گفتوگو با مدير امنيتي دفتر سياستگذاريهاي فناوري اطلاعات آمريکا
-(3 Body)
|
گفتوگو با مدير امنيتي دفتر سياستگذاريهاي فناوري اطلاعات آمريکا
Visitor
1439
Category:
کامپيوتر
بزرگراه فناوري - زندگي روزمره انساني در دنياي فيزيکي غالبا با تهديدهايي از سوي مهاجمان، متجاوزان و قانونشکنان مواجه بوده است و برنامهريزان و مديران جوامع با اتخاذ تدابير و با بهکارگيري نيروهاي سازمانيافته در پي مبارزه با تهديدهاي مذکور و محافظت از جان و منافع انساني و در نهايت ايجاد امنيت در جامعه هستند. امنيت کامپيوتر و شبکه يا امنيت فضاي تبادل اطلاعات مقولههاي مهمي هستند که همواره به آنها پرداخته ميشود، اما با اين وجود به ندرت ميزان حفاظت از داده ها و دارايي هاي اطلاعاتي شهروندان، شرکتها يا حکومتها کافي و وافي است. اگر زيرساخت شبکه، مسيريابها، کارگزاران نام و سوئيچهايي که اين سيستمها را به هم متصل مي¬کنند از کار بيفتند، کامپيوترها نخواهند توانست دقيق و مطمئن با يکديگر ارتباط برقرار کنند. براي روشن شدن هرچه بيشتر اين قضيه و افزايش اطمينان خاطر کاربران براي وجود به فضاهاي مجازي و استفاده مناسب از فناوريهاي جديد، آن کريشنر(Ann Kirschner) مدير امنيتي دفتر سياستگذاريهاي فناوري اطلاعات آمريکا گفتوگويي را انجام داده است که بخشهايي از آن را مرور ميکنيم. به نظر شما نيازمنديهاي امنيتي چيست و آيا ميتوان اين نيازمنديها را پاسخ گفت؟ تفاوتهاي ميان نيازمنديهاي يک دانشگاه و يک سازمان نظامي که کارهاي رمزنگاري انجام مي دهد را در نظر بگيريد. تفاوت اصلي در نحوه به اشتراک گذاشتن اطلاعات است. دانشگاه نتايج پژوهشها را در اختيار عموم قرار مي دهد. از طرف ديگر سازمان نظامي به محرمانگي اهميت ويژه اي مي دهد. نهتنها سازمان مايل به افشاي نحوه شکستن الگوريتمهاي رمز نيست، بلکه حتي نمي خواهد ديگران از شکسته شدن الگوريتم رمز آگاه شوند. بنابراين امنيت معناي ثابتي ندارد و اين نياز به تعريف امنيت را گوشزد مي کند. هنگامي که سازماني بخواهد سيستمهاي خود را امن کند بايد نخست نيازمنديها را مشخص کند. دانشگاه نياز به حفاظت از سلامت داده ها و تا حدي محرمانگي آنها دارد. ضمنا ممکن است نياز به دسترس پذير بودن سيستم از طريق اينترنت براي دانشجويان و استادان داشته باشد. در مقابل سازمان نظامي به محرمانگي کليه کارهاي خود تاکيد دارد. سيستمهاي آن نبايد از طريق شبکه در دسترس باشند. سلامت داده ها نيز مهم است ولي نه به اندازه محرمانگي آنها. يک سازمان نظامي معمولا ترجيح مي دهد داده ها از بين بروند تا اينکه افشا شوند. اين مثال نشان ميدهد که نيازمندهاي امنيتي تا چه اندازه با يکديگر متفاوتند و بههمين خاطر شرکتهاي عرضهکننده محصولات امنيتي و کامپيوتري مجبورند براي پاسخگويي به هر يک از اين نيازها، آنها را بهصورت جداگانه و منفصل در نظر بگيرند و بررسي کنند. اين طور که امروزه مشخص شده، بيشتر نيازمنديهايي که در زمينه امنيت وجود دارد از ميان برداشته شده و بههمين خاطر کاربران با آرامش خاطر بيشتري اين روزها از کامپيوتر و اينترنت استفاده ميکنند. آيا در زمينه امنيت نيز سياستهاي خاصي وجود دارد؟ اين سياستها چگونه تعيين ميشود؟ نيازمنديهاي امنيتي مجاز بودن برخي اعمال و حالتهاي سيستم را ديکته کرده و بقيه را غيرمجاز مي¬دانند. يک سياست امنيتي بيان خاصي است از موارد مجاز و غيرمجاز. اگر هميشه سيستم در حالتهاي مجاز باقي بماند و کاربران تنها اعمالي را که مجاز هستند بتوانند انجام دهند، آنگاه سيستم امن است. اگر سيستم بتواند به يک حالت غيرمجاز وارد شود يا کاربر بتواند عمل غيرمجازي را با موفقيت انجام دهد، سيستم ناامن خواهد بود. اين ناامني ميتواند مشکلات جبرانناپذيري را براي کاربران بهدنبال داشته باشد و علاوه بر اختلال در سيستممرکزي کامپيوتر، موجبات بروز خسارات مالي فراوان را فراهم آورد. تعيين سياستهاي امنيتي که ميتواند حالت جهانشمول داشته باشد و همه کاربران جهاني را دربر بگيرد، معمولا توسط شرکتهاي بزرگ کامپيوتري و مراکز اصلي قانونگذاري فناوري در جهان صورت ميگيرد و طي آن تمامي کشورها موظف به انجام اين قبيل قوانين ميشوند و بايد همه سياستهاي تعيين شده را به مرحله اجرا برسانند. راهکارهاي امنيتي چيست و چگونه عملي ميشود؟ راهکارهاي امنيتي سياست امنيتي را اجرا مي¬کنند که هدف اصلي از آنها اين است که از ورود سيستم به حالتهاي غيرمجاز جلوگيري شود. راهکارها ممکن است فني يا عملياتي باشند. بهعنوان مثال فرض کنيد سازمان نظامي سندهاي طبقه بندي نشده و سندهاي فوقسري دارد. کاربراني که حق دسترسي به اسناد فوقسري را ندارند نمي توانند به آنها دسترسي پيدا کنند. راهکارهاي فني براي برخي سياستها مناسب نيستند. براي مثال دانشگاه مي خواهد دانشجويان را از داشتن فايلهاي موزيک روي کامپيوترشان منع کند. جهت انجام اين کار راهبران سيستم قادرند کامپيوترها را براي يافتن موزيک جستوجو کنند، ولي دانشجويان باهوش مي توانند فايلهاي موسيقي را بهصورت متني کدگذاري کنند. ولي راهکار عملياتي که دانشجويان را از قرار دادن فايل موسيقي منع مي کند در کنار تنبيه در صورت تخلف، خيلي مناسبتر و موثرتر از راهکار فني ميتواند باشد. اينکه کل راهکارهاي اتخاذ شده بهدرستي سياست امنيتي را پياده سازي مي کند پرسشي مربوط به اطمينان يا تضمين است. براي مثال فايروالها سيستمهايي محسوب ميشوند که واسطه اتصال سيستم يا شبکه داخلي به اينترنت هستند. فايروال مي تواند تلاشهاي اتصال به شبکه داخلي از اينترنت را بلوکه کند. با اين حال اگر نرم افزار فايروال بهدرستي نوشته نشده باشد، ممکن است برخي اتصالها که سياست امنيتي اجازه نداده را بلوکه نکند. در ادامه دو مثال اين مورد را بيشتر توضيح مي دهند. اول فرض کنيد سياست سازمان آن است که از شبکه هاي خارجي نقطهبهنقطه(Point to Point) استفاده نشود. ساده ترين راه آن است که فايروال به گونه اي پيکربندي شود که پيامهاي خارجي درگاه مربوطه را نپذيرد. با اين حال اگر فايروال بهخوبي پيکربندي نشده باشد، ممکن است پيامي حتي اگرچه سياست امنيتي آن را منع کرده باشد، بپذيرد. بنابراين راهکار مورد نظر براي اجراي سياست امنيتي شکست مي خورد. دوم فرض کنيد دانشگاه يک سايت اينترنتي براي اسنادي که قرار است در دسترس پژوهشگران بيروني باشند دارد. سياست امنيتي سيستم آن است که فايلهاي موجود در دايرکتوريهاي کارگزار وب براي اجراي اين سياست پيکربندي شوند. متاسفانه کارگزار يک خطاي نرم افزاري دارد که با فرستادن يک URL خاص مي توان به هر فايل روي سيستم دسترسي پيدا کرد. در اين جا راهکار نه بهعلت پيکربندي نادرست، بلکه بهعلت خطاي نرم افزاري شکست مي خورد. تضمينهاي امنيتي تا چه اندازه ميتواند در افزايش اطمينان خاطر کاربر در کامپيوتر و اينترنت مفيد واقع شود؟ اينکه چقدر سياستهاي امنيتي نيازمنديها را مي پوشانند و راهکارها سياستها را پياده سازي مي کنند، در قلمروي بحث تضمين امنيتي قرار مي گيرد. متدولوژيهاي مختلفي براي اندازه گيري تضمين يا اطمينان امنيتي وجود دارند. متدولوژي مي تواند بهعنوان بخشي از فرآيند مهندسي نرمافزار باشد، با اين حال هيچ متدولوژي نمي تواند بهطور مطلق امن بودن سيستم را تضمين کند، ولي متدولوژيهاي مختلف درجه هاي مختلفي از امنيت را فراهم مي کنند. روشهاي مختلف ارزيابي ميزان تضمين امنيت نهتنها به سيستم، بلکه به محيط ارزيابي و فرآيند توليد سيستم نيز بستگي دارند. تضمين حتي به نيروهاي انساني نيز بستگي دارد. اينکه راهبران فني چقدر از سياست امنيتي را درک کرده اند؟ آيا سياست گذاران افراد را براي پرسش موارد مبهم تشويق مي کنند؟ آيا پاسخها گويا و مفيد است؟ و بسياري موارد ديگر. اين پرسشها اهميت آموزش افراد متخصص امنيت را يادآور مي¬شوند. آموزش خود در دو جايگاه مي تواند متجلي شود. اين دو جايگاه شامل آموزش دانشگاهي و آموزش حرفه اي ميشود که هر يک اهداف خاص خود را دارند. مولفه هاي امنيت کدامند و چه فايدهاي دارند؟ بهطور کلي امنيت سه مولفه دارد: نيازمنديها، سياست و راهکارها. نيازمنديها اهداف امنيت را تعريف مي کنند. آنها به اين پرسش که "از امنيت چه انتظاري داريد؟" پاسخ مي دهند. سياست معناي امنيت را تعريف مي کند و به پرسش "چه گامهايي براي رسيدن به اهداف بالا برمي داريد؟" پاسخ مي دهد. راهکارها سياست را اعمال مي کنند. به اين پرسش پاسخ مي دهند که آنها "از چه ابزارها و روالهايي براي اطمينان از طي شدن اين گامها استفاده مي کنند؟" از يک ديد امنيت از دو مقوله امن بودن يا امن نبودن سيستم کار خود را انجام ميدهد. با اين حال ارزيابي امنيت با اين روش مفيد نيست. بهطور کلي ميزان امنيت يک سايت با ميزان پوشش دادن نيازمنديها سنجيده ميشود. بنابراين يک سازمان که از قابليتهاي امنيتي فعال شده بسياري استفاده مي کند، ممکن از سازمان مشابه ديگري که از امکانات امنيتي کمتري استفاده مي کند امنيت کمتري داشته باشد. امنيت در اينترنت و فضاهاي مجازي چگونه است و شما چطور ميتوانيد تضمين کنيد که يک فرد پس از ورود به شبکه اينترنت ميتواند بدون بروز هرگونه مشکل به فعاليتهاي خود بپردازند؟ در خصوص شبکههاي اطلاعرساني و بهخصوص اينترنت مبحث امنيت را ميتوان از دو جنبه مورد بررسي قرار داد که اين دو جنبه شامل امنيت سرويسدهندگان(Servers Security) و امنيت کاربران(Client Security) ميشود که در هر دو مورد با تهديدهاي بسيار جدي از سوي مهاجمان و مخربين مواجه هستيم. با توجه به گسترش زمينههاي گوناگون استفاده از اينترنت بهخصوص تبادلات بازرگاني و فعاليتهاي اقتصادي و علاقهمندي شديد مهاجمان به اين نوع از تخريبها، در قدم اول سعي بر آن است تا از نفوذ هکرها به اين بخش جلوگيري شود. طي چند ماه اخير مطالعات فراواني در مورد سطح امنيت اينترنت شده که نتايج بسياري از آنها نگراني کاربران اين ابزار ارتباطي مدرن را بهدنبال داشته است. متاسفانه اين تحقيقات نشان ميدهد اينترنت آنقدرها هم که برخي تصور ميکنند، ايمن نيست و به هنگام استفاده از آن بايد خيلي دقت کرد. البته اگر همچنين گزارشهايي منتشر نميشد، نتيجه چندان تفاوتي نميکرد، زيرا بسياري از کاربران اينترنت خود بهطور مستقيم بارها و بارها آلوده شدن سيستمهاي رايانهاي خود به ويروسها، کرمها، تروجانها و نرمافزارهاي جاسوسي را تجربه کردهاند. همه ما با هرزنامههاي اينترنتي آشنايي داريم و شايد چندين هزرنامه الکترونيکي از اين دست را دريافت کرده باشيم. حفرههاي امنيتي و اشکالات نرمافزارها و سيستمعاملهاي مختلفي که به هنگام اتصال به اينترنت مورد استفاده قرار ميگيرند نيز معمولا از سوي هکرهاي حرفهاي و ويروسنويسان مورد سوءاستفاده قرار ميگيرد و آنان از اين طريق ضمن مطلع شدن از هويت برخي کاربران، خود را به جاي آنان جا زده و در فضاي مجازي جولان ميدهند. نقصهاي مذکور که برخي از آنها بسيار جدي هستند همچنين امکان اجراي انواع نرمافزارهاي مخرب را روي کامپيوترهاي شخصي فراهم ميآورند و چهبسا موجب شوند که هکر به اطلاعات شخصي حساسي مانند کلمات عبور، شمارههاي کارتهاي اعتباري و ديگر جزئيات مربوط به حسابهاي بانکي دست يابد. رويداد امنيتي در فضاي سايبر چيست و چگونه رويکرد امنيت لايهبندي شده در مقابل تهديدها و حملات معمول از شبکه سايبر محافظت ميکند؟ براي تامين امنيت روي يک شبکه، يکي از بحرانيترين و خطيرترين مراحل تامين امنيت دسترسي و کنترل تجهيزات شبکه است. تجهيزاتي چون مسيرياب، سوئيچ يا فايروالها که هر کدام از آنها در جايگاه خود اهميت ويژهاي دارد. اهميت امنيت تجهيزات به دو علت بسيار مهم تلقي ميشود: الف – عدم وجود امنيت تجهيزات در شبکه به نفوذگران به شبکه اجازه ميدهد کهبا دستيابي به تجهيزات امکان پيکربندي آنها را به گونهاي که تمايل دارند آن سختافزارها عمل کنند داشته باشند. از اين طريق هرگونه نفوذ و سرقت اطلاعات و يا هر نوع صدمه ديگري به شبکه، توسط نفوذگر امکانپذير خواهد شد. ب – براي جلوگيري از خطرهاي DoS (Denial of Service) تامين امنيت تجهيزات روي شبکه الزامي است. توسط اين حملهها نفوذگران ميتوانند سرويسهايي را در شبکه از کار بيندازند که از اين طريق در برخي موارد امکان دسترسي به اطلاعات با دور زدن هر يک از فرآيندهاي AAA فراهم ميشود. هر زمان که به اينترنت متصل ميشويد و پست الکترونيکي ارسال ميکنيد و يا اطلاعات شخصي خود را در يک وبسايت ثبت ميکنيد، آدرس اينترتني(IP) شما در تمام اينترنت منتشر ميشود و با اين آدرس هر شخصي بلافاصله ميتواند شروع به هک کردن شما کند. اين امر ميتواند مشکلات عديدهاي را براي شما بهوجود آورد که مهمترين آنها شامل به سرقت رفتن شماره کارت اعتباري و اطلاعات شخصي، خوانده شدن پست الکترونيکي، مستقر شدن يک ويروس يا کرم اينترنتي، پاک شدن اطلاعات از روي کامپيوتر و ... شود. برحسب قوانين موجود اطلاعات اشخاصي که هر مرکز يا سازماني به آن دسترسي دارند طبقهبندي ميشوند و هر شخص برحسب کار خود به يک سري اطلاعات از پيش تعيين شده دسترسي پيدا ميکند. حال اگر شخصي سعي به دسترسي به اطلاعات در محدودههايي غير از محدوده خود کند به اين عمل دسترسي غيرمجاز ميگويند. بايد توجه داشته باشيم که هکرها و سارقان اينترنتي از جمله کساني هستند که معمولا از دسترسيهاي غيرمجاز استفاده ميکنند. اصطلاح هکر معمولا به کساني اطلاق ميشود که از نفوذ به سيستم و دسترسي به اطلاعات قصد بدي نداشته و صرفا جهت اطلاع از وضعيت امنيتي و اعلان خطر به مدير سيستم دست به اين کار ميزنند و خود از متخصصان شبکه و کامپيوتر هستند. سارقان الکترونيکي نيز در واقع بيشتر سعي در سرقت و دسترسي به اطلاعات و سوءاستفاده از آن دارند. اين اطلاعات ميتواند خانوادگي، تجاري، سياسي و يا نظامي باشد. بيشتر اين اشخاص اقدام به ربودن رمز عبور کارتهاي اعتباري و شمارهحسابهاي بانکي اشخاص ميکنند. اين روزها برخي روزنامهنگاران سايبر فکر ميکنند ما با فضاسازي سعي در معرفي اينترنت به مثابه پديدهاي ضدامنيتي داريم. مسؤولان سياستگذاري اينترنتي به استراتژي تلفيقي آمريکايي- چيني در حوزه اينترنت معتقد هستند. ايالات متحده در سال 2000 در بيانه استراتژي امنيت ملي در قرن جديد اينترنت را هم بهعنوان تهديد امنيتي و هم بهعنوان بزرگترين فرصت ملي تلقي کرد و چين هم رسما اعلام کرد که بهدنبال برقراري توازن ميان جريان آزاد اطلاعات و صيانت از فرهنگ و ارزشهاي اجتماعي خود است. اگر در اخبار رسانه به جاسوسي سايبر اهميت داده ميشود، وجه تهديد امنيتي اينترنت بارز شده است و اين به مثابه تهديد نيست. امنيت شبکه چيست و چگونه تامين ميشود؟ وقتي بحث امنيت شبکه پيش ميآيد مباحث زيادي قابل طرح و ارايه هستند، موضوعاتي که هر کدام بهتنهايي ميتوانند جالب، پرمحتوا و قابل درک باشند. اما وقتي صحبت کار عملي به ميان ميآيد قضيه پيچيده ميشود، زيرا ترکيب علم و عمل احتياج به تجربه دارد و نهايت هدف يک علم هم بهکار آمدن آن است. هميشه در امنيت شبکه لايههاي دفاعي موضوع داغي است که نظرات مختلفي در مورد آن وجود دارد. عدهاي فايروال را اولين لايه دفاعي ميدانند، بعضيها Access List را در اين زمينه اول ميدانند و ...، اما واقعيت پنهان اين است که هيچ کدام از اينها نخستين لايه دفاعي نيستند. اولين لايه دفاعي در امنيت شبکه و حتي امنيت فيزيکيPolicy است. بدون اين مقوله ليست کنترل، فايروال و هر لايه ديگر بيمعني خواهد شد و اگر بدون policy شروع به ايمن کردن شبکه شود، محصول نتيجهاي در پي نخواهد داشت. براي ايمن کردن شبکهها بايد پنج مرحله ما بايد پنج مرحله بازرسي،حفاظت، رديابي، واکنش و بازتاب مورد توجه قرار گيرد. در طول مسير از اين پنج مرحله عبور ميکنيم، ضمن اينکه ايمن کردن شبکه به اين شکل احتياج به تيم امنيتي دارد و يک نفر بهتنهايي نميتواند اين فرآيند را طي کند و اگر هم بتواند، مدتزمان زيادي طول ميکشد و قانون حداقل زمان ممکن را نقض ميکند. بايد توجه داشت که امروزه امنيت شبکه يک مسئله مهم براي ادارات و شرکتهاي دولتي و سازمانهاي کوچک و بزرگ است. تهديدهاي پيشرفته از سوي تروريستهاي فضاي سايبر، کارمندان ناراضي و هکرها رويکردي سيستماتيک را براي امنيت شبکه ميطلبد. در بسياري از صنايع، امنيت به شکل پيشرفته يک انتخاب نيست بلکه يک ضرورت است. متخصصان امنيت شبکه از اصطلاحي با عنوان ضريب عملکرد(work factor) استفاده ميکنند که مفهومي مهم در پيادهسازي امنيت لايهبندي است. ضريب عملکرد بهعنوان ميزان تلاش مورد نياز توسط يک نفوذگر بهمنظور تحت تاثير قرار دادن يک يا بيشتر از سيستمها و ابزار امنيتي تعريف ميشود که باعث رخنه کردن در شبکه خواهد شد. يک شبکه با ضريب عملکرد بالا به سختي مورد دستبرد قرار ميگيرد، درحالي که يک شبکه با ضريب عملکرد پايين ميتواند نسبتا بهراحتي مختل شود. اگر هکرها تشخيص دهند که شبکه شما ضريب عملکرد بالايي دارد، احتمالا شبکه شما را رها ميکنند و به سراغ شبکههايي با امنيت پايينتر ميروند و اين دقيقا همان چيزي است که شما ميخواهيد
|
|
|