امنیت از دیرباز یکی از اجزای اصلی زیرساختهای فناوری اطلاعات به شمار میرفته است. تهدیدهای امنیتی تنها منحصر به تهدیدات الکترونیکی نیستند، بلکه هر شبکه باید از نظر فیزیکی نیز ایمن گردد. خطرات الکترونیکی غالباً شامل تهدیدات هکرها و نفوذگران خارجی و داخلی در شبکهها می باشند. در حالی که امنیت فیزیکی شامل کنترل ورود و خروج پرسنل به سایتهای شبکه و همچنین روالهای سازمانی نیز هست. برای پیاده سازی امنیت در حوزههای فوق، علاوه بر ایمن سازی سخت افزاری شبکه، نیاز به تدوین سیاستهای امنیتی در حوزه فناوری اطلاعات در یک سازمان نیز می باشد. در این راستا لازم است از روالهای استانداردی استفاده شود که به واسطه آنها بتوان ساختار یک سازمان را برای پیاده سازی فناوری اطلاعات ایمن نمود. استاندارد BS۷۷۹۹ که در این شماره قصد معرفی آن را داریم به چگونگی پیاده سازی امنیت در همه ابعاد در یک سازمان می پردازد.
تاریخچه استاندارد
منشاء استاندارد British Standard BS۷۷۹۹ به زمان تاسیس مرکز CommercialComputerSecurityCenter و شکل گیری بخش Industry (DTI) UK Department of Trade and در سال ۱۹۸۷برمی گردد. این مرکز به منظور تحقق دو هدف تشکیل گردید. اول تعریف معیارهایی بین المللی برای ارزیابی میزان امنیت تجهیزات تولیدشده توسط سازندگان تجهیزات امنیتی، به منظور ارائه تاییدیه های مربوطه بود و دوم کمک به کاربران برای این منظور مرکز CCSC در سال ۱۹۸۹ اقدام به انتشار کدهایی برای سنجش میزان امنیت نمود که به “Users Code of Practice” معروف گردید.
چندی بعد، اجرایی بودن این کدها از دیدگاه کاربر، توسط مرکز محاسبات بین المللی NCC و یک کنسرسیوم از کاربران که به طور کلی از صاحبان صنایع در انگلستان بودند مورد بررسی قرار گرفت. اولین نسخه این استاندارد به عنوان مستندات راهبری PD ۰۰۰۳ در انگلستان منتشر گردید. در سال ۱۹۹۵ این استاندارد با عنوان BS۷۷۹۹ منشر گردید و قسمت دوم آن نیز در فوریه سال ۱۹۹۸ به آن اضافه گردید. این قسمت مفهوم سیستم مدیریت امنیت اطلاعات (Information Security Management System (ISMS را بهوجود آورد. این سیستم ISMS به مدیران این امکان را می دهد تا بتوانند امنیت سیستم های خود را با حداقل نمودن ریسکهای تجاری کنترل نمایند.
نسخه بازنگری شده این استاندارد در سال ۱۹۹۵ به عنوان استاندارد ISO ثبت گردید. در مجمعی که رای موافق به ثبت این استاندارد به عنوان استاندارد ISO داده بودند، کشورهایی نظیر استرالیا و نیوزلند با اندکی تغییر، آن را در کشور خود با عنوان AS/NZS۴۴۴۴ منتشر نمودند. طی سالهای ۱۹۹۹ تا ۲۰۰۲ بازنگریهای زیادی روی این استاندارد صورت پذیرفت. در سال ۲۰۰۰ با افزودن الحاقیههایی به استاندارد BS۷۷۹۹ که به عنوان یک استاندارد ISO ثبت شده بود، این استاندارد تحتعنوان استاندارد ISO/IEC۱۷۷۹۹ به ثبت رسید.
نسخه جدید و قسمت دوم این استاندارد در سال ۲۰۰۲ به منظور ایجاد هماهنگی بین این استاندارد مدیریتی و سایر استانداردهای مدیریتی نظیر ۹۰۰۱ ISO و ۱۴۰۰۱ ISO تدوین گردید. این قسمت برای ارزیابی میزان موثربودن سیستم ISMS در یک سازمان مدل (Plan-Do-Check-Act (PDCA را همانگونه که در شکل یک نشان داده شده است ارائه می نماید.
نحوه عملکرد استاندارد BS ۷۷۹۹
در راستای تحقق دومین هدف پیدایش این استاندارد که به آن اشاره شد، یعنی کمک به کاربران سرفصلهایی برای نحوه پیاده سازی امنیت در یک سازمان که در حقیقت یک کاربر سیستم های امنیتی می باشد، تعیین شده است که عبارتند از:
- تعیین مراحل ایمن سازی و نحوه شکل گیری چرخه امنیت
- جزییات مراحل ایمن سازی و تکنیکهای فنی مورد استفاده در هر مرحله
- لیست و محتوای طرح ها و برنامه های امنیت اطلاعات مورد نیاز سازمان
- ضرورت و جزییات ایجاد تشکیلات سیاستگذاری، اجرایی و فنی تامین امنیت
- کنترلهای امنیتی مورد نیاز برای هر یک از سیستم های اطلاعاتی و ارتباطی
- تعریف سیاستهای امنیت اطلاعات
- تعریف قلمرو سیستم مدیریت امنیت اطلاعات و مرزبندی آن متناسب با نوع نیازهای سازمان
- انجام و پذیرش برآورد مخاطرات، متناسب با نیازهای سازمان
- پیش بینی زمینه ها و نوع مخاطرات بر اساس سیاستهای امنیتی تدوین شده
- انتخاب هدفهای کنترل و کنترلهای مناسب که قابل توجیه باشند، از لیست کنترلهای همه جانبه
- تدوین دستورالعمل های عملیاتی
مدیریت امنیت شبکه
به منظور تعیین اهداف امنیت، ابتدا باید سرمایههای مرتبط با اطلاعات و ارتباطات سازمان، شناسایی شده و سپس اهداف تامین امنیت برای هریک از سرمایهها، مشخص شود.سرمایه های مرتبط با شبکه سازمان عبارتند از: سخت افزار، نرمافزار، اطلاعات، ارتباطات، کاربران. اهداف امنیتی سازمانها باید به صورت کوتاهمدت و میان مدت تعیین گردد تا امکان تغییر آنها متناسب با تغییرات تکنولوژیها و استانداردهای امنیتی وجود داشته باشد.
اهداف کوتاه مدت در خصوص پیاد ه سازی امنیت در یک سازمان عبارتند از:
جلوگیری از حملات و دسترسیهای غیرمجاز علیه سرمایه های شبکه
مهار خسارتهای ناشی از ناامنی موجود در شبکه
کاهش رخنه پذیری
اهداف میان مدت نیز عبارتند از :
تامین صحت عملکرد، قابلیت دسترسی برای نرمافزارها و سختافزارها و محافظت فیزیکی صرفاً برای سخت افزارها
تامین محرمانگی، صحت و قابلیت دسترسی برای ارتباطات و اطلاعات متناسب با طبقه بندی آنها ازحیث محرمانگی و حساسیت
تامین قابلیت تشخیص هویت، حدود اختیارات و پاسخگویی، حریم خصوصی و آگاهیرسانی امنیتی برای کاربران شبکه، متناسب با طبقه بندی اطلاعات قابل دسترس و نوع کاربران
تهدیدهای امنیتی
تهدیدهای بالقوه برای امنیت شبکههای کامپیوتری به صورت عمده عبارتند از:
فاش شدن غیرمجاز اطلاعات در نتیجه استراقسمع دادهها یا پیامهای در حال مبادله روی شبکه
قطع ارتباط و اختلال در شبکه به واسطه یک اقدام خرابکارانه
تغییر و دستکاری غیر مجاز اطلاعات یا یک پیغام ارسالشده برای جلوگیری از این صدمات باید سرویسهای امنیتی زیر در شبکه های کامپیوتری ارائه شود و زمانی که یکی از سرویسهای امنیتی نقص شود بایستی تمامی تدابیر امنیتی لازم برای کشف و جلوگیری رخنه در نظر گرفته شود:
محرمانه ماندن اطلاعات
احراز هویت فرستنده پیغام
سلامت دادهها در طی انتقال یا نگهداری
کنترل دسترسی و امکان منع افرادی که برای دسترسی به شبکه قابل اعتماد نمی باشد
در دسترس بودن تمام امکانات شبکه برای افراد مجاز و عدم امکان اختلال در دسترسی
مراحل پیاده سازی امنیت
برای پیاده سازی یک سیستم امنیتی مناسب مراحل زیر بایستی انجام گردد:
برآورد نیازهای امنیتی شبکه : بر اساس نوع شبکه طراحی شده، نوع استفاده از آن و کاربردهای مختلف آن نیازهای امنیتی شبکه بایستی بررسی گردد. این نیازها بر اساس انواع سرویسهایی که شبکه ارائه میدهد گسترش می یابد.
اتخاد سیاستهای امنیتی لازم : در این مرحله سیاستها و تدابیر امنیتی لازم اتخاذ می شود. این تدابیر برای پاسخ به نیازهایی خواهد بود که در مرحله قبل برای شبکه برآورد شده است.
ارائه طرح امنیتی شبکه : بر اساس نیازها و سیاستهای برآورده کننده آنها، طرحی از سیاست کلی شبکه ارائه می شود، بهطوری که تمامی نیازهای شبکه برآورده شود و در طرح جامع و مانعی که تهیه شده است هیچ تداخلی وجود نداشته باشد.
پیاده سازی و تست : در این مرحله تجهیزات و سیستم های لازم برای طرح انتخاب میشود. تنظیمات کلیه سیستمها پس از تجزیه و تحلیل کافی استخراج میشوند. برای تست طرح پیاده سازی شده، دسترسیها و امکانات رخنه تستشده و در صورت خطا راهکارهای پیشگیری به کار گرفته می شود.
مدیریت امنیت : این مرحله که پس از اتمام پیادهسازی انجام میشود شامل تمامی مسائل مدیریتی امنیت شبکه میباشد. در این مرحله روشهای مقابله با تهاجم با روش جدید باید بهکار گرفته شود و تغییراتی را که در اثر گذشت زمان در امنیت شبکه روی میدهند تحت کنترل گرفته شوند.
اجرای سیستم امنیتی
به منظور اجرای یک سیستم امنیتی شبکه و ارائه قابلیتهای بروز امنیتی درشبکه، روال های زیر بایستی توسط سازمان به صورت مداوم در شبکه اعمال شود:
تعیین سیاستهای امنیتی شبکه : در این قسمت تمامی فرامین و دستورات امنیتی لازم برای فایروالها و سیستم های تشخیص تهاجم توسط ابزارهای خاص استخراج می گردد.
دستورات امنیتی تهیه شده برای استفاده در تجهیزات و سرویسهای ارائه شده برای امنیت در شبکه پیاده سازی میشوند.
اعمال سیاستهای امنیتی شبکه : دستورات امنیتی تهیه شده برای استفاده در تجهیزات و سرویسهای ارائه شده برای امنیت در شبکه پیاده سازی میشوند.
بررسی بلادرنگ وضعیت امنیت شبکه : پس از پیاده سازی سیاستهای امنیتی، با استفاده از سیستم های بلادرنگ تهاجم (IDS) و یا سیستمهای آنالیز فایلهای Log و تشخیص Offline تهاجم، کلیه دسترسیهای غیرمجاز انجام شده به شبکه و عبور از سیستم امنیتی تشخیص داده شده و در فایلهای Log خروجی ذخیره میشوند.
بازرسی و تست امنیت شبکه
در این قسمت با استفاده از ابزارهای امنیتی، کلیه پورتها و سرویسهای شبکه و یا محلهای رخنه به شبکه بازرسی شده و اطلاعات مربوطه در فایل Log مربوطه قرار میگیرند. همچنین در این قسمت با استفاده از یک سری از ابزارها، به تحلیل اطلاعات پرداخته میشود و نتایج حاصل از آنها برای مرحله بعدی نگهداری می شود.
بهبود روشهای امنیت شبکه
به منظور بهبود عملکرد سیستم امنیتی شبکه، از نتایج حاصل از دو قسمت قبل استفاده میشود و تغییراتی که از این بررسیها نتیجه میشود، در سیاستهای امنیتی شبکه اعمال می گردد.
تشکیلات اجرائی امنیت
برای پیاده سازی یک سیستم امنیتی پویا، وجود تشکیلات امنیتی متناسب با نیازهای امنیتی سازمان لازم و ضروری می باشد. گروههای کاری لازم برای اینکه امور امنیتی یک شبکه به نحو احسن اداره شود عبارتند از:
سیاست امنیت : وظایف این قسمت تدوین سیاست امنیتی و بازنگری و اصلاح سیاست امنیتی در صورت پیشنهاد گروه مدیریت امنیتی میباشد. قسمت سیاست امنیتی هماهنگی تشکیل جلسات گروه سیاستگذاری امنیتی را از قسمت مدیریت امنیتی دریافت کرده و طبق آن عمل می کند و نتایج حاصله را به مدیریت امنیتی تحویل می دهد.
مرکز هماهنگی واطلاع رسانی : مرکز هماهنگی تمامی گزارشها را از بخشهای مختلف جمع آوری کرده و در واقع نقش رابط بین قسمتها را بازی میکند. این مرکز بیشتر مانند واسط اصلی بین قسمتها و بخش مدیریتی عمل می کند و تغییرات و پیشنهادات گروه مدیریتی را به گروههای کاری منعکس میکنند. وظایف این قسمت دریافت اطلاعات و گزارش از گروههای پائینتر، پردازش و دستهبندی آنها، ثبت اطلاعات، ارسال نتایج به گروه مدیریت امنیتی، دریافت تغییرات (تغییر سیاست امنیتی) از گروه مدیریت امنیتی، ثبت اطلاعات و ارسال آن برای گروههای پائینتر، تشکیل بانکاطلاعاتی حاوی آسیبپذیریها و پیکربندی امن تجهیزات و سرویسهای شبکه، نگهداری آمار و گزارش حملات انجام شده و واکنش گروههای مرتبط و ارائه مشاوره در زمینه خرید تجهیزات، آنالیز ریسک و ... می باشد.
تشخیص و مقابله باحوادث : وظیفه این قسمت شناسایی و مقابله با حملات و دسترسیهای غیرمجاز میباشد و دارای بخش آمادهسازی به منظور تعیین روند و سیاست سازمانی جهت شناسایی، تعیین منابع اطلاعاتی جهت شناسایی تهاجم، تهیه بانکاطلاعاتی حاوی الگوهای حملات شناخته شده ، مدیریت مکانیزم های ثبت اطلاعات، پشتیبانی سیستم و دریافت گزارشات و توصیههای گروه هماهنگی و اطلاع رسانی، بخش کشف تهاجم به منظور نظارت بر فعالیتهای شبکه، نظارت بر فعالیتهای سیستم، بازرسی فایلها و دایرکتوریها، جستجوی اتصالات غیرقانونی به شبکه، بازرسی منابع فیزیکی و دریافت و پردازش گزارشات کاربران، بخش پاسخگویی به تهاجم به منظور آنالیز گزارش، انتقال اطلاعات حادثه و روند آن به بخشهای لازم، بهکارگیری سریعترین راهکارها جهت قطع حمله، جلوگیری از وقوع دوباره حمله، بازیابی سیستم به حالت عادی و تعیین خسارت و در انتها بخش تحقیقات به منظور شناخت انواع حملات، دریافت گزارش مقابله ناموفق و تشخیص و مقابله با ویروسها میباشد.
تشخیص و مقابله با حوادث خاص : این قسمت با اجزای آمادهسازی، کشف و پاسخگویی وظایف مقابله با خطرات ناشی از حوادث و پیشگیری از برخی حوادث محتمل را به عهده دارد. این قسمت گزارشهای مربوط به مقابله با تهاجم یا ویروس یا حادثه خاص را به قسمت مرکز هماهنگی برای ارسال به قسمت مدیریتی منتقل میکند و سیاست ها و موارد اضافهشده در برابر حوادث را به عنوان نتیجه دریافت مینماید.
بازرسی امنیتی : بخش بازرسی امنیتی وظایف بازرسی تجهیزات امنیتی، بازبینی logها و پیغامها و سیستمهای پشتیبان و بازرسی شبکه برای ایجاد امنیت در شبکه را برعهده دارد. در این نوع بازرسیها باید اجزا و شبکه به صورت خودکار مورد بررسی قرار گیرند.
نصب و پیکربندی : این قسمت وظایف پیکربندی امن تجهیزات و سرویسهای شبکه و نصب و پیکربندی سیستم امنیتی شبکه را به عهده دارد.
نگهداری و پشتیبانی : این قسمت وظایف محافظت و پشتیبانی از کلیه تجهیزات و اطلاعات امنیتی، نگهداری و ثبت تجهیزات، گزارش هشدارهای خودکار، عیبیابی شبکه و ارائه سرویس لازم و آمارگیری شبکه را به عهده دارد.
آینده استاندارد BS۷۷۹۹ : استاندارد ۱۷۷۹۹ ISO/IEC که در سال ۲۰۰۰ به عنوان یک استاندارد معتبر توسط ISO پذیرفته شد، در حال بازنگری است و تخمین زده شده که تا اواسط سال ۲۰۰۵ این بازنگری تکمیل خواهد شد. اصلیترین تغییری که انتظار میرود در آن انجام گیرد، تغییر در ساختار کنترلها میباشد. این تغییرات به منظور توصیف بهتر سیستمهای کنترلی، نحوه عملکرد آنها و روابط بین سیستمهای امنیت اطلاعات، صورت میپذیرد. نمودار زیر میزان استفاده از این استاندارد را تا سال ۲۰۰۴ در جهان نشان میدهد.
آیا قسمت سومی برای استاندارد ۷۷۹۹ BS تدوین خواهد شد؟ : اگر قرار است قسمت سومی برای این استاندارد تدوین گردد، این قسمت شامل چه مواردی می باشد؟ نکته قابل اشاره در این زمینه مقایسه این استاندارد با استاندارد ISO۹۰۰۰ میباشد. قسمت سوم استاندارد BS۷۷۹۹ در حقیقت توسعه سیستم ISMS میباشد. درست مانند تغییرات ایجاد شده در استاندارد ISO۹۰۰۴ در مقایسه با نسخه های قبلی آن.
نتیجه گیری : این نوشته قصد داشت که BS۷۷۹۹ را به عنوان استانداردهای جهانی برای ایمن سازی شبکه ها معرفی کند و توجه خواننده را به این موضوع جلب نماید که برقراری امنیت در سازمان، بایستی در همه ابعاد آن صورت گیرد. توجه به چنین استانداردی و شناخت آن، باعث میشود که بحث موضوعات پیشرفته تری نظیر برپایی مراکز امنیت شبکه (Security Operating Center:SOC) ملموستر و دست یافتنیتر به نظر برسند .