تبیان، دستیار زندگی

برگرفته از http://magaleha.blogfa.com/post-87.aspx

IATFF ( برگرفته شده از Information Assurance Technical Framework Forum ) سازمانی است كه توسط NSA ( برگرفته شده از  National Security Agency  ) حمایت می گردد و مهمترین وظیفه آن مبادله اطلاعات فنی بین صنایع امریكا ، موسسات آموزشی و سازمان های دولتی امریكا بر روی موضوع مهم امنیت و یا تضمین امنیت اطلاعات است .
IATFF ، سند IATF ( برگرفته شده از  Information Assurance Technical Framework ) را تولید و اخیرا" نسخه 1 . 3 آن را منشتر كرده است . در این سند به  فرآیندها و  توصیه هائی در جهت حفاظت از سیستم های اطلاعاتی بر اساس اصول مهندسی سیستم اشاره شده است .
در سند فوق به سه عنصر تاثیر گذار در امنیت اطلاعات یعنی انسان ، عملیات و فناوری ها اشاره شده است . سه موجودیت فوق ، اساس متدلوژی "دفاع در عمق " در تشكیل می دهند .
در ادامه با این استراتژی امنیتی حفاظتی و اصول اساسی آن بیشتر آشنا می شویم .

دفاع در عمق چیست ؟
دفاع در عمق ، یك مدل حفاظتی لایه ای برای اجزاء مهم سیستم های اطلاعاتی است . استراتژی دفاع در عمق محدوده های زیر را شامل می شود :

• حفاظت از شبكه و زیرساخت


• حفاظت و دفاع در محدوده های مرزی  ( نقطه تماس شبكه با سایر شبكه ها )


• حفاظت و دفاع ار محیط محاسباتی و عملیاتی


• زیرساخت های حمایتی

واژه "محدوده مرزی " كه در استراتژی دفاع در عمق به آن اشاره شده است ، به مجموعه ای از محیط های محاسباتی و عملیاتی متصل شده توسط یك و یا چندین شبكه داخلی كه تحت كنترل یك مجوز و سیاست امنیتی می باشند ، اشاره دارد.

استراتژی‌ دفاع در عمق  : موجودیت ها
استراتژی دفاع در عمق مبتنی بر سه عنصر حیاتی  انسان ، فناوری و عملیات است .

انسان
برای پیاده سازی موثر امنیت اطلاعات در یك سازمان ، مدیریت می بایست دارای یك شناخت مناسب سطح بالا نسبت به فرآیندها باشد . این شناخت توسط آیتم ها و فعالیت های زیر مشخص می گردند .

• پیاده سازی سیاست ها و رویه های امنیت اطلاعات


• تعیین وظایف و مسئولیت ها


• آموزش كاركنان حیاتی


• الزام كاركنان به پاسخگوئی


• شناخت صحیح منابع


• استقرار كنترل های امنیت فیزیكی


• استقرار كنترل امنیت كاركنان


• تعیین مجازات متناسب با رفتارهای غیرمجاز

فناوری
یك سازمان می بایست این اطمینان را داشته باشد كه از فناوری های مناسب به منظور پیاده سازی سرویس های مورد نیاز جهت حفاظت اطلاعات استفاده می نماید . نیل به اهداف فوق مستلزم بكارگیری فرآیندها و سیاست های زیر برای بدست آوردن و استفاده صحیح از فناوری است .

• یك سیاست امنیتی


• معماری تضمین  امنیت اطلاعات در سطح سیستم


• استانداردهای تضمین امنیت اطلاعات در سطح سیستم


• اصول تضمین امنیت اطلاعات


• ضوابط مشخص برای تضمین امنیت اطلاعات محصولات مورد نیاز


• بدست آوردن محصولات معتبر و قابل اطمینان


• توصیه ها و پیشنهادات پیكربندی


• فرآیندهای تشخیص تهدیدات برای سیستم های یكپارچه

عملیات
عملیات بر فعالیت ها و آیتم های مورد نیاز به منظور نگهداری وضعیت امنیت یك سازمان تاكید و موارد زیر را شامل می شود :

• یك سیاست امنیتی ملموس و به روز


• تاكید بر سیاست امنیت اطلاعات


• تائید و  اعتبار گذاری


• مدیریت وضعیت امنیت اطلاعات


• سرویس های مدیریت كلید


• تشخیص آمادگی


• حفاظت از زیرساخت


• ارزیابی وضعیت امنیت سیستم


• مانیتورینگ و واكنش در مقابل تهدیدات


• تشخیص حملات ، هشدار و پاسخ


• بازیافت و بازسازی مجدد

استراتژی‌ دفاع در عمق  : محدوده حفاظتی
استراتژی دفاع در عمق  ، دفاع در مقابل حملات زیر را تضمین می نماید :

• 
  

  Passive : حملات Passive  شامل تجزیه و تحلیل ترافیك ، مانیتورینگ مبادله اطلاعات غیرحفاظت شده ، رمزگشائی ترافیك رمزشده ضعیف  ، بدست آوردن اطلاعات تائیدیه ( نظیر رمزهای عبور ) می باشد.
  رهگیری passive عملیات شبكه ، دانش لازم جهت تدارك و برنامه ریزی حملات را در اختیار مهاجمان قرار می دهد . این نوع حملات می تواند منتج به افشاء اطلاعات و یا فایل های داده برای مهاجمان بدون آگاهی و رضایت كاربران گردد . 

  
  

active : حملات active تلاش برای نفوذ در سیستم  و نادیده گرفتن اقدامات امنیتی ، معرفی كدهای مخرب ، سرقت و اصلاح اطلاعات را شامل می شود . شعاع این نوع حملات بسیار گسترده می باشد . هدف قرار دادن ستون فقرات شبكه ، بهره برداری و یا سوء استفاده از اطلاعات در حال عبور و  نفوذ الكترونیكی در یك ناحیه خاص نمونه هائی متداول در این زمینه می باشند .حملات active می تواند افشاء فایل های داده ، حملات DoS و یا تغییر داده را به دنبال داشته باشد .

Close-in : حملات فوق با هدف دستیابی فیزیكی به شبكه و سیستم ها به منظور تغییر ، جمع آوری و غیرقابل دسترس كردن اطلاعات انجام می گردند . 

Insider : این نوع حملات می تواند مخرب و یا غیرمخرب باشند . حملات مخرب  استراق سمع ، سرقت و آسیب رساندن به اطلاعات، استفاده از اطلاعات با اهداف فریبكارانه و یا غیرفعال كردن سرویس ها وخدمات برای سایر كاربران مجاز را شامل می شود . حملات غیرمخرب عموما" به دلیل عدم دقت لازم و ضعف دانش كاربران محقق می گردند .

Distribution : این نوع حملات با انجام تغییرات مخرب بر روی سخت افزار و یا نرم افزار در كارخانه و یا شركت سازنده و یا در حین توزیع صورت می پذیرند .  در این نوع حملات با معرفی كدهای مخرب درون یك محصول ( نظیر یك back door ) ، امكان دستیابی غیرمجاز به اطلاعات و قابلیت های سیستم در آینده فراهم می گردد .

استراتژی‌ دفاع در عمق  : ابزارها و مكانیزم ها
برای مقاومت در مقابل این نوع حملات ،  استراتژی دفاع در عمق  ، روش های زیر را ارائه كرده است :

• 
  

  دفاع در چندین  مكان : بكارگیری مكانیزم های حفاظت اطلاعات در چندین مكان به منظور حفاظت در مقابل تهدیدات داخلی و یا خارجی