امنيت درشبكه

مقدمه

شركت صنايع آذرآب در زميني به مساحت ۳۳ هكتار قرار دارد وسطح زير بناي كارگاههاي اصلي آن متجاوز از ۷۰۰۰۰ مترمربع و كل كارگاههاي مسقف جمعاً ۱۱۰۰۰۰ متر مربع را تشكيل مي دهند.كارخانجات شركت آذرآب در پنج كيلومتري شهر اراك واقع شده و در ميان راه آهن سراسري شمال ـ جنوب و جاده تهران ـ جنوب محصور است.

شركت صنايع آذرآب كه فعاليت خود را رسماً ازسال ۱۳۶۸ آغاز نمود با بهره برداري از ۸۹ ميليون دلار ماشين آلات وارداتي وبيش از ۵۰ ميليارد ريال تجهيزات و آموزش بيش از ۲۰۰۰ كارشناس وتكنيسين و كارگر ماهر در مدت كوتاه توانست با همكاري در طرحهاي بزرگ ملي مانند ساخت ديگهاي بخار نيروگاه حرارتي شهيد رجايي، نيروگاه سيكل تركيبي قم ، نيروگاه شازند اراك ، همچنين ساخت مخازن ، مبدل ها و برجها در پروژه هاي واحد روغن سازي پالايشگاه اصفهان ، پاليشگاه گاز كنگان ، مجتمع پتروشيمي اراك وپالايشگاه اراك نقش ارزنده اي را در توسعه صنعتي ايران ايفا نمايد.

شركت صنـايع آذرآب با استقرار نظام كيفيتي منطبق با خواسته هاي استـاندارد بين المللي مديريت كيفيت موفق شد گواهينامه را در زمينه طراحي وساخت محصولات پيشرفته صنعتي به دست آورد و اطمينان لازم را نسبت به كيفيت محصول در مديريت و مشتريان خود فراهم سازد.
شرکت صنایع آذرآب در زمینه طراحی ، مهندسی ، ساخت ، نصب و راه اندازی تجهیزات مورد نیاز صنایع تولید انرژی شامل : انواع دیگهای بخار (نیروگاهی ، بازیافت حرارتی ، صنعتی ، یکپارچه) ،تجهیزات و قطعات نیروگاه های آبی (توربین ، ژنراتور) ، انواع مخازن (تحت فشار ، ذخیره ) ، مبدلهای حرارتی ، برجهای تقطیر و خنک کننده ، تجهیزات کارخانجات سیمان و قند ، انواع کوره (صنایع پتروشیمی ، احیای فولاد ، پالایشگاهی) و … فعالیت دارد.

 

محصولات شرکت آذرآب عبارتند از:
بویلر , مخازن وتجهیزات , توربینهای آبی و منابع معدنی.

انواع بویلرهای نیروگاهی , صنعتی و سیکل ترکیبی و پکیج :

الف ) دیگهای بخارصنعتی (AIC / I.H.I SD TYPE)

شركت صنایع آذرآب بویلرهای نوع SD تحت لیسانس شركت IHI ژاپن را طراحی می نماید. این بویلر بعنوان بویلرهای صنعتی شناخته می شوند و دارای راندمان بالا و كیفیت بسیار مطلوب و سرعت پاسخ مناسب می باشند.این نوع بویلرها خود اتكاء (Botton Support)، دارای دو درام جداگانه ازنوع چرخش طبیعی می باشند و قابلیت تولید بخار با ظرفیت حداكثر۴۵۰ تن در ساعت می باشند.مشعلهای این نوع بویلر در دیواره جلو بوده و به لحاظ آرایش سطوح حرارتی به گونه‌ای است كه جریان دود بر روی سطوح بطور یكنواخت توزیع گردیده است.كیفیت بالای حاصله از استانداردهای مطلوب و ساختارها و كارآیی بالای آنها باعث استقبال مشتریان از این نوع بویلر می باشند.

ب) دیگهای بخار یكپارچه (AIC / I.H.I SC TYPE)

شركت صنایع آذرآب با عقد قرارداد انتقال فن آوری طراحی و ساخت با شركتهای I.H.I ژاپن و FW (Fostre Weeler)اسپانیا توانمندیهای لازم جهت كلیه مراحل ساخت و طراحی دیگهای بخار یكپارچه را فراهم آورده است. از جمله مزایا و مشخصات دیگهای صنعتی عبارتست از :

بالا بودن سرعت پاسخ زمانی این بویلر به تغییرات بار
بالا بودن قابلیت اطمینان
این دیگها را می توان بطور یكپارچه در كارخانه تولید و پس از آن به سایت حمل نمود.

شایان ذكر است در مواردی كه محدودیتهای حمل بار جاده ای وجودداشته باشد می توان این نوع دیگهای بخار را در قطعه بندیهای كوچكتر حمل نموده و عملیات نصب و برپایی را در سایت بانجام رساند. بخار تولیدی توسط این مدل دیگ می تواند فوق داغ ویا اشباع باشد و به نظر و درخواست مشتری بستگی دارد.
این نوع دیگ بخار خود اتكاء (Botton Support)، دارای دو درام مجزای آب و بخار و سیستم گردشی طبیعی آب و بخار می باشد. همچنین با نوجه به آزمایشات و تجربیات فراوانی كه در طراحی و ساخت این نوع دیگ وجود دارد امكان طراحی و ساخت پیشرفته آنها فراهم آمده است.

 

ج) دیگهای بخار صنعتی – نیروگاهی(SN )

شركت صنایع آذرآب بویلرهای توع (SN) را تحت لیسانس شركت I.H.I ژاپن طراحی می نماید. این بویلر هم مصرف صنعتی و هم نیروگاهی دارد و دارای راندمان بالا و حداقل افت حرارتی می باشد. با فشار و درجه حرارت بالا كاركرده و در ظرفیت های متوسط در صنایع به كارگرفته می شود و این نوع بویلر فقط از بالا به سازه فلزی خود متصل است (Top Support) و دارای یك درام بدون ری هیتر بوده و از نوع تشعشی و دارای سیستم چرخش آب طبیعی است.

د) دیگهای بخار نیروگاهی نوع SR

این نوع دیگ برای تولید بخار در نیروگاههای حرارتی كاربرد دارد . این دیگها با سیستم چرخش طبیعی، بطور تك درام و دارای چندین مرحله گرمكن بخارSUPER HEATER بازگرمكن بخار(REHEATER) و اكونومایزر می باشند.

مخازن و تجهیزات پالایشگاهی و پتروشیمی

مخازن تحت فشار:

به مخازنی اطلاق می گردد كه به منظور انجام فرآیند بخصوص تعت فشارمعین مورد نیاز باشد. در ساخت چنین مخازنی می بایست دقت كافی به عمل آید. زیرا عدم دقت در جوشكاری ، انتخاب صحیح مواد و … منجر به انفجار مخزن می گردد. در حقیقت مخازن تحت فشار همانند یك بمب عمل نموده وفاجعه آمیز می باشد.

مخازن ذخیره:

در این مخازن غالباً فشار موجود فشار اتمسفر بوده واز این رو می توان از فولادهای با جنس ضعیف تر نسبت به مخازن تحت فشار استفاده نمود. این مخازن عمدتاً برای ذخیره یك ماده شیمیایی بكار میروند و به دو دسته تقسیم می شوند:

۱- مخازن ذخیره سقف ثابت
۲- مخازن ذخیره سقف شناور

مخازن نوع اول برای مواردی كه درون مخزن واكنش شیمیایی كه منجر به فرار سیال گردد ،‌وجود نداشته باشد ‌بكار می‌روند ومخازن نوع دوم عالباً برای سوخت ویا مواد شیمیایی فرار به كار می روند. حركت سقف شناور بر اساس قانون تعادل ارشمیدس می باشد و توسط گازهای حاصل از مایع شیمیایی فرار كه در زیر سقف جمع می گردد حركت مختصری دارد ولی بر اساس كلی حركت سقف بر مبنای حجم ذخیره شده است.

برجهای تقطیر:

اینگونه تجهیزات به منظور انجام عمل تقطیرمواد شیمیایی و به خصوص هیدروكربنها در صنایع پالایشگاهی وپتروشیمی مورد استفاده قرار می گیرند.معمولاً فشار در اینگونه تجهیزات بالا بوده و در زمره مخازن تحت فشار هستند.گاه طول آنها به ۱۰۰ متر نیز می رسد بدیهی است كه طول وقطر تابع فرآیند میبا‌شند.

مبدلهای حرارتی:

اینگونه تجهیزات كه شامل گرمكن ها وخنك‌كن‌ها می باشند بمنظور تبادل گرما بكار میروند یعنی بسته به نیاز دو سیال وارد آن شده و با هم تبادل حرارتی انجام داده و درجه حرارت آنها به هنگام خروج متفاوت(افزوده و یا كاسته) گردیده و بر حسب این تبادل حرارت واكنش
بخصوص انجام میگردد.مبدلهای حرارتی به انواع گوناگون از قبیل لوله پوسته ای ، دو لوله ای ، فشرده و… تقسیم بندی می گردد.

توربینهای آبی :

امروزه استفاده از نیروگاههای آبی بهترین گزینه در بهبود محیط زیست وكاهش انواع آلودگیها می باشد وصنایع آذرآب مفتخر است كه با بكارگیری این فن آوری نقش كاملاً قابل توجه وارزشمندی در حفظ محیط زیست دارا می باشد وبا اقدام به طراحی وتولید توربین های آبی پیشتاز در بكارگیری فن آوری مناسب واستفاده از انرژی ، كاهش گازهای آلاینده

و بهبود محیط زیست برای کشور نیز می باشد.این شركت پس از موفقیت در اخذ گواهینامه ISO9001 به دنبال استقرار استــاندارد ISO 14000 بوده وبرنامه ریزیهای مناسب خویش را در این زمینه به مرحله اجرا گذاشته است.معاونت اجرایی نیروگاههای آبی شركت صنایع آذرآب به عنوان پیشرو در ساخت تجهیزات سنگین نیروگاههای آبی در ایران تاكنون موفق به انعقاد قراردادهای متعددی درزمینه مهندسی و ساخت این تجهیزات با همكاری شركتهای معتبر خارجی شده است . هم اكنون ساخت توربین های آبی با ظرفیت حداكثر MW250 از نوع فرانسیس و شیرهای پروانه ای مورد نیاز با همكاری شركتهای HEC چین وVoith اتریش برای اولین بار در صنعت ابران در حال انجام مراحل پایانی پروژه ها می باشد.

توربینهای آبی و فرآیند آن:

توربین آبی ماشینی است كه انرژی پتانسیل آب را به انرژی مكانیكی (دورانی ) تبدیل میكند . این حركت دورانی به محور ژنراتور منتقل شده واز طریق ژنراتور انرژی مكانیكی (حركت دورانی محور ) به انرژی الكتریكی تبدیل میگردد.قسمت اصلی توربین شامل پره هایی است كه بر روی محوری به صورت متقارن محكم شده وباآن دوران مینماید سیال به هنگام عبور از بین پره ها تبادل انرژی انجام داده وانرژی سیال به چرخ منتقل میشود .

منابع معدنی:

سیمان،امروزه در دنیا جزو كالاهای استراتژیك محسوب شده ومیزان مصرف سرانه آن یكی ازشاخصهای پیشرفت یك مملكت تلقی می شود. براین اساس تلاشهای فراوانی برای بازاریابی جهت ساخت تجهیزات كارخانجات سیمان درداخل وخارج از كشور انجام پذیرفته و همكاری در ساخت و نصب تجهیزات چندین كارخانه در داخل كشور نتیجه این تلاشهاست .

تجهیزات شرکت آذرآب عبارتند از :
ماشینکاری سنگین ,عملیات اولیه , جوشکاری , عملیات حرارتی و کنترل کیفیت

و در پایان این نکته را متذکر میشویم که این شرکت دارای گواهینامه های زیر از شرکتهای مختلف می باشد که عبارتند از :

 گواهینامه سیستم مدیریت زیست محیطی ISO 14001 ورژن ۱۹۹۶ از شرکت SGS سوئیس
 گواهینامه سیستم مدیریت کیفیت ISO 9001 ورژن ۲۰۰۰ ازشرکت SGS سوئیس
 گواهینامه تقدیر شرکت JGC از شرکت صنایع آذرآب در ساخت پالایشگاه هفتم اراک
 گواهینامه انتقال تکنولوژی از شرکت IHI ژاپن در زمینه بویلر
 گواهینامه تایید کیفیت از شرکت GQM
 گواهینامه تایید ازشرکت JSW ژاپن درزمینه مخازن تحت فشار

مفاهیم امنیت شبکه

امنیت شبکه یا Network Security پردازه ای است که طی آن یک شبکه در مقابل انواع مختلف تهدیدات داخلی و خارجی امن می شود. مراحل ذیل برای ایجاد امنیت پیشنهاد و تایید شده اند:
۱- شناسایی بخشی که باید تحت محافظت قرار گیرد.
۲- تصمیم گیری درباره مواردی که باید در مقابل آنها از بخش مورد نظر محافظت کرد.
۳- تصمیم گیری درباره چگونگی تهدیدات
۴- پیاده سازی امکاناتی که بتوانند از دارایی های شما به شیوه ای محافظت کنند که از نظر هزینه به صرفه باشد.
۵- مرور مجدد و مداوم پردازه و تقویت آن درصورت یاقتن نقطه ضعف

برای درک بهتر مباحث مطرح شده در این بخش ابتدا به طرح بعضی مفاهیم درامنیت
شبکه می پردازیم.

۱- منابع شبکه
در یک شبکه مدرن منابع بسیاری جهت محافظت وجود دارند. لیست ذیل مجموعه ای از منابع شبکه را معرفی می کند که باید در مقابل انواع حمله ها مورد حفاظت قرار گیرند.
۱- تجهیزات شبکه مانند روترها، سوئیچ ها و فایروالها
۲- اطلاعات عملیات شبکه مانند جداول مسیریابی و پیکربندی لیست دسترسی که بر روی روتر ذخیره شده اند.
۳- منابع نامحسوس شبکه مانند عرض باند و سرعت

۴- اطلاعات و منابع اطلاعاتی متصل به شبکه مانند پایگاه های داده و سرورهای اطلاعاتی
۵- ترمینالهایی که برای استفاد هاز منابع مختلف به شبکه متصل می شوند.
۶- اطلاعات در حال تبادل بر روی شبکه در هر لحظه از زمان
۷- خصوصی نگهداشتن عملیات کاربرن و استفاده آنها از منابع شبکه جهت جلوگیری از شناسایی کاربران.
مجموعه فوق به عنوان دارایی های یک شبکه قلمداد می شود.

۲- حمله
حال به تعریف حمله می پردازیم تا بدانیم که از شبکه در مقابل چه چیزی باید محافظت کنیم. حمله تلاشی خطرناک یا غیر خطرناک است تا یک منبع قابل دسترسی از طریق شبکه ، به گونه ای مورد تغییر یا استفاده قرار گیرد که مورد نظر نبوده است.برای فهم بهتر بد نیست حملات شبکه را به سه دسته عمومی تقسیم کنیم:
۱- دسترسی غیرمجاز به منابع و اطلاعات از طریق شبکه
۲- دستکاری غیرمجاز اطلاعات بر روی یک شبکه

۳- حملاتی که منجر به اختلال در ارائه سرویس می شوند و اصطلاحا Denial of Service نام دارند.
کلمه کلیدی در دو دسته اول انجام اعمال به صورت غیرمجاز است. تعریف یک عمل مجاز یا غیرمجاز به عهده سیاست امنیتی شبکه است، اما به عبارت کلی می توان دسترسی غیرمجاز را تلاش یک کاربر جهت دیدن یا تغییر اطلاعاتی که برای وی در نظر گرفته نشده است، تعریف نمود اطلاعات روی یک شبکه نیز شامل اطلاعات موجود بر روی رایانه های متصل به شبکه مانند سرورهای پایگاه داده و وب ، اطلاعات در حال تبادل بر روی شبکه و اطلاعات مختص اجزاء شبکه جهت انجام کارها مانند جداول مسیریابی روتر است. منابع شبکه را نیز می توان تجهیزات انتهایی مانند روتر و فایروال یا مکانیزمهای اتصال و ارتباط دانست.

هدف از ایجاد امنیت شبکه ، حفاظت از شبکه در مقابل حملات فوق است، لذا می توان اهداف را نیز در سه دسته ارائه کرد:
۱- ثابت کردن محرمانگی داده
۲- نگهداری جامعیت داده
۳- نگهداری در دسترس بودن داده

۳- حلیل خطر
پس از تعیین دارایی های شبکه و عوامل تهدیدکننده آنها ، باید خطرات مختلف را ارزیابی کرد. در بهترین حالت باید بتوان از شبکه در مقابل تمامی انواع خطا محافظت کرد، اما امنیت ارزان به دست نمی آید. بنابراین باید ارزیابی مناسبی را بر روی انواع خطرات انجام داد تا مهمترین آنها را تشخیص دهیم و از طرف دیگر منابعی که باید در مقابل این خطرات محافظت شوند نیز شناسایی شوند. دو فاکتور اصلی در تحلیل خطر عبارتند از :
۱- احتمال انجام حمله
۲- خسارت وارده به شبکه درصورت انجام حمله موفق

۴- سیاست امنیتی
پس از تحلیل خطر باید سیاست امنیتی شبکه را به گونه ای تعریف کرد که احتمال خطرات و میزان خسارت را به حداقل برساند. سیاست امنیتی باید عمومی و در حوزه دید کلی باشد و به جزئیات نپردازد. جزئیات می توانند طی مدت کوتاهی تغییر پیدا کنند اما اصول کلی امنیت یک شبکه که سیاست های آن را تشکیل می دهند ثابت باقی می مانند.در واقع سیاست امنیتی سه نقش اصلی را به عهده دارد:
۱- چه و چرا باید محافظت شود.

۲- چه کسی باید مسئولیت حفاظت را به عهده بگیرد.
۳- زمینه ای را بوجود آورد که هرگونه تضاد احتمالی را حل و فصل کند.
سیاستهای امنیتی را می توان به طور کلی به دو دسته تقسیم کرد:
۱- مجاز (Permissive) : هر آنچه بطور مشخص ممنوع نشده است ، مجاز است.

۲- محدود کننده (Restrictive) : هر آنچه بطور مشخص مجاز نشده است ، ممنوع است.
معمولا ایده استفاده از سیاستهای امنیتی محدودکننده بهتر و مناسبتر است چون سیاستهای مجاز دارای مشکلات امنیتی هستند و نمی توان تمامی موارد غیرمجاز را برشمرد. المانهای دخیل در سیاست امنیتی در RFC 2196 لیست و ارائه شده اند.

۵- طرح امنیت شبکه
با تعریف سیاست امنیتی به پیاده سازی آن در قالب یک طرح امنیت شبکه می رسیم. المانهای تشکیل دهنده یک طرح امنیت شبکه عبارتند از :
۱- ویژگیهای امنیتی هر دستگاه مانند کلمه عبور مدیریتی و یا بکارگیری SSH
2- فایروالها
۳- مجتمع کننده های VPN برای دسترسی از دور
۴- تشخیص نفوذ
۵- سرورهای امنیتی AAA ( Authentication، Authorization and Accounting) و سایر خدمات AAA برای شبکه
۶- مکانیزمهای کنترل دسترسی و محدودکننده دسترسی برای دستگاههای مختلف شبکه

۶- نواحی امنیتی
تعریف نواحی امنیتی نقش مهمی را در ایجاد یک شبکه امن ایفا می کند. در واقع یکی از بهترین شیوه های دفاع در مقابل حملات شبکه ، طراحی امنیت شبکه به صورت منطقه ای و مبتنی بر توپولوژی است و یکی از مهمترین ایده های مورد استفاده در شبکه های امن مدرن ، تعریف نواحی و تفکیک مناطق مختلف شبکه از یکدیگر است. تجهیزاتی که در هر ناحیه قرار می گیرند نیازهای متفاوتی دارند و لذا هر ناحیه حفاظت را بسته به نیازهای امنیتی تجهیزات نصب شده در آن ، تامین می کند. همچنین منطقه بندی یک شبکه باعث ایجاد ثبات بیشتر در آن شبکه نیزمی شود.

نواحی امنیتی بنابر استراتژی های اصلی ذیل تعریف می شوند.
۱- تجهیزات و دستگاههایی که بیشترین نیاز امنیتی را دارند (شبکه خصوصی) در امن ترین منطقه قرار می گیرند. معمولا اجازه دسترسی عمومی یا از شبکه های دیگر به این منطقه داده نمی شود. دسترسی با کمک یک فایروال و یا سایر امکانات امنیتی مانند دسترسی از دور امن (SRA) کنترل می شود. کنترل شناسایی و احراز هویت و مجاز یا غیر مجاز بودن در این منطقه به شدت انجام می شود.

۲- سرورهایی که فقط باید از سوی کاربران داخلی در دسترس باشند در منطقه ای امن ، خصوصی و مجزا قرار می گیرند. کنترل دسترسی به این تجهیزات با کمک فایروال انجام می شود و دسترسی ها کاملا نظارت و ثبت می شوند.
۳- سرورهایی که باید از شبکه عمومی مورد دسترسی قرار گیرند در منطقه ای جدا و بدون امکان دسترسی به مناطق امن تر شبکه قرار می گیرند. درصورت امکان بهتر است هر یک از این سرورها را در منطقه ای مجزا قرار داد تا درصورت مورد حمله قرار گرفتن یکی ، سایرین مورد تهدید قرار نگیرند. به این مناطق DMZ یا Demilitarized Zone می گویند.
۴- استفاده از فایروالها به شکل لایه ای و به کارگیری فایروالهای مختلف سبب می شود تا درصورت وجود یک اشکال امنیتی در یک فایروال ، کل شبکه به مخاطره نیفتد و امکان استفاده از Backdoor نیز کم شود.

سیاست های امنیتی

درنیایی که وجه مشخصه آن فناوری سطح بالا و ارتباطات گسترده میباشد، هرسازمانی نیاز به سیاست های امنیتی که مدبرانه تدوین شده باشند دارد. در هر لحظه خطرات مختلفی از بیرون و درون سازمان توسط هکرها، رقبا و یا کشورهای خارجی منافع سازمان را تهدید می کند. هدف سیاست های امنیتی تعریف روال ها، راهنماها و تمریناتی است که امنیت را در محیط سازمان برقرار و مدیریت می نماید. با اجرای دقیق سیاست های امنیتی، سازمان ها می توانند تهدیدات را کاهش دهند.
مفاهیم

سیاست امنیتی یک سازمان سندی است که برنامه های سازمان برای محافظت سرمایه های فیزیکی و مرتبط با فناوری ارتباطات را بیان می نماید. به سیاست امنیتی به عنوان یک سند زنده نگریسته می شود، بدین معنا که فرایند تکمیل و اصلاح آن هیچ گاه متوقف نشده، متناسب با تغییر فناوری و نیازهای کاربران به روز می شود. چنین سندی شامل شرایط استفاده مجاز کاربران، برنامه آموزش کاربران برای مقابله با خطرات، توضیح معیارهای سنجش و روش سنجش امنیت سازمان و بیان رویه ارزیابی موثر بودن سیاست های امنیتی و راه کار به روز رسانی آنها می باشد.هر سیاست امنیتی مشخص کننده اهداف امنیتی و تجاری سازمان است ولی در مورد راه کارهای مهندسی و پیاده سازی این اهداف بحثی نمی کند. سند سیاست امنیتی سازمان باید قابل فهم، واقع بینانه و غیر متناقض باشد، علاوه بر این از نظر اقتصادی امکان پذیر، از نظر عملی قابل انعطاف و متناسب با اهداف سازمان و نظرات مدیریت آن سطح حافظتی قابل قبولی را ارائه نماید.

تدوین سیاست
بهترین روش برای دستیابی به امنیت اطلاعات، فرموله نموده سیاست امنیتی است. مشخص نمودن سرمایه های اصلی که باید امن شوند و تعیین سطح دسترسی افراد (به عبارت دیگر اینکه چه افرادی به چه سرمایه هایی دسترسی دارند) در اولین گام باید انجام شود. هدف اصلی از سیاست امنیتی این است که کاربران بدانند مجاز به چه کارهایی هستند و از سوی دیگر مدیران سیستم و سازمان را در تصمیم گیری برای پیکربندی و استفاده از سیستم ها یاری رساند.برای تدوین سیاست امنیتی پس از تحلیل ریسک های سازمان، می توان به روش هایی که دیگران برگزیده اند متوسل شد. معمولا تجارب مفیدی که قبلا در صنایع مشابه انجام شده و نتایج خوبی از آنها نتیجه شده است به صورت عمومی گزارش شده و در قالب مقالات تخصصی ارائه می گردند. استانداردهای شناخته شده ای نیز برای این کار وجود دارد که می توان از آنها هم بهره گرفت.سازمان های بزرگ و متوسط برای تعریف سیاست امنیتی خود ناچار به پیروی روش بالا به پایین می باشند. ولی برای سازمان های کوچک انجام این کار به روش پایین به بالا نیز امکان پذیر است. در این حالت از قابلیت های ابزارهای موجود بهره گرفته می شود.

استانداردها و روال های امنیتی
سیاست های امنیتی دربردارنده کلیه انتظارات، برنامه ها و اهداف عملیاتی مدیریت سازمان می باشد. برای عملیاتی و قابل اجرا بودن، سیاست امنیتی باید با استفاده از استانداردها، راهنماها و رویه های شناخته شده تعریف شود که اطمینان از سازگاری کلیه عملیات اجرایی با سیاست های امنیتی حاصل گردد.استاندارها، راهنما ها و روال ها تفسیر خاصی از سیاست را ارائه می کنند و کاربران، مشتریان و مدیران سازمان را برای پیاده سازی سیاست آماده می نمایند.

ساختار سیاست امنیتی
ساختار سیاست امنیتی مرکب از اجزاء زیر می باشد:
• عبارتی در رابطه با موضوع سیاست
• چگونگی اجرای سیاست در محیط سازمان
• نقش و مسئولیت افراد مختلف تاثیر گذار در سیاست
• سیاست به چه میزان انعطاف پذیر است؟
• اعمال، فعالیت ها و فرایندهای مجاز و غیر مجاز
• موارد سخت گیری و عدم انعطاف سیاست
AAA (Authentication, Authorization and Accounting)

AAA که مخفف Authentication, Authorization and Accounting است سه محور اصلی در کنترل دسترسی در شبکه هستند که در این بخش در مورد هریک از آنها به طور مجزا و مختصر صحبت می‌شود. ابتدا تعریفی از هریک از این مفاهیم ارائه می‌دهیم.
۱ – Authentication
۱-۱ – مفهوم Authentication
به معنای وارسی عناصر شناسایی ارائه شده از سوی کاربر،‌ تجهیزات یا نرم‌افزارهایی است که تقاضای استفاده و دسترسی به منابع شبکه را دارند. عناصر شناسایی در ابتدایی‌ترین و معمول‌ترین حالت شامل نام کاربری و کلمه عبور می‌باشند. در صورت نیاز به بالاتر بودن پیچیدگی فرایند کنترل و وارسی هویت، می‌توان با اضافه نمودن عناصر شناسایی به این مهم دست یافت. بدیهی‌ است که با اضافه نمودن فاکتورها و عناصر شناسایی، نوع خادم مورد استفاده، پایگاه‌های داده‌ای مورد نظر و در بسیاری از موارد پروتکل‌ها و استانداردها نیز باید مطابق با تغییرات اعمال شده در نظر گرفته شوند تا یکسانی در ارائه خدمات در کل شبکه حفظ شود. پس از ارائه عناصر شناسایی از سوی متقاضی، سیستم کد کاربری و کلمه عبور

را با بانک اطلاعاتی مختص کدهای شناسایی کاربری مقایسه کرده و پذیرش یا عدم پذیرش دسترسی به منابع را صادر می‌کند. عمل Authentication، در طراحی‌ شبکه‌هایی با حجم کم و متوسط عموماً توسط تجهیزات مسیریابی و یا دیوارهای آتش انجام می‌گیرد. علت استفاده از این روش مجتمع سازی و ساده سازی پیاده‌سازی عمل Authentication است. با استفاده از امکانات موجود نیاز به استقرار یک خادم مجزا برای صدور پذیرش هویت متقاضیان دسترسی مرتفع می‌گردد. از سوی دیگر در شبکه‌های با حجم و پیچیدگی نسبتاً بالا،‌ عموماً با توجه به پردازش بالای مختص عمل Authentication، خادمی بصورت مستقل و مجزا به این امر اختصاص می‌یابد. در این روش از استانداردها و پروتکل‌های مختلفی همچون TACACS+ و RADIUS استفاده می‌گردد.

۱-۲ – فعال نمودن Authentication
فعال نمودن Authentication بر روی تجهیزات مورد استفاده در شبکه عملی است که عموماً در چهار مرحله انجام می‌شود :
الف – فعال نمودن AAA بر روی سخت‌افزارهای مورد نظر

ب – ایجاد پایگاه‌ داده‌ای از کدهای کاربری کاربران یا تجهیزات شبکه به همراه کلمه‌های عبور. همانگونه که ذکر شد، این پایگاه می‌تواند در داخل تجهیزات مورد استفاده در شبکه‌های با حجم کم پیاده‌سازی شود. در شبکه‌های با حجم نسبتاً بالا که در آنها نیاز به استفاده از خادمی مختص عمل Authentication احساس می‌شود، تجهیزات فعال شبکه به گونه‌ای پیکربندی می‌شوند که عمل Authentication را با استفاده از پایگاه‌های داده‌ای مستقر بر روی خادم‌های مختص این فرایند،‌ انجام دهند.
ج – ایجاد فهرست(های) روش انجام عمل Authentication. این فهرست‌ها به تعیین روش‌ مورد نظر برای عمل Authentication اخصاص دارند.
د – اعمال فهرست(های) روش ساخته شده ار مرحله قبل.

در هر شبکه، در صورت نیاز به عمل Authentication، این چهار مرحله بر روی تمامی تجهیزاتی که در عمل AAA نقش دارند اجرا می‌شوند.
۲ – Authorization
۲-۱ – مفهوم Authorization
Authorization فرایندی است که طی آن به کاربران و یا تجهیزات متقاضی دسترسی به منابع، امکان استفاده از منبع یا منابع مستقر بر روی شبکه داده می‌شود. به بیان دیگر این عمل برای مدیران شبکه امکان تعیین نوع دسترسی به هریک از منابع شبکه، برای تک تک متقاضیان دسترسی و یا گروهی از آنها، را فراهم می‌کند.از سوی دیگر،‌ عمل امکان اختصاص آدرس‌های شناخته شده و از پیش تعیین شده به کاربران یا تجهیزات، همچون متقاضیانی که با استفاده از پروتکل PPP به شبکه متصل می‌شوند،‌ را می‌دهد. این عمل متقاضی را ملزم به استفاده از نوع خاصی ار استانداردها یا پیکربندی‌های ارتباطی مورد نظر مدیر شبکه می‌کند. زمانی که Authorization بر روی شبکه فعال شده باشد، خادم شبکه‌ای که مسئولیت Authorization را بر عهده دارد اطلاعات کاربر را از روی پایگاه داده کاربرها استخراج می‌کند. این پایگاه داده می‌تواند بر روی خادم محلی بوده و یا بر روی پایگاهی مجزا قرار داشته باشد. پس از استخراج این اطلاعات، وضعیت دسترسی مورد قبول مدیریت با تقاضای کاربر قیاس گردیده و تایید یا عدم تایید اجازه استفاده از سرویس یا منبع مورد نظر متقاضی صادر می‌شود.

۲-۲ – برقراری Authorization
برقراری و فعال نمودن Authorization عملی مشابه فعال نمودن Authentication است. برای برقراری و فعال نمودن Authorization، Authentication باید فعال شده باشد. به عبارت دیگر کلیه مراحل را می‌توان به شکل زیرخلاصه نمود:
الف – فعال نمودن Authentication بر روی سخت‌افزارهای مورد نظر. همانگونه که ذکر شد اولین مرحله از چهار مرحله فعال‌سازی این فرایند، فعال‌ سازی AAA بر روی تجهیزات است.
ب – ایجاد فهرست(های) روش انجام عمل Authorization. این فهرست‌ها علاوه بر تعیین روش‌ مورد نظر برای عمل Authorization، مبین سرویس مورد نظر برای عمل Authorization نیز می‌باشند.
ج – اعمال فهرست(های) روش ساخته شده ار مرحله قبل.

۳ – Accounting
۳-۱ – مفهوم Accounting
Accounting آخرین بخش از فرایند جمعی AAA است. طی این فرایند، گزارشی از عملکرد کاربران یا سخت‌افزارهایی که هویت آنها طی اعمال Authentication و Authorization تایید شده است، توسط خادم AAA تهیه می‌شود. این عمل می‌تواند با استفاده از خادم های خارجی که اس پروتکل‌ها و استانداردهایی چون TACACS+ و RADIUS استفاده می‌کنند انجام گیرد.به بیان دیگر،‌ این عمل قدمی فراتر از دو مرحله پیشین برداشته،‌ و پیگیری بعدی، پس از احراز هویت را انجام می‌دهد. پیام‌های Accounting به شکل رکورد،‌ میان تجهیزاتی که از طریق آنها دسترسی متقاضی درخواست شده و پایگاه‌های داده‌ای از قبیل TACACS+ یا RADIUS، تبادل می‌گردد.
۳-۲ – فعال سازی Accounting
فرایند فعال سازی Accounting مشابه Authorization است که مهم‌ترین مراحل شامل ایجاد فهرست‌های روش Accounting و اعمال آنهاست.

شبکه خصوصی مجازی(VPN)

شبکه خصوصی مجازی یا Virtual Private Network که به اختصار VPN نامیده می شود، امکانی است برای انتقال ترافیک خصوصی بر روی شبکه عمومی. معمولا از VPN برای اتصال دو شبکه خصوصی از طریق یک شبکه عمومی مانند اینترنت استفاده می شود.منظور از یک شبکه خصوصی شبکه ای است که بطور آزاد در اختیار و دسترس عموم نیست. VPN به این دلیل مجازی نامیده می شود که از نظر دو شبکه خصوصی ، ارتباط از طریق یک ارتباط و شبکه خصوصی بین آنها برقرار است اما در واقع شبکه عمومی این کار را انجام می دهد. پیاده سازی VPN معمولا اتصال دو یا چند شبکه خصوصی از طریق یک تونل رمزشده انجام می شود. در واقع به این وسیله اطلاعات در حال تبادل بر روی شبکه عمومی از دید سایر کاربران محفوظ می ماند. VPN را می توان بسته به شیوه پیاده سازی و اهداف پیاده سازی آن به انواع مختلفی تقسیم کرد.

دسته بندی VPN براساس رمزنگاری
VPN را می توان با توجه به استفاده یا عدم استفاده از رمزنگاری به دو گروه اصلی تقسیم کرد:
۱- VPNرمزشده : VPN های رمز شده از انواع مکانیزمهای رمزنگاری برای انتقال امن اطلاعات بر روی شبکه عمومی استفاده می کنند. یک نمونه خوب از این VPN ها ، شبکه های خصوصی مجازی اجرا شده به کمک IPSec هستند.

۲- VPN رمزنشده : این نوع از VPN برای اتصال دو یا چند شبکه خصوصی با هدف استفاده از منابع شبکه یکدیگر ایجاد می شود. اما امنیت اطلاعات در حال تبادل حائز اهمیت نیست یا این که این امنیت با روش دیگری غیر از رمزنگاری تامین می شود. یکی از این روشها تفکیک مسیریابی است. منظور از تفکیک مسیریابی آن است که تنها اطلاعات در حال تبادل بین دو شبکه خصوصی به هر یک از آنها مسیر دهی می شوند. (MPLS VPN) در این مواقع می توان در لایه های بالاتر از رمزنگاری مانند SSL استفاده کرد.
هر دو روش ذکر شده می توانند با توجه به سیاست امنیتی مورد نظر ، امنیت مناسبی را برای مجموعه به ارمغان بیاورند، اما معمولا VPN های رمز شده برای ایجاد VPN امن به کارمی روند. سایر انواع VPN مانند MPLS VPN بستگی به امنیت و جامعیت عملیات مسیریابی دارند.

دسته بندی VPN براساس لایه پیاده سازی
VPN بر اساس لایه مدل OSI که در آن پیاده سازی شده اند نیز قابل دسته بندی هستند. این موضوع از اهمیت خاصی برخوردار است. برای مثال در VPN های رمز شده ، لایه ای که در آن رمزنگاری انجام می شود در حجم ترافیک رمز شده تاثیر دارد. همچنین سطح شفافیت VPN برای کاربران آن نیز با توجه به لایه پیاده سازی مطرح می شود.
۱- VPN لایه پیوند داده : با استفاده از VPN های لایه پیوند داده می توان دو شبکه خصوصی را در لایه ۲ مدل OSI با استفاده از پروتکلهایی مانند ATM یا Frame Relay به هم متصل کرد.با وجودی که این مکانیزم راه حل مناسبی به نظر می رسد اما معمولا روش ارزنی نیست چون نیاز به یک مسیر اختصاصی لایه ۲ دارد. پروتکلهای Frame Relay و ATM مکانیزمهای رمزنگاری را تامین نمی کنند. آنها فقط به ترافیک اجازه می دهند تا بسته به آن که به کدام اتصال لایه ۲ تعلق دارد ، تفکیک شود. بنابراین اگر به امنیت بیشتری نیاز دارید باید مکانیزمهای رمزنگاری مناسبی را به کار بگیرید.

۲- VPN لایه شبکه : این سری از VPN ها با استفاده از tunneling لایه ۳ و/یا تکنیکهای رمزنگاری استفاده می کنند. برای مثال می توان بهIPSec Tunneling و پروتکل رمزنگاری برای ایجاد VPN اشاره کرد.مثالهای دیگر پروتکلهای GRE و L2TP هستند. جالب است اشاره کنیم که L2TP در ترافیک لایه ۲ تونل می زند اما از لایه ۳ برای این کار استفاده می کند. بنابراین در VPN های لایه شبکه قرار می گیرد. این لایه برای انجام رمزنگاری نیز بسیار مناسب است. در بخشهای بعدی این گزارش به این سری از VPN ها به طور مشروح خواهیم پرداخت.
۳- VPN لایه کاربرد : این VPN ها برای کار با برنامه های کاربردی خاص ایجاد شده اند. VPN های مبتنی بر SSL از مثالهای خوب برای این نوع از VPN هستند. SSL رمزنگاری را بین مرورگر وب و سروری که SSL را اجرا می کند، تامین می کند.SSH مثال دیگری برای این نوع از VPN ها است.SSH به عنوان یک مکانیزم امن و رمز شده برای login به اجزای مختلف شبکه شناخته می شود. مشکل VPNها در این لایه آن است که هرچه خدمات و برنامه های جدیدی اضافه می شوند ، پشتیبانی آنها در VPN نیز باید اضافه شود.

دسته بندی VPN براساس کارکرد تجاری
VPN را برای رسیدن به اهداف تجاری خاصی ایجاد می شوند. این اهداف تجاری تقسیم بندی جدیدی را برای VPN بنا می کنند .
۱- VPN اینترانتی : این سری از VPN ها دو یا چند شبکه خصوصی را در درون یک سازمان به هم متصل می کنند. این نوع از VPN زمانی معنا می کند که می خواهیم شعب یا دفاتر یک سازمان در نقاط دوردست را به مرکز آن متصل کنیم و یک شبکه امن بین آنها برقرار کنیم.
VPN اکسترانتی : این سری از VPN ها برای اتصال دو یا چند شبکه خصوصی از دو یا چند سازمان به کار می روند. از این نوع VPN معمولا برای سناریوهای B2B که در آن دو شرکت می خواهند به ارتباطات تجاری با یکدیگر بپردازند، استفاده می شود.

فایروال ها

فایروال وسیله ای است که کنترل دسترسی به یک شبکه را بنابر سیاست امنیتی شبکه تعریف می کند.علاوه بر آن از آنجایی که معمولا یک فایروال بر سر راه ورودی یک شبکه می نشیند لذا برای ترجمه آدرس شبکه نیز بکار گرفته می شود.
مشخصه های مهم یک فایروال قوی و مناسب جهت ایجاد یک شبکه امن عبارتند از:

۱- توانایی ثبت و اخطار :ثبت وقایع یکی از مشخصه های بسیار مهم یک فایروال به شمار می شود و به مدیران شبکه این امکان را می دهد که انجام حملات را کنترل کنند. همچنین مدیر شبکه می تواند با کمک اطلاعات ثبت شده به کنترل ترافیک ایجاد شده توسط کاربران مجاز بپردازد. در یک روال ثبت مناسب ، مدیر می تواند براحتی به بخشهای مهم از اطلاعات ثبت شده دسترسی پیدا کند. همچنین یک فایروال خوب باید بتواند علاوه بر ثبت وقایع، در شرایط بحرانی، مدیر شبکه را از وقایع مطلع کند و برای وی اخطار بفرستد.

۲- بازدید حجم بالایی از بسته های اطلاعات: یکی از تستهای یک فایروال ، توانایی آن در بازدید حجم بالایی از بسته های اطلاعاتی بدون کاهش چشمگیر کارایی شبکه است. حجم داده ای که یک فایروال می تواند کنترل کند برای شبکه های مختلف متفاوت است اما یک فایروال قطعا نباید به گلوگاه شبکه تحت حفاظتش تبدیل شود.عوامل مختلفی در سرعت پردازش اطلاعات توسط فایروال نقش دارند. بیشترین محدودیتها از طرف سرعت پردازنده و بهینه سازی کد نرم افزار بر کارایی فایروال تحمیل می شوند. عامل محدودکننده دیگر می تواند کارتهای واسطی باشد که بر روی فایروال نصب می شوند. فایروالی که بعضی کارها مانند صدور اخطار ، کنترل دسترسی مبنی بر URL و بررسی وقایع ثبت شده را به نرم افزارهای دیگر می سپارد از سرعت و کارایی بیشتر و بهتری برخوردار است.

۳- سادگی پیکربندی: سادگی پیکربندی شامل امکان راه اندازی سریع فایروال و مشاهده سریع خطاها و مشکلات است.در واقع بسیاری از مشکلات امنیتی که دامنگیر شبکه های می شود به پیکربندی غلط فایروال بر می گردد. لذا پیکربندی سریع و ساده یک فایروال ، امکان بروز خطا را کم می کند. برای مثال امکان نمایش گرافیکی معماری شبکه و یا ابزرای که بتواند سیاستهای امنیتی را به پیکربندی ترجمه کند ، برای یک فایروال بسیار مهم است.

۴- امنیت و افزونگی فایروال: امنیت فایروال خود یکی از نکات مهم در یک شبکه امن است.فایروالی که نتواند امنیت خود را تامین کند ، قطعا اجازه ورود هکرها و مهاجمان را به سایر بخشهای شبکه نیز خواهد داد. امنیت در دو بخش از فایروال ، تامین کننده امنیت فایروال و شبکه است:
الف- امنیت سیستم عامل فایروال : اگر نرم افزار فایروال بر روی سیستم عامل جداگانه ای کار می کند، نقاط ضعف امنیتی سیستم عامل ، می تواند نقاط ضعف فایروال نیز به حساب بیاید. بنابراین امنیت و استحکام سیستم عامل فایروال و بروزرسانی آن از نکات مهم در امنیت فایروال است.
ب- دسترسی امن به فایروال جهت مقاصد مدیریتی : یک فایروال باید مکانیزمهای امنیتی خاصی را برای دسترسی مدیران شبکه در نظر بگیرد. این روشها می تواند رمزنگاری را همراه با روشهای مناسب تعیین هویت بکار گیرد تا بتواند در مقابل نفوذگران تاب بیاورد.

انواع فایروال
انواع مختلف فایروال کم و بیش کارهایی را که اشاره کردیم ، انجام می دهند، اما روش انجام کار توسط انواع مختلف ، متفاوت است که این امر منجر به تفاوت در کارایی و سطح امنیت پیشنهادی فایروال می شود.بر این اساس فایروالها را به۵ گروه تقسیم می کنند.
۱- فایروالهای سطح مدار (Circuit-Level): این فایروالها به عنوان یک رله برای ارتباطات TCP عمل می کنند. آنها ارتباط TCP را با رایانه پشتشان قطع می کنند و خود به جای آن رایانه به پاسخگویی اولیه می پردازند.تنها پس از برقراری ارتباط است که اجازه می دهند تا داده به سمت رایانه مقصد جریان پیدا کند و تنها به بسته های داده ای مرتبط اجازه عبور می دهند. این نوع از فایروالها هیچ داده درون بسته های اطلاعات را مورد بررسی قرار نمی دهند و لذا سرعت خوبی دارند. ضمنا امکان ایجاد محدودیت بر روی سایر پروتکلها ( غیر از TCP) را نیز نمی دهند.
۲- فایروالهای پروکسی سرور : فایروالهای پروکسی سرور به بررسی بسته های اطلاعات در لایه کاربرد می پردازد. یک پروکسی سرور درخواست ارائه شده توسط برنامه های کاربردی پشتش را قطع می کند و خود به جای آنها درخواست را ارسال می کند.نتیجه درخواست را نیز ابتدا خود دریافت و سپس برای برنامه های کاربردی ارسال می کند. این روش با جلوگیری از ارتباط مستقیم برنامه با سرورها و برنامه های کاربردی خارجی امنیت بالایی را تامین می کند. از آنجایی که این فایروالها پروتکلهای سطح کاربرد را می شناسند ، لذا می توانند بر مبنای این پروتکلها محدودیتهایی را ایجاد کنند. همچنین آنها می توانند با بررسی محتوای بسته های داده ای به ایجاد محدودیتهای لازم بپردازند. البته این سطح بررسی می تواند به

کندی این فایروالها بیانجامد. همچنین از آنجایی که این فایروالها باید ترافیک ورودی و اطلاعات برنامه های کاربردی کاربر انتهایی را پردازش کند، کارایی آنها بیشتر کاهش می یابد. اغلب اوقات پروکسی سرورها از دید کاربر انتهایی شفاف نیستند و کاربر مجبور است تغییراتی را در برنامه خود ایجاد کند تا بتوان داین فایروالها را به کار بگیرد.هر برنامه جدیدی که بخواهد از این نوع فایروال عبور کند ، باید تغییراتی را در پشته پروتکل فایروال ایجاد کرد.

۳- فیلترهای Nosstateful packet : این فیلترها روش کار ساده ای دارند. آنها بر مسیر یک شبکه می نشینند و با استفاده از مجموعه ای از قواعد ، به بعضی بسته ها اجازه عبور می دهند و بعضی دیگر را بلوکه می کنند. این تصمیمها با توجه به اطلاعات آدرس دهی موجود در پروتکلهای لایه شبکه مانند IP و در بعضی موارد با توجه به اطلاعات موجود در پروتکلهای لایه انتقال مانند سرآیندهای TCP و UDP اتخاذ می شود. این فیلترها زمانی می توانند به خوبی عمل کنند که فهم خوبی از کاربرد سرویسهای مورد نیاز شبکه جهت محافظت داشته باشند. همچنین این فیلترها می توانند سریع باشند چون همانند پروکسی ها عمل نمی کنند و اطلاعاتی درباره پروتکلهای لایه کاربرد ندارند.

۴- فیلترهای ٍStateful Packet : این فیلترها بسیار باهوشتر از فیلترهای ساده هستند. آنها تقریبا تمامی ترافیک ورودی را بلوکه می کنند اما می توانند به ماشینهای پشتشان اجازه بدهند تا به پاسخگویی بپردازند. آنها این کار را با نگهداری رکورد اتصالاتی که ماشینهای پشتشان در لایه انتقال ایجاد می کنند، انجام می دهند.این فیلترها ، مکانیزم اصلی مورد استفاده جهت پیاده سازی فایروال در شبکه های مدرن هستند.این فیلترها می توانند رد پای اطلاعات مختلف را از طریق بسته هایی که در حال عبورند ثبت کنند. برای مثال شماره پورت های TCP و UDP مبدا و مقصد، شماره ترتیب TCP و پرچمهای TCP. بسیاری از فیلترهای جدید Stateful می توانند پروتکلهای لایه کاربرد مانند FTP و HTTP را تشخیص دهند و لذا می تواننداعمال کنترل دسترسی را با توجه به نیازها و سرعت این پروتکلها انجام دهند.

۵- فایروالهای شخصی : فایروالهای شخصی ، فایروالهایی هستند که بر روی رایانه های شخصی نصب می شوند.آنها برای مقابله با حملات شبکه ای طراحی شده اند. معمولا از برنامه های در حال اجرا در ماشین آگاهی دارند و تنها به ارتباطات ایجاد شده توسط این برنامه ها اجازه می دهند که به کار بپردازند نصب یک فایروال شخصی بر روی یک PC بسیار مفید است زیرا سطح امنیت پیشنهادی توسط فایروال شبکه را افزایش می دهد. از طرف دیگر از آنجایی که امروزه بسیاری از حملات از درون شبکه حفاظت شده انجام می شوند ، فایروال شبکه نمی تواند کاری برای آنها انجام دهد و لذا یک فایروال شخصی بسیار مفید خواهد بود. معمولا نیازی به تغییر برنامه جهت عبور از فایروال شخصی نصب شده (همانند پروکسی) نیست.