فهرست مطالب
عنوان صفحه
امنيت در شبكه. 1
مقدمه. 1
مركز عمليات امنيت كجاست؟. 2
نياز به سرويسهاي مديريت شده. 4
انواع سرويس هاي مديريت شده در SOC.. 4
پياده سازي امنيت در مركز SOC.. 6
سرويس هاي پيشرفته در مراكز SOC.. 7
امنيت در اينترنت8
خطرات ارسال دادهها از طريق شبكه اينترنت:8
مقابله با خطرات در حين نقل و انتقال دادهها در اينترنت:8
نقش مرورگرها در استفاده ايمن از اينترنت:8
پست الكترونيكي :9
ديوار آتش :9
مديريت ديوار آتش:10
شبكههاي خصوصي مجازي :10
1. تهديدات و ملزومات مربوط به امنيت كار الكترونيكي.. 13
2. ايجاد زيرساختار شبكه. 14
3. تأثير افزايش جابجاييپذيري.. 15
4. راهحلهاي ممكن.. 16
5. كار الكترونيكي امن: يك چشمانداز. 17
مفاهيم پايه اي 802.11. 18
امن سازي شبكه هاي بيسيم:19
طراحي شبكه:19
جداسازي توسط مكانيزم هاي جداسازي:19
|
1- ارائه و مراحل امنيتي.. 20
1 - 1 ) عموم حملات بر عليه امنيت:20
1 - 2 ) راه حلهايي براي مشكلات امنيتي در شبكه:21
1 - 3 ) پياده سازي راه حلهاي امنيتي:21
1 - 4 ) سياست امنيت شبكه:22
2-پيشزمينهاي در باره رمزنويسي (Cryptography)22
1 - 1 ) اصطلاحات فني:22
2 - 2 ) كليد متقارن و كليد مخفي:23
2 - 3 ) كليد نامتقارن و الگوريتم كليد عمومي:23
امنيت در شبكه
مقدمه
امنيت ، مبحثي كاملا پيچيده ولي با اصولي ساده است . در بسياري از مواقع همين سادگي اصول هستند كه ما را دچار گمراهي مي كنند و دور نماي فعاليت هاي ما را از لحاظ سهولت و اطمينان در سايه اي از ابهام فرو مي برند. صادقانه بايد گفت كه امنيت يك پردازش چند لايه است. تعيين نوع و نحوه تلقين لايه هاي دفاعي مورد نياز ، فقط پس از تكميل ارزيابي قابل ارائه است . تهيه ليستي از سياست هاي اجرايي بر مبناي اينكه چه چيزي براي سازمان مهم تر و انجام آن ساده تر است در اولويت قرار دارد. پس از آنكه اين اولويت ها به تاييد رسيدند هر يك از آنها بايد به سرعت در جاي خود به اجرا گذارده شود. ارزيابي امنيتي يك ...
بخش بسيار مهم تراز برنامه ريزي امنيتي است. بدون ارزيابي از مخاطرات ،هيچ طرح اجرايي در جاي خود به درستي قرار نمي گيرد. ارزيابي امنيتي خطوط اصلي را براي پياده سازي طرح امنيتي كه به منظور حفاظت از دارايي ها در مقابل تهديدات است را مشخص مي كند . براي اصلاح امنيت يك سيستم و محقق كردن شرايط ايمن، مي بايست به سه سوال اصلي پاسخ داد:
1- چه منابع و دارايي هايي در سازمان احتياج به حفاظت دارند؟
2- چه تهديداتي براي هر يك از اين منابع وجود دارد؟
3- سازمان چه مقدار تلاش ،وقت و سرمايه مي بايست صرف كند تا خود را در مقابل اين تهديدات محافظت كند؟
اگر شما نمي دانيد عليه چه چيزي مي خواهيد از دارايي هاي خود محافظت كنيد موفق به انجام اين كار نمي شويد. رايانه ها محتاج آنند كه در مقابل خطرات از آنها حفاظت شود ولي اين خطرات كدامند؟ به عبارت ساده تر خطر زماني قابل درك است كه يك تهديد، از نقاط ضعف موجود براي آسيب زدن به سيستم استفاده كند. لذا، پس از آنكه خطرات شناخته شدند، مي توان طرح ها و روش هايي را براي مقابله با تهديدات و كاهش ميزان آسيب پذيري آنها ايجاد كرد. اصولا شركت ها و سازمان ها ، پويا و در حال تغيير هستند و لذا طرح امنيتي به طور مدام بايد به روز شود. به علاوه هر زمان كه تعييرات عمده اي در ساختار و يا عملكردها به وجود آمد، مي بايست ارزيابي مجددي صورت گيرد. بنابراين حتي زماني كه يك سازمان به ساختمان جديدي نقل مكان مي كند، كليه دستگاه هاي جديد و هرآنچه كه تحت تغييرات اساسي قرار مي گيرد، مجددا بايد مورد ارزيابي قرار گيرد. ارزيابي ها حداقل مي بايست شامل رويه هايي براي موارد زير باشند:
1- رمز هاي عبور
2- مديريت اصلاحيه ها
3- آموزش كاركنان و نحوه اجراي برنامه ها
4- نحوه تهيه فايل هاي پشتيبان و فضاي مورد نياز آن
5- ضد ويروس
6- ديواره آتش
7- شناسايي و جلوگيري از نفوذ گران
8- فيلترينگ هاي مختلف براي اينترنت و پست الكترونيكي
9- تنظيمات سيستمي و پيكره بندي آنها
در حال حاضر اينترنت و پست الكترونيكي جزء عناصر انكار ناپذير در كاركرد شركت ها و سازمان ها محسوب مي شوند، ولي اين عناصر مفيد به دليل عمومي بودن، داراي مخاطرات بسياري هستند كه موجب هدر رفتن منابع و سرمايه گذاري هاي يك سازمان مي شود. به ويژه آنكه به سادگي هزينه هاي پنهان زيادي را مي توانند به سازمان تحميل كنند و يا كلا كاركرد يك سازمان را با بحران مواجه كنند. اين وضعيت بحران را با يك طرح دفاعي مناسب قابل كنترل است. هدف ما در اينجا، ارائه يك الگوي دفاعي كامل و منسجم است كه بتواند با توجه به امكانات سازمان ، مورد بهره برداري قرار گيرد. لذا در ابتدا به مخاطراتي كه تهديد كننده سازمان هستند توجه مي كنيم، جنبه هاي مختلف تهديدات را روشن كرده و آنها را اولويت بندي كرده و پس از بررسي دقيق آنها در جاي خود، راه حل مناسبي را طي يك طرح زمانبندي شده و با بودجه مشخص براي پياده سازي، ارائه مي كنيم. در طرح ريزي الگوهاي امنيتي تناسب بين كاربري و طرح امنيتي بسيار مهم است. همچنين روند تغيير و به روز آوري فناوري امنيتي مي بايست مطابق با استانداردها و تهديدات جديد پيش بيني شده باشد. بعضي از سازمان ها براي تامين امنيت خود اقدام به خريد تجهيزات گراني مي كنند كه بسيار بيشتر از ظرفيت كاربري آن سازمان است و يا جايگاه صحيح امنيتي تجهيزات، نامشخص است و لذا خريدار همچنان با مشكلات امنيتي بي شماري دست و پنجه نرم مي كند. يك طرح امنيتي كه بيشتر از ظرفيت يك سازمان تهيه شده باشد باعث اتلاف بودجه مي شود. همچنين طرح امنيتي كه نقص داشته باشد، تاثير كم رنگي در كاركرد سازمان خواهد داشت و فرسايش نيروها ، دوباره كاري ها و كندي گردش كارها و ساير صدمات همچنان ادامه خواهد داشت. اين امر نهايتا يك بودجه ناپيدا را كماكان تحميل مي كند و بهبودي حاصل نخواهد آمد.
اشاره :
با گسترش روزافزون استفاده از ارتباطات و انتقال اطلاعات در بستر شبكهها و اينترنت، حجم وسيعي از مبادلات تجاري و اداري، از اين طريق صورت ميپذيرد. امروزه سرويسهاي اينترنتي و تحتشبكه، به عنوان قابلاعتمادترين، سريعترين و در دسترسترين ابزارهاي ارتباطي به شمار ميروند. با توجه به اهميت فوق العادهاي كه شركتهاي بزرگ به استفاده از چنين بسترهايي در اداره امور خود ميدهند، جايگاه و اهميت مقوله امنيت به وضوح مشخص است. زماني كه نوبت به امنيت ميرسد، هر سازماني نياز و سياست مختص خود را دارد. به اين ترتيب راهحلهاي امنيتي، بايد به گونهاي استاندارد طراحي شوند تا بتوانند نيازهاي كليه سازمانها را بدون نياز به تغييرات اساسي در ساختار سيستمهاي آنها، پوشش دهند. در شماره قبل به معرفي استاندارد BS7799 اشاره نموديم. در اين شماره قصد داريم به نحوه مديريت يكپارچه امنيت اطلاعات و ارتباطات با استفاده از استاندارد BS7799 در يك مركز امنيت شبكه SOC يا Security Operations Center اشاره نماييم.
مركز عمليات امنيت كجاست؟
مركز عمليات امنيت شبكه، (SOC) مكاني جهت مانيتورينگ و كنترل 24 ساعته ورود و خروج اطلاعات در شبكه مي باشد. به طور كلي هر مركز SOC به سه سطح عمده تقسيم مي شود كه هر يك وظايف خاصي را بر عهده دارند. اين سطوح عبارتند از: سطح يكم، نقطه تماس Clientها و مسئول پاسخ گويي به اخطارهاي دريافتي ازClient هاست. در اين سطح به كليه اخطارهايي كه از پيچيدگي پايينتري برخوردارند، پاسخ داده ميشود.
سطح دوم، در حقيقت مكمل سطح يكم است و مسئول پاسخگويي به مشكلات پيچيده تر در سيستمهاي امنيتي شبكه ميباشد. براي اخطارهايي كه از اهميت بالايي برخوردارند، سيستم هاي سطح دوم به طور كامل درگير ميشوند.
سطح سوم، در اين سطح كارشناسان ارشد و مشاوران امنيتي شبكه قرار دارند. اين سطح در حقيقت پشتيبان دو سطح پايينتر است. در صورتي كه به اشكالات امنيتي در دو سطح پايين پاسخ داده نشود، كارشناسان و سيستمهاي اين سطح، درگير ميشوند. كليه تدابير امنيتي و مديريت امنيت شبكه، در اين سطح انديشيده ميشود.
در طراحي مراكز امنيت شبكه، متدولوژيهاي مختلفي مطرح ميباشد. با اين حال پايه همه متدولوژيها براساسِ تركيب تكنولوژي، نيروي انساني، فرآيندها در هسته فعاليت مركز امنيت شبكه و احاطه آن توسط فرآيندهاي اجرايي ميباشد. اين فرآيندها شامل برنامهريزي، طراحي، پيادهسازي، عملياتي نمودن و توسعه مركز امنيت شبكه ميباشد. لايه بعدي در طراحي مركز SOC، شامل ابزارها و معيارهايي است كه از طريق آنها خدمات ارائه شده ارزيابي ميگردند. اين ابزارها و معيارها شامل چشمانداز، منابع، زمان، هزينه، ارتباطات و ريسكهاي موجود در راه اندازي SOC ميباشد.
نكته قابلتوجه در طراحي يك SOC، انعطافپذيريِ متدولوژي طراحي آن است كه به واسطه آن ميتوان براي هر يك از مشتريان مطابق سرويسهاي مورد نيازشان راه حل خاصي براي مديريت امنيت شبكه ارائه نمود.
در هر يك از سطوح مطرحشده، ابزاري براي مديريت سيستمهاي امنيتي در نظر گرفته مي شود. اين ابزارها امنيت شبكه را از دو ديدگاه درونسازماني و برونسازماني مورد بررسي قرار ميدهند. براي اين منظور، هر SOC داراي يك
سري تجهيزات در داخل شبكه و يك سري تجهيزات در خود مركز مي باشد. همه سرويسهايي كه از مراكز SOC ارائه ميگردند، مانيتورينگ و مديريتشده هستند. ديگر سرويسهايي كه از طريق اين مراكز قابلارائه ميباشند، سرويسهاي پيشرفتهاي به شرح زير ميباشد:
- توسعه سياستهاي امنيتي
- آموزش مباحث امنيتي
- طراحي ديوارههاي آتش
- پاسخگويي آني
- مقابله با خطرات و پيادهسازي
سرويسهايي كه از طريق اين مراكز ارائه ميگردند، عبارتند از سرويسهاي مديريت شدهاي كه از تجهيزات و ارتباطات مركز SOC محافظت مينمايند. اين سرويسها از متدولوژي و ابزارهاي نرمافزاري و سخت افزاري قدرتمندي براي مديريت امنيت استفاده مينمايند. اجزاي سختافزاري كه در شبكهها توسط سيستمهاي مديريتشده براي اعمال سياستهاي امنيتي مورد استفاده قرار ميگيرند، عبارتند از: سيستمهاي كشف و رفع حملات (Intrusion Detection System)، سيستمهاي فايروال و سيستمهاي مديريت امنيت در شبكههاي خصوصي مجازي.
نياز به سرويسهاي مديريت شده
حملات چه از طريق منابع داخلي چه از طريق منابع خارجي، در هر لحظه شبكه و برنامههاي كاربردي ارائه شده از طريق آن را تهديد مينمايد. هكرها در جاهاي مختلف دنيا در هر لحظه كل تجهيزات امنيتي شبكه را مانيتور مينمايند و در صورتي كه يكي از تجهيزات به طور دقيق فعاليت خود را انجام ندهد، از آن نقطه، يك ورودي براي خود ايجاد خواهند نمود. به منظور جلوگيري از نفوذ هكرها به شبكه، لازم است سيستم امنيتي در SOC از قابليت اطمينان بالايي برخوردار باشد.
براي ايجاد يك سيستم امنيتي با ويژگيهاي مناسب براي مديريت يك شبكه با برنامههاي كاربردي متنوع، پرسنل كارآمدي لازم است كه بتوانند كليه سيستم هاي امنيتي از ضد ويروس ها تا شبكههاي خصوصي مجازي را بدون وابستگي به محصول خاص و يا تكنولوژي مشخص مديريت نمايند.
سيستمهايي كه در SOC جهت مديريت امنيت شبكه نصب و راهاندازي ميگردند، داراي مكانيزمهاي بررسي تجهيزات شبكه به صورت خودكار مي باشند. تجهيزاتي كه توسط اين سيستم موردبررسي قرار ميگيرند، محدود به سيستمهاي امنيتي نيستند، بلكه كليه تجهيزات زيرساختي شبكه نيز توسط اين سيستم مديريت امنيت يكپارچه مورد بررسي قرار ميگيرند. اين سيستم درحقيقت الگوهاي ترافيكي ارسالي از كليه تجهيزات شبكه از جمله سرورها، مسيريابها، فايروالها و سيستمهاي امنيتي فيزيكي را مورد بررسي قرار داده و هركدام از آنها كه توان ايجاد يك ريسك امنيتي را دارند مشخص ميسازد و راه نفوذ به آن سيستم را ميبندد. هر الگوي ترافيكي غيرعادي مشاهده شده، توسط زيرسيستمهاي آناليزكننده مورد بررسي قرار ميگيرد و متناسب با نوع خطاي تشخيص دادهشده، اخطارهاي لازم در شبكه براي هر يك از تجهيزات مربوطه ارسال ميگردد. در حالت عادي نيز با توجه به برنامه Polling در نظر گرفته شده، كليه سيستمها در شبكه مانيتور ميگردند و با توجه به Profile هاي امنيتي موجود براي هر سيستم، حملههاي احتمالي تشخيص داده شده و دفع ميگردند.
انواع سرويس هاي مديريت شده در SOC
● ديواره آتش (Firewall)
فايروالها اولين سد ورودي بين اطلاعات محرمانه در يك شبكه و دنياي خارج از آن مي باشند. در يك مركز SOC ، لازم است اين تجهيزات به طور مداوم از نظر امنيتي بررسي گردند. براي اطمينان كامل از امنيت اين تجهيزات، به طور معمول از ماركهاي مختلف فايروالها در شبكه استفاده ميگردد. به طور مثال در يك شبكه كه چندين فايروال وجود دارد، معمولاً اين تجهيزات را از سازنده هاي مختلف انتخاب ميكنند و با استفاده از يك مديريت متمركز، آنها را كنترل مينمايند.
براي مديريت امنيت اين تجهيزات مراحل زير پيموده مي گردد:
- بررسي عملكرد Firewallها
- پاسخ به اخطارها پس از اعلام شدن
- بررسي log هاي ثبت شده در فايروال
- بررسي نرم افزار و سخت افزارهاي مربوط به فايروال
● سيستم هاي تشخيص حملات (IDS)
سيستمهايي نظير IDSها در يك شبكه به كارآمدي كليه تجهيزات، فرآيندها و كاركناني وابسته ميباشند كه در مواقع لزوم به رخدادها پاسخ ميدهند. با توجه به اين نكته كه حسگرهاي IDS در هر زمان تعداد زيادي اخطار توليد ميكنند و در شبكه امكان پاسخگويي به همه آنها وجود ندارد، لازم است حساسيت IDSها را به گونهاي تنظيم نمود كه فقط تهديدات اساسي را اعلام نمايند. اما اين كار باعث ميشود تعدادي از حملهها تشخيص دادهنشود. براي جلوگيري از بروز اشكال، ميتوان هر يك از IDSها را براي يك Application خاص تخصيص داد.
با استفاده از ويژگيهاي مختلف اين سيستمها، ميتوان از طريق مركز SOC حملات را كنترل نمود. در مراكزSOC از ويژگيهاي IDSها نظير كمترنمودن False Positives ، Stateful Signature كه يك فرم پيشرفته تشخيص حملهها با استفاده از Signatureها ميباشد،Protocol Anomaly Detection كه قابليت تحليل ترافيك و اطمينان از عدم وجودPacketهاي غير قانوني با استفاده از مقايسه Protocol portion را دارد، ميباشد،Traffic Anomaly Detection جهت مقايسه ترافيكهاي نرمال و غيرنرمال براي مقابله طبيعي و غيرطبيعي با حملات، استفاده ميشود. در مراكزSOC با تركيبكردن تكنولوژيهاي Stateful Signature Detection و Protocol Anormaly ، Traffic Anomaly Detection قابليت تشخيص حملهها افزايش داده ميشود.
● امكان فيلتر كردن محتوا
يكي از اصلي ترين سرويسها در مراكز SOC ، امكان فيلتركردن محتواي ورودي به سرورها ميباشد. فيلتر كردن محتوا در SOC با هدف جلوگيري از دسترسي به سايتهاي غيرلازم، جلوگيري از دسترسي به انواع خاصي از فايلها و محدود كردن حملات ويروسها، Wormها و Trojanها (بسياري از ويروسهاي خطرناك مانند Nimda وCodeRed به عنوان برنامههاي اجرايي با استفاده از HTTP و يا پروتكلهاي رايج ديگر كه Firewallها به آنها اجازه ورود ميدهند، وارد شبكه ميشوند. در نتيجه كاربران به صورت ناآگاهانه اين محتويات را از سايتهاي ايمنDownload ميكنند.) صورت ميپذيرد.
نرم افزار URL Filtering كليه Page ها را در گروههاي ازپيشتعيينشده دستهبندي ميكند و برطبق آن دستهبنديها، دسترسي به يك Page را ممكن و يا غيرممكن ميسازد. همچنين قادر است ليستي از سايتهايي كه كاربران ميتوانند به آنها دسترسي داشته باشند، تهيه نمايد. به طور عمده لازم است اين نرمافزار قادر باشد دسترسي به محتويات دستهبنديشده را فيلتر كند. همچنين لازم است بتواند استثناهايي براي سياست خاص خود بر مبناي فاكتورهاي مختلفي از جمله گروه كاربران، موقعيت كاربران، ساعت استفاده و... قائل شود.
نرم افزارهايي كه در اين مراكز براي فيلتر كردن مورد استفاده قرار ميگيرند، بايد از متدهاي مناسبي جهت جلوگيري از دسترسي، دسته بندي پايگاه هاي اطلاعاتي و ليستهاي كنترلي برخوردار باشند. همچنين بروزرسانيها بايد با فواصل كوتاه انجام شوند و بهتر است به طور كامل صورت پذيرند نه به صورت تفاضلي. بروزرسانيها نبايد سيستمهاي عملياتي را دچار وقفه سازند.
● امكان تشخيص ويروس
ويروسها بيشتر توسطEmai l و ترافيك اينترنتي منتقل ميشوند. بنابراين، دفاع در خط مقدم يعني Internet Gateway بهترين راه مقابله با آنها ميباشد. با افزودن قابليت Virus Scanning برروي Cache ها، ميتوان با اعمال روشهاي مختلف ويروسيابي، اقدامات مناسبي جهت از بين بردن آنها در Internet Gateway انجام داد. مركز SOC، عمليات كنترل و اسكن ويروسها را با بهرهگيري از نرمافزارهاي مناسب برعهده دارد.
● سرويسهاي AAA
در مركز SOC براي تعريف و كنترل دسترسي به تجهيزات و سرويسهاي شبكه از AAA استفاده ميشود. AAA سرورها در مراكز مختلف و براي سرويسهاي گوناگون به كار گرفته ميشوند و مديران شبكه و كاربران نيز از طريق آن اجازه دسترسي به منابع شبكه را در سطوح مختلف كسب ميكنند. يكي از روشهايي كه در مراكز SOC براي تشخيص هويت كاربران و اعمال سياستهاي امنيتي به كار ميرود، استفاده از CA يا Certificate Authority است.CAها، كليدعمومي يك شخص يا يك سازمان را به همراه ديگر مشخصات تشخيص هويت در گواهينامه ديجيتال قرار داده و سپس آن را امضا مينمايند. اين كار صحت اطلاعات موجود در آنرا اعلام و تأييد مينمايد. گواهينامههاي ديجيتال، فايلهايي هستند كه در اصل به عنوان نوعي گذرنامه عمل مينمايند و توسط CAها صادر ميشوند. نقش CA در اين پروسه، تأييد فردي است كه يك گواهينامه به آن اختصاص داده شده است. در واقع همان كسي است كه خود شخص اظهار مي دارد.
با قرار دادن CA در يك مركز SOC، ميتوان محدوده وسيعي از Applicationها را با ايمني بالاتري نسبت به امنيتي كه توسط نام كاربري و رمز عبور فراهم مي شود، پشتيباني كرد.
پياده سازي امنيت در مركز SOC
با بهره گيري از ابزارهاي مختلف امنيت شبكه در SOC، حملات به شبكه در سه رده و از جهات مختلف مورد بررسي قرار ميگيرد. اين سه رده عبارتند از: Visibility ، Verification و vulnerability كه با ادغام عملياتي كه در هر رده انجام ميپذيرد، ميتوان امكان كنترل و مديريت امنيت را در شبكه ايجاد نمود. در هر يك از اين ردهها فعاليتهاي خاصي انجام ميگيرد كه به واسطه آنها از نفوذ به داخل شبكه جلوگيري ميشود و در صورت ورود نيز از پيشروي آنها جلوگيري به عمل ميآيد. در هر يك از اين ردهها، تجهيزاتي وجود دارند كه ميتوانند متناسب با وظايفشان از شبكه محافظت نمايند.
تجهيزاتي كه در اين رده مورد استفاده قرار ميگيرند، به محض اينكه نصب و راهاندازي ميشوند، بايد Update گردند. فاكتورهايي كه از طريق اين تجهيزات Update ميگردند، شامل پيكربندي سرورها، برنامههاي كاربردي، پكيجهاي نرمافزارهاي امنيتي مرتبط با سيستمعاملها ميباشند كه با توجه به سرعت رشد راههاي نفوذ، به سرعت از درجه اعتبار ساقط ميگردد. با در نظر گرفتن اين نكته، اين رده كمترين تاثير را در برخورد با حملات دارد.
با استفاده از تجهيزات اين سطح كه عمدتاً شامل فايروالها ميباشند، ميتوان امنيت كليه تجهيزات شبكه را مانيتورينگ نمود. در اين قسمت كليه امكانات مربوط به ديوارههاي آتش Update ميشود و پيكربندي آنها متناسب با عملكردشان در شبكه، تغيير ميكند. اين تغييرات بدون زمانبندي خاص و در ازاي تغيير مكانيزمها و روند حملات به شبكه اعمال ميگردند. مشكلاتي كه در رابطه با تغيير پيكربندي فايروالها بهوجود ميآيند، منحصر به تكنولوژي نيست. هر بار كه پيكربندي اين تجهيزات توسط پرسنل Update ميگردد، امكان دارد كه با يك اشتباه در پيكربندي راه نفوذي براي هكرها ايجاد گردد.
با توجه به حجم و ابعاد شبكهها و پورتهايي كه از طريق آدرسهاي IP سرويس داده ميشوند، تعداد نقاطي كه بايد اسكن گردند مشخص ميشود. براي برقراري سطوح امنيتي متناسب با نيازهاي هر كاربر، اين پورتها به گروههاي مختلف دستهبندي ميگردند. به اين ترتيب پورتهايي كه از اهميت بالايي برخوردارند، توسط سيستمهاي مربوطه در فواصل زماني كوتاه (معمولاً هر 5 دقيقه يكبار) اسكن مي شوند. با توجه به حجم بالاي اطلاعاتي كه در هر بازه زماني توليد ميشود، بايد مكانيزمهايي در SOC وجود داشته باشد تا به واسطه آن اين حجم بالاي اطلاعات پردازش گردد و گزارشهاي مورد نياز استخراج شود.
اصلي ترين و البته مشكل ترين قسمت در يك مركز SOC، حصول اطمينان از امنيت قسمتهايي است كه كنترل مستقيمي بر آنها وجود ندارد. براي اين منظور بايد ابزاري بهكار گرفته شود كه از طريق آن بتوان به صورت غيرمستقيم تجهيزات مربوطه را كنترل نمود. در حقيقت بايد راه نفوذ از طريق آن تجهيزات را مسدود ساخت.
سرويس هاي پيشرفته در مراكز SOC
سرويسهاي پيشرفتهاي كه از طريق اين مراكز قابلارائه ميباشد، درحقيقت سرويسهايي است كه به واسطه آن ميتوان سياستهاي امنيتي را مطابق با نيازها پيشبيني نمود. در مراكز SOC علاوه بر مديريت امنيت تجهيزات شبكه، زيرساختهاي اطلاعاتي نيز از لحاظ امنيتي پشتيباني ميشوند. اين زيرساختها به طور كلي شامل پرسنل، فرآيندها و روالهاي كاري در شبكه ميباشند. در استانداردهاي تدوينشده براي امنيت نظير استانداردهاي BS9977 نحوه پيادهسازي روالهاي مديريت امنيت در شبكهها مشخص شده است.
در بخش مديريت امنيت فرآيندها در مركز SOC مراحل مختلفي طي ميشود تا بهواسطه آن يك روال در شبكه از هر لحاظ ايمن گردد. مرحله اول مرحله سياستگذاري است. پس از تدوين سياستها و تطبيق آنها با استانداردهاي موجود در زمينه امنيت شبكه، روالهاي استخراجشده جهت پيادهسازي به مسئولان تحويل ميشوند. نكته ديگري كه در اين زمينه قابلبررسي است، آگاهي پرسنل SOC از تهديدات امنيتي است. باتوجه به وجود طيف وسيعي از سختافزارهاي امنيت شبكه، كه هر كدام متناسب با شركت سازنده خود نياز به مهارتهاي خاصي براي استفاده دارند، و همچنين تغييرات سريع تكنولوژي و نحوه حمله به تجهيزات شبكه، نياز است پرسنل SOC از مهارتهاي خاصي برخوردار بوده و همواره به كسب اطلاعات جديد مشغول باشند. براي بروز نگهداشتن اطلاعات پرسنل از كلاسهاي آموزشي جهت تشخيص حملات جديد و نحوه برخورد با آنها استفاده ميشود. با توجه به حساسيت وظايف در مراكز SOC، پرسنل اين مراكز اهميت بالايي دارند. به اين ترتيب حفظ منافع و رضايت خاطر پرسنل از مهمترين مسئوليتهاي صاحبان SOC ميباشد.
امنيت در اينترنت
يكي از نيازهاي اساسي در بكارگيري اينترنت, رعايت مسائل امنيتي است, زيرا اينترنت ذاتأ محيطيناامن است. ميليونها كامپيوتر يك شبكه عمومي را تشكيل ميدهند و در حين ارتباطاتي كه فراهمميگردد, ممكن است بسياري از اطلاعات ربوده يا دستكاري گردند. دادهها براي انتقال از كامپيوتر فرستنده به كامپيوتر گيرنده بايستي چندين و چند اتصال ديگر را نيز بپيمايند. اين كار مسيريابي ناميدهميشود. در حين مسيريابي كامپيوترهايي بجز كامپيوترهاي فرستنده و گيرنده دخيل هستند و همين كامپيوترهاميتوانند در بين راه به دادهها دسترسي پيدا كنند. حتي كامپيوترهايي كه مستقيمأ در تعيين مسير درگيرنيستند هم ميتوانند به دادهها دست يابند. از اين رو امنيت يك عامل بحراني براي هر كاربرد اينترنتي يا اينترانتي ميباشد.
خطرات ارسال دادهها از طريق شبكه اينترنت:
دادههاي ارسالي از طريق شبكه اينترنت را سه خطر عمده تهديد مينمايد, اين خطرات عبارتند از:
سفارش كالاها از طريق تلفن با موارد فوق قابل قياس است, فرد سفارش دهنده ميخواهد مطمئن گرددكه شماره حساب اعتباري او را فرد ديگري نتواند بشنود (استراق سمع), هم چنين هيچ كس نتوانداطلاعات اضافي در برگه سفارش بگنجاند يا تغييري در آن اعمال نمايد (دستكاري اطلاعات), در ضمناين اطمينان هم بايستي فراهم گردد كه در آن سوي خط واقعأ شركتي اطلاعات را دريافت ميكند كهمسئول ارسال كالاها است و نه فردي كه قصد سرقت شماره حساب اعتباري او را دارد. (نقش بازيكردن)
مقابله با خطرات در حين نقل و انتقال دادهها در اينترنت:
برخي قوانين براي مقابله با خطرات فوق بكارگرفته ميشوند, به عنوان نمونه SSL 5 يكي از آنهاستكه براي ارتقاء سطح امنيت در ارتباط بين كامپيوترها فراهم شده است و موارد زير را در بر دارد:
• رمزنگاري ، كه دادهها را مقابل استراق سمع محافظت مينمايد.
بايد يادآور شد كه موارد فوق, فقط نقل و انتقال دادهها را تا حدممكن ايمن ميسازد و امنيت دادهها را قبل و يا بعد ازارسال تضمين نمينمايد.
نقش مرورگرها در استفاده ايمن از اينترنت:
با انتخاب يك مرورگر خوب و تنظيم پارامترهاي ايمني كه در داخل اين گونه نرم افزارها تعبيه ميشوند، ميتوان از بروز برخي خطرات تا حد ممكن جلوگيري نمود. معمولا نسخههاي جديدتر مرورگرها بيشتر به مسائل ايمني توجه نمودهاند، لذا بهتر است از آخرين نسخههاي آنها استفاده نمود, پساز نصب نرمافزار بايستي با مرور پارامترهاي درنظر گرفته شده در بخش امنيت, حد و حدود امنيت مورد نياز تعيين گردد و به پيش فرضهاي در نظر گرفته شده اكتفا نشود.
پست الكترونيكي :
تاكنون مهمترين سرويس از ميان سرويسهاي گوناگون اينترنت, سيستم پست الكترونيكي بوده است. بسياري از كاربران اينترنت بيشتر از اين بخش، استفاده مينمايند تا ساير امكانات فراهم آمده توسط اين شبكه جهاني.
امروزه، اقتصاد جهاني به پست الكترونيكي متكي شده است, بسياري از پيامهاي رد و بدل شده بينكاربران حاوي يادداشتهاي شخصي ميباشد. گرچه اغلب پيامها از متن ساده تشكيل شدهاند اما امكانپست الكترونيكي تمام انواع دادهها, مثل تصاوير, برنامههاي كامپيوتري, سندهاي صفحه گسترده و... نيز وجود دارد. با توجه به اين سرويس، اينترنت اجازه ميدهد كه افرادي كه دور از هم هستند با يكديگر در تعامل و كار باشند و در واقع, فردي با فرد ديگري كه هزاران كيلومتر از او دور است و هيچوقت او را نديده است, ميتواند ارتباط داشته باشد. در همين رابطه براي استفاده امن از پست الكترونيكي تذكراتي وجود دارد. درك تفاوتهاي پست الكترونيكي با پست عادي و يا گفتگوي تلفني كمي دشوار است ولي بكاربستن برخي نكات ساده ميتواند در بالا بردن امنيت هنگام بكارگيري اين سرويس مؤثر باشد از جمله اين موارد ميتوان از موارد زير را نام برد:
• بايستي همواره تصور شود كه هيچگونه اختفايي وجود ندارد. پيامهايي كه به دلايلي نبايد همه ببينند, نبايد از اين طريق ارسال شود, بنابراين از ارسال نامههاي بسيار خصوصي, سخنرانيهاي تند, بياحتراميهاي منظور دار و... بايستي احتراز گردد.
از آنجاييكه از هر جايي ممكن است پيامي ارسال شود, دريافت پيامهاي نامناسب هم دور از ذهن نيست, در پاسخگويي به اين گونه پيامها نبايد عجله به خرج داد و تندروي نمود, زيرا بازگشت دادن پاسخها غيرممكن است, ارسال پاسخ به چنين مواردي بهتراست با تأمل و نه چندان سريع صورت پذيردتا فرد دريافت كننده به قضاوت بهتري دست يابد.
ديوار آتش :
بسياري از سازمانها بدليل استفاده از سرويسهاي اينترنت, شبكه محلي خصوصي خود را بهاينترنت متصل كردهاند. از آنجائيكه اينترنت يك شبكه غير مطمئن است اين امر باعث افزايشآسيب پذيري و افزايش تعداد مهاجمين خواهد شد. ديوار آتش, محافظي مناسب، براي ارتباط وكنترل دستيابي بين يك شبكه مطمئن و يك شبكه نامطمئن است. ديوار آتش فقط يك جزء واحد نيست بلكه يك استراتژي حفاظتي براي اتصال به اينترنت است. كار اصلي يك ديوار آتش كنترل دستيابي متمركز است. ديوارهاي آتش انواع حفاظتهاي زير را انجام ميدهند:
• آنها ميتوانند جلوي ترافيك ناخواسته را سد كنند.
مديريت ديوار آتش:
يك ديوار آتش, مانند هر دستگاه ديگر شبكه، بايد توسط كسي مديريت شود, سياست حفاظتيبايد مشخص نمايد، چه كسي مسئول مديريت ديوار آتش است. دو مدير ديوار آتش (اوليه و ثانويه)بايد بوسيله مسئول امنيت تعيين شوند. مدير اول ميتوانند تغييرات احتمالي را روي ديوار آتش پيادهكند و مدير دوم در غيبت مدير اول وظايف مدير ديوار آتش را بعهده ميگيرد. بنابراين در يك لحظه فقط يك مدير ديوار آتش وجود خواهد داشت.
شبكههاي خصوصي مجازي :
شبكههاي خصوصي مجازي اجازه ميدهد يك شبكه مطمئن با شبكه مطمئن ديگري از طريقيك شبكه غير مطمئن، نظير اينترنت ارتباط برقرار نمايد. تعدادي از ديوارهاي آتش اين قابليت رافراهم ميآورند.
هر ارتباطي بين ديوارهاي آتش از طريق شبكههاي عمومي بايد رمز شده باشد تا از سلامت وخصوصي بودن دادهها مطمئن شد. همه ارتباطات در شبكههاي خصوصي مجازي بايد بوسيله مدير سيستمهاي شبكه تأئيد و مديريت شده باشند.
جدول 1- جدول ملاحظات در سطح مديريتي
دليل |
پروتكل |
چه چيز؟ |
چرا؟ |
پست الكترونيكي |
|
||
SMTP |
|
||
POP3 |
|
||
IMAP |
|
||
خبرهاي USENET |
NTTP |
|
|
www |
HTTP |
|
|
ساير |
Routed |
جدول 2 - نمونه خطمشيهاي امنيتي در اينترنت
خطمشينمونه |
|||||
خدمات |
داخل به خارج |
خارج به داخل |
خطمشي نمونه |
||
وضعيت |
Auth |
وضعيت |
Auth |
||
FTP |
بلي |
خير |
بلي |
بلي |
دسترسي بصورت FTP از شبكه داخلي به شبكههاي خارجي مجاز خواهد بود. نياز به تعيين هويت قوي براي دسترسي از خارج به داخل مورد نياز ميباشد. |
Telnet |
بلي |
خير |
بلي |
بلي |
دسترسي به صورت Telnet از شبكه داخلي به شبكه خارجي مجاز خواهد بود براي Telnet نمودن از خارج به شبكه داخلي بايستي نياز به تعيين هويت باشد. |
Rlogin |
بلي |
خير |
بلي |
بلي |
rlogin به ميزبانهاي سازمان از طريق شبكه خارجي نياز به تأييديه مدير خدمات شبكه و بكارگيري شديد تعيين هويت دارد. |
HTTP |
بلي |
خير |
بلي |
بلي |
تمام سرويسگرهاي www، در نظر گرفته شده براي ارائه خدمات به كاربران خارجي بايستي خارج از ديوار آتش سازمان قرار گيرند. هيچ HTTP داخل ديوار آتش سازمان قابل دسترسي نيست. |
SSL |
بلي |
خير |
بلي |
بلي |
هنگام عبور نشستهاي SSL از ديوار آتش، گواهي معتبر از طرف مشتري كه در قسمت خود از SSL استفاده ميكند، مورد نياز است. |
POP3 |
خير |
خير |
بلي |
خير |
سرويس POP ، سازمان بايستي درون ديوار آتش آن قرار گيرد. ديوار آتش ترافيك POP را به سرويسگر POP منتقل مينمايد استفاده از APOP احتياج است. |
NTTP |
بلي |
خير |
خير |
خير |
هيچ دسترسي خارجي به سرويسگر NITP مجاز نيست. |
Real Audio |
خير |
خير |
خير |
خير |
در حال حاضر، هيچگونه نياز تجاري براي پشتيباني از نشستهاي صوتي از طريق ديوار آتش وجود ندارد. هر واحد تجاري كه به اين مسأله نياز دارد بايستي با مدير خدمات شبكه مذاكره نمايد. |
LP |
بلي |
خير |
خير |
خير |
خدمات LP دروني بايستي در درون ديوار آتش سازمان غير فعال گردند. |
finger |
بلي |
خير |
خير |
خير |
خدمات finger دروني بايستي در درون ديوار آتش سازمان غير فعال گردند. |
gopher |
بلي |
خير |
خير |
خير |
خدمات gopher دروني بايستي در درون ديوار آتش سازمان غير فعال گردند. |
whois |
بلي |
خير |
خير |
خير |
خدمات whois دروني بايستي در درون ديوار آتش سازمان غير فعال گردند. |
RSH |
بلي |
خير |
خير |
خير |
خدمات RSH دروني بايستي در درون ديوار آتش سازمان غير فعال گردند. |
SQL |
بلي |
خير |
خير |
خير |
اتصالات ميزبانهاي خارجي به بانكهاي اطلاعاتي داخلي بايستي بوسيله مدير خدمات شبكه تأييد گردد و از خدمات SQL Proxy استفاده نمايند. |
ساير مثل NFS |
خير |
خير |
خير |
خير |
هرگونه دستيابي به خدماتي بجز خدمات توضيح داده شده بالا بايستي در دو طرف تطبيق داده شوند به نحوي كه فقط خدمات اينترنت كه به آنها نيازي باشد و درباره آنها آگاهي وجود دارد مجاز باشد و بقيه راكد باقي ميماند. |
جدول 3- خلاصه خطمشي امنيتي
خطمشي |
خدمات FTP غير ناشناس |
خدمات FTB ناشناس |
قرار دادن سرويسگر خارج از ديوار آتش |
خير |
بلي |
قرار دادن ماشين سرويسگر در شبكه خدماتي |
خير |
بلي |
قرار دادن ماشين سرويسگر در شبكه حفاظتشده |
بلي |
خير |
قرار دادن ماشين سرويسگر در خود ديوار آتش |
خير |
خير |
سرويسگر توسط هر كسي روي Internet قابل دسترسي خواهد بود. |
خير |
بلي |
1. تهديدات و ملزومات مربوط به امنيت كار الكترونيكي
تهديدات موجود در پيشروي امنيت سيستمهاي اطلاعاتي را ميتوان به سه دستهي اصلي تقسيم كرد: افشاي اطلاعات محرمانه (تهديد «افشا»)، صدمه به انسجام اطلاعات (تهديد «دستكاري»)، و موجودنبودن اطلاعات (تهديد «تضييق خدمات»). بطور مرسوم، امنيت اطلاعات در وهلهي اول با تهديد «افشا» همراه بوده است. در دنياي امروز، وابستگي ما به سيستمهاي اطلاعاتي طوري است كه دستكاري غيرمجاز يا فقدان گستردهي اطلاعات، پيامدهاي ناگواري را موجب خواهد شد. در كار الكترونيكي، لازم است كه همهي انواع اطلاعات از طريق شبكه، دسترسپذير باشند. بنابراين، امنيت اطلاعات شرط ضروري كار الكترونيكي است.
در هنگام كاركردن در يك شبكهي باز، جريان اطلاعات در شبكه در معرض افشا و دستكاري غيرمجاز ميباشد. براي حفاظت از محرمانگي و انسجام آن اطلاعات، رمزگذاري قوي ضروري است. كمك غيرمستقيم رمزگذاري به ما اين است كه از وجود شبكههاي اطلاعاتي اطمينان حاصل كنيم. پس از مقابلهي مؤثر با تهديدات«دستكاري» و «افشا»، ميتوان با ايجاد اضافات كافي در شبكههاي اطلاعاتي، دردسترسبودن اطلاعات را تحقق بخشيد. فناوري اينترنت در اصل براي بهوجودآوردن همين نوع از اضافات طراحي شد و هنوز هم براي اين منظور مناسب است.
2. ايجاد زيرساختار شبكه
معماري اينترنت، معماري شبكهاي غالب در اوايل دههي 2000 است. اينترنت بر پروتكل اينترنت (آيپي) استوار است، كه ميتوان آن را روي همهي انواع شبكههاي فيزيكي و تحت همهي انواع برنامههاي كاربردي به كار انداخت. استقلال پروتكل اينترنت هم از شبكههاي فيزيكي و هم از برنامههاي كاربردي، نقطهي قوت اصلي آن است. اين پروتكل حتي با فناوريهاي شبكهاي كاملاً جديد، مثل «شبكهي محلي بيسيم» (دبليولن) يا «سرويس راديويي بستهاي عمومي» (جيپيآراِس) و شبكهي «سامانهي عمومي ارتباطات همراه» (جياِساِم) نيز كار ميكند. برنامههاي جديد، مثل وب، «ووآيپي»، و بسياري برنامههاي ديگر كه در آينده عرضه ميشوند را ميتوان به راحتي با سرويس استاندارد پروتكل اينترنت اجرا كرد. معماري اينترنت اساساً از سال 1974 ثابت مانده و همچنان قدرت خود را اثبات ميكند. بنابراين شعار قديمي «آيپي وراي همه، همه چيز برروي آيپي» امروز بيش از هر زمان ديگري صدق ميكند.
عيبهاي اصلي «آيپي»، فضاي ناكافي نشاني، عدم پشتيباني از جايجايي فيزيكي، فقدان كيفيت متمايز سرويس، و فقدان امنيت آن ميباشد. «گروه فوقالعادهي مهندسي اينترنت» هر يك از اين موضوعات را مدنظر قرار داده و راهحلهاي استانداردي نيز براي هر يك از آنها پيشنهاد شده. در نگارش ششم و جديد «آيپي» عملاً تعداد نشانيها نامحدود، و گسترشپذيري آن بهتر از نگارش 4 (كنوني) است. «آيپي سيار» (اِمآيپي) براي هر دو نگارش تعريف شده. اين «آيپي» براي ميزبان سيار اين امكان را فراهم ميآورد كه از يك شبكه به شبكه ديگر جابجا شود، ضمن اينكه نشانيهاي «آيپي» دائمي خود را، كه در همهي ارتباطات با اين ميزبان مورد استفاده قرار ميگيرد، حفظ ميكند. اين امر منجر به تحرك واقعي، نه صرفاً در چارچوب فناوري يك شبكه (مثل «ج
برچسب های مهم