سناریو ، اقدامات امنیتی که در یک شرکت برای داراییهای آن شرکت انجام می شود

یک فایل سرور با اطلاعات بسیار با اهمیت و محرمانه داریم و باید روشی برای تامین امنیت این اطلاعات طراحی و پیاده سازی کنیم. شرح مواردی که می بایست در طراحی مد نظر قرار گرفته شود به شرح زیر است

1)     تامین امنیت فیزیکی سرور

 به این معنی که سرور می بایست در مکانی قرار داده شود که از نظر دسترسی فیزیکی برای کاربران در دسترس نباشد.

به عنوان مثال: برای ایجاد امنیت فیزیکی سرور را در یک اتاق ( مرکزداده یا سرور روم ) قرار می دهیم و ورود و خروج افراد به این اتاق را از طریق سیستم های کنترل دسترسی و قفل های الکترونیکی که مثلا با اثر انگشت و یا رمز باز می شوند قرار می دهیم، این اتاق را مجهز به سیستم دوربین مدار بسته می کنیم تا ورود و خروج و فعالیت کاربران در اتاق را ثبت کنیم. دسترسی به این اتاق فقط در اختیار عده معدودی خواهد بود به عنوان مثال Admin سرور. این حداقل کنترل امنیتی در سطح لایه فیزیکی است.

2)     ایجاد امنیت در سطح شبکه به سرور

در این مرحله با قراردادن تجهیزات امنیتی مختلف همچون فایروال ها ، IDS , IPS ها و Access List ها رول های مشخصی جهت دسترسی افراد مجاز به سرور ایجاد می کنیم و سایر دسترسی ها از نواحی مختلف شبکه به این سرور را مسدود می کنیم.

3)     ایجاد سطوح دسترسی در سطح سیستم عامل و ساختار فایل ها

در این مرحله بر اساس نوع دسترسی Read / Write / Modifiy / Delet  و .. Permission هایمتناظری برای کاربرانی که قرار است به فایل ها دسترسی داشته باشند ایجاد می کنیم و دسترسی سایر کاربران را غیر فعال می کنیم.

4)     استفاده از سیستم های لاگ گیری

به منظور ثبت کلیه وقایع و تغییراتی که بر روی فایل ها داده می شود ،  سیستم لاگ گیری  را، هم بر روی تجهیزات شبکه و هر بر روی فایل سرور راه اندازی می کنیم و همه لاگ ها را به منظور پایش در یک سرور دیگر ذخیره می کنیم.

 

5)     راه اندازی انتی ویروس و HIDS بر روی فایل سرور

که در این مرحله نیز به منظور جلوگیری از آلوده شدن سرور و نفوذ هکر ها و کرم ها و یا هر برنامه مخرب دیگری بر روی فایل سرور، آنتی ویروس مناسبی نصب می کنیم.

6)     جلوگیری از نشت اطلاعات

در این مرجله در سه سطح، از سیستم های جلوگیری از نشت اطلاعات یا همان DLP استفاده می کنیم :

v     سطح اول مربوط به HOST که در این سناریو همان فایل سرور است.

v     سطح دوم سطح شبکه است.

v     سطح سوم سطح سیستم های کاربران است.

سیستم جلوگیری از نشت اطلاعات این امکان را فراهم می کند که بتوانیم در هر لحظه وضعیت نقل اطلاعات داده ها را در سطوح مذکور پایش و از ارسال و نشت اطلاعات غیر مجاز جلوگیری کنیم. به عنوان مثال DLPدر سطح شبکه از ارسال اطلاعات توسط ایمیل جلوگیری می کند.

7)     راه اندازی سیستم مدیریت تغییرات

هدف از سیستم مدیریت تغییرات این است که بتوانیم تشخیص دهیم چه تغییری توسط کاربران بر روی محتوای فایل داده شده است و آیا این تغییر یک تغییر مجاز بوده است یا خیر . که این امر توسط سیستم های مدیریت تغییرات همچون Tripwire قابل پیاده سازی است.

8)     راه اندازی سیستم پشتیبان گیری و بازیابی اطلاعات

که در صورتی که به هر دیلیلی سیستم دچار مشکل شد بتوان با بازیابی نسخه پشتیان اطلاعات از دست رفته را بازیابی کرد.

9)     امنیت پایش و نظارت مستمر بر کلیه اجزای سیستم 

می بایست این پایش و نظارت در کلیه سطوح فوق الذکر راه اندازی و عملیاتی گردد.

در کلیه فرایند های فوق الذکر بازبینی / به روز رسانی / بهبود و رفع ایرادات به عنوان یک چرخه همواره در جریان خواهد بود. به منظور ارزیابی سطح امنیت نیز به صورت دوره ای اسکن ها و پویش های مختلفی در سطح شبکه / سرویس دهنده و ایستگاه های کاری به منظور ارزیابی سطح امنیت و پیدا کردن و رفع آسیب پذیری های احتمالی در دستور کار قرار خواهد گرفت.

ارسال از طرف : خانوم خانلارلو و بابایی

 

/ 0 نظر / 35 بازدید