ngimg0

بايسته های امنیت اطلاعات در شبکه ها و سایت های اطلاع رسانی

Multithumb found errors on this page:

There was a problem loading image 'images/stories/3p.jpg'
There was a problem loading image 'images/stories/3p.jpg'

بسم الله الرحمن الرحیم

اللهم صل علی محمد و آل محمد و عجل فرجهم

 


فهرست مطالب:

مقدمه

وضعيت موجود شبكه ها در حوزه امنيت اطلاعات

وضعيت موجود وب سايت ها در حوزه امنيت اطلاعات

حوزه هاي مختلف امنيت اطلاعات

الف - مسايل مهم امنيتي مرتبط با شبكه:

پايه هاي سه گانه امنيت اطلاعات

امنيت شبكه در حوزه فيزيكي Physical

مؤلفه هاي  سه گانه حفاظت فيزيكي:

حوزه هاي مسؤوليتي مدير شبكه در عرصه امنيت فيزيكي اتاق شبكه، تجهيزات و لوازم مرتبط

امنيت شبكه در حوزه عملياتي(Operational)

اقدامات لازم براي تأمين امنيت شبكه در حوزه عملياتي (Operational)

شبكه هاي مبتني بر بي سيم

امنيت شبكه در حوزه مديريتي(Management)

محورهای مهم تأثیر گذاردر امنيت شبكه در حوزه مديريتي(Management)

- سیاست های مدیريتی       (Administrative polices)

- نيازمندي هاي طراحی نرم افزار    (Software design requirements)

- طرح ها و تدابیر بازیابی ویژه بحران     ((DRPs)Disaster recovery plans)

- سیاست های اطلاعاتی    (Information policies)

- سیاست های امنیتی   (Security policies)

- سیاست های کاربردی   (Usage policies)

- سیاست های مدیریت کاربر(User management policies)

ب - مسايل مهم امنيتي مر تبط با سايت:

علل و عوامل مؤثر در خصوص مديريت امن سايت هاي اينترتي

انتظارات و توقعات بجا

اهداف امنیت اطلاعات

منابع تحقيق


 

بايسته های امنیت اطلاعات

در شبکه ها و سایت های اطلاع رسانی

چكيده:
امروزه با رشد فناوري هاي نوين اطلاعات و ارتباطات، امكان دست يابي سريع به اطلاعات مورد نظر از طريق جست وجو در بانك هاي اطلاعاتي بدون محدوديت زماني و جغرافيايي وامكان ديدن همزمان يك سند، توسط كاربران متعدد در نقاط گوناگون، ارسال و دريافت اطلاعات به نقطه مورد نظر، گفت و گو و تبادل نظر متني، صوتي و تصويري ميسر گشته است بسياري از مراكز و مؤسسات دولتي و خصوصي، بانك ها، شركت ها و ادارات، مراكز آموزشي، پژوهشي، تبليغي و اطلاع رساني، در انجام وظايف و مأموريت هاي خود، از اين فناوري بهره مي برند و  خدمات خود را نيز از طريق آن عرضه داشته و اطلاع رساني مي كنند. حوزهاي علميه و مراكز آموزشي، پژوهشي و تبليغي نيز همانند ديگر مراكز و مؤسسات تا كنون در اين عرصه حضوري چشم گير و فعال داشته اند. راه اندازي پايگاه هاي اطلاعاتي اسلامي در محيط وب، بهره مندي از رايانه در محيط كار و منزل، ارائه بسته هاي نرم افزاري، راه اندازي وب سايت ها، وب لاگ ها، اتاق هاي گفت وگو،  بيان گر توجه جدي حوزه هاي علميه و مراكز اسلامي به اين پديده نو ظهور است.   نكته‌اي كه نبايد مورد غفلت قرار گيرد اين است كه در كنار اين فرصت ها و به موازات امكانات فراهم شده بايد به خطرها و تهديدهاي انساني و يا طبيعي  به كمين نشسته  به ويژه حوادث غير مترقبه نيز توجه شود. لازمه اين امر، داشتن دانش لازم، طرح و برنامه مشخص و آمادگي كافي براي مقابله و حل مشكل و مديريت امن شبكه و سايت هاي اطلاع رساني توسط مديران و توجه و عنايت شايسته به جايگاه امنيت اطلاعات  و هزينه كرد لازم در خصوص الزامات آن و تدوين سياست هاي  كلي امنيت اطلاعات توسط مديران ارشد مي باشد. در اين مقاله سعي شده با نگاهي كلي به الزامات مديريت امن شبكه و سايت هاي اطلاع رساني، به مؤلفه هاي امنيت اطلاعات، اصول و پايه هاي سه گانه آن در سه حوزه: امنيت فيزيكي و سخت افزاري، امنيت عملياتي و اجرايي و نيز سياست هاي امنيتي و مديريتي پرداخته شود. بديهي است كه هركدام از محورهاي ذكر شده نيازمند طرح و برنامه مشخص و ريز شده(Detailed) مي باشد و مسايل مطرح شده در اين تحقيق مي تواند به عنوان ملاك و معيار طرح هاي مرتبط با امنيت اطلاعات باشد. هدف اين پژوهش، كمك به راهبران و مديران شبكه ها و سايت هاي اطلاع رساني مي باشد. موضوع امنيت كاربران گرچه در لابلاي اين مباحث آمده است ليكن پرداختن كامل به امنيت كاربران به خصوص در ارتباط با سايت هاي اينترنتي موضوع مستقلي است كه خود، مجال ديگري را مي طلبد.

كليد واژه ها:

امنيت اطلاعات، مديريت امن شبكه،  مديريت امن سايت هاي اطلاع رساني، پايه هاي امنيت اطلاعات،  امنيت فيزيكي، امنيت عملياتي، سياست هاي امنيتي و مديريتي.

سيد مهدي مجيدي نظامي

 


 

مقدمه

آشنايي با دانش روز در حوزه فناوري اطلاعات و ارتباطات (1)(ICT)، جهت بهره مندي از امكانات و فرصت هايي كه در سايه اين فناوري در اختيار بشر گذاشته شده امري ضروري است. امروزه اصطلاح با سواد به كسي اطلاق مي شود كه در اين حوزه نيز داراي اطلاعات لازم جهت تعامل و كار و استفاده از فرصت هاي فراهم شده در اين عرصه باشد.

امكان دست يابي سريع به اطلاعات مورد نظر از طريق جست وجو دربانك هاي اطلاعاتي در تمامي ساعات بدون محدوديت زماني و جغرافيايي وامكان ديدن همزمان يك سند، توسط كاربران متعدد در نقاط گوناگون، ارسال و دريافت اطلاعات به نقطه مورد نظر، گفت و گو و تبادل نظر متني، صوتي و تصويري، فرصت هايي است كه بايد از آن بهره كامل برد. وغفلت از آن، همانند سر در زير برف فرو بردن و نديدن ديگران است. رشد اين فناوري آن چنان سريع و عميق بوده كه در جاي جاي زندگي فردي و اجتماعي انسان ها، نفوذ كرده و حضور قدرت مندانه خود را به رخ مي كشد.

بسياري از مراكز و مؤسسات دولتي و خصوصي، بانك ها، شركت ها و ادارات، مراكز آموزشي، پژوهشي، تبليغي و اطلاع رساني، در انجام وظايف و مأموريت هاي خود، از اين فناوري بهره مي برند و  خدمات خود را نيز از طريق آن عرضه داشته و اطلاع رساني مي كنند. حوزهاي علميه و مراكز آموزشي، پژوهشي و تبليغي نيز همانند ديگر مراكز و مؤسسات تا كنون در اين عرصه حضوري چشم گير و فعال داشته اند. راه اندازي پايگاه هاي اطلاعاتي اسلامي در محيط وب، بهره مندي از رايانه در محيط كار و منزل، ارائه بسته هاي نرم افزاري، راه اندازي وب سايت ها، وب لاگ‌ها، اتاق هاي گفت وگو،  بيان گر توجه جدي حوزه هاي علميه و مراكز اسلامي به اين پديده نو ظهور است.   ليكن نكته‌اي كه نبايد مورد غفلت قرار گيرد اين است كه در كنار اين فرصت ها و به موازات امكانات فراهم شده بايد به خطرها و تهديدهاي انساني و يا طبيعي  به كمين نشسته  به ويژه حوادث غير مترقبه نيز توجه شود. اگر نگاهي به اخبار و اطلاعات مربوط به حوزه فناوري اطلاعات و ارتباطات بيندازيم خبرهاي بسياري در زمينه عمليات خرابكارانه در سرورها، شبكه ها و سايت هاي اينترنتي مشاهده خواهيم كرد. نفوذ به سيستم هاي بانكي، سرقت حساب هاي بانكي، دست برد زدن به اطلاعات مهم، حذف اطلاعات، مخدوش كردن اطلاعات، از سرويس خارج كردن و از كار انداختن سرورها، از جمله كارهايي است كه در نقاط مختلف جهان رخ داده و مي دهد. در اين ميان حتي كشورهاي مدعي در حوزه فناوري اطلاعات و ارتباطات از عواقب سوء اين حملات، مصون نبوده اند. و هريك به تناسب دانش، توانايي، و درك موقعيت، براي جلوگيري از حملات و نيز رفع آثار در صورت موفقيت حملات  و ترميم خرابي ها و تثبيت نقاط آسيب پذير وتوسعه فناوري با توجه به شرايط و تحولات پيش رو، هزينه كرده اند و موفقيت هاي خوبي هم داشته اند. در بسياري از موارد پس از شناسايي نفوذ گران ماهر و نخبه، با استفاده از فرصت به دست آمده، وي را جهت شناسايي ديگر نقاط آسيب پذير ممكن و كمك به تأمين امنيت سازمان، خردمندانه به خدمت گرفته اند.

 

وضعيت موجود شبكه ها در حوزه امنيت اطلاعات

وضعيت جاري در شبكه هاي اسلامي و حوزوي در زمينه مسايل مربوط به امنيت اطلاعات، گوياي آن است كه در بسياري موارد از نبود نيروي متخصص، نداشتن طرح و برنامه بلند مدت، كم توجهي مسؤولان و به تبع آن عدم هزينه كرد لازم، دست و پنجه نرم مي كنند. استفاده از نرم افزارهاي رايگان، قفل شكسته و بدون لايسنس و در نتيجه عدم امكان پشتيباني فني لازم در كنار سخت افزارهاي ضعيف و توزيع نا متوازن امكانات، و در برخي موارد هدر رفت برخي امكانات، نبود آيين نامه جهت استفاده صحيح در راستاي اهداف كاري تعريف شده و در مواردي عدم التزام به آيين نامه موجود به علت نبود آيين نامه انضباطي و يا عدم ضمانت كافي جهت اجراي آن و عدم بازخورد گيري از كارهاي انجام شده و فقدان معيار براي سنجش روند امور و مقايسه ميان حالت موجود و حالت مطلوب و به عبارت ديگر نداشتن چشم انداز روشن در حوزه IT و امنيت اطلاعات، همه اين ها از مشكلاتي است كه فراروي مديران شبكه ها، خود نمايي مي كند وبايد به فكر چاره‌اي براي آن بود.

اگر در اين امور از كارشناسان شايسته استفاده مي شد قطعا ما در اين وضعيتي كه اكنون در آن به سر مي بريم گرفتار نبوديم. گرچه در نگاهي گسترده تر، اين مشكل اختصاص به مراكز اسلامي و حوزه هاي علوم ديني ندارد و در سطح كشور نيز، چنين مشكلاتي وجود دارد و چه بسا بتوان ادعا كرد بخشي از اين مشكلات، زاييده مشكلات كلان تر در سطح كشور است بلكه به جرأت مي توان ادعا كرد كه در مواردي، مراكزي از حوزه هاي علميه نسبتا پيش گام بوده اند و برخي مشكلات را هم پشت سر گذاشته اند. ليكن در عين حال بايد پذيرفت هنوز در مجموع، در عرصه امنيت اطلاعات، مشكلات وجود دارد و اين مشكلات روز به روز متنوع تر و پيشرفته تر مي شود و در نتيجه راه هاي مقابله با آن، دشوارتر و پر هزينه تر و اگر چاره‌اي براي آن انديشيده نشود هزينه هايي به مراتب سنگين تر، بر ما تحميل خواهد شد.

برنامه هاي آنتي ويروس يكي از عوامل مهم در تأمين امنيت اطلاعات هستند اما امنيت منحصر در استفاده از آن نيست. پشتيبان گيري و توجه به اصول آن، عامل مؤثري در فرايند تأمين امنيت اطلاعات و يكي از مؤلفه هاي مهم آن به شمار مي رود.

در پشتيبان گيري بايد توجه كرد كه آيا امكان باز گرداندن نسخه هاي پشتيبان و استفاده مجدد هست يا خير؟. در اين خصوص لازم است در پشتيبان گيري، از تنظيمات نرم افزار توسط خود آن نرم افزار نيز جداگانه نسخه پشتيبان گرفته شود.

مساله ديگر در پشتيبان گيري، امكان بك آپ  گيري Live  است و بايد طوري طراحي و عمل كرد كه در عين پراكندگي فيزيكي، كه لازمه امنيت است بتوان به صورت On Line و  Liveدر جاهاي متفاوت نسخه هاي پشتيبان گرفت و نگه داري كرد.

مسأله مهم ديگر نظارت و بررسي قانون مند و مستمر در خصوص گزارشات سيستم است؛ واقعا در مديريت شبكه ها چقدر به اين اصل توجه مي شود؟. براي اين كار بايد شخصي با وظايف مشخص  وجود داشته باشد و تمام گزارشات سيستم را نظام مند بررسي و آناليز كند.

مشكل ديگر واگذاري اختيارات ادميني خدمات متنوع در سازمان به  يك فرد و استفاده از يك نام كاربري و رمز عبور براي همه آن ها است در صورتي كه اگر مديريت آن خدمات به يك نفر هم واگذار شود بهتر است نام كاربري و رمز عبور هريك متفاوت باشد. ادمين ISA نبايد در AD قدرت داشته باشد و بالعكس. قدرت كاري هر بخشي بايد محدود به همان بخش باشد.

از ديگر مشكلات رايج در محيط كارهاي فني شبكه، واگذاري برخي كارهاي تخصصي به افراد غير متخصص است كه باعث ناهماهنگي در كار مي شود مثلا در برخي ادارات كابل كشي به افراد معمولي واگذار مي شود بدون اين كه با بخش IT  هماهنگي لازم انجام شده باشد. همچنين است نداشتن برق مستقل و استفاده از  UPS و خنك كننده هاي مشترك .

نداشتن برنامه صحيح جهت به روز كردن نرم افزارها يكي ديگر از مشكلاتي است كه در برخي از مديريت شبكه ها وجود دارد، در حالي كه با انجام برخي كارها مي توان جلوي هرج و مرج و هزينه هاي بي خود را گرفت. از باب مثال با نصب WSUS  (بر روي سرور مستقل) تمامي كلاينت ها بدون مشكل اتصال به سرور مايكروسافت و با سرعت لازم مي توانند نرم افزارهاي (مخصوص مايكروسافت) خود را به روز رساني كنند. لازم به ذكر است كه به دليل استفاده از نرم افزارهاي قفل شكسته امكان اتصال مستقيم به سرور مايكروسافت وجود ندارد ولي با استفاده از برنامه ياد شده مشكلي از نظر فني پيش نمي آيد ضمن اين كه حتي اگر از برنامه هاي اصل و لايسنس دار هم استفاده مي شد باز همين روش توصيه مي شود زيرا هم موجب تمركز و جلوگيري ار هدر رفت امكانات و هم سبب صرفه جويي در وقت (به علت سرعت استفاده از سرور داخلي) مي شود.

از ديگر مشكلات موجود در محيط هاي كاري در مراكز و مؤسسات، بي در و پيكر بودن موضوع ورودي و خروجي اطلاعات رايانه ها است، اين مسأله، سبب مي شود كه شبكه، هميشه در معرض تهديد مداوم ويروس ها باشد همچنين اين امر، زمينه ساز انتقال و سرقت اطلاعات از درون سازمان مي شود. از اين رو كليه ورودي و خروجي ها مثل درايوهاي: USB, CD  و... بايد تحت كنترل باشد و در بسياري موارد غير فعال شود و يا حتي به صورت فيزيكي برداشته شود همچنان كه در مورد تخصيص هارد مستقل به هر رايانه بايد علتي منطقي وجود داشته باشد و گرنه بايد از بستر شبكه استفاده شود. از اين رو لازم است تجهيزات و امكانات شبكه به صورت كامل، متين  ومنطقي و كارشناسي شده تهيه شود.

وضعيت موجود وب سايت‌ها در حوزه امنيت اطلاعات

متاسفانه بايد اذعان كرد كه ما در اين حوزه كارنامه خوبي نداشته ايم و نقاط آسيب پذير ما در اين عرصه بيشتر بوده و اگر تا به حال با فاجعه و يا بحران جدي مواجه نشده ايم  راز آن، اتقان كاري، داشتن برنامه و دستور العمل امنيتي منظم و دقيق و انجام هزينه هاي لازم در حوزه تأمين امنيت اطلاعات و ارتباطات  توسط ما نيست. بلكه سرّ آن را بايد در چيزهاي ديگر جست وجو كرد. كمبود دانش مربوط به نفوذ و خرابكاري، نداشتن انگيزه كافي و... از عوامل عدم رشد اين تهديدها و حملات بوده است. اما بايد توجه داشت كه اگر روال ناپسنديده جاري ادامه يابد روند رو به رشد تهديد وخرابكاري  در محيط سايبر، امان را از همه خواهد بريد و عرصه را بر همگان تنگ خواهد كرد. بايد توجه داشت كه توسعه خدمات الکترونیکی در غیاب امنیت اطلاعات، از جمله، استفاده از سامانه های مدیریتی (2)  (CMS) مجانی متن باز (3) (Open source) و بی توجهی جهت به روز کردن نرم افزارها از سوی سازمان ها در كنار ديگر عوامل، سبب گسترش حفره های امنيتي(4) و آسيب پذيري بيشتر مي شود.

موضوع مهم تأمين امنيت در حوزه فناوري اطلاعات و ارتباطات كه ميان دو چنبره وضعيت متزلزل ديروز و  متحول فردا به مشكلي اساسي در آمده است نيازمند توجه جدي امروز سازمان ها و نهادهاي مسؤول در اين عرصه است. و  بايد از همين الان به فكر فردا بود. فردا از امروز شروع مي شود. به ياد داشته باشيم كه امروز، محصول ديروز است پس سعي كنيم فردا كه محصول امروز ما است قابل دفاع منطقي باشد.

البته اين بدين معنا نيست كه در معرض حمله نبوده ايم ويا نيستيم و تاكنون حادثه بدي در اين خصوص رخ نداده است. گزارشات موجود نشان مي دهد كه بسياري از سايت هاي اسلامي مورد حمله قرار گرفته اند و تعدادي هم مورد هك (5) و ديفيس (6) واقع شده است. اين موضوع در مورد بسياري از سايت ها و شبكه هاي موجود در داخل كشور نيز ساري و جاري بوده است.

از موضوعات مهم ديگر در خصوص امنيت سايت هاي اطلاع رساني به طور كلي و از جمله سايت هاي اطلاع رساني اسلامي موضوع ثبت مستقيم دامين توسط خود سازمان، انتخاب ميزبان مناسب براي سايت، اختصاصي بودن هاست (Host) اعم از اين كه به صورت فيزيكي و يا مجازي (VPS) (7) باشد، استفاده از CA (8) جهاني يا ملي براي كسب اطمينان توسط كاربر، كه البته اعمال هر كدام از اين ها دانش خود را مي خواهد.

واگذاري ثبت دامين به افراد و شركت هايي خارج از سازمان نيز مي تواند به عنوان يك كار خلاف امنيت اطلاعات شمرده شود  با توجه به اين كه ممكن است با استفاده از امكانات داده شده آدرس مورد نظر به جاي ديگر واگذار يا ارجاع شود اين كار، خلاف اصل امنيت است بايد اطمينان حاصل شود كه DNS هاي خريداري شده حتما به IP  هاي مورد نظر صاحب دامين ارجاع خواهد شد.

از جمله مشكلات ديگر استفاده از ميزبان هاي مشترك است كه افراد و يا سازمان هاي ديگري نيز در خدمات گيري از آن مشترك اند و اين خود زمينه ساز نا امني توسط برخي از آن ها و يا افراد ديگر است. چه بسا فردي به علت دشمني با شركت و سازماني كه داراي هاست مشترك با شما است با نفوذ به سرور ميزبان مشترك، به همه آسيب برساند ولي در صورت اختصاصي بودن سرور، زمينه تهديد كم تر مي شود ضمن اين كه در صورت مديريت صحيح آن، مي توان تا حد زيادي امنيت لازم را تأمين كرد. نكته جالب توجه اين است كه بسياري از سايت هايي كه هك شده اند  اين عمل به صورت مستقيم (از طريق خود آن سايت و نرم افزار نصب شده بر روي آن سايت) نبوده است بلكه با توجه به آسيب پذيري و ضعف ميزبان، اين خود ميزبان بوده كه هك شده و در نتيجه تمامي اطلاعات آن در اختيار هكر قرار گرفته. از اين رو يكي از بايسته هاي مهم در موضوع امنيت اطلاعات سايت هاي اطلاع رساني، انتخاب هاست مناسب است. هاستي مناسب است كه داراي پيكر بندي دقيق و مديريت فعال و مستمر و داراي پشتوانه معقول وكافي در زمينه امنيت باشد و ضمنا اختصاصي هم باشد. البته با توجه به اين كه هزينه تهيه و مديريت هاست مستقل و اختصاصي به صورت فيزيكي بالا است مي توان از VPS ها استفاده كرد كه خدمات سرور اختصاصي را به صورت مجازي ارائه مي كنند. ليكن بايد توجه داشت كه اين سرورهاي مجازي روي چه بستري قرار دارد و از چه پشتوانه‌اي برخوردار است و اين كه آيا واقعا داراي استانداردهاي جهاني است (مثل استفاده از Blade Server (9) و نرم افزار هاي اختصاصي آن يا خير؟ مثل برخي VPS هاي مدعي در كشور.

مشكل ديگري كه سايت هاي ما به طور كلي با آن مواجه هستند استفاده از سرور هاي خارجي است، با توجه به مشكل تحريم، سايت هاي ما، هر آن در معرض خطر اند. نگاهي به رخدادها و حوادث تلخ گذشته در اين زمينه مثل مسدود كردن يكباره بيش از 500 سايت از سوي ارائه ‌كنندگان خدمات ميزباني كانادايي و آمريكايي و هك شدن چندباره وب سايت‌هاي مهم حكومتي در سال 1385 (10) بيان گر  ضرورت تأمين فضاي مورد نياز سايت هاي اطلاع رساني از داخل كشور است.

از جمله موضوعاتي كه مهم است اين است كه براي اعتماد كردن به يك سايت و اين كه اين سايت واقعا همان سايتي است كه ادعا مي كند يا اين كه حقيقت، چيز ديگري است؟ بايد راهي براي اطمينان دهي به مخاطب وجود داشته باشد. اين مهم در سايت هاي مر بوط به گردش هاي مالي از طريق CA  جهاني حل شده است و با توجه به اين كه جمهوري اسلامي ايران در تحريم بسر مي برد امكان استفاده از آن را ندارد البته در داخل كشور نيز از  CA  ملي استفاده مي شود كه تنها استفاده داخلي دارد. با توجه به اهميت اطلاع رساني صحيح و جلوگيري از اطلاع رساني غلط توسط دشمن، شايسته است سايت هاي اطلاع رساني اسلامي به اين مهم توجه كنند.

مطالب ياد شده بخشي از  مشكلاتي بود كه فرا روي مراكز و سازمان هاي اسلامي وحوزوي است كه اميد است با شناخت صحيح و درايت منطقي مورد عنايت و توجه كافي مسؤولان و مديران شبكه ها و سايت هاي اطلاع رساني اسلامي قرار بگيرد.

در اين جا مناسب است تعريف هركدام از واژه‌ هاي امنيت، شبكه و وب سايت در ابتدا، تبيين شود و سپس وارد اصل موضوع در حوزه امنيت اطلاعات در شبكه ها و وب سايت ها شويم.

 

تعاريف:
- امنيت: واژه امنيت داراي مفهوم روشن است، مفاهيمي چون: آسايش خاطر، اطمينان، استواري، بي خطري، حفاظت، محكم نگاه داشتن و اقدامات تأميني در توضيح آن ذكر مي شود.

در لغت نامه "دهخدا"، براي واژه امن، معاني زير را نقل مي كند: ایمن شدن، بی هراس شدن، بی بیم شدن، اطمینان(11) و در توضيح واژه امنيت چنين آورده است: بی خوفی و امن، بی بیمی، ایمنی(12).

در انگليسي از واژه Security درباره امنيت استفاده مي شود. در "آكسفورد" مفاهيمي چون احساس امنيت، رهايي از اضطراب و نگراني، حفاظت كردن در مقابل دزد، حمله، جنگ، و نیز وثيقه در قرض آمده است.

در "مريم وِبستر" (Merriam Webster)  در بخش تزاروس در توضيح Security به ترتيب سه معني براي آن ذكر مي كند: اقدامات دفاعي، تضمين لازم جهت انجام تعهدات، در معرض خطر نبودن(13).

امنيت در شبكه، محيط هاي كاري رايانه‌اي و سایت های اطلاع رسانی عبارت است از: احساس اطمينان نسبت به محفوظ ماندن وضع موجود  و در امان بودن  سيستم هاي شبكه‌اي وكاري در مقابل  تهديدات داخلي و خارجي و عمليات تخريبي آگاهانه (توسط گروه ها يا افراد خاصي با سياست هاي خاص و اهداف راهبردي براي  بهره برداري و يا تخريب اطلاعات موجود و يا از سرويس خارج كردن برخي خدمات)  و يا  ناآگاهانه در محيط شبكه، رايانه ها و سایت های اطلاع رسانی.

هنگامي در فضاي سايبر ايمن هستيد كه دسترسي به منابع اطلاعاتي شما تحت كنترل خوتان باشد، يعني هيچكس بدون كسب اجازه از جانب شما قادر به دسترسي به اين منابع اطلاعاتي نباشد. اين منابع شامل داده ها و منابع رايانه اي، شبكه اي، تراكنشي، پردازشي، و اطلاعاتي مي باشند. طبيعتا ممكن است برخي از اين منابع از جانب ديگران و براي استفاده شما ارائه شده باشند، مثل حساب كاربري در يك رايانه اشتراكي يا دسترسي به اينترنت از طريق يك ارائه كننده خدمات اينترنتي(ISP) (14).

- شبكه رايانه اي: به ارتباط  يك يا چند رايانه با يكديگر به منظور به اشتراك گذاري منابع و سهولت دسترسي به آن كه عموما افزايش سرعت و امنيت را در پي دارد و به برقراري مديريت متمركز در شبكه منجر مي شود اطلاق مي گردد.
- (وب) سايت: به مجموعه ای از فايل های حاوی متن، تصویر و چند رسانه‌اي متصل به هم در فضاي سايبر، که غالباً شامل یك صفحه اصلی ( Home Page ) می باشد و توسط مرورگرهاي گوناگون در اختيار كاربران قرار مي گيرد وب سايت گفته مي شود. فايل هاي تحت وب مي تواند در قالب صفحات ایستا  و به صورتHTML   و یا به شکل پویا به کمک زبان هاي برنامه نويسي چون: PHP, ASP,   .Net و... باشد.

اينترنت، فراتر از وب سايت است وشامل حوزه گسترده تري از وب سايت است ولي به علت قدرت وب در ارائه مطالب به صورت متن و چند رسانه اي، محبوبيت و شهرت بيشتري يافته است. سرويس هاي اينترنت شامل حوزه گسترده تري مي شود و هركدام از اين ها تعاريف و عملكرد خود را دارند و بايد جداگانه مورد بحث قرارگيرند مانند:

FTP, E-mail, Web, Telnet, Usenet, Gopher, …

هدف اين تحقيق :

در این تحقیق، ضرورت توجه به امنیت در شبکه ها و سایت های اطلاع رسانی، همچنين اصول، روش ها و راه کارهای کلی در حوزه امنیت اطلاعات و ارتباطات در شبکه ها و سایت های اطلاع رسانی تبيين و بررسي مي شود.  بررسی وضع موجود، ورود به حوزه های تخصصی امنیت و بررسی نوع سخت افزار، نرم افزار، بسترهای شبکه ای، نحوه سازماندهی عملیاتی و حوزهای خاص مربوط به امنیت فیزیکی و امنیت انسانی، هرکدام فرصت و مجال جداگانه‌اي را می طلبد و سزاوار است کسانی که دغدغه این مسايل را دارند عنایت جدی به طرح، بررسی و شناخت این گونه مسايل به منظور تدوین سیاست جامع امنیت در حوزه فناوري اطلاعات و ارتباطات در حوزه کاری سازمانی خود را مبذول فرمایند.

چه بايد كرد؟

با توجه به موارد ياد شده سؤالي كه اكنون مطرح است اين است كه چه بايد كرد؟. جهت تامين حوزه امن كاري  و قابل دفاع منطقي موارد زير پيشنهاد مي گردد:

بايسته هاي كاري:

1-         شناسايي، مشاركت، توجيه  و به كار گيري تمامي افراد، كارشناسان و بخش هاي مسؤول و مرتبط در سازمان.

2-         هماهنگي و هم انديشي با سازمان هاي همسو و بهره مندي متقابل از توانايي هاي يكديگر.

3-         شناخت و تحليل صحيح و دقيق وضعيت موجود شامل تجهيزات، امكانات و منابع انساني (كارشناسان و نيروهاي فني).

4-         تدوين طرح امنيتي جامع و برنامه ريزي جهت اجراي ميان مدت و بلند مدت آن.

5-         توسعه کمی‌و کیفی امکانات و تجهیزات مورد نیاز و  بهره‌گیری مدبرانه و هوشمندانه از فناوری هاي برتر سخت افزاري و نرم افزاري.

6-         جذب، آموزش، توجیه و تربیت متخصصین مورد نیاز.

7- توجه دادن كارمندان و كارشناسان به رعايت اصول مهندسي اجتماعي(15) در مراودات و ارتباطات وآشنايي با شيوه كار فيششينگ(16).

چند نكته مهم:

- امنيت، نسبي و داراي مراتب است، امنيت مطلق، همزمان با تعامل با ديگران غير ممكن است اما مي توان حد متوسط و قابل قبولي را براي آن تصور نمود و براساس اهميت موضوع و امكانات موجود و دست يافتني،  برنامه ريزي كرد و هزينه آن را محاسبه كرد.

- هميشه بايد توجه كرد كه در محيط كاري مشترك همه اعضا همانند حلقه هاي زنجير عمل مي كنند و زنجير از ناحيه سست ترين حلقه، آسيب مي پذيرد.

- عوامل مختلفي چه در عرض هم و چه در لايه هاي طولي در تأمين امنيت، دخالت دارند بنا بر اين به تك تك اين عوامل به عنوان حلقه هاي مرتبط در حوزه هاي مختلف امنيت اطلاعات و ارتباطات بايد توجه شود.

-  از آن جا كه نوع تهديدات، تحول پذير است بايد در انتخاب راه هاي مقابله و مكانيزم هاى حفاظت نيز تحول گرا و انعطاف پذير بود.

حوزه هاي مختلف امنيت اطلاعات

الف - مسايل مهم امنيتي مر تبط با شبكه:

اصطلاح "امنيت اطلاعات" حوزه گسترده‌اي از فعاليت هاي سازماني، محصولات سازمان وسرمايه هاي آن، فرايندهاي تعريف شده براي جلوگيري از دستيابي هاي غير مجاز، تغيير و حذف اطلاعات، را شامل مي شود. حوزه امنيت اطلاعات درگير حفاظت از منابع شبكه و جلوگيري از هم گسيختگي و به هم خوردگي آن، در برابر پيشامد ها و حوادث  و حملاتي است  كه ممكن است تا حد زيادي از كنترل  مسؤول  امنيت اطلاعات، خارج باشد و بايد با تدبير و پيش بيني لازم در صد ريسك خطر در اين حوزه را كاهش داده  و براي مقابله با خطر،  طرح و برنامه مدون وشفاف در زمينه:  پيش گيري، مواجهه، پاكسازي، ترميم و بهينه سازي داشته باشد.
از نگاه يك رايانه كار حرفه اي، مدير شبكه  با موضوعي  فراتر از حفاظت  رايانه در برابر ويروس سر وكار دارد  . مدير شبكه همچنين وظيفه دارد كه دارايي ها و سرمايه هاي سازمان  متبوع خود را در مقابل افرادي كه سخت به دنبال دستبرد وسوء استفاده از آن هستند حراست و نگهداري كند. خوشبختانه بسياري از اين قبيل افراد، خارج از حوزه كاري سازمان هستند اما ممكن است برخي از اين افراد در داخل سازمان باشند كساني كه از موقعيت جاري خود در سازمان، ناراضي هستند و ممكن است در صدد انتقام و ضربه زدن برآيند بنا براين لازم است  سطح دسترسي اين قبيل افراد به منابع شبكه به نحوي تعريف وكنترل شود كه نتوانند به شبكه، ضربه‌اي بزنند و يا به اطلاعات آن دسترسي  غير قانوني داشته باشند.

مدير و متخصص شبكه نبايد  خيال كند  كه به علت سختي و پيچيدگي اين كار، كسي سراغ او  نخواهد رفت  و درنتيجه چاره‌اي براي آن نيانديشد  او بايد بداند  كه  ضعف و آسيب پذيري در بسياري از سيستم ها، معلوم  و چه بسا اطلاعات آن مستند و مكتوب هم شده  باشد و هر روز كه مي گذرد موارد بيشتري هم  برملا مي شود.

دشمن مي تواند  به كمك  موتورهاي جست و جو،  و يا با تهيه كتاب هاي مربوط به هك، ارتباط با گروه هاي خبري (Newsgroups) در اينترنت، و دسترسي به وب سايت هايي كه به صورت شفاف و ريز، اطلاعات مورد نظر را مي دهند  نقاط آسيب پذير محصول و سيستم عامل مورد نظر  را به دست آورد. انگيزه هكر از اين كار مي تواند:  سوء استفاده، تفريح و سرگرمي ويا تخليه هيجان و يا هر چيز ديگري باشد. اما در هر صورت بايد خطر را جدي گرفت و به فكر چاره بود.

نمي توان به هر نرم افزاري كه تازه به بازار آمده اعتماد كرد چه بسا بايد مدتي بگذرد و پس از رفع نقايص اوليه كه معمولا با هر نرم افزاري  همراه است و پس از حصول اطمينان لازم و منطقي از آن استفاده كرد.

مدير شبكه، نبايد به مسايل اطراف خود با خوش بيني كامل بنگرد، مقداري سوء ظن و ترديد در حوزه كاري شبكه لازم است. او بايد هر آن خود را در معرض حمله و نفوذ و تهديد و تخريب ببيند. مدير شبكه بايد بداند كه او با دو مشكل در حوزه كاري متفاوت سر و كار دارد: آسيب پذيري سيستم و آسيب پذيري انسان كه هر دو تاثير قابل توجهي بر عملكرد سازمان دارد.

موضوع تأمين امنيت اطلاعات بر سه پايه فيزيكي، عملياتي و مديريتي استوار است كه هر كدام به بخش هاي مختلف امنيت رايانه مربوط مي شود. طرح كلان امنيت رايانه و فرايند آن بايد خطرات را ارزيابي كند و داراي استراتژي و روش هايي براي تبيين آن باشد.

پايه هاي سه گانه امنيت اطلاعات

موضوع امنيت فناوري اطلاعات، در سه سطح: فيزيكي (Physical)، عملياتي(Operational)، و مديريتي (Management) قابل بررسي است (17). هركدام از اين سه سطح به عنوان پايه هاي تأمين امنيت شبكه در حوزه  فناوري اطلاعات و ارتباطات جايگاه خاص خود را دارد به نحوي كه با اختلال در هر يك، امنيت كل سيستم در معرض خطر قرار خواهد گرفت. از اين رو لازم است كه مديران دست اندر كار، به هر يك از اين سه پايه عنايت و توجه كافي داشته باشند. درك نياز، شناخت موقعيت و هوشياري نسبت به خطر هاي در كمين نشسته و حوادث مترقب و غير مترقب و تأمين هزينه هاي هر يك از اين موارد در پيش گيري از بروز فاجعه؛ از بين رفتن اطلاعات، لو رفتن اطلاعات ويا جابجايي و دست كاري آن، م‍ؤثر خواهد بود :

 

3p.jpg

 

- حوزه فيزيكي( Physical) شامل: رايانه،  تجهيزات فعال و غير فعال شبكه،  اتاق سرور و نيز تجهيزات امنيتي (قفل، كنترل از راه دور، سنسور،هشدار، خنك كننده، اطفاي حريق و.. ).

- حوزه عملياتي (Operational) شامل: نصب نرم افزار هاي لازم ، كنترل دست رسي  به منابع شبكه و دست رسي  به شبكه هاي ديگر، اعتبار سنجي، نحوه چينش و سازماندهي شبكه، پشتيبان گيري و بازيابي اطلاعات.

- حوزه مديريتي (Management) شامل: برنامه و دستور العمل صريح، شفاف و ريز شده مديريتي كلان سازماني و مديريت شبكه متناسب با سياست هاي سازمان و اهداف ومأموريت هاي ابلاغ شده.

در ادامه توضيح كارهاي لازم در اين سه حوزه مي آيد:

امنيت شبكه در حوزه فيزيكي Physical

هدف امنيت اطلاعات در سطح فيزيكي عبارت است از حفاظت اطلاعات  در مقابل دسترسي افراد غير مجاز  به تجهيزات  فيزيكي ثبت و مديريت اطلاعات  و جلوگيري از سرقت و دستبرد  ويا تخريب آن. مدير  شبكه در اين مرحله مسؤوليت حفظ و نگهداري تجهيزات فيزيكي را به عهده دارد تجهيزاتي كه قابل ديدن، لمس كردن و ربودن و انتقال فيزيكي است. كساني كه در اين سطح به عنوان تهديد  مي توانند محسوب شوند عبارتند از: نيروهاي خدمات فني، نيروهاي خدماتي مانند دربان و سرايدار، مشتري، فروشندگان دوره گرد، كارمندان داخلي. اين افراد مي توانند به تجهيزات دستبرد بزنند، تخريب كنند. يا اسناد را از اداره بردارند، در ميان سطل زباله به دنبال ورق پاره ها بگردند ويا به قفسه هاي بايگاني دستبرد بزنند. انگيزه اين افراد مي تواند متفاوت باشد ، بدگماني ، به دست آوردن اطلاعات طبقه بندي شده و  فروش به رقيب و دشمن به منظور كينه و انتقام، يا صرف طمع در سود مالي آن.

مؤلفه هاي  سه گانه حفاظت فيزيكي:

در حفاظت فيزيكي بايد به سه مؤلفه به عنوان اركان اين كار توجه نمود و براي هر كدام برنامه‌اي خاص داشت:
الف - حفاظت ساختمان،  تجهيزات،  اسناد و مدارك فيزيكي شبكه؛ اولين مؤلفه امنيت فيزيكي آن است كه اتاق شبكه  به علت نقايص حفاظتي به عنوان يك هدف وسوسه انگيز براي نفوذ و دستبرد، قرار نگيرد. در ادارات و ساختمان هايي كه بيشتر اوقات درب آن، باز است و تردد به آن آسان است بايد بيشتر مراقب درها بود و سيستم نظارتي و هشدار دهنده بايد نصب شود همچنين براي استفاده از آسانسور و دست رسي  به ساير طبقات كه تجهيزات  وتأسيسات مهم در آن قرار دارد بايد از كليد و يا نشان و كد ويژه‌اي استفاده نمود.

اهم عوامل مؤثر در تأمين امنيت فيزيكي به شرح زير است:

- نظارت و كنترل تردد افراد به اداره.

- نصب سيستم هاي امنيتي و محدود كردن ورود به مكان هاي حساس ونظارت و كنترل آن.

- گماشتن نگهبان در ساعات غير اداري.

- استفاده از چند نوع قفل گذاري و تركيبي از قفل هاي الكترونيكي و رمز عبور.

- تهيه دستگاه خرد كننده اسناد غير ضرور و نابود كردن آن ( به جاي پاره كردن و انداختن در سطل معمولي زباله) .

حفاظت فيزيكي در مقايسه به حفاظت عملياتي و مدريتي نسبتا آسان تر است و داراي پيچدگي فني خاصي نيست گرچه متأسفانه همين مقدار هم چه بسا مورد بي توجهي قرار مي گيرد. مدير شبكه  در اين خصوص بايد تذكرات لازم را به اداره بدهد و اين وظيفه بر دوش رييس اداره  و مسؤول حراست است كه پيگير آن باشد و از حوزه مسؤوليتي مدير شبكه به عنوان اجرا، خارج است.

ب -  كشف و شناسايي ؛ دومين مؤلفه و ركن امنيت فيزيكي، كشف نفوذ يا سرقت است و اين كه چه چيزي شكسته و نقض شده؟ چه خطايي رخ داده،؟ و اين كه آن خطا چگونه اتفاق افتاده است؟. تصاوير ضبط شده ويدئويي يك وسيله خوب براي به دست آوردن اطلاعات است.

ج - اصلاح و ترميم ؛ سومين مؤلفه و جزء امنيت فيزيكي، ترميم  خرابي هاي ناشي از سرقت و  از بين رفتن  اطلاعات همچنين ترميم  خسارات وارده به سيستم ها و باز گشت به حالت عادي و بازدهي  مي باشد. زمان اين كار بستگي به نوع تخريب دارد از باب مثال در صورتي كه خرابكار، اتاق سرور را با آتش يا آب تخريب كرده باشد وقت زيادي جهت راه اندازي  مجدد و ادامه كارهاي عادي صرف خواهد شد. اگر طرح مدوني براي مقابله با  شرايط بحراني يادشده همچنين موارد ديگر بحران مثل زلزله و...جهت حفاظت و بازيابي اطلاعات آماده نشده باشد. داشتن نسخه هايي مجزا و در طول زمان هاي متعدد و در چندين مكان متفاوت براي اين منظور، بسيار مفيد و ضروري است.

نكته: پس از اصلاح و ترميم، لازم است نوع و چگونگي حمله و راه هاي مقابله و دفع آن، براي استفاده هاي بعدي، مستند سازي شود.

حوزه هاي مسؤوليتي مدير شبكه در عرصه امنيت فيزيكي اتاق شبكه، تجهيزات و لوازم مرتبط

مسؤوليت حفاظت از ، سيستم هاي رايانه اي، تجهيزات شبكه،نحوه مديريت، چينش فيزيكي و سازماندهي آن ها و نيز حفاظت از  ديگر اقلام موجود در اتاق شبكه از جمله اسناد و مدارك و تمامي مستندات بر عهده مدير شبكه خواهد بود. اهم اين موارد عبارتند از:

- اتاق سرور(برق و تقسيم مناسب آن، تهويه، سنسور، اطفاء حريق، كف آنتي استاتيك، قفل و...).

- تجهيزات فعال شبكه: سرورها، سوئيچ ها، روترها، فايروال هاي سخت افزاري با قابليت (IPS/ IDS ) Unified Threat Management(UTM) و...

-  ديگر تجهيزات مانند تجهيزات Passive ( كابل ها، داكت ها، رك ها و...).

امنيت شبكه در حوزه عملياتي(Operational)

امنيت عملياتي شامل هر كاري غير از طراحي شبكه و حفاظت فيزيكي شبكه مي شود.  در اين جا به جاي تمركز روي اجزا و مؤلفه هاي فيزيكي به عنوان محل ذخيره داده ، روي توپولوژي شبكه و ارتباطات آن بحث مي شود. اين عرصه شامل رايانه ها، شبكه ها، و سيستم هاي ارتباطي جهت مديريت امن اطلاعات مي شود.

حوزه  امنيت عملياتي شامل موارد زير است:
- نصب نرم افزارهاي مورد نياز و رعايت تنظيمات خاص.
- سطوح دسترسي (Access Control)
-  تأييد هويت جهت ورود به شبكه (Authentication)
- تعيين نحوه دسترسي (به چه منابعي و تا چه حد) (Authorization)
- امنيت توپولوژي (Security Topologies) مثل ساخت DMZ (18)
- ارتباط و تماس روزانه با ديگر شبكه ها
- برنامه هاي پشتيبان گيري  و بازيابي

موضوع امنيت اطلاعات در حوزه كارهاي عملياتي، با ديگر مسايل اجرايي و مديريتي سازمان و امور جاري آن ارتباط دارد و معمولا در خصوص هزينه كرد لازم برای تهیه تجهيزات و امکانات سخت افزاري و نرم افزاري مورد نیاز، در صورت عدم توجیه کافی با دشواري همراه خواهد بود. متاسفانه  بيشتر سيستم هاي كاري تعريف شده در اين حوزه  يا آسيب پذيرند، يا ضعيف اند ويا از داشتن سياست كاري و دستور العمل امنيتي مناسب و دارای پشتوانه کافی جهت اجرا، محروم اند.  از باب نمونه، اگر شما بخواهيد  يك سياست جامع جهت انقضاي (Expiration) مدت اعتبار رمز عبور (Password) پياده سازي  واجرا كنيد بايد بتوانيد در كنار اين، كاربران را مجبور كنيد تا رمز عبور خود را سر وقت معيني مثلا 30 روز بعد تغيير دهند حال در اين جا اگر سيستم شما نتواند از نظر فني، كاربر را ملزم به تغيير رمز عبور كند و از برنامه‌اي غير استاندارد استفاده مي كنيد كاربر شما پس از رسيدن زمان انقضا به جاي تغيير رمز عبور ، همان رمز عبور قبلي را مجددا وارد (Reuse) مي كند. و اين خود نوعي آسيب پذيري در سيستم است كه شما به عنوان مدير شبكه نتوانيد چنين كاربري را از ادامه استفاده از رمز قبلي باز داريد رمزي كه ممكن است لو رفته و توسط افراد غير مجاز مورد سوء استفاده قرار بگيرد. اين قبيل مشكلات از آن جا ناشي مي شود كه بيشتر شركت ها براي اين كه هزينه بيشتري نپردازند يا به علت ضرورت  سازگاري با ديگر برنامه ها،  توسعه نرم افزاري بخش مورد نظر خود را به بخش داخلي خود وا گذار مي كنند و به الزامات بعد از انجام آن، توجه ندارند. چه بسا بعدها متوجه شوند که   اجراي بسته نرم افزاري مورد نظرشان، مستلزم انجام یک سری کارهایی است که باید ابتدا، آن را انجام دهند مثلا استفاده از آن نرم افزار،  مقتضی به كار گيري يك سيستم عامل خاصي باشد  حال  اگر آن سيستم عامل مشكل امنيتي قابل توجه و يا آسيب پذيري خاصي  داشته باشد تمام زحمات و هزينه ها بر باد خواهد رفت و مسؤول شبكه و كل سيستم كاري مجموعه  با آثار وخيم اين كار روبرو خواهد شد. در اين جا ممكن است مسؤول شبكه بتواند با نصب سخت افزار و يا نرم افزار خاص، جلوي مشكل را بگيرد و امنيت را تأمين كند ولي رئيس اداره به علت هزينه بر بودن، با آن مخالفت كند. در اين موارد كه  مسؤول شبكه توانايي بسياري كارها را ندارد ديگران  بايد  مسؤوليت كار خود بپذيرند و نگران عواقب  سوء آن باشند. بديهي است كه توزيع اختيارات، توزيع متناسب پاسخگويي را به دنبال خواهد داشت. از این رو ، داشتن سیاست شفاف و تبیین دقیق حوزه های مسؤولیتی و ضمانت های اجرایی لازم برای مدیریت موفق شبکه ، یک ضرورت است. فهرست كارهاي لازم الاجرا، جهت امنيت اطلاعات شبكه در حوزه عملياتي در ادامه مي آيد:

اقدامات لازم براي تأمين امنيت شبكه در حوزه عملياتي (Operational)

- نصب و پيكر بندي كامل نرم افزارهاي مورد نياز.
- استفاده از نرم افزارهاي اصلي تهيه شده ازمنابع معتبر.
- نصب  و پيكر بندي نرم افزارهاي توزيع كننده امكانات و تعيين كننده سطوح دسترسي.
- نصب  و پيكر بندي نرم افزارهاي مانيتورينگ و ثبت كننده دقيق رويدادها.
- نصب  و پيكر بندي نرم افزارهاي پروكسي، فايروال، فيلترينگ، آنتي ويروس ها و بروز رساني مرتب آنها  و ديگر برنامه هاي كنترل ونظارت وپيشگيري.

- استفاده از ماژول هاي امنيتي خاص سخت افزاري.
- توزيع متناسب خدمات بر اساس كلاس بندي و اعتباردهي هاي متفاوت.
- استفاده از Directory Service.
- به حداقل رساندن دسترسي كاربران به منابع (Least Privilege).
- تعريف و شفاف سازي نحوه تعامل كاربران  در محيط شبكه به منظور رعايت خطوط قرمز و الزامات کاری(آيين نامه كار در محيط شبكه).
- نظارت مستمر، بازبيني و بررسي رويدادها و  نظارت وتوجه خاص نسبت به افراد مشكل آفرين. و اعمال کنترل و هشدارهای لازم در موارد مقتضی. ودر صورت لزوم، معرفی به مسؤول مرتبط.
- نصب  و پيكر بندي نرم افزارهاي پشتيبان گير  وبازيابي اطلاعات.
- تهيه نسخه هاي پشتيبان منظم و نگهداري آن در جاي غير از سرور مربوطه.
- تهيه گزارش ها، مقايسه و تطبيق وقايع و گزارش ها.
-  پلمپ كردن سيستم ها.
- تهيه نقشه جامع شبكه.
- تهيه فهرست كامل از سيستم هاي عامل و نرم افزارهاي نصب شده با ذكر مشخصات آن ها.
- آشنايي مديران با مهندسي اجتماعي و دادن آموزش هاي لازم به ديگر كاربران.
- انعطاف پذيري در برابر تهديدات و توجه به توسعه هاي كمي و كيفي مورد نياز و فزاينده مطابق با تحولات آينده.
- به روز رساني اطلاعات، بهره مندي از تجارب ديگران و استفاده از منابع موجود به صورت مستمر.

توجه: ازجمله مواردي كه بايد به شدت جلوگيري شود عبارت است از:

- الزام استفاده همگاني از دامين شبكه در Active Directory.
- عدم اجازه خود سرانه نصب نرم افزار توسط كاربران.
- محدود كردن كاربران شبكه در حد دامين يوزر(
Domain User).
- عدم امكان تماس تلفني كاربران عادي از طريق شبكه داخلي با بيرون از شبكه و از بيرون با شبكه داخلي.
- ممنوعيت نصب و اجراي فيلتر شكن و استفاده از
VPN ها در محيط كاري شبكه.

شبكه هاي مبتني بر بي سيم

در خصوص شبكه هاي مبتني بر بي سيم به مسايل و موضوعات ديگري خاص آن حوزه، نيز بايد توجه داشت. امروزه  با رشد فناوري و گسترده شدن محصولات شبكه هاي مبتني بر بي سيم نوع حملات و كيفيت آنها نيز افزايش يافته و متنوع تر گرديده است، اما متأسفانه نوع كاربران اين نوع شبكه ها از امكانات امنيتي بسيار پايين آن بهره مي گيرند و گاه هيچ گونه از موارد  امنيتي بايسته در مورد اين تكنولو‍‍‍ژي را لحاظ نمي كنند.

در يك بررسي فني – آماري كه به صورت تحقيق ميداني در سال 1387 در تهران انجام شد از حدود 5000 شبكه بي سيم در سطح شهر حدود 43 درصد از آنان از هيچ گونه موارد رمزنگاري استفاده نشده بود (كاملا نا ايمن) و حدود 42 درصد ديگر از پروتكل WEP استفاده كرده بودند كه از ضعيف ترين نوع پروتكل هاي رمزنگاري است و مابقي از پروتكل هاي نسبتا امن WAP و 2- WAPاستفاده كرده بودند(19).

بايد توجه داشت كه درست است حمله به اين گونه شبكه ها آسان است ولي خود نياز به دانش حداقلي از شبكه نيازمند است و براي  هك  در اين گونه موارد، علاوه بر داشتن نرم افزارهاي مناسب براي نفوذ و كشف رمز، به سخت افزارهاي مناسب  آن نيز نياز است. گرچه مشكل هزينه كرد براي هكر در اين موارد، خود عاملي براي حفاظت و در نتيجه جلوگيري از نفوذ براي اشخاص عادي و كاربران شبكه مي شود ولي آن عده معدود كه يكبار اين گونه هك ها را تجربه كرده باشند را نبايد ناديده گرفت، تعداد كم آن ها نيز مي توانند خسارات جبران ناپذيري را به شبكه وارد نمايد.

اصول امنيت در شبكه هاي مبتني بر بي سيم
اصول امنيتي شبكه هاي مبتني بر بي سيم را مي توان به شرح زير تبيين كرد:

1- Hide SSID Broadcast

2- Use Encryption Protocol

3- MAC Address Filtering

4- Site-Survey

توضيح موارد فوق:

1-         Hide SSID Broadcast

مخفي كردن نام اكسس پوينت (AP) اولين قدم براي شناسايي نشدن توسط افراد غير مجاز مي باشد. هر AP براي خود يك نام مخصوص دارد كه خود نيز مي توانيم آن را تغيير دهيم تا در ميان ديگر APهاي احتمالي قابل تفكيك باشد و خود را به كاربران معرفي مي كند.  معمولا بعد از اينكه كاربران خود را به  AP مورد نظر اتصال داديم SSID آن را مخفي مي كنيم كه همان نام AP است.

 

نكته: BSSID مك آدرس اكسس پوينت است كه با SSID  كه نام اكسس پوينت است تفاوت دارد.

2- Use Encryption Protocol

اكيدا توصيه مي شود كه از بالاترين سطح رمزنگاري در شبكه كه قابل پشتيباني براي كاربران  و مسئول شبكه است استفاده شود. در اينجا به اختصار به برخي از آنها اشاره مي شود.

تمام AP موجود در بازار از پروتكل 802.11 استفاده مي كنند كه براي استفاده عموم استاندارد شده اند به همين دليل از چند نوع روش رمزنگاري رايج استفاده مي كنند. اما بايد توجه داشت كه برخي از انواع سخت افزارهاي شبكه هاي مبتني بر بي سيم از استانداردهاي خاصي، ويژه مدل هاي شركت متبوع خود پشتيباني مي كنند. بديهي است كه روش رمزنگاري آن ها نيز متفاوت و قوي تراز روش هاي رمزنگاري رايج مي باشد.

ما در اينجا 2 مدل از انواع رمزنگاري را به صورت مختصر مورد بررسي قرار مي دهيم.

1-WEP
2- WAP/ WAP-2

روش اول: WEP كه مخفف  Wired Equivalent Privacy است برخلاف اسم آن از ضعيف ترين پروتكل موجود در شبكه هاي مبتني بر بي سيم به شمار مي آيد. اين نوع رمزگاري به سال 1997 بر مي گردد كه از الگوريتم رمزنگاري RC4 استفاده مي كند كه هدف آن تنها جلوگيري از شنود شبكه هاي بي سيم بود، چون  AP ها اطلاعات خود را به صورت Clear Text توسط پروتكل 802.11  ارسال مي كنند. تنها كافي است كه هكر براي چند دقيقه (بين 5 تا 15 دقيقه) packetهاي ارسالي از AP را شنود كند و آنگاه توسط نرم افزارهاي رايج موجود در دنياي شبكه همانند   ng- Aircrackظرف كم تر از چند ثانيه رمز را بدست آورد.

روش دوم: WAP مخفف Wireless Application Protocol است كه اصول كاري آن همانند WEP است ولي با تغييراتي در آن و چگونگي كنترل Integrity در كليد ارائه شده به كاربران از امنيتي به مراتب بالاتر از WEP برخوردار شده است به طوري كه براي هر كاربر از يك كليد براي رمزنگاري بين خود و كلاينت استفاده مي كند. در اين روش با صرف شنود و دريافت  packetهاي ارسالي از AP نمي توان به كليد رمز نگاري دست يافت و تنها بايد از ابتداي برقراري ارتباط بين كاربر و AP شنود را آغاز كرد كه مستلزم زمان و حوصله  فراوان است.  بعدها در سال 2008 اين شيوه رمزنگاري بهبود يافته و با ارتقاء به نسخه دوم آن  WAP-2عملا كار براي نفوذ گران آماتور غير ممكن شده است.

3- MAC Address Filtering

استفاده از MAC آدرس براي كلاينت هاي مجاز جهت دسترسي به شبكه بي سيم.

4- Site-Survey

به منظور تأمين امنيت حداكثري ممكن در شبكه هاي مبتني بر بي سيم بايد محدوده خاص كاري مورد نظر مشخص شود از اين روبايد از AP هايي با آنتن و شعاع ارسال سيگنال متناسب با آن استفاده كرد و بي جهت قدرت ارسال سيگنال آن را اضافه نكرد.

جالب است كه بدانيد حتي با APهايي با قدرت كم جهت ارسال به كلاينت ها، هكرها مي توانند باخريد آنتن هاي Directional از فاصله هاي چند صد متر تا چند كيلومتر بسته به نوع آنتن و محيط قرار گرفته در آن به شنود بپردازند، پس نياز است كه هر از چند گاهي به صورت تصادفي در محيط اطراف پرسه زده و از كساني كه اجازه استفاده از تجهيزات بي سيم را ندارند همچون لپ تاپ هاي داراي Wireless Card جلوگيري به عمل آورند به اين عمل Site-Survey گفته مي شود(20).

امنيت شبكه در حوزه مديريتي(Management)

مدیریت و سیاست های کاری

حوزه مدیریت و سیاست گذاری شبکه،  وظیفه  تدوین و آماده سازی ضوابط ، شیوه نامه ها و هدایت امور  به منظور آماده سازی محیطی امن برای شبکه را  بر عهده دارد.  البته باید توجه داشت که تهیه دستور العمل شرط لازم کار(نه شرط کافی) است و برای ثمر بخشی آن، نیاز به پشتیبانی کامل و ضمانت های اجرایی کافی است. تدابیر متخذه  در این حوزه ، تأثیر عمده ای در سراسربخش های سازمان روی روحیه اعضا،  نحوه همکاری ها و نیز خروجی های آن، خواهد داشت. وباید مورد عنایت و توجه خاص سازمان و اعضای آن باشد. سازمانی که به امور رفاهی کارمندان از قبیل تعطیلات، مرخصی ها و... عنایت دارد نسبت به این امر حیاتی الزاما باید توجه خاص و بیشتری داشته باشد گرچه واقعیت ها گویای چیز دیگری هستند. شاهدش آن است که بیشتر کارمندان آن مقدار که به امور دیگر، بها می دهند به این امر، توجهی ندارند و اگر سازمان، در این خصوص برنامه ای جهت توجیه کارمندان خود داشت اوضاع، جور دیگری بود. پیشنهاد می شود  موارد مهم امنیتی مربوطه به کلیه اعضا،  ارسال شده و تأییدیه ای مبنی براین که کارمند مورد نظر، از مفاد آن کاملا اطلاع یافته است و متعهد شده که طبق آن رفتار نماید، از او گرفته شود.

محورهای مهم تأثیر گذاردر امنيت شبكه در حوزه مديريتي(Management)

محورهای مهم که در سیاست های شبکه باید مد نظر قرار گیرد به شرح زیر است:

-  داشتن سياست شفاف وجامع و ريز شده متناسب با امكانات و تجهيزات و سرمايه هاي موجود و شفاف بودن    درجه اهميت هركدام جهت تدوين خط مشي لازم براي حفاظت از آن ها و بهره گيري هوشمندانه از فرصت هاي موجود.
- تدوين، تصويب خواهي  و اعمال خط مشي  و دستور العمل خاص  جهت رعايت  قوانين استفاده از شبكه  در راستاي اهداف و مأموريت ها.

- سیاست توزيع متناسب خدمات بر اساس كلاس بندي و اعتباردهي هاي متفاوت.

- سیاست مشخص جهت نظارت مستمر، بازبيني و بررسي رويدادها.

- سیاست مشخص جهت تهيه گزارش ها، مقايسه و تطبيق وقايع و گزارش ها.

- سیاست مشخص جهت پشتيبان گیری منظم و نگهداري و استفاده از آن.

- سیاست مشخص جهت کار و تعامل کاربران در محیط شبکه آشنايي به عنوان محیط امن کاری.

- سیاست و طرح مشخص  جهت توسعه هاي كمي و كيفي مورد نياز و فزاينده مطابق با تحولات آينده و انعطاف پذيري در برابر تهديدات و تحولات.

- سیاست مشخص جهت به روز داشتن اطلاعات اعضا و آگاهی دادن به آنان و بهره مندي از تجارب ديگران و استفاده از منابع موجود به صورت مستمر.

هرکدام از موارد فوق به تفکیک در فصل های جداگانه قابل دسته بندی و بررسی مستقل است. به عبارت روشن تر جهت تأمین امنیت شبکه و تضمین آن، نیاز به مجموعه ای  از سیاست ها و مقررات و دستور العمل ها نیاز است که  در ادامه به ذکر اهم این مجموعه ها می پردازیم:

- سیاست های مدیريتی       (Administrative polices)

سیاست های مدیریتی، مبتنی  است بر راهبردها، انتظارات و توقعات سازمان در زمینه ارتقا، نظارت و مانیتورینگ، پشتیبان گیری ها و بازرسی ها.

مدیران و کارکنان بخش فنی شبکه، مأمور و مخاطب این حوزه هستند و موارد زیر بايد به روشنی مشخص شود:

- زمان(هر چند وقت یک بار) و چگونگی ارتقا.

- زمان و چگونگی نظارت و مانیتورینگ .

- شیوه مرور و بازرسی لاگ ها (Logs) .

- مقام مسؤول و تصمیم گیر در خصوص مدیریت و هدایت شبکه.

-  زمان بازبینی در تدابیر و این که تصمیمات متخذه چند وقت به چند وقت باید مورد بازبینی قرار بگیرد.

همچنین شایسته است که موارد زیر نسبت به سیاست یاد شده روشن باشد:
- چه کسی یا کسانی (کارشناسانی ) آن را تهیه کرده اند؟.
- به امضای چه مقامی، رسیده است؟.
- چه زمانی ابلاغ شده؟.

این سیاست، همچنین باید به قدری صریح و روشن باشد که شیوه کاری  کارکنان این بخش را به خوبی بیان کند تا آن ها بدون هیچ دغدغه ای روی کار خود متمرکز شوند.

از طرفی مدیران شبکه نیز باید در مقابل حوادث غیر منتظره و غیر قابل پیش بینی، انعطاف لازم داشته باشند ونسبت به کوچک ترین رخنه و ایرادی، بی تفاوت نباشند  مبادا همان عیب کوچک،  گسترش یافته و به بحران تبدیل شود. این نکات از جمله چیزهایی است که باید در تدوین سیاست شبکه مدّ نظر باشد و گرنه بهترین سیاست ها هم اثری نخواهد داشت

 

- نيازمندي هاي طراحی نرم افزار (Software design requirements)

نيازمندي هاي طراحی نرم افزار، امکانات مورد نیاز سیستم را مشخص می کند و تأثیر عمده ای روی هر گونه طرح و  راه حلی دارد مثلا در خرید هر نوع تجهیزاتی باید  آن را مقیاس سنجش قرار داد اگر توضیحات فنی مورد نظر، منطبق بر آن معیار بود اقدام به  تهیه آن شود. و باید در آن به طور ویژه به مساله امنیت توجه شود.  اگر امنیت به عنوان جزء لاینفک پیاده سازی و اجرا در بخش نيازمندي ها در نظر گرفته نشود بی شک نتیجه حاصل از آن،  شبکه ای آسیب پذیر خواهد بود. ضمنا بايد توجه كرد كه نیازمندی های امروز، با نیازمندی های  دو سال بعد به صورت قابل ملاحظه ای تفاوت خواهد داشت وقطعا "تغيير پذيري" به عنوان يك اصل بايد در اين جا مورد نظر باشد.

- طرح ها و تدابیر بازیابی ویژه بحران ((DRPs)Disaster recovery plans)

تدابیر بازیابی ویژه شرایط بحرانی، یکی از بزرگترین دردسرهایی است که متخصصان IT با آن مواجه هستند.  اجرای این طرح پرهزینه بوده و بیشتر برای شرکت های بزرگ ومراکز حساس مناسب است. در این طرح پشتیبانی و حمایت کامل و آنی به عنوان Hot Site در نظر گرفته می شود. یک Hot Site  عبارت است از امکاناتی خاص جهت دسترس پذیری بدون وقفه به شبکه و سیستم که به محض پدید آمدن حادثه ای برای سیستم یا شبکه، کلیه کارها بلافاصله از بخش دیگری دنبال خواهد شد و بدون لحظه ای توقف به روال عادی خود ادامه می دهد. مراکزی که وظایف سنگینی دارند و در مناطق پرخطر(زلزله خیز، توفان و...) هستند می توانند از این امکانات بهره مند شوند(21).

- سیاست های اطلاعاتی    (Information policies)
سیاست های اطلاعاتی به جنبه های مختلف امنیت اطلاعات می پردازد. با توجه به این که نوع اطلاعات می تواند:
1- عمومی(Public) و مناسب اعلام همگانی باشد
2- یا اطلاعات داخل سازمانی(Internal) ویژه کارکنان آن مجموعه باشد
3- یا اطلاعات شخصی (Private) کارمند باشد
4- یا اطلاعات محرمانه(Confidential) باشد که تنها باید به رؤیت افرادی خاص برسد.
باید سیاست ها و تدابیری مشخص جهت سطوح دسترسی(Access)، طبقه بندی اطلاعات(Classifications)، نشان گذاری و ذخیره اطلاعات(Marking and Storage) انجام داد.

- سیاست های امنیتی   (Security policies)

سیاست های امنیتی، نحوه نصب و پیکر بندی سیستم و شبکه را در موارد زیر مشخص می کند:
- نرم افزار
- سخت افزار
- ارتباطات شبکه
- اتاق رایانه و مركز داده (دیتا سنتر Data Center )

سیاست های امنیتی، باید به خوبی نحوه احراز هویت و تأیید کاربر(Authentication) و سطح دسترسی قانونی (Authorization) او را به شبکه و منابع آن مشخص کند. تعیین سطوح دسترسی، نحوه ممیزی ها(Audits)، گزارشات، و ارتباطات شبکه ای، رمز نگاری، نرم افزارهای آنتی ویروس، سیاست های مر بوط به روال و شیوه انتخاب گذر واژه (Password)، انقضای حساب کاربری(Account Expiration) تا زمان مشخص، قفل کردن برنامه برای دسترسی در صورت تکرار سعی در ورود(Logon) غیر مجاز.

نکته قابل توجه این که هرکدام از این پالیسی ها گرچه حوزه کاری خاص خود را دارند، ولی در مواردی نیز، همپوشانی دارند. سیاست های امنیتی و سیاست های اطلاعاتی از این نوع هستند. از باب مثال، سیاست های امنیتی بر اساس سیاست های اطلاعاتی مشخص وطراحی می شود.

- سیاست های کاربردی   (Usage policies)

تعیین نحوه استفاده از اطلاعات و منابع شبکه  در حوزه مأموریت های سیاست های کاربردی می باشد. باید به کاربران تبیین شود که چگونه از منابع سازمانی و برای چه منظوری از آن استفاده کنند.

ازجمله مواردی که در سیاست کاربردی باید مشخص شود عبارت است از:
1 - تعیین نحوه استفاده از رایانه
2- حریم کاری افراد
3 - مسؤولیت پذیری و پاسخ گو بودن افراد در قبال کارهای انجام شده در حوزه کاری خود
4 - انتظارات کاری و مأموریت های محوله در رابطه با:
- استفاده از اینترنت
- دستیابی از راه دور(Remote Access)
- پست الکترونیک

5- نحوه رفتار و عکس العمل کاربران در قبال رویداد های مشکوک
6- توجه به اصل نظارت و فرهنگ سازی آن در میان کارمندان جهت پذیرش و تن در دادن به آن
7- پیامدهای  سوء استفاده از حساب کاربری (قطع حساب کاربری،...)

- سیاست های مدیریت کاربر(User management policies)

سیاست های مدیریت کاربر ناظر به فعالیت های تعریف شده برای کارمند است. با توجه به این که جا به جایی کارمند در محیط اداری امر متداولی می باشد باید مشخص باشد کارمند جدید، چگونه به سیستم کاری پیوسته، آیا آموزش لازم را جهت این کار دیده است ؟ آیا به اندازه کافی توجیه کاری شده؟ و آیا با نصب تجهیزات و پیکر بندی ها آشنایی دارد؟. در صورت انتقال کارمندی به پست و جایگاه جدید چه بسا امتیازات (privileges) و دسترسی های سابق، مناسب پست جدید نباشد. عدم لغو امتیازات سابق، چه بسا منجر به این شود که کاربر جدید به اطلاعاتی بیشتر از حوزه کاری مورد نیازش دست رسی داشته باشد امری که عوارض بسیار نامطلوبی را(سوء استفاده از فهرست اسامی مشتریان و افراد طرف قرارداد، حساب های اعتباری و دیگر اطلاعات حساس) در پی خواهد داشت. در صورت ترک کار،  حساب اعتباری وتمام دست رسی های آن کارمند، باید غیر فعال و یا حذف شود. اگر به این مسايل توجه نشود نتیجه اش سرگردانی مدیر شبکه در مقابل تغییر و تحول اعضای شبکه و تداخل و به هم ریختگی کارها خواهد بود.  سیاست مدیریت کاربر باید مشخص کند که در صورت قطع همکاری کارمند، چه مقامی باید بلافاصله به مدیریت بخش IT گزارش لازم را بدهد تا اقدامات قانونی جهت لغو امتیازات دست رسی او به سرعت انجام شود.

 

ب - مسايل مهم امنيتي مر تبط با سايت:

از آن جا كه برخي محورها، موضوعات و مسايل مطرح شده در بخش اول در رابطه با مسايل مهم امنيتي مرتبط با شبكه در بخش فعاليت هاي مرتبط با سايت هاي اطلاع رساني نيز جاري است از اين رو لزومي به ذكر مجدد آن نمي باشد و به ذکر موضوعات و مسايل  امنیتی مرتبط با راه اندازی و مدیریت (وب) سايت ها مي پردازیم. مسايل مربوط با امنیت کاربران سایت های اینترنتی نيز موضوع مستقلی است که باید جداگانه مورد بررسی قرار گیرد.

همان گونه که در بخش اول در ارتباط با مسايل امنیتی مرتبط با شبکه بیان شد حوزه امنیت اطلاعات شامل سلسله ای از علل و عوامل گوناگون به عنوان یک مجموعه است که هر بخش آن، به عنوان حلقه امنیتی زنجیره، نقش و جایگاه خود را دارد و آسیب پذیری هر حلقه مساوی با آسیب پذیری کل مجموعه خواهد بود.

پايه هاي سه گانه فيزيكي، عملياتي و مديريتي در حوزه امنيت اطلاعات در بخش مديريت سايت ها نيز نقش و جايگاه خود را به  شرح زير دارد:

الف-  تجهيزات فيزيكي مورد نياز براي راه اندازي، پشتيباني و مديريت سايت.

ب-  مديريت به روز رساني و پشتيباني سايت و آمادگي جهت مواجهه با مشكلات.

ج-  طرح و برنامه مشخص و سياست هاي كلي حاكم بر سايت در خصوص نحوه اداره و پشتيباني و ارتقا، چگونگي تعامل متقابل با كاربران و مواجهه با مشكلات و حل آن ها، اصول مربوط به انتخاب و تهيه ميزبان، امور سخت افزاري و نرم افزاري  و...

علل و عوامل مؤثر در خصوص مديريت امن سايت هاي اينترتي

در ادامه به مجموعه ای از علل و عوامل مؤثر در خصوص مديريت امن سايت هاي اينترتي اشاره مي شود:

1-  داشتن طرح وبرنامه مشخص امنيتي جهت فعاليت مؤثر و هدف مند اطلاع رساني در فضاي سايبر.

2- ثبت دامین از طریق شرکت های معتبر.

3- انتخاب میزبان شایسته جهت تهیه فضای سایت و تضمین های کافی جهت پشتیبانی های لازم.

4- استفاده از نرم افزارهای ایمن.

5- دقت لازم در انتخاب نوع CMS  از نظر متن باز يا متن بسته و نيز امكان پشتيباني و توسعه نرم افزار و هم خواني آن با زير‌ساخت هاي موجود.

6- توجه به جهات امنیتی در استفاده از امکانات نرم افزارها به ویژه دقت و احتیاط  در استفاده از امکانات تعاملی و ارتباطی با کاربر در نرم افزارهای مدیریت محتوا ودرگاه ها.

7- رعايت اصول امنيتي در استفاده از برخي امكانات جهت زيبا سازي سايت.

8- احتیاط  و دقت در استفاده از نام های کاربری و گذر واژهای مربوط به کنترل پنل، انتقال فایل و ای میل ها، و احتياط در تنظيم گزينه هاي كنترل پنل.

9- استفاده از نرم افزارهاي اصل و تهيه آن از مراكز مطمئن  با پشتيباني لازم و شفاف بودن موارد مشمول آن.

10- استفاده از آخرين به روز رساني ها، وصله هاي امنيتي و سرويس پك ها.

11- استفاده از نرم افزارهای امنیتی و ضد ویروس.

12- پشتیبان گیری سایت  و نگه داری نسخه های آن درمکان هایی دیگر اضافه بر مکان جاری سایت.

13- سرکشی مداوم به سایت، بازبینی و بررسی رویدادها و دسته بندی آن ها براي ملاحظات بعدي.

14- همچنین استفاده از CA  جهت صحت سنجی و اطمینان دادن به مخاطبان، می تواند در احساس امنیت و اطمینان کاربر نقش اساسی داشته باشد.

15- امكان استفاده از رمزنگاری در موارد خاص به عنوان مهمترین ابزار برقراری امنیت در فضای تبادل داده.

16- توجه به پيامدهاي استفاده از برخي امكانات كه مي تواند زمينه ساز برخي حملات باشد مانند استفاده از کاراکتر های  یونی کد  درURL.  زیرا به علت استفاده از کاراکتر های  یونی کد  در  URL احتمال حمله از نوع Buffer Over flow   افزایش پیدا میکند(22). توضيح اين كه برخي سايت ها در آدرس دهي هاي خود از حروف غير انگليسي استفاده مي كنند و ناچار بايد از كد غير اسكي استفاده كنند نمونه آن سايت ويكي پديا در آدرس دهي به صفحات فارسي است.

روشن است كه مواردي از بندهاي فوق، وابسته به كارهاي ديگري است كه بايد در سطح كلان تر، صورت پذيرد. موضوعاتي مانند:

- سیاست شفاف و ريز شده در خصوص امنیت فضای تبادل اطلاعات در سطح ملي.

- آماده سازي زیر ساخت هاي سخت افزاري و نرم افزاري.

- تصویب قوانین سخت گیرانه در خصوص تبه کاران اینترنتی.

- ضمانت هاي اجرايي لازم وكافي در برخورد با تخلفات امنيتي.

- تدوين و ابلاغ استانداردهاي لازم امنيتي.

- سازمان دهي و نظارت كلي بر سايت هاي اطلاع رساني و انجام پشتيباني هاي لازم.

- فرهنگ سازی جهت استفاده امن اطلاعاتی در فضای سایبر و انجام هشدارهای لازم.

 

انتظارات و توقعات بجا

همان گونه كه پيش از اين بيان شد وضعيت جاري وب سايت هاي ما در حوزه امنيت، در حد مطلوب نيست بلكه با آن فاصله‌اي عميق دارد. براي پي بردن به اين امر مي توان وضعيت جاري آن ها را با معيارهاي ذكر شده مقايسه كرد. واقعا ما چقدر به اصول حفاظتي و امنيتي در برابر تهديدات سايبر اطلاع داريم، مديران ما چه آموزش هايي ديده اند؟ چه مقدار بودجه صرف اين قبيل كارها مي شود؟ چه رديف بودجه‌اي براي اين كار تقاضا و يا تصويب شده است؟ چه كارهاي مطالعات در ا ين حوزه انجام شده؟ چه مقدار مقاله، نشست و سمينار در خصوص موضوع امنيت اطلاعات در حوزه سايت و شبكه داشته ايم؟ موضوع امنيت فضاي تبادل اطلاعات چه مقدار دغدغه مديران عالي بوده است؟ چند ساعت روي آن فكر ومشورت كرده اند؟ نتيجه آن در كجا مكتوب شده؟ چه بازخوردي داشته است؟.

اخبار و اطلاعات موجود در خصوص وضعيت امنيت اطلاعات در فضاي سايبر، نشان گر بازخورد كارهاي بايسته‌اي است كه در اين حوزه انجام نشده است . به عنوان نمونه، به گزارش سايت دنياي اقتصاد در اين زمينه توجه فرماييد:

به گزارش سایت  دنیای اقتصاد   در 17 آذر 1388   تحت عنوان:  "امنیت متزلزل سایت‌های ایرانی "   30 درصد سایت‌های دولتی سال گذشته (1387) هک شدند. اين گزارش سپس در ادامه در مورد تبیین وضعیت حاکم در حوزه امنیت وب سایت های ایرانی و عدم توجه لازم سازمان ها به امنیت اطلاعات در فضای سایبر می نویسد:

حمله به سایت سازمان فضایی ایران توسط یک گروه هکر ایرانی به نام Persian Boys، هک یکی از بانک‌های کشور توسط گروه ISCN و مشکل کاربران برای دسترسی به صفحات اصلی بانک، دستکاری سایت ماهنامه دنیای کامپیوتر و ارتباطات توسط گروهی به نام مافیا، هک چندباره سایت ایسنا توسط هکرهای خارجی و داخلی، نفوذ هکرها به سایت مجلس شورای اسلامی، نفوذ به سایت دانشگاه پیام نور و تغییر نمره‌ها و..... تنها بخشی از حملات سایبری به سایت‌های نهادهای دولتی و آموزشی کشور است.

 

آن طور که شواهد و آمارها نشان می‌دهند، ضریب ایمنی سایت‌های ایرانی در مقابل عملیات خرابکارانه بسیار پایین است و همین امر باعث شده است که نام ایران در میان 50 کشور برتر در زمینه هک سایت‌ها قرار بگیرد. همچنین پلیس آگاهی ناجا، بخش جرائم رایانه‌ای نیز خبر از کشف حدود 67 مورد مشکوک جرم رایانه‌ای توسط گشت‌های اینترنتی در سال گذشته داده‌اند و اعلام کرده‌اند که سهم سایت‌های دولتی از نفوذ غیرمجاز اینترنتی در سال 87‌، 31 درصد و سایت‌های غیردولتی 69 درصد بوده است. با توجه به این شرایط و هشدارهایی که کارشناسان بخش فناوری اطلاعات به مسوولان سازمان‌ها در خصوص چاره‌اندیشی برای افزایش ایمنی سایت‌های ایرانی داده‌اند، اما تا کنون به جز چند طرح و پروژه نیمه‌کاره و یا فراموش شده فعالیت زیادی در این زمینه دیده نشده است.

بی‌توجهی سازمان‌ها و نهادهای دولتی و غیردولتی برای افزایش امنیت سایت‌های خود باعث شده که این روزها هک کردن سایت‌ها به یک تفریح مفرح برای برخی از دوستداران دنیای کامپیوتر تبدیل شود، به طوري كه اگر يك بار کلمه «هک» را در مرورگر خود جست‌وجو كنيد با حجم عظيمي‌از لينك‌هايي روبه‌رو خواهيد شد كه در آن نام سايت‌های هك شده در کشور چه از خارج و چه از داخل دیده می‌شود.

بررسي‌هاي انجام گرفته از سوي كميسيون افتاي سازمان نظام صنفي رايانه‌هاي كشور نشان مي‌دهد كه از 130 سايت سازماني در سال گذشته حداكثر 110 سايت نفوذپذير بوده‌اند. اين يعني 90درصد پورتال‌هاي دولتي ايران در برابر حملات هكرها آسيب‌پذيرند.

از جمله سايت‌هاي مهمي‌كه در چند سال گذشته هك شده است، مي‌توان به سايت مجلس خبرگان، سايت وزارتخانه‌هاي اصلي كشور، سايت برخي خبرگزاري‌ها و... اشاره كرد. همچنين دستبرد به دامنه وب‌سايت‌هاي مهم از شيوه‌هاي ديگر اختلال اينترنتي است كه نمونه برجسته آن سرقت دامنه انتخاباتي ايران، متعلق به وزارت كشور بوده است. جالب است كه برخي از اين سايت‌ها كه توسط افراد مختلف هك يا مسدود شده‌اند، هدفي جز خرابكاري نداشته‌اند و برخی دیگر قصدی جز هشدار نداشته‌اند. به باور کارشناسان متاسفانه در ايران به مقوله امنيت سايت کمترين اهميت داده مي‌شود، به خصوص سايت‌هاي دولتي که با وجود اهميت داده‌هاي موجود در آن هزينه‌اي براي امنيت سايت پرداخت نمی‌شود.

... همه سال در اكثر كشورهاي پيشرفته سياست‌هاي امنيت اطلاعاتي مشخصي تدوين و به اجرا گذاشته مي‌شود. در كشور ما نيز چندي پيش، سياستي مبني بر امنيت فضاي تبادل اطلاعات (افتا) تدوين شد كه از ابلاغ آن به تمام داستگاه‌هاي دولتي، بيش از 4 سال سپري شده است. در آغاز ابلاغ اين طرح، اقداماتي از سوي برخي سازمان‌هاي دولتي براي اجراي سياست‌هاي طرح »افتا» انجام و مناقصاتي نيز در اين زمينه آماده و اعلام شده، اما هم‌اكنون يا اين طرح به فراموشي سپرده شده يا اينكه مسير ديگري جز طرح افتا را طي كرده است. (23)

اهداف امنیت اطلاعات

اهداف امنیت اطلاعات چارچوب توسعه و نگهداری یک طرح امنیتی را می سازد. اين اهداف درمقام بیان، آسان ولي در عرصه عمل و اجرا، دشوار به نظر مي رسند.

اهداف سه گانه امنیت اطلاعات:

پیش گیری (Prevention)

پیش گیری هر رخدادی قبل از وقوع آن ، آسان تر است ، گاه يك غفلت مي تواند علت رخ داد يك نقص امنيتي شود مثلا ممكن است كه نام كاربري و رمز عبور گم شود يا اين كه سيستم در حالت Logon شب تا به صبح روشن بماند. بنا بر اين، شرط اول امنيت اطلاعات لزوم هوشياري در جهت پيش گيري از وقوع هر حادثه بدي است.
کشف - یافت ( Detection)

در بسياري از مواقع كشف نقيصه و عيب امنيتي دشوار است، ممكن است حمله هاي ناموفق بسياري به سيستم شما از مدت ها پيش رخ داده باشد واگر به موقع موفق به كشف حمله و رفع نقيصه  شويد خواهيد توانست پيش از وقوع هر رخ داد ناخوشايندي جلوي آن را بگيريد. وظايف مدير شبكه در اين مرحله عبارت است از: كشف نقص امنيتي، و اين كه حمله و تهديد صورت گرفته چگونه  و توسط چه كسي رخ داده؟ و اين كه آيا هنوز هم ادامه دارد يا خير؟.

در اين مرحله از ابزارهاي پيچيده تا ساده ترين روش (مثل بررسي فابل هاي ثبت وقايع (Log Files)) مي توان استفاده كرد. يكي از وظايف مدير شبكه آن است كه به صورت مداوم و هميشگي تمام فعاليت هاي شبكه‌اي را زير نظر داشته باشد. سر وقت و پيش از وقوع هر رخداد بدي بتواند عكس العمل لازم را داشته باشد. وبه اين مرحله به عنوان بخشي از سياست و شيوه هاي امنيت اطلاعات توجه كند.

واکنش- پاسخ (Response)

مرحله سوم مربوط به عكس العمل مناسب در خصوص توسعه اصول راهبردي و روش هاي فني در قبال حمله يا خسارت است. بسته به نوع و شيوه رخداد، شيوه واكنش نيز مي تواند متفاوت باشد اگر آن رويداد در حد يك تحقيق و آزمايش باشد مي تواند بيان گر اين باشد كه حمله كننده يا هكر هنوز در مرحله گردآوري اطلاعات در مورد شبكه و يا سيستم شما قرار دارد اين گونه حملات مي تواند به صورت تصادفي و يا هدفمند باشد. در صورتي كه حملات هدفمند و مداوم باشد، احتمال موفقيت حمله بيشتر خواهد بود و در صورت موفقيت حمله خسارت سنگيني متوجه قرباني خواهد شد.  بايد بر اساس طرح و برنامه‌اي حساب شده جهت بازيابي اطلاعات  و از بين بردن خطر، تهديد و آسيب وارد شده،  واكنش مناسب نشان داد(24).

مطالب فوق در زمينه: تدابير، سياست ها، روش ها، دستور العمل ها، هشدارها و اهداف امنيت اطلاعات بايد به عنوان يك زنجيره متصل به هم و پيوسته و نه گسسته معيار عمل در  حوزه امنيت اطلاعات،  نصب العين قرار گيرد به ياد داشته باشيم كه امنيت يك زنجيره تابع امنيت تك تك حلقه هاي آنست و ترك و از هم گسيختن يك حلقه به به معناي نابودي زنجيره و بي ثمر بودن بقيه حلقه ها است و بايد به اين عوامل به صورت مجموعه‌اي مرتبط و يك پارچه نگاه كرد كه بي توجهي به اين اصل، پيامدي جز غافل گيري نخواهد داشت امري كه ناخوشايند است و چه بسا لازم باشد براي جبران خسارت ها و تصحيح اشتباهات، هزينه مالي سنگين و فرصت هاي زيادي صرف شود.

اميد است كه با درايت بجاي مسؤولان و عنايت جدي آنان به مقوله امنيت اطلاعات، شاهد فضايي امن در حوزه امنيت شبكه ها و فضاي سايبر باشيم و عقب ماندگي هاي موجود در اين حوزه به سرعت به شيوه‌اي جامع ومنطقي جبران شود.

در پايان ذكر اين نكته لازم است كه امنيت كاربران اينترنتي، موضوع ديگري است كه بايد جداگانه مورد بررسي قرار گيرد و آن چه ذكرشد مربوط به راه اندازي، مديريت و نگه داري سايت ها و شبكه ها بوده است و اين را نيز بايد توجه داشت كه امنيت مطلق امكان پذير نيست، امنيت مراتبي دارد. مراد از امنيت، سطح قابل قبولي از آن با سهولت دست رسي  براي افراد خودي است.


منابع تحقيق:

(فهرست منابع فارسي - نشرمكتوب)

1-         "راهنماي امنيت فناوري اطلاعات"،  دبير خانه شوراي عالي اطلاع رساني،   تير ماه 1384.

2-         "نفوذ گري در شبكه و روش هاي مقابله" ،  اثر: مهندس احسان ملكيان،  بهار 1382.

(فهرست منابع انگليسي - نشرمكتوب)

3- “CompTIA Security”, ™ Study Guide ,Third Edition, Mike Pastore, Emmett Dulaney.
4- “ Hacking Exposed”,  Network Security Secrets & Solutions, fourth edition,   Stuart   McClure, Joel Scambray and George Kurtz..
5-  “Hack I.T.”,  Security Through Penetration Testing, T.J. Klevindky,  Scott  Laliberte, and Ajay  Gupta.
6- Dr. Tom Shinder’s ISA Server 2006 Migration Guide.

 

(فهرست منابع ديجيتال - سايت هاي اطلاع رساني)

7- http://www.ashiyane.ir

8- http://www.bazyab.ir

9- http://dictionary.reference.com

10- http://www.donya-e-eqtesad.com

11- http://fa.wikipedia.org

12- http://www.ircert.com

13- http://www.loghatnameh.com

14- http://www.merriam-webster.com

15- http://www.shabakeh-mag.com

16- http://snoopmag.net

17- http://saye-group.ir
18- http://www.pdnco.ir
19- http://www.majlis.ir

 

يادداشت:

(1) فناوری اطلاعات و ارتباطات   ( فاوا) ( Information and Communication Technologies)

(2) سامانهٔ مدیریت محتوا (به انگلیسی: Content Management System و به اختصار: CMS)، برنامه‌ای است که با بهره‌گیری از بانک اطلاعاتی امکان ویرایش، انتشار، و مدیریت داده‌ها را - بدون نیاز به برنامه‌نویسی - فراهم می‌کند...  CMSیک برنامه نرم افزاری روی سرور است که به مدیر سایت اجازه می‌دهد تا محتوای سایت را بدون نیاز به طراحی دوباره سایت، تغییر دهد. در واقع طراح اولیه سایت، یک بار سیستم محتوا را طراحی می‌کند و تعدادی قالب آماده برای صفحات طراحی کرده و آن را روی سایت شما نصب می‌کند. و حال شما به راحتی می‌توانید صفحات دیگری را به آن کم یا اضافه یا ویرایش کنید.

http://fa.wikipedia.org/wiki/سامانهٔ_مدیریت_محتوا  رجوع شود به:

(3) متن‌باز، بازمتن یا منبع ‌باز معادل کلمهٔ Open Source است.  اکثر نرم‌افزارهای موجود به صورت نسخه‌های ترجمه شده و آماده اجراء در اختیار كاربر قرار می‌گیرد. (ترجمه، فرآیندی است که در آن کد برنامه‌های نوشته شده توسط برنامه نویسان که از آنان به عنوان کد اولیه (Source Code) یاد می‌شود، پس از استفاده از برنامه‌های خاصی موسوم به کامپایلرها به بگونه‌ای ترجمه می‌شوند که توسط کامپیوتر قادر درک باشند). اعمال تغییرات دلخواه در اکثر برنامه‌های ترجمه شده، امری بسیار مشکل و گاه غیر ممکن است. اکثر تولید کنندگان نرم افزار از ویژگی فوق به منظور صیانت و حفاظت از کدهای نوشته شده، استفاده می‌نمایند.

نرم افزارهای Open Source نقطه مقابل رویکرد فوق می‌باشند. در اینگونه نرم افزارها علاوه بر نسخه ترجمه شده، کد اولیه نیز در اختیار متقاضیان قرار می‌گیرد.بدین ترتیب امکان اعمال تغییرات و یا سفارشی نمودن آن متناسب با خواسته استفاده کنندگان، فراهم می‌گردد. افرادیکه از ایده Open Source حمایت می‌نمایند بر این اعتقاد هستند که با اجازه دادن به اشخاصی که علاقه مند به تغییر کد اولیه می‌باشند، امکان استفاده مفیدتر از برنامه فراهم و احتمال بروز خطاء در آنان، کاهش خواهد یافت.

http://fa.wikipedia.org/wiki    منبع:                                                      /متن‌باز/

همچنين مراجعه شود به سايت اپن سورس به نشاني: http://www.opensource.org

http://www.fsf.org/       (FSF = Free Software Foundation) به نشاني: و نيز سايت بنياد نرم افزارهاي رايگان

(4) حفره امنيتي عبارت است از ضعف برنامه رايانه‌اي (كد هاي نرم افزاري) كه به كاربران غير مجاز اجازه دسترسي به سيستم و شبكه را مي دهد و در نتيجه دسترسي به منابع سيستم را مي دهد. براي تأمين امنيت در قبال آن حتما بايد از وصله ها (patch) و سرويس پك ها (service pack) استفاده كرد.

(5) هك (Hack) در اصطلاح امروزي  به معناي نفوذ در سايت يا شبكه جهت ايجاد تغيير و تحول در يك برنامه يا يك وسيله به گونه‌اي است كه افراد بتوانند به امكانات و قابليت هايي كه به طور عادي در دسترسشان نيست، دسترسي پيدا كنند.

سرمنشا خلق اين واژه

خلق واژه هك به معناي امروزي مانند بسياري از واژه هاي مدرن دنياي فناوري به دهه 60 ميلادي و دانشگاه مشهور   MIT در آمريكا بازمي گردد. در آن زمان اين واژه به معناي راه حلي سريع و خلاقانه براي حل يك مشكل فني و غلبه بر يك مساله بغرنج در دنياي فناوري بود.

واژه هكر نيز در همان زمان ابداع شد و منظور از آن فردي بود كه قادر به يافتن راه حال هاي خلاقانه براي حل يك مشكل رايانه‌اي و فني باشد. هك در اصل برگرفته از يك واژه آلماني بدين معني است: كسي كه با استفاده از يك تبر مبلمان خانه مي سازد.  منظور از اين واژه به كنايه عدم ظرافت و دقت است.

اين واژه براي اولين بار در اواسط دهه 60 توسط كاركنان مركز رايانه دانشگاه MIT  مورد استفاده قرار گرفت. با پيشرفت علوم رايانه و گسترده شدن استفاده از آن هك به عنوان روشي مطرح شد كه اگر چه از نظر فني به درستي عمل كرده و موجب حل مشكلات مي شود، اما ماهيتي زشت و ناپسند دارد و خارج از هنجارهاي پذيرفته شده است.

http://www.bazyab.ir/index.php?option=com_content&task=view&id=45267&Itemid=47 منبع:

جهت اطلاعات بیشتر رجوع شود به کتاب های
1- "نفوذ گري در شبكه و روش هاي مقابله" ،  اثر: مهندس احسان ملكيان،  سال نشر:  بهار 82.

2- “ Hacking Exposed”,    Network Security Secrets & Solutions, fourth edition,   Stuart McClure, Joel Scambray and George Kurtz.

3-  “Hack I.T.”,  Security Through Penetration Testing, T.J. Klevindky,  Scott  Laliberte, and Ajay  Gupta.

(6) ديفيَس کردن(Deface) به معناي  تغییر چهره ی سایت است كه  پس از Save as کردن HTML و image های سایت و اعمال تغییرات دلخواه روی وب سایت مورد نظر قرار داده (Upload) مي شود.  کلمه  Deface به هرچیزی که چهره و ظاهر آن  تغییر داده شود اطلاق مي شود. هر سایتی که هک می شود چون ظاهرش تغییر می کند می گويند Deface شده.  Deface کردن نام روش خاصی از هکینگ نیست و کلا به هر تغییری در سایت که نتیجه هک باشد Deface گفته مي شود.

 

(7) VPS که مخفف Virtual Private Server به معناي سرور اختصاصي مجازي مي باشد و گاهي از آن به عنوان VDS يا Virtual Dedicated Server نيز نام مي برند، به طور ساده به سرويس هاي ميزباني فضايي گفته مي شود که همانند يک سرور اختصاصي مستقل با دسترسي سطح بالا به سرور عمل مينمايند لکن بصورت چندگانه و با هم بر روي يک سرور فيزيکي قرار مي گيرند. به عبارت بهتر، با استفاده از تکنولوژي مانند Virtuozzo و با بهره گيري از سخت افزارهاي بسيار قوي و پيشرفته، يک سرور فيزيکي به چندين VPS با امکانات يکسان يا متفاوت تقسيم مي شود.

هر VPS بنا به تعريف اوليه، سهم خاصي از منابع سرور از قبيل پردازنده، حافظه اصلي، فضاي ديسک سخت، پهناي باند و... را به صورت اختصاصي و تضمين شده در اختيار خواهد داشت. به عنوان مثال، يک VPS مي تواند شامل 512 مگابايت از 8 گيگابايت حافظه اصلي سرور را به صورت تضمين شده به همراه 50 گيگابايت فضاي ذخيره سازي و 500 گيگابايت پهناي باند ماهيانه باشد. اين بدين معنا است که صرفنظر از ميزان مصرف ساير VPS هاي موجود بر روي سرور، VPS مورد مثال ما تحت هر شرايطي به 512 مگابايت از حافظه اصلي سرور دسترسي خواهد داشت.

هر VPS به طور کاملاً جداگانه عـمـل مي کنـد در نتيجـه VPS هـاي موجود بر روي يک سـرور مي توانند از سيستم هاي عامل متفاوت و نرم افزارهاي مختلف و نسخه هاي متفاوتي استفاده نمايند. بر فرض يک VPS داراي لينوکس Fedora، ديگري داراي CentOS به عنوان سيستم عامل هاي سـرور خواهند بود. همين امر در رابطه با VPS هاي با سـيسـتـم عامل وينـدوز نيـز صادق مي باشد. همچنين تعريف Name Server هاي اختصاصي ، نصب ASP, PHP , MySQL , .NET و ساير برنامه ها با نسخه دلخواه ، نصب و اجراي كليه برنامه ها، DLL ها، ... بطور كامل در كنترل و اختيار هر مشترك ميباشد.
مهمترين مزاياي استفاده از VPS ها در مقايسه با ساير سرويس هاي ميزباني، هزينه بسيار کمتر VPS ها نسبت به سرورهاي اختصاصي و استقلال عملکرد و دسترسي بالاتر نسبت به سرويس هاي نمايندگي (Resseller/Shared Hosting) مي باشد بگونه اي که هزينه VPS ها در بسياري از اوقات يک پنجم تا يک دهم هزينـه سـرور هاي اختصاصـي بوده ولي تمامي امکانات آنهـا را دارا مي باشد. همچنين هر VPS ميتواند به تعداد دلخواه IP معتبر اختصاصي نيز داشته باشد. در مجموع از ديد کاربر نهايي، VPS درست همانند يک سرور اختصاصي بوده و کاربر به هيچ عنوان تفاوتي را در نحوه عملکرد و کيفيت خدمات اين دو مشاهده نخواهد کرد.

مزایای سرور مجازی به میزبانی وب اشتراکی:

کنترل: با دراختیار داشتن دسترسی Root، یا Administrator شما به راحتی می توانید پیکره بندی سرور را تغییر دهید، برنامه های مورد نظر خود را نصب کنید، یا تغییر دهید، که به هیچ وجه در میزبانی اشتراکی مقدور نیست.

امنیت : فایل سیستم شما کاملا مجزا از سایر مشتریان خواهد بود و مطمئن خواهید بود که از دسترس آنها دور است و بدین ترتیب امنیت بیشتری برای شما تامین خواهد شد.

مجزا بودن و کارایی: سرور مجازی شما از منابع اختصاص یافته گارانتی شده برای خود به صورت کامل می تواند استفاده کند و کار مشتریان دیگر سرویس شما را تحت تاثیر قرار نخواهد داد.

 

 

مزایای سرور مجازی نسبت به سرور اختصاصی:

هزینه: در واقع شما همه قابلیتهای یک سرور اختصاصی را با کسری از هزینه های آن خواهید داشت.
قابلیت اطمینان: سازوکار تهیه نسخه پشتیبان به صورت لحظه ای امنیت داده های سرور مجازی را تضمین می کند.
مدیریت پذیری: ابزارهای تعبیه شده در ویرچوزو (Virtuozzo) نصب برنامه ها و تغییر و به روزرسانی آنها را فورا انجام می دهند.
استفاده از ظرفیتهای خالی: هر سرور مجازی قادر است تا در صورت خالی بودن ظرفیتهای سیستم و عدم استفاده از آن بوسیله سرور مجازی دیگر در صورت نیاز، از همه آن استفاده کند.

انعطاف پذیری: ارتقاءمنابع اختصاص یافته برای یک سرورمجازی، در صورت نیاز به منابع بیشتر به راحتی قابل انجام است

منبع: سايت گروه ميزباني سايه               http://saye-group.ir/page.php?go=page&id=6


(8) گواهي ديجيتالي، CA  مخفف Certification Authority.

بزرگترين مركز صدور گواهي جهان -VeriSighn- چندين نوع مختلف گواهي منتشر مي كند اين مركز تحت شبكه مطمئن (VTN= VeriSighn Trusted Network) VeriSighn   گواهي هايي براي استفاده عموم صادر مي‌كند. پايين ترين سطح گواهي هاي صادر شده توسط VTN هيچ تضميني ارائه نمي‌كند. اما بالاترين سطوح آن تضمين مي‌كند كه VTN قبل از صدور گواهي، صاحب كليد را شناسايي كرده است.

رجوع شود به: "راهنماي امنيت فناوري اطلاعات"،  دبير خانه شوراي عالي اطلاع رساني،   تير ماه 1384، بخش پنجم: امنيت فناوري اطلاعات و راهبران فني، ص 321.

در خصوص راه‌اندازی مرکز گواهی دیجیتال در ايران مراجعه شود به:

http://www.dpi.net.ir/newsdetail-fa-1105.html

همچنين مراجعه شود به:

http://www.verisign.com

(9) سرورهاي Blade  آخرين نوع سرورهايي هستند كه در مراكزداده پديدار شده‌اند. مراكزداده بزرگ بدنبال استفاده كردن و بهره‌بردن از مزاياي اين نوع سرورها مثل برق مصرفي، خنك‌سازي و تركيب سرورها كه قدرت محاسباتي را در هر رك بهينه مي‌‌كنند، هستند. در نهايت ورود صحيح و قرارگيري صحيح اين نوع سرورها در مركزداده يكي از ملاحظات كليدي مديران شبكه شده است ...

يك  Blade Server دارای يك شاسي است كه امكان پشتيباني از چند سرور  Blade بصورت ماژولار را دارد. هركدام از سرورها مستقل از يكديگر هستند و معمولاً هركدام براي يك برنامه كاربردي خاص استفاده مي‌شوند. هركدام از سرورها كه بصورت بردهاي الكترونيكي هستند شامل پردازشگر، حافظه، كارت شبكه، كارت شبكه فيبر نوري، HBA  و ديگر ورودي و خروجي‌هاي خاص خود هستند.

Blade Serverها امكان استفاده از قدرت محاسباتي بيشتر با اشغال كردن كمتر فضا در رك، ساده‌تر شدن كابل‌كشي و كم شدن مصرف برق را فراهم مي‌كنند. ...

اهداف طراحي Blade Server:

در دسترس بودن؛

مركزداده مخزن اطلاعات و برنامه‌هاي بحراني و اساسي سازمان و پشتيبان تداوم كسب‌وكار سازمان است. برخي از اين برنامه‌ها مي‌بايستي هم در طي ساعات كاري و زمانهاي اوج ترافيك شبكه و هم در ساعتهاي غير كاري قابل دسترسي باشند. زيرساخت شبكه مركزداده از جمله تجهيزات شبكه و سرورها مي‌بايستي اين نياز را برطرف سازند. زيرساخت شبكه با فراهم كردن تجهيزات و ارتباطات افزونه كه با يك همبندي قطعي و مناسب تركيب شده‌اند نياز در دسترس بودن را برطرف مي‌كند. سرورها نيز معمولاً با داشتن چند كارت شبكه جهت ارتباط پشتيبان با سوئيچ‌هاي شبكه يك ارتباط جايگزين براي برنامه‌ها ايجاد مي‌كنند.

در دسترس بودن بالا براي سوئيچ‌هاي داخلي؛

در دسترس بودن بين سوئيچ‌هاي لايه اجتماع نيازمند ارتباط افزونه است. معمولاً هريك از سوئيچ‌هاي داخلي با چهار ارتباط فيبر نوري به سوئيچ‌هاي لايه اجتماع كه هر 2 ارتباط آن به يك سوييچ لايه اجتماع است، ارتباط دارند. وقتي كه سوييچ داخلي به هركدام از سوئيچ‌هاي اجتماع با 2 ارتباط متصل مي‌شود، باعث بالا رفتن چالاكي و برگشت‌پذيری مي‌شود. كانال‌هاي ارتباطي در دسترس بودن سرورها و ارتباطات بين آنها را بصورت كلي در كل مركزداده پشتيباني مي‌كنند. ارتباطات سرور به سرور كه از  Uplink‌ ها استفاده مي‌كنند و معمولاً بصورت منطقي با استفاده  VLANها قسمت‌بندي شده‌اند، امكان استفاده از سرويس‌هاي ارائه شده در لايه اجتماع را دارند.

در دسترس بودن بالا براي سرورهاي Blade ؛

داشتن چند كارت شبكه برروي يك سرور امكان استفاده از گروه كردن كارت‌هاي شبكه را به فراهم مي‌سازد. اين امر باعث بالا رفتن در دسترس بودن به همراه تقسيم بار بين كارت‌هاي شبكه مي‌شود. معمولاً كارت‌هاي شبكه روي سرورهاي Blade چند نوع گروه كردن را پشتيباني مي‌كنند. انواع اين فناوري‌ها شرح زير است:

گسترش پذيري ( Scalability )؛

توانايي گسترش پذيري مركزداده جهت نيازمندي‌هاي آينده بدون از دست دادن در دسترس بودن يكي از ملاحظات طراحي است. زيرساخت لايه اجتماع و سرويس‌هايي كه اين لايه ارائه مي‌دهد مي‌بايستي امكان فراهم كردن شرايط رشد سرورها و گسترش شبكه را داشته باشد. لايه هسته مركزداده يك مكانيزم جهت تكرار و رشد افقي شبكه مركزداده است. در طراحي‌هاي توصيه شده، لايه دسترسي و اجتماع بعنوان ماژولهايي كه مي‌توانند در مركزداده تكرار و گسترش يابند اشاره شده، كه قابل افزايش و گسترش هستند. با استفاده از لايه هسته مي‌توان در صورت نياز به Slot خالي، يك ماژول به لايه اجتماع اضافه كنيم.

http://www.pdnco.ir/Catalog.aspx?CategoryID=37                          رجوع شود به: جهت اطلاعات بيشتر

(10) در تاريخ 29 آبان 1385 مركز پژوهش هاي مجلس طي گزارشي نسبت به وضعيت بحرانی امنيت سايت های دولتی هشدار داد.

مركز پژوهش هاي مجلس شوراي اسلامي اعلام كرد: 57 درصد سايت هاي مهم حكومتي ايران از ميزبان هاي خارجي استفاده مي‌كنند و از اين بين اطلاعات 87 سايت حكومتي صرفا در آمريكا و كانادا نگهداري مي‌شوند.

بر اساس اعلام دفتر اطلاع رساني مركز پژوهش ها، گروه ارتباطات و فناوري هاي نوين اين مركز در گزارشي كه بنا به درخواست احمد توكلي نماينده تهران تحت عنوان "مراكز داده، ضرورتي حياتي" تهيه كرده، خاطرنشان ساخت كه بررسي 150 سايت مهم حكومتي نشان مي‌دهد كه 57 درصد اطلاعات آنها توسط ميزبان‌هاي خارجي نگهداري مي‌شود و از اين بين اطلاعات 87 سايت حكومتي در آمريكا و كانادا نگهداري مي‌شود. اين موضوع در كنار رويدادهايي نظير مسدود كردن يكباره بيش از 500 سايت از سوي ارائه‌كنندگان خدمات ميزباني كانادايي و آمريكايي و هك شدن چند باره وب سايت‌هاي مهم حكومتي اين سوال تامل‌برانگيز را در ذهن تداعي مي‌كند كه آيا دولتمردان نسبت به اين مهم واقفند و اقدامي به عمل نمي‌آورند يا توسعه فناوري اطلاعات، تحقق دولت الكترونيكي و جامعه اطلاعاتي تنها در حد شعار دنبال مي‌شود؟

اين گزارش وضعيت كنوني وب سايت هاي دولتي از نظر امنيتي را يك بحران ملي ناميد و افزود: بررسي – صلاحيت – ميزبان‌هاي وب سايتهاي دولتي نشان مي‌دهد كه تاكنون به مقوله امنيت در فضاي تبادل اطلاعات به هيچ عنوان بها داده نشده است.

منبع سايت پژوهشي مجلس به نشاني:

http://www.majlis.ir/mhtml/modules.php?name=News&file=article&sid=612

 

(11) http://www.loghatnameh.com/dehkhodasearchresult-fa.html?searchtype=

0&word=2KfZhdmG/

(12)  http://www.loghatnameh.com/dehkhodasearchresult-fa.html?searchtype=

0&word=2KfZhdmG2YrYqg%3d%3d/
(13) http://www.merriam-webster.com/thesaurus/security

همچنين مراجعه شود به:

http://dictionary.reference.com/browse/security

(14) "راهنماي امنيت فناوري اطلاعات"،  دبير خانه شوراي عالي اطلاع رساني،   تير ماه 1384، بخش اول: امنيت فناوري اطلاعات در عصر ديجيتال، ص 33.

(15) مهندسي اجتماعي يا Social Engineering  شيوه‌اي جهت آشنايي و جلب اعتماد طرف مقابل است در اين شيوه كسي كه قصد نفوذ در شبكه را دارد از روش و متدهاي مهندسي اجتماعي جهت ايجاد ارتباط (از طريق تلفن، پست الكترونيك، و يا ديدارهاي حضوري و...) و جلب اعتماد كاركنان و كاربران، استفاده مي كند. شيوه هاي مختلفي براي اين كار وجود دارد. تنها راه مقابله با آن اين است كه تا صد در صد اطمينان حاصل نشود كه اين شخص مدعي، واقعا همان كسي است كه مي گويد و حقيقتا همان منصب و سمتي را دارد كه اظهار مي كند (و اگر قبلا سمتي در اين زمينه داشته الآن هم همان سمت را دارد) و با حفظ ضوابط، هيچ گونه  اطلاعاتي نبايد به وی داده شود.

در اين خصوص مراجعه شود به كتاب هاي:

1- “Comp TIA Security”, ™ Study Guide ,Third Edition, Mike Pastore, Emmett Dulaney,Chapter2,  p. 88-89

2- Hack I.T.  Security Through Penetration Testing, T.J. Klevindky,  Scott  Laliberte, and Ajay  Gupta, Chapter 8, p 113- 124.

3- راهنماي امنيت فناوري اطلاعات"،  دبير خانه شوراي عالي اطلاع رساني،   تير ماه 1384، بخش پنجم: امنيت فناوري اطلاعات و راهبران فني، ص 422.
همچنين مراجعه شود به  مقاله هنر مهندسي اجتماعي در سايت آشيانه به آدرس زير:

http://www.ashiyane.ir/archive/articles/DSD.zip

(16) فيشينگ،( Phishing) يكي از اشكال مهندسي اجتماعي است.

در اين خصوص رجوع شود به كتاب:

“Comp TIA Security”, ™ Study Guide ,Third Edition,  Mike Pastore, Emmett Dulaney,  p. 89

درسايت ماه نامه شبکه در توضيح فيشينگ چنين آمده است:

واژه "فيشينگ" به معني حقه ‌بازي از طريق ارسال ايميل‌هاي فريبنده و برپا كردن سايت‌هاي قلابي و گول ‌زننده به قصد ربودن اطلاعات باارزش كاربر مانند رمز عبور، شماره كارت اعتباري و مشخصات فردي است. كلمه Phishing در زبان انگليسي نيز يك واژه جديد است كه برخي آن را مخفف عبارت Password Harvesting Fishing (شكار كردن رمزعبور كاربر از طريق يك طعمه) و برخي ديگر آن را استعاره‌اي از كلمه Fishing (ماهي گيري) تعبير كرده‌اند. سازندگان اين واژه كوشيده‌اند با جايگزين كردن Ph به جاي F مفهوم فريفتن را به مخاطب القا كنند. اين عمل مجرمانه جديد در شبكه اينترنت مي‌رود كه به يك پديده و معضل گسترده تبديل شود.

http://www.shabakeh-mag.com/Articles/Show.aspx?n=1001285

)17) “Comp TIA Security”, ™ Study Guide ,Third Edition,  Mike Pastore, Emmett Dulaney, p. 4-5

همچنین در ادامه این موضوع، مراجعه شود به صفحات 6 تا 12 همین کتاب.

(18) اصطلاح DMZ مخفف De Militarized Zone  به معناي منطقه غير نظامى (منطقه عمومي) و هدف آن، ايجاد يك شبكه عمومي براي هدايت كاربران شبكه خارجي به شبكه امن داخلي به منظور جلوگيري از دستيابي مستقيم به منابع شبكه داخلي است. DMZ در شبكه به عنوان واسطي ميان كاربر بيروني و شبكه داخلي عمل مي كند تا چنانچه شبكه مورد حمله قرار گرفت ابتدا، اين واسط در گير مي شود و سپس نوبت به سرور  مي رسد و معمولا تا قبل از رسيدن فرصت حمله  به سرور اصلي با توجه به هشدارها و پيام ها، بايد تمهيدات لازم جهت عكس العمل مناسب توسط مدير شبكه انجام شود.

(19) http://snoopmag.net/download/SnoopDigitalMag-No3.zip

(20) http://snoopmag.net/download/SnoopDigitalMag-No3.zip 
http://www.ircert.com/Articles/articles_index.htm

در زمينه امنيت وايرلس و تهديدات مرتبط، مراجعه شود به:

1- “ Hacking Exposed”,    Network Security Secrets & Solutions, fourth edition,   Stuart McClure, Joel Scambray and George Kurtz, Chapter 10, P 440-479

2- “Comp TIA Security”, ™ Study Guide ,Third Edition,   Mike Pastore, Emmett  Dulaney, Chapter 3, p 109-130 & Chapter4, p 191-194

(21)  در خصوص سايت هاي پشتيباني و بازیابی اطلاعات می توان به سه نوع اشاره کرد:

- Hot site.
-  Warm site.

-   Cold site.

جهت توضیحات بیشتر به آدرس زیر مراجعه شود:

-“Comp TIA Security”, ™ Study Guide ,Third Edition, Mike Pastore, Emmett Dulaney, p. 388-389

(22) Dr. Tom Shinder’s ISA Server 2006 Migration Guide, Chapter 5 p. 265

(23) http://www.donya-e-eqtesad.com/Default_view.asp?@=186697

(24)  “Comp TIA Security”, ™ Study Guide ,Third Edition, Mike Pastore, Emmett Dulaney, p. 13-14


خبرخوان سایت
© كليه حقوق معنوي اين سايت مطابق قوانين نرم افزاري متعلق به مركز اطلاعات و مدارك اسلامي مي باشد.