ترجمه فصل سیزدهم کتاب رسمی نتورک پلاس

در پایان این فصل به سوالات زیر میتوانید پاسخ دهید:

  • سیاست های مشترک استفاده شده در شبکه مدرن ؟
  • بهترین روشهای معمول ؟

امروز شبکه پیچیده است خوشبختانه ، سیاست ها و شیوه های ثابتی وجود دارد که می توانید از آنها برای کمک به برداشت حدس و گمان از پیاده سازی و نگهداری شبکه خود استفاده کنید. این امر به ویژه در زمینه پیچیده و چالش برانگیز امنیت شبکه بسیار مفید است. این فصل با توصیف (با جزئیات) سیاست هایی که می توانید برای شبکه خود در نظر بگیرید آغاز می شود. به خاطر داشته باشید که ممکن است برخی از اینها اصلاً مربوط به سازمان شما نباشد ، اما اگر برای آزمون نتورک + آماده می شوید باز هم باید برای مطالعه آنها وقت بگذارید. به عنوان مثال ، ممکن است شرکت شما خط مشی های BYOD (bring-your-own-device) اعمال نمی کند زیرا شرکت شما BYOD را کاملاً منع می کند ، با این حال این موضوع ممکن است در امتحان آورده شود. این فصل همچنین شامل بسیاری از موارد از جمله[۱](NDA) و رویکردهای چرخه عمر سیستم است .

مباحث بنیادی

سیاست ها

بسیاری از سیاست های مهم امروزه در شبکه هایی که شما باید برای سازمان خود در نظر بگیرید کاملاً عادی شده است. در این بخش از فصل ، مهمترین موارد برای شما ذکر شده است.

Password Policy

از آنجا که اطلاعات حساس و بیشتر در حال ذخیره شدن در شبکه های ما هستند ، اقدامات امنیتی بیشتری نسبت به گذشته لازم است. مثلا ، سازمان شما باید از یک سیاست امنیتی خوش ساخت برخوردار باشد و این سیاست امنیتی باید شامل یک سیاست رمز عبور جامع باشد. به خاطر داشته باشید که علاوه بر ترکیب نام کاربری و رمزعبور ” simple” ، بسیاری از فناوری های قدرتمند دیگر که در شبکه مدرن یافت می شوند ، برای احراز هویت کاربر در دسترس هستند. فصل ۱۲ ، “امنیت شبکه” ، این فن آوری ها را شامل می شود که شامل موارد زیر است:

  • گذرواژه های یکبار مصرف (OTP)( One-time passwords)
  • گواهینامه های کلاینت(Client certificates)
  • کارت های هوشمند (Smart cards)
  • بیومتریک (Biometrics)
  • احراز هویت چند عاملی (Multifactor authentication)

با وجود این گزینه های امنیتی اضافی ، رمزعبور ” classic ” هنوز هم در اکثر شبکه ها نقشی اساسی دارد. با نگاهی به عناوین اخبار اخیر مشخص است که اطلاعات کاربری کاربران حوزه اصلی حمله را نشان می دهد.

خط مشی رمز ورود شما باید شامل موارد زیر باشد:

  • آموزش برای کاربران نهایی
  • الزامات رمز عبور قوی مانند موارد زیر:
  1. حداقل طول رمز عبور
  2. محدودیت در استفاده از نام های مناسب
  3. انقضا رمز عبور
  4. گذرواژه قبلی استفاده نشده مجاز نیست
  5. هیچ کلمه ای به طور کامل در رمز ورود نوشته نشود
  6. استفاده از کاراکتر های زیر:
    • – حروف بزرگ
    • حروف کوچک
    • شماره
    • کاراکترهای خاص

سیاست گذرواژه شما همچنین ممکن است جزئیات استفاده از نرم افزار مدیریت رمز عبور را ارائه دهد. این نرم افزار، رمزهای عبور برای منابع مختلف را ذخیره می کند و حتی می تواند به کاربران در تولید رمزهای عبور پیچیده در این منابع کمک کند. البته ، خود نرم افزار باید با یک رمز عبور قوی که کاربر باید آن را بخاطر بسپارد ، محافظت شود.

پیشگیری از دست دادن داده ها

سیاست جامع [۲](DLP) به دنبال تمرکز بر تلفات تصادفی یا مخرب داده است. خط مشی های DLP کاربران داخلی و خارجی را در نظر می گیرند و همچنین شیوه هایی را برای محافظت در برابر داده های حساس تعریف می کنند. بهترین سیاست های DLP همچنین می تواند یکپارچه سازی گسترده شبکه را تحت پوشش قرار دهد ، نه اینکه فقط محدود به مناطق خاصی از شبکه مانند ایمیل باشد. بیشتر سیاست های DLP استفاده از اسکن در سطح محتوا و [۳](DCI) برای شناسایی داده های حساس و محافظت از آنها است. سیاست های DLP فعالیت ها را در سه سطح هدف قرار می دهد:

  • سطح مشتری (داده در حال کار)
  • سطح شبکه (داده در حال انتقال)
  • سطح ذخیره سازی (داده در حالت استراحت)

هنگام طراحی سیاست DLP برای سازمان خود باید اقدامات زیر را انجام دهید:

  • ارزیابی ریسک شرکت خود را در نظر بگیرید.
  • اعضای اصلی مدیریت را با بخشهای مختلف سازمان خود ترکیب کنید .
  • حساس ترین داده های سازمان را شناسایی کنید.
  • اجرای مرحله ای DLP را ترسیم کرده و دستورالعمل هایی را برای ردیابی موفقیت ابتکار به کار ببرید.
  • تلاش برای به حداقل رساندن هرگونه تأثیر منفی بر تجارت ناشی از اجرای سیاست.
  • به صورت دوره ای خط مشی DLP را مرور کنید.
  • مشخصات مربوط به نظارت بر رویدادها را در مورد خط مشی اعمال کنید.

خط مشی های دسترسی از راه دور

دسترسی از راه دور به منابع شبکه شرکتی امروزه چالش های منحصر به فردی برای سازمان ها به وجود می آورد. موضوع نگران کننده اصلی این است که شبکه از راه دور ممکن است فاقد کنترل های امنیتی مناسب باشد.

در اینجا نکات مهم برای سیاست دسترسی از راه دور شما ذکر شده است:

  • دامنه این خط مشی باید مشخص باشد و ممکن است شامل اهداف قابل اجرا مانند کارمندان ، پیمانکاران ، فروشندگان و نمایندگان دارای رایانه یا ایستگاه های کاری متعلق به شرکت یا شخص متعلق به شرکت برای اتصال به شبکه شرکتی باشد. این سیاست دسترسی از راه دور معمولاً در ارتباطات از راه دور با خود شرکت ، از جمله خواندن یا ارسال ایمیل و مشاهده منابع وب اینترانت اعمال می شود. این سیاست همچنین شامل همه گزینه های دسترسی از راه دور ، از جمله شماره گیری ، VPN و دسترسی به پورتال وب است.
  • جزئیات الزامات سیاست را، که ممکن است شامل آن باشد به طور واضح شرح دهید
  • استانداردهای رمزگذاری و امنیتی و همچنین مناطق قابل قبول دسترسی به شبکه.
  • بخشی را در مورد انطباق ، که می تواند شامل موارد استثنایی در سیاست ، اندازه گیری برای انطباق و عواقب عدم تطابق باشد را در نظر بگیرید
  • شما همچنین می توانید بخشی را که نشان می دهد سایر سیاست های امنیتی شبکه با این خط مشی ارتباط نزدیک دارند به خط مشی اضافه کنید

Incident Response Policies

از آنجا که مسائل امنیتی برای شبکه شما اجتناب ناپذیر است ، تهیه یک سیاست جامع پاسخگویی به حوادث بسیار مهم است. چنین سیاستی ممکن است مراحل مختلف یک طرح واکنش به حوادث، از جمله موارد زیر را ترسیم کند:

  • آماده سازی[۴]: این اغلب شامل توانایی شناسایی شروع حادثه ، تهیه یک برنامه بهبودی ، چگونگی برگرداندن همه چیز به حالت عادی و ایجاد سیاست های امنیتی است.
  • شناسایی[۵]: در اینجا تمرکز بر شناسایی دقیق حادثه امنیتی واقعی است.
  • حاوی[۶]: در اینجا ، نگرانی اصلی اغلب دوگانه است: اول ، محافظت و در دسترس نگه داشتن منابع محاسباتی مهم ؛ دوم ، تعیین وضعیت عملیاتی رایانه ، سیستم یا شبکه آلوده. هدف این است که حادثه امنیتی گسترش یابد.
  • ریشه کن کردن[۷]: این مرحله به طور خاص با رفع حمله سروکار دارد.
  • بازیابی[۸]: این مرحله اغلب شامل ترمیم سرویس و همچنین تایید مجدد دستگاه ها و سیستم های شبکه است.
  • بازبینی[۹]: برای سنجش اثربخشی و اصلاح سیاست پاسخگویی به حوادث در صورت لزوم برای آینده ، باید تمام مراحل در این مرحله بررسی شود.

Bring Your Own Device (BYOD)

سیاست نزدیک به سیاست دسترسی از راه دور مربوط به سیاست (BYOD) است. حداقل این سیاست مهم باید شامل موارد زیر باشد :

  • لیستی صریح و دقیق از اینکه چه دستگاه هایی واقعاً مجاز هستند
  • یک خط مشی امنیتی صریح برای هر دستگاه
  • سیاست پشتیبانی شرکتی مناسب برای هر دستگاه
  • ترسیم واضح آنچه برنامه ها و داده های متعلق به شرکت در مقابل آنچه متعلق به کاربر و / یا کارمند است
  • لیست صریح برنامه های مجاز در محیط BYOD
  • یکپارچه سازی سیاست BYOD با سیاست استفاده قابل قبول (AUP ، در ادامه توضیح داده می شود)
  • ارائه تفصیلی سیاست های خروج از کارمندان در رابطه با BYOD

Acceptable Use Policy (AUP)

از این سیاست گاهی به عنوان یک سیاست استفاده منصفانه یاد می شود. این برنامه به دنبال ارائه محدودیت ها و رهنمودهای کلی در مورد نحوه استفاده از شبکه است. در صورت بروز مشکل در عملکرد کارمندان در شبکه ، این سیاست می تواند پیامدهای حقوقی فوق العاده ای را برای یک سازمان به همراه داشته باشد. اگر کارمندان خود یک AUP دقیق را امضا کنند ، ممکن است یک سازمان در چنین شرایط قانونی از خود محافظت کند. AUP باید به شرح زیر باشد:

  • پاک کردن
  • مختصر
  • جزئیات مربوط به استفاده قابل قبول و غیرقابل قبول از شبکه
  • همگام با سیاست های کلی امنیتی مرتبط با سازمان
  • مواردی درباره عواقب نقض AUP

مانند بسیاری از سیاست های این بخش ، AUP باید در صورت لزوم بررسی و به روز شود.

روشهای ایمنی

من در نصب لامپ در خانه خود مردد هستم ، بنابراین احترام زیادی برای پیچیدگی نصب تجهیزات و اجزای شبکه بزرگ ، پیچیده و سنگین در یک سازمان قائلم. مطمئناً باید سیاست ها و رویه های ایمنی را برای تجهیزات شبکه در سازمان خود در نظر بگیرید. در اینجا برخی از موارد مشترک موجود در چنین سیاست هایی وجود دارد:

  • راهنماهای نصب و نگهداری تجهیزات را تا جای ممکن دنبال کنید
  • تمیز و منظم نگه داشتن همه مناطق کار
  • پوشیدن تجهیزات ایمنی مناسب
  • هنگام بلند کردن اجسام سنگین شبکه کمک کنید
  • هنگام تعامل با برق احتیاط کنید
  • جلوگیری از سایر خطرات شوک الکتریکی

بهترین روش ها

همانطور که ایده های سیاستی عالی برای کمک به ما در شبکه های ما وجود دارد ، موارد دیگری نیز وجود دارد که باید در نظر بگیرید. در این بخش از فصل چندین مورد ارائه شده است.

توافق نامه کاربر (PUA)

از آنجا که مدیران شبکه معمولاً به قدرت و دسترسی ” God-like” از طریق شبکه و داده هایی که از طریق آن جریان دارند ، نیاز دارند ، مهم است که توافق نامه [۱۰](PUA) را به عنوان بخشی از بهترین روش ها در بخش IT خود در نظر بگیرید. توافقنامه PUA ممکن است موارد زیر را پیش بینی کند:

  • دسترسی ممتاز باید فقط به افراد مجاز داده شود که توافق نامه را می خوانند و امضا می کنند.
  • دسترسی ممتاز فقط برای انجام وظایف محوله قابل استفاده است.
  • اگر روشهای دیگری غیر از استفاده از دسترسی ممتاز عملی را به انجام برسانند ، باید از این روشهای دیگر استفاده شود مگر اینکه بار زمان یا سایر منابع مورد نیاز به وضوح استفاده از دسترسی ممتاز را توجیه کند.
  • دسترسی ممتاز برای انجام وظایف استاندارد مربوط به سیستم فقط در ماشین آلات و شبکه هایی که مسئولیت آنها بخشی از وظایف شغلی اختصاص یافته است ممکن است مورد استفاده قرار گیرد.
  • دسترسی ممتاز ممکن است فقط برای فعالیتهای مجاز مدیریت حساب یا در شرایط استثنایی برای اعطای ، تغییر یا انکار منابع ، دسترسی یا امتیاز به شخص دیگری مورد استفاده قرار گیرد.

On-boarding/Off-boarding Procedures

یکی دیگر از بهترین روشهای عالی این است که روشهای دقیق On-boarding/Off-boarding Procedures  برای استخدام و خاتمه کارمندان در ارتباط با IT و شبکه وجود داشته باشد.

نمونه هایی از مراحل معمول سوار شدن ممکن است شامل موارد زیر باشد:

  • شماره شناسه و انتساب پین
  • نام کاربری و واگذاری رمز عبور
  • شناسنامه و تکالیف دسترسی
  • راه اندازی صندوق پستی ایمیل
  • راه اندازی سرویس گیرنده ایمیل
  • راه اندازی ایستگاه کاری
  • تأیید دسترسی به شبکه ایستگاه کاری
  • آموزش امنیت و بهترین شیوه های فناوری اطلاعات
  • راه اندازی تلفن و BYOD
  • مدیریت زمان و سایر آموزشهای نرم افزار منابع انسانی

محدودیت های صدور مجوز

همچنین ممکن است لازم باشد آموزش صدور مجوز و استفاده صحیح از سخت افزار و نرم افزار شرکتی را آموزش دهید. از آنجا که شبکه ها پیچیده تر شده اند (به عنوان مثال ، با استفاده از فن آوری های cloud عمومی) ، موافقت نامه های صدور مجوز نیز به همین ترتیب است. مهم است که کاربران شما با تمام توافق نامه ها و محدودیت های موجود در زمینه صدور مجوز مطابقت داشته باشند.

کنترل های صادرات بین المللی

روش مهم دیگر ، آموزش کارکنان فناوری اطلاعات و کاربران نهایی در مورد قوانین بین المللی صادراتی است که سازمان شما باید رعایت کند. با استفاده از دولت ایالات متحده به عنوان نمونه ، آژانس های خاص انتقال اطلاعات ، کالاها ، فن آوری و نرم افزارهایی را که از نظر استراتژیک برای ایالات متحده مهم هستند ، به منظور امنیت ملی ، اقتصادی و / یا سیاست خارجی تنظیم می کنند. مدیریت شما باید درک کند که عدم پیروی از کنترل صادرات می تواند منجر به مجازات های سنگین پولی و کیفری علیه هر دو شخص در شرکت شما و همچنین خود سازمان شود.

توجه

یک قسمت مهم از مقررات صادرات در زمینه رمزنگاری است.

توافق نامه عدم افشای اطلاعات [۱۱](NDA)

بهترین روش معمول دیگر ، استفاده از توافق نامه عدم افشای اطلاعات در سازمان شما است. NDA یک قرارداد حقوقی با ویژگی های مشترک زیر است:

  • حداقل بین دو طرف است.
  • این مطالب ، اطلاعات یا اطلاعات محرمانه ای را که طرفین می خواهند با یکدیگر به اشتراک بگذارند اما دسترسی دیگران را محدود می کنند ، بیان می کند.
  • این یک رابطه محرمانه بین طرفین ایجاد می کند تا از هر نوع اطلاعات محرمانه و انحصاری محافظت کند.
  • این اطلاعات کسب و کار غیر عمومی را محافظت می کند.

NDA برای امضای کارمندان کاملاً عادی شده است.

System Life Cycle

پرسنل شبکه IT شما همچنین باید به چرخه عمر سیستم و تجهیزات و نرم افزار مورد استفاده پایبند باشند. چرخه عمر سیستم باید راهنمایی های ارزشمندی در مورد بهترین روشهای سازمان در مورد اجزای شبکه ارائه دهد.

در اینجا چند نمونه از مراحل موجود در چرخه عمر سیستم وجود دارد:

  • طراحی مفهومی
  • طراحی اولیه سیستم
  • طراحی و توسعه جزئیات
  • تولید و ساخت
  • استفاده و پشتیبانی
  • حذف مرحله
  • دسترس

مطالعه موردی در دنیای واقعی

شرکت Acme ، می خواهد اطمینان حاصل کند که از طریق سیاست ها و بهترین روش های ممکن در طراحی ، بهره برداری و نگهداری شبکه خود ، فکرهای بسیاری را شامل می شود. به همین ترتیب ، این شرکت برای تهیه اسناد مهم سیاست ها و بهترین روش ها ، تیمی از مشاوران حقوقی و روسای کلیدی گروه ها را جمع کرده است. Acme اکنون یک سیاست امنیتی جامع شبکه دارد که شامل موارد زیر است:

  • خط مشی گذرواژه
  • سیاست پیشگیری از دست دادن داده ها.
  • سیاست پاسخگویی به حوادث.
  • یک سیاست استفاده قابل قبول
  • On-boarding and off-boarding procedures
  • NDA اجباری برای همه کارمندان.
  • چرخه عمر دقیق سیستم برای سخت افزار و نرم افزار شبکه.

همچنین ، مدیران Acme با داشتن امتیازات بالاتر از شبکه نسبت به کاربران استاندارد ، اکنون ملزم به امضای PUA قبل از دسترسی به محیط مدیریت هستند. Acme همچنین برای بررسی مداوم اسناد و بهترین روش ها و همچنین روشی برای تغییر آنها برنامه ریزی کرده است.

خلاصه

در اینجا موضوعات اصلی ذکر شده در این فصل وجود دارد:

  • این فصل جزئیات چندین سیاست رایج موجود در شبکه های امروزی ، از جمله سیاست های رمز عبور ، جلوگیری از از دست دادن داده ها ، سیاست های دسترسی از راه دور ، سیاست های پاسخ به حوادث ، سیاست های BYOD ، سیاست های قابل قبول و سیاست های ایمنی را شامل می شود .
  • این فصل همچنین بسیاری از موارد بهترین روش ، از جمله توافق نامه های استفاده کننده ممتاز ، on-boarding and off-boarding procedures ، محدودیت های صدور مجوز ، کنترل های صادرات بین المللی ، توافق نامه های عدم افشای اطلاعات و چرخه های عمر سیستم را ارائه می دهد.

 

 

[۱] non-disclosure agreements

[۲] data loss prevention

[۳] deep content inspection

[۴] Prepare

[۵] Identify

[۶] Contain

[۷] Eradicate

[۸] Recover

[۹] Review

[۱۰] privileged user agreement

[۱۱] Non-Disclosure Agreement

ارسال دیدگاه

نشانی ایمیل شما منتشر نخواهد شد.