PDA

مشاهده نسخه کامل : مصاحبه با مهندس محمد جواد سخايي ؛ امنيت شبكه فقط پسورد نيست



KING
26-01-07, 16:06
روزنامه دنياي اقتصاد - موضوع امنيت شبكه اين روزها به بحثي اساسي در ميان سايت هاي اينترنتي و شبكه هاي ايراني تبديل شده است . نقش برخي از حملات اينترنتي اخير و افزايش قابل ملاحظه كاركردهاي سايت ها و شبكه هاي ايراني در اين رويكردي بي تاثير نيست ، در زمنيه امنيت شبكه با محمد جواد سخايي فارغ التحصيل دانشگاه شريف و مدير فني سايت Srcoir گفت و گويي انجام داده ايم كه مي خوانيد.
به عنوان سئوال نخست لطفا تعريفي از امنيت شبكه ارايه كنيد ؟
به امينت شبكه بايد به صورت يك بستر نگاه كنيم يعني به صورت يك زير ساخت ، براي اين كه امنيت يك شبكه را ايجاد كنيم بايد در درجه اول به زير ساخت آن توجه داشته باشيم دقيقا مثل نقشي كه جاده ها در حمل و نقل دارند هر چه زير ساخت يعني جاده از نظر ايمني امن تر باشد به طبع حمل و نقل و جابجاي افراد نيز از نظر ايمني بي خطر صورت مي گيرد در مورد شبكه هاي كامپيوتري نيز دقيقا همين طور است اگر زير ساخت امنيتي مناسب باشد عرضه و جابجاي اطلاعات نيز به طبع راحت تر صــــــــــورت مي گيرد شبكه را مي توان با نگرش سخت افزاري يا نرم افزاري مطالعه كرد به هر حال بحث امنيت شبكه بايد از هر دو قطب روي آن كار شود.

براساس چه برنامه هاي و توسط چه كساني بايد امنيت شبكه پياده سازي بشود؟

امنيت شبكه در وهله اول بايد در سطح شبكه هاي داخلي كنترل بشود يعني هر سازمان تدابير لازم امنيتي مورد نياز را اتخاذ و در اصل يك استراتژيك امنيتي را تتبين كند و براساس آن يكسري سياست هاي امنيتي پي ريزي شود سپس لازم است مجريان و كساني كه استراتژيك و سياست ها را تعيين مي كنند همه با هم به دانش روز آگاه باشند و اطلاعاتشان دائم به روز شود كه بعدا اين افراد بتوانند با توجه به سياست هاي محلي هر سازمان يك پوسته حفاظتي مناسب را در سطح شبكه داخلي خودشان ايجاد كنند. در ضمن علاوه بر اينكه سازمان ها اين پوسته حفاظتي را ايجاد مي كنند بايد مكان و سازمان به خصوصي وجود داشته باشد كه آخرين اطلاعاتي كه در زمنيه امنيت شبكه وجود دارد و يا جالش هاي موجود در اين زمنيه را تقسيم و آناليزه كرده و اين موارد را در سطح كل كشور و آن جاي كه مد نظر است ارايه دهد كه همه بتوانند از آن استفاده كنند.

به نظر شما بحث امنيت شبكه يك كار جمعي محسوب مي شود؟

صد در صد ، چون بحث امنيت شبكه يك فرآيند زنده و بسيار متغيير است و نياز به يك كار گسترده دارد بنابراين يك نفر و دو نفر نمي توانند اين بحث را پوشش دهند الان ما روي يك مسئله پيشگيري انـــــــجام مي دهيم فردا يك مسئله ديگري پيش مي آيد كه تازه متوجه مي شويم روي آن پيشگيري صورت نگرفته است .

• در اين زمينه آيا استاندارد يا روش مشخصي وجود دارد كه بتوان بر اساس آن برنامه امنيتي را پي ريزي كرد ؟ •

الان ما در سازمان هاي دولتي جايگاه شغلي براي كساني كه بحث امنيت شبكه را انجام مي دهند نداريم حالا اين مسئله را رها كنيم برويم روي بحث امنيت سايت ها و اينترنت متاسفانه در اين زمنيه دانشي وجود ندارد همه كساني كه اطلاعاتي دارند اطلاعات و دانشي است كه خودشان به مرور به دست آورده اند ، دوستان زحمت خودشان را مي كشند اما جايي وجود ندارد كه اين دانش و اطلاعات كنار هم قرار بگيرد تا معلوم شود آيا اين دانشي كه آموخته ايم بهتر از آن نيز وجود دارد يا نه ، شايد دانشي وجود داشته باشد كه فراتر از آموخته هاي ما باشد. به نظر من بايد براي اين كار متولي مشخص شود يعني به اين معنا كه يك سازمان روي ساختار فيزيكي و مقطعي اين مسئله كار كند.

نقش آموزش در بالا بردن سطح كيفي امنيت چه قدر مفيد است ؟

بسيار مفيد و ضروري است يك كاربر ساده اي كه پشت كامپيوتر نشسته و در شبكه داخلي يا حتي شبكه اينترنت ايميل هاي خودش را كنترل مي كند اگر اين كاربر اصول اوليه امنيت را نداند كه به فرض در ارتباط با كنترل يك ايميل بايد چه تدابيري را اتخاذ كند همين كاربر مي تواند ناخواسته روي شبكه امنيتي تاثير بگذارد پس بنابراين آموزش در بحث امنيت در تمامي سطوح لازم و ضروري است يك كاربر معمولي كه روي شبكه كار مي كند بايد به طور كامل توجيه شود و آموزش ببيند و بعضي از مسايل براي او آناليز بشود مثلا بداند بر اثر سهل انگاري يك نفر در يك سازمان و هنگام چك كردن ايميل ممكن است يك فايل اسكريپت آمده و كل شبكه آنها را آلوده كند اين كاربر بايد در اين سطح آموزش ببيند، به نظر من وقتي كسي مي خواهد در بستر اينترنت قدم بزند نه اينكه حتي با يك ماشين به سرعت حركت كند براي همين قدم زدن نيز بايد با اصول اوليه آشنا باشد وگرنه بعدها دچار مشكل مي شود من اعتقاد دارم كساني كــــــــــه مي خواهند سياست ها را تعيين كنند و در نهايت كساني كه مي خواهند اين سياست ها را اجرا و پياده نمايند بايد در سطوح خودشان آموزش هاي لازم را ببينند.

يعني شما اعتقاد داريد آموزش بايد دو طرفه باشد ؟

بله هم كاربر ها و هم كساني كه در سطوح مديريتي هستند بايد آموزش ببيند چه بسا همان مدير سازمان از يك ساعتي به بعد خودش يك كاربر مي شود ما در حال حاضر چيزي به عنوان آموزش امنيت شبكه نداريم كه بايد روي اين مسئله دقيق نگاه شود اگر روي اين مسئله يعني امنيت شبكه كم كاري صورت بگيرد تمام زحماتي كه الان صورت گرفته ممكن است بر اثر سهل انگاري كوچك توسط يك فرد از بين برود درست مثل اتوبوسي كه عده اي با رعايت تمامي مسايل امنيتي در آن سوار شده اند و در حال طي كردن مسيري هستند اما در اين ميان يك نفر بدون توجه حركتي انجام مي دهد كه باعث بروز اتفاقي مثل تصادف مي شود كه اين عمل باعث از بين رفتن زحمات كل مسافرين مي شود به نظر من بحث امنيت شبكه يك بحث مرتبط و پيوسته به هم است همه بايد در زمان خودشان و به جا حركت كنند تا يك سيستم درست حركت كند وگرنه با مشكل اساسي برخورد مي كند.

به نظر شما نقش دولت در بالا بردن ضريب امنيت مجازي چيست ؟

دولت از يك بعد و آن پورت هاي ورودي و خروجي و دستيابي به اينترنت مي تواند سياستي را پياده كرده و بحث امنيت را از بالا نظارت كند اما در ابعاد ديگر نيز دولت مي تواند از مجموعه و كساني كه درگير اين مسايل هستند حمايت كند دولت همچنين مي تواند براي شكل گيري ساختار فيزيكي كمك كند يعني در اصل هم مي تواند حمايت لجستيكي و هم حمايت فني و ساختاري داشته باشد هم اكنون از سوي دولت طرحي مثل تكفا يا طرح هاي ديگر ارايه شده اما من مي گويم اگر ما قصد مسافرت داريم بايد قبل از اينكه به اين فكر باشيم كه در راه چه چيزي بخوريم بهتر است اول به فكر اتومبيل و جاده باشيم و ايمني آن را در نظر بگيريم در مورد اينترنت كه بستر آن بزرگراه نام دارد بهتر است قبل از حركت روي مسئله امنيت آن توجه كنيم و دولت مي تواند روي اين مسئله نقش جدي داشته باشد و هم روي مسئله اصلي كه ورودي و خروجي اينترنت است و هم در سطوح ديگر به عنوان نمونه در مورد حمايت از بخش خصوصي كه اگر دولت اين كارها را انجام ندهد در آينده حتما ضرر مي كنيم چرا كه شايد الان ما اطلاعات با ارزشي نداشته باشيم كه نگران و نارحت از دست دادن آن هم نيستيم ولي اگر يك زماني اطلاعات با ارزشي داشته باشيم كه بخواهيم به صورت آن لاين در اختيار متقاضيان قرار بگيرد مطمئن باشيد اگر آن سيستم تنها يك ساعت به دليلي از كار بيفتد كل مسير طي شده بر مي گرددد به نقطه شروع يعني تمام مسيري كه با زحمت به جلو سوق داده ايم در يك لحظه از دست مي دهيم .

در حال حاضر دولت در مورد بحث امنيت شبكه كاري انجام داده است ؟

من در حقيقت تا به حال در اين مورد چيزي نشنيده ام شايد موردي بوده و در حال انجام شدن باشد اما به طور رسمي اعلام نشده است، ممكن است دولت بيايد اين مسئله را مطرح كند كه من در حوزه كاري خودم اين قسمت را ايمن مي كنم و از آن به بعد هر كس بايد خودش مسئله امنيتي را رعايت كند ، مثلا نمي توان كاربري كه مسئله امنيتي را رعايت نمي كند يا مدير شبكه اي كه در سازمان توانايي مديريت شبكه را در تمام ابعادش ندارد يا سياست گذار هم در مسئله امنيت ناتوان باشد به دولت ارتباط داد به هر حال بحث امنيت به نظرم دنبال مي شود اما جزئيات آن به چه صورتي است دقيقا اطلاع ندارم .

حملات اينترنتي عمدتا از جانب چه كساني صورت مي گيرد ؟

نبايد تنها بگوئيم حملات را چه كساني انجام مي دهند چرا كه بايد نحوه حملات و انگيزه ها را نيز مورد توجه قرار دهيم و بدانيم حمله كنندگان از چه چيزهاي براي حمله استفاده مي كنند و از چه توانايي هايي برخوردار هستند و با دانستن اين اطلاعات مي توانيم يك ديوار امنيتي ايجاد كنيم . معمولا كساني كه حمله مي كنند به چند دسته تقسيم مي شوند عده اي دشمنان ملي هستند اين دسته افرداي هستند كه در كشورها با منافع ملي مخالف هستند و تروريست اطلاعاتي به شمار مي آيند عده اي مجرمان و سارقان اينترنتي هستند و تعدادي از حمله كنندگان شركت هاي رقيب هستند حتي بعضي از اين افراد براي دست انداخت ديگران يا برتر نشان دادن خود دست به هك مي زنند كه اين افراد مشكلات رواني دارند ولي به طور كلي همه اين افردا با انگيزهاي مختلف مي خواهند به اطلاعات دست پيدا كنند به هر حال اول بايد دشمنان شناخته و انگيزها نيز معلوم شود. ما روي هم رفته چند نوع حمله داريم كه بايد شناخته شود و براســـــــــاس آن سياست هاي امنيتي طرح ريزي شود ، گروه اول غير فعال دوم فعال سوم مجاور به هم چهارم حملات خودي ها (در سازماني كار مي كنند و با آن مشكل دارند) و ... هر كدام از اين گروه ها در جاي خودشان آسيب مي رسانند برخي كدهاي آلوده دارند مثلا وقتي يك نرم افزار يا سخت افزار در كارخانه تــــــــوليد مي شود متاسفانه اين گروه يك بك دور در آن قرار مي دهند و به ديگران مي دهند حتي موقعي كه فرد سيستمي را از جاي خريده و در اين فاصله دست به دست مي چرخد مشكل ايجاد مي شود اين مسئله در كشور ما حادتر است چون ما منابع نرم افزار ي و اروجينالي نداريم . اين يك نمونه كوچكي از اين حملات است كه بايد روش هاي مخصوصي براي كنترل آن به وجود بيايد مثلا از چه سيستمي براي دفاع استفاده شود و در اين ميان البته بعضي حملات غير مخرب است و از روي سهل انگاري صورت مي گيرد .

نقطه ضعف هاي نرم افزاري سايت هاي و سرورهاي ايراني را در چه مواردي مي بينيد؟

يكسري ضعف ها را خود نرم افزارها دارند كه ربطي به كشور ما ندارد نرم افزار وسيله اي است كه زاييده دست بشر است وقتي انسان خودش اشتباه مي كند چه سهوا و چه عمدا پس امكان دارد محصولي كه از فكر او توليد مي شود نيز از اين مسئله جدا نباشد بعضي از ضعف ها به نقطه توليد بر مي گردد و شركت هايي كه در اين زمينه كار مي كنند و بازار را در دست دارند براي اينكه دوست ندارند بدنام بشوند سعي مي كنند اين مشكلات را خودشان دنبال و حل كنند ولي متاسفانه زماني برطرف مي كنند كه اين مشكل به وجود آمده و آسيب را نيز رسانده است مثلا شركت مايكروسافت اشتباهي مي كند بعد سريع يك Patch امنيتي مي نويسد و وارد بازار مي كند تا مشكل حل شود يعني نيش دارو بعد از مرگ سهراب ، به هر حال مراكزي كه اطلاعات حساس دارند بايد نرم افزار خودشان را از جاهاي مورد اطمينان تهيه كنند چون كساني هستند كه روي نرم افزار با نيت هاي خاص يك بك دور مي گذارند و آن را وارد كشورهاي ديگر مي كنند هر چند اين كار درصد ش خيلي كم است اما معضل آفرين است بنابراين از مكان هاي مطمئن بايد نرم افزار خريداري بشود . مخصوصا كساني كه بحث سايت و ISP دارند بايد مجموعه نرم افزارهاي خودشان را از جاي مورد اعتماد تهيه كنند. ما نرم افزار را مي گيرم و با مجموعه پتانسيل ها و در كنار سخت افزارها مي خواهيم در نهايت پياده سازي انجام بدهيم اين پياده سازي براساس تجربه شخصي انجام مي گيرد يعني ما شروع مي كنيم به نصب نرم افزار و لايه امنيتي را مي سازيم بدون در نظر گرفتن سياست هاي امنيتي آن سازمان بهتر است اول سازمان مورد نظر سياست امنيتي مشخصي داشته باشد و بعد شروع به نصب نرم افزار كند يعني متناسب با سياست نرم افزار را بچيند.

افرداي كه هم اكنون كار پياده سازي نرم افزار ها را انجام مي دهند از چه توانايي هاي برخوردار هستند؟

در كشور ما هم اكنون افراد با استعدادي وجود دارند كه با امكانات بسيار كم كار پياده سازي را انــــــجام مي دهند ولي قطعا اطلاعات بسياري از اين افراد به هنگام شده و به روز نيست چرا كه الان همه كارها به صورت تجربه شخصي است و اين تجارب شخصي امكان دارد درست باشد ولي من مي گويم شايد تجاربي بهتر از ما وجود داشته كه ما از آن بي اطلاع بوده ايم .

به نظر شما ما در زمينه امنيت سايت ها و سرورهايمان از دانش كافي برخوردار نيستم يا توان اين كار را نداريم ؟

خوشبختنانه ما توان لازم را داريم و از اين نظر مشكلي وجود ندارد چرا كه توان و پتانسيل درون خود نرم افزار وجود دارد و من به عنوان يك نيرو انساني بايد بتوانم اين پتانسيل ها را به فعل تبديل كنم يعني روش به فعل كردن بسيار مهم است پس در اين ميان باز هم بحث آموزش مطرح مي شود مثلا هم اكنون بحث ايمن كردن ايميل ها خيلي مطرح است چرا كه ويروس هاي جديدي از طريق ايميل مي تواند شبكه را آلوده كند و در اين جا نياز است كه فرد بداند چگونه شبكه را در مقابل اين ويروس ايمن كند ما بايد در زمان نصب نرم افزار اين كار را انجام بدهيم يعني ما توان لازم را داريم ولي از نظر آموزشي مشكل داريم و مشكل اساسي اين است كه ما به هنگام نيستيم و تجارب ما شخصي است به نظر من بحث آموزش بايد وجود داشته باشد شما در خلال مصاحبه در مورد جايگاه دولت در امنيت شبكه سئوال كرديد و من در اين جا بار ديگر مي گويم دولت مي تواند در بحث آموزش به نحو جدي وارد عمل شود چرا كه بحث امنيت و اطلاعات تنها اين نيست كه من دور خانه ام ديوار بكشم و با خيال راحت استراحت كنم چون اين كار امكان ندارد. بحث امينت شبكه ها يك عزم ملي مي خواهد بنابراين دولت حداقل بيايد از بچه ها ي كه با پشتكار خودشان پيگير اين مسئله هستند آنها را از نظر علمي ساپورت كند.

ما هيچ قانوني در زمينه جرايم كامپيوتري نداريم به نظر شما اين موضوع بر مشكلات امنيتي مــــجازي نمي افزايد ؟

قانون وضع كردن خيلي خوب است اما ما در خيلي جاها مشكل قانون نداريم بلكه مشكل اين است كه پايبند به اصول اوليه نيستيم به عنوان مثال بيش از چهل سال است كه چراغ راهنمايي و رانندگي وجود دارد و براي گرفتن گواهينامه همين چراغ ها را امتحان مي دهيم و ياد گرفتن آن بسيار ساده است چون سه چراغ بيشتر نيست ولي الان آمار بگيرد كه طي روز چند نفر از چراغ قرمز عبور مي كنند در حاليكه در اين مورد قانون هم داريم و فرد را مي توانند جريمه كنند بنابراين ما مشكل قانون نداريم اين فرهنگ است كه بايد جا بيفتد ما نبايد فكر كنيم اگر براي جرايم اينترنتي قانون وضع كرديم برويم راحت دنبال كارمان و بگويم خدا را شكر براي اين موضوع هم قانون داريم . به نظر من چنين حرفي درست نيست چون كامپيوتر هنوز در ايران جوان است و برايش هنوز كاري صورت نگرفته و ما به صورت ابتدايي با آن كار مي كنيم پس بايد در ابتدا روي فرهگ سازي آن كار شود از هر طرف توسط رسانه ها ، سازمان ها ، بخش خصوصي و... و نبايد مثل گذشته با آن ديد ساده سازماني 4 تا كامپيوتر بگذاريم و بگوئيم سازمان ما سيستم هايش به روز و كامپيوتري است بنابراين با اين وضع اگر قانون نيز وضع شود اما فرهنگ سازي صورت نگرفته باشد اين قانون بلا استفاده مي ماند در ضمن براي اجرا قانون ما نياز به افرا د آموزش ديده داريم كه باز بحث آموزش به ميان مي آيد.

شما چه راهكاري هاي را براي بالا بردن امنيت شبكه ها پيشنهاد مي كنيد ؟

اولين قدم آموزش است كه جايگاه خاص خودش را دارد تمام كساني كه دست اندر كار اين قضيه هستند يعني از مديريت شبكه ها گرفته تا كاربران همه بايد در زمان خودشان به سرعت اطلاعات روز را آموزش ببينند بعد از آموزش هر سازمان براي خودش يك استراتژيك مشخصي را معلوم كند كه در مقابل حملات آمادگي داشته باشد و در يك سيستم حفاظتي مطمئن آن هم نه روي كاغذ بلكه در عمل بيايد اين مسايل گفته شده را پياده كند كه اين كار بخشي در سازمان صورت مي گيرد و بخشي بايد توسط دولت صورت بگيرد چرا كه دولت به جاي كارهاي تكرار و موازي مي تواند اين بخش كار را پيگيري كنند چرا كه اين كار باعث صرفه جويي در زمان و سرمايه ملي مي شود و در آخر بايد بداينم امنيت شبكه يك پسورد و يوزرنيم نيست حتي بار گذاشتين يك پراكسي هم نمي باشد.

منبع (Only the registered members can see the link)