برای تعریف سیاستهای امنیتی اجازه دهید نقل قولی داشته باشیم از GIAC Security .
"یک سیاست امنیتی انجام اعمالی است که باید صورت بگیرد تا بتوان از اطلاعات ذخیره شده در کامپیوتر محافظت کرد"
یک سیاست امنیتی موثر باعث ایجاد امنیت نسبی برای کاربران می شود و به کاربران اجازه می دهد تا بتوانند بدون ترس کارهای خود را انجام دهند .
یک سیاست امنیتی چیزی جز یک استراتژی برای نگهداری اطلاعات و منابع شبکه نیست. با داشتن یک سیاست امنیتی خوب که بتواند موارد زیر را پوشش دهد می توانید در کمترین زمان ممکن عکس العمل انجام دهید.
١-برآورد ریسک
٢-سیاستهای کلمه عبور
٣-مسئولیتهای سوپر یوزری (Administrator)
٤-مسئولیتهای کاربری
٥-سیاستهای ایمیل
٦-سیاستهای اینترنتی
٧-سیاستهای پشتیبان گیری
٨-سیاستهای کشف مزاحمت
اما صرفنظر از اینکه شما به یک شبکه LAN متصل هستید یا در یک شبکه WAN حضور دارید وجود سیاستهای امنیتی برای شما یک اصل ضروری است. حالا می خواهیم مختصری به مطالب ارائه شده در بالا بپردازیم.
١- برآورد ریسک :
برآورد ریسک چیزی است که شما قبل از پیاده سازی طرح شبکه تان به آن نیاز دارید. این برآورد به شما کمک می کند تا بتوانید یک خط مشی خوب برای امنیت شبکه تان ایجاد کنید. بوسیله این ارزیابی می توانید برای سوالات مختلفی که در رابطه با امنیت شبکه تان پیش می آید ، جوابی پیدا کنید. سوالاتی از قبیل : برای ایجاد امنیت به چه چیزهایی احتیاج داریم ، با چه خطراتی ممکن است مواجه باشیم ، برای ایجاد امنیت چقدر می توانیم هزینه صرف کنیم و ...
٢- سیاستهای کلمه عبور
سیاستهای کلمه عبور یکی از مسائل مهم امنیت شبکه است. یکی از مطالبی که کاربران همیشه باید مد نظر قرار دهند محرمانه نگهداشتن کلمات عبور خود است. بطور معمول اکثر کاربران عادی عادت دارند پسوردشان را روی تقویم رومیزی بنویسند یا آنرا زیر صفحه کلید بچسبانند ...!؟
چرا ؟ چون که هیچ سیاستی برای نگهداری از پسوردها تعیین نشده. نیازی نیست که این نکته را یادآور شویم که چه اتفاقی خواهد افتاد اگر که یک کاربر غیر مجاز بتواند به صرف داشتن یک پسورد به منابع شبکه دسترسی داشته باشد. بنابراین وجود یک سیاست امنیتی حساب شده برای پسوردها امری ضروری است بگونه ای که هم جنبه های مدیریتی و هم جنبه های کاربری در آن حفظ شود. برای همین توجه شما را به نکات زیر معطوف می کنیم :
١-کلمات عبور نباید شامل لغات موجود در دیکشنری باشد
٢-حتی الامکان اسم شخص یا چیزی نباشد (چون معمولا اسم اشیا در دیکشنری وجود دارد)
٣-نام مکان خاصی نباشد
٤-ترکیب مشخصی از کلمات روی کیبرد نباشد
٥-شماره تلفن نباشد
٦-نباید ترکیبی از موارد بالا بعلاوه یک حرف یا رقم باشد (مثل ali١٢٣ )
٣- مسئولیتهای کاربر ادمین :
مسئولیتهای یک مدیر بسیار زیاد است که در این مقاله به بخشی از آنها اشاره می شود. یکی از مسئولیتهایی که غالبا به دست فراموشی سپرده می شود این است که بسیاری از ابزارها مثل روترها ، سوئیچ ها ، سیستم عاملها دارای نامهای کاربری پیش فرض با پسورد معین است . این وظیفه مدیر شبکه است که این نامهای کاربری را غیر فعال کرده یا پسوردشان را با یک پسورد مناسب تغییر دهد. اگر یک هکر به روشی از روشهای موجود بتواند از نوع سخت افزارهای استفاده شده در شبکه شما مطلع شود ، براحتی می تواند تنظیمات سخت افزارهای شما را به نحوی تغییر دهد که راه را برای ورود بی دردسر خود مهیا سازد.
٤- مسئولیتهای کاربران :
اولین مسئولیتی که بر عهده کاربران است این است که سیاستهای امنیتی محیط پیرامون خود را بیاموزند. این بدین معنی است که باید باید یک برنامه آموزشی مناسب برای تمامی کاربران تازه وارد و قدیمی تهیه کرد. این آموزش می تواند به روشهای زیادی پیاده سازی شود. بعضی از شرکتها با انتشار خبرنامه ها ، بعضی دیگر از CBT ها و عده ای هم از اضافه کردن پیامها به ایمیل افراد این کار را انجام می دهند.
٥- سیاستهای کنترل ایمیل :
امروزه موضوعی که باعث نگرانی اغلب شرکتها شده است ، ضمیمه مخرب بعضی از ایمیل هاست. اگر شما لزومی برای تعریف سیاستهای ایمیل نمی بینید اجازه دهید تا فقط ٣ گونه از این میلها را نام ببرم.
ملیسا ، I love you و ANNAKOURNIKOVA نمونه هایی از این ضمیمه های خطرناک است که به همراه یک ایمیل می تواند شبکه ای را ویران کنند.
در اینجا قطعه کوچکی از گزارش گروه امنیتی CERT را در مورد ویروس I love you می خوانیم :
" کرم Love Letter یک کد مخرب Vbscript است که به گونه های مختلفی شیوع پیدا می کند. د رتاریخ ٨ می سال ٢٠٠٠ CERT/CC یا همان CERT Cordination Center گزارشیهایی از ٦٥٠ سایت مختلف دریافت کردند که این گزارشها حاکی از آلوده شدن پانصد هزار کامپیوتر در شبکه اینترنت بود. علاوه بر این خسارات ، شبکه ها متحمل ترافیک سنگینی شدند که توسط این کرم روی شبکه تولید می شد که برای اطلاعات بیشتر میتوانید به آدرس www.cert.org/summaries/CS-٢٠٠٠-٠٢.html مراجعه کنید "
٦-- سیاستهای اینترنتی :
اینترنت مجموعه شگفت آوری از اطلاعات است که تنها با چند کلیک ساده می توان به این اطلاعات دسترسی پیدا کرد که از میان این اطلاعات ، ممکن است بعضی از آنها حاوی مطالب غیر اخلاقی باشد. لذا شما صریحا محتاج به یک سیاست مخصوص برای استفاده از اینترنت می باشد. اگر شما در شبکه خود از فایروال استفاده می کنید ، با استفاده از فیلترینگ به راحتی می توانید سیاستهای خود را پیاده سازی نمایید .
٧-پشتیبان گیری و احیای اطلاعات :
هنگامی که شما ریسکها را ارزیابی می کنید براحتی می توانید تشخیص دهید که کدام اطلاعات برای شما حیاتی هستند. نیازی نیست که وقت و سرمایه تان را برای چیزی صرف کنید که ارزش خاصی ندارد. پشتیبان گیری به دلایل زیر عمل مهمی است :
١-هنگامی که سیستم ها Crash می کنند اطلاعات خود را از دست می دهند
٢-هنگامی که داده ها توسط ویروسها تخریب می شوند
٣-هنگامی که کامپیوتر شما به سرقت می رود
٤-هنگامی که هکر ها اطلاعات شما را تخریب یا دستکاری می کنند
٥-هنگامی که کاربری بطور اتفاقی اطلاعات را پاک می کنند
٦-هنگام بروز حوادث طبیعی مانند آتش سوزی ، سیل و ...
به دلایل فوق شما باید یک سیاست مدون برای پشتیبان گیری از اطلاعات خود تعیین کنید . در این سیاست بایستی موارد زیر را مد نظر قرار دهید :
١-برنامه پشتیبان گیری چه زمانی باید اجرا شود و هر چند وقت یکبار اجرا شود
٢-چه نوع پشتیبانی باید گرفته شود (کامل ، تفاضلی ، افزایشی ، ترکیبی )
٣-از چه رسانه ای برای ذخیره سازی اطلاعات باید استفاده شود (CD یا Tape یا...)
٨- سیاستهای سیستم های کشف مزاحمت :
بسیاری از شرکتهای وجود دارند که IDS های تجاری تولید می کنند و شما توسط آنها می توانید امنیت شبکه خود را تضمین کنید. فقط به هنگام انتخاب IDS باید دقت داشته باشید که سیستم کشف مزاحمت بتواند خواسته های شما را برآورده سازد. یکی از نکاتی که باید هنگام انتخاب در نظر داشته باشید نوع IDS ای است که انتخاب میکنید (IDS معمولی تمام ترافیک را تحت کنترل دارد ولی IDS های Host Base مستقیما بر روی سیستمی نصب میشوند که می خواهند اطلاعاتش را مونیتور کنند)
"یک سیاست امنیتی انجام اعمالی است که باید صورت بگیرد تا بتوان از اطلاعات ذخیره شده در کامپیوتر محافظت کرد"
یک سیاست امنیتی موثر باعث ایجاد امنیت نسبی برای کاربران می شود و به کاربران اجازه می دهد تا بتوانند بدون ترس کارهای خود را انجام دهند .
یک سیاست امنیتی چیزی جز یک استراتژی برای نگهداری اطلاعات و منابع شبکه نیست. با داشتن یک سیاست امنیتی خوب که بتواند موارد زیر را پوشش دهد می توانید در کمترین زمان ممکن عکس العمل انجام دهید.
١-برآورد ریسک
٢-سیاستهای کلمه عبور
٣-مسئولیتهای سوپر یوزری (Administrator)
٤-مسئولیتهای کاربری
٥-سیاستهای ایمیل
٦-سیاستهای اینترنتی
٧-سیاستهای پشتیبان گیری
٨-سیاستهای کشف مزاحمت
اما صرفنظر از اینکه شما به یک شبکه LAN متصل هستید یا در یک شبکه WAN حضور دارید وجود سیاستهای امنیتی برای شما یک اصل ضروری است. حالا می خواهیم مختصری به مطالب ارائه شده در بالا بپردازیم.
١- برآورد ریسک :
برآورد ریسک چیزی است که شما قبل از پیاده سازی طرح شبکه تان به آن نیاز دارید. این برآورد به شما کمک می کند تا بتوانید یک خط مشی خوب برای امنیت شبکه تان ایجاد کنید. بوسیله این ارزیابی می توانید برای سوالات مختلفی که در رابطه با امنیت شبکه تان پیش می آید ، جوابی پیدا کنید. سوالاتی از قبیل : برای ایجاد امنیت به چه چیزهایی احتیاج داریم ، با چه خطراتی ممکن است مواجه باشیم ، برای ایجاد امنیت چقدر می توانیم هزینه صرف کنیم و ...
٢- سیاستهای کلمه عبور
سیاستهای کلمه عبور یکی از مسائل مهم امنیت شبکه است. یکی از مطالبی که کاربران همیشه باید مد نظر قرار دهند محرمانه نگهداشتن کلمات عبور خود است. بطور معمول اکثر کاربران عادی عادت دارند پسوردشان را روی تقویم رومیزی بنویسند یا آنرا زیر صفحه کلید بچسبانند ...!؟
چرا ؟ چون که هیچ سیاستی برای نگهداری از پسوردها تعیین نشده. نیازی نیست که این نکته را یادآور شویم که چه اتفاقی خواهد افتاد اگر که یک کاربر غیر مجاز بتواند به صرف داشتن یک پسورد به منابع شبکه دسترسی داشته باشد. بنابراین وجود یک سیاست امنیتی حساب شده برای پسوردها امری ضروری است بگونه ای که هم جنبه های مدیریتی و هم جنبه های کاربری در آن حفظ شود. برای همین توجه شما را به نکات زیر معطوف می کنیم :
١-کلمات عبور نباید شامل لغات موجود در دیکشنری باشد
٢-حتی الامکان اسم شخص یا چیزی نباشد (چون معمولا اسم اشیا در دیکشنری وجود دارد)
٣-نام مکان خاصی نباشد
٤-ترکیب مشخصی از کلمات روی کیبرد نباشد
٥-شماره تلفن نباشد
٦-نباید ترکیبی از موارد بالا بعلاوه یک حرف یا رقم باشد (مثل ali١٢٣ )
٣- مسئولیتهای کاربر ادمین :
مسئولیتهای یک مدیر بسیار زیاد است که در این مقاله به بخشی از آنها اشاره می شود. یکی از مسئولیتهایی که غالبا به دست فراموشی سپرده می شود این است که بسیاری از ابزارها مثل روترها ، سوئیچ ها ، سیستم عاملها دارای نامهای کاربری پیش فرض با پسورد معین است . این وظیفه مدیر شبکه است که این نامهای کاربری را غیر فعال کرده یا پسوردشان را با یک پسورد مناسب تغییر دهد. اگر یک هکر به روشی از روشهای موجود بتواند از نوع سخت افزارهای استفاده شده در شبکه شما مطلع شود ، براحتی می تواند تنظیمات سخت افزارهای شما را به نحوی تغییر دهد که راه را برای ورود بی دردسر خود مهیا سازد.
٤- مسئولیتهای کاربران :
اولین مسئولیتی که بر عهده کاربران است این است که سیاستهای امنیتی محیط پیرامون خود را بیاموزند. این بدین معنی است که باید باید یک برنامه آموزشی مناسب برای تمامی کاربران تازه وارد و قدیمی تهیه کرد. این آموزش می تواند به روشهای زیادی پیاده سازی شود. بعضی از شرکتها با انتشار خبرنامه ها ، بعضی دیگر از CBT ها و عده ای هم از اضافه کردن پیامها به ایمیل افراد این کار را انجام می دهند.
٥- سیاستهای کنترل ایمیل :
امروزه موضوعی که باعث نگرانی اغلب شرکتها شده است ، ضمیمه مخرب بعضی از ایمیل هاست. اگر شما لزومی برای تعریف سیاستهای ایمیل نمی بینید اجازه دهید تا فقط ٣ گونه از این میلها را نام ببرم.
ملیسا ، I love you و ANNAKOURNIKOVA نمونه هایی از این ضمیمه های خطرناک است که به همراه یک ایمیل می تواند شبکه ای را ویران کنند.
در اینجا قطعه کوچکی از گزارش گروه امنیتی CERT را در مورد ویروس I love you می خوانیم :
" کرم Love Letter یک کد مخرب Vbscript است که به گونه های مختلفی شیوع پیدا می کند. د رتاریخ ٨ می سال ٢٠٠٠ CERT/CC یا همان CERT Cordination Center گزارشیهایی از ٦٥٠ سایت مختلف دریافت کردند که این گزارشها حاکی از آلوده شدن پانصد هزار کامپیوتر در شبکه اینترنت بود. علاوه بر این خسارات ، شبکه ها متحمل ترافیک سنگینی شدند که توسط این کرم روی شبکه تولید می شد که برای اطلاعات بیشتر میتوانید به آدرس www.cert.org/summaries/CS-٢٠٠٠-٠٢.html مراجعه کنید "
٦-- سیاستهای اینترنتی :
اینترنت مجموعه شگفت آوری از اطلاعات است که تنها با چند کلیک ساده می توان به این اطلاعات دسترسی پیدا کرد که از میان این اطلاعات ، ممکن است بعضی از آنها حاوی مطالب غیر اخلاقی باشد. لذا شما صریحا محتاج به یک سیاست مخصوص برای استفاده از اینترنت می باشد. اگر شما در شبکه خود از فایروال استفاده می کنید ، با استفاده از فیلترینگ به راحتی می توانید سیاستهای خود را پیاده سازی نمایید .
٧-پشتیبان گیری و احیای اطلاعات :
هنگامی که شما ریسکها را ارزیابی می کنید براحتی می توانید تشخیص دهید که کدام اطلاعات برای شما حیاتی هستند. نیازی نیست که وقت و سرمایه تان را برای چیزی صرف کنید که ارزش خاصی ندارد. پشتیبان گیری به دلایل زیر عمل مهمی است :
١-هنگامی که سیستم ها Crash می کنند اطلاعات خود را از دست می دهند
٢-هنگامی که داده ها توسط ویروسها تخریب می شوند
٣-هنگامی که کامپیوتر شما به سرقت می رود
٤-هنگامی که هکر ها اطلاعات شما را تخریب یا دستکاری می کنند
٥-هنگامی که کاربری بطور اتفاقی اطلاعات را پاک می کنند
٦-هنگام بروز حوادث طبیعی مانند آتش سوزی ، سیل و ...
به دلایل فوق شما باید یک سیاست مدون برای پشتیبان گیری از اطلاعات خود تعیین کنید . در این سیاست بایستی موارد زیر را مد نظر قرار دهید :
١-برنامه پشتیبان گیری چه زمانی باید اجرا شود و هر چند وقت یکبار اجرا شود
٢-چه نوع پشتیبانی باید گرفته شود (کامل ، تفاضلی ، افزایشی ، ترکیبی )
٣-از چه رسانه ای برای ذخیره سازی اطلاعات باید استفاده شود (CD یا Tape یا...)
٨- سیاستهای سیستم های کشف مزاحمت :
بسیاری از شرکتهای وجود دارند که IDS های تجاری تولید می کنند و شما توسط آنها می توانید امنیت شبکه خود را تضمین کنید. فقط به هنگام انتخاب IDS باید دقت داشته باشید که سیستم کشف مزاحمت بتواند خواسته های شما را برآورده سازد. یکی از نکاتی که باید هنگام انتخاب در نظر داشته باشید نوع IDS ای است که انتخاب میکنید (IDS معمولی تمام ترافیک را تحت کنترل دارد ولی IDS های Host Base مستقیما بر روی سیستمی نصب میشوند که می خواهند اطلاعاتش را مونیتور کنند)