5 / 5. 3

فهرست مطالب

فهرست مطالب

امنیت شبکه های کامپیوتری

1- اهمینت امنیت شبکه

ایمن سازی شبکه های کامپیوتری از جمله مولفه های تاثیر گذار در تداوم ارائه خدمات توسط فناوری اطلاعات و ارتباطات می باشد که نمی توان آن را مختص یک فرد و یا سازمان در نظر گرفت (به جهت اشتراک گذاری اطلاعات کاربران).

 بعنوان مثال امروزه میلیون ها شهروند از شبکه‌ها برای امور بانکی و مالیاتی استفاده می‌کنند. در نتیجه، امنیت شبکه از اهمیت خاصی برخوردار میگردد.

 پرداختن به مقوله امنیت اطلاعات و ایمن سازی شبکه های کامپیوتری در هر کشور، مستلزم توجه تمامی کاربران صرفنظر از موقعیت شغلی و سنی به جایگاه امنیت اطلاعات و ایمن سازی شبکه های کامپیوتری بوده و می بایست به این مقوله در سطح کلان و از بعد منافع ملی نگاه کرد.

امنیت شبکه بدنبال تدبیر و پیش­بینی لازم جهت کاهش درصد ریسک خطر در این حوزه بوده و برای مقابله با خطر، طرح و برنامه مدون و شفافی را جهت پیشگیری، مواجهه، پاک­سازی، ترمیم و بهینه­ سازی ارائه می دهد.

2- منابع آسیب پذیر در شبکه

  • تجهیزات شبکه: مانند روترها، سوئیچ ها و فایروال ها
  • اطلاعات عملیات شبکه: مانند جداول مسیریابی و پیکربندی لیست دسترسی که بر روی روتر ذخیره شده اند.
  • منابع نامحسوس شبکه: مانند پهنای باند و سرعت
  • اطلاعات ومنابع اطلاعاتی متصل به شبکه: مانند پایگاه های داده و سرورهای اطلاعاتی
  • ترمینال ها: برای استفاده از منابع مختلف به شبکه متصل می شوند.
  • اطلاعات در حال تبادل بر روی شبکه: در هر لحظه از زمان و اطلاعات خصوصی عملیات کاربران، جهت جلوگیری از شناسایی ایشان.
  • تجهیزات شبکه: مانند روترها، سوئیچ ها و فایروال ها
  • اطلاعات عملیات شبکه: مانند جداول مسیریابی و پیکربندی لیست دسترسی که بر روی روتر ذخیره شده اند.
  • منابع نامحسوس شبکه: مانند پهنای باند و سرعت
  • اطلاعات ومنابع اطلاعاتی متصل به شبکه: مانند پایگاه های داده و سرورهای اطلاعاتی
  • ترمینال ها: برای استفاده از منابع مختلف به شبکه متصل می شوند.
  • اطلاعات در حال تبادل بر روی شبکه: در هر لحظه از زمان و اطلاعات خصوصی عملیات کاربران، جهت جلوگیری از شناسایی ایشان.

3- دلایل دشواری برقراری امنیت در شبکه

پیچیدگی

با آنکه اصول پایه امنیت شبکه به ساده به نظر میرسند اما پیاده سازی آنها در فضای دیجیتال مشکل است. 

برای درک بهتر، شما ایمن سازی یک سند کاغذی را با ایمن سازی یک سند الکترونیکی مقایسه نمائید. 

در ایمن سازی سند کاغذی، فقط حفاظت فیزیکی از محل نگهداری آن سند مطرح است که با این کار، دیگر دسترسی و کپی برداری به آن مشکل می شود. 

در حالیکه وقتی یک سند به صورت الکترونیکی در بستر شبکه قرار می گیرد، مسائل مراقبت و نگهداری از آن سند بسیار پیچیده تر خواهد شد.

ابعاد متفاوت

شبکه های کامپیوتری دارای ابعاد و زوایای مسائل گوناگون و متنوعی می باشند.

برای مثال گره های یک شبکه از لحاظ میزان مصرف انرژی، میزان حافظه، قدرت پردازشگر دارای محدودیت های زیادی هستند.

عدم بررسی از زوایای مختلف

مکانیزم های امنیتی فقط از یک یا چند دیدگاه می توانند مسئله را در نظر بگیرند و قادر به سنجیدن  تمامی جوانب نیستند.

مثلا برخی از مکانیزم ها فقط قابلیت شناسایی بعضی از حملات را دارند و اگر حمله جدید به آن ها وارد شود قادر به شناسایی آن نیستند.

بنابراین خرابکاران می توانند با تغییر زاویه دید نسبت به مسئله، مکانیزم های تعریف شده را به راحتی دور بزنند و آن ها را شکست دهند.

محل مناسب

انتخاب محل اعمال مکانیزم امنیتی یکی دیگری از مسائل دشوار در امنیت شبکه می باشد.

یعنی باید بدانیم کدام گره یا گره ها درشبکه (مثل سرورها و مسیریاب ها) مسئول اجرای مکانیزم امنیتی می باشند.

با توجه به نقاط قوت و ضعف مکانیزم های امنیتی، انتخاب گزینه مناسب با درنظر گرفتن شرایط دشوار می گردد.

پروتکل امنیتی مناسب

گوناگونی مکانیزم های امنیتی و پروتکل های ارتباطی موجب شده است تا بسیاری از مسائل در تعاملات مشخص گردند. 

مثلا طول بسته در پروتکل TCP معادل 64K یا 65535 بایت می باشد. 

بنابراین مکانیزمی که با بسته هایی با طول 100K کار می کند، برای این پروتکل مناسب نیست.

5- پایه ­های سه گانه امنیت شبکه در راستای برقراری امنیت اطلاعات

بطورکلی در شبکه می توان امنیت را در سه سطح اعمال نمود:

–  تجهیزات و ارتباطات (Physical & Communication)

–  عملیاتی (Operational)

–  مدیریتی (Management)

هر یک از این سه سطح بعنوان پایه­ های تأمین امنیت شبکه، جایگاه خاص خود را دارد.

 بطوریکه با اختلال در هر یک از آن ها، امنیت کل در معرض خطر قرار خواهد گرفت.

5.1- تجهیزات و ارتباطات (Physical & Communication)

امنیت شبکه از لحاظ فیزیکی، محافظت از مواردی همچون کامپیوتر، دستگاه های فعال و غیرفعال شبکه، اتاق سرور و نیز تجهیزات امنیتی (قفل، کنترل از راه دور، سنسور، هشدار، خنک ­کننده، اطفای حریق و غیره ) را شامل می شود.

از جمله افرادی که می­توانند آسیب هایی را در شبکه ایجاد نمایند عبارتند از نیروهای خدمات فنی، نیروهای خدماتی مانند دربان و سرایدار، مشتری، کارمندان داخلی اشاره نمود.

این افراد می­توانند به تجهیزات دستبرد بزنند و یا آن ها را تخریب نمایند. اسناد را از سازمان بردارند، در میان سطل زباله بدنبال ورق پاره ­ها بگردند و یا به قفسه های بایگانی دستبرد بزنند.

5.1.1- فرآیند های امنیت شبکه از بعد تجهیزات

1- محافظت از ساختمان، تجهیزات و اسناد و مدارک فیزیکی شبکه:

  • محافظت از اتاق سرور برای جلوگیری از ستبرد
  • نصب سیستم های نظارتی و هشدار دهنده برای نظارت بر تردها
  • استفاده از کلیدهای رمزی برای اتاق هایی که تجهیزات مهمی در خود دارند
  • دستگاه خرد کن کاغذ برای کاغذهای باطله

 

2- کشف و شناسایی

  • تشخیصص نفوذ و سرقت با استفاده از تصاویر ضبط شده
  • تشخیص خطا و چگونگی رخ داد آن

 

3- اصلاح و ترمیم

  • ترمیم خرابی­های ناشی از سرقت و از بین رفتن اطلاعات
  • ترمیم خسارات وارد شده به سیستم­ها و بازگشت به حالت عادی

 

5.1.2- فرآیند های امنیت شبکه از بعد ارتباطات

  • حفاظت در حین انتقال اطلاعات بین سیستم ها
  • ارائه ی پهنای باند تضمین شده برای کاربران داخلی و خارجی
  • محدوه های فرکانسی تحت کنترل و حمایت قانونی داخل و خارج از کشور
  • رمزنگاری و رمزگشایی سیگنال های مخابراتی فارق از نوع اطلاعات در حال انتقال
  • اعمال مدیریت مرکزی بر روی ارتباطات سیمی، بیسیم و ماهواره ای
  • ارتباطات ماهواره ای با استفاده ی از ماهواره ی خودی یا استفاده ی از ارتباط ماهواره ای پشتیبان بر روی ماهواره های مربوط به دو رقیب

5.2- عملیاتی (Operational)

در برقراری امنیت شبکه از بعد عملیاتی، به جای تمرکز بر روی عناصر و مولفه های فیزیکی مربوط به ذخیره داده، روی توپولوژی شبکه تمرکز می­شود. 

این عرصه شامل کامپیوترها، شبکه ­ها و سیستم­های ارتباطی جهت مدیریت امن اطلاعات می­شود.

متاسفانه  اغلب سیستم­های کاری تعریف شده در این حوزه یا آسیب­پذیرند یا ضعیف­اند و دارای سیاست کاری، دستورالعمل امنیتی مناسب و پشتوانه کافی جهت اجرا نمی باشند.

بعنوان مثال اگر بخواهیم سیاست کاملی را برای انقضای مدت اعتبار رمز عبور، پیاده­ سازی و اجرا کنیم، باید بتوانیم کاربران را مجبور به تغییر رمز عبور خود در سر وقت معینی (مثلا 30 روز بعد) نمائیم. 

حال اگر سیستم ما از لحاظ فنی قادر به ملزم کردن کاربر جهت تغییر رمز عبور نباشد و از برنامه‌ای غیراستاندارد استفاده می­کند، پس از فرا رسیدن زمان انقضاء، کاربر ما به جای تغییر رمز عبور، همان رمز عبور قبلی را به طور مجدد وارد می­کند.

 این مسئله که ما بعنوان مدیر شبکه نتوانسته ایم کاربر را از ادامه استفاده از رمز قبلی (رمزی که ممکن است لو رفته و توسط افراد غیرمجاز مورد سوء­استفاده قرار بگیرد) باز داریم خود نوعی آسیب­ پذیری در سیستم است. 

چنین مشکلاتی از آن­جا ناشی می­شوند که اکثر شرکت­ها برای این که هزینه بیش­تری برای خرید نرم افزارهای مناسب نپردازند به الزامات بعد از انجام آن توجهی ندارند. 

چه بسا بعدها متوجه شوند که اجرای بسته نرم ­افزاری مورد نظرشان مستلزم انجام یکسری کارهایی است که باید ابتدا آن ها را انجام دهند.

مثلا استفاده از آن نرم ­افزار مقتضی به کارگیری سیستم ­عامل خاصی باشد. 

حال اگر آن سیستم­ عامل مشکل امنیتی قابل توجهی داشته باشد، تمام زحمات و هزینه­ ها بر باد خواهد رفت و کل سیستم کاری مجموعه با نتایج وخیم این کار روبرو خواهد شد.

5.2.1- فرآیند های لازم جهت تامین امنیت شبکه در سطح عملیاتی

  • نصب و پیکربندی کامل نرم ­افزارهای مورد نیاز
  • استفاده از نرم ­افزارهای اوریجینال، تهیه شده ازمنابع معتبر
  • نصب و پیکربندی نرم ­افزارهای توزیع­ کننده امکانات و تعیین ­کننده سطوح دسترسی
  • نصب و پیکربندی نرم­ افزارهای مانیتورینگ و ثبت­ کننده دقیق رویدادها
  • نصب و پیکربندی نرم­ افزارهای پشتیبان­گیری  و بازیابی اطلاعات
  • نصب و پیکربندی نرم­ افزارهای پروکسی، فایروال، فیلترینگ، آنتی­ ویروس­ها و بروزرسانی مرتب آنها و دیگر برنامه­ های کنترل، نظارت وپیشگیری
  • تهیه نسخه­ های پشتیبان منظم و نگهداری آن ها در محلی غیر از سرور مربوطه
  • تأیید هویت و اعتبارسنجی جهت ورود به شبکه
  • کنترل و سطوح دسترسی به منابع شبکه
  • به حداقل رساندن دسترسی کاربران به منابع و تعیین نحوه دسترسی
  • تعریف و شف اف­سازی نحوه تعامل کاربران در محیط شبکه به منظور رعایت خطوط قرمز و الزامات کاری (آیین­ نامه کار در محیط شبکه)
  • تهیه فهرست کاملی از سیستم­ ­عامل ها و نرم­ افزارهای نصب شده با ذکر مشخصات آنها
  • نظارت مستمر، بازبینی و بررسی رویدادها ونظارت و توجه خاص نسبت به افراد مشکل آفرین و اعمال کنترل و هشدارهای لازم در موارد مقتضی و در صورت لزوم معرفی به مسئول مرتبط
  • تهیه نقشه جامع شبکه و نحوه ی چینش و سازماندهی آن
  • تهیه ی گزارشات، مقایسه و تطبیق وقایع و گزارش­ها
  • استفاده از ماژول­های امنیتی خاص سخت ­افزاری
  • عدم اجازه خودسرانه نصب نرم­ افزار توسط کاربران
  • عدم امکان تماس تلفنی کاربران عادی از طریق شبکه داخلی با بیرون از شبکه و از بیرون با شبکه داخلی
  • عدم نصب و اجرای فیلترشکن و استفاده از VPNها در محیط کاری شبکه

5.3- امنیت شبکه مدیریتی (Management)

در این حوزه، برنامه ها و دستورالعمل های صریح و شفاف همراه با جزییات مدیریتی کلان سازمانی و مدیریت شبکه، با درنظر گرفتن سیاست­های سازمان و اهداف و مأموریت­های ابلاغ شده، تدوین می گردند.

تدابیر اتخاذ شده در این حوزه تأثیر عمده­ ای بر روی روحیه ی اعضا، نحوه ی همکاری­ ها و نیز عملکرد آن ها در تمامی بخش­های سازمان خواهد داشت و باید مورد عنایت و توجه خاص سازمان قرار گیرد.

مثلا اعضای پشتیبای سیستم باید به اطلاعات دیتابیس اصلی دسترسی داشته باشند و جلوگیری از دسترسی آن ها موجبات ناراحتی افراد را فراهم می کند.

5.3.1- انواع سیاست­های مدیریتی جهت تامین امنیت شبکه

سیاست های طراحی نرم افزار

ایجاد آیین نامه برای تهیه و خریداری نرم افزار های جدید مثل مقایسه کامل نرم افزارها قبل از خرید

سیاست های طرح­ها و تدابیر بازیابی ویژه بحران

تعیین تدابیری در زمان رویداد خطا مثلا اگر هنگام پرداخت اینترنتی درگاه خطا داد، به طور خودکار کاربر را به درگاه دیگری هدایت کنیم.

سیاست­های اطلاعاتی

تعیین روش برای اندازه گیری میزان امنیتی بودن اطلاعات و اسناد مثلا به چه فرمولی تشخیص دهیم که یک سند جدید از لحاظ امنیتی چه درجه ای دارد.

سیاست های امنیتی

سیاست­ های امنیتی باید نحوه ی نصب و پیکر­بندی سیستم و شبکه را در موارد نرم­افزار، سخت­افزار، ارتباطات شبکه و اتاق کامپیوتر و سرور مشخص نمایند.

این سیاست ها همچنین باید به خوبی نحوه ی احراز هویت و تأیید کاربر و سطح دسترسی قانونی او را به شبکه و منابع آن نیز تعیین کنند.

سیاست­های کاربردی

در سیاست های کاربردی، چگونگی استفاده از منابع سازمانی و نیز هدف استفاده ی از آن ها برای کاربران مشخص می شود.

سیاست­های مدیریت کاربران

سیاست­های مدیریت کاربران، ناظر به فعالیت ­های تعریف شده برای کارمندان و کارکنان سازمان می باشد.

مثلا کارمندان هر بخش باید دارای چه مدرک تحصیلی و تخصص هایی باشند یا باید چه آموزش هایی را ببینند.