۱۰ مشخصه یک طرح خوب امنیتی

صفحه اصلی کارگروهها >> شبکه و امنیت  >> ۱۰ مشخصه یک طرح خوب امنیتی
حسین فرجی

حسین فرجی

در کارگروه: شبکه و امنیت
تعداد ارسالي: 50
14 سال پیش در تاریخ: سه شنبه, فروردين 23, 1390 9:14

متخصصان امور امنیتی کامپیوترها همواره توصیه‌ها و راهکار‌هایی را درباره ماهیت یک راهکار امنیتی مناسب و دلایل انعطاف‌پذیری و سازگاری آن ارائه می‌دهند، که مرور دائمی آن‌ها، امنیت را در سطح بسیار بالا‌یی حفظ می‌کند.
این متخصصان بیشتر براین باورند که قدم اول در دسترسی به اطلاعات همسان در یک بستر امنیتی قوی، گسترش یک طرح امنیتی است و هنگامی‌که این طرح به اندازه کافی ساده شد، آن‌گاه برای ایجاد آن، به کمی زمان و تلاش، نیاز خواهد بود. آنان همچنین براین باورند که گام دوم، درک این موضوع است که این طرح باید انعطاف‌پذیر و سازگار با برنامه‌هایی باشد که بعدها به سیستم اضافه می‌شود.
کریستوفر فاکنر از دانشگاه دالاس تگزاس که مدیر میزبانی وب، تخصیص فضا و روش‌های تلفیقی است می‌گوید: حسن یک طرح امنیتی، پویایی آن است. وی همچنین می‌گوید: شما نمی‌توانید این نقشه را یک‌روزه بسازید و بعد آن‌‌را به دست فراموشی بسپارید.
از آن جایی‌که امنیت یک موضوع همیشگی است، لازم است مدیران IT اطمینان حاصل کنند که کاربران به امنیت ایجاد شده و سیاست‌های به‌کار‌رفته در آن تمایل نشان می‌دهند. فاکنر می‌گوید:"مردم چیزی را که شما بررسی می‌کنید، انجام می‌دهند؛ نه چیزی را که شما حدس می‌زنید. همیشه یادتان باشد که ‌کارمندان شرکت (از جمله کارکنان از راه دور) که معمولا با سیستم کار می‌کنند، بزرگ‌ترین تهدید امنیتی هستند."
یک متخصص دیگر نیز تمرکز بر یک برنامه جهت‌دار را در گسترش یک طرح، توصیه می‌کند. داگ کانریچ، مدیر روش‌های جهانی و مسئول خدمات امنیتی IBM توضیح می‌دهد: ایده مناسب برای یک طرح امنیتی خوب، گذر از مرحله حفاظت محض از فناوری و رسیدن به مرحله محافظت از اطلاعات واقعی است.
بنابراین این سوال مطرح می‌شود که در یک نقشه امنیتی چه چیزهایی باید لحاظ شود؟ کانریچ و فالکنر ده راهکار برای این پرسش ارائه می‌دهند که در ادامه بیان می‌شوند:
۱- پوشش دادن همه زمینه‌ها: منظور از این پوشش این‌است که علاوه بر فناوری‌های بی‌سیم و سیمی، مجوزهای دسترسی به برنامه‌ها (مانند بانک‌های اطلاعاتی) و اطلاعات (مانند اطلاعات مشتری) نیز باید در امنیت سیستم لحاظ شود. فاکنر در این زمینه می‌گوید: تمام قسمت‌هایی را که به حفاظت نیازدارند شناسایی کنید. وی می‌افزاید: شما نمی‌توانید بدون شناختن یک تاکتیک آن‌را پدید بیاورید.
برای مثال، شما می‌توانید در داخل بانک‌های اطلاعاتی، اطلاعات را بر اساس نقش کارمندان تفکیک کنید. کانریچ در این زمینه می‌گوید: یک مسئول فروش کافی‌است به اطلاعات مربوط به مشتریان و تلفن تماس آن‌ها دسترسی داشته باشد، نه اطلاعات مربوط ‌به صورتحساب آن‌ها. اما کارمندان بخش صدور صورتحساب می‌توانند به تمامی اطلاعات مشتریان دسترسی یابند.
۲- مدیریت تشخیص خطرپذیری: در طول پروسه ایجاد طرح امنیتی، میزان خطرپذیری داده‌های شرکت را ارزیابی کنید. با این دید که کدام قسمت از داده‌ها بیشتر در معرض سرقت یا سوءاستفاده قرار می‌گیرند. وقتی سرقت فهرست ایمیل‌ها باعث آسیب‌دیدگی سیستم باشد، واضح است که دزدیدن اطلاعات کارت‌های اعتباری یا سایر دارایی‌های مشتریان بسیار بدتر است.
کانریچ می‌گوید: با اولویت‌بندی دارایی‌ها، می‌توانید میزان بودجه مورد نیاز برای یک طرح امنیتی خوب را تعریف کنید. این‌کار باعث می‌شود آن‌دسته از ابزارهای بی‌سیم که در معرض تهدید و تعرض هستند و نیز اطلاعاتی که ریسک و خطرپذیری بالایی دارند، شناسایی شوند. به‌عنوان مثال، اختصاص یک کلمه عبور برای یک نفر، نوعی ریسک است. اما لازم است با استفاده از دانش حرفه‌ای، میزان خطر و آسیب‌پذیری آن کاهش یابد.
۳- طبقه‌بندی داده‌ها: کانریچ می‌گوید: طبقه‌بندی داده‌ها را در همه جای شرکت انجام‌دهید؛ مثلا‌ این‌که امور عمومی یا موارد خصوصی کدامند، چه کسانی به چه داده‌هایی دسترسی دارند، داده‌ها چگونه ذخیره می‌شوند،پشتیبان‌گیری چگونه انجام می‌شود و ... . به‌عنوان نمونه، اطلاعات عمومی مانند تبلیغات، چیزهایی هستند که همه، حتی رقیبان نیز می‌توانند آن‌ها را ببینند. اما چیزهایی مانند نحوه توزیع یک محصول، جزء اطلاعات خصوصی است. در این بخش، امنیت به‌خاطر احتمال از بین رفتن داده‌های قابل‌حمل (مانند نوارهای مغناطیسی)، با نوع و روش پشتیبان‌گیری رابطه تنگاتنگی دارد.
۴- تعریف‌کردن یک روش: فاکنر توصیه می‌کند در مورد اطلاعات امنیتی، یک طرح کلی قابل یادگیری ارائه دهید. وی می‌افزاید مردم عادی به دانستن همه چیز نیاز ندارند. لذا سعی کنید بیشتر، حساب چک‌ها و موجودیتان را داشته باشید تا مطمئن شوید تاکتیک‌ها و تکنیک‌هایتان در زمان دسترسی به اطلاعات، کارایی مناسبی دارند یا نه؟ هر کسی نیاز دارد تاکتیک‌ها و ابزار کلیدی را بشناسد. اگر همه اطلاعات از مردم عادی دریغ شود، آن‌ها ابهامات ذهنیشان را با تصوراتشان پر خواهند نمود.
۵- به‌کارگیری یک مدیر روش: کانریچ توصیه می‌کند یک مدیر یا یک متخصص IT را به‌عنوان مسئول روش امنیتی تعیین کنید تا بتواند آن‌را با اطلاعات جدیدتر ارتقا دهد. باید این اطمینان حاصل شود که آنچه شما انجام می‌دهید، برای بهتر شدن اوضاع است.
وی می‌افزاید: این مسئِول باید بتواند روش‌های امنیتی را در یک دوره متوالی نظام‌مند و بر اساس تغییراتی که در سیاست‌های کلان شرکت ایجاد‌می‌شود، بروز‌رسانی کند. ممکن است برنامه‌های جدیدی ارائه شود یا قوانین تغییر پیدا کند. بنابراین روش‌ها نیز باید بروز شوند تا با محیط جدید سازگاری داشته باشند.
۶- ویژگی‌های یک روش خوب: به اعتقاد کانریچ: یک روش امنیتی باید مشخص کند کدام‌یک از اطلاعات شرکت و چگونه رمزنگاری شود (۶۴‌‌بیتی، ۱۲۸ بیتی و ...)، و نیز تعیین‌کند که چه کسانی حق دسترسی به کلید این رمزها را دارند. به همین ترتیب، یک روش امنیتی باید جزئیات کلمات عبور را که شامل چگونگی تغییر و تولید کلمه‌های عبور است، دربر بگیرد.
اگر شرکتی داده‌های حساس خود را رمزنگاری کند، حتی در صورت به سرقت رفتن یا گم شدن ابزارهایی مانند لپ‌تاپ، PDA و ...، تنها یکی از ابزارهای بی‌سیم خود را از دست داده است. این حالت کمک می‌کند تمام ابزارها، اعم از قابل حمل (نوارهای مغناطیسی) و سیستم‌های ثابت (سرورها و مینی‌کامپیوترها) در امان باشند.
۷- کنار گذاشتن محدودیت‌ها: کانریچ توضیح می‌دهد که در طراحی امنیت برای لپ‌تاپ‌ها، کامپیوترهای خانگی و سیستم‌های شبکه‌ای محدودیتی قائل نشوید. درست سال پیش، سروکله اولین ویروس PDA پیدا شد. مسئله مهم این است که برای ابزارهایی مانند PDA و سایر ابزارهای مشابه، طرح‌های امنیتی کافی وجود داشته باشد.
فاکنر می‌گوید: بنابراین یک طرح امنیتی باید درباره استفاده صحیح از آن ابزار در شبکه اطلاعات کافی‌ای دربرداشته‌ باشد. در عین این‌که تمهیدات امنیتی لازم نیز در طول زمان در اختیار کاربر قرار داده شود (مانند وصله‌های امنیتی برای بروزرسانی خودکار). شاید عدم دسترسی به ابزارهای خارجی، بهترین روش باشد. هر چند بعضی از شرکت‌ها نیز این ایده را خیلی محدودکننده می‌دانند.
۸- اهمیت روش‌های ارتباطی: کانریچ می‌گوید: یک تاکتیک امنیتی بی‌سیم باید شامل اطلاعات کافی درباره روش‌‌های صحیح ارتباط، چه ارتباطات درون سازمانی و چه ارتباط بیرون از سازمان باشد. مثلا، ابزارهای بی‌سیم نباید به‌طور همزمان هم به شبکه‌های WLAN (درون سازمانی) و هم در شبکه‌های LAN متصل شوند. چرا که این‌کار اطلاعات شرکت را در‌اختیار دنیای خارج قرارمی‌دهد.
۹- محدود کردن اختیارات کاربران: فاکنر توصیه می‌کند تاکتیک امنیتی باید هرگونه دسترسی به ارتباطات بی‌سیم را محدود کند. همان‌گونه که ماهیت فناوری، این موضوع را تأیید می‌کند، ناامن بودن این ارتباط واضح است. امن بودن و بی‌سیم بودن با هم در تضادند. اگر ابزاری بی‌سیم باشد، خودبه‌خود ناامن است. چرا که نفوذگران هوا را برای ردگیری سیگنال‌های بی‌سیم بو می‌کشند.
در واقع دلیل توصیه به استفاده از خطوط ارتباطی امن برای انتقال اطلاعات حساس به‌جای سیگنال‌های بی‌سیم نیز همین است. فاکنر می‌افزاید: هکرها کسانی هستند که سعی دارند با استفاده از روش‌های دسترسی به اطلاعات حساس یک شرکت و به‌دستآوردن آن سیگنال‌ها، کاربران ابزار بی‌سیم را برای استفاده از یک ابزار پر خطر در شبکه، تشویق نمایند.
۱۰- قابلیت برخورد با تخلفات امنیتی: هیچ روشی ارزشمند نخواهد بود؛ مگر آن‌که بتوان با داشتن اختیارات اجرایی و محدود کننده، رفتارهای خارج از آن‌را کنترل کرد. مدیران IT باید با همکاری سایر نهادهای اجرایی، جریمه‌هایی را برای تخلفات انجام شده تعیین کنند، این جریمه‌ها باید نسبت به ارزش اطلاعات، سختگیرانه باشد.
از دید فاکنر، لازم است برخی از سیاست‌های سخت انضباطی با آموزش بیشتر و سخت‌تر تقویت شوند. هدف ایجاد امنیت است، نه جریمه کردن. آموزش، اگر به درستی انجام شود، امنیت و آرامش خاطر را افزایش می‌دهد یا حداقل رفتار‌های ناهنجار را کم می‌نماید.


حذف ارسالي ويرايش ارسالي