دوشنبه , ۲۸ خرداد ۱۳۹۷
خانه / مقالات / مقالات نظارت تصویری / سطوح حفاظتی پیشنهادی اکسیس برای امنیت سایبری
cyberIPVM

سطوح حفاظتی پیشنهادی اکسیس برای امنیت سایبری

امروزه یکی از مهم‌ترین مباحث امنیتی به امنیت در فضای سایبری برمی‌گردد. در مورد دوربین‌های پیشرفته امروزی نیز که متصل به شبکه اینترنت هستند، حفاظت از اطلاعات این دوربین‌ها در برابر افرادی که قصد سوء استفاده از این اطلاعات را دارند دارای اهمیت ویژه‌ای است. در این راستا، شرکت اکسیس  راهکارهایی برای افزایش امنیت با ارائه سطوح محافظتی مختلف و متناسب با نوع استفاده کاربر دارد که به امنیت اطلاعات دوربین‌ها و حفاظت از آن‌ها در برابر حمله‌های سایبری کمک می‌کند.

در اکثر زمینه‌ها در صنعت آی تی، برطرف ساختن ضعف‌ها امری معمول به شمار می‌رود که شامل بهترین عملکردها برای بهبود امنیت سایبری محصولات شبکه می‌باشد.
با این حال، بر خلاف میزان رو به افزایش مشکلات امنیتی مانند هک شدن، امنیت سایبری معمولا یک راه حل در امنیت فیزیکی به شمار می‌رود.
طی یک اقدام نادر و جالب، اکسیس یک راهنما در خصوص بهبود امنیت سایبری ارائه کرد که کاربران را از طریق توصیه‌ها و پیشنهاداتش راهنمایی می‌کند که چگونه خلأ امنیتی موجود را بر طرف کرده و شبکه خود را بیش از پیش امن سازند.
در این مقاله این راهنما را بررسی کرده و نشان می‌دهیم که این تنظیمات در کدام قسمت دوربین قرار داشته و تأثیرات عملی آن‌ها را نیز بررسی می‌کنیم.

سطوح حفاظتی اکسیس

راهنمای اکسیس، ۴ سطح حفاظتی را تشریح کرده که با تنظیمات پیش فرض شروع شده و به بحث‌های امنیت خاتمه می‌یابد.
این سطوح بر اساس توصیه‌های موسسه سانز و مرکز امنیت اینترنت که درباره ۲۰ روش مهم کنترلی امنیتی جزئیات را ارائه داده‌اند، تعیین شده است. اکسیس این مطالب پیچیده را به قسمت‌های ساده‌تر تقسیم کرده و وارد صنعت شبکه‌تصویری آی پی نمود.
در ادامه به عناصر کلیدی و محل قرارگیری آن‌ها در دوربین اکسیس اشاره خواهیم کرد:

سطح صفر_ پیش فرض:

اکسیس سطح صفر را تنها برای مقاصدی همچون دمو کردن و انجام تست با استفاده از تنظیمات پیش فرض دوربین تعیین کرده است.

در این سطح می‌توان دوربین را با استفاده از اعتبارات اصلی و پایه تنظیم کرد و کاربر امکان استفاده از نظارت نامحسوس و کنترل پی تی زد و تغییر آدرس آی پی از طریق آرپی و شبکه را خواهد داشت.
همانگونه که قبلاً اشاره کردیم تمام این امکانات، عملکردهای بد و نا امنی هستند که متداول‌ترین نقاط ضعف برای حمله به شبکه می‌باشند.

سطح ۱_استاندارد:

سطح یک به عنوان حداقل سطح امنیت توصیه می‌گردد. این سطح برای کسب و کارهای کوچک مناسب بوده و یا نصب و راه اندازی آن در اداراتی که اپراتور در واقع همان مدیر می‌باشد، توصیه می‌گردد. در جدول۱ قابلیت‌های سطح حفاظتی استاندارد نمایش داده شده است.

جدول۱٫ قابلیت‌های سطح حفاظتی استاندارد

محافظت استاندارد

 

حداقل سطح توصیه شده برای امنیت،این سطح برای کسب و کارهای کوچک مناسب بوده و یا نصب و راه اندازی آن در اداراتی که اپراتور در واقع همان مدیر می‌باشد، توصیه  می‌گردد. بررسی سیستم عامل

ارتقا سیستم عامل

برگرداندن تنظیمات پیش فرض

تنظیم اولیه رمز

تنظیم اجازه کاربر

همگام‌سازی تنظیمات اولیه شبکه

تنظیم زمان و تاریخ

 

این سطح شامل عملکردهای اصلی امنیتی به شرح زیر است:
• رمزهای عبور: اکسیس بیان می‌کند که کاربر را وادار به انتخاب پسورد قوی نخواهد کرد، اما توصیه می‌کند حداقل رمزی با ۸ کاراکتر انتخاب شود و ترجیحاً از یک ماشین مجازی تولید کننده رمز استفاده گردد.
• غیر فعال کردن دسترسی نامحسوس: با فعال کردن دسترسی نامحسوس، هر شخص با داشتن آدرس وب دوربین، می‌تواند به تصاویر زنده و کنترل پی- تی- زد دسترسی پیدا کند. در سیستم عامل‌های امروزی، دسترسی نامحسوس به طور پیش‌فرض غیرفعال می‌باشد. کاربران از طریق تنظیمات کاربر باید مطمئن شوند که این تنظیمات به طور عمدی و یا سهوی فعال نشده باشند.
• تنظیم تاریخ و ساعت: یکی از عملکردهای امنیتی مورد توجه تنظیم صحیح زمان و تاریخ می‌باشد. بدون تنظیم صحیح زمان و تاریخ و همزمان‌سازی اِن تی پی، فایل ها بلا استفاده خواهند شد و اگر نفوذ بررسی گردد فایل‌ها غیرمجاز شناخته می‌شوند.
اکسیس به استفاده از اچ تی تی پی اس برای رمزنگاری در سطح ۱ اشاره می‌کند که در ادامه و در سطح ۲ با جزئیات بیشتر به آن می‌پردازیم.

سطح دو_ سطح سازمانی

سطح ۲ حفاظتی در واقع تنظیمات پیشنهادی برای کمپانی‌هایی با مدیریت سیستمی اختصاصی می‌باشد. همانطور که مشاهده می‌شود در جدول ۲ قابلیت‌های سطح حفاظتی ۲ نمایش داده شده است.

جدول ۲٫ قابلیت‌های سطح حفاظتی۲

شرکت‌های بزرگ

 

تنظیمات پیشنهادی برای کمپانی‌هایی با مدیریت سیستمی اختصاصی است.  

فعال‌سازی رمزنگاری

ساخت حساب کاربری برای پشتیبانی

ساخت حساب تصویری برای کاربر

غیر فعال‌سازی AVHS

غیر فعال‌سازی آشکارسازی

فعال کردن تنظیمات پیشرفته شبکه

غیرفعال سازی SOCKS

غیرفعال سازی QoS

غیر فعال سازی SSH

قراردادن فیلتر برای آی پی آدرس

سطح ۲ دارای قابلیت‌های پیشرفته بیشتری می‌باشد که بدنه آن‌ها شامل فعال‌سازی اچ تی تی پی اس برای وب‌ها و داده‌ها و همچنین غیرفعال‌سازی پورت‌ها و پروتکل‌های بلا استفاده می‌باشد.

اچ تی تی پی اس:

یکی از پیشنهاداتی که اکسیس ارائه می‌دهد و اغلب کاربران با آن آشنایی ندارند فعال‌سازی اچ تی تی پی اس یا همان رمزگذاری می‌باشد. به طور پیش‌فرض نام کاربری و رمز از طریق نوشته به دوربین ارسال می‌شود که می‌تواند به سادگی توسط نرم‌افزارها و برنامه‌های جاسوسی فاش گردد. فعال‌سازی این گزینه می‌تواند پسورد را به شکل رمزنگاری شده برای کاربر و دوربین آماده‌سازی کند به همین دلیل به راحتی فاش نخواهد شد.
برای فعال‌سازی اچ تی تی پی اس کاربران می‌توانند یک گواهی خود امضا ایجاد کنند که توسط مقامات صادر کننده گواهی پذیرفته نمی‌شود و به طور کلی به عنوان یک امکان امنیتی، قابل قبول نیست و یا می‌توانند با ارسال درخواست برای مقامات ذیربط، یک گواهی امضا شده دریافت کنند.
مبلغ گواهی بسته به صادر کننده، مدت و قابلیت‌های اضافی ثبت شده متغیر است، اما معمولاً برای هر گواهی مبلغ کمی پرداخت می‌شود. بسیاری از صادر کنندگان در قبال مبلغی برابر با چند صد دلار در سال یک گواهی نامحدود را ارائه می‌دهند که می‌توان در تأسیسات بزرگ به جای پرداخت هزینه برای هر دوربین از آن استفاده کرد.
اکسیس به وضوح اشاره می‌‌کند که تصاویر آر تی پی/ آر تی پی اس به طور پیش‌فرض رمز نگاری نشده‌اند و این تنظیمات تنها بر داده‌های بین کاربر و دوربین اعمال می‌شوند. تونل زدن از طریق اچ تی تی پی اس به پشتیبانی از طریق وی ام اس بستگی دارد که جهانی نمی‌باشد. به عنوان مثال برند اکساک و آویجیلیون تصاویر از طریق اچ تی تی پی اس را پشتیبانی نکرده در حالیکه مایلستون و جِنتِک قادر به این پشتیبانی هستند.

پیشنهادات دیگر:

در ادامه به سه شیوه که اغلب در شبکه‌های تصاویر آی پی اجرا نمی‌شوند، اشاره می‌کنیم.
• حساب پشتیبانی ادمین
اکسیس پیشنهاد می‌کند یک حساب پشتیبانی با رمزی متفاوت با حساب اولیه ایجاد کنیم که کاربران بتوانند همچنان در سیستم فعال باشند در حالیکه هر دو حساب با یکدیگر سازگاری داشته باشند.
این مسئله در سیستم‌های آی تی معمول می‌باشد اما در مسائل امنیتی بسیار کم کاربرد است. در اغلب موارد وی ام اس از همان حساب پیش فرض برای اتصال استفاده می‌کند.
• حساب کاربر/وی ام اس (نرم‌افزار مدیریت ویدئو)
اکسیس پیشنهاد می‌کند یک حساب بر روی دوربین برای وی ام اس ‌ و یا کاربران وب، مستقل از حساب پیش فرض شاخته شود، این امر از افشا شدن حساب اصلی جلوگیری می‌کند. با این حال برخی از انواع وی ام اس ممکن است به یک دسترسی مدیریتی برای عملکرد مناسب نیازمند باشند ( به همین دلیل حساب جداگانه برای اتصال وی ام اس راه حل کاربردی و مناسبی می‌باشد).
• فیلتر کردن آی پی آدرس
در نهایت اکسیس پیشنهاد می‌کند که تنها به سرورهای وی ام اس و ادمین‌ها اجازه دسترسی مستقیم به دوربین‌ها از طریق فیلتر کردن آی پی آدرس داده شود.
این یک روش ساده برای کاهش دسترسی به دوربین‌ها می‌باشد اما اغلب نادیده گرفته می‌شود چرا که هر تغییری باید تنها از طریق ماشین‌های مجاز اعمال شود بدین معنی که تکنسین تنها می‌تواند از ماشین‌های موجود در لیست سفید برای اعمال تغیرات استفاده کند که در برخی مواقع آزار دهنده خواهد بود.
سطح سه- سطح سازمانی مدیریت ‌یافته
در نهایت سطح سه به عنوان زیرساخت بزرگ شبکه‌ای با دپارتمان‌آی تی/ آی اس تعریف می‌شود برای محیط‌هایی که لازم است در آن‌ها دوربین‌ها با زیرساخت‌های شبکه‌ای سازمانی یکپارچه شوند. در جدول۳ می‌توان قابلیت این سطح حفاظتی را مشاهده نمود.

جدول ۳: قابلیت‌های سطح ۳ حفاظتی اکسیس

حفاظت سازمانی مدیریت یافته

 

زیرساخت بزرگ شبکه‌ای با دپارتمان‌ آی تی/ آی اس  

دسترسی به شبکه

IEEE 802.1x

تنظیم مانیتورینگ

اس اِن ام پی

ورود به سیستم از راه دور

در سطح سه، اکسیس پیشنهاد می‌کند از ۸۰۲٫۱x استفاده شود که نیازمند این است که دستگاه‌ها قبل از اتصال به شبکه توسط یک سرور، مجاز شناخته شوند. بدین ترتیب، دستگاه‌های بدون مجوز کارایی نخواهند داشت. ۸۰۲٫۱x معمولا بر روی یک سوئیچ شبکه تنظیم می‌شود.
معمولاً ۸۰۲٫۱x توسط شبکه‌های سازمانی بزرگ اجرا می‌شود چرا که موجب افزایش پیچیدگی و مدیریت شبکه خواهد شد. با وجود امنیت بالا، ۸۰۲٫۱x فراتر از قابلیت اکثر کاربران است و بدین ترتیب برای بسیاری از تأسیسات نظارتی کارآیی نخواهد داشت.

مانیتورینگ اس اِن ام پی

اکسیس پیشنهاد می‌کند که از مانیتورینگ اس اِن ام پی برای تمامی دستگاه‌ها استفاده شود. دستگاه‌های کنونی اکسیس تله‌های مشخص امنیت شبکه، از جمله اعلان “تایید اعتبار انجام نشد” را برای اطلاع رسانی به مدیران در خصوص ورو ناموفق و همچنین هشدار عمومی دستکاری دوربین ارائه می‌دهند.
اس اِن ام پی نیز مانند ۸۰۲٫۱x، تنها توسط شرکت‌های بسیار پیشرفته در صنعت آی تی مورد استفاده قرار می‌گیرد چرا که نیازمند تنظیمات پیچیده‌تر و دانش بیشتر می‌باشد. اگرچه با روی کار آمدن پلت‌فرم‌های مانیتورینگ شبکه‌ای رایگان و یا ارزان قیمت، مانیتورینگ اولیه در هر پروژه کوچک نیز برای ارائه اطلاعات اضافی، که از طریق دوربین‌ها و یا وی ام اس در دسترس نیستند، اجرا می‌گردد.
ورود به سیستم از راه دور
سرورهای سیس‌لاگ موقعیتی مرکزی برای چندین دستگاه برای کپی گرفتن از داده‌ها ارائه می‌دهند. همانند مانیتورینگ اس اِن ام پی و پشتیبانی چندین ابزار مانیتورینگ شبکه،سیس‌لاگ رویدادهای ورود به سیستم را در زمان حقیقی برای سِروِر ارسال می‌کند، که بعداً این اتفاقات بررسی شده و مدیریت در جریان خواهد گرفت.
با وجود اس اِن ام پی برخی از این رویدادها زائد بوده و اهمیت حضور سیس‌لاگ در سیستم‌های امنیتی کمرنگ‌تر خواهد شد.
پیشنهادات کلی و کارآمد
راهنمای اکسیس، به همراه اطلاعات مخصوص اکسیس، برای بهبود امنیت شبکه‌های تصویری چند پیشنهاد کلی و عملی را ارائه می دهد.
غیر از اچ تی تی پی اس که نیازمند تنظیمات اضافی، وقت و هزینه برای یک گواهی معتبر می‌باشد، توصیه‌های اکسیس برای سطوح حفاظتی یک و دو در واقع تنها چند دقیقه برای نصب زمان می‌برد.
حتی بدون هزینه‌های اضافی و پیچیدگی‌های اچ تی تی پی اس که توقع می‌رود اکثر کاربران از آن صرف نظر کنند، باقی پیشنهادات اکسیس به بهبود امنیت شبکه بسیار کمک خواهند کرد.

امروزه یکی از مهم‌ترین مباحث امنیتی به امنیت در فضای سایبری برمی‌گردد. در مورد دوربین‌های پیشرفته امروزی نیز که متصل به شبکه اینترنت هستند، حفاظت از اطلاعات این دوربین‌ها در برابر افرادی که قصد سوء استفاده از این اطلاعات را دارند دارای اهمیت ویژه‌ای است. در این راستا، شرکت اکسیس  راهکارهایی برای افزایش امنیت با ارائه سطوح محافظتی مختلف و متناسب با نوع استفاده کاربر دارد که به امنیت اطلاعات دوربین‌ها و حفاظت از آن‌ها در برابر حمله‌های سایبری کمک می‌کند. در اکثر زمینه‌ها در صنعت آی تی، برطرف ساختن ضعف‌ها امری معمول به شمار می‌رود که شامل بهترین عملکردها…

User Rating: Be the first one !

پیشنهاد برای مطالعه:

1_YtZEApCkwS5A5BZz-4YagA

پوشیدنی های مقاوم در برابر سیستم های تشخیص چهره، چالشی جدید در صنعت نظارت تصویری

تازه­ ترین چالش در برابر تجهیزات و فناوری­های تشخیص چهره، لباس­ها و ابزار­های پوشیدنی هستند …

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *