نويسنده : كيانوش مراديان (مدير واحد طراحي شركت همكاران سيستم) ناشر : همكاران سيستم تاريخ انتشار : 11/02/1386
شبكه ي كامپيوتري استاندارد
آيا شبكه ي كامپيوتري شركت يا سازماني كه در آن كار مي كنيد استاندارد است ؟ آيا اطلاعات شما در سرور شبكه امنيت دارد؟ در يك سوال كلي تر، آيا شبكه ي كامپيوتري استاندارد را مي شناسيد و با فاكتورهايي كه در يك شبكه ي ايمن رعايت مي شوند آشنا هستيد؟ نوشتاري كه پيش رو داريد ، چكيده يكلياتي است كه بايد در يك شبكه ي استاندارد پياده سازي شود و امكان اجرايي كردن آن ها در ايران وجود دارد.
بستر فيزيكي مناسب
بستر فيزيكي يك شبكه ي كامپيوتري ، خواه مبتني بر باسيم و يا بي سيم ، بايد از قابليت اطمينان و سرعت و پهناي باند مناسب برخوردار باشد . اين امر جز با طراحي درست و انتخاب End To End تجهيزات عملي نخواهد شد.
الف : طراحي درست
شبكه هاي كامپيوتري بايد مدل سه لايه (Core,Distribution,Access) يا دولايه (Core,Distribution+Access) داشته باشند . شبكه هايي كه داراي سوئيچ هاي تماما تك لايه اند ، غير استاندارد هستند و پياده سازي Routing و VLAN در آن ها دشوار است.
ب : انتخاب بستر اصلي مناسب (Backbone)
بستر اصلي شبكه يا Backbone رسانه اي است كه تجهيزات فعال شبكه را به يكديگر پيوند مي دهد و امكان انتقال اطلاعات ميان آن ها را فراهم مي آورد. پهناي باند اين بستر دست کم 10 برابر پهناي باندي است كه براي نقاط دسترسي فراهم است. در اين ساختار ، تمام سوئيچ ها، روترها و سرورهاي شبكه با پهناي باند بالاتري با اين بستر ارتباط دارند.
ج : اجرا بر مبناي اصول كابل كشي ساخت يافته (Structured Cabling Implementation)
كابل كشي ساخت يافته ، استانداردي براي اجراي درست يك پروژه ي شبكه ي كامپيوتري است كه بر پايه ي آن چگونگي همبندي كابل ها، خم ها، فواصل، اجزاي شبكه و ... مشخص مي شوند. اجراي يك پروژه بر پايه ي اصول كابل كشي به شکل ساخت يافته ، تضمين كننده ي سلامت اتصالات و درنتيجه بستر فيزيكي است.
د : تجهيزات مناسب براي محيط كاري مناسب
انتخاب نوع تجهيزات ، كاملا وابسته به كاربري شبكه و محيطي است كه در آن پياده سازي مي شود. به عنوان مثال ، محيط هاي صنعتي داراي نويز شديد و وضعيت سخت هستند ، بنابراين كابل هاي فيبرنوري بهترين گزينه براي ارتباط قسمت هاي داراي نويز شديد و فواصل بالاي 100 مترند. همچنين كابل هاي پوشش دار مسي نيز مي توانند براي فواصل زير 100 متر و كم نويز مورد استفاده قرار گيرند. معمولا اين وضعيت سخت در محيط هاي اداري وجود ندارد ، به همين دليل در انتخاب تجهيزات ، استفاده از تجهيزات با كيفيت بهتر ولي حساسيت كمتر كافي است.
نرم افزارهاي استاندارد و به روز رساني آن ها
نرم افزارهاي مختلف از عوامل مهم در استفاده ي بهينه از شبكه ي كامپيوتري اند. اگر شبكه ي كامپيوتري سازمان شما داراي ساختار فيزيكي بسيار عالي باشد ، اما كاربر امكان استفاده از اطلاعات و امكانات موجود روي سرورها را نداشته باشد ، به هدف خود نرسيده ايم.
الف : سيستم عامل و ديتابيس
سيستم عامل و ديتابيس هاي مستقر روي سرورهاي يك سازمان نقش تعيين كننده اي در چگونگي استفاده از شبكه و امكانات موجود روي آن دارند. استفاده از آخرين نسخه نرم افزار براي سرورهاو ايستگاه هاي كاري، همچنين نصب آخرين ServicePackها و Patch ها، مشكلات شناخته شده روي سيستم عامل را برطرف مي کند و سبب درستي هر چه بيشتر كاركرد آن مي شود . استفاده از نسخه هاي مطمئن براي نرم افزار ديتابيس (Oracle , SQL , ) و نصب Service Pack ها و Patch ها نيز ضروري است.
ب : سرويس هاي تحت شبكه
استفاده ي بهينه از شبكه ي كامپيوتري جز با راه اندازي درست سرويس هاي موردنياز امکان ندارد. DHCP,DNS,Domain Controller و... از جمله اين سرويس ها هستند. هر سرويسي كه اجرايي مي شود ، از يك يا چند پورت كامپيوتر استفاده مي كند ، بنابراين ، علاوه بر اعمال پردازشي نو به پردازنده ي دستگاه، دروازه اي به بيرون باز مي كند كه اگر ناخواسته و نادانسته باز شود امكان ايجاد دسترسي غيرمجاز و حمله به سرور را فراهم مي کند . جداسازي منطقي سرويس ها، حذف سرويس هاي غير ضروري و مانيتور کردن دوره اي سرور ، راه حل هايي براي بهبود کار در اين حوزه هستند.
ج : نرم افزارهاي كاربردي
با توجه به وجود نرم افزارهاي كاربردي تحت شبكه براي پياده سازي سرويس هاي مختلف ، بازنگري در آن ها و حذف نرم افزارهاي غير استاندارد و مشكوك ضرورت دارد.
برقراري امنيت در سازمان
امنيت ، ويژه ي يك يا چند دستگاه كامپيوتري نيست ، بلكه شامل كل سازمان مي شود. وجود اصول و اساسنامه در زمينه ي ايمن سازي اطلاعات سازمان ، از در ورودي تا محل قرارگرفتن اطلاعات لازم است . تعريف امنيت مرزهارا مي شكند و كليه ي عوامل تهديد كننده ي اطلاعات سازمان را در برمي گيرد . امكان ازبين رفتن اطلاعات دراثر عوامل فيزيكي (مانند آتش سوزي)، تهديدات نفوذگران شبكه، ويروس ها و كرم هاي اينترنتي، دزدي رسانه و.... همگي از عوامل تهديد كننده ي اطلاعات سازمان هستند . بنابراين داشتن برنامه و استراتژي جامع و كاملي كه تمام موارد تهديد كننده و چگونگي برخورد باهريك را مشخص مي کند از اولويت هاي برنامه ي هر سازمان است . در زير تنها به برخي از عوامل تهديد كننده ي اطلاعات شبكه هاي كامپيوتري اشاره شده است :
الف : ويروس ها، كرم ها و تروجان ها
با توجه به گسترش روزافزون شبكه هاي كامپيوتري و ارتباط آن ها با اينترنت، امكان ورود نرم افزارهاي مخرب كوچك ، همچون ويروس ها،كرم ها و تروجان ها به سرورها و ايستگاه هاي كاري وجود دارد . به اين دليل استفاده از ويروس ياب ها و ويروس كش هاي مناسب بايد در دستور كار مدير شبكه قرار گيرد. همچنين وجود Adware ها و Spyware ها، باعث كندي دستگاه هاي كامپيوتري و سرورها مي شود و از كارايي شبكه مي كاهد.
ب : ارتباط با اينترنت
پيشرفت تكنولوژي و كاهش هزينه ي ارتباط با اينترنت ، سازمان ها را به استفاده ي بيش ازپيش از آن ترغيب مي کند . شبكه هاي زيادي به طور مستقيم و بدون درنظرگرفتن هرگونه امكان امنيتي، به اينترنت مرتبط هستند و از آن استفاده مي كنند. در اين گونه شبكه ها، خطر نفوذ به سيستم و سوء استفاده از اطلاعات سازمان و نيز ورود انواع ويروس ها و كرم ها (Worm) وجود دارد . جداسازي سرورها و سرويس ها، استفاده از ديواره ي آتش مناسب، IDS , IPS، از راه هاي ارتباط ايمن با اينترنت شمرده مي شوند. ساده ترين ساختاري كه مي توانيد در طراحي امنيت سازمان خود داشته باشيد ، تقسيم بندي سرورها و شبكه ي كامپيوتري به سه ناحيه ي : شبكه ي داخلي، شبكه ي خارجي و ناحيه ي محافظت شده است. تمام سرورها و ايستگاه هاي كاري را كه تنها بايد در شبكه ي داخل سازمان در دسترس باشند و نياز به ارتباط خارجي ندارند ، در ناحيه ي شبكه ي داخلي (Internal Network)، اينترنت و شبكه ها ي مرتبط با آن را در ناحيه ي شبكه ي خارجي (External Network) و سرورهايي از شبكه ي داخلي را كه نياز به ارتباط با اينترنت دارند،در ناحيه ي محافظت شده يا DMZ قرار دهيد. نمونه ي اين گونه سرورها FTP Server، Mail Server هستند.
ج : استفاده از ديواره ي آتش يا Firewall
ديواره ي آتش ، نرم افزار يا سخت افزاري است كه براي محافظت و دور از دسترس قراردادن شبكه ي داخلي از حملات و نفوذهاي تحت شبكه مورد استفاده قرار مي گيرد. با توجه به توضيحاتي كه در قسمت قبل داده شد ، به كمك ديواره ي آتش ، سه ناحيه داخلي، خارجي و DMZ را مي توان از يكديگر متمايز کرد و پاكت هاي در حال تبادل ميان قسمت هاي مختلف را مورد بررسي قرار داد و حتي جلوي عبور پاكت هاي اطلاعاتي غير ضروري را گرفت . Content Filtering، Proxy، Virus Scanning، VPN، SPAM Filter، Anti Spyware، Traffic Shaping، Anti Phishing، IPS/IDS، Ahthentication از مشخصه هاي ديگري هستند كه بايد هنگام تهيه و انتخاب ديواره ي آتش ، آن ها را در نظر داشته باشيد.
د : سياست نامه ي امنيتي
تهيه و اجراي اساسنامه ي امنيت اطلاعات برپايه ي استاندارد هاي موجود ، متناسب با سازمان و نوع كار پايه و اساس پياده سازي امنيت است. بدون داشتن برنامه و هدف اجراي امنيت در سازمان، قادربه ايجاد فضايي امن براي اطلاعات نخواهيد بود. دامنه ي اين اساسنامه بسته به نظر مدير سازمان ، متفاوت است. دامنه ي حفاظت شده يا Scope مي تواند تمام بخش هاي سازمان را دربرگيرد و ياحتي بخش هايي از آن را پوشش دهد. معمولا پياده سازي امنيت اطلاعات سازمان ، از واحد و بخش كوچكي آغاز و به تدريج به بخش هاي ديگر تعميم داده مي شود.
و : نصب به موقع Service Pack ها و Patch ها
وجود مشكلات متعدد سيستم عامل ها و نرم افزارهاي مختلف، سازندگان آن ها را ملزم به رفع مشكلات پس از شناسايي نوع مشكل مي کند . بنابراين ، شركت هاي تهيه كننده ي نرم افزار اقدام به پخش نرم افزارهاي رفع خطا در قالب Patch ها و Service Pack ها مي کند . نصب به موقع اين بسته هاي كوچك نرم افزاري برطرف کردن خطا ، مشكلات موجود را رفع مي کند . و جلوي سوء استفاده از نقص هاي موجود را مي گيرد.به عنوان مثال ، تاكنون Service Pack 4براي Win2000، SP2 براي XP و Win2003 Server از جانب شركت مايكروسافت براي استفاده كاربران عرضه شده است كه قابل Download روي سايت آن شركت هستند.
سرور مناسب
سرور درواقع مركز اطلاعات هر سازمان است که ايستگاه هاي كاري ديگر به آن مرتبط مي شوند و از اطلاعات و سرويس هاي آن بهره مي برند. براي تهيه سرور مناسب ، نخست بايد نوع كاربري، تعداد كاربران مرتبط با آن و نوع نرم افزارهاي كاربردي روي آن مشخص شوند و سپس به تهيه سرور با سخت افزار متناسب با نياز اقدام کرد . داشتن پشتيبان در قطعات از ويژگي هاي ديگر يك سرور خوب است . به عنوان مثال ، داشتن دو پردازنده يا دو پاور با قابليت تامين توان كافي و يا چند ديسك سخت براي راه اندازي Raid نرم افزاري يا سخت افزاري از امتيازهاي يك سرور استاندارد است. داشتن امكانات كافي تهيه ي نسخه ي پشتيبان از اطلاعات ، مانند Tape Backup Driver و يا حتي دستگاه DVD Writer از مشخصه هاي ديگر يك سرور مناسب است.
تهيه ي نسخه پشتيبان
داشتن برنامه ي مناسب براي تهيه ي نسخه ي پشتيبان يا Backup و تقسيم بندي و محافظت از آن از مهمترين فعاليت هاي مديرشبكه به شمار مي رود كه بايد همواره آن را در نظر داشته باشد. استفاده از Backup Autoloader، Tape Backup و ياحتي DVD Writer و CD Writer از مواردي هستند كه بايد همواره مدنظر قرار گيرند. نرم افزارهاي مختلفي وجود دارند كه مي توان به كمك آن ها موارد سياستنامه ي تهيه ي نسخه ي پشتيبان را بهتر پياده سازي کرد . از آن جمله مي توان به Live state، Backup Exec و اشاره كرد.
نظارت و سنجش دائمي شبكه
سنجش دائمي ترافيك شبكه و مانيتورينگ آن توسط ابزارهاي مختلف نرم افزاري و سخت افزاري از عوامل مهم پيشگيري از فاجعه هستند که بايد در شبكه هاي كامپيوتري مورد توجه قرار گيرند . توسط نرم افزارهاي مانيتورينگ نظير CiscoWorks، Solarwins و هزاران نرم افزاري كه به اين منظور ايجاد شده اند ، مي توان شبكه ي خود را بازرسي و بازبيني کرد و به رفع مشكلات آن ، پيش از بروز خطايي غيرقابل جبران، پرداخت . مطالبي كه مطالعه كرديد ، از مهمترين مواردي هستند كه بايد در پياده سازي و نگهداري يك شبكه ي استاندارد به آن ها توجه کرد .بي توجهي به هريك از اين موارد نه تنها كارايي شبكه ي شمارا كاهش مي دهد ، بلكه در مواردي آن را به خطر خواهد انداخت. اميد است با توجه به آن ها گامي در ارتقاي شبكه ي كامپيوتري سازمان خود برداريد.
لطفا منتظر باشید ...
