500

جزئیات وبلاگ

shape
shape
shape
shape
shape
shape
shape
1393/09/02 - مقالات

ضرورت توجه به امنيت اطلاعات ( بخش سوم )

 هر سازمان می بايست يك فريمورك و يا چارچوب امنيتی فعال و پويا را برای خود ايجاد و به درستی از آن نگهداری نمايد . دفاع در عمق ، يك فريمورك امنيتی مناسب در اين رابطه است . در اين مدل ، زيرساخت فن آوری اطلاعات يك سازمان به عنوان مجموعه ای از لايه های مرتبط به هم در نظر گرفته می شود  و برای هر لايه مكانيزم های امنيتی و حفاظتی مناسبی تعريف می گردد .

  • لايه اول : سياست های امنيتی ، رويه ها و  اطلاع رسانی 

  • لايه دوم : امنيت فيزيكی  ( نظير حفاظت فيزيكی )

  • لايه سوم :  حفاظت از محدوده عملياتی يك شبكه داخلی به منظور ارتباط با ساير شبكه ها  ( نظير استفاده از فايروال ها )

  • لايه چهارم : ايمن سازی شبكه  داخلی

  • لايه پنجم : امنيت كامپيوترها و دستگاه های ميزبان  ( ايجاد سيستم های تدافعی لازم )

  • لايه ششم : امنيت برنامه های كاربردی  ( نصب های ايمن به همراه نصب تمامی Service Packs و patch  محصولات نرم افزاری موجود در سازمان به منظور پيشگيری از حملات برنامه ريزی شده  با بهره گيری از نقاط ضعف موجود )

  • لايه هفتم : امنيت داده ( بهره گيری از سيستم امنيتی فايل و يا فولدر سيستم فايل NTFS ، رمزنگاری ، ليست های كنترل دستيابی ، ايجاد نسخه های backup از داده ها و مكانيزم های لازم به منظور بازيافت اطلاعات )

 

 

 

 

 

 

 

جزئيات مدل امنيتی دفاع در عمق 
در فريمورك امنيتی دفاع در عمق ، از افراد ،‌ رويه ها و فن آوری های متعدد در  لايه های مختلف  به منظور حفاظت از زيرساخت فن آوری اطلاعات يك سازمان  استفاده می گردد . در صورتی كه يك مهاجم موفق به عبور از سيستم تدافعی يك لايه گردد ، اين بدان معنی نخواهد بود كه وی توانسته است تمامی سازمان را در معرض تهديد قرار دهد . طراحی و ايجاد  سيستم تدافعی هر لايه می بايست با فرض اين كه مهاجمان توانسته اند از ساير لايه ها با موفقيت عبور نمايند ، انجام شود . بنابراين لازم است ، اقدامات لازم به منظور ايمن سازی هرلايه بدون در نظر گرفتن استحكام سيستم تدافعی لايه های ديگر انجام شود .

استفاده از يك رويكرد امنيتی لايه ای ،
 امكان تشخيص تهديدات را افزايش و شانس موفقيت مهاجمان را كاهش خواهد داد .

مدل امنيتی دفاع در عمق ، از مجموعه ای لايه های مرتبط به هم تشكيل می گردد :

  • سياست ها ، رويه ها و اطلاع رسانی : عملكرد لايه فوق بر روی‌ ساير لايه ها تاثير مستقيم دارد . در اين لايه عمليات متفاوتی نظير تدوين سياست ها و رويه های امنيتی و برنامه های آموزش كاربران پيش بينی می گردد .

  •  امنيت فيزيكی  :لايه فوق پنج لايه ديگر را در برمی گيرد . در اين لايه می بايست از منابع انسانی و غيرانسانی و دستگاه های رديابی به منظور حفاظت فيزيكی  استفاده گردد.

  •  محدوده عملياتی شبكه : هر شبكه داخلی دارای محيط عملياتی مختص به خود می باشد كه ممكن است در نقاطی خاص با ساير شبكه های خارجی ( نظير اينترنت و يا اكسترانت ) ارتباط برقرار نمايد  . به منظور حفاظت از محيط عملياتی يك شبكه داخلی ، می بايست از امكانات و روش های متعددی استفاده نمود . بكارگيری فايروال های سخت افزاری ، نرم افزاری (يا هر دو ) و شبكه های VPN ( استفاده از رويه های قرنطينه ای ) نمونه هائی در اين زمينه می باشد .

  • شبكه داخلی : به منظور حفاظت از شبكه داخلی از امكانات و روش های متعددی استفاده می گردد . بخش بندی شبكه ، استفاده از پروتكل IPSec و بكارگيری سيستم های تشخيص مزاحمين نمونه هائی در اين زمينه می باشد .

  • كامپيوترها و دستگاه های ميزبان : در هر شبكه از كامپيوترها و دستگاه های ميزبان متعددی استفاده می گردد كه بر روی هر يك از آنان سيستم عامل مربوطه نصب تا مديريت منابع را برعهده گيرد . در اين لايه لازم است با تمركز بر روی دستگاه ها ، كامپيوترهای سرويس دهنده و يا سرويس گيرنده نسبت به ايمن سازی سيستم عامل نصب شده بر روی آنان اقدام گردد . استفاده از متدهای پيشرفته تائيد كاربران ، بكارگيری ابزارها و مكانيزم های لازم به منظور مديريت بهنگام سازی نرم افزارهای پايه و استفاده از سيستم های تشخيص مزاحمين نمونه هائی در اين زمينه می باشد .

  • برنامه های كاربردی : در اين لايه با تمركز بر روی برنامه های كاربردی موجود در يك شبكه ، از امكانات و مكانيزم های مختلفی به منظور افزايش ايمن سازی آنان استفاده می گردد . استفاده از نرم افزارهای ضد ويروس از جمله اقدامات لازم در اين لايه است .

  •  داده : به منظور حفاظت از داده ها و اطلاعات حساس در يك سازمان ، می بايست از امكانات و ابزارهای متعددی استفاده گردد . ايجاد ليست های كنترل دستيابی ( ACLs ) ، رمزنگاری ، سيستم فايل رمزنگاری ( EFS ) و مديريت حقوق ديجيتالی ( DRM ) ، نمونه هائی در اين زمينه می باشد.

ضرورت توجه به امنيت اطلاعات ( بخش سوم )