برقراري امنيت فيزيكي، يعني كنترل تردد و دسترسي افراد به تأسيسات و مناطق خاص، نقش حساسي را در نيل به اهداف يك مركز داده ايفا مينمايد. امروزه بهكارگيري فناوريهاي جديد مانند تعيين هويت با استفاده از ويژگيهاي بيومتريك و مديريت از راه دور امنيت اطلاعات، در گستره وسيعي به كمك فعالان حوزه امنيت آمده است كه نتيجه آن، كنار گذاشتن روشهاي سنتي (كارت و نگهبان) توسط سيستمهاي امنيتي مدرن در داخل و اطراف مراكز داده است. در اين راه و پيش از صرف سرمايه و خريد تجهيزات، مديران IT بايد با تشخيص و تخمين صحيح نيازهاي امنيتي سازمان خود، مناسبترين و مقرون به صرفهترين روش حفاظتي را انتخاب نمايند. اين مقاله به صورت اجمالي اصول تشخيص هويت افراد (Personnel Identification) و روشهاي اجرايي آن، عناصر اصلي و شيوههاي رايج در بحث سيستمهاي امنيتي را بررسي مينمايد.
نيروي انساني؛ ريسكي كه بايد مديريت شود
زماني كه از امنيت يك مركز داده صحبت ميكنيم، اولين چيزي كه به ذهن خطور ميكند، حفاظت در برابر خرابكاري، جاسوسي و دزدي اطلاعات خواهد بود. نياز به محافظت در برابر اخلالگران و جلوگيري از وارد آمدن آسيبهاي عمدي نيز امري بديهي به حساب ميآيد. با اينحال خطراتي كه از جانب فعاليتهاي روزمره كاركنان و كارمندان متوجه يك مركز داده ميشود، مخاطرات و آسيبهاي عموماً پنهاني هستند كه اغلب تأسيسات اطلاعاتي به طور دائم با آن روبهرو هستند.
كاركنان جزو لاينفك يك مركز داده به حساب ميآيند. به طوري كه مطالعات نشان ميدهند، شصت درصد از مواردي كه منجر به از كار افتادن يك مركز داده ميشود به علت اشتباهات فردي، استفاده نادرست از ابزار و تجهيزات، عدم الصاق برچسب و نصب نوشتههاي راهنما، سقوط اشيا، اشتباه در تايپ فرامين و ديگر موارد پيشبيني نشده كوچك و بزرگ اتفاق ميافتند.
از آنجايي كه حضور كاركنان همواره همراه با اشتباهات اجتنابناپذير انساني است، كنترل و ايجاد محدوديت در تردد كاركنان به مناطق حساس، يكي از نكات كليدي در مقوله مديريت ريسك است. اين مطلب حتي در زماني كه احتمال حركات و فعاليتهاي مشكوك ضعيف به نظر ميرسد نيز به قوت خود باقي است.
فناوريهاي تشخيص هويت با همان سرعتي كه تجهيزات، اطلاعات و ارتباطات تغيير ميكنند، در حال پيشرفت است. همراه با پديد آمدن تجهيزات و تكنيكهاي جديد نبايد اين نكته را فراموش نمود كه مشكل اصلياي كه تمام اين تلاشها به خاطر آن صورت ميگيرند، نه نكتهاي فني و نه مسئلهاي پيچيده است.
اين مشكل به زبان ساده عبارت است از: «دور نگهداشتن افراد غيرمجاز يا بدخواه از محلهايي كه نبايد در آنجا حضور داشته باشند.» اولين قدم، ترسيم نقشه مناطق حساس و تعيين قوانيني براي دسترسي به اين مناطق خواهد بود. اگرچه اينكار ممكن است به ايجاد يك طرح پيچيده و چندلايه منجر شود، در نهايت كار خيلي دشواري نيست. مديران IT عموماً ميدانند كه چه افرادي بايد در چه نقاطي حضور داشته باشند. دشواري كار در قدم دوم نهفته است: تصميم درباره انتخاب فناوري مناسب براي اجراي طرح.
كه هستيد و چرا اينجاييد؟
پيادهسازي فناوريهاي امنيتي ممكن است به نظر عجيب و پيچيده بيايد. به اين اسامي توجه كنيد: اثرانگشت، اسكن كف دست، اسكنر چشم، كارتهاي هوشمند و شناسايي طرح چهره. مفاهيم اساسي امنيت از همان زماني كه براي اولين بار انسان اقدام به محافظت از اموال خود نمود تا كنون بدون تغيير باقي مانده است. اين مفاهيم كه ساختاري ساده دارند و براي همه ما قابل فهمند، عبارتند از: پاسخي قاطع و روشن به اين سؤال كه: كه هستيد و اينجا چه ميكنيد؟
سؤال اول، يعني «كه هستيد؟»، بيشترين مشكلات را در طراحي سيستمهاي امنيتي خودكار ايجاد ميكنند. فناوريهاي امروزي تلاش ميكنند با سطوح مختلفي از اطمينان، به طريقي هويت افراد را تعيين نمايند. وجود تفاوت در ميزان دقت هر فناوري، باعث ايجاد تفاوت در هزينه استفاده از آن فناوري ميگردد.
زيرساخت حساس فيزيکي
امنيت فيزيکي بخش مهمي از زيرساخت حساس فيزيکي محسوب ميگردد. زيرا نقش مستقيمي در بالا بردن حداکثر زمان در دسترس بودن سيستم (Uptime) را ايفا ميکند. اين کار با کاهش زمان Downtime و از طريق جلوگيري از حضور و تردد اشخاص بيگانه (که خطر بروز حادثه يا خرابکاري تعمدي را افزايش ميدهد) صورت ميپذيرد.
براي مثال، استفاده از كارتهاي مغناطيسي، هزينه پاييني به همراه دارد. اما از سوي ديگر نتيجه آن به هيچوجه قابليت اطمينان صددرصد را ندارد.
زيرا هيچگاه مطمئن نيستيد كه چه كسي از كارت استفاده مينمايد. اسكنر عنبيه چشم گرانقيمت است، ولي نتيجه قطعي به همراه دارد. يافتن تعادلي مناسب بين دقت و هزينه، نكته اصلي در طراحي يك سيستم امنيتي به شمارميرود.
سؤال دوم يعني «اينجا چه ميكنيد؟»، به زبان ديگر به اين معني است كه: «وظيفه شما در اين بخش چيست؟» پاسخ به اين سؤال ميتواند به طور تلويحي به همراه احراز هويت فرد مشخص گردد (نام اين پرسنل آليس ويلسون متخصص كابلكشي ما است. وي در زمينه كابلها كار ميكند. بگذاريد وارد شود) يا اينكه اطلاعات مربوطه به طرق مختلف جمعآوري گردند.
اين كار ميتواند به اين شكل انجام شود كه اطلاعات مرتبط با «هويت» و «دليل» حضور شخص در يك ناحيه حفاظت شده با يكديگر تركيب شوند و براي مثال در يك كارت مغناطيسي ذخيره گردند. در چنين حالتي هويت يك فرد ميتواند از طريق فراخواندن اطلاعات موجود روي يك رايانه با دسترسي مجاز تأييد شود.
البته براي اين بخش ميتوان از روشهاي دسترسي متفاوتي نيز استفاده نمود؛ روشهايي كه بر پايه حضور با اهداف مختلف طراحي گرديدهاند. گاهي سؤال دوم، يعني دليل حضور، تنها سؤال مهم است و پاسخ به سؤال اول اهميتي ندارد. مثال مناسب براي اين حالات، كاركنان بخش تعميرات و نظافت هستند.
تركيب تخصصها براي يافتن راهحل
مديران فعال در حوزه IT به خوبي با «چه كسي و چرا»هاي مسائل امنيتي آشنايي دارند. اما ممكن است در خصوص جزئيات يك روش خاص يا يك تكنيك مناسب براي پيادهسازي آنها، بينش و بصيرت كافي نداشته باشند يا سادهتر اينكه، اصولاً به چنين شناختي احتياجي نداشته باشند. در عوض، مديران IT با آگاهي از محدوديتهاي ناشي از بودجه و شناخت خطرات و تهديدات موجود، مسائلي كه سازمان آنان در موارد امنيتي با آنها دست به گريبان است را به خوبي ميفهمند.
از سوي ديگر، شايد مشاوران فعال در زمينه سيستمهاي امنيتي با جزئيات ريز و ظريف سازمان آشنايي نداشته باشند. اما با شناخت ظرفيتها، موانع و هزينههاي روشهاي جديد، كمك خوبي براي مديران محسوب ميگردند. مشاوران معمولاً تجارب خوبي در ديگر زمينههاي طراحي سيستمهاي امنيتي دارند و به همين خاطر قادرند براي هرچه واضحتر شدن مسئله، سؤالات خوبي را در كنار دو سؤال اصلي «چه كسي و چرا؟» مطرح سازند .
بدين شكل و با استفاده از تلفيق تخصصها، طراحي سيستم امنيتي با برقراري تعادل مناسب بين ملزومات، ميزان خطرپذيري، روشهاي در دسترس و محدوديتهاي مالي صورت خواهد پذيرفت.
شناسايي مشكل
مناطق محافظت شده: چه چيزي نيازمند محافظت است؟
اولين قدم در پيادهسازي طرح حفاظتي يك تأسيسات، تهيه نقشهاي از اماكن فيزيكي، شناسايي نواحي و نقاط ورودي است. در اين نقشه بايد كليه نواحي از لحاظ سطوح امنيتي و همچنين قواعد دسترسي مشخص و دستهبندي گردند.
جانمايي مناطق ذيل ميتواند به صورت نواحي هممركز طراحي گردد:
- محدوده بنا
- محدوده ساختمان
- بخش كامپيوتر
- اتاق سرورها
- رك حاوي تجهيزات
به همين شكل نواحي زير نيز ميتوانند به صورت مجاور با يكديگر در نظر گرفته شوند:
- بخش ملاقات كنندگان
- دفاتر
- انبار، سرويسها و تأسيسات
«امنيت فيزيکي» يعني ...
يکي ديگر از معاني امنيت فيزيکي، محافظت در قبال آسيبهاي سهمناک (آتش، سيل، زمينلرزه، بمباران) يا خرابي تأسيسات (قطع برق، خرابي بخش ولتاژ بالا) است. در اين مقاله مقصود از اين عبارت، تنها محافظت در برابر نفوذهاي داخلي است که توسط انسان صورت ميگيرد.
در مناطق هممركز ميتوان از روشهاي دسترسي متفاوت يا افزاينده استفاده نمود. در صورتي كه از روش امنيتي افزاينده استفاده شود، با نزديكتر شدن به ناحيه مركزي بر شدت و ميزان توجه و محافظت افزوده خواهد شد.
حُسن اين روش در اين است كه براي دسترسي به مناطق داخلي، علاوه بر قوانين امنيتي مربوط به آن ناحيه، قوانين مربوط به نواحي بيروني و لايههاي خارجي نيز ناظر بر تردد افراد خواهند بود. علاوه بر آن، هر گونه نفوذ به يك ناحيه بيروني، توسط لايه حفاظتي بعدي خنثي خواهد شد.
Rack-Level Security: در قلب لايههاي امنيتي «رك» قرار دارد. قفلهاي مخصوص رك كه به طور ويژه براي اين محفظهها ساخته شدهاند، هنوز كاملاً عموميت نيافتهاند. اما در صورت رواج، به عنوان آخرين سد دفاعي در برابر دسترسيهاي غير مجاز در تجهيزات حساس به كار گرفته خواهند شد.
اتاقي را در نظر بگيريد كه در دور تا دور آن ركهاي حاوي سرور قرار دارند. در چنين اتاقي بسيار بعيد به نظر ميرسد كه تمامي افراد حاضر در اتاق به دسترسي به تمام ركها نياز داشته باشند. استفاده از قفل رك اين اطمينان را به وجود خواهد آورد كه كاركنان سرورها به رك سرورها، كاركنان مخابرات به رك تجهيزات مخابراتي و به همين شكل هر فردي به رك مربوط به كار خود دسترسي داشته باشد.
«قفلهاي رك قابل مديريت» اين قابليت را دارند كه از راه دور پيكربندي شوند تا تنها در زمان نياز و براي افراد مشخص دسترسي به رك را امكانپذير سازند. با استفاده از اين قفلها خطرات ناشي از حوادث، خرابكاري يا نصب غيرمجاز تجهيزات اضافه (كه خطراتي از قبيل افزايش مصرف برق و درجه حرارت داخلي رك را به دنبال دارد) به حداقل خواهد رسيد.
Infrastructure Security: توجه به اين نكته ضروري است كه در تهيه نقشههاي امنيتي، علاوه بر نواحي دربرگيرنده تجهيزات عملياتي IT، به نواحي شامل المانهاي زيرساختي فيزيكي نيز توجه شود. زيرا تهديد اين المانها ميتواند موجب از كار افتادن كل سيستم و در نتيجه بروز Downtime گردد.
براي مثال، تجهيزات HVAC (برق فشار قوي) ميتوانند عمداً يا سهواً خاموش شوند، ژنراتوري كه باتريها را شارژ ميكند احتمال دارد به سرقت برود يا كنسول مديريت هوشمند سيستم احتمالاً به اشتباه سيستم اطفاي حريق را فعال سازد.
ضوابط دسترسي: چه كسي؟ كجا؟
اجازه دسترسي يك فرد به يك ناحيه حفاظت شده، به عوامل گوناگوني بستگي دارد. در كنار عواملِ مرسومِ «هويت» و «هدف حضور»، سه عامل مهمتر (عوامل ديگري نيز ميتوانند تأثيرگذار باشند) عبارتند از:
هويت شخصي: پرسنل مشخصي كه در يك سازمان مشغول كارند، بايد به بخشهاي مرتبط با وظيفه آنها دسترسي داشته باشند. براي نمونه، مدير امنيت يك شركت بايد به اكثر بخشهاي ساختمان دسترسي داشته باشد.
موارد را از هم تفکيک کنيد
اجازه ندهيد جزئيات فنارويهاي «شناسايي هويت» مانع از ترسيم نقشه ملزومات امنيتي در ابتداي کار گردند. پيش از هر چيز ناحيه مورد نظر و شرايط دسترسي به ساختمان را مشخص سازيد و پس از آن تحليلهاي هزينه/ کارايي/ ريسک را انجام دهيد. بعد از يافتن موازنهاي مناسب بين اين فاکتورها، بيهترين فناوري را انتخاب کنيد.
اما دليلي وجود ندارد كه همين شخص به اطلاعات مشتريان در بانك اطلاعات شركت دسترسي داشته باشد. ممكن است مسئول IT يك شركت به اتاقهاي كامپيوتر و سيستمعاملهاي نصب شده روي آنها دسترسي داشته باشد.
اما همين شخص اجازه ورود به بخش تأسيسات و تجهيزات ولتاژ قوي ساختمان را نخواهد داشت. يا مديرعامل شركتي را در نظر بگيريد كه بايد به دفتر مدير حراست، بخش IT و بخشهاي عمومي شركت دسترسي داشته باشد.
اما دليلي وجود ندارد اجازه دستيابي به اتاق سرور يا بخش تأسيسات را داشته باشد.
مجوز حضور: ممكن است يكي از پرسنل بخش تعميرات (صرفنظر از نام و مشخصاتش) تنها به قسمت تأسيسات و نواحي عمومي دسترسي داشته باشد. از سوي ديگر، ممكن است مجوز دسترسي يك كارگر بخش خدمات كه وظايف محوله وي معمولاً به طور روزانه تغيير ميكند، فقط براي دسترسي به قسمتهاي عمومي و مشترك اعتبار داشته باشد. يك متخصص سوييچهاي شبكه تنها اجازه دسترسي به ركهايي را دارد كه حاوي اين سوييچها هستند، نه ركهايي كه سرورها و ديگر ابزار ذخيرهسازي در آنها جاي داده شدهاند.
در يك مركز كه سرورهاي ميزبان وب در آن قرار دارند، امكان دارد كارمند بخش «پشتيباني از سيستمهاي كلاينت» فقط اجازه ورود به اتاق كلاينتها (يعني جايي كه براي انجام وظايف مديريتي، از آنجا به وسيله كلاينت به سرورها متصل ميشوند) را داشته باشد.
چرا تا اين اندازه پيچيده؟
دليل اين که طراحي سيستمهاي امنيتي تا اين اندازه پيچيده به نظر ميرسند اين است که ما اين فناوريها را به خدمت نميگيريم تا با سرعت، به آساني و با هزينهاي اندک هويت يک فرد را با قاطعيت و اطمينان بالا تأييد کنيم. چيزي که ما به دنبالش هستيم، مجموعهاي از انواع روشهاي مختلف مؤثر و پرهزينه ا ست که پس از انجام تحليلهاي دشوار از لحاظ هزينه/ کارايي/ ريسک و قضاوت در مورد لزوم ترکيب چندين فناوري و نتيجتاً پيادهسازي يک سيستم امنيتي هممرکز، مورد استفاده قرار گيرد.
اطلاعات مجاز: اجازه دستيابي به قسمتهاي فوقالعاده حساس تنها به برخي افراد خاص و براي اهداف خاص داده ميشود. البته افرادي كه «بايد» به اطلاعات مربوطه دسترسي داشته باشند، اين دسترسي تا هنگام «نياز» براي آنها مهيا خواهد بود.
استفاده از فناوري
روشهاي احراز هويت: «قابليت اطمينان» در «برابر هزينه»
روشهاي شناسايي افراد به سه بخش عمده تقسيم ميشوند. اين سه بخش از نظر قابليت اطمينان و البته ميزان هزينه به ترتيب صعودي عبارتند از:
- چه به همراه داريد؟
- چه ميدانيد؟
- چه كسي هستيد
چه به همراه داريد؟: ضعيفترين قابليت اطمينان (امكان استفاده به صورت اشتراكي و امكان به سرقت رفتن)
اين بخش شامل وسايلي ميشود كه فرد ميتواند با خود حمل كند يا بپوشد. يك كليد، يك كارت يا يك شيء كوچك (Token) كه ميتواند به جايي از لباس فرد متصل گردد يا در داخل يك جا كليدي قرار داده شود. اين ابزارها ميتوانند خيلي ساده، مانند يك كليد فلزي، يا خيلي هوشمند، مانند يك كارت با تراشه هوشمند باشند.
چنين ابزاري ميتواند يك كارت داراي نوار مغناطيسي حاوي اطلاعاتي در مورد شما (مانند كارتهاي آشناي ATM)، يا يك كارت يا Token مجهز به فرستنده و/يا گيرنده كه در فواصلي كوتاه با يك Reader در ارتباط است (proximity card يا proximity token)، باشد.
اين دسته از روشهاي احراز هويت، پايينترين قابليت اطمينان و اعتماد را دارند. زيرا هيچ ضمانتي وجود ندارد كه اين ابزار توسط فرد مجاز مورد استفاده قرار گيرند. اين ابزارها ميتوانند به اشتراك گذاشته شوند، به سرقت بروند، مفقود شوند يا فردي آن را پيدا كرده باشد.
چه ميدانيد؟: قابل اطمينانتر (به سرقت نميروند. اما ميتوانند بين چند نفر به اشتراك گذاشته شوند يا در جايي نوشته شوند)
متدهاي اين دسته شامل كلمات عبور، كد، دستورالعملي براي انجام يك كار (مانند باز كردن يك قفل رمز شده)، عمليات تأييد توسط يك card reader يا دسترسي به يك رايانه از طريق صفحه كليد هستند. استفاده از كلمه عبور يا كد براي تأمين امنيت معمولاً يك معماي امنيتي را ايجاد ميكند: به خاطر سپردن كلمه عبور يا كد بسيار آسان است.
به همين دليل، حدس زدن آن نيز كار سادهاي است. اگر عبارت انتخاب شده سخت و مشكل باشد، آنگاه نميتوان به سادگي آن را حدس زد. اما چون كلمه عبور و كد را ميتوان جايي نوشت و يادداشت كرد، همين امر ايمني آن را كاهش ميدهد.
اين دسته، از دسته اول قابل اطمينانتر است. اما كلمات عبور و كدها نيز همچنان ميتوانند مشتركاً مورد استفاده چند نفر قرار گيرند و اگر در جايي نوشته شوند، آنگاه خطر لو رفتن آن افزايش خواهد يافت.
چه كسي هستيد؟: بالاترين قابليت اطمينان (وابسته به خصوصيت فردي كه منحصراً متعلق به يك شخص است).
اين دسته از روشهاي احراز هويت، بر پايه شناسايي مشخصات منحصربه فرد فيزيكي و فيزيولوژيكي افراد ايجاد شدهاند. شناسايي قاطع هويت اشخاص، نيازي است كه همگي به طور روزمره به آن احتياج داريم. وقتي اين عمل با استفاده از روشهاي تكنولوژيك صورت ميگيرد، نام «روشهاي بيومتريك» به آن اطلاق ميشود. تكنيكهاي اسكن بيومتريك بر اساس چند ويژگي خاص انساني كه قابل تبديل به اطلاعات كمّي و قابل تحليل هستند طراحي ميشوند. برخي از رايجترين اين تكنيكها عبارتند از:
- اثر انگشت
- عنبيه (الگوي رنگي)
- شبكيه (الگوي مويرگهاي خوني چشم)
- صدا
- دست (شكل انگشتها و ضخامت دست)
- صورت (موقعيت نسبي چشمها، بيني و دهان نسبت به يكديگر)
- دستخط (الگوي حركت قلم در هنگام نوشتن)
نتيجه پردازش ابزارهاي بيومتريك (در صورتي كه هويت شخص را تأييد نمايند) معمولاً قابليت اطمينان بسيار بالايي دارد. يعني چنانچه دستگاه، هويت فردي را تأييد نمود، با اطمينان ميتوان گفت كه اين همان فردي است كه در روز اول، اطلاعات او به دستگاه داده شده است. منشأ اصلي عدم اطمينان به روشهاي بيومتريك، نه در شناسايي اشتباه و نه در فريب سيستم، بلكه در عدم شناسايي يك كاربر مجاز (false rejection) نهفته است.
تركيب روشها براي افزايش قابليت اطمينان
در يك طرح نمونه امنيتي، براي بالا بردن قابليت اطمينان (كه طبعاً با بالا رفتن هزينه نيز همراه خواهد شد) از دورافتادهترين و كماهميتترين نقاط سازمان گرفته تا نواحي مركزي و حساس سايت، از روشهاي متفاوتي استفاده ميگردد.
براي مثال، امكان دارد در نقطه ورودي ساختمان از تركيب كارت مغناطيسي و شماره رمز شخصي و براي ورود به اتاق كامپيوترها از صفحهكليد به همراه دستگاه بيومتريك استفاده شود. استفاده از متدهاي تركيبي در نقاط ورودي، موجب افزايش اطمينان در اين نقاط خواهد شد.
همچنين بهكارگيري روشهاي متفاوت امنيتي براي سطوح داخلي، به طور قابل ملاحظهاي ظرفيتهاي امنيتي را در سطوح بالاتر ارتقا خواهد داد. زيرا هر سطح بالاتر، نه تنها توسط سازوكار حفاظتي متعلق به خود، بلكه به واسطه بررسيهايي محافظت ميگردد كه در لايههاي بيروني انجام ميشود.
مديريت سيستمهاي امنيتي
بعضي از دستگاههاي كنترل دسترسي (براي مثال كارتخوان و اسكنر بيومتريك) ميتوانند اطلاعات مربوط به رخدادهاي دسترسي را ضبط و ثبت نمايند. چنانچه به اين تجهيزات قابليت كار در شبكه نيز افزوده شود، ميتوان اين اطلاعات را با هدف ثبت تردد و مانيتورينگ، كنترل دستگاه (تعريف كد دسترسي براي اشخاص خاص در اوقات خاص) و همچنين اعلام اخطار (اطلاع از تلاشهاي تكراري ناموفق براي عبور از يك دروازه امنيتي) از طريق شبكه به يك سيستم مديريت راه دور انتقال داد.
ابزارهاي كنترل دسترسي
كارتها و Tokenها: «چه به همراه داريد؟»
امروزه انواع مختلفي از كارتها و Tokenها، از مدلهاي ساده گرفته تا انواع پيچيده آن، براي كنترل دسترسي مورد استفاده قرار ميگيرند. مدلهاي متنوع اين ابزار، طيف وسيعي از قابليتهاي امنيتي و كارايي را در اندازههاي فيزيكي مختلف در اختيار كاربران قرار ميدهند. مهمترين ويژگيهاي اين ابزار عبارتند از:
- توانايي برنامهريزي مجدد
- مقاوم در برابر جعل
- داراي انواع مختلف براي مقاصد مختلف (swipe، insert ،flat contact ،no contact)
- سهولت استفاده (شكل فيزيكي و نحوه حمل)
- ظرفيت اطلاعاتگيري
- قابليتهاي محاسباتي بالا
- هزينه پايين كارت
- هزينه پايين كارتخوان
صرفنظر از ميزان امنيت و اطمينان اين وسيله كه برگرفته از فناوريِ به كار رفته در آن است، ميزان امنيت حاصل شده توسط اين ابزار محدود به اين حقيقت خواهد بود كه در واقع هيچ تضميني وجود ندارد كه فرد استفاده كننده، همان شخص مجاز و مالك كارت باشد. بنابراين معمولاً اين روش را با ديگر روشهاي موجود مانند كلمه عبور يا روشهاي بيومتريك تركيب مينمايند.
كارتهاي داراي نوار مغناطيسي رايجترين نوع اين كارتها است. در اين نوع كارت اطلاعات روي يك نوار مغناطيسي واقع بر پشت كارت نگهداري ميشود. زماني كه كارت روي كارتخوان كشيده ميشود، اطلاعات موجود در آن خوانده ميشود و در يك بانك اطلاعاتي نگهداري ميگردد. اين سيستم قيمت پاييني دارد و استفاده از آن نيز آسان است. از نكات منفي آن نيز ميتوان به سهولتِ كپيبرداري از روي كارت و آسان بودن استخراج اطلاعات ذخيره شده روي آن اشاره كرد.
كارتهاي فريت باريوم (barium ferrite) كه به كارتهاي magnetic spot نيز مشهورند، مشابه كارتهاي مغناطيسي هستند؛ با اين تفاوت كه بدون افزايش قابل ملاحظه در هزينه، امنيت بيشتري را در اختيار قرار ميدهند. ساختار اين كارتها به اينگونه است كه روي پوشش نازكي از مواد مغناطيسي، نقاط دايرهاي شكلي در چند رديف قرار دارند. اين كارتها به جاي قرار گرفتن در داخل كارتخوان يا كشيدن روي آن، به سادگي با نزديك شدن و تماس با كارتخوان، خوانده ميشوند.
نوع ديگري از كارتها، Weigand card نام دارد. اين كارت نمونه تغيير يافته كارت مغناطيسي است. اين كارت حاوي سيمهاي مخصوصي است كه به همراه گونهاي امضاي مغناطيسي خاص در داخل كارت جاگذاري شدهاند. وقتي كارت را روي كارتخوان ميكشيم، يك سيمپيچ حساس اقدام به شناسايي امضا مينمايد و آن را به رشتهاي از بيتها تبديل ميسازد.
مزيت اين كارتهاي پيچيده اين است كه قابليت كپيبرداري ندارد و نكته منفي آن هم، عدم برنامهريزي مجدد كارت است. با فناوري به كار رفته در اين كارتها ديگر نيازي نيست براي خواندن اطلاعات به طور مستقيم با كارتخوان در تماس فيزيكي باشند. بدين ترتيب هد كارتخوان در پوشش حفاظتي خاصي قرار ميگيرد كه ضمن بالا بردن طول عمر مفيد دستگاه، استفاده از آن را در مكانهاي باز امكانپذير ميسازد.
كارتخوان مخصوص اين نوع كارتها برخلاف دو نمونه قبلي از تداخلات امواج راديويي (RFI) يا ميادين مغناطيسي تأثير نميگيرد. قدرت كارتخوان به همراه دشواري كپيبرداري، موجب شده است اين كارتها از امنيت نسبتاً بالايي برخوردار باشند (البته به اين اظهار نظر بايد عدم تضمين هويت دارنده كارت را نيز افزود). با اين وجود اين كارتها قيمت بالايي دارند.
كارتهاي باركددار نوع ديگري از كارتها هستند كه با كشيدن روي كارتخوان خوانده ميشوند. اين سيستم بسيار ارزانقيمت است. اما به راحتي قابل جعل است زيرا يك دستگاه كپي معمولي هم ميتواند به سادگي با كپيبرداري از روي باركد، سيستم را فريب دهد.
كارتهاي باركددار مناسب مكانهايي هستند كه به حداقل امنيت نياز دارند. مخصوصاً مكانهايي كه به تعداد زيادي كارتخوان در سطح مجموعه نياز است يا عبور و مرور زيادي از نقاط محدودي صورت ميگيرد. البته با توجه به سطح امنيتي پايين، ميتوان ادعا كرد كه اين روش تنها در موارد خاصي مؤثر است.
چرا از ابزارهاي بيومتريک به تنهايي استفاده نميکنيم؟
سؤال: اگر ابزارهاي بيومتريک تا اين اندازه قابل اطمينان هستند، چرا به جاي استفاده از کارت، PIN و روش بيومتريک در يک نقطه ورودي، تنها از يک دستگاه بيومتريک به تنهايي استفاده نميشود؟
پاسخ: به خاطر اين که:
1- زمان مورد نياز براي پردازش ابزارهاي بيومتريک گاهي بسيار طولاني است؛ مخصوصاً اگر از يک بانک اطلاعات بزرگ استفاده شود. درست است براي کاهش اين زمان بهتر است ابتدا دايره جستوجوي سيستم با استفاده از يک ابزار شناسايي ديگر کاهش يابد.
2- با فراهم آوردن شرايطي که طي آن اطلاعات مربوط به کاربر تنها با يک رکورد متعلق به خودش مقايسه شود، ريسک خطاي دستگاه به حداقل کاهش خواهد يافت.
با اين که ويژگيهاي بيومتريک غيرقابل جعل هستند، هنوز هم ريسک اشتباه در تطابق از جانب سيستم محتمل است.
كارتهاي مادون قرمز يا infrared shadow card در پاسخ به امنيت پايين كارتهاي باركد به وجود آمدند. در اين كارتها باركد را بين دو لايه پلاستيك PVC قرار دادهاند و دستگاه كارتخوان با عبور دادن پرتو مادون قرمز از لايههاي كارت، سايه باركد را در سمت ديگر كارت ميخواند.
كارت مجاورتي يا proximity card (كه گاهي prox card نيز ناميده ميشود) گامي به جلو در جهت راحتي در استفاده از دستگاههاي كارتخوان محسوب ميگردد. همانطور كه از نام اين كارت پيداست، براي خواندن آن كافي است كارت را به كارتخوان نزديك كنيم.
فناوري Radio Frequency Identification) RFID) كه نيروي مورد نياز كارت آن توسط كارتخوان و با استفاده از ميدان الكترومغناطيسي تأمين ميگردد، تكميل شده همين متد است. اين كارتها در فاصله حداكثر ده سانتيمتري از كارتخوان كار ميكنند. اين ميزان برد در نمونهاي ديگر كه vicinity card نام دارد، تا يك متر افزايش يافته است.
كارت هوشمند (smart card) جديدترين پيشرفت در كارتهاي كنترل دسترسي به حساب ميآيد و به سرعت به انتخاب اول در ابزارهاي جديد مبدل شده است.
اين كارت با دارا بودن يك چيپ سيليكوني كه براي ذخيره و يا انجام محاسبات روي اطلاعات استفاده ميشود، اين اطلاعات را از طريق تماس كارت با دستگاه خواننده (contact smart card) يا ارتباط از فاصله دور (با استفاده از فناوريهاي proximity يا vicinity) انتقال ميدهد.
اين چيپ كه اندازه قطر آن نيم اينچ است، علاوه بر كارت ميتواند روي اشياي ديگر مانند كارت شناسايي، جاكليدي يا بخشهايي از لباس مانند دگمه يا جواهرات نصب گردد. نام عمومياي كه به اشياي حامل اين چيپ اطلاق ميگردد، smart media است.
كارتهاي هوشمند طيف وسيعي از انعطافپذيري را در حوزه كنترل دسترسي از خود نشان دادهاند. براي مثال، چيپ هوشمند را ميتوان روي انواع قديميتر كارتها نصب نمود تا از آن در سيستمهاي قديمي استفاده شود يا اينكه به منظور انجام عمل تأييد هويت در دستگاه كارتخوان، مشخصههاي مربوط به اثر انگشت يا اسكن عنبيه را در داخل چيپ جاسازي نمود.
با اين عمل ميتوان سطح احراز هويت را از «چه چيزي به همراه داريد؟» به «چه كسي هستيد؟» ارتقا بخشيد. كارتهاي هوشمندي كه مانند كارتهاي vicinity نيازي به تماس با دستگاه ندارند، بيشترين سهولت و راحتي را براي كاربر به همراه خواهند داشت. زيرا با زمان تراكنش نيمثانيه حتي لازم نيست تا كارت از جيب خارج شود.
صفحهكليد و قفلهاي رمزگذاري شده: «چه چيزي ميدانيد؟»
صفحاتكليد و قفلهاي رمزدار استفاده وسيعي در روشهاي كنترل دسترسي دارند. اين ابزارها بسيار قابل اطمينان و ساده هستند. اما امنيت آنان با به اشتراكگذاري و همچنين توجه به اين مسئله كه كلمات رمز قابل حدس زدنند، محدود ميگردد.
اين تجهيزات صفحهكليدي همچون گوشيهاي تلفن دارند كه كاربر با استفاده از آنان رمز مورد نظر خود را وارد ميكند. چنانچه كدهاي اختصاص يافته به هر كاربر منحصربهفرد باشد، به آن Personal Access Code) PAC) يا Personal Identification Number) PIN) گفته ميشود. معمولاً از صفحات كليد ميتوان براي وارد كردن چندين كد استفاده نمود (هر كاربر يك كد).
قفلهاي رمزي يا coded locks نيز عموماً به ابزاري اطلاق ميگردد كه تنها با يك كد باز ميشوند و تمام افراد مجاز، لازم است همان يك كد را به خاطر سپرده و استفاده كنند.
سطح امنيتي صفحهكليدها و قفلهاي رمزدار را ميتوان با تعويض دورهاي رمزها افزايش داد. اينكار به سيستمي براي اطلاعرساني به كاربران و همچنين مكانيزمي براي توزيع كدهاي جديد احتياج دارد. همانند كارتها، امنيت اين ابزار نيز ميتواند با به كارگيري آن بهطور همزمان به همراه يك سيستم بيومتريك افزايش يابد.
بيومتريك: «كه هستيد؟»
فناوري بيومتريك با سرعت زيادي در حال توسعه و پيشرفت است و سمت و سوي اين حركت نيز به سمت بهتر شدن و ارزانتر شدن اين تكنيك است. تصديق هويت با استفاده از تكنيكهاي بيومتريك قابليت اطمينان بسيار بالايي دارد. اين روش (مخصوصاً تأييد اثر انگشت) در حال تبديل به يكي از اساسيترين راه حلهاي امنيتي است و بسياري از فروشندگان اقدام به عرضه طيف وسيعي از ابزارهاي بيومتريك نمودهاند.
چنانچه اين روش با يكي از روشهاي سنتي، مانند «چه چيزي به همراه داريد؟» و «چه چيزي ميدانيد؟» تركيب شود، با توجه به معيارهاي امنيتي موجود، ميتواند به يكي از بهترين ابزارهاي كنترل دسترسي مبدل گردد.
در طراحي سيستمهاي بيومتريك، معمولاً استراتژي كلي اينگونه نيست كه اين دستگاهها به تنهايي به كار روند. بلكه از اين متدها به صورت تركيبي و به همراه روشهاي مبتني بر «چه چيزي به همراه داريد؟» يا «چه چيزي ميدانيد؟» استفاده ميشود.
به عنوان مثال، ابتدا يك كارت با رمز PIN و سپس اسكنر اثرانگشت نتيجه كار را مشخص ميسازند. با بالارفتن كارايي و افزايش اطمينان به فناوريهاي بيومتريك، امكان دارد اين روشها در آيندهاي نه چندان دور به عنوان تنها روش تأييد هويت، كاربران را از به همراه داشتن هرگونه كارت يا هر وسيله ديگري بينياز سازند.
به طور كلي دو دسته عمده خطا در روشهاي تأييد هويت وجود دارد:
False Rejection: اشتباه در شناسايي يك كاربر مجاز. با اينكه ممكن است بروز اين خطا با تأكيد بر لزوم حصول اطمينان از تأمين حفاظت كافي از نواحي حساس توجيه شود، در هر حال بروز اين خطا براي كاربران مجازي كه به علت اشتباه در تشخيص از سوي اسكنر موفق به عبور از پستهاي امنيتي نشدهاند، امري تحملناپذير خواهد بود.
False Acceptance: شناسايي نادرست. اين خطا يا به شكل اشتباه گرفتن يك كاربر با كاربر ديگر يا به صورت پذيرش يك نفوذگر به عنوان يك كاربر مجاز اتفاق ميافتد.
ميزان خطا با تنظيم آستانه دقت و پذيرش (تعيين ميزان تطابق قابل قبول) قابل كنترل است. اما پايين آوردن ميزان يك خطا موجب افزايش بروز خطاهايي از نوع ديگر خواهد گرديد. ملاحظاتي كه براي انتخاب يك روش بيومتريك در نظر گرفته ميشوند، عبارتند از:
هزينه تجهيزات، ميزان خطا (Rejection) و (acceptance) و پذيرش از جانب كاربران. مورد اخير يعني قبول روش از جانب كاربران به اين بستگي دارد كه استفاده از تجهيزات نصب شده از ديد كاركنان تا چه اندازه دشوار، همراه با مزاحمت و حتي خطرناك جلوه ميكند.
براي مثال، جهت استفاده از دستگاه اسكنر شبكيه چشم، كاربران مجبورند چشم خود را در فاصلهاي حدود يك تا دو اينچ از اسكنر قرار داده و پرتو مستقيم يك LED را كه از اين فاصله آن هم بهطور مستقيم به چشم تابانده ميشود، تحمل نمايند.
ديگر اجزاي سيستمهاي امنيتي
طراحي سيستمهاي امنيتي، بر ساخت دستگاههايي كه وظيفه شناسايي و بررسي هويت افراد را در نقاط ورودي برعهده دارند، تمركز ميكند. حسن انجام اين وظيفه كه به آن «كنترل دسترسي» (access control) ميگويند، متضمن اعتماد صددرصد به عمليات تشخيص هويت، قابليت اعتماد به نيت پرسنل سازمان و همچنين كيفيت فيزيكي ديوارها، درها، پنجرهها، قفلها و سقفها خواهد بود. جهت احتراز از شكستهاي امنيتي ناشي از نفوذ غيرمجاز يا خرابكاري، سيستمهاي امنيتي معمولاً از روشهاي تكميلي ديگري نيز براي حفاظت، نظارت و ترميم خطا استفاده ميكنند.
طراحي ساختمان
هنگام ساخت بناي جديد يا بازسازي بناياي قديمي، امنيت فيزيكي بايد از همان مراحل اوليه كار و در مشخصات معماري و عمراني بنا رعايت شود تا تهديدات امنيتي را ضعيف يا به كلي عقيم سازد. عموماً ملاحظات امنيتي در اسكلت و زيربناي ساختمان بستگي مستقيم به نحوه طراحي و قرارگيري راههاي ورودي و خروجي، نحوه دسترسي به نقاط حساس ساختمان مانند قسمت برق فشار قوي و جعبههاي كابل هاي برق، و نهايتاً وجود فضاها و مكانهاي مناسب براي اختفاي مهاجمان و نفوذگران، دارد.
Piggybacking و Tailgating؛ راهحلي به نام Mantrap
يكي از رايجترين حفرهها و نقاط كور موجود در سيستمهاي كنترل دسترسي، امكان عبور افراد غيرمجاز از نقاط بازرسي از طريق متابعت يكي از كاركنان مجاز است. چنانچه اينكار با همكاري و همدستي فرد مجاز صورت بگيرد، به آن piggybacking ميگويند (مانند باز نگهداشتن در پس از عبور و براي رد شدن فرد غيرمجاز). حال اگر فرد غيرمجاز بي سروصدا و بدون جلب توجه اينكار را انجام بدهد، به آن tailgating گفته ميشود.
راهحل سنتي جلوگيري از اينكار، استفاده از فضاي كوچكي به نام Mantrap است كه در نقاط ورودي و خروجي به كار گرفته ميشود. ساختار Mantrap بدينگونه است كه در نقطه مورد نظر از دو در استفاده ميشود كه حجم فضاي ميان آنها تنها به اندازه يك نفر است.
از اين روش ميتوان در طراحي دستگاههاي كنترل دسترسي و در نقاط ورودي و خروجي يا فقط در نقاط خروجي استفاده نمود. در حالتي كه خروج فرد ناموفق باشد، سيستم امنيتي ضمن قفل كردن درها، اقدام به پخش آژير اخطار مينمايد و اعلام ميكند كه فرد مهاجم در تله Mantrap گرفتار شده است. روش ديگر جلوگيري از چنين مواردي، استفاده از كفپوشهاي مخصوصي است كه با ثبت جاي پاي فرد، سيستم را از عبور تنها يك نفر در آن واحد مطمئن ميسازد.
در فناوري جديدي كه براي حل اين مشكل به كار گرفته شده است، با استفاده از يك دوربين حساس به حركت (Motion Sensor) كه در بالاي اتاق نصب ميشود، عبور افراد به طور خودكار تحت نظر گرفته ميشود و چنانچه بيش از يك نفر در آن واحد در حال عبور باشند، سيستم امنيتي را فعال ميسازد.
نظارت ويديويي
شکل 3- اسکنر اثر دست
دوربينهاي ويديويي كه زماني براي انجام نظارت مستقيم به كار گرفته ميشدند، امروزه و با پيشرفت فناوريهاي جديد، روشهاي تازهاي را در پيش روي متخصصان قرار دادهاند.
مواردي همچون استفاده از دوربين در نقاط ورودي براي ضبط خودكار پلاك خودروها يا استفاده از دوربين به همراه كفپوشهاي حساس به فشار براي ضبط تصاوير افراد در نواحي حفاظت شده، مثالهايي از اين دست به شمار ميروند.
دوربينهاي مداربسته (CCTV) (چه به صورت پنهان و چه به صورت آشكار) قابليت نظارت را در هر دو محيطهاي داخلي و خارجي فراهم ميآورند. اين ابزار علاوه بر وظايف نظارتي، خصايص بازدارندگي نيز دارند كه مورد اخير از بسياري از تهديدات بالقوه جلوگيري مينمايد.
انواع مختلف دوربينها شامل دوربينهاي ثابت، دوربينهاي گردان و دوربينهاي كنترل از راه دور است. نكاتي كه بايد در زمان نصب يك دوربين مد نظر قرار گيرند، عبارتند از:
- آيا شناسايي هويت فردي كه تصوير آن توسط دوربين ثبت ميشود، ضروري است؟
- آيا فقط مشخص شدن حضور افراد در يك فضا كافي خواهد بود؟
- آيا نظارت بر داراييها و اثاثيه مستقر در يك اتاق مد نظر ميباشد؟
- آيا نصب اين دوربين تنها با هدف بازدارندگي صورت ميگيرد؟
چنانچه سيگنالهاي رسيده از يك CCTV ثبت و ضبط ميشوند، موارد ذيل بايد رعايت گردند:
- نحوه علامتگذاري و بايگاني نوارها براي مراجعه آسان در آينده
- انتخاب محل مناسب جهت نگهداري نوارها در داخل يا بيرون سايت
- مشخص كردن افراد مجاز به دسترسي به آرشيو فيلمهاي ضبط شده
- تهيه رويه و دستورالعمل قانوني براي دسترسي به نوارها
- تعيين حداكثر مدت زمان لازم براي نگهداري نوارها پيش از نابودي آنها
فناوريهاي جديد در حال پيشرفتند و يكي از مهمترين اهداف آنها، خودكارسازي مشاغلي است كه پيش از اين بهطور سنتي و توسط انسان انجام ميشد. در اين حوزه نيز هدف از ايجاد متدهاي جديد، جايگزين نمودن روشهايي مانند خيرهشدن مأموران امنيتي به مانيتور با نرمافزاري است كه هر گونه حركت را روي صفحه نمايشگر تشخيص ميدهد.
مأموران امنيتي
با وجود تمام دستاوردهاي جديد تكنولوژيكي كه در حوزه امنيت فيزيكي صورت ميپذيرد، متخصصان عقيده دارند كه هنوز هم افسران حراست زبده و با تجربه، بالاتر از هرگونه روش حفاظتي و سيستمهاي خودكار قرار دارند. مأموران گارد در برخورد با موارد مشكوك، غيرمعمول و خطرناك، علاوه بر حواس پنجگانه انساني، با داشتن قابليت تحرك و امكان استفاده از هوش و ذكاوت، ظرفيتهاي بالايي از توانايي انساني را به نمايش ميگذارند.
بنياد بينالمللي افسران حفاظتي International Foundation for Protection Officers) IFPO) كه يك سازمان غيرانتفاعي است، با هدف تسهيل در استانداردسازي آموزش و تأييد مأموران حراست تأسيس گرديد. «راهنماي آموزش نظارت امنيتي» اين بنياد، مرجع معتبري براي استفاده افسران حراست و كارفرمايانشان است.
آلارمها و حسگرها
همگي با سيستمهاي سنتي زنگ منازل و سنسورها آشناييم. در منازل امروزي انواع حسگرهاي مختلف، از حسگرهاي حركتي گرفته تا حسگرهاي حرارتي، حسگرهاي لمسي (جهت اعلام بسته بودن درها يا پنجرههاي منازل) و نمونههاي ديگر مورد استفاده قرار ميگيرند.
سيستمهاي آلارم در مراكز داده ممكن است از همين نمونههاي سنتي در كنار موانع پرتو ليزر، حسگرهاي كفپوش، حسگرهاي حساس به تماس و حسگرهاي لرزشي استفاده نمايند. همچنين ممكن است اين مراكز داراي نقاطي باشند كه استفاده از آلارمهاي صامت بر استفاده از آلارمهاي صوتي ارجحيت داشته باشد. مواردي كه دستگيري مرتكبين در حين انجام عمل مدنظر است، از مصاديق چنين وضعيتهايي ميباشند.
چنانچه حسگرهاي مورد استفاده، قابليت كار در شبكه را نيز داشته باشند، ميتوان آنها را به وسيله سيستمهاي مديريتي، از راهدور كنترل و بررسي نمود. اين سيستمها اين قابليت را نيز دارند كه اطلاعات مربوط به تردد افراد را هم از ابزارهاي كنترل دسترسي دريافت دارند.
بازديدكنندگان
پيشبيني بازديدكنندگان يكي از آيتمهاي مهمي است كه در زمان طراحي يك سيستم امنيتي بايد به آن توجه زيادي شود. راهحلهاي نمونه شامل مواردي هستند كه در آنها كارتها يا نشانههاي موقتي را براي عبور و مرور در نواحي كه از لحاظ امنيتي از اهميت كمتري برخوردارند، به بازديدكننده تسليم ميكنند و وي بدون مشايعت مأمور امنيتي ميتواند به تنهايي در اين نواحي تردد نمايد. وجود Mantrap در نقاط ورودي و خروجي (كه باعث ميگردد تا تنها يك نفر در آن واحد از دروازه ورودي يا خروجي عبور كند) موجب ميگردد در موارد عبور يك بازديدكننده بهطور موقت و موردي، نظارت سيستم لغو يا براي بازديدكننده مورد نظر يك اعتبار موقت ايجاد شود.
عوامل انساني
فناوري به خودي خود و به تنهايي نميتواند همه كارها را انجام دهد، مخصوصاً زماني كه ما وظايفي را توقع داريم كه ذاتاً تكاليفي انساني هستند. مانند تشخيص هويت و قصد و نيت افراد. با اينكه اشخاص، خود پيچيدهترين بخش مشكلات امنيتي محسوب ميگردند، خود نيز بخشي از راهحل خواهند بود. تواناييها و متقابلاً، خطاپذير بودن انسان باعث ميشود تا نه فقط ضعيفترين حلقه، بلكه قويترين پشتيبان اين مقوله نيز به حساب بيايد.
انسان؛ ضعيفترين حلقه اين زنجيره
در كنار اشتباهات و حوادث، يك ويژگي ذاتي در گرايشهاي طبيعي انسان وجود دارد و آن، حس تمايل به مساعدت، ياري و اطمينان به همنوع است. يك فرد آشنا كه قدم به يك ساختمان ميگذارد، ميتواند يك كارمند ناراضي يا يك فرد خيانتكار به سازمان باشد.
وسوسه سرپيچي از قوانين و سرباز زدن از دستورالعملها در قبال يك چهره آشنا، ميتواند نتايج فاجعهآميزي به دنبال داشته باشد. اصولاً يكي از مقولههاي مهم در نقض امنيت، «خرابكاري داخلي» يا inside job است. حتي افراد غريبه نيز ميتوانند در برخي موارد موفقيتهاي غافلگيركنندهاي در مغلوب ساختن سيستمهاي امنيتي داشته باشند.
اين قابليت كه افراد غريبه، اما باهوش، بتوانند با استفاده از حيلهها و فريبهاي معمولي به مكانها و اطلاعات حساس دسترسي پيدا كنند، به قدري عموميت يافته است كه موجب پيدايش يك اصطلاح به نام Social Engineering يا مهندسي اجتماعي گرديده است. تمام اشخاصي كه حفاظت و حراست از مكان هاي حساس را برعهده دارند، علاوه بر آموزشهاي عملياتي و پروتكلهاي امنيتي، بايد بياموزند كه چگونه در برابر تكنيكهاي خلاقانه مهندسي اجتماعي مقاومت كنند و در تله آن گرفتار نشوند.
انسان؛ قويترين پشتيبان
حفاظت در برابر شكست امنيتي معمولاً با آشنايي و شناخت عوامل ناشناخته قويتر و مستحكمتر ميگردد. افزايش مقاومت در برابر دستكاري، ميانبرها و حضور انساني، ارمغان پرارزشي براي فناوري است.
علاوه بر پرسنلِ گوشبهزنگ و هشيار كه مجهز به مواهب بينظيري همچون قدرت بينايي، قدرت شنوايي، توانايي تعقل و قدرت تحرك هستند، وجود افراد تعليم ديده به عنوان عناصر اختصاصي در طرحهاي امنيتي داشتهاي ارزشمند براي هر سازمان به حساب ميآيد.
وجود نگهبانان در نقاط ورودي و نگهبانان گشتي در محوطهها و در داخل ساختمان، گرچه موجب بالا رفتن هزينهها خواهد گرديد، اما در زمان بروز مشكلاتي از قبيل بروز ايراد يا خرابكاري عمدي در سيستم امنيتي، ارزش بالاي خود را نشان خواهند داد. واكنش سريع به علايم اخطاري در زمان مشكل ممكن است در مواردي به عنوان آخرين سد دفاعي بر عليه تهديدات و خطرات امنيتي به كار آيد.
براي محافظت در برابر خطرات تصادفي و تعمدي، سهم انسان به اندازه سهم ماشين در نظر گرفته ميشود: هوشياري دايم و اطاعت صريح از پروتكلها و دستورالعملها، دور نگهداشتن كليه اشخاص جز آنهايي كه حضورشان در ارتباط با وظايف سازمان است، به كارگيري كاركنان كارآزموده و پيروي از دستورالعملها و شيوههاي تأييد شده، آخرين سدهاي دفاعي يك سيستم امنيتي مؤثر خواهند بود.
انتخاب بهترين روش؛ ريسك در برابر هزينه
يك سيستم امنيتي مناسب، يافتن يك توازن خوب بين ريسك و آسيبهاي بالقوهاي است كه به شكل مزاحمت براي افراد و همچنين هزينههاي بالاي اين سيستمها متوجه مديران ميباشند.
هزينه پنهانِ يك نقض امنيتي
با اينكه هر ديتاسنتري نقاط ضعف و ويژگيها و خصوصيات خاص خود را دارد، معمولاً هر يك از آنها حداقل شامل يكي از ايرادات زير هستند:
خسارت فيزيكي: مستعد براي وارد آمدن آسيب به اتاقها و تجهيزات از طريق حادثه، خرابكاري يا سرقت آشكار
تهديد: IT بازماندن كاركنان از انجام وظايف اصلي به واسطه خرابي يا نياز به جايگزيني تجهيزات، احياي اطلاعات يا رفع مشكلات سيستم
خسارت به خاطر وضعيت سازمان: اختلال در كار به خاطر زمانهاي خواب (Downtime)
خسارت اطلاعاتي: فقدان، خرابي يا سرقت اطلاعات
خطر ناشي از اعتبار و حسننيت مشتريان: پيامدهاي ناشي از آسيبهاي جدي و مكرر امنيتي، خسارتهاي كاري، كاهش ارزش سهام و شكايتهاي حقوقي از اين دسته هستند.
ملاحظات لازم در طراحي سيستمهاي امنيتي
طراحي يك سيستم امنيتي ميتواند به مسئلهاي غامض با متغيرهاي فراوان مبدل گردد. از آنجايي كه شناخت استراتژيهاي خاص در طراحي سيستمهاي امنيتي هدف اين مقاله است، موارد مهمي كه در قبال اغلب طراحيها صادقند، به شرح ذيل دستهبندي ميشوند:
هزينه تجهيزات: مشكلات مالي معمولاً باعث ميشود استفاده وسيع از تجهيزات شناسايي مطمئن و كارآمد، با محدوديت روبهرو گردد. روش معمول در اين گونه موارد، گسترش طيفي از روشهاي كمهزينه به سطوح مختلف امنيتي است.
تركيب فناوريها: قابليت اعتماد به كاركرد صحيح سيستم در سطوح متفاوت، با تركيب روشهاي كمهزينهتر با يكديگر، افزايش خواهد يافت. چنانچه طراحي يك سيستم امنيتي به صورت هممركز صورت پذيرد، در اينحالت لايههاي دروني نيز از مزيت حفاظت لايههاي بيروني بهرهمند خواهند گرديد.
پذيرش از جانب كاربران (Nuisance): سهولت استفاده و قابليت اطمينان عوامل مهم و تأثيرگذاري در جلوگيري از عقيم ماندن سيستم و وسوسه خرابكاري خواهند بود.
مقياسپذيري: آيا طراحي يك سيستم اين قابليت را دارد در صورت لزوم و با در نظر گرفتن فاكتورهايي همچون سرمايه و ميزان اطمينان، از فناوريهاي مورد نياز به صورت پلكاني استفاده نمايد؟
سازگاري برعكس: آيا طراحي جديد با سيستم قديمي سازگار است؟ نگهداري تمام يا بخشي از سيستم موجود، صرفهجويي قابل ملاحظهاي را در كاهش هزينههاي بسط و گسترش سيستم به همراه خواهد داشت.
نتيجهگيري
با ازدياد تعداد ديتاسنترها و سايتهاي ميزباني وب، امنيت فيزيكي اين مكانها به اندازه امنيت ديجيتالي محتوايي كه نگهداري ميكنند، اهميت پيدا كرده است. نفوذگران ميتوانند با جعل هويت يا پنهان نمودن نيت خود سبب بروز خسارتهاي عظيم شده و با از كار انداختن تجهيزات حساس، مقدمات يك حمله نرمافزاري را فراهم آورند.
حتي اشتباهات معمولي كه از جانب پرسنل روي ميدهند نيز ميتوانند به عنوان خطرات روزمره، سازمان را با بحراني جدي روبهرو كنند. به همين دليل و براي كاهش اين خطر بايد دسترسي به مناطق حساس را تنها منحصر به افراد متخصص و مجاز نمود.
امروزه فناوري به خوبي جاي خود را باز نموده است و روز به روز هزينه آن هم پايينتر ميآيد. به همين خاطر و براي پيادهسازي طيف وسيعي از راهحلهاي جديد شناسايي اشخاص كه بر اساس اصول پايهاي «چه در اختيار داريد ؟»، «چه چيزي ميدانيد؟» و «كه هستيد؟» طراحي ميشوند، ميتوان از فناوريهاي جديد بهره لازم را برد.
با تركيب «سنجش ريسك» و «تحليل ملزومات دسترسي و فناوريهاي در دسترس» ميتوان به يك طراحي مناسب براي سيستم امنيتي دست يافت تا تعادل منطقي ميان امنيت و هزينه به دست آيد.
علاقه مندی ها (Bookmarks)