چالش های تفکیک فیزیکی شبکه ها (جداسازی اینترنت از شبکه داخلی!)

منتشر شده توسط مدانت در اکتبر 19, 2018

دسته بندی

مدیریت فناوری اطلاعات

تگ ها

چالش های تفکیک فیزیکی شبکه ها

مدانت

[ مجری تخصصی پیاده‌سازی چارچوب ITIL ]

راه های افزایش امنیت شبکه و اطلاعات سازمان بدون تفکیک شبکه

در اکثر سازمان های مستعد خطر، با دو چیز متفاوت مواجه هستیم:

سازمان هایی که ابزارهای مناسب ندارند.
سازمان هایی که ابزارهای مناسب دارد اما یا درست پیاده سازی نکرده اند یا درست استفاده نمی کنند.

هر دوی این سازمان ها با خطرات امنیتی فراوانی مواجه می شوند.

موضوع خطرات امنیتی یک بحث است و ارایه راهکارهای غیر حرفه ای یک بحث دیگر! گاهاً راهکارهایی برای رفع خطرات امنیتی ارایه می شود که کاملاً نشان از وجود رویه های غلط کارشناسی و تصمیم گیری های نادرست مدیریتی در فناوری اطلاعات و ارتباطات است.

دنیای امنیت سایبری با سرعت زیاد پیشرفت می کند و در عین حال پیشرفت های فناوری ها به طور فزاینده ای به هکرها و مجرمان سایبری هم برای سوء استفاده از نقاط ضعف امنیتی کمک می کند به عبارتی دزد و پلیس هم راستای هم پیشرفت می کنند. نمودار ثابت افزایش حملات سایبری یک نگرانی عمده برای کاربران اینترنت و سازمان ها هست و باید باشد!

اخیراً در ایران هم به دلیل برخی بدافزارها، سبب جداسازی شبکه داخلی از اینترنت، توسط واحد امنیت فناوری اطلاعات هر سازمانی شده است که خود این موضوع علاوه بر ایجاد مشکلات فراوان هزینه های بسیاری زیادی برای تفکیک فیزیکی دو شبکه اینترانت و اینترنت در بر داشته در بسیاری از سازمان های دولتی و خصولتی! به شدت این موضوع با هزینه های خرید سخت افزار مجزا برای دسترسی به اینترنت و سخت افزار مجزا سبب تحمیل میلیون ها تومان هزینه صرف یک ایده امنیتی ساده شده که از پایه اشتباه است:

مطلب مرتبط: تنها نقطه‌ی تماس

چالش های تفکیک فیزیکی شبکه ها

خرید هنگفت و تجهیز مجدد سازمان برای دو نوع دسترسی به دو شبکه
از بین رفتن نظام آراستگی ۵S با توجه به ازدحام ایستگاه های کاری میزهای کارکنان
افزایش نرخ خرابی ها به واسطه افزایش حجم تجهیزات
افزایش تعداد درخواست های کاربران برای استفاده از خدمات هر دو شبکه
کاهش شدید توانایی امنیتی کارشناسان و عدم استفاده از افراد ماهر در امنیت به واسطه ساده سازی روش امنیتی
افزایش تعدد و تکثر کارشناسان پشتیبانی با توجه به افزایش حجم کار
افزایش زمان رسیدگی به درخواست ها با توجه به محدودیت های فیزیکی اعمال شده

اما متاسفانه علیرغم وجود چالش های فوق قریب ۸۰% شبکه های سازمانی بطور فیزیکی از هم جدا شده! که مهمترین دلایل زیربار رفتن این موضوع به استفاده از ساده ترین روش! امنیتی و فقر دانش امنیتی مدیران و کارکنان فناوری بر می گردد!

من سازمانی را دیدم که ۲۰۰ دستگاه All-in-one برای تفکیک اینترنت به کارکنان خود داد!

من سازمانی را دیدم که کلا زیر ساخت شبکه جاری را بطور موازی برای اینترنت هم، تجهیز کرد!

وقتی از کارکنان امنیت می پرسید : چرا!؟

می گویند: مهمترین دلیل امنیتی ما: حذف مسیر بجای کنترل مسیر است!

مطلب مرتبط: دسته بندی خدمات بزرگترین رمز کاربری ابزار ITIL

این دقیقا شبیه این مثال است: فرض کنید که یک مسیر جاده ای مرتبا بر اثر تصادف قربانی می گیرد آیا بهترین راهکار، حذف آن مسیر و حذف تردد از آن است!؟

قطعاً می گویید: نه! چراکه آن راه، ایجاد شده تا شما را به جایی برساند.

نرخ تکرار حادثه تصادف می تواند مبتنی بر هر گونه سناریو محتمل اعم از :دست اندازها و شانه های خالی جاده، کیفیت پایین خودروها، نبود تابلوهای هشداردهنده، رانندگی غلط، نبود دوربین های بازدارنده برای رانندگان خاطی و سریع! باشد بنابراین اگر ساز و کار بهبود راه، بهبود وسایل نقلیه، بهبود هشدارها روشهای اطلاع رسانی ها و در نهایت آموزش صحیح رانندگی و از همه مهمتر دوربین های نظارتی و پلیس نباشد نه تنها آن مسیر بلکه هر روز به تعداد مسیرهایی که بدلیل فقدان همین موارد باید از مسیر تردد جاده ای حذف شود افزایش پیدا می کند پس مشکل کماکان پابرجاست بی آنکه بطور ریشه ای آنرا مرتفع کرده باشیم!

همین سناریو در امنیت فناوری اطلاعات و ارتباطات هم تکرار می شود! اگر کارشناسان امنیت فناوری را پلیس بدانیم آنها کاری جز حذف راه و حذف تردد از آن راه را بلد نیستند! به عبارتی آنها پلیس های نابلد فناوری اطلاعات و ارتباطات هستند.

در مراجعاتی که به اکثر سازمان های کشور داشتم متاسفانه این رویه غلط جریان دارد و به باور من که از بیرون، سازمان ها را می بینم می قبولاند که فقر دانش امنیت و نظام دستوری، آفت جدیدی است که گویی هر روز در حال گسترش بیشتر است.

اما اگر آنها قدری با تکنولوژی به روز و استاندارد آشنا باشند نه تنها مسیر را حذف نمی کنند بلکه بطور قائم می توانند بر طول مسیر نظارت ویژه ای داشته باشند از مهمترین راهکارهای برون رفت از چالش های تفکیک فیزیکی شبکه به دو قسمت شبکه داخلی و اینترنت موارد زیر است:

مطلب مرتبط: تمرینات مدیریتی در ITIL4- مدیریت دانش

استفاده از تفکیک کردن یا Segment کردن شبکه ها با استفاده از روتر
ایجاد سایت های اینترنتی عمومی، سازمانی پر استفاده بصورت Walled Garden
پیاده سازی فرایندهای امنیتی آموزشی و پیشگیرانه ISMS
پیکربندی استاندارد احراز هویت کاربران بر پایه LDAP یا Active Directory
استفاده از ابزارهای نرم افزاری نظارتی برای سنجش عمکلرد شبکه، کاربران

اکثر سازمان ها ابزارهایی نظیر مانیتورینگ، اکیتودایرکتوری، سیستم های اکانتینگ ایمیل و اینترنت و VLAN شبکه، دستور العمل های امنیتی و.. را دارند اما گویی فقط دارند! هرگز آنها را بطور موثر استفاده نمی کنند. در اینجا می خواهم به شرح راهکارهای برون رفت از چالش های تفکیک سازی فیزیکی شبکه بپردازم تا دقیقا از چیزهایی هست به نحو صحیح استفاده کنیم و یا اگر نداریم، داشته باشیم، تا شبکه ای ایمن، کارآمد و مورد انتظار همه داشته باشیم.

ادامه مطلب در صفحه بعد…

مدانت

شرکت‌ مدانت از برندهای محبوب فناوری‌ اطلاعات و ارتباطات در حوزه‌ی آموزش، پیاده‌سازی و عرضه ابزار ITIL، تجارت آنلاین، تحول دیجیتال و ارایه‌‌کننده‌ی محصولات مدیریتی تحت‌وب در ایران است. این مقاله‌ی آموزشی منحصراً مربوط به مدانت بوده و برای نخستین بار توسط این شرکت برای شما تولید و منتشر شده.