۱۰ مشخصه یك طرح خوب امنیتی

خانه / آموزشی / مبانی طراحی وب سایت / ۱۰ مشخصه یك طرح خوب امنیتی

۱۰ مشخصه یك طرح خوب امنیتی

von طراحی سایت منسیکس Facebook Google+
در مبانی طراحی وب سایت

متخصصان امور امنیتی كامپیوترها همواره توصیه ها و راهكارهایی را درباره ماهیت یك راهكار امنیتی مناسب و دلایل انعطاف پذیری و سازگاری آن ارائه میدهند، كه مرور دائمی آنها، امنیت را در سطح بسیار بالایی حفظ میكند. 
این متخصصان بیشتر براین باورند كه قدم اول در دسترسی به اطلاعات همسان در یك بستر امنیتی قوی، گسترش یك طرح امنیتی است و هنگامیكه این طرح به اندازه كافی ساده شد، آنگاه برای ایجاد آن، به كمی زمان و تلاش، نیاز خواهد بود. آنان همچنین براین باورند كه گام دوم، درك این موضوع است كه این طرح باید انعطاف پذیر و سازگار با برنامه هایی باشد كه بعدها به سیستم اضافه میشود. 
كریستوفر فاكنر از دانشگاه دالاس تگزاس كه مدیر میزبانی وب، تخصیص فضا و روشهای تلفیقی است میگوید: حسن یك طرح امنیتی، پویایی آن است. وی همچنین میگوید: شما نمیتوانید این نقشه را یكروزه بسازید و بعد آنرا به دست فراموشی بسپارید. 
از آن جاییكه امنیت یك موضوع همیشگی است، لازم است مدیران IT اطمینان حاصل كنند كه كاربران به امنیت ایجاد شده و سیاستهای به كاررفته در آن تمایل نشان میدهند. فاكنر میگوید:”مردم چیزی را كه شما بررسی میكنید، انجام میدهند؛ نه چیزی را كه شما حدس میزنید. همیشه یادتان باشد كه كارمندان شركت (از جمله كاركنان از راه دور) كه معمولا با سیستم كار میكنند، بزرگترین تهدید امنیتی هستند.” 
یك متخصص دیگر نیز تمركز بر یك برنامه جهتدار را در گسترش یك طرح، توصیه میكند. داگ كانریچ، مدیر روشهای جهانی و مسئول خدمات امنیتی IBM توضیح میدهد: ایده مناسب برای یك طرح امنیتی خوب، گذر از مرحله حفاظت محض از فناوری و رسیدن به مرحله محافظت از اطلاعات واقعی است. 
بنابراین این سوال مطرح میشود كه در یك نقشه امنیتی چه چیزهایی باید لحاظ شود؟ كانریچ و فالكنر ده راهكار برای این پرسش ارائه میدهند كه در ادامه بیان میشوند: 
۱- پوشش دادن همه زمینه ها: منظور از این پوشش ایناست كه علاوه بر فناوریهای بیسیم و سیمی، مجوزهای دسترسی به برنامه ها (مانند بانكهای اطلاعاتی) و اطلاعات (مانند اطلاعات مشتری) نیز باید در امنیت سیستم لحاظ شود. فاكنر در این زمینه میگوید: تمام قسمتهایی را كه به حفاظت نیازدارند شناسایی كنید. وی میافزاید: شما نمیتوانید بدون شناختن یك تاكتیك آنرا پدید بیاورید. 
برای مثال، شما میتوانید در داخل بانكهای اطلاعاتی، اطلاعات را بر اساس نقش كارمندان تفكیك كنید. كانریچ در این زمینه میگوید: یك مسئول فروش كافیاست به اطلاعات مربوط به مشتریان و تلفن تماس آنها دسترسی داشته باشد، نه اطلاعات مربوط به صورتحساب آنها. اما كارمندان بخش صدور صورتحساب میتوانند به تمامی اطلاعات مشتریان دسترسی یابند. 
۲- مدیریت تشخیص خطرپذیری: در طول پروسه ایجاد طرح امنیتی، میزان خطرپذیری داده های شركت را ارزیابی كنید. با این دید كه كدام قسمت از دادهها بیشتر در معرض سرقت یا سوءاستفاده قرار میگیرند. وقتی سرقت فهرست ایمیلها باعث آسیب دیدگی سیستم باشد، واضح است كه دزدیدن اطلاعات كارتهای اعتباری یا سایر داراییهای مشتریان بسیار بدتر است. 
كانریچ میگوید: با اولویتبندی داراییها، میتوانید میزان بودجه مورد نیاز برای یك طرح امنیتی خوب را تعریف كنید. اینكار باعث میشود آندسته از ابزارهای بیسیم كه در معرض تهدید و تعرض هستند و نیز اطلاعاتی كه ریسك و خطرپذیری بالایی دارند، شناسایی شوند. بهعنوان مثال، اختصاص یك كلمه عبور برای یك نفر، نوعی ریسك است. اما لازم است با استفاده از دانش حرفهای، میزان خطر و آسیبپذیری آن كاهش یابد. 
۳- طبقه بندی دادهها: كانریچ میگوید: طبقهبندی دادهها را در همه جای شركت انجامدهید؛ مثلا اینكه امور عمومی یا موارد خصوصی كدامند، چه كسانی به چه دادههایی دسترسی دارند، دادهها چگونه ذخیره میشوند،پشتیبانگیری چگونه انجام میشود و … . بهعنوان نمونه، اطلاعات عمومی مانند تبلیغات، چیزهایی هستند كه همه، حتی رقیبان نیز میتوانند آنها را ببینند. اما چیزهایی مانند نحوه توزیع یك محصول، جزء اطلاعات خصوصی است. در این بخش، امنیت بهخاطر احتمال از بین رفتن دادههای قابلحمل (مانند نوارهای مغناطیسی)، با نوع و روش پشتیبانگیری رابطه تنگاتنگی دارد. 
۴- تعریف كردن یك روش: فاكنر توصیه میكند در مورد اطلاعات امنیتی، یك طرح كلی قابل یادگیری ارائه دهید. وی میافزاید مردم عادی به دانستن همه چیز نیاز ندارند. لذا سعی كنید بیشتر، حساب چكها و موجودیتان را داشته باشید تا مطمئن شوید تاكتیكها و تكنیكهایتان در زمان دسترسی به اطلاعات، كارایی مناسبی دارند یا نه؟ هر كسی نیاز دارد تاكتیكها و ابزار كلیدی را بشناسد. اگر همه اطلاعات از مردم عادی دریغ شود، آنها ابهامات ذهنیشان را با تصوراتشان پر خواهند نمود. 
۵- بهكارگیری یك مدیر روش: كانریچ توصیه میكند یك مدیر یا یك متخصص IT را بهعنوان مسئول روش امنیتی تعیین كنید تا بتواند آنرا با اطلاعات جدیدتر ارتقا دهد. باید این اطمینان حاصل شود كه آنچه شما انجام میدهید، برای بهتر شدن اوضاع است. 
وی میافزاید: این مسئِول باید بتواند روشهای امنیتی را در یك دوره متوالی نظاممند و بر اساس تغییراتی كه در سیاستهای كلان شركت ایجادمیشود، بروزرسانی كند. ممكن است برنامههای جدیدی ارائه شود یا قوانین تغییر پیدا كند. بنابراین روشها نیز باید بروز شوند تا با محیط جدید سازگاری داشته باشند. 
۶- ویژگیهای یك روش خوب: به اعتقاد كانریچ: یك روش امنیتی باید مشخص كند كدامیك از اطلاعات شركت و چگونه رمزنگاری شود (۶۴بیتی، ۱۲۸ بیتی و …)، و نیز تعیینكند كه چه كسانی حق دسترسی به كلید این رمزها را دارند. به همین ترتیب، یك روش امنیتی باید جزئیات كلمات عبور را كه شامل چگونگی تغییر و تولید كلمههای عبور است، دربر بگیرد. 
اگر شركتی دادههای حساس خود را رمزنگاری كند، حتی در صورت به سرقت رفتن یا گم شدن ابزارهایی مانند لپتاپ، PDA و …، تنها یكی از ابزارهای بیسیم خود را از دست داده است. این حالت كمك میكند تمام ابزارها، اعم از قابل حمل (نوارهای مغناطیسی) و سیستمهای ثابت (سرورها و مینیكامپیوترها) در امان باشند. 
۷- كنار گذاشتن محدودیتها: كانریچ توضیح میدهد كه در طراحی امنیت برای لپتاپها، كامپیوترهای خانگی و سیستمهای شبكهای محدودیتی قائل نشوید. درست سال پیش، سروكله اولین ویروس PDA پیدا شد. مسئله مهم این است كه برای ابزارهایی مانند PDA و سایر ابزارهای مشابه، طرحهای امنیتی كافی وجود داشته باشد. 
فاكنر میگوید: بنابراین یك طرح امنیتی باید درباره استفاده صحیح از آن ابزار در شبكه اطلاعات كافیای دربرداشته باشد. در عین اینكه تمهیدات امنیتی لازم نیز در طول زمان در اختیار كاربر قرار داده شود (مانند وصلههای امنیتی برای بروزرسانی خودكار). شاید عدم دسترسی به ابزارهای خارجی، بهترین روش باشد. هر چند بعضی از شركتها نیز این ایده را خیلی محدودكننده میدانند. 
۸- اهمیت روشهای ارتباطی: كانریچ میگوید: یك تاكتیك امنیتی بیسیم باید شامل اطلاعات كافی درباره روشهای صحیح ارتباط، چه ارتباطات درون سازمانی و چه ارتباط بیرون از سازمان باشد. مثلا، ابزارهای بیسیم نباید بهطور همزمان هم به شبكههای WLAN (درون سازمانی) و هم در شبكههای LAN متصل شوند. چرا كه اینكار اطلاعات شركت را دراختیار دنیای خارج قرارمیدهد. 
۹- محدود كردن اختیارات كاربران: فاكنر توصیه میكند تاكتیك امنیتی باید هرگونه دسترسی به ارتباطات بیسیم را محدود كند. همانگونه كه ماهیت فناوری، این موضوع را تأیید میكند، ناامن بودن این ارتباط واضح است. امن بودن و بیسیم بودن با هم در تضادند. اگر ابزاری بیسیم باشد، خودبهخود ناامن است. چرا كه نفوذگران هوا را برای ردگیری سیگنالهای بیسیم بو میكشند. 
در واقع دلیل توصیه به استفاده از خطوط ارتباطی امن برای انتقال اطلاعات حساس بهجای سیگنالهای بیسیم نیز همین است. فاكنر میافزاید: هكرها كسانی هستند كه سعی دارند با استفاده از روشهای دسترسی به اطلاعات حساس یك شركت و بهدستآوردن آن سیگنالها، كاربران ابزار بیسیم را برای استفاده از یك ابزار پر خطر در شبكه، تشویق نمایند. 
۱۰- قابلیت برخورد با تخلفات امنیتی: هیچ روشی ارزشمند نخواهد بود؛ مگر آنكه بتوان با داشتن اختیارات اجرایی و محدود كننده، رفتارهای خارج از آنرا كنترل كرد. مدیران IT باید با همكاری سایر نهادهای اجرایی، جریمههایی را برای تخلفات انجام شده تعیین كنند، این جریمهها باید نسبت به ارزش اطلاعات، سختگیرانه باشد. 
از دید فاكنر، لازم است برخی از سیاستهای سخت انضباطی با آموزش بیشتر و سختتر تقویت شوند. هدف ایجاد امنیت است، نه جریمه كردن. آموزش، اگر به درستی انجام شود، امنیت و آرامش خاطر را افزایش میدهد یا حداقل رفتارهای ناهنجار را كم مینماید.
متخصصان امور امنیتی كامپیوترها همواره توصیهها و راهكارهایی را درباره ماهیت یك راهكار امنیتی مناسب و دلایل انعطافپذیری و سازگاری آن ارائه میدهند، كه مرور دائمی آنها، امنیت را در سطح بسیار بالایی حفظ میكند. 
این متخصصان بیشتر براین باورند كه قدم اول در دسترسی به اطلاعات همسان در یك بستر امنیتی قوی، گسترش یك طرح امنیتی است و هنگامیكه این طرح به اندازه كافی ساده شد، آنگاه برای ایجاد آن، به كمی زمان و تلاش، نیاز خواهد بود. آنان همچنین براین باورند كه گام دوم، درك این موضوع است كه این طرح باید انعطافپذیر و سازگار با برنامههایی باشد كه بعدها به سیستم اضافه میشود. 
كریستوفر فاكنر از دانشگاه دالاس تگزاس كه مدیر میزبانی وب، تخصیص فضا و روشهای تلفیقی است میگوید: حسن یك طرح امنیتی، پویایی آن است. وی همچنین میگوید: شما نمیتوانید این نقشه را یكروزه بسازید و بعد آنرا به دست فراموشی بسپارید. 
از آن جاییكه امنیت یك موضوع همیشگی است، لازم است مدیران IT اطمینان حاصل كنند كه كاربران به امنیت ایجاد شده و سیاستهای بهكاررفته در آن تمایل نشان میدهند. فاكنر میگوید:”مردم چیزی را كه شما بررسی میكنید، انجام میدهند؛ نه چیزی را كه شما حدس میزنید. همیشه یادتان باشد كه كارمندان شركت (از جمله كاركنان از راه دور) كه معمولا با سیستم كار میكنند، بزرگترین تهدید امنیتی هستند.” 
یك متخصص دیگر نیز تمركز بر یك برنامه جهتدار را در گسترش یك طرح، توصیه میكند. داگ كانریچ، مدیر روشهای جهانی و مسئول خدمات امنیتی IBM توضیح میدهد: ایده مناسب برای یك طرح امنیتی خوب، گذر از مرحله حفاظت محض از فناوری و رسیدن به مرحله محافظت از اطلاعات واقعی است. 
بنابراین این سوال مطرح میشود كه در یك نقشه امنیتی چه چیزهایی باید لحاظ شود؟ كانریچ و فالكنر ده راهكار برای این پرسش ارائه میدهند كه در ادامه بیان میشوند: 
۱- پوشش دادن همه زمینهها: منظور از این پوشش ایناست كه علاوه بر فناوریهای بیسیم و سیمی، مجوزهای دسترسی به برنامهها (مانند بانكهای اطلاعاتی) و اطلاعات (مانند اطلاعات مشتری) نیز باید در امنیت سیستم لحاظ شود. فاكنر در این زمینه میگوید: تمام قسمتهایی را كه به حفاظت نیازدارند شناسایی كنید. وی میافزاید: شما نمیتوانید بدون شناختن یك تاكتیك آنرا پدید بیاورید. 
برای مثال، شما میتوانید در داخل بانكهای اطلاعاتی، اطلاعات را بر اساس نقش كارمندان تفكیك كنید. كانریچ در این زمینه میگوید: یك مسئول فروش كافیاست به اطلاعات مربوط به مشتریان و تلفن تماس آنها دسترسی داشته باشد، نه اطلاعات مربوط به صورتحساب آنها. اما كارمندان بخش صدور صورتحساب میتوانند به تمامی اطلاعات مشتریان دسترسی یابند. 
۲- مدیریت تشخیص خطرپذیری: در طول پروسه ایجاد طرح امنیتی، میزان خطرپذیری دادههای شركت را ارزیابی كنید. با این دید كه كدام قسمت از دادهها بیشتر در معرض سرقت یا سوءاستفاده قرار میگیرند. وقتی سرقت فهرست ایمیلها باعث آسیبدیدگی سیستم باشد، واضح است كه دزدیدن اطلاعات كارتهای اعتباری یا سایر داراییهای مشتریان بسیار بدتر است. 
كانریچ میگوید: با اولویتبندی داراییها، میتوانید میزان بودجه مورد نیاز برای یك طرح امنیتی خوب را تعریف كنید. اینكار باعث میشود آندسته از ابزارهای بیسیم كه در معرض تهدید و تعرض هستند و نیز اطلاعاتی كه ریسك و خطرپذیری بالایی دارند، شناسایی شوند. بهعنوان مثال، اختصاص یك كلمه عبور برای یك نفر، نوعی ریسك است. اما لازم است با استفاده از دانش حرفهای، میزان خطر و آسیبپذیری آن كاهش یابد. 
۳- طبقهبندی دادهها: كانریچ میگوید: طبقهبندی دادهها را در همه جای شركت انجامدهید؛ مثلا اینكه امور عمومی یا موارد خصوصی كدامند، چه كسانی به چه دادههایی دسترسی دارند، دادهها چگونه ذخیره میشوند،پشتیبانگیری چگونه انجام میشود و … . بهعنوان نمونه، اطلاعات عمومی مانند تبلیغات، چیزهایی هستند كه همه، حتی رقیبان نیز میتوانند آنها را ببینند. اما چیزهایی مانند نحوه توزیع یك محصول، جزء اطلاعات خصوصی است. در این بخش، امنیت بهخاطر احتمال از بین رفتن دادههای قابلحمل (مانند نوارهای مغناطیسی)، با نوع و روش پشتیبانگیری رابطه تنگاتنگی دارد. 
۴- تعریفكردن یك روش: فاكنر توصیه میكند در مورد اطلاعات امنیتی، یك طرح كلی قابل یادگیری ارائه دهید. وی میافزاید مردم عادی به دانستن همه چیز نیاز ندارند. لذا سعی كنید بیشتر، حساب چكها و موجودیتان را داشته باشید تا مطمئن شوید تاكتیكها و تكنیكهایتان در زمان دسترسی به اطلاعات، كارایی مناسبی دارند یا نه؟ هر كسی نیاز دارد تاكتیكها و ابزار كلیدی را بشناسد. اگر همه اطلاعات از مردم عادی دریغ شود، آنها ابهامات ذهنیشان را با تصوراتشان پر خواهند نمود. 
۵- بهكارگیری یك مدیر روش: كانریچ توصیه میكند یك مدیر یا یك متخصص IT را بهعنوان مسئول روش امنیتی تعیین كنید تا بتواند آنرا با اطلاعات جدیدتر ارتقا دهد. باید این اطمینان حاصل شود كه آنچه شما انجام میدهید، برای بهتر شدن اوضاع است. 
وی میافزاید: این مسئِول باید بتواند روشهای امنیتی را در یك دوره متوالی نظاممند و بر اساس تغییراتی كه در سیاستهای كلان شركت ایجادمیشود، بروزرسانی كند. ممكن است برنامههای جدیدی ارائه شود یا قوانین تغییر پیدا كند. بنابراین روشها نیز باید بروز شوند تا با محیط جدید سازگاری داشته باشند. 
۶- ویژگیهای یك روش خوب: به اعتقاد كانریچ: یك روش امنیتی باید مشخص كند كدامیك از اطلاعات شركت و چگونه رمزنگاری شود (۶۴بیتی، ۱۲۸ بیتی و …)، و نیز تعیینكند كه چه كسانی حق دسترسی به كلید این رمزها را دارند. به همین ترتیب، یك روش امنیتی باید جزئیات كلمات عبور را كه شامل چگونگی تغییر و تولید كلمههای عبور است، دربر بگیرد. 
اگر شركتی دادههای حساس خود را رمزنگاری كند، حتی در صورت به سرقت رفتن یا گم شدن ابزارهایی مانند لپتاپ، PDA و …، تنها یكی از ابزارهای بیسیم خود را از دست داده است. این حالت كمك میكند تمام ابزارها، اعم از قابل حمل (نوارهای مغناطیسی) و سیستمهای ثابت (سرورها و مینیكامپیوترها) در امان باشند. 
۷- كنار گذاشتن محدودیتها: كانریچ توضیح میدهد كه در طراحی امنیت برای لپتاپها، كامپیوترهای خانگی و سیستمهای شبكهای محدودیتی قائل نشوید. درست سال پیش، سروكله اولین ویروس PDA پیدا شد. مسئله مهم این است كه برای ابزارهایی مانند PDA و سایر ابزارهای مشابه، طرحهای امنیتی كافی وجود داشته باشد. 
فاكنر میگوید: بنابراین یك طرح امنیتی باید درباره استفاده صحیح از آن ابزار در شبكه اطلاعات كافیای دربرداشته باشد. در عین اینكه تمهیدات امنیتی لازم نیز در طول زمان در اختیار كاربر قرار داده شود (مانند وصلههای امنیتی برای بروزرسانی خودكار). شاید عدم دسترسی به ابزارهای خارجی، بهترین روش باشد. هر چند بعضی از شركتها نیز این ایده را خیلی محدودكننده میدانند. 
۸- اهمیت روشهای ارتباطی: كانریچ میگوید: یك تاكتیك امنیتی بیسیم باید شامل اطلاعات كافی درباره روشهای صحیح ارتباط، چه ارتباطات درون سازمانی و چه ارتباط بیرون از سازمان باشد. مثلا، ابزارهای بیسیم نباید بهطور همزمان هم به شبكههای WLAN (درون سازمانی) و هم در شبكههای LAN متصل شوند. چرا كه اینكار اطلاعات شركت را دراختیار دنیای خارج قرارمیدهد. 
۹- محدود كردن اختیارات كاربران: فاكنر توصیه میكند تاكتیك امنیتی باید هرگونه دسترسی به ارتباطات بیسیم را محدود كند. همانگونه كه ماهیت فناوری، این موضوع را تأیید میكند، ناامن بودن این ارتباط واضح است. امن بودن و بیسیم بودن با هم در تضادند. اگر ابزاری بیسیم باشد، خودبهخود ناامن است. چرا كه نفوذگران هوا را برای ردگیری سیگنالهای بیسیم بو میكشند. 
در واقع دلیل توصیه به استفاده از خطوط ارتباطی امن برای انتقال اطلاعات حساس بهجای سیگنالهای بیسیم نیز همین است. فاكنر میافزاید: هكرها كسانی هستند كه سعی دارند با استفاده از روشهای دسترسی به اطلاعات حساس یك شركت و بهدستآوردن آن سیگنالها، كاربران ابزار بیسیم را برای استفاده از یك ابزار پر خطر در شبكه، تشویق نمایند. 
۱۰- قابلیت برخورد با تخلفات امنیتی: هیچ روشی ارزشمند نخواهد بود؛ مگر آنكه بتوان با داشتن اختیارات اجرایی و محدود كننده، رفتارهای خارج از آنرا كنترل كرد. مدیران IT باید با همكاری سایر نهادهای اجرایی، جریمههایی را برای تخلفات انجام شده تعیین كنند، این جریمهها باید نسبت به ارزش اطلاعات، سختگیرانه باشد. 
از دید فاكنر، لازم است برخی از سیاستهای سخت انضباطی با آموزش بیشتر و سختتر تقویت شوند. هدف ایجاد امنیت است، نه جریمه كردن. آموزش، اگر به درستی انجام شود، امنیت و آرامش خاطر را افزایش میدهد یا حداقل رفتارهای ناهنجار را كم مینماید.
متخصصان امور امنیتی كامپیوترها همواره توصیهها و راهكارهایی را درباره ماهیت یك راهكار امنیتی مناسب و دلایل انعطافپذیری و سازگاری آن ارائه میدهند، كه مرور دائمی آنها، امنیت را در سطح بسیار بالایی حفظ میكند. 
این متخصصان بیشتر براین باورند كه قدم اول در دسترسی به اطلاعات همسان در یك بستر امنیتی قوی، گسترش یك طرح امنیتی است و هنگامیكه این طرح به اندازه كافی ساده شد، آنگاه برای ایجاد آن، به كمی زمان و تلاش، نیاز خواهد بود. آنان همچنین براین باورند كه گام دوم، درك این موضوع است كه این طرح باید انعطافپذیر و سازگار با برنامههایی باشد كه بعدها به سیستم اضافه میشود. 
كریستوفر فاكنر از دانشگاه دالاس تگزاس كه مدیر میزبانی وب، تخصیص فضا و روشهای تلفیقی است میگوید: حسن یك طرح امنیتی، پویایی آن است. وی همچنین میگوید: شما نمیتوانید این نقشه را یكروزه بسازید و بعد آنرا به دست فراموشی بسپارید. 
از آن جاییكه امنیت یك موضوع همیشگی است، لازم است مدیران IT اطمینان حاصل كنند كه كاربران به امنیت ایجاد شده و سیاستهای بهكاررفته در آن تمایل نشان میدهند. فاكنر میگوید:”مردم چیزی را كه شما بررسی میكنید، انجام میدهند؛ نه چیزی را كه شما حدس میزنید. همیشه یادتان باشد كه كارمندان شركت (از جمله كاركنان از راه دور) كه معمولا با سیستم كار میكنند، بزرگترین تهدید امنیتی هستند.” 
یك متخصص دیگر نیز تمركز بر یك برنامه جهتدار را در گسترش یك طرح، توصیه میكند. داگ كانریچ، مدیر روشهای جهانی و مسئول خدمات امنیتی IBM توضیح میدهد: ایده مناسب برای یك طرح امنیتی خوب، گذر از مرحله حفاظت محض از فناوری و رسیدن به مرحله محافظت از اطلاعات واقعی است. 
بنابراین این سوال مطرح میشود كه در یك نقشه امنیتی چه چیزهایی باید لحاظ شود؟ كانریچ و فالكنر ده راهكار برای این پرسش ارائه میدهند كه در ادامه بیان میشوند: 
۱- پوشش دادن همه زمینهها: منظور از این پوشش ایناست كه علاوه بر فناوریهای بیسیم و سیمی، مجوزهای دسترسی به برنامهها (مانند بانكهای اطلاعاتی) و اطلاعات (مانند اطلاعات مشتری) نیز باید در امنیت سیستم لحاظ شود. فاكنر در این زمینه میگوید: تمام قسمتهایی را كه به حفاظت نیازدارند شناسایی كنید. وی میافزاید: شما نمیتوانید بدون شناختن یك تاكتیك آنرا پدید بیاورید. 
برای مثال، شما میتوانید در داخل بانكهای اطلاعاتی، اطلاعات را بر اساس نقش كارمندان تفكیك كنید. كانریچ در این زمینه میگوید: یك مسئول فروش كافیاست به اطلاعات مربوط به مشتریان و تلفن تماس آنها دسترسی داشته باشد، نه اطلاعات مربوط به صورتحساب آنها. اما كارمندان بخش صدور صورتحساب میتوانند به تمامی اطلاعات مشتریان دسترسی یابند. 
۲- مدیریت تشخیص خطرپذیری: در طول پروسه ایجاد طرح امنیتی، میزان خطرپذیری دادههای شركت را ارزیابی كنید. با این دید كه كدام قسمت از دادهها بیشتر در معرض سرقت یا سوءاستفاده قرار میگیرند. وقتی سرقت فهرست ایمیلها باعث آسیبدیدگی سیستم باشد، واضح است كه دزدیدن اطلاعات كارتهای اعتباری یا سایر داراییهای مشتریان بسیار بدتر است. 
كانریچ میگوید: با اولویتبندی داراییها، میتوانید میزان بودجه مورد نیاز برای یك طرح امنیتی خوب را تعریف كنید. اینكار باعث میشود آندسته از ابزارهای بیسیم كه در معرض تهدید و تعرض هستند و نیز اطلاعاتی كه ریسك و خطرپذیری بالایی دارند، شناسایی شوند. بهعنوان مثال، اختصاص یك كلمه عبور برای یك نفر، نوعی ریسك است. اما لازم است با استفاده از دانش حرفهای، میزان خطر و آسیبپذیری آن كاهش یابد. 
۳- طبقهبندی دادهها: كانریچ میگوید: طبقهبندی دادهها را در همه جای شركت انجامدهید؛ مثلا اینكه امور عمومی یا موارد خصوصی كدامند، چه كسانی به چه دادههایی دسترسی دارند، دادهها چگونه ذخیره میشوند،پشتیبانگیری چگونه انجام میشود و … . بهعنوان نمونه، اطلاعات عمومی مانند تبلیغات، چیزهایی هستند كه همه، حتی رقیبان نیز میتوانند آنها را ببینند. اما چیزهایی مانند نحوه توزیع یك محصول، جزء اطلاعات خصوصی است. در این بخش، امنیت بهخاطر احتمال از بین رفتن دادههای قابلحمل (مانند نوارهای مغناطیسی)، با نوع و روش پشتیبانگیری رابطه تنگاتنگی دارد. 
۴- تعریفكردن یك روش: فاكنر توصیه میكند در مورد اطلاعات امنیتی، یك طرح كلی قابل یادگیری ارائه دهید. وی میافزاید مردم عادی به دانستن همه چیز نیاز ندارند. لذا سعی كنید بیشتر، حساب چكها و موجودیتان را داشته باشید تا مطمئن شوید تاكتیكها و تكنیكهایتان در زمان دسترسی به اطلاعات، كارایی مناسبی دارند یا نه؟ هر كسی نیاز دارد تاكتیكها و ابزار كلیدی را بشناسد. اگر همه اطلاعات از مردم عادی دریغ شود، آنها ابهامات ذهنیشان را با تصوراتشان پر خواهند نمود. 
۵- بهكارگیری یك مدیر روش: كانریچ توصیه میكند یك مدیر یا یك متخصص IT را بهعنوان مسئول روش امنیتی تعیین كنید تا بتواند آنرا با اطلاعات جدیدتر ارتقا دهد. باید این اطمینان حاصل شود كه آنچه شما انجام میدهید، برای بهتر شدن اوضاع است. 
وی میافزاید: این مسئِول باید بتواند روشهای امنیتی را در یك دوره متوالی نظاممند و بر اساس تغییراتی كه در سیاستهای كلان شركت ایجادمیشود، بروزرسانی كند. ممكن است برنامههای جدیدی ارائه شود یا قوانین تغییر پیدا كند. بنابراین روشها نیز باید بروز شوند تا با محیط جدید سازگاری داشته باشند. 
۶- ویژگیهای یك روش خوب: به اعتقاد كانریچ: یك روش امنیتی باید مشخص كند كدامیك از اطلاعات شركت و چگونه رمزنگاری شود (۶۴بیتی، ۱۲۸ بیتی و …)، و نیز تعیینكند كه چه كسانی حق دسترسی به كلید این رمزها را دارند. به همین ترتیب، یك روش امنیتی باید جزئیات كلمات عبور را كه شامل چگونگی تغییر و تولید كلمههای عبور است، دربر بگیرد. 
اگر شركتی دادههای حساس خود را رمزنگاری كند. حتی در صورت به سرقت رفتن یا گم شدن ابزارهایی مانند لپتاپ، PDA و …، تنها یكی از ابزارهای بیسیم خود را از دست داده است. این حالت كمك میكند تمام ابزارها، اعم از قابل حمل (نوارهای مغناطیسی) و سیستمهای ثابت (سرورها و مینیكامپیوترها) در امان باشند. 
۷- كنار گذاشتن محدودیتها: كانریچ توضیح میدهد كه در طراحی امنیت برای لپتاپها، كامپیوترهای خانگی و سیستمهای شبكهای محدودیتی قائل نشوید. درست سال پیش، سروكله اولین ویروس PDA پیدا شد. مسئله مهم این است كه برای ابزارهایی مانند PDA و سایر ابزارهای مشابه، طرحهای امنیتی كافی وجود داشته باشد. 
فاكنر میگوید: بنابراین یك طرح امنیتی باید درباره استفاده صحیح از آن ابزار در شبكه اطلاعات كافیای دربرداشته باشد. در عین اینكه تمهیدات امنیتی لازم نیز در طول زمان در اختیار كاربر قرار داده شود (مانند وصلههای امنیتی برای بروزرسانی خودكار). شاید عدم دسترسی به ابزارهای خارجی، بهترین روش باشد. هر چند بعضی از شركتها نیز این ایده را خیلی محدودكننده میدانند. 
۸- اهمیت روشهای ارتباطی: كانریچ میگوید: یك تاكتیك امنیتی بیسیم باید شامل اطلاعات كافی درباره روشهای صحیح ارتباط، چه ارتباطات درون سازمانی و چه ارتباط بیرون از سازمان باشد. مثلا، ابزارهای بیسیم نباید بهطور همزمان هم به شبكههای WLAN (درون سازمانی) و هم در شبكههای LAN متصل شوند. چرا كه اینكار اطلاعات شركت را دراختیار دنیای خارج قرارمیدهد. 
۹- محدود كردن اختیارات كاربران: فاكنر توصیه میكند تاكتیك امنیتی باید هرگونه دسترسی به ارتباطات بیسیم را محدود كند. همانگونه كه ماهیت فناوری، این موضوع را تأیید میكند، ناامن بودن این ارتباط واضح است. امن بودن و بیسیم بودن با هم در تضادند. اگر ابزاری بیسیم باشد، خودبهخود ناامن است. چرا كه نفوذگران هوا را برای ردگیری سیگنالهای بیسیم بو میكشند. 
در واقع دلیل توصیه به استفاده از خطوط ارتباطی امن برای انتقال اطلاعات حساس بهجای سیگنالهای بیسیم نیز همین است. فاكنر میافزاید: هكرها كسانی هستند كه سعی دارند با استفاده از روشهای دسترسی به اطلاعات حساس یك شركت و بهدستآوردن آن سیگنالها، كاربران ابزار بیسیم را برای استفاده از یك ابزار پر خطر در شبكه، تشویق نمایند. 
۱۰- قابلیت برخورد با تخلفات امنیتی: هیچ روشی ارزشمند نخواهد بود؛ مگر آنكه بتوان با داشتن اختیارات اجرایی و محدود كننده، رفتارهای خارج از آنرا كنترل كرد. مدیران IT باید با همكاری سایر نهادهای اجرایی، جریمه هایی را برای تخلفات انجام شده تعیین كنند، این جریمه ها باید نسبت به ارزش اطلاعات، سختگیرانه باشد. 
از دید فاكنر، لازم است برخی از سیاستهای سخت انضباطی با آموزش بیشتر و سختتر تقویت شوند. هدف ایجاد امنیت است، نه جریمه كردن. آموزش، اگر به درستی انجام شود، امنیت و آرامش خاطر را افزایش میدهد یا حداقل رفتارهای ناهنجار را كم مینماید.

[تعداد: 7    میانگین: 5/5]