بخش مقاله ITiran – جايگاه امنيت در شبكهرايانهاى كجا¬ست؟ آيا واقعاً نياز به امنيت در شبكههاى رايانهاى وجود دارد؟ شبكه رايانهاى بايد در مقابل چه مسائلى امن باشد؟ و يك مدير شبكه چه وقت بايد به امنيت در شبكه رايانهاى خود بيانديشد. در اين مقاله سعى خواهد شد كه به اين سئوالات پاسخ داده شود تا بيشتر با نقش و جايگاه امنيت در شبكه آشنا شويم.
ديرزمانى است كه استفاده گسترده از رايانهها در ارتش و تأسيسات دفاعى، بهكارگيرى قوانين و آييننامههاى ويژهاى را براى حفظ امنيت در سيستم ضرورى ساخته است. يك اصل اساسى در زمينه امنيت سيستمهاى رايانههاى، قرار دادن كل سيستم در محيطى است كه نفوذپذيرى در آن تا حد قابل قبولى كاهش يافته است. افزايش استفاده از سيستمهايى كه اجزاى آنها به طور جغرافيايى گسترده هستند، مشكلات و مسايل جديدى را به ميان آورده است. اين مشكلات با توجه به سيستمهاى حفاظتى مقدماتى قابل پاسخگويى نميباشند.
مشكلات امنيتى سيستمهايى كه منابعشان را در اختيار ديگران ميگذارند، به مثابه بهايى است كه افراد براى بهرهبردارى از اين سيستمها ميپردازند. با اين حال، نگاه به اين مساله از اين ديدگاه، مشكلات و بحثهاى جديدى را به ميان مىآورد، اول اينكه مشكل امنيت به يك نوع رايانه خاص مربوط نميشود. بلكه اين مساله، كل فنآورى رايانه را در بر ميگيرد. دوم اين كه سيستمهايى كه منابعشان را در اختيار ديگران قرار مىدهند، بايد بهگونهاى طراحى شوند كه يك كاربر را از مزاحمت ديگران محافظت نمايند. به عبارت ديگر، موظفند نوعى از محافظت را براى كاربرانى كه خواهان حفظ درست دادهها يا برنامههاى خود هستند، فراهم كنند. بدين ترتيب طراحان و سازندگان چنين سيسمهايى با مشكل اساسى محافظت از اطلاعات روبرو مىباشند. در محافظت از اطلاعات طبقهبندى شده، سطوح مختلفى وجود دارد؛ اما مباحث پايهاى همه سطوح به طور كلى يكسان ميباشد.
راهحلهايى كه سازندگان در نرمافزار و سختافزار طراحى مىكنند، بايد بنا به درخواست ماشينهايى كه در يك محيط ايمن عمل مىكنند، تصحيح و تكميل شود.
در نخستيم گام اين سؤالها مطرح خواهد شد كه هدف امنيت چيست؟ ما بايد امنيت را براى چه فراهم كنيم؟ مگر چيز با ارزشى داريم كه بايد براى آن امنيت فراهم كنيم؟ آيا در سيستم رايانهاى ما اطلاعات با ارزشى وجود دارد؟ در پاسخ به همة اين سؤالها مىتوان گفت، هدف امنيت فراهم نمودن خدمات زير براى منابع با ارزش ما مىباشد:
كنترل دسترسى : منظور كنترل سطوح دسترسى كاربران مىباشد.
تائيد هويت : به رسميت شناختن كاربران
محرمانگى : اطلاعات بايد محرمانه باقى بماند.
صحت دادهها : اطلاعات بايد از هر تغييرى مصون بماند.
غيرانكارى : فرستنده و گيرنده نتوانند ارسال و دريافت اطلاعات را انكار كنند.
اما اين سؤال باقى خواهد ماند كه منابع با ارزش چه چيزهايى هستند؟ هنگامى كه صحبت از امنيت مىشود، در كنار آن منابع با ارزشى وجود دارد كه هدف حفظ اين منابع مىباشد، اين منابع در شبكه رايانهاى يك مؤسسه معتبر عبارتند از:
1) تجهيزات رايانهاى
بديهى است هزينه زيادى صرف تجهيزات رايانهاى و شبكه شده است و چنانچه عاملى از بيرون يا داخل باعث صدمه به اين تجهيزات شود، متضمن هزينه زيادى خواهد بود. (بعنوان مثال ويروس چرنويل به BIOS رايانهها آسيب جدى وارد مىكرد.)
2) اطلاعات رايانهاى
از بين رفتن و يا صدمه ديدن اطلاعات رايانهاى مىتواند به مراتب پرهزينهتر از تجهيزات رايانهاى باشد. اين اطلاعات ممكن است حاصل سالها كار و تلاش يك مؤسسه باشد و جايگزينى آن مىتواند بسيار پر هزينه، وقتگير و يا اصلاً غيرممكن باشد.
3) اسرار مؤسسه
اسرار و رموز كار يك مؤسسه از گرانبهاتين منابع آن مؤسسه است. در اينجا لازم نيست اطلاعات و يا تجهيزاتى از بين برود و يا صدمه ببيند، بلكه كافى است كه اطلاعات گرانبهايى كه جزء رموز مؤسسه محسوب مىشود به دست افراد غير مجاز بيفتد. ضرر و زيانى كه از اين طريق متوجه مؤسسه مىشود مىتواند بسيار زياد باشد. افراد غير مجاز شامل تروريستها، دشمنان برون مرزى و رقباى تجارى نوعاً به دنبال اطلاعاتى از قبيل تعداد كاركنان مؤسسه، نام مديران تصميمگيرنده، ميزان سرمايه در گردش، محل نگهدارى و چگونگى جابجايى كالاهاى ارزشمند مؤسسه و غيره هستند. اين افراد لازم نيست مستقيماً به اطلاعات مورد نظر دست پيدا كنند، بلكه اطلاعات جانبى ظاهراً بىارزش مىتواند به دستيابى آنها به اطلاعات دلخواهشان كمك كند.
4) اعتبار مؤسسه
يك مؤسسه ممكن است بدون آنكه هيچيك از تجهيزات آن آسيبى ديده باشد و هيچ يك از اسرار آن فاش شده باشد محتمل خسارات سنگينى شود. مثلاً اگر افرادى بتوانند به نوعى به صورت غير مجاز وارد سيستم رايانهاى مؤسسه شوند و به نوعى به همگان نشان دهند كه موفق به چنين كارى شدهاند، حتى اگر هيچ خرابكارى هم نكنند، خسارت زيادى به اعتبار مؤسسه وارد مىشود. در اثر آن ممكن است مثلاً برخى از مؤسسات راغب به معامله يا مذاكره با اين مؤسسه نباشند و يا در صورت اهميت مؤسسه در سطح كشور، خسارات اتصادى و يا سياسى متوجه كل كشور گردد. يا مثلاً اگرWeb site مؤسسه مورد حمله و خرابكارى قرار گيرد و خرابكاران بر روى Home page مؤسسه شعارهاى سياسى، ضد دينى، و يا نوشتهها و تصاوير ضد اخلاقى را به معرض نمايش عموم بگذارند، صدمهاى كه به اعتبار مؤسسه وارد مىشود داراى عواقبى غير قابل پيشبينى خواهد بود و بدون ترديد موجب خسارات مادى زيادى نيز مىشود.
5) نيروى انسانى
كاركنان يك مؤسسه از منابع گرانبهاى آن مؤسسه به حساب مىآيند. علاوه بر آن وقت اين كاركنان با توجه به حقوق دريافتى و قابليت توليد آنها ارزشمند است. چنانچه خرابى در سيستم رايانهاى موجب اتلاف وقت كاركنان شد، علاوه بر اينكه اين كاركنان در ازاى دريافت حقوق كار مفيدى انجام نمىدهند، توليد مؤسسه نيز ممكن است تحت تأثير قرار گرفته، موجب خسارات مادى زيادى شود.
6) مسئوليت
براى روشن شدن منظور ما از در نظر گرفتن « مسئوليت» به عنوان يك منبع با ارزش كه بايد حفظ شود به اين مثال توجه كنيد. فرض كنيد فردى به صورت غيرمجاز وارد شبكه رايانهاى مؤسسه «الف» شود و از يكى از رايانههاى اين مؤسسه به عنوان پايگاهى براى آسيب رساندن به رايانههاى مؤسسه «ب» استفاده كند. در اين صورت مؤسسه «الف» بايد در مقابل خسارات وارد شده به مؤسسه «ب» جوابگو باشد. حتى اگر مؤسسه «الف» از نظر قانون مكوم شناخته نشود هزينه و دردسر برخورد با اين مسئله مىتواند قابل توجه باشد.
حال بايد ببينيم چه كسانى ممكن است بخواهند به منابع شما خدشه وارد سازند. اهداف سياسى گروههاى تروريستى، اهداف اقتصادى شركتهاى رقيب، انگيزههاى شخصى جوانان ماجراجو، مقاصد خرابكارانه كشورهاى بيگانه، انتقامجويى كارمندان اخراجى و همچنين سرقت از سوى تبهكاران را مىتوان جزو مهمترين انگيزهها براى حمله به شبكه رايانهاى مؤسسه دانست. آمار در مورد حملات به شبكه رايانهاى هشداردهنده مىباشند. در يك آمارگيرى كه توسط پليس فدرال آمريكا در اسفند 1379 منتشر شد، نشان مىداد كه 85% از 528 مؤسسه مرد آمارگيرى، متوجه شكستن حريم امنيتى سيستمهاى رايانهاى مؤسسه خود شدهاند، تهاجماتى كه به شبكههاى رايانهاى مىشود از سه نوع دستكارى اطلاعات و خرابكارى،دسترسى به اطلاعات محرمانه و ممانعت از كار عادى شبكه يا كامپيوتر مىباشد، خوشبختانه براى جلوگيرى از اين حملات جاى اميدوارى مىباشد، زيرا محققين دانشگاهى در آمريكا تخمين مىزنند كه 99% از تمامى حملات رايانهاى گزارش داده شده ناشى از نقاط ضعف امنيتى سيستمهاى رايانهاى مىباشد و قابل پيشگيرى مىباشد.
با توجه به اهميت امنيت، سئوالى كه مطرح مىشود اين است كه يك مدير شبكه چه وقت بايد به مسئله امنيت در بكه رايانهاى بيانديشد. اشتباهى كه بسيارى از مديران شبكه مىكنند اين است كه ابتدا شبكه را راهاندازى مىكنند و سپس به فكر ايجاد امنيت در آن مىافتند. تجربه نشان داده است كه زمان زيادى طول نمىكشد تا اينكه افرادى از نقاط ضعف سيستم با اطلاع شوند و سوءاستفاده كنند. برخى از مديران شبكه گزارش دادهاند كه تنها پس از چند روز و گاهى چند ساعت، پس از وصلكردن شبكه خود به اينترنت، افراد غيرمجاز موفق به نفوذ و خرابكارى در آن شدهاند.
قبل از وصلكردن شبكه خود به شبكه جهانى اينترنت بايد آن را ازنظر امنيت بررسى كرد و نقاط ضعف آن را شناخت و برطرف نمود. در ضمن ايجاد امنيت در شبكه كارى نيست كه يكبار انجام شود و براى هميشه كار كند، هر روز روشهاى جديدى كشف مىشود كه با استفاده از آن مىتوان به شبكه نفوذ كرد، لذا بسيار اهميت دارد كه اطلاعات مديران شبكه به روز باشد و همواره آخرين تكنيكهاى امنيتى و آخرين نرمافزارهاى تهيه شده در اين زمينه را برروى شبكههاى رايانهاى خود اعمال كنند.
