Information Security Management System

صفحه 1:
nformation ۱ Security =“ anagement system 

صفحه 2:
شيم . آرامش در زندكي بدون امنيت امكانيذير نيست 1 هميشه باید نگران باشید لعمنا 

صفحه 3:
شیم فریشیان 2۶ "1 یک که دوروست همف رصتاستوهمتهديد ! اكر به همازنسبتوكه به توسعه و همه گیرواش‌توجه و تکیه میکنیم‌به المنیث آزتوجه نکنیممیتولند به سادگوو در کسواز شانیه تبدی(یه ی کتهدیدو مصیبتبز ی گشود. ( نیاز روزافزون به اسستفاده از فناوریهای نوين در عرصه ‎le a a‏ اطلاعات و ارتباطات؛ ضرورت استقرار یک نظام مديريت امنيت اطلاعات را بیش از پیش آشکار می‌نماید . 

صفحه 4:
5 ISMS : به طور کلی می توان فرایند امن سازی را در 4 شاخه ی اصلی طبقه بندی کرد 1- امنيت دررايانه ها 2- امنيت در شبكه ها .ها هت قال 3- امنيت در سازمان ها 4-امنيت كاربران 

صفحه 5:
5 جيسة = برگرفته از کلمات زیر و به معناي "سیستم مدیریت امنیت اطلاعات " است . ‎4ePorxweiod Geruiy Ourngewedt Systew‏ ۱ 2 به مدير انلينلمكانرا می‌دهد تا بستولنند لمنیتسیستم هیخود را با به حدلقلرساندنريسكهاىة_جارىكنترلك نند. 

صفحه 6:
aie ‏سیستم مدیریت امنیت اطلاعلت ( 21050008 ) راهكار حل مشكلات امنيتى در‎ ‏سيستمهاي اطلاعاتي استء يك سيستم جامع امنيتي بر سه يايه بنا ميشود:‎ <بررسی و تحلیل سیستم اطلاعاتی { & سیاستها و دستورالعملهاي امنيتي 5 نا 2 تكنولوزي و محصولات امنيت > عوامل اجرايي 

صفحه 7:
شیم فریشیان 2۶ حفاظت سه بعدی از اطلاعات سازمان ** حفظ .. . . .. اطلاعات از طریق اطمینان از دسترسی اطلاعات تنها توسط افراد مجاز. I ‎in‏ ,, اطلاعات از لحاظ دقت و كامل بودن و روشهای پردازش 5 ۱ ‎at ‎ ‏اطلاعات و دارایی های مرتبط توسط افراد مجاز در ‎ ‏زمان نیاز. 

صفحه 8:
‎Bos‏ امنیه علل برروز مشکلات امنیتی 

صفحه 9:
*ضعف فناوری ore Ky Gad ® ع * ضعف سياست ها 

صفحه 10:
*ضف پرونکن ۳0۳/1۳" * ضعف سيستم عامل * ضعن تجهيرزات شبكه الى .ها هت قال 

صفحه 11:
* استفاده غيرايمن از 20001110 کاریران * استفاده از 000011۳01 51752610 که رمز عبور آنها به سادگی قابل تشخیص است- *عدم بيكربندى صحيح سرويس هاى اينترنت *غير,ايمن بودن تنظيمات بيش فرض در برخى محصولات * عدم بيك_بندى صحيح تجهيرزات شبكه اى 

صفحه 12:
*عدم وجود یک سیاست امنیتی مکتوب یاس مان ارقا *رها كردن مديريت امنيت شبكه به حال خود *نصب و انجام تغييررات مفايى با سياست هاى ‎mim a ca‏ * عدم وجود بر‌نامه ای مدون جهت بر‌خورد با حوادث غيرمترقبه 

صفحه 13:
استانداردهاي 151715 

صفحه 14:
با ارائه اولین استاندارد مدیریت امنیت اطلاعات در سال 1995 نگرش سیستماتیک به مقوله ايمن‌سازي فضاي تبادل اطلاعات شکل گرفت. بر اساس این نگرش, تامین امنیت فضاي تبادل اطلاعات سازمانها» دفعتا مقدور و لازم است این امر بصورت مداوم در یک چرخه ايمن‌سازي شامل طراحي» پيادسازي» ارزيابي و اصلاح: انجام گیرد. 

صفحه 15:
در تمام استانداردهاء نکات زیر مورد توجه قرار گرفته شده است: تعیین مراحل ایمن‌سازی و نحوه شکل‌گییری جررخه امنيت اطلاعات و ارتباطات سازمان ‎I 7‏ جرئیات ماحل ایمن‌سازی و تکنیکهای فنی مورد استفاده در هس ممرحله لیست و محتوای طبرح‌ها و رنمه‌هایامنیتی موردنیاز سازمان "ضرورت و جزئیات ایجاد تشکیلات سیاستگذاری اجرائی و فنی تا اطلاعات و ارتباطات سازمان کنترلهای امنیتی موردنیا بررای هس یک از سیستم‌های اطلاعاتی و ارتباطی مارا ارمان 

صفحه 16:
ريحانه رفيع زاده .4# استاندارد مديريتى 857799 موسسه استاندارد انكليس استاندارد مديريتى 17799 :1500/11 موسسه بينالمللى استاندارد استانداردهای مدیریتی سری )6720060 موسسه بین المللی استاندارد گزارش فنی 13335 11 1800/1716 موسسه بین‌المللی استاندارد استاندارد ‎ITBPM‏ كَ استانداردامنیتی ۸۸05133 / استاندارد 25/1125 

صفحه 17:
BS7799:1 1995 aes | 0602 1999 payin’ نسخه آخر: 2002 22*02 2 ها 

صفحه 18:
*تدوین سیاست امنیتی سازمان ؟ایحاد تشکیلات تامین امنیت سازمان * دستهبندى سرمايهها و تعيين كنترلهاى لازم | *امنیت پررسنلی لمكا *امنیت فیزیکی و پیر‌امونی 

صفحه 19:
* مديريت ارتباطات * کنترل دسترسی { *نگهداري و توسعه سیستم‌ها |« ميا *مدیریت تداوم فعالیت سازمان *پاسخگونی به نیازهای امنیتی 

صفحه 20:
ار( 9 Implement Design ISMS & use ISMS 0 انيف حرا ‎PDCA‏ ‎Model {/‏ OLecK , @eoT 0 1 rer Monitor & ap Maintain & review improve ۱55 ۱5۳5 framework for information security Risk based continual improvement management 

صفحه 21:
ريحانه رفيع زاده .4# 55 را را برنامه رك اين فاز در واقع مرحله مشخص شدن تعاريف اوليه ياده سازي 151/15 میباشد.تهیه سیاست هاي امنيتي مقاصد.تعریف پردازش هاي مختلف { درون سازماني و روتین هاي عملياتي و.در اين مرحله تعریف و پیاده ميشوند. لعف 

صفحه 22:
انجام بده ‎ISMS)‏ را پیاده نموده و از آن بهره برداری کن) پیاده سازي و اجراي سیاست هاي امنيتي,کنترل ها پردازش ها در ال ۰ ۲ مرحله انجام ميشود. لعمنا در واقع اين مرحله اجراي كليه مراحل فاز اول را طلب ميكند. 

صفحه 23:
ریحانه رفح زاده 7 کنترل کن ( 191۷15 را پایش کرده و مورد بازنگری قرار بده ) در این مرحله ارزيابي موفقیت پیاده سازي سیاست هاي مختلف امنيتي.همجنين تجربه هاي عملي و كزارش هاي مديريتي كرد آوري ا خواهند شد. | ۱ 

صفحه 24:
ْ ريحانه رفيع زاده .4# رفتار كن ( 1511/15 رانكهدارى نموده و آنرا بهبود ببخش ) = اجراي موارد ترميمي و باز نگري در نحوه مدیریت طلاعاتهمچنین تصحيح موارد مختلف در اين فاز انجام ميشود. 4 

صفحه 25:
— در سال 2000 ؛ بخش اول استاندارد 99:2 7 57 2 بدون هیچگونه تغییری توسط موس بین المللی استاندارد بعنوان استاندارد 17799 ‎ISO/IEC‏ ( sey 5 

صفحه 26:
طرح تداوم خدمات تجاري کنترل بر نحوه دستيابي به سیستم توسعه و پشتيباني سیستم ايجاد امنيت فيزيكي و محيطي انطباق امنيت 

صفحه 27:
OSS cael ‏ایجاد امنیت سازماني‎ ‏مدیریت رایانه و عملیات‎ ‏کنترل و طبقه بندي دارايي ها‎ امنیت اطلااتي 

صفحه 28:
این گنرارش فنی در قالب ۵ بخش مستقل در فواصل سالهای 1996 تا 1 توسط موس بین المللی استاندارد منتشر شده است. i در واقع مكمل استانداردهاى مديريتى 799 857 و17799 150/150 می باشد . وت ۱ 

صفحه 29:
درو ۹۳7۳۳۳۹ 55 ريحانه رفيع زاده .4 دراين بخش كه در سال 1996 منتشى ‎xt‏ مفاهیم کلی امنیت طلاعات از قبیل سر‌مایم تهدید, آسیب پذیری» ريسكه ضربه و ... » روابط بين اين مناهيم و مدل مديريت مخاطرات امتیتی؛ آراکه شدء است . ball 

صفحه 30:
55 بختردوم 55 ريحانه رفيع زاده .4 اين بخش كه در سال7 199 منتشى شد ء مراحل ايمن سازى و ساختا رتشكيلات تامين امنيت اطلاعات سازمان ارائه شده است . | 

صفحه 31:
5 6 بختر ریحانه رفیع زاده ‎FF‏ ‏تعیین اهداف» راهبردها و سياست‌هاي اميتي فضاي تبدل اطلاعات سازمان ام 1 تحليل مخاطرات امنيتي فضاي تبادل اطلاعات سازمان با 1 ۱ انتخاب حفاظ ها و ارائه طرح امنیت ‎i‏ ‎‘i. +‏ لعه عا ‏پيادسازي طرح امنيت 0 ‎+ ‏پشتيباني امنیت فضاي تبادل اطلاعات سازمان ‎—J‏ ‎ ‎ ‎ ‎ ‎ ‎ ‎ ‎ ‎ ‎ ‎ ‎ ‎ 

صفحه 32:
در این بخش که در سال 998 1 منتشم شدء تکنیکهای طراحیء پیاده سازی و پشتیبانی امنیت اطللاعات از جمله محورها و جززثیات سیاستهای امنیتی سازمان» تکنیکهای وس مخاطرات امنیتی؛ محتوای طرح امنیتی» جزئیات پیاده سازی طرح امنیتی و پشتیبا: امنیت اطلاعاته ارائه شده است. 

صفحه 33:
در این بخش که در سال 20000 منتشر شده ضمن تشریح حناظهای فييزيكي؛ سازمانى و حفاظهای خاص سیستم‌های اطلاعاتى؛ نحوة انتخاب حفاظهاى موأ لد نياز براى تامين هريك از مولفدهاى امنيت اطلاعات» ارائه شده است. لعمنا 

صفحه 34:
در اين بخش كه در سال 20001 منتشر شده ضمن افنرودن متوله ارتباطات و موی بر بخشهای دوع تا چهارع این گزارش فنیء تکنیکهای تامین امنیت ارتباطات از قبي شبکه‌های خصوصی مجازی؛ امنیت در گذرگاه‌هاء تشخیص تهاجم و کدهای مخرب» ۱ شده است. ‎a‏ ۳ 

صفحه 35:


صفحه 36:
مهندسي امنیت مجموعه فعاليتهايي است که براي حصول و نگهداري سطوح مناسبي از : - محرمانگي ‎(Confidentiality)‏ ‏-صحت ‎(Integrity)‏ ‏-قابليت دسترسي ‎(Availability)‏ 1 ‎(Accountability) sus, olu> -‏ ۱۳۷ 9 (Authenticity) au (Reliability) pluobl cubl - به صورت قاعده مند در یک سازمان انجام میشود. 

صفحه 37:
‎ae‏ اطلاعات بررای اضراده موجودیت‌ها يا ضر آيندهاى غيرمجاز در دسترس فررار نگیرد با افشا نشود. ‏صحت سیستم و صحت داده ‏داده ها به صورت غیس مجاز تغییس پیدا 1 نكنند يا از بين نروند. ‎ ‏فعاليتهاى مورد انتظار از سيستم بدون عب وحااء اری های ‎Lab‏ مجاز ( تعمدی یا تصادفی ) در سيستم انجام شود. ‎ ‏هویت واقعی یک موجودیت با هویت مورد ادعا یکسان باشد. 

صفحه 38:
© sas ‎٠ 56‏ منابع بای یک موجودیت مجاز در هنگام نیاز در دسترس ‏و قابل استفاده باشد. ‏0 ران برت انك ‎eee‏ اس ‏۰ فعالیت‌های موجودیت‌ها در سیستم اطلاعاتی به 

صفحه 39:
oes امنیت فضاي تبادل اطلاعات مفهومي کلان و مبتني بر حوزه هاي مختلف دانش است. امنیت هر سیستم تعریف مخصوص به خود دارد . امنیت ابزاري براي رسیدن به هدف سیستم است. 5 ميا امنيت نسبي است. 

صفحه 40:
aie © امنيت سيستم يك طررح يكيارجه وجامع ميطليد. © حيطة مسئوليتها ومقررات امنيتى بايد كاملاً شفاف و غير مبهم باشد. » طرح امنيتى بايد مترون به صرفه باشد. > امنیت هر سیستم توسط عوامل اجتماعي محدود ميشود. امنیت هر سیستم باید بطور منتاوب مورد ارزيابي مجدد قرار گيرد. 

صفحه 41:
جنبه‌های سازمانی خط مشي امنیت 1۲ و | | مدیریت مخاطرات 71 ا ‎Eo‏ ‏رس پيگيري = > لما إسسها 

صفحه 42:


صفحه 43:


صفحه 44:
شیم فریشیان ۶ بررای ایجاد امنیت در یک سازمان؛ اولین قدم تدوین اهداف» استرراتثری و خط مشی امنیتی سازعان است اهداف (0[6011765) ۱ استراتترى ‎(Strategy)‏ لعمنا خط مشی (۳01101) 

صفحه 45:


صفحه 46:
1 ‏خط مشی امنیت‎ is جنبه‌های تشکیلاتی امنیت 1 

صفحه 47:
Sue 5 متصدى امنيت سازمان 0 متصدی امنیت 1۲ 

صفحه 48:
11 ‏خط مشی امنیت‎ Lip جنبه‌های تشکیلاتی امنیت 17 

صفحه 49:
الهام سوهان کار مدیرریت امنیت اطلاعات بخشی از مدیریت اطلاعات است که وظیفه تعیین اهداف امنیت و بررسی موانع سر راه رسیدن به اين اهداف وارائه راهكارهاى لازم را بر عهده دارد. همچنین مدیرریت امنیت وظیفه پیاده سازی و کنترل عملکرد { سیستم امنیت سازمان را بر عهده داشته و در نهایت باید تلاش کند تا سیستم را همیشه روزآمد نگه دارد. 

صفحه 50:
سنا هم سومان کار مدیریت امنیت 11 شامل موارد زیر است: <مدیریت پیکربندی مدیریت تغییرات مدیریت مخاطرات .ها هت قز 

صفحه 51:
فر‌آیندی است بررای حصول اطمینان از اینکه تفییرات . در سیستم تأثيس كنت رلهاى امنيتى و به تبع امنيت كل سیستم را کاهش 

صفحه 52:
0 لیم سومان کار فر‌آیندی است که بای شناسایی نبازمندیهای جدید امنیتی در هنگام پرروز تفییس در سیستم 11 انجام میشود. * انواع تفییررات در سیستم 11: -روالهای جدید 5927 ‎la lbs Sly‏ { - تجدید سختافزارها ‏ - کاریرران جدید - اتصالات جدید شیکه . - ... لعمنا 

صفحه 53:
الهام سوهان كار يكى از مهمترين قابليتهاى 151/5 كه در هر سازمانى به فراخور نیاز بایسد انجام میشود» مديريت مخاطرات يا ‎Risk‏ ‏:61116121 است. ريسك يا مخاطره عبارت است از احتمال ضرر و زيانى كه متوجه يك دارايى سازمان (در اينجا قلعت میات ‎[PV Ee Se aS‏ مهمترین ویژگیهای مفهوم ریسک است. طبعا این عدم ق معنای غیر قابل محاسبه و مقایسه بودن ریسکها نیست. 

صفحه 54:
* مدیریت مخاطرات فرآیندی است برای شناسایی و ارزیایی: د ف ىايندى اسك براي ای و آرزیابی * داراييهاى كه بايستى حفاظت شوند ‎(Assets)‏ ۱ (Threats)oiwsg ° (Vulnerabilities) ys, * / ‏آسيبيا(112022261]5)‎ ٠» )6166( ‏مخاطرات‎ * (Safeguards) Lt ‏روشهای‎ * (Residual Risks) st ‏ریسک باقی‎ * 

صفحه 55:
با استفاده از ‎Ls | —‏ ‎[oa]‏ مها موجب آسيب به ۲ نااك | 

صفحه 56:
جنبه‌های تشکیلاتی امنیت 11 اک مدیریت امنیت 11[ ‎ee‏ پیاد‌سازی آگاهی‌رسانی روش‌های ‎on‏ دفاعي ‎ ‎ ‏بيكيرى مراحل ‎ ‏= ‏هم سومان کار ‏اه هقز ‎ ‎ ‎ ‎ ‎ ‎ ‎ 

صفحه 57:


صفحه 58:


صفحه 59:
الهام سوهان کار ‎FH‏ تجربیات, روالها یا مکانیزمهای محافظت در مقابل تهدیدات * کنترلهای امنیتی در حوزههای زیر قابل اعمال هستند : سختافزار (پشتيباني, کلیدها و ۰.۰) ترمافزار (امضاء رقمی, قیت وقایع ( 1.00) ابزارهای ضد ویللوس) "] ارتباطات (فاير‌وال, رمزنگاری محيط ذيزيكى [نرده و حفاظ و ...) پرسنل (۱ گاهی رسانی و آموزش, روالهای استخدام, ععزل و ‎ia‏ ۱ کنترل استفاده از سیستمها (احراز اصالتت, کنترل دسترسی و دا کنترلهای امتیتی از یکدیگر مستقل نیستند و بایستی آنها را به صورت ترکیبی استفاده نمود. 

صفحه 60:


صفحه 61:


صفحه 62:
لهام سوهان کار ‎FH‏ سیستم عامل : با این که هر سیستم عاملی دارای ضعف های امنیتی مختص به خود است » ولی عمومیت و رواج يك سیستم عامل می تواند زمینه شناسائی و سوء استفاده از ضعف های امنیتی آن را تسریع نماید . شاید به همین دلیل باشد که ضعف های ویندوز شرکت مایکروسافت ۱ سریع تر از سایر سیستم های عامل بر همگان آشکار می شود چراکه اکثر کاربران بر روی کامپیوتر خود از یکی از نسخه های وین كت رن ری موت خود ار يكى از سخ فاك تن نسبت به ويندوز داراى ضعف هاى امنيتى كمترى مى باشند ولى سيستم هاى عامل فوق نيز داراى ضعف امنيتى مختص به خود مى باشند كه به دليل عدم استفاده عام از آنها تاكنون كمتر شناسائى شده اند . 

صفحه 63:
الهام سوهان کار ‎FH‏ ‏پایگاه داده: امنیت پایگاه داده فرآیند حفاظت از داده های سازمان در برابر دسترسی و استفاده غیر مجاز افشاگری؛ تخریب و يا تغيير مى باشد. شبكة ارتباطلي : تمامی تجهیزات شبکه ای نظیر سرویس دهندگان » روترها ۱ سوئیج ها و نظایر آن دارای برخی ضعف های امنیتی ذاتی می باشند . با تبعیت از يك سیاست تعریف شده مناسب برای پیکربندی و نصب تجهین شبکه ای می توان بطرز کاملا" محسوسی آثار و تبعات اين نوع ضعت امنیتی را کاهش داد . نصب و پیکربندی هر گونه تجهیزات شبکه ای می بایست مبتنی بر اصول و سیاست های امنیتی تعریف شده باشد . 

صفحه 64:
11 ‏خط مشی امنیت‎ Lip 1 جنبه‌های تشکیلاتی انیت 17 مدیریت امنیت 1 1 بيادسازى آگاهی‌رسانی روش‌های ۱ أمنيتى ‎es‏ ‏1 | RI 

صفحه 65:
حفاظت از شبکة خودی (Firewall) (357 ‏دیواره‎ سیستم هاي تشخیص و مقابله با نفوذ { ‎(one)‏ ‏ضد ویروس ۱۳۷ مانیتورهای 100 سیستمهای فریب 

صفحه 66:
ارتباط امن بين‌شبكه‌اي روش هاي رمزنگاري شبکه اختصاصي مجازي ‎I (OPO)‏ زیر ساخت کلید عمومي (0060)) ۳ امضاء ديجيتالي 

صفحه 67:
الهام سوهان کار رمزنگاری عبارتست از تبدیل داده ها به ظاهری که نهایتابدون داشتن یک کلید مخصوص فرائت آن غیر ممکن باشد.هدف آن حفظ حریم خصوصی است با پنهان نگاه داشتن اطلاعات از افرادی که نباید به آنها دسترسی داشته ۳ : 

صفحه 68:
الهام سوهان کار یک ۷۳۷ ۰ شبکه ای اختصاصی بوده که از اینترنت برای ارتباط با سایت های از راه دور و ارتباط کاربران با یکدیگم استفاده می نماید. این نوع شبکه ها بجای استفاده از خطوط واقعی نظیم خطوط 1.68960 . از یک ارتباط مجازی به کمک اینتترنت ‎gl‏ ایجاد شبکه اختصاصی ‎i‏ 5 

صفحه 69:
بت ‎Ga‏ عمه 2 ‏سوها کار‎ pal ae) ee Wkuljlse 4.( Public Key Infrastructure) PKI ‏زامن ته حتولی‌دیجیتا لو فرلیند های‌تجارت‎ So Sal dias a S ‏اساکترونیک و همچنیزپسونده ها و لسناد اساکترونیکیمورد لستفاده قرار می‎ ‏كرفتظهور كرد.ليزسيستمبه باز ركاناناجازم مودهد از سرعتلينترنت‎ || ‏لستفادم كسرده تا اطلهاتفه م تجار وآناناز ريهكيرى د<للتو دست رشوغير‎ ‏کاربرلنرا قادر می‌سازد از یکشبکه عمومی‎ PRIS sh ght vo shes ‏نالم زمانند این نتب ه صورتولم زو خصوصیی ل یت بادلاتلط اقا نستفاده‎ | ‏کنند.لینکار از طبریقی کجنتک لید رم عمومیم اختصاصع؟ ق‎ ‏منبع مسؤلو مورد لعتماد صادر شدم و به لشتراکگ نا رده می‌شود لنجام‎ رد 

صفحه 70:
الهام سوهان کار 7 امضاء های دیجیتالی » فن آوری دیگری است که توسط رمزنگاری کلید عمومی فعال گردید و این امکان را به ردو می دهد که اسناد و معاملات را طوری امضا کنند که گیررنده بتواند هویت فرستنده را تأیید کند.امضاء دیجیتالی شامل یک ار انگشت ریاضی منحصس به فرد از یام ۱ فعلى است كه به آن 237-1132513 7/آ-0116) نين كفته مى شود. 

صفحه 71:
الهام سوهان کار مدبريت امنيت استانداردهاي مدیریت امنیت (1500-17799 ...) { 

صفحه 72:
تهیذ خط مشی انیت 17[ 1 جنبههاى تشكيلاتى امنيت '11 مدیریت امنیت 1 1 پیاد‌سازی آگاهی‌رسانی روش‌های أمنيتى ‎es‏ ‏1 ‏ييكيرى مراحل 

صفحه 73:
الهام سوهان کار فناوری بیومتریک اگررچه از تخصصهایی سود می جوید که هم یک از آنها سابقه ی دیرینه در علم و صنعت دارند ولی دارای تعاریفه مناهیم و کاربست های نو و جدیدی است. این فناوری که در واقع روشهای تعیین يا تاييد هويت افراد به صورت خودکارء طبق شناسه های فیزیولوژیکی یا رفتاری است در سالهای گذشته بیشتم در فیلم های سینمایی به عنوان یک فناوری پیشرفته ۱ علمی- تخیلی نمود داشته است و در عین حال در تعدادی از مراک حبساس که نیازمند به ضریب امنیتی بالایی بوده اند نیز بکار گرفته شده است. ‎Sry‏ ‏سخت افزاری و نرع افزاری سامانه ها و قلت کار برد آنهاء هزینه ۱ و راءاندازی گنرافی را به مجریان چنین طرحهایی تحمیل می کررده است. & 

صفحه 74:
انواع بیومتریکها بیومتریکهای فیزیولوژیکی بیومتریکهای رفتاری | .ها هت قز 

صفحه 75:
:بیومتریکهای فیریولوژیکی عبارتند از ‎foe Satan)‏ عنبیه نگاری شبکیه نگاری 1 ‏نكشت نگاری‎ ١ ‏چهره نگاری این‎ ‏دست نكارى‎ صوت نگاری 

صفحه 76:
سنا هم سومان کار :بیومتریکهای رفتاری عبارتند از امفیا نگاری نحوهى تايب كردن .ها هت قال 

صفحه 77:
الهام سوهان کار 7 يارامترهاى ديكررى هم اضیرمورد استفادهقررار گررفته استه که به علل مختلف هنوز کاربمد وسیعی ندارند. از جمله می توان به بیومترریکهای زیر اشاره کرد { DNA‘ ‏*نحوه راه رفتن‎ * الگوی رگهای پشت دست | یا او ۰ | * شكل كوش * بوي بدن * و الگوی بافتهای زیر يوستى دست 

صفحه 78:
آموزش های عمومی آموزش های اختصاصی .ها هت قز 

صفحه 79:
برخى دلايل عدم توجه به 1511/15 در ايران : الف: عدم تخصيص جايكاه مناسب به مسائل امنيتى ب: كمبود هاى تئوريك وعملى كارشتاسان 1 ج: عدم آموزش و اطلاع رسانی ۱ ۳۹ ‎le‏ 

صفحه 80:


ISMS Information Security Management System ISMS شبنم قریشیان .آرامش در زندگي بدون امنيت امکانپذير نيست همیشه باید نگران باشید ISMS شبنم قریشیان ITی کس که دوروس ت :هم ف رصتاستو هم ت ه دید ! اگر ب ه همانن سبتیک ه ب ه ت وس عه و هم ه گ یریاشت وج ه و ت کی ه م یکنی مب ه "ام نی ت" آنت وج ه ن کنی م م یتوان د ب ه س ادگیو در ک س ریاز ث انی ه ت بدی لب ه ی کت ه دی د و م صیبتب زرگش ود. نياز روزافزون ب ه اس تفاده از فناوريهاي نوين در عرص ه اطالعات و ارتباطات ،ضرورت استقرار يك نظام مديريت امنيت اطالعات را بيش از پيش آشكار مي‌نمايد . ISMS شبنم قریشیان :به طور کلی می توان فرایند امن سازی را در 4شاخه ی اصلی طبقه بندی کرد -1امنیت دررایانه ها -2امنیت در شبکه ها -3امنیت در سازمان ها -4امنیت کاربران ISMS ISMSچيست؟ شبنم قریشیان برگرفته از کلمات زير و به معناي “سيستم مديريت امنيت اطالعات” است . ‏Information Security Management System ISMSب(((ه( مدیرا(نا(ینا(مکانرا میدهد ت(((ا ب(((توا(نند ا(منیتس((یستم( هایخ(ود را ب(((ا ب(((ه( ح(دا(قلرساندنریسکهایت(((جاریک(((نترلک(((نند. ISMS شبنم قریشیان س(يستم مديري(ت امني(ت اطالعات ( ) ISMSراهكار ح(ل مشكالت امنیتی در سيستم‌هاي اطالعاتي است ،يک سيستم جامع امنيتي بر سه پايه بنا مي‌شود: ‏بررسی و تحلیل سیستم اطالعاتی سياستها و دستورالعملهاي امنيتي تکنولوژي و محصوالت امنيت عوامل اجرايي ISMS شبنم قریشیان حفاظت سه بعدی از اطالعات سازمان حف(ظ محرمان(ه بودن اطالعات از طریق اطمینان از دسترسی اطالعات تنها توسط افراد مجاز. حف(ظ یکپارچگ(ی اطالعات از لحاظ دق(ت و کامل بودن و روشهای پردازش قابلیت دس(ترسی اطالعات و دارایی های مرتب(ط توسط افراد مجاز در زمان نیاز. ريحانه رفيع زاده علل بروز مشكالت امنيتی علل بروز مشكالت امنيتی ريحانه رفيع زاده •ضعف فناوری •ضعف پيكربندی •ضعف سياست ها ضعف فناوری ريحانه رفيع زاده •ضعف پروتكل TCP/IP •ضعف سيستم عامل •ضعف تجهيزات شبكه ای ضعف پيكربندی ريحانه رفيع زاده • استفاده غيرايمن از accountكاربران •استفاده از system accountكه رمز عبور آنها به سادگی قابل تشخيص است. •عدم پيكربندی صحيح سرويس های اينترنت •غيرايمن بودن تنظيمات پيش فرض در برخی محصوالت •عدم پيكربندی صحيح تجهيزات شبكه ای ضعف سياست ها ريحانه رفيع زاده •عدم وجود يك سياست امنيتی مكتوب •سياست های سازمانی •رها كردن مديريت امنيت شبكه به حال خود •نصب و انجام تغييرات مغاير با سياست های تعريف شده •عدم وجود برنامه ای مدون جهت برخورد با حوادث غيرمترقبه ريحانه رفيع زاده استانداردهاي ISMS استانداردهاي ISMS ريحانه رفيع زاده ب(ا ارائ(ه اولي(ن اس(تاندارد مديري(ت امني(ت اطالعات در س(ال ،1995نگرش س(يستماتيک ب(ه مقول(ه ايمن‌س(ازي فضاي تبادل اطالعات شک(ل گرفت .بر اس(اس اي(ن نگرش ،تامي(ن امني(ت فضاي تبادل اطالعات س(ازمانها ،دفعت(ا مقدور نمي‌باش(د و الزم اس(ت اي(ن ام(ر بص(ورت مداوم در ي(ک چرخ(ه ايمن‌س(ازي شام(ل مراح(ل طراحي ،پياده‌سازي ،ارزيابي و اصالح ،انجام گيرد. استانداردهاي ISMS ريحانه رفيع زاده در تمام استانداردها ،نکات زير مورد توجه قرار گرفته شده است: ‏تعيين مراحل ايمن‌سازي و نحوه شکل‌گيري چرخه امنيت اطالعات و ارتباطات سازمان ‏جرئيات مراحل ايمن‌سازي و تکنيکهاي فني مورد استفاده در هر مرحله ‏ليست و محتواي طرح‌ها و برنامه‌هاي امنيتي موردنياز سازمان ‏ضرورت و جزئيات ايجاد تشکيالت س ياستگذاري ،اجرائ ي و فن ي تامين امنيت اطالعات و ارتباطات سازمان ‏کنترل‌هاي امنيت ي موردنياز براي ه ر يک از س يستم‌هاي اطالعات ي و ارتباطي سازمان استانداردهاي ISMS ريحانه رفيع زاده • • • • • • • استاندارد مدیریتی BS7799موسسه استاندارد انگلیس استاندارد مدیریتی ISO/IEC 17799موسسه بین‌المللی استاندارد استانداردهای مدیریتی سری 27000موسسه بین المللی استاندارد گزارش فنی ISO/IEC TR 13335موسسه بین‌المللی استاندارد استاندارد ITBPM استانداردامنیتی ACSI33 استاندارد AS/NZS استاندارد BS7799موسسه استاندارد انگليس ريحانه رفيع زاده نسخه اول: 1995 ‏BS7799:1 نسخه دوم: 1999 ‏BS7799:2 نسخه آخر: 2002 ‏BS7799:2002 استاندارد BS7799موسسه استاندارد انگليس-بخش اول ريحانه رفيع زاده •تدوين سياست امنيتي سازمان •ايجاد تشکيالت تامين امنيت سازمان دستهبندي سرمايه‌ها و تعيين کنترل‌هاي الزم • ‌ •امنيت پرسنلي •امنيت فيزيکي و پيراموني استاندارد BS7799موسسه استاندارد انگليس-بخش اول ريحانه رفيع زاده •مديريت ارتباطات •کنترل دسترسي •نگهداري و توسعه سيستم‌ها •مديريت تداوم فعاليت سازمان •پاسخگوئي به نيازهاي امنيتي بخش دوم- موسسه استاندارد انگليسBS7799 استاندارد ريحانه رفيع زاده Implement & use ISMS DO Design ISMS PLAN PDCA Model CHECK Monitor & review ISMS ACT Maintain & improve ISMS Risk based continual improvement framework for information security management Plan ISMSرا بKKرنامKه رKيزیکKKن ريحانه رفيع زاده اين فاز در واقع مرحله مشخص شدن تعاريف اوليه پاده سازي ISMS ميباشد.تهيه سياست هاي امنيتي ،مقاصد،تعريف پردازش هاي مختلف درون سازماني و روتين هاي عملياتي و..در اين مرحله تعريف و پياده سازي ميشوند. Do انجام بده ( ISMSرا پياده نموده و از آن بهره برداری کن) ريحانه رفيع زاده پياده سازي و اجراي سياست هاي امنيتي،كنترل ها پردازش ها در اين مرحله انجام ميشود. در واقع اين مرحله اجراي كليه مراحل فاز اول را طلب ميكند. Check کنترل کن ( ISMSرا پايش کرده و مورد بازنگری قرار بده ) ريحانه رفيع زاده در اين مرحلKه ارزيابKي موفقيت پياده سKازي سKياست هاي مختلف امنيتKي،همچنين تجربKه هاي عملKي و گزارش هاي مديريتي گرد آوري خواهند شد. Act ريحانه رفيع زاده رفتار کن ( ISMSرانگهداری نموده و آنرا بهبود ببخش ) اجراي موارد ترميمي و باز نگري در نحوه مديريت طالعات،همچنين تصحيح موارد مختلف در اين فاز انجام ميشود. ستاندارد ISO/IEC 17799موسسه بين‌المللي استاندارد ريحانه رفيع زاده در سال ، 2000بخش اول استاندارد BS7799:2بدون هيچگونه تغييري توسط موسسة بين المللي استاندارد بعنوان استاندارد ISO/IEC 17799 منتشر شد. ستاندارد ISO/IEC 17799موسسه بين‌المللي استاندارد ريحانه رفيع زاده • طرح تداوم خدمات تجاري • كنترل بر نحوه دستيابي به سيستم • توسعه و پشتيباني سيستم • ايجاد امنيت فيزيكي و محيطي • انطباق امنيت موسسه بين‌المللي ISO/IEC 17799استاندارد استاندارد ريحانه رفيع زاده • امنيت كاركنان • ايجاد امنيت سازماني • مديريت رايانه و عمليات • كنترل و طبقه بندي دارايي ها • امنيت اطالاتي موسسه بين‌المللي ISO/IEC TR13335راهنماي فني استاندارد ريحانه رفيع زاده اين گزارش فني در قالب 5بخش مستقل در فواصل سالهاي 1996تا 2001توسط موسسة بين المللي استاندارد منتشر شده است. در واقع مکمل استانداردهاي مديريتي BS7799وISO/IEC 17799 مي باشد . بKKخشوKلا ‏ISO/IEC TR13335 ريحانه رفيع زاده در اين بخش که در سال 1996منتشر شد‌،مفاهيم کلي امنيت طالعات از قبيل سرمايه، ريسک ،ضربه و ، ...روابط بين اين مفاهيم و مدل مديريت مخاطرات ‌ تهديد ،آسيب پذيري، امنيتي ،ارائه شده است . - ISO/IEC TR13335بKKخشدوKم ريحانه رفيع زاده اين بخش که در سال 1997منتشر شد ،مراحل ايمن سازي و ساختارتشکيالت تامين امنيت اطالعات سازمان ارائه شده است . - ISO/IEC TR13335بKKخشدوKم ريحانه رفيع زاده تعيين اهداف ،راهبردها و سياست‌هاي امنيتي فضاي تبادل اطالعات سازمان تحليل مخاطرات امنيتي فضاي تبادل اطالعات سازمان انتخاب حفاظ ها و ارائه طرح امنيت پياده‌سازي طرح امنيت پشتيباني امنيت فضاي تبادل اطالعات سازمان - ISO/IEC TR13335بKKخشسKKوم ريحانه رفيع زاده در اين بخش که در سال 1998منتشر شد ،تکنيکهاي طراحي ،پياده سازي و پشتيباني امنيت اطالعات از جمل ه محوره ا و جزئيات س ياستهاي امنيت ي س ازمان ،تکنيکهاي تحليل مخاطرات امنيت ي ،محتواي طرح امنيت ي ،جزئيات پياده س ازي طرح امنيت ي و پشتيبان ي امنيت اطالعات ،ارائه شده است. - ISO/IEC TR13335بKKخشچKهKارKم ريحانه رفيع زاده در اين بخش که در سال 2000منتشر شد ،ضمن تشريح حفاظهاي فيزيک ي ،س ازماني و حفاظهاي خاص س يستم‌هاي اطالعات ي ،نحوة انتخاب حفاظهاي مورد نياز براي تامين هريک از مولفه‌هاي امنيت اطالعات ،ارائه شده است. - ISO/IEC TR13335بKKخKشپKKنجم ريحانه رفيع زاده در اين بخش که در سال 2001منتشر شد ،ضمن افزودن مقولة ارتباطات و مروري بر بخشهاي دوم ت ا چهارم اين گزارش فن ي ،تکنيکهاي تامين امنيت ارتباطات از قبيل شبکههاي خصوصي مجازي ،امنيت در گذرگاه‌ها ،تشخيص تهاجم و کدهاي مخرب ،ارائه ‌ شده است. شبنم قریشیان مهندسي امنيت تعريف مهندسي امنيت شبنم قریشیان مهندسي امنيت مجموعه فعاليتهايي است كه براي حصول و نگهداري سطوح مناسبي از : محرمانگي ()Confidentialityصحت ()Integrityقابليت دسترسي ()Availability حساب پذيري ()Accountability-اصالت ( )Authenticityو قابليت اطمينان ()Reliabilityبه صورت قاعده مند در يك سازمان انجام ميشود. تعريف مهندسي امنيت شبنم قریشیان • محرمانگي :اطالعات براي افراد ،موجوديت‌ها يا فرآيندهاي غيرمجاز در دسترس قرار نگيرد يا افشا نشود. • صحت :صحت سيستم و صحت داده صحت داده :داده ها به صورت غير مجاز تغيير پيدا نكنند يا از بين نروند. صحت سيستم :فعاليت‌هاي مورد انتظار از سيستم بدون عيب و خالي از دستكاري هاي غير مجاز ( تعمدي يا تصادفي) در سيستم انجام شود. • اصالت :هويت واقعي يك موجوديت با هويت مورد ادعا يكسان باشد. تعريف مهندسي امنيت شبنم قریشیان • قابليت دسترسي :منابع براي يك موجوديت مجاز در هنگام نياز در دسترس و قابل استفاده باشد. • حساب پذيري :فعاليت‌هاي موجوديت‌ها در سيستم اطالعاتي به صورت جداگانه قابل رديابي و بررسي باشد. • قابليت اعتماد :سازگار بودن رفتارها و نتايج مورد انتظار اصول مهندسي امنيت شبنم قریشیان ‏ امنيت فضاي تبادل اطالعات مفهومي كالن و مبتني بر حوزه هاي مختلف دانش است. ‏ امنيت هر سيستم تعريف مخصوص به خود دارد . ‏ امنيت ابزاري براي رسيدن به هدف سيستم است. ‏ امنيت نسبي است. اصول مهندسي امنيت شبنم قریشیان امنيت سيستم يك طرح يكپارچه و جامع ميطلبد. ال شفاف و غيرمبهم باشد. حيطة مسئوليتها و مقررات امنيتي بايد كام ً طرح امنيتي بايد مقرون به صرفه باشد. ‏ امنيت هر سيستم توسط عوامل اجتماعي محدود ميشود. ‏ امنيت هر سيستم بايد بطور متناوب مورد ارزيابي مجدد قرار گيرد. چرخه ی حیات مهندسی امینت جنبه‌هاي سازماني خط مشي امنيت IT مخاطرات مديريتمخاطرات مديريت دفاعي ‌هايدفاعي ش‌هاي ‌سازيروروش پيادهه‌سازي پياد پيگيري پيگيري شبنم قریشیان چرخه ی حیات مهندسی امینت شبنم قریشیان تهية خط مشي امنيت IT شبنم قریشیان تهية خط مشي امنيت IT شبنم قریشیان براي ايجاد امنيت در يك سازمان ،اولين قدم تدوين اهداف ،استراتژي و خط مشي امنيتي سازمان است. اهداف ()Objectives استراتژي ()Strategy خط مشي ()Policy سلسله مراتب اهداف ،استراتژي و خط مشي شبنم قریشیان جنبه‌هاي تشكيالتي امنيت IT شبنم قریشیان ‏IT امنيتIT مشيامنيت خطمشي تهيةخط تهية ‏IT امنيتIT تشكيالتيامنيت ‌هايتشكيالتي جنبهه‌هاي جنب ‏IT امنيتIT مديريتامنيت مديريت ‌سازي پياده‌سازي پياده ‌رساني آگاهيي‌رساني آگاه امنيتي امنيتي ‌هاي روشش‌هاي رو دفاعي دفاعي مراحل پيگيريمراحل پيگيري جنبه‌هاي تشكيالتي امنيت IT شبنم قریشیان مدیریت سازمان دستورالعمل‌ها و متصدي امنيت سازمان خط مشي امنيتي ‏ITسازمان متصدي امنيت IT دستورالعمل‌ها و متصدي امنيت زير بخش متصدي امنيت سيستم خط مشي زیربخش ‏IT دستورالعمل‌ها و خط مشي امنیتی ITسیستم 1 مديريت امنيت IT الهام سوهان کار ‏IT امنيتIT مشيامنيت خطمشي تهيةخط تهية ‏IT امنيتIT تشكيالتيامنيت ‌هايتشكيالتي جنبهه‌هاي جنب ‏IT امنيتIT مديريتامنيت مديريت ‌سازي پياده‌سازي پياده ‌رساني آگاهيي‌رساني آگاه امنيتي امنيتي ‌هاي روشش‌هاي رو دفاعي دفاعي مراحل پيگيريمراحل پيگيري مديريت امنيت IT الهام سوهان کار مديريت امنيت اطالعات بخشي از مديريت اطالعات است كه وظيفه تعيين اهداف امنيت و بررسي موانع سر راه رسيدن به اين اهداف و ارائه راهكارهاي الزم را بر عهده دارد .همچنين مديريت امنيت وظيفه پياده سازي و كنترل عملكرد سيستم امنيت سازمان را بر عهده داشته و در نهايت بايد تالش كند تا سيستم را هميشه روزآمد نگه دارد. مديريت امنيت IT مدیریت امنیت ITشامل موارد زیر است: ‏مدیریت پیکربندی ‏مديريت تغييرات ‏مديريت مخاطرات الهام سوهان کار مديريت پيكربندي فرآيندي است براي حصول اطمينان از اينكه تغييرات در سيستم تأثير کنترلهاي امنيت ي و ب ه تب ع امنيت كل س يستم را كاه ش ندهد. الهام سوهان کار مديريت تغييرات الهام سوهان کار فرآيندي است كه براي شناسايي نيازمنديهاي جديد امنيتي در هنگام بروز تغيير در سيستم ITانجام ميشود. • انواع تغييرات در سيستم : IT بروز رساني نرمافزارهاروالهاي جديد تجديد سختافزارها -كاربران جديد ... -اتصاالت جديد شبكه مدیریت مخاطرات الهام سوهان کار یک((ی از مهمترین قابلیتهای ISMSک((ه در ه((ر س((ازمانی ب((ه فراخور نیاز باي((((د انجام می­شود ،مدیریت مخاطرات يا Risk Managementاس(((ت .ریس(((ک یا مخاطره عبارت اس(((ت از احتمال ضرر و زیان((ی ک((ه متوج((ه یک دارایی س((ازمان (در اینج((ا اطالعات) می­باشد .عدم قطعیت (در نتیج((ه مقیاس ناپذیری) یک((ی از مهمترین ویژگیهای مفهوم ریس(ک اس(ت .طبع(ا این عدم قطعیت ب(ه معنای غیر قابل محاسبه و مقایسه بودن ریسکها نیست. م(دیریت مخاطرات الهام سوهان کار • مديريت مخاطرات فرآيندي است براي شناسايي و ارزيابي: • داراييهاي كه بايستي حفاظت شوند ()Assets • تهديدات ()Threats • رخنهها ()Vulnerabilities • آسيبها ()Impacts • مخاطرات ()Risks • روشهاي مقابله ()Safeguards • ريسك باقي مانده ()Residual Risks مدیریت مخاطرات ايجاد با استفاده از منجر به رخنه الهام سوهان کار عامل تهديد تهديد تاثير مستقيم بر مخاطره دارايي موجب آسيب به با در معرض خطر قرار دادن كاهش با صحت ،موجوديت ،تماميت حفاظ الهام سوهان کار ‏IT امنيتIT مشيامنيت خطمشي تهيةخط تهية ‏IT امنيتIT تشكيالتيامنيت ‌هايتشكيالتي جنبهه‌هاي جنب ‏IT امنيتIT مديريتامنيت مديريت ‌سازي پياده‌سازي پياده ‌رساني آگاهيي‌رساني آگاه امنيتي امنيتي ‌هاي روشش‌هاي رو دفاعي دفاعي مراحل پيگيريمراحل پيگيري پياده‌سازي الهام سوهان کار • آگاهي‌رساني امنيتي • روش‌هاي دفاعي الهام سوهان کار ‏IT امنيتIT مشيامنيت خطمشي تهيةخط تهية ‏IT امنيتIT تشكيالتيامنيت ‌هايتشكيالتي جنبهه‌هاي جنب ‏IT امنيتIT مديريتامنيت مديريت ‌سازي پياده‌سازي پياده ‌رساني آگاهيي‌رساني آگاه امنيتي امنيتي ‌هاي روشش‌هاي رو دفاعي دفاعي مراحل پيگيريمراحل پيگيري کنترلهاي امنيتي الهام سوهان کار تجربيات ,روالها يا مكانيزمهاي محافظت در مقابل تهديدات •کنترلهاي امنيتي در حوزههاي زير قابل اعمال هستند : سختافزار (پشتيباني ,كليدها و )... نرمافزار (امضاء رقمي ,ثبت وقايع ( , )Logابزارهاي ضد ويروس) ارتباطات (فايروال ,رمزنگاري) محيط فيزيكي (نرده و حفاظ و )... پرسنل (آگاهي رساني و آموزش ,روالهاي استخدام ,عزل و استعفا و )... کنترل استفاده از سيستمها (احراز اصالت ,كنترل دسترسي و )... کنترلهاي امنيتي از يكديگر مستقل نيستند و بايستي آنها را به صورت تركيبي استفاده نمود. انواع کنترل های امنیتی الهام سوهان کار كنترلهاي مديريتي كنترلهاي عملياتي كنترلهاي فني کنترل های فنی الهام سوهان کار کنترل های فنی سیستم های اطالعاتی سيستمهاي عامل پايگاههاي داده رویکرد سيستمي شبكة ارتباطي رویکرد رمزنگارانه سیستم های اطالعاتی الهام سوهان کار س(يستم عام(ل :ب(ا اي(ن ك(ه ه(ر س(يستم عامل(ی دارای ضع(ف های امنيتی ‌مخت(ص به خود است ،ولی عموميت و رواج يك س(يستم عامل می تواند زمين(ه شناس(ائی و س(وء اس(تفاده از ضع(ف های امنيت(ی آ(ن را تس(ريع نمايد .شاي(د ب(ه همي(ن دلي(ل باش(د ك(ه ضع(ف های ويندوز شرك(ت مايكروسافت س(ريع ت(ر از س(اير س(يستم های عام(ل بر همگان آشكار م(ی شود چراكه اكث(ر كاربران بر روی كامپيوت(ر خود از يك(ی از نس(خه های ويندوز اين شرك(ت اس(تفاده م(ی نماين(د .شاي(د بتوان گف(ت ك(ه لينوك(س و ي(ا يونيكس نسبت به ويندوز دارای ضعف های امنيتی كمتری می باشند ولی سيستم های عام(ل فوق ني(ز دارای ضع(ف امنيت(ی مخت(ص ب(ه خود م(ی باشن(د كه به دليل عدم استفاده عام از آنها تاكنون كمتر شناسائی شده اند . سیستم های اطالعاتی الهام سوهان کار پایگاه داده :امنیت پایگاه داده فرآین(((د حفاظ(((ت از داده های س(((ازمان در برابر دس(ترسی و اس(تفاده غیر مجاز ،افشاگری ،تخریب و یا تغییر م(ی باشد. شبكة ارتباطي :تمام(ی تجهيزات شبك(ه ای نظي(ر س(رويس دهندگان ،روترها ، س(وئيچ ه(ا و نظاي(ر آ(ن دارای برخ(ی ضع(ف های امنيت(ی ذات(ی م(ی باشن(د .با تبعي(ت از ي(ك س(ياست تعري(ف شده مناس(ب برای پيكربندی و نصب تجهيزات شبكه ای می توان بطرز كامال" محسوسی آثار و تبعات اين نوع ضعف های امنيت(ی را كاه(ش داد .نص(ب و پيكربندی ه(ر گون(ه تجهيزات شبك(ه ای می بايست مبتنی بر اصول و سياست های امنيتی تعريف شده باشد . الهام سوهان کار ‏IT امنيتIT مشيامنيت خطمشي تهيةخط تهية ‏IT امنيتIT تشكيالتيامنيت ‌هايتشكيالتي جنبهه‌هاي جنب ‏IT امنيتIT مديريتامنيت مديريت ‌سازي پياده‌سازي پياده ‌رساني آگاهيي‌رساني آگاه امنيتي امنيتي ‌هاي روشش‌هاي رو دفاعي دفاعي مراحل پيگيريمراحل پيگيري سرويسهاي اساسي الهام سوهان کار حفاظت از شبكة خودي ديواره آتش()Firewall سيستم هاي تشخيص و مقابله با نفوذ ()IDS/IPS ضد ويروس مانيتورهای Log سيستمهای فريب ... سرويسهاي اساسي الهام سوهان کار ارتباط امن بين‌شبكه‌اي روش هاي رمزنگاري شبكه اختصاصي مجازي ()VPN زير ساخت كليد عمومي ()PKI امضاء ديجيتالي ... روش هاي رمزنگاري الهام سوهان کار رمزنگاري عبارتس ت از تبديل داده ه ا ب ه ظاهري ک ه نهايت ا بدون داشت ن يک کليد مخصوص قرائت آن غير ممکن باشد.هدف آن حفظ حريم خصوصي است ب ا پنهان نگاه داشت ن اطالعات از افرادي ک ه نبايد ب ه آنه ا دس ترسي داشت ه باشند. شبكه اختصاصي مجازي ()VPN الهام سوهان کار یک ، VPNشبک ه ای اختص اصی بوده ک ه از اینترن ت برای ارتباط با سایت های از راه دور و ارتباط کاربران با یکدیگر استفاده می نماید .این نوع شبکه ها بجای استفاده از خطوط واقعی نظیر خطوط Leased ،از ی ک ارتباط مجازی ب ه کم ک اینترن ت برای ایجاد شبک ه اختص اصی ی کنند. تفاده م اس زير ساخت كليد عمومي ()PKI الهام سوهان کار ) Public Key Infrastructure) PKIب ه عنواناستانداردي ک ه عمالب راييک يک ردنام نيتم حتوايديجيتا ل يو ف راين د هايت جارت ا لکترونيکو همچنينپ رونده ها و اس ناد ا لکترونيکيمورد اس تفاده ق رار م ي گ رفتظه ور ک رد.اينس يستم ب ه ب ازرگاناناجازه م يدهد از س رعتاينترنت اس تفاده ک رده ت ا اطالعاتم هم ت جاريآناناز رهگيري ،دخا لتو دس ترسيغير م جاز در امانب ماند.يک PKIک اربرانرا ق ادر م يس ازد از يکش بکه عموم ي ن اام نمانن د اينترن تب ه ص ورتيام نو خص وصيب رايت بادالتاطالعاتاس تفاده ک نند.اينک ار از طريقيکجف تک ليد رم ز عموم يو اختص اصيک ه از يک م نب ع م س ؤلو مورد اعتماد ص ادر ش ده و ب ه اشتراکگ ذارده م يش ود انجام گ يرد . امضاء ديجيتالي الهام سوهان کار امضاء هاي ديجيتالي ،فن آوري ديگري است که توسط رمزنگاري کليد عمومي فعال گرديد و اين امکان را به مردم مي دهد که اسناد و معامالت را طوري امض ا کنن د ک ه گيرنده بتوان د هويت فرس تنده را تأييد کند.امضاء ديجيتالي شامل يک اثر انگشت رياضي منحصر به فرد از پيام فعلي است که به آن One-Way-Hashنيز گفته مي شود. سرويسهاي اساسي الهام سوهان کار مديريت امنيت استانداردهاي مديريت امنيت ()... ،ISO-17799 الهام سوهان کار ‏IT امنيتIT مشيامنيت خطمشي تهيةخط تهية ‏IT امنيتIT تشكيالتيامنيت ‌هايتشكيالتي جنبهه‌هاي جنب ‏IT امنيتIT مديريتامنيت مديريت ‌سازي پياده‌سازي پياده ‌رساني آگاهيي‌رساني آگاه امنيتي امنيتي ‌هاي روشش‌هاي رو دفاعي دفاعي مراحل پيگيريمراحل پيگيري بیومتریک الهام سوهان کار فناوری بیومتری ک اگرچ ه از تخص صهایی س ود م ی جوید که هر یک از آنها س ابقه ی دیرین ه در عل م و ص نعت دارن د ول ی دارای تعاری ف ،مفاهی م و کاربس ت های ن و و جدیدی است .این فناوری که در واق ع روشهای تعیین یا تایی د هویت افراد ب ه ص ورت خودکار ،طب ق شناس ه های فیزیولوژیک ی ی ا رفتاری اس ت در س الهای گذشت ه ،بیشت ر در فیل م های س ینمایی ب ه عنوان ی ک فناوری پیشرفت ه علمی -تخیلی نمود داشته است و در عین حال در تعدادی از مراکز حساس که نیازمند به ضریب امنیتی باالیی بوده اند نیز بکار گرفته شده است .پیچیدگی سخت افزاری و نرم افزاری سامانه‌ ها و قلت کاربرد آنها ،هزینه¬ Kهای ساخت و راه¬ Kاندازی گزافی را به مجریان چنین طرحهایی تحمیل می کرده است. بیومتریک الهام سوهان کار انواع بيومتريکها بیومتریکهای فیزیولوژیکی بیومتریکهای رفتاري بیومتریک فیزیولوژیکی الهام سوهان کار :بیومتریکهای فیزیولوژیکی عبارتند از عنبیه نگاری شبکیه نگاری ا نگشت نگاری چهره نگاری دست نگاری صوت نگاری بیومتریک رفتاری الهام سوهان کار :بیومتریکهای رفتاري عبارتند از امضا نگاری نحوه ی تايپ کردن سایر بیومتریک الهام سوهان کار پارامترهاي ديگري هم اخيراً مورد استفاده قرار گرفته است که به علل مختلف هنوز کاربرد وسيعي ندارند .از جمله مي توان به بيومتريکهاي زیر اشاره کرد •DNA •نحوه راه رفتن • الگوي رگهاي پشت دست •خطوط کف دست • شکل گوش •بوي بدن •و الگوي بافتهاي زير پوستي دست آموزش شبنم قریشیان آموزش های عمومی آموزش های اختصاصی  ISMSدرایران شبنم قریشیان برخی دالیل عدم توجه به ISMSدر ایران : الف :عدم تخصیص جایگاه مناسب به مسائل امنیتی ب :کمبود های تئوریک و عملی کارشناسان ج :عدم آموزش و اطالع رسانی Thanks