این چکلیست جامع برای امنیت، پایداری و بازیابی (Security-Resilience-Recovery) چهار سرویس حیاتی سازمانی (Active Directory, Mail Server, ERP Systems و File Servers) تدوین شده است. این چکلیست به شما کمک میکند تا در شرایط بحرانی، جنگی یا اختلالات زیرساختی، آمادگی لازم را داشته باشید و میتواند بهعنوان یک مرجع استاندارد برای CIOها، مدیران IT و تیمهای عملیاتی مورد استفاده قرار گیرد.
راهنمای مطالعه
Active Directory (AD)
| حوزه | اقدامات کلیدی |
|---|---|
| امنیت | احراز هویت چندعاملی (MFA) را برای حسابهای با امتیاز بالا فعال کنید.<br>- Group Policy Objects (GPO) را برای محدود کردن دسترسی PowerShell و ورود از راه دور پیادهسازی کنید.<br>- حسابهای کاربری بلااستفاده را حذف یا غیرفعال کنید.<br>- ممیزی (Auditing) را برای رویدادهای ورود به سیستم و تغییرات گروه فعال کنید. |
| پایداری | - حداقل دو Domain Controller (DC) در مکانهای جداگانه مستقر کنید.<br>- AD Recycle Bin را فعال کنید.<br>- وضعیت Replication AD را با ابزارهایی مانند repadmin یا dcdiag نظارت کنید. |
| بازیابی | - به صورت دورهای از AD با Volume Shadow Copy یا ابزارهای شخص ثالث بکاپ بگیرید.<br>- قبل از اعمال تغییرات مهم، از DCها Snapshot تهیه و مستندسازی کنید.<br>- بازیابی بکاپ را روی یک DC ثانویه به صورت عملی تست کنید. |
Mail Server (Exchange / Postfix / Zimbra و غیره)
| حوزه | اقدامات کلیدی |
|---|---|
| امنیت | رکوردهای SPF, DKIM, DMARC را پیادهسازی کنید.<br>- از فیلترهای ضد اسپم و آنتیویروس (مانند Amavis, ClamAV) استفاده کنید.<br>- دسترسی به Webmail را بر اساس موقعیت جغرافیایی یا زمان محدود کنید.<br>- MFA و سیاست قفل شدن حساب (Lockout Policy) را برای OWA یا پنل مدیریت فعال کنید. |
| پایداری | تنظیمات High Availability (HA) را (مانند Database Availability Group (DAG) در Exchange یا Clustering در Postfix) پیکربندی کنید.<br>- صفهای ایمیل را به طور مداوم نظارت کنید.<br>- رکوردهای MX تکراری (Redundant MX Record) را در DNS نگهداری کنید. |
| بازیابی | - از پایگاههای داده ایمیل به صورت فیزیکی و ابری بکاپ بگیرید.<br>- از صندوقهای پستی کاربران VIP و حیاتی، به صورت هفتگی Export تهیه کنید.<br>- سناریوی Failover MX و لیست مخاطبین اضطراری برای دسترسی به ایمیل را مستند کنید. |
ERP Systems (مانند راهکاران، همکاران سیستم، SAP، Oracle EBS)
| حوزه | اقدامات کلیدی |
|---|---|
| امنیت | لایههای UI، Middleware و DB را در سطح شبکه از هم جدا کنید.<br>- کنترل دسترسی مبتنی بر نقش (RBAC) دقیق را برای ماژولها و کاربران پیادهسازی کنید.<br>- ارتباطات API و UI را با TLS رمزگذاری کنید.<br>- ممیزی و ثبت دسترسیها را در لاگهای سیستمی فعال کنید. |
| پایداری | ERP را با HA روی ماشینهای مجازی (VM) یا Containerها با ذخیرهسازی اشتراکی پیادهسازی کنید.<br>- از Load Balancer برای لایههای UI و API استفاده کنید.<br>- یک سایت بازیابی بلایا (DR Site) برای پایگاه داده ERP در یک شهر یا دیتاسنتر دوم داشته باشید. |
| بازیابی | بکاپ ترکیبی از پایگاه داده، پیوستها و لاگها را با اسکریپتهای خودکار تهیه کنید.<br>- بازیابی بکاپ را به صورت ماهانه در یک محیط آزمایشی (Staging) تست کنید.<br>- شمای کامل (Schema) و وابستگیها را برای بازیابی دستی در شرایط تخریب مستند کنید. |
File Servers (Windows / Linux / NAS)
| حوزه | اقدامات کلیدی |
|---|---|
| امنیت | از Access Control List (ACL) دقیق (مانند NTFS permissions) استفاده کنید.<br>- دسترسی به فایلها را با File Access Auditing یا auditd ممیزی کنید.<br>- Shareهای حساس را با VLAN و دسترسی تنها از طریق VPN جدا کنید.<br>- آنتیویروس را با اسکن بلادرنگ در سطح Shareها فعال کنید. |
| پایداری | از RAID با Redundancy مناسب (مانند RAID 10/6) استفاده کنید.<br>- برای بازیابی سریع، به صورت روزانه Snapshot تهیه کنید.<br>- فضای دیسک، دما و هشدارهای SMART را نظارت کنید. |
| بازیابی | بکاپ Cold و Warm را پیادهسازی کنید: بکاپ محلی و خارج از سایت.<br>- محل و برچسب فایلهای بحرانی را مستند کنید.<br>- برای اطمینان از صحت بکاپها، آزمون بازیابی فصلی را انجام دهید. |
توصیههای تکمیلی
- تمام سرویسها باید در یک Disaster Recovery Plan (DRP) سازمانی ثبت شده باشند.
- برای هر سرویس، یک مسئول مشخص (Service Owner) تعیین کنید.
- برنامه تست دورهای بازیابی سرویسها را طراحی و اجرا کنید (به عنوان مثال، هر سه ماه یک بار).
- چکلیستها را به صورت نسخه چاپی رمزنگاریشده در یک مکان فیزیکی امن نیز نگهداری کنید.
- یک داشبورد مرکزی NOC/SOC برای نمایش وضعیت این سرویسها در یک نگاه کلی، داشته باشید.
اگر تمایل دارید نسخه PDF یا Word این چکلیست برای مستندسازی رسمی آماده شود یا داشبوردی برای پایش لحظهای آن طراحی شود، خوشحال میشویم در این زمینه نیز کمک کنیم.