امنیت از دیرباز یكی از اجزای اصلی زیرساخت های فناوری اطلاعات به شمار می رفته است. تهدیدهای امنیتی تنها منحصر به تهدیدات الكترونیكی نیستند، بلكه هر شبكه باید از نظر فیزیكی نیز ایمن گردد. خطرات الكترونیكی غالباً شامل تهدیدات هكرها و نفوذگران خارجی و داخلی در شبكه ها می باشند. در حالی كه امنیت فیزیكی شامل كنترل ورود و خروج پرسنل به سایت های شبكه و همچنین روال های سازمانی نیز هست. برای پیاده سازی امنیت در حوزه های فوق، علاوه بر ایمن سازی سخت افزاری شبكه، نیاز به تدوین سیاست های امنیتی در حوزه فناوری اطلاعات در یك سازمان نیز می باشد. در این راستا لازم است از روال های استانداردی استفاده شود كه به واسطه آن ها بتوان ساختار یك سازمان را برای پیاده سازی فناوری اطلاعات ایمن نمود. استاندارد BS۷۷۹۹ كه در این شماره قصد معرفی آن را داریم به چگونگی پیاده سازی امنیت در همه ابعاد در یك سازمان می پردازد.

تاریخچه استاندارد

منشاء استاندارد British Standard BS۷۷۹۹ به زمان تاسیس مركز Commercial ComputerSecurityCenter و شكل گیری بخش Industry (DTI) UK Department of Trade and در سال ۱۹۸۷برمی گردد. این مركز به منظور تحقق دو هدف تشكیل گردید. اول تعریف معیارهایی بین المللی برای ارزیابی میزان امنیت تجهیزات تولیدشده توسط سازندگان تجهیزات امنیتی، به منظور ارائه تاییدیه های مربوطه بود و دوم كمك به كاربران برای این منظور مركز CCSC در سال ۱۹۸۹ اقدام به انتشار كدهایی برای سنجش میزان امنیت نمود كه به “Users Code of Practice” معروف گردید. چندی بعد، اجرایی بودن این كدها از دیدگاه كاربر، توسط مركز محاسبات بین المللی NCC و یك كنسرسیوم از كاربران كه به طور كلی از صاحبان صنایع در انگلستان بودند مورد بررسی قرار گرفت. اولین نسخه این استاندارد به عنوان مستندات راهبری PD ۰۰۰۳ در انگلستان منتشر گردید. در سال ۱۹۹۵ این استاندارد با عنوان BS۷۷۹۹ منشر گردید و قسمت دوم آن نیز در فوریه سال ۱۹۹۸ به آن اضافه گردید. این قسمت مفهوم سیستم مدیریت امنیت اطلاعات (Information Security Management System (ISMS را به وجود آورد. این سیستم ISMS به مدیران این امكان را می دهد تا بتوانند امنیت سیستم های خود را با حداقل نمودن ریسك های تجاری كنترل نمایند. نسخه بازنگری شده این استاندارد در سال ۱۹۹۵ به عنوان استاندارد ISO ثبت گردید. در مجمعی كه رای موافق به ثبت این استاندارد به عنوان استاندارد ISO داده بودند، كشورهایی نظیر استرالیا و نیوزلند با اندكی تغییر، آن را در كشور خود با عنوان AS/NZS۴۴۴۴ منتشر نمودند. طی سال های ۱۹۹۹ تا ۲۰۰۲ بازنگری های زیادی روی این استاندارد صورت پذیرفت. در سال ۲۰۰۰ با افزودن الحاقیه هایی به استاندارد BS۷۷۹۹ كه به عنوان یك استاندارد ISO ثبت شده بود، این استاندارد تحت عنوان استاندارد ISO/IEC۱۷۷۹۹ به ثبت رسید. نسخه جدید و قسمت دوم این استاندارد در سال ۲۰۰۲ به منظور ایجاد هماهنگی بین این استاندارد مدیریتی و سایر استانداردهای مدیریتی نظیر ۹۰۰۱ ISO و ۱۴۰۰۱ ISO تدوین گردید. این قسمت برای ارزیابی میزان موثربودن سیستم ISMS در یك سازمان مدل (Plan Do Check Act (PDCA را همان گونه كه در شكل یك نشان داده شده است ارائه می نماید.

نحوه عملكرد استاندارد BS ۷۷۹۹

در راستای تحقق دومین هدف پیدایش این استاندارد كه به آن اشاره شد، یعنی كمك به كاربران سرفصل هایی برای نحوه پیاده سازی امنیت در یك سازمان كه در حقیقت یك كاربر سیستم های امنیتی می باشد، تعیین شده است كه عبارتند از:

تعیین مراحل ایمن سازی و نحوه شكل گیری چرخه امنیت

جزییات مراحل ایمن سازی و تكنیك های فنی مورد استفاده در هر مرحله

لیست و محتوای طرح ها و برنامه های امنیت اطلاعات مورد نیاز سازمان

ضرورت و جزییات ایجاد تشكیلات سیاستگذاری، اجرایی و فنی تامین امنیت

كنترل های امنیتی مورد نیاز برای هر یك از سیستم های اطلاعاتی و ارتباطی

تعریف سیاست های امنیت اطلاعات

تعریف قلمرو سیستم مدیریت امنیت اطلاعات و مرزبندی آن متناسب با نوع نیازهای سازمان

انجام و پذیرش برآورد مخاطرات، متناسب با نیازهای سازمان

پیش بینی زمینه ها و نوع مخاطرات بر اساس سیاست های امنیتی تدوین شده

انتخاب هدف های كنترل و كنترل های مناسب كه قابل توجیه باشند، از لیست كنترل های همه جانبه

تدوین دستور العمل های عملیاتی

مدیریت امنیت شبكه

به منظور تعیین اهداف امنیت، ابتدا باید سرمایه های مرتبط با اطلاعات و ارتباطات سازمان، شناسایی شده و سپس اهداف تامین امنیت برای هریك از سرمایه ها، مشخص شود. سرمایه های مرتبط با شبكه سازمان عبارتند از: سخت افزار، نرم افزار، اطلاعات، ارتباطات، كاربران. اهداف امنیتی سازمان ها باید به صورت كوتاه مدت و میان مدت تعیین گردد تا امكان تغییر آن ها متناسب با تغییرات تكنولوژی ها و استانداردهای امنیتی وجود داشته باشد. عمده اهداف كوتاه مدت در خصوص پیاده سازی امنیت در یك سازمان عبارتند از:

جلوگیری از حملات و دسترسی های غیرمجاز علیه سرمایه های شبكه

مهار خسارت های ناشی از ناامنی موجود در شبكه

كاهش رخنه پذیری

اهداف میان مدت نیز عمدتاً عبارتند از:

تامین صحت عملكرد، قابلیت دسترسی برای نرم افزارها و سخت افزارها و محافظت فیزیكی صرفاً برای

سخت افزارها

تامین محرمانگی، صحت و قابلیت دسترسی برای ارتباطات و اطلاعات متناسب با طبقه بندی آن ها از

حیث محرمانگی و حساسیت

تامین قابلیت تشخیص هویت، حدود اختیارات و پاسخگویی، حریم خصوصی و آگاهی رسانی امنیتی برای

كاربران شبكه، متناسب با طبقه بندی اطلاعات قابل دسترس و نوع كاربران

تهدیدهای امنیتی

تهدیدهای بالقوه برای امنیت شبكه های كامپیوتری به صورت عمده عبارتند از:

فاش شدن غیرمجاز اطلاعات در نتیجه استراق سمع داده ها یا پیام های در حال مبادله روی شبكه

قطع ارتباط و اختلال در شبكه به واسطه یك اقدام خرابكارانه

تغییر و دستكاری غیر مجاز اطلاعات یا یك پیغام ارسال شده برای جلوگیری از این صدمات باید سرویس های امنیتی زیر در شبكه های كامپیوتری ارائه شود و زمانی كه یكی از سرویس های امنیتی نقص شود بایستی تمامی تدابیر امنیتی لازم برای كشف و جلوگیری رخنه در نظر گرفته شود:

محرمانه ماندن اطلاعات

احراز هویت فرستنده پیغام

سلامت داده ها در طی انتقال یا نگهداری

كنترل دسترسی و امكان منع افرادی كه برای دسترسی به شبكه قابل اعتماد نمی باشد.

در دسترس بودن تمام امكانات شبكه برای افراد مجاز و عدم امكان اختلال در دسترسی

مراحل پیاده سازی امنیت

برای پیاده سازی یك سیستم امنیتی مناسب مراحل زیر بایستی انجام گردد:

۱ برآورد نیازهای امنیتی شبكه

بر اساس نوع شبكه طراحی شده، نوع استفاده از آن و كاربردهای مختلف آن نیازهای امنیتی شبكه بایستی بررسی گردد. این نیازها بر اساس انواع سرویس هایی كه شبكه ارائه می دهد گسترش می یابد.

۲ اتخاد سیاست های امنیتی لازم

در این مرحله سیاست ها و تدابیر امنیتی لازم اتخاذ می شود. این تدابیر برای پاسخ به نیازهایی خواهد بود كه در مرحله قبل برای شبكه برآورد شده است.

۳ ارائه طرح امنیتی شبكه

بر اساس نیازها و سیاست های برآورده كننده آن ها، طرحی از سیاست كلی شبكه ارائه می شود، به طوری كه تمامی نیازهای شبكه برآورده شود و در طرح جامع و مانعی كه تهیه شده است هیچ تداخلی وجود نداشته باشد.

۴ پیاده سازی و تست

در این مرحله تجهیزات و سیستم های لازم برای طرح انتخاب می شود. تنظیمات كلیه سیستم ها پس از تجزیه و تحلیل كافی استخراج می شوند. برای تست طرح پیاده سازی شده، دسترسی ها و امكانات رخنه تست شده و در صورت خطا راهكارهای پیشگیری به كار گرفته می شود.

۵ مدیریت امنیت

این مرحله كه پس از اتمام پیاده سازی انجام می شود شامل تمامی مسائل مدیریتی امنیت شبكه می باشد. در این مرحله روش های مقابله با تهاجم با روش جدید باید به كار گرفته شود و تغییراتی را كه در اثر گذشت زمان در امنیت شبكه روی می دهند تحت كنترل گرفته شوند.

اجرای سیستم امنیتی

به منظور اجرای یك سیستم امنیتی شبكه و ارائه قابلیت های بروز امنیتی درشبكه، روال های زیر بایستی توسط سازمان به صورت مداوم در شبكه اعمال شود:

تعیین سیاست های امنیتی شبكه

در این قسمت تمامی فرامین و دستورات امنیتی لازم برای فایروال ها و سیستم های تشخیص تهاجم توسط ابزارهای خاص استخراج می گردد.

اعمال سیاست های امنیتی شبكه

دستورات امنیتی تهیه شده برای استفاده در تجهیزات و سرویس های ارائه شده برای امنیت در شبكه پیاده سازی می شوند.

بررسی بلادرنگ وضعیت امنیت شبكه

پس از پیاده سازی سیاست های امنیتی، با استفاده از سیستم های بلادرنگ تهاجم (IDS) و یا سیستم های آنالیز فایل های Log و تشخیص Offline تهاجم، كلیه دسترسی های غیرمجاز انجام شده به شبكه و عبور از سیستم امنیتی تشخیص داده شده و در فایل های Log خروجی ذخیره می شوند.

بازرسی و تست امنیت شبكه

در این قسمت با استفاده از ابزارهای امنیتی، كلیه پورت ها و سرویس های شبكه و یا محل های رخنه به شبكه بازرسی شده و اطلاعات مربوطه در فایل Log مربوطه قرار می گیرند. همچنین در این قسمت با استفاده از یك سری از ابزارها، به تحلیل اطلاعات پرداخته می شود و نتایج حاصل از آن ها برای مرحله بعدی نگهداری می شود.


شما در حال مطالعه صفحه 1 از یک مقاله 2 صفحه ای هستید. لطفا صفحات دیگر این مقاله را نیز مطالعه فرمایید.