امنیت شبکه های کامپیوتری
1- اهمینت امنیت شبکه
ایمن سازی شبکه های کامپیوتری از جمله مولفه های تاثیر گذار در تداوم ارائه خدمات توسط فناوری اطلاعات و ارتباطات می باشد که نمی توان آن را مختص یک فرد و یا سازمان در نظر گرفت (به جهت اشتراک گذاری اطلاعات کاربران).
بعنوان مثال امروزه میلیون ها شهروند از شبکهها برای امور بانکی و مالیاتی استفاده میکنند. در نتیجه، امنیت شبکه از اهمیت خاصی برخوردار میگردد.
پرداختن به مقوله امنیت اطلاعات و ایمن سازی شبکه های کامپیوتری در هر کشور، مستلزم توجه تمامی کاربران صرفنظر از موقعیت شغلی و سنی به جایگاه امنیت اطلاعات و ایمن سازی شبکه های کامپیوتری بوده و می بایست به این مقوله در سطح کلان و از بعد منافع ملی نگاه کرد.
امنیت
شبکه بدنبال تدبیر و پیشبینی لازم جهت کاهش درصد ریسک خطر در این حوزه بوده و برای
مقابله با خطر، طرح و برنامه مدون و شفافی را جهت پیشگیری، مواجهه، پاکسازی، ترمیم و بهینه سازی
ارائه می دهد.
2- منابع آسیب پذیر در شبکه
- تجهیزات شبکه: مانند روترها، سوئیچ ها و فایروال ها
- اطلاعات عملیات شبکه: مانند جداول مسیریابی و پیکربندی لیست دسترسی که بر روی روتر ذخیره شده اند.
- منابع نامحسوس شبکه: مانند پهنای باند و سرعت
- اطلاعات ومنابع اطلاعاتی متصل به شبکه: مانند پایگاه های داده و سرورهای اطلاعاتی
- ترمینال ها: برای استفاده از منابع مختلف به شبکه متصل می شوند.
- اطلاعات در حال تبادل بر روی شبکه: در هر لحظه از زمان و اطلاعات خصوصی عملیات کاربران، جهت جلوگیری از شناسایی ایشان.
- تجهیزات شبکه: مانند روترها، سوئیچ ها و فایروال ها
- اطلاعات عملیات شبکه: مانند جداول مسیریابی و پیکربندی لیست دسترسی که بر روی روتر ذخیره شده اند.
- منابع نامحسوس شبکه: مانند پهنای باند و سرعت
- اطلاعات ومنابع اطلاعاتی متصل به شبکه: مانند پایگاه های داده و سرورهای اطلاعاتی
- ترمینال ها: برای استفاده از منابع مختلف به شبکه متصل می شوند.
- اطلاعات در حال تبادل بر روی شبکه: در هر لحظه از زمان و اطلاعات خصوصی عملیات کاربران، جهت جلوگیری از شناسایی ایشان.
3- دلایل دشواری برقراری امنیت در شبکه
پیچیدگی
با آنکه اصول پایه امنیت شبکه به ساده به نظر میرسند اما پیاده سازی آنها در فضای دیجیتال مشکل است.
برای درک بهتر، شما ایمن سازی یک سند کاغذی را با ایمن سازی یک سند الکترونیکی مقایسه نمائید.
در ایمن سازی سند کاغذی، فقط حفاظت فیزیکی از محل نگهداری آن سند مطرح است که با این کار، دیگر دسترسی و کپی برداری به آن مشکل می شود.
در حالیکه وقتی یک سند به صورت الکترونیکی در بستر شبکه قرار می گیرد، مسائل مراقبت و نگهداری از آن سند بسیار پیچیده تر خواهد شد.
ابعاد متفاوت
شبکه های کامپیوتری دارای ابعاد و زوایای مسائل گوناگون و متنوعی می باشند.
برای مثال گره های یک شبکه از لحاظ میزان مصرف انرژی، میزان حافظه، قدرت پردازشگر دارای محدودیت های زیادی هستند.
عدم بررسی از زوایای مختلف
مکانیزم های امنیتی فقط از یک یا چند دیدگاه می توانند مسئله را در نظر بگیرند و قادر به سنجیدن تمامی جوانب نیستند.
مثلا برخی از مکانیزم ها فقط قابلیت شناسایی بعضی از حملات را دارند و اگر حمله جدید به آن ها وارد شود قادر به شناسایی آن نیستند.
بنابراین خرابکاران می توانند با تغییر زاویه دید نسبت به مسئله، مکانیزم های تعریف شده را به راحتی دور بزنند و آن ها را شکست دهند.
محل مناسب
انتخاب محل اعمال مکانیزم امنیتی یکی دیگری از مسائل دشوار در امنیت شبکه می باشد.
یعنی باید بدانیم کدام گره یا گره ها درشبکه (مثل سرورها و مسیریاب ها) مسئول اجرای مکانیزم امنیتی می باشند.
با توجه به نقاط قوت و ضعف مکانیزم های امنیتی، انتخاب گزینه مناسب با درنظر گرفتن شرایط دشوار می گردد.
پروتکل امنیتی مناسب
گوناگونی مکانیزم های امنیتی و پروتکل های ارتباطی موجب شده است تا بسیاری از مسائل در تعاملات مشخص گردند.
مثلا طول بسته در پروتکل TCP معادل 64K یا 65535 بایت می باشد.
بنابراین مکانیزمی که با بسته هایی با طول 100K کار می کند، برای این پروتکل مناسب نیست.
5- پایه های سه گانه امنیت شبکه در راستای برقراری امنیت اطلاعات
بطورکلی در شبکه می توان امنیت را در سه سطح اعمال نمود:
– تجهیزات و ارتباطات (Physical & Communication)
– عملیاتی (Operational)
– مدیریتی (Management)
هر یک از این سه سطح بعنوان پایه های تأمین امنیت شبکه، جایگاه خاص خود را دارد.
بطوریکه با اختلال در هر یک از آن ها، امنیت کل در معرض خطر قرار خواهد گرفت.
5.1- تجهیزات و ارتباطات (Physical & Communication)
امنیت شبکه از لحاظ فیزیکی، محافظت از مواردی همچون کامپیوتر، دستگاه های فعال و غیرفعال شبکه، اتاق سرور و نیز تجهیزات امنیتی (قفل، کنترل از راه دور، سنسور، هشدار، خنک کننده، اطفای حریق و غیره ) را شامل می شود.
از جمله افرادی که میتوانند آسیب هایی را در شبکه ایجاد نمایند عبارتند از نیروهای خدمات فنی، نیروهای خدماتی مانند دربان و سرایدار، مشتری، کارمندان داخلی اشاره نمود.
این افراد میتوانند به تجهیزات دستبرد بزنند و یا آن ها را تخریب نمایند. اسناد را از سازمان بردارند، در میان سطل زباله بدنبال ورق پاره ها بگردند و یا به قفسه های بایگانی دستبرد بزنند.
1- محافظت از ساختمان، تجهیزات و اسناد و مدارک فیزیکی شبکه:
- محافظت از اتاق سرور برای جلوگیری از ستبرد
- نصب سیستم های نظارتی و هشدار دهنده برای نظارت بر تردها
- استفاده از کلیدهای رمزی برای اتاق هایی که تجهیزات مهمی در خود دارند
- دستگاه خرد کن کاغذ برای کاغذهای باطله
2- کشف و شناسایی
- تشخیصص نفوذ و سرقت با استفاده از تصاویر ضبط شده
- تشخیص خطا و چگونگی رخ داد آن
3- اصلاح و ترمیم
- ترمیم خرابیهای ناشی از سرقت و از بین رفتن اطلاعات
- ترمیم خسارات وارد شده به سیستمها و بازگشت به حالت عادی
- حفاظت در حین انتقال اطلاعات بین سیستم ها
- ارائه ی پهنای باند تضمین شده برای کاربران داخلی و خارجی
- محدوه های فرکانسی تحت کنترل و حمایت قانونی داخل و خارج از کشور
- رمزنگاری و رمزگشایی سیگنال های مخابراتی فارق از نوع اطلاعات در حال انتقال
- اعمال مدیریت مرکزی بر روی ارتباطات سیمی، بیسیم و ماهواره ای
- ارتباطات ماهواره ای با استفاده ی از ماهواره ی خودی یا استفاده ی از ارتباط ماهواره ای پشتیبان بر روی ماهواره های مربوط به دو رقیب
5.2- عملیاتی (Operational)
در برقراری امنیت شبکه از بعد عملیاتی، به جای تمرکز بر روی عناصر و مولفه های فیزیکی مربوط به ذخیره داده، روی توپولوژی شبکه تمرکز میشود.
این عرصه شامل کامپیوترها، شبکه ها و سیستمهای ارتباطی جهت مدیریت امن اطلاعات میشود.
متاسفانه اغلب سیستمهای کاری تعریف شده در این حوزه یا آسیبپذیرند یا ضعیفاند و دارای سیاست کاری، دستورالعمل امنیتی مناسب و پشتوانه کافی جهت اجرا نمی باشند.
بعنوان مثال اگر بخواهیم سیاست کاملی را برای انقضای مدت اعتبار رمز عبور، پیاده سازی و اجرا کنیم، باید بتوانیم کاربران را مجبور به تغییر رمز عبور خود در سر وقت معینی (مثلا 30 روز بعد) نمائیم.
حال اگر سیستم ما از لحاظ فنی قادر به ملزم کردن کاربر جهت تغییر رمز عبور نباشد و از برنامهای غیراستاندارد استفاده میکند، پس از فرا رسیدن زمان انقضاء، کاربر ما به جای تغییر رمز عبور، همان رمز عبور قبلی را به طور مجدد وارد میکند.
این مسئله که ما بعنوان مدیر شبکه نتوانسته ایم کاربر را از ادامه استفاده از رمز قبلی (رمزی که ممکن است لو رفته و توسط افراد غیرمجاز مورد سوءاستفاده قرار بگیرد) باز داریم خود نوعی آسیب پذیری در سیستم است.
چنین مشکلاتی از آنجا ناشی میشوند که اکثر شرکتها برای این که هزینه بیشتری برای خرید نرم افزارهای مناسب نپردازند به الزامات بعد از انجام آن توجهی ندارند.
چه بسا بعدها متوجه شوند که اجرای بسته نرم افزاری مورد نظرشان مستلزم انجام یکسری کارهایی است که باید ابتدا آن ها را انجام دهند.
مثلا استفاده از آن نرم افزار مقتضی به کارگیری سیستم عامل خاصی باشد.
حال اگر آن سیستم عامل مشکل امنیتی قابل توجهی داشته باشد، تمام زحمات و هزینه ها بر باد خواهد رفت و کل سیستم کاری مجموعه با نتایج وخیم این کار روبرو خواهد شد.
5.2.1- فرآیند های لازم جهت تامین امنیت شبکه در سطح عملیاتی
- نصب و پیکربندی کامل نرم افزارهای مورد نیاز
- استفاده از نرم افزارهای اوریجینال، تهیه شده ازمنابع معتبر
- نصب و پیکربندی نرم افزارهای توزیع کننده امکانات و تعیین کننده سطوح دسترسی
- نصب و پیکربندی نرم افزارهای مانیتورینگ و ثبت کننده دقیق رویدادها
- نصب و پیکربندی نرم افزارهای پشتیبانگیری و بازیابی اطلاعات
- نصب و پیکربندی نرم افزارهای پروکسی، فایروال، فیلترینگ، آنتی ویروسها و بروزرسانی مرتب آنها و دیگر برنامه های کنترل، نظارت وپیشگیری
- تهیه نسخه های پشتیبان منظم و نگهداری آن ها در محلی غیر از سرور مربوطه
- تأیید هویت و اعتبارسنجی جهت ورود به شبکه
- کنترل و سطوح دسترسی به منابع شبکه
- به حداقل رساندن دسترسی کاربران به منابع و تعیین نحوه دسترسی
- تعریف و شف افسازی نحوه تعامل کاربران در محیط شبکه به منظور رعایت خطوط قرمز و الزامات کاری (آیین نامه کار در محیط شبکه)
- تهیه فهرست کاملی از سیستم عامل ها و نرم افزارهای نصب شده با ذکر مشخصات آنها
- نظارت مستمر، بازبینی و بررسی رویدادها ونظارت و توجه خاص نسبت به افراد مشکل آفرین و اعمال کنترل و هشدارهای لازم در موارد مقتضی و در صورت لزوم معرفی به مسئول مرتبط
- تهیه نقشه جامع شبکه و نحوه ی چینش و سازماندهی آن
- تهیه ی گزارشات، مقایسه و تطبیق وقایع و گزارشها
- استفاده از ماژولهای امنیتی خاص سخت افزاری
- عدم اجازه خودسرانه نصب نرم افزار توسط کاربران
- عدم امکان تماس تلفنی کاربران عادی از طریق شبکه داخلی با بیرون از شبکه و از بیرون با شبکه داخلی
- عدم نصب و اجرای فیلترشکن و استفاده از VPNها در محیط کاری شبکه
5.3- امنیت شبکه مدیریتی (Management)
در این حوزه، برنامه ها و دستورالعمل های صریح و شفاف همراه با جزییات مدیریتی کلان سازمانی و مدیریت شبکه، با درنظر گرفتن سیاستهای سازمان و اهداف و مأموریتهای ابلاغ شده، تدوین می گردند.
تدابیر اتخاذ شده در این حوزه تأثیر عمده ای بر روی روحیه ی اعضا، نحوه ی همکاری ها و نیز عملکرد آن ها در تمامی بخشهای سازمان خواهد داشت و باید مورد عنایت و توجه خاص سازمان قرار گیرد.
مثلا اعضای پشتیبای سیستم باید به اطلاعات دیتابیس اصلی دسترسی داشته باشند و جلوگیری از دسترسی آن ها موجبات ناراحتی افراد را فراهم می کند.
5.3.1- انواع سیاستهای مدیریتی جهت تامین امنیت شبکه
سیاست های طراحی نرم افزار
ایجاد آیین نامه برای تهیه و خریداری نرم افزار های جدید مثل مقایسه کامل نرم افزارها قبل از خرید
سیاست های طرحها و تدابیر بازیابی ویژه بحران
تعیین تدابیری در زمان رویداد خطا مثلا اگر هنگام پرداخت اینترنتی درگاه خطا داد، به طور خودکار کاربر را به درگاه دیگری هدایت کنیم.
سیاستهای اطلاعاتی
تعیین روش برای اندازه گیری میزان امنیتی بودن اطلاعات و اسناد مثلا به چه فرمولی تشخیص دهیم که یک سند جدید از لحاظ امنیتی چه درجه ای دارد.
سیاست های امنیتی
سیاست های امنیتی باید نحوه ی نصب و پیکربندی سیستم و شبکه را در موارد نرمافزار، سختافزار، ارتباطات شبکه و اتاق کامپیوتر و سرور مشخص نمایند.
این سیاست ها همچنین باید به خوبی نحوه ی احراز هویت و تأیید کاربر و سطح دسترسی قانونی او را به شبکه و منابع آن نیز تعیین کنند.
سیاستهای کاربردی
در سیاست های کاربردی، چگونگی استفاده از منابع سازمانی و نیز هدف استفاده ی از آن ها برای کاربران مشخص می شود.
سیاستهای مدیریت کاربران
سیاستهای مدیریت کاربران، ناظر به فعالیت های تعریف شده برای کارمندان و کارکنان سازمان می باشد.
مثلا کارمندان هر بخش باید دارای چه مدرک تحصیلی و تخصص هایی باشند یا باید چه آموزش هایی را ببینند.