متفرقه

پایان نامه تدابیر ایمنی و امنیتی پدافند غیر عامل در محیطهای IT

 

واحد تهران جنوب
دانشکده تحصیلات تکمیلی

سمینار برای دریافت درجه کارشناسی ارشد
“M.Sc”
مهندسی کامپیوتر – نرم افزار

عنوان :
تدابیر ایمنی و امنیتی پدافند غیر عامل در محیطهای IT

استاد راهنما :
دکتر ناصر مدیری

نگارش :
منیر سادات شاه ولایتی

خردادماه 1388

أ

ب

دانشگاه آزاد اسلامی
واحد تهران جنوب
دانشکده تحصیلات تکمیلی

سمینار برای دریافت درجه کارشناسی ارشد
“M.Sc”
مهندسی کامپیوتر – نرم افزار

عنوان :
تدابیر ایمنی و امنیتی پدافند غیر عامل در محیطهای IT

نگارش :
منیر سادات شاه ولایتی

-1 استاد راهنما : دکتر ناصر مدیری

2 -مدیر گروه : دکتر محمدرضا صالح نمدی

1388 17/3/ : دفاعیه تاریخ

ج
تقدیم به عزیزانم:
پدر ، مادر ، همسر و یگانه دخترم ، که با صبری به گستردگی آسما ن و قلبی به گرمی خورشید
مرا در طی طریق زندگی یاری نمودند و خواهند نمود و به بار نشستن هدفم بواسطه ی باران
محبت و حمایت بی دریغ آنان بود .
د
سپاسگزاری

با سپاس بی اندازه از خداوند متعال و قدردانی و تشکر فراوان از استاد ارجمند جناب آقای
دکترناصر مدیری که مرا در حصول نتیجه، مورد راهنمایی و حمایت های ارزشمند شان قرار
دادند. بدیهی است که پیشنهادات وانتقادات سازنده ی استاد گرامی مرا در بهبود کار و انجام
هرچه بهتراین سمینار یاری نمود. یابه ن امید که این سمینار در جهت ارتقای سطح علمی و
تشویق دانشجویان پرتلاش ، دریچه ای هرچند کوچک را بگشاید.

فهرست مطالب
عنوان مطالب شماره صفحه

چکیده …………………………………………………………………………………. 1
مقدمه ………………………………………………………………………………….. 2
فصل اول : کلیات
4 ……………………………………………………………………………هدف 1 -1( °
4 …………………………………………………………………..تحقیق پیشینه 1 -2( °
° )3 -1 روش کار و تحقیق ……………………………………………………………… 5
فصل دوم : اصول و مبانی پدافند غیر عامل
° 1 -2 ( مفهوم پدافند غیرعامل………………………………………………………. .. 7
° )2 -2 ضرورت وجود پدافند غیر عامل………………………………………………… 7
° 3 -2 ( قابلیت های پدافند غیر عامل ………………………………………………….. 8
° )4 -2 اصول پدافند غیرعامل ………………………………………………………. … 8
9 …………………………………………………………………….کلان اهداف ) 2 -5 °
9 ……………………………………………………………………….. راهبردها 2 -6 ( °
فصل سوم : شیوه چیدمان، کلاسه بندی و دستورالعملهای پدافند غیر عامل
جهت پیشگیری و کاهش نفوذ به محیطهای IT
° )1 -3 سه استرانژی مهم برای ایمن سازی فضای IT ……………………………….. 12
° 2 -3 ( ضرورت تامین پدافند غیر عامل در محیطهای IT .. …………………………..12
° 3 -3 ( تقسیم بندی تدابیر ایمنی پدافند غیر عامل در زمینه IT ……………………. 13
14 …………………………………………………………………فیزیکی تدابیر ) 3 -4 °
14 …………………………………………….IT محیطهای فیزیکی امنیت ) 3 -4-1 °
° 1-1-4 -3 ( مکان و مشخصات ساختمانی محیط………………………………… 15
16 …………………………………………….الکتریسیته و تغذیه منبع ) 3 -4-1-2 °
17 ……………………………………………………………… دیوارها ) 3 -4-1-3 °
° ) 4-1-4 -3 خنک سازی ،تهویه هوا و رطوبت……………………………………. 17
° 5-1-4 -3 ( کنترل،تشخیص و پیشگیری از حریق……………………………….. 17
18 ……………………………………….نظارتی سیستمهای از استفاده 3 -4-1-6 ( °
18 ……………………………………………………… کاذب کف قاب ) 3 -4-1-7 °
و
فهرست مطالب
عنوان مطالب شماره صفحه

° 8-1-4 -3 ( استفاده از امنیت فیزیکی لایه ای …………………………………… 18
° 9-1-4 -3 ( نگهداری نسخه های پشتیبان در مکانی امن…………………………. 19
19 ………………………………………….. فیزیکی دسترسی کنترل) 10 3 -4-1- °
° )2-4 -3 ارائه یک مدل از طراحی شبکه ارتباطی امن ………………………….. … 19
19 … ………………………….. CISCO شرکت SAFE معماری معرفی ) 3 -4-2-1 °
21 ………………………………………..SAFE معماری های ویژگی 3 -4-2-2( °
° 3-4 -3 ( نحوه چیدمان پیشگیرانه پدافند غیر عامل……………………………….. 22
° 5 -3 ( تدابیر منطقی پدافند غیر عامل ………………………………………………. 22
° ) 6 -3 دستورالعملهای امنیتی یا روش های انجام کار …………………………………. 24
° 1-6 -3 ( انواع آسیب پذیریها و تهدیدات موجود در محیط IT …………………… 26
29 ………………………………………………………. نفوذ کلی سناریوی 3 -6-2 ( °
° )3-6 -3 دستورالعملهای پیشگیرانه و کاهنده پدافند غیرعامل جهت تامین امنیت … 31
° 1-3-6 -3 ( ایمن نمودن سیستم های عامل و برنامه های کاربردی ……………… 31
° ) 2-3-6 -3 حذف سرویس های غیر ضروری…………………………………….. 31
31 ……………………………………………………………..عبور رمز ) 3 -6-3-3 °
° 4-3-6 -3 ( عدم اجرای برنامه هایی که منابع آنها تایید شده نیست(سیاست PKI (33
33 ………………………. E-mail ضمائم از برخی در محدودیت ایجاد ) 3 -6-3-5 °
° ) 6-3-6 -3 اعطای حداقل امتیاز به کاربران……………………………………… 34
35 …………………………………(Log Files ) رخداد ثبت فایلهای ) 3 -6-3-7 °
38 .. ………………………………………………………. شبکه چاپگر 3 -6-3-8 ( °
38 …………………………………………………….SNMP پروتکل 3 -6-3-9 ( °
38 ………………………………………………… شبکه امنیت تست) 10 3 -6-3- °
38 ………………………………………………نفوذ کاهش دستورالعملهای 3 -6-4 ( °
° )1-4-6 -3 آشنایی با Netstat و سوئیچ های آن ………………………………… 39
° 5-6 -3 ( ویژگیهای یک سیاست امنیتی خوب…………………………………….. 40
° ) 6-6 -3 راهکارهای کلی پیشگیری از حملات…………………………………….. 41
° 7-6 -3 ( اقدامات مؤثر برای به حداقل رساندن زمان برگشت به حالت اولیه……….. 42
ز
فهرست مطالب
عنوان مطالب شماره صفحه

° 8-6 -3 ( عوامل مؤثر در هزینه احیای سیستم ها پس از یک حمله ……………….. 43
° فصل چهارم:ارائه مدل شناسایی و ایمن سازی پدافند غیرعامل در محیطهای مبتنی بر IT
° )1 -4 اهداف ایجاد امنیت…………………………………………………………… 46
° )2 -4 انواع سیکل های امنیتی……………………………………………………… 46
° )3 -4 مفاهیم پایه در مدیریت و شناسایی خطر…………………………………….. 48
° )4 -4 سیکل بهینه پیشنهادی متناسب با پدافند غیرعامل………………………….. 49
51 ……………………………………………………………خطر شناسایی 4 -4-1( °
° )1-1-4 -4 انواع حملات در محیطهای کامپیوتری………………………………. 52
° )2-1-4 -4 تجزیه و تحلیل خطر در مورد سیستم عاملها………………………… 54
° )2-4 -4 شناسایی عوامل ایجاد خطر ……………………………………………… 55
° )3-4 -4 شناسایی عواقب ایجاد خطر……………………………………………… 56
57 … ………………………………………………………. خسارات ارزیابی 4 -4-4( °
59 ……………………………………………………….خطر سطوح تعیین 4 -4-5( °
° )6-4 -4 شناسایی راه حل های مختلف……………………………………………. 60
° )7-4 -4 انتخاب بهترین گزینه ها …………………………………………………. 61
62 .. ………………………………………………………. کنترل و بازنگری 4 -4-8( °
فصل پنجم : نتیجهگیری و پیشنهادات
نتیجهگیری و پیشنهادات…………………………………………………………… 64
منابع فارسی……………………………………………………………………….. 65
منابع انگلیسی………………………………………………………………………. 66
سایتهای علمی و اطلاعاتی………………………………………………………. … 67
چکیده انگلیسی…………………………………………………………………….. 68
ح
فهرست جداول
عنوان شماره صفحه

جدول : 1-3 تدابیر امنیت فیزیکی محیطهای IT ……………………………………. 14
جدول : 2-3 انواع سرورهای موجود در شبکه ……………………………………….. 24
° جدول : 3-3 نمونه پیکر بندی یک روتر نمونه مطابق استانداردهای Cisco …………24
°جدول : 4-3 آسیب پذیری های مهم برای سیستم های موجود در شبکه…………… 28
°جدول : 5-3 آسیب پذیری های مهم برای یک سیستم واحد……………………….. 29
°جدول : 6-3 ایجاد محدودیت در برخی از ضمائم Mail-E ………………………….33
°جدول : 7-3 طبقه بندی انواع داده برای ثبت و بازبینی………………………….. … 37
°جدول : 8-3 اقداماتی در لازم سازمانها و بخشهای دولتی ………………………….. . 41
°جدول : 9-3 اقداماتی در لازم زیر ساختهای فناوری اطلاعات و بخشهای خصوصی …. 42
°جدول -3: 10 عوامل مؤثر در هزینه احیای سیستم ها پس از یک حمله……………. 43
°جدول : 1-4 اهداف نفوذگران………………………………………………………. . 52
°جدول : 2-4 انواع حملات…………………………………………………………… 52
°جدول : 3-4 مرحله شنایایی خطر در مورد سیستم عامل ویندوز……………………. 54
° : 4 -4 جدول جدول شناسایی خطرات ………………………………………………. 59
° : 5 -4 جدول ماتریس احتمال وقوع خطر به شدت عواقب ………………………….. . 60
° جدول : 6-4 بررسی راه حل های مختلف ………………………………………….. 62

ط
فهرست شکل ها
عنوان شماره صفحه

° شکل : 1 -3 کاربرد تدابیر پدافندی در زمینه IT ……………………………………. 13
° شکل : 2 -3 تقسیم بندی تدابیر ایمنی پدافند غیر عامل در زمینه IT ……………….13
° شکل : 3 -3 مدل ارائه شده توسط شرکت سیسکو از یک شبکه سازمانی ……………. 20
° شکل : 4 -3 بلوک دیاگرام معماری SAFE ………………………………………….21
° شکل : 5 -3 دیوارهای آتش مورد نیاز برای ایجاد پدافند غیر عامل در شبکه ………… 22
° شکل : 6 -3 سناریوی به روز رسانی سیستم عامل یک روتر نمونه …………………… 25
° شکل : 7 -3 گامهای مربوط به سناریوی ارائه شده………………………………….. 25
° شکل : 1 -4 اولین سیکل امنیتی…………………………………………………….. 47
° شکل : 2 -4 دومین سیکل امنیتی…………………………………………………… 48
° شکل : 3 -4 سیکل امنیتی پیشنهادی……………………………………………….. 50
° شکل : 4 -4 شکل کلی درخت تحلیل خطا ………………………………………….. 55
° شکل : 5 -4 درخت تحلیل خطا برای IE …………………………………………… 56
°

١
چکیده
فضای سایبر شامل اینترنت و دیگر شبکه های مبتنی بر کامپیوتر در حال تبدیل شدن به یکی از
مهمترین تاسیسات زیربنایی است که اجتماعات مدرن را توصیف می نماید. در میان این شبکه ها،
سیستم هایی وجود دارد که کنترل و مدیریت سایر تاسیسات زیربنایی مانند بانکها، سرویسهای حیاتی و
اورژانس، انتقال انرژی و خیلی از سیستم های نظامی را بر عهده دارند و خیلی از مراکز اقتصادی و ثبات
سیاسی و اجتماعی نیز ممکن است به این شبکه ها وابسته باشند. از طرفی اینترنت به عنوان دنیایی که
نسخه دیجیتال شده دنیای واقعی است، محیطی را ایجاد کرده است که در آن می توان انواع و اقسام
جرایم را شاهد بود. البته محصور بودن دنیای واقعی سبب می شود فرآیند کنترل در آن امکان پذیر باشد
ولی از آنجایی که محیط مجازی هیچ مرزی ندارد، مشکلات فراوانی پیش روی قانون گذار وجود خواهد
داشت. بنابراین ما نیاز داریم علاوه بر برقرار کردن حفاظتهای تکنیکی در شبکه ، هوشیاری و آگاهی
کامل ی نسبت به همه کاربران و خطرات همراه آنها در استفاده از سیستم های متصل به شبکه داشته
باشیم. نکته حیاتی در استراتژی های دفاعی نظارت مداوم بر شبکه و همچنین نوآوری در ایجاد
تکنیکهای جدید نظارتی بمنظور به حداقل رساندن عوامل ایجاد خطرات می باشد. در هر صورت در هر
استراتژی دفاعی که فی نفسه یک سیستم پیچیده می باشد، باید مراحلی وجود داشته باشد که که باعث
پیشگیری یا کاهش اثرات حملات گردد. این مراحل می تواند شامل مدیریت وقایع موجود در سازمان،
بازسازی مجدد پس از وقوع حمله و بهبود بخشیدن کارایی دفاعی ، بوسیله تحلیل و طراحی مجدد
المانهایی که مورد سوء استفاده جهت ایجاد نفوذ قرار گرفته اند باشد و قبل از وقوع حملات باید پیش
بینی گردند .

٢
مقدمه
در عصر کنونی با گسترش تکنولوژی اطلاعات یا IT ،گردش امور کشور ها از جمله امور اداری، اقتصادی،
آموزشی و سیاست به شبکه های کامپیوتری محول گردیده و البته در برخی از کشورها از جمله ایران
حرکتی برای اجرایی نمودن آن صورت گرفته است. بدلیل ساختار شکننده کنونی اینترنت، که در مقابل
تهدیدات امنیتی به تلنگری فرو می پاشد، لزوم تامین امنیت این شبکه و حفاظت از اطلاعات مبادلاتی بر
روی این بستر آشفته، امروزه بیش از پیش احساس می شود و عدم توجه به آن خسارات غیر قابل جبرانی
به پیکره آن کشور، سازمانهای فعال و تمام افراد درگیر با این شبکه ارتباطی وارد می کند. در ایران علاوه
بر مخاطرات فوق ، عدم وجود ستون فقرات انتقال اطلاعات باعث شده جریان اطلاعاتی کشورمان از
شاهراه های اطلاعاتی مغرب زمین عبور کند! و این موضوع نیز به نوبه خود ابتدای ناامنی محسوب می
شود و از طرفی توسعه دهندگان اینترنت در ایران که بیشتر از صنف تجارند تا متخصصین، به امنیت
اطلاعات کمتر توجه نموده و برای کاهش هزینه ها از کنار آن به سادگی می گذرند ! بحث امنیت در
اینترنت بحث گسترده ای است و امروزه لازم است یک مجموعه از پارامترهای امنیتی در کنار هم قرار
گیرند تا بتوانند امنیت را در حد مطلوب برای یک شبکه و سیستمهای منفرد فعال در این شبکه حفظ
نمایند. امنیت در اینترنت، رهیافتی است برای حفاظت از اطلاعات مبادلاتی و سیستم های مرتبط با آن
در بستر شبکه گسترده ای همچون اینترنت که تهدیدات بسیاری بعلت وجود آسیب پذیریهای شناخته
شده و همچنین ناشناخته در پروتکلهای ارتباطی، پیکربندی نادرست سیستم های امنیتی و سیستم های
درگیر با امنیت و برنامه های مرتبط با آن، سهل انگاری کاربران و …. مطرح می باشد .
نکته ای که همواره باید به آن توجه نمود این است که بحث امنیت یک فراورده نیست، بلکه یک فرایند
است و با بهره گرفتن از مجموعه ای از ابزارها و پروتکل های امنیتی و همچنین تکنیک های مرتبط برای
پیکربندی صحیح آنها قابل تامین می باشد. امنیت در شبکه و سیستم های مرتبط با آن همچون فرایندی
است که هرگز نمی توان گفت راهی برای نفوذگران جهت دسترسی غیر مجاز به شبکه و سیستم های
کاربران وجود ندارد، زیرا همیشه شکافی بین امنیت ایدهآل و امنیت واقعی وجود دارد.تنها با به روز نگه
داشتن دانش خود و کاربران خود می توان سطح امنیتی شبکه و سیستم های موجود را درحد مطلوب
نگاه داشت و حفظ نمود .
بنابراین در دنیای دیجیتالی امروز، با توجه بـه ازدیـاد حمـلات اطلاعـاتی، لـزوم بررسـی و تحقیقـات در
روش های مقابله ، بیش از پیش ضروری است. بهترین راه مقابله با این حملات اطلاعاتی در محـیط سـایبر،
تقویت اقدامات امنیتی در شبکه های رایانه ای و اینترنتی و اجرای دستورالعمل های مبتنـی بـر پدافنـد
غیرعامل است. راهکار مناسب برای مقابله این است که نقشه و روش درستی برای این کار داشته باشیم و
در اولین گام ، اهداف ، روش های عملیاتی و منابع حمله کننده را بشناسیم. بنابراین باید با داشتن روش و
نقشه درست و اجرای قدم به قدم آن، در صورت وقوع بحران ، از گسترش آن جلوگیری شود و تمام نیروها
برای کاهش بحران و کنترل اوضاع آماده و بسیج شوند تا شرایط به وضعیت مطلوب اولیه بازگردد .
٣

فصل اول

کلیات تحقیق

۴
فصل اول: کلیات تحقیق
هدف 1 -1(
از آنجا که اهمیت امنیت تبادل اطلاعات و ایجاد محیطهای امن ارتباطی، اصلی مهم در مدیریت شبکه
های کامپیوتری و مخابراتی می باشد، لذا کنترل سطح امنیت شبکه و اطمینان از سطح امنیت تبادل
اطلاعات، نیاز به واحد پدافند غیر عامل را، به عنوان بخشی از واحد کنترل شبکه ضروری می نماید.
همچنین بدلیل تقسیم محیطهای IT به سه بخش فیزیکی ( شامل تجهیزات و امکانات)، منطقی( شامل
اطلاعات، برنامه ها، نرم افزارها و) دستورالعملها (شامل شیوه ها و دستورالعملهای پیشگیری و کاهش
نفوذ ، ) تدابیر امنیتی پدافند غیر عامل نیز متناسب با هر قسمت پیش بینی گردد. پدافند غیر عامل در
محیط فیزیکی شامل نحوه چیدمان پیشگیرانه و معماری امن محیط می باشد که با پرداختن و بررسی
یک معماری امن مطابق استانداردهای Cisco این بخش بررسی خواهد گردید . پدافند غیر عامل در
محیط منطقی شامل نحوه پیکربندی سیستم عاملها و پرداختن به نحوه تهیه نرم افزارها می باشد و نهایتا
پدافند غیر عامل در قسمت دستورالعملها شامل تدابیر پیشگیرانه و کاهنده در مقابل نفوذ و حملات می
گردد. همچنین سعی میگردد به معرفی آسیب پذیری های موجود در مراکز داده و سایتهای اطلاع رسانی
پرداخته شود و سپس راهکارهای مقابله با این آسیب پذیریها عنوان گردد.همچنین انواع حملات موجود
در یک محیط و IT روش های مقابله با آنها و همچنین روش هایی که موجب کاهش آسیب پذیری و ایمن
سازی محیطهای IT می گردند بررسی شوند.بدین منظور انواع سیکلهای امنیتی استاندارد موجود معرفی
می گردند و یک سیکل امنیتی بهینه که مطابق با نیازهای پدافند غیر عامل در محیطهای IT باشد ارائه
می گردد بر و مبنای آن فعالیتهای لازم برای رسیدن به امنیت در این محیطها بررسی می گردند .
)2 -1 پیشینه تحقیق
شبکه های ارتباطی زیر ساخت لازم برای عرضه اطلاعات در یک سازمان را فراهم می نمایند. به موازات
رشد وگسترش تکنولوژی اطلاعات، مقوله امنیت در شبکه های کامپیوتری و ارتباطی، بطور چشمگیری
مورد توجه قرار گرفته و همه روزه بر تعداد پژوهشهایی که در زمینه اصول سیستمهای امنیتی می باشند
افزوده می گردد. جایگاه امنیت در شبکه های کامپیوتری و ارتباطی یکی از مسائل مهم در دنیای امروز
می باشد. مدتهاست که استفاده گسترده از کامپیوتر در ارتش و تاسیسات دفاعی، بکارگیری قوانین و
آیین نامه های ویژه ای را برای حفظ امنیت در سیستمهای فضای سایبر ضروری ساخته است .
میتوان ادعا نمود که قدمت پدافند غیر عامل به قدمت تمدن بشری باز میگردد. لیکن این موضوع برای
نسلهای بشر به صورت تلاشهای آنها برای حراست و مراقبت در برابر دشمنان طبیعی و انسانی آنها
نمایان شده است. برج و باروهای حفاظتی شهرها ، قلعهها و حصارها نمونه های بارزی در این خصوص
میباشند .
در سبز فایل با توجه به مقتضیات عالم جدید و ایجاد دولت و ملتها، این موضوع از حیطه شهری به
۵
گستره ملی انتقال پیدا نمود. با بروز جنگ جهانی اول و دوم و کشیده شدن پای جنگ به شهرها این
موضوع اهمیت بیشتری یافت و شکل علنی به خود گرفت. پس از آن جنگ سرد و چالشهای جهانی
مرتبط با سلاحهای کشتار جمعی اهمیت این بحث را بیشتر نمود. در نهایت با وقوع حادثه 11 سپتامبر
این مبحث وارد فاز جدیدی از مطالعات و برنامههای اجرایی شد.امروزه تروریست های فضای IT به جای
استفاده از سلاح های رایج، بمب ها و موشک ها یا سایر ابزارهای معمول از روش های جدیدی برای پیشبرد
اهداف خود استفاده میکنند . نرم افزارهای مخرب رایانه ای ، ویروس ها، کرم ها، تروجان ها، ایمیل
بمبینگ، گوگل بمبینگ، هک و نفوذ رایانه ای و خرابکاری یا دستکاری های اینترنتی و شبکه ای، بخشی
از ابزارهای تروریست های مجازی به شمار می رود .
امنیت شبکه های سایبری و کلیه سیستم های رایانه ای در هر کشوری از اهمیت زیادی برخوردار
است.تقویت زیرساخت های سایبری همچنین جایگاه ویژه ای در پدافند غیر عامل که به تازگی از سوی
مراجع ذی صلاح در ایران ابلاغ شده است، دارد. اتخاذ تدابیر امنیتی در زمینه فناوری های رایانه ای و
سایبرنتیک مهم ترین اقدام برای پیشگیری از آسیب های احتمالی در برابر هر گونه اقدامات تروریسم
سایبری می باشد . بنابراین برای کاهش تهدیدپذیری ملی در برابر این حملات، در ابتدا باید انواع حملات
احتمالی و روش های ایجاد این حملات را شناسایی نمود و سپس روش های مقابله با حملات ، نحوه پاتک
زدن در مقابل آنها و نحوه کنترل این حملات را شناخت و آنها را بکار برد و این میسر نیست جز با
داشتن برنامه جامع و مدون بین تمام سازمانها و نهادها برای پیشگیری و کاهش حملات نفوذگران داخلی
و خارجی. از آنجا که مبحث پدافند غیر عامل به تازگی در ایران مطرح گردیده ، پژوهشهای در این زمینه
هنوز نوپا و در ابتدای راه است. امید که مطالب این مستند در جهت ارتقای سطح علمی و تشویق
دانشجویان پرتلاش، دریچه ای هرچند کوچک را بگشاید .
)3 -1 روش کار و تحقیق
– 1 شناخت اصول و مبانی و تعاریف پدافند غیر عامل
– 2 شناخت تقسیم بندی محیطهای IT و تدابیر امنیتی متناسب با هر قسمت
– 3 شناخت آسیب پذیریهای محیطهای IT
– 4 شناخت چیدمان پیشگیرانه و کاهش نفوذ پدافند غیر عامل
– 5 شناخت انواع سیکلهای امنیتی موجود در استانداردهای ایمن سازی سایتهای کامپیوتری
– 6 ارائه یک سیکل امنیتی بهینه مطابق با نیازهای پدافند غیر عامل در محیطهای IT

۶

فصل دوم

اصول و مبانی پدافند غیر عامل

٧
1 فصل دوم : اصول و مبانی پدافند غیر عامل

)1-2 مفهوم پدافند غیرعامل
پدافند در معنای لغوی مترادف با دفاع است، دفاع نیز بر دو قسم است دفاع عامل و دفاع غیر عامل. دفاع
عامل مبتنی بر فعالیت نیروهای مسلح و متکی بر تسلیحات و تجهیزات نظامی میباشد. [3[
در کنار پدافند عامل، نوع دیگری از دفاع وجود دارد که به آن پدافند غیر عامل میگویند، تعریف این
نوع پدافند در تمام دنیا یکسان است و به دفاعی گفته میشود که متکی به تجهیزات و تسلیحات نظامی
نیست. پدافند غیر عامل مجموعهای از برنامه ریزیها، طراحیها و اقدامات است که باعث کاهش آسیب
پذیری در مقابل تهدیدات دشمن میشود. از این مفهوم تحت عنوان بازدارندگی نیز یاد میشود.
سیاستهای اصلی پدافند غیر عامل مبتنی بر بقا و حفظ امنیت میباشد.
به بیان دیگر هر اقدام غیر مسلحانه ای که موجب کاهش آسیب پذیری نیروی انسانی، ساختمان ها،
تاسیسات، تجهیزات، اسناد و شریان های کشور در مقابل عملیـات خصـمانه و مـخرب دشمن گردد،
پدافند غیرعامل خوانده می شود.به بیان سادهتر پدافند غیرعامل، مجموعه اقداماتی است که انجام می
شود تا در صورت بروز جنگ، خسارات احتمالی به حداقل میزان خود برسدو با به کار بردن مجموعه
تمهیدات، روش ها واقداماتی که بدون نیاز به هیچ نوع جنگ افزار نظامی و صرفأ بر مبنای رعایت اصول
طراحی وبرنامه ریزی بتوان آسیب های ناشی از تهاجم دشمن را کاهش داد ویا به را آن حداقل رساند
وموجب بهبود قابلیت های دفاعی و افزایش توان مقاومت گردد .
ـه دف از اجـرای طـ رحهای پدافـند غیرعـامل کاسـتن از آسیبپذیری نیروی انسانی ، تجهیزات حیاتی و
حساس و مهم کشور علیرغـم حـملات خصـمانه و مخرب دشمن و استمرار فعالیتها و خدمات زیر بنایی
و تامین نیازهای حیاتی و تداوم اداره کشور در شرایط بحرانی ناشی از جنگ است. در پدافند عامل تنها
نیروهای نظامی و نیروهای مسلح مسئولیت دارند م ، انند سیستم های ضد هوایی و هواپیماهای رهگیر، در
حالی که در پدافند غیرعامل تمام نهادها، نیروها، سازمان ها، صنایع و حتی مردم عادی می توانند نقش
مؤثری بر عهده گیرند. [3 [
)2-2 ضرورت وجود پدافند غیر عامل
با پیچیده تر شدن جنگها و بکارگیری تکنولوژی و فنآوری در جنگهای نوین، پدافند غیر عامل نیز
چهرههای متفاوتی را به خود گرفته است. امروز مردم برای ادامه زندگی نیازمند خدمات متفاوتی هستند،
احتیاج به محیط آرام و قابل سکونت درون شهرها دارند و بایستی ایمنی و آسایش کافی داشته باشن .د
درحال حاضر عمدهترین هدف پدافند غیرعامل، ایمن سازی و کاهش آسیبپذیری زیرساختهای مورد
نیاز مردم است تا بتدریج شرایطی را برای امنیت ایجاد نماید. اینگونه اقدامات در اکثر کشورهای دنیا
انجام شده است و یا در حال اقدام است. این اقدامات اگر به صورت یک برنامه ریزی و طراحی در توسعه

١
Passive Defence
٨
نهادینه شود، به خود خود بسیاری از زیر ساختهایی که ایجاد میشود، در ذات خود ایمنی دارند .برای
اصلاح زیر ساختهای فعلی هم میتوان با ارائه راهکارهایی مثل مهندسی مجدد آنها را مستحکم کرد .
-2( 3 قابلیت های پدافند غیر عامل
· پدافند غیر عامل، بستر مناسب توسعه پایدار توان ملی کشور .
· پدافند غیر عامل، هم راستا با سیاست های تنش زدایی .
· پدافند غیر عامل، پایدارترین، ارزان ترین وصلح آمیزترین روش دفاع .
· پدافند غیر عامل، بهترین راهکار افزایش آستانه مقاومت ملی .
· پدافند غیر عامل، پشتوانه اقتدار ملی .
· پدافند غیر عامل، یکی از مهمترین ابزارهای بازدارندگی .
· پدافند غیر عامل، بهترین و مناسب ترین شیوه کاهش مخاطرات و کاهش آسیب پذیری .
· کشورهایی که توسعه پدافند غیر عامل را به عنوان یک سیاست دفاعی مستمر در دستور کار خود
قرار می دهند، هیچ گاه در مظان اتهام تهدید بر علیه کشورهای دیگر قرار نمی گیرند .
· کشورهایی که پدافند غیر عامل را به عنوان یک راهکار اصلی بر می گزینند، به شرایطی از نظر
کاهش آسیب پذیری دست می یابند که مطامع کشورهای تهدید کننده بر علیه آنها کاهش می یابد .
· در جهان امروز کشورهایی که نقاط آسیب پذیری آنها فراوان است، و دشمن می تواند با ضربات
سریع، حیاتی ترین منابع آنان را منهدم نماید، عوامل تهدید از بیرون را درون خود ایجاد می نماید .
· پدافند غیر عامل، می تواند به یک فرهنگ عمومی در کشور تبدیل شود .
· پدافند غیر عامل، عنصری است پویا و متحرک؛ لذا باید همواره در صدر تلاش های علمی و پژوهشی
قرارگیرد. [۴[
)4-2 اصول پدافند غیر عامل
· پوشش در همه زمینه ها
· استتار و نامرئی سازی
· تولید سازه های دومنظوره (موانع )
· مکان یابی استقرار عملکردها
· اختفاء با بهره گرفتن از عوارض طبیعی
· کور کردن سیستم اطلاعاتی دشمن
· حفاظت اطلاعات سیستم های حیاتی و مهم
· مدیریت بحران دفاعی در صحنه ها
· فریب، ابتکار عمل و تنوع در کلیه اقدامات
· موازی سازی سیستم های پیشنهادی وابسته
٩
· تعیین مقیاس بهینه استقرار جمعیت و فعالیت در فضا
· کوچک سازی، ارزان سازی و ابتکار در پدافند غیر عامل
· مقاوم سازی و استحکامات و ایمن سازی سازه های حیاتی
· پراکندگی در توزیع عملکردها متناسب با تهدیدات و جغرافیا
· انتخاب مقیاس بهینه از پراکندگی و توجیه اقتصادی پروژه [4[
-2( 5 اهداف کلان
· ایمنی سازی مراکز حیاتی، حساس و مهم .
· توسعه کمی و کیفی نیروی انسانی متخصص .
· ارتقاء قابلیت بقا و حفظ کشور در شرایط بحران .
· افزایش آستانه مقاومت ملی و تقویت مولفه های مقاومت در مقابل تهدیدات .
· فرهنگ سازی و ایجاد باور عمومی در مورد تاثیر پدافند غیر عامل در کاهش آسیب پذیری .
· کسب امنیت پایدار در توسعه و پایدار سازی زیرساخت های حیاتی کشور .
· تحقیق و پژوهش، تولید علم و فناوری و فرهنگ سازی و تبدیل آن به معارف عمومی .
· تکمیل چرخه دفاعی کشور و تعامل مثبت با دفاع عامل و پدافند غیر عامل .
· نهادینه کردن رعایت اصول و ضوابط پدافند غیر عامل در طرح های توسعه منتهی به ایجاد مراکز
طبقه بندی .
· کاهش مجموعه آسیب پذیری های کشور و نمایان نمودن اقتدار ملی ناشی از آن به عنوان یکی از
مولفه های بازدارندگی .
· به حداقل رسانیدن تاثیر تهدیدات نظامی دشمن بر زیرساخت های حیاتی، حساس و مهم .
· توسعه کمی و کیفی ظرفیت و توان اجرایی پدافند غیر عامل در بدنه مهندسی کشور (مشاوره و
اجرا).
[3] راهبردها 2-6(
· تعامل گسترده و فراگیر با سازمان ها و ایجاد سازو کارهای مناسب در جهت ایمن سازی و حفاظت
از تاسیسات زیربنایی .
· ساماندهی آمایش سرزمین ملی و آمایش دفاعی از منظر پدافند غیرعامل به منظور استفاده
حداکثری از پهنه جغرافیایی کشور .
· ایفای نقش هدایتی و نظارتی بر سازملن ها و نهادهای کشوری و لشکری در زمینه مطالعات و
طراحی فنی طرح های پدافند غیرعامل .
· بکارگیری و بسیج امکانات در جهت ارزان سازی، تنوع و ابتکار عمل در سامانه ها و شیوه های
پدافند غیرعامل .
١٠
· استفاده حداکثرسازی از پهناوری و عمق سرزمینی و عوارض طبیعی کشور و به کاهش مخاطرات و
خسارات .
· ساماندهی مناسب استفاده از فناوری های نوین به منظور کاهش آسیب پذیری ناشی از وابستگی و
امکان جمع آوری اطلاعات توسط دشمن .
· توسعه و تعامل موثر و سازنده با نهادهای سیاست گذار، قانون گذار و اجرایی کشور .
· توسعه علمی و تولید دانش فنی و ارتقاء فناوری و برنامه جامع آموزشی و همچنین ، بهینه سازی
تولید صنعتی با بهره گرفتن از تمامی ظرفیت ها .
· نهادینه نمودن نظام جامع و استفاده از اصول و ضوابط در طرح های توسعه کشور .
· توسعه فرهنگی و ارتقاء باور عمومی و تقویت عزم و اقتدار ملی مسبت به ایمن سازی مراکز حیاتی،
حساس و مهم .
· توسعه فرهنگ و نهادینه سازی باور عمومی نسبت به تاثیر پدافندغیرعامل درکاهش آسیب پذیری ها .

١١

فصل سوم

شیوه چیدمان، کلاسه بندی و دستورالعملهای پدافند غیر
عامل جهت پیشگیری و کاهش نفوذ به محیطهای IT

١٢
فصل سوم: شیوه چیدمان، کلاسه بندی و دستورالعملهای پدافند غیر عامل جهت پیشگیری و
کاهش نفوذ به محیطهای IT
3( 1 -س ه استراتژی مهم برای ایمن سازی فضای IT
جلوگیری از ایجاد حملات سایبر با ایجاد سد دفاعی در برابر حملات .
کاهش تهدید پذیری ملی در برایر حملات سایبر و پیشگیری از ایجاد حملات سایبر با ارزیابی میزان
آسیب پذیری و کم کردن آسیب پذیری با رفع ضعف های موجود .
به حداقل رساندن زمان برگشت به حالت اولیه و ترمیم خرابیهای ایجاد شده پس از حمله. [1[
3( 2 -ضرورت تامین پدافند غیر عامل در محیطهای IT
منظور از پدافند غیر عامل در محیط های IT ، مجمو عه تمهیدات، اقـدامات و طرحهـایی اسـت کـه بـا
استفاده از ابزار، شرایط و حتی المقدور بدون نیاز به نیروی انسانی، موجب کاهش آسیب پذیری در برابـر
حملات و اعمال برنامه ریزی شده و هدفمند علیه رایانه ها، برنامه ها و اطلاعات ذخیره شده در درون آن
ها می گردد. این حملات میتواند از طریق شبکه های جهانی با اغراض سیاسی یا غیر سیاسی و شخصـی
صورت می گیرد و باعث نابودی یا وارد آوردن آسیب های جدی به رایانه ها و یا زیر ساختهای اطلاعـاتی
کشور گردد .
با این اقدامات پدافندی باید بتوان از یک سو توان دفاعی محیط های IT را در زمان بحران افزایش داد و
از سویی دیگر پیامد های بحران را کا هش و امکان باز سازی آسیبهای وارده را با کمترین هزینـه فـراهم
نمود . در حقیقت باید قبل از شروع تهاجم و پیش آمدن بحران بدنبال تبیین راهکارهـا و ارائـه روشـهای
علمی و عملی بود و با توجه به فرصت هایی که در زمان صلح فراهم می گردد، این تمهیدات می بایست
در متن پروژه های IT لحاظ گردند . به کارگیری این اقـدامات پدافنـدی ، در محـیط هـای IT ، عـلاوه
برکاهش شدید هزینه ها، باعث افزایش قابل ملاحظه کار آیی دفاعی در زمان بحران خواهد شد .
در عصر کنونی با گسترش تکنولوژی اطلاعات یا IT ،گردش امور کشور ها از جمله امور اداری، اقتصـادی،
آموزشی و سیاست به شبکه های کامپیوتری محول گردیده و البته در برخی از کشـورها از جملـه ایـران
حرکتی برای اجرایی نمودن آن صورت گرفته است. بدلیل ساختار شکننده کنونی اینترنت ، که در مقابـل
تهدیدات امنیتی به تلنگری فرو می پاشد، لزوم تامین امنیت این شبکه و حفاظت از اطلاعات مبادلاتی بر
روی این بستر آشفته، امروزه بیش از پیش احساس م ی شود و عدم توجه به آن خسارات غیر قابل جبرانی
به پیکره آ ن کشور، سازمانهای فعال و تمام افراد درگیر با این شبکه ارتباطی وارد می کند . در ایران علاوه
بر مخاطرات فوق ، عدم وجود ستون فقرات انتقال اطلاعـات باعـث شـده جریـان اطلاعـاتی کشـورمان از
شاهراه های اطلاعاتی مغرب زمین عبور کند! و این موضوع نیز به نوبه خود ابتدای نـاامنی محسـوب مـی
شود و از طرفی توسعه دهندگان اینترنت در ایران که بیشتر از صنف تجارند تـا متخصصـین، بـه امنیـت
اطلاعات کمتر توجه نموده و برای کاهش هزینه ها از کنار آن به سادگی می گذرند !
١٣
در عصر کنونی، یعنی عصر اطلاعات، ارائه و استفاده به موقع از اطلاعات شرط اولیه موفقیت افراد و جوامع
بشری محسوب می شود و این میسر نخواهد شد جز با بهره گرفتن از ابزارها و تکنیکهـای صـحیح امنیتـی و
تدابیر درست و در ادامه آن دانش به روز شده جهت مقابله با مجموعه تهدیـداتی کـه ایـن بسـتر حیـاتی
ارتباطی را به مخاطره می اندازند. بیشترین نیاز به این ابزارها و تدابیر در محیط سایتهای سخت افزاری و
1 نرم افزاری
قابل مشاهده است. به عبارتی هر جایی که یک شبکه محلی یا اینترانتی متصل بـه اینترنـت
وجود داشته باشد، این تدابیر باید در نظر گرفته شوند. هنگامی که سایتها ساختار منسجم تر و جامعتری
2 به خود می گیرند و تبدیل به مراکز داده
می شوند نیـاز بـه تـدابیر پدافنـدی شـدیدتر مـی گـردد و در
3 بالاترین مرتبه، وجود تدابیر پدافندی در مراکز کنترل شبکه ها
که از اهمیت بالایی برخوردارند، حیـاتی
می باشد.[1 [
1 -در محیط سایتهای سخت افزاری و نرم افزاری
1
-2 در مراکز داده
2
– 3 در مراکز کنترل شبکه ها
3

شکل : 1-3 کاربرد تدابیر پدافندی در زمینه IT
3( -3 تقسیم بندی تدابیر ایمنی پدافند غیر عامل در زمینه IT
از آنجا که محیطهای IT به سه قسمت محیط فیزیکـی (شـامل تجهیـزات و امکانـات )، منطقـی ( شـامل
اطلاعات، برنامه ها، نرم افزارها و) دستورالعملها (شامل شیوه هـا و دسـتورالعملهای پیشـگیری و کـاهش
نفوذ) تقسیم می شود، تدابیر امنیتی پدافند غیر عامل نیز باید متناسب با هر قسمت پیش بینی گردد .

شکل : 2-3 تقسیم بندی تدابیر ایمنی پدافند غیر عامل در زمینه IT

١
Hardware and Software Sites
٢
Data center
٣
NOC(Network Operation Center)
سیاستهای امنیتی محیطهای کامپیوتری
تدابیر فیزیکی
(Physical)
تدابیر منطقی
(Logical)
روشها و دستورالعملها
(Procedures)
١۴
3( 4 -تدابیر فیزیکی
تدابیر فیزیکی خود موارد زیر را شامل می گردد :
)1-4 -3 مواردی که به جهت امنیت فیزیکی ساختمانی و محیط سایتهای سخت افزاری و نرم افزاری،
مراکز داده و مراکز کنترل شبکه ها باید در نظر گرفت.
)2-4 -3 ایجاد یک معماری ایمن جهت ایجاد چارچوبی برای طراحی و پیاده سازی سایت یها شبکه
بصورت امن بطوریکه تاکید این معماری بر کاهش میزان حملات کامپیوتری باشد.
)3-4 -3 نحوه چیدمان پیشگیرانه دیوارهای آتش و استفاده از ساختار سلسله مراتبی برای برقراری ارتباط
در شبکه ها.
IT محیطهای فیزیکی امنیت- 1( -4 3
در ابتدا ساختمان سایتهای سخت افزاری و نرم افزاری، مراکز داده و مراکز کنترل شبکه ها، باید در
مقابل حوادث طبیعی، جرایم، نزدیکی به پروژه های ساختمانی و مانند آن امن گردد. برای اطمینان از
امنیت فیزیکی سایتهای کامپیوتری در جدول ،1-3 10 مورد مهم و حیاتی مورد بررسی قرار گرفته است.
برخی از موارد بطور عام مربوط به کلیه مراکز کامپیوتری می گردد و برخی موارد مربوط به مراکز داده و
مراکز کنترل شبکه ها که از اهمیت حیاتی برخوردارند، میگردد. که در ادامه جزئیات آن به تفصیل
بررسی شده است.[14 [
جدول : 1-3 تدابیر امنیت فیزیکی محیطهای IT
)1 مکان و مشخصات ساختمانی محیط
)2 منبع تغذیه و الکتریسیته
)3 دیوارها
)4 خنک سازی ،تهویه هوا و رطوبت
)5 کنترل،تشخیص و پیشگیری از حریق
)6 استفاده از سیستمهای نظارتی
)7 قاب کف کاذب
)8 استفاده از امنیت فیزیکی لایه ای
)9 نگهداری نسخه های پشتیبان در مکانی امن
)10 کنترل دسترسی فیزیکی
١۵
3 4( -1 -مکان و مشخصات ساختمانی محیط
محیط سایتهای کامپیوتری باید در مکانی باشد که ریسک ناشی از بلایای طبیعی نظیر حریق جنگل،
رعد و برق، طوفان، گردباد، زمین لرزه و سیل به میزان قابل قبولی باشد و بهتر است در مرکز شهر
نباشد .
بهتر است در مکانی دور از حوادث ساخته دست بشر مانند سقوط هواپیما، شورش، انفجار و آتش
سوزی باشد. علاوه بر این نباید در مجاورت فرودگاه، راه آهن، زندان، بزرگراه، استادیوم، پالایشگاه، خط
لوله و مسیر رژه و هر مکانی که میتواند در کار وقفه واردکند باشد .
ساختمان محیط مراکز داده و مراکز کنترل شبکه ها باید به گونه ایی ساخته شده باشدکه بعدها نیاز
به بازسازی و اصلاح نداشته باشد تا درکار وقفه ایی ایجاد نشود .
ساختمان سایتهای کامپیوتری پشتیبان باید از سایتهای کامپیوتری اصلی حداقل حدود 30 تا 50
مایل فاصله داشته باشد.
مراکز داده و مراکز کنترل شبکه ها دو منبع برای تسهیلاتی مانند برق، آب، داده لازم دارد. برق باید از
دوبخش مجزا تامین شود. آب باید از دو لوله مجزا که از زیر زمین و از مکان های مختلف ساختمان
می گذرند تامین شود.
محل مراکز داده و مراکز کنترل شبکه ها نباید با تابلو مشخص شود به گونه ایی که هر رهگذری به
سادگی از محل آن مطلع شود
درختان، تخته سنگ ها و گیاهان می توانند ساختمان مراکز داده و مراکز کنترل شبکه ها را از دید
مخفی کنند. وسایل ایمنی ساده مانند پرچین علاوه بر خاصیت محصور کنند گی می توانند آن را زیبا
نمایند . همچنین هرچه نقاط ورودی ساختمان کمتر باشند کنترل دسترسی بهتر امکان پذیر است.
برای جلوگیری از صدمه ی ناشی از بمبهای ماشینی، تا حد امکان، پارکینگ باید از مراکز داده و
مراکز کنترل شبکه ها دور باشد.
درهای خروج اضطراری نباید از بیرون قابل استفاده باشند و باید در صورت باز شدن از بیرون اعلام
خطر فعال شود.
حفاظت از ماشین آلات (تهویه هوا، دستگاه سرمایشی و ژنراتور و ..) بیرونی سایتهای کامپیوتری در
خصوص دزدی و حساسیت به شرایط محیطی.
ساختمان مراکز داده و مراکز کنترل شبکه ها باید دارای لایه های مختلفی برای تامین امنیت باشد، از
قبیل حفاظ الکتریکی خاردار، دیوار های بتن آرمه، پنجره های محافظت شده، سیستم های شناسایی
حرکات ( detection motion ، ( سیستم دوربین مداربسته و سیستم هویت سنجی بر اساس قرنیه
چشم.
١۶
دارا بودن فضای کافی جهت گسترش مراکز داده و مراکز کنترل شبکه ها و مقاوم در برابر حوادث
طبیعی
مقاوم در برابر حوادث امنیتی مانند آتشسوزی، حملات هوایی، حملات شیمیایی و هستهای، حملات
الکترونیکی، بمبگذاری
نزدیکترین فاصله به Backbone مخابراتی
امکان برخورداری از ارتباطات حداقل 2 منطقه مخابراتی مستقل و متفاوت و امکان برخورداری از
اتصال به 2 شبکه برق مستقل و متفاوت
3 4( -1 -1 -منبع تغذیه و الکتریسیته
دربررسی منبع تغذیه سیستم، دو مسئله مدنظر است. یکی، هموار و همسطح نگهداشتن ولتاژ منبع تغذیه
و پیشگیری و محافظت در برابر موج ناگهانی ولتاژ یا افت شدید در منبع تغذیه و دیگری، خود منبع
تغذیه است. قطع کامل منبع تغذیه وکاهش ولتاژ منبع در یک دوره زمانی طولانی میتواند سبب خاموش
شدن ناگهانی کامپیوترها و از دست دادن داده های ذخیره نشده شود. همچنین اگر موج ناگهانی ولتاژ یا
افت ولتاژ در منبع تغذیه زیاد باشد، میتواند آسیب های فیزیکی به کامپیوترها و بخش های داخلی آن
وارد کند .
با بهره گرفتن از UPS میتوان مشکل هموار نگه داشتن ولتاژ را برطرف کرد.کامپیوترها را به UPS وصل
میکنند، اگر منبع تغذیه اصلی قطع شود، UPS ولتاژ کافی را برای کامپیوترها فراهم میکند تا کاربرها
بتوانند بعد از ذخیره اطلاعات، کامپیوترها را خاموش کنند. اکثر UPSها، سیگنالی (پیغامی) مبنی بر
قطع منبع تغذیه اصلی، به کامپیوترها میفرستند. هرگونه خرابی(قطع) در منبع تغذیه اصلی میتواند،
مشکلات اساسی برای سیستمها و کارایی شان ایجاد کند.برای حل این مساله از روش های کنترلی زیر
استفاده می کنیم :
نصب و تست UPS و نصب فیلترهای الکتریکی برای فیلتر کردن جهشهای ناگهانی در ولتاژ
نصب کفپوشهایی که در اثر تماس یا مالش روی آن، الکتریسیته ساکن تولید نشود .
رعد و برق
بارهای الکتریکی موجود در هوا (رعد و برق)، هم میتوانند به تجهیزات ضربهی مستقیم وارد کنند و هم
موجی از ولتاژهای بالا را روی خطوط انتقال توان الکتریکی، مبدلها و…، بفرستند که میتواند اثرات
سوء زیادی بر سیستمها داشته باشد. برای حل این مساله از روش های کنترلی زیر استفاده میکنیم :
نصب Suppressor Surge : که نقش محافظت از تجهیزات الکتریکی در برابر خرابیها و آسیبهای
ناشی از جریانها و ولتاژهای v گذرا (surge ( را دارد. Suppressor Surge دارای گونه های
مختلفی هستند از جمله محافظ DC ،محافظ ولتاژ ACکه بر حسب نیاز میتوان از آنها استفاده کرد .
نصب وتست UPS و نصب وتست مولدهای برق دیزلی
١٧
دور نگه داشتن واسطههای مغناطیسی (سیم مسی) از سازه فلزی ساختمان
در نهایت توصیه میشود برای تجهیزات سیم اتصال به زمین در نظرگرفته شود.
دیوارها- 1 -2( -4 3
استفاده از بتون به ضخامت یک فوت که هم ارزان و هم سدی موثر در برابر عناصر و مواد منفجره است
توصیه می .شود
پرهیز از پنجره
استفاده از پنجره در سایتهای کامپیوتری را به حداقل برسانید. ساختمان بیشتر باید شبیه مخزن و یا انبار
باشدتا ساختمان اداری. در صورت وجود پنجره بهتر است با شبکه فلزی، قفل و سیستم هشدار امن گردد
و علاوه بر این پنجرهها باید به گونه ایی باشند که داخل سایتهای کامپیوتری از بیرون قابل مشاهده
نباشد.
3 4( -3 -1 -خنک سازی ،تهویه هوا و رطوبت
تجهیزات الکتریکی و تجهیزات پردازش اطلاعات از نظر گرما و رطوبت به شرایط ویژه ای برای کار نیاز
دارند. بنابراین باید از دستگاه های تهویه هوایی استفاده نمود که شامل ویژگی هایی نظیرحذف
گرما،کنترل رطوبت، ایجاد جریان هوا، قابلیت اطمینان، قابلیت توسعه و مجهز به سیستم اخطار و
پشتیبان باشند.
سیستم های خنک کننده ی سایتهای کامپیوتری باید به گونه ایی عمل کنند که دمای سایتهای
کامپیوتری را بین تا 21 23 درجه سانتیگراد نگه دارند با رطوبت نسبی بین تا 45 50 درصد. علاوه بر این
یک خنک کننده اضافی برای مواقع ضروری باید در نظر گرفته شود. کانالهای تهویه هوا باید به
آشکارساز حرکتی مجهز شده و در صورت بزرگی اندازه، بهتر است با توری فلزی محافظت شوند.
3 4( -4 -1 -کنترل،تشخیص و پیشگیری از حریق
تشخیص آتش و خاموش سازی آن جزء اولویت های اصلی سایتهای کامپیوتری است. نه تنها آتش بلکه
گرما و دود هم میتوانند به سرعت به تجهیزات الکتریکی صدمه بزنند. از جمله عواملی که میتوانند باعث
شیوع حریق شوند میتوان نگهداری نادرست از مواد آتشزا، کمبود دستگاه های یابنده آتش و دود، نبود
کپسولهای دستی دیاکسیدکربن و سیستمهای اتوماتیک ضد حریق و عدم عایقبندی کابلهای اصلی و
مرکزی را نام برد. برای کنترل و پیشگیری از حریق به صورت زیر عمل میکنیم :
نصب سیستم آشکارگر دود
نصب سنسورهائی در مجراهای ورودی و خروجی سیستمهای تهویه و خنک کننده هوا، تا به محض
احساس کردن چیز غیر عادی (دود) ، سیستم هوا را مسدود کنند .
قرار دادن کلاهک آبپاش قطره ای اتوماتیک (البته باید توجه داشت که خاموش کردن آتش با آب
خود به سیستم ها آسیب می رساند )
١٨
قرار دادن کپسولهای دیاکسیدکربن در نزدیکی تجهیزات و بخشهای قابل احتراق و آموزش افراد
.ها برای استفاده صحیح از کپسول
سیستمهای تخلیه هالون : این سیستم خطر کمتری برای تجهیزات دارد و از لحافظ تنفسی، نسبت
به دیاکسیدکربن، خطر کمتری برای پرسنل سازمان دارد اما توسط سازمان محیط زیست به خاطر
مضر بودن برای لایه ازن ممنوع شده است.
3 4( -5 -1 -استفاده از سیستمهای نظارتی
در نظر گرفتن سیستم های نظارتی و دوربین های حفاظتی برای آگاهی از وجود مشکل در راستای حل
هرچه سریعتر آن بسیار ضروری است. با سیستمهای مانیتورکنندهی سایت میتوان برق، UPS ،
/دما رطوبت، تشخیص نشتی و ورود بدون اجازه را نیز مانیتور کرد. بهتر است در کلیه نقاط حساس
دوربین نصب شود و تصاویر ضبط شده و مرتبا کنترل شوند .
کاذب کف قاب- 1 -6( -4 3
کف کاذب مجموعهایی از قاب های کاذب به ابعاد panels thick” 16/7 1 & square” 24 است که
بالاتر از سطح زمین قرار می گیرند. استفاده از این کف ها به دو جهت می باشد. اول برای توزیع مرتب و
منظم سرما بین سرور ها و دیگر جلوگیری از سیل و خسارات ناشی از بالا آمدن آب. دیگر مزایای آن
نصب سنسور های حساس به آتش سوزی و همچنین نصب دستگاه جلوگیری از برق گرفتگی ESD
(Discharge Shock Electric (می باشد. علاوه بر این ازکف کاذب میتوان برای سیستم های تهویه
هوا وسیستم های انتشاری نیز استفاده کرد. سیستم تهویه و کنترل هوا در زیر قابهای کف کاذب قرار
میگیرند که به سادگی قابل معاوضه هستند و امکان کابل کشی سریع و مدیریت تغییر بدون هیچ وقفه-
ایی را فراهم میکند. قابهای کف در هر زمان که لازم باشد قابل جاگذاری دوباره هستند .
3 4( -7 -1 -استفاده از امنیت فیزیکی لایه ای
نخستین ورودی ساختمان باید توسط نگهبان محافظت شود و روالی برای ورود درنظر گرفته شود. در
لایه ی بعدی بخش کارمندان باید از بخش مهمانان مجزا شود. هر بازدید کننده باید کارت مخصوص
بازدید داشته باشد و توسط یک کارمند همراهی شود. ورود به بخش اصلی سایتهای کامپیوتری باید
بر اساس تصدیق هویت دو عاملی (به عنوان مثال استفاده از کارت به علاوه کلمه عبور)صورت پذیرد .
دیتاسنتر به طور 24 ساعته باید دارای پرسنل حراستی برای حفظ ایمنی سرورها و تجهیزات باشد .
هر یک از درهای بکار گرفته شده در قسمت های مختلف تنها با بهره گرفتن از کارت های مغناطیسی
تایید هویت قابل بازگشایی باید باشد. که همگی نیز توسط پرسنل حراست کنترل می گردند .
دسترسی به کلیه سرورها فقط محدود به پرسنل دیتاسنتر بوده و کلیه پرسنل از نظر سوابق کاملاً
مورد تحقیق قرار می گیرند.
١٩
3 4( -8 -1 -نگهداری نسخه های پشتیبان در مکانی امن
پس از تهیه نسخه های پشتیبان(مانند نوار، لوح فشرده، دیسکت) آنها را در جای امنی به دور از
دسترسی غیر مجاز قرار دهید .
سیستمهای پشتیبانگیری، از اطلاعات در فواصل زمانی مشخص بر طبق آخرین تکنیکهای موجود
نسخه های پشتیبان تهیه میکنند.
فیزیکی دسترسی کنترل- 1 -9( -4 3
برای پیادهسازی صحیح سیستم کنترل دسترسی فیزیکی باید دو کنترل زیر را در نظر گرفت :
− کنترل پیشگیرانه:
کنترل پیشگیرانه سعی در جلوگیری ازدسترسی و ورود افراد وپرسنل غیر مجاز به سایتهای کامپیوتری
وهمچنین حفاظت در برابر حوادث و رخدادهای طبیعی ومحیطی دارد. از موارد حائز اهمیت در این
کنترل میتوان به موارد زیر اشاره کرد :
(اثر انگشت، شبکیه یا عنبیه چشم، صدا، چهره و شکل هندسی دست، و DNA و نمونه امضاء )
(عمود بر هم): این سیستم روش بسیار خوبی برای جلوگیری از ورود افراد غیر مجاز،پشت سر افراد
مجاز است )
− کنترل آشکارساز:
کنترل آشکارساز سعی در تشخیص و تعیین حوادث غیرمترقبه، بعد از رخداد آن دارد. مواردی را که در
کنترل امنیتی آشکار ساز میتوان مد نظر قرار داد عبارتند از: تشخیص حرکات و جنب و جوش (دوربین
های مداربسته ی پیشرفته دارای ویژگیهایی همچون دید در شب و تجهیزات مربوط به تشخیص جنب و
جوش و حرکت هستند که به کاربر اجازه میدهد با مشاهده هرگونه حرکت سیستمها را به حالت هشدار
ببرد )
تشخیص دود وآتش
سیستم های مراقبت بصری و هشداردهنده های الکترونیکی
3 4( -2 -ارائه یک مدل از طراحی شبکه ارتباطی امن
معماری معرفی- 2-1( -4 3
١
[9] CISCO شرکت SAFE
شرکت CISCO یک نوع معماری امنیتی به نام SAFE طراحی نموده است که یک چارچوب برای طراحی
و پیاده سازی سایتها بصورت امن می باشدو در اصل یک رهیافت امنیتی بـرای طراحـی سـایت شـبکه
ایمن است.این معماری یک برنامه کاری برای ایمن سازی شبکه ها می باشد و فـرض بـر ایـن اسـت کـه
آزمایشگاه تخصصی امنیت شبکه از این معماری اسـتفاده کنـد .ایـن معمـاری بـر حمـلات کـامپیوتری و
روش های کاهش آنها تاکید دارد. طراحی امن (PRINT BLUE SAFE (سیسکو در واقع رهیافت لایه ای را

١
Secure Architecture For Enterprises (SAFE)
٢٠
برای برقراری امنیت در شبکه ارائه می نماید بطوریکه خرابی یک سیستم منجر به مخـاطره اف تـادن کـل
شبکه نمی شود. این معماری با تجهیزات عملیاتی شبکه های عظیم امروزی رابطه نزدیکـی دارد و نـوعی
معماری امنیتی است که می باید از حملاتی که پارامترهای منابع شبکه را تحت تاثیر قرار می دهد، جلـو
گیری کند. اهداف این معماری به ترتیب اولویت عبارت است از :
– 1 امنیت و کاهش حملات بر اساس سیاستگزاری
– 2 پیادهسازی امنیت در سراسر زیرساخت
– 3 مدیریت و گزارشگیری امن
– 4 احراز هویت و تفویض اختیار به کاربران و مدیران در مورد منابع حیاتی شبکه
– 5 تشخیص نفوذ برای منابع و زیر شبکه های حیاتی
– 6 پشتیبانی از برنامه های کاربردی شبکه ای ایجاد شده
در شکل 3-3 مدل ارائه شده توسط شرکت سیسکو از یک شبکه سازمانی نشان داده شده است.همانگونه
که در شکل مشخص گردیده، این شبکه از سه بخش تشکیل گردیده است که عبارتند از :
– بخشی که در درون خود سازمان یا شرکت قرار داشته و فقط با قسمتهای داخلـی شـرکت در ارتبـاط
است و با Campus Enterprise نشان داده شده است.
– بخشی که ارتباط شرکت با خارج از آن را برقرار می کند و Edge Enterprise نامیده می شود.
– فراهم کنندگان خدمات ارتباطی که سازمان از طریق آنها با خارج از موسسه، بـه ویـژه اینترنـت
ارتباط برقرار می کند و اصطلاحĤ به آن Edge SP گفته می شود.
شکل : 3 -3 مدل ارائه شده توسط شرکت سیسکو از یک شبکه سازمانی

معماری SAFE از یک راهکار ماجولار برای ایمنسازی یک سایت بهره میگیرد.این راهکار دو مزیت دارد :
– 1 به معماری اجازه آدرسدهی رابطهای ایمن بین بلوکهای مشغول به کار را میدهد.به عبـارتی اجـازه
می دهد که این معماری، ارتباط امنیتی بین اجزای کارکردی شبکه را نشان دهد .
– 2 امکان ارزیابی و پیادهسازی امنیت به صورت ماجول به ماجول را به طراحان میدهد.
بلوک دیاگرام این معماری در شکل 4-3 نشان داده شده است.

٢١

شکل : 4 -3 بلوک دیاگرام معماری SAFE

شکل فوق شمایی از ماجولها در هر محیط مشغول به کار را نمایش می دهد. هر یک از ماجولهای
وظایف مشخصی را در سایت اجرا می کنند ونیازهای امنیتی خاصی دارند که عبارتند از:
ماجول management : هدف اصلی این ماژول تسهیل مدیریت امنیت همهی device ها و host ها
در سایت می باشد .
ماجول core : این ماجول ترافیک شبکه را کنترل می .کند
ماجول building : SAFE این ماجول را به عنوان بخش وسیعی از سایت که شامل ایسـتگاه های کـاری
کاربران نهایی است، تعریف میکند. هدف این بخش فراهم کردن سرویس برای کاربران نهایی میباشد .
ماجول server : این ماجول به سرویسدهندگان و کاربران سرویسدهی می .کند
ماجول distribution Edge : هدف این ماجول اتصال بخشهای مختلف در سایت است .
ماجول internet corporate : این ماجول اتصال کاربران داخلی را به سرویسهای اینترنت ودسترسـی
کاربران را به اطلاعات سرورها فراهم میکند .
SAFE معماری های ویژگی- 2-2( -4 3
-معماری SAFE نوعی معماری امنیتی است که باید از بیشتر حملاتی که بر منابع با ارزش شـبکه تـاثیر
گذارند جلوگیری کند. بنابراین حملاتی که از اولین خط دفاعی عبور کرده یا از داخل شبکه سرچشـمه
می گیرند باید به دقت شناسایی و سریعĤ جلوی آنها گرفته شود تا تĤثیر آنها بر بقیه شـبکه بـه حـداقل
برسد، ضمن اینکه شبکه باید به ارائه خدمات حیاتی مورد انتظار کاربران ادامه دهد .
1معماری SAFE قابل ارتجاع
است و این خاصیت ارتجاعی شامل افزونگـی فیزیکـی اسـت تـا در برابـر
2 خرابی یک دستگاه، چه از طریق پیکربندی اشتباه
، اشکال فیزیکی یا حمله به شبکه محافظت نماید .
-معماری SAFE مقیاس پذیر است، بدین معنا که با رشد ابعاد شبکه خود را وفق می دهد.

١
Resilient
٢
Misconfiguration
یک برنامه کاری برای داشتن یک امنیت مناسب برای شبکه اسـت، در عـین حـال کـه
انتخاب بین دو مورد زیر یک انتخاب حیاتی به شمار می رود :
استفاده از یک وسیله تخصصی که فقط همان کارکرد که در داخل دستگاه قرار داشته باشد .
استفاده از یک وسیله تخصصی که فقط همان کارکرد خاص را داشته باشد .
در مـوارد حیـاتی معمـولآ از یـک دسـتگاه
به عنوان مثال می توان در یک روتر از یک IOS استفاده کرد کـه نـرم افـزار
ولی اگر حیاتی باشد، بهتر است از یک دیواره آتش در کنار یک روتر ساده
پدافند غیر عامل ، نحوه چیدمان ساختار شبکه می باشـد بـه گونـه ای ه کـ
کمترین آسیب پذیری را از ناحیه حملات کامپیوتری، هکر ها و دسترسی های غیر مجـاز داشـته باشـد .
ایت بایـد محـدودیتهایی در سـطوح مختلـف، اعـم از
بدین منظور باید از دیوارهای آتش با چیدمان و ترتیبـی کـه در
تدبیر دیگری که به عنوان تدبیر سخت افزاری مـی تـوان
ر سلسله مراتبی برای برقراری ارتباط در شبکه ها می باشد. مزیت استفاده از
[1
دیوارهای آتش مورد نیاز برای ایجاد پدافند غیر عامل در شبکه

١
Tier zero
٢
Backbone
٢٢
SAFE یک برنامه کاری برای داشتن یک امنیت مناسب برای شبکه اسـت، در عـین حـال کـه
شبکه باید عملکرد خوبی از خود نشان دهد.
در اعمال کارکردهای امنیتی برای شبکه، انتخاب بین دو مورد زیر یک انتخاب حیاتی به شمار می رود
استفاده از یک وسیله تخصصی که فقط همان کارکرد که در داخل دستگاه قرار داشته باشد
استفاده از یک وسیله تخصصی که فقط همان کارکرد خاص را داشته باشد
این انتخاب بستگی به عمق مورد انتظـار از آن کـارکرد دا . رد در مـوارد حیـاتی معمـولآ از یـک دسـتگاه
جداگانه استفاده می شود. به عنوان مثال می توان در یک روتر از یک
دیوار آتش را هم با خود دارد. ولی اگر حیاتی باشد، بهتر است از یک دیواره آتش در کنار یک روتر ساده
استفاده نمود .
نحوه چیدمان پیشگیرانه پدافند غیر عامل
چیدمان پیشگیرانه پدافند غیر عامل ، نحوه چیدمان ساختار شبکه می باشـد بـه گونـه ای
کمترین آسیب پذیری را از ناحیه حملات کامپیوتری، هکر ها و دسترسی های غیر مجـاز داشـته باشـد
جهت تعریف مراحل دسترسی به قابلیتهای یک سـ ایت بایـد محـدودیتهایی در سـطوح مختلـف، اعـم از
کاربری، ارتباطی و اطلاعاتی ایجاد نمود. بدین منظور باید از دیوارهای آتش با چیدمان و ترتیبـی کـه در
نمایش داده شده است استفاده نمود.تدبیر دیگری که به عنوان تدبیر سخت افزاری مـی تـوان
ایجاد نمود، استفاده از ساختار سلسله مراتبی برای برقراری ارتباط در شبکه ها می باشد
2 یا ستون فقرات 1 ساختار سلسله مراتبی ایجاد لایه صفر
می باشد.[1

شکل : 5-3 دیوارهای آتش مورد نیاز برای ایجاد پدافند غیر عامل در شبکه

شبکه باید عملکرد خوبی از خود نشان دهدمعماری SAFE
در اعمال کارکردهای امنیتی برای شبکه،
1 (استفاده از یک وسیله تخصصی که فقط همان کارکرد که در داخل دستگاه قرار داشته باشد
2 (استفاده از یک وسیله تخصصی که فقط همان کارکرد خاص را داشته باشد
این انتخاب بستگی به عمق مورد انتظـار از آن کـارکرد دا
جداگانه استفاده می شود
دیوار آتش را هم با خود دارد
استفاده نمود
3 4( -3 -نحوه چیدمان پیشگیرانه
منظور از چیدمان پیشگیرانه
کمترین آسیب پذیری را از ناحیه حملات کامپیوتری، هکر ها و دسترسی های غیر مجـاز داشـته باشـد
جهت تعریف مراحل دسترسی به قابلیتهای یک سـ
کاربری، ارتباطی و اطلاعاتی ایجاد نمود
شکل 5-3 نمایش داده شده است استفاده نمود
ایجاد نمود، استفاده از ساختا
ساختار سلسله مراتبی ایجاد لایه صف
٢٣
3( -5 تدابیر منطقی پدافند غیر عامل
در این قسمت دو راهکار مهم برای ایجاد بالاترین ایمنی پدافندی باید مد نظر قرار گیرد .
1 راهکار اول: مدیران شبکه ها و استفاده کنندگان از نرم افزار ها، باید اقـدام بـه تهیـه نسـخه اصـلی
نـرم
2 افزارها نمایند و از نرم افزارهایی که قفل آنها شکسته شده
و دارای مجـوز نمـی باشـند بـه هـیچ عنـوان
استفاده ننماین . د بنابراین نسخه اصلی نرم افزار ها باید مستقیمĤ از شرکت تولید کننده نرم افزار یا نماینده
قانونی آنها خریداری گردد. این امر باعث می شود هزینه تهیه نرم افزار ها بالاتر رود ولـی در عـین حـال
مزایایی دارد که در ذیل آورده شده اند.[15[
1 -عدم وجود ویروس و کرمهای کامپیوتری و یا هر گونه برنامه مخرب و خطا در نرم افزار تهیه شده .
-2 پشتیبانی نرم افزار از جانب شرکت فروشنده به لحاظ به روز در آمدن
3
در مقابل تهدیدات خـارجی و حمـلات

 

 

منبع اصلی و دانلود متن کامل 

سایت سبز فایل بزرگترین و جامع ترین سایت مرجع فروش و دانلود پایان نامه های مقطع کارشناسی ارشد می باشد. هزاران فایل پایان نامه ، مقاله ، تحقیق ، پروپوزال ، پروژه دانشجویی و گزارش سمینار با فرمت word (پسوند doc یا docx) و قابل ویرایش با امکان دانلود رایگان دمو (فهرست و فصل اول همه پایان نامه ها در سایت به صورت رایگان در دسترس است تا کاملا با محتویات آن آشنا شوید) سایت سبز فایل امکان خرید پایان نامه را برای دانشجویان و محققان محترم برای استفاده در تحقیقات فراهم نموده است. برای پیدا کردن پایان نامه مورد نظرتان عبارت مورد نظر خودتان را در کادر زیر جستجو کنید:
در ضمن برای راحتی دسترسی ، عناوین همه فایل های مربوط به هر رشته را در یک صفحه گردآوری کره ایم. برای دسترسی به رشته مورد نظرتان از منوی بالای سایت وارد شوید.