چک‌لیست ‌امنیت سایبری و توصیه‌های امنیتی مهم برای سازمان­ها – قسمت اول

در دو قسمت از مقاله به شما یک نمای کلی از وظایف متنوع وزیادی، که برای ایجاد امنیت سایبری مناسب که سازمان ها باید با آنها روبرو شوند، را ارائه و توضیح خواهیم داد یک چک‌لیست ‌امنیت سایبری شامل چه مواردی میشود. درک دسته‌بندی‌های متنوعِ چنین وظایفی احتمال جلوگیری از شکاف‌های امنیتی را افزایش می‌دهد. چنین شکاف‌هایی، که ممکن است به‌صورت تصادفی یا عمدی مورد بهره‌برداری قرار گیرند، می‌توانند امنیت زیادی را که در سایر زمینه‌ها ایجاد کرده‌اید، تضعیف کرده یا تحت‌الشعاع قرار دهند. نمای کلی ارائه شده در این قسمت، دسته‌بندی‌هایی از وظایف مفید و لازم برای برآورده کردن آن الزامات و تهدیدها را مشخص می‌کند.

امنیت خوب مستلزم کنترل دسترسی فیزیکی، پرسنل قابل اعتماد، رویه‌های نصب و پیکربندی قابل اعتماد، ارتباطات امن و کنترل عملیات‌های پایگاه داده مانند انتخاب، مشاهده، به‌روزرسانی یا حذف سوابق پایگاه داده است. از آنجایی که برخی از این الزامات شامل برنامه‌ها یا رویه‌های ذخیره‌شده و همچنین اقدامات انسانی است، رویه‌های امنیتی باید نحوه‌ی توسعه و رسیدگی به این برنامه‌ها را نیز در نظر بگیرند.

دغدغه‌های عملی نیز باید در نظر گرفته شوند: به حداقل رساندن هزینه‌های مربوط به تجهیزات، پرسنل، و آموزش. به حداقل رساندن تاخیرها و خطاها؛ و نیز تحققِ حداکثریِ پاسخگویی سریع و کامل. مقیاس‌پذیری نیز یک معیار عملی مهم و مستقل است که باید برای هر راهکار پیشنهادی ارزیابی شود.

چک‌لیست ‌امنیت سایبری شامل چه مواردی است

این‌ها مقوله‌هایی هستند که در این نمای کلی آمده اند و در بخش‌های زیر مورد بحث قرار می‌گیرند:

• چک‌لیست کنترل دسترسی فیزیکی
• چک‌لیست پرسنل
• چک‌لیست نصب و پیکربندی ایمن
• چک‌لیست‌های امنیت شبکه

چک‌لیست کنترل دسترسی فیزیکی

گزینه شماره یک برای ایجاد یک چک‌لیست ‌امنیت سایبری درست و کارامد این است که کنترل دسترسی های فیزیکی را باید حتما در نظر داشت. ورود به مرکز بدون کلید یا نشان، یا بدون نیاز به نشان دادن هویت یا مجوز، کار آسانی نیست. کنترل دسترسی فیزیکی اولین خط دفاعی است که از داده‌های سازمان و کارکنانتان در برابر ساده‌ترین نفوذها و تداخل‌های غیرعمدی یا مخرب محافظت می‌کند. فقدان چنین کنترلی می‌تواند مشاهده، کپی یا سرقت سایر کنترل‌های امنیتی از جمله کلیدهای داخلی، کدکلیدها، شماره‌نشان‌ها یا نشان‌ها و غیره را آسان‌تر کند. البته، امنیت این اقدامات نیز به میزان هوشیاری و آگاهی تمام کارکنان بستگی دارد، اما کنترل دسترسی فیزیکی انواع مشکلات احتمالی را حتی قبل از شروع متوقف می‌کند.

هر سازمانی باید ریسک‌ها و بودجه‌ی خود را ارزیابی کند. نیاز به اقدامات دقیق به عوامل مختلفی، مانند: اندازه‌ی سازمان، خطر از دست دادن، کنترل‌های دسترسی داخلی، تعداد و دفعات بازدیدکنندگان خارجی و غیره بستگی دارد و بنابراین ممکن است نیازی به چنین اقداماتی نباشد. آماده شدن برای پاسخگویی و بازیابی، ملاحظات دیگری هستند که احتمالاً باعث استفاده از زنگ هشدار یا دوربین مداربسته در ورودی‌ها می‌شوند. دیده شدن این تدارکات می‌تواند خود به‌عنوان عاملی بازدارنده عمل کند.

بهبود کنترل دسترسی فیزیکی به تشکیلات می‌تواند بر میزان امنیت سازمان بیافزاید. برای مثال، ورود به داخل و ناشناخته ماندن یا ناشناس ترک کردن محیط را سخت و دستیابی به مناطق حساس یا امن داخل را دشوار می‌کند و نمی‌توان هیچ ردی از خود باقی نگذاشت.

چک‌لیست پرسنل به عنوان الویت شماره دو در چک‌لیست ‌امنیت سایبری

کارکنان سازمان بسته به اینکه چه کسی هستند و چگونه مدیریت می‌شوند، می‌توانند عملکرد سازمان را خوب یا تضعیف کنند. امنیت سازمان به‌شدت به آنها بستگی دارد: اول اینکه چقدر صادق و قابل اعتماد هستند و دوم اینکه چقدر نسبت به دغدغه‌ها و ملاحظات امنیتی آگاه و هوشیار هستند، این دو موارد حتما در زمان تهیه چک‌لیست ‌امنیت سایبری باید در نظر گرفته شوند. اولین مسئله انتخاب، مصاحبه، مشاهده و بررسی مراجع است. اگر این کار به خوبی انجام شود، این مهارت‌ها می‌توانند از استخدام افراد نامناسب برای وظایف یا محیط‌هایی که به ایجاد و حفظ امنیت وابسته هستند یا خواهند شد جلوگیری کند. امنیت، تا حد زیادی به افراد بستگی دارد: هنگامی که آن‌ها بی‌احتیاط، ناخشنود یا دزد می‌شوند، امنیت شدید سست و یا ناپدید می‌شود. اگر افراد تعمداً بی‌دقت، ضعیف یا خرابکار شوند، اقدامات دیگر هیچ اهمیتی نخواهد داشت.

بیشتر بخوانید: چک‌لیست مقابله با حملات سایبری

مسئله‌ی دوم این است که کارکنان سازمان تا چه حد نسبت به دغدغه‌ها و ملاحظات امنیتی آگاه و هوشیار هستند. چنین آگاهی‌ای تنها تا حدی به پیشینه‌ی آنان مربوط می‌شود: محیط و آموزش‌هایی که ارائه داده می­شود، با توجه به صداقت اولیه و قصد همکاری، مهم‌ترین تأثیرات را خواهند داشت. وقتی یک سازمان چه در حرف و چه در عمل، با ایجاد و اجرای رویه‌های امنیتی و با ارائه‌ی آموزش‌ها و آگهی‌های مربوط به آن، نشان می‌دهد که امنیت مهم است، افراد در سازمان یاد می‌گیرند که سازگار ‌شوند. نتیجه‌ی این کار امنیت و ایمنی بهتر برای آن‌ها و همچنین برای داده‌ها و محصولات سازمان می­باشد.

چک‌لیست نصب و پیکربندی ایمن

امنیت اطلاعات، حریم خصوصی، و حفاظت از دارایی‌ها و داده‌های سازمان برای هر کسب و کاری از اهمیت بالایی برخوردار است. برای پایگاه‌های داده، ایجاد یک پیکربندی ایمن اولین خط دفاعی مستحکم است که از برترین شیوه‌های امنیتی استاندارد صنعتی برای استقرار پایگاه داده‌های عملیاتی استفاده می‌کند. فهرستی از این شیوه‌های امنیتی به‌طور مختصر و کلی در زیر آمده است.

بیشتر بخوانید: ارسال درخواست برای دریافت چک لیست های امنیتی

ده توصیه‌ی مهم برای یک پیکربندی ایمن

1. تنها چیزهایی را که لازم است نصب کنید

عملیات نصب را باید بدرستی انجام داد، از نصب گزینه‌ها و محصولاتی که نیاز نیست باید خودداری کرد. علاوه بر سرور پایگاه داده، فقط آن دسته از محصولات و گزینه‌های اضافی را که کاملا مشخص است به آن‌ها نیاز هست نصب باید کرد؛ یا، اگر به جای آن، نصب «معمولی» را انتخاب کرده اید، پس از اتمام مراحل نصب، با حذف نصب گزینه‌ها و محصولاتی که نیاز نیست می­توان امنیت سازمان را تقویت کرد.

2. باید حساب‌های کاربری پیش‌فرض را قفل یا منقضی کرد

پایگاه داده‌ی Oracle همراه با تعداد زیادی از حساب‌های کاربری سرور ِپایگاه داده پیش فرض یا از پیش تعیین شده نصب می‌شود. پس از ایجاد موفقیت‌آمیز یک نمونه سرور پایگاه داده، Database Configuration Assistant، به طور خودکار، اکثر حساب‌های کاربری پیش‌فرض پایگاه داده‌ را قفل کرده یا منقضی می‌کند. پس از نصب پایگاه داده، SYS و SYSTEM را نیز قفل باید قفل کرد و از AS SYSDBA برای دسترسی مدیر استفاده نمایید. باید رمزهای عبور مدیریتی را به صورت جداگانه مشخص کرد.

این حساب یعنی AS SYSDBA، نام کاربری سیستم عامل را ردیابی و پاسخ‌دهی را حفظ می‌کند. اگر تنها برای راه‌اندازی و خاموش کردن پایگاه داده نیاز به دسترسی هست، باید به جای آن از AS SYSOPER استفاده کردد. SYSOPER دارای امتیازات مدیریتی کمتری نسبت به SYS است، اما برای انجام عملیات‌های اساسی مانند راه‌اندازی یا خاموش کردن، نصب کردن، پشتیبان‌گیری، بایگانی و بازیابی کافی است. Database Configuration Assistant در حین نصب دستی استفاده نمی‌شود، و بنابراین همه‌ی کاربران پیش‌فرضِ پایگاه داده باز بوده و قفل نیستند و در نتیجه می‌توانند به داده‌ها دسترسی غیرمجاز داشته یا در عملیات پایگاه داده اختلال ایجاد کنند. بنابراین، پس از نصب دستی، می­توان از SQL برای قفل کردن و منقضی کردن تمام حساب‌های کاربری پیش‌فرض پایگاه داده به جز SYS ،SYSTEM ،SCOTT و DBSNMP استفاده کرد. اگر بعداً به یک حساب قفل‌شده نیاز شود، مدیر پایگاه داده می‌تواند به سادگی آن حساب را با یک رمز عبور جدید و معنی‌دار باز کرده و فعال کند.

3. باید رمز عبور پیش‌فرض کاربر را تغییر داد

هنگامی که یک حساب کاربری پیش‌فرض سرور پایگاه داده، حتی پس از نصب، همچنان دارای رمز عبور پیش‌فرض باشد، امنیت به راحتی شکسته می‌شود. سه مرحله‌ی رفع این مشکل از این قرار اند:

الف) باید پس از نصب سرور پایگاه داده، بلافاصله پسوردهای پیش فرض کاربران اداری را تغییر داد.

در تمام محیط‌های Oracle یا تولید یا آزمایشی، بلافاصله پس از نصب موفقیت‌آمیز سرور پایگاه داده، همچنین باید رمزهای عبور قوی و معنی‌دار را به حساب‌های کاربری SYS و SYSTEM اختصاص داد. پسوردهای SYS و SYSTEM تحت هیچ شرایطی نباید در حالت پیش‌فرض خود باقی بمانند. همچنین، در محیط‌های تولید، از رمزهای عبور پیش‌فرض برای هیچ‌کدام از حساب مدیریتی، از جمله SYSMAN و DBSNMP استفاده نکنید.

ب) باید پسوردهای پیش‌فرض همه‌ی کاربران را بلافاصله پس از نصب تغییر داد.

تمام حساب‌های پیش‌فرض را، پس از نصب، قفل و منقضی کرد. اگر چنین حسابی بعداً فعال شد، بایستی رمز عبور پیش‌فرض آن را به یک رمز عبور معنادار جدید تغییر داد.

پ) بایستی مدیریت رمز عبور را اعمال کرد.

باید قوانین اساسی مدیریت رمز عبور، مانند طول، تاریخچه و پیچیدگی رمز عبور را برای تمامی رمزعبورهای کاربران اعمال کرد.

از تمامی کاربران خواسته شود که رمز عبور خود را به طور منظم، مثلا هر 8 هفته یکبار تغییر دهند.

در صورت امکان، باید از Oracle Advanced Security گزینه‌ای برای نسخه‌ی Enterprise پایگاه Oracle Database همراه با سرویس‌های احراز هویت شبکه مانند Kerberos، کارت‌های توکن، کارت‌های هوشمند یا گواهی های X.509 استفاده کرد. این سرویس‌ها، احراز هویت قوی کاربران را امکان‌پذیر و محافظت بهتری را در برابر دسترسی غیرمجاز فراهم می‌کنند.

4.  Data Dictionary Protection یا واژه‌نامه‌ی داده را باید فعال کرد

باید حفاظت از Data Dictionary را اجرا کرد تا از سوءاستفاده‌ی کاربرانی که امتیاز سیستم ANY را دارند از واژه‌نامه‌ی داده جلوگیری کرد. پایگاه داده‌ی Oracle، O7_DICTIONARY_ACCESSIBILITY را روی گزینه‌ی FALSE تنظیم می‌کند. این تنظیمات از سوءاستفاده از امتیاز سیستم ANY در واژه‌نامه‌ی داده جلوگیری می‌کند؛ البته به غیر از کاربران مُجازی به عنوان مثال CONNECT/AS SYSDBA که اتصالات دارای امتیاز DBA را ایجاد می‌کنند.

5. باید اصل کمترین امتیاز را تمرین کرد

به سه روش می‌توان این اصل را اجرا کرد:

الف) تنها، امتیازات لازم را اعطا کرد.

به کاربران پایگاه داده بیش از حد لازم امتیاز نداد. باید فقط آن دسته از امتیازاتی را فعال کرد که واقعاً برای انجام کارهای ضروری لازم است:

1. محدود کردن تعداد امتیازات سیستم و شیء اعطا شده به کاربران پایگاه داده
2. محدود کردن تعداد اتصالات دارای امتیاز SYS به پایگاه داده تا حد امکان. برای مثال، به طور کلی نیازی به اعطای CREATE ANY TABLE به کاربران دارای عدم امتیاز DBA نیست.

ب) باید امتیازات و نقش‌های غیرضروری را از بخش PUBLIC گروه کاربران سرور پایگاه داده لغو کرد.

این نقش پیش‌فرض که به هر کاربر در پایگاه داده Oracle داده می‌شود، استفاده‌ی نامحدود از امتیازات آن مانند EXECUTE در بسته‌های مختلف PL/SQL را امکان‌پذیر می‌سازد. اگر امتیازات و نقش‌های غیرضروری از PUBLIC لغو نشوند، یک کاربر با حداقل امتیاز می‌تواند به بسته‌هایی دسترسی داشته باشد که در غیر این صورت غیرقابل دسترسی است.

پ) باید مجوزهای امکانات دارای زمان اجرا را محدود کرد.

هرگز نباید همه مجوزها را به هیچ یک از امکانات دارای زمان اجرای سرور پایگاه داده، مانند ماشین مجازی جاوا Oracle OJVMاختصاص داد.

جهت دریافت چک لیست های امنیتی لطفا فرم آنرا را تکمیل نموده و نام هر یک از چک لیست های مورد نیاز در جدول را در قسمت توضیحات بیاورید تا کارشناسان ما در اسرع وقت جهت ارسال چک لیست با شما تماس حاصل نمایند.