Wepage  | صفحه ماWepage  | صفحه ما


امتیاز موضوع:
  • 0 رای - 0 میانگین
  • 1
  • 2
  • 3
  • 4
  • 5

[-]
کلمات کلیدی
چهار اصولِ مفهومِ امنیت ،

اصولِ امنیت ، مفهومِ امنیت (چهار)
#1
[عکس: 2014-12-27-Babak%20Nabizadeh-Security%20...k=sHmL3Vqa]

 [عکس: analytics.php?entity_id=62771&token=1845815880]اصولِ امنیتی در واقع چیزی بیشتر و اضافه‌تر از سیستم امنیتی نیستند، بلکه طرح‌ها و روش‌های اجرایی‌ای هستند که به ارتقاء سیستم امنیتی کمک می‌کنند.
آنچه پیش روست بخش‌هایی از یک کتابِ آنلاین به نام «مفهومِ امنیت» است، که تحت لیسانس Creative Commons منتشر شده است، و خارج از بایدها و نبایدها، به مفهومِ امنیت پرداخته است.
در قسمت سوم از مجموعه‌ی «مفهومِ امنیت» درباره‌ی مدل‌سازی تهدیدها صحبت کردیم. در این بخش، برای درکِ بهترِ مفهوم امنیتِ به اصول امنیتی خواهیم پرداخت.
 
اصول امنیت به طور کلی مجموعه‌ای از خواص، رفتارها، طرح‌ها و شیوه‌های اجراییِ اعمال شده بر روی سیستم امنیتی می‌باشند که در راستای ارتقاء امنیت و کاهشِ خطر انجام می‌شوند.
اصولِ امنیتی در واقع چیزی بیشتر و اضافه‌تر از سیستم امنیتی نیستند، بلکه طرح‌ها و روش‌های اجرایی‌ای هستند که به ارتقاء سیستم امنیتی کمک می‌کنند. اصولِ امنیتی مانند نکاتِ امنیتی‌ای هستند که برای امنیتِ بیشتر خانه یا محلِ کار خود بهتر است آنها را رعایت می‌کنیم.
برای مثال، همه می‌دانیم که نصبِ قفل بر روی درِ خانه و محلِ کار برای امنیت ما واجب است. حال آنکه اصولِ امنیتی نوعِ قفلی را توصیه می‌کنند که ضریبِ امنیتِ بالاتری را ارائه می‌دهد.
ممکن است اصول امنیت بسته به نوع سیستم، عملکرد و کاربردِ آن، تفاوت‌هایی در اجرا و عملکرد داشته باشند.
آنچه در ادامه‌ی این مقاله آمده است چکیده‌ای از اصولِ امنیتی‌ای هستند که به طورِ عمومی قابلیتِ اعمال بر روی سیستم‌های متفاوت را دارا می‌باشند.
 
حداقل امتیاز
یکی از اصول اساسی و بدیهی در هر سیستمی توزیعِ مجوزهای دسترسی می‌باشد. اما واگذاریِ غیرِ اصولیِ مجوزهای دسترسی می‌تواند امنیتِ سیستم را به شدت به خطر بی‌اندازد. به طورِ کلی واگذاریِ مجوزهای دسترسی به هر بخش از سیستم باید به اندازه‌ی نیازِ همان بخش باشد، نه بیشتر. به زبانِ ساده‌تر، توزیعِ مجوزهای دسترسی به طورِ پیش فرض باید به صورتِ حداقلِ دسترسی انجام شود.
حداقلِ امتیاز به این معناست که اگر به طورِ مثال یک نرم‌افزارِ میانی در سرور تنها به مجوزِ خواندنِ جدول‌های پایگاهِ داده‌ها نیاز دارد، نباید به آن مجوزِ دسترسیِ مدیرِ اجرایی و یا تغییر و ثبت در داده‌ها واگذار شود.
 
دفاع در عمق
دفاع در عمق (defense in depth) یک ساز و کارِ امنیتیِ طبقه‌بندی شده و لایه‌ای است، که در صورتِ نفوذ مهاجم به دلیلِ نقص در یک لایه، لایه‌ی امنیتیِ دیگر همچنان می‌تواند از سیستم مراقبت کند.
برای مثال، استفاده از تنها یک دیوارِ آتشین و تکیه به آن برای امنیتِ داخلیِ سیستم کاری اشتباه است، چرا که معمولاً مهاجمان به راحتی می‌توانند دیوارِ آتشین را دور بزنند، و اگر در کنارِ دیوارِ آتشین ساز و کارِ امنیتیِ دیگری بر روی سیستم فعال نباشد، مهاجم به راحتی می‌تواند به هدفِ نهاییِ دست پیدا کند.
 
مدلِ امنیتیِ مثبت
مدلِ امنیتیِ مثبت (positive security model) که آن را با نام «لیست سفید» نیز می‌شناسند، در واقع لیستی از چیزهایی که برای سیستم مجاز هستند را ارئه می‌هد، و در مقابل همه آن چیزهایی که در این لیست وجود نداشته باشند مردود خواهند بود.
مزیتِ این مدلِ امنیتی در این است که هر آنچه خارج از ضوابطِ این لیست باشد به طورِ پیش‌فرض به عنوانِ بیگانه استنباط خواهد شد و مجوزِ عبور نخواهد داشت.
اما در مقابل، ضعفِ مدلِ امنیتیِ منفی یا لیستِ سیاه در محدود بودنِ آن است، چرا که توسعه دهندگان غالباً نمی‌توانند آنچه از آن بی‌خبر هستند را به لیست اضافه کنند و آن را به عنوانِ بیگانه برای سیستم معرفی کنند، در نهایت اگر مهاجمی خارج از ضوابطِ لیست سیاه به سیستم حمله کند، خواهد توانست به راحتی از سیستم امنیتی عبور کند.
 
عدمِ موفقیتِ ایمن
مدیریتِ ایمنِ خطاها یکی از جنبه‌های کلیدیِ برنامه‌نویسی است. یکی از خطاهایی که نیاز به توجه ویژه دارند «استثناها» (exceptions) هستند. یکی از این استثناها در زمانِ پردازشِ کنترلِ امنیتی اتفاق می‌افتد.
به طورِ کلی در ساز و کارِ امنیتی 3 خروجی بدست می‌آید:
۱-  به عملیات مجوز داده می‌شود
۲-  به عملیات مجوز داده نمی‌شود
۳-  استثنا
ساز و کارِ سیستمِ امنیتی باید طوری طراحی شده باشد که هرگونه عدمی موفقیت در احرازِ هویت به عدمِ اعطای مجوز ختم شود.
این مسئله در توزیعِ مجوزها بسیار مهم است و نباید نادیده گرفته شود، چرا که در صورتِ واگذاریِ مجوز بدونِ در نظر گرفتنِ استثناها، مهاجم می‌تواند بدونِ ارائه‌ی مدارکِ هویتی به راحتی با استفاده از نقصِ امنیتی، سیستم را گمراه کند و مجوزِ دلخواهِ خود را بدست بی‌آورد.
 
اجتناب از امنیت از طریقِ گمنامی
امنیت از طریقِ گمنامی (security through obscurity)، استفاده از محرمانه بودنِ طراحی یا اجرا برای تأمینِ امنیت است. پنهان‌کاری به طورِ کلی ایده‌ی بدی نیست، اما امنیت از طریقِ گمنامی، یک کنترلِ امنیتیِ ضعیف بوجود می‌آورد، و در زمانی که تنها راهِ کنترل باشد، تقریباً همیشه با شکست مواجه خواهد شد.
موضوعِ اجتناب از امنیت از طریقِ گمنامی، ایده‌ی حفظِ اسرار را نفی نمی‌کند، و آن مضر نمی‌شمارد، بلکه بحثِ اصلی بر روی طراحی و منطقِ کنترل امنیتی است، که باید بر اساسِ اصولِ شناخته شده و قابل گسترش باشد.
برای مثال، در سیستمِ رمزنگاری، تنها کلیدِ رمزگشایی باید مخفی باقی بماند، اما در راستای امن باقی ماندنِ سیستم، نباید الگوریتم‌ها را مخفی نگاه داشت.
 
امنیتِ ساده
برخی از مدهای مهندسی نرم‌افزار ترجیح می‌دهند از روش‌های بیش از حد پیچیده بجای آنچه می‌تواند واضح و نسبتاً سر راست باشد استفاده کنند. اما واقعیت این است که در بسیاری از موارد، روش‌های ساده‌تر دارای عملکردی بهتر و سریع‌تر می‌باشند.
 
تشخیصِ نفوذ
تشخیصِ نفوذ، خصوصاً سرعت در تشخیصِ نفوذ، مسئله‌ای بسیار حیاتی برای امنیتِ سیستم است. برای تشخیص نفوذ، نیاز است که گزارش‌های سیستم مرتباً بررسی و تحلیل شوند، این امر نیازمندِ ذخیره‌ی گزارشِ تمام اطلاعاتِ مرتبط با امنیتِ سیستم است.
برای تشخیص مناسب و به موقع، نیاز است تا تمامیِ ساز و کارهای امنیتیِ به کار گرفته شده و همچنین اطلاعاتِ کافی برای ره‌یابیِ متخلف در گزارشِ امنیتی ثبت شوند، و علاوه بر ذخیره‌ی اطلاعاتِ امنیتی، سیستمِ ثبتِ گزارش باید از یک روشِ مدیریتِ اطلاعات برای ذخیره‌ اطلاعات پیروی کند. در حقیقت اگر تحلیلگران قادر به تجزیه رویدادهای ثبت شده نباشند و نتوانند مشخص کنند کدام رویداد و اطلاعات قابلی پیگیری هستند، این اطلاعات و گزارش‌ها دارای هیچ ارزشی نخواهند بود.
تشخیصِ نفوذ و سرعت در انجامِ آن از این رو مهم است که اگر مسئولانِ امنیتِ سیستم قادر نباشند نفوذ را به موقع کشف کنند، مهاجم زمانِ کافی خواهد داشت تا به هدفِ خود دست پیدا کند.
 
عدم اعتماد به سرویس‌ها
اعتماد در امنیتِ سیستم از حساسیتِ بالایی برخوردار است، و آنچه باید همیشه در امنیتِ سیستم به آن توجه داشت این است که در حقیقت نمی‌توان و نباید به هر ورودی‌ای به طورِ کامل اعتماد کرد.
چرا به سرویس‌ها نباید اعتماد کرد؟
سرویس‌ها به طورِ کلی به یک سیستمِ خارجی رجوع می‌کنند، و عموماً از قابلیتِ پردازشِ طرفِ سوم استفاده می‌کنند. در اینجا طرفِ سوم ممکن است سیاست‌های امنیتیِ متفاوتی را دنبال کند، و این بدیهی است که مسئولانِ امنیت نیز قادر نخواهند بود تا بر روی آن کنترل و تأثیری داشته باشند، خواه این طرف سوم یک کاربر خانگی باشد و یا تأمین کننده و شریکِ سرویس.
 
ایجادِ امنیتِ پیش فرض
در این مسئله راه‌های بسیاری برای ارائه یک روشِ امنیتِ خاص و جدید به کاربر وجود دارد شکی نیست، اما به طورِ کلی یک سیستم باید به صورتِ پیش‌فرض دارای حداقل امنیت باشد، و تصمیم بر تغییر تنظیماتِ سیستم امنیتی بسته به نظرِ کاربر باشد.
برای مثال، رمز عبور باید به صورتِ پیش‌فرض بر روی سیستم فعال باشد، حال کاربر می‌تواند از آن برای ارتقا امنیتِ خود استفاده کند، یا آن را غیرفعال کند و امنیتِ خود را به خطر بی‌اندازد.
 
حفظِ کنترل
مسئله‌ی بدیهی در امنیتِ سیستم حفظ کنترل هرگونه تصمیم‌گیری و تغییر در سیستم توسطِ مسئولان ومدیرانِ امنیت است. به زبانی ساده‌تر، از دست دادنِ کنترلِ سیستم به معنای از دست دادنِ امنیت و در نهایتِ کلِ سیستم است.
 
مانورهای تمرینی
به طورِ قطع تا زمانی که سیستمِ امنیتی در موقعیتِ روبرویی با مهاجم قرار نگیرد نمی‌توان از درستیِ آن اطمینان حاصل کرد.
باطری چراغ قوه‌ی جعبه‌ی اضطراریِ خانه را تصور کنید، اگر برای مدتِ طولانی آن را به حالِ خود رها کنید، به احتمال زیاد زمانی که به آن نیاز خواهید داشت به درستی عمل نخواهد کرد. به همین دلیل است که همیشه باید آنچه برای زمانِ اضطراری تهیه شده را در بازه‌های زمانی متفاوت بررسی کنیم و از نظرِ عملکردِ آن در موقعیتِ اضطراری ارزیابی کنیم.
سیستم امنیتی نیز تا زمانی که در وضعیتِ اضطراری (مانند نفوذِ مهاجم به سیستم) قرار نگیرد نمی‌تواند از صحتِ عملکردِ آن اطمینان حاصل کرد. مانورهای تمرینی می‌توانند به مسئولانِ امنیت کمکِ شایانی در کشفِ نقاطِ ضعفِ سیستم و آسیب‌پذیری آن کنند.
 
 
پاسخ
سپاس شده توسط:


موضوعات مشابه ...
موضوع نویسنده پاسخ بازدید آخرین ارسال
  توصیه هایی برای حفظ امنیت اعضای خانواده در اینترنت Shiva 0 177 1395/11/25، 10:55 صبح
آخرین ارسال: Shiva
  دانلود VIPRE Internet Security with Firewall 2016 9.0.1.4 امنیت اینترنت !!!SHAHIN!!! 0 143 1395/10/6، 02:40 عصر
آخرین ارسال: !!!SHAHIN!!!
  امنیت ایمیل ، چگونه امنیت ایمیل خود را بیشتر کنیم! Shiva 0 222 1395/9/25، 11:39 صبح
آخرین ارسال: Shiva
  نکاتی برای چت کردن با امنیت بالا Shiva 0 157 1395/9/25، 10:44 صبح
آخرین ارسال: Shiva
  نکاتی برای افزایش امنیت وب سایت شما Shiva 0 188 1395/9/25، 09:11 صبح
آخرین ارسال: Shiva
  اصول امنیت در شبکه‌های اجتماعی (۱) Shiva 0 135 1395/9/25، 08:49 صبح
آخرین ارسال: Shiva
  اصول امنیت در شبکه‌های اجتماعی (۲) Shiva 0 145 1395/9/25، 08:36 صبح
آخرین ارسال: Shiva
  8 نکته برای حفظ امنیت کودکان در اینترنت Shiva 0 197 1395/9/25، 08:23 صبح
آخرین ارسال: Shiva
  چند نکته برای حفظ امنیت کودکان در اینترنت Shiva 0 209 1395/9/25، 08:20 صبح
آخرین ارسال: Shiva
  نکاتی در مورد رعایت امنیت شبکه اینترنت Shiva 0 228 1395/9/25، 08:14 صبح
آخرین ارسال: Shiva

پرش به انجمن:


کاربران در حال بازدید این موضوع: 1 مهمان