تالار گفتگوی کیش تک/ kishtech forum

نسخه‌ی کامل: قطعات سخت افزاری و نرم افزاری
شما در حال مشاهده نسخه آرشیو هستید. برای مشاهده نسخه کامل کلیک کنید.
قطعات سخت افزاری و نرم افزارهای امنیتی در شبکه وسیستم های تشخیص را نام برده وشرح دهید؟
کلیات امنیت شبکه کامپیوتری

حفاظت، پشتیبانی و نگهداری از داده‌های رایانه‌ای، اطلاعات مهم، برنامه‌های حساس، نرم‌افزارهای مورد نیاز و یا هر آنچه که در حافظه جانبی رایانه مورد توجه بوده و با اهمیت می‌باشد، امنیت رایانه‌ای نامیده می‌شود. تفکر امنیت در شبکه برای دستیابی به سه عامل مهم است که با یک دیگر مثلث امنیتی را تشکیل می دهند. این عوامل عبارتند از راز داری و امانت داری (Confidentiality)، یکپارچگی (Integrity) و در نهایت در دسترس بودن همیشگی (Availability). این سه عامل (CIA) اصول اساسی امنیت اطلاعات - در شبکه و یا بیرون آن - را تشکیل می دهند بگونه ای که تمامی تمهیدات لازمی که برای امنیت شبکه اتخاذ میشود و یا تجهیزاتی که ساخته می شوند، همگی ناشی از نیاز به اعمال این سه پارامتر در محیط های نگهداری و تبادل اطلاعات است.

Confidentiality

به معنای آن است که اطلاعات فقط در دسترس کسانی قرار گیرد که به آن نیاز دارند و اینگونه تعریف شده است. بعنوان مثال از دست دادن این خصیصه امنیتی معادل است با بیرون رفتن قسمتی از پرونده محرمانه یک شرکت و امکان دسترسی به آن توسط مطبوعات.

Integrity

بیشتر مفهومی است که به علوم سیستمی باز می گردد و بطور خلاصه می توان آنرا اینگونه تعریف کرد:
- تغییرات در اطلاعات فقط باید توسط افراد یا پروسه های مشخص و مجاز انجام گیرد.
- تغییرات بدون اجازه و بدون دلیل حتی توسط افراد یا پروسه های مجاز نباید صورت بگیرد.
- یکپارچگی اطلاعات باید در درون و بیرون سیستم حفظ شود. به این معنی که یک داده مشخص چه در درون سیستم و چه در خارج آن باید یکسان باشد و اگر تغییر می کند باید همزمان درون و برون سیستم از آن آگاه شوند.

Availability

این پارامتر ضمانت می کند که یک سیستم - مثلا اطلاعاتی - همواره باید در دسترس باشد و بتواند کار خود را انجام دهد. بنابراین حتی اگر همه موارد ایمنی مد نظر باشد اما عواملی باعث خوابیدن سیستم شوند - مانند قطع برق - از نظر یک سیستم امنیتی این سیستم ایمن نیست.

اما جدای از مسائل بالا مفاهیم و پارامترهای دیگری نیز هستند که با وجود آنکه از همین اصول گرفته می شوند برای خود شخصیت جداگانه ای پیدا کرده اند. در این میان می توان به مفاهیمی نظیر Identification به معنی تقاضای شناسایی به هنگام دسترسی کاربر به سیستم، Authentication به معنی مشخص کردن هویت کاربر، Authorization به معنی مشخص کردن میزان دسترسی کاربر به منابع، Accountability به معنی قابلیت حسابرسی از عملکرد سیستم و ... اشاره کرد.

امنیت در یک شبکه به 2 روش صورت می پذیرد. 1- برنامه های نر‌م‌افزاری 2- قطعه‌های سخت‌افزاری. در بهترین حالت از برنامه های نرم افزاری و قطعات سخت افزاری بطور همزمان استفاده می گردد. عموماً برنامه‌های نرم‌افزاری شامل برنامه‌های ضدمخرب (مخرب‌ها شامل ویروس، کرم‌های مهاجم، اسب‌های تراوا، مخفی‌شده‌ها و .... ) و دیوار آتش می‌باشد. قطعات سخت‌افزاری نیز عموماً شامل دیوار آتش می‌شود. این قطعه‌ها موجب کنترل درگاه‌های ورودی و خروجی به رایانه و شناخت کامل از حمله‌کننده‌ها بخصوص نشانه‌های خاص مهاجم را ایجاد می نماید.

فراموش نکنیم که شرکت مایکروسافت به عنوان عرضه‌کننده سیستم های عامل نسل Windows (که در حال حاضر پرمصرف ترین گروه سیستم‌های عامل را تشکیل می دهد)، به یک برنامه نرم‌ افزاری دیوار آتش بصورت پیش‌ فرض مجهز می باشد، که می‌تواند تا امنیت را هر چند کم، برای کاربران سیستم‌های عامل خود فراهم نماید اما قطعا ًاین نرم افزار به تنهایی کفایت امن سازی رایانه را تأمین نمی نماید. اما در اولین مرحله امن سازی یک شبکه ابتدا باید سازمان را به یک برنامه ضدمخرب قوی مانندَAntivir, Symantec, Kaspersky, Nod32, BitDefender, Norton, Panda، Mac با قابلیت بروزآوری مجهز نمود، تا بتواند در مقابل حمله برنامه های مخرب واکنش مناسبی ارائه نماید. برنامه Antivir می تواند یک انتخاب مناسب در این زمینه باشد. چرا که این برنامه قابلیت بروزآوری را بطور مداوم دارا می‌باشد و خود برنامه نیز هر 6 ماه یکبار ویرایش می‌گردد تا از موتور جستجوگر قوی تر و بهینه‌تری برای یافتن برنامه های مخرب بهره گیرد. خرید نسخه اصلی این نرم‌افزار توصیه می‌گردد، چرا که در صورت بروز مشکل شرکت اصلی نسبت به پشتیبانی از رایانه‌های شما اقدام لازم را در اسرع وقت به انجام می‌رساند.

در مرحله دوم امن سازی یک شبکه باید از دستگاه تقسیم‌کننده استفاده نمود. دستگاه های فوق خود بر دومدل قابل تنظیم و پیکربندی و غیرقابل تنظیم و غیر قابل پیکربندی تقسیم می شوند. ممکن است در گروه اول نیز قطعاتی یافت شود که تنظیمات جزئی پیکربندی را انجام دهند اما بطور کامل و با تمامی امکاناتی که در گروه دوم قطعات دیده می شوند، مجهز نمی‌باشند. عموماً این دستگاه تقسیم کننده از مدل Core و برای ارتباط سرویس‌دهنده‌های مرکزی به یکدیگر و انجام خدمات به شبکه داخلی یا دنیای اینترنت تهیه می‌شود و در لایه اصلی تقسیم ارتباط شبکه، از طرف سرویس‌دهنده‌های مرکزی به سرویس‌ گیرنده های داخلی و بالعکس قرار گیرد. این قطعه می تواند از تکثیر یک برنامه ضدمخرب و همچنین ورود و خروج مهاجمان پنهان، در درون شبکه داخلی از یک رایانه به رایانه دیگر تا حد بسیار زیادی جلوگیری نماید. اما اگر تعداد کاربران و سرویس‌گیرنده‌های یک سازمان بیش از تعداد درگاههای خروجی یک تقسیم‌کننده مرکزی Core Switch‌ باشد، در این صورت از تقسیم کننده های دیگری که قابلیت پیکربندی را دارا بوده و مقرون به صرفه نیز می‌باشند، می‌توان استفاده نمود، تا کنترل ورودی و خروجی های هر طبقه یا واحد را بیمه نماییم. در مورد قطعات سخت افزاری تقسیم کننده Cisco Switch گزینه مناسبی می باشد که برترین نام جهانی را در این زمینه به خود اختصاص داده و با بروزآوری قطعات خود و همچنین آموزش متخصصان خود سهم بزرگی در این بحث ایفا می نماید.

در مرحله سوم امن سازی، نیاز به خرید برنامه نرم افزاری و یا قطعه سخت‌ افزاری دیوار آتش احساس می شود. بیشترین تأکید بر روی قطعه سخت افزاری استوار است زیرا که از ثبات، قدرت بیشتر و ایرادات کمتری نسبت به نرم افزارهای مشابه خود برخوردار است. قطعه سخت‌افزاری دژ ایمن می بایست در مسیر ورودی اینترنت به یک سازمان قرار گیرد. دقیقاً همانجایی که اینترنت غیرامن به یک سازمان تزریق می گردد. پیشنهاد ما، قطعه سخت‌افزاریCisco ASA و یا Astaro Firewall می باشد. فراموش نشود استفاده از دو دستگاه همزمان موازی قطعاً نیاز ارجح هر سازمان می باشد چرا که با ایست، و توقف سرویس‌دهی یکی از قطعه‌ها، دستگاه دیگر کنترل ورودی ها و خروجی ها را بدست می‌گیرد. اما در برنامه نرم‌افزاری نیاز به نصب نرم‌افزار بر روی یک سرویس‌دهنده مرکزی دیوار آتش بوده که ورود اینترنت ناامن تنها از مسیر این سرویس‌دهنده مرکزی انجام پذیرد. باید توجه داشت در صورت تهیه قطعه‌های سخت‌افزاری خاصی استفاده نمود تا در قبل و بعد از قطعه مسیریاب‌ها قرار گیرد که در این صورت بهتر است تا از قطعه های Cisco ASA در دیواره داخلی و بعد از قطعه مسیرباب‌ها استفاده نمود.

در مرحله چهارم امن سازی نیاز به وجود قطعه سخت‌افزاری دیگری به نام مسیریاب برای شبکه داخلی می‌باشد که ضمن قابلیت پیکربندی، برای نشان دادن مسیر ورودی ها و خروجی ها، اشتراک اینترنت، تنظیم ورودی ها و خروجی های دیوار آتشین، و همچنین خروج اطلاعات به شکل اینترنتی از سازمان به رایانه های شهری و یا بین شهری از طریق خطوط تلفن و ... استفاده نمود. پیشنهاد ما نیز محصولات شرکت معتبر Cisco میباشد.

در مرحله بعدی امن سازی یک سازمان نیاز به وجود دستگاه های تنظیم جریان برق و دستگاه های پشتیبان جریان برق اضطراری برای ارائه خدمات به صورت تمام وقت، بدون قطعی و تنظیم جریان برق، تمامی قطعه‌های سخت افزاری راهبر یک شبکه شامل تقسیم‌کنند‌ه‌ها، مسیریاب ها ، سرویس‌دهند‌ه‌هامی باشد. این سیستم به دلیل ایجاد خطرات احتمالی ناشی از قطع جریان برق نظیر از بین رفتن اطلاعات در حال ثبت بر روی سرویس‌دهنده ها، تقسیم کننده ها، مسیریاب ها می‌باشد.

به عنوان آخرین مرحله امن سازی، تهیه از اطلاعات و فایلهای مورد نیاز به صورت پشتیبان از برنامه‌های اصلی نرم‌‌افزاری بر روی یک سرویس‌دهنده پشتیبان ، آخرین لایه امن سازی درون سازمانی را تکمیل می نماید.
سامانه‌های تشخیص نفوذ (Intrusion Detection System) وظیفهٔ شناسایی و تشخیص هر گونه استفادهٔ غیرمجاز به سیستم، سوء استفاده و یا آسیب رسانی توسط هر دو دستهٔ کاربران داخلی و خارجی را بر عهده دارند. تشخیص و جلوگیری از نفوذ امروزه به عنوان یکی از مکانیزم‌های اصلی در برآوردن امنیت شبکه‌ها و سیستم‌های رایانه‌ای مطرح است و عمومأ در کنار دیواره‌های آتش و به صورت مکمل امنیتی برای آن‌ها مورد استفاده قرار می‌گیرند.
سامانه‌های تشخیص نفوذ به صورت سامانه‌های نرم‌افزاری و سخت‌افزاری ایجاد شده و هر کدام مزایا و معایب خاص خود را دارند. سرعت و دقت از مزایای سیستم‌های سخت‌افزاری است و عدم شکست امنیتی آن‌ها توسط نفوذگران، قابلیت دیگر این گونه سیستم‌ها می‌باشد. اما استفادهٔ آسان از نرم‌افزار، قابلیت سازگاری در شرایط نرم‌افزاری و تفاوت سیستم‌های عامل مختلف، عمومیت بیشتری را به سامانه‌های نرم‌افزاری می‌دهد و عمومأ این گونه سیستم‌ها انتخاب مناسب تری هستند. به طور کلی سه عملکرد اصلی IDS عبارت است از: نظارت و ارزیابی، کشف و واکنش. بر همین اساس هر IDS را می‌توان بر اساس روشهای تشخیص نفوذ، معماری و انواع پاسخ به نفوذ دسته‌بندی کرد.


روش‌های تشخیص نفوذویرایش

نفوذ به مجموعهٔ اقدامات غیرقانونی که صحت و محرمانگی و یا دسترسی به یک منبع را به خطر می‌اندازد، اطلاق می‌گردد. نفوذها می‌توانند به دو دستهٔ داخلی و خارجی تقسیم شوند. نفوذهای خارجی به آن دسته نفوذهایی گفته می‌شود که توسط افراد مجاز و یا غیرمجاز از خارج شبکه به درون شبکهٔ داخلی صورت می‌گیرد و نفوذهای داخلی توسط افراد مجاز در سیستم و شبکهٔ داخلی، از درون خود شبکه انجام می‌پذیرد. نفوذگرها عموماً از عیوب نرم‌افزاری، شکستن کلمات رمز، شنود میزان تردد در شبکه و نقاط ضعف طراحی در شبکه، سرویس‌ها و یا کامپیوترهای شبکه برای نفوذ به سیستم‌ها و شبکه‌های رایانه‌ای بهره می‌برند.
به منظور مقابله با نفوذگران به سیستم‌ها و شبکه‌های رایانه‌ای، روش‌های متعددی تحت عنوان روشهای تشخیص نفوذ ایجاد گردیده‌است که عمل نظارت بر وقایع اتفاق افتاده در یک سیستم یا شبکهٔ رایانه‌ای را بر عهده دارد. روش‌های تشخیص مورد استفاده در سامانه‌های تشخیص نفوذ به دو دسته تقسیم می‌شوند:

[list=1]
[*]روش تشخیص رفتار غیرعادی (anomaly detection)
[*]روش تشخیص سوءاستفاده یا تشخیص مبتنی بر امضاء(misuse detection)
[/list]
[*][size=undefined]
روش تشخیص رفتار غیرعادیویرایش
در این روش، یک نما از رفتار عادی ایجاد می‌شود. یک ناهنجاری ممکن است نشان دهندهٔ یک نفوذ باشد. برای ایجاد نماهای رفتار عادی از رویکردهایی از قبیل شبکه‌های عصبی، تکنیک‌های یادگیری ماشین و حتی سیستم‌های ایمنی زیستی استفاده می‌شود. برای تشخیص رفتار غیرعادی، باید رفتارهای عادی را شناسایی کرده و الگوها و قواعد خاصی برای آن‌ها پیدا کرد. رفتارهایی که از این الگوها پیروی می‌کنند، عادی بوده و رویدادهایی که انحرافی بیش از حد معمول آماری از این الگوها دارند، به عنوان رفتار غیرعادی تشخیص داده می‌شود. نفوذهای غیرعادی برای تشخیص بسیار سخت هستند، چون هیچگونه الگوی ثابتی برای نظارت وجود ندارد. معمولاً رویدادی که بسیار بیشتر یا کمتر از دو استاندارد انحراف از آمار عادی به وقوع می‌پیوندد، غیرعادی فرض می‌شود. به عنوان مثال اگر کاربری به جای یک یا دو بار ورود و خروج عادی به سیستم در طول روز، بیست بار این کار را انجام دهد، و یا رایانه‌ای که در ساعت ۲:۰۰ بعد از نیمه شب مورد استفاده قرار گرفته در حالی که قرار نبوده کامپیوتر فوق پس از ساعت اداری روشن باشد. هر یک از این موارد می‌تواند به عنوان یک رفتار غیرعادی در نظر گرفته شود.
روش تشخیص سوءاستفاده یا تشخیص مبتنی بر امضاءویرایش
در این تکنیک که معمولاًبا نام تشخیص مبتنی بر امضاء شناخته شده‌است، الگوهای نفوذ از پیش ساخته شده (امضاء) به صورت قانون نگهداری می‌شوند. به طوری که هر الگو انواع متفاوتی از یک نفوذ خاص را دربر گرفته و در صورت بروز چنین الگویی در سیستم، وقوع نفوذ اعلام می‌شود. در این روش‌ها، معمولاً تشخیص دهنده دارای پایگاه داده‌ای از امضاءها یا الگوهای حمله‌است و سعی می‌کند با بررسی ترافیک شبکه، الگوهای مشابه با آنچه را که در پایگاه دادهٔ خود نگهداری می‌کند، بیابد. این دسته از روش‌ها تنها قادر به تشخیص نفوذهای شناخته شده می‌باشند و در صورت بروز حملات جدید در سطح شبکه، نمی‌توانند آن‌ها را شناسایی کنند و مدیر شبکه باید همواره الگوی حملات جدید را به سامانه تشخیص نفوذ اضافه کند. از مزایای این روش دقت در تشخیص نفوذهایی است که الگوی آن‌ها عیناً به سیستم داده شده‌است.

معماری سامانه‌های تشخیص نفوذویرایش

معماری‌های مختلف سامانه تشخیص نفوذ عبارتند از:[/size]


[list=1]
[*]سامانه تشخیص نفوذ مبتنی بر میزبان (HIDS)
[*]سامانه تشخیص نفوذ مبتنی بر شبکه (NIDS)
[*]سامانه تشخیص نفوذ توزیع شده (DIDS)
[/list]


[*][size=undefined]
سامانه تشخیص نفوذ مبتنی بر میزبانویرایش
این سیستم، شناسایی و تشخیص فعالیت‌های غیرمجاز بر روی رایانه میزبان را بر عهده دارد. سامانه تشخیص نفوذ مبتنی بر میزبان می‌تواند حملات و تهدیداتی را روی سیستم‌های بحرانی تشخیص دهد (شامل دسترسی به فایل‌ها، اسب‌های تروا و …) که توسط سامانه‌های تشخیص نفوذ مبتنی بر شبکه قابل تشخیص نیستند. اچ‌آی‌دی‌اس (HIDS) فقط از میزبان‌هایی که روی آن‌ها مستقر است محافظت می‌کند و کارت واسط شبکهٔ (NIC) آن‌ها به صورت پیش فرض در حالت باقاعده ۵ کار می‌کند. حالت باقاعده در بعضی از موارد می‌تواند مفید باشد چون همهٔ کارت‌های واسط شبکه قابلیت حالت بی قاعده را ندارند. اچ‌آی‌دی‌اس‌ها به واسطهٔ مکان شان روی میزبانی که باید نظارت شود، از همهٔ انواع اطلاعات محلی اضافی با پیاده‌سازی‌های امنیتی (شامل فراخوانی‌های سیستمی، تغییرات فایل‌های سیستمی و اتصالات سیستم) مطلع می‌باشند. این مسئله هنگام ترکیب با ارتباطات شبکه‌ای، داده‌های خوبی را برای جستجوی رویدادهای ممکن فراهم می‌کند.
سامانه تشخیص نفوذ مبتنی بر شبکهویرایش
شناسایی و تشخیص نفوذهای غیرمجاز قبل از رسیدن به سیستمهای بحرانی، به عهدهٔ سامانه تشخیص نفوذ مبتنی بر شبکه‌است. ان‌آی‌دی‌اس‌ها (NIDS)، به عنوان دومین نوع IDSها، در بسیاری از موارد عملاً یک Sniffer هستند که با بررسی بسته‌ها و پروتکل‌های ارتباطات فعال، به جستجوی تلاش‌هایی که برای حمله صورت می‌گیرد می‌پردازند. به عبارت دیگر معیار ان‌آی‌دی‌اس‌ها، تنها بسته‌هایی است که بر روی شبکه‌ها رد و بدل می‌گردد. از آن جایی که ان‌آی‌دی‌اس‌ها تشخیص را به یک سیستم منفرد محدود نمی‌کنند، عملاً گستردگی بیش تری داشته و فرایند تشخیص را به صورت توزیع شده انجام می‌دهند. با این وجود این سیستم‌ها در رؤیایی با بسته‌های رمزشده و یا شبکه‌هایی با سرعت و ترافیک بالاکارایی خود را از دست می‌دهند.
سامانه تشخیص نفوذ توزیع شده (DIDS)ویرایش
این سیستم‌ها از چندین NIDS یا HIDS یا ترکیبی از این دو نوع همراه یک ایستگاه مدیریت مرکزی تشکیل شده‌است. بدین صورت که هر IDS که در شبکه موجود است گزارش‌های خود را برای ایستگاه مدیریت مرکزی ارسال می‌کند. ایستگاه مرکزی وظیفه بررسی گزارش‌های رسیده و آگاه‌سازی مسئول امنیتی سیستم را برعهده دارد. این ایستگاه مرکزی همچنین وظیفه به روزرسانی پایگاه قوانین تشخیص هر یک از IDSهای موجود در شبکه را برعهده دارد. اطلاعات در ایستگاه مدیریت مرکزی ذخیره می‌شود. شبکه بین ان‌آی‌دی‌اس‌ها با سامانه مدیریت مرکزی می‌تواند خصوصی باشد و یا این که از زیرساخت موجود برای ارسال داده‌ها استفاده شود. وقتی از شبکهٔ موجود برای ارسال داده‌های مدیریتی استفاده شود، امنیت‌های اضافی به وسیلهٔ رمزنگاری یا فناوری شبکه‌های خصوصی مجازی(VPN)حاصل می‌گردد.

روش‌های برخورد و پاسخ به نفوذویرایش

قابلیت دیگر برخی از IDSها این است که با در دست داشتن اطلاعات وقایع و تجزیه و تحلیل الگوهای حملات به آن‌ها پاسخ می‌دهد. پاسخ در IDSها به دو شکل غیرفعال و فعال تقسیم می‌شوند که نوع غیرفعال به پاسخ برون خطی نیز معروف است.
پاسخ غیرفعال در سامانه تشخیص نفوذویرایش
این IDSها، به مدیر امنیتی سیستم اطلاعاتی دربارهٔ حمله توسط تلفن همراه، نامهٔ الکترونیکی، پیام روی صفحهٔ رایانه یا پیامی برای کنسول SNMP می‌دهند. این اطلاعات شامل موارد زیر است:[/size]


[list]
[*]آدرس IP منبع حمله
[*]آدرس IP مقصد حمله
[*]نتیجهٔ حمله
[*]ابزار یا مکانیزم‌های مورد استفاده برای مهار حمله
[*]گزارش‌ها و اتصال‌ها حمله‌های سیستم و رویدادهای مربوطه
[/list]



[*][size=undefined]
پاسخ فعال در سامانه تشخیص نفوذویرایش
سامانه‌های تشخیص نفوذ از لحظه‌ای که به کار می‌افتند، ضمن به دست آوردن اطلاعات مربوط به رخدادها و تجزیه و تحلیل آن‌ها، اگر نشان‌هایی دال بر وقوع یک حمله را تشخیص دهند، پاسخ لازم را در قبال آن به نحوه‌های مختلف تولید می‌کنند. گاهی این پاسخ به صورت یک هشدار به مدیر شبکه‌است و گاهی نوشتن یک اطلاع در فایل رخدادها و یا به صورت تنظیم مجدد دیوارهٔ آتش و یا دستگاه‌های دیگری در شبکه‌است. IDSهای فعال هر نفوذی را که تشخیص دهد به طور خودکار پاسخ می‌دهند و خود به سه دسته تقسیم می‌شوند:[/size]


[list=1]
[*]پاسخ فعال براساس جمع‌آوری اطلاعات اضافی
[*]پاسخ فعال از نوع تغییر محیط
[*]پاسخ فعال از نوع عکس العمل در مقابل 
[/list]
کلیات امنیت شبکه کامپیوتری

حفاظت، پشتیبانی و نگهداری از داده‌های رایانه‌ای، اطلاعات مهم، برنامه‌های حساس، نرم‌افزارهای مورد نیاز و یا هر آنچه که در حافظه جانبی رایانه مورد توجه بوده و با اهمیت می‌باشد، امنیت رایانه‌ای نامیده می‌شود. تفکر امنیت در شبکه برای دستیابی به سه عامل مهم است که با یک دیگر مثلث امنیتی را تشکیل می دهند. این عوامل عبارتند از راز داری و امانت داری (Confidentiality)، یکپارچگی (Integrity) و در نهایت در دسترس بودن همیشگی (Availability). این سه عامل (CIA) اصول اساسی امنیت اطلاعات - در شبکه و یا بیرون آن - را تشکیل می دهند بگونه ای که تمامی تمهیدات لازمی که برای امنیت شبکه اتخاذ میشود و یا تجهیزاتی که ساخته می شوند، همگی ناشی از نیاز به اعمال این سه پارامتر در محیط های نگهداری و تبادل اطلاعات است. 

Confidentiality

به معنای آن است که اطلاعات فقط در دسترس کسانی قرار گیرد که به آن نیاز دارند و اینگونه تعریف شده است. بعنوان مثال از دست دادن این خصیصه امنیتی معادل است با بیرون رفتن قسمتی از پرونده محرمانه یک شرکت و امکان دسترسی به آن توسط مطبوعات. 

Integrity

بیشتر مفهومی است که به علوم سیستمی باز می گردد و بطور خلاصه می توان آنرا اینگونه تعریف کرد:
- تغییرات در اطلاعات فقط باید توسط افراد یا پروسه های مشخص و مجاز انجام گیرد.
- تغییرات بدون اجازه و بدون دلیل حتی توسط افراد یا پروسه های مجاز نباید صورت بگیرد. 
- یکپارچگی اطلاعات باید در درون و بیرون سیستم حفظ شود. به این معنی که یک داده مشخص چه در درون سیستم و چه در خارج آن باید یکسان باشد و اگر تغییر می کند باید همزمان درون و برون سیستم از آن آگاه شوند. 

Availability

این پارامتر ضمانت می کند که یک سیستم - مثلا اطلاعاتی - همواره باید در دسترس باشد و بتواند کار خود را انجام دهد. بنابراین حتی اگر همه موارد ایمنی مد نظر باشد اما عواملی باعث خوابیدن سیستم شوند - مانند قطع برق - از نظر یک سیستم امنیتی این سیستم ایمن نیست. 

اما جدای از مسائل بالا مفاهیم و پارامترهای دیگری نیز هستند که با وجود آنکه از همین اصول گرفته می شوند برای خود شخصیت جداگانه ای پیدا کرده اند. در این میان می توان به مفاهیمی نظیر Identification به معنی تقاضای شناسایی به هنگام دسترسی کاربر به سیستم، Authentication به معنی مشخص کردن هویت کاربر، Authorization به معنی مشخص کردن میزان دسترسی کاربر به منابع، Accountability به معنی قابلیت حسابرسی از عملکرد سیستم و ... اشاره کرد. 

امنیت در یک شبکه به 2 روش صورت می پذیرد. 1- برنامه های نر‌م‌افزاری 2- قطعه‌های سخت‌افزاری. در بهترین حالت از برنامه های نرم افزاری و قطعات سخت افزاری بطور همزمان استفاده می گردد. عموماً برنامه‌های نرم‌افزاری شامل برنامه‌های ضدمخرب (مخرب‌ها شامل ویروس، کرم‌های مهاجم، اسب‌های تراوا، مخفی‌شده‌ها و .... ) و دیوار آتش می‌باشد. قطعات سخت‌افزاری نیز عموماً شامل دیوار آتش می‌شود. این قطعه‌ها موجب کنترل درگاه‌های ورودی و خروجی به رایانه و شناخت کامل از حمله‌کننده‌ها بخصوص نشانه‌های خاص مهاجم را ایجاد می نماید. 

فراموش نکنیم که شرکت مایکروسافت به عنوان عرضه‌کننده سیستم های عامل نسل Windows (که در حال حاضر پرمصرف ترین گروه سیستم‌های عامل را تشکیل می دهد)، به یک برنامه نرم‌ افزاری دیوار آتش بصورت پیش‌ فرض مجهز می باشد، که می‌تواند تا امنیت را هر چند کم، برای کاربران سیستم‌های عامل خود فراهم نماید اما قطعا ًاین نرم افزار به تنهایی کفایت امن سازی رایانه را تأمین نمی نماید. اما در اولین مرحله امن سازی یک شبکه ابتدا باید سازمان را به یک برنامه ضدمخرب قوی مانندَAntivir, Symantec, Kaspersky, Nod32, BitDefender, Norton, Panda، Mac با قابلیت بروزآوری مجهز نمود، تا بتواند در مقابل حمله برنامه های مخرب واکنش مناسبی ارائه نماید. برنامه Antivir می تواند یک انتخاب مناسب در این زمینه باشد. چرا که این برنامه قابلیت بروزآوری را بطور مداوم دارا می‌باشد و خود برنامه نیز هر 6 ماه یکبار ویرایش می‌گردد تا از موتور جستجوگر قوی تر و بهینه‌تری برای یافتن برنامه های مخرب بهره گیرد. خرید نسخه اصلی این نرم‌افزار توصیه می‌گردد، چرا که در صورت بروز مشکل شرکت اصلی نسبت به پشتیبانی از رایانه‌های شما اقدام لازم را در اسرع وقت به انجام می‌رساند.

در مرحله دوم امن سازی یک شبکه باید از دستگاه تقسیم‌کننده استفاده نمود. دستگاه های فوق خود بر دومدل قابل تنظیم و پیکربندی و غیرقابل تنظیم و غیر قابل پیکربندی تقسیم می شوند. ممکن است در گروه اول نیز قطعاتی یافت شود که تنظیمات جزئی پیکربندی را انجام دهند اما بطور کامل و با تمامی امکاناتی که در گروه دوم قطعات دیده می شوند، مجهز نمی‌باشند. عموماً این دستگاه تقسیم کننده از مدل Core و برای ارتباط سرویس‌دهنده‌های مرکزی به یکدیگر و انجام خدمات به شبکه داخلی یا دنیای اینترنت تهیه می‌شود و در لایه اصلی تقسیم ارتباط شبکه، از طرف سرویس‌دهنده‌های مرکزی به سرویس‌ گیرنده های داخلی و بالعکس قرار گیرد. این قطعه می تواند از تکثیر یک برنامه ضدمخرب و همچنین ورود و خروج مهاجمان پنهان، در درون شبکه داخلی از یک رایانه به رایانه دیگر تا حد بسیار زیادی جلوگیری نماید. اما اگر تعداد کاربران و سرویس‌گیرنده‌های یک سازمان بیش از تعداد درگاههای خروجی یک تقسیم‌کننده مرکزی Core Switch‌ باشد، در این صورت از تقسیم کننده های دیگری که قابلیت پیکربندی را دارا بوده و مقرون به صرفه نیز می‌باشند، می‌توان استفاده نمود، تا کنترل ورودی و خروجی های هر طبقه یا واحد را بیمه نماییم. در مورد قطعات سخت افزاری تقسیم کننده Cisco Switch گزینه مناسبی می باشد که برترین نام جهانی را در این زمینه به خود اختصاص داده و با بروزآوری قطعات خود و همچنین آموزش متخصصان خود سهم بزرگی در این بحث ایفا می نماید. 

در مرحله سوم امن سازی، نیاز به خرید برنامه نرم افزاری و یا قطعه سخت‌ افزاری دیوار آتش احساس می شود. بیشترین تأکید بر روی قطعه سخت افزاری استوار است زیرا که از ثبات، قدرت بیشتر و ایرادات کمتری نسبت به نرم افزارهای مشابه خود برخوردار است. قطعه سخت‌افزاری دژ ایمن می بایست در مسیر ورودی اینترنت به یک سازمان قرار گیرد. دقیقاً همانجایی که اینترنت غیرامن به یک سازمان تزریق می گردد. پیشنهاد ما، قطعه سخت‌افزاریCisco ASA و یا Astaro Firewall می باشد. فراموش نشود استفاده از دو دستگاه همزمان موازی قطعاً نیاز ارجح هر سازمان می باشد چرا که با ایست، و توقف سرویس‌دهی یکی از قطعه‌ها، دستگاه دیگر کنترل ورودی ها و خروجی ها را بدست می‌گیرد. اما در برنامه نرم‌افزاری نیاز به نصب نرم‌افزار بر روی یک سرویس‌دهنده مرکزی دیوار آتش بوده که ورود اینترنت ناامن تنها از مسیر این سرویس‌دهنده مرکزی انجام پذیرد. باید توجه داشت در صورت تهیه قطعه‌های سخت‌افزاری خاصی استفاده نمود تا در قبل و بعد از قطعه مسیریاب‌ها قرار گیرد که در این صورت بهتر است تا از قطعه های Cisco ASA در دیواره داخلی و بعد از قطعه مسیرباب‌ها استفاده نمود. 

در مرحله چهارم امن سازی نیاز به وجود قطعه سخت‌افزاری دیگری به نام مسیریاب برای شبکه داخلی می‌باشد که ضمن قابلیت پیکربندی، برای نشان دادن مسیر ورودی ها و خروجی ها، اشتراک اینترنت، تنظیم ورودی ها و خروجی های دیوار آتشین، و همچنین خروج اطلاعات به شکل اینترنتی از سازمان به رایانه های شهری و یا بین شهری از طریق خطوط تلفن و ... استفاده نمود. پیشنهاد ما نیز محصولات شرکت معتبر Cisco میباشد. 

در مرحله بعدی امن سازی یک سازمان نیاز به وجود دستگاه های تنظیم جریان برق و دستگاه های پشتیبان جریان برق اضطراری برای ارائه خدمات به صورت تمام وقت، بدون قطعی و تنظیم جریان برق، تمامی قطعه‌های سخت افزاری راهبر یک شبکه شامل تقسیم‌کنند‌ه‌ها، مسیریاب ها ، سرویس‌دهند‌ه‌هامی باشد. این سیستم به دلیل ایجاد خطرات احتمالی ناشی از قطع جریان برق نظیر از بین رفتن اطلاعات در حال ثبت بر روی سرویس‌دهنده ها، تقسیم کننده ها، مسیریاب ها می‌باشد.

به عنوان آخرین مرحله امن سازی، تهیه از اطلاعات و فایلهای مورد نیاز به صورت پشتیبان از برنامه‌های اصلی نرم‌‌افزاری بر روی یک سرویس‌دهنده پشتیبان ، آخرین لایه امن سازی درون سازمانی را تکمیل می نماید.
لیات امنیت شبکه کامپیوتری

حفاظت، پشتیبانی و نگهداری از داده‌های رایانه‌ای، اطلاعات مهم، برنامه‌های حساس، نرم‌افزارهای مورد نیاز و یا هر آنچه که در حافظه جانبی رایانه مورد توجه بوده و با اهمیت می‌باشد، امنیت رایانه‌ای نامیده می‌شود. تفکر امنیت در شبکه برای دستیابی به سه عامل مهم است که با یک دیگر مثلث امنیتی را تشکیل می دهند. این عوامل عبارتند از راز داری و امانت داری (Confidentiality)، یکپارچگی (Integrity) و در نهایت در دسترس بودن همیشگی (Availability). این سه عامل (CIA) اصول اساسی امنیت اطلاعات - در شبکه و یا بیرون آن - را تشکیل می دهند بگونه ای که تمامی تمهیدات لازمی که برای امنیت شبکه اتخاذ میشود و یا تجهیزاتی که ساخته می شوند، همگی ناشی از نیاز به اعمال این سه پارامتر در محیط های نگهداری و تبادل اطلاعات است. 

Confidentiality

به معنای آن است که اطلاعات فقط در دسترس کسانی قرار گیرد که به آن نیاز دارند و اینگونه تعریف شده است. بعنوان مثال از دست دادن این خصیصه امنیتی معادل است با بیرون رفتن قسمتی از پرونده محرمانه یک شرکت و امکان دسترسی به آن توسط مطبوعات. 

Integrity

بیشتر مفهومی است که به علوم سیستمی باز می گردد و بطور خلاصه می توان آنرا اینگونه تعریف کرد:
- تغییرات در اطلاعات فقط باید توسط افراد یا پروسه های مشخص و مجاز انجام گیرد.
- تغییرات بدون اجازه و بدون دلیل حتی توسط افراد یا پروسه های مجاز نباید صورت بگیرد. 
- یکپارچگی اطلاعات باید در درون و بیرون سیستم حفظ شود. به این معنی که یک داده مشخص چه در درون سیستم و چه در خارج آن باید یکسان باشد و اگر تغییر می کند باید همزمان درون و برون سیستم از آن آگاه شوند. 

Availability

این پارامتر ضمانت می کند که یک سیستم - مثلا اطلاعاتی - همواره باید در دسترس باشد و بتواند کار خود را انجام دهد. بنابراین حتی اگر همه موارد ایمنی مد نظر باشد اما عواملی باعث خوابیدن سیستم شوند - مانند قطع برق - از نظر یک سیستم امنیتی این سیستم ایمن نیست. 

اما جدای از مسائل بالا مفاهیم و پارامترهای دیگری نیز هستند که با وجود آنکه از همین اصول گرفته می شوند برای خود شخصیت جداگانه ای پیدا کرده اند. در این میان می توان به مفاهیمی نظیر Identification به معنی تقاضای شناسایی به هنگام دسترسی کاربر به سیستم، Authentication به معنی مشخص کردن هویت کاربر، Authorization به معنی مشخص کردن میزان دسترسی کاربر به منابع، Accountability به معنی قابلیت حسابرسی از عملکرد سیستم و ... اشاره کرد. 

امنیت در یک شبکه به 2 روش صورت می پذیرد. 1- برنامه های نر‌م‌افزاری 2- قطعه‌های سخت‌افزاری. در بهترین حالت از برنامه های نرم افزاری و قطعات سخت افزاری بطور همزمان استفاده می گردد. عموماً برنامه‌های نرم‌افزاری شامل برنامه‌های ضدمخرب (مخرب‌ها شامل ویروس، کرم‌های مهاجم، اسب‌های تراوا، مخفی‌شده‌ها و .... ) و دیوار آتش می‌باشد. قطعات سخت‌افزاری نیز عموماً شامل دیوار آتش می‌شود. این قطعه‌ها موجب کنترل درگاه‌های ورودی و خروجی به رایانه و شناخت کامل از حمله‌کننده‌ها بخصوص نشانه‌های خاص مهاجم را ایجاد می نماید. 

فراموش نکنیم که شرکت مایکروسافت به عنوان عرضه‌کننده سیستم های عامل نسل Windows (که در حال حاضر پرمصرف ترین گروه سیستم‌های عامل را تشکیل می دهد)، به یک برنامه نرم‌ افزاری دیوار آتش بصورت پیش‌ فرض مجهز می باشد، که می‌تواند تا امنیت را هر چند کم، برای کاربران سیستم‌های عامل خود فراهم نماید اما قطعا ًاین نرم افزار به تنهایی کفایت امن سازی رایانه را تأمین نمی نماید. اما در اولین مرحله امن سازی یک شبکه ابتدا باید سازمان را به یک برنامه ضدمخرب قوی مانندَAntivir, Symantec, Kaspersky, Nod32, BitDefender, Norton, Panda، Mac با قابلیت بروزآوری مجهز نمود، تا بتواند در مقابل حمله برنامه های مخرب واکنش مناسبی ارائه نماید. برنامه Antivir می تواند یک انتخاب مناسب در این زمینه باشد. چرا که این برنامه قابلیت بروزآوری را بطور مداوم دارا می‌باشد و خود برنامه نیز هر 6 ماه یکبار ویرایش می‌گردد تا از موتور جستجوگر قوی تر و بهینه‌تری برای یافتن برنامه های مخرب بهره گیرد. خرید نسخه اصلی این نرم‌افزار توصیه می‌گردد، چرا که در صورت بروز مشکل شرکت اصلی نسبت به پشتیبانی از رایانه‌های شما اقدام لازم را در اسرع وقت به انجام می‌رساند.

در مرحله دوم امن سازی یک شبکه باید از دستگاه تقسیم‌کننده استفاده نمود. دستگاه های فوق خود بر دومدل قابل تنظیم و پیکربندی و غیرقابل تنظیم و غیر قابل پیکربندی تقسیم می شوند. ممکن است در گروه اول نیز قطعاتی یافت شود که تنظیمات جزئی پیکربندی را انجام دهند اما بطور کامل و با تمامی امکاناتی که در گروه دوم قطعات دیده می شوند، مجهز نمی‌باشند. عموماً این دستگاه تقسیم کننده از مدل Core و برای ارتباط سرویس‌دهنده‌های مرکزی به یکدیگر و انجام خدمات به شبکه داخلی یا دنیای اینترنت تهیه می‌شود و در لایه اصلی تقسیم ارتباط شبکه، از طرف سرویس‌دهنده‌های مرکزی به سرویس‌ گیرنده های داخلی و بالعکس قرار گیرد. این قطعه می تواند از تکثیر یک برنامه ضدمخرب و همچنین ورود و خروج مهاجمان پنهان، در درون شبکه داخلی از یک رایانه به رایانه دیگر تا حد بسیار زیادی جلوگیری نماید. اما اگر تعداد کاربران و سرویس‌گیرنده‌های یک سازمان بیش از تعداد درگاههای خروجی یک تقسیم‌کننده مرکزی Core Switch‌ باشد، در این صورت از تقسیم کننده های دیگری که قابلیت پیکربندی را دارا بوده و مقرون به صرفه نیز می‌باشند، می‌توان استفاده نمود، تا کنترل ورودی و خروجی های هر طبقه یا واحد را بیمه نماییم. در مورد قطعات سخت افزاری تقسیم کننده Cisco Switch گزینه مناسبی می باشد که برترین نام جهانی را در این زمینه به خود اختصاص داده و با بروزآوری قطعات خود و همچنین آموزش متخصصان خود سهم بزرگی در این بحث ایفا می نماید. 

در مرحله سوم امن سازی، نیاز به خرید برنامه نرم افزاری و یا قطعه سخت‌ افزاری دیوار آتش احساس می شود. بیشترین تأکید بر روی قطعه سخت افزاری استوار است زیرا که از ثبات، قدرت بیشتر و ایرادات کمتری نسبت به نرم افزارهای مشابه خود برخوردار است. قطعه سخت‌افزاری دژ ایمن می بایست در مسیر ورودی اینترنت به یک سازمان قرار گیرد. دقیقاً همانجایی که اینترنت غیرامن به یک سازمان تزریق می گردد. پیشنهاد ما، قطعه سخت‌افزاریCisco ASA و یا Astaro Firewall می باشد. فراموش نشود استفاده از دو دستگاه همزمان موازی قطعاً نیاز ارجح هر سازمان می باشد چرا که با ایست، و توقف سرویس‌دهی یکی از قطعه‌ها، دستگاه دیگر کنترل ورودی ها و خروجی ها را بدست می‌گیرد. اما در برنامه نرم‌افزاری نیاز به نصب نرم‌افزار بر روی یک سرویس‌دهنده مرکزی دیوار آتش بوده که ورود اینترنت ناامن تنها از مسیر این سرویس‌دهنده مرکزی انجام پذیرد. باید توجه داشت در صورت تهیه قطعه‌های سخت‌افزاری خاصی استفاده نمود تا در قبل و بعد از قطعه مسیریاب‌ها قرار گیرد که در این صورت بهتر است تا از قطعه های Cisco ASA در دیواره داخلی و بعد از قطعه مسیرباب‌ها استفاده نمود. 

در مرحله چهارم امن سازی نیاز به وجود قطعه سخت‌افزاری دیگری به نام مسیریاب برای شبکه داخلی می‌باشد که ضمن قابلیت پیکربندی، برای نشان دادن مسیر ورودی ها و خروجی ها، اشتراک اینترنت، تنظیم ورودی ها و خروجی های دیوار آتشین، و همچنین خروج اطلاعات به شکل اینترنتی از سازمان به رایانه های شهری و یا بین شهری از طریق خطوط تلفن و ... استفاده نمود. پیشنهاد ما نیز محصولات شرکت معتبر Cisco میباشد. 

در مرحله بعدی امن سازی یک سازمان نیاز به وجود دستگاه های تنظیم جریان برق و دستگاه های پشتیبان جریان برق اضطراری برای ارائه خدمات به صورت تمام وقت، بدون قطعی و تنظیم جریان برق، تمامی قطعه‌های سخت افزاری راهبر یک شبکه شامل تقسیم‌کنند‌ه‌ها، مسیریاب ها ، سرویس‌دهند‌ه‌هامی باشد. این سیستم به دلیل ایجاد خطرات احتمالی ناشی از قطع جریان برق نظیر از بین رفتن اطلاعات در حال ثبت بر روی سرویس‌دهنده ها، تقسیم کننده ها، مسیریاب ها می‌باشد.

به عنوان آخرین مرحله امن سازی، تهیه از اطلاعات و فایلهای مورد نیاز به صورت پشتیبان از برنامه‌های اصلی نرم‌‌افزاری بر روی یک سرویس‌دهنده پشتیبان ، آخرین لایه امن سازی درون سازمانی را تکمیل می نماید.
با سلام خدمت دوستان 
من پاسخ دوستان رو که خوندم به معنای واقعی ~وحدت کلمه~ رو لمس کردم Smile 
.
.
.
یک حرف هم کم و زیاد نشده بود توی پاسخ ها 
از همگی ممنونم Big Grin