راهکارهای امنیتی در لایه میزبان

host-security

سطح دوم: لایه میزبان (Host)

در این سطح امن سازی رایانه ها به نحوی صورت می پذیرد که رایانه را به عنوان یک موجودیت مستقل در شبکه در نظر می گیریم ولی مدیریت این امنیت را از طریق درگاه های خاصی در شبکه اعمال می کنیم در واقع امنیت این رایانه ها در صورت اتصال به شبکه از طریق سامانه های خاص و اعمال سیاست های امنیتی مناسب و به صورت متمرکز انجام می پذیرد و برای رایانه های سینگل، این امنیت به صورت انحصاری و محدودتری قابل اجرا است.

برای اعمال سیاست های امنیتی در این لایه، برای رایانه های متصل به شبکه نیاز به استفاده از Active Directory و همچنین ابزارهایی مانند TFG) Total File Guard) است که مدیریت امنیت را به صورت متمرکز در اختیار Admin شبکه و مسئول امنیت شبکه قرار می دهد.

موارد قابل اجرا در این سطح برای رایانه های متصل به شبکه به شرح زیر است:

الف- اقدامات قابل اجرا در  Active Directory

در این قسمت احراز هویت کاربران در سطح شبکه صورت گرفته که باعث افزایش ضریب امنیتی شبکه می گردد و می توان محدودیت های فراوانی را برای کاربران اعمال کرد. باید به این نکته توجه داشت که تمام کاربرانی که برای شبکه در Active Directory تعریف می کنیم می بایست به عنوان کاربر محدود تعریف شود و نیز تعداد کاربران تعریف شده در سطح  Admin بسیار اندک بوده و Password آن نیز در اختیار مدیر یا مدیران شبکه باشد. بنابراین استفاده از معماری شبکه مبتنی بر Active Directory امکانات زیر را در اختیار مدیران شبکه قرار می دهد :

  1. کاهش مجموع هزینه مالکیت :

پارامتر فوق به هزینه مالکیت یک کامپیوتر، مرتبط می گردد . هزینه فوق شامل : هزینه های مربوط به نگهداری ، آموزش ،پشتیبانی فنی ، ارتقاء سخت افزار و نرم افزار است . Active Directory، با پیاده سازی سیاست ها باعث کاهش برخی از هزینه های فوق ،می گردد . بکارگیری یک سیاست بهمراه Active Directory ، این امکان را فراهم می آورد که پیکربندی محیط مربوطه ونصب برنامه ها ، از یک مکان مرکزی ، انجام شود. بدین ترتیب زمان مربوط به پیکربندی و نصب برنامه ها بر روی هر کامپیوتر ،کاهش پیدا خواهد کرد .

  1. مدیریت انعطاف پذیر :

واحد های سازمانی درون یک Domain را می توان بر اساس سیاست های موجود در Active Directory ، تقسیم نمود. بدین ترتیب ، واحدهای سازمانی ،امکان تعریف کاربرانی خاص بمنظور مدیریت بخش هائی خاص از شبکه را بدست می آورند .

  1. محدود کردن کاربران (Allow log on locally) :

بر اساس سیاست اعمال شده در Active Directory ، کاربران هر قسمت تنها مجاز به Login کردن به رایانه­های قسمت خود می­باشند. در نتیجه از پراکندگی بدون نظم کاربران در شبکه به شدت جلوگیری به عمل می آید. ضمن اینکه  شناسایی مشکلات با توجه به جدا شدن بخش های مختلف راحتتر صورت می گیرد.

  1. Scalability :

با استفاده از Active Directory ، امکان استفاده از سرویس های دایرکتوری برای سازمان ها ئی با ابعاد متفاوت، فراهم می گردد .

  1. تسهیل در مدیریت . Active Directory ، ابزارهای مدیریتی خاصی را ارائه که مدیران شبکه، با استفاده از آنان قادر به مدیریت منابع موجود در شبکه خواهند بود از جمله :
    1. غیر فعال کردن کاربران Admin در حالت local روی رایانه (Restricted Groups)
    2. اعمال سیاست های مربوط کلمه عبور به صورت متمرکز و برای تمام سیستم ها.  نکته ای که باید به آن توجه کدر این است که می بایست درDefault Domain Policy  کلمه عبور دارای شرایط زیر باشد

i.      جزء ۲۴ کلمه عبور قبلی نباشد

ii.      حداقل از ۸ کاراکتر تشکیل شده باشد

iii.      پیچیده باشد

iv.      هر ۶۰ روز یک بار تعویض میشود

v.      محدودیت اتصال به Domain

  1. تنها کاربرAdmin  شبکه و گروه­های _local Admins و _Netadmins می­توانند رایانه­های جدید را عضو Domain  نمایند.

بنابراین تمام شبکه و سیستم های موجود در شبکه کاملا تحت نظارت و کنترل مدیر شبکه بوده و از هرگونه عمل خودسرانه که منجر به ایجاد تهدیدات امنیتی در سازمان گردد جلوگیری به عمل می آید.

  1. بستن پورت­ها از طریق Active Directory

با سیاست Close Port Policy فلاپی درایو، سی­دی، رایتر و پورت USB از طریق شبکه بسته می­شود این کار باعث می­شود حتی آیکون ابزار­های ذکر شده مخفی شوند. البته راه کارهایی به مراتب بهتر جهت کنترل ورود و خروج اطلاعات غیر مجاز از سازمان وجود دارد که در بخش استفاده از نرم افزار TFG به آن اشاره خواهد شد.

و البته بسیاری موارد دیگر که از حوصله این بحث خارج می باشد.

ب- اقدامات قابل اجرا بر روی TFG) Total File Guard)

امروزه موثرترین راه برای جلوگیری از گم شدن یا افشاء اطلاعات، کنترل دسترسی به فایل ها نمی باشد. چرا که فایل ها دیر یا زود راه خود را برای خروج از شبکه پیدا خواهند کرد. حال یا از طریق افشای تصادفی توسط اشخاص داخلی یا حمله یک هکر خارجی. وقتی اطلاعات حساس به بیرون از سازمان راه پیدا کردند، کسب و کار شما با تهدیدات جدی در زمینه های مختلف مواجه خواهد شد. از جمله اطلاعاتی که شاید برای سازمان های مختلف بسیار اهمیت داشته باشد عبارتند از : مشخصات محصولات، روش تولید محصولات، اطلاعات مناقصه، اطلاعات مالی، اطلاعات پروژه ها، اطلاعات پرسنلی، رموز تجاری، برنامه های بازاریابی و بسیاری موارد دیگر بسته به نوع یک کسب و کار می تواند متفاوت باشد.

خروج این اطلاعات از سازمان می تواند منجر به ضرر های مالی، ایجاد تعهدات قانونی، عدم اعتماد مشتریان، رقابت ناسالم، از دست رفتن اطلاعات مهم و  بسیاری موارد دیگر شود که هر کدام سازمان را دچار مشکل می نماید.

یکی از بهترین راه کارها برای کنترل این تهدید و محافظت از اطلاعات مهم سازمان، استفاده از ابزارهایی است که بدون تغییر در فرایند کاری کارمندان سازمان، اطلاعات حیاتی سازمان را نیز محافظت نموده و مانع از هر گونه سوء استفاده در سازمان گردد.

نرم افزار TFG  یکی از این ابزار هاست که به صورت بسیار کامل و جامع می تواند تمام انواع فایل را در سازمان زیر نظر داشته و کاملا کنترل نماید. از مزایای استفاده از این سیستم می توان به موارد زیر اشاره نمود :

  1. محافظت پایدار:

استفاده از این سیستم در سازمان این امکان را به مدیران امنیت اطلاعات سازمان می دهد که در هر مکان و زمان از اطلاعات اساسی خود محافظت نمایند، حتی زمانیکه اطلاعات از سازمان خارج شده و به دست افراد غیر مطمئن افتاده باشد، باز هم امکان محافظت از این فایل ها وجود خواهد داشت.

  1. تجمع یکپارچه:

یکی از بزرگترین موانع در سر راه اجرای پروژه های امنیت اطلاعات، سخت شدن فرایند های کاری برای کارمندان سازمان می باشد که در بسیاری از پروژه ها این امر موجب شکست پروژه امنیت اطلاعات شده است. نرم افزار TFG به علت اینکه در فرایند کاری کارمندان سازمان هیچ تغییری را ایجاد نمی نماید، در این امر کمک شایان توجهی به امن کردن سازمان می نماید.

  1. ممیزی یکپارچه:

استفاده از این نرم افزار علاوه بر اینکه محافظت از اطلاعات و فایل های حساس را تضمین می نماید، این امکان را نیز به مدیران امنیت اطلاعات سازمان می دهد که بتوانند از طریق گزارش های بسیار متنوع و کاربردی ، ممیزی کاملی بر روی تمام حرکات و رفتارهای کارکنان سازمان داشته باشند. حتی اینکه چه کاربری چه فایلی را در چه زمانی و بر روی چه سیستمی باز کرده و یا آنرا از جایی به جای دیگر کپی کرده و آیا مجوزهای لازم برای انجام این کارها را داشته است یا نه ، جزیی از گزارش هایی است که این سیستم می تواند در اختیار مدیران امنیت اطلاعات سازمان قرار دهد.

  1. مدیریت متمرکز:
    1. امکان تعریف سیاست های رمز گذاری روی فایل ها و یا تعریف روش های مختلف حفاظت از فایل ها، به صورت متمرکز و از طریق مدیران امنیت اطلاعات سازمان قابل پیاده سازی است که این امر باعث می شود که مدیران امنیت اطلاعات سازمان بتوانند از طریق مدیریت متمرکز این سیستم تمام فعالیت های انجام شده در سازمان را زیر نظر داشته باشند.

ج- اقدامات امنیتی روی رایانه

  1. بروز رسانی سیستم عامل رایانه ها با استفاده از سامانه WSUS تحت شبکه یا روش های دیگر مانند قرار دادن patchهای امنیتی در شبکه .
  2. نصب آنتی ویروس متمرکز تحت شبکه بر روی تمام سیستم های موجود در شبکه .
  3. نظارت و اعمال سیاست های کاری جهت به روز رسانی آنتی ویروس ها روی سیستم کاربران.
  4. فعال کردن فایروال روی سیستم کاربران و جلوگیری از غیر فعال نمودن آن.
  5. استفاده از نرم افزارهای کاربردی عمومی بروز شده و همچنین بروز رسانی به موقع آنها.
  6. اعمال سیاست های اجباری جهت جلوگیری از نصب برخی از نرم افزار های مشکوک بر روی سیستم کاربران.
  7. مدیریت متمرکز نصب و به روز رسانی نرم افزار های کاربران.
  8. ایجاد لیستی از نرم افزار های نصب شده بر روی سیستم های کاربران جهت کنترل هرچه بیشتر.
  9. متمرکز نمودن چاپگرها و اسکنرها و اتصال به رایانه های مشخص در شبکه.
  10. نظارت بر ورود و خروج اطلاعات از شبکه ها و رایانه ها با انجام اقدامات بالا.

 

د- اقدامات امنیتی روی رایانه های سینگل

این رایانه ها در صورت امکان در شبکه حذف گردد و اگر امکان به حذف آنها نیست و برای کاربردهای خاصی از آن استفاده می شود می بایست اقدامات زیر با توجه به نوع دسترسی و کاربرد آن و نوع اطلاعات روی آن صورت گیرد:

  1. نصب آنتی ویروس و بروز نمودن آن.
  2. انتخاب کلمه عبور مناسب و پیچیده.
  3. بستن پورت های usb و حذف ابزارهای ذخیره ساز جانبی بسته به نوع کاربرد و یا استفاده از نرم افزار TFG  جهت کنترل آن.
  4. تعریف ساعت ورود و خروج برای این سیستم ها و نیز تعریف سطوح دسترسی متناسب جهت کنترل فعالیت های این سیستم ها.
  5. بروز رسانی سیستم عامل.

ایجاد یک شبکه محدود جهت دسترسی به اطلاعات محدود جهت سیستم های سینگل.

به اشتراک بگذارید... Tweet about this on TwitterShare on FacebookShare on LinkedInEmail this to someonePrint this page
نویسنده: مهندس قیم
تعداد دیدگاه ها: 1
  1. Mitch گفت:

    It’s a plsaeure to find someone who can identify the issues so clearly

ما را از نظرات خود آگاه سازید

لطفا در صورت تمایل، نظر خود را در مورد مطلب بالا، بنویسید.