راهکارهای امنیتی در لایه میزبان
سطح دوم: امنیت در لایه میزبان (Host)
در اين سطح امن سازي رايانه ها به نحوي صورت مي پذيرد كه رايانه را به عنوان يك موجوديت مستقل در شبكه در نظر مي گيريم ولي مديريت اين امنيت را از طريق درگاه هاي خاصي در شبكه اعمال مي كنيم در واقع امنيت اين رايانه ها در صورت اتصال به شبكه از طريق سامانه هاي خاص و اعمال سياست هاي امنيتي مناسب و به صورت متمركز انجام مي پذيرد و براي رايانه هاي سينگل، اين امنيت به صورت انحصاري و محدودتري قابل اجرا است.
براي اعمال سياست هاي امنيتي در اين لايه، براي رايانه هاي متصل به شبكه نياز به استفاده از Active Directory و همچنين ابزارهایی مانند TFG) Total File Guard) است كه مديريت امنيت را به صورت متمركز در اختيار Admin شبكه و مسئول امنيت شبكه قرار مي دهد.
موارد قابل اجرا در اين سطح براي رايانه هاي متصل به شبكه به شرح زير است:
الف- اقدامات قابل اجرا در Active Directory
در اين قسمت احراز هويت كاربران در سطح شبكه صورت گرفته كه باعث افزايش ضريب امنيتي شبكه مي گردد و مي توان محدوديت هاي فراواني را براي كاربران اعمال كرد. باید به این نکته توجه داشت که تمام كاربراني كه براي شبكه در Active Directory تعريف مي كنيم مي بايست به عنوان كاربر محدود تعريف شود و نیز تعداد كاربران تعريف شده در سطح Admin بسيار اندك بوده و Password آن نيز در اختيار مدير يا مديران شبكه باشد. بنابراین استفاده از معماری شبکه مبتنی بر Active Directory امکانات زیر را در اختیار مدیران شبکه قرار می دهد :
1- کاهش مجموع هزينه مالکيت :
پارامتر فوق به هزينه مالکيت يک کامپيوتر، مرتبط می گردد . هزينه فوق شامل : هزينه های مربوط به نگهداری ، آموزش ،پشتيبانی فنی ، ارتقاء سخت افزار و نرم افزار است . Active Directory، با پياده سازی سياست ها باعث کاهش برخی از هزينه های فوق ،می گردد . بکارگيری يک سياست بهمراه Active Directory ، اين امکان را فراهم می آورد که پيکربندی محيط مربوطه ونصب برنامه ها ، از يک مکان مرکزی ، انجام شود. بدين ترتيب زمان مربوط به پيکربندی و نصب برنامه ها بر روی هر کامپيوتر ،کاهش پيدا خواهد کرد .
2- مديريت انعطاف پذير :
واحد های سازمانی درون يک Domain را می توان بر اساس سياست های موجود در Active Directory ، تقسيم نمود. بدين ترتيب ، واحدهای سازمانی ،امکان تعريف کاربرانی خاص بمنظور مديريت بخش هائی خاص از شبکه را بدست می آورند .
3- محدود كردن كاربران (Allow log on locally) :
بر اساس سياست اعمال شده در Active Directory ، كاربران هر قسمت تنها مجاز به Login كردن به رايانههاي قسمت خود ميباشند. در نتیجه از پراکندگی بدون نظم کاربران در شبکه به شدت جلوگیری به عمل می آید. ضمن اینکه شناسایی مشکلات با توجه به جدا شدن بخش های مختلف راحتتر صورت می گیرد.
4- Scalability :
با استفاده از Active Directory ، امکان استفاده از سرويس های دايرکتوری برای سازمان ها ئی با ابعاد متفاوت، فراهم می گردد .
- تسهيل در مديريت . Active Directory ، ابزارهای مديريتی خاصی را ارائه که مديران شبکه، با استفاده از آنان قادر به مديريت منابع موجود در شبکه خواهند بود از جمله :
- غير فعال كردن كاربران Admin در حالت local روي رايانه (Restricted Groups)
- اعمال سياست هاي مربوط كلمه عبور به صورت متمرکز و برای تمام سیستم ها. نکته ای که باید به آن توجه کدر این است که مي بايست درDefault Domain Policy كلمه عبور داراي شرايط زير باشد
i. جزء 24 كلمه عبور قبلي نباشد
ii. حداقل از 8 كاراكتر تشكيل شده باشد
iii. پيچيده باشد
iv. هر 60 روز يك بار تعويض ميشود
v. محدوديت اتصال به Domain
- تنها كاربرAdmin شبكه و گروههاي _local Admins و _Netadmins ميتوانند رايانههاي جديد را عضو Domain نمايند.
بنابراین تمام شبکه و سیستم های موجود در شبکه کاملا تحت نظارت و کنترل مدیر شبکه بوده و از هرگونه عمل خودسرانه که منجر به ایجاد تهدیدات امنیتی در سازمان گردد جلوگیری به عمل می آید.
- بستن پورتها از طريق Active Directory
با سياست Close Port Policy فلاپي درايو، سيدي، رايتر و پورت USB از طريق شبكه بسته ميشود اين كار باعث ميشود حتي آيكون ابزارهاي ذکر شده مخفي شوند. البته راه کارهایی به مراتب بهتر جهت کنترل ورود و خروج اطلاعات غیر مجاز از سازمان وجود دارد که در بخش استفاده از نرم افزار TFG به آن اشاره خواهد شد.
و البته بسیاری موارد دیگر که از حوصله این بحث خارج می باشد.
ب- اقدامات قابل اجرا بر روی TFG) Total File Guard)
امروزه موثرترین راه برای جلوگیری از گم شدن یا افشاء اطلاعات، کنترل دسترسی به فایل ها نمی باشد. چرا که فایل ها دیر یا زود راه خود را برای خروج از شبکه پیدا خواهند کرد. حال یا از طریق افشای تصادفی توسط اشخاص داخلی یا حمله یک هکر خارجی. وقتی اطلاعات حساس به بیرون از سازمان راه پیدا کردند، کسب و کار شما با تهدیدات جدی در زمینه های مختلف مواجه خواهد شد. از جمله اطلاعاتی که شاید برای سازمان های مختلف بسیار اهمیت داشته باشد عبارتند از : مشخصات محصولات، روش تولید محصولات، اطلاعات مناقصه، اطلاعات مالی، اطلاعات پروژه ها، اطلاعات پرسنلی، رموز تجاری، برنامه های بازاریابی و بسیاری موارد دیگر بسته به نوع یک کسب و کار می تواند متفاوت باشد.
خروج این اطلاعات از سازمان می تواند منجر به ضرر های مالی، ایجاد تعهدات قانونی، عدم اعتماد مشتریان، رقابت ناسالم، از دست رفتن اطلاعات مهم و بسیاری موارد دیگر شود که هر کدام سازمان را دچار مشکل می نماید.
یکی از بهترین راه کارها برای کنترل این تهدید و محافظت از اطلاعات مهم سازمان، استفاده از ابزارهایی است که بدون تغییر در فرایند کاری کارمندان سازمان، اطلاعات حیاتی سازمان را نیز محافظت نموده و مانع از هر گونه سوء استفاده در سازمان گردد.
نرم افزار TFG یکی از این ابزار هاست که به صورت بسیار کامل و جامع می تواند تمام انواع فایل را در سازمان زیر نظر داشته و کاملا کنترل نماید. از مزایای استفاده از این سیستم می توان به موارد زیر اشاره نمود :
1- محافظت پایدار:
استفاده از این سیستم در سازمان این امکان را به مدیران امنیت اطلاعات سازمان می دهد که در هر مکان و زمان از اطلاعات اساسی خود محافظت نمایند، حتی زمانیکه اطلاعات از سازمان خارج شده و به دست افراد غیر مطمئن افتاده باشد، باز هم امکان محافظت از این فایل ها وجود خواهد داشت.
2- تجمع یکپارچه:
یکی از بزرگترین موانع در سر راه اجرای پروژه های امنیت اطلاعات، سخت شدن فرایند های کاری برای کارمندان سازمان می باشد که در بسیاری از پروژه ها این امر موجب شکست پروژه امنیت اطلاعات شده است. نرم افزار TFG به علت اینکه در فرایند کاری کارمندان سازمان هیچ تغییری را ایجاد نمی نماید، در این امر کمک شایان توجهی به امن کردن سازمان می نماید.
3- ممیزی یکپارچه:
استفاده از این نرم افزار علاوه بر اینکه محافظت از اطلاعات و فایل های حساس را تضمین می نماید، این امکان را نیز به مدیران امنیت اطلاعات سازمان می دهد که بتوانند از طریق گزارش های بسیار متنوع و کاربردی ، ممیزی کاملی بر روی تمام حرکات و رفتارهای کارکنان سازمان داشته باشند. حتی اینکه چه کاربری چه فایلی را در چه زمانی و بر روی چه سیستمی باز کرده و یا آنرا از جایی به جای دیگر کپی کرده و آیا مجوزهای لازم برای انجام این کارها را داشته است یا نه ، جزیی از گزارش هایی است که این سیستم می تواند در اختیار مدیران امنیت اطلاعات سازمان قرار دهد.
4- مدیریت متمرکز:
امکان تعریف سیاست های رمز گذاری روی فایل ها و یا تعریف روش های مختلف حفاظت از فایل ها، به صورت متمرکز و از طریق مدیران امنیت اطلاعات سازمان قابل پیاده سازی است که این امر باعث می شود که مدیران امنیت اطلاعات سازمان بتوانند از طریق مدیریت متمرکز این سیستم تمام فعالیت های انجام شده در سازمان را زیر نظر داشته باشند.
ج- اقدامات امنيتي روي رايانه
- بروز رساني سيستم عامل رايانه ها با استفاده از سامانه WSUS تحت شبكه يا روش هاي ديگر مانند قرار دادن patchهاي امنيتي در شبكه .
- نصب آنتی ویروس متمرکز تحت شبکه بر روی تمام سیستم های موجود در شبکه .
- نظارت و اعمال سیاست های کاری جهت به روز رسانی آنتی ویروس ها روی سیستم کاربران.
- فعال کردن فایروال روی سیستم کاربران و جلوگیری از غیر فعال نمودن آن.
- استفاده از نرم افزارهاي كاربردي عمومي بروز شده و همچنين بروز رساني به موقع آنها.
- اعمال سیاست های اجباری جهت جلوگیری از نصب برخی از نرم افزار های مشکوک بر روی سیستم کاربران.
- مدیریت متمرکز نصب و به روز رسانی نرم افزار های کاربران.
- ایجاد لیستی از نرم افزار های نصب شده بر روی سیستم های کاربران جهت کنترل هرچه بیشتر.
- متمركز نمودن چاپگرها و اسكنرها و اتصال به رايانه هاي مشخص در شبكه.
- نظارت بر ورود و خروج اطلاعات از شبكه ها و رايانه ها با انجام اقدامات بالا.
د- اقدامات امنيتي روي رايانه هاي سينگل
اين رايانه ها در صورت امكان در شبكه حذف گردد و اگر امكان به حذف آنها نيست و براي كاربردهاي خاصي از آن استفاده مي شود مي بايست اقدامات زير با توجه به نوع دسترسي و كاربرد آن و نوع اطلاعات روي آن صورت گيرد:
- نصب آنتي ويروس و بروز نمودن آن.
- انتخاب كلمه عبور مناسب و پیچیده.
- بستن پورت هاي usb و حذف ابزارهاي ذخيره ساز جانبي بسته به نوع كاربرد و یا استفاده از نرم افزار TFG جهت کنترل آن.
- تعریف ساعت ورود و خروج برای این سیستم ها و نیز تعریف سطوح دسترسی متناسب جهت کنترل فعالیت های این سیستم ها.
- بروز رساني سيستم عامل.
ایجاد یک شبکه محدود جهت دسترسی به اطلاعات محدود جهت سیستم های سینگل.