برای بر قراری امنیت در یک شبکه چندین خط مشی کلیدی یا پالیسی وجود دارد ، لیست زیر نشان دهنده تعدادی از این خط مشی های گسترده می باشد که هر کدام نیاز به طراحی و تفکر دارند :
خط مشی های مدیریتی در واقع راهنمایی برای بروز رسانی ، نظارت کردن ، تهیه نسخ پشتیبان و بازرسی کردن در یک سازمان هستند .مدیران سیستم و کارکنانی که در بخش نگهداری و تعمیر فعالیت می کنند از این خط مشی ها برای هدایت تجارت استفاده می کنند . این خط مشی طوری باید باشد که به وضوح نشان بدهد که بروز رسانی ها هر چند وقت باید انجام شود و در چه زمانی باید این عمل انجام شود ، این خط مشی ها چگونگی انجام شدن پایش یا مانیتورینگ و برداشتن و نگهداری LOG ها را نیز مشخص می کند .
آنها حتی باید با استفاده از عنوان کاری افراد مشخص کنند که چه کسانی مسئول تصمیم گیری در سازمان هستند و همچنین تصمیمات اتخاذ شده چند وقت به چند وقت باید مورد بررسی و مرور قرار بگیرند . خط مشی ها باید به اندازه ای واضح و روشن باشند که بتوانند به کارکنان مدیریتی این امکان را بدهند که بتوانند تمرکز خود را بر روی سیستم عامل های در حال کار قرار بدهند و به آنها توجه کنند و در این بین سیاست باید به نحوه قابل انعطاف باشد که در آن موارد اورژانسی و پیش بینی نشده نیز گنجانده شود.
طراحی نیازمندی ها در واقع نشان دهنده قابلیت های یک سیستم و اینکه این قابلیت ها شامل چه چیزهایی می شوند، است . برای مثال این نیازها ممکن است طرحی ابتدایی باشند که شما را واقعا در پیدا کردن راه حل های جامع کمک می کند . بسیاری از فروشنده های نرم افزار ، نرم افزار خود را پیشنهاد می کنند و به شما اطمینان می دهند که نرم افزار آنها کاملا ایمن است ، در این حالت شما می توانید با استفاده از تعریف نیازهایی که قبلا تعریف شده اند از فروشنده در مورد آن نرم افزار سئوالات و توضیحات کامل و راهکارهای جامع بخواهید .
اگر نیازهای طراحی شده شما به عنوان یک جزء جدا از ساختار پیاده سازی شما در نظر گرفته شود ، شما می توانید شرط ببندید که شبکه شما آسیب پذیر است . طراحی نیازها باید بصورت یک هدف متغیر در نظر گرفته شود زیرا دائما در حال تغییر است . نیازهایی که امروزه با آنها سروکار دارید مسلما نیازهایی نخواهند بود که در دو سال بعد با آنها روبرو خواهید شد و دائما در حال تغییر هستند .
طرح و نقشه بازیابی از حادثه یکی از دردسرهایی است که حرفه ای های فناوری اطلاعات با آن مواجه هستند . DRP ها هزینه های زیادی برای پیاده سازی می خواهند و برای آزمایش کردن گران هستند و باید همیشه با روز باشند . بسیاری از شرکت های بزرگ وجود دارند که در زمینه DRP سرمایه گذاری های کلانی انجام می دهند که شامل مواردی از قبیل نسخه های پشتیبانی و Hot Site می شود . Hot Site ها تسهیلاتی هستند که این قابلیت و امکان را به شبکه می دهند که بلافاصله پس از بروز مشکل ، خط مشی یا شبکه شما را به حالت فعال باز گردانند .
اینگونه خط مشی های پشتیبانی هزینه های بسیاری دارند و بعضی اوقات هم تزار کردن آنها با سایت اصلی کار دشواری است . معمولا اکثر شرکت های کوچک با موضوعی به نام Hot Site بیگانه هستند و این کار را انجام نمی دهند . یک DRP خوب سعی می کند که هرگونه اتفاق یا خرابی ممکن را بصورت مجازی پیش بینی کرده و برای آن طرح و نقشه ای پیاده سازی کند . حال این موضوع می تواند به سادگی از کار افتادن یک سیستم ساده باشد یا به پیچیدگی یک سازمان چند ملیتی که چندین هزار سیستم در آن قرار دارند و می خواهد اطلاعات خود را بطور کامل بازگردانی کند .
کلید موفقیت یک DRP جامع و کامل بودن آن است ، هر چه یک DRP به جزئیات بیشتر اهمیت بدهد موفقیت آن بیشتر خواهد بود . برای مثال اگر شرکتی در شهر بم قرار دارد باید این پیش بینی بشود که ممکن است دوباره در این شهر زلزله بیاید و شرکت را تخریب کند ، بنابراین از دید یک DRP موفق اطلاعات باید در ناحیه ای خارج از شهر نیز نگهداری شوند مثلا در شعبه ای دیگر از شرکت که در تهران واقع است .
خط مشی های اطلاعاتی مربوط به موارد مختلفی از امنیت اطلاعات شامل دسترسی ها ، دسته بندی ها ، نشانه گذاری ها و ذخیره سازی ها می شود . همچنین شامل مواردی از قبیل انتقال یا خرابی اطلاعات حساس و حیاتی و پیاده سازی خط مشی های اطلاعاتی برای امنیت اطلاعات می شود. همانند خط مشی های دیگر موفقیت این نوع خط مشی ها نیز جامع بودن و فراگیر بودن آن است . در هنگام نوشته شدن این نوع خط مشی فقط مقدار خیلی کمی از آن را می توانیم به عنوان شانس و حدس و گمان در نظر بگیریم .
خط مشی های امنیتی در بر گیرنده تنظیمات سیستم ها و شبکه ها هستند که سامل نصب نرم افزارها و سخت افزارها و اتصالات شبکه ای می شوند . خط مشی ها امنیتی نحوه شناسایی افراد ، سطوح دسترسی کاربران ، و نحوه انجام گرفتن عملیات بازرسی را تشریح و تعریف می کنند . اینگونه خط مشی ها همچنین در برگیرنده رمزنگاری و نرم افزارهای آنتی ویروس ، روش های انتخاب رمز عبور ، نحوه از بین رفتن اعتبار حساب ها کاربری ، تعداد ورودهای نا موفق و چیزهایی مشابه آن می باشد .
خط مشی های استفاده در برگیرنده نحوه و چگونگی استفاده از اطلاعات و منابع سازمان را بیان می کند . شما نیاز دارید تا به کاربر خود توضیح دهید که چگونه و به چه منظور حق استفاده از منابع را دارد . این خط مشی ها در حقیقت قانون استفاده از کامپیوترها می باشد .
اینگونه خط مشی ها مسائلی شامل استقلال کاربران ( Privacy) یا حریم خصوصی ، و مالکیت ( Ownership) و نتیجه اعمال نادرست کاربران را به صراحت بیان می کند .خط مشی های استفاده شما باید به وضوح نحوه استفاده کاربران از اینترنت و سرویس ایمیل را شرح دهد .
آنها همچنین باید مشخص کنند که کاربران چگونه باید رویدادها را گزارش دهند ، اگر به موضوعی شک و حدس و گمان بردند باید مشخص شود که در آن حال باید با چه کسی تماس گرفته و آنها را مطلع سازند . اینگونه خط مشی ها باید طوری باشند که قدم به قدم مراحب نظارت بر کاربران و سازمان را در بر گرفته و کاربران را با این موضوع تطبیق دهند ، در اینجاست که نتایج سوء از یک حساب کاربری یا حتی چیزهای خیلی جزئی تر باید گنجانده شود .
اینگونه خط مشی ها در واقع بیانگر اعمال مختلفی است که یک کاربر در حالت عادی فعالیت خود انجام می دهد . این خط مشی علاوه بر آموزش ، موقعیت سنجی و نصب و تنظیم ابزارها و وسایل ، باید طوری طراحی شود تا در آن نحوه اضافه شدن کارمندان به سیستم را نیز مشخص کند . انتقال کارمندان در یک شرکت یک امر کاملا عادی و معمول است . اگر کارمندی به پست جدیدی انتقال یابد اجازه های دسترسی و محدودیت های سابق ممکن است با پست جدید نا متناسب باشد.
در این حالت ایجاد یک دسترسی جدید این امکان را به کاربر می دهد تا بلافاصله به کار خود ادامه دهد . اگر شما فراموش کنید که اجازه دسترسی های سابق را باطل ( لغو ) کنید ، کاربر جدید ممکن است بصورت کاملا اتفاقی اجازه دسترسی بیشتر از آنچه شما در اختیار او قرار می دهید را پیدا کند، بعد از مدتی نتیجه این نوع موقیعت ها حالت Privilege Creep بوجود می آید ، یعنی کاربر بطور کاملا اتفاقی دارای اجازه دسترسی هایی مشابه مدیر شبکه می شود .
یکی دیگر از مسائل و مباحث مهم در مدیریت کاربران ، کارمندان اخراجی هستند که تهدید مهمی برای امنیت اطلاعات به شمار می روند . در برخی اوقات یک کارمند اخراجی مکن است در پی این باشد که به لیست مشتری ها ، حساب های بانکی و بسیاری از اطلاعات حساس دیگر دست پیدا کند .
وقتی کارمندی اخراج می شود ، شما باید اطمینان پیدا کنید که حساب کاربری وی حتما غیر فعال و یا حذف شده است و آن کاربر دیگر هیچگونه اجازه دسترسی به سازمان و اطلاعات آنرا نباید داشته باشد .جالب است بدانید که بسیاری از مدیران شبکه از تغییرت کارمندان اطلاعی ندارند . خط مشی مدیریتی کاربران باید به قدری واضح و روشن باشد که در آن تمامی این مراحل به صورت کاملا دقیق و شفاف شرح داده شده باشد.
اگر می خواهید مفاهیم امنیت شبکه وامنیت اطلاعات مباحث بیشتری را در این زمینه یاد بگیرید به دوره آموزش سکیوریتی پلاس در این لینک مراجعه کنید.