خدمات مشتری در ظاهر یک مفهوم ساده است: حمایتی که شما به مشتریها ارائه میدهید. اما این مفهوم به ظاهر ساده، خواب را از چشمان بسیاری از شرکتها که با مشتری سر و کار دارند، ربوده است. کابوس آنها این است که مبادا نتوانند رضایت مشتری را جلب کنند و با دستان خود، او را به شرکتهای رقیب سوق دهند. مشکل کجاست؟ چرا کلاف سردرگم خدمات مشتری، از هم باز نمیشود. من و همکارم جاناتان پس از تحقیقات به این نتیجه رسیدیم که در حوزه خدمات مشتری، بزرگترین ایراد کار مدیران این است که بیشتر اوقات، فقط روی مسائل روزانه و تاکتیکی تمرکز دارند اما در ایجاد و توسعه فرصتهای استراتژیک و بلندمدت خدمات مشتری شکست میخورند، در حالی که این فرصتها هستند که مشتریان کلیدی شما را حفظ و گسترش میدهند. یک مثال معمول برایتان میآورم:
سه گام تا نوآوری استراتژیک در خدمات مشتری
چند سال پیش ما یک کارگروه با موضوع خدمات مشتری برای مدیران اجرایی ترتیب دادیم. حدود ۳۰ مدیر ممتاز برای یک جلسه یکروزه گرد هم آمدند. ما آخرین یافتههای تحقیقاتمان را با آنها مطرح کردیم و از رهبران هتلهای زنجیرهای ریتز کارلتون، دیزنی و چند شرکت پیشگام در عرصه خدمات مشتری دعوت کردیم تا دانستههای خود را در اختیارمان بگذارند. در پایان روز، جلسهای تشکیل دادیم که در آن، شرکتکنندهها نظرات و تجربیات خود را در رابطه با ارتقای خدمات مشتری مطرح کردند.
جلسه را با این سوال شروع کردیم: «خدمات مشتری چیست؟» در پاسخ به این سوال ساده و صریح، جوابهای مختلفی شنیدیم که کمابیش انتظارش را داشتیم. یکی گفت پاسخ دادن به تلفن در ۳۰ ثانیه. یکی دیگر گفت چرخه سفارش سریع. دیگری گفت ارتقای نرخ تکمیل سفارش. یکی دیگر گفت خدمات مشتری یعنی اجازه ندهیم «گرگم به هوای تلفنی» اتفاق بیفتد. (پدیده گرگم به هوای تلفنی اشاره به مواقعی دارد که شما سعی دارید با کسی تماس بگیرید اما او جواب نمیدهد و شما ناچارا برایش پیغام میگذارید. او پس از دریافت پیغامتان، با شما تماس میگیرد اما اینبار، شما در دسترس نیستید و حالا او، پیغام میگذارد. این پروسه اینقدر ادامه پیدا میکند که شبیه به بازی گرگم به هوا میشود.) و پاسخهایی از این قبیل. وجه اشتراک این پاسخها این بود که همه آنها معیارهای عملیاتی تاکتیکی بودند.
مهمتر اینکه، همهشان معیارهای داخلی بودند. این یک مشکل متداول است. نرخ تکمیل (Fill Rate) را در نظر بگیرید. این نرخ یعنی درصد سفارشهای یک مشتری، که میتوانید بلافاصله و از موجودی فعلیتان، تامین و ارسال کنید، بدون آنکه مشتری، با عدم موجودی مواجه شود یا کم و کاستیای در تحویل سفارشها وجود داشته باشد. حال سوال اینجاست که نرخ تکمیل بالا به چه درد میخورد اگر مشتری شما، کلی محصول اشتباهی دریافت کرده باشد؟ اگر میزان سفارشهایش، دو برابر مقدار موجودی باشد چطور؟ یا فرض کنید در دریافت خدمات با اختلال بزرگی مواجه شده و با شما تماس گرفته. پاسخدهی فوری به مشکلی که اصلا نباید پیش میآمد چه فایدهای دارد؟
در حوزه خدمات مشتری، معیارهایی مهمند که آنچه مشتری واقعا تجربه میکند را انعکاس میدهند نه آنچه شما در عملیاتهای خود تجربه میکنید. ادغام این دو، یک فرض اشتباه است. علاوه بر این، یک عامل دیگر هم مهم است: «ذهنیت» مشتری از خدمات که مدیران غالبا و به اشتباه، فکر میکنند نشاندهنده تجربه مشتری از خدمات واقعی است. اما در واقع، ذهنیت مشتری نسبت به خدمات، تا حد زیادی متاثر از بدترین تجربه اوست، نه میانگین تمام تجربیاتش. حتی اگر مشتری به ندرت تجربیات بد داشته باشد، باز هم آنها بیشتر در خاطرش میمانند (اگر یک بار یک غذای افتضاح در رستوران خورده باشید، حتما آن را به یاد دارید).
در پایان جلسه، مدیران لیستی بلند از معیارهای خدمات مشتری تاکتیکی در مقابل ما قرار دادند. ما هم یک سوال دیگر از آنها پرسیدیم: «رقیب شما چه کاری میتواند بکند که بدترین کابوس شماست؟» گروه ابتدا ساکت بودند. پس از چند دقیقه، بحث داغ شد و مسیرش تغییر کرد. جوابها از نظر فرم و محتوا متفاوت بودند اما پیام ضمنی همه آنها یکی بود: «اگر رقیب من بتواند از نظر داخلی، هماهنگ شود تا سوددهی، فرآیندهای کسبوکار و جایگاه استراتژیک مشتری بهبود یابد، من بدجور به دردسر میافتم. مشتری قطعا ارتباطش را با ما قطع میکند و بدون تردید، سراغ رقیب میرود.»
بهبود سوددهی، فرآیندهای کسبوکار و جایگاه استراتژیک مشتری، یک موفقیت استراتژیک بزرگ در حوزه خدمات مشتری بود که ظاهرا برایشان از هر چیزی مهمتر بود. به همین خاطر، سوال بعدی را که یک سوال منطقی بود، مطرح کردیم: «اگر این استراتژی نهایی موفقیت است و اگر راز موفقیت در رقابت را میدانیم، چرا از اول انجامش نمیدهیم؟ آنطور که پیداست، این یک فرصت طلایی برای حفاظت از بهترین مشتریانمان و دزدیدن گوی سبقت از رقباست.» پاسخ آنها به این سوال هنوز هم در ذهن من و همکارانم طنین میاندازد. تقریبا همه افراد گروه به شکلهای مختلف و با کلمات مختلف، یک پیام را رساندند: «نمیتوانیم. از دستمان ساخته نیست.» چرا نمیتوانند؟ مانع اصلی میان رهبران این بود که نمیتوانستند واحدهای عملیاتی را با هم هماهنگ کنند و آنها را برای طراحی برنامههای استراتژیک و نوآورانه خدمات مشتری، گرد هم آورند. این مشکل زمانی اتفاق میافتد که گروهها بیش از حد روی اهداف و معیارهای واحد خودشان متمرکز هستند، از جمله معیارهای داخلی تاکتیکی.
مدیریت معیارهای تاکتیکی خدمات مشتری معمولا بر عهده یکی از واحدهای سازمان است. این در حالی است که لازمه نوآوریهای استراتژیک این حوزه، ایجاد هماهنگی میان فعالیتهای چند واحد است. در اینجا ما به تعریف مفهومی میپردازیم که نامش را «بیتفاوتی سازمانی» میگذاریم. این پدیده، ناشی از عدم همکاری از روی بدخواهی نیست. دلیلش این است که مدیران سایر واحدها معمولا روی معیارهایی تمرکز دارند که از نظر مدیران بالا، مهم است و باید در برابرشان پاسخگو باشند. برای شکستن این دیوار سازمانی و ایجاد نوآوریهای استراتژیک در حوزه خدمات مشتری، رهبران باید یکسری پروژههای آزمایشی طراحی کنند: منظور ما فرصتهای محدودی با هدف آزمون و خطا و کشف پتانسیل نوآوریهای موفقیتآمیز است.
سرعتبخشی به تغییرات از طریق پروژههای آزمایشی
همه شرکتها با این دو مشکل مواجهند: اجرای نوآوریهای خدمات مشتری در یک بستر حقیقی و غلبه بر بیتفاوتی سازمانی. بسیاری از آنها نمیتوانند اقدام قاطعانه انجام دهند و اگر رقیبی، این قابلیت را داشته باشد و میان واحدها هماهنگی ایجاد کرده باشد، میتواند آنها را از میدان رقابت حذف کند. در اینجا مثالی از شرکتی میآورم که این را به درستی اعمال کرده. حدود ۳۰ سال پیش، زیرمجموعه یک شرکت خدمات درمانی کانادایی به نام باکستر تصمیم گرفت همراه با یک مشتری درباره نحوه ایجاد نوآوریهایی که به نفع طرفین باشد، تحقیق کنند. مشتری، یک بیمارستان کوچک بود. انتخاب باکستر بسیار هوشمندانه بود چون فضا برای نوآوری ایدهآل بود: یک بیمارستان نسبتا کوچک که به تازگی افتتاح شده بود. یکسری نیروی جدید داشت، نیاز بود که فرآیندهای جدید توسعه یابند و مدیرعامل جوان بیمارستان، مشتاقانه به دنبال نوآوریهایی بود که صنعت درمان را دگرگون کنند.
باکستر و مدیرعامل بیمارستان یک تیم مشترک تشکیل دادند تا روشهای جدید برای همکاری با یکدیگر را کشف کنند. طی این فرآیند، آنها توانستند چند نوآوری در حوزه زنجیره تامین ایجاد کنند از جمله نخستین مدل انبارداری توسط فروشنده که حالا در حوزه درمان، جا افتاده است.
این فرآیند دو خروجی مهم داشت.
اولا، از آنجا که بیمارستان یک مشتری کوچک محسوب میشد، مدیران ارشد باکستر میتوانستند با ریسک کم، مدل جدید را اجرا کنند. و چون با یک سازمان جدید سر و کار داشتند، میتوانستند فرآیندهای واقعی را در یک موقعیت «زنده» اصلاح کنند.
دوما، این پروژه آزمایشی به مدیران باکستر این امکان را میداد که بیایند و از نزدیک، نحوه اعمال فرآیندها را ببینند و در توسعهاش شرکت کنند. آنها میتوانستند با پرستاران، پزشکان و کادر اداری صحبت کنند تا ببینند کارها چطور پیش میرود. طی فرآیند، بسیاری از مدیران باکستر که به بیمارستان سر میزدند، توصیههایی در رابطه با بهبود فرآیند به تیم مشترک ارائه دادند. با اجرای این پیشنهادها، تیم توانست حمایت گستردهای از سوی آنها دریافت کند و همزمان، فرآیندها را نیز بهبود بخشد. برعکس این مورد، مربوط به شرکتی به نام «بل» بود که در چندین ایالت جنوبی آمریکا فعالیت داشتند. این شرکت قدرتمند و موفق در واقع یک نیروگاه منطقهای بودند که منابع کافی در اختیار داشتند. رهبران سازمان داشتند تصمیم میگرفتند که آیا خدمات پهنای باند را برای مشتریان توسعه دهند یا نه، و اگر تصمیم بر آن شد، چطور آن را ساختاردهی و حمایت کنند. روش بدیهی این بود که تحقیقاتی سنتی در بازار انجام دهند که احتمالا نشان میداد مشتریها در کل نسبت به آن تمایل دارند اما نه آنقدر که بخواهند کل هزینه خدمات را بپردازند.
همزمان اما، افراد نوآور سازمان که همکارم جاناتان با آنها کار میکرد، یک پیشنهاد جایگزین ارائه دادند: اجرای یک پروژه آزمایشی. تصمیم گرفتند میان یک جامعه کوچک و سطح بالا از طریق پهنای باند، ارتباط برقرار کنند که بتواند جوامع مهم شهر را از طریق این شبکه به هم پیوند دهد (مدارس، جوامع ورزشی، کلوپها و ...). آنها معتقد بودند این به مشتریها فرصتی میدهد که روشهای ارتباطی جدیدی پیدا کنند و ارزش این نوآوری را همان ابتدا حس کنند.
شرکت با این نوآوری استراتژیک در حوزه خدمات مشتری میتوانست در عرصه خدمات مبتنی بر اینترنت، پیشگام شود و از رقیبان خود، دهها گام پیشی بگیرد.
بل دارای منابع فراوانی بود. اما نوآوران سازمان نتوانستند حمایت مدیران سایر واحدها را جلب کنند چون آنها معتقد بودند اجرای این طرح آزمایشی هیچ نفعی برای واحد خودشان ندارد و ترجیح میدادند منابع را به پروژههای تاکتیکی خدمات مشتری واحد خودشان اختصاص دهند که شاید منافع ناچیزی داشت اما حداقل قابل اندازهگیری بود.
در نهایت، واحد مالی سازمان پروژه را نابود کرد و توجیهشان این بود که در مقایسه با برنامههای عملیاتی جاری، بازگشت کافی ندارد.
این شرکت که در صنعت خودش، غولی بود رفتهرفته محو شد و با یک زیرشاخه دیگر بل، ادغام شد. آن هم با زیرشاخه بعدی ادغام شد.
سه گام تا ایجاد خدمات مشتری استراتژیک و پیشرفته
یک برنامه سه مرحلهای هست که تیمهای مدیریتی خلاق میتوانند برای طراحی پروژههای آزمایشی خدمات مشتری استراتژیک به کار ببرند. پروژههای آزمایشی کمک میکنند در حین انجام کار، یاد بگیرید و بر بیتفاوتی سازمانی غلبه کنید:
ایجاد تغییر همزمان با پیشرفت بیشتر اوقات، مهمترین نتایج یک پروژه، فقط پس از تکامل پروژه به مرور زمان مشهود میشوند که این شاید سالها طول بکشد. تغییرات مرتبه دوم و سوم، از همه قدرتمندترند چون منعکسکننده تجربه و بازخورد آنی مشتری هستند. پروژه باکستر، همزمان که تیم با پرسنل بیمارستان همکاری میکردند و نیازها و نگرانیهای جدیدشان را لحاظ میکردند، بارها اجرا و اصلاح شد. به ندرت پیش میآید که یک سرمایهگذاری خطرپذیر موفق، همان برنامه اولیه را تا آخر پیش ببرد. کلید موفقیت، درس گرفتن از تجربیات و تکامل سریع است. سرمایهگذاران موفق این را به خوبی میدانند.
همتایان خود را همان ابتدا دخیل کنید
نوآوری استراتژیک در حوزه خدمات مشتری، مسالهای مربوط به کل سازمان است. همتایان عملیاتی خود را از سایر واحدها فرابخوانید و آنها را از همان ابتدا در اجرای پروژه دخیل کنید. اجازه دهید در شکلگیری پروژه کمک و کشف کنند که اجرای آن چه مزایای مستقیمی برایشان خواهد داشت. اگر این فرصت را به آنها دهید، خواهید دید که خودشان در طول فرآیند، قهرمان خواهند شد. مثلا معاون بخش زنجیره تامین باکستر خیلی دوست داشت یک سیستم جمعآوری جدید و اتوماتیک را امتحان کند. او میتوانست آن را در پروژه آزمایشی بگنجاند تا امکانپذیری و نتایج اقتصادی آن را در عمل ببیند. بهعلاوه، وقتی تیم فروش، افزایش ۳۵درصدی درآمد ناشی از این مشتری بانفوذ را دیدند، خودشان هم با اشتیاق به پروژه پرداختند.
وقتی نوآوری مربوطه، ارزش خود را اثبات میکند و مورد اقبال گسترده قرار میگیرد، مدیران ارشد میتوانند به آن متعهد شوند و برنامهریزیهای عملیاتی واحدها، تخصیص منابع و سیستمهای پاداشدهی را طوری تغییر دهند که امکان رشد و موفقیت پروژه را فراهم کند.
سخن آخر
مدیریت معیارهای تاکتیکی خدمات مشتری معمولا بر عهده یکی از واحدهای سازمان است اما نوآوری استراتژیک در این حوزه که منعکسکننده تجربه واقعی مشتری باشد، بر عهده یک واحد یا عملیات نیست بلکه نیازمند همکاری و هماهنگی میان تمام واحدهاست.
موفقیتها و پیشرفتهای بزرگ در حوزه خدمات مشتری استراتژیک به شما کمک میکند سوددهی، اثربخشی فرآیندهای کسبوکار و جایگاه استراتژیک مشتری خود را تحت تاثیر قرار دهید. اینها اهداف نهایی موفقیت در حوزه خدمات مشتری هستند. مدیرانی موثرند که برنامه جامعی طراحی کنند که به نوآوری در حوزه خدمات مشتری بینجامد، اما بر پایه مهارتهای روزانه و تاکتیکی.
برگرفته از دنیای اقتصاد
در این مطلب میخوانیم که چگونه یک کابل شبکه مناسب، همراه با خصوصیات آن را بشناسیم، برای پروژه شبکه محلی کدام کابل شبکه را انتخاب کنیم. همچنین برندهای برتر بازار ایران را معرفی خواهیم کرد و راهنمایی برای خرید انواع کابل شبکه را در اختیار شما قرار میدهیم.
کابل شبکه چیست؟
کابل شبکه یکی ازمهم ترین سخت افزارشبکه است که وظیفه انتقال داده را بصورت محلی برعهده دارد.هدف اصلی ایجاد یک شبکه ، ایجاد ارتباط بین اجزای شبکه، اشتراک گذاری منابع وانتقال داده است. اگردقت کرده باشید هدف اصلی شبکه بدون کابل شبکه تامین نمیشود.
انواع کابل شبکه و طبقهبندی چگونه است ؟
رایجترین کابل شبکه زوج به هم تابیده است که دارای چهارجفت سیم است. این سیمها به دور یکدیگر میپیچند تا اثر نویزو تداخل خارجی را کاهش دهند.
کابل شبکه در انواع مختلف وجود دارد که دو نوع دارای شیلد و فویلد محافظتی (SFTP) یا بدون شیلد محافظتی (UTP) از پرمصرفترین آنها میباشد. تفاوت این دو در این است که کابل دارای محافظ یا SFTP دارای دو لایه عایق اضافی محافظتی است و از دادهها در برابر نویز و تداخلات خارجی محافظت میکند.
کابلهای شبکه در رده و دستههای مختلف تولید میشوند، ردههای بالاتر پهنای باند بالاتری دارند و با سرعت بالاتری داده ارسال میکنند.
درجدول زیر، مشخصات سرعت و پهنای باند هریک ازدسته کابل شبکه و وضعیت محافظ یا بدون محافظ بودن آنها آمده است.
پهنای باند
سرعت درصد متر وضعیت محافظ دسته
100MHz
10/100Mbps بدون محافظ Cat 5
100MHz
1000Mbps / 1Gbps بدون محافظ Cat 5e
250MHz>
1000Mbps / 1Gbps بامحافظ یا بدون محافظ Cat 6
500MHz
10000Mbps / 10Gbps با محافظ Cat 6a
600MHz
10000Mbps / 10Gbps با محافظ Cat 7
2000MHz
*25Gbps or 40Gbps با محافظ Cat 8
انواع کابل شبکه لگراند و طبقهبندی آنها
لگراند کابلهای شبکه خود را در طبقهبندیهای مختلف با توجه به استانداردهای موجود تولید کرده است.
از جمله کابل شبکه لگراند میتوان به Cat5e ,Cat6, Ca6a , Cat7, Cat7A , Cat8 اشاره کرد. همچنین در نظر بگیرید که از لحاظ ساختاری نیز این تنوع بیشتر خواهد شد.
به طور مثال کابل شبکه cat6 در انواع بدون شیلد و فویلد (UTP) ، دارای فویلد (FTP) ، دارای فویلد و شیلد (SFTP) و... وجود دارد.
راههای تشخیص کابل شبکه لگراند
شرکت لگراند برای هریک از دسته کابلهای خود، رنگی را در نظر گرفته است. خاکستری مختص Cat 5، آبی برای Cat6 و زرد برایCa6a تعریف شده است. پوشش بیرونی کابل شبکه لگراند Cat7 نیز به رنگ زرد است.
برندهای دیگرهم در دارای تنوع رنگ هستند، پس برای تشخیص کابل شبکه لگراند نمیتوان تنها روی رنگ آن اکتفا کرد. ازاین رو میتوان گفت تنها راه تشخیص کابل شبکه لگراند رنگ پوشش کابل نیست. یکی از راههای تشخیص این کابل وزن آن است، وزن تمامی محصولات این شرکت توسط این شرکت اعلام شده است، مثلاUTP Cat5e در بسته بندی کارتن و با روکش PVC و متراژ305 متر باید وزنی معادل 9kg داشته باشد.
یکی دیگر از راههای تشخیص کابل شبکه لگراند توجه به جنس مغزی است، جنس مغزی باید از جنس مس با خلوص صد درصدی است همین عامل سبب مرغوبیت و انتقال سریع داده در کابل شبکه برند لگراند شدهاست.
آشنایی با انواع کابل شبکه نگزنس
کابل شبکه نگزنس یکی ازمرغوبترین کابلهای شبکه است. کابلهای این برند ازلحاظ سرعت، تکنولوژی واستاندارد دردستههای مختلفی قرار میگیرند.
کابل شبکه نگزنس در دو نوع روکش از جنس PVCو LSZH تولید میشود. تفاوت این دو در این است که روکشهای LSZH فاقد هالوژن هستند و درموقع آتش گرفتن از خود دود سمی تولید نمیکنند.
انواع کابل شبکه نگزنس
کابل شبکه نگزنس دردستههایCAT6 UTP , CAT6 SFTP, CAT6a, CAT6a SFTP, CAT6a UTP, CAT7 تولید و راهی بازار میشوند. نکته قابل توجه درمورد کابل شبکه نگزنس این است که دستههای پرکاربرد برای مصارف درونی و بیرونی بهینه شدهاند. این به این معنی است که کابلهای پرکاربرد دردو نوع خارجی و داخلی تولید میشوند، نوع خارجی دارای پوشش اضافی است و طوری طراحی شده که در برابرشرایط محیطی مقاوم باشد.
راههای تشخیص کابل شبکه نگزنس
درمیان انبوهی ازبرندهای کابل شبکه چگونه میتوان کابل شبکه نگزنس را تشخیص داد؟ این سوال کاملا به جاست، درست است روی پوشش تمامی کابلهای شبکه نگزنس نام آن درج شده است ولی برای تشخیص آن کافی نیست.
اولین شاخصه، شاخصه ظاهری است. کابل شبکه نگزنس در دو رنگ مشکی و نارنجی تولید میشود. روکش مشکی برای محیط بیرونی است و در برابر شرایط آب وهوایی خارجی مقاوم است و رنگ نارنجی برای شرایط درونی طراحی و ساخته شده است.
ولی این تمام ماجرا نیست، ظاهر کابل شبکه نگزنس برای تشخیص آن کافی نیست، برای تشخیص کابل شبکه نگزنس باید سرعت، وزن، قطر و پیچش استاندارد کابل شبکه نگزنس را بدانید.
راهنمای خرید کابل شبکه
خرید کابل شبکه مانند گذشته آسان نیست. درگذشته یک گزینه برای خرید کابل شبکه وجود داشت آن هم CAT5 بود، اکنون گزینههای دیگری مانند Cat5e، Cat6، CAT7 حتی CAT8 وجود دارد.
ازطرف دیگررقابت بین برندها هرروز بیشتر و بیشترمیشود وبرندها مجبورند برای این که از بازار رقابت حذف نشوند، به روز شوند. همه اینها کار انتخاب کابل برتر را سخت تر میکند.
بنابراین اگر قصد خرید کابل شبکه را دارید، اولین قدم این است که وقت بگذارید و نیازمندی شبکه خود را ارزیابی کنید تا ازمیان انبوهی ازبرندها بهترین را انتخاب کنید، مثلا اگر سرعت سایر تجهیزات شبکه شما بالاست انتخاب کابل شبکه پرسرعت انتخاب خوبی خواهد بود درغیراین صورت، این سرعت برای شما تامین نخواهد شد.
همچنین میتوانید برای انتخاب هرچه بهتر و خرید کابل شبکه با مشاورین فروشگاه تجهیزات شبکه کارن ارتباط برقرار کنید ومناسبترین کابل شبکه خود را خریداری کنید.
افزایش امنیت سرور مجازی ویندوز
با پیشرفت سریع دنیای فناوری و استفاده روز افزون از خدمات آنلاین مانند: سرور مجازی ویندوز و یا لینوکس توسط مردم بدون دانش فنی مدیریت سرور، مبحث با اهمیت امنیت سرور مطرح میشود.
هر کدام از سرویسهای ویندوز و لینوکس کاربرد مشابه اما روش کار متفاوت دارند، یکی از مواردی که به تازگی اهمیت بالایی پیدا کرده است، امنیت سرور مجازی ویندوز است.
برای اتصال به یک سرور مجازی ویندوز باید از ریموت دسکتاپ استفاده شود، که یک پروتکل ارتباطی اولیه مایکروسافت است، در ادامه به شما آموزش خواهیم داد که چگونه امنیت اتصال ریموت دسکتاپ خودتان را افزایش دهید.به زبان ساده در پروتکل ریموت دستکاپ عموما برای مشاهده تصویر سرور و یا دیگر کامپیوترهای تحت شبکه استفاده خواهد شد.
برای انتقال فایل با حجم کم استفاده شود و نیز پرینتر را به اشتراک بگذارید، وبکم را در سرور استفاده کنید، حتی میتوانید درایو هارد خودتان را در سرور ویندوز مشاهده کنید.
در یک سرور ویندوزی صدایی که در سرور پخش میشود را در کامپیوتر خودتان داشته باشید که همه از طریق پروتکل ریموت دسکتاپ انجام میشود.
با وجود همه این کاربردها، سرور مجازی ویندوز برای معاملات مالی و وب گردی بدون شناسایی هویت اصلی نیز کاربردی است.
امنیت سرور مجازی ویندوز
بدانید همیشه افرادی وجود دارند که دستیابی به اطلاع درون سرور شما برای آنها ممکن است با اهمیت باشد، مخصوصا زمانی که شما یک کار مالی مانند: فعالیت در بازار ارز دیجیتال میکنید به عنوان مثال: با یک سرور ترکیه اقدام به ترید در بایننس و یا دیگر صرافیها میکنید.
در این حالت شما یک دیتا با ارزش مالی بالا در سرور مجازی ویندوز خودتان دارید و کسی که دنبال سوء استفاده باشد سعی خود را میکند که به هر شکلی وارد سرور شما شود.
برای اینکه بتوانید امنیت سرور خودتان را تامین کنید باید به نکات ریز توجه زیادی داشته باشید، مانند:
● تغییر پورت ریموت دسکتاپ سرور
● آپدیت کردن دوره ای سیستم عامل و مرورگر
● عدم استفاده از نرم افزار کرک در سرور حتی آنتی ویروس کرک
● دانلود نکردن هیچ نوع فایلی که از هر جایی برای شما ارسال میشود.
● اطمینان از روشن بودن فایروال سرور
● بررسی داشتن فایروال در شرکت میزبان برای جلوگیری از حملات Burt-force
● اطمینان از اورجینال بودن سیستم عامل و عدم استفاده از کرک سیستم عامل توسط شرکت میزبان
● پنل مدیریت سرور برای خاموش کردن سرور در زمانی که طولانی مدت نیاز به سرور ندارید.
● انتخاب شرکت با سابقه کاری بالا و معتبر در حوزه میزبانی
● امنیت سیستم یا کامپیوتر مبدا که به سرور متصل میشود.
تغییر پورت ریموت دسکتاپ سرور
حداقل کار ممکن برای بالا بردن امنیت سرور مجازی تغییر پورت ریموت دسکتاپ است که باعث میشود سرور شما از دید اسکنرهای خودکار در پورت 3389 که به دنبال اسکن و Burt-force پسورد هستند در امان بماند، ولی اگر تارگت مستقیم باشد پیدا کردن پورت واقعی ریموت کار چندان سختی نیست پس یک عمل اولیه و ساده است.
در مجموعه میزبانی دیاکو وب به علت داشتن فایروال جلوگیری از حملات به پورت ریموت نیازی به تغییر وجود ندارد.
آپدیت کردن دوره ای سیستم عامل و مرورگر
یکی از مشکلاتی که همیشه وجود دارد، مشکلات امنیتی مربوط به سیستم عامل اصلی است که ممکن است با یک باگ نرم افزاری موجب نشت اطلاعات شود و براحتی راه نفوذ ایجاد کند.
به صورت خودکار و یا دوره کوتاه مدت حتما اقدام به آپدیت سیستم عامل سرور از داخل سرور کنید و بعد از آپدیت سیستم عامل اجازه دهید سرور ریستارت شود.
آپدیت شدن مرورگر نیز اهمیت بسیار بالایی دارد پس همیشه آپدیت کردن آن را فراموش نکنید.
باید و نبایدهای امنیتی مبدا و مقصد ریموت دسکتاپ
توجه به امنیت سیستم مبدا که به سرور به صورت ریموت دسکتاپ متصل خواهد شد.
نرم افزارهای مورد استفاده در وی پی اس
متاسفانه این نکته فراموش میشود که اگر یک نرم افزار از هر نوعی باشد به طور مثال: آنتی ویروس، دانلود منیجر یا فتوشاپ و…، که از سایت آسان دانلود یا soft98 یا هر سایت دیگری دانلود شده باشد، در هر صورت این نرم افزار اگر رایگان نباشد، کرک شده است و توسط یک برنامه نویس انجام شده است.
سوال اینجاست؟ که آیا آن برنامه نویس برای عموم مردم که حاضر به پرداخت هزینه لایسنس نرم افزار مورد نظر نیستند کار رایگان انجام میدهد؟ قطعا خیر، پس بی هدف انجام نمیشود.
در نتیجه برای همیشه استفاده از هر نوع نرم افزار کرک را فراموش کنید. حتی اگر در کامپیوتر شخصی خودتان در حال استفاده هستید و فکر میکنید که تا الان مشکلی پیش نیامده است!
عدم دریافت فایل از هر منبع انتشار فایل
هک کردن یک سرور و یا کامپیوتر با ارسال فقط یک عکس، یک فایل PDF و یا ورد و یا حتی یک ویدئو بسیار ساده است، به طورکلی هرگونه فایلی که شما برای تماشا و یا باز شدن آن فقط یک کلیک کنید کافی است تا شما در قلاب هکر گیر بیفتید.
فایل مخرب هر کاری که در محیط سیستم انجام میشود را به راحتی به منبعی خاص ارسال میکند و همچنین توانایی ضبط همه پسووردها و یا حتی ایجاد تغییرات در سرور را دارد.
اطمینان از روشن بودن فایروال سرور
سیستم ویندوز یک فایروال دیفالت دارد که پورتهای غیر ضروری را به صورت کامل مسدود کرده است و اجازه ورود و خروج هر نرم افزاری را نخواهد داد، مطمئن شوید که این فایروال خوب و کاربردی روشن باشد و آن را به هیچ عنوان برای طولانی مدت خاموش نکنید.
داشتن فایروال جلوگیری از Burt-force
از متداول ترین راه های نفوذ به سرورها تست پسوردهای مختلف برای ورود به سرور هست، در این حالت یک لیست میلیونی از پسوردها وجود دارد و یک ربات شروع به تست پسورد بر روی سرور میکند، در ثانیه چند ده پسورد را تست میکنند تا پسورد سرور شما را پیدا کنند.
شرکتهای انگشت شماری برای امنیت بالای کاربران خود هزینه میکنند. در خدمات ابری دیاکو وب امکان اسکن پسورد روی سرورها وجود ندارد و هرکسی اقدام به اسکن سرورها کند به صورت خودکار توسط فایروال بلاک خواهد شد.
بدون دستکاری بودن سیستم عامل سرور مجازی
اورجینال بودن سیستم عامل سرور مجازی ویندوز که شما را میزبانی میکند از آن جهت که هیچ نوع دستکاری و یا کرک شدن لایسنس سیستم نداشته باشد، بسیار مهم است به این دلیل که تمامی کرکهایی که برای لایسنس انجام میشود قطعا مخرب هستند و مطمئنا برای کسانی که از سرور مجازی ترید برای ارزهای دیجیتال بدون امکان پیگیری استفاده میکنند، مشکل ساز خواهند شد.
پنل مدیریت سرور مجازی
خدمات میزبانی که به صورت ابری ارائه شود همه چیز را دردسترس شما قرار میدهد و قابل ایجاد هر نوع تغییرات توسط شما است.
مدیریت سرور مجازی به صورت کامل توسط شما باید انجام شود به گونه ای که کنترل پنل وی پی اس باید به شما این امکان را بدهد که بدون نیاز به پشتیبانی، حتی سیستم عامل سرور را تعویض کنید، و یا در صورتی که میخواهید مدتی از سرور به صورت روزانه استفاده نکنید سرور را خاموش کنید و در زمان نیاز اقدام به روشن کردن مجدد آن کنید.
امنیت سیستم مبدا به مقصد (سرور)
آلوده نبودن سرور مبدا شما بسیار با اهمیت است. باید از ایمن بودن کامپیوتر شخصی و گوشی خودتان اطمینان 100% حاصل کنید، این صحبت که چندین سال هست از این ویندوز استفاده کرده ام تا الان مشکلی پیش نیامده است را فراموش کنید!
تا این لحظه دیتا شما ارزش مادی نداشته و حداکثر پسورد بانکهای داخل ایران بوده و امکان پیگیری وجود داشته بنابراین برای افراد سودجو ارزشی چندانی ندارد، در واقع بانک های ما به سیستم بانکداری جهانی متصل نیست و امکان جابه جایی پول به خارج از ایران وجود ندارد، پس تا این لحظه شکار خوبی محسوب نمیشدید.
اما حالا شما یک سرور ترید را تهیه میکنید که در صرافی ارز دیجیتال مانند بایننس کار معاملات ارز دیجیتال انجام دهید، حال اگر هکر بتواند پسورد سرور یا دیگر اطلاعات مورد نیاز را از داخل سیستم شما برداشت کند کار تمام است.
جمله معروفی میگوید: «ماجراجویی از نقطهای آغاز میشود که تصمیم میگیرید از منطقه امن خود خارج شوید.» اگر به مقالات منتشرشده در وبسایتهای پارسی نگاه کنید، متوجه میشوید که بخش عمدهای از آنها اشاره به این نکته دارند که برنامهنویسان دستمزدهای خوبی دریافت میکنند و در مقایسه با دیگر همتایان خود در صنعت فناوری اطلاعات بهلحاظ مالی زندگی نسبتا بهتری دارند.
اگر چند سالی است یک کار مشخص در حوزه فناوری اطلاعات انجام میدهید و دوست دارید کار هیجانبرانگیز جدیدی را امتحان کنید، اما مسیر جذابی در این زمینه نمیشناسید، توصیه من برنامهنویسی است؛ زیرا فرصتهای شغلی زیادی در اختیارتان قرار میدهد و اجازه میدهد با صنایع مختلفی در ارتباط باشید و از نزدیک با چالشها و مشکلات مختلف آشنا شده و راهکاری برای آنها ارائه دهید. علاوه بر این، برنامهنویسی مزیت بزرگی در اختیارتان قرار میدهد و اجازه میدهد بهعنوان یک آزادکار با شرکتها قراردادهایی منعقد کنید و در وقت آزاد خود روی پروژهها کار کنید. اگر کاربری هستید که ایدهای در زمینه ساخت یک برنامه کاربردی یا بازی کامپیوتری برای پلتفرمهای همراه مثل اندروید دارد، باید بگویم که برنامهنویسی حرفه مناسبی برای شما است. همچنین، یادگیری برنامهنویسی در مقایسه با دیگر مهارتهای موردنیاز صنعت فناوری اطلاعات مثل امنیت و شبکه نسبتا سادهتر است. همانگونه که اشاره کردم، برنامهنویسان این انتخاب را دارند که برای خود یا بهعنوان فریلنسر کار کنند و در هر ساعت از شبانهروز و هر مکانی کدنویسی کنند. بهطور مثال، میتوانید به خارج از شهر بروید و همزمان با لذت بردن از طبیعت بکر، کدنویسی انجام دهید. تنها ابزاری که به آن نیاز دارید یک لپتاپ و در صورت لزوم یک ارتباط اینترنتی است.
تقریبا تمامی صنایع و سازمانها نیازمند توسعهدهندگان وب و برنامهنویسان هستند. بد نیست بدانید که اگر در این زمینه استعداد ذاتی داشته باشید، در کوتاهترین زمان جایگاه خود را پیدا خواهید کرد و حتا این شانس را پیدا میکنید که در زمینههای تخصصی مثل هوش مصنوعی، برنامهها و سرویسهایی بنویسید که سود کلانی عایدتان کند. اما چگونه باید یک برنامهنویس شویم؟ شاید پرسش بهتر این است که چه کسی میتواند برنامهنویس شود؟ یک برنامهنویس، فردی است که کدهایی را مینویسد که به کامپیوترها یا دستگاههای دیگر اعلام میدارد چه کاری انجام دهد. برنامهنویس شدن هیچ قانون صریح و روشنی ندارد؛ از اینرو، یادگیری نحوه برنامهنویسی، تمرین زیاد و اشتیاق مداوم کمک میکنند در این مسیر موفق شوید. در نتیجه، باید بگوییم هر فردی این شانس را دارد تا برنامهنویسی را بیاموزد.
اگر میخواهید یک برنامهنویس شوید، ابتدا باید دلیل یادگیری این مهارت را برای خودتان مشخص کنید و از خود بپرسید که چقدر در این راه مصمم هستید. آیا دوست دارید آنرا یاد بگیرید یا فقط میخواهید بهعنوان مهارتی در رزومه به آن اشاره کنید، دوست دارید بهعنوان یک حرفه شغلی به آن نگاه کنید یا تنها برای یک پروژه (دانشگاهی) بهدنبال یادگیری آن هستید. نکته بعدی که باید به آن دقت کنید این است که بهتر است صنعتی که قصد ورود به آنرا دارید مشخص کنید تا شرکتها بدانند تخصص شما چیست. شما میتوانید یک توسعهدهنده وب، توسعهدهنده برنامههای سازمانی، دانشمند داده یا توسعهدهنده اپلیکیشنهای موبایل شوید. هر نقش به مجموعهای از مهارتهای منحصربهفرد نیاز دارد.
برنامهنویس نرمافزار، فردی است که ایدههای ارائهشده توسط معمار نرمافزار را به نمونه واقعی و قابل اجرا تبدیل میکند.
توسعهدهندگان وب به دو گروه فرانتاند و بکاند تقسیم میشوند. توسعهدهندگان بکاند با کدنویسیهای پیچیده سروکار دارند و به مدیران سایت تضمین میدهند که وبسایت یا برنامههای وبمحور بهشکل روانی اجرا میشوند. توسعهدهندگان فرانتاند روی جنبههای بصری سایتها متمرکز هستند.
دانشمند داده، فردی مسلط به یک زبان برنامهنویسی مثل پایتون است که عاشق تحقیق و تجزیهوتحلیل دادهها است.
توسعهدهنده اپلیکیشن موبایل، فردی است که اجازه میدهد به بهترین شکل از قابلیتهای کاربردی گوشی خود استفاده کنید.
هنگامی که حوزه تخصصی خود را انتخاب کردید، در مرحله بعد باید زبان برنامهنویسی مرتبط را انتخاب کنید. توصیه من این است که سراغ یادگیری زبانهای برنامهنویسی آیندهدار بروید که قابلیتهای کاربردی خوبی ارائه میکنند و ترکیب نحوی سادهای دارند. در مرحله بعد بهفکر بهبود مهارتهای برنامهنویسی از طریق کدنویسی مستمر باشید. دقت کنید هیچگاه تنها با مطالعه دهها یا صدها کتاب، یک برنامهنویس حاذق نخواهید شد و باید بهطور عملی کدنویسی کنید. بهتر است روی کدنویسی پروژههای کوچک کار کنید تا مهارتهای اولیه را بیاموزید. در ادامه رزومهای برای خود بسازید. برای بهدست آوردن تجربه بهتر، همیشه میتوانید روی پروژههای فریلنسری کوچک کار کنید که پیچیدگی زیادی ندارند، اما در مقابل اجازه میدهند رزومه خود را بهبود ببخشید.
نکته مهم دیگری که باید به آن دقت کنید این است که کارفرمایان از یک برنامهنویس انتظار دارند تا کدنویسی و اشکالزدایی کند تا عملکرد نرمافزارها مطلوب شود. در حالت کلی، یک برنامهنویس مسئول شناسایی باگها و بهروزرسانی کدها، شناسایی و رفع مشکلات عملکردی برنامهها، ویرایش کدهای منبع، استقرار نرمافزارهای بزرگ سازمانی و پشتیبانی فنی است. در نهایت، بهعنوان تجربه شخصی باید به این نکته اشاره کنم که یک برنامهنویس میتواند در ابتدای راه شغلی بهعنوان یک تحلیلگر سیستم داشته باشد و بعدها از نردبان ترقی بالا برود تا به توسعهدهنده نرمافزار/وبسایت، تحلیلگر داده و غیره تبدیل شود. فراموش نکنید که برنامهنویسی شغلی سودآور است، بهشرطی که آموزش و مطالعه را متوقف نکنید.
اگر به مقالات منتشرشده در حوزه امنیت نگاهی داشته باشید، مشاهده میکنید بخش عمدهای از این مقالات پیرامون مباحث فنی و کار با ابزارها هستند، در حالی که برای موفقیت در دنیای امنیت مسائل مهم دیگری مثل حاکمیت، ریسک و انطباق وجود دارد. چگونه این سه اصل مهم را در قالب یک فرآیند عملی پیادهسازی کنیم؟ پاسخ در مفهومی بهنام چارچوب (Framework) خلاصه میشود که زیرساختی منسجم برای مدیریت مخاطره یا کنترلهای امنیتی در اختیارمان قرار میدهد. مزیت بزرگ چارچوب این است که آزادی عمل زیادی ارائه میدهد تا خطمشیها را هماهنگ با نیازهای کاری پیادهسازی کنید. بهطور کلی، چارچوبها به سه گروه مهم چارچوبهای مخاطره، چارچوبهای امنیت اطلاعات و چارچوبهای معماری سازمانی تقسیم میشوند. چارچوب مدیریت مخاطره اهمیت بیشتری نسبت به دو نمونه دیگر دارد، زیرا امکان پیادهسازی موفق هر برنامه امنیت اطلاعاتی را بهوجود میآورد و اجازه میدهد دو چارچوب دیگر را بر مبنای آن بدون مشکل پیادهسازی کنیم.
مروری بر چارچوبها
چارچوب یک ساختار اساسی در بطن معماریهای بزرگ امنیتی است که راهحلها بر مبنای آن پیادهسازی میشوند. بنابراین، چارچوبها در فناوری اطلاعات و امنیت سایبری با هدف ارائه ساختاری مورد استفاده قرار میگیرند تا بتوانیم بر مبنای آن مخاطرات را مدیریت کنیم، معماریهای سازمانی را توسعه دهیم و همه داراییهای خود را ایمن کنیم. چارچوبها نقشه راهی هستند که کارشناسان فناوری اطلاعات و امنیت سایبری یک سازمان بر آن اتفاق نظر دارند و با در نظر گرفتن مسائل مختلف تدوین میشوند. چارچوبها دارای مولفههای مختلفی هستند که از مهمترین آنها به موارد زیر باید اشاره کرد:
مخاطره (Risk)
در زیرمجموعه مخاطره چهار استاندارد مهم زیر وجود دارد:
NIST RMF: چارچوب مدیریت مخاطرهای است که توسط موسسه ملی استانداردها و فناوری ایجاد شده است و خود ماحصل همگرایی سه خطمشی ارائهشده توسط موسسه NIST Special Publications به نامهای 800-39، 800-37 و 800-30 است.
ISO/IEC 27005: چارچوبی است که روی رفع مخاطره متمرکز است و توسط سازمان International Organization for Standardization در زیرمجموعه استاندارد ISO/IEC 27000 انتشار پیدا کرده است.
OCTAVE: چارچوب ارزیابی تهدید، دارایی و آسیبپذیری در عملیات حیاتی است که دانشگاه کارنگی ملون آنرا توسعه داده و بر ارزیابی ریسک متمرکز است.
FAIR : چارچوب تحلیل مخاطره اطلاعات است که توسط موسسه FAIR منتشر شده و بر اندازهگیری دقیقتر احتمال بروز حوادث و تاثیرات آنها بر فعالیتهای تجاری تمرکز دارد.
برنامه امنیتی (Security Program)
سری ISO/IEC 27000: مجموعهای از استانداردهای بینالمللی در مورد نحوه توسعه و نگهداری سیستم مدیریت امنیت اطلاعات (ISMS) است که توسط دو سازمان ISO و IEC ایجاد شده است.
NIST Cybersecurity Framework: چارچوب امنیت سایبری NIST با هدف ایمنسازی سامانههای مورد استفاده در موسسات دولتی تدوین شده است. این چارچوب پرکاربرد و جامع بر روی تامین امنیت اطلاعاتی که مخاطره زیادی دارند، متمرکز است.
کنترلهای امنیتی (Security Controls)
NIST SP 800-53: فهرستی از کنترلها و فرآیندهای انتخابی است که برای محافظت از سیستمهای فوق حساس به آن استناد میشود.
کنترلهای CIS: سازمان غیرانتفاعی Center for Internet Security یکی از سادهترین رویکردها برای محافظت از داراییها و اطلاعات حساس سازمانی را ارائه کرده که قابل پیادهسازی در شرکتهای بزرگ و کوچک هستند.
COBIT 2019: یک چارچوب تجاری است که تمرکزش بر نحوه مدیریت و حاکمیت فناوری اطلاعات در شرکتها است.
Zachman Framework: مدلی برای توسعه معماریهای سازمانی است که توسط جان زاچمن (John Zachman) توسعه پیدا کرده است.
Open Group Architecture Framework: مدلی برای توسعه معماریهای سازمانی است.
SABSA: معماری امنیت کسبوکار کاربردی شروود سرنام Sherwood Applied Business Security Architecture مدل و روشی برای توسعه معماری امنیت اطلاعات سازمانی ریسکمحور و مدیریت خدمات است. ویژگی اصلی مدل SABSA این است که تمرکز زیادی روی تجزیهوتحلیل الزامات تجاری با هدف تامین امنیت آنها دارد.
چارچوبهای ریسک
چارچوب مدیریت مخاطره (RFM) سرنام Risk Management Framework را باید بهعنوان یک فرآیند ساختاریافته تعریف کرد که به سازمان اجازه میدهد مخاطره را شناسایی و ارزیابی کند و آنرا تا حد قابل قبول کاهش دهد و اطمینان حاصل کند مخاطره در سطح قابل قبول و کنترلشدهای وجود دارد. در اصل، RMF یک رویکرد ساختاریافته برای مدیریت مخاطره (ریسک) است.
همانگونه که مشاهده میکنید، طیف گستردهای از چارچوبهای مدیریتی در دسترس قرار دارند، آنچه برای شما بهعنوان یک متخصص امنیت اطلاعات باید مهم باشد این است که اطمینان حاصل کنید سازمان دارای یک RMF است که بدون مشکل کار میکند. برخی چارچوبها در مقایسه با نمونههای دیگر مورد پذیرش بیشتر سازمانها قرار دارند، زیرا کارکرد مثبت خود در طول سالهای گذشته را نشان دادهاند. از اینرو، هنگام انتخاب یک چارچوب باید تحقیق کاملی انجام دهید و گزینه هماهنگ با استراتژیهای تجاری سازمان را انتخاب یا در صورت لزوم ویرایش و پیادهسازی کنید. یکی از چارچوبهای موفق و مهم در این حوزه NIST RMF است که قصد داریم در ادامه با مفهوم و مولفههای آن آشنا شویم.
NIST RMF
چارچوب NIST برای کمک به سازمانهایی با ابعاد مختلف و عمدتا بزرگ تنظیم شده و روی حفظ حریم خصوصی هنگام تهیه یک محصول، خدمات یا اطلاعات متمرکز است. هدف اصلی این دستورالعمل، ارتقاء امنیت زیرساختهای حیاتی سازمانهای بزرگ در برابر حملههای داخلی و خارجی است. بهطور خاص،NIST پنج رویکرد اصلی را برای مدیریت ریسکهای موجود در امنیت دادهها و اطلاعات پیشنهاد میکند. این عملکردها عبارتند از: شناسایی، محافظت، تشخیص، پاسخگویی و بازیابی. توضیح اجمالی هر یک از عملکردها بهشرح زیر است:
شناسایی (Identify): به سازمانها در شناسایی مخاطرات امنیتی پیرامون داراییها، محیط کسبوکار و حاکمیت فناوری اطلاعات از طریق فرآیندهای جامع ارزیابی و مدیریت ریسک کمک میکند.
محافظت (Protect): کنترلهای امنیتی مورد نیاز برای حفاظت از سیستمهای اطلاعاتی و دادهها را تعریف میکند و شامل کنترل دسترسی، آموزش و آگاهسازی، امنیت دادهها، روشهای حفاظت از اطلاعات و نگهداری از فناوریهای محافظتی است.
تشخیص (Detect): دستورالعملهایی برای تشخیص ناهنجاریها در سیستمهای امنیتی، نظارتی و شبکهها برای تفکیک حوادث امنیتی از حوادث غیرامنیتی مثل خرابی تجهیزات ارائه میدهد.
پاسخ (Repones): شامل توصیهها و تکنیکهایی در جهت برنامهریزی با هدف پاسخگویی به رویدادهای امنیتی، کاهش ریسک و فرایندهای پاسخگویی به حوادث است.
بازیابی (Recovery): دستورالعملهایی را ارائه میدهد که سازمانها میتوانند از آنها برای بازگشت به شرایط پایدار در هنگام بروز حملههای سایبری استفاده کنند.
این چارچوب شامل عناصر کلیدی مدیریت ریسک است که باید بهعنوان یک متخصص امنیتی در مورد آنها اطلاع داشته باشید. ذکر این نکته ضروری است که چارچوب فوق برای سازمانهای بزرگ طراحی شده و ممکن است برای پیادهسازی در سازمان مجبور به اعمال تغییراتی در ساختار کلی آن باشید. NIST RMF بر مبنای یک فرآیند هفت مرحلهای کار میکند
به این نکته مهم دقت کنید که چرخه نشاندادهشده در شکل ۱ بیپایان است، زیرا سیستمهای اطلاعاتی دائما در حال تغییر هستند. هر تغییری باید تجزیهوتحلیل شود تا مشخص شود که آیا نیازی به اعمال تغییر در مراحل دیگر ضروری است یا خیر. توضیح هر یک از مراحل نشاندادهشده در شکل 1 بهشرح زیر است:
شکل 1
آمادهسازی (Prepare)
اولین قدم حصول اطمینان از این مسئله است که فعالیتهای مدیران ارشد (در هر دو سطح استراتژیک و عملیاتی) در یک سازمان هماهنگ باشد. این موضوع شامل توافق بر سر نقشها، اولویتها، محدودیتها و تحمل مخاطره است. یکی دیگر از فعالیتهای کلیدی در مرحله آمادهسازی، انجام ارزیابی مخاطره سازمانی است که دید روشنی در اختیار تیم امنیتی قرار میدهد تا بتوانند مخاطرات را بهخوبی درک کنند. یکی از نتایج این ارزیابی، شناسایی داراییهای باارزش است که باید به بهترین شکل از آنها محافظت شود.
طبقهبندی (Categorize)
گام بعدی این است که سیستمهای اطلاعاتی را بر مبنای حساس بودن و میزبانی اطلاعات حساسی که قرار است توسط تجهیزات کلاینت مورد دستیابی قرار گرفته، پردازش شوند یا انتقال پیدا کنند، طبقهبندی کنیم. هدف این است که برای سیستمهای خود طبقهبندیهایی بر مبنای میزان حساسیت و مهم بودن آنها ایجاد کنیم تا بتوانیم از ابزارهای امنیتی مناسبی برای محافظت از آنها استفاده کنیم. امروزه بیشتر سازمانهای اروپایی و آمریکایی ملزم به پیادهسازی چارچوب NIST SP 800-60 هستند. NIST SP 800-60 با تمرکز بر میزان حساسیت و اهمیت داراییهای سازمانی (محرمانگی، یکپارچگی و دسترسپذیری) سعی میکند میزان خطرپذیری سامانهها را تعیین کند. بهطور مثال، فرض کنید یک سیستم مدیریت ارتباط با مشتری (CRM) دارید. اگر محرمانگی آن در معرض خطر قرار گیرد، آسیب قابل توجهی به شرکت وارد میشود، بهخصوص اگر اطلاعات به دست رقبا بیفتد، اما در مقابل نقض یکپارچگی و دسترسپذیری سیستم احتمالا برای کسبوکار پیامدهای بحرانی و جدی نخواهد داشت و از اینرو، به دارایی با مخاطره کم طبقهبندی میشود. بر مبنای این تعریف، طبقهبندی امنیتی برای یک سیستم مدیریت ارتباط با مشتری از طریق فرمول زیر محاسبه میشود:
SCCRM= {(محرمانگی، بالا)، (یکپارچگی، کم)، (دسترسپذیری، کم)} SP 800-60 از سه سطح طبقهبندی امنیتی کم، متوسط و زیاد استفاده میکند. برچسب کم اشاره به سیستمهای اطلاعاتی دارد که اطلاعات مهمی روی آنها قرار ندارد و در نتیجه نقض اصول سهگانه محرمانگی، یکپارچگی و دسترسپذیری کسبوکار را با چالش جدی روبهرو نمیکند. برچسب متوسط اشاره به سیستمهایی دارد که نقض حداقل یکی از اصول سهگانه باعث ایجاد اختلال در عملکرد فعالیتهای تجاری میشود. برچسب بالا، به سیستمهایی اشاره دارد که نقض هر یک از این اصول باعث متوقف شدن عملیات تجاری میشود. در مثال ما، نقض اصل محرمانگی اهمیت زیادی دارد، زیرا به اعتبار برند خدشه وارد میکند.
انتخاب (Select)
هنگامی که سیستمها را دستهبندی کردید، نوبت به انتخاب و احتمالا تنظیم کنترلهایی میرسد که برای محافظت از داراییها از آنها استفاده میکنید. NIST RMF سه نوع کنترل امنیتی مشترک، خاص و ترکیبی را تعریف میکند.
کنترل مشترک، کنترلی است که برای چند سیستم تعریف و اعمال میشود. بهطور مثال، در سناریو CRM اگر یک فایروال برنامه کاربردی وبمحور (WAF) را برای CRM پیادهسازی کنیم از مکانیزم کنترل امنیتی مشترک استفاده کردهایم، زیرا امکان استفاده از دیوارآتش در ارتباط با دیگر مولفههای نرمافزاری و سرویسهای سازمان وجود دارد. WAF فراتر از نظارت بر یک سیستم CRM کار میکند و قادر به محافظت از CRM دیگر سامانههای تحت شبکه است.
کنترلهای خاص در محدوده سیستمها پیادهسازی میشوند و بدیهی است که تنها از یک سیستم خاص محافظت میکنند. بهطور مثال، صفحه ورود به سیستم CRM را تصور کنید که از پروتکل امنیت لایه انتقال (TLS) برای رمزگذاری اطلاعات محرمانه کاربر استفاده میکند. اگر زیرسیستم احراز هویت بخش جداییناپذیر CRM باشد، آنگاه مورد مذکور نمونهای از یک کنترل خاص است.
در نگاه اول بهنظر میرسد در چارچوب NIST همهچیز به رنگ سیاه یا سفید هستند، اما دنیای امنیت پیچیدهتر از آن است و اغلب اوقات، کنترلها در حد فاصل کنترلهای مشترک و خاص قرار میگیرند. یک کنترل ترکیبی تا حدی اشتراکی و تا حدی مختص یک سیستم است. در مثال CRM، یک کنترل ترکیبی میتواند آموزش و آگاهیرسانی امنیتی باشد.
پیادهسازی (Implement)
در این مرحله دو وظیفه کلیدی وجود دارد که باید انجام شود؛ پیادهسازی و مستندسازی. قسمت اول خیلی سرراست است. بهطور مثال، اگر در مرحله قبل تشخیص دادید که باید یک قانون به WAF اضافه کنید تا حملاتی مانند تزریق زبان پرسوجو ساختاریافته (SQL) را فیلتر کنید، آن قانون را اجرا میکنید. کار ساده است. بخشی که بیشتر ما با آن مشکل داریم، مستندسازی تغییراتی است که اعمال میکنیم.
مستندسازی به دو دلیل اهمیت دارد. اول آنکه اجازه میدهد تا متوجه شویم چه کنترلهایی وجود دارند، در چه مکانی قرار دارند و چرا تعریف و پیادهسازی شدهاند. آیا تا بهحال مسئولیت سیستمی به شما محول شده که پیکربندی آن در وضعیت بحرانی قرار داشته باشد؟ شما سعی میکنید بفهمید چه پارامترها یا قوانین خاصی وجود دارند، اما در تغییر آنها تردید دارید، زیرا ممکن است عملکرد سیستم مختل شود. این مشکل به دلیل نبود یا تنظیم اشتباه اسناد بهوجود میآید که در نهایت باعث میشود هکرها از آسیبپذیریهای مستتر یا پیکربندیهای اشتباه بهرهبرداری کرده و یک حمله سایبری را با موفقیت پیادهسازی کنند. دلیل دوم اهمیت مستندسازی این است که امکان میدهد کنترلها را بهطور کامل در برنامه ارزیابی و نظارت کلی ادغام کنیم و اطلاع دقیقی در ارتباط با کنترلهایی داشته باشیم که در طول زمان منسوخ و بیاثر شدهاند.
ارزیابی (Assess)
کنترلهای امنیتی که قصد پیادهسازی آنها را داریم، تنها در صورتی مانع بروز حملههای سایبری میشوند که توانایی ارزیابی آنها را داشته باشیم. ارزیابی کنترلها، نقش مهمی در مدیریت درست مخاطرات دارد. برای سازمانها ضروری است که یک برنامه جامع داشته باشند که تمام کنترلهای امنیتی (مشترک، ترکیبی و خاص سیستم) را با توجه به خطراتی که قرار است به آنها رسیدگی کنند، ارزیابی کند. این طرح باید توسط مقام یا مقامات مربوطه بررسی و تایید شود تا قابلیت اجرایی پیدا کند.
ارزیابی باید نشان دهد که چارچوب تدوینشده توانایی مقابله با مخاطرات را دارد و قادر است از داراییهای سازمانی به بهترین شکل محافظت کند. از اینرو، تیم توسعهدهنده چارچوب نباید آنرا ارزیابی کنند و این مسئولیت باید به کارشناس امنیتی امین سازمان سپرده شود تا اثربخشی کنترلها را ارزیابی کند و اطمینان دهد ابزارهای درستی انتخاب شدهاند و اسناد بهدرستی تدوین شدهاند. به همین دلیل، ارزیابی تمامی فرآیندها، ابزارها و خطمشیهایی که قرار است پیادهسازی شوند اهمیت زیادی دارد.
ارزیابی باید تعیین کند آیا پیادهسازی کنترلها موثر هستند یا خیر. از اینرو، نتایج در گزارشها باید مستندسازی شوند تا بهعنوان مرجعی برای ارزیابیهای بعدی قابل استفاده باشند. اگر کنترلها موثر نیستند باید اقدامات اصلاحی برای رفع کاستیها انجام شود و نتیجه ارزیابی دومرتبه مستندسازی شود. در نهایت، طرحهای امنیتی بهروزرسانی میشوند تا یافتهها و توصیههای ارزیابی در آنها اعمال شود. ارزیابی کنترلهای امنیتی «ممیزی» نامیده میشود.
مجوزدهی (Authorize)
همانگونه که میدانید، هیچ سیستمی در جهان بدون مخاطره نیست. یکی از بزرگترین مشکلاتی که کارشناسان امنیتی در یک سازمان با آن روبهرو هستند، دریافت مجوزهای مختلف از مدیران ارشد است تا بتوانند خطمشیهای امنیتی در معماری شبکه سازمانی را پیادهسازی کنند.
در این مرحله، نتایج ارزیابی ریسک و کنترلها باید به فرد تصمیمگیرنده تحویل داده شود تا تاییدیه اتصال کنترلهای امنیتی به سیستمهای اطلاعاتی را صادر کند. این شخص (یا گروه) از نظر قانونی مسئول و پاسخگو هستند که پس از پیادهسازی کنترلها، سیستمها بدون مشکل به کار ادامه میدهند. از اینرو، باید اطلاعات معتبر و قابل استنادی در اختیار آنها قرار گیرد، زیرا مسئولیت هرگونه اختلال در عملکرد شبکه بر عهده این افراد و نه مسئول پیادهسازی مکانیزمهای امنیتی خواهد بود.
به همین دلیل، افرادی که چارچوب امنیتی را آماده میکنند باید برای مدیرعامل این مسئله را به روشنی شرح دهند که چه مخاطراتی برای سازمان چالشآفرین هستند و در صورت عدم توجه به مخاطرات، سازمان با چه زیانهایی روبهرو میشود. گاهیاوقات پس از تدوین چارچوب امنیتی مجبور به بازنگری در برنامه عملیاتی میشوید تا بتوانید در صورت بروز یک حمله سایبری بهسرعت واکنش نشان دهید و هکرها موفق نشوند بهراحتی از نقاط ضعف و کاستیهای مستتر در سیستمهای اطلاعاتی بهرهبرداری کنند. در بیشتر سازمانها مجوزهای پیادهسازی چارچوبهای امنیتی برای یک دوره زمانی مشخص و در قالب برنامه اقدام و نقطه عطف (POAM یا POA&M) صادر میشوند.
نظارت (Monitor)
ما باید بهصورت دورهای تمام کنترلها را بررسی کنیم و مشخص کنیم که آیا هنوز موثر هستند یا خیر. آیا تغییراتی در الگوی تهدیدات تاکتیکی و تکنیکی بهوجود آمده است، آیا آسیبپذیریهای جدیدی کشف شدهاند، آیا یک تغییر غیرمستند یا تاییدنشده در پیکربندی باعث شده تا اثربخشی کنترلهای امنیتی کمتر شده و سطح مخاطرات پیرامون داراییهای سازمانی به درجه بحرانی نزدیک شده باشند؟ اینها تنها برخی از مسائلی هستند که ما از طریق نظارت مستمر و بهبود مستمر قادر به پاسخگویی به آنها هستیم.
کلام آخر
چارچوب NIST RMF یکی از مهمترین چارچوبهای مدیریت ریسک امنیت اطلاعات است که بهطور گسترده مورد استفاده قرار میگیرد. این چارچوب دستورالعملهایی برای مدیریت ریسک امنیت اطلاعات در یک سازمان را تعریف میکند، اما رویکرد خاصی را برای اجرای آن دیکته نمیکند. به عبارت دیگر، چارچوب به ما میگوید که چه کارهایی را باید انجام دهیم، نه اینکه چگونه آنها را انجام دهیم.
شرکت پیشران صنعت ویرا با اساس نامه اتوماسیون صنعتی و کنترل ابزار دقیق و ساخت تابلوهای برق فشار قوی و ضعیف از سال 92 تاسیس گشت و ازهمان ابتدا در حوزه کاربرد ابزار دقیق در bms و سپس تولید و ساخت آنها قدم نهاد و در ادامه مسیر توانست با اتکا به تجربیات چندین ساله و استخدام نیروهای متخصص برق عملا جزو شرکتهایی باشد که محصولات قابل اتکایی با عناوین مانیتورینگ شرایط محیطی اتاق سرور -کنترلرهای دمای دیتا سنتر -دیتالاگرهای سردخانه و انبار -هشدار دهنده های دمای یخچال و فریزر و شمارشگرهای نمایشگاهی و فروشگاهی و تابلوهای برق متنوع با کاربردهای مختلف روانه بازار نماید در حال حاضر سیستمهای کنترل دما و رطوبت اتاق سرور این شرکت تنها سیستم مبتنی بر سخت افزار صنعتی plc-hmi در ایران است.