برنامه ریزي سیاست هاي امنیتی(ارائه شده در همایش ملی کامپیوتر واحد شوشتر اسفند 92)

“تصویر خبر از آرشیو میباشد”

مطلب زیر میتواند کمک کند به مدیران برای تبیین سیاست های امنیتی در چارچوب اداره و نوع ، درک و سبک دسترسی کارمندان به شبکه یا ایجاد شده در اداره جات مختلف.

به گزارش سفیرشوشتر متن زیر مربوط میشود به همایش ملی کامپیوتر و فناوری اطلاعات که در اسفند ماه سال گذشته در دانشگاه آزاد اسلامی واحد شوشتر توسط دانشجوی کارشناسی ارشد مهندسی نرم افزار دانشگاه مشهد ارائه شد.

چکیده: سیاست به معناي دستورات، قوانین و تصمیم هاي مدیر امنیتی براي ایجاد یک برنامه امنیتی، پایه ریزي کردن اهداف و تخصیص دادن مسئولیت هاست. پس از تعیین خط مشی هاي یک سازمان، سیاست هاي آن برنامه ریزي شده، استانداردها و سپس روال هاو راهنماهاي امنیتی مربوطه براي پیاده سازي آن سیاست ها در یک محیط واقعی توسعه داده شده در اختیار کاربران و مدیران قرار دادهمی شود. این سیاست ها براي رسیدن به امنیت مورد نظر در سازمان باید به طور کامل پیاده سازي و اجرا شوند. تمام افرادي که به این منابع دسترسی دارند تحت تأثیر این سیاست ها قرار می گیرند و ملزم به رعایت و اجراي آنها خواهند بود. هر گونه اشتباه در این مرحلهممکن است امنیت سیستم را دچار مشکل کند. پس از تعیین سیاست ها، رویه هاي امنیتی باید براي کاربران نهایی، مدیران شبکه و مدیران امنیتی و سایر افراد درگیر نوشته شوند. رویه هاي امنیتی همچنین باید چگونگی برخورد با حوادث مختلفی که رخ می دهند رامشخص کنند. این رویه ها باید به کاربران و مدیران شبکه آموزش داده شوند.پس از آنکه قدم هاي فوق برداشته شدند دیواره هاي آتش،ضدویروس ها، سیستم هاي تشخیص تهاجم و… براي امن سازي سازمان به خدمت گرفته می شوند و رویه هاي امنیتی پیاده سازيمی شوند. سیاست هاي امنیتی، تکنولوژي و متدولوژي استفاده از سیستم هاي امن و روال، گام هاي جزئی براي دنبال کردن وظایفامنیتی مربوطه را مشخص می کند.

-1 مقدمه

سیاست 1 در ارتباط با مدیریت امنیت معانی زیادي دارد.سیاست به معناي دستورات، قوانین و تصمیم هاي مدیر امنیتی

براي ایجاد یک برنامه امنیتی، پایه ریزي کردن اهداف وتخصیص دادن مسئولیت هاست. پس از تعیین خط مشی هاي

یک سازمان، سیاست هاي آن برنامه ریزي شده، استانداردها و سپس روال ها و راهنماهاي امنیتی مربوطه براي پیاده سازي آن

سیاست ها در یک محیط واقعی توسعه داده شده در اختیار کاربران و مدیران قرار داده می شود. این سیاست ها براي

رسیدن به امنیت مورد نظر در سازمان باید به طور کاملپیاده سازي و اجرا شوند. تمام افرادي که به این منابع دسترسی دارند تحت تأثیر این سیاست ها قرار می گیرند و ملزمبه رعایت و اجراي آنها خواهند بود. این سیاست ها با دقت وتوجه فراوان باید تدوین شوند. هر گونه اشتباه در این مرحلهممکن است امنیت سیستم را دچار مشکل کند.

١ Policy

سیاست هاي امنیتی که خوب تدوین شده باشندویژگی هاي زیر را دارا هستند:

توسط مدیران سیستم قابل پیاده سازي و اجرا هستند.

رویه هاي تدوین شده ساده، قابل اجرا و مورد پذیرش هستند.

توسط ابزارهاي تأمین کنندة امنیت موجود قابل اعمال هستند.

به طور مشخص مسؤولیت ها و وظایف کاربران، کادرفنی و مدیران را تعیین می کنند.

به هنگام تدوین سیاست هاي امنیتی به سؤالات زیر بایدپاسخ داد:

چه کسانی اجازه دارند از منابع استفاده کنند؟

چگونه افراد مجاز شناسایی می شوند؟

استفادة صحیح و مناسب از منابع چیست؟

چه کسی اجازة بخشیدن دسترسی و بالا بردن

سطح دسترسی را داراست؟

چه افرادي سطح دسترسی مدیران 2 را دارا هستند؟

حق و حقوق کاربران و همچنین مسؤولیت هاي آنها چیست؟

حق و حقوق مدیران فنی و همچنین مسؤولیت هاي آنها چیست؟

با اطلاعات حساس چه کار باید کرد؟

فعالیت هاي انجام شده در سیستم چگونه و تا چه حد نگهداري می شوند؟

با متخلفین و کسانی که از سیاست ها و قوانین پیروي نمی کنند چگونه برخورد می شوند؟

-2 سیاست هاي امنیتی

سیاست امنیتی باید در حوزه هاي بسیاري از هر سازمانباید تعیین شود که از آن جمله می توان به موارد زیر اشارهنمود:

سیاست دسترسی: مشخص می کند که چه افرادي و یا چه بسته هایی اجازة دسترسی بهمنابع مختلف را دارا هستند. سطح ومیزاندسترسی آنها نیز در همین بخش مشخص می شود.

در این بخش همچنین قوانینی براي ارتباطاتبیرونی، انتقال داده ها، اتصال تجهیزات به شبکه واضافه کردن نرم افزارهاي جدید تدوین می شود.

سیاست تشخیص هویت: نحوة شناسایی افراد و بسته هاي مختلفی که متقاضی ورود به شبکه و استفاده ازمنابع هستند را مشخص می کند. یکی از مواردي که در اینبخش مشخص می شود سیاست کلمه عبور(کلمات عبور اولیه،محدودیت در چگونگی کلمات عبور، حداکثر زمان ها و…)

است. در این بخش همچنین تعیین هویت هاي فرآیندهاينرم افزاري (مثلاً در پروتکل هاي مسیریابی به هنگام دریافتنیز مورد بررسی قرار می گیرد. (routing-update بسته هايسیاست حسابداري: چگونگی نگهداري اتفاقاتی که در شبکهمی افتند را مشخص می کند. در این بخش مشخص می شودکه انواع مختلف فعالیت هاي انجام شده چگونه جمع آوري ونگهداري می شوند. باید تمام اطلاعات و فعالیت هاي افرادتشخیص و تأیید هویت شده اند (نام، شمارة خط و یا میزبانیکرده اند، میزان دسترسی قدیم و جدید، login که از آن طریق٢ Administration privilegeتلاش هاي احتمالی انجام شده براي تغییر سطح دسترسی و…) با زمان دقیق نگهداري شوند.

سیاست گزارش تخلفات: مشخص می کند که انواع تخلفات کدامند و این تخلفات چگونه و به چه کسانی گزارشداده می شوند.

سیاست حریم خصوصی افراد: در این بخشمشخص می شود که مدیران تا چه حد و در چه شرایطیها را مانیتور کنند، دسترسی به فایل هاي mail می توانندکاربران و مدیران زیربخش ها داشته باشند، از فعالیت هاي

ها را مشاهده کنند و. .. desktop ، بگیرند log خصوصی افرادسیاست نگهداري شبکه: نگهداري خارجی و داخلی را مشخص می کند و میزان دسترسی افراد خارجی کهبراي نگهداري یا بهینه سازي شبکه با شرکت همکاريمی کنند را تعیین می سازد. چگونگی مدیریت از راه دور نیز دراین بخش مشخص می شود.

سیاست دسترس پذیري: میزان توقع و انتظار کاربران و مدیران از دسترس پذیري منابع را مشخص می کند وبراین اساس افزونگی 3 منابع و فرآیند باریابی آنها را موردتحلیل قرار می دهد.

سیاست هاي آگاهی رسانی: چگونگی آموزش کاربران، کادر فنی و مدیران در این بخش مشخص می شود.

در این بخش همچنین مشخص می شود که کدام قسمت و چهافرادي باید به سؤالات کاربران و مدیران در زمینۀ امنیت و در

هنگام بروز حوادث امنیتی پاسخ دهند و به آنها کمک کنند.

پس از تعیین سیاست ها، رویه هاي امنیتی باید برايکاربران نهایی، مدیران شبکه و مدیران امنیتی و سایر افراددرگیر نوشته شوند. رویه هاي امنیتی همچنین باید چگونگیبرخورد با حوادث مختلفی که رخ می دهند را مشخص کنند.این رویه ها باید به کاربران و مدیران شبکه آموزش داده شوند.

پس از آنکه قدم هاي فوق برداشته شدند دیواره هاي آتش، ضدویروس ها، سیستم هاي تشخیص تهاجم و… براي امن سازيسازمان به خدمت گرفته می شوند و رویه هاي امنیتیپیاده سازي می شوند. سیاست هاي امنیتی، تکنولوژي ومتدولوژي استفاده از سیستم هاي امن و روال، گام هاي جزئیبراي دنبال کردن وظایف امنیتی مربوطه را مشخص می کند.

در این راستا پس از شناخت وضعیت معماري موجود و تهیهمعماري امنیتی مطلوب باید برنامه اي براي حرکت از سمت٣ Redundancyمعماري موجود به سمت معماري مطلوب طراحی و اجرا وکنترل نمود. سیاست هاي امنیتی باید در دسته هاي مدیریتامنیتء امنیت اطلاعات، امنیت پرسنل، امنیت شبکه وسیستم شامل سیاست هاي توسعه نرم افزار، سیاست هاي شبکهو مدیریت سیستم و برنامه ریزي تداوم تجارت ارائه شود، که ازآن جمله ما براي نمونه به بررسی سیاستهاي مدیریت امنیتبسنده می کنیم.

-3 استراتژي هاي طراحی سیاست ها

در سازمان باید تشکیلاتی براي تأمین امنیت شبکهاز نقطه نظر ساختار، شرح وظایف و جایگاه آن در چارتسازمانی و برنامه هاي تأمین نیروي انسانی آن طراحی شود.

این تشکیلات در سه سطح سیاست گذاري، مدیریت اجرایی وسطح فنی به طراحی، نظارت و اجراي طرح ها و برنامه هايامنیتی می پردازد.

برنامه ریزي ها باید به دو صورت کوتاه مدت و بلندمدت (یا میان مدت) با توجه به اهداف امنیت سازمانطراحی شود.

براي اینکه سیاست هاي امنیتی به خوبی پیاده سازي شوند تمام افرادي که وظیفۀ نگهداري و محافظتسیستم را به عهده دارند باید در پیاده سازي آنها همکاريکنند.

براي برنامه ریزي و دادن طرح ها و رویه هاي امنیتی ابتدا باید سرمایه ها و ریسک ها را شناسایی و درجه بندي نمود.که در بخش مدیریت ریسک به آن خواهیم پرداخت.

پس از طراحی برنامه امنیت سازمان، طراحی برنامه آگاهی رسانی، تربیت نیروي انسانی و آموزش امنیت درسازمان باید و همچنین طرح پشتیبانی حوادث امنیتیسازمان را نیز طراحی نمود.

سیاست هاي امنیتی باید براي موارد مختلفی از جمله موارد زیر طراحی شود: سیاست هاي دسترسی کاربرانبه شبکه داخلی، دسترسی کاربران به شبکه اینترنت،وب، ویدئو ،E-mail سیاست هاي امنیتی در مورد سرویس هايدسترسی از راه دور، ،Wireless ، کنفرانس، وب هاستینگسرویس هاي اشتراك، دسترسی و انتقال فایل ها، دسترسی بهبانکهاي اطلاعاتی، دسترسی کاربران به سخت افزارها،سیاست هاي انتخاب سیستم عامل، سیاست هاي انتخاب وتنظیم ایستگاه هاي کاري، سیاست هاي نصب نرم افزار،سیاست هاي پشتیبان گیري، سیاست هاي محافظت در مقابلویروس، سیاست هاي بازرسی دوره اي امنیت ایستگاه هايکاري، سیاست هاي امنیتی استفاده از سخت افزارهاي مختلف،سیاست هاي دسترسی کاربران به نرم افزارها و سرویس هايشبکه و سیاست هاي امنیت فیزیکی و. ..در هر سازمان پس از تهیه سیاست ها و استانداردها و روال هاي امنیتی، معماري موجود سازمان بررسی شود،

رخنه ها و خطرهاي آن مشخص شوند. سپس با توجه بهاهداف و سیاست ها نیازمندي هاي امنیتی شامل جزئیاتی مانندها، دسترسی از راه دور، حفاظت از میزبان UPN ، ها TDSو حتی طراحی هاي شبکه مانند تغییر (host protect)توپولوژي. .. شناسایی و اولویت بندي گردد.

پس از انتخاب هدف ها و سیاست هاي امنیتی باید به تهیه روال ها و دستورالعمل هاي اجرایی جهت عملیاتیکردن آن سیاست ها پرداخت.

مدیریت ریسک هاي حقوقی و حیثیت مقررات و قوانین مربوط به حفظ محرمانگی و حفاظت ازداده ها و تراکنش هاي مشتریان از یک حوزه قضایی به حوزهدیگر تغییر می کند. با این وجودنهادها مسئولیت دارند تا بهنحو مناسب از افشاي اطلاعات مشتریان جلوگیري کرده واقدام لازم براي حفاظت از داده هاي مشتریان را انجام دهند.

-4 سیاستهاي اجزاي سیستم

سیاست امنیتی، یک حکم دربارة استراتژي مدیریت با توجه به امنیت می باشد. بیانیه هاي مربوط به سیاست، بهعناوین زیر دسته بندي می شوند:

سیاست سازمان

سیاست امنیت اطلاعات

سیاست امنیت کارکنان

سیاست امنیت فیزیکی و محیطی

سیاست امنیت کامپیوترها و شبکه

مدیریت سیستم

سیاست شبکه

سیاست توسعۀ برنامه هاي کاربردي

پیاده سازي مؤفق امنیت اطلاعات به موارد زیر بستگیدارد:

اهداف و فعالیت هاي امنیتی باید برمبناي اهداف و نیازمندي هاي تجاري باشند و توسط مدیریت تجاري هدایتشوند.

باید پشیبانی و تعهد روشنی از جانب مدیریت مافوق وجود داشته باشد.

باید درك روشنی از ریسک هاي امنیتی (تهدیدات و آسیب پذیري هاي) مربوط به اموال سازمان و نیز سطح ایمنیدرون سازمان وجود داشته باشد.

امنیت باید به صورت مؤثر به کلیۀ مدیران و کارمندان ارائه شود.

باید رهنمودهاي جامع دربارة سیاست و استانداردهاي امنیت در میان کلیۀ کارمندان و پیمان کارانتوزیع شود.

که در بخش هاي آینده مورد استفاده ، تا سمبل هايقرار گرفته اند، بیانگر ترتیب لازم براي حفاظت داده هاي بادرجۀ حساسیت خاص می باشند.

-5 سیاست سازمان

هر واحد تجاري مسئول ایجاد سیاست امنیتی خودشمی باشد. این سیاست باید قواعدي را براي حفاظت داده ها وفرایند هاي تجاري مطابق با تهدیدها و ریسک هاي موجود وارزش این اموال تعیین نماید. کلیۀ داده ها باید براساسرده هاي حساسیت موجود در سازمان، برچسب گذاري شوند.

-6 سیاست امنیت اطلاعات

براي کلیۀ دارایی هاي اطلاعاتی عمده باید دارنده یا مالک وجود داشته باشد.

دارندة اطلاعات باید براساس مسئولیت هاي قانونی، ارزش ، سیاست سازمان و نیازهاي تجاري، آن ها را در یکی ازسطوح حساسیت قرار دهد. او مسئول حفاظت از این اطلاعاتاست.

دارندة اطلاعات باید افرادي را که مجاز به دسترسی به داده ها هستند مشخص نماید.

دارندة اطلاعات مسئول آن ها است و باید آن ها را امن نگه دارد.

-7 طبقه بندي اطلاعات

در این جا، یک سیستم طبقه بندي پیشنهاد می شود کهاطلاعات را در 4 سطح طبقه بندي می نماید. پایین ترین سطح،

داراي کمترین حساسیت است؛ بالاترین سطح، یعنی ، یعنیبراي مهم ترین داده ها/فرایندها استفاده می شود. هر سطح، فوق مجموعه اي براي سطح قبلی محسوب می شود.

براي مثال،

طبقه بندي شود، در این صورت، آن  اگر یک سیستم در ردةپیروي کند. اگر و سیستم باید از رهنمودهاي ردةیک سیستم شامل داده هاي مربوط به بیش از یک ردةحساسیت باشد، باید براساس نیازهاي مربوط به محرمانه ترینداده ها در سیستم، طبقه بندي شود.

اطلاعات عمومی / طبقه بندي نشده : ردةتوصیف: داده هاي موجود در این سیستم ها 

می توانند بدون ایجاد گرفتاري براي سازمان، دراختیار عموم قرار گیرند. به عبارتی، این داده هامحرمانه نیستند. تمامیت داده ها حیاتی نیست.

فقدان سرویس دهی به دلیل حملات بدخواهانه، یکخطر قابل پذیرش می باشد.

مثال : سرویس هاي آزمایشی بدون داده هاي محرمانه، سرویس هاي اطلاعاتی عمومی

رهنمودهاي مربوط به ذخیره سازي: ندارد

رهنمودهاي مربوط به انتقال: ندارد

رهنمودهاي مربوط به تخریب: ندارد

اطلاعات داخلی : ردةتوصیف: از دسترسی خارجی به این داده ها ممانعت به عمل می آید، اما چنانچه اینداده ها در اختیار عموم باشند، نتایج بحرانی نخواهدداشت. دسترسی داخلی به این داده ها به صورتگزینشی انجام می شود. تمامیت داده ها مهم است اما حیاتی نمی باشد.

مثال: پروتکل هاي مربوط به میتینگ ها و دفترچه هاي تلفن داخلیرهنمودهاي مربوط به ذخیره سازي: 1. اطلاعات باید برچسب گذاري شوند، یعنیسطح طبقه بندي باید برروي اسناد، رسانه ها(نوارهايمغناطیسی، دیسکت ها، دیسک هاي فشرده و …) پیغام هاي الکترونیکی و فایل ها نوشته شود.

که به حملات ویروسی IT 2. سیستم هايحساس هستند باید به صورت منظم از نظر ویروسبررسی شوند. تمامیت سیستم ها باید به صورت منظممورد نظارت قرار گیرد.

رهنمودهاي مربوط به انتقال:

1. براي پروژه هایی که با همکاري شرکاي

خارجی انجام می شوند، باید براي اطلاعاتی که می توانندتوسط شرکاي خارجی نیز مورد استفاده قرار گیرند، یکسند سیاست پروژه تنظیم شود.

2. این اطلاعات باید در سازمان باقی بمانند.چنانچه قرار شود این اطلاعات انتقال یابند، رمزکردنآن ها الزامی است.

3. به استثناء موارد ذکر شده در بند 1 و 2داده هاي داخلی نباید به خارج از سازمان انتقال یابند.

رهنمودهاي مربوط به تخریب: ندارد

اطلاعات محرمانه : ردة

توصیف: داده هاي این رده در سازمان

محرمانه محسوب می شوند و در برابر دسترسیخارجی محافظت می شوند. دسترسی چنینداده هایی توسط افراد غیرمجاز می تواند بر کیفیتعملکرد سازمان تاثیرگذار باشد، باعث خساراتمالی قابل توجه شود، منجر به بهرة قابل توجهیبراي رقیب شود و یا باعث افت شدید اطمینانمشتري به سازمان گردد. موضوع تمامیت براي اینداده ها یک موضوع حیاتی است.

مثال: حقوق ها، داده هاي شخصی، داده هاي حساب داري، پروژه هاي حساس،قرارداد هاي محرمانه.رهنمودهاي مربوط به ذخیره سازي:

1. اطلاعات باید برچسب گذاري شوند،یعنی سطح طبقه بندي باید برروي اسناد،رسانه ها(نوارهاي مغناطیسی، دیسکت ها، دیسک هايفشرده و …)، پیغام هاي الکترونیکی و فایل ها نوشتهشود.

که به حملات ویروسی IT 2. سیستم هايحساس هستند باید به صورت منظم از نظر ویروسبررسی شوند. تمامیت سیستم ها باید به صورت منظمباید براي IT مورد نظارت قرار گیرد. سیستم هايمحافظت در مقابل تغییر غیرمجاز داده ها و برنامه هاپیکربندي شوند.

3. اطلاعات باید در مکان هاي قفل شدهنگهداري شوند (مثلا نگهداري اسناد در قفسه هايقفل شده و نگهداري کامپیوترها در اتاق هايقفل شده).

رهنمودهاي مربوط به انتقال:

1. کلمات عبور نباید به صورت عادي ورمزنشده انتقال یابند (به صورت الکترونیکی یا بررويکاغذ).

2. این اطلاعات باید در سازمان باقیبمانند. چنانچه قرار شود این اطلاعات انتقال یابند،رمزکردن آن ها الزامی است. الگوریتم هاي رمز مورداستفاده باید مقاوم و قدرتمند باشند.

رهنمودهاي مربوط به تخریب:

1. در زمانی که نیازي به اطلاعات وجودندارد، باید از بین برده شوند(مثلا تخریبدیسک هاي قدیمی یا استفاده از کاغذپاره کن برايتخریب اسناد کاغذي).اطلاعات سري : ردة

توصیف: دسترسی غیرمجاز داخلی یا خارجی به این داده ها می تواند براي سازمان بحرانی باشد. تمامیت داده ها یک امر حیاتی است. تعدادافرادي که می توانند به این داده ها دسترسی داشتهباشند، باید خیلی کم باشد. لازم است تا قواعدسخت گیرانه اي براي استفاده از این داده ها وضعشود.

مثال: داده هاي نظامی، اطلاعات مربوط به تراکنش هاي مالی عمده.

رهنمودهاي مربوط به ذخیره سازي:

1. اطلاعات باید برچسب گذاري شوند، یعنیسطح طبقه بندي باید برروي اسناد، رسانه ها(نوارهايمغناطیسی، دیسکت ها، دیسک هاي فشرده و …)،پیغام هاي الکترونیکی و فایل ها نوشته شود.

که به حملات ویروسی IT 2. سیستم هايحساس هستند باید به صورت منظم از نظر ویروسبررسی شوند. تمامیت سیستم ها باید به صورت منظمباید براي IT مورد نظارت قرار گیرد. سیستم هايمحافظت در مقابل تغییر غیرمجاز داده ها و برنامه هاپیکربندي شوند و مورد ممیزي قرار گیرند.

3. اطلاعات باید در مکان هاي قفل شده

نگهداري شوند (مثلا نگهداري اسناد در قفسه هايقفل شده و نگهداري کامپیوترها در اتاق هايقفل شده).

4. اطلاعات باید در فرمت هاي رمزشده یابرروي دیسک هاي قابل انتقالی که داراي حفاظتفیزیکی هستند ذخیره شوند.

رهنمودهاي مربوط به انتقال براي انتقال این اطلاعات به خارج از نواحی امن، باید ازرمزنگاري استفاده شود. الگوریتم هاي رمز مورد استفاده براياین اطلاعات باید مقاوم باشد.رهنمودهاي مربوط به تخریب در زمانی که نیازي به اطلاعات وجود ندارد، باید از بینبرده شوند(مثلا تخریب دیسک هاي قدیمی یا استفاده ازکاغذپاره کن براي تخریب اسناد کاغذي).

-8 سیاست امنیت کارکنان

کاربران به عنوان یکی از عوامل مهم در سیستم، نقشعمده اي در برآورده کردن شرایط امنیتی دارند.

اصول اخلاقی:

کاربران مجاز به انجام این کارها نیستند:

به اشتراكگذاشتن نام کاربر یا کلمات رمز با دوستان یا وابستگان، اجرايهاي شبکه، سوءاستفاده از منابع سیستم، سوءاستفاده snifferاز نامه هاي الکترونیکی، مزاحمت براي سرویس ها، کاوش درفایل هاي سایر کاربران بدون اخذ اجازه از آن ها، بارگذاريفایل هاي باینري و کپی کردن نرم افزارهاي بدون لیسانس.

سیاست کلمات عبور:

ترکیب نام کاربر و کلمۀ عبور، روشی براي شناساییموجودیت کاربران در یک سیستم است. اتخاذ یک سیاستخوب براي کلمات عبور، مهم ترین مانع در مقابل دسترسی هايغیرمجاز به سیستم می باشد. ویژگی هاي یک کلمۀ عبورمناسب عبارتند از:

ترکیبی از اعداد، حروف بزرگ، حروف کوچک و سمبل هاي نقطه گذاري باشد.به خاطر سپردن آن آسان باشد. حدس زدن آن مشکل باشد. تایپ کردن آن با سرعت انجام شود. رهنمودها

کلمۀ عبور را جایی ننویسید یا از طریق پست الکترونیکی ارسال نکنید.از کلمات عبور پیش فرض استفاده نکنید. کلمۀ عبورتان را به دیگران ندهید. چنانچه کلمات عبور فاش شدند، آن ها را بلافاصله تغییر دهید.

از کلمۀ عبور مدیر سیستم به صورت مشترك استفاده نکنید.

در صورت امکان، سعی کنید براي یک کاربر از یک کلمۀ عبور یکسان برروي سکوهايمختلف استفاده کنید. چنانچه کاربر فقط مجبور به حفظ کردن یک کلمۀ عبور باشد، احتمالا کلمۀعبور بهتري را انتخاب خواهد نمود.را به کاربران تذکر دهید. crack خطرات کلیۀ کلمات عبور پیش فرض که توسط فروشنده تعیین شده اند، باید قبل از استفادةسیستم تغییر یابند.

کلمات عبور باید به شکل رمزشده ذخیره شوند. روش رمزنگاري باید مقاوم باشد و امکانحملۀ جامع 4 به آن وجود نداشته باشد.

کلمات عبور نباید در زمانی که تایپ می شوند، قابل دیدن باشند. حتی نمایش کاراکتر*” به ازاي هر کاراکتر از کلمۀ عبور، کار درستینیست.

یک کاربر نباید قادر به خواندن کلمات عبور سایر کاربران از فایل کلمات عبور باشد.ازگنجاندن کلمات عبور به صورت آشکار در نرم افزارباید به هر قیمتی پرهیز شود. حتی کلمات عبوررمزشده هم بهتر است در نرم افزار گنجانده نشوند.

براي یک کلمۀ عبور یک کاربر باید ویژگی هاي “حداقل عمر”، “حداکثر عمر”، حداقل4 Brute-forceطول” و “لیست سوابق” مشخص شوند. منظور از”لیست سوابق”، کلمات عبور قبلی کاربر است.براي ایمنی بیشتر می توان استفاده از یک تعدادمشخص از کلمات عبور قبلی را ممنوع کرد.

سیستم باید قبل از پذیرش کلمۀ عبور، محتویات آن را مورد بررسی قرار دهد و از تطبیقآن با قواعد فوق اطمینان حاصل کند.

کاربران نباید قادر به تغییر کلمات عبور سایر کاربران باشند.

در صورت امکان، تغییر کلمات عبور را در اولین ارتباط، الزامی کنید.

استفاده از روش هاي تصدیق دیگر مانند روش هاي بیومتریک را هم در نظر بگیرید.در صورت امکان، تولید کلمۀ عبوراتوماتیک را که به منظور کمک به کاربر انجاممی شود غیرفعال نمایید.

-9 سیاست عمومی نرم افزار

در صورتی که مدیر سیستم مسئولیت تمامیت منابع را بپذیرد، نرم افزارهاي عمومی 5 رامورد استفاده  و  می توان در سیستم هاي ردةقرار داد.

نرم افزارهاي عمومی نباید در سیستم هاي مورد استفاده واقع شوند. اما، اگر لازم باشد،  ردةمی توان این کار را بعد از مرور کد مبداء، یا (درصورت بزرگ بودن کد) بعد از استفادة عمومینرم افزار به مدت حداقل یک سال در سیستم هايمشابه و نیز آزمایش دقیق نرم افزار در یک محیطمحافظت شده انجام داد.

نرم افزارهاي بدون مجوز 6 نباید مورد استفاده قرار گیرند.

استفاده از بازي هاي کامپیوتري تنها در صورتی مجاز است که مدیر سیستم مطمئن باشدکه آن ها بیش از 5% از منابع سیستم (مانندپردازنده، حافظۀ اصلی و دیسک) را مورد استفادهقرار نمی دهند.

5 public domain

6 unlicensed

شبکه ها:

اطلاعات محرمانه:

داده هاي محرمانه قبل از ارسال از طریق شبکه هاي عمومی باید رمز شوند.

اتصال به شبکه ها:

یک کاربر نباید به ماشین هاي موجود در شبکه هاي خارج از شبکۀ محلی سازمان متصلشود.دسترسی به شبکه هاي خارجی (عمومی و خصوصی) باید از طریق دیوارة آتش انجام پذیرند.

کلیۀ دیواره هاي آتش باید تحت قواعد امنیتی

سازمان نصب و نگهداري شوند.

مودم ها:

کاربران نباید برروي ماشین هایشان از مودم استفاده کنند.به شبکۀ محلی سازمان dial-in دسترسی فقط براي کاربران مشخصی مجاز است. کلیۀباید از طریق dial-in دسترسی هاي سرویس دهنده هاي امن با مکانیزم کلمۀ عبور یک بارمصرف 7 صورت پذیرد.

پست الکترونیکی

کاربران باید آگاه باشند که سیستم هاي پست الکترونیکی مرسوم، در اغلب موارد تضمینیدر زمینۀ محرمانگی یا گواهی مبداء یا مقصد ارائهنمی دهند. در بسیاري از سیستم ها، مدیر سیستممی تواند کلیۀ نامه هاي الکترونیکی را بخواند.

را می توان بدون داده هاي ردة رمزکردن در داخل سازمان انتقال داد. داده هاي ردةنباید از طریق  باید رمز شوند. داده هاي ردة پست الکترونیکی ارسال شوند.

که مشخصا براي تنها داده هاي ردة پروژه هاي داراي موجودیت هاي خارجی مجازشناخته شده اند، می توانند از طریق پستالکترونیکی به خارج از سازمان ارسال شوند.

7 one-time password

کاربران باید از از ریسک هاي مربوط به بازکردن فایل هاي شامل ماکرو، فایل هايو نیز نصب برنامه هاي دریافتی از طریق postscriptپست الکترونیکی آگاه باشند.

-10 اینترنت

در محیط هاي تجاري امروزي، اتصال به اینترنت به یکفرایند طبیعی تبدیل شده است. به دلیل فقدان ساختار وکنترل در اینترنت، استفاده از آن ریسک هاي بسیاري رابه دنبال دارد:

افشاء اطلاعات محرمانه امکان نفوذ هکرها از طریق اینترنت به شبکۀ سازمانامکان تغییر یا حذف اطلاعات عدم امکان دسترسی به سیستم ها به دلیل باراضافی آن. چنانچه کاربران مجاز به دسترسی به اینترنت باشند، باید از ریسک هاي مربوط به آن و نیز سیاست سازمان در مورداستفاده از اینترنت آگاه باشند. یک سیاست اینترنت مشخصباید وجود داشته باشد و اجرا شود.

کلیۀ دسترسی ها به خارج از شبکۀ سازمان هاي سازمان مورد تایید gateway باید از طریققرار گیرند.

چه کسانی مجاز به استفاده از اینترنت هستند؟ (مثلا، مدیران سیستم و واحدهاي تحقیق)

چه کسانی مجاز به استفاده از پست الکترونیکی هستند؟ (مثلا، همۀ افراد)

چه زمان هایی دسترسی به اینترنت مجاز نمی باشد؟ (مثلا، در زمان استفاده از سرویس دهنده هاي ردة)

از امکانات اینترنت براي چه مواردي نمی توان استفاده کرد؟ (مثلا، موارد شهوت انگیز،بارگذاري نرم افزارهاي خطرناك یا بدون لیسانس)

چه کسانی سرویس هاي اینترنت را ارائه می دهند؟ تحت چه شرایطی؟ها laptop -11 کامپیوترهاي قابل حمل وکامپیوترهاي قابل حمل به افراد امکان می دهند تا بیشترمولد باشند. اما از نقطه نظر امنیت، این کامپیوترها عاملریسک هایی مانند افشاء، دزدي و ارائۀ یک نقطۀ دسترسیغیرمجاز به شبکۀ سازمان هستند. ازطرفی، محاسبات سیار 8در حال رشد است و اتخاذ یک سیاست ویژه ضروري می باشد.

سیاست هاي ممکن عبارتند از:

آیا کامپیوترهاي قابل حمل توسط کارکنان آماده و راه اندازي شده است. IT متخصصدر صورت امکان، از یک برنامۀ رمزنگاري پیشرفته اما ساده، براي رمزکردن فایل ها استفادهکنید.

در صورتی که یک کاربر عادي نباید به سیستم دسترسی کامل داشته باشد، از یکاستفاده کنید. NT یا UNIX سیستم عامل مانندکاربران در خارج از ساختمان سازمان، مسئول کامپیوترهاي قابل حمل خود هستند.

مکانیزم هاي قفل کردن اتوماتیک صفحۀنمایش و نیز کلمۀ عبور براي بوت کردن سیستمباید مورد استفاده قرار گیرند.

یک ویروس یاب باید برروي سیستم نصب شود.

حمل ونقل کامپیوترهاي کیفی در مکان هاي عمومی باید با استفاده از کیف هايدستی معمولی صورت پذیرد.

نباید با استفاده از  داده هاي ردة کامپیوترهاي قابل حمل انتقال یابند مگر این که رمزشده باشند.در زمان عدم استفاده از کامپیوتر آن را خاموش کنید.

-12 سیاست مدیریت سیستم

مدیر سیستم باید مطمئن باشد که سیستم ها در زمانلازم قابل استفاده اند، اطلاعات محرمانه تنها براي افراد دارايمجوز قابل دسترسی اند و اطلاعات نباید بدون مجوز تغییریابند. موارد زیر باید تعریف شوند:

چه کسی سیاست هاي مدیریتی را اصلاح می کند؟

8 mobile computing

چه کسی داراي مجوز براي تایید دسترسی و تصویب استفاده است؟ چه کسیمی تواند امتیازات مدیر سیستم را داشته باشد؟

حقوق و مسئولیت هاي مدیر سیستم چیست؟

آیا کاربران داراي دسترسی در سطح مدیر سیستم به ایستگاه هاي کاري خود هستند؟

-13 امنیت فیزیکی

یک سند براي سیاست امنیت فیزیکی باید وضع شود کهمعیارهاي مربوط به حفاظت ساختمان ها را با توجه به حوادثبد (مانند طوفان، آتش سوزي، زلزله، انفجار و قطع برق)،دزدي، کنترل دسترسی، گاوصندوق ها، اتاق کامپیوترها وجعبه هاي سیم کشی با جزییات مشخص نماید.

تعریف نواحی الزامی است.

ناحیۀ 1: نواحی باز براي عموم افراد ناحیۀ 2: نواحی بسته براي عموم افراد و باز براي کارکنان سازمان

ناحیۀ 3: نواحی محافظت شده که تنها با شناسایی قابل دسترسی هستند و دسترسی به آن ها شدیدا کنترلمی شود.

چه کسی مسئول تخریب دیسک هاي محرمانۀ معیوب است؟

چه کسی مسئول تخریب سرویس دهنده ها، دیسک ها و نوارهاي مغناطیسی قدیمی است؟

دستوالعمل هایی براي اتاق سرویس دهنده ها تعریف کنید:

کلیۀ ابزارهاي محاسباتی باید به صورت درست نصب و برچسب گذاري شوند.

سیم کشی باید مرتب و با برچسب گذاري انجام شود به طوري که تخریب یا قطع عمدي اتصالات میسرنباشد.دیاگرام محل نصب همۀ سرویس دهنده ها باید در اختیار باشد.

دستورالعمل هایی براي انتقال رسانه هاي الکترونیکی(نوارهاي مغناطیسی، پشتیبان ها، دیسک ها و …)وضع کنید.

-14 کنترل دسترسی

کلیۀ کاربران باید داراي مجوز باشند. کاربران باید قادر به تنظیم امتیازات اشیاء متعلق به خودشان باشند.

کاربران باید از حذف فایل هاي سایر کاربران در دایرکتوري هاي مشترك منع شوند.

کنترل دسترسی کاربر به کلیۀ اشیاء سیستم (فایل ها، چاپگرها، ابزارها، پایگاه هاي داده، فرامین، برنامه هايکاربردي و …) باید براساس یک سیاست مشخص صورت گیرد.

کاربران نباید قادر به بررسی کنترل دسترسی واگذار شده به سایر کاربران باشند.باید تا طبقه بندي داده ها در رده هاي امکان پذیر باشد.

کنترل دسترسی اجباري باید تدارك دیده شود. logon -15 سیاستاصل اساسی: به یک کاربر، کمترین امتیازات و کوتاه ترین زمان لازم براي انجام کارهایش را بدهید.ها فقط باید براي افراد داراي مجوز صادر Account شوند.

هر کاربر باید با یک نام یا شماره، شناسایی شود و به یک گروه تعلق داشته باشد.ساختار مورد استفاده براي نام کاربر و نام گروه باید از استاندارد مشخصی پیروي کند.کاربران و گروه ها باید توسط مدیر سیستم مدیریت شوند نه توسط خودشان.شناسه هاي گروهی نباید استفاده شوند. هر کاربر باید تنها یک شناسه در سیستم داشته باشد.شناسه هاي میهمان 9 نباید استفاده شوند. در صورت انتقال یک کاربر یا خاتمۀ کار وي، شناسۀ او باید بلافاصله بلوك یا حذف شود.بعد از 15 دقیقه بیکار بودن سیستم، باید صفحۀ نمایش قفل شده و براي ورود مجدد به سیستم، کلمۀ عبورلازم باشد.

9 guest accounts

در مورد اعمالی که امنیت را نقض می کنند، باید به کاربران هشدار داده شود.

چنانچه استفاده از یک شناسه براي ورود به سیستم در مدت زمان کوتاهی دچار مشکل شود (مثلا 20 بارتلاش در 1 ساعت)، باید آن را بلوك و کاربر را مطلع کنیم.

هنگامی که یک کاربر به سیستم متصل می شود، موارد زیر باید به وي نمایش داده شوند:

یک اخطار قانونی براي آگاه ساختن کاربر از استفادة نادرست از سیستممؤفق و نامؤفق. login زمان آخرین کردن فقط باید در زمان هاي لازم امکان پذیر loginباشد (مثلا، 6 صبح تا 10 شب روزهاي غیر تعطیل)

بعد از چندبار تلاش dial-up در سیستم هاي تلفن را قطع کنید. ،login نامؤفق براياگر یک کاربر، “نام کاربر” یا “کلمۀ عبور” را اشتباه وارد کرد، نباید از پیغام هاي جداگانه براي اطلاع دادن به وياستفاده شود.

در صورتی که ترکیب نام کاربر/کلمۀ عبور را اشتباه 1 ثانیه تاخیر ایجاد ،login وارد کرد، قبل از شروع دومینکنید. چنانچه این مورد تکرار شد، هربار تاخیر را اضافه کنیدتا از فعالیت برنامه هاي حمله کننده جلوگیري شود.

اعضاي گروه مدیران سیستم باید از جانب مدیر انتخاب شوند.

هایی session باید روشی براي محدود کردن تعداد

که یک کاربر می تواند به طور همزمان ایجاد نماید، وجودداشته باشد.

باید روشی براي تنظیم تاریخ انقضاء شناسه هاي کاربران وجود داشته باشد.

-16 اطمینان

ممیزي ها باید به صورت منظم برروي سیستم اجرا هر سه ماه  یک بار در سال و براي ردة  شوند(براي ردةیک بار)

سرویس دهنده هاي جدید براي مدیر سیستم نصب و آماده سازي می شوند. در این صورت، لازم است که کادرامنیت سازمان، آن ها را مطابق با یکی از رده هاي حساسیت،ممیزي و تایید کنند.

-17 پاسخ گویی و ممیزي

فایل هاي ثبت رد ممیزي 10 و برنامه ها باید محافظت شوند. آن ها باید تنها توسط کادر امنیت قابل دسترس باشند.

فایل هاي ثبت باید شامل کلمات عبور باشند. فعالیت هاي مدیر سیستم باید ثبت شوند.

باید ثبت شوند. login تلاش هاي نامؤفق براي رویدادهاي مهم باید به صورت اتوماتیک یک اعلان هشدار تواید نمایند.

باید امکان مشخص کردن نحوة ممیزي براساس موضوع یا شیء وجود داشته باشد.

هر مدخل در فایل ثبت ممیزي حداقل باید شامل این موارد باشد: نم اکاربر، تاریخ و ساعت، شناسۀ ترمینال، درجۀ خطا (مؤفقیت یا شکست) و شرح رویداد.

در صورت امکان، فایل هاي ثبت باید برروي رسانۀ نگهداري شوند. همچنین، (WORM “فقط خواندنی” (کاغذ یابهتر است به جاي نگهداري فایل هاي ثبت در ماشین هايمحلی، آن ها را به یک ماشین امن منتقل کنیم.

کلیۀ ماشین ها باید از ساعت همگام با بقیه استفاده کنند تا مهرهاي زمانی 11 مربوط به فایل ثبت ممیزي معتبرباشند.

-18 قابلیت اطمینان سرویس

سیاست پشتیبان گیري و بازیابی پشتیبان ها باید به صورت منظم تهیه شوند. هرچند وقت یک بار، باید پشتیبان ها را به مکانی خارج از سایت منتقل نمود.

باید در گاوصندوق هاي پشتیبان هاي ردة قفل شده نگهداري شوند. رسانه هاي قدیمی باید از بین بروندنه این که آن ها را دور بیندازیم.

براي هرسیستم یا گروهی از سیستم ها، باید یک سیاست پشتیبان گیري مستند شامل موارد زیر موجود باشد:

فاصلۀ زمانی تهیۀ پشتیبان ها نوع پشتیبان (افزایشی یا کامل) مکان نگهداري رسانه هاي پشتیبان مدت نگهداري رسانه هاي پشتیبان

10 audit trail logs

11 timestamps

چه کسی مسئول کنترل عملکرد درست پشتیبان ها است؟

یک سیاست بازیابی، شامل موارد زیر، باید موجود باشد:

چه کسی مسئول بررسی عملکرد درست است؟

یک شرح مفصل از برنامه هایی که استفاده می شوند و نیز نحوة بازیابی داده ها یک شرح مفصل از نحوة بازیابی سیستم عامل بعد از خرابی دیسک یا سایر قسمت هاي سیستمسیاست بازیابی را به صورت منظم مورد آزمایش قرار دهید.

مدیریت تغییرات(نصب یا به روزرسانی نرم افزار/ سخت افزار)

تنها مدیران سیستم باید قادر به نصب نرم افزار برروي سرویس دهنده ها باشند. کاربران نباید بتوانند برروينرم افزار نصب کنند.  ایستگاه هاي کاري ردةسیستم ها باید براساس دستوالعمل هاي فروشنده، به صورت مرتب و درست نصب شوند.

در هر سرویس دهنده باید یک فایل ثبت تغییرات وجود داشته باشد که کلیۀ تغییرات ایجاد شده در سیستم رابه صورت مفصل نگه داري کند.

patch نصب سیستم عامل باید شامل نصب کلیۀ هاي آن نیز باشد.

یک برچسب شامل اطلاعات زیر باید برروي کلیۀ ماشین ها چسبانده شود: نام ماشین، نام سازندة و مدل ماشین،تاریخ پایان گارانتی و شمارة تلفن ،MAC آدرس ،IP آدرسبخش امداد و امنیت.

براي سرویس دهنده ها باید اطلاعات زیر هم اضافه شود: نام سرویس دهنده برروي کلیۀ ابزارهاي جانبی،نوع/تاریخ گارانتی/پیکربندي دیسک، دستورات کنسول برايتوقف یا راه اندازي مجدد.

هاي فروشندة اصلی نرم افزار استفاده patch تنها ازشود.

-19 سیاست شبکه

انتقال اطلاعات میان کامپیوترها می تواند یک تهدید بزرگبراي امنیت ایجاد نماید.

سیاست سیستم هاي شبکه اي/توزیعی

اطمینان: پیکربندي شبکه باید مستند باشد. شناسایی و تصدیق اصالت باید راهی براي شناسایی و تصدیق هر موضوعی در شبکۀ سازمان وجود داشته باشد.

در صورت امکان، باید یک مکانیزم واحد براي کردن کاربران به سیستم ها و برنامه هاي کاربردي logonتفاوت موجود باشد؛ بدین ترتیب، کاربران نیازي به داشتهچندین کلمۀ عبور نخواهند بود.

پاسخ گویی و ممیزي کاربران مسئول و پاسخ گوي اعمال خودشان هستند. آن ها باید از سیاست کاربران شبکه مطلع باشند.

نودهاي مهم شبکه باید فعالیت ها را ثبت کنند. این نودها باید به طور منظم براي رخنه هاي امنیتی مورد بررسیقرار گیرند.

لیست هاي کنترل دسترسی 12 براي فیلترهاي مهم باید هر 6 ماه یک بار ممیزي شوند.

کنترل دسترسی

پیکربندي نودهاي حساس شبکه: سرویس هاي غیرضروري شبکه باید غیرفعال شوند. سرویس هاي شبکه بایدبه صورت محدود پیکربندي شوند.

شبکه هاي موجود باید با برچسب هاي “دسترسی باز”، “دسترسی محدود” و “دسترسی خیلی محدود”مشخص شوند تا کاربران و صاحبان داده ها از نوع حفاظت ارائهشده مطلع شوند.

در صورتی که به شبکه هاي با دسترسی محدود نیاز است، کابل هاي شبکه نباید از مکان هاي عمومی عبور کنند.

این کابل ها باید از داخل لوله گذرانده شوند. در صورتکابل گذاري توسط افراد خارجی، حتما آن را وارسی کنید.

درستی 13 : نودهاي مهم شبکه باید تمامیت داده هاي خود را به طور منظم کنترل نمایند.

تبادل داده ها اطلاعات محرمانه باید تنها از طریق مکانیزم هاي انتقال تاییدشده ارسال شوند.

مثلا نام کاربر و کلمۀ ) login اطلاعات مربوط به عبور) نباید به صورت واضح از طریق شبکه ارسال شوند.

12 access control list

13 accuracy

شبکه ها باید در مقابل شنود 14 محافظت شوند. هنگام تبادل اطلاعات، موجودیت فرستنده یا گیرنده باید به اطلاعات ضمیمه شود.نباید براي کاربران بدون مجوز یا داده هاي ردة سیستم هایی که در روه هاي پایین قرار دارند ارسال شود.

قابلیت اطمینان سرویس / قابلیت دسترسی

شبکه در 24 ساعت شبانه روز و 7 روز هفته؛ موردنیاز است. نگهداري در روز چهارشنبه ساعت 18 تا 22حداکثر زمان کارنکردن سیستم در ساعات اداري باید 1ساعت باشد و این رویداد هر 2 ماه بیش از یکبار اتفاق نیفتد.

شبکه باید براي خطاها و مشکلات کارایی مورد نظارت قرار گیرد. عملیات پیش گیرانه باید قبل از قطعی هايجدي در شبکه صورت گیرد.

مدیریت تغییرات: به روزرسانی ها و تغییرات پیکربندي ها باید ثبت شوند.

-20 سیاست توسعۀ نرم افزار

امنیت باید یک بخش مجتمع در سیستم هاي جدید باشد.

هنگامی که نیازهاي عملیاتی طراحی می شوند، نیازهاي امنیتینیز باید متناظر با حساسیت و قابلیت دسترسی داده هایی کهقرار است توسط سیستم استفاده شوند، تنظیم گردند.

رهنمودهاي کلی

محیط و داده هاي مجزا براي توسعه و تولید در نظر گرفتن امنیت به عنوان یک بخش مجتمع در توسعۀ برنامه هاي کاربرديداده هاي آزمایشی نباید شامل اطلاعات محرمانه باشند.

استفاده از زبان هاي داراي ویژگی هاي به جاي Java امنیتی به جاي زبان هاي معمولی (مثلا.(C