1212

طراحی چارچوب معماری امنیت‌سایبری

1212

< استفاده از مطالب سایت فراکنش با ذکر منبع مجاز است.>

به منظور داشتن راه حل جامع در مورد امنیت سایبری و نگاه استراتژیک به امنیت نیاز هست که پس از تبیین استراتژی و چشم انداز امنیتی سازمان به طراحی معماری امنیت در بطن معماری سازمان بپردازیم.

یک سازمان یا معماری فناوری اطلاعات دارد که راهکار معماری پیشنهادی از جنس Security in Architecture  یا «استفاده از کنترل‌های مختلف امنیتی در لایه‌های مختلف معماری» خواهد بود. یا معماری فناوری اطلاعات در سازمان وجود نداشته و در طول اجرای پروژه معماری مناسب امنیتی نیز طراحی می‌گردد (Security Architecture).

SABSA، چارچوب امنیتی مبتنی بر کسب و کار بوده که بر مبنای مخاطرات و فرصت‌های متناظر آن بنا شده است. SABSA، هیچ کنترل ارائه نکرده و به کنترل‌های چارچوب‌های دیگر، از جمله  C2M2 یا COBIT وابسته است.

چارچوب COBIT، مجموعه ابزار و فرآیندهای است که شکاف بین مسائل فنی، ریسک کسب و کار و نیاز فرایندها را برطرف می‎کند. COBIT فناوری ‌اطلاعات و کسب و کار را با هم هماهنگ کرده و لایه‌ای از موارد حاکمیتی را حاکم می‌کند.

برای مثال با ترکیب چارچوب SABSA با اصول، Enablerها و فرایندهای COBIT، می‌توان در هر لایه از معماری یک ساختار از بالا به پایین طراحی نمود. به عنوان مثال در طراحی لایه‌‌ی شبکه می‌توان ساختاری مطابق با شکل زیر طراحی نمود که یک نگاه از بالاترین لایه (لایه متن محور) به پایین‌ترین لایه (لایه اجزاء) به حساب می‌آید.

charchob amniat

نمونه‌ای از بکارگیری COBIT در لایه معماری امنیت شبکه

همچنین از چارچوب TOGAF می‌توان جهت تعریف اهداف و دورنمای معماری، تکمیل تحلیل شکاف و ارزیابی فرایند استفاده نمود. در پایان با استفاده از کنترل‌های ارزیابی و شاخص‌های کلیدی بهره‌وری (KPI) می‌توان به ارزیابی بلوغ معماری در طول زمان پرداخت.

در فاز ابتدایی به ارزیابی وضعیت فعلی بلوغ امنیت با استفاده از مدل بلوغ امنیت‌سایبری خواهیم پرداخت. پس از مشخص نمودن سطح بلوغ مورد نظر و تعیین شکاف بین وضعیت فعلی و وضعیت مطلوب، نقشه راه رسیدن به وضعیت مطلوب ترسیم می‌گردد.

مبنای کار طراحی معماری امنیت‌سایبری یا معماری تضمین امنیت مبتنی بر تحلیل مخاطرات است و این مفهوم در تعریف ارائه شده از تضمین اطلاعات در متن حاضر دیده شده است.

معماری امنیتی شبکه های کامپیوتری و مخابراتی

معماری امنیتی شبکه های کامپیوتری و مخابراتی یا به تعبیر دیگر رعایت امنیت در معماری شبکه های کامپیوتری و مخابراتی بخش پایه‌ای و اولیه در معماری جامع امنیت‌سایبری است. از نظر تاریخ تتور معماری امنیت نیز می‌توان این نگاه را شروع معماری امنیت در سازمان‌ها دانست.

در زمینه معماری امنیت شبکه‌های کامپیوتری مدل‌هایی توسط صاحبنظران این حوزه مانند SANS و CISCO ارائه شده است نیز اصولی بیان شده که احتمال می‌رود در برخی از پروژه‌های امن‌سازی همراه اول به آن توجه شده باشد.

اما معماری امنیت بخش مخابراتی شبکه همراه اول نیاز به توجه بیشتر و بازنگری جهت اطمینان از توجه کافی و جامع دارد. پیشنهاد شرکت فراکنش در این مورد، بازبینی امنیتی معماری امنیتی اجزای PS-Core، CS-Core، VAS، … نسل‌های شبکه‌های تلفن همراه با رویکرد تضمین اطلاعات است. 

امنیت در لایه پلتفرم

منظور از امنیت پلتفرم، امنیت سیستم‌عامل، پایگاه داده و زیرساخت نرم‌افزاری که روی بستر شبکه قرار می‌گیرد، است.

در این حوزه در قالب پروژه‌های امن‌سازی، در اداره کل ایمنی شبکه همراه اول فعالیت‌های خوبی صورت گرفته است. بنابراین این لایه از قلمروی این پیشنهاد خارج فرض شده است.

امنیت در پردازش ابری

 با گسترش مجازی‌سازی و پردازش ابری ، اهمیت این لایه روز به روز بیشتر حس می‌شود. یک نمونه از معماری مبنا برای پردازش ابری توسط NIST پیشنهاد شده است. در این پیشنهاد فرض بر این است که امنیت مجازی‌سازی و پردازش ابری در سایر پروژه‌های امن‌سازی اداره کل ایمنی مورد توجه قرار گرفته است و از قلمروی این پیشنهاد خارج است.

 معماری امنیتی نرم‌افزار و پروژه‌های خدماتی

در این سطح به دنبال اعمال امنیت در کل فرایند تولید نرم‌افزارها و انجام پروژه‌های خدماتی در همراه اول هستیم. بخشی از راهکارهای پیشنهادی این مرحله برای محصولات نرم‌افزاری تولید شده توسط سایر تامین کننده‌ها نیز قابل اعمال است.

امنیت در لایه کاربرد یا معماری تضمین کننده امنیت نرم‌افزارهای کاربردی اعم از ارزیابی‌های امنیتی و آزمون‌های نفوذ است. در این لایه، امنیت در چرخه توسعه نرم‌افزار (SDL) باید لحاظ شود. باید تولید محصولات نرم‌افرازی اعم از اینکه به سفارش همراه اول انجام می‌شود یا از یک تامین کننده خریداری می‌شود مبتنی بر  یک معماری امنیتی امن باشد.

چرخه توسعه امن‌ محصولات و خدمات، امنیت در مراحل 7گانه زیر باید لحاظ شود:

11

  • آموزش‌های امنیتی پیش‌نیاز تولید
  • امنیت در تحلیل نیازمندی
  • امنیت در طراحی
  • امنیت در پیاده‌سازی
  • امنیت در تست و ارزیابی
  • امنیت در استقرار سامانه
  • امنیت در پشتیبانی سامانه

در مواردی که یک سامانه نرم‌افزاری از یک تامین کننده خریداری می‌شود، لحاظ بخشی از الزامات چرخه توسعه امن نرم‌افزار توصیه اکید می‌شود.

به منظور دست‌یابی به امنیت در لایه کاربرد، نیز در برخی پروژه‌های امن‌سازی اداره کل ایمنی شبکه فعالیت‌هایی انجام شده است ولی رویکرد آن‌ها از نوع آزمون نفوذ بوده که هدف این بخش را بصورت کامل تامین نمی‌کند.

معماری امنیت در فرایند انجام پروژه‌های خدماتی که مبتنی بر متدولوژی آبشاری یا چابک هستند نیز باید لحاظ گردد.

پیشنهاد شرکت فراکنش برای تضمین اطلاعات در این سطح، تدوین فرایند و الزامات راه‌اندازی توسعه امن نرم‌افزار و اجرای امن پروژه‌ها در همراه اول است.

 معماری امنیتی سرویس‌های پایه و ارزش افزوده

در سطحی بالاتر در امنیت نیاز به اطمینان از امنیت سرویس‌های مختلف در همراه اول وجود دارد. امن‌سازی برنامه‌های کاربردی شرط لازم و نه کافی برای امنیت سرویس‌های پایه و ارزش افزوده در همراه اول محسوب می‌شود. در بسیاری از سرویس‌ها لازمه امنیت نگاه انتها تا انتها (end-to-end) است. نکته مهم در این نگاه امنیتی که مبتنی بر رویکرد تضمین اطلاعات است، توجه به کارکرد و جایگاه هر سرویس در کسب و کار همراه اول است.

یکی از خدمات دانش‌بنیان شرکت فراکنش، ارزیابی امنیتی شبکه و سرویس‌های تلفن همراه است که شامل یک متدولوژی دانش بنیان تحلیل مخاطراتی است که طی سال‌ها فعالیت در امن‌سازی شبکه‌های مخابراتی تدوین و ایجاد شده است. در این متدولوژی تحلیل مخاطرات با رویکرد تضمین اطلاعات بوده، می‌توان سرویس‌های مختلف همراه اول را ارزیابی و امن‌سازی نمود.

انجام تحلیل مخاطرات امنیت‌سایبری با رویکرد تضمین اطلاعات بر روی سرویس‌های پایه و ارزش افزوده اصلی همراه اول پیشنهاد می‌شود.

معماری تضمین حریم خصوصی

با گسترش خدمات ارزش افزوده در همراه اول و نیز حرکت به سمت نسل پنجم شبکه تلفن همراه، تهدیدات نسبت به اطلاعات محرمانه و خصوصی مشترکین بیشتر می‌شود.  همچنین با توجه به تاکید مسئولین عالی‌رتبه کشور و نیز حساسیت بیشتر مردم به این موضوع، اهمیت حریم خصوصی مشترکین و کاربران سرویس‌های همراه اول اهمیت بیشتری پیدا می‌کند.

در معماری تضمین حفظ حریم خصوصی مشترکین همراه اول، به تدوین رویکرد، خط‌مشی، الزامات، روش‌های حفظ حریم خصوصی در مورد انواع داده‌ها و اطلاعات مشترکین در همراه اول پرداخته می‌شود.

بدین منظور شناسایی، ارزیابی، مدیریت مخاطرات حریم خصوصی در همراه اول صورت‌ می‌پذیرد.

همچنین مجموعه‌ای از دستورالعمل‌ها، ابزارها و تکنیک‌های مناسب انواع سطوح حفظ حریم خصوصی جهت anonymization و  pseudonymization برای واحدهای مختلف همراه اول ایجاد می‌شود.

 معماری حاکمیت امنیت

حاکمیت امنیت به دنبال انجام کار صحیح امنیتی است درحالیکه مدیریت امنیت به دنبال انجام صحیح فعالیت‌های امنیتی است. حاکمیت امنیت‌سایبری به عنوان مبنای کلیه فعالیت‌های معماری امنیت‌سایبری محسوب می‌شود که جهت‌گیری انجام فعالیت‌های امنیتی و چارچوبی برای کلیه طراحی‌ها و پیاده‌سازی‌های امنیتی است. بدون حاکمیت امنیت‌سایبری، احتمال پراکندگی فعالیت‌ها و پروژه‌های امنیتی وجود داشته، ممکن است در راستای نیازهای اصلی کسب و کار همراه اول نباشد.

در جدول زیر برخی تفاوت‌های حاکمیت امنیت‌سایبری و مدیریت امنیت آمده است.

111

یک مقایسه حاکمیت امنیت‌سایبری و مدیریت امنیت

حاکمیت امنیت‌سایبری در همراه اول در پروژه ارزیابی و پایش بلوغ امنیت‌سایبری، با رویکرد بلوغ سایبری آغاز شده است. پیشنهاد اولیه شرکت فراکنش، تدوین معماری تضمین امنیت همراه اول بر اساس چارچوب حاکمیت امنیت‌سایبری مبتنی بر بلوغ است.

این فعالیت با می‌تواند با مشاوره و نظارت بر پیاده‌سازی کنترل‌های اولویت‌بندی شده جهت تضمین اطلاعات مبتنی بر نتایج مدل بلوغ C2M2 و همچنین بکارگیری COBIT انجام شود.

دامنه‌هایی از بلوغ امنیت که در آن نیاز به ارتقاء امنیت‌سایبری وجود دارد عبارتند از:

  • مدیریت مخاطرات امنیت‌سایبری
  • مدیریت دارایی، تغییرات و پیکربندی
  • مدیریت تهدیدات و آسیب‌پذیری‌های امنیتی
  • مدیریت هویت و کنترل دسترسی
  • مدیریت رخدادهای امنیت‌سایبری و تداوم عملیات
  • آگاهی از وضعیت
  • مدیریت زنجیره تامین
  • مدیریت منابع انسانی
  • مدیریت برنامه امنیت‌سایبری

خدمت مرتبط با این پست در شرکت فراکنش