طرح جامع

راهبـردهای ارتقـاء امنیـت و بهبـود

ساختـارفنـاوری اطلاعات سـازمان

 

تهیه شده در:

دپارتمان شبکه و امنیت زیرساخت

 

 

به نام خداوندی که به ما تعقل، تفکر و علم قلم آموخت.

 

 

امروزه پدافند غیرعامل برای ما مهم است. بخش‌هایی دارند انجام می‌دهند اما در عین حال، باز بایستی کار کرد، تلاش کرد.

مقام معظم رهبری حضرت آیت الله العظمی خامنه‌ای (دامت برکاته)

 

فصل اول- مقدمه

زیرساخت‌های هر کشور از بسترهای اصلی رشد و تعالی آن بشمار رفته و نقشی اساسی در حفظ و ارتقاء منافع ملی دارند. کوچکترین اختلال عمدی و غیرعمدی می تواند به ضررهای جبران ناپذیری منتهی گشته و آسایش، امنیت و اعتماد کاربران آن حیطه را مختل نماید. باید اذعان داشت که حفظ امنیت این بخش در برابر تهدیدات داخلی و خارجی از برنامه‌های اصلی هر سازمان و ارگان مربوطه می‌باشد.

تجربه‌ی سال‌های گذشته حاکی از این امر است که تهدیدهای دشمنان از حملات نظامی به سوی تخریب و اتک زیرساخت‌های سازمان‌ها از جمله بخش فناوری اطلاعات و ارتباطات معطوف شده است. که از آن جمله می توان به آلوده‌سازی نیروگاه‌های اتمی نظنز و بوشهر به ویروس استاکسنت  (Stuxnet)و از کار انداختن سیستم کنترل نیروگاه، حمله سایبری به وزارت نفت، حمله سایبری و اختلال در صدا و سیما و شهرداری و… اشاره کرد. این مشکلات از دید مسئولین و قانونگذاران کشور دور نمانده و همواره تأکید ویژه‌ای بر امن‌سازی فضای فناوری اطلاعات کشور داشته‌اند. سند راهبردی امنیت فضای تولید و تبادل اطلاعات (سند افتا) کشور و قوانین مصوب در قالب برنامه‌های پنج ساله توسعه، به منظور حمایت و گسترش خدمات امنیت فضای تولید و تبادل اطلاعات (افتا) در کشور نمونه بارز این امر است که به موضوع امن‌سازی زیرساخت‌های حیاتی کشور در مواجه با حملات سایبری در بخش فناوری اطلاعات پرداخته است.

خوشبختانه کشور عزیزمان ایران، نیروهای متخصص ارزنده‌ای در این حیطه پرورش داده که تخصصی هم‌پایه رقبای بین‌المللی خود (و گاهاً بیشتر) داشته و با بکارگیری بهینه از این ظرفیت ملی و سازماندهی این شرکت‌های توانمند می‌توان در زمینه ارائه خدمات افتا به سازمان‌های دولتی و خصوصی همت گماشته و سطح امنیت زیرساخت سایبری کشور را به بهترین وجه ارتقاء دهیم.

 

 

فصل دوم: معرفی طرح:

مرکز مدیریت راهبردی افتای جمهوری اسلامی ایران در طرح جامع امن‌سازی زیرساخت‌های حیاتی کشور چنین عنوان کرده است که: «زیرساختی حیاتی است که در صورت اختلال یا تخریب، مولفه‌های امنیت ملی را تحت تأثیر قرار داده و امنیت ملی کشور را به خطر می‌اندازد.» همچنین قرارگاه پدافند سایبری که از ارگان‌های وابسته به سازمان پدافند غیرعامل می‌باشد نیز در سند راهبردی خود، مرکزی را به عنوان زیرساخت حیاتی معرفی می‌کند که: «در صورت انهدام کامل یا قسمتی از آنها، موجب بروز بحران، آسیب و صدمات جدی و مخاطره‌آمیز در نظام سیاسی هدایت، کنترل و فرماندهی، تولیدی و اقتصاد، پشتیبانی، ارتباطی و مواصلاتی، اجتماعی و یا دفاعی با سطح تأثیرگذاری سراسری در کشور» خواهد شد.

با توجه به تعاریف ذکر شده، زیرساخت‌های مربوط به حوزه فناوری اطلاعات از زیرساخت‌های حیاتی کشور بوده و تدوین طرحی راهبردی برای جلوگیری از حملات سایبری و ایمن‌سازی آن در برابر هرگونه اختلال داخلی و خارجی از اولویت‌های نظام جمهوری اسلامی ایران می‌باشد و راز ماندگاری و بقای سازمان‌ها و دستیابی به اهداف و ماموریت‌های سازمانی در گروی سیاست‌گذاری‌های متناسب در حوزه اطلاعات و ارتباطات و اجرای آن سیاست‌ها در قالب یک برنامه‌ریزی جامع است. می‌توان اذعان کرد که طرح جامع راهبردهای ارتقاء امنیت و بهبود ساختار فناوری اطلاعات سازمان طرحی تأثیرگذار و از راهکارهای اصلی صیانت بخش‌های فناوری اطلاعات و به طبع آن پیشرفت تولیدی اقتصادی کشور خواهد بود.

در طرح پیش رو، باتوجه به لزوم چابکی، چارچوب به روز با رویکرد هوشمندسازی مد نظر است. در این طرح، عملیات تدوین طرح امن‌سازی و توسعه فناوری اطلاعات و ارتباطات به گونه‌ای انجام خواهد شد که با مفاهیم «معماری سازمانی» غنی شده باشد و متدولوژی مورد استفاده در این پروژه، متدولوژی «برنامه‌ریزی معماری سازمان» می‌باشد.

با توجه به نیازهای روز افزون سازمان به اطلاعات و استفاده از تکنولوژی‌های گوناگون ICT از یک طرف و لزوم برنامه‌ریزی و مدیریت صحیح بر این فعالیت‌ها و افزایش رقابت و بهره‌گیری مطلوب از فناوری‌های جدید اطلاعات و ارتباطات از طرف دیگر، ضرورت استفاده از روش‌های شناخته شده برنامه‌ریزی راهبردی بر اساس معماری فناوری اطلاعات و ارتباطات را آشکار می‌سازد. مورد تأیید است که این طرح بایستی در برگیرنده کلیه نیازهای ذینفعان سازمان باشد.

از جمله اهداف طرح جامع راهبردهای ارتقاء امنیت و بهبود ساختار فناوری اطلاعات سازمان می‌توان به موارد زیر اشاره نمود:

  • اطمینان از ایمنی زیرساخت فناوری اطلاعات و ارتباطات سازمان در برابر حملات سایبری
  • همسوسازی اهداف و راهبردهای فناوری اطلاعات و ارتباطات با اهداف و استراتژی‌های سازمان
  • اطمینان از کارائی و اثربخشی سرمایه‌گذاری‌ها و فعالیت‌های فناوری اطلاعات و ارتباطات سازمان
  • بهینه‌سازی سرمایه‌گذاری سازمان در حوزه فناوری اطلاعات و ارتباطات
  • برنامه‌ریزی بلند مدت برای بکارگیری هدفمند فاوا در سازمان
  • تعیین جایگاه و نقش فاوا در برنامه‌های کاری سازمان
  • استفاده موثر از منابع موجود بخش فاوا برای طرح‌های آینده
  • تدوین اهداف و راهبردهای فاوا با توجه به سطح بلوغ و آمادگی الکترونیک سازمان:
  • یکپارچه‌سازی، بهبود عملکرد و ارتقاء امنیت سیستم‌های اطلاعاتی
  • یکپارچه‌سازی، بهبود عملکرد و ارتقاء امنیت زیرساخت شبکه سازمان
  • یکپارچه‌سازی، بهبود عملکرد و ارتقاء امنیت مراکز داده سازمان

 

 

فصل سوم: روند اجرای طرح

از آنجائی که هدف از اجرای پروژه، ارائه یک نقشه راهبردی برای امن‌سازی و بهبود ساختار واحد فناوری اطلاعات و ارتباطات و نیز استقرار ساز و کاری جهت ارزیابی و سنجش میزان تحقق اهداف نقشه راه ارائه شده می‌باشد، اجرای پروژه در قالب 4 گام به شرح زیر خواهد بود:

3-1- گام اول: شناسائی چشم‌انداز، ماموریت، اهداف و اولویت‌های سازمان

در این گام بایستی به مطالعه قوانین و مقررات و الزامات حقوقی سازمان مربوطه و نیز برنامه‌های راهبردی آن شامل چشم‌انداز، رسالت، ماموریت، اهداف، اولویت‌ها و همچنین از سوی دیگر، زیرساخت‌های حقوقی سازمان، استانداردها، قوانین و مقررات، سیاست‌ها، اهداف و راهبردهای فناوری اطلاعات و ارتباطات پرداخته شود. هدف از این گام آشنائی با هویت حضوری سازمان و بررسی همسو بودن اهداف فناوری اطلاعات و ارتباطات با اهداف آن می‌باشد. به عبارت دیگر، در این گام بایستی بررسی شود که واحد فناوری اطلاعات و ارتباطات ارگان مربوطه تا چه حد در راستای حصول اهداف و استراتژی‌های سازمان پیش خواهد رفت. لذا در این گام، در قالب جلساتی مدون و راهبردی با مدیران ارشد سازمان، انتظارات و دغدغه های آنها از حوزه فناوری اطلاعات و ارتباطات و امنیت آن مشخص شده و این تضمین را برای آنها حاصل خواهد کرد که اهداف حوزه فناوری اطلاعات و ارتباطات با اهداف هویتی سازمان همسو بوده و این واحد به عنوان یک واحد پیشران و ایمن تمامی برنامه‌های خود را همسو با دغدغه‌ها و انتظارات مدیران ارشد سازمان پیش خواهد برد.

3-2- گام دوم: ارزیابی و شناسائی وضع موجود فناوری اطلاعات و ارتباطات

هدف از انجام این مرحله شناخت وضع موجود و ارزیابی سطح بلوغ فناوری اطلاعات و ارتباطات سازمان و بررسی سطح امنیتی آن می‌باشد. لذا در همین راستا، واحد فناوری اطلاعات و ارتباطات از ابعاد زیر بایستی مورد ارزیابی قرار گیرد:

3-2-1- ارزیابی سامانه‌های نرم‌افزاری

در این فعالیت، بایستی به ارزیابی و بررسی سامانه‌های نرم‌افزاری موجود واحد فناوری اطلاعات و ارتباطات پرداخته شود تا بر اساس شرایط موجود، چالش‌ها، ریسک‌های امنیتی و نقاط ضعف شناسائی شده، بتوان پیشنهادات بهبود در سامانه‌های نرم‌افزاری را در راستای اجرای پروژه بهبود و امن‌سازی ارائه نمود.

3-2-2- ارزیابی سرویس‌های زیرساختی، تجهیزات، شبکه و ارتباطات

در این فعالیت، سرویس‌های زیرساخت، تجهیزات و شبکه و ارتباطات بایستی مورد بررسی و ارزیابی قرار گیرد و در این ارزیابی، قابلیت‌ها، نقاط ضعف و نقاط قوت هر یک از آنها مشخص خواهد شد تا در نهایت بتوان بهبودهای مورد نیاز را به جهت رفع و ایمن‌سازی شناسائی نموده و در راستای اجرای پروژه‌های بهبود گام برداشت.

3-2-3- ارزیابی وضعیت فرآیندها و خط مشی‌های موجود در تناسب با استانداردها و چارچوب‌های حوزه فناوری اطلاعات و ارتباطات

در این فعالیت بایستی عملکرد اصلی واحد فناوری اطلاعات و ارتباطات در قالب فرآیندهای فناوری اطلاعات و ارتباطات و میزان همسویی آن با استانداردها و چارچوب‌های این حوزه، مورد ارزیابی و سنجش قرار گیرد. که این ارزیابی، از طریق برگزاری جلسات مصاحبه با متخصص و افراد صاحب نظر در هر حوزه و تکمیل پرسشنامه ویژه‌ای که برای هر یک از حوزه‌های فرآیندی همسو با چارچوب‌ها و استانداردهای مورد هدف در هر حوزه طراحی شده است، انجام خواهد شد و نتایج حاصل از آن مورد تحلیل و بررسی قرار خواهد گرفت. در نهایت متناسب با یافته‌های حاصل، وضع موجود و سطح بلوغ فرآیندها شناسائی خواهد شد.

3-2-4- ارزیابی ساختار، توانمندی و فرهنگ سازمانی فناوری اطلاعات و ارتباطات

این عنصر از سیستم مدیریت فناوری اطلاعات و ارتباطات به نوبه خود مشخص کننده منابع انسانی مورد نیاز و مهارتهای آنها جهت دستیابی به اهداف مدیریتی فناوری اطلاعات و ارتباطات سازمان در حوزه نقشه راه تعریف شده می‌باشد. لذا در این فعالیت، ساختار سازمانی، قابلیت‌ها و توانمندی‌های افراد، میزان مهارت افراد درگیر در پست‌های سازمانی و همچنین فرهنگ جاری سازمان مورد بررسی و ارزیابی قرار خواهد گرفت تا بتوان بر اساس نتایج بدست آمده، بهبود وضع موجود را ترسیم نمود. در نهایت، خروجی حاصل از اجرای سه گام اول به شرح زیر می‌باشد:

  • فهرستی از چالش‌ها، ریسک‌های موجود، نیازمندی‌ها و الزامات واحد فناوری اطلاعات و ارتباطات
  • سند جامع وضع موجود شناسائی شده در حوزه فرآیندها، استانداردها و چارچوب‌های فناوری اطلاعات و ارتباطات
  • فهرست و شناسائی سامانه‌های نرم‌افزاری، سرویس‌های زیرساختی، تجهیزات، شبکه و ارتباطات
  • وضع موجود قابلیت‌ها و توانمندی‌های نیروی انسانی

3-3- گام سوم: تعیین وضع مطلوب همسو با اولویت‌ها و نیازهای سازمان

در این گام و بر اساس وضع موجود شناسائی شده و همچنین نیازمندی‌ها و اولویت‌های سازمان، بایستی وضع مطلوب حوزه‌های ارزیابی شده، ترسیم گردد. سپس تحلیل شکاف میان وضع موجود و وضع مطلوب صورت پذیرد. بلوغ مورد انتظار با توجه به منابع، توانمندی‌های فناوری اطلاعات و ارتباطات و اولویت‌های سازمان در قالب جلسات مشترک برای هر یک از موارد فوق با تیم کارفرما مشخص شده و بر اساس بلوغ شناسائی شده اقدامات مورد انتظار برای حصول آن سطح ترسیم می‌گردد. میزان بلوغ مورد انتظار همسو با اولویت‌های اهداف فناوری اطلاعات و ارتباطات و در راستای تحقق اهداف سازمان تبیین خواهد شد.

فعالیتهای اجرائی در این گام عبارتند از:

  • وضعیت مطلوب و مورد انتظار واحد فناوری اطلاعات و ارتباطات
  • ماتریس ارتباطی اهداف سازمان با اهداف واحد فناوری اطلاعات و ارتباطات
  • ارائه سند جامع تحلیل شکاف میان وضع موجود و وضع مطلوب شامل:
  • سطح بلوغ مورد انتظار در حوزه‌های ارزیابی شده واحد فناوری اطلاعات و ارتباطات
  • نقاط ضعف و قوت هر یک از حوزه‌های ارزیابی شده
  • گام‌های اجرایی در راستای حصول سطح بلوغ تبیین شده
  • گام‌های اجرایی در راستای پاسخ به نقاط خطرزا، ضعف‌ها و بهبود آنها
  • فهرست اولویت‌بندی اهداف واحد فناوری اطلاعات و ارتباطات و فرآیندهای مربوطه

3-4- گام چهارم: تدوين طرح‌هاي مورد نياز براي دستيابي به وضع مطلوب

در این گام که یکی از کلیدی‌ترین مراحل پروژه می‌باشد بایستی با توجه به اطلاعات گردآوری شده در گام‌های پیشین، برنامه جامع و نقشه راه کلان به جهت ایمن‌سازی و بهبود ساختار واحد فناوری اطلاعات و ارتباطات سازمان و نیز طرح‌های مورد نیاز برای دستیابی به وضع مطلوب، تدوین گردد. فعالیت‌های اجرایی در این گام عبارتند از:

3-4-1- شناسايي پروژه‌هاي بهبود و ترسيم نقشه راه

پس از مشخص شدن اولویت‌های اهداف واحد فناوری اطلاعات و ارتباطات و نیز چالش‌ها، نیازها و الزامات فناوری اطلاعات و ارتباطات و ذینفعان و نیز با توجه به سطح بلوغ هر یک از حوزه‌های ارزیابی شده، فهرست پروژه‌های بهبود مشخص شده و نقشه راه جامعی پیرامون تقدم و تأخر پروژه‌های بهبود در فازهای اجرایی مختلف ارائه می‌شود. در این گام نقشه کلان راهبردی واحد فناوری اطلاعات و ارتباطات  شامل فهرست پروژه‌های ایمن‌سازی، بهبود، اقدامات اجرائی پیرامون هر یک از پروژه‌های تدوین شده، تقدم و تأخر هر پروژه با توجه به نیازمندی‌ها و بلوغ سازمانی، منافع حاصل از اجرای هر پروژه برای سازمان و واحد فناوری اطلاعات و ارتباطات، نمایش همسوئی پروژه‌ها با اهداف سازمان و اهداف واحد فناوری اطلاعات و ارتباطات ارائه خواهد شد:

  • شناسائی شاخص‌های کنترلی تعریف شده

در این فعالیت به تبیین شاخص‌های کنترلی پروژه‌های تعریف شده پرداخته شده و مشخص می‌گردد که در صورت موفقیت پروژه در سازمان چه اهدافی تحقق می‌یابد.

خروجی‌های این گام عبارتند از:

  • ترسیم نقاط بهبود و بیان اولویت‌های هر یک از آن‌ها با توجه به اهداف سازمان
  • فهرست پروژه‌های امن‌سازی و بهبود مورد نیاز برای واحد فناوری اطلاعات و ارتباطات
  • اولویت‌بندی پروژه‌های امن‌سازی و بهبود واحد فناوری اطلاعات و ارتباطات با توجه به اولویت‌بندی اهداف واحد فناوری اطلاعات و ارتباطات و هویت سازمان و تخصیص موقعیت آن در نقشه راه مدیریت فناوری اطلاعات و ارتباطات
  • تشریح منافع و ارزش‌های حاصل از اجرای هر یک از پروژه‌های بهبود در سازمان
  • تشریح ماتریس ارتباطی میان پروژه‌های امن‌سازی و بهبود با میزان تحقق اهداف سازمان و اهداف واحد فناوری اطلاعات و ارتباطات
  • برآورد منابع مورد نیاز اجرای پروژه‌های امن‌سازی و بهبود شامل زمان، هزینه و نیروی انسانی
  • شناسائی شاخص‌ها و اهداف کنترلی پروژه‌های تعریف شده.

متخصصان دپارتمان شبکه و دیتاسنتر شرکت هوشمند افزار نوین راهبرد در راستای امن‌سازی و بهبود ساختار فناوری اطلاعات سازمانی نقشه راهی جامع و کلی ارائه داده است که در بخش بعدی به توضیح تخصصی و فنی آن پرداخته خواهد شد. همانطور که پیشتر ذکر شد، هر سازمان با توجه به نیازمندی‌ها و سطح بلوغ واحد فناوری اطلاعات خود به یک استراتژی و برنامه‌ای مختص به خود احتیاج دارد؛ لذا نقشه راه پیشنهاد شده با توجه به شرایط هر سازمان قابل تعدیل می‌باشد.

 فصل چهارم: مشخصات فنی طرح

4-1- ساختار اجرایی طرح:

با توجه به پروژه‌های اجرا شده در زمینه امن‌سازی و مقاوم‌سازی سامانه‌ها، زیرساخت‌ها و سرویس‌های سازمان‌ها، پروپوزال فنی که در ادامه ارائه می‌گردد، توانایی پیاده‌سازی مفاهیم زیر را دارد:

  • پیاده‌سازی ساختار Anything, anywhere, any Device
  • پیاده‌سازی ساختار Infrastructure as a Service
  • پیاده‌سازی ساختار Network as a Service
  • پیاده‌سازی ساختار Desktop as a Service

 

4-2- گام‌های اجرای پروژه:

پس از تدوین جهت پاسخگوئی به نیازمندی‌های سازمان و دستیابی به اهداف پروژه، گام‌های زیر اجرا می‌شود:

گام اول: تجزیه و تحلیل زیرساخت مرکز داده سازمان

گام دوم: بهینه‌سازی و امن‌سازی زیرساخت مرکز داده سازمان

گام سوم: تجزیه و تحلیل زیرساخت شبکه سازمان

گام چهارم: بهینه‌سازی و امن‌سازی زیرساخت شبکه سازمان

گام پنجم: طراحی و پیاده‌سازی VDI اختصاصی متناسب با سطح کاربری کارکنان سازمان

گام ششم: طراحی و پیاده‌سازی ساختار مدیریت دسترسی به اینترنت مرکز داده و شبکه داخلی سازمان

گام هفتم: طراحی و پیاده‌سازی سیستم پشتیبان‌گیری

گام هشتم: طراحی و پیاده‌سازی مفهوم NSX-T

گام نهم: طراحی و پیاده‌سازی سایت Disaster Recovery

 

4-2-1- گام اول: تجزیه و تحلیل زیرساخت مرکز داده سازمان

در این گام وضعیت موجود تجهیزات فیزیکی مرکز داده از جمله سرورها، ذخیره‌سازها، سوئیچ‌ها و ماشین‌های مجازی بدقت آنالیز و بررسی می‌شوند، در این تجزیه و تحلیل، شکاف میان وضع موجود و وضع مطلوب مورد بررسی قرار گرفته و وضعیت مطلوب براساس بلوغ مورد انتظار با توجه به منابع، توانمندی‌های فناوری اطلاعات و ارتباطات و اولویت‌های سازمان ارزیابی و ترسیم می‌گردد.

اقدامات مورد انتظار برای این گام به شرح زیر می‌باشد:

  • مستندسازی تجهیزات مرکز داده اعم از سرورها، سوئیچ‌ها، ذخیره‌سازها شامل: نام دستگاه، نام برند، نسخه Firmware، لایسنس‌ها و انواع تجهیزات داخلی و …
  • مستندسازی منابع تخصیص یافته ماشین‌های مجازی اعم از vCPU, RAM, Storage و …
  • مستندسازی سرویس‌ها و نرم‌افزارهای سازمان اعم از پورت‌ها، ارتباطات مابین سرویس‌ها و …
  • مستندسازی عملکرد سرویس‌های VMware مانند HA, FT و DRS و …
  • مستندسازی نقاط آسیب‌پذیر ساختار مرکز داده در برابر حملات سایبری.

 

4-2-2- گام دوم: بهینه‌سازی و امن‌سازی زیرساخت مرکز داده سازمان

گام دوم بهینه‌سازی و امن‌سازی زیرساخت مرکز داده و رساندن آن به وضعیت مطلوب می‌باشد. با توجه به مستندات بدست آمده در گام اول، این احتمالات وجود دارد:

الف) حذف برخی از تجهیزات سخت‌افزاری مرکز داده بدلیل عدم امکان Update آن‌ها و عدم سازگاری با نسخه‌های به روز سرویس‌ها

ب) افزودن تجهیزات سخت‌افزاری جدید بمنظور ارتقاء کیفیت سرویس‌دهی و تامین امنیت ساختار مرکز داده.

ج) ارتقاء سخت‌افزاری تجهیزات مرکز داده.

اقدامات مورد انتظار برای این گام به شرح زیر می‌باشد:

  • بهینه‌سازی منابع سخت‌افزای ماشین‌های مجازی.
  • بروزرسانی نسخه Firmware تجهیزات سخت‌افزاری.
  • نصب وصله‌های امنیتی و ضروری Firmware تجهیزات سخت‌افزاری.
  • اعمال پیکربندی‌های امنیتی.
  • اعمال پیکربندی‌های بهبود عملکرد سرویس‌های مرکز داده.
  • مشاوره جهت تامین تجهیزات سخت‌افزاری مورد نیاز.
  • نصب و راه‌اندازی تجهیزات سخت‌افزاری جدید.

4-2-3- گام سوم: تجزیه و تحلیل زیرساخت شبکه سازمان

در این گام وضعیت موجود تمامی تجهیزات فیزیکی ساختار شبکه سازمان از جمله سوئیچ‌ها، روترها، آنتن‌های رادیوئی، لینک‌های ارتباطی بدقت آنالیز و بررسی می‌شوند، در این تجزیه و تحلیل، شکاف میان وضع موجود و وضع مطلوب مورد بررسی قرار گرفته و وضعیت مطلوب براساس بلوغ مورد انتظار با توجه به منابع، توانمندی‌های فناوری اطلاعات و ارتباطات و اولویت‌های سازمان ارزیابی و ترسیم می‌گردد.

اقدامات مورد انتظار برای این گام به شرح زیر می‌باشد:

  • مستندسازی تجهیزات زیرساخت شبکه اعم از سوئیچ‌ها، روترها، آنتن‌های رادیوئی، لینک‌های ارتباطی و غیره، شامل: نام دستگاه، نام برند، نسخه Firmware، لایسنس‌ها و کیفیت پهنای باند و …
  • مستندسازی پیکربندی‌های مسیریابی و سوئیچینگ
  • مستندسازی لینک‌های ارتباطی
  • مستندسازی نقاط آسیب‌پذیر ساختار شبکه سازمان در برابر حملات سایبری

4-2-4- گام چهارم: بهینه‌سازی و امن‌سازی زیرساخت شبکه سازمان

گام چهارم بهینه‌سازی و امن‌سازی زیرساخت شبکه سازمان و رساندن آن به وضعیت مطلوب می‌باشد. با توجه به مستندات بدست آمده در گام سوم، این احتمالات وجود دارد:

الف) حذف برخی از تجهیزات سخت‌افزاری ساختار شبکه سازمان بدلیل عدم امکان Update آن‌ها و عدم سازگاری با نسخه‌های به روز سرویس‌ها

ب) افزودن تجهیزات سخت‌افزاری جدید بمنظور ارتقاء کیفیت سرویس‌دهی، بهبود عملکرد و تامین امنیت ساختار شبکه سازمان.

ج) ارتقاء سخت‌افزاری تجهیزات شبکه.

اقدامات مورد انتظار برای این گام به شرح زیر می‌باشد:

  • بروزرسانی نسخه Firmware تجهیزات سخت افزاری
  • مشاوره در تهیه و تامین تجهیزات سخت‌افزاری مورد نیاز.
  • اعمال پیکربندی‌های امنیتی
  • اعمال پیکربندی‌ها جهت بهبود و بهینه‌سازی روتینگ و سوئیچینگ
  • نصب و راه‌اندازی تجهیزات سخت‌افزاری جدید.

4-2-5- گام پنجم: طراحی و پیاده‌سازی VDI اختصاصی متناسب با سطح کاربری کارکنان سازمان

عموماً، مجازی‌سازی دسکتاپ با دو هدف و کاربرد پیاده‌سازی می‌شود:

الف) پیاده‌سازی VDI برای واحد حراست سازمان: این امر با اهداف مهمی همچون: حفظ محرمانگی و ارتقاء امنیت داده‌های سازمان، نظارت بر فعالیت‌های سازمانی کارکنان، رصد فعالیت‌های مخرب و… اجرا می‌شود.

ب) پیاده‌سازی VDI برای واحد فناوری اطلاعات و ارتباطات سازمان: جهت ارتقاء امنیت مرکز داده لازم است مدیران و کارشناسان واحد فناوری اطلاعات و ارتباطات سازمان از سیستم‌عامل‌های ایمن و اختصاصی برای دسترسی به تجهیزات سخت‌افزاری مرکز داده و پیکربندی آن‌ها استفاده نمایند، چرا که حساب کاربری (Account) آن‌ها بدلیل داشتن بالاترین دسترسی‌ها به تجهیزات سخت‌افزاری، سرویس‌ها، نرم‌افزارها و داده‌های سازمان، جزو اهداف مهم هکرها و حملات سایبری می‌باشند. در نتیجه در صورت هک شدن یا لو رفتن این حساب‌های کاربری، خسارت‌های جبران ناپذیری به بار خواهد آمد. برای این کاربران، می‌توان از سیستم احراز هویت دو مرحله‌ای (SMS, Google Authentication) و قابلیت ضبط فعالیت‌ها استفاده نمود تا در صورت بروز خطا یا حملات سایبری بتوان آن را رصد کرد.

ج) پیاده‌سازی VDI برای کاربران سازمان: این امر با اهداف مهمی همچون: حفظ محرمانگی و ارتقاء امنیت داده‌های سازمان، جلوگیری از نفوذ و انتشار بدافزارها، مدیریت منابع سخت‌افزاری، کاهش هزینه‌های نگهداری و… اجرا می‌شود.

اقدامات مورد انتظار برای این گام به شرح زیر می‌باشد:

  • مشاوره جهت تأمین تجهیزات سخت‌افزاری مورد نیاز.
  • نصب و راه‌اندازی تجهیزات سخت‌افزاری جدید.
  • اعمال پیکربندی‌ها و تنظیمات مجازی‌سازی دسکتاپ شامل:
  • راه اندازی Connection server
  • راه‌اندازی سرویس DEM جهت مدیریت profile کاربران
  • راه‌اندازی سرویس Recording server
  • راه اندازی VM های اختصاصی با توجه به گروه های انفورماتیک و دسترسی آن ها
  • segment بندی کاربران انفورماتیک در NSX-T با توجه به سمت آن ها و سیساست های سازمان
  • راه اندازی CA سرور
  • راه اندازی UAG سرور
  • راه اندازی SQL-SRV
  • طراحی و پیاده سازی Policy های امنیتی لازم (Two-Step Authentication)

 

4-2-6- گام ششم: طراحی و پیاده‌سازی مدیریت دسترسی به اینترنت مرکز داده و شبکه داخلی سازمان

هر چند با پایان یافتن گام‌های قبلی، زیرساخت مرکز داده و شبکه سازمان بهینه و تاحدی ایمن می‌باشد، ولی با توجه به حملات سایبری گسترده‌ای که روزانه شاهد آن می‌باشیم، مدیریت دسترسی به اینترنت مرکز داده و شبکه داخلی سازمان یکی از الزاماتی می‌باشد که برای هر سازمانی جزو اولویت‌های حیاتی می‌باشد.

این گام از دو مرحله زیر شکل گرفته است:

الف) جداسازی اینترنت از شبکه داخلی سازمان که در آن اهداف زیر دنبال می‌شود:

  • به حداقل رساندن آسیب حملات سایبری (محدود به File Server اختصاص یافته به کاربران)
  • جلوگیری از نفوذ و انتشار باج‌افزارها در کل ساختار شبکه سازمان
  • کنترل و نظارت کامل بر فایل‌های دانلود شده کاربران و به حداقل رساندن خطر نفوذ باج‌افزار از طریق فایل‌های دانلود شده کاربران
  • مدیریت پهنای باند، حجم اختصاص یافته به کاربران و ثبت وقایع ترافیک اینترنت
  • کاهش ترافیک زیرساخت شـبکه داخلی سـازمان
  • شخصی‌سـازی مرورگـرها و اعمـال محدودیت‌های مـورد نظـر بر روی حساب کاربـری

ب) ایزوله‌سازی سرورها، سرویس‌ها و نرم‌افزارهای سازمان از اینترنت:

الزاماً تمامی نرم‌افزارها، سرویس‌ها و سرورهای سازمان نیازی به دسترسی به اینترنت ندارند و لازم است محدودیت‌هایی با توجه به نیازهای سازمان بر روی سرویس‌ها اعمال شود. این نیازمندی در مرحله اول (تجزیه و تحلیل مرکز داده) شناسائی خواهد شد.

اقدامات مورد انتظار برای این گام به شرح زیر می‌باشد:

  • مشاوره جهت تأمین تجهیزات سخت‌افزاری مورد نیاز.
  • نصب و راه‌اندازی تجهیزات سخت‌افزاری جدید.
  • اعمال پیکربندی‌ها و تنظیمات جهت جداسازی اینترنت از شبکه سازمان و ایزوله‌سازی سرویس‌ها و نرم‌افزارهای سازمان. شامل:
    • جداسازی جریان ترافیک اینترنت از بستر فیزیکی شبکه سازمان به نحوی که فایل‌های دانلود شده کاربران خارج از بستر شبکه اصلی سازمان باشد.
    • پیاده‌سازی سرویس‌های کنترل محتوایی فایل‌های دانلودی کاربران از اینترنت بر اساس سیاست‌های سازمان
    • پیاده‌سازی سیستم Accounting
    • Integrate کردن سیستم Accounting با Active directory
    • پیاده‌سازی فایروال Kerio به صورت Cluster شده و Load balancing
    • پیاده‌سازی VMware Horizon برای بستر Remote app
    • پیاده‌سازی RDSH برای Browser های مورد نیاز کاربران
    • پیاده‌سازی Roaming برای Browser های سازمان
    • راه‌اندازی VM اختصاصی برای کنترل و ذخیره داده‌های مجاز کاربران
    • راه‌اندازی Replica server برای بستر VMware horizon
    • راه‌اندازی Load balancing برای Connection server ها در بستر VMware Horizon
    • پیاده‌سازی rule های اختصاصی برای مدیریت پروتکل‌های مورد استفاده در اینترنت برای کاربران
    • پیاده‌سازی سیستم Automatic login در Kerio بر بستر Remote app
    • پیاده‌سازی DHCP در بستر جداسازی اینترنت برای بحث IP virtual
    • پیاده‌سازی DHCP Cluster and Failover
    • پیاده‌سازی DNS کش برای بستر isolate شده اینترنت
    • راه‌اندازی Anti-virus در سرور دانلود برای کنترل بیشتر بر روی فایل‌های دانلودی کاربران
    • پیاده‌سازی Policy های امنیتی لازم برای Browser های انتخاب شده در بستر جداسازی اینترنت
    • ایجاد rule های اختصاصی برای ثبت وقایع connection های اینترنتی کاربران

4-2-7- گام هفتم: طراحی و پیاده‌سازی سیستم پشتیبان‌گیری

یک دیتاسنتر با تمامی استانداردها و پروتکل‌های امنیتی که دارد، همچنان در معرض حملات سایبری، خطاهای انسانی، باج‌افزارها و… می‌باشد، لذا پشتیبان‌گیری یکی از الزامات حیاتی و اجتناب‌ناپذیر مرکز داده سازمان می‌باشد. در واقع راه‌اندازی ساختار پشتیبان‌گیری استاندارد و مطمئن شاه کلید نجات سازمان در بروز چنین بحران‌هایی می‌باشد.

نرم‌افزارها و سرویس‌های مختلفی برای راه‌اندازی سیستم پشتیبان‌گیری وجود دارد که قابل اطمینان بوده و از عملکرد بهینه و مطمئن برخوردار می‌باشند. البته باید در نظر گرفت طراحی زیرساخت سیستم پشتیبان‌گیری از نکات کلیدی بوده و بشدت بر کارائی و عملکرد سیستم پشتیبان‌گیری تأثیرگذار می‌باشد.

با توجه به شرایط موجود در کشور عزیزمان ایران، مناسب‌ترین سیستم پشتیبان‌گیری، نرم‌افزار Veeam Backup & Replication می‌باشد.

اقدامات مورد انتظار برای این گام به شرح زیر می‌باشد:

  • طراحی ساختار پشتیبان‌گیری و بازیابی
  • تهیه و تامین سخت‌افزار مورد نیاز
  • پیاده‌سازی ساختار پشتیبان‌گیری و بازیابی. شامل:
  • آماده­سازی بستر سرورها برای استفاده veeam backup & replication
  • راه­اندازی Veeam backup سرور
  • راه­اندازی proxy سرور مجزا برای ارتقا کیفیت Backup‌ گیری
  • پیاده­سازی job های اختصاصی برای سرویس‌های حیاتی و حساس سازمان
  • پیاده­سازی Email notification برای اعلان نتیجه Backup گیری
  • انجام سرویس­های امنیتی و آماده­سازی بستر Dedicated برای بستر Backup
  • نصب و پیاده­سازی Veeam one سرور برای مانیتورینگ لحظه­ای
  • نصب و راه‌اندازی Instant recovery
  • نصب و راه‌اندازی surebackup برای تست سرویس‌های backup گرفته شده
  • نصب و راه اندازی Job های اختصاصی بر اساس سرویس‌های Sharing سازمان
  • طراحی سیستم Backup برای بررسی فایل‌ها به منظور رصد امکان آلودگی آن‌ها
  • طراحی سیستم Recovery برای بازگردانی داده‌ها بر اساس داده‌هایی که حذف شده‌اند
  • طراحی و پیاده‌سازی Incremental Backup بر اساس سیاست‌های سازمان

 

 

4-2-8- گام هشتم: طراحی و پیاده‌سازی NSX-T

VMware NSX، پلتفرم مجازی‌سازی شبکه می‌باشد که برای مجازی‌‌سازی شبکه (Network Virtualization یا NV) و مجازی‌‌سازی توابع شبکه (Network Function Virtualization یا NFV) و همچنین برای جداسازی لایه‌های مختلف مدیریت، کنترل و انتقال (Software Define Networking یا SDN) استفاده می‌شود. این پلتفرم، مجموعه سرویس‌ها و المان‌های منطقی شبکه مانند فایروال‌ها، LoadBalancerها، VPN، سوئیچ‌ها، روترهای منطقی و همچنین امنیت بار‌کاری (Workload) را مدیریت می‌نماید.

VMware NSX نقش محوری در پیاده‌سازی On-Premises Cloud و Disaster Recovery Site را بازی می‌کند.

اقدامات مورد انتظار برای این گام به شرح زیر می‌باشد:

  • طراحی ساختار مجازی شبکه سازمان
  • مشاوره جهت تأمین تجهیزات سخت‌افزاری مورد نیاز
  • نصب و راه‌اندازی تجهیزات سخت‌افزاری جدید
  • پیاده‌سازی NSX-T و سرویس‌های جانبی. شامل:
  • راه­اندازی روترهای NSX-T به صورت two tier
  • پیاده­سازی rule های اختصاصی برای جلوگیری از نفوذ trojan و باج افزار در فایروال­های NSX-T
  • Segment بندی تمام vm های سازمان و جداسازی ترافیک­های اینترنتی و LAN
  • ساخت آنالیزهای حرفه­ای برای سرویس­های داخل سازمان برای محدود کردن آنان نسبت به کاربران
  • ترکیب کردن Active directory با NSX-T
  • پیاده­سازی rule‌ های اختصاصی بر اساس username کاربران
  • آماده­سازی ESXI‌ ها برای شبکه Overlay
  • ترکیب و پیاده‌سازی VDS با NSX-T
  • آماده­سازی زیرساخت شبکه Underlay network برای NSX-T
  • آماده­سازی Profile‌ های اختصاصی با توجه Underlay سازمان
  • پیاده­سازی LACP برای ESXI‌ها از طریق Profile‌ ها
  • ساخت Cluster Profile برای Transport node ها
  • ساخت NSX-Manager Clustering
  • پیاده­سازی NSX Intelligence
  • پیاده­سازی Edge Cluster
  • امن­سازی ارتباط VM‌ها به بستر Underlay و کاربران
  • امن­سازی محیط VDI در NSX-T
  • آماده­سازی و پیاده­سازی EW firewall و NS Firewall
  • راه­اندازی Routing‌ بین T1 و T0
  • راه­اندازی Routing بین T0 و روتر اصلی سازمان
  • راه­اندازی Multi-VTEP برای تمام ESXI ها برای شبکه OV
  • ایجاد ساختارهای DMZ کاملا isolate در NSX-T با توجه به سیاست‌های سازمان و شرایط سرویس‌دهی VM ها
  • حذف ساختار قدیم STP و زیرساخت لایه‌ی دو مرکزداده و جایگزین کردن آن با Geneve
  • پیکربندی IDS و IPS فایروال NSX-T
  • پیاده‌سازی Rule های اختصاصی Distributed Firewall برای بستر شبکه‌ای VM ها
  • پیاده‌سازی Edge cluster به صورت Bare metal
  • آماده‌سازی بستر جداسازی اینترنت از ساختار شبکه سازمانی در NSX-T
  • طراحی و پیاده‌سازی Load balancer های لازم برای بستر جداسازی اینترنت از ساختار شبکه سازمانی
  • پیاده‌سازی NSX-T manager cluster
  • پیاده‌سازی پروتکل‌های BGP و OSPF برای ساختار NSX-T و امن‌سازی بر بستر Underlay

4-2-9- گام نهم: طراحی و پیاده‌سازی سایت Disaster Recovery

با توجه به افزایش روزافزون تهدیدات امنیتی، حملات سایبری و به ‌وقوع پیوستن روزانه میلیون‌ها حمله‌ نفوذگران به سایت‌ها و مراکز داده سازمان‌ها و… لازم است تدابیری در نظر گرفته شود که مشمول زیرساخت و پرسنل و فرآیند باشد؛ تا پس از وقوع یک رویداد ناگوار بتوان دستیابی به سرویس را فراهم نموده و سازمان را مانند زمان قبل از وقوع حادثه، دوباره فعال کرد. لازمه این کار طراحی یک سایت از پیش مشخص است. روش کار (DR) Disaster Recovery Site به این صورت است که در هنگام بروز حوادثی که منجر به از دسترس خارج شدن داده‌های سازمان شود (اعم از حوادث طبیعی، هک و حملات سایبری و…)، سایت DR به کمک آمده و با دسترسی‌پذیری و امنیت داده‌های سازمان، امکان تداوم فعالیت را برای سازمان مهیا می‌نماید.

Disaster Recovery Site از دو زیرساخت حیاتی تشکیل شده است:

الف) زیرساخت فضای ذخیره‌سازی: برای طراحی و پیاده‌سازی ساختار فضای ذخیره‌سازی از دو محصول یا تکنولوژی متفاوت می‌توان بهره برد:

الف-1) محصولات ذخیره‌ساز شرکت Dell-EMC

الف-2) تکنولوژی VMware vSan

ب) زیرساخت شبکه: زیرساخت شبکه شامل زیرساخت فیزیکی و زیرساخت منطقی می‌باشد که برای زیرساخت منطقی بهترین گزینه VMware NSX-T می‌باشد. که در این طرح، در گام‌های قبلی به آن اشاره شده است.

پیش شرط‌های پیاده‌سازی Disaster Recovery:

الف) یکسان‌سازی سرویس‌های جدید سایت دوم (DR) با سرویس‌های سایت اصلی. (بروزرسانی نسخه سرویس‌های موجود در سایت اصلی در گام اول و دوم، تجزیه، تحلیل و پیکربندی شده اند.)

ب) استانداردسازی پیکربندی‌های روتینگ و سوئیچینگ ساختار فعلی (در گام‌های سوم و چهارم اجرا شده است.)

ج) شناسائی و مستندسازی سرویس‌ اینترنت‌ سازمان. (در گام‌های سوم و چهارم اجرا شده است.)

د) طراحی شماتیک اتصالات سوئیچ‌ها و پورت‌های زیرساخت شبکه (در گام‌های سوم و چهارم اجرا شده است.)

و) شناسائی و مستندسازی تجهیزات زیرساخت شبکه از جمله Switch، Router، Firewall و Gateway (در گام‌های سوم و چهارم اجرا شده است.)

اقدامات مورد انتظار برای این گام به شرح زیر می‌باشد:

  • طراحی سایت Disaster Recovery بر اساس پلن انتخابی فضای ذخیره‌سازی (VMware vSan یا Dell-EMC)
  • طراحی IP Plan زیرساخت شبکه سازمانی و Disaster Recovery
  • مشاوره جهت تأمین تجهیزات سخت‌افزاری مورد نیاز
  • پیاده‌سازی سرویس‌های مورد نیاز شامل:

VMware ESXI V7U3L (Required)

VMware vCenter 8 (Required)

VMware NSX-T V4.0 (Required)

VMware vSAN V8.0 (Optional)

  • انتقال ماشین‌های مجازی سازمان به سایت Disaster Recovery
  • آزمایش و کنترل سایت Disaster Recovery