یک سیستم کامپیوتری از چهار عنصر: سخت افزار ، سیستم عامل ، برنامه های کاربردی و کاربران ، تشکیل می گردد.
سخت افزار شامل حافظه ، دستگاههای ورودی ، خروجی و پردازشگر بوده که بعنوان منابع اصلی پردازش اطلاعات ، استفاده می گردند.
برنامه های کاربردی شامل کمپایلرها ، سیستم های بانک اطلاعاتی ، برنامه های تجاری و بازرگانی ، بازی های کامپیوتری و موارد متنوع دیگری بوده که روش بخدمت گرفتن سخت افزار جهت نیل به اهداف از قبل تعریف شده را مشخص می نمایند.
کاربران ، شا مل انسان ، ماشین و دیگر کامپیوترها می باشد .
هر یک از کاربران سعی در حل مشکلات تعریف شده خود از طریق بکارگیری نرم افزارهای کاربردی در محیط سخت افزار می نمایند.
سیستم عامل ، نحوه استفاده از سخت افزار را در ارتباط با برنامه های کاربردی متفاوتی که توسط کاربران گوناگون نوشته و اجراء می گردند ، کنترل و هدایت می نماید.
بمنظور بررسی امنیت در یک سیستم کامپیوتری ، می بایست به تشریح و تبین جایگاه هر یک از عناصر موجود در یک سیستم کامپیوتری پرداخته گردد.
در این راستا ، قصد داریم به بررسی نقش عوامل انسانی دررابطه با امنیت اطلاعات پرداخته و جایگاه هر یک از مولفه های موجود را تبین و تشریح نما ئیم .
اگر ما بهترین سیستم سخت افزاری و یا سیستم عامل را بخدمت بگیریم ولی کاربران و یا عوامل انسانی درگیر در یک سیستم کامپوتری، پارامترهای امنیتی را رعایت ننمایند ، کاری را از پیش نخواهیم برد.
وضعیت فوق مشابه این است که شما بهترین اتومبیل با درجه بالای امنیت را طراحی و یا تهیه نمائید ولی آن را در اختیار افرادی قرار دهید که نسبت به اصول اولیه رانندگی توجیه نباشند ( عدم رعایت اصول ایمنی ) .
ما می بایست به مقوله امنیت اطلاعات در عصر اطلاعات نه بصورت یک کالا و یا محصول بلکه بصورت یک فرآیند نگاه کرده و امنیت را در حد یک محصول خواه نرم افزاری و یا سخت افزاری تنزل ندهیم .هر یک از موارد فوق ، جایگاه خاص خود را با وزن مشخص شده ای دارند و نباید به بهانه پرداختن به امنیت اطلاعات وزن یک پارامتر را بیش از آنچیزی که هست در نظر گرفت و پارامتر دیگری را نادیده گرفته و یا وزن غیر قابل قبولی برای آن مشخص نمائیم .
بهرحال ظهور و عرضه شگفت انگیز تکنولوژی های نو در عصر حاضر ، تهدیدات خاص خود را نیز بدنبال خواهد داشت .
ما چه کار می بایست بکنیم که از تکنولوژی ها استفاده مفیدی را داشته و در عین حال از تهدیدات مستقیم و یا غیر مستقیم آنان نیز مصون بمانیم ؟
قطعا نقش عوامل انسانی که استقاده کنندگان مستقیم این نوع تکنولوژی ها می باشند ، بسیار محسوس و مهم است .
با گسترش اینترنت و استفاده از آن در ابعاد متفاوت ، سازمانها و موسسات با مسائل جدیدی در رابطه با امنیت اطلاعات و تهاجم به شبکه های کامپیوتری مواجه می باشند.
صرفنظر از موفقیت و یا عدم موفقیت مهاجمان و علیرغم آخرین اصلاحات انجام شده در رابطه با تکنولوژی های امنیتی ، عدم وجود دانش و اطلاعات لازم ( سواد عمومی ایمنی ) کاربران شبکه های کامپیوتری و استفاده کنندگان اطلاعات حساس در یک سازمان ، همواره بعنوان مهمترین تهدید امنیتی مطرح و عدم پایبندی و رعایت اصول امنیتی تدوین شده ، می تواند زمینه ایجاد پتانسیل هائی شود که توسط مهاجمین استفاده و باعث بروز مشکل در سازمان گردد.
مهاجمان همواره بدنبال چنین فرصت هائی بوده تا با اتکاء به آنان به اهداف خود نائل گردند.
در برخی حالات اشتباه ما زمینه موفقیت دیگران!
را فراهم می نماید .
اگر سعی نمائیم بر اساس یک روش مناسب درصد بروز اشتباهات خود را کاهش دهیم به همان نسبت نیز شانس موفقیت مهاجمان کاهش پیدا خواهد کرد.
مدیران شبکه ( سیستم ) ، مدیران سازمان و کاربران معمولی جملگی عوامل انسانی در یک سازمان می باشند که حرکت و یا حرکات اشتباه هر یک می تواند پیامدهای منفی در ارتباط با امنیت اطلاعات را بدنبال داشته باشد .
در ادامه به بررسی اشتباهات متداولی خواهیم پرداخت که می تواند توسط سه گروه یاد شده انجام و زمینه بروز یک مشکل امنیتی در رابطه با اطلاعات حساس در یک سازمان را باعث گردد.
2-5 اشتباهات متداول مدیران سیستم
مدیران سیستم ، به افرادی اطلاق می گردد که مسئولیت نگهداری و نظارت بر عملکرد صحیح و عملیاتی سیستم ها و شبکه موجود در یک سازمان را برعهده دارند.در اغلب سازمانها افراد فوق ، مسئولیت امنیت دستگاهها ، ایمن سازی شبکه و تشخیص ضعف های امنیتی موجود در رابطه با اطلاعات حساس را نیز برعهده دارند.
بدیهی است واگذاری مسئولیت های متعدد به یک فرد، افزایش تعداد خطاء و اشتباه را بدنبال خواهد داشت .
فشار عصبی در زمان انجام کار مستمر بر روی چندین موضوع متفاوت و بصورت همزمان ، قطعا احتمال بروز اشتباهات فردی را افزایش خواهد داد.
در ادامه با برخی از خطاهای متداولی که ممکن است توسط مدیران سیستم انجام و سازمان مربوطه را با تهدید امنیتی مواجه سازد ، آشنا خواهیم شد.
1-2-5 عدم وجود یک سیاست امنیتی شخصی
اکثر قریب به اتفاق مدیران سیستم دارای یک سیاست امنیتی شخصی بمنظور انجام فعالیت های مهمی نظیر امنیت فیزیکی سیستم ها ، روش های بهنگام سازی یک نرم افزار و روشی بمنظور بکارگیری patch های جدید در زمان مربوطه نمی باشند .حتی شرکت های بزرگ و شناخته شده به این موضوع اذعان دارند که برخی از سیستم های آنان با همان سرعت که یک باگ و یا اشکال تشخیص و شناسائی می گردد ، توسط patch مربوطه اصلاح نشده است .در برخی حالات ، مدیران سیستم حتی نسبت به آخرین نقاط آسیب پذیرتشخییص داده شده نیز آگاهی بهنگام شده ای را نداشته و قطعا در چنین مواردی انتظار نصب patch مربوطه نیز توقعی بی مورد است .
وجود نقاط آسیب پذیر در شبکه می تواند یک سازمان را در معرض تهدیدات جدی قرار دهد .
اکثر قریب به اتفاق مدیران سیستم دارای یک سیاست امنیتی شخصی بمنظور انجام فعالیت های مهمی نظیر امنیت فیزیکی سیستم ها ، روش های بهنگام سازی یک نرم افزار و روشی بمنظور بکارگیری patch های جدید در زمان مربوطه نمی باشند .حتی شرکت های بزرگ و شناخته شده به این موضوع اذعان دارند که برخی از سیستم های آنان با همان سرعت که یک باگ و یا اشکال تشخیص و شناسائی می گردد ، توسط patch مربوطه اصلاح نشده است .در برخی حالات ، مدیران سیستم حتی نسبت به آخرین نقاط آسیب پذیرتشخییص داده شده نیز آگاهی بهنگام شده ای را نداشته و قطعا" در چنین مواردی انتظار نصب patch مربوطه نیز توقعی بی مورد است .
امنیت فرآیندی است که می بایست بصورت مستمر به آن پرداخته شود و هرگز به اتمام نمی رسد.در این راستا لازم است، بصورت مستمرنسبت به آخرین حملات بهمراه تکنولوژی ها ی مربوطه ، آگاهی لازم کسب و دانش خود را بهنگام نمائیم .اکثر مدیران سیستم ، کارشناسان حرفه ای و خبره امنیتی نمی باشند ، در این رابطه لازم است ، بمنظور افزایش حفاظت و ایمن سازی شبکه ، اطلاعات و دانش مربوطه بصورت مستمر ارتقاء یاید .افرادیکه دارای گواهینامه های خاصی امنیتی و یا دانش و اطلاعات اضافه در رابطه با امنیت اطلاعات می باشند ، همواره یک قدم از کسانی مهارت آنان صرفا" محدود به شبکه است ، جلوتر می باشند .
در ادامه ، پیشنهاداتی بمنظور بهبود وضعیت امنیتی سازمان و افزایش و ارتقاء سطح معلومات مدیران سیستم ، ارائه می گردد : بصورت فیزیکی محل کار و سیستم خود را ایمن سازید .زمینه استفاده از سیستم توسط افرادیکه در محدوده کاری شما فعالیت دارند ، می بایست کاملا" کنترل شده و تحت نظارت باشد .
هر مرتبه که سیستم خود را ترک می کنید ، عملیات logout را فراموش نکنید .در این رابطه می توان یک زمان time out را تنظیم تا در صورت فراموش نمودن عملیات logout ، سیستم قادر به حفاظت خود گردد.
خود را عضو خبرنامه ها ی متفاوت امنیتی کرده تا شما را با آخرین نقاط آسیب پذیر آشنا نمایند.
درحقیقت آنان چشم شما در این معرکه خواهند بود( استفاده مفید از تجارب دیگران ) .
سعی گردد بصورت مستمر از سایت های مرتبط با مسائل امنیتی دیدن تا درزمان مناسب با پیام های هشداردهنده امنیتی در رابطه با نرم افزارهای خارج از رده و یا نرم افزارهای غیر اصلاح شده ( unpatched ) آشنا گردید.
مطالعه آخرین مقالات مرتبط با مسائل امنیتی یکی از مراحل ضروری و مهم در فرآیند خود آموزشی ( فراگیری ) مدیران شبکه است .
بدین ترتیب این اطمینان بوجود خواهد آمد که مدیر مربوطه نسبت به آخرین اطلاعات و مسائل مربوطه امنیتی در کمیته های موجود ، توجیه است .
استفاده از یاداشت ها و مقالات در ارتباط با هر نوع اطلاعات حساس نظیر رمزهای عبور وI هر چیزی که ممکن است زمینه ساز ایجاد یک پتانسیل آسیب پذیر و دستیابی به سیستم مطرح گردد را محدود نمائید.
در صورتیکه از این نوع اطلاعات استفاده می شود، قبل ازترک محل کار ، آنها را از بین ببرید.
افرادیکه دارای سوء نیت بوده در محدوده کاری شما می باشند ، می توانند ازمزایای ضعف های شناخته شده استفاده نمایند، بنابراین ضروری است استفاده از چنین یاداشت هائی محدود و یا بصورت کامل حذف گردد .
2-2-5 اتصال سیستم های فاقد پیکربندی مناسب به اینترنت همزمان با گسترش نیازهای سازمان، سیستم ها و سرویس دهندگان جدیدی بر اساس یک روال معمول به اینترنت متصل می گردند.
قطعا" توسعه سیستم با هدف افزایش بهره وری در یک سازمان دنبال خواهد شد.اکثر اینچنین سیستمهائی بدون تنظیمات امنیتی خاص به اینترنت متصل شده و می تواند زمینه بروز آسیب و حملات اطلاعاتی توسط مهاجمان را باعث گردد ( در بازه زمانی که سیستم از لحاظ امنیتی بدرستی ممیزی نشده باشد ، این امر امکان پذیر خواهد بود).
مدیران سیستم ممکن است به این موضوع استناد نمایند که سیستم جدید بوده و هنوز کسی آن را نمی شناسد و آدرس IP آن شناخته شده نیست ، بنابراین امکان شناسائی و حمله به آن وجود نخواهد داشت .طرز فکر فوق ، یک تهدید برای هر سازمان بشمار می رود .
افراد و یا اسکریپت های پویش اتوماتیک در اینترنت ، بسرعت عملیات یافتن و تخریب این نوع سیستم های آسیب پذیر را دنبال می نمایند.
در این راستا ، شرکت هائی خاصی وجود دارد که موضوع فعالیت آنان شبکه بوده و برای تست سیستم های تولیدی خود بدنبال سیستم های ضعیف و آسیب پذیر می گردند.( سیستم آسیب پذیر ما ابزار تست دیگران خواهد شد).
بهرحال همواره ممکن است افرادی بصورت مخفیانه شبکه سازمان شما را پویش تا در صورت وجود یک نقطه آسیب پذیر، از آن برای اهداف خود استفاده نمایند.
لازم است در این راستا تهدیدات و خطرات را جدی گرفته و پیگری لازم در این خصوص انجام شود.
در این رابطه موارد زیر پیشنهاد می گردد : قبل از اتصال فیزیکی یک کامپیوتر به شبکه ، مجوز امنیتی لازم با توجه به سیاست های تدوین شده امنیتی برای آن صادر گردد ( بررسی سیستم و صدور مجوز اتصال ) کامپیوتر مورد نظر می بایست شامل آخرین نرم افزارهای امنیتی لازم بوده و از پیکربندی صحیح آنان می بایست مطمئن گردید.
در صورتیکه لازم است بر روی سیستم مورد نظر تست های شبکه ای خاصی صورت پذیرد ، سعی گردد امکان دستیابی به سیستم فوق از طریق اینترنت در زمان تست ، بلاک گردد.
سیستمی را که قصد اتصال آن به اینترنت وجود دارد ، نمی بایست شامل اطلاعات حساس سازمان باشد.
سیستم مورد نظر را تحت برنامه های موسوم به Intrusion Detection System قرار داده تا نرم افزارهای فوق بسرعت نقاط آسیب پذیر و ضعف های امنیتی را شناسائی نمایند.
3-2-5 اعتماد بیش از اندازه به ابزارها برنامه های پویش و بررسی نقاط آسیب پذیر،اغلب بمنظور اخذ اطلاعات در رابطه وضعیت جاری امنیتی شبکه استفاده می گردد .
پویشگرهای تشخیص نقاط آسیب پذیر ، اطلاعات مفیدی را در ارتباط با امنیت سیستم نظیر : مجوزهای فایل ، سیاستهای رمز عبور و سایر مسائل موجود، ارائه می نمایند .
بعبارت دیگر پویشگران نقاط آسیب پذیر شبکه ، امکان نگرش از دید یک مهاجم را به مدیریت شبکه خواهند داد.
پویشگرها ی فوق ، عموما" نیمی از مسائل امنیتی مرتبط را به سیستم واگذار نموده و نمی توان به تمامی نتایج بدست آمده توسط آنان بسنده و محور عملیات خود را بر اساس یافته های آنان قرار دهیم .
در این رابطه لازم است متناسب با نوع سیستم عامل نصب شده بر روی سیستم ها از پویشگران متعدد و مختص سیستم عامل مربوطه استفاده گردد( اخذ نتایج مطلوبتر) .
بهرحال استفاده از