08-01-2016، 17:28
شبکه های کامپیوتری و امنیت شبکه در مراکز داده
در چندين سال اخير و با گسترش شبکههای ارتباطي، تقريبا سازمان و موسسه اي نيست كه اقدام به راه اندازي شبکه های داخلی و خارجی و بهرهگیری از امکانات آن نكرده باشد. در اين ميان هر سازماني با توجه به شرايط، نیازمندی ها و سياستهای متفاوت خود در پي طراحی و پیادهسازی شبکهای اختصاصی است كه بتواند پاسخگوی نیازهای آن باشد.
گام نخست در طراحی شبکه، تعریف دقیق و درست نیازهاي سازمان و مجموعه انتظارات آن از يك شبكه كامپيوتري است. در این مرحله مي باید اطلاعات کافی در مورد مقدار ترافیک شبکه، نوع ترافیک (دیتا، ویدئو و ...) و منابع و مقاصد ترافیک جمعآوری گردد. با استفاده از این اطلاعات میتوان ظرفیت های مورد نیاز را شناسایی نمود.
نیازمندی های استخراج شده به عنوان مبناي گام بعدی یعنی مرحله طراحی مورد استفاده قرار میگیرند. در این مرحله از طراحی شبکه، تکنیکها و الگوریتمهای متفاوتی برای تولید توپولوژی شبکه استفاده میگردد. این مرحله خود شامل بخش هاي مختلفی نظیر مشخص نمودن محل لینکها و نودها، مسیریابی ترافیک و دستهبندی تجهیزات میباشد.
در گام سوم، آنالیزهای متعددی برای مشخص نمودن هزینهها، مشخصات قابلیت اطمینان و تاخیرات قابل قبول انجام مي گيرد. این گام در طراحی شبکه با عنوان آنالیزهای عملکرد شناخته میشود. با اتمام این سه مرحله، اولین مرحله از طراحی شبکه به اتمام رسیده و در ادامه با دریافت اطلاعات دقيقتر، این مراحل تا طراحی نهایی مجددا تکرار میگردد.
امنیت شبکه های کامپیوتری Network Security
یکی دیگر از مفاهیم مهم و تاثیر گذار در امنیت سازمان، امنیت شبکه و سیستم های پردازشی است. امنیت شبکه یا Network Security به اين معنا است که طی آن یک شبکه در مقابل انواع مختلف تهدیدات داخلی و خارجی امن میشود. در همين رابطه ضروري است تا موارد زير با دقت كافي بررسي و پاسخ داده شود:
شناسایی دارایی های سازمان براساس درجه ی اهمیت و اولویت.
شناسایی بخشی که باید تحت محافظت قرار گیرد.
تصمیم گیری درباره مواردی که باید در مقابل آنها از بخش مورد نظر محافظت کرد.
تعیین سرویس ها و کاربران مربوط به هر سرویس.
تصمیم گیری درباره چگونگی تهدیدات.
طراحی ساختار سرویس بر اساس مناطق سرویس دهی در Zone based FW
پیاده سازی امکاناتی که بتوانند از داراییهای شما به شیوهای محافظت کنند که از نظر هزینه به صرفه باشد.
مرور مجدد و مداوم پردازه و تقویت آن درصورت یاقتن نقطه ضعف
پس از بررسیهای لازم باید سیاست امنیتی شبکه را به گونهای تعریف کرد که احتمال خطرات و میزان خسارت را به حداقل برساند. از ويژگي هاي يك سیاست امنیتی قابل اطمينان اين است كه بايد عمومی، کلی و جامع باشد و به جزئیات نپردازد. جزئیات می توانند در كوتاه مدت تغییر پیدا کنند اما اصول کلی امنیت یک شبکه که سیاستهای آن را تشکیل می دهند ثابت باقی میمانند.
سیاست های امنیتی را می توان به طور کلی به دو دسته تقسیم کرد:
مجاز (Permissive) : هر آنچه به طور مشخص ممنوع نشده است، مجاز است.
محدود کننده (Restrictive) : هر آنچه بطور مشخص مجاز نشده است، ممنوع است.
پس از تعریف سیاست امنیتی به پیاده سازی آن در قالب یک طرح امنیت شبکه می رسیم. المان های تشکیل دهنده یک طرح امنیت مناسب براي شبکه عبارتند از :
ویژگی های امنیتی هر دستگاه مانند کلمه عبور مدیریتی و یا بکارگیری SSH
فایروال ها
مجتمع کننده های VPN برای دسترسی از دور
تشخیص نفوذ (IDS)
جلوگیری از نفوذ (IPS)
سرورهای امنیتی AAA (Authentication, Authorization and Accounting) و سایر خدمات AAA برای شبکه
مدیریت رویداد ها (Event Management, Correlation)
آنالیز Log ها و Syslog
مکانیزم های کنترل دسترسی و محدود کننده ی دسترسی برای دستگاه های مختلف شبکه
در نهايت آنچه كه يكي از مهمترين بخش هاي اين مقوله را تشكيل مي دهد، موضوع انتخاب شركتي توانمند، امين و با تجربه است. با اتكاء به واحد شبکه و امنیت خود كه برخوردار از متخصصین مجرب در امر ایجاد امنیت شبکه است و همچنين توان دستيابي به آخرين فناوري هاي روز دنيا در اين حوزه و همچنين رعایت پروتكل هاي امنيتي معتبر و همچنين استانداردهای امنیت اطلاعات سری ISO2700، ارائه کننده بهترین راه حل های امنیت شبکه به مُشتریان خويش میباشد.
مرکز عملیات امنیت و مدیریت اطلاعات امنیتی SOC, SIEM .با توجه به رشد روز افزون نقش فناوری اطلاعات در زندگی روزمره، حجم عظیمی از اطلاعات به صورت شخصي و سازماني هر روزه تولید می گردد. از سوي ديگر »دیدن لینک ها برای شما امکان پذیر نیست. لطفا ثبت نام کنید یا وارد حساب خود شوید تا بتوانید لینک ها را ببینید.
منابع و در طرف مقابل با وجود مهاجمين ، خرابكاران و سارقان اينترنتي فضاي مجازي با مخاطرات مختلفي مواجه است به نحوي كه در حال حاضر، مهمترین چالش مدیران امنیت مراکز داده و سرویس دهندگان IT مواجهه و مقابله موثر با حملات مخربی است که با هدف دستبرد به اطلاعات و یا از کار انداختن سرویس دهی این مراکز انجام می شود. بنابر اين براي مقابله با اين تهديدات، روش های متعدد و طیف وسیعی از تجهیزات به کار گرفته می شوند تا سطح ایمنی این مراکز و حوزه هاي اطلاعاتي را افزایش دهند. ليكن عليرغم تمام تمهيدات به عمل آمده باز اين سئوالات مطرح هستند كه:
آیا در عمل مقابله با حملات بصورت موثر انجام می گیرد ؟
آیا در فضاي IT می توان مرزی بین قابل اعتماد و غیر قابل اعتماد ایجاد نمود ؟
آیا می توان قبل از بروز حملات آنها را شناسایی و بی اثر نمود ؟
آیا می توان به صورت هوشمند امنیت مجموعه را افزایش داده و با حملات ناشناخته مقابله نمود ؟
در پاسخ بايد گفت كه تقريبا خیر. اما به راستی مشکل کجا است و چه می تواند باشد.
تجهیزات و روش های امنیتی به صورت جزیره ای و مستقل از هم عمل می کنند و رابطه ای بین آنها وجود ندارد !
حجم عظیم گزارش هاي امنیتی ایجاد شده توسط تجهیزات غیر قابل بررسی هستند !
بسیاری از وقایع نمایانگر شروع حمله هستند ولی به علت تعدد گزارش ها نادیده گرفته می شوند !
بررسی دستی گزارش ها به دلیل حجم زیاد غیر ممکن است !
گزارش ها در پاره ای موارد به غلط ایجاد شده و ناشی از خطاي تجهیزات می باشند
گزارش ها از تجهیزات متفاوت و با فرمت های متفاوت تولید شده و یکسان نیستند
ایجاد رابطه بین رویداد ها به صورت دستی و توسط کاربر انسانی امکان پذیر نمی باشد
همانطور كه ملاحظه مي كنيد، تمام سئوالات به عدم وجود راهکاری جامع و هوشمند اشاره دارد که آن مدیریت اطلاعات و رویداد های امنیتی به صورت متمرکز و هوشمند یا Security Information and Event Management (SIEM) است سيستمي خاص که ویژگی های ذیل را دارد:
جمع آوری اطلاعات امنیتی و گزارش رویداد ها از طیف وسیع تجهیزات امنیتی.
تشخیص و ایجاد رابطه منطقی بین رویدادهای متعدد در نقاط متفاوت شبکه.
آنالیز و اولویت دهی به اتفاقات و رویداد های مربوط به نقاط حساس و کلیدی.
تمرکز بر روی فعالیت های مشکوک و مخرب و تهدیدات جدید.
ایجاد بستر هوشمند و بهینه به منظور شناسایی مخاطرات و کاهش ضریب بروز حملات و خسارات ناشی از آن.
شناسایی نقاط حساس و آسیب پذیر به همراه ارائه راه حل های ترمیم و مقاوم سازی.
قابلیت پیاده سازی راه حل و گسترش بدون ایجاد اختلال در ساختار همبندی تجهیزات شبکه و سرویس دهی.
"اندیشه نگار پارس" با ارائه سيستم امنيت جامع فوق که به مدیریت اطلاعات و رویداد های امنیتی به صورت متمرکز و هوشمند اشاره دارد، امنیت اطلاعات سازمان را در بالاترین ضريب ممكن برقرار می سازد.
اين شرکت با در اختیار داشتن مجموعه اي خبره از کارشناسان شبکه و امنیت با مدارک بینالمللی از کمپانی هاي Cisco و همچنين Juniper در كنار تجربیات ارزشمند در زمینه شبکههای کامپیوتری، آمادگی ارائه خدمات مشاوره، طراحی، پیاده سازی، برقراری امنیت شبکه کامپیوتریNetworking(ISP, WAN, LAN,…) و Enterprise Solution و برگزاري دوره هاي آموزشي لازم را به مشتریان خويش دارا می باشد. راهکار طراحی و پیاده سازی شبکه های کامپیوتری، امنیت آن و متعاقباً امنیت کامل محتوای مراکز داده، در برگیرنده ی تجهیزات پیشرفته شبکه و امنیت می باشد که همگی از سوی شرکت اندیشه نگار پارس تهیه، تامین، نصب و پیکر بندی می شوند.
در چندين سال اخير و با گسترش شبکههای ارتباطي، تقريبا سازمان و موسسه اي نيست كه اقدام به راه اندازي شبکه های داخلی و خارجی و بهرهگیری از امکانات آن نكرده باشد. در اين ميان هر سازماني با توجه به شرايط، نیازمندی ها و سياستهای متفاوت خود در پي طراحی و پیادهسازی شبکهای اختصاصی است كه بتواند پاسخگوی نیازهای آن باشد.
گام نخست در طراحی شبکه، تعریف دقیق و درست نیازهاي سازمان و مجموعه انتظارات آن از يك شبكه كامپيوتري است. در این مرحله مي باید اطلاعات کافی در مورد مقدار ترافیک شبکه، نوع ترافیک (دیتا، ویدئو و ...) و منابع و مقاصد ترافیک جمعآوری گردد. با استفاده از این اطلاعات میتوان ظرفیت های مورد نیاز را شناسایی نمود.
نیازمندی های استخراج شده به عنوان مبناي گام بعدی یعنی مرحله طراحی مورد استفاده قرار میگیرند. در این مرحله از طراحی شبکه، تکنیکها و الگوریتمهای متفاوتی برای تولید توپولوژی شبکه استفاده میگردد. این مرحله خود شامل بخش هاي مختلفی نظیر مشخص نمودن محل لینکها و نودها، مسیریابی ترافیک و دستهبندی تجهیزات میباشد.
در گام سوم، آنالیزهای متعددی برای مشخص نمودن هزینهها، مشخصات قابلیت اطمینان و تاخیرات قابل قبول انجام مي گيرد. این گام در طراحی شبکه با عنوان آنالیزهای عملکرد شناخته میشود. با اتمام این سه مرحله، اولین مرحله از طراحی شبکه به اتمام رسیده و در ادامه با دریافت اطلاعات دقيقتر، این مراحل تا طراحی نهایی مجددا تکرار میگردد.
امنیت شبکه های کامپیوتری Network Security
یکی دیگر از مفاهیم مهم و تاثیر گذار در امنیت سازمان، امنیت شبکه و سیستم های پردازشی است. امنیت شبکه یا Network Security به اين معنا است که طی آن یک شبکه در مقابل انواع مختلف تهدیدات داخلی و خارجی امن میشود. در همين رابطه ضروري است تا موارد زير با دقت كافي بررسي و پاسخ داده شود:
شناسایی دارایی های سازمان براساس درجه ی اهمیت و اولویت.
شناسایی بخشی که باید تحت محافظت قرار گیرد.
تصمیم گیری درباره مواردی که باید در مقابل آنها از بخش مورد نظر محافظت کرد.
تعیین سرویس ها و کاربران مربوط به هر سرویس.
تصمیم گیری درباره چگونگی تهدیدات.
طراحی ساختار سرویس بر اساس مناطق سرویس دهی در Zone based FW
پیاده سازی امکاناتی که بتوانند از داراییهای شما به شیوهای محافظت کنند که از نظر هزینه به صرفه باشد.
مرور مجدد و مداوم پردازه و تقویت آن درصورت یاقتن نقطه ضعف
پس از بررسیهای لازم باید سیاست امنیتی شبکه را به گونهای تعریف کرد که احتمال خطرات و میزان خسارت را به حداقل برساند. از ويژگي هاي يك سیاست امنیتی قابل اطمينان اين است كه بايد عمومی، کلی و جامع باشد و به جزئیات نپردازد. جزئیات می توانند در كوتاه مدت تغییر پیدا کنند اما اصول کلی امنیت یک شبکه که سیاستهای آن را تشکیل می دهند ثابت باقی میمانند.
سیاست های امنیتی را می توان به طور کلی به دو دسته تقسیم کرد:
مجاز (Permissive) : هر آنچه به طور مشخص ممنوع نشده است، مجاز است.
محدود کننده (Restrictive) : هر آنچه بطور مشخص مجاز نشده است، ممنوع است.
پس از تعریف سیاست امنیتی به پیاده سازی آن در قالب یک طرح امنیت شبکه می رسیم. المان های تشکیل دهنده یک طرح امنیت مناسب براي شبکه عبارتند از :
ویژگی های امنیتی هر دستگاه مانند کلمه عبور مدیریتی و یا بکارگیری SSH
فایروال ها
مجتمع کننده های VPN برای دسترسی از دور
تشخیص نفوذ (IDS)
جلوگیری از نفوذ (IPS)
سرورهای امنیتی AAA (Authentication, Authorization and Accounting) و سایر خدمات AAA برای شبکه
مدیریت رویداد ها (Event Management, Correlation)
آنالیز Log ها و Syslog
مکانیزم های کنترل دسترسی و محدود کننده ی دسترسی برای دستگاه های مختلف شبکه
در نهايت آنچه كه يكي از مهمترين بخش هاي اين مقوله را تشكيل مي دهد، موضوع انتخاب شركتي توانمند، امين و با تجربه است. با اتكاء به واحد شبکه و امنیت خود كه برخوردار از متخصصین مجرب در امر ایجاد امنیت شبکه است و همچنين توان دستيابي به آخرين فناوري هاي روز دنيا در اين حوزه و همچنين رعایت پروتكل هاي امنيتي معتبر و همچنين استانداردهای امنیت اطلاعات سری ISO2700، ارائه کننده بهترین راه حل های امنیت شبکه به مُشتریان خويش میباشد.
مرکز عملیات امنیت و مدیریت اطلاعات امنیتی SOC, SIEM .با توجه به رشد روز افزون نقش فناوری اطلاعات در زندگی روزمره، حجم عظیمی از اطلاعات به صورت شخصي و سازماني هر روزه تولید می گردد. از سوي ديگر »دیدن لینک ها برای شما امکان پذیر نیست. لطفا ثبت نام کنید یا وارد حساب خود شوید تا بتوانید لینک ها را ببینید.
منابع و در طرف مقابل با وجود مهاجمين ، خرابكاران و سارقان اينترنتي فضاي مجازي با مخاطرات مختلفي مواجه است به نحوي كه در حال حاضر، مهمترین چالش مدیران امنیت مراکز داده و سرویس دهندگان IT مواجهه و مقابله موثر با حملات مخربی است که با هدف دستبرد به اطلاعات و یا از کار انداختن سرویس دهی این مراکز انجام می شود. بنابر اين براي مقابله با اين تهديدات، روش های متعدد و طیف وسیعی از تجهیزات به کار گرفته می شوند تا سطح ایمنی این مراکز و حوزه هاي اطلاعاتي را افزایش دهند. ليكن عليرغم تمام تمهيدات به عمل آمده باز اين سئوالات مطرح هستند كه:
آیا در عمل مقابله با حملات بصورت موثر انجام می گیرد ؟
آیا در فضاي IT می توان مرزی بین قابل اعتماد و غیر قابل اعتماد ایجاد نمود ؟
آیا می توان قبل از بروز حملات آنها را شناسایی و بی اثر نمود ؟
آیا می توان به صورت هوشمند امنیت مجموعه را افزایش داده و با حملات ناشناخته مقابله نمود ؟
در پاسخ بايد گفت كه تقريبا خیر. اما به راستی مشکل کجا است و چه می تواند باشد.
تجهیزات و روش های امنیتی به صورت جزیره ای و مستقل از هم عمل می کنند و رابطه ای بین آنها وجود ندارد !
حجم عظیم گزارش هاي امنیتی ایجاد شده توسط تجهیزات غیر قابل بررسی هستند !
بسیاری از وقایع نمایانگر شروع حمله هستند ولی به علت تعدد گزارش ها نادیده گرفته می شوند !
بررسی دستی گزارش ها به دلیل حجم زیاد غیر ممکن است !
گزارش ها در پاره ای موارد به غلط ایجاد شده و ناشی از خطاي تجهیزات می باشند
گزارش ها از تجهیزات متفاوت و با فرمت های متفاوت تولید شده و یکسان نیستند
ایجاد رابطه بین رویداد ها به صورت دستی و توسط کاربر انسانی امکان پذیر نمی باشد
همانطور كه ملاحظه مي كنيد، تمام سئوالات به عدم وجود راهکاری جامع و هوشمند اشاره دارد که آن مدیریت اطلاعات و رویداد های امنیتی به صورت متمرکز و هوشمند یا Security Information and Event Management (SIEM) است سيستمي خاص که ویژگی های ذیل را دارد:
جمع آوری اطلاعات امنیتی و گزارش رویداد ها از طیف وسیع تجهیزات امنیتی.
تشخیص و ایجاد رابطه منطقی بین رویدادهای متعدد در نقاط متفاوت شبکه.
آنالیز و اولویت دهی به اتفاقات و رویداد های مربوط به نقاط حساس و کلیدی.
تمرکز بر روی فعالیت های مشکوک و مخرب و تهدیدات جدید.
ایجاد بستر هوشمند و بهینه به منظور شناسایی مخاطرات و کاهش ضریب بروز حملات و خسارات ناشی از آن.
شناسایی نقاط حساس و آسیب پذیر به همراه ارائه راه حل های ترمیم و مقاوم سازی.
قابلیت پیاده سازی راه حل و گسترش بدون ایجاد اختلال در ساختار همبندی تجهیزات شبکه و سرویس دهی.
"اندیشه نگار پارس" با ارائه سيستم امنيت جامع فوق که به مدیریت اطلاعات و رویداد های امنیتی به صورت متمرکز و هوشمند اشاره دارد، امنیت اطلاعات سازمان را در بالاترین ضريب ممكن برقرار می سازد.
اين شرکت با در اختیار داشتن مجموعه اي خبره از کارشناسان شبکه و امنیت با مدارک بینالمللی از کمپانی هاي Cisco و همچنين Juniper در كنار تجربیات ارزشمند در زمینه شبکههای کامپیوتری، آمادگی ارائه خدمات مشاوره، طراحی، پیاده سازی، برقراری امنیت شبکه کامپیوتریNetworking(ISP, WAN, LAN,…) و Enterprise Solution و برگزاري دوره هاي آموزشي لازم را به مشتریان خويش دارا می باشد. راهکار طراحی و پیاده سازی شبکه های کامپیوتری، امنیت آن و متعاقباً امنیت کامل محتوای مراکز داده، در برگیرنده ی تجهیزات پیشرفته شبکه و امنیت می باشد که همگی از سوی شرکت اندیشه نگار پارس تهیه، تامین، نصب و پیکر بندی می شوند.