مشاوره پیاده سازی طرح امن سازی زیرساخت

امنیت دشوار است، امنیت گران قیمت است . این دو عبارت بازگو کننده نظرات افرادی است که برای ارتباطات الکترونیکی خود نیاز مبرم به امنیت را دریافته اندو به دنبال آن هستند. کلمه “امنیت شبکه های تجاری” یا “Enterprice network security” با افزایش درک شرکتها از ریسک‌های موجود و همچنین توسعه نرم افزارهای کاربردی در محاورات متداول تر شده است.گرچه جمله ذیل در ابتدا ممکن است نگران کننده باشد، اما حقیقتی است انکار ناپذیر اینکه “امنیت مطلق وجود ندارد” زیرا: تنظیمات تجهیزات ناکافی است، حملات جدیدی طراحی می شوند و نرم افزارها باگ‌های امنیتی دارند که لازم است به آن‌ها پرداخته و رفع گردد. بهترین کارهایی که هر شرکت می تواند انجام دهد عبارتند از تشخیص ریسک‌ها و تهدیدات امنیتی و نقاط ضعف ها، تصمیم گیری بر این موضوع که چه موارد بحرانی وجود دارد، سپس پیاده سازی سیاست‌های امنیتی است با کارآیی بالا و مطلوب. همچنین این مسئله مهم است که تحقیق و بررسی شود که آیا سیاست‌های امنیتی بدرستی اجرا می‌شوند که این امر متضمن مونیتورینگ و نظارت فعال ترافیک روی شبکه و انجام بررسی دوره ای مجوزهای امنیتی است. امنیت شبکه موضوعی است پیچیده. این مساله تا حدودی ناشی از وفور تکنولوژی‌های امنیتی قابل دسترس می‌باشد. در اینجاست که برای شروع پیاده سازی استراتژی‌های امنیتی، با توجه به امکانات قابل دسترس و تشخیص تهدیدات بالقوه و بالفعل باید با تکیه بر مشاورین متخصص سریعاً اقدام نمود.

حفاظت از زیرساخت‌­های حیاتی ملی برای ایجاد جامعه‌ای امن، ایمن و مقاوم در قبال حملات سایبری و سایر مخاطرات طبیعی و انسانی امری ضروری است. در این راستا زیرساخت‌های حیاتی نیازمند سازوکارهایی برای حفظ محرمانگی، یکپارچگی و دسترس‌پذیری دارایی­‌های خود می­‌باشند. با توجه به نوپایی مفهوم امنیت فضای تولید و تبادل اطلاعات و با عنایت به میزان تأثیر آن بر امنیت ملی کشور، پرداختن به این موضوع و نهادینه‌­سازی آن به‌عنوان یک ضرورت و اولویت تلقی می­‌شود.

مرکز مدیریت راهبردی افتای ریاست جمهوری در اسفندماه سال ۹۷ نسخه جدید طرح امن سازی زیرساخت‌های حیاتی در قبال حملات سایبری را به تمامی دستگاه‌های اجرایی دارای زیرساخت حیاتی کشور ابلاغ نمود. در این مطلب تلاش شده است، خلاصه‌­ای از الزامات در نظر گرفته شده در مستند مذکور ارائه گردد. در بخش اول این مقاله مرکز مدیریت راهبردی افتا و اهداف آن معرفی شده و در ادامه به الزامات و مخاطبین طرح که پیاده ­سازی موارد برای آن­ها الزامی است اشاره شده است.

معرفی مرکز مدیریت راهبردی افتا ریاست جمهوری

پیشینه تشکیل مرکز مدیریت راهبردی افتا به تدوین سند راهبردی افتا باز می‌گردد. در سال ۱۳۸۲ شورای عالی افتا بر اساس ضرورت‌ها، توسط دولت وقت ایجاد و ملزم به تدوین این سند برای کشور شد. سند تدوین‌­شده توسط شورای مذکور، در سال ۱۳۸۴ توسط هیئت دولت به تصویب رسید و به دستگاه‌ها ابلاغ شد.

پس از تصویب و ابلاغ سند راهبردی افتا توسط هیئت‌وزیران، مرکز مدیریت راهبردی افتا، به‌منظور برنامه‌ریزی، سیاست‌گذاری و نظارت بر حسن اجرای دستورالعمل‌های ابلاغی در دستگاه‌های اجرایی و نیز به‌عنوان دبیرخانه سند در سال ۱۳۸۶ تشکیل شد. سند راهبردی افتا که مأموریت اجرای آن توسط دولت‌های نهم، دهم و یازدهم به این مرکز محول شده است، در سال ۱۳۸۷ موردبازنگری قرار گرفت. موضوع مسئولیت مرکز در اجرای سند نیز توسط معاون اول رؤسای محترم جمهور در هر دوره، به‌منظور همکاری دستگاه‌های اجرایی به آن‌ها ابلاغ شد. در ذیل، عناوین مستندات سیر تشکیل مرکز و مأموریت‌های محوله آن ارائه شده است:

  • تأسیس شورای عالی افتا – سیزدهم اسفند سال ۱۳۸۲
  • تدوین سند راهبردی افتا توسط شورای عالی افتا و تصویب در هیئت محترم وزیران – سال ۱۳۸۴
  • تأسیس مرکز مدیریت راهبردی افتا – سال ۱۳۸۶
  • بازنگری سند راهبردی افتا و ابلاغ آن – اسفندماه ۱۳۸۷
  • بخشنامه دبیر محترم شورای عالی و رئیس مرکز ملی فضای مجازی در بهمن‌ماه سال ۹۴

سیاست­های کلان مرکز مدیریت راهبردی افتا

سیاست‌های کلی این مرکز را می‌­توان در محورهای ذیل دسته‌بندی نمود:

  • اشراف بر فناوری‌های نوین و بهره‌­گیری از آن‌ها
  • انجام امور رگولاتوری (تنظیم مقررات)، ساماندهی، نظارت و هماهنگی حوزه افتا در سطح کشور
  • بهره‌گیری از تدابیر صحیح و فنی، جهت پیشگیری از مخاطرات امنیتی، تشخیص به‌موقع، مقابله صحیح و هوشمندانه با مخاطرات
  • توجه اکید به رویکردهای ایجابی در انجام مأموریت‌ها و در حد امکان دوری از رویکردهای سلبی
  • امن‌سازی مدبرانه فضای تولید و تبادل اطلاعات به‌منظور عدم توقف استمرار ارائه خدمات
  • انجام اقدامات حمایتی از صنعت افتای بومی کشور
  • تأسیس مراکز افتا در استان‌ها با رویکرد نظارتی و کنترلی

مخاطبین طرح

مخاطب اصلی این طرح کلیه زیرساخت­‌ها و دستگاه­‌های دارای طبقه‌­بندی کشور بوده و سایر دستگاه‌­ها نیز می­‌توانند به فراخور نیاز خود از آن استفاده نمایند. آنچه در این بخش ضروری است، این موضوع است که دستگاه ما به‌عنوان یک زیرساخت حیاتی به شمار می‌­رود یا خیر. زیرساخت‌های حیاتی (Critical Infrastructure) به‌صورت کلی به آن دسته از سامانه‌ها، خدمات یا حتی عملیاتی اطلاق می‌شود که اختلال یا تخریب آن‌ها موجب تضعیف یا ناتوانی در خدمات بهداشت عمومی، تجارت و اقتصاد، امنیت ملی یا هر ترکیب دیگری از این قبیل موارد شود. این موارد شامل سازمان­‌های فعال در حوزه ارتباطات، انرژی، سامانه‌های بانکی، خطوط حمل‌ونقل، بهداشت عمومی و خدمات ضروری دولتی می‌شود.

در حال حاضر لیست مشخصی از سازمان‌­ها و دستگاه‌­های حیاتی در کشور وجود ندارد (و یا توسط نگارنده این مقاله یافت نشده است) و تصمیم‌­گیری در این خصوص معمولا بر مبنای استعلام از مرکز مدیریت راهبردی افتا صورت می گیرد. همچنین تطابق با الزامات آورده شده در این طرح، برای مخاطبین آن، به عنوان یک الزام مطرح می باشد و در صورت اقدام این مخاطبین برای ممیزی و دریافت گواهینامه ملی سیستم مدیریت امنیت اطلاعات -ISMS، علاوه بر الزامات استاندارد مرجع -ISO 27001 اجرای الزامات این طرح نیز باید مورد تایید قرار بگیرد.

خلاصه مدیریتی طرح

هدف از این طرح، تأمین امنیت فضای تولید و تبادل اطلاعات سازمان و جلوگیری از بروز اختلال در ارائه سرویس­‌های حیاتی آن است. در این طرح الزاماتی برای ایجاد، پیاده‌­سازی، نگهداری و بهبود مستمر امنیت اطلاعات در حوزه­‌های زیرساختی ارائه‌شده است. همچنین سازمان نیازمند ساختاری برای تأمین منابع انسانی و مالی به‌منظور اجرای طرح است. این ساختار متناسب با شرایط و اهداف سازمان می­‌تواند در قالب کمیته اجرای طرح یا ایجاد واحدی سازمانی باشد. تشکیل این ساختار به‌عنوان پیش‌نیازی برای اجرای سایر الزامات طرح بوده و پس از انجام اقدامات فوق در سازمان، لازم است طرح امن­‌سازی متناسب با نقشه راه اجرایی گردد. (برای کسب اطلاعات بیشتر به مقاله سازماندهی امنیت و ضرورت وجود واحد و مدیر امنیت اطلاعات – CISO رجوع شود)

نقشه راه اجرای طرح امن‌سازی

زیرساخت­‌های حیاتی لازم است بر اساس گام‌­های نقشه راه، نسبت به اجرای طرح امن سازی اقدام نمایند. گام‌­های نقشه در شکل زیر مشخص‌شده است.

الزامات طرح امن‌سازی

این الزامات، کنترل‌های حداقلی به‌منظور کاهش مخاطرات دارای اولویت در زیرساخت‌ها است و هدف از این بخش جهت‌دهی راهبردی به فعالیت‌های ملی در حوزه امنیت سایبری زیرساخت‌ها و ارائه یک نقشه راه، برای توسعه هم‌زمان امنیت سایبری در بخش‌های مختلف کشور در سال‌های پیش رو است. سطح بلوغ امنیتی مطلوب سازمان در هر یک از الزامات این طرح، می‌تواند بر اساس سطح قابل‌پذیرش مخاطرات سازمان تعیین گردیده و این سطح در برنامه عملیاتی سازمان تصریح و به تأیید مرکز افتا خواهد رسید.

مدیریت مخاطرات

راهبرد اصلی طرح امن­‌سازی زیرساخت‌های حیاتی در قبال حملات سایبری، مدیریت مخاطرات است. مدیریت مخاطرات فرآیندی مستمر است که در آن تهدیدات و آسیب‌پذیری‌های موجود در یک سازمان شناسایی و ارزیابی می‌شوند و از طریق انجام اقدامات امن‌­سازی که اولویت بیشتری دارند، مخاطرات مدیریت می‌شوند. لازمه این امر وجود یک رویکرد مدیریت مخاطرات سیستماتیک متناسب با بافتار، شرایط و مخاطرات خاص سازمان است که بدین منظور، امروزه استانداردها و روش‌های متعددی نظیر ISO/IEC 27005 ،ISO 31000 ،ISA/IEC 62443 و … چارچوب‌های مناسبی را برای مدیریت مخاطراتی که به امنیت اطلاعات لطمه می‌زند در اختیار سازمان‌ها قرار می‌دهند. سازمان باید مدیریت مخاطرات امنیت را مطابق با الزامات شکل زیر تعیین نماید.

این فرایند شامل شناخت بافتار سازمان است که شامل ساختار سازمانی، نقش‌ها و مسئولیت‌ها، خط‌مشی‌ها و … است. در این راستا باید محدوده و قلمرو فرایند مدیریت مخاطرات و معیارهای ارزیابی تعیین گردد و در گام بعد در مرحله ارزشیابی مخاطره، شناسایی مخاطره، تحلیل مخاطره و ارزیابی مخاطره صورت می‌پذیرد.

پایش و کنترل سایبری

با توسعه روزافزون فناوری اطلاعات و نیاز سازمان‌ها به استفاده از بسترهای الکترونیکی و مجازی و پیچیدگی و تنوع حملات و تهدیدات سایبری، صرفاً به‌کارگیری تجهیزات مرسوم امنیتی مانند فایروال کافی نیست، زیرا این تجهیزات هر یک به‌طور منفرد بخشی از نیازهای امنیتی سازمان را مرتفع می‌سازد. لذا به‌منظور شناسایی حملات و تهدیدات سایبری پیشرفته، استفاده از راهکارهای پایش یکپارچه و هوشمند رویدادهای امنیتی ضروری است. مطابق با الزامات این بخش سازمان باید مرکز عملیات امنیت را با استفاده از ظرفیت‌های داخل سازمان و یا با استفاده از ظرفیت سازمان بالادستی ایجاد کند.

اهداف فرآیندی در این بخش شامل موارد زیر است:

  • پایش بر خط رویدادهای امنیتی که باهدف تشخیص ناهنجاری‌های ترافیکی و ممیزی انطباق عملکردها با خط‌مشی‌های امنیتی سازمان قابل انجام است.
  • تحلیل عمیق رویدادهای امنیتی که پس از بررسی و صحت سنجی رویدادهای امنیتی گزارش‌شده و در صورت تأیید وقوع حادثه، راهکار پیشگیری و مقابله، تدوین و به تیم سایبری ارسال می‌گردد.
  • پایش و تحلیل آسیب‌پذیری‌ها
  • معماری مرکز عملیات امنیت که ضمن احصاء نیازمندی‌های فنی بخش‌های مختلف و نظارت بر طراحی، پیاده‌سازی و عملکرد مطلوب این سامانه‌­ها، راهبری، نگهداری و به‌روزرسانی آن­ها را همگام با فناوری‌های روز این حوزه بر عهده دارد.

مؤلفه فناوری در این بخش نیز شامل دو المان زیر است:

  • سامانه مدیریت رویداد و اطلاعات امنیتی (SIEM)
  • آزمایشگاه‌های امنیتی جهت بهبود وضعیت عملکرد مرکز عملیات امنیت

مدل عملیاتی مرکز عملیات امنیت

مدیریت حوادث سایبری (IT/OT)

آن دسته از رویدادهایی که موجب نقض اصول و سیاست‌های فضای مجازی شود، حادثه سایبری نامیده می‌شود. هدف از مدیریت حوادث سایبری، کنترل و به حداقل رساندن خسارت، حفاظت از شواهد، بازیابی سریع و مؤثر سیستم‌ها، جلوگیری از تکرار حوادث مشابه و به دست آوردن دید مناسب نسبت به تهدیدات علیه سازمان است.

مؤلفه فرآیند در مدیریت حوادث سایبری به دودسته اعلام هشدار حوادث و پاسخگویی به حوادث تقسیم می‌گردد؛ که هر دسته شامل فرایندهای داخلی و ارتباط با سایر واحدها مطابق شکل زیر است.

بخش پاسخگویی به حوادث خود نیز به سه دسته فعالیت‌های قبل از حادثه، فعالیت‌های حین حادثه و فعالیت‌های بعد از حادثه تقسیم می‌شود.

مؤلفه فناوری شامل استفاده از تجهیزات و ابزارهای بروز و کارآمد، ابزارهای تهیه ایمیج، ابزارهای بازیابی اطلاعات، ابزارهای تست و عیب‌یابی شبکه‌ها، ابزارهای مقابله با بدافزار قابل بوت و قابل‌نصب و … است.

مدیریت تهدیدات بدافزاری

امروزه بدافزارها به‌عنوان یکی از جدی‌ترین تهدیدات فضای مجازی هستند. انجام عملیات شنود و جاسوسی، سرقت، تخریب اطلاعات، تخریب سامانه‌ها، کاهش اعتبار و به خطر افتادن کسب‌وکار سازمان، بخشی از خطرات بدافزارها است.

از مؤلفه‌های تشکیل‌دهنده واحد مقابله با بدافزار می‌توان به سه مؤلفه نیروی انسانی، فرآیند و فناوری اشاره نمود.

مؤلفه نیروی انسانی شامل جذب نیروی انسانی متخصص و ماهر، تعیین نقش‌­ها و مسئولیت‌ها، تدوین و اجرای برنامه آموزشی است.

مؤلفه فرآیند شامل شناسایی و جمع‌آوری شواهد، تحلیل بدافزار، مقابله با بدافزار است.

جهت تحلیل بدافزار، محیطی امن و ایزوله آزمایشگاهی نیاز است و این فرایند شامل مراحل زیر است.

  • تحلیل ایستای اولیه: جهت کسب آگاهی از عملکرد و مشخصات فایل مشکوک بدون اجرای فایل برنامه در سیستم، از طریق ابزارهای مختلفی تحلیل می­شود.
  • تحلیل رفتاری: هدف از تحلیل رفتاری، تحلیل رفتار شبکه‌ای شامل استخراج دامنه‌ها و آدرس آی‌پی‌های مورداستفاده توسط بدافزار
  • تحلیل کد: با استفاده از ابزارهای دیباگر و Disassembler
  • تحلیل حافظه: این نوع تحلیل به بررسی حافظه تصادفی سیستم آلوده می‌پردازد تا نشانه‌هایی از برنامه مشکوک را بازیابی کند.
  • مستندسازی نتایج: خروجی فرآیند تحلیل بدافزار

مقابله با بدافزار: هدف پیشگیری از نصب بدافزار، تشخیص و پاک‌سازی بدافزارهای شناسایی‌شده از روی کلیه تجهیزات است. خروجی این فرایند شامل ابزار شناسایی، راهنما و دستورالعمل پاک‌سازی و راهکارهای امنیتی برای پیشگیری از آلودگی سایر سامانه‌ها.

مدیریت تداوم کسب‌و‌کار

مدیریت تداوم کسب‌وکار، مدیریت بازیابی و تداوم فعالیت و سرویس‌های حیاتی کسب‌وکار در هنگام وقوع حوادث و شرایط بحرانی است. پس باید با برنامه‌ریزی منسجم از تداوم ارائه این خدمات حتی در زمان وقوع حوادث احتمالی اطمینان پیدا کرد که این امر در قالب مدیریت تداوم کسب‌وکار سازمان محقق می‌گردد.

از مؤلفه‌های تشکیل‌دهنده مدیریت تداوم کسب‌وکار می‌توان به سه مؤلفه نیروی انسانی، فرآیند و فناوری اشاره نمود.

مؤلفه نیروی انسانی شامل جذب نیروی انسانی متخصص و ماهر، تعیین نقش­‌ها و مسئولیت‌ها و تدوین و اجرای برنامه آموزشی است.

در مؤلفه فرآیند دستیابی به اهدافی چون پیشگیری از حادثه، شناسایی حادثه، پاسخ به حادثه، بازیابی و بهبود دنبال می‌گردد.

فرایند مدیریت تداوم کسب‌وکار از چهار گام به شرح زیر تشکیل‌شده است.

  1. شناخت سازمان
  2. تحلیل اثرات کسب‌وکار
  3. تدوین طرح‌های مدیریت تداوم کسب‌وکار
  4. تمرین، نگهداری و بازنگری جهت اطمینان از اثربخشی طرح‌های تداوم کسب‌وکار و بازیابی از فاجعه

در راستای فرایند مدیریت کسب‌وکار باید حداقل سالیانه یک مانور طرح تداوم کسب‌وکار جهت مشخص شدن نقاط ضعف طرح‌های تدوین‌شده اجرا گردد.

زیرساخت محرمانگی و استناد پذیری

زیرساخت محرمانگی و استناد پذیری نیازمند تدوین سیاست­‌ها، ضوابط، رویه‌ها در بعد مدیریتی و بهره‌گیری از ابزارهای امنیت اطلاعات و ارتباطات در بعد فنی بوده که محرمانگی اطلاعات را برای سازمان تضمین می‌نماید. قلمرو این زیرساخت در بعد فنی شامل الگوریتم‌های رمزنگاری، پروتکل‌های امنیتی، زیرساخت کلید عمومی و… است. لزوم استقرار زیرساخت محرمانگی و استناد پذیری در سازمان، جلوگیری از افشاء داده‌ها و اطلاعاتی است که باید محافظت شوند و در اختیار افراد غیرمجاز قرار نگیرند.

تمامی کاربردهای زیرساخت محرمانگی و استناد پذیری در بستر زیرساخت کلید عمومی قابل تحقق است. هر نوع داده یا مبادله الکترونیکی مطرح در حوزه عملیات خصوصی و غیرخصوصی که تهدید امنیتی در مورد آن مطرح باشد، جزء مواردی است که می‌توان از زیرساخت کلید عمومی برای امن سازی آن بهره گرفت.

از موارد پرکاربرد زیرساخت محرمانگی سازمان‌ها می‌توان به مدیریت کلیدهای رمزنگاری، امن‌سازی کاربردهای تحت وب، امن‎سازی برنامه اتوماسیون اداری، تصدیق هویت و … اشاره نمود.

مدیریت هویت و دسترسی

کاربران در سازمان به‌عنوان مهم‌ترین بازیگر در فرآیندهای سازمان، دارای دسترسی به منابع مختلف سازمان هستند. ایجاد، کنترل و مدیریت این دسترسی‌ها از وظایف اصلی تعریف‌شده در مدیریت هویت و دسترسی است. مدیریت هویت و دسترسی، چهارچوبی است که در آن سازمان سیاست‌ها و فرایندهای خود در چرخه حیات هویت‌های دیجیتال را تبیین می‌نماید. این چرخه شامل: تعریف هویت دیجیتال، ایجاد و مجازشماری دسترسی به منابع و دارایی‌های دیجیتال و فیزیکی سازمان و حذف هویت و دسترسی‌ها در مواقعی که کارمند مسئولیت خود را به هر دلیلی از دست می‌دهد.

لازم است سازمان خط‌مشی مدیریت هویت و دسترسی شامل مدیریت چرخه حیات هویت‌های دیجیتال، کنترل دسترسی، تجهیزات قابل‌حمل شامل رسانه‌های قابل سازمانی و دستگاه‌های شخصی، مدیریت رسانه‌های دیجیتال و غیر دیجیتال، ارتباطات راه دور و همچنین حفاظت فیزیکی خود را تدوین و اجرایی نماید.

مدیریت زنجیری تأمین

مهم‌ترین اقدام برای شناسایی به‌موقع موارد نفوذ و اختلال در زیرساخت‌های حیاتی کشور، مدیریت همه‌جانبه فنی و حفاظتی زنجیره تأمین، در فرآیند طراحی، پیاده‌سازی، بهره‌برداری و نگهداری از زیرساخت‌های حیاتی کشور است. لازم است سازمان خط‌مشی مدیریت زنجیره تأمین خود را تدوین و اجرایی نماید و در آن مواردی همچون تعیین سطح کیفی ارائه خدمت (SLA)، اخذ تعهدنامه محرمانگی و عدم افشاء اطلاعات، استفاده از خدمات برون‌سپاری شده مطابق “آیین‌نامه ساماندهی خدمات امنیت فضای تولید و تبادل اطلاعات”، نظارت بر فعالیت‌های شرکت ارائه‌دهنده خدمت و … را لحاظ کند.

امن سازی زنجیره تأمین: در این راستا رعایت موارد زیر الزامی است.

  1. نیازسنجی و طراحی
  2. انتخاب تأمین‌کنندگان
  3. خرید/ تولید داخلی و خارجی: شامل مواردی چون استعلام از مرکز افتا پیش از خرید محصولات خارجی مورداستفاده در سامانه‌های ملی، استفاده از محصولات و سامانه‌های داخلی دارای گواهی ارزیابی امنیتی مورد تأیید مرکز افتا، انعقاد قرارداد رسمی برون‌سپاری و تدوین پیوست امنیتی برای آن و … اشاره نمود.
  4. انتقال موارد خریداری‌شده و انبارداری: شامل استفاده از فرآیند، عناصر و عوامل کنترل‌شده در توزیع، تحویل و انبارداری، اعتبارسنجی اصالت و اطمینان از عدم دست‌کاری محصولات از زمان خرید تا تحویل با استفاده از سازوکارهای امنیتی است.
  5. نصب، راه‌اندازی و اجرا: شامل تأمین و نگهداری امن مستندات محصولات و سامانه‌ها، اعم از مستندات تحلیل و طراحی، معماری، پیاده‌‌سازی، تست و ارزیابی به‌طوری‌که در زمان موردنیاز در دسترس افراد مجاز باشد، پیکربندی امن و اعمال تنظیمات امنیتی در سامانه به‌منظور مقاوم‌سازی و امن سازی، ممیزی بر روی خدمات دریافتی توسط کارفرما وفق مفاد قرارداد و … است.
  6. راهبری، بهره‌برداری و خاتمه: شامل ایجاد سازوکار لازم جهت اطلاع به‌موقع از نسخه‌های جدید، وصله‌ها و راهکارهای رفع آسیب‌پذیری‌های منتشرشده برای سامانه‌ها، پایش مداوم محصولات و سامانه‌های مورداستفاده، پیگیری تعهدات قراردادی و … توسط سازمان پس از خاتمه قرارداد برون‌سپاری است.

آموزش و فرهنگ‌سازی

منشأ بسیاری از حملات سایبری عامل انسانی است که عموماً به‌صورت ناخواسته و ناآگاهانه زمینه را جهت نفوذ و حمله فراهم می­کند. خط‌مشی امنیت اطلاعات سازمان باید به‌گونه‌ای باشد که افراد قبل از دسترسی به سیستم‌های حساس، درزمینهٔ امنیت سایبری، آموزش و آگاهی لازم را کسب کنند و با خط‌مشی‌ها و رویه‌های امنیتی سازمان آشنا شوند.

در این زمینه لازم است سازمان خط‌مشی آموزش و فرهنگ‌سازی خود را تدوین و اجرایی نماید. برنامه آموزش امنیت اطلاعات سازمان باید متناسب با نقش‌ها و مسئولیت‌های مبتنی با “سند معرفی دوره‌های آموزشی افتا” باشد، به‌منظور ارتقای فرهنگ امنیت سایبری، حداقل یک همایش عمومی برگزار کند، ارزیابی میزان آمادگی و آگاهی کارکنان در حوزه امنیت سایبری به‌صورت دوره‌ای انجام شود و … .

مدل بلوغ طرح‌ امن‌سازی

سازمان نیازمند ساختاری برای تأمین منابع انسانی و مالی به‌منظور اجرای طرح است و تشکیل این ساختار پیش‌نیازی برای اجرای سایر الزامات طرح است. لذا بدین منظور در مدل بلوغ، دامنه‌ای با عنوان “سازمان امنیت” در نظر گرفته‌شده است.

باهدف ایجاد قابلیت سنجش پیشرفت، هر دامنه به سطوحی که به آن سطح شاخص بلوغ گفته می‌شود تقسیم‌شده است. این سطوح از یک تا ۴ شماره‌گذاری شده و دارای اولویت می‌باشند. سازمان باید بر اساس اقدامات هر یک از سطوح در دامنه‌های مختلف، ارزیابی دقیقی از اقداماتی که انجام داده داشته باشد و درنهایت بلوغ سازمان خود را اندازه‌گیری نماید.

ممیزی اجرای برنامه عملیاتی امن‌سازی

پس از پیاده‌سازی و اجرای برنامه‌های عملیاتی تدوین‌شده، باید از اجرای اثربخش برنامه مذکور اطمینان حاصل گردد. در این راستا ضروری است ممیزی‌های مستمر و ادواری در سازمان انجام شود. لذا مرکز افتا موظف است تا کلیه ممیزی‌ها را بر اساس ابزار ارزیابی سطح بلوغ ارائه‌شده، مدیریت و سازمان را از نتیجه مطلع نماید.

ممیزی داخلی: سازمان باید روال‌های مشخصی را برای برگزاری ممیزی داخلی تدوین کرده و به‌طور منظم نسبت به برگزاری آن‌ها اقدام کند. جهت اطمینان از اجرای الزامات، سازمان گزارش‌های لازم را بر اساس فرم‌های ممیزی مرکز افتا تهیه و جهت بررسی و اخذ تأییدیه به مرکز افتا ارسال می‌نماید.

ممیزی خارجی: جهت نظارت بر روند اجرای برنامه‌های عملیاتی و اثربخشی آن‌ها ممیزی خارجی توسط مرکز افتا انجام خواهد شد. سازمان پس از اخذ گزارش‌های ممیزی خارجی، نسبت به رفع انطباق‌ها اقدام نموده و در صورت نیاز، درخواست ممیزی مجدد از مرکز افتا را خواهد نمود.

/توسط

امن سازی اتوماسیون صنعتی

امن سازی اتوماسیون صنعتی

امنیت سایبری در زیرساخت‌های حساس و حیاتی

نظارت و کنترل زیرساخت‌های حساس و حیاتی با ظهور سیستم‌های کنترل صنعتی، توسعه و پیشرفت چشمگیری داشته‌اند. هرچند ساختار و عملکرد سیستم‌های کنترلی، پیشرفت شایان توجهی داشته، اما موضوع امنیت سایبری در آن‌ها چندان مدنظر قرار نگرفته و این زیرساخت‌ها را در معرض تهدید قرار داده است. با توجه به عدم ارتقا امنیت در سیستم‌های کنترل صنعتی همگام با توسعه و پیشرفت آن‌ها، این امکان برای مهاجمین سایبری فراهم گردیده تا با استفاده از ساده‌ترین روش‌ها بتوانند خسارات جبران ناپذیری به زیرساخت‌های کشور وارد کنند. شرکت فناوری اطلاعات رجاء با توجه به احساس نیاز کشور در این حوزه راهکار جامع و یکپارچه امنیت سایبری در زیرساخت‌های صنعتی را تدوین نموده است که در ادامه به معرفی آن می‌پردازیم.

راهکار جامع و یکپارچه امنیت سایبری در زیرساخت‌های صنعتی

راهکار جامع و یکپارچه امنیت زیرساخت‌های صنعتی با اتکا به استانداردها و بهترین روش‌های معرفی شده در دنیا، در نظر گرفتن شرایط بومی کشور و همچنین عدم تحمیل هزینه هنگفت به زیرساخت‌های کشور طراحی شده است. راهکار مذکور با اتکا به مجموعه‌ای از خدمات و محصولات ارائه شده توسط شرکت فناوری اطلاعات رجاء در حوزه امنیت سیستم‌های کنترل صنعتی، توانایی مرتفع نمودن تهدیدات بالقوه و بالفعل در این حوزه را دارد.

شناسایی و ارزیابی

مرحله اول مربوط به شناسایی و ارزیابی واحد صنعتی به منظور یافتن نقاط ضعف امنیتی می‌باشد. در این مرحله ابتدا واحد صنعتی از نظر فرایندهای عملیاتی، دارایی‌ها و معماری شبکه شناسایی می‌شود و همچنین وضعیت امنیتی آن مورد ارزیابی قرار می‌گیرد. هدف از این فاز ارزیابی سیاست‌ها و رویه‌های امنیتی موجود، شناسایی آسیب‌پذیری‌ها، نواقص پیکربندی، و نقص‌های معماری شبکه می‌باشد. فاز شناسایی و ارزیابی از اهمیت ویژه‌ای برخوردار است و خروجی‌های آن زمینه مناسبی را برای پیاده‌سازی راهکارهای امن‌سازی مناسب جهت کاهش ریسک‌های امنیتی فراهم می‌کند. در این مرحله خدمات زیر توسط شرکت فناوری اطلاعات رجاء ارائه می‌شود:

  • شناسایی فرآیندهای عملیاتی، دارایی‌ها، شبکه و ارتباطات واحد صنعتی
  • شناسایی آسیب‌پذیری‌ها و ارزیابی پیکربندی سیستم‌ها شامل سرورها، ایستگاه‌های کاری، ایستگاه‌های مهندسی، تجهیزات صنعتی مانند PLCها، RTUها، و..
  • ارزیابی معماری شبکه و پیکربندی تجهیزات زیرساخت شبکه صنعتی
  • ارزیابی مخاطرات
  • ممیزی تطابق با طرح ها و استانداردهای شاخص در حوزه امنیت سیستم‌های صنعتی و زیرساخت‌های حیاتی
  • تست نفوذ به شبکه صنعتی (تحت شرایط خاص)

طراحی و امن‌سازی

در بخش امن‌سازی با توجه به آسیب‌پذیری‌ها و نقاط ضعف شناسایی شده در فاز ارزیابی، راهکار امنیتی بر اساس مفهوم دفاع در عمق جهت رفع آسیب‌پذیری‌های شناسایی شده و امن‌سازی ارائه و پیاده‌سازی می‌شود. دفاع در عمق به معنی به کارگیری راهکارهای دفاعی لایه‌ای می‌باشد و سطوح مختلفی چون سیاست‌ها و رویه های سازمانی، آموزش و آگاهی رسانی، امنیت فیزیکی و محیطی، امنیت شبکه و ارتباطات، و امنیت میزبان‌ها را شامل می‌شود. بر این اساس خدمات زیر در این بخش ارائه می‌شود:

  • رفع آسیب‌پذیری‌های شناسایی شده در شبکه صنعتی در مرحله ارزیابی از طریق اعمال وصله
  • امن‌سازی پیکربندی سیستم‌ها شامل ایستگاه‌های کاری، سرورها، ایستگاه‌های مهندسی و…
  • اصلاح معماری شبکه صنعتی بر اساس مفهوم بخش بندی شبکه و تعریف مناطق امنیتی
  • امن سازی و مقاوم‌سازی پیکربندی تجهیزات زیرساخت
  • استقرار راهکارهای EndPoint Security در ایستگاه‌های کاری، سرورها، و ایستگاه‌های مهندسی جهت مقابله با بدافزار
  • استقرار راهکارهای مدیریت تغییرات در شبکه صنعتی
  • آموزش و آگاهی رسانی در حوزه امنیت شبکه های صنعتی
  • ارائه راهکار جهت مطابقت با استانداردها و طرح های شاخص در حوزه امنیت سیستم‌های کنترل صنعتی و زیرساخت‌های حیاتی

در این بخش می توان از محصولات بومی زیر استفاده کرد:

  • سامانه تشخیص نفوذ صنعتی RAJA-IIDS
  • سامانه مدیریت دسترسی های ویژه RAJA-PAM
  • سامانه جلوگیری از نشت اطلاعات RAJA-DLP

تشخیص

از آن جایی که آگاهی از وضعیت شبکه و تشخیص رویدادهای امنیتی در زمان مناسب تاثیر زیادی در انتخاب پاسخ به شکل موثر و بهینه و حداقل ساختن اثرات منفی آن دارد، در این فاز با توجه به وضعیت شبکه طرحی جهت استقرار ابزاهای تشخیص در شبکه ارائه می‌شود. برای این منظور می توان از سیستم‌های تشخیص نفوذ مبتنی بر شبکه، سیستم‌های تشخیص نفوذ مبتنی بر میزبان ها و در سطوح بالاتر از سامانه مدیریت اطلاعات و رخدادهای امنیتی(SIEM) بهره برد.

بعد از پیاده‌سازی تجهیزات تشخیصی، با اتکا به استقرار سامانه مدیریت امنیت اطلاعات و رخداد‌های صنعتی/IT به عنوان قلب تپنده مرکز عملیات امنیت صنعتی می توان بسیاری از موارد مربوط به امنیت دارایی‌های زیرساخت صنعتی را پوشش داد.

در این بخش می توان از محصولات بومی زیر بهره برد:

  • سامانه مدیریت یکپارچه تهدیدات (RAJA-EDR)
  • سامانه تشخیص و جلوگیری از نفوذ شبکه صنعتی (RAJA-Industrial IDS)
  • سامانه پیشگیری از نشت‌داده (RAJA DLP/DRM)

پاسخ‌گویی به رخداد‌ها

با اینکه پس از اجرای فازهای ارزیابی و امن‌سازی سطح حمله سیستم به شدت محدود می‌شود اما به دلیل ماهیت متغیر تهدیدات هیچ گاه نمی توان احتمال روی دادن حملات سایبری را به صفر رساند. پیاده‌سازی فاز تشخیص امکان شناسایی رخدادهای احتمالی را فراهم می کند و در کنار آن وجود قابلیت پاسخ به رخدادهای امنیتی و بازیابی سیستم از اهمیت بالایی برخوردار است. در این حوزه خدمات زیر توسط شرکت فناوری اطلاعات رجاء ارائه می‌شود:

  • رسیدگی به رخدادهای امنیتی شامل واکنش در محل، خدمات جرم‌شناسی و پی جویی حملات و رخدادها، و ترمیم و بازیابی سیستم‌ها
  • تحلیل و بررسی مصنوعات و ابزارهای مورد استفاده در حملات و فعالیت های غیرمجاز همچون بدافزارها
  • ارائه طرح های پاسخ به رخدادهای امنیتی بر اساس استانداردهای مدیریت رخداد جهت تضمین استمرار کسب و کار و بازیابی پس از بحران
  • ارائه طرح تاب‌آوری سایبری و ارزیابی آن در زیرساخت صنعتی

بلوغ امنیت سایبری مبتنی بر اهداف تعیین‌شده و ایجاد چرخه حیات

بعد از پیاده‌سازی کامل راهکار جامع و یکپارچه امنیت زیرساخت‌های صنعتی که متشکل از مجموعه‌ای از خدمات و محصولات بومی تولید شده توسط شرکت فناوری اطلاعات رجاء است، اهداف بلوغ امنیت در زیرساخت تعیین خواهد شد و معماری امنیت پیاده‌سازی شده مبتنی بر راهکار جامع سعی به گذراندن مراحل بلوغ خود خواهد کرد. بعد از گذراندن هدف اول بلوغ، اهداف بعدی مشخص خواهد شد و این چرخه بطور متوالی در جهت بهبود و ارتقا امنیت سایبری در زیرساخت مدنظر تکرار خواهد شد.

/توسط

ارزیابی امنیتی و تست نفوذ

تست نفوذ

Vulnerability Assessment and Penetration Testing

تست نفوذ و امن سازی نرم افزار Software PenTest
آزمون نفوذ و امن سازی برنامه کاربردی موبایل Mobile App PenTest
آزمون نفوذ و امن سازی شبکه و زیرساخت
ارزیابی امنیت سیستم های صنعتی / ICS Cyber Security Assessment

با افزایش گسترش استفاده از فضای تبادل اطلاعات، بایستی موضوع امنیت در این فضا بیش از گذشته مورد توجه قرار گیرد. این فضا در معرض چالش‌ها، آسیب‌ها و تهدیدهای گوناگونی نظیر تخریب بانک‌های اطلاعاتی، حملات مختل‌کننده‌ی خدمات، شنود، خرابکاری، نقض حریم خصوصی و … قرار دارد و نپرداختن یا رویکرد نادرست به امنیت این فضا، خسارت جبران‌ناپذیر مادی و معنوی وارد خواهد آورد.

ارزیابی امنیتی یا Penetration Testing، یك عمل مجاز، برنامه‌ریزی شده و سیستماتیك برای ارزیابی امنیت یک شبکه (شامل تجهیزات فعال و غیرفعال شبکه، سرویس‌دهنده‌ها، سرویس‌گیرنده‌ها، برنامه‌های کاربردی و …) است كه از طریق شبیه‌سازی حمله یك هكر یا نفوذگر خرابكار صورت می‌گیرد. کلیه متخصصان امنیت در حوزه فناوری اطلاعات بر این باورند که تنها روش اطمینان یافتن از امن بودن شبکه‌های رایانه‌ای و زیرساخت‌های ارتباطی و سامانه‌های اینترنتی، انجام عملیات ارزیابی امنیتی (آزمون نفوذپذیری) است.
ارزیابی امنیتی یکی از فعالیت‌های اصلی این مرکز بوده و تیمی با نام تیم ارزیابی در واحد فنی و عملیات این مركز وجود دارد. سه دسته فعالیت توسط اعضای تیم ارزیابی در واحد فنی و عملیات این مركز انجام می‌شود:
ارزیابی زیرساخت: این فعالیت شامل بررسی‌ تنظیمات سخت‌افزار، نرم‌افزار، مسیریاب‌ها، firewallها، serverها و سیستم‌های desktop برای حصول اطمینان از این است که این تنظیمات مطابق با سیاست‌های سازمان و تنظیمات استاندارد صورت گرفته است.

تست نفوذ: در این فعالیت امنیت یک سازمان با انجام حملات طراحی شده بر روی سیستم‌ها و شبکه به منظور شناخت نقاط آسیب‌پذیر بررسی و ارزیابی می‌شود. قبل از انجام تست نفوذ لازم است موافقت مدیریت سازمان حاصل شده باشد زیرا ممکن است انجام برخی‌ از این تست‌ها توسط سازمان منع شده باشد.

پویش: در این فعالیت از ابزارهای پویش ویروس‌ها یا آسیب‌پذیری‌ها استفاده می‌شود تا سیستم‌ها و یا شبکه‌های آلوده یا آسیب‌پذیر تشخیص داده شوند.

/توسط

تولید نرم افزارهای سفارشی سازمانی

شرکت دانش بنیان فناوری اطلاعات رجاء با داشتن دانش فنی و متخصصین لازم در حوزه تحلیل و مدل سازی فرآیندهای سازمانی و با تکیه بر خط تولید نرم افزار خود (SLP) شامل واحدهای طراحی، معماری نرم افزار، برنامه نویسی و تست نرم افزار آمادگی دارد براساس فرآیندهای اختصاصی سازمانها و با لحاظ کردن اهداف و استراتژیهای آنها نرم افزار سفارشی مورد نیاز سازمانها را طراحی و پیاده سازی نماید.

متخصصین شرکت مطابق با استانداردهای مهندسی نرم افزار و الگوهای بین المللی که براساس فرهنگ کسب و کار ایرانی بومی سازی شده است، ابتدا فرآیندها و دستورالعمل­های سازمان را شناسایی و تحلیل کرده (As Is) و پس از مقایسه با روش های جهانی و داخلی (Best Practice)، فرآیندهای بهینه سازی شده مطلوب (To be) را ارائه می کنند.

پس از تائید فرآیندهای مطلوب، با استفاده از زیرساخت دانش بنیان تولید نرم افزار شرکت بهینه، طراحی و تولید نرم افزار انجام شده و ضمانت اجرایی فرآیندها همراه با یکپارچگی اطلاعات در نرم افزار تولید شده فراهم می­گردد.

/توسط

مرکز عملیات امنیت SOC

مرکز عملیات امنیت (SOC) چیست؟

SOC کوتاه شده ی عبارت Security Operation Center و به معنای مرکز عملیات امنیت می باشد. در واقع مرکز عملیات امنیت (SOC) مجموعه ای است که با پایش تمامی فعالیت های ورود و خروج شبکه (LOG) ، تمامی رخداد های امنیتی را جمع آوری و تحلیل میکند و در صورت برخورد با مخاطرات امنیتی با تولید هشدارهای امنیتی و انجام اقدامات مناسب مانع از به خطر افتادن امنیت سازمان شما می شود.

چه سازمان هایی به SOC نیاز دارند؟

برقراری امنیت فقط برای بانک ها و سازمان های مهم و ضروری نیست زیرا دسترسی به اطلاعات محرمانه ی هر سازمان و یا تجارتی می تواند خسارت های جبران ناپذیری را رقم بزند. امروزه با افزایش قدرت تهدیدات و حملات امنیتی و همچنین زیاد شدن تعداد هکر ها برقراری امنیت در سازمان ها و تجارت ها یک امر مهم و حیاتی محسوب میشود. یکی از بهترین و سریع ترین راه های تشخیص مخاطرات امنیتی، بررسی لاگ های سرورها و تجهیزات سازمان ها است که این کار توسط SOC انجام می شود. SOC میتواند حملات درحال انجام را شناسایی کند و با انجام فعالیت های مناسب جلوی اجرای حملات را بگیرد. از این رو شرکت فناوری اطلاعات رجاء پیاده سازی SOC را علاوه بر بانک ها و سازمان های بزرگ، به سازمان ها و تجارت های کوچیک نیز توصیه میکند.

مزایای استفاده از SOC :

از مزایای ایجاد و راه اندازی مرکز عملیات امنیت (SOC) می توان به موارد زیر اشاره کرد:

  • پايش امنيتی تجهيزات، شبكه‌هاي ارتباطي و رايانه‌ها، به صورت 7/24
  • نقطه‌ی تماس متمرکز براي رسيدگي به مشکلات امنيتي کاربران و راهبران شبکه
  • جمع‌آوري و آناليز ترافيک شبکه و توليد گزارشات امنيتي در سطوح مختلف
  • شناسایی تهدیدات و حملات امنیتی در کمترین زمان ممکن
  • پاسخ‌دهي به مشکلات و رخدادهاي امنيتي
  • مدیریت و پایش لحظه ای تهدیدات
  • کاهش هزينه‌هاي مديريت امنيت شبکه

وظایف اصلی ای که SOC انجام می دهد :

  • محافظت فعالانه و شبانه روزی از شبکه
  • مدیریت آسیب پذیری ها
  • مدیریت لاگ های تولید شده در شبکه به وسیله ی راهکارهای امنیتی
  • آگاهی بلادرنگ از تهدیدات امنیتی

فناوری اطلاعات رجاء از معدود مراکز داخل کشور است که توانایی و تجربه پیاده‌سازی مراکز عملیات امنیت را در سطوح مختلف سازمانی و فراسازمانی را داراست.

/توسط

سامانه جلوگیری از نشت اطلاعات DLP

همه روزه اخبار جدیدی در مورد نشت اطلاعات ، تهدیدات کامپیوتری و سو استفاده کاربران منتشر می شود این گونه اشتباهات غالبا به دلیل عدم کنترل و نظارت برسیستم های کامپیوتری رخ می دهد در گذشته بسیاری از حملات با هدف تخریب اتفاق افتاده اند. اما با گذشت زمان و ورود به عصر اطلاعات و ارتباطات هدف حملات نیز تغییر کرده است . امروزه تلاش مهاجمین در راستای دستیابی به اطلاعات سازمانی است . بسیاری از گزارشگران و مشاوران هزینه های امنیتی را تا میلیاردها دلار برآورد کرده اند . با توجه به افزایش کاربران سیستم های اطلاعاتی دسترسی آسان به اطلاعات و رشد و فرایند کاربران مطلع تعداد سو استفاده ها از فن آوری و انواع تهدیدها افزایش یافته است گسترش این نوع حملات لزوم تشکیل تیم امنیتی و یک نرم افزار امنیتی کاملا بومی و مستقل  را پیش از پیش مشخص می نماید.

سامانه ی جلوگیری از نشت اطلاعات (DLP) چیست؟

DLP کوتاه شده ی عبارت Data Loss Prevention و به معنای سامانه ی جلوگیری از نشت اطلاعات می باشد. در سامانه ی جلوگیری از نشت اطلاعات (DLP) اطلاعات حساس به وسیله ی محیط های ابری و دستگاه های قابل حمل مانند موبایل، تبلت، لپتاپ از محیط شبکه خارج میشوند و در نتیجه سارقان با حمله به شبکه ی شما نمی توانند به این اطلاعات مهم دسترسی پیدا کنند. در ادامه به بررسی دقیق تر ویژگی های DLP و مزایای استفاده از آن خواهیم پرداخت.

مزایای DLP :

  • شما میتوانید به وسیله ی موبایل، تبلت و لپتاپ خود در هر زمان و هر مکان که هستید به اطلاعات خود دسترسی پیدا کنید.
  • میتوانید اطلاعات کاربران داخلی و خارجی شبکه خود را مانیتور کرده و در هر زمان آن ها را مشاهده و بررسی نمایید.
  • DLP امنیت شبکه شما را افزایش داده و مانع از به سرقت رفتن اطلاعات مهم شما میشود.
  • امکان برقراری ارتباط بین اعضای شبکه به صورت امن.
  • امکان استفاده از بیش از 60 سیاست امنیتی آماده و ساخت سیاست امنیتی جدید مخصوص سازمانتان.
  • امکان مدیریت و رسیدگی به رخداد های سرور با استفاده از یک کنسول تحت وب.

اجزا تشکیل دهنده

  • سرور گزارش گیری و رویداد نگاری
  • سرور مدیریت کلید های رمز نگاری
  • سرور پایگاه داده
  • سرور SFTP
  • کنسول مدیریت و راهبردی
  • عامل کلاینتی

امکانات امنیتی

  • تعیین سطح دسترسی به منابع اطلاعاتی بر اساس نقش افراد، سطح حساسیت داده و خط مشی امنیتی سازمان
  • امکان تعریف و اعمال سیاست های گروهی در محیط های workgroup / domain
  • کنترل تمام درگاه های سخت افزاری سیستم های انتهایی
  • اعمال انواع سیاست های امنیتی بر روی دیسک ها، برنامه کاربردی و فایل ها
  • رمزنگاری انواع فایل ها و دستگاه ها به صورت نامحسوس و الگوریتم رمز نگاری خاص بومی و غیرقابل بازگشت با استفاده از ویژگی application protection
  • رمز نگاری فایل های ارسالی و دریافتی توسط ایمیل و کنترل ایمیل ها بر اساس نوع و پسوند فایل های پیوست شده
  • تعیین / تعریف انواع الگوریتم رمز نگاری خاص برای هر گروه
  • تعیین مجوز رمزگشایی برای کاربران
  • تهیه پشتیبان از کلیه فایل های موجود بر روی دستگاه ها پیش و پس از رمز نگاری
  • کنترل و ردیابی چاپگرها با توجه به سطوح دسترسی مختلف ، نام چاپگر ، برنامه های کاربردی مرتبط کاربران ، زمان چاپ ، ip ، mac و …
  • قابلیت نشانه گذاری و ردیابی
  • انتقال کلیه داده ها بین کلاینت ها و سرور / سرور ها با پروتکل SSL
  • قابلیت استفاده از سیاست های امنیتی آماده
  • قابلیت ساخت سیاست امنیتی جدید متناسب با نیاز های سازمان خود در سامانه جلوگیری از نشت اطلاعات (DLP)

امکانات مدیریتی سامانه جلوگیری از نشت اطلاعات DLP

  • امکان گزارش گیری از نوع و نام چاپگر ، زمان چاپ ، تعدادصفحات چاپ شده ، کاربر و …
  • تعریف لیست سیاه و سفید از چاپگر ها، انواع دستگاه های ذخیره سازی و دیگر سخت افزار ها، انواع برنامه های کاربردی
  • تهیه خودکار فهرستی از دارایی های نرم افزاری و سخت افزاری سازمان و فهرستی از سخت افزار های مجاز و ثبت تغییرات آن ها
  • ثبت و جستجوی سیستم ها بر اساس تاریخ ، زمان و محدودیت آن ها
  • تولید گزارشات کامل از فایل های ارسالی و دریافتی در سامانه ایمیل
  • اعمال تنظیمات شبکه بر روی کلاینت ها
  • مدیریت وصله ها، سرویس ها، درایورها و اشتراک گذاری داده ها
  • کنترل انتقال اطلاعات در شبکه
  • دسته بندی نرم افزار ها بر اساس دسترسی به شبکه اینترنت
  • ثبت ترافیک آپلود و دانلود شبکه به تفکیک اینترانت و اینترنت و بر اساس UDP ، TCP و ICMP
  • مدیریت کنترل کلیه تنظیمات شبکه ، IP و PROXY
  • تهیه و نمایش گزارشات جامع و بلادرنگ از URL ها و تهیه فهرست های سیاه و سفید از صفحات وب
  • امکان تعریف چندین مدیر در سطوح و لایه های کاربردی مختلف
  • ارسال پیام های اخطار و هشدار در صورت نقض سیاست ها به مدیر از طریق ایمیل ، پیام کوتاه ، پیام صوتی اجرای یک برنامه و …
  • امکان ارسال پیام های سفارشی به کاربران مطابق با سیاست های اعمالی به کاربران
  • گزارش نقاط آسیب پذیری کلاینت ها
  • دسترسی به کامپیوتر ها و کاربران گروه ها و امکان دسترسی راه دور به کلاینت ها از طریق کنسول مرکزی
  • تعیین محدوده زمانی مجاز برای روشن کردن و ورود به سیستم و تعیین میزان مجاز استفاده از منابع سیستم برای هر نرم افزار
  • امکان گرفتن عکس از صفحه نمایش کاربر در زمان مشخص و براساس یک رویداد خاص
  • مشاهده و اعمال تغییرات بر روی انواع کلاینت ها
  • مدیریت و شروع به کار دوباره و حالت خواب سیستم ها
  • کنترل و نظارت بر فعالیت کاربران در سرتاسر فرایند تولید انتقال پردازش و تغییر محتوای داده
  • اعمال سیاست های هشداری و نظارتی براساس تغییرات سخت افزاری و نرم افزاری
/توسط

سامانه مدیریت دسترسی های ویژه PAM

سامانه مدیریت و نظارت بر دسترسی راه دور RAJA-PAM تلاشی است در راستای ایجاد بستری امن و انعطاف پذیر جهت رفع نیازهای امنیتی و عملیاتی سازمانها و ارگانهای بزرگ که می توانند در دراز مدت با پیشگیری از مخاطرات امنیتی و سهولت استفاده منجر به صرفه جویی اقتصادی چشمگیری گردد.

ویژگی های سامانه در بخش مدیران

  • قابلیت جستجو در ورودی های صفحه کلید به منظور یافتن دستورات یا ورودی های مخاطره آمیز
  • مشاهده اتصالات در حال انجام به صورت زنده شامل صفحه نمایش ، صفحه کلید ، کلیپبورد و انتقال فایل
  • تعریف هشدارهای مدیریتی با نمایه های قابل تعریف جهت واکنش سریع به رویدادهای حاصل از تعامل کاربران با منابع شبکه
  • ایجاد کاربران ” حسابرس ” با اختیارات قابل تعریف
  • دسترسی به اطلاعات ثبت شده کاربران یا اتصالات خاص
  • نوع دسترسی مانند صفحه نمایش ، اطلاعات کیبورد ، کلیپبورد و یا انتقال فایل
  • مشاهده فهرست اتصالات در حال انجام و خاتمه پذیرفته به همراه جزییات اتصال
  • دریافت کامل تعامل کاربر به صورت لحظه ای
  • مشاهده وضعیت سامانه به منظور بررسی بار و اطلاعات لحظه ای سامانه

ویژگی های ” سامانه مدیریت و نظارت بر دسترسی راه دور”

  • واسط کاربری مبتنی بر فناوری های وب HTML5 و WebSocket
  • بدون نیاز به نصب هرگونه Plugin یا افزودنی جانبی
  • امکان دسترسی از طریق دستگاه های همراه مانند تلفن همراه یا تبلت
  • امکان Export تعامل کاربر به صورت ویدئو (صفحه نمایش) و فایل های متنی (کیبورد)
  • نصب و راه اندازی بدون نیاز به اعمال تغییرات در زیر ساخت شبکه
  • مدیریت آسان و قدرتمند برای کاربران و مدیران سامانه
  • ثبت دقیق وقایع در طول ارتباط کاربران با منابع شبکه
  • بازبینی کامل تعامل کاربر با منابع شبکه با اعمال زمان بندی دقیق
  • صفحه نمایش
  • صفحه کلید
  • ماوس
  • کلیپبورد
  • انتقال دو طرفه فایل
  • ثبت کلیه رویدادهای سامانه مانند ورود ، اتصال و قطع کاربران و ارسال آنها به سایر سامانه های ثبت متمرکز وقایع
  • دروازه دسترسی مبتنی بر وب
  • بدون نیاز به هیچ‌گونه افزونه جانبی
  • دسترسی از طریق دستگاه‌های همراه مانند گوشی‌های هوشمند
  • اعمال محدودیت دسترسی بر اساس گزاره‌های تقویمی
  • دسترسی کامل به صفحه کلید، صفحه نمایش، موس، کلیپبورد و انتقال دوطرفه فایل
  • شبیه‌سازی موس در دستگاه‌های لمسی
  • امکان ذخیره‌سازی و یا درخواست اطلاعات حساب‌های کاربری در هنگام اتصال
  • تعامل با راهکار‌های احراز هویت چندوجهی
RAJA PAM
  • بازپخش دقیق نشست کاربر به همراه اطلاعات جانبی
  • ارائه اطلاعات مربوط به صفحه کلید به صورت مجزا
  • ارائه صفحه نمایش کاربر به صورت فایل ویدئو
  • مدیریت دسترسی مدیران شبکه با ریزدانگی مناسب
  • تولید اخطارهای از پیش تعریف شده بر اساس وقوع مجموعه شرایط و رفتارهای خاص
  • ثبت وقایع و گزارش‌گیری
  • امکان تعامل با سامانه‌های خارجی گزارش‌گیری و ثبت وقایع
  • جستجو در مجموعه عملکرد‌های کاربر و اطلاعات کالبد‌سنجی

نصب و را‌ه اندازی آسان در محیط‌های سازمانی بزرگ
بدون نیاز به اعمال تغییرات در سیاست‌های موجود شبکه
قابل ارائه به صورت نرم‌افزاری و یا تجهیز سخت‌افزاری
امکان تعامل با زیرساخت‌های بانک اطلاعاتی و ذخیره‌سازی موجود

RAJA PAM
/توسط

سامانه مدیریت و کنترل ریسک GRC

در چند سال اخیر، سازمان‌ها و بانک ها با افزایش جدی در ریسک‌های عملیاتی و کسب‌وکار مواجه شده اند. همچنین چگونگی مدیریت و راهبری فعالیت‌های سازمان و بانک‌ها، همراستا با نیازهای ذینفعان، مقررات و الزامات داخلی و بین‌المللی، بازار و ریسک‌های کسب و کار و فرهنگ سازمان به عنوان مهمترین چالش‌های پیش رو در همه صنایع و خصوصا صنعت بانکی مطرح گردیده است. به منظور برطرف نمودن چالش‌های مذکور ، در چند سال اخیر در سطح بین‌المللی استقرار مفهوم GRC مورد توجه جدی قرار گرفته است.
استقرار GRC تمامی فعالیت‌های سازمان در سه حوزه حاکمیت، مدیریت ریسک و انطباق با الزامات را پوشش می‌دهد. فرایندهای مرتبط با حاکمیت(Governance) ، ساختاری برای راهبری و اعمال اختیارات لازم در راستاي حصول اهداف استراتژيک سازمان ارائه می‌نماید؛مدیریت ریسک، شامل فرایندهای شناسایی، تحلیل، ارزیابی و کنترل ریسک می‌باشد؛ و انطباق با الزامات به معنای استقرار فرایندهای لازم در اطمینان از اجرای قوانین و استانداردهای داخلي و خارجي است که برای کسب‌وکار مورد نظر تعریف شده‌اند.
اجرای مدل یکپارچه GRC، نیازمند تعریف و ایجاد ارتباطات واضح و بدون ابهام میان نقش‌ها و مسئولیت‌ها در این فرایندها می باشد. همچنین برای پیشبرد این فرایندهای در هم آمیخته لازم است تا یک نقطه مرجع در سازمان تعیین و منابع اطلاعاتی مشترک ایجاد شوند. برای استقرار GRC، بررسی و مطالعه چارچوب‌ها و استانداردهای این حوزه ضروری است. با پیاده‌سازی صحیح GRC، انتظار می‌رود که تصمیمات جامع‌تر، مبتنی بر ریسک و به منظور کاهش هزینه‌ها و افزایش بهره‌وری سازمان‌ها و بانک‌ها قابل حصول باشد.
شرکت فناوری اطلاعات رجاء با تحقیق و توسعه سامانه بومی RAJA-GRC طی پنج سال اخیر مطابق با مدل بلوغ و الزامات طرح امن سازی افتا، استانداردهای C2M2, ISMS, BCP/BCM و سایر استانداردها و سیاستنامه های داخلی سازمان ها، گامی موثر در مدیریت و انطباق ریسک در بخش دولتی و خصوصی برداشته است.

RAJA-GRC

راه حلی ساده برای یکپارچه سازی روند ممیزی و هم سطح نمودن فرآیند های محاسبه انطباقی سنجی ها و مخاطرات حوزه فناوری بالاخص حوزه بانکداری بوده که با خودکارسازی روند ممیزی در سطح کارشناسان فنی ,قادر به برآورد دوره ای از میزان انطباقات با چک لیستهای فنی تدوین شده از تجربیات فنی و دانش روز امن سازی خواهد بود.

قابلیت های کلیدی نرم افزار

  • نرم‌افزار RAJA-GRC با به کارگیری جدیدترین تکنولوژی های روز جهانی در بستر تحت وب ارائه گردیده که به واسطه این امر در هر زمان بدون نیاز به نرم افزار واسط قابل دسترس خواهد بود.علاوه بر آن میتوان به قابلیت های کلیدی زیر نیز اشاره نمود:
  • تعریف زیر مجموعه های سازمان (سازمان ,بخش ,پست سازمانی ,کاربر)
  • جمع آوری تمامی دارایی های موجود در مجموعه به صورت سلسله مراتبی و قابلت اتصال API
  • تعریف دانشنامه برای محاسبات انطباق سنجی, ریسک, سطح و بلوغ
  • تعیین سطوح انطباق سنجی, ریسک و بلوغ
  • اعلانات امنیتی مندرج در منابع معتبر به صورت دوره ای یا همزمان(Security Advisory)
  • محاسبات ریسک پرسنلی
  • گزارشگیری و خروجی فایل های Word, Excel, PDF
  • داشبورد مدیریتی جهت مشاهده کلی وضعیت سازمان در لحظه
  • تعیین گردش کار زیر پروژه های امن سازی

ویژگی های خاص سامانه RAJA-GRC

  • ظاهر زیبا و کاربر پسند با قابلیت نمایش در صفحه نمایش های مختلف
  • احراز هویت با اکتیو دایرکتوری
  • رمز نگاری داده و قابلیت اتصال با توکن در صورت نیاز
  • ارائه بر روی زیر ساخت های لینوکسی و کانتینری جهت اَبری سازی
  • Firewall داخلی
  • WAFداخلی منطبق با Rule های OWASP
  • قابلیت ارسال Log بر روی SIEM در مراکز SOC
  • آنتی ویروس داخلی جهت بررسی فایل های آپلود شده بر روی سامانه
  • بروزرسانی آفلاین سامانه در سطح نرم افزاری و دانشنامه ها
/توسط

مشارکت در توسعه زیرساخت های شبکه دولت با بیش از بیست هزار Node

شبکه دولت، مجموعه‌ای امن، قابل اطمینان و با پهنای باند مناسب از زیرساخت‌های ارتباطی، سخت‌افزاری و نرم‌افزاری استاندارد با برخورداری از سرمایه‌های معنوی و بر اساس قوانین، مقررات و توافقات است که به هدف تسهیل، تسریع و امن سازی تبادل اطلاعات بین ذی‌نفعان و ارائه خدمات الکترونیکی به آن‌ها، در لایه‌های عمومی و اختصاصی با رعایت الزامات امنیتی متناسب با سطوح دسترسی ایجادشده است.

در تعریف فوق نکات زیر حائز اهمیت است:

  • در تعریف فوق امنیت به مفهوم رعایت محرمانگی (تنها کاربران یا سیستم‌های مجاز اجازه و قابلیت دسترسی به اطلاعات محافظت‌شده را دارا باشند)، صحت (سرمایه‌های داده‌ای تنها توسط عامل‌های احراز هویت شده و یا راه‌های تأییدشده، دست‌کاری شوند) و در دسترس بودن (به معنای دسترسی به‌موقع به داده‌ها و منابع توسط افراد مجاز) می‌باشد.
  • در تعریف فوق، قابلیت اطمینان به معنای توانایی عملیاتی نگه‌داشتن خدمات شبکه دولت باقابلیت عملکردی مناسب در طول زمان می‌باشد.
  • در تعریف فوق پهنای باند مناسب به معنای شبکه پهن باند است که قابلیت انتقال انواع داده و اطلاعات اعم از متن، صدا و تصویر را دارا می‌باشد.
  • در تعریف فوق زیرساخت‌های ارتباطی شامل کانال‌های ارتباطی اعم از فیبر نوری، اترنت، کابل کواکسیال، زوج سیم و سایر بسترهای مخابراتی می‌شود. زیرساخت سخت‌افزاری، شامل تجهیزات مخابراتی و سخت‌افزارهای سوییچینگ، مسیریاب، سرورها، تجهیزات امنیتی و ذخیره‌سازی می‌شود. زیرساخت نرم‌افزاری نیز، شامل انواع سامانه‌های نرم‌افزاری موجود بر روی شبکه دولت اعم از سامانه‌های کاربردی، ارتباطی، امنیتی، زیرساختی می‌شود.
  • تمامی زیرساخت‌های ارتباطی، سخت‌افزاری و نرم‌افزاری که در شبکه دولت مورد استفاده قرار می‌گیرند باید در چارچوب استانداردهای اختصاصی شبکه دولت اعم از استانداردهای فنی، تعامل‌پذیری و مدیریتی ارائه شوند.
  • سرمایه‌های معنوی در شبکه دولت طیف گسترده‌ای از کاربران، نیروی انسانی (مدیران و کارشناسان)، دارایی‌های فکری، مستندات، داده‌ها، اطلاعات و سایر دارایی‌های غیر مشهود را شامل می‌شود. سرمایه‌های معنوی با گذر زمان رشد چشم‌گیری داشته و ارزش افزودهٔ زیادی به شبکه دولت اضافه خواهند کرد که همین امر منجر به توجیه اقتصادی هزینه‌های توسعه و نگهداری شبکه دولت می‌شود.
  • شبکه دولت، به عنوان طرح ملی باید بر اساس قوانین، مصوبات، آیین‌نامه‌ها و دستورالعمل‌های اجرایی توسعه و پشتیبانی یابد و در سایر مصوبه‌ها و قوانین به عنوان زیرساخت اصلی ارتباطی بین دستگاهی به رسمیت شناخته شود.
  • شبکه دولت به دلیل حذف مکاتبات کاغذی برای تبادلات اطلاعات بین ذی‌نفعان می‌تواند منجر به تسریع این تبادلات شود. همچنین به دلیل ارائه خدمات متنوع در قالب این شبکه برای پشتیبانی از تبادلات اطلاعات بین دستگاه‌های کشور، این شبکه منجر به تسهیل تبادل اطلاعات خواهد شد. در نهایت به دلیل جدا بودن زیرساخت این شبکه از اینترنت، و رعایت الزامات امنیتی متناسب با سطوح دسترسی، این شبکه می‌تواند منجر به امن‌سازی تبادل اطلاعات بین ذی‌نفعان شود.
  • خدماتی که بر روی شبکه دولت ارائه خواهند شد، به لحاظ امنیت، مقیاس‌پذیری و ماهیت کاربران در دو گروه عادی و طبقه‌بندی شده قرار می‌گیرند. خدمات طبقه‌بندی شده به گروه محدودی از ذی‌نفعان ارائه خواهند شد که رعایت الزامات امنیتی حداکثری در مورد آن‌ها حائز اهمیت بیشتری خواهد بود و خدمات عادی به تمامی ذی‌نفعان ارائه خواهند شد که مقیاس‌پذیری شبکه و تعامل‌پذیری با سایر شبکه‌های موجود در مورد آن‌ها حائز اهمیت بیشتری خواهند بود. لذا به منظور پوشش مناسب این خدمات، شبکه دولت در دو لایه عمومی جهت ارائه خدمات عادی و اختصاصی جهت ارائه خدمات طبقه‌بندی شده توسعه خواهد یافت.

نهاد ریاست جمهوری ستاد اداری رییس‌جمهور برای اداره و مدیریت کشور است با توجه به نقش فناوری اطلاعات در کمک به انجام مطلوب مأموریت‌های اصلی نهاد، شبکه دولت برای ایجاد جریان اطلاعات صحیح و بهنگام جهت تصمیم‌سازی به‌منظور هماهنگی و نظارت برای تعاملات بین دستگاهی، باهدف ارتباط امن و باکیفیت در سطح مدیران اجرایی کشور توسط نهاد ریاست جمهوری ایجاد گردید.

از سال ۱۳۷۶ به‌منظور تبادل اطلاعات و مکاتبات در سطح دستگاه‌های عضو هیأت دولت شبکه دولت راه‌اندازی و مورد بهره‌برداری قرار گرفت. این شبکه اثربخشی قابل‌توجهی از حیث افزایش سرعت و کاهش هزینه در ارسال و دریافت مکاتبات بین دستگاه‌های متصل داشت.

در سال ۱۳۸۰ با توجه به تأمین بخش عمده‌ای از اطلاعات موردنیاز دولت و وزارتخانه‌ها توسط سازمان‌ها و ادارات کل استانی، اتصال سایر دستگاه‌های اجرایی و ادارات کل استانی به شبکه دولت آغاز شد.

از سال ۱۳۸۰ تا ۱۳۸۵ با حمایت نهاد ریاست جمهوری و همکاری استانداری‌ها، شبکه دولت در استان‌ها تا سطح ادارات کل توسعه یافت.

از سال ۱۳۸۵ تا ۱۳۸۸ با برقراری ارتباط شبکه‌های استانی با هسته مرکزی، شبکه یکپارچه دولت ایجاد و در تاریخ ۲۳/۷/۱۳۸۸ توسط رییس‌جمهور محترم وقت الزام استفاده از شبکه دولت برای انجام تبادل مکاتبات و اطلاعات بین دستگاه‌های دولتی ابلاغ گردید.

طی سال‌های ۱۳۸۸ تا ۱۳۹۳ شبکه دولت در سطح شهرستان‌ها توسط استانداری‌ها با مشارکت فرمانداری‌ها و هماهنگی نهاد ریاست جمهوری گسترش یافت.

شبکه دولت تا تیرماه ۱۳۹۳ با ۸۳۸۸ نقطه، ۶ سامانه کاربردی فرا سازمانی (سامانه یکپارچه مراسلات الکترونیکی دولت (سیماد)، سامانه الکترونیکی ارتباط مردم و دولت (سامد)، سامانه نظارت الکترونیکی (دیوان محاسبات کشور)، سامانه نظارت آنی معاونت نظارت مالی و خزانه‌داری کل کشور (سناما) و سامانه سفرهای خارجی کارکنان دولت) با بیش از ۲۴۰۰۰ کاربر با مدیریت و راهبری مرکز فناوری اطلاعات، ارتباطات و امنیت نهاد ریاست جمهوری توسعه‌یافته است.

تا پایان بهمن ماه ۱۳۹۴ شبکه دولت با اتصال ۱۲۶۵۰ واحد اداری در سطح کشور از ۲۴ سامانه و خدمت شبکه دولت استفاده نموده اند.

شبکه دولت با ایجاد بستری قابل‌اعتماد در برقراری ارتباط و تبادل الکترونیکی اطلاعات بین ستاد وزارتخانه‌ها، سازمان‌ها، استانداری‌ها و ادارات کل استانی را با امنیت و پایداری بیشتر میسر ساخت. این بستر با به حداقل رساندن مکاتبات کاغذی، تأمین اطلاعات موردنیاز سازمان‌ها و مدیران دولتی را تسریع نموده و امکان فعالیت نظام مدیریت اطلاعات و نظام‌های پشتیبانی تصمیم را در راستای تحقق دولت الکترونیکی فراهم نموده است.

  • هدف شبکه دولت

چشم‌انداز:

شبکه دولت به عنوان مهم‌ترین شبکه ارتباطی بین دستگاهی، با نقش مؤثر در همسوسازی و هماهنگی به منظور استفاده از تمامی ظرفیت‌ها و سرمایه‌های فناوری اطلاعات و ارتباطات کشور و ارائه همه خدمات الکترونیکی دولت به صورت یکپارچه و امن به ذی‌نفعان، زمینه تحقق دولتی فراگیر، هوشمند و با سطح بالایی از شفافیت و سلامت اداری را فراهم خواهد نمود.

بیانیه مأموریت

شبکه دولت با بهره‌گیری از استانداردها و نظام‌های مدیریتی، زیرساخت‌های ارتباطی، سخت‌افزاری و نرم‌افزاری را فراهم می‌نماید تا تعاملات الکترونیکی، جریان صحیح اطلاعات و خدمات یکپارچه به صورت آسان، امن و سریع به ذی‌نفعان ارائه گردد.

اهداف عالی شبکه دولت

اهداف عالی شبکه دولت عبارت‌اند از:

  • بهبود سرعت، صحت، امنیت و قابلیت اطمینان جریان اطلاعات بین ذی‌نفعان شبکه دولت
  • انجام تمامی تعاملات الکترونیکی بین دستگاهی کشور از طریق شبکه دولت
  • استانداردسازی تعاملات و ارتباطات الکترونیکی بین ذی‌نفعان
  • گسترش شبکه دولت در سطح کشور به منظور فراهم نمودن امکان دسترسی کلیه ذی‌نفعان
  • فراهم‌سازی بستری مناسب برای پیاده‌سازی فرآیندهای مرتبط با ماموریت‌های دولت
  • تأمین امنیت اطلاعات حیاتی کشور در فضای مجازی و مقابله با تهدیدات امنیتی
  •  تأمین زیرساخت‌های لازم جهت برقراری ارتباطات بین مقامات کشور در شرایط بحرانی

شرکت فناوری اطلاعات رجاء مشارکت گسترده ای در بهبود امنیت و توسعه زیرساخت های شبکه دولت از سال 95 تا کنون داشته است.

/توسط

مشاور فناوری اطلاعات طرح ملی ادغام پنج بانک در بانک سپه

شرکت فناوری اطلاعات رجاء مشاوره در حوزه فناوری اطلاعات، طرح ادغام پنج بانک در بانک سپه

شرکت فناوری اطلاعات رجاء مشاوره در حوزه فناوری اطلاعات، پروژه مهاجرت به بانکداری الکترونیک نوین بانک سپه (Core-Banking)

/توسط