استراتژی حفاظت از اطلاعات در شبکه های کامپيوتری ( بخش دوم )

در بخش اول اين مقاله به چالش های سازمانها و موسسات برای حرکت بسمت يک سازمان مدرن اطلاعاتی اشاره و پس از بررسی اهميت ايمن سازی اطلاعات بر لزوم تدوين يک استراتژی امنيتی تاکيد گرديد . در اين زمينه به انواع حملات اطلاعاتی نيز اشاره و مشخصات هر يک از آنان توضيح داده شد . در اين بخش ، به بررسی عناصر اساسی در استراتژی پيشنهادی يعنی انسان ، تکنولوژی و عمليات خواهيم پرداخت .

ايمن سازی اطلاعات

توفيق در ايمن سازی اطلاعات منوط به حفاظت از اطلاعات و سيستم های اطلاعاتی در مقابل حملات است . بدين منظور از سرويس های امنيتی متعددی استفاده می گردد. سرويس های انتخابی ، می بايست پتانسيل لازم در خصوص ايجاد يک سيستم حفاظتی مناسب ، تشخيص بموقع حملات و واکنش سريع را داشته باشند. بنابراين می توان محور استراتژی انتخابی را بر سه مولفه حفاظت ، تشخيص و واکنش استوار نمود . حفاظت مطمئن ، تشخيص بموقع و واکنش مناسب از جمله مواردی است که می بايست همواره در ايجاد يک سيستم امنيتی رعايت گردد. سازمان ها و موسسات، علاوه بر يکپارچگی بين مکانيزم های حفاظتی ، می بايست همواره انتظار حملات اطلاعاتی را داشته و لازم است خود را به ابزارهای تشخيص و روتين های واکنش سريع ، مجهز تا زمينه برخورد مناسب با مهاجمان و بازيافت اطلاعات در زمان مناسب فراهم گردد . يکی از اصول مهم استراتژی "دفاع در عمق" ، برقراری توازن بين سه عنصر اساسی : انسان، تکنولوژی و عمليات ، است . حرکت بسمت تکنولوژی اطلاعات بدون افراد آموزش ديده و روتين های عملياتی که راهنمای آنان در نحوه استفاده و ايمن سازی اطلاعات باشد ، محقق نخواهد شد .

انسان

موفقيت در ايمن سازی اطلاعات با پذيرش مسئوليت و حمايت مديريت عالی يک سازمان ( معمولا" در سطح مديريت ارشد اطلاعات ) و بر اساس شناخت مناسب از تهاجمات ، حاصل می گردد. نيل به موفقيت با پيگيری سياست ها و روتين های مربوطه ، تعيين وظايف و مسئوليت ها ، آموزش منابع انسانی حساس ( کاربران، مديران سيستم ) و توجيه مسئوليت های شخصی کارکنان ، حاصل می گردد.در اين راستا لازم است يک سيستم امنيتی فيزيکی و شخصی بمنظور کنترل و هماهنگی در دستيابی به هر يک از عناصر حياتی در محيط های مبتنی بر تکنولوژی اطلاعات ، نيز ايجاد گردد . ايمن سازی اطلاعات از جمله مواردی است که می بايست موفقيت خود را در عمل و نه در حرف نشان دهد . بنابراين لازم است که پس از تدوين سياست ها و دستورالعمل های مربوطه ، پيگيری مستمر و هدفمند جهت اجرای سياست ها و دستورالعمل ها ، دنبال گردد. بهترين استراتژی تدوين شده در صورتيکه امکان تحقق عملی آن فراهم نگردد ، ( سهوا" و يا عمدا") ، هرگز امتياز مثبتی را در کارنامه خود ثبت نخواهد کرد .
با توجه به جايگاه خاص منابع انسانی در ايجاد يک محيط ايمن مبتنی بر تکنولوژی اطلاعات ، لازم است به موارد زير توجه گردد :
• تدوين سياست ها و رويه ها
• ارائه آموزش های لازم جهت افزايش دانش
• مديريت سيستم امنيتی
• امنيت فيزيکی
• امنيت شخصی
• تدابير لازم در خصوص پيشگيری

تکنولوژی

امروزه از تکنولوژی ها ی متعددی بمنظور ارائه سرويس های لازم در رابطه با ايمن سازی اطلاعات و تشخيص مزاحمين اطلاعاتی، استفاده می گردد. سازمان ها و موسسات می بايست سياست ها و فرآيندهای لازم بمنظور استفاده از يک تکنولوژی را مشخص تا زمينه انتخاب و بکارگيری درست تکنولوژی در سازمان مربوطه فراهم گردد. در اين رابطه می بايست به مواردی همچون : سياست امنيتی ، اصول ايمن سازی اطلاعات، استانداردها و معماری ايمن سازی اطلاعات ، استفاده از محصولات مربوط به ارائه دهندگان شناخته شده و خوش نام ، راهنمای پيکربندی ، پردازش های لازم برای ارزيابی ريسک سيستم های مجتمع و بهم مرتبط ، توجه گردد . در اين رابطه موارد زير ،پيشنهاد می گردد :
• دفاع در چندين محل . مهاجمان اطلاعاتی( داخلی و يا خارجی ) ممکن است ، يک هدف را از چندين نفطه مورد تهاجم قرار دهند. در اين راستا لازم است سازمان ها و موسسات از روش های حفاظتی متفاوت در چندين محل ( سطح ) استفاده ، تا زمينه عکس العمل لازم در مقابل انواع متفاوت حملات ، فراهم گردد . در اين رابطه می بايست به موارد زير توجه گردد :
  • دفاع از شبکه ها و زير ساخت . در اين رابطه لازم است شبکه های محلی و يا سراسری حفاظت گردند . ( حفاظت در مقابل حملات اطلاعاتی از نوع عدم پذيرش خدمات )
  • حفاظت يکپارچه و محرمانه برای ارسال اطلاعات در شبکه ( استفاده از رمزنگاری و کنترل ترافيک بمنظور واکنش در مقابل مشاهده غيرفعال )
  • دفاع در محدوده های مرزی . ( بکارگيری فايروال ها و سيستم های تشخيص مزاحمين بمنظور واکنش در مقابل حملات اطلاعاتی از نوع فعال )
  • دفاع در محيط های محاسباتی ( کنترل های لازم بمنظور دستيابی به ميزبان ها و سرويس دهنده بمنظور واکنش لازم در مقابل حملات از نوع خودی، توزيع و مجاور ) .
    • دفاع لايه ای . بهترين محصولات مربوط به ايمن سازی اطلاعات دارای نقاط ضعف ذاتی ، مربوط به خود می باشند. بنابراين همواره زمان لازم در اختيار مهاجمان اطلاعاتی برای نفوذ در سيستم های اطلاعاتی وجود خواهد داشت.بدين ترتيب لازم است قبل از سوءاستفاده اطلاعاتی متجاوزان، اقدامات مناسبی صورت پذيرد. يکی از روش های موثر پيشگيری در اين خصوص ، استفاده از دفاع لايه ای در مکان های بين مهاجمان و اهداف مورد نظر آنان ،می باشد . هر يک از مکانيزم های انتخابی ، می بايست قادر به ايجاد موانع لازم در ارتباط با مهاجمان اطلاعاتی ( حفاظت ) و تشخيص بموقع حملات باشد . بدين ترتيب امکان تشخيص مهاجمان اطلاعاتی افزايش و از طرف ديگر شانس آنها بمنظور نفوذ در سيستم و کسب موفقيت، کاهش خواهد يافت . استفاده از فايروال های تودرتو ( هر فايروال در کنار خود از يک سيستم تشخيص مزاحمين ، نيز استفاده می نمايد) در محدوده های داخلی و خارجی شبکه ، نمونه ای از رويکرد دفاع لايه ای است . فايروال های داخلی ممکن است امکانات بيشتری را در رابطه با فيلتر سازی داده ها و کنترل دستيابی به منابع موجود ارائه نمايند . جدول زير رويکردهای ديگر بمنظور تحقق دفاع لايه ای را نشان می دهد .

    سطح دوم

    سطح اول دفاع

    نوع تهاجم

     برنامه های مبتنی بر امنيت

     لايه ارتباطی و شبکه
    رمزنگاری 
    امنيت ترافيک شبکه

    غير فعال

    دفاع  محيط محاسباتی

    دفاع در محدوده های بسته ( حفاظتی )

    فعال

    کنترل و بررسی دقيق دستيابی

    امنيت فيزيکی و شخصی

    مجاور

    نظارت وپيشگيری فنی

    امنيت فيزيکی و شخصی

    خودی

    کنترل های يکپارچگی
      زمان اجراء

    نرم افزارهای مطمئن
    ( پياده سازی ، توزيع )

    توزيع


    • تعيين ميزان اقتدار امنيتی هر يک از عناصر موجود در ايمن سازی اطلاعات (چه چيزی حفاظت شده و نحوه برخورد با تهاجم اطلاعاتی در محلی که از عنصر مربوطه استفاده شده ، به چه صورت است ؟) . پس از سنجش ميزان اقتدار امنيتی هر يک از عناصر مربوطه ، می توان از آنان در جايگاهی که دارای حداکثر کارآئی باشند ، استفاده کرد . مثلا" می بايست از مکانيزم های امنيتی مقتدر در محدوده های مرزی شبکه استفاده گردد .
    • استفاده از مديريت کليد مقتدر و زير ساخت کليد عمومی، که قادر به حمايت از تمام تکنولوژی های مرتبط با ايمن سازی اطلاعات بوده و دارای مقاومت مطلوب در مقابل يک تهاجم اطلاعاتی باشد.
    • بکارگيری زيرساخت لازم بمنظور تشخيص مزاحمين ، آناليز و يکپارچگی نتايج بمنظور انجام واکنش های مناسب در رابطه با نوع تهاجم . زير ساخت مربوطه می بايست به پرسنل عملياتی، راهنمائی لازم در مواجه با سوالاتی نظير : آيا من تحت تهاجم اطلاعاتی قزار گرفته ام ؟ منبع تهاجم چه کسی می باشد ؟ به چه فرد ديگری تهاجم شده است ؟ راه حل ها و راهکارهای من در اين رابطه چيست ؟ ، را ارائه نمايد.

    عمليات

    منظور از عمليات ، مجموعه فعاليت های لازم بمنظور نگهداری وضعيت امنيتی يک سازمان است . در اين رابطه لازم است ، به موارد زير توجه گردد :
    • پشتيبانی ملموس و بهنگام سازی سياست های امنيتی
    • اعمال تغييرات لازم با توجه به روند تحولات مرتبط با تکنولوژی اطلاعات. در اين رابطه می بايست داده های مورد نظر جمع آوری تا زمينه تصميم سازی مناسب برای مديريت فراهم گردد ( تامين اطلاعات ضروری برای مديريت ريسک ) .
    • مديريت وضعيت امنيتی با توجه به تکنولوژی های استفاده شده در رابطه ايمن سازی اطلاعات ( نصب Patch امنيتی، بهنگام سازی ويروس ها ، پشتيبانی ليست های کنترل دستيابی )
    • ارائه سرويس های مديريتی اساسی و حفاظت از زيرساخت های مهم ( خصوصا" زير ساخت هائی که برای يک سازمان ختم به درآمد می گردد ) .
    • ارزيابی سيستم امنيتی
    • هماهنگی و واکنش در مقابل حملات جاری
    • تشخيص حملات و ارائه هشدار و پاسخ مناسب بمنظور ايزوله نمودن حملات و پيشگيری از موارد مشابه
    • بازيافت و برگرداندن امور به حالت اوليه (بازسازی )