وبلاگ فناوری واطلاعات (ساری)
رشته کامپیوتروبلاگ فناوری واطلاعات (ساری)
رشته کامپیوترSecurity
امنیت برنامه های وب (بخش اول)
هر برنامه کامپیوتری که برای اجراء در محیط شبکه، طراحی و پیاده سازی می گردد ، می بایست توجه خاصی به مقوله امنیت داشته باشد .برنامه های وب از زیرساخت شبکه ( اینترانت ، اینترانت ) برای ارائه خدمات خود به کاربران استفاده نموده و لازم است نحوه دستیابی کاربران به این نوع از برنامه ها ، کنترل و با توجه به سیاست های موجود ، امکان دستیابی فراهم گردد .در ابتدا می بایست کاربران شناسائی و پس از تائید هویت آنان ، امکان دستیابی به برنامه با توجه به مجوزهای تعریف شده ، فراهم گردد. ASP.NET ( پلات فرم مایکروسافت برای طراحی و پیاده سازی برنامه های وب ) ، از سه روش عمده به منظور شناسائی کاربران و اعطای مجوزهای لازم در جهت دستیابی و استفاده از یک برنامه وب ، استفاده می نماید :
Windows Authentication
Forms Authentication
Passport Authentication
در مجموعه مقالاتی که ارائه خواهد شد به بررسی هر یک از روش های فوق در جهت پیاده سازی امنیت در برنامه های وب خواهیم پرداخت . در بخش اول این مقاله ، به بررسی نحوه برخورد ASP.NET با کاربران ناشناس ( Anonymous ) ، روش های متفاوت شناسائی کاربران و پارامترهای لازم در خصوص انتخاب یک استراتژی به منظور شناسائی کاربران با توجه به نوع برنامه ها ، خواهیم پرداخت .
شناسائی و تائید کاربران
Authentication ، فرآیندی است که بر اساس آن کاربران شناسائی می گردند . Authorization ، فرآیند اعطای دستیابی به کاربران با توجه به هویت آنان می باشد . با تلفیق Authentication و Authorization، امکان ایمن سازی برنامه های وب در مقابل افراد مزاحم و غیر مجاز ، فراهم می گردد .
دستیابی از طریق کاربران ناشناس ( Anonymous )
اغلب سایت های وب از روش دستیابی "Anonymous" ، استفاده می نمایند . در چنین مواردی ، اطلاعات موجود بر روی سایت جنبه عمومی داشته و امکان دستیابی تمامی کاربران به اطلاعات وجود خواهد داشت . این نوع سایت ها ، ضرورتی به بررسی مجاز بودن کاربران برای استفاده از منابع موجود ، نخواهند داشت . برنامه های وب ASP.NET ، امکان دستیابی Anonymous را به منابع موجود بر روی سرویس دهنده توسط Impersonation ارائه می نمایند . Impersonation ، فرآیند نسبت دهی یک Account به یک کاربر ناشناس است . Account دستیابی Anonymous بصورت پیش فرض ، IUSER_computername ، می باشد. با استفاده از Account فوق ، امکان کنترل کاربران ناشناس که به منابع موجود بر سرویس دهنده دستیابی دارند ، وجود خواهد داشت . به منظور مشاهده و تغییر مجوزهای دستیابی در نظر گرفته شده برای Account فوق از برنامه Computer Management استفاده می گردد :
ورود به شبکه ( Logon ) به عنوان مدیریت شبکه
اجرای Computer Management ( از طریق : Start | Programs | Administrator Tools )
انتخاب فولدر Users به منظور نمایش لیست کاربران
مشاهده گروههائی که Account فوق به عنوان عضوی از آنان می باشد( کلیک بر روی Member of ) . کاربران Anonymous ، بصورت پیش فرض ، عضوی از گروه Guests بوده که دارای مجوزهای اندکی می باشد. ASP.NET از ASP.NET Account ( با توجه به تنظیمات پیش فرض) ، به منظور اجرای برنامه وب استفاده می نماید . بدین ترتیب ، در صورتیکه برنامه ای سعی در انجام عملیاتی نماید که در لیست مجوزهای ASP.NET Account وجود نداشته باشد ، یک مورد خاص امنیتی بوجود آمده و امکان دستیابی آن تائید نخواهد شد.
به منظور اعمال محدودیت در دستیابی کاربران ناشناس می توان از تنظیمات مربوط به مجوزهای فایل ویندوز استفاده نمود . برای ایمن سازی ، سرویس دهنده می بایست دارای سیستم فایل NTFS باشد . سیستم های فایل FAT و یا FAT32 ، ایمن سازی در سطح فایل را ارائه نمی نمایند .
دستیابی از طریق کاربران تائید شده
دستیابی Anonymous ، گزینه ای مناسب برای دستیابی به اطلاعات عمومی و عام است . در صورتیکه برنامه های وب شامل اطلاعاتی خاص و خصوصی باشند ، می بایست در ابتدا کاربران شناسائی و در ادامه با توجه به مجوزهای تعریف شده ، امکان دستیابی فراهم گردد. در برنامه های وب ASP.NET از سه روش عمده به منظور Authentication و Authorization کاربران استفاده می گردد :
Windows integrated authentication : در روش فوق ، شناسائی و تائید کاربران بر اساس لیست کاربران تعریف شده بر روی سرویس دهنده انجام خواهد شد. در ادامه با توجه به مجوزها و امتیازات نسبت داده شده به هر Account ، امکان دستیابی و یا عدم دستیابی به منابع موجود بر روی سرویس دهنده ، فراهم می گردد.
Forms authentication : در روش فوق ، کاربران به یک فرم وب Logon ، هدایت می گردند . در ادامه ، اطلاعات مربوط به نام و رمز عبور آنان اخذ و فرآیند شناسائی و تائید بر اساس یک لسیت کاربران و یا از طریق یک بانک اطلاعاتی که برنامه حمایت می نماید ، انجام خواهد شد.
Passport authentication : در روش فوق ، کاربران جدید به یک سایت که توسط مایکروسافت میزبان شده است ، هدایت می گردند .پس از ریجستر شدن کاربران ، امکان دستیابی آنان به چندین سایت ، فراهم خواهد شد( تمرکز در شناسائی کاربران و استفاده از سایت های متعدد با توجه به تائید بعمل آمده ) .
هر یک از رویکردهای فوق ، به همراه روش دستیابی Anonymous ، دارای مزایای مختص به خود بوده و برای نوع خاصی از برنامه های وب ، مناسب می باشند :
نوع برنامه : برنامه وب عمومی اینترنت
روش تائید کاربران : Anonymous
توضیحات : روش عمومی دستیابی برای اغلب سایت های وب ، می باشد. در این روش ، ضرورتی به Logon وجود نداشته و با استفاده از مجوزهای سیستم فایل NTFS ، می توان ایمن سازی منابعی را که قصد اعمال محدودیت در رابطه با دستیابی به آنان وجود دارد را انجام داد .
نوع برنامه : برنامه وب اینترانت
روش تائید کاربران : Windows integrated
توضیحات : در روش فوق ، سیستم معتبر سازی ویندوز ، کاربران شبکه را از طریق کنترل کننده Domain ، تائید می نماید. امکان دستیابی به منابع برنامه های وب بر اساس مجوزهای تعریف شده بر روی سرویس دهنده ، برای هر یک از کاربران فراهم می گردد .
نوع برنامه : برنامه های وب تجاری
روش تائید کاربران : Forms
توضیحات : برنامه هائی که نیازمند دریافت اطلاعات مالی می باشند ، می بایست از روش فوق به منظور اخذ و ذخیره سازی اطلاعات ، استفاده نمایند .
نوع برنامه : برنامه های متعدد تجاری
روش تائید کاربران : Passport
توضیحات : در روش فوق ، کاربران یک مرتبه Sign in نموده ( از طریق یک مرکز تائید کاربران ) و امکان دستیابی و استفاده آنان از تمامی برنامه هائی که از Passport SDK استفاده می نمایند ، وجود خواهد داشت . اطلاعات کاربران در یک Passport profile نگهداری خواهدشد ( در مقابل استفاده از یک بانک اطلاعاتی محلی ) .
استفاده از Authentication در فایل های HTM و یا HTML
سه روش تائید کاربران که توسط ASP.NET ارائه شده است ، صرفا" در رابطه با فایل هائی که به عنوان بخشی از برنامه وب می باشند ، بکار گرفته می شود .فرم های وب ( فایل هائی با انشعاب aspx . ) ، ماژول ها ( فایل هائی با انشعاب asax . ) ، نمونه هائی در این زمینه می باشند. فرآیند فوق ، صفحات HTML ( فایل هائی با انشعاب HTM و یا HTML ) را شامل نمی گردد و مسئولیت آن بصورت پیش فرض به IIS ( در مقابل ASP.NET ) واگذار شده است. در صورتیکه فصد تائید کاربرانی ( استفاده از یکی از روش های Windows,Forms و Passport ) را داشته باشیم که به صفحات HTML از طریق برنامه وب دستیابی دارند ، می بایست این نوع فایل ها به ASP.NET executable ، مپ گردند .به منظور مپ نمودن فایل های html به ASP.NET executable ، پس از اجرای IIS مراحل زیر را دنبال می نمائیم :
انتخاب فولدر شامل برنامه وب و Properties از طریق Action Menu . در ادامه برنامه IIS ، جعبه محاوره ای Properties را نمایش خواهد داد .
بر روی Directory Tab کلیک نموده و در ادامه گزینه Configuration را انتخاب می نمائیم . IIS در ادامه جعبه محاوره ای Application Configuration را نمایش خواهد داد
بر روی دکمه Add کلیک نموده و در ادامه IIS جعبه محاوره ای Add/Edit Application Extension Mapping را نمایش خواهد داد .
Windows Authentication
Forms Authentication
Passport Authentication
در مجموعه مقالاتی که ارائه خواهد شد به بررسی هر یک از روش های فوق در جهت پیاده سازی امنیت در برنامه های وب خواهیم پرداخت . در بخش اول این مقاله ، به بررسی نحوه برخورد ASP.NET با کاربران ناشناس ( Anonymous ) ، روش های متفاوت شناسائی کاربران و پارامترهای لازم در خصوص انتخاب یک استراتژی به منظور شناسائی کاربران با توجه به نوع برنامه ها ، خواهیم پرداخت .
شناسائی و تائید کاربران
Authentication ، فرآیندی است که بر اساس آن کاربران شناسائی می گردند . Authorization ، فرآیند اعطای دستیابی به کاربران با توجه به هویت آنان می باشد . با تلفیق Authentication و Authorization، امکان ایمن سازی برنامه های وب در مقابل افراد مزاحم و غیر مجاز ، فراهم می گردد .
دستیابی از طریق کاربران ناشناس ( Anonymous )
اغلب سایت های وب از روش دستیابی "Anonymous" ، استفاده می نمایند . در چنین مواردی ، اطلاعات موجود بر روی سایت جنبه عمومی داشته و امکان دستیابی تمامی کاربران به اطلاعات وجود خواهد داشت . این نوع سایت ها ، ضرورتی به بررسی مجاز بودن کاربران برای استفاده از منابع موجود ، نخواهند داشت . برنامه های وب ASP.NET ، امکان دستیابی Anonymous را به منابع موجود بر روی سرویس دهنده توسط Impersonation ارائه می نمایند . Impersonation ، فرآیند نسبت دهی یک Account به یک کاربر ناشناس است . Account دستیابی Anonymous بصورت پیش فرض ، IUSER_computername ، می باشد. با استفاده از Account فوق ، امکان کنترل کاربران ناشناس که به منابع موجود بر سرویس دهنده دستیابی دارند ، وجود خواهد داشت . به منظور مشاهده و تغییر مجوزهای دستیابی در نظر گرفته شده برای Account فوق از برنامه Computer Management استفاده می گردد :
ورود به شبکه ( Logon ) به عنوان مدیریت شبکه
اجرای Computer Management ( از طریق : Start | Programs | Administrator Tools )
انتخاب فولدر Users به منظور نمایش لیست کاربران
مشاهده گروههائی که Account فوق به عنوان عضوی از آنان می باشد( کلیک بر روی Member of ) . کاربران Anonymous ، بصورت پیش فرض ، عضوی از گروه Guests بوده که دارای مجوزهای اندکی می باشد. ASP.NET از ASP.NET Account ( با توجه به تنظیمات پیش فرض) ، به منظور اجرای برنامه وب استفاده می نماید . بدین ترتیب ، در صورتیکه برنامه ای سعی در انجام عملیاتی نماید که در لیست مجوزهای ASP.NET Account وجود نداشته باشد ، یک مورد خاص امنیتی بوجود آمده و امکان دستیابی آن تائید نخواهد شد.
به منظور اعمال محدودیت در دستیابی کاربران ناشناس می توان از تنظیمات مربوط به مجوزهای فایل ویندوز استفاده نمود . برای ایمن سازی ، سرویس دهنده می بایست دارای سیستم فایل NTFS باشد . سیستم های فایل FAT و یا FAT32 ، ایمن سازی در سطح فایل را ارائه نمی نمایند .
دستیابی از طریق کاربران تائید شده
دستیابی Anonymous ، گزینه ای مناسب برای دستیابی به اطلاعات عمومی و عام است . در صورتیکه برنامه های وب شامل اطلاعاتی خاص و خصوصی باشند ، می بایست در ابتدا کاربران شناسائی و در ادامه با توجه به مجوزهای تعریف شده ، امکان دستیابی فراهم گردد. در برنامه های وب ASP.NET از سه روش عمده به منظور Authentication و Authorization کاربران استفاده می گردد :
Windows integrated authentication : در روش فوق ، شناسائی و تائید کاربران بر اساس لیست کاربران تعریف شده بر روی سرویس دهنده انجام خواهد شد. در ادامه با توجه به مجوزها و امتیازات نسبت داده شده به هر Account ، امکان دستیابی و یا عدم دستیابی به منابع موجود بر روی سرویس دهنده ، فراهم می گردد.
Forms authentication : در روش فوق ، کاربران به یک فرم وب Logon ، هدایت می گردند . در ادامه ، اطلاعات مربوط به نام و رمز عبور آنان اخذ و فرآیند شناسائی و تائید بر اساس یک لسیت کاربران و یا از طریق یک بانک اطلاعاتی که برنامه حمایت می نماید ، انجام خواهد شد.
Passport authentication : در روش فوق ، کاربران جدید به یک سایت که توسط مایکروسافت میزبان شده است ، هدایت می گردند .پس از ریجستر شدن کاربران ، امکان دستیابی آنان به چندین سایت ، فراهم خواهد شد( تمرکز در شناسائی کاربران و استفاده از سایت های متعدد با توجه به تائید بعمل آمده ) .
هر یک از رویکردهای فوق ، به همراه روش دستیابی Anonymous ، دارای مزایای مختص به خود بوده و برای نوع خاصی از برنامه های وب ، مناسب می باشند :
نوع برنامه : برنامه وب عمومی اینترنت
روش تائید کاربران : Anonymous
توضیحات : روش عمومی دستیابی برای اغلب سایت های وب ، می باشد. در این روش ، ضرورتی به Logon وجود نداشته و با استفاده از مجوزهای سیستم فایل NTFS ، می توان ایمن سازی منابعی را که قصد اعمال محدودیت در رابطه با دستیابی به آنان وجود دارد را انجام داد .
نوع برنامه : برنامه وب اینترانت
روش تائید کاربران : Windows integrated
توضیحات : در روش فوق ، سیستم معتبر سازی ویندوز ، کاربران شبکه را از طریق کنترل کننده Domain ، تائید می نماید. امکان دستیابی به منابع برنامه های وب بر اساس مجوزهای تعریف شده بر روی سرویس دهنده ، برای هر یک از کاربران فراهم می گردد .
نوع برنامه : برنامه های وب تجاری
روش تائید کاربران : Forms
توضیحات : برنامه هائی که نیازمند دریافت اطلاعات مالی می باشند ، می بایست از روش فوق به منظور اخذ و ذخیره سازی اطلاعات ، استفاده نمایند .
نوع برنامه : برنامه های متعدد تجاری
روش تائید کاربران : Passport
توضیحات : در روش فوق ، کاربران یک مرتبه Sign in نموده ( از طریق یک مرکز تائید کاربران ) و امکان دستیابی و استفاده آنان از تمامی برنامه هائی که از Passport SDK استفاده می نمایند ، وجود خواهد داشت . اطلاعات کاربران در یک Passport profile نگهداری خواهدشد ( در مقابل استفاده از یک بانک اطلاعاتی محلی ) .
استفاده از Authentication در فایل های HTM و یا HTML
سه روش تائید کاربران که توسط ASP.NET ارائه شده است ، صرفا" در رابطه با فایل هائی که به عنوان بخشی از برنامه وب می باشند ، بکار گرفته می شود .فرم های وب ( فایل هائی با انشعاب aspx . ) ، ماژول ها ( فایل هائی با انشعاب asax . ) ، نمونه هائی در این زمینه می باشند. فرآیند فوق ، صفحات HTML ( فایل هائی با انشعاب HTM و یا HTML ) را شامل نمی گردد و مسئولیت آن بصورت پیش فرض به IIS ( در مقابل ASP.NET ) واگذار شده است. در صورتیکه فصد تائید کاربرانی ( استفاده از یکی از روش های Windows,Forms و Passport ) را داشته باشیم که به صفحات HTML از طریق برنامه وب دستیابی دارند ، می بایست این نوع فایل ها به ASP.NET executable ، مپ گردند .به منظور مپ نمودن فایل های html به ASP.NET executable ، پس از اجرای IIS مراحل زیر را دنبال می نمائیم :
انتخاب فولدر شامل برنامه وب و Properties از طریق Action Menu . در ادامه برنامه IIS ، جعبه محاوره ای Properties را نمایش خواهد داد .
بر روی Directory Tab کلیک نموده و در ادامه گزینه Configuration را انتخاب می نمائیم . IIS در ادامه جعبه محاوره ای Application Configuration را نمایش خواهد داد
بر روی دکمه Add کلیک نموده و در ادامه IIS جعبه محاوره ای Add/Edit Application Extension Mapping را نمایش خواهد داد .
بر دکمه Browse کلیک نموده و فایل aspnet_isapi.dll را انتخاب می نمائیم .فایل فوق در دایرکتوری Windows Microsoft .Net Framework قرار داشته و مسیر آن مشابه زیر است :
Path for aspnet_isapi.dll
C:\windows\Microsoft.NET\Framework\versionnumber\aspnet_isapi.dll
htm. را در فیلد File Extension تایپ می نمائیم .
مراحل فوق ، برای فایل های با انشعاب html ، تکرار می گردد.
Path for aspnet_isapi.dll
C:\windows\Microsoft.NET\Framework\versionnumber\aspnet_isapi.dll
htm. را در فیلد File Extension تایپ می نمائیم .
مراحل فوق ، برای فایل های با انشعاب html ، تکرار می گردد.
*******************************************
امنیت برنامه های وب ( بخش دوم )
در این مقاله به بررسی Windows Authentication خواهیم پرداخت .
همانگونه که در بخش اول این مقاله اشاره گردید ، برنامه های وب ASP.NET از سه روش عمده به منظور تائید کاربران استفاده می نمایند :
Windows Authentication
Forms Authentication
Passport Authentication
در Windows Authentication ، برنامه های وب مسئولیتی را در ارتباط با تائید کاربران برعهده نگرفته و این وظیفه تماما" به سیستم عامل ویندوز ، واگذار می گردد. فرآیند تائید کاربران در روش فوق، بصورت زیر است :
کاربر درخواستی مبنی بر دریافت یک صفحه وب ایمن را از برنامه وب ، می نماید .
پس از دریافت درخواست توسط سرویس دهنده وب ، IIS عملیات بررسی صلاحیت کاربر را انجام خواهد داد . در این راستا ، اطلاعات ارائه شده توسط کاربر در زمان logon ( نام و رمز عبور) ، با اطلاعات موجود بر روی سرویس دهنده وب و یا Domain ، مقایسه می گردد .
در صورتیکه پس از بررسی مدارک ارائه شده توسط کاربر ( نام و رمز عبور ) ، وی به عنوان کاربر غیر مجاز تشخیص داده شود ، درخواست وی نادیده گرفته خواهد شد .
کامپیوتر سرویس گیرنده ، یک جعبه محاوره ای Logon را تولید و از کاربر درخواست درج اطلاعات مورد نیاز ( نام و رمز عبور ) ، می گردد . پس از درج اطلاعات درخواستی توسط کاربر و ارسال آنان برای سرویس دهنده ، مجددا" IIS بررسی لازم در خصوص صحت آنان را انجام خواهد داد . در صورتیکه صحت اطلاعات ارسالی کاربر ( نام و رمز عبور ) تائید گردد ، IIS درخواست اولیه کاربر را به سمت برنامه وب هدایت می نماید .
در آخرین مرحله و پس از بررسی و تائید صلاحیت کاربر ، صفحه وب درخواستی برای کاربر ارسال می گردد .
مهمترین مزیت روش Windows Authentication ، استفاده مشترک از یک مدل امنیتی به منظور دستیابی به منابع موجود در شبکه و برنامه های وب است . پس از تعریف و اعطای مجوزهای لازم به کاربر ، امکان دستیابی وی به منابع موجود در شبکه و برنامه های وب بر اساس یک سیستم امنیتی مشابه و یکسان ، فراهم می گردد .
در زمان ایجاد یک پروژه جدید برنامه وب توسط ویژوال استودیو دات نت ، از روش Windows Authentication بصورت پیش فرض به منظور تائید کاربران استفاده می گردد .پس از ایجاد یک پروژه جدید برنامه وب در ویژوال استودیو دات نت ، فایل Web.Config بصورت اتوماتیک ایجاد می گردد . ( یک فایل XML که اطلاعات متفاوتی را در ارتباط با پیکربندی رنامه وب در خود ذخیره می نماید ) . محتوی پیش فرض این فایل بصورت زیر است ( صرفا" بخشی که با موضوع این مقاله ارتباط دارد ، منعکس می گردد ) :
در بخش مربوط به عنصر authentication ، سیاست تائید کاربران برنامه های وب مخشص می گردد . برای مشخص نمودن سیاست فوق از خصلت mode مربوط به عنصر authentication ، استفاده شده که می تواند یکی از مقادیر : Windows , Forms ,Passport و یا None را دارا باشد . در بخش authorization ، سیاست های مربوط به کاربران مجاز برنامه وب مشخص می گردد . در این رابطه می توان ، امکان دستیابی و یا عدم دستیابی به برنامه های وب را با مشخص نمودن کاربران و یا با توجه به وظایف آنان ، فراهم نمود. ( استفاده از کاراکتر " * " ، به معنی همه کاربران بوده و کاراکتر "؟" به منزله کاربران ناشناس و غیرمجاز است) . برای آشنائی با عملکرد روش Windows Authentication ، مراحل زیر را دنبال می نمائیم :
بخش authorization در فایل Web.Config را بصورت زیر تغییر می نمائیم :
تگ های زیر را که یک جدول HTML را تعریف می نمایند ، در فرم وب شروع برنامه وب ، قرار می دهیم :
به حالت Design view سوئیچ نموده و کد زیر را در فایل Code Behind فرم وب شروع برنامه ، قرار می دهیم :
پس از اجرای پروژه بصورت محلی ، ASP.NET تائید کاربر را بر اساس نام و رمز عبوری که برای ورود به ویندوز استفاده شده است ، انجام خواهد د اد .
پس از اجرای پروژه از راه دور ( مثلا" دستیابی از طریق اینترنت ) ، ASP.NET یک جعبه محاوره ای رادر مرورگر نمایش داده تا از طریق آن نام و رمز عبور کاربر دریافت گردد .
در صورتیکه نام و رمز عبور درج شده توسط کاربر با تعاریف انجام شده در Domain شبکه ، مطابقت نماید ، ASP.NET کاربر را تائید و مجوز لازم به منظور استفاده از برنامه وب صادر خواهد شد . در این رابطه ASP.NET ، یک authorization certificate را به شکل یک کوکی صادر که در حین Session کاربر ، نگهداری و از آن استفاده می گردد. Session کاربر، پس از اتمام زمان Time out و یا بستن مرورگر ، خاتمه می یابد . برنامه وب اجرای خود را متناسب با مجوزهای تعریف شده در ارتباط با Account آغاز می نماید .
روش Windows integrated authentication در یک شبکه مبتنی بر Domain بهتر کار خواهد کرد . شبکه هائی که از Workgroup استفاده می نمایند ( در مقابل استفاده از Domain ) دارای محدودیت های خاص خود به منظور استفاده از ویژگی های امنیتی ، می باشند. شبکه های مبتنی بر Domain ، از یک کنترل کننده Domain به منظور تائید و معتبرسازی کاربران شبکه ، استفاده می نماید .
با استفاده از امکانات ارائه شده در فایل Web.Config می توان یک لایه امنیتی مضاعف را ایجاد نمود . دراین راستا ، می توان تنظیمات لازم به منظور دستیابی و یا عدم دستیابی کاربران و یا گروه های خاصی از کاربران را نیز انجام داد .
اعمال محدودیت برای کاربران خاص ( دستیابی و یا عدم دستیابی )
در مواردیکه از روش Windows integrated authentication استفاده می گردد ، ASP.NET ، لیست تائید موجود در فایل Web.Config را به منظور آگاهی از صلاحیت کاربران شبکه برای استفاده ازبرنامه وب ، بررسی می نماید. کاراکترهای "*" و "؟" دارای معانی خاصی در لیست تائید می باشند : کاراکتر "* " ، نشاندهنده تمامی کاربران و کاراکتر "؟"، نشاندهنده کاربران غیر مجاز( ناشناس) می باشد . مثلا" لیست تائید زیر در Web.Config ، امکان دسـتیابی تمامی کاربران ناشناس به برنامه وب را حذف و می بایست تمامی کاربران به منظور استفاده از برنامه وب ،تائید گردند .
به منظور اعمال محدودیت در دستیابی کاربرانی خاص ،می توان از عنصر <allow> استفاده و اسامی تمامی کاربران مجاز را با صراحت مشخص نمود (اسامی توسط ویرگول از یکدیگر تفکیک می گردند) . پس از معرفی کاربران مجاز با استفاده از عنصر <allow> ، می بایست با بکارگیری عنصر <deny> ، امکان دستیابی به برنامه توسط کاربران غیر مجاز، سلب می گردد .
لیست مجاز فوق ، امکان دستیابی دو کاربر که اسامی آنان با صراحت مشخص شده است را به برنامه وب خواهد داد. سایر کاربران ، امکان دستیابی به برنامه وب را دارا نخواهند بود ( نقش عنصر deny در مثال فوق ) علاوه بر لیست مجاز فوق که اسامی دو کاربر را مشخص و آنان را برای استفاده از برنامه وب مجاز می نماید ، دو کاربر فوق ، می بایست دارای Account لازم در Domain شبکه نیز باشند .
تائید کاربران بر اساس نوع وظیفه
برای تائید کاربران به منظور استفاده از یک برنامه می توان ، مجوزهای لازم را بر اساس وظیفه آنان در سازمان ، صادر و امکان دستیابی و یا عدم دستیابی را برای آنان فراهم نمود. در ویندوز NT و XP ، وظایف به اسامی مپ شده تا از این طریق امکان شناسائی گروه های کاربران ، فراهم گردد. ویندوز، چندین گروه را بصورت اتوماتیک از قبل ایجاد می نماید : Administrators ,Users و Guests . در این رابطه می توان از عنصر <roles> در لیست استفاده کنندگان مجاز برنامه وب در فایل Web.Config استفاده و امکان دستیابی به یک برنامه را با توجه به وظایف کاربر ، فراهم نمود. مثلا" لیست زیر، امکان دستیابی به برنامه وب را صرفا" برای کاربرانی که به عنوان Administrator به شبکه وارد می شوند ، فراهم می نماید.
پس از تائید کاربر و صدور مجوز لازم به منظور استفاده از برنامه وب ، می توان با استفاده از خصلت Identity مربوط به شی User ، هویت کاربر ( نام و نوع وظیفه ) را از طریق برنامه شناسائی نمود.خصلت فوق، یک شی را که شامل اطلاعات مربوط به نام و وظیفه کاربراست را برمی گرداند .
به منظور آگاهی و انجام عملیات لازم با توجه به نوع وظیفه کاربر که از برنامه وب استفاده می نماید ، می توان از متد IsInRole شی User ، استفاده نمود .
استفاده از تنظیمات IIS به همراه Windows Authentication
تنظیمات Authorization در فایل Web.Config با تنظیمات انجام شده در IIS با یکدیگر Overlap می شوند . در صورتیکه Authorization هم در فایل Web.Config و هم توسط IIS تنظیم شده باشد ، در ابتدا تنظیمات IIS بررسی و در ادامه تنظیمات موجود در فایل Web.Config ، مورد توجه قرار خواهند گرفت. به منظور مشاهده تنظیمات authorization در IIS مراحل زیر را دنبال می نمائیم :
در IIS بر روی فولدر برنامه وب کلیک سمت راست نموده و در ادامه گزینه Properties را انتخاب می نمائیم . برنامه IIS در ادامه جعبه محاوره ای Properties مربوط به فولدر را نمایش خواهد داد .
بر روی Directory Security Tab کلیک و در ادامه دکمه Edit را در گروه Anonymous Access And Authentication Control کلیک می نمائیم . IIS ، جعبه محاوره ای Authentication Methods را نمایش خواهد داد .
اولین گروه از تنظیمات در جعبه محاوره ای ، کنترل دستیابی Anonymous را انجام می دهد ( همه کاربران ). غیر فعال نمودن گزینه فوق ، معادل <"?" = deny User > در فایل Web.config است.
Check Box های موجود در قسمت دوم جعبه محاوره ای ، مجاز بودن برنامه به منظور استفاده از Basic و یا Digest Authentication را علاوه بر Windows Authentication ، مشخص می نماید. روش های فوق ، ایمنی بمراتب کمتری را نسبت به Windows Integrated ارائه می نمایند .می توان چندین روش authentication را در IIS فعال نمود . در صورتیکه چندین روش فعال شده باشد ، می توان با استفاده از متد AuthenticationType مربوط به شی Identity ، از روش استفاده شده به منظور تائید کاربر ، آگاهی یافت .
همانگونه که در بخش اول این مقاله اشاره گردید ، برنامه های وب ASP.NET از سه روش عمده به منظور تائید کاربران استفاده می نمایند :
Windows Authentication
Forms Authentication
Passport Authentication
در Windows Authentication ، برنامه های وب مسئولیتی را در ارتباط با تائید کاربران برعهده نگرفته و این وظیفه تماما" به سیستم عامل ویندوز ، واگذار می گردد. فرآیند تائید کاربران در روش فوق، بصورت زیر است :
کاربر درخواستی مبنی بر دریافت یک صفحه وب ایمن را از برنامه وب ، می نماید .
پس از دریافت درخواست توسط سرویس دهنده وب ، IIS عملیات بررسی صلاحیت کاربر را انجام خواهد داد . در این راستا ، اطلاعات ارائه شده توسط کاربر در زمان logon ( نام و رمز عبور) ، با اطلاعات موجود بر روی سرویس دهنده وب و یا Domain ، مقایسه می گردد .
در صورتیکه پس از بررسی مدارک ارائه شده توسط کاربر ( نام و رمز عبور ) ، وی به عنوان کاربر غیر مجاز تشخیص داده شود ، درخواست وی نادیده گرفته خواهد شد .
کامپیوتر سرویس گیرنده ، یک جعبه محاوره ای Logon را تولید و از کاربر درخواست درج اطلاعات مورد نیاز ( نام و رمز عبور ) ، می گردد . پس از درج اطلاعات درخواستی توسط کاربر و ارسال آنان برای سرویس دهنده ، مجددا" IIS بررسی لازم در خصوص صحت آنان را انجام خواهد داد . در صورتیکه صحت اطلاعات ارسالی کاربر ( نام و رمز عبور ) تائید گردد ، IIS درخواست اولیه کاربر را به سمت برنامه وب هدایت می نماید .
در آخرین مرحله و پس از بررسی و تائید صلاحیت کاربر ، صفحه وب درخواستی برای کاربر ارسال می گردد .
مهمترین مزیت روش Windows Authentication ، استفاده مشترک از یک مدل امنیتی به منظور دستیابی به منابع موجود در شبکه و برنامه های وب است . پس از تعریف و اعطای مجوزهای لازم به کاربر ، امکان دستیابی وی به منابع موجود در شبکه و برنامه های وب بر اساس یک سیستم امنیتی مشابه و یکسان ، فراهم می گردد .
در زمان ایجاد یک پروژه جدید برنامه وب توسط ویژوال استودیو دات نت ، از روش Windows Authentication بصورت پیش فرض به منظور تائید کاربران استفاده می گردد .پس از ایجاد یک پروژه جدید برنامه وب در ویژوال استودیو دات نت ، فایل Web.Config بصورت اتوماتیک ایجاد می گردد . ( یک فایل XML که اطلاعات متفاوتی را در ارتباط با پیکربندی رنامه وب در خود ذخیره می نماید ) . محتوی پیش فرض این فایل بصورت زیر است ( صرفا" بخشی که با موضوع این مقاله ارتباط دارد ، منعکس می گردد ) :
Web.Config default setting
<authentication mode="Windows" />
<authorization>
<allow users="*" /> <!-- تمامی کاربران -->
</authorization>
<authentication mode="Windows" />
<authorization>
<allow users="*" /> <!-- تمامی کاربران -->
</authorization>
در بخش مربوط به عنصر authentication ، سیاست تائید کاربران برنامه های وب مخشص می گردد . برای مشخص نمودن سیاست فوق از خصلت mode مربوط به عنصر authentication ، استفاده شده که می تواند یکی از مقادیر : Windows , Forms ,Passport و یا None را دارا باشد . در بخش authorization ، سیاست های مربوط به کاربران مجاز برنامه وب مشخص می گردد . در این رابطه می توان ، امکان دستیابی و یا عدم دستیابی به برنامه های وب را با مشخص نمودن کاربران و یا با توجه به وظایف آنان ، فراهم نمود. ( استفاده از کاراکتر " * " ، به معنی همه کاربران بوده و کاراکتر "؟" به منزله کاربران ناشناس و غیرمجاز است) . برای آشنائی با عملکرد روش Windows Authentication ، مراحل زیر را دنبال می نمائیم :
بخش authorization در فایل Web.Config را بصورت زیر تغییر می نمائیم :
Authorization element
<authorization>
<deny users="?" />
</authorization>
<authorization>
<deny users="?" />
</authorization>
تگ های زیر را که یک جدول HTML را تعریف می نمایند ، در فرم وب شروع برنامه وب ، قرار می دهیم :
HTML Table in Startup web form
<TABLE id="tblUser">
<tr>
<TD><STRONG>آیا کاربر تائید شده است ؟</STRONG></TD>
<TD><Span runat="server" id="spnAuthenticated"></Span></TD>
</tr>
<tr>
<TD><STRONG>نام کاربر </STRONG></TD>
<TD><Span runat="server" id="spnUserName"></Span></TD>
</tr>
<tr>
<TD><STRONG>نوع تائید کاربر</STRONG></TD>
<TD><Span runat="server" id="spnAuthenticationtype"></Span></TD>
</tr>
</TABLE>
<TABLE id="tblUser">
<tr>
<TD><STRONG>آیا کاربر تائید شده است ؟</STRONG></TD>
<TD><Span runat="server" id="spnAuthenticated"></Span></TD>
</tr>
<tr>
<TD><STRONG>نام کاربر </STRONG></TD>
<TD><Span runat="server" id="spnUserName"></Span></TD>
</tr>
<tr>
<TD><STRONG>نوع تائید کاربر</STRONG></TD>
<TD><Span runat="server" id="spnAuthenticationtype"></Span></TD>
</tr>
</TABLE>
به حالت Design view سوئیچ نموده و کد زیر را در فایل Code Behind فرم وب شروع برنامه ، قرار می دهیم :
Web form's code-behind file
Private Sub Page_Load( ByVal sender As System.Object,ByVal e As System.EventArgs ) Handles Mybase.Load
spnAuthenticated.InnerText = User.Identity.IsAuthenticated
spnUserName .InnerText = User.Identity.Name
spnAuthenticationType.InnerText = User.Identity.AuthenticationType
End Sub
Private Sub Page_Load( ByVal sender As System.Object,ByVal e As System.EventArgs ) Handles Mybase.Load
spnAuthenticated.InnerText = User.Identity.IsAuthenticated
spnUserName .InnerText = User.Identity.Name
spnAuthenticationType.InnerText = User.Identity.AuthenticationType
End Sub
پس از اجرای پروژه بصورت محلی ، ASP.NET تائید کاربر را بر اساس نام و رمز عبوری که برای ورود به ویندوز استفاده شده است ، انجام خواهد د اد .
پس از اجرای پروژه از راه دور ( مثلا" دستیابی از طریق اینترنت ) ، ASP.NET یک جعبه محاوره ای رادر مرورگر نمایش داده تا از طریق آن نام و رمز عبور کاربر دریافت گردد .
در صورتیکه نام و رمز عبور درج شده توسط کاربر با تعاریف انجام شده در Domain شبکه ، مطابقت نماید ، ASP.NET کاربر را تائید و مجوز لازم به منظور استفاده از برنامه وب صادر خواهد شد . در این رابطه ASP.NET ، یک authorization certificate را به شکل یک کوکی صادر که در حین Session کاربر ، نگهداری و از آن استفاده می گردد. Session کاربر، پس از اتمام زمان Time out و یا بستن مرورگر ، خاتمه می یابد . برنامه وب اجرای خود را متناسب با مجوزهای تعریف شده در ارتباط با Account آغاز می نماید .
روش Windows integrated authentication در یک شبکه مبتنی بر Domain بهتر کار خواهد کرد . شبکه هائی که از Workgroup استفاده می نمایند ( در مقابل استفاده از Domain ) دارای محدودیت های خاص خود به منظور استفاده از ویژگی های امنیتی ، می باشند. شبکه های مبتنی بر Domain ، از یک کنترل کننده Domain به منظور تائید و معتبرسازی کاربران شبکه ، استفاده می نماید .
با استفاده از امکانات ارائه شده در فایل Web.Config می توان یک لایه امنیتی مضاعف را ایجاد نمود . دراین راستا ، می توان تنظیمات لازم به منظور دستیابی و یا عدم دستیابی کاربران و یا گروه های خاصی از کاربران را نیز انجام داد .
اعمال محدودیت برای کاربران خاص ( دستیابی و یا عدم دستیابی )
در مواردیکه از روش Windows integrated authentication استفاده می گردد ، ASP.NET ، لیست تائید موجود در فایل Web.Config را به منظور آگاهی از صلاحیت کاربران شبکه برای استفاده ازبرنامه وب ، بررسی می نماید. کاراکترهای "*" و "؟" دارای معانی خاصی در لیست تائید می باشند : کاراکتر "* " ، نشاندهنده تمامی کاربران و کاراکتر "؟"، نشاندهنده کاربران غیر مجاز( ناشناس) می باشد . مثلا" لیست تائید زیر در Web.Config ، امکان دسـتیابی تمامی کاربران ناشناس به برنامه وب را حذف و می بایست تمامی کاربران به منظور استفاده از برنامه وب ،تائید گردند .
Authorization element
<authorization>
<deny users="?" />
</authorization>
<authorization>
<deny users="?" />
</authorization>
به منظور اعمال محدودیت در دستیابی کاربرانی خاص ،می توان از عنصر <allow> استفاده و اسامی تمامی کاربران مجاز را با صراحت مشخص نمود (اسامی توسط ویرگول از یکدیگر تفکیک می گردند) . پس از معرفی کاربران مجاز با استفاده از عنصر <allow> ، می بایست با بکارگیری عنصر <deny> ، امکان دستیابی به برنامه توسط کاربران غیر مجاز، سلب می گردد .
Authorization element
<authorization>
<allow users="Ali Reaz , Reza Ali " />
<deny users="*" />
</authorization>
<authorization>
<allow users="Ali Reaz , Reza Ali " />
<deny users="*" />
</authorization>
لیست مجاز فوق ، امکان دستیابی دو کاربر که اسامی آنان با صراحت مشخص شده است را به برنامه وب خواهد داد. سایر کاربران ، امکان دستیابی به برنامه وب را دارا نخواهند بود ( نقش عنصر deny در مثال فوق ) علاوه بر لیست مجاز فوق که اسامی دو کاربر را مشخص و آنان را برای استفاده از برنامه وب مجاز می نماید ، دو کاربر فوق ، می بایست دارای Account لازم در Domain شبکه نیز باشند .
تائید کاربران بر اساس نوع وظیفه
برای تائید کاربران به منظور استفاده از یک برنامه می توان ، مجوزهای لازم را بر اساس وظیفه آنان در سازمان ، صادر و امکان دستیابی و یا عدم دستیابی را برای آنان فراهم نمود. در ویندوز NT و XP ، وظایف به اسامی مپ شده تا از این طریق امکان شناسائی گروه های کاربران ، فراهم گردد. ویندوز، چندین گروه را بصورت اتوماتیک از قبل ایجاد می نماید : Administrators ,Users و Guests . در این رابطه می توان از عنصر <roles> در لیست استفاده کنندگان مجاز برنامه وب در فایل Web.Config استفاده و امکان دستیابی به یک برنامه را با توجه به وظایف کاربر ، فراهم نمود. مثلا" لیست زیر، امکان دستیابی به برنامه وب را صرفا" برای کاربرانی که به عنوان Administrator به شبکه وارد می شوند ، فراهم می نماید.
Authorization element
<authorization>
<allow roles ="Administrators" />
<deny users="*" />
</authorization>
<authorization>
<allow roles ="Administrators" />
<deny users="*" />
</authorization>
پس از تائید کاربر و صدور مجوز لازم به منظور استفاده از برنامه وب ، می توان با استفاده از خصلت Identity مربوط به شی User ، هویت کاربر ( نام و نوع وظیفه ) را از طریق برنامه شناسائی نمود.خصلت فوق، یک شی را که شامل اطلاعات مربوط به نام و وظیفه کاربراست را برمی گرداند .
Web form's code-behind file
Private Sub Page_Load( ByVal sender As System.Object,ByVal e As System.EventArgs ) Handles Mybase.Load
spnAuthenticated.InnerText = User.Identity.IsAuthenticated
spnUserName .InnerText = User.Identity.Name
spnAuthenticationType.InnerText = User.Identity.AuthenticationType
End Sub
Private Sub Page_Load( ByVal sender As System.Object,ByVal e As System.EventArgs ) Handles Mybase.Load
spnAuthenticated.InnerText = User.Identity.IsAuthenticated
spnUserName .InnerText = User.Identity.Name
spnAuthenticationType.InnerText = User.Identity.AuthenticationType
End Sub
به منظور آگاهی و انجام عملیات لازم با توجه به نوع وظیفه کاربر که از برنامه وب استفاده می نماید ، می توان از متد IsInRole شی User ، استفاده نمود .
IsInRole method
If User.IsInRole("Administrators") Then
'انجام عملیات دلخواه
End If
If User.IsInRole("Administrators") Then
'انجام عملیات دلخواه
End If
استفاده از تنظیمات IIS به همراه Windows Authentication
تنظیمات Authorization در فایل Web.Config با تنظیمات انجام شده در IIS با یکدیگر Overlap می شوند . در صورتیکه Authorization هم در فایل Web.Config و هم توسط IIS تنظیم شده باشد ، در ابتدا تنظیمات IIS بررسی و در ادامه تنظیمات موجود در فایل Web.Config ، مورد توجه قرار خواهند گرفت. به منظور مشاهده تنظیمات authorization در IIS مراحل زیر را دنبال می نمائیم :
در IIS بر روی فولدر برنامه وب کلیک سمت راست نموده و در ادامه گزینه Properties را انتخاب می نمائیم . برنامه IIS در ادامه جعبه محاوره ای Properties مربوط به فولدر را نمایش خواهد داد .
بر روی Directory Security Tab کلیک و در ادامه دکمه Edit را در گروه Anonymous Access And Authentication Control کلیک می نمائیم . IIS ، جعبه محاوره ای Authentication Methods را نمایش خواهد داد .
اولین گروه از تنظیمات در جعبه محاوره ای ، کنترل دستیابی Anonymous را انجام می دهد ( همه کاربران ). غیر فعال نمودن گزینه فوق ، معادل <"?" = deny User > در فایل Web.config است.
Check Box های موجود در قسمت دوم جعبه محاوره ای ، مجاز بودن برنامه به منظور استفاده از Basic و یا Digest Authentication را علاوه بر Windows Authentication ، مشخص می نماید. روش های فوق ، ایمنی بمراتب کمتری را نسبت به Windows Integrated ارائه می نمایند .می توان چندین روش authentication را در IIS فعال نمود . در صورتیکه چندین روش فعال شده باشد ، می توان با استفاده از متد AuthenticationType مربوط به شی Identity ، از روش استفاده شده به منظور تائید کاربر ، آگاهی یافت .
AuthenticationType method
Response.Write(User.Identity.AuthenticationType)
Response.Write(User.Identity.AuthenticationType)
******************************************
امنیت برنامه های وب بخش سوم
در این مقاله به بررسی Forms Authentication خواهیم پرداخت .
همانگونه که در بخش اول این مقاله اشاره گردید ، برنامه های وب ASP.NET از سه روش عمده به منظور تائید کاربران استفاده می نمایند :
Windows Authentication
Forms Authentication
Passport Authentication
در Forms Authentication ، برنامه IIS مسئولیتی را در ارتباط با تائید کاربران برعهده نگرفته و تنظیمات امنیتی IIS در رابطه با برنامه وب ، دستیابی Anonymous می باشد . فرآیند تائید کاربران در روش فوق، بصورت زیر است :
زمانیکه سرویس گیرنده درخواست یک صفحه ایمن را می نماید ، IIS کاربر را به عنوان Anonymous، تائید و در ادامه درخواست وی را برای ASP.NET ارسال می نماید .
ASP.NET ، بررسی لازم در خصوص وجود یک کوکی خاص بر روی کامپیوتر سرویس گیرنده را انجام خواهد داد .
در صورتیکه کوکی ، موجود نبوده و یا غیرمعتبر باشد ، ASP.NET درخواست کاربر را نادیده گرفته و برای وی یک صفحه Logon را ارسال می نماید ( مثلا" Login.aspx ).
کاربر اطلاعات لازم ( نام و رمز عبور ) را در صفحه Logon.aspx ( به عنوان نمونه ) درج و در ادامه دکمه Submit موجود بر روی فرم را به منظور ارسال اطلاعات برای سرویس دهنده ، فعال می نماید.
IIS ، مجددا" کاربر را به عنوان Anonymous، تائید و درخواست وی را برای ASP.NET ارسال می نماید .
ASP.NET ، تائید کاربر را بر اساس اطلاعات ارسالی ( نام و رمز عبور ) انجام و یک کوکی را ایجاد می نماید .
در نهایت ، صفحه وب ایمن درخواست شده به همراه کوکی جدید برای سرویس گیرنده ارسال می گردد. مادامیکه کوکی معتبر باشد ، کاربر قادر به درخواست و مشاهده سایر صفحات وب می باشد.
حالت اول : درخواست یک صفحه ایمن از سرویس دهنده ، توسط یک کاربر غیرمجاز و تائید نشده
مرحله اول : پس از درخواست یک سرویس گیرنده برای دستیابی به یک صفحه ایمن ، درخواست ارسالی وی در ابتدا توسط IIS بررسی و با توجه به اینکه تنظیمات IIS بصورت Anonymous پیکربندی شده تا امکان استفاده از Forms Authentication فراهم گردد ، درخواست کاربر ، مستقیما" برای ماژول ASP.NET Forms Authentication ارسال می گردد .
مرحله دوم : ASP.NET ، بررسی لازم در خصوص وجود ( داشتن ) یک کوکی Authentication را انجام خواهد داد . با توجه به اینکه کاربر اولین مرتبه است که درخواست اطلاعاتی را نموده و دارای یک کوکی نمی باشد ، سرویس گیرنده به صفحه Logon ، هدایت می گردد .
مرحله سوم : کاربراطلاعات ضروری ( نام و رمز عبور ) خود را در صفحه Logon درج و پس ازارسال آنان ،فرآیند بررسی اطلاعات ارسالی آغاز می گردد. در یک برنامه بزرگ ، بررسی اطلاعات کاربر از طریق یک بانک اطلاعاتی شامل مشخصات کاربران انجام می شود .
مرحله چهارم : در صورتیکه اطلاعات ارسالی کاربر ( نام و رمز عبور ) ، پس از بررسی توسط برنامه وب ، معتبر شناخته نگردند ، مجوز دستیابی برای کاربر صادر نشده و امکان دستیابی وی سلب می گردد .
مرحله پنجم : در صورتیکه پس از بررسی اطلاعات ارسالی، اعتبار وصحت آنان تائید گردد ، یک کوکی تائید ایجاد و در ادامه به کاربر مجوز لازم به منظور دستیابی به صفحه ، اعطاء می گردد .(هدایت کاربر به صفحه درخواست اولیه ) .
حالت دوم : درخواست یک صفحه ایمن از سرویس دهنده ، توسط یک کاربر مجاز و تائید شده
مرحله اول : پس از درخواست یک صفحه ایمن توسط سرویس گیرنده ، کوکی Authentication بهمراه درخواست وی برای سرویس دهنده ، ارسال می گردد.
مرحله دوم :درخواست ارسالی توسط سرویس گیرنده در ابتدا توسط IIS دریافت و با توجه به تنظیمات انجام شده ( دسیتابی Anonymous ) ، درخواست وی مستقیما" برای ASP.NET Forms Authentication ارسال می گردد .
مرحله سوم : ماژول ASP.NET Forms Authentication ، بررسی لازم در خصوص کوکی را انجام و در صورتیکه کوکی معتبر باشد ، سرویس گیرنده تائید و امکان دستیابی و مشاهده صفحه وب درخواستی برای وی ، فراهم می گردد .
در روش Forms Authentication ، بصورت اتوماتیک یک فرم وب طراحی شده به منظور اخذ اطلاعات مربوط به نام و رمز عبور کاربران ، نمایش داده می شود . کد مرتبط با فرم وب ، عملیات تائید و معتبرسازی کاربر را بر اساس لیست ذخیره شده در فایل Web.Config برنامه و یا از طریق یک بانک اطلاعاتی جداگانه ، انجام می دهد. مزیت مهم Forms Authentication ، عدم ضرورت عضویت کاربران در Domain شبکه به منظور دستیابی به برنامه وب ، می باشد .
فعال نمودن Forms Authentication
به منظور استفاده از روش فوق ، می بایست مراحل زیر را دنبال نمود :
مقداردهی Authentication mode در فایل Web.config به Forms
ایجاد یک فرم وب به منظور اخذ اطلاعات کاربران ( Logon Page )
ایجاد یک فایل و یا بانک اطلاعاتی به منظور ذخیره نام و رمز عبور کاربران
نوشتن کد لازم به منظور افزودن کاربر جدید به فایل و یا بانک اطلاعاتی کاربران
نوشتن کد لازم به منظور تائید کاربران با استناد به فایل و یا بانک اطلاعاتی کاربران
Forms Authentication ، از کلاس های موجود در namespace با نام System.Web.Security استفاده می نماید . به منظور استفاده از کلاس های فوق، می بایست در ویژوال بیسک دات نت از عبارت Imports و در ویژوال سی شارپ از Using استفاده گردد ( در ابتدای هر ماژول که عملیات تائید را انجام خواهد داد : Imports System.Web.Security ) .
مقداردهی Authentication mode
نوع تائید کاربران در یک برنامه وب ، می بایست با استفاده از عنصر <authentication> در فایل Web.config مشخص گردد. به منظور تنظیم برنامه مورد نظر خود برای استفاده از Forms Authentication ، تغییرات زیر را در فایل Web.Config ، اعمال می نمائیم :
کد فوق، یک نوع ساده از تائید کاربران به روش Forms را نشان می دهد . در این رابطه ، اغلب از تعاریف و تنظیمات پیش فرض و یک لیست کاربران مجاز، استفاده شده است. از عناصر متفاوتی در ارتباط با Forms Authentication در فایل Web.Config استفاده می گردد.هر یک از عناصر دارای خصلت های خاص خود می باشند :
عنصر <authentication>
خصلت Mode ، با استفاده از خصلت فوق ، روش تائید و شناسائی کاربران مشخص می گردد. با مقدار دهی خصلت فوق به Forms ، روش Forms Authentication انتخاب خواهد شد.
عنصر <forms>
خصلت name . از خصلت فوق به منظور مشخص نمودن نام کوکی که اطلاعات مربوط به نام و رمز عبور را ذخیره می نماید ، استفاده می شود . مقدار پیش فرض ، authaspx . می باشد . در صورتیکه بیش از یک برنامه بر روی سرویس دهنده از روش Forms Authentication استفاده می نمایند ، می بایست برای هر یک از آنان نام منحصربفردی در نظر گرفته شود .
خصلت loginUrl .از خصلت فوق به منظور مشخص نمودن نام فرم وب Login برای کاربران تائید نشده ، استفاده می گردد . مقدار پیش فرض خصلت فوق، Default.aspx است .
خصلت protection . با استفاده از خصلت فوق روش حفاظت کوکی Authentication که بر روی کامپیوتر سرویس گیرنده ذخیره می گردد ، مشخص خواهد شد. مقدار پیش فرض خصلت فوق ، All بوده که عملیات رمزنگاری و بررسی اعتبار و صحت داده در رابطه با آن اعمال می گردد. سایر گزینه های موجود در این راستا ، Encryption,Validation و None می باشد .
خصلت timeout . با استفاده از خصلت فوق ، مدت زمان نگهداری کوکی Authentication بر روی ماشین کاربر مشخص می گردد . مقدار پیش فرض 30 دقیقه است . ASP.NET ، پس از دریافت یک درخواست جدید توسط کاربر و مشروط به گذشت بیش از نصف زمان تعریف شده ، کوکی را تجدید ( Renew ) خواهد کرد .
خصلت path . با استفاده از خصلت فوق ، مسیر مورد نظر به منظور ذخیره سازی کوکی بر روی ماشین کاربر مشخص می گردد . مقدار پیش فرض ، "\" است .
عنصر <credentials>
خصلت passwordFormat ، با استفاده از خصلت فوق ، الگوریتم لازم به منظور رمزنگاری رمز عبور کاربر ، مشخص می گردد . مقدار پیش فرض ، SHA1 می باشد . سایر گزینه های موجود در این رابطه ، MD5 و Clear ( بدون رمزنگاری ) می باشد .
عنصر <users>
خصلت name ، با استفاده از خصلت فوق ، نام کاربر مشخص می گردد.
خصلت password ، با استفاده از خصلت فوق ، رمز عبور کاربر مشخص می گردد.
عنصر <credentilas> ، امکان ذخیره سازی لیست کاربران را در Web.Config فراهم می نماید . رویکرد فوق ، روشی ساده به منظور تعریف کاربران مجاز یک برنامه وب می باشد . در چنین مواردی ، مدیریت سیستم می تواند بسادگی و در صورت لزوم نام و رمز عبور کاربران دیگری را به لیست مجاز کاربران ، اضافه نماید . مکانیزم فوق ، در مواردی که قصد داشته باشیم ، امکان تعریف نام و رمز عبور را در اختیار کاربران قرار دهیم ، گزینه مناسبی نبوده و می بایست از یک فایل و یا بانک اطلاعاتی به منظور ذخیره سازی اطلاعات کاربران ، استفاده گردد.
همانگونه که در بخش اول این مقاله اشاره گردید ، برنامه های وب ASP.NET از سه روش عمده به منظور تائید کاربران استفاده می نمایند :
Windows Authentication
Forms Authentication
Passport Authentication
در Forms Authentication ، برنامه IIS مسئولیتی را در ارتباط با تائید کاربران برعهده نگرفته و تنظیمات امنیتی IIS در رابطه با برنامه وب ، دستیابی Anonymous می باشد . فرآیند تائید کاربران در روش فوق، بصورت زیر است :
زمانیکه سرویس گیرنده درخواست یک صفحه ایمن را می نماید ، IIS کاربر را به عنوان Anonymous، تائید و در ادامه درخواست وی را برای ASP.NET ارسال می نماید .
ASP.NET ، بررسی لازم در خصوص وجود یک کوکی خاص بر روی کامپیوتر سرویس گیرنده را انجام خواهد داد .
در صورتیکه کوکی ، موجود نبوده و یا غیرمعتبر باشد ، ASP.NET درخواست کاربر را نادیده گرفته و برای وی یک صفحه Logon را ارسال می نماید ( مثلا" Login.aspx ).
کاربر اطلاعات لازم ( نام و رمز عبور ) را در صفحه Logon.aspx ( به عنوان نمونه ) درج و در ادامه دکمه Submit موجود بر روی فرم را به منظور ارسال اطلاعات برای سرویس دهنده ، فعال می نماید.
IIS ، مجددا" کاربر را به عنوان Anonymous، تائید و درخواست وی را برای ASP.NET ارسال می نماید .
ASP.NET ، تائید کاربر را بر اساس اطلاعات ارسالی ( نام و رمز عبور ) انجام و یک کوکی را ایجاد می نماید .
در نهایت ، صفحه وب ایمن درخواست شده به همراه کوکی جدید برای سرویس گیرنده ارسال می گردد. مادامیکه کوکی معتبر باشد ، کاربر قادر به درخواست و مشاهده سایر صفحات وب می باشد.
حالت اول : درخواست یک صفحه ایمن از سرویس دهنده ، توسط یک کاربر غیرمجاز و تائید نشده
مرحله اول : پس از درخواست یک سرویس گیرنده برای دستیابی به یک صفحه ایمن ، درخواست ارسالی وی در ابتدا توسط IIS بررسی و با توجه به اینکه تنظیمات IIS بصورت Anonymous پیکربندی شده تا امکان استفاده از Forms Authentication فراهم گردد ، درخواست کاربر ، مستقیما" برای ماژول ASP.NET Forms Authentication ارسال می گردد .
مرحله دوم : ASP.NET ، بررسی لازم در خصوص وجود ( داشتن ) یک کوکی Authentication را انجام خواهد داد . با توجه به اینکه کاربر اولین مرتبه است که درخواست اطلاعاتی را نموده و دارای یک کوکی نمی باشد ، سرویس گیرنده به صفحه Logon ، هدایت می گردد .
مرحله سوم : کاربراطلاعات ضروری ( نام و رمز عبور ) خود را در صفحه Logon درج و پس ازارسال آنان ،فرآیند بررسی اطلاعات ارسالی آغاز می گردد. در یک برنامه بزرگ ، بررسی اطلاعات کاربر از طریق یک بانک اطلاعاتی شامل مشخصات کاربران انجام می شود .
مرحله چهارم : در صورتیکه اطلاعات ارسالی کاربر ( نام و رمز عبور ) ، پس از بررسی توسط برنامه وب ، معتبر شناخته نگردند ، مجوز دستیابی برای کاربر صادر نشده و امکان دستیابی وی سلب می گردد .
مرحله پنجم : در صورتیکه پس از بررسی اطلاعات ارسالی، اعتبار وصحت آنان تائید گردد ، یک کوکی تائید ایجاد و در ادامه به کاربر مجوز لازم به منظور دستیابی به صفحه ، اعطاء می گردد .(هدایت کاربر به صفحه درخواست اولیه ) .
حالت دوم : درخواست یک صفحه ایمن از سرویس دهنده ، توسط یک کاربر مجاز و تائید شده
مرحله اول : پس از درخواست یک صفحه ایمن توسط سرویس گیرنده ، کوکی Authentication بهمراه درخواست وی برای سرویس دهنده ، ارسال می گردد.
مرحله دوم :درخواست ارسالی توسط سرویس گیرنده در ابتدا توسط IIS دریافت و با توجه به تنظیمات انجام شده ( دسیتابی Anonymous ) ، درخواست وی مستقیما" برای ASP.NET Forms Authentication ارسال می گردد .
مرحله سوم : ماژول ASP.NET Forms Authentication ، بررسی لازم در خصوص کوکی را انجام و در صورتیکه کوکی معتبر باشد ، سرویس گیرنده تائید و امکان دستیابی و مشاهده صفحه وب درخواستی برای وی ، فراهم می گردد .
در روش Forms Authentication ، بصورت اتوماتیک یک فرم وب طراحی شده به منظور اخذ اطلاعات مربوط به نام و رمز عبور کاربران ، نمایش داده می شود . کد مرتبط با فرم وب ، عملیات تائید و معتبرسازی کاربر را بر اساس لیست ذخیره شده در فایل Web.Config برنامه و یا از طریق یک بانک اطلاعاتی جداگانه ، انجام می دهد. مزیت مهم Forms Authentication ، عدم ضرورت عضویت کاربران در Domain شبکه به منظور دستیابی به برنامه وب ، می باشد .
فعال نمودن Forms Authentication
به منظور استفاده از روش فوق ، می بایست مراحل زیر را دنبال نمود :
مقداردهی Authentication mode در فایل Web.config به Forms
ایجاد یک فرم وب به منظور اخذ اطلاعات کاربران ( Logon Page )
ایجاد یک فایل و یا بانک اطلاعاتی به منظور ذخیره نام و رمز عبور کاربران
نوشتن کد لازم به منظور افزودن کاربر جدید به فایل و یا بانک اطلاعاتی کاربران
نوشتن کد لازم به منظور تائید کاربران با استناد به فایل و یا بانک اطلاعاتی کاربران
Forms Authentication ، از کلاس های موجود در namespace با نام System.Web.Security استفاده می نماید . به منظور استفاده از کلاس های فوق، می بایست در ویژوال بیسک دات نت از عبارت Imports و در ویژوال سی شارپ از Using استفاده گردد ( در ابتدای هر ماژول که عملیات تائید را انجام خواهد داد : Imports System.Web.Security ) .
مقداردهی Authentication mode
نوع تائید کاربران در یک برنامه وب ، می بایست با استفاده از عنصر <authentication> در فایل Web.config مشخص گردد. به منظور تنظیم برنامه مورد نظر خود برای استفاده از Forms Authentication ، تغییرات زیر را در فایل Web.Config ، اعمال می نمائیم :
Web.Config setting for Forms Authentication
<authentication mode="Forms">
<forms loginUrl = Login.aspx" >
<credentials passwordFormat = "Clear" >
<user name = "Ali" Password ="110" />
<user name = "Kaveh" Password ="111" />
</credentials>
</forms>
</authentication>
<authentication mode="Forms">
<forms loginUrl = Login.aspx" >
<credentials passwordFormat = "Clear" >
<user name = "Ali" Password ="110" />
<user name = "Kaveh" Password ="111" />
</credentials>
</forms>
</authentication>
کد فوق، یک نوع ساده از تائید کاربران به روش Forms را نشان می دهد . در این رابطه ، اغلب از تعاریف و تنظیمات پیش فرض و یک لیست کاربران مجاز، استفاده شده است. از عناصر متفاوتی در ارتباط با Forms Authentication در فایل Web.Config استفاده می گردد.هر یک از عناصر دارای خصلت های خاص خود می باشند :
عنصر <authentication>
خصلت Mode ، با استفاده از خصلت فوق ، روش تائید و شناسائی کاربران مشخص می گردد. با مقدار دهی خصلت فوق به Forms ، روش Forms Authentication انتخاب خواهد شد.
عنصر <forms>
خصلت name . از خصلت فوق به منظور مشخص نمودن نام کوکی که اطلاعات مربوط به نام و رمز عبور را ذخیره می نماید ، استفاده می شود . مقدار پیش فرض ، authaspx . می باشد . در صورتیکه بیش از یک برنامه بر روی سرویس دهنده از روش Forms Authentication استفاده می نمایند ، می بایست برای هر یک از آنان نام منحصربفردی در نظر گرفته شود .
خصلت loginUrl .از خصلت فوق به منظور مشخص نمودن نام فرم وب Login برای کاربران تائید نشده ، استفاده می گردد . مقدار پیش فرض خصلت فوق، Default.aspx است .
خصلت protection . با استفاده از خصلت فوق روش حفاظت کوکی Authentication که بر روی کامپیوتر سرویس گیرنده ذخیره می گردد ، مشخص خواهد شد. مقدار پیش فرض خصلت فوق ، All بوده که عملیات رمزنگاری و بررسی اعتبار و صحت داده در رابطه با آن اعمال می گردد. سایر گزینه های موجود در این راستا ، Encryption,Validation و None می باشد .
خصلت timeout . با استفاده از خصلت فوق ، مدت زمان نگهداری کوکی Authentication بر روی ماشین کاربر مشخص می گردد . مقدار پیش فرض 30 دقیقه است . ASP.NET ، پس از دریافت یک درخواست جدید توسط کاربر و مشروط به گذشت بیش از نصف زمان تعریف شده ، کوکی را تجدید ( Renew ) خواهد کرد .
خصلت path . با استفاده از خصلت فوق ، مسیر مورد نظر به منظور ذخیره سازی کوکی بر روی ماشین کاربر مشخص می گردد . مقدار پیش فرض ، "\" است .
عنصر <credentials>
خصلت passwordFormat ، با استفاده از خصلت فوق ، الگوریتم لازم به منظور رمزنگاری رمز عبور کاربر ، مشخص می گردد . مقدار پیش فرض ، SHA1 می باشد . سایر گزینه های موجود در این رابطه ، MD5 و Clear ( بدون رمزنگاری ) می باشد .
عنصر <users>
خصلت name ، با استفاده از خصلت فوق ، نام کاربر مشخص می گردد.
خصلت password ، با استفاده از خصلت فوق ، رمز عبور کاربر مشخص می گردد.
عنصر <credentilas> ، امکان ذخیره سازی لیست کاربران را در Web.Config فراهم می نماید . رویکرد فوق ، روشی ساده به منظور تعریف کاربران مجاز یک برنامه وب می باشد . در چنین مواردی ، مدیریت سیستم می تواند بسادگی و در صورت لزوم نام و رمز عبور کاربران دیگری را به لیست مجاز کاربران ، اضافه نماید . مکانیزم فوق ، در مواردی که قصد داشته باشیم ، امکان تعریف نام و رمز عبور را در اختیار کاربران قرار دهیم ، گزینه مناسبی نبوده و می بایست از یک فایل و یا بانک اطلاعاتی به منظور ذخیره سازی اطلاعات کاربران ، استفاده گردد.
****************************************************
ایمن سازی سرویس دهنده FTP
سرویس FTP)File Transfer Protocol) یکی از قدیمی ترین و متداولترین سرویس های موجود بر روی اینترنت است . از سرویس فوق ، بمنظور ارسال و دریافت فایل در یک شبکه استفاده می گردد. سرویس FTP ، توسط عموم کاربران اینترنت استفاده و بعنوان استانداردی برای ارسال و دریافت فایل در شبکه ( اینترانت ، اینترنت ) توسط اکثر سیستم های عامل پذیرفته شده است
ویندوز 2000 بهمراه خود از یک سرویس دهنده FTP استفاده می نماید که بعنوان بخشی از IIS در نظر گرفته می شود. مدیران سیستم با استفاده از سرویس فوق و ترکیب آن با سایر امکانات ارائه شده توسط ویندوز ، قادر به ایجاد و پیکربندی یک سایت FTP با ضریب امنیتی مناسبی خواهند بود.در ادامه و بمنظور ایمن سازی یک سایت FTP ، پیشنهادات متعددی ارائه می گردد.
نکته اول : دستیابی از طریق Anonymous account را غیر فعال نمائید . دستیابی از نوع Anonymouse، بصورت پیش فرض و پس از نصب اولین سرویس دهنده FTP فعال می گردد. روش فوق ، امکان دستیابی به سایت FTP را بدون نیاز به یک account خاص فراهم می نماید. بدین ترتیب استفاده کنندگان بصورت کاملا" ناشناس قادر به استفاده از منابع موجود بر روی سرویس دهنده FTP بوده و امکان مشاهده سودمند ترافیک سایت و در صورت ضرورت، ردیابی آنان وجود نخواهد داشت . با حذف قابلیت دستیابی Anonymous ، امکان دستیابی به سایت FTP صرفا" در اختیار کاربرانی قرار خواهد گرفت که دارای یک account معتبر باشند.
پس از تعریف هر یک از account های مورد نظر، می توان در ادامه با استفاده از ACL)Access Control List) کنترل ها و مجوزهای مربوط به دستیابی به دایرکتوری FTP ( محل فیزیکی استقرار سایت FTP بر روی دیسک ) را تعریف و مشخص نمود . در این رابطه می توان از مجوزهای NTFS استفاده کرد. به منظور غیر فعال نمودن Anonymous account ، می توان از طریق صفحه Property مربوط به سایت FTP ( برنامه Internet Information Service ) عملیات مورد نظر را انجام داد .
رمز عبور تعریف شده نمی تواند شامل تمام و یا بخشی از نام Account کاربر باشد .
رمز عبور تعریف شده می بایست دارای طولی به اندازه حداقل شش باشد .
رمز عبور تعریف شده می تواند شامل کاراکترها ئی از سه گروه از چهار گروه زیر باشد :
- حروف الفبائی A-Z
- حروف الفبائی a-z
- ارقام صفر تا نه
- کاراکترهای خاص ( %,#,$,!)*****************************************************
ویندوز 2000 بهمراه خود از یک سرویس دهنده FTP استفاده می نماید که بعنوان بخشی از IIS در نظر گرفته می شود. مدیران سیستم با استفاده از سرویس فوق و ترکیب آن با سایر امکانات ارائه شده توسط ویندوز ، قادر به ایجاد و پیکربندی یک سایت FTP با ضریب امنیتی مناسبی خواهند بود.در ادامه و بمنظور ایمن سازی یک سایت FTP ، پیشنهادات متعددی ارائه می گردد.
نکته اول : دستیابی از طریق Anonymous account را غیر فعال نمائید . دستیابی از نوع Anonymouse، بصورت پیش فرض و پس از نصب اولین سرویس دهنده FTP فعال می گردد. روش فوق ، امکان دستیابی به سایت FTP را بدون نیاز به یک account خاص فراهم می نماید. بدین ترتیب استفاده کنندگان بصورت کاملا" ناشناس قادر به استفاده از منابع موجود بر روی سرویس دهنده FTP بوده و امکان مشاهده سودمند ترافیک سایت و در صورت ضرورت، ردیابی آنان وجود نخواهد داشت . با حذف قابلیت دستیابی Anonymous ، امکان دستیابی به سایت FTP صرفا" در اختیار کاربرانی قرار خواهد گرفت که دارای یک account معتبر باشند.
پس از تعریف هر یک از account های مورد نظر، می توان در ادامه با استفاده از ACL)Access Control List) کنترل ها و مجوزهای مربوط به دستیابی به دایرکتوری FTP ( محل فیزیکی استقرار سایت FTP بر روی دیسک ) را تعریف و مشخص نمود . در این رابطه می توان از مجوزهای NTFS استفاده کرد. به منظور غیر فعال نمودن Anonymous account ، می توان از طریق صفحه Property مربوط به سایت FTP ( برنامه Internet Information Service ) عملیات مورد نظر را انجام داد .
رمز عبور تعریف شده نمی تواند شامل تمام و یا بخشی از نام Account کاربر باشد .
رمز عبور تعریف شده می بایست دارای طولی به اندازه حداقل شش باشد .
رمز عبور تعریف شده می تواند شامل کاراکترها ئی از سه گروه از چهار گروه زیر باشد :
- حروف الفبائی A-Z
- حروف الفبائی a-z
- ارقام صفر تا نه
- کاراکترهای خاص ( %,#,$,!)
نقش عوامل انسانی در امنیت شبکه های کامپیوتری
یک سیستم کامپیوتری از چهار عنصر : سخت افزار ، سیستم عامل ، برنامه های کاربردی و کاربران ، تشکیل می گردد. سخت افزار شامل حافظه ، دستگاههای ورودی ، خروجی و پردازشگر بوده که بعنوان منابع اصلی پردازش اطلاعات ، استفاده می گردند. برنامه های کاربردی شامل کمپایلرها ، سیستم های بانک اطلاعاتی ، برنامه های تجاری و بازرگانی ، بازی های کامپیوتری و موارد متنوع دیگری بوده که روش بخدمت گرفتن سخت افزار جهت نیل به اهداف از قبل تعریف شده را مشخص می نمایند. کاربران ، شا مل انسان ، ماشین و دیگر کامپیوترها می باشد . هر یک از کاربران سعی در حل مشکلات تعریف شده خود از طریق بکارگیری نرم افزارهای کاربردی در محیط سخت افزار می نمایند. سیستم عامل ، نحوه استفاده از سخت افزار را در ارتباط با برنامه های کاربردی متفاوتی که توسط کاربران گوناگون نوشته و اجراء می گردند ، کنترل و هدایت می نماید. بمنظور بررسی امنیت در یک سیستم کامپیوتری ، می بایست به تشریح و تبین جایگاه هر یک از عناصر موجود در یک سیستم کامپیوتری پرداخته گردد.
در این راستا ، قصد داریم به بررسی نقش عوامل انسانی دررابطه با امنیت اطلاعات پرداخته و جایگاه هر یک از مولفه های موجود را تبین و تشریح نما ئیم . اگر ما بهترین سیستم سخت افزاری و یا سیستم عامل را بخدمت بگیریم ولی کاربران و یا عوامل انسانی درگیر در یک سیستم کامپوتری، پارامترهای امنیتی را رعایت ننمایند ، کاری را از پیش نخواهیم برد. وضعیت فوق مشابه این است که شما بهترین اتومبیل با درجه بالای امنیت را طراحی و یا تهیه نمائید ولی آن را در اختیار افرادی قرار دهید که نسبت به اصول اولیه رانندگی توجیه نباشند ( عدم رعایت اصول ایمنی ) .
ما می بایست به مقوله امنیت اطلاعات در عصر اطلاعات نه بصورت یک کالا و یا محصول بلکه بصورت یک فرآیند نگاه کرده و امنیت را در حد یک محصول خواه نرم افزاری و یا سخت افزاری تنزل ندهیم .هر یک از موارد فوق ، جایگاه خاص خود را با وزن مشخص شده ای دارند و نباید به بهانه پرداختن به امنیت اطلاعات وزن یک پارامتر را بیش از آنچیزی که هست در نظر گرفت و پارامتر دیگری را نادیده گرفته و یا وزن غیر قابل قبولی برای آن مشخص نمائیم . بهرحال ظهور و عرضه شگفت انگیز تکنولوژی های نو در عصر حاضر ، تهدیدات خاص خود را نیز بدنبال خواهد داشت . ما چه کار می بایست بکنیم که از تکنولوژی ها استفاده مفیدی را داشته و در عین حال از تهدیدات مستقیم و یا غیر مستقیم آنان نیز مصون بمانیم ؟ قطعا" نقش عوامل انسانی که استقاده کنندگان مستقیم این نوع تکنولوژی ها می باشند ، بسیار محسوس و مهم است .
با گسترش اینترنت و استفاده از آن در ابعاد متفاوت ، سازمانها و موسسات با مسائل جدیدی در رابطه با امنیت اطلاعات و تهاجم به شبکه های کامپیوتری مواجه می باشند. صرفنظر از موفقیت و یا عدم موفقیت مهاجمان و علیرغم آخرین اصلاحات انجام شده در رابطه با تکنولوژی های امنیتی ، عدم وجود دانش و اطلاعات لازم ( سواد عمومی ایمنی ) کاربران شبکه های کامپیوتری و استفاده کنندگان اطلاعات حساس در یک سازمان ، همواره بعنوان مهمترین تهدید امنیتی مطرح و عدم پایبندی و رعایت اصول امنیتی تدوین شده ، می تواند زمینه ایجاد پتانسیل هائی شود که توسط مهاجمین استفاده و باعث بروز مشکل در سازمان گردد. مهاجمان همواره بدنبال چنین فرصت هائی بوده تا با اتکاء به آنان به اهداف خود نائل گردند. در برخی حالات اشتباه ما زمینه موفقیت دیگران! را فراهم می نماید . اگر سعی نمائیم بر اساس یک روش مناسب درصد بروز اشتباهات خود را کاهش دهیم به همان نسبت نیز شانس موفقیت مهاجمان کاهش پیدا خواهد کرد.
مدیران شبکه ( سیستم ) ، مدیران سازمان و کاربران معمولی جملگی عوامل انسانی در یک سازمان می باشند که حرکت و یا حرکات اشتباه هر یک می تواند پیامدهای منفی در ارتباط با امنیت اطلاعات را بدنبال داشته باشد . در ادامه به بررسی اشتباهات متداولی خواهیم پرداخت که می تواند توسط سه گروه یاد شده انجام و زمینه بروز یک مشکل امنیتی در رابطه با اطلاعات حساس در یک سازمان را باعث گردد.
اشتباهات متداول مدیران سیستم
مدیران سیستم ، به افرادی اطلاق می گردد که مسئولیت نگهداری و نظارت بر عملکرد صحیح و عملیاتی سیستم ها و شبکه موجود در یک سازمان را برعهده دارند.در اغلب سازمانها افراد فوق ، مسئولیت امنیت دستگاهها ، ایمن سازی شبکه و تشخیص ضعف های امنیـتی موجود در رابطه با اطلاعات حساس را نیز برعهده دارند. بدیهی است واگذاری مسئولیت های متعدد به یک فرد، افزایش تعداد خطاء و اشتباه را بدنبال خواهد داشت . فشار عصبی در زمان انجام کار مستمر بر روی چندین موضوع متفاوت و بصورت همزمان ، قطعا" احتمال بروز اشتباهات فردی را افزایش خواهد داد. در ادامه با برخی از خطاهای متداولی که ممکن است توسط مدیران سیستم انجام و سازمان مربوطه را با تهدید امنیتی مواجه سازد ، آشنا خواهیم شد.
موردیک : عدم وجود یک سیاست امنیتی شخصی
اکثر قریب به اتفاق مدیران سیستم دارای یک سیاست امنیتی شخصی بمنظور انجام فعالیت های مهمی نظیر امنیت فیزیکی سیستم ها ، روش های بهنگام سازی یک نرم افزار و روشی بمنظور بکارگیری patch های جدید در زمان مربوطه نمی باشند .حتی شرکت های بزرگ و شناخته شده به این موضوع اذعان دارند که برخی از سیستم های آنان با همان سرعت که یک باگ و یا اشکال تشخیص و شناسائی می گردد ، توسط patch مربوطه اصلاح نشده است .در برخی حالات ، مدیران سیستم حتی نسبت به آخرین نقاط آسیب پذیرتشخییص داده شده نیز آگاهی بهنگام شده ای را نداشته و قطعا" در چنین مواردی انتظار نصب patch مربوطه نیز توقعی بی مورد است . وجود نقاط آسیب پذیر در شبکه می تواند یک سازمان را در معرض تهدیدات جدی قرار دهد . امنیت فرآیندی است که می بایست بصورت مستمر به آن پرداخته شود و هرگز به اتمام نمی رسد.در این راستا لازم است، بصورت مستمرنسبت به آخرین حملات بهمراه تکنولوژی ها ی مربوطه ، آگاهی لازم کسب و دانش خود را بهنگام نمائیم .اکثر مدیران سیستم ، کارشناسان حرفه ای و خبره امنیتی نمی باشند ، در این رابطه لازم است ، بمنظور افزایش حفاظت و ایمن سازی شبکه ، اطلاعات و دانش مربوطه بصورت مستمر ارتقاء یاید .افرادیکه دارای گواهینامه های خاصی امنیتی و یا دانش و اطلاعات اضافه در رابطه با امنیت اطلاعات می باشند ، همواره یک قدم از کسانی مهارت آنان صرفا" محدود به شبکه است ، جلوتر می باشند . در ادامه ، پیشنهاداتی بمنظور بهبود وضعیت امنیتی سازمان و افزایش و ارتقاء سطح معلومات مدیران سیستم ، ارائه می گردد :
بصورت فیزیکی محل کار و سیستم خود را ایمن سازید .زمینه استفاده از سیستم توسط افرادیکه در محدوده کاری شما فعالیت دارند ، می بایست کاملا" کنترل شده و تحت نظارت باشد .
هر مرتبه که سیستم خود را ترک می کنید ، عملیات logout را فراموش نکنید .در این رابطه می توان یک زمان time out را تنظیم تا در صورت فراموش نمودن عملیات logout ، سیستم قادر به حفاظت خود گردد.
خود را عضو خبرنامه ها ی متفاوت امنیتی کرده تا شما را با آخرین نقاط آسیب پذیر آشنا نمایند. درحقیقت آنان چشم شما در این معرکه خواهند بود( استفاده مفید از تجارب دیگران ) .
سعی گردد بصورت مستمر از سایت های مرتبط با مسائل امنیتی دیدن تا درزمان مناسب با پیام های هشداردهنده امنیتی در رابطه با نرم افزارهای خارج از رده و یا نرم افزارهای غیر اصلاح شده ( unpatched ) آشنا گردید.
مطالعه آخرین مقالات مرتبط با مسائل امنیتی یکی از مراحل ضروری و مهم در فرآیند خود آموزشی ( فراگیری ) مدیران شبکه است . بدین ترتیب این اطمینان بوجود خواهد آمد که مدیر مربوطه نسبت به آخرین اطلاعات و مسائل مربوطه امنیتی در کمیته های موجود ، توجیه است .
استفاده از یاداشت ها و مقالات در ارتباط با هر نوع اطلاعات حساس نظیر رمزهای عبور وI هر چیزی که ممکن است زمینه ساز ایجاد یک پتانسیل آسیب پذیر و دستیابی به سیستم مطرح گردد را محدود نمائید. در صورتیکه از این نوع اطلاعات استفاده می شود، قبل ازترک محل کار ، آنها را از بین ببرید. افرادیکه دارای سوء نیت بوده در محدوده کاری شما می باشند ، می توانند ازمزایای ضعف های شناخته شده استفاده نمایند، بنابراین ضروری است استفاده از چنین یاداشت هائی محدود و یا بصورت کامل حذف گردد .
مورد دو : اتصال سیستم های فاقد پیکربندی مناسب به اینترنت
همزمان با گسترش نیازهای سازمان، سیستم ها و سرویس دهندگان جدیدی بر اساس یک روال معمول به اینترنت متصل می گردند. قطعا" توسعه سیستم با هدف افزایش بهره وری در یک سازمان دنبال خواهد شد.اکثر اینچنین سیستمهائی بدون تنظیمات امنیتی خاص به اینترنت متصل شده و می تواند زمینه بروز آسیب و حملات اطلاعاتی توسط مهاجمان را باعث گردد ( در بازه زمانی که سیستم از لحاظ امنیتی بدرستی ممیزی نشده باشد ، این امر امکان پذیر خواهد بود).
مدیران سیستم ممکن است به این موضوع استناد نمایند که سیستم جدید بوده و هنوز کسی آن را نمی شناسد و آدرس IP آن شناخته شده نیست ، بنابراین امکان شناسائی و حمله به آن وجود نخواهد داشت .طرز فکر فوق ، یک تهدید برای هر سازمان بشمار می رود . افراد و یا اسکریپت های پویش اتوماتیک در اینترنت ، بسرعت عملیات یافتن و تخریب این نوع سیستم های آسیب پذیر را دنبال می نمایند. در این راستا ، شرکت هائی خاصی وجود دارد که موضوع فعالیت آنان شبکه بوده و برای تست سیستم های تولیدی خود بدنبال سیستم های ضعیف و آسیب پذیر می گردند.( سیستم آسیب پذیر ما ابزار تست دیگران خواهد شد). بهرحال همواره ممکن است افرادی بصورت مخفیانه شبکه سازمان شما را پویش تا در صورت وجود یک نقطه آسیب پذیر، از آن برای اهداف خود استفاده نمایند. لازم است در این راستا تهدیدات و خطرات را جدی گرفته و پیگری لازم در این خصوص انجام شود. در این رابطه موارد زیر پیشنهاد می گردد :
قبل از اتصال فیزیکی یک کامپیوتر به شبکه ، مجوز امنیتی لازم با توجه به سیاست های تدوین شده امنیتی برای آن صادر گردد ( بررسی سیستم و صدور مجوز اتصال )
کامپیوتر مورد نظر می بایست شامل آخرین نرم افزارهای امنیتی لازم بوده و از پیکربندی صحیح آنان می بایست مطمئن گردید.
در صورتیکه لازم است بر روی سیستم مورد نظر تست های شبکه ای خاصی صورت پذیرد ، سعی گردد امکان دستیابی به سیستم فوق از طریق اینترنت در زمان تست ، بلاک گردد.
سیستمی را که قصد اتصال آن به اینترنت وجود دارد ، نمی بایست شامل اطلاعات حساس سازمان باشد.
سیستم مورد نظر را تحت برنامه های موسوم به Intrusion Detection System قرار داده تا نرم افزارهای فوق بسرعت نقاط آسیب پذیر و ضعف های امنیتی را شناسائی نمایند.
مورد سه : اعتماد بیش از اندازه به ابزارها
برنامه های پویش و بررسی نقاط آسیب پذیر،اغلب بمنظور اخذ اطلاعات در رابطه وضعیت جاری امنیتی شبکه استفاده می گردد . پویشگرهای تشخیص نقاط آسیب پذیر ، اطلاعات مفیدی را در ارتباط با امنیت سیستم نظیر : مجوزهای فایل ، سیاستهای رمز عبور و سایر مسائل موجود، ارائه می نمایند . بعبارت دیگر پویشگران نقاط آسیب پذیر شبکه ، امکان نگرش از دید یک مهاجم را به مدیریت شبکه خواهند داد. پویشگرها ی فوق ، عموما" نیمی از مسائل امنیتی مرتبط را به سیستم واگذار نموده و نمی توان به تمامی نتایج بدست آمده توسط آنان بسنده و محور عملیات خود را بر اساس یافته های آنان قرار دهیم . در این رابطه لازم است متناسب با نوع سیستم عامل نصب شده بر روی سیستم ها از پویشگران متعدد و مختص سیستم عامل مربوطه استفاده گردد( اخذ نتایج مطلوبتر) . بهرحال استفاده از این نوع نرم افزارها قطعا" باعث شناسائی سریع نقاط آسیب پذیر و صرفه جوئی زمان می گردد ولی نمی بایست این تصور وجود داشته باشد که استفاده از آنان بمنزله یک راه حل جامع امنیتی است . تاکید صرف بر نتایج بدست آمده توسط آنان ، می تواند نتایج نامطلوب امنیتی را بدنبال داشته باشد . در برخی موارد ممکن است لازم باشد ، بمنظور تشخیص نقاط آسیب پذیر یک سیستم ،عملیات دستی انجام و یا حتی تاسکریپت های خاصی در این رابطه نوشته گردد .
مورد چهار : عدم مشاهده لاگ ها ( Logs )
مشاهده لاگ های سیستم، یکی از مراحل ضروری در تشخیص مستمر و یا قریب الوقوع تهدیدات است . لاگ ها، امکان شناسائی نقاط آسیب پذیر متداول و حملات مربوطه را فراهم می نمایند. بنابراین می توان تمامی سیستم را بررسی و آن را در مقابل حملات مشخص شده ، مجهز و ایمن نمود. در صورت بروز یک تهاجم ، با استفاده از لاگ های سیستم ، تسهیلات لازم بمنظور ردیابی مهاجمان فراهم می گردد.( البته بشرطی که آنان اصلاح نشده باشند ) . لاگ ها را بصورت ادواری بررسی و آنها را در یک مکان ایمن ذخیره نمائید.
مورد پنج : اجرای سرویس ها و یا اسکریپت های اضافه و غیر ضروری
استفاده از منابع و شبکه سازمان ، بعنوان یک زمین بازی شخصی برای تست اسکریپت ها و سرویس های متفاوت ، یکی دیگر از اشتباهات متداولی است که توسط اکثریت قریب به اتفاق مدیران سیستم انجام می شود . داشتن اینچنین اسکریپت ها و سرویس های اضافه ای که بر روی سیستم اجراء می گردند ، باعث ایجاد مجموعه ای از پتانسیل ها و نفاط ورود جدید برای یک مهاجم می گردد ( در صورتیکه سرویس های اضافه و یا اسکریپت ها بر روی سرویس دهنده اصلی نصب و تست گردند ، مشکلات می تواند مضاعف گردد ). در صورت نیاز به تست اسکریپت ها و یا اجرای سرویس های اضافه ، می بایست عملیات مورد نظر خود را از طریق یک کامپیوتر ایزوله شده انجام داد (هرگز از کامپیوتری که به شبکه متصل است در این راستا استفاده نگردد ) .
اشتباهات متداول مدیران سازمان ها
مدیران سازمان، به افرادی اطلاق می گردد که مسئولیت مدیریت ، هدایت و توسعه سازمان را بر عهده داشته و با منابع متفاوت موجود در سازمان نظیر بودجه ، سروکار دارند. امروزه استفاده از اینترنت توسط سازمان ها و موسسات ، مزایای متعددی را بدنبال دارد. واژه " تجارت الکترونیکی" بسیار متداول و استراتژی تجارت الکترونیکی ، از جمله مواردی است که در هر برنامه ریزی تجاری به آن توجه خاص می گردد. در صورتیکه سازمان ها و موسسات دارای یک استراتژی امنیتی مشخص شده ای نباشند ، اتصال به شبکه جهانی تهدیدی در ارتباط با اطلاعات حساس خواهد بود. در ادامه به برخی از اشتباهات متداول که از ناحیه مدیران سازمان بروز و تاثیر منفی در ارتباط با امنیت اطلاعات در سازمان را بدنبال خواهد داشت ، اشاره می گردد :
مورد یک : استخدام کارشناسان آموزش ندیده و غیرخبره
بدون تردید ، کارشناسان آموزش دیده و خبره ، یکی از منابع ارزشمند درهر سازمان محسوب می گردند. همواره می بایست از کارشناسان ورزیده در ارتباط با امنیت در یک سازمان استفاده گردد. فرصت سعی و خطاء نیست و ممکن است در این محدوده زمانی چیزی را که یک سازمان از دست می دهد بمراتب بیشتر از چیزی است که می خواهد بدست آورد. امنیت اطلاعات از جمله مقولاتی است که برای یک سازمان دارای جایگاهی است و همواره می بایست بهترین تصمیم دررابطه با استفاده از منابع انسانی ماهر ، اتخاذ گردد. استفاده از یک کارشناس غیر ماهر در امور امنیت اطلاعات و شبکه در یک سازمان ، خود تهدیدی امنیتی است که بر سایر تهدیدات موجود اضافه خواهد شد . ( ما نمی توانیم مسئولیت پیاده سازی استراتژی امنیتی در سازمان را به افرادی واگذار نمائیم که در این رابطه اطلاعات و دانش لازم را ندارند ) .
مورد دوم : فقدان آگاهی لازم در رابطه با تاثیر یک ضعف امنیتی بر عملکرد سازمان
بسیاری از مدیران سازمان بر این باور می باشند که " این مسئله برای ما اتفاق نخواهد افتاد " و بر همین اساس و طرز فکر به مقوله امنیت نگاه می نمایند . بدیهی است در صورت بروز مشکل در سازمان ، امکان عکس العمل مناسب در مقابل خطرات و تهدیدات احتمالی وجود نخواهد داشت . این مسئله می تواند بدلیل عدم آشنائی با ابعاد و اثرات یک ضعف امنیتی در سازمان باشد . در این رابطه لازم است به این نکته اشاره گردد که همواره مشکل برای دیگران بوجود نمی آید و ما نیز در معرض مشکلات فراوانی قرار خواهیم داشت .بنابراین لازم است همواره و بصورت مستمر مدیران سازمان نسبت به اثرات احتمالی یک ضعف امنیتی توجیه و دانش لازم در اختیار آنان قرار گیرد . در صورت بروز یک مشکل امنیتی در سازمان ، مسئله بوجود آمده محدود به خود سازمان نشده و می تواند اثرات منفی متعددی در ارتباط با ادامه فعالیت سازمان را بدنبال داشته باشد. در عصر اطلاعات و دنیای شدید رقابت ، کافی است سازمانی لحظاتی آنچیزی باشد که نمی بایست باشد ، همین امر کافی است که تلاش چندین ساله یک سازمان هرز و در برخی حالات فرصت جبران آن نیز وجود نخواهد داشت .
تاثیر منفی بر سایر فعالیت های تجاری online سازمان
عاملی برای توزیع اطلاعات غیر مفید و غیر قابل استفاده در یک چرخه تجاری
عرضه اطلاعات حساس مشتریان به یک مهاجم و بمخاطره افتادن اطلاعات خصوصی مشتریان
آسیب جدی وجهه سازمان و بدنبال آن از دست دادن مشتریان و همکاران تجاری
مورد سوم : عدم تخصیص بودجه مناسب برای پرداختن به امنیت اطلاعات
مجاب نمودن یک مدیر سازمان مبنی بر اختصاص بودجه مناسب برای پرداختن به مقوله امنیت اطلاعات در سازمان از حمله مواردی است که چالش های خاص خود را خواهد داشت .مدیران، تمایل دارند بودجه را به حداقل مقدار خود برسانند، چراکه آنان یا اطلاعات محدودی در رابطه با تاثیر وجود ضعف های امنیتی در عملکرد سازمان را دارند و یا در برخی حالات بودجه ، آنان را برای اتخاذ تصمیم مناسب محدود می نماید.اینترنت یک شبکه جهانی است که فرصت های جذاب و نامحدود تجاری را برای هر بنگاه تجاری فراهم می نماید، با رعایت امنیت اطلاعات و حفا ظت مناسب از داده های حساس ،امکان استفاده از فرصت های تجاری بیشتری برای یک سازمان فراهم خواهد شد. با اختصاص یک بودجه مناسب برای پرداختن و بهاء دادن به مقوله امنیت اطلاعات در یک سازمان ، پیشگیری های لازم انجام ودر صورت بروز مسائل بحرانی ، امکان تشخیص سریع آنان و انجام واکنش های مناسب فراهم می گردد . بعبارت دیگر با در نظر گرفتن بودجه مناسب برای ایمن سازی سازمان ، بستر مناسب برای حفاظت سیستم ها و داده های حساس در یک سازمان فراهم خواهد شد . قطعا" تولید و عرضه سریع اطلاعات در سازمان های مدرن و مبتنی بر اطلاعات ، یکی از مهمترین شاخص های رشد در عصر حاضر بوده و هر آنچیزی که می تواند خللی در فرآیند فوق ایجاد نماید ، باعث توقف و گاها" برگشت به عقب یک سازمان ، می گردد.
مورد چهارم : اتکاء کامل به ابزارها و محصولات تجاری
اگر از یک سازمان سوال شود که چگونه خود را در مقابل حملات حفاظت نموده اید ؟ اغلب آنان در پاسخ خواهند گفت :" ما از یک فایروال شناخته شده و یک برنامه ویروس یاب بر روی سرویس دهنده استفاده می کنیم ، بنابراین ما در مقابل حملات ایمن خواهیم بود " . توجه داشته باشید که امنیت یک فرآیند است نه یک محصول که با خریداری آن خیال خود را در ارتباط با امنیت راحت نمائیم . مدیران سازمان لازم است شناخت مناسب و اولیه ای از پتانسل های عمومی یک فایروال و یا برنامه های ویروس یاب داشته باشند ( قادر به انجام چه کاری می باشند و چه کاری را نمی توانند انجام دهند. مثلا" اگر ویروس جدیدی نوشته و در شبکه توزیع گردد ، برنامه های ویروس یاب موجود قادر به تشخیص و برخورد با آن نخواهند بود.این نوع برنامه ها صرفا" پس از مطرح شدن یک ویروس و آنالیز نحوه عملکرد آن می بایست بهنگام شده تا بتوانند در صورت بروز وضعیتی مشابه با آن برخورد نمایند) . ابزارهائی همچون فایروال و یا برنامه های ویروس یاب ، بخشی از فرآیند مربوط به ایمن سازی اطلاعات حساس در یک سازمان بوده و با بکارگیری آنان نمی توان این ادعا را داشت که آنان سازمان را بطور کامل در مقابل تهاجمات ، حفاظت خواهند نمود .
مورد پنجم : یک مرتبه سرمایه گذاری در ارتباط با امنیت
امنیت مفهمومی فراگیر و گسترده بوده که نیازمند هماهنگی و سرمایه گذاری در دو بعد تکنولوژی و آموزش است. هر روز ما شاهد ظهور تکنولوژی های جدیدی می باشیم . ما نمی توانیم در مواجهه با یک تکنولوژی جدید بصورت انفعالی برخورد و یا عنوان نمائیم که ضرورتی به استفاده از این تکنولوژی خاص را نداریم . بکارگیری تکنولوژی عملا" صرفه جوئی در زمان و سرمایه مادی را بدنبال داشته و این امر باعث ارائه سرویس های مطلوبتر و ارزانتر به مشتریان خواهد شد. موضوع فوق هم از جنبه یک سازمان حائز اهمیت است و هم از نظر مشتریان ، چراکه ارائه سرویس مطلوب با قیمت تمام شده مناسب یکی از مهمترین اهداف هر بنگاه تجاری محسوب شده و مشتریان نیز همواره بدنبال استفاده از سرویس ها و خدمات با کیفیت و قیمت مناسب می باشند. استفاده از تکنولوژی های جدید و سرویس های مرتبط با آنان،همواره تهدیدات خاص خود را بدنبال خواهد داشت . بنابراین لازم است به این موضوع توجه شود که امنیت یک سرمایه گذاری پیوسته را طلب می نماید، چراکه با بخدمت گرفتن تکنولوژی ها ی نو بمنظور افزایش بهره وری در یک سازمان ، زمینه پرداختن به امنیت می بایست مجددا" و در ارتباط با تکنولوژی مربوطه بررسی و در صورت لزوم سرمایه گذاری لازم در ارتباط با آن صورت پذیرد . تفکر اینکه، امنیت یک نوع سرمایه گذاری یکبار مصرف است ، می تواند از یکطرف سازمان را در استفاده از تکنولوژی ها ی نو با تردید مواجه سازد و از طرف دیگر با توجه به نگرش به مقوله امنیت ( یکبار مصرف ) ، بهاء لازم به آن داده نشده و شروع مناسبی برای پیاده سازی یک سیستم امنیتی و حفاظتی مناسب را نداشته باشیم .
اشتباهات متداول کاربران معمولی
کاربران ، به افرادی اطلاق می گردد که طی روز با داده ها ی حساس در یک سازمان سروکار داشته و تصمیمات و فعالیت های آنان، داده ها ی حساس و مقوله امنیت و حفاظت از اطلاعات را تحت تاثیر مستقیم قرار خواهد داد. در ادامه با برخی از اشتباهات متداولی که این نوع استفاده کنندگان از سیستم و شبکه مرتکب می شوند ، اشاره می گردد.
مورد یک : تخطی از سیاست امنینی سازمان
سیاست امنیتی سازمان ، اعلامیه ای است که بصورت جامع ، مسئولیت هر یک از پرسنل سازمان ( افرادیکه به اطلاعات و سیستم های حساس در سازمان دستیابی دارند ) در ارتباط با امنیت اطلاعات و شبکه را تعریف و مشخص می نماید. سند و یا اعلامیه مورد نظر ، بعنوان بخش لاینفک در هر مدل امنیتی بکارگرفته شده در سازمان محسوب می گردد.هدف عمده اعلامیه فوق ، ارائه روشی آسان بمنظور شناخت و درک ساده نحوه حفاظت سیستم های سازمان در زمان استفاده است . کاربران معمولی ، عموما" تمایل به تخطی از سیاست های تدوین شده امنیتی در یک سازمان را داشته و این موضوع می تواند عاملی مهم برای تحت تاثیر قراردادن سیستم های حساس و اطلاعات مهم سازمان در مواجهه با یک تهدید باشد. پیامد این نوع عملیات ، بروز اشکال و خرابی در رابطه با اطلاعات ارزشمند در یک سازمان خواهد بود.بهمین دلیل است که اکیدا" توصیه می گردد که اطلاعات لازم در رابطه با نقش کاربران در تبعیت از سیاست های امنیتی در سازمان به آنان یادآوری و بر آن تاکید گردد .
مورد دوم : ارسال داده حساس بر روی کامپیوترهای منزل
یکی از خطرناکترین روش ها در رابطه با داده های حساس موجود در یک سازمان ، فعالیتی است که باعث غیر فعال شدن تمامی پیشگیری های امنیتی ایجادشده و در گیر شدن آنان در یک فرآیند غیر امنیتی می گردد . پرسنل سازمان عادت دارند،اطلاعات حساس سازمان را بر روی کامپیوتر منزل خود فوروارد ( ارسال ) نمایند . در حقیقت کاربران تمایل به فوروارد نمودن یک پروژه ناتمام و یا برنامه ریزی تجاری به کامپیوتر منازل خود را داشته تا از این طریق امکان اتمام کار خود در منزل را پیدا نمایند. کاربران به این موضوع توجه نکرده اند که تغییر محیط ایمن سازمان با کامپیوتر منزل خود که دارای ایمنی بمراتب کمتری است ، بطور جدی اطلاعات را در معرض آسیب و تهاجم قرار خواهد داد . در صورتیکه ضروری است که اطلاعات را به کامپیوترهای منزل فوروارد نمود ، یک سطح مناسب ایمنی می بایست وجود داشته باشد تا این اطمینان بوجود آید که نوت بوک ها و یا کامپیوترهای منازل در مقابل مهاجمین اطلاعاتی حفاظت شده و ایمن می باشند.
مورد سوم : یاداشت داده های حساس و ذخیره غیرایمن آنان
ایجاد و نگهداری رمزهای عبور قدرتمند ، فرآیندی مستمر است که همواره می بایست مورد توجه قرار گیرد. کاربران همواره از این موضوع نفرت دارند که رمزعبورهائی را ایجاد نمایند که قادر به بخاطرآوردن آن نمی باشند. سیاست امنیتی تدوین شده سازمان می بایست تعیین نماید که یک رمز عبور چگونه می بایست ایجاد و نگهداری گردد. بخاطر سپردن چنین رمزعبوری همواره مسائل خاص خود را خواهد داشت . بمنظور حل اینچنین مشکلی ، کاربران تمایل دارند که یاداشت های مخفی را نوشته و آنها را زیر صفحه کلید ، کیف جیبی و یا هر مکان دیگر در محل کار خود نگهداری نمایند. یاداشت ها ی فوق ، شامل اطلاعات حساس در ارتباط با داده های مربوط به رمزعبور و سایر موارد مرتبط است .استفاده از روشهای فوق برای نگهداری اطلاعات ، یک تخطی امنیتی است .دراین راستا لازم است ،کاربران توجیه و به آنان آگاهی لازم داده شود که با عدم رعایت موارد مشخص شده امنیتی ،پتانسیل های لازم بمنظور بروز مشکل در سیستم افزایش خواهد یافت . لازم است به کاربران ، روش ها و تکنیک های متفاوت بخاطر
در این راستا ، قصد داریم به بررسی نقش عوامل انسانی دررابطه با امنیت اطلاعات پرداخته و جایگاه هر یک از مولفه های موجود را تبین و تشریح نما ئیم . اگر ما بهترین سیستم سخت افزاری و یا سیستم عامل را بخدمت بگیریم ولی کاربران و یا عوامل انسانی درگیر در یک سیستم کامپوتری، پارامترهای امنیتی را رعایت ننمایند ، کاری را از پیش نخواهیم برد. وضعیت فوق مشابه این است که شما بهترین اتومبیل با درجه بالای امنیت را طراحی و یا تهیه نمائید ولی آن را در اختیار افرادی قرار دهید که نسبت به اصول اولیه رانندگی توجیه نباشند ( عدم رعایت اصول ایمنی ) .
ما می بایست به مقوله امنیت اطلاعات در عصر اطلاعات نه بصورت یک کالا و یا محصول بلکه بصورت یک فرآیند نگاه کرده و امنیت را در حد یک محصول خواه نرم افزاری و یا سخت افزاری تنزل ندهیم .هر یک از موارد فوق ، جایگاه خاص خود را با وزن مشخص شده ای دارند و نباید به بهانه پرداختن به امنیت اطلاعات وزن یک پارامتر را بیش از آنچیزی که هست در نظر گرفت و پارامتر دیگری را نادیده گرفته و یا وزن غیر قابل قبولی برای آن مشخص نمائیم . بهرحال ظهور و عرضه شگفت انگیز تکنولوژی های نو در عصر حاضر ، تهدیدات خاص خود را نیز بدنبال خواهد داشت . ما چه کار می بایست بکنیم که از تکنولوژی ها استفاده مفیدی را داشته و در عین حال از تهدیدات مستقیم و یا غیر مستقیم آنان نیز مصون بمانیم ؟ قطعا" نقش عوامل انسانی که استقاده کنندگان مستقیم این نوع تکنولوژی ها می باشند ، بسیار محسوس و مهم است .
با گسترش اینترنت و استفاده از آن در ابعاد متفاوت ، سازمانها و موسسات با مسائل جدیدی در رابطه با امنیت اطلاعات و تهاجم به شبکه های کامپیوتری مواجه می باشند. صرفنظر از موفقیت و یا عدم موفقیت مهاجمان و علیرغم آخرین اصلاحات انجام شده در رابطه با تکنولوژی های امنیتی ، عدم وجود دانش و اطلاعات لازم ( سواد عمومی ایمنی ) کاربران شبکه های کامپیوتری و استفاده کنندگان اطلاعات حساس در یک سازمان ، همواره بعنوان مهمترین تهدید امنیتی مطرح و عدم پایبندی و رعایت اصول امنیتی تدوین شده ، می تواند زمینه ایجاد پتانسیل هائی شود که توسط مهاجمین استفاده و باعث بروز مشکل در سازمان گردد. مهاجمان همواره بدنبال چنین فرصت هائی بوده تا با اتکاء به آنان به اهداف خود نائل گردند. در برخی حالات اشتباه ما زمینه موفقیت دیگران! را فراهم می نماید . اگر سعی نمائیم بر اساس یک روش مناسب درصد بروز اشتباهات خود را کاهش دهیم به همان نسبت نیز شانس موفقیت مهاجمان کاهش پیدا خواهد کرد.
مدیران شبکه ( سیستم ) ، مدیران سازمان و کاربران معمولی جملگی عوامل انسانی در یک سازمان می باشند که حرکت و یا حرکات اشتباه هر یک می تواند پیامدهای منفی در ارتباط با امنیت اطلاعات را بدنبال داشته باشد . در ادامه به بررسی اشتباهات متداولی خواهیم پرداخت که می تواند توسط سه گروه یاد شده انجام و زمینه بروز یک مشکل امنیتی در رابطه با اطلاعات حساس در یک سازمان را باعث گردد.
اشتباهات متداول مدیران سیستم
مدیران سیستم ، به افرادی اطلاق می گردد که مسئولیت نگهداری و نظارت بر عملکرد صحیح و عملیاتی سیستم ها و شبکه موجود در یک سازمان را برعهده دارند.در اغلب سازمانها افراد فوق ، مسئولیت امنیت دستگاهها ، ایمن سازی شبکه و تشخیص ضعف های امنیـتی موجود در رابطه با اطلاعات حساس را نیز برعهده دارند. بدیهی است واگذاری مسئولیت های متعدد به یک فرد، افزایش تعداد خطاء و اشتباه را بدنبال خواهد داشت . فشار عصبی در زمان انجام کار مستمر بر روی چندین موضوع متفاوت و بصورت همزمان ، قطعا" احتمال بروز اشتباهات فردی را افزایش خواهد داد. در ادامه با برخی از خطاهای متداولی که ممکن است توسط مدیران سیستم انجام و سازمان مربوطه را با تهدید امنیتی مواجه سازد ، آشنا خواهیم شد.
موردیک : عدم وجود یک سیاست امنیتی شخصی
اکثر قریب به اتفاق مدیران سیستم دارای یک سیاست امنیتی شخصی بمنظور انجام فعالیت های مهمی نظیر امنیت فیزیکی سیستم ها ، روش های بهنگام سازی یک نرم افزار و روشی بمنظور بکارگیری patch های جدید در زمان مربوطه نمی باشند .حتی شرکت های بزرگ و شناخته شده به این موضوع اذعان دارند که برخی از سیستم های آنان با همان سرعت که یک باگ و یا اشکال تشخیص و شناسائی می گردد ، توسط patch مربوطه اصلاح نشده است .در برخی حالات ، مدیران سیستم حتی نسبت به آخرین نقاط آسیب پذیرتشخییص داده شده نیز آگاهی بهنگام شده ای را نداشته و قطعا" در چنین مواردی انتظار نصب patch مربوطه نیز توقعی بی مورد است . وجود نقاط آسیب پذیر در شبکه می تواند یک سازمان را در معرض تهدیدات جدی قرار دهد . امنیت فرآیندی است که می بایست بصورت مستمر به آن پرداخته شود و هرگز به اتمام نمی رسد.در این راستا لازم است، بصورت مستمرنسبت به آخرین حملات بهمراه تکنولوژی ها ی مربوطه ، آگاهی لازم کسب و دانش خود را بهنگام نمائیم .اکثر مدیران سیستم ، کارشناسان حرفه ای و خبره امنیتی نمی باشند ، در این رابطه لازم است ، بمنظور افزایش حفاظت و ایمن سازی شبکه ، اطلاعات و دانش مربوطه بصورت مستمر ارتقاء یاید .افرادیکه دارای گواهینامه های خاصی امنیتی و یا دانش و اطلاعات اضافه در رابطه با امنیت اطلاعات می باشند ، همواره یک قدم از کسانی مهارت آنان صرفا" محدود به شبکه است ، جلوتر می باشند . در ادامه ، پیشنهاداتی بمنظور بهبود وضعیت امنیتی سازمان و افزایش و ارتقاء سطح معلومات مدیران سیستم ، ارائه می گردد :
بصورت فیزیکی محل کار و سیستم خود را ایمن سازید .زمینه استفاده از سیستم توسط افرادیکه در محدوده کاری شما فعالیت دارند ، می بایست کاملا" کنترل شده و تحت نظارت باشد .
هر مرتبه که سیستم خود را ترک می کنید ، عملیات logout را فراموش نکنید .در این رابطه می توان یک زمان time out را تنظیم تا در صورت فراموش نمودن عملیات logout ، سیستم قادر به حفاظت خود گردد.
خود را عضو خبرنامه ها ی متفاوت امنیتی کرده تا شما را با آخرین نقاط آسیب پذیر آشنا نمایند. درحقیقت آنان چشم شما در این معرکه خواهند بود( استفاده مفید از تجارب دیگران ) .
سعی گردد بصورت مستمر از سایت های مرتبط با مسائل امنیتی دیدن تا درزمان مناسب با پیام های هشداردهنده امنیتی در رابطه با نرم افزارهای خارج از رده و یا نرم افزارهای غیر اصلاح شده ( unpatched ) آشنا گردید.
مطالعه آخرین مقالات مرتبط با مسائل امنیتی یکی از مراحل ضروری و مهم در فرآیند خود آموزشی ( فراگیری ) مدیران شبکه است . بدین ترتیب این اطمینان بوجود خواهد آمد که مدیر مربوطه نسبت به آخرین اطلاعات و مسائل مربوطه امنیتی در کمیته های موجود ، توجیه است .
استفاده از یاداشت ها و مقالات در ارتباط با هر نوع اطلاعات حساس نظیر رمزهای عبور وI هر چیزی که ممکن است زمینه ساز ایجاد یک پتانسیل آسیب پذیر و دستیابی به سیستم مطرح گردد را محدود نمائید. در صورتیکه از این نوع اطلاعات استفاده می شود، قبل ازترک محل کار ، آنها را از بین ببرید. افرادیکه دارای سوء نیت بوده در محدوده کاری شما می باشند ، می توانند ازمزایای ضعف های شناخته شده استفاده نمایند، بنابراین ضروری است استفاده از چنین یاداشت هائی محدود و یا بصورت کامل حذف گردد .
مورد دو : اتصال سیستم های فاقد پیکربندی مناسب به اینترنت
همزمان با گسترش نیازهای سازمان، سیستم ها و سرویس دهندگان جدیدی بر اساس یک روال معمول به اینترنت متصل می گردند. قطعا" توسعه سیستم با هدف افزایش بهره وری در یک سازمان دنبال خواهد شد.اکثر اینچنین سیستمهائی بدون تنظیمات امنیتی خاص به اینترنت متصل شده و می تواند زمینه بروز آسیب و حملات اطلاعاتی توسط مهاجمان را باعث گردد ( در بازه زمانی که سیستم از لحاظ امنیتی بدرستی ممیزی نشده باشد ، این امر امکان پذیر خواهد بود).
مدیران سیستم ممکن است به این موضوع استناد نمایند که سیستم جدید بوده و هنوز کسی آن را نمی شناسد و آدرس IP آن شناخته شده نیست ، بنابراین امکان شناسائی و حمله به آن وجود نخواهد داشت .طرز فکر فوق ، یک تهدید برای هر سازمان بشمار می رود . افراد و یا اسکریپت های پویش اتوماتیک در اینترنت ، بسرعت عملیات یافتن و تخریب این نوع سیستم های آسیب پذیر را دنبال می نمایند. در این راستا ، شرکت هائی خاصی وجود دارد که موضوع فعالیت آنان شبکه بوده و برای تست سیستم های تولیدی خود بدنبال سیستم های ضعیف و آسیب پذیر می گردند.( سیستم آسیب پذیر ما ابزار تست دیگران خواهد شد). بهرحال همواره ممکن است افرادی بصورت مخفیانه شبکه سازمان شما را پویش تا در صورت وجود یک نقطه آسیب پذیر، از آن برای اهداف خود استفاده نمایند. لازم است در این راستا تهدیدات و خطرات را جدی گرفته و پیگری لازم در این خصوص انجام شود. در این رابطه موارد زیر پیشنهاد می گردد :
قبل از اتصال فیزیکی یک کامپیوتر به شبکه ، مجوز امنیتی لازم با توجه به سیاست های تدوین شده امنیتی برای آن صادر گردد ( بررسی سیستم و صدور مجوز اتصال )
کامپیوتر مورد نظر می بایست شامل آخرین نرم افزارهای امنیتی لازم بوده و از پیکربندی صحیح آنان می بایست مطمئن گردید.
در صورتیکه لازم است بر روی سیستم مورد نظر تست های شبکه ای خاصی صورت پذیرد ، سعی گردد امکان دستیابی به سیستم فوق از طریق اینترنت در زمان تست ، بلاک گردد.
سیستمی را که قصد اتصال آن به اینترنت وجود دارد ، نمی بایست شامل اطلاعات حساس سازمان باشد.
سیستم مورد نظر را تحت برنامه های موسوم به Intrusion Detection System قرار داده تا نرم افزارهای فوق بسرعت نقاط آسیب پذیر و ضعف های امنیتی را شناسائی نمایند.
مورد سه : اعتماد بیش از اندازه به ابزارها
برنامه های پویش و بررسی نقاط آسیب پذیر،اغلب بمنظور اخذ اطلاعات در رابطه وضعیت جاری امنیتی شبکه استفاده می گردد . پویشگرهای تشخیص نقاط آسیب پذیر ، اطلاعات مفیدی را در ارتباط با امنیت سیستم نظیر : مجوزهای فایل ، سیاستهای رمز عبور و سایر مسائل موجود، ارائه می نمایند . بعبارت دیگر پویشگران نقاط آسیب پذیر شبکه ، امکان نگرش از دید یک مهاجم را به مدیریت شبکه خواهند داد. پویشگرها ی فوق ، عموما" نیمی از مسائل امنیتی مرتبط را به سیستم واگذار نموده و نمی توان به تمامی نتایج بدست آمده توسط آنان بسنده و محور عملیات خود را بر اساس یافته های آنان قرار دهیم . در این رابطه لازم است متناسب با نوع سیستم عامل نصب شده بر روی سیستم ها از پویشگران متعدد و مختص سیستم عامل مربوطه استفاده گردد( اخذ نتایج مطلوبتر) . بهرحال استفاده از این نوع نرم افزارها قطعا" باعث شناسائی سریع نقاط آسیب پذیر و صرفه جوئی زمان می گردد ولی نمی بایست این تصور وجود داشته باشد که استفاده از آنان بمنزله یک راه حل جامع امنیتی است . تاکید صرف بر نتایج بدست آمده توسط آنان ، می تواند نتایج نامطلوب امنیتی را بدنبال داشته باشد . در برخی موارد ممکن است لازم باشد ، بمنظور تشخیص نقاط آسیب پذیر یک سیستم ،عملیات دستی انجام و یا حتی تاسکریپت های خاصی در این رابطه نوشته گردد .
مورد چهار : عدم مشاهده لاگ ها ( Logs )
مشاهده لاگ های سیستم، یکی از مراحل ضروری در تشخیص مستمر و یا قریب الوقوع تهدیدات است . لاگ ها، امکان شناسائی نقاط آسیب پذیر متداول و حملات مربوطه را فراهم می نمایند. بنابراین می توان تمامی سیستم را بررسی و آن را در مقابل حملات مشخص شده ، مجهز و ایمن نمود. در صورت بروز یک تهاجم ، با استفاده از لاگ های سیستم ، تسهیلات لازم بمنظور ردیابی مهاجمان فراهم می گردد.( البته بشرطی که آنان اصلاح نشده باشند ) . لاگ ها را بصورت ادواری بررسی و آنها را در یک مکان ایمن ذخیره نمائید.
مورد پنج : اجرای سرویس ها و یا اسکریپت های اضافه و غیر ضروری
استفاده از منابع و شبکه سازمان ، بعنوان یک زمین بازی شخصی برای تست اسکریپت ها و سرویس های متفاوت ، یکی دیگر از اشتباهات متداولی است که توسط اکثریت قریب به اتفاق مدیران سیستم انجام می شود . داشتن اینچنین اسکریپت ها و سرویس های اضافه ای که بر روی سیستم اجراء می گردند ، باعث ایجاد مجموعه ای از پتانسیل ها و نفاط ورود جدید برای یک مهاجم می گردد ( در صورتیکه سرویس های اضافه و یا اسکریپت ها بر روی سرویس دهنده اصلی نصب و تست گردند ، مشکلات می تواند مضاعف گردد ). در صورت نیاز به تست اسکریپت ها و یا اجرای سرویس های اضافه ، می بایست عملیات مورد نظر خود را از طریق یک کامپیوتر ایزوله شده انجام داد (هرگز از کامپیوتری که به شبکه متصل است در این راستا استفاده نگردد ) .
اشتباهات متداول مدیران سازمان ها
مدیران سازمان، به افرادی اطلاق می گردد که مسئولیت مدیریت ، هدایت و توسعه سازمان را بر عهده داشته و با منابع متفاوت موجود در سازمان نظیر بودجه ، سروکار دارند. امروزه استفاده از اینترنت توسط سازمان ها و موسسات ، مزایای متعددی را بدنبال دارد. واژه " تجارت الکترونیکی" بسیار متداول و استراتژی تجارت الکترونیکی ، از جمله مواردی است که در هر برنامه ریزی تجاری به آن توجه خاص می گردد. در صورتیکه سازمان ها و موسسات دارای یک استراتژی امنیتی مشخص شده ای نباشند ، اتصال به شبکه جهانی تهدیدی در ارتباط با اطلاعات حساس خواهد بود. در ادامه به برخی از اشتباهات متداول که از ناحیه مدیران سازمان بروز و تاثیر منفی در ارتباط با امنیت اطلاعات در سازمان را بدنبال خواهد داشت ، اشاره می گردد :
مورد یک : استخدام کارشناسان آموزش ندیده و غیرخبره
بدون تردید ، کارشناسان آموزش دیده و خبره ، یکی از منابع ارزشمند درهر سازمان محسوب می گردند. همواره می بایست از کارشناسان ورزیده در ارتباط با امنیت در یک سازمان استفاده گردد. فرصت سعی و خطاء نیست و ممکن است در این محدوده زمانی چیزی را که یک سازمان از دست می دهد بمراتب بیشتر از چیزی است که می خواهد بدست آورد. امنیت اطلاعات از جمله مقولاتی است که برای یک سازمان دارای جایگاهی است و همواره می بایست بهترین تصمیم دررابطه با استفاده از منابع انسانی ماهر ، اتخاذ گردد. استفاده از یک کارشناس غیر ماهر در امور امنیت اطلاعات و شبکه در یک سازمان ، خود تهدیدی امنیتی است که بر سایر تهدیدات موجود اضافه خواهد شد . ( ما نمی توانیم مسئولیت پیاده سازی استراتژی امنیتی در سازمان را به افرادی واگذار نمائیم که در این رابطه اطلاعات و دانش لازم را ندارند ) .
مورد دوم : فقدان آگاهی لازم در رابطه با تاثیر یک ضعف امنیتی بر عملکرد سازمان
بسیاری از مدیران سازمان بر این باور می باشند که " این مسئله برای ما اتفاق نخواهد افتاد " و بر همین اساس و طرز فکر به مقوله امنیت نگاه می نمایند . بدیهی است در صورت بروز مشکل در سازمان ، امکان عکس العمل مناسب در مقابل خطرات و تهدیدات احتمالی وجود نخواهد داشت . این مسئله می تواند بدلیل عدم آشنائی با ابعاد و اثرات یک ضعف امنیتی در سازمان باشد . در این رابطه لازم است به این نکته اشاره گردد که همواره مشکل برای دیگران بوجود نمی آید و ما نیز در معرض مشکلات فراوانی قرار خواهیم داشت .بنابراین لازم است همواره و بصورت مستمر مدیران سازمان نسبت به اثرات احتمالی یک ضعف امنیتی توجیه و دانش لازم در اختیار آنان قرار گیرد . در صورت بروز یک مشکل امنیتی در سازمان ، مسئله بوجود آمده محدود به خود سازمان نشده و می تواند اثرات منفی متعددی در ارتباط با ادامه فعالیت سازمان را بدنبال داشته باشد. در عصر اطلاعات و دنیای شدید رقابت ، کافی است سازمانی لحظاتی آنچیزی باشد که نمی بایست باشد ، همین امر کافی است که تلاش چندین ساله یک سازمان هرز و در برخی حالات فرصت جبران آن نیز وجود نخواهد داشت .
تاثیر منفی بر سایر فعالیت های تجاری online سازمان
عاملی برای توزیع اطلاعات غیر مفید و غیر قابل استفاده در یک چرخه تجاری
عرضه اطلاعات حساس مشتریان به یک مهاجم و بمخاطره افتادن اطلاعات خصوصی مشتریان
آسیب جدی وجهه سازمان و بدنبال آن از دست دادن مشتریان و همکاران تجاری
مورد سوم : عدم تخصیص بودجه مناسب برای پرداختن به امنیت اطلاعات
مجاب نمودن یک مدیر سازمان مبنی بر اختصاص بودجه مناسب برای پرداختن به مقوله امنیت اطلاعات در سازمان از حمله مواردی است که چالش های خاص خود را خواهد داشت .مدیران، تمایل دارند بودجه را به حداقل مقدار خود برسانند، چراکه آنان یا اطلاعات محدودی در رابطه با تاثیر وجود ضعف های امنیتی در عملکرد سازمان را دارند و یا در برخی حالات بودجه ، آنان را برای اتخاذ تصمیم مناسب محدود می نماید.اینترنت یک شبکه جهانی است که فرصت های جذاب و نامحدود تجاری را برای هر بنگاه تجاری فراهم می نماید، با رعایت امنیت اطلاعات و حفا ظت مناسب از داده های حساس ،امکان استفاده از فرصت های تجاری بیشتری برای یک سازمان فراهم خواهد شد. با اختصاص یک بودجه مناسب برای پرداختن و بهاء دادن به مقوله امنیت اطلاعات در یک سازمان ، پیشگیری های لازم انجام ودر صورت بروز مسائل بحرانی ، امکان تشخیص سریع آنان و انجام واکنش های مناسب فراهم می گردد . بعبارت دیگر با در نظر گرفتن بودجه مناسب برای ایمن سازی سازمان ، بستر مناسب برای حفاظت سیستم ها و داده های حساس در یک سازمان فراهم خواهد شد . قطعا" تولید و عرضه سریع اطلاعات در سازمان های مدرن و مبتنی بر اطلاعات ، یکی از مهمترین شاخص های رشد در عصر حاضر بوده و هر آنچیزی که می تواند خللی در فرآیند فوق ایجاد نماید ، باعث توقف و گاها" برگشت به عقب یک سازمان ، می گردد.
مورد چهارم : اتکاء کامل به ابزارها و محصولات تجاری
اگر از یک سازمان سوال شود که چگونه خود را در مقابل حملات حفاظت نموده اید ؟ اغلب آنان در پاسخ خواهند گفت :" ما از یک فایروال شناخته شده و یک برنامه ویروس یاب بر روی سرویس دهنده استفاده می کنیم ، بنابراین ما در مقابل حملات ایمن خواهیم بود " . توجه داشته باشید که امنیت یک فرآیند است نه یک محصول که با خریداری آن خیال خود را در ارتباط با امنیت راحت نمائیم . مدیران سازمان لازم است شناخت مناسب و اولیه ای از پتانسل های عمومی یک فایروال و یا برنامه های ویروس یاب داشته باشند ( قادر به انجام چه کاری می باشند و چه کاری را نمی توانند انجام دهند. مثلا" اگر ویروس جدیدی نوشته و در شبکه توزیع گردد ، برنامه های ویروس یاب موجود قادر به تشخیص و برخورد با آن نخواهند بود.این نوع برنامه ها صرفا" پس از مطرح شدن یک ویروس و آنالیز نحوه عملکرد آن می بایست بهنگام شده تا بتوانند در صورت بروز وضعیتی مشابه با آن برخورد نمایند) . ابزارهائی همچون فایروال و یا برنامه های ویروس یاب ، بخشی از فرآیند مربوط به ایمن سازی اطلاعات حساس در یک سازمان بوده و با بکارگیری آنان نمی توان این ادعا را داشت که آنان سازمان را بطور کامل در مقابل تهاجمات ، حفاظت خواهند نمود .
مورد پنجم : یک مرتبه سرمایه گذاری در ارتباط با امنیت
امنیت مفهمومی فراگیر و گسترده بوده که نیازمند هماهنگی و سرمایه گذاری در دو بعد تکنولوژی و آموزش است. هر روز ما شاهد ظهور تکنولوژی های جدیدی می باشیم . ما نمی توانیم در مواجهه با یک تکنولوژی جدید بصورت انفعالی برخورد و یا عنوان نمائیم که ضرورتی به استفاده از این تکنولوژی خاص را نداریم . بکارگیری تکنولوژی عملا" صرفه جوئی در زمان و سرمایه مادی را بدنبال داشته و این امر باعث ارائه سرویس های مطلوبتر و ارزانتر به مشتریان خواهد شد. موضوع فوق هم از جنبه یک سازمان حائز اهمیت است و هم از نظر مشتریان ، چراکه ارائه سرویس مطلوب با قیمت تمام شده مناسب یکی از مهمترین اهداف هر بنگاه تجاری محسوب شده و مشتریان نیز همواره بدنبال استفاده از سرویس ها و خدمات با کیفیت و قیمت مناسب می باشند. استفاده از تکنولوژی های جدید و سرویس های مرتبط با آنان،همواره تهدیدات خاص خود را بدنبال خواهد داشت . بنابراین لازم است به این موضوع توجه شود که امنیت یک سرمایه گذاری پیوسته را طلب می نماید، چراکه با بخدمت گرفتن تکنولوژی ها ی نو بمنظور افزایش بهره وری در یک سازمان ، زمینه پرداختن به امنیت می بایست مجددا" و در ارتباط با تکنولوژی مربوطه بررسی و در صورت لزوم سرمایه گذاری لازم در ارتباط با آن صورت پذیرد . تفکر اینکه، امنیت یک نوع سرمایه گذاری یکبار مصرف است ، می تواند از یکطرف سازمان را در استفاده از تکنولوژی ها ی نو با تردید مواجه سازد و از طرف دیگر با توجه به نگرش به مقوله امنیت ( یکبار مصرف ) ، بهاء لازم به آن داده نشده و شروع مناسبی برای پیاده سازی یک سیستم امنیتی و حفاظتی مناسب را نداشته باشیم .
اشتباهات متداول کاربران معمولی
کاربران ، به افرادی اطلاق می گردد که طی روز با داده ها ی حساس در یک سازمان سروکار داشته و تصمیمات و فعالیت های آنان، داده ها ی حساس و مقوله امنیت و حفاظت از اطلاعات را تحت تاثیر مستقیم قرار خواهد داد. در ادامه با برخی از اشتباهات متداولی که این نوع استفاده کنندگان از سیستم و شبکه مرتکب می شوند ، اشاره می گردد.
مورد یک : تخطی از سیاست امنینی سازمان
سیاست امنیتی سازمان ، اعلامیه ای است که بصورت جامع ، مسئولیت هر یک از پرسنل سازمان ( افرادیکه به اطلاعات و سیستم های حساس در سازمان دستیابی دارند ) در ارتباط با امنیت اطلاعات و شبکه را تعریف و مشخص می نماید. سند و یا اعلامیه مورد نظر ، بعنوان بخش لاینفک در هر مدل امنیتی بکارگرفته شده در سازمان محسوب می گردد.هدف عمده اعلامیه فوق ، ارائه روشی آسان بمنظور شناخت و درک ساده نحوه حفاظت سیستم های سازمان در زمان استفاده است . کاربران معمولی ، عموما" تمایل به تخطی از سیاست های تدوین شده امنیتی در یک سازمان را داشته و این موضوع می تواند عاملی مهم برای تحت تاثیر قراردادن سیستم های حساس و اطلاعات مهم سازمان در مواجهه با یک تهدید باشد. پیامد این نوع عملیات ، بروز اشکال و خرابی در رابطه با اطلاعات ارزشمند در یک سازمان خواهد بود.بهمین دلیل است که اکیدا" توصیه می گردد که اطلاعات لازم در رابطه با نقش کاربران در تبعیت از سیاست های امنیتی در سازمان به آنان یادآوری و بر آن تاکید گردد .
مورد دوم : ارسال داده حساس بر روی کامپیوترهای منزل
یکی از خطرناکترین روش ها در رابطه با داده های حساس موجود در یک سازمان ، فعالیتی است که باعث غیر فعال شدن تمامی پیشگیری های امنیتی ایجادشده و در گیر شدن آنان در یک فرآیند غیر امنیتی می گردد . پرسنل سازمان عادت دارند،اطلاعات حساس سازمان را بر روی کامپیوتر منزل خود فوروارد ( ارسال ) نمایند . در حقیقت کاربران تمایل به فوروارد نمودن یک پروژه ناتمام و یا برنامه ریزی تجاری به کامپیوتر منازل خود را داشته تا از این طریق امکان اتمام کار خود در منزل را پیدا نمایند. کاربران به این موضوع توجه نکرده اند که تغییر محیط ایمن سازمان با کامپیوتر منزل خود که دارای ایمنی بمراتب کمتری است ، بطور جدی اطلاعات را در معرض آسیب و تهاجم قرار خواهد داد . در صورتیکه ضروری است که اطلاعات را به کامپیوترهای منزل فوروارد نمود ، یک سطح مناسب ایمنی می بایست وجود داشته باشد تا این اطمینان بوجود آید که نوت بوک ها و یا کامپیوترهای منازل در مقابل مهاجمین اطلاعاتی حفاظت شده و ایمن می باشند.
مورد سوم : یاداشت داده های حساس و ذخیره غیرایمن آنان
ایجاد و نگهداری رمزهای عبور قدرتمند ، فرآیندی مستمر است که همواره می بایست مورد توجه قرار گیرد. کاربران همواره از این موضوع نفرت دارند که رمزعبورهائی را ایجاد نمایند که قادر به بخاطرآوردن آن نمی باشند. سیاست امنیتی تدوین شده سازمان می بایست تعیین نماید که یک رمز عبور چگونه می بایست ایجاد و نگهداری گردد. بخاطر سپردن چنین رمزعبوری همواره مسائل خاص خود را خواهد داشت . بمنظور حل اینچنین مشکلی ، کاربران تمایل دارند که یاداشت های مخفی را نوشته و آنها را زیر صفحه کلید ، کیف جیبی و یا هر مکان دیگر در محل کار خود نگهداری نمایند. یاداشت ها ی فوق ، شامل اطلاعات حساس در ارتباط با داده های مربوط به رمزعبور و سایر موارد مرتبط است .استفاده از روشهای فوق برای نگهداری اطلاعات ، یک تخطی امنیتی است .دراین راستا لازم است ،کاربران توجیه و به آنان آگاهی لازم داده شود که با عدم رعایت موارد مشخص شده امنیتی ،پتانسیل های لازم بمنظور بروز مشکل در سیستم افزایش خواهد یافت . لازم است به کاربران ، روش ها و تکنیک های متفاوت بخاطر
************************************************
استراتژی حفاظت از اطلاعات در شبکه های کامپیوتری ( بخش اول )
مقدمه
اطلاعات در سازمان ها و موسسات مدرن، بمنزله شاهرگ حیاتی محسوب می گردد . دستیابی به اطلاعات و عرضه مناسب و سریع آن، همواره مورد توجه سازمان هائی است که اطلاعات در آنها دارای نقشی محوری و سرنوشت ساز است . سازمان ها و موسسات می بایست یک زیر ساخت مناسب اطلاعاتی را برای خود ایجاد و در جهت انظباط اطلاعاتی در سازمان خود حرکت نمایند . اگر می خواهیم ارائه دهنده اطلاعات در عصر اطلاعات بوده و صرفا" مصرف کننده اطلاعات نباشیم ، در مرحله نخست می بایست فرآیندهای تولید ،عرضه و استفاده از اطلاعات را در سازمان خود قانونمد نموده و در مراحل بعد ، امکان استفاده از اطلاعات ذیربط را برای متقاضیان ( محلی،جهانی ) در سریعترین زمان ممکن فراهم نمائیم . سرعت در تولید و عرضه اطلاعات ارزشمند ، یکی از رموز موفقیت سازمان ها و موسسات در عصر اطلاعات است . پس از ایجاد انظباط اطلاعاتی، می بایست با بهره گیری از شبکه های کامپیوتری زمینه استفاده قانومند و هدفمند از اطلاعات را برای سایرین فراهم کرد . اطلاعات ارائه شده می تواند بصورت محلی ( اینترانت ) و یا جهانی ( اینترنت ) مورد استفاده قرار گیرد . فراموش نکنیم در این هنگامه اطلاعاتی، مصرف کنندگان اطلاعات دارای حق مسلم انتخاب می باشند و در صورتیکه سازمان و یا موسسه ای در ارائه اطلاعات سهوا" و یا تعمدا" دچار اختلال و یا مشکل گردد ، دلیلی بر توقف عملکرد مصرف کنندگان اطلاعات تا بر طرف نمودن مشکل ما ، وجود نخواهد داشت . سازمان ها و موسسات می بایست خود را برای نبردی سخت در عرضه و ارائه اطلاعات آماده نمایند و در این راستا علاوه بر پتانسیل های سخت افزاری و نرم افزاری استفاده شده ، از تدبیر و دوراندیشی فاصله نگیرند . در میدان عرضه و ارائه اطلاعات ، کسب موفقیت نه بدلیل ضعف دیگران بلکه بر توانمندی ما استوار خواهد بود. مصرف کنندگان اطلاعات، قطعا" ارائه دهندگان اطلاعاتی را برمی گزیند که نسبت به توان و پتانسیل آنان اطمینان حاصل کرده باشند . آیا سازمان ما در عصر اطلاعات به پتانسیل های لازم در این خصوص دست پیدا کرده است ؟ آیا در سازمان ما بستر و ساختار مناسب اطلاعاتی ایجاد شده است ؟ آیا گردش امور در سازمان ما مبتنی بر یک سیستم اطلاعاتی مدرن است ؟ آیا سازمان ما قادر به تعامل اطلاعاتی با سایر سازمان ها است ؟ آیا در سازمان ما نقاط تماس اطلاعاتی با دنیای خارج از سازمان تدوین شده است ؟ آیا فاصله تولید و استفاده از اطلاعات در سازمان ما به حداقل مقدار خود رسیده است ؟ آیا اطلاعات قابل عرضه سازمان ما ، در سریعترین زمان و با کیفیتی مناسب در اختیار مصرف کنندگان متقاضی قرار می گیرد ؟ حضور یک سازمان در عرصه جهانی ، صرفا" داشتن یک وب سایت با اطلاعات ایستا نخواهد بود . امروزه میلیون ها وب سایت بر روی اینترنت وجود داشته که هر روز نیز به تعداد آنان افزوده می گردد . کاربران اینترنت برای پذیرش سایت سازمان ما ، دلایل موجه ای را دنبال خواهند کرد . در این هنگامه سایت داشتن و راه اندازی سایت ، اصل موضوع که همانا ایجاد یک سازمان مدرن اطلاعاتی است ، فراموش نگردد. سازمان ما در این راستا چگونه حرکت کرده و مختصات آن در نقشه اطلاعاتی یک سازمان مدرن چیست ؟
بدیهی است ارائه دهندگان اطلاعات خود در سطوحی دیگر به مصرف کنندگان اطلاعات تبدیل و مصرف کنندگان اطلاعات ، در حالات دیگر، خود می تواند بعنوان ارائه دهنده اطلاعات مطرح گردند. مصرف بهینه و هدفمند اطلاعات در صورتیکه به افزایش آگاهی ، تولید و ارائه اطلاعات ختم شود، امری بسیار پسندیده خواهد بود . در غیر اینصورت، مصرف مطلق و همیشگی اطلاعات بدون جهت گیری خاص ، بدترین نوع استفاده از اطلاعات بوده که قطعا" به سرانجام مطلوبی ختم نخواهد شد .
شبکه های کامپیوتری
در صورتیکه قصد ارائه و یا حتی مصرف بهینه و سریع اطلاعات را داشته باشیم، می بایست زیر ساخت مناسب را در این جهت ایجاد کنیم . شبکه های کامپیوتری ، بستری مناسب برای عرضه ، ارائه و مصرف اطلاعات می باشند( دقیقا" مشابه نقش جاده ها در یک سیستم حمل و نقل) . عرضه ، ارائه و مصرف یک کالا نیازمند وجود یک سیستم حمل و نقل مطلوب خواهد بود. در صورتیکه سازمان و یا موسسه ای محصولی را تولید ولی قادر به عرضه آن در زمان مناسب ( قبل از اتمام تاریخ مصرف ) برای متقاضیان نباشد، قطعا" از سازمان ها ئی که تولیدات خود را با بهره گیری از یک زیر ساخت مناسب ، بسرعت در اختیار متقاضیان قرار می دهند ، عقب خواهند افتاد . شاید بهمین دلیل باشد که وجود جاده ها و زیر ساخت های مناسب ارتباطی، بعنوان یکی از دلایل موفقیت برخی از کشورها در عصر انقلاب صنعتی ، ذکر می گردد. فراموش نکنیم که امروزه زمان کهنه شدن اطلاعات از زمان تولید اطلاعات بسیار سریعتر بوده و می بایست قبل از اتمام تاریخ مصرف اطلاعات با استفاده از زیر ساخت مناسب ( شبکه های ارتباطی ) اقدام به عرضه آنان نمود. برای عرضه اطلاعات می توان از امکاناتی دیگر نیز استفاده کرد ولی قطعا" شبکه های کامپیوتری بدلیل سرعت ارتباطی بسیار بالا دارای نقشی کلیدی و منحصر بفرد می باشند . مثلا" می توان مشخصات کالا و یا محصول تولید شده در یک سازمان را از طریق یک نامه به متقاضیان اعلام نمود ولی در صورتیکه سازمانی در این راستا از گزینه پست الکترونیکی استفاده نماید ، قطعا" متقاضیان مربوطه در زمانی بسیار سریعتر نسبت به مشخصات کالای تولیده شده ، آگاهی پیدا خواهند کرد .
امنیت اطلاعات در شبکه های کامپیوتری
بموازات حرکت بسمت یک سازمان مدرن و مبتنی بر تکنولوژی اطلاعات، می بایست تدابیر لازم در رابطه با حفاظت از اطلاعات نیز اندیشیده گردد. مهمترین مزیت و رسالت شبکه های کامپیوتری ، اشتراک منابع سخت افزاری و نرم افزاری است . کنترل دستیابی و نحوه استفاده از منابع به اشتراک گذاشته شده ، از مهمترین اهداف یک سیستم امنیتی در شبکه است . با گسترش شبکه های کامپیوتری خصوصا" اینترنت ، نگرش نسبت به امنیت اطلاعات و سایر منابع به اشتراک گذاشته شده ، وارد مرحله جدیدی شده است . در این راستا ، لازم است که هر سازمان برای حفاظت از اطلاعات ارزشمند ، پایبند به یک استراتژی خاص بوده و بر اساس آن سیستم امنیتی را اجراء و پیاده سازی نماید . عدم ایجاد سیستم مناسب امنیتی ، می تواند پیامدهای منفی و دور از انتظاری را بدنبال داشته باشد . استراتژی سازمان ما برای حفاظت و دفاع از اطلاعات چیست؟ در صورت بروز مشکل امنیتی در رابطه با اطلاعات در سازمان ، بدنبال کدامین مقصر می گردیم ؟ شاید اگر در چنین مواردی ، همه مسائل امنیتی و مشکلات بوجود آمده را به خود کامپیوتر نسبت دهیم ، بهترین امکان برون رفت از مشکل بوجود آمده است ، چراکه کامپیوتر توان دفاع کردن از خود را ندارد . آیا واقعا" روش و نحوه برخورد با مشکل بوجود آمده چنین است ؟ در حالیکه یک سازمان برای خرید سخت افزار نگرانی های خاص خود را داشته و سعی در برطرف نمودن معقول آنها دارد ، آیا برای امنیت و حفاظت از اطلاعات نباید نگرانی بمراتب بیشتری در سازمان وجود داشته باشد ؟
استراتژی
دفاع در عمق ، عنوان یک استراتژی عملی بمنظور نیل به تضمین و ایمن سازی اطلاعات در محیط های شبکه امروزی است . استراتژی فوق، یکی از مناسبترین و عملی ترین گزینه های موجود است که متاثر از برنامه های هوشمند برخاسته از تکنیک ها و تکنولوژی های متفاوت تدوین می گردد . استراتژی پیشنهادی ، بر سه مولفه متفاوت ظرفیت های حفاظتی ، هزینه ها و رویکردهای عملیاتی تاکید داشته و توازنی معقول بین آنان را برقرار می نماید . دراین مقاله به بررسی عناصر اصلی و نقش هر یک از آنان در استراتژی پیشنهادی، پرداخته خواهد شد.
دشمنان، انگیزه ها ، انواع حملات اطلاعاتی
بمنظور دفاع موثر و مطلوب در مقابل حملات به اطلاعات و سیستم های اطلاعاتی ، یک سازمان می بایست دشمنان، پتانسیل و انگیزه های آنان و انواع حملات را بدرستی برای خود آنالیز تا از این طریق دیدگاهی منطقی نسبت به موارد فوق ایجاد و در ادامه امکان برخورد مناسب با آنان فراهم گردد .اگر قصد تجویز دارو برای بیماری وجود داشته باشد ، قطعا" قبل از معاینه و آنالیز وضعیت بیمار، اقدام به تجویز دارو برای وی نخواهد شد. در چنین مواری نمی توان برای برخورد با مسائل پویا از راه حل های مشابه و ایستا استفاده کرد .بمنظور ارائه راهکارهای پویا و متناسب با مسائل متغیر، لازم است در ابتدا نسبت به کالبد شکافی دشمنان ، انگیزه ها و انواع حملات ، شناخت مناسبی ایجاد گردد.
دشمنان ، شامل سارقین اطلاعاتی ، مجرمان ،دزدان کامپیوتری ، شرکت های رقیب و ... می باشد.
انگیزه ها ی موجود شامل : جمع آوری هوشمندانه، دستبرد فکری ( عقلانی ) ،عدم پذیرش سرویس ها ، کنف کردن ،احساس غرور و مورد توجه واقع شدن ، با شد .
انواع حملات شامل : مشاهده غیرفعال ارتباطات ، حملات به شبکه های فعال، حملات از نزدیک( مجاورت سیستم ها ) ، سوء استفاده و بهره برداری خودیان ( محرمان ) و حملات مربوط به ارائه دهندگان صنعتی یکی از منابع تکنولوژی اطلاعات ، است .
سیستم های اطلاعاتی و شبکه های کامپیوتری اهداف مناسب و جذابی برای مهاجمان اطلاعاتی می باشند . بنابراین لازم است، تدابیر لازم در خصوص حفاظت سیستم ها و شبکه ها در مقابل انواع متفاوت حملاتی اطلاعاتی اندیشیده گردد. بمنظور آنالیز حملات اطلاعاتی و اتخاذ راهکار مناسب بمنظور برخورد با آنان، لازم است در ابتدا با انواع حملات اطلاعات آشنا شده تا از این طریق امکان برخورد مناسب و سیستماتیک با هریک از آنان فراهم گردد . قطعا" وقتی ما شناخت مناسبی را نسبت به نوع و علل حمله داشته باشیم ، قادر به برخورد منطقی با آن بگونه ای خواهیم بود که پس از برخورد، زمینه تکرار موارد مشابه حذف گردد .
انواع حملات اطلاعاتی بشرح ذیل می باشند :
غیرفعال
فعال
نزدیک ( مجاور)
خودی ها ( محرمان )
عرضه ( توزیع )
ویژگی هر یک از انواع حملات فوق ، بشرح زیر می باشد :
غیر فعال (Passive) . این نوع حملات شامل: آنالیزترافیک شبکه ،شنود ارتباطات حفاظت نشده، رمزگشائی ترافیک های رمز شده ضعیف و بدست آوردن اطلاعات معتبری همچون رمز عبور می باشد . ره گیری غیرفعال عملیات شبکه ، می تواند به مهاجمان، هشدارها و اطلاعات لازم را در خصوص عملیات قریب الوقوعی که قرار است در شبکه اتفاق افتند بدهد( قرار است از مسیر فوق در آینده محموله ای ارزشمند عبور داده شود !) ، را خواهد داد .پیامدهای این نوع حملات ، آشکارشدن اطلاعات و یا فایل های اطلاعاتی برای یک مهاجم ، بدون رضایت و آگاهی کاربر خواهد بود .
فعال (Active) .این نوع حملات شامل : تلاش در جهت خنثی نمودن و یا حذف ویژگی های امنیتی ، معرفی کدهای مخرب ، سرقت و یا تغییر دادن اطلاعات می باشد . حملات فوق ، می تواند از طریق ستون فقرات یک شبکه ، سوء استفاده موقت اطلاعاتی ، نفوذ الکترونیکی در یک قلمرو بسته و حفاظت شده و یا حمله به یک کاربر تایید شده در زمان اتصال به یک ناحیه بسته و حفاظت شده ، بروز نماید . پیامد حملات فوق ، افشای اطلاعات ، اشاعه فایل های اطلاعاتی ، عدم پذیرش سرویس و یا تغییر در داده ها ، خواهد بود.
مجاور (Close-in) .این نوع حملات توسط افرادیکه در مجاورت ( نزدیکی ) سیستم ها قرار دارند با استفاده از تسهیلات موجود ، با یک ترفندی خاص بمنظور نیل به اهدافی نظیر : اصلاح ، جمع آوری و انکار دستیابی به اطلاعات باشد، صورت می پذیرد . حملات مبتنی بر مجاورت فیزیکی ، از طریق ورود مخفیانه ، دستیابی باز و یا هردو انجام می شود .
خودی (Insider) . حملات خودی ها ، می تواند بصورت مخرب و یا غیر مخرب جلوه نماید . حملات مخرب از این نوع شامل استراق سمع تعمدی ، سرقت و یا آسیب رسانی به اطلاعات ، استفاده از اطلاعات بطرزی کاملا" شیادانه و فریب آمیز و یا رد دستیابی سایر کاربران تایید شده باشد . حملات غیر مخرب از این نوع ، عموما" بدلیل سهل انگاری ( حواس پرتی ) ، فقدان دانش لازم و یا سرپیچی عمدی از سیاست های امنیتی صورت پذیرد.
توزیع (Distribution) . حملات از این نوع شامل کدهای مخربی است که در زمان تغییر سخت افزار و یا نرم افزار در محل مربوطه ( کارخانه ، شرکت ) و یا در زمان توزیع آنها ( سخت افزار ، نرم افزار) جلوه می نماید . این نوع حملات می تواند، کدهای مخربی را در بطن یک محصول جاسازی نماید . نظیر یک درب از عقب که امکان دستیابی غیرمجاز به اطلاعات و یا عملیات سیستم در زمان آتی را بمنظور سوء استفاده اطلاعاتی ، فراهم می نماید .
در این رابطه لازم است ، به سایر موارد نظیر آتس سوزی ، سیل ، قطع برق و خطای کاربران نیز توجه خاصی صورت پذیرد . در بخش دوم این مقاله ، به بررسی روش های ایمن سازی اطلاعات بمنظور نیل به یک استراتژی خاص امنیتی ، خواهیم پرداخت .
اطلاعات در سازمان ها و موسسات مدرن، بمنزله شاهرگ حیاتی محسوب می گردد . دستیابی به اطلاعات و عرضه مناسب و سریع آن، همواره مورد توجه سازمان هائی است که اطلاعات در آنها دارای نقشی محوری و سرنوشت ساز است . سازمان ها و موسسات می بایست یک زیر ساخت مناسب اطلاعاتی را برای خود ایجاد و در جهت انظباط اطلاعاتی در سازمان خود حرکت نمایند . اگر می خواهیم ارائه دهنده اطلاعات در عصر اطلاعات بوده و صرفا" مصرف کننده اطلاعات نباشیم ، در مرحله نخست می بایست فرآیندهای تولید ،عرضه و استفاده از اطلاعات را در سازمان خود قانونمد نموده و در مراحل بعد ، امکان استفاده از اطلاعات ذیربط را برای متقاضیان ( محلی،جهانی ) در سریعترین زمان ممکن فراهم نمائیم . سرعت در تولید و عرضه اطلاعات ارزشمند ، یکی از رموز موفقیت سازمان ها و موسسات در عصر اطلاعات است . پس از ایجاد انظباط اطلاعاتی، می بایست با بهره گیری از شبکه های کامپیوتری زمینه استفاده قانومند و هدفمند از اطلاعات را برای سایرین فراهم کرد . اطلاعات ارائه شده می تواند بصورت محلی ( اینترانت ) و یا جهانی ( اینترنت ) مورد استفاده قرار گیرد . فراموش نکنیم در این هنگامه اطلاعاتی، مصرف کنندگان اطلاعات دارای حق مسلم انتخاب می باشند و در صورتیکه سازمان و یا موسسه ای در ارائه اطلاعات سهوا" و یا تعمدا" دچار اختلال و یا مشکل گردد ، دلیلی بر توقف عملکرد مصرف کنندگان اطلاعات تا بر طرف نمودن مشکل ما ، وجود نخواهد داشت . سازمان ها و موسسات می بایست خود را برای نبردی سخت در عرضه و ارائه اطلاعات آماده نمایند و در این راستا علاوه بر پتانسیل های سخت افزاری و نرم افزاری استفاده شده ، از تدبیر و دوراندیشی فاصله نگیرند . در میدان عرضه و ارائه اطلاعات ، کسب موفقیت نه بدلیل ضعف دیگران بلکه بر توانمندی ما استوار خواهد بود. مصرف کنندگان اطلاعات، قطعا" ارائه دهندگان اطلاعاتی را برمی گزیند که نسبت به توان و پتانسیل آنان اطمینان حاصل کرده باشند . آیا سازمان ما در عصر اطلاعات به پتانسیل های لازم در این خصوص دست پیدا کرده است ؟ آیا در سازمان ما بستر و ساختار مناسب اطلاعاتی ایجاد شده است ؟ آیا گردش امور در سازمان ما مبتنی بر یک سیستم اطلاعاتی مدرن است ؟ آیا سازمان ما قادر به تعامل اطلاعاتی با سایر سازمان ها است ؟ آیا در سازمان ما نقاط تماس اطلاعاتی با دنیای خارج از سازمان تدوین شده است ؟ آیا فاصله تولید و استفاده از اطلاعات در سازمان ما به حداقل مقدار خود رسیده است ؟ آیا اطلاعات قابل عرضه سازمان ما ، در سریعترین زمان و با کیفیتی مناسب در اختیار مصرف کنندگان متقاضی قرار می گیرد ؟ حضور یک سازمان در عرصه جهانی ، صرفا" داشتن یک وب سایت با اطلاعات ایستا نخواهد بود . امروزه میلیون ها وب سایت بر روی اینترنت وجود داشته که هر روز نیز به تعداد آنان افزوده می گردد . کاربران اینترنت برای پذیرش سایت سازمان ما ، دلایل موجه ای را دنبال خواهند کرد . در این هنگامه سایت داشتن و راه اندازی سایت ، اصل موضوع که همانا ایجاد یک سازمان مدرن اطلاعاتی است ، فراموش نگردد. سازمان ما در این راستا چگونه حرکت کرده و مختصات آن در نقشه اطلاعاتی یک سازمان مدرن چیست ؟
بدیهی است ارائه دهندگان اطلاعات خود در سطوحی دیگر به مصرف کنندگان اطلاعات تبدیل و مصرف کنندگان اطلاعات ، در حالات دیگر، خود می تواند بعنوان ارائه دهنده اطلاعات مطرح گردند. مصرف بهینه و هدفمند اطلاعات در صورتیکه به افزایش آگاهی ، تولید و ارائه اطلاعات ختم شود، امری بسیار پسندیده خواهد بود . در غیر اینصورت، مصرف مطلق و همیشگی اطلاعات بدون جهت گیری خاص ، بدترین نوع استفاده از اطلاعات بوده که قطعا" به سرانجام مطلوبی ختم نخواهد شد .
شبکه های کامپیوتری
در صورتیکه قصد ارائه و یا حتی مصرف بهینه و سریع اطلاعات را داشته باشیم، می بایست زیر ساخت مناسب را در این جهت ایجاد کنیم . شبکه های کامپیوتری ، بستری مناسب برای عرضه ، ارائه و مصرف اطلاعات می باشند( دقیقا" مشابه نقش جاده ها در یک سیستم حمل و نقل) . عرضه ، ارائه و مصرف یک کالا نیازمند وجود یک سیستم حمل و نقل مطلوب خواهد بود. در صورتیکه سازمان و یا موسسه ای محصولی را تولید ولی قادر به عرضه آن در زمان مناسب ( قبل از اتمام تاریخ مصرف ) برای متقاضیان نباشد، قطعا" از سازمان ها ئی که تولیدات خود را با بهره گیری از یک زیر ساخت مناسب ، بسرعت در اختیار متقاضیان قرار می دهند ، عقب خواهند افتاد . شاید بهمین دلیل باشد که وجود جاده ها و زیر ساخت های مناسب ارتباطی، بعنوان یکی از دلایل موفقیت برخی از کشورها در عصر انقلاب صنعتی ، ذکر می گردد. فراموش نکنیم که امروزه زمان کهنه شدن اطلاعات از زمان تولید اطلاعات بسیار سریعتر بوده و می بایست قبل از اتمام تاریخ مصرف اطلاعات با استفاده از زیر ساخت مناسب ( شبکه های ارتباطی ) اقدام به عرضه آنان نمود. برای عرضه اطلاعات می توان از امکاناتی دیگر نیز استفاده کرد ولی قطعا" شبکه های کامپیوتری بدلیل سرعت ارتباطی بسیار بالا دارای نقشی کلیدی و منحصر بفرد می باشند . مثلا" می توان مشخصات کالا و یا محصول تولید شده در یک سازمان را از طریق یک نامه به متقاضیان اعلام نمود ولی در صورتیکه سازمانی در این راستا از گزینه پست الکترونیکی استفاده نماید ، قطعا" متقاضیان مربوطه در زمانی بسیار سریعتر نسبت به مشخصات کالای تولیده شده ، آگاهی پیدا خواهند کرد .
امنیت اطلاعات در شبکه های کامپیوتری
بموازات حرکت بسمت یک سازمان مدرن و مبتنی بر تکنولوژی اطلاعات، می بایست تدابیر لازم در رابطه با حفاظت از اطلاعات نیز اندیشیده گردد. مهمترین مزیت و رسالت شبکه های کامپیوتری ، اشتراک منابع سخت افزاری و نرم افزاری است . کنترل دستیابی و نحوه استفاده از منابع به اشتراک گذاشته شده ، از مهمترین اهداف یک سیستم امنیتی در شبکه است . با گسترش شبکه های کامپیوتری خصوصا" اینترنت ، نگرش نسبت به امنیت اطلاعات و سایر منابع به اشتراک گذاشته شده ، وارد مرحله جدیدی شده است . در این راستا ، لازم است که هر سازمان برای حفاظت از اطلاعات ارزشمند ، پایبند به یک استراتژی خاص بوده و بر اساس آن سیستم امنیتی را اجراء و پیاده سازی نماید . عدم ایجاد سیستم مناسب امنیتی ، می تواند پیامدهای منفی و دور از انتظاری را بدنبال داشته باشد . استراتژی سازمان ما برای حفاظت و دفاع از اطلاعات چیست؟ در صورت بروز مشکل امنیتی در رابطه با اطلاعات در سازمان ، بدنبال کدامین مقصر می گردیم ؟ شاید اگر در چنین مواردی ، همه مسائل امنیتی و مشکلات بوجود آمده را به خود کامپیوتر نسبت دهیم ، بهترین امکان برون رفت از مشکل بوجود آمده است ، چراکه کامپیوتر توان دفاع کردن از خود را ندارد . آیا واقعا" روش و نحوه برخورد با مشکل بوجود آمده چنین است ؟ در حالیکه یک سازمان برای خرید سخت افزار نگرانی های خاص خود را داشته و سعی در برطرف نمودن معقول آنها دارد ، آیا برای امنیت و حفاظت از اطلاعات نباید نگرانی بمراتب بیشتری در سازمان وجود داشته باشد ؟
استراتژی
دفاع در عمق ، عنوان یک استراتژی عملی بمنظور نیل به تضمین و ایمن سازی اطلاعات در محیط های شبکه امروزی است . استراتژی فوق، یکی از مناسبترین و عملی ترین گزینه های موجود است که متاثر از برنامه های هوشمند برخاسته از تکنیک ها و تکنولوژی های متفاوت تدوین می گردد . استراتژی پیشنهادی ، بر سه مولفه متفاوت ظرفیت های حفاظتی ، هزینه ها و رویکردهای عملیاتی تاکید داشته و توازنی معقول بین آنان را برقرار می نماید . دراین مقاله به بررسی عناصر اصلی و نقش هر یک از آنان در استراتژی پیشنهادی، پرداخته خواهد شد.
دشمنان، انگیزه ها ، انواع حملات اطلاعاتی
بمنظور دفاع موثر و مطلوب در مقابل حملات به اطلاعات و سیستم های اطلاعاتی ، یک سازمان می بایست دشمنان، پتانسیل و انگیزه های آنان و انواع حملات را بدرستی برای خود آنالیز تا از این طریق دیدگاهی منطقی نسبت به موارد فوق ایجاد و در ادامه امکان برخورد مناسب با آنان فراهم گردد .اگر قصد تجویز دارو برای بیماری وجود داشته باشد ، قطعا" قبل از معاینه و آنالیز وضعیت بیمار، اقدام به تجویز دارو برای وی نخواهد شد. در چنین مواری نمی توان برای برخورد با مسائل پویا از راه حل های مشابه و ایستا استفاده کرد .بمنظور ارائه راهکارهای پویا و متناسب با مسائل متغیر، لازم است در ابتدا نسبت به کالبد شکافی دشمنان ، انگیزه ها و انواع حملات ، شناخت مناسبی ایجاد گردد.
دشمنان ، شامل سارقین اطلاعاتی ، مجرمان ،دزدان کامپیوتری ، شرکت های رقیب و ... می باشد.
انگیزه ها ی موجود شامل : جمع آوری هوشمندانه، دستبرد فکری ( عقلانی ) ،عدم پذیرش سرویس ها ، کنف کردن ،احساس غرور و مورد توجه واقع شدن ، با شد .
انواع حملات شامل : مشاهده غیرفعال ارتباطات ، حملات به شبکه های فعال، حملات از نزدیک( مجاورت سیستم ها ) ، سوء استفاده و بهره برداری خودیان ( محرمان ) و حملات مربوط به ارائه دهندگان صنعتی یکی از منابع تکنولوژی اطلاعات ، است .
سیستم های اطلاعاتی و شبکه های کامپیوتری اهداف مناسب و جذابی برای مهاجمان اطلاعاتی می باشند . بنابراین لازم است، تدابیر لازم در خصوص حفاظت سیستم ها و شبکه ها در مقابل انواع متفاوت حملاتی اطلاعاتی اندیشیده گردد. بمنظور آنالیز حملات اطلاعاتی و اتخاذ راهکار مناسب بمنظور برخورد با آنان، لازم است در ابتدا با انواع حملات اطلاعات آشنا شده تا از این طریق امکان برخورد مناسب و سیستماتیک با هریک از آنان فراهم گردد . قطعا" وقتی ما شناخت مناسبی را نسبت به نوع و علل حمله داشته باشیم ، قادر به برخورد منطقی با آن بگونه ای خواهیم بود که پس از برخورد، زمینه تکرار موارد مشابه حذف گردد .
انواع حملات اطلاعاتی بشرح ذیل می باشند :
غیرفعال
فعال
نزدیک ( مجاور)
خودی ها ( محرمان )
عرضه ( توزیع )
ویژگی هر یک از انواع حملات فوق ، بشرح زیر می باشد :
غیر فعال (Passive) . این نوع حملات شامل: آنالیزترافیک شبکه ،شنود ارتباطات حفاظت نشده، رمزگشائی ترافیک های رمز شده ضعیف و بدست آوردن اطلاعات معتبری همچون رمز عبور می باشد . ره گیری غیرفعال عملیات شبکه ، می تواند به مهاجمان، هشدارها و اطلاعات لازم را در خصوص عملیات قریب الوقوعی که قرار است در شبکه اتفاق افتند بدهد( قرار است از مسیر فوق در آینده محموله ای ارزشمند عبور داده شود !) ، را خواهد داد .پیامدهای این نوع حملات ، آشکارشدن اطلاعات و یا فایل های اطلاعاتی برای یک مهاجم ، بدون رضایت و آگاهی کاربر خواهد بود .
فعال (Active) .این نوع حملات شامل : تلاش در جهت خنثی نمودن و یا حذف ویژگی های امنیتی ، معرفی کدهای مخرب ، سرقت و یا تغییر دادن اطلاعات می باشد . حملات فوق ، می تواند از طریق ستون فقرات یک شبکه ، سوء استفاده موقت اطلاعاتی ، نفوذ الکترونیکی در یک قلمرو بسته و حفاظت شده و یا حمله به یک کاربر تایید شده در زمان اتصال به یک ناحیه بسته و حفاظت شده ، بروز نماید . پیامد حملات فوق ، افشای اطلاعات ، اشاعه فایل های اطلاعاتی ، عدم پذیرش سرویس و یا تغییر در داده ها ، خواهد بود.
مجاور (Close-in) .این نوع حملات توسط افرادیکه در مجاورت ( نزدیکی ) سیستم ها قرار دارند با استفاده از تسهیلات موجود ، با یک ترفندی خاص بمنظور نیل به اهدافی نظیر : اصلاح ، جمع آوری و انکار دستیابی به اطلاعات باشد، صورت می پذیرد . حملات مبتنی بر مجاورت فیزیکی ، از طریق ورود مخفیانه ، دستیابی باز و یا هردو انجام می شود .
خودی (Insider) . حملات خودی ها ، می تواند بصورت مخرب و یا غیر مخرب جلوه نماید . حملات مخرب از این نوع شامل استراق سمع تعمدی ، سرقت و یا آسیب رسانی به اطلاعات ، استفاده از اطلاعات بطرزی کاملا" شیادانه و فریب آمیز و یا رد دستیابی سایر کاربران تایید شده باشد . حملات غیر مخرب از این نوع ، عموما" بدلیل سهل انگاری ( حواس پرتی ) ، فقدان دانش لازم و یا سرپیچی عمدی از سیاست های امنیتی صورت پذیرد.
توزیع (Distribution) . حملات از این نوع شامل کدهای مخربی است که در زمان تغییر سخت افزار و یا نرم افزار در محل مربوطه ( کارخانه ، شرکت ) و یا در زمان توزیع آنها ( سخت افزار ، نرم افزار) جلوه می نماید . این نوع حملات می تواند، کدهای مخربی را در بطن یک محصول جاسازی نماید . نظیر یک درب از عقب که امکان دستیابی غیرمجاز به اطلاعات و یا عملیات سیستم در زمان آتی را بمنظور سوء استفاده اطلاعاتی ، فراهم می نماید .
در این رابطه لازم است ، به سایر موارد نظیر آتس سوزی ، سیل ، قطع برق و خطای کاربران نیز توجه خاصی صورت پذیرد . در بخش دوم این مقاله ، به بررسی روش های ایمن سازی اطلاعات بمنظور نیل به یک استراتژی خاص امنیتی ، خواهیم پرداخت .
***********************************************
استراتژی حفاظت از اطلاعات در شبکه های کامپیوتری ( بخش دوم )
در بخش اول این مقاله به چالش های سازمانها و موسسات برای حرکت بسمت یک سازمان مدرن اطلاعاتی اشاره و پس از بررسی اهمیت ایمن سازی اطلاعات بر لزوم تدوین یک استراتژی امنیتی تاکید گردید . در این زمینه به انواع حملات اطلاعاتی نیز اشاره و مشخصات هر یک از آنان توضیح داده شد . در این بخش ، به بررسی عناصر اساسی در استراتژی پیشنهادی یعنی انسان ، تکنولوژی و عملیات خواهیم پرداخت .
ایمن سازی اطلاعات
توفیق در ایمن سازی اطلاعات منوط به حفاظت از اطلاعات و سیستم های اطلاعاتی در مقابل حملات است . بدین منظور از سرویس های امنیتی متعددی استفاده می گردد. سرویس های انتخابی ، می بایست پتانسیل لازم در خصوص ایجاد یک سیستم حفاظتی مناسب ، تشخیص بموقع حملات و واکنش سریع را داشته باشند. بنابراین می توان محور استراتژی انتخابی را بر سه مولفه حفاظت ، تشخیص و واکنش استوار نمود . حفاظت مطمئن ، تشخیص بموقع و واکنش مناسب از جمله مواردی است که می بایست همواره در ایجاد یک سیستم امنیتی رعایت گردد. سازمان ها و موسسات، علاوه بر یکپارچگی بین مکانیزم های حفاظتی ، می بایست همواره انتظار حملات اطلاعاتی را داشته و لازم است خود را به ابزارهای تشخیص و روتین های واکنش سریع ، مجهز تا زمینه برخورد مناسب با مهاجمان و بازیافت اطلاعات در زمان مناسب فراهم گردد . یکی از اصول مهم استراتژی "دفاع در عمق" ، برقراری توازن بین سه عنصر اساسی : انسان، تکنولوژی و عملیات ، است . حرکت بسمت تکنولوژی اطلاعات بدون افراد آموزش دیده و روتین های عملیاتی که راهنمای آنان در نحوه استفاده و ایمن سازی اطلاعات باشد ، محقق نخواهد شد .
انسان
موفقیت در ایمن سازی اطلاعات با پذیرش مسئولیت و حمایت مدیریت عالی یک سازمان ( معمولا" در سطح مدیریت ارشد اطلاعات ) و بر اساس شناخت مناسب از تهاجمات ، حاصل می گردد. نیل به موفقیت با پیگیری سیاست ها و روتین های مربوطه ، تعیین وظایف و مسئولیت ها ، آموزش منابع انسانی حساس ( کاربران، مدیران سیستم ) و توجیه مسئولیت های شخصی کارکنان ، حاصل می گردد.در این راستا لازم است یک سیستم امنیتی فیزیکی و شخصی بمنظور کنترل و هماهنگی در دستیابی به هر یک از عناصر حیاتی در محیط های مبتنی بر تکنولوژی اطلاعات ، نیز ایجاد گردد . ایمن سازی اطلاعات از جمله مواردی است که می بایست موفقیت خود را در عمل و نه در حرف نشان دهد . بنابراین لازم است که پس از تدوین سیاست ها و دستورالعمل های مربوطه ، پیگیری مستمر و هدفمند جهت اجرای سیاست ها و دستورالعمل ها ، دنبال گردد. بهترین استراتژی تدوین شده در صورتیکه امکان تحقق عملی آن فراهم نگردد ، ( سهوا" و یا عمدا") ، هرگز امتیاز مثبتی را در کارنامه خود ثبت نخواهد کرد .
با توجه به جایگاه خاص منابع انسانی در ایجاد یک محیط ایمن مبتنی بر تکنولوژی اطلاعات ، لازم است به موارد زیر توجه گردد :
تدوین سیاست ها و رویه ها
ارائه آموزش های لازم جهت افزایش دانش
مدیریت سیستم امنیتی
امنیت فیزیکی
امنیت شخصی
تدابیر لازم در خصوص پیشگیری
تکنولوژی
امروزه از تکنولوژی ها ی متعددی بمنظور ارائه سرویس های لازم در رابطه با ایمن سازی اطلاعات و تشخیص مزاحمین اطلاعاتی، استفاده می گردد. سازمان ها و موسسات می بایست سیاست ها و فرآیندهای لازم بمنظور استفاده از یک تکنولوژی را مشخص تا زمینه انتخاب و بکارگیری درست تکنولوژی در سازمان مربوطه فراهم گردد. در این رابطه می بایست به مواردی همچون : سیاست امنیتی ، اصول ایمن سازی اطلاعات، استانداردها و معماری ایمن سازی اطلاعات ، استفاده از محصولات مربوط به ارائه دهندگان شناخته شده و خوش نام ، راهنمای پیکربندی ، پردازش های لازم برای ارزیابی ریسک سیستم های مجتمع و بهم مرتبط ، توجه گردد . در این رابطه موارد زیر ،پیشنهاد می گردد :
دفاع در چندین محل . مهاجمان اطلاعاتی( داخلی و یا خارجی ) ممکن است ، یک هدف را از چندین نفطه مورد تهاجم قرار دهند. در این راستا لازم است سازمان ها و موسسات از روش های حفاظتی متفاوت در چندین محل ( سطح ) استفاده ، تا زمینه عکس العمل لازم در مقابل انواع متفاوت حملات ، فراهم گردد . در این رابطه می بایست به موارد زیر توجه گردد :
? دفاع از شبکه ها و زیر ساخت . در این رابطه لازم است شبکه های محلی و یا سراسری حفاظت گردند . ( حفاظت در مقابل حملات اطلاعاتی از نوع عدم پذیرش خدمات )
? حفاظت یکپارچه و محرمانه برای ارسال اطلاعات در شبکه ( استفاده از رمزنگاری و کنترل ترافیک بمنظور واکنش در مقابل مشاهده غیرفعال )
? دفاع در محدوده های مرزی . ( بکارگیری فایروال ها و سیستم های تشخیص مزاحمین بمنظور واکنش در مقابل حملات اطلاعاتی از نوع فعال )
? دفاع در محیط های محاسباتی ( کنترل های لازم بمنظور دستیابی به میزبان ها و سرویس دهنده بمنظور واکنش لازم در مقابل حملات از نوع خودی، توزیع و مجاور ) .
دفاع لایه ای . بهترین محصولات مربوط به ایمن سازی اطلاعات دارای نقاط ضعف ذاتی ، مربوط به خود می باشند. بنابراین همواره زمان لازم در اختیار مهاجمان اطلاعاتی برای نفوذ در سیستم های اطلاعاتی وجود خواهد داشت.بدین ترتیب لازم است قبل از سوءاستفاده اطلاعاتی متجاوزان، اقدامات مناسبی صورت پذیرد. یکی از روش های موثر پیشگیری در این خصوص ، استفاده از دفاع لایه ای در مکان های بین مهاجمان و اهداف مورد نظر آنان ،می باشد . هر یک از مکانیزم های انتخابی ، می بایست قادر به ایجاد موانع لازم در ارتباط با مهاجمان اطلاعاتی ( حفاظت ) و تشخیص بموقع حملات باشد . بدین ترتیب امکان تشخیص مهاجمان اطلاعاتی افزایش و از طرف دیگر شانس آنها بمنظور نفوذ در سیستم و کسب موفقیت، کاهش خواهد یافت . استفاده از فایروال های تودرتو ( هر فایروال در کنار خود از یک سیستم تشخیص مزاحمین ، نیز استفاده می نماید) در محدوده های داخلی و خارجی شبکه ، نمونه ای از رویکرد دفاع لایه ای است . فایروال های داخلی ممکن است امکانات بیشتری را در رابطه با فیلتر سازی داده ها و کنترل دستیابی به منابع موجود ارائه نمایند
تعیین میزان اقتدار امنیتی هر یک از عناصر موجود در ایمن سازی اطلاعات (چه چیزی حفاظت شده و نحوه برخورد با تهاجم اطلاعاتی در محلی که از عنصر مربوطه استفاده شده ، به چه صورت است ؟) . پس از سنجش میزان اقتدار امنیتی هر یک از عناصر مربوطه ، می توان از آنان در جایگاهی که دارای حداکثر کارآئی باشند ، استفاده کرد . مثلا" می بایست از مکانیزم های امنیتی مقتدر در محدوده های مرزی شبکه استفاده گردد .
استفاده از مدیریت کلید مقتدر و زیر ساخت کلید عمومی، که قادر به حمایت از تمام تکنولوژی های مرتبط با ایمن سازی اطلاعات بوده و دارای مقاومت مطلوب در مقابل یک تهاجم اطلاعاتی باشد.
بکارگیری زیرساخت لازم بمنظور تشخیص مزاحمین ، آنالیز و یکپارچگی نتایج بمنظور انجام واکنش های مناسب در رابطه با نوع تهاجم . زیر ساخت مربوطه می بایست به پرسنل عملیاتی، راهنمائی لازم در مواجه با سوالاتی نظیر : آیا من تحت تهاجم اطلاعاتی قزار گرفته ام ؟ منبع تهاجم چه کسی می باشد ؟ به چه فرد دیگری تهاجم شده است ؟ راه حل ها و راهکارهای من در این رابطه چیست ؟ ، را ارائه نماید.
عملیات
منظور از عملیات ، مجموعه فعالیت های لازم بمنظور نگهداری وضعیت امنیتی یک سازمان است . در این رابطه لازم است ، به موارد زیر توجه گردد :
پشتیبانی ملموس و بهنگام سازی سیاست های امنیتی
اعمال تغییرات لازم با توجه به روند تحولات مرتبط با تکنولوژی اطلاعات. در این رابطه می بایست داده های مورد نظر جمع آوری تا زمینه تصمیم سازی مناسب برای مدیریت فراهم گردد ( تامین اطلاعات ضروری برای مدیریت ریسک ) .
مدیریت وضعیت امنیتی با توجه به تکنولوژی های استفاده شده در رابطه ایمن سازی اطلاعات ( نصب Patch امنیتی، بهنگام سازی ویروس ها ، پشتیبانی لیست های کنترل دستیابی )
ارائه سرویس های مدیریتی اساسی و حفاظت از زیرساخت های مهم ( خصوصا" زیر ساخت هائی که برای یک سازمان ختم به درآمد می گردد ) .
ارزیابی سیستم امنیتی
هماهنگی و واکنش در مقابل حملات جاری
تشخیص حملات و ارائه هشدار و پاسخ مناسب بمنظور ایزوله نمودن حملات و پیشگیری از موارد مشابه
بازیافت و برگرداندن امور به حالت اولیه (بازسازی )
ایمن سازی اطلاعات
توفیق در ایمن سازی اطلاعات منوط به حفاظت از اطلاعات و سیستم های اطلاعاتی در مقابل حملات است . بدین منظور از سرویس های امنیتی متعددی استفاده می گردد. سرویس های انتخابی ، می بایست پتانسیل لازم در خصوص ایجاد یک سیستم حفاظتی مناسب ، تشخیص بموقع حملات و واکنش سریع را داشته باشند. بنابراین می توان محور استراتژی انتخابی را بر سه مولفه حفاظت ، تشخیص و واکنش استوار نمود . حفاظت مطمئن ، تشخیص بموقع و واکنش مناسب از جمله مواردی است که می بایست همواره در ایجاد یک سیستم امنیتی رعایت گردد. سازمان ها و موسسات، علاوه بر یکپارچگی بین مکانیزم های حفاظتی ، می بایست همواره انتظار حملات اطلاعاتی را داشته و لازم است خود را به ابزارهای تشخیص و روتین های واکنش سریع ، مجهز تا زمینه برخورد مناسب با مهاجمان و بازیافت اطلاعات در زمان مناسب فراهم گردد . یکی از اصول مهم استراتژی "دفاع در عمق" ، برقراری توازن بین سه عنصر اساسی : انسان، تکنولوژی و عملیات ، است . حرکت بسمت تکنولوژی اطلاعات بدون افراد آموزش دیده و روتین های عملیاتی که راهنمای آنان در نحوه استفاده و ایمن سازی اطلاعات باشد ، محقق نخواهد شد .
انسان
موفقیت در ایمن سازی اطلاعات با پذیرش مسئولیت و حمایت مدیریت عالی یک سازمان ( معمولا" در سطح مدیریت ارشد اطلاعات ) و بر اساس شناخت مناسب از تهاجمات ، حاصل می گردد. نیل به موفقیت با پیگیری سیاست ها و روتین های مربوطه ، تعیین وظایف و مسئولیت ها ، آموزش منابع انسانی حساس ( کاربران، مدیران سیستم ) و توجیه مسئولیت های شخصی کارکنان ، حاصل می گردد.در این راستا لازم است یک سیستم امنیتی فیزیکی و شخصی بمنظور کنترل و هماهنگی در دستیابی به هر یک از عناصر حیاتی در محیط های مبتنی بر تکنولوژی اطلاعات ، نیز ایجاد گردد . ایمن سازی اطلاعات از جمله مواردی است که می بایست موفقیت خود را در عمل و نه در حرف نشان دهد . بنابراین لازم است که پس از تدوین سیاست ها و دستورالعمل های مربوطه ، پیگیری مستمر و هدفمند جهت اجرای سیاست ها و دستورالعمل ها ، دنبال گردد. بهترین استراتژی تدوین شده در صورتیکه امکان تحقق عملی آن فراهم نگردد ، ( سهوا" و یا عمدا") ، هرگز امتیاز مثبتی را در کارنامه خود ثبت نخواهد کرد .
با توجه به جایگاه خاص منابع انسانی در ایجاد یک محیط ایمن مبتنی بر تکنولوژی اطلاعات ، لازم است به موارد زیر توجه گردد :
تدوین سیاست ها و رویه ها
ارائه آموزش های لازم جهت افزایش دانش
مدیریت سیستم امنیتی
امنیت فیزیکی
امنیت شخصی
تدابیر لازم در خصوص پیشگیری
تکنولوژی
امروزه از تکنولوژی ها ی متعددی بمنظور ارائه سرویس های لازم در رابطه با ایمن سازی اطلاعات و تشخیص مزاحمین اطلاعاتی، استفاده می گردد. سازمان ها و موسسات می بایست سیاست ها و فرآیندهای لازم بمنظور استفاده از یک تکنولوژی را مشخص تا زمینه انتخاب و بکارگیری درست تکنولوژی در سازمان مربوطه فراهم گردد. در این رابطه می بایست به مواردی همچون : سیاست امنیتی ، اصول ایمن سازی اطلاعات، استانداردها و معماری ایمن سازی اطلاعات ، استفاده از محصولات مربوط به ارائه دهندگان شناخته شده و خوش نام ، راهنمای پیکربندی ، پردازش های لازم برای ارزیابی ریسک سیستم های مجتمع و بهم مرتبط ، توجه گردد . در این رابطه موارد زیر ،پیشنهاد می گردد :
دفاع در چندین محل . مهاجمان اطلاعاتی( داخلی و یا خارجی ) ممکن است ، یک هدف را از چندین نفطه مورد تهاجم قرار دهند. در این راستا لازم است سازمان ها و موسسات از روش های حفاظتی متفاوت در چندین محل ( سطح ) استفاده ، تا زمینه عکس العمل لازم در مقابل انواع متفاوت حملات ، فراهم گردد . در این رابطه می بایست به موارد زیر توجه گردد :
? دفاع از شبکه ها و زیر ساخت . در این رابطه لازم است شبکه های محلی و یا سراسری حفاظت گردند . ( حفاظت در مقابل حملات اطلاعاتی از نوع عدم پذیرش خدمات )
? حفاظت یکپارچه و محرمانه برای ارسال اطلاعات در شبکه ( استفاده از رمزنگاری و کنترل ترافیک بمنظور واکنش در مقابل مشاهده غیرفعال )
? دفاع در محدوده های مرزی . ( بکارگیری فایروال ها و سیستم های تشخیص مزاحمین بمنظور واکنش در مقابل حملات اطلاعاتی از نوع فعال )
? دفاع در محیط های محاسباتی ( کنترل های لازم بمنظور دستیابی به میزبان ها و سرویس دهنده بمنظور واکنش لازم در مقابل حملات از نوع خودی، توزیع و مجاور ) .
دفاع لایه ای . بهترین محصولات مربوط به ایمن سازی اطلاعات دارای نقاط ضعف ذاتی ، مربوط به خود می باشند. بنابراین همواره زمان لازم در اختیار مهاجمان اطلاعاتی برای نفوذ در سیستم های اطلاعاتی وجود خواهد داشت.بدین ترتیب لازم است قبل از سوءاستفاده اطلاعاتی متجاوزان، اقدامات مناسبی صورت پذیرد. یکی از روش های موثر پیشگیری در این خصوص ، استفاده از دفاع لایه ای در مکان های بین مهاجمان و اهداف مورد نظر آنان ،می باشد . هر یک از مکانیزم های انتخابی ، می بایست قادر به ایجاد موانع لازم در ارتباط با مهاجمان اطلاعاتی ( حفاظت ) و تشخیص بموقع حملات باشد . بدین ترتیب امکان تشخیص مهاجمان اطلاعاتی افزایش و از طرف دیگر شانس آنها بمنظور نفوذ در سیستم و کسب موفقیت، کاهش خواهد یافت . استفاده از فایروال های تودرتو ( هر فایروال در کنار خود از یک سیستم تشخیص مزاحمین ، نیز استفاده می نماید) در محدوده های داخلی و خارجی شبکه ، نمونه ای از رویکرد دفاع لایه ای است . فایروال های داخلی ممکن است امکانات بیشتری را در رابطه با فیلتر سازی داده ها و کنترل دستیابی به منابع موجود ارائه نمایند
تعیین میزان اقتدار امنیتی هر یک از عناصر موجود در ایمن سازی اطلاعات (چه چیزی حفاظت شده و نحوه برخورد با تهاجم اطلاعاتی در محلی که از عنصر مربوطه استفاده شده ، به چه صورت است ؟) . پس از سنجش میزان اقتدار امنیتی هر یک از عناصر مربوطه ، می توان از آنان در جایگاهی که دارای حداکثر کارآئی باشند ، استفاده کرد . مثلا" می بایست از مکانیزم های امنیتی مقتدر در محدوده های مرزی شبکه استفاده گردد .
استفاده از مدیریت کلید مقتدر و زیر ساخت کلید عمومی، که قادر به حمایت از تمام تکنولوژی های مرتبط با ایمن سازی اطلاعات بوده و دارای مقاومت مطلوب در مقابل یک تهاجم اطلاعاتی باشد.
بکارگیری زیرساخت لازم بمنظور تشخیص مزاحمین ، آنالیز و یکپارچگی نتایج بمنظور انجام واکنش های مناسب در رابطه با نوع تهاجم . زیر ساخت مربوطه می بایست به پرسنل عملیاتی، راهنمائی لازم در مواجه با سوالاتی نظیر : آیا من تحت تهاجم اطلاعاتی قزار گرفته ام ؟ منبع تهاجم چه کسی می باشد ؟ به چه فرد دیگری تهاجم شده است ؟ راه حل ها و راهکارهای من در این رابطه چیست ؟ ، را ارائه نماید.
عملیات
منظور از عملیات ، مجموعه فعالیت های لازم بمنظور نگهداری وضعیت امنیتی یک سازمان است . در این رابطه لازم است ، به موارد زیر توجه گردد :
پشتیبانی ملموس و بهنگام سازی سیاست های امنیتی
اعمال تغییرات لازم با توجه به روند تحولات مرتبط با تکنولوژی اطلاعات. در این رابطه می بایست داده های مورد نظر جمع آوری تا زمینه تصمیم سازی مناسب برای مدیریت فراهم گردد ( تامین اطلاعات ضروری برای مدیریت ریسک ) .
مدیریت وضعیت امنیتی با توجه به تکنولوژی های استفاده شده در رابطه ایمن سازی اطلاعات ( نصب Patch امنیتی، بهنگام سازی ویروس ها ، پشتیبانی لیست های کنترل دستیابی )
ارائه سرویس های مدیریتی اساسی و حفاظت از زیرساخت های مهم ( خصوصا" زیر ساخت هائی که برای یک سازمان ختم به درآمد می گردد ) .
ارزیابی سیستم امنیتی
هماهنگی و واکنش در مقابل حملات جاری
تشخیص حملات و ارائه هشدار و پاسخ مناسب بمنظور ایزوله نمودن حملات و پیشگیری از موارد مشابه
بازیافت و برگرداندن امور به حالت اولیه (بازسازی )
----------------------------------------------------------------------------------------------------
-------------------------------------------------------------------------------------------------------------
برای نمایش آواتار خود در این وبلاگ در سایت Gravatar.com ثبت نام کنید. (راهنما)
ایمیل شما بعد از ثبت نمایش داده نخواهد شد