پنجشنبه, ۱۳ اردیبهشت, ۱۴۰۳ / 2 May, 2024
مجله ویستا
نقش یک «اساس نامه امنیتی» در سازمان شما
Proper، prior، planning، prevents، pretty، poor، performance .آنها یك شبكه را در حالت صحیحی نگه می داشتند. شما باید قبل از پیاده سازی هر چیزی، ابتدا باید طرح و برنامه داشته باشید و سپس ابزار لازم را مهیا سازید. همیشه این ضرب المثل را به خاطر داشته باشید كه «یك كیلو پیشگیری بهتر از یك خروار علاج است». امنیت شما بخشی از پیشگیری شما است. دلیل اینكه بیشتر تشكیلات اقتصادی با شكست مواجهه می شوند به این دلیل است كه آنها هدف اصلی از این تشكیلات را برای خود مشخص نمی كنند و نمی دانند كه باید در آینده نیز فعالیت خود را ادامه دهند! برای مثال، این درست نیست كه به سادگی بگوییم برای امنیت بالاتر شبكه خود نیاز به یك دیواره آتش داریم. شما باید به طور دقیقی مشخص كنید كه «چه چیزی» را «چگونه» می خواهید امن كنید. چه نوع از فیلترینگ را می خواهید شما پیاده سازی كنید؟ چه مقدار دسترسی را می خواهید به كاربران خود اهداء كنید؟ آیا شما می خواهید كه كاربران اینترنتی را تعیین هویت كنید و فعالیت های آنها را ثبت كنید؟ فقط با پاسخ دادن به این سوالات و سوال های دیگر است كه می توانید به طور دقیقی مشخص كنید كه چه لازم دارید و چه چیزی را باید خریداری كنید و به طور جزیی تر برای دیواره آتش خود چه سیاستی را در پیش بگیرید تا آنچه را كه در نظر دارید را پیاده سازی كنید.
برای محتویات یك اساس نامه امنیتی دو دیدگاه و اندیشه وجود دارد. ایده اول اساس نامه امنیتی، «یك سند در برگیرنده كلی می باشد» كه شامل كلیه دستورات و توصیه های ساده تا جزیی ترین مشخصات و پیكربندی های آن باشد. در ذات خودش، اساس نامه امنیتی یك اساس نامه به تنهایی نمی باشد و به همان مقدار روال هایی را نیز در بر می گیرد.
رهیافت دوم اساس نامه امنیتی نیز در برگیرنده یك سند كلی شامل دستورات و توصیه های ساده تا جزیی ترین مشخصات و پیكربندی ها می باشد اما ممكن است این دستورات فقط در محدوده اساس نامه امنیتی نباشد و محدوده های دیگر را نیز در بر گیرد. هر دو این رهیافت ها مسایل خاص خودشان را دارند و درستی هر كدام از این رهیافت ها بستگی به محیط كاری شما دارد. سود رهیافت «سند كلی اساس نامه امنیتی»، این است كه تمامی اطلاعات شما به صورت روال های مشخص و قابل پیاده سازی در یك سند واحد خلاصه می شود بنابراین دنبال كردن این دستورات ساده تر و پیاده سازی آن آسان تر می باشد. از دیدگاه منفی، این رهیافت به تغییرات احتمالی آینده حساس می باشد زیرا كه اساس نامه ها برای دستورات جزیی به روز رسانی می شوند.
سود رهیافت «اساس نامه امنیتی فقط یك اساس نامه است» این است كه به طور موثری به صورت كامل نوشته می شود و از طرح جزییات خودداری می كند و فقط به طور ساده مطرح می كند كه چه كاری باید انجام شود. از مضرات این روش این است كه تمامی اسناد و اطلاعات پیاده سازی اساس نامه امنیتی در قالب چندین سند ارائه می گردد كه دنبال كردن هر یك از آنها مشكل تر از روش قبل است.
به نظر من طرح «سند كلی اساس نامه امنیتی» بهتر است زیرا كه پیاده سازی آن ساده تر است. فقط شما كافی است كه روال های عادی را تعریف و پیاده سازی كنید. حال شما اگر اساس نامه امنیتی را خودتان مطرح كنید یا در اسنادی آنها را بنویسید، فرقی ندارد آنچه مهم است باید این اساس نامه در سازمان شما اجرا شود. در رهیافت «سند كلی اساس نامه امنیتی» من درباره موضوع خاصی صحبت می كنم و اینجاست كه شما تصمیم می گیرید كه آیا آن را به عنوان بخشی از اساس نامه امنیتی خود می پذیرید و یا آن را در سند های دیگری مطرح می كنید.در عمل ، بهتر آن است كه رهیافت «سند كلی اساس نامه امنیتی» برای سازمانهای كوچك و رهیافت دوم برای سازمانهای بزرگ مطرح شود زیرا كه در سازمانهای بزرگ تغییرات با دشواری همراه است.
●یك قدم به جلو:
برای اینكه شما به نقش و اهمیت اساس نامه امنیتی پی ببرید نیاز است كه چندین اصطلاح تخصصی را تعریف كنیم:
●سیاست ها یا اساس نامه ها: سیاست ها به طور ساده وضعیتی هستند كه باید اتفاق بیفتند. به عنوان مثال یك سیاست امنیتی این است كه كلیه ترافیك های عمومی (همچون اینترنت) باید رمزگذاری شوند.
●استاندارد ها : استاندارد ها چگونگی عملكرد بعضی چیز ها را تعریف می كنند. برای مثال ممكن است ما برای بعضی از پیش نیاز های سیاست های امنیتی خود، نیاز به ۳DEC و IPSec داشته باشیم.
●روال ها: روال ها مشخص می كنند كه چگونه ابزاری باید پیكربندی شوند و در اصل «استانداردها» را با «سیاستها» برای ابزار های مختلف تطابق میدهند. برای مثال شما ممكن است روال هایی را برای چگونگی پیكربندی ۳DEC و IPSec در مسیریابهای خود تعریف كرده باشید تا بدین وسیله داده خود را رمزگذاری كنید.
●هدف اساس نامه امنیتی:
به طور كلی، اساس نامه امنیتی برای این وجود دارد كه هر كسی به طور دقیق و از قبل تعریف شده بداند كه در كار با منابع سازمان و تشكیلات چه كار انجام دهد و روی آنها نیز تعهد لازم را داشته باشد. اساسنامه امنیتی نیاز دارد كه مشخص كند شما دارای چه استاندارد های امنیتی هستید.آیا باید تمامی سیستم هایی كه در شبكه پیاده سازی شده اند توسط یك سرور TACACS+ تعیین هویت شوند؟ سیاست های امنیتی شماست كه حكم می دهد آیا باید این اتفاق بیفتد یا خیر. اساسنامه امنیتی شما باید مشخص كند كه اهداف امنیتی شما چه هستند. آیا سازمان شما سعی میكند كه فشارهای ناشی از ویروس ها و كرم ها را كاهش دهد؟ آیا آنها سعی می كنند كه خطرات دسترسی های بیرونی را محدود كنند ؟ نباید این وضعیف ها را فراموش كرد و باید برای آنها چاره ای اندیشید. حتما آنها را بنویسید و تعریف كنید. حتما بخشی را در مجموعه خود در نظر بگیرید به همراه افرادی كه مراقب باشند تا قوانین امنیتی رعایت شوند و در صورتی كه گروهی از افراد این قوانین را در نظر نگرفتند با آنها برخورد مناسب صورت گیرد. حتما سندی را نیز تهیه كنید تا به كاربران بگوید كه «چرا شما باید این كار ها را انجام دهید و چرا ما آنها را از شما می خواهیم».
آخرین نكته، آنچه كه باعث می شود اساس نامه امنیتی شما پابرجا بماند و یا شانس خوبی برای اجرا شدن داشته باشد؛ این است كه از طرف رده های مدیریتی بالاتر سازمان پشتیبانی شود. امنیت تا حدودی زیادی باید «قابل استفاده» باشد و حتی در بعضی مواقع قابل استفاده بودن به خود امنیت می چربد و در بعضی مواقع نیز امنیت بسیار مهم تر از قابلیت استفاده است. بدون پشتیبانی مدیریتی رده بالا شما هیچ شانسی ندارید تا به كاربران و مجموعه كاری خود بقبولانید كه در بعضی از مواقع به خاطر امنیت بیشتر از قابلیت استفاده صرف نظر كنند.
●اساس نامه امنیتی و مشكلات كاربران
وقتی من در یك شركت روی حفاظت های ویروسی كار می كردم برخی از كارمندان شركت در برابر آن مقاومت نشان می دادند. تا آنجایی كه روی كامپیوتر هایی كه آنتی ویروس نصب شده بود اسم خاصی گذاشته بودند! و خیلی از آنها هیچ علاقه ای نداشتند كه با این كامپیوتر های «خاص» كار كنند. همین موضوع باعث شد كه حفاظت در برابر ویروس ها بسیار بیشتر از آنچه كه تصور می رفت طول بكشد. یكی از دلایلی كه باعث بروز این مشكل شده بود، این بود كه این سازمان فاقد هر گونه اساس نامه امنیتی بود. مدتهاست كه از آن شركت من بیرون آمده ام ولی هنوز اطلاع دارم كه آن سازمان مساله ویروس ها را نتوانسته است حل كند.
منبع : Hardening.Network.Infrastructure
مترجم : امیر حسین شریفی
مترجم : امیر حسین شریفی
![لطیفههای قرآنی [شامل ظرافتهای زیبایی در رابطه با قرآن]](/mag/i/4/ot6tp.jpg)
نمایندگی زیمنس ایران فروش PLC S71200/300/400/1500 | درایو …
دریافت خدمات پرستاری در منزل
pameranian.com
پیچ و مهره پارس سهند
خرید بلیط هواپیما
ایران اسرائیل آمریکا روز معلم رهبر انقلاب معلمان مجلس شورای اسلامی بابک زنجانی مجلس خلیج فارس دولت دولت سیزدهم
تهران فضای مجازی هواشناسی شهرداری تهران سیل پلیس قوه قضاییه آموزش و پرورش بارش باران سلامت سازمان هواشناسی دستگیری
خودرو قیمت خودرو بازار خودرو قیمت دلار دلار قیمت طلا سایپا ایران خودرو بانک مرکزی کارگران تورم حقوق بازنشستگان
مسعود اسکویی تلویزیون رضا عطاران سریال سینمای ایران سینما دفاع مقدس تئاتر فیلم
دانشگاه علوم پزشکی مکزیک
رژیم صهیونیستی غزه جنگ غزه فلسطین چین روسیه حماس نوار غزه ترکیه عربستان اوکراین نتانیاهو
پرسپولیس فوتبال استقلال سپاهان تراکتور باشگاه استقلال لیگ برتر ایران رئال مادرید بایرن مونیخ لیگ قهرمانان اروپا لیگ برتر باشگاه پرسپولیس
هوش مصنوعی اینستاگرام همراه اول شبکه های اجتماعی اپل ناسا وزیر ارتباطات تبلیغات گوگل پهپاد
کبد چرب کاهش وزن دیابت قهوه فشار خون داروخانه