کنترل های کلیدی رویارویی با ریسک های امنیت اطلاعات
سایت حسابرسی فناوری اطلاعات در این مقاله میخواهد کنترل های کلیدی رویارویی با ریسک های امنیت اطلاعات را در کوتاه ترین زمان ممکن برای شما عزیزان توضیح دهد. پس تا آخر این مقاله با ما همراه باشید.
ایجاد نام كاربری و اسم رمز قابل قبول بر طبق استانداردهای امنیت اطلاعات
به هیچ وجه از اسامیاستفاده نكنید فرقی نمیكند كه اسم فامیل كاربر باشد، یا باشگاه فوتبال مورد علاقه وی، بسیاری از برنامههای هكر، رمزهای عبور را با كمك فرهنگ لغت هك میكنند. فقط چند ساعت طول خواهد كشید كه با كمك لغات یك فرهنگ لغت، دستیابی به رمز عبور امكان پذیر شود.
برای رمز عبور كاربر حداقل از 8 حرف استفاده كنید. برای رمز عبوری كه از 4 حرف تشكیل شده است، حدود 45000 حالت وجود دارد. اما برای رمز عبوری كه از 8 حرف و علامتهای ویژه تشكیل شده است، یك میلیارد حالت مختلف وجود دارد
برای رمز عبور، از حروفی كه در كنار هم قرار گرفتهاند استفاده نشود. رمزهای عبوری مانند “qwert” یا “asdf”، كار هكرها را برای دستیابی به رمز عبور بسیار آسان میكند،این مطلب در تركیب اعداد نیز به همین صورت است؛ مثل \” 12345678 \”. در كنار هم قرار گرفتن حروف و یا اعداد، دستیابی به هكرها به رمز عبور كاربر را بسیار راحت میكند.
برای رمز عبور كاربر، تركیبی از حروف بزرگ و كوچك یا اعداد و علامتهای ویژه را انتخاب كنید. استفاده از علامتهای ویژه به تنهایی كافی نیست. 5 درصد همه كاربرها براین امر اتفاق نظر دارند كه رمز عبوری مثل Martin! را به كار برند.
رمز عبور كاربر تا حد امكان جایی نوشته نشود. حتی اگر كاغذی كه رمز عبور كاربر را بر روی آن نوشتهاید، در جای امنی مانند كیفتان باشد، از این كار اجتناب كنید. عنوان كاغذی كه رمز عبور كاربر را بر روی آن نوشتهاید، به هیچ عنوان زیر صفحه كلید یا به مانیتور كاربر نچسبانید.
تغییر دادن رمز عبور را فراموش نکنید
رمز عبور خود را همواره تغییر دهید. هر قدر، مدت زمان استفاده از رمز عبورتان بیشتر باشد، خطر هك شدن شما بیشتر خواهد بود. اداره فناوری اطلاعات آلمان فدرال، توصیه میكند كه هر 90 روز یكبار رمز عبور خود را تغییر دهید.
رمز عبور خود را در كامپیوتر ذخیره نكنید. كامپیوتر قادر است رمز عبور شما را ذخیره كند تا شما مجبور نباشید هر بار آن را وارد كنید. با این حال، كسی كه برای هر بار ورود، احتیاج به وارد كردن رمز عبور نداشته باشد، خیلی سریع آن را فراموش میكند. دقت داشته باشید كه برای تغییر رمز عبور، باید حتماً رمز عبور قبلی را وارد كنید.
رمز عبور خود را به شخص دیگری ندهید. اگر از شما تلفنی یا با پست الكترونیكی، رمز عبورتان را خواستند، آن را بازگو نكنید. هكرها معمولاً خود را به عنوان همكاران شركتهای بزرگ معرفی میكنند. این اشخاص كه خود را سرویس كار كامپیوتر معرفی میكنند، معمولاً توسط تماس تلفنی یا پست الكترونیكی رمز عبور شما را برای حل مشكل كامپیوترتان طلب میكنند. ولی هیچ شركت معتبر و صاحب نامیاز شما رمز عبورتان را نمیخواهد.
استفاده از روش احراز هویت دو عاملی برای تقویت امنیت اطلاعات
كاربرانی كه برای آنها گواهی دیجیتال صادر شده است، برای ورود به سیستم و احراز هویت نیاز به استفاده از Token اختصاصی خود و كلمه عبور براساس پروتكل چالش/پاسخ دارند. در این سرویس به نحوی عمل میشود كه حتی در صورت افشاء آنچه كاربر میداند (رمز عبور) امكان دسترسی نفوذگر به سیستم عملی نباشد. برای این كار روش احراز هویت دوعاملیاستفاده میشود كه علاوه بر آنچه كاربر میداند نیازمند آنچه كاربر دارد نیز میباشد، ضمناینكه این امكان در سیستم قرار داده شده است تا استفاده كاربران را محدود به یك یا چند رایانه خاص نماید.
استفاده از كلید عمومی PKI
شركت میتواند، اقدام به پیادهسازی زیرساخت كلید عمومی در قالب یك نرمافزار امنیتی نماید. این نرمافزار ضمن مدیریت كلید عمومیو خصوصی كاربران و درج آن در گواهی دیجیتال، زوج كلید هر كاربر را در یك توكن سختافزاری (غیر قابل كپی) ثبت مینماید. توكنهای مذكور از طریق پورت استاندارد USB به رایانه كاربر متصل شده و استاندارد PKCS11 را پشتیبانی مینمایند.
روش متقارن Symmetric در این روش هر دو طرفی که قصد رد و بدل اطلاعات را دارند از یک کلید مشترک برای رمزگذاری و نیز بازگشایی رمز استفاده میکنند. در این حالت بازگشایی و رمزگذاری اطلاعات دو فرآیند معکوس یکدیگر میباشند. مشکل اصلی این روش این است که کلید مربوط به رمزگذاری باید بین دو طرف به اشتراک گذاشته شود و این سوال پیش میآید که دو طرف چگونه میتوانند این کلید را به طور امن بین یکدیگر رد و بدل کنند.
انتقال از طریق اینترانت و یا به صورت فیزیکی تا حدی امن میباشد اما در انتقال آن در اینترنت به هیچ وجه درست نمیباشد. در این قبیل سیستمها، کلیدهای رمزنگاری و رمزگشایی یکسان هستند و یا رابطهای بسیار ساده با هم دارند.این سیستمها را سیستمهای متقارن یا تک کلیدی مینامیم. به دلیل ویژگی ذاتی تقارن کلید رمزنگاری و رمزگشایی، مراقبت و جلوگیری از افشای این سیستمها یا تلاش در جهت امن ساخت آنها لازم است در بر گیرنده جلوگیری از استراق سمع و ممانعت از دستکاری اطلاعات باشد.
روش نامتقارن Asymmetric:
این روش برای حل مشکل انتقال کلید در روش متقارن ایجاد شد. در این روش به جای یک کلید مشترک از یک جفت کلید به نامهای کلید عمومی و خصوصی استفاده میشود. در این روش از کلید عمومی برای رمزگذاری اطلاعات استفاده میشود. طرفی که قصد انتقال اطلاعات را به صورت رمزگذاری شده دارد اطلاعات را رمزگذاری کرده و برای طرفی که مالک این جفت کلید است استفاده میشود. مالک کلید، کلید خصوصی را پیش خود به صورت محرمانه حفظ میکند. در این دسته، کلیدهای رمزنگاری و رمزگشایی متمایزند و یا اینکه چنان رابطه پیچیدهای بین آنها حکم فرماست که کشف کلید رمزگشایی با در اختیار داشتن کلید رمزنگاری، عملاً ناممکن است.
كنترل دسترسی و کنترل های کلیدی رویارویی
بعد از احراز اصالت كاربران مجاز، بایستی سطوح دسترسی هر كاربر به اطلاعات موجود در سیستم تعیین و اعمال شود به نحوی كه هر كاربر بر اساس مجوزهایی كه دارد بتواند به اطلاعات و اشیاء تعریف شده دسترسی پیدا كند. تعیین حدود اختیارات كاربران و كنترل دسترسی آنها با استفاده از زیر سیستم مدیریت سازمان قابل انجام است. بخشی از سیاستهای كلی اجرایی و امنیتی را نیز میتوان در این زیر سیستم اعمال نمود.
یكی از اصول امنیت اطلاعات، استفاده از الگوی دفاع لایه به لایه است.
كل شبكه را میتوان به دو بخش قابل اعتماد (Trusted) و غیرقابل اعتماد (Un Trusted) تقسیمبندی كرد. شبكه داخلی را میتوان شبكه قابل اعتماد و شبكه عمومییا اینترنت را شبكه غیرقابل اعتماد دانست. در شبكههای كامپیوتری محلی را به نام DMZ (Demilitarized Zone) تعریف میكنیم. در واقع DMZ ناحیهای بین شبكه داخلی شركت و شبكه عمومی است. سرورهایی را كه باید از اینترنت قابل دسترسی باشند مانند Web Server، Mail Server، FTP Server و DNS Server را در DMZ قرار میدهیم. این سیاست مطابق الگوی دفاع لایه به لایه است. به این ترتیب راه برقراری ارتباط از اینترنت به داخل شبكه به طور كامل مسدود میشود. برایایجاد لایههای بیشتر میتوان بیش از یك DMZ در شبكهها ایجاد كرد.
تعداد Deviceهای امنیت شبكه به تعداد DMZها و موارد دیگری بستگی دارد و با توجه به ساختار شبكه، میزان حساسیت و برخی پارامترهای دیگر تعیین میشود.
ردیابی وقایع برای کنترل های کلیدی رویارویی
وجود روشهایی برای ثبت، نگهداری و مدیریت رخدادها در بسترهای سختافزاری، نرمافزاری و شبكه ارتباطی شركت از اهمیت زیادی برخوردار است. از این رو بایستی مكانیزمهای ثبت و مدیریت وقایع در سطوح مختلف كاربرد، سیستمعامل، پایگاه داده و زیر سیستم امنیتی وجود داشته باشد.
برای نشان دادن اینكه بر روی چه دادهای، در چه زمانی، كدام كاربر چه عملیاتی را انجام داده. در سیستم باید رویدادنگاری خودكار گنجانده شود. این مكانیزم هیچ محافظتی در قبال حملات امنیتی انجام نداده و تنها برای آنالیز تخلفات انجام شده بكار میروند.
رمزنگاری
برای اطمینان از محرمانگی اطلاعات و عدم شنود، بر روی شبكه ارتباطی بین ایستگاههای كاری كاربران و سرویسدهنده مركزی، انتقال دادهها بصورت رمز نگاری انجام گیرد.
امضاء دیجیتال
در برخی مواقع لازم است كه كاربر گیرنده اطلاعات، از هویت فرستنده اطلاعات اطمینان حاصل نماید. بدین منظور در بخش ارسال پیام وایجاد پیشنویس بنابر اختیار كاربر امكان امضاء الكترونیكی باید تعبیه شود.
امضاء الكترونیكی فراتر از درج تصویر امضاء كاربر است و برای هر مرحله از ارسال پیام یا پیش نویس قابل استفاده است.
برای محافظت از اطلاعات شركت باید نسخههای پشتیبان تهیه شوند.
یکی از راهحلها برای مقابله با تهدیدات، تهیه نسخههای پشتیبان میباشد. نسخه پشتیبان به خودی خود یک کپی از فایل یا مجموعهای از فایلها است که با انتقال به یک دیسک فلاپی و یا دیسک از آن نگهداری میشود. چنانچه فایل اصلی به هر دلیلی از بین برود یا پاک شود میتوان از نسخه پشتیبان استفاده کرد و آن را جایگزین فایل قبلی کرد. مهمترین نکته در مورد نسخههای پشتیبان این است که تهیه پشتیبان باید در فواصل زمانی منظم صورت بگیرد.