این مقاله لایههای گوناگونی كه تشكیل دهنده زیرساخت IT یك سازمان است را
تشریح كرده است و ملزومات مورد نیاز محافظت ضد ویروسی در هر مدخل ورودی را
ارزیابی میكند. همچنین نگاهی دارد به فاكتورهایی كه سازمانها برای تصمیم
گیری در مورد چگونگی مدیریت و محل به كار گیری نرمافزارهای ضد ویروسی ،
باید به آنها توجه داشته باشند.
زیرساخت IT
زیرساخت IT یك سازمان میتواند شامل 4 لایه زیر باشد.
1- كامپیوترهای كاربران : این لایه در قلب سازمان قرار داشته و شامل
كامپیوترهای رومیزی فردی، كامپیوترهای Laptop و سایر ابزارهایی است كه توسط
تمام كارمندان مورد استفاده قرار میگیرند.
2- سرورهای فایلهای محلی : این لایه كه بر روی لایه كامپیوترهای
كاربران قرار دارد، شامل اطلاعات و برنامههایی است كه در سرتاسر سازمان
بین كامپیوترهای رومیزی به اشتراك گذاشته شدهاند.
3- سرورهای پست الكترونیك : این لایه در مرز سازمان قرار داشته و مجرای
عبور و مرور تمام نامههای ورودی به سازمان و یا خروجی از آن میباشد.
4- خدمات مدیریت شده : بیرونیترین لایه زیرساخت IT بوده و میتواند در
داخل یا خارج سازمان قرار داشته باشد. در این لایه، نرمافزاری كه به
عنوان بخشی از سرویس اجرا شده است، توسط یك بخش ثالث - مانند یك ISP
(Internet Service Provider) - اداره میشود.
مشخصههای هر لایه
لایه 1 : كامپیوترهای كاربران
آسیبپذیرترین قسمت در یك سازمان میباشد، چرا كه در این بخش، بیشترین
كنترل بر كامپیوترها در اختیار كاربران میباشد. مدیران سیستم میتوانند
این كامپیوترها را در بعضی زمینهها و بخصوص در سیستمعاملهای ویندوز 2000
و Mac OS X محدود كنند، اما در سیستمعاملهای ویندوز 95 یا 98 و یا
نسخههای قدیمی كامپیوترهای مكینتاش امكان كنترل مدیریتی بسیار محدودی وجود
دارد. با همه اینها آن چیزی كه واقعا كامپیوترهای رومیزی و Laptop ها را
آسیبپذیر میكند، آن است كه آنها محل دریافت همه انواع اطلاعات میباشند.
این اطلاعات نه تنها از یك سرور فایل یا سرور پست الكترونیك، بلكه ممكن است
از نقل و انتقالهای صورت گرفته HTTP بر روی وب، انتقالهای فایل FTP ،
سیدی ها، رد و بدل كردن اطلاعات با كامپیوترهای كفدستی و مانند آن دریافت
شود.
مدیریت كامپیوترهای كاربران به دلیل تغییر مداوم تعداد آنها بسیار مشكل
است. در عمل، حتی دانستن تعداد كامپیوترهای موجود (با وجود كامپیوترهای
همراه كاربران و ...) هم برای بسیاری از شركتها مشكل میباشد.
لایه 2 : سرورهای فایل
بسیاری از شركتها سرور فایلهای بسیار كمتری نسبت به تعداد كامپیوترهای كاربران در اختیار دارند.
مدیران سیستم بر تمام چیزهایی كه روی هر سروری وجود دارد، كنترل بسیار
زیادی داشته و میتوانند میزان دسترسی كاربران بر كامپیوترها را به طور
بسیار ثمربخشی تنظیم كنند. از آنجایی كه آنها میتوانند دستیابی به اطلاعات
را از طریق به اشتراك گذاشتن آنها بر روی سرور برای كاربران فراهم كنند،
در نتیجه كاربران كنترلی بر روی تنظیمات نخواهند داشت. سیستمعاملهای
عمومی برای سرورهای فایل، سیستمعاملهای Unix، ویندوز NT ، 2000 ، 2003 و
NetWare میباشد.
لایه 3 : سرورهای پست الكترونیك
سرورهای پست الكترونیك در دروازه عبور و مرور قرار داشته و ترافیك
ورودی یا خروجی یك سازمان را پردازش میكنند. آنها همانند محصولات پست
الكترونیك از قبیل Microsoft Exchange یا Lotus Notes/Domino از پروتكلهای
مربوطه مانند پروتكل SMTP ( Simple Mail Transfer Protocol ) پشتیبانی
میكنند.
پژوهش دقیقی كه در ماههای ژانویه تا مارس سال 2000 توسط مدیر پیامهای
شركت Pitney Bowes صورت گرفت، نشان داد كه بطور میانگین برای هر 1000
كارمند، روزانه 50 نامه الكترونیكی مورد رسیدگی قرار میگیرد. سازمانهای
بزرگ میتوانند روزانه تا پنجاه هزار پیام پست الكترونیكی را دریافت كنند
كه در بعضی موارد این تعداد به یك میلیون عدد میرسد. طبق برآورد شركت IDC
(شركت اطلاعات بینالمللی) در سال 2005، روزانه در حدود 35 بیلیون نامه
الكترونیكی ارسال خواهد شد. تركیب چنین سطحی از ترافیك با تكثیر ویروسهای
مبتنی بر نامههای الكترونیكی به این معنی است كه نامههای الكترونیكی
اصلیترین مسیر مورد استفاده ویروسها برای ورود به سازمانها خواهند بود -
همانگونه كه در حال حاضر هم چنین میباشد. بعضی از شركتها میتوانند
روزانه دهها و شاید هم صدها ویروس را در دروازه رفت و آمد نامهها متوقف
كنند.
لایه 4 : خدمات مدیریت شده
«خدمات مدیریت شده» در طی چندین سال گذشته به وجود آمده و به عنوان غیر
واضحترین لایه از چهار لایه IT بر پا شدهاند. اساسا این مورد به شركت
ثالثی مربوط میشود كه تعدادی نرمافزار و مشخصههای مورد نظر را در یك
سرویس خدماتی یا دستگاه سختافزاری دستهبندی میكند تا بتواند آن را برای
شركتی دیگر مدیریت كند. از سودمندیهای این نوع خدمات مدیریت شده باید به
این مطلب اشاره كرد كه با این سرویسها میتوان از كارهای اضافه مدیر سیستم
برای مدیریت پروسهها كاست.
نمونهای از شركتهایی كه خدمات مدیریت شده عرضه میكنند، ISP ها
(شركتهای خدماتدهنده سرویسهای اینترنتی) میباشند. ممكن است شركتی
بخواهد مسیر عبور و مرور نامههای الكترونیكی خود را یك ISP قرار دهد و از
پویشگرهای ISP برای بررسی ویروسها، اسپمها، فایلهای آلوده و ... استفاده
كند. در اینصورت ISP تصمیم میگیرد چه اعمال متناسبی را انجام دهد - مثلا
اینكه آیا نامه دریافتی را برای شركت مورد نظر ارسال كند یا نه. ISP مورد
نظر برای انجام چنین خدماتی، حقالزحمهای را از شركت مطالبه خواهد كرد.
نوع دیگری از خدمات مدیریت شده، ابزارها و اسباب سختافزاری هستند. این
ابزار یا اسباب معمولا سرورهایی مخصوص هستند كه در حاشیه شبكه قرار داشته و
ترافیك وارد و خارج شده از سازمان را كنترل میكنند. این اسباب سختافزاری
خود شامل تمام موارد مورد نیاز بوده و مانند نرمافزارهای ضد ویروس
میتوانند شامل نرمافزارهای دیوار آتش (Firewall) هم باشند. معمولا برای
سازمانها مقدور نیست كه نرمافزارهای مورد نظر خود را به این اسباب اضافه
كنند. این اسباب توسط شركتهای فروشنده آنها كنترل (كنترل راه دور)
میشوند.
ثمرات پویش ویروس در هر یك از لایهها
لایه 1 : كامپیوترهای كاربران
لایه كامپیوترهای رومیزی و كامپیوترهای Laptop مهمترین لایه برای پویش
ویروسها میباشد. این لایه، تنها لایهای است كه در آن هر فرد میتواند
هرگونه اطلاعاتی را از هر منبع مجازی مورد استفاده قرار دهد. این لایه تنها
جایی است كه پویش باید بر فایلهای داخل CD ها، كامپیوترهای كفدستی در
حال هماهنگسازی اطلاعات، دیسكتها و ... صورت گیرد. با توجه به اینكه ممكن
است به هر دلیلی نرم افزار ضد ویروس، در دروازه نامهها قرار نداشته باشد و
یا اینكه به روز نشده باشند، میتوان نامهها و فایلهای پیوندی آنها را
در این لایه مورد پویش قرار داده و با این كار از آلوده شدن شبكه توسط
ویروسها جلوگیری كرد. همچنین ترافیك HTTP وارد شده از وب را هم میتوان در
كامپیوترهای رومیزی پویش كرد (بعضی شركتها تصمیم میگیرند تا اعمال
محافظتی اضافهای را برای ترافیك HTTP یا FTP - برای مثال در دروازه ورود و
خروج - اعمال كنند، اما هنگامی كه با این كار، كارایی مورد نظر آنها در
مقایسه با تهدیدات واقعی كاهش مییابد، بسیاری از آنها ترجیح میدهند تا
مقابله با ویروسها را در همان كامپیوترهای رومیزی انجام دهند.).
دلیل مهم دیگر برای داشتن نرم افزار ضد ویروس بر روی كامپیوترهای
رومیزی آن است كه آنجا تنها جایی است كه میتوان اطلاعات رمز شدهای مانند
اطلاعات استفاده كننده از قوانین SSL (لایه سوكتهای امن) - كه برای
تبادلات امن اینترنتی مورد استفاده قرار میگیرد - را مورد بازرسی قرار
داد. اطلاعات رمز شده تا هنگامی كه از حالت رمز خارج نشوند، توسط هیچ
نرمافزار ضد ویروسی قابل پویش نخواهند بود.
دشواریهای پویش در این لایه از زیرساخت IT ناشی از گرفتاریهای كلی
مدیر سیستم برای مدیریت كامپیوترهای كاربران است. همانطور كه قبلا توضیح
داده شد، تعداد متغیر كامپیوترها میتواند باعث بوجود آمدن خطاها و مشكلات
بالقوهای شود. در زمانی كه نظارتهای مدیریتی سختگیرانه به كار برده نشود و
یا آنها دقیقا رعایت نشوند، كاربران میتوانند تنظیمات و توافقات مورد
نیاز برای امنیت شبكه را مورد آسیب قرار دهند. نیز بدیهی است كه نرمافزار
ضد ویروس تنها زمانی موثر است كه كاملا به روز نگاه داشته شود.
لایه 2 : سرورهای فایل
انجام پویش در لایه سرور فایل بسیار سادهتر و قابل فهمتر است چرا كه
عموما تعداد بسیار كمتری سرور فایل نسبت به كامپیوترهای رومیزی وجود داشته و
كنترل آنها برای یك مدیر سیستم بسیار سادهتر است.
تا مدتی قبل، بسیاری از شركتها با علم به اینكه اگر فایل آلودهای به
هر روشی وارد سرور آنها شود، پویشهای كامپیوترهای رومیزی از باز شدن آنها
به هنگام تلاش یك كاربر برای دسترسی به آنها جلوگیری خواهد كرد، ترجیح
میدادند از پویشهای زمانبندی شده در سرورهای خود استفاده كنند. اما با
نمایان شدن انواع جدیدتر ویروسها - مخصوصا ویروسهایی كه شبكه را به كمك
اشتراكات شبكهای، نامهها و وبسایتها آلوده میكنند - تصمیم بر آن شد كه
از پویشهای همیشه فعال - حداقل در سرورها - استفاده شود. گرچه در گذشته
بعضی سازمانها ترجیح میدادند تا فقط از پویشهای زمانبندی شده یا زمان
نیاز استفاده كنند، اما در حال حاضر پویشهای همیشه فعال به عنوان راهی
موثر برای آگاهی از ورود ویروسها به سازمان و جلوگیری از انتشار سریع آنها
در شبكه مورد استفاده قرار میگیرند.
همانطور كه قبلا هم توضیح داده شد، پیشفرض پویش در لایه سرور فایل آن
است كه همه فایلها نیازی به پویش ندارند، فایلهای CD و DVD ، اطلاعات
HTTP یا FTP و مانند آن باید مستقیما وارد كامپیوترهای كاربران شده و در
آنجا پویش شوند.
لایه 3 : سرورهای پست الكترونیك
از ماه مارس سال 1999 كه كرم WM97/Melissa (از نوع ماكرو برنامه Word)
ظاهر شد تا به امروز تعداد ویروسها و كرمهای مبتنی بر نامههای
الكترونیكی بسیار اوج گرفته است. از بارزترین نمونههای آنها میتوان ویروس
W32/Magistr ، كرمهای اسكریپتی ویژوال بیسیك مانند Love Bug
(VBS/LoveLetter) و VBS/Kakworm و كرمهای Windows 32 مانند W32/Klez را
نام برد. خسارت های كرم NetSky و Beagle هنوز فراموش نشده است.
این گونه ویروسها و كرمها سعی میكنند تا به چندین روش خود را منتشر
كنند اما عمومیترین روش آنها، ارسال از طریق فایلهای پیوندی نامههای
الكترونیكی است كه آن را به بعضی یا تمام آدرسهای موجود در دفترچه آدرس
فرد دریافت كننده ویروس ارسال میكنند. به این طریق صدها هزار كاربر در
زمان كوتاهی آلوده میشوند. سرعت انتشار و میزان آلودگی مورد بحث، ما را
متوجه میكند كه در حال حاضر پویش در دروازه بسیار مهمتر از پویش درون
كامپیوترها میباشد.
سازمانها با انجام پویش در دروازه میتوانند با تهدیدات، قبل از رسیدن
آنها به كامپیوترها مقابله كنند. این كار باعث صرفهجویی مقدار زیادی از
زمان مدیر سیستم میشود، چرا كه مدیر سیستم باید مشكل را فقط در یك محل -
سرور پست الكترونیك - بررسی كند و نه در همه كامپیوترها. همچنین جلوگیری از
ورود ویروس به شبكه زمانهای تلف شده سازمان را از بین میبرد - آغاز شیوع
كرمها مانند كرم Love Bug شبكههای سازمانها را به حالت سكون برده و
فعالیتهای بازرگانی را فلج میكند. به علاوه كرمهایی مانند W32/Sircam
اسنادی را كه در دیسك سخت پیدا میكنند، به نامه پیوند زده و برای بقیه
ارسال میكنند كه این كار به استحكام و محرمانه بودن اطلاعات شركت و بالتبع
نام و آوازه آن صدمه میزند.
نرم افزار ضد ویروس دروازه عبور و مرور، نامههایی كه قصد ورود به شركت
یا خروج از آن را دارند و همچنین فایلهای پیوندی آنها را بررسی میكند.
محصولات مربوط به پست الكترونیك شامل پویشهای database و mailbox هم
میشوند و این بدان معنی است كه حتی اگر ویروسی - به خاطر عواملی مانند
تاخیر در به روز كردن نرم افزار ضد ویروس و یا ... - در همان پویش بلادرنگ
اولیه مورد شناسایی قرار نگیرد، در پویشهای زمانبندی شده یا پویشهای به
هنگام نیاز، شناسایی خواهد شد.
به هر حال با توجه به مباحثی مانند زمان، هزینه، شهرت و ... پویش كردن
نامههای الكترونیكی در همان بدو ورود یا خروج از سازمان از سفارش شدهترین
توصیهها میباشد.
پیش فرض در این لایه بر آن است كه همه اطلاعات در دروازه مورد بازرسی
قرار نگیرند، بلكه رسانههای مورد استفاده كاریر و نامههای رمز شده در
دستگاههای كاربران پویش شوند.
لایه 4 : خدمات مدیریت شده
بارزترین مزیت استفاده از یك بخش ثالث برای انجام امور محافظت از
اطلاعات در همان محدوده شبكه، آن است كه مدیر سیستم میتواند زمان خود را
صرف فعالیتهای دیگر كند. به علاوه هزینه انجام اعمال امنیتی در این لایه
بسیار قابل پیش بینی تر از سایر لایهها است.
با این حال باید این مطلب را هم در نظر داشته باشیم كه در مقابل چنین
مزیتی عیب بزرگی هم وجود دارد و آن این است كه تمام امور كاملا در خارج از
كنترل سازمان و مدیر سیستم انجام میشوند. در اینصورت سازمان تقریبا همواره
تابع تنظیمات، تصمیمات و كاراییهای ISP و یا سایر سرویسها بوده و اگر
مشكلی در عمل رخ دهد - مثل بوجود آمدن اشكال در مسیریابی شبكه - كوچكترین
كاری از شركت ساخته نخواهد بود. در ضمن باید موارد مربوط به محرمانه بودن
اطلاعات را هم مد نظر داشت، چرا كه كارمندان و سایر افراد قادر خواهند بود
تا در خارج از سازمان اطلاعات درون نامهها را مشاهده كنند.
در صورتی كه خدمات مدیریت شده بوسیله سخت افزار انجام شود، كنترل
بیشتری بر روی آنها خواهد بود، ولی باز هم میدانیم كه آن اسباب هم توسط
بخشی ثالث مدیریت خواهند شد.
انتخاب یك روش ضد ویروسی
در بازنگری فاكتورهای موثر بر انتخاب یك روش ضد ویروسی، به معیارهایی متضاد برای افزایش امنیت در مقابل كاهش هزینه برمیخوریم.
محافظت در لایه 4 - لایه خدمات مدیریت شده - هزینه را كاهش میدهد و محافظت در لایه 1 امنیت را افزایش خواهد داد.
بسیار منطقی است اگر تمام شركتها در لایه 1 - لایه كامپیوترهای
كاربران - اعمال محافظتی را انجام دهند. سیاستهای محافظتی در شركتهای ضد
ویروسی متفاوت است، اما امنیت در لایه 1 ، با ایجاد امنیت در لایه سرور
فایل - لایه 2 - امكانپذیرتر خواهد بود.
علیرغم داشتن لایههای 1 و 2 محافظت شده، ممكن است سازمانها با در نظر
داشتن مواردی مانند هزینه و امنیت بخواهند امنیت را در لایههای 3 و یا 4
هم برقرار كنند. به كار گیری نرمافزار ضد ویروس در لایه 3 - دروازه ورود و
خروج - امكان كنترل بسیار بیشتر و فراهم كردن امنیت محرمانگی بهتری را
برای سازمان در بر دارد. با این حال واگذار كردن امور به خدمات مدیریت شده
ممكن است راه حلی ارجح برای شركتهای باشد كه هزینه از اهمیت بالایی برای
آنها برخوردار است.
کلیک کنید !