معرفی سازمان
شركت فرودگاههاي كشور به موجب مصوبه شورايعالي اداري در تاريخ 25/12/1370 و به منظور نيل به اهداف و تكاليف مندرج در قانون توسعه كشور و در راستاي رونق بخش حمل و نقل هوايي و تحول ساختاري در زمينه تفكيك تصدي از حاكميت رسما آغاز به كار نمود . اين شركت همانگونه كه از ماده 1 اساسنامه و اصلاحيه آن مستفاد مي گردد با هدف بازرگاني نمودن سيستم عمليات اجرايي و بخش تصدي فعاليتها و وظايف سازمان هواپیمایی کشوری شكل گرفت . دستيابي به اين اهداف و اخذ مجوزهاي لازم از دستگاههاي ذيربط دولتي ومجلس شورای اسلامی در سالهاي گذشته همواره اهداف استراتژيك اين شركت را تحت تاثير قرار داده و برنامه ريزي براي دستيابي به فرايندهاي لازم جهت برطرف نمودن اين چالشها، روند فعاليتهاي شركت را همواره تحت تاثير قرار داده است .
سازمان هواپيمايي کشوري
سازمان هواپيمايي کشوري ابزار حاکميت دولت در بخش مهم و حساس صنعت حمل و نقل هوايي است که بر مجموعه فعاليتهاي هوانوردي و فرودگاهي و حمل و نقل نظرات عاليه اعمال مينمايد. هدف اساسي اين سازمان تامين ايمني و سلامتي پروازها در فضاي هوائي کشور مي باشد. در سطح بين المللي کشور به عضويت سازمان بين المللي هواپيمائي کشور (ايکائو) در آمده و سازمان هواپيمائي کشوري به عنوان نماينده رسمي جمهوري اسلامي ايران در سازمان ايکائو مي باشد.
سازمان هواپيمائي کشوري به منظور تقويت حوزه مرکزي در جهت اعمال حاکميت دولت در صنعت حمل و نقل هوائي و انتزاع وظايف تصدي از سازمان با ايجاد شرکت فرودگاههاي کشور کليه وظايف مربوط به اداره، نگهداري، توسعه، تجهيز و بهره برداري از فرودگاههاي کشور را به آن شرکت انتقال داد. اکنون عمده وظايف آن در زمينه سياست گذاري، برنامه ريزي و تعيين خط مشي ها ميباشد.
خلاصه اي از فعاليتها:
سازمان به منظور کنترل فضاي کشور و تامين ايمني پرواز هواپيماهاي داخلي و خارجي و برقراري ارتباط هوايي درون و برون مرزي و با در نظر گرفتن استاندارد ها و رويه هاي توصيه شده بين المللي ايکائو، مقررات و استاندارد هاي ملي هوانوردي در زمينه فعاليت هاي هوانوردي از جمله مراقبت پرواز، ارتباطات هوانوردي، ايمني زميني، تامين و نصب سيستم هاي ارتباطي، ناوبري، راداري، روشنايي باند، فعاليتهاي امنيتي، ساخت فرودگاهها، تسهيلات فرودگاهي، ساخت و منتاژ و تعمير و نگهداري و خريد و اجاره انواع هواپيماها، تنظيم شبکه پروازي داخلي و بين المللي را تدوين و يا مورد بازنگري قرار داده است.
با توجه به وظيفه سازمان ايکائو مبني بر تصويب استانداردهاي بين المللي، سازمان از طريق شرکت در اجلاس ها و کميته هاي تخصصي هوانوردي آن سازمان بين المللي و ارايه نظريات مختلف در مورد پيش نويس استاندارد هاي بين المللي نقش بسزايي را در روند تصويب اين استانداردها ايفا مي نمايد.
سازمان همچنين در اجلاس ها و کميته هاي طرحهاي هوانوردي منطقه خاورميانه به عنوان يکي از اعضاي موثر در منطقه شرکت نموده تا بتواند طرحهاي هماهنگ هوانوردي منطقه در زمينه مسيرهاي هوايي و تجهيزات هوانوردي و عبور و مرور هواپيماها و برقراري ارتباطات هوانوردي را به تصويب برسان د.
فعاليت تجاري پروازهاي بين المللي ميان دو کشور نياز به انعقاد موافقت نامه هاي دو جانبه ميان جمهوري اسلامي ايران و ساير کشور ها دارد که سازمان در اجراي اين وظيفه پس از مذاکره با کشور هاي مختلف تا کنون حدود 70 موافقت نامه دو جانبه حمل و نقل هوايي را منعقد نموده است.
سازمان در مورد صدور گواهينماه هاي لازم براي ثبت هواپيما، صلاحيت خدمه پروازي، قابليت پرواز هواپيما ها، کارگاههاي تعميراتي هواپيما، طراحي و ساخت هواپيما اقدام نموده و همچنين به منظور ارائه خدمات حمل و نقل هوائي ايمن جهت تامين نيازمنديهاي مسافر و بار مجوز هاي لازم را براي ايجاد شرکت هاي حمل و نقل هوائي داخلي، فعاليت شرکتهاي حمل و نقل هوائس خارجي در ايران، باشگاههاي هوانوردي، مرکز آموزش هوانوردي، شرکتهاي فرودگاهي و دفاتر خدمات مسافرت هوائي و شرکتهاي خدمات کارگزاري هوائي صادر کرده است که گام موثري را در زمينه خصوصي سازي فعاليتها برداشته است.
علاوه بر اين بر وضعيت جسماني خلبانان و کنترلرها نظارت نموده و با آماده سازي دومين هواپيماي فلايت چک با برنامه هاي منظم دستگاههاي ناوبري را کنترل کرده است.
جريان عبور و مرور نشست و برخاست هواپيما از جهت تامين ايمني پرواز و حسن تدبير امور تخت سه وظيفه مهم ارتباطات و ناوبري و نظارت طبقه بندي شده که اساس خدمات و پشتيباني کننده واحد مديريت عبور و مرور هوائي را تشکيل ميدهند.
مديريت عبور و مرور هوائي با ايجاد حدود 150000 نوتيکال مايل مسيرهاي هوايي داخل و بين المللي در چهارچوب حدود 67 معبر (کريدور) هوائي و از طريق ايجاد مرکز کنترل فضاي کشور و ايجاد حدود 16 پايانه هوايي در محدوده فضاي فرودگاههاي کشور و امکانات برج کنتل در حدود 44 فرودگاه عبور و مرور و نشست و برخاست هواپيما ها را به منظور اجتناب از برخورد با يکديگر يا با شاير موانع انجام مي دهند.
به منظور کنترل هوا پيما ها در فضاي کشور تجهيزات و سيستم هاي ارتباطي و ناوبري و نظارتي مختلفي تدارک و در ايستگاههاي هوانوردي نصب گرديده که عبارت از 5 رادار و بيش از 18 سيستم کنترل از راه دور زمين به هوا، بيش از 10 سيستم فرود با دستگاه و بيش از 30 دستگاه ارائه دهنده سمت و زاويه و بيش از 40 دستگاه راهنماي جهت يابي و بيش از 30 دستگاه فاصله ياب مي باشند.خريد تجهيزات جهت ايجاد مرکز کنترل جديد به منظور ارائه خدمات هوانوردي در منطقه اطلاعات پرواز و سيستم هاي رادار ثانويه جهت نصب در ايستگاههاي هوانورديو برقراري سيستم نظارت اتوماتيک وابسته / ارتباطات حلقه اي داده ها ميان خلبانان و کنترلر و جايگزيني سيستم هاي ارتباطي ماهواره اي انجام شده و در آينده نزديک به طور کامل در مدار قرار گرفت.
تهيه طرحهاي تقريب ورودي و خروجي، بر روي مناطق خطر، محدوده و احتياطي و مبادله حدود 10 ميليون فقره پيامهاي هواپيمائي از جمله فعاليتهاي ديگر براي ارائه خدمات هوانوردي است.
در هر سال به حدود بيش از 400 هزار پرواز تجاري داخلي و خارجي و غيره تجاري و عبوري بر فراز فضاي هوائي کشور خدمات هوانوردي ارائه مي شود که با افزايش تجهيزات و بهبود آموزش نيروي انساني متخصص مي توان ظرفيت ارائه خدمات را در مقياس وسيعي با ايمني بيشتر افزايش داد.
با اتمام احداث فرودگاههاي در حال ساخت، تعداد 78 فرودگاه تجاري مورد بهره برداري قرار خواهد گرفت و در حال حاضر بهره برداري از 64 فرودگاه به عهده شرکت فرودگاههاي کشور و تعداد 15 فرودگاه تحت مديريت ساير ارگانها ميباشد.
فرودگاهها در حال بهره برداري جهت ارائه خدمات مورد نياز استفاده کنندگان از آنها داراي اکانات متعدد در بخش هوائي و زميني و راهاي دسترسي و تسهيلات فرودگاهي مي باشند که نگهداري و توسعه آنها به عهده مديريت فرودگاه است و همچنين هماهنگي ميان نهاد هاي مستقر در فرودگاه از جمله وظايف عمده مي باشد.
به لحاظ پذيرش نوع هواپيما 11 فرودگاه در حال بهره برداري قابل پذيرش هواپيماي پهن پيکر و 30 فرودگاه قابل پذيرش هواپيماي بدنه متوسط و 58 فرودگاه قابل پذيرش هواپيماي بدنه باريک مي باشند. از فرودگاههاي موجود تعداد 5 فرودگاه به صورت بين المللي هستند که امکان جابجايي مسافر و بار به نقاط خارج از کشور در آنها وجود دارد. در هر سال حدود 20 ميليون مسافر داخلي و بين المللي و 100 هزار تن از طريق پايانه هاي فرودگاهي براي انجام سفر هوائي استفاده مي نماييد که فرودگاه امکانات لازم را فراهم مي آورد.
از سرمايه گذاري بخش خصوصي در فرودگاههاي کشور استقبال گرديده و تا کنون طرحهاي متعددي از جمله پارکينگ و توسعه ترمينال مسافري به اجرا در آمده که مهمترين آنها راه اندازي هتل ترانزيت فرودگاه مهر آباد به منظور بهره گيري توريست ها و شخصيت هاي تجاري ميباشد. البته در نظر است تا بتوانيم اداره و بهره برداري برخي از فرودگاهها را نيز به بخش خصوصي واگذار نماييم تا بخشي از وظايف تصدي را به بخش غير دولتي انتقال داده باشيم.
امروزه براي ورود هواپيماهاي باري به فرودگاه هاي تهران، مشهد، تبريز، اصفهان بدون تشريفات و در فاصله 6 ساعت قبل از پرواز مجوز ترافيکي صادر مي گردد و تلاش گرديده تا تسهيلات لازم براي تخليه و بارگيري آنها فراهم شود.
تعداد ناوگان تجاري هوائي کشور اعم از تمليکي و اجاره اي تحت پوشش شرکتهاي حمل و نقل هوائي دولتي و غير دولتي نزديک به 100 فروند هواپيما با ظرفيت بيش از 14000 صندلي و بيش از 10 فروند هواپيما با ظرفيت حدود 900 تن بار مي باشد. در نتيجه تنگناهاي اقتصادي و دشواري هاي تامين قطعات و عدم نوسازي، ناوگان به تدريج به لحاظ زماني و کارکرد هواپيماها داراي عمر متوسط بيش از 22 سال ميباشد در دو سال گذشته با ارائه تسهيلات بانکي به شرکتهاي حمل و نقل هواي نسبت به افزايش هواپيماهاي تمليکي و نو سازي ناوگان متناسب با شبکه پروازي کشور اقداماتي صورت پذيرفته است.
در فرودگاههاي کشور تمامي خدمات زميني هواپيما، کترينگ و خدمات بار به وسيله شرکتهاي حمل و نقل هوائي داخلي انجام مي پذيرد که اخيراً با واگذاري اين نوع خدمات به شرکتهاي مستقل بخش خصوصي موافقت گرديده و از حالت انحصاري خارج شده است.
در سال حدود 10 ميليون مسافر با ناوگان هوائي در داخل و خارج از کشور جابجا مي گردد که نزديک به 20% آنها به وسيله شرکتهاي حمل و نقل هوائي خصوصي انجام مي شود.
سطح تعمير و نگهداري هواپيما در بعضي از شرکتهاي هواپيمائي کشور رده هاي A،B،C را ميپوشاند و در مورد هواپيماهاي بدنه متوسط و باريک حتي به رده D مي رسد در مورد تعمير و نگهداري هواپيماهاي توپولف 154 نيز دو مرکز تعميراتي در مشهد و کيش تاسيس گرديده که در سال جاري 47 مورد چکهاي فني در دوره هاي 300، 600، 1200 ساعت در آنجا انجام پذيرفت و موجبات صرفه جويي ارزي را فراهم آورده است.
و با اعلام رسمي به شرکتهاي هواپيمايي مبني بر استفاده الزامي از کروي پروازي ايراني بجاي خلبانان روسي اجاره هواپيماهاي بدون خلبان روسي در ديتور کار قرار گرفته که تا پايان سال رقم استفاده از خلبانان روسي به صفر خواهد رسيد که اين تصميم در نوع خود سهم بسزايي در کاهش ارزبري خواهد داشت.
دانشکده صنعت هواپیمائی کشوری به عنوان مرکز آموزش های تخصصی صنعت هوانوردی در کشور به شمار می رود که از فضای آموزشی مناسب، آزمايشگاههای مجهز و شبیه سازهای ارتباطی، راداری برخوردار است. سطوح آموزش های کارشناسی مراقبت پرواز، الکترونیک، مخابرات، تعمیر و نگهداری هواپیما در دانشکده وجود دارد و تلاش بر آن است تا تمامی دوره ها بصورت کاربردی انجام شود. علاوه بر این دوره های کوتاه مدت اطلاعات پرواز، خدمات فروش بلیط هواپیما، زبان انگلیسی فنی و عمومی، کامپیوتر اصول پرواز، از جمله فعالیتهای آنجاست. اخیراً نسبت به راه اندازی دوره های مشترک بین المللی در زمینه مدیریت فرودگاهی و ارتباطات، ناوبری و نظارت / مدیریت عبور و مرور هوائی با همکاری موسسات یاتا و نیوزیلند اقدام شده است. دانشکده به عضویت دایمی پروژه جهانی Trainer در آمده و در زمینه تهیه طرح دروس استاندارد شده مربوط به شیوه های مدرن ارزیابی و امتحانات، هدایت هواپیما از طریق دیتا فعال بوده و می تواند از سایر موارد تهیه شده در کشور های دیگر استفاده نماید.
مرکز آموزش فنون هوایی عهده دار ارایه خدمات آموزشی و تفریحی در زمینه عملیات کایت، بالن، گلایدر، چتر بازی، خلبانی می باشد. این مرکز علاوه بر تهران در شهر های مشهد، شیراز، اهواز، همدان، اصفهان، تبریز و کرمانشاه دارای شعبه است. برگزاری نمایش های هوائی در مجموعه پروازی آسمان ری و جزیره کیش از جمله فعالیتهای آنهاست. با همکاری آموزش و پرورش نیز نسبت به تاسیس دبیرستان هوانوردی در نظام آموزشی متوسطه کشور اقدام گردیده است. با واگذاری بخشی از این فعالیتها به بخش غیر دولتی گستره انجام آنها برای جوانان فراهم آمده است.
مرکز مطالعات نیز مطالعه و بررسی طرح جامعه شبکه فرودگاهی و طرح جامع کنترل فضای کشور و چگونگی به کارگیری تجهیزات و سیستم های جدید هوانوردی و طرح جامع اتوماسیون اداری سازمان در راستای نظام جامع آمارهای ثبتی و طرحی سیستم 128 کاناله AFIN و AIS را در دست انجام دارد. علاوه بر آن در تهیه طرح جامع حمل و نقل کشور همکاری مستمر دارد.
شبکه و انواع آن
يک شبکه کامپيوتری از اتصال دو و يا چندين کامپيوتر تشکيل می گردد . شبکه های کامپيوتری در ابعاد متفاوت و با اهداف گوناگون طراحی و پياده سازی می گردند . شبکه های(Local-Area Networks: LAN ) و Networks)َArea Wide:WAN ) دو نمونه متداول در اين زمينه می باشند. در شبکه های LAN ، کامپيوترهای موجود در يک ناحيه محدود جغرافيائی نظير منزل و يا محيط کار به يکديگر متصل می گردند . در شبکه های WAN ، با استفاده از خطوط تلفن و يا مخابراتی ، امواج راديوئی و ساير گزينه های موجود ، دستگاه های مورد نظر در يک شبکه به يکديگر متصل می گردند .
شبکه های کامپيوتری چگونه تقسيم بندی می گردند ؟
شبکه ها ی کامپيوتری را می توان بر اساس سه ويژگی متفاوت تقسيم نمود : توپولوژی ، پروتکل و معماری
پروتکل های TCP/IP |
مدل مرجع OSI |
OSI از کلمات Open Systems Interconnect اقتباس و يک مدل مرجع در خصوص نحوه ارسال پيام بين دو نقطه در يک شبکه مخابراتی و ارتباطی است . هدف عمده مدل OSI ، ارائه راهنمائی های لازم به توليد کنندگان محصولات شبکه ای به منظور توليد محصولات سازگار با يکديگر است .
مدل OSI توسط کميته IEEE ايجاد تا محصولات توليد شده توسط توليد کنندگان متعدد قادر به کار و يا سازگاری با يکديگر باشند . مشکل عدم سازگاری بين محصولات توليدشده توسط شرکت های بزرگ تجهيزات سخت افزاری زمانی آغاز گرديد که شرکت HP تصميم به ايجاد محصولات شبکه ای نمود و محصولات توليد شده توسط HP با محصولات مشابه توليد شده توسط شرکت های ديگر نظير IBM ، سازگار نبود . مثلا" زمانی که شما چهل کارت شبکه را برای شرکت خود تهيه می نموديد ، می بايست ساير تجهيزات مورد نياز شبکه نيز از همان توليد کننده خريداری می گرديد( اطمينان از وجود سازگاری بين آنان ) . مشکل فوق پس از معرفی مدل مرجع OSI ، برطرف گرديد .
مدل OSI دارای هفت لايه متفاوت است که هر يک از آنان به منظور انجام عملياتی خاصی طراحی شده اند . بالاترين لايه ، لايه هفت ( Application ) و پائين ترين لايه ، لايه يک ( Physiacal ) می باشد . در صورتی که قصد ارسال داده برای يک کاربر ديگر را داشته باشيد ، داده ها حرکت خود را از لايه هفتم شروع نموده و پس از تبديل به سگمنت ، datagram ، بسته اطلاعاتی ( Packet ) و فريم، در نهايت در طول کابل ( عموما" کابل های twisted pair ) ارسال تا به کامپيوتر مقصد برسد .
مفاهیم امنیت شبکه
امنیت شبکه یا Network Security پردازه ای است که طی آن یک شبکه در مقابل انواع مختلف تهدیدات داخلی و خارجی امن می شود. مراحل ذیل برای ایجاد امنیت پیشنهاد و تایید شده اند:
1-شناسایی بخشی که باید تحت محافظت قرار گیرد.
2-تصمیم گیری درباره مواردی که باید در مقابل آنها از بخش مورد نظر
محافظت کرد.
3-تصمیم گیری درباره چگونگی تهدیدات
4-پیاده سازی امکاناتی که بتوانند از دارایی های شما به شیوه ای محافظت کنند که از نظر هزینه به صرفه باشد.
5-مرور مجدد و مداوم پردازه و تقویت آن درصورت یاقتن نقطه ضعف
برای درک بهتر مباحث مطرح شده در این بخش ابتدا به طرح بعضی مفاهیم در امنیت شبکه می پردازیم.
1- منابع شبکه
در یک شبکه مدرن منابع بسیاری جهت محافظت وجود دارند. لیست ذیل مجموعه ای از منابع شبکه را معرفی می کند که باید در مقابل انواع حمله ها مورد حفاظت قرار گیرند.
1-تجهیزات شبکه مانند روترها، سوئیچ ها و فایروالها
2-اطلاعات عملیات شبکه مانند جداول مسیریابی و پیکربندی لیست دسترسی که بر روی روتر ذخیره شده اند.
3-منابع نامحسوس شبکه مانند عرض باند و سرعت
4-طلاعات و منابع اطلاعاتی متصل به شبکه مانند پایگاه های داده و سرورهای اطلاعاتی
5-ترمینالهایی که برای استفاد هاز منابع مختلف به شبکه متصل می شوند.
6-اطلاعات در حال تبادل بر روی شبکه در هر لحظه از زمان
7-خصوصی نگهداشتن عملیات کاربرن و استفاده آنها از منابع شبکه جهت جلوگیری از شناسایی کاربران.
مجموعه فوق به عنوان دارایی های یک شبکه قلمداد می شود.
2- حمله
حال به تعریف حمله می پردازیم تا بدانیم که از شبکه در مقابل چه چیزی باید محافظت کنیم. حمله تلاشی خطرناک یا غیر خطرناک است تا یک منبع قابل دسترسی از طریق شبکه ، به گونه ای مورد تغییر یا استفاده قرار گیرد که مورد نظر نبوده است.برای فهم بهتر بد نیست حملات شبکه را به سه دسته عمومی تقسیم کنیم:
1-دسترسی غیرمجاز به منابع و اطلاعات از طریق شبکه
2-دستکاری غیرمجاز اطلاعات بر روی یک شبکه
3-حملاتی که منجر به اختلال در ارائه سرویس می شوند و اصطلاحا Denial of Service نام دارند.
کلمه کلیدی در دو دسته اول انجام اعمال به صورت غیرمجاز است. تعریف یک عمل مجاز یا غیرمجاز به عهده سیاست امنیتی شبکه است، اما به عبارت کلی می توان دسترسی غیرمجاز را تلاش یک کاربر جهت دیدن یا تغییر اطلاعاتی که برای وی در نظر گرفته نشده است، تعریف نمود اطلاعات روی یک شبکه نیز شامل اطلاعات موجود بر روی رایانه های متصل به شبکه مانند سرورهای پایگاه داده و وب ، اطلاعات در حال تبادل بر روی شبکه و اطلاعات مختص اجزاء شبکه جهت انجام کارها مانند جداول مسیریابی روتر است. منابع شبکه را نیز می توان تجهیزات انتهایی مانند روتر و فایروال یا مکانیزمهای اتصال و ارتباط دانست.
هدف از ایجاد امنیت شبکه ، حفاظت از شبکه در مقابل حملات فوق است، لذا می توان اهداف را نیز در سه دسته ارائه کرد:
1-ثابت کردن محرمانگی داده
2-نگهداری جامعیت داده
3-نگهداری در دسترس بودن داده
3 _تحلیل خطر
پس از تعیین دارایی های شبکه و عوامل تهدیدکننده آنها ، باید خطرات مختلف را ارزیابی کرد. در بهترین حالت باید بتوان از شبکه در مقابل تمامی انواع خطا محافظت کرد، اما امنیت ارزان به دست نمی آید. بنابراین باید ارزیابی مناسبی را بر روی انواع خطرات انجام داد تا مهمترین آنها را تشخیص دهیم و از طرف دیگر منابعی که باید در مقابل این خطرات محافظت شوند نیز شناسایی شوند. دو فاکتور اصلی در تحلیل خطر عبارتند از :
1-احتمال انجام حمله
2-خسارت وارده به شبکه درصورت انجام حمله موفق
4- سیاست امنیتی
پس از تحلیل خطر باید سیاست امنیتی شبکه را به گونه ای تعریف کرد که احتمال خطرات و میزان خسارت را به حداقل برساند. سیاست امنیتی باید عمومی و در حوزه دید کلی باشد و به جزئیات نپردازد. جزئیات می توانند طی مدت کوتاهی تغییر پیدا کنند اما اصول کلی امنیت یک شبکه که سیاست های آن را تشکیل می دهند ثابت باقی می مانند.در واقع سیاست امنیتی سه نقش اصلی را به عهده دارد:
1-چه و چرا باید محافظت شود.
2-چه کسی باید مسئولیت حفاظت را به عهده بگیرد.
3-زمینه ای را بوجود آورد که هرگونه تضاد احتمالی را حل و فصل کند.
سیاستهای امنیتی را می توان به طور کلی به دو دسته تقسیم کرد:
1-مجاز (Permissive) : هر آنچه بطور مشخص ممنوع نشده است ، مجاز است.
2-محدود کننده (Restrictive) : هر آنچه بطور مشخص مجاز نشده است ، ممنوع است.
معمولا ایده استفاده از سیاستهای امنیتی محدودکننده بهتر و مناسبتر است چون سیاستهای مجاز دارای مشکلات امنیتی هستند و نمی توان تمامی موارد غیرمجاز را برشمرد. المانهای دخیل در سیاست امنیتی در RFC 2196 لیست و ارائه شده اند.
5- طرح امنیت شبکه
با تعریف سیاست امنیتی به پیاده سازی آن در قالب یک طرح امنیت شبکه می رسیم. المانهای تشکیل دهنده یک طرح امنیت شبکه عبارتند از :
1-ویژگیهای امنیتی هر دستگاه مانند کلمه عبور مدیریتی و یا بکارگیری SSH
2-فایروالها
3-مجتمع کننده های VPN برای دسترسی از دور
4-تشخیص نفوذ
5-سرورهای امنیتی AAA ( Authentication، Authorization and Accounting) و سایر خدمات AAA برای شبکه
6-مکانیزمهای کنترل دسترسی و محدودکننده دسترسی برای دستگاههای مختلف شبکه
6- نواحی امنیتی
تعریف نواحی امنیتی نقش مهمی را در ایجاد یک شبکه امن ایفا می کند. در واقع یکی از بهترین شیوه های دفاع در مقابل حملات شبکه ، طراحی امنیت شبکه به صورت منطقه ای و مبتنی بر توپولوژی است و یکی از مهمترین ایده های مورد استفاده در شبکه های امن مدرن ، تعریف نواحی و تفکیک مناطق مختلف شبکه از یکدیگر است. تجهیزاتی که در هر ناحیه قرار می گیرند نیازهای متفاوتی دارند و لذا هر ناحیه حفاظت را بسته به نیازهای امنیتی تجهیزات نصب شده در آن ، تامین می کند. همچنین منطقه بندی یک شبکه باعث ایجاد ثبات بیشتر در آن شبکه نیز می شود.
نواحی امنیتی بنابر استراتژی های اصلی ذیل تعریف می شوند.
1-تجهیزات و دستگاههایی که بیشترین نیاز امنیتی را دارند (شبکه خصوصی) در امن ترین منطقه قرار می گیرند. معمولا اجازه دسترسی عمومی یا از شبکه های دیگر به این منطقه داده نمی شود. دسترسی با کمک یک فایروال و یا سایر امکانات امنیتی مانند دسترسی از دور امن (SRA) کنترل می شود. کنترل شناسایی و احراز هویت و مجاز یا غیر مجاز بودن در این منطقه به شدت انجام می شود.
2-سرورهایی که فقط باید از سوی کاربران داخلی در دسترس باشند در منطقه ای امن ، خصوصی و مجزا قرار می گیرند. کنترل دسترسی به این تجهیزات با کمک فایروال انجام می شود و دسترسی ها کاملا نظارت و ثبت می شوند.
3-سرورهایی که باید از شبکه عمومی مورد دسترسی قرار گیرند در منطقه ای جدا و بدون امکان دسترسی به مناطق امن تر شبکه قرار می گیرند. درصورت امکان بهتر است هر یک از این سرورها را در منطقه ای مجزا قرار داد تا درصورت مورد حمله قرار گرفتن یکی ، سایرین مورد تهدید قرار نگیرند. به این مناطق DMZ یا Demilitarized Zone می گویند.
4-استفاده از فایروالها به شکل لایه ای و به کارگیری فایروالهای مختلف سبب می شود تا درصورت وجود یک اشکال امنیتی در یک فایروال ، کل شبکه به مخاطره نیفتد و امکان استفاده از Backdoor نیز کم شود.
رویکردی عملی به امنیت شبکه لایه بندی شده
امروزه امنیت شبکه یک مسأله مهم برای ادارات و شرکتهای دولتی و سازمان های کوچک و بزرگ است. تهدیدهای پیشرفته از سوی تروریست های فضای سایبر، کارمندان ناراضی و هکرها رویکردی سیستماتیک را برای امنیت شبکه می طلبد. در بسیاری از صنایع، امنیت به شکل پیشرفته یک انتخاب نیست بلکه یک ضرورت است.
در این قسمت رویکردی لایه بندی شده برای امن سازی شبکه به شما معرفی می گردد. این رویکرد هم یک استراتژی تکنیکی است که ابزار و امکان مناسبی را در سطوح مختلف در زیرساختار شبکه شما قرار می دهد و هم یک استراتژی سازمانی است که مشارکت همه از هیأت مدیره تا قسمت فروش را می طلبد.
رویکرد امنیتی لایه بندی شده روی نگهداری ابزارها و سیستمهای امنیتی و روال ها در پنج لایه مختلف در محیط فناوری اطلاعات متمرکز می گردد.
۱- پیرامون
۲- شبکه
۳- میزبان
۴- برنامه کاربردی
۵- دیتا
در این سلسله مقالات هریک از این سطوح تعریف می شوند و یک دید کلی از ابزارها و سیستمهای امنیتی گوناگون که روی هریک عمل می کنند، ارائه می شود. هدف در اینجا ایجاد درکی در سطح پایه از امنیت شبکه و پیشنهاد یک رویکرد عملی مناسب برای محافظت از دارایی های دیجیتال است. مخاطبان این سلسله مقالات متخصصان فناوری اطلاعات، مدیران تجاری و تصمیم گیران سطح بالا هستند.
محافظت از اطلاعات اختصاصی به منابع مالی نامحدود و عجیب و غریب نیاز ندارد. با درکی کلی از مسأله، خلق یک طرح امنیتی استراتژیکی و تاکتیکی می تواند تمرینی آسان باشد. بعلاوه، با رویکرد عملی که در اینجا معرفی می شود، می توانید بدون هزینه کردن بودجه های کلان، موانع موثری بر سر راه اخلال گران امنیتی ایجاد کنید.
افزودن به ضریب عملکرد هکرها
متخصصان امنیت شبکه از اصطلاحی با عنوان ضریب عملکرد (work factor) استفاده می کنند که مفهومی مهم در پیاده سازی امنیت لایه بندی است. ضریب عملکرد بعنوان میزان تلاش مورد نیاز توسط یک نفوذگر بمنظور تحت تأثیر قراردادن یک یا بیشتر از سیستمها و ابزار امنیتی تعریف می شود که باعث رخنه کردن در شبکه می شود. یک شبکه با ضریب عملکرد بالا به سختی مورد دستبرد قرار می گیرد در حالیکه یک شبکه با ضریب عملکرد پایین می تواند نسبتاً به راحتی مختل شود. اگر هکرها تشخیص دهند که شبکه شما ضریب عملکرد بالایی دارد، که فایده رویکرد لایه بندی شده نیز هست، احتمالاً شبکه شما را رها می کنند و به سراغ شبکه هایی با امنیت پایین تر می روند و این دقیقاً همان چیزیست که شما می خواهید.
تکنولوژی های بحث شده در اینجا مجموعاً رویکرد عملی خوبی برای امن سازی دارایی های دیجیتالی شما را به نمایش می گذارند. در یک دنیای ایده آل، شما بودجه و منابع را برای پیاده سازی تمام ابزار و سیستم هایی که بحث می کنیم خواهید داشت. اما متأسفانه در چنین دنیایی زندگی نمی کنیم. بدین ترتیب، باید شبکه تان را ارزیابی کنید – چگونگی استفاده از آن، طبیعت داده های ذخیره شده، کسانی که نیاز به دسترسی دارند، نرخ رشد آن و غیره – و سپس ترکیبی از سیستم های امنیتی را که بالاترین سطح محافظت را ایجاد می کنند، با توجه به منابع در دسترس پیاده سازی کنید.
مدل امنیت لایه بندی شده
در این جدول مدل امنیت لایه بندی شده و بعضی از تکنولوژی هایی که در هر سطح مورد استفاده قرار می گیرند، ارائه شده اند. این تکنولوژی ها با جزئیات بیشتر در بخش های بعدی مورد بحث قرار خواهند گرفت.
ردیف |
سطح امنیتی |
ابزار و سیستم های امنیتی قابل استفاده |
۱ |
پیرامون |
|
۲ |
شبکه |
|
۳ |
میزبان |
|
۴ |
برنامه کاربردی |
|
۵ |
داده |
|
سطح ۱: امنیت پیرامون
منظور از پیرامون، اولین خط دفاعی نسبت به بیرون و به عبارتی به شبکه غیرقابل اعتماد است. «پیرامون» اولین و آخرین نقطه تماس برای دفاع امنیتی محافظت کننده شبکه است. این ناحیه ای است که شبکه به پایان می رسد و اینترنت آغاز می شود. پیرامون شامل یک یا چند فایروال و مجموعه ای از سرورهای به شدت کنترل شده است که در بخشی از پیرامون قرار دارند که بعنوان DMZ (demilitarizedzone) شناخته می شود. DMZ معمولاً وب سرورها، مدخل ایمیل ها، آنتی ویروس شبکه و سرورهای DNS را دربرمی گیرد که باید در معرض اینترنت قرار گیرند. فایروال قوانین سفت و سختی در مورد اینکه چه چیزی می تواند وارد شبکه شود و چگونه سرورها در DMZ می توانند با اینترنت و شبکه داخلی تعامل داشته باشند، دارد.
پیرامون شبکه، به اختصار، دروازه شما به دنیای بیرون و برعکس، مدخل دنیای بیرون به شبکه شماست.
تکنولوژیهای زیر امنیت را در پیرامون شبکه ایجاد می کنند:
مزایا
تکنولوژی های ایجاد شده سطح پیرامون سال هاست که در دسترس هستند، و بیشتر خبرگان IT با تواناییها و نیازهای عملیاتی آنها به خوبی آشنایی دارند. بنابراین، از نظر پیاده سازی آسان و توأم با توجیه اقتصادی هستند. بعضیاز فروشندگان راه حل های سفت و سختی برای این تکنولوژیها ارائه می دهند و بیشتر آنها به این دلیل پر هزینه هستند.
معایب
از آنجا که بیشتر این سیستم ها تقریباً پایه ای هستند و مدت هاست که در دسترس بوده اند، بیشتر هکرهای پیشرفته روش هایی برای دور زدن آنها نشان داده اند. برای مثال، یک ابزار آنتی ویروس نمی تواند ویروسی را شناسایی کند مگر اینکه از قبل علامت شناسایی ویروس را در دیتابیس خود داشته باشد و این ویروس داخل یک فایل رمزشده قرار نداشته باشد. اگرچه VPN رمزنگاری مؤثری ارائه می کند، اما کار اجرایی بیشتری را برروی کارمندان IT تحمیل می کنند، چرا که کلیدهای رمزنگاری و گروه های کاربری باید بصورت مداوم مدیریت شوند.
ملاحظات
پیچیدگی معماری شبکه شما می تواند تأثیر قابل ملاحظه ای روی میزان اثر این تکنولوژی ها داشته باشد. برای مثال، ارتباطات چندتایی به خارج احتمالاً نیاز به چند فایروال و آنتی ویروس خواهد داشت. معماری شبکه بطوری که تمام این ارتباطات به ناحیه مشترکی ختم شود، به هرکدام از تکنولوژی های مذکور اجازه می دهد که به تنهایی پوشش مؤثری برای شبکه ایجاد کنند.
انواع ابزاری که در DMZ شما قرار دارد نیز یک فاکتور مهم است. این ابزارها چه میزان اهمیت برای کسب و کار شما دارند؟ هرچه اهمیت بیشتر باشد، معیارها و سیاست های امنیتی سفت و سخت تری باید این ابزارها را مدیریت کنند.
سطح ۲- امنیت شبکه
سطح شبکه در مدل امنیت لایه بندی شده به WAN و LAN داخلی شما اشاره دارد. شبکه داخلی شما ممکن است شامل چند کامپیوتر و سرور و یا شاید پیچیده تر یعنی شامل اتصالات نقطه به نقطه به دفترهای کار دور باشد. بیشتر شبکه های امروزی در ورای پیرامون، باز هستند؛ یعنی هنگامی که داخل شبکه قرار دارید، می توانید به راحتی در میان شبکه حرکت کنید. این قضیه بخصوص برای سازمان های کوچک تا متوسط صدق می کند که به این ترتیب این شبکه ها برای هکرها و افراد بداندیش دیگر به اهدافی وسوسه انگیز مبدل می شوند. تکنولوژی های ذیل امنیت را در سطح شبکه برقرار می کنند:
سیستم های مدیریت آسیب پذیری ابزار موجود در شبکه را برای یافتن رخنه ها و آسیب پذیری هایی که می توانند توسط هکرها و ترافیک آسیب رسان مورد بهره برداری قرار گیرند، پیمایش می کنند. آنها معمولاً پایگاه داده ای از قوانینی را نگهداری می کنند که آسیب پذیری های شناخته شده برای گستره ای از ابزارها و برنامه های شبکه را مشخص می کنند. در طول یک پیمایش، سیستم هر ابزار یا برنامه ای را با بکارگیری قوانین مناسب می آزماید.
همچنانکه از نامش برمی آید، سیستم مدیریت آسیب پذیری شامل ویژگیهایی است که روند بازسازی را مدیریت می کند. لازم به ذکر است که میزان و توانایی این ویژگی ها در میان محصولات مختلف، فرق می کند.
روش های امنیت نقاط انتهایی براساس آزمایش هایی که روی سیستم هایی که قصد اتصال دارند، انجام می دهند، اجازه دسترسی می دهند. هدف آنها از این تست ها معمولاً برای بررسی (۱) نرم افزار مورد نیاز، مانند سرویس پک ها، آنتی ویروس های به روز شده و غیره و (۲) کاربردهای ممنوع مانند اشتراک فایل و نرم افزارهای جاسوسی است.
نکته: در این سلسله مباحث، به کنترل دسترسی و تأییدهویت در سطوح شبکه، میزبان، نرم افزار و دیتا در چارچوب امنیتی لایه بندی شده می پردازیم. میان طرح های کنترل دسترسی بین لایه های مختلف همپوشانی قابل توجهی وجود دارد. معمولاً تراکنش های تأیید هویت در مقابل دید کاربر اتفاق می افتد. اما به خاطر داشته باشید که کنترل دسترسی و تأیید هویت مراحل پیچیده ای هستند که برای ایجاد بیشترین میزان امنیت در شبکه، باید به دقت مدیریت شوند.
مزایا
تکنولوژی های IDS، IPS و مدیریت آسیب پذیری تحلیل های پیچیده ای روی تهدیدها و آسیب پذیری های شبکه انجام می دهند. در حالیکه فایروال به ترافیک، برپایه مقصد نهایی آن اجازه عبور می دهد، ابزار IPS و IDS تجزیه و تحلیل عمیق تری را برعهده دارند، و بنابراین سطح بالاتری از محافظت را ارائه می کنند. با این تکنولوژی های پیشرفته، حملاتی که داخل ترافیک قانونی شبکه وجود دارند و می توانند از فایروال عبور کنند، مشخص خواهند شد و قبل از آسیب رسانی به آنها خاتمه داده خواهند شد.
سیستم های مدیریت آسیب پذیری روند بررسی آسیب پذیری های شبکه شما را بصورت خودکار استخراج می کنند. انجام چنین بررسی هایی به صورت دستی با تناوب مورد نیاز برای تضمین امنیت، تا حدود زیادی غیرعملی خواهد بود. بعلاوه، شبکه ساختار پویایی دارد. ابزار جدید، ارتقاءدادن نرم افزارها و وصله ها، و افزودن و کاستن از کاربران، همگی می توانند آسیب پذیری های جدید را پدید آورند. ابزار تخمین آسیب پذیری به شما اجازه می دهند که شبکه را مرتب و کامل برای جستجوی آسیب پذیری های جدید پیمایش کنید.
روش های تابعیت امنیتی کاربر انتهایی به سازمان ها سطح بالایی از کنترل بر روی ابزاری را می دهد که به صورت سنتی کنترل کمی بر روی آنها وجود داشته است. هکرها بصورت روز افزون به دنبال بهره برداری از نقاط انتهایی برای داخل شدن به شبکه هستند، همچانکه پدیده های اخیر چون Mydoom، Sobig، و Sasser گواهی بر این مدعا هستند. برنامه های امنیتی کاربران انتهایی این درهای پشتی خطرناک به شبکه را می بندند.
معایب
IDSها تمایل به تولید تعداد زیادی علائم هشدار غلط دارند، که به عنوان false positivesنیز شناخته می شوند. در حالیکه IDS ممکن است که یک حمله را کشف و به اطلاع شما برساند، این اطلاعات می تواند زیر انبوهی از هشدارهای غلط یا دیتای کم ارزش مدفون شود. مدیران IDS ممکن است به سرعت حساسیت خود را نسبت به اطلاعات تولید شده توسط سیستم از دست بدهند. برای تأثیرگذاری بالا، یک IDS باید بصورت پیوسته بررسی شود و برای الگوهای مورد استفاده و آسیب پذیری های کشف شده در محیط شما تنظیم گردد. چنین نگهداری معمولاً میزان بالایی از منابع اجرایی را مصرف می کند.
سطح خودکار بودن در IPSها می تواند به میزان زیادی در میان محصولات، متفاوت باشد. بسیاری از آنها باید با دقت پیکربندی و مدیریت شوند تا مشخصات الگوهای ترافیک شبکه ای را که در آن نصب شده اند منعکس کنند. تأثیرات جانبی احتمالی در سیستمهایی که بهینه نشده اند، مسدود کردن تقاضای کاربران قانونی و قفل کردن منابع شبکه معتبر را شامل می شود.
بسیاری، اما نه همه روش های امنیتی کاربران انتهایی، نیاز به نصب یک عامل در هر نقطه انتهایی دارد. این عمل می تواند مقدار قابل توجهی بار کاری اجرایی به نصب و نگهداری اضافه کند.
مبلغ قابل پرداخت 19,440 تومان