مقاله ای کامل درباره امنیت اطلاعات

واژه امنیت اطلاعات حجم وسیعی از فعالیت های یک سازمان را تحت پوشش قرار می دهد. امنیت اطلاعات به معنای واقعی یعنی با استفاده از یک سری فرآیند ها از دسترسی غیر مجاز به اطلاعات و یا محصولات و اعمال تغییرات یا حذف کردن آنها جلوگیری کنیم. این عمل را می توان به نحوی حفاظت از منابع موجود، در موقعیت های مختلف (مانند یک حمله هکری که معمولا خیلی انجام می شود) توسط افرادی که مسئول امنیت اطلاعات هستند در نظر گرفت.

مفهوم کلی امنیت اطلاعات:

شما به عنوان یک فرد حرفه ای در زمینه کامپیوتر، همیشه با مسائلی جدی تر از بحث جلوگیری از ورود و حمله ویروس ها به کامپیوتر ها مواجه هستید. البته این موضوع بستگی به طرز تفکر مسئولین امنیتی آن شرکت یا سازمان دارد، شاید برای شما خنده دار باشد اما چه بسا مشاهده شده است که بسیاری از شرکت ها و یا حتی سازمان های دولتی با نصب یک نرم افزار آنتی ویروس و یک فایروال ساده نرم افزاری شبکه خود را به گمان خود 80% ایمن می کنند !!!!

زمانی که شما به عنوان مسئول و کارشناس امنیت اطلاعات یک شرکت یا سازمان محسوب می شوید، در واقع شما مسئول حفاظت از دارایی های اطلاعاتی یک سازمان در مقابل کسانی یا چیزهایی هستید که می خواهند از آن دارایی ها سوء استفاده کنند. ممکن است برخی از این افراد هم اکنون در سازمان و در کنار خود شما باشند، ولی اکثر این افراد در خارج از سازمان قرار دارند و همیشه قصد نفوذ به شبکه و سازمان را دارند. این جمله طلایی را همیشه به خطر بسپارید: هیچ چیز برای یک مسئول یا کارشناس امنیت اطلاعات خطرناکتر و هولناکتر از کاربران خود آن شبکه نمی باشد.

متاسفانه این عمل چندان هم آسان نیست، در حال حاضر نقاط ضعف و آسیب پذیری های سیستم های تجاری در حال رشد است و این نقاط روز به روز بیشتر و بیشتر می شود، حال کافیست شما تنها یک روز از این اطلاعات بی خبر باشید و همین کافیست تا به شبکه و سازمان شما نفوذ شود. برای مثال اگر از ویندوز نسخه اصلی یا ارجینال استفاده کرده باشید و به اینترنت متصل بشوید می بینید که دائما در حال بروز رسانی خود می باشد بطوری که همه روزه بسته های امنیتی خود را بروز میکند و بر روی سیستم شما نصب میکند، این یعنی اینکه همه روزه حملات گسترده ای در سطح دنیا به سیستم ها انجام می شود که باعث ایجاد نقاط ضعف در سیستم ها می شود و برای جلوگیری از نفوذ از طریق این نقاط، بسته های امنیتی برای آنها ساخته و عرضه می شود.

دشمنان شما می توانند براحتی با استفاده از موتورهای جستجو، نقاط ضعف و آسیب پذیر هر محصول یا سیستم عامل را بیابند، آنها برای اینکه بتوانند به شبکه شما وارد شوند و از نقاظ ضعف شما بهره برداری کنند، می توانند کتابهای آموزش هک بخرند، به عضویت گروه های خبری امنیتی و هک در اینترنت در بیایند و یا به وب سایت هایی دسترسی پیدا کنند که در آنها اطلاعات صریح و با جزئیاتی در خصوص شبکه شما وجود دارد.

در بسیاری از موارد شما نرم افزاری را خریداری می کنید که خود آن نرم افزار بصورت ذاتی دارای نقاظ ضعف امنیتی است و این نقاط ضعف امنیتی به خودی خود باعث به زیر سئوال رفتن امنیت سازمان شما خواهد شد، مثلا نرم افزار مجموعه آفیس را خریداری می کنید و در آن نقاط ضعف امنیتی وجود دارد که هکرها می توانند از طریق آن به سیستم عامل حمله و به آن دسترسی یابند.

متاسفانه در کشور عزیز ما ایران بدلیل عدم وجود قانون کپی رایت نرم افزارهایی که توسط برنامه نویس ها نوشته می شود زیر نظر هیچ سازمان مرکزی خاصی قرار ندارند، تا مشکلات احتمالی آنها را را بررسی و به آنها رسیدگی کند. البته قسمتی در مرکز تحقیقات صنایع انفورماتیک ایران برای تست برخی نرم افزارهای خاص ایجاد شده است اما به هیچ عنوان جوابگوی این سطح حجیم از نرم افزارهای تولیدی در داخل کشور را ندارد، بنابراین اعتماد کردن به اینگونه نرم افزارها بسیار سخت است.

خارج از گود: آیا تا به حال به این موضوع فکر کرده اید که چرا نرم افزارهای گران قیمت خارجی با قیمتی فوق العاده ارزان براحتی در اختیار شما قرار می گیرند؟ چرا ما همیشه به دنبال فایلی با عنوان کرک (Crack) یا کیجن (Keygen) در نرم افزارها می گردیم؟ آیا گمان می کنید شرکت بزرگ مایکروسافت که غول نرم افزاری دنیا است و برای تنها ویندوز XP خود 50 هزار برنامه نویس را مدیریت و یکپارچه کرده است تمهیدات امنیتی برای محصول خود در نظر نگرفته است؟ آیا گمان می کنید شرکت های تولید کننده محصولات آنتی ویروس که به خودی خود دانشی بسیار دشوار است زیرا می بایست یک کد مخرب را تحلیل و برای مقابله با آن راهکاری در کمترین زمان ممکن ارائه دهند، متوجه استفاده غیر مجاز شما از آنتی ویروس تقلبی خود نمی شوند و آنها را براحتی بروز می کنند؟ آیا این شرکت ها با داشتن این دانش فنی قوی نمی توانند غیر اصلی بودن محصول مورد استفاده توسط شما را در اینترنت تشخصی دهند؟ خیلی ساده هستید اگر تصور کنید که متوجه نمی شوند. اگر کمی که با خود فکر کنیم و منطقی باشیم متوجه این مطلب خواهیم شد که هیچ کس عاشق چشم و ابروی ما نیست ، هیچ چیز در اینترنت رایگان نیست و حتما هدفی در پس این رایگان بودن وجود دارد.

همیشه اینطور فکر کنید که در حال هک شدن هستید، حتی همین الان که مشغول خواندن همین مقاله هستید ممکن است در حال هک شدن باشید. البته نترسید چون اگر هم بدانید الان کار خاصی نمیتوانید انجام دهید، لااقل تا انتهای خواندن این مقاله صبر کنید. در این قسمت به بحث و بررسی جزئیات وضعیتهایی می پردازیم که شما اگر می خواهید شانسی برای برقراری امنیت اطلاعات، شبکه، و کامپیوتر های خود داشته باشید باید به آنها توجه کنید. این موضوع را همیشه به خاطر داشته باشید که با هر موضوعی منظقی برخورد کنید یعنی اینکه: هیچ شبکه ای در جهان وجود ندارد که صد در صد ایمن باشد، همیشه ابتدا ویروس ساخته می شود و بعد از آن آنتی ویروس می آید، همیشه ابتدا شبکه هک می شود و بعد از آن راه های نفوذ به آن فاش می شود، پس هیچوقت در مورد شبکه یا سیستم های خود احساس امنیت نکنید.

از یکی از بزرگترین کارشناسان امنیت اطلاعات در جهان سئوال شد که: چه سیستمی کاملا ایمن است؟ در جواب گفت : سیستمی ایمن است که خاموش باشد، از برق کشیده شده باشد، در یک تانکر فولادی زره دار ضد انفجار قرار گرفته باشد، تمام داخل تانکر را با گاز اعصاب پر کرده باشند، بهترین مأمورین امنیتی از آن مراقبت کنند و 400 متر زیر دریا قرار گرفته باشد و در این حالت نیز حاضر نیستم روی امنیت آن شرط ببندم!!!!!!

یکی از مهمترین قدم ها برای اینکه شما بتوانید یک مدیر امنیت خوب بشوید، این است که حس سوء ظن شدید نسبت به افراد داشته باشید. این مسئله بسیار مهم است که شما به این درک برسید که در یک سازمان، شما نه تنها با نقاط ضعف سیستم ها سر و کار دارید بلکه شما با نقاط ضعف انسانی نیز مواجه هستید که واقعا مهمتر از همه چیز در یک شبکه است. اگرچه این دو با هم یکی نیستند ولی تاثیر قابل توجهی بر روی هم دارند. برای مثال: شما در سازمان خود مقرر کرده اید که حداقل طول رمز عبور باید 8 کاراکتر باشد و خیلی نیز بر روی این مسئله تاکید دارید، حال کاربر شما نیز این قانون را رعایت کرده، ناگهان یکی از اقوام یا دوستان آن کاربر قصد استفاده از اینترنت داخلی شبکه شما را دارد و براحتی از کاربر شما رمز عبورش را می پرسد و وی هم رمز را براحتی در اختیار او قرار می دهد!!! همه تمهیدات فنی در زمینه امنیت در این حالت زیر سئوال می رود. راه حل مبارزه با اینگونه تهدیدات تنها بحث آموزش است.

اجزای اصلی امنیت اطلاعات:

امنیت اطلاعات شامل 3 قسمت از یک کانون مرکزی است

1. امنیت فیزیکی
2. امنیت عملیاتی
3. مدیریت و تدابیر امنیتی

هر یک از این سه مورد برای برقراری امنیت در یک سازمان بسیار حیاتی است. فرض کنید که امنیت اطلاعات مانند یک سه پایه است که اگر یکی از این پایه ها شکسته شود شما به پایین خواهید افتاد و خودتان را زخمی می کنید. شما باید به تمامی جنبه های مربوط به امنیت اطلاعات در سازمان خود نگاه عمیق داشته باشید. بخشی از کار شما پیدا نمودن نیازهای امنیتی یک سازمان و ارائه پیشنهادات مدیریتی برای رفع آن است. شما باید کاری کنید که اطلاعات و کامپیوترها کمتر در معرض دید قرار بگیرند و نقاط ریسک پذیر را تا حد امکان به حداقل برسانید و در جهت حفظ و برقراری و به اجرا در آوردن آن در محیط کار خود تلاش کنید. این کار کوچکی نیست و شما برای اینکه بتوانید امنیت محیط کار خود را به حد معقولی برسانید باید هر کدام از این پایه های اساسی را رعایت کرده تا بتوانید مدیریت امنیت درستی بر روی سازمان خود پیاده سازی کنید، در ادامه به بررسی این سه پایه می پردازیم.

1- برقراری امنیت فیزیکی (Physical Security)

منظور از امنیت فیزیکی، حفاظت از داراییها و اطلاعات در مقابل دسترسی فیزیکی افراد یا پرسنل غیر مجاز است. به عبارت دیگر شما مسئول حفاظت از بخش هایی هستید که قابل لمس کردن، دیده شدن و دزدیده شدن هستند. این تهدیدات اغلب توسط سرویس کارها، دربان ها یا سرایدارها، مشتری ها، فروشنده ها و حتی کارمندان بوجود می آیند. اینگونه افراد می توانند ابزارها را ببینند و یا آنها را خراب کنند، یا از دفتر کار مدارک و اسنادی را به سرقت ببرند و یا در در داخل آنها اطلاعات ناخواسته قرار دهند، انگیزه آنها در انجام این کارها می تواند انتقام گرفتن از شما باشد، حال این انتقام می تواند به خاطر بوجود آمدن یک سوء تقاهم باشد و یا اینکه به خاطر کینه جویی آن فرد نسبت به شما باشد و به خاطر همین دلیل، اطلاعات محرمانه شما را به سرقت برده و در اختیار رقیبان شما قرار می دهند. البته این را هم در نظر بگیرید که در کشور عزیزمان ایران اشخاصی هستند که صرفا به خاطر یک نگاه نا مناسب دشمن خونی شما خواهند شد و در صدد انتقام بر می آیند.!!!

پیاده سازی امنیت فیزیکی به نسبت کار آسانی است، شما می توانید تاسیسات خود را با استفاده از کنترل کردن دسترسی به دفتر کارتان ایمن کنید، مدارک و اسناد غیر ضروری را حتما ریز ریز کنید (نوعی حمله به نام dumpster diving معروف است) سیستم های امنیتی نصب کنید و به قسمت های خاصی از فعالیتهای بازرگانی خود محدودیت دسترسی بدهید. بیشتر سازمان های اداری در ساعات غیر فعال کاری محیط اطراف ساختمان را به تحت پوشش امنیتی قرار می دهند و به این وسیله آنجا را ایمن می کنند، همین کار را می توان در ساعات اداری و فعال سازمان ها نیز اعمال کرد و چندان هم که به نظر می رسد دشوار نیست  بسیاری از سازمان ها و شرکت ها از سیستم های مختلف امنیتی از قبیل نگهبان، قفل های کنترل ورود و خروج، سیستم های الکترونیکی رمز ورود، دوربین های امنیتی، درگاه های کنترل و بازرسی بدنی و بسیاری دیگر از امکانات و تجهیزات امنیتی استفاده می کنند. در اکثر موارد مدیران قسمت ها به امنیت داخلی قسمت ها که مربوط به کامپیوترها، اسناد و مدارک شخصی شما می باشد سرو کاری ندارند، در واقع حفاظت از این موارد جزء وظایف شخصی شما در آن قسمت می باشد.

اولین جزء امنیت فیزیکی این است که شما وسوسه انگیزی سیستم خود را تا حد امکان کم کنید، یعنی اینکه تا جایی که امکان دارد کاری کنید که محیط واقعی کمتر در معرض دید باشد. فرض کنید شما یک فروشگاه جواهر آلات دارید، این طبیعی است که در هنگامی که شما در تعطیلات به سر می برید ویترین فروشگاه خود را جمع کرده و آنها را در درون گاوصندوق قرار می دهید. سارقان با دیدن جواهر آلات انگیزه بیشتری برای سرقت پیدا می کنند، اگر آنها را نبینند و در معرض دید نباشند انگیزه سارقان نیز به مراتب کمتر خواهد شد. این کاملا طبیعی است که اگر کسی بتواند سرورهای شما را ببینید بیشتر از شخصی که آنها را نمی بیند وسوسه نفوذ به آنها را پیدا می کند. اگر شرکت یا سازمان شما بصورت تمام وقت باز است دسترسی به منابع تجاری موجود در آن نیز به مراتب بیشتر آسانتر است، شما باید تا حد امکان سازمان خود را از معرض دید دیگران دور نگه دارید. قفل کردن درب ها، نصب سیستم های دیدبانی و نظارتی و نصب انواع هشدار دهنده ها می تواند محیط فیزیکی را تا حد زیادی ایمن کند. قبلا هم به این موضوع اشاره کردم که همیشه در این تفکر باشید که در حال هک شدن هستید، پس سعی کنید با ساده ترین اعمال ممکن امنیت را بالا برده تا با مشکلات ساده به دردسر نیافتید.

دومین قسمت امنیت فیزیکی در برگیرنده تشخیص نفوذ یا سرقت است شما باید بدانید چه کسی یا چه چیزی وارد شده است و یا از بین رفته است. باید بدانید که چه چیزهایی ناپدید شده است و این تغییرات چگونه اتفاق افتاده است. دوربین های مدار بسته روش بسیار خوبی برای بدست آوردن این اطلاعات است. اکثر شرکت های کوچک برای تشخیص چگونگی رخ دادن سرقت ها و اینکه چه کسی آنرا انجام داده است از اینگونه دوربین ها استفاده می کنند. فیلم هایی که این گونه دوربین ها بدست می آید در اکثر دادگاه ها مدارک و اسناد قابل استنادی محسوب می شوند. به عنوان یک مدیر شبکه شرکت، شما باید بلافاصله بعد از رخ دادن سرقت، به هیچ چیز دست نزنید و و سریعا موضوع را مراجع قانونی اطلاع دهید تا به بررسی موضوع بپردازند. این نکته را به یاد داشته باشید که در چنین حالتی شما باید به هر کسی که فکر می کنید مظنون باشید.

سومین قسمت امنیت فیزیکی ارزیابی اطلاعات از دست رفته است. فرض کنید که اطلاعات حیاتی یک شرکت از بین رفته است، چکار باید کرد؟ چطور یک سازمان بعد از بوقوع پیوستن یک سرقت یا فاجعه می تواند به حالت عادی خود بازگردد؟ با یک مثال این موضوع را برای شما بازتر می کنم، فرض کنید یک آدم خرابکار اتاق سرورهای شما را که تمامی اطلاعات حیاتی سازمان شما در آن وجود دارد را به آتش می کشد و یا در استان گلستان هستید و سیل بوجود آمده تمام اداره شما را می شوید و از بین می برد، یا در تهران هستید و زلزله ای رخ داده و دفتر کار شرکت بصورت کامل از بین می رود، البته فرض را در این میگیریم که در تمامی شرایط فوق شما در امنیت کامل بسر می برید و بعد از فاجعه فرصت رسیدگی به موضوع را دارید و یا ساده ترین مثال اینکه در هنگام کار کردن با سرورها در اتاق سرور یک پارچ آب بصورت کامل روی سرورها ریخته و تمامی اطلاعات سرور از بین می رود!!! چقدر طول می کشد تا سازمان فعالیت عادی خود را که به اطلاعات ذکر شده وابسته است را از سر گیرد؟

بازیابی اطلاعات به شدت به این سه مورد بستگی دارد:

1. طراحی ونقشه
2. تفکر
3. آزمایش

فرض را بر این بگیرید که فایل های اساسی و حیاتی شرکت شما که شامل حسابهای بانکی، سفارشات خرید و اطلاعات محرمانه راجع به مشتریهای شرکت است در اثر یک آتش سوزی می سوزد و تبدیل به خاکستر می شود. نکته مهم در اینجاست که شما نسخه های حساس و حیاتی در مورد ثبتیات شرکت و موجودی های آن را حتما باید در جایی خارج از محل کار خود (سازمان) در جایی امن نگه داری کنید. این در حالی است که در اکثر سازمان ها و شرکت ها نسخه های پشتیبان در همان محل نگه داری می شوند که بسیار نگران کننده است. حتی در این مورد سفارش شده است که در صورت اهمیت بسیار زیاد اطلاعات آنها را در ناحیه های جغرافیایی دور از هم، در چندین نسخه نگهداری کنید.

2- برقراری امنیت عملیاتی (Operational Security)

امنیت عملیاتی یا اجرایی نحوه انجام شدن کارها توسط سازمان را بیان می کند. در معنای عام می توان به عنوان مدیریت اطلاعات از آن نام برد. امنیت عملیاتی پهنه وسیعی را در بر میگیرد که شما به نوبه خود بخشی از آن هستید. اصول امنیت عملیاتی شامل: کنترل دسترسی، شناسایی و توپولوژی های امنیتی است. موارد ذکر شده شامل فعالیت های روزانه شبکه، اتصال به شبکه های دیگر، طراحی نحوه تهیه کردن نسخه پشتیبان و طراحی نحوه بازگردانی آن می شود که البته همه این موارد در حالتی امکان پذیرند که نصب شبکه کامل شده باشد. اگر بخواهیم امنیت عملیاتی را در یک جمله خلاصه کنیم به این صورت بیان می شود: شامل هر چیزی در شبکه شما می شود که به طراحی و امنیت فیزیکی شما بستگی ندارد.

در این بخش به جای اینکه تمرکز خود را روی تجهیزات فیزیکی قرار دهیم، بیشتر به توپولوژی ها و اتصالات توجه می کنیم. عملیاتی که شما باید در بخش فیزیکی انجام دهید در ابتدا بسیار طاقت فرسا به نظر می رسد. در بسیاری اوقات شما از نقاظ آسیب پذیر شبکه بدون اینکه بدانید در حال استفاده هستید و یا بدون اطلاع خط مشی را پیاده سازی کرده اید که دارای ضعف امنیتی است یا ناقص است. برای مثال شما خط مشی را پیاده سازی کرده اید که در آن کاربران مجبور هستند که رمزهای عبور خود را هر 30 یا 60 روز تعویض کنند، حال اگر در سیستم شما قابلیت استفاده از سیستم چرخش رمز عبور طراحی نشده باشد (این سیستم به شما اجازه استفاده از رمزهای عبور تکراری مورد استفاده در زمان های گذشته را نمی دهد) شما یک نقطه آسیب پذیر جدی در شبکه خود دارید که شاید نتوانید آنرا از بین ببرید، در این حالت از نظر دیدگاه عملیاتی سیستم قابلیت رمز عبور ضعیفی دارد.

در این حالت شما دو گزینه برای انتخاب دارید، یا باید پروسه امنیتی شبکه را بطور کامل ارتقاء دهید و یا اینکه سیستم عامل را بطور کلی تعویض کنید. انجام دادن هر یک از این عملیات ها مشکلات خاص خود را از قبیل میزان بودجه، زمان تبدیل و بی میلی سازمان برای انجام اینکار را در بر دارد. لازم به ذکر است که متاسفانه یا خوشبختانه در کشور عزیز ما ایران به علت نبود قانون کپی رایت، مشکل تعویض سیستم عامل وجود ندارد زیرا هزینه ای برای تعویض آن و تهیه سیستم عامل جدید پرداخت نمی شود، اما فرض را بر این بگیرید که در شرکتی هستید که بطور متوسط 200 عدد سیستم عامل ویندوز ایکس پی در آن مشغول کار هستند، حال اگر بخواهیم 200 عدد سیستم عامل حداقل 60 دلاری خریداری شود هزینه ها میتواند خیلی بالا برود، ذهن خود را درگیر CD هایی نکنید که در بازار انقلاب و یا کنار خیالان فروخته می شوند و 8 سیستم عامل روز دنیا را با قیمیت کمتر از 1 دلار به مردم عرضه می کنند. اما مشکل اصلی بی میلی سازمان و مدیران برای انجام تغییرات در سازمان است. متاسفانه بعضی از مدیران سنتی عمل می کنند و از انجام دادن تغییرات در روند ایجاد محیطی ایمن می هراسند، یا احساس بی میلی دارند که از نظر من و بسیاری دیگر از کارشناسان بزرگترین مشکل موجود در برقراری امنیت عملیاتی همین مورد است، اگر مدیر نخواهد کاری انجام شود، پس نمی شود تلاش بیهوده نکنید. اما هر مشکلی راهکاری نیز دارد که به آن خواهیم پرداخت.

این وابستگی ها در یک سیستم ضعیف در واقع ناشی از این است که اکثر شرکت ها از نرم افزارهایی استفاده می کنند که بوسیله شخص ثالث نوشته شده اند، نرم افزارها همانطور که میدانید به سه دسته تقسیم می شوند که شخص اول یا first party، شخص دوم یا second party و شخص سوم یا third party می باشند. این بسته های نرم افزاری معمولا نیاز به یک سیستم خاص دارند. اگر سیستم عامل شما داری نقاط ضعف امنیتی زیادی باشد متقابلأ وظایف شما نیز افزایش می یابد زیرا همچنان شما مسئول برقراری امنیت در آنجا هستید، برای مثال: اگر شبکه شما که تا حدی ایمن است به اینترنت متصل شود، هدف نفوذ بسیاری از افراد قرار خواهد گرفت، حال شما می توانید با نصب نرم افزارها و سخت افزارهای امنیتی، امنیت را تا حد مطلوبی افزایش دهید. در هر حال مدیران معتقد هستند که اینگونه ابزارها برای پیاده سازی پر هزینه هستند، بنابراین شما کار زیادی نمی توانید انجام دهید. تنها راه حل با قانع کردن مدیران بوسیله نشان دادن شدت تهدیداتی است که ممکن است عملکرد شرکت یا سازمان را مختل کند و آن را دچار تهدید کند. در ذیل میتوانید مواد مرتبط با امنیت عملیاتی را مشاهده کنید:

1. کامپیوتر
2. شبکه
3. خط مشی ها
4. کنترل دسترسی
5. شناسایی
6. طرح و نقشه تهیه نسخه پشتیبان و بازگردانی آن

3- مدیریت و خط مشی ها (Management and Policies)

مدیریت و خط مشی ها در واقع برنامه هایی هستند که با توجه به آنها می توانیم امنیت یک محیط را پیاده سازی کنیم. خط مشی ها برای اینکه موثر باشند نیاز به پشتیبانی همه جانبه از جانب تیم مدیریتی سازمان دارند. راهنما های درست نه تنها می توانند باعث بوجود آمدن ابتکارهای امنیتی در محیط شوند بلکه باعث بوجود آمدن یک امنیت موثر نیز هستند. متخصصین امنیت اطلاعات می توانند خط مشی های امنیتی خود را ادامه دهند، اما برای اینکه بتوانند آنها را پیاده سازی کنند نیاز به حمایت و پشتیبانی مدیران دارند، این نکته را همیشه به یاد داشته باشید که شما هیچوقت نمی تواندی ادعا کنید که شبکه من ایمن است و این در حالی باشد که از حمایت مدیران برخوردار نیستید. تصمیماتی که باید در سطح مدیریت و خط مشی ها اتخاذ شود به طور کامل سازمان را تحت پوشش قرار می دهد و می تواند بهره وری، روحیه کاری و فرهنگ سازمان را تحت تاثیر خود قرار بدهد. اینگونه تصمیمات و خط مشی ها می تواند تاثیر بسزایی بر روی مسائل مرتبط با امنیت نیز داشته باشد. اینگونه خط مشی ها باید طوری طراحی شوند که هدایت سازمان، راحتی در مواقعی که سازمان در تعطیلات بسر می برد یا کارمندان به مرخصی می روند و یا کار آنها به اتمام می رسد را کاملا تحت پوشش قرار دهند.

اکثر افرادی که در یک سازمان فعالیت می کنند می توانند به راحتی به شما بگویند که چه مدت زمانی را در طی سال در مرخصی بسر می برند و همچنین بسیاری دیگر به شما می توانند اطلاعات دقیقی از چگونگی استفاده اطلاعات در سازمان و اینکه خط مشی ها چگونه پیاده سازی شده اند را در اختیارتان قرار دهند، پس همیشه کاربران و کارمندان را می توانید در نقش یک منبع اطلاعاتی بسیار موثر در پیاده سازی فعالیت های امنیت خود در نظر بگیرید. برای بر قراری امنیت در یک شبکه چندین خط مشی کلیدی وجود دارد، لیست زیر نشان دهنده تعدادی از این خط مشی های گسترده می باشد که هر کدام نیاز به طراحی و تفکر دارند:

1. خط مشی های مدیریتی
2. نیازهای طراحی نرم افزار
3. طرح و برنامه بازیابی از حادثه
4. خط مشی های اطلاعاتی
5. خط مشی های امنیتی
6. خط مشی های مدیریتی کاربران

خط مشی ها:

برای بر قراری امنیت در یک شبکه چندین خط مشی کلیدی وجود دارد ، لیست زیر نشان دهنده تعدادی از این خط مشی های گسترده می باشد که هر کدام نیاز به طراحی و تفکر دارند :

1. خط مشی های مدیریتی ( Management Policies)
2. نیازهای طراحی نرم افزار ( Software Design Needs)
3. طرح و برنامه بازیابی از حادثه ( Disaster Recovery Plan)
4. خط مشی های اطلاعاتی ( Information Policies)
5. خط مشی های امنیتی (Security Policies)
6. خط مشی های مدیریتی کاربران (User Management Polices

1- خط مشی های مدیریتی (Management Policies)

خط مشی های مدیریتی در واقع راهنمایی برای بروز رسانی، نظارت کردن، تهیه نسخ پشتیبان و بازرسی کردن در یک سازمان هستند. مدیران سیستم و کارکنانی که در بخش نگهداری و تعمیر فعالیت می کنند از این خط مشی ها برای هدایت تجارت استفاده می کنند. این خط مشی طوری باید باشد که به وضوح نشان بدهد که بروز رسانی ها هر چند وقت باید انجام شود و در چه زمانی باید این عمل انجام شود، این خط مشی ها چگونگی انجام شدن پایش یا مانیتورینگ و برداشتن و نگهداری LOG ها را نیز مشخص می کند. آنها حتی باید با استفاده از عنوان کاری افراد مشخص کنند که چه کسانی مسئول تصمیم گیری در سازمان هستند و همچنین تصمیمات اتخاذ شده چند وقت به چند وقت باید مورد بررسی و مرور قرار بگیرند. خط مشی ها باید به اندازه ای واضح و روشن باشند که بتوانند به کارکنان مدیریتی این امکان را بدهند که بتوانند تمرکز خود را بر روی سیستم عامل های در حال کار قرار بدهند و به آنها توجه کنند و در این بین سیاست باید به نحوه قابل انعطاف باشد که در آن موارد اورژانسی و پیش بینی نشده نیز گنجانده شود.

2- نیازهای طراحی نرم افزار (Software Design Needs)

طراحی نیازمندی ها در واقع نشان دهنده قابلیت های یک سیستم و اینکه این قابلیت ها شامل چه چیزهایی می شوند است. برای مثال این نیازها ممکن است طرحی ابتدایی باشند که شما را واقعا در پیدا کردن راه حل های جامع کمک می کند. بسیاری از فروشنده های نرم افزار، نرم افزار خود را پیشنهاد می کنند و به شما اطمینان می دهند که نرم افزار آنها کاملا ایمن است، در این حالت شما می توانید با استفاده از تعریف نیازهایی که قبلا تعریف شده اند از فروشنده در مورد آن نرم افزار سئوالات و توضیحات کامل و راهکارهای جامع بخواهید. اگر نیازهای طراحی شده شما به عنوان یک جزء جدا از ساختار پیاده سازی شما در نظر گرفته شود، شما می توانید شرط ببندید که شبکه شما آسیب پذیر است. طراحی نیازها باید بصورت یک هدف متغیر در نظر گرفته شود زیرا دائما در حال تغییر است. نیازهایی که امروزه با آنها سروکار دارید مسلما نیازهایی نخواهند بود که در دو سال بعد با آنها روبرو خواهید شد و دائما در حال تغییر هستند.

3- طراحی و برنامه بازیابی از حادثه (Disaster Recovery Plan)

طرح و نقشه بازیابی از حادثه یکی از دردسرهایی است که حرفه ای های فناوری اطلاعات با آن مواجه هستند. DRP ها هزینه های زیادی برای پیاده سازی می خواهند و برای آزمایش کردن گران هستند و باید همیشه به روز باشند. بسیاری از شرکت های بزرگ وجود دارند که در زمینه DRP سرمایه گذاری های کلانی انجام می دهند که شامل مواردی از قبیل نسخه های پشتیبانی و Hot Site می شود. Hot Site ها تسهیلاتی هستند که این قابلیت و امکان را به شبکه می دهند که بلافاصله پس از بروز مشکل، خط مشی یا شبکه شما را به حالت فعال باز گردانند. اینگونه خط مشی های پشتیبانی هزینه های بسیاری دارند و بعضی اوقات هم تزار کردن آنها با سایت اصلی کار دشواری است. معمولا اکثر شرکت های کوچک با موضوعی به نام Hot Site بیگانه هستند و این کار را انجام نمی دهند. یک DRP خوب سعی می کند که هرگونه اتفاق یا خرابی ممکن را بصورت مجازی پیش بینی کرده و برای آن طرح و نقشه ای پیاده سازی کند. حال این موضوع می تواند به سادگی از کار افتادن یک سیستم ساده باشد یا به پیچیدگی یک سازمان چند ملیتی که چندین هزار سیستم در آن قرار دارند و می خواهد اطلاعات خود را بطور کامل بازگردانی کند. کلید موفقیت یک DRP جامع و کامل بودن آن است، هر چه یک DRP به جزئیات بیشتر اهمیت بدهد موفقیت آن بیشتر خواهد بود. برای مثال اگر شرکتی در شهر بم قرار دارد باید این پیش بینی بشود که ممکن است دوباره در این شهر زلزله بیاید و شرکت را تخریب کند  بنابراین از دید یک DRP موفق اطلاعات باید در ناحیه ای خارج از شهر نیز نگهداری شوند مثلا در شعبه ای دیگر از شرکت که در تهران واقع است.

4- خط مشی های اطلاعاتی (Information Policies)

خط مشی های اطلاعاتی مربوط به موارد مختلفی از امنیت اطلاعات شامل دسترسی ها، دسته بندی ها، نشانه گذاری ها و ذخیره سازی ها می شود. همچنین شامل مواردی از قبیل انتقال یا خرابی اطلاعات حساس و حیاتی و پیاده سازی خط مشی های اطلاعاتی برای امنیت اطلاعات می شود. همانند خط مشی های دیگر موفقیت این نوع خط مشی ها نیز جامع بودن و فراگیر بودن آن است. در هنگام نوشته شدن این نوع خط مشی فقط مقدار خیلی کمی از آن را می توانیم به عنوان شانس و حدس و گمان در نظر بگیریم.

5- خط مشی های امنیتی (Security Policies)

خط مشی های امنیتی در بر گیرنده تنظیمات سیستم ها و شبکه ها هستند که سامل نصب نرم افزارها و سخت افزارها و اتصالات شبکه ای می شوند. خط مشی ها امنیتی نحوه شناسایی افراد، سطوح دسترسی کاربران، و نحوه انجام گرفتن عملیات بازرسی را تشریح و تعریف می کنند. اینگونه خط مشی ها همچنین در برگیرنده رمزنگاری و نرم افزارهای آنتی ویروس، روش های انتخاب رمز عبور، نحوه از بین رفتن اعتبار حساب ها کاربری، تعداد ورودهای ناموفق و چیزهایی مشابه آن می باشد.

نکته: هر خط مشی امنیتی به منظور خاصی بکار می رود، پس سعی کنید هر کدام را در سر جای خود بکار ببرید، برای مثال اگر خط مشی امنیتی برای شرکتی طراحی کرده اید که امنیت برای آنها بسیار مهم است، همان خط مشی را نمیتوانید برای شرکتی بکار ببرید که امنیت در آن چندان اهمیتی ندارد. این عمل مستقیما به سطح دانش افراد و کارکنان سازمان دارد و برای مثال اگر سطح سواد و IQ کارکنان شرکت در سطح پایینی باشد شما نمیتوانید خط مشی را پیاده سازی کنید که در آن حداقل طول رمز عبور هشت کاراکتر تعریف شده باشد. اگر آنها را اجبار به انجام اینکار کنید ظرف مدت کمتر از یک هفته شما مشاهده خواهید کرد که همه کارکنان از یک رمز عبور مشترک استفاده می کنند و یا اینکه همگی رمز عبور خود را بر روی یک کاغذ نوشته و آنرا روی مانیتور خود می چسبانند، وقتی کاربری توانایی به خاطر سپردن رمز عبور تک کاراکتری را ندارد، آنرا یادداشت می کند و این امر کاملا طبیعی است.

6- خط مشی های استفاده (Usage Policies)

خط مشی های استفاده در برگیرنده نحوه و چگونگی استفاده از اطلاعات و منابع سازمان را بیان می کند. شما نیاز دارید تا به کاربر خود توضیح دهید که چگونه و به چه منظور حق استفاده از منابع را دارد. این خط مشی ها در حقیقت قانون استفاده از کامپیوترها می باشد. اینگونه خط مشی ها مسائلی شامل استقلال کاربران (Privacy) یا حریم خصوصی، و مالکیت (Ownership) و نتیجه اعمال نادرست کاربران را به صراحت بیان می کند. خط مشی های استفاده شما باید به وضوح نحوه استفاده کاربران از اینترنت و سرویس ایمیل را شرح دهد. آنها همچنین باید مشخص کنند که کاربران چگونه باید رویدادها را گزارش دهند، اگر به موضوعی شک و حدس و گمان بردند باید مشخص شود که در آن حال باید با چه کسی تماس گرفته و آنها را مطلع سازند. اینگونه خط مشی ها باید طوری باشند که قدم به قدم مراحل نظارت بر کاربران و سازمان را در بر گرفته و کاربران را با این موضوع تطبیق دهند، در اینجاست که نتایج سوء از یک حساب کاربری یا حتی چیزهای خیلی جزئی تر باید گنجانده شود.

7- خط مشی های مدیریتی کاربران (User Management Policies)

اینگونه خط مشی ها در واقع بیانگر اعمال مختلفی است که یک کاربر در حالت عادی فعالیت خود انجام می دهد. این خط مشی علاوه بر آموزش، موقعیت سنجی و نصب و تنظیم ابزارها و وسایل، باید طوری طراحی شود تا در آن نحوه اضافه شدن کارمندان به سیستم را نیز مشخص کند. انتقال کارمندان در یک شرکت یک امر کاملا عادی و معمول است. اگر کارمندی به پست جدیدی انتقال یابد اجازه های دسترسی و محدودیت های سابق ممکن است با پست جدید نا متناسب باشد، در این حالت ایجاد یک دسترسی جدید این امکان را به کاربر می دهد تا بلافاصله به کار خود ادامه دهد. اگر شما فراموش کنید که اجازه دسترسی های سابق را باطل (لغو) کنید، کاربر جدید ممکن است بصورت کاملا اتفاقی اجازه دسترسی بیشتر از آنچه شما در اختیار او قرار می دهید را پیدا کند، بعد از مدتی نتیجه این نوع موقیعت ها حالت Privilege Creep بوجود می آید، یعنی کاربر بطور کاملا اتفاقی دارای اجازه دسترسی هایی مشابه مدیر شبکه می شود.

یکی دیگر از مسائل و مباحث مهم در مدیریت کاربران، کارمندان اخراجی هستند که تهدید مهمی برای امنیت اطلاعات به شمار می روند. در برخی اوقات یک کارمند اخراجی ممکن است در پی این باشد که به لیست مشتری ها، حساب های بانکی و بسیاری از اطلاعات حساس دیگر دست پیدا کند. وقتی کارمندی اخراج می شود، شما باید اطمینان پیدا کنید که حساب کاربری وی حتما غیر فعال و یا حذف شده است و آن کاربر دیگر هیچگونه اجازه دسترسی به سازمان و اطلاعات آنرا نباید داشته باشد. جالب است بدانید که بسیاری از مدیران شبکه از تغییرات کارمندان اطلاعی ندارند. خط مشی مدیریتی کاربران باید به قدری واضح و روشن باشد که در آن تمامی این مراحل به صورت کاملا دقیق و شفاف شرح داده شده باشد.