حفاظت، پشتیبانی و نگهداری از دادههای رایانهای، اطلاعات مهم، برنامههای حساس، نرمافزارهای مورد نیاز و یا هر آنچه که در حافظه جانبی رایانه مورد توجه بوده و با اهمیت میباشد، امنیت رایانهای نامیده میشود. تفکر امنیت در شبکه برای دستیابی به سه عامل مهم است که با یک دیگر مثلث امنیتی را تشکیل می دهند. این عوامل عبارتند از راز داری و امانت داری (Confidentiality)، یکپارچگی (Integrity) و در نهایت در دسترس بودن همیشگی (Availability). این سه عامل (CIA) اصول اساسی امنیت اطلاعات – در شبکه و یا بیرون آن – را تشکیل می دهند بگونه ای که تمامی تمهیدات لازمی که برای امنیت شبکه اتخاذ میشود و یا تجهیزاتی که ساخته می شوند، همگی ناشی از نیاز به اعمال این سه پارامتر در محیط های نگهداری و تبادل اطلاعات است.
Confidentiality
به معنای آن است که اطلاعات فقط در دسترس کسانی قرار گیرد که به آن نیاز دارند و اینگونه تعریف شده است. بعنوان مثال از دست دادن این خصیصه امنیتی معادل است با بیرون رفتن قسمتی از پرونده محرمانه یک شرکت و امکان دسترسی به آن توسط مطبوعات.
Integrity
بیشتر مفهومی است که به علوم سیستمی باز می گردد و بطور خلاصه می توان آنرا اینگونه تعریف کرد:
– تغییرات در اطلاعات فقط باید توسط افراد یا پروسه های مشخص و مجاز انجام گیرد.
– تغییرات بدون اجازه و بدون دلیل حتی توسط افراد یا پروسه های مجاز نباید صورت بگیرد.
– یکپارچگی اطلاعات باید در درون و بیرون سیستم حفظ شود. به این معنی که یک داده مشخص چه در درون سیستم و چه در خارج آن باید یکسان باشد و اگر تغییر می کند باید همزمان درون و برون سیستم از آن آگاه شوند.
Availability
این پارامتر ضمانت می کند که یک سیستم – مثلا اطلاعاتی – همواره باید در دسترس باشد و بتواند کار خود را انجام دهد. بنابراین حتی اگر همه موارد ایمنی مد نظر باشد اما عواملی باعث خوابیدن سیستم شوند – مانند قطع برق – از نظر یک سیستم امنیتی این سیستم ایمن نیست.
در این میان می توان به مفاهیمی نظیر Identification به معنی تقاضای شناسایی به هنگام دسترسی کاربر به سیستم، Authentication به معنی مشخص کردن هویت کاربر، Authorization به معنی مشخص کردن میزان دسترسی کاربر به منابع، Accountability به معنی قابلیت حسابرسی از عملکرد سیستم و … اشاره کرد.
امنیت در یک شبکه به ۲ روش صورت می پذیرد.
۱- برنامه های نرمافزاری
۲- قطعههای سختافزاری.
در بهترین حالت از برنامه های نرم افزاری و قطعات سخت افزاری بطور همزمان استفاده می گردد. عموماً برنامههای نرمافزاری شامل برنامههای ضدمخرب (مخربها شامل ویروس، کرمهای مهاجم، اسبهای تراوا، مخفیشدهها و …. ) و دیوار آتش میباشد. قطعات سختافزاری نیز عموماً شامل دیوار آتش میشود. این قطعهها موجب کنترل درگاههای ورودی و خروجی به رایانه و شناخت کامل از حملهکنندهها بخصوص نشانههای خاص مهاجم را ایجاد می نماید.
فراموش نکنیم که شرکت مایکروسافت به عنوان عرضهکننده سیستم های عامل نسل Windows (که در حال حاضر پرمصرف ترین گروه سیستمهای عامل را تشکیل می دهد)، به یک برنامه نرم افزاری دیوار آتش بصورت پیش فرض مجهز می باشد، که میتواند تا امنیت را هر چند کم، برای کاربران سیستمهای عامل خود فراهم نماید.
اما در اولین مرحله
امن سازی یک شبکه ابتدا باید سازمان را به یک برنامه ضدمخرب قوی مانندَAntivir, Symantec, Kaspersky, Nod32, BitDefender, Norton, Panda، Mac با قابلیت بروزآوری مجهز نمود، تا بتواند در مقابل حمله برنامه های مخرب واکنش مناسبی ارائه نماید. برنامه Antivir می تواند یک انتخاب مناسب در این زمینه باشد. چرا که این برنامه قابلیت بروزآوری را بطور مداوم دارا میباشد و خود برنامه نیز هر ۶ ماه یکبار ویرایش میگردد تا از موتور جستجوگر قوی تر و بهینهتری برای یافتن برنامه های مخرب بهره گیرد.
در مرحله دوم
امن سازی یک شبکه باید از دستگاه تقسیمکننده استفاده نمود. دستگاه های فوق خود بر دومدل قابل تنظیم و پیکربندی و غیرقابل تنظیم و غیر قابل پیکربندی تقسیم می شوند. ممکن است در گروه اول نیز قطعاتی یافت شود که تنظیمات جزئی پیکربندی را انجام دهند اما بطور کامل و با تمامی امکاناتی که در گروه دوم قطعات دیده می شوند، مجهز نمیباشند. عموماً این دستگاه تقسیم کننده از مدل Core و برای ارتباط سرویسدهندههای مرکزی به یکدیگر و انجام خدمات به شبکه داخلی یا دنیای اینترنت تهیه میشود و در لایه اصلی تقسیم ارتباط شبکه، از طرف سرویسدهندههای مرکزی به سرویس گیرنده های داخلی و بالعکس قرار گیرد. این قطعه می تواند از تکثیر یک برنامه ضدمخرب و همچنین ورود و خروج مهاجمان پنهان، در درون شبکه داخلی از یک رایانه به رایانه دیگر تا حد بسیار زیادی جلوگیری نماید.
اما اگر تعداد کاربران و سرویسگیرندههای یک سازمان بیش از تعداد درگاههای خروجی یک تقسیمکننده مرکزی Core Switch باشد، در این صورت از تقسیم کننده های دیگری که قابلیت پیکربندی را دارا بوده و مقرون به صرفه نیز میباشند، میتوان استفاده نمود، تا کنترل ورودی و خروجی های هر طبقه یا واحد را بیمه نماییم.
در مرحله سوم
امن سازی، نیاز به خرید برنامه نرم افزاری و یا قطعه سخت افزاری دیوار آتش احساس می شود. بیشترین تأکید بر روی قطعه سخت افزاری استوار است زیرا که از ثبات، قدرت بیشتر و ایرادات کمتری نسبت به نرم افزارهای مشابه خود برخوردار است. قطعه سختافزاری دژ ایمن می بایست در مسیر ورودی اینترنت به یک سازمان قرار گیرد. دقیقاً همانجایی که اینترنت غیرامن به یک سازمان تزریق می گردد. پیشنهاد ما، قطعه سختافزاریCisco ASA و یا Astaro Firewall می باشد. فراموش نشود استفاده از دو دستگاه همزمان موازی قطعاً نیاز ارجح هر سازمان می باشد چرا که با ایست، و توقف سرویسدهی یکی از قطعهها، دستگاه دیگر کنترل ورودی ها و خروجی ها را بدست میگیرد.
در مرحله چهارم
امن سازی نیاز به وجود قطعه سختافزاری دیگری به نام مسیریاب برای شبکه داخلی میباشد که ضمن قابلیت پیکربندی، برای نشان دادن مسیر ورودی ها و خروجی ها، اشتراک اینترنت، تنظیم ورودی ها و خروجی های دیوار آتشین، و همچنین خروج اطلاعات به شکل اینترنتی از سازمان به رایانه های شهری و یا بین شهری از طریق خطوط تلفن و … استفاده نمود. پیشنهاد ما نیز محصولات شرکت معتبر Cisco میباشد.
در مرحله بعدی
امن سازی یک سازمان نیاز به وجود دستگاه های تنظیم جریان برق و دستگاه های پشتیبان جریان برق اضطراری برای ارائه خدمات به صورت تمام وقت، بدون قطعی و تنظیم جریان برق، تمامی قطعههای سخت افزاری راهبر یک شبکه شامل تقسیمکنندهها، مسیریاب ها ، سرویسدهندههامی باشد. این سیستم به دلیل ایجاد خطرات احتمالی ناشی از قطع جریان برق نظیر از بین رفتن اطلاعات در حال ثبت بر روی سرویسدهنده ها، تقسیم کننده ها، مسیریاب ها میباشد.
به عنوان آخرین مرحله
امن سازی، تهیه از اطلاعات و فایلهای مورد نیاز به صورت پشتیبان از برنامههای اصلی نرمافزاری بر روی یک سرویسدهنده پشتیبان ، آخرین لایه امن سازی درون سازمانی را تکمیل می نماید.
دیدگاه خود را ثبت کنید
تمایل دارید در گفتگوها شرکت کنید؟در گفتگو ها شرکت کنید.