سیاست های امنیتی

 

در دنیایی که وجه مشخصه آن فناوری سطح بالا و ارتباطات گسترده می باشد، هر سازمانی نیاز به سیاست های امنیتی که مدبرانه تدوین شده  باشند دارد. در هر لحظه خطرات مختلفی از بیرون و درون سازمان توسط هکرها، رقبا و یا کشورهای خارجی منافع سازمان را تهدید می کند. هدف سیاست های امنیتی تعریف روال ها، راهنماها و تمریناتی است که امنیت را در محیط سازمان برقرار و مدیریت می نماید. با اجرای دقیق سیاست های امنیتی، سازمان ها می توانند تهدیدات را کاهش دهند.

  

گروه امنیت سایبری ولایت در قالب چند مقاله به معرفی مفاهیم سیاست های امنیتی و روش های سیاست گذاری امنیتی خواهد پرداخت.

 

مفاهیم

سیاست امنیتی یک سازمان سندی است که برنامه های سازمان برای محافظت سرمایه های فیزیکی و مرتبط با فناوری ارتباطات را بیان می نماید. به سیاست امنیتی به عنوان یک سند زنده نگریسته می شود، بدین معنا که فرایند تکمیل و اصلاح آن هیچ گاه متوقف نشده، متناسب با تغییر فناوری و نیازهای کاربران به روز می شود. چنین سندی شامل شرایط استفاده مجاز کاربران، برنامه آموزش کاربران برای مقابله با خطرات، توضیح معیارهای سنجش و روش سنجش امنیت سازمان و بیان رویه ارزیابی موثر بودن سیاست های امنیتی و راه کار به روز رسانی آنها می باشد.

هر سیاست امنیتی مشخص کننده اهداف امنیتی و تجاری سازمان است ولی در مورد راه کارهای مهندسی و پیاده سازی این اهداف بحثی نمی کند. سند سیاست امنیتی سازمان باید قابل فهم، واقع بینانه و غیر متناقض باشد، علاوه بر این از نظر اقتصادی امکان پذیر، از نظر عملی قابل انعطاف و متناسب با اهداف سازمان و نظرات مدیریت آن سطح حافظتی قابل قبولی را ارائه نماید.

 

امنیت در پایگاههای داده ای - بخش اول

امنیت سرور

مقدمه

با گسترش استفاده از تکنولوژی وب و توسعه برنامه هایی که برای کارکرد درین بستر تولید میشوند مباحث مربوط به امنیت پایگاههای داده ای بعد جدیدتری پیدا کرده اند. هر چند از آغاز پیداش پایگاههای داده همواره امنیت و تامین آن یک دغدغه مهم و پیاده سازی مناسب  و کارای آن یک خصوصیت بنیادی در پایگاههای داده بوده است اما بهر روی بحث امنیت (Security)همواره در سایه مقولاتی همچون عملکرد مناسب (Functionality) ، کارایی (Performance) و قابلیت اطمینان (Reliability) قرار میگرفت. به عبارتی هنوز هم چندان عجیب نیست اگر ببینیم یک برنامه رده سازمانی (Enterprise Level) با تعداد زیادی Client بدون هیچگونه ملاحظه امنیتی تولید شده و مورد استفاده باشد. حتی میتوان درین زمینه مثالهای جالبتری یافت. اغلب برنامه های Client-Server با نام کاربری  sa(System Administrator) به پایگاههای داده متصل میشوند. از دید امنیتی این مطلب یک فاجعه محسوب میشود. هیچ تغییر و یا خرابکاری ای قابل ردیابی نیست، همه کاربران به همه اطلاعات دسترسی دارند و الی آخر.

آنچه ذکر شد ، در واقع تصویری از وضعیت جاری بود، که باید از دو منظر نگریسته شود: عدم وجود مکانیزمهای امنیتی مناسب و نیز در صورت وجود چنین مکانیزمهایی عدم بهره گیری صحیح ازانها یا نداشتن سیاست امنیتی مطلوب.

این وضعیت شاید در دنیای برنامه های مبتنی بر تکنولوژی های Mainframe یا Client-Server قابل تحمل بود اما در شرایط فعلی که برنامه ها با سرعت زیادی به سمت بهره گیری از بستر وب میروند ادامه این روند فاجعه بار است. در حال حاضر دیگر کاربران یک برنامه به صورت بالقوه تنها کارمندان یک سازمان نیستند. هر فردی میتواند به سادگی باز کردن یک مرورگر وب به پایگاه داده شما متصل شود و مطمئن باشید اگر مکانیزمهای امنیتی را رعایت نکرده باشید ، حذف تمامی داده های شما حتس از عهده یک نفوذگر عادی هم بر می آید.

اجازه دهید یک فرض اساسی را مطرح کنیم. مدیران IT یک سازمان بر دو دسته اند: مدیران نوگرایی که به صورت داوطلبانه سازمان را به سمت ارائه خدمات عمومی و گسترده هدایت میکنند و به همین دلیل تکنولوژی وب را به عنوان تنها بستر موجود برای ارائه این خدمات میپذیرند و مدیران سنتی محافظه کاری که قابلیت اطمینان و کارایی سیستم جاری را تحت هیچ شرایطی حاضر نیستند در معرض خطر قرار دهند. وب از نظر این گروه دوم کماکان یک تکنولوژی مشکوک غیر قابل اطمینان است. در واقع دلایل فنی این گروه دوم هنوز هم چشمگیر و قابل اعتناست، به خصوص گروهی که از mainframe ها صحبت میکنند. قابلیت اطمینان 0.99999 هنوز هم در دنیای غیر Mainframe  یک رویاست. 

زمانی که بحث امنیت در بستر وب مطرح میشود به صورت عمده سه جزء زیر مد نظر است:

• امنیت سرور(Server Security)
• امنیت در تصدیق اعتبار(Authentication Security)
• امنیت محاوره(Session Security)

در ادامه نگاهی به جزئیات هریک از اجزای این دسته بندی خواهیم داشت.

UAC) User Account Control) چیست؟

ابزاری می‌باشد‌ که اگر کاربر شما عضو گروه administrator کامپیوترتان باشد احتمالا از آن استفاده کرده‌اید دلیل آن این است که به صورت پیش‌فرض برای کاربران معمولی غیرفعال می‌باشد به این معنی که کاربر معمولی به صورت پیش‌فرض با آن مواجه نمی‌شود. تنظیمات UAC به شما اجازه می‌دهد تنظیمات دلخواه خود را متناسب با شرکتان و سازمانتان انجام دهید.

Uacیک ویژگی امنیتی می‌باشد، وقتی که یک عملیات و یا یک اقدام نیاز به سطح دسترسی بیشتری به سیستم شما را دارد به شما اطلاع می‌دهد. شما در سیستم عامل ‌های گذشته مانند سیستم عامل window Xp اگر با کاربری که عضو گروه admin بود log on می‌کردید به صورت اتوماتیک به بالاترین سطح مدیریتی(سطح امنیتی) در تمامی زمان‌ها دسترسی داشتید .

NFCچیست؟

تکنولوژی ساده‌ایی می‌باشد‌‌‌ که امنیت تعاملات اتوماتیک اطراف ما را برقرار می‌کند .مفهوم  NFC از چندین تکنولوژی طراحی شده است که شامل ارتباطات wireless، دستگاه موبایل ،نرم افزارهای موبایل و کارت‌های هوشمند و همچنین سرویس  web، تکنولوژی XML ،Server side programming  به بهتر شدن و گسترش یافتن این تکنولوژی کمک کرده است.
 

بعضی از ابزارها مانند کارت اعتباری، سوئیچ اتومبیل و کارت‌های دسترسی به اتاق‌های هتل احتمالا کاربردی نخواهد داشت و استفاده کردن از آن متوقف می شود زیرا تلفن‌های همراهی که دارای قابلیت  NFC هستند تمامی این فعالیت‌ها را تحت پوشش قرار می‌دهد. NFC این قابلیت را دارد که با توجه به نیاز مورد استفاده قرار گیرد و Ubiquitous computing  (محاسبات در همه جا) را تامین کند.
 

NFC تکنولوژی جدید
NFC  بین دو دستگاه از طریق برد کوتاه ارتباطات برقرار می‌کند. ارتباطات NFC از فرکانس 13.56MHz RFID استفاده می‌کند .سرعت انتقال اطلاعات که امروزه رایج است عبارتند از 106،212 و kbps424. تکنولوژی  NFC در وجه های مختلفی عمل می کند reader/writer، peer-to-peer،تقلید از کارت جایی که در ارتباطات یک طرف تلفن همراه باشد، NFC tag، تلفن همراه NFC. یکی از ویژگی‌های اصلی تکنولوژی  NFCواضح بودن بحث امنیتی آن است به خاطر فاصله کوتاهی که تحت پوشش قرار می‌دهد.نزدیک بودن دو دستگاه احتمال رهگیری سیگنال را کم می‌کند.از دیگر ویژگی‌های  NFC جفت شدن دستگاه ها بدون هیچ پیش شرطی می‌باشد. نرم افزاری که درون تلفن همراه نصب شده است با تشخیص و پیدا کردن هر دستگاهی و جفت شدن با آن به صورت اتوماتیک اجرا می شود.

سوء استفاده از آسیب پذیری اصلاح نشده در مایکروسافت ورد

فایل های مخرب RTF می توانند کدی را اجرا نمایند. شرکت مایکروسافت برای رفع این مشکل یک راه حل موقت را منتشر کرده است.

پشت پرده وای‌فای‌های رایگان

آیا می دانستید استفاده از Wi-Fi رایگان که معمولا در فرودگاه ها یا کافی شاپ ها عرضه می شوند برای انجام کارهای مهم مثل حواله های بانکی یا انجام ثبت نام های محرمانه مناسب نیستند و گاها خطراتی هم به دنبال دارند ؟اگر نمی دانستید تا انتهای این گزارش با ما باشید تا این اسرار برای شما فاش شود.

الگوریتمهای جدید CAPTCHA

اخیراً روشهای جدید Captcha مبتنی بر تصویر ارائه شده اند که عبور از آنها برای ما انسانها ساده تر و برای رایانه ها غیرممکن شده است. در یکی از این روشها از قدرت تشخیص انسانها در تمییز اجسام از یکدیگر در حالت سه بعدی و دو بعدی و همچنین در زوایای مختلف استفاده می شود. روش دیگر بر تشخیص یک تصویر متفاوت از بین چندین تصویر مشابه استوار است و شکستن آن برای رایانه های فعلی غیرممکن می باشد. روشی که در بیشتر وب سایتها برای جداسازی ورودیهایی که کامپیوترها تولید کرده اند از ورودیهای انسانی به کار می رود، Captcha یا Completed Automated Public Turing نام دارد. در این روشها، معمولاً ترکیبی از الفبا، اعداد و کاراکترهای دیگر را تولید می کنند به طوری که یک انسان بتواند آنها را تشخیص دهد، ولی شناسایی اجزای آن برای رایانه ها مشکل باشد. همان طور که رباتهای کامپیوتری تولید کننده ورودیها هوشمندتر می شوند، روشهای Captcha نیز آزاردهنده تر می شوند به طوری که عبور از برخی از آنها برای ما انسانها نیز دشوار می نماید. به همین دلیل متخصصان این قضیه به دنبال روشهایی هستند که استفاده از آنها برای انسانها ساده تر و برای کامپیوترها تقریباً غیر ممکن باشد. یکی از روشهای جایگزین، استفاده از عکسهای سه بعدی در اینگونه تستها است که تشخیص آنها برای انسانها ساده بوده و در حال حاضر تکنولوژی شکستن آن برای رایانه ها موجود نمی باشد. در این روش که 3D Captcha نام دارد، از قدرت تشخیص انسانها برای تمییز اجسام سه بعدی در زوایای مختلف استفاده می شود. در زیر نمونه ای از این تست را که وب سایت Yuniti.com از آن استفاده می کند، مشاهده می کنید (وب سایت مذکور ابداع کننده این الگوریتم Captcha می باشد):