محمد نصیری
بنیانگذار انجمن تخصصی فناوری اطلاعات ایران ، هکر کلاه خاکستری ، کارشناس امنیت اطلاعات و ارتباطات

امنیت فیزیکی چیست؟ معرفی تهدیدات و ریسک های Physical Security

از اینکه اتومبیل خود را در پارکینگ شرکت و یا پارکینگ شهرداری می گذارید چه هدفی دارید ؟ وقتی دستورالعمل سازمان شما به شما دستور می دهد که بایستی هر ساله یک عکس جدید از خودتان برای قرار گرفتن بر روی کارت شناسایی سازمانی بگیرید و در اختیار سازمان قرار بدهید از اینکار چه هدفی را دنبال می کند ؟

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

وقتی برای اتاق های حاوی تجهیزات کلید هایی دارید که آنها را در بین کارمندان مسئول تقسیم می کنید ، به دنبال چه چیزی هستید ؟ وقتی برای باغ یا ویلای خود سگ نگهبان و سیم خاردار تهیه می کنید چه هدفی دارید ؟

امنیت فیزیک چیزی است که شما همه روزه با آن درگیر هستید و نمی توانید بگویید که امنیت فیزیکی در دنیای امروزی اهمیت چندانی ندارد . هدف اصلی امنیت فیزیکی تشخیص ، به تاخیر انداختن ، شناسایی ، ارزیابی و پاسخگویی در مقابل تهدیداتی است که امنیت ما را هدف خود قرار داده اند.

TOSINSO

ریسک های امنیت فیزیکی

از آن زمانی که انسان پای بر روی زمین گذاشت تهدیدات فیزیکی نیز برای آن وجود داشت . حتی در زمان های قدیم هم این موضوع در خصوص ساخته شدن قلعه ها نیز صدق می کرد ، یک قلعه هیچ وقت در همه جا ساخته نمی شد ، همیشه برای ساخته شدن یک قلعه یک طرح و ایده نیاز بود . حفاظ های خارجی مثل دیوارها ، کانال ها ، چاله ها و سنگرها برای محافظت در برابر هجوم غارتگران بایستی تعبیه می شدند . نگهبانان و دکل های دیده بانی باید به نحوی طراحی می شدند که بر دشمن مسلط بوده و دیده بانان بتوانند کلیه حرکات اطراف را زیر نظر داشته باشند .


TOSINSO 

زمانی که یک غریبه وارد منطقه می شد این دستورالعمل ها و خط مشی ها بودند که تعیین می کردند چگونه بایستی با این غریبه رفتار شود ، یک دستورالعمل برای تشخیص خودی یا غریبه بودن ناشناس تعریف شده است و دستورالعمل دیگری چگونگی رفتار کردن با این ناشناس را در صورت تشخیص غریبه بودن و یا آشنا یا خودی بودن تعریف می کرد . شما برای ورود به این قلعه بایستی قوانین ورود به آن و همچنین دسترسی های مجاز برای ورود به آنرا داشته باشید در غیر اینصورت با مجازات هایی سنگین مواجه می شدید. در دنیای مدرن تهدیدات زیاد و متنوعی در خصوص امنیت وجود دارد . این نوع تهدیدات به سه طبقه بندی بسیار گسترده به شرح زیر تقسیم می شوند :


  • بلایای طبیعی
  • تهدیدات انسانی
  • مشکلات فنی


تهدیدات طبیعی

بلایای طبیعی ممکن است به انواع و اشکال مختلفی رخ بدهد . همچنین بلایای طبیعی چیزی نیست که بتوان از وقوع آن جلوگیری کرد ، شما صرفا می توانید تمهیداتی در قالب طرح های عملیاتی برای چگونگی مقابله با این نوع حوادث برای خود و سازمان خود در نظر بگیرید .این تمهیدات ممکن است برای هر سازمان با توجه به شرایط مکانی آن متغیر باشد. برای مثال سازمان هایی که در نزدیکی خلیج همیشه فارس و استان های جنوب کشور هستند بایستی تمهیداتی برای مقابله با حوادثی مانند طوفان دریایی در مواقع اضطراری را در نظر گرفته باشند .


حال آنکه وجود چنین طرح شرایط اضطراری در سازمان هایی که در تهران قرار گرفته اند الزامی ندارد . بنابراین برای اینکه بتوانیم یک طرح خوب و مناسب برای مقابله با حوادث طبیعی داشته باشیم بایستی شرایط محیطی و آب و هوایی و زمین شناسی مکانی را که قرار است برای آن طرح مقابله با حوادث طبیعی را ایجاد کنیم ، کاملا درک کرده و آنرا مورد مطالعه قرار دهیم. در ادامه انواع بلایای طبیعی را که سازمان های بایستی بتوانند با آنها مواجه شوند را بررسی می کنیم :


بلایای طبیعی



  1. تندبادها و توفان های استوایی : اینگونه از پدیده های طبیعی ساخته دست مادر طبیعت یعنی اقیانوس و اتمسفر هستند . قدرت این پدیده ها از طریق گرمایی است که از جانب دریا می آید .اینگونه بلایا با گذر کردن از روی اقیانوس سرعت خود را افزایش می دهند و زمانی که به ساحل دریا می رسند باعث ایجاد تندباد ها و تورنادو ها می شوند.
  2. امواج جذر و مدی و تسونامی : واژه تسونامی برگرفته از فرهنگ لغت ژاپنی ها است و به معنای لنگرگاه امواج ( Harbor Wave ) است . این پدیده طبیعی شامل دنباله ای از امواج پراکنده است با ارتقاع بالا است که به هنگام برخورد با ساحل دریا خسارات زیادی را وارد می کنند.
  3. سیل و طغیان رودخانه ها : سیل ها زمانی به وقوع می پیوندند که خاک توانایی جذب آب را به خوبی نداشته باشد و یا اینکه اینقدر مقدار بارندگی زیاد می شود که زمین توانایی جذب این مقدار باران را نداشته و به ناچار رودخانه ها طغیان می کنند و منجر به سیل می شوند . سیل ها وقتی آب بیش از اندازه ظرفیت نهر ها و رودخانه ها واردشان شود نیز به وجود می آیند و مناطق اطراف رودخانه را در بر می گیرند .
  4. زلزله : زلزله یا زمین لرزه در حقیقت به حرکت لایه های زمین در امتداد هم گفته می شود که این لایه ها به گسل نیز معروف می باشند.مناطقی مثل آذربایجان و تهران بیشتر در معرض وقوع چنین پدیده هایی هستند اما بصورت کلی ایران بر روی گسل های زیادی قرار گرفته است که این کشور را به یکی از مستعد ترین کشورها برای وقوع زلزله تبدیل کرده است .
  5. گردباد ها و تورنادو : گردبادها تغییرات ناگهانی هوا هستند که با قدرت زیادی همراه هستند و معمولا از توفان های رعد و برق بیرون می آیند . ابتدای آنها از سطح زمین شروع شده و بصورت حلقه ای از باد چرخشی تا آسمان ادامه می یابند .گردبادها یک محدوده تخریب برای خود دارند که می تواند به اندازه مساحت یک زمین فوتبال تا یک مایل بزرگی داشته باشد . اگر با یکی از این نوع گردبادها مواجه شدید حتما فاصله خود را با آن حفظ کنید در غیر اینصورت از سرزمین عجایب سر در خواهید آورد .
  6. آتش سوزی : این پدیده خطرناکترین و ترسناکترین پدیده طبیعی می باشد که از لحاظ تخریب و گرفتن جان انسان ها رتبه اول را به خود در میان بالای طبیعی اختصاص داده است . برای مثال و بر طبق آمار این پدیده در آمریکای شمالی در سال 1993 بیش از 4500 نفر را به کام مرگ کشاند . این مقدار کشته در سال 1993 در مقایسه با تمام حوادث طبیعی آن زمان که شامل زلزله ، توفان و تسونامی و سیل بودند به تنهایی بیشترین مقدار کشته را به خود اختصاص داده بود .


تهدیدات انسانی

تهدیدات انسانی یکی دیگر از موارد مهمی است که بایستی در خصوص امنیت فیزیکی به آن اهمیت داد . در مقابل تهدیداتی مثل گردبادها ، سیل و سونامی ها شاید نتوان کار خاصی را انجام داد ، اما در برابر تهدیدات انسانی تا حد زیادی می توان از وقوع آنها جلوگیری کرد . تهدیدات انسانی به تروریسم ، ویرانگری ، سرقت و تخریب دارایی های سازمان طبقه بندی می شوند . در ادامه توضیحاتی را در خصوص اینگونه تهدیدات انسانی ارائه خواهیم کرد :

  1. تروریسم : برای بسیاری از ما به محض اینکه اسم تروریسم را می شنویم ، نوعی خشونت و بی حرمتی به افراد را در ذهن تصور می کنیم در حالی که کاملا به این شکل نیست . در واقع تروریسم استفاده عمدی از خشونت و بی حرمتی با برنامه ریزی و تعمد قبلی و برای رسیدن به اهداف یک عده سیاستمدار یا دین ستیز که قصد تخریب کشور و یا مذهب دیگری را دارند ، است .
  2. ویرانگری: ویرانگری که به نام لاتین Vandalism معرف است ، برگرفته ای از یک شخصیت ویرانگر تاریخ به نام وندال است که در سال 445 قبل از پس از میلاد مسیح در رم زندگی می کرده است . شنیدن نام این فرد ویرانگری را به یاد همه می اندازد و به همین دلیل نام وندال برابر است با ویرانگری ، هرگاه اسم ویرانگری به میان می آید یعنی دارایی های کشور یا شخص یا گروهی را تخریب و اموال آن را ویران کردن .
  3. سرقت : سرقت از داراییهای یک شرکت دارای طبقه بندی است ، یک سرقت می تواند ناراحت کننده باشد یا خسارت زننده . قطعا طبقه بندی های زیادی می توان برای این نوع تهدید بکار برد اما این طبقه بندی ها در حال حاضر کفافیت می کند . اگر در شرکت شما لپ تاپ رئیس شرکت را سرقت کنند این موضوع واقعا ناراحت کننده است ، اما این لپ تاپ به راحتی جایگزین می شود اما نکته اینجاست که اطلاعاتی که در درون لپ تاپ وجود داشته است ممکن است بسیار برای شرکت حیاتی بوده باشد و این موضوع می تواند برای شرکت خسارت بار باشد . تصور کنید که اطلاعات تمام محصولات و تولیدات شرکت در این لپ تاپ وجود داشته است و رقیبان این شرکت به این اطلاعات دست پیدا می کنند.
  4. تخریب : یکی از کارمندان شرکت که به اطلاعات حساس و حیاتی شرکت دسترسی دارد ، فایل اطلاعات تولیدات شرکت را از روی کامپیوتر یا از داخل مرکز مستندات حذف می کند !!! چقدر این موضوع می تواند برای شرکت زیانبار باشد ؟ آیا نقشه ای برای تهیه نسخه پشتیبان از اطلاعات وجود داشته است ؟
  5. فعالیت های مجرمانه : اینگونه فعالیت ها بسیار متونع و گسترده هستند . شرکت شما برای اینکه بتواند از زیر بار مالیت شانه خالی کند ، اعلام ورشکستگی می کند در حالی که اصلا چنین مشکلی وجود ندارد . مدیر شبکه شما در شبکه داخلی شرکت سیستم بازیهای آنلاین راه اندازی می کند و از آن کسب در آمد می کند . مدیر شبکه از اینترنت سازمان به عنوان مرکز دانلود اطلاعات شخصی استفاده می کند و بعد کلکسیون موسیقی دنیا را جمع کرده و آن را در یک فروشگاه اینترنتی به فروش می رساند !!! و بسیاری از مدل های دیگر جرم که در یک سازمان وجود دارد .


مشکلات فنی

بر خلاف بلایای طبیعی و تهدیدات انسانی ، مشکلات فنی جزء مواردی محسوب می شود که احتمال وقوع آن بسیار زیاد است مخصوصا بدون دلیل خاص و در مواقعی که اصلا فکرش را هم نمی کنید . البته معمولا اینگونه شرایط باعث صدمه دیدن و یا تهدید جانی برای انسان ها نیست . شرایط اضطراری معمولا به خسارات ارتباطات ، خسارات برق و تلفن و خراب شدن تجهیزات طبقه بندی می شوند که در ادامه به تشریح این موارد می پردازیم :

  1. خسارات ارتباطات : سیستم های ارتباطی از نوع داده و صدا امروزه نقش حیاتی را در سازمان ها ایفا می کنند . خسارات ارتباطات می تواند شامل قطعی خطوط ارتباطی صوت و یا ارتباطات شبکه اطلاعاتی باشد . فرض کنید شما یک خط اضافی T1 برای ارتباطات WAN سازمانی اجاره کرده اید ، ار کجا متوجه می شوید که این خط همیشه در حال کار و فعال است ؟ در بیشتر اوقات زمانی به فکر استفاده از این نوع خطوط می افتیم که کار از کار گذشته است و این خط نیز توسط مستخدمی که مشغول نظافت اتاق سرور بوده است قطع شده است ...
  2. خسارات به امکانات: امکانات در اینجا به معنی سیستم های ارتباطی ، آبرسانی ، گازرسانی ، برق و ... هستند . خسارت وارد شدن به این امکانات باعث بروز مشکلات زیادی برای سازمان می شود و روند کاری سازمان را دچار اختلال و وقفه می کند . وجود ژنراتور های برق و سیستم های برق اضطراری و ارتباطی جایگزین میتواند تا حد زیادی در اینگونه موارد به ما کمک کند . البته این موضوع کاملا به دیدگاه سازمان و ریسک پذیری سازمان بستگی دارد . ممکن است سازمانی با نداشتن چند روز برق هم بتواند به کار خود ادامه دهد ( چون کاری نمی کنن کارمنداش ، فقط نشستن جک می گن پس نیاز چندانی به برق ندارن ) اما در شبکه ای مانند شبکه بانک سامان حتی 5 دقیقه قطعی برق هم قابل قبول نخواهد بود زیرا ضرر بسیار زیادی را می تواند برای کسب و کار آنها در بر داشته باشد .
  3. خراب شدن تجهیزات : تجهیزات خواسته یا ناخواسته در طول زمان دچار مشکل و خسارت می شوند . به همین دلیل است که همه سازمان ها به تیم نگهداری و پشتیبانی فنی تجهیزات نیاز دارند . یک بررسی از بیش از 1000 شرکت و سازمان دولتی نشان داده است که بیش از 65 درصد تجهیزاتی که بیش از یک هفته از مدت زمان خراب شدن آنها گذشته است و همچنان خراب مانده و به حالت عملیاتی در نیامده اند ، دیگر هیچگاه به حالت عملیاتی باز نگشته اند. در اینگونه موارد وجود یک مستند به نام SLA که مخفف Service Level Agreement است بسیار ضروری است .


این سند در واقع یک راهکار برای مقابله با مواقع خرابی تجهیزات است . در این مستند شرکت هایی که از آنها تجهیزات خریداری شده است به شما تضمین می دهند که طی مدت زمان معینی پس از بروز مشکل برای این تجهیزات یا سرویس ها آنها را به حالت عملیاتی بازگردانند . البته در کشور عزیزمان ایران این مستند صرفا جنبه تشریفاتی دارد و هیچگاه نمی توان به آن متکی بود .

برای مثال شما سرویس های ارتباطی مخابرات را دریافت می کنید و یک سند SLA تحویل می گیرید ، پس از مطالعه بندهای موجود در این سند بسیار خوشحال خواهید شد که به به چه سرویس خوبی و در انتها با این بند مواجه خواهید شد : هیچ تعهدی نسبت به قطعی سرویس نداریم ... هر کاری دلت خواست بکن ... هیچ غلطی نمیتونی بکنی ... مجبوری آخرش از ما سرویس بگیری ... بوجور دا وار دی ....  در دوره آموزش نتورک پلاس و بخش مفاهیم امنیت فیزیکی ، کمی مفصل تر از این چیزی که در اینجا می بینید صحبت می کنیم ، بد نیست به این ویدیو هم نگاهی بیندازید.


محمد نصیری
محمد نصیری

بنیانگذار انجمن تخصصی فناوری اطلاعات ایران ، هکر کلاه خاکستری ، کارشناس امنیت اطلاعات و ارتباطات

محمد نصیری هستم ، هکر قانونمند و کارشناس امنیت سایبری ، سابقه همکاری با بیش از 50 سازمان دولتی ، خصوصی ، نظامی و انتظامی در قالب مشاور ، مدرس و مدیر پروژه ، مدرس دوره های تخصص شبکه ، امنیت ، هک و نفوذ ، در حال حاضر در ایران دیگه رسما فعالیتی غیر از مشاوره انجام نمیدم و مقیم کشور ترکیه هستم ، عاشق آموزش و تدریس هستم و به همین دلیل دوره های آموزشی که ضبط می کنم در دنیا بی نظیر هستند.

نظرات