امنیت اطلاعات: رمز بقاء در عصر اطلاعات

صفحه 1:
امنیت اطلاعات: رمز بقاء در عصر 

صفحه 2:
* حرکت شتابان و اجتناب‌ناپذیر به سوي جامعه اطلاعاتي مخاطرات نوظهور ناشي از حرکت به سوي جامعه اطلاعاتي ماهیت مخاطرات و دلیل وسعت آنها > جه بايد كرد ؟ 

صفحه 3:
*#* حرکت شتابان و اجتناب‌ناپذیر به سوي جامعه اطلاعاتي مخاطرات نوظهور ناشي از حرکت به سوي جامعه اطلاعاتي ماهیت مخاطرات و دلیل وسعت آنها 7 چه باید کرد ؟ 

صفحه 4:
ترهاي متصل به اينترنت (با 12 250,000,000 200,000,000 150,000,000 100,000,000 50,000,000 0 5 © يع اح 5خ ع ع جح ع ع > © 5 © © 5 95 5 5 5 58 و ع 2 2 2 غ2 2 غ2 غ2 غ2 2 5 5 5 5 5 5 5 5 5 5 5 8 8 € 5 5 5 5 5 5 5 5 = سس وین خی سس 

صفحه 5:
از سال 2000 به اينطرف . 9080 | سود فراهم کنندگان سرويس‌هاي اعاتي ازسرویس هاي شده است. 

صفحه 6:
2006 : مرجع 900006 ,100 2005 2001 2002 2003 2004 800 0 600,000 + 400,000 200,000 04 سرمايه كذاري در تجارت الكترونيك در آسياء- الكل (US$) 

صفحه 7:
lmao 56 alS yo cleMbl 5 ,9li9 

صفحه 8:
فناوري اطلاعات در کلیه عرصه‌ها 

صفحه 9:
فناوري اطلاعات در کلیه عرصه‌ها 

صفحه 10:
بخشهاي توليدي - صنایع الكتريكي و فلزي | ضاخ ماش ساره | - صنايع غيرفلزي | - صنایع معدني ‎esl”‏ زراعت و حفظ ببانات - امور دام طیور و شیلات - توسعه روستايي سعه شهري و مسکن ‎Sea‏ ‎Gaga.‏ 

صفحه 11:
lmao ys ad 52 wleMbl 5s ,9lis = Se i — ‎malty reece senor] <<‏ - که نانک - شبکه مالباتی 3 انار بورس و اوراق بهادار ‏۱ - گمرا ‏- صادرات و واردات - تعاوني ها ا = وس ‎= 

صفحه 12:
a oe ee Eee veh G py ol is ‏ب‎ a x =e Re een ‏اجتماعي‎ - آموزش - بهذاشت و درمان - تامین اجتماعي - اطلاة رساني 

صفحه 13:
Pr Ce) bn eee gee 

صفحه 14:
فناوري اطلاعات در کلیه عرصه‌ها 

صفحه 15:
مقايسه شاخصهاي 11 در ايران با هس بل aa 22/9 ۰. 6 ‏تعداد رایانه شخصی به ازاء ۱۰ نف‎ 16/972 57/155 ‏هرزار نض‎ ٠١ ‏تعداد اضراد ممرتبط با اينترنت در‎ 04/18 ۰ 9 ‏خطوط تلفن ثابت به ازای ۱۰۰ نفر‎ 77/18 3 ‏تلفن همراه به ازای ۱۳۰ نقر‎ 49/288 7 ۰۰ ‏تعداد تلویزیون به ازای‎ 62/1 ۰ ‏اخص دولت الکتررونیک‎ 646/0 0 ‏شاخص دسترسی به اطلاعات‎ مرجع : خبركزاري موج به تفل ا منايع انتينتي 

صفحه 16:
* حرکت شتابان و اجتناب‌ناپذیر به سوي جامعه اطلاعاتي *# مخاطرات نوظهور ناشي از حرکت به سوي جامعه اطلاعاتي 7 ماهیت مخاطرات و چرایی وسعت آنها > جه بايد كرد ؟ 

صفحه 17:
2,87: +1907 2.412 06 2,340: 1006: 

صفحه 18:
رشد آسيب‌پذيريهاي گزارش شده 1 Total vulnerabities reported (1995-20021: 9,162 5,000 4.500 4,000-- 3,500. 3000+ 2.500 2,000+ ل 

صفحه 19:
- کشف متجاوز از 160.000 مورد دسترسی غیرمجاز به سیستم كامپيوتري وزارت دفاع. - 95% شرکتها و موسسات تجاری اعتراف کرده‌اند که قربانی کلاهبرداری کامپیوتری شده‌اند. - بررسی‌ها نشان میدهد که 46 درصد حملات صورت گرفته منشا داخلی داشته است. ‎ce e382‏ احا 

صفحه 20:
Se ed Nee tied aren : - ارزش داده هاي به سرقت رفته در امریکا سالانه ده میلیارد دلار برآورد مي شود. - زیان گزارش شده از كلاهبرداري كامپيوتري در شرکتهاي امريكايي در سالهاي 1997 تا 9 بالغ بر 360 میلیون دلار است. : مرجع يه 

صفحه 21:
* سایت سنجش دات کام هک شد. ۶ 11 فروردین 83 - بخش خبر آي تي ایران - یک هکر ادعا کرده است که حدود 50 سایت اينترنتي ايراني از جمله سایت جهاددانشگاهي مشهد و دانشگاه آزاد اسلامي واحد شبستر را دستكاري کرده است. وي که پیش از این در چند روز گذشته سایت سنجش دات کام را مورد حمله قرار داده تاکید کرده است که وضعیت امنیت سایت هاي ايراني بسیار ضعیف است. * این فرد اسامي سايتهاي هک شده را روي سایت خود قرار داده ‎wil‏ بت. در هنگام درج این خبر در اولین ساعات بامداد سه شنبه صفحات سايتهاي مذکور کاملا تغییر کرده و صفحه مربوط به هکر جایگزین شده است 37 بج موجه تساه 

صفحه 22:
15۳-07: 311 ‎ee Pe‏ فنا ‎PATS) ‎ 

صفحه 23:
8# اشباد بازیرسی برونده سرت اینترنتی بانگ ملص: در خرید سبسته خود پرداز به کشور خبائت شده + تشريح روند تقود به سیبا موضوع ديگري نیز مورد توجه قرار كرفت و كن بالا بردن ضريب ايمنى سرويسهاي كاميبوتري در هنكام استفاده حرفه اي از آن است هرجند نام بانك ملي در لین ماجرا به میان آمد و مرتبا تکرار شد اما کمي بعد با بررسي کارشناسان مشخص شد معضل امنيتي منجربه لین حادثه‌به وسیله شركتي صورت گرفت که وظیفه سرویس دهي حسابهاي بانکي الکترونيك را بر عهده دارد. ار مرجع دروزنمه شرق اسفند 1380 

صفحه 24:
هزینه هاي گزاف ناشي از حملات ویروسها و تا کنون بیش از ۱۳۹ هنزار راینه مورد حمله‌ی کم بلاستر قررار گرفته‌اند چهارشنبه ۲۲ مرداد ۱۳۸۲ بلاس فايلى راد داي سكتورى ویندور به عنوان کد مضرب طیراحی ميکند سه شنبه ۴۱ مرداد ۱۳۸۲ فعاليت کرم ”.اماس بلاست” هم چنان روبه افزایش است جمعه ۲4 مرداد ۱۳۸۲ پلاستر هم چنن از ورود به بیکوسافت ناکاماست شنبه ۲۵ مرداد ۱۳۸۲ تفي مسي ویروس 1۷32100105 به سمت ویددوزهای ۲۰۰ شنبه ۲۵ مردد ۱۳۸۲ مديى عامل یک 1917: کا رکرد 51 آها در هنته گنشته "۱ هنزار ساعت کاهش داشت دوشنبه ۲۷ مرداد ۱۳۸۲ پلاستر ۵۰۰ هزار رایانه را آلوده کررد سه شنبه ۲۸ مرداد ۱۳۸۲ میکروسافت نگرانبچهکرمهیپلاستراست چهارشنبه ۲۹ مرداد ۱۳۸۲ برای جلوگیرری از حمل‌ی "بلاست,"ساعت رایانه خود را یک ساعت عتب بکشید شنبه | شهریور ۱۳۸۲ افهیی.آی یکی از نویسندگان لاستر را دستگیر می‌کند ‎ .‏ جمعه ۷شهریور ۱۳۸۲ میکروسافت هشدار دادژویرروسی شبیه سوبیگ و بلاستر در راء است پنجشنبه ۲۰ شهرریور ۱۳۸۲ ربصا سس 

صفحه 25:
* حرکت شتابان و اجتناب‌ناپذیر به سوي جامعه اطلاعاتي ** مخاطرات نوظهور ناشي از حرکت به سوي جامعه اطلاعاتي ماهیت مخاطرات و چرايي وسعت آنها > جه بايد كرد ؟ 

صفحه 26:
دادءها (ايستا ويويا) مکاتبات و مراسللات اداری خصوصاً رای بخش دفاعی استراتتریک (دفاعی امنیتی و سیاسی ) اطلاعات عمومی مرد در بانکهایاطلاعاتی کشوری (ثبت احوالء كدمليء كدهاى يستىء اطالاعات املاك شههرداريها وس اطلاعات خصوصی افراد در بانکهای اطللاعاتی( حسابهای بانکی؛ شمارههای تلف + آدرسهاءاطلاعات موقعیتهای مکانی تلفنهاى همراءء باتك اطلاعات آموزش دانشكاههاء بانك اطلاعات سها] بورسها و بائكهاى اطلاعاتى مالياتى اراد و..:) اطلاعات مبادله شده روي شبكه مغابراتى كشورى اعم از مبوت وداده وتصويس اطلاعات اقامتى ذخيره شده در شبكههاى هتلهاء مراكن فروش بليط (زمينى - هوانى - دريايى ) و بيمارستانها و ثبت ورود و خروج از کشور اطلاعات مربوط به مجرميزء متهمين و محكومين دادكاهها و آمار زندانيان سوابق كلى تكهدارى شده در بايكانوهاى ادارات نظيس ليستهاى حتوقى؛ اطلاعات ‎SIS‏ حضور وغيابه بيمهمه إضافه كار و... كه ‎ni‏ آنها بار مالى و حقوقى براى موسسات و شركتها دارد. 

صفحه 27:
تنوع اطلاعات ارزشمند * اطلاعات ذاتً ارزشمند - اطلاعات مراک ته شده در زمینه دانشهای فنی ایجاد شده در بخشهای دولتی (مانندانرژی اتمیء دفاعی؛ امنیتی و بیولوژیکی و...) که دارای ارزش امنیتی ؛ دفاعی و مالی و نين اطلاعات مربوط به دانشهاى فنى ايجاد شده و ثبت اختراعات اشخاص حقیقی و - اطلاعات مريوط به داراييهاء قراردادهاء معاملات و روابط كارى بخشهاى دولتى و حخصوصى - اطلاعات مربوط به روابط, مذاکرات» همايشها و سمینارهای داخلی احنراب و گروههای سیاسی - آمارها و اطلاعات جمع‌آوری شده در بخشهای دولتی که ارزش دفاعی و استراتژیک دارند (نظیم موجودی و ذخایر سوخته آرد و گندم؛ گوشته ببرنج؛ انرژی و...) - آمارهای مربوط به بنیه دفاعی کشور نظیر تسلیحاته مهماته نیرروهای آماده و توان دفاعی و عملیاتی 

صفحه 28:
تنوع اطلاعات ارزشمند اطلاعات ایجاد شده توسط سیستمهای مراقبتی نظیس دوربینهای مداربسته و گیتهای ورود و خروج - اطلاعات منتشر شده توسط سیستمهای مراقبتی و کنترلی خودروها و اشیاء متحررک که اجباراتوسط سیستمهای رادیویی منتقل می‌شوند. - سيستمهاى كنتريذي نظير نير وكاههاء سدهاء بالايشكاهها و سيستمهاى ديسبجينك و سیستمهای سوپروایزری - اطلاعات سیستمهای کنترل کننده شبکه‌های مخاببراتی(71۷/2۷ ) که به تعبیی قلب ارتباطات کشوری را در اختیار دارند. 

صفحه 29:


صفحه 30:
۳ ‏تیه تمونه و نحوة‎ oe 

صفحه 31:
۳ cape pts نتيء ساده و كم خطر است و به سختي قابل ردگيري است. * يافتن آسيب يذيري در برنامه ها و كاربردها الزاماً نيازي به دراختيار داشتن سورس كد ندارد. * زير ساختهاي حياتي به طور فزاينده اي به اينترنت متكي شده اند. * نفوذكران از طريق يهناي بلند وسيع و اتصالات يرحجم به تدارك حمله مي بردازند (از طريق بيكاري كرفتن از حجم وسيعي از كامييوترهاي خانكي) 

صفحه 32:
= درسال 1988 ميلادي - استخراج کلمات عبور استخراج أسيب يذبريهاي شناخته شده تنوع تهديدات و روند قابليتهاي اضافي امروز استخراج رخنه هاي بروتكلها يافتن رخنه هاي امنيتي جديد از طريق بررسي فايلهاي قابل اجرا یا سورس کد تغییر غیرمجاز صفحات وب نسب ‎aly‏ هاي دستبرد و استراقی جايجايي غیرمجاز آدرسهاي 18 مبدا حملات از كاراندازي سرويس پویش گسترده و خودکار اینترنت حملات توزیع شده ايجاد شبکه هاي بزركي از كامبيوترهاي به بيكاري كرفته شده ايجاد شبكه هاي راهبري براي حملات با استفاده از كا. به بيكاري كرفته شده وترهاي 

صفحه 33:
تيد توماو يشتر یی ترف یرای ی د ‎cd‏ ‏2 صت ی DP PO SY ‏اسياى‎ ۱ ۳ حعلات كستده ( دای سروس تعيش ‎wel ent‏ .بای سرد 199019911992 19981994 19951996 199719981999 20002001 

صفحه 34:
- پیچیده تر شدن ابزارهاي نفوذگري - ساده تر شدن استفاده از ابزارهاي نفوذگري ۵ ۵ 6 6۵ 6۵ tr ۵ ۵ ۵ ۵ 8 ۱ ‘hatte Ouran Delos Osteraty ‏سرج 0609-6664 0009 بسحا‎ 2 

صفحه 35:
؟ گزارش 5500 آسیب پذيري در سال 2002 يعني چه؟ - محاسبه زمان لازم براي آشنايي با آسیب پذیریها 9 روز - 20(دقیقه) * 5500 - محاسبه زمان لازم براي نصب وصله براي 961 موارد 9 «روز) - 1(ساعت) * 550 8 روز - 229 + 69 

صفحه 36:
امنیت اطلاعات : یکی از سربعترین بخشهاي در حال ‎pe‏ رز ادك جهان ‎ ‏برآورد ارزش خدمات امنیت ‎ ‎ ‏اطلاعات (دلار) درصد سهم امنيت تعدا اطلاعات از تعداد مشاغل 1۲ تعداد با لحاظ راهبري ‎ ‏مرج مرلو ‎20012 ‎8.000.000.000 ‎2003 ‎1% ‎ ‎60.000 ‎ ‎ ‎2004 ‎3/2% ‎2006524 ‎23.600.000.000 ‎2008 ‎5/5% ‎188.000 ‎600.000 ‎ ‎ ‎ ‎ ‎ ‎ ‎ ‎ ‎ ‎ ‎ 

صفحه 37:


صفحه 38:
يك سناريوي نوعي براي نفوذگري : سرقت سورس کد از يك شرکت تولید نرم‌افزار 

صفحه 39:
يكي از برنامه نویسان راه دور شرکت دانشگاهي در شوروي سابق ‎a‏ 

صفحه 40:
1. جستجو در شبکه هاي آسیب پذیر نظیر اسياي جنوب شرقي و شوروي سابق ‎Nessus‏ جهت یافتن نقاط ضعف سيستمهاي ازتخ بي 3. إيافتن يك سزویس دهندهوب: 115 ‎NT oy hit‏ در شوروي سابق و يك سرویس دهنده ضعیف مبتني بر لینوکس در آسياي جنوب شرقي 

صفحه 41:
۳ نگه داشتن مبدا حمله با استفاده از وسيييتمياي مياني بعنوان سكوي انجام یکی از برنامه نویسان راه دود /تتيئكاهي در شوروي سابق سرویس دهنده وب ‎OP‏ 

صفحه 42:
* بدست آوردن آدرس وب شرکت از طریق موتورهاي جستجو معروف در اینترنت * جستجو در سایت وب شرکت مورد نظر و بدست آوردن اطلاعاتي در مورد چگونگي تماس با کارکنان و کاربران شبکه, شناسايي شرکاي تجاري و تكنولوژي مورد استفاده * جستجو در گروههاي خبري مرتبط با فعالیت شرکت در جهت بدست آوردن هرچه بیشتر پست الكترونيكي کارکنان شرکت و در صورت لزوم به عضویت آن گروهها در آمدن 

صفحه 43:
Peer ro el 1. خرید يك بازي كامپيوتري کوچك, زیبا و ناشناس 2 آلوده کردن بازي خريداري شده از طریق يك برنامه آلوده کننده (1۷۲۵06۲) به يك اسب ترواي قدرتمند ‎L www.excellentgames.com oj9> pl cui .3‏ مشخصات جعلي در 121611110 با استفاده از آدرس ماشين قرباني در آسياي جنوب شرقي ‏4. بار كردن بازي كامبيوتري آلوده در ماشين قرباني مزبور 

صفحه 44:
محتوا ۱ ألکترونيکي كمياني ما در صدد بازاريابي يك برنامه بازي جدید بوده و احتیاج به پيشنهادات افراد صاحب اطلاع دارد. افرادي که بتوانند پيشنهادات ارزنده اي در رابطه با اين نرم افزار ارائه کنند ده هزار دلار جایزه به آنها تعلق میگیرد. اين نرم افزار را میتوان از طریق آدرس زیر بدست ‎yg!‏ د: ‎ftp://www.excellentgames.com/sample/‏ 

صفحه 45:
0000 شبكه داخلي ركت ‎Tl 5‏ شرکتي در آسياي جنوب شرقي تولید نرم افزار شرویس دهنده ضعیف ۳ للتوكتايت تجارت الكترونيكي 

صفحه 46:
یکی از برنامه نویسان راه دور شرکت ‎sis.‏ ‏دانشگاهي در شوروي سابق شبکه داخلي شرکت 9 000 ‏یب شرقين‎ 1 is 2S as cae ‏تولید نرم افزار شركتي در آسياي جنو:‎ 

صفحه 47:
‎wot 0‏ با كليلتكردنرويلينك ‎ ‏يكي از برنامه نویسان راه دور شرکت دانشگاهي در شوروي سابق ‎ ‎ ‏تولید نرم افزار شرکتي در آسياي جفوب مایت تجارت ‎Sa‏ حرفه 1 

صفحه 48:
‎need‏ ا سس« ‎ ‏يكي از برنامه نویسان راه دور شرکت نصب اسب تروا ‏دانشگاهي در شوروي سا ر شورو ابق ‎zs =‏ << ‎ ‎ 

صفحه 49:
استراق سمع ارتباط برنامه نویس با شبکه و کشف کلمه عبور او شناسائي منابع اشتراكي شبکه تکثیر خود از طریق آلوده سازي فايلهاي اجرائي شبکه باز کردن يكي از پورتها (مثلا پورت ‎Say (TCP-7597‏ میزبان نصب شده این اسب ترواي خطرناك توسط هکرها نوشته شده و قابل کشف توسط ویروسیابها نمیباشد 

صفحه 50:
يكي أز برنامه تويسان رأه دور شركت به اسب تروا بده به اسب ير إلودء متت آلوده به اسب تروا ‎L Zz‏ = > 

صفحه 51:
سرقت فایل کلمات غبور توسط اسب تروا و انتقال 55 1 ‏ركني در آسيا ب فه‎ > pS ee oA SD? ee 

صفحه 52:
le 5| Password Cracker j1491 es sb wo ‏نال نهان روي ماشين مياني‎ دانشكاهي در شوروي سابق ين ‎i‏ ۱ آلوده به اسب ‎ae GE:‏ Server’ las ‏سب‎ FTP Server > ‏هك ل حر‎ eyly culy FTP Forwarding ON 

صفحه 53:
طات مخفي که از بستر يك کانال ارتباطي آشکار صورت میگیرد كفت بي نهان از تكنيكهاي 6 میباشد. پاي نهان اطلاعات یا فرامین مورد نظر در سرایند یا محتواي پروتکلها ارد پنهان شده و بدون جلب توجه بین 1160 و ۹61767 مبادله میگر ‎ole‏ را به روشهاي مختلفي میتوان ایجاد نمود این روشها عبارتند از از سرایند بسته هاي ‎IP 9 TCP‏ از پروتکل 101۳ از پروتکل هاي ۲۲۲۲۳ و ۲1۳ از پروتکل ‎Telnet‏ ه و بسیار فني نفوذگران بوده و مبتني بر مد 

صفحه 54:
‎a‏ ارتباط 21لا با شبكه هدف از روي ‎ ‏آلوره ‎a‏ تروا ‏دانشگاهي در شوروي سابق ‎ ‎ ‏ركني در آسيا ب فه 1 شرتی در سای حاو مایت ين إل شك جوا : 

صفحه 55:
دانشگاهي در شوروي سابق ذخيره موقت سورس كدها sl as ۲ agar glad ‏مایت تجارت ,رهگ جر‎ ee ‏شركتي در سای‎ 

صفحه 56:
ندر ست !9 ‎v2‏ سورس کدها از روي ماشين مياني HACK COUNTER HACK (by PREDICTIVE SYSTEMS) 

صفحه 57:
۱۱ ‏را‎ sl ‎ots) hidden network (Dual) ۶‏ مسیریابها) ‎ail, tise BIOS * ‏* شنود (اثرات الکترومفناطیس, فرستنده- گيرنده‌هاي جاسوسي, دستبرد غيرقانوني) ‎Magic Lantern .»5,5 °‏ ‎Echelon ٠»‏ (شبكه مخفوجهانيمرلقبك 

صفحه 58:
* حرکت شتابان و اجتناب‌ناپذیر به سوي جامعه اطلاعاتي © مخاطرات نوظهور ناشي از حرکت به سوي جامعه اطلاعاتي 7 ماهیت مخاطرات و چرایی وسعت آنها چه باید کرد ؟ 

صفحه 59:


صفحه 60:
JL حذف امي اتصالات و ارتباطات شبکه با سایرین ‎of‏ سیستمها در اتاقهاي محافظت شده درارگگن يك محافظ در درب هر اتاق 

صفحه 61:
آنچه از دست مي‌رود : - تنوع اطلاعات ارزشمند - اشتراک زیرساخت ها در فن آوری اطلاعات - مزاياي غیرقابل چشم پوشي قابلیت دسترسي راه حل محافظه کارانه در عموم كاربردها غيرقابل قبول است. 

صفحه 62:
يك سیستم كامپيوتري بدون ارتباط 010-06 : - جه فایده‌ای دارد؟ 0 آیا ابزارهاي انتقال 0111106 مطمئن هستند؟ - آیا این سیستم يك هدف برجسته براي دشمن نیست؟ راه حل محافظه کارانه در عموم كاربردها غيرقابل قبول است. 

صفحه 63:
به دنبال راه حل قابل قبول ۰ آیاراه حل واقعي و قابل قبول وجود دارد؟ 

صفحه 64:
بلم و فن آوري امنیت به دنبال ارائة روشهايي براو فائق آمدن بر مشکلات امنیتی در اجزاء مختلف 

صفحه 65:
لا لا لا لا تا قبل از شروع قرن بيستم از شروع قرن بيستم تا اوايل دهة 1950 از اوايل دهة 1950 تا اوايل دهة 1980 از اوابل دهة 1980 تاکنون (امروز) 

صفحه 66:


صفحه 67:
- گسترش شبکه و كاربردهاي آن (عصر اطلاعات) 

صفحه 68:
ي سه دوره اول *محدوديت ارتباطات (عمدتاً نقطه به نقطه) *محدوديت انكيزهها (عمدثاً استراتزيك) *محدوديت تجهيزات خودي (محدودبودن رخنهها) *محدوديت تجهيزات دشمن (محدود بودن حملات) 

صفحه 69:
* سریعتر شدن کامپیوترها * رشد سریع شبکه * دسترسيهاي راه دور * تجارت الكترونيك * و کلا گرایش به سوي کنترل الكترونيكي هرچیز مهم و با ارزش 

صفحه 70:
* انگيزههاي سياسي. نظامي (برتري استراتژيك) * انگيزههاي مالي و اقتصادي (سود بیشتر) * انگيزههاي علمي (پیشرفت علم) * انگيزههاي رواني (شهرت طلبي) * انگيزههاي حقوقي (بي اعتبار كردن سيستم) 

صفحه 71:
6 «+ @ * جاسوس ها (تجاري» سياسي. نظامي) * تروریستها * مجرمین (عادي, سازمان بافته) اس 4 * نفوذيها * افراد نه چندان مطمئن | pe coer yee ee) 

صفحه 72:
پيچيددگي فراوان توماسیون * اتو دور عملیات از راه ۱ متنوع * انجام ۳ ناليهاي ار تباطي ‎ils *‏ ™ حمله مو شهاي انتشار رو 3 

صفحه 73:


صفحه 74:
حفاظت از #بيكربندي و بكاركيري امن سيستم عا 9 سباك دق كمك ‎‘lars‏ آتش 8 ارتباط امن سساو (6]| روش‌هاي رمزنگار۶ سن 

صفحه 75:
پروتكل‌هاي رمزنگاری سيستم‌هاي رمزنگاري 

صفحه 76:
Signal) Jus. cul * (Security (Data Security) ‏امنیت دادهها‎ * SYSteM) ‏امنیت سیستم‎ * (Security 

صفحه 77:
امنیت سیگنال امنیت داده‌ها سیستم‌های رمزنگاری سا پروتکل‌های رمزنگاری سیستم‌های عامل و زبان‌های برنامه‌نویسی کاربردها محیطهای عملیاتی 

صفحه 78:
امنیت سیگنال امنیت داده‌ها سیستم‌های رمزنگاری پروتکل‌های رمزنگاری سیستم‌های عامل و زبان‌های برنامه‌نویسی کاربردها محیطهای عملیاتی 

صفحه 79:
امنیت سیگنال امنیت داده‌ها سیستم‌های ی لا طرا پروتکل‌های رمزنگاری سیستم‌های عامل و زبان‌های برنامه‌نویسی کاربردها احی و تحلیل الکور بنسهاي رمزنگاري تحلیل محیطهای عملیاتی 

صفحه 80:
امنیت سیگنال امنیت داده‌ها کاربردها محیطهای عملیاتی 

صفحه 81:
امنیت سیگنال امنیت داده‌ها سیستم‌های رمزنگاری پروتکلهای رمزنگاری سیستم‌های عامل و زبان‌های ‎weit‏ | محيطهاى عملياتى ‎ ‎ ‎ ‎ ‎ ‎ ‎ ‎ ‎ 

صفحه 82:
امنیت سیگنال امنیت داده‌ها سیستم‌های رمزنگاری پروتکلهای رمزنگاری سیستم‌های عامل و زبان‌های برنامه‌نویسی کاربردها محیطهای عملیاتی 

صفحه 83:
امنیت سیگنال ‎Kerberos,...‏ SSL,TLS ‏امنیت داده‌ها‎ IPSec 77 ‏اعنيث سيهم‎ PPTP Cryptographic = H/W Modules 

صفحه 84:
‎١ % As‏ کاریردها | محيطهاى عملياتى ‎ ‎ ‎ ‎ ‎ ‎ ‎ ‎ ‎ 

صفحه 85:
امنیت سیگنال امنیت داده‌ها (VEN) ‏از‎ 

صفحه 86:
امنیت سیگنال امنیت داده‌ها 

صفحه 87:
امنیت سیگنال امنیت داده‌ها 

صفحه 88:
اصول حاکم بر تفکر منعادل درباره امنیت 

صفحه 89:
منیت ابزاري براي نیل به رسالت. است.. تت راگنگشاي رسیدن به اهداف تعریف شدة سیستم اس ت آنجا تعقيب ميشود كه در خدمت رسالت سيستم ‎٠‏ نباقلا به عنوان مانعي در سرراه رسالت سیستم تبلو, * امنیت تا آنجا باید دنبال شود که مزاياي اطمينانپذيري , صحت و استمرار سرویسها بر ‏كندي نسبي سرعت سرويس دهي رجحان داشته باشد. 

صفحه 90:
امنيكٌ مطلق هيجكاه قابل تحقق نیست. يك تگیستم , سایر عوامل نیز میتوانند به اندازة امنیت بیت برخوردار باشند. 4 * وقتي كل سيستم بناچار در معرض آسیب و نابودي است چگونه امنیت سیستم چنین نباشد؟ 

صفحه 91:
ارد ۳ © حساسیت اطلاعات و ردهبندي آنها 9 ۱ AA ‏هلیف مخاطرات و دشمنان و رد هبندي‎ ‏نت هر سیستم باید بر منباي‎ 1 سیاستهای کلان لان فراسازماتي و سازماني تعریف گردد. 

صفحه 92:
دا ملقارد به مورد بايد به رفع ناامنیها (رخنهها و تهدیده ندام نمود. است داشته , باشند. انيزلهها ‎pens‏ بر روي هم تأثير و تأثر متقابل زياد كن جود©وباره كاريهاي ناخواسته در امنسازي از دقت و سواس عوامل ميكاهد. * يك نگارش كلي و جامع برروي اجزاء طراحي شده | منیت بخش ‎au‏ ينفك طراحي ا منیت 

صفحه 93:
حيطة مسئوليتها و مقررات امنيتي بايد كاملا ف و غیرمبهم باشد. سئولك افراد در ردههاي مختلف باید به دقت تعیین شده باشد کلبلًسناريوهاي امکان پذیر وظيفة بخشهاي مختلف ايد تعيين شده باشد دادهاگ امنيتي واقع شده براساس حبطه بندي مسئول د تجزیه و تحلیل شوند. * راهديگري براي پيگيري رويدادهاي امنيتي سیستم و مقابله با آنها جز تعیین دقیق حيطة مسئولیتها وجود ندارد. 

صفحه 94:
ر ردهگدي حساسیت اطلاعات باید ارزش اطلاعات در ده معین شود. باراتقالقوه ناشي از ناامني در سیستم در سطوح م د برآورد هزینه شود. ینهاگ حاصله از طراحي , پيادهسازي و بكارگيري ط نيتي باید برآورد شود. * طرح امنيتي همواره باید توجیه اقتصادي داشة باذ 8 

صفحه 95:
| ere] everett agt. roe ey | Bey eee apy pee محدلگيتهاي قانوني : جنبههاي حقوقي حدو(گنهاي فراسازماني : هنجارهاي اجتماعي : ناسبات انساني حدولگتهاي سازماني : آسایش و راحتي کارکنار ‎J‏ محيط کار ر حفظ نشاط کارکنان 

صفحه 96:
امنیت هر سیستم باید بطور متناوب مورد !255 بي مجدد قرار گیرد. ررسي(گغییرات سیستم ناشي از پويايي ذاتي ‎goin‏ ‏طلاعاتي ‎ile‏ بخصو ص فناورو | اطلاعات ‏ررسئ#مجدد آسيب يذيريهاي سیستم (ناشي از رخنهع نهدیدات جدید) ‏*#ضرورت بازنگري ادواري در امنیت سیستم 

صفحه 97:


صفحه 98:
. ساختار مناسب براي حوزه مهندسي امنیت در ن ضوابط مناسب در حوزه نيروي انساني ضوابط گزینش, قوانین رفتاري و...) یت کلان مخاطرات و پيش‌بيني‌هاي مورد نیاز ر برنامه‌هاي توسعه سیستم 

صفحه 99:
‎٠‏ پذیرش کارکنان ‏9 مدیریت کاربران ‏© ادارة حوادث و سوانح امنيتي ‎٠‏ اموزش ‎٠‏ امنيت فيزيكي و ايمني 

صفحه 100:
‎pian‏ امللا ءإعليت بستر ‎(Auditing) 5.52, - ‏رطیکرد رمزنگااصرجانگي داده ها صحت داده ها ‏- احراز اصالت موجودیتها ‏كاربردهاي اصلي 

صفحه 101:
لا فن آوری اطلاعات /ارتباطات (161) با سرعت زبادي در حال سا پرداختن به امنیت 16 در ابعاد مختلف آن بسیار ضروری است. لا امنیت 1671 يك موضوع چند جانبه است -1۷]01 ‎(Discipline‏ لا متأسفانه در كشور ما تا بحال به موضوع امنیت بسیار محدود نكريسته شده است. لأ آشنائي با زمينههاي مختلف امنیت سبستم‌هاي اطلاعاتي ‎od‏ «فرصتهای مناسبی را برای دانشجویان فراهم می‌کند 

امنيت اطالعات :رمز بقاء در عصر اطالعات بهروز تركالداني ‏ladani@eng.ui.ac.ir 1 فهرست مطالب حركت شتابان و اجتناب‌ناپذير به سوي جامعه اطالعاتي مخاطرات نوظهور ناشي از حركت به سوي جامعه اطالعاتي ماهيت مخاطرات و دليل وسعت آنها چه بايد كرد ؟ 2 فهرست مطالب حركت شتابان و اجتناب‌ناپذير به سوي جامعه اطالعاتي مخاطرات نوظهور ناشي از حركت به سوي جامعه اطالعاتي ماهيت مخاطرات و دليل وسعت آنها چه بايد كرد ؟ 3  معتبIP امپيوترهاي متصل به اينترنت (با Internet Software Consortium (www.isc.org) مرجع: 4 IP رشد ترافيك • E-mail • Information search/access Rel. Bit Volume • Subscription services/“push” 250 • Conferencing/multimedia 200 روند رشد ترافيك صوت و داده Data (IP) • Video/imaging 150 Voice %80 ، به اينطرف2000 از سال سود فراهم كنندگان سرويس‌هاي اطالعاتي ازسرويس هاي مبتني بر . حاصل شده استIP .CIMI Corp — 100 50 1997 1998 1999 2000 2001 Multiple IXC Projections 3 مرجع: 5 د سرمايه گذاري در تجارت الكترونيك در آسيا -اقيان :مرجعIDC, 2003 3 6 فناوري اطالعات در كليه عرصه‌ها ‏Internet 7 فناوري اطالعات در كليه عرصه‌ها ‏Internet بخشهاي دفاعي- استراتژيك دفاعي امنيتي -سياسي 8 فناوري اطالعات در كليه عرصه‌ها بخشهاي زيربنايي ‏Internetنقل حمل و انرژي ارتباطات -آب و خاك 9 فناوري اطالعات در كليه عرصه‌ها بخشهاي توليدي صنايع الكتريكي و فلزي صنايع ماشين سازي صنايع غيرفلزي صنايع معدني امور زراعت و حفظ نباتاتInternet امور دام ،طيور و شيالت توسعه روستايي -توسعه شهري و مسكن 10 فناوري اطالعات در كليه عرصه‌ها بخشهاي اقتصادي و خدمات بازرگاني شبكه بانكي شبكه مالياتي بازار بورس و اوراق بهادار گمرك صادرات و واردات تعاوني هاInternet شركتها -مشاغل و اصناف 11 فناوري اطالعات در كليه عرصه‌ها بخشهاي خدمات فرهنگي- اجتماعي آموزش بهداشت و درمان تامين اجتماعي اطالع رساني تربيت بدنيInternet فرهنگ -خدمات شهري 12 فناوري اطالعات در كليه عرصه‌ها ‏Internet بخشهاي قضايي و حقوقي محاكم و حقوق جرايم -بازرسي و نظارت 13 فناوري اطالعات در كليه عرصه‌ها ‏Internet بخشهاي ستادي و حكومتي رهبري قوه مجريه قوه قضاييه قوه مقننه -نهادهاي عمومي غيردولتي 14 مقايسه شاخصهاي ITدر ايران با استانداردهاي جهاني ايران تعداد رايانه شخصي به ازاء 100نفر 97/6 95/19 شاخص دولت الكترونيك شاخص دسترسي به اطالعات مرجع :خبرگزاري موج به نقل از منابع اينترنتي 15 04/18 23/3 تلفن همراه به ازاي 100نفر تعداد تلويزيون به ازاي 1000نفر 22/9 16/972 57/155 تعداد افراد مرتبط با اينترنت در 10هزار نفر خطوط تلفن ثابت به ازاي 100نفر جهان 77/18 49/288 157 31/1 62/1 167/0 646/0 فهرست مطالب حركت شتابان و اجتناب‌ناپذير به سوي جامعه اطالعاتي مخاطرات نوظهور ناشي از حركت به سوي جامعه اطالعاتي ماهيت مخاطرات و چرايي وسعت آنها چه بايد كرد ؟ 16  گزارش شدهWرشد حوادث امنيتي CERT ®Coordination Center Software Engineering Institute Carnegie Mellon University Pittsburgh,PA 15213-3890 مرجع: 17  گزارش شدهW‌پذيريهايWرشد آسيب CERT ®Coordination Center Software Engineering Institute Carnegie Mellon University Pittsburgh,PA 15213-3890 3 مرجع: 18 خي Wناامني‌هاي گزارش شده در كشور آمر كشف متجاوز از 160.000مورد دسترسي غيرمجاز به سيستمكامپيوتري وزارت دفاع. 95%شركتها و موسسات تجاري اعتراف كرده‌اند كه قربانيكالهبرداري كامپيوتري شده‌اند. بررسي‌ها نشان ميدهد كه 46درصد حمالت صورت گرفتهمنشا داخلي داشته است. :مرجعchris.patterson@eldonchambers.net 3 19 برآورد هWزينه ناامني‌Wهاي Wكامپيوتري ارزش داده هاي ب ه س رقت رفت ه در امريكاساالنه ده ميليارد دالر برآورد مي شود. زيان گزارش شده از كالهبرداري كامپيوتري درشركتهاي امريكاي ي در س الهاي 1997تا 1999بالغ بر 360ميليون دالر است. :مرجعchris.patterson@eldonchambers.net 3 20 دستكاري 100سايتW دولتي Wدر سال 82 • سايت سنجش دات کام هک شد. • 11فروردين - 83بخش خبر آي تي ايران -يک هکر ادعا کرده است ک ه حدود 50س ايت اينترنت ي ايران ي از جمل ه س ايت جهاددانشگاه ي مشهد و دانشگاه آزاد اسالمي واحد شبستر را دستکاري کرده است. وي ک ه پي ش از اي ن در چن د روز گذشت ه س ايت س نجش دات کام را مورد حمله قرار داده تاکيد کرده است که وضعيت امنيت سايت هاي ايراني بسيار ضعيف است. • اي ن فرد اس امي س ايتهاي ه ک شده را روي س ايت خود قرار داده ت. اس در هنگام درج اي ن خ بر در اولي ن س اعات بامداد س ه شنب ه ص فحات س ايتهاي مذکور کامال تغيي ر کرده و ص فحه مربوط ب ه هک ر جايگزي ن شده است :مرجع http://www.itiran.com/news/show.asp?no=8212381343 21 www.irangr een.com ww m w.m aa dk ho dr o.c o d a h h s a m . w m w o w b.c we ISP-Cracker.com مرجع: 22 ناامني در سيستمهاي بانكي … موضوع ديگري نيZز مورد توجZه قرار گرفZت و آZن باال بردن ضريZب ايمني سZرويسهاي كامپيوتري در هنگام اسZتفاده حرفZه اي از آZن اسZت هرچنZد نام بانك ملZي در ايZن ماجرا بZه ميان آمZد و مرتبZا تكرار شZد امZا كمZي بعZد بZا بررسي كارشناسZان مشخZص شZد معضZل امنيتZي منجZر بZه ايZن حادثZه بZه وسZيله شركتي صZورت گرفZت كZه وظيفZه سZرويس دهZي حسZابهاي بانكZي الكترونيك را بر عهده دارد. مرجع :روزنامه شرق اسفند 1382 23 هزينه هاي گزاف ناشي از حمالت ويروسها و كرمها كامپيوتري تا كنون بيش از 124هزار رايانه مورد حمله‌ي كرم بالستر قرار گرفته‌اند چهارشنبه 22مرداد 1382 بالستر فايلي را در دايركتوري ويندور به عنوان كد مخرب طراحي مي‌كند سه شنبه 21مرداد 1382 فعاليت كرم ”Dام‌اس‌بالست“ هم چنان روبه افزايش است جمعه 24مرداد 1382 بالستر هم چنان از ورود به ميكروسافت ناكام است شنبه 25مرداد 1382 تغيير مسير ويروس w32nolorبه سمت ويندوزهاي 2000 شنبه 25مرداد 1382 مدير عامل يك :ISPكاركردISPها در هفته گذشته 10هزار ساعت كاهش داشت دوشنبه 27مرداد 1382 بالستر 500هزار رايانه را آلوده كرد ميكروسافت نگران بچه كرم‌هاي بالستر است سه شنبه 28مرداد 1382 چهارشنبه 29مرداد 1382 براي جلوگيري از حمله‌ي ”بالستر“ساعت رايان ‌ه خود را يك ساعت عقب بكشيد شنبه 1شهريور 1382 اف.بي.آي يكي از نويسندگان بالستر را دستگير مي‌كند جمعه 7شهريور 1382 ميكروسافت هشدار داد:ويروسي شبيه سوبيگ و بالستر در راه است :مرجع www.Itiran.com.news 24 پنجشنبه 20شهريور 1382 فهرست مطالب حركت شتابان و اجتناب‌ناپذير به سوي جامعه اطالعاتي مخاطرات نوظهور ناشي از حركت به سوي جامعه اطالعاتي ماهيت مخاطرات و چرايي وسعت آنها چه بايد كرد ؟ 25 تنوع اطالعات ارزشمند • داده‌ها (ايستا و پويا) – مكاتبات و مراسالت اداري خصوص ًا براي بخش دفاعي استراتژيك (دفاعي ،امنيتي و سياسي) – اطالعات عمومي مردم در بانكهاي اطالعاتي كشوري (ثبت احوال ،كدملي ،كدهاي پستي ،اطالعات امالك شهرداريها و)... – اطالعات خصوصي افراد در بانكهاي اطالعاتي (حسابهاي بانكي ،شماره‌هاي تلفن +آدرسها ،اطالعات موقعيتهاي مكاني تلفنهاي همراه ،بانك اطالعات آموزش دانشگاهها ،بانك اطالعات سهام بورسها و بانكهاي اطالعاتي مالياتي افراد و)... – اطالعات مبادله شده روي شبكه مخابراتي كشوري اعم از صوت و داده و تصوير – اطالعات اقامتي ذخيره شده در شبكه‌هاي هتلها ،مراكز فروش بليط (زميني -هوايي -دريايي) و بيمارستانها و ثبت ورود و خروج از كشور – اطالعات مربوط به مجرمين ،متهمين و محكومين دادگاهها و آمار زندانيان – سوابق كلي نگهداري شده در بايگاني‌هاي ادارات نظير ليستهاي حقوقي ،اطالعات كارگزيني ،حضور و غياب ،بيمه، اضافه‌كار و ...كه تغيير آنها بار مالي و حقوقي براي موسسات و شركتها دارد. 26 تنوع اطالعات ارزشمند • اطالعات ذات ًا ارزشمند – اطالعات ذخيره شده در زمينه دانشهاي فني ايجاد شده در بخشهاي دولتي (مانند انرژي اتمي، مراكز تحقيقات دفاعي ،امنيتي و بيولوژيكي و )...كه داراي ارزش امنيتي ،دفاعي و مالي مي‌باشند و نيز اطالعات مربوط به دانشهاي فني ايجاد شده و ثبت اختراعات اشخاص حقيقي و حقDوقي. – اطالعات مربوط به داراييها ،قراردادها ،معامالت و روابط كاري بخشهاي دولتي و خصوصي – اطالعات مربوط به روابط ،مذاكرات ،همايشها و سمينارهاي داخلي احزاب و گروههاي سياسي – آمارها و اطالعات جمع‌آوري شده در بخشهاي دولتي كه ارزش دفاعي و استراتژيك دارند (نظير موجودي و ذخاير سوخت ،آرد و گندم ،گوشت ،برنج ،انرژي و)... – آمارهاي مربوط به بنيه دفاعي كشور نظير تسليحات ،مهمات ،نيروهاي آماده و توان دفاعي و عملياتي 27 تنوع اطالعات ارزشمند • اطالعات سيستمهاي مراقبتي – مديريتي برخط – اطالعات ايجاد شده توسط سيستمهاي مراقبتي نظير دDوربينهاي مداربسته و گيتهاي ورود و خروج – اطالعات منتشر شده توسط سيستمهاي مراقبتي و كنترلي خDودDروها و اشياء متحرك Dكه اجباراً توسط سيستمهاي راديويي منتقل مي‌شوند. – سيستمهاي كنترل‌پذير نظير نيروگاهها ،سدها ،پااليشگاهها و سيستمهاي ديسپچينگ و سيستمهاي سوپروايزري – اطالعات سيستمهاي كنترل كننده شبكه‌هاي مخابراتي( )TMNكه به تعبيري قلب ارتباطات كشوري را در اختيار دDارند. 28 اشتراک زيرساخت ها در فن آوری اطالعات زيرساخت اطالعات جهاني 29 يک زيرساخت اطالعاتي نمونه و نحوة اضافه يWل‌5-هاي آن شدن پيچيدگ اWتWصاW بWWWهW شWWبكه Wهاي دور رWسانWه WهايقWابWل3- اWنWتقاWWل كWامWپيوترها و دادWه1- W هايآWنWهWا كWارWبراWن2- اWضافWه9- W شWWدنكWWارWبراWنWي كWه WبWWايWستي از طWريWق اWيWنترنWتبWWWهW شWWبكه WمWتصل .شWWوند اWضافWه10- W شWWدنشWWركاي تWWجارWيو اWتWصاWWل از طWريWق اWيWنترنWت 30 بWWازWشدن7- پWWورWتWهWاي شWWبكهW بWWWه8- W اWتWصاWWل اWيWنترنWتاز طWريWق شWWبكه Wهاي فWWرعيمWتصل شWWبكه4- W مWحلي اWضافWه WشWWدن11- سWWرويWسدWهندهW هايعمومWي 6اWتWصاWWل بWWWه WاWيWنترنWت تنوع تهديدات و روند رشد آنها • حمله اينترنتي ،ساده و كم خطر است و به سختي قابل ردگيري است. • يافتن آسيب پذيري در برنامه ها و كاربردها الزاماً نيازي به دراختيار داشتن سورس كد ندارد. • زير ساختهاي حياتي به طور فزاينده اي به اينترنت متكي شده اند. • نفوذگران از طريق پهناي باند وسيع و اتصاالت پرحجم به تدارك حمله مي پردازند (از طريق بيگاري گرفتن از حجم وسيعي از كامپيوترهاي خانگي) 31 تنوع تهديدات و روند رشد آنها - در سال 1988ميالدي استخراج كلمات عبور -استخراج آسيب پذيريهاي شناخته شده 32 • قابليتهاي اضافي امروز - استخراج رخنه هاي پروتكلها يافتن رخنه هاي امنيتي جديد از طريق بررسي فايلهاي قابل اجرا يا سورس كد تغيير غيرمجاز صفحات وب نسب برنامه هاي دستبرد و استراق جابجايي غيرمجاز آدرسهاي IPمبدا حمالت از كاراندازي سرويس پويش گسترده و خودكار اينترنت حمالت توزيع شده ايجاد شبكه هاي بزرگي از كامپيوترهاي به بيگاري گرفته شده ايجاد شبكه هاي راهبري براي حمالت با استفاده از كامپيوترهاي به بيگاري گرفته شده نسبت Wپيچيدگي حمالت به دانش نفوذگري 33 روند رشد تعداد نفوذگران موفق پيچيده تر شدن ابزارهاي نفوذگري -ساده تر شدن استفاده از ابزارهاي نفوذگري :مرجع CERT ®Coordination Center Software Engineering Institute Carnegie Mellon University Pittsburgh,PA 15213-3890 34 پيچيدگي Wراهبري شبكه ها • گزارش 5500آسيب پذيري در سال 2002يعني چه؟ محاسبه زمان الزم براي آشنايي با آسيب پذيريها( 229روز) = (20دقيقه) * 5500 محاسبه زمان الزم براي نصب وصله براي %1موارد( 69روز) = (1ساعت) * 550 ( 298روز) = 69 + 229 35 امنيت اطالعات :يكي از سريعترين بخشهاي در حال رشد در بازار ITدر جهان برآورد ارزش خدمات امنيت اطالعات (دالر) سهم امنيت اطالعات از مشاغلIT :مرجع JobsAhead.comو 36 درصد تعداد تعداد با لحاظ راهبري ‏Nasscom ميالدي2001 ميالدي2006 8.000.000.000 23.600.000.000 2003 2004 2008 1% 3/2% 5/5% 60.000 188.000 600.000 روند نماي کلي انجام يک حملة کامپيوتري برنامه ريزي مرحله بعد عمليات تثبيت مواضع ساير ساير فعاليتهاي فعاليتهاي مجاز غير مجاز غير يا برداشتن يا برداشتن کردن خراب کردن خراب اطالعات اطالعات به حمله به حمله اهداف اهداف ثانويه ثانويه هجوم اوليه کسب کسب دسترسي دسترسي سطح در سطح در کاربر کاربر نصب نصب دريچه دريچه پوشاندن پوشاندن ردپاها ردپاها کسب کسب دسترسي دسترسي سطح در سطح در مدير مدير دستر سي شناسايي شناسايي سيستم سيستم جلوگيري جلوگيري از از سرويس سرويس 37 شناسايي مواضع و نقاطW ضعف سيستم هدف تخري ب يك سناريوي نوعي براي نفوذگري : سرقت سورس كد از يك شركت توليد نرم‌افزار 38 ساختار حمله يكي از برنامه نويسان راه دور شركت دانشگاهي در شوروي سابق هكر حرفه اي ل ذخيره سورس كد اينترنت ديواره آتش شبكه داخلي شركت توليد نرم افزار 39 هكر حرفه اي شركتي در آسياي جنوب شرقي يك سايت تجارت الكترونيكي يافتن سيستمهاي ضعيف مياني .1جستجو در شبكه هاي آسيب پذير نظير آسياي جنوب شرقي و شوروي سابق .2استفاده از پويشگرهاي آسيب پذير نظير Nessusجهت يافتن نقاط ضعف سيستمهاي انتخابي .3يافتن يك سرويس دهنده وب IISمبتني بر NT در شوروي سابق و يك سرويس دهنده ضعيف FTPمبتني بر لينوكس در آسياي جنوب شرقي 40 مخفي نگه داشتن مبدا حمله با استفاده از سيستمهاي مياني بعنوان سكوي انجام حمالت يكي از برنامه نويسان راه دور شركت دانشگاهي در شوروي سابق سرويس دهنده وب NT هكر حرفه اي ل ذخيره سورس كد اينترنت ديواره آتش شبكه داخلي شركت توليد نرم افزار شركتي در آسياي جنوب شرقي هكر حرفه اي لينوكس سايت تجارت الكترونيكي سرويس دهنده ضعيف FTPيك 41 شناسائي پست الكترونيكي كاركنان شركت • بدست آوردن آدرس وب شركت از طريق موتورهاي جستجو معروف در اينترنت • جستجو در سايت وب شركت مورد نظر و بدست آوردن اطالعاتي در مورد چگونگي تماس با كاركنان و كاربران شبكه، شناسايي شركاي تجاري و تكنولوژي مورد استفاده • جستجو در گروههاي خبري مرتبط با فعاليت شركت در جهت بدست آوردن هرچه بيشتر پست الكترونيكي كاركنان شركت و در صورت لزوم به عضويت آن گروهها در آمدن 42 اقدامات اوليه الزم .1 .2 .3 .4 43 خريد يك بازي كامپيوتري كوچك ،زيبا و ناشناس آلوده كردن بازي خريداري شده از طريق يك برنامه آلوده كننده ( )Wrapperبه يك اسب ترواي قدرتمند ثبت نام حوزه www.excellentgames.comبا مشخصات جعلي در InterNICبا استفاده از آدرس ماشين قرباني در آسياي جنوب شرقي بار كردن بازي كامپيوتري آلوده در ماشين قرباني مزبور تهيه محتواي Wنامه الكترونيكي كمپاني ما در صدد بازاريابي يك برنامه بازي جديد بوده و احتياج به پيشنهادات افراد صاحب اطالع دارد .افرادي كه بتوانند پيشنهادات ارزنده اي در رابطه با اين نرم افزار ارائه كنند ده هزار دالر جايزه به آنها تعلق ميگيرد. اين نرم افزار را ميتوان از طريق آدرس زير بدست آورد: ‏ftp://www.excellentgames.com/sample/ 44 ارسال نامه الكترونيكي دعوت به تست يك Game براي كاركنان شركت يكي از برنامه نويسان راه دور شركت دانشگاهي در شوروي سابق سرويس دهنده وب NT .. ي هكر ترونيك مه الك نا ل ذخيره سورس كد هكر حرفه اي اينترنت ديواره آتش .. شبكه داخلي شركت توليد نرم افزار شركتي در آسياي جنوب شرقي هكر حرفه اي لينوكس سايت تجارت الكترونيكي سرويس دهنده ضعيف FTPيك 45 دريافت نامه توسط يكي از برنامه نويسان راه دور شركت يكي از برنامه نويسان راه دور شركت سرويس دهنده دانشگاهي در شوروي سابق پست الكترونيكي .. هكر حرفه اي ايجاد ارتباط ‏VPN ل ذخيره سورس كد اينترنت ديواره آتش .. شبكه داخلي شركت توليد نرم افزار 46 هكر حرفه اي شركتي در آسياي جنوب شرقي يك سايت تجارت الكترونيكي ‌كWردWنرويلWWينك ‏DownloadشWWدن GameآWWلودWه WبWWا كWWليك تWWWعيينشWWده Wدر نWWامWهW يكي از برنامه نويسان راه دور شركت دانشگاهي در شوروي سابق .. هكر حرفه اي ل ذخيره سورس كد اينترنت ديواره آتش .. شبكه داخلي شركت توليد نرم افزار 47 هكر حرفه اي شركتي در آسياي جنوب شرقي يك سايت تجارت الكترونيكي نصب اسب تروا با اجراي برنامه بازي روي كامپيوتر برنامه نويس شركت يكي از برنامه نويسان راه دور شركت نصب اسب تروا دانشگاهي در شوروي سابق .. .. هكر حرفه اي ل ذخيره سورس كد اينترنت ديواره آتش .. شبكه داخلي شركت توليد نرم افزار 48 هكر حرفه اي شركتي در آسياي جنوب شرقي يك سايت تجارت الكترونيكي خصوصيات اسب ترواي بكاررفته • • • • • 49 استراق سمع ارتباط برنامه نويس با شبكه و كشف كلمه عبور او شناسائي منابع اشتراكي شبكه تكثير خود از طريق آلوده سازي فايلهاي اجرائي شبكه باز كردن يكي از پورتها (مثال پورت )TCP-7597روي ميزبان نصب شده اين اسب ترواي خطرناك توسط هكرها نوشته شده و قابل كشف توسط ويروسيابها نميباشد گسترش و نصب اسب تروا درون شبكه يكي از برنامه نويسان راه دور شركت آلوده به اسب تروا آلوده به اسب تروا .. .. .. ‏VPN سورس كد ‏Internet .. آلوده به اسب تروا 50 .. سرقت فايل كلمات عبور توسط اسب تروا و انتقال به ماشين مياني آلوده به اسب تروا دانشگاهي در شوروي سابق .. آلوده به اسب تروا .. .. هكر حرفه اي ل ذخيره سورس كد .. ديواره آتش آلوده به اسب تروا .. هكر حرفه اي شركتي در آسياي جنوب شرقي يك سايت تجارت الكترونيكي 51 نصب يك نرم افزار Password Crackerاز طريق كانال نهان روي ماشين مياني آلوده به اسب تروا دانشگاهي در شوروي سابق .. آلوده به اسب تروا .. .. هكر ‏Password Cracker حرفه اي ل ذخيره سورس كد ‏Covert_TCP ‏Client .. ديواره آتش آلوده به اسب ‏Covert_TCP تروا ‏Server .. ‏Covert_TCP ‏bounce ‏FTP Server ‏FTP Forwarding ONيك سايت تجارت الكترونيكي هكر حرفه اي 52 كانال نهان طات مخفي كه از بستر يك كانال ارتباطي آشكار صورت ميگيرد گفته ي نهان از تكنيكهاي پيچيده و بسيار فني نفوذگران بوده و مبتني بر مد Client/Seميباشد. هاي نهان اطالعات يا فرامين مورد نظر در سرايند يا محتواي پروتكلها ارد پنهان شده و بدون جلب توجه بين Clientو Serverمبادله ميگر ي نهان را به روشهاي مختلفي ميتوان ايجاد نمود اين روشها عبارتند از ه از سرايند بسته هاي TCPو IP ه از پروتكل ICMP ه از پروتكل هاي HTTPو FTP ه از پروتكل Telnet 53 ايجاد ارتباط VPNبا شبكه هدف از روي ماشين مياني آلوده به اسب تروا دانشگاهي در شوروي سابق .. آلوده به اسب تروا .. .. هكر حرفه اي ارتباط VPN ل ذخيره سورس كد ‏Covert_TCP ‏Client .. ديواره آتش آلوده به اسب تروا .. ‏Covert_TCP ‏bounce ‏Covert_TCP ‏Server هكر حرفه اي شركتي در آسياي جنوب شرقي يك سايت تجارت الكترونيكي 54 جستجو و يافتن سورس كدها توسط اسب تروا و انتقال به ماشين مياني دانشگاهي در شوروي سابق .. آلوده به اسب تروا .. ذخيره موقت سورس كدها .. هكر حرفه اي ارتباط VPN ل ذخيره سورس .. كد ‏Covert_TCP ‏Client .. ديواره آتش .. ‏Covert_TCP ‏bounce ‏Covert_TCP ‏Server هكر حرفه اي شركتي در آسياي جنوب شرقي يك سايت تجارت الكترونيكي 55 پايان موفقيت آميز عمليات نفوذگران بدست آوردن سورس كدها از روي ماشين مياني ‏HACK COUNTER HACK (by PREDICTIVE :مرجع )SYSTEMS 56 رهاي نامتعارف جنگ اطالعات • (( hidden network )Dualسوئيچها ،مسيريابها) • BIOSهايت غيير ي افته • شنود (اثرات الكترومغناطيس ،فرستنده -گيرنده‌هاي جاسوسي ،دستبرد غيرقانوني) • ويروس Magic Lantern اقبت • ( Echelonش بكه م خفيجهان يم ر ) 57 فهرست مطالب حركت شتابان و اجتناب‌ناپذير به سوي جامعه اطالعاتي مخاطرات نوظهور ناشي از حركت به سوي جامعه اطالعاتي ماهيت مخاطرات و چرايي وسعت آنها چه بايد كرد ؟ 58 تقابل امنيت و قابليت دسترسي 59 قابليت دسترسي امنيت يك راه حل محافظه كارانه يك راه حل محافظه كارانه حذف تمامي اتصاالت و ارتباطات شبكه با سايرين قراردادن سيستمها در اتاقهاي محافظت شده قراردادن يك محافظ در درب هر اتاق 60 يك راه حل محافظه كارانه آنچه از دست مي‌رود : تنوع اطالعات ارزشمند اشتراک زيرساخت ها در فن آوری اطالعات -مزاياي غيرقابل چشم پوشي قابليت دسترسي راه حل محافظه كارانه در عموم كاربردها غيرقابل قبول است. 61 يك راه حل محافظه كارانه يك سيستم كامپيوتري بدون ارتباط : On-line چه فايده‌اي دارد؟ آيا ابزارهاي انتقال Off-lineمطمئن هستند؟ -آيا اين سيستم يك هدف برجسته براي دشمن نيست؟ راه حل محافظه كارانه در عموم كاربردها غيرقابل قبول است. 62 به دنبال راه حل قابل قبول • آيا راه حل واقعي و قابل قبول وجود دارد؟ آري 63 علم و فن آوري امنيت امنيت براي روشهاييبراي ارائةروشهايي دنبالارائة امنيتبهبهدنبال آوريامنيت فنآوري علمووفن علم مختلف اجزاءمختلف دراجزاء امنيتيدر مشكالتامنيتي ‌آمدنبربرمشكالت ق‌آمدن فائق فائ است ‌هااست شبكهه‌ها جملهشبك اطالعاتيازازجمله ‌هاياطالعاتي سيستمم‌هاي سيست 64 دورههاي طي شده در علم امنيت تا قبل از شروع قرن بيستم از شروع قرن بيستم تا اوايل دهة 1950 از اوايل دهة 1950تا اوايل دهة 1980 از اوايل دهة 1980تاكنون (امروز) 65 دورههاي طي شده در علم امنيت دوره اول : استفاده از روشها و سيستمهاي ساده (مانند )Vigenere دوره دوم : استفاده از سيستمهاي مكانيكي يا الكترومكانيكي پيچيده جنگهاي جهاني66 دورههاي طي شده در علم امنيت دوره سوم : مقاله مهم شانون` -عصر ميكروالكترونيك دوره چهارم : پيشرفتهاي ذاتي علم امنيت و به ويژه ابداع سيستمهاي كليد عمومي گسترش Zشبكه و كاربردهاي آن (عصر اطالعات)67 ويژگيهاي سه دوره اول *محدوديت ارتباطات (عمدت ًا نقطه به نقطه) *محدوديت انگيزهها (عمدت ًا استراتژيك) *محدوديت تجهيزات خودي (محدودبودن رخنهها) * محدوديت تجهيزات دشمن (محدود بودن حمالت) 68 يژگيهاي دورة فعلي ( عصر اطالعات * سريعتر شدن كامپيوترها * رشد سريع شبكه * دسترسيهاي راه دور * تجارت الكترونيك *وك ً ال گرايش به سوي كنترل الكترونيكي هرچيز مهم و با ارزش ‏Digital ‏Digital ‏World ‏World 69 حوزة مسايل اجتماعي، حوزة مسايل اجتماعي، ...سياسي ،اقتصادي و ...سياسي ،اقتصادي و تنوع انگيزهها * انگيزههاي سياسي ‌،نظامي (برتري استراتژيك) * انگيزههاي مالي و اقتصادي (سود بيشتر) * انگيزههاي علمي (پيشرفت علم) * انگيزههاي رواني (شهرت طلبي) * انگيزههاي حقوقي (بي اعتبار كردن سيستم) 70 تنوع دشمنان تنوع دشمنان تنوع انگيزهها * جاسوس ها (تجاري ،سياسي ،نظامي) * تروريستها * مجرمين (عادي ،سازمان يافته) * هكرها * نفوذيها * افراد نه چندان مطمئن 71 عام مفهومعام يكمفهوم دشمن»»بهبهيك استراتژيك««دشمن مفهوماستراتژيك تبديلمفهوم تبديل ماهيت جديد حمالت * پيچيدگي فراوان * اتوماسيون * انجام عمليات از راه دور * كانالهاي ارتباطي متنوع * انتشار روشهاي موفق حمله 72 اركان امنيت مؤلفههاي امنيت صحت ‏ محرمانگي :صحت قابليت دسترسي محرمانگي قابليت دسترسي 73 سرويسهاي اساسي امنيت حفاظت از پيكربندي و بكارگيري امن سيستم عامل خودي به كمك ديوارة آتش شبكة شبكه محافظت ارتباط امن امن‌سازي ارتباطات به كمك بين‌شبكه‌اي روش‌هاي رمزنگاري مديريت 74 ارتباط امن سلسله مراتب اتكاء امنيت پيچيدگي محيط اجرا رخنه‌هاي پياده سازي ضعف چارچوب هاي نظري كاربردها سيستم‌هاي عامل و زبان‌هاي برنامه نويسي پروتكل‌هاي رمزنگاري سيستم‌هاي رمزنگاري 75 روشهاي تحليل قوي‌تر چارچوب‌هاي نظري قوي‌تر كم‌شدن تأثيرات محيطي ابعاد مختلف امنيت * امنيت سيگنال (Signal )Security * امنيت دادهها ()Data Security 76 * امنيت سيستم (System )Security ي مختلف تحقيق در زمينة امنيت سيستم‌هاي اطال سيستم‌هاي رمزنگاري امنيت سيگنال امنيت داده‌ها امنيت سيستم 77 پروتكل‌هاي رمزنگاري سيستم‌هاي عامل و زبان‌هاي برنامه‌نويسي كاربردها محيط‌هاي عملياتي ي مختلف تحقيق در زمينة امنيت سيستم‌هاي اطال سيستم‌هاي رمزنگاري امنيت سيگنال امنيت داده‌ها امنيت سيستم 78 پروتكل‌هاي رمزنگاري سيستم‌هاي عامل و زبان‌هاي برنامه‌نويسي كاربردها محيط‌هاي عملياتي )ESM ‏ )ESM,,CESM ضدآن( (CESM الكترونيكووضدآن پشتيبانيالكترونيك اقداماتپشتيباني ‏اقدامات ‏SIGINT ‏ ضدآن( (SIGINT,, سيگنالووضدآن آگاهيازازسيگنال اقداماتآگاهي ‏اقدامات )SIGSEC )SIGSEC )ECM ‏ )ECM,,ECCM ضدآن( (ECCM الكترونيكيووضدآن ضدالكترونيكي اقداماتضد ‏اقدامات ي مختلف تحقيق در زمينة امنيت سيستم‌هاي اطال سيستم‌هاي رمزنگاري پروتكل‌هاي رمزنگاري سيستم‌هاي عامل و زبان‌هاي برنامه‌نويسي كاربردها امنيت سيگنال امنيت داده‌ها امنيت سيستم 79 رمزنگاري ‏ الگوريتمهايرمزنگاري تحليلالگوريتمهاي طراحيووتحليل ‏طراحي ‏ الگوريتمها آماريالگوريتمها ‌هايآماري ويژگيي‌هاي تحليلويژگ تحليل ‏ حمالت برابرحمالت دربرابر سازيدر مقاومسازي مقاوم ‏ الگوريتم) شكستنالگوريتم) الگوريتمها((شكستن تحليلالگوريتمها تحليل محيط‌هاي عملياتي ي مختلف تحقيق در زمينة امنيت سيستم‌هاي اطال سيستم‌هاي رمزنگاري امنيت سيگنال امنيت داده‌ها امنيت سيستم 80 پروتكل‌هاي رمزنگاري سيستم‌هاي عامل و زبان‌هاي برنامه‌نويسي كاربردها الگوريتمها ‏ سازيالگوريتمها پيادهسازي ‏پياده ‏ قالبي الگوريتمهايقالبي الگوريتمهاي ‏ ‌اي دنبالهه‌اي الگوريتمهايدنبال الگوريتمهاي ‏ بيضوي خمبيضوي مبتنيبربرخم الگوريتمهايمبتني الگوريتمهاي ......  محيط‌هاي عملياتي ي مختلف تحقيق در زمينة امنيت سيستم‌هاي اطال سيستم‌هاي رمزنگاري امنيت سيگنال امنيت داده‌ها امنيت سيستم 81 پروتكل‌هاي رمزنگاري سيستم‌هاي عامل و زبان‌هاي برنامه‌نويسي كاربردها رمزنگاري ‏ ‌هايرمزنگاري پروتكلل‌هاي طراحيپروتك ‏طراحي ‏ اصالت احرازاصالت ‌هاياحراز پروتكلل‌هاي پروتك ‏ كليد توزيعكليد ‌هايتوزيع پروتكلل‌هاي پروتك ‏ امنيتي ويژةامنيتي ‌هايويژة پروتكلل‌هاي پروتك محيط‌هاي عملياتي ي مختلف تحقيق در زمينة امنيت سيستم‌هاي اطال سيستم‌هاي رمزنگاري امنيت سيگنال امنيت داده‌ها امنيت سيستم 82 پروتكل‌هاي رمزنگاري سيستم‌هاي عامل و زبان‌هاي برنامه‌نويسي كاربردها رمزنگاري ‏ ‌هايرمزنگاري پروتكلل‌هاي تحليلپروتك ‏تحليل ‏ شهودي ‌هايشهودي ش‌هاي روش رو ‏ صوري ‌هايصوري ش‌هاي روش رو محيط‌هاي عملياتي ي مختلف تحقيق در زمينة امنيت سيستم‌هاي اطال رمزنگاري ‏ ‌هايرمزنگاري پروتكلل‌هاي سازيپروتك پيادهسازي ‏پياده سيستم‌هاي رمزنگاري امنيت سيگنال پروتكل‌هاي رمزنگاري ‏Application ‏Presentation ‏Session امنيت داده‌ها امنيت سيستم ‏SET, ‏PEM, S-HTTP …Kerberos, ‏SSL,TLS ‏Transport ‏Network ‏Datalink ‏Physical 83 سيستم‌هاي عامل و زبان‌هاي برنامه‌نويسي كاربردها محيط‌هاي عملياتي ‏IPSec ‏PPTP ‏Cryptographic ‏H/W Modules ي مختلف تحقيق در زمينة امنيت سيستم‌هاي اطال عامل ‏ ‌هايعامل سيستمم‌هاي امنيتسيست ‏امنيت سيستم‌هاي داده ‌هاي ‏ رمزنگاري داده پايگاهه‌هاي امنيتپايگا ‏امنيت پروتكل‌هاي رمزنگاري سيستم‌هاي عامل و زبان‌هاي برنامه‌نويسي ‏ ‏Access ‏ دسترسي ((Access كنترلدسترسي روشهايكنترل روشهاي سيگنال امنيت ))control ‏control ‏ ))Auditing ‏ رديابي((Auditing روشهايرديابي روشهاي امنيت داده‌ها ))IDS ‏ نفوذ((IDS تشخيصنفوذ هايتشخيص سيستمهاي ‏سيستم امنيت سيستم 84 كاربردها محيط‌هاي عملياتي ي مختلف تحقيق در زمينة امنيت سيستم‌هاي اطال امنيت سيگنال امنيت داده‌ها امنيت سيستم 85 امنيتي ‏ كاربردهايامنيتي ‏كاربردهاي ‏ امن الكترونيكي پست سيستم‌هاي عامل و ‌هاي ل پروتك ‌هاي سيستم پست الكترونيكي امن زبان‌هاي رمزنگاري رمزنگاري ‏ امن وب امن وب برنامه‌نويسي ...... ‏ ))VPN ( مجازي اختصاصي شبكة شبكة اختصاصي مجازي (VPN ‏ آتش ديوارةآتش ديوارة ‏ ‏Hacking مقابلهباباHacking مقابله كاربردها محيط‌هاي عملياتي ي مختلف تحقيق در زمينة امنيت سيستم‌هاي اطال الكترونيك ‏ تجارتالكترونيك ‏تجارت سيستم‌هاي رمزنگاري ‏ پروتكل‌هاي رمزنگاري هوشمند كارتهايهوشمند كارتهاي امنيت سيگنال امنيت داده‌ها امنيت سيستم 86 سيستم‌هاي عامل و زبان‌هاي برنامه‌نويسي اصالت ‏ احرازاصالت جديداحراز ‌هايجديد سيستمم‌هاي ‏سيست كاربردها محيط‌هاي عملياتي ي مختلف تحقيق در زمينة امنيت سيستم‌هاي اطال امنيت ‏ مهندسيامنيت ‏مهندسي سيستم‌هاي عامل و پروتكل‌هاي سيستم‌هاي زبان‌هاي رمزنگاري رمزنگاري ‏ اطالعات امنيت استانداردهاي ‏ اطالعات امنيت استانداردهاي برنامه‌نويسي امنيت سيگنال ))ISMS ‏ امنيت((ISMS مديريتامنيت ‏مديريت امنيت داده‌ها محيطي ‏ امنيتمحيطي ‏امنيت امنيت سيستم 87 كاربردها محيط‌هاي عملياتي اصول حاكم بر تفكر متعادل درباره امنيت 88 امنيت ابزاري براي نيل به رسالتW سيستم است.W ت راهگشاي رسيدن به اهداف تعريف شدة سيستم اس يت تا آنجا تعقيب ميشود كه در خدمت رسالت سيستم ب ت نبايد به عنوان مانعي در سرراه رسالت سيستم تبلور امنيت تا آنجا بايد دنبال شود كه مزاياي اطمينانپذيري ,صحت و استمرار سرويسها بر كندي نسبي سرعت سرويس دهي رجحان داشته باشد. 89 امنيت نسبي است امنيت مطلق هيچگاه قابل تحقق نيست. مديريت سيستم حد و مرزها را تعيين ميكند. يك سيستم ,ساير عوامل نيز ميتوانند به اندازة امنيت ميت برخوردار باشند. وقتي كل سيستم بناچار در معرض آسيب و نابودي است چگونه امنيت سيستم چنين نباشد؟ 90 امنيت هر سيستم تعريف مخصوص به خود دارد تعيين حساسيت اطالعات و ردهبندي آنها عيين طيف مخاطرات و دشمنان و ردهبندي امنيت هر سيستم بايد بر منباي سياستهاي كالن فراسازماني و سازماني تعريف گردد. 91 امنيت سيستم يك طرح يكپارچه و جامع ميطلبد تدا مورد به مورد بايد به رفع ناامنيها (رخنهها و تهديده قدام نمود. انيزمها و راهحلها بر روي هم تأثير و تأثر متقابل زيادي مكن است داشته باشند. جود دوباره كاريهاي ناخواسته در امنسازي از دقت و سواس عوامل ميكاهد. يك نگارش كلي و جامع برروي اجزاء طراحي شده امنيت بخش الينفك طراحي امنيت سيستم است. 92 حيطة مسئوليتها و مقررات امنيتي بايد كامال ً شفاف و غيرمبهم باشد. مسئوليت افراد در ردههاي مختلف بايد به دقت تعيين شده باشد ر كلية سناريوهاي امكان پذير وظيفة بخشهاي مختلف ايد تعيين شده باشد يدادهاي امنيتي واقع شده براساس حيطه بندي مسئولي د تجزيه و تحليل شوند. راهديگري براي پيگيري رويدادهاي امنيتي سيستم و مقابله با آنها جز تعيين دقيق حيطة مسئوليتها وجود ندارد. 93 طرح امنيتي بايد مقرون به صرفه باشد. ر ردهبندي حساسيت اطالعات بايد ارزش اطالعات در ده معين شود. سارات بالقوه ناشي از ناامني در سيستم در سطوح مخ د برآورد هزينه شود. زينههاي حاصله از طراحي ,پيادهسازي و بكارگيري طر نيتي بايد برآورد شود. طرح امنيتي همواره بايد توجيه اقتصادي داشته باشد. 94 امنيت هر سيستم توسط عوامل اجتماعي محدود ميشود. محدوديتهاي قانوني :جنبههاي حقوقي محدوديتهاي فراسازماني :هنجارهاي اجتماعي و مناسبات انساني محدوديتهاي سازماني :آسايش و راحتي كاركنان ر محيط كار ,حفظ نشاط كاركنان 95 امنيت هر سيستم بايد بطور متناوب مورد ارزيابي مجدد قرار گيرد. ررسي تغييرات سيستم ناشي از پويايي ذاتي سيستمه اطالعاتي بررسي تغييرات سيستم ناشي از توسعه و رشد فناوري مختلف بخصوص فناوري اطالعات ررسي مجدد آسيب پذيريهاي سيستم (ناشي از رخنهه تهديدات جديد) ‏ضرورت بازنگري ادواري در امنيت سيستم 96 جنبه هاي مختلف امن سازي كنترلهاي مديريتي كنترلهاي عملياتي كنترلهاي فني 97 كنترلهايW مديريتيW د ساختار مناسب براي حوزه مهندسي امنيت در ن ضوابط مناسب در حوزه نيروي انساني ضوابط گزينش ،قوانين رفتاري و…) ريت كالن مخاطرات و پيش‌بيني‌هاي مورد نياز ر برنامه‌هاي توسعه سيستم 98 كنترلهاي عملياتي • • • • • 99 پذيرش كاركنان مديريت كاربران ادارة حوادث و سوانح امنيتي آموزش امنيت فيزيكي و ايمني كنترلها ي فنيW امنيت بستر سيستم اطالعاتي امنيت كاربردهاي اصلي 100 رويكرد شناسايي سيستمي : كنترل دستيابي -رهگيري ()Auditing رويكرد محرمانگي داده ها رمزنگارانه : صحت داده ها -احراز اصالت موجوديتها جمع بندي فن‌آوري اطالعات/ارتباطات ( )ICTبا سرعت زيادي در حال گسترش است. پرداختن به امنيت ICTدر ابعاد مختلف آن بسيار ضروري است. امنيت ICTيك موضوع چند جانبه است (Multi- )Discipline متأسفانه در كشور ما تا بحال به موضوع امنيت بسيار محدود نگريسته شده است. آشنائي با زمينه‌هاي مختلف امنيت سيستم‌هاي اطالعاتي 101فرصتهاي مناسبي را براي دانشجويان فراهم مي‌كند