امنیت شبکه

در این مقاله باهم جز به جز امنیت شبکه را بررسی می کنیم

تاحالا شده به امنیت شبکه دقت کنید که چیست؟ یا چرا انقدر همه جا از آن صحبت می کنند ، حتی فیلم های سینمایی و سریال با محوریت شبکه و امنیت شبکه ساحته می شود. سازمان ها ،بانک ها و شرکت‌های بزرگ و کوچیک فراخوان های جذب خود بر کلمه امنیت مانند ، کارشنلس امنیت شبکه ، مدیر امنیت شبکه، متخصصی امنیت شبکه و مدرس امینت شبکه تمرکز دارند؛ واقعا امنیت شبکه چیه ؟!!!
میشه گفت امنیت شبکه یک مفهوم بسیار عمومی و کلی است که خیلی از علوم ،تکنولوژی ها ، تجهیزات سخت افزار ، فرآیندها و ابزار را در بر می گیرد . خیلی آسان و ساده‌ می توان امنیت شبکه را یک سلسله ‌ قانون، روال اجرایی، نتظیمات و بروز رسانی ها دانست که حفظ یکپارچگی و حافظت از سلامت دارایی ها ، حفظ محرمانگی اطلاعات و دسترسی همیشگی به داده ها در شبکه‌های کامپیوتری گفت. و همچنین داده‌ها هنگام استفاده توسط برنامه ها و سخت‌افزار پرداخته می‌شوند، پس هر مجموعه ای فارغ از بزرگی، نوع فعالیت و زیرساختی که برای شبکه خود ایجاد کرده است لازم است در اولین قدم ، چاره ای جز پیاده‌سازی راهکاری استاندارد و امنیتی برای محافظت از شبکه خود ندارد، زیر کوچکترین کوتاهی خسارات جبران ناپذیری در بر خواهد داشت. زیرا فعالیت هکر ها همواره رو به رشد است.

امنیت شبکه چیست؟!

امنیت شبکه را می توان یک سیاست و استراتژی خاص در سازمان یا هر مجموعه ای دانست، که از اطلاعات شبکه و داده های در حال انتقال در بستر شبکه از نرم افزارها و سخت افزارها حفاظت ‌کند. هر انسان عاقل به این موضوع واقف است که استفاد ازشبکه حتما باید براساس بالا تربن تدابیر امنیتی باشد. یک سیاست و استراتژی کاربردی صحیح و درست حتما بخش بزرگی از خطرات را در برمیگیرد و برای حمله های یک هکر تدبیر‌های مورد نیاز صورت گیرد.

شبکه های کامپیوتری در حال توسعه و پیشرفت است؟!

ساختار کلی شبکه‌های حال حاضر بسیار وسعیع تر و متنوع تر از گذاشته است. در نتیجه، همچنین فضای پیچیده‌ای، پر از نرم‌افزارها، برنامه ها و تجهیزات سخت‌افزاری و گوناگون می باشد. که همه و همه شامل نقاط آسیب‌پذیر درون خود هستند.
مهاجمان همیشه و هر زمان منتظر یک فرصت می باشند که از آسیب‌پذیری‌های کشف نشده را یافته و با سوء استفاده از آن آسیب‌پذیری‌ها جهت حمله و ایجاد خسارت در شبکه استفاده می شود. این آسیب‌پذیری‌ها در بخش‌های مختلف شبکه از جمله سخت افزارها ، اطلاعات، برنامه‌ها و نحوه رفتار کاربران را در بر میگیرد. مدیران شبکه ها از برنامه های گوناکون که برای مدیریت امنیت شبکه و برنامه‌های کاربردی ایجاد شده اند، استفاده می‌کنند تا تهدیدات امنیت شبکه و سایبری و سوء‌استفاده‌های احتمالی کارمندان از ساختار شبکه را به حداقل برسانند و مطمئن شوند که سیاست ها طراحی شده از طرف تمام پرسنل رعایت می‌شود. توجه فرمایید فقط چند لحظه قطعی یا مشکل در زیرساخت‌ شبکه یک سازمان بزرگ می‌تواند باعث فاجعه ای عظیم تبدیل می شود
این موضوع نه تنها خسارت و زیان‌های پولی زیاد را در بر میگیرد . همچنین به شهرت و شخصیت یک برند سازمانی لطمه می زند و مشتریان آن سازمان را بی اعتماد می کند. پس امنیت شبکه راهکار دفاعی به هم پیوسته و چندین مرحله ای می باشد، که از زیرساخت‌های ارتباطی و انتقالی یک مجموعه حفاظت می‌نماید.
امنیت شبکه یعنی یک دفاع قوی محکم در چهارچوب سیاست و کنترل‌هایی که درون تمام لایه های امنیتی پیاده‌سازی می‌شوند، در چهارچوب آینده نگری امنیتی سازمان طراحی می‌شوند. با توجه به این وضعیت ، دسترسپذیری به شبکه و منابع شبکه فقط و فقط برای پرسنل و کارمندان تایید شده امکان پذیر است. و هکرهای سایبری به‌ سادگی موفق نمی شوند به اطلاعات درون شبکه ها دسترسی داشته باشند، زیرا در هر لایه امنیتی با مکانیزم‌های دفاعی مختلفی محافظت می‌شوند.

ستون های اساسی در ایجاد امنیت شبکه

وقتی در خصوص ایجاد امنیت یک شبکه سازمانی بحث می شود. با نظر ویژه‌ای به لایه‌های گوناگون شبکه. هرکدام یک از لایه‌های مدل شبکه (OSI) و یا (TCP/IP) قطعا مورد حمله مهاجمان قرارخواهد گرفت، پس واجب است، موضوع امنیت در خصوص برنامه ها و سخت‌افزارها و نرم‌افزار‌ها جدی گرفته شود. و حساس ترازهمه باید سیاست های امنیت شبکه برای هر بخش به‌درستی برنامه ریزی شود.
امنیت شبکه بر سه موضوع امنیت فیزیکی، امنیت فنی و امنیت مدیریتی استوار است.

برقراری امنیت فیزیکی شبکه

چک لیست های امنیت فیزیکی جلوگیری می کنند از آن که هر شخص غیرمعتبر و مجازی بتواند به اطلاعات و منابع شبکه ،مانند سوییچ ها ، سرورها، روترها، اتاق سرور، مراکز داده و حتی کامپیوترها و دوربین های بخش‌های حیاتی و با درجه اهمیت بالا در حوزه شبکه‌ دسترسی داشته باشد. دسترسی مجاز و در حد نیاز(کنترل شده) به یعنی استفاده از تکنولوژی هایی همانند قفل‌ها، رمزها ابزارهای احراز هویت بیولوژیک و سایر راهکارهای موجود است که سعی می‌کنند یک ورود کنترل شده را به بخش‌های مختلف یک سازمان امکان‌پذیر کنند. ورود کنترل شده یعنی ورود و خروج هر کدام از پرسنل به مناطق حیاتی و مهم در سازمان حتما با حساسیت و وسواس شدید درج و مکتوب شود. البته این کار باید به روشی اتوماتیک و با استفاده از مکانیزم های هوشمند انجام شود.

برقراری امنیت فنی از داده‌های ذخیره شده ، در حال انتقال در درون شبکه یا به بیرون شبکه و همچنین داده های در حال پردازش در شبکه، محافظت می‌کند. در موضوع امنیت فنی حتما به دو نکته اساسی که متاسفانه بعضا از آن قافل می شوند توجه ویژه کرد!

پیشنهاد می کنیم این دوره آموزشی را از دست ندهید: دوره آموزشی امنیت شبکه – Network Security

سیاست مدیریتی امنیت شبکه

پالیسی های امنیت اداری شامل سیاست های امنیت شبکه و روال هایی است که بر رفتار پرسنل نظارت می‌نماید که از آن جمله می‌توان به نحوه احراز هویت کاربران، میزان دسترسی کاربردان و روش ایجاد تغییرات برای پرسنل. بخش فناوری‌ اطلاعات اشاره کرد. در موضوع سیاست‌های مدیریتی الزامیست است که دسته بندی گوناگونی از میزان دسترسی برای مدیران ایجاد شود. تمامی افراد مدیر در یک سازمان یا هر مجموعه ای نباید به یک میزان به اطلاعات و تمام اجزای شبکه دسترسی داشته باشند.

روش های مختلف امنیت شبکه

حال وقت آن شده که نگاهی کنیم به برخی از شیوه های گوناگون که می‌شود به وسیله آن‌ها شبکه خود را ایمن نمایید.

نظارت و کنترل بر دسترسی به شبکه

جعت آسوده گی خیال از این‌که هکر ها نمی‌توانند به ‌شبکه‌ ما نفوذ کرده و دسترسی بگیرند، سیاست‌های مجتمع کنترل دسترسی حتما برای هر دوجز شبکه یعنی کاربران و تجهیزات سخت افزاری به‌درستی طراحی شود. کنترل دسترسی به شبکه یا (Network Access Contorol) را باید با ریزبیتی صحیح طراحی شود. به طور نمونه ، یک ادمین شبکه می‌تواند به مدیران بخش های مختلف دسترسی full به شبکه را بده ، ولی دسترسی به فولدرهای محرمانه و حساس را منع کند و جلوگیری کند تا افراد دستگاه‌های شخصی خود را به شبکه متصل کنند.

روش های گوناگون های ایجاد امنیت شبکه

حفاظت ازهر شبکه سازمانی با محافظت از شبکه خانگی خیلی فرق دارد. شبکه های خانگی را یک مودم روتر و چند عدد کامپیتور|،لب تاپ ، موبایل یا تبلت تشکیل می دهد. که برای ایجاد شبکه و تبادل اطلاعت و ارتباط با شبکه از آن‌ها استفاده می‌شود.
یادمان باشه بعضی از Home Network ها از یک switch بهبود شبکه خود استفاده می کند. اما در اسکیل بزرگ ، سازمانی با دستگاه و ابزارها، نرم‌افزارها و افراد گوناگونی در ارتباط هستیم که هر یک ممکن است خواه یا ناخواه سبب ایجاد مشکل میشوند.
در نتیجه سازمان‌ها برای ا امنیت زیرساخت‌های شبکه و امنیت شبکه ‌‌از تکنیک ها و تکنولوژی هایی همچون : آنتی ویروس ، ضد بد افزار ، نرم‌افزار ضدویروس و ضد جاسوسی استفاده می کنند. مقابله با باج‌افزارها Application Security؛امنیت برنامه‌های کاربردی Behavioral Analytics؛ ابزارهای تجزیه‌وتحلیل الگوهای رفتاری که عمدتاً بر پایه یادگیری ماشین کار می‌کنند.

Aunti Avirus و AntiMalware و همه برنامه های محافظ شبکه!!!
برنامه های آنتی ویروس و آنتی بدافزار در یک مجموعه حجم عظیمی از نرم‌افزارهای مخرب همچون ویروس‌ها، باج‌افزارها، Wormها و Trojan‌ها حفاظت می نماید. یک برنامه امنیتی با کیفیت هرچیزی که ورود شبکه ما می شود پویش(اسکن) می‌کند،
همچنین به صورت مداوم پروسه Scan اجرا می کند و کوچک ترین تغییراتی را روی شبکه و ‌فایل‌های آن به‌دقت بررسی می کند و درصورت نیاز اقدام متقابل خواهد داشت.

حفظ امنیت دراپلیکیشن های پراستفاده و حساس

هرگز نباید امنیت برنامه‌های کاربردی فراموش کرد یا پشت گوش انداخت ، همه برنامه ها دارای نقص هستند و هرگز برنامه بی نقص وجود ندارد. همه برنامه‌ها حتما دارای حداقل یک نقطه آسیب‌پذیر(vulnerability) میباشد که به وسیله هکرها برای نفوذ به شبکه سوء استفاده می کنند.
دوران آکادمی درمقوله امنیت برنامه‌های کاربردی توصیه میکند که قبل از نصب و پیاده سازی ، اول برنامه‌ها را برای یک بازه زمانی مشخص در یک فضای ایزوله شده اجرا کنید (SandBox) تا رفتارهای مشکوک آن‌ها شناسایی شود.

آنالیز عملکرد و رفتارشناسی

ما در دوران آکادمی جهت شناسایی رفتار‌های مشکوک و غیر طبیعی در شبکه و ارزیابی رفتاری را آموزش میدهیم تا در شبکه خود پیاده سازی نمایید. یک مدیر شبکه یا مدیرامنیت شبکه واجب است که فهم و درک عمیقی از درستی رفتارهای معقول و غیرمعقول از منظر امنیت شبکه داشته باشد. ما با ابزار‌های تجزیه‌ و ‌تحلیل رفتاری بهصورت اتوماتیک فعالیت مشکوک را تشخیص میدهیم. این تحلیل‌های تهیه شده به وسیله ابزار به گروه امنیت شبکه یاری می نماید تا عواملی که زمینه‌ساز یک مشکل جدی و می‌شوند را شناسایی و تهدیدات را به‌ نهایت دقت از بین ببرند. دقت کنید که تحلیل الگوهای رفتاری فقط مربوط به ارزیابی نرم‌افزارها نیست و همچنین عمکرد و اقدامات کابران را نیز در برمیگیرد. گروه شرکت های دوران یکی از پیشروهای ارائه راهکار و ابزارهای هوشمندی است که اینگونه خدمات در اختیار سازمان ها می گذارد.

جلوگیری پیشگیرانه از نشت اطلاعات (Data loss Prevention)

همه سازمان‌ها به خصوص آن دسته ای که اطلاعات حساس را پردازش ، نگه داری و جابه جا می کنند ، حتما در اساسنامه خود به ‌دفت به این موضوع اشاره کرده باشند که پرسنل نباید هیچگونه اطلاعات مهم و حیاتی سازمان را به خارج از شبکه ارسال کنند. همه اطلاعات باید طبقه بندی شوند. همه سازمان ها باید از تکنولوژی DLP و راهکارهای امنیت شبکه بهره ببرند تا جلوی نشت اطلاعات و حتی ارسال به روش نا امن گرفته شود و حتی به صورت چاپ و کپی.

پست الکترونیک و امن سازی آن(Email Security)

یکی از موضوعات داغ امنیت شبکه و تهدیدات امنیتی و نفوذها ، در هر مجموعه ای پست الکترونیک یا همان می باشد. هکرها از تکنیک مهندسی اجتماعی(social engineering) داده های خصوصی بهره می برند. تا روشهای فیشینگ و فریبکارانه را برای فریب کاربران اجرا می کنند و آن‌ها را به سرزدن به وب سایت‌هایی سوق می دهند که برنامه های ضد امنیت شبکه یا اسکریپت‌های ضد امنیت شبکه بر روی آن‌ها سوار شده است. یک نرم افزار امن سازی ایمیل می‌تواند این نوعحملات را تشخیص داده و جلوی ورود و خروج اطلاعات حساس را از شبکه را بگیرد.

امن سازی شبکه به وسیله فایروال یا همان یک دیوارآتش(Firewall)

فایروال ها ، همانگونه از نام آنها می شود حدس زد بین شبکه خارجی غیرقابل اعتماد و شبکه داخلی مجموعه شما ، دیواری آتشین ایجاد می نمایند که هر مزاحمی را می سوزاند. مدیران امنیت شبکه بر اساس گروهی از قوانین تطبیق داده شده با سیاست های سازمانی پیاده سازی می شود که جلوگیری می کند از عبور و مرور پکت های مشکوک به شبکه‌. مثلا فایروال ها نسل جدید، معروف به NGFW: مخفف Next Generation Firewall ، سیستم کنترل و نظارت یکپارچه و متمرکز را در شبکه اعمال مینمایند. مکمل دیوارآتش ها ، ابزارهای پیشگیری از نفوذ (IPS) نیز جهت حفظ امنیت شبکه استفاده می‌شوند.

امنیت دستگاه‌های همراه

این دستگاه‌ها و برنامه‌های جدایی ناپذیر آن از زندگی روزمره ما آدم ها بلای جان امنیت است، از این رو همیشه و همه جا مورد علاقه و ابزار موفقیت حکرها در نقض امنیت شبکه و حریم شخصی افراد می شود، یادمان باشد که به مرور سازمان‌ها شویه BYOD یا همان استفاده از دستگاه‌های همراه کارکنان را به رسمیت خواهند شناخت.
چشم انداز این پدیده آن است که به زودی تا بیش از نود درصد از مجوعه ها فناوری‌اطلاعات از این رویداد به‌ صورت کاملا رسمی پشتیبانی کنند. پس باید یک مدیرامنیت شبکه نظارت و مدیریت نماید. که چه دستگاه‌هایی مجوز دسترسی به شبکه پیدا کنند، ونیز لازم است جهت حفظ ترافیک سالم شبکه ارتباطات این دستگاه‌ها به‌درستی پیکربندی شود.
جداسازی و نقسیم شبکه با استفاده از مکانیزم های مختلف
جداسازی و تقسمیم بندی در شبکه یکی از حیاتی ترین ، حساس ترین ، در نتیجه پیچیده‌ترین فازهای طراحی و پیاده سازی شبکه، می باشد. این جداسازی ها مشخص می‌کند که ترافیک شبکه در تمام شبکه نباید پخش شود، این از منظر امنیت شبکه بسیار مهم است.

نظارت امنیتی بر رخدادهای شبکه با ابزارهای متنوع سیم (SIEM)

شرکت های بزرگ امنیت شبکه ابزاری را با نام SIEM که هرنوع داده ورودی امنیتی برای تشخیص ، شناسایی و ایجاد عکس العمل مناسب در مقابل تهدید لازم است ، گردآوری نموده و در اختیارش قرار می‌دهد، این ابزارها در چهارچوب های متعدد، از جمله تجهیزات مجازی، فیزیکی و نرم‌افزارهای و سروری درقابل تهیه و پیداسازی هستند.

امن سازی وب سرورها و وب سرویس ها

امروزه همه مشاغل وابسته شده اند به ارائه خدمات تحت وب پس هکرها درکمین امنیت شبکه شما هستن از طریق به حمله به وب سایت ها. شیوه های امن سازی وب ها ، نحوه دسترسی کارمندان و مشتریان که از وب‌سایت‌های ما بازدید می‌کنند، کمک می‌کند. در نتیجه باید مدیریت و نظارت قویتری داشته باشیم تا مانع شویم که پرسنل به وب سایت های آلوده وارد شوند یا هکرها به شبکه ما تجاوز کنند.

امنیت بی‌سیم

استفاده از دستگاه های همراه و بیسیم در نتیجه ایجاد شبکه‌های بی‌سیم و نقاط مرکزی برای دسترسی به این نوع شبکه همه گیر شده است. متاسفانه شبکه‌های بی‌سیم (Wireless Network) بسیار امنیت پایینی نسبت به شبکه‌های سیمی دارند و دسترسی به آنها به مراتب آسان تر است ، که سبب راحتی کاربرای مهاجمان می شود.
پس در ایجاد امنیت شبکه‌ در شبکه های بی‌سیم باید بسیار دقیق ترعمل کنیم. امنیت شبکه بیسیم باید بسیار حرفه ای طراحی و راه اندازی شود .

امنیت کلاینت ها، ایستگاه های کاری

ایجاد امنیت برای این اجزای به شدت آسیب پذیر که به نام‌های End Point Security یا (امنیت نقطه پایانی) و امنیت شبکه از آن نام برده می‌شود، یک روش آسان و بی دردسر برای محافظت از شبکه‌های سازمانی در مواقعی است که دستگاه‌های راه دور مانند کامپیوترهای همراه یا تبلت ها و دستگاه‌های بی‌سیم و همراه که قصد اتصال به شبکه را دارند استفاده از یک روش دفاعی هفت لایه است که شامل Sandbox خودکارو جلوگیری از حمله به هاست، فیلترینگ وب آدرس‌ها ، فایروال ها و آنتی ویروسها است. همه این گزینه ها در یک پکیج کامل جهت مبارزه با تهدیدات شناخته و ناشناخته و حفظ امنیت شبکه استفاده می‌شوند.

روال و نحوه کنترل دسترسی به شبکه های کامپیوتری

مراحل ایجاد امنیت شبکه به ما یاری میرساند تا کنترل کنیم که چه افرادی اجازه ورود و دسترسی به شبکه را دارند یا ندارند. الزامی است که قبل از مجوز دسترسی به هر دستگاه را به کاربران دهید، اول هویت فرد شناسایی شود ، این مجوز به یک فرد غیر مجاز داده نشود. باید دسترسی به شبکه را به حداقل ممکن برسانیم. این سیاست ها ما را یاری می کند تا اصول امنیت شبکه را به نحو احسنت پیاده سازی کنیم. لازم است که دسترسی دستگاه‌های غیر استاندارد و نامطمئن از شبکه کاملا قطع یا محدود نماییم.

VPNها یا همان شبکه مجازی،خصوصی

VPNها قادرهستن بین دو دستگاه داخل شبکه ارتباط ایمن برقرار نمایند. یعنی: پرسنل قادر خواند بود از منزل خود به شبکه خصوصی و داخلی سازمان وصل شوند و وظایف سازمانی خود تکمیل کنند. بر اساس این تکنولوژی، مکانیزم جا به جایی اطلاعات بین منزل و سازمان به روش رمزنگاری انجام خواهد شد و شخص جهت ایجاد ارتباط با شبکه سازمان و ارتباط با سیستم ها گوناگون احراز هویت (Authentication)می‌شود.

موضوعات گوناگون برای بالا بردن سطح امنیت شبکه

● DLP مخفف عبارت (Data Loss Prevention) وظیفه جلوگیری از دزدی و از دست دادن اطلاعات مهم را دارد
● امنیت پست الکترونیک Email Security ، فایروال ، امنیت دستگاهای قابل جا به جایی Mobile Device Security
● تقسیم بندی شبکه به بخش‌های مجزا Network Segmentation، و ایجاد شبکه های سلسله مراتبی یا زیر شبکه‌ها جهت مدیریت آسان تر
● مدیریت امنیت اطلاعات و رخدادها SIEM مخفف (Security Information and Event Management)
● شبکه خصوصی مجازی VPN(سرنام Virtual Private Network)
● امنیت وب Web Security
● امنیت بی‌سیم Wireless Security
● امنیت نقطه پایانی Endpoint Security
● کنترل دسترسی به شبکه NAC(Network Access Control)