شبکه TCP/IP

گردآورندگان:خانم ها شهلا دانايي-سيده سارا هاشمي-زهرا صفري

---

مقدمه
اطلاعات در سازمان‌ها، مؤسسات پيشرفته و جوامع علمي، شاهرگ حياتي محسوب مي‌گردد. دستيابي به اطلاعات و عرضه مناسب و سريع آن، همواره مورد توجه سازمان‌هايي است که اطلاعات در آن‌ها داراي نقش محوري و سرنوشت‌ساز است. سازمان‌ها و مؤسسات بايد يک زيرساخت مناسب اطلاعاتي براي خود ايجاد كنند و در جهت سازماندهی اطلاعات در سازمان خود حرکت نمايند. اگر مي‌خواهيم ارائه‌دهنده اطلاعات در عصر اطلاعات، و نه صرفاً مصرف‌کننده اطلاعات باشيم، بايد در مراحل بعد، امکان استفاده از اطلاعات ذيربط را براي متقاضيان محلي و جهاني در سريع‌ترين زمان ممکن فراهم نماييم.

سرعت در توليد و عرضه اطلاعات ارزشمند، يکي از رموز موفقيت در سازمان‌ها، مؤسسات و جوامع علمي در عصر اطلاعات است. پس از سازماندهی اطلاعات بايد با بهره‌گيري از شبكه‌هاي رايانه‌اي، زمينه استفاده قانونمند و هدفمند از اطلاعات را براي ديگران فراهم کرد. به موازات حرکت به سمت يک سازمان پيشرفته و مبتني بر فناوري اطلاعات، بايد تدابير لازم در رابطه با حفاظت از اطلاعات نيز انديشيده شود.

مهم‌ترين مزيت و رسالت شبكه‌هاي رايانه‌اي، اشتراک منابع سخت‌افزاري و نرم‌افزاري و دستيابي سريع و آسان به اطلاعات است. کنترل دستيابي و نحوه استفاده از منابعي كه به اشتراک گذاشته شده‌اند، از مهم‌ترين اهداف يک نظام امنيتي در شبکه است. با گسترش شبكه‌هاي رايانه‌اي خصوصاً اينترنت، نگرش به امنيت اطلاعات و ديگر منابع به اشتراک گذاشته شده، وارد مرحله جديدي گرديده است. در اين راستا لازم است که هر سازمان براي حفاظت از اطلاعات ارزشمند، به يک راهبرد خاص پايبند باشد و براساس آن، نظام امنيتي را پياده‌سازي و اجرا نمايد.

نبود نظام مناسب امنيتي، ممكن است پيامدهاي منفي و دور از انتظاري را به دنبال داشته باشد. توفيق در ايمن‌سازي اطلاعات منوط به حفاظت از اطلاعات و نظام هاي اطلاعاتي در مقابل حملات است؛ بدين منظور از سرويس هاي امنيتي متعددي استفاده مي‌شود.

سرويس‌هاي انتخابي بايد پتانسيل لازم در خصوص ايجاد يک نظام حفاظتي مناسب، تشخيص بموقع حملات، و واکنش سريع را داشته باشند. بنابراين مي توان محور راهبردي انتخاب شده را بر سه مؤلفه حفاظت، تشخيص، و واکنش استوار نمود. حفاظت مطمئن، تشخيص بموقع و واکنش مناسب، از جمله مواردي هستند که بايد همواره در ايجاد يک نظام امنيتي رعايت كرد .

خوشبختانه پژوهش‌هاي زيادي در زمينه امنيت رايانه و شبکه‌ها در رابطه با فناوري‌هاي امنيتي پيشگيرانه (کنشي) و نيز مواجهه با مشکلات امنيتي (واکنشي) صورت گرفته است. مقاله حاضر در صدد بيان، تعدادي از فناوري‌هاي موجود در رابطه با امنيت اطلاعات با يک ديدگاه طبقه‌بندي است.

فناوري‌هاي امنيت اطلاعات: با يك ديدگاه طبقه‌بندی

مهم‌ترين مزيت و رسالت شبکه‌هاي رايانه‌اي، اشتراک منابع سخت‌افزاري و نرم‌افزاري و دستيابي سريع و آسان به اطلاعات است. کنترل دستيابي و نحوه استفاده از منابعي كه به اشتراک گذاشته شده‌اند، از مهم‌ترين اهداف يک نظام امنيتي در شبکه است. با گسترش شبکه‌هاي رايانه‌اي (خصوصاً اينترنت)، نگرش نسبت به امنيت اطلاعات و ساير منابع به اشتراک گذاشته شده، وارد مرحله جديدي گرديده است. در اين راستا لازم است که هر سازمان براي حفاظت از اطلاعات ارزشمند، به يک راهبرد خاص پايبند باشد و براساس آن، نظام امنيتي را اجرا نمايد. نبود نظام مناسب امنيتي، بعضاً پيامدهاي منفي و دور از انتظاري را به دنبال دارد. توفيق در ايمن‌سازي اطلاعات، منوط به حفاظت از اطلاعات و نظام‌هاي اطلاعاتي در مقابل حملات است؛ بدين منظور از سرويس‌هاي امنيتي متعددي استفاده مي‌گردد. مقاله حاضر با توجه به اين رويکرد به طبقه‌بندی فناوري‌هاي امنيت اطلاعات، براساس دو ويژگي خواهد پرداخت: مرحله خاصي از زمان که در هنگام تعامل فناوري با اطلاعات، عکس‌العمل لازم در برابر يک مشکل امنيتي، ممكن است کنشي يا واکنشي باشد، و سطوح پياده‌سازي نظام‌هاي امنيتي در يک محيط رايانه‌اي.

تعاريف:
فناوري‌های امنيت اطلاعات

امنيت اطلاعات ( Information security) به حفاظت از اطلاعات و به ‌حداقل‌رساندن خطر افشاي اطلاعات در بخش هاي غيرمجاز اشاره دارد ،. امنيت اطلاعات مجموعه‌اي از ابزارها براي جلوگيري از سرقت، حمله، جنايت، جاسوسي و خرابکاري و علم مطالعه روش‌هاي حفاظت از داده‌ها در رايانه‌ها و نظام‌هاي ارتباطي در برابر دسترسي و تغييرات غيرمجاز است با توجه به تعاريف ارائه شده، امنيت به مجموعه‌اي از تدابير، روش‌ها و ابزارها براي جلوگيري از دسترسي و تغييرات غيرمجاز در نظام‌هاي رايانه‌اي و ارتباطي اطلاق مي‌شود. «فن آاوري» به کاربرد علم، خصوصاً براي اهداف صنعتي و تجاري يا به دانش و روش‌هاي مورد استفاده براي توليد يک محصول گفته مي‌شود.

بنابراين «فناوري امنيت اطلاعات» به بهره‌گيري مناسب از تمام فناوري‌هاي امنيتي پيشرفته براي حفاظت از تمام اطلاعات احتمالي روي اينترنت اشاره دارد .

طبقه‌بندی
طبقه‌بندي، دسته‌بندي اشيا است در يک فهرست سازمان يافته يا در قالب يا روابط سلسله‌مراتبي که روابط طبيعي بين اشيا را نشان مي‌دهد .طبقه‌بندی به عنوان يک فرايند، عبارت است از ايجاد نظامي منطقي از رتبه‌ها که در آن، هر رتبه از تعدادي اشيا تشکيل شده، به گونه‌اي که در صورت نياز مي‌توان به آساني به اجزاي آن دسترسي پيدا کرد.

طبقه‌ بندی ارائه‌ شده در مقاله حاضر از فناوري‌هاي امنيت اطلاعات، در وهله اول براساس دو ويژگي پايه‌گذاري شده:

1- براساس مرحله خاصي از زمان: بدين معنا که در زمان تعامل فن آوريفناوري با اطلاعات، عکس‌ العمل لازم در برابر يک مشکل امنيتي مي‌ تواند کنشگرايانه کنشي (Proactive) يا واکنشي (Reactive) باشد

غرض از «کنشگرايانه»، انجام عمليات پيشگيرانه قبل از وقوع يک مشکل خاص امنيتي است. در چنين مواردي به موضوعاتي اشاره مي گردد که ما را در پيشگيري از وقوع يک مشکل کمک خواهد کرد ( چه کار بايد انجام دهيم تا ...؟.

غرض از «واکنشي» انجام عکس‌العمل لازم پس از وقوع يک مشکل خاص امنيتي است. در چنين مواردي به موضوعاتي اشاره مي‌گردد که ما را در مقابله با يک مشکل پس از وقوع آن، کمک خواهند کرد (اكنون كه ... چه کار بايد انجام بدهيم؟

2- براساس سطوح پياده‌سازي نظام‌ هاي امنيتي در يک محيط رايانه‌اي: فناوري امنيت اطلاعات را، خواه از نوع کنشي باشد يا واکنشي، مي‌توان در سه سطح – سطح شبکه(Network Level)، سطح ميزبان (Host Level)، سطح برنامه کاربردي (Application Level) - پياده‌سازي كرد

. بدين منظور مي‌توان نظام امنيتي را در سطح شبکه و خدمات ارائه شده آن، در سطح برنامه کاربردي خاص، يا در محيطي که شرايط لازم براي اجراي يک برنامه را فراهم مي نمايد (سطح ميزبان) پياده كرد.

الف. فناوري‌هاي امنيت اطلاعات کنشگرايانه

رمزنگاري (Cryptography)

به بيان ساده، رمزنگاري به معناي «نوشتن پنهان»، و علم حفاظت، اعتمادپذيری و تأمين تماميت داده‌ها است اين علم شامل اعمال رمزگذاري، رمزگشايي و تحليل رمز است. در اصطلاحات رمزنگاري، پيام را «متن آشکار»(plaintext or cleartext) مي‌نامند. کدگذاري مضامين را به شيوه‌اي که آن‌ها را از ديد بيگانگان پنهان سازد، «رمزگذاري» (encryption) يا «سِرگذاري» (encipher)مي‌نامند* . پيام رمزگذاري شده را «متن رمزي»(ciphertext)، و فرايند بازيابي متن آشکار از متن رمزي را رمزگشايي (decryption)يا «سِّرگشايي»(decipher)مي نامند.

الگوريتم‌هايی که امروزه در رمزگذاري و رمزگشايي داده‌ها به کار می‌روند از دو روش بنيادی استفاده می کنند: الگوريتم‌های متقارن، و الگوريتم‌های نامتقارن يا کليد عمومی. تفاوت آن‌ها در اين است که الگوريتم‌های متقارن از کليد يکسانی برای رمزگذاری و رمزگشايی استفاده می‌کنند، يا اين که کليد رمزگشايی به سادگی از کليد رمزگذاری استخراج می‌شود (مثل: DES(Data Encryption Standard)، CCEP(The Commercial Comsec Endoremment Program)، IDEA(International Data Encryption Algoritm)، FEAL ). در حالی که الگوريتم‌های نامتقارن از کليدهای متفاوتی برای رمزگذاری و رمزگشايی استفاده می‌کنند و امکان استخراج کليد رمزگشايی از کليد رمزگذاری وجود ندارد. همچنين کليد رمزگذاری را کليد عمومی، و کليد رمزگشايی را کليد خصوصی يا کليد محرمانه می‌نامند (مثل: RSA ، LUC).

تجزيه و تحليل رمز(cryptanalysis)، هنر شکستن رمزها و به عبارت ديگر، بازيابي متن آشکار بدون داشتن کليد مناسب است؛ افرادي که عمليات رمزنگاري را انجام مي‌دهند، رمزنگار(cryptographer)ناميده مي‌شوند و افرادي که در تجزيه و تحليل رمز فعاليت دارند رمزکاو(cryptanalyst)هستند.

رمزنگاري با تمام جوانب پيام‌رساني امن، تعيين اعتبار، امضاهاي رقومي، پول الکترونيکي و نرم افزارهاي کاربردي ديگر ارتباط دارد. رمزشناسي(cryptology)شاخه‌اي از رياضيات است که پايه‌هاي رياضي مورد استفاده در شيوه‌هاي رمزنگاري را مطالعه مي‌کند.

رمزنگاري يک فناوري امنيت اطلاعات از نوع کنشگرايانه است، زيرا اطلاعات را قبل از آن که يک تهديد بالقوه بتواند اعمال خرابکارانه انجام دهد، از طريق رمزگذاري داده‌ها ايمن مي‌سازند.

امضاهاي رقومي (digital signatures)

امضاهاي رقومي، معادل «امضاي دست‌نوشت» و مبتني بر همان هدف هستند: نشانه منحصر به فرد يک شخص، با يک بدنه متن به اين ترتيب، امضاي رقومي مانند امضاي دست‌نوشت، نبايد قابل جعل باشد. اين فناوري که با استفاده از الگوريتم رمزنگاري ايجاد مي‌شود، تصديق رمزگذاري‌شده‌اي است که معمولاً به يک پيام پست الکترونيکي يا يک گواهي‌نامه ضميمه مي‌شود تا هويت واقعي توليدکننده پيام را تأييد کند.

امضاي رقومي يک فناوري امنيت اطلاعات از نوع کنشگرايانه است، زيرا قبل از وقوع هر تهديدي، مي‌توان با استفاده از آن فرستنده اصلي پيام و صاحب امضا را شناسايي كرد. به علاوه اين فناوري در سطح يک برنامه کاربردي قابل پياده‌سازي است. در اين سطح، امضاي رقومي در يک برنامه کاربردي خاص و قبل از آن که به يک گيرنده خاص فرستاده شود، ايجاد مي‌گردد.

گواهي‌هاي رقومي(Digital certificates)

گواهي‌هاي رقومي به حل مسئله «اطمينان» در اينترنت كمك مي‌کنند. گواهي‌هاي رقومي متعلق به «سومين دسته اطمينان»(trusted third parties)هستند و همچنين به «متصدي‌هاي گواهي» اشاره دارند . متصدي‌هاي گواهي، مؤسسات تجاري هستند که هويت افراد يا سازمان‌ها را در وب تأييد، و تأييديه‌هايي مبني بر درستي اين هويت‌ها صادر مي‌کنند. براي به دست‌آوردن يک گواهي، ممکن است از فرد خواسته شود که يک کارت شناسايي (مانند کارت رانندگي) را نشان دهد. بنابراين گواهي‌هاي رقومي، يک شبکه امن در ميان کاربران وب، و مکاني براي تأييد صحت و جامعيت يک فايل يا برنامه الکترونيکي ايجاد مي‌کنند. اين گواهي‌ها حاوي نام فرد، شماره سريال، تاريخ انقضا، يک نسخه از گواهي نگاهدارنده کليد عمومي (كه براي رمزگذاري پيام‌ها و امضاهاي رقومي به کار مي‌رود) مي‌باشند.

گواهي‌هاي رقومي، فناوري امنيت اطلاعات از نوع کنشگرايانه هستند، زيرا از اين فناوري براي توزيع کليد عمومي از يک گروه ارتباطي به گروه ارتباطي ديگر استفاده مي‌شود. همچنين اين روش، قبل از آن که هر ارتباطي بين گروه‌ها اتفاق بيفتد، اطمينان ايجاد مي‌کند. اين فناوري در سطح برنامه کاربردي قابل پياده‌سازي است؛ مثلاً قبل از آغاز هر ارتباط مرورگر وب، تأييد مي‌کند که آن گروه خاص قابل اطمينان مي‌باشد.

شبكه‌هاي مجازي خصوصي( virtual private networks)

فناوري شبكه‌هاي مجازي خصوصي، عبور و مرور شبکه را رمزگذاري مي‌کند. بنابراين اين فناوري براي تضمين صحت و امنيت داده‌ها، به رمزنگاري وابسته است. اين شبکه بسيار امن، براي انتقال داده‌هاي حساس (از جمله اطلاعات تجاري الکترونيکي) از اينترنت به عنوان رسانه انتقال بهره مي‌گيرد. شبكه‌هاي مجازي خصوصي، فناوري امنيت اطلاعات از نوع کنشگرايانه هستند، زيرا داده‌ها قبل از آن که در شبکه عمومي منتشر شوند، با رمزگذاري محافظت مي‌شوند و اين باعث مي‌گردد که تنها افراد مجاز قادر به خواندن اطلاعات باشند. به علاوه اين فناوري در سطح شبکه قابل پياده‌سازي است، و از فناوري رمزگذاري بين دو ميزبان شبکه مجازي خصوصي، در مرحله ورود به شبکه و قبل از آن که داده‌ها به شبکه عمومي فرستاده شود، استفاده مي‌گردد.

نرم‌افزارهای آسيب‌نما( vulnerability scanners)

نرم‌افزارهای آسيب‌نما برنامه‌هايي براي بررسي نقاط ضعف يک شبکه يا سيستم يا سايت هستند. بنابراين نرم‌افزارهای آسيب‌نما يک نمونه خاص از نظام آشکارساز نفوذی از فناوري امنيت اطلاعات هستند همچنين اين نرم‌افزارها به يک پويش فاصله‌مدار اشاره دارند؛ بدين معنا که ميزبان‌هاي روي شبکه را در فواصل خاص و نه بطور پيوسته، پويش مي‌کنند. به مجرد اين که يک نرم‌افزار آسيب‌نما بررسي يک ميزبان را خاتمه داد، داده‌ها در درون يک گزارش، نمونه‌برداري مي‌شوند، كه به يک «عکس فوري»(snapshot) شباهت دارد (مثل: cybercop scanner، cisco secure scanner، Net Recon).

نرم‌افزارهای آسيب‌نما، فناوري امنيت اطلاعات از نوع کنشگرايانه هستند، زيرا از آن‌‌ها براي کشف عامل‌های نفوذی قبل از آن که بتوانند با عمليات‌هاي خرابکارانه يا بدخواهانه از اطلاعات سوء استفاده کنند، استفاده مي‌شود. نرم‌افزارهای آسيب‌نما در سطح ميزبان قابل پياده‌سازي هستند.

پويشگرهاي ضد ويروس(Anti- virus scanner)

در دهه‌هاي گذشته ويروس‌هاي رايانه‌اي باعث تخريب عظيمي در اينترنت شده‌اند. ويروس رايانه‌اي يک قطعه مخرب نرم‌افزاري است که توانايي تکثير خودش را در سراسر اينترنت، با يک بار فعال‌شدن، دارد .پويشگرهاي ضد ويروس، برنامه‌هاي نرم‌افزاري هستند که براي بررسي و حذف ويروس‌هاي رايانه‌اي، از حافظه يا ديسک‌ها طراحي شده‌اند. اين برنامه‌ها از طريق جستجوي كدهاي ويروس رايانه‌اي، آن‌ها را تشخيص مي‌دهند. اگرچه برنامه‌هاي حفاظت از ويروس نمي‌توانند تمام ويروس‌ها را نابود کنند، اما اعمالي که اين برنامه‌ها انجام مي‌دهند عبارت‌اند از: 1) ممانعت از فعاليت ويروس، 2) حذف ويروس، 3) تعمير آسيبي که ويروس عامل آن بوده است، و 4) گرفتن ويروس در زمان کنترل و بعد از فعال‌شدن آن پويشگر ضدويروس، يک فناوري امنيت اطلاعات از نوع کنشگرايانه است. اين پويشگرها در سطوح متنوع، و به طوري که در طبقه‌بندي بيان شده در سطح برنامه‌هاي کاربردي و در سطح ميزبان، قابل پياده‌سازي هستند.

پروتکل‌هاي امنيتي(security protocols)

پروتکل‌هاي امنيتي مختلفي مانند «پروتکل امنيت اينترنت»( Internet Protocol) Security (IPsec) و «کربروس»(kerberos)که در فناوري‌هاي امنيت اطلاعات طبقه‌بندي مي‌شوند، وجود دارند. پروتکل‌ها فناوري‌هايي هستند که از يک روش استاندارد براي انتقال منظم داده‌ها بين رايانه‌ها استفاده مي‌کنند، يا مجموعه‌اي از مقررات يا قراردادها هستند که تبادل اطلاعات را ميان نظام‌هاي رايانه‌اي، کنترل و هدايت مي‌کنند.

پروتکل‌هاي امنيتي، يک فناوري امنيت اطلاعات از نوع کنشگرايانه هستند، زيرا براي حفاظت از اطلاعات حساس از يک پروتکل خاص امنيتي، قبل از آن که اطلاعات به وسيله خرابکاران به دست آيد، استفاده مي‌كنند. اين فناوري در سطوح مختلف _ سطح برنامه کاربردي و سطح شبکه- قابل پياده‌سازي است. مثلاً پروتکل «کربروس»، پروتکل و سيستمي است که از آن در تعيين اعتبار سيستم‌هاي اشتراکی استفاده مي‌شود. «کربروس» براي تعيين اعتبار ميان فرآيندهاي هوشمند (نظير از خدمت‌گيرنده به خدمت‌دهنده، يا ايستگاه کاري يک کاربر به ديگر ميزبان‌ها) مورد استفاده قرار مي‌گيرد و اين تعيين اعتبار در سطح برنامه کاربردي و شبکه، قابل پياده‌سازي است
سخت افزارهاي امنيتي(Security hardware)

سخت افزار امنيتي به ابزارهاي فيزيکي که کاربرد امنيتي دارند، اشاره مي‌كندٍ؛ مانند معيارهاي رمزگذاري سخت‌افزاري يا مسيرياب‌هاي سخت‌افزاري.

ابزارهاي امنيت فيزيکي شامل امنيت سرورها، امنيت کابل‌ها، سيستم‌هاي هشداردهنده امنيتي در زمان دسترسي غيرمجاز يا ذخيره فايل‌ها بعد از استفاده يا گرفتن فايل پشتيبان هستند.

اين فناوري يک فناوري امنيت اطلاعات از نوع کنشگرايانه است، زيرا داده‌ها را قبل از آن که تهديد بالقوه‌اي بتواند تحقق يابد، حفاظت مي‌کنند. مثلاً از رمزگذاري داده‌ها به‌منظور جلوگيري از اعمال خرابکارانه و جرح و تعديل ابزار سخت‌افزاري استفاده مي‌شود. اين فناوري در سطح شبکه قابل پياده‌سازي است. مثلاً يک کليد سخت‌افزاري مي‌تواند در درون درگاه ميزبان براي تعيين اعتبار کاربر، قبل از آن که کاربر بتواند به ميزبان متصل شود به کار رود، يا معيارهاي رمزگذاري سخت‌افزار روي شبکه، يک راه حل مقاوم به دستکاري را فراهم آورد و در نتيجه ايمني فيزيکي را تأمين نمايد.

جعبه‌هاي توسعه نرم‌افزار امنيتي

جعبه‌هاي توسعه نرم‌افزار امنيتي، ابزارهاي برنامه‌نويسي هستند که در ايجاد برنامه‌هاي امنيتي مورد استفاده قرار مي‌گيرند. «Java security manager» و «Microsoft.net SDKs» نمونة‌ نرم‌افزارهايي هستند که در ساختن برنامه‌هاي کاربردي امنيتي (مانند برنامه‌هاي تعيين اعتبار مبتني بر وب) به کار مي‌روند. اين جعبه‌ها شامل سازنده صفحه تصويري، يک ويراستار، يک مترجم، يک پيونددهنده، و امکانات ديگر هستند. جعبه‌هاي توسعه نرم‌افزار امنيتي، فناوري امنيت اطلاعات از نوع کنشگرايانه هستند، زيرا از آن‌ها در توسعه نرم افزارهاي متنوع برنامه‌هاي کاربردي امنيتي (که داده‌ها را قبل از آن که تهديد بالقوه تحقق يابد، حفاظت مي‌کنند) استفاده مي‌شوند. به‌علاوه اين فناوري در سطوح متنوع- سطح برنامه‌هاي کاربردي، سطح ميزبان، سطح شبکه- قابل پياده‌سازي است.

ب. فناوري‌هاي امنيت اطلاعات واکنشي

ديوار آتش( firewalls)ديوار آتش

در اينترنت يک ابزار نرم‌افزاري، خصوصاً روي يک رايانه پيکربندي‌شده مي‌باشد که به عنوان مانع، فيلتر يا گلوگاه بين يک سازمان داخلي يا شبکه امين و شبکه غيرامين يا اينترنت، نصب مي‌شود هدف از ديوار آتش جلوگيري از ارتباطات غيرمجاز در درون يا بيرون شبکه داخلي سازمان يا ميزبان است. ديوار آتش به عنوان اولين خط دفاعي در تلاش براي راندن عامل مزاحم، مورد توجه قرار مي‌گيرد. اگرچه فناوري رمزگذاري به حل بسياري از مشکلات ايمني کمک مي‌كند، به يک فناوري ثانوي نيز نياز داريم. فناوري معروف به ديوار آتش اينترنت کمک مي‌كند تا رايانه‌ها و شبكه‌هاي يک سازمان را از ترافيک نامطلوب اينترنت محافظت كنيد. اين فناوري براي پرهيز از مشکلات ايجاد شده در اينترنت يا گسترش آن‌ها به رايانه‌هاي سازمان طراحي مي‌گردد. ديوار آتش بين نظام‌هاي سازمان و اينترنت قرار مي‌گيرد.

ديوار آتش يک فناوري امنيت اطلاعات از نوع واکنشي است و مهم‌ترين ابزار امنيتي مورد استفاده براي کنترل ارتباطات شبکه‌اي بين دو سازمان که به يکديگر اعتماد ندارند، مي‌باشد. با قراردادن يک ديوار آتش روي هر ارتباط خارجي شبکه، سازمان مي‌تواند يک دايره امنيتي تعريف نمايد که از ورود افراد خارجي به رايانه‌هاي سازمان جلوگيري مي‌کند. علاوه بر آن، ديوار آتش مي‌تواند مانع نفوذ افراد خارجي به منابع موجود در رايانه‌هاي سازمان و گسترش نامطلوب روي شبکه سازمان شود. اين فناوري در سطوح ميزبان و در سطح شبکه قابل پياده‌سازي است.

کنترل دسترسي به مجموعه سياست‌ها و اقدامات مربوط به دادن اجازه يا ندادن اجازه براي دسترسي يك کاربر خاص به منابع، يا محدودکردن دسترسي به منابع نظام‌هاي اطلاعاتي براي کاربران، برنامه‌ها، پردازه‌ها يا ديگر سيستم‌هاي مجاز اطلاق مي‌شود. هدف از اين فناوري، حصول اطمينان است از اين كه يک موضوع، حقوق کافي براي انجام عمليات‌هاي خاص روي سيستم را دارد . اين موضوع ممکن است کاربر، يک گروه از کاربران، يک خدمت، يا يک برنامه کاربردي باشد. موضوعات در سطوح مختلف، امکان دسترسي به اشياي خاصي از يک سامانه را دارند. اين شيء ممکن است يک فايل، راهنما، چاپگر يا يک فرايند باشد. کنترل دسترسي ابزاري است که امنيت شبکه را از طريق تأمين کاراکترهاي شناسايي و کلمه عبور تضمين مي‌کند و فناوري امنيت اطلاعات از نوع واکنشي است، زيرا دسترسي به يک نظام را به محض اين که يک درخواست دسترسي صورت گيرد، مجاز مي‌شمارد يا غيرمجاز. اين فناوري در سطوح متنوع- در سطح برنامه کاربردي، در سطح ميزبان و در سطح شبکه- قابل پياده‌سازي است.

کلمات عبور(passwords)

کلمه عبور، يک کلمه، عبارت يا حروف متوالي رمزي است که فرد براي به‌دست آوردن جواز دسترسي به اطلاعات (مثلاً يک فايل، برنامه کاربردي يا نظام رايانه‌اي) بايد وارد نمايد.اين کلمه براي شناسايي و براي اهداف امنيتي در يک نظام رايانه‌اي به کار مي‌رود. به هر کاربر مجموعه معيني از الفبا و عدد اختصاص داده مي‌شود تا به تمام يا قسمت‌هايي از نظام رايانه‌اي دسترسي داشته باشد. کلمه عبور، فناوري امنيت اطلاعات از نوع واکنشي است، زيرا به‌منظور گرفتن مجوز و دسترسي به نظام، به محض اين که يک فرد يا فرايند بخواهد به يک برنامه کاربردي، ميزبان يا شبکه متصل شود، به کار مي‌رود. اين فناوري در سطوح متنوع- در سطح برنامه کاربردي، سطح ميزبان، سطح شبکه- پياده‌سازي مي‌شود.

زيست‌سنجی(biometrics)
زيست‌سنجی، علم و فناوري سنجش و تحليل‌داده‌هاي زيستي است. در فناوري اطلاعات، زيست‌سنجی معمولاً به فناوري‌هايي براي سنجش و تحليل ويژگي‌هاي بدن انسان (مانند اثر انگشت، قرنيه و شبکيه چشم، الگوهاي صدا، الگوهاي چهره، و اندازه‌هاي دست) خصوصاً به‌منظور تعيين اعتبار اشاره دارد. يکي از ويژگي‌هاي ذاتي علم زيست‌سنجی اين است که کاربر بايد با يک الگوي مرجع مقايسه شود. اثر انگشت، چهره يا داده‌هاي زيست‌سنجی ديگر را مي‌توان جايگزين کارت هوشمند نمود و کاربران مي‌توانند هم از کارت هوشمند و هم از اثر انگشت يا چهره خود برای تعيين اعتبار در امور بازرگاني، بانک‌ها يا ارتباط تلفنی استفاده نمايند.

زيست‌سنجی فناوري امنيت اطلاعات از نوع واکنشي است، زيرا از آن می‌توان با استفاده از هندسه بخشی از بدن کاربر برای گرفتن مجوز يا براي جلوگيری از دسترسی به نظام، به محض اين که کاربر بخواهد به يک برنامه کاربردي، ميزبان يا شبکه متصل شود، استفاده نمود. به‌علاوه اين فناوري در سطوح متنوع، با توجه به طبقه‌بندي بيان‌شده، قابل پياده‌سازي است.

نظام‌هاي آشکارساز نفوذی(intrusion detection systems (IDS))

نظام‌هاي آشکارساز نفوذی، يک نظام تدافعي است که فعاليت‌هاي خصمانه را در يک شبکه تشخيص مي‌دهد. بنابراين نکته کليدي در نظام‌هاي آشکارساز نفوذی، تشخيص و احتمالاً ممانعت از فعاليت‌هايي است که ممكن است امنيت شبکه را به خطر بيندازند. يکي از ويژگي‌هاي مهم اين نظام‌ها، توانايي آن‌ها در تأمين نمايي از فعاليت‌هاي غيرعادي، و اعلام هشدار به مديران نظام‌ها و مسدود نمودن ارتباط مشکوک است. نظام‌هاي آشکارساز نفوذی فرايندي براي شناسايي و تقابل با فعاليت‌هاي مشکوک است که منابع رايانه‌اي و شبکه‌ها را هدف قرار داده‌اند. علاوه بر اين، ابزارها و تجهيزات اين نظام مي‌توانند بين تهاجم‌هاي داخلي از داخل سازمان (کارمندان يا مشتريان) و تهاجم‌هاي خارجي (حملاتي که توسط هکرها انجام مي‌شود) تمايز قايل شوند (مثل Snort IDS، ISS Real Secure، (. اين فناوري، فناوري امنيت اطلاعات از نوع واکنشي است، زيرا از آن براي کنترل ميزبان‌هاي روي شبکه، آشکارسازی، ثبت گزارش، و متوقف ساختن هر نوع حمله و استفاده غيرقانونی استفاده می‌شود. اين فناوري در سطوح ميزبان و شبکه،

قابل پياده‌سازي است.

واقعه‌نگاري(logging)
واقعه‌نگاري به ثبت اعمال يا تراکنش‌هاي انجام‌شده توسط کاربر يا يک برنامه، توليد سابقه، و ثبت نظام‌مند رويدادهاي مشخص به ترتيب وقوع آن‌ها براي فراهم‌کردن امکان تعقيب و پيگيري داده‌ها در تحليل‌هاي آتي اطلاق مي‌شود. واقعه‌نگاري، فناوري امنيت اطلاعات از نوع واکنشي است، زيرا به علت‌جويي حوادث امنيتي بعد از وقوع مي‌پردازد. اين فناوري در سطوح برنامه کاربردي، ميزبان و شبکه قابل پياده‌سازي است.

دسترسي از راه دور(remote accessing)

«دسترسي از راه دور» به دسترسي به يک سيستم يا برنامه، بدون نياز به حضور فيزيکي در محل توجه دارد. با اين حال معمولاً دسترسي به خدمات از راه دور، کنترل‌شده نيستند، زيرا ممکن است دسترسي به يک خدمت از راه دور به طور ناشناس صورت بگيرد که در اين مورد دسترسي به خدمت، خطر جعل هويت را به همراه دارد. در اين زمينه با توجه به شرايط و امکانات، بايد ايمن‌ترين پروتکل‌ها و فناوری‌ها را به خدمت گرفت. مثلاً تعدادي از نظام‌ها ممکن است به غلط براي مجوزگرفتن اتصال، به صورت ناشناس با يک پيش‌فرض پيکربندي کنند، در حاليکه اتصال ناشناس بر طبق خط‌مشي امنيتي سازمان نبايد اجازه يابد که وارد نظام شود. دسترسي از راه دور، فناوري امنيت اطلاعات از نوع واکنشي است، زيرا يک فرد يا فرايند براي اتصال از راه دور، قادر به دستيابي بر طبق امتيازات دسترسي مي‌باشد. اين فناوري در سطح ميزبان قابل پياده‌سازي مي‌باشد.

چند نکته اوليه در خصوص ايمن سازی اطلاعات و شبکه های کامپيوتری

- پذيرش مسئوليت به عنوان يک شهروند سايبر

در صورتی که از اينترنت استفاده می نمائيد ، شما به عنوان عضوی از جامعه جهانی و يا شهروند سايبر، محسوب شده و همانند يک شهروند معمولی ، دارای مسئوليت های خاصی بوده که می بايست پذيرای آنان باشيم .

-استفاده از نرم افزارهای آنتی ويروس

يک ويروس کامپيوتری ، برنامه ای است که می تواند به کامپيوتر شما نفوذ کرده و صدمات فراوانی را باعث گردد . نرم افزارهای آنتی ويروس به منظور حفاظت اطلاعات و کامپيوترها در مقابل ويروس های شناخته شده ، طراحی شده اند . با توجه به اين که روزانه شاهد عرضه ويروس های جديد می باشيم ، می بايست برنامه های آنتی ويروس به صورت منظم و مرتب بهنگام گردند .

- عدم فعال نمودن نامه های الکترونيکی ارسال شده توسط منابع نامشخص و گمنام

نامه های الکترونيکی ارسالی توسط منابع ناشناس را می بايست همواره حذف نمود. به فايل هائی که به عنوان ضميمه همراه يک نامه الکترونيکی ارسال می گردند، توجه گردد. حتی در صورتی که اين نوع از نامه های الکترونيکی را از طريق دوستان و آشنايان خود دريافت می نمائيد ( خصوصا" اگر دارای انشعاب exe . باشند.) . برخی فايل ها مسئوليت توزيع ويروس ها را برعهده داشته و می توانند باعث بروز اشکالات فراوانی نظير حذف دائم فايل ها و يا بروز اشکال در يک وب سايت گردند. هرگز نمی بايست اقدام به فوروارد نمودن نامه های الکترونيکی برای ساير کاربران قبل از حصول اطمينان از ايمن بودن آنان نمود .

- از رمزهای عبوری که تشخيص آنان مشکل می باشد ، استفاده نموده و آنان را محرمانه نزد خود نگه داريد

هرگز رمزهای عبور خود را بر روی کاغذ ننوشته و آنان را به کامپيوتر نچسبانيد! . تعداد زيادی از کاربران کامپيوتر دقت لازم در خصوص نگهداری رمز عبور خود را نمی نمايند و همين امر می تواند مشکلات متعددی را متوجه آنان ، نمايد . رمزهای عبوری که تشخيص و يا حدس آنان آسان است ، گزينه های مناسبی در اين رابطه نمی باشند . مثلا" در صورتی که نام شما Ali می باشد ، هرگز رمز عبور خود را با همين نام در نظر نگيريد . در فواصل زمانی مشخص و به صورت مستمر ، اقدام به تغيير رمز عبور خود نمائيد . هرگز رمز عبور خود را در اختيار اشخاص ديگری قرار ندهيد.برای انتخاب يک رمز عبور از ترکيب اعداد ، حروف و علائم استفاده گردد تا حدس و رديابی آنان توسط افراد غيرمجاز ، مشکل شود .

- استفاده از فايروال ها به منظور حفاظت کامپيوترها

نصب و پيکربندی يک فايروال کار مشکلی نخواهد بود. يک فايروال ، امکان دستيابی و کنترل سيستم توسط مهاجمان را سلب نموده و پيشگيری لازم در خصوص سرقت اطلاعات موجود بر روی کامپيوتر را انجام می دهد .

Back-up- گرفتن منظم از اطلاعات ارزشمند موجود بر روی کامپيوتر

در فواصل زمانی مشخص و بر اساس يک برنامه خاص از اطلاعات ارزشمند موجود بر روی کامپيوتر backup گرفته شده و آنان را بر روی رسانه های ذخيره سازی نظير لوح های فشرده ذخيره نمود .

- دريافت و نصب منظم Patch های بهنگام شده مربوط به نقايص امنيتی

نقايص امنيتی به صورت مرتب در سيستم های عامل و برنامه های کاربردی کشف می گردند . شرکت های توليد کننده نرم افزار ، به سرعت اقدام به ارائه نسخه های بهنگام شده ای با نام Patch نموده که کاربران می بايست آنان را دريافت و بر روی سيستم خود نصب نمايند.در اين رابطه لازم است به صورت منظم از سايت های مربوط به توليد کنندگان نرم افزار بازديد بعمل آمده تا در صورت ارائه Patch ، آن را دريافت و بر روی سيستم نصب نمود .

- عدم اشتراک منابع موجود بر روی کامپيوتر با کاربرانی که هويت آنان نامشخص است

سيستم عامل نصب شده بر روی يک کامپيوتر، ممکن است امکان به اشتراک گذاشتن برخی منابع موجود نظير فايل ها را با ساير کاربران شبکه ، فراهم نمايد. ويژگی فوق ، می تواند زمينه بروز تهديدات امنيتی خاصی را فراهم نمايد . بنابراين می بايست نسبت به غيرفعال نمودن ويژگی فوق ، اقدام لازم صورت پذيرد.

- بررسی و ارزيابی امنيتی کامپيوتر

وضعيت امنيتی کامپيوتر خود را در مقاطع زمانی مشخصی ، بررسی نموده و در صورتی که خود نمی توانيد اين کار را انجام دهيد از کارشناسان ذيربط استفاده نمائيد .

- غير فعال نمودن ارتباط با اينترنت در زمان عدم استفاده

اينترنت نظير يک جاده دو طرفه است . شما اطلاعاتی را دريافت و يا ارسال می نمائيد. غيرفعال نمودن ارتباط با اينترنت در مواردی که به آن نياز نمی باشد، امکان دستيابی سايرين به کامپيوتر شما را سلب می نمايد.

برنامه استراتژیک امنيت اطلاعات

هدف برنامه استراتژیک امنيت اطلاعات جهت دادن به پياده سازي امنيت اطلاعات است، برنامه چارچوبي را براي اهداف در جهت الزام به محرمانگي، جامعيت ودر دسترس بودن فراهم مي آورد.
- گام های راهبردی برای پیاده سازی

برقراری مدیریت امنیت اطلاعات شش هدف متصور است:
گام 1: توسعه، تصويب و ترويج خط مشي امنيت اطلاعات فراگير
بايستي با نظر كارشناسان خبره بخش هاي مختلف دنباله اي از خط مشي هاي امنيت اطلاعات را مبني بر استاندارد موجود توسعه، تصويب واجرا نمود. اين دستورالعمل بصورت رسمي برنامه امنيت اطلاعات سازمان را بيان داشته وكاركنان در برابر آن پاسخگو هستند . فهرست زير شامل مجموعه اي از خط مشي ها رسمي سازماني را بيان می دارد والبته محدود به موارد زير نيست.

بروزرساني واجرا نمودن خط مشي قابل قبولي در كاربرد كامپيوتر و شبكه بصورت عمومي

• كنترل دسترسي اطلاعات وتعيين سطح دسترسي به داده ها و سيستم ها

• اعلام وصول، ذخيره سازي و پردازش وتوزيع اطلاعات حساس

• تست و بازبيني امنيتي سخت افزار و نرم افزار بكار گرفته شده

• ممارست در حفاظت از داده هاي عمومي بصورت گزارش گيري از تخلفات وتهديدات امنيتي

• مجوزهاي قانوني تخريب، پشتيبان سازي و وضعيت رسانه هاي ديجيتالي

• حذف دسترسي هاي كاركنان كه فعاليتشان به هر دليلي خاتمه يافته است.

• ارزيابي و مديريت مخاطرات ( ريسك)
گام 2: كاركنان بايستي آگاه از پاسخگويي درباره امنيت اطلاعات باشند

همه كاركنان بايد در دوره آشنايي و يادگيري امنيت اطلاعات وبكاربردن اصول حفاظت از اطلاعات شركت نمايند. برنامه آموزشي بايد داراي سطح بندي انعطاف پذيري براي مديران ارشد، مديران مياني، مديران سيستم وشبكه و كاركنان بخش هاي مختلف باشد . برنامه آموزشي با توجه به نوع فعاليت هر فرد و پاسخگوبودن در مقابل سازمان تنظيم گردد. مراحل ساخت برنامه آموزشی شامل معیارهای زیر است:
• شناسايي وتحليل فاصله بين وضعيت جاري ودانش مطلوب

• تعيين اولويت ها

• توسعه آگاهي ( با پست الكترونيكي و صفحات وب وخبرنامه ها)

• انتخاب موضوعات آموزشي ( خط مشي هاي قابل اجرا)

• توسعه آموزش و يادگيري براساس وظيفه و مسئوليت

• استفاده از فناوري براي آموزش ( كاربرد وب، آموزش الكترونيكي )
گام 3: ايجاد امور امنيت اطلاعات هربخش

در هربخش فردي كه توانايي مناسبي برای پياده سازي واجراي خط مشي هاي مورد نياز امنيت اطلاعات دارد انتخاب گردد. امور امنيت اطلاعات داراي پاسخگويي هاي رسمي زير است والبته نه محدود به موارد زير:

• توسعه، انتشار، نگهداري رويه ها، خط مشي هاي برنامه امنيت سيستم هاي اطلاعاتي در بخش مربوطه

• متصدي رسيدگي به اعتراضات و شكايات وتخلفات حوزه تبادل اطلاعات و ممارست در به نتيجه رساندن

• متصدي كنترل نقاط اصلي در هنگام وقوع حوادث امنيتي و وخيم

• فراهم نمودن پيشنهادهايي براي مديران استراتژیک كه نيازمنديهاي مديريت مخاطرات ومباحث مربوط به فناوري

سيستم هاي اطلاعاتي را پوشش دهد.

متصدي امور امنيت اطلاعات بخش بايد فعاليتهاي غيررسمي پيرامون امنيت اطلاعات نيز داشته باشد. موارد زير پاسخگويي هاي غيررسمي متصدي امور امنيت اطلاعات است والبته نه محدود به اين موارد:

* مطمئن ساختن كاركنان به مناسب بودن نسبی خط مشي ودستورالعمل هاي امنيت اطلاعات

* مطمئن شدن از انطباق امنيت پياده شده بر راهبرها وخط مشي هاي امنيتي

* گزارش دادن به مدير امنيت اطلاعات ميني بر سنجش و ارزيابي قوانين مصوب مسئولين اجرايي
گام 4: بنا نهادن فرآيندي براي گزارش گيري منظم از پيشرفت به مدير اجرايي
دفتر پياده سازي امنيت بايد داراي زمانبندی مشخصي براي گزارش پيشرفت و توسعه امنيت اطلاعات به رئيس سازمان داشته باشد. اين گزارشات در دو بعد قابل استفاده است (1) ارزيابي مسئول سازمان از توانمندي پياده سازي امنيت اطلاعات توسط تيم اجرايي (2) برطرف نمودن نواقص وايرادات خط مشي هاي امنيتي تصويب شده توسط مسئولين كلان سازمان.

گام 5: پياده نمودن كنترلهاي فعال وگسترده
تعيين سيستم هايي كه حاوي اطلاعات حساس هستند و مطمئن بودن از استقرار كنترلهاي دسترسي و سيستم هاي اطلاعاتي كه هرشخص صرفا به اطلاعات مشخصي دسترسي دارد انواع كنترل دسترسي شامل كنترل دسترسي اجباري، احتياطي، مبني بر مسئوليت سازمانی وزماني از روز است . اهم نظارتها در اين بخش عبارتست از:

• ارزيابي بخش ها در راه اندازي خط مشي امنيتي

• شناسنامه دار نمودن دستگاهها

• تاكيد بر پيچيدگي رمز

• تاكيد بر تغيير رمز بصورت دوره اي

• ثبت عملكرد كاربران در سيستم هاي اطلاعاتي
گام 6: پياده نمودن وارتقاء مداوم وبرنامه هاي ترسيم حوادث .

سازمان بايستي بصورت پيوسته به تحليل و ارزيابي مخاطرات سازماني بپردازد وبرنامه مشخص بخشي وسازماني براي حفاظتي و ترميم سيستم هاي حساس، سرويسهاي شبكه وبرنامه هاي كاربردي وداده هاي داشته باشد. برنامه ارتقاء مداوم عبارت است از:

* كنترل وارزيابي مخاطرات

* تحليل آسيب هاي حرفه وكسب كار

* توسعه مداوم راهبردها و استراتژي هاي حرفه

* طراحی دفتر واكنش و عمليات

* آگاهي، آموزش و يادگيري

* معاونت ونگهداري نمودن از برنامه ها سازماني بصورت پيوسته
- پیاده سازی امنیت اطلاعات
برنامه امنیت اطلاعات در یک لحظه قابل برقرای نیست، اقدامی مداوم است که بصورت فرآیند چرخشی قابل پیاده سازی است (شکل 1). در شکل زیر همانطور که ملاحظه می کنید، فاز ابتدایی به روشنی قابل جداسازی نیست . چرخه پیاده سازی، بدنبال نیازمندی های امنیت اطلاعات، آموزش کاربران و پاسخگو بودن آنها، ساختن ساختار حاکمیتی، دیده بانی و گزارش گیری ازپیشرفت ها است.

در گذشته اکثر سازمان ها هزینه نسبتا کمی را برای امنیت منابع اطلاعات خود پرداخت می کردند. امنیت غالبا پس از رخداد حادثه ای مورد توجه قرار می گرفت. پیشنهاد طراحی و پیاده سازی برنامه امنیت IT با بی میلی تصویب می شد و پاسخگویی اغلب توسط کارمندان رده پایین فنی صورت می گرفت.

به تازگی – و هنوز توسط شرکت ها و سازمان های بزرگ – ارزشهای راهبردی حفاظت از اطلاعات و سیستم های اطلاعاتی در حال توسعه است . در اکثر موارد، این واقع بینی با تغییر نیازمندی های حقوقی و کنترل های تنظیمی پیگیری می شود. در این اواخر، راهبری هماهنگ توجه گسترده ای به امنیت IT و مدیریت مخاطرات می دهد. رییس اداره اجرایی و رییس اداره اطلاعات هر دو شخصا در مورد مخاطراتی نظیر دستبرد به داده های و سیستم های رایانه ای و دسترسی غیر مجاز مسوول و پاسخگو هستند.

زمانی برنامه راهبردی مفید است که پیاده، پشتیبانی و استفاده شود. مدیران حرفه ها در حال درک این مطلب هستند که امنیت IT و مدیریت مخاطرات صرفا مشکل فنی نیست که با بکارگیری کنترل های امنیتی مهار شود. مدیریت به مشی همه جانبه در برنامه ریزی امنیتی و مهیا نمودن منابع لازم برای برنامه امنیت فراگیر که فن آوری، مردم و فرآیندها در آن دخیل هستند، نیاز دارد. آنها نیازمند تضمین اعتقاد همه ارکان سازمان به چشم اندار امنیتی هستند.