با شرکت زیرساخت امن خدمات تراکنشی آشنا شوید

بانک ملت یکی از بانک‌های بزرگ و محبوب بین مشتریان است که در پشت‌صحنه آن نام چند شرکت معتبر و قوی به چشم می‌خورد، شرکت زیرساخت امن خدمات تراکنشی یکی از آن شرکت‌هاست که ۷ سال پیش فعالیتش را به‌عنوان بخش تخصصی زیرساخت‌های شبکه و مراکز داده بانک ملت آغاز نموده است.

به گزارش پایگاه خبری بانکداری الکترونیک، قطعاً برای همه ما پیش‌آمده که یک فیلم خوب دیده باشیم و از تماشای آن لذت برده باشیم، اما شاید کمتر پیش بیاید پشت‌صحنه آن فیلم خوب را هم تماشا کنیم، پشت‌صحنه‌ای که نشان‌دهنده زحمت و تلاش و سختی یک تیم بزرگ برای به نمایش درآمدن یک فیلم ۸۰ دقیقه‌ای است.

این مثال را می‌توان در هرجایی مشاهده کرد، اگر سازمانی موفق و محبوب است قطعاً پشت‌صحنه قدرتمندی دارد.

این شرکت در حال حاضر با حدود ۱۵۰ پرسنل متخصص در حوزه زیرساخت، شبکه و امنیت فعالیت می‌کند و با توجه به اینکه یک‌سوم تراکنش‌‌های کل کشور مربوط به بانک ملت است و داده‌های فراوانی در این بانک بزرگ ذخیره‌شده است، یکی از بزرگ‌ترین مراکز داده تحت کنترل و پشتیبانی این شرکت خدمات زیرساختی است.

برای آشنایی بیشتر با این شرکت و فعالیت‌های آن با محمدرضا نوروزی، مدیرعامل شرکت زیرساخت امن خدمات تراکنشی گفتگویی داشتیم که در ادامه می‌خوانید.

نوروزی که سابقه مدیریت در بخش‌های مختلف شرکت مخابرات ایران و شرکت ارتباطات زیرساخت را دارد و در تشکیل هسته دیتای مخابرات ایران نقش داشته است، مدیری فنی و آگاه به حوزه دیتا است که در مورد فعالیت‌های شرکت توضیحاتی را به ما ارائه کرد.


در مورد پیشینه شرکت و فعالیت‌های آن توضیح دهید.

نوروزی: این شرکت که برآمده از بخش آی‌تی بانک ملت است، کر بیزینس اصلی آن شامل فعالیت‌هایی در حوزه شبکه و دیتاسنتر است اما با بلوغ و رشد شرکت بخش امنیت شبکه نیز به آن اضافه‌شده است.

در حوزه مراکز داده نیز شرکت زیرساخت امن خدمات تراکنشی از مشاوره و طراحی و ایجاد مرکز داده تا راهبری و پشتیبانی فنی این حوزه فعال است و هم‌اکنون مشغول ارائه این سرویس به بانک ملت می‌باشد.

در حوزه‌های جدیدی مانند خدمات مشاوره، استقرار و راهبری مرکز عملیات امنیت (SOC) نیز ورود کردیم و ارائه سرویس Mssp که به‌طور تخصصی امنیت مراکز داده، شبکه، ارتباطات و داده‌های باارزش بانک را حراست می‌کند را نیز آغاز نموده‌ایم.


در طول فعالیت شرکت به کدام نهادها و سازمان‌ها ارائه خدمت کردید؟

نوروزی: ما علاوه بر این‌که همواره به‌عنوان بخش تخصصی زیرساخت‌های شبکه و مراکز داده با بانک ملت همکاری داشتیم، با سازمان‌های دیگری ازجمله سازمان فناوری اطلاعات ایران و مرکز آمار ایران همکاری کردیم و به بانک‌های دیگر نیز به‌صورت غیرمستقیم از طریق شرکت‌های همکار خود خدمت ارائه کردیم.

یکی از برنامه‌های جدی ما نیز همکاری با سایر بانک‌ها و ارائه خدمت به این بانک‌ها به پشتوانه دانش و تجربه ۱۲ ساله است.


چه بخشی از محصولات شرکت دانش داخلی است؟

نوروزی: در حوزه فعالیت ما چند بخش وجود دارد، یکی بخش سخت‌افزار که عمدتاً تکنولوژی آن از خارج وارد کشور شده است اما بخش مهم چگونگی استفاده از این تکنولوژی است که این بخش کاملاً دانش بومی متخصصان داخلی شرکت است.

علاوه بر این‌که ما امسال اقدام کردیم که سرویس MSSP را به‌عنوان محصول دانش‌بنیان به ثبت برسانیم.


چالش‌های صنعت شما چیست؟

نوروزی: طبیعتاً‌ مراکز داده فضاهای حساسی هستند که تمام داده‌های یک سازمان بزرگ داخل آن نگه‌داری می‌شود

قطع برق، اشکال در سیستم‌های سرمایشی و سایر مشکلات باید از قبل پیش‌بینی و برای تمام چالش‌ها برنامه‌ریزی شود.

تغییرات نرخ ارز و تحریم‌ها و حتی تحریم دانش فنی از دیگر چالش‌های صنعت ماست که باعث شده ما از دانش بومی بهره بگیریم.

از طرف دیگر با توجه به اینکه ما از زیرساخت‌های کشور استفاده می‌کنیم، هرگونه نابسامانی در شبکه و امنیت ارتباطات شرکت ارتباطات زیرساخت، مخابرات ایران و سایر اپراتورهای ارائه‌دهنده سرویس می‌تواند به شبکه، ارتباطات و داده‌های بانک آسیب برساند.


آیا استاندارد و یکپارچگی مراکز داده در ایران مطلوب است؟

نوروزی: تمام مراکز داده بنا بر این‌که با چه هدفی ایجادشده‌اند استانداردهای خاص خود را می‌طلبند. در سطح حرفه‌ای مراکز داده دارای استاندارد هستند اما نکته این است که این استانداردها به علت امنیت کشور ممیزی نشدند و طبیعی است که نمی‌توانند گواهینامه نداشته باشند.

در کل می‌توان گفت که مرکز داده با استاندارد مطلوب در ایران بسیار کم است اما خبر خوب این است که این شرکت مراکز داده با استانداردهای مطلوب بین‌المللی (T3) ایجاد کرده و از آن بهره می‌گیرد.

اعتماد مشتریان به سیستم بانکی به امنیت آن بانک وابسته است

محمدحسن صادق پور، عضو هیئت‌مدیره و راهبر ارتباطات شبکه شرکت زیرساخت امن خدمات تراکنشی نیز در ادامه مصاحبه به ما پیوست و ضمن ارائه پیشینه‌ای از شکل‌گیری شبکه در بانک ملت به اهمیت بحث امنیت در شبکه بانکی اشاره کرد.

او گفت: زمانی که بحث پیاده‌سازی کربنکینگ (Core Banking) در بانک ملت مطرح گردید، بخش شبکه بانک شکل گرفت و با توجه به پتانسیل‌های موجود در بخش ارتباطات دیتای کشور، که در آن زمان عمدتاً در اختیار شرکت‌های مخابرات ایران و شرکت مخابرات تهران بود شروع به راه‌اندازی شبکه دیتای بانک نمود. ما ارتباطات با تکنولوژی‌های مختلفی را که از سوی اپراتورها ارائه می‌گردید جهت طراحی و ایجاد شبکه یکپارچه بانک ملت به‌کار گرفتیم و به‌این‌ترتیب شبکه بانک ملت آن زمان شکل و قالب کلی خود را پیدا کرد.

با توجه به جدی شدن مقوله Core Banking در بانک ملت به‌عنوان بانک پیشرو در امور بانکداری الکترونیک و به‌تبع آن ورود سایر بانک‌ها به این مقوله و مطرح‌شدن نیاز این سیستم به ارتباطات پایدار و مطمئن، شرکت مخابرات نیز در راستای مأموریت خود اقدام به بروز رسانی و توسعه تکنولوژی‌های ارتباطی خود جهت پاسخگویی به درخواست‌های مشتریان نمود و در ادامه مسیر، برخی از شرکت‌های خصوصی و سایر اپراتورها نیز به این جمع اضافه شدند.

دغدغه اولیه بخش شبکه بانک تأمین حداقل‌های لازم جهت پاسخ‌گویی به بخش تجاری بانک به‌منظور استقرار بانکداری متمرکز بود و با توجه به اینکه شبکه پیاده‌سازی شده به‌صورت یک شبکه داخل سازمانی (اینترانت) بود دغدغه تأمین امنیت این ارتباطات آن‌چنان نمود پیدا نمی‌کرد.

اما امروز در بخش ارتباطات شبکه به بلوغ رسیده‌ایم و شاهد آن میزان پایداری و در دسترس بودن شبکه بانک ملت به میزان ۹۹/۹۹ در بخش هسته مرکزی هستیم و آنچه در این زمان از اهمیت بالایی برخوردار است مقوله تأمین امنیت این شبکه در کنار حفظ و ارتقاء سایر پارامترهای حیاتی آن می‌باشد. مقوله امنیت هم‌اکنون یکی از مهم‌ترین بخش‌ها در مجموعه فعالیت‌های این شرکت است زیرا معتقدیم اعتماد مشتریان به سیستم بانکی به امنیت و پایداری آن بانک وابسته است.


شرکت زیرساخت نخستین شرکت دارای مجوز پیاده‌سازی مراکز SOC

در ادامه با رسول قربانی، معاونت امنیت اطلاعات شرکت زیرساخت در خصوص دریافت مجوز افتا درزمینه پیاده‌سازی مرکز عملیات امنیت نیز گفتگویی داشتیم، گواهینامه‌ای که برای نخستین بار است که توسط یک شرکت ایرانی اخذ می‌شود.


در ابتدا از او یک تعریف کلی از SOC خواستیم.

قربانی: SOC مخفف عبارت Security Operation Center به معنای مرکز عملیات امنیت می‌باشد.

مرکز عملیات امنیت واحدی است متمرکز برای مانیتورینگ امنیتی اطلاعات و سرویس‌ها، تشخیص و اولویت‌دهی حوادث امنیتی، واکنش سریع در برابر حوادث و رسیدگی به حوادث امنیتی و درنهایت ارتقاء و بهبود امنیت یک سازمان برای حفاظت از دارایی‌های خود را به همراه دارد.

این مرکز از طریق یک کنسول مرکزی وضعیت آنچه را که در حال حاضر در شبکه و برنامه‌های کاربردی در حال رخ دادن است را نشان می‌دهد و تمامی زوایای امنیتی را بلادرنگ از یک نقطه مرکزی مدیریت مانیتور می‌کند و راهکارهای مناسبی را متناسب با هر رویداد، اجرا یا پیشنهاد می‌کند.

بخش SOC شرکت زیرساخت امن خدمات تراکنشی با توجه به نیازهایی که در بانک ملت و شرکت‌های تابعه مطرح بود تشکیل و با تکمیل تجهیزات و نرم‌افزارها و جمع‌آوری گروهی از نخبگان تکمیل گردید. پس از حدود ۲ سال از راه‌اندازی مرکز SOC بنا به درخواست شرکت و با ارزیابی و ممیزی تیم افتای ریاست جمهوری و سازمان فناوری اطلاعات ایران مجوز پیاده‌سازی مراکز عملیات امنیت به ما اعطا شد.

دریافت این گواهینامه ازاین‌جهت اهمیت دارد که ما نخستین شرکتی هستیم که مجوز پیاده‌سازی مراکز SOC را دارد؛ و به لطف خدا و تلاش همکاران این توانایی راداریم که با هر محصول بومی یا غیربومی مراکز عملیات امنیت را برای سایر سازمان‌ها و شرکت‌ها پیاده‌سازی کنیم.

لازم به ذکر است علاوه بر مجوز پیاده‌سازی مراکز SOC این شرکت دارای مجوز مشاوره و استقرار سیستم مدیریت امنیت اطلاعات (نما) نیز می‌باشد که در این حوزه هم تیم خوبی در شرکت داریم که علاوه بر پیاده‌سازی و استقرار ISMS داخلی شرکت، در حال جذب کارهای بیرونی نیز هستند.

 

امنیت حوزه دیتاسنتر در ایران را چگونه بررسی می‌کنید؟

قربانی: امنیت اطلاعات را به‌صورت کلی به سه دسته مدیریت امنیت، امنیت منطقی و امنیت فیزیکی می‌توان تقسیم کرد که هرکدام را می‌توان به‌صورت جداگانه بررسی و پیاده‌سازی نمود. مدیریت امنیت بیشتر شامل فرایندها و دستورالعمل‌های امنیتی می‌باشد. امنیت منطقی شامل امنیت شبکه، سیستم‌عامل و برنامه‌های کاربردی می‌باشد و امنیت فیزیکی زیرساخت‌های الکتریکال و مکانیکال و کنترل دسترسی‌ها به مراکز داده و CCTV و …را شامل می‌شود که در هر سه حوزه امنیت در مراکز داده اقداماتی صورت پذیرفته اما به نظر می‌رسد به امنیت فیزیکی بیشتر پرداخته‌شده است و در دو حوزه مدیریت امنیت و امنیت منطقی باید برنامه‌ریزی و اقدامات بیشتری صورت پذیرد.


امنیت این لایه‌ها چگونه تأمین می‌شود؟

در هرکدام از لایه‌ها استانداردها و ابزارهای خاص امنیتی وجود دارد به‌عنوان‌مثال در لایه مدیریت امنیت استاندارهای ISO 27000 وجود دارد. در لایه امنیت منطقی به‌کارگیری و استفاده از تجهیزاتی و سرویس‌های مانند فایروال‌ها، سیستم‌های تشخیص و جلوگیری از نفوذ (NIDS, HIDS, IPS) و مدیریت وصله‌های امنیتی و آنتی‌ویروس و …می‌توان بهره برد و در لایه امنیت فیزیکی هم سیستم‌های امنیتی مختلفی ازجمله کنترل دسترسی به مراکز داده و تجهیزات، سیستم‌های هشدار و اتفاء حریق، دوربین‌های مداربسته (CCTV) و … قابل‌استفاده می‌باشند.


برنامه آینده شرکت چیست؟

نوروزی: ما در برنامه‌های آتی شرکت روی دو حوزه یکی امنیت، از طریق ارائه سرویس MSSP و دیگری حوزه مراکز داده، قصد داریم فعالیت خود در بازار ایران گسترش دهیم و تجاربی را که طی سالیان گذشته کسب کرده‌ایم به دیگر متقاضیان و سازمان‌ها ارائه نماییم.

در بخش مراکز داده، ایجاد مراکز داده باکیفیت و استاندارد جهانی و ارائه سرویس CDN از طریق این مراکز، از برنامه‌های آینده این شرکت بوده و گام‌های اولیه برداشته‌شده و قصد داریم در این حوزه نیز فعالیت جدیدی را آغاز کنیم.

 

منبع: پرداخت برتر

خبر پیشنهادی
شهره آقابابی مدیر پروژه پات در گفتگو با بانکداری الکترونیک عنوان کرد:

یک سوپرایز ویژه برای کاربران پات/ استقبال دکتر نور بخش از روشندلان ایران کیش


این مطلب را به اشتراک بگذارید