..:::وبلاگ تخصصی آموزش ودانلود نرم افزار:::..
آموزش و راه کارهای کامپیوتر -مقاله کامپیوتر-قالب -ویندوز XP- ویستا -رمز

منوی کاربری

وبلاگ را صفحه ی خانگی خود کنید ارسال ایمیل برای مدیر وبلاگ اضافه کردن به علاقمندی ها


پیغام مدیر :

بازدیدکننده ی عزیز ورود شما را خوش آمد می گویم . امیدوارم مطالب این وبلاگ مورد استفاده ی شما قرار گیرد و لحظات خوشی را در این وبلاگ سپری کنید . نقطه نظرات خود را برای بهبود وبلاگ مطرح نمایید .

خبرنامه





لوگو

©Copyright


Copyright © 2003-2010
Ali Faryabi


All rights reserved

www.alisalar.blogsky.com


آرشیو

مشاهده آرشیو


[خوش آمدید]

یکشنبه 31 مرداد‌ماه سال 1389
امنیت فیزیکی در مراکز حساس IT

برقراری امنیت فیزیکی، یعنی کنترل تردد و دسترسی افراد به تأسیسات و مناطق خاص، نقش حساسی را در نیل به اهداف یک مرکز داده ایفا می‌نماید. امروزه به‌کارگیری فناوری‌های جدید مانند تعیین هویت با استفاده از ویژگی‌های بیومتریک و مدیریت از راه دور امنیت اطلاعات، در گستره وسیعی به کمک فعالان حوزه امنیت آمده است که نتیجه آن، کنار گذاشتن روش‌های سنتی (کارت و نگهبان) توسط سیستم‌های امنیتی مدرن در داخل و اطراف مراکز داده است. در این راه و پیش از صرف سرمایه و خرید تجهیزات، مدیران IT باید با تشخیص و تخمین صحیح نیازهای امنیتی سازمان خود، مناسب‌ترین و مقرون به صرفه‌ترین روش حفاظتی را انتخاب نمایند. این مقاله به صورت اجمالی اصول تشخیص هویت افراد‌ (Personnel Identification) و روش‌های اجرایی آن، عناصر اصلی و شیوه‌های رایج در بحث سیستم‌های امنیتی را بررسی می‌نماید.

نیروی انسانی؛ ریسکی که باید مدیریت شود
زمانی که از امنیت یک مرکز داده صحبت می‌کنیم، اولین چیزی که به ذهن خطور می‌کند، حفاظت در برابر خرابکاری، جاسوسی و دزدی اطلاعات خواهد بود. نیاز به محافظت در برابر اخلال‌گران و جلوگیری از وارد آمدن آسیب‌های عمدی نیز امری بدیهی به حساب می‌آید. با این‌حال خطراتی که از جانب فعالیت‌های روزمره کارکنان و کارمندان متوجه یک مرکز داده می‌شود، مخاطرات و آسیب‌های عموماً پنهانی هستند که اغلب تأسیسات اطلاعاتی به طور دائم با آن روبه‌رو هستند.

کارکنان جزو لاینفک یک مرکز داده به حساب می‌آیند. به طوری که مطالعات نشان می‌دهند، شصت درصد از مواردی که منجر به از کار افتادن یک مرکز داده می‌شود به علت اشتباهات فردی، استفاده نادرست از ابزار و تجهیزات، عدم الصاق برچسب و نصب نوشته‌های راهنما، سقوط اشیا، اشتباه در تایپ فرامین و دیگر موارد پیش‌بینی نشده کوچک و بزرگ اتفاق می‌افتند.

از آنجایی که حضور کارکنان همواره همراه با اشتباهات اجتناب‌ناپذیر انسانی است، کنترل و ایجاد محدودیت در تردد کارکنان به مناطق حساس، یکی از نکات کلیدی در مقوله مدیریت ریسک است. این مطلب حتی در زمانی که احتمال حرکات و فعالیت‌های مشکوک ضعیف به نظر می‌رسد نیز به قوت خود باقی است.

فناوری‌های تشخیص هویت با همان سرعتی که تجهیزات، اطلاعات و ارتباطات تغییر می‌کنند، در حال پیشرفت است. همراه با پدید آمدن تجهیزات و تکنیک‌های جدید نباید این نکته را فراموش نمود که مشکل اصلی‌ای که تمام این تلاش‌ها به خاطر آن صورت می‌گیرند، نه نکته‌ای فنی و نه مسئله‌ای پیچیده است.

این مشکل به زبان ساده عبارت است از: «دور نگهداشتن افراد غیرمجاز یا بدخواه از محل‌هایی که نباید در آنجا حضور داشته باشند.» اولین قدم، ترسیم نقشه مناطق حساس و تعیین قوانینی برای دسترسی به این مناطق خواهد بود. اگرچه این‌کار ممکن است به ایجاد یک طرح پیچیده و چندلایه منجر شود، در نهایت کار خیلی دشواری نیست. مدیران IT عموماً می‌دانند که چه افرادی باید در چه نقاطی حضور داشته باشند. دشواری کار در قدم دوم نهفته است: تصمیم درباره انتخاب فناوری مناسب برای اجرای طرح.

که هستید و چرا اینجایید؟

پیاده‌سازی فناوری‌های امنیتی ممکن است به نظر عجیب و پیچیده بیاید. به این اسامی توجه کنید: اثر‌انگشت، اسکن کف دست، اسکنر چشم، کارت‌های هوشمند و شناسایی طرح چهره. مفاهیم اساسی امنیت از همان زمانی که برای اولین بار انسان اقدام به محافظت از اموال خود نمود تا کنون بدون تغییر باقی مانده است. این مفاهیم که ساختاری ساده دارند و برای همه ما قابل فهمند، عبارتند از: پاسخی قاطع و روشن به این سؤال که: که هستید و اینجا چه می‌کنید؟

سؤال اول، یعنی «که هستید؟»، بیشترین مشکلات را در طراحی سیستم‌های امنیتی خودکار ایجاد می‌کنند. فناوری‌های امروزی تلاش می‌کنند با سطوح مختلفی از اطمینان، به طریقی هویت افراد را تعیین نمایند. وجود تفاوت در میزان دقت هر فناوری، باعث ایجاد تفاوت در هزینه استفاده از آن فناوری می‌گردد.

زیرساخت حساس فیزیکی

امنیت فیزیکی بخش مهمی از زیرساخت حساس فیزیکی محسوب می‌گردد. زیرا نقش مستقیمی در بالا بردن حداکثر زمان در دسترس بودن سیستم (Uptime) را ایفا می‌کند. این کار با کاهش زمان Downtime و از طریق جلوگیری از حضور و تردد اشخاص بیگانه (که خطر بروز حادثه یا خرابکاری تعمدی را افزایش می‌دهد) صورت می‌پذیرد.

برای مثال، استفاده از کارت‌های مغناطیسی، هزینه پایینی به همراه دارد. اما از سوی دیگر نتیجه آن به هیچ‌وجه قابلیت اطمینان صددرصد را ندارد.

زیرا هیچ‌گاه مطمئن نیستید که چه کسی از کارت استفاده می‌نماید. اسکنر عنبیه چشم گران‌قیمت است، ولی نتیجه قطعی به همراه دارد. یافتن تعادلی مناسب بین دقت و هزینه، نکته اصلی در طراحی یک سیستم امنیتی به شمارمی‌رود.

سؤال دوم یعنی «اینجا چه می‌کنید؟»، به زبان دیگر به  این معنی است که: «وظیفه شما در این بخش چیست؟» پاسخ به این سؤال می‌تواند به طور تلویحی به همراه احراز هویت فرد مشخص گردد (نام این پرسنل آلیس ویلسون متخصص کابل‌کشی ما است. وی در زمینه کابل‌ها کار می‌کند. بگذارید وارد شود) یا این‌که اطلاعات مربوطه به طرق مختلف جمع‌آوری گردند.

این کار می‌تواند به این شکل انجام شود که اطلاعات مرتبط با «هویت» و «دلیل» حضور شخص در یک ناحیه حفاظت شده با یکدیگر ترکیب شوند و برای مثال در یک کارت مغناطیسی ذخیره گردند. در چنین حالتی هویت یک فرد می‌تواند از طریق فرا‌خواندن اطلاعات موجود روی یک رایانه با دسترسی مجاز تأیید شود.

البته برای این بخش می‌توان از روش‌های دسترسی متفاوتی نیز استفاده نمود؛ روش‌هایی که بر پایه حضور با اهداف مختلف طراحی گردیده‌اند. گاهی سؤال دوم، یعنی دلیل حضور، تنها سؤال مهم است و پاسخ به سؤال اول اهمیتی ندارد. مثال مناسب برای این حالات، کارکنان بخش تعمیرات و نظافت هستند.

ترکیب تخصص‌ها برای یافتن راه‌حل‌

مدیران فعال در حوزه IT به خوبی با «چه کسی و چرا»های مسائل امنیتی آشنایی دارند. اما ممکن است در خصوص جزئیات یک روش خاص یا یک تکنیک مناسب برای پیاده‌سازی آن‌ها، بینش و بصیرت کافی نداشته باشند یا ساده‌تر این‌که، اصولاً به چنین شناختی احتیاجی نداشته باشند. در عوض، مدیران IT با آگاهی از محدودیت‌های ناشی از بودجه و شناخت خطرات و تهدیدات موجود، مسائلی که سازمان آنان در موارد امنیتی با آن‌ها دست به گریبان است را به خوبی می‌فهمند.

از سوی دیگر، شاید مشاوران فعال در زمینه سیستم‌های امنیتی با جزئیات ریز و ظریف سازمان آشنایی نداشته باشند. اما با شناخت ظرفیت‌ها، موانع و هزینه‌های روش‌های جدید، کمک خوبی برای مدیران محسوب می‌گردند. مشاوران معمولاً تجارب خوبی در دیگر زمینه‌های طراحی سیستم‌های امنیتی دارند و به همین خاطر قادرند برای هرچه واضح‌تر شدن مسئله، سؤالات خوبی را در کنار دو سؤال اصلی «چه کسی و چرا؟» مطرح سازند. 

شکل 1- نقشه حفاظتی که نشان‌دهنده «عمق امنیت» است.


بدین شکل و با استفاده از تلفیق تخصص‌ها، طراحی سیستم امنیتی با برقراری تعادل مناسب بین ملزومات، میزان خطرپذیری، روش‌های در دسترس و محدودیت‌های مالی صورت خواهد پذیرفت.

شناسایی مشکل‌

˜‌‌ مناطق محافظت شده: چه چیزی نیازمند محافظت است؟

اولین قدم در پیاده‌سازی طرح حفاظتی یک تأسیسات، تهیه نقشه‌ای از اماکن فیزیکی، شناسایی نواحی و نقاط ورودی است. در این نقشه باید کلیه نواحی از لحاظ سطوح امنیتی و همچنین قواعد دسترسی مشخص و دسته‌بندی گردند.

جانمایی مناطق ذیل می‌تواند به صورت نواحی هم‌مرکز طراحی گردد:
- محدوده بنا
- محدوده ساختمان
- بخش کامپیوتر
- اتاق سرورها
- رک حاوی تجهیزات‌

به همین شکل نواحی زیر نیز می‌توانند به صورت مجاور با یکدیگر در نظر گرفته شوند:
- بخش ملاقات کنندگان‌
- دفاتر
- انبار، سرویس‌ها و تأسیسات‌

«امنیت فیزیکی» یعنی ...

یکی دیگر از معانی امنیت فیزیکی، محافظت در قبال آسیب‌های سهمناک (آتش، سیل، زمین‌لرزه، بمباران) یا خرابی تأسیسات (قطع برق، خرابی بخش ولتاژ بالا) است. در این مقاله مقصود از این عبارت، تنها محافظت در برابر نفوذهای داخلی است که توسط انسان صورت می‌گیرد.

در مناطق هم‌مرکز می‌توان از روش‌های دسترسی متفاوت یا افزاینده استفاده نمود. در صورتی که از روش امنیتی افزاینده استفاده شود، با نزدیک‌تر شدن به ناحیه مرکزی بر شدت و میزان توجه و محافظت افزوده خواهد شد.

حُسن این روش در این است که برای دسترسی به مناطق داخلی، علاوه بر قوانین امنیتی مربوط به آن ناحیه، قوانین مربوط به نواحی بیرونی و لایه‌های خارجی نیز ناظر بر تردد افراد خواهند بود. علاوه بر آن، هر گونه نفوذ به یک ناحیه بیرونی، توسط لایه حفاظتی بعدی خنثی خواهد شد.

Rack-Level Security: در قلب لایه‌های امنیتی «رک» قرار دارد. قفل‌های مخصوص رک که به طور ویژه برای این محفظه‌ها ساخته شده‌اند، هنوز کاملاً عمومیت نیافته‌اند. اما در صورت رواج، به عنوان آخرین سد دفاعی در برابر دسترسی‌های غیر مجاز در تجهیزات حساس به کار گرفته خواهند شد.

اتاقی را در نظر بگیرید که در دور تا دور آن رک‌های حاوی سرور قرار دارند. در چنین اتاقی بسیار بعید به نظر می‌رسد که تمامی افراد حاضر در اتاق به دسترسی به تمام رک‌ها نیاز داشته باشند. استفاده از قفل رک این اطمینان را به وجود خواهد آورد که کارکنان سرورها به رک سرورها، کارکنان مخابرات به رک تجهیزات مخابراتی و به همین شکل هر فردی به رک مربوط به کار خود دسترسی داشته باشد.

«قفل‌های رک قابل مدیریت» این قابلیت را دارند که از راه دور پیکربندی شوند تا تنها در زمان نیاز و برای افراد مشخص دسترسی به رک را امکان‌پذیر سازند. با استفاده از این قفل‌ها خطرات ناشی از حوادث، خرابکاری یا نصب غیرمجاز تجهیزات اضافه (که خطراتی از قبیل افزایش مصرف برق و درجه حرارت داخلی رک را به دنبال دارد) به حداقل خواهد رسید.

Infrastructure Security: توجه به این نکته ضروری است که در تهیه نقشه‌های امنیتی، علاوه بر نواحی دربرگیرنده تجهیزات عملیاتی IT، به نواحی شامل المان‌های زیرساختی فیزیکی نیز توجه شود. زیرا تهدید این المان‌ها می‌تواند موجب از کار افتادن کل سیستم و در نتیجه بروز Downtime گردد.

برای مثال، تجهیزات HVAC (برق فشار قوی) می‌توانند عمداً یا سهواً خاموش شوند، ژنراتوری که باتری‌ها را شارژ می‌کند احتمال دارد به سرقت برود یا کنسول مدیریت هوشمند سیستم احتمالا‌ً به اشتباه سیستم اطفای حریق را فعال سازد.

˜ ضوابط دسترسی: چه کسی؟ کجا؟

اجازه دسترسی یک فرد به یک ناحیه حفاظت شده، به عوامل گوناگونی بستگی دارد. در کنار عواملِ مرسومِ «هویت» و «هدف حضور»، سه عامل مهم‌تر (عوامل دیگری نیز می‌توانند تأثیرگذار باشند) عبارتند از:

هویت شخصی: پرسنل مشخصی که در یک سازمان مشغول کارند، باید به بخش‌های مرتبط با وظیفه آن‌ها دسترسی داشته باشند. برای نمونه، مدیر امنیت یک شرکت باید به اکثر بخش‌های ساختمان دسترسی داشته باشد.

موارد را از هم تفکیک کنید

اجازه ندهید جزئیات فناروی‌های «شناسایی هویت» مانع از ترسیم نقشه ملزومات امنیتی در ابتدای کار گردند. پیش از هر چیز ناحیه مورد نظر و شرایط دسترسی به ساختمان را مشخص سازید و پس از آن تحلیل‌های هزینه/ کارایی/ ریسک را انجام دهید. بعد از یافتن موازنه‌ای مناسب بین این فاکتورها، بیهترین فناوری را انتخاب کنید.

اما دلیلی وجود ندارد که همین شخص به اطلاعات مشتریان در بانک اطلاعات شرکت دسترسی داشته باشد. ممکن است مسئول IT یک شرکت به اتاق‌های کامپیوتر و سیستم‌عامل‌های نصب شده روی آن‌ها دسترسی داشته باشد.

اما همین شخص اجازه ورود به بخش تأسیسات و تجهیزات ولتاژ قوی ساختمان را نخواهد داشت. یا مدیرعامل شرکتی را در نظر بگیرید که باید به دفتر مدیر حراست، بخش IT و بخش‌های عمومی شرکت دسترسی داشته باشد.

اما دلیلی وجود ندارد اجازه دستیابی به اتاق سرور یا بخش تأسیسات را داشته باشد.

مجوز حضور: ممکن است یکی از پرسنل بخش تعمیرات (صرف‌نظر از نام و مشخصاتش) تنها به قسمت تأسیسات و نواحی عمومی دسترسی داشته باشد. از سوی دیگر، ممکن است مجوز دسترسی یک کارگر بخش خدمات که وظایف محوله وی معمولاً به طور روزانه تغییر می‌کند، فقط برای دسترسی به قسمت‌های عمومی و مشترک اعتبار داشته باشد. یک متخصص سوییچ‌های شبکه تنها اجازه دسترسی به رک‌هایی را دارد که حاوی این سوییچ‌ها هستند، نه رک‌هایی که سرورها و دیگر ابزار ذخیره‌سازی در آن‌ها جای داده ‌شده‌اند.
 
در یک مرکز که سرورهای میزبان وب در آن قرار دارند، امکان دارد کارمند بخش «پشتیبانی از سیستم‌های کلاینت» فقط اجازه ورود به اتاق کلاینت‌ها (یعنی جایی که برای انجام وظایف مدیریتی، از آنجا به وسیله کلاینت به سرورها متصل می‌شوند) را داشته باشد.

چرا تا این اندازه پیچیده؟

دلیل این که طراحی سیستم‌های امنیتی تا این اندازه پیچیده به نظر می‌رسند این است که ما این فناوری‌ها را به خدمت نمی‌گیریم تا با سرعت، به آسانی و با هزینه‌ای اندک هویت یک فرد را با قاطعیت و اطمینان بالا تأیید کنیم. چیزی که ما به دنبالش هستیم، مجموعه‌ای از انواع روش‌های مختلف مؤثر و پرهزینه ا ست که پس از انجام تحلیل‌های دشوار از لحاظ هزینه/ کارایی/ ریسک و قضاوت در مورد لزوم ترکیب چندین فناوری و نتیجتاً پیاده‌سازی یک سیستم امنیتی هم‌مرکز، مورد استفاده قرار گیرد.

اطلاعات مجاز:
اجازه دستیابی به قسمت‌های فوق‌العاده حساس تنها به برخی افراد خاص و برای اهداف خاص داده می‌شود. البته افرادی که «باید» به اطلاعات مربوطه دسترسی داشته باشند، این دسترسی تا هنگام «نیاز» برای آن‌ها مهیا خواهد بود.

استفاده از فناوری‌

˜ روش‌های احراز هویت: «قابلیت اطمینان» در «برابر هزینه»

روش‌های شناسایی افراد به سه بخش عمده تقسیم می‌شوند. این سه بخش از نظر قابلیت اطمینان و البته میزان هزینه به ترتیب صعودی عبارتند از:

-‌ چه به همراه دارید؟
-‌ چه می‌دانید؟
-‌ چه کسی هستید؟



چه به همراه دارید؟: ضعیف‌ترین قابلیت اطمینان (امکان استفاده به صورت اشتراکی و امکان به سرقت رفتن)


این بخش شامل وسایلی می‌شود که فرد می‌تواند با خود حمل کند یا بپوشد. یک کلید، یک کارت یا یک شیء کوچک‌ (Token) که می‌تواند به جایی از لباس فرد متصل گردد یا در داخل یک جا کلیدی قرار داده شود. این ابزارها می‌توانند خیلی ساده، مانند یک کلید فلزی، یا خیلی هوشمند، مانند یک کارت با تراشه هوشمند باشند.

چنین ابزاری می‌تواند یک کارت دارای نوار مغناطیسی حاوی اطلاعاتی در مورد شما (مانند کارت‌های آشنای ATM)، یا یک کارت یا Token مجهز به فرستنده و/یا گیرنده که در فواصلی کوتاه با یک Reader در ارتباط است (proximity card یا proximity token)، باشد.

این دسته از روش‌های احراز هویت، پایین‌ترین قابلیت اطمینان و اعتماد را دارند. زیرا هیچ ضمانتی وجود ندارد که این ابزار توسط فرد مجاز مورد استفاده قرار گیرند. این ابزارها می‌توانند به اشتراک گذاشته شوند، به سرقت بروند، مفقود شوند یا فردی آن را پیدا کرده باشد.

چه می‌دانید؟: قابل اطمینان‌تر (به سرقت نمی‌روند. اما می‌توانند بین چند نفر به اشتراک گذاشته شوند یا در جایی نوشته شوند)

متدهای این دسته شامل کلمات عبور، کد، دستورالعملی برای انجام یک کار (مانند باز کردن یک قفل رمز شده)، عملیات تأیید توسط یک card reader یا دسترسی به یک رایانه از طریق صفحه کلید هستند. استفاده از کلمه عبور یا کد برای تأمین امنیت معمولاً یک معمای امنیتی را ایجاد می‌کند: به خاطر سپردن کلمه عبور یا کد بسیار آسان است.

به همین دلیل، حدس زدن آن نیز کار ساده‌ای است. اگر عبارت انتخاب شده سخت و مشکل باشد، آن‌گاه نمی‌توان به سادگی آن را حدس زد. اما چون کلمه عبور و کد را می‌توان جایی نوشت و یادداشت کرد، همین امر ایمنی آن را کاهش می‌دهد.

این دسته، از دسته اول قابل اطمینان‌تر است. اما کلمات عبور و کدها نیز همچنان می‌توانند مشترکاً مورد استفاده چند نفر قرار گیرند و اگر در جایی نوشته شوند، آن‌گاه خطر لو رفتن آن افزایش خواهد یافت.

چه کسی هستید؟: بالاترین قابلیت اطمینان (وابسته به خصوصیت فردی که منحصراً متعلق به یک شخص است).
این دسته از روش‌های احراز هویت، بر پایه شناسایی مشخصات منحصربه فرد فیزیکی و فیزیولوژیکی افراد ایجاد شده‌اند. شناسایی قاطع هویت اشخاص، نیازی است که همگی به طور روزمره به آن احتیاج داریم. وقتی این عمل با استفاده از روش‌های تکنولوژیک صورت می‌گیرد، نام «روش‌های بیومتریک» به آن اطلاق می‌شود. تکنیک‌های اسکن بیومتریک بر اساس چند ویژگی خاص انسانی که قابل تبدیل به اطلاعات کمّی و قابل تحلیل هستند طراحی می‌شوند. برخی از رایج‌ترین این تکنیک‌ها عبارتند از:

-‌‌ اثر انگشت
-‌ عنبیه (الگوی رنگی)
-‌ شبکیه (الگوی مویرگ‌های خونی چشم)
-‌ صدا
-‌ دست (شکل انگشت‌ها و ضخامت دست)
-‌ صورت (موقعیت نسبی چشم‌ها، بینی و دهان نسبت به یکدیگر)
-‌ دستخط (الگوی حرکت قلم در هنگام نوشتن)

نتیجه پردازش ابزارهای بیومتریک (در صورتی که هویت شخص را تأیید نمایند) معمولاً قابلیت اطمینان بسیار بالایی دارد. یعنی چنانچه دستگاه، هویت فردی را تأیید نمود، با اطمینان می‌توان گفت که این همان فردی است که در روز اول، اطلاعات او به دستگاه داده شده است. منشأ اصلی عدم اطمینان به روش‌های بیومتریک، نه در شناسایی اشتباه و نه در فریب سیستم، بلکه در عدم شناسایی یک کاربر مجاز‌ (false rejection) نهفته است.

˜ ترکیب روش‌ها برای افزایش قابلیت اطمینان‌

در یک طرح نمونه امنیتی، برای بالا بردن قابلیت اطمینان (که طبعاً با بالا رفتن هزینه نیز همراه خواهد شد) از دورافتاده‌ترین و کم‌اهمیت‌ترین نقاط سازمان گرفته تا نواحی مرکزی و حساس سایت، از روش‌های متفاوتی استفاده می‌گردد.

برای مثال، امکان دارد در نقطه ورودی ساختمان از ترکیب کارت مغناطیسی و شماره رمز شخصی و برای ورود به اتاق کامپیوترها از صفحه‌کلید به همراه دستگاه بیومتریک استفاده شود. استفاده از متدهای ترکیبی در نقاط ورودی، موجب افزایش اطمینان در این نقاط خواهد شد.

همچنین به‌کارگیری روش‌های متفاوت امنیتی برای سطوح داخلی، به طور قابل ملاحظه‌ای ظرفیت‌های امنیتی را در سطوح بالاتر ارتقا خواهد داد. زیرا هر سطح بالاتر، نه تنها توسط سازوکار حفاظتی متعلق به خود، بلکه به واسطه بررسی‌هایی محافظت می‌گردد که در لایه‌های بیرونی انجام می‌شود.

˜ مدیریت سیستم‌های امنیتی‌

بعضی از دستگاه‌های کنترل دسترسی (برای مثال کارت‌خوان و اسکنر بیومتریک) می‌توانند اطلاعات مربوط به رخدادهای دسترسی را ضبط و ثبت نمایند. چنانچه به این تجهیزات قابلیت کار در شبکه نیز افزوده شود، می‌توان این اطلاعات را با هدف ثبت تردد و مانیتورینگ، کنترل دستگاه (تعریف کد دسترسی برای اشخاص خاص در اوقات خاص) و همچنین اعلام اخطار (اطلاع از تلاش‌های تکراری ناموفق برای عبور از یک دروازه امنیتی) از طریق شبکه به یک سیستم مدیریت راه دور انتقال داد.

ابزارهای کنترل دسترسی‌
˜ کارت‌ها و Tokenها: «چه به همراه دارید؟»

امروزه انواع مختلفی از کارت‌ها و Tokenها، از مدل‌های ساده گرفته تا انواع پیچیده آن، برای کنترل دسترسی مورد استفاده قرار می‌گیرند. مدل‌های متنوع این ابزار، طیف وسیعی از قابلیت‌های امنیتی و کارایی را در اندازه‌های فیزیکی مختلف در اختیار کاربران قرار می‌دهند. مهم‌ترین ویژگی‌های این ابزار عبارتند از:

-‌ توانایی برنامه‌ریزی مجدد
-‌ مقاوم در برابر جعل‌
-‌ دارای انواع مختلف برای مقاصد مختلف (swipe، insert ،flat contact ،no contact)
-‌ سهولت استفاده (شکل فیزیکی و نحوه حمل)
-‌ ظرفیت اطلاعات‌گیری‌
-‌ قابلیت‌های محاسباتی بالا
-‌ هزینه پایین کارت‌
-‌ هزینه پایین کارت‌خوان‌

صرف‌نظر از میزان امنیت و اطمینان این وسیله که برگرفته از فناوریِ به کار رفته در آن است، میزان امنیت حاصل شده توسط این ابزار محدود به این حقیقت خواهد بود که در واقع هیچ تضمینی وجود ندارد که فرد استفاده کننده، همان شخص مجاز و مالک کارت باشد. بنابراین معمولاً این روش را با دیگر روش‌های موجود مانند کلمه عبور یا روش‌های بیومتریک ترکیب می‌نمایند.

کارت‌های دارای نوار مغناطیسی رایج‌ترین نوع این کارت‌ها است. در این نوع کارت اطلاعات روی یک نوار مغناطیسی واقع بر پشت کارت نگهداری می‌شود. زمانی که کارت روی کارت‌خوان کشیده می‌شود، اطلاعات موجود در آن خوانده می‌شود و در یک بانک اطلاعاتی نگهداری می‌گردد. این سیستم قیمت پایینی دارد و استفاده از آن نیز آسان است. از نکات منفی آن نیز می‌توان به سهولتِ کپی‌برداری از روی کارت و آسان بودن استخراج اطلاعات ذخیره شده روی آن اشاره کرد.

کارت‌های فریت باریوم‌ (barium ferrite) که به کارت‌های magnetic spot نیز مشهورند، مشابه کارت‌های مغناطیسی هستند؛ با این تفاوت که بدون افزایش قابل ملاحظه در هزینه، امنیت بیشتری را در اختیار قرار می‌دهند. ساختار این کارت‌ها به این‌گونه است که روی پوشش نازکی از مواد مغناطیسی، نقاط دایره‌ای شکلی در چند ردیف قرار دارند. این کارت‌ها به جای قرار گرفتن در داخل کارت‌خوان یا کشیدن روی آن، به سادگی با نزدیک شدن و تماس با کارت‌خوان، خوانده می‌شوند.

نوع دیگری از کارت‌ها، Weigand card نام دارد. این کارت نمونه تغییر یافته کارت مغناطیسی است. این کارت حاوی سیم‌های مخصوصی است که به همراه گونه‌ای امضای مغناطیسی خاص در داخل کارت جاگذاری شده‌اند. وقتی کارت را روی کارت‌خوان می‌کشیم، یک سیم‌پیچ حساس اقدام به شناسایی امضا می‌نماید و آن را به رشته‌ای از بیت‌ها تبدیل می‌سازد.

مزیت این کارت‌های پیچیده این است که قابلیت کپی‌برداری ندارد و نکته منفی آن هم، عدم برنامه‌ریزی مجدد کارت است. با فناوری به کار رفته در این کارت‌ها دیگر نیازی نیست برای خواندن اطلاعات به طور مستقیم با کارت‌خوان در تماس فیزیکی باشند. بدین ترتیب هد کارت‌خوان در پوشش حفاظتی خاصی قرار می‌گیرد که ضمن بالا بردن طول عمر مفید دستگاه، استفاده از آن را در مکان‌های باز امکان‌پذیر می‌سازد.

کارت‌خوان مخصوص این نوع کارت‌ها برخلاف دو نمونه قبلی از تداخلات امواج رادیویی (RFI) یا میادین مغناطیسی تأثیر نمی‌گیرد. قدرت کارت‌خوان به همراه دشواری کپی‌برداری، موجب شده است  این کارت‌ها از امنیت نسبتاً بالایی برخوردار باشند (البته به این اظهار نظر باید عدم تضمین هویت دارنده کارت را نیز افزود). با این وجود این کارت‌ها قیمت بالایی دارند.

کارت‌های بارکددار نوع دیگری از کارت‌ها هستند که با کشیدن روی کارت‌خوان خوانده می‌شوند. این سیستم بسیار ارزان‌قیمت است. اما به راحتی قابل جعل است زیرا یک دستگاه کپی معمولی هم می‌تواند به سادگی با کپی‌برداری از روی بارکد، سیستم را فریب دهد.

کارت‌های بارکددار مناسب مکان‌هایی هستند که به حداقل امنیت نیاز دارند. مخصوصاً مکان‌هایی که به تعداد زیادی کارت‌خوان در سطح مجموعه نیاز است یا عبور و مرور زیادی از نقاط محدودی صورت می‌گیرد. البته با توجه به سطح امنیتی پایین، می‌توان ادعا کرد که این روش تنها در موارد خاصی مؤثر است.

چرا از ابزارهای بیومتریک به تنهایی استفاده نمی‌کنیم؟

سؤال: اگر ابزارهای بیومتریک تا این اندازه قابل اطمینان هستند، چرا به جای استفاده از کارت، PIN و روش بیومتریک در یک نقطه ورودی، تنها از یک دستگاه بیومتریک به تنهایی استفاده نمی‌شود؟
پاسخ: به خاطر این که:
1- زمان مورد نیاز برای پردازش ابزارهای بیومتریک گاهی بسیار طولانی است؛ مخصوصاً اگر از یک بانک اطلاعات بزرگ استفاده شود. درست است برای کاهش این زمان بهتر است ابتدا دایره جست‌وجوی سیستم با استفاده از یک ابزار شناسایی دیگر کاهش یابد.
2- با فراهم آوردن شرایطی که طی آن اطلاعات مربوط به کاربر تنها با یک رکورد متعلق به خودش مقایسه شود، ریسک خطای دستگاه به حداقل کاهش خواهد یافت.
با این که ویژگی‌های بیومتریک غیرقابل جعل هستند، هنوز هم ریسک اشتباه در تطابق از جانب سیستم محتمل است.

کارت‌های مادون قرمز یا infrared shadow card در پاسخ به امنیت پایین کارت‌های بارکد به وجود آمدند. در این کارت‌ها بارکد را بین دو لایه پلاستیک PVC قرار داده‌اند و دستگاه کارت‌خوان با عبور دادن پرتو مادون قرمز از لایه‌های کارت، سایه بارکد را در سمت دیگر کارت می‌خواند.

کارت مجاورتی یا proximity card (که گاهی prox card نیز نامیده می‌شود) گامی به جلو در جهت راحتی در استفاده از دستگاه‌های کارت‌خوان محسوب می‌گردد. همان‌طور که از نام این کارت پیداست، برای خواندن آن کافی است کارت را به کارت‌خوان نزدیک کنیم.
 
فناوری Radio Frequency Identification) RFID) که نیروی مورد نیاز کارت آن توسط کارت‌خوان و با استفاده از میدان الکترومغناطیسی تأمین می‌گردد، تکمیل شده همین متد است. این کارت‌ها در فاصله حداکثر ده سانتی‌متری از کارت‌خوان کار می‌کنند. این میزان برد در نمونه‌ای دیگر که vicinity card نام دارد، تا یک متر افزایش یافته است.

کارت هوشمند‌ (smart card) جدیدترین پیشرفت در کارت‌های کنترل دسترسی به حساب می‌آید و به سرعت به انتخاب اول در ابزارهای جدید مبدل شده است.

این کارت با دارا بودن یک چیپ سیلیکونی که برای ذخیره و یا انجام محاسبات روی اطلاعات استفاده می‌شود، این اطلاعات را از طریق تماس کارت با دستگاه خواننده (contact smart card) یا ارتباط از فاصله دور (با استفاده از فناوری‌های proximity یا vicinity) انتقال می‌دهد.

این چیپ که اندازه قطر آن نیم اینچ است، علاوه بر کارت می‌تواند روی اشیای دیگر مانند کارت شناسایی، جاکلیدی یا بخش‌هایی از لباس مانند دگمه یا جواهرات نصب گردد. نام عمومی‌ای که به اشیای حامل این چیپ اطلاق می‌گردد، smart media است.

کارت‌های هوشمند طیف وسیعی از انعطاف‌پذیری را در حوزه کنترل دسترسی از خود نشان داده‌اند. برای مثال، چیپ هوشمند را می‌توان روی انواع قدیمی‌تر کارت‌ها نصب نمود تا از آن در سیستم‌های قدیمی استفاده شود یا این‌که به منظور انجام عمل تأیید هویت در دستگاه کارت‌خوان، مشخصه‌های مربوط به اثر انگشت یا اسکن عنبیه را در داخل چیپ جاسازی نمود.

با این عمل می‌توان سطح احراز هویت را از «چه چیزی به همراه دارید؟» به «چه کسی هستید؟» ارتقا بخشید. کارت‌های هوشمندی که مانند کارت‌های vicinity نیازی به تماس با دستگاه ندارند، بیشترین سهولت و راحتی را برای کاربر به همراه خواهند داشت. زیرا با زمان تراکنش نیم‌ثانیه حتی لازم نیست تا کارت از جیب خارج شود.

˜ صفحه‌کلید و قفل‌های رمزگذاری شده: «چه چیزی می‌دانید؟»

صفحات‌کلید و قفل‌های رمزدار استفاده وسیعی در روش‌های کنترل دسترسی دارند. این ابزار‌ها بسیار قابل اطمینان و ساده هستند. اما امنیت آنان با به اشتراک‌گذاری و همچنین توجه به این مسئله که کلمات رمز قابل حدس زدنند، محدود می‌گردد.

این تجهیزات صفحه‌کلیدی همچون گوشی‌های تلفن دارند که کاربر با استفاده از آنان رمز مورد نظر خود را وارد می‌کند. چنانچه کدهای اختصاص یافته به هر کاربر منحصربه‌فرد باشد، به آن Personal Access Code) PAC) یا ‌Personal Identification Number) PIN) گفته می‌شود. معمولاً از صفحات کلید می‌توان برای وارد کردن چندین کد استفاده نمود (هر کاربر یک کد).

قفل‌های رمزی یا coded locks نیز عموماً به ابزاری اطلاق می‌گردد که تنها با یک کد باز می‌شوند و تمام افراد مجاز، لازم است همان یک کد را به خاطر سپرده و استفاده کنند.

سطح امنیتی صفحه‌کلید‌ها و قفل‌های رمزدار را می‌توان با تعویض دوره‌ای رمز‌ها افزایش داد. این‌کار به سیستمی برای اطلاع‌رسانی به کاربران و همچنین مکانیزمی برای توزیع کدهای جدید احتیاج دارد. همانند کارت‌ها، امنیت این ابزار نیز می‌تواند با به کارگیری آن به‌طور همزمان به همراه یک سیستم بیومتریک افزایش یابد.

˜ بیومتریک: «که هستید؟»

فناوری بیومتریک با سرعت زیادی در حال توسعه و پیشرفت است و سمت و سوی این حرکت نیز به سمت بهتر شدن و ارزان‌تر شدن این تکنیک است. تصدیق هویت با استفاده از تکنیک‌های بیومتریک قابلیت اطمینان بسیار بالایی دارد. این روش (مخصوصاً تأیید اثر انگشت) در حال تبدیل به یکی از اساسی‌ترین راه حل‌های امنیتی است و بسیاری از فروشندگان اقدام به عرضه طیف وسیعی از ابزارهای بیومتریک نموده‌اند.

چنانچه این روش با یکی از روش‌های سنتی، مانند «چه چیزی به همراه دارید؟» و «چه چیزی می‌دانید؟» ترکیب شود، با توجه به معیارهای امنیتی موجود، می‌تواند به یکی از بهترین ابزار‌های کنترل دسترسی مبدل گردد.

در طراحی‌ سیستم‌های بیومتریک، معمولاً استراتژی کلی این‌گونه نیست که این دستگاه‌ها به تنهایی به کار روند. بلکه از این متدها به صورت ترکیبی و به همراه روش‌های مبتنی بر «چه چیزی به همراه دارید؟» یا «چه چیزی می‌دانید؟» استفاده می‌شود.

به عنوان مثال، ابتدا یک کارت با رمز PIN و سپس اسکنر اثرانگشت نتیجه کار را مشخص می‌سازند. با بالارفتن کارایی و افزایش اطمینان به فناوری‌های بیومتریک، امکان دارد این روش‌ها در آینده‌ای نه چندان دور به عنوان تنها روش تأیید هویت، کاربران را از به همراه داشتن هرگونه کارت یا هر وسیله دیگری بی‌نیاز سازند.

به طور کلی دو دسته عمده خطا در روش‌های تأیید هویت وجود دارد:

False Rejection: اشتباه در شناسایی یک کاربر مجاز. با این‌که ممکن است بروز این خطا با تأکید بر لزوم حصول اطمینان از تأمین حفاظت کافی از نواحی حساس توجیه شود، در هر حال بروز این خطا برای کاربران مجازی که به علت اشتباه در تشخیص از سوی اسکنر موفق به عبور از پست‌های امنیتی نشده‌اند، امری تحمل‌ناپذیر خواهد بود.

False Acceptance: شناسایی نادرست. این خطا یا به شکل اشتباه گرفتن یک کاربر با کاربر دیگر یا به صورت پذیرش یک نفوذگر به عنوان یک کاربر مجاز اتفاق می‌افتد.

میزان خطا با تنظیم آستانه دقت و پذیرش (تعیین میزان تطابق قابل قبول) قابل کنترل است. اما پایین آوردن میزان یک خطا موجب افزایش بروز خطاهایی از نوع دیگر خواهد گردید. ملاحظاتی که برای انتخاب یک روش بیومتریک در نظر گرفته می‌شوند، عبارتند از:

هزینه تجهیزات، میزان خطا (Rejection) و (acceptance) و پذیرش از جانب کاربران. مورد اخیر یعنی قبول روش از جانب کاربران به این بستگی دارد که استفاده از تجهیزات نصب شده از دید کارکنان تا چه اندازه دشوار، همراه با مزاحمت و حتی خطرناک جلوه می‌کند.

برای مثال، جهت استفاده از دستگاه اسکنر شبکیه چشم، کاربران مجبورند چشم خود را در فاصله‌ای حدود یک تا دو اینچ از اسکنر قرار داده و پرتو مستقیم یک LED را که از این فاصله آن هم به‌طور مستقیم به چشم تابانده می‌شود، تحمل نمایند.ژ


دیگر اجزای سیستم‌های امنیتی‌

طراحی سیستم‌های امنیتی، بر ساخت دستگاه‌هایی که وظیفه شناسایی و بررسی هویت افراد را در نقاط ورودی برعهده دارند، تمرکز می‌کند. حسن انجام این وظیفه که به آن «کنترل دسترسی» ‌(access control) می‌گویند، متضمن اعتماد صددرصد به عملیات تشخیص هویت، قابلیت اعتماد به نیت پرسنل سازمان و همچنین کیفیت فیزیکی دیوارها، درها، پنجره‌ها، قفل‌ها و سقف‌ها خواهد بود. جهت احتراز از شکست‌های امنیتی ناشی از نفوذ غیرمجاز یا خرابکاری، سیستم‌های امنیتی معمولاً از روش‌های تکمیلی دیگری نیز برای حفاظت، نظارت و ترمیم خطا استفاده می‌کنند.

˜ طراحی ساختمان‌

هنگام ساخت بنای جدید یا بازسازی بنایای قدیمی، امنیت فیزیکی باید از همان مراحل اولیه کار و در مشخصات معماری و عمرانی بنا رعایت شود تا تهدیدات امنیتی را ضعیف یا به کلی عقیم سازد. عموماً ملاحظات امنیتی در اسکلت و زیربنای ساختمان بستگی مستقیم به نحوه طراحی و قرارگیری راه‌های ورودی و خروجی، نحوه دسترسی به نقاط حساس ساختمان مانند قسمت برق فشار قوی و جعبه‌های کابل های برق، و نهایتاً وجود فضاها و مکان‌های مناسب برای اختفای مهاجمان و نفوذگران، دارد.

˜ Piggybacking و Tailgating؛  راه‌حلی به نام Mantrap

یکی از رایج‌ترین حفره‌ها و نقاط کور موجود در سیستم‌های کنترل دسترسی، امکان عبور افراد غیرمجاز از نقاط بازرسی از طریق متابعت یکی از کارکنان مجاز است. چنانچه این‌کار با همکاری و همدستی فرد مجاز صورت بگیرد، به آن piggybacking می‌گویند (مانند باز نگهداشتن در پس از عبور و برای رد شدن فرد غیرمجاز). حال اگر فرد غیرمجاز بی سروصدا و بدون جلب توجه این‌کار را انجام بدهد، به آن tailgating گفته می‌شود.

راه‌حل سنتی جلوگیری از این‌کار، استفاده از فضای کوچکی به نام Mantrap است که در نقاط ورودی و خروجی به کار گرفته می‌شود. ساختار Mantrap بدین‌گونه است که در نقطه مورد نظر از دو در استفاده می‌شود که حجم فضای میان آن‌ها تنها به اندازه یک نفر است.

از این روش‌ می‌توان در طراحی دستگاه‌های کنترل دسترسی و در نقاط ورودی و خروجی یا فقط در نقاط خروجی استفاده نمود. در حالتی که خروج فرد ناموفق باشد، سیستم امنیتی ضمن قفل کردن درها، اقدام به پخش آژیر اخطار می‌نماید و اعلام می‌کند که فرد مهاجم در تله Mantrap گرفتار شده است. روش دیگر جلوگیری از چنین مواردی، استفاده از کفپوش‌های مخصوصی است که با ثبت جای پای فرد، سیستم را از عبور تنها یک نفر در آن واحد مطمئن می‌سازد.

در فناوری جدیدی که برای حل این مشکل به کار گرفته شده است، با استفاده از یک دوربین حساس به حرکت‌ (Motion Sensor) که در بالای اتاق نصب می‌شود، عبور افراد به طور خودکار تحت نظر گرفته می‌شود و چنانچه بیش از یک نفر در آن واحد در حال عبور باشند، سیستم امنیتی را فعال می‌سازد.

˜ نظارت ویدیویی‌

شکل 3- اسکنر اثر دست

دوربین‌های ویدیویی که زمانی برای انجام نظارت مستقیم به کار گرفته می‌شدند، امروزه و با پیشرفت فناوری‌های جدید، روش‌های تازه‌ای را در پیش روی متخصصان قرار داده‌اند.

مواردی همچون استفاده از دوربین در نقاط ورودی برای ضبط خودکار پلاک خودروها یا استفاده از دوربین به همراه کفپوش‌های حساس به فشار برای ضبط تصاویر افراد در نواحی حفاظت شده، مثال‌هایی از این دست به شمار می‌روند.

دوربین‌های مداربسته ‌(CCTV) (چه به صورت پنهان و چه به صورت آشکار) قابلیت نظارت را در هر دو محیط‌های داخلی و خارجی فراهم می‌آورند. این ابزار علاوه بر وظایف نظارتی، خصایص بازدارندگی نیز دارند که مورد اخیر از بسیاری از تهدیدات بالقوه جلوگیری می‌نماید.

انواع مختلف دوربین‌ها شامل دوربین‌های ثابت، دوربین‌های گردان و دوربین‌های کنترل از راه دور است. نکاتی که باید در زمان نصب یک دوربین مد نظر قرار گیرند، عبارتند از:

-‌ آیا شناسایی هویت فردی که تصویر آن توسط دوربین ثبت می‌شود، ضروری است؟
-‌ آیا فقط مشخص شدن حضور افراد در یک فضا کافی خواهد بود؟
-‌ آیا نظارت بر دارایی‌ها و اثاثیه مستقر در یک اتاق مد نظر می‌باشد؟
-‌ آیا نصب این دوربین تنها با هدف بازدارندگی صورت می‌گیرد؟

چنانچه سیگنال‌های رسیده از یک CCTV ثبت و ضبط می‌شوند، موارد ذیل باید رعایت گردند:

-‌ نحوه علامتگذاری و بایگانی نوارها برای مراجعه آسان در آینده‌
-‌ انتخاب محل مناسب جهت نگهداری نوارها در داخل یا بیرون سایت‌
-‌ مشخص کردن افراد مجاز به دسترسی به آرشیو فیلم‌های ضبط شده‌
-‌ تهیه رویه و دستورالعمل قانونی برای دسترسی به نوارها
-‌ تعیین حداکثر مدت زمان لازم برای نگهداری نوارها پیش از نابودی آن‌ها

شکل4- موازنه‌ای بین افت پتانسیل و هزینه‌های امنیت.


فناوری‌های جدید در حال پیشرفتند و یکی از مهم‌ترین اهداف آن‌ها، خودکارسازی مشاغلی است که پیش از این به‌طور سنتی و توسط انسان انجام می‌شد. در این حوزه نیز هدف از ایجاد متدهای جدید، جایگزین نمودن روش‌هایی مانند خیره‌شدن مأموران امنیتی به مانیتور با نرم‌افزاری است که هر گونه حرکت را روی صفحه نمایشگر تشخیص می‌دهد.

˜ مأموران امنیتی‌

با وجود تمام دستاوردهای جدید تکنولوژیکی که در حوزه امنیت فیزیکی صورت می‌پذیرد، متخصصان عقیده دارند که هنوز هم افسران حراست زبده و با تجربه، بالاتر از هرگونه روش حفاظتی و سیستم‌های خودکار قرار دارند. مأموران گارد در برخورد با موارد مشکوک، غیرمعمول و خطرناک، علاوه بر حواس پنجگانه انسانی، با داشتن قابلیت تحرک و امکان استفاده از هوش و ذکاوت، ظرفیت‌های بالایی از توانایی انسانی را به نمایش می‌گذارند.

بنیاد بین‌المللی افسران حفاظتی International Foundation for Protection Officers) IFPO) که یک سازمان غیرانتفاعی است، با هدف تسهیل در استانداردسازی آموزش و تأیید مأموران حراست تأسیس گردید. «راهنمای آموزش نظارت امنیتی» این بنیاد، مرجع معتبری برای استفاده افسران حراست و کارفرمایانشان است.

˜ آلارم‌ها و حسگرها

همگی با سیستم‌های سنتی زنگ منازل و سنسورها آشناییم. در منازل امروزی انواع حسگرهای مختلف، از حسگرهای حرکتی گرفته تا حسگرهای حرارتی، حسگرهای لمسی (جهت اعلام بسته بودن درها یا پنجره‌های منازل) و نمونه‌های دیگر مورد استفاده قرار می‌گیرند.

سیستم‌های آلارم در مراکز داده ممکن است از همین نمونه‌های سنتی در کنار موانع پرتو لیزر، حسگرهای کفپوش، حسگرهای حساس به تماس و حسگرهای لرزشی استفاده نمایند. همچنین ممکن است این مراکز دارای نقاطی باشند که استفاده از آلارم‌های صامت بر استفاده از آلارم‌های صوتی ارجحیت داشته باشد. مواردی که دستگیری مرتکبین در حین انجام عمل مدنظر است، از مصادیق چنین وضعیت‌هایی می‌باشند.

چنانچه حسگرهای مورد استفاده، قابلیت کار در شبکه را نیز داشته باشند، می‌توان آن‌ها را به وسیله سیستم‌های مدیریتی، از راه‌دور کنترل و بررسی نمود. این سیستم‌ها این قابلیت را نیز دارند که اطلاعات مربوط به تردد افراد را هم از ابزارهای کنترل دسترسی دریافت دارند.

˜ بازدیدکنندگان‌

پیش‌بینی بازدیدکنندگان یکی از آیتم‌های مهمی است که در زمان طراحی یک سیستم امنیتی باید به آن توجه زیادی شود. راه‌حل‌های نمونه شامل مواردی هستند که در آن‌ها کارت‌ها یا نشانه‌های موقتی را برای عبور و مرور در نواحی که از لحاظ امنیتی از اهمیت کمتری برخوردارند، به بازدیدکننده تسلیم می‌کنند و وی بدون مشایعت مأمور امنیتی می‌تواند به تنهایی در این نواحی تردد نماید. وجود Mantrap در نقاط ورودی و خروجی (که باعث می‌گردد تا تنها یک نفر در آن واحد از دروازه ورودی یا خروجی عبور کند) موجب می‌گردد در موارد عبور یک بازدیدکننده به‌طور موقت و موردی، نظارت سیستم لغو یا برای بازدیدکننده مورد نظر یک اعتبار موقت ایجاد شود.

عوامل انسانی‌

فناوری به خودی خود و به تنهایی نمی‌تواند همه کارها را انجام دهد، مخصوصاً زمانی که ما وظایفی را توقع داریم که ذاتاً تکالیفی انسانی هستند. مانند تشخیص هویت و قصد و نیت افراد. با این‌که اشخاص، خود پیچیده‌ترین بخش مشکلات امنیتی محسوب می‌گردند، خود نیز بخشی از راه‌حل خواهند بود. توانایی‌ها و متقابلاً، خطاپذیر بودن انسان باعث می‌شود تا نه فقط ضعیف‌ترین حلقه، بلکه قوی‌ترین پشتیبان این مقوله نیز به حساب بیاید.

˜ انسان؛ ضعیف‌ترین حلقه این زنجیره‌

در کنار اشتباهات و حوادث، یک ویژگی ذاتی در گرایش‌های طبیعی انسان وجود دارد و آن، حس تمایل به مساعدت، یاری و اطمینان به هم‌نوع است. یک فرد آشنا که قدم به یک ساختمان می‌گذارد، می‌تواند یک کارمند ناراضی یا یک فرد خیانتکار به سازمان باشد.

وسوسه سرپیچی از قوانین و سرباز زدن از دستورالعمل‌ها در قبال یک چهره آشنا، می‌تواند نتایج فاجعه‌آمیزی به دنبال داشته باشد. اصولاً یکی از مقوله‌های مهم در نقض امنیت، «خرابکاری داخلی» یا inside job است. حتی افراد غریبه نیز می‌توانند در برخی موارد موفقیت‌های غافلگیرکننده‌ای در مغلوب ساختن سیستم‌های امنیتی داشته باشند.

این قابلیت که افراد غریبه، اما باهوش، بتوانند با استفاده از حیله‌ها و فریب‌های معمولی به مکان‌ها و اطلاعات حساس دسترسی پیدا کنند، به قدری عمومیت یافته است که موجب پیدایش یک اصطلاح به نام Social Engineering یا مهندسی اجتماعی گردیده است. تمام اشخاصی که حفاظت و حراست از مکان های حساس را برعهده دارند، علاوه بر آموزش‌های عملیاتی و پروتکل‌های امنیتی، باید بیاموزند که چگونه در برابر تکنیک‌های خلاقانه مهندسی اجتماعی مقاومت کنند و در تله آن گرفتار نشوند.

˜ انسان؛ قوی‌ترین پشتیبان‌

حفاظت در برابر شکست امنیتی معمولاً با آشنایی و شناخت عوامل ناشناخته قوی‌تر و مستحکم‌تر می‌گردد. افزایش مقاومت در برابر دستکاری، میان‌برها و حضور انسانی، ارمغان پرارزشی برای فناوری است.

علاوه بر پرسنلِ گوش‌به‌زنگ و هشیار که مجهز به مواهب بی‌نظیری همچون قدرت بینایی، قدرت شنوایی، توانایی تعقل و قدرت تحرک هستند، وجود افراد تعلیم دیده به عنوان عناصر اختصاصی در طرح‌های امنیتی داشته‌ای ارزشمند برای هر سازمان به حساب می‌آید.

وجود نگهبانان در نقاط ورودی و نگهبانان گشتی در محوطه‌ها و در داخل ساختمان، گرچه موجب بالا رفتن هزینه‌ها خواهد گردید، اما در زمان بروز مشکلاتی از قبیل بروز ایراد یا خرابکاری عمدی در سیستم امنیتی، ارزش بالای خود را نشان خواهند داد. واکنش سریع به علایم اخطاری در زمان مشکل ممکن است در مواردی به عنوان آخرین سد دفاعی بر علیه تهدیدات و خطرات امنیتی به کار آید.

برای محافظت در برابر خطرات تصادفی و تعمدی، سهم انسان به اندازه سهم ماشین در نظر گرفته می‌شود: هوشیاری دایم و اطاعت صریح از پروتکل‌ها و دستورالعمل‌ها، دور نگهداشتن کلیه اشخاص جز آن‌هایی که حضورشان در ارتباط با وظایف سازمان است، به کارگیری کارکنان کارآزموده و پیروی از دستورالعمل‌ها و شیوه‌های تأیید شده، آخرین سدهای دفاعی یک سیستم امنیتی مؤثر خواهند بود.

انتخاب بهترین روش؛ ریسک در برابر هزینه‌

یک سیستم امنیتی مناسب، یافتن یک توازن خوب بین ریسک و آسیب‌های بالقوه‌ای است که به شکل مزاحمت برای افراد و همچنین هزینه‌های بالای این سیستم‌ها متوجه مدیران می‌باشند.

˜ هزینه پنهانِ یک نقض امنیتی‌

با این‌که هر دیتاسنتری نقاط ضعف و ویژگی‌ها و خصوصیات خاص خود را دارد، معمولاً هر یک از آن‌ها حداقل شامل یکی از ایرادات زیر هستند:

خسارت فیزیکی: مستعد برای وارد آمدن آسیب به اتاق‌ها و تجهیزات از طریق حادثه، خرابکاری یا سرقت آشکار
تهدید: IT بازماندن کارکنان از انجام وظایف اصلی به واسطه خرابی یا نیاز به جایگزینی تجهیزات، احیای اطلاعات یا رفع مشکلات سیستم‌
خسارت به خاطر وضعیت سازمان: اختلال در کار به خاطر زمان‌های خواب (Downtime) ‌
خسارت اطلاعاتی: فقدان، خرابی یا سرقت اطلاعات‌
خطر ناشی از اعتبار و حسن‌نیت مشتریان: پیامد‌های ناشی از آسیب‌های جدی و مکرر امنیتی، خسارت‌های کاری، کاهش ارزش سهام و شکایت‌های حقوقی از این دسته هستند.

˜ ملاحظات لازم در طراحی سیستم‌های امنیتی‌

طراحی یک سیستم امنیتی می‌تواند به مسئله‌ای غامض با متغیرهای فراوان مبدل گردد. از آنجایی که شناخت استراتژی‌های خاص در طراحی سیستم‌های امنیتی هدف این مقاله است، موارد مهمی که در قبال اغلب طراحی‌ها صادقند، به شرح ذیل دسته‌بندی می‌شوند:

هزینه تجهیزات: ‌مشکلا‌ت مالی معمولاً باعث می‌شود استفاده وسیع از تجهیزات شناسایی مطمئن و کارآمد، با محدودیت روبه‌رو گردد. روش معمول در این گونه موارد، گسترش طیفی از روش‌های کم‌هزینه به سطوح مختلف امنیتی است.

ترکیب فناوری‌ها: قابلیت اعتماد به کارکرد صحیح سیستم در سطوح متفاوت، با ترکیب روش‌های کم‌هزینه‌تر با یکدیگر، افزایش خواهد یافت. چنانچه طراحی یک سیستم امنیتی به صورت هم‌مرکز صورت پذیرد، در این‌حالت لایه‌های درونی نیز از مزیت حفاظت لایه‌های بیرونی بهره‌مند خواهند گردید.

پذیرش از جانب کاربران (Nuisance): سهولت استفاده و قابلیت اطمینان عوامل مهم و تأثیرگذاری در جلوگیری از عقیم ماندن سیستم و وسوسه خرابکاری خواهند بود.

مقیاس‌پذیری: آیا طراحی یک سیستم این قابلیت را دارد در صورت لزوم و با در نظر گرفتن فاکتورهایی همچون سرمایه و میزان اطمینان، از فناوری‌های مورد نیاز به صورت پلکانی استفاده نماید؟

سازگاری برعکس: آیا طراحی جدید با سیستم قدیمی سازگار است؟ نگهداری تمام یا بخشی از سیستم موجود، صرفه‌جویی قابل ملاحظه‌ای را در کاهش هزینه‌های بسط و گسترش سیستم به همراه خواهد داشت.

نتیجه‌گیری‌

با ازدیاد تعداد دیتاسنترها و سایت‌های میزبانی وب، امنیت فیزیکی این مکان‌ها به اندازه امنیت دیجیتالی محتوایی که نگهداری می‌کنند، اهمیت پیدا کرده است. نفوذگران می‌توانند با جعل هویت یا پنهان نمودن نیت خود سبب بروز خسارت‌های عظیم شده و با از کار انداختن تجهیزات حساس، مقدمات یک حمله نرم‌افزاری را فراهم آورند.

حتی اشتباهات معمولی که از جانب پرسنل روی می‌دهند نیز می‌توانند به عنوان خطرات روزمره، سازمان را با بحرانی جدی روبه‌رو کنند. به همین دلیل و برای کاهش این خطر باید دسترسی به مناطق حساس را تنها منحصر به افراد متخصص و مجاز نمود.

امروزه فناوری به خوبی جای خود را باز نموده است و روز به روز هزینه آن هم پایین‌تر می‌آید. به همین خاطر و برای پیاده‌سازی طیف وسیعی از راه‌حل‌های جدید شناسایی اشخاص که بر اساس اصول پایه‌ای «چه در اختیار دارید ؟»، «چه چیزی می‌دانید؟» و «که هستید؟» طراحی می‌شوند، می‌توان از فناوری‌های جدید بهره لازم را برد.
 
با ترکیب «سنجش ریسک» و «تحلیل ملزومات دسترسی و فناوری‌های در دسترس» می‌توان به یک طراحی مناسب برای سیستم امنیتی دست یافت تا تعادل منطقی میان امنیت و هزینه به دست آید.


لینک های مفید

روزانه

نظرسنجی

آمار بازدید کنندگان

تعداد بازدیدکنندگان : 534362


رتبه وب لاگ

 

کپی برداری از مطالب وبلاگ فقط با ذکر منبع مجاز می باشد .