آموزش SQL Server2012

«و عنده مفاتح الغیب لا یعلمها الا هو»

امنیت در شبکه رایانه‌ای

حفاظت، پشتیبانی و نگهداری از داده‌های رایانه‌ای، اطلاعات مهم، برنامه‌های حساس، نرم‌افزارهای مورد نیاز و یا هر آنچه که در حافظه جانبی رایانه مورد توجه بوده و با اهمیت می‌باشد، امنیت رایانه‌ای نامیده می‌شود.

  امنیت در یک شبکه با استفاده از  2روش به صورت همزمان و یا مجزا صورت می­‌پذیرد. 1- برنامه­‌های نر‌م‌افزاری 2- قطعه‌های سخت‌افزاری.

در بهترین حالت از برنامه­‌های نرم­افزاری و قطعات سخت­‌افزاری بطور همزمان استفاده می­‌گردد. عموماً برنامه‌های نرم‌افزاری شامل برنامه‌های ضدمخرب (ضدمخرب‌ها شامل ویروس، کرم‌های مهاجم، اسب‌های تراوا، مخفی‌شده‌ها و .... ) و دژایمن (Firewall) می‌باشد. قطعات سخت‌افزاری نیز عموماً شامل دژ ایمن (Firewall) می‌شود. این قطعه‌ها موجب کنترل درگاه‌های ورودی و خروجی به رایانه و شناخت کامل از حمله‌کننده‌ها بخصوص نشانه‌های خاص مهاجم (Sign)، را ایجاد می­‌نماید.

فراموش نکنیم که شرکت مایکروسافت به عنوان عرضه‌کننده سیستم­های عامل نسل Windows (که در حال حاضر پرمصرف­ترین گروه سیستم‌های عامل را تشکیل می­‌دهد)، به یک برنامه نرم‌­افزاری دژ ایمنی (Firewall) بصورت پیش‌­فرض مجهز می­‌باشد، که می‌تواند تا امنیت را هر چند کم، برای کاربران سیستم‌های عامل خود فراهم نماید اما قطعا ًاین نرم­‌افزار به تنهایی کفایت امن­‌سازی رایانه را تامین نمی­‌نماید.

 

    Antivir, Gdata, Kaspersky, Nod32, BitDefender, McAfee, ... اما در اولین مرحله امن­‌سازی یک شبکه ابتدا باید سازمان را به یک برنامه ضدمخرب قوی مانند      با قابلیت بروزآوری (Update) مجهز نمود، تا بتواند در مقابل حمله برنامه­‌های مخرب واکنش مناسبی ارائه نماید. پیشنهاد دفتر فناوری اطلاعات موسسه پژوهشی علوم و فناوری رنگ و پوشش، برنامه Antivir می­‌باشد. چرا که این برنامه قابلیت بروزآوری را بطور مداوم دارا می‌باشد و خود برنامه نیز پس از هر مدت زمان اندکی، ویرایش می‌گردد؛ تا از موتور جستجوگر قوی­تر و بهینه‌تری برای یافتن برنامه­‌های مخرب بهره گیرد. خرید نسخه اصلی این نرم‌افزار توصیه می‌گردد، چرا که در صورت بروز مشکل، شرکت اصلی نسبت به پشتیبانی از رایانه‌های شما اقدام لازم را؛ در اسرع وقت به انجام می‌رساند.


     در مرحله دوم امن­‌سازی یک شبکه باید از دستگاه تقسیم‌کننده (Switch) استفاده نمود. دستگاه­‌های فوق خود بر 2مدل قابل تنظیم و پیکربندی (Manageable) و غیرقابل تنظیم و غیر قابل پیکربندی (Unmanageable) تقسیم می­‌شوند. ممکن است در گروه اول نیز قطعاتی یافت شود که تنظیمات جزئی پیکربندی را انجام دهند اما بطور کامل و با تمامی امکاناتی که در گروه دوم قطعات دیده می­‌شوند، مجهز نمی‌باشند. عموماً این دستگاه تقسیم کننده (Switch) از مدل Core و برای ارتباط سرویس‌دهنده‌های مرکزی به یکدیگر و انجام خدمات به شبکه داخلی یا دنیای اینترنت تهیه می‌شود و در لایه اصلی تقسیم ارتباط شبکه، از طرف سرویس‌دهنده‌های مرکزی (Server) به سرویس‌گیرنده­‌های داخلی (Client) و بالعکس قرار ­گیرد. این قطعه می­‌تواند از تکثیر یک برنامه ضدمخرب و همچنین ورود و خروج مهاجمان پنهان، در درون شبکه داخلی از یک رایانه به رایانه دیگر تا حد بسیار زیادی جلوگیری نماید. اما اگر تعداد کاربران و سرویس‌گیرنده‌­های یک سازمان بیش از تعداد درگاههای خروجی یک تقسیم‌کننده مرکزی Core Switch‌ باشد، در این صورت از تقسیم کننده های دیگری که قابلیت پیکربندی را دارا بوده و مقرون به صرفه نیز می­‌باشند، می‌توان  استفاده نمود، تا کنترل ورودی و خروجی­‌های هر طبقه یا واحد را بیمه نماییم. پیشنهاد دفتر فناوری اطلاعات موسسه پژوهشی علوم و فناوری رنگ و پوشش در مورد قطعات سخت­‌افزاری تقسیم کننده Cisco Switch می­باشد که برترین نام جهانی را در این زمینه به خود اختصاص داده و با بروزآوری قطعات خود و همچنین آموزش متخصصان خود سهم بزرگی در این بحث ایفا می­‌نماید.

 

     در مرحله سوم امن­‌سازی، نیاز به خرید برنامه نرم­‌افزاری و یا قطعه سخت‌­افزاری دژ ایمن (Firewall) احساس می­‌شود. پیشنهاد این دفتر بر روی قطعه سخت­‌افزاری استوار است زیرا که از ثبات، قدرت بیشتر و ایرادات کمتری نسبت به  نرم­‌افزارهای مشابه خود برخوردار است. قطعه سخت‌افزاری دژ ایمن می­‌بایست در مسیر ورودی اینترنت به یک سازمان قرار گیرد. دقیقاً همانجایی که اینترنت غیرامن به یک سازمان تزریق می­‌گردد. پیشنهاد ما، قطعه سخت‌افزاریCisco ASA  و یا Astaro Firewall می­‌باشد. فراموش نشود استفاده از 2 دستگاه همزمان موازی قطعاً نیاز ارجح هر سازمان می­‌باشد چرا که با ایست، و توقف سرویس‌دهی یکی از قطعه‌ها، دستگاه دیگر کنترل ورودی­ها و خروجی­ها را بدست می‌گیرد. اما در برنامه نرم‌افزاری نیاز به نصب نرم‌افزار بر روی یک سرویس‌دهنده مرکزی دژایمنی (Firewall Server) بوده، که با ورود اینترنت ناامن، تنها از مسیر این سرویس‌دهنده مرکزی (Server) می‌توان به این نقطه از امن‌سازی دست یافت. باید توجه داشت در صورت تهیه قطعه‌های سخت‌افزاری خاصی استفاده نمود تا در قبل و بعد از قطعه مسیریاب‌ها (Router) قرار گیرد که در این صورت بهتر است تا  از قطعه های Sophos و یا Juniper در دیواره داخلی و بعد از قطعه مسیرباب‌ها (Router) استفاده نمود. شاید چندین سال قبل Cisco ASA بهترین پشنهاد برای ایجاد امن‌سازی بهتر بود، ولیکن امروزسخت‌افزارها و نرم‌افزارهای جدیدتری این مسئولیت را به مراتب بهتر، سریعتر، قویتر و بروزتر به انجام می‌رسانند.
     
       در مرحله چهارم امن­‌سازی نیاز به وجود قطعه سخت‌افزاری دیگری به نام مسیریاب (Router) برای شبکه داخلی می‌باشد که ضمن قابلیت پیکربندی، برای نشان دادن مسیر ورودی­‌ها و خروجی­‌ها، اشتراک اینترنت، تنظیم ورودی­‌ها و خروجی­‌های دیوار آتشین، و همچنین خروج اطلاعات به شکل اینترنتی از سازمان به رایانه­‌های شهری و یا بین­‌شهری از طریق خطوط تلفن و ... استفاده نمود. پیشنهاد ما نیز محصولات شرکت معتبر Cisco و یا Mikro Tik می‌باشد. کار اصلی این دستگاه ایجاد لیست دسترسی متناسب (Access List) با هر سازمان می‌باشد.

   در مرحله پنجم امن­‌سازی جداسازی شبکه ی داخلی (LAN) از شبکه سرویس‌دهنده‌های مرکزی (Server) و شبکه جهانی اینترنت (WAN) بسیار مهم و ضروری می‌باشد و دستگاه‌های دژایمن مناسب مانند Sophos‌ براحتی این وظیفه را می‌توانند به انجام برسانند، استفاده از سیستم‌عامل لینوکس و نرم‌افزارهای دیگری نیز برای این مهم وجود دارد و لیکن پیشنهاد می‌شود تا از دستگاه‌های سخت‌افزاری ویژه این امر استفاده نمایید.

در مرحله بعدی امن­‌سازی یک سازمان نیاز به وجود دستگاه­های تنظیم جریان برق (Stabilizer) و دستگاه­های پشتیبان جریان برق اضطراری (UPS) برای ارائه خدمات به صورت تمام وقت، بدون قطعی و تنظیم جریان برق، تمامی قطعه‌های سخت­‌افزاری راهبر یک شبکه شامل تقسیم‌کنند‌ه‌ها (Switch)، مسیریاب­‌ها (Router)، سرویس‌دهند‌ه‌ها (Server) می­‌باشد. این سیستم به دلیل ایجاد خطرات احتمالی ناشی از قطع جریان برق نظیر از بین رفتن اطلاعات در حال ثبت بر روی سرویس­‌دهنده­­‌ها (Server)، تقسیم­‌کننده­‌ها (Switch)، مسیریاب­‌ها (Router) می‌باشیم.

     به عنوان آخرین مرحله امن­‌سازی، تهیه از اطلاعات و  فایلهای مورد نیاز به صورت پشتیبان (Backup) از برنامه­‌های اصلی نرم‌‌افزاری بر روی یک سرویس‌دهنده پشتیبان (Backup Server)، آخرین لایه امن‌سازی درون سازمانی را تکمیل می­‌نماید. لازم به ذکر است استفاده از قابلیت Raid5 و یا Raid6 و بالاتر به مراتب می‌تواند اطمینان بیشتری را به بر روی سرویس‌دهنده پشتیبان (Backup Server) ایجاد نماید. پیشنهاد می‌گردد تا این سرویس‌دهنده، باید از سرویس‌دهنده‌های دیگر مجزا بوده و تنها نقش نگهداری اطلاعات پشتیبان را بر عهده بگیرد.

+ سید حسین موسوی ; ۱٢:٢۳ ‎ق.ظ ; ۱۳٩٢/٩/٢٥
comment نظرات ()