12/26/2012

Send

Print

نگاهي نو به امنيت در آي تي

 

نگاهي نو به امنيت در آي تي
تعريف امنيت از نظر واژه نامه Webster يعني احساس آرامش بدون ترس و تشويش. امروزه با پيشرفت علوم مختلف و مخصوصا صنعت آي تي نياز به داشتن محيطي امن به منظور انجام کليه امور يک ضرورت بسيار مهم مي باشد. در اين مقاله سعي بر توضيح و بحث پيرامون امنيت در آي تي و شبکه شده است.
امنيت دو قسم دارد
Feeling ( بعد احساسي): بخش احساسي شامل تفکر و اطمينان از امن بودن بستر آي تي مانند شبکه داخلي داريد. اين احساس مي تواند درست و يا نادرست باشد. بعنوان مثال صرف داشتن يک آنتي و يروس بر روي سيستم و يا شبکه دليل بر اطمينان از ويروسي نشدن آن نيست. زيرا ممکن است آنتي ويروس فقط نصب باشد و مشکلي در بروز رساني آن وجود داشته باشد.
مثال ديگر داشتن ديواره آتش در شبکه است که معمولا باعث اطمينان خاطر کاربران و مديران شبکه مي شود در حالي که پيکربندي نادرست بر روي ديواره آتش مي تواند صدمات جبران ناپذيري را بر سيستم ها وارد نمايد. بعبارت ساده تر مي توان گفت که ما امن نيستيم ولي احساس امنيت مي کنيم.
 
Realistic (بعد واقعي): اين قسم از امنيت دقيقا برعکس حالت احساسي مي باشد. يعني ضريب امنيتي ما در حد مطلوب است ولي اين احساس در ما وجود ندارد و موجب درگيري ذهن مديران امنيتي و شبکه و در حالت بد کاربران سيستم ها مي باشد.
حال چرا در بحث امنيت چنين احساس مي شود؟
دليل اين نوع تفکر حالت  Transparent بودن امنيت مي باشد. يعني اکثر کارها و تنظيماتي که در زمينه امنيت بر روي سيستم ها و شبکه انجام مي شود جنبه فيزيکي نداشته و قابل لمس نمي باشد و اين خود اين حس عدم امنيت در سيستم ها را تقويت مي نمايد. بعنوان مثال زمانيکه يک سيستم چک کردن اثر انگشت به منظور ورود به سازمان وجود داشته باشند و يا داشتن نگهبان با وسيله هاي حفاظتي در يک سازمان حس امنيت را به صورت واقعي در ذهن کاربران ايجاد مي کند. حال شما بالاترين ضريب امنيتي را در سيستم ها پياده سازي کنيد آيا اين حس به کاربر دست مي دهد که سيستمش امن باشد؟ خير!
 بسياري از سازمان ها براين باورند که داشتن فقط يک آنتي ويروس و يک ديواره آتش آنها را از بسياري از خطرات امن نگه مي دارد و هيچ وقت به تنظيمات و پيکربندي هاي آنها توجه نمي کنند
حال چه کنيم که حس امن بودن در سازمان بين مديران و کاربران فراهم شود؟
در اولين قدم مي بايست کليه سياست هاي امنيتي را براي کاربران شرح داد. ارائه دفترچه هاي بسيار کوچک و توضيع بين کاربران، درج خبر و توضيح در سايت هاي داخلي سازمان، زدن اعلاميه در تابلو اعلانات سازمان و در بهترين حالت برگزاري کلاس هاي لازم به منظور آشنائي و توضيح براي مديران و کاربران سازمان راه حل هاي مفيد و نتيجه گذاري براي اين امر مي باشد.
در اين ضمينه چه چيزهائي را مي بايست توضيح داد؟
جلسات توضيح پيرامون امنيت بدليل داشتن موارد بسيار زياد تخصصي و نا آشنائي بسياري از مديران و کارکنان سازمان،يک جلسه خشک و غير جداب مي باشد،لذا مي بايست در زمان مشخص و کم کليه مطالب طوري پوشش داده شود که از نگاه کاربر هم قابل درک و هم جذاب به نظر برسد.دليل انجام موارد امنيتي، چگونگي انجام آن،تلاش ها براي رسيدن به اين نتيجه به منظور پياده سازي آن در سازمان،نتيجه پياده سازي آن مواردي است که مي بايست در اين جلسات در مورد آن با زبان ساده  و قابل درک براي حاضرين در جلسه گفته شود.
اينکه کاربر بداند در مقابل چه خطراتي امين شده و اين سياست هاي امنيتي چه سودي براي وي سازمان دارد خود حس اشتياق به کارکرد و آسودگي خاطر براي وي به ارمغان مياورد.
سه بعد اصلي امنيت در آي تي
در شکل زير مثلث معروف امنيت وجود دارد که هر ضلع آن بيانگر مبحث و قابليتي به منظور امن کردن و ايجاد احساس امنيتي مي باشد.
Confidentiality يا محرمانگي به منظور نگه داشتن صحيح اطلاعات از دسترسي هاي غير مجاز و حفظ حريم خصوصي آن مي باشد. اين امر هم بايد بصورت فيزيکي و هم بصورت منطقي انجام شود.
بعنوان مثال:
**استفاده از تعريف سطح دسترسي (ACL) بمنظور جلوگيري از دسترسي هاي غير مجاز
** استفاده از نام کاربري و پسورد به منظور دسترسي به منابع سازمان
** رمز نگاري اطلاعات با استفاده از الگوريتم هاي قوي
Integrity يا يکپارچگي به منظور حفظ اطلاعات از گزند تغيير و يا آلوده شدن؛ به تعبير کلي تر در آي تي.
يکپارچگي کليه اجزاء و هماهنگ بودن آنها به منظور انجام کار مي باشد. مانند اينکه همه چي بخوبي کارکند ولي لينک هاي ارتباطي قطع باشد. حال به مثال هائي در اين ضمينه مي پردازيم:
**رمزنگاري اطلاعات به منظور انتقال
**شناسائي دو طرف به منظور ارسال و دريافت
** مديريت و رصد کليه سرويس ها به منظور يکپارچه بودن و نبود اختلال در سيستم ها
Availability يا در دسترس بودن بدين معني مي باشد که سيستم براي افراد مجاز مي بايست در شرايط تعيين شده هميشه قابل دسترس بوده و سرويس هاي موجود هميشه بصورت کامل به کليه درخواست ها پاسخ دهند.
نگهداري سيستمي بدين شکل در ظاهر بسيار ساده بنظر مي رسد ولي در عمل بسيار مشکل مي باشد زيرا عوامل زيادي در دسترس بودن يک سيستم را تحت الشعاع قرار مي دهد:
**تجهيزات سخت افزاري
** برق و سيستم هاي مولد آن
**حملات بر عليه سرويس هاي يک سيستم
**اختلال ناشي در پيکربندي هاي نادرست
 سيستم هاي آي تي به تنهائي مشکلي ندارند. مشکل زماني پيش ميايد که کاربران مشکل دار شروع به فعاليت هاي خرابکارانه مي کنند
موارد تفکر اشتباه درباره امنيت
همانطور که در ابتداي مقاله درباره دو قسم امنيت توضيح داده شد که شامل بحث احساسي و واقعي امنيت بود، ذکر تفکرات اشتباه در اين زمينه هم لازم است. بسياري از سازمان ها براين باورند که داشتن فقط يک آنتي ويروس و يک ديواره آتش آنها را از بسياري از خطرات امن نگه مي دارد و هيچ وقت به تنظيمات و پيکربندي هاي آنها توجه نمي کنند زيرا اين علم براي آنها وجود ندارد که پيکربندي اشتباه گاه مي تواند مخرب باشد و نتيجه عکس دهد. پس صرف داشتن چنين محصولاتي تضميني براي امنيت سيستم ما نيست. همچنين امنيت يک سيستم مفهوم مي باشد نه يک محصول؛ و مکمل سيستم آي تي مي باشد.
سيستم هاي آي تي به تنهائي مشکلي ندارند. مشکل زماني پيش ميايد که کاربران مشکل دار شروع به فعاليت هاي خرابکارانه مي کنند. بسياري از کاربران با دانستن ضعف يک سيستم در صورتي ناراضي بودن و يا از حس کنجکاوي شروع به انجام فعاليت هائي مي کنند که سيستم مذکور قادر به انجام آن نيست و يا کاربران به منظور عدم پذيرش سياست هاي سازمان شروع به استفاده از ابزارهاي غير مجاز مي کنند.

با توجه به موارد فوق مي توان نتيجه گرفت که در دنياي آي تي امنيت يک سيستم و مفهوم کلي به منظور تکميل و برطرف نمودن ضعف هاي پيش آمده آي تي مي باشد نه يک يا چند محصول