ضرورت توجه به امنیت اطلاعات ( بخش سوم )
هر سازمان می بایست یک فریمورک و یا چارچوب
امنیتی فعال و پویا را برای خود ایجاد و به درستی از آن نگهداری نماید . دفاع در
عمق ، یک فریمورک امنیتی مناسب در این رابطه است . در این مدل ، زیرساخت فن آوری
اطلاعات یک سازمان به عنوان مجموعه ای از لایه های مرتبط به هم در نظر گرفته می
شود و برای هر لایه مکانیزم های امنیتی و حفاظتی مناسبی تعریف می گردد .
- لایه اول : سیاست های امنیتی ، رویه ها و اطلاع رسانی
- لایه دوم : امنیت فیزیکی ( نظیر حفاظت فیزیکی )
- لایه سوم : حفاظت از محدوده عملیاتی یک شبکه داخلی به
منظور ارتباط با سایر شبکه ها ( نظیر استفاده از فایروال ها )
- لایه چهارم : ایمن سازی شبکه داخلی
- لایه پنجم : امنیت کامپیوترها و دستگاه های
میزبان ( ایجاد سیستم های تدافعی لازم )
- لایه ششم : امنیت برنامه های کاربردی ( نصب های ایمن به همراه نصب تمامی Service
Packs و patch محصولات نرم افزاری موجود در سازمان به منظور پیشگیری از حملات
برنامه ریزی شده با
بهره گیری از نقاط ضعف موجود )
- لایه هفتم : امنیت داده ( بهره گیری از سیستم
امنیتی فایل و یا فولدر سیستم فایل NTFS
، رمزنگاری ، لیست های کنترل دستیابی ، ایجاد نسخه های backup
از داده ها و مکانیزم های لازم به منظور بازیافت اطلاعات
جزئیات مدل امنیتی دفاع در عمق
در
فریمورک امنیتی دفاع در عمق ، از افراد ، رویه ها و فن آوری های متعدد در لایه های مختلف به منظور حفاظت از زیرساخت فن
آوری اطلاعات یک سازمان استفاده می گردد . در صورتی که یک
مهاجم موفق به عبور از سیستم تدافعی یک لایه گردد ، این بدان معنی نخواهد بود که
وی توانسته است تمامی سازمان را در معرض تهدید قرار دهد . طراحی و ایجاد سیستم تدافعی هر لایه می بایست
با فرض این که مهاجمان توانسته اند از سایر لایه ها با موفقیت عبور نمایند ، انجام
شود . بنابراین لازم است ، اقدامات لازم به منظور ایمن سازی هرلایه بدون در نظر
گرفتن استحکام سیستم تدافعی لایه های دیگر انجام شود .
استفاده از یک رویکرد امنیتی
لایه ای ،
امکان تشخیص تهدیدات را افزایش و شانس موفقیت مهاجمان را
کاهش خواهد داد .
|
مدل امنیتی دفاع در عمق ، از مجموعه ای لایه های مرتبط به هم تشکیل
می گردد :
- سیاست ها ، رویه ها و
اطلاع رسانی :
عملکرد لایه فوق بر روی سایر لایه ها تاثیر مستقیم دارد . در این لایه
عملیات متفاوتی نظیر تدوین سیاست ها و رویه های امنیتی و برنامه های آموزش
کاربران پیش بینی می گردد .
- امنیت فیزیکی :لایه فوق پنج لایه دیگر را در برمی
گیرد . در این لایه می بایست از منابع انسانی و غیرانسانی و دستگاه های
ردیابی به منظور حفاظت فیزیکی استفاده گردد.
- محدوده عملیاتی شبکه : هر شبکه داخلی دارای محیط عملیاتی
مختص به خود می باشد که ممکن است در نقاطی خاص با سایر شبکه های خارجی ( نظیر
اینترنت و یا اکسترانت ) ارتباط برقرار نماید . به منظور حفاظت از محیط عملیاتی یک شبکه
داخلی ، می بایست از امکانات و روش های متعددی استفاده نمود . بکارگیری
فایروال های سخت افزاری ، نرم افزاری (یا هر دو ) و شبکه های VPN ( استفاده از رویه های
قرنطینه ای ) نمونه هائی در این زمینه می باشد .
- شبکه داخلی : به منظور حفاظت از شبکه داخلی از
امکانات و روش های متعددی استفاده می گردد . بخش بندی شبکه ، استفاده از
پروتکل IPSec و بکارگیری
سیستم های تشخیص مزاحمین نمونه هائی در این زمینه می باشد .
- کامپیوترها و دستگاه های
میزبان : در
هر شبکه از کامپیوترها و دستگاه های میزبان متعددی استفاده می گردد که بر روی
هر یک از آنان سیستم عامل مربوطه نصب تا مدیریت منابع را برعهده گیرد . در
این لایه لازم است با تمرکز بر روی دستگاه ها ، کامپیوترهای سرویس دهنده و یا
سرویس گیرنده نسبت به ایمن سازی سیستم عامل نصب شده بر روی آنان اقدام گردد .
استفاده از متدهای پیشرفته تائید کاربران ، بکارگیری ابزارها و مکانیزم های
لازم به منظور مدیریت بهنگام سازی نرم افزارهای پایه و استفاده از سیستم های
تشخیص مزاحمین نمونه هائی در این زمینه می باشد .
- برنامه های کاربردی : در این لایه با تمرکز بر روی برنامه
های کاربردی موجود در یک شبکه ، از امکانات و مکانیزم های مختلفی به منظور
افزایش ایمن سازی آنان استفاده می گردد . استفاده از نرم افزارهای ضد ویروس
از جمله اقدامات لازم در این لایه است .
- داده : به منظور حفاظت از داده ها و اطلاعات
حساس در یک سازمان ، می بایست از امکانات و ابزارهای متعددی استفاده گردد .
ایجاد لیست های کنترل دستیابی ( ACLs
) ، رمزنگاری ، سیستم فایل رمزنگاری ( EFS
) و مدیریت حقوق دیجیتالی ( DRM
) ، نمونه هائی در این زمینه می باشد.