امنیت داده ها و طرح امنیتی

1- مقدمه

اينترنت يك شبكة عظيم اطلاع‌رساني و يك بانك وسيع اطلاعاتي است كه در آينده نزديك دسترسي به آن براي تك‌تك افراد ممكن خواهد شد. كارشناسان ارتباطات، بهره‌گيري از اين شبكه را يك ضرورت در عصر اطلاعات مي‌دانند.

حمايت از جريان آزاد اطلاعات، گسترش روزافزون فنآوري اطلاعات و بسترسازي براي اتصال به شبكه‌هاي اطلاع‌رساني شعار دولتهاست. اين در حالي است كه گستردگي و تنوع اطلاعات آلوده روي اينترنت، موجب بروز نگراني در بين كشورهاي مختلف شده است. انتشار تصاوير مستهجن، ايجاد پايگاههايي با مضامين پورنوگرافي و سايتهاي سوءاستفاده از كودكان و انواع قاچاق در كشورهاي پيشرفته صنعتي بخصوص در خاستگاه اين شبكة جهاني يعني آمريكا، كارشناسان اجتماعي را بشدت نگران كرده، به گونه‌اي كه هيأت حاكمه را مجبور به تصويب قوانيني مبني بر كنترل اين شبكه در سطح آمريكا نموده است. هشدار، جريمه و بازداشت براي برپاكنندگان پايگاههاي مخرب و فسادانگيز تدابيري است كه كشورهاي مختلف جهان براي مقابله با آثار سوء اينترنت اتخاذ كرده‌اند.

ترس و بيم از تخريب مباني اخلاقي و اجتماعي، ناشي از هجوم اطلاعات آلوده و مخرب از طريق اينترنت، واكنشي منطقي است، زيرا هر جامعه‌اي چارچوبهاي اطلاعاتي خاص خود را دارد و طبيعي است كه هر نوع اطلاعاتي كه اين حد و مرزها را بشكند مي‌تواند سلامت و امنيت جامعه را به خطر اندازد. علي‌الرغم وجود جنبه‌اي مثبت شبكه‌‌هاي جهاني، سوء استفاده از اين شبكه‌هاي رايانه‌اي توسط افراد بزهكار، امنيت ملي را در كشورهاي مختلف با خطر روبرو ساخته است. از اين رو بكارگيري فيلترها و فاير وال‌هاي مختلف براي پيشگيري از نفوذ داده‌هاي مخرب و مضر و گزينش اطلاعات سالم در اين شبكه‌ها رو به افزايش است.

 

 

2- تاريخچه امنيت

 

اينترنت در سال 1969 بصورت شبكه‌ اي بنام آرپانت كه مربوط به وزارت دفاع آمريكا بود راه‌اندازي شد. هدف اين بود كه با استفاده از رايانه‌هاي متصل به هم، شرايطي ايجاد شود كه حتي اگر، بخشهاي عمده‌اي از سيستم اطلاعاتي به هر دليلي از كار بيفتد، كل شبكه بتواند به كار خود ادامه دهد، تا اين اطلاعات حفظ شود. از همان ابتدا، فكر ايجاد شبكه، براي جلوگيري از اثرات مخرب حملات اطلاعاتي بود.در سال 1971 تعدادي از رايانه‌هاي دانشگاهها و مراكز دولتي به اين شبكه متصل شدند و محققين از اين طريق شروع به تبادل اطلاعات كردند. با بروز رخدادهاي غيرمنتظره در اطلاعات، توجه به مسأله امنيت بيش از پيش اوج گرفت. در سال 1988، آرپانت براي اولين بار با يك حادثه امنيتي سراسري در شبكه، مواجه شد كه بعداً، «كرم موريس» نام گرفت. رابرت موريس كه يك دانشجو در نيويورك بود، برنامه‌هايي نوشت كه مي‌توانست به يك رايانه‌اي ديگر راه يابد و در آن تكثير شود و به همين ترتيب به رايانه‌هاي ديگر هم نفوذ كند و بصورت هندسي تكثير شود. آن زمان 88000 رايانه به اين شبكه وصل بود. اين برنامه سبب شد طي مدت كوتاهي ده درصد از رايانه‌هاي متصل به شبكه در آمريكا از كار بيفتد.  به دنبال اين حادثه، بنياد مقابله با حوادث امنيتي (IRST  ) شكل گرفت كه در هماهنگي فعاليتهاي مقابله با حملات ضد امنيتي، آموزش و تجهيز شبكه‌ها و روشهاي پيشگيرانه نقش مؤثري داشت. با رايج‌تر شدن و استفاده عام از اينترنت، مسأله امنيت خود را بهتر و بيشتر نشان داد. از جمله اين حوادث، اختلال در امنيت شبكه، WINK/OILS WORM   در سال 1989، Sniff packet   در سال 1994 بود كه مورد اخير از طريق پست الكترونيك منتشر مي‌شد و باعث افشاي اطلاعات مربوط به اسامي شماره رمز كاربران مي‌شد. از آن زمان حملات امنيتي- اطلاعاتي به شبكه‌ها و شبكه جهاني روزبه‌روز افزايش يافته است.

گرچه اينترنت در ابتدا، با هدف آموزشي و تحقيقاتي گسترش يافت، امروزه كاربردهاي تجاري، پزشكي، ارتباطي و شخصي فراواني پيدا كرده است كه ضرورت افزايش ضريب اطمينان آن را بيش از پيش روشن نموده است

 

  3- طرح امنيتي چيست      ؟

امروزه امنيت داده ها يک مسئله سازماني است . به ويژه هنگامي که نوبت به اطلاعات مي رسد ، يک سرمايه مفيد و براي سازمان شما و يک سلاح قدرتمند براي رقيبانتان بشمار مي رود .

امنيت شبکه يا Network Security   پردازه اي است که طي آن يک شبکه در مقابل انواع مختلف تهديدات داخلي و خارجي امن مي شود. مراحل ذيل براي ايجاد امنيت پيشنهاد و تاييد شده اند:

  1- شناسايي بخشي که بايد تحت محافظت قرار گيرد.

  2- تصميم گيري درباره مواردي که بايد در مقابل آنها از بخش مورد نظر محافظت کرد.

  3- تصميم گيري درباره چگونگي تهديدات.

  4-   پياده سازي امکاناتي که بتوانند از دارايي هاي شما به شيوه اي محافظت کنند که از نظر هزينه به صرفه باشد.

  5-  مرور مجدد و مداوم پردازه و تقويت آن درصورت ياقتن نقطه ضعف

 

4- اهميت طرح امنيتی شبكه

چنانچه به اهميت شبكه‌هاي اطلاعاتي (الكترونيكي) و نقش اساسي آن دريافت اجتماعي آينده پي برده باشيم، اهميت امنيت اين شبكه‌ها مشخص مي‌گردد. اگر امنيت شبكه برقرار نگردد، مزيتهاي فراوان آن نيز به خوبي حاصل نخواهد شد و پول و تجارت الكترونيك، خدمات به كاربران خاص، اطلاعات شخصي، اطلاعاتي عمومي و نشريات الكترونيك همه و همه در معرض دستكاري و سوءاستفاده‌هاي مادي و معنوي هستند. همچنين دستكاري اطلاعات- به عنوان زيربناي فكري ملت‌ها توسط گروههاي سازماندهي شده بين‌المللي، به نوعي مختل ساختن امنيت ملي و تهاجم عليه دولت‌ها و تهديدي ملي محسوب مي‌شود .

براي كشور ما كه بسياري از نرم‌افزارهاي پايه از قبيل سيستم عامل و نرم‌افزارهاي كاربردي و اينترنتي، از طريق واسطه‌ها و شركتهاي خارجي تهيه مي‌شود، بيم نفوذ از طريق راههاي مخفي وجود دارد. در آينده كه بانكها و بسياري از نهادها و دستگاههاي ديگر از طريق شبكة به فعاليت مي‌پردازند، جلوگيري از نفوذ عوامل مخرب در شبكه بصورت مسئله‌اي استراتژيك درخواهد آمد كه نپرداختن به آن باعث ايراد خساراتي خواهد شد كه بعضاً جبران‌ناپذير خواهد بود. چنانچه يك پيغام خاص، مثلاً از طرف شركت مايكروسافت، به كليه سايتهاي ايراني ارسال شود و سيستم عاملها در واكنش به اين پيغام سيستمها را خراب كنند و از كار بيندازند، چه ضررهاي هنگفتي به امنيت و اقتصاد مملكت وارد خواهد شد؟

   نكته جالب اينكه بزرگترين شركت توليد نرم‌افزارهاي امنيت شبكه، شركت چك پوينت است كه شعبة اصلي آن در اسرائيل مي‌باشد. مسأله امنيت شبكة براي كشورها، مسأله‌اي استراتژيك است؛ بنابراين كشور ما نيز بايد به آخرين تكنولوژيهاي امنيت شبكه مجهز شود و از آنجايي كه اين تكنولوژيها به صورت محصولات نرم‌افزاري قابل خريداري نيستند، پس مي‌بايست محققين كشور اين مهم را بدست بگيرند و در آن فعاليت نمايند.امروزه اينترنت آنقدر قابل دسترس شده كه هركس بدون توجه به محل زندگي، مليت، شغل و زمان ميتواند به آن راه يابد و از آن بهره ببرد. همين سهولت دسترسي آن را در معرض خطراتي چون گم شدن، ربوده شدن، مخدوش شدن يا سوءاستفاده از اطلاعات موجود در آن قرار مي‌دهد. اگر اطلاعات روي كاغذ چاپ شده بود و در قفسه‌اي از اتاقهاي محفوظ اداره مربوطه نگهداري مي‌شد، براي دسترسي به آنها افراد غيرمجاز مي‌بايست از حصارهاي مختلف عبور مي‌كردند، اما اكنون چند اشاره به كليدهاي رايانه‌اي براي اين منظور كافي است .

5- موارد پوشش داده شده در طرح امنيتي

بنابراين اين سوال مطرح مي‌شود كه در يك نقشه امنيتي چه چيزهايي بايد لحاظ شود؟ كانريچ و فالكنر ده راهكار براي اين پرسش ارائه مي‌دهند كه در ادامه بيان مي‌شوند:  

1- پوشش دادن همه زمينه‌ها: منظور از اين پوشش اين‌است كه علاوه بر فناوري‌هاي بي‌سيم و سيمي، مجوزهاي دسترسي به برنامه‌ها (مانند بانك‌هاي اطلاعاتي) و اطلاعات (مانند اطلاعات مشتري) نيز بايد در امنيت سيستم لحاظ شود. فاكنر در اين زمينه مي‌گويد: تمام قسمت‌هايي را كه به حفاظت نيازدارند شناسايي كنيد. وي مي‌افزايد: شما نمي‌توانيد بدون شناختن يك تاكتيك آن‌را پديد بياوريد.

براي مثال، شما مي‌توانيد در داخل بانك‌هاي اطلاعاتي، اطلاعات را بر اساس نقش كارمندان تفكيك كنيد. كانريچ در اين زمينه مي‌گويد: يك مسئول فروش كافي‌است به اطلاعات مربوط به مشتريان و تلفن تماس آن‌ها دسترسي داشته باشد، نه اطلاعات مربوط ‌به صورتحساب آن‌ها. اما كارمندان بخش صدور صورتحساب مي‌توانند به تمامي اطلاعات مشتريان دسترسي يابند.
       


2- مديريت تشخيص خطرپذيري: در طول پروسه ايجاد طرح امنيتي، ميزان خطرپذيري داده‌هاي شركت را ارزيابي كنيد. با اين ديد كه كدام قسمت از داده‌ها بيشتر در معرض سرقت يا سوءاستفاده قرار مي‌گيرند. وقتي سرقت  فهرست ايميل‌ها باعث آسيب‌ديدگي سيستم باشد، واضح است كه دزديدن اطلاعات كارت‌هاي اعتباري يا ساير دارايي‌هاي مشتريان بسيار بدتر است. 

كانريچ مي‌گويد: با اولويت‌بندي دارايي‌ها، مي‌توانيد ميزان بودجه مورد نياز براي يك طرح امنيتي خوب را تعريف كنيد. اين‌كار باعث مي‌شود آن‌دسته از ابزارهاي بي‌سيم كه در معرض تهديد و تعرض هستند و نيز اطلاعاتي كه ريسك و خطرپذيري بالايي دارند، شناسايي شوند. به‌عنوان مثال، اختصاص يك كلمه عبور براي يك نفر، نوعي ريسك است. اما لازم است با استفاده از دانش حرفه‌اي، ميزان خطر و آسيب‌پذيري آن كاهش يابد.
      

3- طبقه‌بندي داده‌ها: كانريچ مي‌گويد: طبقه‌بندي داده‌ها را در همه جاي شركت انجام‌دهيد؛ مثلا‌ اين‌كه امور عمومي يا موارد خصوصي كدامند، چه كساني به چه داده‌هايي دسترسي دارند، داده‌ها چگونه ذخيره مي‌شوند،پشتيبان‌گيري چگونه انجام مي‌شود و ... . به‌عنوان نمونه، اطلاعات عمومي مانند تبليغات، چيزهايي هستند كه همه، حتي رقيبان نيز مي‌توانند آن‌ها را ببينند. اما چيزهايي مانند نحوه توزيع يك محصول، جزء اطلاعات خصوصي است. در اين بخش، امنيت به‌خاطر احتمال از بين رفتن داده‌هاي قابل‌حمل (مانند نوارهاي مغناطيسي)، با نوع و روش پشتيبان‌گيري رابطه تنگاتنگي دارد.

4- تعريف‌كردن يك روش: فاكنر توصيه مي‌كند در مورد اطلاعات امنيتي، يك طرح كلي قابل يادگيري ارائه دهيد. وي مي‌افزايد مردم عادي به دانستن همه چيز نياز 
ندارند. لذا سعي كنيد بيشتر، حساب چك‌ها و موجوديتان را داشته باشيد تا مطمئن شويد تاكتيك‌ها و تكنيك‌هايتان در زمان دسترسي به اطلاعات، كارايي مناسبي دارند يا نه؟ هر كسي نياز دارد تاكتيك‌ها و ابزار كليدي را بشناسد. اگر همه اطلاعات از مردم عادي دريغ شود، آن‌ها ابهامات ذهنيشان را با تصوراتشان پر خواهندنمود.

5- به‌كارگيري يك مدير روش: كانريچ توصيه مي‌كند يك مدير يا يك متخصص IT   را به‌عنوان مسئول روش امنيتي تعيين كنيد تا بتواند آن‌را با اطلاعات جديدتر ارتقا دهد. بايد اين اطمينان حاصل شود كه آنچه شما انجام مي‌دهيد، براي بهتر شدن اوضاع است.     


وي مي‌افزايد: اين مسئِول بايد بتواند روش‌هاي امنيتي را در يك دوره متوالي نظام‌مند و بر اساس تغييراتي كه در سياست‌هاي كلان شركت ايجاد‌مي‌شود، بروز‌رساني كند. ممكن است برنامه‌هاي جديدي ارائه شود يا قوانين تغيير پيدا كند. بنابراين روش‌ها نيز بايد بروز شوند تا با محيط جديد سازگاري داشته باشند.


6- ويژگي‌هاي يك روش خوب: به اعتقاد كانريچ: يك روش امنيتي بايد مشخص كند كدام‌يك از اطلاعات شركت و چگونه رمزنگاري شود (64‌‌بيتي، 128 بيتي و ...)، و نيز تعيين‌كند كه چه كساني حق دسترسي به كليد اين رمزها را دارند. به همين ترتيب، يك روش امنيتي بايد جزئيات كلمات عبور را كه شامل چگونگي تغيير و توليد كلمه‌هاي عبور است، دربر بگيرد.       

اگر شركتي داده‌هاي حساس خود را رمزنگاري كند، حتي در صورت به سرقت رفتن يا گم شدن ابزارهايي مانند لپ‌تاپ،
PDA   و ...، تنها يكي از ابزارهاي بي‌سيم خود را از دست داده است. اين حالت كمك مي‌كند تمام ابزارها، اعم از قابل حمل (نوارهاي مغناطيسي) و سيستم‌هاي ثابت (سرورها و ميني‌كامپيوترها) در امان باشند.                                                        

7- كنار گذاشتن محدوديت‌ها: كانريچ توضيح مي‌دهد كه در طراحي امنيت براي لپ‌تاپ‌ها،  كامپيوترهاي خانگي و سيستم‌هاي شبكه‌اي محدوديتي قائل نشويد. درست سال پيش، سروكله اولين ويروس PDA   پيدا شد. مسئله مهم اين است كه براي ابزارهايي مانند PDA   و ساير ابزارهاي مشابه، طرح‌هاي امنيتي كافي وجود داشته باشد.                                  
فاكنر مي‌گويد: بنابراين يك طرح امنيتي بايد درباره استفاده صحيح از آن ابزار در شبكه اطلاعات كافي‌اي دربرداشته‌ باشد. در عين اين‌كه تمهيدات امنيتي لازم نيز در طول زمان در اختيار كاربر قرار داده شود (مانند وصله‌هاي امنيتي براي بروزرساني خودكار). شايد عدم دسترسي به ابزارهاي خارجي، بهترين روش باشد. هر چند بعضي از شركت‌ها نيز اين ايده را خيلي محدودكننده مي‌دانند.
                       
8- اهميت روش‌هاي ارتباطي: كانريچ مي‌گويد: يك تاكتيك امنيتي بي‌سيم بايد شامل اطلاعات كافي درباره روش‌‌هاي صحيح ارتباط، چه ارتباطات درون سازماني و چه ارتباط بيرون از سازمان باشد. مثلا، ابزارهاي بي‌سيم نبايد به‌طور همزمان هم به شبكه‌هاي WLAN (درون سازماني) و هم در شبكه‌هاي LAN متصل شوند. چرا كه اين‌كار اطلاعات شركت را در‌اختيار دنياي خارج قرارمي‌دهد.             
9- محدود كردن اختيارات كاربران: فاكنر توصيه مي‌كند تاكتيك امنيتي بايد هرگونه دسترسي به ارتباطات بي‌سيم را محدود كند. همان‌گونه كه ماهيت فناوري، اين موضوع را تأييد مي‌كند، ناامن بودن اين ارتباط واضح است. امن بودن و بي‌سيم بودن با هم در تضادند. اگر ابزاري بي‌سيم باشد، خودبه‌خود ناامن است. چرا كه نفوذگران هوا را براي ردگيري سيگنال‌هاي بي‌سيم بو مي‌كشند.

در واقع دليل توصيه به استفاده از خطوط ارتباطي امن براي انتقال اطلاعات حساس به‌جاي سيگنال‌هاي بي‌سيم نيز همين است. فاكنر مي‌افزايد: هكرها كساني هستند كه سعي دارند با استفاده از روش‌هاي دسترسي به اطلاعات حساس يك شركت و به‌دستآوردن آن سيگنال‌ها، كاربران ابزار بي‌سيم را براي استفاده از يك ابزار پر خطر در شبكه، تشويق نمايند.
                                    


10
- قابليت برخورد با تخلفات امنيتي: هيچ روشي ارزشمند نخواهد بود؛ مگر آن‌كه بتوان با داشتن اختيارات اجرايي و محدود كننده، رفتارهاي خارج از آن‌را كنترل كرد. مديران IT بايد با همكاري ساير نهادهاي اجرايي، جريمه‌هايي را براي تخلفات انجام شده تعيين كنند، اين جريمه‌ها بايد نسبت به ارزش اطلاعات، سختگيرانه باشد.                                                                           

از ديد فاكنر، لازم است برخي از سياست‌هاي سخت انضباطي با آموزش بيشتر و سخت‌تر تقويت شوند. هدف ايجاد امنيت است، نه جريمه كردن. آموزش، اگر به درستي انجام شود، امنيت و آرامش خاطر را افزايش مي‌دهد يا حداقل رفتار‌هاي ناهنجار را كم مي‌نمايد.

 

6- بررسی مشکلات امنیتی شبکه های ارتباطي امروزي

 

سنت گرايي در شبکه هاي ارتباطي به شالوده و تائيد ارتباط End-To-End ديتاهاي آنالوگ و ديجيتال بر مي گردد که اين شامل قوانين ارتباطي و Switching مي شود .

امروزه قواعد ارتباطي به لايه هاي مختلف تقسيم مي شود که لايه هاي بالاتر يکپارچه بوده ويک ارتباط موفق و امن را تضمين مي کند . امروزه اين قواعد و ارتباطات بر پايه متدولوژي هاي مختلف استوار است که در ادامه به بررسي آنها مي پردازيم .

شبکه هاي ارتباطي از لحاظ ترافيک و کنترل ، از يکديگر تمييز داده مي شود  :

يک لايه از لايه هاي مذکور Network Connectivity ناميده مي شود که ترافيک را کنترل مي کند . در لايه ديگر برنامه هاي کابردي و سرويس ها وجود دارند که معرف لايه سرويس (Service Layer) مي باشند .

اداره و نگهداري شبکه نيازمند امنيت بالاست که هدايت آن بايد از مرکز و هسته شبکه صورت بگيرد . شايان ذکر است که باوجود قابليت هايي که مي توانيم در طراحي شبکه هاي ارتباطي بکار ببنديم نبايد از امنيت در تمامي سرويس هاي بکار رفته در تمامي سطوح ارتباطي شبکه چشم پوشي کرد .

 

شبکه ها از بسياري ارتباطات داخلي تشکيل ميشود که به معناي الزامي بودن Security چند لايه  براي جلوگيري از رنج گسترده اي حملات و آسيب پذيري ها مي باشد . حملات روي مرکز شبکه به شرايط و سرويس هاي مختلف شبکه بستگي دارد . مانند End-User ، Service & Application Providers  ، اپراتور شبکه ، ربوده شدن پسورد ، دسترسي داشتن به پورت هاي مديريتي ، حمله به لايه Signaling ، هدف قرار دادن Data Base ها ، HLRS ، OSS ، المان هاي شبکه ، Gateway و Application server و ... که مي تواند منجر به آسيب پذيري امنيت موجود شود و در سرويس دهي شبکه وقفه ايجاد نمايد .

هنگامي که شبکه رشد مي کند پيچيدگي آن نيز افزايش مي يابد و نقاط آسيب پذير آن نيز بر اساس پيکر بندي نامناسب و يا اشتباه در طراحي امنيت افزايش مي يابد .

 

بطور کلی مشکلات شبکه های امروزی را میتوان بطور خلاصه در جند مورد ذکر کرد :

-        در بيشتر شبکه های WAN دنيا از تکنولوژی انتقال لايه دو مانند ATM و Frame Rely استفاده مي گردد و برای اتصال دو روتر با استفاده از شبکهWAN لايه دو اين اتصال ميسر مي گردد . در اين حالت طراح شبکه مي بايست بصورت دستی مسيری را ايجاد کند تا بسته های لايه سه از ميان سوئيچهای لايه دو عبور کنند لذا نياز به بستن Virtual Circuit بصورت Point to Point است . که مشکلاتی را در هنگام گستردگی شبکه ايجاد خواهد شد .

-        در شبکه های سنتی هرگونه تغيير در اطلاعات کنترلی و Forwarding مربوط به بسته ها به کليه روترهای موجود در آن حوزه Routing منتقل خواهد شد که آن مستلزم زمانی برای Convergence خواهد شد .

-        در شبکه های سنتی و روش Hop by Hop ، بسته ها در هر Hop تنها بر اساس آدرس مقصد مسيريابی مي شود لذا هيچگونه ملاحظه و اختلافی در  رفتار شبکه نسبت به ترافيکهای گوناگون وجود نخواهد داشت و همچنين راه های ابداعی برای بهينه سازی شبکه ترافيک و همچنين امنيت  وجود نخواهد داشت .



DMC Firewall is developed by Dean Marshall Consultancy Ltd
DMC Firewall is developed by Dean Marshall Consultancy Ltd