‫جمهوری اسالمی ايران‬ ‫آی ای سی‬-‫ايزو‬-‫استاندارد ايران‬

INSO-ISO-IEC
Islamic Republic of Iran
27033-2 ‫سازمان ملی استاندارد ايران‬ 23022-2

1st.Edition Iranian National Standardization Organization ‫چاپ اول‬

Identical with 2232 ‫اسفند‬
ISO/IEC 27033-
2:2012 ‫ امنیت‬-‫ فنون امنیتی‬-‫فناوری اطالعات‬
Feb.2014

‫شبکه‬
:2‫قسمت‬
‫راهنماهايی برای طراحی و پیادهسازی‬
‫امنیت شبکه‬

Information technology — Security

techniques — Network security
Part 2:
Guidelines for the design and
implementation of network security

ICS:35.040
 ‫به نام خدا‬
‫آشنایی‌با‌ سازمان‌ملی‌استاندارد‌ایران‬
‫مؤسسۀ استاندارد و تحقیقات صنعتی ایران به موجب بند یک مادۀ‪ 3‬قانون اصالح قوانین و مقررات مؤسسۀ استاندارد و‌تحقیقات‬
‫صنعتی ایران‪ ،‬مصوب بهمن ماه ‪ 1331‬تنها مرجع رسمی کشور است که وظیفه تعیین‪ ،‬تدوین و نشر استانداردهای‌ملی‌(رسمی)‌‬
‫ایران را به عهده دارد‪‌.‬‬
‫نام‌موسسه‌استاندارد‌و‌تحقیقات‌صنعتی‌ ایران‌به‌موجب‌یکصد‌و‌پنجاه‌و‌دومین‌جلسه‌شورای‌عالی‌اداری‌مورخ‌‪‌ 29/6/92‬به‌‬
‫سازمان‌ملی‌استاندارد‌ایران‌تغییر‌و‌طی‌نامه‌شماره‌‪‌996/33333‬مورخ‌‪‌29/3/92‬جهت‌‌اجرا‌ابالغ‌شده‌است‌‪‌‌.‬‬
‫تدوین استاندارد در حوزههای مختلف در کمیسیون های فنی مرکب از کارشناسان ‌سازمان ‌‪ ،‬صاحب نظران مراکز و مؤسسات‌‬
‫علمی‪ ،‬پژوهشی‪ ،‬تولیدی و اقتصادی آگاه و مرتبط انجام می شود وکوششی همگام با مصالح ملی و با توجه به‌شرایط تولیدی‪‌،‬‬
‫فناوری و تجاری است که از مشارکت آگاهانه و منصفانۀ صاحبان حق و نفع‪ ،‬شامل تولیدکنندگان‪ ،‬مصرفکنندگان‪‌،‬صادرکنندگان‬
‫و وارد کنندگان‪ ،‬مراکز علمی و تخصصی‪ ،‬نهادها‪ ،‬سازمان های دولتی و غیر دولتی حاصل میشود ‪.‬پیش نویس‌استانداردهای ملی‬
‫ایران برای نظرخواهی به مراجع ذی نفع و اعضای کمیسیون های فنی مربوط ارسال میشود و پس از‌دریافت نظرها و پیشنهادها‬
‫در کمیتۀ ملی مرتبط با آن رشته طرح و در صورت تصویب به عنوان استاندارد ملی‌(رسمی) ایران‌چاپ و منتشر می شود‪‌.‬‬
‫پیش نویس استانداردهایی که مؤسسات و سازمان های عالقه مند و ذی صالح نیز با رعایت ضوابط تعیین شده تهیه می کنند‌‬
‫درکمیتۀ ملی طرح و بررسی و درصورت تصویب‪ ،‬به عنوان استاندارد ملی ایران چاپ و منتشر میشود ‪.‬بدین‌ترتیب‪‌،‬استانداردهایی‬
‫ملی تلقی می شوند که بر اساس مفاد نوشته شده در استاندارد ملی ایران شمارۀ ‪ 3‬تدوین و در کمیتۀ ملی‌استاندارد مربوط‌که‬
‫سازمان‌ملی‌استاندارد‌ایران‌تشکیل میدهد به تصویب رسیده باشد‪‌.‬‬
‫‪1‬‬
‫سازمان‌ملی‌استاندارد ایران از اعضای اصلی سازمان بین المللی استاندارد‌)‪،‌ (ISO‬کمیسیون بین المللی‌الکتروتکنیک‌)‪‌9(IEC‬و‬
‫‪2‬‬
‫سازمان بین المللی اندازه شناسی قانونی ‌)‪‌3(OIML‬است و به‌عنوان تنها رابط کمیسیون کدکس‌غذایی‌)‪‌ 3(CAC‬در کشور‬
‫فعالیت می کند‪‌.‬در تدوین استانداردهای ملی ایران ضمن توجه به شرایط کلی و نیازمندی های خاص کشور‌‪ ،‬از آخرین پیشرفت‌‬
‫بینالمللی بهرهگیری میشود ‪‌.‬‬‫های علمی‪ ،‬فنی و صنعتی جهان و استانداردهای ‌‬
‫سازمان‌ملی‌استاندارد‌ایران‌می تواند با رعایت موازین پیش بینی شده در قانون‪ ،‬برای حمایت از مصرف کنندگان‪‌،‬حفظ سالمت و‬
‫ایمنی فردی و عمومی‪ ،‬حصول اطمینان از کیفیت محصوالت و مالحظات زیست محیطی و اقتصادی‪ ،‬اجرای‌بعضی از استانداردهای‬
‫ملی ایران را برای محصوالت تولیدی داخل کشور و‌یا اقالم وارداتی‪ ،‬با تصویب شورای عالی استاندارد‪‌،‬اجباری نماید‪ ‌.‬سازمان می‬
‫تواند به منظور حفظ بازارهای بینالمللی برای محصوالت کشور‪ ،‬اجرای استاندارد کاالهای صادراتی و‌درجهبندی آن را اجباری‬
‫نماید‪ ‌.‬همچنین برای اطمینان بخشیدن به استفادهکنندگان از خدمات سازمان‌ها و مؤسسات فعال در‌زمینۀ مشاوره‪ ،‬آموزش‪،‬‬
‫بازرسی‪ ،‬ممیزی و صدورگواهی سیستمهای مدیریت کیفیت و مدیریت زیستمحیطی‪ ،‬آزمایشگاهها و‌مراکز کالیبراسیون‌(واسنجی)‬
‫وسایل سنجش‪ ،‬سازمان‌ملی‌استاندارد‌ایران این گونه سازمان ها و مؤسسات را بر اساس ضوابط نظام تأیید‌صالحیت ایران ارزیابی‬
‫میکند و در صورت احراز شرایط الزم‪ ،‬گواهینامۀ تأیید صالحیت به آن ها اعطا و بر عملکرد آن‌ها پایش ‌میکند‪‌.‬ترویج دستگاه‬
‫بین المللی یکاها‪ ،‬کالیبراسیون‌(واسنجی) وسایل سنجش‪ ،‬تعیین عیار فلزات گرانبها و انجام تحقیقات‌کاربردی برای ارتقای سطح‬
‫استانداردهای ملی ایران از دیگر وظایف این سازمان است‪.‬‬

‫‪1- International Organization for Standardization‬‬

‫‪2 - International Electrotechnical Commission‬‬
‫)‪3 - International Organization of Legal Metrology (Organisation Internationale de Metrologie Legale‬‬
‫‪4 - Contact point‬‬
‫‪5 - Codex Alimentarius Commission‬‬
‫‌ب‬
 ‫کمیسیون فنی تدوين استاندارد‬
‫«فناوری اطالعات‪ -‬فنون امنیتی‪ -‬امنیت شبکه‬
‫قسمت‪:2‬‬
‫راهنماهايی برای طراحی و پیادهسازی امنیت شبکه»‬
‫‌‬
‫سمت و‪ /‬يا نمايندگی‬
‫کارشناس‌تددوین‌اسدتاندارد‌سدازمان‌‬
‫فناوری‌اطالعات‌‬
‫‌‬
‫مدددیرکل‌اداره‌خدددمات‌ارزش‌افددزوده‌‬
‫سازمان‌فناوری‌اطالعات‌‬
‫‌‬
‫نماینده‌سازمان‌نظام‌صدنفی‌رایانده‌ای‌‬
‫کشور‌‬
‫کارشددناس‌مسددسول‌سددازمان‌فندداوری‌‬
‫اطالعات‌ایران‌‬
‫پژوهشگر‌دانشگاه‌شهید‌بهشتی‌‬
‫‌‬
‫مدیرعامل‌شرکت‌پردازشگران‌‬
‫‌‬
‫کارشناس‌تددوین‌اسدتاندارد‌سدازمان‌‬
‫فناوری‌اطالعات‌‬
‫‌‬
‫مدیر‌عامل‌شرکت‌کاربرد‌سیستم‌‬
‫‌‬
‫‌ج‬
‫رئیس‪:‬‬
‫قسمتی‪‌،‬سیمین‌‬
‫(فوق‌لیسانس‌فناوری‌اطالعات)‌‬
‫‌‬
‫دبیر‪:‬‬
‫میر‌اسکندری‪‌،‬سید‌محمدرضا‌‬
‫(لیسانس‌مهندسی‌کامپیوتر‌نرم‌افزار)‌‬
‫‌‬
‫اعضاء‪‌(‌:‬اسامی‌به‌ترتیب‌حروف‌الفبا)‌‌‬
‫‌‬
‫آریا‪‌،‬بهناز‌‬
‫(دکتری‌فناوری‌اطالعات)‬
‫‌‬
‫ایزدپناه‪‌،‬سحرالسادات‌‬
‫(فوق‌لیسانس‌مهندسی‌فناوری‌اطالعات)‌‬
‫‌‬
‫خوشنویسان‪‌،‬نازنین‌‌‬
‫(فوق‌لیسانس‪‌)MBA‬‬
‫‌‬
‫سجادیه‪‌،‬علیرضا‌‬
‫(فوق‌لیسانس‌مهندسی‌کامپیوتر)‌‬
‫سعیدی‪‌،‬عذراء‌‬
‫(فوق‌لیسانس‌مهندسی‌مخابرات)‌‬
‫طی‌نیا‪‌،‬رضا‌‬
‫(فوق‌لیسانس‌مدیریت‌فناوری‌اطالعات)‌‬
 ‫‌‌‬
‫رئیس‌هیات‌مدیره‌شدرکت‌کهکشدان‌‬ ‫عباس‌نژاد‪‌،‬علی‌‬
‫نور‌‬ ‫(دکتری‌مدیریت‌فناوری‌اطالعات)‌‬

‫کارشناس‌تددوین‌اسدتاندارد‌سدازمان‌‬ ‫فوالدیان‪‌،‬مجید‌‬
‫فناوری‌اطالعات‌‬ ‫(فوق‌لیسانس‌مهندسی‌مخابرات)‌‬

‫ریددیس‌اداره‌همدداهنگی‌فعالیددت‌هددای‌‬ ‫کیامهر‪‌،‬بیتا‌‬
‫مطالعاتی‌‬ ‫(لیسانس‌الکترونیک)‌‬

‫استادیار‌دانشگاه‌شهید‌بهشتی‬ ‫ناظمی‪‌،‬اسالم‌‬
‫(دکتری‌کامپیوتر)‌‬

‫پژوهشگر‌دانشگاه‌شهید‌بهشتی‬
‫‌‬ ‫نیسی‌مینایی‪‌،‬آصف‌‬
‫(فوق‌لیسانس‌فناوری‌اطالعات)‬
‫‌‬
‫پژوهشگر‌دانشگاه‌شهید‌بهشتی‌‬
‫‌‬ ‫یوسف‌زاده‪‌،‬سمیرا‌‌‬
‫(فوق‌لیسانس‌مهندسی‌کامپیوتر‌نرمافزار)‌‬
‫‌‬

‫‌د‬
 ‫فهرست مندرجات‬
‫صفحه‬ ‫عنوان‬
‫‌‬

‫ب‌‬ ‫آشنایی‌با‌سازمان‌ملی‌استاندارد‌ایران‌‬
‫ج‌‬ ‫کمیسیون‌فنی‌تدوین‌استاندارد‌‬
‫‌و‬ ‫پیش‌گفتار‬
‫‪1‬‬ ‫‪‌1‬هدف‌و‌دامنه‌کاربرد‬
‫‪1‬‬ ‫‪‌9‬مراجع‌الزامی‬
‫‪9‬‬ ‫‪‌3‬اصطالحات‌و‌تعاریف‬
‫‪9‬‬ ‫‪‌2‬کوتهنوشتها‬
‫‪9‬‬ ‫‪‌3‬ساختار‌سند‬
‫‪3‬‬ ‫‪‌6‬آمادهسازی‌برای‌طراحی‌امنیت‌شبکه‌‬
‫‪6‬‬ ‫‪ 3‬طراحی‌امنیت‌شبکه‬
‫‪13‬‬ ‫‪ 3‬پیادهسازی‬
‫پیوست‌الف‌(اطالعاتی)‌ارجاعات‌مابین‌کنترلهای‌مرتبط‌با‌امنیت‌شبکه‌استانداردهای‌ملی‌ایران‌به‌شمارههای‌‬
‫‪‌99‬‬ ‫‪‌،93991‬سال‪‌1333:‬و‌‪‌،93999‬سال‪‌1333:‬و‌بندهای‌این‌استاندارد‌ملی‌ایران‌‬
‫‌‌‌‌‌‌‪99‬‬ ‫پیوست‌ب‌(اطالعاتی)‌نمونه‌الگوهای‌مستندسازی‌‬
‫پیوست‌پ‌(اطالعاتی)‌چارچوب‌استاندارد‌‪ ITU-T X.805‬و‌نگاشت‌آن‌به‌کنترلهای‌استاندارد‌ملی‌ایران‌شماره‌‬
‫‪‌33‬‬ ‫‪‌،93991‬سال‪‌1333‌:‬‬
‫‪‌33‬‬ ‫کتابنامه‌‬
‫‌‬

‫‌ه‬
 ‫پیش‌گفتار‬
‫استاندارد‌«فناوری‌اطالعات‪‌-‬فنون‌امنیتی‪‌-‬امنیت‌شبکه‌قسمت‪‌:9‬راهنماهایی‌برای‌طراحی‌و‌پیادهسازی‌امنیت‌‬
‫شبکه» ‌که‌پیش‌نویس‌آن‌در‌کمیسیونهای‌مربوط‌توسط‌سازمان‌فناوری‌اطالعات‌ایران ‌تهیه‌و‌تدوین‌شده‌‬
‫است ‌و ‌در ‌سیصد ‌و ‌نوزدهمین ‌اجالس ‌کمیته ‌ملی ‌استاندارد ‌رایانه ‌و ‌فرآوری ‌داده ‌مورخ ‌‪‌ 1329/11/12‬مورد‌‬
‫تصویب ‌قرارگرفته ‌است‪‌ ،‬اینک ‌به ‌استناد ‌بند ‌یک ‌ماده ‌‪‌ 3‬قانون ‌اصالح ‌قوانین ‌و ‌مقررات ‌موسسه ‌استاندارد ‌و‌‬
‫تحقیقات‌صنعتی‌ایران‪‌،‬مصوب‌بهمن‌ماه‌‪‌،1331‬به‌عنوان‌استاندارد‌ملی‌ایران‌منتشر‌میشود‌‪‌.‬‬
‫‌‬
‫برای ‌حفظ ‌همگامی ‌و ‌هماهنگی ‌با ‌تحوالت ‌و ‌پیشرفتهای ‌ملی ‌و ‌جهانی ‌در ‌زمینه ‌صنایع‪‌ ،‬علوم ‌و ‌خدمات‪‌،‬‬
‫استانداردهای‌ملی‌ایران‌در‌مواقع‌لزوم‌تجدید‌نظر‌خواهد‌شد‌و‌هر‌پیشنهادی‌که‌برای‌اصالح‌و‌تکمیل‌این‌‬
‫استانداردها ‌ارائهشود‪‌ ،‬هنگام ‌تجدید ‌نظر ‌در ‌کمیسیون ‌فنی ‌مربوط ‌مورد ‌توجه ‌قرار ‌خواهدگرفت‪‌ .‬بنابراین‪‌‌،‬‬
‫باید‌همواره‌از‌آخرین‌تجدید‌نظر‌استانداردهای‌ملی‌استفاده‌کرد‌‪‌.‬‬
‫‌‬
‫منبع‌و‌ماخذی‌که‌برای‌تهیه‌این‌استاندارد‌مورد‌استفاده‌قرار‌گرفته‌به‌شرح‌زیر‌است‌‪:‬‬
‫― ‪ISO/IEC 27033-2:2012, Information technology ― Security techniques ― Network security‬‬
‫‪Part 2: Guidelines for the design and implementation of network security.‬‬

‫‌و‬
 ‫فناوری اطالعات‪ -‬فنون امنیتی‪ -‬امنیت شبکه قسمت‪ :2‬راهنماهايی برای طراحی و‬
‫پیادهسازی امنیت شبکه‬

‫هدف و دامنه کاربرد‬ ‫‪2‬‬

‫هدف‌از‌تدوین‌این‌قسمت‌از‌سری‌استاندارد‌ملی‪‌،‬ارائه‌راهنماهایی‌بدرا‌ی‌سدازمان‌هدا‌بده‌منظدور‌برنامده‌ریدزی‪‌،‬‬
‫‪‌،‬پیادهسازی‌و‌مستندسازی‌امنیت‌شبکه‌است‪‌.‬‬
‫‌‬ ‫طراحی‬

‫مراجع الزامی‬ ‫‪2‬‬

‫مدارک‌الزامی‌زیر‌حاوی‌مقرراتی‌است‌که‌در‌متن‌این‌استاندارد‌ملی‌ایران‌بده‌آن‌هدا‌ارجداا‌داده‌شدده‌اسدت‪‌‌.‬‬
‫بدین‌ترتیب‌آن‌مقررات‌جزئی‌از‌این‌استاندارد‌ملی‌ایران‌محسوب‌میشود‪‌.‬‬
‫در‌صورتی‌که‌به‌مدرکی‌با‌ذکر‌تاریخ‌انتشار‌ارجداا‌داده‌شدده‌باشد‪،‬اصدال‌حیههدا‌و‌تجدیدد‌نظرهدای‌بعددی‌آن‌‌‬
‫مورد‌نظر‌این‌استاندارد‌ملی‌ایران‌نیست‪‌.‬در‌مورد‌مدارکی‌که‌بدون‌ذکر‌تاریخ‌انتشار‌به‌آن‌ها‌ارجاا‌داده‌شده‪-‬‬
‫است‪‌،‬همواره‌آخرین‌تجدید‌نظر‌و‌اصالحیههای‌بعدی‌آنها‌مورد‌نظر‌است‪‌.‬‬
‫استفاده‌از‌مراجع‌زیر‌برای‌این‌استاندارد‌الزامی‌است‪‌:‬‬
‫‪2-1‬‬ ‫— ‪ISO/IEC 7498 (all parts), Information technology — Open Systems Interconnection‬‬
‫‪Basic Reference Model1‬‬
‫‪ 2-2‬استاندارد‌ملی‌ایران‌شماره‌‪‌:93999‬سال‌‪‌،1321‬فناوری‌اطالعات‌‪‌-‬فنون‌امنیتی‌‪‌-‬سامانه‌های‌مدیریت‌‬
‫امنیت‌اطالعات‌‪‌-‬مرور‌کلی‌و‌واژگان‬
‫‪ 2-2‬استاندارد‌ملی‌ایران‌شماره‌‪‌:93991‬سال‌‪‌،1333‬فناوری‌اطالعات‌‪‌-‬فنون‌امنیتی‌‪‌-‬سامانه‌های‌مدیریت‌‬
‫امنیت‌اطالعات‌‪‌-‬الزامات‬
‫‪ 4-2‬استاندارد‌ملی‌ایران‌شماره‌‪‌:93999‬سال‌‪‌ ،1333‬فناوری‌اطالعات‌‪‌ -‬فنون‌امنیتی‌‪‌ -‬آیین ‌کار ‌مدیریت‌‬
‫امنیت‌اطالعات‬
‫‪ 5-2‬استاندارد‌ملی‌ایران‌شماره‌‪‌:93993‬سال‌‪‌ ،1329‬فناوری‌اطالعات‌‪‌ -‬فنون ‌امنیتی‌‪‌ -‬مدیریت‌مخاطرات‌‬
‫امنیت‌اطالعات‬
‫‪2-6‬‬ ‫― ‪ISO/IEC 27033-1, Information technology ― Security techniques ― Network security‬‬
‫‪Part 1: Overview and concepts2‬‬

‫‪ ‌ -1‬معادل‌کنونی‌این ‌سری ‌استانداردها‪‌،‬استانداردهای‌ملی ‌ایران‌شماره‌‪(16932‬تمامی‌قسمتها)‪‌ ،‬فناوری‌اطالعات ‌‪-‬اتصال‌متقابل‌سامانه‌های‌باز ‌مدل‌‬

‫مرجع‌پایه‌بوده‌که‌همگی‌مصوب‌‪‌1321‬هستند‪.‬‬
‫‪‌-9‬معادل‌کنونی‌این‌استاندارد‪‌،‬استاندارد‌ملی‌ایران‌شماره‌‪‌،12366-1‬فناوری‌اطالعات‌‪-‬فنون‌امنیتی‌‪-‬امنیت‌شبکه‌‪-‬قسمت‌‪‌-1‬مرور‌کلی‌و‌مفاهیم‌مصوب‌‬
‫‪‌1321‬است‪‌.‬‬
‫‌‬
‫‪1‬‬
 ‫‪ 2‬اصطالحات و تعاريف‬
‫برای‌اهداف‌این‌استاندارد‌ملی‌تعاریف‌و‌استانداردهای‌آورده‌شده‌در‌استاندارد‌ملی‌ایران‌شماره‌‪(16932‬تمامی‌‬
‫قسمتها)‪‌،‬استاندارد‌ملی‌ایران‌شماره‌‪‌:93991‬سال‌‪‌،1333‬استاندارد‌ملی‌ایدران‌شدماره‌‪‌:93999‬سدال‌‪‌،1333‬‬
‫استاندارد‌ملی‌ایران‌شماره‌‪‌:93993‬سال‌‪‌1329‬و‌استاندارد‌ملی‌ایران‌شماره‌‪‌:12366-1‬سال‌‪‌1321‬مورد‌نظر‌‬
‫قرار‌میگیرد‪‌.‬‬

‫کوتهنوشتها‬ ‫‪4‬‬
‫برای‌اهداف‌این‌استاندارد‌ملی‌کوتهنوشتهای‌مورد‌استفاده‌در‌استاندارد‌ملدی‌ایدران‌شدماره‌‪‌:12366-1‬سدال‌‬
‫‪‌1321‬و‌آنچه‌در‌زیر‌آمده‌است‌قابل‌اعمال‌هستند‪‌.‬‬
‫‪IDS‬‬ ‫‪Intrusion Detection System‬‬ ‫سامانهی‌تشخیص‌نفوذ‌‬
‫‌‬
‫‪IPS‬‬ ‫‪Intrusion Prevention System‬‬ ‫سامانهی‌پیشگیری‌از‌نفوذ‌‬
‫‌‬
‫‪POC‬‬ ‫‪Proof of Concept‬‬ ‫اثبات‌مفهوم‌‬
‫‪Remote Authentication Dial-In User‬‬
‫‪RADIUS‬‬ ‫خدمت‌احراز‌هویت‌راهدور‌کاربر‌شمارهگیر‌‌‬
‫‪Service‬‬
‫‪RAS‬‬ ‫‪Remote Access Service‬‬ ‫خدمت‌دسترسی‌راهدور‌‬
‫‪SMS‬‬ ‫‪Simple Message Service‬‬ ‫خدمت‌پیام‌ساده‌‬
‫‪SMTP‬‬ ‫‪Simple Mail Transfer Protocol‬‬ ‫پروتکل‌ساده‌نامهرسانی‌‬
‫‪Terminal Access Controller Access‬‬ ‫سامانه‌کنترل‌دسترسی‌به‌کنترلکننده‌‬
‫‪TACACS‬‬
‫‪Control System‬‬ ‫پایانه‌دسترسی‌‬
‫‪TFTP‬‬ ‫‪Trivial File Transfer Protocol‬‬ ‫پروتکل‌انتقال‌پرونده‌جزئی‌‬
‫‪TLS‬‬ ‫‪Transport Layer Security‬‬ ‫امنیت‌الیه‌انتقال‌‬

‫‪ 5‬ساختار سند‬
‫ساختار‌این‌استاندارد‌ملی‌شامل‌موارد‌زیر‌است‪‌:‬‬
‫‪ -‬آمادهسازی‌برای‌طراحی‌امنیت‌شبکه‬
‫‪ ‬مقدمه‬
‫‪ ‬شناسایی‌داراییها‬
‫‪ ‬گردآوری‌الزامات‬
‫‪ ‬بازنگری‌الزامات‬
‫‪ ‬بازنگری‌طراحیها‌و‌پیادهسازیهای‌موجود‬
‫‪ -‬طراحی‌امنیت‌شبکه‬
‫‪ ‬مقدمه‬
‫‪ ‬اصول‌طراحی‬
‫‪9‬‬
 ‫نهاییسازی‪‌1‬طراحی‬
‫‌‬ ‫‪‬‬
‫‪ -‬پیادهسازی‬
‫‪ ‬مقدمه‬
‫‪ ‬معیار‌برای‌انتخاب‌اجزای‌شبکه‬
‫‪ ‬معیار‌برای‌انتخاب‌محصول‌یا‌فروشنده‬
‫‪ ‬مدیریت‌شبکه‬
‫‪9‬‬
‫‪ ‬رویدادنگاری‪‌،‬پایش‌و‌رویارویی‌با‌پیشامدها‬
‫‪ ‬مستندسازی‬
‫‪ ‬برنامههای‌آزمون‌و‌انجام‌آزمون‬
‫نهاییسازی‬
‫‌‬ ‫‪‬‬

‫آمادهسازی برای طراحی امنیت شبکه‬ ‫‪6‬‬

‫‪ 2-6‬مقدمه‬
‫اهداف‌امنیت‌شبکه‪‌،‬توانمندسازی‌جریانهای‌اطالعاتی‌اسدت‌کده‌فر‌آینددهای‌کسدب‌‌و‌کدار‌سدازمان‌را‌ارتقدا‌‌‬
‫فرآیندهای‌کسبوکار‌سازمان‌را‌تنزل‌می‌دهند‪‌،‬پیشگیری‌می‌کنندد‪‌.‬کدار‌‬
‫‌‬ ‫دهند‌و‌از‌جریانهای‌اطالعاتی‌که‌‬
‫‌‬ ‫‌‬
‫می‬
‫آمادهسازی‌برای‌طراحی‌و‌پیادهسازی‌امنیت‌شبکه‌شامل‌مراحل‌زیر‌است‪‌‌‌:‬‬
‫‪ ‬شناسایی‌داراییها‬
‫‪ ‬گردآوری‌الزامات‬
‫‪ ‬بازنگری‌الزامات‬
‫‪ ‬ارزشیابی‌گزینههای‌فنی‌و‌محدودیتها‬
‫‪ ‬ارزشیابی‌طراحیها‌و‌پیادهسازیهای‌موجود‬
‫این‌مراحل‌بهتر‌است‌منجر‌به‌مستندسازی‌زودهنگامی‌شوند‌که‌شامل‌تمامی‌ورودیها‪‌3‬برای‌دنبال‌کردن‌گام‪-‬‬
‫های‌طراحی‌و‌پیادهسازی‌باشد‪‌.‬‬
‫‪ 2-6‬شناسايی دارايیها‬
‫شناسایی‌داراییها‌اولین‌گام‌حیاتی‌برای‌تعیین‌مخاطرات‌امنیت‌اطالعات‌هر‌شبکهای‌است‪‌.‬داراییهایی‌که‌باید‌‬
‫محافظت‌شوند‌آنهایی‌هستند‌که‌افشای‌نامناسب‪‌،‬دستکاری‌یا‌خارج‌از‌دسترس‌کردن‌آنها‌منجدر‌بده‌تندزل‌‬
‫فرآیندهای‌کسبوکار‌سازمانها‌میشوند‪‌.‬ایدن‌دارایدی‌هدا‌شدامل‌دار‌ایدی‌هدای‌فیزیکدی‌(کارسدازها‌‪‌،2‬سدوده‌هدا‌‪‌،3‬‬

‫‪1- Sign-off‬‬
‫‪2- Incident Response‬‬
‫‪3- Inputs‬‬
‫‪4- Servers‬‬
‫‪5- Switches‬‬
‫‪3‬‬
‫مسیریابها‪‌1‬و‌غیره)‌و‌داراییهای‌منطقی(تنظیمات‌پیکربندی‪،‬کد‌قابلاجدرا‪‌،‬داده‌و‌غیدره)‌‌هسدتند‌‪‌.‬ایدن‌ثبدت‌‬
‫داراییها‌بهتر‌است‌به‌عنوان‌بخشی‌از‌تحلیل‌مخداطره‌ی‌برنامده‌ریدزی‌تد‌دوام‪‌/9‬بازیدابی‌پدس‌از‌سدانحه‌‪‌3‬وجدود‌‬
‫داشت‌هباشد‪‌.‬سؤالهایی‌که‌باید‌پاسخ‌داده‌شوند‌از‌قرار‌زیر‌هستند‪:‬‬

‫‪ ‬انواا‌مختلف‌تجهیزات‌شبکه‌و‌گروهبندیهای‌امکاناتی‪‌2‬که‌نیاز‌به‌حفاظت‌دارند‌چه‌هستند؟‬

‫‪ ‬انواا‌مختلف‌فعالیتهای‌شبکه‌که‌نیاز‌به‌حفاظت‌دارند‌چه‌هستند؟‬

‫‪ ‬چه‌داراییهای‌اطالعاتی‌و‌تواناییهای‌پردازش‌اطالعاتی‌نیاز‌به‌حفاظت‌دارند؟‬

‫‪ ‬داراییهای‌اطالعاتی‌در‌کجای‌معماری‌سامانههای‌اطالعاتی‌قرار‌گرفت‌هاند؟‬

‫داراییهای‌قابل‌شناسایی‌شامل‌موارد‌موردنیازی‌است‌که‌بتواند‌به‌صورت‌امدن‌از‌مددیریت‪‌،‬کنتدرل‌و‌ترافیدک‌‬
‫کاربر‌و‌ویژگیهای‪‌3‬مورد‌نیاز‌کارکردی‌زیرساخت‌شبکه‪‌،‬خدمات‌و‌برنامههای‌کاربردی‌پشتیبانی‌کنند‪‌.‬ایدن‌هدا‌‌‬
‫نها‪‌،‬مسیریابها‪‌،‬دیدوار‌هدای‌آتدش‌و‌‌مانندد‌آن‌‪‌،‬واسدط‌هدای‌‪‌3‬کداربری‌‌(داخلدی‌و‌‬ ‫شامل‌افزاره‌هایی‪‌6‬مانند‌ ‌‬
‫میزبا ‌‬
‫خارجی)‪‌،‬اطالعات‌ذخیرهشده‪/‬پردازش‌شده‌و‌پروتکلهای‌مورد‌استفاده‌هستند‪‌.‬‬
‫‌‬
‫حفاظت‌از‌داراییهای‌زیرساختی‌تنها‌بخشی‌از‌هدف‌طراحی‌امنیت‌شبکه‌است‪‌.‬هدف‌اصلی‌حفاظت‌از‌دارایی‪-‬‬
‫های‌کسبوکار‪‌،‬مانند‌اطالعات‌و‌فرآیندهای‌‌کسبوکار‌است‪‌.‬‬
‫‪ 2-6‬گردآوری الزامات‬

‫‪ 2-2-6‬الزامات قانونی و مقرراتی‬

‫الزامات‌قانونی‌و‌مقرراتی‌مربوط‌به‌موقعیت‌و‌کارکرد‌شبکه‌بهتر‌است‌جمعآوری‌و‌بازنگری‌شدو‌ند‌تدا‌اطمیندان‌‬
‫حاصل‌شود‌که‌این‌الزامات‌در‌طراحی‌شبکه‌منظور‌شده‌اند‪‌.‬در‌جایی‌که‌اطالعات‌در‌مرزهای‌قانونی‪‌3‬و‌مقرراتی‌‬
‫جریان‌دارد‪‌،‬بهتر‌است‌مالحظات‌خاص‌در‌نظر‌گرفته‌شوند‪‌.‬در‌چنین‌مواردی‌الزامات‌دو‌طرف‌مدر‌ز‌بایدد‌ثبدت‌‬
‫شوند‪.‬‬
‫‪ 2-2-6‬الزامات کسبوکار‬
‫فرایندهای‌کسبوکار‌سازمانها‌و‌انواا‌ردهبندی‌داده‪‌،‬الزامات‌دسترسی‌به‌آنها‌را‌تعیین‌میکند‪‌.‬شبکه‌بهتراست‌‬
‫به‌گونهای‌پیکربندی‌شود‌تا‌این‌دسترسی‌به‪/‬از‌داراییهای‌اطالعاتی‌برای‌کاربران‌مجداز‌مقتضدی‌‌را‌‌فعدال‌‌و‌از‌‬

‫‪1- Routers‬‬
‫‪2- Continuity‬‬
‫‪3- Disaster Recovery‬‬
‫‪4- Facility Groupings‬‬
‫‪5- Features‬‬
‫‪6‌-Devices‬‬
‫‪7‌- Interfaces‬‬
‫‪8- Jurisdictional‬‬
‫‪2‬‬
‫دیگر‌دسترسیها‌پیشگیری‌کند‪‌.‬دسترسی‌به‌اطالعات‪‌،‬اغلب‌مربوط‌به‌درگاههای‪‌1‬باز‌(برای‌مثال‌پروتکل‌انتقال‌‬
‫ابدددرمتن‌‌(‪‌9)HTTP‬روی‌پروتکدددل‌کنتددددرل‌انتقدددال‌‌(‪ 3)TCP‬درگددداه‌‪‌،)80‬میزبددددانهدددای‌‌مشددددخص‌‬
‫(ماننددد‪‌www.example.com‬در‌آدرس‌پروتکددل‌اینترنتددی‌(‪‌2)IP‬شددماره‌‪‌،)10.11.12.13‬گددروه‌هددای‌خاصددی‌از‌‬
‫میزبانها‌(برای‌مثال‌زیر‌شبکه‌‪‌)172.128.97.64/24‬یا‌افزارههای‌واسط‌شبکه‌خاص‌(مانندد‌واسدطی‌بدا‌‌آدرس‌‬
‫کنترل‌دسترسی‌رسانه‌(‪‌3(MAC‬شماره‌‪‌)10:00:00:01:02:03‬است‪‌.‬نیاز‌است‌تا‌سازمان‌خدماتی‌را‌کد‌ه‌بدرای‌‬
‫دیگران‌فراهم‌میکند‪‌،‬خدماتی‌که‌از‌دیگران‌دریافت‌میکند‌و‌خدمات‌داخلی‌خود‌را‌شناسایی‌کند‪.‬‬
‫‪ 2-2-6‬الزامات عملکردی‬
‫روازههدای‌‪‌6‬امنیتی‪/‬دیدوار‌هدای‌آتدش‌‪‌،‬بده‌گونده‌ای‌‬
‫برای‌اینکه‌بتوان‌پیکربندی‌های‌خطوط‌ارتباطی‪‌،‬کارسازها‌و‌د ‌‬
‫مستندسازی‌شوند‪‌،‬که‌در‌پیادهسازی‪‌،‬مطابق‌با‌انتظارات‌کاربر‪‌،‬سطح‌خوبی‌از‌خدمات‪‌،‬بدون‌«پیکربندی‌بدیش‌‌‬
‫از‌حد»‌و‌هزینههای‌غیرضروری‌مرتبط‪‌،‬فراهم‌شود‪‌،‬به‌ترافیک‌داده‌نیاز‌است‪‌.‬‬
‫در‌این‌خصوص‌بهتدر‌اسدت‌اطالعداتی‌جمدع‌آوری‌شدو‌ند‪‌،‬بده‌طدور‌مثدال‪‌‌:‬سدرعت‌خطدوط‌ارتبداطی‌موجدود‪‌،‬‬
‫پیکربندی‪/‬ظرفیت‌مسیریابها‌در‌هر‌مکان‌متعلق‌به‌طرف‌سوم‪‌،‬تعداد‌کاربرانی‌که‌مجاز‌به‌دسترسدی‌از‌طریدق‌‬
‫همزمان‌و‌تعداد‌کاربران‌مجاز‌بده‌دسترسدی‌)‪‌،‬کمینده‪‌،‬میدانگین‌و‌بیشد‌ینهی‌زمدان‌‬ ‫هر‌پیوند‌هستند‌(دسترسی‌ ‌‬
‫موردنیاز‌برای‌اتصال‌کاربر‪‌،‬هویت‌کاربران‌مجاز‌که‌از‌طریق‌پیوند‌دسترسی‌دارند‪‌،‬تعداد‌دفعات‌مورد‌نیاز‌بازدید‌‬
‫از‌صفحات‌وب‪‌،‬دفعات‌موردنیاز‌دسترسی‌به‌پایگاه‌داده‪‌3‬رشد‌مورد‌انتظار‌یک‌ساله‌و‌سه‪/‬پنج‌ساله‌یا‌آیدا‌‌ثبدت‌‬
‫ورود‌به‌ویندوز‌نیاز‌است‪‌.‬برای‌یافتن‌تعداد‌مناسب‌درگاهها‌و‌کانالهای‌مورد‌نیداز‌بده‌خصدوص‌در‌اتصدال‌هدای‌‬
‫شمارهگیری‌میتوان‌از‌نظریه‌جدول‌مخابراتی‌(صفبندی‪‌)3‬سود‌جست‪‌.‬این‌الزامات‌کارآیی‌بهتر‌است‌بداز‌نگری‌‬
‫وجوها‌پاسخ‌دادهشوند‌و‌معیار‌کارآیی‌مورد‌نیاز‌توسط‌معماری‌فنی‌و‌معماری‌فنی‌امنیتی‌مرتبط‌و‌‬
‫‌‬ ‫شوند‪‌،‬پرس‬
‫مورد‌توافق‌رسمی‪‌،‬برآورده‌شوند‪‌.‬‬
‫‪ 4-6‬الزامات بازنگری‬
‫بازنگری‌توانمندیهای‌کنونی‌و‌هر‌تغییر‌برنامهریزی‌شده‌در‌معماری‌شدبکه‌نیداز‌اسدت‌کده‌انجدام‌شدوند‌‌و‌بدا‌‬
‫معماری‌امنیت‌فنی‌در‌حال‌توسعه‌مقایسه‌شود‌تا‌هر‌ناسازگاری‌یادآوری‌شود‪‌.‬هدر‌ناسدازگاری‌‌نیداز‌اسدت‌کده‌‌‬
‫بازنگری‌شود‌و‌معماریهای‌متناسب‌با‌آن‌اصالح‌شود‪‌.2‬‬
‫اطالعاتی‌که‌در‌طول‌بازنگری‌جمعآوری‌میشوند‌بهتر‌است‪‌،‬شامل‌کمینه‌موارد‌زیر‌باشند‪‌:‬‬
‫‪ ‬شناسایی‌نوا(انواا)‌اتصال(اتصاالت)‌شبکه‌که‌استفاده‌ ‌‬
‫میشوند‪،‬‬

‫‪1 - Ports‬‬
‫‪2‌- Hyper text transfer protocol‬‬
‫‪3‌- Transmission control protocol‬‬
‫‪4‌- Internet Protocol‬‬
‫‪5‌- Media access control‬‬
‫‪6 - Gateways‬‬
‫‪7 - Database‬‬
‫‪8- Queuing‬‬
‫‌‪9- Modified‬‬
‫‪3‬‬
 ‫‪ ‬تعیین‌مخاطرات‌امنیتی‪،‬‬
‫‪ ‬توسعه‌فهرست‌معماری‌امنیت‌فنی‌و‌کنترلهای‌امنیتی‌مورد‌نیاز‪،‬‬
‫‪ ‬پروتکلهای‌شبکهای‌که‌استفاده‌ ‌‬
‫میشوند‪،‬‬
‫‪ ‬برنامههای‌کاربردی‌تحت‌شبکه‌که‌در‌جنبههای‌مختلف‌شبکه‌استفاده‌میشوند‬
‫اطالعات‌گردآوری‌شده‌بهتر‌است‌در‌زمینه‌تواناییهای‌شبکه‌باشند‪‌.‬جزئیات‌بهتر‌است‌از‌معماری‌شبکه‌مرتبط‌‬
‫به‌دست‌آیند‌و‌این‌جزئیات‌باید‌برای‌فراهم‌آوردن‌درک‌الزم‌و‌ایجاد‌زمینه‌مناسدب‌بدرای‌گدام‌هدای‌فر‌آینددی‌‬
‫ی‌اولیهی‌ممکن‪‌،‬فرآیند‌شناسدایی‌«معیدار‌شناسدایی‌‬‫‌‬ ‫‌‬
‫مرحله‬‫بعدی‌بازنگری‌شوند‪ .‬با‌روشن‌شدن‌این‌جوانب‌در‌‬
‫الزامات‌امنیتی‌مرتبط»‪‌،‬شناسایی‌نواحی‪‌1‬کنترل‌و‌بازنگری‌گزینههای‌معماری‌امنیتی‌فنی‌و‌تصدمیم‌گیدری‌در‌‬
‫کارآمدتر‌میشدوند‌و‌درنهایدت‌نتیجده‌ای‌قابدل‌اعمدال‌در‌راه‌حدل‌‬
‫‌‬ ‫مورد‌این‌که‌کدام‌یک‌بهتر‌است‪‌،‬اتخاذ‌شود‪‌،‬‬
‫امنیتی‌می‌دهند‪‌..‬برای‌مثال‌ممکن‌است‌به‌خاطر‌موقعیت‌مکانی‌فقط‌یک‌مجدرا‌بدرای‌اتصداالت‌شدبکه‌وجدود‌‬
‫با‌اینکه‌کنترل‌امنیتی‌ممکن‌است‌مجراهای‌متفاوتی‌برای‌اتصداالت‌افزونده‌‪‌9‬داشدته‌‬ ‫داشته‌باشد‌بنابراین‌حتی‌ ‌‬
‫باشد‪‌،‬اما‌بر‌اساس‌موقعیت‌مکانی‌انتخاب‌شده‪‌،‬این‌امدر‌امکدان‌پدذیر‌نیسدت‪‌.‬کنتدرل‌هدا‌ی‌دیگدر‌‌مجداز‌هسدتن‌د‌‬
‫تعیینشوند‌تا‌بهترین‌راه‌برای‌حفاظت‌از‌اتصاالت‌شبکه‌پیداشود‪‌.‬‬
‫‌‬
‫با‌در‌نظر‌گرفتن‌جنبههای‌معماری‌شبکه‌و‌برنامه‌کاربردی‌در‌مرحله‌اولیه‌بهتر‌است‌فرصدت‌ی‌داد‌کده‌اگدر‌بده‌‬
‫صورت‌واقعبینانه‌با‌معماری‌کنونی‌به‌راهحل‌امنیتی‌قابل‌قبولی‪‌،‬نتوان‌دست‌یافدت‪‌‌،‬آن‌معمداری‌هدا‌بداز‌نگری‌و‌‬
‫‌‬
‫احتماالً‌تجدید‌نظر‌شوند‪‌.‬‬
‫‪ 5-6‬بازنگری طراحیها و پیادهسازیهای موجود‬
‫بازنگری‌کنترلهای‌امنیتی‌موجود‌باید‌در‌پرتو‌نتایج‌حاصل‌از‌بدازنگری‌مددیریت‌و‌ارزیدابی‌مخداطر‌هی‌امنیدت‌‬
‫انجامگیرد(جزئیات‌مدیریت‌مخاطره‌را‌میتوان‌در‌استاندارد‌ملی‌ایران‌شماره‌‪‌:93993‬سال‌‪‌1329‬یافت)‪‌.‬نتایج‌‬
‫ازریابی‌مخاطره‌امنیت‌ممکن‌است‌نشان‌دهند‌که‌کدام‌کنترلهای‌امنیتی‌متناسب‌با‌تهدیدهای‌ارزیدابی‌شدده‌‬
‫مورد‌نیاز‌است‪‌.‬تحلیل‌شکاف‌باید‌بر‌اساس‌معماری‌امنیت‌شبکهی‌فعلی‌تکمیل‌شود‌تدا‌م‌عدی‌ن‌گدردد‌بده‌چده‌‬
‫چیزی‌در‌معماری‌امنیت‌شبکهی‌موجود‌مورد‌اشاره‌نشده‌است‪‌.‬‬
‫توصیه‌میشود‌معماری‌امنیت‌شبکه‌دربرگیرندهی‌کنترلهای‌امنیت‌موجود‪‌،‬درنظر‌گرفته‌نشده‌و‌جدید‌باشد‪.‬‬

‫‪ 3‬طراحی امنیت شبکه‬

‫‪ 2-3‬مقدمه‬
‫‪3‬‬
‫دلیل‌وجود‌معماری‌امنیت‌شبکه‌محدود‌کردن‌جریان‌ترافیک‌بین‌دامنده‌هدای‌‌مدورد‌‌اعتمداد‌ ‌مختلدف‌اسدت‌‪‌.‬‬
‫واضحترین‌مرز‌بین‌دامنههای‌اعتماد‌رابط‌بین‌شبکه‌داخلی‌یک‌سازمان‌و‌دنیای‌خارج‌است‪‌.‬همچنین‌سازمانی‌‬
‫با‌اندازه‌قابل‌توجه‪‌،‬مرزهایی‌بین‌دامنههای‌اعتماد‌داخلی‌دارد‌که‌باید‌شناسایی‌و‌کنترل‌شوند‪‌.‬معماری‌امنیت‌‬

‫‪1- Areas‬‬
‫‪2- Redundant‬‬
‫‪3- Trust Domains‬‬
‫‪6‬‬
 ‫شبکه‌شامل‌توصیفی‪‌1‬از‌واسطهای‌بین‌شبکهی‌داخلی‌یک‌سازمان‪/‬انجمن‌و‌دنیای‌بیرونی‌است‪‌.‬ایدن‌معمداری‌‬
‫بازتابی‌از‌الزامات‌ذکر‌شده‌در‌بند‌‪‌2-6‬است‌و‌چگونگی‌محافظت‌از‌سازمان‌در‌برابر‌تهدیدات‌‌و‌آسیب‌پذیری‪-‬‬
‫های‌عمومی‌را‌نشان‌میدهد‪‌،‬آنچنان‌که‌در‌استاندارد‌ملی‌ایران‌شماره‌‪‌،12366-1‬توصیف‌شده‌است‪.‬‬
‫رهنمود‪9‬در‌مورد‌بهروش‌های‪‌3‬طراحی‌در‌بند‌‪‌9-3‬در‌زیر‌آمده‌اسدت‌و‌رهنمدود‌در‌مدورد‌جنبده‌هدای‌معمداری‌‬
‫امنیت‌شبکه‌که‌مربوط‌به‌فناوری‌شبکهبندی‪‌2‬مشخص‌برای‌نشان‌دادن‌الزامات‌امروز‌و‌آیندهی‌نزدیدک‌اسدت‌‪‌،‬‬
‫فرانامههای‪‌3‬مشخصی‌که‌برای‌‬
‫‌‬ ‫در‌استاندارد‌‪‌ISO/IEC 27033-4‬آمده‌است‌و‌الی‌آخر‪‌.‬اشاره‌دارد‪‌.‬رهنمود‌برای‌‬
‫یک‌سازمان‌امکانپذیر‌است‪‌،‬در‌استاندارد‌‪‌ISO/IEC 27033-3‬پوشش‌داده‌شده‌است‪‌.‬‬
‫فرضیات‌فنی‌ایجادشده‌در‌طی‌جمعآوری‌الزامات‌بهتراست‌مستندسازی‌شوند‪‌،‬بهطور‌مثال‪‌:‬‬
‫‪ ‬توصیه‌میشود‌فقط‌ارتباطات‌‪‌IP‬مجاز‪‌6‬اجازه‌برقراری‌داشتهباشند‌(دیوارهای‌آتش‌به‌طدور‌عدادی‌‌فقدط‌از‌‬
‫ارتباطات‌‪‌IP‬پشتیبانی‌میکنند‌و‌اگر‌هر‌پروتکل‌دیگری‌اجازه‌فعالیت‌داشته‌باشد‌ممکن‌است‌مدیریت‌آن‪-‬‬
‫ها‌با‌مشکل‌باشد)؛‬
‫‪ ‬اگر‌به‌پروتکلهای‌فاقد‌‪‌IP‬نیاز‌باشد‌توصیه‌میشود‌یا‌با‌خارج‌از‌معماری‌امنیت‌سر‌وکار‌داشدته‌باشدند‌یدا‌‌‬
‫پروتکل‌را‌‌تونلزنی‪‌3‬کند‪.‬‬
‫معماری‌امنیت‌شبکه‌به‌صورت‌عادی‌خدمات‌زیر‌را‌دربرمیگیرد‌اما‌محدود‌به‌این‌موارد‌نیست‪‌:‬‬
‫‪ ‬شناسددایی‌و‌احددراز‌هویددت‌‌(گددذرواژههددا‪‌،‬نشددان‌افددزارهددا‪‌،3‬کددارتهددای‌هوشددمند‪،‬گواهی‌نامددههددا‪‌،‬‬
‫‪‌RAS/RADIUS/2TACACS+‬و‌غیره)؛‬
‫‪ ‬کنترلهای‌دسترسی‌منطقی‌(ورود‪‌19‬تکی‪‌،‬کنترل‌دسترسی‌مبتنی‌بر‌نقش‪‌،11‬پایگاههای‌داده‌مورداعتمداد‌‪‌،‬‬
‫کنترلهای‌برنامه‌کاربردی‪‌،‬دیواری‌آتش‪‌،‬افزارههای‌پیشکار‪‌19‬و‌غیره)؛‬
‫‪ ‬ممیزی‌و‌حسابرسی‌امنیتی‌(رویدادنگار‪13‬های‌ممیزی‪‌،‬تسهیالت‌تحلیل‌رویدادنگارهای‌ممیدزی‪‌،‬تسدهیالت‌‬
‫تشخیص‌نفوذ‪‌،‬افزارههای‌یک‌بار‌نوشتن‌و‌چندبارخواندن‌(‪‌)12WORM‬و‌غیره)؛‬
‫‪ ‬پاکسازی‌مطمسن‌انبارش‪‌/13‬حذف‌امن‪(‌16‬تسهیالت‌«زدایش‪‌»13‬اثباتپذیر‪)1‬؛‬

‫‪1- Description‬‬
‫‪2- Guidance‬‬
‫‪3- Best Practices‬‬
‫‪4- Networking‬‬
‫‪5-Scenario‬‬
‫‪6- Authorized‬‬
‫‪7- Tunneling‬‬
‫‪8- Tokens‬‬
‫‪9- Terminal Access Controller Access Control System Plus‬‬
‫‪10- Sign on‬‬
‫‪11‌-Role‬‬
‫‪12- Proxy‬‬
‫‪13- Log‬‬
‫‪14- Write Once Read Many‬‬
‫‪15- Assured storage clearance‬‬
‫‪16- Secure deletion‬‬
‫‪17- Wipe‬‬
‫‪3‬‬
 ‫آزمون‌امنیت(پویش‌آسیبپذیری‪‌،‬دیدهبانی‪‌9‬شبکه‪‌،‬آزمون‌نفوذ‪‌3‬و‌غیره)؛‬ ‫‪‬‬
‫محیط‪‌2‬توسعه‌امن(محیطهای‌توسعه‌و‌آزمون‌جداگانه‪‌،‬بدون‌مترجم‪‌3‬و‌غیره)؛‬ ‫‪‬‬
‫کنترل‌تغییر‌نرمافزار(نرمافزار‌مدیریت‌پیکربندی‪‌،‬کنترل‌نسخه‌و‌غیره)؛‌‬ ‫‪‬‬
‫توزیع‌نرمافزار‌امن‌(امضای‌رقمی‪‌)RFC 5246 (‌TLS،SSL‌،‬و‌غیره)؛‬ ‫‪‬‬
‫نگهداری‌و‌دسترسپذیری ‌امن‌(تسهیالت‌پشتیبانگیری‪/‬بازگردانی‪6‬خوب‪‌،‬برگشتپدذیری‌‪‌،3‬خوشده‌بنددی‌‪‌،3‬‬ ‫‪‬‬
‫حفاظهای‌داده‪‌،2‬ارتباطات‌متنوا‌و‌غیره)؛‬
‫امنیت‌انتقال‌(استفاده‌از‌رمزگذاری‌انتقال‪‌،‬فناوری‌طیدف‌گسدترده‌‪11LAN‌،19‬هدای‌بدی‌سدیم‌‌(‪‌،19)WLAN‬‬ ‫‪‬‬
‫نتها‪.)12‬‬
‫شبکههای‌خصوصی‌مجازی(‪/13)VPN‬برون ‌‬
‫‪ 2-3‬اصول طراحی‬

‫‪ 2-2-3‬مقدمه‬
‫محدوده‌مخاطرات‌رایج‌مربوط‌به‌معماریهای‌امنیت‌شبکهبندی‪‌،‬همان‌خطاهای‌طراحی‌هستند‪‌.‬این‌خطاها‌به‌‬
‫سبب‌طراحی‌ضعیف‌و‪/‬یا‌نبود‌مالحظات‌مناسب‌برای‌برنامهریزی‌تدوام‌کسبوکار‌یا‌عدم‌تطابق‌طراحی‌با‌سطح‌‬
‫تهدید‌مورد‌انتظار‌بهوجود‌میآیند‪‌.‬عناصر‌بنیادینی‌برای‌توسعه‌معماریهای‌امنیتی‌شبکه‌مورد‌نیاز‌هستند‌تدا‌‬
‫این‌معماریها‌بتوانند‌تمامی‌کنترلهای‌امنیتی‌و‌الزامات‌کسبوکار‌شناسایی‌شده‌را‌پوششدهند‪‌.‬بیشدتر‌‌ایدن‌‬
‫عناصر‌را‌میتوان‌بدا‌بهتدرین‌روشهدای‌‌طراحدی‌امنیدت‌شدبکه‌پوشدش‌داد‪‌.‬اسدتاندارد‌‪‌ISO/IEC 27033-4‬و‌‬
‫بهروشهای‌معماری‌امنیت‌فنی‌شبکه‌را‌به‌همراه‌جزئیات‌در‌برخدی‌‬ ‫استانداردهای‌بعدی‪‌،‬طراحی‌و‌پیادهسازی‌ ‌‬
‫جنبهها‌در‌برمیگیرند‪‌.‬رهنمود‌با‌جزئیات‌بیشتر‌در‌مورد‌بهترین‌روشهای‌پیادهسازی‌را‌مدی‌تدوان‌در‌نشدریات‌‌‬
‫دیگر‌یافت‪‌.‬‬
‫رین‌روش‌های‌طراحی‌فدراهم‌مدی‌آورد‌کده‌بایدد‌بده‌هنگدام‌سداخت‌‬
‫بندهای‌زیر‌رهنمودی‌عمومی‌پیرامون‌بهت ‌‬
‫معماری‌امنیت‌شبکه‌دنبال‌شود‪‌.‬‬

‫‪1- Provable wipe facilities‬‬

‫‪2- Sniffing‬‬
‫‪3- Penetration‬‬
‫‪4- Environment‬‬
‫‪5- Compiler‬‬
‫‪6- Restore‬‬
‫‪7- Resilience‬‬
‫‪8- Clustering‬‬
‫‪9- Data vaults‬‬
‫‪10- Spread spectrum‬‬
‫‪11- Local Area Networks‬‬
‫‪12- Wireless‬‬
‫‪13-Virtual private networks‬‬
‫‪14- Extranets‬‬
‫‪3‬‬
 ‫‪1‬‬
‫‪ 2-2-3‬دفاع عمقی‬
‫‪3‬‬ ‫‪9‬‬
‫سازمانها‌نیاز‌است‌مسسله‌امنیت‌را‌نه‌تنها‌از‌یک‌منظر ‪‌،‬بلکه‌با‌رویکردی‌الیهای‌فراگیر ‌ببینند‪‌.‬امنیت‌باید‌در‌‬
‫تمام‌الیههای‌شبکه‪‌،‬جامع‪‌2‬باشد‪‌.‬اتخاذ‌رویکردی‌الیهای‌با‌عنوان‌«دفاا‌عمقی»‌شناخته‌میشدود‪‌.‬مؤلفد‌ههدای‌‬
‫امنیت‌ترکیبی‌از‌خطمشی‪‌،‬طراحی‪‌،‬مدیریت‌و‌فناوری‌هستند‪‌.‬هر‌سازمان‌باید‌نیازهای‌خدود‌را‌تعیدین‌و‌دفداا‌‬
‫عمقی‌را‌بر‌اساس‌همان‌نیازها‌طراحی‌کند‪‌‌.‬‬
‫بسیاری‌از‌افزارههای‌سیار‌دارای‌اتصال‪‌3‬همهگذر(‪‌، )USB‬اتصال‌شبکه‌و‌همچنین‌قابلیت‌بیسیم‌هسدتند‪‌.‬ایدن‌‬
‫‪6‬‬

‫افزارهها‌میتوانند‌به‌شبکه‌داخلی‌یا‌سامانههای‌روی‌آن‌متصل‌شوند‌که‌این‌اتصال‌به‌صورت‌موردی‪‌3‬است‌کده‌‌‬
‫بهتر‌است‌از‌طریق‌اتصال‌افزارههای‌سیار‌به‌صورت‌باز‌و‌ناامن‌صورت‌پذیرد‪‌،‬این‌افزارهها‌‌به‌عنوان‌یدک‌نقطده‌‬
‫دسترسی‌بیسیم‌قالبی‪‌3‬روی‌شبکه‌داخلی‌عمل‌کرده‪‌،‬میتوانند‌کنترل‌های‌پیرامونی‌را‌دور‌بزنند‪‌.‬برای‌محدود‌‬
‫خطمشی‌های‌سختگیرانهای‌وضدع‌شدو‌ند‌و‌پدویش‌هدای‌‬ ‫کردن‌اتصال‌ناامن‌افزارههای‌سیار‌به‌شبکه‌بهتر‌است‌ ‌‬
‫روالمندی‌باید‌بر‌روی‌کانالهای‌بیسیم‌انجام‌شوند‌تا‌تمام‌نقطههای‌دسترسی‌قالبی‌را‌بیابند‪‌.‬‬
‫‌توصیه‌میشود‌تمام‌نقطههای‌دسترسی‌بیسیم‌درون‌یک‌منطقهی‌بیطرف(‪‌2)DMZ‬قرار‌داشته‌باشند‪‌.‬نقداط‌‬
‫دسترسی‌که‌درشبکهی‌داخلی‌قرار‌گرفتهاند‌بهتر‌است‌تنظیمات‌سختگیرانهای‌داشته‌باشند‪‌:‬قویترین‌پروتکل‌‬
‫امنیتی(‌جایی‌که‌قابلیت‌آن‌وجود‌دارد‌‪‌)19WPA2‬و‌پاالیش‌آدرسهای‌‪‌MAC‬بهمنظور‌محدود‌کدردن‌افدزاره‌‪-‬‬
‫های‌متصل‌به‌افزارههای‌مجاز‪‌.‬استاندارد‪‌ISO/IEC 27033-3‬جزئیات‌بیشتری‌را‌در‌مورد‌تهدیداتی‌کده‌توسدط‌‬
‫فناوری‌ارتباطات‌سیار‌و‌کتنرلهای‌مربوط‌ارائه‌شدهاند‪‌،‬فراهم‌میآورد‪‌.‬‬
‫اصل‌دفاا‌عمقی‌نحوه‌استفاده‌از‌کنترلهای‌امنیتی‌چندگانه‌یا‌فنون‌امنیتدی‌را‌بیدان‌مدی‌کندد‌تدا‌بده‌کداهش‌‌‬
‫مخاطره‌ی‌مؤلفههای‌دفاعی‌که‌افشا‪‌11‬یا‌دور‌زده‪‌19‬می‌شوند‪‌،‬کمک‌کند‪‌.‬یک‌مثدال‌مدی‌تواندد‌‌نصدب‌ندرم‌افدزار‌‬
‫ضدویروس‌بر‌روی‌ایستگاههای‌کاری‌جداگانه‌باشد‌درحالی‌که‌ویژگی‌حفاظدت‌از‌ویدروس‌در‌دیدوار‌ی‌آتدش‌‌و‌‬
‫کارسازهای‌همان‌محیط‌وجود‌دارد‪‌.‬این‌مجاز‌است‌که‌محصوالت‌امنیتی‌متفاوتی‌از‌فروشندگان‌متعددد‌مدورد‌‬
‫استفاده‌قرار‌گیرند‌تا‌از‌خط‌سیرهای‪‌13‬بالقوه‌مختلفی‌در‌درون‌شبکه‌دفاا‌شود‌و‌کمدک‌کندد‌کده‌از‌هرگونده‌‬
‫کمبودی‌در‌دفاا‌که‌منجر‌به‌شکست‌گستردهتری‌میشود‌پیشگیری‌شود‪‌.‬این‌رویکدرد‌بده‌«رویکدرد‌الیده‌ای»‌‬
‫شهرت‌دارد‪‌.‬‬

‫‪1- Defence in depth‬‬

‫‪2- Perspective‬‬
‫‪3- Pervasive‬‬
‫‪4- Comprehensive‬‬
‫‪5- Connectivity‬‬
‫‪6- Universal serial bus‬‬
‫‪7- Ad-hoc‬‬
‫‪8- Rogue‬‬
‫‪9- Demilitarized zone‬‬
‫‪10- Wi-Fi protected Access‬‬
‫‪11- Compromise‬‬
‫‪12- Circumvented‬‬
‫‪13- Vector‬‬
‫‪2‬‬
‫شکل‌‪1‬نشان‌میدهد‌که‌امنیت‌پیرامونی‪‌1‬چگونه‌است‪‌،‬اهمیت‌امنیت‌زیرساخت‪‌،‬ذرهای‌کمتدر‌‌اسدت‌و‌اهمیدت‌‌‬
‫امنیت‌میزبان‌هم‌اندکی‌کمتر‌از‌قبلی‌است‪‌،‬سپس‌امنیت‌برنامه‌کاربردی‌و‌امنیت‌داده‌قراردارند‪‌.‬تمام‌الیده‌هدا‌‬
‫برای‌حفاظت‌از‌دادهها‌هستند‪‌.‬‬

‫پیرامون‬
‫زیرساخت‬
‫میزبان‬
‫برنامه‌کاربردی‬
‫داده‬
‫شکل ‪ -2‬رويکرد دفاع عمقی‬
‫‌‬
‫راهحلهای‌امنیتی‌که‌بر‌اساس‌رویکرد‌الیهای‌بوده‌انعطافپذیر‌و‌مقیاسپذیر ‌هستند‪‌.‬راهحل‌این‌چنینی‌قابل‪-‬‬
‫‪9‬‬

‫تطبیق‌با‌نیازهای‌امنیتی‌سازمان‌است‪‌.‬‬
‫‪ 2-2-3‬مناطق‪ 3‬شبکه‬
‫منطقهبندی‌شبکه‌از‌مفهومی‌استفاده‌میکند‌که‌در‌آن‌منابع‌سامانه‌با‌سدطوح‌مختلدف‌حساسدیت(برای‌مثدال‌‬
‫مقدار‌رواداری‪‌2‬مخاطره‌ی‌متفاوت‌و‌آمادگی‪‌3‬برای‌تهدید)‌بهتر‌است‌در‌مناطق‌امنیتی‌جداگانه‌قرار‌دادهشدوند‪‌‌.‬‬
‫این‌کار‌روشی‌ایجاد‌میکند‌که‌سامانهها‌باید‌تنها‌دادههایی‌را‌در‌دسترس‌قرار‌دهند‌کده‌بدرای‌انجدام‌وظدایف‌‬
‫ضروری‌باشند(برای‌مثال‌فقط‌کارسازهایی‌که‌برای‌اینترنت‌خدمات‌فدراهم‌مدی‌کنندد‌در‌سدامانه‌ی‌ندام‌دامنده‌‬
‫(‪‌6)DNS‬عمومی‌شوند)‪‌.‬‬
‫سادهی‌برقراری‌جریان‌ترافیک‌شبکه‌به‌جایی‌که‌شما‌می‌خواهید‌و‌محدود‌کردن‌آن‌به‌جایی‌کده‌شدما‌‬ ‫مفهوم‌ ‌‬
‫نمی‌خواهید‪‌،‬دروازه‌امنیتی‌است‪‌:‬افزارههای‌اختصاصدی‌دیدوار‌‌آتدش‪‌،‬توابدع‌دیدوار‌‌آتدش‌در‌افدزاره‌هدای‌‪‌IPS‬و‌‬
‫فهرستهای‌کنترل‌دسترسی‌در‌مسیریابهاو‌سودههای‌شبکه‪‌.‬‬

‫‪1- Perimeter‬‬
‫‪2- Scalable‬‬
‫‪3- zones‬‬
‫‪4- Tolerance‬‬
‫‪5- Susceptibility‬‬
‫‌‪6- Domain name system‬‬
‫‪19‬‬
‫با‌جای‌گذاری‪‌1‬و‌پیکربندی‌مناسب‌دروازهها‌به‌ساخت‌معماریهای‌امن‪‌،‬تقسدیم‌زیرسداخت‌شدبکه‌بده‌منداطق‌‬
‫امنیتی‌و‌کنترل‌ارتباطات‌مابین‌آنها‌کمک‌میشود‪‌.‬اطالعات‌تکمیلی‌درمدورد‌چگدونگی‌گمداردن‌و‌پیکربنددی‌‬
‫دروازههای‌امنیتی‌در‌استاندارد‌‪‌ISO/IEC 27033-4‬آمده‌است‪‌.‬‬
‫اصل‌قسمتبندی‪‌،9‬قواعد‌طراحی‌امنیت‌شبکهی‌زیر‌را‌شرح‌میدهد‪‌:‬‬
‫‪ -‬شبکههایی‌که‌سطوح‌حساسیت‌متفاوت‌دارند‪‌،‬بهتر‌است‌در‌مناطق‌امنیتی‌متفاوتی‌قرار‌دادهشوند‪:‬‬
‫‪ ‬افزارهها‌و‌سامانههای‌رایانهای‌که‌برای‌شبکههدای‌خدارجی‌خددماتی‌فدراهم‌مدی‌کنندد(برای‌مثدال‌‬
‫اینترنت)‌بهتر‌است‌در‌منطقه‌دیگری(‪‌)DMZ‬نسبت‌به‌افزارهها‌و‌سامانههای‌رایانهای‌شبکه‌داخلی‌‬
‫قرار‌بگیرند‪‌.‬‬
‫داراییهای‌راهبردی‪‌3‬بهتر‌است‌در‌مناطق‌امنیتی‌اختصاصی‪‌2‬قرار‌دادهشوند‪.‬‬
‫‌‬ ‫‪‬‬
‫‪ ‬توصیه‌میشود‌افزارهها‌و‌سامانههای‌رایانهای‌با‌سطح‌اعتماد‌کم‌مانند‌کارسازهای‌دسترسدی‌از‌راه‌‬
‫دور‌و‌نقاط‌دسترسی‌شبکه‌بیسیم‌در‌مناطق‌امنیتی‌اختصاصی‌قرار‌بگیرند‪.‬‬
‫‪ -‬انواا‌متفاوت‌شبکه‌بهتر‌است‌در‌مناطق‌امنیتی‌جداگانه‌قرار‌بگیرند‪:‬‬
‫‪ ‬ایستگاههای‌کاری‌کاربر‌بهتر‌است‌در‌مناطق‌امنیتی‌جدا‌نسبت‌به‌کارسازها‌قرار‌گیرند‪.‬‬
‫‪ ‬سامانههای‌مدیریت‌شبکه‌و‌امنیت‌بهتر‌است‌در‌مناطق‌امنیتی‌اختصاصی‌قرار‌دادهشوند‪.‬‬
‫‪ ‬سامانههای‌در‌مرحله‌توسعه‌بهتر‌است‌در‌مناطق‌دیگری‌نسبت‌به‌سامانههای‌محصول‌قرار‌بگیرند‪.‬‬
‫‌‬
‫‪ 4-2-3‬طراحی برگشتپذير‬
‫طراحی‌امنیت‌شبکه‌باید‌الیههای‌متعددی‌از‌افزونگی‪3‬را‌ترکیب‌کند‌تدا‌مدواردی‌را‌‌کده‌‌نقطده‌تکدی‌شکسدت‌‪‌6‬‬
‫هستند‌از‌بین‌ببرد‌و‌قابلیت‌دسترسی‌زیرساخت‌شبکه‌را‌بیشینه‌سازد‪‌.‬این‌امدر‌شدامل‌اسدتفاده‌از‌واسدط‌هدای‌‬
‫افزونه‪‌،‬پودمان‌های‪‌3‬پشتیبان‪‌،‬افزارههای‌آمادهبهکار‪3‬و‌مسیرهای‌افزونه‌ی‌همبندی‪‌2‬می‌شود‪‌.‬به‌عالوه‪‌،‬طراحیهدا‌‬
‫از‌مجموعه‌گستردهای‌از‌ویژگی‪19‬ها‌سود‌میبرند‌با‌این‌هدف‌که‌شبکه‌برگشتپذیری‌بیشتری‌در‌مقابل‌حمالت‌‬
‫‌‬
‫و‌شکستها‌داشته‌باشد‪‌.‬‬

‫‪1- Placement‬‬
‫‪2‌-Compartmentalization‬‬
‫‪3- Strategic assets‬‬
‫‪4- Dedicated‬‬
‫‪5- Redundancy‬‬
‫‪6- Single point of failures‬‬
‫‪7- Modules‬‬
‫‪8- Standby‬‬
‫‪9- Topology‬‬
‫‪10- Feature‬‬
‫‪11‬‬
 ‫‪ 5-2-3‬فرانامهها‬
‫فرانامه(های)‌شبکهای‌خاص‌و‌موضوا(های)‌فناوری‌کده‌مدرتبط‌بدا‌‬ ‫‌‬ ‫محیط‌شبکهای‌تحت‌بازنگری‌را‌میتوان‌با‌‬
‫تهدیدهای‌خوب‌تعریف‌شده‪‌،‬مالحظات‌طراحی‌و‌مسائل‌کنترلی‌هستند‪‌،‬مشخص‌کرد‪‌.‬چنین‌اطالعداتی‌هنگدام‌‬
‫بازنگری‌گزینههای‌طراحی‪/‬معماری‌فنی‌امنیت‌و‌انتخاب‌و‌مستندسازی‌طراحی‪/‬معماری‌فنی‌امنیت‌منتخدب‌و‌‬
‫کنترلهای‌امنیتی‌مربوطه‌بسیار‌مفید‌هستند‪‌.‬‬
‫فرانامههایی‌استاندارد‌‪‌ISO/IEC 27033-3‬است‪‌.‬ایدن‌اسدتاندارد‌بدرای‌هدر‌فرانامده‌‌رهنمدو‌دی‌بدا‌‬
‫‌‬ ‫مرجع‌چنین‌‬
‫جزئیات‌در‌مورد‌تهدیدهای‌امنیتی‌و‌فنون‌طراحی‌امنیتی‌و‌کنترلهای‌مورد‌نیاز‌برای‌تقابل‌بدا‌آن‌تهدیددها‌را‌‬
‫آورده‌است‪‌.‬‬
‫‪ 6-2-3‬مدلها و چارچوبها‬
‫به‌طور‌سنتی‌هرمؤلفه‌از‌مهندسی‌سامانه‌امنیتی‌شامل‌انتخاب‪‌،‬استفاده‌یا‌توسعه‌یک‌مدل‌یا‌چارچوب‌امنیتی‌‬
‫است‪‌.‬‬
‫مدل‌امنیتی‌برای‌توصیف‌هستارها‪(‌1‬مفاهیمی‌که‌توسط‌خط‌مشی‌امنیتدی‌سدازمان‌اداره‌مدی‌شدود)‌و‌تعریدف‌‬
‫قواعد‌دسترسی‌الزم‌برای‌معرفی‌خط‌مشی‌ذکر‌شده‪‌،‬استفاده‌میشود‪‌.‬مدل‌امنیتی‌بهطور‌عدادی‌هدم‌بدر‌روی‌‬
‫محرمانگی‌از‌طریق‌کنترلهای‌دسترسی‌و‌هم‌بر‌روی‌یکپارچگی‌اطالعات‌تمرکز‌دارد؛‌بعضی‌به‌صورت‌رسدمی‌‬
‫و‌بقیه‌به‌صورت‌غیر‌رسمی‌تعریف‌شدهاند‪‌.‬‬
‫‪9‬‬
‫چارچوبهای‌امنیتی‌راهی‌را‌برای‌تدوین‌طرحی‌کلی ‌از‌چگونگی‌شکلدهی‌سامانه‌امن‪‌،‬برای‌سازمانها‌فراهم‌‬
‫میآورند‪‌.‬استاندارد ‪‌ITU-T X.805‬میتواند‌مثالی‌برای‌چارچوب‌باشد‪‌.‬این‌چارچوب‌فراگیری‌بدرای‌اسدتاندار‌د‪-‬‬
‫های‌سری ‪‌ ITU-T 800‬است‌که‌توصیههایی‌در‌مورد‌فراهمآوری‌امنیت‌شبکه‌سرتاسری‪‌3‬دارد‪‌.‬برای‌این‌منظور‌‬
‫دربرگیرندهی‪‌2‬ابزارها‪‌،‬فنداو‌ریهدا‪‌،‬اسدتانداردها‪‌،‬‬
‫‌‬ ‫استاندارد‌‪‌X.805‬مفهوم‌ابعاد‌امنیت‌را‌تعریف‌میکند‪‌.‬این‌ابعاد‌‬
‫مقررات‪‌،3‬روالها‪‌6‬و‌غیره‌هستند‌که‌تمام‌جنبههای‌امنیت‌را‌پوشش‌میدهد‪‌.‬استاندارد‌‪‌X.805‬تصدیق‌میکندد‌‬
‫که‌میتوان‌از‌سازوکارهای‌امنیتی‌افزون‪‌،‬بهوسیله‌شناسایی‌قابلیتهای‌امنیتی‌درون‌یک‌الیه‌که‌از‌الیده‌دیگدر‌‬
‫محافظت‌میکند‪‌،‬دوری‌کرد‪‌.‬به‌همین‌دلیل‌از‌هزینه‌کلی‌راهحل‌امنیتی‌کاسته‌میشود‪‌.‬استاندارد‌‪‌X.805‬یک‌‬
‫چارچوب‌امنیتی‌کلی‌است‌و‌به‌همین‌دلیل‌مشخصاتی‌برای‌هیچ‌سامانه‌یا‌مؤلفه‌اطالعاتی‌خاص‌فراهم‌نمدی‌‪-‬‬
‫آورد‪‌.‬بلکه‌اصول‌امنیتی‌را‌مشخص‌میکند‌و‌به‌قابلیتهای‌امنیتی‌که‌امنیت‌شبکه‌سرتاسری‌را‌تسهیل‌کرده‪-‬‬
‫اند‪‌،‬میپردازد‪‌.‬برای‌یافتن‌مثالی‌ازچگونگی‌اعمال‌‪‌ITU-T 805‬برای‌پشتیبانی‌از‌کنترلهای‌استاندارد‌ملی‌ایران‌‬
‫به‌شماره‌‪‌93991‬سال‌‪‌،1333‬به‌پیوست‌پ‌مراجعه‌شود‪‌.‬‬

‫‪1- Entities‬‬
‫‪2- Outline‬‬
‫‪3- End to end‬‬
‫‪4- Container‬‬
‫‪5- Regulations‬‬
‫‪6- procedures‬‬
‫‪19‬‬
 ‫‪ 2-3‬نهايیسازی طراحی‬
‫نهاییسازی‌طراحی‌امنیت‌شبکه‌کامل‌شده‌بهتر‌است‌با‌امضای‌سطوح‌مناسب‌مدیریتی‌انجام‌گیرد‪‌.‬‬
‫‌‬

‫‪ 8‬پیادهسازی‬
‫‪ 2-8‬مقدمه‬
‫پیادهسازی‌امنیت‌شبکه‌بهتر‌است‌بر‌اساس‌طراحی‌امنیت‌شبکه‌معرفی‌شده‌در‌بند‌‪‌3‬صورت‌پذیرد‪‌.‬‬
‫پیادهسازی‌امنیت‌شبکه‌شامل‌قطعهبندی‌و‌قسمتبندی‌است‌‬
‫‪ ‬معیار‌برای‌انتخاب‌مؤلفههای‌شبکه؛‌‬
‫‪ ‬معیار‌برای‌انتخاب‌محصول‌یا‌فروشنده؛‌‬
‫‪ ‬مدیریت‌شبکه؛‌‬
‫‪ ‬رویدادنگاری‪‌،‬پایش‌و‌‌رویارویی‌با‌پیشامدها؛‌‬
‫‪ ‬مستندسازی؛‌‬
‫‪ ‬برنامههای‌آزمون‌وانجام‌آزمون‌؛‌‬
‫نهاییسازی‬
‫‌‬ ‫‪‬‬

‫‪ 2-8‬معیار برای انتخاب مؤلفههای شبکه‬

‫برای‌همه‌طراحیهای‌شبکه‌امن‌ترکیبی‌از‌مؤلفههای‌عمومی‌وجود‌دارد‌که‌میتوان‌از‌آنها‌استفاده‌کدرد‪‌.‬ایدن‌‬
‫مؤلفهها‌در‌ترکیبی‌استفاده‌میشوند‌که‌یک‌طراحی‌فنی‌امنیت‌شبکه‌را‌بهوجود‌میآورند‌د‪‌.‬بندد‌‪‌3‬و‌اسدتاندارد‌‬
‫‪‌ISO/IEC 27033-3‬و‌استاندارهای‌بعدی‌این‌سری‪‌،‬یادآور‌جزئیات‌فنی‌برخی‌از‌مؤلفههای‌فهرستشده‌در‌زیر‌‬
‫است‪‌.‬این‌مؤلفهها‌در‌بعضی‌از‌ترکیبها‌برای‌تأمین‌الزاماتی‌که‌در‌بند‌‪‌2-6‬آمدهاند‌استفاده‌شدهاست‪‌.‬برخی‌از‌‬
‫این‌مؤلفهها‌به‌شرح‌زیر‌هستند‪‌:‬‬
‫‪ ‬قطعهبندی‌و‌قسمتبندی‬
‫‪ ‬سامانههای‌مدیریت‌امنیت(برای‌مثال‌مدیریت‌پایش‌و‌پیکربندی)‬
‫‪ ‬فناوریهای‌امنیتی‌پایه‌مانند‌مدیریت‌هویت‪‌،‬رمزنگاری‌و‌غیره‬
‫‪ ‬افزارههای‌کنترل‌پذیرش‪‌1‬شبکه‬
‫‪ ‬فنون‌کاهش‌تهدید‬
‫‪ ‬افزارههای‌پیرامونی‬
‫‪2‬‬
‫‪ ‬پاالیههای‪‌9‬شبکه‌مانند‌دیوارهای‌آتش‌و‌افزارههای‌دسترسی‌از‌راه‌دور‌خدمات‌بازرسی ‌محتوا‬
‫‪3‬‬

‫‪ ‬سامانههای‌تشخیص‌نفوذ‪‌/‬سامانههای‌پیشگیری‌از‌نفوذ‬

‫‪1- Admission‬‬
‫‪2- Filters‬‬
‫‪3- Inspection‬‬
‫‪4- Content‬‬
‫‪13‬‬
 ‫‪1‬‬
‫‪ ‬محافظت‌نقطهپایانی‬
‫‪ ‬مسیریابها‌و‌سودهها‬
‫شبکهای‌‬
‫اتصاالت‌برون ‌‬
‫‌‬ ‫‪‬‬

‫‪ 2-8‬معیار برای انتخاب محصول يا فروشنده‬

‫توصیه‌نمیشود‌که‌انتخاب‌محصوالت‌جداگانه‌صورت‌گیرند‪‌،‬بلکه‌بهتر‌است‌به‌عنوان‌فرآیندی‌تکرارشونده‌کده‌‬
‫با‌طراحی‌معماری‌امنیتی‌شبکه‌مرتبط‌است‌انجام‌شوند‪‌.‬‬
‫مثالهایی‌از‌اینکه‌بهتر‌است‌انتخاب‌محصول‌بر‌چه‌اساسی‌باشد‪‌،‬شامل‌موارد‌زیر‌است‪:‬‬
‫‪ ‬تناسب‌فنی‌و‌شایستگی‌محصول؛‬
‫‪ ‬کارآیی‪9‬؛‬
‫‪ ‬پشتیبانی‌پروتکل؛‬
‫‪ ‬برگشتپذیری؛‬
‫‪ ‬سازگاری؛‬
‫‪ ‬توسعهپذیری‪3‬؛‬
‫‪ ‬امکانات‌مدیریت‌شبکه؛‬
‫‪ ‬قابلیت‌ممیزی؛‬
‫‪ ‬انطباق‪2‬؛‬
‫‪ ‬مستندسازی‌فنی؛‬
‫‪ ‬نگهداری؛‬
‫‪3‬‬
‫‪ ‬تسهیالت‌تشخیصی ‌راه‌دور؛‬
‫‪ ‬امنیت‌منطقی؛‬
‫‪6‬‬
‫‪ ‬تضمین‌قابلیتهدای‌امنیتدی‌توسدط‌طدرح‌هدا‌یی ‌بدرای‌ارزشدیابی‌مانندد‌اسدتاندارد‌ملدی‌ایدران‌بده‌‬
‫شماره‪(13293‬یا‌معادل‌آن)؛‬
‫‪« ‬مشخصات»‌فروشنده(توانایی‪‌،‬ردیابی‪3‬سابقه‪‌،‬تعهد‌به‌کیفیت‪‌،‬جایگاه‌بازار‪‌،‬اندازه‪‌،‬صدالحیت‌کلدی‌از‌‬
‫جمله‌برای‌محصوالت‌موردنظر‪‌،‬ثبات‌سازمانی‪/‬مالی‪‌،3‬مراجع‌و‌امکانات‌آموزشی‪)2‬؛‬
‫‪ ‬زمانبندی‌تحویل؛‬

‫‪1- Endpoint‬‬
‫‪2- Performance‬‬
‫‪3- Extensibility‬‬
‫‪4- Compliance‬‬
‫‪5- Diagnostic‬‬
‫‪6- Schemes‬‬
‫‪7- Track record‬‬
‫‪8- Financial‬‬
‫‪9- Training Facilities‬‬
‫‪12‬‬
 ‫‪ ‬هزینهها‪‌.‬‬
‫‪ 4-8‬مديريت شبکه‬
‫‪1‬‬
‫مدیریت‌شبکه‌به‌فعالیتها‪‌،‬روشها‪‌،‬روالها‌و‌ابزارهایی‌اطالق‌مدی‌شدود‌‌کده‌متعلدق‌بده‌عملیدات‪‌‌،‬سرپرسدتی‌ ‪‌،‬‬
‫نگهداری‌و‌تأمین‪‌9‬سامانههای‌شبکهای‌شده‌است‪‌.‬‬

‫‪ ‬عملیات‌با‌فعال‌نگه‌داشتن‌شبکه(و‌خدماتی‌که‌فراهم‌میآورد)‌و‌کارکرد‌بیمشکل‌آن‌سدروکار‌دارد‌‌کده‌‌‬
‫شامل‌پایش‌شبکه‌برای‌یافتن‌مشکالت‌در‌اسرا‌وقت‌و‌قبل‌از‌تحت‌تأثیر‌قرار‌دادن‌کاربران‌است‪.‬‬
‫‪ ‬سرپرستی‌شبکه‌با‌ردیدابی‌مندابع‌در‌آن‌وچگدونگی‌اختصداص‌آنهدا‌سدروکار‌دارد‌و‌شدامل‌تمدام‌اصدول‌‬
‫«سازماندهی‌حفظ‌و‌نگهداری‌سوابق‪‌»3‬برای‌تحت‌کنترل‌نگه‌داشتن‌شبکه‌است‪.‬‬
‫‪ ‬عملیات‌نگهداری‌به‌انجام‌تعمیرات‌و‌ارتقا‌میپردازد‪‌-‬برای‌مثال‌وقتی‌که‌باید‌یکی‌از‌تجهیزات‌جایگزین‌‬
‫شود‌یا‌هنگامی‌که‌یک‌مسیریاب‌برای‌تصویر‌سامانهی‌عامل‪‌2‬نیاز‌به‌یک‌وصله‪‌3‬دارد‌یا‌وقتی‌کده‌یدک‌‬
‫سودهی‌جدید‌به‌شبکه‌وصل‌میشود‪‌.‬نگهداری‪‌،‬همچنین‌سنجههای‪‌6‬بازدارنده‪‌3‬و‌تصحیحکننده‪‌3‬با‌این‌‬
‫هدف‌که‌شبکه‌مدیریت‌شده‌«بهتر»‌کار‌کند‪‌،‬نیز‌دارد‪‌.‬مانند‌تنظیم‌پارامترهای‌پیکربندی‌افزاره‪.‬‬
‫‌‬
‫پیکربندی‌نادرست‌مؤلفههای‌مربوط‌به‌شبکه‌چه‌داخلی‌چه‌خارجی‌باعث‌مخاطرات‌قابل‌مالحظهای‌هم‌بدرای‌‬
‫قابلیت‌دسترسی‌و‌هم‌برای‌یکپارچگی‌و‌محرمانگی‌در‌شبکه‌میشود‪.‬‬
‫بنابراین‌کنترلهایی‌برای‌نشاندادن‌این‌مخاطرات‌ضروری‌هستند‪‌.‬این‌کنترلها‌را‌میتوان‌با‌عنوان‌کنترلهای‌‬
‫سازمانی‌یا‌کنترلهای‌فنی‌ردهبندی‪‌2‬کرد‪‌.‬‬
‫کنترلهای‌سازمانی‌میتوانند‌شامل‌اعطای‌حق‌مناسب‌به‌افراد‌اداری‪‌،‬اصول‌عملیاتی‌مانند‌اصل‌چهار‌چشم‪‌،19‬‬
‫ها‌و‌خطمشی‌ها‌به‌منظور‌جلوگیری‌از‌انتخاب‌گدذر‌‌واژههدای‌پدیش‌فدر ‌‪‌11‬یدا‌ضدعیف‌‌‬
‫‌‬ ‫جداسازی‌وظایف‪‌،‬روال‬
‫باشند‪‌.‬کنترلهای‌عملیاتی‌میتوانند‌شامل‌کنترل‌پیکربندی‌و‌نسخه‌کنترل‌برای‌نشدان‌دادن‌پیکربنددی‌هدای‌‬
‫ناقص‌بالقوه‌یا‌رهگیری‌تغییرات‌در‌پیکربندی‌افزارهها‌باشند‪‌.‬‬

‫‪1- Administration‬‬
‫‪2- Provisioning‬‬
‫عملیاتی‌ازقبیل‌حفظ‌و‌نگهداری‌سوابق‌در‌سازمان‌یا‌رایانه‌است‌که‌کار‌را‌ساماندهی‌میکند‌و‌لی‌به‌طور‌مستقیم‌عملکرد‌را‌تشکیل‌‪3- Housekeeping:‬‬
‫نمیدهد‌‌‬
‫‪4- Operating system Image‬‬
‫‪5- Patch‬‬
‫‪6- Measures‬‬
‫‪7- Preventive‬‬
‫‪8- Corrective‬‬
‫‪9- Categorized‬‬
‫‪‌‌-19‬این‌اصل‌الزام‌میکند‌که‌پیش‌از‌انجام‌هر‌کنشی‌حداقل‌دو‌نفر‌آن‌را‌تأیید‌کنند‪‌‌.‬‬
‫‪11- Default‬‬
‫‪13‬‬
‫کنترلهای‌فنی‌شامل‌استفاده‌از‌واسطهای‌سرپرسدتی‌‌و‌ابزارهدا‌یی‌اسدت‌کده‌کیفیدت‌مناسدب‌احدراز‌هویدت‌‪‌،‬‬
‫مجوزسنجی‪‌1‬و‌محرمانگی‌را‌فراهم‌میآورند‪‌.‬برای‌تعدادی‌از‌مؤلفههایی‌که‌از‌طریق‌شبکه‌به‌هم‌مرتبطهستند‌‬
‫مدیریت‌فنی‌الزم‌است‪‌.‬دروازههای‌امنیتی‌را‌میتوان‌هم‌به‌صورت‌محلی‌و‌هم‌به‌صورت‌راهدور‌مددیریت‌کدرد‌‬
‫اما‌مدیریت‌راهدور‌بهتر‌است‌از‌ابزاری‌استفاده‌کند‌که‌احراز‌هویت‌قوی‌یا‌دو‪-‬عاملی‪‌9‬را‌تضمین‌کند‌یا‌الاقل‌به‌‬
‫طور‌فنی‌از‌گذرواژههای‌پیش‌فدر ‌‌و‌ضدعیف‌بپرهیدزد‌‪‌،‬ایدن‌ابزارهدا‌همچندین‌بایدد‌یکپدارچگی‌‌و‌محرمدانگی‌‬
‫متناسب‪3‬را‌فراهم‌کنند‌و‌هرجا‌که‌ممکن‌است‌از‌کارکردهای‌محرمانگی‌استفاده‌کنند‪‌.‬بدرای‌مثدال‌‪‌،‬اسدتفاده‌از‌‬
‫تونلهای‌‪‌VPN‬رمزگذاریشده‪‌2‬که‌با‌سطوح‌مناسبی‌از‌رمزنگاری‪‌3‬یا‌با‌استفاده‌از‌شبیهسازی‪‌6‬پایانهی‌پوستهی‌‬
‫امن(‪‌3)SSH‬پیکربندی‌شدهاند‪‌.‬کارسازها‌را‌نیز‌میتوان‌هم‌به‌صورت‌محلی‌و‌هم‌راهدور‌مدیریت‌کرد‪‌.‬جاییکده‌‬
‫کارسازها‌از‌اطالعات‌حساسی‌پشدتیبانی‌مدی‌کنندد‌‪‌،‬مددیریت‌راه‌دور‌بایدد‌دوبداره‌از‌ابدزاری‌اسدتفاده‌کندد‌کد‌ه‌‬
‫احرازهویت‌قوی‌یا‌دو‪-‬عاملی‌را‌تضمین‌کند‌یدا‌حدداقل‌بده‌طدور‌فندی‌از‌گدذرواژه‌هدای‌پدیش‌فدر ‌‌و‌ضدعیف‌‬
‫پرهیزکند؛‌این‌ابزارها‌همچنین‌باید‌یکپارچگی‌و‌محرمانگی‌متناسب‌را‌فراهم‌و‌هرجا‌ممکن‌است‌از‌کارکردهای‌‬
‫محرمانگی‌استفاده‌کنند‪‌.‬‬
‫مؤلفههای‌زیرساخت‌مانند‌سودهها‌و‌مسیریابها‌را‌میتوان‌به‌صورت‌محلی‌از‌طریق‌درگاه‌پیشانه‪‌،3‬به‌صدورت‌‬
‫راهدور‌از‌ایستگاه‌مدیریت‌مرکزی‌مدیریت‌کرد‪‌.‬این‌مورد‌با‌استفاده‌از‌برنامه‌کاربردی‌تبدیل‌پایانه‌به‌منظور‌کار‌‬
‫برخط‪‌2‬از‌یک‌رایانه‌راهدور‌یا‌از‌یک‌سامانه‌مدیریت‌توزیعشده‌صورت‌میپذیرد‪‌.‬با‌این‌وجود‌روشن‌شدده‌اسدت‌‬
‫که‌این‌پروتکلها‌امن‌نیستند‌مگر‌اینکه‌بتوانند‌با‌روشی‌پیکربندی‌شوند‌که‌اتصال‌را‌کدامال‌رمزگدذاری‌کندد‪‌.‬‬
‫مثالی‌برای‌اتصال‌امن‌راهدور‌‪‌SSH‬است‌که‌میتواند‌کامال‌رمدز‌گدذاری‌شدود‌و‌شدامل‌امکاندات‌انتقدال‌پروندده‌‬
‫است‪.‬دسترسی‌بیشتر‌به‌مؤلفههای‌زیرساخت‌بهتر‌است‌از‌طریق‌یک‌کارساز‌احراز‌هویت‌کنترل‌شود‪‌.‬‬
‫شبکههایی‌که‌به‌یک‌تأمینکننده‌برونسپاری‪‌19‬میشوند‌معموال‌سامانههای‌مدیریتی‌خودشان‌را‌دارند‪‌.‬بدا‌ایدن‌‬
‫حال‌بهتر‌است‌از‌یک‌ایستگاه‌مدیریت‌مرکزی‌با‌استفاده‌از‌روشهای‌مدیریت‌راهدور‌امن‌مدیریت‌شوند‪‌.‬روش‪-‬‬
‫های‌مدیریت‌راهدور‌بهتر‌است‌شامل‌رمزگذاری‌و‌احراز‌هویت‌با‌استفاده‌از‌رمزنگاری‌کلید‌عمومی‌باشند‪‌.‬مثال‪-‬‬
‫هایی‌از‌روشهای‌امن‌که‌میتوانند‌استفاده‌شوند‪ Telnet،‬و‌‪‌TFTP‬از‌طریق‌تونل‌‪VPN‬یا‌‪‌SSH‬با‌کنترل‌توسط‌‬
‫کارساز‌احرازهویت‌هستند‪‌.‬‬

‫‪1- Authorization‬‬
‫‪2- Factor‬‬
‫‪3- Adequate‬‬
‫‪4- Encrypted‬‬
‫‪5- Encryption‬‬
‫‪6- Emulation‬‬
‫‪7- Secure shell‬‬
‫‪8- Console port‬‬
‫‪9- Online‬‬
‫‪10- Outsourced‬‬
‫‪16‬‬
‫سازمانهای‌بسیاری‌از‌دریچههای‪‌1‬مدیریتی‌پروتکل‌مدیریت‌شبکه‌ساده(‪‌9)SNMP‬برای‌پایش‌مستقیم‌چندین‌‬
‫شبکههایی‌استفاده‌میکنند‪‌.‬در‌نسخههای‌یک‌و‌دو‌‪‌SNMP‬که‌امنیتی‌ضعیف‌داشتند‌یا‌بدون‌امنیدت‌هسدتند‌‌‬
‫مخاطرات‌قابل‌توجهی‌وجود‌دارند‪‌.‬بنابراین‌اگر‌سازمانی‌تصمیم‌به‌استفاده‌از‌‪‌SNMP‬دارد‌بهتر‌است‌از‌نسخهی‌‬
‫‪‌3‬به‌همراه‌کنترلهای‌امنیتی‌کامل‌استفاده‌کند‪‌.‬‬
‫‪ 5-8‬رويدادنگاری‪ ،‬پايش و رويارويی با پیشامدها‬
‫کارساز‌ممیزی‌بهتر‌است‌به‌همراه‌تمام‌سامانههای‌دروازه‌امنیتی‌که‌درون‌یک‌‪‌DMZ‬واقع‌شدهاند‌پیکربنددی‌‬
‫شود‪‌.‬امنیت‌‪‌DMZ‬بهتر‌است‌نسبت‌به‌داخل‌و‌خارج‌شبکه‌تأمین‌شده‌باشد‪‌.‬همچنین‌پیکربندی‌هرگونه‌افزاره‌‬
‫مرتبط‌با‌امنیت‌که‌درون‌یا‌بیرون‌‪‌DMZ‬واقع‌شده‪‌،‬بهتر‌است‌این‌گونه‌صورت‌پذیرد‪‌.‬توصیه‌نمیشدود‌‌کارسداز‌‌‬
‫ممیزی‌بخشی‌از‌دامنهی‌شبکهی‌داخلی‌باشد‌و‌بهتر‌است‌دسترسی‌به‌آن‌فقط‌بده‌صدورت‌مسدتقیم‌و‌توسدط‌‬
‫مأمور‪‌3‬امنیتی‌منتصب‪‌2‬به‌سامانهدروازه‪/‬دیواری‌آتش‌امنیتی‌صورت‌گیرد‪‌.‬بنابراین‌برای‌بارگدذاری‌‪‌3‬رویددادنگار‌‬
‫ممیزی‌نیاز‌به‌دسترسی‌نوشتن‌است‪‌.‬این‌بارگذاری‌توسط‌یک‌پروتکل‌امن(برای‌مثال‌پروتکدل‌رونوشدت‌امدن‌‪‌6‬‬
‫(‪‌))SCP‬از‌مؤلفههای‌زیرساخت‪‌،‬کارسازها‌و‌دیوارهای‌آتش‌صورت‌میپذیرد‪‌.‬تمام‌دیوارهای‌آتش‌و‌رویددادنگار‌‬
‫ممیزی‌مربوط‌بهتر‌است‌برای‌بازدید‌بعدی‌‌بهوسیله‌کارکنان‌امنیتی‌به‌سمت‌کارساز‌ممیزی‌هدایت‌شوند‪‌.‬این‌‬
‫بازدید‌با‌کمک‌نرمافزار‌تحلیل‌ممیزی‌فراهم‌شده‌برای‌بازنگری‌پروندههای‌رویدادنگار‌ممیزی‌انجام‌میشود‪‌.‬‬
‫مدیریت‌اطالعات‌امنیت‌شامل‌گردآوری‌و‌استانداردسازی‌اطالعدات‌گدردآوری‌شدده‌اسدت؛‌بد‌ا‌ایدن‌هددف‌کده‌‬
‫یهای‌سامانه‪‌،3‬‬ ‫تصمیمات‌بر‌اساس‌آن‌اطالعات‌گرفتهشود‪‌.‬اطالعات‌گردآوری‌شده‌ممکن‌است‌شامل‌رویدادنگار ‌‬
‫اطالعات‪‌،SNMP‬هشدارهای‪‌IDS/IPS‌3‬و‌جریان‌اطالعات‌باشد‪.‬‬
‫هر‌جا‌که‌ممکن‌است‪‌،‬بهتر‌است‌کارساز‌ممیزی‌و‪/‬یا‌سامانههای‌‪‌IDS/IPS‬به‌گونهای‌پیکربنددی‌شدوند‌کده‌بده‌‬
‫مأمور‌امنیتی‌منتصب‌اخطار‌دهند‪‌.‬بر‌اساس‌اولویت‌سطح‌فعالیت‌غیرعادی‌تشخیص‌داده‌شده‪‌2‬این‌اخطار‌مدی‌‪-‬‬
‫تواند‌به‌صورت‌رایانامه‪‌،19‬پیامک‪‌11‬یا‌هردو‌باشد‪‌.‬بهتر‌است‌تمام‌فعالیتهای‌غیرعادی‌آشکار‌شود‌چرا‌که‌ممکن‌‬
‫است‌اقدامی‌برای‌حمله‌باشد‪‌.‬مأمور‌امنیتی‌مربوطه‌بهتر‌است‌بر‌اساس‌اولویت‌سطح‌اخطار‪‌،‬روالهای‌‌رویارویی‌‬
‫با‌پیشامدها‌را‌پیاده‌سازی‌کند‪‌.‬برای‌پوشش‌مدیریت‌پیشامد‌امنیت‌اطالعات‌بده‌اسدتاندارد‌ملدی‌ایدران‌شدماره‌‬
‫‪‌،93933‬سال‪‌1329:‬مراجعه‌شود‪.‬‬

‫‪1- Traps‬‬
‫‪2- Simple Network Management Protocol‬‬
‫‪3- Officer‬‬
‫‪4- Assigned‬‬
‫‪5- Upload‬‬
‫‪6- Secure Copy Protocol‬‬
‫‪7- Syslogs‬‬
‫‪8- Alerts‬‬
‫‪9- Detected abnormal activity‬‬
‫‪10- Email‬‬
‫‪11- SMS‬‬
‫‪13‬‬
 ‫‪ 6-8‬مستندسازی‬
‫سند‌معماری‌امنیت‌شبکه‌یکی‌از‌حیاتیترین‌اسناد‌امنیتی‌فنی‌است‌و‌همانطور‌که‌پیش‌از‌این‌بیان‌شدد‌ایدن‌‬
‫سند‌بهتر‌است‌با‌ارزیابی‪‌1‬مخاطره‌امنیتی‪‌،‬نتایج‌بازنگری‌مدیریت‌مخاطره‪‌،‬شبکهبندی‌و‌خط‌مشی‌هدا‌ی‌امنیدت‌‬
‫اطالعات‌سازمان‪/‬جامعه‌و‌دیگر‌خط‌مشی‌های‌مربوط‌سازگار‌باشد‪‌.‬این‌سند‌همانند‌هر‌سند‌حیداتی‌دیگدر‌بهتدر‌‬
‫است‌برای‌تغییر‪‌،‬تحت‌کنترل‌باشد‪‌.‬یک‌الگوی‪‌9‬مثال‌در‌پیوست‌ب‌بند‌ب‪‌1-‬آمده‌است‪‌.‬این‌سدند‌بهتدر‌اسدت‌‬
‫مرجعی‌را‌برای‌مستندسازی‌معماری‌فنی‌مربوط‌و‌دیگر‌مستندات‌امنیتی‌فنی‌فراهم‌کندد‪‌.‬مسدتندات‌کلیددی‌‬
‫مرتبط‌شامل‌موارد‌زیر‌هستند‪‌:‬‬
‫دیوارهدای‌‪-‬‬
‫‪ ‬مستندسازی‌الزامات‌امنیت‌اطالعات‌برای‌تمام‌مؤلفههای‌شبکه‌ی‌مدیریت‌شده(مانند‌دروازهها‪‌ ‌،‬‬
‫آتش‪‌،‬مسیریابها‌و‌غیره)‪‌.‬این‌الزامات‌همچنین‌شامل‌الزامات‌امنیتی‌کارکردی‪‌3‬مانند‌الزامدات‌‌مبتندی‌بدر‌‬
‫قاعد‌هی‪‌2‬دیوار‌ه‌آتش‌است‪‌.‬برای‌مثالی‌از‌الگو‌به‌بند‌ب‪‌9-‬پیوست‌ب‌مراجعه‌شود؛‬
‫‪ ‬مستندسازی‌الزامات‌نرمافزار‌تحلیل‌رویدادنگار‌ممیزی؛‬
‫گزارشهای‌تحلیل‌محصول‪.‬‬‫‌‬ ‫‪‬‬

‫‪ 3-8‬برنامههای آزمون و انجام آزمون‬

‫بهتر‌است‌سند‌راهبرد‌آزمون‌امنیتی‌توسعه‌داده‌شود‌تا‌رویکردی‌را‌که‌توسط‌آزمدون‌بایدد‌صدورت‌پدذیرد‌‌تدا‌‬
‫معماری‌فنی‌امنیت‌شبکهبندی‌اثبات‌شود‌شرح‌دهد‪‌.‬توصیه‌می‌شود‌این‌سند‌بر‌روی‌اینکه‌چگونه‌کنترلهدای‌‬
‫فنی‌امنیت‌کلیدی‌بهتر‌است‌مورد‌آزمون‌قرارگیرند‪‌،‬تمرکز‌کند‌تا‌اثبات‌شود‌که‌الزامات‌تعریف‌شده‌برآورده‌و‌‬
‫سازی‌شدهاند‪‌.‬توصدیه‌مدی‌شدود‌بدرای‌اثبدات‌ایدن‌دیددگاه‌هدا‌‪‌،‬آزمدون‌سدامانه‌و‌‬
‫‌‬ ‫خط‌مشی‌ها‌طبق‌طراحی‌پیاده‬
‫وارسیهای‪‌3‬مبتنی‌بر‌بازبینه‪‌‌6‬اجرا‌شود‪‌.‬‬
‫‌‬
‫مستند‌راهبرد‌آزمون‌بهتر‌است‌حوزههایی‌مانند‌زیر‌را‌در‌بر‌داشته‌باشد‪‌:‬‬
‫‪ ‬سازوکارهای‌شناسایی‌و‌احراز‌هویت‬
‫‪ ‬برگشتپذیری‌طراحی‬
‫‪ ‬سازوکارهای‌مجوزسنجی‬
‫‪ ‬پیادهسازی‌کنترلهای‌خطمشی‬
‫‪3‬‬
‫‪ ‬درستیسنجی‪3‬سامانههای‌عامل‌مقاوم‬
‫‪ ‬درستیسنجی‌راهحل‌رویدادنگار‌ممیزی‬

‫‪1- Assessment‬‬
‫‪2- Template‬‬
‫‪3- Functional‬‬
‫‪4- Rule base‬‬
‫‪5- Checks‬‬
‫‪6- Checklist‬‬
‫‪7- Verification‬‬
‫‪8- Hardened‬‬
‫‪13‬‬
‫راهبرد‌آزمون‌بهتر‌است‌شامل‌آزمون‌واحد‪‌1‬و‌کاربردپذیری‌نیز‌باشد‌تا‌از‌شایستگی‌طراحدی‌‪‌،‬اطمیندان‌حاصدل‌‌‬
‫شود‪‌.‬‬
‫توصیه‌می‌شود‌قبل‌از‌اجرای‌آزمون‌سامانه‪‌،‬طرح‌آزمونی‌آماده‌شود‪‌.‬طرح‌آزمون‌بهتدر‌اسدت‌‌شدامل‌‌دادههدای‌‬
‫آن‌باشد‪‌.‬برنامهی‌آزمون‌بهتر‌است‌شامل‌شرایط‌آزمون‌مناسدب‌‬
‫‌‬ ‫فرانامههای‌آزمون‌برای‌مدرک‪‌9‬‬
‫‌‬ ‫آزمون‌همراه‌با‌‬
‫هم‌باشد‪‌.‬دادههای‌آزمون‌بهتر‌است‌به‌دقت‌آماده‌شوند‌تا‌بتوانند‌کارکرد‌کنترلهدای‌فندی‌امنیدت‌را‌آزمدایش‌‬
‫کنند‪‌.3‬‬
‫‪ 8-8‬نهايیسازی‬
‫نهاییسازی‌شود‪‌.‬‬
‫پیادهکردن‌امنیت‌شبکه‌کامل‌شده‪‌،‬با‌سطوح‌مناسب‌مدیریتی‌ ‌‬
‫نهاییسازی‌ ‌‬
‫توصیه‌میشود‌ ‌‬

‫‪1-‌Unit‬‬
‫‪2- Evidence‬‬
‫‪3- Examine‬‬
‫‪12‬‬
 ‫پیوست الف‬
‫(اطالعاتی)‬
‫ارجاعات مابین کنترل های مرتبط با امنیت شبکه استاند اردهای ملی ايران به شمارههای ‪،23002‬‬
‫سال‪ 2283:‬و ‪ ،23002‬سال‪ 2283:‬و بند های اين استاندارد ملی ايران‬
‫‌‬
‫بند اين استاندارد ملی ايران‬ ‫بند استانداردهای ملی ايران‬
‫‪ ،23002‬سال‪ 2283 :‬و‬
‫‪،23002‬سال ‪2283‬‬
‫به‌موارد‌الف‪‌-‬تا‌ث‪‌-‬بند‌‪‌1-6-19‬‬ ‫شبکهها‌بهتر‌است‌برای‌حفظ‌امنیت‌سامانهها‌و‌‬ ‫‪‌1-6-19‬کنترلهای‌شبکه‬
‫استاندارد‌ملی‌ایران‌شماره‌‬ ‫برنامههای‌کاربردی‌شبکه‌که‌شامل‌گذر‪‌1‬‬
‫‪‌93999/93991‬مراجعه‌شود‬ ‫اطالعات‌میشود‌بهطور‌متناسب‌مدیریت‌و‌‬
‫کنترل‌شوند‌تا‌دربرابر‌تهدیدات‌درامان‌بمانند‪.‬‬
‫‪‌3-3‬مدیریت‌شبکه‬ ‫هرجا‌که‌مناسب‌بود‌بهتر‌است‌مسسولیت‪‌9‬‬ ‫‪‌1-6-19‬مورد‌الف‬
‫عملیاتی‪‌3‬شبکهها‌از‌عملیات‌رایانهای‌جدا‌شود‪.‬‬
‫فعالسازی‌ثبت‪2‬کنشهای‪‌3‬مربوط‌به‌شبکه‌ ‪‌2-3‬رویدادنگاری‌و‌پایش‬‫برای‌ ‌‬ ‫‪‌1-6-19‬مورد‌ت‬
‫بهتر‌است‌رویدادنگاری‌و‌پایش‌مناسب‌اعمال‌‬
‫گردد‪.‬‬
‫‪‌3-3‬مدیریت‌شبکه‬ ‫فعالیتهای‌مدیریتی‌بهتر‌است‌هماهنگی‪‌6‬‬ ‫‪‌1-6-19‬مورد‌ث‬
‫نزدیکی‌با‌دو‌زیر‌مورد‌داشته‌باشد‪‌.‬بهینهسازی‪‌3‬‬
‫خدمت‌به‌سازمان‌و‌حصول‌اطمینان‌از‌اینکه‌‬
‫‪3‬‬
‫کنترلها‌پیوسته‌در‌سراسر‌زیرساخت‌پردازش ‌‬
‫شدهاند‪‌.‬‬
‫اطالعات‌اعمال‌ ‌‬
‫‪‌3-6‬گردآوری‌الزامات‌‬ ‫ویژگیهای‌امنیت‪‌،‬سطوح‌خدمات‌و‌الزامات‌‬ ‫‪‌9-6-19‬امنیت‌خدمات‌شبکه‬
‫‪‌2-6‬بازنگری‌الزامات‬ ‫مدیریتی‌تمام‌خدمات‌شبکه‌بهتر‌است‌شناسایی‌‬
‫و‌در‌تمام‌توافقات‌‌خدمات‌شبکه‌ذکر‌شوند‪‌.‬چه‌‬
‫این‌خدمات‌در‌داخل‌فراهم‌شوند‌و‌چه‌برون‪-‬‬
‫سپاری‌شوند‪.‬‬

‫‪1- Transit‬‬
‫‪2- Responsibility‬‬
‫‪3- Operational‬‬
‫‪4- Recording‬‬
‫‪5- Actions‬‬
‫‪6- Coordinate‬‬
‫‪7- Optimize‬‬
‫‪8- Processing‬‬
‫‪99‬‬
‫بند اين استاندارد ملی ايران‬ ‫بند استانداردهای ملی ايران‬
‫‪ ،23002‬سال‪ 2283 :‬و‬
‫‪،23002‬سال ‪2283‬‬
‫‪‌3-3‬مستندسازی‬ ‫برای‌حفاظت‌از‌تبادل‌اطالعات‪‌،‬بهتر‌است‌‬ ‫مشیها‌و‌روالهای‌‬
‫خط ‌‬
‫‪‌ ‌1-3-19‬‬
‫مشیها‪‌،‬روالها‌وکنترلهای‌تبادل‌اطالعات‌‬
‫خط ‌‬ ‫‌‬ ‫تبادل‌اطالعات‌‬
‫رسمی‌از‌طریق‌انواا‌امکانات‌ارتباطی‌در‌جای‌‬
‫خود‌قرارگیرند‬
‫‪‌3-3‬مدیریت‌شبکه‬ ‫کاربران‌بهتر‌است‌تنها‌به‌خدماتی‌دسترسی‌‬ ‫‪‌1-2-11‬خطمشی‌استفاده‌از‌‬
‫داشته‌باشند‌که‌بهطور‌مشخص‌مجاز‌به‌استفاده‌‬ ‫خدمات‌شبکه‬
‫از‌آنها‌باشند‪‌.‬‬
‫‌‬
‫‪‌3-3‬مدیریت‌شبکه‬ ‫بهتر‌است‌روش‌های‌احرازهویت‌مناسبی‌برای‌‬ ‫‪‌9-2-11‬احراز‌هویت‌کاربر‌برای‌‬
‫دسترسی‌کاربران‌راه‌دور‌استفاده‌شوند‪.‬‬ ‫اتصاالت‌بیرونی‌‬
‫‌‬

‫‪91‬‬
 ‫پیوست ب‬
‫(اطالعاتی)‬
‫نمونه الگوهای مستندسازی‬

‫ب‪ 2-‬مثالی از الگوی سند معماری امنیت شبکه‬

‫ب‪ 2-2-‬مقدمه‬
‫شامل‌بخشهایی‌مانند‪‌:‬‬
‫‪1‬‬
‫‪ ‬هدف‪/‬منظور‪‌/‬دامنه‌کاربرد ‪،‬‬
‫‪ ‬هم‌فرضیات‌‌فنی‌و‌هم‌طور‌دیگر‪،‬‬
‫‪ ‬وضعیت‪‌9‬سند‪،‬‬
‫‪ ‬ساختار‌سند‪.‬‬

‫ب‪ 2-2-‬الزامات مرتبط با کسبوکار‬

‫شامل‌بخشهایی‌مانند‪‌:‬‬
‫‪ ‬مقدمه‪‌،‬‬
‫‪ ‬متن‪‌،‬‬
‫‪ ‬شبکه‌بندی‌و‌دیگر‌خدمات‌فناوری‌اطالعات‬

‫ب‪ 2-2-‬معماری فنی‬

‫شامل‌بخشهایی‌مانند‪‌:‬‬
‫‪ -‬مقدمه‪‌،‬‬
‫‪ -‬مرورکلی‪‌3‬فنی‪،‬‬
‫‪ ‬خالصه‪،‬‬
‫‪ ‬دامنه‌اصلی‌‪،1‬‬
‫‪ ‬دامنه‌اصلی‌‪،9‬‬
‫‪ ‬دامنه‌اصلی‌‪،3‬‬
‫‪ ‬غیره‪،‬‬
‫‪ ‬کارسازها‪،‬‬
‫‪ ‬ایستگاههای‌کاری‪،‬‬

‫‪1- Scope‬‬
‫‪2- Status‬‬
‫‪3- Overview‬‬
‫‪99‬‬
 ‫‪ ‬رویدادنگاری‪،‬‬
‫‪ ‬مدیریت‪،‬‬
‫‪ ‬احراز‌هویت‌و‌کنترل‌دسترسی‪،‬‬
‫‪ ‬برگشتپذیری‌و‌پوشش‪‌1‬خدمت‪،‬‬
‫محلهای‪‌9‬سامانه‪،‬‬
‫‌‬ ‫‪-‬‬
‫مؤلفههای‌سامانه‪،‬‬ ‫‪-‬‬
‫اتصاالت‌متقابل‪،3‬‬ ‫‪-‬‬
‫مؤلفه‌‪،1‬‬ ‫‪-‬‬
‫‪ ‬مرورکلی‪،‬‬
‫‪ ‬پیکربندی‪،‬‬
‫‪ ‬رویدادنگاری‪،‬‬
‫‪ ‬مدیریت‪،‬‬
‫مؤلفه‌‪،9‬‬ ‫‪-‬‬
‫‪ ‬مرورکلی‪،‬‬
‫‪ ‬پیکربندی‪،‬‬
‫‪ ‬رویدادنگاری‪،‬‬
‫‪ ‬مدیریت‪،‬‬
‫مؤلفه‌‪،3‬‬ ‫‪-‬‬
‫‪ ‬مرورکلی‪،‬‬
‫‪ ‬پیکربندی‪،‬‬
‫‪ ‬رویدادنگاری‪،‬‬
‫‪ ‬مدیریت‪،‬‬
‫مؤلفه‌‪‌‌x‬و‌غیره‪،‬‬ ‫‪-‬‬
‫مدیریت‌‌کارساز‪،‬‬ ‫‪-‬‬
‫‪ ‬مقدمه‪،‬‬
‫‪ ‬پایش‌خدمات‪،‬‬
‫‪2‬‬
‫گسترشیافته(‪، )XSA‬‬
‫‌‬ ‫‪ ‬سرپرستی‌سامانه‌‬
‫‪ ‬مدیر‌امنیت‌سازمان(‪،3)ESM‬‬

‫‪1- Coverage‬‬
‫‪2- Locations‬‬
‫‪3- Interconnection‬‬
‫‪4- Extended System Administration‬‬
‫‪5- Enterprise Security Manager‬‬
‫‪93‬‬
 ‫‪ ‬هر‌مدیر‌دیگر‪،‬‬
‫دیوار‌آتش‪،‬‬ ‫‪-‬‬
‫‪ ‬مقدمه‪،‬‬
‫‪ ‬مرورکلی‪،‬‬
‫‪ ‬پشتیبان‌پیکربندی‌دیوار‌آتش‪،‬‬
‫‪ ‬معیار‌طراحی‌و‌پیکربندی‌‪،‬‬
‫‪ ‬مجموعه‌قواعد‪،‬‬
‫مدیریت‌دیوار‌آتش‪،‬‬ ‫‪-‬‬
‫‪ ‬پیکربندی‪،‬‬
‫‪ ‬هشدارهای‌دیوار‌آتش‪،‬‬
‫‪ ‬دسترسی‌راهدور‪،‬‬
‫رویدادنگاری‪،‬‬ ‫‪-‬‬
‫سامانه‌پشتیبان‪،‬‬ ‫‪-‬‬
‫‪ ‬مقدمه‪،‬‬
‫دیوارهای‌آتش‪،‬‬ ‫‌‬ ‫‪‬‬
‫‪ ‬کارسازها‪،‬‬
‫‪ ‬برنامههای‌کاربردی‪،‬‬
‫ارتباطات‌شبکه‪،‬‬ ‫‪-‬‬
‫‪ ‬شبکههای‌محلی‌مانند‌‪‌1VLAN‬و‌‪WLAN‬ها‪،‬‬
‫‪ ‬مسیریابها‪،‬‬
‫‪ ‬سودهها‪،‬‬
‫‪ ‬آدرسدهی‌‪،IP‬‬
‫مسسولیتهای‌مدیریت‪،‬‬ ‫‪-‬‬
‫‪ ‬کارسازها‪،‬‬
‫دیوارهای‌آتش‪،‬‬ ‫‌‬ ‫‪‬‬
‫‪ ‬زیرساختها‪،‬‬
‫‪ ‬مدیریت‌برنامه‌کاربردی‪.‬‬

‫ب‪ 4-2-‬خدمات شبکه‬

‫شامل‌بخشهایی‌مانند‪‌:‬‬

‫‪1‌-Virtual LAN‬‬
‫‪92‬‬
 ‫‪ ‬مقدمه‪،‬‬
‫‪ ‬خدمات‌در‌محل‌الف‪،‬‬
‫‪ ‬خدمان‌در‌محل‌ب‪،‬‬
‫توصیه‌میشود‌فهرستی‌از‌تمام‌خدمات‌شبکه‌بر‌اساس‌مکان‌که‌شامل‌موارد‌زیر‌باشد‌وجود‌داشته‌باشد‪‌:‬‬
‫‪ ‬خدمات‌‪،1KiloStream‬‬
‫‪ ‬خدمات‌‪،9MegaStream‬‬
‫‪ ‬خدمات‌رله‌قاب‪،3‬‬
‫‪ ‬خدمات‌‪،2ATM‬‬
‫‪ ‬خدمات‌‪،3MPLS/IP‬‬
‫پهنباند‪،6‬‬
‫‪ ‬خدمات‌ ‌‬
‫‪ ‬خدمات‌‪،WiFi/WiMax‬‬
‫‪ ‬خدمات‌اتصال‌‪،LAN‬‬
‫‪ ‬خدمات‌‪،3GSM‬‬
‫‪ ‬نرخ‌اولیه‌‪(‌ISDN3‬تا‌‪‌39‬عدد‌کانال‌‪‌62 Kbps‬که‌توسط‌‪MegaStream‬ها‌تحویل‌میشوند)‪،‬‬
‫‪ ‬واسط‌نرخ‌پایه‌(‪(‌ISDN‌2)BRI‬کانالهای‌‪،)9 × ‌62‌ Kbps‬‬
‫‪ ‬خطوط‌تبادل‌مستقیم‌آنالوگ‪،)DEL11(‌19‬‬
‫دروننت‪‌ 19‬‬
‫‪/‬بروننت‪،‬‬ ‫‪ ‬خدمات‌ ‌‬
‫‪ISP ‬ها‪،13‬‬
‫با‌ذکرتمام‌خطوط‌و‌خدمات‪‌.‬‬
‫اگر‌فهرست‌بزرگ‌است‌بهتر‌است‌در‌پیوست‌بیاید‌و‌از‌متن‌اصلی‌سند‌به‌آن‌ارجاا‌داده‌شود‪‌.‬‬

‫را‌ارائه‌میکند‪‌.‬‬
‫‌‬ ‫‪‌-1‬خدمت‌اختصاصی‌مدار‌خصوصی‌دیجیتال‌است‌که‌انتقال‌داده‌یا‌انتقال‌صدا‌‬
‫برنامههای‌کاربردی‌است‪‌،‬‬ ‫‪‌-9‬خدمت ‪‌،MegaStream‬مدار‌خصوصی‌سرعت‌باالی‌‌نقطه‌به‌نقطه‌و‌دائم‌متصلی‌را‌که‌‌مناسب‌برای‌هم‌صدا‌و‌هم‌ ‌‬
‫دادههای‌ ‌‬
‫فراهم‌می‌کند‪.‬‬
‫‪3- Relay frame‬‬
‫‪4- Asynchronous Transfer Mode‬‬
‫‪5- Multiprotocol Label Switching‬‬
‫‪6- Broadband‬‬
‫‪7- Global System for Mobile‬‬
‫‪8- Integrated Services Digital Network‬‬
‫‪9- Basic Rate Interface‬‬
‫‪10- Analogue‬‬
‫‪11- Direct Exchange Line‬‬
‫‪12- Intranet‬‬
‫‪13- Internet service provider‬‬

‫‪93‬‬
 ‫ب‪ 5-2-‬جانمايی‪ 2‬سختافزاری‪/‬فیزيکی‬
‫شامل‌بخشهایی‌مانند‪‌:‬‬
‫‪ ‬مقدمه‪،‬‬
‫‪ ‬مکان‬
‫های‌طبقات‌و‌جانمایی‌اطاقکها‪‌9‬براساس‌مکان‌‌تهیه‌شود‪‌.‬این‌‬
‫‌‬ ‫بهتر‌است‌فهرستی‌از‌تمام‌سختافزارها‌با‌نقشه‬
‫فهرست‌بهتر‌است‌بهطور‌مثال‌شامل‌کارسازها‪‌،‬دیوار‌های‌آتش‌و‌دیگر‌تجهیزات‌ارتباطی‌باشد‪‌.‬همچندین‌تمدام‌‬
‫سختافزارها‌باید‌برچسب‪‌3‬گذاری‌شوند‪.‬توصیه‌میشود‌برنامه‌برچسبگذاری‌به‌طدور‌مسدتقیم‌ذکدر‌یدا‌بده‌آن‌‬
‫ارجاا‌داده‌شود‪‌.‬‬
‫جدول‌ب‪‌1‌-‬مثالی‌از‌جدول‌فهرست‌سختافزار‌را‌نشان‌میدهد‪‌.‬توصیه‌میشدود‌بدرا‌ی‌هدر‌ندوا‌سدخت‌افدزار‌‪‌،‬‬
‫جدولی‌تهیه‌شود‪‌.‬جدول‌مثال‌مربوط‌به‌مؤلفههای‌کارساز‌است‪‌.‬‬
‫جدول ب‪ 2 -‬نمونه جدول فهرست سخت افزار‬

‫توضیحات‌‬ ‫نرمافزار‌‌‬ ‫سختافزار‌‬ ‫مؤلفه‌کارساز‬

‫ی‌چنانچه‌‬
‫‌‬ ‫توضیحات‌مشخص‬ ‫نسخهی‌آن‌‬
‫نرمافزار‌و‌ ‌‬ ‫شماره‌قطعه‌‬ ‫نام‌و‌تولیدکننده‌کارساز‌‬
‫موردنیاز‌باشند‪‌,‬مانند‌درجه‪-‬‬
‫بندی‪‌2‬عمودی‌یا‌خوشهبندی‌‬
‫‌‬ ‫‌‬ ‫‌‬ ‫‌‬
‫‌‬ ‫‌‬ ‫‌‬ ‫‌‬
‫‌‬ ‫‌‬ ‫‌‬ ‫‌‬
‫‌‬ ‫‌‬ ‫‌‬ ‫‌‬
‫‌‬ ‫‌‬ ‫‌‬ ‫‌‬
‫‌‬
‫ب‪ 6-2-‬نرمافزار‬
‫شامل‌بخشهایی‌مانند‪‌:‬‬
‫‪ -‬مقدمه‪،‬‬
‫‪ -‬فهرستی‌از‌نرمافزار‪،‬‬
‫‪ ‬نرمافزار‌در‌مکان‌الف‪،‬‬
‫‪ ‬نرمافزار‌در‌مکان‌ب‪،‬‬
‫‪ ‬غیره‪.‬‬

‫‪1- Layout‬‬
‫‪2- Cabinet‬‬
‫‪3- Label‬‬
‫‪‌-2‬در‌اینجا‌‪‌Scaled‬‬
‫‪96‬‬
 ‫فهرست‌نرمافزار‌شامل‌شماره‌نسخه‌آنها‌بهتر‌است‌حاوی‌موارد‌زیر‌باشد‪‌:‬‬
‫‪ ‬نرمافزار‌‪،Windows‬‬
‫‪‌ ‬‬
‫دیوارهایآتش‪،‬‬
‫‪،RAS/RADIUS ‬‬
‫نرمافزار‌مسیریاب‪،‬‬ ‫‪‌ ‬‬
‫‪ ‬نرمافزار‌سوده‪،‬‬
‫‪ ‬پیشکار‪،‬‬
‫‪ ‬مدیریت‌ممیزی‪،‬‬
‫‪ ‬کارسازهای‌نامه‪،‬‬
‫‪ ‬رله‌نامه‌‪،SMTP‬‬
‫‪ ‬مدیریت‌محتوی‪،‬‬
‫‪ ‬نمایشدهی‪،Java/ActiveX‌1‬‬
‫‪ ‬کارساز‌وب‪،‬‬
‫‪ ‬کارساز‌پروتکل‌انتقال‌پرونده‌(‪،9)FTP‬‬
‫‪ ‬کنترلکنندههای‌دامنه‪،‬‬
‫‪ ‬نرمافزار‌پشتیبان‪،‬‬
‫‪ ‬دیگر‌نرمافزارها‪.‬‬
‫این‌فهرست‌بهتر‌است‌در‌پیوست‌بیاید‌که‌درمتن‌اصلی‌به‌آن‌ارجاا‌داده‌شود‪‌.‬‬
‫ب‪ 3-2-‬عملکرد‬
‫جزئیات‌عملکرد‌مورد‌انتظار‌شامل‌جزئیات‌هر‌زیرسامانه‌بهتر‌است‌مانند‌زیر‌ذکر‌شوند‪‌:‬‬
‫‪ ‬رایانههای‌رومیزی‪،3‬‬
‫‪ ‬کارسازها‪،‬‬
‫‪،LAN ‬‬
‫‪،WAN ‬‬
‫‪ ‬دروازهها‪،‬‬
‫‪ ‬خدمات‌خارجی‪.‬‬

‫‪1- Screening‬‬
‫‪2- File transfer protocol‬‬
‫‪3- Desktop‬‬
‫‪93‬‬
 ‫ب‪ 8-2-‬مسائل شناخته شده‬
‫جزئیات‌مسائل‌شناختهشده‌شامل‌نواحی‌مورد‌نظر‌عدم‪-‬انطباق‌‌بهتر‌اسدت‌‌تحدت‌سرفصدل‌هدایی‌مانندد‌‌فندی‪‌،‬‬
‫فیزیکی‌و‌محیطی‌ذکر‌شوند‌که‌شامل‌بخشهایی‌مانند‌زیر‌هستند‪‌:‬‬
‫‪ ‬مقدمه‪،‬‬
‫‪ ‬نواحی‌عدم‪-‬انطباق‪.‬‬
‫ب‪ 3-2-‬مراجع‬
‫بهتر‌است‌ارجاعات‌به‌تمام‌اسناد‌مرتبط‌ذکر‌شوند‌که‌شامل‌موارد‌زیر‌هستند‪‌:‬‬
‫‪ ‬نتایج‌ارزیابی‌مخاطره‌و‌بازنگری‌مدیریت‌امنیت‪،‬‬
‫‪ ‬خطمشی‌امنیت‌شبکهبندی‪،‬‬
‫‪ ‬خطمشی‌امنیت‌اطالعات‪،‬‬
‫مشیهای‌امنیتی‌مربوط‪،‬‬
‫خط ‌‬ ‫‪ ‬دیگر‌ ‌‬
‫‪ ‬مستندسازی‌معماری‌فنی‪،‬‬
‫(امنیتی)‌دسترسی‌خدمات‌برای‌هر‌سامانهی‌دیوار‌آتش(که‌شامل‌مجموعه‌قواعد‌دیوار‌‬
‫‌‬ ‫‪ ‬مستندات‌الزامات‌‬
‫آتش‌هم‌هستند)‪،‬‬
‫‪ ‬مستندسازی‌الزامات‌نرمافزار‌تحلیل‌رویدادنگار(ممیزی)‪،‬‬
‫‪ ‬طرحواره‌مدیریت‌پیشامد‌امنیت‌اطالعات‪،‬‬
‫های‌بهرهبرداری‌امنیت‌(‪،1)SecOP‬‬
‫‌‬ ‫‪‌ ‬‬
‫روال‬
‫‪ ‬شرایط‌اتصال‌امن‌برای‌طرف‌سوم‪،‬‬
‫‪ ‬راهنمای‌کاربر‌برای‌کاربران‌طرف‌سوم‪.‬‬
‫ب‪ 20-2-‬پیوستها‬
‫شامل‌بخشهایی‌مانند‌زیر‌هستند‪‌:‬‬
‫‪ ‬پیکربندی‌سختافزار‪،‬‬
‫‪ ‬پیکربندی‌کارساز‪/‬پیشانه‪،‬‬
‫‪ ‬پیکربندی‌دیوار‌آتش‪،‬‬
‫‪ ‬پیکربندی‌مسیریاب‪،‬‬
‫‪ ‬پیکربندی‌نرمافزار‪،‬‬
‫‪ ‬پیکربندی‌پایگاه‌داده‪،‬‬
‫‪ ‬نقشه‌آدرسدهی‌‪،IP‬‬
‫‪ ‬پیکربندی‌‪،SNMP‬‬

‫‪1- Security operating procedures‬‬

‫‪93‬‬
 ‫‪ ‬رخنههای‌سامانه‪،‬‬
‫‪ ‬رخنههای‌برنامه‌کاربردی‪،‬‬
‫‪ ‬استانداردها‪.‬‬

‫ب‪ 22-2-‬واژهنامه‬

‫ب‪ 2-‬مثالی از الگوی سند کارکرد الزامات امنیتی‬

‫به‌ازای‌هر‌سامانهی‌دیوار‌آتش‌سندی‌تهیه‌شود‪‌.‬‬
‫‌‬ ‫بهتر‌است‌‬ ‫يادآوری‪-‬‬

‫ب‪ 2-2-‬مقدمه‬
‫شامل‌بخشهایی‌مانند‌زیر‌است‪‌:‬‬
‫‪ ‬پسزمینه‪/‬دامنه‌کاربرد‪‌/‬اهداف‪،‬‬
‫‪ ‬نام‌سامانه‌دیوار‌آتش‪،‬‬
‫‪ ‬محل‌دیوار‌آتش‪،‬‬
‫‪ ‬نقش‌دیوار‌آتش‪،‬‬
‫‪ ‬نام‌فرد‪/‬گروه‌مسسول‌عملیات‌دیوار‌آتش‪،‬‬
‫‪ ‬سابقهی‌تجدیدنظر‌محتویات‌سند‪،‬‬
‫‪ ‬مراجع‪.‬‬

‫ب‪ 2-2-‬پیکربندی ديوار آتش‬

‫شامل بخشهايی مانند زير است‪:‬‬

‫مقدمه‪،‬‬ ‫‪-‬‬
‫‪1‬‬
‫‌شناسایی‌پیوندهایی ‌که‌از‌طریق‌دیوار‌آتش‌برقرار‌میشوند‪،‬‬ ‫‪-‬‬
‫مرور‌کلی‌معماری‌دیوار‌آتش‪،‬‬ ‫‪-‬‬
‫جزئیات‌سامانه‌دیوار‌آتش‪:‬‬ ‫‪-‬‬
‫‪ ‬سختافزار‪،‬‬
‫‪ ‬نرمافزار‪،‬‬
‫‪ ‬معماری‌دیوار‌آتش‪،‬‬
‫‪ ‬خدمت‌دیوار‌آتش‪،‬‬
‫‪ ‬مدیریت‌دیوار‌آتش‪،‬‬

‫‪1- Links‬‬
‫‪92‬‬
 ‫‪ ‬مسیریاب‌داخلی‪،‬‬
‫‪ ‬مسیریاب‌خارجی‪،‬‬
‫‪ ‬ناف‪،‌DMZ‌1‬‬
‫‪ ‬کارساز‌کد‌ضد‪-‬مخرب‪،9‬‬
‫‪ ‬نامهی‌‪،SMTP‬‬
‫‪ ‬صفحات‌وب‪،‬‬
‫‪ ‬کارساز‌نامه‌‪،SMTP‬‬
‫‪ ‬کارساز‌رویدادنگاری(ممیزی)‪،‬‬
‫‪ ‬منبع‌تغذیه‌وقفهناپذیر(‪،3)UPS‬‬
‫‪ ‬مؤلفههای‌دیگر‪،‬‬
‫‪ ‬سایر‌کنترلهای‌مورد‌نیاز‪،‬‬
‫‪ -‬شرح‌پیوندها‌از‌دیگر‌سامانهها‌و‌به‌دیگر‌سامانهها‪،‬‬
‫‪ -‬انواا‌اطالعاتی‌که‌دربر‌میگیرد‌و‌حساسیت‌آنها‪،‬‬
‫‪ -‬انواا‌کاربران‌و‌تعداد‌و‌غیره‪.‬‬

‫ب‪ 4-2-‬مخاطرات امنیتی‬

‫در‌زمینهی‌کاربرد‌دیوار‌آتش‌بخشهای‌زیر‌را‌در‌برمیگیرند‪‌:‬‬
‫‪ ‬مقدمه‪،‬‬
‫‪ ‬اثرات‪‌2‬مغایرات ‌بالقوهی‌کسبوکار(در‌بعضب‌مواقع‌با‌عنوان‌ارزشگذاری ‌داراییها‌شناختهمیشود)‪،‬‬
‫‪6‬‬ ‫‪3‬‬

‫‪ ‬ارزیابیهای‌تهدید‪،‬‬
‫‪ ‬ارزیابیهای‌آسیبپذیری‪،3‬‬
‫‪ ‬ارزیابیهای‌مخاطره‪،‬‬

‫ب‪ 4-2-‬مديريت امنیت‬

‫شامل‌بخشهایی‌در‌مورد‌مسسولیت‌به‌شرح‌زیر‌است‪‌:‬‬
‫‪ ‬مأمور‪‌/‬گروه‌امنیتی‪،‬‬
‫‪ ‬افراد‌‌مسسول‌شبکه‪،‬‬

‫‪1- Hub‬‬
‫‪2- Anti-malicious code server‬‬
‫‪3- Uninterruptable power supply‬‬
‫‪4- Impact‬‬
‫‪5- Adverse‬‬
‫‪6- Valuation‬‬
‫‪7- Vulnerability‬‬
‫‪39‬‬
 ‫‪ ‬پشتیبانان‌دیوار‌آتش‪،‬‬
‫‪ ‬مدیریت‌شبکه‪،‬‬
‫‪ ‬سایر‌مدیریتهای‌فناوری‌اطالعات‪،‬‬
‫‪ ‬کاربران‪.‬‬

‫ب‪ 5-2-‬سرپرستی امنیت‬

‫شامل‌بخشهایی‌مانند‌زیر‌است‪‌:‬‬
‫‪SecOP ‬ها‪،‬‬
‫‪ ‬بازنگریهای‌انطباق‌امنیت‪،‬‬
‫‪ ‬دسترسپذیری‪،‬‬
‫‪ ‬نگهداری‪،‬‬
‫‪ ‬کنترل‌پیکربندی‪،‬‬
‫‪ ‬مدیریت‌ظرفیت‪،1‬‬
‫‪ ‬مدیریت‌مشکل‪،‬‬
‫‪ ‬مدیریت‌سطح‌خدمت‪،‬‬
‫‪ ‬تاریخ‌انقضای‌سند‪.‬‬

‫ب‪ 6-2-‬احراز هويت و کنترل دسترسی‬

‫شامل‌بخشهایی‌مانند‌زیر‌است‪‌:‬‬
‫‪ ‬مقدمه‪،‬‬
‫‪ ‬کنترلهای‌دسترسی‌منطقی‌برای‌افرادی‌مانند‌سرپرستان‌دیوار‌آتش‪‌،‬کاربران‌داخلی‌و‌کاربران‌راهدور‪،‬‬
‫‪ ‬سنجههای‌کنترل‌دسترسی‌خارجی‌برای‌مواردی‌مانند‌دسترسی‌شبکه‌به‌مجموعه‌قواعدد‌دیدوار‌‌آتدش‌‪‌،‬‬
‫سکوی‪‌9‬امن‌و‌کارسازهای‌پیشکار‌برنامه‌کاربردی‪،‬‬
‫‪ ‬حفاظت‌سطح‌شبکه‪.‬‬

‫ب‪ 3-2-‬رويدادنگاری(ممیزی)‬
‫شامل‌بخشهایی‌در‌مورد‌رویدادنگاری‌مانندزیر‌است‪‌:‬‬
‫‪ ‬اطالعاتی‌که‌باید‌ثبت‌شوند‪،‬‬
‫‪ ‬تحلیلی‌که‌باید‌انجام‌شود‌و‌با‌چه‌ابزاری‌انجام‌شود‪،‬‬
‫‪ ‬امنیت‪.‬‬

‫‪1- Capacity‬‬
‫‪2- Platform‬‬
‫‪31‬‬
 ‫ب‪ 8-2-‬مديريت پیشامد امنیت اطالعات‬
‫شامل‌بخشهایی‌مانند‌بخشهای‌مرتبط‌با‌ثبت‌فعالیتها‌است‪‌:‬‬
‫‪ ‬مقدمه‪،‬‬
‫‪ ‬گزارش‌پیشامد‪،‬‬
‫‪ ‬ساماندهی‪‌1‬پیشامد‪،‬‬
‫‪ ‬غیره‪.‬‬

‫ب‪ 3-2-‬امنیت فیزيکی‬

‫شامل‌بخشهایی‌در‌مورد‌مسسولیتهای‌دسترسی‌کنترل‌به‌شرح‌زیر‌است‪‌:‬‬
‫‪ ‬سامانه‌دیوار‌آتش‪،‬‬
‫‪ ‬بافهکشی‪(9‬کابلکشی)‪.‬‬

‫ب‪ 20-2-‬امنیت افراد‬

‫شامل‌بخشهایی‌کاربردپذیر‪‌3‬در‌مورد‌افراد‌مرتبط‌با‌دیوار‌آتش‌است‌مانند‪‌:‬‬
‫‪ ‬وارسی‪/‬آزمایش‌مربوط‌به‌استخدام‪،‬‬
‫‪ ‬تعلیم‌و‌آگاهی‌امنیت‪‌.‬‬

‫ب‪ 22-2-‬پیوستها‬
‫شامل‌مواردی‌درباره‌جزئیات‌پروتکلها‌و‌خدمات‌است‪‌:‬‬
‫‪ ‬دسترسیهای‌بیرونی‌به‌داخل‌و‌از‌داخل‌به‌بیرون‪،‬‬
‫‪ ‬مدیریت‌راهدور‪،‬‬
‫‪ ‬مدیریت‌دیوار‌آتش‪،‬‬
‫‪ ‬مدیریت‌کارساز‌‪،DMZ‬‬
‫‪ ‬هرگونه‌جزئیات‌مرتبط‌با‌سایر‌پروتکلها‌وخدمات‪‌.‬‬

‫ب‪ 22-2-‬واژهنامه‬

‫‪1- Handling‬‬
‫‪2- Cable‬‬
‫‪3- Applicable‬‬
‫‪39‬‬
 ‫پیوست پ‬
‫(اطالعاتی)‬
‫چارچوب استاندارد ‪ ITU-T X.805‬و نگاشت آن به کنترل های استاندارد ملی ايران شماره‬
‫‪ ،23002‬سال‪2283 :‬‬
‫‌‬
‫‪1‬‬
‫استاندارد‌‪‌ITU-T X.805‬میتواند‌برای‌تقویت ‌بار‌فنی‌کنترلها‌در‌استاندارد‌ملی‌ایران‌شدماره‌‪‌،93991‬سدال‪‌:‬‬
‫‪‌1333‬استفاده‌شود‪‌.‬به‌طور‌خاص‌آنچنان‌که‌در‌شکل‌پ‪‌1-‬آمده‌است‪‌،‬استاندارد‌‪‌ITU-T X.805‬میتواند‌چهار‌‬
‫کنترل‌به‌استاندارد‌ملی‌ایران‌شماره‌‪‌،93991‬سال‪‌،1333‌:‬اضافهکند‪‌.‬خطمشی‌امنیت‪‌،‬مدیریت‌دارایی‪‌،‬کنترل‌‬
‫دسترسی‌و‌مدیریت‌پیشامد‌امنیت‌اطالعات‪‌.‬الیه‪‌،‬برنامهها‌و‌ابعاد‌مشخصی‌از‌استاندارد‌‪‌ITU-T X.805‬که‌برای‌‬
‫هر‌کدام‌از‌این‌کنترلها‌کاربردپذیر‪‌9‬است‌در‌شکل‌به‌تصویر‌کشیده‌شده‌است‪‌.‬برای‌مثال‌برای‌مدیریت‌دارایی‌‬
‫الیههای‌زیرساخت‌و‌خدمات‌و‌کنترل‌و‌سطوح‌مدیریت‌بیشترین‌کاربردپذیری‌را‌دارندد‌و‌کنتدرل‌دسترسدی‌و‌‬
‫ابعاد‌قابلیت‌دسترسی‌برجستهترین‌نگرانیهای‌ما‌خواهندبود‪.‬‬
‫کنترلهای استاندارد ملی ايران شماره ‪ ،27001‬سال‪1387 :‬‬
‫خط مشی قابل قبول برای استفاده تجهیزات را‬ ‫دسترسی به اطالعات‪/‬برنامه های نرم افزاری‬
‫مشخ می شود‪.‬‬ ‫خاصی برای اطمینان از تداوم خدمات محدود‬
‫الیه‌ها‌و‌برنامه‌های‌‪:X.805‬‬ ‫خط مشی امنیت‬ ‫کنترل دسترسی‬ ‫می شود‪.‬‬
‫زیر‌ساخت‌مدیریت‪‌،‬زیر‌ساخت‌کنترل‪‌،‬زیرساخت‌‬ ‫الیه‌ها‌و‌برنامه‌های‌‪:X.805‬‬
‫کاربر‬ ‫زیر‌ساخت‌مدیریت‪‌،‬خدمات‌مدیریت‪‌،‬زیر‌ساخت‌‬
‫ابعاد‌‪:X.805‬‬ ‫مديريت سازماندهی‬ ‫کنترل‪‌،‬زیرساخت‌کاربر‬
‫کنترل‌دسترسی‪‌،‬احراز‌هویت‪‌،‬انکار‌ناپذیری‬ ‫به دست آوردن‪ ،‬توسعه و‬
‫اطالعات‬ ‫ابعاد‌‪:X.805‬‬
‫نگهداری سامانه های‬ ‫احراز‌هویت‪‌،‬کنترل‌دسترسی‪‌،‬انکار‌ناپذیری‬
‫اطالعاتی‬

‫مديريت دارايی‬

‫مديريت رخداد فناوری‬

‫اطالعات‬
‫امنیت منابع انسانی‬

‫مديريت تداوم کسب و کار‬

‫عنصر يا سامانه شبکه پیش از پیاده سازی تعیین‬
‫می شود‪.‬‬
‫الیه‌ها‌و‌برنامه‌های‌‪:X.805‬‬
‫زیر‌ساخت‌مدیریت‪‌،‬خدمات‌مدیریت‪‌،‬زیر‌ساخت‌کنترل‪‌،‬‬
‫خدمات‌کنترل‬
‫ابعاد‌‪:X.805‬‬
‫کنترل‌دسترسی‪‌،‬انکار‌ناپذیری‬
‫امنیت محیطی و فیزيکی‬ ‫امنیت اطالعات خیره شده نگهداری می شود‪.‬‬
‫الیه‌ها‌و‌برنامه‌های‌‪:X.805‬‬
‫زیر‌ساخت‌مدیریت‪‌،‬خدمات‌مدیریت‬
‫ابعاد‌‪:X.805‬‬
‫مديريت ارتباطات و‬ ‫کنترل‌دسترسی‪‌،‬محرمانگی‪‌،‬یکپارچگی‪‌،‬قابلیت‌‬
‫عملیات‬ ‫انطبا‬
‫دسترسی‪‌،‬انکار‌ناپذیری‬

‫‪h‬‬
‫شکل پ‪ : 2 -‬تقويت استاندارد ‪ ITU-T X.805‬برا ی کنترل های استانداردملی ا يران شماره ‪ ، 23002‬سال‪:‬‬
‫‪2283‬‬

‫‪1- Augmentation‬‬
‫‪2- Applicable‬‬
‫‪33‬‬
 ‫به‌عنوان‌مثال‌تقویت‌میتواند‌برای‌ارزیابی‌و‌طراحی‌امنیت‌نظاممندد‌مرکدز‌داده‌ی‌سدازمان‌هدا‌مدورد‌اسدتفاده‌‬
‫قرارگیرد‪‌.‬این‌مرکز‌داده‪‌،‬اطالعات‌کارکنان‌سازمان‌و‌مخصوصا‌اطالعات‌شخصی‌را‌ذخیره‌میکند‌و‌دسترسی‌به‌‬
‫آن‌بهتر‌است‌محدود‌به‌کاربران‌مجاز‌باشد‪‌.‬سازمانهای‌پشتیبانی‌که‌توسط‌خود‌سازمان‌بهکار‌گرفته‌شدده‌اندد‌‬
‫به‌اطالعات‌کارکنان‌دسترسی‌دارند‪‌.‬یکی‌از‌آنها‌میز‌امداد‪‌1‬است‪‌.‬عالوه‌بر‌این‪‌،‬مرکز‌داده‌و‌سامانههای‌درون‌آن‌‬
‫توسط‌تشکیالت‌فناوری‌اطالعات‌همکار‪‌9‬نگهداری‌میشود‪‌.‬همان‌طور‌که‌در‌شکل‌پ‪‌9-‬دیدده‌مدی‌شدود‪‌‌،‬میدز‌‬
‫امداد‌به‌منظور‌رسیدگی‌به‌شکایات‪‌،‬پشتیبانی‌از‌سفارشات‌برای‌خدمات‌‪‌IT‬جدیدد‪‌،‬بدرای‌رفدع‌مشدکالت‌ی‌کده‌‬
‫کارکنان‌با‌خدمات‌‪‌IT‬دارند‌(‌مانند‌دسترسی‌راهدور‌)‌و‌غیره‪‌،‬به‌اطالعدات‌کارکندان‌دسترسدی‌دارد‪‌.‬بده‌عدالوه‌‬
‫تشکیالت‌فناوری‌اطالعات‌همکار‪‌،‬به‌عنوان‌بخشی‌از‌فعالیدت‌هدای‌نگهدداری‌در‌خصدوص‌نگهدداری‌سدامانه‌ی‌‬
‫پرونده‪‌،‬بهروز‌رسانیهای‌سامانه‪‌،‬مدیریت‌وصله‌و‌غیره‌به‌اطالعات‌کارکنان‌دسترسی‌دارد‪.‬‬

‫دارايی سازمان‬
‫اطالعات کارکنان‬ ‫دسترسی‌برای‪:‬‬ ‫میز امداد‬
‫· رسیدگی‌به‌شکایات‬
‫مرکز داده سازمان‬ ‫· پشتیبانی‌از‌دستورات‬
‫· رفع‌مشکالت‬
‫دادگان کارکنان‬ ‫· غیره‬

‫تشکیالت فناوری‬
‫اطالعات همکار‬
‫دسترسی‌برای‪:‬‬
‫· نگهداری‌از‌سامانه‌پرونده‬
‫· به‌روزرسانی‌های‌سامانه‬
‫· مدیریت‌وصله‬
‫· غیره‬

‫شکل پ‪ :2-‬فرانامهی دسترسی برای دارايی سازمان‬

‫یک‌تحلیل‌تهدید‪/‬آسیبپذیری‌استاندارد‌‪‌ITU-T X.805‬نشان‌میدهد‌که‌اعضای‌تشدکیالت‌فندا‌وری‌اطالعدات‌‬
‫همکار‌قادر‌هستند‌اطالعات‌کارکنان‌را‌ببینند‌و‌دستکاری‌کنند‪‌.‬از‌این‌رو‌باعث‌آسیبپذیری‌آن‌در‌مقابل‌افشا‌‬
‫شدن‌و‌خرابی‌در‌الیه‌زیرساخت‌میشوند‌(‌به‌شکل‌پ‪3‌-‬مراجعه‌شود‌)‪‌.‬بده‌عدالوه‌بده‌عندوان‌بخشدی‌از‌رفدع‌‬
‫مشکالت‌اجرایی‪‌،‬اطالعات‌کارکنان‌بین‌مرکز‌داده‌و‌میز‌امداد‪‌،‬بدون‌رمزگذاری‌فرستاده‌مدی‌شدو‌ند‪‌.‬بده‌همدین‌‬

‫‪1- Help desk‬‬

‫‪2- Corporate IT organization‬‬
‫‪32‬‬
‫دلیل‌باعث‌آسیبپذیری‌آن‌در‌برابر‌افشا‌شدن‪‌،‬خرابی‌و‌شنود‪‌1‬میشدو‌ند‪‌.‬بندابراین‌بدرای‌حفاظدت‌از‌اطالعدات‌‬
‫کارکنان‌در‌مقابل‌تهدیدات‌و‌آسیبپذیریها‌باید‌کنترلهایی‌در‌سطح‌مدیریت‌زیرساخت‌و‌الیده‌هدای‌خددمات‌‬
‫آن‌شناسایی‌و‌انتخاب‌شوند‪‌.‬الزم‌به‌ذکر‌است‌که‌تحلیل‌گام‌به‌گام‌استاندارد‌‪‌ITU-T X.805‬در‌این‌استاندارد‌‬
‫ملی‌ذکر‌نشده‌است‪‌.‬فقط‌به‌اجمال‪‌،‬نتایج‌تحلیل‌ذکر‌شده‌در‌نظر‌گرفته‌شدهاند‪‌.‬‬
‫دارايی سازمان‬
‫اطالعات کارکنان‬ ‫دسترسی‌برای‪:‬‬ ‫میز امداد‬ ‫استاندارد ‪ ITU-U X.805‬تحلیل يه‬
‫· رسیدگی‌به‌شکایات‬ ‫خدمات‪:‬‬
‫· پشتیبانی‌از‌دستورات‬ ‫اطالعات‌کارکنان‌بدون‌رمزنگاری‌به‌میز‌خدمات‌‬
‫مرکز داده سازمان‬ ‫· رفع‌مشکالت‬ ‫منتقل‌می‌شود‪.‬‬
‫دادگان کارکنان‬ ‫· غیره‬ ‫در‌برابر‌موارد‌زیر‌آسیب‌پذیر‌است‪:‬‬
‫· افشاسازی‬
‫برنامه مديريت‬ ‫· خرابی‌‬
‫· دستبرد‬
‫يه خدمات‬

‫برنامه مديريت‬
‫تشکیالت فناوری‬
‫يه زيرساخت‬
‫اطالعات همکار‬
‫استاندارد ‪ ITU-U X.805‬تحلیل يه زير‬
‫دسترسی‌برای‪:‬‬ ‫ساخت‪:‬‬
‫· نگهداری‌از‌سامانه‌پرونده‬ ‫سازمان‌‪‌IT‬شریک‌دسترسی‌احراز‌هویت‌نشده‌‬
‫· به‌روزرسانی‌های‌سامانه‬ ‫به‌اطالعات‌کارکنان‌دارد‪.‬‬
‫· مدیریت‌وصله‬ ‫در‌برابر‌موارد‌زیر‌آسیب‌پذیر‌است‪:‬‬
‫· غیره‬ ‫· افشاسازی‬
‫· خرابی‬
‫استاندارد ‪ ITU-U X.805‬تحلیل برنامه مديريت‪:‬‬
‫در‌موارد‌زیر‌به‌اطالعات‌کارکنان‌ارجاا‌داده‌می‌شود‪:‬‬
‫· مدیریت‌خدمات‌شبکه‌‬
‫· مدیریت‌زیرساخت‌شبکه‬

‫شکل پ‪ :2 -‬نتايج تحلیل تهديد و آسیبپذيری استاندارد ‪ ITU-T X.805‬برای دارايی سازمان‬
‫کنترل‌بند‌الف‪‌9-2-19-‬استاندارد‌ملی‌ایران‌شماره‌‪‌،93991‬سدال‪1333‌:‬بده‌عندوان‌نیدازی‌بدرای‌حفاظدت‌از‌‬
‫مدیریت‌اطالعات‌کارکنان‌در‌الیههای‌خدمات‌و‌زیرساخت‌انتخاب‌شده‌است‪‌.‬ایدن‌حفاظدت‌در‌مقابدل‌آسدیب‌‪-‬‬
‫پذیریها‌و‌تهدیداتی‌است‌که‌توسط‌تحلیلهدای‌‌اسدتاندارد‌‪‌ITU-T X.805‬شناسدایی‌شدده‌اندد‌(شدکل‌پ‌‪‌.)2‌-‬‬
‫کنترل‌بند‌الف‪‌9-2-19-‬استاندارد‌ملی‌ایران‌شماره‌‪‌،93991‬سال‪‌1333‌:‬بیان‌میکند‌که‌اطالعدات‌درگیدر‌در‌‬
‫تراکنشهای‌برخط‌باید‌حمایت‌شوند‪‌.‬این‌حمایت‌برای‌جلوگیری‌از‌انتقال‌ناتمدام‪‌،‬مسدیریابی‌نادرسدت‪‌،‬تغییدر‌‬
‫غیرمجاز‌پیام‌‪‌،‬افشاسازی‪‌9‬غیرمجاز‌و‌تکثیر‪‌3‬و‌پاسخ‌به‌پیام‌غیرمجاز‌است‪‌.‬‬

‫‪1- Interception‬‬
‫‪2- Disclosure‬‬
‫‪3- Duplication‬‬
‫‪33‬‬
 ‫يه ها و برنامه استاندارد ‪ ITU-U X.805‬محل‬
‫های اعمال فزونش در کنترل های استاندارد ملی‬
‫ايران شماره ‪ 27001‬را شناسايی می کند‪.‬‬
‫)برای مثال الف‪(2-9-10-‬‬
‫دارايی سازمان‬ ‫امدادات‬
‫میزیز خدم‬
‫م‬
‫اطالعات کارکنان‬ ‫دسترسی‌برای‪:‬‬ ‫استاندارد ‪ ITU-U X.805‬تحلیل يه‬
‫· رسیدگی‌به‌شکایات‬ ‫خدمات‪:‬‬
‫· پشتیبانی‌از‌دستورات‬ ‫اطالعات‌کارکنان‌بدون‌رمزنگاری‌به‌میز‌خدمات‌‬
‫مرکز داده سازمان‬ ‫· رفع‌مشکالت‬ ‫منتقل‌می‌شود‪.‬‬
‫· غیره‬ ‫در‌برابر‌موارد‌زیر‌آسیب‌پذیر‌است‪:‬‬
‫دادگان کارکنان‬ ‫· افشاسازی‬
‫· خرابی‌‬
‫برنامه مديريت‬ ‫· دستبرد‬

‫يه خدمات‬

‫برنامه مديريت‬
‫تشکیالت فناوری‬
‫اطالعات همکار‬
‫يه زيرساخت‬
‫سازمان ‪ IT‬شري‬
‫استاندارد ‪ ITU-U X.805‬تحلیل يه زير‬
‫ساخت‪:‬‬
‫دسترسی‌برای‪:‬‬
‫سازمان‌‪‌IT‬شریک‌دسترسی‌احراز‌هویت‌نشده‌‬
‫· نگهداری‌از‌سامانه‌پرونده‬
‫به‌اطالعات‌کارکنان‌دارد‪.‬‬
‫· به‌روزرسانی‌های‌سامانه‬ ‫در‌برابر‌موارد‌زیر‌آسیب‌پذیر‌است‪:‬‬
‫· مدیریت‌وصله‬ ‫· افشاسازی‬
‫· غیره‬
‫· خرابی‬

‫استاندارد ‪ ITU-U X.805‬تحلیل برنامه مديريت‪:‬‬

‫در‌موارد‌زیر‌به‌اطالعات‌کارکنان‌ارجاا‌داده‌می‌شود‪:‬‬
‫· مدیریت‌خدمات‌شبکه‌‬
‫· مدیریت‌زیرساخت‌شبکه‬

‫شکل پ‪: 4 -‬کنترل های استاندارد ملی ايران شماره ‪ ، 23002‬س ال ‪2283 :‬‬

‫‌ابعاد‌استاندارد‌‪‌ITU-T X.805‬جزئیات‌عملیات‌و‌پیادهسازی‌کنترل‌بند‌الف‪‌9-2-19-‬را‌فراهم‌مدی‌کندد‪‌.‬ایدن‌‬
‫کنترل‌در‌الیههای‌زیرساخت‌و‌خدمات‌برای‌دارایی‌اطالعدات‌ی‌کارکندان‌اسدت‪‌.‬در‌الیده‌خددمات‌‪‌،‬بعدد‌امنیتد‌ی‌‬
‫ارتباطات‌برای‌‪VPN‬ها‌برای‌جلوگیری‌از‌مسیریابی‌نادرست‌فراهم‌شده‌است‪‌.‬بعد‌یکپارچگی‌داده‪‌،‬برای‌استفاده‌‬
‫از‪‌1IPSec AH‬به‌منظور‌جلوگیری‌از‌انتقال‌ناتمام‪‌،‬تغییر‪‌،‬تکثیر‌و‌پاسخ‌به‌پیام‌غیرمجاز‌فراهم‌شده‌اسدت‪‌.‬بعدد‌‬
‫محرمانگی‌داده‪‌،‬برای‌استفاده‌از‌‪‌9IPSec ESP‬به‌منظور‌جلوگیری‌از‌افشاسازی‌غیرمجاز‌فراهم‌شدده‌اسدت‪‌.‬در‌‬
‫الیه‌زیرساخت‪‌،‬بعد‌یکپارچگی‌داده‪‌،‬برای‌استفاده‌از‌جمعآزماهای‪‌3‬پرونده‌به‌منظور‌جلوگیری‌از‌تغییر‌غیرمجاز‌‬
‫فراهم‌شده‌است‪‌.‬بعد‌محرمانگی‌داده‪‌،‬برای‌رمزگذاری‌پرونده‌به‌منظور‌جلوگیری‌از‌افشاسازی‌غیرمجاز‌فدراهم‌‪-‬‬
‫شدهاست‪‌.‬بعد‌کنترل‌دسترسی‌برای‌اسدتفاده‌از‌فهرسدت‌هدای‌کنتدرل‌دسترسدی‌(‌‪‌2)ACL‬پروندده‌بده‌منظدور‌‬
‫جلوگیری‌از‌نسخه‌برداری‌غیرمجاز‌فراهم‌شدهاست‪‌.‬در‌شکل‌پ‪‌3‌-‬نشان‌میدهد‌که‌ابعداد‌اسدتاندارد‌ ‪ITU-T‬‬
‫‪‌X.805‬برای‌پیادهسازی‌و‌عملیات‌بند‌الف‪‌9-2-19-‬به‌منظور‌حمایت‌از‌دارایی‌اطالعاتی‌کارکنان‌فراهم‌شده‪-‬‬
‫است‪‌.‬‬

‫‪1‌- Internet Protocol Security Authentication Header‬‬

‫‪2‌- Internet Protocol Security Encapsulating Security Payload‬‬
‫‪3- Checksums‬‬
‫‪4- Access control list‬‬
‫‪36‬‬
 ‫يه ها و برنامه استاندارد ‪ ITU-U X.805‬محل‬
‫های اعمال فزونش در کنترل های استاندارد ملی‬
‫ابعاد استاندارد ‪ X.805‬شامل پیاده سازی و عملیات الف‪9-10-‬‬
‫ايران شماره ‪ 27001‬را شناسايی می کند‪.‬‬
‫)برای مثال الف‪(2-9-10-‬‬ ‫‪ ISMS 2-‬استاندارد ملی ايران شماره ‪ 27001‬است‪.‬‬

‫دارايی سازمان‬ ‫میز امداد‬

‫اطالعات کارکنان‬ ‫)مديريت يه خدمات(‬
‫دسترسی‌برای‪:‬‬
‫· رسیدگی‌به‌شکایات‬ ‫يک ارچگی داده‬
‫· پشتیبانی‌از‌دستورات‬ ‫استفاده از ‪IPSec AH‬‬
‫مرکز داده سازمان‬ ‫· رفع‌مشکالت‬
‫· غیره‬
‫دادگان کارکنان‬ ‫امنیت ارتباطات‬
‫استفاده از ‪VPN‬ها‬
‫برنامه مديريت‬

‫محرمانگی داده‬
‫يه خدمات‬
‫استفاده از ‪IPSec ESP‬‬

‫برنامه مديريت‬ ‫تشکیالت فناوری‬

‫اطالعات همکار‬
‫)مديريت يه زيرساخت(‬ ‫يک ارچگی داده‬
‫يه زيرساخت‬
‫حمايت از پرونده ها به وسیله جمع آزما‬

‫دسترسی‌برای‪:‬‬
‫· نگهداری‌از‌سامانه‌پرونده‬
‫محرمانگی داده‬
‫· به‌روزرسانی‌های‌سامانه‬
‫· مدیریت‌وصله‬
‫رمزنگاری پرونده ها‬
‫· غیره‬

‫استاندارد ‪ ITU-U X.805‬تحلیل برنامه مديريت‪:‬‬ ‫کنترل دسترسی‬

‫در‌موارد‌زیر‌به‌اطالعات‌کارکنان‌ارجاا‌داده‌می‌شود‪:‬‬ ‫استفاده از ‪ACL‬های سامانه پرونده‬
‫· مدیریت‌خدمات‌شبکه‌‬
‫· مدیریت‌زیرساخت‌شبکه‬

‫گام های استاندراد ملی ايران ‪ISMS 27001‬‬

‫شناسايی دارايی ها‬ ‫شناسايی و ارزيابی مخاطرات‬ ‫انتخاب کنترل ها برای مقابله با‬ ‫پیاده سازی و عملیات کنترل ها‬
‫مخاطرات‬

‫شکل پ‪ : 5 -‬استاندارد ‪ ITU-T X.805‬برا ی پ یاده سازی استاندارد مل ی ا يران شماره ‪ ، 23002‬سال‪2283 :‬‬

‫‌‬

‫‪33‬‬
 ‌
‫کتابنامه‬
[1] ITU-T X.805, Security architecture for systems providing end-to-end communications
[2] RFC 5246, The Transport Layer Security (TLS) Protocol Version 1.2, IETF, August 2008

33