1-  مقدمه

اين گزارش با عنوان ” امنيت در مراكز داده” و در راستاي انجام فاز يك پروژه “مطالعات تطبيقي و مدل مفهومی اينترنت ملي و تحقيق، بررسی و طراحی الگو برای مراکز داده اينترنتی در کشور در سه تيپ A، B و C ” تهيه و ارائه گشته است.

امنيت از ديرباز يكي از اجزاي اصلي زيرساخت‌هاي فناوري اطلاعات به شمار مي‌رفته است. تهديدهاي امنيتي تنها منحصر به تهديدات الكترونيكي نيستند، بلكه هر شبكه بايد از نظر فيزيكي نيز ايمن گردد. خطرات الكترونيكي غالباً شامل تهديدات هكرها و نفوذگران خارجي و داخلي در شبكه‌ها مي باشند. در حالي كه امنيت فيزيكي شامل كنترل ورود و خروج پرسنل به سايت‌هاي شبكه و همچنين روال‌هاي سازماني نيز هست. براي پياده سازي امنيت در حوزه‌هاي فوق، علاوه بر ايمن‌سازي سخت‌افزاري شبكه، نياز به تدوين سياست‌هاي امنيتي در حوزه فناوري اطلاعات در يك سازمان نيز مي باشد. در اين راستا لازم است از روال‌هاي استانداردي استفاده شود كه به واسطه آن‌ها بتوان ساختار يك سازمان را براي پياده سازي فناوري اطلاعات ايمن نمود.

روند ارائه مطالب در 

اين گزارش بدين صورت است كه ابتدا در بخش دوم به علل ايجاد امنيت در مركز داده پرداخته مي­شود. در بخش سوم ISMS، كه اولين استاندارد مديريت امنيت اطلاعات مي­باشد معرفي گشته و هر يك از استانداردهاي آن به طور كلي مورد بررسي قرار مي­گيرد. در بخش چهارم انواع تهديدات موجود در شبك DOS، DDOS و كرمهاي اينترنتي مورد بررسي قرار مي­گيرد. در بخش پنجم به بررسي روشهاي ايجاد امنيت در شبكه پرداخته مي­شود و در نهايت در بخش ششم امنيت فيزيكي مركز داده مورد بررسي قرار مي­گيرد. 

1-  علل ايجاد امنيت در مركز داده

مقوله امنيت اطلاعات يك از حياتي ترين اجزاي چرخه رو به رشد فناوري اطلاعات است.  وقتي كه يك مجموعه تجاري يا اداري خصوصي و يا دولتي مدلها و سيستم هاي نوين مديريتي و اطلاعاتي را مي‌پذيرد، خود به خود حجم زيادي از كارمندان، شركاي تجاري، اسپانسرهاي مالي و مشتركين و مشتريان گسترده را در سطوح مختلف در مجموعه خود پذيرا شده است. هر يك از اين گروه‌ها از يك سو به سهم خود در توليد اطلاعات بعضأ حياتي نقش عمده‌اي دارند و از سوي ديگر ميزان و سطح دسترسي آنها به مجموعه داده هاي توليد شده خود مقوله قابل توجهي خواهد بود. به همان اندازه كه فرصتهاي جديد و تجارت هاي گوناگون براي توسعه بيشتر توسط اين سازمانها ايجاد مي‌شوند، ريسكهاي ايجاد شده نيز افزايش مي‌يابند. مهمترين آنها دسترسي خارج از ضابطه افراد و گروه‌ها به داده هاي توليد شده است. به موازات رشد بسيار سريع توليد اطلاعات خود به خود انواع تروريستهاي فضاي مجازي و سارقان اطلاعات (هكرها) نيز رشد مي‌كنند.

لذا ايجاد يك نظارت منسجم و دقيق براي ايجاد ايمني بالاي اطلاعات تبديل به يك نياز بسيار گسترده شده است. سازمانها و مراكز تجاري مخصوصا مراكز نگهداري داده ها اين نياز را بخوبي درك كرده اند و سعي در رفع نيازهاي امنيتي خود دارند.

مراكز داده به عنوان مجموعه‌اي بزرگ از انواع اطلاعات ، نرم‌افزارها و داراييهاي اطلاعاتي اماج بيشترين حملات الكترونيكي از نظر تعداد و حجم قرار دارند.  تعداد حملات گزارش شده به مراكز داده هر ساله رشدي نمايي داشته است[1]. تجهيزاتي نظير سرويس دهنده­ها و مسيريابها به عنوان نقاط سوئيچي مراكز داده آماج بيشترين حملات قراردارند و نسبت به ساير تجهيزات نياز به مراقبت بيشتر و دقيقتري دارند.

حملاتي كه عيله Server Farm ها صورت مي‌گيرد مي‌تواند منجر به از بين رفتن نرم افزارهاي كاربردي نظير نرم‌افزارهاي تجارت الكترونيك يا سرقت اطلاعات محرمانه و اختصاصي شود. هم شبكه‌هاي محلي و هم شبكه هاي ذخيره سازي بايد در مقابل حملاتي از اين دست كه احتمال وقوع آن نياز بسيار زياد است محافظت گردند.

هكرها از ابزارهاي گوناگوني براي ورود به شبكه ها و نفوذ در سرويس دهنده ها و منابع شبكه استفاده مي‌كنند. كه متداولترين نمونه هاي آن در قسمت هاي بعدي بررسي خواهند شد.

بدليل اينكه بسياري از تهديد ها و حملاتي كه از طريق شبكه هاي محلي انجام مي‌شود شناخته شده هستند و ميتوان به سرعت از آنها جلوگيري كرد و يا منبع آنها را شناسايي نمود، تجهيزاتي نظير Firewall ها عمدتا به عنوان سطوح اوليه امنيت شبكه در مقابل كاربران خارجي كه تلاش ميكنند از طريق شبكه جهاني Internet به Server Farm ها نفوذ كنند قرار مي‌گيرند. اين تجهيزات نيز در بخش هاي بعدي به تفكيك مورد بررسي قرار مي‌گيرند.

در هر حال براي اينكه يك مركز داده كاملأ ايمن باشد توصيه شده است كه يك سياست دقيق كه بتواند حداكثر توانمندي را با استفاده از انواع تجهيزات مانند Firewall و IDS وSSL Offloader و ... ايجاد نمايد در يك مركز داده پياده سازي شود.

در عين حال بديهي است كه هيچ گاه ضريب امنيت يك مجموعه 100 درصد نخواهد شد و همواره روشهايي نظير مانيتورينگ منظم نيز بايد به مجموعه سياست ها و تجهيزات امنيتي افزوده شود.

2-  ISMS‌ و استانداردهاي آن

با ارائه اولين استاندارد مديريت امنيت اطلاعات(ISMS)[2] در سال 1995، نگرش سيستماتيک به مقوله ايمن‌سازي فضاي تبادل اطلاعات شکل گرفت. بر اساس اين نگرش، تأمين امنيت فضاي تبادل اطلاعات سازمانها، دفعتأ مقدور نمي‌باشد و لازم است اين امر بصورت مداوم در يک چرخه ايمن‌سازي شامل مراحل طراحي، پياده‌سازي، ارزيابي و اصلاح، انجام گيرد. براي اين منظور لازم است هر سازمان بر اساس يک متدولوژي مشخص، اقدامات زير را انجام دهد:

• تهيه طرح‌ها و برنامه‌هاي امنيتي موردنياز سازمان
•  ايجاد تشکيلات موردنياز جهت ايجاد و تداوم امنيت فضاي تبادل اطلاعات سازمان
•  اجراي طرح‌ها و برنامه‌هاي امنيتي سازمان

در حال حاضر، مجموعه‌اي از استانداردهاي مديريتي و فني ايمن‌سازي فضاي تبادل اطلاعات سازمان‌ها ارائه شده‌اند که استاندارد مديريتي BS7799 مؤسسه استاندارد انگليس، استاندارد مديريتي ISO/IEC 17799 موسسه بين‌المللي استاندارد و گزارش فني ISO/IEC TR 13335 مؤسسه بين‌المللي استاندارد از برجسته‌ترين استانداردها و راهنماييهاي فني در اين زمينه محسوب مي‌گردند.

در اين استانداردها، نکات زير مورد توجه قرار گرفته شده است:

• تعيين مراحل ايمن‌سازي و نحوه شکل‌گيري چرخه امنيت اطلاعات و ارتباطات سازمان
• جرئيات مراحل ايمن‌سازي و تکنيکهاي فني مورد استفاده در هر مرحله
• ليست و محتواي طرح‌ها و برنامه‌هاي امنيتي موردنياز سازمان
•  ضرورت و جزئيات ايجاد تشکيلات سياستگذاري، اجرائي و فني تأمين امنيت اطلاعات و ارتباطات سازمان
• کنترل‌هاي امنيتي موردنياز براي هر يک از سيستم‌هاي اطلاعاتي و ارتباطي سازمان

2-1-  معرفي استانداردهاي ISMS

استانداردهاي مديريتي ارائه شده در خصوص امنيت اطلاعات و ارتباطات سازمان‌ها، عبارتند از:

• استاندارد مديريتي BS7799 مؤسسه استاندارد انگليس
• استاندارد مديريتي ISO/IEC 17799 مؤسسه بين‌المللي استاندارد
•  گزارش فني ISO/IEC TR 13335 مؤسسه بين‌المللي استاندارد

2-1-1- استاندارد BS7799 موسسه استاندارد انگليس

منشاء استاندارد British Standard BS7799 به زمان تأسيس مركز Commercial ComputerSecurityCenter و شكل‌گيري بخش  Industry (DTI)  UK Department of Trade  and در سال 1987برمي گردد. اين مركز به منظور تحقق دو هدف تشكيل گرديد.  اول تعريف معيارهايي بين المللي براي ارزيابي ميزان امنيت تجهيزات توليدشده توسط سازندگان تجهيزات امنيتي، به منظور ارائه تاييديه هاي مربوطه بود و دوم كمك به كاربران براي اين منظور مركز CCSC در سال 1989 اقدام به انتشار كدهايي براي سنجش ميزان امنيت نمود كه به “Users Code of Practice” معروف گرديد. چندي بعد، اجرايي بودن اين كدها از ديدگاه كاربر، توسط مركز محاسبات بين المللي NCC و يك كنسرسيوم از كاربران كه به طور كلي از صاحبان صنايع در انگلستان بودند مورد بررسي قرار گرفت. اولين نسخه اين استاندارد به عنوان مستندات راهبري PD 0003  در انگلستان منتشر گرديد. در سال 1995 اين استاندارد با عنوان BS7799 منشر گرديد و قسمت دوم آن نيز در فوريه سال 1998 به آن اضافه گرديد. اين قسمت مفهوم سيستم مديريت امنيت اطلاعات (Information Security Management System (ISMS را به‌وجود آورد.

اين سيستم ISMS به مديران اين امكان را مي دهد تا بتوانند امنيت سيستم هاي خود را با حداقل نمودن ريسك‌هاي تجاري كنترل نمايند. نسخه بازنگري شده اين استاندارد در سال 1995 به عنوان  استاندارد ISO ثبت گرديد. در مجمعي كه رأي موافق به ثبت اين استاندارد به عنوان استاندارد ISO داده بودند، كشورهايي نظير استراليا و نيوزلند با اندكي تغيير، آن را در كشور خود با عنوان AS/NZS4444 منتشر نمودند. طي سال‌هاي 1999 تا 2002 بازنگري‌هاي زيادي روي اين استاندارد صورت پذيرفت. در سال 2000 با افزودن الحاقيه‌هايي به استاندارد  BS7799 كه به عنوان يك استاندارد ISO ثبت شده بود، اين استاندارد تحت‌عنوان استاندارد ISO/IEC17799 به ثبت رسيد.    

نسخه جديد و قسمت دوم اين استاندارد در سال 2002 به منظور ايجاد هماهنگي بين اين استاندارد مديريتي و ساير استانداردهاي مديريتي نظير 9001 ISO و 14001 ISO تدوين گرديد. اين قسمت براي ارزيابي ميزان مؤثربودن سيستم ISMS در يك سازمان مدل (Plan-Do-Check-Act (PDCA را ارائه مي نمايد.  

• نحوه عملكرد استاندارد BS 7799  : در راستاي تحقق دومين هدف پيدايش اين استاندارد كه به آن اشاره شد، يعني كمك به كاربران سرفصل‌هايي براي نحوه پياده سازي امنيت در يك سازمان كه در حقيقت يك كاربر سيستم هاي امنيتي مي باشد، تعيين شده است كه عبارتند از:
• ‌تعيين مراحل ايمن سازي و نحوه شكل گيري چرخه امنيت‌
• جزييات مراحل ايمن سازي و تكنيك‌هاي فني مورد استفاده در هر مرحله‌
• ليست و محتواي طرح ها و برنامه هاي امنيت اطلاعات مورد نياز سازمان‌
• ضرورت و جزييات ايجاد تشكيلات سياستگذاري، اجرايي و فني تأمين امنيت‌
•  كنترل‌هاي امنيتي مورد نياز براي هر يك از سيستم هاي اطلاعاتي و ارتباطي‌
• تعريف سياست‌هاي امنيت اطلاعات‌
• تعريف قلمرو سيستم مديريت امنيت اطلاعات و مرزبندي آن متناسب با نوع نيازهاي سازمان
• انجام و پذيرش برآورد مخاطرات، متناسب با نيازهاي سازمان‌
• پيش بيني زمينه ها و نوع مخاطرات بر اساس سياست‌هاي امنيتي تدوين شده‌
• انتخاب هدف‌هاي كنترل و كنترل‌هاي مناسب كه قابل توجيه باشند، از ليست كنترل‌هاي همه جانبه
• تدوين دستور‌العمل هاي عملياتي‌
• مديريت امنيت شبكه‌: به منظور تعيين اهداف امنيت، ابتدا بايد سرمايه‌هاي مرتبط با اطلاعات و ارتباطات سازمان، شناسايي شده و سپس اهداف تأمين امنيت براي هريك از سرمايه‌ها، مشخص شود.‌سرمايه‌هاي مرتبط با شبكه سازمان عبارتند از: سخت افزار، نرم‌افزار، اطلاعات، ارتباطات، كاربران.

اهداف امنيتي سازمان‌ها بايد به صورت كوتاه‌مدت و ميان‌مدت تعيين گردد تا امكان تغيير آن‌ها متناسب با تغييرات تكنولوژي‌ها و استانداردهاي امنيتي وجود داشته باشد. عمده اهداف كوتاه مدت در خصوص پياده‌سازي امنيت در يك سازمان عبارتند از:

• جلوگيري از حملات و دسترسي‌هاي غيرمجاز عليه سرمايه هاي شبكه‌
• مهار خسارت‌هاي ناشي از ناامني موجود در شبكه‌
• كاهش رخنه پذيري‌

اهداف ميان‌مدت نيز  عمدتاً عبارتند از:

• تأمين صحت عملكرد، قابليت دسترسي براي نرم‌افزارها و سخت‌افزارها و محافظت فيزيكي صرفاً براي سخت افزارها
•  تأمين محرمانگي، صحت و قابليت دسترسي براي ارتباطات و اطلاعات متناسب با طبقه بندي آن‌ها از حيث محرمانگي و حساسيت‌
•  تأمين قابليت تشخيص هويت، حدود اختيارات و پاسخگويي، حريم خصوصي و آگاهي‌رساني امنيتي براي كاربران شبكه، متناسب با طبقه‌بندي اطلاعات قابل دسترس و نوع كاربران‌
• تهديدهاي امنيتي: تهديدهاي بالقوه براي امنيت شبكه‌هاي كامپيوتري به صورت عمده عبارتند از:
• فاش شدن غيرمجاز اطلاعات در نتيجه استراق‌سمع داده‌ها يا پيام‌هاي در حال مبادله روي شبكه‌
• قطع ارتباط و اختلال در شبكه به واسطه يك اقدام خرابكارانه‌
• تغيير و دستكاري غير مجاز اطلاعات يا يك پيغام ارسال‌شده براي جلوگيري از اين صدمات بايد سرويس‌هاي امنيتي زير در شبكه‌هاي كامپيوتري ارائه شود و زماني كه يكي از سرويس‌هاي امنيتي نقص شود بايستي تمامي تدابير امنيتي لازم براي كشف و جلوگيري رخنه در نظر گرفته شود:
• محرمانه ماندن اطلاعات‌
• احراز هويت فرستنده پيغام‌
• سلامت داده‌ها در طي انتقال يا نگهداري‌
• كنترل دسترسي و امكان منع افرادي كه براي دسترسي به شبكه قابل اعتماد نمي باشد.
• در دسترس بودن تمام امكانات شبكه براي افراد مجاز و عدم امكان اختلال در دسترسي‌

• مراحل پياده سازي امنيت‌: براي پياده‌سازي يك سيستم امنيتي مناسب مراحل زير بايستي انجام گردد:
• برآورد نيازهاي امنيتي شبكه : بر اساس نوع شبكه طراحي شده، نوع استفاده از آن و كاربردهاي مختلف آن نيازهاي امنيتي شبكه بايستي بررسي گردد. اين نيازها بر اساس انواع سرويس‌هايي كه شبكه ارائه مي‌دهد گسترش مي يابد.
• اتخاد سياست‌هاي امنيتي لازم : در اين مرحله سياست‌ها و تدابير امنيتي لازم اتخاذ مي شود. اين تدابير براي پاسخ به نيازهايي خواهد بود كه در مرحله قبل براي شبكه برآورد شده است.
• ارائه طرح امنيتي شبكه: بر اساس نيازها و سياست‌هاي برآورده كننده آن‌ها، طرحي از سياست كلي شبكه ارائه مي شود، به‌طوري كه تمامي نيازهاي شبكه برآورده شود و در طرح جامع و مانعي كه تهيه شده است هيچ تداخلي وجود نداشته باشد.
• پياده سازي و تست‌: در اين مرحله تجهيزات و سيستم هاي لازم براي طرح انتخاب مي‌شود. تنظيمات كليه سيستم‌ها پس از تجزيه و تحليل كافي استخراج مي‌شوند. براي تست طرح پياده سازي شده، دسترسي‌ها و امكانات رخنه تست‌شده و در صورت خطا راهكارهاي پيشگيري به‌كار گرفته مي شود.
• مديريت امنيت‌ : اين مرحله كه پس از اتمام پياده‌سازي انجام مي‌شود شامل تمامي مسائل مديريتي امنيت شبكه مي‌باشد. در اين مرحله روش‌هاي مقابله با تهاجم‌ با روش جديد  بايد به‌كار گرفته ‌شود و تغييراتي را كه در اثر گذشت زمان در امنيت شبكه روي مي‌دهند تحت كنترل گرفته شوند.
• اجراي سيستم امنيتي‌ : به منظور اجراي يك سيستم امنيتي شبكه و ارائه قابليت‌هاي بروز امنيتي درشبكه، روال هاي زير بايستي توسط سازمان به صورت مداوم در شبكه اعمال شود:
• تعيين سياست‌هاي امنيتي شبكه‌ : در اين قسمت تمامي فرامين و دستورات امنيتي لازم براي فايروال‌ها و سيستم هاي تشخيص تهاجم توسط ابزارهاي خاص استخراج مي گردد.
• اعمال سياست‌هاي امنيتي شبكه‌ : دستورات امنيتي تهيه‌شده براي استفاده در تجهيزات و سرويس‌هاي ارائه شده براي امنيت در شبكه پياده سازي مي‌شوند. 
• بررسي بلادرنگ وضعيت امنيت شبكه‌ : پس از پياده‌سازي سياست‌هاي امنيتي، با استفاده از سيستم هاي بلادرنگ تهاجم (IDS) و يا سيستم‌هاي آناليز فايل‌هاي Log و تشخيص Offline تهاجم، كليه دسترسي‌هاي غيرمجاز انجام شده به شبكه و عبور از سيستم امنيتي تشخيص داده‌شده و در فايل‌هاي Log خروجي ذخيره مي‌شوند.
• بازرسي و تست امنيت شبكه‌ :  در اين قسمت با استفاده از ابزارهاي امنيتي، كليه پورت‌ها و سرويس‌هاي شبكه و يا محل‌هاي رخنه به شبكه بازرسي شده و اطلاعات مربوطه در فايل Log مربوطه قرار مي‌گيرند. همچنين در اين قسمت با استفاده از يك سري از ابزارها، به تحليل اطلاعات پرداخته مي‌شود و نتايج حاصل از آن‌ها براي مرحله بعدي نگهداري مي شود.
• بهبود روش‌هاي امنيت شبكه‌: به منظور بهبود عملكرد سيستم امنيتي شبكه، از نتايج حاصل از دو قسمت قبل استفاده مي‌شود و تغييراتي كه از اين بررسي‌ها نتيجه مي‌شود، در سياست‌هاي امنيتي شبكه اعمال مي گردد.
• تشكيلات اجرائي امنيت‌: براي پياده سازي يك سيستم امنيتي پويا، وجود تشكيلات امنيتي متناسب با نيازهاي امنيتي سازمان لازم و ضروري مي باشد. گروه‌هاي كاري لازم براي اينكه امور امنيتي يك شبكه به نحو احسن اداره شود عبارتند از:
• سياست امنيت‌ : وظايف اين قسمت تدوين سياست امنيتي و بازنگري و اصلاح سياست امنيتي در صورت پيشنهاد گروه مديريت امنيتي مي‌باشد. قسمت سياست امنيتي هماهنگي تشكيل جلسات گروه سياستگذاري امنيتي را از قسمت مديريت امنيتي دريافت كرده و طبق آن عمل مي كند و نتايج حاصله را به مديريت امنيتي تحويل مي دهد.
• مركز هماهنگي واطلاع رساني‌: مركز هماهنگي تمامي گزارش‌ها را از بخش‌هاي مختلف جمع آوري كرده و در واقع نقش رابط بين قسمت‌ها را بازي مي‌كند. اين مركز بيشتر مانند واسط اصلي بين قسمت‌ها و بخش مديريتي عمل مي كند و تغييرات و پيشنهادات گروه مديريتي را به گروه‌هاي كاري منعكس مي‌كنند. وظايف اين قسمت دريافت اطلاعات و گزارش  از گروه‌هاي پائين‌تر، پردازش و دسته‌بندي آن‌ها، ثبت اطلاعات، ارسال نتايج به گروه مديريت امنيتي، دريافت تغييرات (تغيير سياست امنيتي) از گروه مديريت امنيتي، ثبت اطلاعات و ارسال آن براي گروه‌هاي پائين‌تر، تشكيل بانك‌اطلاعاتي حاوي آسيب‌پذيري‌ها و پيكربندي امن تجهيزات و سرويس‌هاي شبكه، نگهداري آمار و گزارش حملات انجام شده و واكنش گروه‌هاي مرتبط و  ارائه مشاوره در زمينه خريد تجهيزات، آناليز ريسك و ... مي باشد.
• تشخيص و مقابله باحوادث‌:  وظيفه اين قسمت شناسايي و مقابله با حملات و دسترسي‌هاي غيرمجاز مي‌باشد و داراي بخش آماده‌سازي به منظور تعيين روند و سياست سازماني جهت شناسايي، تعيين منابع اطلاعاتي جهت شناسايي تهاجم، تهيه بانك‌اطلاعاتي حاوي الگوهاي حملات شناخته شده ، مديريت مكانيزم هاي ثبت اطلاعات، پشتيباني سيستم و دريافت گزارشات و توصيه‌هاي گروه  هماهنگي و اطلاع رساني، بخش كشف تهاجم به منظور نظارت بر فعاليت‌هاي شبكه، نظارت بر فعاليت‌هاي سيستم، بازرسي فايل‌ها و دايركتوري‌ها، جستجوي اتصالات غيرقانوني به شبكه، بازرسي منابع فيزيكي و دريافت و پردازش گزارشات كاربران، بخش پاسخگويي به تهاجم به منظور آناليز گزارش،  انتقال اطلاعات حادثه و روند آن به بخش‌هاي لازم، به‌كارگيري سريعترين  راهكارها جهت قطع حمله، جلوگيري از وقوع دوباره حمله، بازيابي سيستم به حالت عادي و تعيين خسارت و در انتها بخش تحقيقات به منظور شناخت انواع حملات، دريافت گزارش مقابله ناموفق و  تشخيص و مقابله با ويروس‌ها مي‌باشد.
• تشخيص و مقابله با حوادث خاص‌: اين قسمت با اجزاي آماده‌سازي، كشف و پاسخگويي وظايف مقابله با خطرات ناشي از حوادث و پيشگيري از برخي حوادث محتمل را به عهده دارد. اين قسمت گزارش‌هاي  مربوط به مقابله با تهاجم يا ويروس يا حادثه خاص را به قسمت مركز هماهنگي براي ارسال به قسمت مديريتي منتقل مي‌كند و سياست ها و موارد اضافه‌شده در برابر حوادث را به عنوان نتيجه دريافت مي‌نمايد.
• بازرسي امنيتي‌: بخش بازرسي امنيتي وظايف بازرسي تجهيزات امنيتي، بازبيني logها و پيغام‌ها و سيستم‌هاي پشتيبان و  بازرسي شبكه براي ايجاد امنيت در شبكه را بر‌عهده دارد. در اين نوع بازرسي‌ها بايد اجزا و شبكه به صورت خودكار مورد بررسي قرار گيرند. 
• نصب و پيكربندي‌: اين قسمت وظايف پيكربندي امن تجهيزات و سرويس‌هاي شبكه و نصب و پيكربندي سيستم امنيتي شبكه را به عهده دارد.
• نگهداري و پشتيباني‌:  اين قسمت وظايف محافظت و پشتيباني از كليه تجهيزات و اطلاعات امنيتي، نگهداري و ثبت تجهيزات، گزارش  هشدارهاي خودكار، عيب‌يابي شبكه و ارائه سرويس لازم و آمارگيري شبكه را به‌عهده دارد.

جدول 1 بخش هاي مختلف استاندارد BS7799 را نشان مي دهد:

جدول1: بخش هاي اصلي استاندارد BS7799

BS7799 Control Description
A.1	Security Policy
A 1.1	Information Security Policy
A 1.1.1	Information Security Policy Document
A 1.1.2	Review and evaluation
A. 2	Organizational Security
A.2.1	Information Security Infrastructure
A.2.1.1	Management Information Security Forum
A.2.1.2	Information Security co-ordination
A.2.1.3	Allocation of information security responsibilities
A.2.1.4	Authorization Process for information processing facilities
A.2.1.5	Specialist information security advice
A.2.1.6	Cooperation between organization
A.2.1.7	Independent Review of information Security
A.2.2	Security of Third Party Access
A.2.2.1	Identification of risks from third party access
A.2.2.2	Security requirements in third party contracts
A.2.3	Outsourcing
A.2.3.1	Security Requirements in outsourcing contracts
A.3	Asset Classification and Control
A.3.1	Accountability for assets
A.3.1.1	Inventory of assets
A.3.2	Information Classification
A.3.2.1	Classification Guidelines
A.3.2.2	Information Labeling and handling
A.4	Personnel Security
A.4.1	Security in job Definition and Resourcing
A.4.1.1	Including security in job responsibities
A.4.1.2	Personnel screening and policy
A.4.1.3	Confidentiality agreements
A.4.1.4	Terms and conditions of employment
A.4.2	User Training
A.4.2.1	Information security education and training
A.5	Physical and Environmental Security
A.5.1	Secure Areas
A.5.1.1	Physical security perimeter
A.5.1.2	Physical entry controls
A.5.1.3	Securing offices، rooms and facilities
A.5.1.4	Working in secure areas
A.5.1.5	Isolated delivery and loading areas
A.5.2	Equipment Security
A.5.2.1	Equipment sitting and protection
A.5.2.2	Power Supplies
A.5.2.3	Cabling security
A.5.2.4	Equipment maintenance
A.5.2.5	Security of equipment off-premises
A.5.2.6	Secure disposal or re-use of equipment
A.5.3	General controls
A.5.3.1	Clear desk and clear screen policy
A.5.3.2	Removal of property
A.6	Communications and Operations Management
A.6.1	Operational Procedures and Responsibilities
A.6.1.1	Documented operating procedures
A.6.1.2	Operational Change Control
A.6.1.3	Incident Management Procedures
A.6.1.4	Segregation of Duties
A.6.1.5	Separation of Development and operational facilities
A.6.1.6	External facilities management
A.6.2	System Planning and Acceptance
A.6.2.1	Capacity Planning
A.6.2.2	System Acceptance
A.6.3	Protection against Malicious Software
A.6.3.1	Control against Malicious Software
A.6.4	Housekeeping
A.6.4.1	Information Backup
A.6.4.2	Operator Logs
A.6.4.3	Fault Logging
A.6.5	Network Management
A.6.5.1	Network Controls
A.6.6	Media Handling and Security
A.6.6.1	Management of removable computer media
A.6.6.2	Disposal of media
A.6.6.3	Information Handling Procedures
A.6.6.4	Security of System Documentation
A.6.7	Exchange of Information and Software
A.6.7.1	Information and Software Exchange Agreements
A.6.7.2	Security of Media in Transit
A.6.7.3	Electronic Commerce Security
A.6.7.4	Security of Electronic Mil
A.6.7.5	Security of Electronic Office Systems
A.6.7.6	Publicly available systems
A.6.7.7	Other forms of Information Exchange
A.7	Access Control
A.7.1	Business Requirement for Access Control
A.7.1.1	Access Control Policy
A.7.2	User Access Management
A.7.2.1	User Registration
A.7.2.2	Privilege Management
A.7.2.3	User Password Management
A.7.2.4	Review of User Access Rights
A.7.3	User Responsibilities
A.7.3.1	Password Use
A.7.3.2	Unattended user equipment
A.7.4	Network Access Control
A.7.4.1	Policy on use of network services
A.7.4.2	Enforced Path
A.7.4.3	User Authentication for External Connections
A.7.4.4	Node Authentication
A.7.4.5	Remote Diagnostic Port Protection
A.7.4.6	Segregation in Networks
A.7.4.7	Network Connection Control
A.7.4.8	Network Routing control
A.7.4.9	Security in Network services
A.7.5	Operation System Access Control
A.7.5.1	Automatic Terminal Identification
A.7.5.2	Terminal Log-on Procedures
A.7.5.3	User Identification and Authentication
A.7.5.4	Password Management System
A.7.5.5	Use of System Utilities
A.7.5.6	Duress Alarms to Safeguard Users
A.7.5.7	Terminal Time-out
A.7.5.8	Limitation of Connection Time
A.7.6	Application Access Control
A.7.6.1	Information Access Restriction
A.7.6.2	Sensitive System Isolation
A.7.7	Monitoring System Access and Use
A.7.7.1	Event Logging
A.7.7.2	Monitoring System Use
A.7.7.3	Clock Synchronization
A.7.8	Mobile Computing and Teleworking
A.7.8.1	Mobile Computing
A.7.8.2	Teleworking
A.8	System Development and Maintenance
A.8.1	Security Requirements of Systems
A.8.1.1	Security Requirements Analysis and Specification
A.8.2	Security in Application Systems
A.8.2.1	Input data validation
A.8.2.2	Control of Internal Processing
A.8.2.3	Message Authentication
A.8.2.4	Output Data Validation
A.8.3	Cryptographic controls
A.8.3.1	Policy on the use of cryptographic controls
A.8.3.2	Encryption
A.8.3.3	Digital Signatures
A.8.3.4	Non- repudiation Services
A.8.3.5	Key Management-
A.8.4	Security of system files
A.8.4.1	Control of Operational Software
A.8.4.2	Protection of System Test Data
A.8.4.3	Access Control to Program Source Library
A.8.5	Security in Development and Support Processes
A.8.5.1	Change control Procedures
A.8.5.2	نظرات شما عزیزان: نام : آدرس ایمیل: وب سایت/بلاگ : متن پیام: نظر خصوصی  کد را وارد نمایید:       عکس شما آپلود عکس دلخواه: نويسنده علی