ضرورت توجه به امنيت اطلاعات ( بخش دهم)
استراتژی "دفاع در عمق " يك فريمورك امنيتی مناسب برای حفاظت و نگهداری ايمن زيرساخت فن آوری اطلاعات يك سازمان است . در اين مدل،زير ساخت فن آوری اطلاعات يك سازمان به عنوان مجموعه ای از لايه های مرتبط به هم در نظر گرفته شده و به منظور حفاظت و ايمن سازی هر لايه از مكانيزم ها و روش های حفاظتی خاصی استفاده می گردد .
آنچه تاكنون گفته شده است :
• بخش چهارم : بررسی لايه سياست ها ، رويه ها و اطلاع رسانی
• بخش پنجم : بررسی لايه فيزيكی
• بخش ششم : بررسی لايه محدوده عملياتی شبكه و يا Perimeter
• بخش هفتم : بررسی لايه شبكه داخلی
• بخش هشتم : بررسی لايه host
• بخش نهم : بررسی لايه Application
در آخرين بخش به بررسی لايه داده خواهيم پرداخت .
• داده به اشكال مختلفی در يك شبكه ذخيره می گردد . داده ممكن است در اسناد ، فايل های داده اكتيو دايركتوری و فايل های مختلف برنامه ها ذخيره شود. سيستم های كامپيوتری ، داده را بر روی رسانه های متعدد ذخيره سازی ( نظير هارد ديسك ) ذخيره می نمايند .
• نسخه های اخير ويندوز از سيستم فايل های متعددی به منظور ذخيره و بازيابی فايل ها حمايت می نمايند . سيستم فايل NTFS ( برگرفته از NT file system ) يك نمونه در اين زمينه است كه از آن در اكثر نسخه های ويندوز ( نظير XP ، 2000 و 2003 ) حمايت می گردد . سيستم فايل فوق ، امكانات متعددی را در جهت حفاظت از داده نظير مجوزهای دستيابی به فايل ها و يا فولدرها ، ارائه می نمايد .
• سيستم فايل NTFS ، امكانات اضافه ديگری نظير سيستم رمزنگاری فايل ها موسوم به EFS ( برگرفته از Encrypting File System ) را ارائه می نمايد كه می توان از آن به منظور پياده سازی امنيت داده استفاده نمود .
• سرويس اكتيو دايركتوری ، از فايل هائی كه بر روی هارد ديسك ذخيره می گردند برای ذخيره اطلاعات خود استفاده می نمايد . اين فايل ها در مكان پيش فرض و در زمانی كه سيستم به يك Domain Controller ارتقاء می يابد ، ذخيره می گردند . پيشنهاد می گردد در حين فرآيند ارتقاء سيستم به يك Domain controller ، فايل ها را در محل ديگری غير از مكان پيش فرض ذخيره نمود . با توجه به اين كه اسامی فايل ها شناخته شده می باشند ( با نام NTDS.dit ) ، تغيير مكان اين فايل ها می تواند سرعت مهاجمان جهت نيل به اهداف مخرب را كند نمايد . در صورتی كه سيستم فوق در معرض تهديد قرار بگيرد تمامی محيط domain در معرض خطر قرار خواهد گرفت .
• فايل های مربوط به برنامه ها نيز بر روی ديسك ذخيره می گردند و مستعد حملات می باشند. مهاجمان با دستيابی به اينگونه فايل ها می توانند در روند اجرای يك برنامه اختلال ايجاد كرده و يا آنها را در مسيری قرار دهند كه پردازش های مخربی را انجام دهند .
• افزايش حفاظت لايه داده مستلزم بكارگيری توام ليست های كنترل دستيابی و رمزنگاری است . با رمزنگاری يك فايل ، صرفا" امكان مطالعه و يا مشاهده محتويات يك فايل از كاربران غيرمجاز سلب می گردد ولی مهاجمان و يا ساير افراد غير مجاز می توانند عملياتی را كه نيازمند مشاهده محتويات يك فايل نيست ( نظير حذف يك فايل ) انجام دهند .
• حتی المقدور می بايست برنامه های كاربردی و سيستم عامل را در مكانی غير از مكان پيش فرض نصب نمود . اسامی و مكان پيش فرض ذخيره تعداد زيادی از فايل های حياتی و مهم سيستم عامل كاملا" شناخته شده می باشند . پيشنهاد می گردد ، اينگونه فايل ها در مكانی ديگر ذخيره گردند تا كار مهاجمان برای يافتن آنها تا حدودی مشكل تر شود .
• همانگونه كه اشاره گرديد داده در بسياری از فعاليت های تجاری دارای نقشی مهم و برجسته می باشد و از دست دادن آنها ممكن است خسارات جبران ناپذيری را برای يك سازمان به دنبال داشته باشد . بنابراين ، لازم است بازيافت داده به عنوان يك فرآيند حياتی در دستور كار قرار گرفته و از راهكارهای خاصی در اين زمينه استفاده گردد . تهيه backup در فواصل زمانی كاملا" مشخص شده ، اقدامی مهم در اين رابطه است . فرآيند backup و restore يك امر حياتی برای هر محيط عملياتی مبتنی بر داده می باشد . همچنين از نسخه های backup گرفته شده می بايست به درستی و با دقت محفاظت گردد .
• سيستم EFS ، امكان رمزنگاری فايل های موجود بر روی محيط ذخيره سازی را فراهم می نمايد . فرآيند رمزنگاری از يك كليد برای رمزنگاری فايل و فناوری كليد خصوصی و عمومی برای حفاظت كليد رمزنگاری استفاده می نمايد . زمانی كه فايل ها در يك شبكه جابجا و از مكانی به مكان ديگر منتقل می شوند ، سيستم EFS آنها را رمز نخواهد كرد ( خصلت رمزنگاری وابسته به سيستم فايل است نه شی فايل ) .
• ليست های كنترل دستيابی صرفا" بر روی اسنادی كار خواهند كرد كه تحت مديريت سيستم فايل قرار داده شوند . زمانی كه اسناد به مكان ديگر منتقل گردند ( مثلا" يك هارد ديسك ديگر ) ، قابليت ليست های كنترل دستيابی غيرقابل استفاده می گردد. سيستم RMS ( برگرفته از Windows Rights Management Services ) در ويندوز 2003 ، قابليت كنترل دستيابی را به شی فايل و يا فولدر تسری داده و آن را مستقل از محيط فيزيكی ذخيره سازی می نمايد . سيستم فوق به ايجاد كنندگان اسناد قابليت های كنترلی ويژه ای را می دهد كه مشابه آن در اختيار استفاده كنندگان اسناد قرار نخواهد گرفت .به عنوان نمونه فردی كه يك فايل را ايجاد می نمايد ، می تواند مجوزهای آن را بگونه ای تنظيم نمايد كه صرفا" استفاده كننده بتواند آن را مشاهده و يا مطالعه نمايد و قادر به انجام عملياتی نظير copy ,paste و يا چاپ نباشد .
آنچه تاكنون گفته شده است :
• بخش چهارم : بررسی لايه سياست ها ، رويه ها و اطلاع رسانی
• بخش پنجم : بررسی لايه فيزيكی
• بخش ششم : بررسی لايه محدوده عملياتی شبكه و يا Perimeter
• بخش هفتم : بررسی لايه شبكه داخلی
• بخش هشتم : بررسی لايه host
• بخش نهم : بررسی لايه Application
در آخرين بخش به بررسی لايه داده خواهيم پرداخت .
بررسی لايه داده
• داده به اشكال مختلفی در يك شبكه ذخيره می گردد . داده ممكن است در اسناد ، فايل های داده اكتيو دايركتوری و فايل های مختلف برنامه ها ذخيره شود. سيستم های كامپيوتری ، داده را بر روی رسانه های متعدد ذخيره سازی ( نظير هارد ديسك ) ذخيره می نمايند .
• نسخه های اخير ويندوز از سيستم فايل های متعددی به منظور ذخيره و بازيابی فايل ها حمايت می نمايند . سيستم فايل NTFS ( برگرفته از NT file system ) يك نمونه در اين زمينه است كه از آن در اكثر نسخه های ويندوز ( نظير XP ، 2000 و 2003 ) حمايت می گردد . سيستم فايل فوق ، امكانات متعددی را در جهت حفاظت از داده نظير مجوزهای دستيابی به فايل ها و يا فولدرها ، ارائه می نمايد .
• سيستم فايل NTFS ، امكانات اضافه ديگری نظير سيستم رمزنگاری فايل ها موسوم به EFS ( برگرفته از Encrypting File System ) را ارائه می نمايد كه می توان از آن به منظور پياده سازی امنيت داده استفاده نمود .
تهديدات لايه داده
• سرويس اكتيو دايركتوری ، از فايل هائی كه بر روی هارد ديسك ذخيره می گردند برای ذخيره اطلاعات خود استفاده می نمايد . اين فايل ها در مكان پيش فرض و در زمانی كه سيستم به يك Domain Controller ارتقاء می يابد ، ذخيره می گردند . پيشنهاد می گردد در حين فرآيند ارتقاء سيستم به يك Domain controller ، فايل ها را در محل ديگری غير از مكان پيش فرض ذخيره نمود . با توجه به اين كه اسامی فايل ها شناخته شده می باشند ( با نام NTDS.dit ) ، تغيير مكان اين فايل ها می تواند سرعت مهاجمان جهت نيل به اهداف مخرب را كند نمايد . در صورتی كه سيستم فوق در معرض تهديد قرار بگيرد تمامی محيط domain در معرض خطر قرار خواهد گرفت .
• فايل های مربوط به برنامه ها نيز بر روی ديسك ذخيره می گردند و مستعد حملات می باشند. مهاجمان با دستيابی به اينگونه فايل ها می توانند در روند اجرای يك برنامه اختلال ايجاد كرده و يا آنها را در مسيری قرار دهند كه پردازش های مخربی را انجام دهند .
حفاظت لايه داده
• افزايش حفاظت لايه داده مستلزم بكارگيری توام ليست های كنترل دستيابی و رمزنگاری است . با رمزنگاری يك فايل ، صرفا" امكان مطالعه و يا مشاهده محتويات يك فايل از كاربران غيرمجاز سلب می گردد ولی مهاجمان و يا ساير افراد غير مجاز می توانند عملياتی را كه نيازمند مشاهده محتويات يك فايل نيست ( نظير حذف يك فايل ) انجام دهند .
• حتی المقدور می بايست برنامه های كاربردی و سيستم عامل را در مكانی غير از مكان پيش فرض نصب نمود . اسامی و مكان پيش فرض ذخيره تعداد زيادی از فايل های حياتی و مهم سيستم عامل كاملا" شناخته شده می باشند . پيشنهاد می گردد ، اينگونه فايل ها در مكانی ديگر ذخيره گردند تا كار مهاجمان برای يافتن آنها تا حدودی مشكل تر شود .
• همانگونه كه اشاره گرديد داده در بسياری از فعاليت های تجاری دارای نقشی مهم و برجسته می باشد و از دست دادن آنها ممكن است خسارات جبران ناپذيری را برای يك سازمان به دنبال داشته باشد . بنابراين ، لازم است بازيافت داده به عنوان يك فرآيند حياتی در دستور كار قرار گرفته و از راهكارهای خاصی در اين زمينه استفاده گردد . تهيه backup در فواصل زمانی كاملا" مشخص شده ، اقدامی مهم در اين رابطه است . فرآيند backup و restore يك امر حياتی برای هر محيط عملياتی مبتنی بر داده می باشد . همچنين از نسخه های backup گرفته شده می بايست به درستی و با دقت محفاظت گردد .
• سيستم EFS ، امكان رمزنگاری فايل های موجود بر روی محيط ذخيره سازی را فراهم می نمايد . فرآيند رمزنگاری از يك كليد برای رمزنگاری فايل و فناوری كليد خصوصی و عمومی برای حفاظت كليد رمزنگاری استفاده می نمايد . زمانی كه فايل ها در يك شبكه جابجا و از مكانی به مكان ديگر منتقل می شوند ، سيستم EFS آنها را رمز نخواهد كرد ( خصلت رمزنگاری وابسته به سيستم فايل است نه شی فايل ) .
• ليست های كنترل دستيابی صرفا" بر روی اسنادی كار خواهند كرد كه تحت مديريت سيستم فايل قرار داده شوند . زمانی كه اسناد به مكان ديگر منتقل گردند ( مثلا" يك هارد ديسك ديگر ) ، قابليت ليست های كنترل دستيابی غيرقابل استفاده می گردد. سيستم RMS ( برگرفته از Windows Rights Management Services ) در ويندوز 2003 ، قابليت كنترل دستيابی را به شی فايل و يا فولدر تسری داده و آن را مستقل از محيط فيزيكی ذخيره سازی می نمايد . سيستم فوق به ايجاد كنندگان اسناد قابليت های كنترلی ويژه ای را می دهد كه مشابه آن در اختيار استفاده كنندگان اسناد قرار نخواهد گرفت .به عنوان نمونه فردی كه يك فايل را ايجاد می نمايد ، می تواند مجوزهای آن را بگونه ای تنظيم نمايد كه صرفا" استفاده كننده بتواند آن را مشاهده و يا مطالعه نمايد و قادر به انجام عملياتی نظير copy ,paste و يا چاپ نباشد .
.jpg "معنی اسم ائلوین و نام های هم آوا با آن + میزان فراوانی در ثبت احوال")
