چرا امنیت ؟
جایگاه امنیت در شبکهرایانهای کجاست؟ آیا واقعاً نیاز به امنیت در شبکههای رایانهای وجود دارد؟ شبکه رایانهای باید در مقابل چه مسائلی امن باشد؟ و یک مدیر شبکه چه وقت باید به امنیت در شبکه رایانهای خود بیاندیشد. در این مقاله سعی خواهد شد که به این سئوالات پاسخ داده شود تا بیشتر با نقش و جایگاه امنیت در شبکه آشنا شویم.
دیرزمانی است که استفاده گسترده از رایانهها در ارتش و تأسیسات دفاعی، بهکارگیری قوانین و آییننامههای ویژهای را برای حفظ امنیت در سیستم ضروری ساخته است. یک اصل اساسی در زمینه امنیت سیستمهای رایانههای، قرار دادن کل سیستم در محیطی است که نفوذپذیری در آن تا حد قابل قبولی کاهش یافته است. افزایش استفاده از سیستمهایی که اجزای آنها به طور جغرافیایی گسترده هستند، مشکلات و مسایل جدیدی را به میان آورده است. این مشکلات با توجه به سیستمهای حفاظتی مقدماتی قابل پاسخگویی نمیباشند.
مشکلات امنیتی سیستمهایی که منابعشان را در اختیار دیگران میگذارند، به مثابه بهایی است که افراد برای بهرهبرداری از این سیستمها میپردازند. با این حال، نگاه به این مساله از این دیدگاه، مشکلات و بحثهای جدیدی را به میان میآورد، اول اینکه مشکل امنیت به یک نوع رایانه خاص مربوط نمیشود. بلکه این مساله، کل فنآوری رایانه را در بر میگیرد. دوم این که سیستمهایی که منابعشان را در اختیار دیگران قرار میدهند، باید بهگونهای طراحی شوند که یک کاربر را از مزاحمت دیگران محافظت نمایند. به عبارت دیگر، موظفند نوعی از محافظت را برای کاربرانی که خواهان حفظ درست دادهها یا برنامههای خود هستند، فراهم کنند. بدین ترتیب طراحان و سازندگان چنین سیستمهایی با مشکل اساسی محافظت از اطلاعات روبرو میباشند. در محافظت از اطلاعات طبقهبندی شده، سطوح مختلفی وجود دارد؛ اما مباحث پایهای همه سطوح به طور کلی یکسان میباشد.
راهحلهایی که سازندگان در نرمافزار و سختافزار طراحی میکنند، باید بنا به درخواست ماشینهایی که در یک محیط ایمن عمل میکنند، تصحیح و تکمیل شود.
در نخستیم گام این سؤالها مطرح خواهد شد که هدف امنیت چیست؟ ما باید امنیت را برای چه فراهم کنیم؟ مگر چیز با ارزشی داریم که باید برای آن امنیت فراهم کنیم؟ آیا در سیستم رایانهای ما اطلاعات با ارزشی وجود دارد؟ در پاسخ به همة این سؤالها میتوان گفت، هدف امنیت فراهم نمودن خدمات زیر برای منابع با ارزش ما میباشد:
کنترل دسترسی : منظور کنترل سطوح دسترسی کاربران میباشد.
تائید هویت : به رسمیت شناختن کاربران
محرمانگی : اطلاعات باید محرمانه باقی بماند.
صحت دادهها : اطلاعات باید از هر تغییری مصون بماند.
غیرانکاری : فرستنده و گیرنده نتوانند ارسال و دریافت اطلاعات را انکار کنند.
اما این سؤال باقی خواهد ماند که منابع با ارزش چه چیزهایی هستند؟ هنگامی که صحبت از امنیت میشود، در کنار آن منابع با ارزشی وجود دارد که هدف حفظ این منابع میباشد، این منابع در شبکه رایانهای یک مؤسسه معتبر عبارتند از:
1) تجهیزات رایانهای
بدیهی است هزینه زیادی صرف تجهیزات رایانهای و شبکه شده است و چنانچه عاملی از بیرون یا داخل باعث صدمه به این تجهیزات شود، متضمن هزینه زیادی خواهد بود. (بعنوان مثال ویروس چرنویل به BIOS رایانهها آسیب جدی وارد میکرد.)
2) اطلاعات رایانهای
از بین رفتن و یا صدمه دیدن اطلاعات رایانهای میتواند به مراتب پرهزینهتر از تجهیزات رایانهای باشد. این اطلاعات ممکن است حاصل سالها کار و تلاش یک مؤسسه باشد و جایگزینی آن میتواند بسیار پر هزینه، وقتگیر و یا اصلاً غیرممکن باشد.
3) اسرار مؤسسه
اسرار و رموز کار یک مؤسسه از گرانبهاترین منابع آن مؤسسه است. در اینجا لازم نیست اطلاعات و یا تجهیزاتی از بین برود و یا صدمه ببیند، بلکه کافی است که اطلاعات گرانبهایی که جزء رموز مؤسسه محسوب میشود به دست افراد غیر مجاز بیفتد. ضرر و زیانی که از این طریق متوجه مؤسسه میشود میتواند بسیار زیاد باشد. افراد غیر مجاز شامل تروریستها، دشمنان برون مرزی و رقبای تجاری نوعاً به دنبال اطلاعاتی از قبیل تعداد کارکنان مؤسسه، نام مدیران تصمیمگیرنده، میزان سرمایه در گردش، محل نگهداری و چگونگی جابجایی کالاهای ارزشمند مؤسسه و غیره هستند. این افراد لازم نیست مستقیماً به اطلاعات مورد نظر دست پیدا کنند، بلکه اطلاعات جانبی ظاهراً بیارزش میتواند به دستیابی آنها به اطلاعات دلخواهشان کمک کند.
4) اعتبار مؤسسه
یک مؤسسه ممکن است بدون آنکه هیچیک از تجهیزات آن آسیبی دیده باشد و هیچ یک از اسرار آن فاش شده باشد محتمل خسارات سنگینی شود. مثلاً اگر افرادی بتوانند به نوعی به صورت غیر مجاز وارد سیستم رایانهای مؤسسه شوند و به نوعی به همگان نشان دهند که موفق به چنین کاری شدهاند، حتی اگر هیچ خرابکاری هم نکنند، خسارت زیادی به اعتبار مؤسسه وارد میشود. در اثر آن ممکن است مثلاً برخی از مؤسسات راغب به معامله یا مذاکره با این مؤسسه نباشند و یا در صورت اهمیت مؤسسه در سطح کشور، خسارات اقتصادی و یا سیاسی متوجه کل کشور گردد. یا مثلاً اگرWeb site مؤسسه مورد حمله و خرابکاری قرار گیرد و خرابکاران بر روی Home page مؤسسه شعارهای سیاسی، ضد دینی، و یا نوشتهها و تصاویر ضد اخلاقی را به معرض نمایش عموم بگذارند، صدمهای که به اعتبار مؤسسه وارد میشود دارای عواقبی غیر قابل پیشبینی خواهد بود و بدون تردید موجب خسارات مادی زیادی نیز میشود.
5) نیروی انسانی
کارکنان یک مؤسسه از منابع گرانبهای آن مؤسسه به حساب میآیند. علاوه بر آن وقت این کارکنان با توجه به حقوق دریافتی و قابلیت تولید آنها ارزشمند است. چنانچه خرابی در سیستم رایانهای موجب اتلاف وقت کارکنان شود، علاوه بر اینکه این کارکنان در ازای دریافت حقوق کار مفیدی انجام نمیدهند، تولید مؤسسه نیز ممکن است تحت تأثیر قرار گرفته، موجب خسارات مادی زیادی شود.
6) مسئولیت
برای روشن شدن منظور ما از در نظر گرفتن « مسئولیت» به عنوان یک منبع با ارزش که باید حفظ شود به این مثال توجه کنید. فرض کنید فردی به صورت غیرمجاز وارد شبکه رایانهای مؤسسه «الف» شود و از یکی از رایانههای این مؤسسه به عنوان پایگاهی برای آسیب رساندن به رایانههای مؤسسه «ب» استفاده کند. در این صورت مؤسسه «الف» باید در مقابل خسارات وارد شده به مؤسسه «ب» جوابگو باشد. حتی اگر مؤسسه «الف» از نظر قانون محکوم شناخته نشود هزینه و دردسر برخورد با این مسئله میتواند قابل توجه باشد.
حال باید ببینیم چه کسانی ممکن است بخواهند به منابع شما خدشه وارد سازند. اهداف سیاسی گروههای تروریستی، اهداف اقتصادی شرکتهای رقیب، انگیزههای شخصی جوانان ماجراجو، مقاصد خرابکارانه کشورهای بیگانه، انتقامجویی کارمندان اخراجی و همچنین سرقت از سوی تبهکاران را میتوان جزو مهمترین انگیزهها برای حمله به شبکه رایانهای مؤسسه دانست. آمار در مورد حملات به شبکه رایانهای هشداردهنده میباشند. در یک آمارگیری که توسط پلیس فدرال آمریکا در اسفند 1379 منتشر شد، نشان میداد که 85% از 528 مؤسسه مورد آمارگیری، متوجه شکستن حریم امنیتی سیستمهای رایانهای مؤسسه خود شدهاند، تهاجماتی که به شبکههای رایانهای میشود از سه نوع دستکاری اطلاعات و خرابکاری،دسترسی به اطلاعات محرمانه و ممانعت از کار عادی شبکه یا کامپیوتر میباشد، خوشبختانه برای جلوگیری از این حملات جای امیدواری میباشد، زیرا محققین دانشگاهی در آمریکا تخمین میزنند که 99% از تمامی حملات رایانهای گزارش داده شده ناشی از نقاط ضعف امنیتی سیستمهای رایانهای میباشد و قابل پیشگیری میباشد.
با توجه به اهمیت امنیت، سئوالی که مطرح میشود این است که یک مدیر شبکه چه وقت باید به مسئله امنیت در شبکه رایانهای بیاندیشد. اشتباهی که بسیاری از مدیران شبکه میکنند این است که ابتدا شبکه را راهاندازی میکنند و سپس به فکر ایجاد امنیت در آن میافتند. تجربه نشان داده است که زمان زیادی طول نمیکشد تا اینکه افرادی از نقاط ضعف سیستم با اطلاع شوند و سوءاستفاده کنند. برخی از مدیران شبکه گزارش دادهاند که تنها پس از چند روز و گاهی چند ساعت، پس از وصلکردن شبکه خود به اینترنت، افراد غیرمجاز موفق به نفوذ و خرابکاری در آن شدهاند.
قبل از وصلکردن شبکه خود به شبکه جهانی اینترنت باید آن را ازنظر امنیت بررسی کرد و نقاط ضعف آن را شناخت و برطرف نمود. در ضمن ایجاد امنیت در شبکه کاری نیست که یکبار انجام شود و برای همیشه کار کند، هر روز روشهای جدیدی کشف میشود که با استفاده از آن میتوان به شبکه نفوذ کرد، لذا بسیار اهمیت دارد که اطلاعات مدیران شبکه به روز باشد و همواره آخرین تکنیکهای امنیتی و آخرین نرمافزارهای تهیه شده در این زمینه را برروی شبکههای رایانهای خود اعمال کنند.
منبع: / سایت خبری / آی تی ایران ۱۳۸۲/۰۴/۲۰
نظر شما