اطلاعیه

Collapse
No announcement yet.

امنيت شبکه در سازمان هاي متوسط

Collapse
X
 
  • Filter
  • زمان
  • Show
Clear All
new posts

  • امنيت شبکه در سازمان هاي متوسط

    به نقل از : پرتال سازمان نظام صنفي رايانه اي اصفهان

    امنيت شبکه در سازمان ها ي متوسط

    مقدمه
    از آن جا که تمامي ارتباطات و اطلاعات سازمان ها اعم از کوچک، متوسط و بزرگ به صورت کامپيوتري در آمده است، لذا انتقال و دسترسي به آن ها نيز ملزم به ايجاد و نگهداري شبکه هايي است که اين امکان را فراهم مي سازند. در سازمان هاي با ابعاد متوسط هرچند تعداد سيستم ها و منابع شبکه محدود مي باشند اما امنيت اطلاعات و ارتباطات کامپيوتري از اهميت بالايي برخوردار است. در مستند حاضر به بررسي و ذکر مواردي پرداخته شده است که جهت ايجاد حداقل ميزان امنيت در شبکه هاي کامپيوتري براي سازمان هاي متوسط مورد نياز است. براي اين منظور کل مبحث امنيت شبکه در سازمان هاي متوسط به چند بخش مجزا تقسيم شده و سپس به ارائه نکات لازم به اجرا در هر کدام پرداخته شده است.

    در اين مستند حداقل نيازمندي ها براي امن سازي شبکه داخلي يک سازمان متوسط ارائه شده است. اين موارد حداقل بوده و حداقل امنيت را به وجود مي آورد. لازم به ذکر است که مستند تنها از ديدگاه نظارتي تهيه شده و موارد مورد نياز براي مطالبه از پيمانکار بيان شده و وارد جزئيات فني نگرديده است. در اجراي اين پروژه استفاده از مشاور و يا ناظر اجباري نمي باشد.

    امنيت در سازمان متوسط
    منظور از سازمان متوسط؛ سازماني با حدود 20 تا 50 کامپيوتر است. ساختار شبکه سازمان هاي متوسط پيچيده نيست و از يک شبکه محلي (شامل چندين سوئيچ و حداکثر يک فايروال و روتر) تشکيل شده است که اتصال به اينترنت و شبکه دولت نيز دارد. هزينه ي انجام اين شرح خدمات حدود سيصد ميليون ريال (000/000/300) مي باشد.

    براي ايجاد امنيت در شبکه هاي کامپيوتري سازمان هاي با ابعاد متوسط، تمامي اقدامات لازم به نُه بخش جداگانه قابل تقسيم است:

    امنيت فيزيکي
    امنيت ايستگاه هاي کاري
    امنِ سازي سرورها
    امنيت ارتباطات بي سيم
    امنيت ساختار شبکه سازمان
    دستورالعمل ها و روال هاي امنيتي
    نظارت امنيتي
    تست نفوذ
    آموزش و فرهنگ سازي

    امنيت فيزيکي
    امنيت فيزيکي به صورت ايده آل موارد متعددي را در بر مي گيرد به همين دليل در اين ابعاد پرداختن به آن ضروري نيست. پيمانکار در اين مورد مگر براي امنيت ارتباطات بي سيم وظيفه اجرايي به عهده ندارد و فقط بايد موارد زير را بررسي و موارد نقض آن را به اطلاع کارفرما برساند:

    امنيت فيزيکي ارتباطات
    امنيت فيزيکي ايستگاه هاي کاري
    امنيت فيزيکي سرورها، سوئيچ ها، روترها و فايروال ها
    امنيت فيزيکي ارتباطات بي سيم
    امنيت فيزيکي ارتباطات
    جهت ايجاد امنيت ارتباطات در بخش امنيت فيزيکي رعايت موارد زير الزامي است:

    کابل کشي شبکه کامپيوتري طبق استاندارد TIA/EIA-568-B
    عدم وجود گره هاي شبکه در محل هايي که امکان کنترل آن ها وجود ندارد و يا عدم عبور کابل از محل هاي نزديک به گرما و برق فشار قوي و محل هايي که احتمال قطعي هاي ناخواسته دارد.

    امنيت فيزيکي ايستگاه هاي کاري
    ايجاد امنيت فيزيکي در ايستگاه هاي کاري يک سازمان ملزم به رعايت نکات زير است:

    عدم استقرار سيستم ها در محل هاي با دسترسي بسيار سخت
    استقرار سيستم ها به دور از محل هاي عبور لوله هاي آب و گاز يا کابل هاي برق بدون حفاظ
    استقرار سيستم ها در محل هاي با ثبات بالا و محل هايي که کمتر در مسير راه افراد قرار دارند
    عدم اتصال laptopهايي که محدوديت هاي امنيتي روي آن اعمال نشده به شبکه سازمان

    امنيت فيزيکي سرورها، سوئيچ ها و روترها
    در راستاي امن سازي فيزيکي سرور ها، سوئيچ ها و روترهاي شبکه يک سازمان رعايت موارد زير الزامي است:

    1. استقرار آن ها در محلي امن و دور از دسترسي همگان

    2. دسترسي آسان براي مدير يا مديران شبکه سازمان

    3. استقرار آن ها در جعبه هاي محافظ (Rack)

    4. عدم وجود پايانه هاي آب و گاز يا کابل هاي بدون حفاظ برق در محل نگهداري آن ها

    5. استفاده از UPS هاي با ظرفيت مورد نياز سازمان

    6. وجود کپسول آتش نشاني در نزديکي محل استقرار سرور

    امن سازي سرور ها
    در سازمان هاي متوسط توصيه مي شود حداقل 4 عدد سرور زير نصب گردد:

    1. سرور کنترلي با نصب سرويس هاي زير:

    Domain Controller, Active Directory, Windows Service Update Server (WSUS) -

    -Antivirus Server, log server

    2. FTP Server, Web Server, File Server, DNS به عنوان پشتيبان سرور کنترلي

    3. سرور(هاي) برنامه هاي کاربردي (مانند اتوماسيون اداري)

    4. سرور اتصال به اينترنت (دروازه اينترنتي) و شبکه هاي خارجي ديگر مانند شبکه دولت (با نصب مثلا ISA Server)

    سرورهاي يک، دو و سه بايد از لحاظ سخت افزاري کاملا قابل اطمينان (با مشخصات: دو عدد کارت شبکه , 1G دو عدد CPU 2.3G 2M cache و دو عدد , Hard SATA 300G و دو عدد Power و با قيمتي حدود بيست ميليون ريال) باشند ولي چهارمين سرور حتي مي تواند يک عدد رايانه شخصي مناسب هم باشد.

    بر روي اين سرورها جهت اجرا و کنترل برنامه هاي داخلي سازمان رعايت نکات عمومي زير (جهت ايجاد و نگهداري امنيت براي اين سيستم) ضروري مي باشد:

    داشتن دستورالعمل پيکربندي امن سرور و نصب حداقل سرويس هاي لازم روي آن (با جزيياتي بسيار بيشتر از تنظيمات ويندوز در امنيت ايستگاه هاي کاري (قسمت بعد))
    نصب ابزارهايي براي ارسال log به log server
    تنظيمات مناسب و امن براي به روزشدن آنتي ويروس و بسته هاي امنيتي سيستم عامل
    داشتن تنظيمات خودکار براي پشتيبان گيري
    داشتن رويکرد و ابزار امن براي پيکربندي سرور از راه دور

    FTP Servers
    1. غير فعال کردن دسترسي Anonymous

    2. فعال سازي تنظيمات پيچيدگي انتخاب کلمات عبور

    3. تنظيم Logon Event ها

    4. فعال سازي سرويس Logging مربوط به FTP

    5. در صورت عدم نياز به بارگذاري اطلاعات از سايت FTP، سايت را به صورت يک طرفه تنظيم نماييد (فقط امکان ارسال يا نوشتن اطلاعات در سرور)

    6. فعال سازي سرويس Disk Quota

    7. اعمال محدوديت هاي زماني براي شناسه هاي کاربري

    8. فعال سازي سرويس هاي Account Lockout و Account Lockout Threshold

    9. افزايش ميزان پيچيدگي و دشواري ACL ها

    Web Servers
    1. استفاده از سرورهاي مجزا براي برنامه هاي داخل شبکه و خارج از شبکه محلي

    2. امکان مميزي عملکرد هاي وب سايت و نگهداري Log ها در يک محل امن

    3. استفاده از پويشگر برنامه (Application Scanner)

    امن سازي [DC[1


    به منظور ايجاد امنيت در Domain Controller شبکه سازمان رعايت اصول زير الزامي است:

    1. امنيت فيزيکي DC

    2. بستن دسترسي کاربر Anonymous

    3. ساخت يک شناسه کاربري با دسترسي محدود و استفاده مدير شبکه از آن و استفاده از حساب کاربري Administrator فقط در مواقع ضروري

    4. نصب فايروال و آنتي ويروس قابل مديريت

    5. دور نگه داشتن DC از حملات راه دور مانند عدم دسترسي به اينترنت يا مودم

    6. ايجاد امنيت بيشتر روي حساب هاي کاربري داخل DC

    7. جا به جا کردن محل ذخيره بانک هاي اطلاعاتي Active Directory

    امن سازي [DNS[2
    پيروي از دستورات زير جهت امن سازي سرويس دهنده هاي DNS الزامي است:

    1. استفاده از DNS Forwarder ها

    2. استفاده از سرويس دهنده هاي Cache-Only DNS

    3. استفاده از DNS Advertiser ها

    4. استفاده از DNS Resolver ها

    5. حفاظت و کنترل Cache Pollution

    6. فعال کردن DDNS

    7. غير فعال کردن Zone Transfer

    8. نصب و پيکر بندي فايروال روي سيستم سرويس دهنده DNS

    9. تنظيم کنترل دسترسي روي اطلاعات و ورودي هاي DNS در رجيستري

    10. تنظيم کنترل دسترسي روي اطلاعات و ورودي هاي DNS در فايل سيستم

    11. استفاده از DNS Root و Namespace داخلي براي شبکه سازمان

    امنيت ايستگاه هاي کاري
    پيمانکار موظف است به منظور امن سازي ايستگاه هاي کاري در شبکه، موارد زير را براي تمام دستگاه هاي شبکه اجرا نمايد:

    تنظيمات ويندوز
    داشتن دستورالعمل پيکربندي امن ويندوز شامل:

    1. استفاده از فايل سيستم NTFS براي کليه پارتيشن ها

    2. غير فعال کردن Simple File Sharing

    3. استفاده از کلمه عبور براي کليه حساب هاي کاربري (مخصوصا administrator که به صورت پيش فرض بدون پسورد ايجاد مي شود)

    4. غير فعال کردن حساب کاربري Guest و بقيه حساب هاي کاربري بلااستفاده

    5. تنظيم محافظ صفحه با کلمه عبور

    6. غير فعال کردن Remote Desktop براي کليه سيستم ها

    7. فعال و تنظيم کردن Audit و Log ها براي کليه سيستم ها

    8. غير فعال کردن قابليت راه اندازي سيستم عامل توسط Floppy يا CD ROM

    9. غير فعال کردن auto play براي flash drive , CD

    10. تنظيمات مناسب و يا نصب ابزارهايي براي ارسال log به log server

    11. تنظيمات مناسب و امن براي به روزشدن بسته هاي امنيتي سيستم عامل

    12. داشتن رويکرد و ابزار امن براي پيکربندي ايستگاه کاري از راه دور

    تنظيمات آنتي ويروس
    پس از پيکر بندي سيستم عامل مطابق با شرايط فوق نصب و پيکربندي يک آنتي ويروس مناسب براي کليه ايستگاه هاي کاري با رعايت نکات زير الزامي است:

    1. استفاده از آنتي ويروس دارايLicense معتبر

    2. نصب آنتي ويروس براي کليه سيستم هاي سازمان، بدون استثنا

    3. تنظيم ثبت مرتب و خودکار Log هاي آنتي ويروس

    4. تنظيم به روزرساني منظم و خودکار آنتي ويروس

    5. استفاده از آخرين نسخه آنتي ويروس

    6. تنظيم شناسايي و حذف خودکار ويروس هاي يافت شده توسط آنتي ويروس


    امنيت ارتباطات بي سيم
    در صورتي که در ساختار شبکه يک سازمان از تکنولوژي ارتباطات بي سيم جهت انتقال اطلاعات استفاده شود، رعايت موارد زير الزامي است:

    استفاده از تکنولوژي رمزنگاري WEP
    تغيير تنظيمات پيش فرض SSID
    اختصاص آدرس هاي IP به ايستگاه هاي کاري بي سيم به صورت دستي نه DHCP
    غير فعال کردن حالت Ad-Hoc در صورت استفاده از Access Point
    ايجاد ACL هاي مخصوص سازمان
    ثبت MAC آدرس هاي تک تک ايستگاه هاي کاري در ACL هاي مربوط به Access Point ها
    غيرفعال سازي سرويس File and Printer sharing در صورت عدم نياز به استفاده از آن ها.
    چيدمان صحيح نقاط دسترسي (Access Point) به گونه اي که گستره امواج راديويي تنها در دامنه تعيين شده شبکه سازمان باشد

    جدا ساختن شبکه هاي بي سيم و سيم کشي شده توسط فايروال.

    آموزش و اطلاع رساني کاربران در مورد اهميت امنيت ارتباطات بي سيم

    امنيت ساختار شبکه سازمان
    پيمانکار موظف است پس از بررسي ساختار فعلي شبکه و نيازهاي سازمان، طراحي امني براي شبکه سازمان ارائه و آن را اجرا کند. لازم به ذکر است که پيش از طراحي امن ، پيمانکار بايد ارزيابي امنيتي موردي انجام دهد. در تهيه ساختار امن شبکه و پياده سازي آن بايد موارد بيان شده در اين فصل لحاظ گردد. پس از طراحي امن، پيمانکار موظف است RFP براي خريد تجهيزات سخت افزاري تهيه نمايد و پس از خريد توسط کارفرما آن تجهيزات را تست کند و تحويل بگيرد.

    طراحي امن شبکه
    در طرح شبکه موارد زير بايد لحاظ گردد:

    1. در صورت وجود سرورهايي که به خارج از سازمان سرويس مي دهند بايد ناحيه DMZ ايجاد شود.

    2. در صورت نياز بايد سرور يا شبکه VPN ايجاد شود.

    3. سرور هاي داخلي يا خارجي بايد از هم مجزا باشند.

    4. بين شبکه اينترنت و شبکه DMZ بايد از يک مسيرياب يا فايروال استفاده کرد.

    5. بين شبکه DMZ(و در صورت عدم وجود اينترنت) و شبکه داخلي سازمان بايد از فايروال استفاده کرد.

    6. در صورتي که نياز سازمان به چند ناحيه مجزا باشد اين نواحي بايد ايجاد و بين آن ها مسيرياب يا فايروال قرار گيرد.

    7. نواحي مختلف شبکه داخلي، DMZ و ورود شبکه اينترنت به سازمان بايد در لايه فيزيکي از هم مجزا شوند (يا به صورت فيزيکي و يا VLAN)

    8. در صورت وجود ارتباط بي سيم بايد در ناحيه جدا قرار گرفته و از مسيرياب و VPN استفاده شود.

    9. ساختار IP و Subnet Mask و IP Routing طراحي و اجرا شود.

    امنيت VPN
    تکنولوژي VPN اين امکان را فراهم مي آورد تا بتوانيم از شبکه هاي عمومي مانند اينترنت به صورت امن به جاي شبکه هاي خصوصي استفاده کنيم. در موارد زير استفاده از VPN ضروري است:

    1. لازم باشد مدير يا کارمندي از راه دور مثلاً منزل يا محل مسافرت به منابع شبکه داخلي سازمان دسترسي داشته باشد

    2. سازمان داراي نماينده يا نمايندگاني در مکان هاي دور از سازمان يا شهرها و کشور هاي ديگر باشد

    3. پشتيباني توسط کارشناسان يا مديران شبکه خارج سازمان

    4. وجود ارتباط بي سيم

    در صورت نياز به استفاده از VPN مي توان از سرويس دهنده ISA استفاده نمود که رعايت موارد زير در اين مورد الزامي است:

    1. تنظيم پيچيدگي انتخاب کلمات عبور

    2. استفاده از پروتکل هاي MS-CHAP v2 و EAP به جاي پروتکل هاي PAP، SPAP و CHAP

    3. غير فعال کردن پروتکل هاي PAP، SPAP و CHAP

    4. استفاده از پروتکل L2TP به جاي IP در ارتباطاتي که از IPSec استفاده مي کنند

    5. انتقال کليه کاربران داراي سطح دسترسي از راه دور به يک گروه کاربري جهت مديريت متمرکز

    6. تعيين سطح دسترسي هاي مورد نياز کاربر يا گروه هاي کاربران به فايل ها، برنامه ها و منابع شبکه داخلي با توجه به نياز آن ها

    7. فعال سازي و تنظيم دقيق Event Log جهت کنترل دقيق ارتباطات VPN

    فايروال
    در صورت نياز به فايروال مي توان از فايروال هاي سخت افزاري يا نرم افزاري متناسب همانند ISA يا لينوکس استفاده کرد. در صورت استفاده از سرويس دهنده ISA جهت مديريت امنيت شبکه سازمان، رعايت موارد زير کاملاً ضروري است:

    تنظيمات لازم مربوط به سيستم عامل
    1. عدم نصب ISA Server روي Domain Controller

    2. عدم نصب سرويس يا برنامه هاي کاربردي روي سيستم سرويس دهنده ISA

    3. افزايش ميزان دشواري کلمات عبور کاربران سيستم سرويس دهنده ISA

    4. حذف کليه سرويس هايي که مورد استفاده سيستم عامل و ISA قرار نمي گيرند

    5. به روز رساني و نصب بسته هاي امنيتي سيستم عامل و ISA به طور مرتب

    6. غيرفعال کردن سرويس File and Printer Sharing روي کارت شبکه خارجي[3]

    7. غير فعال کردن سرويس Client for Microsoft Networks روي کارت شبکه خارجي

    8. غير فعال کردن NetBIOS مربوط به TCP/IP روي کارت شبکه خارجي

    تنظيمات لازم مربوط به ISA Server
    1. فعال کردن Packet Filtering

    2. فعال کردن Fragment Filtering

    3. فعال کردن Filtering of IP options

    4. فعال کردن Intrusion Detection

    5. حذف کليه دسترسي ها از قسمت Site and Content Rule يا تنظيم دسترسي هاي اين قسمت براي کاربر يا گروهي از کاربران

    6. حذف کليه Web Proxy listener ها در صورت عدم نياز به استفاده از Web Publishing Rules

    7. ايجاد Protocol Rule هاي لازم جهت دسترسي هاي برون سازماني

    8. محدود سازي دسترسي کاربران به پروتکل ها و تنظيم امکان دسترسي افرادي که به آن ها نياز دارند

    9. تنظيم ارسال هشدارهاي امنيتي ISA Server به E-Mail مدير شبکه

    10. بازبيني مرتب و منظم Event Log ها

    11. ذخيره دقيق و منظم Log ها روي يک حافظه جداگانه و کپي برداري روزانه از آن ها

    12. فعال کردن فيلترهاي DNS ، POP و SNMP

    13. غير فعال کردن فيلتر SOCKS

    14. فقط قراردادن آدرس هاي شبکه داخلي در LAT

    15. فقط قرار دادن دامنه هاي[4] شبکه داخلي در LDT

    16. استفاده از سياست هاي[5] RRAS در کنترل دسترسي ها و مديريت VPN

    17. استفاده از کلمات عبور پيچيده، به خصوص اگر از PPTP استفاده مي شود

    18. اقدام به استفاده از L2TP/IPSec در اولين زمان ممکن

    مستندسازي و تدوين دستورالعمل ها و روال هاي امنيتي
    مهم تر از ايجاد امنيت در شبکه سازمان حفظ و تداوم امنيت مي باشد، به همين منظور معمولا تشکيلاتي در سازمان براي اين هدف تشکيل مي گردد. اما در سازمان هايي با اين ابعاد مستندسازي و تهيه و اجراي دستور العمل ها و روال هايي براي امنيت کفايت مي کند.

    پيمانکار موظف است مستندات زير را در صورت عدم وجود تهيه و در صورت وجود به روز رساني و سازگار کند:

    1. نقشه شبکه سازمان

    2. مستندات مربوط به محل قرار گيري سخت افزار ها و شماره هاي آن ها (اموال سازمان)

    3. مستندات مربوط به کابل کشي ها و محل قرار گيري سرورها، سوئيچ ها و روترها

    پس از مستندسازي شبکه سازمان بايد دستورالعمل هايي وجود داشته باشد که با پيروي از آن ها اين امنيت ايجاد شده پايدار بماند.

    اين دستورالعمل ها توسط پيمانکار تهيه و بعدا توسط پرسنل کارفرما اجرا خواهند شد. هر کدام از آن ها حداقل يکبار توسط پيمانکار نيز بايد اجرا شوند. حداقل دستورالعمل هاي مورد نياز در زير آمده اند.

    روال پشتيبان گيري
    در تعيين روندها و دستورالعمل هاي پشتيبان گيري از اطلاعات سيستم هاي يک سازمان لازم است تا آيين نامه اي مدون طراحي شود. در اين آيين نامه حداقل به نحوه، ابزار، نوع، زمان و محل ذخيره پشتيبان گيري بايد پرداخته شود.

    در زير به ذکر مواردي پرداخته ايم که بايد در تهيه آيين نامه روندهاي پشتيبان گيري يک سازمان حتماً مورد توجه قرار بگيرد. اين پشتيبان ها از اطلاعات سرورها و اطلاعات رايانه هاي کاربران بايد باشد.

    انتخاب زمان تهيه نسخه پشتيبان
    .روزانه
    .هفتگي
    .ماهانه
    .سالانه

    انتخاب يکي از انواع نسخه پشتيبان
    .Full
    .Incremental
    .Deferential
    .Copy

    انتخاب محل ذخيره و نگهداري نسخه پشتيبان

    1. حافظه خارجي[6]

    2. Floppy ، CD يا DVD

    3. سرور يا يک سيستم جداگانه براي اين منظور

    4. محل ذخيره On-Line

    وصيه مي شود حتما حداقل يک مدل پشتيبان گيري برروي حافظه خارجي، CD و ... در نظر گرفته شود که ماهانه يا هفتگي باشد و اين اطلاعات پشتيبان در محلي امن غير از اتاق سرور نگهداري شود.

    دستورالعمل هاي نگهداري شبکه
    در اين ابعاد سازماني حفظ پايداري شبکه (Availability) و مديريت استفاده از آن بزرگترين دستا وردي است که از امنيت توقع مي رود. به همين منظور تهيه و اجراي آيين نامه ها و روال هاي نگهداري شبکه که در اين راستا مي باشد ضروري است:

    دستورالعمل نگهداري سيستم عامل ها
    روال نامگذاري سيستم ها
    روال نگهداري و به روز رساني آنتي ويروس ها
    فرآيندها و فرم هاي بازبيني هاي دوره اي سيستم ها
    روال انتقال تا بازگشت سيستم ها جهت تعمير
    روال نگهداري و به روز رساني مستندات شبکه
    روال بررسي دوره اي logها
    آيين نامه انتخاب و تغيير کلمات عبور کاربران
    آيين نامه روند تهيه نسخه پشتيبان
    آيين نامه روند جابجايي، تعويض يا خريد قطعات
    آيين نامه سطوح دسترسي هر يک از کاربران به منابع ديگر سيستم ها و منابع شبکه سازمان
    روال نگهداري و به روز رساني مستندات شبکه مانند گرفتن backup از سيستم عامل ِ همه تجهيزات مانند سوئيچ و روتر و سرور براي به حداقل رساندن زمان در دسترس نبودن سيستم و روال نگهداري از نسخه هاي پشتيبان در سازمان

    نظارت امنيتي

    کنترل و نظارت امنيتي بر شبکه از موارد بسيار با اهميت در امر نگهداري امنيت شبکه هاي کامپيوتري مي باشد. پيمانکار موظف است که ابزار لازم جهت استفاده ي مدير شبکه سازمان جهت اسکن و کنترل شبکه را به منظور هاي زير فراهم آورد:

    کنترل شبکه از لحاظ عدم اتصال سيستم هاي غير مجاز به شبکه سازمان
    شناسايي سرويس هاي تهديد آميز
    تعيين ميزان انحراف از سرويس هاي مجاز تعريف شده براساس سياست هاي امنيتي سازمان
    بررسي و تحليل logها
    بهتر است تعداد ابزارها تا حد امکان کم و يا از طريق واسط متمرکز اداره شوند.

    تست نفوذ
    اجراي تست نفوذ از مهمترين روش ها براي اطمينان از وجود يک امنيت نسبي است. در سازمان هاي متوسط لازم است تا به صورت دوره اي تست نفوذ جهت اطمينان از وجود امنيت اجرا شود و پيمانکار موظف است که در انتهاي پروژه يک بار تست نفوذ را انجام دهد و سپس حدود سه ماه پس از پايان پروژه نيز يکبار ديگر تست نفوذ انجام شود. پيمانکار بايد ضمن ارائه ي گزارش اين تست به کارفرما ، آسيب هاي قابل رفع شناسايي شده را رفع کند. حداقل موارد زير در اين تست بايد مورد نظر قرار گيرند:

    1. سوراخ هاي امنيتي هسته سيستم عامل[7] براي تمام ايستگاه ها به خصوص سرورها و تجهيزات شبکه

    2. سر ريزي بافر[8] براي سرور ها به خصوص وب

    3. دسترسي هاي فايل و [Directory[9

    4. تروجان ها[10]

    5. گذر واژه هاي ضعيف

    آموزش و فرهنگ سازي
    همان طور که قبلا هم تصريح شد حفظ امنيت از خود آن مهم تر و مشکل تر است؛ و حفظ تداوم امنيت به عهده پرسنل سازمان است. پس اين امر محقق نمي شود مگر با آموزش و فرهنگ سازي. آموزش کارکنان و مديران شبکه هر سازماني الزامي است. اين آموزش بايد در دو سطح عمومي (کاربران) و مدير شبکه (راهبران) اجرا شود. مطالب مورد نظر براي کاربران بايد به دو صورت تئوري 4 ساعت و عملي 4 ساعت ارائه شود. براي مدير شبکه يا جانشين وي نيز در دو مرحله تئوري 20 ساعت و عملي 10 ساعت آموزش هايي در نظر گرفته مي شود که در ادامه به محتواي اين دوره ها مي پردازيم.

    آموزش مديران شبکه (راهبران)
    1. مفاهيم امنيت

    2. چرخه ي امن کردن سيستم

    3. انواع حملات و تهديدهاي شبکه

    4. روش هاي مقابله با حملات و تهديدات

    5. ارزيابي امنيت شبکه و مديريت امنيت شبکه

    6. پيکربندي امن تجهيزات شبکه (سوييچ ، روتر ، فايروال)، سيستم عامل ها، نرم افزارها

    7. نصب نرم افزارهاي امنيتي

    8. نصب وصله هاي امنيتي

    9. ثبت وقايع و استفاده و مديريت از Event Log (رويدادنگاري)

    10. مواجهه با حوادث

    11. تسلط به روال ها و دستورالعمل هاي تدوين شده براي امنيت شبکه

    11-1 اهميت و مديريت کلمات عبور خود و ديگر کاربران

    11-2 مديريت و نگهداري سرويس هايي مانند patchهاي امنيتي و آنتي ويروس ها

    11-3 اهميت و مديريت سطوح دسترسي کاربران به ديگر سيستم ها و منابع شبکه

    11-4 اهميت و نحوه پشتيبان گيري

    11-5 آشنايي و مديريت دسترسي به اينترنت و به اشتراک گذاري آن

    11-6 آشنايي و تسلط به روال هاي ارائه شده جهت اجرا مانند نحوه بازگرداني backup هاي سيستم عامل هاي تجهيزات

    آموزش کاربران
    1. مفاهيم امنيت

    2. چرخه ي امن کردن سيستم

    3. نکات خاص مانند پشتيبان گيري

    4. نکات فني استفاده از امکانات اعم از نرم افزارها، سخت افزارها و سيستم عامل

    5. آشنايي با پيکربندي سيستم عامل

    6. استفاده از ابزارهاي امنيتي مانند آنتي ويروس

    7. انتخاب گذرواژه

    8. مواجهه با حوادث

    9. اجرا، به روز رساني و درک پيام هاي آنتي ويروس

    10. توانايي تشخيص موارد بحراني و نحوه برخورد اوليه با آن

    11. درک اوليه حداقل امنيت ايستگاه هاي کاري و توانايي بررسي آن در موارد ساده (مثل فعال بودن فايروال رايانه شخصي)

    12. آشنايي با مشکلات امنيتي IE و MS Outlook و نحوه به اشتراک گذاري اطلاعات

    13. درک لزوم تهيه نسخه پشتيبان

    14. خطرات ناشي از برنامه هاي دانلود شده از سايت هاي نامعتبر





    [1] Domain Controller

    [2] Domain Name System

    [3] External interface

    [4] Domain

    [5] RRAS Policy

    [6] External Hard

    [7] Kernel Flaws

    [8] Buffer Overflows

    [9] File and Directory Permissions

    [10] Trojans

  • #2
    C:\Inetpub\vhosts\nsresfahan.org\httpdocs\Bank\Ent erPrise_nsresfahan_Portal\XMLData\Fa

    ای بابا
    آب طلب نکرده، همیشه مراد نیست گاهی نشانه ایست که قربانی ات کنند... !

    Comment


    • #3
      حتما اون 30 ميليون را ندادند

      Comment


      • #4
        جوکر از این دستورالعمل های سازمانی اگر داری بازم بزار.
        این خیلی کلیه.
        کلا دستورالعمل های انفورماتیکی سازمان
        همه مان یک روز بالاخره بر سر این دوراهی خواهیم ایستاد …
        آنجا که همسرمان خواهد گفت : ” یا من ، یا اینترنت ؟! “
        و چه لحظه ی سختی خواهد بود ،
        لحظه جدایی از همسر … !

        Comment


        • #5
          این هم جالبه بود بازم هم دارم فقط باید پیداشون کنم
          مولف: مهرداد خانجانی

          تاریخ انتشار:30/7/85

          تاریخ آخرین بروزسانی:17/8/88

          فرايند جلوگيري از جعل اوراق مرتبط با سيستم
          با توجه به اینكه پاره ای از اوراق یا خروجی های چاپی (بطور مثال لیست نمره/انواع گواهی ها و ...) نرم افزارهای شركت دارای ارزش و اعتبار خاصی برای مخاطبان سیستم (ارباب رجوع/ دانشجو...) است و با توجه به كاربردها و مزایای مرتبط احتمال وجود سوء رفتار و جعل یا دست كاری این خروجی ها زیاد است. نرم افزاری سماسامانه اقدام به تدوین این توصیه نامه كرده است تا بتواند با آموزش و اطلاع رسانی شیوه های كاری پیشگیرانه تا جایی كه امكان دارد جلوی این موارد را بگیرد و ضریب امنیت را در این خصوص ارتقا دهد. این متن تنها می تواند شروعی باشد برای تفکر عمیق تر شما به این مساله در سازمان خود. متن هایی از این دست كه در وب سایت شركت قرار می گیرد در طول زمان به روز رسانی شده و مشتریان محترم ضروری است تا هر از گاهی به قسمت امنیت سایت مراجعه كرده و براساس تاریخ آخرین ویرایش از آخرین اطلاعات و راهكارها مطلع شوند.
          1) گزارشها و خروجی های نرم افزار را به لحاظ اهمیت و امنیت دسته بندی كنید.
          دسته بندی گزارشها و خروجی های چاپی سیستم به شما كمك می كند تا خروجی ها و اوراق مهم سیستم را شناسایی كرده و بتوانید تمهیدات لازم برای جلوگیری از سو استفاده و جعل آنها را در نظر بگیرید و اهمیت آنها را به کاربران و کارمندان خود گوشزد کنید.
          2) اهمیت امضا و مهر های مورد استفاده را درک کنید.
          با درک اهمیت امضا ها و مهر ها شما کمتر دچار سهل انگاری، خطا در عملکرد و آسیب پذیری های مرتبط می شوید.مهر ها را در دسترس افراد و ارباب رجوع قرارندهید.اتاق خود را درحالی که محل مهر ها امن نیست (روی میز، داخل کشو بدون قفل و ...) حتا برای یک لحظه هم ترک نکنید.مهر را به کسی نسپارید. نقل و انتقال مهر را از روش های کاملا مطمئن انجام دهید. هرگز برگه های خالی و سفید را مهر نکنید.

          3) امضا و مهر مدیران و همکاران مجموعه خود را بشناسید
          برای شناسایی برگه های جعلی ضروری است مهرو امضا صحیح مدیران و همکاران خود را بشناسید
          4) امضاهای متفاوت برای کارهای متفاوت (به لحاظ اهمیت) داشته باشید
          اصلا دلیلی ندارد همان امضایی که با آن یک برگه مهم (چک، کارنامه تحصیلی،...) را امضا می کنید با امضا شما برای ارجاع یک نامه معمولی که در دسترس عموم خواهد بود یکی باشد. این کار ضریب ایمنی امضا شما را بالا خواهد برد.

          5) امضا خود را کدگذاری کنید و از سیستم کد امضا استفاده کنید.
          به سادگی می توانید همین امضا خود را کد گذاری کنید بطوری که تنها خودتان تمایز آن را با دیگر امضاهایتان درک کنید. بطور مثال امضا شما می تواند در چهار هفته ماه متفاوت باشد. یعنی هفته اول یک کد هفته دوم یک کد و الاآخر. به این ترتیب شما براساس تاریخ برگه و مقایسه کد امضا خود می توانید صحت برگه را چک کنید.کد گذاری می تواند به سادگی گذاشتن یک نقطه در قسمت های مختلف امضا، یا پیچیده تر و در ساختار منحنی های امضا باشد.
          6) ورود ارباب رجوع را به محل های مهم (بایگانی، دبیرخانه، اتاق سرور ها) ممنوع یا کنترل کنید
          بهر حال محل های مهم و حاوی اطلاعات و اسناد مهم باید بشدت تحت کنترل باشد و ورود و خروج آنها طبق قاعده و اصول خاصی باشد. کلید و مجوز ورود به این محل ها باید با شرایط ویژه مدیریت شود.
          7) گردش نامه های مهم را امن کنید
          گردش نامه های مهم و با ارزش (کارنامه، لیست نمره، ریزنمرات،...) بطور فیزیکی در سازمان باید با دقت انجام شده و بخوبی ایمن شود. این دسته از نامه ها نباید هرگز توسط ارباب رجوع (دانشجو،...) منتقل، ازسال يا دريافت شود. براي نمونه جعل نامه مربوط به اعلام نمرات دانشجويان ميهمان توسط دانشجويان بارها اتفاق افتاده است. استفاده از سیستم های اتوماسیون اداری که گردش فیزیکی نامه را حذف می کنند بشرط رعایت نکات امنیتی در آنها در این زمینه راهگشا خواهد بود.
          8) صحت اطلاعات نامه های دریافتی و فرايندهاي مهم را استعلام کنید.
          در صورتی که اطلاعات مهمی را از طریق نامه دریافت می کنید صحت اطلاعات مندرج در آن را بطور مکتوب یا تلفنی کنترل کنید. بدین شکل اگر در طول مسیر انتقال تغییر یا جعلی رخ داده باشد بسادگی قابل شناسایی خواهد بود.همچنين در فرايندهاي مهم همچون انتقال يا جابجايي دانشجو به دانشگاه شما، قبولي دانشجو در دانشگاه شما و مواردي از اين دست بايد صحت مشخصات و اعتبار شخص بصورت مجزا از سازمان اصلي استعلام شود. بايد دقت كنيد كه ممكن است مدارك انتقال از دانشگاه ديگر جعلي باشد و يا دانشجو اصلا در كنكور قبول نشده باشد و از مكانيزم هاي غيرمتعارف در دانشگاه ثبت نام كرده باشد!
          9) موارد امنیتی نگهداری و ورود و خروج پرونده ها را رعایت کنید.
          قوه قضاویه دستورالعملی برای حفاظت از اسناد و اطلاعات و ادله پرونده*های قضایی در سال ۱۳۸۵ منتشر کرده که مطالعه و ایده گرفتن از آن می تواند برای شما بسیار راهگشا باشد. متن این دستور العمل حفاظت از اسناد و ادله پرونده های قضایی (http://www.hoqouq.com/law/article602.html) را می توانید در این سایت مطالعه کنید. مواردی چون ماده 10 نحوه نگهداری پرونده*ها، ماده 17 شرایط حفاظت فیزیكی بایگانی، ... با کمی تعدیل برای شما مفید خواهد بود. استفاده از سیستم های بایگانی دیجیتال نیز به شما در این امر بسیار کمک خواهد کرد. در صورت نیاز به تهیه سیستم بایگانی دیجیتال سما با شرکت تماس بگیرید.
          10) از تجهیزات کنترل ورود و خروج (دروبین های مداربسته،...) برای محل های مهم استفاده کنید.

          11) از آموزش و تفهیم کارمندان و کاربران نسبت به موارد امنیتی اطمینان حاصل کنید.
          ضروری است که کارمندان و کاربران سیستم ها از اهمیت کار خود و خروجی های مختلف سیستم و سو رفتارهای احتمالی کاملا آگاه باشند تا بتوانند رفتاری درست و مناسب داشته باشند. بهتر است نکات مهم به آنها بصورت مکتوب اعلام شود. هیچ چیز را بدیهی و گفته شده تلقی نکنید.
          12) استفاده از چاپ ترام آرم سازمان در کاغذها و ایجاد تمایز و مدت اعتبار
          یکی از راه های جلوگیری از جعل ایجاد تمایز در نوع کاغذ ها می باشد. با چاپ ترام آرم دانشگاه بر روی کاغذهای A4 معمولی شما بسادگی می توانید تمایز ایجاد کنید.این فرم ها بهتر است کارکردی محدود در یک بازه زمانی شش ماهه یا یک ساله داشته باشند و با درج کد فرم متمایز شوند. هیچگاه این فرم ها به خودی خود نباید مرجع صحت و درستی اطلاعات چاپ شده روی آنها باشند. این کار شرایط جعل را سخت تر می کند.
          13) سربرگ ها و برگه های سازمان را در محلی امن و مناسب نگهداری کنید.
          بدیهی است کسی که برگه ها و فرم های شما را در اختیار داشته باشد می تواند با چاپ اطلاعات مورد نیاز خود مدرکی در حد اعتبار برگه های شما داشته باشد.پس ضروری است که از برگه ها و فرمهای خود بخوبی مراقبت کنید.
          14)از هولوگرام برای گزارشها و خروجی های خیلی مهم استفاده کنید.
          چسباندن هولوگرام برروی خروجی چاپی (گواهی پایان تحصیلات،...) و اضافه کردن جمله ای که بدون هولوگرام فاقد اعتبار است می تواند ضریب امنیتی بسیار بالایی برای مدارک شما ایجاد کند.

          15)اطلاعات گزارشهای چاپی را با اطلاعات داخل سیستم مقایسه کنید.
          همیشه این تصور را داشته باشید که ممکن است اطالاعات چاپ شده صحیح نباشند. پس براساس یک خروجی چاپ شده تصمیم نگیرید. شما همیشه می توانید بطور تصادفی اطلاعات چاپی را با اطلاعات سیستمی چک کنید.
          16) برای نقاط پایانی (دانش آموختگي دانشجويان، اتمام خدمت کاربر سیستم،اتمام کار ارباب رجوع) فهرستی از چیزهایی که باید کنترل شود تهیه کنید.
          در نقاط پایانی همچون زمانی که یک دانشجو دانش آموخته می شود یا یک کارمند مدت خدمت اش تمام می شود کنترل هایی را در نظر گرفته، فهرست کنید و از کارمندان و کاربران مسول بخواهید در این نقاط بصورت سیستمیک آنها را چک کنند.بطور مثال هنگام دانش آموختگي دانشجو ضروری است تمامی نمرات ثبت شده در کامپیوتر با نمرات موجود در لیست های نمره دستنويس استاد تطبيق داده شود.این باعث می شود که کنترلی دوطرفه رخ دهد هم براي جعل های کاغذی و هم براي خطاهای کاربری یا مسائلی از این دست.
          17)دستورالعمل امنیتی مطابق با نیازهای مجموعه خود و حساسیت های سازمانی خود تنظیم کنید
          بهتر است شما برای سازمان خود دستورالعمل امنیتی مشخصی را تدوین کنید تا کارمندان و کاربران بسادگی بتوانند از آن اطلاع داشته و استفاده کنند. مکتوب کردن این دستورالعمل مزایای زیادی برای شما بهمراه خواهد داشت. شما مطمئن می شوید چیزی از قلم نمی افتد،انتقال و آموزش به افراد جدید راحت تر می شود و شفافیت و امنيت در سازمان شما بالا می رود
          آب طلب نکرده، همیشه مراد نیست گاهی نشانه ایست که قربانی ات کنند... !

          Comment


          • #6
            به نقل از اينجا

            مدیریت ریسک های فناوری اطلاعات در سازمان، به روش Microsoft

            طبق تعریف شرکت معظم مایکروسافت:

            ریسک در فناوری اطلاعات، احتمال رخنه کردن آسیب پذیریهایی در فضای کار است که منجر به از دست رفتن بخشی از قابلیت اعتماد، صحت و دسترسی پذیری یک منبع یا دارایی (سخت افزار، نرم افزار، اطلاعات و غیره) می گردد.

            در نتیجه مدیریت ریسک، میزان آمادگی یک سازمان، شرکت یا گروه برای مقابله و جلوگیری، پذیرش یا اصلاح یک ریسک یا تبعات آن می باشد.

            مبحث مدیریت ریسک در امنیت اطلاعات (ITS) یکی از استانداردهای مهمی است که هر سازمان مرتبط با IT باید در استقرار آن کوشا باشد. این استانداردها در رده ISO 27000 تا 27011 قرار می گیرند. در این رابطه مستندات و آزمون های زیادی از شرکت Microsoft منتشر شده است که خلاصه یکی از آنها به صورت زیر است. (یک مورد کلی)


            برای بررسی میزان آمادگی سازمان خود جهت استقرار یک سیستم مدیریت ریسک جامع، 17 مورد زیر را مطالعه نموده و در هر مورد به خود امتیازی از 0 تا 5 اختصاص دهید. معیار امتیاز دهی در هر مورد به صورت زیر است:

            0: چنین روالی در سازمان ما وجود ندارد. (Non-existent)
            1: بدون برنامه قبلی و به صورت موردی انجام شده است. (Ad-Hoc)
            2: بدون برنامه صحیح، گاهی تکرار می شود. (Repeatable)
            3: روال تعریف شده ای وجود دارد. (Defined Process)
            4: روال تعریف شده و به خوبی مدیریت می گردد. (Managed)
            5: به خوبی و به بهترین شکل ممکن انجام می شود. (Optimized)

            موارد مورد بررسی:

            روالها و خط مشی های امنیت اطلاعات در این سازمان، روشن، صریح، کامل و مستند شده هستند.


            تمامی مسئولین و کارکنانی که موقعیت شغلی آنها در ارتباط مستقیم با امنیت اطلاعات است، به خوبی با مسئولیت و نقش خود در این راستا آشنا شده اند.


            سیاست و خط مشی امنیتی کاملا روشن و مستند شده ای در رابطه با اشخاص ثالث (Third party) وضع شده است. به عنوان مثال شرکت های ثالثی که در حال طراحی یک نرم افزار یا ابزار خاص برای منابع درونی سازمان هستند، از حق دسترسی کافی نسبت به منابع سازمان و اطلاعات مربوطه برخوردار هستند. اما این حق دسترسی فقط به اندازه حداقل نیاز آنها تعریف شده است.


            فهرست دارایی ها و منابع (IT) سازمان مانند انواع سخت افزارها، نرم افزارها و پایگاه های داده ای (انباره اطلاعات) کاملا دقیق و بروز می باشد.


            برای جلوگیری از دسترسی غیر مجاز افراد داخلی و خارجی به اطلاعات محرمانه سازمان، روندهای کنترلی مناسبی تدارک دیده شده است.


            به منظور اطلاع رسانی و آگاهی کاربران از خط مشی ها و ملزومات امنیت اطلاعات، ندابیر مناسبی مانند خبرنامه ها، نشریه یا برنامه های آموزشی تدارک دیده شده است.


            دسترسی فیزیکی به شبکه کامپیوتری و دیگر منابع امنیتی اطلاعاتی، تنها با عبور از کنترل های موثر و مناسب امکان پذیر است.


            تمامی سیستم های کامپیوتری جدید سازمان، با استفاده از روال ها و ابزارهای خودکار (مانند سیستم پشتیبان گیری یا غیره) به استاندارد امنیتی تعریف شده در سازمان مقید می شوند.


            برای بروز رسانی و نصب وصله های امنیتی مناسب نرم افزارها، از سیستم خودکار و موثری استفاده می شود که بخش عمده کامپیوترهای سازمان از آن تغذیه می شوند.


            گروهی برای واکنش نسبت به حوادث امنیتی و بررسی علل آنها تدارک دیده شده است. تمامی وقایع امنیتی توسط این گروه ثبت و بررسی شده تا ریشه بروز آنها کاملا شناسایی شود.


            سازمان از یک برنامه ضد ویروس جامع و قدرتمند با چندین لایه حفاظتی استفاده می نماید.


            خط مشی کنترل کاربران سازمان، جامع و مستند شده بوده و از راهکارهای خودکار (مثلا برنامه های اتوماسیونی و یا اکتیودایرکتوری) برای اعطای حق دسترسی مناسب به کارکنان و یا لغو حق دسترسی ثبت شده استفاده می کند.


            روند کنترل و مانیتورینگ مناسبی برای بررسی دسترسی ها به منابع شبکه، داده ها و سیستمها وجود داشته که در صورت کشف نفوذ، می توان فرد خاطی را شناسایی نمود.


            توسعه دهندگان سیستم ها نسبت به استانداردهای امنیتی و روندهای بررسی کیفیت کار، آگاهی کاملی داشته و برای رعایت آنها به خوبی آموزش دیده اند.


            برنامه های حفظ امنیت کاری به صورت مستمر مورد تمرین قرار می گیرند.


            مستندات، برنامه و شرح کار مناسبی برای بررسی میزان انطباق فرآیندهای سازمان با خط مشی های امنیتی تعریف شده وجود دارد.


            از بازرسی و ممیزی خارجی با زمان بندی مناسب برای کشف عدم انطباق نسبت به استانداردها استفاده می گردد.



            در پایان امتیازات ثبت شده را جمع نموده و با اعداد زیر مقایسه کنید:

            امتیاز کمتر از 35: بهتر است که نسبت به ایجاد یک کارگروه مدیریت ریسک در سازمان اقدام نموده و کار آنها را با بررسی یکی از واحدها یا فرآیندهای سازمان آغاز کنید.

            امنیاز 35 تا 50: اقدامات موثر و مفیدی انجام شده است. باید بررسی ریسک را در مابقی فرآیندهای سازمان نیز به انجام برسانید.

            امتیاز بیش از 50: سازمان شما برای استفاده کامل از یک سیستم مدیریت ریسک امنیتی آماده است.


            پ.ن: جهت توضیحات بیشتر در این رابطه می توانید به مستندات سری استانداردهای ISO 27000 و مجموعه Microsoft’s Security Risk Management Guide مراجعه کنید.

            Comment

            Working...
            X