مروری بر استانداردها و گواهینامه های امنیت شبکه
مقدمه:
همانطور که میدانیم زندگی روزمره انسانی، در دنیای فیزیکی غالبا با تهدیدهائی از سوی مهاجمان، متجاوزان و قانون شکنان مواجه بوده است و برنامهریزان و مدیران جوامع با اتخاذ تدابیر و با بکارگیری نیروهای سازمان یافته در پی مبارزه با تهدیدهای مذکور و محافظت از جان و منافع انسانی و نهایتا ایجاد امنیت در جامعه میباشند.
طبیعی است با الزام حضور و ورود انسانها به دنیای مدرن ارتباطات و اینترنت ) که توسط متخصصان علوم ارتباطات و رایانه بوجود آمده است) خطرات و تهدید مهاجمان که با بکارگیری روشهای گوناگون درصدد ایجاد اختلال، انهدام و یا وارد آوردن صدمه هستند، همواره وجود خواهد داشت. به همین جهت مبحث امنیت و ایجاد آن در دنیای الکترونیکی ارتباطات، جایگاه ویژهای را در محافل گوناگون علمی فنآوری اطلاعات بدست آورده است.
در خصوص شبکههای اطلاع رسانی و بخصوص اینترنت مبحث امنیت را میتوان از دو جنبه مورد بررسی قرار داد :
*امنیت سرویس دهندگان (Servers Security)
*امنیت کاربران یا استفاده کنندگان (Client Security)
که در هر دو مورد با تهدیدهای بسیار جدی از سوی مهاجمان و مخربین هکرها مواجه هستیم. در حقیقت در این بخش سعی بر این است تا به بررسی جوانب گوناگون امنیت همچون بررسی انواع خطرات و تهدیدهای موجود با در نظر گرفتن زمینههای مورد علاقه مخربین، بررسی حفرهها و روشهای نفوذ و نحوه تخریب، بیان و معرفی نمونه پایگاه هایی که مورد یورش و تهاجم واقع شدهاند، بررسی روشهای رویاروئی و مقابله با تهدیدها و خطرات، شناخت نرمافزارهای مرتبط و موجود در زمینه حفاظت و امنیت شبکه و ... می پردازیم .
با توجه به گسترش زمینههای گوناگون استفاده از اینترنت بخصوص تبادلات بازرگانی و فعالیتهای اقتصادی و علاقمندی شدید مهاجمان به این نوع از تخریب ها در قدم اول سعی بر آنست تا به بررسی مباحث مربوط به تهدیدات سرویس دهندگان وب (Web Servers) و انواع آن پرداخته شود .
فهرست مطالب:
پیشگفتار
مفدمه
فصل اول: امنیت شبکه ها
مقدمه
policy
نقش عوامل انسانی در امنیت شبکه های کامپیوتری
اشتباهات متداول مدیران سیستم
عدم وجود یک سیاست امنیتی شخصی
اتصال سیستم های فاقد پیکربندی مناسب به اینترنت
اعتماد بیش از اندازه به ابزارها
عدم مشاهده لاگ ها ( Logs )
اجرای سرویس ها و یا اسکریپت های اضافه و غیر ضروری
اشتباهات متداول مدیران سازمان ها
استخدام کارشناسان آموزش ندیده و غیرخبره
فقدان آگاهی لازم در رابطه با تاثیر یک ضعف امنیتی بر عملکرد سازمان
عدم تخصیص بودجه مناسب برای پرداختن به امنیت اطلاعات
اتکاء کامل به ابزارها و محصولات تجاری
یک مرتبه سرمایه گذاری در ارتباط با امنیت
اشتباهات متداول کاربران معمولی
تخطی از سیاست امنینی سازمان
ارسال داده حساس بر روی کامپیوترهای منزل
یاداشت داده های حساس و ذخیره غیرایمن آنان
بررسی نقاط ضعف امنیتی شبکه های وب
عدم نصب صحیح سسیتم عاملهای اصلی شبکه
وجود کاستیهای فراوان در ساختار سیستم عاملها
جازه استفاده از سرویسهای گوناگون در Server
وجود مشکلات امنیتی در پروتکلها
عدم رعایت تدابیر امنیتی در نرمافزارهای نصب شده بر روی سرور
عدم استفاده از گزارش فعالیتهای سیستم و یا کنترل عملکرد کاربران
اعتماد به عملکرد مشتری
عدم وجود روشهای مناسب شناسایی کاربر
عدم استفاده از تدابیر امنیتی مناسب و نرمافزارهای Firewall و Proxy
عدم شناخت کافی از صحت اطلاعات دریافتی (عدم کنترل اطلاعات)
عدم محافظت از اطلاعات حساس
فصل دوم: چالشها و راهکارهای امنیت شبکه
مقدمه
امنیت شبکههای اطلاعاتی و ارتباطی
اهمیت امنیت شبکه
سابقه امنیت شبکه
جرائم رایانهای و اینترنتی
پیدایش جرایم رایانهای
قضیه رویس
تعریف جرم رایانهای
طبقهبندی جرایم رایانهای
طبقهبندی OECDB
طبقهبندی شورای اروپا
طبقهبندی اینترپول
طبقهبندی در کنوانسیون جرایم سایبرنتیک
شش نشانه از خرابکاران شبکهای
راهکارهای امنیتی شبکه
کنترل دولتی
کنترل سازمانی
- کنترل فردی
تقویت اینترانتها
وجود یک نظام قانونمند اینترنتی
کار گسترده فرهنگی برای آگاهی کاربران
فایروالها
سیاستگذاری ملی در بستر جهانی
الگوی آمریکایی
الگوی فلسطین اشغالی
الگوی چینی
الگوی کشورهای عربی حاشیه خلیج فارس
اینترنت و امنیت فرهنگی ایران
معیارهای امنیت فرهنگی در سیاستگذاری
مشکلات فعلی سیاستگذاری در امنیت فرهنگی و اینترنت
ملاحظات فرهنگی در سیاستگذاری
فصل سوم: استاندارد ها و پروتکل های امنیت شبکه
استاندارد BS7799
تاریخچه استاندارد
نحوه عملکرد استاندارد BS 7799 .
مدیریت امنیت شبکه
تهدیدهای امنیتی
مراحل پیاده سازی امنیت
اجرای سیستم امنیتی .
تشکیلات اجرائی امنیت
آینده استاندارد BS7799
آیا قسمت سومی برای استاندارد 7799 BS تدوین خواهد شد؟
استانداردISO/IEC 17799
طرح تداوم خدمات تجاری
کنترل بر نحوه دستیابی به سیستم
پشتیبانی کردن و توسعه دادن سیستم
ایجاد امنیت فیزیکی و محیطی
مورد قبول واقع شدن
امنیت شخصی
ایجاد امنیت سازمانی
مدیریت رایانه و عملیات
کنترل و طبقه بندی داراییها
امنیت اطلاعاتی
استاندارد ISO27001:2005
منافع حاصل از دریافت گواهینامه ISO 27001
استقرار ISO 27001..
پروتکل IPv6
امکانات و ویژگی های جدید IPv6
افزایش فضای آدرس دهی
پیکربندی اتوماتیک stateless
extension header
امنیت اجباری
فواید IPv6
بررسی مشکلات امنیتی IPv6
امنیت در IPv6
پروتکل IPSec (پروتکل امنیت در لایه شبکه)
پروتکل IPSec از دیدگاه شبکه IPSec
پروتکلهای IPSec
پروتکل AH
پروتکل ESP ((Encapsulation Security Payload
پروتکل IKE
مفاهیم اساسی
پروتکل SSL
ملزومات یک ارتباط مبتنی بر پروتکل امنیتی SSL
اجزای پروتکل SSL
نحوه عملکرد داخلی پروتکلSSL
حملات تأثیرگذار برSSL
پروتکل SSH
پایان نامه مروری بر استانداردها و گواهینامه های امنیت شبکه