مشاهده نسخه کامل
: MeHrDaD_MeNaY
18-11-2008, 15:22
تاريخچه استاندارد
منشاء استاندارد British Standard BS7799 به زمان تاسيس مركز Commercial ComputerSecurityCenter و شكلگيري بخش Industry (DTI) UK Department of Trade and در سال 1987برمي گردد. اين مركز به منظور تحقق دو هدف تشكيل گرديد. اول تعريف معيارهايي بين المللي براي ارزيابي ميزان امنيت تجهيزات توليدشده توسط سازندگان تجهيزات امنيتي، به منظور ارائه تاييديه هاي مربوطه بود و دوم كمك به كاربران براي اين منظور [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
شكل 1
مركز CCSC در سال 1989 اقدام به انتشار كدهايي براي سنجش ميزان امنيت نمود كه به “Users Code of Practice” معروف گرديد. چندي بعد، اجرايي بودن اين كدها از ديدگاه كاربر، توسط مركز محاسبات بين المللي NCC و يك كنسرسيوم از كاربران كه به طور كلي از صاحبان صنايع در انگلستان بودند مورد بررسي قرار گرفت. اولين نسخه اين استاندارد به عنوان مستندات راهبري PD 0003 در انگلستان منتشر گرديد. در سال 1995 اين استاندارد با عنوان BS7799 منشر گرديد و قسمت دوم آن نيز در فوريه سال 1998 به آن اضافه گرديد. اين قسمت مفهوم سيستم مديريت امنيت اطلاعات (Information Security Management System (ISMS را بهوجود آورد. اين سيستم ISMS به مديران اين امكان را مي دهد تا بتوانند امنيت سيستم هاي خود را با حداقل نمودن ريسكهاي تجاري كنترل نمايند. نسخه بازنگري شده اين استاندارد در سال 1995 به عنوان استاندارد ISO ثبت گرديد. در مجمعي كه راي موافق به ثبت اين استاندارد به عنوان استاندارد ISO داده بودند، كشورهايي نظير استراليا و نيوزلند با اندكي تغيير، آن را در كشور خود با عنوان AS/NZS4444 منتشر نمودند. طي سالهاي 1999 تا 2002 بازنگريهاي زيادي روي اين استاندارد صورت پذيرفت. در سال 2000 با افزودن الحاقيههايي به استاندارد BS7799 كه به عنوان يك استاندارد ISO ثبت شده بود، اين استاندارد تحتعنوان استاندارد ISO/IEC17799 به ثبت رسيد.
نسخه جديد و قسمت دوم اين استاندارد در سال 2002 به منظور ايجاد هماهنگي بين اين استاندارد مديريتي و ساير استانداردهاي مديريتي نظير 9001 ISO و 14001 ISO تدوين گرديد. اين قسمت براي ارزيابي ميزان موثربودن سيستم ISMS در يك سازمان مدل (Plan-Do-Check-Act (PDCA را همانگونه كه در شكل يك نشان داده شده است ارائه مي نمايد.
نحوه عملكرد استاندارد BS 7799
در راستاي تحقق دومين هدف پيدايش اين استاندارد كه به آن اشاره شد، يعني كمك به كاربران سرفصلهايي براي نحوه پياده سازي امنيت در يك سازمان كه در حقيقت يك كاربر سيستم هاي امنيتي مي باشد، تعيين شده است كه عبارتند از:
● تعيين مراحل ايمن سازي و نحوه شكل گيري چرخه امنيت
● جزييات مراحل ايمن سازي و تكنيكهاي فني مورد استفاده در هر مرحله
● ليست و محتواي طرح ها و برنامه هاي امنيت اطلاعات مورد نياز سازمان
● ضرورت و جزييات ايجاد تشكيلات سياستگذاري، اجرايي و فني تامين امنيت
● كنترلهاي امنيتي مورد نياز براي هر يك از سيستم هاي اطلاعاتي و ارتباطي
● تعريف سياستهاي امنيت اطلاعات
● تعريف قلمرو سيستم مديريت امنيت اطلاعات و مرزبندي آن متناسب با نوع نيازهاي سازمان
● انجام و پذيرش برآورد مخاطرات، متناسب با نيازهاي سازمان
● پيش بيني زمينه ها و نوع مخاطرات بر اساس سياستهاي امنيتي تدوين شده
● انتخاب هدفهاي كنترل و كنترلهاي مناسب كه قابل توجيه باشند، از ليست كنترلهاي همه جانبه
● تدوين دستورالعمل هاي عملياتي
مديريت امنيت شبكه
به منظور تعيين اهداف امنيت، ابتدا بايد سرمايههاي مرتبط با اطلاعات و ارتباطات سازمان، شناسايي شده و سپس اهداف تامين امنيت براي هريك از سرمايهها، مشخص شود.سرمايههاي مرتبط با شبكه سازمان عبارتند از: سخت افزار، نرمافزار، اطلاعات، ارتباطات، كاربران.
اهداف امنيتي سازمانها بايد به صورت كوتاهمدت و ميانمدت تعيين گردد تا امكان تغيير آنها متناسب با تغييرات تكنولوژيها و استانداردهاي امنيتي وجود داشته باشد. عمده اهداف كوتاه مدت در خصوص پيادهسازي امنيت در يك سازمان عبارتند از:
- جلوگيري از حملات و دسترسيهاي غيرمجاز عليه سرمايه هاي شبكه
- مهار خسارتهاي ناشي از ناامني موجود در شبكه
- كاهش رخنه پذيري
اهداف ميانمدت نيز عمدتاً عبارتند از:
- تامين صحت عملكرد، قابليت دسترسي براي نرمافزارها و سختافزارها و محافظت فيزيكي صرفاً براي
سخت افزارها
- تامين محرمانگي، صحت و قابليت دسترسي براي ارتباطات و اطلاعات متناسب با طبقه بندي آنها از
حيث محرمانگي و حساسيت
- تامين قابليت تشخيص هويت، حدود اختيارات و پاسخگويي، حريم خصوصي و آگاهيرساني امنيتي براي
كاربران شبكه، متناسب با طبقهبندي اطلاعات قابل دسترس و نوع كاربران
تهديدهاي امنيتي
تهديدهاي بالقوه براي امنيت شبكههاي كامپيوتري به صورت عمده عبارتند از:
● فاش شدن غيرمجاز اطلاعات در نتيجه استراقسمع دادهها يا پيامهاي در حال مبادله روي شبكه
● قطع ارتباط و اختلال در شبكه به واسطه يك اقدام خرابكارانه
● تغيير و دستكاري غير مجاز اطلاعات يا يك پيغام ارسالشده براي جلوگيري از اين صدمات بايد سرويسهاي امنيتي زير در شبكههاي كامپيوتري ارائه شود و زماني كه يكي از سرويسهاي امنيتي نقص شود بايستي تمامي تدابير امنيتي لازم براي كشف و جلوگيري رخنه در نظر گرفته شود:
● محرمانه ماندن اطلاعات
● احراز هويت فرستنده پيغام
● سلامت دادهها در طي انتقال يا نگهداري
● كنترل دسترسي و امكان منع افرادي كه براي دسترسي به شبكه قابل اعتماد نمي باشد.
● در دسترس بودن تمام امكانات شبكه براي افراد مجاز و عدم امكان اختلال در دسترسي
مراحل پياده سازي امنيت
براي پيادهسازي يك سيستم امنيتي مناسب مراحل زير بايستي انجام گردد:
1- برآورد نيازهاي امنيتي شبكه
بر اساس نوع شبكه طراحي شده، نوع استفاده از آن و كاربردهاي مختلف آن نيازهاي امنيتي شبكه بايستي بررسي گردد. اين نيازها بر اساس انواع سرويسهايي كه شبكه ارائه ميدهد گسترش مي يابد.
2- اتخاد سياستهاي امنيتي لازم
در اين مرحله سياستها و تدابير امنيتي لازم اتخاذ مي شود. اين تدابير براي پاسخ به نيازهايي خواهد بود كه در مرحله قبل براي شبكه برآورد شده است.
3- ارائه طرح امنيتي شبكه
بر اساس نيازها و سياستهاي برآورده كننده آنها، طرحي از سياست كلي شبكه ارائه مي شود، بهطوري كه تمامي نيازهاي شبكه برآورده شود و در طرح جامع و مانعي كه تهيه شده است هيچ تداخلي وجود نداشته باشد.
4- پياده سازي و تست
در اين مرحله تجهيزات و سيستم هاي لازم براي طرح انتخاب ميشود. تنظيمات كليه سيستمها پس از تجزيه و تحليل كافي استخراج ميشوند. براي تست طرح پياده سازي شده، دسترسيها و امكانات رخنه تستشده و در صورت خطا راهكارهاي پيشگيري بهكار گرفته مي شود.
5- مديريت امنيت
اين مرحله كه پس از اتمام پيادهسازي انجام ميشود شامل تمامي مسائل مديريتي امنيت شبكه ميباشد. در اين مرحله روشهاي مقابله با تهاجم با روش جديد بايد بهكار گرفته شود و تغييراتي را كه در اثر گذشت زمان در امنيت شبكه روي ميدهند تحت كنترل گرفته شوند.
اجراي سيستم امنيتي
به منظور اجراي يك سيستم امنيتي شبكه و ارائه قابليتهاي بروز امنيتي درشبكه، روال هاي زير بايستي توسط سازمان به صورت مداوم در شبكه اعمال شود:
●تعيين سياستهاي امنيتي شبكه
در اين قسمت تمامي فرامين و دستورات امنيتي لازم براي فايروالها و سيستم هاي تشخيص تهاجم توسط ابزارهاي خاص استخراج مي گردد.
●اعمال سياستهاي امنيتي شبكه
دستورات امنيتي تهيهشده براي استفاده در تجهيزات و سرويسهاي ارائه شده براي امنيت در شبكه پياده سازي ميشوند.
●بررسي بلادرنگ وضعيت امنيت شبكه
پس از پيادهسازي سياستهاي امنيتي، با استفاده از سيستم هاي بلادرنگ تهاجم (IDS) و يا سيستمهاي آناليز فايلهاي Log و تشخيص Offline تهاجم، كليه دسترسيهاي غيرمجاز انجام شده به شبكه و عبور از سيستم امنيتي تشخيص دادهشده و در فايلهاي Log خروجي ذخيره ميشوند.
●بازرسي و تست امنيت شبكه
در اين قسمت با استفاده از ابزارهاي امنيتي، كليه پورتها و سرويسهاي شبكه و يا محلهاي رخنه به شبكه بازرسي شده و اطلاعات مربوطه در فايل Log مربوطه قرار ميگيرند. همچنين در اين قسمت با استفاده از يك سري از ابزارها، به تحليل اطلاعات پرداخته ميشود و نتايج حاصل از آنها براي مرحله بعدي نگهداري مي شود.
●بهبود روشهاي امنيت شبكه
به منظور بهبود عملكرد سيستم امنيتي شبكه، از نتايج حاصل از دو قسمت قبل استفاده ميشود و تغييراتي كه از اين بررسيها نتيجه ميشود، در سياستهاي امنيتي شبكه اعمال مي گردد.
تشكيلات اجرائي امنيت
براي پياده سازي يك سيستم امنيتي پويا، وجود تشكيلات امنيتي متناسب با نيازهاي امنيتي سازمان لازم و ضروري مي باشد. گروههاي كاري لازم براي اينكه امور امنيتي يك شبكه به نحو احسن اداره شود عبارتند از:
● سياست امنيت
وظايف اين قسمت تدوين سياست امنيتي و بازنگري و اصلاح سياست امنيتي در صورت پيشنهاد گروه مديريت امنيتي ميباشد. قسمت سياست امنيتي هماهنگي تشكيل جلسات گروه سياستگذاري امنيتي را از قسمت مديريت امنيتي دريافت كرده و طبق آن عمل مي كند و نتايج حاصله را به مديريت امنيتي تحويل مي دهد.
● مركز هماهنگي واطلاع رساني
مركز هماهنگي تمامي گزارشها را از بخشهاي مختلف جمع آوري كرده و در واقع نقش رابط بين قسمتها را بازي ميكند. اين مركز بيشتر مانند واسط اصلي بين قسمتها و بخش مديريتي عمل مي كند و تغييرات و پيشنهادات گروه مديريتي را به گروههاي كاري منعكس ميكنند. وظايف اين قسمت دريافت اطلاعات و گزارش از گروههاي پائينتر، پردازش و دستهبندي آنها، ثبت اطلاعات، ارسال نتايج به گروه مديريت امنيتي، دريافت تغييرات (تغيير سياست امنيتي) از گروه مديريت امنيتي، ثبت اطلاعات و ارسال آن براي گروههاي پائينتر، تشكيل بانكاطلاعاتي حاوي آسيبپذيريها و پيكربندي امن تجهيزات و سرويسهاي شبكه، نگهداري آمار و گزارش حملات انجام شده و واكنش گروههاي مرتبط و ارائه مشاوره در زمينه خريد تجهيزات، آناليز ريسك و ... مي باشد.
● تشخيص و مقابله باحوادث
وظيفه اين قسمت شناسايي و مقابله با حملات و دسترسيهاي غيرمجاز ميباشد و داراي بخش آمادهسازي به منظور تعيين روند و سياست سازماني جهت شناسايي، تعيين منابع اطلاعاتي جهت شناسايي تهاجم، تهيه بانكاطلاعاتي حاوي الگوهاي حملات شناخته شده ، مديريت مكانيزم هاي ثبت اطلاعات، پشتيباني سيستم و دريافت گزارشات و توصيههاي گروه هماهنگي و اطلاع رساني، بخش كشف تهاجم به منظور نظارت بر فعاليتهاي شبكه، نظارت بر فعاليتهاي سيستم، بازرسي فايلها و دايركتوريها، جستجوي اتصالات غيرقانوني به شبكه، بازرسي منابع فيزيكي و دريافت و پردازش گزارشات كاربران، بخش پاسخگويي به تهاجم به منظور آناليز گزارش، انتقال اطلاعات حادثه و روند آن به بخشهاي لازم، بهكارگيري سريعترين راهكارها جهت قطع حمله، جلوگيري از وقوع دوباره حمله، بازيابي سيستم به حالت عادي و تعيين خسارت و در انتها بخش تحقيقات به منظور شناخت انواع حملات، دريافت گزارش مقابله ناموفق و تشخيص و مقابله با ويروسها ميباشد.
● تشخيص و مقابله با حوادث خاص
اين قسمت با اجزاي آمادهسازي، كشف و پاسخگويي وظايف مقابله با خطرات ناشي از حوادث و پيشگيري از برخي حوادث محتمل را به عهده دارد. اين قسمت گزارشهاي مربوط به مقابله با تهاجم يا ويروس يا حادثه خاص را به قسمت مركز هماهنگي براي ارسال به قسمت مديريتي منتقل ميكند و سياست ها و موارد اضافهشده در برابر حوادث را به عنوان نتيجه دريافت مينمايد.
● بازرسي امنيتي
بخش بازرسي امنيتي وظايف بازرسي تجهيزات امنيتي، بازبيني logها و پيغامها و سيستمهاي پشتيبان و بازرسي شبكه براي ايجاد امنيت در شبكه را برعهده دارد. در اين نوع بازرسيها بايد اجزا و شبكه به صورت خودكار مورد بررسي قرار گيرند.
● نصب و پيكربندي
اين قسمت وظايف پيكربندي امن تجهيزات و سرويسهاي شبكه و نصب و پيكربندي سيستم امنيتي شبكه را به
عهده دارد.
●نگهداري و پشتيباني
اين قسمت وظايف محافظت و پشتيباني از كليه تجهيزات و اطلاعات امنيتي، نگهداري و ثبت تجهيزات، گزارش هشدارهاي خودكار، عيبيابي شبكه و ارائه سرويس لازم و آمارگيري شبكه را بهعهده دارد.
آينده استاندارد BS7799
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
شكل 2
استاندارد 17799 ISO/IEC كه در سال 2000 به عنوان يك استاندارد معتبر توسط ISO پذيرفته شد، در حال بازنگري است و تخمين زده شده كه تا اواسط سال 2005 اين بازنگري تكميل خواهد شد. اصليترين تغييري كه انتظار ميرود در آن انجام گيرد، تغيير در ساختار كنترلها ميباشد. اين تغييرات به منظور توصيف بهتر سيستمهاي كنترلي، نحوه عملكرد آنها و روابط بين سيستمهاي امنيت اطلاعات، صورت ميپذيرد. نمودار زير ميزان استفاده از اين استاندارد را تا سال 2004 در جهان نشان ميدهد. (شكل2)
آيا قسمت سومي براي استاندارد 7799 BS تدوين خواهد شد؟
اگر قرار است قسمت سومي براي اين استاندارد تدوين گردد، اين قسمت شامل چه مواردي مي باشد؟ نكته قابل اشاره در اين زمينه مقايسه اين استاندارد با استاندارد ISO9000 ميباشد. قسمت سوم استاندارد BS7799 در حقيقت توسعه سيستم ISMS ميباشد. درست مانند تغييرات ايجاد شده در استاندارد ISO9004 در مقايسه با نسخه هاي قبلي آن.
نتيجهگيري
اين نوشته قصد داشت كه BS7799 را به عنوان استانداردهاي جهاني براي ايمنسازي شبكهها معرفي كند و توجه خواننده را به اين موضوع جلب نمايد كه برقراري امنيت در سازمان، بايستي در همه ابعاد آن صورت گيرد. توجه به چنين استانداردي و شناخت آن، باعث ميشود كه بحث موضوعات پيشرفتهتري نظير برپايي مراكز امنيت شبكه
(Security Operating Center:SOC) ملموستر و دست يافتنيتر به نظر برسند.
منشاء استاندارد British Standard BS7799 به زمان تاسيس مركز Commercial ComputerSecurityCenter و شكلگيري بخش Industry (DTI) UK Department of Trade and در سال 1987برمي گردد. اين مركز به منظور تحقق دو هدف تشكيل گرديد. اول تعريف معيارهايي بين المللي براي ارزيابي ميزان امنيت تجهيزات توليدشده توسط سازندگان تجهيزات امنيتي، به منظور ارائه تاييديه هاي مربوطه بود و دوم كمك به كاربران براي اين منظور [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
شكل 1
مركز CCSC در سال 1989 اقدام به انتشار كدهايي براي سنجش ميزان امنيت نمود كه به “Users Code of Practice” معروف گرديد. چندي بعد، اجرايي بودن اين كدها از ديدگاه كاربر، توسط مركز محاسبات بين المللي NCC و يك كنسرسيوم از كاربران كه به طور كلي از صاحبان صنايع در انگلستان بودند مورد بررسي قرار گرفت. اولين نسخه اين استاندارد به عنوان مستندات راهبري PD 0003 در انگلستان منتشر گرديد. در سال 1995 اين استاندارد با عنوان BS7799 منشر گرديد و قسمت دوم آن نيز در فوريه سال 1998 به آن اضافه گرديد. اين قسمت مفهوم سيستم مديريت امنيت اطلاعات (Information Security Management System (ISMS را بهوجود آورد. اين سيستم ISMS به مديران اين امكان را مي دهد تا بتوانند امنيت سيستم هاي خود را با حداقل نمودن ريسكهاي تجاري كنترل نمايند. نسخه بازنگري شده اين استاندارد در سال 1995 به عنوان استاندارد ISO ثبت گرديد. در مجمعي كه راي موافق به ثبت اين استاندارد به عنوان استاندارد ISO داده بودند، كشورهايي نظير استراليا و نيوزلند با اندكي تغيير، آن را در كشور خود با عنوان AS/NZS4444 منتشر نمودند. طي سالهاي 1999 تا 2002 بازنگريهاي زيادي روي اين استاندارد صورت پذيرفت. در سال 2000 با افزودن الحاقيههايي به استاندارد BS7799 كه به عنوان يك استاندارد ISO ثبت شده بود، اين استاندارد تحتعنوان استاندارد ISO/IEC17799 به ثبت رسيد.
نسخه جديد و قسمت دوم اين استاندارد در سال 2002 به منظور ايجاد هماهنگي بين اين استاندارد مديريتي و ساير استانداردهاي مديريتي نظير 9001 ISO و 14001 ISO تدوين گرديد. اين قسمت براي ارزيابي ميزان موثربودن سيستم ISMS در يك سازمان مدل (Plan-Do-Check-Act (PDCA را همانگونه كه در شكل يك نشان داده شده است ارائه مي نمايد.
نحوه عملكرد استاندارد BS 7799
در راستاي تحقق دومين هدف پيدايش اين استاندارد كه به آن اشاره شد، يعني كمك به كاربران سرفصلهايي براي نحوه پياده سازي امنيت در يك سازمان كه در حقيقت يك كاربر سيستم هاي امنيتي مي باشد، تعيين شده است كه عبارتند از:
● تعيين مراحل ايمن سازي و نحوه شكل گيري چرخه امنيت
● جزييات مراحل ايمن سازي و تكنيكهاي فني مورد استفاده در هر مرحله
● ليست و محتواي طرح ها و برنامه هاي امنيت اطلاعات مورد نياز سازمان
● ضرورت و جزييات ايجاد تشكيلات سياستگذاري، اجرايي و فني تامين امنيت
● كنترلهاي امنيتي مورد نياز براي هر يك از سيستم هاي اطلاعاتي و ارتباطي
● تعريف سياستهاي امنيت اطلاعات
● تعريف قلمرو سيستم مديريت امنيت اطلاعات و مرزبندي آن متناسب با نوع نيازهاي سازمان
● انجام و پذيرش برآورد مخاطرات، متناسب با نيازهاي سازمان
● پيش بيني زمينه ها و نوع مخاطرات بر اساس سياستهاي امنيتي تدوين شده
● انتخاب هدفهاي كنترل و كنترلهاي مناسب كه قابل توجيه باشند، از ليست كنترلهاي همه جانبه
● تدوين دستورالعمل هاي عملياتي
مديريت امنيت شبكه
به منظور تعيين اهداف امنيت، ابتدا بايد سرمايههاي مرتبط با اطلاعات و ارتباطات سازمان، شناسايي شده و سپس اهداف تامين امنيت براي هريك از سرمايهها، مشخص شود.سرمايههاي مرتبط با شبكه سازمان عبارتند از: سخت افزار، نرمافزار، اطلاعات، ارتباطات، كاربران.
اهداف امنيتي سازمانها بايد به صورت كوتاهمدت و ميانمدت تعيين گردد تا امكان تغيير آنها متناسب با تغييرات تكنولوژيها و استانداردهاي امنيتي وجود داشته باشد. عمده اهداف كوتاه مدت در خصوص پيادهسازي امنيت در يك سازمان عبارتند از:
- جلوگيري از حملات و دسترسيهاي غيرمجاز عليه سرمايه هاي شبكه
- مهار خسارتهاي ناشي از ناامني موجود در شبكه
- كاهش رخنه پذيري
اهداف ميانمدت نيز عمدتاً عبارتند از:
- تامين صحت عملكرد، قابليت دسترسي براي نرمافزارها و سختافزارها و محافظت فيزيكي صرفاً براي
سخت افزارها
- تامين محرمانگي، صحت و قابليت دسترسي براي ارتباطات و اطلاعات متناسب با طبقه بندي آنها از
حيث محرمانگي و حساسيت
- تامين قابليت تشخيص هويت، حدود اختيارات و پاسخگويي، حريم خصوصي و آگاهيرساني امنيتي براي
كاربران شبكه، متناسب با طبقهبندي اطلاعات قابل دسترس و نوع كاربران
تهديدهاي امنيتي
تهديدهاي بالقوه براي امنيت شبكههاي كامپيوتري به صورت عمده عبارتند از:
● فاش شدن غيرمجاز اطلاعات در نتيجه استراقسمع دادهها يا پيامهاي در حال مبادله روي شبكه
● قطع ارتباط و اختلال در شبكه به واسطه يك اقدام خرابكارانه
● تغيير و دستكاري غير مجاز اطلاعات يا يك پيغام ارسالشده براي جلوگيري از اين صدمات بايد سرويسهاي امنيتي زير در شبكههاي كامپيوتري ارائه شود و زماني كه يكي از سرويسهاي امنيتي نقص شود بايستي تمامي تدابير امنيتي لازم براي كشف و جلوگيري رخنه در نظر گرفته شود:
● محرمانه ماندن اطلاعات
● احراز هويت فرستنده پيغام
● سلامت دادهها در طي انتقال يا نگهداري
● كنترل دسترسي و امكان منع افرادي كه براي دسترسي به شبكه قابل اعتماد نمي باشد.
● در دسترس بودن تمام امكانات شبكه براي افراد مجاز و عدم امكان اختلال در دسترسي
مراحل پياده سازي امنيت
براي پيادهسازي يك سيستم امنيتي مناسب مراحل زير بايستي انجام گردد:
1- برآورد نيازهاي امنيتي شبكه
بر اساس نوع شبكه طراحي شده، نوع استفاده از آن و كاربردهاي مختلف آن نيازهاي امنيتي شبكه بايستي بررسي گردد. اين نيازها بر اساس انواع سرويسهايي كه شبكه ارائه ميدهد گسترش مي يابد.
2- اتخاد سياستهاي امنيتي لازم
در اين مرحله سياستها و تدابير امنيتي لازم اتخاذ مي شود. اين تدابير براي پاسخ به نيازهايي خواهد بود كه در مرحله قبل براي شبكه برآورد شده است.
3- ارائه طرح امنيتي شبكه
بر اساس نيازها و سياستهاي برآورده كننده آنها، طرحي از سياست كلي شبكه ارائه مي شود، بهطوري كه تمامي نيازهاي شبكه برآورده شود و در طرح جامع و مانعي كه تهيه شده است هيچ تداخلي وجود نداشته باشد.
4- پياده سازي و تست
در اين مرحله تجهيزات و سيستم هاي لازم براي طرح انتخاب ميشود. تنظيمات كليه سيستمها پس از تجزيه و تحليل كافي استخراج ميشوند. براي تست طرح پياده سازي شده، دسترسيها و امكانات رخنه تستشده و در صورت خطا راهكارهاي پيشگيري بهكار گرفته مي شود.
5- مديريت امنيت
اين مرحله كه پس از اتمام پيادهسازي انجام ميشود شامل تمامي مسائل مديريتي امنيت شبكه ميباشد. در اين مرحله روشهاي مقابله با تهاجم با روش جديد بايد بهكار گرفته شود و تغييراتي را كه در اثر گذشت زمان در امنيت شبكه روي ميدهند تحت كنترل گرفته شوند.
اجراي سيستم امنيتي
به منظور اجراي يك سيستم امنيتي شبكه و ارائه قابليتهاي بروز امنيتي درشبكه، روال هاي زير بايستي توسط سازمان به صورت مداوم در شبكه اعمال شود:
●تعيين سياستهاي امنيتي شبكه
در اين قسمت تمامي فرامين و دستورات امنيتي لازم براي فايروالها و سيستم هاي تشخيص تهاجم توسط ابزارهاي خاص استخراج مي گردد.
●اعمال سياستهاي امنيتي شبكه
دستورات امنيتي تهيهشده براي استفاده در تجهيزات و سرويسهاي ارائه شده براي امنيت در شبكه پياده سازي ميشوند.
●بررسي بلادرنگ وضعيت امنيت شبكه
پس از پيادهسازي سياستهاي امنيتي، با استفاده از سيستم هاي بلادرنگ تهاجم (IDS) و يا سيستمهاي آناليز فايلهاي Log و تشخيص Offline تهاجم، كليه دسترسيهاي غيرمجاز انجام شده به شبكه و عبور از سيستم امنيتي تشخيص دادهشده و در فايلهاي Log خروجي ذخيره ميشوند.
●بازرسي و تست امنيت شبكه
در اين قسمت با استفاده از ابزارهاي امنيتي، كليه پورتها و سرويسهاي شبكه و يا محلهاي رخنه به شبكه بازرسي شده و اطلاعات مربوطه در فايل Log مربوطه قرار ميگيرند. همچنين در اين قسمت با استفاده از يك سري از ابزارها، به تحليل اطلاعات پرداخته ميشود و نتايج حاصل از آنها براي مرحله بعدي نگهداري مي شود.
●بهبود روشهاي امنيت شبكه
به منظور بهبود عملكرد سيستم امنيتي شبكه، از نتايج حاصل از دو قسمت قبل استفاده ميشود و تغييراتي كه از اين بررسيها نتيجه ميشود، در سياستهاي امنيتي شبكه اعمال مي گردد.
تشكيلات اجرائي امنيت
براي پياده سازي يك سيستم امنيتي پويا، وجود تشكيلات امنيتي متناسب با نيازهاي امنيتي سازمان لازم و ضروري مي باشد. گروههاي كاري لازم براي اينكه امور امنيتي يك شبكه به نحو احسن اداره شود عبارتند از:
● سياست امنيت
وظايف اين قسمت تدوين سياست امنيتي و بازنگري و اصلاح سياست امنيتي در صورت پيشنهاد گروه مديريت امنيتي ميباشد. قسمت سياست امنيتي هماهنگي تشكيل جلسات گروه سياستگذاري امنيتي را از قسمت مديريت امنيتي دريافت كرده و طبق آن عمل مي كند و نتايج حاصله را به مديريت امنيتي تحويل مي دهد.
● مركز هماهنگي واطلاع رساني
مركز هماهنگي تمامي گزارشها را از بخشهاي مختلف جمع آوري كرده و در واقع نقش رابط بين قسمتها را بازي ميكند. اين مركز بيشتر مانند واسط اصلي بين قسمتها و بخش مديريتي عمل مي كند و تغييرات و پيشنهادات گروه مديريتي را به گروههاي كاري منعكس ميكنند. وظايف اين قسمت دريافت اطلاعات و گزارش از گروههاي پائينتر، پردازش و دستهبندي آنها، ثبت اطلاعات، ارسال نتايج به گروه مديريت امنيتي، دريافت تغييرات (تغيير سياست امنيتي) از گروه مديريت امنيتي، ثبت اطلاعات و ارسال آن براي گروههاي پائينتر، تشكيل بانكاطلاعاتي حاوي آسيبپذيريها و پيكربندي امن تجهيزات و سرويسهاي شبكه، نگهداري آمار و گزارش حملات انجام شده و واكنش گروههاي مرتبط و ارائه مشاوره در زمينه خريد تجهيزات، آناليز ريسك و ... مي باشد.
● تشخيص و مقابله باحوادث
وظيفه اين قسمت شناسايي و مقابله با حملات و دسترسيهاي غيرمجاز ميباشد و داراي بخش آمادهسازي به منظور تعيين روند و سياست سازماني جهت شناسايي، تعيين منابع اطلاعاتي جهت شناسايي تهاجم، تهيه بانكاطلاعاتي حاوي الگوهاي حملات شناخته شده ، مديريت مكانيزم هاي ثبت اطلاعات، پشتيباني سيستم و دريافت گزارشات و توصيههاي گروه هماهنگي و اطلاع رساني، بخش كشف تهاجم به منظور نظارت بر فعاليتهاي شبكه، نظارت بر فعاليتهاي سيستم، بازرسي فايلها و دايركتوريها، جستجوي اتصالات غيرقانوني به شبكه، بازرسي منابع فيزيكي و دريافت و پردازش گزارشات كاربران، بخش پاسخگويي به تهاجم به منظور آناليز گزارش، انتقال اطلاعات حادثه و روند آن به بخشهاي لازم، بهكارگيري سريعترين راهكارها جهت قطع حمله، جلوگيري از وقوع دوباره حمله، بازيابي سيستم به حالت عادي و تعيين خسارت و در انتها بخش تحقيقات به منظور شناخت انواع حملات، دريافت گزارش مقابله ناموفق و تشخيص و مقابله با ويروسها ميباشد.
● تشخيص و مقابله با حوادث خاص
اين قسمت با اجزاي آمادهسازي، كشف و پاسخگويي وظايف مقابله با خطرات ناشي از حوادث و پيشگيري از برخي حوادث محتمل را به عهده دارد. اين قسمت گزارشهاي مربوط به مقابله با تهاجم يا ويروس يا حادثه خاص را به قسمت مركز هماهنگي براي ارسال به قسمت مديريتي منتقل ميكند و سياست ها و موارد اضافهشده در برابر حوادث را به عنوان نتيجه دريافت مينمايد.
● بازرسي امنيتي
بخش بازرسي امنيتي وظايف بازرسي تجهيزات امنيتي، بازبيني logها و پيغامها و سيستمهاي پشتيبان و بازرسي شبكه براي ايجاد امنيت در شبكه را برعهده دارد. در اين نوع بازرسيها بايد اجزا و شبكه به صورت خودكار مورد بررسي قرار گيرند.
● نصب و پيكربندي
اين قسمت وظايف پيكربندي امن تجهيزات و سرويسهاي شبكه و نصب و پيكربندي سيستم امنيتي شبكه را به
عهده دارد.
●نگهداري و پشتيباني
اين قسمت وظايف محافظت و پشتيباني از كليه تجهيزات و اطلاعات امنيتي، نگهداري و ثبت تجهيزات، گزارش هشدارهاي خودكار، عيبيابي شبكه و ارائه سرويس لازم و آمارگيري شبكه را بهعهده دارد.
آينده استاندارد BS7799
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
شكل 2
استاندارد 17799 ISO/IEC كه در سال 2000 به عنوان يك استاندارد معتبر توسط ISO پذيرفته شد، در حال بازنگري است و تخمين زده شده كه تا اواسط سال 2005 اين بازنگري تكميل خواهد شد. اصليترين تغييري كه انتظار ميرود در آن انجام گيرد، تغيير در ساختار كنترلها ميباشد. اين تغييرات به منظور توصيف بهتر سيستمهاي كنترلي، نحوه عملكرد آنها و روابط بين سيستمهاي امنيت اطلاعات، صورت ميپذيرد. نمودار زير ميزان استفاده از اين استاندارد را تا سال 2004 در جهان نشان ميدهد. (شكل2)
آيا قسمت سومي براي استاندارد 7799 BS تدوين خواهد شد؟
اگر قرار است قسمت سومي براي اين استاندارد تدوين گردد، اين قسمت شامل چه مواردي مي باشد؟ نكته قابل اشاره در اين زمينه مقايسه اين استاندارد با استاندارد ISO9000 ميباشد. قسمت سوم استاندارد BS7799 در حقيقت توسعه سيستم ISMS ميباشد. درست مانند تغييرات ايجاد شده در استاندارد ISO9004 در مقايسه با نسخه هاي قبلي آن.
نتيجهگيري
اين نوشته قصد داشت كه BS7799 را به عنوان استانداردهاي جهاني براي ايمنسازي شبكهها معرفي كند و توجه خواننده را به اين موضوع جلب نمايد كه برقراري امنيت در سازمان، بايستي در همه ابعاد آن صورت گيرد. توجه به چنين استانداردي و شناخت آن، باعث ميشود كه بحث موضوعات پيشرفتهتري نظير برپايي مراكز امنيت شبكه
(Security Operating Center:SOC) ملموستر و دست يافتنيتر به نظر برسند.