راهکارهای امنیتی

راهکارهای امنیتی

امنیت یک محصول نیست، یک فرایند است.

هر سازمان و موسسه براساس نیازمندیهای خود، از منظر امنیت متفاوت و متنوع است. در این راستا شرکت سانای راهکارهای متعددی را براساس نیازمندیهای سازمانها ارائه می دهد. شرکت سانای از ابتدای ارزیابی، تا استانداردسازی و در نهایت امن سازی و نگهداری در کنار سازمانها می باشد. نکاه سیستمی سانای به امنیت توانسته است از وجوه مختلف مساله امنیت را بازخوانی نموده و برای مشتریان ارائه دهد.

 

(1) ارزیابی و تحلیل امنیت

از هر منظری که به امنیت یک سیستم و مجموعه پرداخته شود ارزیابی و تحلیل امنیت به عنوان یک فرایند متناوب بایستی در سازمانها اجرا و مستقر شود. در این راستا سانای توانایی ارزیابی سیستم های مختلف را براساس نیاز دارد. برای حصول این امر، سانای یک الگوی سفارشی و جامع با نام اختصاری SPTF ارائه داده است. در این الگو امکان ارزیابی سیستم های مختلف اعم از سازمانی، شرکتی، بانکی ویا مبتنی بر سرویس، نرم افزار و شبکه وجود دارد. بخشی از این الگو در ذیل آمده است:

(1)    شناسايي شبکه و ساختار آن: در اين بخش به کمک ابزارها و روش هاي مختلف، سعي مي شود اطلاعات  شبکه انتخابي تا حد زيادي استخراج گردد.

(2)    کشف و پويش پيرامون سيستم هاي عامل مختلف: با توجه به اهميت سيستم عامل ميزبانها، در اين بخش اطلاعات مربوط به سيستم هاي عامل مهم اعم از Server ويا Client استخراج مي شود. از جمله موارد مي توان به استخراج پورتهاي باز، بررسي حفاظها و تجهيزات امنيتي (Firewall)، بررسي سرويسها و ... اشاره نمود.

(3)    پويش پورتها در شبکه: با توجه به اهميت پورتهاي باز، در اين بخش به بررسي دقيق تر پورتها در بخش.هاي مختلف شبکه مي پردازيم.

(4)    بررسي کلمات رمز عبور: براي تجهيزات مهم و Server ها، از روش هاي مختلف جهت کشف رمزهاي عبور استفاده مي شود. 

(5)    آزمون بر روي تجهيزات Cisco: با توجه به اهميت تجهيزات Cisco، در اين بخش در چندين گام تجهيزات موجود از شرکت Cisco به صورت خاص مورد آزمون و حمله قرار مي گيرند.

(6)    آزمون بر روي Server ها به صورت خاص: هر Server متناسب با سرويس هايي که دارد پتانسيل حمله و نفوذ دارد. به همين دليل Server ها بر اساس سرويس هاي خود (DB، WEB، MAIL و ...) مورد آزمون قرار مي گيرند.

(7)    بررسي شبکه هاي بي سيم: با توجه به اهميت امنيت شبکه هاي بيسيم و در صورت وجود چنين شبکه.هايي، آزمون هاي مختلف بر روي آن انجام مي شود.

(8)    تخمين آسيب پذيري: در اين بخش با استفاده از پويشگرهاي مختلف (مانند NESSUS و ...) و با توجه به دانش به دست آمده و به کمک پايگاه هاي اطلاعاتي آسيب پذيريها، ميزبانهاي فهرست شده مورد آزمون قرار مي گيرند.

(9)    نفوذ: براساس دانش و اطلاعات بخشهاي قبلي، در صورت امکان و تمايل مشتري، حملات مختلف مانند DoS، arp poisoning و ... بر روي ميزبانها و شبکه انجام مي شود. 

(10)    استخراج و تهيه گزارش تحليلي

 

 

(2) استانداردهای امنیتی

به طور طبیعی هر فرایندی که در قالب استاندارد انجام شود شامل ریسک حداقلی و موفقیت حداکثری خواهد بود. در این راستا شرکت سانای با آشنایی با انواع استانداردها توانایی استقرار امنیت با الگوهای استاندارد را دارد. 

امروزه استانداردهاي مختلفي در زمينه‌ي امنيت اطلاعات وجود دارد كه هر كدام از ازويه‌ي مشخصي به اين مهم مي‌پردازند. از جمله‌ي اين استانداردها مي‌توان به CC/CEM، ISO 27001 & 27002، COBIT، NIST، BASEL II، FISCAM و ISO 21188 اشاره كرد. استاندارد معيار عام (CC) و متدولوژي‌هاي مربوطه (CEM) به آزمون محصولات IT از منظر امنيت مي‌پردازند. اين استاندارد داراي هفت سطح امنيتي است كه از EAL1 تا EAL7 نامگذاري شده‌اند. به دليل كاربرد بسيار بالاي آن، در حال حاضر اين استاندارد با نام ISO/IEC 15408 شناخته مي‌شود. 

استاندارد ISO 27001 جهت توليد و توسعه‌ي سياست‌هاي امنيتي يك سازمان استفاده مي‌شود. اين استاندارد فرايند كامل امنيت را در يك سازمان بيان مي‌كند. تمرکز سانای بر نسخه ای سفارشی از این استاندارد می باشد.

استاندارد COBIT يك چارچوب و مجموعه‌اي از ابزارها براي مديريت IT مي‌باشد كه توسط انجمن ISACA و انستيتوي ISTG طراحي شده‌است. اين استاندارد شامل كنترل‌هاي سطح بالا براي امنيت سيستم مي‌باشد و شامل امنيت مديريت شده، كنترل‌هاي دسترسي منطقي، امنيت داده‌هاي برخط، كنترل‌ها و امنيت حساب‌هاي كاربري، معماري‌هاي حفاظ (Firewall) و رده‌بندي داده‌ها مي‌باشد. 

انستيتوي NIST رهنمودهاي مهمي را در زمينه‌ي آزمون‌هاي امنيتي شبكه بالاخص در رابطه با سيستم‌هاي عامل بيان مي‌كند. 

استاندارد BASEL II يك استاندارد امنيتي براي بانكداري اينترنتي مي‌باشد. اين استاندارد شامل كنترل‌هاي امنيتي متعددي از جمله "تصديق هويت مشتريان"، "فرايند عدم انكار تراكنش‌هاي برخط"، "كنترل‌هاي مجوزدهي"، "جامعيت داده‌ها در تراكنش‌هاي برخط"، "روش‌هاي وارسي" و "محرمانگي اطلاعات بانكي" مي‌باشد.

استاندارد ISO 21188 چارچوبي براي زيرساخت كليد عمومي (PKI) در سرويس‌هاي مالي تعيين مي‌كند. همچنين راه‌حل‌هاي مبتني بر گواهي‌هاي امنيتي را در زمينه‌ي بانكداري اينترنتي بيان مي‌كند. 

FISCAM جهت ارزيابي كنترل‌هاي كاربردي و عمومي براي سيستم‌هاي مالي طراحي شده‌است. اين استاندارد براي طراحي و توليد يك نرم‌افزار و يا برنامه‌ي كاربردي امنيتي بسيار مفيد است.

 

با توجه به اهمیت استاندارد سری ISO 27000، سانای براساس کنترلهای موجود در این سری امکان استقرار امنیت را در یک سازمان فراهم می کند.

(3) براساس نیازمندیهای تجاری

سانای نیازمندیهای سازمانی را براساس ویژگیهای مد نظر آنها تشخیص می دهد و به کمک راه حلهای سفارشی خود در زمینه های مختلف از جمله امنیت شبکه، داده، محتوی و وب، امنیت نرم افزارهای کاربردی، مدیریت و دسترسی از راه دور، مدیریت رویدادها و ...، راه حل مورد نظر را ارائه می دهد.

امنیت شبکه: 

سانای به کمک سامانه مدیریت یکپارچه امنیت خود، آیرونگیت، امنیت مورد نظر مشتریان را در تمامی سطوح منطقی از لایه 2 تا لایه 7 برقرار می کند.

آیرونگیت شامل دیواره آتش حالت مند، شبکه خصوصی مجازی با پروتکلهای مختلف، Hotspot، سیستم تشخیص و پیشگیری از نفوذ، کنترلهای امنیتی لایه 7، مدیریت رویدادها و ... می باشد.

 

امنیت وب:

سانای به دلیل تجربه و شناخت دقیقی که از تهدیدهای مبتنی بر وب دارد، توانایی ارائه مولفه های امنیتی جهت جلوگیری از انواع حملات از جمله malware، phishing، pharming و ... را دارد. 

 

امنیت پست الکترونیکی:

پست الکترونیکی به عنوان یکی از ابزارهای الزامی در دنیای امروز بسیار حائز اهمیت است. در این راستا سانای برای جلوگیری از انواع حملات و اسپم ها به سرویس دهنده های پست الکترونیکی، راه حل مناسبی را با ویژگیهای زیر ارائه می دهد:

•    پوشش کلیه پروتکلها

•    تشخیص بلادرنگ اسپم

•    حفاظت از اسپم های خارجی

•    حفظ محرمانگی ایمیلها

•    قرنطینه ایمیلهای مشکوک 

 

(4) براساس اندازه شبکه

سانای براساس اندازه شبکه و نوع سرویسها راه حلها و محصولات مورد نیاز را به سازمانها ارائه می دهد. این محصولات در سه کلاس کلی قرار می گیرند:

•    سازمانها و دفاتر کوچک

•    سازمانهای متوسط

•    سازمانهای بزرگ