابزار ضبط اطلاعاتِ ديگر، موفقيت آميز است. اطلاعاتي كه بايد بازيافت شوند، بر روي اين ابزار ضبط اطلاعات قرار مي گيرند و به هيچ وجه روي ابزار ضبط اطلاعات خراب كه عمل پاك شدن روي آن واقع شده، قرار نمي گيرند.
· اگر انجام عمليات موفقيت آميز نجات اطلاعات، هدف است، عمل Defragment بسيار مؤثر خواهد بود. اطلاعاتي كه Defrag شده اند، نسبت به اطلاعاتي كه به صورت پراكنده روي هارد ضبط شده اند، آسانتر و سريعتر قابل بازيافت هستند.

این مقاله را در حالی روی سایت قرار میدهم که ذکر یک خاطره جالب را هم خالی از لطف نمیدانم:

سال 1386 سرور کارخانه در اثر یک اشتباه ناشی از خطای انسانی raid خود را از دست داده دید.من تعادل روانی خود را از دست دادم تصمیم به اعزام سرور به تهران گرفتم.با مشورت با آقای مهندس امینی قرار شدشبانه خودم سرور را به تهران برده و بازیابی انجام گردد.هزینه حداقل 500 هزار تومان بود به جز هزینه های ارسال و برگشت سرور با آژانس اختصاصی.مهندس امنیی پیش از این با setup اسن سرور آشنا بود.اخلاق جالب او ور رفتن با مواردی خاص مانند همین موضوع است.وقت خریدن سرور ،رامین چند روزی را با کنکاش در پارامترهای سرور طی کرده بود و اصولا باید از این بابت این را یک مزیت صد در صد اخلاقی و حرفه ای در او شمرد.به هر روی احساس کردم رامین میل دارد قبل از ارسال به تهران آزمایشی رو ی کنکاش هایش انجام دهد.علیرغم اضطراب زیاد و طولانی شدن مسیر این مسئله را پذیرفتم.روحیه بدی داشتم.سرور را به دفتر نگارستان آوردم و خودم از فرط خستگی روی صندلی افتادم.هنوز چند دقیقه ای نگذشته بود که دیدم رامین با چشمانی که برق شادی از آن میجهد به مانیتور خیره شده است.گفتم جواب گرفتی؟ جواب داد:الان معلوم میشود ....و جواب گرفت. از او همیشه ممنونم و سپاسگزار.همیاری را آن شب به معنای واقعی میشد دید.---------------------------------

 

 

IATFF ( برگرفته شده از Information Assurance Technical Framework Forum ) سازمانی است كه توسط NSA ( برگرفته شده از  National Security Agency  ) حمايت می گردد و مهمترين وظيفه آن مبادله اطلاعات فنی بين صنايع امريكا ، موسسات آموزشی و سازمان های دولتی امريكا بر روی موضوع مهم امنيت و يا تضمين امنيت اطلاعات است .
IATFF ، سند IATF ( برگرفته شده از  Information Assurance Technical Framework ) را توليد و اخيرا" نسخه 1 . 3 آن را منشتر كرده است . در اين سند به  فرآيندها و  توصيه هائی در جهت حفاظت از سيستم های اطلاعاتی بر اساس اصول مهندسی سيستم اشاره شده است .
در سند فوق به سه عنصر تاثير گذار در امنيت اطلاعات يعنی انسان ، عمليات و فناوری ها اشاره شده است . سه موجوديت فوق ، اساس متدلوژی "دفاع در عمق " در تشكيل می دهند .
در ادامه با اين استراتژی امنيتی حفاظتی و اصول اساسی آن بيشتر آشنا می شويم .

دفاع در عمق چيست ؟
دفاع در عمق ، يك مدل حفاظتی لايه ای برای اجزاء مهم سيستم های اطلاعاتی است . استراتژی دفاع در عمق محدوده های زير را شامل می شود :

• حفاظت از شبكه و زيرساخت
• حفاظت و دفاع در محدوده های مرزی  ( نقطه تماس شبكه با ساير شبكه ها )
• حفاظت و دفاع ار محيط محاسباتی و عملياتی
• زيرساخت های حمايتی

واژه "محدوده مرزی " كه در استراتژی دفاع در عمق به آن اشاره شده است ، به مجموعه ای از محيط های محاسباتی و عملياتی متصل شده توسط يك و يا چندين شبكه داخلی كه تحت كنترل يك مجوز و سياست امنيتی می باشند ، اشاره دارد.

استراتژی‌ دفاع در عمق  : موجوديت ها
استراتژی دفاع در عمق مبتنی بر سه عنصر حياتی  انسان ، فناوری و عمليات است .

انسان
برای پياده سازی موثر امنيت اطلاعات در يك سازمان ، مديريت می بايست دارای يك شناخت مناسب سطح بالا نسبت به فرآيندها باشد . اين شناخت توسط آيتم ها و فعاليت های زير مشخص می گردند .

• پياده سازی سياست ها و رويه های امنيت اطلاعات
• تعيين وظايف و مسئوليت ها
• آموزش كاركنان حياتی
• الزام كاركنان به پاسخگوئی
• شناخت صحيح منابع
• استقرار كنترل های امنيت فيزيكی
• استقرار كنترل امنيت كاركنان
• تعيين مجازات متناسب با رفتارهای غيرمجاز

فناوری
يك سازمان می بايست اين اطمينان را داشته باشد كه از فناوری های مناسب به منظور پياده سازی سرويس های مورد نياز جهت حفاظت اطلاعات استفاده می نمايد . نيل به اهداف فوق مستلزم بكارگيری فرآيندها و سياست های زير برای بدست آوردن و استفاده صحيح از فناوری است .

• يك سياست امنيتی
• معماری تضمين  امنيت اطلاعات در سطح سيستم
• استانداردهای تضمين امنيت اطلاعات در سطح سيستم
• اصول تضمين امنيت اطلاعات
• ضوابط مشخص برای تضمين امنيت اطلاعات محصولات مورد نياز
• بدست آوردن محصولات معتبر و قابل اطمينان
• توصيه ها و پيشنهادات پيكربندی
• فرآيندهای تشخيص تهديدات برای سيستم های يكپارچه

عمليات
عمليات بر فعاليت ها و آيتم های مورد نياز به منظور نگهداری وضعيت امنيت يك سازمان تاكيد و موارد زير را شامل می شود :

• يك سياست امنيتی ملموس و به روز
• تاكيد بر سياست امنيت اطلاعات
• تائيد و  اعتبار گذاری
• مديريت وضعيت امنيت اطلاعات
• سرويس های مديريت كليد
• تشخيص آمادگی
• حفاظت از زيرساخت
• ارزيابی وضعيت امنيت سيستم
• مانيتورينگ و واكنش در مقابل تهديدات
• تشخيص حملات ، هشدار و پاسخ
• بازيافت و بازسازی مجدد

استراتژی‌ دفاع در عمق  : محدوده حفاظتی
استراتژی دفاع در عمق  ، دفاع در مقابل حملات زير را تضمين می نمايد :

• Passive : حملات Passive  شامل تجزيه و تحليل ترافيك ، مانيتورينگ مبادله اطلاعات غيرحفاظت شده ، رمزگشائی ترافيك رمزشده ضعيف  ، بدست آوردن اطلاعات تائيديه ( نظير رمزهای عبور ) می باشد.
  رهگيری passive عمليات شبكه ، دانش لازم جهت تدارك و برنامه ريزی حملات را در اختيار مهاجمان قرار می دهد . اين نوع حملات می تواند منتج به افشاء اطلاعات و يا فايل های داده برای مهاجمان بدون آگاهی و رضايت كاربران گردد . 
• active : حملات active تلاش برای نفوذ در سيستم  و ناديده گرفتن اقدامات امنيتی ، معرفی كدهای مخرب ، سرقت و اصلاح اطلاعات را شامل می شود . شعاع اين نوع حملات بسيار گسترده می باشد . هدف قرار دادن ستون فقرات شبكه ، بهره برداری و يا سوء استفاده از اطلاعات در حال عبور و  نفوذ الكترونيكی در يك ناحيه خاص نمونه هائی متداول در اين زمينه می باشند .حملات active می تواند افشاء فايل های داده ، حملات DoS و يا تغيير داده را به دنبال داشته باشد .
• Close-in : حملات فوق با هدف دستيابی فيزيكی به شبكه و سيستم ها به منظور تغيير ، جمع آوری و غيرقابل دسترس كردن اطلاعات انجام می گردند . 
• Insider : : اين نوع حملات می تواند مخرب و يا غيرمخرب باشند . حملات مخرب  استراق سمع ، سرقت و آسيب رساندن به اطلاعات، استفاده از اطلاعات با اهداف فريبكارانه و يا غيرفعال كردن سرويس ها وخدمات برای ساير كاربران مجاز را شامل می شود . حملات غيرمخرب عموما" به دليل عدم دقت لازم و ضعف دانش كاربران محقق می گردند . 
• Distribution : اين نوع حملات با انجام تغييرات مخرب بر روی سخت افزار و يا نرم افزار در كارخانه و يا شركت سازنده و يا در حين توزيع صورت می پذيرند .  در اين نوع حملات با معرفی كدهای مخرب درون يك محصول ( نظير يك back door ) ، امكان دستيابی غيرمجاز به اطلاعات و قابليت های سيستم در آينده فراهم می گردد . 

استراتژی‌ دفاع در عمق  : ابزارها و مكانيزم ها
برای مقاومت در مقابل اين نوع حملات ،  استراتژی دفاع در عمق  ، روش های زير را ارائه كرده است :

• دفاع در چندين  مكان : بكارگيری مكانيزم های حفاظت اطلاعات در چندين مكان به منظور حفاظت در مقابل تهديدات داخلی و يا خارجی
• دفاع لايه ای : بكارگيری چندين مكانيزم تشخيص و حفاظتی تا يك مهاجم مجبور به عبور از موانع مختلف جهت دستيابی به اطلاعات حياتی گردد . 
• استحكام امنيتی : بر اساس ارزش عناصر سيستم اطلاعاتی و تهديدات پيش بينی شده ، ميزان استحكام لايه های امنيتی می بايست به درستی تخمين و پياده سازی گردد . 
• بكارگيری KMI/PKI : بكارگيری زيرساخت مديريت كليد ، KMI ( برگرفته شده از key management infrastructure  )   و زيرساخت كليد عمومی ، PKI ( برگرفته شده از public key infrastructure ) 
• بكارگيری سيستم های تشخيص مزاحمين : بكارگيری مكانيزم هائی برای تشخيص مزاحمين ، ارزيابی اطلاعات ، بررسی نتايج و در صورت ضرورت انجام واكنش های لازم .

استراتژی‌ دفاع در عمق  : پياده سازی
استراتژی دفاع در عمق می تواند در مرحله پياده سازی منابع زيادی را مصرف نمايد . برای كمك در جهت تعديل و يا كاهش هزينه پياده سازی رويكرد فوق ، توصيه های زير ارائه شده است .

• اتخاذ تصميم در خصوص امنيت اطلاعات بر اساس آناليز تهديدات و اهداف كليدی عملياتی سيستم 
•  توجه به سه موجوديت مهم موجود در استراتژی دفاع در عمق : انسان ، عمليات و فن آوری . بدون وجود افراد آموزش ديده و رويه های عملياتی استفاده مطلوب از مزايای فناوری ها فراهم نخواهد شد .
• تدوين و پياده سازی يك برنامه آموزشی جامع ، استفاده از تجارب عملی ديگران و اطلاع رسانی به موقع
• دستيابی اداواری به وضعيت زيرساخت اطلاعات . بكارگيری ابزارهای فنی نظير پويش اتوماتيك شبكه می تواند در تشخيص به موقع نقاط آسيب پذير مفيد واقع شوند .
• انجام واكنش های لازم در مقابل اهداف مخرب و برخورد مناسب و به موقع با فعاليت هائی كه ممكن است سهوا" انجام شده باشد .
• بكارگيری رويكردهای حفاظتی مشترك و چندگانه جهت مقابله با رويدادهای قابل پيش بينی . بدين ترتيب ،  نفوذ از يك لايه ( با فرض موفقيت آميز بودن آن ) باعث بروز مسائل امنيتی برای تمامی زيرساخت اطلاعات نخواهد شد .
• حصول اطمينان از اين موضوع كه صرفا" كاركنان معتمد دارای دستيابی فيزيكی به سيستم می باشند ( بكارگيری روش های مختلف نظير مجوزها و اعتبارنامه ) .
• استفاده از رويه های مدون برای گزارش حوادث امنيتی به مراكز پاسخگو

جمع بندی
زيرساخت اطلاعات هر سازمان مشتمل بر مجموعه ای از سيستم های پيچيده است كه هر يك ممكن است نقاط آسيب پذير مختص به خود را داشته باشند . برای مقابله با تهديدات امنيتی ، از چندين راه حل به همراه اصول مقدماتی استراتژی دفاع در عمق استفاده می گردد . استراتژی دفاع در عمق ، يك ساختار لايه ای برای حفاظت از زيرساخت اطلاعات در يك سازمان است . در صورتی كه مهاجمان بتوانند با موفقيت از يك مانع با موفقيت عبور نمايند ، وجود لايه های حفاظتی ديگر امكان دستيابی آنان به منابع و اطلاعات حياتی موجود در سازمان را مشكل و يا غيرممكن می سازد.

علل بروز مشكلات امنيتی
امنيت شبكه های كامپيوتری و ايمن سازی زيرساخت فناوری اطلاعات به يكی از چالش های مهم برای بسياری از سازمان ها و موسسات مدرن اطلاعاتی تبديل شده است.كارشناسان فناوری اطلاعات همواره با اين پرسش مواجه هستند كه علل بروز مشكلات امنيتی در يك شبكه كامپيوتری چيست و چگونه می توان بطور سيستماتيك در جهت ايجاد و نگهداری ايمن زيرساخت فناوری‌ اطلاعات و منابع موجود بر روی آن قدم برداشت .
ريشه بسياری از مشكلات و مسائل امنيتی را می توان در سه ضعف عمده زير جستجو كرد :

• ضعف فناوری
• ضعف پيكربندی
• ضعف سياست ها

در ادامه به بررسی هر يك از موارد فوق خواهيم پرداخت .

ضعف فناوری 
ضعف فناوری به مواردی همچون پروتكل ها ، سيستم های عامل و سخت افزار  مرتبط می گردد .  اغلب به صورت پيش فرض ، پروتكل ها ، سيستم های عامل و سخت افزار ايمن نمی باشند . آگاهی از اين ضعف ها به ما كمك خواهد كرد تا بتوانيم قبل از بروز تهاجم ، شبكه های خود را ايمن سازيم . در واقع ، ضعف در فناوری به  عدم وجود شرايط مطلوب امنيتی در حوزه های سخت افزاری و  نرم افزاری  مربوط می گردد .
امروزه وجود ضعف در فناوری ها به يك چالش جدی برای متخصصان و كارشناسان فناوری اطلاعات تبديل شده است چراكه اكثر سخت افزارها  و نرم افزارهای استفاده شده در يك سازمان قبل از حضور كارشناسان در سيستم نصب و به بهره برداری رسيده است و آنان با مسائلی روبرو خواهند بود كه شايد خود سهمی در ايجاد آنها نداشته اند .
ضعف در فناوری ها را می توان به سه گروه عمده تقسيم نمود :

• ضعف پروتكل TCP/IP  : پروتكل TCP/IP دارای ضعف های امنيتی ذاتی‌ مختص به خود است چراكه طراحی آن به عنوان يك استاندارد باز مد نظر بوده است تا بتواند به سادگی و سهولت بيشتر امكان مبادله اطلاعات در شبكه را فراهم نمايد . مهمترين دليل گسترش پروتكل TCP/IP ، تبعيت آن از يك استاندارد باز است . علی رغم اين كه می توان ويژگی فوق را از نگاه مثبت ارزيابی كرد ،‌ ولی ماهيت استاندارد باز بودن پروتكل TCP/IP می تواند دليلی قانع كننده بر اين واقعيت باشد  كه چرا حملات در شبكه های كامپيوتری تا به اين اندازه ساده انجام می گيرد و درصد بسيار زيادی از آنها نيز توام با موفقيت است. بپذيريم كه امروزه تعداد بسيار زيادی از افراد فعال در عرصه شبكه های كامپيوتری با نحوه كار اين پروتكل به خوبی آشنا می باشند . همين آشنائی می تواند دانش اوليه به منظور برنامه ريزی و تدارك حملات در شبكه های كامپيوتری را در اختيار مهاجمان نيز قرار دهد .
  با اين كه برخی از مشكلات و ضعف های امنيتی پروتكل TCP/IP ماحصل ضعف در پياده سازی اين پروتكل در يك سيستم عامل خاص است كه  می بايست شناسائی و با آنها برخورد شود ، ‌ولی اين موضوع در جای خود نيز نگران كننده است كه پروتكل فوق می تواند خود به عنوان عاملی موثر در بروز مشكلات و ضعف های امنيتی مطرح و تاثيرگذار باشد.  ايجاد ضعف در مواردی نظير  حفاظت رمزعبور  ، فقدان تائيديه مورد نياز ، پروتكل های روتينگ ( كه بر روی تمامی شبكه منتشر خواهند شد ) و حفره های فايروال ها ، نمونه هائی در اين رابطه می باشند . 
  SMTP ( برگرفته از  Simple Mail Transfer Protocol  ) و SNMP ( برگرفته از Simple Network Management Protocol   ) ، دو نمونه از پروتكل های ذاتا" غيرايمن مجموعه پروتكل های TCP/IP  می باشند . 
  وجود ضعف در پروتكل TCP/IP ، تاكنون عامل بروز حملات متعددی در شبكه های كامپيوتری بوده است . IP spoofing  و man-in-the-middle دو نمونه متداول در اين زمينه م‍ی باشند . 

• ضعف سيستم عامل :  با اين كه هر سيستم عاملی دارای ضعف های امنيتی ‌مختص به خود است ، ولی عموميت و رواج يك سيستم عامل می تواند زمينه شناسائی و سوء استفاده از ضعف های امنيتی آن را تسريع نمايد . شايد به همين دليل باشد كه ضعف های ويندوز شركت مايكروسافت سريع تر از ساير سيستم های عامل بر همگان آشكار می شود چراكه اكثر كاربران بر روی كامپيوتر خود از يكی از نسخه های ويندوز اين شركت استفاده می نمايند . شايد بتوان گفت كه لينوكس و يا يونيكس نسبت به ويندوز دارای ضعف های امنيتی كمتری می باشند ولی سيستم های عامل فوق نيز دارای ضعف امنيتی مختص به خود می باشند كه به دليل عدم استفاده عام از آنها تاكنون كمتر شناسائی شده اند .  

• ضعف تجهيزات شبكه ای : تمامی تجهيزات شبكه ای نظير سرويس دهندگان ، روترها ، سوئيچ ها و نظاير آن دارای برخی ضعف های امنيتی ذاتی می باشند . با تبعيت از يك سياست تعريف شده مناسب برای پيكربندی و نصب تجهيزات شبكه ای می توان بطرز كاملا" محسوسی آثار و تبعات اين نوع ضعف های امنيتی را كاهش داد . نصب و پيكربندی هر گونه تجهيزات شبكه ای می بايست مبتنی بر اصول و سياست های امنيتی تعريف شده باشد . 

 ضعف پيكربندی
ضعف در پيكربندی ، نقش عوامل انسانی در بروز مشكلات امنيتی را به خوبی نشان می دهد . مديران شبكه و ساير كارشناسانی كه مسئوليت نصب و پيكربندی تجهيزات شبكه ای و غير شبكه ای در يك سازمان را برعهده دارند ، می توانند باعث بروز ضعف در پيكربندی شوند . متاسفانه ، در اغلب موارد مديران شبكه تجهيزات شبكه ای را با پيكربندی پيش فرض استفاده می نمايند و اقدامات لازم در جهت ايمن سازی پارامترهای تاثيرگذار در اين رابطه نظير ايمن سازی account مدير شبكه را انجام نمی دهند .
عوامل متعددی باعث بروز ضعف در پيكربندی می شوند :

•  استفاده غيرايمن از account كاربران : استفاده از account پيش فرض administrator بدون رمزعبور ، عدم كنترل و نظارت صحيح و مستمر بر روی شبكه بستر و شرايط لازم برای بروز مشكلات امنيتی و انجام حملات در يك شبكه كامپيوتری را فراهم می نمايد. در صورتی كه از يكی از نسخه های ويندوز سرويس دهنده استفاده می نمائيد ، می بايست account مربوط به administrator تغيير نام يابد . با انجام اين كار ، اين اطمينان اوليه ايجاد خواهد شد كه مهاجمان برای نفوذ به شبكه به زمان بيشتری جهت تشخيص account مدير شبكه نياز خواهند داشت .
  همچنين می بايست بر اساس سياست های تعريف شده به هر يك از كاربران متناسب با نياز آنان ، مجوزهائی واگذار گردد و هرگز به آنان مجوزهائی بيش از آن چيزی كه برای انجام كار به آن نياز دارند ، واگذار نگردد . 
  بد نيست به اين نكته مهم نيز اشاره نمائيم كه اسامی و رمز عبور كاربران عموما" بطور غيرايمن در طول شبكه حركت می نمايد .  مديران شبكه می بايست سياست های لازم در خصوص نحوه تعريف و حفاظت از رمز عبور را تدوين و آن را به كاربران شبكه آموزش دهند . 
   

• استفاده از system account كه رمز عبور آنها به سادگی قابل تشخيص است  :يكی ديگر از روش هائی كه می تواند مشكلات امنيتی در يك شبكه را به دنبال داشته باشد ، نسبت دادن رمزهای عبور به system account است كه امكان تشخيص آنها به سادگی وجود دارد .  برای پيشگيری از بروز اين چنين مسائل امنيتی ، مديران شبكه می بايست سياست هائی را بر روی سرويس دهندگان در شبكه تعريف نمايند كه صرفا" اجازه تعريف انواع خاصی از رمزهای عبور را فراهم نمايد و هر رمز عبور دارای يك تاريخ اعتبار معتبر باشد تا  پس از اتمام تاريخ مصرف ، امكان استفاده از آن وجود نداشته باشد .
  در اين رابطه لازم است كه كاربران بطور شفاف نسبت به اين موضوع توجيه گردند كه  نمی بايست از نام خود ، نام فرزند ، تاريخ تولد ، شماره شناسنامه و مواردی از اين قبيل به عنوان رمز عبور استفاده نمايند . به كاربران آموزش داده شود كه برای تعريف يك رمز عبور مناسب می بايست از تركيب حروف بزرگ ، كوچك  و حروف ويژه استفاده نمايند. رعايت موارد فوق ، شبكه شما را در مقابل حملاتی نظير  brute-force  كه از فايل های ديكشنری برای حدس رمزهای عبور استفاده می نمايند ، مقاوم می نمايد .
   

• عدم پيكربندی صحيح سرويس های اينترنت : برخی سازمان ها همچنان از آدرس های IP واقعی برای آدرس دهی هاست ها و سرويس دهندگان موجود بر روی شبكه استفاده می نمايند . با استفاده از امكانات ارائه شده توسط NAT ( برگرفته از  Network Address Translation  ) و PAT ( برگرفته از  Port Address Translation ) ، دليلی وجود ندارد كه از آدرس های IP واقعی استفاده گردد .
  در مقابل ، شما می توانيد از آدرس های IP خصوصی استفاده نمائيد . بدين ترتيب ، سازمان ها می توانند از مجموعه ای از آدرس های IP كه بر روی اينترنت بلاك شده اند استفاده نمايند . رويكرد فوق ، باعث بهبود وضعيت امنيت در سازمان مورد نظر خواهد شد چراكه فقط آدرس IP واقعی بر روی روتر مرزی امكان روتينگ بر روی اينترنت را خواهد داشت .
   

• غيرايمن بودن تنظيمات پيش فرض در برخی محصولات  : اين يك واقعيت انكار ناپذير است كه تعداد بسيار زيادی از محصولات بدون رمز عبور و يا رمزهای عبور ساده به بازار عرضه می گردند  تا مديران شبكه بتوانند پيكربندی دستگاه را به سادگی انجام دهند . برخی دستگاه ها به صورت plug and play می باشند . مثلا" سوئيچ های سيسكو به صورت plug-and-play می باشند تا بتوان به سرعت آنها را جايگزين هاب در شبكه نمود.
  به منظور افزايش امنيت ،‌ می بايست بر روی سوئيچ يك رمز عبور مناسب را تعريف تا مهاجمان نتوانند به سادگی به آن دستيابی داشته باشند . شركت سيسكو به منظور افزايش امنيت در خصوص بكارگيری اين نوع تجهيزات شبكه ای تمهيدات خاصی را انديشيده است . به عنوان نمونه ، روترها و سوئيچ های سيسكو اجازه ايجاد يك telnet session را بدون انجام يك پيكربندی خاص login بر روی دستگاه نخواهند داد .
  فرآيند نصب و پيكربندی هر دستگاه در شبكه می بايست تابع يك سياست امنيتی مدون باشد .
   

• عدم پيكربندی صحيح تجهيزات شبكه ای : عدم پيكربندی مناسب تجهيزات شبكه ای يكی ديگر از دلايل بروز مشكلات امنيتی است . رمزهای عبور ضعيف ، عدم وجود سياست های امنيتی و غير ايمن بودن account كاربران جملگی می توانند به عنوان بخشی از سياست های عدم پيكربندی مناسب تجهيزات شبكه ای در نظر گرفته شوند .
  سخت افزار و پروتكل هائی كه بر روی تجهيزات شبكه ای اجراء می شوند ، می توانند حفره های امنيتی را در شبكه شما ايجاد نمايند . در صورت عدم وجود  يك سياست مدون به منظور تشريح سخت افزار و پروتكل هائی كه می بايست بر روی هر يك از تجهيزات شبكه ای اجراء شوند ،  مهاجمان قادر خواهند بود به شبكه شما نفوذ نمايند .
  به عنوان مثال ، در صورتی كه شما از پروتكل SNMP ( برگرفته شده از  Simple Network Management Protocol   )  به همراه تنظيمات پيش فرض استفاده نمائيد ، حجم بالائی از  اطلاعات مربوط به شبكه شما می تواند به سادگی و به سرعت رمزگشائی گردد . بنابراين ، می بايست در صورتی كه به پروتكل فوق نياز نمی باشد آن را غيرفعال و در صورت ضرورت استفاده از آن ، تنظيمات پيش فرض خصوصا"  community strings را تغيير داد . رشته های فوق به منزله رمز عبوری برای جمع آوری و دريافت داده مربوط به SNMP می باشند . 

ضعف سياست ها
سياست های امنيتی در يك شبكه، نحوه و زمان پياده سازی امنيت در شبكه را تشريح می نمايند . به عنوان نمونه ، در سياست های امنيتی تعريف شده می بايست اطلاعات لازم در خصوص نحوه پيكربندی ايمن دستگاه های شبكه ای دقيقا" مشخص گردد . عدم تدوين يك سياست امنيتی مدون می تواند زيرساخت فناوری اطلاعات و ارتباطات يك سازمان را با مشكلات امنيتی متعددی مواجه نمايد .بدين منظور می بايست بر روی محورهای مختلفی متمركز گرديد :

• عدم وجود يك سياست امنيتی مكتوب : در صورتی كه يك مدير شبكه ، و يا  هر  شخص ديگر ، نمی داند كه در ابتدای يك كار چه انتظاری از آن وجود دارد ، آنان صرفا" خود را با وضعيت موجود هماهنگ و يا بهتر بگوئيم همراه می نمايند . تفكر فوق هرج و مرج  در شبكه را به دنبال داشته و آن  را مستعد انواع حملات می نمايد .  بدين منظور لازم است كه تدوين يك سياست امنيتی در دستور كار قرار گيرد . برای شروع می توان از كاربران و تبين وظايف آنان در زمان استفاده از زيرساخت فناوری‌ اطلاعات و ارتباطات كار را آغاز نمود  و به دنبال آن سياست امنيتی در خصوص رمزهای عبور و دستيابی به اينترنت را تدوين نمود . در ادامه می توان سياست های امنيتی در خصوص پيكربندی سخت افزار شبكه شامل تمامی دستگاه ها ( كامپيوترهای شخصی ، سرورها ،‌روترها و سوئيچ ها ) را تدوين نمود . اين موضوع صرفا" به پيكربندی ختم نمی شود و می بايست در اين رابطه سياست های امنيتی در خصوص حفاظت از آنها نيز تدوين گردد . 
   

• سياست های سازمانی : سياست های سازمانی دارای يك نقش كليدی در هر يك از بخش های سازمان می باشند .  ارتباط سياست های تعريف شده در يك سازمان با سياست های امنيتی در خصوص استفاده از زيرساخت فناوری اطلاعات و ارتباط می بايست به دقت مشخص گردد . در اين رابطه لازم است كه دقيقا" تعريف امنيت از منظر مديران ارشد سازمان مشخص شود . شايد برداشت يك مدير از امنيت و اهداف آن با برداشت يك مدير ديگر متفاوت باشد . بديهی است كه در مرحله نخست می بايست استراتژی و سياست های امنيتی سازمان كه متاثر از اهداف سازمان و نگرش مديران ( يك برداشت مشترك ) ، تدوين يابد .
   

• رها كردن مديريت امنيت شبكه به حال خود : ايجاد يك سياست امنيتی قابل قبول در سازمان كه شامل مانيتورينگ و بررسی امنيت شبكه نيز می باشد كار مشكلی بنظر می آيد . بسياری از افراد بر اين باور هستند كه همه چيز در حال حاضر خوب كار می كند و ضرورتی ندارد كه ما درگير پياده سازی سيستمی برای مانيتورينگ و مميزی شويم . در صورت عدم مانيتورينگ و مميزی منابع سازمان ممكن است استفاده از منابع موجود چالش های خاص خود را به دنبال داشته باشد . وجود ضعف در مديريت امنيت ممكن است يك سازمان را با مسائل مختلفی نظير برخوردهای قانونی مواجه نمايد ( افشاء اطلاعات حساس مشتريان در يك سازمان كه به دليل ضعف در مديريت امنيت ايجاد شده است ) .
  مديران شبكه می بايست بر اساس سياست های امنيتی تعريف شده بطور مستمر و با دقت وضعيت شبكه را مانيتور كرده تا بتوانند قبل از بروز فاجعه در مرحله اول با آن برخورد  و يا ضايعات آن را به حداقل مقدار ممكن برسانند .
   

• نصب و انجام تغييرات مغاير با سياست های تعريف شده  . نصب هرگونه نرم افزار و يا سخت افزار می بايست تابع سياست های تعريف شده باشد . نظارت بر هر گونه نصب ( سخت افزار و يا نرم افزار ) و انطباق آن با رويه های تعريف شده در سياست امنيتی از جمله عمليات مهم به منظور ايمن سازی و ايمن نگاهداشتن زيرساخت فناوری اطلاعات و ارتباطات است . نصب هر گونه تجهيزات سخت افزاری و نرم افزاری تائيد نشده ، عدم پيكربندی مناسب تجهيزات نصب شده منطبق بر سياست های امنيتی و در مجموع انجام هر گونه تغييرات غيرمجاز می تواند به سرعت حفره هائی امنيتی را در شبكه شما ايجاد نمايد .
   

• عدم وجود برنامه ای مدون جهت برخورد با حوادث  غيرمترقبه: شايد شما نيز از جمله افرادی باشيد كه فكر می كنيد همواره حادثه برای ديگران اتفاق می افتد. بپذيريم كه حوادث چه بخواهيم و چه نخواهيم اتفاق خواهند افتاد و ما نيز می توانيم هدف اين حوادث باشيم . زمين لرزه ، آتش سوزی ، خرابكاری ، خرابی سخت افزار نمونه هائی در اين زمينه می باشند . بدين منظور لازم است كه هر سازمان دارای‌ يك سياست امنيتی مشخص به منظور پيشگيری و مقابله با حوادث باشد .  در صورتی كه با اين موضوع در زمان خاص خود برخورد نگردد ، پس از بروز حادثه مديريت آن غيرممكن و يا بسيار مشكل خواهد بود .

• یک تجربه شخصی:در برخی سازمانهای مدیر مالکی ، لطف مالک سازمان نسبت به یک شخص خاص عموما باعث لغو همه مسائل گفته شده و ایجاد یک حق دسترسی برای شخص مورد نظر میکردد.توضیه میگردد با ابزارهای امنیتی خاص سیستمهای این اشخاص مورد مانیتورینگ قرار گیرد.

-----------------------

با سپاس و تشکر از سایت سخاروش

نويسنده: Janice Ward

مترجم: سلمه عبداللهي سهي

ناشر: مهندسي شبكه همكاران سيستم مشورت

واژه‌هاي كليدي: مديريت پروژه، كار، گروه، تكنولوژي اطلاعات، آموزش

  

مديران IT به راحتي در كارها و فعاليت‌هاي روزمره غرق شده و از بسياري از رفتارهاي مهم مديريتي غافل مي‌شوند. در صورتي كه ما يك مدير تازه كار و يا با تجربه هستيم، پشنهادات زير مي‌توانند ما را به يك مدير توانمند تبديل كند .

 

1- براي ارتقاء سطح فني كارشناسان خود وقت و هزينه صرف كنيم.

 

IT يك شاخه به شدت در حال تغيير است و بسياري از كارشناسان IT علاقمند به يادگيري تكنولوژي‌هاي جديد و در حال توسعه هستند .براي بسياري از افراد يادگيري فقط براي لذت نبوده، بلكه براي انجام بهترين كار ممكن، ضروري است. مديران IT مي‌بايست براي آموزش و ارتقاء كارشناسان خود هزينه كرده و آنها را تشويق به شركت در دوره‌هاي آموزشي در هر زمان ممكن كنند. در صورتي كه بودجه ما محدود مي‌باشد از كارگاه‌ها و ارايه‌هاي رايگان، آموزش در منزل و ساير راه‌هاي خلاقانه و كم هزينه استفاده كنيم. و هيچگاه آموزش‌ افراد به يكديگر را فراموش نكنيم، حتي در سازمان‌هاي بزرگ هميشه كارهايي هستند كه دائما ً و از روي عادت توسط يك نفر انجام مي‌شوند بنابراين از اينكه ساير افراد گروه IT بر نحوه كامل انجام آن كار تسلط دارند مطمئن شويم تا در صورتي كه آن فرد براي مدتي در سازمان حضور نداشت دچار مشكل نشويم.

 

2- از اينكه هر يك از كارشناسانتان دقيقا ً چه كاري را انجام مي‌دهند اطلاع داشته باشيم.

 

با وجود اينكه حرفه اي بودن ما در زمينه كاري هر يك از كارشناسانمان ضروري نمي‌باشد ولي مي‌بايست با كار عادي و روزمره‌اي كه آنها انجام مي‌دهند آشنا باشيم. خودمان را با مسئوليت‌هاي هر يك از افراد گروه آشنا كنيم و از آنها بخواهيم كه در مورد وظايف مهمي كه انجام مي‌دهند، از قبيل Backup گيري، توضيح و ارايه بدهند. يك بار يك كارمند IT به زيرگروه من منتقل شد و به محض ورودش، شروع به يادگيري وظايف او كردم. بعد از يك ماه كارمند جديد مجبور به ترك شركت به طور ناگهاني به دليل فوت يكي از والدينش شد، بدون اينكه Backup جديدي تهيه كرده باشد. من سريع وارد عمل شدم و با دانشي كه در طول اين يك ماه به دست آورده بودم و كمك ديگران Backup را تهيه كردم. در پايان مورد احترام بسيار بالاي كارمندانم قرار گرفتم، كسي كه در گذشته به دليل تجربه‌هاي بد مديرتي بسيار آزرده مي‌شد. يادگرفتن آنچه كارمندان ما انجام مي‌دهند نه تنها احترام آنها را نسبت به ما افزايش مي‌دهد، بلكه موجب افزايش اعتبار ما در نزد آنها  در شرايط دشوار و تصميم‌گيريهاي بزرگ نيز مي‌شود.

 

3- كارهاي كارشناسانمان را برايشان انجام ندهيم.

 

اگر ما از يك كارشناس IT به سمت مديريت منسوب شده‌ايم از اينكه كارهاي مشكل را به سرعت انجام دهيم پرهيز كنيم. سطح دانش و مهارت ما ممكن است از كارشناسانمان بالاتر باشد ولي مي‌بايست به آنها در يادگيري و پيشرفت كردن كمك كنيم. يك فاصله خوب بين رهبري و انجام كارها وجود دارد.و يك مدير خوب اين تفاوت‌ها را به درستي تشخيص مي‌دهد.

ممكن است در جايي كه ما بيشتر درگير كارهاي روزمره هستيم، يك سري آموزش‌هاي اوليه براي ما وجود داشته باشد. از استراتژي‌هاي مناسب آموزش و تفويض براي منتقل كردن كار به دست‌هاي تواناي كارشناسانمان استفاده كنيم.

 

4- از فعاليت و كسب و كار شركتي كه در آن هستيم مطلع باشيم و مطمئن شويم كه آنها نيز ما را مي‌شناسند.

اين امر تقريبا ً تكراري است، ولي تمام مديران IT مي‌بايست با كسب و كاري كه آن را پشتيباني مي‌كنند آشنا باشند و از اين شناخت براي فراهم آوردن سرويس‌ها و زيرساخت‌هايي كه اهداف آنها را پشتيباني كند، استفاده كنند. همچنين ما مي‌بايست كارمندان خود را از اينكه چگونه كارهاي آنها بر اهداف كسب و كار شركت تأثير مي‌گذارد مطلع كنيم و مطمئن شويم كه مديران شركت از آنچه IT برايشان انجام مي‌دهد، مطلع باشند. فعاليت‌هاي واحد خود را از طريق گزارش‌هاي ساليانه، ارتباطات منظم و به روزرساني پروژه‌ها ارايه كنيم.

 

5- به ارتباطات به منزله يك خيابان شلوغ، پرسرعت و دو طرفه نگاه كنيم.

 

اطلاعات يك كالاي محدود و قابل نگهداري نمي‌باشد. اطلاعات بايد به صورت رايگان و به راحتي در بين مديران و كارمندان ردوبدل شود. اگر احساس مي‌كنيم كه اطلاعات مهم را دريافت نمي‌كنيم، راه‌هايي را براي افزايش ارتباطاتمان در نظر بگيريم.از طرف ديگر اطلاعات را تا زماني كه محرمانه نيستند نزد خودمان نگه‌نداريم. مواردي كه به نظر مي‌رسد به ما ربطي ندارد، ممكن است به شدت مورد نياز ساير افراد باشد. قرار دادن اطلاعات در گزارش‌هاي اصليمان را حتما ً در نظر بگيريم.

 

6- همه افراد را به انجام كار گروهي تشويق كنيم.

 

كليت يك موضوع مهم‌تر از مجموع اجزاء آن مي‌باشد. تشويق به همكاري و كار گروهي از انباشته شدن اطلاعات در يك نقطه كه اغلب در شركت‌هاي فني اتفاق مي‌افتد، جلوگيري مي‌كند. گروه‌هاي كاري متقاطع بسيار مهم هستند زيرا تغييرات كوچك در يك قسمت مي‌تواند تأثير بسيار مهمي در واحدهاي ديگر IT داشته باشد. تلاش براي فراهم آوردن شرايط همكاري و توسعه محيطي كه در آن كارمندان براي درخواست كمك از يكديگر احساس راحتي مي‌كنند، بسيار ضروري بوده. صدمات معمولا ً از جايي ناشي مي‌شوند كه يكي از افراد گروه نكته‌اي را مي‌داند كه بسياري افراد براي دانستن آن در حال تلاش هستند. كار گروهي ماشين ارتباطات ما را تغذيه مي‌كند.

 

7- بازخورهاي مرتب بگيريم و اجازه دهيم كه كارشناسان بدانند دقيقا ً چه چيزي از آنها مي‌خواهيم.

 

برخي از كارهاي IT موجب مي‌شوند كه انسان‌ها احساس كنند همانند جزيره‌اي تنها هستند . آنها به طور مستقل بر روي يك پروژه يا كار واگذار شده كار مي‌كنند و كمتر با مدير يا همكارانشان تعامل دارند. مطمئن شويم كه كارشناسانمان به درستي مي‌دانند كه چه كاري را انجام مي‌دهند و براي پيشرفت به چه عواملي نياز دارند. اين امر از طريق صحبت‌هاي غير رسمي، بازبيني رسمي كارايي و يا مراسم تشويق عمومي مي‌تواند انجام شود.

 

8- به درستي استخدام كنيم.

 

اگر تا كنون استخدام انجام نداده‌ايم حتما ً براي اين كار از كمك ديگران استفاده كنيم. استخدام نادرست بسيار پرهزينه‌تر از به كار نگرفتن نيروي جديد مي‌باشد. مهارت‌هاي فني تنها قسمتي از اين پازل هستند. ما بايد اين مسئله را كه آيا فرد جديد با ساير افراد تيم همسو مي‌باشد يا نه را در نظر بگيريم. همچنين كمك گرفتن از ساير كارشناسانمان در مراحل استخدام در زماني كه شرايط نيز اجازه مي‌دهد بسيار مي‌تواند مفيد باشد. كارمندانمان مي‌توانند به ما در تشخيص اينكه آيا فرد جديد با ساير افراد گروه همسو مي‌باشد يا نه و همچنين ارزيابي مهارت‌هاي فني و رفتاري وي، به ما كمك كنند.

 

9- بهترين الگوهاي IT را يادبگيريم ولي فقط در مورد آنها صحبت نكنيم.

 

بهترين الگوهاي كار را كه متناسب با محيط كاري ما مي‌باشند يادبگيريم و خودمان و واحدمان را بر اساس معيارهاي آن ارزيابي كنيم.ITIL (Information Technology Infrastructure Library) را كاوش كنيم و حداقل مواردي را كه مي‌توانيم در واحدمان پياده كنيم، مشخص كنيم. برنامه بهبود و ترميم از شرايط حادمان را به روز كنيم و آماده عمل باشيم. ارزيابي‌هاي امنيتي را به طور مرتب انجام دهيم. با آگاهي كامل به كار ادامه دهيم. فقط در مورد بهترين الگوها صحبت كردن نتيجه‌اي نخواهد داشت. ما بايد در مورد اين ايده‌ها و كاربردشان در محيط كاريمان دانش كامل داشته باشيم، سپس برنامه‌ريزي كرده و تغييرات مناسب و مربوط را پياده‌سازي كنيم.

 

10- يك مدير پروژه خوب باشيم.

 

بيشتر پروژه‌ها به خصوص پروژه‌هاي IT به دليل بد بودن خود پروژه ناموفق نيستند. بلكه علت ناموفقيت اكثر آنها مديريت ضعيف مي‌باشد. اگر تا كنون در هيچ دوره آموزشي براي مديريت پروژه شركت نكرده‌ايم، حتما ً براي يك دوره خوب برنامه‌ريزي و سرمايه‌گذاري كنيم. در تله فكر كردن به اينكه با برگزاري جلسات مرتب مي‌توانيم پروژه را به درستي مديريت كنيم، گرفتار نشويم. از آنجايي كه معمولا ً IT ،پروژه‌هاي بيشتري نسبت به نيروي كاري دارد، از آموزش سرپرستانمان با مهارت‌هاي اوليه مديريت پروژه مطمئن شويم، بنابراين ما مي‌توانيم برخي از جنبه‌هاي پروژه را به آنها تفويض كنيم و يا حتي كل پروژه را در در كنترل آنها قرار دهيم.

بر خلاف تصور موجود در مورد کاغذ به عنوان یک انتقال دهنده قدیمی و پرهزینه اطلاعات، شرکت ها هنوز دوست دارند از آن استفاده کنند. کاغذ قابل لمس، متداول و در بسیاری موارد نشانگر اولین راهی است که شرکتها با کارمندان، شرکا و مشتریان همکاری متقابل دارند. با این همه، مشکلات طبیعی در دنبال کردن، ذخیره سازی، وارد کردن مجدد اطلاعات و جابجایی، کاغذ خسارات مالی عظیمی بر شرکت ها تحمیل می کند. حتی اسنادی که به فرمت الکترونیکی تبدیل شده اند، معمولا به طور عمده ثابت هستند. اگر اسناد شرکت بتوانند در فرایندهایی که با آن مواجه می شوند فعال گردند و طبق نیاز متناسب گردند، برای راندمان شرکت چه معنایی ممکن است داشته باشد؟ خب، اگر آنها بتوانند هوشمند شوند چطور؟

اگر اسناد الکترونیکی هنوز برای انجام تمام کارهایمان آماده نیستند، برخی از آنها حداقل کم کم وارد میدان می شوند. اسناد هوشمند که اسناد "فعال" هم خوانده می شوند، محتویاتی فعال هستند که از کد کار گذاشته شده و قابل اجرا جهت مشارکت در فرایندهای تجاری، استفاده می نمایند. اسناد هوشمند اساسا از XML استفاده می کنند که می تواند نشانگر انواع داده ها باشد و قابلیت انتقال بالایی دارد. این اسناد می توانند فراینده ها را از طریق راه اندازی جریان کار، انتقال داده ها به دیتابیس های back-end و بالعکس، و به روزرسانی خودشان همانگونه که قوانین شرکت تعیین می نمایند، کارآمدتر سازند. مدافعان معتقدند که اسناد فعال شیوه کنترل اطلاعات توسط شرکت ها و چگونگی تعامل کاربران با آن را به صورت تسهیل همه امور از فعالیت های کارآمدتر و همکاری بیشتر تا پذیرش نظارتی بهتر را تغییر خواهند داد. اما در حالیکه برخی از شرکت ها می توانند بازگشت سرمایه را از طریق اتوماتیک کردن یک فرایند پر هزینه بوسیله یک اینترفیس سند هوشمند محقق سازند، مثلا ثبت مزایای بیمه یا تغییرات ناشی از کسر حقوق، کار طراحی درست جهت مهندسی مجدد فرایندها، ترسیم جریانات کاری وتعیین طرح های کلی XML برای تعیین دوباره هدف XML می تواند پیچیده باشد.

Carl Frappaolo، معاون گروه مشاور Delphi واقع در بوستون می گوید: یک سند هوشمند حاصل نهایی خوبی است، اما کار طراحی، از روی ترس نیست. مشکل در عقب نشینی و جداسازی فرایندها می باشد.برای نشان دادن یک فرایند به یک سند، شما باید آنرا به قطعات محدودی تجزیه نمایید. او می گوید این تجزیه نیازمند آن است که تحلیلگران شرکت با بخش IT همکاری نزدیک داشته باشند تا تعیین کنند هوش تجاری در کجا وجود دارد، قوانین تجاری را طراحی کنند که رفتار سند را سبب شوند و جریانات کاری را ترسیم نمایند که چرخه زندگی یک سند را تعیین نمایند. گر چه تحلیلگران می گویند اسناد فعال، اجزای اصلی مدارک فنی به روز شونده و سایر رکوردهای اغلب در حال تغییر خواهند شد، امروزه عمده ترین کاربرد این ایده در فرم های الکترونیکی (e-forms) است. شرکت Adobe Systems و شرکت مایکروسافت بعنوان دو قدرت عظیم در حال ورود به بازاری هستند که تامین کنندگان قدیمی از قبیل شرکت PureEdge Solutions شرکت Verity و شرکت FileNet را در کنار خود دارند.

Intelligent Document Platform شرکت Adobe یک معماری سرویس گرا است که طراحی فرم ها و اجزای جریان کار و نیز کلاینت Acrobat Reader فراگیرش (که اکنون Adobe Reader نامیده می شود) و Portable Document Format یا PDF را شامل می شود. در همین حین، مایکروسافت پشتیبانی گسترده ای برای XML و سرویس های وب درون مجموعه Office 2003 خود تعبیه نموده است و Infopath یک طراحی فرم های الکترونیکی و محصول مسیریاب را ارائه می نماید. Toby Bell، تحلیلگر شرکت Gartner در استامفورد واقع در کانکتیکات می گوید: تولید فرم های کاغذی بی نهایت گران است و آنها بر مبنای آنچه می توانند ذخیره سازند، محدودند. فراخوانی اطلاعات و منطق فرایند به یک فرم هوشمند امکان جمع آوری اطلاعات از برنامه های کاربردی back-end و ارسال آنها را می دهد. او می گوید مهمتر اینکه یک فرم هوشمند می داند کجا قرار است برود و چه کاری قرار است انجام دهد.

● سرویس دهی به مشتریان داخلی

شرکت Bright Horizons Family Solutions، یک ارائه دهنده خدمات نگهداری کودک و آموزش مقدماتی که از طرف کارفرما پشتیبانی مالی می شود، از فرصت استفاده از فرم های الکترونیکی برای اتوماتیک سازی فرایندهای تغییر در موقعیت کارمند بهره برد. Tim Young، معاون بخش IT می گوید Bright Horizons با 16000 کارمند در بیش از 500 نقطه سراسر دنیا دریافت که فرایندهای مبتنی بر کاغذ برای تغییرات کارمندان بسیار وقت گیر و در معرض اشتباه بودند. Watertown، شرکتی واقع در ماساچوست از Adobe Intelligent Document Platform استفاده می نماید. Bright Horizons در حال اتوماتیک سازی فرایندهای فرم مزایا و حقوق پرداختی کارمندان است و درصدد می باشد همین کار را برای فرم های ساعات کار و هزینه های سرمایه ای نیز انجام دهد. Young می گوید: ما می خواستیم به کارمندان بهتر خدمت کنیم و هزینه های فعالیت را کاهش دهیم. اکنون تمام این موارد به کمک هوشمندی تجاری در پس فرم ها برای ما شکل گرفته اند. بنابراین اگر نیاز به تایید باشد درون جریان کار تعبیه شده است.

Bright Horizons از طریق پر کردن فیلدهای فرم از قبل در هزینه ها صرفه جویی کرده است. تیم شرکت این کار را از طریق استخراج اطلاعات از یک بانک اطلاعاتی SQL Server هنگامی که کارمندان وارد اینترانت شرکت می شوند، انجام می دهد، که بدین نحو کمک هدایت شده را از طریق منوهای drop-down فراهم ساخته و از هوشمندی تجاری، روشی که فیلدها پر می شوند را به اجرا در می آورد، استفاده می کند. پس از اینکه یک فرم کامل می شود، تبدیل به یک سند PDF می گردد و از طریق سرور جریان کار Adobe بطور خودکار به مدیران مربوطه و سپس به سیستم پرداخت حقوق شرکت ارسال می شود. Grant.gov ورودی که افراد می توانند از موقعیت های مالی موجود از 26 آژانس فدرال آمریکا مطلع شده و بطور الکترونیکی آنها را درخواست کنند، از نرم افزاری از PureEdge Solutions، Victoria واقع در British Columbia استفاده می نماید. این مدخل یکی از 25 ابتکار دولت الکترونیکی است که Office of Management and Budget آغاز نموده است.

Rebecca Spitzgo، مدیر برنامه Grants.gov می گوید Department of Health and Human Services آمریکا بعنوان واسطه بین آژانس های اعطا کننده و متقاضیان باید بدقت از سیستم های بکار گرفته شده توسط کلاینت ها در هر دو طرف پشتیبانی نماید. برای مثال، بجای ملزم ساختن شهروندان به استفاده از ارتباطات dial-up جهت پرکردن یک فرم کمک مالی بصورت آن لاین، آژانس PureEdge را مستقر نمود تا بسته های برنامه کاربردی را قابل download نماید. Spitzgo می گوید کاربران جهت مشاهده و تکمیل فرم ها، یک کلاینت قابل download را اجرا می نمایند. Grants.gov از PureEdge جهت ساختن فرمت های ادیت درون فیلدهای داده ها استفاده می کند تا اطمینان حاصل گردد بار اول آنها بدرستی پر می شوند و نیز محاسبات را انجام می دهد. وقتی کاربران یک فرم را کامل می کنند روی کلیدی کلیک می کنند تا آنرا تحویل دهند. Grants.gov سپس فرم دریافتی را به یک فایل Acrobat PDF تبدیل می نماید، یک فایل داده فرمت شده XML می سازد و هر دو را به آژانس مربوطه می فرستد. Spitzgo می گوید: Grants.gov آنچه آژانس ها با داده های XML انجام می دهند را تعیین نمی کند، اما اکثریت از آن جهت جلوگیری از ورود مجدد داده ها استفاده می کنند. کارمندان Grants.gov یک طرح XML کلی برای بخش هایی از قبیل صفحه اول فرم کمک مالی طراحی کرده اند تا آژانس ها بتوانند مجدد از آن استفاده نمایند.

● XML نشانه جایگاه مورد نظر است

امروزه، XML در ایجاد اسناد هوشمند عامل اصلی است. XML به تعیین اجزای سند از قبیل صفحه بندی کمک می کند، به محتوا امکان جداشدن از بخش معرفی را می دهد و اینکه طبق نیاز مورد استفاده و انتخاب مجدد قرار می گیرد. Joshua Duhl، تحلیلگر IDC در فرامینگهام، ماساچوست می گوید اسناد هوشمند معمولا از ساختارهای سرویس های وب برای فراخوانی و دریافت مقادیر داده استفاده می کنند. سرویس های وب به طور روز افزون دورتا دور سیستم های اصلی شرکت از قبیل حسابداری، دیتابیس های مدیریت فهرست و محتوا را جهت انتقال داده ها احاطه می کنند. او می گوید: شما برای انواع خاصی از برنامه های کاربردی با به روزرسانی های فراوان- برنامه های کاربردی زنجیره تدارکات، فرایندهای مراقبت بهداشتی- یک سند فعال می خواهید. در یک آزمایش نرم افزار فرم های الکترونیکی Liquid Office از سوی Verity واقع در کالیفرنیا، از XML جهت تایید، انجام محاسبات و ورود پیشاپیش اطلاعات کاربر درون انواع مختلفی از فرم ها استفاده خواهد نمود.

Bill Roach، هماهنگ کننده EDMS شرکت CRM فرمانداری ایالتی می گوید: XML فرصت هایی که مدت های طولانی بدنبالش بودیم را فراهم می کند: حذف ورودی اطلاعات و بازشماری آن. وقتی ما در XML اطلاعات داریم، می توانیم آنرا جمع و جور کرده و به طور خودکار به برنامه های کاربردی [back-end] بفرستیم. XML می تواند یک تصویر یا یک PDF برای ما بسازد یا آن را در فرمت اصلی اش ذخیره سازد و فقط آنرا به درون یک سیستم حفظ رکوردها بفرستد. Liquid Office فقط بخشی از زیر بنای EDMS یا Electronic Document Management System (سیستم مدیریت اسناد الکترونیکی) بسیار بزرگتر ایالت است، که شامل Verity Teleform، FileNet Content Manager و محصولات روند کاری شرکت KnowledgeLake می باشد.John Gouryrell، یک تحلیلگر پروژه در Sound Transit واقع در سیاتل انتظار دارد قابلیت های گسترده XML در Infopath و مجموعه Office 2003 مایکروسافت تسهیم داده ها با سیستم های back-end از قبیل نرم افزار PeopleSoft ERP خود را آسان سازد. سیستم انتقال منطقه ای از Infopath جهت تبدیل یک فرایند پرداخت حقوق مبتنی بر کاغذ که یک ماه طول می کشید کامل شود به یک فرایند فرم های الکترونیکی که چهار تا هشت ساعت زمان می برد استفاده نمود. Gartrell می گوید Sound Transit هنوز استفاده از XML را آغاز نکرده است، اما ما در حال ادغام Infopath با دیتابیس SQL Server 2000 خود هستیم، ضمن اینکه Infopath تمام XML را کنترل می کند.

Duhl می گوید همچنان نقش اسناد فعال در شرکت گسترش می یابد، باید قابلیت های جدیدتر از قبیل امضای دیجیتالی را بهتر پشتیبانی نمایند. بدلیل نیازهای پذیرش نظارتی مثل آنهایی که در Sarbanes-Oxley Act هستند، فروشندگان نیز باید مطمئن شوند که اسناد الکترونیکی می توانند دقیقا به همان صورت که روی کاغذ هستند ارائه گردند. Duhl می گوید PDFهای Adobe در این زمینه گوی سبقت را ربوده اند. در همین حین، شرکت ها باید به مسایل زیربنایی و فرایند متعددی جهت استفاده از مزایایی که اسناد متناسب شونده می توانند بدنبال داشته باشند، بپردازند. Duhl می گوید: در حالیکه اسناد فعال یک ایده و اینترفیس بسیار خوبی هستند، حتی در سطح فرم ها فرایندهای تجاری را در سطحی بسیار اساسی تحت تاثیر قرار می دهند. این فراتر از تکنولوژی می رود و بر شیوه فعالیت افراد اثر می گذارد.

● سه گونه اصلی اسناد فعال

1) فرم های فعال

این فرم ها با کاربران و فرایندهای مبتنی بر فرم ها از قبیل بیمه، برنامه های پرداخت حقوق و مزایا تعامل دارند. فرم های فعال با استفاده از قوانین تجاری مطمئن می شوند که فیلدها بدرستی پر می گردند و اینکه آنها می توانند خود را با اطلاعات کاربر از سیستم های back-end پر نمایند. پس از تعامل، آنها می توانند یک روند کاری را راه بیاندازند که آنها را به اشخاص مربوط هدایت می کند و دیتابیس های مناسب را به روز می رساند.

2) اسناد فعال

این اسناد غیر مرتبط به فرم ها که تاحدودی با تواناییشان در صفحه بندی شدن شناخته می شوند ممکن است دفترچه های راهنمای فنی، طرح های تنظیم شده یا گزارشات شخصی 401(K) را در بر گیرند که به محض تغییر داده های back-end و ورود اطلاعات جدید روی front end خود را Update می کنند. برای مثال، اسناد فنی مربوط به یک هواپیما ممکن است به یک مکانیک امکان دهد به عنوان مرحله ای در یک فرایند زنجیره تدارکات روی لینکی کلیک کند تا قطعات را سفارش دهد، ضمن اینکه هنگامیکه قطعات جدید نصب شوند سند خود را Update می نماید.

3) تصاویر گرافیکی فعال

اینها که معمولا بخشی از اسناد فعال بزرگتر هستند از اجزای گرافیکی مبتنی بر XML از قبیل تصاویر گرافیکی برداری قابل اندازه گیری تشکیل می شوند که با متن و کاربر در ارتباطند. یک تصویر گرافیکی فعال ممکن است مونتاژ یک موتور را به تصویر بکشد و به کاربر امکان دهد تا درون ساختار به حرکت درآید. ضمن اینکه وقتی سند بزرگتر تغییر می کند خود را Update می کند.

نویسنده: Kym Gilhooly

مترجم: نازنین حقیقی

علم الکترونیک و کامپیوتر

مقدمه

يکی از ويژگی های قابل توجه اينترنت امکان نشر اطلاعات توسط علاقه مندان متناسب با زمينه های مورد علاقه است . با توجه به اين که اينترنت يک منبع عمومی است در زمان نشر اطلاعات می بايست با رعايت موارد امنيتی از انتشار اطلاعاتی که دستيابی عمومی به آنان توجيه منطقی ندارد ، اجتناب گردد .

ضرورت توجه به اين واقعيت که اينترنت يک منبع اطلاعاتی عمومی است
اينترنت يک منبع بزرگ اطلاعاتی با قابليت دستيابی همگانی است که از آن به منظور ارتباطات ، تحقيقات و يافتن اطلاعات در رابطه با افراد در اقصی نقاط جهان استفاده می گردد. رسانه ای بس فراگير که در عمر کوتاه خود توانسته است منشاء تحولات فراوانی در عرصه حيات بشريت گردد . بسياری از کاربران در زمان استفاده از اينترنت اين تصور را دارند که به صورت ناشناس از منابع اطلاعاتی موجود استفاده می نمايند و در زمان برقراری ارتباط با ساير افراد به صورت گمنام باقی می مانند . ذکر اين نکته ضروری و از جهاتی نيز بسيار حائز اهميت است که شما در زمان استفاده از اينترنت ناشناس نخواهيد بود و امکان يافتن اطلاعاتی در رابطه با شما برای ديگران وجود خواهد داشت همانگونه که شما نيز می توانيد اطلاعاتی را در رابطه با ساير کاربران online  اينترنت پيدا نمائيد . عدم توجه به موضوع فوق، کاربران اينترنت را در معرض تهديد و يا آسيب جدی قرار خواهد داد . اکثر مردم عموما" در خصوص اشتراک اطلاعات شخصی خود با افراد غريبه ای که ممکن است در خيابان با آنان مواجه شوند ، جانب احتياط را رعايت می نمايند ولی همان افراد در زمان استفاده از اينترنت در خصوص ارسال اطلاعات شخصی خود با ساير کاربران اينترنت ترديد نکرده و متاسفانه در مواردی نيز زياده روی توام با اغراق نيز انجام می شود. بخاطر داشته باشيد پس از انتشار اطلاعات بر روی اينترنت ، امکان دستيابی و استفاده از آنان توسط افراد ناشناس بيشماری در اقصی نقاط جهان فراهم می گردد و شما هيچگونه تصوری در خصوص نحوه استفاده از اطلاعات منتشر شده  را نمی توانيد داشته باشيد .

رهنمودهائی برای نشر اطلاعات بر روی اينترنت 

• اينترنت را به عنوان يک رمان در نظر بگيريد نه يک دفترخاطرات روزانه . آيا پس از نشر اطلاعات مورد علاقه خود و مشاهده آنان توسط ساير کاربران اينترنت برای شما مشکل خاصی ايجاد نمی گردد ؟ پس از انتشار اطلاعات مورد علاقه خود ، افرادی که شما هرگز آنان را نديده ايد ، می توانند صفحات و اطلاعات شخصی شما را پيدا نموده و به آنان دستيابی داشته باشند . حتی اگر شما دارای يک روزنامه و يا وبلاگ online  می باشيد ، به موازات انتشار مطالب ، امکان استفاده عمومی از آنان فراهم می گردد. برخی سايت ها ممکن است از رمزهای عبور و ساير روش های امنيتی برای حفاظت از اطلاعات و محدوديت در دستيابی به آنان استفاده نمايند ولی روش های فوق توسط اکثر وب سايت بکار گرفته نمی شود . در صورتی که قصد انتشار اطلاعات خصوصی خاصی را داريد و يا صرفا" افراد محدودی می بايست به آنان دستيابی داشته باشند ، شايد اينترنت بهترين گزينه در اين رابطه نباشد .

• دقت لازم در خصوص نشر اطلاعات و ماهيت آنان  : در گذشته ای نه چندان دور يافتن اطلاعاتی بجزء شماره تلفن و آدرس در رابطه با ساير افراد کار مشکلی بود . ولی امروزه با توجه به ويژگی های منحصربفرد اينترنت ، يافتن اطلاعات متفاوتی در رابطه با ساير افراد کار مشکلی نخواهد بود . هم اينک حجم بسيار گسترده ای از اطلاعات به صورت online بوده و امکان دستيابی عمومی به آنان وجود دارد . اين موضوع با توجه به اين که تعداد زيادی از علاقه مندان صفحات وب شخصی مختص به خود را نيز ايجاد می نمايند، روندی کاملا" تصاعدی و فزاينده را طی می نمايد . در زمان انتشار اطلاعات همواره می بايست به اين واقعيت مهم توجه گردد که اطلاعات منتشر شده  برای تمامی کاربران در سراسر جهان قابل استفاده خواهد بود . مثلا" انتشار آدرس پست الکترونيکی می تواند افزايش تعداد spam دريافتی را بدنبال داشته باشد .

• توجه به اين واقعيت که نمی توان وضعيت را به حالت قبل برگرداند : پس از انتشار اطلاعات ، اطلاعات منتشر شده برای ساير کاربران و موتورهای جستجو در دسترس خواهد بود . قبل از انتشار اطلاعات می توان آنان را ويرايش و يا حذف نمود ولی پس از انتشار اطلاعات و استفاده از آنان توسط ساير کاربران ، نمی توان آنان را تغيير داد . حتی در صورتی که شما صفحات حاوی اطلاعات منتشر شده را حذف نمائيد ، همواره اين احتمال وجود خواهد داشت که برخی از کاربران صفحات فوق را بر روی کامپيوتر خود ذخيره کرده باشند و يا بخش هائی از آنان در ساير منابع اطلاعاتی منتشر شده باشد . برخی از موتورهای جستجو ، نسخه هائی از صفحات وب را به منظور بازيابی سريعتر cache می نمايند ، صفحات فوق ممکن است حتی پس از حذف آنان همچنان قابل دستيابی باشند . برخی مرورگرهای وب نيز ممکن است صفحاتی را که قبلا" مشاهده شده است ، cache نمايند .

در زمان انتشار اطلاعات بر روی منابع عمومی خصوصا" اينترنت، می بايست قبل از هر گونه اقدامی ضرورت نشر اطلاعات و اين که چه اطلاعاتی می بايست در دسترس همگانی قرار داده شود به دقت بررسی گردد . سرقت هويت کاربران يکی از مسائل مهم در عرصه اينترنت است و با وجود اطلاعات بيشتر، مهاجمان قادر به جمع آوری اطلاعات بيشتری در رابطه با شما  بوده و می توانند در مواردی خاص خود را به جای شما معرفی نموده و از موقعيت شما سوء استفاده نمايند .

با تشکر از شرکت سخاروش