ضرورت توجه به امنيت اطلاعات ( بخش نهم)
استراتژی "دفاع در عمق " يك فريمورك امنيتی مناسب برای حفاظت و نگهداری ايمن زيرساخت فن آوری اطلاعات يك سازمان است . در اين مدل،زير ساخت فن آوری اطلاعات يك سازمان به عنوان مجموعه ای از لايه های مرتبط به هم در نظر گرفته شده و به منظور حفاظت و ايمن سازی هر لايه از مكانيزم ها و روش های حفاظتی خاصی استفاده می گردد .
آنچه تاكنون گفته شده است :
• بخش چهارم : بررسی لايه سياست ها ، رويه ها و اطلاع رسانی
• بخش پنجم : بررسی لايه فيزيكی
• بخش ششم : بررسی لايه محدوده عملياتی شبكه و يا Perimeter
• بخش هفتم : بررسی لايه شبكه داخلی
• بخش هشتم : بررسی لايه host
در اين بخش به بررسی لايه Application و يا برنامه های كاربردی خواهيم پرداخت .
• برنامه های شبكه امكان دستيابی و انجام پردازش های لازم بر روی داده را برای سرويس گيرندگان فراهم می نمايند . اين نوع برنامه ها بمنزله يك نقطه تماس با سرويس دهنده ای می باشند كه برنامه ای خاص بر روی آن اجراء شده است .
• اغلب برنامه های نصب شده در شبكه يك سرويس خاص را در اختيار سرويس گيرندگان قرار می دهند . عملكرد صحيح و استمرار فعاليت آنها از جمله الزامات ضروری در يك شبكه می باشد . بنابراين ، راهكار امنيتی می بايست بگونه ای انتخاب شود كه خللی در اين رابطه ايجاد نگردد ( عملكرد صحيح و استمرار سرويس دهی ).
• در زمان بررسی امنيت برنامه های كاربردی ، می بايست برنامه های پياده سازی شده در سازمان و يا تهيه شده از خارج سازمان در كانون توجه قرار گيرد.
•مهاجمان با بهره برداری از نقاط ضعف موجود در يك برنامه می توانند كدهای مخرب مورد نظر خود را در سيستم اجراء نمايند . SQL injection يكی از متداولترين حملات از اين نوع است . در حملات فوق ، مهاجمان با تغيير SQL query كه قرار است توسط سرويس دهنده بانك اطلاعاتی پردازش گردد ، فرصت اجرای دستورات مورد نظر خود را بر روی سرويس دهنده بانك اطلاعاتی پيدا خواهند كرد . با كنترل و بررسی اعتبار داده های ورودی تا حدود زيادی می توان جلوی اينگونه از حملات را گرفت .
• مهاجمان می توانند با استفاده بيش از حد از يك برنامه خاص ، امكان استفاده از آن را برای كاربران معتبر سلب می نمايند . در حملاتی از اين نوع كه از آنها با نام DoS ( برگرفته از denial-of-service ) نام برده می شود ، مهاجمان از چندين سرويس گيرنده به منظور نيل به اهداف خود استفاده می نمايند.
• در برخی موارد ، مهاجمان از يك برنامه خاص به منظور انجام عمليات ناخواسته نظير روتينگ نامه های الكترونيكی استفاده می نمايند . در صورت عدم پيكربندی مناسب يك سرويس دهنده SMTP به منظور مقابله با نامه های الكترونيكی ناخواسته ، مهاجمان قادر به ارسال نامه های الكترونيكی ناخواسته متعددی برای سرويس دهنده می گردند. اين كار در نهايت باعث می شود كه سرويس دهنده SMTP قادر به ارائه سرويس خود برای كاربران مجاز نگردد .
• در زمان نصب يك برنامه ، می بايست صرفا" سرويس های مورد نياز آن را فعال نمود . نصب و پيكربندی ايمن حداقل سرويس های لازم از جمله اقدامات ضروری در اين رابطه است .
• طراحی ، پياده سازی و بكارگيری برنامه ها می بايست با لحاظ نمودن مسائل امنيتی انجام شود . برخورد بموقع با نقاط ضعف موجود در برنامه ها ، پياده سازی و نصب سريع patches خصوصا" برای آندسته از برنامه هائی كه در سازمان طراحی و پياده سازی شده اند ، امری لازم و ضروری است .
• برنامه ها و سرويس های مورد نياز در يك شبكه می بايست به صورت ايمن نصب و تمامی Service pack و patches آنها نيز نصب گردد .
• از برنامه های آنتی ويروس می بايست به منظور پيشگيری از اجرای كدهای مخرب بر روی سيستم استفاده گردد. اين نوع نرم افزارها می بايست بر روی كامپيوترهای سرويس گيرنده ، سرويس دهنده ، فايروال ها و ساير نقاط حساس نصب و بهنگام نگاه داشته شوند .
• در زمان پياده سازی برنامه های جديد ، می بايست از آخرين روش های موجود به منظور ايمن سازی برنامه ها استفاده گردد .
• از سياست های محدودسازی نرم افزار می بايست استفاده گردد . با استفاده از اينگونه سياست ها ، می توان محيط كامپيوتری را در مقابل كدهای تائيد نشده شناسائی و با آنها برخورد نمود .
آنچه تاكنون گفته شده است :
• بخش چهارم : بررسی لايه سياست ها ، رويه ها و اطلاع رسانی
• بخش پنجم : بررسی لايه فيزيكی
• بخش ششم : بررسی لايه محدوده عملياتی شبكه و يا Perimeter
• بخش هفتم : بررسی لايه شبكه داخلی
• بخش هشتم : بررسی لايه host
در اين بخش به بررسی لايه Application و يا برنامه های كاربردی خواهيم پرداخت .
بررسی لايه Application
• برنامه های شبكه امكان دستيابی و انجام پردازش های لازم بر روی داده را برای سرويس گيرندگان فراهم می نمايند . اين نوع برنامه ها بمنزله يك نقطه تماس با سرويس دهنده ای می باشند كه برنامه ای خاص بر روی آن اجراء شده است .
• اغلب برنامه های نصب شده در شبكه يك سرويس خاص را در اختيار سرويس گيرندگان قرار می دهند . عملكرد صحيح و استمرار فعاليت آنها از جمله الزامات ضروری در يك شبكه می باشد . بنابراين ، راهكار امنيتی می بايست بگونه ای انتخاب شود كه خللی در اين رابطه ايجاد نگردد ( عملكرد صحيح و استمرار سرويس دهی ).
• در زمان بررسی امنيت برنامه های كاربردی ، می بايست برنامه های پياده سازی شده در سازمان و يا تهيه شده از خارج سازمان در كانون توجه قرار گيرد.
تهديدات لايه Application
•مهاجمان با بهره برداری از نقاط ضعف موجود در يك برنامه می توانند كدهای مخرب مورد نظر خود را در سيستم اجراء نمايند . SQL injection يكی از متداولترين حملات از اين نوع است . در حملات فوق ، مهاجمان با تغيير SQL query كه قرار است توسط سرويس دهنده بانك اطلاعاتی پردازش گردد ، فرصت اجرای دستورات مورد نظر خود را بر روی سرويس دهنده بانك اطلاعاتی پيدا خواهند كرد . با كنترل و بررسی اعتبار داده های ورودی تا حدود زيادی می توان جلوی اينگونه از حملات را گرفت .
• مهاجمان می توانند با استفاده بيش از حد از يك برنامه خاص ، امكان استفاده از آن را برای كاربران معتبر سلب می نمايند . در حملاتی از اين نوع كه از آنها با نام DoS ( برگرفته از denial-of-service ) نام برده می شود ، مهاجمان از چندين سرويس گيرنده به منظور نيل به اهداف خود استفاده می نمايند.
• در برخی موارد ، مهاجمان از يك برنامه خاص به منظور انجام عمليات ناخواسته نظير روتينگ نامه های الكترونيكی استفاده می نمايند . در صورت عدم پيكربندی مناسب يك سرويس دهنده SMTP به منظور مقابله با نامه های الكترونيكی ناخواسته ، مهاجمان قادر به ارسال نامه های الكترونيكی ناخواسته متعددی برای سرويس دهنده می گردند. اين كار در نهايت باعث می شود كه سرويس دهنده SMTP قادر به ارائه سرويس خود برای كاربران مجاز نگردد .
حفاظت لايه Application
• در زمان نصب يك برنامه ، می بايست صرفا" سرويس های مورد نياز آن را فعال نمود . نصب و پيكربندی ايمن حداقل سرويس های لازم از جمله اقدامات ضروری در اين رابطه است .
• طراحی ، پياده سازی و بكارگيری برنامه ها می بايست با لحاظ نمودن مسائل امنيتی انجام شود . برخورد بموقع با نقاط ضعف موجود در برنامه ها ، پياده سازی و نصب سريع patches خصوصا" برای آندسته از برنامه هائی كه در سازمان طراحی و پياده سازی شده اند ، امری لازم و ضروری است .
• برنامه ها و سرويس های مورد نياز در يك شبكه می بايست به صورت ايمن نصب و تمامی Service pack و patches آنها نيز نصب گردد .
• از برنامه های آنتی ويروس می بايست به منظور پيشگيری از اجرای كدهای مخرب بر روی سيستم استفاده گردد. اين نوع نرم افزارها می بايست بر روی كامپيوترهای سرويس گيرنده ، سرويس دهنده ، فايروال ها و ساير نقاط حساس نصب و بهنگام نگاه داشته شوند .
• در زمان پياده سازی برنامه های جديد ، می بايست از آخرين روش های موجود به منظور ايمن سازی برنامه ها استفاده گردد .
• از سياست های محدودسازی نرم افزار می بايست استفاده گردد . با استفاده از اينگونه سياست ها ، می توان محيط كامپيوتری را در مقابل كدهای تائيد نشده شناسائی و با آنها برخورد نمود .