امنيت شبكه و تاثير آن بر روي فعاليتهاي يك سازمان
مساله امنيت در سالهاي اخير به صورت بسيار گستردهاي مورد توجه محافل علمي و بخصوص جوامع دانشگاهي قرار گرفته است شايد بتوان گفت كه مطرح شدن بحث معماري امنيت در سالهاي اخير به نحو مطلوبي توانسته است كه مفاهيم گسترده و گوناگون اين حوزه را به صورت مفيد و منطقي دستهبندي نمايد و جايگاه و خاستگاه آنرا مشخص كند با توجه به نو بودن و تازگي اين رشته در دنيا و همچنين گستردگي و عمق مطالب به نظر ميآيد كه تاكنون نسبت به جايگاه مسئله امنيت و نسبت آن با ديگر مباحث فناوري اطلاعات توجه كافي نشده است.
گستره مباحث و پراكندگي كارهاي انجام شده تنها در زمينه امنيت اطلاعات به حدي است كه متاسفانه جز در مواردي خاص آن هم به صورت محدود دانش ريشهاي در كشورمان وجود ندارد.
در اين مقاله كوشش شده است كه مفاهيم اوليه امنيت الكترونيكي و نيازهاي مطرح در اين زمينه تعريف و توصيف شود و جايگاه آن تبيين شود تا علاقهمندان به ديدگاهي جامع دست يابند.
طي پيشرفت روزافزون فناوري الكترونيك ابزارها و روشهاي جديدي در خدمت تبادل اطلاعات قرار گرفته است عليرغم اينكه اين ابزارها و روشهاي جديد خود ملزومات و نيازمنديهاي نوئي به همراه آوردهاند اما با نگاهي صرفا كاركردي، هدف نهائي آنها پاسخگوئي به نيازهاي سنتي ميباشد براي مثال در مورد امضاي ديجيتال در عين اينكه صرف طرح اين مفهوم نيازمنديهاي جديدي را القا ميكند اما هدف اصلي از طرح امضاي ديجيتال رسيدن به مفهوم سنتي امضا و احراز هويت در قالب هميشگي آن است بنابراين به نظر ميرسد كه شناخت نيازمنديهاي فناوري الكترونيك به ويژه بعد امنيتي آن بدون شناخت دقيق نيازهاي اوليه امنيت در تبادل اطلاعات ميسر نباشد. بر اين مبنا در اولين قدم به معرفي نيازمنديهاي اساسي سيستمهاي تبادل اطلاعات الكترونيكي ميپردازيم. تقسيمبنديهاي متنوعي در مورد اهداف بنيادين امنيت الكترونيكي وجود دارد كه كمابيش ناشي از قرائتهاي مختلف از موضوعي واحد است بطوريكه فصل مشترك اين قرائتها بسيار گستردهتر از وجوه تمايزشان است.
جنبههاي مختلف امنيت اطلاعات
كليه مشكلات و راه حلهاي امنيتي را رد سه دسته زير ميتوان طبقهبندي نمود:
الف ـ هر عملي كه امنيت دادهها را به هر شكلي زير سوال ببرد:
نفوذها شامل تمام انواع حملاتي ميشوند كه توسط نفوذگرها و به قصد انجام هر عمل غيرمجاز در ارتباط با دادهها انجام ميگيرند.
نفوذها براساس تغيير دادن يا ندادن داده به دو دسته فعال و غيرفعال تقسيمبندي ميشوند نفوذهاي فعال تمام يا قسمتي از جريان داده را تغيير داده و يا جايگزين ميكنند اين نفوذ شامل چهار نوع است:
Masquerade -1: رفتاري كه براساس آن نفوذگر خود را به جاي فرد يا ماشين ديگري جا ميزند.
Replay -2: دريافت دادهها در ميانه را و فرستادن دوباره آن با هدف دستياري غيرمجاز.
Modification -3: ايجاد تغيير در دادههاي دريافتي غيرمجاز.
Denial of service -4: ايجاد مانع يا جلوگيري كردن از استفاده يا مديريت يك سرويس.
نفوذهاي غيرفعال براي گوش دادن يا monitor كردن يك جريان استفاده ميشوند و تغييري در محتواي داده انجام نميدهند معمولا اين نفوذها مقدمه انجام يك نفوذ فعال هستند.
مكانيزم امنيتي: مكانيزمي كه جهت شناخت و پيشگيري يا درمان يك نفوذ امنيتي طراحي ميشود در واقع هر مكانيزم راه حلي براي نيازها و مشكلات امنيتي است.
مكانيزمهاي امنيت انواع روشها و روالهاي مورد استفاده جهت مقابله با نفوذ و اثرات آنرا بيان ميكنند رمزنگاري اساسيترين و مهمترين اين مكانيزمها است كه در اين مقاله به آن خواهيم پرداخت.
از ديگر مكانيزمها ميتوان به امضاء ديجيتالي و كنترل دسترسي اشاره نمود.
سرويس امنيتي: سرويسي كه جهت ارتقاء وضعيت امنيت دادهها استفاده ميشود.
محقق شدن اين سرويسها با استفاده از يك يا چند مكانيزم امنيتي امكانپذير است. سرويسهاي امنيت را به نوعي ميتوان اهداف كلي بحث امنيت اطلاعات دانست. نظرات مختلفي درباره اهداف و اصول اوليه امنيت اطلاعات وجود دارد البته بايد در نظر داشت كه نقاط اختلاف اين برداشتها تنها در ميزان اهميتي است كه به عناصر مختلف آنها داده شده است وگرنه اساس اين اصول يكسان است.
1ـ محرمانگي: تمام دادههاي ارسالي فقط و فقط توسط كاربر مجاز قابل دسترسي باشد.
2ـ جامعيت: ارسال داده و هر گونه تغيير دادههاي دريافتي در بين مسير مبدا و مقصد توسط كاربر مجاز انجام شده باشد.
3ـ تصديق هويت: هويت طرفين هر ارتباط صحيح و مستند باشد.
4ـ سنديت: عمل ارسال و دريافت و نيز محتواي داده نه توسط فرستنده و نه توسط گيرنده قابل انكار نباشد.
5ـ كنترل دسترسي: توانائي محدود كردن و كنترل كردن دستيابي به ماشينه و نيز دادهها.
6ـ در دسترس بودن: پيشگيري از محدود شدن يا از دست رفتن منابع دادهاي به خصوص در سيستمهاي توزيع شده مثل شبكه.
همانطور كه نصب يك سيستم عامل مانند Windows XP بر روي يك كامپيوتر باعث ايجاد امكان استفاده از منابع و امكانات مختلف آن سيستم خواهد شد نصب سيستم عامل مديريت شبكه مانند Server 2000Windows بر روي يك سرور مركزي باعث ايجاد امكان مديريت و يكپارچگي در آن شبكه و مديريت و استفاده از منابع مشترك آن شبكه خواهد شد.
پس از راهاندازي سختافزاري يك شبكه كامپيوتري در يك سازمان آنچه مورد نياز است نصب و راهاندازي و تنظيم يك سيستم مديريت شبكه ميباشد در اين صورت ميتوان از بستر سختافزاري شبكه استفادههاي فوقالعاده مفيدي در زمينه يكپارچهسازي، مديريت متمركز تمامي كامپيوترهاي شبكه و استفاده مشترك از منابع نمود. با استفاده از يك سيستم مديريت شبكه تمامي كامپيوترهاي يك سازمان بصورت يك سيستم واحد درخواهند آمد و امكان مديريت و حفاظت از آنها از طريق يك كامپيوتر مركزي وجود دارد. به عنوان مثال ميتوان تنظيمات و برنامههاي عمومي و سطوح دسترسي را بدون نياز به مراجعه حضوري به تك تك كامپيوترها از طريق سرور مركزي بر تمامي كامپيوترهاي شبكه اعمال كرد.
گستره مباحث و پراكندگي كارهاي انجام شده تنها در زمينه امنيت اطلاعات به حدي است كه متاسفانه جز در مواردي خاص آن هم به صورت محدود دانش ريشهاي در كشورمان وجود ندارد.
در اين مقاله كوشش شده است كه مفاهيم اوليه امنيت الكترونيكي و نيازهاي مطرح در اين زمينه تعريف و توصيف شود و جايگاه آن تبيين شود تا علاقهمندان به ديدگاهي جامع دست يابند.
طي پيشرفت روزافزون فناوري الكترونيك ابزارها و روشهاي جديدي در خدمت تبادل اطلاعات قرار گرفته است عليرغم اينكه اين ابزارها و روشهاي جديد خود ملزومات و نيازمنديهاي نوئي به همراه آوردهاند اما با نگاهي صرفا كاركردي، هدف نهائي آنها پاسخگوئي به نيازهاي سنتي ميباشد براي مثال در مورد امضاي ديجيتال در عين اينكه صرف طرح اين مفهوم نيازمنديهاي جديدي را القا ميكند اما هدف اصلي از طرح امضاي ديجيتال رسيدن به مفهوم سنتي امضا و احراز هويت در قالب هميشگي آن است بنابراين به نظر ميرسد كه شناخت نيازمنديهاي فناوري الكترونيك به ويژه بعد امنيتي آن بدون شناخت دقيق نيازهاي اوليه امنيت در تبادل اطلاعات ميسر نباشد. بر اين مبنا در اولين قدم به معرفي نيازمنديهاي اساسي سيستمهاي تبادل اطلاعات الكترونيكي ميپردازيم. تقسيمبنديهاي متنوعي در مورد اهداف بنيادين امنيت الكترونيكي وجود دارد كه كمابيش ناشي از قرائتهاي مختلف از موضوعي واحد است بطوريكه فصل مشترك اين قرائتها بسيار گستردهتر از وجوه تمايزشان است.
جنبههاي مختلف امنيت اطلاعات
كليه مشكلات و راه حلهاي امنيتي را رد سه دسته زير ميتوان طبقهبندي نمود:
الف ـ هر عملي كه امنيت دادهها را به هر شكلي زير سوال ببرد:
نفوذها شامل تمام انواع حملاتي ميشوند كه توسط نفوذگرها و به قصد انجام هر عمل غيرمجاز در ارتباط با دادهها انجام ميگيرند.
نفوذها براساس تغيير دادن يا ندادن داده به دو دسته فعال و غيرفعال تقسيمبندي ميشوند نفوذهاي فعال تمام يا قسمتي از جريان داده را تغيير داده و يا جايگزين ميكنند اين نفوذ شامل چهار نوع است:
Masquerade -1: رفتاري كه براساس آن نفوذگر خود را به جاي فرد يا ماشين ديگري جا ميزند.
Replay -2: دريافت دادهها در ميانه را و فرستادن دوباره آن با هدف دستياري غيرمجاز.
Modification -3: ايجاد تغيير در دادههاي دريافتي غيرمجاز.
Denial of service -4: ايجاد مانع يا جلوگيري كردن از استفاده يا مديريت يك سرويس.
نفوذهاي غيرفعال براي گوش دادن يا monitor كردن يك جريان استفاده ميشوند و تغييري در محتواي داده انجام نميدهند معمولا اين نفوذها مقدمه انجام يك نفوذ فعال هستند.
مكانيزم امنيتي: مكانيزمي كه جهت شناخت و پيشگيري يا درمان يك نفوذ امنيتي طراحي ميشود در واقع هر مكانيزم راه حلي براي نيازها و مشكلات امنيتي است.
مكانيزمهاي امنيت انواع روشها و روالهاي مورد استفاده جهت مقابله با نفوذ و اثرات آنرا بيان ميكنند رمزنگاري اساسيترين و مهمترين اين مكانيزمها است كه در اين مقاله به آن خواهيم پرداخت.
از ديگر مكانيزمها ميتوان به امضاء ديجيتالي و كنترل دسترسي اشاره نمود.
سرويس امنيتي: سرويسي كه جهت ارتقاء وضعيت امنيت دادهها استفاده ميشود.
محقق شدن اين سرويسها با استفاده از يك يا چند مكانيزم امنيتي امكانپذير است. سرويسهاي امنيت را به نوعي ميتوان اهداف كلي بحث امنيت اطلاعات دانست. نظرات مختلفي درباره اهداف و اصول اوليه امنيت اطلاعات وجود دارد البته بايد در نظر داشت كه نقاط اختلاف اين برداشتها تنها در ميزان اهميتي است كه به عناصر مختلف آنها داده شده است وگرنه اساس اين اصول يكسان است.
1ـ محرمانگي: تمام دادههاي ارسالي فقط و فقط توسط كاربر مجاز قابل دسترسي باشد.
2ـ جامعيت: ارسال داده و هر گونه تغيير دادههاي دريافتي در بين مسير مبدا و مقصد توسط كاربر مجاز انجام شده باشد.
3ـ تصديق هويت: هويت طرفين هر ارتباط صحيح و مستند باشد.
4ـ سنديت: عمل ارسال و دريافت و نيز محتواي داده نه توسط فرستنده و نه توسط گيرنده قابل انكار نباشد.
5ـ كنترل دسترسي: توانائي محدود كردن و كنترل كردن دستيابي به ماشينه و نيز دادهها.
6ـ در دسترس بودن: پيشگيري از محدود شدن يا از دست رفتن منابع دادهاي به خصوص در سيستمهاي توزيع شده مثل شبكه.
همانطور كه نصب يك سيستم عامل مانند Windows XP بر روي يك كامپيوتر باعث ايجاد امكان استفاده از منابع و امكانات مختلف آن سيستم خواهد شد نصب سيستم عامل مديريت شبكه مانند Server 2000Windows بر روي يك سرور مركزي باعث ايجاد امكان مديريت و يكپارچگي در آن شبكه و مديريت و استفاده از منابع مشترك آن شبكه خواهد شد.
پس از راهاندازي سختافزاري يك شبكه كامپيوتري در يك سازمان آنچه مورد نياز است نصب و راهاندازي و تنظيم يك سيستم مديريت شبكه ميباشد در اين صورت ميتوان از بستر سختافزاري شبكه استفادههاي فوقالعاده مفيدي در زمينه يكپارچهسازي، مديريت متمركز تمامي كامپيوترهاي شبكه و استفاده مشترك از منابع نمود. با استفاده از يك سيستم مديريت شبكه تمامي كامپيوترهاي يك سازمان بصورت يك سيستم واحد درخواهند آمد و امكان مديريت و حفاظت از آنها از طريق يك كامپيوتر مركزي وجود دارد. به عنوان مثال ميتوان تنظيمات و برنامههاي عمومي و سطوح دسترسي را بدون نياز به مراجعه حضوري به تك تك كامپيوترها از طريق سرور مركزي بر تمامي كامپيوترهاي شبكه اعمال كرد.
+ نوشته شده در یکشنبه نوزدهم اردیبهشت ۱۳۸۹ ساعت 20:10 توسط متین
|