حفاظت فیزیکی و دفاع چند لایه
حفاظت فیزیکی و دفاع چند لایه
بسم الله الرحمن الرحیم
دفاع چند لایه میزان اطمینان به تدابیر اتخاذ شده برای کنترل دسترسی را به علت تعدد این گونه تدابیر افزایش می دهد. برنامه ریزی و تشریح چگونگی اجرای طرح دفاعی چند لایه از موضوع بحث ما در این فصل خارج است و برای این کار باید از کارشناسان با تجربة حفاظت فیزیکی استفاده شود. با وجود این، کارشناسان مسائل حفاظت از سامانه های فناوری اطلاعات باید بتوانند مزایا و فواید دفاع چند لایه را تشریح و میزان امنیتی را که هر لایه فراهم می آورد ارزیابی کنند.
هنگام طراحی دفاع چند لایه، مجری طرح تدابیر امنیتی را با توجه به سه عنصر پهنا، عمق و بازدارندگی به اجرا در می آورد.
دربارة تدابیر امنیتی که در پهنای محل حفاظت شده به اجرا در می آیند می توان به پرکردن حفره ها و جای پاها در دیوار اطراف محل حفاظت شده اشاره کرد. هر جای پای موجود بر دیوار اطراف ساختمان حفاظت شده در واقع نوع متفاوتی از انواع متفاوت آسیب پذیری است.
حفاظت فیزیکی و دفاع چند لایه
حفاظت فیزیکی در پهنا
حفاظت فیزیکی در پهنا از آن جهت اعمال می شود که یک نوع خاص از کنترل نمی تواند انواع آسیب پذیری ها را از میان بردارد. برای درک بیشتر این موضوع برای مثال در عرصة فناوری اطلاعات، فرض کنید کسی بخواهد با بهره گیری از گذر واژه (Logon)، از دسترسی افراد غیر مجاز به اطلاعات موجود در سامانه های اطلاعاتی جلوگیری کند. اما گذر واژه (Logon) نمی تواند از اطلاعاتی که فرد از طریق اینترنت آن را برای فرد دیگری ارسال می کند، حفاظت کند. به همین علت، برای حفاظت از اطلاعات ارسال شده از طریق اینترنت، نوع دیگری از حفاظت (برای مثال رمزنگاری) ضرورت دارد، چون حفاظت بیشتری از اطلاعات به عمل خواهد آورد.
حفاظت فیزیکی نیز همانند حفاظت از اطلاعات است. فرض کنید، فردی بخواهد از دسترسی افراد غیر مجاز به یک نقطة حساس و مهم در یک انبار کوچک یک طبقه جلوگیری کند. این انبار یک در ورودی در جلوی ساختمان و یک در کوچک در قسمت پشت ساختمان و یک در ماشین رو دارد و پنجره های آن نیز ثابت هستند و نمی توان آنها را باز کرد. استفاده از قفل برای درهای ورودی به این انبار یک نوع از تدابیر کنترل دسترسی است، اما نصب قفل بر روی دربها از شکستن شیشة پنجره ها برای دسترسی غیر مجاز به درون انبار جلوگیری نمی کند. از این رو، با نصب حفاظ بر روی پنجره ها می تواند حفاظتی کامل برای انبار فراهم آورد.
حفاظت فیزیکی و دفاع چند لایه
حفاظت در عمق
اصل دوم که حفاظت در عمق است با وجود آنکه مهمترین عامل در دفاع چند لایه محسوب می شود اما اغلب نادیده گرفته می شود. برای واقع گرایی در عرصة مسائل حفاظتی، باید انسان قبول کند که امکان خطا و ناتوانی در تأمین امنیت و حفاظت کامل و ناکامی در این زمینه وجود دارد.
هر نوع کنترلی و تدبیری که برای تأمین امنیت و برقراری حفاظت به کار گرفته شده باشد دیر یا زود کارایی خود را از دست خواهد داد. از این رو، با تدابیر حفاظتی که در عمق به اجرا گذاشته می شوند، لایة حفاظتی دیگری بر لایه های موجود اضافه می شود.
به بیان ساده تر، یک دیوار، به چندین دیوار تبدیل می شود که یکی پس از دیگری ایجاد شده اند. در عرصة حفاظت از اطلاعات، مثال گذرواژة کاربر می تواند موضوع را روشن کند. گذرواژه برای همیشه مخفی نمی ماند و در بیشتر مواقع حتی برای یک روز هم مخفی نمی ماند، چون کاربر ها عادت دارند گذرواژة خود را روی کاغذ بنویسند یا از گذرواژه های یکدیگر استفاده کنند. همه می دانند هر اندازه نیز که کارکنان یک مؤسسه نسبت به مسائل حفاظتی حساس و پایبند باشند و اینگونه مسائل به آنها یادآور شود باز هم گذرواژه به تنهایی نمی تواند حفاظت لازم را از اطلاعات به عمل آورد. از این جهت، به این گفته مشهور متوسل می شویم، «چیزی که شما در اختیار دارید، یا چیزی که شما می دانید، همان چیزی است که شما هستید.» گذرواژه همان چیزی است که شما می دانید و دو مقوله دیگر در واقع لایه های حفاظتی در عمق برای تشخیص هویت محسوب می شوند. حفاظت در عمق در واقع افزودن لایه های دیگر به لایه های موجود حفاظتی است، لایه ای همچون کارت هوشمند که مترادف است با آنچه که شما در اختیار دارید.
چنانچه گذرواژه فاش شود، باز هم شما از لایة حفاظتی دیگری برای کنترل دسترسی برخوردار خواهید بود. با وجود این، باید به خاطر داشت که لایه های حفاظتی نیز کاستی های خاص خود را دارند و به همین علت، برای حصول اطمینان از کارایی تدابیر اتخاذ شده برای کنترل، عملکرد این تدابیر باید مورد ارزیابی قرار بگیرند. در زمینة حفاظت فیزیکی نیز، اوضاع همین گونه است.
در حفاظت فیزیکی، تدابیر حفاظتی در عمق از محیط پیرامون آنچه از آن حفاظت می شود آغاز می شود و در لایه های مختلف تا مرکز محل حفاظت شده ادامه پیدا می کند. از لحاظ تئوری، هر یک از لایه های حفاظتی در واقع دایره ایست که با لایه های دیگر که در اطراف محل حفاظت شده قرار گرفته اند مرکز مشترکی دارند. البته کمتر مرکز حفاظت شده ای وجود دارد که شکل دایره داشته باشد. لایه های حفاظتی اغلب از پیرامون محل حفاظت شده آغاز می شوند، سپس نوبت به ورودی محل می رسد، بعد قسمت خارجی ساختمان، طبقة همکف، هر یک از قسمت های مختلف، سپس هر یک از دفاتر و در مرحلة آخر قفسه ها یا گاوصندوق ها.
حفاظت فیزیکی و دفاع چند لایه
بازدارندگی
سومین اصل در حفاظت چند لایه، بازدارندگی است. بازدارندگی به این معنی است که برای حفاظت از آنچه مورد نظر است چنان تدابیری اتخاذ شود که تلاش افراد غیر مجاز برای دسترسی به آن یا مقدور نباشد یا در صورت امکان آنچنان پرهزینه وخطر به دام افتادن آنچنان زیاد باشد، که دسترسی به مکان حفاظت شده، در واقع مقرون به صرفه نباشد. برای مثال اگر قرار باشد شئ مورد نظر برای سرقت یک سرور یدکی به ارزش 5 هزار دلار باشد که در بازار سیاه نتوان آن را بیش از 1 هزار دلار فروخت، در آن صورت هیچ یک از کارکنان مؤسسه برای خارج ساختن چنین سروری از درب پشت مؤسسه که همواره تحت پوشش دوربین های مدار بسته قرار دارد اقدام نخواهد کرد، چون در صورت دستگیر شدن شغل خود را از دست خواهد داد و مدتی رانیز باید در زندان سپری کند و مجموع خسارات وارده به چنین فردی حدود 50 هزار دلار خواهد بود.
توجه به این نکته ضروری است که هزینه ای که به آن اشاره شد، هزینه ای است که کارمند تبهکار در صورت سرقت سرور متحمل خواهد شد نه هزینه ای که برای کارفرما ایجاد شود.
یکی از اشتباهاتی که حتی در اغلب موارد مدیران حفاظت فیزیکی نیز مرتکب آن می شوند این است که هزینه و خسارات ناشی از سرقت را صرفاً برای مالک و صاحب شرکت برآورد می کنند و هزینه ای را که کارمند خلاف کار ممکن است بابت سرقت پرداخت کند را نادیده می گیرند.
ارزش اشیاء و وسائل حفاظت شده برای مالک شرکت باید در ارزیابی خطرات احتمالی و هزینه حفاظت از آن شئ، در مقابل قیمت شئ محاسبه شود. برای مثال هیچ کس حاضر نیست برای حفاظت از یک شئ 5 هزار دلاری، ده هزار دلار بابت امور حفاظتی هزینه کند.
با وجود این، باید هزینه ای که فرد خلافکار در صورت سرقت یک شئ ممکن است متقبل شود را در نظر گرفت. یعنی باید دید که اگر کارمند خلافکاری دست به سرقت زد چه تاوانی باید پرداخت کند، چون چنین فردی خود نیز برای اجرای نیت خلاف خود دست به محاسبه می زند. برای مثال، برای جلوگیری از به سرقت رفتن سرور 5 هزار دلاری شاید نصب یک دوربین 300 دلاری کفایت کند، اما نصب یک سامانه 10 هزار دلاری برای حفاظت از یک وسیلة 5 هزار دلاری مقرون به صرفه نخواهد بود.
یکی از مسائل مهم در ارزیابی تدابیر حفاظتی این است که مشخص کنیم چه مقدار از امنیت بر قرار شد، سهم تدابیر در عرض و در عمق و چه مقدار آن به تدابیر بازدارنده باز می گردد. باید سهم هر یک از این لایه ها در تأمین امنیت محل حفاظت شده مشخص شود تا از این طریق بتوان با ایجاد توازن بین این تدابیر که مدیریت خطر تحلیلی نامیده می شود بهترین تدابیر حفاظتی را برای ردیابی، بازدارندگی و ایجاد تأخیر در دسترسی های غیر مجاز به کار گرفت.