[ June 21, 2005 ] ماهيت امنيت در شبكه

دوشنبه,23 خرداد 1384
iritn.com
منبع: روزنامه عصر ارتباط
امنيت ، مبحثي كاملا پيچيده ولي با اصولي ساده است . در بسياري از مواقع همين سادگي اصول هستند كه ما را دچار گمراهي مي كنند و دور نماي فعاليت هاي ما را از لحاظ سهولت و اطمينان در سايه اي از ابهام فرو مي برند. صادقانه بايد گفت كه امنيت يك پردازش چند لايه است. تعيين نوع و نحوه تلقين لايه هاي دفاعي مورد نياز ‌، فقط پس از تكميل ارزيابي قابل ارائه است . تهيه ليستي از سياست هاي اجرايي بر مبناي اينكه چه چيزي براي سازمان مهم تر و انجام آن ساده تر است در اولويت قرار دارد. پس از آنكه اين اولويت ها به تاييد رسيدند هر يك از آنها بايد به سرعت در جاي خود به اجرا گذارده شود. ارزيابي امنيتي يك بخش بسيار مهم تراز برنامه ريزي امنيتي است. بدون ارزيابي از مخاطرات ،‌هيچ طرح اجرايي در جاي خود به درستي قرار نمي گيرد. ارزيابي امنيتي خطوط اصلي را براي پياده سازي طرح امنيتي كه به منظور حفاظت از دارايي ها در مقابل تهديدات است را مشخص مي كند . براي اصلاح امنيت يك سيستم و محقق كردن شرايط ايمن، مي بايست به سه سوال اصلي پاسخ داد:
1- چه منابع و دارايي هايي در سازمان احتياج به حفاظت دارند؟
2- چه تهديداتي براي هر يك از اين منابع وجود دارد؟
3- سازمان چه مقدار تلاش ،وقت و سرمايه مي بايست صرف كند تا خود را در مقابل اين تهديدات محافظت كند؟
اگر شما نمي دانيد عليه چه چيزي مي خواهيد از دارايي هاي خود محافظت كنيد موفق به انجام اين كار نمي شويد. رايانه ها محتاج آنند كه در مقابل خطرات از آنها حفاظت شود ولي اين خطرات كدامند؟ به عبارت ساده تر خطر زماني قابل درك است كه يك تهديد، از نقاط ضعف موجود براي آسيب زدن به سيستم استفاده كند. لذا، پس از آنكه خطرات شناخته شدند، مي توان طرح ها و روش هايي را براي مقابله با تهديدات و كاهش ميزان آسيب پذيري آنها ايجاد كرد. اصولا شركت ها و سازمان ها ، پويا و در حال تغيير هستند و لذا طرح امنيتي به طور مدام بايد به روز شود. به علاوه هر زمان كه تعييرات عمده اي در ساختار و يا عملكردها به وجود آمد، مي بايست ارزيابي مجددي صورت گيرد. بنابراين حتي زماني كه يك سازمان به ساختمان جديدي نقل مكان مي كند، كليه دستگاه هاي جديد و هرآنچه كه تحت تغييرات اساسي قرار مي گيرد، مجددا بايد مورد ارزيابي قرار گيرد. ارزيابي ها حداقل مي بايست شامل رويه هايي براي موارد زير باشند:
1- رمز هاي عبور
2- مديريت اصلاحيه ها
3- آموزش كاركنان و نحوه اجراي برنامه ها
4- نحوه تهيه فايل هاي پشتيبان و فضاي مورد نياز آن
5- ضد ويروس
6- ديواره آتش
7- شناسايي و جلوگيري از نفوذ گران
8- فيلترينگ هاي مختلف براي اينترنت و پست الكترونيكي
9- تنظيمات سيستمي و پيكره بندي آنها
در حال حاضر اينترنت و پست الكترونيكي جزء عناصر انكار ناپذير در كاركرد شركت ها و سازمان ها محسوب مي شوند، ولي اين عناصر مفيد به دليل عمومي بودن، داراي مخاطرات بسياري هستند كه موجب هدر رفتن منابع و سرمايه گذاري هاي يك سازمان مي شود. به ويژه آنكه به سادگي هزينه هاي پنهان زيادي را مي توانند به سازمان تحميل كنند و يا كلا كاركرد يك سازمان را با بحران مواجه كنند. اين وضعيت بحران را با يك طرح دفاعي مناسب قابل كنترل است. هدف ما در اينجا، ارائه يك الگوي دفاعي كامل و منسجم است كه بتواند با توجه به امكانات سازمان ، مورد بهره برداري قرار گيرد. لذا در ابتدا به مخاطراتي كه تهديد كننده سازمان هستند توجه مي كنيم، جنبه هاي مختلف تهديدات را روشن كرده و آنها را اولويت بندي كرده و پس از بررسي دقيق آنها در جاي خود، راه حل مناسبي را طي يك طرح زمانبندي شده و با بودجه مشخص براي پياده سازي، ارائه مي كنيم. در طرح ريزي الگوهاي امنيتي تناسب بين كاربري و طرح امنيتي بسيار مهم است. همچنين روند تغيير و به روز آوري فناوري امنيتي مي بايست مطابق با استانداردها و تهديدات جديد پيش بيني شده باشد. بعضي از سازمان ها براي تامين امنيت خود اقدام به خريد تجهيزات گراني مي كنند كه بسيار بيشتر از ظرفيت كاربري آن سازمان است و يا جايگاه صحيح امنيتي تجهيزات، نامشخص است و لذا خريدار همچنان با مشكلات امنيتي بي شماري دست و پنجه نرم مي كند. يك طرح امنيتي كه بيشتر از ظرفيت يك سازمان تهيه شده باشد باعث اتلاف بودجه مي شود. همچنين طرح امنيتي كه نقص داشته باشد، تاثير كم رنگي در كاركرد سازمان خواهد داشت و فرسايش نيروها ، دوباره كاري ها و كندي گردش كارها و ساير صدمات همچنان ادامه خواهد داشت. اين امر نهايتا يك بودجه ناپيدا را كماكان تحميل مي كند و بهبودي حاصل نخواهد آمد.