آموزش رایگان سکیوریتی پلاس؛ چگونه از مکانیزم رمزنگاری برای محافظت از اطلاعات استفاده کنیم؟

برای مطالعه بخش قبل روی این آدرس کلیک کنید.

رمزگذاری داده‌ها

رمزگذاری را می‌توان به روش‌های مختلفی در یک سامانه پیاده‌سازی کرد. نکته کلیدی این است که هر زمان که داده‌ها را روی یک نوع حافظه یا دستگاه ذخیره می‌کنید، باید بررسی کنید که آیا رمزگذاری آن داده‌ها امکان‌پذیر است یا خیر. لیست زیر برخی از مناطق محبوب برای رمزگذاری اطلاعات را مشخص می‌کند:

■   ‌رمزنگاری کامل دیسک: اکثر سیستم عامل‌های امروزی از رمزگذاری کامل دیسک (FDE) پشتیبانی می‌کنند. به عنوان مثال، ویندوز 7 و نسخه‌های بالاتر دارای مکانیزم BitLocker هستند که به شما امکان میردهد محتویات کل درایو از جمله سیستم عامل را رمزگذاری کنید. در این روش برای بوت کردن سیستم، یک فرد باید کلید موردنظر را بداند تا بتوان فایل‌های بوت را رمزگشایی کند.

■   پایگاه داده: هنگام ذخیره اطلاعات در پایگاه داده، رمزگذاری اطلاعات حساس بسیار مهم است. به عنوان مثال، اگر شرکت شما برنامه‌ای دارد که شماره کارت اعتباری مشتری یا حتی رمز عبور مشتری را در سایت ذخیره می‌کند، باید آن داده‌ها را در پایگاه داده رمزگذاری کنید، زیرا امکان دسترسی هکرها به پایگاه داده و کشف این اطلاعات اگر رمزگذاری نشده باشد وجود دارد.

■   فایل‌های منفرد: اگر محتوای کل درایو را رمزگذاری نمی‌کنید، می‌توانید به دنبال رمزگذاری محتوای اسناد حساس انتخابی باشید. به عنوان مثال، می‌توانید از سیستم رمزگذاری فایل (EFS) در ویندوز برای رمزگذاری فایل‌های منفرد استفاده کنید.

■   رسانه قابل حمل: اگر داده‌ها را روی یک درایو قابل حمل مانند درایو فلش ذخیره می‌کنید، حتماً همه داده‌های شرکت را در این درایو رمزگذاری کنید. گم کردن یا فراموش کردن فلش مموری در هر مکانی دور از انتظار نیست و اگر اطلاعات رمزگذاری نشده باشد، هر کسی می‌تواند محتوای آن‌ها را بخواند!

■   دستگاهرهای تلفن همراه: اکثر دستگاه‌های تلفن همراه به شما امکان می‌دهند محتویات آن‌ها را رمزگذاری کنید تا در صورت گم شدن یا دزدیده شدن، هیچ کس نتواند داده‌های آن‌ها را بازیابی کند.

رمزگذاری مبتنی بر سخت‌افزار

رمزگذاری داده‌ها می‌تواند توسط نرم‌افزار روی سیستم یا سخت‌افزار (تراشه‌های کامپیوتری نصب شده بر روی سیستم) انجام شود. مزیت استفاده از رمزگذاری مبتنی بر سخت‌افزار این است که عملکرد سریع‌تر و کارآمدتری نسبت به راه‌حل‌های نرم‌افزاری دارد. علاوه بر این، به دلیل پیچیدگی محاسبات، سازمان‌ها از راه‌حل‌های سخت‌افزاری برای انجام سریع‌تر این فرآیند استفاده می‌کنند.

■    Trusted Platform Module: TPM تراشه‌ای است که روی مادربورد یک سیستم قرار می‌گیرد (امکان نصب جداگانه ماژول نیز در شرایطی وجود دارد) و کلیدهای رمزنگاری مورد استفاده برای رمزگذاری داده‌ها را ذخیره می‌کند. برنامه‌هایی که از رمزهای عبور برای رمزگذاری داده‌ها استفاده می‌کنند، در معرض حمله‌های فرهنگ لغت هستند. TPM دارای یک ماژول پیشگیری در برابر حمله‌های فرهنگ لغت است. در ویندوز، BitLocker از TPM برای ذخیره کلید پشتیبانی می‌کند. به خاطر داشته باشید که برای استفاده از آن، باید بایوس از TPM پشتیبانی کند و روی آن فعال باشد.

■   HSM: ماژول امنیتی سخت‌افزاری (HSM) سرنام Hardware Security Module کارتی است که به سیستمی اضافه می‌شود که حاوی یک پردازنده رمزنگاری برای انجام عملکردهای رمزنگاری نامتقارن در سطح سخت‌افزار است. همچنین حاوی تراشه‌هایی است که کلیدهای رمزنگاری را برای استفاده توسط سیستم ذخیره می‌کنند.

■   ‌مکانیزم رمزگذاری USB و هارد دیسک: همان‌گونه که اشاره شد، باید مطمئن شوید که هر دیسک سخت و حافظه قابل حمل مانند درایوهای USB رمزگذاری شده‌اند تا افراد غیرمجاز نتوانند به داده‌ها دسترسی پیدا کنند.

نکته: برای آزمون سکیوریتی پلاس باید در مورد تراشه TPM اطلاعات کاملی داشته باشید. همچنین توجه داشته باشید که اگر از TPM برای رمزگذاری محتویات درایو استفاده می‌کنید، باید یک کپی از کلیدها داشته باشید تا در صورت خرابی تراشه TPM یا مادربرد، محتویات دیسک رمزگشایی شود.

سایر ملاحظات امنیت داده‌ها

در مقوله محافظت از داده‌ها، ملاحظات دیگری نیز وجود دارد که باید به آن‌ها دقت کنید. از آن جمله به موارد زیر باید اشاره کرد:

■   فضای ذخیره‌سازی ابری: اگر اطلاعاتی را در فضای ابری ذخیره می‌کنید، مطمئن شوید که خط‌مشی امنیتی سازمان‌تان را در این زمینه می‌دانید. برخی از سازمان‌ها به دلیل ماهیت حساس داده‌ها نمی‌توانند آن‌ها را در فضای ابری ذخیره کنند.

■    SAN: بیشتر سازمان‌ها یک شبکه فضای ذخیره‌سازی برای ذخیره همه داده‌های‌شان دارند. مطمئن شوید که برای تأیید این‌که SAN به شیوه‌ای ایمن پیکربندی شده است، وقت اختصاص داده‌اید.

■   Handling Big Data: اطمینان حاصل کنید که کلان داده (Big Data) که برای ذخیره داده‌های شرکت استفاده می‌شود، در وضعیت امنی قرار دارد و هنگام دسترسی مشتریان در شبکه از کانال‌های امن استفاده می‌کند. Big Data مجموعه داده‌های بزرگی است که توسط سازمان‌ها برای تجزیه و تحلیل و تصمیم‌گیری‌های تجاری استفاده می‌شود.

■   داده‌های در حال انتقال و داده‌های در حالت استراحت: مطمئن شوید که داده‌های موجود در فضای ذخیره‌سازی را با تخصیص مجوزها یا رمزگذاری ایمن می‌کنید و همچنین داده‌های در حال انتقال را با رمزگذاری ایمن کرده‌اید. همچنین با محدود کردن اقداماتی که افراد می‌توانند با داده‌ها در نرم‌افزار انجام دهند، تا حد امکان اصل صحت و یکپارچگی اطلاعات را حفظ کرده‌اید.

سایر ملاحظات امنیت داده‌ها

تعدادی از ملاحظات دیگر وجود دارد که باید هنگام اجرای امنیت داده در نظر بگیرید، از جمله موارد زیر:

■   فضای ذخیره‌سازی ابری: اگر اطلاعاتی را در فضای ابری ذخیره می‌کنید، مطمئن شوید که خط‌مشی امنیتی سازمانتان را در این زمینه می‌دانید. برخی از سازمان ها به دلیل ماهیت حساس داده ها نمی توانند در فضای ابری ذخیره کنند.

■    SAN: بیشتر سازمان‌ها یک شبکه فضای ذخیره‌سازی برای ذخیره همه داده‌های‌شان دارند. مطمئن شوید که برای تأیید اینکه SAN به شیوه‌ای ایمن پیکربندی شده است، وقت بگذارید.

■   Handling Big Data: اطمینان حاصل کنید که Big Data که برای ذخیره داده‌های شرکت استفاده می‌شود، در وضعیت امنی قرار دارد و هنگام دسترسی مشتریان در شبکه از کانال‌های امن استفاده می‌کند. Big Data مجموعه داده های بزرگی است که توسط سازمان ها برای تجزیه و تحلیل و تصمیم گیری های تجاری استفاده می شود.

■   داده‌های در حال انتقال، داده‌ها در حالت استراحت: داده‌های در حال استفاده مطمئن شوید که داده‌های موجود در فضای ذخیره‌سازی را با مجوزها یا رمزگذاری ایمن می‌کنید و همچنین داده‌های در حال انتقال را با رمزگذاری ایمن می‌کنید. همچنین با محدود کردن اقداماتی که افراد می‌توانند با آن داده‌ها در نرم‌افزار انجام دهند، هنگام استفاده از امن بودن داده‌ها اطمینان حاصل کنید.

اجرای خط‌مشی‌های مرتبط با داده‌ها

در شماره‌های اولیه آموزش سکیوریتی پلاس یکی از مهم‌ترین جنبه‌های امنیت که هر سازمانی باید به آن دقت کند، یعنی داشتن یک خط‌مشی امنیتی دقیق و همه بایدها و نبایدها آن در سازمان را بررسی کردیم. مهم است که خط‌مشی‌های امنیتی را به‌روزرسانی کنید و یک خط‌مشی مرتبط با داده‌ها آماده کنید که موارد زیر را شامل شود:

■   پاک کردن: مطمئن شوید که این خط‌مشی حکم می‌کند که دستگاه‌ها باید به‌طور ایمن پاک شوند و وقتی دیگر از دستگاه استفاده نمی‌شود، داده‌های دستگاه برای همیشه پاک می‌شوند. همچنین مطمئن شوید که خط‌مشی شما مشخص می‌کند که دستگاه گم شده یا دزدیده شده باید از راه دور پاک شود.

■   دور انداختن: حتماً در خط‌مشی نحوه کنار گذاشتن دستگاه‌هایی که داده‌ها را ذخیره می‌کنند مشخص کنید. به عنوان مثال، هنگام تعویض یک هارد دیسک در یک سیستم، یک روش مطمئن این است که هارددیسک به شکل فیزیکی از میان برود هیچ‌کس به اطلاعات موجود روی درایو دسترسی پیدا نکند.

■   نگهداری اطمینان: حاصل کنید که سازمان شما یک خط‌مشی حفاظتی دارد که مشخص می‌کند چه مدت داده‌ها و سوابق نگهداری می‌شوند.

■   ذخیره‌سازی: مطمئن شوید که این خط‌مشی محل ذخیره داده‌ها را مشخص می‌کند. برای مثال، ممکن است بخواهید در این خط‌مشی قید کنید که آیا حافظه‌های فلش یک گزینه ذخیره‌سازی معتبر برای فایل‌های شرکت هستند یا این‌که شرکت مجاز به استفاده از فضای ذخیره‌سازی ابری است.

امنیت داده‌ها و شیوه‌های حفظ حریم خصوصی

راه‌های مختلفی برای محافظت از داده‌ها یا حذف آن‌ها وجود دارد. همه سازمان‌ها باید یک خط‌مشی تخریب داده‌ها و پاک‌سازی رسانه‌ها را اجرا کنند تا به متخصصان فناوری اطلاعات کمک کند تا بفهمند چگونه می‌خواهند داده‌ها را از دستگاه‌هایی مانند هارد دیسک‌های قدیمی و دستگاه‌های تلفن همراه حذف کنند. در زیر برخی از گزینه‌ها برای حذف داده‌ها به منظور محافظت از حریم خصوصی سازمان آمده است:

■   Burning: یک راه ساده برای از بین بردن اسناد حساس، سوزاندن اسناد است.

■   Shredding: می‌توانید از تکنیک خرد کردن اسناد برای حذف اطلاعات حساس استفاده کنید. برای این منظور به یک دستگاه خردکن نیاز دارید. یک سند که توسط یک خردکن معمولی به صورت نوار بریده شده است این شانس را به هکرها می‌تواند بخش‌ها را کنار یکدیگر قرار دهد و اطلاعات را مشاهده کند، اما یک خردکن متقاطع برای همیشه اطلاعات را حذف می‌کند. برای از بین بردن هارد دیسک‌های قدیمی می‌توانید نوع خاصی از خردکن خریداری کنید.

■   Pulping: می‌توانید با استفاده از مواد شیمیایی اسناد حساس را خمیر کنید.

■    Pulverizing : دستگاهی است که هارد دیسک قدیمی را از بین می‌برد و آن را به ذرات کوچک تبدیل می‌کند.

■    Degaussing : فرآیند حذف میدان مغناطیسی از هارد دیسک است تا داده‌ها از بین بروند.

■   پاک کردن داده‌ها: رویکردی نرم‌افزاری است که برای همیشه به داده‌ها را از روی رسانه ذخیره‌سازی، مثل هارد دیسک پاک می‌کند.

■   Wiping: می‌توانید از برنامه‌های خاصی برای پاک‌سازی ایمن درایو استفاده کنید، به این معنی که درایو را چندین بار رونویسی کنید تا اطمینان حاصل شود که داده‌ها قابل بازیابی نیستند.

نکته: برای آزمون سکیوریتی پلاس باید در مورد تکنیک‌های مختلف که برای اطمینان از محرمانگی داده‌ها در صورت استفاده از دستگاه در دسترس قرار دارند مطلع باشید. در محیط‌های بسیار امن، درایوهای قدیمی به‌طور فیزیکی از بین می‌روند تا اطمینان حاصل شود که هیچ‌کس نمی‌تواند داده‌های موجود در آن‌ها را بازیابی کند.

امنیت برنامه‌ها و چالش‌های مرتبط با BYOD

موضوع داغی که به آزمون گواهینامه سکیوریتی پلاس اضافه شده است، مبحث شیوه‌های امنیتی در ارتباط با برنامه‌ها و دستگاه‌های (BYOD) است. در این بخش، با بهترین شیوه‌های رایج که کمک می‌کنند یک محیط ایمن برای برنامه‌ها پیاده‌سازی کنید و به کاربران اجازه دهید تجهیزات سایر خود را با رعایت موارد امنیتی به محل کار آورند، آشنا می‌شوید.

بهترین روش‌های تامین امنیت برنامه‌ها

بیایید ابتدا به برخی از بهترین شیوه‌های رایج برای کمک به ایجاد زیرساخت ایمن نگاه کنیم. اگرچه برخی از این موضوعات در بخش‌های قبلی مورد بررسی قرار گرفته‌اند، اما بررسی آن‌ها ضروری است.

■   مدیریت کلید: اطمینان حاصل کنید برنامه‌های حساس در هنگام ساخت کلیدهای رمزگذاری از بهترین شیوه‌ها استفاده می‌کنند و کلیدها به روش ایمنی نگه‌داری می‌شوند.

■   مدیریت اعتبارنامه: اطمینان حاصل کنید که هرگونه اعتبارنامه امنیتی در برنامه به روشی ایمن استفاده می‌شود و همچنین در قالبی رمزگذاری‌شده در پایگاه داده ذخیره می‌شود.

■   احراز هویت: مطمئن شوید که برنامه شما همه کاربران برنامه را احراز هویت می‌کند و بر اساس آن احراز هویت، مواردی را که کاربر به آن دسترسی دارد کنترل می‌کند.

■    برچسب‌گذاری جغرافیایی: بررسی کنید که آیا برنامه کاربردی که از آن استفاده می‌کنید از ویژگی‌های برچسب‌گذاری جغرافیایی استفاده می‌کند و آیا اطلاعات شناسایی جغرافیایی در فایل‌هایی مثل عکس یا ویدیو ذخیره می‌شوند یا خیر. افشای موقعیت جغرافیایی یکی از نگران‌های بزرگ در ارتباط با حفظ حریم خصوصی است، زیرا مکان فیزیکی را می‌توان از این داده‌های برچسب جغرافیایی تعیین کرد.

■   رمزگذاری: اطمینان حاصل کنید که برنامه کاربردی هرگونه اطلاعات حساس، از جمله ارتباطات شبکه و داده‌های حساس موجود در فضای ذخیره‌سازی را رمزگذاری می‌کند.

■   فهرست مجاز برنامه: برخی نرم‌افزارهای حساس دارای ویژگی لیست سفید هستند که امکان پیکربندی آن در برنامه وجود دارد. به عنوان مثال، یک برنامه ایمیل می‌تواند یک لیست سفید مخاطبین داشته باشد که لیستی از مخاطبینی است که مجاز به ارسال ایمیل در داخل نرم‌افزار هستند.

نگرانی‌های امنیتی BYOD

یکی از نگرانی‌های امنیتی بزرگ این روزها این واقعیت است که کارمندان دستگاه‌های شخصی خود مانند تلفن همراه، تبلت و لپ‌تاپ را به دفتر می‌آورند و از آن‌ها برای انجام وظایف شرکت استفاده می‌کنند. موارد زیر برخی از نگرانی‌های مربوط به اجازه دادن به کارمند برای استفاده از دستگاه شخصی را نشان می‌دهد و باید هنگام طراحی خط‌مشی BYOD در نظر گرفته شود:

■   مالکیت داده‌ها: می‌خواهید اطمینان حاصل کنید که اگر به کارمندان اجازه دادید از دستگاه شخصی خود برای کار استفاده کنند، بنابراین باید خط‌مشی‌های مربوط به اطلاعات را تدوین کرده و به آن‌ها اعلام کنید. علاوه بر این، باید به کارمندان اطلاع دهید که اگر شرکت را ترک کردند، باید تمام اطلاعات شرکت را از دستگاه پاک کند.

■    مالکیت و مسئولیت دستگاه: مهم است که مشخص شود در صورت بروز مشکل در دستگاه، چه کسی مسئول پشتیبانی از دستگاه است. اکثر شرکت‌ها اطمینان حاصل می‌کنند که کارمند می‌داند که مسئولیت پشتیبانی از دستگاه خود را بر عهده دارد.

■   مدیریت وصله‌ها: مشخص کنید چه کسی مسئول به‌روز نگه‌داشتن دستگاه با وصله‌ها است. برخی سازمان‌ها این مسئولیت را به کارمند محول می‌کنند که وظیفه دارد هر زمان وصله‌ای منتشر شد، آن‌را روی دستگاه خود نصب کند.

■   مدیریت آنتی ویروس تصمیم بگیرید که چه کسی ویژگی‌های آنتی ویروس را مدیریت کند. اگر کارمند است، مطمئن شوید که کارمند نرم‌افزار آنتی‌ویروس روی دستگاه دارد و تعاریف مربوط به بانک اطلاعاتی ویروس را به‌روز نگه می‌دارد.

■   شواهد و مستندات دیجیتالی: خط‌مشی BYOD شما باید این موضوع را روشن کند که اگر یک حادثه امنیتی با یک دستگاه شخصی رخ دهد، شرکت حق دارد یک تجزیه و تحلیل جرم‌شناسای روی دستگاه انجام دهد. ممکن است کارمند با این موضوع موافقت نکند، بنابراین نباید به او اجازه استفاده از وسایل شخصی برای کار را بدهید.

■   حریم خصوصی: یکی دیگر از موضوعات حساس در این زمینه حفظ حریم خصوصی مالک دستگاه است. باید از کارمند بخواهید که اگر قرار است داده‌های شرکت را روی دستگاه ذخیره کند، شما این حق را دارید که در صورت لزوم دستگاه او را بررسی کنید. باز هم، ممکن است کارمند با این موضوع موافقت نکند، و در نتیجه، نباید به داده‌های شرکت در دستگاه‌های شخصی دسترسی داشته باشد.

■   Onboarding/Offboarding: اگر قرار است به دستگاه‌های شخصی که نیاز به دسترسی به سیستم‌ها و شبکه شما دارند، اجازه دسترسی بدهید، باید مطمئن شوید که رویه‌هایی برای افزودن آن دستگاه‌های شخصی به سیستم مدیریت هویت و دسترسی (IAM) که برای شناسایی افراد استفاده می‌شود، در نظر گرفته‌اید. فرآیند افزودن دستگاه جدید به شبکه  به‌نام Onboarding شناخته می‌شود، در حالی که حذف یک دستگاه از سیستم به عنوان offboarding شناخته می‌شود.

■   پیروی از خط‌مشی‌های شرکتی: نکته مهم دیگر این است که مطمئن شوید کارمند هنگام استفاده از دستگاه شخصی از خط‌مشی‌های شرکت پیروی می‌کند. این موضوع ممکن است شامل سیاست‌های مدیریت آنتی ویروس، پچ و استفاده قابل قبول باشد.

■   ‌مسئولیت‌پذیری کاربر: اطمینان حاصل کنید که کارمند با شرایط استفاده از دستگاه شخصی برای کار موافقت می‌کند و اگر موافقت نکرد، باید استفاده از دستگاه را ممنوع کنید. به یاد داشته باشید که هدف شما محافظت از منافع شرکت است.

■   ملاحظات معماری/زیرساخت: اگر قرار است دستگاه‌های شخصی به شبکه سازمانی متصل شوند، باید تغییراتی اعمال کنید و همه چیز را به دقت زیر نظر بگیرید. به عنوان مثال، ممکن است لازم باشد گواهینامه‌های خاصی را در دستگاه‌ها نصب کنید یا محدوده IP را در سرور DHCP گسترش دهید.

■   نگرانی‌های حقوقی: نگرانی‌های حقوقی متعددی در مورد اجازه دادن به یک دستگاه شخصی برای استفاده تجاری وجود دارد. رعایت این نکات است که باعث ایمن‌سازی شبکه سازمانی می‌شود. از نگرانی‌های حقوقی در این زمینه می‌توان به این مباحث اشاره کرد که چه کسی مالک داده‌ها است، انجام تحقیقات جرم‌شناسی دیجیتالی روی دستگاه و حریم خصوصی کارکنان که مالک دستگاه هستند چه تاثیری دارد.

■   خط‌مشی استفاده قابل قبول: اطمینان حاصل کنید که کارمند هنگام استفاده از دستگاه شخصی خود با خط‌مشی استفاده قابل قبول موافقت می‌کند. به طور معمول، کارمندان می‌خواهند از دستگاه خود به عنوان راهی برای دور زدن خط‌مشی استفاده قابل قبول استفاده کنند.

■   دوربین دستگاه: ممکن است لازم باشد دوربین را غیرفعال کنید تا نگرانی از بابت ضبط فیلم یا عکس‌برداری از محل نداشته باشید.

برای مطالعه تمام قسمت‌های آموزش سکوریتی پلاس اینجا کلیک کنید.

معرفی آموزشگاه شبکه و امنیت

• تهران: آموزشگاه عصر رایان شبکه
• مهندس اطلاعات 
• تلفن: 02188549150           کانال: Asrehshabakeh@

تبلیغات لینکی: 

سایت استخدام