Professional Documents
Culture Documents
Tadvin Molahezate Padafand Gheir Amel Dar Tarahi Va Sakhte Marakeze Dade
Tadvin Molahezate Padafand Gheir Amel Dar Tarahi Va Sakhte Marakeze Dade
پيشگفتار
اين سند شامل مالحظات سازمان پدافند غيرعامل در طراحي و ساخت مراکز داده در کشور
ميباشد .سازمان پدافند غير عامل کشور 3هدف امنيت ،ايمني و پايداري را در تمام حوزه ها از جمله
حوزه فضاي سايبر و فاوا (فنآوري اطالعات و ارتباطات) دنبال مي نمايد .در اين سند ،اين اهدف در
مقوله طراحي و پياده سازي مراکز داده کشور دنبال گرديده است .در ادامه چارچوب و محتويات سند
در اين سند ابتدا شناخت وضعيت فعلي مراکز داده شامل تعاريف ،تاريخچه و وضعيت مرکز
داده در ايران و جهان آورده شده است .سپس به معماري ها و استانداردهاي مراکز داده پرداخته شده و
در ادامه تهديدات امنيتي متصور براي مراکز داده کشور با رويکرد پدافند غيرعامل بررسي گرديده است.
اين تهديدات در 3دسته -1تهديدات ناشي از جنگ (سايبر و فيزيکي) و مخاصمات بين المللي -2
تهديدات امنيتي -3تهديدات محيطي و طبيعي ،مورد توجه قرار گرفته است .نهايتا در ادامه ،ضمن ارائه
راهکارهاي فني براي تهديدات بيان شده ،الگوي مراکز داده کشور با رويکرد پدافند غير عامل تدوين
گرديده و آورده شده است .در اين الگو ،مالحظات پدافند غير عامل به 3سطح باال ،مياني و پايين تقسيم
بندي شده است .در مالحظات سطح باال ،پارامترهاي سطح بندي مراکز داده کشور و تعيين يکي از
سطوح مهم ،حساس يا حياتي بيان گرديده است .در مالحظات سطح مياني ،کنترلهاي پدافند غير عامل و
امنيتي متناسب با تهديدات احصاء شده و به تفکيک براي هر يک از سطوح مراکز داده مهم ،حساس و
حياتي بيان گرديده است .در ادامه به مصاديق مالحظات سطح پايين مراکز داده نيز اشاره گرديده است،
ليکن از آنجا که اين مالحظات وابسته به محصوالت و تکنولوژي ها بوده و دائما در حال تغيير است ،در
صفحه 3از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
زمان طراحي و پياده سازي هر مرکز داده ،بايستي با توجه به مالحظات سطح باال و مياني که در اين سند
بيان شده ،با نظارت سازمان پدافند غير عامل تعيين و اجرا گردند.
در مجموع ،هدف از تهيه اين سند ،ارائه راهکارهاي الزم در حوزه پدافند غير عامل در طراحي و
پياده سازي مراکز داده در کشور بمنظور استفاده توسط کليه زير مجموعه هاي کشور که نياز به ايجاد مراکز
داده دارند ،مي باشد .بديهي است رعايت کنترلها و راهکارهاي ذکر شده در اين سند ،براي کليه بخشهاي
فهرست مطالب
12 1-2تعاريف
12 پدافند عامل 1-2-1
پدافند غيرعامل 13 1-2-2
دفاع غير نظامي 13 1-2-3
مراكز حياتي و مراكز ثقل14....................................................................................................................................................... 1-2-4
14 مراكز حياتي 1-2-5
14 مراكز حساس 1-2-6
14 مراكز مهم 1-2-7
استتار و اختفاء 15 1-2-8
15 پراكندگي 1-2-9
1-2-10تفرقه و جابجايي 15
1-2-11استتار ،اختفاء و ماكت فريبنده 16................................................................................................................................... D&CC
16 1-2-12فريب
1-2-13مقاوم سازي و استحکامات 16.......................................................................................................................................................
17 1-2-14اعالم خبر
17 1-2-15مکان يابي
1-2-16مواد جاذب هوشمند 18..............................................................................................................................................................
1-2-17ماهواره سنجش از راه دور 18.....................................................................................................................................................
1-2-18منعکس كننده هاي زاويه اي (گوشه دار) 19.................................................................................................................................
1-2-19فرستنده هاي الکترونيکي فريب (طعمه ها) 19...............................................................................................................................
40 2-7مراجع
7فصل هفتم :مفاهيم امنيت و پدافند غير عامل در مراكز داده 96 ...............................
97 7-1مقدمه
7-2نيازمنديهاي امنيتي (با رويکرد علمي) 98................................................................................
98 محرمانگي 7-2-1
صحت (تماميت) 98 7-2-2
دسترسپذيري 99 7-2-3
ثبات و سازگاري (پايداري) 99.................................................................................................................................................... 7-2-4
99 كنترل 7-2-5
100 بازبيني 7-2-6
تفاوت نيازمندي امنيتي سازمانهاي مختلف 100........................................................................................................................... 7-2-7
صفحه 7از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
7-3نکات كلي در برآورده كردن نيازمنديهاي امنيتي وپدافند غير عامل 101................................
خط مشيهاي امنيتي 101........................................................................................................................................................... 7-3-1
نيازمنديهاي صحت و درستي 102................................................................................................................................................ 7-3-2
102 امکان پذيري 7-3-3
موارد سوء استفاده 102............................................................................................................................................................... 7-3-4
تهديدها در برابر اهداف102....................................................................................................................................................... 7-3-5
113 7-14مراجع
8فصل هشتم :مالحظات پدافند غير عامل سطح باالي مراكز داده 114 ........................
115 8-1مقدمه
8-2دسته بندي مراكز داده با رويکرد پدافند غير عامل 118..........................................................
مصاديق طبقهبندي و رده بندي مراكز داده كشور 119.................................................................................................................. 8-2-1
طبقهبندي داده ها و اطالعات و تعيين سطح ضربه بالقوه 120............................................................................................... 8-2-1-1
121 تجميع دادهها 8-2-1-2
كاربرد مراكز داده 121 8-2-1-3
گستره كاربرد مراكز داده 121.......................................................................................................................................... 8-2-1-4
123 جمع بندي 8-2-1-5
123 8-3مراجع
9فصل نهم :تهديدات مراكز داده و مالحظات پدافند غير عامل سطح مياني 124 .........
صفحه 8از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
125 9-1مقدمه
9-2تهديدات مراكز داده با رويکرد پدافند غير عامل 125.............................................................
9-3مالحظات پدافند غير عامل براي تهديدات مختلف 129..........................................................
9-4مالحظات پدافند غير عامل براي مراكز داده مهم 157............................................................
9-5مالحظات پدافند غير عامل براي مراكز داده حساس 175........................................................
9-6مالحظات پدافند غير عامل مراكز داده حياتي 197.................................................................
9-7مالحظات امنيتي سطح پايين مراكز داده225.........................................................................
روش تامين امنيت شبکه مراكز داده 226...................................................................................................................................... 9-7-1
227 9-8مراجع
پيوست :2فهرست مراكز داده مهم آمريکا و ساير كشورها 237 ......................................
فهرست مراكز داده اي آمريکا 237.................................................................................................
فهرست مراكز داده ساير كشورها 240.............................................................................................
فهرست شکلها
شکل :9روش 5اليه تدوين مالحظات پدافند غير عامل در مراكزداده 117 ..............................................
صفحه 10از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
فهرست جداول
تهديدات مراكز داده با رويکرد پدافند غير عامل 125 ............................................... جدول .1
مالحظات پدافند غيرعامل براي تهديدات مختلف 129 ............................................. جدول .2
مالحظات پدافند غيرعامل مراكز داده مهم 157 ........................................................ جدول .3
مالحظات پدافند غيرعامل مراكز داده حساس 175 ................................................... جدول .4
مالحظات پدافند غيرعامل مراكز داده حياتي 197 .................................................... جدول .5
صفحه 11از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
فصل اول:
پدافند غيرعامل
صفحه 12از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
1-1مقدمه
دفاع غيرعامل در واقع مجموعه تمهيدات ،اقدامات و طرحهايي است که با استفاده از ابزار ،شرايط
و حتيالمقدور بدون نياز به نيروي انساني به صورت خود اتکا صورتگيرد چنين اقداماتي از يک سو توان
دفاعي مجموعه را در زمان بحران افزايش داده و از سوي ديگر پيامدهاي بحران را کاهش و امکان بازسازي
مناطق آسيبديده را با کمترين هزينه فراهم ميسازد .در حقيقت طرحهاي پدافند غيرعامل قبل از انجام
مراحل تهاجم و در زمان صلح تهيه و اجرا ميگردند .با توجه به فرصتي که در زمان صلح جهت تهيه چنين
طرحهايي فراهم ميگردد ضروري است اين قبيل تمهيدات در متن طراحيها لحاظ گردند .بهکارگيري
تمهيدات و مالحظات پدافند غيرعامل عالوه برکاهش شديد هزينهها ،کارآيي دفاعي طرحها ،اهداف و
1-2تعاريف
عبارتست از بکارگيري مستقيم جنگ افزار ،به منظور خنثي نمودن و يا کاهش اثرات عمليات خصمانه
1
Active Defence
صفحه 13از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
به مجموعه اقداماتي اطالق ميگردد که مستلزم بکارگيري جنگ افزار نبوده و با اجراي آن
ميتوان از ورود خسارات مالي به تجهيزات و تأسيسات حياتي و حساس نظامي و غير نظامي و تلفات
انساني جلوگيري نموده و يا ميزان اين خسارات و تلفات را به حداقل ممکن کاهش داد.
دفاع غيرنظامي تقليل خسارات مالي و صدمات جاني وارده بر غير نظاميان در جنگ يا در اثر
حوادث طبيعي نظير سيل ،زلزله ،طوفان ،آتشفشان ،آتشسوزي و خشکسالي ميباشد ،در منابع خارجي،
نکته:
ارائه تعريف دفاع غير نظامي در اين نوشتار در حوزه پدافند غير عامل نبوده و بيشتر در جهت
آگاهي مخاطبين در مميزي بين پدافند غيرعامل و دفاع غير نظامي ميباشد؛ زيرا به دليل عدم شناخت جامع
در بسياري از کتب ،مقاالت ،و يا نوشتارهاي داخلي مشاهده گرديده است که دو مفهوم ياد شده با
1
Passive Defense
2
Civil Defense
صفحه 14از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
مراکز و تأسيسات حياتي و پر اهميت کشور ميباشند که در صورت حمله و بمباران و انهدام آنها
صدمات جدي به نظام اجتماعي ،سياسي و نظامي کشور وارد شده ،آنها را در يک مخاطره و بحران جدي
قرار ميدهد.
مراکزي هستند که در صورت انهدام کل يا قسمتي از آنها ،موجب بروز بحران ،آسيب و صدمات
قابل توجه در نظام سياسي ،هدايت ،کنترل و فرماندهي ،توليدي و اقتصادي ،پشتيباني ،ارتباطي و
مراکزي هستند که در صورت انهدام کل يا قسمتي از آنها ،موجب بروز بحران ،آسيب و صدمات
قابلتوجهي در نظام سياسي ،هدايت ،کنترل و فرماندهي توليدي و اقتصادي ،پشتيباني ،ارتباطي و
مواصالتي ،اجتماعي ،دفاعي با سطح تأثير گذاري منطقهاي در بخشي از کشور گردد.
مراکزي هستند که در صورت انهدام کل يا قسمتي از آنها ،آسيب و صدمات محدودي در نظام
سياسي ،اجتماعي ،دفاعي با سطح تأثير گذاري محلي در کشور وارد ميگردد.
1
Vital and Gravity Centers
2
Vital Centers
3
Critical Centers
4
Important Centers
صفحه 15از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
فن و هنري است که با استفاده از وسائل طبيعي يا مصنوعي ،امکان کشف و شناسائي نيروها،
تجهيزات و تأسيسات را از ديده باني ،تجسس و عکسبرداري دشمن تقليل داده و يا مخفي داشته و حفاظت
نمايد.
مفهوم کلي استتار ،همرنگ و همشکل کردن تأسيسات ،تجهيزات و نيروها با محيط اطراف
ميباشد.
اختفا ،حفاظت در برابر ديد دشمن را تأمين مينمايد و استتار امکان کشف يا شناسايي نيروها ،تجهيزات و
2پراكندگي 9-2-1
گسترشباز و پخش نمودن و تمرکز زدايي نيروها ،تجهيزات ،تأسيسات يا فعاليتهاي خودي ،به
منظور تقليل آسيب پذيري آنها در مقابل عمليات دشمن به طوري که مجموعهاي از آنها هدف واحدي را
جداسازي ،گسترش افراد ،تجهيزات و فعاليتهاي خودي از محل استقرار اصلي به محلي ديگر به
منظور کاهش آسيب پذيري ،خسارات و تلفات ميباشد؛ مانند :انتقال هواپيماهاي مسافرتي به فرودگاههاي
1
Camouflage & Concealment
2
Dispersion
3
Separation and Movement
صفحه 16از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
دورتر از برد سالحهاي دشمن و يا انتقال تجهيزات حساس قابل حمل از محل اصلي به محل موقت که به
علت عدم شناسايي و حساسيت مکاني ،داراي امنيت و حفاظت بيشتري ميباشد.
استفاده و بهره برداري از اقدامات تجهيزات و روشهايي براي پنهان نمودن ،همگون سازي ،تغيير
شکل ،شبيه سازي ،ايجاد طعمه فريبنده و حذف شکل منظم هندسي اهداف در جهت ممانعت از کشف و
شناسائي نيروها ،تجهيزات ،تأسيسات و فعاليتهاي خودي توسط سامانههاي آشکار ساز و حساسه دشمن.
1 12-2-1فريب
کليه اقدامات طراحي شده حيلهگرانهاي که موجب گمراهي دشمن در نيل به اطالعات و محاسبه و
برآورد صحيح از توان کمي و کيفي طرف مقابل گرديده و او را در تشخيص هدف و هدف گيري با شک
فريب ،انحراف ذهن دشمن از اهداف حقيقي و مهم به سمت اهداف کاذب و کم اهميت ميباشد.
ايجاد هر گونه حفاظتي که در مقابل اصابت مستقيم بمب ،راکت ،موشک ،گلوله توپخانه ،خمپاره
و يا ترکش آنها مقاومت نموده و مانع صدمه رسيدن به نفرات ،تجهيزات يا تأسيسات گرديده و اثرات
ترکش و موج انفجار را به طور نسبي خنثي نمايد .پناهگاه ،جان پناه ،سازههاي امن و مقاومسازي تأسيسات،
1
Deception
2
Fortification
صفحه 17از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
ايجاد استحکامات صحرايي و سازههاي موقتي ،دال بتني ،کيسه شن ،خاكريز ،بشکه شن و يا استوانه بتني
دشااامن. آگااااهي و هشااادار باااه نيروهااااي خاااودي مبناااي بااار نزديکاااي عملياااات تعااار
اين هشدار که براي آماده شدن ميباشد ،ممکن است چند ساعت ،چند روز و يا زماني طااوالنيتر از آغاااز
دستگاهها و وسايل اعالم خبر شامل رادار ،ديدهباني بصااري ،آژياار ،بلناادگو ،پيامهااا و آگهيهاااي
هشداردهنده ميباشد.
يکي از اقدامات اساسي و عمده پدافند غير عامل ،انتخاب مکان مناسب ميباشد تا آنجا که ممکن
است بايد از ايجاد تأسيسات حياتي و حساس در دشتهاي مسطح يا نسبتا هموار اجتناب کرد .زيرا
تأسيسات احداث شده در چنين محلهايي را نميتوان از ديد دشمن مخفي نگاه داشت.
ايجاد تأسيسات حياتي و حساس در کنار بزرگراهها ،جادههاي اصلي ،کنار سواحل دريا،
رودخانهها و نزديکي مرزها موجب سهولت شناسايي و هدف يابي آسان آنها توسط دشمن ميگردد.
توضيح اينکه سه موضوع عمده که ميبايست در مکان يابي به آن توجه خاص مبذول گردد به
-1مأموريت ()Mission
1
Early warning
2
Site selection
صفحه 18از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
-2پراکندگي ()Dispersion
وسعت مکان انتخابي به صورتي باشد که امکان پراکندگي مناسب تأسيسات و تجهيزات را فراهم
نمايد.
مکان انتخابي به گونهاي بايد باشد که احداث تأسيسات و استقرار تجهيزات تا آنجا که ممکن است
محيطي (روستايي ،کويري، باعث بهم خوردگي شکل طبيعي زمين نگرديده ،ضمنا همرنگي با عوار
ترکيبي از مواد جاذب فعال و غير فعال ،حسگرهاي محيطي و ماژول هاي الکترونيکي بوده و جهت
پردازش اطالعات جمع آوري شده طراحي گرديده به طوري که اعمال فرامين کنترلي جهت اتخاذ پاسخ
سنجش از دور علم و هنر به دست آوردن اطالعات درباره يک شيء ،منطقه ،يا پديده از طريق
تجزيه و تحليل دادههاي حاصله به وسيله ابزاري است که در تماس فيزيکي با شيء ،منطقه و يا پديده تحت
بررسي نباشد .توصيه ميشود که در بدو شروع احداث تأسيسات حياتي و حساس هميشه مراقب چشمهاي
بيدار سنجيدههاي سنجش از دور دشمن و ستون پنجم باشيم .ضمناً صرف هر گونه هزينه در اين زمينه ها
بدون لحاظ نمودن موارد حفاظتي به هدر دادن سرمايههاي ملي منجر خواهد شد.
صفحه 19از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
از آنجايي که انعطافپذيري ماهوارهها در جمعآوري اطالعات بسيار دقيق و حساس نظامي
وجاسوسي دائماً در حال افزايش ميباشد ،نقش آنها در عمليات اطالعات سري ،از جمله قابليت شناسايي و
چندطيفي لندست 1به منظور جمعآوري آثار و عاليم مربوط به وجود احتمالي تأسيسات زيرزميني و
فعاليتهاي آن استفاده مينمايد که انجام اين کار به تصويربرداري مادون قرمز نزديک ،مادون قرمز
وقتي ردياب به دنبال يک هدف غيرواقعي برود و از هدف واقعي غافل گردد اين خود نوعي فريب
است .در اين روش از منعکسکنندههاي ويژهاي که داراي زواياي خاصي هستند استفاده ميگردد که باعث
انعکاس بيشتر امواج راداري و بالطبع افزايش سطح مقطع راداري RCSگرديده و اهداف واقعي در بين
اهداف کاذب پنهان ميگردند .هدف اصلي اين گونه منعکسکنندهها منحرف کردن موشکهايي است که
يکي از بهترين راهکارهاي فريب موشکهاي Arm/ Harmبه منظور مصون ماندن رادار ،استفاده از
فرستندههاي فريب و اشباع فضا از امواج کاذب ميباشد .اين روش مقرون به صرفه بوده و از اثربخشي
1
Handsets Multral Scanner
2
Decoys
صفحه 20از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
بااليي برخوردار است .فرستندههاي فريب در انواع گوناگون طراحي و ساخته ميشوند و همچنين به
شيوههاي مختلف تاکتيکي قابل بهرهبرداري ميباشند .از انواع ديگر موشکهاي ضدتشعشع راداري ميتوان
موشکهاي Alarm - Shrikeرا نام برد که تحت تأثير فريب واقع ميشوند.
.1ارتقاء بازدارندگي موثر و تحقق امنيت پايدار در توسعه کشور در برابر تهديدات
.2تحقيق و پژوهش ،توليد علم و فرهنگ سازي و تبديل آن به معارف و باور عمومي
.4کاهش مجموعه آسيبپذيري هاي کشور و به حداقل رساااندن تااأثير تهدياادات دشاامن و افاازايش
هزينه تهاجم
.6دستيابي به زيرساااختهاي حياااتي اماان و زيرساااختهاي حساااس بااا حااداقل آساايب پااذيري در براباار
تهديدات
.7دستيابي به ساختار و عمليات تداوم خدمات ملي ،اسااتاني ،شااهري و دسااتگاهي و مااديريت صااحنه
.8ارتقاء آستانه تحمل ملي در برابر تهديدات و باال بردن قابليت بقاء و حفظ کشور در شرايط تهديااد
و بحران
.9ارتقاء بهره مندي از ظرفيتها و توانمنديهاي نيروهاي داوطلب مردمي و بسيجي در همه حوزهها
و عرصهها
صفحه 21از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
.10دستيابي به پايداري امنيت کشور و ايمن سازي زيرساختها در برابر تهديدات نرم با استفاده از
اقدامات اساسي در تأمين دفاع غيرعامل شامل موارد ذيل ميباشد که در تهيه طرحها متناسب با
مأموريت ،وضعيت ،موقعيت و شرايط زماني و مکاني و رده سازماني بايد مورد استفاده و بهره برداري الزم
قرار گيرد .در ابتدا فهرستوار اصول دفاع غير عامل و مالحظات آن نام برده شده و سپس به تعريف هر
.1استتار ()Camouflage
.2اختفا ()Concealment
.3پوشش ()Cover
.4فريب ()Deception
.9تحرك ()Movement
اقدامات بعد از بمباران(کنترل تردد ،تخليه مجروحين ،کنترل خسارت ،خنثي سازي بمب و )... .19
تجربيات حاصل از جنگ تحميلي و خسارتهاي وارده ناشي از تهاجمات دشمن به تأسيسات
نظامي و صنعتي از قبيل :کارخانجات توليد تسليحات نظامي ،نيروگاهها ،پااليشگاهها ،محورهاي مواصالتي،
بيمارستانها ،پادگانها و صنايع مادر ،لزوم توجه به دفاع بهينه را که تلفيقي از پدافند عامل و غيرعامل
ميباشد بر همگان روشن ساخت .آنچه که در اين ميان و در خصوص پدافند غيرعامل و اصول مرتبط با آن
صفحه 23از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
مد نظر است توجه به اين نکته اساسي است که :در ساخت و راهاندازي پروژهها و طرحهاي بزرگ و کالن
اقتصادي باحجم سرمايه گذاريهاي انبوه نظير پااليشگاهها ،سدها ،مجتمعهاي پتروشيمي ،فرودگاهها و غيره
به اصول و مباني پدافند غيرعامل توجه اساسي به عمل نيامدهاست و از طرفي نيز بدون توجه به مالحظات
امنيتي و دفاعي سرمايه گذاريهاي کالني در سطح کشور انجامگرفته و يا در حال انجام است .پروژهها
وتأسيسات اقتصادي و زيربنايي بدون رعايت و يا دخالت مالحظات و ترتيبات دفاعي و امنيتي ساختهشده و
يا توسعه يافتهاند و به صورت يک هدف کامال عريان و در عين حال قابل توجه و مورد عالقه دردسترس و
موقعيت و موضع استقرار استحکامات و تجهيزات دفاعي کشور نظير سايتهاي موشکي و
راداري با توجه به اين نکته که برخي از آنها قبل از پيروزي انقالب اسالمي توسط نيروهاي بيگانه
کشف و شناسايي شدهاند تغييري نکردهاست .چنين به نظر ميرسدکه تأسيسات و ابنيههاي فني در دو
بخش نظامي و غيرنظامي بدون انجام مطالعات و بررسيهاي ژئوپلتيکي ،طرحهاي آمايش سرزمين و
طرحهاي آمايش دفاعي احداث گرديده و يا توسعه يافتهاند .صنايع مادر و زيربنايي در کشور نيز
بهصورت يکپارچه و عظيم و در عينحال متمرکز طراحي و راهاندازي شدهاند و به مسأله بزرگ بودن
اين قبيل صنايع در مقابل توجه به اصول و مباني پدافند غيرعامل از قبيل :کوچک سازي و پراکندهسازي
با توجه به روند جنگها و شرايط حال حاضر دنيا (چه از لحاظ تکنولوژيکي و چه از لحاظ
مسلم وقطعي ،پرداختن و توجه ويژه به مقوله پدافند غيرعامل از لحاظ کمي و .1به عنوان يک فر
کيفي و بررسي سامانههايي که ميبايست مورد توجه پدافند غيرعامل قرارگيرند نقش مهم و ارزشمندي
.2نظر به اهميت در خور توجه و بايسته پدافند غيرعامل و سامانههاي آن ،وحدت فرماندهي و هماهنگي
در خصوص نحوه و چگونگي اجرا ،هدايت و راهبرد عمليات استتاري در سطوح عمودي و افقي
نيروهاي مسلح کشور و ساير منابع ملي ،الزمه موفقيت در عملياتهاي پدافند غيرعامل و کارآمدي
مديريت راهبردي اين نوع پدافند مبتني برشيوههاي نوين است .
چالشهاي نظامي و دفاعي بوجود آوردهاست .همچنين شرايط حاضر جهاني بسيار متغيير بوده و روند
.4از آنجا که روشهاي طراحي ،مراقبت و نگهداري ،برنامهريزي ،ديسيپلين و توسعه ميداني در پدافند
غيرعامل نوين با توجه به شرايط و نحوه رويارويي و تقابل با دشمن از نظر سياسي و جغرافيايي متفاوت
است ،تنوع شرايط و راهکارها ،انعطاف و پويايي مفهوم فرماندهي وکنترل عمليات پدافند غيرعامل را
در پي دارد.
صفحه 25از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
از عناصر و پارامترهايي که در فرآيند برنامهريزي براي مديريت ،فرماندهي و کنترل مستقيم و
غيرمستقيم پدافند غيرعامل مهم و تأثيرگذار هستند ميتوان موارد زير را برشمرد:
.1سازماندهي نظام جامع و فراگير سياست گذاري ،مديريت و نظارت مستمر باار اماان سااازي فضاااي
.2امن ،ايمن و پايدارسازي فضاي سايبر زير ساختهاي حياتي حساس و مهم کشور در برابر حمااالت
.3رعايت توازن بين امنيت و توسعه فضاي سايبر متناسب با سطح طبقه بندي امنيتي ( بر مبناي سياست
هاي پدافند غير عامل و معيارهاي امنيتي مربوط به مراکز حياتي ،حساس و مهم ).
.4اعتمادسازي و رعايت حريم خصوصي آحاد اشخاص حقيقي و حقوقي در فضاي سايبر.
.5ساماندهي محتوا و نظارت بر آن به منظور حفظ ارزش هاااي دينااي ،ملااي و حقااوق معنااوي افااراد و
.6ساماندهي و توسعه زيرساختهاي امنيت فنآوري اطالعات با تکيه باار توانمناادي هاااي داخلااي و بااا
.7ساماندهي و توسعه صنعت بومي امنيت فنآوري اطالعات با تکيه بر توانمندي هاي داخلااي اعاام از
.9ساماندهي و توسعه ظرفيت هاي علمي ،پژوهشي و آموزشي در حوزه امنيت فنآوري اطالعات.
ارتقا سطح دانش و آگاهي و مهارت هاي عمومي مرتبط با امنيت فنآوري اطالعات. .10
پيش بيني تمهيدات و ساز و کارهاي الزم جهت انجام مطالعات و پايش مستمر مخاااطرات .11
امنيتي در حوزه سايبري و به روز رساني راه کارهاي مقابله (.) SOC-CERT
تعامل و همکاري منطقه اي و بين المللي در زمينه امنيت فضاي سااايبر بااا تأکيااد باار امنياات .12
ملي.
تدوين و اعمال قوانين ،مقررات و استانداردهاي بومي ،به روز و کارآمد. .14
سازمان پدافند غيرعامل در حوزه تخصصي فاوا با تکيه بر فرامين و تدابير فرمانده معظم کل قوا در
چارچوب مباني راهبردي و اصول و مقررات ابالغي سازمان پدافند غيرعامل کشور ،با هدف:
.1حذف و يا کاهش آسيب پذيري تأسيسات و تجهيزات حياتي ،حساس و مهم و نيز زيرساخت هاي
.3پايدارسازي فعاليت شبکههاي ارتباطي و الکترونيکي براي استمرار جريان اطالع رساني عمومي
صفحه 27از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
.4پاسداري از آرامش و امنيت رواني جامعه از طريق حفظ بستر ارتباطات مردم (مخابرات) و ظرفيت
به منظور بهره مندي مستمر آحاد مردم و مديريت کشور از قابليت ها و فعاليتهاي شبکههاي
ارتباطي ،الکترونيکي و فن آوري اطالعات ،تالش دارد با برنامه ريزي ،بستر سازي ،تدوين مقررات،
هماهنگي ،نظارت و ارزشيابي و يا برآورد تهديدات دفاعي امنيتي و آسيب شناسي در برابر تهديدات موثر
بر اين حوزه با ايجاد فرصت ها و بهره گيري از آنها و ظرفيت هاي قانوني و بسيج توانمندي هاي فني و
مديريتي در دستگاه هاي مرتبط و ساير دستگاههاي ذينفع ،الزامات پياده سازي اصول پدافند غيرعامل در
.1نهادينه سازي فرامين و قانونمندسازي تدابير مقام معظم رهبري در خصوص پدافند غيرعامل در
.2ساماندهي ،انسجام بخشي وهدايت راهبردي مجموعه هاي علمي ،پژوهشي ،آموزشي و صنعتي
مرتبط با حوزه تخصصي فاوا در راستاي توليد و توسعه دانش و فنآوري هاي بومي و ملي مورد
.3توسعه امنيت ،ايمني و پايداري در شبکههاي ارتباطي و الکترونيکي موجود با تأکيد بر
فنآوريهاي بومي
صفحه 28از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
.4نهادينه کردن اصول و مالحظات پدافند غيرعامل در طرحهاي توسعه شبکه هاي ارتباطي و
الکترونيکي
.5توسعه فرهنگ پدافند غيرعامل و ارتقاء دانش و شناخت مسئولين و کارشناسان حوزه ارتباطات و
.6خوداتکايي از دستگاه هاي پشتيبان آسيب پذير و خودکفايي از منابع خارجي فنآوري ها
.7حمايت از برنامه ايجاد شبکه ملي اينترنت مبتني بر مولفه هاي امنيت ،ايمني ،پايداري و متکي بر
.8توسعه و تقويت سيستم پست کشور (بهرهمندي از پست بسيار سريع و امين)
.9بهرهمندي از شبکه ارتباطي ويژه مديريت کشور در شرايط بحران جنگ (با مولفه هاي امنيتي و
توسعه توان کنترل و مديريت بحران و برنامه هاي حراست ،حفاظت و ضد جاسوسي .10
نهادينه کردن مالحظات دفاع غيرعامل و امنيت ملي در تعامالت و همکاري با کشااورها و شاارکت
.1به تصويب رساندن لوايح قانوني ،آئين نامه ها ،دستورالعمل هاي مورد نياز
.2تشکيل گروههاي آموزشي ،پژوهشي ،مشاورهاي ،توليد فنآوري در بخشهاي تخصصي ارتباطات
و الکترونيک
صفحه 29از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
.3تأمين نقاط احتياط 1ايمن و پايدار براي نقاط گره اي در مراکز حياتي و حساس
.4تدوين برنامه تهديد شناسي و آسيب شناسي در بخش هاي مرتبط و اجرايي نمودن آنها
.5تدوين برنامه توليد و توسعه فن آوري هاي بومي و اجرايي نمودن آنها
.6تدوين برنامه فرهنگ سازي و آموزش پدافند غيرعامل و اجرايي نمودن آنها
.7تعيين و تثبيت ارتباطات کابلي با تکيه بر فن آوري بومي فيبرنوري به عنوان محور توسعه شبکه
.8تدوين برنامه هاي ايمن و پايدارسازي شبکه ها بر مبناي نتايج برنامه اي بند4
.9تأمين ساختارهاي سازماني ( CERT , IDC , SOCو )...و نرم افزارهاي کليدي بومي و ملي
تشکيل و فعال سازي کميته پدافند غيرعامل در شرکت پست ايران .10
تدوين طرح مديريت بحران و طرح تشديد اقدامات حفاظتي و ضدجاسوسي .12
فعال شدن بخش حقوقي وزارت ICTدر روند برنامه هاي پدافند غيرعامل .13
1-10مراجع
1
Backup
صفحه 30از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
صفحه 31از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
فصل دوم:
کليات و تعاريف
صفحه 32از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
2-1مقدمه
عصر حاضر عصر اطالعات نام گرفته است .بي ترديد ،اين نام گذاري به دليل ارزش بسيار و نقش
تعيين کننده اين عنصر در تعامالت خرد و کالن بشر امروز ميباشد .لذا کامالً بديهي است هرکس تالش
کند با دستيابي به منابع بيشتري از اطالعات ،تفوق و برتري خود را به ديگران نشان دهد.
در همين راستا ،طي نيم قرن اخير ،بخش مهمي از تالش دانشمندان حوزههاي مختلف ،صرف
توسعه و ارتقاي علوم و فنوني بوده که بهره برداري بهينه از اطالعات را تضمين ميکردند که در اين ميان
فنآوري اطالعات و ارتباطات به عنوان گزينهاي بي رقيب ،با سرعت شگفت انگيزي مراحل تکامل خود را
طي کرده و اکنون به جايگاهي رسيده که به لطف ماهيت اصلي خود ،يعني اطالعات ،از نقش تعيين
حال براي اينکه با نحوه و ميزان تأثيرگذاري اين فنآوري براطالعات بيشتر آشنا شويم ،بهتر است
از ابتداي ظهور سيستمهاي رايانهاي تا حدود دو دهه پيش ،عمدتاً از آنها به عنوان مخازن اطالعات
که توانايي پردازش محدود آنها را نيز داشتند ،استفاده ميشد .ولي در همين حد نيز آن چنان هزينه
نگهداري و بهره برداري از آنها گزاف بود که تنها بعضي مراکز دولتي يا بنگاههاي خصوصي بزرگ از
عهده اين هزينهها بر ميآمدند .براي مثال ،در ايران براي اولين بار در سال 1341شمسي بانک ملي و
اما به تدريج موانع بهره برداري گستردهتر و متنوعتر از سيستمهاي رايانهاي برچيده شد .افراد
بيشتري توانستند از آنها استفاده کنند و تنوع پردازش اطالعات نيز بيشتر شد .ولي آنچه در اين حوزه تحول
شگرفي محسوب ميشود ،ظهور شبکههاي عظيم رايانهاي در سراسر جهان است که به مدد ارتباطات
صفحه 33از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
الکترونيکي توانستهاند با يکديگر ارتباط برقرار کنند .اين شبکهها با قابليتهاي برجستهاي که دارند،
-1امکان ذخيره سازي نامحدود اطالعات با هزينه بسيار مناسب در اقصي نقاط جهان
-2دسترس پذيري جهاني اطالعات از طريق فنآوريهايي که هر روزه در حال پيشرفت هستند ،مانند
پايگاههاي اطالعرساني تحت وب که امروزه ميلياردها نمونه از آن را در شبکه جهاني اينترنت شاهد
هستيم.
وجود اين همه امکانات با قابليتهاي متعدد باعث شده افراد در موقعيتها وشرايط کاري مختلف
به منظور افزايش کارايي فعاليتها خدمات آنها را به کارگيرد .امروزه دولتمردان ،دانشمندان ،دانش
پژوهان ،تجار و اصناف و به طور کلي هرکسي که کمترين آشنايي با فضاي سايبر 1و امکانات بيشمار آن
دارد ،بدون هيچ دغدغهاي اصطالحات ترکيبي با پسوند الکترونيکي را به کار ميبرد .اما کمتر کسي به اين
مسأله بسيار مهم ميانديشد که در وراي هريک از اين اصطالحات ،دنيايي از اطالعات دودويي شده با
ارزش و بعضاً حساس و حياتي وجود دارد که بايد با برنامه ريزي صحيح و اساسي آنها را به اين دنياي
در نتيجهگيري حاصب از بخش قبل معلوم گرديد که تحول اساسي در فنآوري اطالعات و
ارتباطات به لطف پيدايش شبکههاي رايانهاي و اتصال آنها به يکديگر از طريق ارتباطات الکترونيک بوده
است .در اين بخش ،زيرساخت اصلي اين شبکهها ،يعني مراکز داده ،که در واقع زيربناي اصلي فنآوري
1
Cyber Space
صفحه 34از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
همان طور که اشاره شد کاربرد اوليه سيستمهاي رايانهاي عمدتاً در ذخيره اطالعات و پردازش
محدود آنها خالصه ميشد و به تدريج از قابليتهاي ديگري بهره مند شدند .به طور کلي ،ميتوان اين سير
اين دهه که مقارن با پيدايش ابررايانهها بود ،سيستمهاي رايانه اي ،محلي براي نگهداري و پردازش
اطالعات مشتريان بودند که البته به صورت خارج از خط 1و از طريق رسانههايي چون نوار و ديسکت با آن
اين دهه که مقارن با پيدايش رايانههاي کوچک بود ،سيستمها به صورت گسترده در ذخيرهسازي
دادهها ،پشتيباني و پردازش دادهها مورد استفاده قرار ميگرفتند .اما هنوز مشکل اصلي ،يعني ارتباط با
يکديگر براي تبادل دادهها يا راه اندازي يک مرکز اصلي و امکان تعامل برخط 2با آن وجود نداشت.
که مقارن با ظهور شبکههاي رايانهاي و ارتباط جهاني آنها با يکديگر از طريق ارتباطات
الکترونيکي است .به اين ترتيب ،عالوه بر نگهداري و پردازش حجم عظيم دادهها ،به دليل برقراري خطوط
دسترسي پرسرعت ،امکان ارائه انواع خدمات ميسر گشت که مالحظه کرديم از مهم ترين آنها امکان ذخيره
سازي دوردست اطالعات و همچنين ارائه انواع خدمات شبکهاي تحت وب است.
با توجه به مطالب گفته شده ،تأسيسات عظيم شبکههاي الکترونيکي را که در سطوح کالن به ارائه
انواع خدمات شبکهاي ميپردازند و مراکز داده ناميده ميشوند را ميتوان چنين تعريف کرد:
1
Offline
2
Online
صفحه 35از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
الف) با امنيت فيزيکي و الکترونيکي باال ،برخوردار از پهناي باند ارتباطي وسيع ،متصل به
ب) داراي انواع تجهيزات سختافزاري(رايانهها ،کليدها ،مودمها ،و مسير يابها )...1و نرمافزاري
( پايگاه داده ،سرورها ،سيستم عامل ،و )...پيشرفته که از پشتيباني و نگهداري حرفهاي و تمام وقت
برخوردار است.
ج) به پشتيباني و ارائه انواع خدمات مرتبط با اطالعات و دادهها از قبيل خدمات ذخيره ،نگهداري و
بازيابي دادهها ،ERP ،ميزباني خدمات اينترنتي ( ،)ISPميزباني خدمات کاربردي ( ،)ASPميزباني
برونسپاري 2خدمات و غيره براي کليه اشخاص حقوقي و حقيقي دولتي و غير دولتي ميپردازد».
با عنايت به اين تعريف در مييابيم مراکز داده مجموعهاي عظيم از سيستمهاي سختافزاري و
نرمافزاري هستند که در تأسيسات کامالً مجهز و پيشرفته قرار دارند و در آنها تعداد زيادي پرسنل مجرب و
متخصص در حوزههاي متنوع مشغول به کارند .به طور کلي ،عمده خدماتي که اين مراکز ميتوانند ارائه
خدمات عمومي مانند ميزباني وب ،پروتکل انتقال فايل( ،)FTPمحيط گاپ ،خاادمات نااام دامنااه •
3
( ،)DNSپست الکترونيک ،انباشت موقت
خدمات دسترسي باند پهاان ،ماننااد xDSL ،Ethernetجهاات دسترسااي بااه مراکااز داده از طريااق •
4
خدمات هم مکاني •
1
Routers
2
Outsourcing
3
Caching
4
Colocation
صفحه 36از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
خدمات دسترسي به مراکز داده از طريق شبکههاي رايانه اي ،مانند اينترنت •
ب ديهي است اين حجم از تجهيزات و تنوع خدمات از عهده يک يا چند سرور واقع در يک مکان
غير استاندارد بدون پرسنل فاقد تجربه و تخصص خارج است .شکل 1نمايي از يک مرکز داده است.
1
Virtual Private Network
صفحه 37از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
اگر از مراکز داده استفاده نشود و هر سازماني بانک اطالعاتي خود را در شبکه داشته باشد ،به
تعداد سازمانها نياز به تيم پشتيباني جداگانه ،نرمافزار جداگانه ،سختافزار جداگانه ،پهناي باند جداگانه،
به نظر ميرسد ايدة مرکز داده به دليل تأمين کارايي و امنيت باال و جلوگيري از افزونگي ،سهولت
نگهداري و مديريت و بسياري جنبههاي فني ديگر در تحقق اهدافي همچون دولت الکترونيکي ،ايدهاي
کارساز باشد.
صفحه 38از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
با توجه به اين که مراکز داده محل نگهداري و پردازش انواع اطالعات ارزشمند و بعضاً حساس و
حياتي هستند ،بايد از آنها در برابر انواع تهديدها و باليا محافظت کرد .چرا که در صورت بروز يک حادثه
جزئي ،ممکن است خسارات جبران ناپذيري ،به ويژه به دادهها و اطالعاتشان وارد آيد ،با توجه به اهميت
موضوع ،بحث امنيت اين مراکز از دو جهت مورد توجه قرار گرفته است :امنيت فيزيکي و امنيت ديجيتال
2-5امنيت فيزيکي
در اين جا سعي ميشود با بررسي کليه جوانب از تحقق هرگونه تهديد فيزيکي يا آسيب هاي ناشي
از بالياي طبيعي جلوگيري شود .لذا در سه مرحله تمهيدات امنيتي به اجرا در مي آيد:
ب) هنگام ايجاد مرکز داده (طراحي ايمن و پيش بيني کليه شرايط)
ج) پس از ايجاد مرکز داده (مراقبت دائم) براي مثال ،در خصوص انتخاب محل بايد ميزان خطر پذيري
در برابر بالياي طبيعي مانند سيل ،طوفان ،ريزش کوه و زلزله ،آسيب پذيري از آلودگي هاي خاك و
هوا ،ميزان و نحوه رفت و آمد افراد به آن مکان و ميزان و نحوه دسترسي آنها مورد توجه قرار گيرد.
تأمين برق نبايد با هيچ مشکلي مواجه باشد و پرسنل امنيتي بايد با برخورداري از آموزشهاي
تخصصي الزم و همچنين امکانات مجهز به طور تمام وقت به مراقبت از مراکز مشغول باشند.
صفحه 39از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
همان طور که اشاره شد ،مراکز داده به عنوان مخازن بزرگ اطالعات از طريق خطوط پر سرعت و
مطمئن الکترونيکي با فضاي سايبر ارتباط دارند و اغراق نيست اگر بگوييم اين خطوط رگ حيات اين
مراکز محسوب ميشوند .زيرا آنها هستند که به اين مراکز موجوديت بخشيده و امکان ارتباط آنها با دنياي
خارج را فراهم مي نمايند .با اين حال نبايد از ياد برد که اين خطوط به اندازه اهميتشان خطر ساز نيز هستند.
شايان ذکر است ،عمده تهديدات عليه مرکز داده به شکل الکترونيکي و در قالب تعرضات الکترونيکي
فيزيکي صورت گيرد .زيرا همان طور که بارها تأکيد شده ،ارزش هستند و به ندرت اتفاق مي افتد تعر
واقعي اين مراکز به اطالعات ذخيره شدشان است .لذا قاعدتاً بايد هدف از تهاجم به آنها نيز لطمه به
اطالعات باشد .حال وقتي مي توان از دوردست ترين نقاط اين کره خاکي و در آرامش خاطر اين مراکز را
مورد تهديد جدي قرار داد ،دنبال کردن تهديدات فيزيکي عاقالنه به نظر نمي رسد.
به اين ترتيب به دليل وجود اين حساسيتها تمهيدات امنيتي الکترونيکي نيز بسيار جدي گرفته شده و
حتي نسبت به تمهيدات فيزيکي نيز از تنوع و همچنين روز آمدي بسيار بيشتري برخوردارند .زيرا فنآوري
اطالعات و ارتباطات به طور مستمر در حال تحول و پيشرفت است و متعرضين الکترونيکي همواره به
در هر حال برخي مکانيزمهاي اصلي که در اين راستا انجام مي شود عبارتند از:
1
نصب سيستم ترميم خرابي •
مراجع2-7
1
Disaster Recovery System
صفحه 41از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
فصل سوم:
در اين فصل به طور خالصه به کارهاي انجام شده درباره مراکز داده در ساير کشورها پرداخته مي
شود.
کشور آمريکا به علت پيشرو بودن در فنآوري اطالعات ،و نيز به سبب حاکميت بر بستر اصلي
اينترنت ،از نخستين کشورهاي داراي مرکز داده بوده و در حال حاضر نيز بيشترين و بزرگترين مراکز داده
دولت امريکا به منظور ارتقاي ضريب ايمني مراکز اطالعاتي خود بانکهاي اطالعاتي و
کارگزاران شبکه خود را در مکانهاي با ضريب امنيتي باال نگهداري ميکند .بعضي از اين اماکن
محوطه هاي وسيعي در اعماق کوههاي راکي ،در نقاط پنهاني از اعماق صحراهاي نوادا وآريزونا ،در زير
اين نقاط با شديدترين تدابير امنيتي حفاظت ميشوند .از طرف ديگر پيشبينيهاي ايمني تهديدات
فيزيکي ،از جمله آتش سوزي و بالياي طبيعي را به حداقل رسانده است .تجهيزات حفاظتي ،امکان دستبرد
و يا آسيب هوشمندانه فيزيکي را کاهش داده است .در اين اماکن خطوط متعدد فيبرنوري با پهناي باند باال
باالترين سرعت انتقال داده و اطالعات را تأمين ميکنند .تجهيزات پرسرعت مانند سوپر کامپيوترها ( Main
)Frameو پردازندههاي بسيار سريع و موازي باالترين سرعت دسترسي را در اختيار ميگذارند .سيستمهاي
پيشرفتة تنظيم دما و حرارت ،تنظيم رطوبت و کنترل ترکيبات هواي محيط بهينهترين شرايط را براي کار
تجهيزات مهيا ميسازند و تجهيزات مانيتورينگ دقيق ،لحظه به لحظه وضعيتهاي مختلف را کنترل و
بازنگري ميکنند .بناهاي مستحکم در اعماق زمين نه تنها توان تحمل شديدترين زلزلهها را دارند ،بلکه در
مقابل قويترين بمبهاي هستهاي موجود آسيبي نميبينند .سيستمهاي پشتيبان ،از اطالعات در فواصل زماني
صفحه 43از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
مشخص بر طبق آخرين تکنيکهاي موجود نسخههاي پشتيبان تهيه ميکنند .ژنراتورها و مولدهاي پشتيبان
برق ،1آمادة تأمين نيروي برق الزم در صورت بروز اختالل ميباشند و پوششهاي مخصوص ،تجهيزات را
از تهديد امواج مختلف از قبيل امواج ماکروويو و يا ميدانهاي الکترومغناطيسي خارجي يا توليد شده از خود
قسمت هواشناسي نيروي هوايي و نيروي دريايي در نيواورلئان و لس آنجلس در نوامبر 1951در
هم ادغام شدند و مرکز جديدي در آشويل 2به نام مرکز ملي مدارك هوايي )NWRC( 3به وجود آمد.
فعاليت اين مرکز در ابتدا به صورت پراکنده بود .با قدرتمندتر شدن کامپيوترها کنترل کيفيت ،جمع آوري
و انتشار اطالعات هواشناسي با هزينه کمتر در يک مکان واحد ،مقرون به صرفه و ممکن گرديد .در ژوئن
NWRC 1970به مرکز ملي آب و هوا )NCC( 4تغيير نام داد تا عنوان کاري آن بهتر بتواند فعاليتهاي اين
اداره را نشان دهد .دو سال بعد اين مرکز شروع به جمع آوري دادهها از ماهوارههاي هواشناسي کرد و
پس از چند سال ،اداره ثبت و بايگاني ملي اين کشور ،مرکز داده ملي آب و هوا 5را به عنوان
آژانس مرکزي ثبت آب و هوا طراحي کرد و باالخره در سال NCC ،1984به NCDCتغيير نام داد .نام
اين مرکز دقيقاً مبين نقش آن بود (يعني مرکز دادههاي آب و هواي ملي) .دادههاي NCDCتوسط جاهاي
ديگري مثل سرويس هواشناسي امريکا ،سرويس نظامي ،اداره هوانوردي ملي و گارد ساحلي و همچنين
افراد داوطلبي که به صورت تحقيقاتي روي آب و هوا کار ميکنند فراهم ميشود NCDC .همچنين
1
UPS
2
Asheville
3
National Weather Records Center
4
National Climate Center
5
National Climate Data Center
صفحه 44از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
جمعآوري و پردازش اين همه داده در زماني معقول ،کاري است که NCDCاکنون انجام
ميدهد NCDC .اکنون دادههايش را از تمام جهان ميگيرد .اين مرکز اکنون از بيش از 150سال گذشته
داده در دست دارد و هم اکنون 224گيگابايت اطالعات جديد هرروز دريافت ميکند NCDC .اکنون
320ميليون صفحه اطالعات کتبي 2/5 ،ميليون ميکروفيش 1/2،پتا بايت 1اطالعات ديجيتالي وعکسهاي
ماهواره اي از سال 1960تاکنون از کره زمين را در يک محيط ذخيرهسازي عظيم نگهداري ميکند.
همچنين 2/1 NCDCميليون کپي اطالعات آب و هوايي را نيز براي مشترکان و 33000کاربر خود ارسال
ميکند NCDC .همچنين 500مجموعه ديجيتالي دارد که حدود 2ميليون درخواست در سال دارند و 100
ميليون بازديد کننده در سال از وب سايتش بازديد ميکند NCDC .همچنين با موسساتي مثل 2ICSUو
در ادامه بررسي وضعيت مراکز داده در کشورها در اين بخش به بررسي وضعيت کشور هند مي
پردازيم.
دولت هند در جهت ارائه خدمات دولتي به صورت مجتمع و با هزينه اي مناسب به شهروندانش،
طرح دولت الکترونيکي ملي 4را تهيه نموده است .اين طرح شامل 26پروژه کالن مرکزي ،ايالتي و مجتمع
همراه با 8مولفه پشتيباني براي مقدمه سازي ايجاد دولت الکااااترونيکي در هند مي باشد .در طرح دولت
الکترونيکي ملي هند جهت ارائه خدمات به صورت تحت وب و همچنين دسترسي به اطالعات به صورت
هر زمان و از هر کجا ،از 3مؤلفه اصلي استفاده شده است ،که شامل موارد زير مي باشد:
1
براي تصور اين عدد يک 10با 15تا صفر جلوي آن در نظر بگيريد.
2
International Council for Science Union
3
World Data Center
4
National E-Government Plan
صفحه 45از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
الف) اتصال :شبکه هاي گسترده ايالتي ) (SWAN1و شبکه سراسري NICNET2
اتصال شبکه هاي گسترده ايالتي SWANو شبکه سراسري NICNET 1-2-3
مرکز انفورماتيک ملي هند 5از حوزه تکنولوژي اطالعات ،ارائه دهنده ستون فقرات شبکه و پشتيبان
دولت الکترونيکي به دولت مرکزي ،ايالتها ،بخشها و ساير بدنه هاي دولت مي باشد .اين بخش عرضه
کننده محدوده وسيعي از خدمات ICTاز جمله شبکه ارتباطي سراسري مي باشد که بهبود برنامه ريزيهاي
محلي در ارائه خدمات دولتي و شفافيت وسيعتر دولتهاي محلي و ملي را باعث مي شود NIC .کمک
ميکند که در اجراي پروژههاي اطالعات ،همکاري نزديکي بين دولت مرکزي و دولتهاي محلي ايجاد
شود NICNET .يک شبکه ICTسراسري است که در حوزه هاي دولت مرکزي و 35ايالت و 602
دولت هند در مورد مراکز داده عنوان کرده است که از آنجا که فرآيندهاي کسب و کار و
خدمات شهروندان به طور روز افزوني بر روي شبکه انجام مي شود ،نياز به حفاظت از داده ها همراه با
1
State Wide Area Networks
2
Nationwide ICT Network
3
State Data Centers
4
Common Services Centers
5
National Informatics Center
صفحه 46از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
پشتيباني کارآمد و وجود راه حلهاي بازيابي اطالعات بيشتر احساس مي گردد و لذا تهيه يک زير ساخت
• دسترسي باال
جهت برآورده کردن نيازهاي فوق ،در NICطرح مراکز داده اينترنت در ،NICHQدهلي نو و
30مرکز داده کوچک در ايالتهاي مختلف تهيه شده است که خدمات مورد نياز را به موجوديتهاي دولت
برساند.
مراکز داده اينترنت NICمتشکل از مديريت سيستمها به صورت شبانه روزي باشد که پرسنلي که
در حوزه هاي مختلف قرار گرفتهاند شامل راهبران سرورها و بانکهاي اطالعاتي اينترنت و مديريت سيستمها
ميباشند که نتيجه آن يک محيط فني و فيزيکي است که باعث پشتيباني قابل انعطاف و قابل اطمينان
نيازهاي کاربران در رابطه با سيستم هاي مهم يا برنامه هاي کاربردي خواهد شد.
مرکز داده اصلي در دهلي قراردارد که طرح آن طوري تهيه شده که ظرفيت نگهداري بيش از 1000
سرور و پشتيبان سطح گسترده اي از تکنولوژيها را داشته باشد .تنوع گسترده سرورها در مرکز داده باعث
مي شود که محدوده وسيعي از سرويسهاي پايهاي و مهم اينترنت به سازمانها و حوزه هاي دولت در سطوح
مختلف از دولت مرکزي تا ايالتها ارائه گردد .نکات مهم در رابطه با اين مرکز داده شامل موارد زير است:
شبکه حوزه ذخيره سازي 1که شامل تقريباً 400سرور موجود با امکان باايش از 110 TBفضاااي •
1
Storage Area Network
صفحه 47از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
سرويسهاي در محاال شاارکت : CO-location Servicesکااه زياار ساااخت کاماال شااامل راك، •
صفحه 48از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
اتصال شبکه ،اتصاالت فيبري ،سيستمهاي ،UPSامنيت فيزيکي و شبکه و امکااان مانيتورينااگ
ارائه مي شود.
سازمانها و موسسات دولتي ارائااه مااي گااردد کااه باايش از 3500وب سااايت و پورتااال ميزباااني
ميشود .در اين خدمات امکان ميزباني وب ،برنامه هاي کاربردي و بانک اطالعاتي بااه صااورت
ميزباااني بانااک اطالعاااتي :خاادمات ميزباااني بانکهاااي اطالعاااتي اوراکاال MS SQL Server •
خدمات ذخيره سازي :ظرفيت فعلي ذخيره ساز ي 60 TBمي باشد که باار روي يااک RAID 5 •
خدمات تهيه نسخه پشتيبان :امکان تهيه نسخه هاي پشتيبان متنوع به طور خودکار وجود دارد. •
1
خدمات پخش از طريق وب •
اما طرح CSCاز طرف دولت هند جهت ارائه خدمات شخصي و اجتماعي دولت به متقاضيان در
هر جاي کشور از جمله روستاها تهيه شده است .هدف از اين طرح توسعه يک محيط است که دولت را
قادر سازد خدمات شخصي و اجتماعي مورد نياز همه اقشار جامعه را در دورترين نقاط کشور به طور مبتني
1
Web Casting
صفحه 49از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
دولت هند جهت ارائه خدمات خود به شهروندانش زيرساختي متشکل از شبکه هاي گسترده ايالتي
و يک شبکه سراسري جهت ارتباطات ،بانک داده ملي و مراکز داده ايالتي و ايجاد مراکز خدمات عمومي
را برنامه ريزي نموده است .از طرفي با توجه به موقعيت و بازار مناسب کشور هند در منطقه شرکتهاي مهم
را به سرمايه گذاري در زمينه راه اندازي مراکز داده در اين کشور ترغيب نموده است که از آن جمله مي
توان به شرکت گوگل اشاره نمود .شرکت گوگل جهت راه اندازي يک مرکز داده در هند پروژهاي يک
در مالزي شرکتهاي خصوصي زيادي مانند IDC works, exabytesدر زمينه ارائه خدمات
مراکز داده فعاليت مي کنند اما در رابطه با سياستگذاري و استراتژي دولت مالزي در زمينه مراکز داده و
وضعيت مراکز داده دولتي در مالزي ،علي رقم جستجوهاي بسيار ،مستندات خاصي يافت نشد.
کشور انگلستان از جمله کشورهاي محسوب مي شود که از قدمت طوالني در راه اندازي و بکارگيري
مراکز داده براي کاربردهاي مختلف از هواشناسي گرفته تا انجام پردازش هاي پيچيده نجومي برخوردار
است.
از جمله مراکز داده که به منظور انجام مطالعات بر روي وضعيت اتمسفر و شرايط جوي راه اندازي و در
حال حاضر نيز مورد استفاده قرار مي گيرد مي توان به BADCيا British Atmospheric Data Center
صفحه 50از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
اشاره نمود .اين مرکز داده با ايجاد تمرکز در داده هاي جوي ،امکان دسترسي و تفسير آسان داده ها را براي
يکي ديگر از حوزههاي کاربردي جالب براي مراکز داده در انگلستان و ساير کشورهاي اروپايي مدرن و
پيشرفته نگهداري اطالعات پزشکي مردم کشور انگلستان مي باشد .اين اطالعات شامل تصاوير مختلف
راديولوژي ،سيتياسکن ،نوارهاي قلب ،مراجعات مختلف مردم به پزشکان و تجويزات صورت گرفته از
سوي مراکز درماني مي باشد .اين مراکز بر خالف ساير مراکز که از حجم پردازشي به مراتب باالتري
برخوردار مي باشند عمدتاً براي اهداف ذخيره سازي و ايجاد تمرکز در اطالعات پزشکي افراد مورد
استفاده قرار مي گيرد .نبايد غافل از اين موضوع هم شد که نسخههايي از اين مراکز داده براي انجام
پردازشهاي نسبتاً پيچيده از قبيل نحوه تعامل افراد با مراکز خدمات درماني ،فرآيندهاي مختلف درباره
کيفيت خدمات درماني ارائه شده و ميزان رضايتمندي مردم از اين مراکز مورد استفاده قرار ميگيرند .از
جمله مراکز داده که براي اين منظور در اين کشور مورد استفاده قرار گرفته است مي توان به IMPAX
اشاره نمود که از جمله قابليت ها و امکانات آن مي توان به موارد زير اشاره نمود:
• امکان دسترسي پيوسته و يکجا به کليه سوابق پزشکي ،تصاوير پزشکي بيمار توسط متخصص
اين مرکز داده استراتژيهاي مختلفي را براي ذخيره سازي اطالعات و داده ها پشتيباني مي کند که از آن
اين کشور نيز با راه اندازي مراکز مختلف داده سعي در به خدمت گرفتن قابليت هاي مراکز داده در
کاربردهاي مختلف بخصوص در حوزه پردازش بوده است .مراکز پردازش با بهره وري باال که نام ديگر
اين مراکز داده محسوب مي گردد براي طيف گسترده اي از کاربردها مورد استفاده قرار مي گيرد .از جمله
کاربردهاي متصور براي اين مراکز پردازش ،ثبت وقايع مربوط به ايستگاه هاي زلزله نگاري توسط اين
مراکز و انجام پردازش هاي پيچيده به منظور بررسي و پيش بيني احتمال وقوع زمين لرزه در آينده نزديک
است .الزمه تحقق اين مهم ،برخورداري از داده هاي ثبت شده در گذشته و انجام پردازش بر روي مجموعه
داده است.
به عنوان مثال مرکز تحليل داده زلزله نگار ،مرکز داده اي در آلمان است که توسط موسسه فدرال منابع
طبيعي و زمين شناسي که براي انجام مطالعات زمين شناسي آلمان تأسيس شده ،راه اندازي و در حال حاضر
داده هاي تهيه شده و ثبت شده توسط اين مرکز داده ضمن پردازش توسط اين مرکز داده مورد استفاده
ساير آژانس هاي مطالعاتي نيز قرار مي گيرد که از آن جمله مي توان به آژانس هاي زير اشاره نمود:
وبگاه هاي اين مراکز داده نسبت آنان اطالعات جامعتري پيدا نمود.
مراجع3-6
فصل چهارم:
در ايران
صفحه 54از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
در اين فصل به بررسي وضعيت مراکز داده در ايران پرداخته شده است .در ابتدا به
سياستگذاريهاي انجام شده پرداخته شده و سپس به مشکالت موجود و جايگاه ايران در غياب مرکز داده
ملي پرداخته ميشود .در ادامه به اقدامات عملي انجام شده (يا ادعا شده) در اين باره پرداخته ميشود.
چنانچه مشخص است مراکز داده به دليل ساختار و ماهيتي که دارند زير بناي اصلي فنآوري
اطالعات و ارتباطات نوين هستند ،لذا هر کشوري که ميخواهد در اين عرصه فعال باشد و نقش تعيين
کننده اي داشته باشد ميبايست برنامه منسجمي در خصوص رفع نيازمندي نسبت به اين مراکز تدوين نمايد.
در اين راستا و بر مبناي سرفصل هاي مندرج در سند چشم انداز بيست ساله ،ايران کشوري دست
يافته به جايگاه اول اقتصادي در منطقه آسياي جنوب غربي در نظر گرفته شده و با تاکيد بر جنبش نرم
افزاري و توليد علم ،رشد پر شتاب و مستمر اقتصادي به همراه ارتقاء درآمد سرانه از اهداف مهم ميباشد.
لذا قانون برنامه چهارم توسعه اقتصادي ،اجتماعي و فرهنگي کشور به عنوان اولين قانون برنامه پنج
ساله اول چشم انداز 20ساله ،از ابعاد مختلف بر کاربرد فنآوري اطالعات و لزوم تأمين زير ساخت ها و
در بند ب از ماده 44سند مذکور دولت مکلف شده تا با اتخاذ تدابير الزم به منظور کسب سهم
مناسب از بازار اطالعات و ارتباطات بين المللي ،استفاده از فرصت منطقه اي ارتباطي ايران از طريق توسعه
مراکز اطالعات اينترنت ملي و توسعه زير ساخت هاي ارتباطي با تکيه بر منابع و توان بخش هاي خصوصي
سال : 1381ضوابط صدور مجوز ايجاد مجتمع خدمات اينترنت IDCبااه بخااش خصوصااي ،کااه •
صفحه 55از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
اين اقدام شامل تعريف ،مقررات مربوط به واگذاري مجوز مجتمع خدمات اينترنتااي و ماادارك
سال :1383دبيرخانه شوراي عالي اطالعرساني با همکاري پارك فنآوري پرديس همايش نقش •
مراکز داده در توسعه فنآوري اطالعات و ارتباطات را در دي ماه در تهران برگزار کاارد کااه در
پايان همايش ،سند راهبردي مراکز داده کشور و همچنين آيين نامه مرکز خاادمات داده اينترنتااي
نيز منتشر شده که خود گوياي يک اقدام جدي در اين حوزه بوده است.
سال : 1384اعطاي مجوز تاسيس و راه اندازي مرکز داده به سه شرکت خصوصي :داده پردازي •
سال : 1385در شهريور ماه اين سال همايش چشم انداز مراکز داده در ايران در مرکز تحقيقااات •
سااال :1386برگاازاري همااايش بررسااي فنآوريهااا و روشهاااي طراحااي مراکااز داده نااوين و •
سايتهاي پشتيبان در سالن تالش وزارت کار با محوريت ارائه خدمات الکترونيکي ارزش افاازا،
سال :1386مصوبه ارديبهشتماه هيأت دولت مبني بر تخصيص پاانج هاازار و ششصااد و شصاات •
ميليارد ريال از سوي شرکت مخابرات ايران جهت ايجاد شبکه اينترنت ملي به عنوان پيش زمينااه
سال :1386برگزاري مناقصه بين شبکه علمي فاز تهران و مترو اترنت کرمان و قاام بااه ترتيااب بااا •
اعتباري حدود 40ميليارد ريال و 135ميليارد ريال به عنوان بخشي از پروژه شبکه ملي
صفحه 56از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
بهمن ماه :1386برگزاري همايش روابط عمومي الکترونيک در حوزه مااديريت کااالن ICTو •
سال :1386اختصاص 300ميليارد ريال اعتبار از سااوي وزارت ICTدر فاااز اول و طاارح شاابکه •
ملي ديتا به مبلغ 350ميليارد تومان که مقرر گرديااد کااه شاارکت فاانآوري اطالعااات بااه عنااوان
مجري طرح آنرا اجرا نمايد که بعدها بنا به ايجاد تغييرات در وظايف اين شاارك ،مجااري طاارح
بهار :1387مکلف شدن بانک مرکزي براي راهاندازي مرکز دادهاي جهت نگهااداري دادههاااي •
خردادماه :1387نشست تخصصي مرکز تحقيقات استراتژيک مجمع تشخيص مصاالحت نظااام بااا •
اساتيد و کارشناسان دانشگاه با عنوان زيرساختهاي فن آوري اطالعات .در اين نشست جايگاااه
فن آوري اطالعات در کشور به عنوان يکي از فن آوريهاي نوين مورد تأکيااد سااند چشاامانداز
20ساله ايران و اقدامات انجام شده در اين راستا توسط نهادهاي ذيربط براي توسااعه نقااش فاان
آوري اطالعات در ابعاد مختلف اجتماعي و اقتصادي ايران ،مقايسه ايران در اين حااوزه بااا ساااير
کشورهاي حوزه آسيايي جنوب غربي ،و چالشهاي پيش رو مورد بررسي قرار گرفت.
آبان ماه :1387برگزاري همايش مديريت فن آوري اطالعات و ارتباطات با محوريت مااديريت •
با بررسيهاي انجام شده در مورد فعاليتهاي انجام شده و بر مبناي استعالم نظر از مسئولين سه شرکت
داراي مجوز ايجاد مراکز داده در کشور ،مشکالت ايجاد مراکز داده در کشور را ميتوان به طور کلي و به
پهناي باند :در حال حاضر مجموع پهناي باند موجود در کشور حتي به يااک گيگااا بايات هاام •
نمي رسد .البته پيش از نوروز اخباري مبني بر افزايش پهناي باند کشور به دوگيگابايت اعالم شد
اما مجموع اين رقم بازهم براي مراکز داده که ميخواهند بااه ميزبانااان هاازاران وبسااايت و وب
سرويس ريز و درشت ايراني و هاب منطقه تبديل شوند بسيار ناچيز است!
زيرساخت :بااراي راه اناادازي ساارورهاي اسااتاني و ASPهااا بااه يااک زيرساااخت مخااابراتي و •
ارتباطي قوي و ايمن به همراه زيرساخت ذخيره (براي استفاده در مواقع خاص) نياز هساات .بايااد
ديد آيا شبکه زيرساخت مخابراتي کشور بخصوص در بخش فيبر نوري توان جوابگويي بااه اياان
هاب هاي استاني و منطقه اي و برقراري ارتباط بي دردسر بين سرورها را دارد يا نه ؟!
هزينه ها :جز هزينه نصب و راه اندازي ،ديتاسنترها هزينه هاي از قيبل هزينه پهناااي باند،هزينااه •
نگهداري سرور ،هزينه نيروهاي متخصص و پشتيباني شبانه روزي ،هزينه نجومي باارق و سااوخت
(براي تأمين انرژيه الکتريکي در مواقع قطع شبکه سراسااري باارق) و دهااا هزينااه پنهااان و آشااکار
ديگر را در بر دارند .بايد ديد آيا مديران مراکز داده داخل کشور ميتواننااد از پااس هزينااه هاااي
موازي كاري :سه شرکت خصوصي که مجااوز راه اناادازي مرکااز داده در ايااران را دريافاات •
کردند مشکل ديگري هم پيش روي خود دارند و آن رقابت با دولت است :طبق تصميم وزارت
صفحه 58از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
ICTنصب و راه اندازي مرکز داده در ايران طبق مناقصه اي به سه شرکت "خصوصي" واگااذار
شد اما بخش ديگري از حاکميت يعني سازمان تبليغات اسالمي (موسسااه تبيااان) و سااازمان ثباات
احوال کشور بدون توجه به تصميم وزارت ICTو مستقالً اقدام به برگزاري مناقصااه راه اناادازي
IDCکرده اند که اين تضاد و موازي کاري بااه هاار صااورت بااراي بخااش خصوصااي خطرناااك
است.
جذب مشتري :جذب مشتري و قانع کردنش به مهاجرت از سرورهاي فوق پرسرعت خااارجي •
به مراکز داده ايراني بزرگترين مشکل مااديران ساارورهاي داخلااي بعااد از فااائق آماادن باار موانااع
باالست!
امنيت شغلي :امنيت کاري شرکتهاي فعال در اين حوزه اهميت زيادي دارد .متاسفانه در ايران •
همه خود را متولى ITمى دانند و به راحتى بااه خااود اجااازه دخالاات در هاار کااار را مااى دهااد.
کانالهايي بدون محدوديت قانونى همچون شرکتهاي باازرگ مخااابراتي و تجاااري همااواره باارا
سرويس دهندگان اين دل نگرانى را در پااى خواهااد داشاات کااه ممکاان اساات يااک شاابه در راه
فعاليتشان سنگ بزرگى انداخته شود و صبح فردايي همه کسب و کار و سرمايه شان بااه باااد رفتااه
باشد!
امنيت :موضوع امنيت در IDCها از اهميت و جايگاه ويژه اي برخوردار است امااا متأساافانه در •
ايران بحث امنيت در حوزه فنآوري اطالعات جدي گرفته نميشود کااه در صااورت ادامااه اياان
روند آسيب پذيري امنيتي مراکز داده ايراني ميتواند مشکالت و بحرانهاي جدي و کمرشکني
را برايشان به ارمغان بياورد تا جايي که اين فنآوري در نطفه خفه شود .موضوع امنيت فاانآوري
اطالعات و مديريت امنيت سيستم هاي رايانه اي در ايران موضوع نسبتاً تازه ايست اما کم نيستند
صفحه 59از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
نفوذگران ايراني و خارجيي که از حاال براي راه اندازي IDCهاي ايراني لحظه شماري ميکنند تا
در اين بخش از گزارش ابتدا اشارهاي به اوضاع فعلي و فعاليتهاي انجام شده در اين حوزه خواهيم
داشت و در بخش بعدي شرکت هاي فنآور و سپس سازمانها و ارگانهايي که بر اساس اخبار و اطالعات
موجود ،بحث ايجاد مراکز داده در آنها مطرح و فعاليتهايي آغاز شده معرفي و گوشهاي از فعاليتهاي
وضعيت حال حاضر دادههاي الکترونيکي در کشور به گونهاي است که لحظه به لحظه بر حجم آن
افزوده ميشود و هنوز هم اقدام اساسي در مورد ساماندهي آنها صورت نگرفته به طوريکه برون سپاري
فرامرزي که از طريق تعداد زيادي از سازمانها انجام شده وضعيت خطرناك امنيتي را نشان ميدهد.
البته بسياري از نهادها و ارگانها چنين بيان ميکنند که عمده خدمات مرتبط به خوبي در کشور ارائه
نمي شوند لذا خود را ناگزير از استفاده ميزباني در خارج از کشور ميدانند که در اين خصوص بايد مسايل
امنيني مربوطه که پيرو اين ميزباني ها ميباشد مورد توجه قرار گيرند .
با عنايت به مواردي که شرح داده شد و عدم ارائه خدمات مرتبط که به طور صد در صد مطلوب
در کشور انجام نمي شود ،در حال حاضر بسياري از سازمانها از خدمات ميزباني در داخل کشور استفاده
ميکنند که اهميت کاري آنها در رده هاي بااليي قرار دارد .
لذا ضروري است که تمهيدات مناسبي انديشيده شود تا بتوان امکانات الزم را براي سرويس دهي
اقدامات انجام شده در کشور در راستاي راه اندازي مرکز داده را ميتوان از دو جنبه کلي مورد
بررسي و مطالعه قرار داد که از يک بعد به فعاليت شرکت هاي فنآور و مجري و از سوي ديگر به
درخواست ها و فعاليتهاي سازمانها و ارگانهاي متقاضي ميتوان اشاره نمود که برخي از آنها عبارتند از :
در حال حاضر اين شرکت اعالم داشته است که امکانات فيبرنوري ،ارتباطات کابلهاي مخابرات،
خطوط E1آماده شده و امنيت فيزيکي و امنيت اطالعات بهروزرساني شده است .همچنين سرويسهاي
ميزباني وب ،ايميل ،سرور اختصاصي و تخصيص فضاي ديتا نيز ارايه ميشود 70 .درصد ميزباني سايتهاي
اين شرکت مربوط به سايتهاي غيرخصوصي است و بيش از هزار ايميل نيز ميزباني ميشود که از گذشته
وجود داشته اما اکنون به مرکز جديد در حال انتقال است .در حال حاضر سقف ارايه سرويس دادهپردازي
بررسي کلي اين طرح نشان داد که شرکت مذکور جنبه هاي مختلف امنيتي را در نظر گرفته و در
بخش زير ساخت به امنيت اطالعات و سطوح دسترسي توجه داشته است .ضمناً اين شرکت مجوز مربوط به
با عنايات به اينکه ظرفيتهاي تعيين شده از سوي وزارت ارتباطات و فنآوري اطالعات که در
مرحله پايلوت تعيين شده بود شامل 50هزار سايت 150 ،هزار ايميل و 10ترابايت فضاي ذخيرهسازي است
صفحه 61از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
شرکت فنآوا در فاز پايلوت 75هزار ميزباني سايت 300 ،هزار ميزباني ايميل و 12ترابايت فضاي
در حال حاضر حدود هفت هزار ايميل و 400سايت در فنآوا ميزباني ميشود که حدود 90درصد
اين شرکت پس از فاز پايلوت که از سوي وزارت ارتباطات تعيين شده بود سايت اصلي را
راهاندازي نمودکه در يک برنامه چهارماهه به فاز نهايي رسيد و در اين فاز دو سرويس به خدمات فاز
پايلوت اضافه شد که شامل "سرور اختصاصي"و"فضاي اشتراکي" بود اما ٰ "شبکه مجازي اختصاصي" و
فضاي ذخيرهسازي در اين IDCبه 20ترابايت رسيده که قابليت توسعه به پنج برابر و در واقع صد
برابر را نيز دارد .ليکن بر اساس نياز و تقاضاي مشتري فضاي ذخيرهسازي قابل افزايش است.
خدماتي که در حال حاضر توسط اين شرکت ارايه ميشود شامل ميزباني ،سرور اختصاصي و
ظرفيت فعلي مرکز داده ميزباني بيش از 40هزار سايت با ظرفيت متوسط 100مگابايت به ازاي هر
سايت و امکان ارايه حداقل 400هزار صندوق پستي با ظرفيت متوسط 10مگابايت به ازاي هر صندوق150 ،
رك براي خدمات فضاي اختصاصي ،تعداد 60سرور اختصاصي ،مجموع فضاي ذخيرهسازي به ميزان 9
ظرفيتهاي فاز بعدي ميزباني بيش از 320هزار سايت با ظرفيت متوسط 100مگابايت به ازاي هر
سايت و امکان ارايه حداقل پنج ميليون صندوق پستي با ظرفيت متوسط 10مگابايت به ازاي هر صندوق،
صفحه 62از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
150راك براي خدمات فضاي اختصاصي ،تعداد 800سرور اختصاصي و مجموع فضاي ذخيرهسازي به
خدمات ارزش افزوده براي استفاده کاربران در اين مراکز داده در نظر گرفته شده است که شامل
امکان برخورداري از ديواره آتش اختصاصي و اشتراکي ،امکان دسترسي به فضاي ذخيرهسازي از طريق
اين در حالي است که قيمت خدمات ارايه شده به داليل جديد بودن ،تنوع و ويژگيهاي هر
تا زمان تنظيم اين گزارش ،اين شرکت سرويسهاي پايه را با حداقل ميانگين قيمت 30هزار تومان
ارايه ميکند و در حال حاضر نيز حدود 40درصد از مشتريها را ارگانهاي دولتي تشکيل ميدهند.
همچنين اين شرکت موفق به راه اندازي طرح پايلوت مرکز داده خود شده است و در حال ساخت يک
مرکز داده استاندارد در شهرك پرديس ميباشد که در حال حاضر و به دليل عدم حمايت هاي دولتي و بر
مبناي اظهارات مدير اين شرکت در همايش چشم انداز مراکز داده در ايران که در تاريخ 1385/6/28در
مرکز تحقيقات مخابرات ايران برگزار شد از ايجاد بزرگترين مرکز داده خاورميانه اظهار پشيماني نموده
است.
اخيراً در اين مرکز پروژهاي تحقيقاتي تعريف شده است که در اين رابطه رياست مرکز ،آقاي
دکتر محامد پور از راهاندازي پايلوت مرکز داده مرکز تحقيقات مخابرات ايران خبر داده و اظهار داشت :با
توجه به آن که يکي از اجزاي اصلي اينترنت ملي IDC،ملي است اين مرکز نسبت به راهاندازي IDC
داخلي اقدام کرده است که مطالعات مفهومي و اوليه نرمافزارهاي آن به پايان رسيده است و تا اواخر
صفحه 63از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
ارديبهشت ماه سال 86ميتواند مجموعه کامل از انواع سرويسها را ارائه دهد .در ادامه در اواخر خرداد 86
هم اعالم شد که مرکز داده به صورت پايلوت و آزمايشي راهاندازي شده است .با اين حال تالش ما براي
کسب اطالعات بيشتر درباره جزئيات فني و نيز سرويسهاي ارائه شده به جايي نرسيده است.
اواسط آذر 83مهندس رضا رشيدي مديرعامل شرکت ارتباطات دادهها گفت :طرح ميزباني
داخلي و در حقيقت همان شارع 2تا يک ماه آينده راهاندازي شده و به بهرهبرداري ميرسد ،اين طرح
آزمايشي است و در واقع يک پايلوت محسوب ميشودکه بر مبناي اطالعات واصله از آن شرکت که در
جوابيه نامه مهرماه 1385مرکز پژوهش هاي مجلس بوده است ،استفاده از امکانات اين مرکز داده به
در مهرماه 1385مجري طرح اتوماسيون سازمان تأمين اجتماعي چنين اعالم داشته که طي هدف
گذاري 5ساله و کسب مجوز از وزارت ارتباطات ،حجم اطالعات سازمان تأمين اجتماعي را از طريق مرکز
با توجه به موارد مهم امنيت ،سرعت ،سهولت و دسترسي وسيعتر مخاطبين به سازمان براي خدمات
و اطالعات ،ايجاد ديتاسنتر به عنوان برنامه اي پر اهميت قلمداد شده است.که در اين رابطه فعاليتهايي
رئيس کميته انفورماتيک معاونت فني سازمان صداوسيما در شهريور ماه سال 1384چنين اعالم
نموده که صدا و سيما از طريق شرکت سروش رسانه و با توجه به استاندارد بودن وضعيت مرکز داده و
امنيت فوقالعاده باال ،قابليت ميزباني وبسايتهاي دولتي را دارد اما اين قابليت به معناي اجرايي شدن آنها
نيست.
اين مقام مسئول با اشاره به بخشنامه رياست جمهوري مبني بر غيرقانوني بودن ميزباني سايتهاي
دولتي در خارج از کشور اظهار داشته است که اگر مسئوالن سياستگذار ITاقدام به انتقال ميزباني
سايتهاي دولتي به داخل کنند ،سازمان صدا و سيما از نظر فني آمادگي الزم را دارد و با توجه به استاندارد
بودن سيستم ،با تکيه عمده خود بر روي راهحلهاي ايراني از امنيت اطالعات و پهناي باند کافي برخوردار
هستيم و تا راهاندازي مراکز داده ملي به عنوان راه حل مياني حاضر به همکاري با مخابرات در پروژه شارع
2هستيم و از سوي ديگر سيستم ما به دليل ايراني بودن ديوار آتش و بوميبودن آن ،از نظر امنيت کمتر
دچار مشکل خواهد بود ،چرا که ثبات و پايايي داخل کشور به مراتب بهتر از خارج از کشور است.
4-12نتيجه گيري
با نگرش به موارد مطروحه در اين گزارش چنين مينمايد که اصل ضرورت ايجاد مرکز داده به
صورت متمرکز و يا غير متمرکز ،ملي يا سازماني مورد تاييد مسئوالن ميباشد و فعاليتهايي هم در اين زمينه
صورت گرفته و الزم است خدمات مهمي مثل ميزباني سايت سازمانها و نهادهاي مهم کشورکه در هر لحظه
بر اهميت امنيتي آنها افزوده ميشود در داخل کشور انجام شود تا از وابستگي هايي که داراي مشکالت
امنيتي ،عدم استفاده از نيروي انساني و منابع داخلي و ......ميشود جلوگيري نماييم.
صفحه 65از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
در حال حاضر چنين به نظر مي رسد که کليه شرکت هايي که در مورد راه اندازي مراکز داده
توانمند و يا مدعي هستند هنوز فرصتي پيدا نکردهاند که در اين خصوص به صورت عملياتي پروژه اي را
شروع نمايند تا ميزان توانمندي آنان مشخص شودکه داليل ذيل مي توانند در اين امر قابل بررسي باشند:
عدم درك فني صحيح کارفرمايان دولتي و خصوصي در مورد لزوم پياده سازي مراکااز داده در •
پرهزينه بودن پروژه هاي مربوط به راه اندازي مراکز داده •
طرح ادعاي توانمندي راه اندازي مراکز داده توسط بعضي شرکت ها که شايد در بعضي پااروژه •
هاي مرتبط تاکنون موفق عمل نکرده اند و عدم ايجاد فضاي توانمندي فني براي کارفرمايان.
عدم واگذاري امکاناتي کااه وزارت ارتباطااات و فاانآوري اطالعااات بااه شاارکتهاي مجاااز راه •
4-13مراجع
] [ 1گزارش مرکز پژوهشهاي مجلس – تهيه شده در گروه ارتباطات و فنآوريهاي نوين
http://www.ICTna.ir
] [ 3گزارش مورخه 1384/2/13در سايت
http://www.iTanalayze.ir
] [4بهار اميري -مرکز دادههاي ايراني -گزارش مورخه – 1385/7/1بزرگراه فنآوري
صفحه 66از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
http://www.ITNA.ir
] [6سايت روزنامه توسعه – تاريخ 1385/10/20
تاريخ 1386/12/25
فصل پنجم:
معماري هاي
مراکز داده
صفحه 68از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
مراکز داده جهت در بر گرفتن تجهيزات ،اطالعات و برنامه هاي کاربردي حساس در فضايي کامالً
مطمئن و داراي قابليت گسترش طراحي شدهاند .آنها تحکيم و تثبيت منابع محاسباتي بسيار مهم را در
محيطهاي کنترلي ،تحت يک مديريت واحد فراهم مي سازند و باعث مي شود که تشکيالت اقتصادي و
سازمانهاي مختلف مطابق نيازهاي تجاري و بر طبق زمانبندي هاي دقيق خود عمل کنند.
ايجاد مرکز داده به برنامه ريزي بسيار دقيق و گسترده نياز دارد و اهداف مورد نظر از طراحي يک
مرکز داده بايد واضح باشد تا نيل به آن اهداف امکان پذير شود .معيارهاي طراحي براي هرکدام از سرويس
امنيت •
مراکز داده ،هسته اصلي زير ساخت فنآوري اطالعات براي منابع مهم و حساس مي باشد .ايجاد
مراکز داده يک راه حل مناسب و موثر براي کاهش حدود %50هزينه ITو پيشرفت سريع پاسخگويي به
نيازهاي تجاري مي باشد .بسياري از سازمان هاي فنآوري اطالعات مسئول برآورد نيازهاي زيرساخت
مراکز داده خود براي افزايش بازدهي و همزمان افزايش سطح انعطاف پذيري و مهارت در معامالت تجاري
مي باشد.
صفحه 69از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
بررسي هاي انجام شده بر روي شرکت هايي که به منظور پاسخگويي سريع به نيازهاي تجاري روي
فنآوري اطالعات مسئول برآورد نيازهاي زيرساخت مراکز داده خود براي افزايش بازدهي و همزمان
بررسيهاي انجام شده بر روي شرکتهايي که به منظور پاسخگويي سريع به نيازهاي تجاري روي
فنآوري اطالعات سرمايهگذاري کردند نشان ميدهد ،که کاهش تنوع برنامههاي کاربردي ،سيستمها،
ساختارها و شبکه هايي که مديريت و نظارت آنها پيچيده و پرهزينه ميباشد ،باعث کاهش هزينهها ميشود.
سازمان هاي فنآور ي اطالعات به منظور تحقق بخشيدن به نيازهاي بهينه سازي ،تحکيم و استاندارد سازي
زير ساخت هاي مرکز داده و رسيدن به اهداف استراتژيک خود به وجود آمدند .تنوع و پيچيدگي نيازهاي
تجاري روز باعث ايجاد رقابت براي ارائه خدمات متناسب به منظور افزايش بازدهي مي شود.
در مرحله اول سازمانهاي فنآوري اطالعات بايد امکان ايجاد يک زير ساخت مرکز داده با اين
قابليت را به منظور تعيين يک قالب ساختاري براي محيطهاي متنوع و مختلف را فراهم نمايند .اين توانايي
باعث کاهش از هم گسيختگيها ،افزايش قابليت استفاده موثر و اطمينان از عدم وجود اشتباهات شخصي
ميشود .مراکز فنآوري اطالعات مسئول آموزش و راهنمايي بخش ها و مراکز تجاري ،تداوم طرح و
نقشه ،ارائه راه حل ها و روال هاي تأثير گذار اطالعات و سيستمهاي دور از دسترس مراکز داده براي
پاسخگوئي به نيازهاي تجاري و کاهش خطرات از بين رفتن اطالعات يا زمان هاي تلف شده ميباشد.
براي اطمينان از اينکه مراکز داده و برنامه هاي کاربردي ميزبان و اطالعات قابل اطمينان مي باشد،
متصديان امنيتي بايد بر روي تشخيص مخاطرات داده نظارت کامل داشته و خط مشيهاي امنيتي الزم را
تعيين نمايند .بر مبناي اين خط مشيها ،گروههاي عمليات شبکه و امنيت ميتوانند بر روي امنيت مراکز
داده ،ايجاد محدودههاي امنيتي براي نتايج ارزيابي خطر عمل مينمايند.
صفحه 70از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
5-2ساختار فيزيکي
طراحي مرکز داده نيازمند انجام مطالعات و بررسيهاي گسترده مي باشد .اين مطالعات در زمينه
نيازهاي يک سازمان ،امکانات و تکنولوژيهاي موجود جهت راه اندازي مرکز داده مي باشد .طراحي مرکز
به همين دليل در طراحي آن بايد قابليت ماجوالر بودن ، 1دسترس پذيري و توسعه پذيري در نظر
گرفته شود .هدف اصلي طراحي مرکز داده ارائه سرويسها و خدمات يک سازمان به کاربران و کارکنان
آن سازمان به صورت بهينه ميباشد .محدوده پروژه ،طول عمر مرکز داده ،بودجه تخصيص داده شده از
طرف سازمان در نوع و تعداد تجهيزات موثر مي باشد .البته تخصيص بودجه مراکز داده بايد به گونهاي باشد
که موارد ضروري و مؤلفههاي اصلي اين مراکز حذف نشوند .به عنوان مثال ايجاد سيستم برق اضطراري در
راهاندازي مرکز داده نقش اصلي ندارد ولي از ضروريات ميباشد زيرا قطع برق شهري حتي در مدتي کوتاه
ممکن است خسارات بسياري به سازمان وارد کند .با توجه به اينکه سيستم به صورت 24*7و در تمامي
روزهاي سال حتي روزهاي تعطيل بايد قابل دسترس باشد تهيه تجهيزات پشتيبان ،سيستم برق اضطراري و
در طراحي مرکز داده ،شرايط مورد نياز مکان ،کف کاذب ،زيرساخت شبکه (سوئيچ ها ،روترها،
سرورهاي ترمينال ،منبع تغذيه و کنترل کننده هاي دما و رطوبت) بايستي تعيين شود.
مکاني امن و مطمئن براي قراردادن کامپيوترها ،ذخيره سازها و ابزارهاي شبکه •
1
Modularity
صفحه 71از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
ايجاد محيطي با قابليت کنترل دما جهت ايجاد وضعيت بهينه براي تجهيزات •
در طراحي يک مرکز داده جهت ارائه انواع سرويسها ،الزم است گذشته از ايجاد مکان مناسب
جهت ارائه سرويس ها ساختاري منطقي در نظر گرفته شده بايد قابليت پوشش کليه نيازها را داشته باشد.
هر مرکز داده شامل اجزايي است که هر کدام متناسب با وظايفشان از ساختار خاصي برخوردار
ميباشند .از جمله اين اجزا که در يک مرکز داده متعارف قابل مشاهده است ،مي توان به شبکههاي
Farmها اشاره نمود .براي ارائه خدمات به هريک از اين اجزا الزم است يک زير ساخت ارتباطي ايجاد
شکل 2زيرساخت شبکه فراگير و جايگاه مرکز داده را به همراه مولفههاي آن نشان ميدهد.
صفحه 72از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
Front End
Back End
تعيين ساختار مرکز داده وابستگي شديدي به نوع برنامه هاي کاربردي و بار ترافيک آن دارد .اما
نکته مهم در تعيين ساختار تبديل نيازها به اهداف تعريف شده اي است که به واسطه آن بتوان طرح تفصيلي
يک مرکز داده را تعيين نمود .با توجه به اهميت يک مرکز داده الزم است ساختار آن به صورت اليه اي در
نظر گرفته شود .در هريک از اليه ها مدل هاي مختلفي براي طراحي مطرح ميباشد .در طراحي بهينه مرکز
داده بايد از امکانات هر مدل نهايت استفاده را نمود .به طور مثال در طراحي قسمت هايي از آن استفاده از
شکل 3نشان دهنده اليههاي مختلف دسترسي در شبکه مرکز داده مي باشد که اليه هاي اين طراحي
عبارتند از:
1
اليه تجميع •
2
اليه خط مقدم •
1
Back end
2
Storage
صفحه 74از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
1
اليه عقبه •
2
اليه ذخيره سازي •
3
اليه انتقال شهري •
اهداف طراحي و سرويسهايي که توسط مرکز داده ارائه ميشوند ملزومات ساختمان شبکه مرکز را
تعيين ميکنند که در اين خصوص شکل 4معماري مرجع مرکز داده را به عنوان مدلي براي استفاده
مشخص ميکند.
1
Back end
2
Storage
3
Metro Transport
صفحه 75از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
در ادامه هر يک از اليههاي دسترسي شبکه که در شکل 3به آن اشاره شد شرح داده ميشوند.
صفحه 76از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
5-5اليه تجميع
وظيفه مهم اين اليه برقراي ارتباط بين حوزه سرويس دهندهها و بقيه شبکه مرکز داده بر مبناي
مدل ارائه شده ميباشد .همچنين ايجاد ارتباط بين تجهيزات مرکز داده و پشتيباني از فعاليتهاي اليه 2و 3از
ديگر وظايف اين اليه ميباشد و در مجموع ،فعاليتهاي اين اليه از مدل معماري ارائه شده شامل موارد ذيل
5-6اليه خط مقدم
اين اليه ارتباط با رده اول سرويس دهندهها در بخش سرويس دهندهها را برقرار نموده و سرويس
FTP •
Telnet •
SMTP •
موارد ديگر مثل QoSبستگي به سرويس دهندهها و نوع عملکردهاي آنها دارد .به طور مثال اگر
5-7اليه كاربرد
فعاليتهاي اين اليه گذشته از سرويس دهي در خصوص برنامههاي کاربردي ،ارتباط منطقي بين
اليه خط مقدم و عقبه را نيز شامل ميشود .سرويس دهندههاي اين اليه درخواستهاي کاربران را براي
موارد درخواستي در اين اليه شباهت زيادي به چنين مواردي در اليه Front-endدارند.
بر مبناي لزوم اعمال تدابير امنيتي ،سيستمهاي ديوار آتش ارتباط امن بين يک سري از کاربران و
سرويس دهندهها را با سرويس دهندههاي اليه کاربردي برقرار ميسازند .همچنين سيستمهاي تشخيص
تهاجم انواع ديگر ترافيکهاي موجود را مورد ارزيابي قرار ميدهند .
5-8اليه عقبه
وظيفه اصلي اين اليه برقراري ارتباط با سرويسهاي بانک اطالعاتي ميباشد و تا حدودي همانند
اليه کاربردي عمل ميکند و ارتباط خود با اليه باالتر (سرويس دهندههاي اليه کاربردي) را با استفاده از
همچنين سرويس دهندههاي بانکهاي اطالعاتي در اين اليه ميتوانند از طريق سوييچهاي اليه 2با
در اين اليه عمليات مربوط به ارتباطات سيستمها در شبکه ذخيره سازي توسط کانالهايي مثل فيبر
نوري به عمل ميآيد و اين ارتباطات به کمک سوييچهايي که داراي اتصالهاي فيبر نوري هستند از
سرويس دهندههاي داراي امکانات فيبر نوري به سيستمهاي ذخيره ساز مثل واحدهاي نوارمغناطيسي برقرار
ميشود.
وظيفه اصلي اين اليه انجام عمليات در خصوص برقراري ارتباط پر سرعت بين مراکز داده توزيع
شده ميباشد و به عبارتي اين اليه ارتباط سريع campus-to-campusرا برقرار مينمايد .اين مراکز
داده توزيع شده از تکنولوژي Metro-Opticalبراي ارتباط بين بانکهاي اطالعاتي و سيستمهاي ذخيره
سازي استفاده ميکنند .اتصاالت پرسرعت براي ارتباطات همزمان و غير همزمان استفاده ميشوند.
در شکل 7وضعيت منطقي بين اليه عقبه و اين اليه نشان داده شده است.
صفحه 81از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
Farmها قلب مراکز داده مي باشند .در حقيقت مراکز داده اي جهت پشتيباني از server farmها
بوجود آمدند .اگرچه هر يک از اين server farmها برنامه هاي کاربردي و سرويس هاي خاصي را ارائه
مي دهند اما داراي ساختاري شبيه به يکديگر مي باشند .هر يک از اين server farmها ارائه مي شوند مي
کاربراني که مي توانند به اين سرورها دسترسي پيدا کنند تنها کاربراني هستند که در شبکه اينترانت
قرار دارند .کاربران خارج از اينترانت عموماً به شبکه و سرورها دسترسي ندارند گرچه کاربران داخلي از
اين سرورها همانطور که از نامشان پيداست مستقيماً با اينترنت مرتبط مي باشند .اين نکته مشخص
کننده اين موضوع است که کاربران internet server farmها در مکانهاي مختلفي در اينترنت واقع
شده اند و براي اتصال به اين سرورها از بستر ارتباطي اينترنت استفاده مينمايند .کاربران داخلي نيز به اين
سرورها دسترسي دارند .براي اتصال به اين سرورها از واسط هاي webيا مرورگرهاي webاستفاده مي
شود.
اين server farmدرحقيقت در مکاني مابين server farmهاي اينترنت و اينترانت قرار گرفته
اند Extranet server farm .نيز از برنامه هاي کاربردي web-basedاستفاده مينمايند ولي بر خالف
اينترنت و اينترانت ،آنها تنها اجازه دسترسي به گروههاي خاصي از کاربران را مي دهند که به هيچ کدام از
کاربران اينترنت و يا اينترانت وابسته نمي باشند .مهمترين هدف از ايجاد اين server farmفراهم نمودن
مراکز داده توزيع شده ) Distributed Data Center (DDCجهت فراهم آوردن قابليتهاي
در دسترس بودن ،گسترش ،افزونگي و پاسخگويي به سوال باال ايجاد شدند.
DDCها عموماً کوچکتر از مرکز داده اصلي مي باشند و وظيفه مرکز داده اصلي را بعد از خرابي 1آن
به عهده ميگيرند .بازيابي اطالعات به هنگام وقوع يک حادثه ناگوار و امکان ارائه خدمات يکي از
مهمترين مسائلي مي باشد که در DDCها مطرح مي شود DDC .زمان توقف برنامه هاي کاربردي را
1
Fail
صفحه 83از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
براي برنامه هاي بسيار حساس کاهش مي دهند و ميزان از بين رفتن اطالعات را به حداقل مي رسانند .با
استفاده از DDCها ،اطالعات بين DDCبر روي اليه انتقال انتقال شهري ،تکرار مي شود.
مراکز داده از سيستمهاي متعددي پشتيباني مي نمايد که در مجموع کليه نيازهاي برنامه هاي
کاربردي موجود در مرکز داده توسط اين سرويسها برآورده مي شود که شامل سرويسهاي زيرساخت،
سرويس هاي ،server farmسرويس ذخيره سازي ،سرويس هاي عمومي و اختصاصي سازمان ،سروسي
سرويس هاي زيرساخت شامل تمامي مشخصات هستهاي است که جهت زير ساخت يک مرکز
داده و نيز عملياتي شدن کليه سرويس هاي آن مورد نياز است که سرويسهاي اين بخش به سرويسهاي اليه
1يا سرويس هاي اليه ،2سرويس هاي اليه 3و سرويس هاي هوشمند شبکه اي تقسيم مي شوند.
سرويس هاي server farmشامل ويژگي هايي مي باشند که باعث هوشمندي server farm
ها مي گردد .اين مشخصات به منظور باال بردن کارايي server farmو کنترل بسته ها (Packet
) Inspectionدر اليه 4يا 5مي باشد .به منظور ايجاد امکان در شبکه بايستي از امکاناتي از جمله امکان
سرويس ذخيره سازي در مرکز داده يکي از اصلي ترين و هزينه برترين سرويس ها مي باشد .اين
سرويس از طريق دو سيستم ذخيره سازي ) NAS (Network attached storageو SAN
) (Storage Area networksارائه مي گردند .مبناي کار اين دو سيستم متناسب با ساختارشان مي باشد.
با توجه به ماهيت مرکز داده ،مي توان يک سري سرويس هاي عمومي نظير پست الکترونيکي،
ميزباني وب ،سرويس هاي عمومي نظير پست الکترونيکي ،ميزباني وب ،سرويس خبرگزاري ،FTP ،و
صفحه 84از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
تاالر گفتمان را نيز از طريق اين مرکز ارائه نمود .مرکز داده به طور کلي با هدف ارائه خدمات ايجاد مي
گردد و به اين منظور الزم است امکانات مربوط به سرويس هاي مختلف را متناسب با نيازهاي سازمان تأمين
سرويس هاي امنيتي شامل مشخصات و تکنولوژيهايي مي باشند که باعث امنيت زير ساخت مرکز
داده و برنامه هاي کاربردي مي گردند .هدف از به کارگيري سرويس هاي امنيتي حفاظت مرکز داده در
جهت رسيدن به اهداف ذکر شده لزوم به پياده سازي سرويسهاي متعددي در مرکز داده ميباشد
ACLها از دسترسيهاي غير مجاز به شبکه جلوگيري مي کنند به اين ترتيب از سرويس هاي server
farmحفاظت مي شودACL .ها مي توانند در نقاط مختلف مرکز داده و در انواع متفاوت ارائه شوند .از
جمله ACLها مي توان به QoS ACLs, VLAN ACLs, Router ACLsاشاره نمود .هريک از
اي ن انواع براي منظور خاصي مورد استفاده قرار مي گيرد .از نکات مهم قابل اشاره در استفاده از ACLها
اين است که مي توان بدون ايجاد گلوگاه در شبکه با استفاده از آنها عمليات کالسه بندي و کنترل بستهها را
انجام داد.
5-16فايروالها
استقرار دقيق فايروالها در شبکه يکي از مهمترين پارامترها در طراحي مرکز داده ميباشد .زيرا به
واسطه جايگزاري مناسب مرکز داده بسيار امن يا بر خالف آن نا امن خواهد شد .به طور کلي مناسبترين
مکان براي قراردادن يک فايروال در مرز اتصال به اينترنت مي باشد .اما براي ايمني بيشتر معموالً در
server Farmهايي که به صورت چنداليهاي طراحي ميگردند نيز از فايروال در حد واسط بين اليهها
استفاده ميگردد.
کشف نفوذ و اخطار پس از تشخيص آنها يکي از پايه هاي اوليه برقراري امنيت در مرکز داده مي
باشد IDS .ها به طور کلي به دو دسته تقسيم مي شوند .دسته اول IDSهايي است که روي تجهيزات شبکه
1
Access control Lists
صفحه 86از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
نظير راهگزينها قرار ميگيرند و از آنها در برابر حمالت محافظت مي نمايند .دسته دوم IDSهايي است
که بر روي سرورها نصب شده و از حمالت هکرها به سرورها جلوگيري مي نمايند.
با استفاده از AAAيک اليه ديگر امنيتي به شبکه اضافه ميگردد .با ايجاد يک سري پروفايلهاي
از پيش تعيين شده فقط به کاربراني اجازه دسترسي به شبکه و بهرهمندي از سرويسهاي آن داده ميشود،
که پروفايلشان موجود باشد .کليه تراکنشهاي کاربراني که مجوز ورود به شبکه را کسب مي نمايد در يک
سرويسهاي مديريتي در مرکز داده در راس کليه سرويس ها قرار دارند .هريک از سرويس ها نيازمند
مديريت مي باشند به همين جهت اين سرويس از اهميت باليي در مرکز داده برخوردار مي باشد .با توجه به
اينکه تجهيزات موجود در مرکز داده توسط يک سازمان خاص و يا يک سازنده ارائه نمي شود الزم است
سرويس مديريت با واسط هاي استاندارد در گروه هاي مختلف براي مانيتورينگ و رفع عيب ارائه گردد.
پروتکل هاي استانداردي نظير SNMPجهت فرستادن خطا و بدست آوردن اطالعات کلي مي تواند مورد
استفاده قرار گيرد .براي مديريت تجهيزاتي که در Internet Edgeقرار دارند همچنين مديريت روترها و
سوييچ ها بايد از قابليت SSHاستفاده گردد .براي مديريت مرکز داده استفاده از پروتکل هايي نظير
HTTPو Telnetتوصيه نميگردد .گروه هاي مديريتي که در يک مرکز داده بايد همواره مد نظر قرار
مديريت پيکربندي •
مديريت حسابداري •
مديريت کارآيي •
مديريت امنيت •
مراجع5-20
فصل ششم:
استاندارد هاي
مراکز داده
صفحه 89از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
در اين فصل استانداردهاي فني مطرح براي طراحي يا پيادهسازي مراکز داده مرور ميشوند.
قبل از اينکه به معرفي استانداردهاي مربوط به مراکز داده بپردازيم مهمترين مشخصات عمومى
يک ديتاسنتر به عنوان سر فصلهاي مهم برگرفته از استانداردهاي مختلف را به شرح ذيل معرفي مي شوند:
در اختيار داشتن لينکهاي مختلف جهت اتصال از طريق ISPو ICPها مختلف -به طور
معمول يک ديتاسنتر برا اتصال به اينترنت از چندين اتصال مختلف استفاده مى کند تا در صورتى که هر
يک از اتصالها به دليلى از کار افتادند ،در سرويس دهى مرکز وقفها پيش نيايد.
يکى از مهمترين مسائل در مرکز داده سرويس دهى بدون وقفه به مشتريان است .با توجه به امکان
قطع برق به داليل مختلف مثل حوادث غيرمترقبه يا جنگ ،نياز به سيستم برق پشتيبان ضرور است .معموالً
مرکز دادهها بزرگ از UPSها مخصوصى استفاده مى کنند که امکان سرويس دهى به بيش از 100
کامپيوتر را دارند .عالوه بر سيستم UPSژنراتورها قو نيز در مرکز دادها وجود دارد تا در صورت
هدف اصلى يک مرکز داده در اختيار گذاشتن سرورها وب برا مشتريان است .سرورها مورد
استفاده با توجه به نياز و امکانات ديتاسنتر تعيين مى شود .تنها تفاوت مهم ،نوع سرورها مورد استفاده
توسط مرکز داده است .در اين مراکز دادها از دو نوع سرور استفاده مى شود :سرورها Rack mount
6-5مشخصات فيزيکى
ساختمانها مراکز دادها اکثراً با سقفها بلند ساخته مى شوند که عالوه بر تهويه هوا ،امکان
قراردادن سرورها بيشتر را فراهم مى کنند .همچنين در تمامى مراکز داده ،مسيرهايى برا گذراندن
کابلها شبکه و همچنين کابلها برق وجود دارد .عالوه بر اينها ،وجود سيستم تهويه قو برا پايين
نگاه داشتن دما سرورها ضرور است .البته مشخصاتى چون وجود سقف کاذب ،کف کاذب و همچنين
اولين استاندارد مطرح که موارد زيادي از ملزومات مرکز داده را تحت پوشش قرار ميداد در اکتبر
سال 2004ميالدي منتشر شد.اين استاندارد با نام TIA/TR 942نام گرفت .نسخه بعدي اين استانداردکه
براي مراکز داده مطرح ميباشد که هميشه در حال تکميل و به روز شدن است به طوريکه موارد مهم
صفحه 91از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
طراحي را در مراکز داده کوچک تا مراکز داده بزرگ شامل ميشود و به طور کلي اين استاندارد شامل
توصيههايي در خصوص عمليات کابل کشي ،طراحي شبکه و ديگر ملزومات ميباشد].[2
در اين استاندارد چهار مدل زير ساخت براي طراحي و پيکر بندي مراکز داده در خصوص سيستم
اليه :1در اين اليه تنها يااک مسااير بااراي توزيااع باارق و تهويااه در نظاار گرفتااه ميشااود و شااامل •
تجهيزات پشتيبان نمي شود که در اين حالت درصد دسترس پذيري به ميزان %99.671ميباشد.
اليه :2در اين اليه تنها يااک مسااير بااراي توزيااع باارق و تهويااه در نظاار گرفتااه ميشااود و شااامل •
تجهيزات پشتيبان ميشود که در اين حالت درصد دسترس پذيري به ميزان %99.741ميباشد.
اليه :3در اين اليه چندين مسير براي توزيع برق و تهويه در نظر گرفته ميشود و شامل تجهيزات •
پشتيبان و يک مسير پشتيبان انتقال داده ميشود که در اين حالت درصد دسترس پذيري به مياازان
99.982%ميباشد.
صفحه 92از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
اليه :4در اين اليه چندين مسير براي توزيع برق و تهويه در نظر گرفته ميشود و شامل تجهيزات •
پشتيبان و چند مسير پشتيبان انتقال داده ميشود که در اين حالت درصد دسترس پذيري به مياازان
99.995%ميباشد.
در اين استاندارد تغييرات اساسي در حوزه زير ساخت فيزيکي مرکز داده با توجه به موارد ذيل در
مديريت صحيح بر زير ساخت اليه فيزيکي مرکز داده ميتواند تأثير مسااتقيم باار راهبااري شاابکه •
با به اجرا درآوردن راهکارهاي فني و درست کابل کشي ميتوان زيرساخت اليه فيزيکااي را بااه •
تفکراتي که بتواند راه کارهاي قابل انعطاف ايجاد کند به تداوم عمر سيستم کابل کشااي کمااک •
ميکند .
موارد مورد نياز در ايجاد يک مرکز داده از نقطه نظر اين استاندارد و در حوزه سيستمهاي زيرساخت
عبارتند از:
صفحه 93از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
اين استاندارد که در حقيقت بخش اتصاالت از استاندارد TIA 942را شامل ميشود به طور
عمده در مورد ملزومات طراحي مرکز داده در حوزه اتصال کابلها ،سيستمها ،منابع تغذيه و ....ميباشد.
(شکل ) 8
همچنين در مورد سيستمهاي پشتيبان ،امنيت اليهاي ،کابل کشي استاندارد ،انعطاف پذيري در
اين استاندارد به طور کلي در مورد طراحي سيستمهاي اعالم و اطفاء حريق در مراکز داده،
توصيههايي را ارائه مينمايد و در خصوص جنبههاي مختلف اين حوزه داراي بخشهاي مختلف به ذکر
6-12ديگر استانداردها
تا کنون برخي از استانداردها در اين گزارش معرفي شده اند و هر روز بر مبناي نوع نياز ارگانها و
سازمانها که با تکنولوژيهاي جديد آغاز به کار ميکنند استانداردها و توصيه نامههايي تدوين ميشوند که
صفحه 95از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
در اين بخش نيز توصيه نامهها و شبه استانداردهاي ديگري نيز وجود دارند که بر مبناي موضوعات مطرح در
6-13سيستمهاي تغذيه
– RMIتوصيه در مورد اعمال تدابير مهندسي در خصوص جلوگيري از اتالف کار سيسااتمهاي •
تغذيه برق
6-15مراجع
فصل هفتم:
7-1مقدمه
اساساً امنيت رايانهاي مجموعه اي از راه حلهاي فني براي مشکالت غير فني است .زمان ،پول و
تالش زيادي را مي توان براي ايمن کردن سيستمها صرف کرد .اما هرگز نمي توان از نگراني در مورد پاك
شدن تصادفي داده ها يا تخريب عمدي اطالعات راحت شد .با در نظر گرفتن مجموعه شرايط – اشکاالت
نرم افزاري ،حوادث ،اشتباهات ،بداقبالي ،آب و هواي بد يا يک مهاجم مجهز و با انگيزه – مشاهده مي شود
که هر رايانه ممکن است مورد سوء استفاده قرار بگيرد ،از فعاليت بيفتد ،يا حتي کامالً منهدم شود.
بنابراين اولين گام فراهم کردن امنيت براي هر سيستم تعيين نيازهاي امنيتي آن سيستم ميباشد .در
اين گزارش با توجه به ماهيت مراکز داده ،ابتدا معماري ها و استانداردهاي مهم مرکز داده بيان ،سپس
نيازمنديهاي امنيتي کلي و سطح باالي مراکز داده برشمرده شده است و نيز راهکارها و نکاتي که بايد براي
تعيين نيازهاي امنيتي جزئي يک مرکز داده خاص رعايت شوند آورده شده است.
به طور کلي مفاهيم امنيتي و پدافند غير عامل مراکز داده مجموعا حول سه محور امنيت ،ايمني و
پايداري و عامل امنيت حول 3محور محرمانگي ،تماميت (صحت) و دسترسپذيري هستند .عوامل
صفحه 98از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
پايداري(ثبات و سازگاري) و دسترس پذيري بسيار به هم نزديک بوده و عامل ايمني با مفهوم امنيت
فيزيکي و محيطي تطابق دارد .با اين حال در عمل بهتر است نيازمنديهاي ديگري را نيز به طور صريح در
کنار اينها قرار داد .در ادامه به مفاهيم پايه و نيازمنديهاي امنيتي و پدافند غير عامل مراکز داده با رويکرد
محرمانگي 1-2-7
محرمانگي 1عبارتست از حفاظت از اطالعات در مقابل خوانده شدن يا نسخه برداري توسط
اشخاصي که از جانب مالک آن اطالعات مجوز دسترسي به آن را ندارند .اين بُعد امنيت نه تنها حفاظت
کلي از اطالعات را در بر ميگيرد ،بلکه حفاظت از دادههاي منفرد که ممکن است به خودي خود آسيبي
در پي نداشته باشند ولي از طريق تعدادي از آنها بتوان به اطالعات محرمانه پي برد را نيز شامل ميشود.
صحت يا تماميت 2عبارتست از محافظت از اطالعات (منجمله برنامهها) در مقابل هرگونه حذف و
1
Confidentiality
2
Integrity
صفحه 99از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
دسترسپذيري 3-2-7
دسترسپذيري 1عبارتست از اين که منابع سيستم مانند سرويسها ،برنامههاي کاربردي و دادهها در
دسترس افراد مجاز با کيفيت قابل قبول باشند .براي اين کار بايد از برنامههاي خدماتي به گونهاي که بدون
احراز هويت تنزل پيدا نکنند و تخريب نشوند حفاظت کرد .اگر هنگامي که يک کاربر مجاز به اطالعات
نياز دارد سيستم و دادهها در دسترس نباشند نتيجه ميتواند به اندازه زماني که اطالعات از روي سيستم
ثبات و سازگاري 2عبارتست از حصول اطمينان از اين که سيستم به گونهاي که مورد انتظار
کاربران است رفتار ميکند .اگر نرم افزار يا سخت افزار ناگهان به گونهاي بسيار متفاوت از قبل عمل کند –
خصوصاً بعد از يک ارتقاء يا رفع اشکال – مشکالت زيادي ممکن است رخ دهد .اين گونه امنيت را
ميتوان اطمينان از صحت دادهها و نرم افزارهايي که مورد استفاده قرار دارند ناميد.
كنترل 5-2-7
کنترل عبارتست از ضابطهمند کردن دسترسي به سيستم .اگر افراد (يا نرم افزارهايي) ناشناخته و غير
مجاز در سيستم وجود داشته باشند ميتوانند دردسرهاي زيادي بيافرينند .جبران چنين مشکالتي ميتواند
بسيار وقتگير و پرهزينه باشد .شايد راهبر سيستم مجبور شود سيستم خود را از ابتدا نصب و راه اندازي
کند.
1
Availability
2
Consistency
صفحه 100از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
بازبيني 6-2-7
به همان ميزان که بايد نگران دسترسي افراد غير مجاز به سيستم بود ،بايد به امکان وقوع اشتباهات يا
انجام اعمال بدخواهانه توسط کاربران مجاز نيز توجه کرد .در چنين شرايطي بايد آنچه که انجام شده ،فرد
انجام دهنده و تأثيرات آن را مشخص نمود .تنها راه مطمئن براي دستيابي به اين نتايج ،داشتن سوابق و
ثبتهاي غير قابل مخدوش از فعاليتها در سيستم است که ميتواند افراد و عملکرد آنها را شناسايي کند .در
برخي از نرم افزارهاي بسيار حساس ،شيوه بازبيني ممکن است آنقدر گسترده باشد که بتواند بعد از تنظيم
وضعيت سيستم به يک حالت جديد ،اجازه بازگشت به وضعيت اوليه را نيز بدهد.
اگر چه کليه اين وجوه امنيتي اهميت دارند ،اما سازمانهاي مختلف به هر يک با درجه اهميت
متفاوتي مينگرند .اين اختالف بدليل اين است که هر سازمان مالحظات امنيتي خاص خود را دارد و بايد
در چنين محيطي ،يکپارچگي ،کنترل و بازبيني از اصول بسيار مهم و حياتي هستند ،و محرمانگي و
در يک سيستم دفاعي ملي که حاوي اطالعات طبقه بندي شده است ،محرمانگي در اولين درجه
اهميت قرار دارد و در دسترس بودن در درجه آخر .در برخي از محيطهاي بسيار طبقه بندي شده ممکن
صفحه 101از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
است مقامات رسمي ترجيح دهند که يک ساختمان را منفجر کنند تا اجازه نداده باشند اطالعات بدست
مهاجمين بيفتد.
در چنين محيطي ،يکپارچگي و در دسترس بودن اطالعات مهمترين نيازمنديها هستند .حصول
اطمينان از در دسترس بودن اطالعات در زمانيکه دانشجويان به آنها نياز دارند به مراتب مهمتر از اين است
که راهبران بتوانند زمان استفاده دانشجويان از حسابهاي کاربري خود را تشخيص دهند.
يک راهبر امنيت بايد نيازهاي محيط عملياتي و کاربران را بشناسيد و سپس بر مبناي آن روالهاي
خود را تعريف کند .ناگفته پيداست که نيازمنديهاي گفته شده کلي بوده و لزوماً براي تمامي محيطها
مناسب نيستند.
نکات كلي در برآورده كردن نيازمنديهاي امنيتي وپدافند غير عامل 7-3
مشخص کردن جزئيات نيازمنديهاي امنيتي يک سيستم ،نرم افزار و به طور خاص در اينجا يک
مرکز داده تقريباً امکان پذير نيست .ولي به طور کلي ميتوان نيازمنديهاي يک مرکز داده عام را تشريح
کرد .در اين راستا اهداف زير بايد مد نظر قرار گيرند:
خط مشيهاي امنيتي در واقع تبيين کننده نيازهاي امنيتي به صورت جزئي هستند و يک نيازمندي
امنيتي به طور نوعي يک نيازمندي جزئي است که بخشي از خط مشيهاي امنيتي سطح باال را پياده
سازي ميکند.
صفحه 102از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
نيازمنديهاي امنيتي بر پايه نيازهاي درستي و صحت هستند ،زيرا اشکالهاي پياده سازي اغلب
باگهايي هستند که آسيب پذيريهاي امنيتي را به وجود ميآورند .بنابراين بايد نيازهاي صحت و
امن کردن صد در صد سيستمها ،برنامههاي کاربردي ،مولفهها يا ساير موارد غير ممکن است.
• افزايش هزينه
• افزايش زمان
براي مشخص شدن نيازمنديهاي امنيتي ميتوان سناريوهاي سوء استفاده شناخته شده را احصاء
در حالي که بيشتر نيازمنديها بر حسب آنچه که بايد باشد و انجام شود بيان ميشوند ،نيازمنديهاي
امنيتي اغلب بر حسب آنچه که نبايد باشد و نبايد روي دهد بيان ميشوند .از اين رو بايد تهديدها برآورده
شده و بر اساس آنها نيازهاي جزئي امنيتي مشخص شوند .بر اين اساس قبل و پس از شروع به کار هر مرکز
صفحه 103از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
داده الزم است ارزيابي ريسک انجام شده و تهديدها و ريسکها با تخمين ميزان ضربه و احتمال وقوع به طور
خاص براي آن مرکز داده مشخص شوند .در اين صورت تيم امنيت ميتواند مطمئن شود که نيازمنديهاي
يک نيازمندي تعيين هويت ،نيازمندي امنيتي است که بيان ميکند يک مولفه از سيستم مانند
برنامه کاربردي بايد قبل از هر تعاملي با نهادهاي خارجي ،مانند کاربران ،برنامههاي کاربردي ديگر،
مثالها 1-4-7
• «برنامه کاربردي بايد هويت تمام کاربران انساني خااود را قباال از اجااازه اسااتفاده از امکانااات خااود
مشخص نمايد».
• « برنامه کاربردي بايد هويت تمام برنامههاااي کاااربردي مشااتري خااود را قباال از اجااازه اسااتفاده از
• « مرکز داده بايد هويت تمام کارکنان را قبل از ورود تعيين نمايد »
• (احراز هويت يکباره « )Single Sign – onبرنامه کاربردي در طول يک نشست نبايد بايش از
• نيازمنديهاي تعيين هويت اغلب ناکافي هستند و نوعاً پيش نياز نيازمنديها احراز هويت 1هستند.
• نيازمنديهاي تعيين هويت نبايد بر حسب انواع مکانيزمهاي معماري امنيت که به طور نوعي براي
• نيازمنديهاي تعيين هويت بايد با نيازمنديهاي گمنامي 2سازگار باشااند .در نيازمنااديهاي گمنااامي
نيازمندي احراز هويت ،يک نيازمندي امنيتي است که بيان ميکند يک مولفه سيستم مانند برنامه
کاربردي ،بايد هويت طرفهاي خارجي خود (مانند کاربران ،برنامههاي کاربردي ديگر) را قبل از تعامل با
بنابراين نيازمندي احراز هويت ،اطمينان از هويت طرف و اين که وي واقعاً همان است که ادعا
ميکند ،ميباشد.
مثالها 1-5-7
• «برنامه کاربردي بايد هويت تمام کاربران و طرفهاي خود را قبل از اجازه استفاده از امکانات ،احراز
نمايد».
• « مرکز داده بايد هويت تمام کارکنان را قبل از ورود احراز نمايد »
1
Authentication
2
Anonymity
صفحه 105از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
• نيازمنديهاي احراز هويت نوعاً کافي نيستند ،اما پيش نياز نيازمنديهاي مجاز سنجي 1هستند
• نيازمنديهاي احراز هويت نبايد بر حسب انواع مکانيزمهاي امنيتي معماري کااه نوعااً بااراي پيااده
سازي آنها به کار ميرود بيان شود .توجه داشته باشايد کااه اغلااب مکانيزمهاااي معماااري امنيات
براي پياده سازي همزمان نيازمنديهاي تعيين و احراز هويت به کار ميروند.
• به علت ارتباط نزديک نيازمنديهاي تعيين و احراز هويت ،اغلب با هم بيان ميشوند.
نيازمندي مجاز سنجي ،يک نياز امنيتي است که مجوزهاي دسترسي و استفاده کاربران احراز
• اطمينان از اينکه طرفهاي احراز هويت شده ميتوانند به امکانات يک برنامه خاص يا يک مولفه
دسترسي پيدا کنند .اگر و فقط اگر صريحاً توسط افراد تعيين صالحيت شده ،به آنها مجااوز آن
• اطمينان از اينکه تنها يک يا چند نفر که از طرف سازمان تعيين شده اند ،ميتوانند دسترسيهاي
• جلوگيري از:
1
Authorization
صفحه 106از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
• دسترسيها بايد بر اساس وظايف کاربري و نيازهاي وي اعطا شااود و اصاال « دسترساي حااداقل
• يک تهديد شايع عليه امنيت برنامه کاربردي ،حمله منع سرويس است که برنامه با تعداد زياادي
درخواست مجاز روبهرو ميشود .بهتر است صريحاً به عنوان نيازمندي ذکر شود که کسي نبايد
با تعداد زيادي درخواست در زمان کوتاه ،کيفيت مجاز سنجي را پايين آورد.
نيازمنديهاي صحت ،يک نيازمندي امنيتي است که بيان ميکند دادهها و ارتباطات يک برنامه
کاربردي يا يک مولفه نبايد به طور عمدي ،به صورت غير مجاز تغيير داده شده يا حذف شود يا به طور غير
اهداف نوعي در نيازمنديهاي صحت عبارتست از اطمينان از اين که ميتوان به دادهها يا ارتباطات
اعتماد کرد.
صفحه 107از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
يک نيازمندي کشف نفوذ ،نياز امنيتي است که بيان ميکند يک برنامه کاربردي يا يک مولفه بايد
دسترسيهاي غيرمجاز يا تالش براي دسترسي غير مجاز را کشف و ثبت نمايد.
• ثبت اطالعات درباره دسترسيهاي غير مجاز يا تالش براي دسترسي غيرمجاز
مثالها 1-8-7
سيستمها بايد تمام تالشهاي ناموفق براي تعيين و احراز هويت و يا مجاز سنجي را کشف و ثباات •
نمايند.
سيستمها بايد به طور روزانه به راهبر امنيت مرکز داده درباره تالشهاي ناموفق دسترسي در طول •
سيستمها بايد حداکثر طي 5دقيقه پس از کشف تالشهاي مکرر براي نفوذ يا دسترسي غيرمجاز •
• نيازمنديهاي کشف نفوذ نيازمنديهاي تعيين و احراز هويت و مجازسنجي بستگي دارند.
صفحه 108از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
• نيازمنديهاي کشف نفوذ نبايد بر حسب مکانيزمهاي معماري امنيت که به طور نوعي براي پياده
يک نيازمندي عدم انکار ، 1يک نياز امنيتي است که بيان ميکند برنامه کاربردي يا مولفه سيستم
بايد از انکار انجام يا دخالت در عمل انجام شده توسط يک نهاد يا شيء جلوگيري کند.
• اطمينان از ثبت رکوردهاي اطالعاتي به اندازه کافي ،براي جلوگيري از انکار توسط عامالن
• به حداقل رساندن هرگونه مشکل قانوني احتمالي که در آينده ممکن است به علت تخطي يکي
• نيازمنديهاي امنيتي عدم انکار اصوالً درباره کافي بودن و عدم امکان مخدوش نمودن رکوردها
هستند .ثبت رکوردها خود به خود کافي نيست .اين رکوردهااا باياد کااافي و غيار قاباال خدشااه
باشند.
• نيازمنديهاي عدم انکار نوعاً شامل ذخيره حجم زيادي از اطالعات درباااره تعااامالت اساات کااه
1
Non repudiation
صفحه 109از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
oاطالعات ارسالي
• نيازمنديهاي عدم انکار اغلب مرتبط با نيازمنديهاي قابليت مميزي هسااتند ولاي از آن محاادودتر
هستند.
• نيازمنديهاي عدم انکار نبايد بر حسب مکانيزمهاي امنيتي که نوعاً براي پياده سازي آنها اسااتفاده
ميشوند ،بيان شوند (مانند امضاء رقمي ،رمز نگاري ،توابع درهم سازي).
7-10نيازمنديهاي محرمانگي
يک نيازمندي محرمانگي ،يک نياز امنيتي است که بيان ميکند برنامه کاربردي يا مولفه سيستم
بايد دادههاي حساس خود را از دسترس افراد و برنامههاي غير مجاز حفظ کند.
1-10-7مثال
«برنامه کاربردي نبايد اجازه دسترسي افراد غير مجاز به دادههاي ذخيره شااده ياا در حااال انتقااال •
بدهد».
2-10-7خطوط راهنما
صفحه 110از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
سطوح طبقه بندي دادهها مشخص شده و مشخص شود که چگونااه دادههااا طبقااه بناادي ▪
محلهايي که داده ذخيره ميشوند يا عبور داده ميشااوند (ماننااد اينترناات ،خااارج محاال ▪
امن).
محرمانگي ممکن است با برخي قوانين تضاد داشته باشند .به عنوان مثااال برخاي الزامااات قااانوني •
نيازمنديهاي امنيتي نبايد بر حسب مکانيزمهاي معماري امنيت ماننااد رويادادنگاري کااه نوعااً از •
آنها براي پياده سازي نيازمنديها استفاده ميشود ،بيان شوند (مانند رمزنگاري متقارن يا نامتقارن،
نيازمنديهاي امنيتي بايد با نيازمنديهاي مميزي ،تعيين هويت ،و عدم انکار که الزمه آنهااا ارائااه •
يک نيازمندي مميزي امنيت ،1يک نياز امنيتي است که بيان ميکند برنامه کاربردي يا مولفه سيستم
بايد امکان بررسي و مميزي وضعيت و نحوه استفاده از مکانيزمهاي امنيتي را فراهم کنند.
اهداف نوعي يک نيازمندي مميزي عبارتند از اطمينان از اينکه برنامه کاربردي يا مولفه سيستم
1
Security auditing
صفحه 111از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
• وضعيت (مانند فعال و غير فعال بودن ،نسخه به روز) مکانيزمهاي امنيتي
1-11-7مثال
برنامه کاربردي بايد به طور دائم وضعيت مکانيزمهاي امنيتي خود شامل:
1
مصونيت •
محرمانگي •
2-11-7خطوط راهنما
• بايد توجه داشت که بين نيازمنديهاي مميزي امنيت و کشف نفااوذ ،افزونگاي و روهاام افتاادگي
نباشد.
• نيازمنديهاي مميزي امنيت نبايد بر حسب مکانيزمهاي معماااري امنيات ماننااد رويادادنگاري کااه
نوعاً از آنها براي پياده سازي نيازمنديها استفاده ميشود ،بيان شوند.
1
Immunity
صفحه 112از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
يک نيازمندي حفاظت فيزيکي ،يک نياز امنيتي است که بيان ميکند يک مرکز يا سايت بايد خود
1-12-7مثال ها
• « مرکز داده بايد مولفههاي سخت افزاري را در برابر خرابي فيزيکي ،سرقت ،يا جااايگزيني غيار
• «مرکز داده بايد از کارکنان خود در برابر مرگ ،جرح و آدم ربايي محافظت نمايد».
2-12-7خطوط راهنما
نيازمنديهاي حفاظت فيزيکاي نباياد بااا مکانيزمهاااي معماااري امنيات کااه بااراي پيادهسااازي آن •
استفاده ميشود ،اشتباه شود ،مانند :قفل درها ،محافظهاي امنيتي ،دسترسي سريع به پليس.
نيازمندي امنيت نگهداري سيستم ،يک نياز امنيتي است که بيانگر لزوم جلوگيري از شکست اتفاقي
مکانيزمهاي امنيتي در طي عمليات نگهداري سيستم (مانند بهروز رساني ،پيکربندي و بهبود) ميباشد.
هدف اصلي نيازمندي امنيت نگهداري سيستم ،حفظ سطح امنيت در طي مدت استفاده از سيستم
است.
صفحه 113از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
1-13-7مثال ها
«برنامه کاربردي نباياد نيازمنااديهاي امنيتاي خااود را در نتيجااه ارتقاااي مولفااههاي سااختافزار، •
«برنامه کاربردي نبايد نيازمنديهاي امنيتي خود را در نتيجااه جااايگزيني مولفااههاي سااختافزار، •
2-13-7خطوط راهنما
نيازمنديهاي امنيت نگهداري سيستم ممکن است با نيازمنديهاي دسترسپذيري سيسااتم تضاااد •
داشته باشند .در نيازمندي دسترسپذيري ممکن اساات اجااازه داده نشااود کااه در طاي نگهااداري
نيازمنديهاي امنيت نگهداري سيستم نبايد با با مکانيزمهاي معماري امنيت که بااراي پيادهسااازي •
آن استفاده ميشود ،اشتباه شود ،مانند :روالهاي نگهداري و بهبود ،آزمون عدم نقض امنيت.
7-14مراجع
8فصل هشتم :مالحظات پدافند غير عامل سطح باالي مراكز داده
فصل هشتم:
سطح باالي
مراکز داده
صفحه 115از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
8-1مقدمه
مراکز داده به عنوان قلب تپينده در زيرساختهاي فنآوري اطالعات يک کشور هستند و از اين
رو نقش مهمي در امنيت يک کشور ميتوانند داشته باشند .با به خطر افتادن امنيت يک مرکز داده
سرويسهاي حياتي مبتني بر آن به مخاطره ميافتند .اما همه مراکز داده در يک درجه از اهميت قرار ندارند،
و بسته به نقش آنها ،خدمات ارائه شده و گستره آنها و ديگر پارامترها در ردههاي گوناگون اهميت قرار
دارند که ملزومات امنيتي هر يک نيز متفاوت از ديگري است .از طرف ديگر هميشه برقراري امنيت هزينه
بااليي ميطلبد .از اين رو الزم است مطابق نيازمنديهاي واقعي امنيتي يک مرکز داده ،تدابير امنيتي الزم
از همين رو بايد مراکز داده را از نظر حساسيت امنيتي طبقهبندي نمود .اين طبقهبندي بايد
حتي االمکان نزديک به سطح واقعي امنيت مورد نياز باشد تا از يک طرف از نقض احتمالي امنيت به علت
مسامحه در برقرار امنيت مورد نياز جلوگيري شود و هم از صرف هزينههاي گزاف به علت افراط در تعيين
با توجه به لزوم توسعه مراکز داده در کشور ،از سويي اهميت و حساسيت اين مراکز ،تهيه سند
باالدستي در حوزه مالحظات پدافند غير عامل در اين مراکز بسيار ضروري بوده است .لذا با توجه به اهداف
و رويکردهاي سازمان پدافند غير عامل که تکيه بر 3اصل امنيت ،ايمني و پايداري ،تهديدات مصور براي
اين مراکز را در 3دسته تهديدات ناشي از جنگ و مخاصمات بين المللي ،تهديدات امنيتي و تهديدات
محيطي و طبيعي براي مکانهاي مهم ،حساس و حياتي دارد ،سعي گرديده است که اين موارد متناسب با
موضوع مراکز داده کشور بيان گردد .براي اين منظور ابتدا مراکز داده به 3دسته مهم ،حساس و حياتي
تقسيم بندي شده است .در ادامه مصاديق رده بندي يک مرکز داده بمنظور تعيين طبقه بندي آن نيز بيان شده
صفحه 116از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
است .لذا با استفاده از اين مصاديق ،مي توان در زمان تصميم گيري براي طراحي و پياده سازي يک مرکز
داده خاص ،سطح آن مرکز داده (مهم ،حساس يا حياتي) را مشخص نمود .نهايتا در بخش انتهايي و اصلي
اين سند ،مالحظات پدافند غير عامل در خصوص هر سطح مرکز داده به تفکيک بصورت کنترلهاي سطح
مياني در حوزه هاي مختلف بيان شده است .لذا پس از تعيين سطح و مشخص شدن سطح مرکز داده،
کافيست کنترلهاي تعيين شده براي آن سطح ،مورد توجه قرار گرفته و لحاظ گردند .طبيعي است جنس اين
کنترلها از نوع کنترلهاي فني سطح باال و سطح مياني بوده و لذا به موارد فني سطح پايين که عموما مرتبط با
محصوالت مختلف و تکنولوژيهاي سطح پايين بوده و وابسته به زمان طراحي و پياده سازي و متناسب با
ابزارهاي در دسترس پياده ساز در زمان پياده سازي مي باشد و از سويي دائما در حال تغيير است ،نمي
توانست در اين سند اشاره گردد .الزم به ذکر است که کنترلهاي سطح باال و مياني به گونه اي انتخاب
گرديده است که در صورت رعايت نمودن و لحاظ نمودن اين موارد ،تمامي موارد مورد نظر پدافند غير
لذا روش بکار گرفته شده براي تدوين اين سند که روشي منحصر به فرد در کشور مي باشد ،داراي
در اليه اول ،مالحظات پدافند غير عامل در مراکز داده در سطح باال ،در اليه هاي دوم ،سوم و
چهارم ،اين مالحظات در سطح مياني و نهايتا در اليه پنجم ،اين مالحظات در سطح پايين بيان گرديده
است.
در سطح باال ،مطالب مربوط به رده بندي مراکز داده و مصاديق اين رده بندي و چگونگي تعيين
سطح يک مرکز داده و مشخص کردن نوع آن (مهم ،حساس يا حياتي) بيان گرديده است (اليه اول).
در سطح مياني ،بدليل گستردگي سطحي و عمقي مراکز داده (به عنوان قلب تپنده )ITو کاربرد
اکثر مقوله هاي مطرح امروزي در حوزه ITدر اين مراکز ،و بمنظور پرداختن به تمامي کنترلهاي مربوط به
اين مقوله ها در مراکز داده ،ابتدا 3حوزه اصلي تهديد مشخص ،سپس کليه تهديدات متصور براي مراکز
صفحه 118از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
داده براي اين 3حوزه که مرتبط با مراکز داده بوده است (اليه دوم) ،در حدود 100مقوله احصاء (اليه
سوم) و در نهايت کنترلهاي مربوط به اين تهديدات در قالب حدود 500کنترل (اليه چهارم) مشخص
گرديده است.
در سطح پايين نيز همانگونه که اشاره شد ،از آنجا که اين کنترل ها وابسته به محصوالت و
تکنولوژيهاي مرتبط با زمان پياده سازي مرکز داده مي باشد ،لذا اين موارد بايستي در زمان پياده سازي و با
توجه به کنترل هاي سطح مياني توسط کارشناسان خبره طراح مراکز داده در حوزه هاي مختلف ،استخراج
شده و لحاظ گردند .اين حوزه ها حدودا 500تا 1000موضوع مختلف را شامل مي شوند.
در اين روش شرح داده شده اولين سطح ،مالحظات سطح باالي پدافند غير عامل مي باشد که در
هدف از مالحظات پدافند غير عامل سطح باالي مراکز داده ،ارائه انواع و مصاديق طبقه بندي مراکز
داده با رويکرد پدافند غير عامل مي باشد .بنابراين در مالحظات سطح باالي مراکز داده کشور ،دسته بندي
ا ين مراکز با توجه به مالحظات پدافند غير عامل کشور و همچنين مصاديق تعيين جايگاه يک مرکز داده
خاص در اين دسته بندي بررسي مي شود .توضيح اينکه ،پس از بيان دسته بندي مراکز داده ،مصاديقي ارائه
گرديده است که هر سازماني که بخواهد اقدام به ايجاد مرکز داده نمايد ،با توجه به اين مصاديق بتواند
سطح مرکز داده مورد نياز خود را احصاء نمايد ،سپس مالحظات پدافندي ذکر شده در اين سند (مالحظات
با توجه به سطوح دسته بندي مراکز از ديدگاه سازمان پدافند غير عامل ،ردههاي زير براي يک
در ادامه ،مصاديق رده بندي مراکز داده بيان شده و نهايتا در بخشهاي بعدي ،مالحظات پدافند غير
با توجه به اصول پدافند غير عامل يعني 3اصل امنيت ،ايمني و پايداري ،ساختار مراکز داده بايستي
به گونهاي طراحي و پياده سازي گردد که اين سه اصل همواره مورد توجه قرار گرفته شده باشد .مقوله اول
يعني امنيت در ادامه شرح داده خواهد شد ،مقوله دوم نيز در بخش امنيت محيطي و طبيعي مفصال مورد
توجه و تاکيد قرار گرفته شده است و مقوله سوم يعني پايداري نيز به عنوان يکي از اصول مهم پدافند
غيرعامل ،هم در موضوعات مرتبط به امنيت و هم در موضوعات مرتبط به تهديدات ناشي از جنگ و
مخاصمات بين المللي به آن پرداخته شده است ،بدين مفهوم که در دسترس بودن و پايداري مورد توجه
قرار گرفته است .الزم به ذکر است که مقوله هايي نظير کنترل و بازبيني ،زير مجموعه موارد گفته شده قرار
در ادامه مصاديق تعيين سطح يا رده يک مرکز داده بيان مي شود .براي اين منظور الزم است تا
در زمان طراحي يک مرکز داده ،با عنايت به اين مصاديق و توسط کارشناسان خبره و با نظارت سازمان
پدافند غير عامل ،اين تعيين سطح انجام گيرد .طبيعي است پس از تعيين سطح يک مرکز داده ،کليه
مالحظات پدافند غير عامل مربوط به آن سطح که در بخشهاي بعدي سند آورده شده است ،مي بايست
يکي از مصاديق تعيين سطح و رده مرکز داده يک سازمان ،سطح طبقه بندي داده ها و اطالعات آن
سازمان مي باشد .اين طبقهبندي بر اساس ضربه احتمالي در اثر عدم امنيت آنها در هر يک از ابعاد امنيتي
انجام ميشود .در ابتدا ابعاد و اهداف امنيتي بيان شده ،سپس سطوح ضربه تعريف و سپس بر مبناي آنها
در اين بخش ضربه بالقوه به سازمان يا کشور را در اثر عدم امنيت اطالعات يا امنيت به سه رده تقسيم
مي شود:
سطح ضربه پايين ) (lowاست اگر :عدم محرمانگي ،عاادم صااحت يااا عاادم دسااترسپذيري •
سطح ضربه متوسطط ) (moderateاسطت اگطر :عاادم محرمااانگي ،عاادم صااحت يااا عاادم •
سطح ضربه ،باال ) (highاست اگر :عدم محرمانگي ،عدم صحت يا عاادم دسااترسپذيري بااه •
الزم به ذکر است که مطابق با دستورالعملهاي حفاظتي ،سطوح محرمانگي دادهها و اطالعات
از اين منظر ،با توجه به ضربه بالقوه که عدم وجود هر يک از ابعاد امنيت ممکن است به سيستم
وارد نمايند ،دادهها و اطالعات طبقهبندي ميشود .سپس از اين طبقهبندي براي تعيين سطح مرکز داده براي
يک سازمانها استفاده خواهد شد .بديهي است اين تعيين سطح در زمان طراحي و پياده سازي مراکز داده و با
8-2-1-2تجميع دادهها
يکي ديگر از مصاديق تعيين سطح و رده مرکز داده يک سازمان ،ميزان تجميع داده ها و اطالعات
آن سازمان مي باشد .برخي دادهها ممکن است به تنهايي حساسيت کمي داشته باشند ولي هنگامي که
تجميع شوند و حجم زيادي از آنها کنار هم جمع شود ،حساسيت بااليي پيدا کنند .معموال دادهها هنگامي
که تجميع شوند طبقهبندي باالتري از طبقهبندي داده منفرد پيدا ميکنند .با توجه به پيشرفت ابزارهاي
استنتاج و دادهکاوي ،ممکن از دادههاي انبوه اطالعات مختلف و گوناگوني بتوان استخراج نمود .بنابراين
الزم است بر حسب مورد ،مالک دادهها درباره طبقهبندي تجميع دادهها تصميم بگيرد.
يکي ديگر از مصاديق تعيين سطح و رده مرکز داده يک سازمان ،نوع کاربرد آن مرکز داده مي
باشد .مراکز داده ممکن است کاربرد نظامي داشته باشند که در اين صورت حساسيت باااالتري خواهنااد
داشت .يا اينکه غير نظامي باشند .به عنوان مثال يک مرکز داده ممکن اساات در سااطح يااک وزارتخانااه
مورد استفاده قرار گيرد؛ يا يک مرکز داده براي ستاد کل مشترك نيروهاي مسلح تاسيس شود .بنابراين
کاربرد يک مرکز داده به عنوان نظامي يا غير نظامي بودن يااک مرکااز داده ،در تعيااين سااطح آن تااأثير
دارد.
مراکز داده در کشور ممکن است گسترههاي مختلفي از سطح کشور تا مراکز دادهاي کوچک در
سطح شهر داشته باشند .از اين رو سطوح مختلف گسترة مراکز داده به شرح زير پيشنهاد ميگردد:
صفحه 122از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
.1مركز داده كشوري (ملطي) :مرکااز دادهاي اساات کااه دادههاااي موجااود در آن در سااطح
.2مركز داده استاني :مرکز دادهاي است که دادههاي موجود در آن در سطح استاني بوده و يا
.3مركز داده شهري :مرکز دادهاي است که دادههاي موجود در آن در سطح شهري بوده و يا
در صورت خسارت ديدن يک مرکز داده کشااوري ،ممکاان اساات امنياات ملااي يااک کشااور بااه •
مخاطره بيفتد و يا حتي در صورت نظامي بودن ضرر جبرانناپذيري به کشااور وارد شااود .از اياان
در صورت خسارت ديدن يک مرکز داده با گستره استاني و با کاربرد غير نظامي ،ممکاان اساات •
بخشي از منابع کشور لطمه بخااورد .از اياان رو اياان مراکااز داده را در سااطح حساااس دسااتهبندي
ميکنيم.
در صورت خسارت ديدن يک مرکز داده با گستره شهري و با کاربرد غير نظامي ،ممکاان اساات •
بخشي از منابع يک يا چند سااازمان لطمااه بخااورد .از اياان رو ايان مراکااز داده را در سااطح مهاام
دستهبندي ميکنيم.
مراکز داده نظامي از نظر اهميت يک سطح باالتر از مرکز داده غيرنظامي با گسترة مشابه دارند. •
صفحه 123از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
8-2-1-5جمع بندي
با وجود آنکه نمي توان فرمولي واحد و جامع را براي تعيين سطح يک مرکز داده ارائه نمود ،لذا
بديهي است اين موضوع ،در زمان ايجاد آن مرکز داده و با توجه به مصاديق بيان شده ،توسط کارشناسان
8-3مراجع
9فصل نهم :تهديدات مراكز داده و مالحظات پدافند غير عامل سطح مياني
فصل نهم:
مالحظات پدافند
9-1مقدمه
در اين بخش کنترلهاي الزم در خصوص مالحظات پدافند غير عامل مراکز داده متناسب با سطح
مراکز داده (مهم ،حساس و حياتي) بيان گرديده است .همان طور که گفته شد ،روش کار بدين صورت
بوده است که با برشمردن تهديدهاي مراکز داده ،با بررسي و انتخاب راهکارهاي مناسب در قالب
کنترلهاي فني پيشنهادي با توجه به شرايط ملي و بومي کشور ،موارد الزم بيان گرديده است .اين کنترلها
براي تهديدات مربوط به مراکز داده که در 3دسته کلي "تهديدات جنگ و مخاصمات بين الملل"،
"تهديدات امنيتي" و "تهديدات محيطي و طبيعي" دسته بندي شده اند ،بيان گرديده است.
در ادامه به طور مفصل به اين تهديدات و همچنين راهکارهاي متناسب با آنها براي سطوح مختلف
در اين بخش ليست تهديدات شناسايي شده که مراکز داده امروزي را مورد هدف قرار داده را
مورد توجه قرار داده و در ادامه در بخشهاي بعدي بسته به نوع مرکز داده (مهم ،حساس و حياتي) به ارائه
کنترلهاي الزم در جهت کاهش مخاطرات ناشي تهديدات به مراکز داده ميپردازيم.
تهديدات ناشي از جنگ (اطالعات و فيزيکي) و مخاصمات بين المللي دسترسي غيرمجاز به اطالعات 7
تهديدات ناشي از جنگ (اطالعات و فيزيکي) و مخاصمات بين المللي دسترسي غيرمجاز به شبکه 8
تهديدات ناشي از جنگ (اطالعات و فيزيکي) و مخاصمات بين المللي دسترسي غيرمجاز به سيستمعامل 9
تهديدات ناشي از جنگ (اطالعات و فيزيکي) و مخاصمات بين المللي دسترسي غيرمجاز به برنامههاي کاربردي 10
دسترسي غير مجاز به اطالعات يا سيستمهاي حين مبادله با
تهديدات ناشي از جنگ (اطالعات و فيزيکي) و مخاصمات بين المللي 11
نهادهاي خارج از مرکز داده
تهديدات ناشي از جنگ (اطالعات و فيزيکي) و مخاصمات بين المللي پردازشهاي اطالعاتي غير مجاز 12
تغيير غيرمجاز ،از دست دادن يا سوءاستفاده از اطالعات در
تهديدات ناشي از جنگ (اطالعات و فيزيکي) و مخاصمات بين المللي 13
برنامههاي کاربردي
تهديدات ناشي از جنگ (اطالعات و فيزيکي) و مخاصمات بين المللي حمله فيزيکي ،هستهاي و اتمي 14
تهديدات ناشي از جنگ (اطالعات و فيزيکي) و مخاصمات بين المللي بمب گذاري يا انفجار 15
تهديدات ناشي از جنگ (اطالعات و فيزيکي) و مخاصمات بين المللي حوادث شيميايي 16
تهديدات ناشي از جنگ (اطالعات و فيزيکي) و مخاصمات بين المللي جنگ الکترومغناطيسي 17
تهديدات ناشي از جنگ (اطالعات و فيزيکي) و مخاصمات بين المللي ارگانيزم ها ( ويروس ،باکتري و) ... 18
تهديدات ناشي از جنگ (اطالعات و فيزيکي) و مخاصمات بين المللي دسترسي غير مجاز به سيستم ها ،تجهيزات و منطقه فيزيکي 19
تهديدات ناشي از جنگ (اطالعات و فيزيکي) و مخاصمات بين المللي دسترسي غير مجاز به رسانههاي ذخيرهسازي اطالعات 20
تهديدات ناشي از جنگ (اطالعات و فيزيکي) و مخاصمات بين المللي دسترسي فيزيکي غيرمجاز به بستر انتقال دادهها 21
تهديدات ناشي از جنگ (اطالعات و فيزيکي) و مخاصمات بين المللي عدم سازگاري با فنآوريهاي مدرن جنگ الکترونيک 22
تهديدات ناشي از جنگ (اطالعات و فيزيکي) و مخاصمات بين المللي آسيب يا سرقت (فيزيکي) 26
تهديدات ناشي از جنگ (اطالعات و فيزيکي) و مخاصمات بين المللي اختالل در ارتباطات شبکه 27
تهديدات ناشي از جنگ (اطالعات و فيزيکي) و مخاصمات بين المللي اختالل در سيستم برق 28
تهديدات ناشي از جنگ (اطالعات و فيزيکي) و مخاصمات بين المللي قرار دادن کشور در موقعيت جنگ تمام عيار اطالعاتي 29
تهديدات ناشي از جنگ (اطالعات و فيزيکي) و مخاصمات بين المللي تهديد ناشي از تحريم فن آوري هاي پيشرفته خارجي 30
تهديدات ناشي از جنگ (اطالعات و فيزيکي) و مخاصمات بين المللي وابستگي به خارج از کشور در بخش تعمير و نگهداري 31
تهديدات ناشي از جنگ (اطالعات و فيزيکي) و مخاصمات بين المللي وابستگي به توليدات سخت افزاري و نرم افزاري خارجي 32
تهديدات ناشي از جنگ (اطالعات و فيزيکي) و مخاصمات بين المللي تغيير سريع فن آوري (در حوزه جنگ سايبر) 33
تهديدات ناشي از جنگ (اطالعات و فيزيکي) و مخاصمات بين المللي جهاني شدن 34
صفحه 127از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
تهديدات ناشي از جنگ (اطالعات و فيزيکي) و مخاصمات بين المللي زيرساختهاي عمده جهاني نظير اينترنت 35
تهديدات ناشي از جنگ (اطالعات و فيزيکي) و مخاصمات بين المللي حمالت مختل کننده خدمات 36
تهديدات ناشي از جنگ (اطالعات و فيزيکي) و مخاصمات بين المللي جنگ رواني دشمن 37
تهديدات ناشي از جنگ (اطالعات و فيزيکي) و مخاصمات بين المللي تغيير هويت اطالعات درحال گذر 38
تهديدات ناشي از جنگ (اطالعات و فيزيکي) و مخاصمات بين المللي دسترسي غيرمجاز به اطالعات 39
تهديدات ناشي از جنگ (اطالعات و فيزيکي) و مخاصمات بين المللي ناآراميهاي اجتماعي 40
تهديدات امنيتي ورود و خروج غير مجاز افراد 41
تهديدات امنيتي عدم رويکرد مداوم براي مديريت حوادث امنيتي 42
تهديدات امنيتي عدم اصالح و بازيابي پس از حوادث امنيتي 43
تهديدات امنيتي ناامني يا نادرستي در عمليات پردازش اطالعات 44
تهديدات امنيتي عدم امنيت در تعامل با طرفهاي ثالث 45
تهديدات امنيتي خطاهاي سيستم 46
تهديدات امنيتي برونسپاري خدمات و پردازش اطالعات 47
تهديدات امنيتي عدم بکارگيري نرمافزارهاي کدباز 48
نقض صحت 1و دسترسپذيري اطالعات و سيستمهاي
تهديدات امنيتي 49
پردازش اطالعات
تهديدات امنيتي عدم حفاظت اطالعات در شبکهها 50
تهديدات امنيتي دسترسي غير مجاز کاربر 51
عدم در نظر گرفتن امنيت در سيستمهاي اطالعاتي به عنوان
تهديدات امنيتي 52
يک بخش اصلي
نقض محرمانگي يا صحت اطالعات در اثر عدم استفاده يا
تهديدات امنيتي 53
استفاده نادرست از رمزنگاري
تهديدات امنيتي عدم اطمينان از امنيت فايل سيستم ها 54
تهديدات امنيتي نقض امنيت اطالعات و نرمافزارهاي کاربردي سيستمعامل 55
تهديدات امنيتي عدم مديريت آسيبپذيريهاي فني 56
تهديدات امنيتي عدم رعايت قوانين 57
تهديدات امنيتي عدم وجود مديريت يکپارچه امنيت اطالعات 58
تهديدات امنيتي عدم سازگاري با خط مشيها 59
تهديدات امنيتي فقدان نظام مديريت امنيت اطالعات 60
تهديدات امنيتي استخدام يا به کارگماري افراد نامناسب 61
تهديدات امنيتي عدم آگاهي نيروهاي انساني از مسووليتها و تعهدات 62
1
Integrity
صفحه 128از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
در اين بخش ،مالحظات پدافند غير عامل به تفکيک هر تهديد براي مراکز داده مهم ،حساس و
حياتي بيان شده است .الزم به ذکر است که مراکز داده حساس ،عالوه بر کنترلهاي مراکز داده مهم مي
بايست کنترلهاي ذکر شده براي مراکز داده حساس را نيز لحاظ نمايند .به همين ترتيب ،مراکز داده حياتي،
عالوه بر کنترلهاي ذکر شده براي مراکز داده مهم و حساس ،مي بايست کنترلهاي ذکر شده براي مراکز
نوع مركز
شرح كنترل تهديد رديف
داده
ايجاد اتصال زمين براي تجهيزات به منظور انتقال بار الکتريکي •
اضافي
تجهيزات بايد از افت جريان برق يا هر اختاللي که بر اثر عدم •
پشتيباني تأسيسات بوجود ميآيد ،حفاظت شوند(A.9.2.2) .
تجهيزات محافظ جهت جلوگيري از عملکرد اعوجاج و امواج •
الکترونيکي و الکتريکي
تجهيزات محافظ ولتاژ به منظور جلوگيري از تغييرات و ضربه هاي • مهم
ولتاژ برق اختالل الکترونيکي و الکتريکي 1
بکارگيري سيستم برق اضطراري مجهز به مانيتور جهت مشاهده •
وضعيت برق تغذيه کننده سيستم ها
محافظت در مقابل نقايص منبع تغذيه •
آموزش کارکنان شاغل در مرکز جهت رفع اشکاالت مربوط به •
اختالل هاي الکترونيکي و الکتريکي
بکارگيري ژنراتور برق جهت توليد برق در زمان وقوع اختالل •
حساس
استفاده از تجهيزات جلوگيري کننده از اختالل الکترونيکي •
1شماره هاي انتهاي هر کنترل امنيتي ،ارجاع به شماره کنترل در استاندارد ISO/IEC 27001:2005مي باشد .در برخي موارد از کنترلهاي
استاندارد NIST SP-800-30نيز استفاده شده است که دراين صورت شماره مربوطه ذکر شده است.
صفحه 130از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
ايجاد يک مسير برق غير فعال براي زمان بوجود آمدن اختالل •
حياتي
الکتريکي و استفاده از آن
کنترلهاي کشف ،جلوگيري ،و ترميم به منظااور محافظاات در براباار •
کدهاي مخرب ،به همراه روالهاااي مناسااب آگاااهي کاااربران بايااد
پيادهسازي شوند(A.10.4.1) .
جايي که استفاده از کد سيار مجاااز اساات ،پيکربناادي آنهااا بايااد بااه • مهم
گونه اي باشد که اطمينان از تطابق کدهاي سيار مجاز بااا خااط مشااي
هاي امنيتي تعريف شده ،حاصل شود و بايد از اجراي کد سيار غياار کدهاي مخرب و بدافزارها
2
مجاز جلوگيري شود(A.10.4.2) . )(Malwares
استفاده از نرمافزارهاي بومي جهت کشف بدافزارها •
ايجاد محدوديتهايي در جهت ممانعت از دريافت کدهاي اجرايي •
از سوي افراد حساس و حياتي
مسدود کردن درگاههاي غيرضروري سيستم به منظور جلااوگيري از •
امکان سوء استفاده به عنوان درهاي پشتي
بايد يک خط مشي رسمي اِعمااال شااده و روشااهاي مناسااب امنيتااي •
جهت محافظت در برابر ريسکهاي اسااتفاده از کامپيوترهاااي ساايار و
مهم ،حساس و
امکانات ارتباطات بايد به کار گرفته شوند(A.11.7.1) . دسترسي غيرمجاز از راه دور 3
حياتي
بايد يک خط مشي ،برنامه هاي عملياتي و روش هاي اجرايي توسعه •
يافته براي فعاليتهاي کاري از راه دور اجرا شوند(A.11.7.2).
فرآيند تنظيم شده بايد توسعه يافته و بايااد جهاات اسااتمرار کسااب و •
کار در کل سااازمان نگهااداري شااود کااه اشاااره بااه الزامااات امنيتااي
اطالعات مااورد نياااز بااراي اسااتمرار کسااب و کااار سااازمان را دارد.
)(A.14.1.1
رخدادهايي که ممکن است باعااث وقفااه در کااار مرکااز داده شااوند •
بايد به همراه احتمااال و خسااارت ناشااي از وقفااه و ديگاار پياماادهاي
امنيتي مشخص شوند.
بايد براي نگهداري يا بازيابي عمليات و اطمينااان از دسااترسپذيري • مهم و حساس وقفه در کار 4
در سطح مورد نظر و در زمان مورد نظر برنامهريزي شود.
بايد يااک چااارچوب کلااي بااراي طرحهاااي اسااتمرار کسااب و کااار •
تدوين شااود تااا طرحهااا سااازگار بااوده و نيازمنااديهاي امنيتااي را بااه
درستي مشخص کننااد .همچنااين اولويتهاااي آزمااون و ارزيااابي را
مشخص نمايد.
طرحهاي تداوم کسب و کار بايااد آزمااايش شااده و بااه طااور ماانظم •
ارتقاء يايند تا از به روز بودن و اثر بخشي آنها اطمينان حاصل شااود.
صفحه 131از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
)(A.14.1.5
هر طرحي که احتمال ايجاد وقفه در کسب و کار را تقويت ميکند •
ميبايستي برکنار و راهکار جايگزيني ارائه گردد.
حياتي
عوامل ايجاد وقفه شناسايي گردند و ريسک حضور اياان عواماال در •
طراحي مرکز داده در نظر گرفته شود.
هر مورد از تجهيزات که شامل ذخيره رسانه است ،قبل از کنار •
گذاري بايد به منظور حصول اطمينان از عدم وجود اطالعات خاص
بررسي شود .اينگونه اطالعات و نرم افزارهاي ثبت شده کنار
گذاشته شده بايد قبل از کنار گذاري در صورت نياز بر روي رسانه
اي ديگر ثبت گردد.
بکارگيري سيستم تشخيص هويت و شناسايي افراد به صورت جامع • مهم
جلوگيري از عکاسي ،فيلمبرداري و ضبط صدا • جاسوسي 5
ثبت تمام ورود و خروج ها •
آموزش ضد جاسوسي به کارکنان •
تهيه نقشه تأسيسات و قابليت دسترسي آنها براي افراد مجاز •
تهيه ليست تجهيزات و قابليت دسترسي آنها براي افراد مجاز •
جداسازي مکانهاي فعاليت افراد • حساس
محرمانگي مسيرهاي فيزيکي انتقال اطالعات و انرژي • حياتي
تهيه دادههاي پشتيبان در فواصل زماني مناسب به منظااور جلااوگيري •
از احتمال بروز خرابي در تماميت و صحت دادهها
ردگيري و تهيه سوابق دقيق از عمليات صورت گرفتااه از سااوي هاار •
کاربر به منظور مطالعه و شناسايي رفتار و اقدامات مشکوك صورت
گرفته
کاهش سطح تماس سرويسهاي مرکز داده به متقاضيان •
پرهيز از افشاء ماهيت و رفتار دروني سيستم ،نرم افزار /سختافزار و •
مهم ،حساس و حمالت تروريستي
مولفههاي نرمافزاري به کار رفته در آن به سايرين 6
حياتي سايبري(هکرها)
اتخاذ سياست امنيتي مثبت به عنوان يک سياست امنيتي بازدارنده •
استفاده از مولفههاي امنيتي فعال چااون دروازههاااي آتااش در محاال •
ورودي ترافيک به شبکه داخلي مرکز داده
به کارگيري سيستم هاااي تشااخيص نفااوذ مبتنااي باار رفتااار و امضاااء •
جهت تشخيص به موقع ناهنجاريهاي رفتاري کاربران
آموزش پرسنل به استفاده از کلمات عبور طوالني و پيچيده و تغيياار •
کلمات عبور به طور ادواري
صفحه 132از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
پيش بيني تجهيزات الزم بمنظور معدوم ساختن اطالعات حياتي در •
صورت دسترسي دشمن به تأسيسات داخلي مراکز داده
استفاده از نيروهاي نظامي و انتظامي به منظور حفاظت فيزيکي از •
مرکز داده
کنترل تردد تجهيزات و بسته ها •
طراحي و بکارگيري برنامه حفاظت فيزيکي در برابر آسيبهاي ناشي •
از انفجار ()A.9.1.4
مهم
آموزش کارکنان شاغل در مرکز جهت رفع اشکاالت و ايرادات •
بوجود آمده پس از انفجار
بمب گذاري يا انفجار 15
ارتباط مستقيم با متخصصان مربوط به خنثي سازي موارد منفجره •
نقاط دسترسي نظير نواحي بارگيري يا تحويل و ديگر نقاطي که •
احتمال ورود اشخاص فاقد صالحيت وجود دارد کنترل شده و در
صورت امکان از ساير بخشها و تأسيسات منفک گردد.
تجهيزات بايد به منظور کاهش ريسک هاي حاصل از تهديدات و •
آسيبهاي محيط و فرصتهاي دسترسي غيرمجاز ،حفاظت
شوند(A.9.2.1).
تجهيزات بايد جهت حصول اطمينان از تداوم دسترسي و صحت •
بطور مناسب نگهداري شوند(A.9.2.4).
تجهيزات ،اطالعات يا نرم افزار نبايد بدون مجوز قبلي از محل •
خارج شوند(A.9.2.7).
مهم
از سامانه هاي امنيتي (موانعي نظير ديوارها ،گيت هاي ورودي که با • دسترسي غير مجاز به سيستم ها،
19
کارت کنترل مي شود يا ميزهاي پذيرش آماده) بمنظور محافظت تجهيزات و منطقه فيزيکي
ناحيه هايي که شامل اطالعات و سامانه هاي پردازش اطالعات
باشد ،استفاده شود)A.9.1.1( .
نواحي امن بوسيله کنترل هاي ورودي مناسب جهت اطمينان از •
اينکه فقط پرسنل مجوز دار اجازه دسترسي داشته باشند محافظت
شود)A.9.1.2( .
امنيت فيزيکي الزم براي دفاتر ،اتاق ها و تاسيسات ،طراحي و بکار •
گرفته شود)A.9.1.3(.
آموزش هاي الزم به کابران ارائه گردد. •
بکارگيري سيستم حفاظت فيزيکي هوشمند پيراموني (دوربين هاي •
حساس و حياتي
مدار بسته ) و هشدار دهنده
بايااد دسااتورالعمل اجرايااي بااراي مااديريت رسااانه متحاارك تاادوين •
گردد(A.10.7.1) .
در صورت عدم نياز به يک رسانه ،بايد به صورت امن و ايمن و طي • دسترسي غير مجاز به رسانههاي
مهم 20
يک فرآيند رسمي امحاء شود(A.10.7.2) . ذخيرهسازي اطالعات
مسااتند سااازي سيسااتم بايااد در براباار دسترسااي غياار مجاااز حفاظاات •
شود(A.10.7.4).
صفحه 138از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
رسانه هاي ذخيره سازي اطالعات در محل امن نگهداري شوند. •
اطالعات رسانه قبل از تعويض ثبت گردد(A.9.2.6) . •
وجود روش هاي اجرايي در محل براي مديريت رسانه متحرك. •
)(A.10.7.1
در صورت عدم نياز به يک رسانه ،بايد به صورت امن و ايمن و طي •
يک فرآيند رسمي امحاء شود(A.10.7.2) . حساس و حياتي
شبکه ها بايد به منظااور حفاظاات در براباار تهدياادها و حفااظ امنياات •
سيستمها و برنامه هاي کاربردي شبکه و داده هاي در حال انتقال ،به
طور مناسب مديريت شوند(A.10.6.1).
لزوم حفاظت از بسترهاي انتقال داده با تدوين سياست نامه اي در •
خصوص نحوه دسترسي به آنها ،مسئوليتهاي افراد در اين ارتباط و
کد گذاري بسترها ي انتقال ( NIST-MP- ( ، ) NIST-MP-1
) 2و ( ) NIST-MP-3
نحوه دسترسي ،افراد مجاز و نحوه دريافت اطالعات ورودي به •
بسترهاي انتقال از هر نوع ( اطالعات الکترونيکي ،کاغذي و ) ... مهم
بايستي مورد کنترل قرار گيرد) NIST-MP-5 ( .
دسترسي فيزيکي غيرمجاز به
حفاظت فيزيکي مناسب از کابلها و بکارگيري داکت • 21
بستر انتقال دادهها
قرار دادن کانال انتقال دادهها در محيط غيرقابل دسترسي •
کنترل بسترهاي انتقال داده در زمان کنارگذاري و يا استفاده مجدد •
آنها) NIST-MP-7 (.
استفاده از مکانيزمهاي بازدارنده روي کانالهاي انتقال داده به •
حساس
منظور کاهش احتمال دسترسي فيزيکي غيرمجاز
استفاده از چند کانالهاي ارتباطي به جاي يک کانال ارتباطي و •
حياتي
انتقال دادهها به صورت تصادفي از اين کانالها
جايگزيني فنآوري موجود با فن آوري قابل انطباق •
استفاده از فنآوريهاي مبدل به منظور انطباق فنآوري موجود با •
مهم ،حساس و عدم سازگاري با فنآوريهاي
فنآوري مدرن 22
حياتي مدرن جنگ الکترونيک
تالش براي بروزسازي فنآوري جديد با افزودن قابليتهاي موجود •
در فنآوريهاي مدرن
استفاده از مولفههاي مبدل به منظور ايجاد ارتباط و هماهنگي بين • تهديد ناشي از عدم سازگاري با
مهم ،حساس و
سيستمهاي کنوني اطالعات عمليات و سيستمهاي نوين اطالعات سيستمهاي مدرن اطالعات 23
حياتي
عمليات عمليات
صفحه 139از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
اتخاذ مالحظاتي براي امکان جابجايي تجهيزات ذخيره سازي داده • تهديد ناشي از عدم سازگاري با
مهم ،حساس و
ها و اطالعات در زمان بحران بمنظور استفاده در مرکز داده ديگر فن آوريهاي مدرن جنگ 24
حياتي
متحرك
آموزش کارکنان شاغل در مرکز جهت جلوگيري از سرقت •
الکترونيکي شناسههاي هويت آنها
مهم
ملزم کردن کارکنان به تغيير کلمات عبور به صورت ادواري •
استفاده از کلمات عبور پيچيده ،طوالني غيرقابل حدس زدن •
دسترسي به اطالعات طبقهبندي شده بايد لزوماً با عبور از •
مکانيسمهاي احراز هويت چندگانه امکانپذير گردد.
حساس
کاهش کانال هاي الکترونيکي جهت دسترسي کاربران به منابع •
دادهاي و سرويسهاي ارائه شده از سوي مرکز داده آسيب يا سرقت (الکترونيکي) 25
قبل از دسترسي کاربر به اطالعات و سرويس حياتي حتماً شناسه •
هويت کاربر بار ديگر از وي درخواست گردد.
دسترسي به اطالعات حياتي مبتني بر احراز هويت کاربران بر مبناي •
مشخصه هاي بيومتريک چون مشخصه عنبيه افراد ،اثر انگشت، حياتي
DNAو ...باشد .براي اين منظور الزم است که دستگاههايي با
امکان تشخيص و دريافت اين اطالعات بر روي سيستم هاي
کامپيوتري مستقر باشد.
از تجهيزات بايد به منظور کاهش ريسک هاي حاصل از تهديدات •
و آسيبهاي محيط و فرصتهاي دسترسي غيرمجاز ،متناسب با ماهيت
هر يک حفاظت شود.
آموزش کارکنان شاغل در مرکز جهت جلوگيري از آسيب يا •
سرقت
از نقشه تأسيسات و موارد زير بنايي در مکان مناسب (گاوصندوق يا • مهم
محل مطمئن) حفاظت گردد. آسيب يا سرقت
26
ثبت ورود و خروج افراد • (فيزيکي)
حفاظت از ليست تجهيزات •
حفاظت از تجهيزات در زمان انتقال به تعميرگاه و يا به هنگام تعمياار •
و رعايت تمهيدات مربوطه
جداسازي مکانهاي فعاليت افراد داراي دسترسي هاي مختلف •
حساس
رعايت اصول و سطوح طبقه بندي •
رعايت محرمانگي مسيرهاي فيزيکي انتقال اطالعات و انرژي • حياتي
استفاده از کانالهاي ارتباطي فاقد امکان اختالل •
مهم اختالل در ارتباطات شبکه 27
شيلد کردن کانالها و تجهيزات ارتباطي و مکانهاي قرار گرفتن اين •
صفحه 140از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
تجهيزات
1
Integrity
صفحه 146از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
شود(A.10.3.3).
هر سيستم اطالعاتي بايد محاادوديت حااداکثر 3ورود ناااموفق را در •
طي 30دقيقه اعمال کند .پس از رسيدن تعداد ورودهاي ناااموفق بااه
حد نصاب ،سيستم بايد قفل شده و بااه طااور خودکااار پااس از يااک
ساعت به حالت عادي برگردد(NIST-AC-7 ) .
مرکز داده بايد مطابق خااط مشاايهاي اسااتفاده و اِعمااال کنترلهاااي •
دسترسي ،فعاليتهاي کاربران را مرور کرده و بر آنها نظارت داشااته
باشد(NIST-AC-13) .
سيستمها بايد حسابهاي کاربري موقتي و اضطراري را بالفاصله پااس •
از اتمام کار غيرفعال نمايند(NIST-AC-2(2) ).
هر سيستم اطالعاتي بايد پس از 5دقيقه عدم فعاليت کاربر ،نشساات •
وي را قفل نمايد و دسترسي مجدد کاااربر را منااوط بااه طااي مراحاال حساس
احراز هويت و مجاز شناسي نمايد(NIST-AC-11) .
هر سيستم اطالعاتي بايد پس از 15دقيقه عدم فعاليت کاربر ،به طور •
کامل به نشست خاتمه دهد ( log offنمايد)(NIST-AC-12) .
مرکز داده بايد از مکانيزمهاي خودکار مديريت حسااابهاي کاااربري •
سيستمها استفاده نمايد(NIST-AC-2(1) ) .
همه سيستمهاي اطالعاتي بايد حساب کاربري بالاستفاده را [پااس از •
مدت زمان مشخص شده در سياست امنيت سازمان مربوط بااه مرکااز
داده] غير فعال نمايند(NIST-AC-2(3) ) .
سيستم اطالعاتي بايد پس از رسيدن تعداد ورودهاي ناموفق بااه حااد • حياتي
نصاب ،به طور خودکار قفل شده و تنها توسط مدير سيستم به حالت
عادي برگردد(NIST-AC-7(1) ) .
مرکز داده بايد از مکانيزمهاي خودکار براي اطمينان از اين که همااه •
اعمال ايجاد ،تغيير ،غيرفعالسازي ،و حذف بازرسااي و بااه کاااربران
مقتضي اطالع داده ميشود ،بهره بگيرند(NIST-AC-2 (4) ) .
هر گونه درخواست براي تهيه ،خريد ،يا توليد سيستمهاي اطالعاتي •
بايد صريحا نيازمنديها و الزامات امنيتي را نيز مشخص کند.
عدم در نظر گرفتن امنيت در
در تمامي بخشهاي يک سيستم اطالعاتي از توليد تااا بهااره باارداري، • مهم ،حساس و
سيستمهاي اطالعاتي به عنوان 52
امنيت بعنوان يک جزء انکار ناپذير در نظر گرفته شود. حياتي
يک بخش اصلي
تشکيالت امنيتااي و ساااختار سااازماني الزم بااراي امنياات پاايش بينااي •
گردد.
براي حفاظت از اطالعات بايد يک خط مشي استفاده از کنترل هاي • مهم ،حساس و نقض محرمانگي يا صحت
53
رمز نگاري توسعه پيدا کرده و اجرا شود(A.12.3.1). حياتي اطالعات در اثر عدم استفاده يا
صفحه 147از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
مديريت کليد بايد جهت پشتيباني از اسااتفاده سااازمان از تکنيکهاااي • استفاده نادرست از رمزنگاري
رمز نگاري تعبيه شود(A.12.3.2).
از سيستم فايلهاي مطمئن استفاده گااردد و در اياان راسااتا از مشاااوره •
مجموعه هاي متخصص و مورد اعتماد بهره گرفته شود. مهم ،حساس و عدم اطمينان از امنيت فايل
54
بايااد روش هاااي اجرايااي جهاات کنتاارل نصااب ناارم افاازار باار روي • حياتي سيستم ها
سيستمهاي عامل تعبيه شوند(A.12.4.1).
هر گونه تغيير با استفاده از روش هاي اجرايي رسمي کنترل تغييرات •
کنترل شود(A.12.5.1).
تغييرات در بسته هاااي ناارم افاازار بايااد کاام شااده ،بااه تغيياارات الزم •
محااادود شاااود و هماااه تغييااارات باياااد شاااديداً تحااات کنتااارل
باشند(A.12.5.3).
از هر گونه نشست اطالعات بايد جلوگيري شود(A.12.5.4). •
توسعه و تغيير نرم افزار باارون سااپاري شااده بايااد توسااط مرکااز داده •
نظارت شود(A.12.5.5).
مرکز داده بايد پيکربندي پايه و اوليه هر سيستم اطالعاااتي را تهيااه و •
مهم و حساس
مستند ساخته و فهرستي از مولفههاي سازگار سيستم تهيه نمايد.
نقض امنيت اطالعات و
مرکاااز داده باياااد هااار گوناااه تغييااار در سيساااتمهاي اطالعااااتي را •
نرمافزارهاي کاربردي 55
مستندسازي و کنتاارل نمايااد .اياان تغيياارات بايااد ابتاادا توسااط مقااام
سيستمعامل
مسوول تاييد شود.
مرکز داده بايد تغيير دادن سيستمهاي اطالعاتي را محاادود بااه افااراد •
مجاز نمايد.
بايااد پيکربناادي امنيتااي سيسااتمهاي اطالعاااتي بااه نحااوي باشااد کااه •
بيشترين محدوديت را اعمال نمايد و سازگار با نيازمنديهاي عملياتي
و امنيتي سيستمها شود(NIST CM-6).
مرکااز داده بايااد از روشااهاي خودکااار بااراي اعمااال محاادوديت •
دسترسي در تغيير سيستمهاي اطالعاتي استفاده نمايد.
حياتي
مرکز داده بايد از روشهاي خودکار براي مديريت ،اعمال و بررسااي •
پيکربندي سيستمهاي اطالعاتي بهره بگيرد.
براي تأمين اين الزامات بايد صااريحاً مشااخص ،مستندسااازي شااده و حياتي
براي هر سيستم اطالعاتي سازمان ارتقاء داده شود(A.15.1.1).
براي حصول اطمينان از انطباق با الزامات قانون گذاري ،مقرراتااي و •
قراردادي در استفاده مادي بااا توجااه بااه ارتباااط بااا حقااوق مالکياات
فکااري يااا اسااتفاده اختصاصااي محصااوالت ناارم افاازاري ،روشااهاي
اجرايي تدوين و اجرا شود(A.15.1.2).
سوابق مهم بايد در برابر مفقود شدن ،تخريب و تحريف طبق قوانين •
قااانوني ،مقرراتااي و قااراردادي الزامااات کسااب و کااار ،محافظاات
شوند(A.15.1.3).
از اسااتفاده کاااربران از امکانااات پااردازش اطالعااات باادون مجااوز •
ممانعت به عمل آيد(A.15.1.5).
يک سند سياست امنيتي توسط مديريت مرکز داده تدوين و •
تصويب گرديده و منتشر گردد و بر حسب اقتضاء مورد تبادل نظر با
تمام کارکنان قرار گيرد.
خطمشي هاي ذکر شده در سند سياست امنيتي بايد به طور منظم و •
مهم ،حساس و عدم وجود مديريت يکپارچه
نيز در مواردي که تغييرات مؤثري وجود داشته باشد ،مورد بازنگري 58
حياتي امنيت اطالعات
قرار گيرند تا از تداوم مناسب بودن خطمشي اطمينان حاصل شود.
فرم ها ،اسااناد و سياساات واکاانش سااريع مرکااز داده شااامل اهاادف، •
محدوده ،قوانين ،مسؤليتها و هماهنگي ،همچنين مکانيزمهاي کنترلي
پياده سازي ،توليد و مرتبا مرور و به روز گردند(NIST-IR-1).
مديران بايد از اجااراي صااحيح تمااام روش هاااي اجرايااي امنياات در •
حيطه مسئوليتشان براي دستيابي به تطااابق بااا سااند سياساات امنيتااي و
مهم ،حساس و
استانداردها ،مطمئن شوند(A.15.2.1). عدم سازگاري با خط مشيها 59
حياتي
سيسااتم هاااي اطالعاااتي بايااد بااه طااور ماانظم از نظاار تطااابق فنااي بااا •
استانداردهاي اجرايي امنيت مورد بررسي قرار گيرند(A.15.2.2).
مديريت بايد فعاالنه از امنيت در سااازمان بااا ساااختار شاافاف ،تعهااد •
آشکار ،وظيفه صريح و قبول مسئوليتهاي امنيت اطالعااات پشااتيباني
کند(A.6.1.1) .
تشکيالت الزم و نيروي انساني متخصص در زمينااه امنااي اطالعااات •
مهم،حساس و فقدان نظام مديريت امنيت
جذب يا تربيت گردند. 60
حياتي اطالعات
مساائوليتهاي حفاظاات از هريااک از داراييهاااي منفاارد و انجااام •
فرآينااادهاي امنيتاااي مشاااخص باياااد باااه طاااور شااافاف تعرياااف
شوند(A.6.1.3).
براي استفاده از امکانات پردازش اطالعات جديد ،بايد يک فرآينااد •
صفحه 149از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
مسئوليتها براي آن افرادي که دوره استخدامشان پايان يافته يااا تغيياار •
پيااادا کااارده باياااد بصاااورت روشااان و واضاااح باااوده و تعياااين
شود(A.8.3.1).
همه کارکنان ،پيمانکاران و کاااربران ثالااث بايااد همااه دارايااي هاااي •
تهديدهاي مربوط به تغيير شغل
سازمان را (آنچااه در تصاارف دارنااد) بااه محااض خاتمااه اسااتخدام ، مهم ،حساس و
يا انفصال از خدمت کارکنان و 63
قرارداد و توافق بازگردانند(A.8.3.2). حياتي
پيمانکاران
مجوزهاي دسترسي به اطالعات و امکانات پردازش اطالعات بااراي •
کل کارکنااان ،پيمانکاااران و کاااربران ثالااث بايااد بااه محااض اتمااام
استخدامشان ،قرارداد و توافقشان حااذف شااده يااا بااه محااض تغيياار،
تنظيم شود(A.8.3.3).
ريسکهاي مرتبط با دسترسي به امکانات پردازش اطالعااات سااازمان •
توسط طرف خارج مرکز داده (منظااور طرفهاااي داخاال کشااور مااي
باشد نه خارج کشور) بايد برآورد شده و کنترلهاي امنيتااي مناسااب
پيادهسازي گردد)A.6.2.1(. مهم ،حساس و دسترسيهاي غيرمجاز طرفهاي
64
در قراردادهاااي بااا طرفهاااي خااارج مرکااز داده شااامل دسترسااي، • حياتي خارج مرکز داده
پردازش ،ارتباط ،مديريت اطالعات يا تجهيزات ،خريااد تجهياازات،
نصاااب و غياااره باياااد تماااام ملزوماااات امنيتاااي مرباااوط مشاااخص
شوند)A.6.2.3(.
نصب سيستمهاي مديريت بحران •
اتخاذ سياستها و مکانيزمهاي اجرايي جهت جلوگيري از وقوع •
مهم ،حساس و عدم تجهيز به سيستم مديريت
شرايط اضطرار 65
حياتي بحران و شرايط اضطرار
آموزش پرسنل براي رويارويي با شرايط اضطرار •
تهيه دستورالعملهاي الزم و ابالغ آن به زير مجموعه ها •
بکارگيري سيستمهاي هشداردهنده سريع در حوزه هاي مختلف •
بکارگيري سيستمهاي هوشمند اعبالم خطر در خصوص حمالت •
مهم ،حساس و فقدان يک سيستم هشداردهنده
سايبري (نظير )DIDS 66
حياتي سريع و به موقع
بکارگيري سيستمهاي اعبالم حريق هوشمند •
آموزش پرسنل براي استفاده از اين سيستمها •
استفاده از سازههاي امن و پايدار در طراحي مرکز داده •
مهم
قرار دادن تجهيزات حساس و آسيبپذير در فضاي مطمئن • عدم بکارگيري سازههاي امن و
67
استفاده از موانع طبيعي عالوه بر سازههاي مصنوعي (پوشش سازه • پايدار
حساس و حياتي
هاي مصنوعي در درون موانع طبيعي نظير عمق زمين يا زير کوه )
صفحه 151از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
شناسايي علل ناشي از توليد اطالعات غلط اعم از نرم افزاري، • مهم ،حساس و
سخت افزاري و نيروي انساني و رفع اين موارد توليد اطالعات غلط و نامطمئن 68
حياتي
استفاده از سامانه هاي مبدل جهت ايجاد سازگاري با سيستم • مهم ،حساس و عدم سازگاري با سيستم
78
اطالعات جغرافيايي در صورت نياز حياتي اطالعات جغرافيايي ()GIS
عمليات مکان يابي صحيح و اصولي ساختمان بايد در زمان انتخاب •
مکان مرکز داده انجام شود.
حفاظت فيزيکي در برابر آسيبهاي ناشي از سيل ،زلزله بايستي •
طراحي و بکارگرفته شود)A.9.1.4( .
طراحي و مقاومت ساختمان متناسب با کاربري مرکز داده در نظر •
گرفته شود.
عمليات مقاوم سازي ساختمان انجام گيرد. •
مهم
آموزش افراد براي مقابله با حوادث ( زلزله ) •
تدوين دستورالعملهاي مرتبط با حوادث ( زلزله ) •
تهيه و بکارگيري تجهيزات کمکهاي اوليه •
چيدمان مناسب تجهيزات جهت مقابله با لرزش هاي زلزله •
تهيه و در دسترس بودن نقشه کليه تأسيسات فني و ابنيه ها •
تهيه ليست تجهيزات موجود در مرکز داده •
آموزش و بکارگيري گروه تعمير ،امداد و نجات •
پيش بيني و بکارگيري سيستم روشنايي و برق اضطراري متحرك •
زلزله 79
پيش بيني سيستم هاي ارتباط داده پشتيبان بمنظور استفاده در شرايط •
اضطراري ()) NIST-CP-8(4
حساس
پيش بيني ارتباط مستقيم با مرکز زلزله نگاري ( Hot line •
)Connection
پيش بيني تجهيزات جابجايي اشياء (جرثقيل و ) ... •
پيش بيني و نصب تجهيزات هشدار وقوع زلزله در ساختمان •
ايجاد سايت پشتيبان Activeبا ارتباط مستقيم و برخط ( NIST- •
) CP-6و ( ) NIST-CP-7و و يک سايت پشتيبان Active
دور
ايجاد و بکارگيري سيستم هوشمند قطع و وصل منابع ( برق ،آب، •
حياتي
گاز )
پيش بيني رايانه هاي قابل حمل بي سيم جهت بکارگيري در زمان •
زلزله
پيش بيني ژنراتور براي توليد برق در شرايط قطع برق قبل و بعد از •
زلزله
استفاده حداکثري از مصالح و تجهيزات مقاوم در برابر آتش در • آتش
مهم 80
زمان ساخت مرکز داده.
صفحه 154از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
تهيه و بکارگيري سيستم هاي تهويه اضطراري منظور استفاده در •
حياتي
زمان از کارافتادگي سيستم هاي اصلي
تهيه و بکارگيري نورافکن و مه شکن در نقاط مختلف مرکز داده و •
پيرامون آن مهم ،حساس و
دود 84
بکارگيري تجهيزات کم کننده اثرات دود • حياتي
پيش بيني ارتباط با مرکز هواشناسي •
رعايت استحکام مناسب در طراحي سازه مراکز داده متناسب با نوع • مهم ،حساس و
سقوط اجسام 85
آنها حياتي
مکان يابي نصب تجهيزات به منظور دوري از تجهيزات تداخل •
کننده مثل خطوط برق فشار قوي و خطوط با جريان باال
رعايت استانداردهاي مربوط به کابل کشي و فواصل مربوط به •
نصب کابل هاي انتقال داده ،برق و تلفن در زمان طراحي مرکز مهم
داده
تداخل الکترومغناطيسي امواج 86
آموزش و بکارگيري گروه متخصص در خصوص اختالل هاي •
الکترومغناطيسي
بکارگيري حفاظهاي امواج الکترومغناطيس بر روي بسترهاي انتقال • حساس
پيش بيني شبکه طيف گسترده جهت جلوگيري از تداخل •
حياتي
الکترومغناطيسي
طراحي مناسب تأسيسات و رعايت استانداردهاي نصب مسيرهاي •
انتقال در زمان طراحي مرکز داده
استفاده از سيستم هاي هوشمند هشدار دهنده و کنترل کننده •
تاسيسات
مهم ،حساس و مشکالت تأسيساتي ( آب ،گاز،
حفاظت تجهيزات از افت جريان برق يا هر اختاللي که بر اثر عدم • 87
حياتي برق ،تلفن )
پشتيباني تأسيسات بوجود مي آيد
استفاده از سيستم هاي پشتيبان براي آب ،گاز ،برق و تلفن بمنظور •
استفاده در صورت اختالل در مسير اصلي
آموزش و بکارگيري گروه تاسيسات •
کنترل و نظارت بمنظور عدم انتقال مواد پرخطر و حساس •
بازرسي افراد و تجهيزات به هنگام ورود و خروج •
پيش بيني تجهيزات الزم بمنظور مقابله با حوادث احتمالي پيش • مهم ،حساس و
مواد پرخطر 88
آمده از طريق اين مواد حياتي
آموزش و بکارگيري گروه متخصص جهت انجام عکس العمل •
مناسب
صفحه 156از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
نصب تجهيزات هشدار دهنده جهت اعالم خطر نشت مواد •
راديواکتيو در محيط
قرار دادن لباسهاي مخصوص کار در محيطهاي آلوده به •
تشعشعات راديواکتيو جهت استفاده پرسنل در صورت نياز
استفاده از گيتهاي ورودي حساس به تشعشعات راديواکتيو در • مهم ،حساس و
تشعشعات راديواکتيو 89
تمامي وروديهاي مراکز داده حياتي
تجهيز ديوارههاي داخلي مراکز داده به مواد شيميايي مخصوص •
جذب موارد راديواکتيو
آموزش و بکارگيري گروه متخصص جهت انجام عکس العمل •
مناسب
بکارگيري فيلترهاي جلوگيري کننده از ورود گرد و غبار •
استفاده از حسگرهاي گرد و غبار بمنظور اعالم هشدار در مواقع •
مهم ،حساس و
الزم گرد وغبار و مه 90
حياتي
آموزش کارکنان در مورد نحوه رفع مشکل •
آموزش و بکارگيري گروهي جهت انجام عکس العمل مناسب •
صفحه 157از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
فرآيند تنظيم شده بايد توسعه يافته و بايد جهت استمرار کسااب و کااار در کاال سااازمان •
نگهداري شود که اشاره به الزامات امنيتي اطالعات مورد نياز براي استمرار کسب و کار
سازمان را دارد(A.14.1.1) .
رخدادهايي که ممکن است باعث وقفه در کار مرکز داده شوند بايد به همراه احتمااال و •
خسارت ناشي از وقفه و ديگر پيامدهاي امنيتي مشخص شوند. وقفه در کار 4
بايد براي نگهداري يا بازيابي عمليات و اطمينان از دسترسپذيري در سطح مورد نظاار و •
در زمان مورد نظر برنامهريزي شود.
بايد يک چارچوب کلي براي طرحهاي استمرار کسب و کااار تاادوين شااود تااا طرحهااا •
سازگار بوده و نيازمنديهاي امنيتي را بااه درسااتي مشااخص کننااد .همچنااين اولويتهاااي
صفحه 158از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
هر مورد از تجهيزات که شامل ذخيره رسانه است ،قبل از کنار گذاري بايد به منظور •
حصول اطمينان از عدم وجود اطالعات خاص بررسي شود .اينگونه اطالعات و نرم
افزارهاي ثبت شده کنار گذاشته شده بايد قبل از کنار گذاري در صورت نياز بر روي
رسانه اي ديگر ثبت گردد.
بکارگيري سيستم تشخيص هويت و شناسايي افراد به صورت جامع •
جاسوسي 5
جلوگيري از عکاسي ،فيلمبرداري و ضبط صدا •
ثبت تمام ورود و خروج ها •
آموزش ضد جاسوسي به کارکنان •
تهيه نقشه تأسيسات و قابليت دسترسي آنها براي افراد مجاز •
تهيه ليست تجهيزات و قابليت دسترسي آنها براي افراد مجاز •
تهيه دادههاي پشتيبان در فواصل زماااني مناسااب بااه منظااور جلااوگيري از احتمااال بااروز •
خرابي در تماميت و صحت دادهها
ردگيري و تهيه سوابق دقيق از عمليات صورت گرفته از سوي هر کاربر به منظور مطالعه •
و شناسايي رفتار و اقدامات مشکوك صورت گرفته
کاهش سطح تماس سرويسهاي مرکز داده به متقاضيان •
پرهيااز از افشاااء ماهياات و رفتااار درونااي سيسااتم ،ناارم افاازار /سااختافزار و مولفااههاي •
نرمافزاري به کار رفته در آن به سايرين حمالت تروريستي
6
اتخاذ سياست امنيتي مثبت به عنوان يک سياست امنيتي بازدارنده • سايبري(هکرها)
استفاده از مولفههاي امنيتي فعال چون دروازههاااي آتااش در محاال ورودي ترافيااک بااه •
شبکه داخلي مرکز داده
به کارگيري سيس تم هاي تشخيص نفوذ مبتني بر رفتار و امضاء جهت تشخيص بااه موقااع •
ناهنجاريهاي رفتاري کاربران
آموزش پرسنل به استفاده از کلمات عبور طوالني و پيچيده و تغيير کلمات عبور به طور •
ادواري
صفحه 159از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
به کارگيري تيمي از متخصيص نفااوذ بااه منظااوري شناسااايي حفرههاااي امنيتااي موجااود •
بخصوص در سطح نرمافزار و اتخاذ راهکارهايي جهت انسداد اين حفرهها
غيرفعال کردن سرويسها و مولفههاي عمومي غير قابل استفاده در سطح مرکز داده •
استفاده از مولفههاي نرمافزاري اختصاصي ( )in-houseبه جاي اسااتفاده از مولفااههاي •
عمومي؛ بسياري ازاين مولفههاي به دليل قابل دسترس بودن ضعفهاي امنيتي آنان براي
همگان شناخته شده است.
خط مشي کنترل دسترسي بايد پايهريزي و مستند سازي شده و بر اساس کسب و کااار و •
دسترسي غيرمجاز به اطالعات 7
الزامات امنيتي براي دسترسي بازنگري شود(A.11.1.1) .
براي کاربران فقط دسترسي به سرويس هايي بايد مهيا شوند کااه بطااور مشااخص اجااازه •
استفاده از آنها را دارند(A.11.4.1).
روشهاي مناسب بايد براي کنترل دسترسي توسط کاااربران بيرونااي مااورد اسااتفاده قاارار •
بگيرد.
دسترسي فيزيکي و منطقي به درگاهها (پورتها) بايد تحت کنترل باشد. • دسترسي غيرمجاز به شبکه 8
براي شبکه هاي مشترك به خصوص آنهايي که به خااارج از مرزهاااي سااازماني کشاايده •
شدند ظرفيت کاربران محدود شود.
براي حصول اطمينان از اينکه ارتباطات کامپيوتري و جريان اطالعات ،خط مشي کنترل •
دسترسي را نقض نکند بايد کنترل مسيريابي براي شبکه ها اجرا شود(A.11.4.7).
دسترسي بااه سيسااتم هاااي عاماال بايااد توسااط فرآينااد اجرايااي اماان ( ) Logonکنتاارل •
شوند(A.11.5.1).
همه کاربران بايد IDانحصاري براي استفاده شخصااي خااود داشااته باشااند و بايااد يااک •
تکنيک مناسب تأييد ،جهت اثبات ادعاي IDکاربر انتخاب شود.
سيستم هاي تنظيم کلمه عبور بايد دو سويه بوده و کيفيت کلمه عبور را اطمينان دهد. • دسترسي غيرمجاز به سيستمعامل 9
استفاده از برنامه هاي کاربردي که توانايي کنتاارل کاربردهااا را داشااته باشااند بااه شاادت •
تحت کنترل قرارداده شده و محدود شوند.
براي فراهم نمودن امنيت بيشتر براي کاربردهاااي داراي ريسااک باااال ،بايااد محاادوديت •
هايي در زمان برقراري اتصال اعمال شود(A.11.5.6).
دسترسي به اطالعات و عمليات سيستمهاي کاربردي توسط کاربران و کارکنان پشتيباني •
بايد طبق خط مشي کنترل دسترسي مشخص محدود گردد(A.11.6.1). دسترسي غيرمجاز به برنامههاي
10
سيسااتمهاي حساااس بايااد محاايط کامپيوتري(محاسااباتي) اختصاصااي(مجزا) داشااته • کاربردي
باشند(A.11.6.2).
خط مشي تبادل رسمي ،روش هاي اجرايي و کنترل ها جهت حفاظت از تبادل اطالعات •
دسترسي غير مجاز به اطالعات
با استفاده از همه انواع امکانات ارتباطي بايد در محل وجود داشته باشد(A.10.8.1).
يا سيستمهاي حين مبادله با 11
توافقا ت جهت مبادله اطالعات و نرم افزار بين سازمان و طرفهاي خارج از سااازمان بايااد •
نهادهاي خارج از مرکز داده
پايه ريزي و تدوين شوند.
صفحه 160از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
رسانه هاي حاوي اطالعات بايد در مقابل دسترسي غيرمجاز ،سوء استفاده يا انحراف در •
زمان انتقال به خارج از مرزهاي فيزيکي سازمان ،حفاظت شود.
خط مشي ها و روش هاي اجرايي جهت حفاظت از اطالعات همراه با ارتباطات داخلااي •
سيستمهاي اطالعاتي کسب و کار بايد تدوين شده و دائما ارتقاء يابند(A.10.8.5).
الزامات مميزي و فعاليتهاي که شامل بررسااي سيسااتمهاي عملياااتي اساات ،بااراي کمينااه •
کردن مخاطرات اختالل در فرايند کسااب و کااار ،بايااد بااا دقاات طرحرياازي و تصااويب
شوند(A.15.3.1).
رکوردهاي مميزي مربوط به فعاليت هاي کاربران ،وقايع استثنايي ،و روياادادهاي امنيتااي •
بايد توليد و نگهداري شوند .اين رکوردها براي کمک به تفحصهاي آتي و نظااارت باار
کنترل دسترسي کاربرد دارند(A.10.10.1) .
فراين د اجرايي براي استفاده از مراقبت امکانات پردازش اطالعات بايد پايه ريزي شااده و •
نتايج نظارت فعاليتها بايد به طور منظم بازنگري شوند.
امکانات ثباات کااردن و ثباات اطالعااات بايااد در براباار دسترسااي باادون مجااوز و پنهاااني •
حفاظت شود.
فعاليتهاي مدير و اپراتور سيستم بايد ثبت شوند. • پردازشهاي اطالعاتي غير مجاز 12
خطاها بايد ثبت و تحليل شده و اقدامات مناسب صورت بگيرد. •
ساعت سيستمهاي پردازش اطالعات در سازمان يا حوزه امنيتي بايد با زمان دقيااق مرجااع •
هماهنگ باشند(A.10.10.6).
در صورت بروز خطا در ثبت رکوردهاي مميزي يا پر شدن ظرفيت محاال ذخيااره ،بايااد •
هشدار مناسب به مدير فني مربوط داده شده و اقدام مقتضي (توقف ثبت ،خاموش کردن
سيستم ،يا بازنويسي روي رکوردهاي قديمي) انجام شود(NIST AU-5 ) .
سيستمهاي اطالعاتي بايد مهر زماااني ) (timestampهاار رويااداد را مشااخص نماينااد. •
)(NIST AU-8
سيستم هاي اطالعاتي بايد از اطالعااات ممياازي و ابزارهاااي ممياازي در مقاباال دسترسااي •
غيرمجاز ،تغيير يا حذف محافظت کنند(A.15.3.2) (NIST AU-9 ) .
داده هاي ورودي براي سيستم کاربردي بايد براي حصول اطمينان از صااحت و مناسااب •
بودن آنها ،اعتبار سنجي شوند(A.12.2.1) .
بايد در سيستمهاي کاربردي از وارسيهاي اعتبارسنجي به منظور کشف هر گونه خرابي •
داده استفاده شود. تغيير غيرمجاز ،از دست دادن يا
الزامات براي اطمينان از درستي و حفاظت از صحت پيام در کاربردها بايد مشخص شده • سوءاستفاده از اطالعات در 13
و کنترل هاي مناسب بايد مشخص و اجرا شوند. برنامههاي کاربردي
داده هاي خروجي يک سيستم کاربردي بايد به منظور اطمينان از درستي و مناسب بودن •
پاااردازش اطالعاااات ذخياااره شاااده باااا شااارايط مربوطاااه ماااورد تعياااين اعتباااار قااارار
گيرد(A.12.2.4).
صفحه 161از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
استفاده از تکنيکهاي استتار بمنظور عدم تشخيص مکان مرکز داده توسط دشمن •
استفاده از تکنيکهاي اختفا بمنظور عدم تشخيص مکان مرکز داده توسط دشمن •
استفاده از تکنيکهاي فريب دشمن بمنظور عدم تشخيص مکان واقعي مرکز داده •
تهيه اطالعات پشتيبان و ارسال آنان به نقطهاي خارج از فضاي فيزيکي مرکز داده •
حمله فيزيکي ،هستهاي و اتمي 14
بمنظور حفظ داده ها و اطالعات
ايجاد يک مرکز داده پشتيبان Offlineدر محل فيزيکي ديگر بمنظور سرويس دهي •
در صورت عدم امکان سرويس دهي توسط مرکز اصلي
تربيت تيم هاي تخصصي بمنظور استفاده جهت ترميم آسيب ها در شرايط اضطرار •
کنترل تردد تجهيزات و بسته ها •
طراحي و بکارگيري برنامه حفاظت فيزيکي در برابر آسيبهاي ناشي از انفجار •
()A.9.1.4
بمب گذاري يا انفجار 15
آموزش کارکنان شاغل در مرکز جهت رفع اشکاالت و ايرادات بوجود آمده پس از •
انفجار
ارتباط مستقيم با متخصصان مربوط به خنثي سازي موارد منفجره •
شيلد نمودن و عايق بندي جدارههاي و منافذ ورودي تأسيسات مراکز داده به منظور •
جلوگيري از نفوذ گازهاي شيميايي به داخل مراکز
استقرار تجهيزات ايمني از قبيل ماسک و ساير تجهيزات موجود جهت جلوگيري از •
حوادث شيميايي 16
آسيب پرسنل
نگهداري پادزهرهاي مختلف مربوط به انواع گازهاي شيميايي در جعبه کمکهاي اوليه •
به منظور انجام اقدامات اوليه به مصدومين
مکان يابي نصب تجهيزات به منظور دوري از تجهيزات منشا تداخل مثل خطوط برق •
فشار قوي و خطوط با جريان باال
آموزش کارکنان شاغل در مرکز جهت رفع اشکاالت مربوط به اختالل هاي •
الکترومغناطيسي جنگ الکترومغناطيسي 17
رعايت استانداردهاي مربوط به کابل کشي و فواصل مربوط به نصب کابل هاي انتقال •
داده ،برق و تلفن
استفاده از سيستم برق اضطراري براي مواقع خاص •
کنترل مواد خوراکي •
کنترل محيط مرکز داده در خصوص گسترش موارد ارگانيزمي و اقدامات پيشگيرانه •
ارگانيزم ها
آموزش کارکنان شاغل در مرکز جهت مقابله با موارد ارگانيزمي • 18
( ويروس ،باکتري و) ...
ايجاد مرکز بهداشت و درمان به منظور رفع مشکالت با گستردگي محدود در مورد •
افراد شاغل
صفحه 162از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
نقاط دسترسي نظير نواحي بارگيري يا تحويل و ديگر نقاطي که احتمال ورود اشخاص •
فاقد صالحيت وجود دارد کنترل شده و در صورت امکان از ساير بخشها و تأسيسات
منفک گردد.
تجهيزات بايد به منظور کاهش ريسک هاي حاصل از تهديدات و آسيبهاي محيط و •
فرصتهاي دسترسي غيرمجاز ،حفاظت شوند(A.9.2.1).
تجهيزات بايد جهت حصول اطمينان از تداوم دسترسي و صحت بطور مناسب نگهداري •
شوند(A.9.2.4).
تجهيزات ،اطالعات يا نرم افزار نبايد بدون مجوز قبلي از محل خارج شوند. •
دسترسي غير مجاز به سيستم ها،
)(A.9.2.7 19
تجهيزات و منطقه فيزيکي
از سامانه هاي امنيتي (موانعي نظير ديوارها ،گيت هاي ورودي که با کارت کنترل مي •
شود يا ميزهاي پذيرش آماده) بمنظور محافظت ناحيه هايي که شامل اطالعات و سامانه
هاي پردازش اطالعات باشد ،استفاده شود)A.9.1.1( .
نواحي امن بوسيله کنترل هاي ورودي مناسب جهت اطمينان از اينکه فقط پرسنل مجوز •
دار اجازه دسترسي داشته باشند محافظت شود)A.9.1.2( .
امنيت فيزيکي الزم براي دفاتر ،اتاق ها و تاسيسات ،طراحي و بکار گرفته •
شود)A.9.1.3(.
آموزش هاي الزم به کابران ارائه گردد. •
بايد دستورالعمل اجرايي براي مديريت رسانه متحرك تدوين گردد(A.10.7.1) . •
در صورت عدم نياز به يک رسانه ،بايد به صورت امن و ايمن و طي يک فرآيند رسمي •
امحاء شود(A.10.7.2) . دسترسي غير مجاز به رسانههاي
20
مستند سازي سيستم بايد در برابر دسترسي غير مجاز حفاظت شود(A.10.7.4). • ذخيرهسازي اطالعات
رسانه هاي ذخيره سازي اطالعات در محل امن نگهداري شوند. •
اطالعات رسانه قبل از تعويض ثبت گردد(A.9.2.6) . •
لزوم حفاظت از بسترهاي انتقال داده با تدوين سياست نامه اي در خصوص نحوه •
دسترسي به آنها ،مسئوليتهاي افراد در اين ارتباط و کد گذاري بسترها ي انتقال
( ) NIST-MP-2 ( ، ) NIST-MP-1و ( ) NIST-MP-3
نحوه دسترسي ،افراد مجاز و نحوه دريافت اطالعات ورودي به بسترهاي انتقال از هر •
نوع ( اطالعات الکترونيکي ،کاغذي و ) ...بايستي مورد کنترل قرار گيردNIST- ( . دسترسي فيزيکي غيرمجاز به
21
) MP-5 بستر انتقال دادهها
حفاظت فيزيکي مناسب از کابلها و بکارگيري داکت •
قرار دادن کانال انتقال دادهها در محيط غيرقابل دسترسي •
کنترل بسترهاي انتقال داده در زمان کنارگذاري و يا استفاده مجدد آنهاNIST- (. •
) MP-7
صفحه 163از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
تعامل با بخش هاي تحقيقاتي و پژوهشي کشور بمنظور بکرگيري حداکثري توان •
داخلي جهت توليد فناوري هاي الزم در داخل کشور داخل کشور
انتقال دانش تعمير و نگهداري به متخصصين بومي •
استفاده از تکنولوژيهاي بومي موجود •
وابستگي به خارج از کشور در
جلوگيري از امکان دسترسي به دادههاي طبقهبندي شده و سااوابق ذخيااره شااده باار روي • 31
بخش تعمير و نگهداري
سختافزار و رسانههاي ذخيره سازي مربوطه بااا تهيااه نسااخه پشااتيبان و امحااء دادههاااي
موجود بر روي سيستمها قبل از ارسال به مراکز تعمير
انتقال دانش توليد سخت افزارها و نرم افزارها به متخصصين بومي • وابستگي به توليدات سخت
32
افزاري و نرم افزاري خارجي
تالش جهت تسلط بر دانش و فناوري ها بمنظور بوميسازي فنآوري به منظور کاهش •
تغيير سريع فن آوري
دغدغههاي ناشي از تغييرات در فنآوري 33
(در حوزه جنگ سايبر)
آموزش نيروي متخصص و کارآمد جهت بهره گيري و انتقال فنآوري به داخل کشور •
تعامل با سازمانها و نهادهاي مربوطه در داخل کشور بمنظور توجه به چالشهاي پيش •
روي جهاني شدن جهت ارائه راهکارهايي به منظور تطبيق با شرايط جديد جهاني شدن 34
اتخاذ سياستهايي در راستاي تغييرات و تمهيدات ايجاد شده بمنظور اعمال در سازمان •
استفاده از زيرساخت هاي بومي و قابل اتکاء و اعتماد در صورت وجود • زيرساختهاي عمده جهاني
35
نظير اينترنت
بکارگيري سيستمهايي به منظور جلوگيري از نفوذ و شناسايي حمالت مختل کتتده •
خدمات در صورت نفوذ ،نظير IDSها و فايروالهاي بومي
شناسايي و ثبت الگوهاي رفتاري حملهکنندگان داخلي به منظور جلوگيري از الگوهاي •
رفتاري مشابه توسط ساير کاربران
پيش بيني و بکارگيري مراکز احتياط وتشکيل تيمهاي CERTدر شرايط وقوع وقفه • حمالت مختل کننده خدمات 36
سرويس
تعيين حدمجاز بهرهمندي کاربران از سرويسهاي ارائه شده •
قرار دادن کاربران خاطي و غيرقابل اعتماد در ليست سياه و ممانعت از سرويسدهي به •
آنان
برگزاري دوره هاي آگاهسازي براي کارکنان و کاربران در اين خصوص • جنگ رواني دشمن 37
استفاده از الگوريتمهاي رمزنگاري بومي ،امضاهاي ديجيتال در رمزنگاري اطالعات •
متناسب با ماهيت و نوع سرويسها به منظور جلوگيري از افشا و امکان دستکاري
اطالعات در حال گذر
تغيير هويت اطالعات درحال
عدم استفاده از الگوريتم هاي رمزنگاري غيرمطمئن بمنظور رمزنگاري اطالعات در حال • 38
گذر
گذر
استفاده از مکانيزمهاي پنهان نگاري اطالعات در شرايط الزم بمنظور انتقال اطالعات •
مهم
صفحه 165از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
عدم استفاده از کانالهاي ارتباطي بيسيم بدون در نظر گرفتن مکانيزمهاي امنيتي مطمئن •
)(A.13.2.3
رويدادهاي امنيتي اطالعات بايد توسط مديريت کانالهاي مناسب تا حد امکان به سرعت •
گزارش شوند(A.13.1.1).
مرکز داده بايستي داراي تيم CERTبمنظور ترميم حوادث احتمالي در صااورت وقااوع، •
عدم اصالح و بازيابي پس از
باشد. 43
حوادث امنيتي
تمام کارکنان پيمانکاران و مصرف کنندگان ثالث مصاارف کننااده سيسااتمها و خاادمات •
اطالعا ت بايد ملزم شوند تا هرگونه ضعف امنيتي مشاهده شده و مشکوك در سيسااتمها
و خدمات را به آن توجه کرده و گزارش دهند(A.13.1.2).
روش هاي اجرايي عملياتي بايد مستند سازي و نگهداري شده ،و براي همه کاربران کااه •
به آن نياز دارند در دسترس باشد(A.10.1.1).
تغييرات در امکانات پردازش اطالعات و سيستمها بايد کنترل شده باشند. •
ناامني يا نادرستي در عمليات
وظايف و حوزه هاي مسئوليت بايد در راستاي کاهش فرصاات بااراي افااراد غيرمجاااز يااا • 44
پردازش اطالعات
تغييرات ناخواسته يا سوء استفاده از دارايي هاي سازمان تفکيک شوند.
پيشرفت ،آزمايش و امکانات عملياتي بايد تفکيک شوند تا دسترسي هاي غيرمجاز يا •
تغييرات سيستم عملياتي را کاهش دهد(A.10.1.4).
استفاده از منابع بايد مراقبت و تنظيم گردد .پيش بيني هاااي الزم طبااق الزامااات ظرفياات •
آينده جهت حصول اطمينان از عملکرد سيستم ضروري است(A.10.3.1).
عدم امنيت در تعامل با طرفهاي
بايد معيار پذيرش سيستم هاي اطالعاتي جديد ،ارتقاء و نسخه هاااي جديااد پايااه رياازي • 45
ثالث
شااده و آزمونهاااي مناسااب سيسااتم هااا در طااي پيشاارفت و قباال پااذيرش انجااام شااوند.
)(A.10.3.2
در استفاده از منابع بايد مراقبت گردد .پيش بيني هاي الزم طبق الزامااات ظرفياات آينااده •
جهت حصول اطمينان از عملکرد سيستم ضروري است(A.10.3.1).
بايد معيار پذيرش سيستم هاي اطالعاتي جديااد ،ارتقاااء و نسااخه هاااي جديااد بايااد پايااه • خطاهاي سيستم 46
ريزي شده و آزمونهاي مناسب سيستم ها در طي پيشرفت و قبل از پذيرش انجام شوند.
)(A.10.3.2
صفحه 167از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
الزامات امنيتي يک مرکز داده کااه مااديريت و کنتاارل تمااامي يااا بخشااي از سيسااتمهاي •
امنيتي ،شبکهها و محيطهاي کاري آن به سازماني ديگر واگذار ميشود ،بايااد در يااک برونسپاري خدمات و پردازش
47
قرارداد که بين مرکز داده و طرف ديگر توافق شده است ،دقيقا مشخص شود. اطالعات
افراد و مراکز مجاز در حوزه هاي مرتبط با مراکز داده استعالم گردد. •
استفاده از نرمافزارهاي کدباز بجاي استفاده از نرمافزارهاي کدبسته در صورت وجود و •
پس از بررسي هاي امنيتي الزم بر روي آن عدم بکارگيري نرمافزارهاي
48
اتخاذ سياست توليد کد بجاي بکارگيري نرمافزارهاي بينالمللي موجود حتي از نوع کد • کدباز
باز و تعامل با مراکز و سازمانهاي مجاز در اين رابطه
تهيه نسخه پشتيبان از اطالعات و نرم افزار به طور مرتب و مطابق بااا خااط مشااي پشااتيبان •
گيري
نقض صحت 1و دسترسپذيري
استفاده از مکانيزمهاي جلوگيري از نقض صحت اطالعات متناسب بااا نااوع سرويسااها و •
اطالعات و سيستمهاي پردازش 49
پردازشها
اطالعات
استفاده از مکانيزمهاي جلوگيري از نقااض دسااترس پااذيري اطالعااات متناسااب بااا نااوع •
سرويسها و پردازشها
شبکه ها بايد به منظور حفاظت در برابر تهديدها و حفظ امنيت سيسااتمها و برنامااه هاااي •
کاربردي شبکه و داده هاي در حال انتقال ،به طور مناسب مديريت شوند.
عدم حفاظت اطالعات در
ويژگي امنيت ،سطوح خدمات و الزامات مديريت همه خدمات شبکه بايد مشخص شده • 50
شبکهها
و لحاظ گردند.
امنيت شبکه در چند اليه مطابق مدلهاي دفاع از عمق طراحي و پياده سازي گردد. •
1
Integrity
صفحه 168از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
بايد يک روش اجرايي رساامي ثباات و حااذف کاااربر در محاال بااراي اعطااا و لغااو حااق •
دسترسي به همه سيستم ها و سرويس هاي اطالعاتي وجود داشته باشد(A.11.2.1).
تخصيص و استفاده از مجوزها محدود و کنترل شود. •
تخصيص کلمات عبور از طريق يک فرآيند مديريتي رسمي کنترل شود. •
مديريت ،حقوق دسترسي کاربران را در فواصل منظم ،در راسااتاي اسااتفاده فرآيناادهاي •
اصلي ،بازنگري کند(A.11.2.4) .
کاااربران بايااد ملاازم بااه رعاياات نکااات ايمنااي در انتخاااب و اسااتفاده از کلمااات عبااور •
باشند(A.11.3.1).
دسترسي غير مجاز کاربر 51
کاربران بايد مطمئن باشند که تجهيزات بدون مراقبت از حفاطت مناسب برخوردارند. •
سياست ميز مرتب براي کاغذها و رسانه ذخيره متحرك و سياست صحنه نمايش واضح •
براي امکانات پردازش اطالعات بايد پذيرفته شود(A.10.3.3).
هر سيستم اطالعاتي بايد محدوديت حداکثر 3ورود ناموفق را در طي 30دقيقااه اعمااال •
کند .پس از رسيدن تعداد ورودهاي ناموفق به حد نصاب ،سيسااتم بايااد قفاال شااده و بااه
طور خودکار پس از يک ساعت به حالت عادي برگردد(NIST-AC-7 ) .
مرکز داده بايد مطابق خط مشيهاي استفاده و اِعمال کنترلهاي دسترسااي ،فعاليتهاااي •
کاربران را مرور کرده و بر آنها نظارت داشته باشد(NIST-AC-13) .
هر گونه درخواساات بااراي تهيااه ،خريااد ،يااا توليااد سيسااتمهاي اطالعاااتي بايااد صااريحا •
نيازمنديها و الزامات امنيتي را نيز مشخص کند. عدم در نظر گرفتن امنيت در
در تمامي بخشهاي يک سيستم اطالعاتي از توليد تا بهااره باارداري ،امنياات بعنااوان يااک • سيستمهاي اطالعاتي به عنوان 52
جزء انکار ناپذير در نظر گرفته شود. يک بخش اصلي
تشکيالت امنيتي و ساختار سازماني الزم براي امنيت پيش بيني گردد. •
براي حفاظت از اطالعات بايد يک خط مشي استفاده از کنترل هاي رمز نگاري توسااعه •
نقض محرمانگي يا صحت
پيدا کرده و اجرا شود(A.12.3.1).
اطالعات در اثر عدم استفاده يا 53
مديريت کليد بايد جهت پشتيباني از استفاده سازمان از تکنيکهاي رمز نگاري تعبيه شود. •
استفاده نادرست از رمزنگاري
)(A.12.3.2
از سيسااتم فايلهاااي مطماائن اسااتفاده گااردد و در اياان راسااتا از مشاااوره مجموعااه هاااي •
متخصص و مورد اعتماد بهره گرفته شود. عدم اطمينان از امنيت فايل
54
بايد روش هاي اجرايي جهت کنترل نصااب ناارم افاازار باار روي سيسااتمهاي عاماال تعبيااه • سيستم ها
شوند(A.12.4.1).
صفحه 169از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
هاار گونااه تغيياار بااا اسااتفاده از روش هاااي اجرايااي رساامي کنتاارل تغيياارات کنتاارل •
شود(A.12.5.1).
تغييرات در بسته هاي نرم افاازار بايااد کاام شااده ،بااه تغيياارات الزم محاادود شااود و همااه •
تغييرات بايد شديداً تحت کنترل باشند(A.12.5.3).
از هر گونه نشست اطالعات بايد جلوگيري شود(A.12.5.4). •
توسااعه و تغييااار ناارم افااازار بااارون سااپاري شاااده باياااد توسااط مرکاااز داده نظاااارت •
نقض امنيت اطالعات و
شود(A.12.5.5).
نرمافزارهاي کاربردي 55
مرکز داده بايد پيکربندي پايه و اوليااه هاار سيسااتم اطالعاااتي را تهيااه و مسااتند ساااخته و •
سيستمعامل
فهرستي از مولفههاي سازگار سيستم تهيه نمايد.
مرکز داده بايد هر گونه تغيير در سيستمهاي اطالعاتي را مستندسازي و کنترل نمايد .اين •
تغييرات بايد ابتدا توسط مقام مسوول تاييد شود.
مرکز داده بايد تغيير دادن سيستمهاي اطالعاتي را محدود به افراد مجاز نمايد. •
بايد پيکربندي امنيتي سيستم هاي اطالعاتي به نحااوي باشااد کااه بيشااترين محاادوديت را •
اعمال نمايد و سازگار با نيازمنديهاي عملياتي و امنيتي سيستمها شود(NIST CM-6).
اطالعات به موقع در مورد آسيب پذيريهاي فنااي سيسااتمهاي اطالعاااتي مااورد اسااتفاده •
عدم مديريت آسيبپذيريهاي
بايد کسب شده و اثر آنها بر مرکز داده بررسي شده و تدابير مناسبي براي مقابله بااا آنهااا 56
فني
اتخاذ شود(A.12.6.1).
تمام الزامات مقرراتي ،حقوقي و قااراردادي و همااه رويکاارد سااازمان بااراي تااأمين اياان •
الزامات بايد صريحاً مشخص ،مستندسازي شااده و بااراي هاار سيسااتم اطالعاااتي سااازمان
ارتقاء داده شود(A.15.1.1).
براي حصول اطمينان از انطباق با الزامات قانون گذاري ،مقرراتي و قراردادي در استفاده •
مادي با توجه به ارتباط با حقوق مالکيت فکري يا اسااتفاده اختصاصااي محصااوالت ناارم
عدم رعايت قوانين 57
افزاري ،روشهاي اجرايي تدوين و اجرا شود(A.15.1.2).
سوابق مه م بايد در برابر مفقود شدن ،تخريب و تحريف طبق قوانين قااانوني ،مقرراتااي و •
قراردادي الزامات کسب و کار ،محافظت شوند(A.15.1.3).
از اسااتفاده کاااربران از امکانااات پااردازش اطالعااات باادون مجااوز ممانعاات بااه عماال •
آيد(A.15.1.5).
يک سند سياست امنيتي توسط مديريت مرکز داده تدوين و تصويب گرديده و منتشر •
گردد و بر حسب اقتضاء مورد تبادل نظر با تمام کارکنان قرار گيرد.
خطمشي هاي ذکر شده در سند سياست امنيتي بايد به طور منظم و نيز در مواردي که •
عدم وجود مديريت يکپارچه
تغييرات مؤثري وجود داشته باشد ،مورد بازنگري قرار گيرند تا از تداوم مناسب بودن 58
امنيت اطالعات
خطمشي اطمينان حاصل شود.
فرم هااا ،اسااناد و سياساات واکاانش سااريع مرکااز داده شااامل اهاادف ،محاادوده ،قااوانين، •
مسؤليتها و هماهنگي ،همچنين مکانيزمهاي کنترلي پياده سازي ،توليد و مرتبا مرور و بااه
صفحه 170از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
روز گردند(NIST-IR-1).
مديران بايد از اجراي صحيح تمام روش هاي اجرايي امنيت در حيطه مسئوليتشااان بااراي •
دستيابي به تطابق با سند سياست امنيتي و استانداردها ،مطمئن شوند(A.15.2.1).
عدم سازگاري با خط مشيها 59
سيستم هاي اطالعاتي بايد به طور منظم از نظر تطابق فني با استانداردهاي اجرايي امنيت •
مورد بررسي قرار گيرند(A.15.2.2).
مديريت بايد فعاالنه از امنيت در سازمان با ساختار شفاف ،تعهد آشکار ،وظيفه صريح و •
قبول مسئوليتهاي امنيت اطالعات پشتيباني کند(A.6.1.1) .
تشکيالت الزم و نيروي انساااني متخصااص در زمينااه امنااي اطالعااات جااذب يااا تربياات •
گردند.
مسئوليتهاي حفاظت از هريک از داراييهاي منفرد و انجام فرآيندهاي امنيتي مشخص •
بايد به طور شفاف تعريف شوند(A.6.1.3).
براي استفاده از امکانات پردازش اطالعات جديااد ،بايااد يااک فرآينااد صاادور مجااوز از •
فقدان نظام مديريت امنيت
طرف مديريت پايه ريزي شود(A.6.1.4). 60
اطالعات
بايد همکاري مناسبي تحت مجوزهاي قانوني ،باين سااازمانهاي تنظاايم کننااده مقااررات، •
تأمينکننااادگان سرويساااهاي اطالعااااتي و اپراتورهااااي مخاااابراتي ايجااااد و حفاااظ
گردد(A.4.1.7).
رويکرد سازمان براي مديريت امنيت اطالعات و اجراي آن (مثال :اهداف کنترل ،کنترل •
ها ،سياستها ،فرآيندها ،روش هاي اجرايي امنياات اطالعااات) بصااورت مساتقل بااا طاارح
ريزي دوره اي يا هنگامي که تغييرات مهاام در اجااراي امنياات رخ مااي دهااد ،بااازنگري
شود(A.6.1.8).
نقشهاي امنيتااي و مسااووليتهاي کارکنااان ،پيمانکاااران و کاااربران ثالااث بايااد طبااق سااند •
سياست امنيت اطالعات مرکز داده مشخص و مستند سازي گردند.
بررسي سوابق همه افراد آماده استخدام ،پيمانکاران و کاربران ثالث ،بايااد طبااق قااوانين، •
اصول و قوانين مربوط و متناسب با الزامات کسب و کار طبقهبندي اطالعات در دسترس
استخدام يا به کارگماري افراد
باشد. 61
نامناسب
به عنوان بخشي از تعهد قراردادي افراد ،کارکنان ،پيمانکاران و کاربران ثالث بايد طباق •
قوانين ،اصول و مقررات مربوطه و متناسب با الزامات کسب و کار طبقه بندي اطالعااات
در دسترسااي را ماادنظر داشااته و بااه ريسااکهاي ناشااي از افشاااء اطالعااات و دسترسااي
غيرمجاز ديگران واقف باشند.
صفحه 171از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
مااديريت بايااد از کارکنااان و پيما نکاااران و کاااربران ثالااث بخواهااد تااا امنياات را طبااق •
خطمشيهاي تدوين شده و رويههاي مرکز داده بکار برند.
همه کارکنان سازمان (مرتبط با مرکز داده) ،پيمانکاران و کاربران ثالث ،بايد آگاااهي و •
عدم آگاهي نيروهاي انساني از
آموزش مناسب و خط مشي هاي به روز شده و روشهاي اجرايي که بااه عملکاارد شااغلي 62
مسووليتها و تعهدات
آنها مربوط مي شود ،را دريافت کنند.
بايد فرآيند انضباطي رسمي براي کارکناني که تعهدات امنيتااي را نقااض کردنااد وجااود •
داشته باشد.
مسئوليتها براي آن افرادي که دوره استخدامشااان پايااان يافتااه يااا تغيياار پياادا کارده بايااد •
بصورت روشن و واضح بوده و تعيين شود(A.8.3.1).
همه کارکنان ،پيمانکاران و کاربران ثالث بايد همااه دارايااي هاااي سااازمان را (آنچااه در • تهديدهاي مربوط به تغيير شغل
تصرف دارند) به محض خاتمه استخدام ،قرارداد و توافق بازگردانند(A.8.3.2). يا انفصال از خدمت کارکنان و 63
مجوزهاي دسترسي به اطالعااات و امکانااات پااردازش اطالعااات باراي کاال کارکنااان ، • پيمانکاران
پيمانکاران و کاربران ثالث بايد به محض اتمام استخدامشان ،قرارداد و توافقشان حااذف
شده يا به محض تغيير ،تنظيم شود(A.8.3.3).
ريسکهاي مرتبط با دسترسي به امکانات پردازش اطالعات سازمان توسط طاارف خااارج •
مرکز داده (منظور طرفهاي داخل کشور مي باشد نه خارج کشور) بايااد باارآورد شااده و
کنترلهاي امنيتي مناسب پيادهسازي گردد)A.6.2.1(. دسترسيهاي غيرمجاز طرفهاي
64
در قراردادهاي با طرفهاي خارج مرکز داده شامل دسترسي ،پردازش ،ارتباااط ،مااديريت • خارج مرکز داده
اطالعات يا تجهيزات ،خريد تجهيزات ،نصب و غيره بايد تمام ملزومات امنيتااي مربااوط
مشخص شوند)A.6.2.3(.
نصب سيستمهاي مديريت بحران •
اتخاذ سياستها و مکانيزمهاي اجرايي جهت جلوگيري از وقوع شرايط اضطرار • عدم تجهيز به سيستم مديريت
65
آموزش پرسنل براي رويارويي با شرايط اضطرار • بحران و شرايط اضطرار
تهيه دستورالعملهاي الزم و ابالغ آن به زير مجموعه ها •
بکارگيري سيستمهاي هشداردهنده سريع در حوزه هاي مختلف •
بکارگيري سيستمهاي هوشمند اعبالم خطر در خصوص حمالت سايبري (نظير )DIDS • فقدان يک سيستم هشداردهنده
66
بکارگيري سيستمهاي اعبالم حريق هوشمند • سريع و به موقع
آموزش پرسنل براي استفاده از اين سيستمها •
استفاده از سازههاي امن و پايدار در طراحي مرکز داده • عدم بکارگيري سازههاي امن و
67
قرار دادن تجهيزات حساس و آسيبپذير در فضاي مطمئن • پايدار
شناسايي علل ناشي از توليد اطالعات غلط اعم از نرم افزاري ،سخت افزاري و نيروي •
توليد اطالعات غلط و نامطمئن 68
انساني و رفع اين موارد
ايجاد يک مرکز داده پشتيبان Offlineدر محل فيزيکي ديگر بمنظور سرويس دهي • عدم بهره مندي از مراکز احتياط
69
در صورت عدم امکان سرويس دهي توسط مرکز اصلي ( )Backupامن ،ايمن و پايدار
صفحه 172از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
بکارگيري چندين خطوط ارتباط مطمئن و پشتيبان در کنار همديگر به منظور پشتيبان •
عدم بکارگيري خطوط ارتباطي
ارتباطي يکديگر 70
مطمئن و پايدار
استفاده از تکنولوژيهاي ارتباطي ناهمگون •
طراحي صحيح اتصاالت در زمان طراحي مراکز داده بمنظور عدم وجود اتصال ناامن •
نظارت و کنترل دوره اي در اين خصوص و شناسايي تمامي اتصاالت احتمالي ناامن و • اتصاالت ناامن به شبکههاي
71
حذف آنها اينترنت و اينترانت و فيبر نوري
ايزوله بودن سرويسهاي بين المللي مورد نياز در مراکز داده از سرويسهاي داخلي •
پيش بيني برق UPSبراي مرکز داده بمنظور استفاده در صورت قطع برق عادي متناسب •
با گستردگي ،سطح و اهميت مرکز داده
استفاده از مولدهاي توليد برق پشتيبان ،بمنظور پشتيباني از برق UPSمتناسب با سطح و • عدم پيشبيني برق پشتيبان 72
اهميت مرکز داده
نگهداري سوخت کافي براي مولدهاي برق بمنظور استفاده در شرايط الزم •
تربيت يا جذب نيروي انساني متخصص الزم در حوزه هاي تخصصي مورد نياز •
ارائه آموزشهاي عرضي تخصصهاي الزم به کارکنان •
اولويت به استفاده از فنآوريهايي که نيروي متخصص آن در اختيار است. •
تشويق کارکنان به فراگيري تخصصهاي متنوع و جديد • عدم وجود نيروي انساني
73
برگزاري آزمونهاي دورهاي جهت ارزيابي وضعيت آموزشي و کنترل کيفي • متخصص الزم
مهارتهاي فني آنان
برگزاري مانورهاي آموزشي و مديريت بحران به طور ادواري جهت ارزيابي سرعت •
عمل و انتقال در کارکنان جهت رويارويي با شرايط واقعي بحران
برگزاري کالسهاي آگاهسازي و توجيه کارکنان در خصوص خسارات گزاف ناشي از •
عدم رعايت مسائل امنيتي
عدم وجود آموزش امنيتي کافي 74
برگزاري دوره هاي آموزشي تخصصي عرضي امنيت براي متخصصين شبکه و امنيت •
ارائه آموزشهاي عمومي امنيت در سطوح مختلف به مديران و کارکنان •
آموزش کارکنان در خصوص نحوه صحيح نصب تجهيزات ،نرمافزارها ،برنامههاي • اشتباهات و غفلتها مانند عدم
کاربردي و همچنين کاربري صحيح سيستم ها و تجهيزات بکارگيري صحيح تجهيزات،
تدوين برنامههاي ادواري جهت کنترل و شناسايي اشتباهات احتمالي کارکنان • عدم نصب صحيح نرمافزارها و 75
نصب سيستمهاي هشداردهنده که در صورت فراموشي و يا غفلت کاربران هشدار دهد. • برنامههاي کاربردي ،سهل
انگاري
تدوين سياست کاري به منظور اجراي کنترلهاي الزم بمنظور اجراي قوانين تدويني •
بازبيني دوره اي قوانين و شناسايي قوانين ضعيف و متناقض و انجام تصحيحات الزم • عدم وجود کنترل روي قوانين 76
تشويق و تنبيه کارکنان فعال و خاطي •
رمزنگاري دادههاي ارسالي جهت کاهش مخاطرات ناشي از دسترسي غيرمجاز به • اتکا قابل مالحظه به سيستمهاي
77
دادهها در شرايط اضطرار به استفاده از اين ارتباطات ارتباطي بيسيم و ماهواره غير
صفحه 173از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
عدم استفاده از سيستمهاي ارتباطي بيسيم بعلت عدم وجود امنيت کافي در اين نوع از • امن
ارتباطات
استفاده از ارتباطات ماهواره اي داخلي در صورت راه اندازي در آينده در صورت نياز •
استفاده از سامانه هاي مبدل جهت ايجاد سازگاري با سيستم اطالعات جغرافيايي در • عدم سازگاري با سيستم
78
صورت نياز اطالعات جغرافيايي ()GIS
عمليات مکان يابي صحيح و اصولي ساختمان بايد در زمان انتخاب مکان مرکز داده •
انجام شود.
حفاظت فيزيکي در برابر آسيبهاي ناشي از سيل ،زلزله بايستي طراحي و بکارگرفته شود. •
()A.9.1.4
طراحي و مقاومت ساختمان متناسب با کاربري مرکز داده در نظر گرفته شود. •
عمليات مقاوم سازي ساختمان انجام گيرد. •
آموزش افراد براي مقابله با حوادث ( زلزله ) • زلزله 79
تدوين دستورالعملهاي مرتبط با حوادث ( زلزله ) •
تهيه و بکارگيري تجهيزات کمکهاي اوليه •
چيدمان مناسب تجهيزات جهت مقابله با لرزش هاي زلزله •
تهيه و در دسترس بودن نقشه کليه تأسيسات فني و ابنيه ها •
تهيه ليست تجهيزات موجود در مرکز داده •
آموزش و بکارگيري گروه تعمير ،امداد و نجات •
استفاده حداکثري از مصالح و تجهيزات مقاوم در برابر آتش در زمان ساخت مرکز •
داده.
طراحي حفاظت فيزيکي در برابر آسيبهاي ناشي از آتش سوزي •
اعمال محدوديتها در مورد ممنوعيت ورود مواد آتش زا و پرخطر • آتش
80
تهيه و بکارگيري سيستم هاي هشداردهنده و اعالم حريق •
تهيه و بکارگيري تجهيزات اطفاء حريق •
آموزش دوره اي افراد شاغل در مرکز در مورد پيشگيري و مهار آتش •
آموزش و بکارگيري گروه اطفاء حريق •
پيش بيني سيستم برق گير و Earthجهت انتقال بار الکتريکي اضافي به زمين •
ارائه آموزش پيشگيري و مقابله با حوادث براي افراد شاغل در مرکز داده • طوفان و صاعقه 81
آموزش و بکارگيري گروه حوادث غير مترقبه •
تجهيز مرکز به سيستم جمع آوري آبهاي سطحي •
طراحي حفاظت فيزيکي در برابر آسيبهاي ناشي از سيل • سيل 82
آموزش و بکارگيري گروه حوادث غير مترقبه •
تهيه و بکارگيري تجهيزات تهويه مطبوع در ساختمان مرکز داده •
رطوبت و دما 83
استفاده از مصالح مناسب در ساخت مرکز داده •
صفحه 174از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
استفاده از دماسنج و رطوبت سنج بخصوص در نقاطي که از تجهيزات حساس به دما •
استفاده مي شود
تهيه و بکارگيري نورافکن و مه شکن در نقاط مختلف مرکز داده و پيرامون آن •
بکارگيري تجهيزات کم کننده اثرات دود • دود 84
پيش بيني ارتباط با مرکز هواشناسي •
رعايت استحکام مناسب در طراحي سازه مراکز داده متناسب با نوع آنها • سقوط اجسام 85
مکان يابي نصب تجهيزات به منظور دوري از تجهيزات تداخل کننده مثل خطوط برق •
فشار قوي و خطوط با جريان باال
رعايت استانداردهاي مربوط به کابل کشي و فواصل مربوط به نصب کابل هاي انتقال • تداخل الکترومغناطيسي امواج 86
داده ،برق و تلفن در زمان طراحي مرکز داده
آموزش و بکارگيري گروه متخصص در خصوص اختالل هاي الکترومغناطيسي •
طراحي مناسب تأسيسات و رعايت استانداردهاي نصب مسيرهاي انتقال در زمان طراحي •
مرکز داده
استفاده از سيستم هاي هوشمند هشدار دهنده و کنترل کننده تاسيسات •
حفاظت تجهيزات از افت جريان برق يا هر اختاللي که بر اثر عدم پشتيباني تأسيسات • مشکالت تأسيساتي ( آب ،گاز،
87
بوجود مي آيد برق ،تلفن )
استفاده از سيستم هاي پشتيبان براي آب ،گاز ،برق و تلفن بمنظور استفاده در صورت •
اختالل در مسير اصلي
آموزش و بکارگيري گروه تاسيسات •
کنترل و نظارت بمنظور عدم انتقال مواد پرخطر و حساس •
بازرسي افراد و تجهيزات به هنگام ورود و خروج •
مواد پرخطر 88
پيش بيني تجهيزات الزم بمنظور مقابله با حوادث احتمالي پيش آمده از طريق اين مواد •
آموزش و بکارگيري گروه متخصص جهت انجام عکس العمل مناسب •
نصب تجهيزات هشدار دهنده جهت اعالم خطر نشت مواد راديواکتيو در محيط •
قرار دادن لباسهاي مخصوص کار در محيطهاي آلوده به تشعشعات راديواکتيو جهت •
استفاده پرسنل در صورت نياز
استفاده از گيتهاي ورودي حساس به تشعشعات راديواکتيو در تمامي وروديهاي • تشعشعات راديواکتيو 89
مراکز داده
تجهيز ديوارههاي داخلي مراکز داده به مواد شيميايي مخصوص جذب موارد راديواکتيو •
آموزش و بکارگيري گروه متخصص جهت انجام عکس العمل مناسب •
بکارگيري فيلترهاي جلوگيري کننده از ورود گرد و غبار •
استفاده از حسگرهاي گرد و غبار بمنظور اعالم هشدار در مواقع الزم •
گرد وغبار و مه 90
آموزش کارکنان در مورد نحوه رفع مشکل •
آموزش و بکارگيري گروهي جهت انجام عکس العمل مناسب •
صفحه 175از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
فرآيند تنظيم شده بايد توسعه يافته و بايد جهت استمرار کسب و کار در کل سااازمان •
نگهداري شود که اشاره به الزامات امنيتي اطالعات مورد نياز براي اسااتمرار کسااب و
کار سازمان را دارد(A.14.1.1) .
رخدادهايي که ممکن است باعث وقفه در کار مرکز داده شوند بايد به همراه احتمال •
و خسارت ناشي از وقفه و ديگر پيامدهاي امنيتي مشخص شوند.
بايد براي نگهداري يا بازيابي عمليات و اطمينان از دسترسپذيري در سطح مورد نظاار •
و در زمان مورد نظر برنامهريزي شود.
بايد يک چارچوب کلي براي طرحهاي استمرار کسب و کار تدوين شود تااا طرحهااا •
وقفه در کار 4
سازگار بوده و نيازمنديهاي امنيتي را به درستي مشخص کننااد .همچنااين اولويتهاااي
آزمون و ارزيابي را مشخص نمايد.
طرحهاي تداوم کسب و کار بايد آزمايش شده و به طور منظم ارتقاااء ياينااد تااا از بااه •
روز بودن و اثر بخشي آنها اطمينان حاصل شود(A.14.1.5) .
هر طرحي که احتمال ايجاد وقفه در کسب و کار را تقويت ميکند ميبايستي برکنااار •
و راهکار جايگزيني ارائه گردد.
عوامل ايجاد وقفه شناسايي گردند و ريسک حضور اين عوامل در طراحي مرکز داده •
در نظر گرفته شود.
هر مورد از تجهيزات که شامل ذخيره رسانه است ،قبل از کنار گذاري بايد به منظور •
حصول اطمينان از عدم وجود اطالعات خاص بررسي شود .اينگونه اطالعات و نرم
افزارهاي ثبت شده کنار گذاشته شده بايد قبل از کنار گذاري در صورت نياز بر روي
رسانه اي ديگر ثبت گردد.
بکارگيري سيستم تشخيص هويت و شناسايي افراد به صورت جامع •
جلوگيري از عکاسي ،فيلمبرداري و ضبط صدا • جاسوسي 5
ثبت تمام ورود و خروج ها •
آموزش ضد جاسوسي به کارکنان •
تهيه نقشه تأسيسات و قابليت دسترسي آنها براي افراد مجاز •
تهيه ليست تجهيزات و قابليت دسترسي آنها براي افراد مجاز •
جداسازي مکانهاي فعاليت افراد •
تهيه دادههاي پشتيبان در فواصل زماني مناسب بااه منظااور جلااوگيري از احتمااال بااروز •
خرابي در تماميت و صحت دادهها
ردگيري و تهيه سوابق دقيق از عمليات صورت گرفته از سااوي هاار کاااربر بااه منظااور •
حمالت تروريستي
مطالعه و شناسايي رفتار و اقدامات مشکوك صورت گرفته 6
سايبري(هکرها)
کاهش سطح تماس سرويسهاي مرکز داده به متقاضيان •
پرهيز از افشاااء ماهياات و رفتااار درونااي سيسااتم ،ناارم افاازار /سااختافزار و مولفااههاي •
نرمافزاري به کار رفته در آن به سايرين
صفحه 177از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
دسترسي به سيستم هاااي عاماال بايااد توسااط فرآينااد اجرايااي اماان ( ) Logonکنتاارل •
شوند(A.11.5.1).
همه کاربران بايد IDانحصاري براي استفاده شخصي خود داشته باشااند و بايااد يااک •
تکنيک مناسب تأييد ،جهت اثبات ادعاي IDکاربر انتخاب شود.
سيستم هاي تنظيم کلمه عبور بايد دو سويه بوده و کيفيت کلمه عبور را اطمينان دهد. • دسترسي غيرمجاز به سيستمعامل 9
استفاده از برنامه هاي کاربردي که توانايي کنترل کاربردها را داشته باشااند بااه شاادت •
تحت کنترل قرارداده شده و محدود شوند.
براي فراهم نمودن امنيت بيشتر براي کاربردهاي داراي ريسک باااال ،بايااد محاادوديت •
هايي در زمان برقراري اتصال اعمال شود(A.11.5.6).
دسترسي بااه اطالعااات و عمليااات سيسااتمهاي کاااربردي توسااط کاااربران و کارکنااان •
پشتيباني بايد طبق خط مشي کنترل دسترسي مشخص محدود گردد(A.11.6.1). دسترسي غيرمجاز به برنامههاي
10
سيسااتم هاي حساااس بايااد محاايط کامپيوتري(محاسااباتي) اختصاصااي(مجزا) داشااته • کاربردي
باشند(A.11.6.2).
خط مشي تبااادل رساامي ،روش هاااي اجرايااي و کنتاارل هااا جهاات حفاظاات از تبااادل •
اطالعااات بااا اسااتفاده از همااه انااواع امکانااات ارتباااطي بايااد در محاال وجااود داشااته
باشد(A.10.8.1).
توافقات جهت مبادله اطالعات و نرم افزار بين سااازمان و طرفهاااي خااارج از سااازمان •
دسترسي غير مجاز به اطالعات
بايد پايه ريزي و تدوين شوند.
يا سيستمهاي حين مبادله با 11
رسانه هاي حاوي اطالعات بايد در مقابل دسترسي غيرمجاز ،سوء استفاده يااا انحااراف •
نهادهاي خارج از مرکز داده
در زمان انتقال به خارج از مرزهاي فيزيکي سازمان ،حفاظت شود.
خط مشي ها و روش هاي اجرايااي جهاات حفاظاات از اطالعااات همااراه بااا ارتباطااات •
داخلااي سيسااتمهاي اطالعاااتي کسااب و کااار بايااد تاادوين شااده و دائمااا ارتقاااء
يابند(A.10.8.5).
صفحه 179از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
الزامات مميزي و فعاليتهاي که شامل بررسي سيستمهاي عملياتي اساات ،بااراي کمينااه •
کردن مخاطرات اختالل در فرايند کسب و کار ،بايد بااا دقاات طرحرياازي و تصااويب
شوند(A.15.3.1).
رکوردهاي مميزي مربااوط بااه فعاليتهاااي کاااربران ،وقااايع اسااتثنايي ،و روياادادهاي •
امنيتي بايد توليد و نگهداري شوند .اين رکوردها براي کمااک بااه تفحصااهاي آتااي و
نظارت بر کنترل دسترسي کاربرد دارند(A.10.10.1) .
فرايند اجرايي براي استفاده از مراقبت امکانات پردازش اطالعات بايد پايه ريزي شده •
و نتايج نظارت فعاليتها بايد به طور منظم بازنگري شوند.
امکانات ثبت کردن و ثبت اطالعااات بايااد در براباار دسترسااي باادون مجااوز و پنهااني •
حفاظت شود.
فعاليتهاي مدير و اپراتور سيستم بايد ثبت شوند. •
خطاها بايد ثبت و تحليل شده و اقدامات مناسب صورت بگيرد. •
ساعت سيستمهاي پردازش اطالعات در سازمان يااا حااوزه امنيتااي بايااد بااا زمااان دقيااق •
مرجع هماهنگ باشند(A.10.10.6).
پردازشهاي اطالعاتي غير مجاز 12
در صورت بروز خطا در ثبت رکوردهاي مميزي يا پر شدن ظرفيت محل ذخيره ،بايد •
هشدار مناسب به مدير فني مربوط داده شده و اقاادام مقتضااي (توقااف ثباات ،خاااموش
کردن سيستم ،يا بازنويسي روي رکوردهاي قديمي) انجام شود(NIST AU-5 ) .
سيستمهاي اطالعاتي بايد مهر زماني ) (timestampهر رويااداد را مشااخص نماينااد. •
)(NIST AU-8
سيستم هاي اطالعاتي بايد از اطالعات مميزي و ابزارهاي ممياازي در مقاباال دسترسااي •
غيرمجاز ،تغيير يا حذف محافظت کنند(A.15.3.2) (NIST AU-9 ) .
هر سيستم اطالعاتي بايد امکان ثبت وقايع بيشتر و جزئيتر در رکوردهاي ممياازي بااه •
همراه نوع ،محل ،و عامل آن فراهم کنند(NIST AU-3(1) ) .
در صورتي که حجم رکوردهاي ممياازي بااه %75ظرفياات محاال ذخيااره رساايد ،بايااد •
سيستم اطالعاتي هشداري به مدير سيستم بدهد(NIST AU-5(1) ) .
سيستمهاي اطالعاتي بايد قابليت تحليل و خالصهسازي رکوردهاااي ممياازي و توليااد •
گزارش هاي مفيد و قابل پيکربناادي باار اساااس انتخاااب روياادادهاي خاااص را داشااته
باشند(NIST AU-7, AU-7(1) ) .
داده هاي ورودي براي سيستم کاربردي بايد براي حصول اطمينان از صحت و مناسب •
بودن آنها ،اعتبار سنجي شوند(A.12.2.1) .
تغيير غيرمجاز ،از دست دادن يا
بايد در سيستمهاي کاربردي از وارسيهاي اعتبارسنجي بااه منظااور کشااف هاار گونااه •
سوءاستفاده از اطالعات در 13
خرابي داده استفاده شود.
برنامههاي کاربردي
الزامات براي اطمينان از درستي و حفاظت از صحت پيام در کاربردهااا بايااد مشااخص •
شده و کنترل هاي مناسب بايد مشخص و اجرا شوند.
صفحه 180از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
داده هاي خروجي يک سيستم کاربردي بايد به منظااور اطمينااان از درسااتي و مناسااب •
بااودن پااردازش اطالعااات ذخيااره شااده بااا شاارايط مربوطااه مااورد تعيااين اعتبااار قاارار
گيرد(A.12.2.4).
استفاده از تکنيکهاي استتار بمنظور عدم تشخيص مکان مرکز داده توسط دشمن •
استفاده از تکنيکهاي اختفا بمنظور عدم تشخيص مکان مرکز داده توسط دشمن •
استفاده از تکنيکهاي فريب دشمن بمنظور عدم تشخيص مکان واقعي مرکز داده •
تهيه اطالعات پشتيبان و ارسال آنان به نقطهاي خارج از فضاي فيزيکي مرکز داده •
بمنظور حفظ داده ها و اطالعات
ايجاد يک مرکز داده پشتيبان Offlineدر محل فيزيکي ديگر بمنظور سرويس دهي •
در صورت عدم امکان سرويس دهي توسط مرکز اصلي حمله فيزيکي ،هستهاي و اتمي 14
تربيت تيم هاي تخصصي بمنظور استفاده جهت ترميم آسيب ها در شرايط اضطرار •
مکان يابي محل فيزيکي مناسب بمنظور ايجاد مرکز داده و استفاده از منابع طبيعي •
نظير کوه براي اين منظور
ايجاد يک مرکز داده پشتيبان فعال ( )Activeدر محل فيزيکي ديگر بمنظور •
سرويس دهي در صورت عدم امکان سرويس دهي توسط مرکز اصلي
ايجاد سازه مرکز داده بصورت زير زميني و در عمق زمين •
کنترل تردد تجهيزات و بسته ها •
طراحي و بکارگيري برنامه حفاظت فيزيکي در برابر آسيبهاي ناشي از انفجار •
()A.9.1.4
آمو زش کارکنان شاغل در مرکز جهت رفع اشکاالت و ايرادات بوجود آمده پس از • بمب گذاري يا انفجار 15
انفجار
ارتباط مستقيم با متخصصان مربوط به خنثي سازي موارد منفجره •
وجود تجهيزات و افراد خنثي کننده بمب •
شيلد نمودن و عايق بندي جدارههاي و منافذ ورودي تأسيسات مراکز داده به منظور •
جلوگيري از نفوذ گازهاي شيميايي به داخل مراکز
استقرار تجهيزات ايمني از قبيل ماسک و ساير تجهيزات موجود جهت جلوگيري از •
حوادث شيميايي 16
آسيب پرسنل
نگهداري پادزهرهاي مختلف مربوط به انواع گازهاي شاايميايي در جعبااه کمکهاااي •
اوليه به منظور انجام اقدامات اوليه به مصدومين
صفحه 181از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
مکان يابي نصب تجهيزات به منظور دوري از تجهيزات منشا تداخل مثل خطوط برق •
فشار قوي و خطوط با جريان باال
آموزش کارکنان شاغل در مرکز جهت رفع اشکاالت مربوط به اختالل هاي •
الکترومغناطيسي
جنگ الکترومغناطيسي 17
رعايت استانداردهاي مربوط به کابل کشي و فواصل مربوط به نصب کابل هاي انتقال •
داده ،برق و تلفن
استفاده از سيستم برق اضطراري براي مواقع خاص •
بکارگيري حفاظهاي امواج الکترومغناطيس بر روي بسترهاي انتقال •
کنترل مواد خوراکي •
کنترل محيط مرکز داده در خصوص گسترش موارد ارگانيزمي و اقدامات پيشگيرانه •
آموزش کارکنان شاغل در مرکز جهت مقابله با موارد ارگانيزمي • ارگانيزم ها
18
ايجاد مرکز بهداشت و درمان به منظور رفع مشکالت با گستردگي محدود در مورد • ( ويروس ،باکتري و) ...
افراد شاغل
نمونه گيري و آزمايش مرتب موارد خوراکي و محيط •
نقاط دسترسي نظير نواحي بارگيري يا تحويل و ديگر نقاطي که احتمال ورود •
اشخاص فاقد صالحيت وجود دارد کنترل شده و در صورت امکان از ساير بخشها و
تأسيسات منفک گردد.
تجهيزات بايد به منظور کاهش ريسک هاي حاصل از تهديدات و آسيبهاي محيط و •
فرصتهاي دسترسي غيرمجاز ،حفاظت شوند(A.9.2.1).
تجهيزات بايد جهت حصول اطمينان از تداوم دسترسي و صحت بطور مناسب •
نگهداري شوند(A.9.2.4).
تجهيزات ،اطالعات يا نرم افزار نبايد بدون مجوز قبلي از محل خارج شوند. •
)(A.9.2.7
از سامانه هاي امنيتي (موانعي نظير ديوارها ،گيت هاي ورودي که با کارت کنترل مي • دسترسي غير مجاز به سيستم ها،
19
شود ي ا ميزهاي پذيرش آماده) بمنظور محافظت ناحيه هايي که شامل اطالعات و تجهيزات و منطقه فيزيکي
سامانه هاي پردازش اطالعات باشد ،استفاده شود)A.9.1.1( .
نواحي امن بوسيله کنترل هاي ورودي مناسب جهت اطمينان از اينکه فقط پرسنل •
مجوز دار اجازه دسترسي داشته باشند محافظت شود)A.9.1.2( .
امنيت فيزيکي الزم براي دفاتر ،اتاق ها و تاسيسات ،طراحي و بکار گرفته •
شود)A.9.1.3(.
آموزش هاي الزم به کابران ارائه گردد. •
بکارگيري سيستم حفاظت فيزيکي هوشمند پيراموني (دوربين هاي مدار بسته ) و •
هشدار دهنده
صفحه 182از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
بايد دستورالعمل اجرايي براي مديريت رسانه متحرك تدوين گردد(A.10.7.1) . •
در صورت عدم نياز به يک رسانه ،بايد به صااورت اماان و ايماان و طااي يااک فرآينااد •
رسمي امحاء شود(A.10.7.2) .
مستند سازي سيستم بايد در برابر دسترسي غير مجاز حفاظت شود(A.10.7.4). •
رسانه هاي ذخيره سازي اطالعات در محل امن نگهداري شوند. •
اطالعات رسانه قبل از تعويض ثبت گردد(A.9.2.6) . • دسترسي غير مجاز به رسانههاي
20
وجود روش هاي اجرايي در محل براي مديريت رسانه متحرك(A.10.7.1) . • ذخيرهسازي اطالعات
در صورت عدم نياز به يک رسانه ،بايد به صورت امن و ايمن و طي يک فرآيند •
رسمي امحاء شود(A.10.7.2) .
شبکه ها بايد به منظور حفاظت در برابر تهديدها و حفظ امنيت سيستمها و برنامه هاي •
کااااربردي شااابکه و داده هااااي در حاااال انتقاااال ،باااه طاااور مناساااب ماااديريت
شوند(A.10.6.1).
لزوم حفاظت از بسترهاي انتقال داده با تدوين سياست نامه اي در خصوص نحوه •
دسترسي به آنها ،مسئوليتهاي افراد در اين ارتباط و کد گذاري بسترها ي انتقال
( ) NIST-MP-2 ( ، ) NIST-MP-1و ( ) NIST-MP-3
نحوه دسترسي ،افراد مجاز و نحوه دريافت اطالعات ورودي به بسترهاي انتقال از هر •
نوع ( اطالعات الکترونيکي ،کاغذي و ) ...بايستي مورد کنترل قرار گيرد.
( ) NIST-MP-5 دسترسي فيزيکي غيرمجاز به
21
حفاظت فيزيکي مناسب از کابلها و بکارگيري داکت • بستر انتقال دادهها
قرار دادن کانال انتقال دادهها در محيط غيرقابل دسترسي •
کنترل بسترهاي انتقال داده در زمان کنارگذاري و يا استفاده مجدد آنهاNIST- (. •
) MP-7
استفاده از مکانيزمهاي بازدارنده روي کانالهاي انتقال داده به منظور کاهش احتمال •
دسترسي فيزيکي غيرمجاز
جايگزيني فنآوري موجود با فن آوري قابل انطباق •
استفاده از فنآوريهاي مبدل به منظور انطباق فنآوري موجود با فنآوري مدرن • عدم سازگاري با فنآوريهاي
22
تالش براي بروزسازي فنآوري جديد با افزودن قابليتهاي موجود در فنآوريهاي • مدرن جنگ الکترونيک
مدرن
استفاده از مولفههاي مبدل به منظور ايجاد ارتباط و هماهنگي بين سيستمهاي کنوني • تهديد ناشي از عدم سازگاري با
اطالعات عمليات و سيستمهاي نوين اطالعات عمليات سيستمهاي مدرن اطالعات 23
عمليات
اتخاذ مالحظاتي براي امکان جابجايي تجهيزات ذخيره سازي داده ها و اطالعات در • تهديد ناشي از عدم سازگاري با
زمان بحران بمنظور استفاده در مرکز داده ديگر فن آوريهاي مدرن جنگ 24
متحرك
صفحه 183از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
آموزش کارکنان شاغل در مرکز جهت جلوگيري از سرقت الکترونيکي شناسههاي •
هويت آنها
ملزم کردن کارکنان به تغيير کلمات عبور به صورت ادواري •
استفاده از کلمات عبور پيچيده ،طوالني غيرقابل حدس زدن •
آسيب يا سرقت (الکترونيکي) 25
دسترسي به اطالعات طبقهبندي شده بايد لزوماً با عبور از مکانيسمهاي احراز هويت •
چندگانه امکانپذير گردد.
کاهش کانالهاي الکترونيکي جهت دسترسي کاربران به منابع دادهاي و سرويسهاي •
ارائه شده از سوي مرکز داده
از تجهيزات بايد به منظور کاهش ريسک هاي حاصل از تهديدات و آسيبهاي محيط •
و فرصتهاي دسترسي غيرمجاز ،متناسب با ماهيت هر يک حفاظت شود.
آموزش کارکنان شاغل در مرکز جهت جلوگيري از آسيب يا سرقت •
از نقشه تأسيسات و موارد زير بنايي در مکان مناسب (گاوصندوق يا محل مطمئن) •
حفاظت گردد.
آسيب يا سرقت
ثبت ورود و خروج افراد • 26
(فيزيکي)
حفاظت از ليست تجهيزات •
حفاظاات از تجهياازات در زمااان انتقااال بااه تعميرگاااه و يااا بااه هنگااام تعمياار و رعاياات •
تمهيدات مربوطه
جداسازي مکانهاي فعاليت افراد داراي دسترسي هاي مختلف •
رعايت اصول و سطوح طبقه بندي •
استفاده از کانالهاي ارتباطي فاقد امکان اختالل •
شيلد کردن کانالها و تجهيزات ارتباطي و مکانهاي قرار گرفتن اين تجهيزات • اختالل در ارتباطات شبکه 27
استفاده از ارتباطات پشتيبان ناهمگون •
بکارگيري سيستم توان پشتيبان •
استخدام نيروهاي متخصص برق به منظور انجام سرويس بالدرنگ در زمان بروز •
اختالل در سيستم برق اختالل در سيستم برق 28
نگهداري سوخت کافي براي ژنراتورهاي مولد برق براي شرايط خاص که امکان •
دسترسي به سوخت تا مدتها وجود ندارد
الزام به قرار گرفتن در شرايط آماده باش کامل به منظور نظارت بر حسن اجراي • قرار دادن کشور در موقعيت
29
تمامي کنترلهاي پيشنهادي (پدافند غيرعامل و امنيت) جنگ تمام عيار اطالعاتي
تالش جهت تسلط بر دانش و فناوري ها بمنظور بوميسازي فنآوري به منظور •
کاهش دغدغههاي ناشي از تحريم فنآوري تهديد ناشي از تحريم فن آوري
30
تعامل با بخش هاي تحقيقاتي و پژوهشي کشور بمنظور بکرگيري حداکثري توان • هاي پيشرفته خارجي
داخلي جهت توليد فناوري هاي الزم در داخل کشور داخل کشور
صفحه 184از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
قرار دادن کاربران خاطي و غيرقابل اعتماد در ليست سياه و ممانعت از سرويسدهي •
به آنان
برگزاري دوره هاي آگاهسازي براي کارکنان و کاربران در اين خصوص •
انتشار مستنداتي از اهداف خرابکارانه دشمن در تضعيف روحيه افراد که حاکي از بيپايه • جنگ رواني دشمن 37
بودن گفتههاي دشمن دارد
استفاده از الگوريتمهاي رمزنگاري بومي ،امضاهاي ديجيتال در رمزنگاري اطالعات •
متناسب با ماهيت و نوع سرويسها به منظور جلوگيري از افشا و امکان دستکاري
اطالعات در حال گذر
عدم استفاده از الگوريتم هاي رمزنگاري غيرمطمئن بمنظور رمزنگاري اطالعات در •
تغيير هويت اطالعات درحال
حال گذر 38
گذر
استفاده از مکانيزمهاي پنهان نگاري اطالعات در شرايط الزم بمنظور انتقال اطالعات •
مهم
عدم استفاده از کانالهاي ارتباطي بيسيم بدون در نظر گرفتن مکانيزمهاي امنيتي •
مطمئن
استفاده از مکانيزمهاي رمزنگاري اطالعات و الگوريتمهاي رمزنگاري بومي بمنظور •
نگهداري اطالعات بر روي رسانه هاي ذخيره سازي اطالعات
عدم استفاده از الگوريتم هاي رمزنگاري غيرمطمئن بمنظور رمزنگاري اطالعات •
استفاده از مکانيزمهاي احراز هويت براي دسترسي به سرويسها و اطالعات به منظور •
جلوگيري از دسترسي غير مجاز به اطالعات
دسترسي غيرمجاز به اطالعات 39
پيش بيني تمهيدات امنيتي متناسب با سطح اهميت و ميزان تجميع اطالعات •
استفاده از کانالهاي ارتباطي خاص و غير مشترك جهت تبادل اطالعات با پيش بيني •
تمهيدات امنيتي
استفاده از مکانيزمهاي احراز هويت حداقل 2عاملي براي دسترسي به سرويسها و •
اطالعات به منظور جلوگيري از دسترسي غير مجاز به اطالعات
محافظت بمنظور عدم افشاي محل مرکز داده •
حفاظت فيزيکي در برابر آسيبهاي ناشي از آشوب هاي شهري بمنظااور جلااوگيري از •
ورود افراد متفرقه ناآراميهاي اجتماعي 40
محافظت بمنظور ذکر نشدن محل مرکز داده در نقشه هاي جغرافيايي •
احداث مرکز داده در مکانهاي فيزيکي غير قابل دسترس مردم عادي •
صفحه 186از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
محيط هاي امنيتي (موانعي نظير ديوارها ،گيت هاي ورودي که با کارت کنترل مي •
شود يا ميزهاي پذيرش آماده) بايد بمنظور محافظت ناحيه هايي را که شامل اطالعات
و سامانه هاي پردازش اطالعات باشد ،استفاده شود)A.9.1.1( .
از سامانه هاي امنيتي (موانعي نظير ديوارها ،گيت هاي ورودي که با کارت کنترل مي •
شود ،دستگاههاي X-Rayيا ميزهاي پذيرش آماده) بمنظور کنترل ورود و خروج
افراد و تجهيزات همراه آنها استفاده شود)A.9.1.1( .
ورود و خروج غير مجاز افراد 41
بکارگيري دوربين هاي کنترل تردد و سيستم حفاظت پيراموني •
اجبار در استفاده ازکارت شناسايي توسط افراد و کنترل آن توسط مبادي ذيربط •
ثبت زمان ورود و خروج افراد •
آموزش کارکنان •
جداسازي مکانهاي فعاليت افراد داراي طبقه بناادي مختلااف و رعايااات اصااول حيطااه •
بندي
بايد مسئوليتهاي مديريت و فرآيندهاي اجرايي جهت حصول اطمينان از پاسخ ،سريع، •
موثر و مرتب به حوادث امنيتي اطالعات پايه ريزي شود(A.13.2.1) .
بايد مکانيزمهايي براي سنجش و پايش نااوع ،حجاام ،و هزينااه حااوادث امنيتااي وجااود •
داشته باشند(A.13.2.2) .
هر مرکز داده بايستي داراي مرکز عمليات امنيتااي ( )SOCبمنظااور مااانيتور و کنتاارل •
حوادث امنيتي باشد. عدم رويکرد مداوم براي
42
بعد از حادثه امنيتي اطالعات ،پي گيري در برابر فرد يا سازماني صورت مي گيرد کااه • مديريت حوادث امنيتي
شامل اقدام قانوني (چه مدني ،جزايي ) است ،شااواهد بايااد جمااع آوري و نگهااداري
شده و براي مطابقت با قوانين جهت مطرح شدن شواهد در يک دادرسي مربوطه ارائه
شوند(A.13.2.3) .
سازمان بايستي ميزان سرعت واکنش و کااارآيي مکانيزمهااا در شاارايط مااورد نياااز را، •
آزمايش نمايد(NIST-IR-3) .
رويدادهاي امنيتي اطالعات بايد توسط مديريت کانالهاااي مناسااب تااا حااد امکااان بااه •
سرعت گزارش شوند(A.13.1.1).
مرکز داده بايستي داراي تيم CERTبمنظور ترميم حوادث احتمالي در صورت وقوع، •
عدم اصالح و بازيابي پس از
باشد. 43
حوادث امنيتي
تمام کارکنان پيمانکاران و مصرف کنندگان ثالث مصرف کننده سيستمها و خاادمات •
اطالعات بايااد ملاازم شااوند تااا هرگونااه ضااعف امنيتااي مشاااهده شااده و مشااکوك در
سيستمها و خدمات را به آن توجه کرده و گزارش دهند(A.13.1.2).
روش هاي اجرايي عملياتي بايد مستند سازي و نگهداري شده ،و براي همااه کاااربران •
ناامني يا نادرستي در عمليات
که به آن نياز دارند در دسترس باشد(A.10.1.1). 44
پردازش اطالعات
تغييرات در امکانات پردازش اطالعات و سيستمها بايد کنترل شده باشند. •
صفحه 187از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
وظايف و حوزه هاي مسئوليت بايد در راستاي کاهش فرصت براي افراد غيرمجاااز يااا •
تغييرات ناخواسته يا سوء استفاده از دارايي هاي سازمان تفکيک شوند.
پيشرفت ،آزمايش و امکانات عملياتي بايد تفکيک شوند تا دسترسي هاي غيرمجاز يا •
تغييرات سيستم عملياتي را کاهش دهد(A.10.1.4).
استفاده از منابع بايد مراقبت و تنظيم گردد .پيش بيني هاي الزم طبق الزامااات ظرفياات •
آينده جهت حصول اطمينان از عملکرد سيستم ضروري است(A.10.3.1).
عدم امنيت در تعامل با طرفهاي
بايد معيار پذيرش سيستم هاي اطالعاتي جديد ،ارتقاء و نسخه هاي جديد پايااه رياازي • 45
ثالث
شده و آزمونهاي مناسب سيسااتم هااا در طااي پيشاارفت و قباال پااذيرش انجااام شااوند.
)(A.10.3.2
در استفاده از منابع بايد مراقبت گردد .پيش بيني هاي الزم طبق الزامات ظرفيت آينده •
جهت حصول اطمينان از عملکرد سيستم ضروري است(A.10.3.1).
بايد معيار پذيرش سيستم هاي اطالعاتي جديد ،ارتقاء و نسخه هاااي جديااد بايااد پايااه • خطاهاي سيستم 46
ريزي شده و آزمونهاي مناسب سيسااتم هااا در طااي پيشاارفت و قباال از پااذيرش انجااام
شوند(A.10.3.2).
الزامات امنيتي يک مرکز داده که مديريت و کنتاارل تمااامي يااا بخشااي از سيسااتمهاي •
امنيتي ،شبکهها و محيطهاي کاري آن به سااازماني ديگاار واگااذار ميشااود ،بايااد در
يک قرارداد که بين مرکز داده و طرف ديگر توافق شده است ،دقيقا مشخص شود. برونسپاري خدمات و پردازش
47
افراد و مراکز مجاز در حوزه هاي مرتبط با مراکز داده استعالم گردد. • اطالعات
برونسپاري خدمات مديريتي ،نگهداري و هرگونه خدمات ديگر در اياان مراکااز داده •
به افراد و مراکز غير مجاز ممنوع است.
استفاده از نرمافزارهاي کدباز بجاي استفاده از نرمافزارهاي کدبسته در صورت وجود •
و پس از بررسي هاي امنيتي الزم بر روي آن عدم بکارگيري نرمافزارهاي
48
اتخاذ سياست توليد کد بجاي بکارگيري نرمافزارهاي بينالمللي موجود حتي از نوع • کدباز
کد باز و تعامل با مراکز و سازمانهاي مجاز در اين رابطه
تهيه نسخه پشتيبان از اطالعات و نرم افزار به طور مرتب و مطابق با خط مشي پشااتيبان •
گيري
نقض صحت 1و دسترسپذيري
استفاده از مکانيزمهاي جلوگيري از نقض صحت اطالعات متناسب با نوع سرويسها و •
اطالعات و سيستمهاي پردازش 49
پردازشها
اطالعات
استفاده از مکانيزمهاي جلوگيري از نقض دسترس پذيري اطالعااات متناسااب بااا نااوع •
سرويسها و پردازشها
شبکه ها بايد به منظور حفاظت در برابر تهديدها و حفظ امنيت سيستمها و برنامه هاي • عدم حفاظت اطالعات در
50
کاربردي شبکه و داده هاي در حال انتقال ،به طور مناسب مديريت شوند. شبکهها
1
Integrity
صفحه 188از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
ويژگي امنيت ،سطوح خدمات و الزامات مديريت همه خدمات شاابکه بايااد مشااخص •
شده و لحاظ گردند.
امنيت شبکه در چند اليه مطابق مدلهاي دفاع از عمق طراحي و پياده سازي گردد. •
بايد يک روش اجرايي رسمي ثبت و حااذف کاااربر در محاال بااراي اعطااا و لغااو حااق •
دسترسي به همه سيستم ها و سرويس هاي اطالعاتي وجود داشته باشد(A.11.2.1).
تخصيص و استفاده از مجوزها محدود و کنترل شود. •
تخصيص کلمات عبور از طريق يک فرآيند مديريتي رسمي کنترل شود. •
مديريت ،حقوق دسترسي کاربران را در فواصل منظم ،در راستاي استفاده فرآيندهاي •
اصلي ،بازنگري کند(A.11.2.4) .
کاربران بايد ملاازم بااه رعايات نکااات ايمنااي در انتخاااب و اسااتفاده از کلمااات عبااور •
باشند(A.11.3.1).
کاربران بايد مطمئن باشند که تجهيزات بدون مراقبت از حفاطت مناسب برخوردارند. •
سياست ميز مرتب براي کاغذها و رسااانه ذخيااره متحاارك و سياساات صااحنه نمااايش •
واضح براي امکانات پردازش اطالعات بايد پذيرفته شود(A.10.3.3).
هر سيستم اطالعاتي بايد محدوديت حداکثر 3ورود ناموفق را در طي 30دقيقه اعمال • دسترسي غير مجاز کاربر 51
کند .پس از رسيدن تعداد ورودهاي ناموفق به حد نصاب ،سيستم بايد قفل شااده و بااه
طور خودکار پس از يک ساعت به حالت عادي برگردد(NIST-AC-7 ) .
مرکز داده بايد مطابق خط مشيهاي استفاده و اِعمال کنترلهاي دسترسي ،فعاليتهاي •
کاربران را مرور کرده و بر آنها نظارت داشته باشد(NIST-AC-13) .
سيستمها بايد حسابهاي کاااربري مااوقتي و اضااطراري را بالفاصااله پااس از اتمااام کااار •
غيرفعال نمايند(NIST-AC-2(2) ).
هر سيستم اطالعاتي بايد پس از 5دقيقه عدم فعاليت کاربر ،نشست وي را قفل نمايد و •
دسترسي مجدد کاربر را منوط به طااي مراحاال احااراز هوياات و مجاااز شناسااي نمايااد.
)(NIST-AC-11
هر سيستم اطالعاتي بايد پس از 15دقيقه عدم فعاليت کاربر ،به طور کامل به نشساات •
خاتمه دهد ( log offنمايد)(NIST-AC-12) .
هر گونه درخواست براي تهيه ،خريااد ،يااا توليااد سيسااتمهاي اطالعاااتي بايااد صااريحا •
نيازمنديها و الزامات امنيتي را نيز مشخص کند. عدم در نظر گرفتن امنيت در
در تمامي بخشهاي يک سيستم اطالعاتي از توليد تا بهره برداري ،امنيت بعنااوان يااک • سيستمهاي اطالعاتي به عنوان 52
جزء انکار ناپذير در نظر گرفته شود. يک بخش اصلي
تشکيالت امنيتي و ساختار سازماني الزم براي امنيت پيش بيني گردد. •
براي حفاظت از اطالعات بايد يک خااط مشااي اسااتفاده از کنتاارل هاااي رمااز نگاااري • نقض محرمانگي يا صحت
توسعه پيدا کرده و اجرا شود(A.12.3.1). اطالعات در اثر عدم استفاده يا 53
مديريت کليد بايد جهت پشتيباني از استفاده سازمان از تکنيکهاااي رمااز نگاااري تعبيااه • استفاده نادرست از رمزنگاري
صفحه 189از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
شود(A.12.3.2).
از سيستم فايلهاااي مطماائن اسااتفاده گااردد و در اياان راسااتا از مشاااوره مجموعااه هاااي •
متخصص و مورد اعتماد بهره گرفته شود. عدم اطمينان از امنيت فايل
54
بايد روش هاي اجرايي جهت کنترل نصب نرم افزار باار روي سيسااتمهاي عاماال تعبيااه • سيستم ها
شوند(A.12.4.1).
هاار گونااه تغيياار بااا اسااتفاده از روش هاااي اجرايااي رساامي کنتاارل تغيياارات کنتاارل •
شود(A.12.5.1).
تغييرات در بسته هاي نرم افزار بايد کم شااده ،بااه تغيياارات الزم محاادود شااود و همااه •
تغييرات بايد شديداً تحت کنترل باشند(A.12.5.3).
از هر گونه نشست اطالعات بايد جلوگيري شود(A.12.5.4). •
توسااعه و تغيياار ناارم افاازار باارون سااپاري شااده بايااد توسااط مرکااز داده نظااارت •
شود(A.12.5.5).
مرکز داده بايد پيکربندي پايه و اوليه هر سيستم اطالعاااتي را تهيااه و مسااتند ساااخته و •
فهرستي از مولفههاي سازگار سيستم تهيه نمايد. نقض امنيت اطالعات و
مرکز داده بايد هر گونه تغيير در سيستمهاي اطالعاتي را مستندسازي و کنترل نمايااد. • نرمافزارهاي کاربردي 55
اين تغييرات بايد ابتدا توسط مقام مسوول تاييد شود. سيستمعامل
مرکز داده بايد تغيير دادن سيستمهاي اطالعاتي را محدود به افراد مجاز نمايد. •
بايد پيکربندي امنيتي سيستم هاي اطالعاتي به نحوي باشد کااه بيشااترين محاادوديت را •
اعمال نمايد و سازگار با نيازمنديهاي عملياتي و امنيتي سيستمها شود(NIST CM-.
)6
مرکااز داده بايااد از روشااهاي خودکااار بااراي اعمااال محاادوديت دسترسااي در تغيياار •
سيستمهاي اطالعاتي استفاده نمايد.
مرکااز داده بايااد از روشااهاي خودکااار بااراي مااديريت ،اعمااال و بررسااي پيکربناادي •
سيستمهاي اطالعاتي بهره بگيرد.
اطالعات به موقع در مورد آسيب پذيريهاي فني سيستمهاي اطالعاتي مااورد اسااتفاده •
عدم مديريت آسيبپذيريهاي
بايد کسب شده و اث ر آنها بر مرکز داده بررسي شده و تدابير مناسبي براي مقابله با آنها 56
فني
اتخاذ شود(A.12.6.1).
تمام الزامات مقرراتي ،حقوقي و قراردادي و همه رويکرد سااازمان بااراي تااأمين اياان •
الزامات بايد صريحاً مشخص ،مستندسازي شده و براي هر سيسااتم اطالعاااتي سااازمان
ارتقاء داده شود(A.15.1.1).
براي حصول اطمينان از انطباااق بااا الزامااات قااانون گااذاري ،مقرراتااي و قااراردادي در • عدم رعايت قوانين 57
استفاده مادي بااا توجااه بااه ارتباااط بااا حقااوق مالکياات فکااري يااا اسااتفاده اختصاصااي
محصوالت نرم افزاري ،روشهاي اجرايي تدوين و اجرا شود(A.15.1.2).
سوابق مهم بايد در برابر مفقود شدن ،تخريب و تحريف طبق قوانين قانوني ،مقرراتااي •
صفحه 190از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
اصول و قوانين مربوط و متناسااب بااا الزامااات کسااب و کااار طبقهبناادي اطالعااات در
دسترس باشد.
به عنوان بخشي از تعهد قراردادي افراد ،کارکنااان ،پيمانکاااران و کاااربران ثالااث بايااد •
طبق قوانين ،اصول و مقررات مربوطه و متناسب با الزامات کسااب و کااار طبقااه بناادي
اطالعات در دسترسي را مدنظر داشااته و بااه ريسااکهاي ناشااي از افشاااء اطالعااات و
دسترسي غيرمجاز ديگران واقف باشند.
مديريت بايد از کارکنااان و پيمانکاااران و کاااربران ثالااث بخواهااد تااا امنياات را طبااق •
خطمشيهاي تدوين شده و رويههاي مرکز داده بکار برند.
همه کارکنان سازمان (مرتبط با مرکز داده) ،پيمانکاران و کاربران ثالث ،بايد آگاااهي •
و آموزش مناسب و خط مشي هاي به روز شده و روشااهاي اجرايااي کااه بااه عملکاارد
شغلي آنها مربوط مي شود ،را دريافت کنند. عدم آگاهي نيروهاي انساني از
62
بايد فرآيند انضباطي رسمي براي کارکناني که تعهدات امنيتي را نقض کردند وجااود • مسووليتها و تعهدات
داشته باشد.
سازمان بايستي آموزشهاي الزم در خصوص مسوليتهاي آنها و قوانين واکنش سااريع •
در مواقع الزم را به همه کارکنان (مرتبط با مرکااز داده) داده و مرتبااا بااه روز نمايااد.
)(NIST-IR-2
مسئوليتها براي آن افرادي که دوره استخدامشان پايان يافتااه يااا تغيياار پياادا کاارده بايااد •
بصورت روشن و واضح بوده و تعيين شود(A.8.3.1).
همه کارکنان ،پيمانکاران و کاربران ثالث بايد همه دارايي هاي سااازمان را (آنچااه در • تهديدهاي مربوط به تغيير شغل
تصرف دارند) به محض خاتمه استخدام ،قرارداد و توافق بازگردانند(A.8.3.2). يا انفصال از خدمت کارکنان و 63
مجوزهاي دسترسي به اطالعات و امکانات پردازش اطالعااات بااراي کاال کارکنااان ، • پيمانکاران
پيمانکاران و کاربران ثالث بايااد بااه محااض اتمااام استخدامشااان ،قاارارداد و توافقشااان
حذف شده يا به محض تغيير ،تنظيم شود(A.8.3.3).
ريسکهاي مرتبط با دسترسي بااه امکانااات پااردازش اطالعااات سااازمان توسااط طاارف •
خارج مرکز داده (منظور طرفهاي داخل کشور مي باشد نه خارج کشور) بايد باارآورد
شده و کنترلهاي امنيتي مناسب پيادهسازي گردد)A.6.2.1(. دسترسيهاي غيرمجاز طرفهاي
64
در قراردادهاااي بااا طرفهاااي خااارج مرکااز داده شااامل دسترسااي ،پااردازش ،ارتباااط، • خارج مرکز داده
مديريت اطالعات يا تجهيزات ،خريد تجهيزات ،نصااب و غيااره بايااد تمااام ملزومااات
امنيتي مربوط مشخص شوند)A.6.2.3(.
نصب سيستمهاي مديريت بحران •
اتخاذ سياستها و مکانيزمهاي اجرايي جهت جلوگيري از وقوع شرايط اضطرار • عدم تجهيز به سيستم مديريت
65
آموزش پرسنل براي رويارويي با شرايط اضطرار • بحران و شرايط اضطرار
تهيه دستورالعملهاي الزم و ابالغ آن به زير مجموعه ها •
صفحه 192از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
برگزاري کالسهاي آگاهسازي و توجيه کارکنان در خصوص خسارات گزاف ناشي •
از عدم رعايت مسائل امنيتي
برگزاري دوره هاي آموزشي تخصصي عرضي امنيت براي متخصصين شبکه و امنيت •
عدم وجود آموزش امنيتي کافي 74
ارائه آموزشهاي عمومي امنيت در سطوح مختلف به مديران و کارکنان •
ابالغ سياستهاي امنيتي و موظف نمودن کارکنان به تبعيت از سياستها با استفاده از •
مکانيزمهاي مديريتي
آموزش کارکنان در خصوص نحوه صحيح نصب تجهيزات ،نرمافزارها ،برنامههاي • اشتباهات و غفلتها مانند عدم
کاربردي و همچنين کاربري صحيح سيستم ها و تجهيزات بکارگيري صحيح تجهيزات،
تدوين برنامههاي ادواري جهت کنترل و شناسايي اشتباهات احتمالي کارکنان • عدم نصب صحيح نرمافزارها و 75
نصب سيستمهاي هشداردهنده که در صورت فراموشي و يا غفلت کاربران هشدار • برنامههاي کاربردي ،سهل
دهد. انگاري
تدوين سياست کاري به منظور اجراي کنترلهاي الزم بمنظور اجراي قوانين تدويني •
بازبيني دوره اي قوانين و شناسايي قوانين ضعيف و متناقض و انجام تصحيحات الزم • عدم وجود کنترل روي قوانين 76
تشويق و تنبيه کارکنان فعال و خاطي •
رمزنگاري دادههاي ارسالي جهت کاهش مخاطرات ناشي از دسترسي غيرمجاز به •
دادهها در شرايط اضطرار به استفاده از اين ارتباطات
اتکا قابل مالحظه به سيستمهاي
عدم استفاده از سيستمهاي ارتباطي بيسيم بعلت عدم وجود امنيت کافي در اين نوع •
ارتباطي بيسيم و ماهواره غير 77
از ارتباطات
امن
استفاده از ارتباطات ماهواره اي داخلي در صااورت راه اناادازي در آينااده در صااورت •
نياز
استفاده از سامانه هاي مبدل جهت ايجاد سازگاري با سيستم اطالعات جغرافيايي در • عدم سازگاري با سيستم
78
صورت نياز اطالعات جغرافيايي ()GIS
صفحه 194از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
عمليات مکان يابي صحيح و اصولي ساختمان بايد در زمان انتخاب مکان مرکز داده •
انجام شود.
حفاظت فيزيکي در برابر آسيبهاي ناشي از سيل ،زلزله بايستي طراحي و بکارگرفته •
شود)A.9.1.4( .
طراحي و مقاومت ساختمان متناسب با کاربري مرکز داده در نظر گرفته شود. •
عمليات مقاوم سازي ساختمان انجام گيرد. •
آموزش افراد براي مقابله با حوادث ( زلزله ) •
تدوين دستورالعملهاي مرتبط با حوادث ( زلزله ) •
تهيه و بکارگيري تجهيزات کمکهاي اوليه •
زلزله 79
چيدمان مناسب تجهيزات جهت مقابله با لرزش هاي زلزله •
تهيه و در دسترس بودن نقشه کليه تأسيسات فني و ابنيه ها •
تهيه ليست تجهيزات موجود در مرکز داده •
آموزش و بکارگيري گروه تعمير ،امداد و نجات •
پيش بيني و بکارگيري سيستم روشنايي و برق اضطراري متحرك •
پيش بيني سيستم هاي ارتباط داده پشتيبان بمنظور استفاده در شرايط اضطراري •
()) NIST-CP-8(4
پيش بيني ارتباط مستقيم با مرکز زلزله نگاري ()Hot line Connection •
پيش بيني تجهيزات جابجايي اشياء (جرثقيل و ) ... •
استفاده حداکثري از مصالح و تجهيزات مقاوم در برابر آتش در زمان ساخت مرکز •
داده.
طراحي حفاظت فيزيکي در برابر آسيبهاي ناشي از آتش سوزي •
اعمال محدوديتها در مورد ممنوعيت ورود مواد آتش زا و پرخطر •
آتش
تهيه و بکارگيري سيستم هاي هشداردهنده و اعالم حريق • 80
تهيه و بکارگيري تجهيزات اطفاء حريق •
آموزش دوره اي افراد شاغل در مرکز در مورد پيشگيري و مهار آتش •
آموزش و بکارگيري گروه اطفاء حريق •
ارتباط Onlineبا مرکز آتش نشاني •
پيش بيني سيستم برق گير و Earthجهت انتقال بار الکتريکي اضافي به زمين •
ارائه آموزش پيشگيري و مقابله با حوادث براي افراد شاغل در مرکز داده •
آموزش و بکارگيري گروه حوادث غير مترقبه • طوفان و صاعقه 81
پيش بيني تجهيزات جابجايي اشياء (جرثقيل و ) ... •
ارتباط Onlineبا مراکز امداد و نجات •
صفحه 195از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
مکان يابي نصب تجهيزات به منظور دوري از تجهيزات تداخل کننده مثل خطوط •
برق فشار قوي و خطوط با جريان باال
رعايت استانداردهاي مربوط به کابل کشي و فواصل مربوط به نصب کابل هاي انتقال •
تداخل الکترومغناطيسي امواج 86
داده ،برق و تلفن در زمان طراحي مرکز داده
آموزش و بکارگيري گروه متخصص در خصوص اختالل هاي الکترومغناطيسي •
بکارگيري حفاظهاي امواج الکترومغناطيس بر روي بسترهاي انتقال •
طراحي مناسب تأسيسات و رعايت استانداردهاي نصب مسيرهاي انتقال در زمان •
طراحي مرکز داده
استفاده از سيستم هاي هوشمند هشدار دهنده و کنترل کننده تاسيسات •
حفاظت تجهيزات از افت جريان برق يا هر اختاللي که بر اثر عدم پشتيباني تأسيسات • مشکالت تأسيساتي ( آب ،گاز،
87
بوجود مي آيد برق ،تلفن )
استفاده از سيستم هاي پشتيبان براي آب ،گاز ،برق و تلفن بمنظور استفاده در صورت •
اختالل در مسير اصلي
آموزش و بکارگيري گروه تاسيسات •
کنترل و نظارت بمنظور عدم انتقال مواد پرخطر و حساس •
بازرسي افراد و تجهيزات به هنگام ورود و خروج •
پيش بيني تجهيزات الزم بمنظور مقابله با حوادث احتمالي پيش آمده از طريق اين • مواد پرخطر 88
مواد
آموزش و بکارگيري گروه متخصص جهت انجام عکس العمل مناسب •
صفحه 196از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
نصب تجهيزات هشدار دهنده جهت اعالم خطر نشت مواد راديواکتيو در محيط •
قرار دادن لباسهاي مخصوص کار در محيطهاي آلوده به تشعشعات راديواکتيو •
جهت استفاده پرسنل در صورت نياز
استفاده از گيت هاي ورودي حساس به تشعشعات راديواکتيو در تمامي وروديهاي •
تشعشعات راديواکتيو 89
مراکز داده
تجهيز ديوارههاي داخلي مراکز داده به مواد شيميايي مخصوص جذب موارد •
راديواکتيو
آموزش و بکارگيري گروه متخصص جهت انجام عکس العمل مناسب •
بکارگيري فيلترهاي جلوگيري کننده از ورود گرد و غبار •
استفاده از حسگرهاي گرد و غبار بمنظور اعالم هشدار در مواقع الزم •
گرد وغبار و مه 90
آموزش کارکنان در مورد نحوه رفع مشکل •
آموزش و بکارگيري گروهي جهت انجام عکس العمل مناسب •
صفحه 197از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
بايد يک خط مشي رسمي اِعمال شده و روشهاي مناسب امنيتااي جهاات محافظاات •
در برابر ريسکهاي استفاده از کامپيوترهاي سيار و امکانات ارتباطات بايااد بااه کااار دسترسي غيرمجاز از راه دور 3
گرفته شوند(A.11.7.1) .
صفحه 198از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
بايد يک خط مشي ،برنامه هاي عملياتي و روش هاي اجرايااي توسااعه يافتااه بااراي •
فعاليتهاي کاري از راه دور اجرا شوند(A.11.7.2).
فرآيند تنظيم شده بايد توسعه يافته و بايااد جهاات اسااتمرار کسااب و کااار در کاال •
سازمان نگهداري شود کااه اشاااره بااه الزامااات امنيتااي اطالعااات مااورد نياااز بااراي
استمرار کسب و کار سازمان را دارد(A.14.1.1) .
رخدادهايي که ممکن است باعث وقفه در کااار مرکااز داده شااوند بايااد بااه همااراه •
احتمال و خسارت ناشي از وقفه و ديگر پيامدهاي امنيتي مشخص شوند.
بايد براي نگهداري يا بازيابي عمليات و اطمينان از دسترسپذيري در سطح مااورد •
نظر و در زمان مورد نظر برنامهريزي شود.
بايد يک چارچوب کلي براي طرحهاااي اسااتمرار کسااب و کااار تاادوين شااود تااا •
وقفه در کار 4
طرح ها سازگار بوده و نيازمنديهاي امنيتي را به درسااتي مشااخص کننااد .همچنااين
اولويتهاي آزمون و ارزيابي را مشخص نمايد.
طرحهاي تدا وم کسب و کار بايد آزمايش شده و به طور منظم ارتقاء يايند تا از به •
روز بودن و اثر بخشي آنها اطمينان حاصل شود(A.14.1.5) .
هر طرحي که احتمال ايجاد وقفه در کسااب و کااار را تقوياات ميکنااد ميبايسااتي •
برکنار و راهکار جايگزيني ارائه گردد.
عوامل ايجاد وقفه شناسايي گردند و ريسک حضور اين عوامل در طراحااي مرکااز •
داده در نظر گرفته شود.
هر مورد از تجهيزات که شامل ذخيره رسانه است ،قبل از کنار گذاري بايد به •
منظور حصول اطمينان از عدم وجود اطالعات خاص بررسي شود .اينگونه
اطالعات و نرم افزارهاي ثبت شده کنار گذاشته شده بايد قبل از کنار گذاري در
صورت نياز بر روي رسانه اي ديگر ثبت گردد.
بکارگيري سيستم تشخيص هويت و شناسايي افراد به صورت جامع •
جلوگيري از عکاسي ،فيلمبرداري و ضبط صدا •
جاسوسي 5
ثبت تمام ورود و خروج ها •
آموزش ضد جاسوسي به کارکنان •
تهيه نقشه تأسيسات و قابليت دسترسي آنها براي افراد مجاز •
تهيه ليست تجهيزات و قابليت دسترسي آنها براي افراد مجاز •
جداسازي مکانهاي فعاليت افراد •
محرمانگي مسيرهاي فيزيکي انتقال اطالعات و انرژي •
تهيه داده هاي پشتيبان در فواصل زماني مناسب به منظور جلوگيري از احتمال بروز •
خرابي در تماميت و صحت دادهها حمالت تروريستي
6
ردگيري و تهيه سوابق دقيق از عمليات صورت گرفته از سوي هر کاربر به منظااور • سايبري(هکرها)
مطالعه و شناسايي رفتار و اقدامات مشکوك صورت گرفته
صفحه 199از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
براي کاربران فقط دسترسي به سرويس هايي بايد مهيااا شااوند کااه بطااور مشااخص •
اجازه استفاده از آنها را دارند(A.11.4.1).
روشهاي مناسب بايد براي کنترل دسترسي توسط کاااربران بيرونااي مااورد اسااتفاده •
قرار بگيرد.
دسترسي فيزيکي و منطقي به درگاهها (پورتها) بايد تحت کنترل باشد. •
براي شبکه هاي مشترك به خصوص آنهايي کااه بااه خااارج از مرزهاااي سااازماني •
کشيده شدند ظرفيت کاربران محدود شود.
براي حصول اطمينان از اينکه ارتباطات کامپيوتري و جريان اطالعات ،خط مشااي •
کنترل دسترسي را نقض نکند بايد کنتاارل مساايريابي بااراي شاابکه هااا اجاارا شااود.
دسترسي غيرمجاز به شبکه 8
)(A.11.4.7
حداکثر تعداد اتصال يا نشست هاي همزمان به يک سيستم بايااد کنتاارل و محاادود •
شود .اين محدوديت توسط مدير سيستم تعيين ميشود(NIST-AC-10) .
مرکز داده بايد از مکانيزم هاي خودکار براي تسهيل در پااايش و کنتاارل روشااهاي •
دسترسي از راه دور استفاده نمايد(NIST-AC-17(1)) .
مرکز داده بايد از رمزنگاري براي فراهم کردن محرمانگي نشسااتهاي از راه دور •
استفاده نمايد(NIST-AC-27(2) ) .
مرکز داده همه دسترساايهاي از راه دور را از طريااق يااک نقطااه کنتاارل دسترسااي •
مديريت شده ،کنترل مينمايد(NIST-AC-27(3) ) .
دسترسي به سيستم هاي عامل بايد توسط فرآيند اجرايااي اماان ( ) Logonکنتاارل •
شوند(A.11.5.1).
همه کاربران بايد IDانحصاري براي استفاده شخصااي خااود داشااته باشااند و بايااد •
يک تکنيک مناسب تأييد ،جهت اثبات ادعاي IDکاربر انتخاب شود.
سيستم هاي تنظيم کلمه عبور بايد دو سويه بوده و کيفيت کلمااه عبااور را اطمينااان •
دسترسي غيرمجاز به سيستمعامل 9
دهد.
استفاده از برنامه هاي کاربردي کااه توانااايي کنتاارل کاربردهااا را داشااته باشااند بااه •
شدت تحت کنترل قرارداده شده و محدود شوند.
بااراي فااراهم نمااودن امنياات بيشااتر بااراي کاربردهاااي داراي ريسااک باااال ،بايااد •
محدوديت هايي در زمان برقراري اتصال اعمال شود(A.11.5.6).
دسترسي به اطالعات و عمليات سيستمهاي کاربردي توسااط کاااربران و کارکنااان •
پشتيباني بايد طبق خط مشي کنترل دسترسي مشخص محدود گردد(A.11.6.1). دسترسي غيرمجاز به برنامههاي
10
سيستمهاي حساااس بايااد محاايط کامپيوتري(محاسااباتي) اختصاصااي(مجزا) داشااته • کاربردي
باشند(A.11.6.2).
خط مشي تبادل رسمي ،روش هاي اجرايي و کنترل هااا جهاات حفاظاات از تبااادل • دسترسي غير مجاز به اطالعات
11
اطالعات با استفاده از همااه انااواع امکانااات ارتباااطي بايااد در محاال وجااود داشااته يا سيستمهاي حين مبادله با
صفحه 201از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
الزامات مميزي و فعاليتهاي کااه شااامل بررسااي سيسااتمهاي عملياااتي اساات ،بااراي •
کمينه کردن مخاطرات اختالل در فرايند کسب و کار ،بايد با دقاات طرحرياازي و
تصويب شوند(A.15.3.1).
رکوردهاي مميزي مربوط به فعاليتهاي کاربران ،وقااايع اسااتثنايي ،و روياادادهاي •
امنيتي بايد توليد و نگهداري شوند .اين رکوردها براي کمک به تفحصهاي آتي و
نظارت بر کنترل دسترسي کاربرد دارند(A.10.10.1) .
فرايند اجرايي براي استفاده از مراقبت امکانات پردازش اطالعات بايد پايااه رياازي •
شده و نتايج نظارت فعاليتها بايد به طور منظم بازنگري شوند.
امکانات ثبت کردن و ثبت اطالعات بايد در برابر دسترسي بدون مجااوز و پنهاااني •
حفاظت شود.
فعاليتهاي مدير و اپراتور سيستم بايد ثبت شوند. •
خطاها بايد ثبت و تحليل شده و اقدامات مناسب صورت بگيرد. •
ساعت سيستمهاي پردازش اطالعات در سازمان يا حوزه امنيتي بايد با زمااان دقيااق •
مرجع هماهنگ باشند(A.10.10.6).
در صورت بروز خطا در ثبت رکوردهاي مميزي يا پر شدن ظرفيت محل ذخيااره، •
بايد هشدار مناسب به مدير فني مربوط داده شااده و اقاادام مقتضااي (توقااف ثباات،
خاموش کردن سيستم ،يا بازنويسي روي رکوردهاي قديمي) انجام شود(NIST .
پردازشهاي اطالعاتي غير مجاز 12
) AU-5
سيستمهاي اطالعاااتي بايااد مهاار زماااني ) (timestampهاار رويااداد را مشااخص •
نمايند(NIST AU-8) .
سيسااتم هاي اطالعاااتي بايااد از اطالعااات ممياازي و ابزارهاااي ممياازي در مقاباال •
دسترسااي غيرمجاااز ،تغيياار يااا حااذف محافظاات کننااد(NIST AU-9 ) .
)(A.15.3.2
هر سيستم اطالعاتي بايد امکان ثبت وقايع بيشتر و جزئيتر در رکوردهاي ممياازي •
به همراه نوع ،محل ،و عامل آن فراهم کنند(NIST AU-3(1) ) .
در صورتي که حجم رکوردهاي مميزي به %75ظرفيت محل ذخيااره رساايد ،بايااد •
سيستم اطالعاتي هشداري به مدير سيستم بدهد(NIST AU-5(1) ) .
سيستمهاي اطالعاتي بايااد قابلياات تحلياال و خالصهسااازي رکوردهاااي ممياازي و •
توليد گزارش هاي مفيد و قابل پيکربندي بر اساس انتخاااب روياادادهاي خاااص را
داشته باشند(NIST AU-7, AU-7(1) ) .
هر سيستم اطالعاتي بايد قابلياات مااديريت مرکاازي محتااواي رکوردهاااي ممياازي •
توليد شده توسط مولفههاي مختلف سيستم را داشته باشد(NIST AU-3(2) ) .
مرکز داده بايد از مکانيزم هاي خودکار براي هشدار فوري به پرسنل امنيتي درباااره •
فعاليتهاي غيرمعمول ،استفاده نمايد ) )(NIST AU-6(2
صفحه 203از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
سيستمهاي اطالعاتي بايد اطالعات مميزي خود را روي رسانههاي سختافزاري با •
قابليت يکبار-نوشااتن _ (write-onceثباات نماينااد (ماننااد نوشااتن روي CDيااا
چاي روي کاغذ) ) )(NIST AU-9(1
صفحه 204از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
داده هاي ورودي براي سيستم کاربردي بايد بااراي حصااول اطمينااان از صااحت و •
مناسب بودن آنها ،اعتبار سنجي شوند(A.12.2.1) .
بايد در سيستمهاي کاربردي از وارسيهاي اعتبارسنجي به منظور کشف هر گونااه •
خرابي داده استفاده شود. تغيير غيرمجاز ،از دست دادن يا
الزامااات بااراي اطمينااان از درسااتي و حفاظاات از صااحت پيااام در کاربردهااا بايااد • سوءاستفاده از اطالعات در 13
مشخص شده و کنترل هاي مناسب بايد مشخص و اجرا شوند. برنامههاي کاربردي
داده هاي خروجي يک سيستم کاربردي بايد به منظور اطمينان از درستي و مناسب •
بودن پردازش اطالعات ذخيره شااده بااا شاارايط مربوطااه مااورد تعيااين اعتبااار قاارار
گيرد(A.12.2.4).
استفاده از تکنيکهاي استتار بمنظور عدم تشخيص مکان مرکز داده توسط دشمن •
استفاده از تکنيکهاي اختفا بمنظور عدم تشخيص مکان مرکز داده توسط دشمن •
استفاده از تکنيکهاي فريب دشمن بمنظور عدم تشخيص مکان واقعي مرکز داده •
تهيه اطالعات پشتيبان و ارسال آنان به نقطهاي خارج از فضاي فيزيکي مرکز داده •
بمنظور حفظ داده ها و اطالعات
ايجاد يک مرکز داده پشتيبان Offlineدر محل فيزيکي ديگر بمنظور سرويس •
دهي در صورت عدم امکان سرويس دهي توسط مرکز اصلي
تربيت تيم هاي تخصصي بمنظور استفاده جهت ترميم آسيب ها در شرايط •
اضطرار
مکان يابي محل فيزيکي مناسب بمنظور ايجاد مرکز داده و استفاده از منابع طبيعي •
حمله فيزيکي ،هستهاي و اتمي 14
نظير کوه براي اين منظور
ايجاد يک مرکز داده پشتيبان فعال ( )Activeدر محل فيزيکي ديگر بمنظور •
سرويس دهي در صورت عدم امکان سرويس دهي توسط مرکز اصلي
ايجاد سازه مرکز داده بصورت زير زميني و در عمق زمين •
ايجاد يک مرکز داده پشتيبان فعال ()Activeو يک مرکز داده Offlineدر •
محل هاي فيزيکي ديگر بمنظور سرويس دهي در صورت عدم امکان سرويس
دهي توسط مرکز اصلي
پيش بيني تجهيزات الزم بمنظور معدوم ساختن اطالعات حياتي در صورت •
دسترسي دشمن به تأسيسات داخلي مراکز داده
استفاده از نيروهاي نظامي و انتظامي به منظور حفاظت فيزيکي از مرکز داده •
صفحه 205از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
شيلد نمودن و عايق بندي جدارههاي و منافذ ورودي تأسيسات مراکز داده به •
منظور جلوگيري از نفوذ گازهاي شيميايي به داخل مراکز
استقرار تجهيزات ايمني از قبيل ماسک و ساير تجهيزات موجود جهت جلوگيري •
حوادث شيميايي 16
از آسيب پرسنل
نگهااداري پادزهرهاااي مختلااف مربااوط بااه انااواع گازهاااي شاايميايي در جعبااه •
کمک هاي اوليه به منظور انجام اقدامات اوليه به مصدومين
مکان يابي نصب تجهيزات به منظور دوري از تجهيزات منشا تداخل مثل خطوط •
برق فشار قوي و خطوط با جريان باال
آموزش کارکنان شاغل در مرکز جهت رفع اشکاالت مربوط به اختالل هاي •
الکترومغناطيسي
رعايت استانداردهاي مربوط به کابل کشي و فواصل مربوط به نصب کابل هاي • جنگ الکترومغناطيسي 17
انتقال داده ،برق و تلفن
استفاده از سيستم برق اضطراري براي مواقع خاص •
بکارگيري حفاظهاي امواج الکترومغناطيس بر روي بسترهاي انتقال •
پيش بيني شبکه طيف گسترده جهت جلوگيري از تداخل الکترومغناطيسي •
نقاط دسترسي نظير نواحي بارگيري يا تحويل و ديگر نقاطي که احتمال ورود •
اشخاص فاقد صالحيت وجود دارد کنترل شده و در صورت امکان از ساير
بخشها و تأسيسات منفک گردد.
تجهيزات بايد به منظور کاهش ريسک هاي حاصل از تهديدات و آسيبهاي محيط •
و فرصتهاي دسترسي غيرمجاز ،حفاظت شوند(A.9.2.1).
تجهيزات بايد جهت حصول اطمينان از تداوم دسترسي و صحت بطور مناسب •
نگهداري شوند(A.9.2.4).
تجهيزات ،اطالعات يا نرم افزار نبايد بدون مجوز قبلي از محل خارج شوند. •
)(A.9.2.7
از سامانه هاي امنيتي (موانعي نظير ديوارها ،گيت هاي ورودي که با کارت کنترل • دسترسي غير مجاز به سيستم ها،
19
مي شود يا ميزهاي پذيرش آماده) بمنظور محافظت ناحيه هايي که شامل اطالعات تجهيزات و منطقه فيزيکي
و سامانه هاي پردازش اطالعات باشد ،استفاده شود)A.9.1.1( .
نواحي امن بوسيله کنترل هاي ورودي مناسب جهت اطمينان از اينکه فقط پرسنل •
مجوز دار اجازه دسترسي داشته باشند محافظت شود)A.9.1.2( .
امنيت فيزيکي الزم براي دفاتر ،اتاق ها و تاسيسات ،طراحي و بکار گرفته •
شود)A.9.1.3(.
آموزش هاي الزم به کابران ارائه گردد. •
بکارگيري سيستم حفاظت فيزيکي هوشمند پيراموني (دوربين هاي مدار بسته ) و •
هشدار دهنده
بايااد دسااتورالعمل اجرايااي بااراي مااديريت رسااانه متحاارك تاادوين گااردد. •
)(A.10.7.1
در صورت عدم نياز به يک رسانه ،بايد به صورت امن و ايمن و طي يااک فرآينااد •
رسمي امحاء شود(A.10.7.2) .
مستند سازي سيستم بايد در برابر دسترسي غير مجاز حفاظت شود(A.10.7.4). •
رسانه هاي ذخيره سازي اطالعات در محل امن نگهداري شوند. •
دسترسي غير مجاز به رسانههاي
اطالعات رسانه قبل از تعويض ثبت گردد(A.9.2.6) . • 20
ذخيرهسازي اطالعات
وجود روش هاي اجرايي در محل براي مديريت رسانه متحرك(A.10.7.1) . •
در صورت عدم نياز به يک رسانه ،بايد به صورت امن و ايمن و طي يک فرآيند •
رسمي امحاء شود(A.10.7.2) .
شبکه ها بايد به منظو ر حفاظت در برابر تهديدها و حفظ امنيت سيسااتمها و برنامااه •
هاااي کاااربردي شاابکه و داده هاااي در حااال انتقااال ،بااه طااور مناسااب مااديريت
شوند(A.10.6.1).
صفحه 207از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
لزوم حفاظت از بسترهاي انتقال داده با تدوين سياست نامه اي در خصوص نحوه •
دسترسي به آنها ،مسئوليتهاي افراد در اين ارتباط و کد گذاري بسترها ي انتقال
( ) NIST-MP-2 ( ، ) NIST-MP-1و ( ) NIST-MP-3
نحوه دسترسي ،افراد مجاز و نحوه دريافت اطالعات ورودي به بسترهاي انتقال از •
هر نوع ( اطالعات الکترونيکي ،کاغذي و ) ...بايستي مورد کنترل قرار گيرد.
( ) NIST-MP-5
حفاظت فيزيکي مناسب از کابلها و بکارگيري داکت • دسترسي فيزيکي غيرمجاز به
21
قرار دادن کانال انتقال دادهها در محيط غيرقابل دسترسي • بستر انتقال دادهها
کنترل بسترهاي انتقال داده در زمان کنارگذاري و يا استفاده مجدد •
آنها) NIST-MP-7 (.
استفاده از مکانيزمهاي بازدارنده روي کانالهاي انتقال داده به منظور کاهش •
احتمال دسترسي فيزيکي غيرمجاز
استفاده از چند کانال هاي ارتباطي به جاي يک کانال ارتباطي و انتقال دادهها به •
صورت تصادفي از اين کانالها
جايگزيني فنآوري موجود با فن آوري قابل انطباق •
استفاده از فنآوريهاي مبدل به منظور انطباق فنآوري موجود با فنآوري مدرن • عدم سازگاري با فنآوريهاي
22
تالش براي بروزسازي فنآوري جديد با افزودن قابليتهاي موجود در • مدرن جنگ الکترونيک
فنآوريهاي مدرن
استفاده از مولفههاي مبدل به منظور ايجاد ارتباط و هماهنگي بين سيستمهاي • تهديد ناشي از عدم سازگاري با
کنوني اطالعات عمليات و سيستمهاي نوين اطالعات عمليات سيستمهاي مدرن اطالعات 23
عمليات
اتخاذ مالحظاتي براي امکان جابجايي تجهيزات ذخيره سازي داده ها و اطالعات • تهديد ناشي از عدم سازگاري با
در زمان بحران بمنظور استفاده در مرکز داده ديگر فن آوريهاي مدرن جنگ 24
متحرك
صفحه 208از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
الزام به قرار گرفتن در شرايط آماده باش کامل به منظور نظارت بر حسن اجراي • قرار دادن کشور در موقعيت
29
تمامي کنترلهاي پيشنهادي (پدافند غيرعامل و امنيت) جنگ تمام عيار اطالعاتي
تالش جهت تسلط بر دانش و فناوري ها بمنظور بوميسازي فنآوري به منظور •
کاهش دغدغههاي ناشي از تحريم فنآوري تهديد ناشي از تحريم فن آوري
30
تعامل با بخش هاي تحقيقاتي و پژوهشي کشور بمنظور بکرگيري حداکثري توان • هاي پيشرفته خارجي
داخلي جهت توليد فناوري هاي الزم در داخل کشور داخل کشور
انتقال دانش تعمير و نگهداري به متخصصين بومي •
استفاده از تکنولوژيهاي بومي موجود •
جلوگيري از امکان دسترسي به دادههاي طبقهبندي شده و سوابق ذخيااره شااده باار •
وابستگي به خارج از کشور در
روي سختافزار و رسانههاي ذخيره سازي مربوطه با تهيه نسااخه پشااتيبان و امحااء 31
بخش تعمير و نگهداري
دادههاي موجود بر روي سيستمها قبل از ارسال به مراکز تعمير
قطع وابستگي به تعمير و نگهداري با بومي سازي تکنولوژي مربوطه و انتقال دانش •
تعمير و نگهداري به داخل کشور
انتقال دانش توليد سخت افزارها و نرم افزارها به متخصصين بومي •
استفاده حداکثري از محصوالت بومي موجود • وابستگي به توليدات سخت
32
رعايت مالحظات امنيتي در استفاده از محصوالتي که نمونه داخلي آنها وجود • افزاري و نرم افزاري خارجي
ندارد
تالش جهت تسلط بر دانش و فناوري ها بمنظور بوميسازي فنآوري به منظور •
کاهش دغدغههاي ناشي از تغييرات در فنآوري
آموزش نيروي متخصص و کارآمد جهت بهره گيري و انتقال فنآوري به داخل •
کشور تغيير سريع فن آوري
33
رعايت مالحظات امنيتي در صورت لزوم استفاده از فناوريهاي جديد و مشاوره با • (در حوزه جنگ سايبر)
بخشهاي متخصص آگاه و امين در کشور
تعامل با سازمانهاي داخلي مرتبط با دانش و فناوريها بمنظور تسريع در روند بومي •
سازي فن آوري
تعامل با سازمانها و نهادهاي مربوطه در داخل کشور بمنظور توجه به چالشهاي •
پيش روي جهاني شدن جهت ارائه راهکارهايي به منظور تطبيق با شرايط جديد
جهاني شدن 34
اتخاذ سياستهايي در راستاي تغييرات و تمهيدات ايجاد شده بمنظور اعمال در •
سازمان
استفاده از زيرساخت هاي بومي و قابل اتکاء و اعتماد در صورت وجود •
استفاده کنترل شده از زيرساختهاي جهاني با رعايت مسائل امنيتي و حفاظتي •
زيرساختهاي عمده جهاني
استفاده از اين زيرساختهاي تنها براي اهداف خاص • 35
نظير اينترنت
استفاده از اين زيرساختهاي بصورت جداگانه (ايزوله) از زيرساختهاي اصلي •
مرکز داده
صفحه 210از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
بايد مسئوليتهاي مديريت و فرآيندهاي اجرايي جهاات حصااول اطمينااان از پاسااخ، •
سريع ،موثر و مرتب به حوادث امنيتي اطالعات پايه ريزي شود(A.13.2.1) .
بايد مکانيزمهايي براي سنجش و پايش نوع ،حجم ،و هزينه حوادث امنيتي وجااود •
داشته باشند(A.13.2.2) .
هر مرکز داده بايستي داراي مرکز عمليات امنيتي ( )SOCبمنظور مانيتور و کنترل •
حوادث امنيتي باشد.
بعد از حادثه امنيتي اطالعات ،پي گيري در برابر فرد يا سازماني صورت مي گياارد • عدم رويکرد مداوم براي
42
که شامل اقدام قانوني (چااه ماادني ،جزايااي ) اساات ،شااواهد بايااد جمااع آوري و مديريت حوادث امنيتي
نگهداري شااده و بااراي مطابقاات بااا قااوانين جهاات مطاارح شاادن شااواهد در يااک
دادرسي مربوطه ارائه شوند(A.13.2.3) .
سازمان بايستي ميزان سرعت واکنش و کارآيي مکانيزمها در شرايط مورد نياااز را، •
آزمايش نمايد(NIST-IR-3) .
سازمان بايستي با طراحي مکانيزمهاي اتوماتيک ،ميزان سرعت واکنش و کااارآيي •
آنرا در شرايط مورد نياز ،بهتر و موثرتر آزمايش نمايد(NIST-IR-3 (1)) .
رويدادهاي امنيتي اطالعات بايد توسط مديريت کانالهاي مناسب تا حد امکان بااه •
سرعت گزارش شوند(A.13.1.1).
مرکز داده بايستي داراي تيم CERTبمنظور ترميم حااوادث احتمااالي در صااورت •
وقوع ،باشد. عدم اصالح و بازيابي پس از
43
تمام کارکنان پيمانکاااران و مصاارف کنناادگان ثالااث مصاارف کننااده سيسااتمها و • حوادث امنيتي
خاادمات اطالعااات بايااد ملاازم شااوند تااا هرگونااه ضااعف امنيتااي مشاااهده شااده و
مشااااکوك در سيسااااتمها و خاااادمات را بااااه آن توجااااه کاااارده و گاااازارش
دهند(A.13.1.2).
روش هاي اجرايي عملياااتي بايااد مسااتند سااازي و نگهااداري شااده ،و بااراي همااه •
کاربران که به آن نياز دارند در دسترس باشد(A.10.1.1).
تغييرات در امکانات پردازش اطالعات و سيستمها بايد کنترل شده باشند. •
ناامني يا نادرستي در عمليات
وظايف و حوزه هاي مسئوليت بايد در راستاي کاهش فرصت براي افراد غيرمجاز • 44
پردازش اطالعات
يا تغييرات ناخواسته يا سوء استفاده از دارايي هاي سازمان تفکيک شوند.
پيشرفت ،آزمايش و امکانات عملياتي بايد تفکيک شوند تا دسترسي هاي •
غيرمجاز يا تغييرات سيستم عملياتي را کاهش دهد(A.10.1.4).
استفاده از منابع بايد مراقبت و تنظاايم گااردد .پاايش بينااي هاااي الزم طبااق الزامااات •
ظرفيااات آيناااده جهااات حصاااول اطميناااان از عملکااارد سيساااتم ضاااروري
عدم امنيت در تعامل با طرفهاي
است(A.10.3.1). 45
ثالث
بايد معيار پذيرش سيستم هاي اطالعاتي جديد ،ارتقاااء و نسااخه هاااي جديااد پايااه •
ريزي شده و آزمونهاي مناسب سيستم ها در طااي پيشاارفت و قباال پااذيرش انجااام
صفحه 213از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
شوند(A.10.3.2).
در استفاده از منابع بايد مراقبت گردد .پيش بيني هاي الزم طبااق الزامااات ظرفياات •
آينده جهت حصول اطمينان از عملکرد سيستم ضروري است(A.10.3.1).
بايد معيار پذيرش سيستم هاي اطالعاتي جديد ،ارتقاء و نسخه هاي جديد بايد پايه • خطاهاي سيستم 46
ريزي شده و آزمونهاي مناسب سيستم ها در طي پيشرفت و قبل از پااذيرش انجااام
شوند(A.10.3.2).
الزامات امنيتي يک مرکز داده که مديريت و کنترل تمامي يا بخشي از سيستمهاي •
امنيتي ،شبکهها و محيطهاي کاري آن به سازماني ديگر واگذار ميشود ،بايااد در
يک قرارداد که بين مرکز داده و طرف ديگاار توافااق شااده اساات ،دقيقااا مشااخص
برونسپاري خدمات و پردازش
شود. 47
اطالعات
افراد و مراکز مجاز در حوزه هاي مرتبط با مراکز داده استعالم گردد. •
برون سپاري خدمات مديريتي ،نگهداري و هرگونه خدمات ديگاار در اياان مراکااز •
داده به افراد و مراکز غير مجاز ممنوع است.
استفاده از نرمافزارهاي کدباز بجاي استفاده از نرمافزارهاي کدبسته در صورت •
وجود و پس از بررسي هاي امنيتي الزم بر روي آن عدم بکارگيري نرمافزارهاي
48
اتخاذ سياست توليد کد بجاي بکارگيري نرمافزارهاي بينالمللي موجود حتي از • کدباز
نوع کد باز و تعامل با مراکز و سازمانهاي مجاز در اين رابطه
تهيه نسخه پشتيبان از اطالعات و نرم افزار به طااور مرتااب و مطااابق بااا خااط مشااي •
پشتيبان گيري
نقض صحت 1و دسترسپذيري
اسااتفاده از مکانيزمهاااي جلااوگيري از نقااض صااحت اطالعااات متناسااب بااا نااوع •
اطالعات و سيستمهاي پردازش 49
سرويسها و پردازشها
اطالعات
استفاده از مکانيزمهاي جلوگيري از نقض دسترس پذيري اطالعات متناسب با نوع •
سرويسها و پردازشها
شبکه ها بايد به منظور حفاظت در برابر تهديدها و حفظ امنيت سيسااتمها و برنامااه •
هاي کاربردي شبکه و داده هاي در حال انتقال ،به طور مناسب مديريت شوند.
عدم حفاظت اطالعات در
ويژگااي امنياات ،سااطوح خاادمات و الزامااات مااديريت همااه خاادمات شاابکه بايااد • 50
شبکهها
مشخص شده و لحاظ گردند.
امنيت شبکه در چند اليه مطابق مدلهاي دفاع از عمق طراحي و پياده سازي گردد. •
1
Integrity
صفحه 214از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
بايد يک روش اجرايي رسمي ثبت و حذف کاربر در محل براي اعطا و لغااو حااق •
دسترساااي باااه هماااه سيساااتم هاااا و سااارويس ها ااي اطالعااااتي وجاااود داشاااته
باشد(A.11.2.1).
تخصيص و استفاده از مجوزها محدود و کنترل شود. •
تخصيص کلمات عبور از طريق يک فرآيند مديريتي رسمي کنترل شود. •
مااديريت ،حقااوق دسترسااي کاااربران را در فواصاال ماانظم ،در راسااتاي اسااتفاده •
فرآيندهاي اصلي ،بازنگري کند(A.11.2.4) .
کاربران بايد ملزم به رعايت نکات ايمنااي در انتخاااب و اسااتفاده از کلمااات عبااور •
باشند(A.11.3.1).
کاااربران بايااد مطماائن باشااند کااه تجهياازات باادون مراقباات از حفاطاات مناسااب •
برخوردارند.
سياست ميز مرتب براي کاغذها و رسانه ذخيره متحرك و سياست صااحنه نمااايش •
واضح براي امکانات پردازش اطالعات بايد پذيرفته شود(A.10.3.3).
هر سيستم اطالعاتي بايد محدوديت حداکثر 3ورود ناااموفق را در طااي 30دقيقااه •
اعمال کند .پس از رسيدن تعداد ورودهاي ناموفق به حد نصاب ،سيستم بايد قفاال
شده و به طور خودکار پس از يک ساااعت بااه حالاات عااادي برگااردد(NIST- .
) AC-7
مرکااز داده بايااد مطااابق خااط مشاايهاي اسااتفاده و اِعمااال کنترلهاااي دسترسااي، • دسترسي غير مجاز کاربر 51
فعاليت هاي کاربران را مرور کرده و بر آنها نظارت داشااته باشااد(NIST-AC- .
)13
سيستمها بايد حسابهاي کاربري موقتي و اضطراري را بالفاصله پااس از اتمااام کااار •
غيرفعال نمايند(NIST-AC-2(2) ).
هر سيستم اطالعاتي بايد پس از 5دقيقه عاادم فعالياات کاااربر ،نشساات وي را قفاال •
نمايد و دسترسي مجدد کاربر را منوط به طي مراحل احراز هويت و مجاز شناسااي
نمايد(NIST-AC-11) .
هر سيستم اطالعاتي بايد پس از 15دقيقه عدم فعالياات کاااربر ،بااه طااور کاماال بااه •
نشست خاتمه دهد ( log offنمايد)(NIST-AC-12) .
مرکااز داده بايااد از مکانيزمهاااي خودکااار مااديريت حسااابهاي کاااربري سيسااتمها •
استفاده نمايد(NIST-AC-2(1) ) .
همه سيستمهاي اطالعاتي بايد حساب کاربري بالاسااتفاده را [پااس از ماادت زمااان •
مشخص شده در سياست امنيت سازمان مربااوط بااه مرکااز داده] غياار فعااال نماينااد.
) )(NIST-AC-2(3
سيستم اطالعاتي بايد پس از رسيدن تعداد ورودهاي ناموفق به حد نصاب ،به طور •
خودکار قفل شده و تنها توسط مدير سيستم بااه حالاات عااادي برگااردد(NIST- .
) )AC-7(1
صفحه 215از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
مرکز داده بايد از مکانيزم هاي خودکار براي اطمينان از اين که همه اعمال ايجاااد، •
تغيير ،غيرفعالسازي ،و حذف بازرسي و به کاربران مقتضي اطااالع داده ميشااود،
بهره بگيرند(NIST-AC-2 (4) ) .
صفحه 216از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
هر گونه درخواست براي تهيه ،خريد ،يا توليد سيستمهاي اطالعاتي بايااد صااريحا •
نيازمنديها و الزامات امنيتي را نيز مشخص کند. عدم در نظر گرفتن امنيت در
در تمامي بخشه اي يک سيستم اطالعاتي از توليد تا بهااره باارداري ،امنياات بعنااوان • سيستمهاي اطالعاتي به عنوان 52
يک جزء انکار ناپذير در نظر گرفته شود. يک بخش اصلي
تشکيالت امنيتي و ساختار سازماني الزم براي امنيت پيش بيني گردد. •
براي حفاظت از اطالعات بايد يک خط مشي استفاده از کنترل هاااي رمااز نگاااري •
نقض محرمانگي يا صحت
توسعه پيدا کرده و اجرا شود(A.12.3.1).
اطالعات در اثر عدم استفاده يا 53
مديريت کليد بايد جهت پشااتيباني از اسااتفاده سااازمان از تکنيکهاااي رمااز نگاااري •
استفاده نادرست از رمزنگاري
تعبيه شود(A.12.3.2).
از سيستم فايلهاي مطمئن استفاده گردد و در اين راسااتا از مشاااوره مجموعااه هاااي •
متخصص و مورد اعتماد بهره گرفته شود. عدم اطمينان از امنيت فايل
54
بايد روش هاي اجرايي جهت کنترل نصب نرم افزار بر روي سيستمهاي عامل تعبيه • سيستم ها
شوند(A.12.4.1).
هر گونه تغيياار بااا اسااتفاده از روش هاااي اجرايااي رساامي کنتاارل تغيياارات کنتاارل •
شود(A.12.5.1).
تغييرات در بسته هاي نرم افزار بايد کم شده ،به تغييرات الزم محدود شود و همااه •
تغييرات بايد شديداً تحت کنترل باشند(A.12.5.3).
از هر گونه نشست اطالعات بايد جلوگيري شود(A.12.5.4). •
توسااعه و تغيياار ناارم افاازار باارون سااپاري ش اده بايااد توسااط مرکااز داده نظااارت •
شود(A.12.5.5).
مرکز داده بايد پيکربندي پايه و اوليه هر سيستم اطالعاتي را تهيه و مستند ساخته و •
فهرستي از مولفههاي سازگار سيستم تهيه نمايد. نقض امنيت اطالعات و
مرکز داده بايد هر گونه تغيياار در سيسااتمهاي اطالعاااتي را مستندسااازي و کنتاارل • نرمافزارهاي کاربردي 55
نمايد .اين تغييرات بايد ابتدا توسط مقام مسوول تاييد شود. سيستمعامل
مرکز داده بايد تغيير دادن سيستمهاي اطالعاتي را محدود به افراد مجاز نمايد. •
بايد پيکربندي امنيتي سيستم هاي اطالعاتي به نحوي باشد که بيشترين محاادوديت •
را اعمال نمايد و سازگار با نيازمنديهاي عملياتي و امنيتي سيستمها شااود(NIST .
)CM-6
مرکز داده بايد از روشهاي خودکااار بااراي اعمااال محاادوديت دسترسااي در تغيياار •
سيستمهاي اطالعاتي استفاده نمايد.
مرکز داده بايد از روشهاي خودکار بااراي مااديريت ،اعمااال و بررسااي پيکربناادي •
سيستمهاي اطالعاتي بهره بگيرد.
اطالعات به موقع در مااورد آساايب پااذيريهاي فنااي سيسااتمهاي اطالعاااتي مااورد • عدم مديريت آسيبپذيريهاي 56
صفحه 217از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
استفاده بايد کسب شده و اثر آنها بر مرکز داده بررسي شده و تدابير مناسبي بااراي فني
مقابله با آنها اتخاذ شود(A.12.6.1).
تمام الزامات مقرراتي ،حقوقي و قراردادي و همه رويکرد سازمان براي تأمين اين •
الزامات بايد صااريحاً مشااخص ،مستندسااازي شااده و بااراي هاار سيسااتم اطالعاااتي
سازمان ارتقاء داده شود(A.15.1.1).
براي حصول اطمينان از انطباق با الزامات قانون گذاري ،مقرراتااي و قااراردادي در •
استفاده مادي با توجه به ارتباط با حقااوق مالکياات فکااري يااا اسااتفاده اختصاصااي
عدم رعايت قوانين 57
محصوالت نرم افزاري ،روشهاي اجرايي تدوين و اجرا شود(A.15.1.2).
سوابق مهم بايد در براباار مفقااود شاادن ،تخريااب و تحريااف طبااق قااوانين قااانوني، •
مقرراتي و قراردادي الزامات کسب و کار ،محافظت شوند(A.15.1.3).
از استفاده کاربران از امکانات پردازش اطالعااات باادون مجااوز ممانعاات بااه عماال •
آيد(A.15.1.5).
يک سند سياست امنيتي توسط مديريت مرکز داده تدوين و تصويب گرديده و •
منتشر گردد و بر حسب اقتضاء مورد تبادل نظر با تمام کارکنان قرار گيرد.
خطمشي هاي ذکر شده در سند سياست امنيتي بايد به طور منظم و نيز در مواردي •
که تغييرات مؤثري وجود داشته باشد ،مورد بازنگري قرار گيرند تا از تداوم عدم وجود مديريت يکپارچه
58
مناسب بودن خطمشي اطمينان حاصل شود. امنيت اطالعات
فرم ها ،اسناد و سياست واکنش سريع مرکز داده شامل اهدف ،محاادوده ،قااوانين، •
مسؤليتها و هماهنگي ،همچنين مکانيزمهاي کنترلي پياده سازي ،توليد و مرتبا مرور
و به روز گردند(NIST-IR-1).
مديران بايد از اجراي صحيح تمام روش هاي اجرايي امنيت در حيطه مسئوليتشااان •
باااراي دساااتيابي باااه تطاااابق باااا ساااند سياسااات امنيتاااي و اساااتانداردها ،مطمااائن
شوند(A.15.2.1). عدم سازگاري با خط مشيها 59
سيستم هاي اطالعاتي بايد به طور منظم از نظر تطابق فني با استانداردهاي اجرايي •
امنيت مورد بررسي قرار گيرند(A.15.2.2).
مديريت بايد فعاالنه از امنيت در سازمان با ساختار شاافاف ،تعهااد آشااکار ،وظيفااه •
صريح و قبول مسئوليتهاي امنيت اطالعات پشتيباني کند(A.6.1.1) .
تشکيالت الزم و ن يروي انساني متخصص در زمينه امني اطالعات جذب يا تربياات •
گردند.
فقدان نظام مديريت امنيت
مسئوليتهاي حفاظت از هريک از داراييهاي منفاارد و انجااام فرآيناادهاي امنيتااي • 60
اطالعات
مشخص بايد به طور شفاف تعريف شوند(A.6.1.3).
براي استفاده از امکانات پردازش اطالعات جديد ،بايد يک فرآيند صدور مجااوز •
از طرف مديريت پايه ريزي شود(A.6.1.4).
بايد همکاااري مناساابي تحاات مجوزهاااي قااانوني ،بااين سااازمانهاي تنظاايم کننااده •
صفحه 218از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
طراحي صحيح اتصاالت در زمان طراحي مراکز داده بمنظور عدم وجود اتصال •
ناامن
نظارت و کنترل دوره اي در اين خصوص و شناسايي تمامي اتصاالت احتمالي •
اتصاالت ناامن به شبکههاي
ناامن و حذف آنها 71
اينترنت و اينترانت و فيبر نوري
ايزوله بودن سرويسهاي بين المللي مورد نياز در مراکز داده از سرويسهاي داخلي •
ايزوله بودن کامل در باالترين حد ممکن در خصوص سرويسهاي بين المللي مورد •
نياز در مراکز داده از سرويسهاي داخلي
پيش بيني برق UPSبراي مرکز داده بمنظور استفاده در صورت قطع برق عادي •
متناسب با گستردگي ،سطح و اهميت مرکز داده
استفاده از مولدهاي توليد برق پشتيبان ،بمنظور پشتيباني از برق UPSمتناسب با • عدم پيشبيني برق پشتيبان 72
سطح و اهميت مرکز داده
نگهداري سوخت کافي براي مولدهاي برق بمنظور استفاده در شرايط الزم •
تربيت يا جذب نيروي انساني متخصص الزم در حوزه هاي تخصصي مورد نياز •
ارائه آموزشهاي عرضي تخصصهاي الزم به کارکنان •
اولويت به استفاده از فنآوريهايي که نيروي متخصص آن در اختيار است. •
تشويق کارکنان به فراگيري تخصصهاي متنوع و جديد • عدم وجود نيروي انساني
73
برگزاري آزمونهاي دورهاي جهت ارزيابي وضعيت آموزشي و کنترل کيفي • متخصص الزم
مهارتهاي فني آنان
برگزاري مانورهاي آموزشي و مديريت بحران به طور ادواري جهت ارزيابي •
سرعت عمل و انتقال در کارکنان جهت رويارويي با شرايط واقعي بحران
برگزاري کالسهاي آگاهسازي و توجيه کارکنان در خصوص خسارات گزاف •
ناشي از عدم رعايت مسائل امنيتي
برگزاري دوره هاي آموزشي تخصصي عرضي امنيت براي متخصصين شبکه و •
امنيت عدم وجود آموزش امنيتي کافي 74
ارائه آموزشهاي عمومي امنيت در سطوح مختلف به مديران و کارکنان •
ابالغ سياستهاي امنيتي و موظف نمودن کارکنان به تبعيت از سياستها با •
استفاده از مکانيزمهاي مديريتي
آموزش کارکنان در خصوص نحوه صحيح نصب تجهيزات ،نرمافزارها، • اشتباهات و غفلتها مانند عدم
برنامههاي کاربردي و همچنين کاربري صحيح سيستم ها و تجهيزات بکارگيري صحيح تجهيزات،
تدوين برنامههاي ادواري جهت کنترل و شناسايي اشتباهات احتمالي کارکنان • عدم نصب صحيح نرمافزارها و 75
نصب سيستمهاي هشداردهنده که در صورت فراموشي و يا غفلت کاربران هشدار • برنامههاي کاربردي ،سهل
دهد. انگاري
تدوين سياست کاري به منظور اجراي کنترلهاي الزم بمنظور اجراي قوانين •
عدم وجود کنترل روي قوانين 76
تدويني
صفحه 221از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
بازبيني دوره اي قوانين و شناسايي قوانين ضعيف و متناقض و انجام تصحيحات •
الزم
تشويق و تنبيه کارکنان فعال و خاطي •
رمزنگاري دادههاي ارسالي جهت کاهش مخاطرات ناشي از دسترسي غيرمجاز به •
دادهها در شرايط اضطرار به استفاده از اين ارتباطات
اتکا قابل مالحظه به سيستمهاي
عدم استفاده از سيستمهاي ارتباطي بيسيم بعلت عدم وجود امنيت کافي در اين •
ارتباطي بيسيم و ماهواره غير 77
نوع از ارتباطات
امن
استفاده از ارتباطات ماهواره اي داخلي در صورت راه اندازي در آينده در صورت •
نياز
استفاده از سامانه هاي مبدل جهت ايجاد سازگاري با سيستم اطالعات جغرافيايي • عدم سازگاري با سيستم
78
در صورت نياز اطالعات جغرافيايي ()GIS
صفحه 222از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
عمليات مکان يابي صحيح و اصولي ساختمان بايد در زمان انتخاب مکان مرکز •
داده انجام شود.
حفاظت فيزيکي در برابر آسيبهاي ناشي از سيل ،زلزله بايستي طراحي و •
بکارگرفته شود)A.9.1.4( .
طراحي و مقاومت ساختمان متناسب با کاربري مرکز داده در نظر گرفته شود. •
عمليات مقاوم سازي ساختمان انجام گيرد. •
آموزش افراد براي مقابله با حوادث ( زلزله ) •
تدوين دستورالعملهاي مرتبط با حوادث ( زلزله ) •
تهيه و بکارگيري تجهيزات کمکهاي اوليه •
چيدمان مناسب تجهيزات جهت مقابله با لرزش هاي زلزله •
تهيه و در دسترس بودن نقشه کليه تأسيسات فني و ابنيه ها •
تهيه ليست تجهيزات موجود در مرکز داده •
آموزش و بکارگيري گروه تعمير ،امداد و نجات •
پيش بيني و بکارگيري سيستم روشنايي و برق اضطراري متحرك •
پيش بيني سيستم هاي ارتباط داده پشتيبان بمنظور استفاده در شرايط اضطراري •
()) NIST-CP-8(4
پيش بيني ارتباط مستقيم با مرکز زلزله نگاري ()Hot line Connection •
زلزله 79
پيش بيني تجهيزات جابجايي اشياء (جرثقيل و ) ... •
پيش بيني و نصب تجهيزات هشدار وقوع زلزله در ساختمان •
ايجاد سايت پشتيبان Activeبا ارتباط مستقيم و برخط ( ) NIST-CP-6و •
( ) NIST-CP-7و و يک سايت پشتيبان Activeدور
ايجاد و بکارگيري سيستم هوشمند قطع و وصل منابع ( برق ،آب ،گاز ) •
پيش بيني رايانه هاي قابل حمل بي سيم جهت بکارگيري در زمان زلزله •
پيش بيني ژنراتور براي توليد برق در شرايط قطع برق قبل و بعد از زلزله •
استفاده حداکثري از مصالح و تجهيزات مقاوم در برابر آتش در زمان ساخت •
مرکز داده.
طراحي حفاظت فيزيکي در برابر آسيبهاي ناشي از آتش سوزي •
اعمال محدوديتها در مورد ممنوعيت ورود مواد آتش زا و پرخطر •
تهيه و بکارگيري سيستم هاي هشداردهنده و اعالم حريق •
تهيه و بکارگيري تجهيزات اطفاء حريق •
آموزش دوره اي افراد شاغل در مرکز در مورد پيشگيري و مهار آتش •
آموزش و بکارگيري گروه اطفاء حريق •
ارتباط Onlineبا مرکز آتش نشاني •
پيش بيني ارتباط بي سيم با مرکز آتش نشاني •
صفحه 223از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
پيش بيني ارتباط مستقيم با مرکز زلزله نگاري ()Hot line Connection •
صفحه 224از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
پيش بيني سيستم برق گير و Earthجهت انتقال بار الکتريکي اضافي به زمين •
ارائه آموزش پيشگيري و مقابله با حوادث براي افراد شاغل در مرکز داده •
آموزش و بکارگيري گروه حوادث غير مترقبه •
پيش بيني تجهيزات جابجايي اشياء (جرثقيل و ) ... • طوفان و صاعقه 81
ارتباط Onlineبا مراکز امداد و نجات •
پيش بيني ارتباط مستقيم با مراکز امداد و نجات ()Hot line Connection •
تهيه و بکارگيري نورافکن و مه شکن در نقاط مختلف مرکز داده و پيرامون آن •
بکارگيري تجهيزات کم کننده اثرات دود • دود 84
پيش بيني ارتباط با مرکز هواشناسي •
رعايت استحکام مناسب در طراحي سازه مراکز داده متناسب با نوع آنها • سقوط اجسام 85
مکان يابي نصب تجهيزات به منظور دوري از تجهيزات تداخل کننده مثل خطوط •
برق فشار قوي و خطوط با جريان باال
رعايت استانداردهاي مربوط به کابل کشي و فواصل مربوط به نصب کابل هاي •
انتقال داده ،برق و تلفن در زمان طراحي مرکز داده تداخل الکترومغناطيسي امواج 86
آموزش و بکارگيري گروه متخصص در خصوص اختالل هاي الکترومغناطيسي •
بکارگيري حفاظهاي امواج الکترومغناطيس بر روي بسترهاي انتقال •
پيش بيني شبکه طيف گسترده جهت جلوگيري از تداخل الکترومغناطيسي •
طراحي مناسب تأسيسات و رعايت استانداردهاي نصب مسيرهاي انتقال در زمان • مشکالت تأسيساتي ( آب ،گاز،
87
طراحي مرکز داده برق ،تلفن )
صفحه 225از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
استفاده از سيستم هاي هوشمند هشدار دهنده و کنترل کننده تاسيسات •
حفاظت تجهيزات از افت جريان برق يا هر اختاللي که بر اثر عدم پشتيباني •
تأسيسات بوجود مي آيد
استفاده از سيستم هاي پشتيبان براي آب ،گاز ،برق و تلفن بمنظور استفاده در •
صورت اختالل در مسير اصلي
آموزش و بکارگيري گروه تاسيسات •
کنترل و نظارت بمنظور عدم انتقال مواد پرخطر و حساس •
بازرسي افراد و تجهيزات به هنگام ورود و خروج •
پيش بيني تجهيزات الزم بمنظور مقابله با حوادث احتمالي پيش آمده از طريق اين • مواد پرخطر 88
مواد
آموزش و بکارگيري گروه متخصص جهت انجام عکس العمل مناسب •
نصب تجهيزات هشدار دهنده جهت اعالم خطر نشت مواد راديواکتيو در محيط •
قرار دادن لباسهاي مخصوص کار در محيطهاي آلوده به تشعشعات راديواکتيو •
جهت استفاده پرسنل در صورت نياز
استفاده از گيتهاي ورودي حساس به تشعشعات راديواکتيو در تمامي •
تشعشعات راديواکتيو 89
وروديهاي مراکز داده
تجهيز ديوارههاي داخلي مراکز داده به مواد شيميايي مخصوص جذب موارد •
راديواکتيو
آموزش و بکارگيري گروه متخصص جهت انجام عکس العمل مناسب •
بکارگيري فيلترهاي جلوگيري کننده از ورود گرد و غبار •
استفاده از حسگرهاي گرد و غبار بمنظور اعالم هشدار در مواقع الزم •
گرد وغبار و مه 90
آموزش کارکنان در مورد نحوه رفع مشکل •
آموزش و بکارگيري گروهي جهت انجام عکس العمل مناسب •
اصوالً مالحظات سطح پااايين مراکااز داده ،بايسااتي متناسااب بااا هاار مرکااز داده خاااص ،و در زمااان
طراحي و پياده سازي آن ،با درنظر گرفتن مالحظات امنيتي سطح باال و مياني کااه بيااان گرديااد ،طراحااي و
صفحه 226از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
پياده سازي گردد .ليکن بمنظور آشنايي با ماهيت مالحظات اين سطح ،در ادامه به عنوان نمونه ،يک مااورد
از مالحظات فني سطح پايين و اجرايي مراکز داده بيان شده است .بديهي است جزئيات مربوط بااه اياان هاار
يک از اين موارد براي هر مرکز داده بصورت خاص بوده و در زمان طراحي تعيين ميگردد.
نظر به لزوم ايجاد امنيت باال در مراکز داده ،و بر اساس مدلهاي امنيتي Multi Layer Securityو
-5امنيت داده
بمنظور ايجاد امنيت الزم در هر اليه ،از ابزارهاي امنيتي خاص آن اليه استفاده ميگردد .براي اياان
منظور از ابزارهايي نظير فايروال ،سامانه تشااخيص و جلااوگيري از نفااوذ ،سااامانه پااايش شاابکه ،سااامانههاي
کنترل دسترسي ،سامانههاي ضد بد افزار ،سامانههاي تشخيص و رفع آسيب پذيريها ،سامانههاي رمز کننااده
اليههاي شبکه و بسياري ابزارهاي امنيتي ديگر متناسب با نوع و ماهيت شبکه يااک مرکااز داده بهااره جسااته
ميشود .اما از آنجا که فرآيند امن سازي و به تبع آن امن سازي اليههاي شاابکه ،فقااط بااه اسااتفاده از يااک
سري ابزارهاي امنيتي امکان پذير نميباشد ،بلکه فعاليتهايي نظير "پيکربندي امن کليه تجهيزات و ابزارهاي
بکار گرفته شده در ايجاد و توسعه شبکه" و "رويهها و روالهاي امنيتي مرتبط با امنيت" نيز بايستي طراحااي
و اجرا گردند ،الزم است در کنار استفاده از تجهيزات امنيتي در هر اليه شبکه ،به دو مقوله اشاره شااده نيااز
253 از227 صفحه تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
.توجه گردد
مراجع9-8
جمعبندي
در اين گزارش بررسي جامعي از تهديداتي که مراکز داده کشور را مورد هدف قرار مي دهند
صورت گرفت .بسته به دسته بنديي که از مراکز داده انجام شد اين تهديدات دسته بندي و براي هريک بسته
به نوع مراکز داده راهکار و کنترل هاي الزم ارائه گرديد.
با عنايت به نوع نگاه به مالحظات امنيتي در طراحي مراکز داده (سطح باال ،مياني و پايين) مي توان
گفت که به مقابله با بسياري از تهديدات را مي توان با بکارگيري روش هايي در سطوح باال و مياني
پرداخت.
با اين حال با توجه به اين که در سطح پايين ،مالحظات امنيتي وابسته به نوع محصوالت ،ابزارها و
تکنولوژي به کار رفته براي طراحي و تجهيز مراکز داده بوده و بنابراين نمي توان در اين مقوله و بدون توجه
به موارد اخير در مورد راهکارهاي طراحي مراکز داده جهت مقابله با تهديدات موجود به ارائه راهکارهاي
الزم پرداخت.
اين سند شامل مالحظات سازمان پدافند غيرعامل در طراحي و ساخت مراکز داده در کشور
ميباشد .سازمان پدافند غير عامل کشور 3هدف امنيت ،ايمني و پايداري را در تمام حوزه ها از جمله
حوزه فضاي سايبر و فاوا (فنآوري اطالعات و ارتباطات) دنبال مي نمايد .در اين سند ،اين اهدف در
مقوله طراحي و پياده سازي مراکز داده کشور دنبال گرديده است .در ادامه چارچوب و محتويات سند
در اين سند ابتدا شناخت وضعيت فعلي مراکز داده شامل تعاريف ،تاريخچه و وضعيت مرکز داده
در ايران و جهان آورده شده است .سپس به معماري ها و استانداردهاي مراکز داده پرداخته شده و در ادامه
صفحه 229از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
تهديدات امنيتي متصور براي مراکز داده کشور با رويکرد پدافند غيرعامل بررسي گرديده است .اين
تهديدات در 3دسته -1تهديدات ناشي از جنگ (سايبر و فيزيکي) و مخاصمات بين المللي -2تهديدات
امنيتي -3تهديدات محيطي و طبيعي ،مورد توجه قرار گرفته است .نهايتا در ادامه ،ضمن ارائه راهکارهاي
فني براي تهديدات بيان شده ،الگوي مراکز داده کشور با رويکرد پدافند غير عامل تدوين گرديده و آورده
شده است .در اين الگو ،مالحظات پدافند غير عامل به 3سطح باال ،مياني و پايين تقسيم بندي شده است .در
مالحظات سطح باال ،پارامترهاي سطح بندي مراکز داده کشور و تعيين يکي از سطوح مهم ،حساس يا
حياتي بيان گرديده است .در مالحظات سطح مياني ،کنترلهاي پدافند غير عامل و امنيتي متناسب با تهديدات
احصاء شده و به تفکيک براي هر يک از سطوح مراکز داده مهم ،حساس و حياتي بيان گرديده است .در
ادامه به مصاديق مالحظات سطح پايين مراکز داده نيز اشاره گرديده است ،ليکن از آنجا که اين مالحظات
وابسته به محصوالت و تکنولوژي ها بوده و دائما در حال تغيير است ،در زمان طراحي و پياده سازي هر
مرکز داده ،بايستي با توجه به مالحظات سطح باال و مياني که در اين سند بيان شده ،با نظارت سازمان پدافند
تمامي سازمانهاي دولتي ،غيردولتي که به نوعي درصدد بکارگيري و استفاده از مراکز داده به
منظور بهره مندي کاربران و احتماالً خود سازمان از خدمات ارائه شده مي باشند مي بايستي ضمن توجه به
اين گزارش راهکارها و کنترل هاي الزم را در طراحي مراکز داده را مورد توجه قرار دهند.
صفحه 230از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
در اينجا تعريفهاي مختلف مرکز داده از منابع نسبتاً معتبر توسط کميتة علمي همايش «نقش مرکز
داده در توسعة فنآوري ارتباطات و اطالعات کشور» جمعآوري شده است .الزم به ذکر است که تعريف
(الف) با امنيت فيزيکااي و الکترونيکااي باااال ،برخااوردار از پهناااي بانااد ارتباااطي وساايع ،متصاال بااه
(ب) کااااه شااااامل انااااواع تجهياااازات سااااختافزاري(رايانهها ،سااااوئيچها ،مودمهااااا )... ،و
(ج) به پشتيباني و ارائة انواع خدمات مرتبط با اطالعات و داده از قبيل خدمات ذخيره ،نگهداري و
بازيابي داده ،خدمات ، ERPميزباني خدمات اينترنتي ،ميزباني ارائة خدمات کاااربردي( ،) ASP
براي رسيدن به يک تعريف جامع و مانع ،در ابتدا در جلسات متعددي مفاهيم و ابعاد مرکز داده
مورد بحث و بررسي قرار گرفت .سپس 12تعريف مختلف براي مرکز داده به شرح زير ارائه گرديد .در
پايان روي اين تعاريف جمعبندي شد و تعريف فوق استخراج گرديد .آنچه که در تعاريف زير به چشم مي
صفحه 231از 253 تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
خورد اين است که مرکز داده داراي ويژگيهايي است ،اجزايي دارد و براي کاربردهايي استفاده مي شود.
رويکرد مرکز داده سه دورة تاريخي را پشت سر گذاشته است ،مرحلة مراکز دادة متمرکز که با
پيدايش رايانه هاي بزرگ اوليه آغاز شد ،مرحلة مراکز دادة توزيع شده که در دهه 80ميالدي و با پيدايش
رايانه هاي شخصي شروع شد و مرحلة تمرکز مجدد که از اواخر دهة 90و با توسعة شبکه هاي رايانه اي و
اينترنت آغاز گرديد .برخي از تعاريف زير مربوط به دوران اول يا دوم هستند .تعريف جمعبندي فوق ،مرکز
-1به مراکزي مانند مرکز پردازش کارت اعتباري بانک که مکاني براي پردازش داده هاي الکترونيکي
An electronic data processing facility such as a bank's credit card processing
center.
http://www.hi-availability.com/pr_ultra_green_glossary.html
-2مرکز داده انبارة متمرکزي براي ذخيره ،مديريت ،و توزيع داده و اطالعاتي است که اين داده ها
به حيطة مشخصي از دانش يا کاربرد تعلق دارند .مرکز داده ممکن است داراي يک مرکز عمليات شبکه
( ) NOCباشد که دسترسي محدود و کنترل شده اي دارد و شامل سيستم هاي خودکار مراقبت از
فعاليتهاي سرور ،ترافيک وب و عملکرد شبکه بوده و کوچکترين اختالل را به مهندسين گزارش مي کند و
http://www.tcs-asp.com/library/glossary.html
)web caches
، محلي براي نگهداري يک يا چند محيط توليد و فرآوري (از قبيل کامپيوترهاي سرور-4
کاربردها) که توسط يک سازمان براي انجام پردازشهاي داده هاي، پايگاه هاي داده،تجهيزات اتصال شبکه
http://www.donald-firesmith.com/Glossary/GlossaryD.html
253 از233 صفحه تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
مرکز داده مجتمعي براي نگهداري سيستمهاي کامپيوتري حياتي(مأموريت گرا) و اجزاي-5
،) جلوگيري از آتش سوزي و غيره، اين مراکز معموال داراي کنترلهاي محيطي(تنظيم هوا.مرتبط آن است
خدمات اينترنتي و ميزباني وب معموال محل حضور و ارائة. و امنيت باال مي باشند،تدارکات برق پشتيبان
http://marketing.byu.edu/htmlpages/courses/490r/chapters/glossary.htm
مجموعهاي از ابزارهاي فوق امن و مقاوم در برابر خرابي که تجهيزات مشتري در آن قرار-6
و، مسيريابها، سوييچها، اين ابزارها شامل سرورهاي وب.ميگيرد و به شبکههاي ارتباطي متصل است
، هاASP ، هاISP مکز داده از سايتهاي وب شرکتها پشتيباني ميکند و محلي براي.مودمها است
http://www.c-b.com/industryinfo/glossaries/telecom.asp
http://www.consultingtimes.com/glossary.html
مرکز داده يک انباره مرکزي است که (چه به صورت فيزيکي وچه به صورت مجازي) براي-8
توزيع داده ها و اطالعات طبقه بندي شده حول انواع دانش يا وابسته به يک تجارت، مديريت،ذخيره سازي
يک مرکز دادة عمومي است که بزرگترين آرشيو جهانيNCDC براي مثال.خاص به کار مي رود
يک مرکز دادةخصوصي ممکن است درون يک سازمان قرار.اطالعات آب و هواي دنيا به شمار مي رود
http://searchdatabase.techtarget.com/sDefinition/0,,sid13_gci332661,00.
html
253 از235 صفحه تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
اين تعريف مربوط به دورة دوم است و در قسمت خط کشيده شده وجود مراکز دادة متمرکز-9
http://www.gartner.com
شامل تجهيزات مرتبط با، مرکز خدمات اينترنت که معموال توسط شخص ثالث ارائه ميشود-10
شرکتهاي تجارت الکترونيک و، هاASP ، هاISP ،اينترنت براي استفادة سازمانها وتشکيالت اقتصادي
شبکة، ميزباني خدمات، سرورها، مرکز خدمات اينترنت معموال مکان برون سپاري.ساير شرکتها است
.اختصاصي مجازي و ساير شبکهها بوده و انواع خدمات انتقال اطالعات را ارائه ميکند
مرکز داده بخشي از سازمان يا شرکت است که شامل سيستمهاي رايانهاي و تجهيزات مرتبط-11
همچنين يک مرکز. ورود دادهها و برنامهنويسي سازمان هم ممکن است در اين محل انجام شود.ميباشد
http://www.datacenterjournal.com
-Data Center :
The department that houses the computer systems and related equipment,
including the data library. Data Entry and systems programming may also
come under its jurisdiction. A control center is usually provided that
accepts work from and releases output to user department.
، شبکه، مسيريابها، سرورها، يا ساختمان امن و محافظت شده که شامل انواع رايانهها-12
سوييچها و تجهيزات و تخصصهاي الزم براي پشتيباني از انبوه اطالعات معتبر که قابل دسترسي توسط
A very well protected and safe building that houses various types of Computers, Servers,
Routers, Network, Switches, Equipments and professionals to support a large source of
reliable data that is accessible by many large or small users around the clock .
253 از237 صفحه تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
همان طور که.در اينجا فهرستي از مراکز داده مهم در آمريکا و ديگر کشورها آورده ميشود
http://en.wikipedia.org/wiki/List_of_Data_centers
1 Managed Network
Bryan, Texas http://www.managednetworks.com/
Solutions
2 Alchemy
Los Angeles,
Communications http://www.alchemy.net/
California
Inc.
11 http://www.navisite.com
=35&office=470
12 http://www.navisite.com/
35&office=471
13 http://www.navisite.com/
35&office=473
14 http://www.navisite.com/
35&office=474
253 از239 صفحه تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
15 http://www.navisite.com/
35&office=478
16 http://www.navisite.com/
35&office=479
17 http://www.navisite.com/
35&office=480
18 http://www.navisite.com/
35&office=481
United Kingdom
2 IXEurope West
London http://www.ixeurope.com/
London
3 IXEurope Park
London http://www.ixeurope.com/
Royal
5 http://www.navisite.com/
35&office=476
6 TeleCityRedbus
London http://www.telecityredbus.com/
Harbour Exchange
7 TeleCityRedbus
London http://www.telecityredbus.com/
Meridian Gate
253 از241 صفحه تدوين مالحظات پدافند غير عامل در طراحي و ساخت مراكز داده
8 TeleCityRedbus
London http://www.telecityredbus.com/
Sovereign House
9 http://www.connexions4london.co.uk/
VSNL Stratford London
colocation/tyco_colocation.html
Germany
Canada
15 Provision Data
Kelowna http://www.provisiondata.com/
Systems
Brazil
India
21 http://www.navisite.com/
35&office=477
Ukraine
در اين پيوست مفاهيم و اصطالحات مهم در مراکز داده ارائه شده است .در اينجا تنها تمرکز روي
اصطالحات اصلي مراکز داده بوده است .اصطالحات ديگر فني که مرتبط با شاخههاي ديگر مانند
فارسي
-مرکز داده مکاني است :الف) با امنيت فيزيکي و Data Center مرکز داده
فارسي
دسترسي
اختياري
نوعي از حمله که در آن هدف قطع سرويس يا کاهش سطح Denial of منع سرويس
)Service (DoS
سرويس و دسترسي است.
توزيع شده
داده
فارسي
رمزنگاري داده
رمز شده
پردازش
اطالعات
فدرال
شبکه
از ديسکهاي
کمهزينه
فارسي
فارسي
ميکنند.
سايت ديگر.
صفحه 248از 253 مطالعه و طراحي نمونه الگوي مركزS.O.C
فارسي
مکانيزمي براي کنترل ترافيک در شبکه با مشخص کردن اولويت Class of رده سرويس
service
پيام يا بسته
منظور ارائه سرويس سريع و بيوقفه کار ميکنند .يک کالستر به
گروهي از کالسترها که از يک شبکه ارتباطي براي افزونگي داده Continental کالستر قارهاي
cluster
و ارتباط ،به منظور تحمل خرابي کالسترهاي مختلف (معموال از
ابزاري براي کنترل انتقال داده از کامپيوتر به ابزارهاي جانبي و Controller کنترلر
بالعکس.
صفحه 249از 253 مطالعه و طراحي نمونه الگوي مركزS.O.C
فارسي
روشي براي تحمل خرابي که در آن داده از يک سايت به سايت Data افزونگي داده
replication
ديگر کپي ميشود.
ناحيهاي از شبکه بين شبکة داخلي و شبکه بيروني ،که حفاظت Demilitarized ناحيه غيرنظامي
)zone (DMZ
کمتري نسبت به شبکه داخلي از آن ميشود و معموال سرورهاي با
توانايي توزيع خودکار ترافيک بين چند مسير. Dynamic load تقسيم بار پويا
sharing
ابزار (تلفيقي از نرمافزار و سختافزار) يا نرمافزار براي کنترل و Firewall فايروال ،حفاظ
شبکهاي که ارتباط مطمئن بين دو کالستر فراهم ميکند .اين Heartbeat شبکه ضرباني
network
ارتباط براي تبادل پيامهاي ضرباني و سيگنالها به کار ميرود.
اين عبارت معموالً براي سيستم تهويه هواي مرکز داده به کار Heating, سيستم تهويه و
ventilation,
ميرود. گرمايش
and air-
conditioning
)(HVAC
تعويض يک مؤلفه سختافزاري بدون خاموش کردن سيستم. Hot swap
فارسي
تقسيم بار I/Oيا کار بين چند مؤلفه زير سيستم. Load sharing تقسيم بار
کالستري که تنها در يک مرکز داده واقع شده است .اين نوع Local cluster کالستر محلي
نوعي از Failoverکه نياز به مداخله انسان براي آغاز يک برنامه Manual جايگزيني
failover
يا سرويس در يک گره ديگر دارد. دستي
ميانگين زمان بين دو خرابي متوالي که روي تعداد زيادي از Mean time ميانگين زمان
between
خرابيها محاسبه شده باشد. بين خرابيها
failures
)(MTBF
ميانگين زمان از ابتداي شروع به کار سيستم تا اولين خرابي که با Mean time to ميانگين زمان تا
failure
استفاده از تعداد زيادي سيستم مشابه محاسبه شده باشد. خرابي
)(MTTF
ميانگين زمان تعمير يک مولفه يا يک سيستم که با استفاده از زمان Mean time to ميانگين زمان
)repair (MTTR
تعداد زيادي از تعميرات محاسبه شده باشد. تعمير
فارسي
ميکند.
يک رَك که حاوي سوييچها ،سرورهاي ترمينال ،و درگاههاي Point of نقطه توزيع
distribution
اتصال کابلها است.
)(POD
high- An electrical distribution box fed by a Power واحدهاي
amp three-phase connector with power outlets distribution
توزيع برق
.and circuit breakers )units (PDUs
سرور فيزيکي که پشت سر سرور مجازي سرويسدهنده به کاربر Real server سرور واقعي
قرار دارد.
گسترشپذيري
مؤلفهاي از کالستر يا گره که در صورت خرابي دسترسي به Single point of تک نقطه
)failure (SPOF
برنامههاي کاربردي و سرويسها قطع ميشود. شکست
فارسي
مشابهي را باال ميآورند .که منجر به تغيير دادههاي مشابه شده که
نقش مؤلفه افزونه که مؤلفه ديگر فعال را تحت نظارت داشته و Standby آماده بهکار
يک زيرساخت پرسرعت ،مقياسپذير ،مختص سرورهاي Storage area شبکه حافظه
network
ذخيرهساز و براي انتقال سطح بلوکي بين تمام دستگاهها.
)(SAN
برنامه کارخواه که در صورت خرابي سرور به صورت خودکار و Transparent جايگزيني
failover
بدون درگيري کاربر به سرور ديگري متصل ميشود. شفاف
Transparent IPانتقال آدرس IPاز دستگاه خراب به دستگاه سالم ديگر در همان جايگزيني
failover
زيرشبکه براي ادامه سرويسدهي به کاربران از همان نام و آدرس شفاف IP
يک کارساز مجازي روي توزيع کننده بار که تنها يک آدرس Virtual server سرور مجازي