گفت و گو با مهندس محمد جواد سخايى امنيت شبكه فقط پسورد نيست

نام نویسنده: مينو مومنى

روزنامه دنياى اقتصاد – موضوع امنيت شبكه اين روزها به بحثى اساسى در ميان سايت هاى اينترنتى و شبكه هاى ايرانى تبديل شده است . نقش برخى از حملات اينترنتى اخير و افزايش قابل ملاحظه كاركردهاى سايت ها و شبكه هاى ايرانى در اين رويكردى بى تاثير نيست ، در زمنيه امنيت شبكه با محمد جواد سخايى فارغ التحصيل دانشگاه شريف و مدير فنى سايت Srcoir گفت و گويى انجام داده ايم كه مى خوانيد.
به عنوان سئوال نخست لطفا تعريفى از امنيت شبكه ارايه كنيد ؟
به امينت شبكه بايد به صورت يك بستر نگاه كنيم يعنى به صورت يك زير ساخت ، براى اين كه امنيت يك شبكه را ايجاد كنيم بايد در درجه اول به زير ساخت آن توجه داشته باشيم دقيقا مثل نقشى كه جاده ها در حمل و نقل دارند هر چه زير ساخت يعنى جاده از نظر ايمنى امن تر باشد به طبع حمل و نقل و جابجاى افراد نيز از نظر ايمنى بى خطر صورت مى گيرد در مورد شبكه هاى كامپيوترى نيز دقيقا همين طور است اگر زير ساخت امنيتى مناسب باشد عرضه و جابجاى اطلاعات نيز به طبع راحت تر صــــــــــورت مى گيرد شبكه را مى توان با نگرش سخت افزارى يا نرم افزارى مطالعه كرد به هر حال بحث امنيت شبكه بايد از هر دو قطب روى آن كار شود.

براساس چه برنامه هاى و توسط چه كسانى بايد امنيت شبكه پياده سازى بشود؟
امنيت شبكه در وهله اول بايد در سطح شبكه هاى داخلى كنترل بشود يعنى هر سازمان تدابير لازم امنيتى مورد نياز را اتخاذ و در اصل يك استراتژيك امنيتى را تتبين كند و براساس آن يكسرى سياست هاى امنيتى پى ريزى شود سپس لازم است مجريان و كسانى كه استراتژيك و سياست ها را تعيين مى كنند همه با هم به دانش روز آگاه باشند و اطلاعاتشان دائم به روز شود كه بعدا اين افراد بتوانند با توجه به سياست هاى محلى هر سازمان يك پوسته حفاظتى مناسب را در سطح شبكه داخلى خودشان ايجاد كنند. در ضمن علاوه بر اينكه سازمان ها اين پوسته حفاظتى را ايجاد مى كنند بايد مكان و سازمان به خصوصى وجود داشته باشد كه آخرين اطلاعاتى كه در زمنيه امنيت شبكه وجود دارد و يا جالش هاى موجود در اين زمنه را تقسيم و آناليزه كرده و اين موارد را در سطح كل كشور و آن جاى كه مد نظر است ارايه دهد كه همه بتوانند از آن استفاده كنند.

به نظر شما بحث امنيت شبكه يك كار جمعى محسوب مى شود؟
صد در صد ، چون بحث امنيت شبكه يك فرآيند زنده و بسيار متغيير است و نياز به يك كار گسترده دارد بنابراين يك نفر و دو نفر نمى توانند اين بحث را پوشش دهند الان ما روى يك مسئله پيشگيرى انـــــــجام مى دهيم فردا يك مسئله ديگرى پيش مى آيد كه تازه متوجه مى شويم روى آن پيشگيرى صورت نگرفته است .

• در اين زمينه آيا استاندارد يا روش مشخصى وجود دارد كه بتوان بر اساس آن برنامه امنيتى را پى ريزى كرد ؟ •
الان ما در سازمان هاى دولتى جايگاه شغلى براى كسانى كه بحث امنيت شبكه را انجام مى دهند نداريم حالا اين مسئله را رها كنيم برويم روى بحث امنيت سايت ها و اينترنت متاسفانه در اين زمنيه دانشى وجود ندارد همه كسانى كه اطلاعاتى دارند اطلاعات و دانشى است كه خودشان به مرور به دست آورده اند ، دوستان زحمت خودشان را مى كشند اما جايى وجود ندارد كه اين دانش و اطلاعات كنار هم قرار بگيرد تا معلوم شود آيا اين دانشى كه آموخته ايم بهتر از آن نيز وجود دارد يا نه ، شايد دانشى وجود داشته باشد كه فراتر از آموخته هاى ما باشد. به نظر من بايد براى اين كار متولى مشخص شود يعنى به اين معنا كه يك سازمان روى ساختار فيزيكى و مقطعى اين مسئله كار كند.

نقش آموزش در بالا بردن سطح كيفى امنيت چه قدر مفيد است ؟
بسيار مفيد و ضرورى است يك كاربر ساده اى كه پشت كامپيوتر نشسته و در شبكه داخلى يا حتى شبكه اينترنت ايميل هاى خودش را كنترل مى كند اگر اين كاربر اصول اوليه امنيت را نداند كه به فرض در ارتباط با كنترل يك ايميل بايد چه تدابيرى را اتخاذ كند همين كاربر مى تواند ناخواسته روى شبكه امنيتى تاثير بگذارد پس بنابراين آموزش در بحث امنيت در تمامى سطوح لازم و ضرورى است يك كاربر معمولى كه روى شبكه كار مى كند بايد به طور كامل توجيه شود و آموزش ببيند و بعضى از مسايل براى او آناليز بشود مثلا بداند بر اثر سهل انگارى يك نفر در يك سازمان و هنگام چك كردن ايميل ممكن است يك فايل اسكريپت آمده و كل شبكه آنها را آلوده كند اين كاربر بايد در اين سطح آموزش ببيند، به نظر من وقتى كسى مى خواهد در بستر اينترنت قدم بزند نه اينكه حتى با يك ماشين به سرعت حركت كند براى همين قدم زدن نيز بايد با اصول اوليه آشنا باشد وگرنه بعدها دچار مشكل مى شود من اعتقاد دارم كسانى كــــــــــه مى خواهند سياست ها را تعيين كنند و در نهايت كسانى كه مى خواهند اين سياست ها را اجرا و پياده نمايند بايد در سطوح خودشان آموزش هاى لازم را ببينند.

يعنى شما اعتقاد داريد آموزش بايد دو طرفه باشد ؟
بله هم كاربر ها و هم كسانى كه در سطوح مديريتى هستند بايد آموزش ببيند چه بسا همان مدير سازمان از يك ساعتى به بعد خودش يك كاربر مى شود ما در حال حاضر چيزى به عنوان آموزش امنيت شبكه نداريم كه بايد روى اين مسئله دقيق نگاه شود اگر روى اين مسئله يعنى امنيت شبكه كم كارى صورت بگيرد تمام زحماتى كه الان صورت گرفته ممكن است بر اثر سهل انگارى كوچك توسط يك فرد از بين برود درست مثل اتوبوسى كه عده اى با رعايت تمامى مسايل امنيتى در آن سوار شده اند و در حال طى كردن مسيرى هستند اما در اين ميان يك نفر بدون توجه حركتى انجام مى دهد كه باعث بروز اتفاقى مثل تصادف مى شود كه اين عمل باعث از بين رفتن زحمات كل مسافرين مى شود به نظر من بحث امنيت شبكه يك بحث مرتبط و پيوسته به هم است همه بايد در زمان خودشان و به جا حركت كنند تا يك سيستم درست حركت كند وگرنه با مشكل اساسى برخورد مى كند.

به نظر شما نقش دولت در بالا بردن ضريب امنيت مجازى چيست ؟
دولت از يك بعد و آن پورت هاى ورودى و خروجى و دستيابى به اينترنت مى تواند سياستى را پياده كرده و بحث امنيت را از بالا نظارت كند اما در ابعاد ديگر نيز دولت مى تواند از مجموعه و كسانى كه درگير اين مسايل هستند حمايت كند دولت همچنين مى تواند براى شكل گيرى ساختار فيزيكى كمك كند يعنى در اصل هم مى تواند حميت لجستيكى و هم حمايت فنى و ساختارى داشته باشد هم اكنون از سوى دولت طرحى مثل تكفا يا طرح هاى ديگر ارايه شده اما من مى گويم اگر ما قصد مسافرت داريم بايد قبل از اينكه به اين فكر باشيم كه در راه چه چيزى بخوريم بهتر است اول به فكر اتومبيل و جاده باشيم و ايمنى آن را در نظر بگيريم در مورد اينترنت كه بستر آن بزرگراه نام دارد بهتر است قبل از حركت روى مسئله امنيت آن توجه كنيم و دولت مى تواند روى اين مسئله نقش جدى داشته باشد و هم روى مسئله اصلى كه ورودى و خروجى اينترنت است و هم در سطوح ديگر به عنوان نمونه در مورد حمايت از بخش خصوصى كه اگر دولت اين كارها را انجام ندهد در آينده حتما ضرر مى كنيم چرا كه شايد الان ما اطلاعات با ارزشى نداشته باشيم كه نگران و نارحت از دست دادن آن هم نيستيم ولى اگر يك زمانى اطلاعات با ارزشى داشته باشيم كه بخواهيم به صورت آن لاين در اختيار متقاضيان قرار بگيرد مطمئن باشيد اگر آن سيستم تنها يك ساعت به دليلى از كار بيفتد كل مسير طى شده بر مى گرددد به نقطه شروع يعنى تمام مسيرى كه با زحمت به جلو سوق داده ايم در يك لحظه از دست مى دهيم .

در حال حاضر دولت در مورد بحث امنيت شبكه كارى انجام داده است ؟
من در حقيقت تا به حال در اين مورد چيزى نشنيده ام شايد موردى بوده و در حال انجام شدن باشد اما به طور رسمى اعلام نشده است، ممن است دولت بيايد اين مسئله را مطرح كند كه من در حوزه كارى خودم اين قسمت را ايمن مى كنم و از آن به بعد هر كس بايد خودش مسئله امنيتى را رعايت كند ، مثلا نمى توان كاربرى كه مسئله امنيتى را رعايت نمى كند يا مدير شبكه اى كه در سازمان توانايى مديريت شبكه را در تمام ابعادش ندارد يا سياست گذار هم در مسئله امنيت ناتوان باشد به دولت ارتباط داد به هر حال بحث امنيت به نظرم دنبال مى شود اما جزئيات آن به چه صورتى است دقيقا اطلاع ندارم .

حملات اينترنتى عمدتا از جانب چه كسانى صورت مى گيرد ؟
نبايد تنها بگوئيم حملات را چه كسانى انجام مى دهند چرا كه بايد نحوه حملات و انگيزه ها را نيز مورد توجه قرار دهيم و بدانيم حمله كنندگان از چه چيزهاى براى حمله استفاده مى كنند و از چه توانايى هايى برخوردار هستند و با دانستن اين اطلاعات مى توانيم يك ديوار امنيتى ايجاد كنيم . معمولا كسانى كه حمله مى كنند به چند دسته تقسيم مى شوند عده اى دشمنان ملى هستند اين دسته افرداى هستند كه در كشورها با منافع ملى مخالف هستند و تروريست اطلاعاتى به شمار مى آيند عده اى مجرمان و سارقان اينترنتى هستند و تعدادى از حمله كنندگان شركت هاى رقيب هستند حتى بعضى از اين افراد براى دست انداخت ديگران يا برتر نشان دادن خود دست به هك مى زنند كه اين افراد مشكلات روانى دارند ولى به طور كلى همه اين افردا با انگيزهاى مختلف مى خواهند به اطلاعات دست پيدا كنند به هر حال اول بايد دشمنان شناخته و انگيزها نيز معلوم شود. ما روى هم رفته چند نوع حمله داريم كه بايد شناخته شود و براســـــــــاس آن سياست هاى امنيتى طرح ريزى شود ، گروه اول غير فعال دوم فعال سوم مجاور به هم چهارم حملات خودى ها (در سازمانى كار مى كنند و با آن مشكل دارند) و … هر كدام از اين گروه ها در جاى خودشان آسيب مى رسانند برخى كدهاى آلوده دارند مثلا وقتى يك نرم افزار يا سخت افزار در كارخانه تــــــــوليد مى شود متاسفانه اين گروه يك بك دور در آن قرار مى دهند و به ديگران مى دهند حتى موقعى كه فرد سيسمى را از جاى خريده و در اين فاصله دست به دست مى چرخد مشكل ايجاد مى شود اين مسئله در كشور ما حادتر است چون ما منابع نرم افزار ى و اروجينالى نداريم . اين يك نمونه كوچكى از اين حملات است كه بايد روش هاى مخصوصى براى كنترل آن به وجود بيايد مثلا از چه سيستمى براى دفاع استفاده شود و در اين ميان البته بعضى حملات غير مخرب است و از روى سهل انگارى صورت مى گيرد .

نقطه ضعف هاى نرم افزارى سايت هاى و سرورهاى ايرانى را در چه مواردى مى بينيد؟
يكسرى ضعف ها را خود نرم افزارها دارند كه ربطى به كشور ما ندارد نرم افزار وسيله اى است كه زاييده دست بشر است وقتى انسان خودش اشتباه مى كند چه سهوا و چه عمدا پس امكان دارد محصولى كه از فكر او توليد مى شود نيز از اين مسئله جدا نباشد بعضى از ضعف ها به نقطه توليد بر مى گردد و شركت هايى كه در اين زمينه كار مى كنند و بازار را در دست دارند براى اينكه دوست ندارند بدنام بشوند سعى مى كنند اين مشكلات را خودشان دنبال و حل كنند ولى متاسفانه زمانى برطرف مى كنند كه اين مشكل به وجود آمده و آسيب را نيز رسانده است مثلا شركت مايكروسافت اشتباهى مى كند بعد سريع يك Patch امنيتى مى نويسد و وارد بازار مى كند تا مشكل حل شود يعنى نيش دارو بعد از مرگ سهراب ، به هر حال مراكزى كه اطلاعات حساس دارند بايد نرم افزار خودشان را از جاهاى مورد اطمينان تهيه كنند چون كسانى هستند كه روى نرم افزار با نيت هاى خاص يك بك دور مى گذارند و آن را وارد كشورهاى ديگر مى كنند هر چند اين كار درصد ش خيلى كم است اما معضل آفرين است بنابراين از مكان هاى مطمئن بايد نرم افزار خريدارى بشود . مخصوصا كسانى كه بحث سايت و ISP دارند بايد مجموعه نرم افزارهاى خودشان را از جاى مورد اعتماد تهيه كنند. ما نرم افزار را مى گيرم و با مجموعه پتانسيل ها و در كنار سخت افزارها مى خواهيم در نهايت پياده سازى انجام بدهيم اين پياده سازى براساس تجربه شخصى انجام مى گيرد يعنى ما شروع مى كنيم به نصب نرم افزار و لايه امنيتى را مى سازيم بدون در نظر گرفتن سياست هاى امنيتى آن سازمان بهتر است اول سازمان مورد نظر سياست امنيتى مشخصى داشته باشد و بعد شروع به نصب نرم افزار كند يعنى متناسب با سياست نرم افزار را بچيند.

افرداى كه هم اكنون كار پياده سازى نرم افزار ها را انجام مى دهند از چه توانايى هاى برخوردار هستند؟
در كشور ما هم اكنون افراد با استعدادى وجود دارند كه با امكانات بسيار كم كار پياده سازى را انــــــجام مى دهند ولى قطعا اطلاعات بسيارى از اين افراد به هنگام شده و به روز نيست چرا كه الان همه كارها به صورت تجربه شخصى است و اين تجارب شخصى امكان دارد درست باشد ولى من مى گويم شايد تجاربى بهتر از ما وجود داشته كه ما از آن بى اطلاع بوده ايم .

به نظر شما ما در زمينه امنيت سايت ها و سرورهايمان از دانش كافى برخوردار نيستم يا توان اين كار را نداريم ؟
خوشبختنانه ما توان لازم را داريم و از اين نظر مشكلى وجود ندارد چرا كه توان و پتانسيل درون خود نرم افزار وجود دارد و من به عنوان يك نيرو انسانى بايد بتوانم اين پتانسيل ها را به فعل تبديل كنم يعنى روش به فعل كردن بسيار مهم است پس در اين ميان باز هم بحث آموزش مطرح مى شود مثلا هم اكنون بحث ايمن كردن ايميل ها خيلى مطرح است چرا كه ويروس هاى جديدى از طريق ايميل مى تواند شبكه را آلوده كند و در اين جا نياز است كه فرد بداند چگونه شبكه را در مقال اين ويروس ايمن كند ما بايد در زمان نصب نرم افزار اين كار را انجام بدهيم يعنى ما توان لازم را داريم ولى از نظر آموزشى مشكل داريم و مشكل اساسى اين است كه ما به هنگام نيستيم و تجارب ما شخصى است به نظر من بحث آموزش بايد وجود داشته باشد شما در خلال مصاحبه در مورد جايگاه دولت در امنيت شبكه سئوال كرديد و من در اين جا بار ديگر مى گويم دولت مى تواند در بحث آموزش به نحو جدى وارد عمل شود چرا كه بحث امنيت و اطلاعات تنها اين نيست كه من دور خانه ام ديوار بكشم و با خيال راحت استراحت كنم چون اين كار امكان ندارد. بحث امينت شبكه ها يك عزم ملى مى خواهد بنابراين دولت حداقل بيايد از بچه ه ى كه با پشتكار خودشان پيگير اين مسئله هستند آنها را از نظر علمى ساپورت كند.

ما هيچ قانونى در زمينه جرايم كامپيوترى نداريم به نظر شما اين موضوع بر مشكلات امنيتى مــــجازى نمى افزايد ؟
قانون وضع كردن خيلى خوب است اما ما در خيلى جاها مشكل قانون نداريم بلكه مشكل اين است كه پايبند به اصول اوليه نيستيم به عنوان مثال بيش از چهل سال است كه چراغ راهنمايى و رانندگى وجود دارد و براى گرفتن گواهينامه همين چراغ ها را امتحان مى دهيم و ياد گرفتن آن بسيار ساده است چون سه چراغ بيشتر نيست ولى الان آمار بگيرد كه طى روز چند نفر از چراغ قرمز عبور مى كنند در حاليكه در اين مورد قاون هم داريم و فرد را مى توانند جريمه كنند بنابراين ما مشكل قانون نداريم اين فرهنگ است كه بايد جا بيفتد ما نبايد فكر كنيم اگر براى جرايم اينترنتى قانون وضع كرديم برويم راحت دنبال كارمان و بگويم خدا را شكر براى اين موضوع هم قانون داريم . به نظر من چنين حرفى درست نيست چون كامپيوتر هنوز در ايران جوان است و برايش هنوز كارى صورت نگرفته و ما به صورت ابتدايى با آن كار مى كنيم پس بايد در ابتدا روى فرهگ سازى آن كار شود از هر طرف توسط رسانه ها ، سازمان ها ، بخش خصوصى و… و نبايد مثل گذشته با آن ديد ساده سازمانى 4 تا كامپيوتر بگذاريم و بگوئيم سازمان ما سيستم هايش به روز و كامپيوترى است بنابراين با اين وضع اگر قانون نيز وضع شود اما فرهنگ سازى صورت نگرفته باشد اين قانون بلا استفاده مى ماند در ضمن براى اجرا قانون ما نياز به افرا د آموزش ديده داريم كه باز بحث آموزش به ميان مى آيد.

شما چه راهكارى هاى را براى بالا بردن امنيت شبكه ها پيشنهاد مى كنيد ؟
اولين قدم آموزش است كه جايگاه خاص خودش را دارد تمام كسانى كه دست اندر كار اين قضيه هستند يعنى از مديريت شبكه ها گرفته تا كاربران همه بايد در زمان خودشان به سرعت اطلاعات روز را آموزش ببينند بعد از آموزش هر سازمان براى خودش يك استراتژيك مشخصى را معلوم كند كه در مقابل حملات آمادگى داشته باشد و در ك سيستم حفاظتى مطمئن آن هم نه روى كاغذ بلكه در عمل بيايد اين مسايل گفته شده را پياده كند كه اين كار بخشى در سازمان صورت مى گيرد و بخشى بايد توسط دولت صورت بگيرد چرا كه دولت به جاى كارهاى تكرار و موازى مى تواند اين بخش كار را پيگيرى كنند چرا كه اين كار باعث صرفه جويى در زمان و سرمايه ملى مى شود و در آخر بايد بداينم امنيت شبكه يك پسورد و يوزرنيم نيست حتى بار گذاشتين يك پراكسى هم نمى باشد.

[email protected]