امنیت اطلاعات و ضرورت آن

صفحه 1:


صفحه 2:
۶ حوادث و رخدادهای امنیتی - رشد قابل توجه رخدادها - توزیع آلودگی در دنیا و ايران - جنگ سایبری ۴ مبانی امنیت اطلاعات — تعاریف و مفاهیم اولیه - تهدیدات و حملات - اقدامات امنیتی - ناامنی و مدیریت امنیت ‎ee >‏ ۹ امليت اطلاعات و ضرورت آنا 

صفحه 3:


صفحه 4:
* زندگی وابسته به رشته‌های بیتی روی خطوط * روند روبه‌رشد استفاده از شبکه در شرکت‌ها و ‎(a‏ * افزايش دسترسی و افزايش تهدیدات 

صفحه 5:
حوادث و رخدادهاى امنيتى eee ern ee 

صفحه 6:
و شد رو خدادهای امنیتی 02 3 امليت اطلاعات و ضرورت آنا 

صفحه 7:
”> ی رشد ابزار و کاهش دانش حمله ابزار مهاجمان ‎Packet Forging Spoofing Internet Worms‏ DDoS “Sniffers _ > Back Doors Sweepers امليت اطلاعات و ضرورت آنا 

صفحه 8:
* از دو نمودار قبلی بخوبی پیداست : — تعداد حملات علیه امنیت اطلاعا ‏ ۱۳ يافته است. - امروزه تدارک حمله با در اختیار دانش زیادی احتیاج ندارد (بر خا امليت اطلاعات و ضرورت آنا 

صفحه 9:
نگاهی به گزارش 971 انگلیس 80% 100% اميت اطلاعات 9 شرورت آزا 

صفحه 10:
2-7 نگاهی به گزارش 0۲۱ انگلیس ‏ . 100% 80% کل سازمانها -۲۰۰۸ سا امليت اطلاعات و ضرورت آنا 

صفحه 11:
> نگاهی به گزارش 071 انگلیس 0 % 80% 30% اهليت اطلاعات و ضرورت آنا 

صفحه 12:
— نكاهى نيه گزارش ‎DTI‏ انگلیس ۵۱-۵۲۵ ۲/۵۵ -۲ WIA = FIA ۸۱۵ - ۵۱ ۱۷-۵ ۱۱۷-۷ ۶۴۶ ۴۰ ۲۰/۴ - ۲ ۶۸ - ۵ ۶۸ - ۵ ۳۲۴-۲۵۸۵ ۳۴۰-۲۵۸۵ 

صفحه 13:
حوادث و رخدادهاى امنيتى توزيع الودقى در دنيا و ايران 

صفحه 14:


صفحه 15:


صفحه 16:


صفحه 17:


صفحه 18:
- ایجاد اختلال در سیستم ضدهوایی عراق - توسط نیروی هوایی آمریکا با استفاده از 7 انتقال از طریق چیپ پرینتر - هر چند بعدها درست امنيت اطلاعات و ضرورت آنا 1 

صفحه 19:
امنيت اطلاعات و ضرورت آنا 

صفحه 20:
امنيت اطلاعات و ضرورت آنا 

صفحه 21:
سیستبهاه ۲ | منبع: امنيت اطلاعات و ضرورت آنا 

صفحه 22:
ean Peer ee) ‏تعار يف و مفاهيم اوليه‎ 

صفحه 23:
< امنیت چیست؟ * امنیت به (طور غیر رسمی) عبارتست از حفاظت از آنجه برای ما ارزشمند ۱ - در برابر حملات عمدی - در برابر رویدادهای غیرعمدی 

صفحه 24:
امنیت اطلاعات مبتنی است بر تحقق سه ویژگی زیر: (Con Y) Sil pro * عدم افشای غیرمجاز داده‌ها امليت اطلاعات و ضرورت آنا 

صفحه 25:
امنيت اطلاعات مبتقى ناكا ا 00 ‎(integrity) leosls oxo bir *‏ Confidentiality) ‏حفظ محرمانگی دادهها‎ * _ Authentication) cite! j>1 + * عدمانكار ‎-repudiation)‏ ‏دسترس يذيرى (/]| |1101 امليت اطلاعات و ضرورت آنا 

صفحه 26:
حتتی ‏ تعاریف و مفاهیم اولیه * در تعریف سیاست‌های امنیتی: - بايد بدانيد تا جه اندازه و در جه نقاطى نياز به اقا محافظتى داريد. - سیاستهای سازمان «, ۰" ۱ - بايد بدانيد جه افرادی؛ جه سازمان دارند. امليت اطلاعات و ضرورت آنا 

صفحه 27:
آسیب پذیری (61۱۱۲۷ ۰۵2۱۱6۲ ۷): سیستم که می توان از آن سوءاستفاده کرد و امنیت سیستم را نقض کرد. ۰ مه | | : تلاش ‎she‏ یک نفوذ عمدی در یک ,سید اسب 9 مرو * نفوذ (16۱۳115100): نتیجه یک حمله موفت ۰ 2 

صفحه 28:
* مکانیزم امنیتی (66۱8۲15۲۱] ۲۷ ابزار و یا رویه‌ای که برای اعمال یک سیاست امنیتی به مکانیزم امنیتی گویند. امليت اطلاعات و ضرورت آنا 

صفحه 29:


صفحه 30:
- افراد (عوامل انساتی) -نرمفزارها امنيت اطلاعات و ضرورت آنا 

صفحه 31:
- ع 9 قرمزاسیاه 35 9 ‎by‏ - کارمندان ناراضی رقییاه ۳ - رقیبان خارجی -دولت‌های ۱ امليت اطلاعات و ضرورت آنا 

صفحه 32:
-تحتی تهدید - عامل نرملفزاری * برنامه‌های کاربردی به دو صورت می‌توانند عامل خطر باشند: امليت اطلاعات و ضرورت آنا 

صفحه 33:
* بدافزار (۷۵۱۷۷3۲6): یک قطعه کد. اسکریپت. و با برنامه کا خرابکاری و اختلال در امنیت سیستمها پا شبکهها منتشر مب * اهداف خرابکارانه بدافزارها: - دزدی اطلاعات محرمانه و نقض حریم - کندی و ایجاد وقفه و اختلال در - تخریب و تغییر اطلاعات - سوءاستفاده از منابع و د امليت اطلاعات و ضرورت آنا 

صفحه 34:
‎(ViruS) 255‏ - يك قطعه برنامه كوجك با انتشار از طريق جسبيدن به ديكر ة ‎١ (Worm) es °‏ ‏7 برنامه کوچک مستقل با توانایی کپی شدن و بیشتر ان ‎(Trojan Horse) |,,; 1 °‏ - مخفى در يك برنامه مفيد يا به * بات (80۲) شبکه بات (]! 

صفحه 35:


صفحه 36:
‎(Prevention) <i. °‏ — جلوگیری از خسارت ‏۶ تشخیص و ردیابی (۲۲31۲9 6 51080 ‏< تشخیص 06۱60000 ‏* میزان خسارت ‏امليت اطلاعات و ضرورت آنا 

صفحه 37:
tb « اقدامات امنیتی * مراتب مقابله با نفوذ و تهاجم در سیستم اطلاعاتی /ارتباطی تواممات و عملات 

صفحه 38:
۷ perme | os NT ee ee dL 

صفحه 39:


صفحه 40:
امنيت اطلاعات و ضرورت آنا 

صفحه 41:


صفحه 42:
* مصالحه بین امنیت» کارآبی و عملکرد * مصالحه بین امنیته کارایی و هزینه * میزان امنیت مورد انتظار کاربران؟ * میزان ناامنی قابل تحمل سازمان؟ امنيت اطلاعات و ضرورت آنا 

صفحه 43:
منیت معمولاًقربانی افزایش کارآیی و مقیاس پذبری * امنیت بالا هزینه‌بر است. * کاربران عادی امنیت را به عنوان مانع در می‌کنند و از سیاستهای امنیتی . امنيت اطلاعات و ضرورت آنا 

صفحه 44:
آن لذت می‌برند. * ملاحظات امنیتی در هنگام طرا نظر گرفتهنمی‌شود امليت اطلاعات و ضرورت آنا 

صفحه 45:
”2 سیستم مدیریت امنیت اطلاعات Management امليت اطلاعات و ضرورت آنا 

صفحه 46:


صفحه 47:
امليت اطلاعات و ضرورت آنا 

صفحه 48:


حمید رضا شهریاری ‏http://ceit.aut.ac.ir/~shahriari استادیار دانشگاه صنعتی امیرکبیر (نسخه اولیه اسالیدها توسط آقای دکتر امینی تهیه شده اند) امنيت اطالعات و ضرورت آن اسفند 1390 فهرست مطالب • • • • مقدمه حوادث و رخدادهای امنیتی – رشد قابل توجه رخدادها – توزيع آلودگي در دنيا و ايران – جنگ سايبري مبانی امنیت اطالعات – تعاریف و مفاهیم اولیه – تهدیدات و حمالت – اقدامات امنیتی – نااَمني و مديريت امنيت اطالعات جمعبندی امنيت اطالعات و ضرورت آن 2 امنيت اطالعات و ضرورت آن 3 مقدمه • زندگي وابسته به رشته‌هاي بيتي روي خطوط ارتباطي • روند روبه‌رشد استفاده از شبكه در شركت‌ها و سازمانها (به خصوص اينترنت) • افزایش دسترسی و افزایش تهدیدات الکترونیکی امنيت اطالعات و ضرورت آن 4 امنيت اطالعات و ضرورت آن 5 رشد رخدادهای امنیتی تعداد رخدادها میزان رخدادهای امنیتی گزارش شده توسط مرکز مدیریت رخداد CERT امنيت اطالعات و ضرورت آن 6 رشد ابزار و کاهش دانش حمله زیاد ابزار مهاجمان Packet Forging Spoofing Internet Worms DDoS Sniffers Back Doors Sweepers Exploiting Known Disabling Audits Vulnerability Self Replicating Password Cracking Code Password Guessing 2000 1990 دانش مهاجمان 1980 کم امنيت اطالعات و ضرورت آن 7 رشد حمالت • از دو نمودار قبلی بخوبی پيداست : – تعداد حمالت عليه امنيت اطالعات به طور قابل مالحظه‌ای افزايش يافته است. – امروزه تدارک حمله با در اختيار بودن ابزارهای فراوان در دسترس به دانش زيادی احتياج ندارد (بر خالف گذشته). امنيت اطالعات و ضرورت آن 8 نگاهي به گزارش DTIانگليس امنيت اطالعات و ضرورت آن 9 نگاهي به گزارش DTIانگليس امنيت اطالعات و ضرورت آن 10 نگاهي به گزارش DTIانگليس امنيت اطالعات و ضرورت آن 11 نگاهي به گزارش DTIانگليس متوسط هزينههاي مرتبط با يك حادثه سنگين امنيتي در سازمانها سازمانهاي كوچك (معادل به ميليون تومان) سازمانهاي بزرگ (معادل به ميليون تومان) 51 – 5/25 646 – 340 زمان صرف شده براي مقابله با حادثه 2/55 – 1/02 20/4 – 10/2 هزينههاي مستقيم مقابله با حادثه 11/9 – 6/8 68 - 42/5 خسارات مالي مستقيم (خسارت به داراييها ،حسابهای مالي و)... 8/5 – 5/1 68 - 42/5 خسارات مالي غيرمستقيم (از دست دادن حق مالكيت معنوي و )... 17 - 8/5 34 - 25/5 لطمه به شهرت و اعتبار 1/7 – 0/17 340 - 25/5 متوسط كل هزينه يك حادثه سنگين امنيتي ()2010 93/5 – 46/75 1173 - 476 متوسط كل هزينه يك حادثه سنگين امنيتي ()2008 34 - 17 289 - 153 تسلسل و وقفه در كسب و كار امنيت اطالعات و ضرورت آن 12 امنيت اطالعات و ضرورت آن 13 توزیع سایتهای فیشینگ توزیع سایتهای فیشینگ در دنیا در 6ماه دوم ( 2010گزارش )SIR امنيت اطالعات و ضرورت آن 14 توزیع سیستمهای آلوده توزیع سیستمهای آلوده به بدافزار در دنیا در 6ماهه دوم ( 2010گزارش )SIR امنيت اطالعات و ضرورت آن 15 توزیع سایتهای آلودهساز توزیع سایتهای آلودهساز در دنیا در 3ماهه چهارم ( 2010گزارش )SIR امنيت اطالعات و ضرورت آن 16 امنيت اطالعات و ضرورت آن 17 جنگ سایبری • جنگ عراق و آمریکا ()1991 – ایجاد اختالل در سيستم ضدهوايي عراق – توسط نيروي هوايي آمريكا با استفاده از ويروسي با نام AF/91 – انتقال از طریق چيپ پرینتر آلوده به ويروس از مسير عمان و سوريه – هر چند بعدها درستي موضوع تاييد نشد! وليكن ... امنيت اطالعات و ضرورت آن 18 جنگ سایبری • حمله سايبري روسيه به استوني ()2007 – حمله به وزارتخانهها ،بانكها ،و رسانهها – حمله از طريق سِ روِرهاي اداري تحت كنترل روسيه امنيت اطالعات و ضرورت آن 19 جنگ سایبری • حمله ....به تاسيسات هستهاي ایران ()2010 – از طريق ويروس Stuxnet – آلودهسازي سيستمهاي كنترل صنعتي و PLCها – هدف :مطابق گزارش سیمانتک آلودهسازي سانتريفيوژها بوده است. امنيت اطالعات و ضرورت آن 20 حمالت سایبری • حمله به تاسسیات آب در Springfieldآمریکا ()2011 • نفوذ به تجهیزات اسکادا و تخریب پمپ آب • نفوذ ابتدا به شرکت همکار پشتیبان سیستم انجام شده و از آنجا به سیستمهای کنترل • منبع: ‏orld.com/s/article/9222014/Apparent_cyberattack_destro _utility امنيت اطالعات و ضرورت آن 21 امنيت اطالعات و ضرورت آن 22 امنيت چيست؟ • امنيت به (طور غیر رسمی) عبارتست از حفاظت از آنچه براي ما ارزشمند است. – در برابر حمالت عمدي – در برابر رویدادهای غیرعمدی امنيت اطالعات و ضرورت آن 23 تعریف امنیت ‏I ‏CA امنيت اطالعات مبتنی است بر تحقق سه ويژگی زیر: محرمانگي • عدم افشای غيرمجاز داده‌ها ()Confidentiality صحت ()Integrity • عدم دستكاري داده‌ها توسط افراد يا نرم‌افزارهاي غيرمجاز دسترس‌پذيري ()Availability • دسترسی به داده هاتوسط افراد مجاز در هر مكان و در هرزمان امنيت اطالعات و ضرورت آن 24 9ي سرويس‌هاي امنيت امنیت اطالعات مبتنی است بر ارائه سرویسهای امنیتی زیر: • حفظ صحت داده‌ها ()Integrity • حفظ محرمانگي دادهها ()Confidentiality • احراز اصالت ()Authentication • کنترل دسترسی ()Access Control • عدم‌انكار ()Non-repudiation • دسترس پذيری ()Availability امنيت اطالعات و ضرورت آن 25 تعاریف و مفاهیم اولیه • خط‌مشی (سياست) امنيتی( :)Security Policyنيازمنديهای مینمايد. امنيتی يک سازمان و يا يك سيستم اطالعاتی /ارتباطی را بيان ‌ • در تعريف سياست‌هاي امنيتي: – بايد بدانيد تا چه اندازه و در چه نقاطي نياز به اقدامات محافظتي داريد. – سیاستهای سازمان در دسترسی افراد به منابع اطالعاتی چیست؟ – بايد بدانيد چه افرادي ،چه مسؤوليت‌هايي در اجراي اقدامات محافظتي سازمان دارند. امنيت اطالعات و ضرورت آن 26 تعاریف و مفاهیم اولیه • آسيب‌پذيری ( :)Vulnerabilityویژگی یا نقطه ضعفی در سیستم که می توان از آن سوءاستفاده کرد و امنیت سیستم را نقض کرد. • حمله( : )Attackتالش برای يك نفوذ عمدي در يك سيستم اطالعاتي /ارتباطي ،حمله گفته مي‌شود (معموالً با بهره‌گيري از آسيب‌پذيري‌هاي موجود). • نفوذ ( :)Intrusionنتیجه یک حمله موفق و نقض امنیت سیستم. امنيت اطالعات و ضرورت آن 27 تعاریف و مفاهیم اولیه • مکانيزم امنيتي ( :)Security Mechanismبه هر روش، ابزار و يا رويه‌اي كه براي اعمال يك سياست امنيتي به كار مي‌رود ،يك مكانيزم امنيتي گويند. امنيت اطالعات و ضرورت آن 28 امنيت اطالعات و ضرورت آن 29 منشأ تهديدات امنيتي • منشأ تهدیدات امنیتی – افراد (عوامل انسانی) – نرم‌افزارها امنيت اطالعات و ضرورت آن 3 تهديد – عامل انساني • انواع مهاجمان – هكرهای کاله قرمز/سیاه – كارمندان ناراضي – رقيبان داخلي – رقيبان خارجي – دولت‌هاي خارجي امنيت اطالعات و ضرورت آن 3 9زاري تهديد – عامل نرم‌اف • برنامه‌هاي كاربردي به دو صورت مي‌توانند عامل خطر باشند: – برنامه‌هايي كه بطور عمدي براي ايجاد تهديد ساخته مي‌شوند. بدافـزارها – برنامه‌هايي كه بطور غيرعمدي اشكاالتي در آنها وجود دارد. برنامههای آسیبپذیر امنيت اطالعات و ضرورت آن 3 بدافزارها • بدافزار ( :)Malwareیک قطعه کُد ،اسکریپت ،و یا برنامه که به قصد خرابکاری و اختالل در امنیت سیستمها یا شبکهها منتشر میشود. • اهداف خرابکارانه بدافزارها: – دزدی اطالعات محرمانه و نقض حریم خصوصی (مثال اطالعات بانکی) – کندی و ایجاد وقفه و اختالل در سیستمها و سرویسدهی – تخریب و تغییر اطالعات – سوءاستفاده از منابع و سرویسها امنيت اطالعات و ضرورت آن 34 بدافزارها • ویروس ()Virus – يك قطعه برنامه کوچک با انتشار از طریق چسبیدن به دیگر فایلها • کرم ()Worm – برنامه كوچك مستقل با توانايي كپي شدن و بیشتر انتشار از طریق شبکه • اسب تروا ()Trojan Horse – مخفی در يك برنامه مفيد يا به صورت يك برنامه به ظاهر مفيد • بات ( )Botشبکه بات ()Botnet – فراهم نمودن امکان کنترل تعدادی سیستم قربانی برای مقاصد سوء و انجام حمالت جمعی توزیعشده امنيت اطالعات و ضرورت آن 35 امنيت اطالعات و ضرورت آن 36 اقدامات امنيتي • پیشگیری ()Prevention پیشگیری – جلوگیری از خسارت ‏Prevention • تشخیص و ردیابی ()Detection & Tracing – تشخیص ()Detection • میزان خسارت تشخیص ‏Detection پاسخ ‏Reaction • هویت دشمن • کیفیت حمله (زمان ،مکان ،دالیل حمله ،نقاط ضعف)... • پاسخ ()Reaction – ترمیم ،بازیابی و جبران خسارات – جلوگیری از حمالت مجدد امنيت اطالعات و ضرورت آن 37 9تی اقدامات امنی • مراتب مقابله با نفوذ و تهاجم در سیستم اطالعاتی /ارتباطی تهاجمات و حمالت •شناسايي و احراز هويت •كنترل دسترسي •حفاظ (ديواره آتش) •رمزنگاري و امضاي ديجيتال پيشگيري تشخيص ترميم •سیستم تشخیص نفوذ ()IDS سیستمها •تکرار داده •ها و همبستهساز رویدادها سیستم گیری •پشتیبان • سیستم تلهعسل ()Honeypot امنيت اطالعات و ضرورت آن 38 امنيت اطالعات و ضرورت آن 39 داليل ناامني سیستم‌ها • ضعف فناوري – پروتكل ،سيستم عامل ،تجهيزات • ضعف تنظيمات – رهاكردن تنظيمات پيش‌فرض ،گذرواژه‌هاي نامناسب ،عدم استفاده از رمزنگاري ،راه‌اندازي سرويس‌هاي اينترنت بدون اعمال تنظيمات الزم... ، • ضعف سياست‌گذاري – عدم وجود سياست امنيتي – عدم وجود طرحي براي مقابله و بازيابي مخاطرات – نداشتن نظارت امنيتي مناسب (مديريتي و فني) امنيت اطالعات و ضرورت آن 40 امن‌سازي • نگرش مديريتي به مسئلة‌امنيت الزم است و نه فقط نگرش فني. • امن سازي يک فرآيند است نه يک وظيفه خاص و مقطعی. • گستره امنيت تمامي منابع سازمان است و نه تنها كارگزار اصلي. • مهاجمين داخلي و مجاز خطر بالقوة‌ بيشتري دارند. امنيت اطالعات و ضرورت آن 41 چرخه ايجاد امنيت احراز اصالت ،فایروال، رمزنگاری. . . ، عملیات شبکه و امنیت سیستمهای تشخیص نفوذ ،تله بدافزار. . . ، آزمون نفوذ و آسیبپذیری امنيت اطالعات و ضرورت آن 42 9راتژي امنيت سازماني است • • • • مصالحه بين امنيت ،کارآيي و عملکرد مصالحه بين امنيت ،كارايي و هزينه ميزان امنيت مورد انتظار کاربران؟ ميزان ناامني قابل تحمل سازمان؟ كارآيي عملكرد امنيت امنيت اطالعات و ضرورت آن 43 دشواري برقراري امنيت يشود. • امنيت معموالً قرباني افزايش کارآيي و مقياس پذيري م ‌ نهبر است. • امنيت باال هزي ‌ • کاربران عادی امنيت را به عنوان مانع در برابر انجام شدن کارها تلقي يکنند. يکنند و از سياستهاي امنيتي پيروي نم ‌ م‌ امنيت اطالعات و ضرورت آن 44 دشواري برقراري امنيت • اطالعات و نرم‌افزارهاي دور زدن امنيت به طور گسترده در اختيار هستند. يگيرند و از انجام • برخي دور زدن امنيت را به عنوان يک مبارزه در نظر م ‌ يبرند. آن لذت م ‌ ستمها و شبکه‌ها در يهاي اوليه سي ‌ • مالحظات امنيتي در هنگام طراح ‌ نمیشود. نظر گرفته ‌ امنيت اطالعات و ضرورت آن 45 سیستم مديريت امنيت اطالعات نیازمند پیادهسازی سیستم مدیریت امنیت اطالعات در سازمانها ‏ISMS ‏Information Security Management ‏System موضوع سخنرانی بعدی امنيت اطالعات و ضرورت آن 46 امنيت اطالعات و ضرورت آن 47 جمعبندی • امنیت اطالعات مبتنی است بر حفظ محرمانگی ،صحت ،و دسترسپذیری • ضرورت تامین امنیت به واسطه افزایش رخدادها و حوادث • نگاهي فرآيندي به تامين امنيت اطالعات در سازمان و سيستم سيستم مديريت امنيت اطالعات امنيت اطالعات و ضرورت آن 48 با تشکر از توجه شما ... با تشکر از آقای دکتر امینی برای تهیه نسخه اولیه اسالیدها امنيت اطالعات و ضرورت آن 49