راه اندازی بخش امنیت

**koorosh** · 2006-07-21, 08:47 PM

راه اندازی بخش امنیت اطلاعات و سیستم های اطلاعاتی

پس از گذشت مدتی نسبتا زیاد از زمانی که تصمیم گرفتیم این قسمت را راه اندازی کنیم، بالاخره این اتفاق خوب رخ داد و این بخش هم به صورت جداگانه از دیگر قسمت های انجمن، راه اندازی شد.

لازم می دانم در ابتدای شروع به کار این بخش، توضیحاتی را بیان کنم.

هر جا که اطلاعات هست، موضوع امنیت یکی از بخش های جداناشدنی آن است.

برخی فکر می کنند اگر یک Firewall قوی در شبکه شان داشته باشند، امنیت شان تامین می شود؛ ولی امنیت اطلاعات و سیستم های اطلاعاتی مقوله ای بسیار فراتر از نگاه صرف به ابزارها و روش های اجرایی است.

امنیت مقوله ای چند لایه ای و چند سطحی است.

برای دست یابی به امنیت، باید ساختار امنیت خود را تدوین کنیم. این که بدانیم چرا و چگونه و در چه زمان در برابر چه عواملی از چه اطلاعاتی حفاظت می کنیم و در صورت بروز رخدادهایی که امنیت را تهدید می کنند، با چه هدفی چه اقداماتی را چگونه انجام می دهیم.

اهداف ما از تدوین ساختار امنیت شامل سیاست های امنیتی، استانداردها، حداقل ها، راهنماها، و رویه های اجرایی دستیابی به مثلت محرمانه گی، صحت (درستی و یکپارچگی) و در دسترس بودن (Confidentiality, Integrity, Availability) است که به نام اختصاری CIA شناخته می شود. (توضیح واضحات: این CIA با آن CIA به معنی Central Intelligence Agency یا همان سازمان مرکزی اطلاعات ایالات متحده فرق می کند!)

http://en.wikipedia.org/wiki/CIA_triad
http://privacy.med.miami.edu/glossar...ailability.htm

هدف ما در این انجمن این است که در مورد امنیت اطلاعات و سیستم های اطلاعاتی و ساختارهای امنیت به بحث و تبادل نظر بپردازیم.

خط حرکتی و موارد مورد توجه ما در کلیه مباحث، استاندارد های جهانی امنیت ISO 27001 و ISO 17799، استاندارد های ارائه شده توسط موسسه استاندارد و تحقیقات صنعتی ایران، افتا (شورای عالی امنیت فضای تبادل اطلاعات کشور)، انستیتو ملی استاندارد و تکنولوژی ایالات متحده (NIST)، انستیتو ملی استاندارد امریکا و دستور العمل ها و راهنماهایی نظیر مباحث مطرح شده در CISSP و ISSEP خواهد بود.

از بالا که به پایین حرکت کنیم، به ترتیب
سیاست های امنیتی
استاندارد ها
حداقل ها
راهنما ها
روش های اجرایی
مواردی هستند که پیش روی ما قرار دارند.

همان طور که برای ساختن یک ساختمان، ابتدا تصمیم می گیرند و سپس نقشه اش را طراحی می کنند و گام به گام پیش می روند تا به مرحله اجرا برسند و جناب معمار آجر روی آجر بچیند تا در نهایت ساختمانی بی عیب و نقص تحویل دهد و این گونه نیست که معمار آجر چینی را شروع کند و پس از آن طراح و نقشه کش نقشه ساختمان را طراحی کنند، ما هم در بحث امنیت باید ترتیب را در نظر داشته باشیم و بدون تعیین هدف و سیاست های امنیتی و استاندارد ها، دست به کار انجام عملیات اجرایی نشویم.

اگر با نگرشی ساخت یافته به مقوله امنیت بنگریم، می توانیم فعالیت هایمان را هدف مند سازیم و در راستای هدفمان گام برداریم تا در نتیجه سطح امنیت را به اندازه ای بالا ببریم که به اهدافمان (CIA) نزدیک شویم.

این توضیحات اصلا به این معنی نیست که نمی خواهیم به بررسی ابزار ها و روش های اجرایی بپردازیم، بلکه یادآوری این نکته بود که در ساختار امنیت، روش های اجرایی در پایین ترین رده قرار دارند.
لازم می دانم با صراحت بیشتر بیان کنم که بالا و پایین بودن المان ها در ساختار امنیت، نشان دهنده میزان اهمیت آنها نیست، بلکه صرفا نشان دهنده ترتیب دست یابی به آنها است.
وقتی می گوییم روش های اجرایی در پایین ترین رده قرار دارند به این معنی نیست که اهمیتشان از سیاست های امنیتی و استاندارد ها پایین تر است. بلکه به این معنی است که دستیابی به آنها مستلزم تعیین سیاست ها و استاندارد هاست.

در پایان این توضیح باید به این نکته اشاره کنم که متاسفانه دیده می شود که هرجا بحث از امنیت به میان می آید، ذهن ها به سمت هک و هکر ها کشیده می شود و باز هم متاسفانه برخی به یاد ابزارهای نفوذ و رخنه می افتند. موضوعی که پر واضح است این است که در این انجمن نه تنها به این گونه موارد پرداخته نخواهد شد، بلکه به شدت جلوی این گونه بحث ها گرفته خواهد شد.
البته حتما تفاوت بین ابزارهای بچه گانه ای که برای نفوذ مورد استفاده قرار می گیرند و ابزارهای آزمون درک خواهد شد.

با امید انجام فعالیت های مفید و سازنده در جهت بالا بردن سطح دانش در باره امنیت اطلاعات و سیستم های اطلاعاتی

**koorosh** · 2006-07-21, 09:00 PM

برای ابراز نظرات خود در مورد این بخش تازه تاسیس می توانید از این قسمت استفاده کنید.
http://forum.persiannetworks.com/sho...d.php?p=131185

2006-07-21, 08:47 PM	#1 (permalink)
koorosh (Mohammad Hakimi) Administrator Join Date: Dec 2002 Location: Iran - Tehran نوشته ها: 4,267 Thanks: 79 Thanked 396 Times in 185 Posts Groans: 8 Groaned at 12 Times in 6 Posts	راه اندازی بخش امنیت راه اندازی بخش امنیت اطلاعات و سیستم های اطلاعاتی پس از گذشت مدتی نسبتا زیاد از زمانی که تصمیم گرفتیم این قسمت را راه اندازی کنیم، بالاخره این اتفاق خوب رخ داد و این بخش هم به صورت جداگانه از دیگر قسمت های انجمن، راه اندازی شد. لازم می دانم در ابتدای شروع به کار این بخش، توضیحاتی را بیان کنم. هر جا که اطلاعات هست، موضوع امنیت یکی از بخش های جداناشدنی آن است. برخی فکر می کنند اگر یک Firewall قوی در شبکه شان داشته باشند، امنیت شان تامین می شود؛ ولی امنیت اطلاعات و سیستم های اطلاعاتی مقوله ای بسیار فراتر از نگاه صرف به ابزارها و روش های اجرایی است. امنیت مقوله ای چند لایه ای و چند سطحی است. برای دست یابی به امنیت، باید ساختار امنیت خود را تدوین کنیم. این که بدانیم چرا و چگونه و در چه زمان در برابر چه عواملی از چه اطلاعاتی حفاظت می کنیم و در صورت بروز رخدادهایی که امنیت را تهدید می کنند، با چه هدفی چه اقداماتی را چگونه انجام می دهیم. اهداف ما از تدوین ساختار امنیت شامل سیاست های امنیتی، استانداردها، حداقل ها، راهنماها، و رویه های اجرایی دستیابی به مثلت محرمانه گی، صحت (درستی و یکپارچگی) و در دسترس بودن (Confidentiality, Integrity, Availability) است که به نام اختصاری CIA شناخته می شود. (توضیح واضحات: این CIA با آن CIA به معنی Central Intelligence Agency یا همان سازمان مرکزی اطلاعات ایالات متحده فرق می کند!) http://en.wikipedia.org/wiki/CIA_triad http://privacy.med.miami.edu/glossar...ailability.htm هدف ما در این انجمن این است که در مورد امنیت اطلاعات و سیستم های اطلاعاتی و ساختارهای امنیت به بحث و تبادل نظر بپردازیم. خط حرکتی و موارد مورد توجه ما در کلیه مباحث، استاندارد های جهانی امنیت ISO 27001 و ISO 17799، استاندارد های ارائه شده توسط موسسه استاندارد و تحقیقات صنعتی ایران، افتا (شورای عالی امنیت فضای تبادل اطلاعات کشور)، انستیتو ملی استاندارد و تکنولوژی ایالات متحده (NIST)، انستیتو ملی استاندارد امریکا و دستور العمل ها و راهنماهایی نظیر مباحث مطرح شده در CISSP و ISSEP خواهد بود. از بالا که به پایین حرکت کنیم، به ترتیب سیاست های امنیتی استاندارد ها حداقل ها راهنما ها روش های اجرایی مواردی هستند که پیش روی ما قرار دارند. همان طور که برای ساختن یک ساختمان، ابتدا تصمیم می گیرند و سپس نقشه اش را طراحی می کنند و گام به گام پیش می روند تا به مرحله اجرا برسند و جناب معمار آجر روی آجر بچیند تا در نهایت ساختمانی بی عیب و نقص تحویل دهد و این گونه نیست که معمار آجر چینی را شروع کند و پس از آن طراح و نقشه کش نقشه ساختمان را طراحی کنند، ما هم در بحث امنیت باید ترتیب را در نظر داشته باشیم و بدون تعیین هدف و سیاست های امنیتی و استاندارد ها، دست به کار انجام عملیات اجرایی نشویم. اگر با نگرشی ساخت یافته به مقوله امنیت بنگریم، می توانیم فعالیت هایمان را هدف مند سازیم و در راستای هدفمان گام برداریم تا در نتیجه سطح امنیت را به اندازه ای بالا ببریم که به اهدافمان (CIA) نزدیک شویم. این توضیحات اصلا به این معنی نیست که نمی خواهیم به بررسی ابزار ها و روش های اجرایی بپردازیم، بلکه یادآوری این نکته بود که در ساختار امنیت، روش های اجرایی در پایین ترین رده قرار دارند. لازم می دانم با صراحت بیشتر بیان کنم که بالا و پایین بودن المان ها در ساختار امنیت، نشان دهنده میزان اهمیت آنها نیست، بلکه صرفا نشان دهنده ترتیب دست یابی به آنها است. وقتی می گوییم روش های اجرایی در پایین ترین رده قرار دارند به این معنی نیست که اهمیتشان از سیاست های امنیتی و استاندارد ها پایین تر است. بلکه به این معنی است که دستیابی به آنها مستلزم تعیین سیاست ها و استاندارد هاست. در پایان این توضیح باید به این نکته اشاره کنم که متاسفانه دیده می شود که هرجا بحث از امنیت به میان می آید، ذهن ها به سمت هک و هکر ها کشیده می شود و باز هم متاسفانه برخی به یاد ابزارهای نفوذ و رخنه می افتند. موضوعی که پر واضح است این است که در این انجمن نه تنها به این گونه موارد پرداخته نخواهد شد، بلکه به شدت جلوی این گونه بحث ها گرفته خواهد شد. البته حتما تفاوت بین ابزارهای بچه گانه ای که برای نفوذ مورد استفاده قرار می گیرند و ابزارهای آزمون درک خواهد شد. با امید انجام فعالیت های مفید و سازنده در جهت بالا بردن سطح دانش در باره امنیت اطلاعات و سیستم های اطلاعاتی __________________ محمد حکیمی mh [a t] mhme.net

2006-07-21, 09:00 PM	#2 (permalink)
koorosh (Mohammad Hakimi) Administrator Join Date: Dec 2002 Location: Iran - Tehran نوشته ها: 4,267 Thanks: 79 Thanked 396 Times in 185 Posts Groans: 8 Groaned at 12 Times in 6 Posts	برای ابراز نظرات خود در مورد این بخش تازه تاسیس می توانید از این قسمت استفاده کنید. http://forum.persiannetworks.com/sho...d.php?p=131185 __________________ محمد حکیمی mh [a t] mhme.net

امکانات بيشتر	جستجو در اين بحث
Show Printable Version Email this Page	جستجو در اين بحث: جستجوی پیشرفته
نحوه نمايش	Rate This Thread
Linear Mode Switch to Hybrid Mode Switch to Threaded Mode	Rate This Thread:

LinkBacks (?) LinkBack to this Thread: http://forum.persiannetworks.com/f89/t12833.html
Posted By	For	Type	Date
باشگاه مهندسان ایران - نمايش مشخصات: russell	This thread	Refback	2008-08-28 08:03 PM

مطالب مشابه
مطلب	آغازگر	انجمن	پاسخ	آخرین نوشته
پیشنهاد راه اندازی بخش شبکه‌های ویندوز	nkm	بحث و تبادل نظر عمومی پیرامون مسائل انجمن -ا-	13	2007-11-11 09:54 PM
لیست مقالات مربوط به سیستم‌عامل لینوکس و جنبش نرم‌افزارهای آزاد	milad22	بحث و تبادل نظر پيرامون مقالات -ا-	5	2006-11-03 09:41 PM
راه اندازی فورم امنیت	netspc	مباحث عمومی -\|-	2	2006-01-28 12:29 PM
كامل ترين مرجع خطاهاي مودم	sinaeslami	مقالات عمومی شبکه -ا-	0	2005-08-09 02:27 AM
وین گیت از نصب تا راه اندازی	M-r-r	Proxy / Cache / Firewall -ا-	0	2005-05-31 08:35 PM