Professional Documents
Culture Documents
Inso Iso Iec 27033 2
Inso Iso Iec 27033 2
INSO-ISO-IEC
Islamic Republic of Iran
27033-2 سازمان ملی استاندارد ايران 23022-2
شبکه
:2قسمت
راهنماهايی برای طراحی و پیادهسازی
امنیت شبکه
ICS:35.040
به نام خدا
آشناییبا سازمانملیاستانداردایران
مؤسسۀ استاندارد و تحقیقات صنعتی ایران به موجب بند یک مادۀ 3قانون اصالح قوانین و مقررات مؤسسۀ استاندارد وتحقیقات
صنعتی ایران ،مصوب بهمن ماه 1331تنها مرجع رسمی کشور است که وظیفه تعیین ،تدوین و نشر استانداردهایملی(رسمی)
ایران را به عهده دارد.
نامموسسهاستانداردوتحقیقاتصنعتی ایرانبهموجبیکصدوپنجاهودومینجلسهشورایعالیاداریمورخ 29/6/92به
سازمانملیاستانداردایرانتغییروطینامهشماره996/33333مورخ29/3/92جهتاجراابالغشدهاست.
تدوین استاندارد در حوزههای مختلف در کمیسیون های فنی مرکب از کارشناسان سازمان ،صاحب نظران مراکز و مؤسسات
علمی ،پژوهشی ،تولیدی و اقتصادی آگاه و مرتبط انجام می شود وکوششی همگام با مصالح ملی و با توجه بهشرایط تولیدی،
فناوری و تجاری است که از مشارکت آگاهانه و منصفانۀ صاحبان حق و نفع ،شامل تولیدکنندگان ،مصرفکنندگان،صادرکنندگان
و وارد کنندگان ،مراکز علمی و تخصصی ،نهادها ،سازمان های دولتی و غیر دولتی حاصل میشود .پیش نویساستانداردهای ملی
ایران برای نظرخواهی به مراجع ذی نفع و اعضای کمیسیون های فنی مربوط ارسال میشود و پس ازدریافت نظرها و پیشنهادها
در کمیتۀ ملی مرتبط با آن رشته طرح و در صورت تصویب به عنوان استاندارد ملی(رسمی) ایرانچاپ و منتشر می شود.
پیش نویس استانداردهایی که مؤسسات و سازمان های عالقه مند و ذی صالح نیز با رعایت ضوابط تعیین شده تهیه می کنند
درکمیتۀ ملی طرح و بررسی و درصورت تصویب ،به عنوان استاندارد ملی ایران چاپ و منتشر میشود .بدینترتیب،استانداردهایی
ملی تلقی می شوند که بر اساس مفاد نوشته شده در استاندارد ملی ایران شمارۀ 3تدوین و در کمیتۀ ملیاستاندارد مربوطکه
سازمانملیاستانداردایرانتشکیل میدهد به تصویب رسیده باشد.
1
سازمانملیاستاندارد ایران از اعضای اصلی سازمان بین المللی استاندارد)، (ISOکمیسیون بین المللیالکتروتکنیک)9(IECو
2
سازمان بین المللی اندازه شناسی قانونی )3(OIMLاست و بهعنوان تنها رابط کمیسیون کدکسغذایی) 3(CACدر کشور
فعالیت می کند.در تدوین استانداردهای ملی ایران ضمن توجه به شرایط کلی و نیازمندی های خاص کشور ،از آخرین پیشرفت
بینالمللی بهرهگیری میشود .های علمی ،فنی و صنعتی جهان و استانداردهای
سازمانملیاستانداردایرانمی تواند با رعایت موازین پیش بینی شده در قانون ،برای حمایت از مصرف کنندگان،حفظ سالمت و
ایمنی فردی و عمومی ،حصول اطمینان از کیفیت محصوالت و مالحظات زیست محیطی و اقتصادی ،اجرایبعضی از استانداردهای
ملی ایران را برای محصوالت تولیدی داخل کشور ویا اقالم وارداتی ،با تصویب شورای عالی استاندارد،اجباری نماید .سازمان می
تواند به منظور حفظ بازارهای بینالمللی برای محصوالت کشور ،اجرای استاندارد کاالهای صادراتی ودرجهبندی آن را اجباری
نماید .همچنین برای اطمینان بخشیدن به استفادهکنندگان از خدمات سازمانها و مؤسسات فعال درزمینۀ مشاوره ،آموزش،
بازرسی ،ممیزی و صدورگواهی سیستمهای مدیریت کیفیت و مدیریت زیستمحیطی ،آزمایشگاهها ومراکز کالیبراسیون(واسنجی)
وسایل سنجش ،سازمانملیاستانداردایران این گونه سازمان ها و مؤسسات را بر اساس ضوابط نظام تأییدصالحیت ایران ارزیابی
میکند و در صورت احراز شرایط الزم ،گواهینامۀ تأیید صالحیت به آن ها اعطا و بر عملکرد آنها پایش میکند.ترویج دستگاه
بین المللی یکاها ،کالیبراسیون(واسنجی) وسایل سنجش ،تعیین عیار فلزات گرانبها و انجام تحقیقاتکاربردی برای ارتقای سطح
استانداردهای ملی ایران از دیگر وظایف این سازمان است.
کارشناستددویناسدتانداردسدازمان فوالدیان،مجید
فناوریاطالعات (فوقلیسانسمهندسیمخابرات)
ریددیسادارههمدداهنگیفعالیددتهددای کیامهر،بیتا
مطالعاتی (لیسانسالکترونیک)
استادیاردانشگاهشهیدبهشتی ناظمی،اسالم
(دکتریکامپیوتر)
پژوهشگردانشگاهشهیدبهشتی
نیسیمینایی،آصف
(فوقلیسانسفناوریاطالعات)
پژوهشگردانشگاهشهیدبهشتی
یوسفزاده،سمیرا
(فوقلیسانسمهندسیکامپیوترنرمافزار)
د
فهرست مندرجات
صفحه عنوان
ب آشناییباسازمانملیاستانداردایران
ج کمیسیونفنیتدویناستاندارد
و پیشگفتار
1 1هدفودامنهکاربرد
1 9مراجعالزامی
9 3اصطالحاتوتعاریف
9 2کوتهنوشتها
9 3ساختارسند
3 6آمادهسازیبرایطراحیامنیتشبکه
6 3طراحیامنیتشبکه
13 3پیادهسازی
پیوستالف(اطالعاتی)ارجاعاتمابینکنترلهایمرتبطباامنیتشبکهاستانداردهایملیایرانبهشمارههای
99 ،93991سال1333:و،93999سال1333:وبندهایایناستانداردملیایران
99 پیوستب(اطالعاتی)نمونهالگوهایمستندسازی
پیوستپ(اطالعاتی)چارچوباستاندارد ITU-T X.805ونگاشتآنبهکنترلهایاستانداردملیایرانشماره
33 ،93991سال1333:
33 کتابنامه
ه
پیشگفتار
استاندارد«فناوریاطالعات-فنونامنیتی-امنیتشبکهقسمت:9راهنماهاییبرایطراحیوپیادهسازیامنیت
شبکه» کهپیشنویسآندرکمیسیونهایمربوطتوسطسازمانفناوریاطالعاتایران تهیهوتدوینشده
است و در سیصد و نوزدهمین اجالس کمیته ملی استاندارد رایانه و فرآوری داده مورخ 1329/11/12مورد
تصویب قرارگرفته است ،اینک به استناد بند یک ماده 3قانون اصالح قوانین و مقررات موسسه استاندارد و
تحقیقاتصنعتیایران،مصوببهمنماه،1331بهعنواناستانداردملیایرانمنتشرمیشود.
برای حفظ همگامی و هماهنگی با تحوالت و پیشرفتهای ملی و جهانی در زمینه صنایع ،علوم و خدمات،
استانداردهایملیایراندرمواقعلزومتجدیدنظرخواهدشدوهرپیشنهادیکهبرایاصالحوتکمیلاین
استانداردها ارائهشود ،هنگام تجدید نظر در کمیسیون فنی مربوط مورد توجه قرار خواهدگرفت .بنابراین،
بایدهموارهازآخرینتجدیدنظراستانداردهایملیاستفادهکرد.
منبعوماخذیکهبرایتهیهایناستانداردمورداستفادهقرارگرفتهبهشرحزیراست:
― ISO/IEC 27033-2:2012, Information technology ― Security techniques ― Network security
Part 2: Guidelines for the design and implementation of network security.
و
فناوری اطالعات -فنون امنیتی -امنیت شبکه قسمت :2راهنماهايی برای طراحی و
پیادهسازی امنیت شبکه
کوتهنوشتها 4
برایاهدافایناستانداردملیکوتهنوشتهایمورداستفادهدراستانداردملدیایدرانشدماره:12366-1سدال
1321وآنچهدرزیرآمدهاستقابلاعمالهستند.
IDS Intrusion Detection System سامانهیتشخیصنفوذ
IPS Intrusion Prevention System سامانهیپیشگیریازنفوذ
POC Proof of Concept اثباتمفهوم
Remote Authentication Dial-In User
RADIUS خدمتاحرازهویتراهدورکاربرشمارهگیر
Service
RAS Remote Access Service خدمتدسترسیراهدور
SMS Simple Message Service خدمتپیامساده
SMTP Simple Mail Transfer Protocol پروتکلسادهنامهرسانی
Terminal Access Controller Access سامانهکنترلدسترسیبهکنترلکننده
TACACS
Control System پایانهدسترسی
TFTP Trivial File Transfer Protocol پروتکلانتقالپروندهجزئی
TLS Transport Layer Security امنیتالیهانتقال
5ساختار سند
ساختارایناستانداردملیشاملمواردزیراست:
-آمادهسازیبرایطراحیامنیتشبکه
مقدمه
شناساییداراییها
گردآوریالزامات
بازنگریالزامات
بازنگریطراحیهاوپیادهسازیهایموجود
-طراحیامنیتشبکه
مقدمه
اصولطراحی
9
نهاییسازی1طراحی
-پیادهسازی
مقدمه
معیاربرایانتخاباجزایشبکه
معیاربرایانتخابمحصولیافروشنده
مدیریتشبکه
9
رویدادنگاری،پایشورویاروییباپیشامدها
مستندسازی
برنامههایآزمونوانجامآزمون
نهاییسازی
1- Sign-off
2- Incident Response
3- Inputs
4- Servers
5- Switches
3
مسیریابها1وغیره)وداراییهایمنطقی(تنظیماتپیکربندی،کدقابلاجدرا،دادهوغیدره)هسدتند.ایدنثبدت
داراییهابهتراستبهعنوانبخشیازتحلیلمخداطرهیبرنامدهریدزیتددوام/9بازیدابیپدسازسدانحه3وجدود
داشتهباشد.سؤالهاییکهبایدپاسخدادهشوندازقرارزیرهستند:
انواامختلفتجهیزاتشبکهوگروهبندیهایامکاناتی2کهنیازبهحفاظتدارندچههستند؟
انواامختلففعالیتهایشبکهکهنیازبهحفاظتدارندچههستند؟
چهداراییهایاطالعاتیوتواناییهایپردازشاطالعاتینیازبهحفاظتدارند؟
داراییهایاطالعاتیدرکجایمعماریسامانههایاطالعاتیقرارگرفتهاند؟
داراییهایقابلشناساییشاملمواردموردنیازیاستکهبتواندبهصورتامدنازمددیریت،کنتدرلوترافیدک
کاربروویژگیهای3موردنیازکارکردیزیرساختشبکه،خدماتوبرنامههایکاربردیپشتیبانیکنند.ایدنهدا
نها،مسیریابها،دیدوارهدایآتدشوماننددآن،واسدطهدای3کداربری(داخلدیو شاملافزارههایی6مانند
میزبا
خارجی)،اطالعاتذخیرهشده/پردازششدهوپروتکلهایمورداستفادههستند.
حفاظتازداراییهایزیرساختیتنهابخشیازهدفطراحیامنیتشبکهاست.هدفاصلیحفاظتازدارایی-
هایکسبوکار،ماننداطالعاتوفرآیندهایکسبوکاراست.
2-6گردآوری الزامات
1- Routers
2- Continuity
3- Disaster Recovery
4- Facility Groupings
5- Features
6-Devices
7- Interfaces
8- Jurisdictional
2
دیگردسترسیهاپیشگیریکند.دسترسیبهاطالعات،اغلبمربوطبهدرگاههای1باز(برایمثالپروتکلانتقال
ابدددرمتن(9)HTTPرویپروتکدددلکنتددددرلانتقدددال( 3)TCPدرگددداه،)80میزبددددانهدددایمشددددخص
(مانندددwww.example.comدرآدرسپروتکددلاینترنتددی(2)IPشددماره،)10.11.12.13گددروههددایخاصددیاز
میزبانها(برایمثالزیرشبکه)172.128.97.64/24یاافزارههایواسطشبکهخاص(ماننددواسدطیبداآدرس
کنترلدسترسیرسانه(3(MACشماره)10:00:00:01:02:03است.نیازاستتاسازمانخدماتیراکدهبدرای
دیگرانفراهممیکند،خدماتیکهازدیگراندریافتمیکندوخدماتداخلیخودراشناساییکند.
2-2-6الزامات عملکردی
روازههدای6امنیتی/دیدوارهدایآتدش،بدهگوندهای
برایاینکهبتوانپیکربندیهایخطوطارتباطی،کارسازهاود
مستندسازیشوند،کهدرپیادهسازی،مطابقباانتظاراتکاربر،سطحخوبیازخدمات،بدون«پیکربندیبدیش
ازحد»وهزینههایغیرضروریمرتبط،فراهمشود،بهترافیکدادهنیازاست.
دراینخصوصبهتدراسدتاطالعداتیجمدعآوریشدوند،بدهطدورمثدال:سدرعتخطدوطارتبداطیموجدود،
پیکربندی/ظرفیتمسیریابهادرهرمکانمتعلقبهطرفسوم،تعدادکاربرانیکهمجازبهدسترسدیازطریدق
همزمانوتعدادکاربرانمجازبدهدسترسدی)،کمینده،میدانگینوبیشدینهیزمدان هرپیوندهستند(دسترسی
موردنیازبرایاتصالکاربر،هویتکاربرانمجازکهازطریقپیونددسترسیدارند،تعداددفعاتموردنیازبازدید
ازصفحاتوب،دفعاتموردنیازدسترسیبهپایگاهداده3رشدموردانتظاریکسالهوسه/پنجسالهیاآیداثبدت
ورودبهویندوزنیازاست.براییافتنتعدادمناسبدرگاههاوکانالهایموردنیدازبدهخصدوصدراتصدالهدای
شمارهگیریمیتوانازنظریهجدولمخابراتی(صفبندی)3سودجست.اینالزاماتکارآییبهتراستبدازنگری
وجوهاپاسخدادهشوندومعیارکارآییموردنیازتوسطمعماریفنیومعماریفنیامنیتیمرتبطو
شوند،پرس
موردتوافقرسمی،برآوردهشوند.
4-6الزامات بازنگری
بازنگریتوانمندیهایکنونیوهرتغییربرنامهریزیشدهدرمعماریشدبکهنیدازاسدتکدهانجدامشدوندوبدا
معماریامنیتفنیدرحالتوسعهمقایسهشودتاهرناسازگارییادآوریشود.هدرناسدازگارینیدازاسدتکده
بازنگریشودومعماریهایمتناسبباآناصالحشود.2
اطالعاتیکهدرطولبازنگریجمعآوریمیشوندبهتراست،شاملکمینهمواردزیرباشند:
شناسایینوا(انواا)اتصال(اتصاالت)شبکهکهاستفاده
میشوند،
1 - Ports
2- Hyper text transfer protocol
3- Transmission control protocol
4- Internet Protocol
5- Media access control
6 - Gateways
7 - Database
8- Queuing
9- Modified
3
تعیینمخاطراتامنیتی،
توسعهفهرستمعماریامنیتفنیوکنترلهایامنیتیموردنیاز،
پروتکلهایشبکهایکهاستفاده
میشوند،
برنامههایکاربردیتحتشبکهکهدرجنبههایمختلفشبکهاستفادهمیشوند
اطالعاتگردآوریشدهبهتراستدرزمینهتواناییهایشبکهباشند.جزئیاتبهتراستازمعماریشبکهمرتبط
بهدستآیندواینجزئیاتبایدبرایفراهمآوردندرکالزموایجادزمینهمناسدببدرایگدامهدایفرآینددی
یاولیهیممکن،فرآیندشناسدایی«معیدارشناسدایی
مرحلهبعدیبازنگریشوند .باروشنشدناینجوانبدر
الزاماتامنیتیمرتبط»،شناسایینواحی1کنترلوبازنگریگزینههایمعماریامنیتیفنیوتصدمیمگیدریدر
کارآمدترمیشدوندودرنهایدتنتیجدهایقابدلاعمدالدرراهحدل
مورداینکهکدامیکبهتراست،اتخاذشود،
امنیتیمیدهند..برایمثالممکناستبهخاطرموقعیتمکانیفقطیکمجدرابدرایاتصداالتشدبکهوجدود
بااینکهکنترلامنیتیممکناستمجراهایمتفاوتیبرایاتصداالتافزونده9داشدته داشتهباشدبنابراینحتی
باشد،امابراساسموقعیتمکانیانتخابشده،اینامدرامکدانپدذیرنیسدت.کنتدرلهدایدیگدرمجدازهسدتند
تعیینشوندتابهترینراهبرایحفاظتازاتصاالتشبکهپیداشود.
بادرنظرگرفتنجنبههایمعماریشبکهوبرنامهکاربردیدرمرحلهاولیهبهتراستفرصدتیدادکدهاگدربده
صورتواقعبینانهبامعماریکنونیبهراهحلامنیتیقابلقبولی،نتواندستیافدت،آنمعمداریهدابدازنگریو
احتماالًتجدیدنظرشوند.
5-6بازنگری طراحیها و پیادهسازیهای موجود
بازنگریکنترلهایامنیتیموجودبایددرپرتونتایجحاصلازبدازنگریمددیریتوارزیدابیمخداطرهیامنیدت
انجامگیرد(جزئیاتمدیریتمخاطرهرامیتواندراستانداردملیایرانشماره:93993سال1329یافت).نتایج
ازریابیمخاطرهامنیتممکناستنشاندهندکهکدامکنترلهایامنیتیمتناسبباتهدیدهایارزیدابیشدده
موردنیازاست.تحلیلشکافبایدبراساسمعماریامنیتشبکهیفعلیتکمیلشودتدامعدینگدرددبدهچده
چیزیدرمعماریامنیتشبکهیموجودمورداشارهنشدهاست.
توصیهمیشودمعماریامنیتشبکهدربرگیرندهیکنترلهایامنیتموجود،درنظرگرفتهنشدهوجدیدباشد.
1- Areas
2- Redundant
3- Trust Domains
6
شبکهشاملتوصیفی1ازواسطهایبینشبکهیداخلییکسازمان/انجمنودنیایبیرونیاست.ایدنمعمداری
بازتابیازالزاماتذکرشدهدربند2-6استوچگونگیمحافظتازسازماندربرابرتهدیداتوآسیبپذیری-
هایعمومیرانشانمیدهد،آنچنانکهدراستانداردملیایرانشماره،12366-1توصیفشدهاست.
رهنمود9درموردبهروشهای3طراحیدربند9-3درزیرآمدهاسدتورهنمدوددرمدوردجنبدههدایمعمداری
امنیتشبکهکهمربوطبهفناوریشبکهبندی2مشخصبراینشاندادنالزاماتامروزوآیندهینزدیدکاسدت،
فرانامههای3مشخصیکهبرای
دراستانداردISO/IEC 27033-4آمدهاستوالیآخر.اشارهدارد.رهنمودبرای
یکسازمانامکانپذیراست،دراستانداردISO/IEC 27033-3پوششدادهشدهاست.
فرضیاتفنیایجادشدهدرطیجمعآوریالزاماتبهتراستمستندسازیشوند،بهطورمثال:
توصیهمیشودفقطارتباطاتIPمجاز6اجازهبرقراریداشتهباشند(دیوارهایآتشبهطدورعدادیفقدطاز
ارتباطاتIPپشتیبانیمیکنندواگرهرپروتکلدیگریاجازهفعالیتداشتهباشدممکناستمدیریتآن-
هابامشکلباشد)؛
اگربهپروتکلهایفاقدIPنیازباشدتوصیهمیشودیاباخارجازمعماریامنیتسروکارداشدتهباشدندیدا
پروتکلراتونلزنی3کند.
معماریامنیتشبکهبهصورتعادیخدماتزیررادربرمیگیردامامحدودبهاینمواردنیست:
شناسدداییواحددرازهویددت(گددذرواژههددا،نشددانافددزارهددا،3کددارتهددایهوشددمند،گواهینامددههددا،
RAS/RADIUS/2TACACS+وغیره)؛
کنترلهایدسترسیمنطقی(ورود19تکی،کنترلدسترسیمبتنیبرنقش،11پایگاههایدادهمورداعتمداد،
کنترلهایبرنامهکاربردی،دیواریآتش،افزارههایپیشکار19وغیره)؛
ممیزیوحسابرسیامنیتی(رویدادنگار13هایممیزی،تسهیالتتحلیلرویدادنگارهایممیدزی،تسدهیالت
تشخیصنفوذ،افزارههاییکبارنوشتنوچندبارخواندن()12WORMوغیره)؛
پاکسازیمطمسنانبارش/13حذفامن(16تسهیالت«زدایش»13اثباتپذیر)1؛
1- Description
2- Guidance
3- Best Practices
4- Networking
5-Scenario
6- Authorized
7- Tunneling
8- Tokens
9- Terminal Access Controller Access Control System Plus
10- Sign on
11-Role
12- Proxy
13- Log
14- Write Once Read Many
15- Assured storage clearance
16- Secure deletion
17- Wipe
3
آزمونامنیت(پویشآسیبپذیری،دیدهبانی9شبکه،آزموننفوذ3وغیره)؛
محیط2توسعهامن(محیطهایتوسعهوآزمونجداگانه،بدونمترجم3وغیره)؛
کنترلتغییرنرمافزار(نرمافزارمدیریتپیکربندی،کنترلنسخهوغیره)؛
توزیعنرمافزارامن(امضایرقمی)RFC 5246 (TLS،SSL،وغیره)؛
نگهداریودسترسپذیری امن(تسهیالتپشتیبانگیری/بازگردانی6خوب،برگشتپدذیری،3خوشدهبنددی،3
حفاظهایداده،2ارتباطاتمتنواوغیره)؛
امنیتانتقال(استفادهازرمزگذاریانتقال،فناوریطیدفگسدترده11LAN،19هدایبدیسدیم(،19)WLAN
نتها.)12
شبکههایخصوصیمجازی(/13)VPNبرون
2-3اصول طراحی
2-2-3مقدمه
محدودهمخاطراترایجمربوطبهمعماریهایامنیتشبکهبندی،همانخطاهایطراحیهستند.اینخطاهابه
سببطراحیضعیفو/یانبودمالحظاتمناسببرایبرنامهریزیتدوامکسبوکاریاعدمتطابقطراحیباسطح
تهدیدموردانتظاربهوجودمیآیند.عناصربنیادینیبرایتوسعهمعماریهایامنیتیشبکهموردنیازهستندتدا
اینمعماریهابتوانندتمامیکنترلهایامنیتیوالزاماتکسبوکارشناساییشدهراپوششدهند.بیشدترایدن
عناصررامیتوانبدابهتدرینروشهدایطراحدیامنیدتشدبکهپوشدشداد.اسدتانداردISO/IEC 27033-4و
بهروشهایمعماریامنیتفنیشبکهرابههمراهجزئیاتدربرخدی استانداردهایبعدی،طراحیوپیادهسازی
جنبههادربرمیگیرند.رهنمودباجزئیاتبیشتردرموردبهترینروشهایپیادهسازیرامدیتدواندرنشدریات
دیگریافت.
رینروشهایطراحیفدراهممدیآوردکدهبایددبدههنگدامسداخت
بندهایزیررهنمودیعمومیپیرامونبهت
معماریامنیتشبکهدنبالشود.
افزارههامیتوانندبهشبکهداخلییاسامانههایرویآنمتصلشوندکهایناتصالبهصورتموردی3استکده
بهتراستازطریقاتصالافزارههایسیاربهصورتبازوناامنصورتپذیرد،اینافزارههابهعنوانیدکنقطده
دسترسیبیسیمقالبی3رویشبکهداخلیعملکرده،میتوانندکنترلهایپیرامونیرادوربزنند.برایمحدود
خطمشیهایسختگیرانهایوضدعشدوندوپدویشهدای کردناتصالناامنافزارههایسیاربهشبکهبهتراست
روالمندیبایدبررویکانالهایبیسیمانجامشوندتاتمامنقطههایدسترسیقالبیرابیابند.
توصیهمیشودتمامنقطههایدسترسیبیسیمدرونیکمنطقهیبیطرف(2)DMZقرارداشتهباشند.نقداط
دسترسیکهدرشبکهیداخلیقرارگرفتهاندبهتراستتنظیماتسختگیرانهایداشتهباشند:قویترینپروتکل
امنیتی(جاییکهقابلیتآنوجوددارد)19WPA2وپاالیشآدرسهایMACبهمنظورمحدودکدردنافدزاره-
هایمتصلبهافزارههایمجاز.استانداردISO/IEC 27033-3جزئیاتبیشتریرادرموردتهدیداتیکدهتوسدط
فناوریارتباطاتسیاروکتنرلهایمربوطارائهشدهاند،فراهممیآورد.
اصلدفااعمقینحوهاستفادهازکنترلهایامنیتیچندگانهیافنونامنیتدیرابیدانمدیکنددتدابدهکداهش
مخاطرهیمؤلفههایدفاعیکهافشا11یادورزده19میشوند،کمککند.یکمثدالمدیتوانددنصدبندرمافدزار
ضدویروسبررویایستگاههایکاریجداگانهباشددرحالیکهویژگیحفاظدتازویدروسدردیدواریآتدشو
کارسازهایهمانمحیطوجوددارد.اینمجازاستکهمحصوالتامنیتیمتفاوتیازفروشندگانمتعدددمدورد
استفادهقرارگیرندتاازخطسیرهای13بالقوهمختلفیدردرونشبکهدفااشودوکمدککنددکدهازهرگونده
کمبودیدردفااکهمنجربهشکستگستردهتریمیشودپیشگیریشود.اینرویکدردبده«رویکدردالیدهای»
شهرتدارد.
پیرامون
زیرساخت
میزبان
برنامهکاربردی
داده
شکل -2رويکرد دفاع عمقی
راهحلهایامنیتیکهبراساسرویکردالیهایبودهانعطافپذیرومقیاسپذیر هستند.راهحلاینچنینیقابل-
9
تطبیقبانیازهایامنیتیسازماناست.
2-2-3مناطق 3شبکه
منطقهبندیشبکهازمفهومیاستفادهمیکندکهدرآنمنابعسامانهباسدطوحمختلدفحساسدیت(برایمثدال
مقداررواداری2مخاطرهیمتفاوتوآمادگی3برایتهدید)بهتراستدرمناطقامنیتیجداگانهقراردادهشدوند.
اینکارروشیایجادمیکندکهسامانههابایدتنهادادههاییرادردسترسقراردهندکدهبدرایانجداموظدایف
ضروریباشند(برایمثالفقطکارسازهاییکهبرایاینترنتخدماتفدراهممدیکنندددرسدامانهیندامدامنده
(6)DNSعمومیشوند).
سادهیبرقراریجریانترافیکشبکهبهجاییکهشمامیخواهیدومحدودکردنآنبهجاییکدهشدما مفهوم
نمیخواهید،دروازهامنیتیاست:افزارههایاختصاصدیدیدوارآتدش،توابدعدیدوارآتدشدرافدزارههدایIPSو
فهرستهایکنترلدسترسیدرمسیریابهاوسودههایشبکه.
1- Perimeter
2- Scalable
3- zones
4- Tolerance
5- Susceptibility
6- Domain name system
19
باجایگذاری1وپیکربندیمناسبدروازههابهساختمعماریهایامن،تقسدیمزیرسداختشدبکهبدهمنداطق
امنیتیوکنترلارتباطاتمابینآنهاکمکمیشود.اطالعاتتکمیلیدرمدوردچگدونگیگمداردنوپیکربنددی
دروازههایامنیتیدراستانداردISO/IEC 27033-4آمدهاست.
اصلقسمتبندی،9قواعدطراحیامنیتشبکهیزیرراشرحمیدهد:
-شبکههاییکهسطوححساسیتمتفاوتدارند،بهتراستدرمناطقامنیتیمتفاوتیقراردادهشوند:
افزارههاوسامانههایرایانهایکهبرایشبکههدایخدارجیخددماتیفدراهممدیکنندد(برایمثدال
اینترنت)بهتراستدرمنطقهدیگری()DMZنسبتبهافزارههاوسامانههایرایانهایشبکهداخلی
قراربگیرند.
داراییهایراهبردی3بهتراستدرمناطقامنیتیاختصاصی2قراردادهشوند.
توصیهمیشودافزارههاوسامانههایرایانهایباسطحاعتمادکممانندکارسازهایدسترسدیازراه
دورونقاطدسترسیشبکهبیسیمدرمناطقامنیتیاختصاصیقراربگیرند.
-انواامتفاوتشبکهبهتراستدرمناطقامنیتیجداگانهقراربگیرند:
ایستگاههایکاریکاربربهتراستدرمناطقامنیتیجدانسبتبهکارسازهاقرارگیرند.
سامانههایمدیریتشبکهوامنیتبهتراستدرمناطقامنیتیاختصاصیقراردادهشوند.
سامانههایدرمرحلهتوسعهبهتراستدرمناطقدیگرینسبتبهسامانههایمحصولقراربگیرند.
4-2-3طراحی برگشتپذير
طراحیامنیتشبکهبایدالیههایمتعددیازافزونگی3راترکیبکندتدامدواردیراکدهنقطدهتکدیشکسدت6
هستندازبینببردوقابلیتدسترسیزیرساختشبکهرابیشینهسازد.اینامدرشداملاسدتفادهازواسدطهدای
افزونه،پودمانهای3پشتیبان،افزارههایآمادهبهکار3ومسیرهایافزونهیهمبندی2میشود.بهعالوه،طراحیهدا
ازمجموعهگستردهایازویژگی19هاسودمیبرندبااینهدفکهشبکهبرگشتپذیریبیشتریدرمقابلحمالت
وشکستهاداشتهباشد.
1- Placement
2-Compartmentalization
3- Strategic assets
4- Dedicated
5- Redundancy
6- Single point of failures
7- Modules
8- Standby
9- Topology
10- Feature
11
5-2-3فرانامهها
فرانامه(های)شبکهایخاصوموضوا(های)فناوریکدهمدرتبطبدا محیطشبکهایتحتبازنگریرامیتوانبا
تهدیدهایخوبتعریفشده،مالحظاتطراحیومسائلکنترلیهستند،مشخصکرد.چنیناطالعداتیهنگدام
بازنگریگزینههایطراحی/معماریفنیامنیتوانتخابومستندسازیطراحی/معماریفنیامنیتمنتخدبو
کنترلهایامنیتیمربوطهبسیارمفیدهستند.
فرانامههاییاستانداردISO/IEC 27033-3است.ایدناسدتانداردبدرایهدرفرانامدهرهنمدودیبدا
مرجعچنین
جزئیاتدرموردتهدیدهایامنیتیوفنونطراحیامنیتیوکنترلهایموردنیازبرایتقابلبداآنتهدیددهارا
آوردهاست.
6-2-3مدلها و چارچوبها
بهطورسنتیهرمؤلفهازمهندسیسامانهامنیتیشاملانتخاب،استفادهیاتوسعهیکمدلیاچارچوبامنیتی
است.
مدلامنیتیبرایتوصیفهستارها(1مفاهیمیکهتوسطخطمشیامنیتدیسدازمانادارهمدیشدود)وتعریدف
قواعددسترسیالزمبرایمعرفیخطمشیذکرشده،استفادهمیشود.مدلامنیتیبهطورعدادیهدمبدرروی
محرمانگیازطریقکنترلهایدسترسیوهمبرروییکپارچگیاطالعاتتمرکزدارد؛بعضیبهصورترسدمی
وبقیهبهصورتغیررسمیتعریفشدهاند.
9
چارچوبهایامنیتیراهیرابرایتدوینطرحیکلی ازچگونگیشکلدهیسامانهامن،برایسازمانهافراهم
میآورند.استاندارد ITU-T X.805میتواندمثالیبرایچارچوبباشد.اینچارچوبفراگیریبدرایاسدتاندارد-
هایسری ITU-T 800استکهتوصیههاییدرموردفراهمآوریامنیتشبکهسرتاسری3دارد.برایاینمنظور
دربرگیرندهی2ابزارها،فنداوریهدا،اسدتانداردها،
استانداردX.805مفهومابعادامنیتراتعریفمیکند.اینابعاد
مقررات،3روالها6وغیرههستندکهتمامجنبههایامنیتراپوششمیدهد.استانداردX.805تصدیقمیکندد
کهمیتوانازسازوکارهایامنیتیافزون،بهوسیلهشناساییقابلیتهایامنیتیدرونیکالیهکهازالیدهدیگدر
محافظتمیکند،دوریکرد.بههمیندلیلازهزینهکلیراهحلامنیتیکاستهمیشود.استانداردX.805یک
چارچوبامنیتیکلیاستوبههمیندلیلمشخصاتیبرایهیچسامانهیامؤلفهاطالعاتیخاصفراهمنمدی-
آورد.بلکهاصولامنیتیرامشخصمیکندوبهقابلیتهایامنیتیکهامنیتشبکهسرتاسریراتسهیلکرده-
اند،میپردازد.براییافتنمثالیازچگونگیاعمالITU-T 805برایپشتیبانیازکنترلهایاستانداردملیایران
بهشماره93991سال،1333بهپیوستپمراجعهشود.
1- Entities
2- Outline
3- End to end
4- Container
5- Regulations
6- procedures
19
2-3نهايیسازی طراحی
نهاییسازیطراحیامنیتشبکهکاملشدهبهتراستباامضایسطوحمناسبمدیریتیانجامگیرد.
8پیادهسازی
2-8مقدمه
پیادهسازیامنیتشبکهبهتراستبراساسطراحیامنیتشبکهمعرفیشدهدربند3صورتپذیرد.
پیادهسازیامنیتشبکهشاملقطعهبندیوقسمتبندیاست
معیاربرایانتخابمؤلفههایشبکه؛
معیاربرایانتخابمحصولیافروشنده؛
مدیریتشبکه؛
رویدادنگاری،پایشورویاروییباپیشامدها؛
مستندسازی؛
برنامههایآزمونوانجامآزمون؛
نهاییسازی
سامانههایتشخیصنفوذ/سامانههایپیشگیریازنفوذ
1- Admission
2- Filters
3- Inspection
4- Content
13
1
محافظتنقطهپایانی
مسیریابهاوسودهها
شبکهای
اتصاالتبرون
1- Endpoint
2- Performance
3- Extensibility
4- Compliance
5- Diagnostic
6- Schemes
7- Track record
8- Financial
9- Training Facilities
12
هزینهها.
4-8مديريت شبکه
1
مدیریتشبکهبهفعالیتها،روشها،روالهاوابزارهاییاطالقمدیشدودکدهمتعلدقبدهعملیدات،سرپرسدتی ،
نگهداریوتأمین9سامانههایشبکهایشدهاست.
عملیاتبافعالنگهداشتنشبکه(وخدماتیکهفراهممیآورد)وکارکردبیمشکلآنسدروکارداردکده
شاملپایششبکهبراییافتنمشکالتدراسراوقتوقبلازتحتتأثیرقراردادنکاربراناست.
سرپرستیشبکهباردیدابیمندابعدرآنوچگدونگیاختصداصآنهداسدروکارداردوشداملتمداماصدول
«سازماندهیحفظونگهداریسوابق»3برایتحتکنترلنگهداشتنشبکهاست.
عملیاتنگهداریبهانجامتعمیراتوارتقامیپردازد-برایمثالوقتیکهبایدیکیازتجهیزاتجایگزین
شودیاهنگامیکهیکمسیریاببرایتصویرسامانهیعامل2نیازبهیکوصله3داردیاوقتیکدهیدک
سودهیجدیدبهشبکهوصلمیشود.نگهداری،همچنینسنجههای6بازدارنده3وتصحیحکننده3بااین
هدفکهشبکهمدیریتشده«بهتر»کارکند،نیزدارد.مانندتنظیمپارامترهایپیکربندیافزاره.
پیکربندینادرستمؤلفههایمربوطبهشبکهچهداخلیچهخارجیباعثمخاطراتقابلمالحظهایهمبدرای
قابلیتدسترسیوهمبراییکپارچگیومحرمانگیدرشبکهمیشود.
بنابراینکنترلهاییبراینشاندادناینمخاطراتضروریهستند.اینکنترلهارامیتوانباعنوانکنترلهای
سازمانییاکنترلهایفنیردهبندی2کرد.
کنترلهایسازمانیمیتوانندشاملاعطایحقمناسببهافراداداری،اصولعملیاتیماننداصلچهارچشم،19
هاوخطمشیهابهمنظورجلوگیریازانتخابگدذرواژههدایپدیشفدر 11یداضدعیف
جداسازیوظایف،روال
باشند.کنترلهایعملیاتیمیتوانندشاملکنترلپیکربندیونسخهکنترلبراینشداندادنپیکربنددیهدای
ناقصبالقوهیارهگیریتغییراتدرپیکربندیافزارههاباشند.
1- Administration
2- Provisioning
عملیاتیازقبیلحفظونگهداریسوابقدرسازمانیارایانهاستکهکارراساماندهیمیکندولیبهطورمستقیمعملکردراتشکیل3- Housekeeping:
نمیدهد
4- Operating system Image
5- Patch
6- Measures
7- Preventive
8- Corrective
9- Categorized
-19ایناصلالزاممیکندکهپیشازانجامهرکنشیحداقلدونفرآنراتأییدکنند.
11- Default
13
کنترلهایفنیشاملاستفادهازواسطهایسرپرسدتیوابزارهداییاسدتکدهکیفیدتمناسدباحدرازهویدت،
مجوزسنجی1ومحرمانگیرافراهممیآورند.برایتعدادیازمؤلفههاییکهازطریقشبکهبههممرتبطهستند
مدیریتفنیالزماست.دروازههایامنیتیرامیتوانهمبهصورتمحلیوهمبهصورتراهدورمددیریتکدرد
امامدیریتراهدوربهتراستازابزاریاستفادهکندکهاحرازهویتقوییادو-عاملی9راتضمینکندیاالاقلبه
طورفنیازگذرواژههایپیشفدر وضدعیفبپرهیدزد،ایدنابزارهداهمچندینبایددیکپدارچگیومحرمدانگی
متناسب3رافراهمکنندوهرجاکهممکناستازکارکردهایمحرمانگیاستفادهکنند.بدرایمثدال،اسدتفادهاز
تونلهایVPNرمزگذاریشده2کهباسطوحمناسبیازرمزنگاری3یابااستفادهازشبیهسازی6پایانهیپوستهی
امن(3)SSHپیکربندیشدهاند.کارسازهارانیزمیتوانهمبهصورتمحلیوهمراهدورمدیریتکرد.جاییکده
کارسازهاازاطالعاتحساسیپشدتیبانیمدیکنندد،مددیریتراهدوربایدددوبدارهازابدزاریاسدتفادهکنددکده
احرازهویتقوییادو-عاملیراتضمینکندیداحدداقلبدهطدورفندیازگدذرواژههدایپدیشفدر وضدعیف
پرهیزکند؛اینابزارهاهمچنینبایدیکپارچگیومحرمانگیمتناسبرافراهموهرجاممکناستازکارکردهای
محرمانگیاستفادهکنند.
مؤلفههایزیرساختمانندسودههاومسیریابهارامیتوانبهصورتمحلیازطریقدرگاهپیشانه،3بهصدورت
راهدورازایستگاهمدیریتمرکزیمدیریتکرد.اینموردبااستفادهازبرنامهکاربردیتبدیلپایانهبهمنظورکار
برخط2ازیکرایانهراهدوریاازیکسامانهمدیریتتوزیعشدهصورتمیپذیرد.بااینوجودروشنشددهاسدت
کهاینپروتکلهاامننیستندمگراینکهبتوانندباروشیپیکربندیشوندکهاتصالراکدامالرمزگدذاریکندد.
مثالیبرایاتصالامنراهدورSSHاستکهمیتواندکامالرمدزگدذاریشدودوشداملامکانداتانتقدالپروندده
است.دسترسیبیشتربهمؤلفههایزیرساختبهتراستازطریقیککارسازاحرازهویتکنترلشود.
شبکههاییکهبهیکتأمینکنندهبرونسپاری19میشوندمعموالسامانههایمدیریتیخودشانرادارند.بداایدن
حالبهتراستازیکایستگاهمدیریتمرکزیبااستفادهازروشهایمدیریتراهدورامنمدیریتشوند.روش-
هایمدیریتراهدوربهتراستشاملرمزگذاریواحرازهویتبااستفادهازرمزنگاریکلیدعمومیباشند.مثال-
هاییازروشهایامنکهمیتواننداستفادهشوند Telnet،وTFTPازطریقتونلVPNیاSSHباکنترلتوسط
کارسازاحرازهویتهستند.
1- Authorization
2- Factor
3- Adequate
4- Encrypted
5- Encryption
6- Emulation
7- Secure shell
8- Console port
9- Online
10- Outsourced
16
سازمانهایبسیاریازدریچههای1مدیریتیپروتکلمدیریتشبکهساده(9)SNMPبرایپایشمستقیمچندین
شبکههاییاستفادهمیکنند.درنسخههاییکودوSNMPکهامنیتیضعیفداشتندیابدونامنیدتهسدتند
مخاطراتقابلتوجهیوجوددارند.بنابرایناگرسازمانیتصمیمبهاستفادهازSNMPداردبهتراستازنسخهی
3بههمراهکنترلهایامنیتیکاملاستفادهکند.
5-8رويدادنگاری ،پايش و رويارويی با پیشامدها
کارسازممیزیبهتراستبههمراهتمامسامانههایدروازهامنیتیکهدرونیکDMZواقعشدهاندپیکربنددی
شود.امنیتDMZبهتراستنسبتبهداخلوخارجشبکهتأمینشدهباشد.همچنینپیکربندیهرگونهافزاره
مرتبطباامنیتکهدرونیابیرونDMZواقعشده،بهتراستاینگونهصورتپذیرد.توصیهنمیشدودکارسداز
ممیزیبخشیازدامنهیشبکهیداخلیباشدوبهتراستدسترسیبهآنفقطبدهصدورتمسدتقیموتوسدط
مأمور3امنیتیمنتصب2بهسامانهدروازه/دیواریآتشامنیتیصورتگیرد.بنابراینبرایبارگدذاری3رویددادنگار
ممیزینیازبهدسترسینوشتناست.اینبارگذاریتوسطیکپروتکلامن(برایمثالپروتکدلرونوشدتامدن6
())SCPازمؤلفههایزیرساخت،کارسازهاودیوارهایآتشصورتمیپذیرد.تمامدیوارهایآتشورویددادنگار
ممیزیمربوطبهتراستبرایبازدیدبعدیبهوسیلهکارکنانامنیتیبهسمتکارسازممیزیهدایتشوند.این
بازدیدباکمکنرمافزارتحلیلممیزیفراهمشدهبرایبازنگریپروندههایرویدادنگارممیزیانجاممیشود.
مدیریتاطالعاتامنیتشاملگردآوریواستانداردسازیاطالعداتگدردآوریشددهاسدت؛بداایدنهددفکده
یهایسامانه،3 تصمیماتبراساسآناطالعاتگرفتهشود.اطالعاتگردآوریشدهممکناستشاملرویدادنگار
اطالعات،SNMPهشدارهایIDS/IPS3وجریاناطالعاتباشد.
هرجاکهممکناست،بهتراستکارسازممیزیو/یاسامانههایIDS/IPSبهگونهایپیکربنددیشدوندکدهبده
مأمورامنیتیمنتصباخطاردهند.براساساولویتسطحفعالیتغیرعادیتشخیصدادهشده2ایناخطارمدی-
تواندبهصورترایانامه،19پیامک11یاهردوباشد.بهتراستتمامفعالیتهایغیرعادیآشکارشودچراکهممکن
استاقدامیبرایحملهباشد.مأمورامنیتیمربوطهبهتراستبراساساولویتسطحاخطار،روالهایرویارویی
باپیشامدهاراپیادهسازیکند.برایپوششمدیریتپیشامدامنیتاطالعاتبدهاسدتانداردملدیایدرانشدماره
،93933سال1329:مراجعهشود.
1- Traps
2- Simple Network Management Protocol
3- Officer
4- Assigned
5- Upload
6- Secure Copy Protocol
7- Syslogs
8- Alerts
9- Detected abnormal activity
10- Email
11- SMS
13
6-8مستندسازی
سندمعماریامنیتشبکهیکیازحیاتیتریناسنادامنیتیفنیاستوهمانطورکهپیشازاینبیانشددایدن
سندبهتراستباارزیابی1مخاطرهامنیتی،نتایجبازنگریمدیریتمخاطره،شبکهبندیوخطمشیهدایامنیدت
اطالعاتسازمان/جامعهودیگرخطمشیهایمربوطسازگارباشد.اینسندهمانندهرسندحیداتیدیگدربهتدر
استبرایتغییر،تحتکنترلباشد.یکالگوی9مثالدرپیوستببندب1-آمدهاست.اینسدندبهتدراسدت
مرجعیرابرایمستندسازیمعماریفنیمربوطودیگرمستنداتامنیتیفنیفراهمکندد.مسدتنداتکلیددی
مرتبطشاملمواردزیرهستند:
دیوارهدای-
مستندسازیالزاماتامنیتاطالعاتبرایتماممؤلفههایشبکهیمدیریتشده(ماننددروازهها ،
آتش،مسیریابهاوغیره).اینالزاماتهمچنینشاملالزاماتامنیتیکارکردی3مانندالزامداتمبتندیبدر
قاعدهی2دیوارهآتشاست.برایمثالیازالگوبهبندب9-پیوستبمراجعهشود؛
مستندسازیالزاماتنرمافزارتحلیلرویدادنگارممیزی؛
گزارشهایتحلیلمحصول.
1- Assessment
2- Template
3- Functional
4- Rule base
5- Checks
6- Checklist
7- Verification
8- Hardened
13
راهبردآزمونبهتراستشاملآزمونواحد1وکاربردپذیرینیزباشدتاازشایستگیطراحدی،اطمیندانحاصدل
شود.
توصیهمیشودقبلازاجرایآزمونسامانه،طرحآزمونیآمادهشود.طرحآزمونبهتدراسدتشداملدادههدای
آنباشد.برنامهیآزمونبهتراستشاملشرایطآزمونمناسدب
فرانامههایآزمونبرایمدرک9
آزمونهمراهبا
همباشد.دادههایآزمونبهتراستبهدقتآمادهشوندتابتوانندکارکردکنترلهدایفندیامنیدتراآزمدایش
کنند.3
8-8نهايیسازی
نهاییسازیشود.
پیادهکردنامنیتشبکهکاملشده،باسطوحمناسبمدیریتی
نهاییسازی
توصیهمیشود
1-Unit
2- Evidence
3- Examine
12
پیوست الف
(اطالعاتی)
ارجاعات مابین کنترل های مرتبط با امنیت شبکه استاند اردهای ملی ايران به شمارههای ،23002
سال 2283:و ،23002سال 2283:و بند های اين استاندارد ملی ايران
بند اين استاندارد ملی ايران بند استانداردهای ملی ايران
،23002سال 2283 :و
،23002سال 2283
بهمواردالف-تاث-بند1-6-19 شبکههابهتراستبرایحفظامنیتسامانههاو 1-6-19کنترلهایشبکه
استانداردملیایرانشماره برنامههایکاربردیشبکهکهشاملگذر1
93999/93991مراجعهشود اطالعاتمیشودبهطورمتناسبمدیریتو
کنترلشوندتادربرابرتهدیداتدرامانبمانند.
3-3مدیریتشبکه هرجاکهمناسببودبهتراستمسسولیت9 1-6-19موردالف
عملیاتی3شبکههاازعملیاترایانهایجداشود.
فعالسازیثبت2کنشهای3مربوطبهشبکه 2-3رویدادنگاریوپایشبرای 1-6-19موردت
بهتراسترویدادنگاریوپایشمناسباعمال
گردد.
3-3مدیریتشبکه فعالیتهایمدیریتیبهتراستهماهنگی6 1-6-19موردث
نزدیکیبادوزیرموردداشتهباشد.بهینهسازی3
خدمتبهسازمانوحصولاطمینانازاینکه
3
کنترلهاپیوستهدرسراسرزیرساختپردازش
شدهاند.
اطالعاتاعمال
3-6گردآوریالزامات ویژگیهایامنیت،سطوحخدماتوالزامات 9-6-19امنیتخدماتشبکه
2-6بازنگریالزامات مدیریتیتمامخدماتشبکهبهتراستشناسایی
ودرتمامتوافقاتخدماتشبکهذکرشوند.چه
اینخدماتدرداخلفراهمشوندوچهبرون-
سپاریشوند.
1- Transit
2- Responsibility
3- Operational
4- Recording
5- Actions
6- Coordinate
7- Optimize
8- Processing
99
بند اين استاندارد ملی ايران بند استانداردهای ملی ايران
،23002سال 2283 :و
،23002سال 2283
3-3مستندسازی برایحفاظتازتبادلاطالعات،بهتراست مشیهاوروالهای
خط
1-3-19
مشیها،روالهاوکنترلهایتبادلاطالعات
خط تبادلاطالعات
رسمیازطریقانوااامکاناتارتباطیدرجای
خودقرارگیرند
3-3مدیریتشبکه کاربرانبهتراستتنهابهخدماتیدسترسی 1-2-11خطمشیاستفادهاز
داشتهباشندکهبهطورمشخصمجازبهاستفاده خدماتشبکه
ازآنهاباشند.
3-3مدیریتشبکه بهتراستروشهایاحرازهویتمناسبیبرای 9-2-11احرازهویتکاربربرای
دسترسیکاربرانراهدوراستفادهشوند. اتصاالتبیرونی
91
پیوست ب
(اطالعاتی)
نمونه الگوهای مستندسازی
ب 2-2-مقدمه
شاملبخشهاییمانند:
1
هدف/منظور/دامنهکاربرد ،
همفرضیاتفنیوهمطوردیگر،
وضعیت9سند،
ساختارسند.
1- Scope
2- Status
3- Overview
99
رویدادنگاری،
مدیریت،
احرازهویتوکنترلدسترسی،
برگشتپذیریوپوشش1خدمت،
محلهای9سامانه،
-
مؤلفههایسامانه، -
اتصاالتمتقابل،3 -
مؤلفه،1 -
مرورکلی،
پیکربندی،
رویدادنگاری،
مدیریت،
مؤلفه،9 -
مرورکلی،
پیکربندی،
رویدادنگاری،
مدیریت،
مؤلفه،3 -
مرورکلی،
پیکربندی،
رویدادنگاری،
مدیریت،
مؤلفهxوغیره، -
مدیریتکارساز، -
مقدمه،
پایشخدمات،
2
گسترشیافته(، )XSA
سرپرستیسامانه
مدیرامنیتسازمان(،3)ESM
1- Coverage
2- Locations
3- Interconnection
4- Extended System Administration
5- Enterprise Security Manager
93
هرمدیردیگر،
دیوارآتش، -
مقدمه،
مرورکلی،
پشتیبانپیکربندیدیوارآتش،
معیارطراحیوپیکربندی،
مجموعهقواعد،
مدیریتدیوارآتش، -
پیکربندی،
هشدارهایدیوارآتش،
دسترسیراهدور،
رویدادنگاری، -
سامانهپشتیبان، -
مقدمه،
دیوارهایآتش،
کارسازها،
برنامههایکاربردی،
ارتباطاتشبکه، -
شبکههایمحلیمانند1VLANوWLANها،
مسیریابها،
سودهها،
آدرسدهی،IP
مسسولیتهایمدیریت، -
کارسازها،
دیوارهایآتش،
زیرساختها،
مدیریتبرنامهکاربردی.
1-Virtual LAN
92
مقدمه،
خدماتدرمحلالف،
خدماندرمحلب،
توصیهمیشودفهرستیازتمامخدماتشبکهبراساسمکانکهشاملمواردزیرباشدوجودداشتهباشد:
خدمات،1KiloStream
خدمات،9MegaStream
خدماترلهقاب،3
خدمات،2ATM
خدمات،3MPLS/IP
پهنباند،6
خدمات
خدمات،WiFi/WiMax
خدماتاتصال،LAN
خدمات،3GSM
نرخاولیه(ISDN3تا39عددکانال62 KbpsکهتوسطMegaStreamهاتحویلمیشوند)،
واسطنرخپایه((ISDN2)BRIکانالهای،)9 × 62 Kbps
خطوطتبادلمستقیمآنالوگ،)DEL11(19
دروننت 19
/بروننت، خدمات
ISP ها،13
باذکرتمامخطوطوخدمات.
اگرفهرستبزرگاستبهتراستدرپیوستبیایدوازمتناصلیسندبهآنارجاادادهشود.
راارائهمیکند.
-1خدمتاختصاصیمدارخصوصیدیجیتالاستکهانتقالدادهیاانتقالصدا
برنامههایکاربردیاست، -9خدمت ،MegaStreamمدارخصوصیسرعتباالینقطهبهنقطهودائممتصلیراکهمناسببرایهمصداوهم
دادههای
فراهممیکند.
3- Relay frame
4- Asynchronous Transfer Mode
5- Multiprotocol Label Switching
6- Broadband
7- Global System for Mobile
8- Integrated Services Digital Network
9- Basic Rate Interface
10- Analogue
11- Direct Exchange Line
12- Intranet
13- Internet service provider
93
ب 5-2-جانمايی 2سختافزاری/فیزيکی
شاملبخشهاییمانند:
مقدمه،
مکان
هایطبقاتوجانماییاطاقکها9براساسمکانتهیهشود.این
بهتراستفهرستیازتمامسختافزارهابانقشه
فهرستبهتراستبهطورمثالشاملکارسازها،دیوارهایآتشودیگرتجهیزاتارتباطیباشد.همچندینتمدام
سختافزارهابایدبرچسب3گذاریشوند.توصیهمیشودبرنامهبرچسبگذاریبهطدورمسدتقیمذکدریدابدهآن
ارجاادادهشود.
جدولب1-مثالیازجدولفهرستسختافزاررانشانمیدهد.توصیهمیشدودبدرایهدرندواسدختافدزار،
جدولیتهیهشود.جدولمثالمربوطبهمؤلفههایکارسازاست.
جدول ب 2 -نمونه جدول فهرست سخت افزار
1- Layout
2- Cabinet
3- Label
-2دراینجاScaled
96
فهرستنرمافزارشاملشمارهنسخهآنهابهتراستحاویمواردزیرباشد:
نرمافزار،Windows
دیوارهایآتش،
،RAS/RADIUS
نرمافزارمسیریاب،
نرمافزارسوده،
پیشکار،
مدیریتممیزی،
کارسازهاینامه،
رلهنامه،SMTP
مدیریتمحتوی،
نمایشدهی،Java/ActiveX1
کارسازوب،
کارسازپروتکلانتقالپرونده(،9)FTP
کنترلکنندههایدامنه،
نرمافزارپشتیبان،
دیگرنرمافزارها.
اینفهرستبهتراستدرپیوستبیایدکهدرمتناصلیبهآنارجاادادهشود.
ب 3-2-عملکرد
جزئیاتعملکردموردانتظارشاملجزئیاتهرزیرسامانهبهتراستمانندزیرذکرشوند:
رایانههایرومیزی،3
کارسازها،
،LAN
،WAN
دروازهها،
خدماتخارجی.
1- Screening
2- File transfer protocol
3- Desktop
93
ب 8-2-مسائل شناخته شده
جزئیاتمسائلشناختهشدهشاملنواحیموردنظرعدم-انطباقبهتراسدتتحدتسرفصدلهداییماننددفندی،
فیزیکیومحیطیذکرشوندکهشاملبخشهاییمانندزیرهستند:
مقدمه،
نواحیعدم-انطباق.
ب 3-2-مراجع
بهتراستارجاعاتبهتماماسنادمرتبطذکرشوندکهشاملمواردزیرهستند:
نتایجارزیابیمخاطرهوبازنگریمدیریتامنیت،
خطمشیامنیتشبکهبندی،
خطمشیامنیتاطالعات،
مشیهایامنیتیمربوط،
خط دیگر
مستندسازیمعماریفنی،
(امنیتی)دسترسیخدماتبرایهرسامانهیدیوارآتش(کهشاملمجموعهقواعددیوار
مستنداتالزامات
آتشهمهستند)،
مستندسازیالزاماتنرمافزارتحلیلرویدادنگار(ممیزی)،
طرحوارهمدیریتپیشامدامنیتاطالعات،
هایبهرهبرداریامنیت(،1)SecOP
روال
شرایطاتصالامنبرایطرفسوم،
راهنمایکاربربرایکاربرانطرفسوم.
ب 20-2-پیوستها
شاملبخشهاییمانندزیرهستند:
پیکربندیسختافزار،
پیکربندیکارساز/پیشانه،
پیکربندیدیوارآتش،
پیکربندیمسیریاب،
پیکربندینرمافزار،
پیکربندیپایگاهداده،
نقشهآدرسدهی،IP
پیکربندی،SNMP
ب 22-2-واژهنامه
بهازایهرسامانهیدیوارآتشسندیتهیهشود.
بهتراست يادآوری-
ب 2-2-مقدمه
شاملبخشهاییمانندزیراست:
پسزمینه/دامنهکاربرد/اهداف،
نامسامانهدیوارآتش،
محلدیوارآتش،
نقشدیوارآتش،
نامفرد/گروهمسسولعملیاتدیوارآتش،
سابقهیتجدیدنظرمحتویاتسند،
مراجع.
1- Links
92
مسیریابداخلی،
مسیریابخارجی،
ناف،DMZ1
کارسازکدضد-مخرب،9
نامهی،SMTP
صفحاتوب،
کارسازنامه،SMTP
کارسازرویدادنگاری(ممیزی)،
منبعتغذیهوقفهناپذیر(،3)UPS
مؤلفههایدیگر،
سایرکنترلهایموردنیاز،
-شرحپیوندهاازدیگرسامانههاوبهدیگرسامانهها،
-انواااطالعاتیکهدربرمیگیردوحساسیتآنها،
-انوااکاربرانوتعدادوغیره.
ارزیابیهایتهدید،
ارزیابیهایآسیبپذیری،3
ارزیابیهایمخاطره،
1- Hub
2- Anti-malicious code server
3- Uninterruptable power supply
4- Impact
5- Adverse
6- Valuation
7- Vulnerability
39
پشتیباناندیوارآتش،
مدیریتشبکه،
سایرمدیریتهایفناوریاطالعات،
کاربران.
ب 3-2-رويدادنگاری(ممیزی)
شاملبخشهاییدرموردرویدادنگاریمانندزیراست:
اطالعاتیکهبایدثبتشوند،
تحلیلیکهبایدانجامشودوباچهابزاریانجامشود،
امنیت.
1- Capacity
2- Platform
31
ب 8-2-مديريت پیشامد امنیت اطالعات
شاملبخشهاییمانندبخشهایمرتبطباثبتفعالیتهااست:
مقدمه،
گزارشپیشامد،
ساماندهی1پیشامد،
غیره.
ب 22-2-پیوستها
شاملمواردیدربارهجزئیاتپروتکلهاوخدماتاست:
دسترسیهایبیرونیبهداخلوازداخلبهبیرون،
مدیریتراهدور،
مدیریتدیوارآتش،
مدیریتکارساز،DMZ
هرگونهجزئیاتمرتبطباسایرپروتکلهاوخدمات.
ب 22-2-واژهنامه
1- Handling
2- Cable
3- Applicable
39
پیوست پ
(اطالعاتی)
چارچوب استاندارد ITU-T X.805و نگاشت آن به کنترل های استاندارد ملی ايران شماره
،23002سال2283 :
1
استانداردITU-T X.805میتواندبرایتقویت بارفنیکنترلهادراستانداردملیایرانشدماره،93991سدال:
1333استفادهشود.بهطورخاصآنچنانکهدرشکلپ1-آمدهاست،استانداردITU-T X.805میتواندچهار
کنترلبهاستانداردملیایرانشماره،93991سال،1333:اضافهکند.خطمشیامنیت،مدیریتدارایی،کنترل
دسترسیومدیریتپیشامدامنیتاطالعات.الیه،برنامههاوابعادمشخصیازاستانداردITU-T X.805کهبرای
هرکدامازاینکنترلهاکاربردپذیر9استدرشکلبهتصویرکشیدهشدهاست.برایمثالبرایمدیریتدارایی
الیههایزیرساختوخدماتوکنترلوسطوحمدیریتبیشترینکاربردپذیریرادارنددوکنتدرلدسترسدیو
ابعادقابلیتدسترسیبرجستهتریننگرانیهایماخواهندبود.
کنترلهای استاندارد ملی ايران شماره ،27001سال1387 :
خط مشی قابل قبول برای استفاده تجهیزات را دسترسی به اطالعات/برنامه های نرم افزاری
مشخ می شود. خاصی برای اطمینان از تداوم خدمات محدود
الیههاوبرنامههای:X.805 خط مشی امنیت کنترل دسترسی می شود.
زیرساختمدیریت،زیرساختکنترل،زیرساخت الیههاوبرنامههای:X.805
کاربر زیرساختمدیریت،خدماتمدیریت،زیرساخت
ابعاد:X.805 مديريت سازماندهی کنترل،زیرساختکاربر
کنترلدسترسی،احرازهویت،انکارناپذیری به دست آوردن ،توسعه و
اطالعات ابعاد:X.805
نگهداری سامانه های احرازهویت،کنترلدسترسی،انکارناپذیری
اطالعاتی
مديريت دارايی
h
شکل پ : 2 -تقويت استاندارد ITU-T X.805برا ی کنترل های استانداردملی ا يران شماره ، 23002سال:
2283
1- Augmentation
2- Applicable
33
بهعنوانمثالتقویتمیتواندبرایارزیابیوطراحیامنیتنظاممنددمرکدزدادهیسدازمانهدامدورداسدتفاده
قرارگیرد.اینمرکزداده،اطالعاتکارکنانسازمانومخصوصااطالعاتشخصیراذخیرهمیکندودسترسیبه
آنبهتراستمحدودبهکاربرانمجازباشد.سازمانهایپشتیبانیکهتوسطخودسازمانبهکارگرفتهشددهاندد
بهاطالعاتکارکناندسترسیدارند.یکیازآنهامیزامداد1است.عالوهبراین،مرکزدادهوسامانههایدرونآن
توسطتشکیالتفناوریاطالعاتهمکار9نگهداریمیشود.همانطورکهدرشکلپ9-دیددهمدیشدود،میدز
امدادبهمنظوررسیدگیبهشکایات،پشتیبانیازسفارشاتبرایخدماتITجدیدد،بدرایرفدعمشدکالتیکده
کارکنانباخدماتITدارند(ماننددسترسیراهدور)وغیره،بهاطالعداتکارکنداندسترسدیدارد.بدهعدالوه
تشکیالتفناوریاطالعاتهمکار،بهعنوانبخشیازفعالیدتهداینگهدداریدرخصدوصنگهدداریسدامانهی
پرونده،بهروزرسانیهایسامانه،مدیریتوصلهوغیرهبهاطالعاتکارکناندسترسیدارد.
دارايی سازمان
اطالعات کارکنان دسترسیبرای: میز امداد
· رسیدگیبهشکایات
مرکز داده سازمان · پشتیبانیازدستورات
· رفعمشکالت
دادگان کارکنان · غیره
تشکیالت فناوری
اطالعات همکار
دسترسیبرای:
· نگهداریازسامانهپرونده
· بهروزرسانیهایسامانه
· مدیریتوصله
· غیره
برنامه مديريت
تشکیالت فناوری
يه زيرساخت
اطالعات همکار
استاندارد ITU-U X.805تحلیل يه زير
دسترسیبرای: ساخت:
· نگهداریازسامانهپرونده سازمانITشریکدسترسیاحرازهویتنشده
· بهروزرسانیهایسامانه بهاطالعاتکارکناندارد.
· مدیریتوصله دربرابرمواردزیرآسیبپذیراست:
· غیره · افشاسازی
· خرابی
استاندارد ITU-U X.805تحلیل برنامه مديريت:
درمواردزیربهاطالعاتکارکنانارجاادادهمیشود:
· مدیریتخدماتشبکه
· مدیریتزیرساختشبکه
شکل پ :2 -نتايج تحلیل تهديد و آسیبپذيری استاندارد ITU-T X.805برای دارايی سازمان
کنترلبندالف9-2-19-استانداردملیایرانشماره،93991سدال1333:بدهعندواننیدازیبدرایحفاظدتاز
مدیریتاطالعاتکارکناندرالیههایخدماتوزیرساختانتخابشدهاست.ایدنحفاظدتدرمقابدلآسدیب-
پذیریهاوتهدیداتیاستکهتوسطتحلیلهدایاسدتانداردITU-T X.805شناسداییشددهاندد(شدکلپ.)2-
کنترلبندالف9-2-19-استانداردملیایرانشماره،93991سال1333:بیانمیکندکهاطالعداتدرگیدردر
تراکنشهایبرخطبایدحمایتشوند.اینحمایتبرایجلوگیریازانتقالناتمدام،مسدیریابینادرسدت،تغییدر
غیرمجازپیام،افشاسازی9غیرمجازوتکثیر3وپاسخبهپیامغیرمجازاست.
1- Interception
2- Disclosure
3- Duplication
33
يه ها و برنامه استاندارد ITU-U X.805محل
های اعمال فزونش در کنترل های استاندارد ملی
ايران شماره 27001را شناسايی می کند.
)برای مثال الف(2-9-10-
دارايی سازمان امدادات
میزیز خدم
م
اطالعات کارکنان دسترسیبرای: استاندارد ITU-U X.805تحلیل يه
· رسیدگیبهشکایات خدمات:
· پشتیبانیازدستورات اطالعاتکارکنانبدونرمزنگاریبهمیزخدمات
مرکز داده سازمان · رفعمشکالت منتقلمیشود.
· غیره دربرابرمواردزیرآسیبپذیراست:
دادگان کارکنان · افشاسازی
· خرابی
برنامه مديريت · دستبرد
يه خدمات
برنامه مديريت
تشکیالت فناوری
اطالعات همکار
يه زيرساخت
سازمان ITشري
استاندارد ITU-U X.805تحلیل يه زير
ساخت:
دسترسیبرای:
سازمانITشریکدسترسیاحرازهویتنشده
· نگهداریازسامانهپرونده
بهاطالعاتکارکناندارد.
· بهروزرسانیهایسامانه دربرابرمواردزیرآسیبپذیراست:
· مدیریتوصله · افشاسازی
· غیره
· خرابی
شکل پ: 4 -کنترل های استاندارد ملی ايران شماره ، 23002س ال 2283 :
ابعاداستانداردITU-T X.805جزئیاتعملیاتوپیادهسازیکنترلبندالف9-2-19-رافراهممدیکندد.ایدن
کنترلدرالیههایزیرساختوخدماتبرایداراییاطالعداتیکارکنداناسدت.درالیدهخددمات،بعددامنیتدی
ارتباطاتبرایVPNهابرایجلوگیریازمسیریابینادرستفراهمشدهاست.بعدیکپارچگیداده،برایاستفاده
از1IPSec AHبهمنظورجلوگیریازانتقالناتمام،تغییر،تکثیروپاسخبهپیامغیرمجازفراهمشدهاسدت.بعدد
محرمانگیداده،برایاستفادهاز9IPSec ESPبهمنظورجلوگیریازافشاسازیغیرمجازفراهمشددهاسدت.در
الیهزیرساخت،بعدیکپارچگیداده،برایاستفادهازجمعآزماهای3پروندهبهمنظورجلوگیریازتغییرغیرمجاز
فراهمشدهاست.بعدمحرمانگیداده،برایرمزگذاریپروندهبهمنظورجلوگیریازافشاسازیغیرمجازفدراهم-
شدهاست.بعدکنترلدسترسیبرایاسدتفادهازفهرسدتهدایکنتدرلدسترسدی(2)ACLپرونددهبدهمنظدور
جلوگیریازنسخهبرداریغیرمجازفراهمشدهاست.درشکلپ3-نشانمیدهدکهابعداداسدتاندارد ITU-T
X.805برایپیادهسازیوعملیاتبندالف9-2-19-بهمنظورحمایتازداراییاطالعاتیکارکنانفراهمشده-
است.
محرمانگی داده
يه خدمات
استفاده از IPSec ESP
دسترسیبرای:
· نگهداریازسامانهپرونده
محرمانگی داده
· بهروزرسانیهایسامانه
· مدیریتوصله
رمزنگاری پرونده ها
· غیره
شناسايی دارايی ها شناسايی و ارزيابی مخاطرات انتخاب کنترل ها برای مقابله با پیاده سازی و عملیات کنترل ها
مخاطرات
شکل پ : 5 -استاندارد ITU-T X.805برا ی پ یاده سازی استاندارد مل ی ا يران شماره ، 23002سال2283 :
33
کتابنامه
[1] ITU-T X.805, Security architecture for systems providing end-to-end communications
[2] RFC 5246, The Transport Layer Security (TLS) Protocol Version 1.2, IETF, August 2008
33