امنيت شبکه

يک سيستم کامپيوتري از چهار عنصر: سخت افزار ، سيستم عامل ، برنامه هاي کاربردي و کاربران ، تشکيل مي گردد. سخت افزار شامل حافظه ، دستگاههاي ورودي ، خروجي و پردازشگر بوده که بعنوان منابع اصلي پردازش اطلاعات ، استفاده مي گردند. برنامه هاي کاربردي شامل کمپايلرها ، سيستم هاي بانک اطلاعاتي ، برنامه هاي تجاري و بازرگاني ، بازي هاي کامپيوتري و موارد متنوع ديگري بوده که روش بخدمت گرفتن سخت افزار جهت نيل به اهداف از قبل تعريف شده را مشخص مي نمايند. کاربران ، شا مل انسان ، ماشين و ديگر کامپيوترها مي باشد . هر يک از کاربران سعي در حل مشکلات تعريف شده خود از طريق بکارگيري نرم افزارهاي کاربردي در محيط سخت افزار مي نمايند. سيستم عامل ، نحوه استفاده از سخت افزار را در ارتباط با برنامه هاي کاربردي متفاوتي که توسط کاربران گوناگون نوشته و اجراء مي گردند ، کنترل و هدايت مي نمايد. بمنظور بررسي امنيت در يک سيستم کامپيوتري ، مي بايست به تشريح و تبين جايگاه هر يک از عناصر موجود در يک سيستم کامپيوتري پرداخته گردد.
در اين راستا ، قصد داريم به بررسي نقش عوامل انساني دررابطه با امنيت اطلاعات پرداخته و جايگاه هر يک از مولفه هاي موجود را تبين و تشريح نما ئيم . اگر ما بهترين سيستم سخت افزاري و يا سيستم عامل را بخدمت بگيريم ولي کاربران و يا عوامل انساني درگير در يک سيستم کامپوتري، پارامترهاي امنيتي را رعايت ننمايند ، کاري را از پيش نخواهيم برد. وضعيت فوق مشابه اين است که شما بهترين اتومبيل با درجه بالاي امنيت را طراحي و يا تهيه نمائيد ولي آن را در اختيار افرادي قرار دهيد که نسبت به اصول اوليه رانندگي توجيه نباشند ( عدم رعايت اصول ايمني ) .
ما مي بايست به مقوله امنيت اطلاعات در عصر اطلاعات نه بصورت يک کالا و يا محصول بلکه بصورت يک فرآيند نگاه کرده و امنيت را در حد يک محصول خواه نرم افزاري و يا سخت افزاري تنزل ندهيم .هر يک از موارد فوق ، جايگاه خاص خود را با وزن مشخص شده اي دارند و نبايد به بهانه پرداختن به امنيت اطلاعات وزن يک پارامتر را بيش از آنچيزي که هست در نظر گرفت و پارامتر ديگري را ناديده گرفته و يا وزن غير قابل قبولي براي آن مشخص نمائيم . بهرحال ظهور و عرضه شگفت انگيز تکنولوژي هاي نو در عصر حاضر ، تهديدات خاص خود را نيز بدنبال خواهد داشت . ما چه کار مي بايست بکنيم که از تکنولوژي ها استفاده مفيدي را داشته و در عين حال از تهديدات مستقيم و يا غير مستقيم آنان نيز مصون بمانيم ؟ قطعا” نقش عوامل انساني که استقاده کنندگان مستقيم اين نوع تکنولوژي ها مي باشند ، بسيار محسوس و مهم است .
با گسترش اينترنت و استفاده از آن در ابعاد متفاوت ، سازمانها و موسسات با مسائل جديدي در رابطه با امنيت اطلاعات و تهاجم به شبکه هاي کامپيوتري مواجه مي باشند. صرفنظر از موفقيت و يا عدم موفقيت مهاجمان و عليرغم آخرين اصلاحات انجام شده در رابطه با تکنولوژي هاي امنيتي ، عدم وجود دانش و اطلاعات لازم ( سواد عمومي ايمني ) کاربران شبکه هاي کامپيوتري و استفاده کنندگان اطلاعات حساس در يک سازمان ، همواره بعنوان مهمترين تهديد امنيتي مطرح و عدم پايبندي و رعايت اصول امنيتي تدوين شده ، مي تواند زمينه ايجاد پتانسيل هائي شود که توسط مهاجمين استفاده و باعث بروز مشکل در سازمان گردد. مهاجمان همواره بدنبال چنين فرصت هائي بوده تا با اتکاء به آنان به اهداف خود نائل گردند. در برخي حالات اشتباه ما زمينه موفقيت ديگران! را فراهم مي نمايد . اگر سعي نمائيم بر اساس يک روش مناسب درصد بروز اشتباهات خود را کاهش دهيم به همان نسبت نيز شانس موفقيت مهاجمان کاهش پيدا خواهد کرد.
مديران شبکه ( سيستم ) ، مديران سازمان و کاربران معمولي جملگي عوامل انساني در يک سازمان مي باشند که حرکت و يا حرکات اشتباه هر يک مي تواند پيامدهاي منفي در ارتباط با امنيت اطلاعات را بدنبال داشته باشد . در ادامه به بررسي اشتباهات متداولي خواهيم پرداخت که مي تواند توسط سه گروه ياد شده انجام و زمينه بروز يک مشکل امنيتي در رابطه با اطلاعات حساس در يک سازمان را باعث گردد.
۲-۵ اشتباهات متداول مديران سيستم
مديران سيستم ، به افرادي اطلاق مي گردد که مسئوليت نگهداري و نظارت بر عملکرد صحيح و عملياتي سيستم ها و شبکه موجود در يک سازمان را برعهده دارند.در اغلب سازمانها افراد فوق ، مسئوليت امنيت دستگاهها ، ايمن سازي شبکه و تشخيص ضعف هاي امنيـتي موجود در رابطه با اطلاعات حساس را نيز برعهده دارند. بديهي است واگذاري مسئوليت هاي متعدد به يک فرد، افزايش تعداد خطاء و اشتباه را بدنبال خواهد داشت . فشار عصبي در زمان انجام کار مستمر بر روي چندين موضوع متفاوت و بصورت همزمان ، قطعا” احتمال بروز اشتباهات فردي را افزايش خواهد داد. در ادامه با برخي از خطاهاي متداولي که ممکن است توسط مديران سيستم انجام و سازمان مربوطه را با تهديد امنيتي مواجه سازد ، آشنا خواهيم شد.

۱-۲-۵ عدم وجود يک سياست امنيتي شخصي
اکثر قريب به اتفاق مديران سيستم داراي يک سياست امنيتي شخصي بمنظور انجام فعاليت هاي مهمي نظير امنيت فيزيکي سيستم ها ، روش هاي بهنگام سازي يک نرم افزار و روشي بمنظور بکارگيري patch هاي جديد در زمان مربوطه نمي باشند .حتي شرکت هاي بزرگ و شناخته شده به اين موضوع اذعان دارند که برخي از سيستم هاي آنان با همان سرعت که يک باگ و يا اشکال تشخيص و شناسائي مي گردد ، توسط patch مربوطه اصلاح نشده است .در برخي حالات ، مديران سيستم حتي نسبت به آخرين نقاط آسيب پذيرتشخييص داده شده نيز آگاهي بهنگام شده اي را نداشته و قطعا” در چنين مواردي انتظار نصب patch مربوطه نيز توقعي بي مورد است . وجود نقاط آسيب پذير در شبکه مي تواند يک سازمان را در معرض تهديدات جدي قرار دهد . امنيت فرآيندي است که مي بايست بصورت مستمر به آن پرداخته شود و هرگز به اتمام نمي رسد.در اين راستا لازم است، بصورت مستمرنسبت به آخرين حملات بهمراه تکنولوژي ها ي مربوطه ، آگاهي لازم کسب و دانش خود را بهنگام نمائيم .اکثر مديران سيستم ، کارشناسان حرفه اي و خبره امنيتي نمي باشند ، در اين رابطه لازم است ، بمنظور افزايش حفاظت و ايمن سازي شبکه ، اطلاعات و دانش مربوطه بصورت مستمر ارتقاء يايد .افراديکه داراي گواهينامه هاي خاصي امنيتي و يا دانش و اطلاعات اضافه در رابطه با امنيت اطلاعات مي باشند ، همواره يک قدم از کساني مهارت آنان صرفا” محدود به شبکه است ، جلوتر مي باشند . در ادامه ، پيشنهاداتي بمنظور بهبود وضعيت امنيتي سازمان و افزايش و ارتقاء سطح معلومات مديران سيستم ، ارائه مي گردد :
• بصورت فيزيکي محل کار و سيستم خود را ايمن سازيد .زمينه استفاده از سيستم توسط افراديکه در محدوده کاري شما فعاليت دارند ، مي بايست کاملا” کنترل شده و تحت نظارت باشد .
• هر مرتبه که سيستم خود را ترک مي کنيد ، عمليات logout را فراموش نکنيد .در اين رابطه مي توان يک زمان time out را تنظيم تا در صورت فراموش نمودن عمليات logout ، سيستم قادر به حفاظت خود گردد.
• خود را عضو خبرنامه ها ي متفاوت امنيتي کرده تا شما را با آخرين نقاط آسيب پذير آشنا نمايند. درحقيقت آنان چشم شما در اين معرکه خواهند بود( استفاده مفيد از تجارب ديگران ) .
• سعي گردد بصورت مستمر از سايت هاي مرتبط با مسائل امنيتي ديدن تا درزمان مناسب با پيام هاي هشداردهنده امنيتي در رابطه با نرم افزارهاي خارج از رده و يا نرم افزارهاي غير اصلاح شده ( unpatched ) آشنا گرديد.
• مطالعه آخرين مقالات مرتبط با مسائل امنيتي يکي از مراحل ضروري و مهم در فرآيند خود آموزشي ( فراگيري ) مديران شبکه است . بدين ترتيب اين اطمينان بوجود خواهد آمد که مدير مربوطه نسبت به آخرين اطلاعات و مسائل مربوطه امنيتي در کميته هاي موجود ، توجيه است .
• استفاده از ياداشت ها و مقالات در ارتباط با هر نوع اطلاعات حساس نظير رمزهاي عبور وI هر چيزي که ممکن است زمينه ساز ايجاد يک پتانسيل آسيب پذير و دستيابي به سيستم مطرح گردد را محدود نمائيد. در صورتيکه از اين نوع اطلاعات استفاده مي شود، قبل ازترک محل کار ، آنها را از بين ببريد. افراديکه داراي سوء نيت بوده در محدوده کاري شما مي باشند ، مي توانند ازمزاياي ضعف هاي شناخته شده استفاده نمايند، بنابراين ضروري است استفاده از چنين ياداشت هائي محدود و يا بصورت کامل حذف گردد .
۲-۲-۵ اتصال سيستم هاي فاقد پيکربندي مناسب به اينترنت
همزمان با گسترش نيازهاي سازمان، سيستم ها و سرويس دهندگان جديدي بر اساس يک روال معمول به اينترنت متصل مي گردند. قطعا” توسعه سيستم با هدف افزايش بهره وري در يک سازمان دنبال خواهد شد.اکثر اينچنين سيستمهائي بدون تنظيمات امنيتي خاص به اينترنت متصل شده و مي تواند زمينه بروز آسيب و حملات اطلاعاتي توسط مهاجمان را باعث گردد ( در بازه زماني که سيستم از لحاظ امنيتي بدرستي مميزي نشده باشد ، اين امر امکان پذير خواهد بود).
مديران سيستم ممکن است به اين موضوع استناد نمايند که سيستم جديد بوده و هنوز کسي آن را نمي شناسد و آدرس IP آن شناخته شده نيست ، بنابراين امکان شناسائي و حمله به آن وجود نخواهد داشت .طرز فکر فوق ، يک تهديد براي هر سازمان بشمار مي رود . افراد و يا اسکريپت هاي پويش اتوماتيک در اينترنت ، بسرعت عمليات يافتن و تخريب اين نوع سيستم هاي آسيب پذير را دنبال مي نمايند. در اين راستا ، شرکت هائي خاصي وجود دارد که موضوع فعاليت آنان شبکه بوده و براي تست سيستم هاي توليدي خود بدنبال سيستم هاي ضعيف و آسيب پذير مي گردند.( سيستم آسيب پذير ما ابزار تست ديگران خواهد شد). بهرحال همواره ممکن است افرادي بصورت مخفيانه شبکه سازمان شما را پويش تا در صورت وجود يک نقطه آسيب پذير، از آن براي اهداف خود استفاده نمايند. لازم است در اين راستا تهديدات و خطرات را جدي گرفته و پيگري لازم در اين خصوص انجام شود. در اين رابطه موارد زير پيشنهاد مي گردد :
• قبل از اتصال فيزيکي يک کامپيوتر به شبکه ، مجوز امنيتي لازم با توجه به سياست هاي تدوين شده امنيتي براي آن صادر گردد ( بررسي سيستم و صدور مجوز اتصال )
• کامپيوتر مورد نظر مي بايست شامل آخرين نرم افزارهاي امنيتي لازم بوده و از پيکربندي صحيح آنان مي بايست مطمئن گرديد.
• در صورتيکه لازم است بر روي سيستم مورد نظر تست هاي شبکه اي خاصي صورت پذيرد ، سعي گردد امکان دستيابي به سيستم فوق از طريق اينترنت در زمان تست ، بلاک گردد.
• سيستمي را که قصد اتصال آن به اينترنت وجود دارد ، نمي بايست شامل اطلاعات حساس سازمان باشد.
• سيستم مورد نظر را تحت برنامه هاي موسوم به Intrusion Detection System قرار داده تا نرم افزارهاي فوق بسرعت نقاط آسيب پذير و ضعف هاي امنيتي را شناسائي نمايند.
۳-۲-۵ اعتماد بيش از اندازه به ابزارها
برنامه هاي پويش و بررسي نقاط آسيب پذير،اغلب بمنظور اخذ اطلاعات در رابطه وضعيت جاري امنيتي شبکه استفاده مي گردد . پويشگرهاي تشخيص نقاط آسيب پذير ، اطلاعات مفيدي را در ارتباط با امنيت سيستم نظير : مجوزهاي فايل ، سياستهاي رمز عبور و ساير مسائل موجود، ارائه مي نمايند . بعبارت ديگر پويشگران نقاط آسيب پذير شبکه ، امکان نگرش از ديد يک مهاجم را به مديريت شبکه خواهند داد. پويشگرها ي فوق ، عموما” نيمي از مسائل امنيتي مرتبط را به سيستم واگذار نموده و نمي توان به تمامي نتايج بدست آمده توسط آنان بسنده و محور عمليات خود را بر اساس يافته هاي آنان قرار دهيم . در اين رابطه لازم است متناسب با نوع سيستم عامل نصب شده بر روي سيستم ها از پويشگران متعدد و مختص سيستم عامل مربوطه استفاده گردد( اخذ نتايج مطلوبتر) . بهرحال استفاده از اين نوع نرم افزارها قطعا” باعث شناسائي سريع نقاط آسيب پذير و صرفه جوئي زمان مي گردد ولي نمي بايست اين تصور وجود داشته باشد که استفاده از آنان بمنزله يک راه حل جامع امنيتي است . تاکيد صرف بر نتايج بدست آمده توسط آنان ، مي تواند نتايج نامطلوب امنيتي را بدنبال داشته باشد . در برخي موارد ممکن است لازم باشد ، بمنظور تشخيص نقاط آسيب پذير يک سيستم ،عمليات دستي انجام و يا حتي تاسکريپت هاي خاصي در اين رابطه نوشته گردد .
۴-۲-۵ عدم مشاهده لاگ ها
مشاهده لاگ هاي سيستم، يکي از مراحل ضروري در تشخيص مستمر و يا قريب الوقوع تهديدات است . لاگ ها، امکان شناسائي نقاط آسيب پذير متداول و حملات مربوطه را فراهم مي نمايند. بنابراين مي توان تمامي سيستم را بررسي و آن را در مقابل حملات مشخص شده ، مجهز و ايمن نمود. در صورت بروز يک تهاجم ، با استفاده از لاگ هاي سيستم ، تسهيلات لازم بمنظور رديابي مهاجمان فراهم مي گردد.( البته بشرطي که آنان اصلاح نشده باشند ) . لاگ ها را بصورت ادواري بررسي و آنها را در يک مکان ايمن ذخيره نمائيد.
۵-۲-۵ اجراي سرويس ها و يا اسکريپت هاي اضافه و غير ضروري
استفاده از منابع و شبکه سازمان ، بعنوان يک زمين بازي شخصي براي تست اسکريپت ها و سرويس هاي متفاوت ، يکي ديگر از اشتباهات متداولي است که توسط اکثريت قريب به اتفاق مديران سيستم انجام مي شود . داشتن اينچنين اسکريپت ها و سرويس هاي اضافه اي که بر روي سيستم اجراء مي گردند ، باعث ايجاد مجموعه اي از پتانسيل ها و نفاط ورود جديد براي يک مهاجم مي گردد ( در صورتيکه سرويس هاي اضافه و يا اسکريپت ها بر روي سرويس دهنده اصلي نصب و تست گردند ، مشکلات مي تواند مضاعف گردد ). در صورت نياز به تست اسکريپت ها و يا اجراي سرويس هاي اضافه ، مي بايست عمليات مورد نظر خود را از طريق يک کامپيوتر ايزوله شده انجام داد (هرگز از کامپيوتري که به شبکه متصل است در اين راستا استفاده نگردد ) .
۳-۵ اشتباهات متداول مديران سازمان ها
مديران سازمان، به افرادي اطلاق مي گردد که مسئوليت مديريت ، هدايت و توسعه سازمان را بر عهده داشته و با منابع متفاوت موجود در سازمان نظير بودجه ، سروکار دارند. امروزه استفاده از اينترنت توسط سازمان ها و موسسات ، مزاياي متعددي را بدنبال دارد. واژه ” تجارت الکترونيکي” بسيار متداول و استراتژي تجارت الکترونيکي ، از جمله مواردي است که در هر برنامه ريزي تجاري به آن توجه خاص مي گردد. در صورتيکه سازمان ها و موسسات داراي يک استراتژي امنيتي مشخص شده اي نباشند ، اتصال به شبکه جهاني تهديدي در ارتباط با اطلاعات حساس خواهد بود. در ادامه به برخي از اشتباهات متداول که از ناحيه مديران سازمان بروز و تاثير منفي در ارتباط با امنيت اطلاعات در سازمان را بدنبال خواهد داشت ، اشاره مي گردد :
۱-۳-۵ استخدام کارشناسان آموزش نديده و غيرخبره
بدون ترديد ، کارشناسان آموزش ديده و خبره ، يکي از منابع ارزشمند درهر سازمان محسوب مي گردند. همواره مي بايست از کارشناسان ورزيده در ارتباط با امنيت در يک سازمان استفاده گردد. فرصت سعي و خطاء نيست و ممکن است در اين محدوده زماني چيزي را که يک سازمان از دست مي دهد بمراتب بيشتر از چيزي است که مي خواهد بدست آورد. امنيت اطلاعات از جمله مقولاتي است که براي يک سازمان داراي جايگاهي است و همواره مي بايست بهترين تصميم دررابطه با استفاده از منابع انساني ماهر ، اتخاذ گردد. استفاده از يک کارشناس غير ماهر در امور امنيت اطلاعات و شبکه در يک سازمان ، خود تهديدي امنيتي است که بر ساير تهديدات موجود اضافه خواهد شد . ( ما نمي توانيم مسئوليت پياده سازي استراتژي امنيتي در سازمان را به افرادي واگذار نمائيم