مبانی امنيت اطلاعات
امروزه شاهد گسترش حضور کامپيوتر در تمامی ابعاد زندگی خود می باشيم . کافی است به اطراف خود نگاهی داشته باشيم تا به صحت گفته فوق بيشتر واقف شويم . همزمان با گسترش استفاده از کامپيوترهای شخصی و مطرح شدن شبکه های کامپيوتری و به دنبال آن اينترنت (بزرگترين شبکه جهانی ) ، حيات کامپيوترها و کاربران آنان دستخوش تغييرات اساسی شده است . استفاده کنندگان کامپيوتر به منظور استفاده از دستاوردها و مزايای فن آوری اطلاعات و ارتباطات ، ملزم به رعايت اصولی خاص و اهتمام جدی به تمامی مولفه های تاثير گذار در تداوم ارائه خدمات در يک سيستم کامپيوتری می باشند . امنيت اطلاعات و ايمن سازی شبکه های کامپيوتری از جمله اين مولفه ها بوده که نمی توان آن را مختص يک فرد و يا سازمان در نظر گرفت . پرداختن به مقوله امنيت اطلاعات و ايمن سازی شبکه های کامپيوتری در هر کشور ، مستلزم توجه تمامی کاربران صرفنظر از موقعيت شغلی و سنی به جايگاه امنيت اطلاعات و ايمن سازی شبکه های کامپيوتری بوده و می بايست به اين مقوله در سطح کلان و از بعد منافع ملی نگاه کرد. وجود ضعف امنيتی در شبکه های کامپيوتری و اطلاعاتی ، عدم آموزش و توجيه صحيح تمامی کاربران صرفنظر از مسئوليت شغلی آنان نسبت به جايگاه و اهميت امنيت اطلاعات ، عدم وجود دستورالعمل های لازم برای پيشگيری از نقايص امنيتی ، عدم وجود سياست های مشخص و مدون به منظور برخورد مناسب و بموقع با اشکالات امنيتی ، مسائلی را به دنبال خواهد داشت که ضرر آن متوجه تمامی کاربران کامپيوتر در يک کشور شده و عملا" زيرساخت اطلاعاتی يک کشور را در معرض آسيب و تهديد جدی قرار می دهد .
در اين مقاله قصد داريم به بررسی مبانی و اصول اوليه امنيت اطلاعات و ايمن سازی شبکه های کامپيوتری پرداخته و از اين رهگذر با مراحل مورد نياز به منظور حفاظت کامپيوترها در مقابل حملات ، بيشتر آشنا شويم .
اهميت امنيت اطلاعات و ايمن سازی کامپيوترها
تمامی کامپيوترها از کامپيوترهای موجود در منازل تا کامپيوترهای موجود در سازمان ها و موسسات بزرگ ، در معرض آسيب و تهديدات امنيتی می باشند .با انجام تدابير لازم و استفاده از برخی روش های ساده می توان پيشگيری لازم و اوليه ای را خصوص ايمن سازی محيط کامپيوتری خود انجام داد.عليرغم تمامی مزايا و دستاوردهای اينترنت ، اين شبکه عظيم به همراه فن آوری های مربوطه ، دريچه ای را در مقابل تعداد زيادی از تهديدات امنيتی برای تمامی استفاده کنندگان ( افراد ، خانواده ها ، سازمان ها ، موسسات و ... ) ، گشوده است . با توجه به ماهيت حملات ، می بايست در انتظار نتايج نامطلوب متفاوتی بود( از مشکلات و مزاحمت های اندک تا از کار انداختن سرويس ها و خدمات ) .در معرض آسيب قرار گرفتن داده ها و اطلاعات حساس ، تجاوز به حريم خصوصی کاربران ، استفاده از کامپيوتر کاربران برای تهاجم بر عليه ساير کامپيوترها ، از جمله اهداف مهاجمانی است که با بهره گيری از آخرين فن آوری های موجود ، حملات خود را سازماندهی و بالفعل می نمايند . بنابراين ، می بايست به موضوع امنيت اطلاعات ، ايمن سازی کامپيوترها و شبکه های کامپيوتری، توجه جدی شده و از فرآيندهای متفاوتی در جهت مقاوم سازی آنان ، استفاده گردد .
داده ها و اطلاعات حساس در معرض تهديد
تقريبا" هر نوع تهاجم ، تهديدی است در مقابل حريم خصوصی ، پيوستگی ، اعتبار و صحت داده ها .يک سارق اتومبيل می تواند در هر لحظه صرفا" يک اتومبيل را سرقت نمايد ، در صورتی که يک مهاجم با بکارگيری صرفا" يک دستگاه کامپيوتر ، می تواند آسيب های فراوانی را متوجه تعداد زيادی از شبکه های کامپيوتری نموده و باعث بروز اشکالاتی متعدد در زيرساخت اطلاعاتی يک کشورگردد. آگاهی لازم در رابطه با تهديدات امنيـتی و نحوه حفاظت خود در مقابل آنان ، امکان حفاظت اطلاعات و داده های حساس را در يک شبکه کامپيوتری فراهم می نمايد .
ويروس ها
ويروس های کامپيوتری ، متداولترين نوع تهديدات امنيتی در ساليان اخير بوده که تاکنون مشکلات گسترده ای را ايجاد و همواره از خبرسازترين موضوعات در زمينه کامپيوتر و شبکه های کامپيوتری ، بوده اند. ويروس ها ، برنامه هائی کامپيوتری می باشند که توسط برنامه نويسان گمراه و در عين حال ماهر نوشته شده و بگونه ای طراحی می گردند که قادر به تکثير خود و آلودگی کامپيوترها بر اثر وقوع يک رويداد خاص ، باشند . مثلا" ويروس ها ئی که از آنان با نام "ماکرو ويروس " ياد می شود ، خود را به فايل هائی شامل دستورالعمل های ماکرو ملحق نموده و در ادامه ، همزمان با فعال شدن ماکرو ، شرايط لازم به منظور اجرای آنان نيز فراهم می گردد.برخی از ويروس ها بی آزار بوده و صرفا" باعث بروز اختلالات موقت در روند انجام عمليات در کامپيوتر می شوند ( نظير نمايش يک پيام مضحک بر روی صفحه نمايشگر همزمان با فشردن يک کليد خاص توسط کاربر) . برخی ديگر از ويروس ها دارای عملکردی مخرب تر بوده و می توانند مسائل و مشکلات بيشتری نظير حذف فايل ها و يا کاهش سرعت سيستم را به دنبال داشته باشند. يک کامپيوتر صرفا" زمانی آلوده به يک ويروس می گردد که شرايط و امکان ورود ويروس از يک منبع خارجی ( اغلب از طريق فايل ضميمه يک نامه الکترونيکی و يا دريافت و نصب يک فايل و يا برنامه آلوده از اينترنت ) ، برای آن فراهم گردد . زمانی که يک کامپيوتر در شبکه ای آلوده گرديد ، ساير کامپيوترها ی موجود در شبکه و يا ساير کامپيوترهای موجود در اينترنت، دارای استعدادی مناسب به منظور مشارکت و همکاری با ويروس،خواهند بود.
برنامه های اسب تروا ( دشمنانی در لباس دوست )
برنامه های اسب تروا و يا Trojans ، به منزله ابزارهائی برای توزيع کد های مخرب می باشند . تروجان ها ، می توانند بی آزار بوده و يا حتی نرم افزاری مفيدی نظير بازی های کامپيوتری باشند که با تغيير قيافه و با لباسی مبدل و ظاهری مفيد خود را عرضه می نمايند. تروجان ها ، قادر به انجام عمليات متفاوتی نظير حذف فايل ها ، ارسال يک نسخه از خود به ليست آدرس های پست الکترونيکی ، می باشند. اين نوع از برنامه ها صرفا" می توانند از طريق تکثير برنامه های اسب تروا به يک کامپيوتر،دريافت فايل از طريق اينترنت و يا باز نمودن يک فايل ضميمه همراه يک نامه الکترونيکی ، اقدام به آلودگی يک سيستم نمايند.
ويرانگران
در وب سايت های متعددی از نرم افزارهائی نظير اکتيوايکس ها و يا اپلت های جاوا استفاده می گردد . اين نوع برنامه ها به منطور ايجاد انيميشن و ساير افکت های خاص مورد استفاده قرار گرفته و جذابيت و ميزان تعامل با کاربر را افزايش می دهند . با توجه به دريافت و نصب آسان اين نوع از برنامه ها توسط کاربران ، برنامه های فوق به ابزاری مطئمن و آسان به منظور آسيب رسانی به ساير سيستم ها تبديل شده اند . اين نوع برنامه ها که به "ويرانگران" شهرت يافته اند ، به شکل يک برنامه نرم افزاری و يا اپلت ارائه و در دسترس استفاده کنندگان قرار می گيرند . برنامه های فوق ، قادر به ايجاد مشکلات متعددی برای کاربران می باشند( از بروز اشکال دريک فايل تا ايجاد اشکال در بخش اصلی يک سيستم کامپيوتری ) .
حملات
تاکنون حملات متعددی متوجه شبکه های کامپيوتری بوده که می توان تمامی آنان را به سه گروه عمده تقسيم نمود :
- حملات شناسائی : در اين نوع حملات ، مهاجمان اقدام به جمع آوری و شناسائی اطلاعات با هدف تخريب و آسيب رساندن به آنان می نمايند . مهاجمان در اين رابطه از نرم افزارهای خاصی نظير Sniffer و يا Scanner به منظور شناسائی نقاط ضعف و آسيب پذير کامپيوترها ، سرويس دهندگان وب و برنامه ها ، استفاده می نمايند . در اين رابطه برخی توليدکنندگان ، نرم افزارهائی را با اهداف خيرخواهانه طراحی و پياده سازی نموده اند که متاسفانه از آنان در جهت اهداف مخرب نيز استفاده می شود.مثلا" به منظور تشخيص و شناسائی رمز های عبور، نرم افزارهای متعددی تاکنون طراحی و پياده سازی شده است .نرم افرارهای فوق با هدف کمک به مديران شبکه ، افراد و کاربرانی که رمز عبور خود را فراموش کرده و يا آگاهی از رمز عبور افرادی که سازمان خود را بدون اعلام رمز عبور به مدير شبکه ، ترک نموده اند،استفاده می گردند. به هر حال وجود اين نوع نرم افزارها واقعيتی انکارناپذير بوده که می تواند به منزله يک سلاح مخرب در اختيار مهاجمان قرار گيرد .
- حملات دستيابی : دراين نوع حملات، هدف اصلی مهاجمان ، نفوذ در شبکه و دستيابی به آدرس های پست الکترونيکی ، اطلاعات ذخيره شده در بانک های اطلاعاتی و ساير اطلاعات حساس، می باشد.
- حملات از کار انداختن سرويس ها : در اين نوع حملات ، مهاجمان سعی در ايجاد مزاحمت به منظور دستيابی به تمام و يا بخشی از امکانات موجود در شبکه برای کاربران مجازمی نمايند . حملات فوق به اشکال متفاوت و با بهره گيری از فن آوری های متعددی صورت می پذيرد . ارسال حجم بالائی از داده ها ی غيرواقعی برای يک ماشين متصل به اينترنت و ايجاد ترافيک کاذب در شبکه ، نمونه هائی از اين نوع حملات می باشند.
ره گيری داده ( استراق سمع )
بر روی هر شبکه کامپيوتری روزانه اطلاعات متفاوتی جابجا می گردد و همين امر می تواند موضوعی مورد علاقه برای مهاجمان باشد . در اين نوع حملات ، مهاجمان اقدام به استراق سمع و يا حتی تغيير بسته های اطلاعاتی در شبکه می نمايند . مهاجمان به منظور نيل به اهداف مخرب خود از روش های متعددی به منظور شنود اطلاعات ، استفاده می نمايند .
کلاهبرداری ( ابتدا جلب اعتماد و سپس تهاجم )
کلاهبرداران از روش های متعددی به منظور اعمال شيادی خود استفاده می نمايند. با گشترش اينترنت اين نوع افراد فضای مناسبی برای اعمال مخرب خود يافته اند ( چراکه می توان به هزاران نفر در زمانی کوتاه و از طريق اينترنت دستيابی داشت ) . در برخی موارد شيادان با ارسال نامه های الکترونيکی وسوسه انگيز از خوانندگان می خواهند که اطلاعاتی خاص را برای آنان ارسال نموده و يا از يک سايت به عنوان طعمه در اين رابطه استفاده می نمايند. به منظور پيشگيری از اينگونه اعمال ، می بايست کاربران دقت لازم در خصوص درج نام ، رمز عبور و ساير اطلاعات شخصی در سايت هائی که نسبت به هويت آنان شک و ترديد وجود دارد را داشته باشند. با توجه به سهولت جعل آدرس های پست الکترونيکی ؛ می بايست به اين نکته توجه گردد که قبل از ارسال اطلاعات شخصی برای هر فرد ، هويت وی شناسائی گردد.هرگز بر روی لينک ها و يا ضمائمی که از طريق يک نامه الکترونيکی برای شما ارسال شده است ، کليک نکرده و همواره می بايست به شرکت ها و موسساتی که به طور شفاف آدرس فيزيکی و شماره تلفن های خود را ذکر نمی نمايند ، شک و ترديد داشت .
نامه های الکترونيکی ناخواسته
از واژه Spam در ارتباط با نامه های الکترونيکی ناخواسته و يا پيام های تبليغاتی ناخواسته ، استفاده می گردد. اين نوع از نامه های الکترونيکی ، عموما" بی ضرر بوده و صرفا" ممکن است مزاحمت و يا دردسر ما را بيشتر نمايند . دامنه اين نوع مزاحمت ها می تواند از به هدر رفتن زمان کاربر تا هرز رفتن فضای ذخيره سازی بر روی کامپيوترهای کاربران را شامل می شود .
ابزارهای امنيتی
پس از آشنائی با تهديدات، می توان تمهيدات امنيتی لازم در خصوص پيشگيری و مقابله با آنان را انجام داد. بدين منظور می توان از فن آوری های متعددی نظير آنتی ويروس ها و يا فايروال ها ، استفاده بعمل آورد .
نرم افزارهای آنتی ويروس
نرم افزارهای آنتی ويروس ، قادر به شناسائی و برخورد مناسب با اکثر تهديدات مربوط به ويروس ها می باشند.( مشروط به اينکه اين نوع نرم افزارها به صورت منظم بهنگام شده و بدرستی پشتيبانی گردند). نرم افزارهای آنتی ويروس درتعامل اطلاعاتی با شبکه ای گسترده از کاربران بوده و در صورت ضرورت پيام ها و هشدارهای لازم در خصوص ويروس های جديد را اعلام می نمايند. بدين ترتيب ، پس از شناسائی يک ويروس جديد ، ابزار مقابله با آن سريعا" پياده سازی و در اختيار عموم کاربران قرار می گيرد. با توجه به طراحی و پياده سازی ويروس های متعدد در سراسر جهان و گسترش سريع آنان از طريق اينترنت ، می بايست بانک اطلاعاتی ويروس ها بر اساس فرآيندی مشخص و مستمر ، بهنگام گردد .
سياست های امنيتی
سازمان های بزرگ و کوچک نيازمند ايجاد سياست های امنيتی لازم در خصوص استفاده از کامپيوتر و ايمن سازی اطلاعات و شبکه های کامپيوتری می باشند. سياست های امنيتی ، مجموعه قوانين لازم به منظور استفاده از کامپيوتر و شبکه های کامپيوتری بوده که در آن وظايف تمامی کاربران دقيقا" مشخص و در صورت ضرورت ، هشدارهای لازم به کاربران در خصوص استفاده از منابع موجود در شبکه داده می شود . دانش تمامی کاربرانی که به تمام و يا بخشی از شبکه دستيابی دارند ، می بايست به صورت منظم و با توجه به سياست های تدوين يافته ، بهنگام گردد ( آموزش مستمر و هدفمند با توجه به سياست های تدوين شده ) .
رمزهای عبور
هر سيستم کامپيوتری می بايست دارای ايمنی مناسبی در خصوص رمز های عبور باشد . استحکام رمزهای عبور ، ساده ترين و در عين حال متداولترين روش به منظور اطمينان از اين موضوع است که صرفا" افراد تائيد شده و مجاز قادر به استفاده از کامپيوتر و يا بخش های خاصی از شبکه می باشند . فراموش نکنيم که زيرساخت های امنيتی ايجاد شده ، در صورتی که کاربران دقت لازم در خصوص مراقبت از رمزهای عبور خود را نداشته باشند ، موثر نخواهد بود ( خط بطلانی بر تمامی تلاش های انجام شده) . اکثر کاربران در زمان انتخاب رمز عبور، از اعداد و يا کلماتی استفاده نمايند که بخاطر آوردن آنان ساده باشد( نظير تاريخ تولد ، شماره تلفن ).برخی ديگر از کاربران علاقه ای به تغيير منظم رمزهای عبور خود در مقاطع زمانی خاصی نداشته و همين امر می تواند زمنيه تشخيص رمزهای عبور توسط مهاجمان را فراهم نمايد.
در زمان تعريف رمز عبور می بايست تمهيدات لازم در خصوص استحکام و نگهداری مطلوب آنان انديشيده گردد:
- حتی المقدور سعی گردد از رمز های عبور فاقد معنی خاصی استفاده گردد .
- به صورت منظم و در مقاطع زمانی مشخص شده ، اقدام به تغيير رمزهای عبور گردد .
- عدم افشای رمزهای عبور برای سايرين
فايروال ها
فايروال ، راه حلی سخت افزاری و يا نرم افزاری به منظور تاکيد ( اصرار ) بر سياست های امنيتی می باشد .يک فايروال نظير قفل موجود بر روی يک درب منزل و يا بر روی درب يک اطاق درون منزل می باشد . بدين ترتيب صرفا" کاربران تائيد شده (آنانی که دارای کليد دستيابی می باشند) ، امکان ورود به سيستم را خواهند داشت . فايروال ها دارای فيلترهای از قبل تعبيه شده ای بوده که امکان دستيابی افراد غير مجاز به منابع سيستم را سلب می نمايند .
رمزنگاری
فن آوری رمزنگاری ، امکان مشاهده ، مطالعه و تفسير پيام های ارسالی توسط افراد غير مجاز را سلب می نمايد . از رمزنگاری به منظور حفاظت داده ها در شبکه های عمومی نظير اينترنت استفاده می گردد . در اين رابطه از الگوريتم های پيشرفته رياضی به منظور رمزنمودن پيام ها و ضمائم مربوطه ، استفاده می شود.
چند نکته اوليه در خصوص ايمن سازی اطلاعات و شبکه های کامپيوتری
- پذيرش مسئوليت به عنوان يک شهروند سايبر
در صورتی که از اينترنت استفاده می نمائيد ، شما به عنوان عضوی از جامعه جهانی و يا شهروند سايبر، محسوب شده و همانند يک شهروند معمولی ، دارای مسئوليت های خاصی بوده که می بايست پذيرای آنان باشيم . - استفاده از نرم افزارهای آنتی ويروس
يک ويروس کامپيوتری ، برنامه ای است که می تواند به کامپيوتر شما نفوذ کرده و صدمات فراوانی را باعث گردد . نرم افزارهای آنتی ويروس به منظور حفاظت اطلاعات و کامپيوترها در مقابل ويروس های شناخته شده ، طراحی شده اند . با توجه به اين که روزانه شاهد عرضه ويروس های جديد می باشيم ، می بايست برنامه های آنتی ويروس به صورت منظم و مرتب بهنگام گردند . - عدم فعال نمودن نامه های الکترونيکی ارسال شده توسط منابع نامشخص و گمنام
نامه های الکترونيکی ارسالی توسط منابع ناشناس را می بايست همواره حذف نمود. به فايل هائی که به عنوان ضميمه همراه يک نامه الکترونيکی ارسال می گردند، توجه گردد. حتی در صورتی که اين نوع از نامه های الکترونيکی را از طريق دوستان و آشنايان خود دريافت می نمائيد ( خصوصا" اگر دارای انشعاب exe . باشند.) . برخی فايل ها مسئوليت توزيع ويروس ها را برعهده داشته و می توانند باعث بروز اشکالات فراوانی نظير حذف دائم فايل ها و يا بروز اشکال در يک وب سايت گردند. هرگز نمی بايست اقدام به فوروارد نمودن نامه های الکترونيکی برای ساير کاربران قبل از حصول اطمينان از ايمن بودن آنان نمود . - از رمزهای عبوری که تشخيص آنان مشکل می باشد ، استفاده نموده و آنان را محرمانه نزد خود نگه داريد
هرگز رمزهای عبور خود را بر روی کاغذ ننوشته و آنان را به کامپيوتر نچسبانيد! . تعداد زيادی از کاربران کامپيوتر دقت لازم در خصوص نگهداری رمز عبور خود را نمی نمايند و همين امر می تواند مشکلات متعددی را متوجه آنان ، نمايد . رمزهای عبوری که تشخيص و يا حدس آنان آسان است ، گزينه های مناسبی در اين رابطه نمی باشند . مثلا" در صورتی که نام شما Ali می باشد ، هرگز رمز عبور خود را با همين نام در نظر نگيريد . در فواصل زمانی مشخص و به صورت مستمر ، اقدام به تغيير رمز عبور خود نمائيد . هرگز رمز عبور خود را در اختيار اشخاص ديگری قرار ندهيد.برای انتخاب يک رمز عبور از ترکيب اعداد ، حروف و علائم استفاده گردد تا حدس و رديابی آنان توسط افراد غيرمجاز ، مشکل شود . - استفاده از فايروال ها به منظور حفاظت کامپيوترها
نصب و پيکربندی يک فايروال کار مشکلی نخواهد بود. يک فايروال ، امکان دستيابی و کنترل سيستم توسط مهاجمان را سلب نموده و پيشگيری لازم در خصوص سرقت اطلاعات موجود بر روی کامپيوتر را انجام می دهد . - Back-up گرفتن منظم از اطلاعات ارزشمند موجود بر روی کامپيوتر
در فواصل زمانی مشخص و بر اساس يک برنامه خاص از اطلاعات ارزشمند موجود بر روی کامپيوتر backup گرفته شده و آنان را بر روی رسانه های ذخيره سازی نظير لوح های فشرده ذخيره نمود . - دريافت و نصب منظم Patch های بهنگام شده مربوط به نقايص امنيتی
نقايص امنيتی به صورت مرتب در سيستم های عامل و برنامه های کاربردی کشف می گردند . شرکت های توليد کننده نرم افزار ، به سرعت اقدام به ارائه نسخه های بهنگام شده ای با نام Patch نموده که کاربران می بايست آنان را دريافت و بر روی سيستم خود نصب نمايند.در اين رابطه لازم است به صورت منظم از سايت های مربوط به توليد کنندگان نرم افزار بازديد بعمل آمده تا در صورت ارائه Patch ، آن را دريافت و بر روی سيستم نصب نمود . - بررسی و ارزيابی امنيتی کامپيوتر
وضعيت امنيتی کامپيوتر خود را در مقاطع زمانی مشخصی ، بررسی نموده و در صورتی که خود نمی توانيد اين کار را انجام دهيد از کارشناسان ذيربط استفاده نمائيد . - غير فعال نمودن ارتباط با اينترنت در زمان عدم استفاده
اينترنت نظير يک جاده دو طرفه است . شما اطلاعاتی را دريافت و يا ارسال می نمائيد. غيرفعال نمودن ارتباط با اينترنت در مواردی که به آن نياز نمی باشد، امکان دستيابی سايرين به کامپيوتر شما را سلب می نمايد. - عدم اشتراک منابع موجود بر روی کامپيوتر با کاربرانی که هويت آنان نامشخص است
سيستم عامل نصب شده بر روی يک کامپيوتر، ممکن است امکان به اشتراک گذاشتن برخی منابع موجود نظير فايل ها را با ساير کاربران شبکه ، فراهم نمايد. ويژگی فوق ، می تواند زمينه بروز تهديدات امنيتی خاصی را فراهم نمايد . بنابراين می بايست نسبت به غيرفعال نمودن ويژگی فوق ، اقدام لازم صورت پذيرد.
نقش عوامل انسانی در امنيت شبکه های کامپيوتری
يک سيستم کامپيوتری از چهار عنصر : سخت افزار ، سيستم عامل ، برنامه های کاربردی و کاربران ، تشکيل می گردد. سخت افزار شامل حافظه ، دستگاههای ورودی ، خروجی و پردازشگر بوده که بعنوان منابع اصلی پردازش اطلاعات ، استفاده می گردند. برنامه های کاربردی شامل کمپايلرها ، سيستم های بانک اطلاعاتی ، برنامه های تجاری و بازرگانی ، بازی های کامپيوتری و موارد متنوع ديگری بوده که روش بخدمت گرفتن سخت افزار جهت نيل به اهداف از قبل تعريف شده را مشخص می نمايند. کاربران ، شا مل انسان ، ماشين و ديگر کامپيوترها می باشد . هر يک از کاربران سعی در حل مشکلات تعريف شده خود از طريق بکارگيری نرم افزارهای کاربردی در محيط سخت افزار می نمايند. سيستم عامل ، نحوه استفاده از سخت افزار را در ارتباط با برنامه های کاربردی متفاوتی که توسط کاربران گوناگون نوشته و اجراء می گردند ، کنترل و هدايت می نمايد. بمنظور بررسی امنيت در يک سيستم کامپيوتری ، می بايست به تشريح و تبين جايگاه هر يک از عناصر موجود در يک سيستم کامپيوتری پرداخته گردد.
در اين راستا ، قصد داريم به بررسی نقش عوامل انسانی دررابطه با امنيت اطلاعات پرداخته و جايگاه هر يک از مولفه های موجود را تبين و تشريح نما ئيم . اگر ما بهترين سيستم سخت افزاری و يا سيستم عامل را بخدمت بگيريم ولی کاربران و يا عوامل انسانی درگير در يک سيستم کامپوتری، پارامترهای امنيتی را رعايت ننمايند ، کاری را از پيش نخواهيم برد. وضعيت فوق مشابه اين است که شما بهترين اتومبيل با درجه بالای امنيت را طراحی و يا تهيه نمائيد ولی آن را در اختيار افرادی قرار دهيد که نسبت به اصول اوليه رانندگی توجيه نباشند ( عدم رعايت اصول ايمنی ) .
ما می بايست به مقوله امنيت اطلاعات در عصر اطلاعات نه بصورت يک کالا و يا محصول بلکه بصورت يک فرآيند نگاه کرده و امنيت را در حد يک محصول خواه نرم افزاری و يا سخت افزاری تنزل ندهيم .هر يک از موارد فوق ، جايگاه خاص خود را با وزن مشخص شده ای دارند و نبايد به بهانه پرداختن به امنيت اطلاعات وزن يک پارامتر را بيش از آنچيزی که هست در نظر گرفت و پارامتر ديگری را ناديده گرفته و يا وزن غير قابل قبولی برای آن مشخص نمائيم . بهرحال ظهور و عرضه شگفت انگيز تکنولوژی های نو در عصر حاضر ، تهديدات خاص خود را نيز بدنبال خواهد داشت . ما چه کار می بايست بکنيم که از تکنولوژی ها استفاده مفيدی را داشته و در عين حال از تهديدات مستقيم و يا غير مستقيم آنان نيز مصون بمانيم ؟ قطعا" نقش عوامل انسانی که استقاده کنندگان مستقيم اين نوع تکنولوژی ها می باشند ، بسيار محسوس و مهم است .
با گسترش اينترنت و استفاده از آن در ابعاد متفاوت ، سازمانها و موسسات با مسائل جديدی در رابطه با امنيت اطلاعات و تهاجم به شبکه های کامپيوتری مواجه می باشند. صرفنظر از موفقيت و يا عدم موفقيت مهاجمان و عليرغم آخرين اصلاحات انجام شده در رابطه با تکنولوژی های امنيتی ، عدم وجود دانش و اطلاعات لازم ( سواد عمومی ايمنی ) کاربران شبکه های کامپيوتری و استفاده کنندگان اطلاعات حساس در يک سازمان ، همواره بعنوان مهمترين تهديد امنيتی مطرح و عدم پايبندی و رعايت اصول امنيتی تدوين شده ، می تواند زمينه ايجاد پتانسيل هائی شود که توسط مهاجمين استفاده و باعث بروز مشکل در سازمان گردد. مهاجمان همواره بدنبال چنين فرصت هائی بوده تا با اتکاء به آنان به اهداف خود نائل گردند. در برخی حالات اشتباه ما زمينه موفقيت ديگران! را فراهم می نمايد . اگر سعی نمائيم بر اساس يک روش مناسب درصد بروز اشتباهات خود را کاهش دهيم به همان نسبت نيز شانس موفقيت مهاجمان کاهش پيدا خواهد کرد.
مديران شبکه ( سيستم ) ، مديران سازمان و کاربران معمولی جملگی عوامل انسانی در يک سازمان می باشند که حرکت و يا حرکات اشتباه هر يک می تواند پيامدهای منفی در ارتباط با امنيت اطلاعات را بدنبال داشته باشد . در ادامه به بررسی اشتباهات متداولی خواهيم پرداخت که می تواند توسط سه گروه ياد شده انجام و زمينه بروز يک مشکل امنيتی در رابطه با اطلاعات حساس در يک سازمان را باعث گردد.
اشتباهات متداول مديران سيستم
مديران سيستم ، به افرادی اطلاق می گردد که مسئوليت نگهداری و نظارت بر عملکرد صحيح و عملياتی سيستم ها و شبکه موجود در يک سازمان را برعهده دارند.در اغلب سازمانها افراد فوق ، مسئوليت امنيت دستگاهها ، ايمن سازی شبکه و تشخيص ضعف های امنيـتی موجود در رابطه با اطلاعات حساس را نيز برعهده دارند. بديهی است واگذاری مسئوليت های متعدد به يک فرد، افزايش تعداد خطاء و اشتباه را بدنبال خواهد داشت . فشار عصبی در زمان انجام کار مستمر بر روی چندين موضوع متفاوت و بصورت همزمان ، قطعا" احتمال بروز اشتباهات فردی را افزايش خواهد داد. در ادامه با برخی از خطاهای متداولی که ممکن است توسط مديران سيستم انجام و سازمان مربوطه را با تهديد امنيتی مواجه سازد ، آشنا خواهيم شد.
مورديک : عدم وجود يک سياست امنيتی شخصی
اکثر قريب به اتفاق مديران سيستم دارای يک سياست امنيتی شخصی بمنظور انجام فعاليت های مهمی نظير امنيت فيزيکی سيستم ها ، روش های بهنگام سازی يک نرم افزار و روشی بمنظور بکارگيری patch های جديد در زمان مربوطه نمی باشند .حتی شرکت های بزرگ و شناخته شده به اين موضوع اذعان دارند که برخی از سيستم های آنان با همان سرعت که يک باگ و يا اشکال تشخيص و شناسائی می گردد ، توسط patch مربوطه اصلاح نشده است .در برخی حالات ، مديران سيستم حتی نسبت به آخرين نقاط آسيب پذيرتشخيیص داده شده نيز آگاهی بهنگام شده ای را نداشته و قطعا" در چنين مواردی انتظار نصب patch مربوطه نيز توقعی بی مورد است . وجود نقاط آسيب پذير در شبکه می تواند يک سازمان را در معرض تهديدات جدی قرار دهد . امنيت فرآيندی است که می بايست بصورت مستمر به آن پرداخته شود و هرگز به اتمام نمی رسد.در اين راستا لازم است، بصورت مستمرنسبت به آخرين حملات بهمراه تکنولوژی ها ی مربوطه ، آگاهی لازم کسب و دانش خود را بهنگام نمائيم .اکثر مديران سيستم ، کارشناسان حرفه ای و خبره امنيتی نمی باشند ، در اين رابطه لازم است ، بمنظور افزايش حفاظت و ايمن سازی شبکه ، اطلاعات و دانش مربوطه بصورت مستمر ارتقاء يايد .افراديکه دارای گواهينامه های خاصی امنيتی و يا دانش و اطلاعات اضافه در رابطه با امنيت اطلاعات می باشند ، همواره يک قدم از کسانی مهارت آنان صرفا" محدود به شبکه است ، جلوتر می باشند . در ادامه ، پيشنهاداتی بمنظور بهبود وضعيت امنيتی سازمان و افزايش و ارتقاء سطح معلومات مديران سيستم ، ارائه می گردد :
- بصورت فيزيکی محل کار و سيستم خود را ايمن سازيد .زمينه استفاده از سيستم توسط افراديکه در محدوده کاری شما فعاليت دارند ، می بايست کاملا" کنترل شده و تحت نظارت باشد .
- هر مرتبه که سيستم خود را ترک می کنيد ، عمليات logout را فراموش نکنيد .در اين رابطه می توان يک زمان time out را تنظيم تا در صورت فراموش نمودن عمليات logout ، سيستم قادر به حفاظت خود گردد.
- خود را عضو خبرنامه ها ی متفاوت امنيتی کرده تا شما را با آخرين نقاط آسيب پذير آشنا نمايند. درحقيقت آنان چشم شما در اين معرکه خواهند بود( استفاده مفيد از تجارب ديگران ) .
- سعی گردد بصورت مستمر از سايت های مرتبط با مسائل امنيتی ديدن تا درزمان مناسب با پيام های هشداردهنده امنيتی در رابطه با نرم افزارهای خارج از رده و يا نرم افزارهای غير اصلاح شده ( unpatched ) آشنا گرديد.
- مطالعه آخرين مقالات مرتبط با مسائل امنيتی يکی از مراحل ضروری و مهم در فرآيند خود آموزشی ( فراگيری ) مديران شبکه است . بدين ترتيب اين اطمينان بوجود خواهد آمد که مدير مربوطه نسبت به آخرين اطلاعات و مسائل مربوطه امنيتی در کميته های موجود ، توجيه است .
- استفاده از ياداشت ها و مقالات در ارتباط با هر نوع اطلاعات حساس نظير رمزهای عبور وI هر چيزی که ممکن است زمينه ساز ايجاد يک پتانسيل آسيب پذير و دستيابی به سيستم مطرح گردد را محدود نمائيد. در صورتيکه از اين نوع اطلاعات استفاده می شود، قبل ازترک محل کار ، آنها را از بين ببريد. افراديکه دارای سوء نيت بوده در محدوده کاری شما می باشند ، می توانند ازمزايای ضعف های شناخته شده استفاده نمايند، بنابراين ضروری است استفاده از چنين ياداشت هائی محدود و يا بصورت کامل حذف گردد .
مورد دو : اتصال سيستم های فاقد پيکربندی مناسب به اينترنت
همزمان با گسترش نيازهای سازمان، سيستم ها و سرويس دهندگان جديدی بر اساس يک روال معمول به اينترنت متصل می گردند. قطعا" توسعه سيستم با هدف افزايش بهره وری در يک سازمان دنبال خواهد شد.اکثر اينچنين سيستمهائی بدون تنظيمات امنيتی خاص به اينترنت متصل شده و می تواند زمينه بروز آسيب و حملات اطلاعاتی توسط مهاجمان را باعث گردد ( در بازه زمانی که سيستم از لحاظ امنيتی بدرستی مميزی نشده باشد ، اين امر امکان پذير خواهد بود).
مديران سيستم ممکن است به اين موضوع استناد نمايند که سيستم جديد بوده و هنوز کسی آن را نمی شناسد و آدرس IP آن شناخته شده نيست ، بنابراين امکان شناسائی و حمله به آن وجود نخواهد داشت .طرز فکر فوق ، يک تهديد برای هر سازمان بشمار می رود . افراد و يا اسکريپت های پويش اتوماتيک در اينترنت ، بسرعت عمليات يافتن و تخريب اين نوع سيستم های آسيب پذير را دنبال می نمايند. در اين راستا ، شرکت هائی خاصی وجود دارد که موضوع فعاليت آنان شبکه بوده و برای تست سيستم های توليدی خود بدنبال سيستم های ضعيف و آسيب پذير می گردند.( سيستم آسيب پذير ما ابزار تست ديگران خواهد شد). بهرحال همواره ممکن است افرادی بصورت مخفيانه شبکه سازمان شما را پويش تا در صورت وجود يک نقطه آسيب پذير، از آن برای اهداف خود استفاده نمايند. لازم است در اين راستا تهديدات و خطرات را جدی گرفته و پيگری لازم در اين خصوص انجام شود. در اين رابطه موارد زير پيشنهاد می گردد :
- قبل از اتصال فيزيکی يک کامپيوتر به شبکه ، مجوز امنيتی لازم با توجه به سياست های تدوين شده امنيتی برای آن صادر گردد ( بررسی سيستم و صدور مجوز اتصال )
- کامپيوتر مورد نظر می بايست شامل آخرين نرم افزارهای امنيتی لازم بوده و از پيکربندی صحيح آنان می بايست مطمئن گرديد.
- در صورتيکه لازم است بر روی سيستم مورد نظر تست های شبکه ای خاصی صورت پذيرد ، سعی گردد امکان دستيابی به سيستم فوق از طريق اينترنت در زمان تست ، بلاک گردد.
- سيستمی را که قصد اتصال آن به اينترنت وجود دارد ، نمی بايست شامل اطلاعات حساس سازمان باشد.
- سيستم مورد نظر را تحت برنامه های موسوم به Intrusion Detection System قرار داده تا نرم افزارهای فوق بسرعت نقاط آسيب پذير و ضعف های امنيتی را شناسائی نمايند.
مورد سه : اعتماد بيش از اندازه به ابزارها
برنامه های پويش و بررسی نقاط آسيب پذير،اغلب بمنظور اخذ اطلاعات در رابطه وضعيت جاری امنيتی شبکه استفاده می گردد . پويشگرهای تشخيص نقاط آسيب پذير ، اطلاعات مفيدی را در ارتباط با امنيت سيستم نظير : مجوزهای فايل ، سياستهای رمز عبور و ساير مسائل موجود، ارائه می نمايند . بعبارت ديگر پويشگران نقاط آسيب پذير شبکه ، امکان نگرش از ديد يک مهاجم را به مديريت شبکه خواهند داد. پويشگرها ی فوق ، عموما" نيمی از مسائل امنيتی مرتبط را به سيستم واگذار نموده و نمی توان به تمامی نتايج بدست آمده توسط آنان بسنده و محور عمليات خود را بر اساس يافته های آنان قرار دهيم . در اين رابطه لازم است متناسب با نوع سيستم عامل نصب شده بر روی سيستم ها از پويشگران متعدد و مختص سيستم عامل مربوطه استفاده گردد( اخذ نتايج مطلوبتر) . بهرحال استفاده از اين نوع نرم افزارها قطعا" باعث شناسائی سريع نقاط آسيب پذير و صرفه جوئی زمان می گردد ولی نمی بايست اين تصور وجود داشته باشد که استفاده از آنان بمنزله يک راه حل جامع امنيتی است . تاکيد صرف بر نتايج بدست آمده توسط آنان ، می تواند نتايج نامطلوب امنيتی را بدنبال داشته باشد . در برخی موارد ممکن است لازم باشد ، بمنظور تشخيص نقاط آسيب پذير يک سيستم ،عمليات دستی انجام و يا حتی تاسکريپت های خاصی در اين رابطه نوشته گردد .
مورد چهار : عدم مشاهده لاگ ها ( Logs )
مشاهده لاگ های سيستم، يکی از مراحل ضروری در تشخيص مستمر و يا قريب الوقوع تهديدات است . لاگ ها، امکان شناسائی نقاط آسيب پذير متداول و حملات مربوطه را فراهم می نمايند. بنابراين می توان تمامی سيستم را بررسی و آن را در مقابل حملات مشخص شده ، مجهز و ايمن نمود. در صورت بروز يک تهاجم ، با استفاده از لاگ های سيستم ، تسهيلات لازم بمنظور رديابی مهاجمان فراهم می گردد.( البته بشرطی که آنان اصلاح نشده باشند ) . لاگ ها را بصورت ادواری بررسی و آنها را در يک مکان ايمن ذخيره نمائيد.
مورد پنج : اجرای سرويس ها و يا اسکريپت های اضافه و غير ضروری
استفاده از منابع و شبکه سازمان ، بعنوان يک زمين بازی شخصی برای تست اسکريپت ها و سرويس های متفاوت ، يکی ديگر از اشتباهات متداولی است که توسط اکثريت قريب به اتفاق مديران سيستم انجام می شود . داشتن اينچنين اسکريپت ها و سرويس های اضافه ای که بر روی سيستم اجراء می گردند ، باعث ايجاد مجموعه ای از پتانسيل ها و نفاط ورود جديد برای يک مهاجم می گردد ( در صورتيکه سرويس های اضافه و يا اسکريپت ها بر روی سرويس دهنده اصلی نصب و تست گردند ، مشکلات می تواند مضاعف گردد ). در صورت نياز به تست اسکريپت ها و يا اجرای سرويس های اضافه ، می بايست عمليات مورد نظر خود را از طريق يک کامپيوتر ايزوله شده انجام داد (هرگز از کامپيوتری که به شبکه متصل است در اين راستا استفاده نگردد ) .
اشتباهات متداول مديران سازمان ها
مديران سازمان، به افرادی اطلاق می گردد که مسئوليت مديريت ، هدايت و توسعه سازمان را بر عهده داشته و با منابع متفاوت موجود در سازمان نظير بودجه ، سروکار دارند. امروزه استفاده از اينترنت توسط سازمان ها و موسسات ، مزايای متعددی را بدنبال دارد. واژه " تجارت الکترونيکی" بسيار متداول و استراتژی تجارت الکترونيکی ، از جمله مواردی است که در هر برنامه ريزی تجاری به آن توجه خاص می گردد. در صورتيکه سازمان ها و موسسات دارای يک استراتژی امنيتی مشخص شده ای نباشند ، اتصال به شبکه جهانی تهديدی در ارتباط با اطلاعات حساس خواهد بود. در ادامه به برخی از اشتباهات متداول که از ناحيه مديران سازمان بروز و تاثير منفی در ارتباط با امنيت اطلاعات در سازمان را بدنبال خواهد داشت ، اشاره می گردد :
مورد يک : استخدام کارشناسان آموزش نديده و غيرخبره
بدون ترديد ، کارشناسان آموزش ديده و خبره ، يکی از منابع ارزشمند درهر سازمان محسوب می گردند. همواره می بايست از کارشناسان ورزيده در ارتباط با امنيت در يک سازمان استفاده گردد. فرصت سعی و خطاء نيست و ممکن است در اين محدوده زمانی چيزی را که يک سازمان از دست می دهد بمراتب بيشتر از چيزی است که می خواهد بدست آورد. امنيت اطلاعات از جمله مقولاتی است که برای يک سازمان دارای جايگاهی است و همواره می بايست بهترين تصميم دررابطه با استفاده از منابع انسانی ماهر ، اتخاذ گردد. استفاده از يک کارشناس غير ماهر در امور امنيت اطلاعات و شبکه در يک سازمان ، خود تهديدی امنيتی است که بر ساير تهديدات موجود اضافه خواهد شد . ( ما نمی توانيم مسئوليت پياده سازی استراتژی امنيتی در سازمان را به افرادی واگذار نمائيم که در اين رابطه اطلاعات و دانش لازم را ندارند ) .
مورد دوم : فقدان آگاهی لازم در رابطه با تاثير يک ضعف امنيتی بر عملکرد سازمان
بسياری از مديران سازمان بر اين باور می باشند که " اين مسئله برای ما اتفاق نخواهد افتاد " و بر همين اساس و طرز فکر به مقوله امنيت نگاه می نمايند . بديهی است در صورت بروز مشکل در سازمان ، امکان عکس العمل مناسب در مقابل خطرات و تهديدات احتمالی وجود نخواهد داشت . اين مسئله می تواند بدليل عدم آشنائی با ابعاد و اثرات يک ضعف امنيتی در سازمان باشد . در اين رابطه لازم است به اين نکته اشاره گردد که همواره مشکل برای ديگران بوجود نمی آيد و ما نيز در معرض مشکلات فراوانی قرار خواهيم داشت .بنابراين لازم است همواره و بصورت مستمر مديران سازمان نسبت به اثرات احتمالی يک ضعف امنيتی توجيه و دانش لازم در اختيار آنان قرار گيرد . در صورت بروز يک مشکل امنيتی در سازمان ، مسئله بوجود آمده محدود به خود سازمان نشده و می تواند اثرات منفی متعددی در ارتباط با ادامه فعاليت سازمان را بدنبال داشته باشد. در عصر اطلاعات و دنيای شديد رقابت ، کافی است سازمانی لحظاتی آنچيزی باشد که نمی بايست باشد ، همين امر کافی است که تلاش چندين ساله يک سازمان هرز و در برخی حالات فرصت جبران آن نيز وجود نخواهد داشت .
- تاثير منفی بر ساير فعاليت های تجاری online سازمان
- عاملی برای توزيع اطلاعات غير مفيد و غير قابل استفاده در يک چرخه تجاری
- عرضه اطلاعات حساس مشتريان به يک مهاجم و بمخاطره افتادن اطلاعات خصوصی مشتريان
- آسيب جدی وجهه سازمان و بدنبال آن از دست دادن مشتريان و همکاران تجاری
مورد سوم : عدم تخصيص بودجه مناسب برای پرداختن به امنيت اطلاعات
مجاب نمودن يک مدير سازمان مبنی بر اختصاص بودجه مناسب برای پرداختن به مقوله امنيت اطلاعات در سازمان از حمله مواردی است که چالش های خاص خود را خواهد داشت .مديران، تمايل دارند بودجه را به حداقل مقدار خود برسانند، چراکه آنان يا اطلاعات محدودی در رابطه با تاثير وجود ضعف های امنيتی در عملکرد سازمان را دارند و يا در برخی حالات بودجه ، آنان را برای اتخاذ تصميم مناسب محدود می نمايد.اينترنت يک شبکه جهانی است که فرصت های جذاب و نامحدود تجاری را برای هر بنگاه تجاری فراهم می نمايد، با رعايت امنيت اطلاعات و حفا ظت مناسب از داده های حساس ،امکان استفاده از فرصت های تجاری بيشتری برای يک سازمان فراهم خواهد شد. با اختصاص يک بودجه مناسب برای پرداختن و بهاء دادن به مقوله امنيت اطلاعات در يک سازمان ، پيشگيری های لازم انجام ودر صورت بروز مسائل بحرانی ، امکان تشخيص سريع آنان و انجام واکنش های مناسب فراهم می گردد . بعبارت ديگر با در نظر گرفتن بودجه مناسب برای ايمن سازی سازمان ، بستر مناسب برای حفاظت سيستم ها و داده های حساس در يک سازمان فراهم خواهد شد . قطعا" توليد و عرضه سريع اطلاعات در سازمان های مدرن و مبتنی بر اطلاعات ، يکی از مهمترين شاخص های رشد در عصر حاضر بوده و هر آنچيزی که می تواند خللی در فرآيند فوق ايجاد نمايد ، باعث توقف و گاها" برگشت به عقب يک سازمان ، می گردد.
مورد چهارم : اتکاء کامل به ابزارها و محصولات تجاری
اگر از يک سازمان سوال شود که چگونه خود را در مقابل حملات حفاظت نموده ايد ؟ اغلب آنان در پاسخ خواهند گفت :" ما از يک فايروال شناخته شده و يک برنامه ويروس ياب بر روی سرويس دهنده استفاده می کنيم ، بنابراين ما در مقابل حملات ايمن خواهيم بود " . توجه داشته باشيد که امنيت يک فرآيند است نه يک محصول که با خريداری آن خيال خود را در ارتباط با امنيت راحت نمائيم . مديران سازمان لازم است شناخت مناسب و اوليه ای از پتانسل های عمومی يک فايروال و يا برنامه های ويروس ياب داشته باشند ( قادر به انجام چه کاری می باشند و چه کاری را نمی توانند انجام دهند. مثلا" اگر ويروس جديدی نوشته و در شبکه توزيع گردد ، برنامه های ويروس ياب موجود قادر به تشخيص و برخورد با آن نخواهند بود.اين نوع برنامه ها صرفا" پس از مطرح شدن يک ويروس و آناليز نحوه عملکرد آن می بايست بهنگام شده تا بتوانند در صورت بروز وضعيتی مشابه با آن برخورد نمايند) . ابزارهائی همچون فايروال و يا برنامه های ويروس ياب ، بخشی از فرآيند مربوط به ايمن سازی اطلاعات حساس در يک سازمان بوده و با بکارگيری آنان نمی توان اين ادعا را داشت که آنان سازمان را بطور کامل در مقابل تهاجمات ، حفاظت خواهند نمود .
مورد پنجم : يک مرتبه سرمايه گذاری در ارتباط با امنيت
امنيت مفهمومی فراگير و گسترده بوده که نيازمند هماهنگی و سرمايه گذاری در دو بعد تکنولوژی و آموزش است. هر روز ما شاهد ظهور تکنولوژی های جديدی می باشيم . ما نمی توانيم در مواجهه با يک تکنولوژی جديد بصورت انفعالی برخورد و يا عنوان نمائيم که ضرورتی به استفاده از اين تکنولوژی خاص را نداريم . بکارگيری تکنولوژی عملا" صرفه جوئی در زمان و سرمايه مادی را بدنبال داشته و اين امر باعث ارائه سرويس های مطلوبتر و ارزانتر به مشتريان خواهد شد. موضوع فوق هم از جنبه يک سازمان حائز اهميت است و هم از نظر مشتريان ، چراکه ارائه سرويس مطلوب با قيمت تمام شده مناسب يکی از مهمترين اهداف هر بنگاه تجاری محسوب شده و مشتريان نيز همواره بدنبال استفاده از سرويس ها و خدمات با کيفيت و قيمت مناسب می باشند. استفاده از تکنولوژی های جديد و سرويس های مرتبط با آنان،همواره تهديدات خاص خود را بدنبال خواهد داشت . بنابراين لازم است به اين موضوع توجه شود که امنيت يک سرمايه گذاری پيوسته را طلب می نمايد، چراکه با بخدمت گرفتن تکنولوژی ها ی نو بمنظور افزايش بهره وری در يک سازمان ، زمينه پرداختن به امنيت می بايست مجددا" و در ارتباط با تکنولوژی مربوطه بررسی و در صورت لزوم سرمايه گذاری لازم در ارتباط با آن صورت پذيرد . تفکر اينکه، امنيت يک نوع سرمايه گذاری يکبار مصرف است ، می تواند از يکطرف سازمان را در استفاده از تکنولوژی ها ی نو با ترديد مواجه سازد و از طرف ديگر با توجه به نگرش به مقوله امنيت ( يکبار مصرف ) ، بهاء لازم به آن داده نشده و شروع مناسبی برای پياده سازی يک سيستم امنيتی و حفاظتی مناسب را نداشته باشيم .
اشتباهات متداول کاربران معمولی
کاربران ، به افرادی اطلاق می گردد که طی روز با داده ها ی حساس در يک سازمان سروکار داشته و تصميمات و فعاليت های آنان، داده ها ی حساس و مقوله امنيت و حفاظت از اطلاعات را تحت تاثير مستقيم قرار خواهد داد. در ادامه با برخی از اشتباهات متداولی که اين نوع استفاده کنندگان از سيستم و شبکه مرتکب می شوند ، اشاره می گردد.
مورد يک : تخطی از سياست امنينی سازمان
سياست امنيتی سازمان ، اعلاميه ای است که بصورت جامع ، مسئوليت هر يک از پرسنل سازمان ( افراديکه به اطلاعات و سيستم های حساس در سازمان دستيابی دارند ) در ارتباط با امنيت اطلاعات و شبکه را تعريف و مشخص می نمايد. سند و يا اعلاميه مورد نظر ، بعنوان بخش لاينفک در هر مدل امنيتی بکارگرفته شده در سازمان محسوب می گردد.هدف عمده اعلاميه فوق ، ارائه روشی آسان بمنظور شناخت و درک ساده نحوه حفاظت سيستم های سازمان در زمان استفاده است . کاربران معمولی ، عموما" تمايل به تخطی از سياست های تدوين شده امنيتی در يک سازمان را داشته و اين موضوع می تواند عاملی مهم برای تحت تاثير قراردادن سيستم های حساس و اطلاعات مهم سازمان در مواجهه با يک تهديد باشد. پيامد اين نوع عمليات ، بروز اشکال و خرابی در رابطه با اطلاعات ارزشمند در يک سازمان خواهد بود.بهمين دليل است که اکيدا" توصيه می گردد که اطلاعات لازم در رابطه با نقش کاربران در تبعيت از سياست های امنيتی در سازمان به آنان يادآوری و بر آن تاکيد گردد .
مورد دوم : ارسال داده حساس بر روی کامپيوترهای منزل
يکی از خطرناکترين روش ها در رابطه با داده های حساس موجود در يک سازمان ، فعاليتی است که باعث غير فعال شدن تمامی پيشگيری های امنيتی ايجادشده و در گير شدن آنان در يک فرآيند غير امنيتی می گردد . پرسنل سازمان عادت دارند،اطلاعات حساس سازمان را بر روی کامپيوتر منزل خود فوروارد ( ارسال ) نمايند . در حقيقت کاربران تمايل به فوروارد نمودن يک پروژه ناتمام و يا برنامه ريزی تجاری به کامپيوتر منازل خود را داشته تا از اين طريق امکان اتمام کار خود در منزل را پيدا نمايند. کاربران به اين موضوع توجه نکرده اند که تغيير محيط ايمن سازمان با کامپيوتر منزل خود که دارای ايمنی بمراتب کمتری است ، بطور جدی اطلاعات را در معرض آسيب و تهاجم قرار خواهد داد . در صورتيکه ضروری است که اطلاعات را به کامپيوترهای منزل فوروارد نمود ، يک سطح مناسب ايمنی می بايست وجود داشته باشد تا اين اطمينان بوجود آيد که نوت بوک ها و يا کامپيوترهای منازل در مقابل مهاجمين اطلاعاتی حفاظت شده و ايمن می باشند.
مورد سوم : ياداشت داده های حساس و ذخيره غيرايمن آنان
ايجاد و نگهداری رمزهای عبور قدرتمند ، فرآيندی مستمر است که همواره می بايست مورد توجه قرار گيرد. کاربران همواره از اين موضوع نفرت دارند که رمزعبورهائی را ايجاد نمايند که قادر به بخاطرآوردن آن نمی باشند. سياست امنيتی تدوين شده سازمان می بايست تعيين نمايد که يک رمز عبور چگونه می بايست ايجاد و نگهداری گردد. بخاطر سپردن چنين رمزعبوری همواره مسائل خاص خود را خواهد داشت . بمنظور حل اينچنين مشکلی ، کاربران تمايل دارند که ياداشت های مخفی را نوشته و آنها را زير صفحه کليد ، کيف جيبی و يا هر مکان ديگر در محل کار خود نگهداری نمايند. ياداشت ها ی فوق ، شامل اطلاعات حساس در ارتباط با داده های مربوط به رمزعبور و ساير موارد مرتبط است .استفاده از روشهای فوق برای نگهداری اطلاعات ، يک تخطی امنيتی است .دراين راستا لازم است ،کاربران توجيه و به آنان آگاهی لازم داده شود که با عدم رعايت موارد مشخص شده امنيتی ،پتانسيل های لازم بمنظور بروز مشکل در سيستم افزايش خواهد يافت . لازم است به کاربران ، روش ها و تکنيک های متفاوت بخاطر سپردن رمز عبور آموزش داده شود تا زمينه استفاده کاربران از ياداشت برای ثبت اينگونه اطلاعات حساس کاهش يابد . سناريوی های متفاوت برای آنان تشريح و گفته شود که يک مهاجم با استفاده از چه روش هائی ممکن است به اطلاعات ثبت شده در ياداشت ها ، دست پيدا نموده و زمينه بروز مشکل را فراهم نمايد.
مورد چهارم : دريافت فايل از سايت های غير مطمئن
يکی از سرويس های اينترنت امکان دريافت فايل توسط کاربران است . کاربران بمنظور دريافت فايل از اينترنت ، اغلب از امتيازات خود تعدی و حتی سياست ها ی موجود در سازمان را در معرض مخاطره و آسيب قرار می دهند . دريافت فايل از وب سايت های گمنام و يا غير مطمئن باعث کمک در توزيع برنامه های مهاجم در اينترنت می گردد. بدين ترتيب ما بعنوان ابزاری برای توزيع يک برنامه مخرب در اينترنت تبديل خواهيم شد. فايل ها و برنامه های دريافتی پس از آلودگی به نوع خاصی از برنامه مخرب ( ويروس ، کرم ، اسب تراوا ) ، می تواند تاثيرات منفی فراوانی را در ارتباط با عملکرد يک سازمان بدنبال داشته باشد .کاربران می بايست بندرت فايل هائی را از اينترنت دريافت در موارديکه ضرورت اين کار حس و به برنامه ای خاص نياز باشد ، اکيدا" توصيه می گردد که موضوع با دپارتمان IT ( يا ساير بخش های مسئول در سازمان ) درميان گذاشته شود تا آنان بر اساس تجربه و دانش خود ، اقدام به تهيه برنامه مورد نظر از منابع مطمئن نمايند .
مورد پنجم : عدم رعايت امنيت فيزيکی
ميزان آگاهی و دانش کاربران در رابطه با رعايت مسائل ايمنی خصوصا" امنيت فيزيکی ، بطرز کاملا" محسوسی افزايش امنيت و حفاظت داده ها ی حساس در يک سازمان را بدنبال خواهد داشت . عموما" ، رفتار کاربران در زمان استفاده از ايستگاه های کاری سازمان سهل انگارانه و فاقد سوادعمومی ايمنی است . کاربران ، اغلب ايستگاههای کاری خود را بدون در نظر گرفتن امنيت فيزيکی رها و screensaver آنان ، بندرت دارای رمز عبور بوده و می تواند باعث بروزمسائل متعددی گردد. به کاربران می بايست آموزش های لازم در رابطه با استراتژی های متفاوت بمنظور استفاده از سيستم های سازمان داده شود : مطمئن شويد آنها قادرند بدرستی با اطلاعات حساس در سازمان برخورد نمايند و همواره پيامدهای عدم رعايت امنيت فيزيکی به آنان يادآوری گردد.
خلاصه
در اين مقاله به بررسی اهم اشتباهات متداول که ممکن است از جانب عوامل انسانی در يک سيستم کامپيوتری بروز نمايد ، اشاره و گفتته شد که عدم رعايت مسائل مربوطه می تواند زمينه بروز مشکلات متعدد ايمنی در سازمان را بدنبال داشته باشد . موارداعلام شده را جدی گرفته و در صورت ضرورت مدل امنيتی جاری را بازسازی نمائيد . به کاربران ، مديران شبکه و حتی مديران سازمان آموزش های لازم داده شود تا سطح آگاهی و اطلاعات آنان دررابطه با امنيت افزايش يابد( جملگی می بايست دارای يک سطح مناسب از سوادعمومی در ارتباط با امنيت اطلاعات باشيم ). تداوم عمليات يک سازمان در عصر حاضر ارتباط مستقيم به رعايت مسائل ايمنی توسط عوامل انسانی آن سازمان دارد
راحل اوليه ايجاد امنيت در شبکه
شبکه های کامپيوتری زير ساخت لازم برای عرضه اطلاعات در يک سازمان را فراهم می نمايند . بموازات رشد و گسترش تکنولوژی اطلاعات، مقوله امنيت در شبکه های کامپيوتری ، بطور چشمگيری مورد توجه قرار گرفته و همه روزه بر تعداد افرادی که علاقه مند به آشنائی با اصول سيستم های امنيتی در اين زمينه می باشند ، افزوده می گردد . در اين مقاله ، پيشنهاداتی در رابطه با ايجاد يک محيط ايمن در شبکه ، ارائه می گردد .
سياست امنيتی
يک سياست امنيتی، اعلاميه ای رسمی مشتمل بر مجموعه ای از قوانين است که می بايست توسط افراديکه به يک تکنولوژی سازمان و يا سرمايه های اطلاعاتی دستيابی دارند، رعايت و به آن پايبند باشند . بمنظور تحقق اهداف امنيتی ، می بايست سياست های تدوين شده در رابطه با تمام کاربران ، مديران شبکه و مديران عملياتی سازمان، اعمال گردد . اهداف مورد نظر عموما" با تاکيد بر گزينه های اساسی زير مشخص می گردند .
" سرويس های عرضه شده در مقابل امنيت ارائه شده ، استفاده ساده در مقابل امنيت و هزينه ايمن سازی در مقابل ريسک از دست دادن اطلاعات "
مهمترين هدف يک سياست امنيتی ، دادن آگاهی لازم به کاربران، مديران شبکه و مديران عملياتی يک سازمان در رابطه با امکانات و تجهيزات لازم ، بمنظور حفظ و صيانت از تکنولوژی و سرمايه های اطلاعاتی است . سياست امنيتی ، می بايست مکانيزم و راهکارهای مربوطه را با تاکيد بر امکانات موجود تبين نمايد . از ديگر اهداف يک سياست امنيتی ، ارائه يک خط اصولی برای پيکربندی و مميزی سيستم های کامپيوتری و شبکه ها ، بمنظور تبعيت از سياست ها است . يک سياست امنيتی مناسب و موثر ، می بايست رضايت و حمايت تمام پرسنل موجود در يک سازمان را بدنبال داشته باشد .
يک سياست امنيتی خوب دارای ويژگی های زير است :
- امکان پياده سازی عملی آن بکمک روش های متعددی نظير رويه های مديريتی، وجود داشته باشد .
- امکان تقويت آن توسط ابزارهای امنيتی ويا دستورات مديريتی در موارديکه پيشگيری واقعی از لحاظ فنی امکان پذير نيست ، وجود داشته باشد .
- محدوده مسئوليت کاربران ، مديران شبکه و مديران عملياتی بصورت شفاف مشخص گردد .
- پس از استقرار، قابليت برقرای ارتباط با منابع متفاوت انسانی را دارا باشد . ( يک بار گفتن و همواره در گوش داشتن )
- دارای انعطاف لازم بمنظور برخورد با تغييرات درشبکه باشد .( سياست های تدوين شده ، نمونه ای بارز از مستندات زنده تلقی می گردنند . )
سيستم های عامل و برنامه های کاربردی : نسخه ها و بهنگام سازی
در صورت امکان، می بايست از آخرين نسخه سيستم های عامل و برنامه های کاربردی بر روی تمامی کامپيوترهای موجود در شبکه ( سرويس گيرنده ، سرويس دهنده ، سوئيچ، روتر، فايروال و سيستم های تشخيص مزاحمين ) استفاده شود . سيستم های عامل و برنامه های کاربردی می بايست بهنگام بوده و همواره از آخرين امکانات موجود بهنگام سازی ( patches , service pack , hotfixes) استفاده گردد . در اين راستا می بايست حساسيت بيشتری نسبت به برنامه های آسيب پذير که زمينه لازم برای متجاوزان اطلاعاتی را فراهم می نمايند ، وجود داشته باشد .
برنامه های : IIS ,OutLook , Internet Explorer , BIND و sendmail بدليل وجود نقاط آسيب پذير می بايست مورد توجه جدی قرار گيرند . متجاوزان اطلاعاتی ، بدفعات از نقاط آسيب پذير برنامه های فوق برای خواسته های خود استفاده کرده اند .
شناخت شبکه موجود
بمنظور پياده سازی و پشتيبانی سيستم امنيتی ، لازم است ليستی از تمام دستگاههای سخت افزاری و برنامه های نصب شده ، تهيه گردد . آگاهی از برنامه هائی که بصورت پيش فرض نصب شده اند، نيز دارای اهميت خاص خود است ( مثلا" برنامه IIS بصورت پيش فرض توسط SMS و يا سرويس دهنده SQL در شبکه های مبتنی بر ويندوز نصب می گردد ) . فهرست برداری از سرويس هائی که بر روی شبکه در حا ل اچراء می باشند، زمينه را برای پيمايش و تشخيص مسائل مربوطه ، هموار خواهد کرد .
سرويس دهندگان TCP/UDP و سرويس های موجود در شبکه
تمامی سرويس دهندگان TCP/UDP در شبکه بهمراه سرويس های موجود بر روی هر کامپيوتر در شبکه ، می بايست شناسائی و مستند گردند . در صورت امکان، سرويس دهندگان و سرويس های غير ضروری، غير فعال گردند . برای سرويس دهندگانی که وجود آنان ضروری تشخيص داده می شود، دستيابی به آنان محدود به کامپيوترهائی گردد که به خدمات آنان نيازمند می باشند . امکانات عملياتی را که بندرت از آنان استفاده و دارای آسيب پذيری بيشتری می باشند ، غير فعال تا زمينه بهره برداری آنان توسط متجاوزان اطلاعاتی سلب گردد. توصيه می گردد ، برنامه های نمونه (Sample) تحت هيچ شرايطی بر روی سيستم های توليدی ( سيستم هائی که محيط لازم برای توليد نرم افزار بر روی آنها ايجاد و با استفاده از آنان محصولات نرم افزاری توليد می گردند ) نصب نگردند .
رمزعبور
انتخاب رمزعبور ضعيف ، همواره يکی از مسائل اصلی در رابطه با هر نوع سيستم امنيتی است . کاربران، می بايست متعهد و مجبور به تغيير رمز عبور خود بصورت ادواری گردند . تنظيم مشخصه های رمز عبور در سيستم های مبتنی بر ويندوز، بکمک Account Policy صورت می پذيرد . مديران شبکه، می بايست برنامه های مربوط به تشخيص رمز عبور را تهيه و آنها را اجراء تا آسيب پذيری سيستم در بوته نقد و آزمايش قرار گيرد .
برنامه های john the Ripper ، LOphtcrack و Crack ، نمونه هائی در اين زمينه می باشند . به کاربرانی که رمز عبور آنان ضعيف تعريف شده است ، مراتب اعلام و در صورت تکرار اخطار داده شود ( عمليات فوق، می بايست بصورت متناوب انجام گيرد ) . با توجه به اينکه برنامه های تشخيص رمزعبور،زمان زيادی از پردازنده را بخود اختصاص خواهند داد، توصيه می گردد، رمز عبورهای کد شده ( ليست SAM بانک اطلاعاتی در ويندوز ) را بر روی سيستمی ديگر که در شبکه نمی باشد، منتقل تا زمينه بررسی رمزهای عبور ضعيف ، فراهم گردد . با انجام عمليات فوق برروی يک کامپيوتر غير شبکه ای ، نتايج بدست آمده برای هيچکس قابل استفاده نخواهد بود( مگراينکه افراد بصورت فيزيکی به سيستم دستيابی پيدا نمايند) .
برای تعريف رمز عبور، موارد زير پيشنهاد می گردد :
- حداقل طول رمز عبور، دوازده و يا بيشتر باشد .
- دررمز عبور از حروف کوچک، اعداد، کاراکترهای خاص و Underline استفاده شود .
- از کلمات موجود در ديکشنری استفاده نگردد .
- رمز های عبور ، در فواصل زمانی مشخصی ( سی و يا نود روز) بصورت ادواری تغيير داده شوند .
- کاربرانی که رمزهای عبور ساده و قابل حدسی را برای خود تعريف نموده اند، تشخيص و به آنها تذکر داده شود .( عمليات فوق بصورت متناوب و در فواصل زمانی يک ماه انجام گردد).
عدم اجرای برنامه ها ئی که منابع آنها تاييد نشده است .
در اغلب حالات ، برنامه های کامپيوتری در يک چارچوب امنيتی خاص مربوط به کاربری که آنها را فعال می نمايد ، اجراء می گردند.دراين زمينه ممکن است، هيچگونه توجه ای به ماهيت منبع ارائه دهنده برنامه توسط کاربران انجام نگردد . وجود يک زير ساخت PKI ) Public key infrastructure ) ، در اين زمينه می تواند مفيد باشد . در صورت عدم وجود زيرساخت امنيتی فوق ،می بايست مراقبت های لازم در رابطه با طرفندهای استفاده شده توسط برخی از متجاوران اطلاعاتی را انجام داد. مثلا" ممکن است برخی آسيب ها در ظاهری کاملا" موجه از طريق يک پيام الکترونيکی جلوه نمايند . هرگز يک ضميمه پيام الکترونيکی و يا برنامه ای را که از منبع ارسال کننده آن مطمئن نشده ايد ، فعال و يا اجراء ننمائيد . همواره از برنامه ای نظير Outlook بمنظور دريافت پيام های الکترونيکی استفاده گردد . برنامه فوق در يک ناحيه محدوده شده اجراء و می بايست امکان اجرای تمام اسکريپت ها و محتويات فعال برای ناحيه فوق ، غير فعال گردد .
ايجاد محدوديت در برخی از ضمائم پست الکترونيکی
ضرورت توزيع و عرضه تعداد زيادی از انواع فايل های ضميمه ، بصورت روزمره در يک سازمان وجود ندارد .بمنظور پيشگيری از اجرای کدهای مخرب ، پيشنهاد می گردد اين نوع فايل ها ،غير فعال گردند . سازمان هائی که از Outlook استفاده می نمايند، می توانند با استفاده از نسخه 2002 اقدام به بلاک نمودن آنها نمايند . ( برای ساير نسخه های Outlook می توان از Patch امنيتی مربوطه استفاده کرد ) .
فايل های زير را می توان بلاک کرد :
نوع فايل هائی که می توان آنها را بلاک نمود . |
.bas .hta .msp .url .bat .inf .mst .vb .chm .ins .pif .vbe |
در صورت ضرورت می توان ، به ليست فوق برخی از فايل ها را اضافه و يا حذف کرد. مثلا" با توجه به وجود عناصر اجرائی در برنامه های آفيس ، ميتوان امکان اجرای برنامه ها را در آنان بلاک نمود . مهمترين نکته در اين راستا به برنامه Access بر می گردد که برخلاف ساير اعضاء خانواده آفيس ، دارای امکانات حفاظتی ذاتی در مقابل ماکروهای آسيب رسان نمی باشد .
پايبندی به مفهوم کمترين امتياز
اختصاص حداقل امتياز به کاربران، محور اساسی درپياده سازی يک سيتم امنيتی است. رويکرد فوق بر اين اصل مهم استوار است که کاربران می بايست صرفا" دارای حقوق و امتيازات لازم بمنظور انجام کارهای مربوطه باشند ( بذل و بخشش امتيازات در اين زمينه شايسته نمی باشد!) . رخنه در سيستم امنيتی از طريق کدهای مخربی که توسط کاربران اجراء می گردند، تحقق می يابد . در صورتيکه کاربر، دارای حقوق و امتيازات بيشتری باشد ، آسيب پذيری اطلاعات در اثر اجرای کدها ی مخرب ، بيشتر خواهد شد . موارد زير برای اختصاص حقوق کاربران ، پيشنهاد می گردد :
- تعداد account مربوط به مديران شبکه، می بايست حداقل باشد .
- مديران شبکه ، می بايست بمنظور انجام فعاليت های روزمره نظير خواندن پيام های پست الکترونيکی ، از يک account روزمره در مقابل ورود به شبکه بعنوان administrator ،استفاده نمايند .
- مجوزهای لازم برای منابع بدرستی تنظيم و پيکربندی گردد . در اين راستا می بايست حساسيت بيشتری نسبت به برخی از برنامه ها که همواره مورد استفاده متجاوزان اطلاعاتی است ، وجود داشته باشد . اين نوع برنامه ها ، شرايط مناسبی برای متجاوزان اطلاعاتی را فراهم می نمايند. جدول زير برخی از اين نوع برنامه ها را نشان می دهد .
برنامه های مورد توجه متجاوزان اطلاعاتی |
explorer.exe, regedit.exe, poledit.exe, taskman.exe, at.exe, |
- رويکرد حداقل امتياز ، می تواند به برنامه های سرويس دهنده نيز تعميم يابد . در اين راستا می بايست حتی المقدور، سرويس ها و برنامه ها توسط يک account که حداقل امتياز را دارد ،اجراء گردند .
مميزی برنامه ها
اغلب برنامه های سرويس دهنده ، دارای قابليت های مميزی گسترده ای می باشند . مميزی می تواند شامل دنبال نمودن حرکات مشکوک و يا برخورد با آسيب های واقعی باشد . با فعال نمودن مميزی برای برنامه های سرويس دهنده و کنترل دستيابی به برنامه های کليدی نظير برنامه هائی که ليست آنها در جدول قبل ارائه گرديد، شرايط مناسبی بمنظور حفاظت از اطلاعات فراهم می گردد .
چاپگر شبکه
امروزه اغلب چاپگرهای شبکه دارای قابليت های از قبل ساخته شده برای سرويس های FTP,WEB و Telnet بعنوان بخشی از سيستم عامل مربوطه ، می باشند . منابع فوق پس از فعال شدن ، مورد استفاده قرار خواهند گرفت . امکان استفاده از چاپگرهای شبکه بصورت FTP Bound servers ، Telnet و يا سرويس های مديريتی وب ، وجود خواهد داشت . رمز عبور پيش فرض را به يک رمز عبور پيچيده تغيير و با صراحت پورت های چاپگر را در محدوده روتر / فايروال بلاک نموده و در صورت عدم نياز به سرويس های فوق ، آنها را غير فعال نمائيد .
پروتکل SNMP)Simple Network Management Protocol)
پروتکل SNMP ، در مقياس گسترده ای توسط مديران شبکه بمنظور مشاهده و مديريت تمام کامپيوترهای موجود در شبکه ( سرويس گيرنده ، سرويس دهنده، سوئيچ ، روتر، فايروال ) استفاده می گردد .SNMP ، بمنظور تاييد اعتبار کاربران ، از روشی غير رمز شده استفاده می نمايد . متجاوزان اطلاعاتی ، می توانند از نفطه ضعف فوق در جهت اهداف سوء خود استفاده نمايند . در چنين حالتی، آنان قادر به اخذ اطلاعات متنوعی در رابطه با عناصر موجود در شبکه بوده و حتی امکان غير فعال نمودن يک سيستم از راه دور و يا تغيير پيکربندی سيستم ها وجود خواهد داشت . در صورتيکه يک متجاوز اطلاعاتی قادر به جمع آوری ترافيک SNMP دريک شبکه گردد، از اطلاعات مربوط به ساختار شبکه موجود بهمراه سيستم ها و دستگاههای متصل شده به آن ، نيز آگاهی خواهد يافت . سرويس دهندگان SNMP موجود بر روی هر کامپيوتری را که ضرورتی به وجود آنان نمی باشد ، غير فعال نمائيد . در صورتيکه بهر دليلی استفاده از SNMP ضروری باشد ، می بايست امکان دستيابی بصورت فقط خواندنی در نظر گرفته شود . در صورت امکان، صرفا" به تعداد اندکی از کامپيوترها امتياز استفاده از سرويس دهنده SNMP اعطاء گردد .
تست امنيت شبکه
مديران شبکه های کامپيوترهای می بايست، بصورت ادواری اقدام به تست امنيتی تمام کامپيوترهای موجود در شبکه (سرويس گيرندگان، سرويس دهندگان، سوئيچ ها ، روترها ، فايروال ها و سيتستم های تشخيص مزاحمين ) نمايند. تست امنيت شبکه ، پس از اعمال هر گونه تغيير اساسی در پيکربندی شبکه ، نيز می بايست انجام شود .
علل بروز مشكلات امنيتی
امنيت شبكه های كامپيوتری و ايمن سازی زيرساخت فناوری اطلاعات به يكی از چالش های مهم برای بسياری از سازمان ها و موسسات مدرن اطلاعاتی تبديل شده است.كارشناسان فناوری اطلاعات همواره با اين پرسش مواجه هستند كه علل بروز مشكلات امنيتی در يك شبكه كامپيوتری چيست و چگونه می توان بطور سيستماتيك در جهت ايجاد و نگهداری ايمن زيرساخت فناوری اطلاعات و منابع موجود بر روی آن قدم برداشت .
ريشه بسياری از مشكلات و مسائل امنيتی را می توان در سه ضعف عمده زير جستجو كرد :
- ضعف فناوری
- ضعف پيكربندی
- ضعف سياست ها
در ادامه به بررسی هر يك از موارد فوق خواهيم پرداخت .
ضعف فناوری
ضعف فناوری به مواردی همچون پروتكل ها ، سيستم های عامل و سخت افزار مرتبط می گردد . اغلب به صورت پيش فرض ، پروتكل ها ، سيستم های عامل و سخت افزار ايمن نمی باشند . آگاهی از اين ضعف ها به ما كمك خواهد كرد تا بتوانيم قبل از بروز تهاجم ، شبكه های خود را ايمن سازيم . در واقع ، ضعف در فناوری به عدم وجود شرايط مطلوب امنيتی در حوزه های سخت افزاری و نرم افزاری مربوط می گردد .
امروزه وجود ضعف در فناوری ها به يك چالش جدی برای متخصصان و كارشناسان فناوری اطلاعات تبديل شده است چراكه اكثر سخت افزارها و نرم افزارهای استفاده شده در يك سازمان قبل از حضور كارشناسان در سيستم نصب و به بهره برداری رسيده است و آنان با مسائلی روبرو خواهند بود كه شايد خود سهمی در ايجاد آنها نداشته اند .
ضعف در فناوری ها را می توان به سه گروه عمده تقسيم نمود :
- ضعف پروتكل TCP/IP : پروتكل TCP/IP دارای ضعف های امنيتی ذاتی مختص به خود است چراكه طراحی آن به عنوان يك استاندارد باز مد نظر بوده است تا بتواند به سادگی و سهولت بيشتر امكان مبادله اطلاعات در شبكه را فراهم نمايد . مهمترين دليل گسترش پروتكل TCP/IP ، تبعيت آن از يك استاندارد باز است . علی رغم اين كه می توان ويژگی فوق را از نگاه مثبت ارزيابی كرد ، ولی ماهيت استاندارد باز بودن پروتكل TCP/IP می تواند دليلی قانع كننده بر اين واقعيت باشد كه چرا حملات در شبكه های كامپيوتری تا به اين اندازه ساده انجام می گيرد و درصد بسيار زيادی از آنها نيز توام با موفقيت است. بپذيريم كه امروزه تعداد بسيار زيادی از افراد فعال در عرصه شبكه های كامپيوتری با نحوه كار اين پروتكل به خوبی آشنا می باشند . همين آشنائی می تواند دانش اوليه به منظور برنامه ريزی و تدارك حملات در شبكه های كامپيوتری را در اختيار مهاجمان نيز قرار دهد .
با اين كه برخی از مشكلات و ضعف های امنيتی پروتكل TCP/IP ماحصل ضعف در پياده سازی اين پروتكل در يك سيستم عامل خاص است كه می بايست شناسائی و با آنها برخورد شود ، ولی اين موضوع در جای خود نيز نگران كننده است كه پروتكل فوق می تواند خود به عنوان عاملی موثر در بروز مشكلات و ضعف های امنيتی مطرح و تاثيرگذار باشد. ايجاد ضعف در مواردی نظير حفاظت رمزعبور ، فقدان تائيديه مورد نياز ، پروتكل های روتينگ ( كه بر روی تمامی شبكه منتشر خواهند شد ) و حفره های فايروال ها ، نمونه هائی در اين رابطه می باشند .
SMTP ( برگرفته از Simple Mail Transfer Protocol ) و SNMP ( برگرفته از Simple Network Management Protocol ) ، دو نمونه از پروتكل های ذاتا" غيرايمن مجموعه پروتكل های TCP/IP می باشند .
وجود ضعف در پروتكل TCP/IP ، تاكنون عامل بروز حملات متعددی در شبكه های كامپيوتری بوده است . IP spoofing و man-in-the-middle دو نمونه متداول در اين زمينه می باشند . - ضعف سيستم عامل : با اين كه هر سيستم عاملی دارای ضعف های امنيتی مختص به خود است ، ولی عموميت و رواج يك سيستم عامل می تواند زمينه شناسائی و سوء استفاده از ضعف های امنيتی آن را تسريع نمايد . شايد به همين دليل باشد كه ضعف های ويندوز شركت مايكروسافت سريع تر از ساير سيستم های عامل بر همگان آشكار می شود چراكه اكثر كاربران بر روی كامپيوتر خود از يكی از نسخه های ويندوز اين شركت استفاده می نمايند . شايد بتوان گفت كه لينوكس و يا يونيكس نسبت به ويندوز دارای ضعف های امنيتی كمتری می باشند ولی سيستم های عامل فوق نيز دارای ضعف امنيتی مختص به خود می باشند كه به دليل عدم استفاده عام از آنها تاكنون كمتر شناسائی شده اند .
- ضعف تجهيزات شبكه ای : تمامی تجهيزات شبكه ای نظير سرويس دهندگان ، روترها ، سوئيچ ها و نظاير آن دارای برخی ضعف های امنيتی ذاتی می باشند . با تبعيت از يك سياست تعريف شده مناسب برای پيكربندی و نصب تجهيزات شبكه ای می توان بطرز كاملا" محسوسی آثار و تبعات اين نوع ضعف های امنيتی را كاهش داد . نصب و پيكربندی هر گونه تجهيزات شبكه ای می بايست مبتنی بر اصول و سياست های امنيتی تعريف شده باشد .
ضعف پيكربندی
ضعف در پيكربندی ، نقش عوامل انسانی در بروز مشكلات امنيتی را به خوبی نشان می دهد . مديران شبكه و ساير كارشناسانی كه مسئوليت نصب و پيكربندی تجهيزات شبكه ای و غير شبكه ای در يك سازمان را برعهده دارند ، می توانند باعث بروز ضعف در پيكربندی شوند . متاسفانه ، در اغلب موارد مديران شبكه تجهيزات شبكه ای را با پيكربندی پيش فرض استفاده می نمايند و اقدامات لازم در جهت ايمن سازی پارامترهای تاثيرگذار در اين رابطه نظير ايمن سازی account مدير شبكه را انجام نمی دهند .
عوامل متعددی باعث بروز ضعف در پيكربندی می شوند :
- استفاده غيرايمن از account كاربران : استفاده از account پيش فرض administrator بدون رمزعبور ، عدم كنترل و نظارت صحيح و مستمر بر روی شبكه بستر و شرايط لازم برای بروز مشكلات امنيتی و انجام حملات در يك شبكه كامپيوتری را فراهم می نمايد. در صورتی كه از يكی از نسخه های ويندوز سرويس دهنده استفاده می نمائيد ، می بايست account مربوط به administrator تغيير نام يابد . با انجام اين كار ، اين اطمينان اوليه ايجاد خواهد شد كه مهاجمان برای نفوذ به شبكه به زمان بيشتری جهت تشخيص account مدير شبكه نياز خواهند داشت .
همچنين می بايست بر اساس سياست های تعريف شده به هر يك از كاربران متناسب با نياز آنان ، مجوزهائی واگذار گردد و هرگز به آنان مجوزهائی بيش از آن چيزی كه برای انجام كار به آن نياز دارند ، واگذار نگردد .
بد نيست به اين نكته مهم نيز اشاره نمائيم كه اسامی و رمز عبور كاربران عموما" بطور غيرايمن در طول شبكه حركت می نمايد . مديران شبكه می بايست سياست های لازم در خصوص نحوه تعريف و حفاظت از رمز عبور را تدوين و آن را به كاربران شبكه آموزش دهند .
- استفاده از system account كه رمز عبور آنها به سادگی قابل تشخيص است :يكی ديگر از روش هائی كه می تواند مشكلات امنيتی در يك شبكه را به دنبال داشته باشد ، نسبت دادن رمزهای عبور به system account است كه امكان تشخيص آنها به سادگی وجود دارد . برای پيشگيری از بروز اين چنين مسائل امنيتی ، مديران شبكه می بايست سياست هائی را بر روی سرويس دهندگان در شبكه تعريف نمايند كه صرفا" اجازه تعريف انواع خاصی از رمزهای عبور را فراهم نمايد و هر رمز عبور دارای يك تاريخ اعتبار معتبر باشد تا پس از اتمام تاريخ مصرف ، امكان استفاده از آن وجود نداشته باشد .
در اين رابطه لازم است كه كاربران بطور شفاف نسبت به اين موضوع توجيه گردند كه نمی بايست از نام خود ، نام فرزند ، تاريخ تولد ، شماره شناسنامه و مواردی از اين قبيل به عنوان رمز عبور استفاده نمايند . به كاربران آموزش داده شود كه برای تعريف يك رمز عبور مناسب می بايست از تركيب حروف بزرگ ، كوچك و حروف ويژه استفاده نمايند. رعايت موارد فوق ، شبكه شما را در مقابل حملاتی نظير brute-force كه از فايل های ديكشنری برای حدس رمزهای عبور استفاده می نمايند ، مقاوم می نمايد .
- عدم پيكربندی صحيح سرويس های اينترنت : برخی سازمان ها همچنان از آدرس های IP واقعی برای آدرس دهی هاست ها و سرويس دهندگان موجود بر روی شبكه استفاده می نمايند . با استفاده از امكانات ارائه شده توسط NAT ( برگرفته از Network Address Translation ) و PAT ( برگرفته از Port Address Translation ) ، دليلی وجود ندارد كه از آدرس های IP واقعی استفاده گردد .
در مقابل ، شما می توانيد از آدرس های IP خصوصی استفاده نمائيد . بدين ترتيب ، سازمان ها می توانند از مجموعه ای از آدرس های IP كه بر روی اينترنت بلاك شده اند استفاده نمايند . رويكرد فوق ، باعث بهبود وضعيت امنيت در سازمان مورد نظر خواهد شد چراكه فقط آدرس IP واقعی بر روی روتر مرزی امكان روتينگ بر روی اينترنت را خواهد داشت .
- غيرايمن بودن تنظيمات پيش فرض در برخی محصولات : اين يك واقعيت انكار ناپذير است كه تعداد بسيار زيادی از محصولات بدون رمز عبور و يا رمزهای عبور ساده به بازار عرضه می گردند تا مديران شبكه بتوانند پيكربندی دستگاه را به سادگی انجام دهند . برخی دستگاه ها به صورت plug and play می باشند . مثلا" سوئيچ های سيسكو به صورت plug-and-play می باشند تا بتوان به سرعت آنها را جايگزين هاب در شبكه نمود.
به منظور افزايش امنيت ، می بايست بر روی سوئيچ يك رمز عبور مناسب را تعريف تا مهاجمان نتوانند به سادگی به آن دستيابی داشته باشند . شركت سيسكو به منظور افزايش امنيت در خصوص بكارگيری اين نوع تجهيزات شبكه ای تمهيدات خاصی را انديشيده است . به عنوان نمونه ، روترها و سوئيچ های سيسكو اجازه ايجاد يك telnet session را بدون انجام يك پيكربندی خاص login بر روی دستگاه نخواهند داد .
فرآيند نصب و پيكربندی هر دستگاه در شبكه می بايست تابع يك سياست امنيتی مدون باشد .
- عدم پيكربندی صحيح تجهيزات شبكه ای : عدم پيكربندی مناسب تجهيزات شبكه ای يكی ديگر از دلايل بروز مشكلات امنيتی است . رمزهای عبور ضعيف ، عدم وجود سياست های امنيتی و غير ايمن بودن account كاربران جملگی می توانند به عنوان بخشی از سياست های عدم پيكربندی مناسب تجهيزات شبكه ای در نظر گرفته شوند .
سخت افزار و پروتكل هائی كه بر روی تجهيزات شبكه ای اجراء می شوند ، می توانند حفره های امنيتی را در شبكه شما ايجاد نمايند . در صورت عدم وجود يك سياست مدون به منظور تشريح سخت افزار و پروتكل هائی كه می بايست بر روی هر يك از تجهيزات شبكه ای اجراء شوند ، مهاجمان قادر خواهند بود به شبكه شما نفوذ نمايند .
به عنوان مثال ، در صورتی كه شما از پروتكل SNMP ( برگرفته شده از Simple Network Management Protocol ) به همراه تنظيمات پيش فرض استفاده نمائيد ، حجم بالائی از اطلاعات مربوط به شبكه شما می تواند به سادگی و به سرعت رمزگشائی گردد . بنابراين ، می بايست در صورتی كه به پروتكل فوق نياز نمی باشد آن را غيرفعال و در صورت ضرورت استفاده از آن ، تنظيمات پيش فرض خصوصا" community strings را تغيير داد . رشته های فوق به منزله رمز عبوری برای جمع آوری و دريافت داده مربوط به SNMP می باشند .
ضعف سياست ها
سياست های امنيتی در يك شبكه، نحوه و زمان پياده سازی امنيت در شبكه را تشريح می نمايند . به عنوان نمونه ، در سياست های امنيتی تعريف شده می بايست اطلاعات لازم در خصوص نحوه پيكربندی ايمن دستگاه های شبكه ای دقيقا" مشخص گردد . عدم تدوين يك سياست امنيتی مدون می تواند زيرساخت فناوری اطلاعات و ارتباطات يك سازمان را با مشكلات امنيتی متعددی مواجه نمايد .بدين منظور می بايست بر روی محورهای مختلفی متمركز گرديد :
- عدم وجود يك سياست امنيتی مكتوب : در صورتی كه يك مدير شبكه ، و يا هر شخص ديگر ، نمی داند كه در ابتدای يك كار چه انتظاری از آن وجود دارد ، آنان صرفا" خود را با وضعيت موجود هماهنگ و يا بهتر بگوئيم همراه می نمايند . تفكر فوق هرج و مرج در شبكه را به دنبال داشته و آن را مستعد انواع حملات می نمايد . بدين منظور لازم است كه تدوين يك سياست امنيتی در دستور كار قرار گيرد . برای شروع می توان از كاربران و تبين وظايف آنان در زمان استفاده از زيرساخت فناوری اطلاعات و ارتباطات كار را آغاز نمود و به دنبال آن سياست امنيتی در خصوص رمزهای عبور و دستيابی به اينترنت را تدوين نمود . در ادامه می توان سياست های امنيتی در خصوص پيكربندی سخت افزار شبكه شامل تمامی دستگاه ها ( كامپيوترهای شخصی ، سرورها ،روترها و سوئيچ ها ) را تدوين نمود . اين موضوع صرفا" به پيكربندی ختم نمی شود و می بايست در اين رابطه سياست های امنيتی در خصوص حفاظت از آنها نيز تدوين گردد .
- سياست های سازمانی : سياست های سازمانی دارای يك نقش كليدی در هر يك از بخش های سازمان می باشند . ارتباط سياست های تعريف شده در يك سازمان با سياست های امنيتی در خصوص استفاده از زيرساخت فناوری اطلاعات و ارتباط می بايست به دقت مشخص گردد . در اين رابطه لازم است كه دقيقا" تعريف امنيت از منظر مديران ارشد سازمان مشخص شود . شايد برداشت يك مدير از امنيت و اهداف آن با برداشت يك مدير ديگر متفاوت باشد . بديهی است كه در مرحله نخست می بايست استراتژی و سياست های امنيتی سازمان كه متاثر از اهداف سازمان و نگرش مديران ( يك برداشت مشترك ) ، تدوين يابد .
- رها كردن مديريت امنيت شبكه به حال خود : ايجاد يك سياست امنيتی قابل قبول در سازمان كه شامل مانيتورينگ و بررسی امنيت شبكه نيز می باشد كار مشكلی بنظر می آيد . بسياری از افراد بر اين باور هستند كه همه چيز در حال حاضر خوب كار می كند و ضرورتی ندارد كه ما درگير پياده سازی سيستمی برای مانيتورينگ و مميزی شويم . در صورت عدم مانيتورينگ و مميزی منابع سازمان ممكن است استفاده از منابع موجود چالش های خاص خود را به دنبال داشته باشد . وجود ضعف در مديريت امنيت ممكن است يك سازمان را با مسائل مختلفی نظير برخوردهای قانونی مواجه نمايد ( افشاء اطلاعات حساس مشتريان در يك سازمان كه به دليل ضعف در مديريت امنيت ايجاد شده است ) .
مديران شبكه می بايست بر اساس سياست های امنيتی تعريف شده بطور مستمر و با دقت وضعيت شبكه را مانيتور كرده تا بتوانند قبل از بروز فاجعه در مرحله اول با آن برخورد و يا ضايعات آن را به حداقل مقدار ممكن برسانند .
- نصب و انجام تغييرات مغاير با سياست های تعريف شده . نصب هرگونه نرم افزار و يا سخت افزار می بايست تابع سياست های تعريف شده باشد . نظارت بر هر گونه نصب ( سخت افزار و يا نرم افزار ) و انطباق آن با رويه های تعريف شده در سياست امنيتی از جمله عمليات مهم به منظور ايمن سازی و ايمن نگاهداشتن زيرساخت فناوری اطلاعات و ارتباطات است . نصب هر گونه تجهيزات سخت افزاری و نرم افزاری تائيد نشده ، عدم پيكربندی مناسب تجهيزات نصب شده منطبق بر سياست های امنيتی و در مجموع انجام هر گونه تغييرات غيرمجاز می تواند به سرعت حفره هائی امنيتی را در شبكه شما ايجاد نمايد .
- عدم وجود برنامه ای مدون جهت برخورد با حوادث غيرمترقبه: شايد شما نيز از جمله افرادی باشيد كه فكر می كنيد همواره حادثه برای ديگران اتفاق می افتد. بپذيريم كه حوادث چه بخواهيم و چه نخواهيم اتفاق خواهند افتاد و ما نيز می توانيم هدف اين حوادث باشيم . زمين لرزه ، آتش سوزی ، خرابكاری ، خرابی سخت افزار نمونه هائی در اين زمينه می باشند . بدين منظور لازم است كه هر سازمان دارای يك سياست امنيتی مشخص به منظور پيشگيری و مقابله با حوادث باشد . در صورتی كه با اين موضوع در زمان خاص خود برخورد نگردد ، پس از بروز حادثه مديريت آن غيرممكن و يا بسيار مشكل خواهد بود .
- نویسنده : یزد فردا
- منبع خبر : خبرگزاری فردا
دوشنبه 23,دسامبر,2024