تاريخ : شنبه 7 دی 1392 | 14:24 | نویسنده : sara

 

 

امنیت اطلاعات در شبکه های کامپیوتری و سیستم های تجاری را می توان از شش وجه یعنی دسترسی فیزیکی، نیروی انسانی، سیستم عامل، داده ها، برنامه های کاربردی و شبکه مورد بررسی قرار داد. به لحاظ منطقی این وجوه را می توان به سه دسته تقسیم کرد:

امنیت فیزیکی: این دسته شامل وجوه امنیت دسترسی فیزیکی و امنیت نیروی انسانی از وجوه شش گانه است.

امنیت محلی: امنیت سیستم عامل، داده ها و برنامه های کاربردی در این دسته قرار می گیرند.

امنیت ارتباطات: از وجوه شش گانه امنیت، تنها وجه امنیت شبکه در این گروه قرار می گیرد.

حال به طور مشروح به هر یک از وجوه بالا می پردازیم.

1_ امنیت دسترسی فیزیکی

تأمین امنیت هر شبکه کامپیوتری مستلزم تأمین امنیت در محیط فیزیکی سخت افزارها است. عواملی مانند حوادث غیر مترقبه (سیل، زلزله، طوفان، و مانند اینها)، دستبردهای جاسوسی، دستبردهای معمولی، هکری (بمب گذاری، حملات سازمان یافته و مانند اینها) می توانند امنیت فیزیکی را مورد تهدید قرار دهند. تأمین امنیت فیزیکی شامل بخش های زیر است:

_ ارتباط فیزیکی خطوط ارتباطی (مانند فیبر نوری، کابل، ماهواره «امواج رادیویی» مایکرویو و نظایر آن) از نظر قطع شدن خطوط و استفاده غیر مجاز.

_ دستگاه های رابط شامل تکرارکننده ها، مسیریاب ها، پل ها، دروازه ها و نظایر آن.

_ کامپیوترهای انتهایی شامل کامپیوتر رومیزی، قابل حمل، مینی کامپیوترها و نظایر آن.

_ مکان های نگهداری تجهیزات کامپیوتری.

محل استقرار و نحوه استقرار تجهیزات.

روش های مقابله با نقاط ضعف دسترسی فیزیکی عبارتند از:

کنترل دسترسی: این روش، کارآمدترین روش برای تأمین امنیت دسترسی فیزیکی است. بدین ترتیب که می توان نوع دسترسی و افراد مجاز را تعریف نمود. برای مثال، افراد خاصی اجازه ورود به مکان هایی که تجهیزات شبکه در آن قرار می گیرند، داشته باشند.

ایجاد پوشش، یکی دیگر از روش های تأمین امنیت دسترسی فیزیکی، قرار دادن پوشش است. برای مثال می توان خط مسی انتقال را در داخل لوله های محافظ قرار داد تا به این صورت هکر نتواند از آن انشعاب بگیرد. یا اینکه کامپیوترها و سخت افزارها را داخل اتاق مناسب مستقر نمود تا امنیت دسترسی فیزیکی توسط حفاظ ساختمانی ایجاد گردد. بعلاوه می توان دستگاه هایی که وظایف مهم در شبکه انجام می دهند را به ups مجهز نمود تا در موقع قطع برق دچار وقفه نشوند.

کشف خطا و ترمیم: با توجه به آنکه پیش بینی همه خطاها و خسارات امکان پذیر نیست، باید راه هایی برای کشف خطا و ترمیم، مثلاً روشی برای کشف قطع خطوط ارتباطی یا خرابی مسیریاب ها، وجود داشته باشد.

انتخاب نوع رسانه ها و دستگاه های فیزیکی:

سطح امنیت در رسانه ها و دستگاه ها بسیار متفاوت است. مثلاً فیبر نوری از سیم مسی امن تر است، زیرا بسادگی نمی توان از آن انشعاب گرفت و همچنین نرخ خطای بسیار پایینی دارد.

تهیه دستورالعمل های بهره برداری: از دیگر راه های تأمین امنیت فیزیکی، آگاه سازی نیروی انسانی در مورد نحوه استفاده امن از سیستم ها و تجهیزات از طریق صدور بخش نامه ها و دستور العمل های بهره برداری می باشد.

تأمین امنیت دسترسی فیزیکی علاوه بر تأمین امنیت در برابر خطاهای عمدی، به تأمین امنیت در مقابل خطاهای غیر عمدی (خرابی و از کار افتادن دستگاه ها و رسانه ها) نیز وابسته است.

2_ امنیت نیروی انسانی

منظور از نیروی انسانی، تمام افرادی هستند که به نحوی با شبکه کامپیوتری در ارتباط هستند. این افراد شامل کاربران و گردانندگان، سیاست گذاران شبکه، طراحان، مجریان و اپراتورهای شبکه می باشند. مشکلات ناشی از عدم رعایت اصول امنیت توسط نیروی انسانی، معمولاً جبران ناپذیر است و با آموزش نیروی انسانی، می توان از بروز چنین مشکلاتی جلوگیری کرد. افرادی که با شبکه سروکار دارند، به سه دسته زیر تقسیم می شوند:

کاربران خارجی: افراد خارج از سازمان با نفوذ به سازمان، می توانند سبب انتقال اطلاعات به صورت فیزیکی یا منطقی شوند. هکرها می توانند با کارگزارهای داخلی ارتباط برقرار کنند و شبکه را مورد حمله قرار دهند و امنیت سیستم را به مخاطره بیاندازند.

کاربران داخلی : در بیشتر موارد، کاربران داخلی اجازه دسترسی به کلیه منابع اطلاعاتی را دارند و در صورت استفاده نادرست از این امکانات، خسارات جبران ناپذیری وارد خواهد شد.

دست اندرکاران شبکه: این گروه مسؤل تأمین و حفظ امنیت شبکه های کامپیوتری هستند. طراحی، اجرا، پیاده سازی و حفظ و نگهداری پارامترهای امنیتی از وظایف این گروه است. با توجه به اینکه این گروه اطلاعات بیشتری در اختیار دارند، احتمال ایجاد آسیب های امنیتی عمیق تر بوده و معمولاً این آسیب ها بسیار گران تمام می شود.

روش های مقابله با خطرات ناشی از عدم رعایت امنیت در بعد نیروی انسانی، عبارتند از:

تعریف دقیق سیاست های امنیتی شبکه: سیاستگذاران امنیتی باید بطور شفاف اهداف امنیتی سیاست های امنیتی را مشخص کنند. هر فرد به اندازه مسؤلیت و شغل سازمانی خود و به اندازه اطلاعات و منابع مهمی که در دست دارد باید از اهداف امنیتی سازمان اطلاع داشته باشد تا طبق آن امنیت قابل قبولی را در محیط کار خود ایجاد نماید.

تعریف دقیق پست ها و جداسازی مسؤلیت ها: مسؤلیت ها باید جدا شوند تا هر کس بطور شفاف وظایف مشخصی داشته باشد. همچنین میزان مسؤلیت هر پست نسبت به حفظ امنیت باید مشخص گردد تا فرد مسؤل از سطح امنیتی پست خود مطلع گردد.

آموزش نیروی انسانی : مهمترین عاملی که می تواند نیروی انسانی را در مقابل حملات امنیتی حفظ نماید دانایی و آگاهی آنها از روش های از دست رفتن اطلاعات و روش های مقابله است.

مدیریت و کنترل کاربران : به منظور حفظ امنیت و پیگیری وقایع ضد امنیتی، مدیریت و کنترل مداوم کاربران ضروری است.

در صورت جابجایی فرد در سازمان نباید فرد بتواند از امکانات قبلی خود در دسترسی به اطلاعات استفاده نماید. فعالیت های غیر قانونی کاربران با ثبت وقایع و آمارگیری از تعداد دسترسی به انواع اطلاعات مشخص خواهد شد. در مجموع، حفظ امنیت توسط نیروی انسانی سازمان الزامی است. استخدام دقیق و آموزش متناوب نیروی انسانی، تعیین مرزها و پست ها و مسؤلیت ها برای تأمین امنیت ضروری است.

3 - امنیت سیستم عامل

تأمین امنیت در سیستم عامل، یکی از ابعاد مهم حفظ و تأمین امنیت در هر شبکه کامپیوتری به شمار می رود. سیستم عامل به عنوان پایه ای ترین نرم افزار در هر کامپیوتر، مسؤلیت مدیریت منابع و برقراری ارتباط میان کاربر و سخت افزار را بر عهده دارد. بنابراین، می توان گفت که هر گونه ناامنی در سیستم عامل موجب بروز ناامنی در کل یک سیستم کامپیوتری و بالطبع در زیر سیستم ارتباطی می شود.

سیستم های عامل دارای سطوح مختلفی از امنیت هستند که تحت رده بندی استاندارد TCSES (Trusted Computer Systems Evaluation Criteria) توصیف می شوند. یک سیستم عامل حداقل باید پیاده سازی امنی از پروتکل های شبکه و از جمله TCP/IPرا دارا باشد. سایر ویژگی های یک سیستم عامل امن عبارتند از:

وجود سطوح مختلف امنیتی، حداقل در دو سطح کاربر و سیستم به منظور تأثیرناپذیری سیستم عامل از خطاهای سهوی و عمدی کاربران مجاز.

به کارگیری روش های مناسب برای ذخیره اطلاعات هویت شناسی کاربران، جلوگیری از انتخاب گذرسواژه های ضعیف و جلوگیری از عدم تغییر گذرواژه برای مدت طولانی.

ثبت وقایع سیستم برای پیگیری های اداری و قانونی و رفع خطا.

وجود و پشتیبانی از یک سطح حداقل امنیت به گونه ای که این حداقل سطح، قابل از کار انداختن نباشد. به عنوان مثال، بدون دسترسی فیزیکی به کنسول (واقع در سایت نگهداری کامپیوتر ) امکان باز آغازی (Rebooting)، فرمت کردن دیسک و یا خاموش کردن سیستم وجود نداشته باشد.

وجود روش هایی برای کنترل دسترسی پردازه ها به منابع سیستم. این بدان معناست که هر پردازه در سیستم، تنها به منابعی دسترسی داشته باشد که برای مالکش تعریف شده است.

4- امنیت داده ها

رشد فزاینده حجم و نوع داده های ذخیره شده از یک سو و کلیدی تر شدن نقش آنها در تصمیم گیری ها از سوی دیگر، سبب شده تا ضرورت حفاظت داده ها برای همه مدیران توجیه پذیر شود. از طرف دیگر، گسترش شبکه های کامپیوتری و افزایش تعداد کاربران شبکه، سبب شده است تا علاوه بر آنکه احتمال نفوذ غیر مجاز هکرها افزایش یابد، داده ها نیز به طور پراکنده و توزیع شده در سراسر شبکه ذخیره شوند. بدیهی است که تأمین و حفظ امنیت برای داده های توزیع شده دشوارتر است.

در حالت کلی می توان داده ها را به دو دسته کاربردی و کنترلی تقسیم بندی نمود. داده های کاربردی همان داده ها یا اطلاعاتی هستند که مورد استفاده کاربران قرار می گیرند و در کاربردهای متفاوتی مطرح می شوند. داده های کنترلی شامل اطلاعات پیکربندی سیستم، مشخصات کاربران و رویدادهای ثبت شده در سیستم هستند. این داده ها نقش اساسی در چگونگی عملکرد سیستم دارند و ناامنی در آنها منجر به توقف خدمات و مانع از کارکرد سیستم می شوند. وظیفه مدیریت این سیستم فایل است.

وظیفه مدیریت داده های کاربردی در سیستم های کامپیوتری معمولاً بر عهده نرم افزارهای مدیریت پایگاه داده است. این نرم افزار امکان ذخیره سازی و بازیابی داده ها را فراهم می کند. برای حفظ و تأمین امنیت داده ها، باید امنیت در مدیریت پایگاه داده تأمین شود. ممکن است امنیت سیستم عامل بر روی امنیت مدیریت پایگاه داده ها تأثیر گذارد. روش های تأمین امنیت داده ها عبارتند از:

استفاده از افزونگی داده: این روش برای کشف حمله و گاه ترمیم به کار می رود.

ایجاد حصار در اطراف داده: حصاربندی منطقی یا فیزیکی داده ها یکی دیگر از روش های مقابله با خطاهای احتمالی در داده ها محسوب می شود. منظور از حصار فیزیکی، حصار کشیدن در اطراف رسانه های ذخیره سازی یا در اطراف خطوط انتقال داده یا در اطراف مکان های استفاده و تولید داده است و حصار منطقی به معنای قرار دادن قواعد و ضوابط مربوط به نحوه کار با داده برای کاربران یا ضوابط مربوط به نحوه ارسال و ذخیره داده هاست.

رمز نگاری: این روش قدرتمندترین و مطمئن ترین روش برای ایجاد امنیت است، زیرا حتی اگر خطوط ارسال داده و رسانه های ذخیره سازی داده در مکان های ناامن باشند، باز هم داده های رمز شده از حملات هکرها مصون خواهند ماند.

به کارگیری روش های هویت شناسی(Authenticaion): در این روش بیش از ارسال داده، طرفین یکدیگر را شناسایی کرده و از هویت طرف مقابل مطمئن می شوند.

ثبت رویداد(Log) : دو هدف آن عبارتند از پیگیری و بررسی تراکنش های کاربران و یافتن فرد هکر و ترمیم داده ها به حالت درست و سازگار در صورت بروز خطا یا خرابی.

به علاوه، معمولاً برای ایجاد امنیت داده ای، از نوعی طبقه بندی امنیتی نیز استفاده می گردد. بدین ترتیب که داده ها از نظر امنیتی بر اساس اهمیت و نقش داده ها و یا بر اساس میزان خسارتی که با لو رفتن داده ایجاد می شود طبقه بندی می شوند و خدمات امنیتی مورد نیاز هر طبقه تعیین و طراحی می شود.

5- امنیت برنامه های کاربردی

برنامه های کاربردی نقطه ارتباط سیستم های کامپیوتری با کاربران آن ها را تشکیل می دهند. وجود ضعف های امنیتی در این برنامه ها و یا در مبادلات میان آن ها می تواند امنیت کلی سیستم را به خطر بیاندازد. به طور مثال وجود یک برنامه کاربردی غیر امن در سیستم حتی در صورتی که سیستم عامل آن امن شده باشد، می تواند باعث آسیب رساندن به منابع و اطلاعات محلی سیستم شود. همچنین یک برنامه کاربردی غیر امن می تواند اطلاعات حساس و سری سیستم را از طریق شبکه به بیرون از سازمان انتقال دهد که این کار نیز با امن کردن شبکه قابل پیشگیری نمی باشد. درجه خطرناک بودن چنین اتفاقاتی را زمانی می توان به درستی درک کرد که این برنامه ناامن در کاربردهای حساسی نظیر کاربردهای نظامی مورد استفاده قرار گیرد.

 

با توجه به مطالبی که گفته شد برای اطمینان از امنیت برنامه های کاربردی و استفاده از آن در کاربردهایی که نیاز به امنیت دارند، اقدامات زیر می تواند صورت گیرد.

تهیه نرم افزارهای کاربردی از ایجادکنندگان مطمئن، یکی از راه های اطمینان از امنیت برنامه های کاربردی، تهیه آنها از منابعی است که می توان از نظر امنیتی به آنها اطمینان کرد. به عنوان مثال بهتر است که این نوع برنامه ها از منابعی که امکان همکاری آنها با سرویس های جاسوسی وجود دارد، تهیه نشود.

ارزیابی برنامه قبل از عملیاتی کردن آن: پس از تهیه یک برنامه کاربردی و قبل از استفاده از آن در سیستم های حساس اطلاعاتی، بهتر است این برنامه مدتی در محلی غیر از محل نصب نهایی مورد استفاده قرار گیرد و عملکرد آن به دقت مورد بررسی قرار گیرد.

6- امنیت شبکه

رشد روز افزون شبکه های کامپیوتری از یک سو و ماهیت توزیع شده و عدم امکان کنترل مرکزی در شبکه ها از سوی دیگر سبب شده تا تأمین امنیت شبکه های کامپیوتری از اهمیت ویژه ای برخوردار شود. همچنین وجود مشکلات امنیتی در پروتکل های شبکه و در دسترس بودن مشخصات این پروتکل ها و بعضاً کد پیاده سازی شده آنها باعث بروز ناامنی های بسیاری در شبکه های عمومی شده است.

کنجکاوان در مراکز آموزشی و دانشگاه ها، رقبای تجاری و دشمنان سیاسی می توانند سبب بروز مشکلاتی در شبکه های مبتنی بر TCP/IP شوند. همچنین، از آن جا که شبکه های کامپیوتری بستر ایجاد سایر سیستم های توزیع شده مانند سیستم های عامل توزیع شده و سیستم های مدیریت پایگاه داده های توزیع شده نیز هستند، تأمین و حفظ امنیت در شبکه های کامپیوتری مبنایی برای تأمین امنیت در سیستم ها و کاربردهای توزیع شده نیز خواهد بود.


برچسب‌ها: وجوه امنیت اطلاعات شبکه های کامپیوتری,

صفحه قبل 1 2 3 4 5 ... 67 صفحه بعد