• پایان فعالیت بخشهای انجمن: امکان ایجاد موضوع یا نوشته جدید برای عموم کاربران غیرفعال شده است

علل بروز مشکلات امنیتی

panasonic.ir

Registered User
تاریخ عضویت
2 سپتامبر 2013
نوشته‌ها
298
لایک‌ها
51
محل سکونت
تهران
internetsecurity600.jpg


SMTP برگرفته از Simple Mail Transfer Protocol و SNMP برگرفته از Simple Network Management Protocol، دو نمونه از پروتکل های ذاتاً غیرایمن مجموعه پروتکل های TCP/IP می باشند. وجود ضعف در پروتکل TCP/IP، تاکنون عامل بروز حملات متعددی در شبکه های کامپیوتری بوده است. IP spoofing و man-in-the-middle دو نمونه متداول در این زمینه می باشند.
▪ ضعف سیستم عامل:
با این که هر سیستم عاملی دارای ضعف های امنیتی مختص به خود است، ولی عمومیت و رواج یک سیستم عامل می تواند زمینه شناسایی و سوءاستفاده از ضعف های امنیتی آن را تسریع نماید. شاید به همین دلیل باشد که ضعف های ویندوز شرکت مایکروسافت سریع تر از سایر سیستم های عامل بر همگان آشکار می شود چرا که اکثر کاربران روی کامپیوتر خود از یکی از نسخه های ویندوز این شرکت استفاده می نمایند. شاید بتوان گفت که لینوکس و یا یونیکس نسبت به ویندوز دارای ضعف های امنیتی کمتری می باشند ولی سیستم های عامل فوق نیز دارای ضعف امنیتی مختص به خود می باشند که به دلیل عدم استفاده عام از آنها تاکنون کمتر شناسایی شده اند.
▪ ضعف تجهیزات شبکه ای:
همه تجهیزات شبکه ای نظیر سوئیچ سیسکو سرویس دهندگان و نظایر آن دارای برخی ضعف های امنیتی ذاتی می باشند. با تبعیت از یک سیاست تعریف شده مناسب برای پیکربندی و نصب تجهیزات شبکه ای می توان به طرز کاملاً محسوسی آثار و تبعات این نوع ضعف های امنیتی را کاهش داد. نصب و پیکربندی هر گونه تجهیزات شبکه ای باید مبتنی بر اصول و سیاست های امنیتی تعریف شده باشد.
▪ ضعف پیکربندی
ضعف در پیکربندی، نقش عوامل انسانی در بروز مشکلات امنیتی را به خوبی نشان می دهد. مدیران شبکه و سایر کارشناسانی که مسئولیت نصب و پیکربندی تجهیزات شبکه ای و غیر شبکه ای در یک سازمان را برعهده دارند، می توانند باعث بروز ضعف در پیکربندی شوند. متأسفانه، در اغلب موارد مدیران شبکه تجهیزات شبکه ای مانند سوئیچ سیسکو را با پیکربندی پیش فرض استفاده می نمایند و اقدامات لازم در جهت ایمن سازی پارامترهای تأثیرگذار در این رابطه نظیر ایمن سازی account مدیر شبکه را انجام نمی دهند. عوامل متعددی باعث بروز ضعف در پیکربندی می شوند:
▪ استفاده غیرایمن از account کاربران:
استفاده از account پیش فرض administrator بدون رمزعبور، عدم کنترل و نظارت صحیح و مستمر روی شبکه بستر و شرایط لازم برای بروز مشکلات امنیتی و انجام حملات در یک شبکه کامپیوتری را فراهم می نماید. در صورتی که از یکی از نسخه های ویندوز سرویس دهنده استفاده می نمایید، باید account مربوط به administrator تغییر نام یابد. با انجام این کار، این اطمینان اولیه ایجاد خواهد شد که مهاجمان برای نفوذ به شبکه به زمان بیشتری جهت تشخیص account مدیر شبکه نیاز خواهند داشت. همچنین باید بر اساس سیاست های تعریف شده به هر یک از کاربران متناسب با نیاز آنان، مجوزهایی واگذار گردد و هرگز به آنان مجوزهایی بیش از آن چیزی که برای انجام کار به آن نیاز دارند، واگذار نگردد.
بد نیست به این نکته مهم نیز اشاره نمائیم که اسامی و رمز عبور کاربران عموماً به طور غیرایمن در طول شبکه حرکت می نماید. مدیران شبکه می بایست سیاست های لازم در خصوص شیوه تعریف و حفاظت از رمز عبور را تدوین و آن را به کاربران شبکه آموزش دهند. استفاده از system account که رمز عبور آنها به سادگی قابل تشخیص است:یکی دیگر از روش هایی که می تواند مشکلات امنیتی در یک شبکه را به دنبال داشته باشد، نسبت دادن رمزهای عبور به system account است که امکان تشخیص آنها به سادگی وجود دارد. برای پیشگیری از بروز این چنین مسائل امنیتی، مدیران شبکه می بایست سیاست ها یی را روی سرویس دهندگان در شبکه تعریف نمایند که صرفاً اجازه تعریف انواع خاصی از رمزهای عبور را فراهم نماید و هر رمز عبور دارای یک تاریخ اعتبار معتبر باشد تا پس از اتمام تاریخ مصرف، امکان استفاده از آن وجود نداشته باشد.
در این رابطه لازم است که کاربران به طور شفاف نسبت به این موضوع توجیه گردند که نمی بایست از نام خود، نام فرزند، تاریخ تولد، شماره شناسنامه و مواردی از این قبیل به عنوان رمز عبور استفاده نمایند. به کاربران آموزش داده شود که برای تعریف یک رمز عبور مناسب می بایست از ترکیب حروف بزرگ، کوچک و حروف ویژه استفاده نمایند. رعایت موارد فوق، شبکه شما را در مقابل حملاتی نظیر brute-force که از فایل های دیکشنری برای حدس رمزهای عبور استفاده می نمایند، مقاوم می نماید. عدم پیکربندی صحیح سرویس های اینترنت: برخی سازمان ها همچنان از آدرس های IP واقعی برای آدرس دهی هاست ها و سرویس دهندگان موجود بر روی شبکه استفاده می نمایند. با استفاده از امکانات ارائه شده توسط NAT (برگرفته از Network Address Translation) و PAT (برگرفته از Port Address Translation)، دلیلی وجود ندارد که از آدرس های IP واقعی استفاده گردد. در مقابل سوئیچ سیسکو، شما می توانید از آدرس های IP خصوصی استفاده نمائید. بدین ترتیب، سازمان ها می توانند از مجموعه ای از آدرس های IP که بر روی اینترنت بلاک شده اند استفاده نمایند. رویکرد فوق، باعث بهبود وضعیت امنیت در سازمان مورد نظر خواهد شد چراکه فقط آدرس IP واقعی روی روتر مرزی امکان روتینگ بر روی اینترنت را خواهد داشت. غیرایمن بودن تنظیمات پیش فرض در برخی محصولات:
این یک واقعیت انکار ناپذیر است که تعداد بسیار زیادی از محصولات بدون رمز عبور و یا رمزهای عبور ساده به بازار عرضه می گردند تا مدیران شبکه بتوانند پیکربندی دستگاه را به سادگی انجام دهند. برخی دستگاه ها به صورت plug and play می باشند. مثلاً سوئیچ های سیسکو به صورت plug-and-play می باشند تا بتوان به سرعت آنها را جایگزین هاب در شبکه نمود.به منظور افزایش امنیت، می بایست روی سوئیچ یک رمز عبور مناسب را تعریف تا مهاجمان نتوانند به سادگی به آن دستیابی داشته باشند. شرکت سیسکو به منظور افزایش امنیت در خصوص به کارگیری این نوع تجهیزات شبکه ای تمهیدات خاصی را اندیشیده است. به عنوان نمونه، روترها و سوئیچ های سیسکو اجازه ایجاد یک telnet session را بدون انجام یک پیکربندی خاص login روی دستگاه نخواهند داد. فرآیند نصب و پیکربندی هر دستگاه در شبکه می بایست تابع یک سیاست امنیتی مدون باشد.
▪ نبود پیکربندی صحیح تجهیزات شبکه ای:
نبود پیکربندی مناسب تجهیزات شبکه ای یکی دیگر از دلایل بروز مشکلات امنیتی است. رمزهای عبور ضعیف، وجود نداشتن سیاست های امنیتی و غیر ایمن بودن account کاربران جملگی می توانند به عنوان بخشی از سیاست های عدم پیکربندی مناسب تجهیزات شبکه ای در نظر گرفته شوند. سخت افزار و پروتکل هائی که روی تجهیزات شبکه ای اجرا می شوند، می توانند حفره های امنیتی را در شبکه شما ایجاد نمایند. در صورت وجود نداشتن یک سیاست مدون به منظور تشریح سخت افزار و پروتکل هایی که می بایست بر روی هر یک از تجهیزات شبکه ای اجرا شوند، مهاجمان قادر خواهند بود به شبکه شما نفوذ نمایند. به عنوان مثال، در صورتی که شما از پروتکل SNMP (برگرفته شده از Simple Network Management Protocol) به همراه تنظیمات پیش فرض استفاده نمائید، حجم بالایی از اطلاعات مربوط به شبکه شما می تواند به سادگی و به سرعت رمزگشائی گردد. بنابراین، می بایست در صورتی که به پروتکل فوق نیاز نمی باشد آن را غیرفعال و در صورت ضرورت استفاده از آن، تنظیمات پیش فرض خصوصاً community strings را تغییر داد. رشته های فوق به منزله رمز عبوری برای جمع آوری و دریافت داده مربوط به SNMP می باشند.
● ضعف سیاست ها
سیاست های امنیتی در یک شبکه، شیوه و زمان پیاده سازی امنیت در شبکه را تشریح می نمایند. به عنوان نمونه، در سیاست های امنیتی تعریف شده می بایست اطلاعات لازم در خصوص شیوه پیکربندی ایمن دستگاه های شبکه ای دقیقاً مشخص گردد. تدوین نکردن یک سیاست امنیتی مدون می تواند زیرساخت فناوری اطلاعات و ارتباطات یک سازمان را با مشکلات امنیتی متعددی مواجه نماید. بدین منظور می بایست روی محورهای مختلفی متمرکز گردید: وجود نداشتن یک سیاست امنیتی مکتوب: در صورتی که یک مدیر شبکه و یا هر شخص دیگر، نمی داند که در سوئیچ سیسکو ابتدای یک کار چه انتظاری از آن وجود دارد، آنان صرفاً خود را با وضعیت موجود هماهنگ و یا بهتر بگوئیم همراه می نمایند. تفکر فوق هرج و مرج در شبکه را به دنبال داشته و آن را مستعد انواع حملات می نماید. بدین منظور لازم است که تدوین یک سیاست امنیتی در دستور کار قرار گیرد. برای شروع می توان از کاربران و تبین وظایف آنان در زمان استفاده از زیرساخت فناوری اطلاعات و ارتباطات کار را آغاز نمود و به دنبال آن سیاست امنیتی در خصوص رمزهای عبور و دستیابی به اینترنت را تدوین نمود.
در ادامه می توان سیاست های امنیتی در خصوص پیکربندی سخت افزار شبکه شامل همه دستگاه ها (کامپیوترهای شخصی، سرورها، روترها و سوئیچ ها) را تدوین نمود. این موضوع صرفاً به پیکربندی ختم نمی شود و می بایست در این رابطه سیاست های امنیتی در خصوص حفاظت از آنها نیز تدوین گردد.
▪ سیاست های سازمانی:
سیاست های سازمانی دارای یک نقش کلیدی در هر یک از بخش های سازمان می باشند. ارتباط سیاست های تعریف شده در یک سازمان با سیاست های امنیتی در خصوص استفاده از زیرساخت فناوری اطلاعات و ارتباط می بایست به دقت مشخص گردد. در این رابطه لازم است که دقیقاً تعریف امنیت از منظر مدیران ارشد سازمان مشخص شود.
شاید برداشت یک مدیر از امنیت و اهداف آن با برداشت یک مدیر دیگر متفاوت باشد. بدیهی است که در مرحله نخست باید ا ستراتژی و سیاست های امنیتی سازمان که متأثر از اهداف سازمان و نگرش مدیران (یک برداشت مشترک)، تدوین یابد. رها کردن مدیریت امنیت شبکه به حال خود: ایجاد یک سیاست امنیتی قابل قبول در سازمان که شامل مانیتورینگ و بررسی امنیت شبکه نیز می باشد کار مشکلی به نظر می آید. بسیاری از افراد بر این باور هستند که همه چیز در حال حاضر خوب کار می کند و ضرورتی ندارد که ما درگیر پیاده سازی سیستمی برای مانیتورینگ و ممیزی شویم. در صورت عدم مانیتورینگ و ممیزی منابع سازمان ممکن است استفاده از منابع موجود چالش های خاص خود را به دنبال داشته باشد. وجود ضعف در مدیریت امنیت ممکن است یک سازمان را با مسائل مختلفی نظیر برخوردهای قانونی مواجه نماید (افشای اطلاعات حساس مشتریان در یک سازمان که به دلیل ضعف در مدیریت امنیت ایجاد شده است). مدیران شبکه باید بر اساس سیاست های امنیتی تعریف شده به طور مستمر و با دقت وضعیت شبکه را مانیتور کرده تا بتوانند قبل از بروز فاجعه در مرحله اول با آن برخورد و یا ضایعات آن را به حداقل مقدار ممکن برسانند. نصب و انجام تغییرات مغایر با سیاست های تعریف شده. نصب هرگونه نرم افزار و یا سخت افزار باید تابع سیاست های تعریف شده باشد. نظارت بر هر گونه نصب (سخت افزار و یا نرم افزار) و انطباق آن با رویه های تعریف شده در سیاست امنیتی از جمله عملیات مهم به منظور ایمن سازی و ایمن نگاهداشتن زیرساخت فناوری اطلاعات و ارتباطات است. نصب هر گونه تجهیزات سخت افزاری و نرم افزاری تأیید نشده، عدم پیکربندی مناسب تجهیزات نصب شده منطبق بر سیاست های امنیتی و در مجموع انجام هر گونه تغییرات غیرمجاز می تواند به سرعت حفره هایی امنیتی را در شبکه شما ایجاد نماید. عدم وجود برنامه ای مدون جهت برخورد با حوادث غیرمترقبه: شاید شما نیز از جمله افرادی باشید که فکر می کنید همواره حادثه برای دیگران اتفاق می افتد. بپذیریم که حوادث چه بخواهیم و چه نخواهیم اتفاق خواهند افتاد و ما نیز می توانیم هدف این حوادث باشیم. زمین لرزه، آتش سوزی، خرابکاری، خرابی سخت افزار نمونه هایی در این زمینه می باشند. بدین منظور لازم است که هر سازمان دارای یک سیاست امنیتی مشخص به منظور پیشگیری و مقابله با حوادث باشد. در صورتی که با این موضوع در زمان خاص خود برخورد نگردد، پس از بروز حادثه مدیریت آن غیرممکن و یا بسیار مشکل خواهد بود.
یک کمپانی امنیتی اعلام نموده که طبق نتایج تحقیقاتی که صورت داده و بر حسب وجود اشتباهی ساده، میلیون ها روتر وای فای در معرض آسیب پذیری و خطر نفوذ قرار دارند. این شرکت که SEC Consult Vulnerability Lab نام دارد حفره ای را در درایور مرتبط به قابلیت NetUSB کشف نموده که وبسایت Ars Technica از آن با عنوان amateurish (آماتوروار) یاد می نماید.
امکان و تکنولوژی NetUSB توسط کمپانی تایوانی KCodes توسعه یافته و درایور آن قابلیت برقراری ارتباط کامپیوترها با ابزارهایی که از طریق پورت USB به روتر متصل شده و در شبکه قرار گرفته اند را فراهم می آورد و بدین ترتیب انواع و اقسام روترهایی که دارای ویژگی اتصال با ابزارهای USB هستند از درایور مشکل دار مورد بحث بهره می گیرند.


متاسفانه درایور مذکور دارای نقطه ضعف یا خطایی است که در اصطلاح از آن با عنوان “سر ریز بافر” یاد می گردد و وقتی دیوایسی نام خودش را با بیش از ۶۴ کاراکتر به جهت برقراری ارتباط، به روتر ارسال نماید این درایور با مشکل مواجه می شود.

تحقیقات نشان می دهند همین سر ریز ساده یا تعداد کاراکترهای بیشتر از حد مجاز می تواند برای کرش نمودن روتر، حملات محروم سازی از سرویس (در اصطلاح رایج تر DoS attack) و یا حتی اجرای کدهای مخرب به صورت ریموت استفاده گردد.

حملات مبتنی بر سر ریز بافر و ضعف های مرتبط به این مسئله در دهه ی نود بسیار رایج بودند و این روزها به ندرت دیده می شود که چنین نقطه ضعفی توسط مهاجمین مورد بهره برداری قرار گیرد، به همین دلیل هم وبسایت Ars Technica همانطوری که در ابتدای مطلب اشاره شد برای خلا مورد بحث عنوان amateurish یا آماتور وار را برگزیده است.
خوشبختانه SEC Consult فهرستی از روترهای آسیب پذیر برندهای مختلف را در این آدرس اینترنتی منتشر نموده و در فهرست مذکور نام مدلهایی از کمپانی های مختلفی همچون Netgear، D-Link، TP-Link، Western Digital و… به چشم می خورد.
از سوی دیگر Netgear اعلام کرده حتی اگر امکان NetUSB غیر فعال باشد، بازهم حفره ی امنیتی بر روی روترها پابرجا و قابل بهره برداری خواهد بود و لذا به روز رسانی firmware این دیوایس ها ضروری به نظر می رسد.
TP-Link خبر داده آپدیت لازم را به زودی و تا پایان ماه عرضه خواهد نمود اما در مورد سایر تولید کنندگان و اینکه چه زمانی به روز رسانی هایشان را ارائه خواهند کرد هنوز اطلاعاتی در دسترس نیست.
 

panasonic.ir

Registered User
تاریخ عضویت
2 سپتامبر 2013
نوشته‌ها
298
لایک‌ها
51
محل سکونت
تهران
%D8%A7%D9%85%D9%86%DB%8C%D8%AA-%D8%B4%D8%A8%DA%A9%D9%87.jpg


مقدمه
امروزه امنیت شبکه یک مسأله مهم برای ادارات و شرکتهای دولتی و سازمان های کوچک و بزرگ است.تهدیدهای پیشرفته از سوی تروریست های فضای سایبر، کارمندان ناراضی و هکرها رویکردی سیستماتیک را برای امنیت شبکه می طلبد. در بسیاری از صنایع، امنیت به شکل پیشرفته یک انتخاب نیست بلکه یک ضرورت است. {گروه امداد امنیت کامپیوتری ایران}در این سلسله مقالات رویکردی لایه بندی شده برای امنیت شبکه به شما معرفی می گردد. این رویکرد هم یک استراتژی تکنیکی است که ابزار و امکان مناسبی را در سطوح مختلف در زیرساختار شبکه شما قرار می دهد و هم یک استراتژی سازمانی است که مشارکت همه از هیأت مدیره تا قسمت فروش را می طلبد.رویکرد امنیتی لایه بندی شده روی نگهداری ابزارها و سیستمهای امنیتی و روال ها در پنج لایه مختلف در محیط فناوری اطلاعات متمرکز می گردد.
۱- پیرامون
۲- شبکه
۳- میزبان
۴- برنامه کاربردی
۵- دیتا
در این سلسله مقالات هریک از این سطوح تعریف می شوند و یک دید کلی از ابزارها و سیستمهای امنیتی گوناگون که روی هریک عمل می کنند، ارائه می شود. هدف در اینجا ایجاد درکی در سطح پایه از امنیت شبکه و پیشنهاد یک رویکرد عملی مناسب برای محافظت از دارایی های دیجیتال است. مخاطبان این سلسله مقالات متخصصان فناوری اطلاعات، مدیران تجاری و تصمیم گیران سطح بالا هستند.محافظت از اطلاعات اختصاصی به منابع مالی نامحدود و عجیب و غریب نیاز ندارد. با درکی کلی از مسأله، خلق یک طرح امنیتی استراتژیکی و تاکتیکی می تواند تمرینی آسان باشد. بعلاوه، با رویکرد عملی که در اینجا معرفی می شود، می توانید بدون هزینه کردن بودجه های کلان، موانع موثری بر سر راه اخلال گران امنیتی ایجاد کنید.
افزودن به ضریب عملکرد هکرها
متخصصان امنیت شبکه از اصطلاحی با عنوان ضریب عملکرد (work factor) استفاده می کنند که مفهومی مهم در پیاده سازی امنیت لایه بندی است. ضریب عملکرد بعنوان میزان تلاش مورد نیاز توسط یک نفوذگر بمنظور تحت تأثیر قراردادن یک یا بیشتر از سیستمها و ابزار امنیتی تعریف می شود که باعث رخنه کردن در شبکه می شود. یک شبکه با ضریب عملکرد بالا به سختی مورد دستبرد قرار می گیرد در حالیکه یک شبکه با ضریب عملکرد پایین می تواند نسبتاً به راحتی مختل شود. اگر هکرها تشخیص دهند که شبکه شما ضریب عملکرد بالایی دارد، که فایده رویکرد لایه بندی شده نیز هست، احتمالاً شبکه شما را رها می کنند و به سراغ شبکه هایی با امنیت شبکه پایین تر می روند و این دقیقاً همان چیزیست که شما می خواهید.تکنولوژی های بحث شده در این سری مقالات مجموعاً رویکرد عملی خوبی برای امن سازی دارایی های دیجیتالی شما را به نمایش می گذارند. در یک دنیای ایده آل، شما بودجه و منابع را برای پیاده سازی تمام ابزار و سیستم هایی که بحث می کنیم خواهید داشت. اما متأسفانه در چنین دنیایی زندگی نمی کنیم. بدین ترتیب، باید شبکه تان را ارزیابی کنید – چگونگی استفاده از آن، طبیعت داده های ذخیره شده، کسانی که نیاز به دسترسی دارند، نرخ رشد آن و غیره – و سپس ترکیبی از سیستم های امنیتی را که بالاترین سطح محافظت را ایجاد می کنند، با توجه به منابع در دسترس پیاده سازی کنید.
مدل امنیت لایه بندی شده
در این جدول مدل امنیت لایه بندی شده و بعضی از تکنولوژی هایی که در هر سطح مورد استفاده قرار می گیرند، ارائه شده اند. این تکنولوژی ها با جزئیات بیشتر در بخش های بعدی مورد بحث قرار خواهند گرفت.
۱)پیرامون
· فایروال
· آنتی ویروس در سطح شبکه
· رمزنگاری شبکه خصوصی مجازی
۲)شبکه
· سیستم تشخیص/جلوگیری از نفوذ (IDS/IPS)
· سیستم مدیریت آسیب پذیری
· تبعیت امنیتی کاربر انتهایی
· کنترل دسترسی/ تایید هویت کاربر
۳)میزبان
· سیستم تشخیص نفوذ میزبان
· سیستم ارزیابی آسیب پذیری میزبان
· تبعیت امنیتی کاربر انتهایی
· آنتی ویروس
· کنترل دسترسی/ تایید هویت کاربر
۴)برنامه کاربردی
· سیستم تشخیص نفوذ میزبان
· سیستم ارزیابی آسیب پذیری میزبان
· کنترل دسترسی/ تایید هویت کاربر
· تعیین صحت ورودی
۵)داده
· رمزنگاری
· کنترل دسترسی/ تایید هویت کاربرسطح ۱: امنیت پیرامون
منظور از پیرامون، اولین خط دفاعی نسبت به بیرون و به عبارتی به شبکه غیرقابل اعتماد است. «پیرامون» اولین و آخرین نقطه تماس برای دفاع امنیتی محافظت کننده شبکه است. این ناحیه ای است که شبکه به پایان می رسد و اینترنت آغاز می شود. پیرامون شامل یک یا چند فایروال و مجموعه ای از سرورهای به شدت کنترل شده است که در بخشی از پیرامون قرار دارند که بعنوان DMZ (demilitarized zone) شناخته می شود. DMZ معمولاً وب سرورها، مدخل ایمیل ها، آنتی ویروس شبکه و سرورهای DNS را دربرمی گیرد که باید در معرض اینترنت قرار گیرند. فایروال قوانین سفت و سختی در مورد اینکه چه چیزی می تواند وارد شبکه شود و چگونه سرورها در DMZ می توانند با اینترنت و شبکه داخلی تعامل داشته باشند،دارد.پیرامون شبکه، به اختصار، دروازه شما به دنیای بیرون و برعکس، مدخل دنیای بیرون به شبکه شماست.
تکنولوژیهای زیر امنیت را در پیرامون شبکه ایجاد می کنند:
· فایروال ـ معمولاً یک فایروال روی سروری نصب می گردد که به بیرون و درون پیرامون شبکه متصل است. فایروال سه عمل اصلی انجام می دهد ۱- کنترل ترافیک ۲- تبدیل آدرس و ۳- نقطه پایانی ***. فایروال کنترل ترافیک را با سنجیدن مبداء و مقصد تمام ترافیک واردشونده و خارج شونده انجام می دهد و تضمین می کند که تنها تقاضاهای مجاز اجازه عبور دارند. بعلاوه، فایروال ها به شبکه امن در تبدیل آدرس های IP داخلی به آدرس های قابل رویت در اینترنت کمک می کنند. این کار از افشای اطلاعات مهم درباره ساختار شبکه تحت پوشش فایروال جلوگیری می کند. یک فایروال همچنین می تواند به عنوان نقطه پایانی تونل های *** (که بعداً بیشتر توضیح داده خواهد شد) عمل کند. این سه قابلیت فایروال را تبدیل به بخشی واجب برای امنیت شبکه شما می کند.
· آنتی ویروس شبکه ـ این نرم افزار در DMZ نصب می شود و محتوای ایمیل های واردشونده و خارج شونده را با پایگاه داده ای از مشخصات ویروس های شناخته شده مقایسه می کند. این آنتی ویروس ها آمد و شد ایمیل های آلوده را مسدود می کنند و آنها را قرنطینه می کنند و سپس به دریافت کنندگان و مدیران شبکه اطلاع می دهند. این عمل از ورود و انتشار یک ایمیل آلوده به ویروس در شبکه جلوگیری می کند و جلوی گسترش ویروس توسط شبکه شما را می گیرد. آنتی ویروس شبکه، مکملی برای حفاظت ضدویروسی است که در سرور ایمیل شما و کامپیوترهای مجزا صورت می گیرد. بمنظور کارکرد مؤثر، دیتابیس ویروس های شناخته شده باید به روز نگه داشته شود.
· VPNـ یک شبکه اختصاصی مجازی (***) از رمزنگاری سطح بالا برای ایجاد ارتباط امن بین ابزار دور از یکدیگر، مانند لپ تاپ ها و شبکه مقصد استفاده می کند. *** اساساً یک تونل رمزشده تقریباً با امنیت و محرمانگی یک شبکه اختصاصی اما از میان اینترنت ایجاد می کند. این تونل *** می تواند در یک مسیریاب برپایه ***، فایروال یا یک سرور در ناحیه DMZ پایان پذیرد. برقراری ارتباطات *** برای تمام بخش های دور و بی سیم شبکه یک عمل مهم است که نسبتاً آسان و ارزان پیاده سازی می شود.
مزایا
تکنولوژی های ایجاد شده سطح پیرامون سال هاست که در دسترس هستند، و بیشتر خبرگان IT با تواناییها و نیازهای عملیاتی آنها به خوبی آشنایی دارند. بنابراین، از نظر پیاده سازی آسان و توأم با توجیه اقتصادی هستند. بعضیاز فروشندگان راه حل های سفت و سختی برای این تکنولوژیها ارائه می دهند و بیشتر آنها به این دلیل پر هزینه هستند.
معایب
از آنجا که بیشتر این سیستم ها تقریباً پایه ای هستند و مدت هاست که در دسترس بوده اند، بیشتر هکرهای پیشرفته روش هایی برای دور زدن آنها نشان داده اند. برای مثال، یک ابزار آنتی ویروس نمی تواند ویروسی را شناسایی کند مگر اینکه از قبل علامت شناسایی ویروس را در دیتابیس خود داشته باشد و این ویروس داخل یک فایل رمزشده قرار نداشته باشد. اگرچه *** رمزنگاری مؤثری ارائه می کند، اما کار اجرایی بیشتری را برروی کارمندان IT تحمیل می کنند، چرا که کلیدهای رمزنگاری و گروه های کاربری باید بصورت مداوم مدیریت شوند.
ملاحظات
پیچیدگی معماری شبکه شما می تواند تأثیر قابل ملاحظه ای روی میزان اثر این تکنولوژی ها داشته باشد.برای مثال، ارتباطات چندتایی به خارج احتمالاً نیاز به چند فایروال و آنتی ویروس خواهد داشت.معماری شبکه بطوری که تمام این ارتباطات به ناحیه مشترکی ختم شود، به هرکدام از تکنولوژی های مذکور اجازه می دهد که به تنهایی پوشش مؤثری برای شبکه ایجاد کنند.انواع ابزاری که در DMZ شما قرار دارد نیز یک فاکتور مهم است. این ابزارها چه میزان اهمیت برای کسب و کار شما دارند؟ هرچه اهمیت بیشتر باشد، معیارها و سیاست های امنیتی سفت و سخت تری باید این ابزارها را مدیریت کنند.سطح ۲- امنیت شبکه
سطح شبکه در مدل امنیت لایه بندی شده به WAN و LAN داخلی شما اشاره دارد. شبکه داخلی شما ممکن است شامل چند کامپیوتر و سرور و یا شاید پیچیده تر یعنی شامل اتصالات نقطه به نقطه به دفترهای کار دور باشد. بیشتر شبکه های امروزی در ورای پیرامون، باز هستند؛ یعنی هنگامی که داخل شبکه قرار دارید، می توانید به راحتی در میان شبکه حرکت کنید. این قضیه بخصوص برای سازمان های کوچک تا متوسط صدق می کند که به این ترتیب این شبکه ها برای هکرها و افراد بداندیش دیگر به اهدافی وسوسه انگیز مبدل می شوند. تکنولوژی های ذیل امنیت را در سطح شبکه برقرار می کنند:
· IDSها (سیستم های تشخیص نفوذ) و IPSها (سیستم های جلوگیری از نفوذ) ـ تکنولوژیهای IDS و IPS ترافیک گذرنده در شبکه شما را با جزئیات بیشتر نسبت به فایروال تحلیل می کنند. مشابه سیستم های آنتی ویروس، ابزارهای IDS و IPS ترافیک را تحلیل و هر بسته اطلاعات را با پایگاه داده ای از مشخصات حملات شناخته شده مقایسه می کنند. هنگامی که حملات تشخیص داده می شوند، این ابزار وارد عمل می شوند. ابزارهای IDS مسؤولین IT را از وقوع یک حمله مطلع می سازند؛ ابزارهای IPS یک گام جلوتر می روند و بصورت خودکار ترافیک آسیب رسان را مسدود می کنند. IDSها و IPSها مشخصات مشترک زیادی دارند. در حقیقت، بیشتر IPSها در هسته خود یک IDS دارند. تفاوت کلیدی بین این تکنولوژی ها از نام آنها استنباط می شود. محصولات IDS تنها ترافیک آسیب رسان را تشخیص می دهند، در حالیکه محصولات IPS از ورود چنین ترافیکی به شبکه شما جلوگیری می کنند. پیکربندی های IDS و IPS استاندارد در شکل نشان داده شده اند:
· مدیریت آسیب پذیری – سیستم های مدیریت آسیب پذیری دو عملکرد مرتبط را انجام می دهند: (۱) شبکه را برای آسیب پذیری ها پیمایش می کنند و (۲)روند مرمت آسیب پذیری یافته شده را مدیریت می کنند. در گذشته، این تکنولوژی VA )تخمین آسیب پذیری( نامیده می شد. اما این تکنولوژی اصلاح شده است، تا جاییکه بیشتر سیستم های موجود، عملی بیش از تخمین آسیب پذیری ابزار شبکه را انجام می دهند.سیستم های مدیریت آسیب پذیری ابزار موجود در شبکه را برای یافتن رخنه ها و آسیب پذیری هایی که می توانند توسط هکرها و ترافیک آسیب رسان مورد بهره برداری قرار گیرند، پیمایش می کنند. آنها معمولاً پایگاه داده ای از قوانینی را نگهداری می کنند که آسیب پذیری های شناخته شده برای گستره ای از ابزارها و برنامه های شبکه را مشخص می کنند. در طول یک پیمایش، سیستم هر ابزار یا برنامه ای را با بکارگیری قوانین مناسب می آزماید.همچنانکه از نامش برمی آید، سیستم مدیریت آسیب پذیری شامل ویژگیهایی است که روند بازسازی را مدیریت می کند. لازم به ذکر است که میزان و توانایی این ویژگی ها در میان محصولات مختلف، فرق می کند.
· تابعیت امنیتی کاربر انتهایی – روش های تابعیت امنیتی کاربر انتهایی به این طریق از شبکه محافظت می کنند که تضمین می کنند کاربران انتهایی استانداردهای امنیتی تعریف شده را قبل از اینکه اجازه دسترسی به شبکه داشته باشند، رعایت کرده اند. این عمل جلوی حمله به شبکه از داخل خود شبکه را از طریق سیستم های ناامن کارمندان و ابزارهای *** و RAS می گیرد.روش های امنیت نقاط انتهایی براساس آزمایش هایی که روی سیستم هایی که قصد اتصال دارند، انجام می دهند، اجازه دسترسی می دهند. هدف آنها از این تست ها معمولاً برای بررسی (۱) نرم افزار مورد نیاز، مانند سرویس پک ها، آنتی ویروس های به روز شده و غیره و (۲) کاربردهای ممنوع مانند اشتراک فایل و نرم افزارهای جاسوسی است.
· کنترل دسترسیتأیید هویت – کنترل دسترسی نیازمند تأیید هویت کاربرانی است که به شبکه شما دسترسی دارند. هم کاربران و هم ابزارها باید با ابزار کنترل دسترسی در سطح شبکه کنترل شوند.
نکته: در این سلسله مباحث، به کنترل دسترسی و تأییدهویت در سطوح شبکه، میزبان، نرم افزار و دیتا در چارچوب امنیتی لایه بندی شده می پردازیم. میان طرح های کنترل دسترسی بین لایه های مختلف همپوشانی قابل توجهی وجود دارد. معمولاً تراکنش های تأیید هویت در مقابل دید کاربر اتفاق می افتد. اما به خاطر داشته باشید که کنترل دسترسی و تأیید هویت مراحل پیچیده ای هستند که برای ایجاد بیشترین میزان امنیت در شبکه، باید به دقت مدیریت شوند.
مزایا
تکنولوژی های IDS، IPS و مدیریت آسیب پذیری تحلیل های پیچیده ای روی تهدیدها و آسیب پذیری های شبکه انجام می دهند. در حالیکه فایروال به ترافیک، برپایه مقصد نهایی آن اجازه عبور می دهد، ابزار IPS و IDS تجزیه و تحلیل عمیق تری را برعهده دارند، و بنابراین سطح بالاتری از محافظت را ارائه می کنند. با این تکنولوژی های پیشرفته، حملاتی که داخل ترافیک قانونی شبکه وجود دارند و می توانند از فایروال عبور کنند، مشخص خواهند شد و قبل از آسیب رسانی به آنها خاتمه داده خواهند شد.سیستم های مدیریت آسیب پذیری روند بررسی آسیب پذیری های شبکه شما را بصورت خودکار استخراج می کنند. انجام چنین بررسی هایی به صورت دستی با تناوب مورد نیاز برای تضمین امنیت، تا حدود زیادی غیرعملی خواهد بود. بعلاوه، شبکه ساختار پویایی دارد. ابزار جدید، ارتقاءدادن نرم افزارها و وصله ها، و افزودن و کاستن از کاربران، همگی می توانند آسیب پذیری های جدید را پدید آورند. ابزار تخمین آسیب پذیری به شما اجازه می دهند که شبکه را مرتب و کامل برای جستجوی آسیب پذیری های جدید پیمایش کنید.روش های تابعیت امنیتی کاربر انتهایی به سازمان ها سطح بالایی از کنترل بر روی ابزاری را می دهد که به صورت سنتی کنترل کمی بر روی آنها وجود داشته است. هکرها بصورت روز افزون به دنبال بهره برداری از نقاط انتهایی برای داخل شدن به شبکه هستند، همچانکه پدیده های اخیر چون Mydoom، Sobig، و Sasser گواهی بر این مدعا هستند. برنامه های امنیتی کاربران انتهایی این درهای پشتی خطرناک به شبکه را می بندند.
معایب
IDSها تمایل به تولید تعداد زیادی علائم هشدار غلط دارند، که به عنوان false positives نیز شناخته می شوند. در حالیکه IDS ممکن است که یک حمله را کشف و به اطلاع شما برساند، این اطلاعات می تواند زیر انبوهی از هشدارهای غلط یا دیتای کم ارزش مدفون شود. مدیران IDS ممکن است به سرعت حساسیت خود را نسبت به اطلاعات تولید شده توسط سیستم از دست بدهند. برای تأثیرگذاری بالا، یک IDS باید بصورت پیوسته بررسی شود و برای الگوهای مورد استفاده و آسیب پذیری های کشف شده در محیط شما تنظیم گردد. چنین نگهداری معمولاً میزان بالایی از منابع اجرایی را مصرف می کند.سطح خودکار بودن در IPSها می تواند به میزان زیادی در میان محصولات، متفاوت باشد. بسیاری از آنها باید با دقت پیکربندی و مدیریت شوند تا مشخصات الگوهای ترافیک شبکه ای را که در آن نصب شده اند منعکس کنند. تأثیرات جانبی احتمالی در سیستمهایی که بهینه نشده اند، مسدود کردن تقاضای کاربران قانونی و قفل کردن منابع شبکه معتبر را شامل می شود.بسیاری، اما نه همه روش های امنیتی کاربران انتهایی، نیاز به نصب یک عامل در هر نقطه انتهایی دارد. این عمل می تواند مقدار قابل توجهی بار کاری اجرایی به نصب و نگهداری اضافه کند.تکنولوژی های کنترل دسترسی ممکن است محدودیت های فنی داشته باشند. برای مثال، بعضی ممکن است با تمام ابزار موجود در شبکه شما کار نکنند، بنابراین ممکن است به چند سیستم برای ایجاد پوشش نیاز داشته باشید. همچنین، چندین فروشنده سیستم های کنترل دسترسی را به بازار عرضه می کنند، و عملکرد می تواند بین محصولات مختلف متفاوت باشد. پیاده سازی یک سیستم یکپارچه در یک شبکه ممکن است دشوار باشد. چنین عمل وصله-پینه ای یعنی رویکرد چند محصولی ممکن است در واقع آسیب پذیری های بیشتری را در شبکه شما به وجود آورد.
موفقیت ابزارهای امنیت سطح شبکه به نحوی به سرعت اتصالات داخلی شبکه شما وابسته است. زیرا ابزارهای IDS/IPS ، مدیریت آسیب پذیری و امنیت کاربر انتهایی ممکن است منابعی از شبکه ای را که از آن محافظت می کنند، مصرف کنند. سرعت های اتصالی بالاتر تأثیری را که این ابزارها بر کارایی شبکه دارند به حداقل خواهد رساند. در پیاده سازی این تکنولوژی ها شما باید به مصالحه بین امنیت بهبودیافته و سهولت استفاده توجه کنید، زیرا بسیاری از این محصولات برای کارکرد مؤثر باید به طور پیوسته مدیریت شوند و این ممکن است استفاده از آن محصولات را در کل شبکه با زحمت مواجه سازد.وقتی که این تکنولوژی ها را در اختیار دارید، بهبود پیوسته امنیت شبکه را در خاطر داشته باشید. در شبکه هایی با پویایی و سرعت گسترش بالا، تطبیق با شرایط و ابزار جدید ممکن است مسأله ساز گردد.سطح ۳- امنیت میزبان :سطح میزبان در مدل امنیت لایه بندی شده، مربوط به ابزار منفرد مانند سرورها، کامپیوترهای شخصی، سوئیچ ها، روترها و غیره در شبکه است. هر ابزار تعدادی پارامتر قابل تنظیم دارد و هنگامی که به نادرستی تنظیم شوند، می توانند سوراخ های امنیتی نفوذپذیری ایجاد کنند. این پارامترها شامل تنظیمات رجیستری، سرویس ها، توابع عملیاتی روی خود ابزار یا وصله های سیستم های عامل یا نرم افزارهای مهم می شود.تکنولوژی های زیر امنیت را در سطح میزبان فراهم می کنند:
· IDS در سطح میزبان ـ IDSهای سطح میزبان عملیاتی مشابه IDSهای شبکه انجام می دهند؛ تفاوت اصلی در نمایش ترافیک در یک ابزار شبکه به تنهایی است. IDSهای سطح میزبان برای مشخصات عملیاتی بخصوصی از ابزار میزبان تنظیم می گردند و بنابراین اگر به درستی مدیریت شوند، درجه بالایی از مراقبت را فراهم می کنند.
· VA (تخمین آسیب پذیری) سطح میزبان - ابزارهای VA سطح میزبان یک ابزار شبکه مجزا را برای آسیب پذیری های امنیتی پویش می کنند. دقت آنها نسبتا بالاست و کمترین نیاز را به منابع میزبان دارند. از آنجایی که VA ها بطور مشخص برای ابزار میزبان پیکربندی می شوند، درصورت مدیریت مناسب، سطح بسیار بالایی از پوشش را فراهم می کنند.
· تابعیت امنیتی کاربر انتهایی – روش های تابعیت امنیتی کاربر انتهایی وظیفه دوچندانی ایفا می کنند و هم شبکه (همانگونه در بخش قبلی مطرح شد) و هم میزبان های جداگانه را محافظت می کنند. این روش ها بطور پیوسته میزبان را برای عملیات زیان رسان و آلودگی ها بررسی می کنند و همچنین به نصب و به روز بودن فایروال ها و آنتی ویروس ها رسیدگی می کنند.
· آنتی ویروس - هنگامی که آنتی ویروس های مشخص شده برای ابزار در کنار آنتی ویروس های شبکه استفاده می شوند ، لایه اضافه ای برای محافظت فراهم می کنند.
· کنترل دسترسیتصدیق هویت- ابزار کنترل دسترسی در سطح ابزار یک روش مناسب است که تضمین می کند دسترسی به ابزار تنها توسط کاربران مجاز صورت پذیرد. در اینجا نیز، احتمال سطح بالایی از تراکنش بین ابزار کنترل دسترسی شبکه و کنترل دسترسی میزبان وجود دارد.
مزایا
این تکنولوژی های در سطح میزبان حفاظت بالایی ایجاد می کنند زیرا برای برآورده کردن مشخصات عملیاتی مخصوص یک ابزار پیکربندی می گردند. دقت و پاسخ دهی آنها به محیط میزبان به مدیران اجازه می دهد که به سرعت مشخص کنند کدام تنظمیات ابزار نیاز به به روز رسانی برای تضمین عملیات امن دارند.
معایب
بکارگیری و مدیریت سیستم های سطح میزبان می تواند بسیار زمان بر باشند. از آنجایی که این سیستم ها نیاز به نمایش و به روز رسانی مداوم دارند، اغلب ساعات زیادی برای مدیریت مناسب می طلبند. اغلب نصبشان مشکل است و تلاش قابل ملاحظه ای برای تنظیم آنها مورد نیاز است. همچنین، هرچه سیستم عامل بیشتری در شبکه داشته باشید، یک رویکرد برپایه میزبان، گران تر خواهد بود و مدیریت این ابزار مشکل تر خواهد شد. همچنین، با تعداد زیادی ابزار امنیتی سطح میزبان در یک شبکه، تعداد هشدارها و علائم اشتباه می تواند بسیار زیاد باشد.
ملاحظات
بدلیل هزینه ها و باراضافی مدیریت، ابزار در سطح میزبان باید بدقت بکار گرفته شوند. بعنوان یک اصل راهنما، بیشتر سازمان ها این ابزار را فقط روی سیستم های بسیار حساس شبکه نصب می کنند. استثناء این اصل یک راه حل تابعیت امنیتی کاربر انتهایی است، که اغلب برای پوشش دادن به هر ایستگاه کاری که تلاش می کند به شبکه دسترسی پیدا کند، بکار گرفته می شود.سطح ۴- امنیت برنامه کاربردی
در حال حاضر امنیت سطح برنامه کاربردی بخش زیادی از توجه را معطوف خود کرده است. برنامه هایی که به میزان کافی محافظت نشده اند، می توانند دسترسی آسانی به دیتا و رکوردهای محرمانه فراهم کنند. حقیقت تلخ این است که بیشتر برنامه نویسان هنگام تولید کد به امنیت توجه ندارند. این یک مشکل تاریخی در بسیاری از برنامه های با تولید انبوه است. ممکن است شما از کمبود امنیت در نرم افزارها آگاه شوید، اما قدرت تصحیح آنها را نداشته باشید.برنامه ها برای دسترسی مشتریان، شرکا و حتی کارمندان حاضر در محل های دیگر، روی وب قرار داده می شوند. این برنامه ها، همچون بخش فروش، مدیریت ارتباط با مشتری، یا سیستم های مالی، می توانند هدف خوبی برای افرادی که نیات بد دارند، باشند. بنابراین بسیار مهم است که یک استراتژی امنیتی جامع برای هر برنامه تحت شبکه اعمال شود.
تکنولوژی های زیر امنیت را در سطح برنامه فراهم می کنند:
· پوشش محافظ برنامه – از پوشش محافظ برنامه به کرات به عنوان فایروال سطح برنامه یاد می شود و تضمین می کند که تقاضاهای وارد شونده و خارج شونده برای برنامه مورد نظر مجاز هستند. یک پوشش که معمولاً روی سرورهای وب، سرورهای ایمیل، سرورهای پایگاه داده و ماشین های مشابه نصب می شود، برای کاربر شفاف است و با درجه بالایی با سیستم یکپارچه می شود.یک پوشش محافظ برنامه برای عملکرد مورد انتظار سیستم میزبان تنظیم می گردد. برای مثال، یک پوشش روی سرور ایمیل به این منظور پیکربندی می شود تا جلوی اجرای خودکار برنامه ها توسط ایمیل های وارد شونده را بگیرد، زیرا این کار برای ایمیل معمول یا لازم نیست.
· کنترل دسترسی/تصدیق هویت- مانند تصدیق هویت در سطح شبکه و میزبان، تنها کاربران مجاز می توانند به برنامه دسترسی داشته باشند.
· تعیین صحت ورودی - ابزارهای تعیین صحت ورودی بررسی می کنند که ورودی گذرنده از شبکه برای پردازش امن باشد. اگر ابزارهای امنیتی مناسب در جای خود مورد استفاده قرار نگیرند، هر تراکنش بین افراد و واسط کاربر می تواند خطاهای ورودی تولید کند. عموماً هر تراکنش با سرور وب شما باید ناامن در نظر گرفته شود مگر اینکه خلافش ثابت شود!به عنوان مثال، یک فرم وبی با یک بخش zip code را در نظر بگیرید. تنها ورودی قابل پذیرش در این قسمت فقط پنج کاراکتر عددی است. تمام ورودی های دیگر باید مردود شوند و یک پیام خطا تولید شود. تعیین صحت ورودی باید در چندین سطح صورت گیرد. در این مثال، یک اسکریپت جاوا می تواند تعیین صحت را در سطح مرورگر در سیستم سرویس گیرنده انجام دهد، در حالیکه کنترل های بیشتر می تواند در سرور وب قرار گیرد. اصول بیشتر شامل موارد زیر می شوند:
- کلید واژه ها را فیلتر کنید. بیشتر عبارات مربوط به فرمانها مانند «insert»، باید بررسی و در صورت نیاز مسدود شوند.
- فقط دیتایی را بپذیرید که برای فلید معین انتظار می رود. برای مثال، یک اسم کوچک ۷۵ حرفی یک ورودی استاندارد نیست.
مزایا
ابزارهای امنیت سطح برنامه موقعیت امنیتی کلی را تقویت می کنند و به شما اجازه کنترل بهتری روی برنامه هایتان را می دهند. همچنین سطح بالاتری از جوابگویی را فراهم می کنند چرا که بسیاری از فعالیت های نمایش داده شده توسط این ابزارها، ثبت شده و قابل ردیابی هستند.
معایب
پیاده سازی جامع امنیت سطح برنامه می تواند هزینه بر باشد، چرا که هر برنامه و میزبان آن باید بصورت مجزا ارزیابی، پیکربندی و مدیریت شود. بعلاوه، بالابردن امنیت یک شبکه با امنیت سطح برنامه می تواند عملی ترسناک! و غیرعملی باشد. هرچه زودتر بتوانید سیاست هایی برای استفاده از این ابزارها پیاده کنید، روند مذکور موثرتر و ارزان تر خواهد بود.
ملاحظات
ملاحظات کلیدی برنامه ها و طرح های شما را برای بلندمدت اولویت بندی می کنند. امنیت را روی برنامه ها کاربردی خود در جایی پیاده کنید که بیشترین منفعت مالی را برای شما دارد. طرح ریزی بلندمدت به شما اجازه می دهد که ابزارهای امنیتی را با روشی تحت کنترل در طی رشد شبکه تان پیاده سازی کنید و از هزینه های اضافی جلوگیری می کند.
سطح ۵ - امنیت دیتا
امنیت سطح دیتا ترکیبی از سیاست امنیتی و رمزنگاری را دربرمی گیرد. رمزنگاری دیتا، هنگامی که ذخیره می شود و یا در شبکه شما حرکت می کند، به عنوان روشی بسیار مناسب توصیه می گردد، زیرا چنانچه تمام ابزارهای امنیتی دیگر از کار بیفتند، یک طرح رمزنگاری قوی دیتای مختص شما را محافظت می کند. امنیت دیتا تا حد زیادی به سیاست های سازمانی شما وابسته است. سیاست سازمانی می گوید که چه کسی به دیتا دسترسی دارد، کدام کاربران مجاز می توانند آن را دستکاری کنند و چه کسی مسوول نهایی یکپارچگی و امن ماندن آن است. تعیین صاحب و متولی دیتا به شما اجازه می دهد که سیاست های دسترسی و ابزار امنیتی مناسبی را که باید بکار گرفته شوند، مشخص کنید.
تکنولوژی های زیر امنیت در سطح دیتا را فراهم می کنند:
· رمزنگاری – طرح های رمزنگاری دیتا در سطوح دیتا، برنامه و سیستم عامل پیاده می شوند. تقریباً تمام طرح ها شامل کلیدهای رمزنگاری/رمزگشایی هستند که تمام افرادی که به دیتا دسترسی دارند، باید داشته باشند. استراتژی های رمزنگاری معمول شامل PKI، PGP و RSA هستند.
· کنترل دسترسی / تصدیق هویت – مانند تصدیق هویت سطوح شبکه، میزبان و برنامه، تنها کاربران مجاز دسترسی به دیتا خواهند داشت.
مزایا
رمزنگاری روش اثبات شده ای برای محافظت از دیتای شما فراهم می کند. چنانچه نفوذگران تمام ابزارهای امنیتی دیگر در شبکه شما را خنثی کنند، رمزنگاری یک مانع نهایی و موثر برای محافظت از اطلاعات خصوصی و دارایی دیجیتال شما فراهم می کند.
معایب
بار اضافی برای رمزنگاری و رمزگشایی دیتا وجود دارد که می تواند تأثیرات زیادی در کارایی بگذارد. به علاوه، مدیریت کلیدها می تواند تبدیل به یک بار اجرایی در سازمان های بزرگ یا در حال رشد گردد.
ملاحظات
رمزنگاری تا عمق مشخص باید به دقت مدیریت شود. کلیدهای رمزنگاری باید برای تمام ابزارها و برنامه های تحت تأثیر تنظیم و هماهنگ شوند. به همین دلیل، یک بار مدیریتی برای یک برنامه رمزنگاری موثر مورد نیاز است.
دفاع در مقابل تهدیدها و حملات معمول
مقالات گذشته نشان می دهد که چگونه رویکرد امنیت لایه بندی شده در مقابل تهدیدها و حملات معمول از شبکه شما محافظت می کند و نشان می دهد که چگونه هر سطح با داشتن نقشی کلیدی در برقراری امنیت شبکه جامع و مؤثر، شرکت می کند.
بعضی حملات معمول شامل موارد زیر می شود:
· حملات به وب سرور ـ حملات به وب سرور دامنه زیادی از مشکلاتی را که تقریباً برای هر وب سرور ایجاد می شود، در برمی گیرد. از دستکاری های ساده در صفحات گرفته تا در اختیار گرفتن سیستم از راه دور و تا حملات DOS. امروزه حملات به وب سرور یکی از معمول ترین حملات هستند. Code Red و Nimda به عنوان حمله کنندگان به وب سرورها از شهرت زیادی! برخوردارند.
· بازپخش ایمیل ها بصورت نامجاز ـ سرورهای ایمیلی که بصورت مناسب پیکربندی نشده اند یک دلیل عمده برای ارسال هرزنامه ها بشمار می روند. بسیاری از شرکت های هرزنامه ساز در پیدا کردن این سرورها و ارسال صدها و هزاران پیام هرزنامه به این سرورها، متخصص هستند.
· دستکاری میزبان دور در سطح سیستم ـ تعدادی از آسیب پذیری ها، یک سیستم را از راه دور در اختیار حمله کننده قرار می دهند. بیشتر این نوع کنترل ها در سطح سیستم است و به حمله کننده اختیاراتی برابر با مدیر محلی سیستم می دهد.
· فراهم بودن سرویس های اینترنتی غیرمجاز ـ توانایی آسان بکارگیری یک وب سرور یا سرویس اینترنتی دیگر روی یک کامپیوتر ریسک افشای سهوی اطلاعات را بالا می برد. اغلب چنین سرویس هایی کشف نمی شوند، در حالی که در شعاع رادار دیگران قرار می گیرند!
· تشخیص فعالیت ویروسی ـ در حالی که برنامه ضدویروس در تشخیص ویروس ها مهارت دارد، این نرم افزار برای تشخیص فعالیت ویروسی طراحی نشده است. در این شرایط بکارگیری یک برنامه تشخیص نفوذ یا IDS شبکه برای تشخیص این نوع فعالیت بسیار مناسب است.
نتیجه گیری
هکرها و تروریست های فضای سایبر به طور فزاینده ای اقدام به حمله به شبکه ها می کنند. رویکرد سنتی به امنیت ـ یعنی یک فایروال در ترکیب با یک آنتی ویروس ـ در محافظت از شما در برابر تهدیدهای پیشرفته امروزی ناتوان است.اما شما می توانید با برقراری امنیت شبکه با استفاده از رویکرد لایه بندی شده دفاع مستحکمی ایجاد کنید. با نصب گزینشی ابزارهای امنیتی در پنج سطح موجود در شبکه تان (پیرامون، شبکه، میزبان، برنامه و دیتا) می توانید از دارایی های دیجیتالی خود محافظت کنید و از افشای اطلاعات خود در اثر ایجاد رخنه های مصیبت بار تا حد زیادی بکاهید.
 

panasonic.ir

Registered User
تاریخ عضویت
2 سپتامبر 2013
نوشته‌ها
298
لایک‌ها
51
محل سکونت
تهران
امنیت گمشده

a1ba599cbd3879e16b9e59171694f4d8.jpg


ویروس‌ها، کرم‌ها‌، هرزنامه‌ها، بدافزارها و تروجان‌ها هر روز وسیع‌تر از روزهای قبل به رشد و انتشار خود ادامه می‌دهند و با گسترش شبکه اینترنت و افزایش کاربران آن، راه‌های بیشتر و بهتری برای نفوذ خود و دسترسی به اطلا‌عات کاربران و خرابکاری و دستکاری کردن آنها می‌یابند. این روزها تکثیر دیوانه‌وار و انتشار سریع ویروس‌ها، کاربران اینترنت را سردرگم کرده است بطوریکه تعداد کدهای مخرب و بدافزارهای رایانه‌ای از ابتدای سال ۲۰۰۰ میلا‌دی تاکنون ۲۵ هزار و ۸۲۰ درصد افزایش داشته و این بدان معناست که تعداد و تنوع ویروس‌های فعال تنها در عرض هفت سال، ۲۶۰ برابر شده است. به عقیده بسیاری از کارشناسان امنیتی، مشکل نگران کننده‌تر، استمرار این روند با بهره‌گیری فزاینده از روش‌ها و فناوری‌های پیشرفته برای نفوذ و ایجاد تخریب در رایانه‌های سراسر جهان است.
روند افزایش چشمگیر کدهای مخرب با ایجاد تغییرات عمده در تعداد انواع آنها نیز همراه بوده است. ویروس‌های معمول رایانه‌ای که در سال ۲۰۰۰ میلا‌دی، ۸۱ درصد از کل کدهای مخرب را تشکیل می‌دادند،‌اکنون تنها یک درصد از مجموع آنها را تشکیل می‌دهند و این درحالیست که تروژان‌ها با ۱۴ درصد مجموع بدافزارها در هفت سال گذشته، اینک ۵۳ درصد کل آمار را به خود اختصاص داده‌اند. این امر به دلیل محبوبیت حملا‌ت خاموش و خزنده در بین خرابکاران اینترنتی است که بیشتر توسط اسب‌های تروا انجام می‌شوند.
جاسوس افزارها (‌) spyware نیز که تا قبل از سال ۲۰۰۲ میلا‌دی،‌ هیچ سهمی در تست نفوذو بین انواع کدهای مخرب نداشتند، اکنون با اختصاص بیش از ۲۰ درصد مجموع آنها،‌یک معضل جدی در امنیت جهانی اطلا‌عات محسوب می‌شوند. این کدها اغلب برای سرقت اطلا‌عات محرمانه و کسب درآمد مستقیم یا غیرمستقیم توسط مجرمان اینترنتی، مورد استفاده قرار می‌گیرند.
کرم‌های رایانه‌ای با اینکه هنوز هم تهدید نسبتا جدی برای کاربران رایانه تلقی می‌شوند، رفته رفته از دوران سلطه و حکمرانی مطلق خود بر اینترنت در سال‌های ۲۰۰۲ تا ۲۰۰۵ میلا‌دی، فاصله می‌گیرند و جای خود را به بدافزارهایی می‌دهند که به نحوی سرقت پول و کسب درآمد را تسهیل می‌کنند.
در این میان آزمایشگاه‌های امنیتی پاندا، تنها راه کاهش تهدیدات اینترنتی را افزایش تست نفوذ و ارتقای آگاهی کاربران، استفاده از برنامه‌های امنیتی به روز شده و فناوری‌های پیشرفته حفاظتی و نیز به روز رسانی برنامه‌های کاربردی مهم، برای ترمیم حفره‌های امنیتی جدید می‌داند.
● هشدار مک آفی ‌
شرکت امنیت انفورماتیکی مک آفی نیز چندی پیش نسبت به شیوع هرزنامه‌های تصویری که با ابزارهای سنتی امنیتی به سختی قابل شناسایی است، هشدار داد.
مک آفی در این خصوص اظهار داشت: این نوع جدیدی از هرزنامه که هرزنامه تصویری (‌image spam‌) نام دارد، نسبت به ایمیل‌های ناخواسته متنی با آنتی‌اسپم‌های رایج به سختی قابل شناسایی است.
هرزنامه‌های تصویری بیش از ۵۰ درصد از مجموع هرزنامه‌های دریافت شده در سال ۲۰۰۶ را به خود اختصاص داده‌اند که این رقم در سال ۲۰۰۵ تنها ۵‌درصد بوده است.
● ناکارآمدی نرم‌افزارهای ضدویروس ‌
تکنولوژی‌های آنتی ویروس‌ها در شناسایی حملا‌تی چون ویروس‌ها، کرم‌ها و شبکه‌های ‌Bot بسیار ناسازگار و ضد و نقیض عمل می‌کنند.
بنابر تحقیقات بخش مهندسی الکترونیک و بخش علوم کامپیوتری دانشگاه میشیگان و شرکت شبکه‌ای ‌Arbor ، محصولا‌ت آنتی‌ویروس در اغلب موارد هنگام شناسایی حملا‌تی همچون ویروس‌ها، کرم‌ها و ‌Spyware ها بسیار ناهمگون عمل می‌کنند.
تحقیقاتی که روی تعداد زیادی ویروس، کرم و کدهای مخرب صورت پذیرفت نشان می‌دهد که تمامی آنتی ویروس‌ها در مورد شناسایی برخی از کدهای مخرب، ناهمگون و ناسازگار عمل می‌کنند و آنها در زمینه علم‌معناشناسی ویروس‌ها و کدهای مخرب موفق عمل نکرده‌اند.
این تحقیقات نشان می‌دهد که آنتی‌ویروس‌ها چیزی حدود ۲۰ تا ۶۲ درصد ویروس‌ها، کرم‌ها و کدهای مخرب دیگر را تشخیص نمی‌دادند.
برهمین اساس محققین استدلا‌ل کرده‌اند که محصولا‌ت آنتی ویروس باید این بار به تشریح رفتار کدهای مخرب بها دهند و فقط به الگو و روش صدا کردن این برنامه‌ها توسط سیستم عامل نپردازند و تمامی جوانب را درنظر داشته باشند. البته برای اینکه این مساله ساده‌تر شود در این گزارش روش‌های تست نفوذ و نحوه دسته‌بندی کدهای مخرب براساس رفتار آنها بیان شده است که با این دسته‌بندی‌ها می‌توان بسیاری از کدهای مخرب را باتوجه به شیوه رفتار آنها در سیستم شناسایی کرد.
● همکاری‌ها
امنیت، یکی از مهمترین مسائل موجود در بحث فناوری اطلا‌عات محسوب می‌شود که متاسفانه نه‌تنها با پیشرفت تکنولوژی‌های حفاظتی بهبود نیافته بلکه رو به وخامت نیز نهاده است.
باتوجه به وضعیت کنونی خلق، انتشار و عملکرد سریع کدهای مخرب و افزایش چشمگیر تعداد و تنوع آنها، آزمایشگاه‌های امنیتی جهان قادر به دریافت، تحلیل و بررسی تمام این بدافزارها به منظور ارائه روش‌های پاکسازی نخواهند بود.
کارشناسان امنیتی پاندا بر این عقیده هستند که در شرایط رو به وخامت فعلی، اشتراک اطلا‌عات امنیتی توسط خود کاربران اینترنت، برای ارتقای امنیت ‌IT بسیار سودمند و موثر واقع خواهد شد چراکه گردآوری و به اشتراک گذاشتن اطلا‌عات و داده‌های امنیتی توسط همه کاربران اینترنت، به یک آگاهی و هوش یکپارچه در جامعه جهانی اطلا‌عات منجر خواهد شد و در نهایت با استفاده از فناوری‌های مبتنی بر این روش، تعداد و انواع بیشتر و دقیق‌تری از کدهای مخرب، خصوصا موارد ناشناخته و بسیار جدید آنها، ردیابی، کشف و خنثی خواهند شد و در نهایت، امنیت تک‌تک رایانه‌های متصل به اینترنت تا حد بسیار زیادی افزایش خواهد یافت.
این شکل خاص از همکاری و مشارکت امنیتی کاربران که بر پایه ‌۲.۰ Web انجام می‌شود، می‌تواند منجر به ابداع سیستم جهانی مدرن و هوشمندی گردد که بدون نیاز به بررسی، تحلیل و نیز شناخت قبلی کدهای مخرب، بتواند تمامی بدافزارها و به ویژه بدافزارهای بسیار جدید و ناشناخته را نیز کشف کند.
خوشبختانه، امروز تکنولوژی لا‌زم برای طراحی و تولید این سیستم وجود دارد و حتی تلا‌ش‌هایی هم در این جهت صورت گرفته که می‌توان به تولید فناوری هوش یکپارچه توسط ‌Panda Software اشاره کرد.
با استفاده از نسل پیشرفته این فناوری می‌توان اطلا‌عات مربوط به وضعیت امنیتی رایانه‌های سراسر جهان را بررسی کرده، کدهای مخرب ناشناخته، بسیار جدید و در حال انتشار را ردیابی و کشف کرد و اطلا‌عات مربوط به آن را بلا‌فاصله و سریعا در اختیار تمامی کاربران رایانه قرار داد. به این ترتیب مقدار تخریب ایجاد شده در رایانه‌ها به طرز چشمگیری کاهش خواهد یافت، زیرا شناسایی و کشف بدافزارها نیز بسیار سریع انجام گرفته است.
● مبارزه با مجرمان اینترنتی
در همین راستا مجلس نمایندگان ایالا‌ت متحده چندی پیش قانونی را برای مبارزه با استفاده‌های جنایی از اینترنت تصویب کرده است. این قانون برای جلوگیری از استفاده‌های جنایی از اینترنت و نقشه‌هایی که با هدف ربودن اطلا‌عات شخصی از کامپیوترهای کاربران است، خواهد بود.
<زویی لوفگرن> یکی از حامیان این قانون گفته است که نرم‌افزارهای مشکل‌آفرین یکی از بزرگ‌ترین تهدیدها برای مشتریان آنلا‌ین است که براساس کارشناسان امنیتی بیشتر کامپیوترهای این خطه با برخی از نرم‌افزارهای مشکل آفرین آلوده شده‌اند.
نرم‌افزارهای مشکل‌آفرین نرم‌افزارهایی هستند که به طور مخفیانه اطلا‌عات اشخاص یا سازمان‌ها را به دست آورده و آنها را بدون اینکه کاربر آگاه گردد یا از آن اجازه‌‌گرفته شود، به جای دیگری ارسال می‌کند.
یکی دیگر از افراد شرکت کننده در تصویب این قانون جدید در این‌باره گفته است که قانون جدید با درنظر گرفتن مجازات بسیار شدید برای مجرمان اینترنتی، از اطلا‌عات شخصی کاربران محافظت خواهد کرد. همچنین این قانون برای محافظت از کسب وکارهای آنلا‌ین خواهد بود.
براساس قانون جدید استفاده از نرم‌افزارهای مشکل آفرین جرم محسوب شده و مجرم به زندان محکوم خواهد شد که مدت آن تا بیش از پنج سال درنظر گرفته شده است.
همچنین به دست آوردن یا انتقال اطلا‌عات شخصی با هدف آسیب رساندن یا اهداف مخرب یا خسارت زدن به کامپیوتر دست کم مجازاتی برابر با دو سال زندان خواهد داشت.
در این اقدام، در طول چهار سال آینده هر سال ۱۰ میلیون دلا‌ر برای کمک به وزارت‌دادگستری برای مبارزه با مشکل آفرینان کامپیوتری مانند نامه‌های مشکل آفرین (استفاده از نامه‌های الکترونیکی یا وب‌سایت‌ها برای اغوای کاربران به وارد کردن حساب‌های بانکی خود، اطلا‌عات کارت‌های اعتباری یا اطلا‌عات شخصی دیگر) داده خواهد شد. افزون بر قانون یادشده، از تبصره‌های دیگری نیز صحبت شده که هنوز جزئیات آنها بیان نشده است.
● راهکارها
موثرترین راهکار برای جلوگیری از افزایش نگران‌کننده هرزنامه‌ها در صندوق‌های پست الکترونیک، ‌آگاهی کاربران معمولی و کم اطلا‌ع اینترنت از فلسفه وجودی و نحوه عملکرد این نوع خاص از بدافزار است.
‌Panda Software، طی یک گزارش تحلیلی از افزایش رو به رشد هرزنامه‌ها، سوء استفاده از ابتدایی‌ترین و در عین حال نیرومندترین نیازهای بشری را به عنوان ابزاری مهم برای انتشار هر چه بیشتر آنها و فریب کاربران معمولی اینترنت عنوان کرده است.
اغلب هرزنامه‌ها با هدف‌گیری طبیعی‌‌ترین نیازهای انسانی مانند دوستی، محبت، عشق، تایید شدن توسط سایرین،‌اعتماد به نفس، دریافت احترام و حتی معنی دادن به حضور خود در جهان هستی، به طور گسترده‌ای کاربران رایانه را از طریق هجوم به صندوق‌های پستی آنها مورد حمله و بمباران تبلیغاتی، تجاری، مالی و حتی اخلا‌قی قرار می‌دهند و افزایش خیره‌‌کننده تعداد آنها می‌تواند نشانه واضحی از عدم درک صحیح کاربران اینترنت، خصوصا افراد کم‌اطلا‌ع و تاثیرپذیر از نحوه عملکرد آنها باشد.
در بیشتر موارد،‌تعداد و تنوع هرزنامه‌ها به افزایش یا کاهش اهمیت برخی از نیازهای اولیه بشر وابسته است اما برخی از آنها، با داشتن قدمتی چندین ساله، از اوایل ظهور فناوری پست الکترونیک تاکنون، همچنان تعداد کثیری از این نوع بدافزارها را شامل می‌شوند.
هرزنامه‌های مربوط به بخت آزمایی (لا‌تاری)، قمار، دوست‌یابی و ارائه هرگونه محصول جدید، به طور عام، در این دسته قرار می‌گیرند.
واقعیت این است که هرکدام از نیازهای بشر با قابلیت هدف‌گیری و سوءاستفاده آسان، مورد توجه منتشرکنندگان هرزنامه قرار دارد. بنابراین موثرترین راهکار برای کاهش تعداد و تنوع این نوع کد مخرب، ارتقای آگاهی و درایت کاربران اینترنت به ویژه کاربران معمولی و کم اطلا‌ع برای عدم توجه و بی‌تفاوتی نسبت به آنها است.
●‌ بی‌توجهی مسوولا‌ن
براساس یافته‌های یک مطالعه درحالی که ۷۸ درصد از شرکت‌های بزرگ اعلا‌م کرده‌اند پایگاه داده‌برایشان مهم است، ۵۷ درصد از مسوولا‌ن اجرایی ‌IT مورد مطالعه‌، اعتراف کرده‌اند که سازمان‌های آنها اقدامات مناسب و کاملی را برای حفاظت در برابر اقدامات خرابکارانه به کار نبرده‌اند.
۵۵ درصد از افراد مورد مطالعه خاطرنشان کرده‌اند در سازمان‌های آنها اقدامات کافی برای جلوگیری به منظور از دست دادن اطلا‌عات وجود ندارد و ۴۰ درصد از آنها به دلیل اقدامات امنیتی، پایگاه داده خود را کنترل نمی‌کنند.
براساس این مطالعه، مهمترین اولویت مسوولا‌ن اجرایی ‌IT ، امنیت پایگاه داده و مونیتورینگ آن برای فعالیت‌های مشکوک نیست بلکه اولویت‌های مهم نقل شده از سوی آنها،‌شامل ارتقای برنامه‌های فعلی، تحکیم ‌IT و افزایش بهره‌وری بوده است.
بر اساس نتایج این گزارش حتی با وجود روبه‌رو شدن با تهدیدات امنیتی معمول و پرهزینه، هنوز هم شرکت‌ها اولویت بالا‌یی به حمایت از مصرف‌کنندگان و اطلا‌عات کارمندان اختصاص نداند.
● غفلت ایران
برنامه‌های امنیت اطلا‌عات در ایران نیز تنها به بیان گفته‌ها و استفاده از محصولا‌ت حفاظتی و پیشگیرانه خارجی محدود شده و حتی قوانین مرتبط با آن نیز هنوز در ایران سردرگم است و از نهادهایی همچون شورای عالی <افتا> که در آغاز کار تلا‌ش‌هایی را برای تدوین سند امنیت فضای تبادل اطلا‌عات انجام داد، نیز در این میان خبری نیست.
مدیر گروه فناوری‌های نوین پژوهشکده مجلس نیز در این زمینه معتقد است: مهمترین اقدامی که باید برای جلوگیری از تهدیدات محیط سایبر صورت بگیرد، تدابیر پیشگیرانه اجتماعی است که با آموزش کاربران به خصوص خانواده‌ها و ایجاد کدهای رفتاری برای کاربران حرفه‌ای عملی می‌شود.
رضا باقری معتقد است: بی‌توجهی به سلا‌مت و امنیت داده‌ها و سیستم‌ها، ما را در آینده با مشکل روبه‌رو می‌کند و مانع توسعه مبتنی بر دانایی خواهد شد. ‌IT به دلیل فراگیر بودن کاربردها و توسعه شگفت‌انگیزش در سه دهه اخیر با تهدیدهایی از جمله ویروس‌های رایانه‌ای همراه شده است.
به گفته وی، عمده تهدیداتی که امنیت و سلا‌مت فضای سایبر را با مشکل روبه‌رو می‌کند، در قالب محتوای غیراخلا‌قی (هرزه‌نگاری و توهین به مقدسات)، نقض مالکیت معنوی آثار دیجیتال، ویروس‌ها و کدهای مخرب، دسترسی غیرمجاز به داده‌ها، سرقت و جعل اطلا‌عات به همراه کلا‌هبرداری رایانه‌ای است که در مستندات بین‌المللی در بیش از ۲۰۰ عنوان ذکر شده است.
با ایجاد مانع در توسعه‌، مانند محدود کردن پهنای باند یا عدم توسعه خدمات نوین، نمی‌توان جلوی تهدیدات را گرفت؛ باید همراه با توسعه صنعت و کاربری ‌IT با مدیریت،‌تهدیدات را کاهش و از وقوع آن جلوگیری کرد.
او با بیان اینکه سه رویکرد در رویارویی با تهدیدات فضای سایبر و اقدامات قابل‌سرزنش که امنیت و سلا‌مت این فضا، با آن روبه‌رو است، موجود است که جرم‌انگاری با توسل جستن به قانون که لا‌زمه آن داشتن قانون جرائم رایانه‌ای و بسیاری از قوانین مکمل دیگر است، یکی از این رویکردهاست.
از جمله رویکردهای دیگر ایجاد و اتخاذ تدابیر حفاظتی و کنترلی در قالب پیشگیری وضعی و آموزش کاربران و توانمند‌سازی در مقابل و اجتناب از تهدیدات به همراه پیشگیری اجتماعی است اما بهترین روش بهره‌گیری همزمان از این سه رویکرد است.
باقری با اظهار تاسف از در دستور کار قرار نگرفتن لا‌یحه جرائم رایانه‌ای گفت: این لا‌یحه باتوجه به تصویب کلیات آن در مجلس شورای اسلا‌می‌، هنوز برای تصویب مواد آن در دستور کار مجلس قرار نگرفته است و قضات محترم نیز برای مجازات مجرمان با نقص قانون روبه‌رو هستند.
وجود قانون، خط‌های قرمز و مصادیق مجرمانه را مشخص می‌کند. با وجود قانون قطعا بسیاری از افراد که از روی ناآگاهی به هر یک از مصادیق مجرمانه اقدام می‌کنند، عمل خود را ترک خواهند کرد.
● لا‌یحه بلا‌تکلیف
براساس اظهارات رئیس کمیته مخابرات مجلس نیز که پیش از این گفته بود تصویب لا‌یحه جرائم رایانه‌ای به عمر مجلس هفتم قد نمی‌دهد و باتوجه به لوایح و طرح‌‌هایی که با فوریت درحال پیگیری است، بررسی این لا‌یحه در دوره بعدی مجلس شورای اسلا‌می انجام خواهد شد و این قوانین همچنان باید در راهروهای مجلس سرگردان بمانند.
رمضانعلی صادق‌‌زاده بررسی لا‌یحه قانون جرائم رایانه‌‌ای در مجلس را مستلزم قید فوریت بر این طرح از سوی دولت عنوان کرد و اظهارداشت: در صورتی که این لا‌یحه با قید فوریت به مجلس آورده می‌‌شد روند سریع‌‌تری را برای بررسی و پیگیری می‌‌گذارند.
وی ادامه داد: کلیات لا‌یحه جرائم رایانه‌‌ای در مجلس تصویب شده است و تمامی مسایل مربوط به فناوری اطلا‌عات نظیر هک‌کردن، کپی برداری و ورود به حریم خصوصی سایبر دیده شده است.
 

panasonic.ir

Registered User
تاریخ عضویت
2 سپتامبر 2013
نوشته‌ها
298
لایک‌ها
51
محل سکونت
تهران
کلیات امنیت شبکه

وقتی بحث امنیت شبکه پیش می اید ، مباحث زیادی قابل طرح و ارائه هستند ، موضوعاتی که هر کدام به تنهایی می توانند جالب ، پرمحتوا و قابل درک باشند ، اما وقتی صحبت کار عملی به میان می اید ، قضیه یک جورایی پیچیده می شود. ترکیب علم و عمل ، احتیاج به تجربه دارد و نهایت هدف یک علم هم ، به کار امدن ان هست .
وقتی دوره تئوری امنیت شبکه را با موفقیت پشت سر گذاشتید و وارد محیط کار شدید ، ممکن است این سوال برایتان مطرح شود که " خب ، حالا از کجا شروع کنم ؟ اول کجا را ایمن کنم ؟ چه استراتژی را پیش بگیرم و کجا کار را تمام کنم ؟ " انبوهی از این قبیل سوالات فکر شما را مشغول می کند و کم کم حس می کنید که تجربه کافی ندارید و این البته حسی طبیعی هست . پس اگر این حس رو دارید و می خواهید یک استراتژی علمی - کاربردی داشته باشید ، تا انتهای این مقاله با من باشید تا قدم به قدم شما رو به امنیت بیشتر نزدیک کنم.
همیشه در امنیت شبکه موضوع لایه های دفاعی ، موضوع داغی هست و نظرات مختلفی وجود دارد . عده ای فایروال را اولین لایه دفاعی می دانند ، بعضی ها هم Access List رو اولین لایه دفاعی می دانند ، اما واقعیت پنهان این هست که هیچکدام از اینها ، اولین لایه دفاعی نیستند . یادتون باشد که اولین لایه دفاعی در امنیت شبکه و حتی امنیت فیزیکی ، Policy هست . بدون policy ، لیست کنترل ، فایروال و هر لایه دیگر ، بدون معنی می شود و اگر بدون policy شروع به ایمن کردن شبکه کنید ، محصول یک آبکش واقعی از کار در می اید .
با این مقدمه ، و با توجه به این که شما policy مورد نظرتان را کاملا تجزیه و تحلیل کردید و دقیقا می دانید که چه چیزی رو می خواهید و چی را احتیاج ندارید ، کار را شروع می کنیم . ما باید پنج مرحله رو پشت سر بگذاریم تا کارمان تمام بشود . این پنج مرحله عبارتند از :
▪ Inspection ( بازرسی )
▪ Protection ( حفاظت )
▪ Detection ( ردیابی )
▪ Reaction ( واکنش )
▪ Reflection ( بازتاب)
در طول مسیر ، از این پنج مرحله عبور می کنیم ، ضمن اینکه ایمن کردن شبکه به این شکل ، احتیاج به تیم امنیتی دارد و یک نفر به تنهایی نمی تواند این پروسه رو طی کند و اگر هم بتواند ، خیلی طولانی می شود و قانون حداقل زمان ممکن را نقض می کند .
۱) اولین جایی که ایمن کردن رو شروع می کنیم ، ایمن کردن کلیه authentication های موجود هست . معمولا رایج ترین روش authentication که مورد استفاده قرار می گیرد ، استفاده از شناسه کاربری و کلمه رمز هست.
مهمترین جاهایی که باید authentication را ایمن و محکم کرد عبارتند از :
- کلمات عبور کاربران ، به ویژه مدیران سیستم .
- کلمات عبور سوییچ و روتر ها ( من روی سوییچ خیلی تاکید میکنم ، چون این device به صورت plug and play کار می کند ، اکثر مدیرهای شبکه از config کردن ان غافل می شوند ، در حالی که می تواند امنیت خیلی خوبی به شبکه بدهد ، به مدیران امنیتی توصیه میکنم که حتما این device رو کنترل کنند ) .
- کلمات عبور مربوط به SNMP .
- کلمات عبور مربوط به پرینت سرور .
- کلمات عبور مربوط به محافظ صفحه نمایش .
آنچه که شما در کلاسهای امنیت شبکه در مورد Account and Password Security یاد گرفتید را اینجا به کار می برید . که من به خاطر طولانی نشدن بحث به انها اشاره نمیکنم .
۲) قدم دوم نصب و به روز کردن آنتی ویروس بر روی همه دسکتاپ ، سرور و میل سرورها هست . ضمن اینکه آنتی ویروس های مربوط به کاربران باید به طور اتوماتیک به روز رسانی بشود و آموزشهای لازم در مورد فایلهای ضمیمه ایمیل ها و راهنمایی لازم جهت اقدام صحیح در صورت مشاهده موارد مشکوک یا اضطراری به کاربران هم داده بشود .
۳) مرحله سوم شامل نصب آخرین به روز رسانی های امنیتی سیستم عامل و سرویسهای موجود هست . در این مرحله علاوه بر کارهای ذکر شده ، کلیه سرورها و device ها و دسک تاپ ها با ابزار های شناسایی حفره های امنیتی بررسی می شوند تا علاوه بر شناسایی و رفع حفره های امنیتی ، سرویس های غیر ضروری هم شناسایی و غیرفعال بشوند .
۴) در این مرحله نوبت گروه بندی کاربران و اعطای مجوزهای لازم به فایلها و دایرکتوری ها میباشد . ضمن اینکه account های قدیمی هم باید غیر فعال شوند . گروه بندی و اعطای مجوز بر اساس یکی از سه مدل استاندارد Access Control Techniques یعنی MAC , DAC یا RBAC انجام می شود . بعد از پایان این مرحله ، یک بار دیگه امنیت سیستم عامل باید چک بشود تا چیزی فراموش نشده باشد .
۵) حالا نوبت device ها هست که معمولا شامل روتر ، سوییچ و فایروال می شود . بر اساس policy موجود و توپولوژی شبکه ، این box ها باید config بشوند . تکنولوژی هایی مثل NAT , PAT و filtering و غیره در این مرحله مطرح می شود و بر همین اساس این مرحله خیلی مهم هست. حتی موضوع مهم IP Addressing که از وظایف مدیران شبکه هست می تواند مورد توجه قرار بگیرد تا اطمینان حاصل بشود که از حداقل ممکن برای IP Assign به شبکه ها استفاده شده است.
۶) قدم بعد تعیین استراژی backup گیری هست . نکته مهم که اینجا وجود دارد این هست که باید مطمئن بشویم که سیستم backup گیری و بازیابی به درستی کار می کند و بهترین حالت ممکن باشد .
۷) امنیت فیزیکی . اول از همه به سراغ UPS ها می رویم . باید چک کنیم که UPS ها قدرت لازم رو برای تامین نیروی الکتریکی لازم جهت کار کرد صحیح سخت افزار های اتاق سرور در زمان اضطراری رو داشته باشند . نکات بعدی شامل کنترل درجه حرارت و میزان رطوبت هست. همینطور ایمنی در برابر سرقت و آتش سوزی. سیستم کنترل حریق باید به شکلی باشد که به نیروی انسانی و سیستم های الکترونیکی آسیب وارد نکند . به طور کل آنچه که در مورد امنیت فیزیکی یاد گرفتید را در این مرحله به کار می برید .
۸) امنیت وب سرور یکی از موضوعاتی هست که روش باید وسواس داشته باشید. به همین دلیل در این قسمت کار ، مجددا و با دقت بیشتر وب سرور رو چک و ایمن می کنیم . در حقیقت ، امنیت وب رو اینجا لحاظ می کنیم .
( اسکریپت های سمت سرویس دهنده رو هیج وقت فراموش نکنید )
۹) حالا نوبت چک ، تنظیم و تست سیستم های Auditing و Logging هست . این سیستم ها هم می تواند بر پایه host و هم بر پایه network باشد . سیستم های رد گیری و ثبت حملات هم در این مرحله نصب و تنظیم می شوند. باید مطمئن شوید که تمام اطلاعات لازم ثبت و به خوبی محافظت می شود . در ضمن ساعت و تاریخ سیستم ها درست باشد ، مبادا که اشتباه باشه که تمام زحماتتان در این مرحله به باد میرود . و امکان پیگیری های قانونی در صورت لزوم دیگر وجود ندارد .
۱۰) ایمن کردن Remote Access با پروتکل ها و تکنولوژی های ایمن و Secure قدم بعدی رو تشکیل می دهد. در این زمینه با توجه به شرایط و امکانات ، ایمن ترین پروتکل و تکنولوژی ها رو به خدمت بگیرید .
۱۱) نصب فایروال های شخصی در سطح host ها ، لایه امنیتی مضاعفی به شبکه شما میدهد . پس این مرحله رو فراموش نکنید .
۱۲) شرایط بازیابی در حالت های اضطراری رو حتما چک و بهینه کنید . این حالت ها شامل خرابی قطعات کامپیوتری ، خرابکاری کاربران عادی ، خرابی ناشی از بلایای طبیعی ( زلزله - آتش سوزی - افتادن - سرقت - سیل و ... ) و خرابکاری ناشی از نفوذ هکرها ، میباشد . استاندارد های warm site و hot site را در صورت امکان رعایت کنید.
یادتون باشد که " همیشه در دسترس بودن اطلاعات " ، جز، قوانین اصلی امنیتی هست .
۱۳) و قدم آخر این پروسه که در حقیقت شروع یک جریان همیشگی هست ، عضو شدن در سایتها و بولتن های امنیتی و در جریان آخرین اخبار امنیتی قرار گرفتن هست .
برای همه شما عزیزان آرزوی سلامتی و موفقیت را دارم .


امنیت در اینترنت و شبکه های ارتباطی

در حالی که بسیاری فناوری اطلاعات و ارتباطات را باعث تسهیل در امر انتقال اطلاعات می دانند موضوع امنیت در تبادل اطلاعات همواره به عنوان یکی از اصول غافل مانده به شکل یک معضل پنهان باقی می ماند. امنیت اطلاعات برای بخش مهمی از فعالان بخش فناوری اطلاعات تنها زمانی به عنوان یک موضوع حاد مطرح می شود که مشکلی در سیستم به وجود آید. در اغلب مواقع این مشکلات باعث ضربه ای سنگین بر سیستم و یا به اطلاعات موجود در آن می شود که در واقع می توان گفت رویکرد دیرهنگامی است. اینترنت همواره از جهت های گوناگون مورد نقد و ارزیابی قرار می گیرد اما واقعیت این است که این شبکه عظیم مانند هر اجتماع عادی انسانی دیگر در معرض تهدیدها و خطرات قرار دارد. از نفوذ داده های مخرب گرفته تا تخریب داده های سالم و برهم زدن نظم شبکه همه و همه تنها به یک مورد بستگی دارد و آن بحث امنیت اطلاعات در محیط اینترنت است. فایروال سیسکو شبکه فناوران عصر شبکه پاسارگاد امروزه امنیت اطلاعات در زمینه اینترنت از یک بحث حاشیه ای به یک بحث ضروری تغییر جهت داده است. هرگونه خرید و فروش روی اینترنت و یا انتقال داده ها باید تحت یک کنترل امنیتی صورت گیرد. اگر امنیت شبکه برقرار نگردد، مزیت های فراوان آن نیز به خوبی حاصل نخواهد شد و پول و تجارت الکترونیک، خدمات به کاربران خاص، اطلاعات شخصی، اطلاعاتی عمومی و نشریات الکترونیک همه و همه در معرض دستکاری و سوءاستفاده های مادی و معنوی قرار می گیرند. همچنین دستکاری اطلاعات- به عنوان زیربنای فکری ملت ها - توسط گروه های سازماندهی شده بین المللی، به نوعی مختل ساختن امنیت ملی و تهاجم علیه دولت ها و تهدیدی ملی محسوب می شود.در ایران که بسیاری از نرم افزارهای پایه از قبیل سیستم عامل و نرم افزارهای کاربردی و اینترنتی، از طریق واسطه ها و شرکت های خارجی تهیه می شود، بیم نفوذ از طریق راه های مخفی وجود دارد. هم اکنون نیز بانک ها و بسیاری از نهادها و دستگاه های دیگر از طریق شبکه به فعالیت می پردازند، به همین دلیل جلوگیری از نفوذ عوامل مخرب در شبکه به صورت مسئله ای استراتژیک درآمده که نپرداختن به آن باعث ایراد خساراتی خواهد شد. تجربیاتی نیز در همین زمینه وجود دارد که این موضوع را کاملاً ثابت کرده است.
● هویت مجازی
به رغم معرفی سرویس های متعدد روی شبکه، تاکنون مهمترین سرویس از میان سرویس های گوناگون اینترنت، سیستم پست الکترونیکی بوده است . بسیاری از کاربران اینترنت از این بخش بیشتر از سایر امکانات فراهم آمده توسط این شبکه جهانی استفاده می کنند. امروزه، اقتصاد جهانی به پست الکترونیکی متکی شده است، بسیاری از پیام های رد و بدل شده بین کاربران حاوی یادداشت های شخصی است. گرچه اغلب پیام ها از متن ساده تشکیل شده اند اما امکان پست الکترونیکی تمام انواع داده ها، مثل تصاویر، برنامه های کامپیوتری، سندهای صفحه گسترده و... نیز وجود دارد. با توجه به این سرویس، اینترنت اجازه می دهد که افرادی که دور از هم هستند با یکدیگر در تعامل و کار باشند و در واقع، فردی با فرد دیگری که هزاران کیلومتر از او دور است و هیچ وقت او را ندیده است، می تواند ارتباط داشته باشد. پست الکترونیکی امروزه در تجارت و بانکداری الکترونیکی هم کاربرد فراوانی دارد و بسیاری از تعیین هویت های مجازی امروزه توسط پست الکترونیک صورت می گیرد. در همین رابطه برای استفاده امن از پست الکترونیکی تذکراتی وجود دارد. درک تفاوت های پست الکترونیکی با پست عادی و یا گفت وگوی تلفنی کمی دشوار است ولی به کار بستن برخی نکات ساده می تواند در بالا بردن امنیت هنگام به کارگیری این سرویس مؤثر باشد از جمله این موارد می توان از موارد زیر را نام برد:بایستی همواره تصور شود که هیچ گونه اختفایی وجود ندارد. پیام هایی که به دلایلی نباید همه ببینند نباید از این طریق ارسال شود، بنابراین از ارسال نامه های بسیار خصوصی، سخنرانی های تند، بی احترامی های منظوردار و... باید احتراز شود. نباید فرض شود که پیام های حذف شده قابل بازیابی نیستند. چنانچه پیامی روز سه شنبه حذف شود، احتمالاً در نسخه های پشتیبان که شب یا روز قبل تهیه شده است موجود است، در سیستم پستی ابزار مشابه کاغذ خردکن وجود ندارد. در متن های ارسالی باید محتاط بود. این طبیعت پست الکترونیکی است که مردم پیام های دریافتی خود را بیشتر از پیام های ارسالی جدی می گیرند. ضمن اینکه ارسال یادداشت سریع به هر جایی از جهان بسیار ساده است .
● ضرورت حفاظت
برای افزایش امنیت تبادل اطلاعات از تکنیک های متعددی استفاده می شود که یکی از آنها رمزنگاری است. رمزنگاری از دیر باز به عنوان یک ضرورت برای حفاظت از اطلاعات خصوصی در مقابل دسترسی های غیرمجاز در تجارت و سیاست و مسائل نظامی وجود داشته است. به طور مثال تلاش برای ارسال یک پیام سری بین دو هم پیمان به گونه ای که حتی اگر توسط دشمن دریافت شود قابل درک نباشد، در رم قدیم نیز دیده شده است. در سالیان اخیر رمزنگاری و تحلیل رمز از یک هنر پا را فراتر گذاشته و یک علم مستقل شده است و در واقع به عنوان یک وسیله عملی برای ارسال اطلاعات محرمانه رویکانال های غیرامن همانند تلفن، ماکروویو و ماهواره ها شناخته می شود. پیشرفت علم رمزنگاری موجب به وجود آمدن روش های تحلیل مختلفی شده است به گونه ای که به طور متناوب سیستم های رمز مختلف شکسته شده اند. معروف ترین نمونه این نوع سیستم ها ماشین «انیگما » بوده است. انیگما ماشین رمزگذار و کدگذار و کدکننده ای بوده است که حزب نازی در زمان جنگ جهانی دوم برای ارسال پیام هایشان از طریق رادیو به سایر نقاط استفاده می کردند.رمزنگاری که به طور عمده به دو بخش رمزنگاری متقارن یا رمزنگاری با کلید خصوصی و رمزنگاری نامتقارن یا رمزنگاری با کلید عمومی صورت می گیرد، تلاش می کند برای ایجاد یک ارتباط سریاز طریق سیستم های مخابراتی و شبکه های کامپیوتری مباحث مربوط به محرمانگی و احراز هویت را تحت فرض های مشخص به درستی اثبات کند.نرم افزارها از جمله مهمترین اصول ارتقا و یا کاهش سطح امنیت در یک شبکه به حساب می آیند بر این اساس باید برای نظارت فنی در آنها قوانین و اجبارهایی را در نظر گرفت و باید به منظور پشتیبانی از سیستم کنترل دستیابی ابزارهای لازم را در اختیار داشت . سیستم های نرم افزاری بایستی دارای کنترل های داخلی برای شناسایی کاربران، نمایش استفاده های غیرمجاز و محدود نمودن حدود اختیار کاربران باشند. چنانچه فردی چند بار سعی کند به سیستم وارد شود و رمز نادرستی را وارد کند بایستی سیستم به طور خودکار غیرفعال و در موارد پیچیده تر برنامه ها به منظور عدم دستیابی به اطلاعات به صورت خود مخرب طراحی شوند. چنانچه از سیستمی در یک مدت زمان مشخص و تعیین شده استفاده نشود، پایانه ها یا رایانه های مربوطه باید از حالت فعال خارج شده و سیستم، برای استفاده مجدد نیاز به واردشدن مجدد و دادن رمز ورود داشته باشد. رمزنگاری روش مناسبی برای حفاظت داده های مهم از دید همگان است. گنجانیدن دستورات کنترلی داخلی می تواند کمک موثری در اعمال رویه های شناسایی، دسترسی، استفاده و انتقال داده ها به حساب آید و رد و اثر عملیات انجام شده را در اختیار مسئولان بگذارد. اعمال برخی روتین های ویرایشی از بروز اشتباهات و خرابی داده ها تا حد بسیاری جلوگیری می کند و در مواقعی، گرفتن گزارش هایی که نشانگر داده هایی است که خارج از محدوده معمول هستند، می تواند کمک بسیاری در یافتن خطاها یا افراد باشد که قصد خرابکاری یا اعمال خلاف را دارند، این گونه کنترل ها میزان اطمینان به داده ها و اطلاعات جمع آوری شده را نیز بالا می برد. تدوین برنامه های لازم برای تهیه نسخه های پشتیبانی از داده ها بسیار ضروری است . تعیین برنامه زمانبندی برای اجرای این برنامه ها نیز از اهمیت بالایی برخوردار است. کنترل کیفیت نرم افزار می تواند از بسیاری از خطاهای نرم افزاری که موجب فقدان داده یا خرابی آنها می شود، جلوگیری کند.
گنجانیدن پیام های خطای مناسب جهت ردیابی اشکالات نرم افزاری سبب تسریع در امر اشکال یابی و رفع اشکالات احتمالی می شود. نرم افزارها در مقابل ویروس های رایانه ای و برنامه های مخرب بایستی محافظت شوند.
روزانه راهکارهای مختلف امنیتی در سطوح مختلف برای کاربری و استفاده از اینترنت برای انتقال داده ها ارائه می شود با وجود این همواره شاهد بروز ضعف ها و نقاط آسیب پذیر متعددی در سایت ها و بانک های اطلاعاتی هستیم. در واقع به نظر می رسد در هر دو سطح کاربری و استفاده های حرفه ای از این شبکه دچار مشکلات فراوان امنیتی هستیم. یکی از مهمترین راهکارهایی که در این زمینه همواره گوشزد می شود استقرار **** جامعی برای افزایش سطح امنیت چه در سطوح کاربری و چه در سطوح تجاری و دولتی است.
در سطوح کاربری استفاده از نرم افزارهای دیوار آتش یا فایروال و همچنین آشنا کردن کاربران با خطرات کاهش امنیت اینترنتی از جمله راهکارها است. یک سیستم ناامن باعث سرقت هویت و اطلاعات مهم افراد از روی کامپیوترها می شود و این سیستم ناامن اگر در یک شرکت و یا سازمان وجود داشته باشد می تواند امنیت اطلاعات هزاران نفر را با خطر مواجه کند. در سطح کلان استفاده از طرح های ارتقای امنیت شامل خریداری و نصب سیستم های پیشرفته کنترل امنیت، تبادل اطلاعات و همچنین بهره گیری از مشاوره های امنیتی یک امر ناگزیر است. فقدان استاندارد امنیتی برای شبکه های رایانه ای یکی از مهمترین دلایل نفوذ به این سیستم و حذف اطلاعات ضروری است. این موضوع به خصوص در سال های گذشته در بخش های خصوصی و دولتی ما به شکل گسترده ای دیده شده است. به عنوان مثال کاربران ایرانی بارها با خبر حمله و دستکاری گسترده به ده ها و صدها سایت دولتی و خصوصی ایران به طور یک جا روبه رو شده اند. در واقع نگهداری یک جای هزاران سایت دولتی و خصوصی روی یک سرور امنیت آنان را به گونه ای به خطر انداخته که با یک حمله اینترنتی عملاً همه این سایت ها در معرض خطر قرار می گیرد. عدم استفاده از نرم افزارهای به روز شده امنیتی نیز مشکل دیگر امنیتی در دو عرصه کاربری عادی و کلان اینترنت در ایران است. کاربران ایرانی عادت به خرید یک نرم افزار ۴۰۰ دلاری ضد ویروس و یا فایروال ندارند و عموماً آن را با هزار تومان از بازارهای نرم افزار تهیه می کنند. به همین دلیل در بسیاری اوقات این نرم افزارها به جای آنکه به افزایش امنیت سیستم کمکی کنند باعث بروز مشکلات متعدد امنیتی و فنی دیگر در سیستم می شوند. با وجود آنکه مشکلاتی از این دست امنیت اطلاعات در کشور ما را به شکل قابل ملاحظه ای کاهش داده اما معضل امنیت صرفاً مربوط به کشور ما نیست. چند سال قبل در حمله ای به چندین سرور اصلی اینترنت عملاً ترافیک اینترنت به شکل بسیار زیادی افزایش پیدا کرد و حتی احتمال قطع اینترنت نیز پیش آمد. این در حالی است که کشور آمریکا و بسیاری از کشورهای دیگر سالانه میلیاردها دلار برای ارتقای امنیت سیستم های کامپیوتری هزینه می کنند اما به هر حال این جنگ ادامه دارد.
رمزنگاری در پروتکل‌های انتقال

668fa8b0d93c8e2a3512eb3ac882d704.jpg


تمرکز بیشتر روش‌های امنیت انتقال فایل بر اساس رمزنگاری دیتا در طول انتقال از طریق شبکه‌های عمومی مانند اینترنت است. دیتایی که در حال انتقال بین سازمانهاست بوضوح در معرض خطر ربوده ‌شدن در هر کدام از محلها قرار دارد. – مثلا در شبکه‌های محلی برای هر یک از طرفین یا مرزهای Internet-LAN که سرویس‌دهندگان‌اینترنت از طریق آنها مسیر دیتا را تا مقصد نهایی مشخص می‌کنند. حساسیت دیتا ممکن است بسیار متغییر باشد، زیرا دیتای انتقالی ممکن است بهر شکلی از رکوردهای مالی بسته‌بندی شده تا تراکنش‌های مستقیم باشند. در بعضی موارد، ممکن است علاوه بر محافظت دیتا روی اینترنت، نیاز به محافظت دیتا روی LAN نیز باشد. مشخصاً، محافظت از دیتا در مقابل حملات LAN مستلزم رمزنگاری دیتای انتقالی روی خود LAN است. به این ترتیب، بهرحال، نیاز به بسط امنیت تا برنامه‌هایی است که خود دیتا را تولید و مدیریت می‌کنند، و تنها اطمینان به راه‌حلهای محیطی کفایت نمی‌کند و به این ترتیب بر پیچیدگی مسأله امنیت افزوده می‌شود.
● پروتکل‌ها
اگرچه ثابت‌شده است که رمزنگاری راه‌حل بدیهی مسائل محرمانگی است، اما سردرگمی در مورد دو نوع رمزنگاری (برنامه در مقابل شبکه) همچنان وجود دارد و بدلیل وجود پروتکلهای ارتباطی گوناگون است که نیازهای تعامل بیشتر آشکار می‌شود. (مانند IPSec ، S/MIME، SSL و TLS) اگرچه این پروتکلها قول تعامل را می‌دهند، اما تعامل کامل بدلیل مستقل بودن محصولات پروتکلها در حال حاضر وجود ندارد. آزمایشهایی در حال حاضر در حال انجام هستند که به حل شدن این مسائل کمک می‌کنند، اما کاربران باید مطمئن شوند که تعامل بین محصول انتخابیشان و محصولات سایر شرکای تجاری امری تثبیت شده است. پروتکل‌های ساده‌تر (SSL/TLS، IPSec و تا حدی پایین‌تر S/MIME ) عموماً مسائل کمتری از نظر تعامل دارند.
● پروتکل‌های رمزنگاری انتقال
با ترکیب توانایی‌ها برای تایید هویت توسط رمزنگاری متقارن و نامتقارن برای ممکن ساختن ارتباطات تاییدشده و رمزشده، این پروتکلها پایه‌های امنیت را فراهم می‌کنند. تقربیاً تمام پروتکلها نیاز‌های جامعیت را پشتیبانی می‌کنند به طوری که محتویات ارتباطات نمی‌توانند تغییر یابند، اما بیشتر آنها از Non-Repudiation پشتیبانی نمی‌کنند و به این ترتیب امکان ایجاد رکوردهای پایداری را که هویت منبع را به محتوای پیام پیوند می‌دهند، ندارند.
به این چند پروتکل به طور مختصر اشاره می‌شود:
▪ SSL
تکنولوژی (SSL (Secure Socket Layer اساس World Wide Web امن را تشکیل می‌دهد. SSL که در مرورگرهای وب کاملاً جاافتاده است، توسط بسیاری از سازمانها برای رمزنگاری تراکنش‌های وبی خود و انتقال فایل استفاده می‌شود. بعلاوه SSL بصورت روزافزون بعنوان یک مکانیسم امنیت در تلاقی با پروتکلهای پرشمار دیگر استفاده می‌شود و بهمین ترتیب ابزاری برای ارتباط سروربه‌سرور امن است. SSL ارتباطات رمزشده و بشکل آغازین خود تایید هویت سرور از طریق استفاده از گواهی را (در حالت کلاینت‌به‌سرور) پشتیبانی می‌کند. کاربران اغلب برای استفاده از برنامه‌ها از طریق کلمه عبور تایید هویت می‌شوند، و با پیشرفت SSL استاندارد (مثلا SSL V.۳.۰) تایید هویت کلاینت از طریق گواهی به این پروتکل اضافه شده است.
*برای FT (انتقال فایل): ابزار FT اغلب از SSL‌ برای انتقال فایل در یکی از دو حالت استفاده می‌کنند. اولی، مد کلاینت‌به‌سرور است که کاربر را قادر می‌سازد، در حالیکه در حال استفاده از یک مرورگر وب استاندارد است مستندات را از یک سرور دریافت یا آنها را به سرور منتقل کند. که این قابلیت نیاز به نرم‌افزار مختص انتقال در کلاینت را برطرف می‌سازد و بسیار راحت است، اما اغلب فاقد بعضی ویژگیهای پیشرفته مانند نقاط آغاز مجدد و انتقالهای زمانبندی‌شده است که سازمانها نیاز دارند. SSL همچنین می‌تواند برای اتصالات سروربه‌سرور امن – برای مثال، در اتصال با FTP و سایر پروتکلها – مورد استفاده قرار گیرد.
▪ TLS
(TLS (Transport Layer Security، جانشین SSL، برپایه SSL۳.۰ بنا شده است، اما به کاربران یک انتخاب کلید عمومی و الگوریتمهای Hashing می‌دهد. (الگوریتمهای Hashing فانکشن‌های یک‌طرفه‌ای برای حفظ جامعیت پیامها هستند و توسط بیشتر پروتکلها استفاده می‌شوند.) اگرچه TLS و SSL تعامل ندارند، اما چنانچه یکی از طرفین ارتباط TLS را پشتیبانی نکند، ارتباط با پروتکل SSL۳.۰ برقرار خواهد شد. بیشتر مزایا و معایب SSL به TLS هم منتقل می‌شود، و معمولا وجه تمایز خاصی وجود ندارد، و از همه نسخه‌ها به عنوان SSL یاد می‌شود.
 
بالا