امنیت شبکه

امنیت شبکه

بخش های بسیاری در مجموعه وجود دارند که بروز مشکلات امنیتی و دسترسی به آنها توسط افراد غیر مجاز می تواند باعث بروز مشکلات جدی، اختلال طولانی مدت و در نهایت از کار افتادگی کل مجموعه گردد. اگر چه وظیفه مدیران شبکه و امنیت اطلاعات، رصد و پایش لحظه ای ساختار شبکه و رسیدگی فوری به مشکلات و ضعف های امنیتی شناخته شده مجموعه می باشد، همواره احتمال هک شدن شبکه و دسترسی افراد غیر مجاز  به اطلاعات طبقه بندی شده و یا اختلال در سرویس ها و نرم افزارها وجود دارد و به صفر رساندن این احتمال  غیر ممکن است. بسیاری از مدیران و صاحبان مشاغل بر این اعتقاد هستند که هزینه های مرتبط با ایجاد ساختار ایمن و نگهداری از آن بسیار زیاد می باشد. در راستای همین طرز فکر اشتباه شاهد گروهی از سازمانها، ارگانها، شرکت های دولتی و غیر دولتی هستیم که یا راهکارهای امنیتی درون و برون سازمانی در آنها کلاً پیاده سازی نشده و یا اگر هم قدمی در این جهت برداشته شده است، ناکافی، تاریخ گذشته و بی تناسب با اندازه و ماموریت آن مجموعه می باشد. شایان ذکر است که بر خلاف گروه اول، بسیاری از سازمانها و ارگانها و شرکت های بزرگ و کوچک نیز هستند که به دلیل درک صحیح مدیران و به کار گیری متخصصین کار آزموده و مجرب با نگاهی صحیح به حوزه امنیت فناوری ارتباطات و اطلاعات، اقدام به طراحی و پیاده سازی  و به بکار گیری آخرین تجهیزات، نرم افزارها و استانداردهای امنیتی متناسب با مجموعه خود نموده و همواره در حال پایش و به روز رسانی این ساختار می باشند. گروه دوم را مدیران و متخصصانی مدیریت می کنند که با استناد به آمار و ارقام غیر قابل انکار دریافته اند که هزینه های اولیه و جاری پیاده سازی ساختار صحیح امنیت اطلاعات و ارتباطات بسیار کمتر از ضرر و زیان احتمالی وارده به مجموعه آنها در اثر هک شدن و یا از دست دادن کل یا بخشی از اطلاعات سازمانی است که یا هیچگاه به طور کامل به حالت اول بر نمی گردند و یا نیازمند هزینه های نجومی و صرف زمان بسیار است. 

علاوه بر هزینه های مستقیم مرتبط به بازیافت اطلاعات از دست رفته، هزینه های بی کاری پرسنل و عدم سرویس دهی به مشتریان و به به طور کلی توقف یا کاهش محسوس سرعت سرویس دهی مجموعه را نیز اضافه کنید. بدون هرگونه نیاز به محاسبات پیچیده و استفاده از الگوریتم های خاص، می توان به این نتیجه رسید که هزینه های مربوط به ترمیم خرابی ها پس از وقوع حادثه چندین برابر بیشتر از هزینه یکبار پیاده سازی ساختاری امن و نگهداری صحیح از اطلاعات و منابع سازمانی است. 
در قرن بیست و یکم بسیاری از تعاریف سازمانی دچار تغییرات بنیادین گردیده، یکی از مهم تغییرات در این خصوص موضوع دسته بندی منابع و دارایی های سازمانی است. در تعاریف جدید، از اطلاعات و داده های سازمانی به عنوان یکی از اصلی ترین و گران قیمت ترین دارایی های سازمان یاد می شود. در بسیاری از سازمانها و شرکت ها، هیچ چیز به اندازه اطلاعات آنها و نگهداری بی قید و شرط و ایمن از آن مهم نمی باشد، در چنین سازمانی هایی دارایی های فیزیکی و پرسنلی در مراحل بعدی قرار دارند، زیرا از نگاه آنها، ساختمانها، تجهیزات و نیروی انسانی قابل جایگزین کردن هستند، اما داده های سازمانی که برای بدست تهیه و جمع آوری آنها هزاران نفر ساعت وقت صرف شده و میلیون ها میلیون هزینه شده است را دیگر نمی توان به دست آورد و در اختیار گرفتن آنها توسط افراد غیر مجاز می تواند حتی به نابودی کامل آن مجموعه منتهی گردد. 

پس از مقدمه فوق که با هدف اشاره ای سریع و خلاصه به خطرات موجود در خصوص نادیده گرفتن امنیت اطلاعات و ارتباطات تهیه گردیده، راهکارهایی که می تواند به طور محسوس خطرات فوق را کاهش دهند و ریسک استفاده از فناوری ارتباطات و اطلاعات را به حداقل برسانند مطرح گردیده است. شرکت ایمن کاوان به عنوان یکی از قدیمی ترین شرکت های فعال در حوزه امنیت اطلاعات، طی پانزده سال گذشته افتخار سرویس دهی و اجرای بزرگترین پروژه های کشوری و استانی را به کارفرمایان خود داشته است. همکاران ما در شرکت ایمن کاوان با داشتن درک کامل از مخاطرات و تهدید های حوزه فناوری اطلاعات و ارتباطات و با اتکا به توان علمی، مدارک بین اللملی و سالها تجربه در این حوزه، آمادگی دارند تا در کلیه لایه های شبکه، امنیت مطلوب کارفرما را با در نظر گرفتن کلیه جوانب و ملاحضات موجود فراهم نمایند. به طور کلی ارتقای کیفی سطح امنیت یک سازمان  از فاز شناخت و مستند سازی شروع شده و پس از گذراندن مراحل میانی در نهایت به اجرا، تست و مستند سازی ختم می گردد. مراحل اجرای یک پروژه امنیتی به طور کل شامل موارد زیر می باشد. خواهشمند است در صورت تمایل به  همکاری و استفاده از خدمات شرکت ایمن کاوان در هر یک از موارد زیر، درخواست خود را به بخش مربوطه ایمیل و یا فکس فرمایید، همکاران ما در اولین زمان با شما تماس خواهند گرفت. 




فاز صفر: بررسی و شناخت سازمان
از نگاه ما،  این فاز اصلی ترین مرحله در کل پروژه محسوب می گردد. در این فاز که شامل شناخت کامل مجموعه، شناخت و بررسی اولویت ها، ارزش گذاری داده ها و اطلاعات سازمانی، آشنایی با تهدیدات گذشته، حال و آینده ، بررسی سطح دانش پایه کاربران و مدیران سازمان و آشنایی آنها با مخاطرات و تهدیدهای حوزه فناوری اطلاعات، آشنایی با روش ها و دستور العمل های اداری، مالی و اجرایی سازمان ، آشنایی با ارتباطات درون سازمانی و برون سازمانی، بررسی دقیق زیرساخت های ارتباطی، شناخت و مستندسازی کلیه تجهیزات سخت افزاری و نرم افزاری سازمان، آشنایی با روش های پشتیبان گیری، سایت های پشتیبان و سرویس های افزونه (در صورت پیاده سازی)، بررسی دقیق بودجه سازمانی برای حوزه فناوری اطلاعات و ارتباطات و مشخص نمودن درصد اختصاص داده شده به امنیت اطلاعات و ... می باشد، همکاران ما روزها، هفته ها و در بسیاری از موارد ماه ها مشغول جمع آوری اطلاعات و آنالیز اطلاعات دریافتی خواهند بود. هرچه شناخت ما در این فاز از مجموعه کامل تر و جامع تر باشد، راهکارهای ارایه شده در بخش طراحی نیز دقیق تر و بی نقص تر خواهند بود، لذا هر چه بیشتر در این فاز سرمایه گذاری کنید، نتیجه نهایی کامل تر و مطلوب تر خواهد بود. 




فاز یک: تجزیه و تحلیل کامل اطلاعات بدست آمده در فاز صفر
در این فاز کلیه اطلاعت بدست آمده از سازمان به صورت مجزا و طبقه بندی شده وارد فاز تجزیه و تحلیل می گردد. به عنوان مثال اطلاعات بدست آمده از لایه کاربران و مشکلات امنیتی مشاهده شده در این سطح که در اکثر مواقع مربوط به دسترسی به نرم افزارها، کنترل ورودی و خروجی کامپیوترها و استفاده کاربران از اینترنت و شبکه های مجازی است، می بایست در سطحی متفاوت نسبت به نگرانی های امنیتی لایه سرویس های شبکه و یا مدیران مجموعه مورد بررسی و آنالیز قرار گیرند. در این فاز که نهایتا می تواند تا ده لایه مختلف گسترش پیدا کند، پس از شناخت کامل سازمان و بخش های متعدد آن، آشنایی با خطرات بالقوه و بالفعل سازمان، بررسی حوادث گذشته و اثرات به جا مانده، تعیین سطح دانش عمومی کاربران و مدیران در خصوص موارد مرتبط با امنیت شبکه و اطلاعات، شناسایی دقیق نرم افزارها و برگزاری جلسات تخصصی با شرکت های تولید کننده آنها، بررسی و مستند سازی کامل تجیزات سخت افزاری و نرم افزاری و توپولوژی شبکه و همچنین کلیه ارتباطات درون و برون سازمانی و بستر های ارتباطی که در حال حاضر سازمان از آنها استفاده می کند و یا در نظر دارد در آینده از آنها استفاده کند و ... نخست تعداد سطوح امنیتی مورد نیاز سازمان مشخص می گردد و سپس در هر سطح گزارشات نهایی به همراه کلیه مستندات و اطلاعات مورد نیاز جهت ارایه به متخصصین بخش طراحی تهیه و ارایه خواهند گشت. همانطور که پیشتر نیز مطرح گردید، فاز بررسی و تجزیه و تحلیل اطلاعات، بیشتر زمان را به نسبت سایر فازهای پروژه به خود اختصاص خواهند داد و متوسط زمانبندی شرکت ایمن کاوان نشان می دهد که تا 67% از زمان کل پروژه ممکن است به این دو فاز تعلق گیرد. پس از اتمام این فاز کلیه اسناد و گزارشات نخست می بایست به تایید تیم مدیریت کارفرما رسیده و پس از دریافت تاییدیه های نهایی، برای بخش طراحی ارسال خواهند شد.




فاز دو
: طراحی و ارایه راهکارهای جامع امنیت اطلاعات
استفاده از 28 الگوی امنیتی منحصر به فرد که توسط متخصصان شرکت ایمن کاوان طراحی و در طول سالیان سال تکمیل گردیده است، می توانند به طور صد در صد پاسخگوی تمامی نیازهای امنیتی سازمانها و ارگانهای دولتی و غیر دولتی کشورمان باشد. چهار چوب های فوق، در شروع پروژه و متناسب با ماهیت و نیازهای پروژه انتخاب شده و سپس متغیر های داخل هر الگو به صورت کاملا انحصاری و بر اساس اطلاعات بدست آمده در فاز قبل، پاسخ داده میشوند. همچنین در بسیاری از موارد از الگوهای ترکیبی نیز برای افزایش سطح امنیت استفاده میگردد که در نهایت با توجه به ترکیب چند راهکار و وارد نمودن اطلاعات خاص سازمان مورد نظر، خروجی این الگوریتم یک ساختار صد در صد منحصر به فرد بوده که به هیچ عنوان مشابه هیچکدام از پروژه های دیگر نبوده و نخواهد بود. نتیجه استفاده از این روش در پروژه های امنیتی شرکت ایمن کاوان، طراحی یک زیرساخت امنیتی با درجه امنیت بسیار بالا خواهد بود که در آن آخرین ملاحضات امنیتی و استانداردهای مرتبط در سطح جهانی لحاظ گردیده است و می تواند تا حد بسیار زیادی خاطر مدیران مجموعه را از بابت نفوذ، دسترسی به اطلاعات سازمانی و ایجاد مشکلات متعدد امنیتی آسوده سازد. در این فاز در نهایت سند جامع امنیت اطلاعات سازمان تهیه گردیده و پس از دریافت کلیه تاییدیه های لازم، جهت برنامه ریزی و پیاده سازی ارسال می گردد. این سند به طور کلی می بایست در بر گیرنده تمام و یا برخی از موارد ذیل باشد که به صورت خلاصه به آنها اشاره گردیده است. 

. فاز بندی کامل مراحل پروژه از برگزاری مناقصات و انتخاب پیمانکاران تا مراحل تست نهایی، مستند سازی و دریافت گواهینامه های مربوطه
. لیست کامل تجهیزات سخت افزاری زیر ساخت به همراه تعداد آنها، مشخصات دقیق سخت افزاری و برند های مورد نظر، محل نصب، زمان نصب، نحوه نصب و شرح کامل تنظیمات مورد نیاز هر یک از دستگاه ها
. لیست کامل نرم افزارهای و لایسنس های مورد نیاز، تعداد آنها و مشخصات دقیق نرم افزاری. تنظیمات نرم افزاری در لایه سرویس های زیرساخت و موارد امنیتی نیز می بایست به صورت کامل در گزارش ذکر گردند. 
. لیست کامل تجهیزات سخت افزای امنیت شبکه مانند تجهیزات نظارتی و کنترل تردد، احراز هویت، فایروالها و ... به همراه مشخصات دقیق سخت افزاری، محل نصب و تنظیمات مد نظر بر روی هر کدام از آنها.
. تهیه اسناد مناقصه با رعایت اصول سازمان طرف قرارداد، برگزاری مناقصات، بررسی پیشنهادات و مشاوره در انتخاب پیمانکاران (در انتخاب پیمانکاران شرکت ایمن کاوان تنها می تواند نقش مشاور را ایفاد کند).
. تهیه و ارایه کلیه تنظیمات امنیتی مد نظر در لایه های مختلف شبکه، مراحل اجرا و فاز بندی آنها به نحوی که در زمان اجرا کمترین تداخل را داشته و همچنین گروه های مختلف بتوانند به صورت موازی فعالیت کنند. 
. تهیه و ارایه طرح جامع تهیه نسخ پشتیبان، سایت های پشتیبان (در صورت درخواست) و سرویس های افزونه و موازی جهت بهینه سازی سرعت و امنیت شبکه به همراه لیست کامل تجهیزات سخت افزاری و نرم افزاری.
. تهیه و ارایه استانداردهای استفاده شده در مراحل طراحی و همچنین فراهم نمودن کلیه چک لیست ها و برنامه سرویس های دوره ای هر یک از تجهیزات سخت افزاری و نرم افزاری و سرویس های زیرساخت. 
. همکاری با مدیران سازمان جهت ممیزی امنیت اطلاعات و اخذ گواهینامه های مربوطه پس از اتمام مراحل پیاده سازی و تست. ممیزی شبکه توسط شرکت ثالت می بایست به انجام برسد. 
. تهیه و ارایه کلیه استانداردهای مد نظر جهت مستند سازی بخش های مختلف امنیتی که در نهایت توسط متخصصین داخلی سازمان و یا پیمانکاران منتخب نصب و راه اندازی گردیده است. 
. تهیه و ارایه کلیه دستور العمل ها و مقررات جدید درون سازمانی برای بخش های گوناگون و سطوح امنیتی مختلف. به عنوان مثال از نحوه ابطال اوراق و اسناد سازمانی گرفته تا تهیه نسخ پشتیبان و معدوم کردن اطلاعات و ...
. تهیه و ارایه برنامه جامع آموزشی برای کلیه سطوح سازمانی با ذکر محتوا، زمان دوره، آزمون های مربوطه و همچین مدت زمانی که هر دوره می بایست به روز شده و مجددا به گروه های مختلف آموزش داده شود. 
. تهیه و ارایه الزامات مد نظر جهت تحویل پروژه ها از پیمانکاران منتخب، نحوه محاسبه و شروع زمان گارانتی تجهیزات سخت افزاری و نرم افزاری و به طور کلی چهار چوب انتقال از مرحله پیاده سازی به بهره برداری. 

همانطور که مشاهده می کنید، این فاز در برگیرنده صدها و یا هزاران صفحه گزارشات، تنظیمات، دستور العمل ها، مقررات و ... امنیتی است که می بایست توسط طراحان با دقت و در نظر گرفتن کلیه نیازهای سازمان در کنار هم قرار گیرند. 




فاز سوم: پیاده سازی و راه اندازی طراح نهایی شده در فاز دوم

در این بخش، طرح نهایی که در مراحل قبلی تهیه و به تایید کارفرما رسیده است، وارد فاز پیاده سازی و راه اندازی می گردد. فارغ از اینکه طرح فوق توسط پرسنل سازمانی پیاده سازی می گردد و یا توسط شرکت های منتخب پیمانکاری، کلیه مراحل اجرای پروژه، زمانبندی ها و استانداردهای مورد استفاده یکسان بوده و در نهایت هر دو روش می بایست به نتیجه ای یکسان ختم گردند. همکاران ما در این فاز علاوه بر همکاری در رفع مشکلات فنی که در زمان اجرای کلیه پروژه ها محتمل است، نظارت دقیق و کاملی بر نحوه پیاده سازی، رعایت دقیق و  بی قید و شرط استانداردها، زمانبندی ها و روش های اجرایی مکتوب در طرح جامع را خواهند داشت. بدیهی است کلیه انحرافات، عدم تطابق ها و مشکلات به وجود آمده در طول اجرای پروژه به صورت کتبی و طی گزارشات پیشرفت پروژه در اختیار کارفرما قرار گرفته تا پس از تجزیه و تحلیل، تصمیمات لازم در خصوص آنها اتخاذ گردد.  




فاز چهارم: تست، رفع ایرادات و حصول اطمینان از اجرای کامل پروژه



پس از پیاده سازی کامل طرح جامع، متخصصین شرکت ایمن کاوان در کنار همکاران خود در مجموعه کارفرما،  اقدام به تست و ارزیابی عملکرد تک به تک تجهیزات و نرم افزارهای نصب شده و تنظیمات اعمال شده خواهند نمود. به استناد آمار رسمی، حدود 12 درصد از کارفرمایان در این بخش درخواست اعمال تغییرات کلی و بیش از 93 درصد از آنها درخواست اعمال تغییرات جزیی خواهند داشت. در واقع آنچه باعث چنین درخواست هایی می گردد، عدم شناخت کامل مجموعه و قابلیت های آن توسط کارفرما است، به نحوی که گاهی انتظارات مجموعه از طراح، پایین تر از پتانسیل و قابلیت های مجموعه بوده و گاهی بسیار بالاتر. پس از اتمام پیاده سازی و ارزیابی طرح جامع، کارفرما متوجه خواهد شد که آیا نتیجه بدست آمده متناسب با نیازها و توانایی های مجموعه می باشد یا خیر. در صورتی که پاسخ به این سوال منفی باشد، همکاران ما تلاش خواهند نمود تا با توجه به تجهیزات و قرارداد های موجود، طرح موجود را به نحوی تغییر دهند که علاوه بر نزدیک تر شدن به سطح مطلوب مورد انتظار کارفرما، حداقل هزینه و اتلاف وقت را به کارفرما تحمیل نماید. علاوه بر ایجاد تغییرات فوق، بسیار محتمل است که پیمانکاران منتخب و یا پرسنل کارفرما در زمان پیاده سازی طرح جامع، دچار اشتباه شده و ایراداتی در نتیجه نهایی مشاهده گردد. در این فاز این ایرادت و مقایرت ها نیز به طور کامل بررسی، مستند و برای هر کدام راهکارهای لازم ارایه خواهد گردید. در پایان این بخش، کارفرما پروژه ای را تحویل خواهد گرفت که با توجه به نیازها و درخواست های ایشان و بودجه در نظر گرفته شده برای آن، حداکثر عملکرد و کارایی را به مجموعه اضافه خواهند نمود. 




فاز پنجم: آموزش در سطوح مختلف سازمانی (کاربران، مدیران میانی و مدیران ارشد)


بدیهی است که پس از اعمال تغییرات گسترده و پیاده سازی تفکرات، تجهیزات، نرم افزارها و تنظیمات جدید در کل مجموعه، کاربران و مدیران نیز می بایست متناسب با آن تغییرات دانش و آگاهی خود را به روز رسانی نمایند تا بتوانند از این امکانات حداکثر بهره را ببرند. در همین راستا، همزمان با پیاده سازی طرح جامع در مجموعه، همکاران ما در بخش آموزش شرکت ایمن کاوان اقدام به طراحی دوره های کاربردی متناسب با نیاز کارفرما برای دو گروه کاربران و مدیران خواهند نمود. این دوره ها شامل آشنایی با اصول پایه، تعاریف اولیه، شناخت مخاطرات و نحوه مقابله با آنها برای کاربران و دوره های تخصصی تر برای مدیران اجرایی و مدیران بخش فناوری اطلاعات و ارتباطات خواهند بود. همچنین برای مدیران شبکه و امنیت اطلاعات نیز دوره های تخصصی ارایه خواهد گردید که از شامل آشنایی با تجهیزات نصب شده، نحوه پیکربندی و انجام تنظیمات بر روی آنها و سایر موارد کاربردی مورد نیاز جهت بهره برداری، نگهداشت و پشتیبانی ساختار جدید خواهند بود. 




فاز ششم: مستند سازی کامل و ارایه برنامه بازدید های دوره ای

فاز نهایی پروژه شامل مستند سازی کامل زیرساخت فیزیکی و منطقی شبکه خواهد بود. مستندات تهیه شده می بایست شامل تمامی تجهیزات سخت افزاری و نرم افزاری،  تنظیمات اعمال شده بر روی آنها، دستور العمل های لازم جهت نگهداشت و پشتیبانی و رفع عیب تجهیزات باشند. مستندات مد نظر علاوه بر موارد تخصصی مرتبط با حوزه فناوری اطلاعات و ارتباطات و ساختار جدید پیاده سازی شده،  می بایست کلیه دستور العمل های اجرایی مورد نیاز سایر بخش ها را نیز که ممکن است گاها هیچ ارتباطی به حوزه فناوری اطلاعات و ارتباطات نیز نداشته باشند را نیز شامل بوده و باعث ارتقای سطح کلی امنیت سازمان گردند. به عنوان مثال می توان به دستور العمل های نگهداری از نام کاربری و کلمه عبور و نحوه و زمان تغییر آنها، نحوه معدوم کردن اسناد و نامه های اداری طبقه بندی شده و بسیاری موارد دیگر اشاره نمود. توجه به این نکته بسیار مهم است که ارتقاع در ساختار امنیت شبکه به تنهایی بدون در نظر گرفتن سایر بخش ها و حوزه ها، عملا اتلاف وقت و سرمایه بوده و اگر باعث افزایش سطح کلی امنیت سازمان نیز گردد، این افزایش بسیار ناچیز و شکننده خواهد بود. بهره گیری از متخصصین داری مدارک بین المللی سر ممیزی شبکه و امنیت اطلاعات در شرکت ایمن کاوان این امکان را فراهم خواهد ساخت تا علاوه بر نظارت تخصصی بر تهیه و ارایه مستندات فوق، در صورت درخواست کارفرما جهت اخذ گواهینامه های بین المللی مرتبط با شبکه و امنیت اطلاعات، امکان انجام ممیزی داخلی مجموعه نیز میسر باشد. این موضوع از این بابت دارای اهمیت است که کارفرما قبل از اقدام برای ممیزی اصلی و ورود به پروسه اخذ گواهینامه مربوطه، از تمامی ایرادات و کاستی های مجموعه خود مطلع گردیده و در راستای رفع آنها برنامه ریزی کرده و پس از اطمینان از دارا بودن شرایط مورد نیاز، جهت اخذ گواهینامه اقدام خواهد نمود. به این شکل از اتلاف وقت و سرمایه تا حد بسیاری جلوگیری شده و نتیجه مطلوب در زمان کوتاه تر و با صرف انرژی کمتر به دست خواهد آمد.