ضرورت توجه به امنیت اطلاعات 4

ضرورت توجه به امنیت اطلاعات ( بخش جهارم )
استراتژی "دفاع در عمق " یک فریمورک امنیتی مناسب برای حفاظت و نگهداری ایمن زیرساخت فن آوری اطلاعات یک سازمان است . در این مدل،زیر ساخت فن آوری اطلاعات یک سازمان به عنوان مجموعه ای از لایه های مرتبط به هم در نظر گرفته شده و به منظور حفاظت و ایمن سازی هر لایه از مکانیزم ها و روش های حفاظتی خاصی استفاده می گردد .

بررسی  لایه  سیاست ها ، رویه ها و اطلاع رسانی
در اولین لایه مدل امنیتی "دفاع در عمق " ، سیاست ها و رویه های امنیتی تعریف و تمامی کاربران صرفنظر از موقعیت شغلی خود می بایست با آنان آشنا شوند . با توجه به جایگاه برجسته این لایه  و تاثیر آن بر روی عملکرد سایر لایه ها ، می بایست با حوصله و دقت بیشتری این لایه بررسی و قبل از هر چیز سیاست های امنیتی در یک سازمان تعریف گردد .  
در زمان تعریف سیاست های امنیتی می بایست به موارد زیر توجه گردد :

·      تعریف عناصر زیادی نظیر : استفاده قابل قبول از منابع موجود ، دستیابی از راه دور ، حفاظت اطلاعات ، تهیه نسخه های پشتیبان از اطلاعات ، امنیت پیرامون شبکه ، ایمن سازی و ایمن نگهداشتن  دستگاه ها و کامپیوترهای میزبان و ...

·      یک سیاست امنیتی مناسب می بایست قادر به برقراری ارتباط مناسب با کاربران بوده و با ارائه یک ساختار اساسی آنان را در زمان بروز یک رویداد و یا مشکل امنیتی کمک نماید .

·         تدوین رویه های مناسب به منظور برخورد با یک مشکل امنیتی . در این رویه ها می بایست محدوده مسئولیت ها به دقت مشخص گردد  .

·         تعیین دقیق نوع و مکان ذخیره سازی اطلاعات مهمی که برای یک سازمان ارزش حیاتی دارند .

·         مشخص نمودن اقداماتی که می بایست پس از بروز یک مشکل امنیتی انجام شود.

·      سیاست های امنیتی به عنوان اصول عملیاتی رویه های امنیتی مطرح می باشند . بنابراین ، می بایست به اندازه کافی عمومی باشند تا بتوان آنان را با استفاده از فن آوری ها و پلت فرم های موجود پیاده سازی نمود .

·      سیاست های امنیتی می بایست اطلاعات لازم برای کارشناسان حرفه ای فن آوری اطلاعات در خصوص نحوه پیاده سازی کنترل های امنیتی به منظور حمایت از سیاست های امنیتی را ارائه نمایند .

·         محدوده سیاست های امنیتی برای یک سازمان ، به اندازه و پیچیدگی های آن بستگی دارد .

·         رویه های امنیتی نحوه انجام عملیاتی خاص بر روی دستگاه هائی بخصوص  نظیر نحوه پیکربندی یک سرویس دهنده وب جدید را مشخص می نمایند .

·      اطلاع رسانی یک عنصر امنیتی است که اغلب به فراموشی سپرده می شود . اکثر کاربران فعالیت های روزمره خود را با نادیده گرفتن مسائل امنیتی انجام می دهند . بدون وجود آموزش های لازم ، اغلب پرسنل در ابتدا سعی می نمایند کار خود را بگونه ای که راحتر می باشند انجام دهند و در مرحله بعد به امنیت انجام کار فکر کنند . تدوین سیاست ها و رویه های امنتیی بدون این که کاربران نسبت به آنان آگاهی داشته باشند ، نتایج مثبت و مشهودی را در زمینه ایجاد یک سیستم ایمن به دنبال نخواهد داشت .

تهدیدات  لایه  سیاست ها ، رویه ها و اطلاع رسانی

·      بسیاری از کاربران قوانین امنیتی را به عنوان یک ضرورت در نظر نگرفته و از آنان تبعیت نمی نمایند . اینگونه کاربران متاسفانه نسبت به مسائل امنیتی شناخت مناسبی نداشته و از تبعات زیانبار آن آگاهی ندارند .  بدیهی است زمانی که کاربران نسبت به اهمیت امنیت اطلاعات شناخت مناسبی را نداشته باشند ، نمی توانند از رمزهای عبور خود حفاظت نموده و یا از اطلاعات سازمان خود محافظت نمایند (نظیر پیکربندی سخت افزارها و یا نرم افزارها با رعایت مسائل امنیتی )

·         تعداد زیادی از حملات مبتنی بر   " مهندسی اجتماعی "  است . این نوع حملات از مزایای ضعف امنیت و عدم رعایت نکات ایمنی در زندگی روزمره انسان ها استفاده می نمایند . یک مهاجم می تواند زمان زیادی را در محل کار و یا اوقات فراغت خود صرف نماید تا بتواند اعتماد یک کاربر را جلب نماید . زمانی که یک مهاجم سوالاتی را مطرح و پاسخ آنان را دریافت می نماید ، با قرار دادن اطلاعات فوق در کنار یکدیگر و آنالیز آنان می تواند به اطلاعات اررشمندی دست یابد که از آنان به منظور برنامه ریزی حملات استفاده نماید .
دو نمونه از حملات مبتنی بر مهندسی اجتماعی :
یک مهاجم با مسئول فنی یک مرکز ارائه دهنده خدمات اینترنت (ISP ) تماس می گیرد و  در مدت زمان مکالمه تلفنی با وی به این نکته اشاره می نماید که دارای یک اتومبیل است که قصد دارد آن را با قیمت مناسبی بفروشد . مسئول فنی ISP نسبت به خرید اتومبیل اظهار تمایل می نماید . مهاجم به وی پیشنهاد می نماید که یک mail را که حاوی تصویر اتومبیل است برای وی ارسال خواهد کرد . مهاجم ، در مقابل ارسال تصویر اتومبیل ( به عنوان یک فایل ضمیمه ) یک برنامه مخرب از نوع backdoor را به همراه email برای مسئول فنی ISP ارسال می نماید . زمانی که مسئول فنی ISP نامه را دریافت و فایل ضمیمه را فعال می نماید ، برنامه مخرب ارسالی اجراء و یک حفره امنیتی را در بطن شبکه ISP ایجاد می نماید.
یک مهاجم می تواند اسامی کلیدی پرسنل یک سازمان را از طریق تماس با واحد مربوطه بدست آورد . در ادامه وی طی تماس با محل کار و یا منزل و شنیدن پیام دستگاه پیام گیر آنان از این موضوع آگاه می گردد که کدام مدیر در خارج از شهر می باشد . در ادامه ، مهاجم با مراجعه به سازمان مربوطه وانمود می نماید که کلید خود را جا گذاشته است تا بتواند وارد ساختمان گردد . پس از ورود مهاجم ( که ممکن است از کارکنان همان سازمان باشد ) به ساختمان اصلی سازمان مورد نظر ، وی وارد دفتر کار پرسنلی می گردد که در خارج از شهر می باشد و بدون نگرانی کامپیوتر وی را بررسی و با بکارگیری انواع نرم افزارهای موجود تلاش می نماید که به اطلاعات موجود بر روی کامپیوتر دستیابی نماید .

حفاظت لایه سیاست ها ، رویه ها و اطلاع رسانی

·      برای مقابله با انواع  تهدیدات ، می بایست سیاست ها و رویه های امنیتی به صورت واضح تدوین ، پیاده سازی و توسط تمامی پرسنل بکار گرفته شوند . هر فرآیند و یا عملیاتی که در خصوص سیاست های امنیتی تعریف می گردد ، می بایست دارای دستورالعمل های مستند و روشنی باشد .

·      پرسنل سازمان می بایست نسبت به سیاست ها و رویه های امنیتی آموزش ببینند . آموزش امنیت یک امر ضروری است تا این اطمینان حاصل گردد که کاربران نسبت به کارهائی که می بایست در راستای تامین سیاست ها و رویه های امنیتی انجام دهند، توجیه و آنان را رعایت می نمایند . نحوه آموزش می بایست بگونه ای باشد که تصویری واقعی از جایگاه و اهمیت امنیت اطلاعات را برای کاربران تشریح تا آنان نیاز به امنیت را همواره و در تمامی سطوح احساس و به آن پایبند باشند .

·      یک سیاست امنیتی ترکیبی از خواسته ها و فرهنگ یک سازمان است که متاثر از اندازه و اهداف یک سازمان می باشد  . برخی سیاست ها ممکن است به تمامی سایت ها اعمال گردد و برخی دیگر ممکن است در رابطه با محیط هائی خاص بکار گرفته شود . یک سیاست امنیتی می بایست سطح کنترل را با سطح بهره وری بالانس نماید . در صورتی که یک سیاست امنیتی محدودیت های زیادی را برای کاربران درپی داشته باشد ، کاربران روش های نادیده گرفتن آن را بررسی و برای آن راه حل های خاص خود را پیدا خواهند کرد .

·      اطلاع رسانی در خصوص مسائل امنیتی می بایست ترویج و در دستور کار قرار گیرد . مثلا" می توان از پوسترهای امنیتی و کارت های checklist برای اطلاع رسانی  استفاده نمود . پوسترها و کارت های checklist  دارای کارآئی بمراتب بهتری نسبت به  مستندات حجیم سیاست های امنیتی می باشند که ممکن است جهت استفاده عموم بر روی  شبکه اینترانت سازمان منتشر شده باشد. پوسترها و کارت های checklist را می بایست در مکانی نصب نمود که در معرض دید بیشتری باشند .

·      به منظور بررسی وضعیت برخی سیاست های امنیتی نظیر رمزهای عبور و پیکربندی امنیتی ، می توان از ابزارهائی نظیر Microsoft Baseline Security استفاده نمود