6.3.3 بنية الشبكة ومراقبتها
| الرقم: 43028139 | التاريخ (م): 2021/11/4 | التاريخ (هـ): 1443/3/29 | الحالة: نافذ |
Effective from 2021-11-04 - Nov 03 2021
To view other versions open the versions tab on the right
المبدأ
يجب تصميم ضوابط إدارة أحداث تقنية المعلومات وبنية الشبكة وتنفيذها لمراقبة عمليات تقنية المعلومات بشكل مستمر من أجل حماية شبكة المؤسسات الأعضاء من الوصول غير المصرح به.
متطلبات الرقابة
| 1. | يجب على المؤسسات الأعضاء تحديد سياسة هيكلية الشبكة والموافقة عليها وتنفيذها مع مراعاة ما يلي: | |
| أ. | موقف المؤسسة فيما يتعلق بالاستخدام المقبول للشبكة؛ | |
| ب. | قواعد صريحة للاستخدام الآمن لموارد وخدمات وتطبيقات محددة للشبكة؛ | |
| ج. | عواقب عدم الامتثال للقواعد الأمنية؛ | |
| د. | موقف المؤسسة من إساءة استخدام الشبكة؛ و | |
| هـ. | الأساس (الأسس) المنطقية للسياسة ولأي قواعد أمنية محددة. | |
| 2. | يجب على المؤسسات الأعضاء التأكد من تنفيذ ضوابط هيكلية الشبكة التالية، والتي تشمل على سبيل المثال لا الحصر: | |
| أ. | رسم تخطيطي للشبكة يوضح البنية التحتية الحالية الكاملة؛ | |
| ب. | تجزئة الشبكة إلى نطاقات شبكية متعددة منفصلة بناءً على مستويات الثقة المطلوبة (8.6 النطاق العام، ونطاق سطح المكتب، ونطاق الخادم) وبما يتماشى مع المبادئ التصميمية ذات الصلة؛ | |
| ج. | يجب أن يكون محيط كل نطاق من نطاقات الشبكة محميًا بشكل جيد بواسطة بوابة أمان (مثل جدار الحماية، موجه التصفية). وبالنسبة لكل بوابة أمنية، يجب وضع وتنفيذ قواعد منفصلة للوصول إلى الخدمة (الأمان) لضمان عدم السماح بمرور سوي حركة المرور المصرح بها؛ | |
| د. | كافة حركات المرور الداخلية (مستخدمو المكتب الرئيسي، ومستخدمو الفرع، ومستخدمو الطرف الخارجي، إلخ) المارة إلى الشبكة الفرعية المراقبة أو الخوادم الداخلية يجب أن تمر عبر بوابتين أمنيتين (جدار الحماية)؛ | |
| هـ. | يتم توجيه جميع عمليات الوصول إلى الإنترنت الصادرة من الشبكات الداخلية عبر خادم وكيل بحيث لا يُسمح بالوصول إلا للمستخدمين المعتمدين المصادق عليهم؛ | |
| و. | يجب عزل شبكة الزائرين (الشبكة السلكية/اللاسلكية) وفصلها عن الشبكة الداخلية؛ | |
| ز. | يجب أن يقوم جدار الحماية المحيط بالشبكة الفرعية المراقبة بإطلاق تنبيه وحظر المسح النشط ؛ | |
| ح. | يجب تنفيذ جدار حماية تطبيقات الويب (WAF) ضد التطبيقات التي تواجه العملاء؛ | |
| ط. | ضمان عدم وجود نقطة فشل مفردة تؤثر على توافر الخدمة الحرجة؛ | |
| ي. | يجب نشر خادم مصادقة مركزي (AAA أو TACACS أو RADIUS، إلخ) لإدارة المصادقة والترخيص لأجهزة الشبكة؛ | |
| ك. | يجب نشر خادم السجل المركزي (على سبيل المثال، خادم سجل النظام) لجمع السجلات وتخزينها من جميع أجهزة الشبكة؛ | |
| ل. | يجب أن تبلغ فترة الاحتفاظ بالسجلات 12 شهرًا كحد أدنى؛ | |
| م. | يجب على جميع أجهزة الشبكة مزامنة توقيتات الساعة الخاصة بها من خادم بروتوكول وقت الشبكة مركزي؛ | |
| ن. | يجب أن تكون جميع اتصالات الشبكة عبر الشبكة الخارجية (WLAN) والإنترنت من خلال قناة مشفرة؛ | |
| س. | يجب أن يقتصر الوصول عن بعد على مجموعة معينة من عناوين بروتوكول الإنترنت؛ | |
| ص. | يجب أن تكون الإدارة عن بعد عبر قناة مشفرة (مثل SSL VPN وSSH)؛ | |
| ش. | يجب أن يكون الوصول إلى الإدارة عن بعد للموردين محددًا بفترة زمنية ويتم منحه على أساس الحاجة إلى جانب أخذ الموافقة؛ | |
| ض. | فحص أجهزة المؤسسة العضو قبل الدخول إلى الشبكة لضمان تطبيق السياسات الأمنية على الأجهزة قبل دخولها إلى شبكة المؤسسة؛ و | |
| ظ. | الفصل بين الواجبات داخل مكون البنية التحتية (مدعومًا بمصفوفة موثقة لملف التفويض). | |
| 3. | يجب على المؤسسات الأعضاء التأكد من مراقبة الشبكة مع الأخذ في الاعتبار ما يلي، على سبيل المثال لا الحصر: | |
| أ. | المسارات الإدارية بما في ذلك مسارات تسجيل الدخول والنشاط (مثل تغيير التكوين، وتغيير القاعدة، وما إلى ذلك)؛ | |
| ب. | استخدام الموارد (المعالج والذاكرة)؛ و | |
| ج. | ربط الشبكة بجميع الفروع وأجهزة الصراف الآلي. | |