[Zohreh Gholami]

امنیت شبکه
استاندارد سطح وسیع P800–S830 Rev 3.0


مقدمه
امنیت شبکه یک موضوع پیچیده است که از نظر تاریخی فقط توسط افراد با تجربه و آنهایی که آموزش کافی دیده اند مورد توجه قرار می گیرد. با اینحال ، همچنان که افراد بیشتری به شبکه متصل میشوند ، تعداد افرادی که بایستی اصول امنیت را در دنیای شبکه شده بدانند ، نیز افزایش می یابدهدف از این استاندارد هماهنگی واحد و تلاش برای فراهم کردن چند لایه استراتژی حفاظت برای ارتباطات امن و بدون درز از سیستم های ناهمگن دولت و ارتباطات شبکه ها ، از جمله بی سیم  ، مودم  ، مسیریاب ، سوئیچ ها ، و فایروال به طوری که اطلاعات را از خطر دسترسی های غیر مجاز توسط منابع خارجی حفاظت کند.


1. نویسنده
آژانس فناوری اطلاعات دولت(GITA)باید توسعه ، پیاده سازی و نگهداری یک طرح هماهنگ در سطح وسیع (ایالت) برای فن آوری اطلاعات (IT) (A.R.S. § 41-3504(A (1))) شامل تصویب ایالت فنی و هماهنگی و استانداردهای  امنیتی (A.R.S. § 41-3504(A (1(a)))).
امنیت اطلاعات در سطح وسیع و دفتر خصوصی باید به عنوان برنامه ریزی استراتژیک ، تسهیل و اداره هماهنگی برای امنیت فن آوری اطلاعات برای دولت خدمت کنند (ARS § 41-3507 (A )).


2. هدف
هدف از این استاندارد هماهنگی واحد و تلاش برای فراهم کردن چند لایه استراتژی حفاظت برای ارتباطات امن و بدون درز از سیستم های ناهمگن دولت و ارتباطات شبکه ها ، از جمله بی سیم  ، مودم  ، مسیریاب ، سوئیچ ها ، و فایروال به طوری که منابع محاسباتی  امور خارجه  و اطلاعات را از خطر دسترسی های غیر مجاز توسط منابع خارجی حفاظت کند A.R.S. § 41-3501(2).


3. حوزه
این استاندارد  به همه  واحدهای  محاسبات اعمال می شود. واحد محاسبات به عنوان بخش ، کمیسیون ، هیئت مدیره ، موسسه یا آژانس دیگر از دولت دریافت ، صرف و یا پرداخت محاسبات های دولتی و یا تحمیل تعهدات از دولت از جمله هیئت مدیره ازعضوها اما به استثنای دانشگاه تحت صلاحیت این  هیئت مدیره و انجمن حوزه دانشگاه و قانون گذار یا بخش های وابسته.
مدیر اجرایی ارشد واحد محاسبات (CEO) ، مشغول به کار در رابطه با واحد محاسبات مدیر ارشد اطلاعات (CIO) ، موظف برای تضمین اجرای موثر سیاست های فناوری اطلاعات در سطح ایالت ، استانداردها ، و روش ها (پی اس پی های) در داخل هر واحد محاسبات است.


4. استاندارد
استانداردهای امنیت شبکه زیر ارائه حداقل الزامات برای ارائه اتصال امن و بدون درز ازارتباطات شبکه ها و سیستم ها در حالی که حمایت ازمنابع محاسباتی دولت  و اطلاعاتی است که چه از طریق محاسبات زیرساخت های موجود در واحد شبکه و یا از طریق کشورهای برنامه AZNET برای خدمات ارتباطات شبکه است. حفاظت چند لایه ای باید در دروازه اینترنت گسترش یابد ، سرور شبکه ، و سطح میزکار برای جلوگیری از معرفی کد های مخرب و یا دسترسی غیر مجاز به سیستم های اطلاعاتی دولت مستقر است.

4.1 .  امنیت محیط شبکه: در گوشه ای از شبکه تکنولوژی دیوار آتش خواهد بود یک واحد محاسبات از جمله دروازه اینترنت ، برای محافظت از دارایی های اطلاعات حساس داخلی و زیرساخت را از دسترسی های غیر مجاز به کارگرفته شده است. ترافیک (ورودی و خروجی) خارجی را باید از طریق دروازه ، امنیت مانند فایروال ها کنترل کرد.

4.1.1 قوانین فیلتر کردن ترافیک شبکه برای عبور از اینترنت باید شامل موارد زیر باشد.
•   بسته های دریافتی ، نباید یک آدرس منبع از  شبکه داخلی را داشته باشند ،
•   بسته های دریافتی ، نباید شامل ترافیک پروتکل کنترل پیام اینترنت (ICMP) باشند ،
•   بسته های دریافتی باید آدرس مقصد را در ارتباط با شبکه داخلی با استفاده از روش ترجمه آدرس شبکه به صورت استاتیک و یا پویا علنی ثبت شوند ،
•   بسته های دریافتی نباید شامل پروتکل مدیریت شبکه ساده (SNMP) باشند ،
•   بسته خروجی باید یک آدرس منبع را از شبکه داخلی داشته باشد ،
•   بسته های خروجی نباید آدرس مقصد از شبکه های داخلی را داشته باشند ،
•   بسته های ورودی یا خروجی نباید آدرس منبع و یا مقصد که خصوصی است و متعلق به این فضا است را داشته باشند ،
•   منابع ترافیک سایت های اینترنتی که شامل هرزنامه ها ، مواد و توهین آمیز ، و غیره شناخته شده ، ممکن است توسط  واحد محاسبات مسدود شده باشد.
 
4.1.2   هر ریشه بسته منبع و یا هر گونه بسته ها  با مجموعه ای از IP باید  مسدود شود.
4.1.3   ترافیک ورودی یا خروجی حاوی آدرس منبع و یا مقصد از 127.0.0.1 یا 0.0.0.0 یا آدرس Broad cast باید مسدود شده باشد.
4.1.4   فن آوری های دیوار آتش  باید برای امنیت ورود به سیستم روشن شده باشد. ورودی ها باید مورد بررسی در یک فرکانس مشخص و مستند توسط واحد محاسبات قرار گیرد، توسط واحد محاسبات پرسنل مجاز و تمام حوادث ، نقض ، و غیره گزارش شده و حل و فصل  می شود .
4.1.5   سیاست های  دیوار آتش  باید برای  بررسی آزمایش و حسابرسی ، در یک فرکانس مشخص و مستند توسط واحد محاسبات انجام گیرد .
4.1.6   مدیریت از راه دور از فن آوری های فایروال باید از طریق ارتباطات رمز شده باشد.
4.1.7   خدمات غیر ضروری باید خاموش و پورت های استفاده نشده از کار افتاده باشد.

4.1.8   زمانی که سرویس های مورد نیاز اجازه می دهد تا خدمات همگرا ، مانند صدا (VOIP) ، پیام های فوری ، حضور ، خدمات متحرک ، چند رسانه ای (MoIP) ، و غیره ، برای  ایمن گذشتن از مرزهای شبکه و قابلیت های NAT ، فن آوری های دیوار آتش  باید:
•   با استفاده از یک پروکسی سرور SIP یا H.323 کنترل کننده خارج از دیوار آتش  ، با پیکربندی دیوار آتش اجازه می دهد تا ارتباطات از نقطه انتهایی تنها با پروکسی سرور ، و یا
•   با پیکربندی تابع به عنوان لایه کاربرد ورودی که به منظور نظارت بر تمام ترافیک SIP و H.323 برای باز کردن و بستن پورت های محدود در صورت لزوم و بازنویسی آدرس IP و پیام های درون لایه کاربردی یا
•   با استفاده از یک جلسه کنترل مرزی ، همچنین به عنوان یک نرم افزار مسیریاب شناخته می شود ، اجازه می دهد تا برای پایان به پایان ارتباطات VoIP در سراسر IP شبکه های متعدد در حالی که اجازه می دهد نقطه انتهایی VoIP مانند دروازه VOIP ، IP تلفن ها ، IP نرم افزار تلفن ها، که در پشت یک آدرس شبکه هستند ترجمه شده (NAT) دیوار آتش هستند ، برای برقراری ارتباط با نقطه انتهایی VoIP بر روی IP شبکه های  خارجی.
•   IETF طرح پیشنهادی برای جستجو در اینترنت ، مانند انتقال رسانه اتصال گرا رسانه های انتقالی ، Middlebox ارتباطات (Midcom)، پیمایش ساده بی سیم از طریق NAT (بی حس کردن) ، و پیمایش با استفاده از رله گرفته شده فوق العاده کامل ، راه حل جهانی را فراهم نیست که به تمام حالات موجود قابل اجرا باشد. IETF پیشنهاد سلامت ایجاد اتصال به اینترنت (ICE) ، روش پیشنهاد شده برای گردش NAT برای SIP است . ICE استفاده از پروتکل های موجود ، از جمله بی حس کردن ، به نوبه خود ، و حتی قلمرو IP های خاص (RSIP) را فراهم می سازد. ICE از طریق همکاری هر دو نقطه انتهایی در یک جلسه کار می کند.

4.1.9   واحد محاسبات  جمعی ممکن است موافقت نامه بین آژانس خدمات (ISAS) برای پیاده سازی و استقرار و حفظ "اعتماد همکار" رابطه در میان شرکت کنندگان متعدد. هر شرکت کننده در این توافقنامه باید به توافق برسند به مطابقت با تمام شرایط قابل اجرا مندرج در قرارداد را برای اطمینان از حفاظت از امنیت کافی و قابل قبول برای همه نهادهای دیگر شرکت را داشته باشند.


4.2 . امنیت نقطه پایانی: دستگاه های پلت فرم مشتری ، از جمله دارایی تصدی های دولتی ، دستگاه سرویس گیرنده استفاده شده توسط کاربران از راه دور و telecommuters رایج ، و همچنین موسسات شخص ثالث ، متصل به شبکه داخلی واحدهای  محاسبات باید از ارسال و یا دریافت تهدیدات دشمن و ترافیک غیر مجاز شبکه یا برنامه های کاربردی نرم افزار حافظت شده  باشد.

4.2.1   دستگاه های پلت فرم مشتری باید نرم افزار اسکن ویروس را در مطابق با استاندارد P800 - S860 در سطح وسیع ، جهت حفاظت از  ویروس و کد های مخرب  استفاده کنند.
4.2.2   دستگاه های پلت فرم مشتری خارجی همکاری متصل به شبکه داخلی واحد محاسبات باید تمام ترافیک را در طبق بند 4.6 رمزگذاری کنند .
4.2.3   مستقر در دستگاه های پلت فرم مشتری را محافظت در برابر تهدیدات شبکه – انتقال یافته از طریق ارائه خدماتدیوارآتشسنتی مسدود کردن ترافیک شبکه بر اساس پروتکل ، پورت ها ، و برنامه های کاربردی نرم افزار ، فیلتر کردن محتوا از بسته های اطلاعاتی ، و همچنین کنترل رفتار نرم افزارهای کاربردی مستقر شده و حذف در  دستگاه پلت فرم مشتری را فراهم می سازد. دیوار آتش های فردی مستقر در واحد محاسبات باید دارای مدیریت متمرکز فناوری اطلاعات و ، برای اطمینان از امنیت واحد محاسبات مبتنی بر سیاست اعمال شود و به روزباشد.


4.3.  دستگاه دسترسی به اینترنت و سیستم عامل های مشترک: دستگاه های دسترسی به اینترنت (از جمله مسیریاب ها ،دیوارآتشها ، سوئیچ ها ، و غیره) و سیستم عامل های به اشتراک گذاشته (از جمله رایانه های بزرگ ، سرورها ، و غیره) هر دو دسترسی به اطلاعات  در مورد شبکه را فراهم می کنند. آنها باید برای جلوگیری از دسترسی غیر مجاز کنترل شوند.

4.3.1   دستگاه دسترسی به اینترنت و سیستم عامل های مشترک باید مطابق با  استاندارد P800 - S885 محدود به کارمندان و پیمانکاران مجاز ، مطابق با استاندارد، امنیت فیزیکی P800 - S875 ، تعمیر و نگهداری می شود
4.3.2   دسترسی به ابزارهای مدیریت شبکه مانند پروتکل مدیریت شبکه ساده (SNMP) ، سوکت های با امنیت ضعیف (SSH) ، و نظارت از راه دور (RMON) ، و غیره ، و همچنین دسترسی به شبکه از راه دور ، باید کنترل شود. SNMP باید از نسخه 3 یا بالاتر از ویژگی های امنیتی بهبود یافته را استفاده کند.
4.3.3   دستگاه دسترسی متصل به اینترنت باید دارای RFC 1918 و RFC 2827 برای اجراء ترافیک ورودی باشد .
4.3.4   اگر شماره گیری مورد نیاز برای دسترسی و مدیریت مسیریاب ها ، قطع شده و یا باید استفاده شود.
4.3.5   دستگاه دسترسی به اینترنت باید خدمات غیر ضروری را خاموش نماید ، پورت های استفاده نشده غیرفعال شود ، وهنگام ورود به سیستم روشن شود. ورودی ها باید مورد بررسی در یک فرکانس مشخص و مستند توسط واحد محاسبات قرارگیرد، و واحد محاسبات پرسنل مجاز و تمام رویدادها ، نقض ها ، و غیره را گزارش و حل و فصل می کند.
4.3.6   کلمه عبور دستگاه دسترسی به اینترنت  قبل یا پس از نصب دستگاه باید فورا تغییریابد و باید مطابق با الزامات خارج ازدستگاه در استاندارد P800 - S820 ، در سطح وسیع احراز هویت و خدمات فهرست راهنما و واحد محاسبات خاص معیارهای رمز عبور قرارگیرد.
4.3.7   دستگاه دسترسی به اینترنت باید باتنظیمات از پیکربندی فعلی خود، تنظیمات امنیتی، کلمات عبور، و غیره ، در طول فرایند تنظیم مجدد و یا راه اندازی مجدد حفظ نماید.
4.3.8   وقتی وضع  دستگاه های دسترسی به اینترنت به مدت کم استفاده می شوند توسط واحد محاسبات ، تمام اطلاعات پیکربندی را باید مطابق با  استاندارد P800 - S880 ، مطابق با اصول بهداشتی رسانه ها / دسترسی، برای جلوگیری از افشای پیکربندی شبکه ، کلید ، کلمه عبور ، و غیره پاک شوند.


4.4. مدیریت وصله: واحد محاسبات باید به توسعه و پیاده سازی رویه های نوشته شده که شناسایی بخش ها و مسئولیت ها را برای پیاده سازی مدیریت وصله که شامل فعالیت های زیر است:
4.4.1   تعیین کارکنان واحد محاسبات یا پیمانکاران باید فعالانه و نظارت بر رسیدگی به آسیب پذیری های نرم افزاراز تمام دستگاه های دسترسی به اینترنت در شبکه خود (مسیریابها ،دیوارآتشها ، سوئیچ ها ، و غیره) با تضمین این که تکه های قابل اجرا هستند به دست آورد ، آزمایش ، و در موقع نصب روش مشخص می شود. فناوری اطلاعات از تولید کنندگان دستگاه ها ، سازمان امنیتی ، فروشندگان امنیتی ، و اداره گروه آموزشی آریزونا ازمدیریت (ADOA) مرکز حفاظت از زیرساختهای وسیع (SIPC) ارائه ابزارها و خدمات مختلف برای کمک به شناسایی آسیب پذیری ها و تکه های مربوطه است.
4.4.2   چگونه عملی و امکان پذیر است ، واحدهای محاسباتی بایدآزمایش تکه ها در محیط آزمایش قبل از نصب تکهرا انجام دهند . تست در معرض اثرات مضر به سیستم های سازمانی وسیعی داخلی / خارجی نرم افزار ، سیستم های نرم افزاری کاربردی تشکیلات اقتصادی، وانجمنی از علاقه مندان سیستم های نرم افزاری و دیگر سیستم های نرم افزاری کاربردی اشخاص ثالث.
4.4.3   واحد محاسبات باید پرس و جو SIPC قبل از نصب وصله در تولید تعیین نماید اگروضعیت  دیگر واحد محاسبات امور مشکلات را در طول آزمایش و یا پس از نصب تجربه باشد.واحد محاسبات باید گزارش آزمایش و تولید مشکلات را کشف کرد با تکه های SIPC.
4.4.4   وصله ها باید با نصب (استفاده از یک ابزار خودکار توصیه می شود) بر روی تمام دستگاه های دسترسی به اینترنت تحت تاثیر قرارگیرد. کارکنان و یا پیمانکاران تعیین بایدبه وضعیت تکه هایی که مستقر هستند نظارت داشته باشند .
4.4.5   وصله تغییراتی به تنظیمات دستگاه های دسترسی به اینترنت طراحی شده برای محافظت و ایمن سازی دستگاه های دسترسی به اینترنت و اتصال دستگاه های فناوری اطلاعات سیستم ها از حملات ، وبا ید با کنترل ومستندات در مطابقت  با استاندارد در سطح وسیع P800 - S815 ، پیکربندی مدیریت شود.


4.5. منطقه غیرنظامی: تمام خدمات ارائه شده از طریق اینترنت (وب برنامه های کاربردی فعال ، FTP ، ایمیل ، DNS ، VOIP ، و غیره) بایدبا گسترش در یک منطقه غیرنظامی (DMZ) و یا نزدیک بهDMZ مستقر شده باشند.

4.5.1   همه ارتباطات از سرورها در DMZ برای کاربردهای داخلی و خدمات باید کنترل شود.
4.5.2   دسترسی از راه دور و یا شماره گیری به شبکه باید با اعتبار سنجی دردیوارآتش باشد ، و یا از طریق خدمات محلی  در DMZ .
4.5.3   DMZ محل مناسب برای وب سرورها ، سرویس دهنده DNS خارجی ، شبکه های خصوصی مجازی (VPN ها) ، و سرورهای شماره گیری است.
4.5.4   واحد محاسبات سرورهای خارجی DNS نباید سرور اصلی شود و به هیچ یک  اجازه انتقال های منطقه به سرورهای DNS خارج از واحد محاسبات.
4.5.5   همه دسترسی از راه دور کاربران باید با اندیشه خارجی براساس تنظیمات دیوارآتش در نظر گرفته شود. VPN  باید در بخش خارجی و یا خارج ازدیوارآتش خاتمه  دهد.


4.6. ارتباطات خارجی در شبکه: اتصالات خارجی در شبکه ها  باید از طریق دروازه های امن (همانطور که در بالا لازم است) محافظت شده توسط روش های رمزگذاری زیر، به عنوان مناسب:

4.6.1   حداقل در یک یا سه جزء DES (TDES) و یا استاندارد رمزگذاری پیشرفته (AES) باید گسترش و پشتیبانی توسط همه ی واحدهای  محاسباتی برای انتقال داده ها / اطلاعات  توسط تکنولوژی رمزگذاری استاندارد در سطح وسیع ، P800 - S850 شناخته شده است. لطفا برای دسترسی به این استاندارد به وب سایت زیرمراجعه نمایید : 5Fstandards http://www.azgita.gov/policies ٪ / .
4.6.2   امنیت لایه انتقال (TLS) یا لایه سوکت امن (SSL) باید بین کاربران یک سرویس دهنده وب و مرورگر ها  برای تایید اعتبار سرویس دهنده وب به صورت اختیاری ، باکاربران مرورگرانجام وظیفه نماید. پیاده سازی TLS و SSL باید برای احراز هویت سرویس گیرنده جهت پشتیبانی واجازه استفاده از خدمات ارائه شده توسط واحد های گواهی تایید کننده را دهد.
4.6.3   امنیت لایه انتقال بی سیم (WTLS) با تأیید اصلی هویت و رمزگذاری باید بین یک سرویس دهنده وب و مرورگر از یک دستگاه بی سیم تلفن همراه ، مانند تماس  تلفنی، PDA ، و غیره استفاده می شود ، با ارائه سطوح امنیتی در هنگام انتقال داده ها که در حال حاضر پشتیبانی WTLS X.509 ، X9.68 و WTLS تایید شده است.
4.6.4   امنیت آی پی (IPsec) باید برای استفاده دراز مدت انجام گیرد به گسترش پروتکل ارتباطات IP ، ارائه پایان به پایان محرمانه برای بسته های داده که از طریق اینترنت انتقال می یابند. حالت مناسب IPSec متناسب با سطح امنیتی مورد نیاز برای انتقال داده استفاده خواهد شد.تأیید هویت فرستنده و یکپارچگی و بدون احراز هویت محرمانه بودن و یا یکپارچگی فرستنده و با محرمانه بودن است .
4.6.5   VPN ها برای اتصال دو شبکه یا شرکتهای تجاری است که باید در برقراری ارتباط شبکه های نا امن ، مثل اینترنت عمومی ، از طریق ایجاد یک لینک ، امن ، به طور معمول بین دیوارآتش، با استفاده از یک نسخه پروتکل امنیتی IPSec استفاده خواهد شد. VPN ها برای استفاده در دسترسی از راه دور توصیه می شود.
4.6.6   خدمات اهراز هویت کاربران ارتباط با شماره گیری (RADIUS) سرویس گیرنده / پروتکل نرم افزار سرویس دهنده را قادر می سازد که سرور شبکه دسترسی یابد برای برقراری ارتباط با سرور مرکزی را برای تصدیق و اجازه به کاربران از راه دور در سیستم دسترسی یا خدمات . تأیید قوی هویت باید برای سیستم های مودم dial - up  مورد استفاده قرارگیرد.

4.6.7   مودم ایستگاه های کاری دسکتاپ شماره گیری باید غیر فعال و حذف شوند. استفاده ازسخت افزارو ابزار اسکن موجود به منظور بررسی پیشین و پیکربندی از شاخص های سودمند و مودم های شماره گیری است. واحد محاسبات با استفاده از سیستم شماره گیری مودم باید مودم مناسب با سیاست که عبارتند از ایجاد:
•   فهرست کامل ،لیست جاری از همه  پرسنل مجازبه دسترسی به مودم جهت ارائه  دسترسی به سیستم است.
•   قطع ارتباط به صورت خودکار پس از یک دوره مشخص از عدم فعالیت. پارامترهای غیرفعال بودن باید توسط واحد محاسبات تعیین شود.
•   استفاده از نشانه های امنیتی توصیه می شود.
•   قطع فوری توانایی دسترسی به مودم برکاربران مشغول انتقال، دسترسی دوباره، یا قطع.

4.6.8   احراز هویت اصلی ، مانند دستگاه های چالش / پاسخ ، سریع کلمه عبور ، بسته ها، نمادها ،  و کارت های هوشمند ،  باید مورد استفاده قرار گیرد.یک بار اجازه برای اتصال صادر شده را دارند.
4.6.9   اتصالات خارجی باید به سرعت برداشته می شود هنگامی که دیگر مورد نیاز نیست. اجزای شبکه کلیدی باید برای جلوگیری از اتصال مجدد غیر عمدی غیر فعال و برداشته شود.


4.7. انتقال خدمات پنهان شبکه: به طور کلی خدمات انتقالی توانایی تجاری در دسترس ، معمولا به عنوان خدمات انتقال  اشاره می شود ،تابع هایی هستند  در استاندارد وسیع P710 - S710 ،که در زیرساخت های شبکه تعریف شدهاند. بر اساس نیاز تجاری واحد های محاسباتی ، این خدمات باید با پیکربندی و اجرا در اجازه مسیریابی خودکار ارتباطات زمانی که گره ها بحرانی یا لینک های خراب ، یا  جایگزین در  خدمات انتقالی متناوب ، از جمله دو نمونه از شرط  تامین دروازه های امن  متناوب و مبادلات خارجی  یا مراکز سوئیچینگ می باشد.


4.8. دسترسی به شبکه های بی سیم: 802.11 استانداردهای امنیتی با کاربر متمرکز تأیید هویت در مطابق با استاندارد وسیع P800 - S820 ، احراز هویت و سرویس های لیست های راهنما ، فن آوری های رمزنگاری با توزیع کلید خودکار و فن آوری های VPN باید به عنوان مناسب با استاندارد شبکه های بی سیم استفاده شود. : IEEE 802.11x ( شبکه های بی سیم محلی ( WLAN)) ، IEEE 802.15 (شبکه های بی سیم شخصی (WPAN)) ، و IEEE 802.16 (شبکه بی سیم شهری (WMAN)).

4.8.1   امنیت بخش اصلی WLAN در لایه انتقال با استاندارد IEEE 802.11g  یا بالاتر و در لایه های کاربردی IP با استانداردها و سیاست های مبتنی بر احراز هویت و کنترل دسترسی مورد خطاب است.
•   تمام داده های بی سیم باید رمزنگاری شود Wi - Fi بادسترسی حفاظت شده (WPA2 ) که حفاظت از داده های اصلی و کنترل  دسترسی به شبکه را فراهم می کند.این تامین و سطح بالایی از اطمینان برای احراز هویت و کاربران مجاز در شبکه های بی سیم است. WPA2 درجه امنیت دولت را بالا می برد با اجرای موسسه ملی استاندارد و فناوری FIPS 140-2 ( NIST) سازگار AES الگوریتم رمزنگاری و مبتنی بر 802.1X - احراز هویت میکند (تشخیص میدهد).
•   802.11g یا بیشتر اجازه می دهد تا برای تولید خودکار کلیدی برای هر کاربر ، از طریق 802.1X در هر جلسه تولید نماید. علاوه بر این ، کلید را می توان برای افزایش امنیت احیا شده (دوباره کلید زنی) به صورت دوره ای تولید کنیم.
•   حفظ و نگهداری یک شبکه بی سیم امن ، یک فرایند مداوم است که نیاز به تلاش بیشتری از آنچه در مورد نیاز برای شبکه های دیگر و سیستم ها است. بنابراین ، مهم است که واحد محاسبات ارزیابی خطرات اغلب موارد زمانی که فن آوری های بی سیم مستقر هستند  سیستم کنترل های امنیتی را تست و ارزیابی نمایند.

4.8.2   امنیت نقاط دسترسی دستگاه های بی سیم WLAN:
•    تمام نقاط دسترسی بی سیم باید ثبت شوند و مورد تایید چند آژانس شبکه کمیته سیاست امنیتی از دفتر برنامه ارتباطات راه دور ( TPO) برای وضعیت آریزونا است. مراجعه به http://www.azdoa.gov/tpo برای کسب اطلاعات بیشتر در مورد مصوبات، استثناها، و تجدید نظر بر روی نقاط دسترسی جدید و بدون ثبت نام.
•   مجموعه ای شناسه سرویس (SSID) را باید از تنظیمات پیش فرض کارخانه تغییر و اطلاعات شناسایی را محدود کرد.
•   پخش SSID باید ویژگی هایش غیر فعال باشد ، مشتریان بی سیم بایستی برای نیاز دسترسی به یک نقطه خاص جستجو کنند.
•   کلمه عبور دسترسی مدیریت باید از پیش فرض تغییر یابد و کلید رمزنگاری پیش فرض خود را با تنظیمات پیش فرض کارخانه تغییر دهد.کلیدهای رمزنگاری همیشه باید تغییر یابند.
•   دستگاه نقطه دسترسی باید از طریق ابزارهای مدیریت شبکه با استفاده از SNMPv3 یا بالاتر اداره شود. اگر مدیریت شبکه توسط واحد محاسبات انجام نشود ، SNMP باید غیر فعال باشد.
•   دستگاه های نقطه ی دسترسی با یک کنترل کننده مرکزی معرفی می شود و باید در خارج از ساعت زمانی که استفاده نمی کنید تغییر یابد.
•   نقاط دسترسی که دسترسی به اینترنت به طور پیش فرض باید بر روی یک VLAN قرار گیرد. استفاده از VPN باید در هنگام دسترسی به منابع داخلی استفاده شود.
•   قدرت سیگنال (سیگنال به نویز جیره) از نقاط دسترسی بی سیم باید حسابرسی و کاهش یابد تنها در بخش های مطلوب را در بر بگیرد.

4.8.3   سیستم عامل سرویس گیرنده های  بی سیم WLAN در اتصال به شبکه واحد محاسبات شبکه با استفاده از نقاط دسترسی عمومی و اینترنت باید از فناوری VPN استفاده شود از باید راه حل های متمرکز مدیریت مشخص نرم افزار دیوارآتش استفاده کنید. سیستم عامل های کلاینت بی سیم استفاده از تکنولوژی های VPN برای دسترسی به شبکه های داخلی و ماموریت حساس برنامه های کاربردی نرم افزار  بهبود امنیت و کاهش آسیب پذیری های ذاتی خاص در اتصال های بی سیم محافظت نشده است.

4.8.4   شبکه های بی سیم بلوتوث -- طراحی شده برای اتصال دستگاه های از راه دور مانند تلفن های همراه ، لپ تاپ ها ، و PDA ها به صورت پویا.  این شبکه هامقیم  "ad hoc " هستند زیرا از توپولوژی  شبکه های  متغییر استفاده می کنند. درنتیجه فن آوری دستگاه های قابل حرکت در مد غیر قابل پیش بینی ، این شبکه ها باید برای  پیکربندی مجدد در پرواز توسط بلوتوث که مسئولیت رسیدگی به شبکه های انتقال و توپولوژی پویا را داشته باشد سرویس های امنیتی بر سه اساس تعریف شده توسط مشخصات بلوتوث به شرح زیر است:
•   تایید -- بلوتوث تأیید هویت از دستگاه های ارتباطی را فراهم می کند .بر اساس این مکانیسم اگر یک دستگاه نتواند تصدیق درستی  را فراهم می کند ارتباط قطع شود..
•   محرمانه بودن -- محرمانه بودن ، یا حریم خصوصی ، یکی دیگر از ویژگی های امنیت بلوتوث است. اطلاعات را از به خطر افتادن که ممکن است با استراق سمع (هدف حمله) ایجاد شود جلوگیری می کند.
•   مجوز -- بلوتوث همچنین یک سرویس امنیتی برای کنترل منابع را فراهم می سازد. منظورازاین سرویس سوال "آیا این دستگاه مجاز به استفاده از این سرویس است؟ " است.

4.8.5   ویژگی های امنیتی بلوتوث - بلوتوث دارای سه حالت مختلف امنیتی از دستگاه های که بلوتوث می تواند در یک حالت از زمان عمل نماید. سه حالت عبارتند از:
•   حالت امنیت 1 -- حالت غیر امن
فن آوری دستگاه ها در این حالت بدون مراحل امنیتی می باشد . قابلیت های امنیتی (احراز هویت و رمزگذاری) است کاملا بی اهمیت است .در نتیجه دستگاه بلوتوث در واقع ، در "حالت" پذیرش است که اجازه می دهد تا دیگر دستگاه های بلوتوث به آن متصل شوند. این حالت برای برنامه های کاربردی که در آن امنیت مورد نیاز نمی باشد مورد استفاده قرار می گیرد.
•   حالت امنیت 2 -- حالت امنیت بر اساس سطح خدمات
در این حالت ، روش های امنیتی پس از استقرار کانال در کنترل اتصال منطقی و انطباق پروتکل (L2CAP) سطح آغاز شده است. (L2CAP )ساکن در لایه پیوند داده ها که خدمات اتصال گرا و بدون اتصال به لایه های بالایی با داده ها را فراهم می کند . یک مدیر امنیتی واحد محاسبات باید روش برای کنترل دسترسی و رابط با پروتکل های دیگر و خدمات به تمامی دستگاه ها در این حالت را حفظ کند .
•   حالت  امنیت 3 -- حالت امنیت بر اساس سطح پیوند
در حالت امنیت 3 حالت امنیت در سطح پیوند ، یک دستگاه بلوتوث قبل از وارد کردن روند ها و روش های امنیتی به کانال قانونی ایجاد شده است . این مکانیزم های امنیتی ساخته شده ، و از هر گونه امنیت لایه کاربرد ی که ممکن است وجود داشته باشد آگاه نیست . این حالت پشتیبانی از احراز هویت (یک سویه یا متقابل) ورمزگذاری. این ویژگی ها اساس  در یک کلید سطح امنیتی مخفی است که توسط یک جفت از دستگاه های به اشتراک گذاشته است. تولید این کلید ، یک روش جفت شدن که استفاده می شود هنگامی که دو دستگاه برای اولین بار در ارتباط هستند. یک مدیر امنیتی واحد محاسبات باید روشی برای احراز هویت ، محرمانه بودن و مجوز خدمات برای تمامی دستگاه ها در این حالت را حفظ کند.

4.8.6   دستگاه های مشتری WPAN مورد استفاده برای دسترسی به شبکه داخلی مبتنی بر شبکه دسترسی به اینترنت ، و برنامه دسترسی به نرم افزار باید:
•   پایبند به همان محدوده از نیازمندی های امنیتی به عنوان دستگاه های WLAN مشتری این استاندارد در سطح وسیع تعریف شده است باشد .
•   نیاز به ورود PIN و یا تأیید اعتبار مشابه در مطابق باز استاندارد P800 - S820 ، تأیید اعتبار و سرویس دایرکتوری ، برای دسترسی به همه.
•   دستگاه متقابل نیاز به احراز هویت برای تمام دسترسی تعریف شده باشد .
•   فراخوانی رمزگذاری لینک برای همه اتصالات در زنجیره های ارتباطی و رمزگذاری برای تمام انتقالات پراکنده تعریف شده باشد .
•   به پایین ترین سطح قدرت لازم و کافی به طوری که انتقال موضعی باقی می ماند.
•   نیاز به کلمه عبور دستگاه برای جلوگیری از استفاده غیر مجاز در صورت از دست رفته یا دزدیده شده است.
•   استفاده از رمزنگاری در سطح کاربرد ، تأیید اعتبار و فناوری های VPN است.
•   در خارج از ساعت تبدیل هنگامی که استفاده نمی کنید.

4.8.7   اتصال WMAN ، معمولا برای اتصال ساختمان ها استفاده می شود ، به شبکه داخلی که شامل انتقال برای دسترسی به شبکه های داخلی و ماموریت حساس برنامه های کاربردی نرم افزار باید رمزگذاری و استفاده از فن آوری VPNباشد.
4.8.8   استاندارد سطح وسیع P800 - S850 ، فن آوری های رمزنگاری ، توصیف حداقل الزامات را برای اطمینان از صحت ، صداقت ، محرمانه بودن ، و قابلیت اطمینان ازاطلاعات دیجیتالی است.
4.8.9   کلمه عبور برای دستگاه های بی سیم باید مطابق با الزامات مندرج در استاندارد در سطح وسیع P800 - S820 ،تایید اعتبار و خدمات فهرست راهنما و محاسبات واحد معیارهای رمز عبور خاص.
4.8.10   فن آوری های دیوارآتش  به اجرا در دروازه کاربردهای بی سیم و نقاط ارتباط بین شبکه های محلی بی سیم و مبتنی بر سیم علاوه بر این دسترسی غیر مجاز به شبکه داخلی را کاهش دهد.

4.8.11   تمرین های امنیت بی سیم:
•   تمام شبکه های بی سیم و دستگاه های دستی برای دولت باید مدیریت و به عنوان یک دارایی دولت توسط واحد محاسبات برای کمک به حمایت از اطلاعات محرمانه و حساس دولت
•   حفظ اسناد و دیاگرام های بی سیم وبا توپولوژی جزئیات خاص از ساختار اساسی برای درک کامل از شبکه های بی سیم
•   توسعه ، سند و ابزار خاص پیاده سازی سیاست های واحد محاسبات خاص ، استانداردها و رویه هایی که اطمینان از محرمانه بودن ، درستی ، و تصدیق هویت های بی سیم برای پرسنل دولتی
•   اجرای پیکربندی / تغییرات کنترل و مدیریت وصله برای تمام دستگاه های بی سیم برای اطمینان از تجهیزات (مانند نقطه دسترسی) آخرین نسخه نرم افزار / نسخه ای  که شامل پیشرفتهای ویژگی امنیتی برای آسیب پذیری های کشف شده
•   استاندارد پیکربندی  محصولات بی سیم برای اطمینان از تغییر موثر و پشتیبانی  از مقادیر پیش فرض برای سازگاری عمل
•   پشتیبان گیری از داده ها / اطلاعات بر روی یک مبنای تکرار
•   انجام تست امنیت و ارزیابی دوره ای از شبکه های بی سیم
•   سازگاری و نظارت امنیتی تصادفی برای حفاظت از راه بی سیم و دستگاه های دستی
•   فن آوری بی سیم هشیارآگاهی دهنده برای تهدیدات جدید و آسیب پذیری ها میباشد.
•   آموزش امنیت و آگاهی از تهدیدات سایبر و آسیب پذیری که در استفاده از فن آوری های بی سیم ذاتی هستند
•   واحد محاسبات باید استقرار بی سیم را برای انجام عملیات لازم تا زمانی که تعیین کرده اند آنها می تواند با مدیریت قابل قبول برای کاهش ریسک در سیستم های کسب و کار و داده ها / اطلاعات برای تداوم عملیات کسب و کار و فنی.


4.9.   تشخیص نفوذ / پیشگیری: مکانیسم های تشخیص نفوذ یا ابزار پیشگیری از نفوذ باید به تمام سرورهای متصل به شبکههای گسترده   WANs و تمام دستگاه های کار با اینترنت که به عنوان دروازه بین بخش های شبکه WAN خدمت می کنند بکار می روند.

4.9.1   هنگامی که استفاده می شود ، سیستم های تشخیص نفوذ باید نصب هر دو داخلی و خارجی به حفاظت تکنولوژی دیوار آتش از شبکه برای نظارت ، بلوک ، و گزارش فعالیت های غیر مجاز. ورودی ها باید بررسی محاسبات واحد پرسنل مجاز و تمام حوادث ، نقض ، و غیره ، گزارش شده و حل و فصل شده است.
4.9.2   مکانیسم های تشخیص نفوذ برای سرورها بایدشامل استفاده از نرم افزار و روش های بررسی اسکن برای تغییرات غیر مجاز به فایل ها ، از جمله فایل های سیستم می باشد.
4.9.3   نرم افزار و روش های بررسی باید برای بررسی ترافیک شبکه برای شناختن، امضای حمله مشکوک یا فعالیت های به دنبال ترافیک شبکه از دستگاه هایی که بد شده اند نشان می دهد.
4.9.4   نقض مجموعه پارامترها باید با اطلاع رسانی مناسب به مدیران امنیتی و یا کارکنان واحد محاسبات ، اجازه یک پاسخ بازگشت داده شود.
4.9.5   نفوذ ابزار پیشگیری از ترکیب کاربرو پارامترهای امنیتی تعریف شده را با توانایی یادگیری چگونگی برنامه های کاربردی نرم افزار و سیستم عامل باید در وسیع های عادی خود را انجام مجموعه ای از سیاست های امنیتی مناسب برای تولید است. تخطی از این سیاست های امنیتی را از طریق شبکه نفوذ و تغییر در نتیجه حالت عادی در به رسمیت شناختن حمله با تنظیمات مربوط به آن  تولید را متوقف می کند.
4.9.6   زبان توصیف آسیب پذیری نرم افزار (AVDL)است یک استاندارد وابسته امنیتی با قابلیت همکاری های که به عنوان یک استاندارد OASIS پیشنهاد شده. AVDL ایجاد روش یکنواخت از توصیف نرم افزار آسیب پذیری های امنیتی با استفاده از XML . تکنولوژی XML مبتنی بر ارتباط بین محصولات است که اجازه پیدا کردن ، بلوک ، تعمیر ، و گزارش حفره های امنیتی نرم افزاررا می دهد .
4.9.7   فن آوری های پیشگیری و کاهش نفوذ تعداد اخطار کاذب با تمرکز بر روی رفتار زمان واقعی به جای استفاده از فن آوری تطبیق امضا برای شناسایی پتانسیل حمله به شبکه است. فن آوری های پیشگیری از نفوذ نیز می توانند حملات "روز صفر" ، که بهره برداری از نقاط ضعف ناشناخته ، چرا که آنها به تغییر در وضعیت طبیعی عمل جلوگیری می کند.
4.9.8   توصیه می شود هنگامی که کارخانه سازنده به روز رسانی و / تکه های به سیستم IDS / IPS است که ممکن است تاثیر اتصال کاربر نهایی استفاده شود ، اطلاع رسانی قبل از هر به روز رسانی به تمام نهادهای نهفته / کاربران به عنوان تاریخ و زمان باید رخ دهد.


4.10.   آسیب پذیری اسکن: اسکنر آسیب پذیری شبکه و میزبان باید مورد استفاده قرار گیرد برای تست آسیب پذیری از سیستم های داخلی و دفاع های از پیرامون شبکه ، و همچنین پایبندی به سیاست امنیتی و استانداردها. اسکنرهای آسیب پذیری باید اجزای راه حل های شبکه جامع امنیت دولت است.  چنین اجازه می دهد اجزای مدیران امنیتی برای اندازه گیری امنیت ، مدیریت ریسک ، و از بین بردن آسیب پذیری ، فراهم کردن یک محیط شبکه ای امن تر است . اسکنر باید توانایی انجام موارد زیررا داشته باشد :
4.10.1   نقشه شبکه یا سیستم ها ی موجود و خدمات بر روی شبکه واحد محاسبات ،
4.10.2   شناسایی حفره های امنیتی با تایید آسیب پذیری
4.10.3   ارائه تجزیه و تحلیل موثر اگر داده های آسیب پذیری با استفاده از تکنیک مرور ، و اعمال سیاست های امنیتی معتبر ، زمانی که در هنگام نصب دستگاه های امنیتی و صدور گواهینامه استفاده می شود.
4.10.4   با ارائه گزارش جامع و نمودار برای تصمیم گیری موثر و امنیتی بهبود یافته ، و
4.10.5   تعریف اعمال سیاست های امنیتی معتبر ، زمانی که در هنگام نصب دستگاه های امنیتی و صدور گواهینامه استفاده می شود.


4.11   تخریب مستندات شبکه:
از بین رفتن کپی های سخت و اسناد الکترونیکی پیکربندی دستگاه شبکه ، نمودار شبکه ، و غیره ، باید نابود شود ، زمانی که جایگزین ، و یا دیگر مورد نیاز نیست. چنین تخریبی ممکن است در محل با استفاده از سند پاره پاره کننده قدرت تجاری و / یا استفاده از یک ظرف بازیافت امن تکمیل شده است. ظرف امنیت باید قفل پد و یا دیگر مکانیسم قفل مشابه و شامل محتویات ظرف باید ایمن یا از طریق پاره پاره کننده سند و / دفع و یا بازیافت پیمانکار شخص ثالث برای از بین بردن چنین مدرکی است.


5.   تعاریف و اختصارات
برای تعاریف و اختصارات PSP به واژه نامه اصطلاحات واقع در وب سایت گیتا در http://www.azgita.gov/policies_standards   مراجعه نمایید.


نتيجه گيري
هدف از این استاندارد هماهنگی واحد و تلاش برای فراهم کردن چند لایه استراتژی حفاظت برای ارتباطات امن و بدون درز از سیستم های ناهمگن دولت و ارتباطات شبکه ها، از جمله بی سیم، مودم، مسیریاب، سوئیچ ها، و فایروال به طوری که منابع محاسباتی  امور خارجه  و اطلاعات را از خطر دسترسی های غیر مجاز توسط منابع خارجی حفاظت کند A.R.S. § 41-3501(2)

6.   REFERENCES
6.1.   A. R. S. § 41-621 et seq., "Purchase of Insurance; coverage; limitations, exclusions; definitions."
6.2.   A. R. S. § 41-1335 ((A (6 & 7))),"State Agency Information."
6.3.   A. R. S. § 41-1339 (A),"Depository of State Archives."
6.4.   A. R. S. § 41-1461, "Definitions."
6.5.   A. R. S. § 41-1463, "Discrimination; unlawful practices; definition."
6.6.   A. R. S. § 41-1492 et seq., "Prohibition of Discrimination by Public Entities."
6.7.   A. R. S. § 41-2501 et seq., "Arizona Procurement Codes, Applicability."
6.8.   A. R. S. § 41-3501, "Definitions."
6.9.   A. R. S. § 41-3504, "Powers and Duties of the Agency."
6.10.   A. R. S. § 41-3521, "Information Technology Authorization Committee; members; terms; duties; compensation; definition."
6.11.   A. R. S. § 44-7041, "Governmental Electronic Records."
6.12.   Arizona Administrative Code, Title 2, Chapter 7, "Department of Administration Finance Division, Purchasing Office."
6.13.   Arizona Administrative Code, Title 2, Chapter 10, "Department of Administration Risk Management Section."
6.14.   Arizona Administrative Code, Title 2, Chapter 18, "Government Information Technology Agency."
6.15.   Statewide Policy P100, Information Technology.
6.16.   Statewide Policy P710, Network Architecture.
6.16.1.   Statewide Standard P710-S710, Network Infrastructure.
6.17.   Statewide Policy P800, IT Security.
6.17.1.   Statewide Standard P800-S815, Configuration Management.
6.17.2.   Statewide Standard P800-S820, Authentication and Directory Services.
6.17.3.   Statewide Standard P800-S850, Encryption Technologies.
6.17.4.   Statewide Standard P800-S860, Virus and Malicious Code Protection.
6.17.5.   Statewide Standard P800-S875, Maintenance.
6.17.6.   Statewide Standard P800-S880, Media Sanitizing/Disposal.
6.17.7.   Statewide Standard P800-S885, IT Physical Security.
6.18.   State of Arizona Target Security Architecture, http://www.azgita.gov/enterprise_architecture.
7.   ATTACHMENTS
None.

مقاله امنیت, آسیب پذیری اسکن, ارتباطات خارجی در شبکه, امنیت محیط شبکه, امنیت نقطه پایانی, انتقال خدمات پنهان شبکه, تخریب مستندات شبکه, تشخیص نفوذ و پیشگیری, دسترسی به شبکه های بی سیم, مقاله, دستگاه دسترسی به اینترنت و سیستم عامل های مشترک, سوئیچ ها, فایروال سخت افزاری, مقاله های فناوری اطلاعات, فایروال نرم افزاری, مجموعه استانداردهای امنیت شبکه, پیشگامان متا, meta4u.com