در حال بارگزاری...

راهکارهای مرکز عملیات شبکه و امنیت

SOC یا مرکز عملیات امنیت شبکه چیست؟

مفهوم SOC عموما در سازمان های بزرگ و مهم، از جمله ساختمان های دولتی و موسسه های مالی و ... بکار می رود. در سال های اخیر استقرار و راه اندازی یک مرکز SOC در سازمان های خصوصی نیز مقرون به صرفه شده و میزان هزینه اجرای آن کاهش یافته است. همچنین الزامات فنی و فضایی کوچکتری نسبت به گذشته مورد استفاده قرار می گیرد. از اینرو بسادگی می توان بیان کرد که SOC یک بخش مرکزی می باشد که مسئول تمام جنبه های امنیتی سازمان خواهد بود

999

بنابراین حتی یک تجارت معمولی نیز به آن نیاز خواهد داشت از جمله برای امنیت لایه فیزیکی، دوربین های مانیتور کننده حوزه کاری، قفل درب ها، هشدار دهنده ها و برای امنیت داده، سرورهای فیزیکی، ارتباطات شبکه و ...مطرح خواهد شد. راه های زیادی برای دسترسی اطلاعات مهم وجود خواهد داشت از اینرو جنبه های زیادی برای امنیت مورد نیاز سازمان باید در نظر گرفته شود. همچنین از سوی دیگر امنیت مجازی مطرح می شود، از جمله فایروال و سیستم های حفاظت از دسترسی غیر مجاز، روشهایی که می تواند افراد را در اینترنت از دسترسی به امنیت آن ها و دستیابی به شبکه محافظت کنند.
با رشد و توسعه سازمان، این قابلیت های امنیتی در یک روش موردی و خاص منظوره، نمی تواند کارا باشد و در صورتی که یک مرکز واقعی برای حفظ امنیت سازمان وجود نداشته باشد، افراد با تجربه در حوزه IT مسئول فرایند های امنیتی خواهند شد. اما ممکن است توانایی پرداخت هزینه برای نگهداشت افرادی که بتوانند کارهای نظارتی در همه زمان ها را داشته باشند امکان پذیر نباشد و یا اگرچه سیستم تشخیص نفوذ، شبکه را از بعضی حملات محافظت می کند، اما احتمال امکان حضور افرادی در همه زمان ها برای بررسی log ها و تشخیص بدافزارها وجود نداشته باشد و یا پورت های شبکه ممکن است طوری پیکربندی شده باشند که اجازه اتصال وسایل غیر مجاز را ندهند، اما امکان بررسی دائم مسیر یاب ها و سوئیچ ها، برای اطمینان از کارکرد درست، وجود نخواهد داشت.
بنابراین روش های امنیتی غیر متمرکز، کارا نبوده و همه این وظایف در حوزه SOC قرار خواهد گرفت که اکنون زمانی را برای اجرا و پیاده سازی یک مرکز SOC امکان پذیر می سازد.

000

بمنظور ارتقای سطح امنیت، راهكار ايجاد تيم هاي پاسخگويي به رخدادهاي امنيتي با بهره گيري از سامانه مرکز عملیات امنیت (SOC) مطرح می گردد.

مرکز عملیات امنیت(SOC) ، مرکزی است که با پایش 24 ساعته شبکه و رسیدگی به گزارشات رویدادهای امنیتی سعی می کند تا از وقوع حوادث امنیتی در شبکه در سریع ترین زمان ممکن شناسایی و برای رفع آن اقدام نموده و گزارش های لازم را به صورت بلادرنگ در قالب هاي مختلف به مديران و مسئولان شبکه ارائه دهد .

با راه اندازي این سامانه، رخدادهاي امنيتي از منابع مختلف شبكه جمع آوري شده و روابط بین آنها كشف مي گردد و در نتيجه هشدارهاي مناسب توليد و در اختيار تيم پاسخگويي به رخدادهاي امنيتي قرار مي گيرد. همچنين اين سامانه قادر به ارائه گزارشات متنوع از وضعيت لحظه اي امنيت IT سازمان و میزان تطابق آن با استانداردهای امنیتی می باشد.

NOC

NOC مراکزی هستند که عملیات کنترل را انجام می دهند. در واقع، NOCمسئول مانیتورینگ رویدادها یا شرایط خاص در شبکه است که ممکن است کارایی شبکه را کاهش داده و بنابراین نیاز به توجه ویژه ای دارند. برای مثال، مسئول مانیتورینگ قطع برق، هشدارهای ارتباطی، سرویس ها و مسائل دیگری است که می تواند در کارایی شبکه تاثیر بسزایی داشته باشند. همچنین NOC، مشکلات را آنالیز می کند، آنها را برطرف می سازد، با تکنسین سایت و دیگر NOC ها ارتباط برقرار می کند و مشکلات را ردیابی می کند و در صورت لزوم، مشکلات را به تکنسین مناسب ارجاع می دهد. مثلا زمانیکه پاور سرور از کار می افتد، یا کابل آن قطع می شود، NOC فرآیندهای فوری برای ارتباط با تکنسین برای برطرف ساختن آن دارد.

0000

معمولا در NOC، دیواری از مانیتورهای مختلف برای نشان دادن جزئیات رویدادهای مهم وجود دارد و نیز گوشه ای از دیوار برای نشان دادن اخبار یا کانال های تلویزیون اختصاص می یابد تا تکنسین های مرکز عملیات شبکه، از رویدادهای اخیری که ممکن است تاثیری در شبکه یا سیستم ها داشته باشند، مطلع شوند. همچنین بر روی میز هر تکنسین، مانیتورهای مختلف برای نشان دادن تمام وقایع وجود دارد.
اغلب اوقات، NOC مشکلات را بصورت سلسله مراتبی برطرف می کنند بنابراین اگر مشکلی در یک بازه زمانی مشخصی برطرف نشد، برای تسریع بیشتر در حل آن، به سطح بعدی اطلاع داده می شود. بسیاری از NOC ها، چندین try دارند که سطح تجربه تکنسین NOC را نشان می دهد. یک تکنسیسن جدید به عنوان tries 1 شناخته می شود ولی تکنسینی که چندین سال سابقه دارد ممکن است سطح tries 3 یا tries 4 باشد.

00000

ممکن است سازمان های بزرگ، برای مدیریت شبکه های مختلف یا برای ایجاد افزونگی (redundancy) دارای چندین NOC باشند یا تا زمانیکه یکی از مراکز از کار افتاد، مرکز دیگر بتواند به کار خود ادامه دهد.
در هر NOC مدیریت‌ها و به تبع آن تهیه گزارش‌های به این نحو صورت می پذیرد:

  • مدیریت خطا
  • مدیریت پیكربندی
  • مدیریت كارآیی
  • مدیریت امنیت
  • مدیریت حسابرسی
  • مدیریت Inventory

مدیریت خطا

هر زمانی كه خرابی در یكی از سرویس‌ها رخ دهد، وظیفه مركز عملیات شبكه است كه سرویس مورد نظر را هر چه زودتر به شبكه بازگرداند. برای این منظور لازم است ابتدا سرویس مورد نظر مشخص شده و سپس از سایر قسمت‌های شبكه جدا شود. سپس رفع عیب شده و به شبكه بازگردانده شود. در بسیاری موارد این عملیات به صورت خودكار انجام می‌گیرد. در برخی از موارد یك سیستم مدیریت شبكه خطا را مشخص می كند و با یك سری اخطارها وقوع خطا را اعلام می‌نماید. اصلاح سرویس شامل درست كردن علت خرابی نیست و این رفع عیب معمولاً برعهده گروه نصب و نگهداری می باشد.
Trouble Ticket (T.T) معمولاً به طور دستی توسط مهندسین در مركز عملیات شبكه ایجاد می‌شود. البته در بعضی موارد این T.T توسط خود NMS و به طور اتوماتیك ایجاد می‌گردد. اطلاعات موجود روی اینT.Tها شامل یك شماره است كه سیستم به آن اختصاص می‌دهد. همچنین شامل زمان وقوع خطا، ماهیت خطا، كاربری كه با وقوع این خطا متضرر شده، SLA، گروه مسؤول، گروه اصلاح خطا و همچنین تولید كننده T.T می باشد.
این T.T به گروه نصب و نگهداری كه مسئول اصلاح و رفع عیب می باشد، داده می شود. این گروه قبل از بازگرداندنT.T، كلیه مراحل اصلاح را روی آن مشخص می كنند.
مسیریابی این T.T توسط گروه های مختلفی انجام می شود اما نظارت بر آن معمولاً برعهده گروه نگهداری می باشد. شبكه با استفاده از تولید T.T می‌تواند در زمان مناسب به خطاهای تولید شده پاسخ دهد و در صورت امكان آنها را برطرف سازد. در مركز عملیات شبكه به طور كلی نیاز به یك سیستم خودكار تولید T. T داریم تا بتوانیم خطاهای موجود در شبكه را برطرف سازیم.

مدیریت رخداد

این مدیریت كلیه خطاها را از قسمت های مختلف شبكه جمع آوری می كند و آنها را با توجه به سیاست كاری شبكه و بسته به عناصر تولید كننده آن طبقه بندی می كند. اثرات هر خطا را روی شبكه به تصویر می‌كشد و با توجه به مقادیر آستانه‌ای موجود در شبكه، حجم خطاها و اخطارها را در شبكه كاهش می‌دهد. نظارت بر Trouble Ticket

نظارت برT.T یكی از قسمت‌های نظارتی مدیریت خطا می‌باشد. كلیه اشكالات تا رفع كامل باید مسیریابی شوند و این كار برعهده قسمت نظارت مدیریت خطا می‌باشد. داشتن اطلاعات یكی از ابزارهای عیب‌یابی است. سیستم‌های خودكاری وجود دارند كه مسیر اشكالات را از زمان تولید T.T تا رفع عیب كامل مشخص می سازند.

مدیریت پیكربندی

برای پیكربندی یك شبكه سه قسمت وجود دارد. اولین بخش پیكربندی شبكه قسمت، استاتیك آن است. این پیكربندی‌ در حقیقت پیكربندی دائمی شبكه است. بخش دوم پیكربندی شبكه در حال فعالیت است كه در حقیقت پیكربندی‌ای است كه شبكه با آن راه‌اندازی شده است. بخش سوم، پیكربندی پیش‌بینی شده در آینده، برای شبكه می‌باشد.
این بخش متعلق به زمانی است كه ساختار شبكه به علت تغییر ساختارهای اطلاعات تغییر پیدا می‌كند. اطلاعات پیكربندی به صورت خودكار توسط سیستم‌های مدیریت شبكه جمعآوری و ذخیره می گردد. مركز عملیات شبكه یك نمایشگر برای نمایش پیكربندی دینامیك شبكه و حالات آن دارد. حالت‌های شبكه توسط یك سیستم مدیریت شبكه نمایش داده می شود و خرابی‌های تجهیزات نیز توسط آن مشخص می‌گردد.
این سیستم مدیریت شبكه ترافیك و كارآیی شبكه را نیز نمایش می‌دهد. هرگونه تغییر ساختاری كه روی پیكربندی موجود شبكه توسط مركز عملیات شبكه صورت می‌گیرد در نمایشگر دینامیك موجود در مركز عملیات شبكه نیز منعكس می‌گردد.

مدیریت امنیت

امنیت شبكه طیف وسیعی از مسائل امنیتی را می پوشاند كه شامل امنیت فیزیكی شبكه و همچنین كنترل دسترسی به شبكه می‌باشد. حق دسترسی به نرم افزارهای كاربردی فقط مختص NOC نیست. این حق زمانی به مركز عملیات شبكه داده می‌شود كه یا نرم افزار را خود NOC طراحی كرده و نوشته باشد یا اینكه نرم‌افزار را خریداری كرده باشد. درنتیجه یك پایگاه داده امنیتی برای دسترسی به شبكه و دسترسی به اطلاعات شبكه توسط مركز عملیات شبكه به‌وجود می‌آید.
سیاست دسترسی در شبكه‌های مختلف متفاوت است. به طور مثال در شبكه‌های Enterprise ممكن است كلیه اعضا اجازه دسترسی به تمام شبكه را بدون محدودیت داشته باشند اما در یك مركز عملیات شبكه بسته به خواست طراح شبكه، هر گروه از افراد اجازه دسترسی به قسمت خاصی از شبكه را دارند. اما به هر جهت باید از ورود غیرقانونی افراد به شبكه و دسترسی به منابع اطلاعاتی شبكه در هر حالتی پیشگیری كرد.
مركز ملی امنیت كامپیوتر (NCSC) برای امنیت در شبكه‌ها سیاست‌ها و روال‌هایی را با توجه به طراحی كامپیوترهای مختلف همچنین برنامه‌های مختلف پیش‌بینی كرده است. پایه و اساس برپایی این سیاست‌ها و روال ها در زیر مشخص شده اند:
1- مشخص كردن مواردی كه لازم است محافظت شوند.
2- مشخص كردن علت حفاظت
3- مشخص كردن تهدیدهای موجود
4- مشخص كردن روش‌های مقرون به صرفه برای محافظت از تجهیزات
5- بررسی مداوم فرایند جهت رفع ضعف‌های احتمالی
6- قسمت‌هایی كه لازم است محافظت شوند نظیر سخت افزارها و نرم‌افزارها، اطلاعات، مكتوبات، منابع و مسؤولان مربوطه نیز باید مشخص شوند.

مدیریت كارآیی

هر NOC، اطلاعات شبكه را جمع آوری می كند و آن‌ها را بروز می نماید تا بتواند همیشه شبكه را در حد كارآیی مطلوب نگه دارد. آمار شبكه كه شامل اطلاعات ترافیك، در دسترس بودن شبكه و تاخیر شبكه است توسط این مركز جمع‌آوری می شود. اطلاعات ترافیك شبكه می‌تواند برپایه حجم ترافیك در نقاط مختلف شبكه جمع‌آوری شود. همچنین می‌توان آن را با توجه به برنامه‌های كاربردی مختلف نظیر پست الكترونیكی، ترافیك وب و اخبار شبكه و یا برپایه ترافیك پروتكل انتقال در لایه های مختلف نظیر TCP ،UDP ،IP ،IPX ،Ethernet و نیز جمعآوری نمود. آمارهای به‌دستآمده جهت پیش‌بینی روند رشد شبكه و طراحی‌های آینده برای گسترش شبكه مورد استفاده قرار می گیرند.
اطلاعات كارآیی در رابطه با در دسترس بودن شبكه و تاخیر در شبكه برای افزایش ضریب اطمینان شبكه و بهینه سازی زمان پاسخ مورد استفاده قرار می گیرد.
برای مدیریت كارآیی، كارآیی شبكه را با آنالیز‌كننده پروتكل مورد بررسی قرار می‌دهند. این آنالیزكننده‌های پروتكل در حقیقت ابزار اندازه‌گیری كارآیی در شبكه‌ها می‌باشند و با استفاده از مانیتور كردن بار شبكه كه شامل پارامترهای مختلفی نظیر منابع، آدرس‌های مقصد و پروتكل‌ها در لایه‌های مختلف شبكه می‌باشد، می‌توانند اطلاعات لازم برای مدیریت كارآیی را جمع‌آوری كنند. آمار ترافیك را می‌توان در بازه‌های زمانی بین یك ساعت تا یك سال به‌دست آورد. این اطلاعات به مركز عملیات شبكه از طریق RMON ارسال می‌شوند.
هر یك از تجهیزات، اطلا‌عات شبكه محلی خود را مانیتور می‌كنند و تحلیل‌های لازم را انجام می‌دهند. این تجهیزات، اطلاعات خواسته شده و حتی یك سری اطلاعات كه درخواست نشده‌اند را هم جمع‌آوری و آنالیز كرده و به مراكز مربوطه ارسال می‌دارند. این تكنولوژی (RMON) لزوم فعال‌بودن agentها در شبكه را به طور تمام وقت برای اینكه مدیر شبكه اطلاعات را از آن‌ها دریافت كند، از بین می برد. مانیتور كردن بسته ها نظیر ping ICMP ممكن است باعث سوء برداشت شود.
به طور مثال ping ‌هایICMP در ارتباطات راه دور به‌خصوص زمانی كه ترافیك شبكه نیز بالا می باشد ممكن است گم شوند و مدیر شبكه، این موضوع را خرابی تجهیزات مورد نظر تلقی كند. در حالی كه RMON به طور محلی این كار را انجام می‌دهد و ضریب اطمینان را بالا می‌برد. یكی دیگر از مزیت‌های استفاده از RMON این است كه می توان به طور دائم یك قسمت از شبكه را مانیتور كرد. این عمل باعث افزایش میزان اطلاعات و امكان كنترل بهتر می‌شود. با استفاده از این روش سرعت پیدا كردن خطا در شبكه افزایش می یابد. در بعضی موارد با استفاده از مدیریت proactive می‌توان از بروز خطا در شبكه نیز جلوگیری به عمل آورد. علاوه بر این موارد ذكر شده استفاده از تكنولوژی RMON در شبكه باعث افزایش قدرت نظارت می گردد.
مدیریت حسابرسی

NOC با توجه به منابع شبكه و میزان استفاده از آ‌ن‌ها، مدیریت حسابرسی را نیز عهده دار است. معیارهایی برای مشخص كردن میزان استفاده از منابع در شبكه و همچنین سرویس‌های شبكه مشخص شده است. از آنجایی‌كه شبكه شامل تجهیزاتی است كه هر كدام را یك سری سازنده مختلف ساخته‌اند، لازم است هماهنگی‌های لازم برای ارتباط آن‌ها با یكدیگر صورت گیرد.
این هماهنگی در MIB صورت می‌گیرد و مشخصات و روابط هر یك از قسمت‌های شبكه با سایر تجهیزات شبكه درMIB ذخیره شده و در صورت لزوم مورد استفاده قرار می گیرد.
حجم مشخصی از اطلاعات به علت سنتی بودن سیستم لازم است به صورت دستی جمعآوری شوند. اما بقیه اطلاعات به صورت خودكار جمع‌آوری می شوند. SNMP یك پروتكل متداول برای جمع آوری اطلاعات به صورت خودكار است و با استفاده از پروتكل‌ها و همچنین ابزار آنالیز، كارایی این اطلاعات را جمع آوری می كند.
یك قسمت از پیاده سازی استاندارد جمع آوری اطلاعات حصول اطمینان از رسیدن اطلاعات كافی به پرسنل مربوطه می باشد.

مدیریت Inventory

این مدیریت مهم‌ترین قسمت در مدیریت شبكه محسوب می‌گردد. با استفاده از این مدیریت كلیه تجهیزات موجود در شبكه فهرست می‌شوند و در صورت نیاز مورد استفاده قرار می‌گیرند. اهمیت وجود این قسمت زمانی بیش از پیش مشخص می‌گردد كه بخواهیم با استفاده از روش Provisioning نیازهای شبكه را مشخص كنیم. این بخش مدیریتی از نظر هزینه گران‌ترین بخش محسوب می شود. این مدیریت به صورت خودكار پس از نصب و راه‌اندازی، تجهیزات جدید را در فهرست تجهیزات خود اضافه كرده و اطلاعات مخصوص به آن را در شبكه مشخص می كند.

روش های پیاده سازی

در یك شبكه با زیرساخت‌های مشخص، تجهیزات و پرسنل و ارائه سرویس با كیفیت بالا، اولین و مهمترین نیاز وجودNOC است. در این محیط لازم است تمامی كاربران 24 ساعت در روز و هفت روز در هفته از سرویس‌های با كیفیت بالا استفاده كنند. درنتیجه بهتر است مركز NOC با هزینه بالا و امكانات بسیار خوب راه اندازی می‌شود. این مراكز معمولاً در بزرگترین مركز شهری و با اتصالات E1 و STM-1 و در برخی شرایط با فیبرنوری به شبكه موجود مرتبط می‌شوند. این مراكز به گونه‌ای طراحی می‌شوند كه با نیازهای هر شبكه‌ای منطبق باشند و بتوانند كلیه خرابی ها و مشكلات شبكه را اعم از اشكالاتی كه توسط پرسنل ایجاد می‌شوند و یا مشكلات مربوط به تجهیزات مسیریابی كرده، پس از جداسازی رفع كنند.
كلیه مراكز عملیات شبكه به تجهیزاتی نظیر سنسورهای دود، آتش، حركت و همچنین تجهیزات اطفای حریق، ژنراتورهای تولید برق اظطراری، كامپیوترهای اضافی، دوربین‌های مداربسته و در نهایت به روش‌های ایمن‌سازی دسترسی مجهز می‌باشند. به این دلیل مركز عملیات شبكه بسیار پیچیده و از نظر هزینه بسیار بالا می باشد. بسیاری از شبكه‌ها برای ایجاد مركز عملیات شبكه خود از روش Co-Location استفاده می‌كنند. این روش به گونه‌ای است كه مركز عملیات در یك ساختمان دیگر كه متعلق به مركز عملیات شبكه سازمان دیگری است قرار می‌گیرد و هر دو شبكه از یك مركز عملیات شبكه به طور مشترك استفاده می‌كنند.

اهداف NOC

هر مركز عملیات شبكه یك خروجی مهم دارد و آن‌هم ایجاد توازن میان ماموریت‌های سازمانی، افراد و امنیت شبكه می‌باشد. برای مدیریت این توازن، نیاز به آگاهی كافی، تجربه و انعطاف پرسنل NOC می‌باشد. این پروسه شامل برنامه‌ریزی و پیكربندی مناسب منابع است كه شامل پرسنل، آموزش، تجهیزات، كاربران انتهایی و سیاست‌های مدیریتی است.
مركز عملیات شبكه رفتار شبكه را مانیتور كرده و آن را مستند می‌كند و همچنین منابع شبكه را عیب‌یابی و در مواردی عیب‌زدایی می كند. در این فرایند مركز عملیات شبكه 24 ساعت در روز و هفت روز در هفته شبكه، را برطبق یك برنامه عملیاتی مشخص مدیریت می كند كه این مدیریت شامل گسترش، نصب، نگهداری و پیاده‌سازی روش‌های ارائه سرویس می باشد. عملیات NOC شامل جلوگیری از وقوع خطا، آشكارسازی خطا، تصحیح خطا، گزارش‌دهی و جمعآوری اطلاعات و آمار در خصوص تجهیزات شبكه می باشد. همچنین NOC وظیفه هماهنگ‌سازی، زمانبندی نصب و توسعه تجهیزات شبكه را نیز بر عهده دارد و منابع داخلی شبكه را نیز به طور مستمر مدیریت كند.
به طور كلی مركز عملیات شبكه یك مركز با سرعت بالاست كه به كلیه تهدیدها در شبكه عكس‌العملی آنی نشان می‌دهد. در نتیجه بازدید متناوب و مكرر مركز عملیات شبكه برای آگاهی از نحوه عملكرد شبكه و كارآیی آن ضروری می‌باشد.
می توان تنظیمات را در شبكه به گونه‌ای انجام داد كه نه تنها تجهیزات آسیب دیده بلكه كاربران خسارت دیده نیز مشخص گردند. همچنین می توان یك سری سیاست‌هایی برای جبران خسارت كاربران درنظر گرفت.
در تعدادی ازNOCها مدیریت به صورت proactive صورت می‌پذیرد. این روش مدیریت در حقیقت به گونه‌ای است كه قبل از وقوع خطا هشدارهایی به پرسنل و حتی گاهی به كاربران هم داده می شود.

در حقیقت با هوشمندسازی سرویس‌ها می‌توان مدیریت شبكه را بهتر و با كارآیی بالاتری انجام داد به این ترتیب با اضافه نمودن تجهیزات هوشمند در مركز عملیات شبكه می توان احتمال بروز خطا و خرابی را در شبكه به حداقل رساند. طراحی امكانات مورد نیاز NOC

این طراحی معمولاً به گونه‌ای صورت می‌پذیرد كه با میزان مجتمع‌سازی روال كار داخلی و خارجی سازمان هماهنگی داشته باشد. راحتی و شكل ظاهری مناسب، ازجمله عوامل مهم در طراحی مركز عملیات شبكه می‌باشد. دقت و توجه در طول فاز طراحی می‌تواند از هدر رفتن منابع و همچنین عملیات غیرضروری درآینده جلوگیری كند.

تجهیزات اتاق فرمان

اتاق فرمان معمولاً نقطه مركزی NOC است كه به عنوان یك محیط عملیاتی برای استفاده از پرسنل مورد استفاده قرار می گیرد. در این مكان لازم است كلیه تجهیزات نصب و راه‌اندازی شوند زیرا كلیه فرمان‌ها از این مكان ارسال می گردد.
در این اتاق معمولاً یك صفحه نمایشگر بسیار بزرگ دیواری نصب می شود كه می‌توان از طریق آن كلیه تجهیزات شبكه را نظارت كرد.