مقاله (73) - مهندسی کامپیوتر - شبکه
IATFF ( برگرفته شده از Information Assurance Technical Framework Forum ) سازمانی است كه توسط NSA ( برگرفته شده از National Security Agency ) حمايت می گردد و مهمترين وظيفه آن مبادله اطلاعات فنی بين صنايع امريكا ، موسسات آموزشی و سازمان های دولتی امريكا بر روی موضوع مهم امنيت و يا تضمين امنيت اطلاعات است .
IATFF ، سند IATF ( برگرفته شده از Information Assurance Technical Framework ) را توليد و اخيرا" نسخه 1 . 3 آن را منشتر كرده است . در اين سند به فرآيندها و توصيه هائی در جهت حفاظت از سيستم های اطلاعاتی بر اساس اصول مهندسی سيستم اشاره شده است .
در سند فوق به سه عنصر تاثير گذار در امنيت اطلاعات يعنی انسان ، عمليات و فناوری ها اشاره شده است . سه موجوديت فوق ، اساس متدلوژی "دفاع در عمق " در تشكيل می دهند .
در ادامه با اين استراتژی امنيتی حفاظتی و اصول اساسی آن بيشتر آشنا می شويم .
دفاع در عمق چيست ؟
دفاع در عمق ، يك مدل حفاظتی لايه ای برای اجزاء مهم سيستم های اطلاعاتی است . استراتژی دفاع در عمق محدوده های زير را شامل می شود :
<LI dir=rtl>حفاظت از شبكه و زيرساخت <LI dir=rtl>حفاظت و دفاع در محدوده های مرزی ( نقطه تماس شبكه با ساير شبكه ها ) <LI dir=rtl>حفاظت و دفاع ار محيط محاسباتی و عملياتی
زيرساخت های حمايتی
واژه "محدوده مرزی " كه در استراتژی دفاع در عمق به آن اشاره شده است ، به مجموعه ای از محيط های محاسباتی و عملياتی متصل شده توسط يك و يا چندين شبكه داخلی كه تحت كنترل يك مجوز و سياست امنيتی می باشند ، اشاره دارد.

استراتژی‌ دفاع در عمق : موجوديت ها
استراتژی دفاع در عمق مبتنی بر سه عنصر حياتی انسان ، فناوری و عمليات است .
انسان
برای پياده سازی موثر امنيت اطلاعات در يك سازمان ، مديريت می بايست دارای يك شناخت مناسب سطح بالا نسبت به فرآيندها باشد . اين شناخت توسط آيتم ها و فعاليت های زير مشخص می گردند .
<LI dir=rtl>پياده سازی سياست ها و رويه های امنيت اطلاعات <LI dir=rtl>تعيين وظايف و مسئوليت ها <LI dir=rtl>آموزش كاركنان حياتی <LI dir=rtl>الزام كاركنان به پاسخگوئی <LI dir=rtl>شناخت صحيح منابع <LI dir=rtl>استقرار كنترل های امنيت فيزيكی <LI dir=rtl>استقرار كنترل امنيت كاركنان
تعيين مجازات متناسب با رفتارهای غيرمجاز
فناوری
يك سازمان می بايست اين اطمينان را داشته باشد كه از فناوری های مناسب به منظور پياده سازی سرويس های مورد نياز جهت حفاظت اطلاعات استفاده می نمايد . نيل به اهداف فوق مستلزم بكارگيری فرآيندها و سياست های زير برای بدست آوردن و استفاده صحيح از فناوری است .
<LI dir=rtl>يك سياست امنيتی <LI dir=rtl>معماری تضمين امنيت اطلاعات در سطح سيستم <LI dir=rtl>استانداردهای تضمين امنيت اطلاعات در سطح سيستم <LI dir=rtl>اصول تضمين امنيت اطلاعات <LI dir=rtl>ضوابط مشخص برای تضمين امنيت اطلاعات محصولات مورد نياز <LI dir=rtl>بدست آوردن محصولات معتبر و قابل اطمينان <LI dir=rtl>توصيه ها و پيشنهادات پيكربندی
فرآيندهای تشخيص تهديدات برای سيستم های يكپارچه

عمليات
عمليات بر فعاليت ها و آيتم های مورد نياز به منظور نگهداری وضعيت امنيت يك سازمان تاكيد و موارد زير را شامل می شود :
<LI dir=rtl>يك سياست امنيتی ملموس و به روز <LI dir=rtl>تاكيد بر سياست امنيت اطلاعات <LI dir=rtl>تائيد و اعتبار گذاری <LI dir=rtl>مديريت وضعيت امنيت اطلاعات <LI dir=rtl>سرويس های مديريت كليد <LI dir=rtl>تشخيص آمادگی <LI dir=rtl>حفاظت از زيرساخت <LI dir=rtl>ارزيابی وضعيت امنيت سيستم <LI dir=rtl>مانيتورينگ و واكنش در مقابل تهديدات <LI dir=rtl>تشخيص حملات ، هشدار و پاسخ
بازيافت و بازسازی مجدد
استراتژی‌ دفاع در عمق : محدوده حفاظتی
استراتژی دفاع در عمق ، دفاع در مقابل حملات زير را تضمين می نمايد :
<LI dir=rtl>Passive : حملات Passive شامل تجزيه و تحليل ترافيك ، مانيتورينگ مبادله اطلاعات غيرحفاظت شده ، رمزگشائی ترافيك رمزشده ضعيف ، بدست آوردن اطلاعات تائيديه ( نظير رمزهای عبور ) می باشد.
رهگيری passive عمليات شبكه ، دانش لازم جهت تدارك و برنامه ريزی حملات را در اختيار مهاجمان قرار می دهد . اين نوع حملات می تواند منتج به افشاء اطلاعات و يا فايل های داده برای مهاجمان بدون آگاهی و رضايت كاربران گردد .
active : حملات active تلاش برای نفوذ در سيستم و ناديده گرفتن اقدامات امنيتی ، معرفی كدهای مخرب ، سرقت و اصلاح اطلاعات را شامل می شود . شعاع اين نوع حملات بسيار گسترده می باشد . هدف قرار دادن ستون فقرات شبكه ، بهره برداری و يا سوء استفاده از اطلاعات در حال عبور و نفوذ الكترونيكی در يك ناحيه خاص نمونه هائی متداول در اين زمينه می باشند .حملات active می تواند افشاء فايل های داده ، حملات DoS و يا تغيير داده را به دنبال داشته باشد .
Close-in : حملات فوق با هدف دستيابی فيزيكی به شبكه و سيستم ها به منظور تغيير ، جمع آوری و غيرقابل دسترس كردن اطلاعات انجام می گردند .
Insider : : اين نوع حملات می تواند مخرب و يا غيرمخرب باشند . حملات مخرب استراق سمع ، سرقت و آسيب رساندن به اطلاعات، استفاده از اطلاعات با اهداف فريبكارانه و يا غيرفعال كردن سرويس ها وخدمات برای ساير كاربران مجاز را شامل می شود . حملات غيرمخرب عموما" به دليل عدم دقت لازم و ضعف دانش كاربران محقق می گردند .
Distribution : اين نوع حملات با انجام تغييرات مخرب بر روی سخت افزار و يا نرم افزار در كارخانه و يا شركت سازنده و يا در حين توزيع صورت می پذيرند . در اين نوع حملات با معرفی كدهای مخرب درون يك محصول ( نظير يك back door ) ، امكان دستيابی غيرمجاز به اطلاعات و قابليت های سيستم در آينده فراهم می گردد .
استراتژی‌ دفاع در عمق : ابزارها و مكانيزم ها
برای مقاومت در مقابل اين نوع حملات ، استراتژی دفاع در عمق ، روش های زير را ارائه كرده است :
<LI dir=rtl>دفاع در چندين مكان : بكارگيری مكانيزم های حفاظت اطلاعات در چندين مكان به منظور حفاظت در مقابل تهديدات داخلی و يا خارجی
دفاع لايه ای : بكارگيری چندين مكانيزم تشخيص و حفاظتی تا يك مهاجم مجبور به عبور از موانع مختلف جهت دستيابی به اطلاعات حياتی گردد .
استحكام امنيتی : بر اساس ارزش عناصر سيستم اطلاعاتی و تهديدات پيش بينی شده ، ميزان استحكام لايه های امنيتی می بايست به درستی تخمين و پياده سازی گردد .
بكارگيری KMI/PKI : بكارگيری زيرساخت مديريت كليد ، KMI ( برگرفته شده از key management infrastructure ) و زيرساخت كليد عمومی ، PKI ( برگرفته شده از public key infrastructure )

بكارگيری سيستم های تشخيص مزاحمين : بكارگيری مكانيزم هائی برای تشخيص مزاحمين ، ارزيابی اطلاعات ، بررسی نتايج و در صورت ضرورت انجام واكنش های لازم .

بكارگيری سيستم های تشخيص مزاحمين : بكارگيری مكانيزم هائی برای تشخيص مزاحمين ، ارزيابی اطلاعات ، بررسی نتايج و در صورت ضرورت انجام واكنش های لازم .
استراتژی‌ دفاع در عمق : پياده سازی
استراتژی دفاع در عمق می تواند در مرحله پياده سازی منابع زيادی را مصرف نمايد . برای كمك در جهت تعديل و يا كاهش هزينه پياده سازی رويكرد فوق ، توصيه های زير ارائه شده است .
<LI dir=rtl>اتخاذ تصميم در خصوص امنيت اطلاعات بر اساس آناليز تهديدات و اهداف كليدی عملياتی سيستم
<LI dir=rtl> توجه به سه موجوديت مهم موجود در استراتژی دفاع در عمق : انسان ، عمليات و فن آوری . بدون وجود افراد آموزش ديده و رويه های عملياتی استفاده مطلوب از مزايای فناوری ها فراهم نخواهد شد .
<LI dir=rtl>تدوين و پياده سازی يك برنامه آموزشی جامع ، استفاده از تجارب عملی ديگران و اطلاع رسانی به موقع
<LI dir=rtl>دستيابی اداواری به وضعيت زيرساخت اطلاعات . بكارگيری ابزارهای فنی نظير پويش اتوماتيك شبكه می تواند در تشخيص به موقع نقاط آسيب پذير مفيد واقع شوند .
<LI dir=rtl>انجام واكنش های لازم در مقابل اهداف مخرب و برخورد مناسب و به موقع با فعاليت هائی كه ممكن است سهوا" انجام شده باشد .
<LI dir=rtl>بكارگيری رويكردهای حفاظتی مشترك و چندگانه جهت مقابله با رويدادهای قابل پيش بينی . بدين ترتيب ، نفوذ از يك لايه ( با فرض موفقيت آميز بودن آن ) باعث بروز مسائل امنيتی برای تمامی زيرساخت اطلاعات نخواهد شد .
<LI dir=rtl>حصول اطمينان از اين موضوع كه صرفا" كاركنان معتمد دارای دستيابی فيزيكی به سيستم می باشند ( بكارگيری روش های مختلف نظير مجوزها و اعتبارنامه ) .
استفاده از رويه های مدون برای گزارش حوادث امنيتی به مراكز پاسخگو
جمع بندی
زيرساخت اطلاعات هر سازمان مشتمل بر مجموعه ای از سيستم های پيچيده است كه هر يك ممكن است نقاط آسيب پذير مختص به خود را داشته باشند . برای مقابله با تهديدات امنيتی ، از چندين راه حل به همراه اصول مقدماتی استراتژی دفاع در عمق استفاده می گردد . استراتژی دفاع در عمق ، يك ساختار لايه ای برای حفاظت از زيرساخت اطلاعات در يك سازمان است . در صورتی كه مهاجمان بتوانند با موفقيت از يك مانع با موفقيت عبور نمايند ، وجود لايه های حفاظتی ديگر امكان دستيابی آنان به منابع و اطلاعات حياتی موجود در سازمان را مشكل و يا غيرممكن می سازد.