ضرورت توجه به امنيت اطلاعات ( بخش سوم )
هر سازمان می بايست يك فريمورك و يا چارچوب امنيتی فعال و پويا را برای خود ايجاد و به درستی از آن نگهداری نمايد . دفاع در عمق ، يك فريمورك امنيتی مناسب در اين رابط است . در اين مدل ، زيرساخت فن آوری اطلاعات يك سازمان به عنوان مجموعه ای از لايه های مرتبط به هم در نظر گرفته می شود و برای هر لايه مكانيزم های امنيتی و حفاظتی مناسبی تعريف می گردد .
• لايه اول : سياست های امنيتی ، رويه ها و اطلاع رسانی
• لايه دوم : امنيت فيزيكی ( نظير حفاظت فيزيكی )
• لايه سوم : حفاظت از محدوده عملياتی يك شبكه داخلی به منظور ارتباط با ساير شبكه ها ( نظير استفاده از فايروال ها )
• لايه چهارم : ايمن سازی شبكه داخلی
• لايه پنجم : امنيت كامپيوترها و دستگاه های ميزبان ( ايجاد سيستم های تدافعی لازم )
• لايه ششم : امنيت برنامه های كاربردی ( نصب های ايمن به همراه نصب تمامی Service Packs و patch محصولات نرم افزاری موجود در سازمان به منظور پيشگيری از حملات برنامه ريزی شده با بهره گيری از نقاط ضعف موجود )
• لايه هفتم : امنيت داده ( بهره گيری از سيستم امنيتی فايل و يا فولدر سيستم فايل NTFS ، رمزنگاری ، ليست های كنترل دستيابی ، ايجاد نسخه های backup از داده ها و مكانيزم های لازم به منظور بازيافت اطلاعات )
استفاده از يك رويكرد امنيتی لايه ای ، امكان تشخيص تهديدات را افزايش و شانس موفقيت مهاجمان را كاهش خواهد داد .
مدل امنيتی دفاع در عمق ، از مجموعه ای لايه های مرتبط به هم تشكيل می گردد :
• سياست ها ، رويه ها و اطلاع رسانی : عملكرد لايه فوق بر روی ساير لايه ها تاثير مستقيم دارد . در اين لايه عمليات متفاوتی نظير تدوين سياست ها و رويه های امنيتی و برنامه های آموزش كاربران پيش بينی می گردد .
• امنيت فيزيكی :لايه فوق پنج لايه ديگر را در برمی گيرد . در اين لايه می بايست از منابع انسانی و غيرانسانی و دستگاه های رديابی به منظور حفاظت فيزيكی استفاده گردد.
• محدوده عملياتی شبكه : هر شبكه داخلی دارای محيط عملياتی مختص به خود می باشد كه ممكن است در نقاطی خاص با ساير شبكه های خارجی ( نظير اينترنت و يا اكسترانت ) ارتباط برقرار نمايد . به منظور حفاظت از محيط عملياتی يك شبكه داخلی ، می بايست از امكانات و روش های متعددی استفاده نمود . بكارگيری فايروال های سخت افزاری ، نرم افزاری (يا هر دو ) و شبكه های VPN ( استفاده از رويه های قرنطينه ای ) نمونه هائی در اين زمينه می باشد .
• شبكه داخلی : به منظور حفاظت از شبكه داخلی از امكانات و روش های متعددی استفاده می گردد . بخش بندی شبكه ، استفاده از پروتكل IPSec و بكارگيری سيستم های تشخيص مزاحمين نمونه هائی در اين زمينه می باشد .
• كامپيوترها و دستگاه های ميزبان : در هر شبكه از كامپيوترها و دستگاه های ميزبان متعددی استفاده می گردد كه بر روی هر يك از آنان سيستم عامل مربوطه نصب تا مديريت منابع را برعهده گيرد . در اين لايه لازم است با تمركز بر روی دستگاه ها ، كامپيوترهای سرويس دهنده و يا سرويس گيرنده نسبت به ايمن سازی سيستم عامل نصب شده بر روی آنان اقدام گردد . استفاده از متدهای پيشرفته تائيد كاربران ، بكارگيری ابزارها و مكانيزم های لازم به منظور مديريت بهنگام سازی نرم افزارهای پايه و استفاده از سيستم های تشخيص مزاحمين نمونه هائی در اين زمينه می باشد .
• برنامه های كاربردی : در اين لايه با تمركز بر روی برنامه های كاربردی موجود در يك شبكه ، از امكانات و مكانيزم های مختلفی به منظور افزايش ايمن سازی آنان استفاده می گردد . استفاده از نرم افزارهای ضد ويروس از جمله اقدامات لازم در اين لايه است .
• داده : به منظور حفاظت از داده ها و اطلاعات حساس در يك سازمان ، می بايست از امكانات و ابزارهای متعددی استفاده گردد . ايجاد ليست های كنترل دستيابی ( ACLs ) ، رمزنگاری ، سيستم فايل رمزنگاری ( EFS ) و مديريت حقوق ديجيتالی ( DRM ) ، نمونه هائی در اين زمينه می باشد.
• لايه اول : سياست های امنيتی ، رويه ها و اطلاع رسانی
• لايه دوم : امنيت فيزيكی ( نظير حفاظت فيزيكی )
• لايه سوم : حفاظت از محدوده عملياتی يك شبكه داخلی به منظور ارتباط با ساير شبكه ها ( نظير استفاده از فايروال ها )
• لايه چهارم : ايمن سازی شبكه داخلی
• لايه پنجم : امنيت كامپيوترها و دستگاه های ميزبان ( ايجاد سيستم های تدافعی لازم )
• لايه ششم : امنيت برنامه های كاربردی ( نصب های ايمن به همراه نصب تمامی Service Packs و patch محصولات نرم افزاری موجود در سازمان به منظور پيشگيری از حملات برنامه ريزی شده با بهره گيری از نقاط ضعف موجود )
• لايه هفتم : امنيت داده ( بهره گيری از سيستم امنيتی فايل و يا فولدر سيستم فايل NTFS ، رمزنگاری ، ليست های كنترل دستيابی ، ايجاد نسخه های backup از داده ها و مكانيزم های لازم به منظور بازيافت اطلاعات )
جزئيات مدل امنيتی دفاع در عمق
استفاده از يك رويكرد امنيتی لايه ای ، امكان تشخيص تهديدات را افزايش و شانس موفقيت مهاجمان را كاهش خواهد داد .
مدل امنيتی دفاع در عمق ، از مجموعه ای لايه های مرتبط به هم تشكيل می گردد :
• سياست ها ، رويه ها و اطلاع رسانی : عملكرد لايه فوق بر روی ساير لايه ها تاثير مستقيم دارد . در اين لايه عمليات متفاوتی نظير تدوين سياست ها و رويه های امنيتی و برنامه های آموزش كاربران پيش بينی می گردد .
• امنيت فيزيكی :لايه فوق پنج لايه ديگر را در برمی گيرد . در اين لايه می بايست از منابع انسانی و غيرانسانی و دستگاه های رديابی به منظور حفاظت فيزيكی استفاده گردد.
• محدوده عملياتی شبكه : هر شبكه داخلی دارای محيط عملياتی مختص به خود می باشد كه ممكن است در نقاطی خاص با ساير شبكه های خارجی ( نظير اينترنت و يا اكسترانت ) ارتباط برقرار نمايد . به منظور حفاظت از محيط عملياتی يك شبكه داخلی ، می بايست از امكانات و روش های متعددی استفاده نمود . بكارگيری فايروال های سخت افزاری ، نرم افزاری (يا هر دو ) و شبكه های VPN ( استفاده از رويه های قرنطينه ای ) نمونه هائی در اين زمينه می باشد .
• شبكه داخلی : به منظور حفاظت از شبكه داخلی از امكانات و روش های متعددی استفاده می گردد . بخش بندی شبكه ، استفاده از پروتكل IPSec و بكارگيری سيستم های تشخيص مزاحمين نمونه هائی در اين زمينه می باشد .
• كامپيوترها و دستگاه های ميزبان : در هر شبكه از كامپيوترها و دستگاه های ميزبان متعددی استفاده می گردد كه بر روی هر يك از آنان سيستم عامل مربوطه نصب تا مديريت منابع را برعهده گيرد . در اين لايه لازم است با تمركز بر روی دستگاه ها ، كامپيوترهای سرويس دهنده و يا سرويس گيرنده نسبت به ايمن سازی سيستم عامل نصب شده بر روی آنان اقدام گردد . استفاده از متدهای پيشرفته تائيد كاربران ، بكارگيری ابزارها و مكانيزم های لازم به منظور مديريت بهنگام سازی نرم افزارهای پايه و استفاده از سيستم های تشخيص مزاحمين نمونه هائی در اين زمينه می باشد .
• برنامه های كاربردی : در اين لايه با تمركز بر روی برنامه های كاربردی موجود در يك شبكه ، از امكانات و مكانيزم های مختلفی به منظور افزايش ايمن سازی آنان استفاده می گردد . استفاده از نرم افزارهای ضد ويروس از جمله اقدامات لازم در اين لايه است .
• داده : به منظور حفاظت از داده ها و اطلاعات حساس در يك سازمان ، می بايست از امكانات و ابزارهای متعددی استفاده گردد . ايجاد ليست های كنترل دستيابی ( ACLs ) ، رمزنگاری ، سيستم فايل رمزنگاری ( EFS ) و مديريت حقوق ديجيتالی ( DRM ) ، نمونه هائی در اين زمينه می باشد.