امنیت اطلاعات قسمت دوم : اجزای اصلی امنیت اطلاعات

امنیت اطلاعات شامل 3 قسمت از یک کانون مرکزی است:

  • امنیت فیزیکی
  • امنیت عملیاتی
  • مدیریت و تدابیر امنیتی

هر یک از این سه مورد برای برقراری امنیت در یک سازمان بسیار حیاتی است . فرض کنید که امنیت اطلاعات مانند یک سه پایه است که اگر یکی از این پایه ها شکسته شود شما به پایین خواهید افتاد و خودتان را زخمی می کنید . شما باید به تمامی جنبه های مربوط به امنیت اطلاعات در سازمان خود نگاه عمیق داشته باشید. بخشی از کار شما پیدا نمودن نیازهای امنیتی یک سازمان و ارائه پیشنهادات مدیریتی برای رفع آن است . شما باید کاری کنید که اطلاعات و کامپیوترها کمتر در معرض دید قرار بگیرند و نقاط ریسک پذیر را تا حد امکان به حداقل برسانید و در جهت حفظ و برقراری و به اجرا در آوردن آن در محیط کار خود تلاش کنید . این کار کوچکی نیست و شما برای اینکه بتوانید امنیت محیط کار خود را به حد معقولی برسانید باید هر کدام از این پایه های اساسی را رعایت کرده تا بتوانید مدیریت امنیت درستی بر روی سازمان خود پیاده سازی کنید ، در ادامه به بررسی این سه پایه می پردازیم .

1-برقراری امنیت فیزیکی ( Physical Security)

منظور از امنیت فیزیکی ، حفاظت از داراییها و اطلاعات در مقابل دسترسی فیزیکی افراد یا پرسنل غیر مجاز است .به عبارت دیگر شما مسئول حفاظت از بخش هایی هستید که قابل لمس کردن ، دیده شدن و دزدیده شدن هستند. این تهدیدات اغلب توسط سرویس کارها ، دربان ها یا سرایدارها ، مشتری ها ، فروشنده ها و حتی کارمندان بوجود می آیند .اینگونه افراد می توانند ابزارها را ببینند و یا آنها را خراب کنند ، یا از دفتر کار مدارک و اسنادی را به سرقت ببرند و یا در در داخل آنها اطلاعات ناخواسته قرار دهند ، انگیزه آنها در انجام این کارها می تواند انتقام گرفتن از شما باشد ، حال این انتقام می تواند به خاطر بوجود آمدن یک سوء تقاهم باشد و یا اینکه به خاطر کینه جویی آن فرد نسبت به شما باشد و به خاطر همین دلیل ، اطلاعات محرمانه شما را به سرقت برده و در اختیار رقیبان شما قرار می دهند . البته این را هم در نظر بگیرید که در کشور عزیزمان ایران اشخاصی هستند که صرفا به خاطر یک نگاه نا مناسب دشمن خونی شما خواهند شد و در صدد انتقام بر می آیند !!!!

پیاده سازی امنیت فیزیکی به نسبت کار آسانی است ، شما می توانید تاسیسات خود را با استفاده از کنترل کردن دسترسی به دفتر کارتان ایمن کنید ، مدارک و اسناد غیر ضروری را حتما ریز ریز کنید ( نوعی حمله به نام dumpster diving معروف است ) سیستم های امنیتی نصب کنید و به قسمت های خاصی از فعالیتهای بازرگانی خود محدودیت دسترسی بدهید .بیشتر سازمان های اداری در ساعات غیر فعال کاری محیط اطراف ساختمان را به تحت پوشش امنیتی قرار می دهند و به این وسیله آنجا را ایمن می کنند ، همین کار را می توان در ساعات اداری و فعال سازمان ها نیز اعمال کرد و چندان هم که به نظر می رسد دشوار نیست .بسیاری از سازمان ها و شرکت ها از سیستم های مختلف امنیتی از قبیل نگهبان ، قفل های کنترل ورود و خروج ، سیستم های الکترونیکی رمز ورود ، دوربین های امنیتی ، درگاه های کنترل و بازرسی بدنی و بسیاری دیگر از امکانات و تجهیزات امنیتی استفاده می کنند . در اکثر موارد مدیران قسمت ها به امنیت داخلی قسمت ها که مربوط به کامپیوترها ، اسناد و مدارک شخصی شما می باشد سرو کاری ندارند ، در واقع حفاظت از این موارد جزء وظایف شخصی شما در آن قسمت می باشد .

اولین جزء امنیت فیزیکی این است که شما وسوسه انگیزی سیستم خود را تا حد امکان کم کنید ، یعنی اینکه تا جایی که امکان دارد کاری کنید که محیط واقعی کمتر در معرض دید باشد . فرض کنید شما یک فروشگاه جواهر آلات دارید ، این طبیعی است که در هنگامی که شما در تعطیلات به سر می برید ویترین فروشگاه خود را جمع کرده و آنها را در درون گاوصندوق قرار می دهید . سارقان با دیدن جواهر آلات انگیزه بیشتری برای سرقت پیدا می کنند ، اگر آنها را نبینند و در معرض دید نباشند انگیزه سارقان نیز به مراتب کمتر خواهد شد . این کاملا طبیعی است که اگر کسی بتواند سرورهای شما را ببینید بیشتر از شخصی که آنها را نمی بیند وسوسه نفوذ به آنها را پیدا می کند . اگر شرکت یا سازمان شما بصورت تمام وقت باز است دسترسی به منابع تجاری موجود در آن نیز به مراتب بیشتر آسانتر است ، شما باید تا حد امکان سازمان خود را از معرض دید دیگران دور نگه دارید . قفل کردن درب ها ، نصب سیستم های دیدبانی و نظارتی و نصب انواع هشدار دهنده ها می تواند محیط فیزیکی را تا حد زیادی ایمن کند .قبلا هم به این موضوع اشاره کردم که همیشه در این تفکر باشید که در حال هک شدن هستید ، پس سعی کنید با ساده ترین اعمال ممکن امنیت را بالا برده تا با مشکلات ساده به دردسر نیافتید .

دومین قسمت امنیت فیزیکی در برگیرنده تشخیص نفوذ یا سرقت است ، شما باید بدانید چه کسی یا چه چیزی وارد شده است و یا از بین رفته است . باید بدانید که چه چیزهایی ناپدید شده است و این تغییرات چگونه اتفاق افتاده است . دوربین های مدار بسته روش بسیار خوبی برای بدست آوردن این اطلاعات است .اکثر شرکت های کوچک برای تشخیص چگونگی رخ دادن سرقت ها و اینکه چه کسی آنرا انجام داده است از اینگونه دوربین ها استفاده می کنند . فیلم هایی که این گونه دوربین ها بدست می آید در اکثر دادگاه ها مدارک و اسناد قابل استنادی محسوب می شوند .به عنوان یک مدیر شبکه شرکت ، شما باید بلافاصله بعد از رخ دادن سرقت ، به هیچ چیز دست نزنید و و سریعا موضوع را مراجع قانونی اطلاع دهید تا به بررسی موضوع بپردازند . این نکته را به یاد داشته باشید که در چنین حالتی شما باید به هر کسی که فکر می کنید ظنین باشد.

سومین قسمت امنیت فیزیکی ارزیابی اطلاعات از دست رفته است . فرض کنید که اطلاعات حیاتی یک شرکت از بین رفته است ، چکار باید کرد ؟ چطور یک سازمان بعد از بوقوع پیوستن یک سرقت یا فاجعه می تواند به حالت عادی خود بازگردد ؟ با یک مثال این موضوع را برای شما بازتر می کنم ، فرض کنید یک آدم خرابکار اتاق سرورهای شما را که تمامی اطلاعات حیاتی سازمان شما در آن وجود دارد را به آتش می کشد و یا در استان گلستان هستید و سیل بوجود آمده تمام اداره شما را می شوید و از بین می برد ، یا در تهران هستید و زلزله ای رخ داده و دفتر کار شرکت بصورت کامل از بین می رود ، البته فرض را در این میگیریم که در تمامی شرایط فوق شما در امنیت کامل بسر می برید و بعد از فاجعه فرصت رسیدگی به موضوع را دارید .و یا ساده ترین مثال اینکه در هنگام کار کردن با سرورها در اتاق سرور یک پارچ آب بصورت کامل روی سرورها ریخته و تمامی اطلاعات سرور از بین می رود !!! چقدر طول می کشد تا سازمان فعالیت عادی خود را که به اطلاعات ذکر شده وابسته است را از سر گیرد ؟

بازیابی اطلاعات به شدت به این سه مورد بستگی دارد :
  • طراحی ونقشه
  • تفکر
  • آزمایش

فرض را بر این بگیرید که فایل های اساسی و حیاتی شرکت شما که شامل حسابهای بانکی ، سفارشات خرید و اطلاعات محرمانه راجع به مشتریهای شرکت است در اثر یک آتش سوزی می سوزد و تبدیل به خاکستر می شود . نکته مه در اینجاست که شما نسخه های حساس و حیاتی در مورد ثبتیات شرکت و موجودی های آن را حتما باید در جایی خارج از محل کار خود ( سازمان) در جایی امن نگه داری کنید . این در حالی است که در اکثر سازمان ها و شرکت ها نسخه های پشتیبان در همان محل نگه داری می شوند که بسیار نگران کننده است . حتی در این مورد سفارش شده است که در صورت اهمیت بسیار زیاد اطلاعات آنها را در ناخیه های جغرافیایی دور از هم ، در چندین نسخه نگهداری کنید .

2-برقراری امنیت عملیاتی ( Operational Security)

امنیت عملیاتی یا اجرایی نحوه انجام شدن کارها توسط سازمان را بیان می کند . در معنای عام می توان به عنوان مدیریت اطلاعات از آن نام برد . امنیت عملیاتی پهنه وسیعی را در بر میگیرد که شما به نوبه خود بخشی از آن هستید . اصول امنیت عملیاتی شامل :کنترل دسترسی ، شناسایی و توپولوژی های امنیتی است . موارد ذکر شده شامل فعالیت های روزانه شبکه ، اتصال به شبکه های دیگر ، طراحی نحوه تهیه کردن نسخه پشتیبان و طراحی نحوه بازگردانی آن می شود که البته همه این موارد در حالتی امکان پذیرند که نصب شبکه کامل شده باشد . اگر بخواهیم امنیت عملیاتی را در یک جمله خلاصه کنیم به این صورت بیان می شود : شامل هر چیزی در شبکه شما می شود که به طراحی و امنیت فیزیکی شما بستگی ندارد .

در این بخش به جای اینکه تمرکز خود را روی تجهیزات فیزیکی قرار دهیم ، بیشتر به توپولوژی ها و اتصالات توجه می کنیم . عملیاتی که شما باید در بخش فیزیکی انجام دهید در ابتدا بسیار طاقت فرسا به نظر می رسد . در بسیاری اوقات شما از نقاظ آسیب پذیر شبکه بدون اینکه بدانید در حال استفاده هستید و با بدون اطلاع خط مشی را پیاده سازی کرده اید که دارای ضعف امنیتی است یا ناقص است . برای مثال شما خط مشی را پیاده سازی کرده اید که در آن کاربران مجبور هستند که رمزهای عبور خود را هر 30 یا 60 روز تعویض کنند ، حال اگر در سیستم شما قابلیت استفاده از سیستم چرخش رمز عبور طراحی نشده باشد ( این سیستم به شما اجازه استفاده از رمزهای عبور تکراری مورد استفاده در زمان های گذشته را نمی دهد ) شما یک نقطه آسیب پذیر جدی در شبکه خود دارید که شاید نتوانید آنرا از بین ببرید ، در این حالت از نظر دیدگاه عملیاتی سیستم قابلیت رمز عبور ضعیفی دارد .

در این حالت شما دو گزینه برای انتخاب دارید ، یا باید پروسه امنیتی شبکه را بطور کامل ارتقاء دهید و یا اینکه سیستم عامل را بطور کلی تعویض کنید . انجام دادن هر یک از این عملیات ها مشکلات خاص خود را از قبیل میزان بودجه ، زمان تبدیل و بی میلی سازمان برای انجام اینکار را در بر دارد . لازم به ذکر است که متاسفانه یا خوشبختانه در کشور عزیز ما ایران به علت نبود قانون کپی رایت ، مشکل تعویض سیستم عامل وجود ندارد زیرا هزینه ای برای تعویض آن و تهیه سیستم عامل جدید پرداخت نمی شود ، اما فرض را بر این بگیرید که در شرکتی هستید که بطور متوسط 200 عدد سیستم عامل ویندوز ایکس پی در آن مشغول کار هستند ، حال اگر بخواهیم 200 عدد سیستم عامل حداقل 60 دلاری خریداری شود هزینه ها میتواند خیلی بالا برود ، ذهن خود را درگیر CD هایی نکنید که در بازار انقلاب و یا کنار خیالان فروخته می شوند و 8 سیستم عامل روز دنیا را با قیمیت کمتر از 1 دلار به مردم عرضه می کنند .اما مشکل اصلی بی میلی سازمان و مدیران برای انجام تغییرات در سازمان است . متاسفانه بعضی از مدیران سنتی عمل می کنند و از انجام دادن تغییرات در روند ایجاد محیطی ایمن می هراسند ، یا احساس بی میلی دارند که از نظر من و بسیاری دیگر از کارشناسان بزرگترین مشکل موجود در برقراری امنیت عملیاتی همین مورد است ، اگر مدیر نخواهد کاری انجام شود ، پس نمی شود تلاش بیهوده نکنید . اما هر مشکلی راهکاری نیز دارد که به آن خواهیم پرداخت .

این وابستگی ها در یک سیستم ضعیف در واقع ناشی از این است که اکثر شرکت ها از نرم افزارهایی استفاده می کنند که بوسیله شخص ثالث نوشته شده اند ، نرم افزارها همانطور که میدانید به سه دسته تقسیم می شوند که شخص اول یا first party ، شخص دوم یا second party و شخص سوم یا third party می باشند .این بسته های نرم افزاری معمولا نیاز به یک سیستم خاص دارند . اگر سیستم عامل شما داری نقاط ضعف امنیتی زیادی باشد متقابلأ وظایف شما نیز افزایش می یابد زیرا همچنان شما مسئول برقراری امنیت در آنجا هستید ، برای مثال : اگر شبکه شما که تا حدی ایمن است به اینترنت متصل شود ، هدف نفوذ بسیاری از افراد قرار خواهد گرفت، حال شما می توانید با نصب نرم افزارها و سخت افزارهای امنیتی ، امنیت را تا حد مطلوبی افزایش دهید . در هر حال مدیران معتقد هستند که اینگونه ابزارها برای پیاده سازی پر هزینه هستند ، بنابراین شما کار زیادی نمی توانید انجام دهید . تنها راه حل با قانع کردن مدیران بوسیله نشان دادن شدت تهدیداتی است که ممکن است عملکرد شرکت یا سازمان را مختل کند و آن را دچار تهدید کند . در ذیل میتوانید مواد مرتبط با امنیت عملیاتی را مشاهده کنید :

  • کامپیوتر
  • شبکه
  • خط مشی ها
  • مدیریت
  • کنترل دسترسی
  • شناسایی
  • طرح و نقشه تهیه نسخه پشتیبان و بازگردانی آن
3-مدیریت و خط مشی ها ( Management and Policies)
مدیریت و خط مشی ها در واقع برنامه هایی هستند که با توجه به آنها می توانیم امنیت یک محیط را پیاده سازی کنیم . خط مشی ها برای اینکه موثر باشند نیاز به پشتیبانی همه جانبه از جانب تیم مدیریتی سازمان دارند . راهنما های درست نه تنها می توانند باعث بوجود آمدن ابتکارهای امنیتی در محیط شوند بلکه باعث بوجود آمدن یک امنیت موثر نیز هستند .متخصصین امنیت اطلاعات می توانند خط مشی های امنیتی خود را ادامه دهند ، اما برای اینکه بتوانند آنها را پیاده سازی کنند نیاز به حمایت و پشتیبانی مدیران دارند ، این نکته را همیشه به یاد داشته باشید که شما هیچوقت نمی تواندی ادعا کنید که شبکه من ایمن است و این در حالی باشد که از حمایت مدیران برخوردار نیستید .تصمیماتی که باید در سطح مدیریت و خط مشی ها اتخاذ شود به طور کامل سازمان را تحت پوشش قرار می دهد و می تواند بهره وری ، روحیه کاری و فرهنگ سازمان را تحت تاثیر خود قرار بدهد. اینگونه تصمیمات و خط مشی ها می تواند تاثیر بسزایی بر روی مسائل مرتبط با امنیت نیز داشته باشد . اینگونه خط مشی ها باید طوری طراحی شوند که هدایت سازمان ، راحتی در مواقعی که سازمان در تعطیات بسر می برد یا کارمندان به مرخصی می روند و یا کار آنها به اتمام می رسد را کاملا تحت پوشش قرار دهند .

اکثر افرادی که در یک سازمان فعالیت می کنند می توانند به راحتی به شما بگویند که چه مدت زمانی را در طی سال در مرخصی بسر می برند و همچنین بسیاری دیگر به شما می توانند اطلاعات دقیقی از چگونگی استفاده اطلاعات در سازمان و اینکه خط مشی ها چگونه پیاده سازی شده اند را در اختیارتان قرار دهند ، پس همیشه کاربران و کارمندان را می توانید در نقش یک منبع اطلاعاتی بسیار موثر در پیاده سازی فعالیت های امنیت خود در نظر بگیرید .برای بر قراری امنیت در یک شبکه چندین خط مشی کلیدی وجود دارد ، لیست زیر نشان دهنده تعدادی از این خط مشی های گسترده می باشد که هر کدام نیاز به طراحی و تفکر دارند :

  • خط مشی های مدیریتی
  • نیازهای طراحی نرم افزار
  • طرح و برنامه بازیابی از حادثه
  • خط مشی های اطلاعاتی
  • خط مشی های امنیتی
  • خط مشی های مدیریتی کاربران
نویسنده : محمد نصیری

منبع

۲۳ اسفند ۱۳۹۳


محصولات مشابه