دانلود مقاله امنیت فیزیکی در مراکز حساس IT

امنیت فیزیکی در مراکز حساس IT

 اشاره : 
برقراری امنیت فیزیکی، یعنی کنترل تردد و دسترسی افراد به تأسیسات و مناطق خاص، نقش حساسی را در نیل به اهداف یک مرکز داده ایفا می‌نماید.

امروزه به‌کارگیری فناوری‌های جدید مانند تعیین هویت با استفاده از ویژگی‌های بیومتریک و مدیریت از راه دور امنیت اطلاعات، در گستره وسیعی به کمک فعالان حوزه امنیت آمده است که نتیجه آن، کنار گذاشتن روش‌های سنتی (کارت و نگهبان) توسط سیستم‌های امنیتی مدرن در داخل و اطراف مراکز داده است.

در این راه و پیش از صرف سرمایه و خرید تجهیزات، مدیران IT باید با تشخیص و تخمین صحیح نیازهای امنیتی سازمان خود، مناسب‌ترین و مقرون به صرفه‌ترین روش حفاظتی را انتخاب نمایند.

این مقاله به صورت اجمالی اصول تشخیص هویت افراد‌ (Personnel Identification) و روش‌های اجرایی آن، عناصر اصلی و شیوه‌های رایج در بحث سیستم‌های امنیتی را بررسی می‌نماید.

نیروی انسانی؛ ریسکی که باید مدیریت شود
زمانی که از امنیت یک مرکز داده صحبت می‌کنیم، اولین چیزی که به ذهن خطور می‌کند، حفاظت در برابر خرابکاری، جاسوسی و دزدی اطلاعات خواهد بود.

نیاز به محافظت در برابر اخلال‌گران و جلوگیری از وارد آمدن آسیب‌های عمدی نیز امری بدیهی به حساب می‌آید.

با این‌حال خطراتی که از جانب فعالیت‌های روزمره کارکنان و کارمندان متوجه یک مرکز داده می‌شود، مخاطرات و آسیب‌های عموماً پنهانی هستند که اغلب تأسیسات اطلاعاتی به طور دائم با آن روبه‌رو هستند.
کارکنان جزو لاینفک یک مرکز داده به حساب می‌آیند.

به طوری که مطالعات نشان می‌دهند، شصت درصد از مواردی که منجر به از کار افتادن یک مرکز داده می‌شود به علت اشتباهات فردی، استفاده نادرست از ابزار و تجهیزات، عدم الصاق برچسب و نصب نوشته‌های راهنما، سقوط اشیا، اشتباه در تایپ فرامین و دیگر موارد پیش‌بینی نشده کوچک و بزرگ اتفاق می‌افتند. 
از آنجایی که حضور کارکنان همواره همراه با اشتباهات اجتناب‌ناپذیر انسانی است، کنترل و ایجاد محدودیت در تردد کارکنان به مناطق حساس، یکی از نکات کلیدی در مقوله مدیریت ریسک است.

این مطلب حتی در زمانی که احتمال حرکات و فعالیت‌های مشکوک ضعیف به نظر می‌رسد نیز به قوت خود باقی است.
فناوری‌های تشخیص هویت با همان سرعتی که تجهیزات، اطلاعات و ارتباطات تغییر می‌کنند، در حال پیشرفت است.

همراه با پدید آمدن تجهیزات و تکنیک‌های جدید نباید این نکته را فراموش نمود که مشکل اصلی‌ای که تمام این تلاش‌ها به خاطر آن صورت می‌گیرند، نه نکته‌ای فنی و نه مسئله‌ای پیچیده است. 
این مشکل به زبان ساده عبارت است از: «دور نگهداشتن افراد غیرمجاز یا بدخواه از محل‌هایی که نباید در آنجا حضور داشته باشند.» اولین قدم، ترسیم نقشه مناطق حساس و تعیین قوانینی برای دسترسی به این مناطق خواهد بود.

اگرچه این‌کار ممکن است به ایجاد یک طرح پیچیده و چندلایه منجر شود، در نهایت کار خیلی دشواری نیست.

مدیران IT عموماً می‌دانند که چه افرادی باید در چه نقاطی حضور داشته باشند.

دشواری کار در قدم دوم نهفته است: تصمیم درباره انتخاب فناوری مناسب برای اجرای طرح.

که هستید و چرا اینجایید؟
پیاده‌سازی فناوری‌های امنیتی ممکن است به نظر عجیب و پیچیده بیاید.

به این اسامی توجه کنید: اثر‌انگشت، اسکن کف دست، اسکنر چشم، کارت‌های هوشمند و شناسایی طرح چهره.

مفاهیم اساسی امنیت از همان زمانی که برای اولین بار انسان اقدام به محافظت از اموال خود نمود تا کنون بدون تغییر باقی مانده است.

این مفاهیم که ساختاری ساده دارند و برای همه ما قابل فهمند، عبارتند از: پاسخی قاطع و روشن به این سؤال که: که هستید و اینجا چه می‌کنید؟

سؤال اول، یعنی «که هستید؟»، بیشترین مشکلات را در طراحی سیستم‌های امنیتی خودکار ایجاد می‌کنند.

فناوری‌های امروزی تلاش می‌کنند با سطوح مختلفی از اطمینان، به طریقی هویت افراد را تعیین نمایند.

وجود تفاوت در میزان دقت هر فناوری، باعث ایجاد تفاوت در هزینه استفاده از آن فناوری می‌گردد. 

برای مثال، استفاده از کارت‌های مغناطیسی، هزینه پایینی به همراه دارد.

اما از سوی دیگر نتیجه آن به هیچ‌وجه قابلیت اطمینان صددرصد را ندارد. زیرا هیچ‌گاه مطمئن نیستید که چه کسی از کارت استفاده می‌نماید.

اسکنر عنبیه چشم گران‌قیمت است، ولی نتیجه قطعی به همراه دارد.

یافتن تعادلی مناسب بین دقت و هزینه، نکته اصلی در طراحی یک سیستم امنیتی به شمارمی‌رود.
سؤال دوم یعنی «اینجا چه می‌کنید؟»، به زبان دیگر به  این معنی است که: «وظیفه شما در این بخش چیست؟» پاسخ به این سؤال می‌تواند به طور تلویحی به همراه احراز هویت فرد مشخص گردد (نام این پرسنل آلیس ویلسون متخصص کابل‌کشی ما است.

وی در زمینه کابل‌ها کار می‌کند.

بگذارید وارد شود) یا این‌که اطلاعات مربوطه به طرق مختلف جمع‌آوری گردند. 
این کار می‌تواند به این شکل انجام شود که اطلاعات مرتبط با «هویت» و «دلیل» حضور شخص در یک ناحیه حفاظت شده با یکدیگر ترکیب شوند و برای مثال در یک کارت مغناطیسی ذخیره گردند.

در چنین حالتی هویت یک فرد می‌تواند از طریق فرا‌خواندن اطلاعات موجود روی یک رایانه با دسترسی مجاز تأیید شود. 
البته برای این بخش می‌توان از روش‌های دسترسی متفاوتی نیز استفاده نمود؛ روش‌هایی که بر پایه حضور با اهداف مختلف طراحی گردیده‌اند.

گاهی سؤال دوم، یعنی دلیل حضور، تنها سؤال مهم است و پاسخ به سؤال اول اهمیتی ندارد.

مثال مناسب برای این حالات، کارکنان بخش تعمیرات و نظافت هستند.

اما از سوی دیگر نتیجه آن به هیچ‌وجه قابلیت اطمینان صددرصد را ندارد.

زیرا هیچ‌گاه مطمئن نیستید که چه کسی از کارت استفاده می‌نماید.

یافتن تعادلی مناسب بین دقت و هزینه، نکته اصلی در طراحی یک سیستم امنیتی به شمارمی‌رود.

سؤال دوم یعنی «اینجا چه می‌کنید؟»، به زبان دیگر به این معنی است که: «وظیفه شما در این بخش چیست؟» پاسخ به این سؤال می‌تواند به طور تلویحی به همراه احراز هویت فرد مشخص گردد (نام این پرسنل آلیس ویلسون متخصص کابل‌کشی ما است.

بگذارید وارد شود) یا این‌که اطلاعات مربوطه به طرق مختلف جمع‌آوری گردند.

این کار می‌تواند به این شکل انجام شود که اطلاعات مرتبط با «هویت» و «دلیل» حضور شخص در یک ناحیه حفاظت شده با یکدیگر ترکیب شوند و برای مثال در یک کارت مغناطیسی ذخیره گردند.

در چنین حالتی هویت یک فرد می‌تواند از طریق فرا‌خواندن اطلاعات موجود روی یک رایانه با دسترسی مجاز تأیید شود.

البته برای این بخش می‌توان از روش‌های دسترسی متفاوتی نیز استفاده نمود؛ روش‌هایی که بر پایه حضور با اهداف مختلف طراحی گردیده‌اند.

مثال مناسب برای این حالات، کارکنان بخش تعمیرات و نظافت هستند.

ترکیب تخصص‌ها برای یافتن راه‌حل‌ مدیران فعال در حوزه IT به خوبی با «چه کسی و چرا»های مسائل امنیتی آشنایی دارند.

اما ممکن است در خصوص جزئیات یک روش خاص یا یک تکنیک مناسب برای پیاده‌سازی آن‌ها، بینش و بصیرت کافی نداشته باشند یا ساده‌تر این‌که، اصولاً به چنین شناختی احتیاجی نداشته باشند.

در عوض، مدیران IT با آگاهی از نقشه حفاظتی محدودیت‌های ناشی از بودجه و شناخت خطرات و تهدیدات موجود، مسائلی که سازمان آنان در موارد امنیتی با آن‌ها دست به گریبان است را به خوبی می‌فهمند.

از سوی دیگر، شاید مشاوران فعال در زمینه سیستم‌های امنیتی با جزئیات ریز و ظریف سازمان آشنایی نداشته باشند.

اما با شناخت ظرفیت‌ها، موانع و هزینه‌های روش‌های جدید، کمک خوبی برای مدیران محسوب می‌گردند.

مشاوران معمولاً تجارب خوبی در دیگر زمینه‌های طراحی سیستم‌های امنیتی دارند و به همین خاطر قادرند برای هرچه واضح‌تر شدن مسئله سؤالات خوبی را در کنار دو سؤال اصلی «چه کسی و چرا؟» مطرح سازند.

بدین شکل و با استفاده از تلفیق تخصص‌ها، طراحی سیستم امنیتی با برقراری تعادل مناسب بین ملزومات، میزان خطرپذیری، روش‌های در دسترس و محدودیت‌های مالی صورت خواهد پذیرفت.

شناسایی مشکل‌ ‌‌ مناطق محافظت شده: چه چیزی نیازمند محافظت است؟

اولین قدم در پیاده‌سازی طرح حفاظتی یک تأسیسات، تهیه نقشه‌ای از اماکن فیزیکی، شناسایی نواحی و نقاط ورودی است.

در این نقشه باید کلیه نواحی از لحاظ سطوح امنیتی و همچنین قواعد دسترسی مشخص و دسته‌بندی گردند.

جانمایی مناطق ذیل می‌تواند به صورت نواحی هم‌مرکز طراحی گردد: - محدوده بنا - محدوده ساختمان - بخش کامپیوتر - اتاق سرورها - رک حاوی تجهیزات‌ به همین شکل نواحی زیر نیز می‌توانند به صورت مجاور با یکدیگر در نظر گرفته شوند: - بخش ملاقات کنندگان‌ - دفاتر - انبار، سرویس‌ها و تأسیسات‌ در مناطق هم‌مرکز می‌توان از روش‌های دسترسی متفاوت یا افزاینده استفاده نمود.

در صورتی که از روش امنیتی افزاینده استفاده شود، با نزدیک‌تر شدن به ناحیه مرکزی بر شدت و میزان توجه و محافظت افزوده خواهد شد.

حُسن این روش در این است که برای دسترسی به مناطق داخلی، علاوه بر قوانین امنیتی مربوط به آن ناحیه، قوانین مربوط به نواحی بیرونی و لایه‌های خارجی نیز ناظر بر تردد افراد خواهند بود.

علاوه بر آن، هر گونه نفوذ به یک ناحیه بیرونی، توسط لایه حفاظتی بعدی خنثی خواهد شد.

Rack-Level Security: در قلب لایه‌های امنیتی «رک» قرار دارد.

قفل‌های مخصوص رک که به طور ویژه برای این محفظه‌ها ساخته شده‌اند، هنوز کاملاً عمومیت نیافته‌اند.

اما در صورت رواج، به عنوان آخرین سد دفاعی در برابر دسترسی‌های غیر مجاز در تجهیزات حساس به کار گرفته خواهند شد.

اتاقی را در نظر بگیرید که در دور تا دور آن رک‌های حاوی سرور قرار دارند.

در چنین اتاقی بسیار بعید به نظر می‌رسد که تمامی افراد حاضر در اتاق به دسترسی به تمام رک‌ها نیاز داشته باشند.

استفاده از قفل رک این اطمینان را به وجود خواهد آورد که کارکنان سرورها به رک سرورها، کارکنان مخابرات به رک تجهیزات مخابراتی و به همین شکل هر فردی به رک مربوط به کار خود دسترسی داشته باشد.

«قفل‌های رک قابل مدیریت» این قابلیت را دارند که از راه دور پیکربندی شوند تا تنها در زمان نیاز و برای افراد مشخص دسترسی به رک را امکان‌پذیر سازند.

با استفاده از این قفل‌ها خطرات ناشی از حوادث، خرابکاری یا نصب غیرمجاز تجهیزات اضافه (که خطراتی از قبیل افزایش مصرف برق و درجه حرارت داخلی رک را به دنبال دارد) به حداقل خواهد رسید.

Infrastructure Security: توجه به این نکته ضروری است که در تهیه نقشه‌های امنیتی، علاوه بر نواحی دربرگیرنده تجهیزات عملیاتی IT، به نواحی شامل المان‌های زیرساختی فیزیکی نیز توجه شود.

زیرا تهدید این المان‌ها می‌تواند موجب از کار افتادن کل سیستم و در نتیجه بروز Downtime گردد.

برای مثال، تجهیزات HVAC (برق فشار قوی) می‌توانند عمداً یا سهواً خاموش شوند، ژنراتوری که باتری‌ها را شارژ می‌کند احتمال دارد به سرقت برود یا کنسول مدیریت هوشمند سیستم احتمالا‌ً به اشتباه سیستم اطفای حریق را فعال سازد.

ضوابط دسترسی: چه کسی؟

کجا؟

اجازه دسترسی یک فرد به یک ناحیه حفاظت شده، به عوامل گوناگونی بستگی دارد.

در کنار عواملِ مرسومِ «هویت» و «هدف حضور»، سه عامل مهم‌تر (عوامل دیگری نیز می‌توانند تأثیرگذار باشند) عبارتند از: هویت شخصی: پرسنل مشخصی که در یک سازمان مشغول کارند، باید به بخش‌های مرتبط با وظیفه آن‌ها دسترسی داشته باشند.

برای نمونه، مدیر امنیت یک شرکت باید به اکثر بخش‌های ساختمان دسترسی داشته باشد.

اما دلیلی وجود ندارد که همین شخص به اطلاعات مشتریان در بانک اطلاعات شرکت دسترسی داشته باشد.

ممکن است مسئول IT یک شرکت به اتاق‌های کامپیوتر و سیستم‌عامل‌های نصب شده روی آن‌ها دسترسی داشته باشد.

اما همین شخص اجازه ورود به بخش تأسیسات و تجهیزات ولتاژ قوی ساختمان را نخواهد داشت.

یا مدیرعامل شرکتی را در نظر بگیرید که باید به دفتر مدیر حراست، بخش IT و بخش‌های عمومی شرکت دسترسی داشته باشد.

اما دلیلی وجود ندارد اجازه دستیابی به اتاق سرور یا بخش تأسیسات را داشته باشد.

مجوز حضور: ممکن است یکی از پرسنل بخش تعمیرات (صرف‌نظر از نام و مشخصاتش) تنها به قسمت تأسیسات و نواحی عمومی دسترسی داشته باشد.

از سوی دیگر، ممکن است مجوز دسترسی یک کارگر بخش خدمات که وظایف محوله وی معمولاً به طور روزانه تغییر می‌کند، فقط برای دسترسی به قسمت‌های عمومی و مشترک اعتبار داشته باشد.

یک متخصص سوییچ‌های شبکه تنها اجازه دسترسی به رک‌هایی را دارد که حاوی این سوییچ‌ها هستند، نه رک‌هایی که سرورها و دیگر ابزار ذخیره‌سازی در آن‌ها جای داده ‌شده‌اند.

در یک مرکز که سرورهای میزبان وب در آن قرار دارند، امکان دارد کارمند بخش «پشتیبانی از سیستم‌های کلاینت» فقط اجازه ورود به اتاق کلاینت‌ها (یعنی جایی که برای انجام وظایف مدیریتی، از آنجا به وسیله کلاینت به سرورها متصل می‌شوند) را داشته باشد.

اطلاعات مجاز: اجازه دستیابی به قسمت‌های فوق‌العاده حساس تنها به برخی افراد خاص و برای اهداف خاص داده می‌شود.

البته افرادی که «باید» به اطلاعات مربوطه دسترسی داشته باشند، این دسترسی تا هنگام «نیاز» برای آن‌ها مهیا خواهد بود.

استفاده از فناوری‌ روش‌های احراز هویت: «قابلیت اطمینان» در «برابر هزینه روش‌های شناسایی افراد به سه بخش عمده تقسیم می‌شوند.

این سه بخش از نظر قابلیت اطمینان و البته میزان هزینه به ترتیب صعودی عبارتند از: -‌ چه به همراه دارید؟

-‌ چه می‌دانید؟

-‌ چه کسی هستید؟

چه به همراه دارید؟: ضعیف‌ترین قابلیت اطمینان (امکان استفاده به صورت اشتراکی و امکان به سرقت رفتن) این بخش