محیط های نظامی و امنیتی بهشت کارشناسان امنیت

سالهاست که دارم به عناوین مختلف در حوزه امنیت در سازمان های مختلف و متنوع فعالیت می کنم . اما هیچوقت لذتی که در محیط های نظامی و ... در حوزه امنیت تجربه کردم رو نتونستم حس کنم . به زبان ساده تر بگم ، وقتی شما یک کارشناس امنیت اطلاعات هستید و قرار هست یک طرح امنیتی بدید خیلی خوبه ، اما اینکه طرح شما اجرایی بشه و وسط اجرا چه اتفاقاتی بیوفته و چه مخالفت هایی بشه و چه پارتی بازی هایی بشه و چه فامیل بازی هایی بشه واقعا آزار دهنده هست و این امکان رو ندارید که بدون دغدغه قدرت پیاده سازی طرحتون رو پیاده سازی کنید .

حتما می دونید راجع به چی صحبت می کنم . راجع به روابطی که در سازمان های مختلف وجود داره که باعث میشه امنیت به درستی پیاده سازی نشه . طرف باجناق عموی مدیرعامله ! میگه نمیخام فلش مموریم بسته باشه ! طرف شوهر خواهر برادرزاده امور مالی سازمان هست و میگه من فقط باید رو سیستم Administrator باشه ! طرف عمه کتی سازمانه و هر کاریش می کنی میگه من لپ تاپمو با خودم باید بیارم و ببرم ! طرف X هست و میگه من باید گوشیم به وای فای سازمان وصل بشه از اینترنت استفاده کنم ! و هزاران مثال و تجربه دیگه که همه اینها در نهایت باعث عدم پیاده سازی درست امنیت میشه .

شاید با خودتون بگید که خوب حالا عده این افراد در سازمان کم هست ، شاید تو یه سازمان 200 نفره دو سه نفر اینجوری باشن ! اما این حرف شما کاملا اشتباه هست چرا ؟ چون قانون امنیت اطلاعات میگه که امنیت شما برابر است با ضعیف ترین نود شبکه شما و این یعنی ویروس ، بدافزار ، باج افزار ، هکر کاری نداره شما رئیس حراست سازمان هستید یا خود رئیس سازمان ! حمله از طریق شما انجام میشه و خرابکاری بالاخره انجام میشه ... به جورایی می تونم بگم در سازمان های ما روابط بیشتر از قوانین صادق هست و شما بهترین طرح امنیتی رو هم که ارائه بدید در نهایت بصورت دلخواه در اکثر موارد پیاده سازی میشه که دل آقایون به دست بیاد اما در محیط های نظامی اینجوری نیست .

پیاده سازی امنیت در محیط های نظامی

اینکه میگم محیط های نظامی از لحاظ امنیتی خیلی خیلی بهتر از محیط های سازمانی هستند دلایل متنوع داره . در وهله اول فامیل بازی و پارتی بازی توی اینجور محیط ها بسیار بسیار کم و به ندرت انجام میشه چون ساختار محیط های نظامی به شکلی طراحی شده که امکان ایجاد اینجور روابط بسیار پایین هست و قوانین امنیتی مثل Job Rotation بصورت سالیانه و 4 ساله و 10 ساله بصورت قطعی انجام میشه . از طرفی برخلاف سازمان های دولتی که تقریبا ناظر همه پروژه ها خودشون هستند در بحث امنیت که این یعنی خودم رو کار خودم نظارت دارم ، در ارگان های نظامی و امنیتی یک سازمان جداگانه با سلسله مراتب جداگانه و البته تحت امر جدا از رئیس سازمان وظیفه نظارت و بررسی رو بر عهده داره .

به زبان ساده وقتی شما میخاین پروسه اجرای یک پروژه امنیتی رو در یک سیستم نظامی داشته باشید ، سازمان ناظری به نام حفاظت اطلاعات وجود داره که بر اجرای درست ، دقیق هر قسمت از این قوانین و طرح ها نظارت می کنه و چون قدرت برتر محسوب میشه حتی از رئیس سازمان بعضا بالاتر ، همه مجبور هستند قدم به قدم اون موارد رو اجرایی کنند . این یعنی اگر طرح امنیتی وجود داشته باشه دیگه فامیل بازی و پارتی بازی در کار نیست و باید عین طرح اجرایی بشه و وقتی دستوری میاد به دقت تشریح و اجرا میشه . این یعنی بهشت یک متخصص امنیت اطلاعات که طرح های عالی داره ولی قدرت پارتی بازی و خرابکاری های فامیلی توی یک سازمان اجازه پیاده سازی درست این موارد رو به شما نمیده . اینکه شما در سازمان نظامی مسئول هستید از مقام بالاتر و سلسله مراتبتون اطاعت کنید هم در اجرای درست این طرح ها بی تاثیر نیست . اگر در خصوص این مطلب نظری دارید خوشحال میشیم در ادامه مطرح کنید با تشکر

نویسنده : محمد نصیری

منبع : جزیره نظامی وب سایت توسینسو

هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی است

4 نظر
احمد کبیری

بنده هم با نظر استاد نصیری موافق هستم. مراکز امنیتی و نظامی معمولا از بلوغ سازمانی بالایی برخوردار هستند و حاکمیت امنیت اطلاعات در سطح مناسبی در آنها اجرا می گردد. البته نگاهی سخت گیرانه بدون دانش عمیق در حوزه امنیت اطلاعات می تواند امنیت یک سازمان را به خطر بیاندازد. من فکر میکنم امنیت اطلاعات یک پازل نیست که اجزای آن را کنار هم بچینیم تا امنیت شکل بگیرد، بلکه بیشتر یک معماری پویا و هوشمند است.

محمد نصیری

جناب کبیری عزیز حق با شماست ، امنیت اگر قرار هست به درستی در سازمانی اجرایی بشه اولین فاکتور مهمش اینه که مدیریت و بالاترین سطح سازمانی خودشون دیگران رو ملزم به اجرای این دستورات بکنن ، وقتی این نباشه شما و من خداوندگار امنیت هم باشیم نمی تونیم کاری کنیم . در عین حال این معماری که فرمودید هم بزرگترین فاکتور اجرایی بودنش رئیس یک سازمان هست ، معماری زیبا + قدرت اجرایی + تابعیت از قوانین امنیتی می تونه یک ساختار امنیتی درست ایجاد کنه ، در سازمان های نظامی به خاطر وجود یک سازمان ناظر جانبی بر امنیت که ما تو روال عمومی بهش میگیم Auditor ... این Auditor در سازمان نظامی بسیار قدرتمند هست و ترس زیادی ازش وجود داره ، برخلافش در سازمان های غیرنظامی Auditor چون قدرت خاصی نداره بیشتر نقش گزارشگر رو داره تا قدرت نظارتی که بتونه توی تصمیم گیری های امنیتی کمک کنه .

royaflash

باسلام

 و و قت بخیر .

 با نظر شما قسمتی موافقم و قسمت بیشتری مخالف .

 الان محصولات متفاوتی برای حل این مشکل موجود هست . از جمله NAC و ساختار های مختلف برای امنیت byod  ها و متد های   Posture Assessment و remediation   و ...

در همه جا در هر کجای دنیا روابط تاثیر گذار هست . برای نمونه فامیل مدیر عامل شرکت فلان در  قلب اروپا  و ... .

این شما هستید . که سیاست های امنیتی را باید مدون کنید . و راهکار داشته باشید برای مشکلات احتمالی .

مثل چتری باشید در مقابله با حملات و مشکلات .

اگر فردی با byod دسترسی به نت میخواد . پس قرار نیست همزمان به شبکه فوق محرمانه شما هم دسترسی داشته باشه . میتونید در چند سطح سطوح دسترسی را پیاده سازی کنید .

این وظیفه sys/net/sec admin  هست . که سیاست های کلان پیاده سازی کنه . که مشکل ایجاد نشه . قطعا شبکه ای که هیچ کس دسترسی بهش نداره امن خواهد بود .

محمد نصیری

نظر شما محترمه ولی بنده تجربمو نوشتم نه چیز

نظر شما
برای ارسال نظر باید وارد شوید.
از سرتاسر توسینسو
تنظیمات حریم خصوصی
تائید صرفنظر
×

تو می تونی بهترین نتیجه رو تضمینی با بهترین های ایران بدست بیاری ، پس مقایسه کن و بعد خرید کن : فقط توی جشنواره پاییزه می تونی امروز ارزونتر از فردا خرید کنی ....