امنیت

گفتگوی تفضیلی ایسنا با یك مشاور امنیتی

مدیرعامل شركت مهندسی و امنیت شبكه‌ی «دژآذر» گفت: یكی از دلایل تداوم هك‌های وزارتخانه‌ها در طول سه ماه اخیر نبود مشاوران امنیتی است و نبود بحث‌های آموزشی و اطلاع رسانی امنیت را بی ارزش می‌كند.


مهندس «محمد مصلایی» در گفت‌وگوی تفصیلی با سرویس فناوری اطلاعات خبرگزاری دانشجویان ایران (ایسنا)‌، وجود ابزارهای آموزشی و دانش فنی كار را در ارزش دادن به امنیت سیستم مفید برشمرد و حضور كارشناس امنیتی را برای برقراری تعادل بین سهولت استفاده‌ی كاربر از سیستم و امنیت، در كاهش ریسك حمله به اطلاعات شخصی و سازمانی را ضروری دانست.


*در امنیت به دنبال چه هستیم؛


مصلایی اولین گام در ایجاد امنیت در سیستم را پاسخ به این دانست كه ما با امنیت به دنبال حفظ چه چیزی هستیم و گفت: با شناسایی ارزش و دارایی موجود می‌توانیم تمهیدات امنیتی اتخاذ كنیم وبرای این كار نیاز به ارزیابی و لیست كردن ابزار موجود داریم؛ با لیست كردن ابزاری مثل سخت‌افزار، نرم افزار، ‌موجودیت معنوی مثل password یا رمز عبور برای هر كدام درجه‌ی اهمیت قائل می‌شویم و خطرات نبود هر كدام را پیش‌بینی می‌كنیم.


وی افزود: یك خبرگزاری كه كارش تولید خبر است نیاز به امنیت دارد تا تداوم را برای آن تضمین كند . در پنج سال اخیر به دلیل حمله‌ی 10 درصد همه به دنبال آنتی ویروس هستند. كار ویروس اذیت و آزار و كاهش پهنای باند كاربر است و سیستم را از كار نمی‌اندازد ولی همه در پی پاسخ به این مزاحمت برآمدند.


مصلایی این پاسخگویی را یك استراتژی و اكنشی دانست و گفت: ما باید به دنبال برقراری یك استراتژی پیشگیرانه باشیم چرا كه نباید اجازه‌ی مزاحمت را بدهیم همچنین در وضعیت واكنشی ما با از دست دادن زمان سرمایه‌های خود را تلف می‌كنیم.


*مقوله‌های ترافیكی و محتوایی درامنیت اطلاعات؛


مصلایی امنیت در بخش IT را به دو منبع ترافیكی و محتوایی تقسیم كرد و گفت: در مقوله‌های ترافیكی دسترسی تعریف می‌شود و اینكه چه افرادی اجازه‌ی دسترسی به اطلاعات را ندارند؟ در حالی كه در بخش محتوایی ما با ویروس‌ها و فایل‌های خطرناكی در ارتباط هستیم كه بدون نیاز به رمز عبور كاربر هستیم را آلوده می‌كنند و ویروس‌ها از دسته‌ی كدهای خطرناكی هستند كه با یك ابزار نظارتی بر روی آن‌ها می‌توان امنیت را استحكام بخشید.


وی با معرفی نظام‌ها‌ی رمز ‌گذاری به دوسطح و VPN و ذخیره اظهار داشت: نظام‌های ارتباطی درسطح ارتباطی VPN رمز را از طریق تونل‌های مجازی در شبكه‌های خصوصی مخابره می‌كنند و این در حالی است كه در سطح اطلاعات، فرم گردش اطلاعات مهم است و هنوز بهترین شیوه‌ی تعیین نشده و استفاده از هر روش به كاركرد سازمان بستگی دارد.


وی در مورد اطلاعات گفت: این بخش دارای سه سطر برنامه‌های كاربردی، بانك اطلاعاتی و مخزن ذخیره سازی است و اطلاعات در قسمت ذخیره در ابعاد مختلف از لحاظ مخزن اما با یك محتوا قابل دسترسی هستند.


*نواقص ابزارامنیتی باعث ایجاد روزنه‌های نفوذی می‌شود؛


مصلایی با اشاره به وظایف مشاوره‌ی امنیتی گفت: یك مشاور امنیتی باید سطوح استراتژی سازمان را در نظر بگیرد.


سطوحی مثل برنامه‌ریزی‌های عملیاتی (كوتاه مدت) برنامه‌های مدیریتی (میان مدت) و برنامه‌های استراتژیك، استراتژی‌های سازمان را در بر می‌گیرد.


وی به یك بخش گمشده بین سطح ترافیكی و محتوایی اشاره كرد و گفت: بحث محتوا و ترافیك خارج از سیستم عامل و برنامه‌های كاربردی نیست پس نقش خود ابزار هم نیاز به تاكید دارد؛ ما هر روز شاهد گزارش‌هایی مبنی بر بروز نواقص در ابزارهای امنیتی هستیم كه باعث ایجاد روزنه‌هایی برای سوء استفاده‌ی افراد می‌شود.


مصلایی بحث امنیت را به رایانه‌های شخصی تعمیم داد و گفت: امنیت از نظر عناوین مختلف نیست ولی از لحاظ ابعاد و اندازه ممكن است در یك سازمان پیچیده تر باشد.


وی به یكی از نگرانی‌های اروپایی‌ها اشاره كرد و گفت: نگرانی ربودن اطلاعات شخصی در اروپا در پایمال شدن مرزهای شخصی افزایش پیدا كرده است و اعتبارسنجی و هویت سنجی بخش عمده‌ی كار را شامل می‌شود. به گونه‌ای كه ابزارهایی برای تایید هویت یك سایت به سازمان با اشخاص ایجاد شود.


*حجم زیاد حمله به قصد بازی‌گوشی است؛


مصلایی حمله‌ها را با قصد سوء نیت و یا بازی‌گوشی دانست و اظهار داشت: در كشورهای پیشرفته سیستم‌های رهیاب در كنار امنیت بالا‌، درجه‌ی اطمینان را افزایش می‌دهد و درصد حمله‌هایی كه با قصد بازی‌گوشی انجام می‌شود در سازمان‌هایی كه امنیت پایینی دارند بالا است.


وی مكانیزه بودن را عاملی برای افزایش اهمیت امنیت در سازمان برشمرد و افزود: كامپیوتری بودن سیستم‌های بانكی و سایر سازمان‌های ما از اهمیت حضور امنیت می‌كاهد و اگر یك سیستم بانكی ادعای داشتن سرویس پرداخت الكترونیكی را داشته باشد به دلیل نبودن اطمینان كاربر و نبود قوانین كافی اعتماد و استفاده از سرویس را به حداقل می‌رساند.


* دیوار آتش حایلی بین دنیای داخل وخارج؛


مصلایی در ادامه دارا بودن یك حایل امنیتی را در بالا بردن ریسك خطر دخیل دانست و افزود: وجود چند حایل امنیتی در یك شبكه از خطر‌های احتمالی می‌كاهد.


وی تلاش كارشناسان امنیتی و شبكه را محدود به سطح عملیاتی سازمان‌ها دانست وگفت: عدم توجه به دو سطح استراتژی و مدیریتی از اثرات مفید دیوار آتش می‌كاهد. همچنین با وجود رشد هر ساله‌ی حجم حملات برای اولین بار ضریب امنیتی در سال 2005 نسبت به سال گذشته 40 درصد رشد پیدا كرده است.


* نقش دولت به عنوان سرمایه گزار اصلی استراتژیك است؛


مصلایی در ادامه تصریح كرد: دولت با سرمایه ‌گذاری در مسائل مختلف كه اهمیت استراتژیك دارند فارغ از بحث‌های مالی می‌تواند منفعت جامعه را در نظر گیرد كه برنامه‌ریزی منسجم در ابتدای آن قرار دارد.


وی با بیان اینكه برنامه‌ها نباید با تغییر مدیریت به تاخیر بیافتد افزود: ما احتیاج به یك مدیریت علمی‌داریم و این در حالیست كه اصل مدیریت در پروژه‌های ما رعایت نمی‌شود.


مهندس مصلایی در پایان با اشاره به استاندارد امنیت و سند امنیت ملی گفت: ما تعریف اختصاصی از استاندارد نداریم و تنها با برداشتی از استاندارد امنیت در برخی مواقع قادر به پیاده سازی نیستیم .


​​