|
|
 |
נושא המאמר: ניהול הסיכונים במערכות מחשב מרכזיות
מאת: צביקה גורן שמור מאמר למועדפיםניהול הסיכונים במערכות מחשב מרכזיות
מה לא עשו להם ?
ביכו אותם! נפרדו מהם לשלום ! "קברו" אותם ! הספידו אותם ! הכשירו את הקרקע למחליפיהם !
מי הם ???
כן, מדובר באותן חיות פרהיסטוריות, ה"דינוזאורים" הזקנים, המחשבים "האימתניים" אשר מטילים את חיתיתם על כל האקר אומלל, ואלה החוסים בצילם של "ענקי" הרשת הידועים כשרתי Microsoft.
ובכל זאת, מי הם ?
אנו מדברים על מחשבי ה-Mainframe לסוגיהם השונים, מחשבי AS/400 ויורשיהם מסדרת iSeries, שרתי UNIX הנמנים על חברות IBM, SUN ו-HP ועל "חיות" אחרות בקטגוריה זו !
מרב "חיות" אלו נחשבו עד לעבר הלא כל כך רחוק כמערכות מאוד מאובטחות וכמעט "בלתי חדירות" !
והיום ?
הפתיחות ההולכת וגדלה של מערכי המחשוב הארגוניים בפני האינטרנט ובפני העולם הרחב, חשפו גם את מערכות המחשב המרכזיות בפני סיכונים המאיימים על שלמות וזמינות המידע האגור בתוכן.
ו"הדאגה" ?
זו קיימת היום בארגונים רבים בתחום אבטחת המידע והיא לא פסחה גם על מערכי המחשוב המרכזיים, ובפרט מאז נפתחו מערכים אלו לסוגי/שירותי תקשורת שונים (TCP/IP, FTP, TELNET וכיו"ב).
והפתרון ?
תכנון "חכם", יעיל וענייני לניהול הסיכונים ואבטחת המידע במערכות המחשוב המרכזיות של הארגון, תוך כדי שילוב של אמצעי אבטחה ובקרה מתקדמים המשלימים את מערכי האבטחה הקיימים.
והדרישות ליישום ?
היכרות וניסיון מעמיקים עם מערכי האבטחה בסביבות המחשוב המרכזיות לסוגיהן השונים, כמו גם הידע המתאים לתפעול והטמעה של אמצעי האבטחה המובנים והנלווים אל סביבות העבודה הנ"ל.
ובכל זאת, מה צריך לעשות ?
תכנון ליישום מודרג בשלבים של אבטחת המידע המלווה ב"תוכנית עבודה" ובאבני דרך לביצוע המטלות השונות, מהווים תנאי הכרחי לניהול "חכם" של הסיכונים ואבטחת המידע במערכי מחשוב מרכזיים.
ומה ב"תוכנית העבודה" ? מה מייחד אותה בסביבות מחשוב מרכזיות ?
מערכות מחשב מרכזיות שהנן מטבען ריכוזיות מאופיינות על ידי מגוון רחב של סביבות עבודה, ממשקים ושרותים המרוכזים על גבי פלטפורמת מחשוב מרכזית אחת ויחידה.
לפיכך קיימת חשיבות רבה לתכנון מסודר, מודרג ויעיל ליישום ולייצוב של אבטחת המידע, וזאת תוך כדי פגיעה מינימלית בפעילות המחשוב השוטפת המקיפה בדרך כלל את כל פעילויות הארגון.
להלן בסיס להכנת "תוכנית עבודה" המיועדת לשיפור אבטחת המידע במערכות מחשב מרכזיות:
תוכנית עבודה
"צילום" מצב אבטחת המידע הקיים
• מיפוי תשתיות החומרה ותצורת העבודה
? מיפוי תשתיות חומרה, תקשורת ותוכנה הפעילות בסביבת המחשוב
המרכזי של הארגון.
? סקירת תצורת העבודה ואופן ההפרדה בין הייצור, הפיתוח
והניסוי במחשוב של הארגון.
• ניטור ממשקים ותהליכי זרימת קלט/פלט
? מיפוי ממשקים ותהליכי זרימת (Workflow) קלט/פלט במחשב שהם
פנימיים לארגון.
? מיפוי ממשקים ותהליכי זרימת (Workflow) קלט/פלט במחשב שהם
חיצוניים לארגון.
? בחינת האבטחה בתהליכי השידור/שינוע של המידע/מצעי המידע
בממשקים אשר מופו.
• סיקור האבטחה בדרכי הגישה בתקשורת
? מיפוי של מכלול התקשורות השונות המיושמות בגישה אל המחשוב
המרכזי של הארגון.
? בחינת אמצעי האבטחה המיושמים בגישות השונות בתקשורת בדרך
אל מחשוב הארגון.
? סקירת מערך ההגנה המיושם בתוככי המחשוב המרכזי לאבטחת דרכי
הגישה בתקשורת.
• יישום הכלים במערכת ההפעלה/האבטחה
? מיפוי וסיווג של כלל המשאבים המאובטחים על ידי רכיבי מערכת
ההפעלה/אבטחה.
? בחינת הגדרות המחדל (Default) אשר יושמו במסגרת של מערכת
ההפעלה/אבטחה.
? סקירת המשתמשים/קבוצות המשתמשים שהוגדרו במסגרת מערכת
ההפעלה/אבטחה.
? בחינת פרופילי המשתמש שהוקמו וסיווגם במערכת ההפעלה/אבטחה
לפי תפקודי מחשב.
? סקירת האבטחה שיושמה בתהליכי ההגדרה של משאבים ואובייקטים
במחשוב המרכזי.
? בחינת ניהול הרשאות המשתמשים בגישה למשאבים ואובייקטים
שהוגדרו במחשוב המרכזי.
? ניטור התיעוד ב"יומן האירועים" (ב-Log) של מערכת
ההפעלה/אבטחה שבמחשוב המרכזי.
? בחינת הבקרות והטיפול בחריגי אבטחה שאותרו במחשוב המרכזי
המיושמים במסגרת הארגון.
• ארגון האבטחה ברמת מסדי הנתונים
? מיפוי כלל המשאבים המאובטחים במסגרת מערך ההגנה המובנה
בתוך מסד הנתונים.
? בחינת האבטחה ויישום ההפרדה שבין משתמשים רגילים לבין
משתמשי פיתוח ו-DBA.
? סקירת המשתמשים והקיבוץ לקבוצות משתמשים אשר יושמו במסגרת
מסד הנתונים.
? בחינת ניהול הרשאות המשתמשים בגישתם לאובייקטים אשר הוגדרו
במסד הנתונים.
? ניטור התיעוד ב"יומן האירועים" המשולב במסד הנתונים
והבקרות שיושמו בתחום זה..
? בחינת ההגנה וחסימת גורמים לא מורשים בפני גישה למנגנון
האבטחה במסד הנתונים.
• ניהול ההרשאות ברמת האפליקציות
? מיפוי ההתפלגות ו"חלחול" ההרשאות של משתמשי האפליקציות בין
3 הרמות שלהלן:
? ההרשאות ברמת מערכת ההפעלה/אבטחה.
? ההרשאות המיושמות ברמת מסדי הנתונים.
? ההרשאות המיושמות ברמת האפליקציות גופן.
? סקירת המשתמשים והקיבוץ לקבוצות משתמשים אשר יושמו במסגרת
האפליקציות.
? בחינת ניהול הרשאות המשתמשים והשימוש בתפריטים
סטטיים/דינמיים באפליקציה.
? ניטור התיעוד ב"יומן האירועים" המשולב באפליקציה והבקרות
אשר יושמו בתחום זה.
? בחינת ההגנה וחסימת גורמים לא מורשים בפני גישה אל מנגנון
האבטחה שבאפליקציה.
• ההפרדה שבין סביבות העבודה השונות
? סקירת האמצעים שהותקנו להבטחת ההפרדה שבין סביבות הייצור,
הפיתוח והניסוי.
? בחינת אמצעי האבטחה שיושמו בהעברת תוכניות מסביבות הפיתוח-
ניסוי אל הייצור.
? סיקור תהליכי האבטחה הננקטים בעת הטיפול בתקלות תוכנה
המתרחשות בסביבת הייצור.
• ניהול ההזדהות ותהליכי הגדרת המשתמשים
? מיפוי תהליכי הזדהות המשתמש במהלך גישתו אל האפליקציה ב-3
הרמות שלהלן:
? ההזדהות ברמת הגישה אל מערכת ההפעלה/אבטחה.
? ההזדהות המיושמת ברמת הגישה אל מסדי הנתונים.
? ההזדהות ברמת הגישה אל האפליקציה (או אוסף של אפליקציות).
? סקירת התהליך המנהלי והתהליך הממוכן המשמשים את הגדרת
משתמשי האפליקציות.
? בחינת האבטחה ואופן השילוב שבין הגדרת המשתמשים בכל 3
הרמות אשר מפורטות לעיל.
איתור סיכונים ונקודות כשל באבטחה
• סיקור, סיווג וניתוח הממצאים בהתייחס לאיומים והנזקים
הצפויים במערכים/תהליכים שנסקרו.
• איתור וזיהוי הסיכונים והחשיפות במערכים/בתהליכים שנבחנו
הנובעים מההיבט האנושי, התפעולי, הכספי, הבקרתי,
הפונקציונאלי, הפיסי והארגוני.
• מיפוי נקודות הכשל במערכים/תהליכים שנסקרו הנובעות מהפער
שבין המצב הקיים למצב הנדרש.
ניתוח הסיכונים וקביעת תעדוף לטיפול
• ניתוח הסיכונים והחשיפות שזוהו בהתייחס אל מקור הסיכון,
הגורמים לסיכון, תרחישים אפשריים למימושו, ודרגת "החומרה" של
הסיכון מהיבטי הסיכוי והנזקים שהוא נושא בחובו.
• קביעת תיעדוף לטיפול בסיכונים שאותרו בהתייחס לדרגת "החומרה"
שנקבעה עבורם, ואל מורכבות הפתרון הנובעת מהיבטי עלות,
השינויים/תוספות הנדרשים ומעורבות גורמי חוץ.
עיצוב פתרונות ותכנון לו"ז לשיפורים
• תכנון לביצוע שיפורים נקודתיים באופן מיידי, תוך כדי איתור
כשלים ופרצות אשר עבורם ניתן ליישם פתרון שהוא מהיבט הארגון
פשוט, זול ומהיר.
• עיצוב פתרונות בשיתוף גורמים מקצועיים וגורמים בעלי עניין
בארגון, בהסתמך על ממצאי "צילום" מצב האבטחה הקיים והחלטות
הארגון לגבי תיעדוף הנושאים לטיפול.
• תכנון לשיפור בשלבים - תוך ציון מורכבות הפתרון - עבור מקרים
בהם נדרשים פתרונות המחייבים השקעות ניכרות ו/או מעורבות של
גורמים שהם חיצוניים לארגון.
• קביעת אבני דרך ליישום בשלבים של הפתרונות לגביהם הוסכם
בארגון, והכנת תוכנית עבודה ולו"ז לביצוע המתייחסים אל רמות
התיעדוף אשר נקבעו בארגון.
יישום, סיוע ובקרה בהטמעת הפתרונות
• פתרונות נקודתיים הנדרשים בשוטף ויישומם מהיר ופשוט, ילוו או
יבוצעו (בהתאם להחלטות הארגון) במלואם על ידי צוות מקצועי
פנימי/חיצוני לארגון.
• פתרונות מורכבים ו/או מהותיים הדורשים השקעות ניכרות מהארגון
יוטמעו בשלבים ויבוקרו על ידי צוות מקצועי פנימי/חיצוני,
ובסיום כל שלב יבוצעו מבדקי קבלה על ידי צוות זה.
• פתרונות המחייבים מעורבות של גופים שהם חיצוניים לארגון
יאושרו על ידי הגורמים שייקבעו לצורך זה בארגון, וילוו במהלך
כל תקופת היישום על ידי צוות בקרה פנימי'חיצוני לארגון.
תיעוד ותכנון לתפעול הפתרונות שיושמו
• פתרונות מורכבים ו/או מהותיים יתועדו באמצעות מסמכים מלווים,
שבתוכנם יוכללו:
? תיאור הסיכון/חשיפה שבעטיים תוכנן הפתרון.
? הסבר כללי על מהות הפתרון אשר הוכן כמענה.
? המפרט הטכני של כלי הביצוע ומרכיבי הפתרון.
? שינויי תצורה הצפויים כתוצאה מיישום הפתרון.
? כללי תפעול חדשים הנדרשים עם סיום היישום.
• יתרונות שלהם השפעה על ציבור המשתמשים בארגון ילוו בתכנון
לביצוע, שבתוכנו יוכללו:
? מבוא המתאר את מהות הפתרון המתוכנן.
? פרוט של נקודות ההשפעה על ציבור המשתמשים.
? תכנון מפורט ליישום בשלבים של הפתרון המוצע.
? אבני דרך ולוח זמנים לביצוע הפרוייקט בשלבים.
? ציוות של גורמי פיקוח וסיוע לציבור המשתמשים.
? תכנון של ליווי ובקרת היישום על ידי צוות מלווה
פנימי/חיצוני לארגון
• פתרונות שביצועם מחייב הנחיית ציבור המשתמשים ילוו במדריך
למשתמש, שבתוכנו יוכללו:
? מבוא קצר המתאר את מהות השינוי המבוצע.
? מפרט של המסכים/תפריטים שיחולו בהם שינויים.
? הנחיות למשתמש לאופן תפעול המסכים/תפריטים.
? ציון המועד שבו יחול השינוי והמשתמשים יחויבו בו.
? רשימת טלפונים והגורמים אליהם ניתן לפנות לסיוע.
תפעול, תחזוקה ובקרת האבטחה בשוטף
• לתפעול ותחזוקה שוטפים (ובכלל זה השינויים שבוצעו) יוכנו
הכלים שלהלן:
? תקבע מדיניות אבטחת המידע לגבי הרכיבים שנוספו (במידה
ונדרש).
? יוכנו נהלי עבודה ו/או מדריכים טכניים למתפעלים של
השינויים שבוצעו.
? יוכנו נהלים ו/או מדריכים למשתמש שבהם הנחיות לשימוש
בפתרונות שיושמו.
? יוכנו נהלי אבטחת מידע בעקבות שינויים שיבוצעו ולהם תהא
השפעה בתחום זה.
• לפיקוח ובקרה שוטפים (בפלטפורמות הנדונות) יוכנו הכלים שלהלן:
? תקבע מדיניות לבקרת אבטחת המידע במסגרת הרכיבים שנוספו.
? יוכנו נהלי עבודה ו/או מדריכים ליישומן של בקרות שוטפות
ותקופתיות.
? יוכנו נהלים המפרטים את אופן הטיפול והתגובה באיתור
אירועים חריגים.
• בקרות תקופתיות לבחינת מצב האבטחה יבוצעו על ידי מומחי אבטחה
שהנם חיצוניים לארגון.
כתב:
צביקה גורן
יועץ בכיר לאבטחת מידע
מרכז תחום BCP/DRP
אבטחת מערכים יישומים
ואבטחת מערכות מחשב מרכזיות
דוא"ל: [email protected]
אתר: www.securitree.co.il
מאמר זה נוסף לאתר "ארטיקל" מאמרים ע"י צביקה גורן שאישר שהוא הכותב של מאמר זה ושהקישור בסיום המאמר הוא לאתר האינטרנט שבבעלותו, מפרסם מאמר זה אישר בפרסומו מאמר זה הסכמה לתנאי השימוש באתר "ארטיקל", וכמו כן אישר את העובדה ש"ארטיקל" אינם מציגים בתוך גוף המאמר "קרדיט", כפי שמצוי אולי באתרי מאמרים אחרים, מלבד קישור לאתר מפרסם המאמר (בהרשמה אין שדה לרישום קרדיט לכותב). מפרסם מאמר זה אישר שמאמר זה מפורסם אולי גם באתרי מאמרים אחרים בחלקו או בשלמותו, והוא מאשר שמאמר זה נוסף על ידו לאתר "ארטיקל".
צוות "ארטיקל" מצהיר בזאת שאינו לוקח או מפרסם מאמרים ביוזמתו וללא אישור של כותב המאמר בהווה ובעתיד, מאמרים שפורסמו בעבר בתקופת הרצת האתר הראשונית ונמצאו פגומים כתוצאה מטעות ותום לב, הוסרו לחלוטין מכל מאגרי המידע של אתר "ארטיקל", ולצוות "ארטיקל" אישורים בכתב על כך שנושא זה טופל ונסגר.
הערה זו כתובה בלשון זכר לצורך בהירות בקריאות, אך מתייחסת לנשים וגברים כאחד, אם מצאת טעות או שימוש לרעה במאמר זה למרות הכתוב לעי"ל אנא צור קשר עם מערכת "ארטיקל" בפקס 03-6203887.
בכדי להגיע לאתר מאמרים ארטיקל דרך מנועי החיפוש, רישמו : מאמרים על , מאמרים בנושא, מאמר על, מאמר בנושא, מאמרים אקדמיים, ואת התחום בו אתם זקוקים למידע.
|
|
|
להשכיר רכב
הזמנת מלון בחו"ל
הזמנת מלון בישראל
אתר איי יוון
מדריך איטליה
מלונות בניו יורק
מדריך לאס וגאס
המלצות על נופש
המלצות על פריז
נדל"ן ביוון
|
