امنیت اطلاعات و ضرورت آن

امنیت اطلاعات و ضرورت آن

اسلاید 1: امنیت اطلاعات و ضرورت آن حمید رضا شهریاریhttp://ceit.aut.ac.ir/~shahriariاستادیار دانشگاه صنعتی امیرکبیر(نسخه اولیه اسلایدها توسط آقای دکتر امینی تهیه شده اند)اسفند 1390

اسلاید 2: فهرست مطالبمقدمهحوادث و رخدادهای امنیتیرشد قابل توجه رخدادهاتوزيع آلودگي در دنيا و ايرانجنگ سايبريمبانی امنیت اطلاعاتتعاریف و مفاهیم اولیهتهدیدات و حملاتاقدامات امنیتینااَمني و مديريت امنيت اطلاعاتجمع‏بندی2

اسلاید 3: مقدمه3

اسلاید 4: مقدمهزندگي وابسته به رشته‌هاي بيتي روي خطوط ارتباطيروند روبه‌رشد استفاده از شبكه در شركت‌ها و سازمانها (به خصوص اينترنت)افزایش دسترسی و افزایش تهدیدات الکترونیکی4

اسلاید 5: حوادث و رخدادهای امنیتی رشد قابل توجه رخدادها5

اسلاید 6: رشد رخدادهای امنیتیمیزان رخدادهای امنیتی گزارش شده توسط مرکز مدیریت رخداد CERTتعداد رخدادها6

اسلاید 7: رشد ابزار و کاهش دانش حملهکم 1980 1990 2000زیادPassword GuessingSelf Replicating CodePassword CrackingExploiting Known VulnerabilityDisabling AuditsBack DoorsSweepersDDoSSniffersPacket Forging SpoofingInternet Wormsابزار مهاجماندانش مهاجمان7

اسلاید 8: رشد حملاتاز دو نمودار قبلی بخوبی پيداست :تعداد حملات عليه امنيت اطلاعات به طور قابل ملاحظه‌ای افزايش يافته است.امروزه تدارک حمله با در اختيار بودن ابزارهای فراوان در دسترس به دانش زيادی احتياج ندارد (بر خلاف گذشته).8

اسلاید 9: نگاهي به گزارش DTI انگليس9

اسلاید 10: نگاهي به گزارش DTI انگليس10

اسلاید 11: نگاهي به گزارش DTI انگليس11

اسلاید 12: نگاهي به گزارش DTI انگليس153 - 28917 - 34متوسط كل هزينه يك حادثه سنگين امنيتي (2008)متوسط هزينه‏هاي مرتبط با يك حادثه سنگين امنيتي در سازمانها12

اسلاید 13: حوادث و رخدادهای امنیتی توزیع آلودگی در دنیا و ایران13

اسلاید 14: توزیع سایت‏های فیشینگتوزیع سایت‏های فیشینگ در دنیا در 6 ماه دوم 2010 (گزارش SIR)14

اسلاید 15: توزیع سیستم‏های آلودهتوزیع سیستم‏های آلوده به بدافزار در دنیا در 6 ماهه دوم 2010 (گزارش SIR)15

اسلاید 16: توزیع سایت‏های آلوده‏سازتوزیع سایت‏های آلوده‏ساز در دنیا در 3 ماهه چهارم 2010 (گزارش SIR)16

اسلاید 17: حوادث و رخدادهای امنیتی جنگ سایبری17

اسلاید 18: جنگ سایبریجنگ عراق و آمریکا (1991)ایجاد اختلال در سيستم ضدهوايي عراقتوسط نيروي هوايي آمريكا با استفاده از ويروسي با نام AF/91انتقال از طریق چيپ پرینتر آلوده به ويروس از مسير عمان و سوريههر چند بعدها درستي موضوع تاييد نشد! وليكن ...18

اسلاید 19: جنگ سایبریحمله سايبري روسيه به استوني (2007)حمله به وزارتخانه‏ها، بانك‏ها، و رسانه‏هاحمله از طريق سِروِرهاي اداري تحت كنترل روسيه19

اسلاید 20: جنگ سایبریحمله .... به تاسيسات هسته‏اي ایران (2010)از طريق ويروس Stuxnetآلوده‏سازي سيستم‏هاي كنترل صنعتي و PLCهاهدف: مطابق گزارش سیمانتک آلوده‏سازي سانتريفيوژها بوده است.20

اسلاید 21: حملات سایبریحمله به تاسسیات آب در Springfield آمریکا (2011)نفوذ به تجهیزات اسکادا و تخریب پمپ آبنفوذ ابتدا به شرکت همکار پشتیبان سیستم انجام شده و از آنجا به سیستمهای کنترلمنبع: http://www.computerworld.com/s/article/9222014/Apparent_cyberattack_destroys_pump_at_Ill._water_utility 21

اسلاید 22: مبانی امنیت اطلاعات تعاریف و مفاهیم اولیه22

اسلاید 23: امنيت چيست؟امنيت به (طور غیر رسمی) عبارتست از حفاظت از آنچه براي ما ارزشمند است. در برابر حملات عمديدر برابر رویدادهای غیرعمدی23

اسلاید 24: تعریف امنیتامنيت اطلاعات مبتنی است بر تحقق سه ويژگی زیر:محرمانگي (Confidentiality)عدم افشای غيرمجاز داده‌هاصحت (Integrity)عدم دستكاري داده‌ها توسط افراد يا نرم‌افزارهاي غيرمجازدسترس‌پذيري (Availability)دسترسی به داده هاتوسط افراد مجاز در هر مكان و در هرزمانCIA24

اسلاید 25: سرويس‌هاي امنيتيامنیت اطلاعات مبتنی است بر ارائه سرویس‏های امنیتی زیر:حفظ صحت داده‌ها (Integrity)حفظ محرمانگي داده‏ها (Confidentiality)احراز اصالت (Authentication)کنترل دسترسی (Access Control)عدم‌انكار (Non-repudiation)دسترس پذيری (Availability)25

اسلاید 26: تعاریف و مفاهیم اولیهخط‌مشی (سياست) امنيتی(Security Policy): نيازمنديهای امنيتی يک سازمان و يا يك سيستم اطلاعاتی/ ارتباطی را بيان می‌نمايد.در تعريف سياست‌هاي امنيتي:بايد بدانيد تا چه اندازه و در چه نقاطي نياز به اقدامات محافظتي داريد.سیاستهای سازمان در دسترسی افراد به منابع اطلاعاتی چیست؟بايد بدانيد چه افرادي، چه مسؤوليت‌هايي در اجراي اقدامات محافظتي سازمان دارند.26

اسلاید 27: تعاریف و مفاهیم اولیهآسيب‌پذيری (Vulnerability): ویژگی یا نقطه ضعفی در سیستم که می توان از آن سوءاستفاده کرد و امنیت سیستم را نقض کرد.حمله(Attack) : تلاش برای يك نفوذ عمدي در يك سيستم اطلاعاتي/ ارتباطي، حمله گفته مي‌شود (معمولاً با بهره‌گيري از آسيب‌پذيري‌هاي موجود).نفوذ (Intrusion): نتیجه یک حمله موفق و نقض امنیت سیستم.27

اسلاید 28: تعاریف و مفاهیم اولیهمکانيزم امنيتي (Security Mechanism): به هر روش، ابزار و يا رويه‌اي كه براي اعمال يك سياست امنيتي به كار مي‌رود، يك مكانيزم امنيتي گويند.28

اسلاید 29: مبانی امنیت اطلاعات تهدیدات و حملات29

اسلاید 30: منشأ تهديدات امنيتي منشأ تهدیدات امنیتیافراد (عوامل انسانی)نرم‌افزارها30

اسلاید 31: تهديد – عامل انسانيانواع مهاجمانهكرهای کلاه قرمز/سیاهكارمندان ناراضيرقيبان داخليرقيبان خارجيدولت‌هاي خارجي31

اسلاید 32: تهديد – عامل انسانيانواع مهاجمان32

اسلاید 33: تهديد – عامل نرم‌افزاري برنامه‌هاي كاربردي به دو صورت مي‌توانند عامل خطر باشند:برنامه‌هايي كه بطور عمدي براي ايجاد تهديد ساخته مي‌شوند.برنامه‌هايي كه بطور غيرعمدي اشكالاتي در آنها وجود دارد.33بدافـزارهابرنامه‏های آسیب‏پذیر

اسلاید 34: بدافزارهابدافزار (Malware): یک قطعه کُد، اسکریپت، و یا برنامه که به قصد خرابکاری و اختلال در امنیت سیستم‏ها یا شبکه‏ها منتشر می‏شود.اهداف خرابکارانه بدافزارها:دزدی اطلاعات محرمانه و نقض حریم خصوصی (مثلا اطلاعات بانکی)کندی و ایجاد وقفه و اختلال در سیستم‏ها و سرویس‏دهی تخریب و تغییر اطلاعاتسوءاستفاده از منابع و سرویس‏ها34

اسلاید 35: بدافزارهاویروس (Virus)يك قطعه برنامه کوچک با انتشار از طریق چسبیدن به دیگر فایلهاکرم (Worm)برنامه كوچك مستقل با توانايي كپي شدن و بیشتر انتشار از طریق شبکهاسب تروا (Trojan Horse)مخفی در يك برنامه مفيد يا به صورت يك برنامه به ظاهر مفيدبات (Bot) شبکه بات (Botnet)فراهم نمودن امکان کنترل تعدادی سیستم قربانی برای مقاصد سوء و انجام حملات جمعی توزیع‏شده35

اسلاید 36: مبانی امنیت اطلاعات اقدامات امنیتی36

اسلاید 37: اقدامات امنيتيپیشگیری (Prevention)جلوگیری از خسارت تشخیص و ردیابی (Detection & Tracing)تشخیص (Detection)میزان خسارت هویت دشمن کیفیت حمله (زمان، مکان، دلایل حمله، نقاط ضعف...) پاسخ (Reaction)ترمیم، بازیابی و جبران خسارات جلوگیری از حملات مجدد37تشخیصDetectionپاسخReactionپیشگیریPrevention

اسلاید 38: مراتب مقابله با نفوذ و تهاجم در سیستم اطلاعاتی / ارتباطیاقدامات امنیتیپيشگيريتشخيصترميمتهاجمات و حملاتشناسايي و احراز هويتكنترل دسترسيحفاظ (ديواره آتش)رمزنگاري و امضاي ديجيتالتکرار داده ها و سیستمهاپشتیبان گیری38سیستم تشخیص نفوذ (IDS)سیستم همبسته‏ساز رویدادهاسیستم تله‏عسل (Honeypot)

اسلاید 39: مبانی امنیت اطلاعات ناامني و مديريت امنيت اطلاعات39

اسلاید 40: دلايل ناامني سیستم‌هاضعف فناوري پروتكل، سيستم عامل، تجهيزاتضعف تنظيماترهاكردن تنظيمات پيش‌فرض، گذرواژه‌هاي نامناسب، عدم استفاده از رمزنگاري، راه‌اندازي سرويس‌هاي اينترنت بدون اعمال تنظيمات لازم، ...ضعف سياست‌گذاريعدم وجود سياست امنيتيعدم وجود طرحي براي مقابله و بازيابي مخاطراتنداشتن نظارت امنيتي مناسب (مديريتي و فني)ضعف مدیریتی40

اسلاید 41: امن‌سازينگرش مديريتي به مسئلة ‌امنيت لازم است و نه فقط نگرش فني.امن سازي يک فرآيند است نه يک وظيفه خاص و مقطعی.گستره امنيت تمامي منابع سازمان است و نه تنها كارگزار اصلي.مهاجمين داخلي و مجاز خطر بالقوة‌ بيشتري دارند.41

اسلاید 42: احراز اصالت، فایروال، رمزنگاری، . . . سیستم‏های تشخیص نفوذ، تله بدافزار، . . .آزمون نفوذ و آسیب‏پذیریعملیات شبکه و امنیتچرخه ايجاد امنيت42

اسلاید 43: امنيتكارآييعملكرد استراتژي امنيت سازمانيمصالحه بين امنيت، کارآيي و عملکردمصالحه بين امنيت، كارايي و هزينهميزان امنيت مورد انتظار کاربران؟ميزان ناامني قابل تحمل سازمان؟43

اسلاید 44: دشواري برقراري امنيتامنيت معمولاً قرباني افزايش کارآيي و مقياس پذيري مي‌شود.امنيت بالا هزينه‌بر است.کاربران عادی امنيت را به عنوان مانع در برابر انجام شدن کارها تلقي مي‌کنند و از سياستهاي امنيتي پيروي نمي‌کنند.44

اسلاید 45: دشواري برقراري امنيتاطلاعات و نرم‌افزارهاي دور زدن امنيت به طور گسترده در اختيار هستند.برخي دور زدن امنيت را به عنوان يک مبارزه در نظر مي‌گيرند و از انجام آن لذت مي‌برند.ملاحظات امنيتي در هنگام طراحي‌هاي اوليه سيستم‌ها و شبکه‌ها در نظر گرفته نمی‌شود.45

اسلاید 46: سیستم مديريت امنيت اطلاعاتنیازمند پیاده‏سازی سیستم مدیریت امنیت اطلاعات در سازمان‏هاISMSInformation Security Management Systemموضوع سخنرانی بعدی46

اسلاید 47: جمع‏بندی47

اسلاید 48: جمع‏بندیامنیت اطلاعات مبتنی است بر حفظ محرمانگی، صحت، و دسترس‏پذیریضرورت تامین امنیت به واسطه افزایش رخدادها و حوادثنگاهي فرآيندي به تامين امنيت اطلاعات در سازمان و سيستمسيستم مديريت امنيت اطلاعات48

اسلاید 49: با تشکر از توجه شما ...با تشکر از آقای دکتر امینی برای تهیه نسخه اولیه اسلایدها49