ضرورت توجه به امنيت اطلاعات ( بخش پنجم)
استراتژی "دفاع در عمق " يك فريمورك امنيتی مناسب برای حفاظت و نگهداری ايمن زيرساخت فن آوری اطلاعات يك سازمان است . در اين مدل،زير ساخت فن آوری اطلاعات يك سازمان به عنوان مجموعه ای از لايه های مرتبط به هم در نظر گرفته شده و به منظور حفاظت و ايمن سازی هر لايه از مكانيزم ها و روش های حفاظتی خاصی استفاده می گردد . در بخش چهارم به لايه سياست ها ، رويه ها و اطلاع رسانی اشاره گرديد . در اين بخش به بررسی لايه فيزيكی خواهيم پرداخت .
• از تمامی سرمايه های موجود در زير ساخت فن آوری اطلاعات يك سازمان ، می بايست بطور فيزيكی حفاظت گردد . سرمايه های فوق صرفا" محدود به سخت افزار نبوده و نرم افزار و اطلاعات مهم و حياتی موجود در سازمان را كه بر روی رسانه های مختلفی ذخيره شده اند را نيز شامل می شود .
• امنيت فيزيكی يك عنصر كليدی در استراتژی امنيتی يك سازمان است .
• در برخی موارد ماحصل يك تهاجم صرفا" خرابكاری و ايجاد اختلال در روند عادی انجام فعاليت های يك سازمان می باشد . با اين كه ايجاد خرابی و يا غيرفعال كردن برخی سخت افزارها خود يك مسئله مهم و حياتی است ولی دستيابی ، مشاهده ، تغيير و يا حذف اطلاعاتی كه دارای جايگاه خاصی برای يك سازمان می باشند ، می تواند يك سازمان را با چالش های جدی امنيتی مواجه سازد .
• در صورتی كه يك مهاجم بتواند بطور فيزيكی به يك سيستم دستيابی نمايد ، وی قادر است نرم افزارهای مخرب و يا سخت افزارهائی را كه بدين منظور طراحی شده اند بر روی سيستم نصب نمايد . فعاليت برخی نرم افزارهای مخرب نظير برنامه های Spyware و يا ثبت كنندگان داده ورودی توسط كاربر و از طريق صفحه كليد ، می تواند بدون اگاهی كاربر انجام شود. وجود اينگونه نرم افزارها در زيرساخت فن آوری اطلاعات يك سازمان، می تواند پيامدهای منفی گسترده ای را برای آنان به دنبال داشته باشد .
• دستيابی فيزيكی به سرويس های موبايل نظير تلفن های سلولی و يا دستگاه های handheld ، از جمله تهديدات امنيتی است كه می تواند برای يك سازمان مشكل ايجاد نمايد . در صورتی كه مهاجمان قادر به دستيابی سيستم های فوق گردند ، می توانند از اطلاعات متعدد موجود بر روی اينگونه سيستم ها به منظور برنامه ريزی حملات استفاده نمايند . مشاهده ليست تماس ، شماره تلفن و پيام های email نمونه هائی از اينگونه اطلاعات می باشند.
• محل استقرار سرويس دهندگان را از كاربران معمولی جدا نموده و می بايست از تمامی اطلاق های محل استقرار سرويس دهندگان ، حفاظت گردد . دستيابی به اطاق های محل استقرار سرويس دهندگان می بايست به دقت كنترل و ثبت گردد . در صورتی كه از اطلاق هائی خاص برای استقرار سرويس دهندگان استفاده نمی گردد ، می بايست آنان را در يك محيط ايزوله منطقی قرار داد ( استفاده از محفظه هائی كه دستيابی به آنان از طريق كليد مربوطه امكان پذير می باشد ) .
• تمامی اطلاق های محل استقرار سرويس دهندگان می بايست دارای سيستم اطفاء حريق باشند . آتش سوزی و ايجاد حريق يك تهديد جدی است كه می بايست قبل از وقوع برای آن راهكار منطقی را پيش بينی كرد.
• دستيابی به اطلاق های محل استقرار سرويس دهندگان می بايست توسط سيستم های تلويزيونی مدار بسته (CCTV ) مانيتور گردد. ضبظ تصاوير تلويزيونی با استفاده از سيستم های مدار بسته ، در صورت بروز يك مشكل و به منظور بررسی علل وقوع آن می تواند مفيد واقع شود .
• اعمال محدوديت در دستيابی فيريكی می بايست كنسول های مديريت از راه دور را نيز شامل شود . در صورتی كه يك مهاجم بتواند به يك سرويس دهنده از طريق سرويس های راه دور و از هر نقطه ای دستيابی داشته باشد ، اعمال محدوديت در دستيابی فيزيكی به صفحه كليد و مانيتور سرويس دهندگان به تنهائی كافی نخواهد بود . به منظور ايجاد يك كانال ارتباطی ايمن برای دستيابی مديريتی از راه دور ، می بايست از سيستم های رمزنگاری و تائيد چندگانه استفاده نمود .
• در صورت عدم نياز سرويس دهندگان به درايوهای فلاپی ديسك و يا ديسك های فشرده ، از آنان بر روی دستگاه های سرويس دهنده استفاده نگردد ،چراكه رسانه های ذخيره سازی فوق می توانند به عنوان يك منبع جهت ورود و نصب برنامه های مخرب مورد استفاده قرار گيرند.
• اعمال محدوديت در دستيابی فيزيكی می بايست تمامی سخت افزارها و دستگاه های حياتی موجود در شبكه را شامل شود . روترها و سوئيچ های شبكه می بايست بطور فيزيكی ايمن و از آنان حفاظت گردد . در غير اينصورت يك مهاجم می تواند به سادگی يك laptop و يا حتی يك كامپيوتر شخصی را به آنان متصل و سرويس دهندگان موجود در شبكه را از درون محيط شبكه داخلی مورد تهديد قرار دهد . مديريت دستگاه های شبكه ای می بايست به دقت كنترل گردد در غير اينصورت مهاجمان می توانند از دستگاه های فوق به منظور برنامه ريزی حملات خود استفاده نمايند .
• كامپيوترهای laptop يك سازمان ممكن است شامل حجم زيادی از اطلاعات ارزشمند باشد . از كامپيوترهای فوق نيز می بايست حفاظت و به صورت ايمن از آنان استفاده گردد .
• از نسخه های Backup اطلاعات مهم و حياتی يك سازمان به همراه پيكربندی دستگاه های شبكه ای نيز می بايست حفاظت گردد چراكه مهاجمان می توانند از اينگونه اطلاعات به منظور برنامه ريزی حملات و افزايش شانس موفقيت خود استفاده نمايند .
بررسی لايه امنيت فيزيكی
• از تمامی سرمايه های موجود در زير ساخت فن آوری اطلاعات يك سازمان ، می بايست بطور فيزيكی حفاظت گردد . سرمايه های فوق صرفا" محدود به سخت افزار نبوده و نرم افزار و اطلاعات مهم و حياتی موجود در سازمان را كه بر روی رسانه های مختلفی ذخيره شده اند را نيز شامل می شود .
• امنيت فيزيكی يك عنصر كليدی در استراتژی امنيتی يك سازمان است .
تهديدات لايه فيزيكی
• در برخی موارد ماحصل يك تهاجم صرفا" خرابكاری و ايجاد اختلال در روند عادی انجام فعاليت های يك سازمان می باشد . با اين كه ايجاد خرابی و يا غيرفعال كردن برخی سخت افزارها خود يك مسئله مهم و حياتی است ولی دستيابی ، مشاهده ، تغيير و يا حذف اطلاعاتی كه دارای جايگاه خاصی برای يك سازمان می باشند ، می تواند يك سازمان را با چالش های جدی امنيتی مواجه سازد .
• در صورتی كه يك مهاجم بتواند بطور فيزيكی به يك سيستم دستيابی نمايد ، وی قادر است نرم افزارهای مخرب و يا سخت افزارهائی را كه بدين منظور طراحی شده اند بر روی سيستم نصب نمايد . فعاليت برخی نرم افزارهای مخرب نظير برنامه های Spyware و يا ثبت كنندگان داده ورودی توسط كاربر و از طريق صفحه كليد ، می تواند بدون اگاهی كاربر انجام شود. وجود اينگونه نرم افزارها در زيرساخت فن آوری اطلاعات يك سازمان، می تواند پيامدهای منفی گسترده ای را برای آنان به دنبال داشته باشد .
• دستيابی فيزيكی به سرويس های موبايل نظير تلفن های سلولی و يا دستگاه های handheld ، از جمله تهديدات امنيتی است كه می تواند برای يك سازمان مشكل ايجاد نمايد . در صورتی كه مهاجمان قادر به دستيابی سيستم های فوق گردند ، می توانند از اطلاعات متعدد موجود بر روی اينگونه سيستم ها به منظور برنامه ريزی حملات استفاده نمايند . مشاهده ليست تماس ، شماره تلفن و پيام های email نمونه هائی از اينگونه اطلاعات می باشند.
حفاظت لايه فيزيكی
• محل استقرار سرويس دهندگان را از كاربران معمولی جدا نموده و می بايست از تمامی اطلاق های محل استقرار سرويس دهندگان ، حفاظت گردد . دستيابی به اطاق های محل استقرار سرويس دهندگان می بايست به دقت كنترل و ثبت گردد . در صورتی كه از اطلاق هائی خاص برای استقرار سرويس دهندگان استفاده نمی گردد ، می بايست آنان را در يك محيط ايزوله منطقی قرار داد ( استفاده از محفظه هائی كه دستيابی به آنان از طريق كليد مربوطه امكان پذير می باشد ) .
• تمامی اطلاق های محل استقرار سرويس دهندگان می بايست دارای سيستم اطفاء حريق باشند . آتش سوزی و ايجاد حريق يك تهديد جدی است كه می بايست قبل از وقوع برای آن راهكار منطقی را پيش بينی كرد.
• دستيابی به اطلاق های محل استقرار سرويس دهندگان می بايست توسط سيستم های تلويزيونی مدار بسته (CCTV ) مانيتور گردد. ضبظ تصاوير تلويزيونی با استفاده از سيستم های مدار بسته ، در صورت بروز يك مشكل و به منظور بررسی علل وقوع آن می تواند مفيد واقع شود .
• اعمال محدوديت در دستيابی فيريكی می بايست كنسول های مديريت از راه دور را نيز شامل شود . در صورتی كه يك مهاجم بتواند به يك سرويس دهنده از طريق سرويس های راه دور و از هر نقطه ای دستيابی داشته باشد ، اعمال محدوديت در دستيابی فيزيكی به صفحه كليد و مانيتور سرويس دهندگان به تنهائی كافی نخواهد بود . به منظور ايجاد يك كانال ارتباطی ايمن برای دستيابی مديريتی از راه دور ، می بايست از سيستم های رمزنگاری و تائيد چندگانه استفاده نمود .
• در صورت عدم نياز سرويس دهندگان به درايوهای فلاپی ديسك و يا ديسك های فشرده ، از آنان بر روی دستگاه های سرويس دهنده استفاده نگردد ،چراكه رسانه های ذخيره سازی فوق می توانند به عنوان يك منبع جهت ورود و نصب برنامه های مخرب مورد استفاده قرار گيرند.
• اعمال محدوديت در دستيابی فيزيكی می بايست تمامی سخت افزارها و دستگاه های حياتی موجود در شبكه را شامل شود . روترها و سوئيچ های شبكه می بايست بطور فيزيكی ايمن و از آنان حفاظت گردد . در غير اينصورت يك مهاجم می تواند به سادگی يك laptop و يا حتی يك كامپيوتر شخصی را به آنان متصل و سرويس دهندگان موجود در شبكه را از درون محيط شبكه داخلی مورد تهديد قرار دهد . مديريت دستگاه های شبكه ای می بايست به دقت كنترل گردد در غير اينصورت مهاجمان می توانند از دستگاه های فوق به منظور برنامه ريزی حملات خود استفاده نمايند .
• كامپيوترهای laptop يك سازمان ممكن است شامل حجم زيادی از اطلاعات ارزشمند باشد . از كامپيوترهای فوق نيز می بايست حفاظت و به صورت ايمن از آنان استفاده گردد .
• از نسخه های Backup اطلاعات مهم و حياتی يك سازمان به همراه پيكربندی دستگاه های شبكه ای نيز می بايست حفاظت گردد چراكه مهاجمان می توانند از اينگونه اطلاعات به منظور برنامه ريزی حملات و افزايش شانس موفقيت خود استفاده نمايند .