مقابله با آسیب‌پذیری‌های امنیت اطلاعاتی

از ویکی‌پدیا، دانشنامهٔ آزاد

امنیت کاربردها برای محدود کردن تهدیدات داخلی در سطوح کاربردی برای یک سازمان بسیار حیاتی است. تقابل میان منافع شخصی و الزامات امنیتی و انجام وظایف سازمانی گاهی سبب عدم کارآمدی و کاهش کارایی در سازمان می‌گردد. با تدوین سیاست امنیتی مناسب و آموزش مداوم به کارکنان می‌توان این تقابل را به حداقل ممکن رسانید.

سند سیاست امنیت کاربردها باید شامل موارد زیر باشد:

  • طبقه‌بندی اطلاعات
  • امن‌سازی اطلاعات
  • امن‌سازی نرم‌افزار
  • امن‌سازی هسته سیستم‌عامل

طبقه‌بندی اطلاعات[ویرایش]

همه اطلاعات مؤسسه را، به منظور ایمن‌سازی اطلاعات یا محدود کردن دسترسی مهاجمین احتمالی، می‌توان در چهار دسته طبقه‌بندی کرد:

  • اطلاعات سری
  • اطلاعات محرمانه
  • اطلاعات داخلی
  • اطلاعات عمومی

دسترسی بدون مجوز داخلی یا خارجی به اطلاعات سری می‌تواند ایجاد بحران کند. حفاظت از صحت اطلاعات سری مقوله‌ای حیاتی است. برای دستیابی به این‌گونه اطلاعات سیاست‌های سخت‌گیرانه‌ای باید وضع شود. مثلاً اطلاعات مربوط به مسائل مالی یا دارایی‌های رقابتی سازمان را می‌توان اطلاعات سری محسوب کرد. اطلاعات پرسنلی، رمزهای عبور، کاستی‌های امنیتی شرکت و غیره اطلاعات محرمانه تلقی می‌گردد. دفترچه تلفن، بولتن‌های داخلی و غیره می‌تواند اطلاعات داخلی تلقی گردد. اطلاعات عمومی هم باید محافظت شوند زیرا در صورت تغییر و مخدوش نمودن این اطلاعات توسط مهاجمین ممکن است سازمان دچار مشکل گردد.

ایمن‌سازی اطلاعات[ویرایش]

برای امن‌سازی هر موجودیت هدف ایجاد سه رکن اساسی امنیت یعنی صحت، محرمانگی و دسترس‌پذیری است بدین منظور امن‌سازی اطلاعات با توجه به این سه رکن دنبال می‌کنیم:

  • رمزنگاری اطلاعات شبکه
  • افزونگی اطلاعات
  • رمزنگاری سخت دیسک
  • تصدیق هویت

رمزنگاری اطلاعات شبکه[ویرایش]

اطلاعاتی که از طریق شبکه داخلی مؤسسه مبادله می‌شوند باید به منظور حفاظت از محرمانگی اطلاعات، رمزنگاری شوند.

افزونگی اطلاعات[ویرایش]

با افزونگی اطلاعات، قابلیت اعتماد و اطمینان‌پذیری سیستم را بالا می‌بریم. سیستم افزونه آرایه‌ای از سخت‌دیسک‌های به هم اتصال یافته‌است که تشکیل RAID داده و تسهیلات زیر را فراهم می‌کنند:

  • نرخ تبادل بالاتر
  • افزایش گنجایش دیسک
  • نرخ ورودی/خروجی بالاتر
  • دسترسی سریع به اطلاعات

ضمناً در این سیستم در صورت بروز خرابی، کپی‌های دیگری از اطلاعات روی سخت دیسک وجود خواهد داشت.

رمزنگاری سخت دیسک[ویرایش]

رمزنگاری سخت دیسک‌ها سبب افزایش صحت و محرمانگی اطلاعات ذخیره شده (استاتیک) خواهد شد.

تصدیق هویت[ویرایش]

یک سیستم تصدیق هویت کارآمد برای دستیابی به سرورها، کامپیوترها، تجهیزات شبکه چون فایروال و روتر و غیره بسیار مهم و حائز اهمیت می‌باشد.

امن‌سازی نرم‌افزار[ویرایش]

اکثر کارکنان یک سازمان با نرم‌افزارها به نوعی سر و کار دارند خیلی از کارکنان با برنامه‌های مختلفی در طول هفته کار می‌کنند به عنوان مثال اکثراً از برنامه Outlook برای چک کردن ای‌میل‌های متعدد خود استفاده می‌نمایند. باید بدانیم که اکثر این برنامه‌ها دارای حفره‌های امنیتی بوده و می‌توانند مسبب آسیب‌های جدی امنیتی شوند با پیشرفت کردن برنامه‌ها و گسترش آن‌ها تأمین امنیت کاربری بسیار پیچیده‌تر و مهم‌تر به نظر می‌رسد بهترین روش برای امن‌سازی نرم‌افزار اولا امن‌سازی در مرحله برنامه‌نویسی است یعنی تولید برنامه‌ها با استفاده از استانداردهای امنیتی و ثانیاً اجرای یک ممیزی امنیتی می‌باشد. اجرای ممیزی بسیار حیاتی است زیرا تجزیه و تحلیل کدهای برنامه برای یافتن مشکلاتی نظیر سرریزی بافر می‌تواند سودمند باشد. به‌علاوه ابزارهایی برای پویش کدهای منبع به منظور تشخیص باگ‌های عمومی می‌تواند مورد استفاده قرار گیرد برنامه‌های مثل RATS, ITS4, Flawfinder و غیره.

امن‌سازی هسته سیستم‌عامل[ویرایش]

بعد از نصب اولیه یک سیستم‌عامل نظیر Windows معمولاً تمهیدات امنیتی بسیار ناکافی است. به منظور امن‌سازی هسته سیستم‌عامل و حصول صحت و محرمانگی اطلاعات باید به موارد زیر توجه کنیم:

  • امنیت مجوزها
  • مدیریت به روز رسانی‌های امنیتی
  • ممیزی و نظارت بر حوادث امنیتی سیستم‌عامل

امنیت مجوزها[ویرایش]

برای دسترسی به فایل‌ها و پوشه‌های موجود در کامپیوتر لازم است تدابیر امنیتی صحیحی را برای دسترسی افراد مختلف در نظر بگیریم. یعنی دسترسی به منابع موجود روی فضای حافظه‌ای کامپیوتر به صورت Full Control، Modify و خواندن و نوشتن باشد در صورتی‌که مجوزهای لازم به‌طور صحیحی تفویض نگردد صحت اطلاعات نقض شده و سازمان دچار صدمه و آسیب خواهد گردید.

مدیریت به روز رسانی‌های امنیتی[ویرایش]

طراحان سیستم‌های عامل معمولاً به صورت روزانه وصله‌های امنیتی و به روزرسانی منتشر کرده که این خود حاکی از وجود ضعف‌ها و حفره‌های امنیتی متعدد در این‌گونه سیستم‌ها می‌باشد. به روزرسانی در صورتی که دارای سیاست تعریف شده‌ای نباشد می‌تواند باعث بروز صدمات جبران‌ناپذیر امنیتی شود. اخطار و آگاه‌سازی: اطلاع به موقع و به هنگام به پرسنل ذیربط به دست آوردن فایل‌های به روزرسانی آزمایش فایلهای به دست آمده و بررسی تأثیرات اجرای آن بر روی یک سیستم به‌طور آزمایشی گسترش و توزیع فایلها و در اختیار افراد ذیربط قراردادن معتبرسازی و آگاهی از اینکه فایل‌های به روزرسانی روی همه کامپیوترها نصب و اجرا شده‌اند

ممیزی و نظارت بر حوادث امنیتی سیستم‌عامل[ویرایش]

از طریق تجزیه و تحلیل و بررسی به موقع فایلهای Log و سایر سیستم‌های هشداردهنده و نظارت‌کننده باید رخدادهای امنیتی و میزان آسیب‌رسانی آن‌ها مورد بررسی و بازبینی قرار گیرد.

مقابله با آسیب‌پذیری‌های امنیت سازمانی[ویرایش]

با یک برنامه مدیریت امنیت اطلاعات کارآمد می‌توان با بسیاری از تهدیدات امنیتی که سازمان‌ها را مورد تهدید قرار می‌دهند مقابله کرد.

برنامه‌ای برای حفاظت از فضای امنیت سازمانی[ویرایش]

برای جلوگیری از مخاطرات یا تشخیص آن‌ها سازمان باید برنامه مشخصی داشته باشد که در این برنامه چگونگی واکنش به موقع و بازیابی به هنگام در صورت موفقیت تهاجمات، مشخص شده باشد.

پیش‌گیری

به منظور پیش‌گیری از مخاطرات موارد زیر باید مدنظر قرار گیرد:

  • طبقه‌بندی اطلاعات
  • تجزیه و تحلیل مخاطرات
  • راهبردهای مقابله
  • حساس کردن و آموزش دادن پرسنل
  • تحقق بخشیدن به ممیزی‌های امنیت داخلی

پیش‌گیری تمام مکانیسم‌ها و سیاست‌هایی را شامل می‌شودبه به منظور محدود کردن دامنه حوادث امنیتی و تهدیدات و مخاطرات به کار می‌رود. با تجزیه و تحلیل ریسک هم می‌توان اثر تهدید و هم احتمال آن را تقلیل داد چنانچه: ریسک = احتمال * اثر یک تهدید امنیتی

آموزش و تعلیم مبانی امنیتی، ویروس‌های کامپیوتری، امن‌سازی شبکه و سیاست‌های امنیتی به اعضاء سازمان اثر بسیار حیاتی در پیش‌گیری از مخاطرات امنیتی می‌تواند داشته باشد.

تشخیص

  • نصب ابزارهای تشخیصی
  • ردگیری و رهگیری اطلاعات
  • معماری هشدارهای نظارتی
  • نصب و راه‌اندازی ابزارهای تشخیص حملات و نفوذ نظیر IDS و NIDS و HIDS برای یک سازمان بسیار حائز اهمیت است
  • همچنین نظارت و کنترل بر رفتارهای کاربران از طریق بررسی فایلهای Log و دریافت هشدارهای لازم و به موقع هنگام آسیب‌های امنیتی باید مورد توجه قرار گیرد.

واکنش

واکنش به موقع در صورت دریافت یک حمله و حادثه امنیتی و مسدود کردن حفره‌های امنیتی باید مورد توجه فراوان قرار گیرد.

باز یابی

داشتن برنامه‌ای برای بازیابی و بازسازی اطلاعات و موجودیت‌ها در صورت تخاصم و حمله نیازمند طراحی سیاست‌های کارآمدی توسط مدیران ارشد سازمان می‌باشد

جستارهای وابسته[ویرایش]

منابع[ویرایش]

Grandvaux, O. (۲۰۰۴) How to design security to prevent internal security threats, Sweden, Royal institute of technology.

Björck, Fredrik J. (۲۰۰۵) Discovering Information Security Management, Stockholm University

SIPONEN, M. T. (2000) Conceptual foundation for organizational information security awareness