گزارش کارآموزی بایگانی اطلاعات و امنیت شبکه در شرکت بیمه توسعه

گزارش کارآموزی کارشناسی ناپیوسته / گرایش نرم افزار

معرفی مکان کارآموزی :

جایی که من برای گذراندن واحد کارآموزی انتخاب نمودم شرکت بیمه توسعه  نهاوند بود. من در تاریخ  3/4/ 1391 کارآموزی خود را شروع کردم و از گذراندن کارآموزی در آن شرکت راضی بودم.در آن شرکت  تمامی فعالیت های گرافیکی و طراحی و انجام کارهای تایپ و کارهای مربوط به بایگانی اطلاعات بیمه شدگان را انجام می شد و میتوانست مکان فو ق العاده ای بر هر کسی اعم از دانشجو و .. باشد،من هم به کارهای طراحی خیلی علاقه داشتم وخیلی سعی کردم که بخش طراحی را به عنوان محل کارآموزی انتخاب کنم.و  بتوانم در آنجا کارهایی یاد بگیرم و از دانش خودم که قبلا کسب کرده بودم استفاده کنم و بتوانم کم وکاستی های خود را برطرف سازم.

وظایف من در محل کارآموزی :

من در امور کارهای کامپیوتری در این شرکت فعالیت میکردم. البته گاهی اوقات نیز برای گرفتن اطلاعات از متقاضیان بیمه و بررسی اطلاعات نیز همراه سرپرست شرکت میرفتم. اما در کل ، من با تایپ نامه های شرکت و وارد کردن اطلاعات بیمه و بیمه شوندگان و کارهای کامپیوتری دیگر که برای پیشرفت امور شرکت مهم بود؛ شرکت را یاری میدادم. لازم بذکر است در کارهای شبکه و گرافیکی این شرکت نیز نقش اساسی داشتم همچنین در این دوره با بسیاری از اجرای شبکه و نحوه کار با آنها و پیکربیندی آنها آشنا شدم که این خود یک شانس و پیشرفت خوب در دوره تحصیل من بود.

فصل دوم :

1-2 امنیت شبکه  :

همانطور که در قسمت بالا نیز ذکر کردم شرکت گرافیکی بیمه توسعه  دارای چیزی بالغ بر 10 سیستم کامپیوتری می باشد که این کامپیوتر ها توسط یک سرویس دهنده سرور با همدیگر در ارتباط هستند همانطور که می دانید امنیت در یک شبکه بسیار مهم می باشد به طور کلی معنا و مفهوم امنیت شبکه جلوگیری از دسترسی کاربران غیر مجاز به شبکه بوده است در ایجاد امنیت شبکه برای هر یک از کاربران حقوق معینی در نظر گرفته می شود و کاربر هنگام اتصال به شبکه باید نام و گذرواژه خود را وارد کند سرور معتبر بودن ترکیب این نام و گذرواژه را کنترل می کند سپس با استفاده از آن و با توجه به بانک اطلاعاتی مجوزهای دسترسی کاربران که روی سرور موجود است دسترسی کاربر مورد نظر را به منابع اشتراکی قبول و یا رد می کند  در محیط شبکه باید این اطمینان وجود داشته باشد که داده های حساس و مهم محفوظ باقی می ماند و فقط کاربران مجاز می توانند به آن ها دسترسی داشته باشند این کار نه تنها برای امنیت اطلاعات حساس بلکه برای حفاظت از عملیات شبکه نیز اهمیت دارد هر شبکه باید در برابر خسارات عمدی و یا غیر عمدی محفوظ نگه داشته شود به همین خاطر مدیریت محترم شرکت  میگفت که امنیت در شبکه ی سیستم شرکت باید به طور متعادل صورت بگیرد و نباید امنیت را آنقدر سخت گیرانه فراهم کرد تا کاربران برای استفاده از فایل های خودشان نیز دچار مشکل شود در اینجا من به این نتیجه رسیدم که باید امنیت شبکه به طور متعادل برقرار باشد یا در حد مورد نیاز امنیت برقرار باشد .

1-1-2 مفاهیم امنیت شبکه :

 امنیت شبکه یا Network Security  پردازه ای است که طی آن یک شبکه در مقابل انواع مختلف تهدیدات داخلی و خارجی امن می شود. مراحل ذیل برای ایجاد امنیت پیشنهاد و تایید شده اند :

1-     شناسایی بخشی که باید تحت محافظت قرار گیرد.

     2-     تصمیم گیری درباره  مواردی که باید در مقابل آنها از بخش مورد نظر محافظت کرد.

3-     تصمیم گیری درباره چگونگی تهدیدات

4-  پیاده سازی امکاناتی که بتوانند از دارایی های شما به شیوه ای محافظت کنند که از نظر هزینه به صرفه باشد.

5-     مرور مجدد و مداوم پردازه و تقویت آن درصورت یاقتن نقطه ضعف

برای درک بهتر مباحث مطرح شده در این بخش ابتدا به طرح بعضی مفاهیم در امنیت شبکه می پردازیم.

1- منابع شبکه:

در یک شبکه مدرن منابع بسیاری جهت محافظت وجود دارند. لیست ذیل مجموعه ای از منابع شبکه را معرفی می کند که باید در مقابل انواع حمله ها مورد حفاظت قرار گیرند.

1-     تجهیزات شبکه مانند روترها، سوئیچ ها و فایروالها

2-  اطلاعات عملیات شبکه مانند جداول مسیریابی و پیکربندی لیست دسترسی که بر روی روتر ذخیره شده اند.

3-     منابع نامحسوس شبکه مانند عرض باند و سرعت

4-     اطلاعات و منابع اطلاعاتی متصل به شبکه مانند پایگاه های داده و سرورهای اطلاعاتی

5-     ترمینالهایی که برای استفاد هاز منابع مختلف به شبکه متصل می شوند.

6-     اطلاعات در حال تبادل بر روی شبکه در هر لحظه از زمان

7-     خصوصی نگهداشتن عملیات کاربرن و استفاده آنها از منابع شبکه جهت جلوگیری از شناسایی کاربران.

       مجموعه فوق به عنوان دارایی های یک شبکه قلمداد می شود.

2- حمله :

حال به تعریف حمله می پردازیم تا بدانیم که از شبکه در مقابل چه چیزی باید محافظت کنیم. حمله تلاشی خطرناک یا غیر خطرناک است تا یک منبع قابل دسترسی از طریق شبکه ، به گونه ای مورد تغییر یا استفاده قرار گیرد که مورد نظر نبوده است.برای فهم بهتر بد نیست حملات شبکه را به سه دسته عمومی تقسیم کنیم:

1-     دسترسی غیرمجاز به منابع و اطلاعات از طریق شبکه

2-     دستکاری غیرمجاز اطلاعات بر روی یک شبکه

3-     حملاتی که منجر به اختلال در ارائه سرویس می شوند و اصطلاحا Denial of Service نام دارند.

کلمه کلیدی در دو دسته اول انجام اعمال به صورت غیرمجاز است. تعریف یک عمل مجاز یا غیرمجاز به عهده سیاست امنیتی شبکه است، اما به عبارت کلی می توان دسترسی غیرمجاز را تلاش یک کاربر جهت دیدن یا تغییر اطلاعاتی که برای وی در نظر گرفته نشده است، تعریف نمود اطلاعات روی یک شبکه نیز شامل اطلاعات موجود بر روی رایانه های متصل به شبکه مانند سرور های پایگاه داده و وب ، اطلاعات در حال تبادل بر روی شبکه و اطلاعات مختص اجزاء شبکه جهت انجام کارها مانند جداول مسیریابی روتر است. منابع شبکه را نیز می توان تجهیزات انتهایی مانند روتر و فایروال یا مکانیزمهای اتصال و ارتباط دانست.

هدف از ایجاد امنیت شبکه ، حفاظت از شبکه در مقابل حملات فوق است، لذا می توان اهداف را نیز در سه دسته ارائه کرد:

1-     ثابت کردن محرمانگی داده

2-     نگهداری جامعیت داده

3-     نگهداری در دسترس بودن داده

3- تحلیل خطر :

پس از تعیین دارایی های شبکه و عوامل تهدیدکننده آنها ، باید خطرات مختلف را ارزیابی کرد. در بهترین حالت باید بتوان از شبکه در مقابل تمامی انواع خطا محافظت کرد، اما امنیت ارزان به دست نمی آید. بنابراین باید ارزیابی مناسبی را بر روی انواع خطرات انجام داد تا مهمترین آنها را تشخیص دهیم و از طرف دیگر منابعی که باید در مقابل این خطرات محافظت شوند نیز شناسایی شوند. دو فاکتور اصلی در تحلیل خطر عبارتند از :

1-     احتمال انجام حمله

2-     خسارت وارده به شبکه درصورت انجام حمله موفق

4- سیاست امنیتی :

پس از تحلیل خطر باید سیاست امنیتی شبکه را به گونه ای تعریف کرد که احتمال خطرات و میزان خسارت را به حداقل برساند. سیاست امنیتی باید عمومی و در حوزه دید کلی باشد و به جزئیات نپردازد. جزئیات می توانند طی مدت کوتاهی تغییر پیدا کنند اما اصول کلی امنیت یک شبکه که سیاست های آن را تشکیل می دهند ثابت باقی می مانند.در واقع سیاست امنیتی سه نقش اصلی را به عهده دارد:

1-     چه و چرا باید محافظت شود.

2-     چه کسی باید مسئولیت حفاظت را به عهده بگیرد.

3-     زمینه ای را بوجود آورد که هرگونه تضاد احتمالی را حل و فصل کند.

سیاستهای امنیتی را می توان به طور کلی به دو دسته تقسیم کرد:

1-     مجاز (Permissive) : هر آنچه بطور مشخص ممنوع نشده است ، مجاز است.

2-     محدود کننده (Restrictive) : هر آنچه بطور مشخص مجاز نشده است ، ممنوع است.

معمولا ایده استفاده از سیاستهای امنیتی محدودکننده بهتر و مناسبتر است چون سیاستهای مجاز دارای مشکلات امنیتی هستند و نمی توان تمامی موارد غیرمجاز را برشمرد. المانهای دخیل در سیاست امنیتی در RFC 2196 لیست و ارائه شده اند.

5- طرح امنیت شبکه :

با تعریف سیاست امنیتی به پیاده سازی آن در قالب یک طرح امنیت شبکه می رسیم. المانهای تشکیل دهنده یک طرح امنیت شبکه عبارتند از :

1-     ویژگیهای امنیتی هر دستگاه مانند کلمه عبور مدیریتی و یا بکارگیری SSH

2-     فایروال ها

3-     مجتمع کننده های VPN برای دسترسی از دور

4-     تشخیص نفوذ

5-  سرورهای امنیتی AAA ( Authentication، Authorization and Accounting) و سایر خدمات AAA برای شبکه

6-     مکانیزمهای کنترل دسترسی و محدودکننده دسترسی برای دستگاههای مختلف شبکه

6- نواحی امنیتی :

تعریف نواحی امنیتی نقش مهمی را در ایجاد یک شبکه امن ایفا می کند. در واقع یکی از بهترین شیوه های دفاع در مقابل حملات شبکه ، طراحی امنیت شبکه به صورت منطقه ای و مبتنی بر توپولوژی است و یکی از مهمترین ایده های مورد استفاده در شبکه های امن مدرن ، تعریف نواحی و تفکیک مناطق مختلف شبکه از یکدیگر است. تجهیزاتی که در هر ناحیه قرار می گیرند نیازهای متفاوتی دارند و لذا هر ناحیه حفاظت را بسته به نیازهای امنیتی تجهیزات نصب شده در آن ، تامین می کند. همچنین منطقه بندی یک شبکه باعث ایجاد ثبات بیشتر در آن شبکه نیز می شود.

نواحی امنیتی بنابر استراتژی های اصلی ذیل تعریف می شوند.

1-  تجهیزات و دستگاههایی که بیشترین نیاز امنیتی را دارند (شبکه خصوصی) در امن ترین منطقه قرار می گیرند. معمولا اجازه دسترسی عمومی یا از شبکه های دیگر به این منطقه داده نمی شود. دسترسی با کمک یک فایروال و یا سایر امکانات امنیتی مانند دسترسی از دور امن (SRA) کنترل می شود. کنترل شناسایی و احراز هویت و مجاز یا غیر مجاز بودن در این منطقه به شدت انجام می شود.

2-  سرورهایی که فقط باید از سوی کاربران داخلی در دسترس باشند در منطقه ای امن ، خصوصی و مجزا قرار می گیرند. کنترل دسترسی به این تجهیزات با کمک فایروال انجام می شود و دسترسی ها کاملا نظارت و ثبت می شوند.

3-  سرور هایی که باید از شبکه عمومی مورد دسترسی قرار گیرند در منطقه ای جدا و بدون امکان دسترسی به مناطق امن تر شبکه قرار می گیرند. درصورت امکان بهتر است هر یک از این سرورها را در منطقه ای مجزا قرار داد تا درصورت مورد حمله قرار گرفتن یکی ، سایرین مورد تهدید قرار نگیرند. به این مناطق DMZ یا Demilitarized Zone می گویند.

4-  استفاده از فایروالها به شکل لایه ای و به کارگیری فایروالهای مختلف سبب می شود تا درصورت وجود یک اشکال امنیتی در یک فایروال ، کل شبکه به مخاطره نیفتد و امکان استفاده از Backdoor نیز کم شود.

علل عمده ای که می توانست امنیت شبکه را تهدید کند به شرح زیر بود :

• دسترسی غیر مجاز کاربران به اطلاعات شبکه و دستکاری اطلاعات

•سوء استفاده الکترونیکی

•سرقت رفتن اطلاعات محرمانه شبکه

•وارد شدن خسارات عمدی و یا غیر عمدی به اطلاعات شبکه

مدیر شبکه با پیاده سازی این امنیت های شبکه ای و دادن مجوز به کاربران برای ورود به شبکه تضمین می کند تا شبکه در برابر تهدیدات امنیتی همچنان محفوظ و ایمن باقی بماند در ضمن به این مساله نیز بایستی دقت داشت که برقراری امنیت و ایمنی اطلاعاتی برای تمامی شرکت ها یکسان نیست و شرکت های بزرگ همراه با سیستم های زیاد نیاز بیشتری به محافظت دارد تا یک شرکت کوچک با امکانات کمتر .

ایجاد امنیت برای محافظت از دارایی­ها تعریف می­گردد. روش های تعریف شده و استانداردهای متفاوتی برای حفظ دارایی­ها موجود است.

در مورد امنیت مفاهیم مختلفی وجود دارد. امنیت می تواند شامل محافظت (protection) و یا تشخیص(detection) باشد.

امنیت

حفظ دارایی­ها برای جلوگیری از آسیب­رسانی به آنهاست. یعنی ممکن است دارایی وجود داشته باشد، اما هیچ تهدیدی برایش معنی پیدا نکند. مانند تکه­های الماسی که در کهکشان موجود است، تعریف امنیت برای این دارایی­ها مادامی که تهدیدی برایشان نیست، معنی ندارد.

حفاظت از دارایی ها با اطلاع از اینکه این دارایی آسیب پذیری دارد و می­تواند با سواستفاده از این آسیب­پذیری مورد حمله قرار بگیرد، انجام می­پذیرد. مثلا پایگاه داده­ای که در شبکه موجود است و اطلاعات و شناسه­های کاربران را در خود ذخیره کرده است، یک دارایی در شبکه محسوب می­شود و باید مورد حفاظت قرار گیرد زیرا در صورت دسترسی افراد غیرمجاز، به شبکه آسیب می­رسد. پس این آسیب­پذیری می­تواند مورد سواستفاده قرار گیرد.

تشخیص

زمانی که تشخیص مد نظر ما باشد، باید ابزار و تمهیداتی در شبکه تعریف کنیم تا قابلیت تشخیص حمله­ها (attack) را داشته باشد. ابزاری که وضعیت شبکه را آمارگیری نموده و در هر زمان از وضعیت ابزار شبکه، نودهای ارتباطی، ترافیک بین مسیریابها، نوع ترافیک انتقالی، زمان پیام­ها و بسیاری از پارامترهای شبکه آگاهی دارد.

این ابزار وضعیت شبکه را همچون موجود زند­ه­ای گزارش می­دهند و در صورت ایجاد هر گونه وضعیت مشکوک در شبکه اقدامات امنیتی لازم را انجام می­دهند.

محافظت و تشخیص نقشی همانند پیشگیری و درمان در مقابل بیماریها را دارند. تشخیص حمله در صورتی که از آن جلوگیری نماید، یک تشخیص فعال(detection active) نامیده می­شود.

دسته­ دیگر تشخیص  را تشخیص منفعل(passive detection) می نامیم. در این تشخیص بعد از وقوع حمله، گزارشی از وضعیت شبکه داده می­شود و توانایی پیش­بینی و پیشگیری از حمله­ها وجود ندارد.

ایمن سازی ارتباطات در شبکه طبق استانداردهای تعریف شده دارای بخش­ها و مفاهیم متفاوتی است.

هراستانداردی بخش­هایی را برای امنیت تعیین می­کند وحفظ امنیت هر داده­ای بعضی از این بخش­ها را شامل می­شود. در ادامه به بخش­های اساسی مفهوم حفظ امنیت می پردازیم.