امنیت اطلاعات

صفحه 1:


صفحه 2:


صفحه 3:
* امنيت اطلاعات, يعنى حفاظت اطلاعات و سيستمهاى اطلاعاتى از فعاليتهاى غيرمجاز. اين فعاليتها عبارتند از دسترسى, استفاده, افشاء خواندن, نسخه بردارى يا ضبطء خراب كردن» تغيير و دستكارى. * اطلاعات در ۳ مؤسسات پیشرفته ‎Hele Cea)‏ سال رو حیاتی ‎sy Saw Wouwnro‏ 

صفحه 4:
چرا معمولاً در بعد امنیت ضعف وجود دارد؟ رل انگاری ‎٠‏ اولويت يايين ‎٠‏ محدودیت زمان و هزینه بى نظمى برنامه نويسان ( تكرار اشتباهات مشا نم 7 0 ‎Cuil a argi Ate‏ 52 9, 0 0 وا ‎ul‏ ‏| سطح پایین آكاهى کاربران ۲ ‎OGRE VN Te BOONE ort DCR Se IS ICM NO] Fe SC Pee] Paprt ar Gaal‏ 

صفحه 5:
= eInformation e Security S Ms 5 e Management ٠ System 5 ‏ه‎ 

صفحه 6:
5 جیست؟ ا ‎a Mares] EN‏ 7 7 SIMS << 0 ۱(سازمانب ین لمللیاستاندارد سازی و ۱۴ مخصصیستاندارد سازیجهانیرا تشکیل‌داده اند که ا ارك لكر مكرود استاندار دسازی ۱5۱5 ‎cuwl‏ 

صفحه 7:
استاندار ۱5۱5 : «هدف از تهیه این استاندارد بین المللي : ارائه مدلي است که س بای ات يقواقار اك هذ يروت ‎weasel‏ لاعت نا همان 158015 را ابجادى اعرااه هه فزداری: زاف بازنگري , نگهداري و بهبود و ارتقاء بخشید . 

صفحه 8:
a | ST “1< امنيت در رابانه ‎Me‏ ‏2 امنیت در شبک. ۱۳5 37- امنیت هک ""-امنیت کاربران © )7 52 | ‎“eee‏ ‏: ی اصلی طبقه بندی کرد 

صفحه 9:
مفاهیم اصلی امنیت اطلاعات: : امنیت داده ها به چهار مفهوم کلی قابل تقسیم است MIHANDOWNLOAD.COM ۳ = ۳ ‎Ele‏ ‏اعتبار و سنديت كاد ‎AVIRA‏ | eee 3 a. ‏دسترس پذیری‎ 

صفحه 10:
مفاهیم اصلی امنیت اطلاعات ا محرمانگی سات صف ۳۳ اور تقایل دسترسی و ل 006 ا 0 ا ا 7 7 2 2 لات لاا ال رجام مامت ره این مت که لیا * توانند توسط ‎Lg past aizlw jlao ut olsl‏ حذف گردند. 4 Aish eles linen, ‏نکاس دادن شاه ی‎ {ic BREA ‏تماميت‎ ٠" VP 1 

صفحه 11:
مفاهیم اصلی امنیت اطلاعات :اعتبار و سندیت *اعتبار و سندیت دلالت بر موثق بودن داده ها و نیز اصل بودن آنها دارد. به طریقی که اطمینان حاصل شود داده ها کپی يا جعلی نیستند دسترس پذیری : #دسترس پذیری به این معنی می باشد که داده ها, پایگاه های داده و سیستمهای حفاظت امنیت, در زمان نیاز نت9 اطلاعات در 

صفحه 12:
حفره امنیتی پیامدهای منفی یک حفره امنیتی چیست؟ * کاهش درآمدوافزایش هزینه "خدشه به اعتبار و شهرت یک سازمان 7 ازدست دادن اطلاعات مهم پیامدهای *سلب اعتماد مشتریان و سرمایه گذارا 

صفحه 13:
جند نكته اوليه در خصوص ايمن سازی اطلاعات و شبكه هاى كامييوترى *استفاده از نرم افزارهاى آنتى ويروس عدم فعال نمودن نامه های الکترونیکی ارسال شده توسط منایع نامشخص و گمنام از رمزهای عبوری که تشخیص آنان مشکل می باشد , استفاده نموده و آنان را محرمانه نزد خود نگه دارید استفاده از فایروال ها به منظور حفاظت کامپیوترها ~ 5201-10 گرفتن منظم از اطلاعات ارزشمند موجود بر روی کامپیوتر 2غیر فعال نمودن ارتباط با اینترنت در زمان عدم استفاده عدم اشتراک منابع موجود بر روی کامپیوتر با کاربرانی که هویت آنان نامشخص است 

صفحه 14:


صفحه 15:
ضعف پروتکل ۲0۳/۱۴ نعف تجهیزات شبکه ای 

صفحه 16:
استفاده غیرایمن از 26601۳0۴ کاربران استفاده از ‎account‏ 5۷5۲۵۳ که رمز عبور آنها عدم پیکربندی صحیح سرویس های اینترنت غیرایمن بودن تنظیمات پیش فرض در برخی 

صفحه 17:
0 عدم وجود يك سیاست امنیتی مکتوب 0 سیاست های سازمانی 0 رها كردن مديريت امنيت شبكه به حال خود ‎L pleo wlusi plail 9 wai 0‏ ال ل ا ‎cow‏ ‏0 عدم وجود برنامه ای مدون جهت برخورد با حوادث ‏غیرمترقبه ‎7 

صفحه 18:
‎ae‏ اكيت اس + از بررسی موائع سر رأه رسيدن به اين ‎alsa‏ ‏ارائه راهكارهاي لازم را | بر عهده دارد. همجنين مديريت امنيت وظيفه بياده سازي و كنترل عملكرد سيستم امنيت سازمان را بر عهده داشته ود عا ‎Seen) ESS‏ ‎j rol jg).‏ نگه دارد ‎18 

صفحه 19:
مدیریت پیکربندی “«مديزيت مخاطرات 19 

صفحه 20:
20 ابزارهاى از اه ا 2 ۳ ”كرم ها 

صفحه 21:
— اسب هاي ترویا برنامه هايي هستند که در داخل ساير برنامهها ينهان م يكردند و برنامه خود را به اجرار در ‎leeway has‏ ا ا ا ‎rev‏ 0 .قرار بكيرند 581410 در برنامه هاي ايمني شبكه مانند 

صفحه 22:
بمب منلقيى 0 ‏ا ا ا‎ Geet eee | SP ee See) ee bere Mer ise EU Cae y cle Res cola serene ea oad free cere CS Mere ‏ا‎ 61 See oP Meer Sec ‏م‎ ‎[۱9 mre mec es ies i Coprnae mn ibe sere merc ener] ‏شده و اثرات مخرب آن مي‌تواند شامل فرمت کردن دسك سخت و ارسال اسناد به سازمان‎ ‏.سيا باشد‎ 

صفحه 23:


1 موضوع : امنیت اطالعات 2 تعریف امنیت اطالعات • امنیت اطالعات ،یعنی حفاظت اطالعات و سیستم‌های اطالعاتی از فعالیت‌های غیرمجاز .این فعالیت‌ها عبارتند از دسترسی، استفاده ،افشا ،خواندن ،نسخه برداری یا ضبط ،خراب کردن، تغییر و دستکاری. • اطالعات در سازمان‌ها ،مؤسسات پیشرفته و جوامع علمی، شاهرگ حیاتی محسوب می‌گردد. 3 چرا معموال ً در بعد امنیت ضعف وجود دارد؟ ‏سهل انگاری ‏اولویت پایین ‏محدودیت زمان و هزینه ‏بی نظمی برنامه نویسان ( تکرار اشتباهات مشابه کدنویسی و ایجاد باگ) ‏عدم دقت در تنظیمات امنیتی برنامه -سیستم عامل -سرور -شبکه -و ... ‏عدم توجه به امنیت در فرایند مکانیزاسیون سازمان ‏خالقیت تبهکاران ‏سطح پایین آگاهی کاربران 4 ‏نگاه غیر واقعی قربانیان ( که از جدی نگرفتن امنیت سرچشمه میگیرد) ISMS • Information • Security • Management • System 5  ISMSچيست؟ ‏ZتمZنيت بZZZرگرفZته از کZZلماتبZZZاZالو بZZZه مZعناي“سZZيستم مZديري اZ ‏Zت ‏Zعات اZس . اZطZال ” ‏Zي و IEC ( ISOسZZازZمانبZZZيناZZلمللياZسZتاندارد سZZاز ) (كZZميسيون بZZZيناZZلمللياZZلكتروZتZكنيك) در كZZنار هZم سZZيستم تZخصصياZسZتاندارد سZZازZيجZهZانZيرا تZZZشكيلدادZه اZند کZZه 6 ‏Zت ب ا الترينم رجع استانداردسازي ISMSاZس . 7 هدف از تدوين استانداردهاي : ISMS ‏هدف از تهيه اين استاندارد بين المللي ،ارائه مدلي است كه بر اساس آن بتوان يك سيستم مديريت امنيت اطالعات يا همان ISMSرا ايجاد ،اجرا ،بهره برداري ،پايش ، بازنگري ،نگهداري و بهبود و ارتقاء بخشيد . به طور کلی می توان فرایند امن سازی را در 4شاخه :ی اصلی طبقه بندی کرد -1امنیت در رایانه ها -2امنیت در شبکه ها -3امنیت در سازمان ها -4امنیت کاربران 8 مفاهیم اصلی امنیت اطالعات: :امنیت داده ها به چهار مفهوم کلی قابل تقسیم است • محرمانگی • تمامیت • اعتبار و سندیت • دسترس پذیری 9 مفاهیم اصلی امنیت اطالعات :محرمانگی • محرمانگی اطالعات یعنی حفاظت از اطالعات در مقابل دسترسی و استفاده غیر مجاز. • داده های محرمانه تنها توسط افراد مجاز قابل دسترسی می باشند. تمامیت : • در بحث امنیت اطالعات ،تمامیت به این معناست که داده ها نمی توانند توسط افراد غیر مجاز ساخته ،تغییر و یا حذف گردند. 10 • تمامیت همچنین یکپارچگی داده ها که در بخشهای مختلف پایگاه داده مفاهیم اصلی امنیت اطالعات :اعتبار و سندیت • اعتبار و سZندیت داللZت بر موثZق بودن داده هZا و نیZز اصZل بودن آنهZا دارد .بZه طریقZی کZه اطمینان حاصZل شود داده هZا کپZی یZا جعلZی نیستند. دسترس پذیری : • دسZترس پذیری بZه ایZن معنZی مZی باشZد کZه داده هZا ،پایگاه های داده و سZZZیستمهای حفاظZZZت امنیZZZت ،در زمان نیاز بZZZه اطالعات در دسترس باشند. 11 حفره امنیتی پیامدهای منفی یک حفره امنیتی چیست؟ ◦ کاهش درآمدوافزایش هزینه ◦خدشه به اعتبار و شهرت یک سازمان ◦ازدست دادن اطالعات مهم پیامدهای قانونی ◦سلب اعتماد مشتریان و سرمایه گذاران 12 چند نکته اوليه در خصوص ايمن سازی اطالعات و شبکه های کامپيوZتری استفاده از نرم افزارهای آنتی ويروس عدم فعال نمودن نامه های الکترونيکی ارسال شده توسط منابع نامشخص و گمنام از رمزهای عبوری که تشخيص آنان مشکل می باشد ،استفاده نموده و آنان را محرمانه نزد خود نگه داريد استفاده از فايروال ها به منظور حفاظت کامپيوترها Back-up گرفتن منظم از اطالعات ارزشمند موجود بر روی کامپيوتر غير فعال نمودن ارتباط با اينترنت در زمان عدم استفاده عدم اشتراک منابع موجود بر روی کامپيوتر با کاربرانی که هويت آنان نامشخص است 13 علل بروز مشكالت امنيت ‏ضعف فناوری ‏ضعف پيكربندی ‏ضعف سياست ها 14 ضعف فناوری •ضعف پروتكل TCP/IP •ضعف سيستم عامل •ضعف تجهيزات شبكه ای 15 ضعف پيكربندی ‏ ‏ استفاده غيرايمن از accountكاربران استفاده از system accountكه رمز عبور آنها به سادگی قابل تشخيص است. ‏ عدم پيكربندی صحيح سرويس های اينترنت ‏ غيرايمن بودن تنظيمات پيش فرض در برخی محصوالت 16 ‏  :ضعف سیاست ها oعدم وجود يك سياست امنيتی مكتوب oسياست های سازمانی oرها كردن مديريت امنيت شبكه به حال خود oنصب و انجام تغييرات مغاير با سياست های تعريف شده oعدم وجود برنامه ای مدون جهت برخورد با حوادث 17 غZيرمترقبه  ITمديريت امنيت مديريت امنيت اطالعات بخشي از مديريت اطالعات است كه وظيفه تعيين اهداف امنيت و بررسي موانع سر راه رسيدن به اين اهداف و ارائه راهكارهاي الزم را بر عهده دارد .همچنين مديريت امنيت وظيفه پياده سازي و كنترل عملكرد سيستم امنيت سازمان را بر عهده داشته و در نهايت بايد تالش كند تا سيستم را هميشه .روزآمد نگه دارد 18 مدیریت :ITشامل موارد زیر است امنیت ‏مدیریت پیکربندی ‏مديريت تغييرات ‏مديريت مخاطرات 19 20 ابزارهای آلودگی سیستم اطالعاتی ‏ویروس ها ‏کرم ها اسب تروآ (ترویا) ‏بمب منطقی ‏چیپس ها ‏میکروب ها  :استراتژی اسب تروآ اسب هاي ترويا برنامه هايي هستند كه در داخل ساير برنامه‌ها پنهان مي‌گردند و برنامه خود را به اجرار در مي‌آورند .اسب ترويا مي‌تواند خود را استتار كند و حتي .قرار بگيرند SATANدر برنامه هاي ايمني شبكه مانند 21 بمب منطقی بمب منطقي يك نوع اسب تروياست كه براي آزاد كردن ويروس‌ها و يا سيستم هاي تهاجمي ديگري استفاده مي‌شوند و مي‌تواند به صورت يك برنامه مستقل كه توسط برنامه نويس و طراح در سيستم جاسازي مي‌شود عمل كند .نظر به اين كه تعداد زيادي نرم افزار از امريكا صادر مي‌شود ،پيشنهاد شده است كه در هر نرم افزار صادراتي اسب ترويا نصب شود .اين عامل مخفي مي‌تواند در شرايطي كه آن كشور عليه امريكا وارد جنگ شد ،از راه دور فعال شده و اثرات مخرب آن مي‌تواند شامل فرمت كردن دسك سخت و ارسال اسناد به سازمان .سيا باشد 22 پایان 23