گف‌وگو با مدیر امنیتی دفتر سیاست‌گذاری‌های فناوری اطلاعات آمریکا

نام نویسنده: سید میثم لطفی

بزرگراه فناوری – زندگی روزمره انسانی در دنیای فیزیکی غالبا با تهدیدهایی از سوی مهاجمان، متجاوزان و قانون‌شکنان مواجه بوده است و برنامه‌ریزان و مدیران جوامع با اتخاذ تدابیر و با به‌کارگیری نیروهای سازمان‌یافته در پی مبارزه با تهدیدهای مذکور و محافظت از جان و منافع انسانی و در نهایت ایجاد امنیت در جامعه هستند.

امنیت کامپیوتر و شبکه یا امنیت فضای تبادل اطلاعات مقوله‌های مهمی هستند که همواره به آن‌ها پرداخته می‌شود، اما با این وجود به ندرت میزان حفاظت از داده ها و دارایی های اطلاعاتی شروندان، شرکت‌ها یا حکومت‌ها کافی و وافی است. اگر زیرساخت شبکه، مسیریاب‌ها، کارگزاران نام و سوئیچ‌هایی که این سیستم‌ها را به هم متصل می¬کنند از کار بیفتند، کامپیوترها نخواهند توانست دقیق و مطمئن با یکدیگر ارتباط برقرار کنند. برای روشن شدن هرچه بیشتر این قضیه و افزایش اطمینان خاطر کاربران برای وجود به فضاهای مجازی و استفاده مناسب از فناوری‌های جدید، آن کریشنر(Ann Kirschner) مدیر امنیتی دفتر سیاست‌گذاری‌های فناوری اطلاعات آمریکا گفت‌وگویی را انجام داده است که بخش‌هایی از آن را مرور می‌کنیم.

به نظر شما نیازمندی‌های امنیتی چیست و آیا می‌توان این نیازمندی‌ها را پاسخ گفت؟

تفاوت‌های میان نیازمندی‌های یک دانشگاه و یک سازمان نظامی که کارهای رمزنگاری انجام می دهد را در نظر بگیرید. تفاوت اصلی در نحوه به اشتراک گذاشتن اطلاعات است. دانشگاه نتایج پژوهش‌ها را در اختیار عموم قرار می دهد. از طرف دیگر سازمان نظامی به محرمانگی اهمیت ویژه ای می دهد. نه‌تنها سازمان مایل به افشای نحوه شکستن الگوریتم‌های رمز نیست، بلکه حتی نمی خواهد دیگران از شکسته ‌شدن الگوریتم رمز آگاه شوند. بنابراین امنیت معنای ثابتی ندارد و این نیاز به تعریف امنیت را گوشزد می کند.

هنگامی که سازمانی بخواهد سیستم‌های خود را امن کند باید نخس نیازمندی‌ها را مشخص کند. دانشگاه نیاز به حفاظت از سلامت داده ها و تا حدی محرمانگی آن‌ها دارد. ضمنا ممکن است نیاز به دسترس پذیر بودن سیستم از طریق اینترنت برای دانشجویان و استادان داشته باشد. در مقابل سازمان نظامی به محرمانگی کلیه کارهای خود تاکید دارد. سیستم‌های آن نباید از طریق شبکه در دسترس باشند. سلامت داده ها نیز مهم است ولی نه به اندازه محرمانگی آن‌ها. یک سازمان نظامی معمولا ترجیح می دهد داده ها از بین بروند تا اینکه افشا شوند.

این مثال نشان می‌دهد که نیازمند‌های امنیتی تا چه اندازه با یکدیگر متفاوتند و به‌همین خاطر شرکت‌های عرضه‌کننده محصولات امیتی و کامپیوتری مجبورند برای پاسخ‌گویی به هر یک از این نیازها، آن‌ها را به‌صورت جداگانه و منفصل در نظر بگیرند و بررسی کنند. این طور که امروزه مشخص شده، بیشتر نیازمندی‌هایی که در زمینه امنیت وجود دارد از میان برداشته شده و به‌همین خاطر کاربران با آرامش خاطر بیشتری این روزها از کامپیوتر و اینترنت استفاده می‌کنند.

آیا در زمینه امنیت نیز سیاست‌های خاصی وجود دارد؟ این سیاست‌ها چگونه تعیین می‌شود؟

نیازمندی‌های امنیتی مجاز بودن برخی اعمال و حالت‌های سیستم را دیکته کرده و بقیه را غیرمجاز می¬دانند. یک سیاست امنیتی بیان خاصی است از موارد مجاز و غیرماز. اگر همیشه سیستم در حالت‌های مجاز باقی بماند و کاربران تنها اعمالی را که مجاز هستند بتوانند انجام دهند، آن‌گاه سیستم امن است. اگر سیستم بتواند به یک حالت غیرمجاز وارد شود یا کاربر بتواند عمل غیرمجازی را با موفقیت انجام دهد، سیستم ناامن خواهد بود. این ناامنی می‌تواند مشکلات جبران‌ناپذیری را برای کاربران به‌دنبال داشته باشد و علاوه بر اختلال در سیستم‌مرکزی کامپیوتر، موجبات بروز خسارات مالی فراوان را فراهم آورد.

تعیین سیاست‌های امنیتی که می‌تواند حالت جهان‌شمول داشته باشد و همه کاربران جهانی را دربر بگیرد، معمولا توسط شرکت‌های بزرگ کامپیوتری و مراکز اصلی قانون‌گذاری فناوری در جهان صورت می‌گیرد و طی آن تمامی کشورها موظف به انجام این قبیل قوانین می‌شوند و باید همه سیاست‌های تعیین شده را به مرحله اجرا برسانند.

راهکارهای امنیتی چیست و چگونه عملی می‌شود؟

راهکارهای امنیتی سیاست امنیتی را اجرا می¬کنند که هدف اصلی از آن‌ها این است که از ورود سیستم به حالت‌های غیرمجاز جلوگیری شود. راهکارها ممکن است فنی یا عملیاتی باشند. به‌عنوان مثال فرض کنید سازمان نظامی سندهای طبقه بندی نشده و سندهای فوق‌سری دارد. کاربرانی که حق دسترسی به اسناد فوق‌سری را ندارند نمی توانند به آن‌ها دسترسی پیدا کنند.

رهکارهای فنی برای برخی سیاست‌ها مناسب نیستند. برای مثال دانشگاه می خواهد دانشجویان را از داشتن فایل‌های موزیک روی کامپیوترشان منع کند. جهت انجام این کار راهبران سیستم قادرند کامپیوترها را برای یافتن موزیک جست‌وجو کنند، ولی دانشجویان باهوش می توانند فایل‌های موسیقی را به‌صورت متنی کدگذاری کنند. ولی راهکار عملیاتی که دانشجویان را از قرار دادن فایل موسیقی منع می کند در کنار تنبیه در صورت تخلف، خیلی مناسب‌تر و موثرتر از راهکار فنی می‌تواند باشد.

اینکه کل راهکارهای اتخاذ شده به‌درستی سیاست امنیتی را پیاده سازی می کند پرسشی مربوط به اطمینان یا تضمین است. رای مثال فایروال‌ها سیستم‌هایی محسوب می‌شوند که واسطه اتصال سیستم یا شبکه داخلی به اینترنت هستند. فایروال می تواند تلاش‌های اتصال به شبکه داخلی از اینترنت را بلوکه کند. با این حال اگر نرم افزار فایروال به‌درستی نوشته نشده باشد، ممکن است برخی اتصال‌ها که سیاست امنیتی اجازه نداده را بلوکه نکند.

در ادامه دو مثال این مورد را بیشتر توضیح می دهند. اول فرض کنید سیاست سازمان آن است که از شبکه های خارجی نقطه‌به‌نقطه(Point to Point) استفاده نشود. ساده ترین راه آن است که فایروال به گونه ای پیکربندی شود که پیام‌های خارجی درگاه مربوطه را نپذیرد. با این حال اگر فایروال بهخوبی پیکربندی نشده باشد، ممکن است پیامی حتی اگرچه سیاست امنیتی آن را منع کرده باشد، بپذیرد. بنابراین راهکار مورد نظر برای اجرای سیاست امنیتی شکست می خورد.

دوم فرض کنید دانشگاه یک سایت اینترنتی برای اسنادی که قرار است در دسترس پژوهشگران بیرونی باشند دارد. سیاست امنیتی سیستم آن است که فایل‌های موجود در دایرکتوری‌های کارگزار وب برای اجرای این سیاست پیکربندی شوند. متاسفانه کارگزار یک خطای نرم افزاری دارد که با فرستادن یک URL خاص می توان به هر فایل روی سیستم دسترسی پیدا کرد. در این جا راهکار نه به‌علت پیکربندی نادرست، بلکه به‌علت خطای نرم افزاری شکست می خورد.

تضمین‌های امنیتی تا چه اندازه می‌تواند در افزایش اطمینان خاطر کاربر در کامپیوتر و اینترنت مفید واقع شود؟

اینکه چقدر سیاست‌های امنیتی نیازمندی‌ها را می پوشانند و راهکارها سیاست‌ها را پیاده سازی می کنند، در قلمروی بحث تضمین امنیتی قرار می گیرد. متدولوژی‌های مختلفی برای اندازه گیری تضمین یا اطمینان امنیتی وجود دارند. متدولوژی می تواند به‌عنوان بخشی از فرآیند مهندسی نرم‌افزار باشد، با این حال هیچ متدولوژی نمی تواند به‌طور مطلق امن بودن سیستم را تضمین کند، ولی متدولوژی‌های مختلف درجه های مختلفی از امنیت را فراهم می کنند. روش‌های مختلف ارزیابی میزان تضمین امنیت نه‌تنها به سیستم، بلکه به محیط ارزیابی و فرآیند تولید سیستم نیز بستگی دارند.

تضمین حتی به نیروهای انسانی نیز بستگی دارد. اینکه راهبران فنی چقدر از سیاست امنیتی را درک کرده اند؟ آیا سیاست گذاران افراد را برای پرسش موارد مبهم تشویق می کنند؟ آیا پاسخ‌ها گویا و مفید است؟ و بسیاری موارد دیگر.

این پرسش‌ها اهمیت آموزش افراد متخصص امنیت را یادآور می¬شوند. آموزش خود در دو جایگاه می تواند متجلی شود. این دو جایگاه شامل آموزش دانشگاهی و آموزش حرفه ای می‌شود که هر یک اهداف خاص خود را دارند.

مولفه های امنیت کدامند و چه فایده‌ای دارند؟

به‌طور کلی امنیت سه مولفه دارد: نیازمندی‌ها، سیاست و راهکارها. نیازمندی‌ها اهداف امنیت را تعریف می کنند. آن‌ها به این پرسش که “از امنیت چه انتظاری دارید؟” پاسخ می دهند. سیاست معنای امنیت را تعریف می کند و به پرسش “چه گام‌هایی برای رسیدن به اهداف بالا برمی دارید؟” پاسخ می دهد. راهکارها سیاست را اعمال می کنند. به این پرسش پاسخ می دهند که آن‌ها “از چه ابزارها و روال‌هایی برای اطمینان از طی‌ شدن این گام‌ها استفاده می کنند؟” از یک دید امنیت از دو مقوله امن‌ بودن یا امن نبودن سیستم کار خود را انجام می‌دهد. با این حال ارزیابی امنیت با این روش مفید نیست. به‌طور لی میزان امنیت یک سایت با میزان پوشش دادن نیازمندی‌ها سنجیده می‌‌شود. بنابراین یک سازمان که از قابلیت‌های امنیتی فعال شده بسیاری استفاده می کند، ممکن از سازمان مشابه دیگری که از امکانات امنیتی کمتری استفاده می کند امنیت کمتری داشته باشد.

امنیت در اینترنت و فضاهای مجازی چگونه است و شما چطور می‌توانید تضمین کنید که یک فرد پس از ورود به شبکه اینترنت می‌تواند بدون بروز هرگونه مشکل به فعالیت‌های خود بپردازند؟

در خصوص شبکه‌های اطلاع‌رسانی و به‌خصوص اینترنت مبحث امنیت را می‌توان از دو جنبه مورد بررسی قرار داد که این دو جنبه شامل امنیت سرویس‌دهندگان(Servers Security) و امنیت کاربران(Client Security) می‌شود که در هر دو مورد با تهدیدهای بسیار جدی از سوی مهاجمان و مخربین مواجه هستیم. با توجه به گسترش زمینه‌های گوناگون استفاده از اینترنت به‌خصوص تبادلات بازرگانی و فعالیت‌های اقتصادی و علاقه‌مندی شدید مهاجمان به این نوع از تخریب‌ها، در قدم اول سعی بر آن است تا از نفوذ هکرها به این بخش جلوگیری شود. طی چند ماه اخیر مطالعات فراوانی در مورد سطح امنیت اینترنت شده که نتایج بسیاری از آن‌ها نگرانی کاربران این ابزار ارتباطی مدرن را به‌دنبال داشته است.

متاسفانه این تحقیقات نشان می‌دهد اینترنت آن‌قدرها هم که برخی تصور م‌کنند، ایمن نیست و به هنگام استفاده از آن باید خیلی دقت کرد. البته اگر هم‌چنین گزارش‌هایی منتشر نمی‌شد، نتیجه چندان تفاوتی نمی‌کرد، زیرا بسیاری از کاربران اینترنت خود به‌طور مستقیم بارها و بارها آلوده شدن سیستم‌های رایانه‌ای خود به ویروس‌ها، کرم‌ها، تروجان‌ها و نرم‌افزارهای جاسوسی را تجربه کرده‌اند. همه ما با هرزنامه‌های اینترنتی آشنایی داریم و شاید چندین هزرنامه الکترونیکی از این دست را دریافت کرده باشیم.

حفره‌های امنیتی و اشکالات نرم‌افزارها و سیستم‌عامل‌های مختلفی که به هنگام اتصال به اینترنت مورد استفاده قرار می‌گیرند نیز معمولا از سوی هکرهای حرفه‌ای و ویروس‌نویسان مورد سوءاستفاده قرار می‌گیرد و آنان از این طریق ضمن مطلع ‌شدن از هویت برخی کاربران، خود را به جای آنان جا زده و در فضای مجازی جولان می‌دهند. نقص‌های مذکور که برخی از آن‌ها بسیار جدی هستند همچنین امکان اجرای انواع نرم‌افزارهای مخرب را روی کامپیوترهای شخصی فراهم می‌آورند و چه‌بسا موجب شوند که هکر به اطلاعات شخصی حساسی مانند کلمات عبور، شماره‌های کارت‌های اعتباری و دیگر جزئیات مربوط به حساب‌های بانکی دست یابد.

رویداد امنیتی در فضای سایبر چیست و چگونه رویکرد امنیت لایه‌بندی ‌شده در مقابل تهدیدها و حملات معمول از شبک سایبر محافظت می‌کند؟

برای تامین امنیت روی یک شبکه، یکی از بحرانی‌ترین و خطیرترین مراحل تامین امنیت دسترسی و کنترل تجهیزات شبکه است. تجهیزاتی چون مسیریاب، سوئیچ یا فایروال‌ها که هر کدام از آن‌ها در جایگاه خود اهمیت ویژه‌ای دارد. اهمیت امنیت تجهیزات به دو علت بسیار مهم تلقی می‌شود:

الف – عدم وجود امنیت تجهیزات در شبکه به نفوذگران به شبکه اجازه می‌دهد که‌با دست‌یابی به تجهیزات امکان پیکربندی آن‌ها را به گونه‌ای که تمایل دارند آن سخت‌افزارها عمل کنند داشته باشند. از این طریق هرگونه نفوذ و سرقت اطلاعات و یا هر نوع صدمه دیگری به شبکه، توسط نفوذگر امکان‌پذیر خواهد شد.

ب – برای جلوگیری از خطرهای DoS (Denial of Service) تامین امنیت تجهیزات روی شبکه الزامی است. توسط این حمله‌ها نفوذگران می‌توانند سرویس‌هایی را در شبکه از کار بیندازند که از این طریق در برخی موارد امکان دسترسی به اطلاعات با دور زدن هر یک از فرآیندهای AAA فراهم می‌شود.

هر زمان که به اینترنت متصل می‌شوید و پست الکترونیکی ارسال می‌کنید و یا اطلاعات شخصی خود را در یک وب‌سایت ثبت می‌کنید، آدرس اینترتنی(IP) شما در تمام اینترنت منتشر می‌شود و با این آدرس هر شخصی بلافاصله می‌تواند شروع به هک‌ کردن شما کند. این امر می‌تواند مشکلات عدیده‌ای را برای ما به‌وجود آورد که مهم‌ترین آن‌ها شامل به سرقت رفتن شماره کارت اعتباری و اطلاعات شخصی، خوانده‌ شدن پست الکترونیکی، مستقر شدن یک ویروس یا کرم اینترنتی، پاک‌ شدن اطلاعات از روی کامپیوتر و … شود.

برحسب قوانین موجود اطلاعات اشخاصی که هر مرکز یا سازمانی به آن دسترسی دارند طبقه‌بندی می‌شوند و هر شخص برحسب کار خود به یک سری اطلاعات از پیش تعیین‌ شده دسترسی پیدا می‌کند. حال اگر شخصی سعی به دسترسی به اطلاعات در محدوده‌هایی غیر از محدوده خود کند به این عمل دسترسی غیرمجاز می‌گویند. باید توجه داشته باشیم که هکرها و سارقان اینترنتی از جمله کسانی هستند که معمولا ز دسترسی‌های غیرمجاز استفاده می‌کنند. اصطلاح هکر معمولا به کسانی اطلاق می‌شود که از نفوذ به سیستم و دسترسی به اطلاعات قصد بدی نداشته و صرفا جهت اطلاع از وضعیت امنیتی و اعلان خطر به مدیر سیستم دست به این کار می‌زنند و خود از متخصصان شبکه و کامپیوتر هستند. سارقان الکترونیکی نیز در واقع بیشتر سعی در سرقت و دسترسی به اطلاعات و سوءاستفاده از آن دارند. این اطلاعات می‌تواند خانوادگی، تجاری، سیاسی و یا نظامی باشد. بیشتر این اشخاص اقدام به ربودن رمز عبور کارت‌های اعتباری و شماره‌حساب‌های بانکی اشخاص می‌کنند.

این روزها برخی روزنامه‌نگاران سایبر فکر می‌کنند م با فضاسازی سعی در معرفی اینترنت به مثابه پدیده‌ای ضدامنیتی داریم. مسؤولان سیاست‌گذاری اینترنتی به استراتژی تلفیقی آمریکایی- چینی در حوزه اینترنت معتقد هستند. ایالات متحده در سال 2000 در بیانه استراتژی امنیت ملی در قرن جدید اینترنت را هم به‌عنوان تهدید امنیتی و هم به‌عنوان بزرگ‌ترین فرصت ملی تلقی کرد و چین هم رسما اعلام کرد که به‌دنبال برقراری توازن میان جریان آزاد اطلاعات و صیانت از فرهنگ و ارزش‌های اجتماعی خود است. اگر در اخبار رسانه به جاسوسی سایبر اهمیت داده می‌شود، وجه تهدید امنیتی اینترنت بارز شده است و این به مثابه تهدید نیست.

امنیت شبکه چیست و چگونه تامین می‌شود؟

وقتی بحث امنیت شبکه پیش می‌آید مباحث زیادی قابل طرح و ارایه هستند، موضوعاتی که هر کدام به‌تنهایی می‌توانند جالب، پرمحتوا و قابل درک باشند. اما وقتی صحبت کار عملی به میان می‌آید قضیه پیچیده می‌شود، زیرا ترکیب علم و عمل احتیاج به تجربه دارد و نهایت هدف یک علم هم به‌کار آمدن آن است.

همیشه در امنیت شبکه لایه‌های دفاعی موضوع داغی است که نظرات مختلفی در مورد آن وجود دارد. عده‌ای فایروال را اولین لایه دفاعی می‌دانند، بعضی‌ها Access List را در این زمینه اول می‌دانند و …، اما واقعیت پنهان این است که هیچ کدام از این‌ها نخستین لایه دفاعی نیستند. اولین لایه دفاعی در امنیت شبکه و حتی امنیت فیزیکیPolicy است. بدون این مقوله لیست کنترل، فایروال و هر لایه دیگر بی‌معنی خواهد شد و اگر بدون policy شروع به ایمن کردن شبکه شود، محصول نتیجه‌ای در پی نخواهد داشت.

برای ایمن کردن شبکه‌ها باید پنج مرحله ما باید پنج مرحله بازرسی،‌حفاظت، ردیابی، واکنش و بازتاب مورد توجه قرار گیرد. در طول مسیر از این پنج مرحله عبور می‌کنیم، ضمن اینکه ایمن‌ کردن شبکه به این شکل احتیاج به تیم امنیتی دارد و یک نفر به‌تنهایی نمی‌تواند این فرآیند را طی کند و اگر هم بتواند‌، مدت‌زمان زیادی طول می‌کشد و قانون حداقل زمان ممکن را نقض می‌کند. باید توجه داشت که امروزه امنیت شبکه یک مسئله مهم برای ادارات و شرکت‌های دولتی و سازمان‌های کوچک و بزرگ است. تهدیدهای پیشرفته از سوی تروریست‌های فضای سایبر، کارمندان ناراضی و هکرها رویکردی سیستماتیک را برای امنیت شبکه می‌طلبد. در بسیاری از صنایع، امنیت به شکل پیشرفته یک انتخاب نیست بلکه یک ضرورت است.

متخصصان امنیت شبکه از اصطلاحی با عنوان ضریب عملکرد(work factor) استفاده می‌کنند که مفهومی مهم در پیاده‌سازی امنیت لایه‌بندی است. ضریب عملکرد به‌عنوان میزان تلاش مورد نیاز توسط یک نفوذگر به‌منظور تحت تاثیر قرار دادن یک یا بیشتر از سیستم‌ها و ابزار امنیتی عریف می‌شود که باعث رخنه‌ کردن در شبکه خواهد شد. یک شبکه با ضریب عملکرد بالا به سختی مورد دستبرد قرار می‌گیرد، درحالی ‌که یک شبکه با ضریب عملکرد پایین می‌تواند نسبتا به‌راحتی مختل شود. اگر هکرها تشخیص دهند که شبکه شما ضریب عملکرد بالایی دارد، احتمالا شبکه شما را رها می‌کنند و به سراغ شبکه‌هایی با امنیت پایین‌تر می‌روند و این دقیقا همان چیزی است که شما می‌خواهید