اهمیت security policy

 اصطلاح policy و به خصوص security policy برای اغلب کاربران کامپیوتر تا حدودی آشناست. هر کدام از ما اگر تا حدی هنگام پیکر بندی آنتی ویروس یا فایروال شخصی خود دقت کنیم، به این اصطلاح برخورد خواهیم کرد. در اغلب ابزارهای امنیتی و یا مدیریتی شبکه کلمه policy به جای configuration یا پیکربندی به کار می­رود. این نحوه کاربرد البته خالی از اشکال نیست اما امروزه تقریبا به صورت استاندارد در آمده است. اما معنای دقیق policy عبارت از سیاست عملکرد یا همان خط مشی است. security policy یا خط مشی امنیت مجموعه ای از باید ها و نباید هاست که تعیین می­کند چه چیزی در رابطه با اطلاعات و ابزارهای پردازش آن مجاز، و چه چیزی غیر مجاز شمرده می­شود. اهمیت security policy تا آنجاست که گفته می­شود بدون داشتن آن توقع ایجاد امنیت رویایی بیش نیست! برای مثال در یک بازی فوتبال اگر قواعد مسابقه، وظایف بازیکنان و نحوه انجام بازی به صورت مدون و مستند (نه صرفا در ذهن بازیکنان) موجود نباشد، آیا اصولا می­توان انتظار داشت که مسابقه ای انجام شود؟ این مساله برای سازمانها و برنامه های امنیتی آنها هم صادق است. باید مجموعه انتظارات سازمان از کلیه افراد ووظایف آنها در قبال امنیت اطلاعات به صورت مدون و مستند، با تایید مدیریت ارشد به همگان ابلاغ شود، و کلیه سازوکارهای امنیتی برمبنای این خط مشی به کارگرفته شود.

اما در اکثر قریب به اتفاق سازمانهای ایرانی امنیت تنها در نصب یک فایروال، آنتی ویروس و … خلاصه می­شود، حال آنکه اگر سوال شود که بر چه مبنایی این محصول خریداری شده و به این شکل و پیکربندی خاص استفاده شده، پاسخ علمی وجود ندارد. اگر از بسیاری از راهبران شبکه ها security policyسندی با نام را بخواهید، برداشتها و فرضیات بدیهی ذهن خود را تحویل شما می­دهند، نه از سندی مکتوب خبری هست و نه فرمت و ساختار مشخص و تایید شده. اما نکته جالب اینجاست که در یک فرآیند استاندارد، وجود مستند security policy اولین قدم در بررسی صحت سیستم امنیت اطلاعات است، بنا براین اگر از گرانترین فناوریها هم استفاده شود، بدون security policy امنیت معنایی نخواهد داشت.

در اینجا می­توانید مقالات و نمونه های مفیدی از security policy را پیدا کنید.      

 

اشتراک گذاری

لینوکس یا ویندوز؟

یکی از بحثهای جنجالی بین طرفداران سیستم عاملهای لینوکس و ویندوز میزان امن بودن این سیستم عاملها نسبت به یکدیگر است، به طوریکه سالهاست هر دوطرف به وسیله آمارها، گزارشها و … سعی در اثبات ناامن بودن سیستم عامل رقیب را دارند. در سال ۲۰۰۴ هم مثل سالهای پیش گزارشهای متعددی در این زمینه منتشر شد، که امروز نگاهی به این گزارشها و نظرات پیرامون آنها می­اندازیم.

کمپانی انگلیسی mi2g در گزارشی مدعی شد که در ژانویه ۲۰۰۴ حدود ۱۷۰۰۰ حمله موفقیت آمیز روی سرویس دهنده های سرارسر دنیا انجام شده که از این میزان بیش از ۱۳۶۰۰ مورد سرویس دهنده لینوکس و تنها ۲۰۰۰ مورد ویندوز بوده است و اعلام کرد که لینوکس رخنه پذیر ترین سیستم عامل دنیاست، در حالی که کارشناسان امنیتی این گزارش را به دلیل در نظر نگرفتن آمار ویروسها و کرمها غیر معتبر دانستند. طرفداران ویندوز معتقد بوده و هستند که این سیستم عامل با توجه به گستره کاربری و بازار بزرگ تر هدف نسبت به لینوکس در معرض آسیبهای بیشتری بوده و لذا بیشتر بودن تعداد ویروسها، کرمها و رخنه ها لزوما به معنای غیر امن بودن ویندوز نیست. در مقابل بسیاری از کارشناسان لینوکس بر این باورند که حملات بیشتر علیه ویندوز به این دلیل است که اساسا ویندوز قابل امن کردن نیست!

یکماه پس از گزارش mi2g بود که مقاله ای مفصل در رد این گزارش منتشر شد و بسیاری از پیش فرضهای mi2g از جمله distribution لینوکس مورد مطالعه را زیر سوال برد. این دعوا سالهاست که ادامه داشته و به نظر نمی­رسد که هیچ یک از دوطرف قادر به اقناع دیگری باشد. اما به نظر من نکته کلیدی میزان مهارت فردی راهبر سیستم عامل است. یک سیستم عامل هر قدر هم امکانات امنیتی قوی داشته باشد، اگر به درستی توسط راهبر پیکر بندی و مدیریت نشود امن نخواهد بود. با این پیش فرض، لینوکس با ساختاری open source و بسیار انعطاف پذیر، قابلیت بیشتری برای پیکربندی امن نسبت به ویندوز دارد.  

 

اشتراک گذاری

اصول امنیت اطلاعات

بنا به تعریف استاندارد ISO 17799 ، امنیت اطلاعات در واقع عبارت است از تامین و حفاظت از سه اصل اساسی زیر:

۱-      محرمانگی (Confidentiality) : اطمینان از اینکه اطلاعات تنها در دسترس کاربرانی است که مجاز به دسترسی هستند.

۲-      صحت (Integrity): فاظت از دقت، صحت و اکمال اطلاعات و روشهای پردازش اطلاعات.

۳-      دسترس پذیری (Availability) : اطمینان از اینکه کاربران مجاز در موقع لزوم به اطلاعات و داراییهای مربوط به آن دسترسی دارند.

در آینده بیشتر به جزئیات استاندارد فوق خواهم پرداخت. یک نکته مهم و جالب در زمینه سه اصل فوق این است که علی رغم تعریف ظاهرا ساده، کلیه مسائل مربوط به امنیت اطلاعات با استفاده از این سه اصل که به اختصار CIA خوانده می­شود قابل توضیح و بررسی است. اصولا هر سازوکار امنیتی باید در جهت برآورده کردن این اصول پی­ریزی شود، چرا که کامل ترین و مقبول ترین معیار ارزیابی کیفیت امنیت اطلاعات، میزان برآورده شدن این اصول می­باشد. برای مثال در اغلب گزارشهای آماری امنیتی که توسط موسسات معتبر دنیا به صورت سالانه منتشر می­شود، به عنوان اولین نکته کلیدی به میزان خسارتی که اصول CIA در سیستم های اطلاعاتی سازمانها متحمل شده است اشاره شده و میزان تغییر در آن به عنوان معیاری برای میزان موفقیت برنامه های امنیتی در نظر گرفته می­شود.

اشتراک گذاری

امنیت و هزینه (۱)

هدف امنیت اطلاعات همانطور که از نامش پیداست محافظت از داراییهای اطلاعاتی افراد و سازمانهاست. به هر حال اطلاعات در هر شکلی که باشد دارای ارزش (value) است و این ارزش حتی گاه قابل محاسبه نیست. بنابر این هر ساز وکار و مکانیزمی که برای بالا بردن ضریب امنیت اطلاعات استفاده می شود باید معطوف به ارزش اطلاعات و مقرون به صرفه باشد. پیاده سازی امنیت اصولا هزینه بر است و یکی ازدلایل کندی روند حرکت افراد و سازمانها به سمت آن نیز همین است. برای متقاعد کردن صاحبان اطلاعات به استفاده از کنترلهای متناسب امنیتی، باید از یک طرف تهدید ها و ریسک های متوجه اطلاعات و از طرف دیگر ارزش افزوده حاصل از امن بودن داراییها را بر آنان آشکار نمود.         

اشتراک گذاری

امنیت کدام نوع از انواع اطلاعات؟

وقتی از امنیت اطلاعات صحبت می کنیم،‌ اطلاعات را در تمام شکلهای آن مد نظر داریم ،‌نه فقط به صورت الکترونیکی یا کامپیوتری. بنا بر این تمام اسناد کاغذی،‌ صوتی – تصویری، الکترونیکی و … در این مقوله جایگاه خاص خود را دارند. اما موضوع امنیت اطلاعات الکترونیکی امروزه جذاب تر و مهم تر به نظر می رسد. از یک طرف انواع اشکال نمایش اطلاعات به سمت الکترونیکی شدن حرکت می کند و از سوی دیگر مکانیزمهای پردازش و تبادل آنها هم همگام با گسترش شبکه های اطلاعاتی به شکل الکترونیکی در می آید.    

اشتراک گذاری