مقدمه
اطلاعات در سازمان ها و موسسات مدرن، بمنزله شاهرگ حياتی محسوب می گردد . دستيابی به اطلاعات و عرضه مناسب و سريع آن، همواره مورد توجه سازمان هائی است که اطلاعات در آنها دارای نقشی محوری و سرنوشت ساز است . سازمان ها و موسسات می بايست يک زير ساخت مناسب اطلاعاتی را برای خود ايجاد و در جهت انظباط اطلاعاتی در سازمان خود حرکت نمايند . اگر می خواهيم ارائه دهنده اطلاعات در عصر اطلاعات بوده و صرفا" مصرف کننده اطلاعات نباشيم ، در مرحله نخست می بايست فرآيندهای توليد ،عرضه و استفاده از اطلاعات را در سازمان خود قانونمد نموده و در مراحل بعد ، امکان استفاده از اطلاعات ذيربط را برای متقاضيان ( محلی،جهانی ) در سريعترين زمان ممکن فراهم نمائيم . سرعت در توليد و عرضه اطلاعات ارزشمند ، يکی از رموز موفقيت سازمان ها و موسسات در عصر اطلاعات است . پس از ايجاد انظباط اطلاعاتی، می بايست با بهره گيری از شبکه های کامپيوتری زمينه استفاده قانومند و هدفمند از اطلاعات را برای سايرين فراهم کرد . اطلاعات ارائه شده می تواند بصورت محلی ( اينترانت ) و يا جهانی ( اينترنت ) مورد استفاده قرار گيرد . فراموش نکنيم در اين هنگامه اطلاعاتی، مصرف کنندگان اطلاعات دارای حق مسلم انتخاب می باشند و در صورتيکه سازمان و يا موسسه ای در ارائه اطلاعات سهوا" و يا تعمدا" دچار اختلال و يا مشکل گردد ، دليلی بر توقف عملکرد مصرف کنندگان اطلاعات تا بر طرف نمودن مشکل ما ، وجود نخواهد داشت . سازمان ها و موسسات می بايست خود را برای نبردی سخت در عرضه و ارائه اطلاعات آماده نمايند و در اين راستا علاوه بر پتانسيل های سخت افزاری و نرم افزاری استفاده شده ، از تدبير و دورانديشی فاصله نگيرند . در ميدان عرضه و ارائه اطلاعات ، کسب موفقيت نه بدليل ضعف ديگران بلکه بر توانمندی ما استوار خواهد بود. مصرف کنندگان اطلاعات، قطعا" ارائه دهندگان اطلاعاتی را برمی گزيند که نسبت به توان و پتانسيل آنان اطمينان حاصل کرده باشند . آيا سازمان ما در عصر اطلاعات به پتانسيل های لازم در اين خصوص دست پيدا کرده است ؟ آيا در سازمان ما بستر و ساختار مناسب اطلاعاتی ايجاد شده است ؟ آيا گردش امور در سازمان ما مبتنی بر يک سيستم اطلاعاتی مدرن است ؟ آيا سازمان ما قادر به تعامل اطلاعاتی با ساير سازمان ها است ؟ آيا در سازمان ما نقاط تماس اطلاعاتی با دنيای خارج از سازمان تدوين شده است ؟ آيا فاصله توليد و استفاده از اطلاعات در سازمان ما به حداقل مقدار خود رسيده است ؟ آيا اطلاعات قابل عرضه سازمان ما ، در سريعترين زمان و با کيفيتی مناسب در اختيار مصرف کنندگان متقاضی قرار می گيرد ؟ حضور يک سازمان در عرصه جهانی ، صرفا" داشتن يک وب سايت با اطلاعات ايستا نخواهد بود . امروزه ميليون ها وب سايت بر روی اينترنت وجود داشته که هر روز نيز به تعداد آنان افزوده می گردد . کاربران اينترنت برای پذيرش سايت سازمان ما ، دلايل موجه ای را دنبال خواهند کرد . در اين هنگامه سايت داشتن و راه اندازی سايت ، اصل موضوع که همانا ايجاد يک سازمان مدرن اطلاعاتی است ، فراموش نگردد. سازمان ما در اين راستا چگونه حرکت کرده و مختصات آن در نقشه اطلاعاتی يک سازمان مدرن چيست ؟
بديهی است ارائه دهندگان اطلاعات خود در سطوحی ديگر به مصرف کنندگان اطلاعات تبديل و مصرف کنندگان اطلاعات ، در حالات ديگر، خود می تواند بعنوان ارائه دهنده اطلاعات مطرح گردند. مصرف بهينه و هدفمند اطلاعات در صورتيکه به افزايش آگاهی ، توليد و ارائه اطلاعات ختم شود، امری بسيار پسنديده خواهد بود . در غير اينصورت، مصرف مطلق و هميشگی اطلاعات بدون جهت گيری خاص ، بدترين نوع استفاده از اطلاعات بوده که قطعا" به سرانجام مطلوبی ختم نخواهد شد .
شبکه های کامپيوتری
در صورتيکه قصد ارائه و يا حتی مصرف بهينه و سريع اطلاعات را داشته باشيم، می بايست زير ساخت مناسب را در اين جهت ايجاد کنيم . شبکه های کامپيوتری ، بستری مناسب برای عرضه ، ارائه و مصرف اطلاعات می باشند( دقيقا" مشابه نقش جاده ها در يک سيستم حمل و نقل) . عرضه ، ارائه و مصرف يک کالا نيازمند وجود يک سيستم حمل و نقل مطلوب خواهد بود. در صورتيکه سازمان و يا موسسه ای محصولی را توليد ولی قادر به عرضه آن در زمان مناسب ( قبل از اتمام تاريخ مصرف ) برای متقاضيان نباشد، قطعا" از سازمان ها ئی که توليدات خود را با بهره گيری از يک زير ساخت مناسب ، بسرعت در اختيار متقاضيان قرار می دهند ، عقب خواهند افتاد . شايد بهمين دليل باشد که وجود جاده ها و زير ساخت های مناسب ارتباطی، بعنوان يکی از دلايل موفقيت برخی از کشورها در عصر انقلاب صنعتی ، ذکر می گردد. فراموش نکنيم که امروزه زمان کهنه شدن اطلاعات از زمان توليد اطلاعات بسيار سريعتر بوده و می بايست قبل از اتمام تاريخ مصرف اطلاعات با استفاده از زير ساخت مناسب ( شبکه های ارتباطی ) اقدام به عرضه آنان نمود. برای عرضه اطلاعات می توان از امکاناتی ديگر نيز استفاده کرد ولی قطعا" شبکه های کامپيوتری بدليل سرعت ارتباطی بسيار بالا دارای نقشی کليدی و منحصر بفرد می باشند . مثلا" می توان مشخصات کالا و يا محصول توليد شده در يک سازمان را از طريق يک نامه به متقاضيان اعلام نمود ولی در صورتيکه سازمانی در اين راستا از گزينه پست الکترونيکی استفاده نمايد ، قطعا" متقاضيان مربوطه در زمانی بسيار سريعتر نسبت به مشخصات کالای توليده شده ، آگاهی پيدا خواهند کرد .
امنيت اطلاعات در شبکه های کامپيوتری
بموازات حرکت بسمت يک سازمان مدرن و مبتنی بر تکنولوژی اطلاعات، می بايست تدابير لازم در رابطه با حفاظت از اطلاعات نيز انديشيده گردد. مهمترين مزيت و رسالت شبکه های کامپيوتری ، اشتراک منابع سخت افزاری و نرم افزاری است . کنترل دستيابی و نحوه استفاده از منابع به اشتراک گذاشته شده ، از مهمترين اهداف يک سيستم امنيتی در شبکه است . با گسترش شبکه های کامپيوتری خصوصا" اينترنت ، نگرش نسبت به امنيت اطلاعات و ساير منابع به اشتراک گذاشته شده ، وارد مرحله جديدی شده است . در اين راستا ، لازم است که هر سازمان برای حفاظت از اطلاعات ارزشمند ، پايبند به يک استراتژی خاص بوده و بر اساس آن سيستم امنيتی را اجراء و پياده سازی نمايد . عدم ايجاد سيستم مناسب امنيتی ، می تواند پيامدهای منفی و دور از انتظاری را بدنبال داشته باشد . استراتژی سازمان ما برای حفاظت و دفاع از اطلاعات چيست؟ در صورت بروز مشکل امنيتی در رابطه با اطلاعات در سازمان ، بدنبال کدامين مقصر می گرديم ؟ شايد اگر در چنين مواردی ، همه مسائل امنيتی و مشکلات بوجود آمده را به خود کامپيوتر نسبت دهيم ، بهترين امکان برون رفت از مشکل بوجود آمده است ، چراکه کامپيوتر توان دفاع کردن از خود را ندارد . آيا واقعا" روش و نحوه برخورد با مشکل بوجود آمده چنين است ؟ در حاليکه يک سازمان برای خريد سخت افزار نگرانی های خاص خود را داشته و سعی در برطرف نمودن معقول آنها دارد ، آيا برای امنيت و حفاظت از اطلاعات نبايد نگرانی بمراتب بيشتری در سازمان وجود داشته باشد ؟
استراتژی
دفاع در عمق ، عنوان يک استراتژی عملی بمنظور نيل به تضمين و ايمن سازی اطلاعات در محيط های شبکه امروزی است . استراتژی فوق، يکی از مناسبترين و عملی ترين گزينه های موجود است که متاثر از برنامه های هوشمند برخاسته از تکنيک ها و تکنولوژی های متفاوت تدوين می گردد . استراتژی پيشنهادی ، بر سه مولفه متفاوت ظرفيت های حفاظتی ، هزينه ها و رويکردهای عملياتی تاکيد داشته و توازنی معقول بين آنان را برقرار می نمايد . دراين مقاله به بررسی عناصر اصلی و نقش هر يک از آنان در استراتژی پيشنهادی، پرداخته خواهد شد.
دشمنان، انگيزه ها ، انواع حملات اطلاعاتی
بمنظور دفاع موثر و مطلوب در مقابل حملات به اطلاعات و سيستم های اطلاعاتی ، يک سازمان می بايست دشمنان، پتانسيل و انگيزه های آنان و انواع حملات را بدرستی برای خود آناليز تا از اين طريق ديدگاهی منطقی نسبت به موارد فوق ايجاد و در ادامه امکان برخورد مناسب با آنان فراهم گردد .اگر قصد تجويز دارو برای بيماری وجود داشته باشد ، قطعا" قبل از معاينه و آناليز وضعيت بيمار، اقدام به تجويز دارو برای وی نخواهد شد. در چنين مواری نمی توان برای برخورد با مسائل پويا از راه حل های مشابه و ايستا استفاده کرد .بمنظور ارائه راهکارهای پويا و متناسب با مسائل متغير، لازم است در ابتدا نسبت به کالبد شکافی دشمنان ، انگيزه ها و انواع حملات ، شناخت مناسبی ايجاد گردد.
• دشمنان ، شامل سارقين اطلاعاتی ، مجرمان ،دزدان کامپيوتری ، شرکت های رقيب و ... می باشد.
• انگيزه ها ی موجود شامل : جمع آوری هوشمندانه، دستبرد فکری ( عقلانی ) ،عدم پذيرش سرويس ها ، کنف کردن ،احساس غرور و مورد توجه واقع شدن ، با شد .
• انواع حملات شامل : مشاهده غيرفعال ارتباطات ، حملات به شبکه های فعال، حملات از نزديک( مجاورت سيستم ها ) ، سوء استفاده و بهره برداری خوديان ( محرمان ) و حملات مربوط به ارائه دهندگان صنعتی يکی از منابع تکنولوژی اطلاعات ، است .
سيستم های اطلاعاتی و شبکه های کامپيوتری اهداف مناسب و جذابی برای مهاجمان اطلاعاتی می باشند . بنابراين لازم است، تدابير لازم در خصوص حفاظت سيستم ها و شبکه ها در مقابل انواع متفاوت حملاتی اطلاعاتی انديشيده گردد. بمنظور آناليز حملات اطلاعاتی و اتخاذ راهکار مناسب بمنظور برخورد با آنان، لازم است در ابتدا با انواع حملات اطلاعات آشنا شده تا از اين طريق امکان برخورد مناسب و سيستماتيک با هريک از آنان فراهم گردد . قطعا" وقتی ما شناخت مناسبی را نسبت به نوع و علل حمله داشته باشيم ، قادر به برخورد منطقی با آن بگونه ای خواهيم بود که پس از برخورد، زمينه تکرار موارد مشابه حذف گردد .
انواع حملات اطلاعاتی بشرح ذيل می باشند :
• غيرفعال
• فعال
• نزديک ( مجاور)
• خودی ها ( محرمان )
• عرضه ( توزيع )
ويژگی هر يک از انواع حملات فوق ، بشرح زير می باشد :
• غير فعال (Passive) . اين نوع حملات شامل: آناليزترافيک شبکه ،شنود ارتباطات حفاظت نشده، رمزگشائی ترافيک های رمز شده ضعيف و بدست آوردن اطلاعات معتبری همچون رمز عبور می باشد . ره گيری غيرفعال عمليات شبکه ، می تواند به مهاجمان، هشدارها و اطلاعات لازم را در خصوص عمليات قريب الوقوعی که قرار است در شبکه اتفاق افتند بدهد( قرار است از مسير فوق در آينده محموله ای ارزشمند عبور داده شود !) ، را خواهد داد .پيامدهای اين نوع حملات ، آشکارشدن اطلاعات و يا فايل های اطلاعاتی برای يک مهاجم ، بدون رضايت و آگاهی کاربر خواهد بود .
• فعال (Active) .اين نوع حملات شامل : تلاش در جهت خنثی نمودن و يا حذف ويژگی های امنيتی ، معرفی کدهای مخرب ، سرقت و يا تغيير دادن اطلاعات می باشد . حملات فوق ، می تواند از طريق ستون فقرات يک شبکه ، سوء استفاده موقت اطلاعاتی ، نفوذ الکترونيکی در يک قلمرو بسته و حفاظت شده و يا حمله به يک کاربر تاييد شده در زمان اتصال به يک ناحيه بسته و حفاظت شده ، بروز نمايد . پيامد حملات فوق ، افشای اطلاعات ، اشاعه فايل های اطلاعاتی ، عدم پذيرش سرويس و يا تغيير در داده ها ، خواهد بود.
• مجاور (Close-in) .اين نوع حملات توسط افراديکه در مجاورت ( نزديکی ) سيستم ها قرار دارند با استفاده از تسهيلات موجود ، با يک ترفندی خاص بمنظور نيل به اهدافی نظير : اصلاح ، جمع آوری و انکار دستيابی به اطلاعات باشد، صورت می پذيرد . حملات مبتنی بر مجاورت فيزيکی ، از طريق ورود مخفيانه ، دستيابی باز و يا هردو انجام می شود .
• خودی (Insider) . حملات خودی ها ، می تواند بصورت مخرب و يا غير مخرب جلوه نمايد . حملات مخرب از اين نوع شامل استراق سمع تعمدی ، سرقت و يا آسيب رسانی به اطلاعات ، استفاده از اطلاعات بطرزی کاملا" شيادانه و فريب آميز و يا رد دستيابی ساير کاربران تاييد شده باشد . حملات غير مخرب از اين نوع ، عموما" بدليل سهل انگاری ( حواس پرتی ) ، فقدان دانش لازم و يا سرپيچی عمدی از سياست های امنيتی صورت پذيرد.
• توزيع (Distribution) . حملات از اين نوع شامل کدهای مخربی است که در زمان تغيير سخت افزار و يا نرم افزار در محل مربوطه ( کارخانه ، شرکت ) و يا در زمان توزيع آنها ( سخت افزار ، نرم افزار) جلوه می نمايد . اين نوع حملات می تواند، کدهای مخربی را در بطن يک محصول جاسازی نمايد . نظير يک درب از عقب که امکان دستيابی غيرمجاز به اطلاعات و يا عمليات سيستم در زمان آتی را بمنظور سوء استفاده اطلاعاتی ، فراهم می نمايد .
در اين رابطه لازم است ، به ساير موارد نظير آتس سوزی ، سيل ، قطع برق و خطای کاربران نيز توجه خاصی صورت پذيرد . در بخش دوم اين مقاله ، به بررسی روش های ايمن سازی اطلاعات بمنظور نيل به يک استراتژی خاص امنيتی ، خواهيم پرداخت .
