کليات امنيت شبکه کامپيوتري

حفاظت، پشتيباني و نگهداري از داده‌هاي رايانه‌اي، اطلاعات مهم، برنامه‌هاي حساس، نرم‌افزارهاي مورد نياز و يا هر آنچه كه در حافظه جانبي رايانه مورد توجه بوده و با اهميت مي‌باشد، امنيت رايانه‌اي ناميده مي‌شود. تفکر امنیت در شبکه برای دستیابی به سه عامل مهم است که با یک دیگر مثلث امنیتی را تشکیل می دهند. این عوامل عبارتند از راز داری و امانت داری (Confidentiality)، یکپارچگی (Integrity) و در نهایت در دسترس بودن همیشگی (Availability). این سه عامل (CIA) اصول اساسی امنیت اطلاعات - در شبکه و یا بیرون آن - را تشکیل می دهند بگونه ای که تمامی تمهیدات لازمی که برای امنیت شبکه اتخاذ میشود و یا تجهیزاتی که ساخته می شوند، همگی ناشی از نیاز به اعمال این سه پارامتر در محیط های نگهداری و تبادل اطلاعات است.

Confidentiality

به معنای آن است که اطلاعات فقط در دسترس کسانی قرار گیرد که به آن نیاز دارند و اینگونه تعریف شده است. بعنوان مثال از دست دادن این خصیصه امنیتی معادل است با بیرون رفتن قسمتی از پرونده محرمانه یک شرکت و امکان دسترسی به آن توسط مطبوعات.

Integrity

بیشتر مفهومی است که به علوم سیستمی باز می گردد و بطور خلاصه می توان آنرا اینگونه تعریف کرد:
- تغییرات در اطلاعات فقط باید توسط افراد یا پروسه های مشخص و مجاز انجام گیرد.
- تغییرات بدون اجازه و بدون دلیل حتی توسط افراد یا پروسه های مجاز نباید صورت بگیرد.
- یکپارچگی اطلاعات باید در درون و بیرون سیستم حفظ شود. به این معنی که یک داده مشخص چه در درون سیستم و چه در خارج آن باید یکسان باشد و اگر تغییر می کند باید همزمان درون و برون سیستم از آن آگاه شوند.

Availability

این پارامتر ضمانت می کند که یک سیستم - مثلا اطلاعاتی - همواره باید در دسترس باشد و بتواند کار خود را انجام دهد. بنابراین حتی اگر همه موارد ایمنی مد نظر باشد اما عواملی باعث خوابیدن سیستم شوند - مانند قطع برق - از نظر یک سیستم امنیتی این سیستم ایمن نیست.

اما جدای از مسائل بالا مفاهیم و پارامترهای دیگری نیز هستند که با وجود آنکه از همین اصول گرفته می شوند برای خود شخصیت جداگانه ای پیدا کرده اند. در این میان می توان به مفاهیمی نظیر Identification به معنی تقاضای شناسایی به هنگام دسترسی کاربر به سیستم، Authentication به معنی مشخص کردن هویت کاربر، Authorization به معنی مشخص کردن میزان دسترسی کاربر به منابع، Accountability به معنی قابلیت حسابرسی از عملکرد سیستم و ... اشاره کرد.

امنيت در يك شبكه به 2 روش صورت مي پذيرد. 1- برنامه هاي نر‌م‌افزاري 2- قطعه‌هاي سخت‌افزاري. در بهترين حالت از برنامه هاي نرم افزاري و قطعات سخت افزاري بطور همزمان استفاده مي گردد. عموماً برنامه‌هاي نرم‌افزاري شامل برنامه‌هاي ضدمخرب (مخرب‌ها شامل ويروس، كرم‌هاي مهاجم، اسب‌هاي تراوا، مخفي‌شده‌ها و .... ) و دیوار آتش مي‌باشد. قطعات سخت‌افزاري نيز عموماً شامل دیوار آتش مي‌شود. اين قطعه‌ها موجب كنترل درگاه‌هاي ورودي و خروجي به رايانه و شناخت كامل از حمله‌كننده‌ها بخصوص نشانه‌هاي خاص مهاجم را ايجاد مي نمايد.

فراموش نكنيم كه شركت مايكروسافت به عنوان عرضه‌كننده سيستم هاي عامل نسل Windows (كه در حال حاضر پرمصرف ترين گروه سيستم‌هاي عامل را تشكيل مي دهد)، به يك برنامه نرم‌ افزاري دیوار آتش بصورت پيش‌ فرض مجهز مي باشد، كه مي‌تواند تا امنيت را هر چند كم، براي كاربران سيستم‌هاي عامل خود فراهم نمايد اما قطعا ًاين نرم افزار به تنهايي كفايت امن سازي رايانه را تأمين نمي نمايد. اما در اولين مرحله امن سازي يك شبكه ابتدا بايد سازمان را به يك برنامه ضدمخرب قوي مانندَAntivir, Symantec, Kaspersky, Nod32, BitDefender, Norton, Panda، Mac با قابليت بروزآوري مجهز نمود، تا بتواند در مقابل حمله برنامه هاي مخرب واكنش مناسبي ارائه نمايد. برنامه Antivir می تواند یک انتخاب مناسب در این زمینه باشد. چرا كه اين برنامه قابليت بروزآوري را بطور مداوم دارا مي‌باشد و خود برنامه نيز هر 6 ماه يكبار ويرايش مي‌گردد تا از موتور جستجوگر قوي تر و بهينه‌تري براي يافتن برنامه هاي مخرب بهره گيرد. خريد نسخه اصلي اين نرم‌افزار توصيه مي‌گردد، چرا كه در صورت بروز مشكل شركت اصلي نسبت به پشتيباني از رايانه‌هاي شما اقدام لازم را در اسرع وقت به انجام مي‌رساند.

در مرحله دوم امن سازي يك شبكه بايد از دستگاه تقسيم‌كننده استفاده نمود. دستگاه هاي فوق خود بر دومدل قابل تنظيم و پيكربندي و غيرقابل تنظيم و غير قابل پيكربندي تقسيم مي شوند. ممكن است در گروه اول نيز قطعاتي يافت شود كه تنظيمات جزئي پيكربندي را انجام دهند اما بطور كامل و با تمامي امكاناتي كه در گروه دوم قطعات ديده مي شوند، مجهز نمي‌باشند. عموماً اين دستگاه تقسيم كننده از مدل Core و براي ارتباط سرويس‌دهنده‌هاي مركزي به يكديگر و انجام خدمات به شبكه داخلي يا دنياي اينترنت تهيه مي‌شود و در لايه اصلي تقسيم ارتباط شبكه، از طرف سرويس‌دهنده‌هاي مركزي به سرويس‌ گيرنده هاي داخلي و بالعكس قرار گيرد. اين قطعه مي تواند از تكثير يك برنامه ضدمخرب و همچنين ورود و خروج مهاجمان پنهان، در درون شبكه داخلي از يك رايانه به رايانه ديگر تا حد بسيار زيادي جلوگيري نمايد. اما اگر تعداد كاربران و سرويس‌گيرنده‌هاي يك سازمان بيش از تعداد درگاههاي خروجي يك تقسيم‌كننده مركزي Core Switch‌ باشد، در اين صورت از تقسيم كننده هاي ديگري كه قابليت پيكربندي را دارا بوده و مقرون به صرفه نيز مي‌باشند، مي‌توان استفاده نمود، تا كنترل ورودي و خروجي هاي هر طبقه يا واحد را بيمه نماييم. در مورد قطعات سخت افزاري تقسيم كننده Cisco Switch گزینه مناسبی مي باشد كه برترين نام جهاني را در اين زمينه به خود اختصاص داده و با بروزآوري قطعات خود و همچنين آموزش متخصصان خود سهم بزرگي در اين بحث ايفا مي نمايد.

در مرحله سوم امن سازي، نياز به خريد برنامه نرم افزاري و يا قطعه سخت‌ افزاري دیوار آتش احساس مي شود. بیشترین تأکید بر روي قطعه سخت افزاري استوار است زيرا كه از ثبات، قدرت بيشتر و ايرادات كمتري نسبت به نرم افزارهاي مشابه خود برخوردار است. قطعه سخت‌افزاري دژ ايمن مي بايست در مسير ورودي اينترنت به يك سازمان قرار گيرد. دقيقاً همانجايي كه اينترنت غيرامن به يك سازمان تزريق مي گردد. پيشنهاد ما، قطعه سخت‌افزاريCisco ASA و يا Astaro Firewall مي باشد. فراموش نشود استفاده از دو دستگاه همزمان موازي قطعاً نياز ارجح هر سازمان مي باشد چرا كه با ايست، و توقف سرويس‌دهي يكي از قطعه‌ها، دستگاه ديگر كنترل ورودي ها و خروجي ها را بدست مي‌گيرد. اما در برنامه نرم‌افزاري نياز به نصب نرم‌افزار بر روي يك سرويس‌دهنده مركزي دیوار آتش بوده كه ورود اينترنت ناامن تنها از مسير اين سرويس‌دهنده مركزي انجام پذيرد. بايد توجه داشت در صورت تهيه قطعه‌هاي سخت‌افزاري خاصي استفاده نمود تا در قبل و بعد از قطعه مسيرياب‌ها قرار گيرد كه در اين صورت بهتر است تا از قطعه هاي Cisco ASA در ديواره داخلي و بعد از قطعه مسيرباب‌ها استفاده نمود.

در مرحله چهارم امن سازي نياز به وجود قطعه سخت‌افزاري ديگري به نام مسيرياب براي شبكه داخلي مي‌باشد كه ضمن قابليت پيكربندي، براي نشان دادن مسير ورودي ها و خروجي ها، اشتراك اينترنت، تنظيم ورودي ها و خروجي هاي ديوار آتشين، و همچنين خروج اطلاعات به شكل اينترنتي از سازمان به رايانه هاي شهري و يا بين شهري از طريق خطوط تلفن و ... استفاده نمود. پيشنهاد ما نيز محصولات شركت معتبر Cisco ميباشد.

در مرحله بعدي امن سازي يك سازمان نياز به وجود دستگاه هاي تنظيم جريان برق و دستگاه هاي پشتيبان جريان برق اضطراري براي ارائه خدمات به صورت تمام وقت، بدون قطعي و تنظيم جريان برق، تمامي قطعه‌هاي سخت افزاري راهبر يك شبكه شامل تقسيم‌كنند‌ه‌ها، مسيرياب ها ، سرويس‌دهند‌ه‌هامي باشد. اين سيستم به دليل ايجاد خطرات احتمالي ناشي از قطع جريان برق نظير از بين رفتن اطلاعات در حال ثبت بر روي سرويس‌دهنده ها، تقسيم كننده ها، مسيرياب ها مي‌باشد.

به عنوان آخرين مرحله امن سازي، تهيه از اطلاعات و فايلهاي مورد نياز به صورت پشتيبان از برنامه‌هاي اصلي نرم‌‌افزاري بر روي يك سرويس‌دهنده پشتيبان ، آخرين لايه امن سازي درون سازماني را تكميل مي نمايد.