דף הבית  >> 
 >> 

הרשם  |  התחבר


ניהול הסיכונים במערכות מחשב מרכזיות 

מאת    [ 04/07/2007 ]

מילים במאמר: 1189   [ נצפה 3022 פעמים ]

ניהול הסיכונים במערכות מחשב מרכזיות

מה לא עשו להם ?
ביכו אותם!   נפרדו מהם לשלום !   "קברו" אותם !    הספידו אותם !   הכשירו את הקרקע למחליפיהם !
מי הם ???
כן, מדובר באותן חיות פרהיסטוריות, ה"דינוזאורים" הזקנים, המחשבים "האימתניים" אשר מטילים את חיתיתם על כל האקר אומלל, ואלה החוסים בצילם של "ענקי" הרשת הידועים כשרתי Microsoft.
ובכל זאת, מי הם -
אנו מדברים על מחשבי ה-Mainframe לסוגיהם השונים, מחשבי AS/400 ויורשיהם מסדרת iSeries, שרתי UNIX הנמנים על חברות IBM, SUN ו-HP ועל "חיות" אחרות בקטגוריה זו !
 מרב "חיות" אלו נחשבו עד לעבר הלא כל כך רחוק כמערכות מאוד מאובטחות וכמעט "בלתי חדירות" !
והיום ?
הפתיחות ההולכת וגדלה של מערכי המחשוב הארגוניים בפני האינטרנט ובפני העולם הרחב, חשפו גם את מערכות המחשב המרכזיות בפני סיכונים המאיימים על שלמות וזמינות המידע האגור בתוכן.
ו"הדאגה" ?
זו קיימת היום בארגונים רבים בתחום אבטחת המידע והיא לא פסחה גם על מערכי המחשוב המרכזיים, ובפרט מאז נפתחו מערכים אלו לסוגי/שירותי תקשורת שונים (TCP/IP, FTP, TELNET וכיו"ב).
והפתרון -
תכנון "חכם", יעיל וענייני לניהול הסיכונים ואבטחת המידע במערכות המחשוב המרכזיות של הארגון, תוך כדי שילוב של אמצעי אבטחה ובקרה  מתקדמים המשלימים את מערכי האבטחה הקיימים.
והדרישות ליישום ?
היכרות וניסיון מעמיקים עם מערכי האבטחה בסביבות המחשוב המרכזיות לסוגיהן השונים, כמו גם הידע המתאים לתפעול והטמעה של אמצעי האבטחה המובנים והנלווים אל סביבות העבודה הנ"ל.
ובכל זאת, מה צריך לעשות ? 
תכנון ליישום מודרג בשלבים של אבטחת המידע המלווה ב"תוכנית עבודה" ובאבני דרך לביצוע המטלות השונות, מהווים תנאי הכרחי לניהול "חכם" של הסיכונים ואבטחת המידע במערכי מחשוב מרכזיים.
ומה ב"תוכנית העבודה" - מה מייחד אותה בסביבות מחשוב מרכזיות ?
מערכות מחשב מרכזיות שהנן מטבען ריכוזיות מאופיינות על ידי מגוון רחב של סביבות עבודה, ממשקים ושרותים המרוכזים על גבי פלטפורמת מחשוב מרכזית אחת ויחידה.
לפיכך קיימת חשיבות רבה לתכנון מסודר, מודרג ויעיל ליישום ולייצוב של אבטחת המידע, וזאת תוך כדי פגיעה מינימלית בפעילות המחשוב השוטפת המקיפה בדרך כלל את כל פעילויות הארגון.
להלן בסיס להכנת "תוכנית עבודה" המיועדת לשיפור אבטחת המידע במערכות מחשב מרכזיות:

תוכנית עבודה

"צילום" מצב אבטחת המידע הקיים


    • מיפוי תשתיות החומרה ותצורת העבודה

      • מיפוי תשתיות חומרה, תקשורת ותוכנה הפעילות בסביבת המחשוב המרכזי של הארגון.
      • סקירת תצורת העבודה ואופן ההפרדה בין הייצור, הפיתוח והניסוי במחשוב של הארגון.

    • ניטור ממשקים ותהליכי זרימת קלט/פלט

      • מיפוי ממשקים ותהליכי זרימת (Workflow) קלט/פלט במחשב שהם פנימיים לארגון.
      • מיפוי ממשקים ותהליכי זרימת (Workflow) קלט/פלט במחשב שהם חיצוניים לארגון.
      • בחינת האבטחה בתהליכי השידור/שינוע של המידע/מצעי המידע בממשקים אשר מופו.

    • סיקור האבטחה בדרכי הגישה בתקשורת

      • מיפוי של מכלול התקשורות השונות המיושמות בגישה אל המחשוב המרכזי של הארגון.
      • בחינת אמצעי האבטחה המיושמים בגישות השונות בתקשורת בדרך אל מחשוב הארגון.
      • סקירת מערך ההגנה המיושם בתוככי המחשוב המרכזי לאבטחת דרכי הגישה בתקשורת.

    • יישום הכלים במערכת ההפעלה/האבטחה

      • מיפוי וסיווג של כלל המשאבים המאובטחים על ידי רכיבי מערכת ההפעלה/אבטחה.
      • בחינת הגדרות המחדל (Default) אשר יושמו במסגרת של מערכת ההפעלה/אבטחה.
      • סקירת המשתמשים/קבוצות המשתמשים שהוגדרו במסגרת מערכת ההפעלה/אבטחה.
      • בחינת פרופילי המשתמש שהוקמו וסיווגם במערכת ההפעלה/אבטחה לפי תפקודי מחשב.
      • סקירת האבטחה שיושמה בתהליכי ההגדרה של משאבים ואובייקטים במחשוב המרכזי.
      • בחינת ניהול הרשאות המשתמשים בגישה למשאבים ואובייקטים שהוגדרו במחשוב המרכזי.
      • ניטור התיעוד ב"יומן האירועים" (ב-Log) של מערכת ההפעלה/אבטחה שבמחשוב המרכזי.
      • בחינת הבקרות והטיפול בחריגי אבטחה שאותרו במחשוב המרכזי המיושמים במסגרת הארגון.

    • ארגון האבטחה ברמת מסדי הנתונים

      • מיפוי כלל המשאבים המאובטחים במסגרת מערך ההגנה המובנה בתוך מסד הנתונים.
      • בחינת האבטחה ויישום ההפרדה שבין משתמשים רגילים לבין משתמשי פיתוח ו-DBA.
      • סקירת המשתמשים והקיבוץ לקבוצות משתמשים אשר יושמו במסגרת מסד הנתונים.
      • בחינת ניהול הרשאות המשתמשים בגישתם לאובייקטים אשר הוגדרו במסד הנתונים.
      • ניטור התיעוד ב"יומן האירועים" המשולב במסד הנתונים והבקרות שיושמו בתחום זה..
      • בחינת ההגנה וחסימת גורמים לא מורשים בפני גישה למנגנון האבטחה במסד הנתונים.

    • ניהול ההרשאות ברמת האפליקציות

      • מיפוי ההתפלגות ו"חלחול" ההרשאות של משתמשי האפליקציות בין 3 הרמות שלהלן:

        • ההרשאות ברמת מערכת ההפעלה/אבטחה.
        • ההרשאות המיושמות ברמת מסדי הנתונים.
        • ההרשאות המיושמות ברמת האפליקציות גופן.

      • סקירת המשתמשים והקיבוץ לקבוצות משתמשים אשר יושמו במסגרת האפליקציות.
      • בחינת ניהול הרשאות המשתמשים והשימוש בתפריטים סטטיים/דינמיים באפליקציה.
      • ניטור התיעוד ב"יומן האירועים" המשולב באפליקציה והבקרות אשר יושמו בתחום זה.
      • בחינת ההגנה וחסימת גורמים לא מורשים בפני גישה אל מנגנון האבטחה שבאפליקציה.

    • ההפרדה שבין סביבות העבודה השונות

      • סקירת האמצעים שהותקנו להבטחת ההפרדה שבין סביבות הייצור, הפיתוח והניסוי.
      • בחינת אמצעי האבטחה שיושמו בהעברת תוכניות מסביבות הפיתוח-ניסוי אל הייצור.
      • סיקור תהליכי האבטחה הננקטים בעת הטיפול בתקלות תוכנה המתרחשות בסביבת הייצור.

    • ניהול ההזדהות ותהליכי הגדרת המשתמשים

      • מיפוי תהליכי הזדהות המשתמש במהלך גישתו אל האפליקציה ב-3 הרמות שלהלן:

        • ההזדהות ברמת הגישה אל מערכת ההפעלה/אבטחה.
        • ההזדהות המיושמת ברמת הגישה אל מסדי הנתונים.
        • ההזדהות ברמת הגישה אל האפליקציה (או אוסף של אפליקציות).

      • סקירת התהליך המנהלי והתהליך הממוכן המשמשים את הגדרת משתמשי האפליקציות.
      • בחינת האבטחה ואופן השילוב שבין הגדרת המשתמשים בכל 3 הרמות אשר מפורטות לעיל.

איתור סיכונים ונקודות כשל באבטחה


    • סיקור, סיווג וניתוח הממצאים בהתייחס לאיומים והנזקים הצפויים במערכים/תהליכים שנסקרו.
    • איתור וזיהוי הסיכונים והחשיפות במערכים/בתהליכים שנבחנו הנובעים מההיבט האנושי, התפעולי, הכספי, הבקרתי, הפונקציונאלי, הפיסי והארגוני.
    • מיפוי נקודות הכשל במערכים/תהליכים שנסקרו הנובעות מהפער שבין המצב הקיים למצב הנדרש.

ניתוח הסיכונים וקביעת תעדוף לטיפול


    • ניתוח הסיכונים והחשיפות שזוהו בהתייחס אל מקור הסיכון, הגורמים לסיכון, תרחישים אפשריים למימושו, ודרגת "החומרה" של הסיכון מהיבטי הסיכוי והנזקים שהוא נושא בחובו.
    • קביעת תיעדוף לטיפול בסיכונים שאותרו בהתייחס לדרגת "החומרה" שנקבעה עבורם, ואל מורכבות הפתרון הנובעת מהיבטי עלות, השינויים/תוספות הנדרשים ומעורבות גורמי חוץ.

עיצוב פתרונות ותכנון לו"ז לשיפורים


    • תכנון לביצוע שיפורים נקודתיים באופן מיידי, תוך כדי איתור כשלים ופרצות אשר עבורם ניתן ליישם פתרון שהוא מהיבט הארגון פשוט, זול ומהיר.
    • עיצוב פתרונות בשיתוף גורמים מקצועיים וגורמים בעלי עניין בארגון, בהסתמך על ממצאי "צילום" מצב האבטחה הקיים והחלטות הארגון לגבי תיעדוף הנושאים לטיפול.
    • תכנון לשיפור בשלבים - תוך ציון מורכבות הפתרון - עבור מקרים בהם נדרשים פתרונות המחייבים השקעות ניכרות ו/או מעורבות של גורמים שהם חיצוניים לארגון.
    • קביעת אבני דרך ליישום בשלבים של הפתרונות לגביהם הוסכם בארגון, והכנת תוכנית עבודה ולו"ז לביצוע המתייחסים אל רמות התיעדוף אשר נקבעו בארגון.

יישום, סיוע ובקרה בהטמעת הפתרונות


    • פתרונות נקודתיים הנדרשים בשוטף ויישומם מהיר ופשוט, ילוו או יבוצעו (בהתאם להחלטות הארגון) במלואם על ידי צוות מקצועי פנימי/חיצוני לארגון.
    • פתרונות מורכבים ו/או מהותיים הדורשים השקעות ניכרות מהארגון יוטמעו בשלבים ויבוקרו על ידי צוות מקצועי פנימי/חיצוני, ובסיום כל שלב יבוצעו מבדקי קבלה על ידי צוות זה.
    • פתרונות המחייבים מעורבות של גופים שהם חיצוניים לארגון יאושרו על ידי הגורמים שייקבעו לצורך זה בארגון, וילוו במהלך כל תקופת היישום על ידי צוות בקרה פנימי'חיצוני לארגון.

תיעוד ותכנון לתפעול הפתרונות שיושמו


    • פתרונות מורכבים ו/או מהותיים יתועדו באמצעות מסמכים מלווים, שבתוכנם יוכללו:

      • תיאור הסיכון/חשיפה שבעטיים תוכנן הפתרון.
      • הסבר כללי על מהות הפתרון אשר הוכן כמענה.
      • המפרט הטכני של כלי הביצוע ומרכיבי הפתרון.
      • שינויי תצורה הצפויים כתוצאה מיישום הפתרון.
      • כללי תפעול חדשים הנדרשים עם סיום היישום.

    • פתרונות שלהם השפעה על ציבור המשתמשים בארגון ילוו בתכנון לביצוע, שבתוכנו יוכללו:

      • מבוא המתאר את מהות הפתרון המתוכנן.
      • פרוט של נקודות ההשפעה על ציבור המשתמשים.
      • תכנון מפורט ליישום בשלבים של הפתרון המוצע.
      • אבני דרך ולוח זמנים לביצוע הפרוייקט בשלבים.
      • ציוות של גורמי פיקוח וסיוע לציבור המשתמשים.
      • תכנון של ליווי ובקרת היישום על ידי צוות מלווה פנימי/חיצוני לארגון

    • פתרונות שביצועם מחייב הנחיית ציבור המשתמשים ילוו במדריך למשתמש, שבתוכנו יוכללו:

      • מבוא קצר המתאר את מהות השינוי המבוצע.
      • מפרט של המסכים/תפריטים שיחולו בהם שינויים.
      • הנחיות למשתמש לאופן תפעול המסכים/תפריטים.
      • ציון המועד שבו יחול השינוי והמשתמשים יחויבו בו.
      • רשימת טלפונים והגורמים אליהם ניתן לפנות לסיוע.

תפעול, תחזוקה ובקרת האבטחה בשוטף


    • לתפעול ותחזוקה שוטפים (ובכלל זה השינויים שבוצעו) יוכנו הכלים שלהלן:

      • תקבע מדיניות אבטחת המידע לגבי הרכיבים שנוספו (במידה ונדרש).
      • יוכנו נהלי עבודה ו/או מדריכים טכניים למתפעלים של השינויים שבוצעו.
      • יוכנו נהלים ו/או מדריכים למשתמש שבהם הנחיות לשימוש בפתרונות שיושמו.
      • יוכנו נהלי אבטחת מידע בעקבות שינויים שיבוצעו ולהם תהא השפעה בתחום זה.

    • לפיקוח ובקרה שוטפים (בפלטפורמות הנדונות) יוכנו הכלים שלהלן:

      • תקבע מדיניות לבקרת אבטחת המידע במסגרת הרכיבים שנוספו.
      • יוכנו נהלי עבודה ו/או מדריכים ליישומן של בקרות שוטפות ותקופתיות.
      • יוכנו נהלים המפרטים את אופן הטיפול והתגובה באיתור אירועים חריגים.

    • בקרות תקופתיות לבחינת מצב האבטחה יבוצעו על ידי מומחי אבטחה שהנם חיצוניים לארגון.
צביקה גורן
Bsc - מתמטיקה, פיסיקה ומחשבים.
Msc - ביופיסיקה.
משנת 1971 בתחום המחשוב.
משנת 1986 בתחום אבטחת המידע
נסיון רב באבטחת מידע בארץ ובחו"ל.
כיום:
חברת Secure Horizons LTD
בעלים ויועץ בכיר לאבטחת
מידע והמשכיות עסקית בתחומים:
הוראות תקנים ורגולציות
ניהול ובקרת סיכונים
שרידות והמשכיות עסקית
טל: 03-6321537
פקס: 03-6323967
נייד: 054-3399090
אתר: www.secure-horizons.co.il



מאמרים חדשים מומלצים: 

חשיבות היוגה לאיזון אורח חיים יושבני  -  מאת: מיכל פן מומחה
היתרונות של עיצוב בית בצורת L -  מאת: פיטר קלייזמר מומחה
לגלות, לטפח, להצליח: חשיבות מימוש פוטנציאל הכישרון לילדים עם צרכים מיוחדים -  מאת: עמית קניגשטיין מומחה
המדריך לניהול כלכלת משק בית עם טיפים ועצות לניהול תקציב -  מאת: נדב טל מומחה
חשבתם שרכב חשמלי פוטר מטיפולים.. תחשבו שוב -  מאת: יואב ציפרוט מומחה
מה הסיבה לבעיות האיכות בעולם -  מאת: חנן מלין מומחה
מערכת יחסים רעילה- איך תזהו מניפולציות רגשיות ותתמודדו איתם  -  מאת: חגית לביא מומחה
לימודים במלחמה | איך ללמוד ולהישאר מרוכז בזמן מלחמה -  מאת: דניאל פאר
אימא אני מפחד' הדרכה להורים כיצד תוכלו לנווט את קשיי 'מצב המלחמה'? -  מאת: רזיאל פריגן פריגן מומחה
הדרך שבה AI (בינה מלאכותית) ממלאת את העולם בזבל דיגיטלי -  מאת: Michael - Micha Shafir מומחה

מורנו'ס - שיווק באינטרנט

©2022 כל הזכויות שמורות

אודותינו
שאלות נפוצות
יצירת קשר
יתרונות לכותבי מאמרים
מדיניות פרטיות
עלינו בעיתונות
מאמרים חדשים

לכותבי מאמרים:
פתיחת חשבון חינם
כניסה למערכת
יתרונות לכותבי מאמרים
תנאי השירות
הנחיות עריכה
תנאי שימוש במאמרים



מאמרים בפייסבוק   מאמרים בטוויטר   מאמרים ביוטיוב