آيا شبكه كامپيوتري شركت يا سازماني كه در آن كار مي كنيد استاندارد است و آيا اطلاعات شما در سرور شبكه امن مي باشد. در يك سوال كلي تر، آيا شبكه كامپيوتري استاندارد را مي شناسيد و با فاكتورهايي كه در يك شبكه ايمن رعايت مي شوند آشنا هستيد؟ نوشتاري را كه در پيش رو داريد چكيده و كلياتي است كه در يك شبكه استاندارد بايد پياده سازي شوند و امكان اجرايي كردن آن ها در كشورمان ايران مهيا است.
بستر فيزيكي مناسب:
بستر فيزيكي يك شبكه كامپيوتري خواه مبتني بر باسيم و يا بي سيم بايد قابل اطمينان بوده و سرعت و پهناي باند مناسبي داشته باشد و اين مهم جز با طراحي صحيح و انتخاب End To End تجهيزات محقق نخواهد شد.
الف: طراحي صحيح:
شبكه هاي كامپيوتري بايد از مدل سه لايه (Core,Distribution,Access) يا مدل دولايه (Core,Distribution+Access) تبعيت كنند شبكه هايي كه داراي سوئيچ هاي تماما تك لايه هستند غير استاندارد بوده و پياده سازي Routing و VLAN در آن ها با مشكل روبروست.
ب: انتخاب بستر اصلي مناسب (Backbone):
بستر اصلي شبكه يا Backbone رسانه اي است كه تجهيزات فعال شبكه را با يكديگر مرتبط ساخته و امكان انتقال اطلاعات را بين آن ها فراهم مي آورد. پهناي باند اين بستر حداقل 10 برابر پهناي باندي است كه براي نقاط دسترسي فراهم است. در اين ساختار كليه سوئيچ ها، روترها و سرورهاي شبكه با پهناي باند</SPAN> ; بالاتري به اين بستر مرتبط هستند.
ج: اجرا بر مبناي اصول كابل كشي ساخت يافته& lt;/SPAN> (Structured Cabling Implementation):
كابل كشي ساخت يافته استانداردي جهت درست اجرانمودن يك پروژه شبكه كامپيوتري است كه بر مبناي آن چگونگي همبندي كابل ها، خم ها، فواصل، اجزاي شبكه و… مشخص مي شوند. اجراي يك پروژه بر مبناي اصول كابل كشي بصورت ساخت يافته تضمين كننده سلامت اتصالات و درنتيجه بستر فيزيكي خواهد بود.
د: تجهيزات مناسب براي محيط كاري& lt;/B> مناسب:
انتخاب نوع تجهيزات كاملا وابسته به كاربري شبكه و محيطي است كه در آن پياده سازي مي شود. به عنوان مثال محيط هاي صنعتي داراي نويز شديد و شرايط سخت مي باشند لذا كابل هاي فيبرنوري بهترين گزينه جهت ارتباط قسمت هاي مختلف كه داراي نويز شديد و فواصل بالاي 100 متر هستند مي باشند. همچنين استفاده از كابل هاي پوشش دار مسي نيز براي فواصل زير 100 متر و كم نويز مي تواند مورد استفاده قرار گيرد. معمولا اين شرايط سخت جهت محيطهاي اداري صادق نيست لذا در انتخاب تجهيزات استفاده از تجهيزات با كيفيت ولي با حساسيت كمتر كافي مي باشد.
نرم افزارهاي استاندارد و بروز رساني آن ها:
نرم افزارهاي مختلف از عوامل مهم در استفاده بهينه از شبكه كامپيوتري هستند. اگر شبكه كامپيوتري سازمان شما داراي ساختار فيزيكي بسيار عالي باشد اما يك كاربر امكان استفاده از اطلاعات و امكانات موجود روي سرورها را نداشته باشد به هدف نرسيده ايم.
الف: سيستم عامل و ديتابيس: سيستم عامل و ديتابيس هاي مستقر روي سرورهاي يك سازمان نقش تعيين كننده اي در نحوه استفاده از شبكه و امكانات موجود روي آن دارند. استفاده از آخرين نسخه نرم افزار جهت سرورهاو ايستگاه هاي كاري، همچنين نصب آخرين ServicePackها و Patch ها، مشكلات شناخته شده روي سيستم عامل را برطرف كرده و صحت كاركرد آن را بيش از پيش سبب خواهد شد. همچنين استفاده از نسخه هايي مطمئن جهت نرم افزار ديتابيس (Oracle , SQL , …) و نصب Service Pack ها و Patch ها آن ها از عوامل ضروري هستند.
</SPAN&g t;ب: سرويس هاي تحت شبكه: استفاده بهينه از شبكه كامپيوتري جز با راه اندازي صحيح سرويس هاي موردنياز ميسر نمي شوند. DHCP,DNS,Domain Controller و… از جمله اين سرويس ها هستند. هر سرويسي كه اجرايي مي شود از يك يا چند پورت كامپيوتر استفاده مي كند لذا علاوه بر اعمال پردازشي نو به پردازنده دستگاه، دروازه اي را به بيرون باز مي كند كه در صورتيكه ناخواسته و نادانسته باز شود امكان ايجاد دسترسي غيرمجاز و حملات را به سرور فراهم خواهد آورد.جداسازي منطقي سرويس ها، حذف سرويس هاي غير ضروري و مانيتور نمودن دوره اي سرور راه حل هايي جهت بهبود در اين حوزه هستند.&l t;/SPAN>
ج: نرم افزارهاي كاربردي: با توجه به وجود نرم افزارهاي كاربردي تحت شبكه به منظور پياده سازي سرويس هاي مختلف، لزوم بازنگري در آن ها و حذف نرم افزارهاي غير استاندارد و مشكوك مشخص مي شود.
پياده سازي امنيت در سازمان:
امنيت مختص يك يا چند دستگاه كامپيوتري نبوده بلكه كل سازمان را شامل مي شود. وجود اصول و اساسنامه جهت ايمن سازي اطلاعات سازمان از درب ورودي شروع شده و تا محل قرارگيري اطلاعات ادامه پيدا مي كند. تعريفي كه براي امنيت مي شود مرزهارا شكسته و كليه عوامل تهديد كننده اطلاعات را در سازمان شامل مي شود. امكان ازبين رفتن اطلاعات دراثر عوامل فيزيكي (نظير آتش سوزي)، تهديدات نفوذگران شبكه، ويروس ها و كرم هاي اينترنتي، دزدي رسانه و…. همگي از عوامل تهديد كننده اطلاعات سازمان ما هستند لذا داشتن برنامه و استراتژي جامع و كاملي كه كليه موارد تهديد كننده و نحوه برخورد باهريك را مشخص نمايد از الويت هاي هر سازمان مي باشد. در زير تنها به برخي از عوامل تهديد كننده اطلاعات شبكه هاي كامپيوتري اشاره شده است:
الف: ويروس ها، كرم ها و تروجان ها:
</SPAN&g t; با توجه به گسترش روزافزون شبكه هاي كامپيوتري و ارتباط آن ها با اينترنت، امكان ورود نرم افزارهاي مخرب كوچك نظير ويروس ها،كرم ها و تروجان ها به سرورها و ايستگاه هاي كاري وجود خواهد داشت لذا استفاده از ويروس ياب ها و ويروس كش هاي مناسب بايد در دستور كار مدير – شبكه قرار گيرد. همچنين وجود Adware ها و Spyware ها، باعث كندي دستگاه هاي كامپيوتري و سرورها شده و از كارايي شبكه مي كاهد.
ب: ارتباط به اينترنت:
پيشرفت تكنولوژي و كاهش هزينه ارتباط به اينترنت، سازمان ها را ترقيب به استفاده بيش ازپيش نموده است. شبكه هاي زيادي هستند كه بطور مستقيم و بدون درنظرگرفتن
هرگونه امكان امنيتي، به اينترنت مرتبط هستند و از آن استفاده مي كنند. در اينگونه شبكه ها، خطر نفوذ به سيستم و سوء استفاده از اطلاعات سازمان و همچنين ورود انواع ويروس ها و كرم ها (Worm) وجود خواهد داشت. جداسازي سرورها و سرويس ها، استفاده از ديواره آتش مناسب، IDS , IPS، از راه حل هاي ارتباط امن با اينترنت محسوب مي شوند. ساده ترين ساختاري را كه در طراحي امنيت سازمان تان مي توانيد لحاظ كنيد تقسيم بندي سرورها و شبكه كامپيوتري به سه ناحيه شبكه داخلي، شبكه خارجي و ناحيه محافظت شده است. كليه </SPAN& gt;سرورها و ايستگاه هاي كاري كه تنها بايد در شبكه داخل سازمان در دسترس باشند و نياز به ارتباط خارجي ندارند را در ناحيه شبكه داخلي (Internal Network)، اينترنت و شبكه ها مرتبط با آن را در ناحيه شبكه خارجي (External Network) و سرورهايي از شبكه داخلي را كه نياز به ارتباط به اينترنت دارند،در ناحيه محافظت شده يا DMZ قرار دهيد. نمونه اينگونه سرورها FTP Server، Mail Server هستند.
ج: استفاده از ديواره آتش يا Firewall:
ديواره آتش نرم افزار يا سخت افزاري است كه جهت محافظت و دور از دسترس قراردادن شبكه داخلي از حملات و نفوذهاي تحت شبكه مورد استفاده قرار مي گيرد. با توجه به توضيحاتي كه در قسمت قبل داده شد</SPAN> ; به كمك ديواره آتش سه ناحيه داخلي، خارجي و DMZ را مي توان از يكديگر متمايز نمود و پاكت هاي در حال تبادل بين نواحي مختلف را مورد سنجش قرار داد و حتي از عبور پاكت هاي اطلاعاتي غير ضروري ممانعت نمود.Content Filtering، #####، Virus Scanning، VPN، SPAM Filter، Anti Spyware، Traffic Shaping، Anti Phishing، IPS/IDS، Ahthentication از مشخصه هاي ديگري هستند كه بايددر هنگام تهيه و انتخاب ديواره آتش، آن ها را مدنظر داشته باشيد.
د: سياست نامه امنيتي:
تهيه و اجراي اساسنامه امنيت اطلاعات مبتني بر استاندارد هاي موجود متناسب با سازمان و نوع كار پايه و اساس پياده سازي امنيت مي باشد. بدون داشتن برنامه و هدف اجراي امنيت در سازمان، قادربه ايجاد فضايي امن براي اطلاعات نخواهيد بود. دامنه اين اساسنامه با نظر مدير سازمان متفاوت خواهد بود. دامنه حفاظت شده يا
Scope مي تواند كليه بخش هاي سازمان را دربرگيرد و ياحتي بخش هايي از آن را پوشش دهد. معمولا براي شروع پياده سازي امنيت اطلاعات سازمان از واحد و بخش كوچكي آغاز كرده و به مرور آن را به بخش هاي ديگر تعميم مي دهند.
و: نصب به موقع Service Pack ها و Patch ها:
وجود مشكلات متعدد سيستم عامل ها و نرم افزارهاي مختلف، سازندگان آن ها را موظف به رفع مشكل آن ها پس از شناسايي نوع مشكل مي نمايد لذا شركت هاي تهيه كننده نرم افزار اقدام به پخش نرم افزارهاي رفع خطا در قالب Patch ها و Service Pack ها مي نمايند. نصب به موقع اين بسته هاي كوچك نرم افزاري رفع خطا مشكلات موجود را مرتفع ساخته و از سوء استفاده از نقص هاي موجود جلوگيري خواهد كرد.به عنوان مثال تاكنون Service Pack 4براي Win2000، SP2 براي XP و Win2003 Server از جانب شركت مايكروسافت براي استفاده كاربران عرضه شده است كه قابل Download بر روي سايت آن شركت مي باشند.
سرور مناسب:
<SPAN style="mso-spacerun: yes"> ; سرور درواقع مركز اطلاعات هر سازماني است و ايستگاه هاي كاري ديگر به آن مرتبط شده و از اطلاعات و سرويس هاي آن بهره مي برند. جهت تهيه سروري مناسب ابتدا بايد نوع كاربري، تعداد كاربران مرتبط با آن و نوع نرم افزارهاي كاربردي روي آن مشخص شوند و پس از آن اقدام به تهيه سرور با سخت افزاري متناسب با نياز نمود. داشتن پشتيبان در قطعات از شرايط ديگر يك سرور خوب است به عنوان مثال داشتن دو پردازنده يا دو پاور با قابليت تامين توان كافي و يا چند ديسك سخت جهت راه اندازي Raid نرم افزاري يا سخت افزاري از مزيت هاي يك سرور استاندارد مي باشد. داشتن امكانات كافي تهيه نسخه پشتيبان از اطلاعات نظير Tape Backup Driver و يا حتي يك دستگاه DVD Writer از مشخصه هاي ديگر يك سرور مناسب هستند.
تهيه نسخه پشتيبان:
داشتن برنامه اي مناسب براي تهيه نسخه پشتيبان يا Backupو تقسيم بندي و محافظت از آن از مهمترين فعاليت هاي يك مديرشبكه محسوب مي شود كه بايد همواره مدنظر داشته باشد. استفاده از Backup Autoloader، Tape Backup و ياحتي DVD Writer و CD Writer از مواردي هستند كه بايد همواره مدنظر قرار گيرند. نرم افزارهاي مختلفي وجود دارند كه مي توان به كمك آن ها موارد سياستنامه تهيه نسخه پشتيبان را بهتر پياده سازي نمود كه از آن جمله مي توان به Live state، Backup Exec و … اشاره كرد.
نظارت و سنجش دائمي شبكه:
سنجش دائمي ترافيك شبكه و مانيتورينگ آن توسط ابزارهاي مختلف نرم افزاري و سخت افزاري از عواملي مهم پيشگيري قبل از فاجعه هستند كه بايد در شبكه هاي كامپيوتري مدنظر قرارگيرند. شما توسط نرم افزارهاي مانيتورينگ نظير CiscoWorks، Solarwins و هزاران نرم افزاري كه بدين منظور ايجاد شده اند قادر خواهيد بود شبكه خود را مورد بازرسي و بازبيني قرارداده و مشكلات آت را قبل از بروز خطايي غيرقابل جبران، مرتفع نماييد.
</SPAN& gt; طالبي كه مطالعه كرديد اهم مواردي است كه بايد در پياده سازي و نگهداري يك شبكه استاندارد مورد توجه قرارداد. عدم توجه به هريك از موارد فوق نه تنها كارايي شبكه شمارا كاهش خواهد داد بلكه در مواردي آن را به مخاطره خواهد انداخت. اميد است با توجه به آن ها گامي در ارتقاي شبكه كامپيوتري سازمانتان برداريد.
www.avaxnet.com
