Presentation4
Upcoming SlideShare
Loading in...5
×
 

Presentation4

on

  • 1,413 views

 

Statistics

Views

Total Views
1,413
Views on SlideShare
1,413
Embed Views
0

Actions

Likes
0
Downloads
27
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Presentation4 Presentation4 Presentation Transcript

  • 1
  • ‫پروژه درس امنیت در تجارت الکترونیک‬ ‫استاد:جناب آقای دکتر سخاوتی‬ ‫سمیه هادی پور داراکویه‬ ‫9901688‬
  • ‫اصتاهدارد ًا ،چالض ًا ،راًکار ًا‬‫3‬
  • ‫مكدمي ای بر هكض امویت در تجارت‬
  • ‫اظوائي با مراخل ظي ظدى در زميوي امويت اظالغات‬‫5‬
  • ‫تجارت الک تروهیک چیشت؟‬‫6‬
  • ‫زير ظاخي ًاي تجارت الک تروهيک‬‫7‬ ‫تجارت الک تروهيک(‪)E-Commerce‬‬ ‫1-‬ ‫کشب و کار الک تروهيک(‪)E-Business‬‬ ‫2-‬ ‫بازاريابي الک تروهيکي(‪)E-Marketing‬‬ ‫3-‬ ‫باهکداري الک تروهيکي(‪)E-Banking‬‬ ‫4-‬ ‫کارت ًاي ًٍظمود‬ ‫5-‬ ‫مديريت روابط غمٍمي با مطتري‬ ‫6-‬
  • ‫مزاياي تجارت الک تروهيک‬‫8‬ ‫افزايض فروش‬ ‫‪‬‬ ‫افزايض درامد‬ ‫‪‬‬ ‫افزايض صرمايي گذاري‬ ‫‪‬‬ ‫افزايض صعح رفاى زهدگي مردم‬ ‫‪‬‬ ‫ايجاد فرصتٌاي تجاري جديد براي صوايع و بوگاى ًاي بازرگاهي‬ ‫‪‬‬ ‫افزايض فرصتٌاي جديد ظغلي‬ ‫‪‬‬ ‫امکان ارائي خدمات و مدصٍالت در صعح جٌاهي‬ ‫‪‬‬ ‫جلٍگيري از اتالف ولت و کاًض ترددًاي بي مٍرد‬ ‫‪‬‬ ‫کاًض ًزيوي ًاي صربار و ايجاد رلابت در صعح بين الملل‬ ‫‪‬‬ ‫دصترصي صريع بي اظالغات‬ ‫‪‬‬ ‫غدم خضٍر واصعي‬ ‫‪‬‬ ‫کاًض ًزيوي ًاي تبليغات کاال‬ ‫‪‬‬ ‫ورود بي بازارًاي فرا موعكي اي در جٌت بازاريابي جٌاهي‬ ‫‪‬‬
  • ‫هيازًاي تجارت الک تروهيک‬‫9‬ ‫يک صيشتم باهکي روان و دليق‬ ‫‪‬‬ ‫لٍاهين گمرکي،مالياتي و باهکداري الک تروهيکي‬ ‫‪‬‬ ‫کد تجاري مدصٍل‬ ‫‪‬‬ ‫تٌيي و تدوين هظام مالي اظالغات و هظام خكٍلي اظالع رصاهي (کپ ي رايت)‬ ‫‪‬‬ ‫امويت اظالغات‬ ‫‪‬‬ ‫مدرماهي بٍدن اظالغات ظخصي‬ ‫‪‬‬ ‫تعبيق مكررات ملي با مكررات متددالطکل بين المللي‬ ‫‪‬‬ ‫ًمکاري داهطگاًٌا،مراکز تدكيكاتي و صازماهٌاي مختلف‬ ‫‪‬‬ ‫پذيرش اصواد الک تروهيکي تٍصط لٍى لضاييي‬ ‫‪‬‬ ‫تامين، صدور و بکارگيري کارت اغتباري‬ ‫‪‬‬ ‫تامين خعٍط ارتباظي پرصرغت و معمئن و ايجاد بشتر مخابراتي بي ظکل بي صيم‬ ‫‪‬‬
  • ‫تػریف امویت :‬ ‫• اطالعات فقط و فقط بایستی توسط افراد مجاز قابل دسترسی و تغییر‬ ‫باشد.‬ ‫محرمانگی‬ ‫• حفظ تمامیت به معناي پیشگیري از بروز مشکل در همکاري و پیوسته نگه‬ ‫داشتن عناصر یک سیستم می باشد.‬ ‫تمامیت‬ ‫• اطالعات بایستی به هنگام نیاز توسط افراد مجاز قابل دسترس باشد.‬ ‫دسترس پذیري‬ ‫• به هنگام انجام کاري و یا دریافت اطالعات یا سرویسی، شخص انجام دهنده یا‬ ‫گیرنده نتواند آن را انکارکند.‬ ‫عدم انکار‬‫01‬
  • ‫ارزیابی غملیات تجارت الک تروهیک‬ 100% 80% 60% Series 3 Series 2 40% Series 1 20% 0%11 Category 1 Category 2 Category 3 Category 4
  • ‫ظرح مشتمر‬‫21‬
  • ‫تدكیكات اهجام ظدى درمٍرد امویت تجارت الک تروهیک‬‫31‬
  • ‫‪ DHS‬چیشت؟‬ ‫1- سیستم ملی پاسخگوی امنیت فضاهای مجازی‬ ‫2- برنامه کاهش آسیب پذیری و خطرات احتمالی موجود در فضاهای مجازی‬ ‫3- برنامه های آموزشی و آگاه کننده در زمینه امنیت فضاهای مجازی‬ ‫4- ایمن سازی فضای مجازی دولت‬ ‫5- همکاری های بین المللی و ملی در زمینه امنیت‬‫41‬
  • ‫51‬‫استاندارد های امنیت اطالعات‬
  • ‫61‬ ‫استاندارد 9977‪BS‬‬ ‫استاندارد 9977‪ BS‬اولین استاندارد مدیریت امنیت است که توسط موسسه استاندارد انگلیس ارائه‬ ‫‪‬‬ ‫شده است. نسخه اول این استاندارد (1-9977‪ )BS‬در سال 5991 و در یک بخش و با‬ ‫عنوان‪ BS7799-1: Code of Practice for Information Security Management‬منتشر‬ ‫گردید. و نسخه دوم آن (2-9977‪ )BS‬که در سال 9991 ارائه شد، عالوه بر تغییر نسبت به نسخه‬ ‫اول، متشکل از دو بخش مستقل ارائه گردید. هدف از تدوین این استاندارد ارائه پیشنهاداتي در‬ ‫زمینه مدیریت امنیت اطالعات براي کساني است که مسئول طراحي، پیاده سازي یا پشتیباني مسائل‬ ‫امنیتي در یک سازمان مي باشند. این استاندارد متشکل از 53 هدف امنیتي و 721 اقدام بازدارنده‬ ‫براي تامین اهداف تعیین شده ميباشد که جزئیات و چگونگيها را مطرح نمي کند بلکه سرفصلها‬ ‫و موضوعات کلي را بیان مي کند. طراحان استاندارد 9977‪ BS‬اعتقاد دارند که در تدوین این‬ ‫استاندارد، ممکن است کنترل ها و راهکارهاي مطرح شده براي همه سازمان ها قابل استفاده نباشد‬ ‫ویا نیاز به کنترلهاي بیشتري باشد که این استاندارد، آنها را پوشش نداده است.‬
  • ‫71‬ ‫اصتاهدارد 9977‪BS‬‬ ‫در سال 0002 میالدي بخش اول استاندارد 2-9977‪ BS‬بدون هیچگونه تغییري توسط موسسه بین المللي استاندارد بعنوان استاندارد‬ ‫‪‬‬ ‫99771 ‪ ISO/IEC‬منتشر گردید. وشامل سر فصل هاي ذیل است:‬ ‫تدوین سیاست امنیتي سازمان‬ ‫‪‬‬ ‫تشکیالت امنیتي‬ ‫‪‬‬ ‫طبقه بندي سرمایه ها و تعیین کنترلهاي الزم‬ ‫‪‬‬ ‫امنیت پرسنلي‬ ‫‪‬‬ ‫امنیت فیزیکي و پیراموني‬ ‫‪‬‬ ‫مدیریت ارتباطات و بهره برداري‬ ‫‪‬‬ ‫کنترل دسترسي‬ ‫‪‬‬ ‫توسعه و پشتیباني سیستم ها‬ ‫‪‬‬ ‫مدیریت تداوم فعالیت‬ ‫‪‬‬ ‫سازگاري‬ ‫‪‬‬
  • ‫81‬ ‫اصتاهدارد 9977‪BS‬‬ ‫این استاندارد مجددا در سال 2002 میالدي بازنویسي و منتشر گردید. در سال 5002‬ ‫‪‬‬ ‫دوباره این استاندارد بازنویسي و با دو نام 5002:99771 ‪ BS ISO/IEC‬و ‪BS‬‬ ‫5002:1-9977 در یک سند انتشاریافت. این نسخه متشکل از 93 هدف امنیتي و‬ ‫431 اقدام بازدارنده است. تغییراتي که این استاندارد نسبت به استاندارد قبل آن‬ ‫کرده است عبارت است از:‬ ‫الف- افزایش یافتن یک فصل جدید و تغیییر نمودن بعضي از فصول گذشته‬ ‫‪‬‬ ‫ب- تغییر وحذف شدن بعضي از کنترلهاي قدیمي و اضافه شدن 71 کنترل جدید‬ ‫‪‬‬ ‫ج- افزایش تعداد کنترلها به 431عدد‬ ‫‪‬‬
  • ‫اصتاهدارد 9977‪BS‬‬‫91‬ ‫نحوه عملكرد استاندارد 9977 ‪BS‬‬ ‫‪‬‬ ‫در راستای تحقق دومین هدف پیدایش این استاندارد كه به آن اشاره شد، یعنی كمك به كاربران سرفصلهایی‬ ‫برای نحوه پیاده سازی امنیت در یك سازمان كه در حقیقت یك كاربر سیستم های امنیتی می باشد، تعیین شده‬ ‫است كه عبارتند از:‬ ‫● تعیین مراحل ایمن سازی و نحوه شكل گیری چرخه امنیت‬ ‫● جزییات مراحل ایمن سازی و تكنیكهای فنی مورد استفاده در هر مرحله‬ ‫● لیست و محتوای طرح ها و برنامه های امنیت اطالعات مورد نیاز سازمان‬ ‫● ضرورت و جزییات ایجاد تشكیالت سیاستگذاری، اجرایی و فنی تامین امنیت‬ ‫● كنترلهای امنیتی مورد نیاز برای هر یك از سیستم های اطالعاتی و ارتباطی‬ ‫‪‬‬ ‫● تعریف سیاستهای امنیت اطالعات‬ ‫‪‬‬ ‫● تعریف قلمرو سیستم مدیریت امنیت اطالعات و مرزبندی آن متناسب با نوع نیازهای سازمان‬ ‫● انجام و پذیرش برآورد مخاطرات، متناسب با نیازهای سازمان‬ ‫● پیش بینی زمینه ها و نوع مخاطرات بر اساس سیاستهای امنیتی تدوین شده‬ ‫● انتخاب هدفهای كنترل و كنترلهای مناسب كه قابل توجیه باشند، از لیست كنترلهای همه جانبه‬ ‫● تدوین دستورالعمل های عملیاتی‬
  • ‫اصتاهدارد 9977‪BS‬‬‫02‬ ‫مدیریت امنیت شبكه‬ ‫‪‬‬ ‫به منظور تعیین اهداف امنیت، ابتدا باید سرمایههای مرتبط با اطالعات و ارتباطات سازمان،‬ ‫شناسایی شده و سپس اهداف تامین امنیت برای هریك از سرمایهها، مشخص شود.سرمایههای‬ ‫مرتبط با شبكه سازمان عبارتند از: سخت افزار، نرمافزار، اطالعات، ارتباطات، كاربران.‬ ‫اهداف امنیتی سازمانها باید به صورت كوتاهمدت و میانمدت تعیین گردد تا امكان تغییر آنها‬ ‫متناسب با تغییرات تكنولوژیها و استانداردهای امنیتی وجود داشته باشد. عمده اهداف كوتاه‬ ‫مدت در خصوص پیادهسازی امنیت در یك سازمان عبارتند از:‬ ‫‪‬‬ ‫- جلوگیری از حمالت و دسترسیهای غیرمجاز علیه سرمایه های شبكه‬ ‫- مهار خسارتهای ناشی از ناامنی موجود در شبكه‬ ‫- كاهش رخنه پذیری‬
  • ‫اصتاهدارد 9977‪BS‬‬‫12‬ ‫اهداف میانمدت نیز عمدتا ً عبارتند از:‬ ‫‪‬‬ ‫‪‬‬ ‫- تامین صحت عملكرد، قابلیت دسترسی برای نرمافزارها و سختافزارها و محافظت فیزیكی‬ ‫صرفا ً برای سخت افزارها‬ ‫‪‬‬ ‫- تامین محرمانگی، صحت و قابلیت دسترسی برای ارتباطات و اطالعات متناسب با طبقه‬ ‫بندی آنها از حیث محرمانگی و حساسیت‬ ‫‪‬‬ ‫- تامین قابلیت تشخیص هویت، حدود اختیارات و پاسخگویی، حریم خصوصی و آگاهیرسانی‬ ‫امنیتی برای كاربران شبكه، متناسب با طبقهبندی اطالعات قابل دسترس و نوع كاربران‬
  • ‫اصتاهدارد 9977‪BS‬‬‫22‬ ‫استاندارد 9977‪ BS‬دارای 01 گروه كنترلی می باشد كه هرگروه شامل چندین كنترل زیرمجموعه است‬ ‫‪‬‬ ‫بنابراین در كل 721 كنترل برای داشتن سیستم مدیریت امنیت اطالعات مدنظر قراردارد. این ده گروه كنترلی‬ ‫عبارتند از :‬ ‫1- تدوین سیاست امنیتي سازمان: در این قسمت، به ضرورت تدوین و انتشار سیاست هاي امنیتي اطالعات و ار‬ ‫‪‬‬ ‫تباطات سازمان ، بنحوي كه كلیه مخاطبین سیاست ها در جریان جزئیات آن قرار گیرند، تاكید شده است . همچنین‬ ‫جزئیات و نحوه نگارش سیاست هاي امنیتي اطالعات و ارتباطات سازمان، ارائه شده است.‬ ‫2- ایجاد تشكیالت تامین امنیت سازمان: در این قسمت، ضمن تشریح ضرورت ایجاد تشكیالت امنیت اطالعات و‬ ‫‪‬‬ ‫ارتباطات سازمان، جزئیات این تشكیالت در سطوح سیاستگذاري، اجرائي و فني به همراه مسئولیت هاي هر یك از‬ ‫سطوح، ارائه شده است.‬ ‫3-دسته بندي سرمایه ها و تعیین كنترل هاي الزم :در این قسمت، ضمن تشریح ضرورت دسته بندي اطالعات‬ ‫‪‬‬ ‫سازمان، به جزئ یات تدوین راهنماي دسته بندي اطالعات سازمان پرداخته و محورهاي دسته بندي اطالعات را ارائه‬ ‫نموده است.‬ ‫‪‬‬
  • ‫اصتاهدارد 9977‪BS‬‬‫32‬ ‫4-امنیت پرسنلي :در این قسمت، ضمن اشاره به ضرورت رعایت مالحظات امنیتي در‬ ‫‪‬‬ ‫بكارگیري پرسنل، ضرورت آموزش پرسنل در زمینه امنیت اطالعات و ارتباطات، مطرح شده و‬ ‫لیستي ازمسئولیت هاي پرسنل در پروسه تامین امنیت اطالعات و ارتباطات سازمان، ارائه شده‬ ‫‪ ‬است.‬ ‫‪5 ‬امنیت فیزیكي و پیراموني :در این قسمت، اهمیت و ابعاد امنیت فیزیكي، جزئیات محافظت از‬ ‫تجهیزات و كنترلهاي موردنیاز براي این منظور، ارائه شده است.‬ ‫‪6 ‬مدیریت ارتباطات :در این قسمت، ضرورت و جزئیات روالهاي اجرائي موردنیاز، بمنظور تعیین‬ ‫مسئولیت هریك از پرسنل، روالهاي مربوط به سفارش، خرید، تست و آموزش سیستم ها، محافظت‬ ‫درمقابل نرم افزارهاي مخرب، اقدامات موردنیاز در خصوص ثبت وقایع و پشتیبان گیري‬ ‫ازاطالعات، مدیریت شبك ه، محافظت از رسانه ها و روالها و مسئولیت هاي مربوط به‬ ‫‪ ‬درخواست، تحویل، تست و سایر موارد تغییر نرم افزارها ارائه شده است.‬
  • ‫اصتاهدارد 9977‪BS‬‬‫42‬ ‫7- كنترل دسترسي :در این قسمت، نیازمندیهاي كنترل دسترسي، نحوه‬ ‫‪‬‬ ‫مدیریت دسترسي پرسنل،مسئولیت هاي كاربران، ابزارها و مكانیزم هاي‬ ‫كنترل دسترسي در شبكه، كنترل دسترسي در سیستم عاملها و نرم افزارهاي‬ ‫كاربردي، استفاده از سیستم هاي مانیتورینگ و كنترل دسترسي در ارتباط از‬ ‫راه دور به شبكه ارائه شده است.‬ ‫8-نگهداري و توسعه سیستم ها:در این قسمت، ضرورت تعیین نیازمندیهاي‬ ‫‪‬‬ ‫امنیتي سیستم ها، امنیت د ر سیستم هاي كاربردي، كنترلهاي رمزنگاري،‬ ‫محافظت از فایلهاي سیستم و مالحظات امنیتي موردنیازدر توسعه و پشتیباني‬ ‫سیستم ها، ارائه شده است.‬
  • ‫اصتاهدارد 9977‪BS‬‬‫52‬ ‫‪ -9 ‬مدیریت تداوم فعالیت سازمان :در این قسمت، رویه هاي مدیریت تداوم فعالیت، نقش‬ ‫تحلیل ضربه در تداوم فعالیت، طراحي و تدو ین طرح هاي تداوم فعالیت، قالب پیشنهادي براي‬ ‫طرح تداوم فعالیت سازمان و طرح هاي تست، پشتیباني و ارزیابي مجدد تداوم فعالیت سازمان،‬ ‫ارائه شده است.‬ ‫01-پاسخگوئي به نیازهاي امنیتي :در این قسمت، مقررات موردنیاز در خصوص پاسخگوئي‬ ‫‪‬‬ ‫به نیازهاي امنیتي، سیاست هاي امنیتي موردنیاز و ابزارها و مكانیزم هاي بازرسي امنیتي‬ ‫سیستم ها، ارائه شده است.‬
  • ‫اصتاهدارد 9977‪BS‬‬‫62‬ ‫تهدیدهای امنیتی‬ ‫‪‬‬ ‫تهدیدهای بالقوه برای امنیت شبكههای كامپیوتری به صورت عمده عبارتند از:‬ ‫● فاش شدن غیرمجاز اطالعات در نتیجه استراقسمع دادهها یا پیامهای در حال مبادله روی شبكه‬ ‫● قطع ارتباط و اختالل در شبكه به واسطه یك اقدام خرابكارانه‬ ‫● تغییر و دستكاری غیر مجاز اطالعات یا یك پیغام ارسالشده برای جلوگیری از این صدمات باید سرویسهای‬ ‫امنیتی زیر در شبكههای كامپیوتری ارائه شود و زمانی كه یكی از سرویسهای امنیتی نقص شود بایستی تمامی تدابیر‬ ‫امنیتی الزم برای كشف و جلوگیری رخنه در نظر گرفته شود:‬ ‫● محرمانه ماندن اطالعات‬ ‫● احراز هویت فرستنده پیغام‬ ‫● سالمت دادهها در طی انتقال یا نگهداری‬ ‫● كنترل دسترسی و امكان منع افرادی كه برای دسترسی به شبكه قابل اعتماد نمی باشد.‬ ‫● در دسترس بودن تمام امكانات شبكه برای افراد مجاز و عدم امكان اختالل در دسترسی‬
  • ‫فوائد استاندارد 9977‪ BS‬و لزوم پیاده سازی‬‫72‬ ‫استاندارد 9977‪ BS‬قالبی مطمئن برای داشتن یك سیستم مورد اطمینان امنیتی می باشد.‬ ‫در زیر به تعدادی از فوائد پیاده سازی این استاندارد اشاره شده است:‬ ‫- اطمینان از تداوم تجارت و كاهش صدمات توسط ایمن ساختن اطالعات و كاهش تهدیدها‬ ‫‪‬‬ ‫- اطمینان از سازگاری با استاندارد امنیت اطالعات و محافظت از داده ها‬ ‫‪‬‬ ‫- قابل اطمینان كردن تصمیم گیری ها و محك زدن سیستم مدیریت امنیت اطالعات‬ ‫‪‬‬ ‫- ایجاد اطمینان نزد مشتریان و شركای تجاری‬ ‫‪‬‬ ‫- امكان رقابت بهتر با سایر شركت ها‬ ‫‪‬‬ ‫- ایجاد مدیریت فعال و پویا در پیاده سازی امنیت داده ها و اطالعات‬ ‫‪‬‬ ‫- بخاطر مشكالت امنیتی اطالعات و ایده های خود را در خارج سازمان پنهان نسازید‬ ‫‪‬‬
  • ‫اصتاهدارد99771‪ISO/IEC‬‬‫82‬ ‫در حال حاضر، مجموعهاي از استانداردهاي مدیریتي و فني ایمنسازي فضاي تبادل اطالعات سازمانها ارائه‬ ‫‪‬‬ ‫شدهاند که استاندارد مدیریتي 9977‪ BS‬موسسه استاندارد انگلیس، استاندارد مدیریتي 99771 ‪ISO/IEC‬‬ ‫موسسه بینالمللي استاندارد و گزارش فني 53331 ‪ISO/IEC TR‬موسسه بینالمللي استاندارد از برجستهترین‬ ‫استاندادرها و راهنماهاي فني در این زمینه محسوب ميگردند.‬ ‫در این استانداردها، نکات زیر مورد توجه قرار گرفته شده است:‬ ‫‪‬‬ ‫تعیین مراحل ایمنسازي و نحوه شکلگیري چرخه امنیت اطالعات و ارتباطات سازمان‬ ‫1-‬ ‫‪‬‬ ‫جرئیات مراحل ایمنسازي و تکنیکهاي فني مورد استفاده در هر مرحله‬ ‫2-‬ ‫‪‬‬ ‫لیست و محتواي طرحها و برنامههاي امنیتي موردنیاز سازمان‬ ‫3-‬ ‫‪‬‬ ‫ضرورت و جزئیات ایجاد تشکیالت سیاستگذاري، اجرائي و فني تامین امنیت اطالعات و ارتباطات‬ ‫4-‬ ‫‪‬‬ ‫سازمان‬ ‫کنترلهاي امنیتي موردنیاز براي هر یک از سیستمهاي اطالعاتي و ارتباطي سازمان‬ ‫5-‬ ‫‪‬‬
  • ‫92‬ ‫اصتاهدارد ايزو 10072‬ ‫استاندارد 10072 ‪( ISO‬نسخه به روز 9977‪ )BS‬یا به عبارتی‬ ‫‪‬‬ ‫همان استاندارد 99771 ‪ ISO/IEC‬می باشد ،نكته قابل اشاره در‬ ‫این زمینه همسانی این استاندارد با استاندارد 0009‪ISO‬‬ ‫میباشد. قسمت سوم استاندارد 9977‪ BS‬در حقیقت توسعه‬ ‫سیستم ‪ ISMS‬میباشد. درست مانند تغییرات ایجاد شده در‬ ‫استاندارد 4009‪.ISO‬‬ ‫استاندارد 10072 ‪ ISO‬استانداردی یکپارچه می باشد.‬ ‫‪‬‬
  • ‫تٍلداصتاهداردمديريت امویت اظالغات‬‫03‬ ‫اصتاهدارد 10072 ‪ISO/IEC‬تٍصط کمیتي فوی مطترک 1 ‪ISO/IEC JTC‬‬ ‫(فواوری اظالغات ،زیر کمیتي 72 ‪،SC‬فوٍن امویتی فواوری اظالغات )تٌیي ظدى اصت‬ ‫این اصتاهدارد درصال 5002 مٍردبازهگري لرارگرفت.‬
  • ‫مزاياي اصتكرار اصتاهدارد ايزو 10072‬‫13‬ ‫- اطمینان از تداوم تجارت و كاهش صدمات توسط ایمن ساختن اطالعات و كاهش تهدیدها‬ ‫- اطمینان از سازگاری با استاندارد امنیت اطالعات و محافظت از داده ها‬ ‫- قابل اطمینان كردن تصمیم گیری ها و محك زدن سیستم مدیریت امنیت اطالعات‬ ‫-ایجاد اطمینان نزد مشتریان و شركای تجاری‬
  • ‫23‬ ‫(ادامي)‬ ‫مزاياي اصتكرار اصتاهدارد ايزو 10072‬ ‫- امكان رقابت بهتر با سایر شركت ها‬ ‫-ایجاد مدیریت فعال و پویا در پیاده سازی امنیت داده ها و اطالعات‬ ‫-بخاطر مشكالت امنیتی اطالعات و ایده های خود را در خارج سازمان پنهان نسازید‬
  • ‫مدیریت و کوترل امویت تجارت الک تروهیکی‬ ‫• برخی از سازمان ها از اهمیت اطالعات و فایلهای خود بی خبرند.‬ ‫• بسیاری از سازمانها تنها به ایمن سازی شبکه کامپیوتری داخلی خود پرداخته و دیگر‬ ‫بخشها را فراموش می کنند‬ ‫• برخی از سازمانها به جای پیشگیری معموالً زمانی به کنترل مسائل امنیتی می پردازند که‬ ‫مشکلی روی داده باشد .‬ ‫• سازمانها به ندرت اقدامات امنیتی خود را طبق تغییرات پیش آمده به روز می کنند . آنها‬ ‫همچنین در بهنگام رسانی اطالعات کارمندان خود در زمینه اقدامات امنیتی نیز ضعیف‬ ‫عمل می کنند .‬ ‫• همواره با مساله امنیتی به عنوان یک مشکل ‪ IT‬و نه یک مشکل و مساله سازمانی‬‫33‬ ‫برخورد می شود .‬
  • ‫‪Security Risk Management‬‬ ‫مدیریت خعرات امویتی‬ ‫در این مرحله سازمان به شناساایی کامپیوترهاای کلیادی ، شابکه هاای مهام ،‬ ‫دارایی ها و بانکهای اطالعاتی مهم خود پرداخته و آنها را ارزش گاذاری مای‬ ‫شناسایی دارایی ها و‬ ‫کند . هزینه بدست آوردن اطالعات ، محافظت و پشاتیبانی ، هزیناه جاایگزین‬ ‫اطالعات مهم‬ ‫کااردن دارایاای هااا و احتمااال دسترساای اشااخاص اال ا بااه اطالعااات را ارزش‬ ‫گذاری گویند.‬ ‫پس ازشناسایی و ارزش گذاری باید خطرات احتمالی را که ممکان اسات ایان‬ ‫دارایاای هااا و بانااک اطالعاااتی را تهدیااد کنااد ارزیااابی کنااد . ایاان مرحلااه شااامل‬ ‫شناسایی خطرات ، نواحی آسایب پاذیر و تهدیاد هاای احتماالی اسات . (حماالت‬ ‫ارزیابی خطرات‬ ‫تروریسااتی،بدکارکردن سیسااتم هااا، نقااص ساااختار بناادی سیسااتم هااا،برخی از‬ ‫کارمندان،مهاجمین،افراد سودجو و هکرها).‬ ‫پس از شناسایی خطرات و تهدیدات و تقسیم بندی آنها بایاد بارای آنهاا لیساتی‬ ‫از اقدامات پیشگیری را تهیه نمود و از نظر هزینه و مقرون به صرفه بودن‬ ‫،اقدامات را بررسی کرد پس از آن سازمان موظف است بر روناد کاار نظاارت‬ ‫اجرا و پیاده سازی‬ ‫داشته و بازده و مفید بودن اقدامات را مورد بررسی قرار دهد.‬‫43‬
  • ‫غٍامل دخیل در تجارت الک تروهیک:‬‫53‬
  • ‫خٍزى ًای در بر گیرهدى غٍامل تجارت الک تروهیک‬‫63‬ ‫تٍلید‬ ‫ارائي‬ ‫برهامي ًای تدت وب‬ ‫بشتر هرم افزاری(صیشتم غامل ،صرویس دًودى وب ،صرویس دًودى باهک اظالغاتی دو....)‬ ‫باهکٌای اظالغاتی‬ ‫بشتر صخت افزاری(صرویس دًودى ًا، موابع ذخیرى صازی و صاختار ارتباظی اهٌا)‬ ‫.......‬ ‫تجارت الک تروهیک‬ ‫دریافت‬ ‫اهتكال‬ ‫مطتریان و کاربران صیشتم ظامل اظخاص و وصیلي ارتباظی اهٌا‬ ‫بشتر دصترصی(ایوترهت ،ایوتراهت)‬ ‫(غمدتا رایاهي ًای ظخصی)‬ ‫بشتر ارصال(پشت و اهٍاع مختلف ان)‬
  • ‫امویت در تجارت الک تروهیک:‬‫73‬
  • ‫تٍلید:‬‫83‬ ‫‪SQL Injection‬‬ ‫این روش وارد کردن دستورها و عباراتی باه زباان قابال فهام توساط‬ ‫‪ SQL‬در قسمتهایی از یک وب سایت است که مای توانناد مقاادیري‬ ‫را باااه صاااورت ورودي دریافااات کنناااد. بناااابراین هکااار میتواناااد یاااک‬ ‫دساااتور را بااار روي سااارور باناااک اطالعاااات اجااارا کناااد. کاااه حاصااال‬ ‫اجااراي ایاان دسااتور ماای توانااد بااه دساات آوردن اطالعااات کاااربران،‬ ‫اطالعااات کااارت هاااي اعتبااااري، جزییااات مبااادالت انجااام شاااده و...‬ ‫باشد.‬
  • ‫)‪Cross-Site Scripting (XSS‬‬‫93‬ ‫‪ Script‬در فیلااد هاااي ورودي بااه منظااور بااه دساات آوردن‬ ‫عبااارت اساات از فرسااتادن‬ ‫اطالعات مهم و یاا ایجااد تغییار در کادهاي ‪ HTML‬کاه عمادتا ً ایان روش باه دو صاورت‬ ‫ذخیره شده و منعکس تقسیم می شود.‬ ‫در هر دو روش حاصل اجرا شدن ‪ Script‬می تواناد منجار باه ایان شاود کاه هکار بتواناد‬ ‫اطالعات نشست احراز هویت شده کاربر با وب سایت مورد نظر را به دست آورد و بتواناد‬ ‫خود از آن استفاده کند در واقع هویت خود را جعل و خود را به عنوان کاربر ابراز نماید.‬
  • ‫‪Price Manipulation‬‬‫04‬ ‫همانطور که اسم این روش نشان می دهد عبارت اسات از دساتکاري قیمات، باه ایان صاورت‬ ‫که به هنگاام محاسابه قیمات کال باه علات ذخیاره ساازي یکساري از اطالعاات خریاد بار روي‬ ‫سیستم مشتري، هکر با استفاده از یک برنامه که بتواند ارتباطات خود و سرویس دهناده را‬ ‫پروکسی کند مانند برنامه ( ‪)Achilles‬می تواند اطالعات مهمی از جملاه قیمات را تغییار‬ ‫دهد که اگر کنترل هاي الزم در سمت برنامه سرویس دهناده وجاود نداشاته باشاد ضارر ماالی‬ ‫این کار متوجه شرکت سرویس دهنده میشود.‬
  • ‫‪Buffer Overflow‬‬ ‫مربوط به اشتباه در برنامه نویسی می باشد. می توان این خطر را به دو قسمت تقسیم کرد:یکی افشاا‬‫14‬ ‫یکسري اطالعات از طریق پیغام هاي خطایی است که سیستم به علت سرریز شادن باافر بار مای گرداناد‬ ‫که می تواند اطالعات بسیار خوبی را در اختیار هکار قارار دهاد و دوم اینکاه در برخای از شارایط هکار‬ ‫قادر است با استفاده از این ضعف،دستوري را بر روي سرویس دهنده اجرا کند.‬ ‫‪Password guessing‬‬ ‫همان به دست آوردن غیر مجاز رمز عبور افراد می باشد که امروزه در تجارت الکترونیک، بسیار زیاد‬ ‫دیده می شود. این روش خود باه دو قسامت حملاه هااي واژه ناماه اي و حملاه هااي مبتنای بار آزماایش‬ ‫تمامی عبارات ممکن تقسیم می شود.‬
  • ‫ارائي:‬‫24‬ ‫کدهاي مخرب‬ ‫)…,‪(Worm, Virus‬‬ ‫این دسته از تهدیدها که می توانناد باعا از کاار افتاادن سیساتم شاوند باه عناوان‬ ‫یکی از مهمترین تهدیدهاي سیستم عامل به حساب می آیند.‬
  • ‫‪DOS‬‬ ‫)‪(Denial of Service‬‬ ‫این دسته از حمالت تنها هدفشان از کار انداختن سرویس دهنده می باشد که می تواند هم به‬ ‫علت وجود یک ضعف در سیستم باشد و یا به علت حجم باالیی از تقاضا.‬ ‫آسیب پذیري سرویس دهنده‬ ‫از جمله بزرگترین معضالت تکنولوژي وجود ضعفهاي امنیتی می باشد. این ضعفها از چند جهت قابل بررسی می باشد:‬ ‫یکی از این جهت که معموالً این ضعفها اول توسط تیم هاي هکري کشف می شوند و در جهت کارهاي خرابکارانه مورد‬ ‫استفاده قرار می گیرند.‬ ‫دوم اینکه در برخی از موارد علیرغم انتشار بسته هاي امنیتی ممکن است که یکسري از استفاده کنندگان آنها رایا به‬‫34‬ ‫علت سهل انگاري و یا به علت عدم آگاهی در سرویس دهنده و یا سیستم عامل اعمال نکنند.‬
  • ‫اهتكال:‬‫44‬
  • ‫دریافت:‬‫54‬ ‫وقتی دریافت هزینه همزمان با تحویال کااال در محال مشاتري انجاام مای پاذیرد مای تواناد تهدیادي جادي باه‬ ‫حساب آید چرا که هیچ سیستمی به منظور اابات این موضوع که چه شخصی سافارش دهناده باوده وجاود‬ ‫انکار‬ ‫ندارد.‬ ‫سفارش‬ ‫ایاان تهدیااد بااه طااور عمااده در نقاال و انتقاااالت اینترنتاای وجااود دارد بااه طوریکااه‬ ‫انکار دریافت‬ ‫دریافت کننده همواره انکار کننده دریافت سرویس و یا کاال می باشد.‬ ‫کاال‬ ‫کاربر‬ ‫شاامل فریااب دادن کااربران و دریافاات اطالعاات کااارت اعتبااري آنهااا و یاا دریافاات‬ ‫هزینه اي بیشتر از قیمت کاال یا سرویس می باشد.‬ ‫کاله برداری‬ ‫در واقااع هااک شاادن ذات بشاار ماای باشااد بااه ایاان منظااور کااه بااا اسااتقاده از ترفناادهایی خاااص در ارتباطااات‬ ‫مهندسی‬ ‫بشري هکر می تواند به اطالعات مطلاوب خاود دسات یاباد و یاا باه ناوعی آنهاا را متقاعاد باه انجاام کااري‬ ‫بکند.‬ ‫اجتماعی‬
  • ‫64‬ ‫راًکارًاي مكابلي :‬
  • ‫1. اجتواب از خعر :‬ ‫به این معنی می باشد که آن کاري را که می تواند براي سیستم ایجاد خطر نماید را انجام ندهیم و یا با انجام کاري آن خطر را‬ ‫دور نماییم‬ ‫2. اهتكال خعر :‬ ‫در برخی از شرایط می توانیم خسارت ناشی از یک خطر را به سازمان و یا شرکت دیگري منتقل کنیم. یکی از متداولترین‬ ‫کارها در این زمینه بیمه می باشد.‬ ‫3. کاًض خعر :‬ ‫به طور مثال با بروز نگه داشتن سیستم عامل خطر هک شدن از طریق ضعفهاي امنیتی سیستم عامل را کاهش‬ ‫می دهیم.‬ ‫4. پذیرش خعر:‬ ‫در شرایطی که هیچگونه از موارد باال تحقق نیابند چاره اي جز پذیرش خطر نیست یعنی آگاهانه می پذیریم که‬‫74‬ ‫از یک خطري ممکن است متضرر شویم.‬
  • ‫مفاًیم امویتی:‬‫84‬
  • ‫تٍلید :‬‫94‬
  • ‫ارائي :‬‫05‬ ‫1. باااااروز نگاااااه داشاااااتن‬ ‫3. هر سرویس اضاافه اي کاه‬ ‫همیشاااااگی محصاااااوالت .‬ ‫2. تنظیم صحیح و ایمان برناماه‬ ‫در سیساااتم ماااا وجاااود داشاااته‬ ‫بسااایاري از مشاااکالت در‬ ‫هاااا، سیساااتم عامااال و سااارویس‬ ‫ایاااان قساااامت مربااااوط بااااه‬ ‫باشااد ماای توانااد داراي ضااعف‬ ‫آساااااااایب پااااااااذیري هاااااااااي‬ ‫هااااي امنیتااای باشاااد. بناااابراین‬ ‫دهندگان، زیرا تنظیمات اولیه یاا‬ ‫محصاوالت ماورد اساتفاده‬ ‫مااای باشاااد کاااه شاااارکتهاي‬ ‫هرگوناااااه سااااارویس، قابلیااااات،‬ ‫به دالیل سازگاري با نسخه هاي‬ ‫ایجاد کننده آن همواره به‬ ‫منظاااور بااار طااارف کاااردن‬ ‫پروتکااال و... کاااه ماااورد نیااااز‬ ‫قبلاای و یااا اسااتفاده آسااان تاار از‬ ‫ضاااااااااااعفهاي موجاااااااااااود،‬ ‫نماای باشااند بایسااتی از سیسااتم‬ ‫محصاااااوالت خاااااود را باااااا‬ ‫امنیت کافی برخوردار نیستند.‬ ‫بسااته هاااي امنیتاای بااروز‬ ‫حذف شوند.‬ ‫رسانی می کنند‬
  • ‫اهتكال :‬‫15‬
  • 52
  • ‫دریافت :‬‫35‬ ‫‪ ‬ماای تااوان بااا اسااتفاده از روشااهاي عضااو گیااري و شناسااایی کاماال افااراد بااه‬ ‫مشکل دریافت کاال و پرداخت همزمان هزینه پاسخ داد.‬ ‫همچنین به منظاور پیشاگیري از کالهبارداري اینترنتای نیاز مای تاوان از شاخص‬ ‫سوم مورد تاییدي در جهت احراز هویت دوگانه استفاده نمود.‬
  • ‫راًکارًاي کالن‬‫45‬
  • ‫سیستم مدیریت امنیت اطالعات )‪(ISMS‬‬‫55‬ ‫با ارائه اولین استاندارد مدیریت امنیت اطالعات در سال 5991، نگرش سیستماتیک‬ ‫‪‬‬ ‫به مقوله ایمنسازي فضاي تبادل اطالعات شکل گرفت. بر اساس این نگرش، تامین‬ ‫امنیت فضاي تبادل اطالعات سازمانها، دفعتا مقدور نميباشد و الزم است این امر‬ ‫بصورت مداوم در یک چرخه ایمنسازي شامل مراحل طراحي، پیادهسازي، ارزیابي‬ ‫و اصالح، انجام گیرد. براي این منظور الزم است هر سازمان بر اساس یک‬ ‫متدولوژي مشخص، اقدامات زیر را انجام دهد:‬ ‫تهیه طرحها و برنامههاي امنیتي موردنیاز تجارت الکترونیک‬ ‫1-‬ ‫‪‬‬ ‫ایجاد تشکیالت موردنیاز جهت ایجاد و تداوم امنیت فضاي تبادل اطالعات تجارت‬ ‫2-‬ ‫‪‬‬ ‫الکترونیک‬ ‫اجراي طرحها و برنامههاي امنیتي تجارت الکترونیک‬ ‫3-‬ ‫‪‬‬
  • ‫مستندات ‪ISMS‬‬‫65‬ ‫بر اساس استانداردهاي مدیریت امنیت اطالعات و ارتباطات، هر سازمان باید مجموعه‬ ‫‪‬‬ ‫مستندات مدیریت امنیت اطالعات و ارتباطات را به شرح زیر، براي خود تدوین نماید:‬ ‫• اهداف، راهبردها و سیاستهاي امنیتي فضاي تبادل اطالعات دستگاه‬ ‫‪‬‬ ‫• طرح تحلیل مخاطرات امنیتي فضاي تبادل اطالعات دستگاه‬ ‫‪‬‬ ‫•طرح امنیت فضاي تبادل اطالعات دستگاه‬ ‫‪‬‬ ‫• طرح مقابله با حوادث امنیتي و ترمیم خرابیهاي فضاي تبادل اطالعات دستگاه‬ ‫‪‬‬ ‫• برنامة آگاهي رساني امنیتي به پرسنل دستگاه‬ ‫‪‬‬ ‫• برنامة آموزش امنیتي پرسنل تشكیالت تامین امنیت فضاي تبادل اطالعات‬ ‫‪‬‬ ‫دستگاه‬ ‫‪‬‬ ‫در این بخش، به بررسي مستندات فوق خواهیم پرداخت.‬ ‫‪‬‬
  • ‫مستندات ‪ISMS‬‬‫75‬ ‫اهداف، راهبردها و سیاست هاي امنیتي‬ ‫‪‬‬ ‫اولین بخش از مستندات دستگاه، شامل اهداف، راهبردها و سیاست هاي امنیتي‬ ‫‪‬‬ ‫‪ISMS‬فضاي تبادل اطالعات دستگاه مي باشد .در این مستندات، الزم است موارد زیر،‬ ‫گنجانیده شوند:‬ ‫اهداف امنیت فضاي تبادل اطالعات دستگاه‬ ‫‪‬‬ ‫در این بخش از مستندات، ابتدا سرمایه هاي فضاي تبادل اطالعات دستگاه، در قالب‬ ‫‪‬‬ ‫سخت افزارها، نرم افزارها، اطالعات، ارتباطات، سرویسها و كاربران تفكیك و دسته‬ ‫بندي شده و‬ ‫سپس اهداف كوتاه مدت و میان مدت تامین امنیت هر یك از سرمایه ها، تعیین خواهد‬ ‫‪‬‬ ‫شد.‬
  • ‫مستندات ‪ISMS‬‬‫85‬ ‫نمونه هائي از اهداف كوتاه مدت امنیت:‬ ‫‪‬‬ ‫جلوگیري از حمالت و دسترسي هاي غیرمجاز، علیه سرمایه هاي فضاي تبادل ·‬ ‫‪‬‬ ‫اطالعات دستگاه‬ ‫‪‬‬ ‫مهار خسارتهاي ناشي از ناامني موجود در فضاي تبادل اطالعات دستگاه ·‬ ‫‪‬‬ ‫كاهش رخنه پذیریهاي سرمایه هاي فضاي تبادل اطالعات دستگاه ·‬ ‫‪‬‬
  • ‫مستندات ‪ISMS‬‬‫95‬ ‫نمونه هائي از اهداف میان مدت امنیت:‬ ‫‪‬‬ ‫تامین صحت عملكرد، قابلیت دسترسي و محافظت فیزیكي براي سخت افزارها، ·‬ ‫‪‬‬ ‫متناسب با حساسیت آنها.‬ ‫‪‬‬ ‫تامین صحت عملكرد و قابلیت دسترسي براي نرم افزارها، متناسب با حساسیت ·‬ ‫‪‬‬ ‫آنها.‬ ‫‪‬‬ ‫تامین محرمانگي، صحت و قابلیت دسترسي براي اطالعات، متناسب با طبق هبندي ·‬ ‫‪‬‬ ‫اطالعات از حیث محرمانگي.‬ ‫‪‬‬ ‫تامین محرمانگي، صحت و قابلیت دسترسي براي ارتباطات، متناسب با طبقه بندي ·‬ ‫‪‬‬ ‫اطالعات از حیث محرمانگي و حساسیت ارتباطات.‬ ‫‪‬‬ ‫تامین قابلیت تشخیص هویت، حدود اختیارات و پاسخگوئي، حریم خصوصي و ·‬ ‫‪‬‬ ‫آگاهي رساني امنیتي براي كاربران شبكه، متناسب با طبقه بندي اطالعات قابل دسترس‬ ‫‪‬‬ ‫و نوع كاربران‬ ‫‪‬‬
  • ‫مستندات ‪ISMS‬‬‫06‬ ‫راهبردهاي امنیت فضاي تبادل اطالعات دستگاه‬ ‫راهبردهاي امنیت فضاي تبادل اطالعات دستگاه، بیانگر اقداماتي است كه به منظور تامین اهداف امنیت‬ ‫دستگاه، باید انجام گیرد .نمونه اي از راهبردهاي كوتا ه مدت و میان مدت امنیت فضاي تبادل اطالعات‬ ‫دستگاه، عبارتند از:‬ ‫نمونه هائي از راهبردهاي كوتاه مدت امنیت:‬ ‫شناسائي و رفع ضعفهاي امنیتي فضاي تبادل اطالعات دستگاه ·‬ ‫آگاهي رساني به كاربران فضاي تبادل اطالعات دستگاه ·‬ ‫كنترل و اعمال محدودیت در ارتباطات شبكه داخلي دستگاه ·‬ ‫نمونه هائي از راهبردهاي میان مدت امنیت:‬ ‫رعایت استانداردهاي مدیریت امنیت اطالعات ·‬ ‫تهیه طرح ها و برنامه هاي امنیتي فضاي تبادل اطالعات دستگاه، بر اساس استانداردهاي فوق‬ ‫ایجاد و آماده سازي تشكیالت تامین امنیت فضاي تبادل اطالعات دستگاه ·‬ ‫اجراي طرح ها و برنامه هاي امنیتي فضاي تبادل اطالعات دستگاه‬
  • ‫مستندات ‪ISMS‬‬‫16‬ ‫سیاست هاي امنیتي فضاي تبادل اطالعات دستگاه‬ ‫سیاست هاي امنیتي فضاي تبادل اطالعات دستگاه، متناسب با دسته بندي انجام شده روي سرمایه هاي‬ ‫فضاي تبادل اطالعات دستگاه، عبارتند از:‬ ‫سیاست هاي امنیتي سرویس هاي فضاي تبادل اطالعات دستگاه ·‬ ‫سیاست هاي امنیتي سخت افزارهاي فضاي تبادل اطالعات دستگاه ·‬ ‫سیاست هاي امنیتي نرم افزارهاي فضاي تبادل اطالعات دستگاه ·‬ ‫سیاست هاي امنیتي اطالعات فضاي تبادل اطالعات دستگاه ·‬ ‫سیاست هاي امنیتي ارتباطات فضاي تبادل اطالعات دستگاه ·‬ ‫سیاست هاي امنیتي كاربران فضاي تبادل اطالعات دستگاه ·‬
  • ‫مستندات ‪ISMS‬‬‫26‬ ‫طرح تحلیل مخاطرات امنیتي‬ ‫پس از تدوین اهداف ، راهبردها و سیاست هاي امنیتي فضاي تبادل اطالعات دستگاه و قبل ازطراحي امنیت فضاي تبادل‬ ‫اطالعات، الزم است شناخت دقیقي از مجموعه فضاي تبادل اطالعات موجود دستگاه بدست آورد .در این مرحله، ضمن‬ ‫كسب شناخت نسبت به اطالعات، ارتباطات،تجهیزات، سرویس ها و ساختار شبكه ارتباطي دستگاه، ضعفهاي امنیتي موجود‬ ‫در بخشهاي‬ ‫مختلف، شناسائي خواهند شد تا در مراحل بعدي، راهكارهاي الزم به منظور رفع این ضعفها ومقابله با تهدیدها، ارائه شوند .‬ ‫روش تحلیل مخاطرات امنیتي، باید در مجموعه راهبردهاي امنیتي فضاي تبادل اطالعات دستگاه، مشخص شده باشد.‬ ‫در تحلیل مخاطرات امنیتي، به مواردي پرداخته مي شود كه بصورت بالقوه، امكان دسترسي غیرمجاز، نفوذ و حمله‬ ‫كاربران مجاز یا غیرمجاز فضاي تبادل اطالعات دستگاه، به منابع(سرمایه هاي) فضاي تبادل اطالعات دستگاه و منابع‬ ‫كاربران این فضا را فراهم مي نمایند‬ ‫در این مستند، الزم است مخاطرات امنیتي فضاي تبادل اطالعات، حداقل در محورهاي "معماري شبكه"، "تجهیزات شبكه"،‬ ‫"سرویس دهنده هاي شبكه"، "مدیریت و نگهداري شبكه "و‬ ‫"تشكیالت و روشهاي مدیریت امنیت شبكه"، بررسي شوند.‬
  • ‫مستندات ‪ISMS‬‬‫36‬ ‫معماري شبكه ارتباطي‬ ‫در این بخش ، الزم است معماري شبكه ارتباطي دستگاه، حداقل در محورهاي زیر مورد‬ ‫تجزیه و تحلیل قرار گیرد:‬ ‫ساختار شبكه ارتباطي ·‬ ‫ساختار آدرس دهي و مسیریابي ·‬ ‫ساختار دسترسي به شبكه ارتباطي ·‬ ‫تجهیزات شبكه ارتباطي‬ ‫در این بخش ، الزم است تجهیزات شبكه ارتباطي دستگاه، حداقل در محورهاي زیر مورد‬ ‫تجزیه و تحلیل قرار گیرد:‬ ‫محافظت فیزیكي ·‬ ‫نسخه و آسیب پذیریهاي نرم افزار ·‬ ‫مدیریت محلي و از راه دور ·‬ ‫تصدیق هویت، تعیین اختیارات و ثبت عملكرد سیستم، بویژه در دسترسي هاي مدیریتي‬ ‫ثبت وقایع ·‬ ‫نگهداري و به روزنمودن پیكربندي ·‬ ‫مقابله با حمالت علیه خود سیستم، بویژه حمالت ممانعت از سرویس‬
  • ‫مستندات ‪ISMS‬‬‫46‬ ‫مدیریت و نگهداري شبكه ارتباطي‬ ‫در این بخش ، الزم است مدیریت و نگهداري شبكه ارتباطي دستگاه، حداقل در محورهاي زیر مورد تجزیه و تحلیل قرار گیرد:‬ ‫تشكیالت و روشهاي مدیریت و نگهداري شبكه ارتباطي ·‬ ‫ابزارها و مكانیزم هاي مدیریت و نگهداري شبكه ارتباطي ·‬ ‫سرویس هاي شبكه ارتباطي‬ ‫در این بخش ، الزم است سرویس هاي شبكه ارتباطي دستگاه، حداقل در محورهاي زیرمورد تجزیه و تحلیل قرار گیرد:‬ ‫سیستم عامل سرویس دهنده ·‬ ‫سخت افزار سرویس دهنده، بویژه رعایت افزونگي در سطح ماجول و سیستم ·‬ ‫نرم افزار سرویس ·‬ ‫استفاده از ابزارها و مكانیزم هاي امنیتي روي سرویس دهنده ها ·‬ ‫تشكیالت و روشهاي تامین امنیت شبكه ارتباطي‬ ‫در این بخش، الزم است تشكیالت و روشهاي امنیت شبكه ارتباطي دستگاه، حداقل در‬ ‫محورهاي زیر مورد تجزیه و تحلیل قرار گیرد:‬ ‫طرح ها، برنامه ها و سایر مستندات امنیتي ·‬ ‫تشكیالت امنیت، روالهاي اجرائي و شرح وظایف پرسنل امنیت‬
  • ‫مستندات ‪ISMS‬‬‫56‬ ‫طرح امنیت‬ ‫پس از تحلیل مخاطرات امنیتي شبكه ارتباطي دستگاه و دسته بندي مخاطرات امنیتي‬ ‫این شبكه، در طرح امنیت، ابزارها و مكانیز مهاي موردنیاز به منظور رفع این ضعفها و‬ ‫مقابله با تهدیدها،رائه مي شوند . در طرح امنیت، الزم است كلیه ابزارها ومكانیزم هاي‬ ‫امنیتي موجود، بكار گرفته شوند .‬ ‫نمونه اي از این ابزارها عبارتند از:‬ ‫1- سیستم هاي كنترل جریان اطالعات و تشكیل نواحي امنیتي‬ ‫فایروال ها‬ ‫سایر سیستم هاي تامین امنیت گذرگاه ها ·‬ ‫2-سیستم هاي تشخیص و مقابله یا تشخیص و پیشگیري از حمالت، شامل:‬ ‫سیستم هاي مبتني بر ایستگاه ·‬ ‫سیستم هاي مبتني بر شبكه ·‬
  • ‫مستندات ‪ISMS‬‬‫66‬ ‫طرح امنیت‬ ‫3-سیستم فیلترینگ محتوا(بویژه براي سرویس ‪)E-Mail‬‬ ‫4-نرم افزارهاي تشخیص و مقابله با ویروس‬ ‫5-سیستم هاي تشخیص هویت، تعیین حدود اختیارات و ثبت عملكرد كاربران‬ ‫6-سیستم هاي ثبت و تحلیل رویدادنامه ها‬ ‫7-سیستم هاي رمزنگاري اطالعات‬ ‫8-نرم افزارهاي نظارت بر ترافیك شبكه‬ ‫9-نرم افزارهاي پویشگر امنیتي‬ ‫01-نرم افزارهاي مدیریت امنیت شبكه‬
  • ‫مستندات ‪ISMS‬‬‫76‬ ‫ویژگیهاي اصلي سیستم امنیتي شبكه ارتباطي دستگاه، عبارتند از:‬ ‫چندالیه بودن سیستم امنیتي‬ ‫توزیع شده بودن سیستم امنیتي‬ ‫تشكیل نواحي امنیتي جهت كنترل دقیق دسترسي به سرویس هاي شبكه‬ ‫یكپارچگي مكانیزم هاي امنیتي، بویژه در گذرگاههاي ارتباطي شبكه‬ ‫تفكیك زیرساختار مدیریت امنیت شبكه ( حداقل بخش اصلي سیستم امنیتي‬ ‫شبكه) هاي مختلف، بنحوي كه ضعفهاي ‪Brand‬انتخاب اجزاء سیستم امنیتي شبكه، از ·امنیتي یكدیگر‬ ‫را پوشش داده و مخاطره باقیمانده را كاهش دهند‬ ‫انتخاب محصوالتي كه داراي تائیدي ههاي معتبر، از موسسات ارزیابي بین المللي‬ ‫مي باشند‬
  • ‫هتیجي‬‫86‬