برترین مقالات کامپیوتر

برترین مقالات کامپیوتر

برترین مقالات کامپیوتر

برترین مقالات کامپیوتر

اصول اولیه استراتژی دفاع در عمق

IATFF ( برگرفته شده از Information Assurance Technical Framework Forum ) سازمانی است که توسط NSA ( برگرفته شده از  National Security Agency  ) حمایت می گردد و مهمترین وظیفه آن مبادله اطلاعات فنی بین صنایع امریکا ، موسسات آموزشی و سازمان های دولتی امریکا بر روی موضوع مهم امنیت و یا تضمین امنیت اطلاعات است .
IATFF ، سند IATF ( برگرفته شده از  Information Assurance Technical Framework ) را تولید و اخیرا" نسخه 1 . 3 آن را منشتر کرده است . در این سند به  فرآیندها و  توصیه هائی در جهت حفاظت از سیستم های اطلاعاتی بر اساس اصول مهندسی سیستم اشاره شده است .
در سند فوق به سه عنصر تاثیر گذار در امنیت اطلاعات یعنی انسان ، عملیات و فناوری ها اشاره شده است . سه موجودیت فوق ، اساس متدلوژی "دفاع در عمق " در تشکیل می دهند .
در ادامه با این استراتژی امنیتی حفاظتی و اصول اساسی آن بیشتر آشنا می شویم .

IATFF ( برگرفته شده از Information Assurance Technical Framework Forum ) سازمانی است که توسط NSA ( برگرفته شده از  National Security Agency  ) حمایت می گردد و مهمترین وظیفه آن مبادله اطلاعات فنی بین صنایع امریکا ، موسسات آموزشی و سازمان های دولتی امریکا بر روی موضوع مهم امنیت و یا تضمین امنیت اطلاعات است .
IATFF ، سند IATF ( برگرفته شده از  Information Assurance Technical Framework ) را تولید و اخیرا" نسخه 1 . 3 آن را منشتر کرده است . در این سند به  فرآیندها و  توصیه هائی در جهت حفاظت از سیستم های اطلاعاتی بر اساس اصول مهندسی سیستم اشاره شده است .
در سند فوق به سه عنصر تاثیر گذار در امنیت اطلاعات یعنی انسان ، عملیات و فناوری ها اشاره شده است . سه موجودیت فوق ، اساس متدلوژی "دفاع در عمق " در تشکیل می دهند .
در ادامه با این استراتژی امنیتی حفاظتی و اصول اساسی آن بیشتر آشنا می شویم .

دفاع در عمق چیست ؟
دفاع در عمق ، یک مدل حفاظتی لایه ای برای اجزاء مهم سیستم های اطلاعاتی است . استراتژی دفاع در عمق محدوده های زیر را شامل می شود :

  • حفاظت از شبکه و زیرساخت
  • حفاظت و دفاع در محدوده های مرزی  ( نقطه تماس شبکه با سایر شبکه ها )
  • حفاظت و دفاع ار محیط محاسباتی و عملیاتی
  • زیرساخت های حمایتی

واژه "محدوده مرزی " که در استراتژی دفاع در عمق به آن اشاره شده است ، به مجموعه ای از محیط های محاسباتی و عملیاتی متصل شده توسط یک و یا چندین شبکه داخلی که تحت کنترل یک مجوز و سیاست امنیتی می باشند ، اشاره دارد.

استراتژی‌ دفاع در عمق  : موجودیت ها
استراتژی دفاع در عمق مبتنی بر سه عنصر حیاتی  انسان ، فناوری و عملیات است .

انسان
برای پیاده سازی موثر امنیت اطلاعات در یک سازمان ، مدیریت می بایست دارای یک شناخت مناسب سطح بالا نسبت به فرآیندها باشد . این شناخت توسط آیتم ها و فعالیت های زیر مشخص می گردند .

  • پیاده سازی سیاست ها و رویه های امنیت اطلاعات
  • تعیین وظایف و مسئولیت ها
  • آموزش کارکنان حیاتی
  • الزام کارکنان به پاسخگوئی
  • شناخت صحیح منابع
  • استقرار کنترل های امنیت فیزیکی
  • استقرار کنترل امنیت کارکنان
  • تعیین مجازات متناسب با رفتارهای غیرمجاز

فناوری
یک سازمان می بایست این اطمینان را داشته باشد که از فناوری های مناسب به منظور پیاده سازی سرویس های مورد نیاز جهت حفاظت اطلاعات استفاده می نماید . نیل به اهداف فوق مستلزم بکارگیری فرآیندها و سیاست های زیر برای بدست آوردن و استفاده صحیح از فناوری است .

  • یک سیاست امنیتی
  • معماری تضمین  امنیت اطلاعات در سطح سیستم
  • استانداردهای تضمین امنیت اطلاعات در سطح سیستم
  • اصول تضمین امنیت اطلاعات
  • ضوابط مشخص برای تضمین امنیت اطلاعات محصولات مورد نیاز
  • بدست آوردن محصولات معتبر و قابل اطمینان
  • توصیه ها و پیشنهادات پیکربندی
  • فرآیندهای تشخیص تهدیدات برای سیستم های یکپارچه


عملیات
عملیات بر فعالیت ها و آیتم های مورد نیاز به منظور نگهداری وضعیت امنیت یک سازمان تاکید و موارد زیر را شامل می شود :

  • یک سیاست امنیتی ملموس و به روز
  • تاکید بر سیاست امنیت اطلاعات
  • تائید و  اعتبار گذاری
  • مدیریت وضعیت امنیت اطلاعات
  • سرویس های مدیریت کلید
  • تشخیص آمادگی
  • حفاظت از زیرساخت
  • ارزیابی وضعیت امنیت سیستم
  • مانیتورینگ و واکنش در مقابل تهدیدات
  • تشخیص حملات ، هشدار و پاسخ
  • بازیافت و بازسازی مجدد

استراتژی‌ دفاع در عمق  : محدوده حفاظتی
استراتژی دفاع در عمق  ، دفاع در مقابل حملات زیر را تضمین می نماید :

  • Passive : حملات Passive  شامل تجزیه و تحلیل ترافیک ، مانیتورینگ مبادله اطلاعات غیرحفاظت شده ، رمزگشائی ترافیک رمزشده ضعیف  ، بدست آوردن اطلاعات تائیدیه ( نظیر رمزهای عبور ) می باشد.
    رهگیری passive عملیات شبکه ، دانش لازم جهت تدارک و برنامه ریزی حملات را در اختیار مهاجمان قرار می دهد . این نوع حملات می تواند منتج به افشاء اطلاعات و یا فایل های داده برای مهاجمان بدون آگاهی و رضایت کاربران گردد . 

  • active : حملات active تلاش برای نفوذ در سیستم  و نادیده گرفتن اقدامات امنیتی ، معرفی کدهای مخرب ، سرقت و اصلاح اطلاعات را شامل می شود . شعاع این نوع حملات بسیار گسترده می باشد . هدف قرار دادن ستون فقرات شبکه ، بهره برداری و یا سوء استفاده از اطلاعات در حال عبور و  نفوذ الکترونیکی در یک ناحیه خاص نمونه هائی متداول در این زمینه می باشند .حملات active می تواند افشاء فایل های داده ، حملات DoS و یا تغییر داده را به دنبال داشته باشد .

  • Close-in : حملات فوق با هدف دستیابی فیزیکی به شبکه و سیستم ها به منظور تغییر ، جمع آوری و غیرقابل دسترس کردن اطلاعات انجام می گردند . 

  • Insider : : این نوع حملات می تواند مخرب و یا غیرمخرب باشند . حملات مخرب  استراق سمع ، سرقت و آسیب رساندن به اطلاعات، استفاده از اطلاعات با اهداف فریبکارانه و یا غیرفعال کردن سرویس ها وخدمات برای سایر کاربران مجاز را شامل می شود . حملات غیرمخرب عموما" به دلیل عدم دقت لازم و ضعف دانش کاربران محقق می گردند . 

  • Distribution : این نوع حملات با انجام تغییرات مخرب بر روی سخت افزار و یا نرم افزار در کارخانه و یا شرکت سازنده و یا در حین توزیع صورت می پذیرند .  در این نوع حملات با معرفی کدهای مخرب درون یک محصول ( نظیر یک back door ) ، امکان دستیابی غیرمجاز به اطلاعات و قابلیت های سیستم در آینده فراهم می گردد . 

استراتژی‌ دفاع در عمق  : ابزارها و مکانیزم ها
برای مقاومت در مقابل این نوع حملات ،  استراتژی دفاع در عمق  ، روش های زیر را ارائه کرده است :

  • دفاع در چندین  مکان : بکارگیری مکانیزم های حفاظت اطلاعات در چندین مکان به منظور حفاظت در مقابل تهدیدات داخلی و یا خارجی

  • دفاع لایه ای : بکارگیری چندین مکانیزم تشخیص و حفاظتی تا یک مهاجم مجبور به عبور از موانع مختلف جهت دستیابی به اطلاعات حیاتی گردد . 

  • استحکام امنیتی : بر اساس ارزش عناصر سیستم اطلاعاتی و تهدیدات پیش بینی شده ، میزان استحکام لایه های امنیتی می بایست به درستی تخمین و پیاده سازی گردد . 

  • بکارگیری KMI/PKI : بکارگیری زیرساخت مدیریت کلید ، KMI ( برگرفته شده از key management infrastructure  )   و زیرساخت کلید عمومی ، PKI ( برگرفته شده از public key infrastructure ) 

  • بکارگیری سیستم های تشخیص مزاحمین : بکارگیری مکانیزم هائی برای تشخیص مزاحمین ، ارزیابی اطلاعات ، بررسی نتایج و در صورت ضرورت انجام واکنش های لازم .

استراتژی‌ دفاع در عمق  : پیاده سازی
استراتژی دفاع در عمق می تواند در مرحله پیاده سازی منابع زیادی را مصرف نماید . برای کمک در جهت تعدیل و یا کاهش هزینه پیاده سازی رویکرد فوق ، توصیه های زیر ارائه شده است .

  • اتخاذ تصمیم در خصوص امنیت اطلاعات بر اساس آنالیز تهدیدات و اهداف کلیدی عملیاتی سیستم 

  •  توجه به سه موجودیت مهم موجود در استراتژی دفاع در عمق : انسان ، عملیات و فن آوری . بدون وجود افراد آموزش دیده و رویه های عملیاتی استفاده مطلوب از مزایای فناوری ها فراهم نخواهد شد .

  • تدوین و پیاده سازی یک برنامه آموزشی جامع ، استفاده از تجارب عملی دیگران و اطلاع رسانی به موقع

  • دستیابی اداواری به وضعیت زیرساخت اطلاعات . بکارگیری ابزارهای فنی نظیر پویش اتوماتیک شبکه می تواند در تشخیص به موقع نقاط آسیب پذیر مفید واقع شوند .

  • انجام واکنش های لازم در مقابل اهداف مخرب و برخورد مناسب و به موقع با فعالیت هائی که ممکن است سهوا" انجام شده باشد .

  • بکارگیری رویکردهای حفاظتی مشترک و چندگانه جهت مقابله با رویدادهای قابل پیش بینی . بدین ترتیب ،  نفوذ از یک لایه ( با فرض موفقیت آمیز بودن آن ) باعث بروز مسائل امنیتی برای تمامی زیرساخت اطلاعات نخواهد شد .

  • حصول اطمینان از این موضوع که صرفا" کارکنان معتمد دارای دستیابی فیزیکی به سیستم می باشند ( بکارگیری روش های مختلف نظیر مجوزها و اعتبارنامه ) .

  • استفاده از رویه های مدون برای گزارش حوادث امنیتی به مراکز پاسخگو

جمع بندی
زیرساخت اطلاعات هر سازمان مشتمل بر مجموعه ای از سیستم های پیچیده است که هر یک ممکن است نقاط آسیب پذیر مختص به خود را داشته باشند . برای مقابله با تهدیدات امنیتی ، از چندین راه حل به همراه اصول مقدماتی استراتژی دفاع در عمق استفاده می گردد . استراتژی دفاع در عمق ، یک ساختار لایه ای برای حفاظت از زیرساخت اطلاعات در یک سازمان است . در صورتی که مهاجمان بتوانند با موفقیت از یک مانع با موفقیت عبور نمایند ، وجود لایه های حفاظتی دیگر امکان دستیابی آنان به منابع و اطلاعات حیاتی موجود در سازمان را مشکل و یا غیرممکن می سازد.

نظرات 0 + ارسال نظر
برای نمایش آواتار خود در این وبلاگ در سایت Gravatar.com ثبت نام کنید. (راهنما)
ایمیل شما بعد از ثبت نمایش داده نخواهد شد