میهمان گرامی ، خوش آمدید . عضــویت



رتبه موضوع:
  • 0 رای - 0 میانگین
  • 1
  • 2
  • 3
  • 4
  • 5

ضرورت توجه به امنيت اطلاعات

#1
Lightbulb 
ضرورت توجه به امنيت اطلاعات ( بخش اول )

طراحی و پياده سازی يك محيط ايمن در سازمان های مدرن اطلاعاتی يكی از چالش های اساسی در عصر حاضر محسوب می گردد . برای بسياری از سازمان ها و موسسات اهميت و ضرورت توجه جدی به مقوله امنيت اطلاعات هنوز در هاله ای از ابهام قرار دارد و برخی ديگر امنيت را تا سطح يك محصول تنزل داده و فكر می كنند كه با تهيه يك محصول نرم افزاری خاص و نصب آن در سازمان خود ، امنيت را برای سازمان خود به ارمغان می آورند . بخاظر داشته باشيم كه امنيت يك فرآيند است نه يك محصول .
در مجموعه مقالاتی كه بدين منظور آماده شده است و به تدريج بر روی سايت منشتر خواهد شد قصد داريم به ضرورت توجه جدی به مقوله امنيت اطلاعات اشاره نموده تا از اين رهگذر با ابعاد متفاوت ايجاد يك محيط ايمن آشنا شده و بتوانيم يك مدل امنيتی مناسب را در سازمان خود پياده سازی نمائيم .

اهميت امنيت اطلاعات برای يك سازمان

وجود يك حفره و يا مشكل امنيتی ، می تواند يك سازمان را به روش های متفاوتی تحت تاثير قرار خواهد داد . آشنائی با عواقب خطرناك يك حفره امنيتی در يك سازمان و شناسائی مهمترين تهديدات امنيتی كه می تواند حيات يك سازمان را با مشكل مواجه نمايد ، از جمله موارد ضروری به منظور طراحی و پياده سازی يك مدل امنيتی در يك سازمان می باشد .


پيشگيری از خرابی و عواقب خطرناك يك حفره امنيتی ، يكی از مهمترين دلايل پياده سازی يك استراتژی امنيتی موثر و كارآ است .


وجود حفره های امنيتی در يك سازمان ، می تواند پيامدهای منفی متعددی را برای يك سازمان به دنبال داشته باشد :
  • كاهش درآمد و افزايش هزينه
  • خدشه به اعتبار و شهرت يك سازمان
  • از دست دادن داده و اطلاعات مهم
  • اختلال در فرآيندهای جاری يك سازمان
  • پيامدهای قانونی به دليل عدم ايجاد يك سيستم ايمن و تاثير جانبی منفی بر فعاليت ساير سازمان ها
  • سلب اعتماد مشتريان
  • سلب اعتماد سرمايه گذاران

امنيت اطلاعات در سازمان ها طی ساليان اخير

ماحصل بررسی انجام شده توسط موسسات و مراكز تحقيقاتی معتبر در خصوص امنيت اطلاعات ،نشاندهنده اين واقعيت مهم است كه حملات مهاجمان بر روی درآمد و هزينه يك سازمان بطور مستقيم و يا غيرمستقيم تاثير خواهد داشت ( كاهش درآمد ، افزايش هزينه ) .
  • در سال 2003 ، ويروس ها و حملات از نوع DoS ( برگرفته از Denial of Service ) بيشترين تبعات منفی را برای سازمان ها به دنبال داشته اند.

  • در سال 2004 ، سرقت اطلاعات بالاترين جايگاه را داشته و حملات از نوع DoS با اندكی كاهش نسبت به سال 2003 در رتبه دوم قرار گرفته اند .

  • با اين كه هزينه پياده سازی يك سيستم حفاظتی اندك نمی باشد ولی می توان آن را به عنوان بخشی از هزينه هائی در نظر گرفت كه يك سازمان به دليل عدم ايمن سازی ، می بايست پرداخت نمايد ( برخورد با تبعات منفی ) .
  • موثرترين راهكار و يا راه حل امنيتی ، ايجاد يك محيط چندلايه ای است . در يك محيط چند لايه ، مهاجمان در هر لايه شناسائی و با آنان برخورد خواهد شد . موفقيت يك مهاجم نيز به عبور موفقيت آميز از هر لايه بستگی دارد . راه هكار امنيتی چندلايه به "دفاع در عمق " نيز مشهور است . در اين مدل ، در هر لايه از استراتژی های تدافعی خاصی استفاده می گردد كه با توجه به ماهيت پويای امنيت اطلاعات ، می بايست به صورت ادواری توسط كارشناسان حرفه ای امنيت اطلاعات ، بررسی و بهنگام گردند .

هر سازمان می بايست يك فريمورك و يا چارچوب امنيتی فعال و پويا را برای خود
ايجاد و به درستی از آن نگهداری نمايد .

  • در سال 2004 ، هفتاد درصد سازمان ها حداقل يك مرتبه مورد تهاجم قرار گرفته اند .

  • در سال 2003 بالغ بر 666 ميليون دلار صرف برخورد با مشكلات امنيتی در سازمان ها شده است .

  • نيمی از سازمان ها به اين موضوع اعتراف نموده اند كه نمی دانند چه ميزان از اطلاعات سازمان خود را به دليل حملات از دست داده اند .
  • چهل و يك درصد سازمان ها اعلام داشته اند كه دارای هيچگونه طرح و يا برنامه ای برای گزارش و يا پاسخ به تهديدات امنيتی نمی باشند .
  • مزايای سرمايه گذاری در امنيت اطلاعات

سازمان ها و موسسات تجاری با پياده سازی يك استراتژی امنيتی از مزايای زير بهره مند خواهند شد :
  • كاهش احتمال غيرفعال شدن سيستم ها و برنامه ها ( از دست دادن فرصت ها )
  • استفاده موثر از منابع انسانی و غيرانسانی در يك سازمان ( افزايش بهره وری )

  • كاهش هزينه از دست دادن داده توسط ويروس های مخرب و يا حفره های امنيتی ( حفاظت از داده های ارزشمند )
  • افزايش حفاظت از مالكيت معنوی
  • هزينه پيشگيری از يك مشكل امنيتی ، همواره كمتر از هزينه بازسازی خرابی متاثر از آن است .
  • يك مشكل امنيتی كه باعث از بين رفتن اطلاعات مشتريان می شود ، می تواند پيامدهای قانونی را برای يك سازمان به دنبال داشته باشد .

ضرورت توجه به امنيت اطلاعات ( بخش دوم )

فن آوری اطلاعات دارای يك نقش حياتی و تعيين كننده در اكثر سازمان های مدرن اطلاعاتی است . امروزه زيرساخت فن آوری اطلاعات سازمان ها در محيطی قرار گرفته اند كه بطور فزاينده بر تعداد دشمنان و مهاجمانی كه علاقه مند به حضور مستمر ، مطمئن و سودمند سيستم های كامپيوتری نمی باشد ، افزوده می گردد . حملات سيری كاملا" صعودی را داشته و متاسفانه اغلب سازمان ها قادر به واكنش مناسب در مقابل تهديدات امنيتی جديد در زمان مطلوب و قبل از سوء استفاده از سيستم های كامپيوتری خود نمی باشند .
كاهش مدت زمان لازم به منظور برخورد با تهديدات امنيتی و افزايش بهره وری ، از جمله خواسته های مشترك سازمان ها و كاربران می باشد . به منظور برخورد مناسب و ساختيافته با تهديدات امنيتی ، "مديريت خطرات امنيتی " و يا مديريت ريسك امنيتی به يكی از نيازهای اوليه و اساسی مراكز فن آوری اطلاعات تبديل شده است .
در اين بخش از مجموعه مقالات "ضرورت توجه به امنيت اطلاعات " ، به بررسی مديريت خطرات امنيتی و پيش نيازهای لازم در اين رابطه خواهيم پرداخت .

مفاهيم مديريت خطرات امنيتی ( مديريت ريسك )

در بسياری از سازمان ها ، ضرورت توجه به "مديريت خطرات امنيتی" پس از بروز يك حادثه امنيتی كوچك نظير آلودگی يك كامپيوتر توسط ويروس و يا هدف قرار گرفتن وب سايت سازمان ، احساس می گردد. در ادامه با افزايش حملات و تشديد اوضاع ، مشكلات و مسائل امنيتی متعددی برای سازمان ها ايجاد می گردد . سازمان ها يكی پس از ديگری در مواجه منطقی با مشكلات امنيتی نااميد شده و به منظور برخورد با بحران های امنيتی ، برخوردهای انفعالی را در دستور كار خود قرار می دهند .
افزايش بی رويه حملات موفقيت آميز مبتنی بر شبكه ، ضرورت پياده سازی يك رويكرد پيشگيرانه ( در مقابل رويكردهای انفعالی ) برای مديريت خطرات امنيتی را برای بسياری از سازمان ها به اثبات رسانده است .
مديريت خطرات امنيتی ، فرآيندی است كه در آن تهديدات موجود در يك سازمان شناسائی ، اولويت بندی و نحوه مديريت آنان در يك سطح قابل قبول مشخص می گردد . وجود يك استراتژی مدون به منظور مديريت خطرات امنيتی ، سازمان ها را قادر می سازد كه فرآيندهائی را به منظور شناسائی و اولويت بندی فعاليت ها در محيط فن آوری اطلاعات پياده سازی و از آنان نگهداری نمايند . جايگزينی برخوردهای پيشگيرانه با برخوردهای انفعالی ، مهمترين دستاورد مديريت خطرات امنيتی در يك سازمان می باشد كه قطعا" بهبود وضعيت يك سازمان را به دنبال خواهد داشت چراكه احتمال دستيابی مستمر به زيرساخت فن آوری اطلاعات افزايش يافته و در فرآيندهای جاری يك سازمان خللی ايجاد نمی گردد .

جايگزينی برخوردهای پيشگيرانه با برخوردهای انفعالی مهمترين دستاورد مديريت خطرات امنيتی در يك سازمان می باشد.

پياده سازی فرآيند مديريت خطرات امنيتی برای سازمان ها دستاوردهای متعددی را به دنبال خواهد داشت :
  • زمان پاسخ به تهديدات : با ايجاد فرآيند مديريت خطرات امنيتی ، سازمان ها می توانند در مقابل تهديدات امنيتی جديد در زمان مناسب و به سرعت واكنش لازم را داشته باشند ( قبل از سوء استفاده از تمام محيط شبكه ) . مديريت خطرات امنيتی، بستر لازم برای پيشگيری در مقابل تهديدات و يا آسيب پذيری سازمان ها را فراهم می نمايد . بدين ترتيب ، نحوه برخورد سازمان ها با مسائل و مشكلات امنيتی از واكنش های انفعالی به واكنش های پيشگيرانه تغيير خواهد كرد .
  • مديريت قانونمند : تدوين مجموعه قوانين جديد در ارتباط با حفط حريم خصوصی كاربران ، تعهدات مالی و وظابف حقوقی ، سازمان ها را مجبور می نمايد كه زيرساخت فن آوری اطلاعات خود را با دقت بيشتر و موثرتر از گذشته مديريت نمايند . بسياری از سازمان ها دارای تعهدات قانونی به منظور پياده سازی و نگهداری يك سطح امنيتی حداقل در محدوده عملياتی خود می باشند . بروز اشكال در مديريت پيشگيرانه امنيتی ، سازمان ها را به دليل عدم انجام وظايف و مسئوليت های قانونی خود در معرض آسيب حقوقی قرار خواهد داد .
  • هزينه های مديريت زيرساخت : فرآيند مديريت خطرات امنيتی ، سازمان ها را قادر می سازد كه با يك وضعيت مطلوب ، مقرون به صرفه و در يك سطح قابل قبول امنيتی فعاليت های جاری خود را انجام دهند . فرآيند فوق همچنين يك مسير مشخص و پايدار برای سازماندهی و اولويت بندی منابع محدود را به منظور مديريت خطرات ارائه می نمايد . مزايای واقعی پياده سازی مديريت خطرات امنيتی زمانی هويدا می گردد كه سازمان ها بتوانند كنترل هائی مقرون به صرفه به منظور كاهش تهديدات امنيتی را پياده سازی نمايند .
  • مديريت و اولويت بندی خطرات : مديريت خطرات امنيتی می تواند به يك سازمان كمك نمايد كه اصول امنيتی را به منظور كاهش بيشترين خطرات در محيط مربوطه بكار گيرد ( نه اين كه از يك رويكرد غيرمنسجم برای ايمن سازی عناصر مجزاء در سازمان استفاده گردد ).
عوامل موفقيت پروژه مديريت خطرات امنيتی

پياده سازی موفقيت آميز پروژه مديريت خطرات امنيتی به عوامل متعددی بستگی خواهد داشت :
  • ضمانت اجرائی : مديران ارشد سازمان ، می بايست از پروژه مديريت خطرات امنيتی حمايت نمايند . بدون وجود ضمانت های اجرائی لازم ، كاركنان يك سازمان ممكن است در مقابل استفاده از توصيه ها و راهكارهای ارائه شده در خصوص نحوه انجام فعاليت ها ، با آنان مقاومت نموده و مرگ فرسايشی آنان را باعث گردند .
  • تعريف يك ليست مشخص از افرادی كه در مقوله امنيت ذينفع می باشند . در هر سازمان افرادی وجود دارند كه از نتايج و دستاوردهای مديريت خطرات امنيتی بيش از ساير افراد ذينفع می باشند . گروه مديريت ريسك امنيتی ، می بايست نسبت به شناسائی اين افراد در سازمان اقدام و آنان را با فرآيندهای موجود به منظور حفاظت از سرمايه ها و از دست ندادن منابع مالی در درازمدت آشنا نمايد .
  • وجود بلوغ سازمانی در ارتباط با مديريت خطرات امنيتی : مديريت خطرات امنيتی صرفا" در سازمان هائی كه دارای يك بلوغ سازمانی مناسب می باشند ، قابل پياده سازی است . بلوغ سازمانی و اطلاعاتی ، می بايست در تعداد زيادی از سطوح مديريتی يك سازمان وجود داشته باشد .
  • وجود يك فضای فكری باز برای كارگروهی : پروژه مديريت خطرات امنيتی نيازمند يك رويكرد باز و صادقانه ارتباطی است ( هم بين اعضای گروه و هم با ساير افراد شاغل در سازمان كه مديريت خطرات امنيتی برای آنان دستاوردهای ارزشمندی را به دنبال خواهد داشت ) . وجود يك تفكر ارتباطی مثبت و اعتقاد عملی به كار گروهی در ذهن يكايك اعضاء گروه ، علاوه بر استفاده مفيد از زمان، ضريب موفقيت پروژه را در زمان مواجهه با مسائل و مشكلات ناخواسته افزايش می دهد ( مشاركت و همكاری به منظور حل مسائل ) .
  • ديد سيستماتيك نسبت به سازمان : در زمان پياده سازی پروژه مديريت خطرات امنيتی ، می بايست بررسی تمام سازمان بدون هيچگونه افراط و يا تفريطی در دستور كار قرار گيرد . در برخی موارد ممكن است يك واحد خاص در سازمان پروژه را به سمتی هدايت نمايد كه بيشتر در جهت تامين اهداف يك بخش باشد و نه تمامی سازمان ( نگرش سيستماتيك نسبت به مسائل و يافتن راه حل آنان ) .
  • اختيارات لازم برای گروه مديريت خطرات امنيتی : مشاركت در پروژه مديريت خطرات امنيتی به منزله قبول مسئوليت به منظور شناسائی و كنترل مهمترين تهديدات امنيتی است كه سرمايه های يك سازمان ر ا در معرض خطر قرار می دهد . با توجه به اهداف مهم پروژه ، می بايست اين گروه دارای اختيارات كافی و منابع مورد نياز به منظور انجام وظايف قانونی خود باشند.
رويكردهای متفاوت مديريت خطرات امنيتی

اكثر سازمان ها به منظور مديريت خطرات امنيتی از دو رويكرد متفاوت استفاده می نمايند :
  • رويكرد انفعالی، فرآيندی است كه بر اساس آن صرفا" پس از بروز يك حادثه امنيتی به آن پاسخ داده می شود . تعداد زيادی از كارشناسان حرفه ای فن آوری اطلاعات همواره با اين محدوديت مواجه می باشند كه فعاليت ها را بگونه ای انجام و به اتمام برسانند كه كمترين مشكل را برای كاركنان ايجاد نمايد . پس از بروز يك مشكل امنيتی ، كارشناسان فن آوری اطلاعات صرفا" می توانند از پيشرفت مشكل جلوگيری نموده و پس از ايزوله نمودن آن ، مشكل سيستم های آلوده را برطرف نمايند . شايد در اين رابطه برخی علاقه مند باشند كه عامل اصلی بروز مشكل را پيدا نمايند، ولی با توجه به محدوديت زمان و منابع موجود درسازمان ، عملا" امكان انجام آن وجود نخواهد داشت . متاسفانه برای بسياری از سازمان ها همچنان رويكردهای انفعالی يك نگرش موثر به منظور برخورد با تهديدات امنيتی است ( پس از بروز مشكل در رابطه با نحوه برخورد با آن تصميم گرفته می شود و برای پيشگيری از بروز حوادث از رويكرد خاصی تبعيت نمی گردد ) .
  • رويكرد پيشگيرانه، فرآيندی است كه باعث كاهش خطر آسيب پذيری در يك سازمان می گردد . مديريت پيشگيری از خطرات امنيتی دارای مزايای متعددی نسبت به يك رويكرد انفعالی است . در مقابل اين كه منتظر بمانيم تا يك حادثه اتفاق افتد و به آن پاسخ دهيم ، احتمال بروز مشكل در اولين مكان را كاهش خواهيم داد . بدين منظور از رويه هائی خاص به منظور حفاظت از سرمايه های مهم سازمان استفاده می گردد . با پياده سازی كنترل هائی كه كاهش آسيب پذيری سيستم و سوء استفاده از آنان توسط نرم افزارهای مخرب را به دنبال خواهد داشت ، امكان سوء استفاده مهاجمان از فرصت های ايجاد شده كاهش يافته و پيشگيری لازم در اين خصوص انجام خواهد شد .
يك رويكرد پيشگيرانه می تواند به يك سازمان در جهت كاهش تعداد حوادث امنيتی در آينده كمك نمايد ولی اين بدين معنی نخواهد بود كه چنين مسائلی در آينده اتفاق نخواهند افتاد . بنابراين ، سازمان ها می بايست فرآيند پاسخ به حوادث امنيتی را بهبود داده و بطور همزمان ايجاد رويكردهای پيشگيرانه درازمدت را در دستور كار خود قرار دهند . Rose
خدایا ، امروز زندگیم را در دستان توانمندت قرار می دهم و به تو، توکل می کنم که چراغ و هدایتگر راهم باشی .
خدایا اگر به یاد آورم که در گذشته چگونه از من مراقبت کردی
در زمان حال به تو توکل می کنم و می دانم، سپردن آینده به دستان توانای تو، بسیار اسان است.
Rose
اگر می خواهی خوشبخت ، باشی سعادت دیگران را هم در نظر بگیر
اگر شادی و تمام چیزهای مطلوب را با دیگران قسمت کنید ،
شادی و چیزهای مطلوب بیشتری را به سمت خودتان جذب می کنید.
امتحان کنیدRose
شهر از بالا زیباست ؛ و آدم ها از دور جذاب .لطفاً فاصله مناسب رو حفظ کنید تا قشنگ بمونیدRose

 سپاس شده توسط hadi ، hamidi
#2
ضرورت توجه به امنيت اطلاعات ( بخش سوم )

هر سازمان می بايست يك فريمورك و يا چارچوب امنيتی فعال و پويا را برای خود ايجاد و به درستی از آن نگهداری نمايد . دفاع در عمق ، يك فريمورك امنيتی مناسب در اين رابطه است . در اين مدل ، زيرساخت فن آوری اطلاعات يك سازمان به عنوان مجموعه ای از لايه های مرتبط به هم در نظر گرفته می شود و برای هر لايه مكانيزم های امنيتی و حفاظتی مناسبی تعريف می گردد .
  • لايه اول : سياست های امنيتی ، رويه ها و اطلاع رسانی
  • لايه دوم : امنيت فيزيكی ( نظير حفاظت فيزيكی )
  • لايه سوم : حفاظت از محدوده عملياتی يك شبكه داخلی به منظور ارتباط با ساير شبكه ها ( نظير استفاده از فايروال ها )
  • لايه چهارم : ايمن سازی شبكه داخلی
  • لايه پنجم : امنيت كامپيوترها و دستگاه های ميزبان ( ايجاد سيستم های تدافعی لازم )
  • لايه ششم : امنيت برنامه های كاربردی ( نصب های ايمن به همراه نصب تمامی Service Packs و patch محصولات نرم افزاری موجود در سازمان به منظور پيشگيری از حملات برنامه ريزی شده با بهره گيری از نقاط ضعف موجود )
  • لايه هفتم : امنيت داده ( بهره گيری از سيستم امنيتی فايل و يا فولدر سيستم فايل NTFS ، رمزنگاری ، ليست های كنترل دستيابی ، ايجاد نسخه های backup از داده ها و مكانيزم های لازم به منظور بازيافت اطلاعات )
[عکس: DefenseInDepth1.jpg]


جزئيات مدل امنيتی دفاع در عمق

در فريمورك امنيتی دفاع در عمق ، از افراد ، رويه ها و فن آوری های متعدد در لايه های مختلف به منظور حفاظت از زيرساخت فن آوری اطلاعات يك سازمان استفاده می گردد . در صورتی كه يك مهاجم موفق به عبور از سيستم تدافعی يك لايه گردد ، اين بدان معنی نخواهد بود كه وی توانسته است تمامی سازمان را در معرض تهديد قرار دهد . طراحی و ايجاد سيستم تدافعی هر لايه می بايست با فرض اين كه مهاجمان توانسته اند از ساير لايه ها با موفقيت عبور نمايند ، انجام شود . بنابراين لازم است ، اقدامات لازم به منظور ايمن سازی هرلايه بدون در نظر گرفتن استحكام سيستم تدافعی لايه های ديگر انجام شود .

استفاده از يك رويكرد امنيتی لايه ای ،

امكان تشخيص تهديدات را افزايش و شانس موفقيت مهاجمان را كاهش خواهد داد .


مدل امنيتی دفاع در عمق ، از مجموعه ای لايه های مرتبط به هم تشكيل می گردد :
  • سياست ها ، رويه ها و اطلاع رسانی :
عملكرد لايه فوق بر روی ساير لايه ها تاثير مستقيم دارد . در اين لايه عمليات متفاوتی نظير تدوين سياست ها و رويه های امنيتی و برنامه های آموزش كاربران پيش بينی می گردد .

  • امنيت فيزيكی :
لايه فوق پنج لايه ديگر را در برمی گيرد . در اين لايه می بايست از منابع انسانی و غيرانسانی و دستگاه های رديابی به منظور حفاظت فيزيكی استفاده گردد.

  • محدوده عملياتی شبكه :
هر شبكه داخلی دارای محيط عملياتی مختص به خود می باشد كه ممكن است در نقاطی خاص با ساير شبكه های خارجی ( نظير اينترنت و يا اكسترانت ) ارتباط برقرار نمايد . به منظور حفاظت از محيط عملياتی يك شبكه داخلی ، می بايست از امكانات و روش های متعددی استفاده نمود . بكارگيری فايروال های سخت افزاری ، نرم افزاری (يا هر دو ) و شبكه های VPN ( استفاده از رويه های قرنطينه ای ) نمونه هائی در اين زمينه می باشد .

  • شبكه داخلی :
به منظور حفاظت از شبكه داخلی از امكانات و روش های متعددی استفاده می گردد . بخش بندی شبكه ، استفاده از پروتكل IPSec و بكارگيری سيستم های تشخيص مزاحمين نمونه هائی در اين زمينه می باشد .

  • كامپيوترها و دستگاه های ميزبان :
در هر شبكه از كامپيوترها و دستگاه های ميزبان متعددی استفاده می گردد كه بر روی هر يك از آنان سيستم عامل مربوطه نصب تا مديريت منابع را برعهده گيرد . در اين لايه لازم است با تمركز بر روی دستگاه ها ، كامپيوترهای سرويس دهنده و يا سرويس گيرنده نسبت به ايمن سازی سيستم عامل نصب شده بر روی آنان اقدام گردد . استفاده از متدهای پيشرفته تائيد كاربران ، بكارگيری ابزارها و مكانيزم های لازم به منظور مديريت بهنگام سازی نرم افزارهای پايه و استفاده از سيستم های تشخيص مزاحمين نمونه هائی در اين زمينه می باشد .

  • برنامه های كاربردی :
در اين لايه با تمركز بر روی برنامه های كاربردی موجود در يك شبكه ، از امكانات و مكانيزم های مختلفی به منظور افزايش ايمن سازی آنان استفاده می گردد . استفاده از نرم افزارهای ضد ويروس از جمله اقدامات لازم در اين لايه است .
  • داده :
به منظور حفاظت از داده ها و اطلاعات حساس در يك سازمان ، می بايست از امكانات و ابزارهای متعددی استفاده گردد . ايجاد ليست های كنترل دستيابی ( ACLs ) ، رمزنگاری ، سيستم فايل رمزنگاری ( EFS ) و مديريت حقوق ديجيتالی ( DRM ) ، نمونه هائی در اين زمينه می باشد.
ضرورت توجه به امنيت اطلاعات ( بخش جهارم )

استراتژی "دفاع در عمق " يك فريمورك امنيتی مناسب برای حفاظت و نگهداری ايمن زيرساخت فن آوری اطلاعات يك سازمان است . در اين مدل،زير ساخت فن آوری اطلاعات يك سازمان به عنوان مجموعه ای از لايه های مرتبط به هم در نظر گرفته شده و به منظور حفاظت و ايمن سازی هر لايه از مكانيزم ها و روش های حفاظتی خاصی استفاده می گردد

بررسی لايه سياست ها ، رويه ها و اطلاع رسانی

در اولين لايه مدل امنيتی "دفاع در عمق " ، سياست ها و رويه های امنيتی تعريف و تمامی كاربران صرفنظر از موقعيت شغلی خود می بايست با آنان آشنا شوند . با توجه به جايگاه برجسته اين لايه و تاثير آن بر روی عملكرد ساير لايه ها ، می بايست با حوصله و دقت بيشتری اين لايه بررسی و قبل از هر چيز سياست های امنيتی در يك سازمان تعريف گردد .

در زمان تعريف سياست های امنيتی می بايست به موارد زير توجه گردد :
  • تعريف عناصر زيادی نظير : استفاده قابل قبول از منابع موجود ، دستيابی از راه دور ، حفاظت اطلاعات ، تهيه نسخه های پشتيبان از اطلاعات ، امنيت پيرامون شبكه ، ايمن سازی و ايمن نگهداشتن دستگاه ها و كامپيوترهای ميزبان و ...
  • يك سياست امنيتی مناسب می بايست قادر به برقراری ارتباط مناسب با كاربران بوده و با ارائه يك ساختار اساسی آنان را در زمان بروز يك رويداد و يا مشكل امنيتی كمك نمايد .
  • تدوين رويه های مناسب به منظور برخورد با يك مشكل امنيتی . در اين رويه ها می بايست محدوده مسئوليت ها به دقت مشخص گردد .
  • تعيين دقيق نوع و مكان ذخيره سازی اطلاعات مهمی كه برای يك سازمان ارزش حياتی دارند .
  • مشخص نمودن اقداماتی كه می بايست پس از بروز يك مشكل امنيتی انجام شود.
  • سياست های امنيتی به عنوان اصول عملياتی رويه های امنيتی مطرح می باشند . بنابراين ، می بايست به اندازه كافی عمومی باشند تا بتوان آنان را با استفاده از فن آوری ها و پلت فرم های موجود پياده سازی نمود .
  • سياست های امنيتی می بايست اطلاعات لازم برای كارشناسان حرفه ای فن آوری اطلاعات در خصوص نحوه پياده سازی كنترل های امنيتی به منظور حمايت از سياست های امنيتی را ارائه نمايند .
  • محدوده سياست های امنيتی برای يك سازمان ، به اندازه و پيچيدگی های آن بستگی دارد .
  • رويه های امنيتی نحوه انجام عملياتی خاص بر روی دستگاه هائی بخصوص نظير نحوه پيكربندی يك سرويس دهنده وب جديد را مشخص می نمايند .
  • اطلاع رسانی يك عنصر امنيتی است كه اغلب به فراموشی سپرده می شود . اكثر كاربران فعاليت های روزمره خود را با ناديده گرفتن مسائل امنيتی انجام می دهند . بدون وجود آموزش های لازم ، اغلب پرسنل در ابتدا سعی می نمايند كار خود را بگونه ای كه راحتر می باشند انجام دهند و در مرحله بعد به امنيت انجام كار فكر كنند . تدوين سياست ها و رويه های امنتيی بدون اين كه كاربران نسبت به آنان آگاهی داشته باشند ، نتايج مثبت و مشهودی را در زمينه ايجاد يك سيستم ايمن به دنبال نخواهد داشت .
تهديدات لايه سياست ها ، رويه ها و اطلاع رسانی
  • بسياری از كاربران قوانين امنيتی را به عنوان يك ضرورت در نظر نگرفته و از آنان تبعيت نمی نمايند . اينگونه كاربران متاسفانه نسبت به مسائل امنيتی شناخت مناسبی نداشته و از تبعات زيانبار آن آگاهی ندارند . بديهی است زمانی كه كاربران نسبت به اهميت امنيت اطلاعات شناخت مناسبی را نداشته باشند ، نمی توانند از رمزهای عبور خود حفاظت نموده و يا از اطلاعات سازمان خود محافظت نمايند (نظير پيكربندی سخت افزارها و يا نرم افزارها با رعايت مسائل امنيتی )
  • تعداد زيادی از حملات مبتنی بر " مهندسی اجتماعی " است . اين نوع حملات از مزايای ضعف امنيت و عدم رعايت نكات ايمنی در زندگی روزمره انسان ها استفاده می نمايند . يك مهاجم می تواند زمان زيادی را در محل كار و يا اوقات فراغت خود صرف نمايد تا بتواند اعتماد يك كاربر را جلب نمايد . زمانی كه يك مهاجم سوالاتی را مطرح و پاسخ آنان را دريافت می نمايد ، با قرار دادن اطلاعات فوق در كنار يكديگر و آناليز آنان می تواند به اطلاعات اررشمندی دست يابد كه از آنان به منظور برنامه ريزی حملات استفاده نمايد .

دو نمونه از حملات مبتنی بر مهندسی اجتماعی :


يك مهاجم با مسئول فنی يك مركز ارائه دهنده خدمات اينترنت (ISP ) تماس می گيرد و در مدت زمان مكالمه تلفنی با وی به اين نكته اشاره می نمايد كه دارای يك اتومبيل است كه قصد دارد آن را با قيمت مناسبی بفروشد . مسئول فنی ISP نسبت به خريد اتومبيل اظهار تمايل می نمايد . مهاجم به وی پيشنهاد می نمايد كه يك mail را كه حاوی تصوير اتومبيل است برای وی ارسال خواهد كرد . مهاجم ، در مقابل ارسال تصوير اتومبيل ( به عنوان يك فايل ضميمه ) يك برنامه مخرب از نوع backdoor را به همراه email برای مسئول فنی ISP ارسال می نمايد . زمانی كه مسئول فنی ISP نامه را دريافت و فايل ضميمه را فعال می نمايد ، برنامه مخرب ارسالی اجراء و يك حفره امنيتی را در بطن شبكه ISP ايجاد می نمايد.

يك مهاجم می تواند اسامی كليدی پرسنل يك سازمان را از طريق تماس با واحد مربوطه بدست آورد. در ادامه وی طی تماس با محل كار و يا منزل و شنيدن پيام دستگاه پيام گير آنان از اين موضوع آگاه می گردد كه كدام مدير در خارج از شهر می باشد . در ادامه ، مهاجم با مراجعه به سازمان مربوطه وانمود می نمايد كه كليد خود را جا گذاشته است تا بتواند وارد ساختمان گردد . پس از ورود مهاجم ( كه ممكن است از كاركنان همان سازمان باشد ) به ساختمان اصلی سازمان مورد نظر ، وی وارد دفتر كار پرسنلی می گردد كه در خارج از شهر می باشد و بدون نگرانی كامپيوتر وی را بررسی و با بكارگيری انواع نرم افزارهای موجود تلاش می نمايد كه به اطلاعات موجود بر روی كامپيوتر دستيابی نمايد .

حفاظت لايه سياست ها ، رويه ها و اطلاع رسانی

  • برای مقابله با انواع تهديدات ، می بايست سياست ها و رويه های امنيتی به صورت واضح تدوين ، پياده سازی و توسط تمامی پرسنل بكار گرفته شوند . هر فرآيند و يا عملياتی كه در خصوص سياست های امنيتی تعريف می گردد ، می بايست دارای دستورالعمل های مستند و روشنی باشد .
  • پرسنل سازمان می بايست نسبت به سياست ها و رويه های امنيتی آموزش ببينند . آموزش امنيت يك امر ضروری است تا اين اطمينان حاصل گردد كه كاربران نسبت به كارهائی كه می بايست در راستای تامين سياست ها و رويه های امنيتی انجام دهند، توجيه و آنان را رعايت می نمايند . نحوه آموزش می بايست بگونه ای باشد كه تصويری واقعی از جايگاه و اهميت امنيت اطلاعات را برای كاربران تشريح تا آنان نياز به امنيت را همواره و در تمامی سطوح احساس و به آن پايبند باشند .
  • يك سياست امنيتی تركيبی از خواسته ها و فرهنگ يك سازمان است كه متاثر از اندازه و اهداف يك سازمان می باشد . برخی سياست ها ممكن است به تمامی سايت ها اعمال گردد و برخی ديگر ممكن است در رابطه با محيط هائی خاص بكار گرفته شود . يك سياست امنيتی می بايست سطح كنترل را با سطح بهره وری بالانس نمايد . در صورتی كه يك سياست امنيتی محدوديت های زيادی را برای كاربران درپی داشته باشد ، كاربران روش های ناديده گرفتن آن را بررسی و برای آن راه حل های خاص خود را پيدا خواهند كرد .
  • اطلاع رسانی در خصوص مسائل امنيتی می بايست ترويج و در دستور كار قرار گيرد . مثلا" می توان از پوسترهای امنيتی و كارت های checklist برای اطلاع رسانی استفاده نمود . پوسترها و كارت های checklist دارای كارآئی بمراتب بهتری نسبت به مستندات حجيم سياست های امنيتی می باشند كه ممكن است جهت استفاده عموم بر روی شبكه اينترانت سازمان منتشر شده باشد. پوسترها و كارت های checklist را می بايست در مكانی نصب نمود كه در معرض ديد بيشتری باشند .
  • به منظور بررسی وضعيت برخی سياست های امنيتی نظير رمزهای عبور و پيكربندی امنيتی ، می توان از ابزارهائی نظير Microsoft Baseline Security استفاده نمود . RoseRose
خدایا ، امروز زندگیم را در دستان توانمندت قرار می دهم و به تو، توکل می کنم که چراغ و هدایتگر راهم باشی .
خدایا اگر به یاد آورم که در گذشته چگونه از من مراقبت کردی
در زمان حال به تو توکل می کنم و می دانم، سپردن آینده به دستان توانای تو، بسیار اسان است.
Rose
اگر می خواهی خوشبخت ، باشی سعادت دیگران را هم در نظر بگیر
اگر شادی و تمام چیزهای مطلوب را با دیگران قسمت کنید ،
شادی و چیزهای مطلوب بیشتری را به سمت خودتان جذب می کنید.
امتحان کنیدRose
شهر از بالا زیباست ؛ و آدم ها از دور جذاب .لطفاً فاصله مناسب رو حفظ کنید تا قشنگ بمونیدRose

 سپاس شده توسط hadi ، hamidi
#3
ضرورت توجه به امنيت اطلاعات ( بخش پنجم)

استراتژی "دفاع در عمق " يك فريمورك امنيتی مناسب برای حفاظت و نگهداری ايمن زيرساخت فن آوری اطلاعات يك سازمان است . در اين مدل،زير ساخت فن آوری اطلاعات يك سازمان به عنوان مجموعه ای از لايه های مرتبط به هم در نظر گرفته شده و به منظور حفاظت و ايمن سازی هر لايه از مكانيزم ها و روش های حفاظتی خاصی استفاده می گردد . در اين بخش به بررسی لايه فيزيكی خواهيم پرداخت .

بررسی لايه امنيت فيزيكی
  • لايه امنيت فيزيكی ، پنج لايه ديگر ( محدوده عملياتی شبكه ، شبكه داخلی ، كامپيوترها و دستگاه های ميزبان ، برنامه های كاربردی و داده ) مدل امنيتی "دفاع در عمق " را دربرمی گيرد .
  • از تمامی سرمايه های موجود در زير ساخت فن آوری اطلاعات يك سازمان ، می بايست بطور فيزيكی حفاظت گردد . سرمايه های فوق صرفا" محدود به سخت افزار نبوده و نرم افزار و اطلاعات مهم و حياتی موجود در سازمان را كه بر روی رسانه های مختلفی ذخيره شده اند را نيز شامل می شود .
  • امنيت فيزيكی يك عنصر كليدی در استراتژی امنيتی يك سازمان است .
تهديدات لايه فيزيكی
  • در صورتی كه يك مهاجم بتواند به سيستم های موجود بطور فيزيكی دستيابی پيدا نمايد ، در واقع وی مالك و هدايت كننده اين سيستم ها خواهد بود .
  • در برخی موارد ماحصل يك تهاجم صرفا" خرابكاری و ايجاد اختلال در روند عادی انجام فعاليت های يك سازمان می باشد . با اين كه ايجاد خرابی و يا غيرفعال كردن برخی سخت افزارها خود يك مسئله مهم و حياتی است ولی دستيابی ، مشاهده ، تغيير و يا حذف اطلاعاتی كه دارای جايگاه خاصی برای يك سازمان می باشند ، می تواند يك سازمان را با چالش های جدی امنيتی مواجه سازد .
  • در صورتی كه يك مهاجم بتواند بطور فيزيكی به يك سيستم دستيابی نمايد ، وی قادر است نرم افزارهای مخرب و يا سخت افزارهائی را كه بدين منظور طراحی شده اند بر روی سيستم نصب نمايد . فعاليت برخی نرم افزارهای مخرب نظير برنامه های Spyware و يا ثبت كنندگان داده ورودی توسط كاربر و از طريق صفحه كليد ، می تواند بدون اگاهی كاربر انجام شود. وجود اينگونه نرم افزارها در زيرساخت فن آوری اطلاعات يك سازمان، می تواند پيامدهای منفی گسترده ای را برای آنان به دنبال داشته باشد .
  • دستيابی فيزيكی به سرويس های موبايل نظير تلفن های سلولی و يا دستگاه های handheld ، از جمله تهديدات امنيتی است كه می تواند برای يك سازمان مشكل ايجاد نمايد . در صورتی كه مهاجمان قادر به دستيابی سيستم های فوق گردند ، می توانند از اطلاعات متعدد موجود بر روی اينگونه سيستم ها به منظور برنامه ريزی حملات استفاده نمايند . مشاهده ليست تماس ، شماره تلفن و پيام های email نمونه هائی از اينگونه اطلاعات می باشند.
حفاظت لايه فيزيكی
  • امنيت فيزيكی می بايست در رابطه با تمامی عناصر موجود در زيرساخت فن آوری اطلاعات يك سازمان بكار گرفته شود . در صورتی كه يك فرد غيرمجاز قادر به دستيابی فيزيكی يكی از عناصر مهم موجود در زيرساخت فن آوری اطلاعات يك سازمان گردد ، نمی توان به زيرساخت موجود از نظر ايمن بودن اطمينان داشت .
  • محل استقرار سرويس دهندگان را از كاربران معمولی جدا نموده و می بايست از تمامی اطلاق های محل استقرار سرويس دهندگان ، حفاظت گردد . دستيابی به اطاق های محل استقرار سرويس دهندگان می بايست به دقت كنترل و ثبت گردد . در صورتی كه از اطلاق هائی خاص برای استقرار سرويس دهندگان استفاده نمی گردد ، می بايست آنان را در يك محيط ايزوله منطقی قرار داد ( استفاده از محفظه هائی كه دستيابی به آنان از طريق كليد مربوطه امكان پذير می باشد ) .
  • تمامی اطلاق های محل استقرار سرويس دهندگان می بايست دارای سيستم اطفاء حريق باشند . آتش سوزی و ايجاد حريق يك تهديد جدی است كه می بايست قبل از وقوع برای آن راهكار منطقی را پيش بينی كرد.
  • دستيابی به اطلاق های محل استقرار سرويس دهندگان می بايست توسط سيستم های تلويزيونی مدار بسته (CCTV ) مانيتور گردد. ضبظ تصاوير تلويزيونی با استفاده از سيستم های مدار بسته ، در صورت بروز يك مشكل و به منظور بررسی علل وقوع آن می تواند مفيد واقع شود .
  • اعمال محدوديت در دستيابی فيريكی می بايست كنسول های مديريت از راه دور را نيز شامل شود . در صورتی كه يك مهاجم بتواند به يك سرويس دهنده از طريق سرويس های راه دور و از هر نقطه ای دستيابی داشته باشد ، اعمال محدوديت در دستيابی فيزيكی به صفحه كليد و مانيتور سرويس دهندگان به تنهائی كافی نخواهد بود . به منظور ايجاد يك كانال ارتباطی ايمن برای دستيابی مديريتی از راه دور ، می بايست از سيستم های رمزنگاری و تائيد چندگانه استفاده نمود .
  • در صورت عدم نياز سرويس دهندگان به درايوهای فلاپی ديسك و يا ديسك های فشرده ، از آنان بر روی دستگاه های سرويس دهنده استفاده نگردد ،چراكه رسانه های ذخيره سازی فوق می توانند به عنوان يك منبع جهت ورود و نصب برنامه های مخرب مورد استفاده قرار گيرند.
  • اعمال محدوديت در دستيابی فيزيكی می بايست تمامی سخت افزارها و دستگاه های حياتی موجود در شبكه را شامل شود . روترها و سوئيچ های شبكه می بايست بطور فيزيكی ايمن و از آنان حفاظت گردد . در غير اينصورت يك مهاجم می تواند به سادگی يك laptop و يا حتی يك كامپيوتر شخصی را به آنان متصل و سرويس دهندگان موجود در شبكه را از درون محيط شبكه داخلی مورد تهديد قرار دهد . مديريت دستگاه های شبكه ای می بايست به دقت كنترل گردد در غير اينصورت مهاجمان می توانند از دستگاه های فوق به منظور برنامه ريزی حملات خود استفاده نمايند .
  • کامپيوترهای laptop يك سازمان ممكن است شامل حجم زيادی از اطلاعات ارزشمند باشد . از كامپيوترهای فوق نيز می بايست حفاظت و به صورت ايمن از آنان استفاده گردد .
  • از نسخه های Backup اطلاعات مهم و حياتی يك سازمان به همراه پيكربندی دستگاه های شبكه ای نيز می بايست حفاظت گردد چراكه مهاجمان می توانند از اينگونه اطلاعات به منظور برنامه ريزی حملات و افزايش شانس موفقيت خود استفاده نمايند .

ضرورت توجه به امنيت اطلاعات ( بخش ششم)

استراتژی "دفاع در عمق " يك فريمورك امنيتی مناسب برای حفاظت و نگهداری ايمن زيرساخت فن آوری اطلاعات يك سازمان است . در اين مدل،زير ساخت فن آوری اطلاعات يك سازمان به عنوان مجموعه ای از لايه های مرتبط به هم در نظر گرفته شده و به منظور حفاظت و ايمن سازی هر لايه از مكانيزم ها و روش های حفاظتی خاصی استفاده می گردد . در اين بخش به بررسی لايه محدوده عملياتی شبكه و يا Perimeter خواهيم پرداخت .

بررسی لايه Perimeter
  • Perimeter شبكه ، مكانی است كه شبكه يك سازمان با شبكه های تائيد نشده ديگر مرتبط می گردد . بسياری از كارشناسان شبكه از تعريف فوق اينگونه استنباط می نمايند كه صرفا" اتصال بين شبكه داخلی سازمان و اينترنت مورد نظر می باشد . در صورتی كه در استراتژی دفاع در عمق ، به هر نقطه ای كه شبكه داخلی يك سازمان را به ساير شبكه ها و ميزبانان متصل و توسط گروه فن آوری اطلاعات سازمان مديريت نمی گردند ،اطلاق می گردد . موارد زير نمونه هائی در اين زمينه می باشد :
    - اينترنت
    - شعبات و نمايندگی های متفاوت يك سازمان كه توسط گروه فن آوری اطلاعات سازمان مديريت نمی گردند .
    - كاربران راه دور
    - شبكه های بدون كابل
    - برنامه های اينترنت
    - ساير سگمنت های داخلی شبكه
  • Perimeter يك شبكه ، ناحيه ای است كه در معرض بيشترين حملات از دنيای خارج قرار دارد و بروز تهاجم از آن نقاط احتمال بيشتری دارد .
  • از امكانات متفاوتی به عنوان دستگاه های Perimeter در يك شبكه استفاده می گردد . روتر ، سرويس دهندگان وب و پست الكترونيكی ، فايروال های سخت افزاری و نرم افزاری نمونه هائی در اين زمينه می باشد .

تهديدات لايه Perimeter
  • به منظور ايمن سازی زيرساخت فن آوری اطلاعات يك سازمان می بايست در مرحله اول بر روی نقاطی متمركز گرديد كه بروز حملات از جانب آنان دارای بيشترين احتمال است ( نظير اينترنت ) . اين موضوع ضرورت توجه بر روی ساير نقاط حساس در يك سازمان را كم رنگ نمی نمايد و می بايست به اينگونه نقاط نيز توجه ويژه ای داشت . يك مهاجم ممكن است حملات خود را از نقاطی آغاز نمايد كه احتمال آن كمتر داده می شود. بنابراين لازم است در خصوص ايمن سازی تمامی نقاط ورودی و خروجی يك شبكه تصميم گيری و از راهكاری موجود به منظور ايمن سازی آنان استفاده گردد .
  • با توجه به اين كه مسوليت پياده سازی امنيت برای همكاران تجاری يك سازمان برعهده كارشناسان فن آوری اطلاعات سازمان نمی باشد و همچنين هيچگونه كنترلی بر روی سخت افزار كاربران راه دور وجود ندارد ، نمی توان دستيابی از نقاط فوق را تائيد نمود و می بايست در اين خصوص از روش های ايمنی خاصی استفاده گردد . شعبات ادارات ممكن است به اندازه اداره مركزی دارای اطلاعات حساسی نباشد ، بنابراين ممكن است آنان نيازمند يك سطح پائين تر به منظور پياده سازی امنيت باشند . عليرغم موضوع فوق ، درصورتی كه شعبات يك سازمان دارای امكان برقراری ارتباط مستقيم با ادارات مركزی باشند ، مهاجمان می توانند از پتانسيل فوق در جهت نيل به اهداف خود استفاده نمايند .
  • برخی حملات Perimeter ، مستقيما" Perimeter شبكه را تحت تاثير قرار نخواهند داد . مثلا" در حملات phishing ، مهاجمان اقدام به انتشار نامه های الكترونيكی می نمايند كه در ظاهر از يك منبع مطمئن ارسال شده اند . چنين پيام هائی اغلب سعی می نمايند دريافت كننده پيام را ترغيب نمايند كه اطلاعات حساس و مهم خود را در اختيار آنان قرار دهد .در اين نوع از حملات به همراه برخی از پيام های ارسالی ، لينك ها و آدرس های وب سايت خاصی نيز مشخص می گردد . اينگونه سايت ها خود را به عنوان يك سايت معتبر وانمود و سعی در جذب مخاطبانی دارند كه اصول اوليه امنيت اطلاعات را رعايت نمی نمايند .
  • كارشناسان امنيت اطلاعات می بايست امنيت شبكه را در تمامی نقاط تماس شبكه با دنيای خارج بررسی نمايند نه اينكه صرفا" بر روی نواحی خاصی متمركز گردند.
حفاظت لايه Perimeter
  • ايمن سازی Perimeter ، عموما" با استفاده از يك فايروال انجام می شود . پيكربندی يك فايروال می تواند از لحاظ فنی چالش های مختص به خود را دارا باشد . بنابراين رويه ها می بايست به صورت شفاف جزئيات كار را روشن نمايند .
  • در نسخه های جديد ويندوز ، به منظور كاهش احتمال بروز حملات برخی از پورت های غيرضروری بلاك شده است . در اين رابطه می توان از سيستم های HIDS ( برگرفته از Host Intrusion Detection Systems ) و فايروال های host-based نيز استفاده نمود .
  • NAT ( برگرفته از Network address translation ) يك سازمان را قادر می سازد كه پيكربندی مربوط به پورت و آدرس های IP را به منظور پيشگيری از كاربرانی كه دارای سوء نيت می باشند، مخفی نموده تا سيستم های داخلی در معرض حملات قرار نگيرند . مكانيزم های امنيت Perimeter می تواند مخفی نگاه داشتن سرويس های داخلی را نيز شامل گردد ( حتی سرويس هائی كه می بايست امكان دستيابی عموم به آنان وجود داشته باشد ) . بنابراين مهاجمان هرگز بطور مستقيم با هيچگونه سيستمی ارتباط برقرار نخواهند كرد و تمامی ارتباطات از طريق فايروال انجام خواهد شد .
  • زمانی كه داده محيطی را كه تحت مسئوليت شما است ترك می نمايد ، می بايست اين اطمينان وجود داشته باشد كه داده به سلامت به مقصد نهائی خواهد رسيد . بدين منظور می توان از رمزنگاری و پروتكل های tunneling به منظور ايجاد يك VPN ( برگرفته از virtual private network ) استفاده گردد . برای نامه های الكترونيكی ، می توان از S/MIME و يا فن آوری PGP ( برگرفته از Pretty Good Privacy ) به منظور رمزنگاری و تائيد پيام ها استفاده نمود .
  • پروتكل tunneling استفاده شده در نسخه های متفاوت ويندوز به صورت PPTP ( برگرفته از Point-to-Point Tunneling Protocol ) است كه از رمزنگاری MPPE ( برگرفته از Microsoft Point-to-Point Encryption ) و يا پروتكل L2TP ( برگرفته از Layer 2 Tunneling Protocol ) كه از رمزنگاری IPSec استفاده می نمايند.
  • زمانی كه كامپيوترهای راه دور از طريق يك VPN ارتباط برقرار می نمايند ، سازمان ها می توانند با انجام چندين مرحله اضافه كامپيوترها را بررسی تا اين اطمينان حاصل گردد كه آنان تابع سياست های امنيتی تعريف شده می باشند . سيستم های متصل شده می بايست در يك محل قرنظينه شوند تا بررسی لازم در خصوص وضعيت امنيتی آنان انجام شود . در اين رابطه می توان سرويس NAP ( برگرفته از Network Access Protection ) را نيز پياده سازی نمود تا سرويس گيرندگان داخلی را قبل از اين كه به آنان مجوز دستيابی به شبكه اعطاء شود ، بررسی نمود.
  • سيستم های موجود بر روی Perimeter میبايست دارای كاربردهای كاملا" تعريف شده و مشخصی باشند . در اين رابطه لازم است كه سرويس های غيرضروری بلاك و يا غيرفعال گردد .
  • فايروال ويندوز كه به همراه ويندوز xp سرويس پك 2 و ويندوز 2003 سرويس پك ارائه شده است ، امكانات حفاظتی متعددی را در جهت افزايش حفاظت Perimeter برای كاربران از راه دور ارائه می نمايد .

ضرورت توجه به امنيت اطلاعات ( بخش هفتم)

استراتژی "دفاع در عمق " يك فريمورك امنيتی مناسب برای حفاظت و نگهداری ايمن زيرساخت فن آوری اطلاعات يك سازمان است . در اين مدل،زير ساخت فن آوری اطلاعات يك سازمان به عنوان مجموعه ای از لايه های مرتبط به هم در نظر گرفته شده و به منظور حفاظت و ايمن سازی هر لايه از مكانيزم ها و روش های حفاظتی خاصی استفاده می گردد .
آنچه تاكنون گفته شده است :
  • بخش چهارم : بررسی لايه سياست ها ، رويه ها و اطلاع رسانی
  • بخش پنجم : بررسی لايه فيزيكی
  • بخش ششم : بررسی لايه محدوده عملياتی شبكه و يا Perimeter
در اين بخش به بررسی لايه شبكه داخلی خواهيم پرداخت .

بررسی لايه شبكه داخلی
  • لايه شبكه داخلی ، شامل اينترانت يك سازمان است كه تحت كنترل و مديريت پرسنل شاغل در دپارتمان IT است و ممكن است از يك و يا چندين نوع شبكه زير تشكيل شده باشد :
- LAN
- WAN
- MAN
- شبكه های بدون كابل
  • منبع بروز حملات صرفا" منابع خارجی نبوده و ممكن است يك شبكه از درون نيز مورد تهاجم قرار گيرد . صرفنظر از منبع بروز حملات ، سيستم ها و سرويس های متعددی در معرض تهديد و آسيب قرار می گيرند.
  • امنيت داخلی شبكه می بايست بگونه ای پياده سازی گردد تا علاوه بر توقف تهديدات مخرب بتواند با تهديدات غيرمترقبه هم برخورد نمايد . بخش بندی ( Segmentation ) شبكه ، اقدامی مناسب در جهت افزايش امنيت يك شبكه داخلی است كه عملا" يك لايه اضافه حفاظتی در فريمورك امنيتی "دفاع در عمق " را ايجاد می نمايد . با استفاده از رويكرد فوق ، حملات زودتر تشخيص داده شده و از كنترل منابع موجود در هسته يك شبكه داخلی توسط مهاجمان ممانعت به عمل می آيد .

تهديدات لايه شبكه داخلی
  • در صورتی كه مهاجمان بتوانند به سيستم های داخلی و منابع موجود بر روی يك شبكه دستيابی داشته باشند ، می توانند از اطلاعات يك سازمان با سهولت بيشتری استفاده نمايند .
  • مهاجمان پس از دستيابی به زيرساخت يك شبكه، می توانند شبكه را مانيتور و ترافيك آن را به دقت بررسی و آناليز نمايند . در چنين مواردی ، آنان می توانند با استفاده از يك network sniffer و آناليز ترافيك شبكه به اطلاعات حساس و مهمی كه در طول شبكه مبادله می گردد ، دستيابی داشته باشند .
  • شبكه های بدون كابل مستعد استراق سمع می باشند ، چراكه مهاجمان می توانند بدون اين كه لازم باشد بطور فيزيكی در محل شبكه حضور داشته باشند ، قادر به دستيابی شبكه و استفاده از اطلاعات حساس می باشند .
  • سيستم های عامل شبكه ای ، سرويس های متعددی را نصب می نمايند . برخی از سرويس شبكه ممكن است پتانسيل لازم برای برخی از حملات را ايجاد كه توسط مهاجمان استفاده گردد . مهاجمان پس از استفاده از يك سرويس آسيب پذير می توانند كنترل يك كامپيوتر را به دست گرفته و در ادامه از آن برای برنامه ريزی حملات خود در آينده استفاده نمايند .

حفاظت لايه
شبكه داخلی
  • تائيد دوگانه :
به منظور كمك در جهت افزايش ايمنی محيط يك شبكه داخلی ، در ابتدا می بايست هويت كاربران توسط يك كنترل كننده domain تائيد و در ادامه و با توجه به مجوزهای تعريف شده امكان استفاده از منابع موجود در شبكه در اختيار آنان گذاشته شود . بدين تريتب، علاوه بر اين كه سرويس دهنده هويت كاربران را تائيد می نمايد ، كاربران نيز با مشخص كردن domain آگاهانه به يك سرويس دهنده شناخته شده log on می نمايند.

  • بخش بندی شبكه :
سوئيچ ها بطور فيزيكی يك شبكه را به بخش های متفاوتی تقسيم می نمايند و تمام شبكه از يك نقطه قابل دسترس نخواهد بود . برای پارتيشن كردن يك شبكه می توان از سوئيچ و يا روتر استفاده نمود . ايجاد شبكه های محلی مجازی ( VLAN ) بر روی يك سوئيچ فيزيكی ، گزينه ای ديگر در اين زمينه است .

  • رمزنگاری داده مبادله شده در شبكه :
برای پيكربندی دستگاه های شبكه ای نظير سوئيچ ممكن است از برنامه Telnet استفاده گردد . برنامه فوق تمامی اطلاعات حساس را به صورت plain text ارسال می نمايد . اين بدان معنی است كه دستيابی به نام و رمز عبور كاربر برای هر شخصی كه قادر به شنود شبكه باشد ، امكان پذير است . موضوع فوق ، می تواند مشكلات متعدد امنيتی را ايجاد نمايد . در چنين مواردی ، می بايست از يك روش ايمن و رمز شده ( نظير SSH برگرفته از Secure Shell ) و يا دستيابی مستقيم از طريق پورت سريال استفاده نمود .

  • محدد كردن ترافيك حتی در مواردی كه شبكه پارتيشن شده باشد :
برای شبكه های محلی و بدون كابل می توان از استاندارد 802.1X به منظور دستيابی رمز شده و تائيد شده استفاده نمود . در چنين مواردی ، می توان از رمزهای عبور اكتيو دايركتوری و يا گواهينامه های ديجيتالی برای تائيد كاربران استفاده كرد. در صورت استفاده از گواهينامه های ديجيتالی به يك PKI ( برگرفته از public key infrastructure ) بر روی Windows Certificate Services نيز نياز می باشد . برای رمزهای عبور و گواهينامه های ديجيتال به يك سرويس دهنده RADIUS ( برگرفته از Remote Authentication Dial-In User Service ) نياز می باشد ( ايجاد شده بر روی سرويس IAS ، برگرفته از Internet Authentication Service ). هم Certificate Services و هم IAS در Windows Server 2003 موجود می باشند .سازمان های كوچك می توانند از سيستم WPA ( برگرفته از Wi-Fi Protected Access ) استفاده نمايند . سيستم فوق اين امكان را فراهم می نمايد تا بتوان ترافيك موجود در ارتباطات بدون كابل را رمز نمود. در چنين مواردی ، كليدهای رمزنگاری به صورت اتوماتيك و پس از يك مدت زمان مشخص و يا ارسال تعداد مشخصی Packet تغيير می يابند . WPA به يك زيرساخت پيچيده نظير 802.1x نياز نداشته و يك سطح امنيتی پائين تر را ارائه می نمايد .

  • تائيد بسته های اطلاعاتی شبكه :
از فن آوری های رمزنگاری و تائيد نظير IPSec و يا SMB ( برگرفته از Server Message Block ) استفاده گردد. بدين تريتب ، مهاجمان نمی توانند داده مبادله شده در شبكه را شنود و از آنان استفاده مجدد نمايند .

  • پياده سازی فيلترينگ پورت IPSec به منظور اعمال محدوديت ترافيك به سرويس دهنده :
به منظور كاهش ترافيك سرويس دهنده ، تمام پورت های غيرضروری بلاك و صرفا" پورت هائی فعال گردند كه به وجود آنان نياز می باشد .
خدایا ، امروز زندگیم را در دستان توانمندت قرار می دهم و به تو، توکل می کنم که چراغ و هدایتگر راهم باشی .
خدایا اگر به یاد آورم که در گذشته چگونه از من مراقبت کردی
در زمان حال به تو توکل می کنم و می دانم، سپردن آینده به دستان توانای تو، بسیار اسان است.
Rose
اگر می خواهی خوشبخت ، باشی سعادت دیگران را هم در نظر بگیر
اگر شادی و تمام چیزهای مطلوب را با دیگران قسمت کنید ،
شادی و چیزهای مطلوب بیشتری را به سمت خودتان جذب می کنید.
امتحان کنیدRose
شهر از بالا زیباست ؛ و آدم ها از دور جذاب .لطفاً فاصله مناسب رو حفظ کنید تا قشنگ بمونیدRose

 سپاس شده توسط hamidi ، hadi
#4
ضرورت توجه به امنيت اطلاعات ( بخش هشتم)
استراتژی "دفاع در عمق " يك فريمورك امنيتی مناسب برای حفاظت و نگهداری ايمن زيرساخت فن آوری اطلاعات يك سازمان است . در اين مدل،زير ساخت فن آوری اطلاعات يك سازمان به عنوان مجموعه ای از لايه های مرتبط به هم در نظر گرفته شده و به منظور حفاظت و ايمن سازی هر لايه از مكانيزم ها و روش های حفاظتی خاصی استفاده می گردد .

آنچه تاكنون گفته شده است :
در اين بخش به بررسی لايه host خواهيم پرداخت .

بررسی لايه host
  • لايه host شامل سيستم های كامپيوتری منحصربفرد موجود در شبكه است .
  • معمولا" سيستم های كامپيوتری فوق دارای وظايف و يا عملكرد خاصی می باشند .
  • سيستم های عامل مختلف ، امكانات امنيتی متعددی را ارائه می نمايند :
    - اكثر سيستم های عامل امروزی نظير ويندوز 2000 ، ويندوز XP و ويندوز 2003 دارای امكانات امنيتی از قبل تعبيه شده در هسته سيستم عامل می باشند . تعريف نام و رمز عبور منحصربفرد برای هر كاربر ، ليست كنترل دستيابی ، نمونه هائی در اين زمينه می باشد .
    - سيستم های عامل قديمی تری نظير ويندوز 95 ، ويندوز 98 و ويندوز Me دارای امكانات امنيتی مناسبی كه مورد نياز يك سيستم عامل امروزی است ، نمی باشند.
  • ايمن سازی hosts ، مستلزم ايجاد يك توازن بين امنيت و قابليت استفاده از آنان است . مثلا" در صورت فعال كردن تمامی سرويس ها بر روی يك host ، از يك طرف قابليت استفاده از آن افزايش خواهد يافت و از طرف ديگر ، احتمال آسيب پذيری آن افزايش می يابد چراكه سرويس های متعددی بر روی شبكه فعال شده اند . معمولا" ، به موازات افزايش ايمنی يك كامپيوتر ، قابليت استفاده از آن كاهش می يابد ( سرويس های ارائه شده ) .

تهديدات لايه host
  • پيكربندی يك سيستم عامل غيرايمن می تواند شرايط مناسبی را برای هدف قرار دادن يك host توسط مهاجمان فراهم نمايد . يك مهاجم می تواند با سوء استفاده از سرويس های شناخته شده سيستم كه به صورت پيش فرض فعال می گردند، نظير IIS ، حملات خود را سازماندهی نمايند . به عنوان يك قانون كلی ، همواره سعی نمائيد كه سرويس هائی را كه به وجود آنان در شبكه نياز نمی باشد ، فعال ننمائيد . در صورت ضرورت فعال شدن اينگونه ها سرويس ها ، می بايست تمهيدات لازم در خصوص پيكربندی ايمن آنان انديشيده گردد .
  • يك مهاجم می تواند از نقاط ضعف و آسيب پذير كشف شده در يك سيستم عامل به منظور برنامه ريزی حملات خود استفاده نمايد . به منظور حفاظت در مقابل اينگونه حملات، می بايست تمامی برنامه های بهنگام شده و patches ارائه شده توسط توليد كنندگان نرم افزار را بر روی سيستم نصب نمود .
  • توزيع و اشاعه ويروس از جمله تهديدات ديگری است كه متوجه لايه host است . اشاعه ويروس عموما" از طريق يك email و به منظور تدارك يك تهاجم اتوماتيك و از قبل برنامه ريزی شده انجام می شود . مثلا" ويروس Nimda ، امكان دستيابی به منابع مشترك شبكه را بر روی كاميپوترهای آلوده فراهم می نمايد . علاوه بر موارد فوق ، مهاجمان می توانند اقدام به نصب rootkit و يا spyware بر روی كامپيوترها نموده و امنيت آنان را تهديد نمايند .
  • دستيابی غيرمانيتور شده ممكن است استعداد آسيب پذيری لايه host را افزايش دهد . در صورتی كه دستيابی كاربران و تلاش ساير كاربران تائيد نشده برای استفاده از منايع موجود در شبكه مانيتور نگردد ، توان تخريب يك مهاجم افزايش می يابد ، چراكه امكان تشخيص يك تهاجم قبل از وقوع آن كاهش می يابد و عملا" فرآيند پيشگيری و مقابله اوليه با تهديدات ، معنی خاصی نخواهد داشت.
حفاظت لايه host
  • از روش ها و تكنيك های مستحكم تر ايمن سازی بر روی سيستم های عامل سرويس گيرنده و سرويس دهنده استفاده نمائيد . روش استفاده شده به جايگاه يك كامپيوتر در شبكه بستگی دارد . به منظور حفاظت اينگونه سيستم ها می توان از تمپليت های امنيتی و مديريتی به همراه Group Policy استفاده نمود :
    - بر روی سيستم های سرويس گيرنده ، می توان از Group Policy به منظور اعمال محدوديت دستيابی و كنترل نصب نرم افزار استفاده نمود. بدينوسيله ، ضمن اعمال محدوديت در نصب نرم افزار توسط كاربران ، از نصب تروجان ها همزمان با نصب يك برنامه پيشگيری به عمل می آيد .
    - بر روی سيستم های سرويس دهنده از امكانات متعددی در جهت افزايش حفاظت و امنيت آنان می توان استفاده نمود . غيرفعال كردن و يا حذف پورت های غيرضروری ، نصب يك host-based intrusion detection ، استفاده از مجوزهای NTFS و سياست های audit ، فيلترينگ پورت ها ، نمونه هائی در اين زمينه می باشد .
  • همواره سعی نمائيد كه دستيابی به شبكه و منابع موجود بر روی آن را مانيتور نمائيد .
  • استفاده از يك نرم افزار آنتی ويروس و آنتی spyware
  • استفاده از يك فايروال . استفاده از فايروال ارائه شده در برخی نسخه های ويندوز ( ويندوز xp به بعد ) ، بطرز محسوسی احتمال بروز يك تهاجم را كاهش می دهد .
  • می بايست بر روی سرويس دهندگان و سرويس گيرندگان ، patch و آخرين نسخه های بهنگام شده نصب گردد . مايكروسافت برای بكارگيری Patch بر روی سيستم ها روش های متعددی را ارائه نموده است :
    - استفاده از Windows Update
    - راه اندازی يك WIndows Update Service و استفاده از خدمات آن
    - استفاده از پروتكل SMS ( برگرفته شده از Microsoft Systems Management Server ) RoseRose

ضرورت توجه به امنيت اطلاعات ( بخش نهم)

استراتژی "دفاع در عمق " يك فريمورك امنيتی مناسب برای حفاظت و نگهداری ايمن زيرساخت فن آوری اطلاعات يك سازمان است . در اين مدل،زير ساخت فن آوری اطلاعات يك سازمان به عنوان مجموعه ای از لايه های مرتبط به هم در نظر گرفته شده و به منظور حفاظت و ايمن سازی هر لايه از مكانيزم ها و روش های حفاظتی خاصی استفاده می گردد .

آنچه تاكنون گفته شده است : در اين بخش به بررسی لايه Application و يا برنامه های كاربردی خواهيم پرداخت .

بررسی لايه Application
  • با اين كه هر سيستم عامل امكانات امنيتی متعددی را به منظور افزايش امنيت كامپيوترهای ميزبان ارائه می نمايد ، ايمن سازی برنامه هائی كه بر روی سرويس دهنده اجراء می شوند، از جمله اقدامات ضروری ديگر به منظور حفاظت و نگهداری ايمن زيرساخت فن آوری اطلاعات يك سازمان محسوب می گردد .
  • برنامه های شبكه امكان دستيابی و انجام پردازش های لازم بر روی داده را برای سرويس گيرندگان فراهم می نمايند . اين نوع برنامه ها بمنزله يك نقطه تماس با سرويس دهنده ای می باشند كه برنامه ای خاص بر روی آن اجراء شده است .
  • اغلب برنامه های نصب شده در شبكه يك سرويس خاص را در اختيار سرويس گيرندگان قرار می دهند . عملكرد صحيح و استمرار فعاليت آنها از جمله الزامات ضروری در يك شبكه می باشد . بنابراين ، راهكار امنيتی می بايست بگونه ای انتخاب شود كه خللی در اين رابطه ايجاد نگردد ( عملكرد صحيح و استمرار سرويس دهی ).
  • در زمان بررسی امنيت برنامه های كاربردی ، می بايست برنامه های پياده سازی شده در سازمان و يا تهيه شده از خارج سازمان در كانون توجه قرار گيرد.
تهديدات لايه Application

  • يك مهاجم با تمركز بر روی يك برنامه خاص ، ممكن است بتواند يك برنامه را غيرفعال و يا در روند فعاليت های عادی آن اختلال ايجاد نمايد . به عنوان نمونه ، حملات از نوع buffer overflow می تواند در نهايت منجر به از كارافتادن يك برنامه گردد .
  • مهاجمان با بهره برداری از نقاط ضعف موجود در يك برنامه می توانند كدهای مخرب مورد نظر خود را در سيستم اجراء نمايند . SQL injection يكی از متداولترين حملات از اين نوع است . در حملات فوق ، مهاجمان با تغيير SQL query كه قرار است توسط سرويس دهنده بانك اطلاعاتی پردازش گردد ، فرصت اجرای دستورات مورد نظر خود را بر روی سرويس دهنده بانك اطلاعاتی پيدا خواهند كرد . با كنترل و بررسی اعتبار داده های ورودی تا حدود زيادی می توان جلوی اينگونه از حملات را گرفت .
  • مهاجمان می توانند با استفاده بيش از حد از يك برنامه خاص ، امكان استفاده از آن را برای كاربران معتبر سلب می نمايند . در حملاتی از اين نوع كه از آنها با نام DoS ( برگرفته از denial-of-service ) نام برده می شود ، مهاجمان از چندين سرويس گيرنده به منظور نيل به اهداف خود استفاده می نمايند.
  • در برخی موارد ، مهاجمان از يك برنامه خاص به منظور انجام عمليات ناخواسته نظير روتينگ نامه های الكترونيكی استفاده می نمايند . در صورت عدم پيكربندی مناسب يك سرويس دهنده SMTP به منظور مقابله با نامه های الكترونيكی ناخواسته ، مهاجمان قادر به ارسال نامه های الكترونيكی ناخواسته متعددی برای سرويس دهنده می گردند. اين كار در نهايت باعث می شود كه سرويس دهنده SMTP قادر به ارائه سرويس خود برای كاربران مجاز نگردد .
حفاظت لايه Application

  • در صورت سوءاستفاده از يك برنامه و يا سرويس خاص در شبكه ، مهاجمان قادر به دستيابی سيستم با همان سطوح دستيابی مجاز همانند برنامه می باشند . بنابراين ، می بايست برنامه ها و سرويس را با حداقل مجوزهای ممكن اجراء نمود .
  • در زمان نصب يك برنامه ، می بايست صرفا" سرويس های مورد نياز آن را فعال نمود . نصب و پيكربندی ايمن حداقل سرويس های لازم از جمله اقدامات ضروری در اين رابطه است .
  • طراحی ، پياده سازی و بكارگيری برنامه ها می بايست با لحاظ نمودن مسائل امنيتی انجام شود . برخورد بموقع با نقاط ضعف موجود در برنامه ها ، پياده سازی و نصب سريع patches خصوصا" برای آندسته از برنامه هائی كه در سازمان طراحی و پياده سازی شده اند ، امری لازم و ضروری است .
  • برنامه ها و سرويس های مورد نياز در يك شبكه می بايست به صورت ايمن نصب و تمامی Service pack و patches آنها نيز نصب گردد .
  • از برنامه های آنتی ويروس می بايست به منظور پيشگيری از اجرای كدهای مخرب بر روی سيستم استفاده گردد. اين نوع نرم افزارها می بايست بر روی كامپيوترهای سرويس گيرنده ، سرويس دهنده ، فايروال ها و ساير نقاط حساس نصب و بهنگام نگاه داشته شوند .
  • در زمان پياده سازی برنامه های جديد ، می بايست از آخرين روش های موجود به منظور ايمن سازی برنامه ها استفاده گردد .
  • از سياست های محدودسازی نرم افزار می بايست استفاده گردد . با استفاده از اينگونه سياست ها ، می توان محيط كامپيوتری را در مقابل كدهای تائيد نشده شناسائی و با آنها برخورد نمود . RoseRose
خدایا ، امروز زندگیم را در دستان توانمندت قرار می دهم و به تو، توکل می کنم که چراغ و هدایتگر راهم باشی .
خدایا اگر به یاد آورم که در گذشته چگونه از من مراقبت کردی
در زمان حال به تو توکل می کنم و می دانم، سپردن آینده به دستان توانای تو، بسیار اسان است.
Rose
اگر می خواهی خوشبخت ، باشی سعادت دیگران را هم در نظر بگیر
اگر شادی و تمام چیزهای مطلوب را با دیگران قسمت کنید ،
شادی و چیزهای مطلوب بیشتری را به سمت خودتان جذب می کنید.
امتحان کنیدRose
شهر از بالا زیباست ؛ و آدم ها از دور جذاب .لطفاً فاصله مناسب رو حفظ کنید تا قشنگ بمونیدRose

 سپاس شده توسط hamidi ، hadi
#5
ضرورت توجه به امنيت اطلاعات ( بخش دهم)

استراتژی "دفاع در عمق " يك فريمورك امنيتی مناسب برای حفاظت و نگهداری ايمن زيرساخت فن آوری اطلاعات يك سازمان است . در اين مدل،زير ساخت فن آوری اطلاعات يك سازمان به عنوان مجموعه ای از لايه های مرتبط به هم در نظر گرفته شده و به منظور حفاظت و ايمن سازی هر لايه از مكانيزم ها و روش های حفاظتی خاصی استفاده می گردد .

آنچه تاكنون گفته شده است :
  • بخش چهارم : بررسی لايه سياست ها ، رويه ها و اطلاع رسانی
  • بخش پنجم : بررسی لايه فيزيكی
  • بخش ششم : بررسی لايه محدوده عملياتی شبكه و يا Perimeter
  • بخش هفتم : بررسی لايه شبكه داخلی
  • بخش هشتم : بررسی لايه host
  • بخش نهم : بررسی لايه Application
در آخرين بخش به بررسی لايه داده خواهيم پرداخت .



[عکس: DefenseInDepth1.jpg]


مدل امنيتی "دفاع در عمق "

بررسی لايه داده
  • در آخرين لايه فريمورك مدل امنيتی "دفاع در عمق" ، لايه داده قرار دارد . داده دارای نقشی اساسی و حياتی در دنيای پردازش اطلاعات است و از آنها به منظور انجام پردازش های گوناگون استفاده می گردد تا اطلاعات ارزشمندی توليد شود .
  • داده به اشكال مختلفی در يك شبكه ذخيره می گردد . داده ممكن است در اسناد ، فايل های داده اكتيو دايركتوری و فايل های مختلف برنامه ها ذخيره شود. سيستم های كامپيوتری ، داده را بر روی رسانه های متعدد ذخيره سازی ( نظير هارد ديسك ) ذخيره می نمايند .
  • نسخه های اخير ويندوز از سيستم فايل های متعددی به منظور ذخيره و بازيابی فايل ها حمايت می نمايند . سيستم فايل NTFS ( برگرفته از NT file system ) يك نمونه در اين زمينه است كه از آن در اكثر نسخه های ويندوز ( نظير XP ، 2000 و 2003 ) حمايت می گردد . سيستم فايل فوق ، امكانات متعددی را در جهت حفاظت از داده نظير مجوزهای دستيابی به فايل ها و يا فولدرها ، ارائه می نمايد .
  • سيستم فايل NTFS ، امكانات اضافه ديگری نظير سيستم رمزنگاری فايل ها موسوم به EFS ( برگرفته از Encrypting File System ) را ارائه می نمايد كه می توان از آن به منظور پياده سازی امنيت داده استفاده نمود .
تهديدات لايه داده
  • مهاجمانی كه قادر به دستيابی به يك سيستم فايل می گردند ، می توانند خرابی های گسترده ای را ايجاد و يا به حجم بالائی از اطلاعات دستيابی پيدا نمايند . آنان می توانند فايل ها و اسنادی را مشاهده نمايند كه ممكن است برخی از آنها حاوی اطلاعات مهمی باشد . مهاجمان همچنين می توانند اطلاعاتی را حذف و يا تغيير نمايند . اين موضوع برای هر سازمانی نگران كننده است و می تواند مسائل و مشكلات متعددی را برای آنها به دنبال داشته باشد .
  • سرويس اكتيو دايركتوری ، از فايل هائی كه بر روی هارد ديسك ذخيره می گردند برای ذخيره اطلاعات خود استفاده می نمايد . اين فايل ها در مكان پيش فرض و در زمانی كه سيستم به يك Domain Controller ارتقاء می يابد ، ذخيره می گردند . پيشنهاد می گردد در حين فرآيند ارتقاء سيستم به يك Domain controller ، فايل ها را در محل ديگری غير از مكان پيش فرض ذخيره نمود . با توجه به اين كه اسامی فايل ها شناخته شده می باشند ( با نام NTDS.dit ) ، تغيير مكان اين فايل ها می تواند سرعت مهاجمان جهت نيل به اهداف مخرب را كند نمايد . در صورتی كه سيستم فوق در معرض تهديد قرار بگيرد تمامی محيط domain در معرض خطر قرار خواهد گرفت .
  • فايل های مربوط به برنامه ها نيز بر روی ديسك ذخيره می گردند و مستعد حملات می باشند. مهاجمان با دستيابی به اينگونه فايل ها می توانند در روند اجرای يك برنامه اختلال ايجاد كرده و يا آنها را در مسيری قرار دهند كه پردازش های مخربی را انجام دهند .
حفاظت لايه داده
  • سيستم فايل NTFS ، مجوزهای امنيتی را در سطح فايل و يا فولدر ارائه می نمايد . با استفاده از پتانسيل فوق می توان ليست های دستيابی را ايجاد تا مشخص گردد كه چه كسی و با چه سطح دستيابی مجاز به استفاده از يك فايل می باشد .
  • افزايش حفاظت لايه داده مستلزم بكارگيری توام ليست های كنترل دستيابی و رمزنگاری است . با رمزنگاری يك فايل ، صرفا" امكان مطالعه و يا مشاهده محتويات يك فايل از كاربران غيرمجاز سلب می گردد ولی مهاجمان و يا ساير افراد غير مجاز می توانند عملياتی را كه نيازمند مشاهده محتويات يك فايل نيست ( نظير حذف يك فايل ) انجام دهند .
  • حتی المقدور می بايست برنامه های كاربردی و سيستم عامل را در مكانی غير از مكان پيش فرض نصب نمود . اسامی و مكان پيش فرض ذخيره تعداد زيادی از فايل های حياتی و مهم سيستم عامل كاملا" شناخته شده می باشند . پيشنهاد می گردد ، اينگونه فايل ها در مكانی ديگر ذخيره گردند تا كار مهاجمان برای يافتن آنها تا حدودی مشكل تر شود .
  • همانگونه كه اشاره گرديد داده در بسياری از فعاليت های تجاری دارای نقشی مهم و برجسته می باشد و از دست دادن آنها ممكن است خسارات جبران ناپذيری را برای يك سازمان به دنبال داشته باشد . بنابراين ، لازم است بازيافت داده به عنوان يك فرآيند حياتی در دستور كار قرار گرفته و از راهكارهای خاصی در اين زمينه استفاده گردد . تهيه backup در فواصل زمانی كاملا" مشخص شده ، اقدامی مهم در اين رابطه است . فرآيند backup و restore يك امر حياتی برای هر محيط عملياتی مبتنی بر داده می باشد . همچنين از نسخه های backup گرفته شده می بايست به درستی و با دقت محفاظت گردد .
  • سيستم EFS ، امكان رمزنگاری فايل های موجود بر روی محيط ذخيره سازی را فراهم می نمايد . فرآيند رمزنگاری از يك كليد برای رمزنگاری فايل و فناوری كليد خصوصی و عمومی برای حفاظت كليد رمزنگاری استفاده می نمايد . زمانی كه فايل ها در يك شبكه جابجا و از مكانی به مكان ديگر منتقل می شوند ، سيستم EFS آنها را رمز نخواهد كرد ( خصلت رمزنگاری وابسته به سيستم فايل است نه شی فايل ) .
  • ليست های كنترل دستيابی صرفا" بر روی اسنادی كار خواهند كرد كه تحت مديريت سيستم فايل قرار داده شوند . زمانی كه اسناد به مكان ديگر منتقل گردند ( مثلا" يك هارد ديسك ديگر ) ، قابليت ليست های كنترل دستيابی غيرقابل استفاده می گردد. سيستم RMS ( برگرفته از Windows Rights Management Services ) در ويندوز 2003 ، قابليت كنترل دستيابی را به شی فايل و يا فولدر تسری داده و آن را مستقل از محيط فيزيكی ذخيره سازی می نمايد . سيستم فوق به ايجاد كنندگان اسناد قابليت های كنترلی ويژه ای را می دهد كه مشابه آن در اختيار استفاده كنندگان اسناد قرار نخواهد گرفت .به عنوان نمونه فردی كه يك فايل را ايجاد می نمايد ، می تواند مجوزهای آن را بگونه ای تنظيم نمايد كه صرفا" استفاده كننده بتواند آن را مشاهده و يا مطالعه نمايد و قادر به انجام عملياتی نظير copy ,paste و يا چاپ نباشد .
منبع : شرکت سخاروش
خدایا ، امروز زندگیم را در دستان توانمندت قرار می دهم و به تو، توکل می کنم که چراغ و هدایتگر راهم باشی .
خدایا اگر به یاد آورم که در گذشته چگونه از من مراقبت کردی
در زمان حال به تو توکل می کنم و می دانم، سپردن آینده به دستان توانای تو، بسیار اسان است.
Rose
اگر می خواهی خوشبخت ، باشی سعادت دیگران را هم در نظر بگیر
اگر شادی و تمام چیزهای مطلوب را با دیگران قسمت کنید ،
شادی و چیزهای مطلوب بیشتری را به سمت خودتان جذب می کنید.
امتحان کنیدRose
شهر از بالا زیباست ؛ و آدم ها از دور جذاب .لطفاً فاصله مناسب رو حفظ کنید تا قشنگ بمونیدRose

 سپاس شده توسط Mahtab ، hadi ، hamidi ، Esmali


موضوعات مشابه ...
موضوع
Brick مقاله : امنيت در شبكه هاي حسگر بيسيم
  امنیت اطلاعات یا Information Security قسمت سوم - خط مشی ها
Information امنیت اطلاعات یا Information Security قسمت دوم- اجزای اصلی امنیت اطلاعات
  امنیت اطلاعات چیست؟ - قسمت اول - مفهوم کلی امنیت اطلاعات



کاربران در حال بازدید این موضوع: 1 مهمان