به نام خدا

 

 طرح مزبور تا در نظر گرفتن سرور ها ، سيستم ها ،  Gateway ها و سرور ها ي سازمان در نظر گرفته شده و تا حد زيادي آن سازمان محترم را به استاندارد 27001 ISO /IEC نزديك مي نمايد .

بديهي است بدون آموزش و فرهنگ سازي رسيدن به اين طرح راه مشكلي خواهد بود بنابر اين با حمايت مديريت محترم ،بارکاری زيادي را از اين طرح حذف خواهد نمود

با به ثمر رسيدن اين طرح يك مجموعه غير قائم به فرد در IT ،تحويل سازمان خواهد شد .

هزينه هاي  مربوط به تغييرات يا تجهيزات فيزيكي يا آموزش الزامی میباشد.

همچنين معرفي حوزه جغرافيايي اجراي طرح و تنظيم اسكوپ اوليه (مانند واحد توليد يا .. ) بسيار مهم خواهد بود.

اصرار بر بزرگ در نظر گرفتن اسكوپ اوليه معمولاً سازمان  را با شكست طرح هاي امنيتي مواجه مينمايد .

بديهي است راهبرد كوتاه مدت در تعیین اسکوپ مناسب بسیار سریع تر نقاط ضعف را مشخص خواهد نمود و سرعت و كيفيت اجرا در اسكوپ هاي بعدي قابل قبول خواهد كرد .

 

 مزاياي امنيتي طرح جامع شبكه ایمن:

1.     محافظت از اطلاعات در برابر دسترسي و حوادث

  1. كنترل نوع و سطح دسترسي
  2. تمركز اطلاعات
  3. BACKUP گيري خودكار
  4. حفاظت  در برابر VIRUS و WORM و .............
  5. UPDATE سيستم عامل ها و..............
  6. ارتقاء سطح دانش فني مديران ،راهبران و كاربران در زمينه شبكه و امنيت اطلاعات
  7. ايجاد دستور العمل ها و روال هاي امن براي انجام فعاليت هاي مرتبط با امنيت در شبكه
  8. كنترل استفاده از كاربران از منابع پهناي باند
  9. ايجاد امكان دسترسي به اطلاعات ،از خارج از سازمان براي كارمندان Trust شده به صورت امن
  10. امكان اتصال بين شبكه هاي مختلف بصورت امن
  11. به حداقل رسانيدن تاثير اختلال در هنگام بروز حوادث
  12. گزارش گيري از نحوه فعاليت تجهيزات
  13. ايجاد ساختار امن براي انواع ارتباطات داخلي و خارجي
  14. مديريت ، كنترل ، نظارت  شبكه سازمان بصورت متمركز
  15. ايجاد مديريت متمركز بر كليه كاربران

 

 

 

 

 

 

 

  1. 1.    امنيت فيزيكي
  2. 2.    امنيت سرور ها
  3. 3.    امنيت ايستگاه هاي كاري  (clients )
  4. 4.    امنيت ارتباطات
  5. 5.    امنيت ساختار شبكه
  6. 6.    مستند سازي ،حفاظتي ها و دستور العمل هاي امنيتي
  7. 7.    نظارت امنيتي
  8. 8.    آموزش و فرهنگ سازي

 

 

 

امنيت فيزيكي :

موارد مرتبط با حراست و امور فيزيكي امنيت را در بر مي گيرد بنابراين در اين مرحله نواقص ميبايد بصورت مستند و كتبي به كارفرما اطلاع داده شود تا رسيدگي گردد و شامل جزئيات زير است :

الف-امنيت فيزيكي ،سوئيچ ها ،روتر ها و فاير وال ها

ب-امنيت فيزيكي Client ها

ج- امنيت فيزيكي ارتباطات سيمي و بي سيم

د- استفاده از پروتكل هاي STP،RSTP  و………….

 

هريك از مراحل سه گانه شامل جزئيات اجرايي ميباشد .كه در هنگام اجرا بصورت مستند اجرا خواهند شد .هزينه هاي آن بر عهده كار فرما ميباشد .

نكته آنكه امنيت ارتباطات سيمي بر طبق استاندارد TIA/EIA -568-13 خواهد بود .

در بخش server  farm ، تهيه تجهيزات فيزيكي با كارفرما خواهد بود .

 

 

 

 

 

 

 

 

 

 

 

 

 

امنيت سرور ها :

در بخش امنيت سرور  مكانيزه هاي مختلفي مانند ذيل اجرا و بهره برداري و تحويل خواهد شد :

  • سيستم ذخيره و نگهداري كلمات عبور استاندارد
  • مديريت دسترسي هاي Anonymous
  • مديريت كاربران Administrator
  • استفاده از Admin kit هاي آنتي ويروس
  • غير فعال كردن سرويس هاي غير ضروري روي سرور ها استفاده از ابزار هايي براي مدیریتLOG ها
  • استفاده از فرصت هاي استاندارد مانند W3C در Log گيري
  • استفاده از Routing Profile
  • استفاده از OS و سياست هاي مناسب امنيتي(Group Policy)
  • استفاده از Distributed file system
  • استفاده از پروتكل NTP جهت همزماني در شبكه
  • مديريت اعتبار پسوردها و مديريت ساعت logon در سرور ها
  • مديريت و كنترل Remote ها
  • انتقال پايگاه داده Kerberos از محل پيش فرض DC ها

 

دربخش DNS

  • استفاده از DNS  forwarder
  • استفاده ازCache only DNS
  • استفاده از DNS  Advertiser
  • استفاده از DNS Revolver 
  • استفاده از Cache pollution
  • استفاده از DDNS
  • غير فعال كردن Zone Transfer
  • تنظيمات لازم اطلاعات DNS در رجيستري
  • استفاده از DNS  root و Name SPACE ها براي شبكه داخلي سازمان و.....

 

 

 

در بخش خدمات انتقال فايل مواردي مانند :

  • سازماندهي FTP Directory
  • مديريت Timeout connection
  • مديريت پيام آگاهي دهنده به كاربران
  • تخصيص مجوز هاي لازم براي دسترسي
  • تخصيص سياست هاي دستيابي بهFTP بر اساس آدر سهاي IP
  • تنظيمات  log و مديريت آنها
  • تنظيم مجوز هاي يك طرفه روي FTP
  • سرويس هاي Disk Data
  • فعال سازي سرويس هاي Account Lock out و Account lick out Threshold

 

در بخش خدمات Web server

  • استفاده از وب سر ور هاي مجزا در مناطق داخلي و بيروني
  • امكان مميزي عملكرد هاي وب سايت و نگهداري Log ها در يك محل امن
  • تنظيمات امنيتي لازم در IIS يا اينترنت سرور هاي ديگر

در بخش UPDATE سيستم ها :

  • استفاده از Web server
  • امكان استفاده از آخرين وصله هاي امنيتي مانند Server pack –Patch –Hot Fix و ..بصورت offline براي Client ها
  • امكان گزارش گيري از وضعيت Update كلاينت ها
  • امكان استفاده از ارتباطات زنجيره اي  (Chain)براي Wsus هاي مختلف

 در بخش Antivirus :

  • امكان استفاده از KIT مديريتي
  • امكان Update اتوماتيك
  • امكان تعريف رفتار هاي پيش فرض براي حملات مشخص
  • امكان تعريف (Zone)نواحي تاييد شده
  • امكان مديريت گروه هاي سازماني با استفاده از ساختار OUعيناً در Admin kitامكان تعريف Schadule مختلف براي اسكن
  • تنظيم ثبت مرتب و خودكار log ها
  • تنظيم و شناسايي خودكار ويروس هاي يافت شده و .....
  • امنيت Client ها
  • پسورد استاندارد Bios
  • استفاده از خدمات NTFS
  • غير فعال كردن Simple file sharing
  • مديريت استاندارد پسورد ها
  • مديريت كاربري GHUST  SERVER
  • مديريت در مصرف برق Screen  با هدف امنيت و صرفه جوي در مصرف برق
  • مديريت Remote DESKTOP
  • مديريت Audit , log
  • مديريت Device هاي جانبي
  • كنترل پورت هاي فيزيكي مانند USB , LPT  بصورت متمركز و از طريق سرور و ...........

 

 

ارتباطات بي سيم :

  • استفاده از سيستم هاي رمز نگاري پيشرفته
  • تغيير  تنظيمات SSID بصورت امنيتي
  • مديريت DHCP  روي  WIFI
  • مديريت AD-HOC
  • مديريت ACL
  • مديريت MAC
  • مديريت  پهناي باند مصرفي
  • مديريت شبكه سيمي و جداسازي كامل از شبكه  بي سيم توسط Firewall

 

در بخش ارتباطات مرزي و VPN server

  • ايجاد سرور هاي VPN در مرزهاي دروني و بيروني
  • ايجاد Web listener server
  • ايجاد Web publishing server
  • ايجاد IDS  server
  • ايجاد firwall server
  • ايجاد Web proxy server
  • استفاده از متد هاي امنيتي پيشرفته مانند MS CHAP 2
  • استفاده از پروتكل هاي I2TP   و IPsec
  • مديريت و سهميه بندي كاربران
  • مديريت پهناي باند
  • مديريت و كنترل دانلود كاربران
  • مديريت سايت هاي ديده شده توسط كاربران
  • ايجاد داشبورد امنيتي جهت مانيتورينگ سرور هاي مزبور
  • مديريت Fragment filtenig
  • مديريت Packet filtenig
  • مديريت Packet signature
  • ایجاد DMZ در صورت نیاز

 

طراحي امن شبكه :

  • طراحي و اجراي DMZطراحي و اجراي FIREWAL نرم افزاري يا سخت افزاري
  • طراحي و ايجاد ACL براي لايه 3 شبكه
  • فعال سازي پروتكل هاي امنيتي روي سوئيچ هاي لايه 2و3
  • فعال سازيACL هاي Standard    و extended روي روتر هاي شبكه 
  • ايجاد Redundancy براي سوئيج هاي core
  • طراحي از Additional server
  • استفاده از NLB  براي ايجاد Redundancy بين سرور ها
  • استفاده از Miroring براي پايگاه داده

 

امنيت سوئيچ ها :

  • كنترل خطوط كنسول
  • مديريت پورتهاي بلا استفاده
  • مديريت Macروي پورتها
  • مديريت Dis card –Chagen –echo –finger
  • مديريت SNMP
  • مديريت HTTP
  • مديريت ACI
  • مديريت Syslog , Timestamp
  • مديريت NTP

 

مستند سازي :

  • نقشه جامع شبكه
  • مستندات قرار گيري سخت افزار ها
  • مستندات اموال سازمان (اموال IT (
  • مستندات كابل كشي
  • مستندات محل سوئيچ ها و روتر ها و سرور ها
  • مستندات پيكر بندي سرور ها
  • مستندات پيكر بندي و تنظيمات لازم روي Client ها
  • مستندات تحويل سخت افزار ها
  • مستندات چك ليست تنظيمات سرور ها
  • مستندات چك ليست تنظيمات شبكه هاي بي سيم
  • مستندات چك ليست تنظيمات سوئيچ

 

 

 

 

 

 

دستور العمل ها :

  • دستورالعمل  نصب امن سيستم عامل براي Client ها
  • دستور العمل نگهداري Firewall
  • دستور العمل بروز بودن آنتي ويروس ها
  • دستورالعمل بازبيني دوره اي از سيستم ها
  • دستور تعمير سيستم ها
  • دستورالعمل تهيه و نگهداري مستندات
  • دستور العمل بررسي دوره اي logها
  • دستور العمل انتخاب كلمه عبور
  • دستور العمل و آئين نامه سطح دسترسي كاربران
  • دستورالعمل Back up
  • دستور العمل ارائه خدمات IT به كاربران
  • دستور العمل خريد تجهيزات نو
  • دستور العمل نظارت امنيتي
  • دستور العمل تست نفوذ

 

آموزشمرتبط با  IT

  • مفاهيم ابتدايي شبكه و امنيت
  • انواع حملات و تهديدات
  • روش هاي مقابله
  • مقابله با حوادث غير مترقبه امنيتي
  • روش امنيت شبكه هاي بي سيم
  • بروز رساني سيستم عامل
  • انجام Back up
  • كار با File server
  • كار با Wsus
  • نصب نرم افزار هتي جديد
  • نگهداري و كنترل كلمات عبور
  • مديريت Patch ها

 

آموزش كاربران عادي

  • استفاده از اينترنت
  • امن كردن سيستم
  • درك لزوم تهيه نسخه پشتيبان
  • آموزش كار با آنتي ويروس
  • آموزش نحوه مانيتور شدن
  • آموزش درخواست نسخه هاي پشتيبان
  • درك حداقل امنيت و توانايي بررسي آن
  • آشنايي با مشكلات IE و MS-Outlook
  • خطرات دانلود نامعتبر
  • خطرات عدم محافظت از پسورد
  • Lock كردن سيستم و اطلاعات
  • مفاهيم Shsre
  • مفاهيم DFS

 

امنيت منطقي

  • استفاده از تعاريف و انتساب IP مناسب
  • استفاده از ساختار Vlan مناسب و كارا
  • استفاده از ساختار LOOP در ساختار فيزيكي و كنترل آن در ساختار منطقي

حوزه نظارت

  • فرم مشكلات اجرايي موجود
  • ارزيابي چك ليستي فعاليت هاي اجرايي تمام شده
  • فرم پيشرفت پروژه
  • چك ليست ارزيابي پيمانكار
  • چك ليست نظارت بر فر اورده ها
  • چك ليست اعلام نظر
  • فرم حل اختلاف
  • فرم اعلام نظر
  • فرم ارتباط با پيمانكار
  • فرم خدمات IT
  • فرم توافقنامه
  • فرم خريد
  • فرم تعمير