خدمات مشاوره امنیت


۱۳۹۸/۰۹/۱۸ Study time ۴ دقیقه


در عصر دیجیتالی امروز، پیشرفت تکنولوژی باعث شده تا موضوع امنیت بیش‌ازپیش مورد توجه قرار گیرد. مشاوره امنیت نیز به امری جدانشدنی از بخش فناوری اطلاعات سازمان‌های کوچک و بزرگ تبدیل شده است. این موضوع یکی از چالش‌برانگیزترین موضوعات در دنیای IT به‌شمار می‌رود. هکرها به دلایل مختلفی سازمان‌ها را مورد حمله قرار می‌دهند و در پی آن، خسارت‌های بسیاری را بر پیکره سازمان وارد می‌کنند. خسارت‌هایی مانند نشت اطلاعات کاربران یاهو که باعث ازدست رفتن اعتبار این شرکت بزرگ شد. اتفاقاتی از این قبیل، می‌توانند با مشاوره‌های امنیتی پیش از وقوع، جلوگیری شوند.
اگر با یک شبکه ساده که تعداد انگشت‌شماری از دستگاه‌ها و اتصالات را درون خود دارد مواجه باشیم و یا یک سرور تک در اختیار داشته باشیم، ایمن‌سازی آن‌ها کار نسبتاً آسانی خواهد بود. اما هنگامی که شبکه گسترش می‌یابد و شامل توپولوژی‌های غیربدیهی می‌شود، پیچیدگی شبکه با اتصال‌های متعدد که به‌طور نامنظم و کاملاً تصادفی اجرا می‌شوند، به‌طور چشم‌گیری افزایش می‌یابد.
این پیچیدگی‌ها در شبکه باعث ایجاد آسیب‌پذیری می‌شوند. فرصت‌های نفوذی که دراختیار هکرها قرار می‌گیرند، ازطریق تعاملات غیرقابل پیش‌بینی بین سیستم‌ها و قابلیت‌های متغیر، قابل انجام خواهند بود. این فرصت‌های نفوذ می‌توانند امنیت شبکه را به‌خطر بیاندازند. امروزه در بسیاری از شبکه‌های درونی سازمان‌ها، تعدادی از نودها، اتصالات و کاربران تشکیل‌دهنده‌ای وجود دارند که از نرم‌افزارهای آسیب‌پذیر استفاده می‌کنند. این امر باعث می‌شود که هکرها زمان زیادی را صرف نفوذ به شبکه نکنند. در این‌گونه موارد، تامین امنیت شبکه برعهده مشاوران امنیت شبکه است.
هر سیستمی دارای راه‌کارهای امنیتی منحصربه‌فردی است. این راه‌کارها براساس سرویس‌های امنیتی موردنیاز تعریف می‌شوند. مهم‌ترین استاندارد مورداستفاده برای استقرار سرویس‌های امنیتی، استاندارد X.800 می‌باشد که شامل موارد زیر است:
  • حفظ حریم خصوصی (Privacy)
  • قابلیت دسترسی (Availability)
  • صحت داده‌ها (Data Integrity)
  • امنیت ارتباطات (Communication Security)
  • محرمانگی داده‌ها (Data Confidentiality)
  • انکارناپذیری (Non-Repudiation)
  • احراز اصالت طرفین (Authentication)
  • کنترل دستیابی (Access Control)
مراحل پیاده‌سازی مشاوره امنیت
برای پیاده‌سازی یک سیستم امنیتی مناسب، مراحل زیر باید انجام شوند:
  • برآورد نیازهای امنیتی شبکه
    براساس نوع شبکه‌ی طراحی‌شده، نوع استفاده از آن و کاربردهای مختلف آن، نیازهای امنیتی شبکه باید بررسی شوند.
  • اتخاذ سیاست‌های امنیتی لازم
    دراین مرحله سیاست‌ها و تدابیر امنیتی لازم اتخاذ می‌شوند. این تدابیر برای پاسخ به نیازهایی خواهد بود که در مرحله قبل برای شبکه برآورد شده است.
  • ارائه طرح امنیتی شبکه
    براساس نیازها و سیاست‌های برآورد کننده‌ی آن‌ها، طرحی از سیاست کلی شبکه ارائه می‌شود، به‌طوری که تمامی نیازهای شبکه برآروده شده و در طرح جامع و مانعی که تهیه شده است، هیچ تداخلی وجود نداشته باشد.
  • پیاده‌سازی و تست
    در این مرحله تجهیزات و سیستم‌های لازم برای طرح انتخاب می‌شود. تنظیمات کلیه سیستم‌ها پس‌از تجزیه و تحلیل کافی استخراج می‌شوند. برای تست طرح پیاده‌سازی‌شده، دسترسی‌ها و امکانات نفوذ تست‌شده و درصورت خطا، راه‌کارهای پیش‌گیری به‌کار گرفته می‌شوند.
  • مدیریت امنیت
    این مرحله که پس از اتمام پیاده‌سازی انجام می‌شود، شامل تمامی مسائل مدیریتی امنیت شبکه خواهد بود. دراین مرحله باید روش‌های مقابله با تهاجم با روش جدید به‌کار گرفته شوند و تغییراتی را که دراثر گذشت زمان در امنیت شبکه روی می‌دهند، تحت کنترل گرفته شوند.