Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Presentation4

1,881 views

Published on

Published in: Technology, Business
  • Be the first to comment

  • Be the first to like this

Presentation4

  1. 1. 1
  2. 2. ‫پروژه درس امنیت در تجارت الکترونیک‬ ‫استاد:جناب آقای دکتر سخاوتی‬ ‫سمیه هادی پور داراکویه‬ ‫9901688‬
  3. 3. ‫اصتاهدارد ًا ،چالض ًا ،راًکار ًا‬‫3‬
  4. 4. ‫مكدمي ای بر هكض امویت در تجارت‬
  5. 5. ‫اظوائي با مراخل ظي ظدى در زميوي امويت اظالغات‬‫5‬
  6. 6. ‫تجارت الک تروهیک چیشت؟‬‫6‬
  7. 7. ‫زير ظاخي ًاي تجارت الک تروهيک‬‫7‬ ‫تجارت الک تروهيک(‪)E-Commerce‬‬ ‫1-‬ ‫کشب و کار الک تروهيک(‪)E-Business‬‬ ‫2-‬ ‫بازاريابي الک تروهيکي(‪)E-Marketing‬‬ ‫3-‬ ‫باهکداري الک تروهيکي(‪)E-Banking‬‬ ‫4-‬ ‫کارت ًاي ًٍظمود‬ ‫5-‬ ‫مديريت روابط غمٍمي با مطتري‬ ‫6-‬
  8. 8. ‫مزاياي تجارت الک تروهيک‬‫8‬ ‫افزايض فروش‬ ‫‪‬‬ ‫افزايض درامد‬ ‫‪‬‬ ‫افزايض صرمايي گذاري‬ ‫‪‬‬ ‫افزايض صعح رفاى زهدگي مردم‬ ‫‪‬‬ ‫ايجاد فرصتٌاي تجاري جديد براي صوايع و بوگاى ًاي بازرگاهي‬ ‫‪‬‬ ‫افزايض فرصتٌاي جديد ظغلي‬ ‫‪‬‬ ‫امکان ارائي خدمات و مدصٍالت در صعح جٌاهي‬ ‫‪‬‬ ‫جلٍگيري از اتالف ولت و کاًض ترددًاي بي مٍرد‬ ‫‪‬‬ ‫کاًض ًزيوي ًاي صربار و ايجاد رلابت در صعح بين الملل‬ ‫‪‬‬ ‫دصترصي صريع بي اظالغات‬ ‫‪‬‬ ‫غدم خضٍر واصعي‬ ‫‪‬‬ ‫کاًض ًزيوي ًاي تبليغات کاال‬ ‫‪‬‬ ‫ورود بي بازارًاي فرا موعكي اي در جٌت بازاريابي جٌاهي‬ ‫‪‬‬
  9. 9. ‫هيازًاي تجارت الک تروهيک‬‫9‬ ‫يک صيشتم باهکي روان و دليق‬ ‫‪‬‬ ‫لٍاهين گمرکي،مالياتي و باهکداري الک تروهيکي‬ ‫‪‬‬ ‫کد تجاري مدصٍل‬ ‫‪‬‬ ‫تٌيي و تدوين هظام مالي اظالغات و هظام خكٍلي اظالع رصاهي (کپ ي رايت)‬ ‫‪‬‬ ‫امويت اظالغات‬ ‫‪‬‬ ‫مدرماهي بٍدن اظالغات ظخصي‬ ‫‪‬‬ ‫تعبيق مكررات ملي با مكررات متددالطکل بين المللي‬ ‫‪‬‬ ‫ًمکاري داهطگاًٌا،مراکز تدكيكاتي و صازماهٌاي مختلف‬ ‫‪‬‬ ‫پذيرش اصواد الک تروهيکي تٍصط لٍى لضاييي‬ ‫‪‬‬ ‫تامين، صدور و بکارگيري کارت اغتباري‬ ‫‪‬‬ ‫تامين خعٍط ارتباظي پرصرغت و معمئن و ايجاد بشتر مخابراتي بي ظکل بي صيم‬ ‫‪‬‬
  10. 10. ‫تػریف امویت :‬ ‫• اطالعات فقط و فقط بایستی توسط افراد مجاز قابل دسترسی و تغییر‬ ‫باشد.‬ ‫محرمانگی‬ ‫• حفظ تمامیت به معناي پیشگیري از بروز مشکل در همکاري و پیوسته نگه‬ ‫داشتن عناصر یک سیستم می باشد.‬ ‫تمامیت‬ ‫• اطالعات بایستی به هنگام نیاز توسط افراد مجاز قابل دسترس باشد.‬ ‫دسترس پذیري‬ ‫• به هنگام انجام کاري و یا دریافت اطالعات یا سرویسی، شخص انجام دهنده یا‬ ‫گیرنده نتواند آن را انکارکند.‬ ‫عدم انکار‬‫01‬
  11. 11. ‫ارزیابی غملیات تجارت الک تروهیک‬ 100% 80% 60% Series 3 Series 2 40% Series 1 20% 0%11 Category 1 Category 2 Category 3 Category 4
  12. 12. ‫ظرح مشتمر‬‫21‬
  13. 13. ‫تدكیكات اهجام ظدى درمٍرد امویت تجارت الک تروهیک‬‫31‬
  14. 14. ‫‪ DHS‬چیشت؟‬ ‫1- سیستم ملی پاسخگوی امنیت فضاهای مجازی‬ ‫2- برنامه کاهش آسیب پذیری و خطرات احتمالی موجود در فضاهای مجازی‬ ‫3- برنامه های آموزشی و آگاه کننده در زمینه امنیت فضاهای مجازی‬ ‫4- ایمن سازی فضای مجازی دولت‬ ‫5- همکاری های بین المللی و ملی در زمینه امنیت‬‫41‬
  15. 15. ‫51‬‫استاندارد های امنیت اطالعات‬
  16. 16. ‫61‬ ‫استاندارد 9977‪BS‬‬ ‫استاندارد 9977‪ BS‬اولین استاندارد مدیریت امنیت است که توسط موسسه استاندارد انگلیس ارائه‬ ‫‪‬‬ ‫شده است. نسخه اول این استاندارد (1-9977‪ )BS‬در سال 5991 و در یک بخش و با‬ ‫عنوان‪ BS7799-1: Code of Practice for Information Security Management‬منتشر‬ ‫گردید. و نسخه دوم آن (2-9977‪ )BS‬که در سال 9991 ارائه شد، عالوه بر تغییر نسبت به نسخه‬ ‫اول، متشکل از دو بخش مستقل ارائه گردید. هدف از تدوین این استاندارد ارائه پیشنهاداتي در‬ ‫زمینه مدیریت امنیت اطالعات براي کساني است که مسئول طراحي، پیاده سازي یا پشتیباني مسائل‬ ‫امنیتي در یک سازمان مي باشند. این استاندارد متشکل از 53 هدف امنیتي و 721 اقدام بازدارنده‬ ‫براي تامین اهداف تعیین شده ميباشد که جزئیات و چگونگيها را مطرح نمي کند بلکه سرفصلها‬ ‫و موضوعات کلي را بیان مي کند. طراحان استاندارد 9977‪ BS‬اعتقاد دارند که در تدوین این‬ ‫استاندارد، ممکن است کنترل ها و راهکارهاي مطرح شده براي همه سازمان ها قابل استفاده نباشد‬ ‫ویا نیاز به کنترلهاي بیشتري باشد که این استاندارد، آنها را پوشش نداده است.‬
  17. 17. ‫71‬ ‫اصتاهدارد 9977‪BS‬‬ ‫در سال 0002 میالدي بخش اول استاندارد 2-9977‪ BS‬بدون هیچگونه تغییري توسط موسسه بین المللي استاندارد بعنوان استاندارد‬ ‫‪‬‬ ‫99771 ‪ ISO/IEC‬منتشر گردید. وشامل سر فصل هاي ذیل است:‬ ‫تدوین سیاست امنیتي سازمان‬ ‫‪‬‬ ‫تشکیالت امنیتي‬ ‫‪‬‬ ‫طبقه بندي سرمایه ها و تعیین کنترلهاي الزم‬ ‫‪‬‬ ‫امنیت پرسنلي‬ ‫‪‬‬ ‫امنیت فیزیکي و پیراموني‬ ‫‪‬‬ ‫مدیریت ارتباطات و بهره برداري‬ ‫‪‬‬ ‫کنترل دسترسي‬ ‫‪‬‬ ‫توسعه و پشتیباني سیستم ها‬ ‫‪‬‬ ‫مدیریت تداوم فعالیت‬ ‫‪‬‬ ‫سازگاري‬ ‫‪‬‬
  18. 18. ‫81‬ ‫اصتاهدارد 9977‪BS‬‬ ‫این استاندارد مجددا در سال 2002 میالدي بازنویسي و منتشر گردید. در سال 5002‬ ‫‪‬‬ ‫دوباره این استاندارد بازنویسي و با دو نام 5002:99771 ‪ BS ISO/IEC‬و ‪BS‬‬ ‫5002:1-9977 در یک سند انتشاریافت. این نسخه متشکل از 93 هدف امنیتي و‬ ‫431 اقدام بازدارنده است. تغییراتي که این استاندارد نسبت به استاندارد قبل آن‬ ‫کرده است عبارت است از:‬ ‫الف- افزایش یافتن یک فصل جدید و تغیییر نمودن بعضي از فصول گذشته‬ ‫‪‬‬ ‫ب- تغییر وحذف شدن بعضي از کنترلهاي قدیمي و اضافه شدن 71 کنترل جدید‬ ‫‪‬‬ ‫ج- افزایش تعداد کنترلها به 431عدد‬ ‫‪‬‬
  19. 19. ‫اصتاهدارد 9977‪BS‬‬‫91‬ ‫نحوه عملكرد استاندارد 9977 ‪BS‬‬ ‫‪‬‬ ‫در راستای تحقق دومین هدف پیدایش این استاندارد كه به آن اشاره شد، یعنی كمك به كاربران سرفصلهایی‬ ‫برای نحوه پیاده سازی امنیت در یك سازمان كه در حقیقت یك كاربر سیستم های امنیتی می باشد، تعیین شده‬ ‫است كه عبارتند از:‬ ‫● تعیین مراحل ایمن سازی و نحوه شكل گیری چرخه امنیت‬ ‫● جزییات مراحل ایمن سازی و تكنیكهای فنی مورد استفاده در هر مرحله‬ ‫● لیست و محتوای طرح ها و برنامه های امنیت اطالعات مورد نیاز سازمان‬ ‫● ضرورت و جزییات ایجاد تشكیالت سیاستگذاری، اجرایی و فنی تامین امنیت‬ ‫● كنترلهای امنیتی مورد نیاز برای هر یك از سیستم های اطالعاتی و ارتباطی‬ ‫‪‬‬ ‫● تعریف سیاستهای امنیت اطالعات‬ ‫‪‬‬ ‫● تعریف قلمرو سیستم مدیریت امنیت اطالعات و مرزبندی آن متناسب با نوع نیازهای سازمان‬ ‫● انجام و پذیرش برآورد مخاطرات، متناسب با نیازهای سازمان‬ ‫● پیش بینی زمینه ها و نوع مخاطرات بر اساس سیاستهای امنیتی تدوین شده‬ ‫● انتخاب هدفهای كنترل و كنترلهای مناسب كه قابل توجیه باشند، از لیست كنترلهای همه جانبه‬ ‫● تدوین دستورالعمل های عملیاتی‬
  20. 20. ‫اصتاهدارد 9977‪BS‬‬‫02‬ ‫مدیریت امنیت شبكه‬ ‫‪‬‬ ‫به منظور تعیین اهداف امنیت، ابتدا باید سرمایههای مرتبط با اطالعات و ارتباطات سازمان،‬ ‫شناسایی شده و سپس اهداف تامین امنیت برای هریك از سرمایهها، مشخص شود.سرمایههای‬ ‫مرتبط با شبكه سازمان عبارتند از: سخت افزار، نرمافزار، اطالعات، ارتباطات، كاربران.‬ ‫اهداف امنیتی سازمانها باید به صورت كوتاهمدت و میانمدت تعیین گردد تا امكان تغییر آنها‬ ‫متناسب با تغییرات تكنولوژیها و استانداردهای امنیتی وجود داشته باشد. عمده اهداف كوتاه‬ ‫مدت در خصوص پیادهسازی امنیت در یك سازمان عبارتند از:‬ ‫‪‬‬ ‫- جلوگیری از حمالت و دسترسیهای غیرمجاز علیه سرمایه های شبكه‬ ‫- مهار خسارتهای ناشی از ناامنی موجود در شبكه‬ ‫- كاهش رخنه پذیری‬
  21. 21. ‫اصتاهدارد 9977‪BS‬‬‫12‬ ‫اهداف میانمدت نیز عمدتا ً عبارتند از:‬ ‫‪‬‬ ‫‪‬‬ ‫- تامین صحت عملكرد، قابلیت دسترسی برای نرمافزارها و سختافزارها و محافظت فیزیكی‬ ‫صرفا ً برای سخت افزارها‬ ‫‪‬‬ ‫- تامین محرمانگی، صحت و قابلیت دسترسی برای ارتباطات و اطالعات متناسب با طبقه‬ ‫بندی آنها از حیث محرمانگی و حساسیت‬ ‫‪‬‬ ‫- تامین قابلیت تشخیص هویت، حدود اختیارات و پاسخگویی، حریم خصوصی و آگاهیرسانی‬ ‫امنیتی برای كاربران شبكه، متناسب با طبقهبندی اطالعات قابل دسترس و نوع كاربران‬
  22. 22. ‫اصتاهدارد 9977‪BS‬‬‫22‬ ‫استاندارد 9977‪ BS‬دارای 01 گروه كنترلی می باشد كه هرگروه شامل چندین كنترل زیرمجموعه است‬ ‫‪‬‬ ‫بنابراین در كل 721 كنترل برای داشتن سیستم مدیریت امنیت اطالعات مدنظر قراردارد. این ده گروه كنترلی‬ ‫عبارتند از :‬ ‫1- تدوین سیاست امنیتي سازمان: در این قسمت، به ضرورت تدوین و انتشار سیاست هاي امنیتي اطالعات و ار‬ ‫‪‬‬ ‫تباطات سازمان ، بنحوي كه كلیه مخاطبین سیاست ها در جریان جزئیات آن قرار گیرند، تاكید شده است . همچنین‬ ‫جزئیات و نحوه نگارش سیاست هاي امنیتي اطالعات و ارتباطات سازمان، ارائه شده است.‬ ‫2- ایجاد تشكیالت تامین امنیت سازمان: در این قسمت، ضمن تشریح ضرورت ایجاد تشكیالت امنیت اطالعات و‬ ‫‪‬‬ ‫ارتباطات سازمان، جزئیات این تشكیالت در سطوح سیاستگذاري، اجرائي و فني به همراه مسئولیت هاي هر یك از‬ ‫سطوح، ارائه شده است.‬ ‫3-دسته بندي سرمایه ها و تعیین كنترل هاي الزم :در این قسمت، ضمن تشریح ضرورت دسته بندي اطالعات‬ ‫‪‬‬ ‫سازمان، به جزئ یات تدوین راهنماي دسته بندي اطالعات سازمان پرداخته و محورهاي دسته بندي اطالعات را ارائه‬ ‫نموده است.‬ ‫‪‬‬
  23. 23. ‫اصتاهدارد 9977‪BS‬‬‫32‬ ‫4-امنیت پرسنلي :در این قسمت، ضمن اشاره به ضرورت رعایت مالحظات امنیتي در‬ ‫‪‬‬ ‫بكارگیري پرسنل، ضرورت آموزش پرسنل در زمینه امنیت اطالعات و ارتباطات، مطرح شده و‬ ‫لیستي ازمسئولیت هاي پرسنل در پروسه تامین امنیت اطالعات و ارتباطات سازمان، ارائه شده‬ ‫‪ ‬است.‬ ‫‪5 ‬امنیت فیزیكي و پیراموني :در این قسمت، اهمیت و ابعاد امنیت فیزیكي، جزئیات محافظت از‬ ‫تجهیزات و كنترلهاي موردنیاز براي این منظور، ارائه شده است.‬ ‫‪6 ‬مدیریت ارتباطات :در این قسمت، ضرورت و جزئیات روالهاي اجرائي موردنیاز، بمنظور تعیین‬ ‫مسئولیت هریك از پرسنل، روالهاي مربوط به سفارش، خرید، تست و آموزش سیستم ها، محافظت‬ ‫درمقابل نرم افزارهاي مخرب، اقدامات موردنیاز در خصوص ثبت وقایع و پشتیبان گیري‬ ‫ازاطالعات، مدیریت شبك ه، محافظت از رسانه ها و روالها و مسئولیت هاي مربوط به‬ ‫‪ ‬درخواست، تحویل، تست و سایر موارد تغییر نرم افزارها ارائه شده است.‬
  24. 24. ‫اصتاهدارد 9977‪BS‬‬‫42‬ ‫7- كنترل دسترسي :در این قسمت، نیازمندیهاي كنترل دسترسي، نحوه‬ ‫‪‬‬ ‫مدیریت دسترسي پرسنل،مسئولیت هاي كاربران، ابزارها و مكانیزم هاي‬ ‫كنترل دسترسي در شبكه، كنترل دسترسي در سیستم عاملها و نرم افزارهاي‬ ‫كاربردي، استفاده از سیستم هاي مانیتورینگ و كنترل دسترسي در ارتباط از‬ ‫راه دور به شبكه ارائه شده است.‬ ‫8-نگهداري و توسعه سیستم ها:در این قسمت، ضرورت تعیین نیازمندیهاي‬ ‫‪‬‬ ‫امنیتي سیستم ها، امنیت د ر سیستم هاي كاربردي، كنترلهاي رمزنگاري،‬ ‫محافظت از فایلهاي سیستم و مالحظات امنیتي موردنیازدر توسعه و پشتیباني‬ ‫سیستم ها، ارائه شده است.‬
  25. 25. ‫اصتاهدارد 9977‪BS‬‬‫52‬ ‫‪ -9 ‬مدیریت تداوم فعالیت سازمان :در این قسمت، رویه هاي مدیریت تداوم فعالیت، نقش‬ ‫تحلیل ضربه در تداوم فعالیت، طراحي و تدو ین طرح هاي تداوم فعالیت، قالب پیشنهادي براي‬ ‫طرح تداوم فعالیت سازمان و طرح هاي تست، پشتیباني و ارزیابي مجدد تداوم فعالیت سازمان،‬ ‫ارائه شده است.‬ ‫01-پاسخگوئي به نیازهاي امنیتي :در این قسمت، مقررات موردنیاز در خصوص پاسخگوئي‬ ‫‪‬‬ ‫به نیازهاي امنیتي، سیاست هاي امنیتي موردنیاز و ابزارها و مكانیزم هاي بازرسي امنیتي‬ ‫سیستم ها، ارائه شده است.‬
  26. 26. ‫اصتاهدارد 9977‪BS‬‬‫62‬ ‫تهدیدهای امنیتی‬ ‫‪‬‬ ‫تهدیدهای بالقوه برای امنیت شبكههای كامپیوتری به صورت عمده عبارتند از:‬ ‫● فاش شدن غیرمجاز اطالعات در نتیجه استراقسمع دادهها یا پیامهای در حال مبادله روی شبكه‬ ‫● قطع ارتباط و اختالل در شبكه به واسطه یك اقدام خرابكارانه‬ ‫● تغییر و دستكاری غیر مجاز اطالعات یا یك پیغام ارسالشده برای جلوگیری از این صدمات باید سرویسهای‬ ‫امنیتی زیر در شبكههای كامپیوتری ارائه شود و زمانی كه یكی از سرویسهای امنیتی نقص شود بایستی تمامی تدابیر‬ ‫امنیتی الزم برای كشف و جلوگیری رخنه در نظر گرفته شود:‬ ‫● محرمانه ماندن اطالعات‬ ‫● احراز هویت فرستنده پیغام‬ ‫● سالمت دادهها در طی انتقال یا نگهداری‬ ‫● كنترل دسترسی و امكان منع افرادی كه برای دسترسی به شبكه قابل اعتماد نمی باشد.‬ ‫● در دسترس بودن تمام امكانات شبكه برای افراد مجاز و عدم امكان اختالل در دسترسی‬
  27. 27. ‫فوائد استاندارد 9977‪ BS‬و لزوم پیاده سازی‬‫72‬ ‫استاندارد 9977‪ BS‬قالبی مطمئن برای داشتن یك سیستم مورد اطمینان امنیتی می باشد.‬ ‫در زیر به تعدادی از فوائد پیاده سازی این استاندارد اشاره شده است:‬ ‫- اطمینان از تداوم تجارت و كاهش صدمات توسط ایمن ساختن اطالعات و كاهش تهدیدها‬ ‫‪‬‬ ‫- اطمینان از سازگاری با استاندارد امنیت اطالعات و محافظت از داده ها‬ ‫‪‬‬ ‫- قابل اطمینان كردن تصمیم گیری ها و محك زدن سیستم مدیریت امنیت اطالعات‬ ‫‪‬‬ ‫- ایجاد اطمینان نزد مشتریان و شركای تجاری‬ ‫‪‬‬ ‫- امكان رقابت بهتر با سایر شركت ها‬ ‫‪‬‬ ‫- ایجاد مدیریت فعال و پویا در پیاده سازی امنیت داده ها و اطالعات‬ ‫‪‬‬ ‫- بخاطر مشكالت امنیتی اطالعات و ایده های خود را در خارج سازمان پنهان نسازید‬ ‫‪‬‬
  28. 28. ‫اصتاهدارد99771‪ISO/IEC‬‬‫82‬ ‫در حال حاضر، مجموعهاي از استانداردهاي مدیریتي و فني ایمنسازي فضاي تبادل اطالعات سازمانها ارائه‬ ‫‪‬‬ ‫شدهاند که استاندارد مدیریتي 9977‪ BS‬موسسه استاندارد انگلیس، استاندارد مدیریتي 99771 ‪ISO/IEC‬‬ ‫موسسه بینالمللي استاندارد و گزارش فني 53331 ‪ISO/IEC TR‬موسسه بینالمللي استاندارد از برجستهترین‬ ‫استاندادرها و راهنماهاي فني در این زمینه محسوب ميگردند.‬ ‫در این استانداردها، نکات زیر مورد توجه قرار گرفته شده است:‬ ‫‪‬‬ ‫تعیین مراحل ایمنسازي و نحوه شکلگیري چرخه امنیت اطالعات و ارتباطات سازمان‬ ‫1-‬ ‫‪‬‬ ‫جرئیات مراحل ایمنسازي و تکنیکهاي فني مورد استفاده در هر مرحله‬ ‫2-‬ ‫‪‬‬ ‫لیست و محتواي طرحها و برنامههاي امنیتي موردنیاز سازمان‬ ‫3-‬ ‫‪‬‬ ‫ضرورت و جزئیات ایجاد تشکیالت سیاستگذاري، اجرائي و فني تامین امنیت اطالعات و ارتباطات‬ ‫4-‬ ‫‪‬‬ ‫سازمان‬ ‫کنترلهاي امنیتي موردنیاز براي هر یک از سیستمهاي اطالعاتي و ارتباطي سازمان‬ ‫5-‬ ‫‪‬‬
  29. 29. ‫92‬ ‫اصتاهدارد ايزو 10072‬ ‫استاندارد 10072 ‪( ISO‬نسخه به روز 9977‪ )BS‬یا به عبارتی‬ ‫‪‬‬ ‫همان استاندارد 99771 ‪ ISO/IEC‬می باشد ،نكته قابل اشاره در‬ ‫این زمینه همسانی این استاندارد با استاندارد 0009‪ISO‬‬ ‫میباشد. قسمت سوم استاندارد 9977‪ BS‬در حقیقت توسعه‬ ‫سیستم ‪ ISMS‬میباشد. درست مانند تغییرات ایجاد شده در‬ ‫استاندارد 4009‪.ISO‬‬ ‫استاندارد 10072 ‪ ISO‬استانداردی یکپارچه می باشد.‬ ‫‪‬‬
  30. 30. ‫تٍلداصتاهداردمديريت امویت اظالغات‬‫03‬ ‫اصتاهدارد 10072 ‪ISO/IEC‬تٍصط کمیتي فوی مطترک 1 ‪ISO/IEC JTC‬‬ ‫(فواوری اظالغات ،زیر کمیتي 72 ‪،SC‬فوٍن امویتی فواوری اظالغات )تٌیي ظدى اصت‬ ‫این اصتاهدارد درصال 5002 مٍردبازهگري لرارگرفت.‬
  31. 31. ‫مزاياي اصتكرار اصتاهدارد ايزو 10072‬‫13‬ ‫- اطمینان از تداوم تجارت و كاهش صدمات توسط ایمن ساختن اطالعات و كاهش تهدیدها‬ ‫- اطمینان از سازگاری با استاندارد امنیت اطالعات و محافظت از داده ها‬ ‫- قابل اطمینان كردن تصمیم گیری ها و محك زدن سیستم مدیریت امنیت اطالعات‬ ‫-ایجاد اطمینان نزد مشتریان و شركای تجاری‬
  32. 32. ‫23‬ ‫(ادامي)‬ ‫مزاياي اصتكرار اصتاهدارد ايزو 10072‬ ‫- امكان رقابت بهتر با سایر شركت ها‬ ‫-ایجاد مدیریت فعال و پویا در پیاده سازی امنیت داده ها و اطالعات‬ ‫-بخاطر مشكالت امنیتی اطالعات و ایده های خود را در خارج سازمان پنهان نسازید‬
  33. 33. ‫مدیریت و کوترل امویت تجارت الک تروهیکی‬ ‫• برخی از سازمان ها از اهمیت اطالعات و فایلهای خود بی خبرند.‬ ‫• بسیاری از سازمانها تنها به ایمن سازی شبکه کامپیوتری داخلی خود پرداخته و دیگر‬ ‫بخشها را فراموش می کنند‬ ‫• برخی از سازمانها به جای پیشگیری معموالً زمانی به کنترل مسائل امنیتی می پردازند که‬ ‫مشکلی روی داده باشد .‬ ‫• سازمانها به ندرت اقدامات امنیتی خود را طبق تغییرات پیش آمده به روز می کنند . آنها‬ ‫همچنین در بهنگام رسانی اطالعات کارمندان خود در زمینه اقدامات امنیتی نیز ضعیف‬ ‫عمل می کنند .‬ ‫• همواره با مساله امنیتی به عنوان یک مشکل ‪ IT‬و نه یک مشکل و مساله سازمانی‬‫33‬ ‫برخورد می شود .‬
  34. 34. ‫‪Security Risk Management‬‬ ‫مدیریت خعرات امویتی‬ ‫در این مرحله سازمان به شناساایی کامپیوترهاای کلیادی ، شابکه هاای مهام ،‬ ‫دارایی ها و بانکهای اطالعاتی مهم خود پرداخته و آنها را ارزش گاذاری مای‬ ‫شناسایی دارایی ها و‬ ‫کند . هزینه بدست آوردن اطالعات ، محافظت و پشاتیبانی ، هزیناه جاایگزین‬ ‫اطالعات مهم‬ ‫کااردن دارایاای هااا و احتمااال دسترساای اشااخاص اال ا بااه اطالعااات را ارزش‬ ‫گذاری گویند.‬ ‫پس ازشناسایی و ارزش گذاری باید خطرات احتمالی را که ممکان اسات ایان‬ ‫دارایاای هااا و بانااک اطالعاااتی را تهدیااد کنااد ارزیااابی کنااد . ایاان مرحلااه شااامل‬ ‫شناسایی خطرات ، نواحی آسایب پاذیر و تهدیاد هاای احتماالی اسات . (حماالت‬ ‫ارزیابی خطرات‬ ‫تروریسااتی،بدکارکردن سیسااتم هااا، نقااص ساااختار بناادی سیسااتم هااا،برخی از‬ ‫کارمندان،مهاجمین،افراد سودجو و هکرها).‬ ‫پس از شناسایی خطرات و تهدیدات و تقسیم بندی آنها بایاد بارای آنهاا لیساتی‬ ‫از اقدامات پیشگیری را تهیه نمود و از نظر هزینه و مقرون به صرفه بودن‬ ‫،اقدامات را بررسی کرد پس از آن سازمان موظف است بر روناد کاار نظاارت‬ ‫اجرا و پیاده سازی‬ ‫داشته و بازده و مفید بودن اقدامات را مورد بررسی قرار دهد.‬‫43‬
  35. 35. ‫غٍامل دخیل در تجارت الک تروهیک:‬‫53‬
  36. 36. ‫خٍزى ًای در بر گیرهدى غٍامل تجارت الک تروهیک‬‫63‬ ‫تٍلید‬ ‫ارائي‬ ‫برهامي ًای تدت وب‬ ‫بشتر هرم افزاری(صیشتم غامل ،صرویس دًودى وب ،صرویس دًودى باهک اظالغاتی دو....)‬ ‫باهکٌای اظالغاتی‬ ‫بشتر صخت افزاری(صرویس دًودى ًا، موابع ذخیرى صازی و صاختار ارتباظی اهٌا)‬ ‫.......‬ ‫تجارت الک تروهیک‬ ‫دریافت‬ ‫اهتكال‬ ‫مطتریان و کاربران صیشتم ظامل اظخاص و وصیلي ارتباظی اهٌا‬ ‫بشتر دصترصی(ایوترهت ،ایوتراهت)‬ ‫(غمدتا رایاهي ًای ظخصی)‬ ‫بشتر ارصال(پشت و اهٍاع مختلف ان)‬
  37. 37. ‫امویت در تجارت الک تروهیک:‬‫73‬
  38. 38. ‫تٍلید:‬‫83‬ ‫‪SQL Injection‬‬ ‫این روش وارد کردن دستورها و عباراتی باه زباان قابال فهام توساط‬ ‫‪ SQL‬در قسمتهایی از یک وب سایت است که مای توانناد مقاادیري‬ ‫را باااه صاااورت ورودي دریافااات کنناااد. بناااابراین هکااار میتواناااد یاااک‬ ‫دساااتور را بااار روي سااارور باناااک اطالعاااات اجااارا کناااد. کاااه حاصااال‬ ‫اجااراي ایاان دسااتور ماای توانااد بااه دساات آوردن اطالعااات کاااربران،‬ ‫اطالعااات کااارت هاااي اعتبااااري، جزییااات مبااادالت انجااام شاااده و...‬ ‫باشد.‬
  39. 39. ‫)‪Cross-Site Scripting (XSS‬‬‫93‬ ‫‪ Script‬در فیلااد هاااي ورودي بااه منظااور بااه دساات آوردن‬ ‫عبااارت اساات از فرسااتادن‬ ‫اطالعات مهم و یاا ایجااد تغییار در کادهاي ‪ HTML‬کاه عمادتا ً ایان روش باه دو صاورت‬ ‫ذخیره شده و منعکس تقسیم می شود.‬ ‫در هر دو روش حاصل اجرا شدن ‪ Script‬می تواناد منجار باه ایان شاود کاه هکار بتواناد‬ ‫اطالعات نشست احراز هویت شده کاربر با وب سایت مورد نظر را به دست آورد و بتواناد‬ ‫خود از آن استفاده کند در واقع هویت خود را جعل و خود را به عنوان کاربر ابراز نماید.‬
  40. 40. ‫‪Price Manipulation‬‬‫04‬ ‫همانطور که اسم این روش نشان می دهد عبارت اسات از دساتکاري قیمات، باه ایان صاورت‬ ‫که به هنگاام محاسابه قیمات کال باه علات ذخیاره ساازي یکساري از اطالعاات خریاد بار روي‬ ‫سیستم مشتري، هکر با استفاده از یک برنامه که بتواند ارتباطات خود و سرویس دهناده را‬ ‫پروکسی کند مانند برنامه ( ‪)Achilles‬می تواند اطالعات مهمی از جملاه قیمات را تغییار‬ ‫دهد که اگر کنترل هاي الزم در سمت برنامه سرویس دهناده وجاود نداشاته باشاد ضارر ماالی‬ ‫این کار متوجه شرکت سرویس دهنده میشود.‬
  41. 41. ‫‪Buffer Overflow‬‬ ‫مربوط به اشتباه در برنامه نویسی می باشد. می توان این خطر را به دو قسمت تقسیم کرد:یکی افشاا‬‫14‬ ‫یکسري اطالعات از طریق پیغام هاي خطایی است که سیستم به علت سرریز شادن باافر بار مای گرداناد‬ ‫که می تواند اطالعات بسیار خوبی را در اختیار هکار قارار دهاد و دوم اینکاه در برخای از شارایط هکار‬ ‫قادر است با استفاده از این ضعف،دستوري را بر روي سرویس دهنده اجرا کند.‬ ‫‪Password guessing‬‬ ‫همان به دست آوردن غیر مجاز رمز عبور افراد می باشد که امروزه در تجارت الکترونیک، بسیار زیاد‬ ‫دیده می شود. این روش خود باه دو قسامت حملاه هااي واژه ناماه اي و حملاه هااي مبتنای بار آزماایش‬ ‫تمامی عبارات ممکن تقسیم می شود.‬
  42. 42. ‫ارائي:‬‫24‬ ‫کدهاي مخرب‬ ‫)…,‪(Worm, Virus‬‬ ‫این دسته از تهدیدها که می توانناد باعا از کاار افتاادن سیساتم شاوند باه عناوان‬ ‫یکی از مهمترین تهدیدهاي سیستم عامل به حساب می آیند.‬
  43. 43. ‫‪DOS‬‬ ‫)‪(Denial of Service‬‬ ‫این دسته از حمالت تنها هدفشان از کار انداختن سرویس دهنده می باشد که می تواند هم به‬ ‫علت وجود یک ضعف در سیستم باشد و یا به علت حجم باالیی از تقاضا.‬ ‫آسیب پذیري سرویس دهنده‬ ‫از جمله بزرگترین معضالت تکنولوژي وجود ضعفهاي امنیتی می باشد. این ضعفها از چند جهت قابل بررسی می باشد:‬ ‫یکی از این جهت که معموالً این ضعفها اول توسط تیم هاي هکري کشف می شوند و در جهت کارهاي خرابکارانه مورد‬ ‫استفاده قرار می گیرند.‬ ‫دوم اینکه در برخی از موارد علیرغم انتشار بسته هاي امنیتی ممکن است که یکسري از استفاده کنندگان آنها رایا به‬‫34‬ ‫علت سهل انگاري و یا به علت عدم آگاهی در سرویس دهنده و یا سیستم عامل اعمال نکنند.‬
  44. 44. ‫اهتكال:‬‫44‬
  45. 45. ‫دریافت:‬‫54‬ ‫وقتی دریافت هزینه همزمان با تحویال کااال در محال مشاتري انجاام مای پاذیرد مای تواناد تهدیادي جادي باه‬ ‫حساب آید چرا که هیچ سیستمی به منظور اابات این موضوع که چه شخصی سافارش دهناده باوده وجاود‬ ‫انکار‬ ‫ندارد.‬ ‫سفارش‬ ‫ایاان تهدیااد بااه طااور عمااده در نقاال و انتقاااالت اینترنتاای وجااود دارد بااه طوریکااه‬ ‫انکار دریافت‬ ‫دریافت کننده همواره انکار کننده دریافت سرویس و یا کاال می باشد.‬ ‫کاال‬ ‫کاربر‬ ‫شاامل فریااب دادن کااربران و دریافاات اطالعاات کااارت اعتبااري آنهااا و یاا دریافاات‬ ‫هزینه اي بیشتر از قیمت کاال یا سرویس می باشد.‬ ‫کاله برداری‬ ‫در واقااع هااک شاادن ذات بشاار ماای باشااد بااه ایاان منظااور کااه بااا اسااتقاده از ترفناادهایی خاااص در ارتباطااات‬ ‫مهندسی‬ ‫بشري هکر می تواند به اطالعات مطلاوب خاود دسات یاباد و یاا باه ناوعی آنهاا را متقاعاد باه انجاام کااري‬ ‫بکند.‬ ‫اجتماعی‬
  46. 46. ‫64‬ ‫راًکارًاي مكابلي :‬
  47. 47. ‫1. اجتواب از خعر :‬ ‫به این معنی می باشد که آن کاري را که می تواند براي سیستم ایجاد خطر نماید را انجام ندهیم و یا با انجام کاري آن خطر را‬ ‫دور نماییم‬ ‫2. اهتكال خعر :‬ ‫در برخی از شرایط می توانیم خسارت ناشی از یک خطر را به سازمان و یا شرکت دیگري منتقل کنیم. یکی از متداولترین‬ ‫کارها در این زمینه بیمه می باشد.‬ ‫3. کاًض خعر :‬ ‫به طور مثال با بروز نگه داشتن سیستم عامل خطر هک شدن از طریق ضعفهاي امنیتی سیستم عامل را کاهش‬ ‫می دهیم.‬ ‫4. پذیرش خعر:‬ ‫در شرایطی که هیچگونه از موارد باال تحقق نیابند چاره اي جز پذیرش خطر نیست یعنی آگاهانه می پذیریم که‬‫74‬ ‫از یک خطري ممکن است متضرر شویم.‬
  48. 48. ‫مفاًیم امویتی:‬‫84‬
  49. 49. ‫تٍلید :‬‫94‬
  50. 50. ‫ارائي :‬‫05‬ ‫1. باااااروز نگاااااه داشاااااتن‬ ‫3. هر سرویس اضاافه اي کاه‬ ‫همیشاااااگی محصاااااوالت .‬ ‫2. تنظیم صحیح و ایمان برناماه‬ ‫در سیساااتم ماااا وجاااود داشاااته‬ ‫بسااایاري از مشاااکالت در‬ ‫هاااا، سیساااتم عامااال و سااارویس‬ ‫ایاااان قساااامت مربااااوط بااااه‬ ‫باشااد ماای توانااد داراي ضااعف‬ ‫آساااااااایب پااااااااذیري هاااااااااي‬ ‫هااااي امنیتااای باشاااد. بناااابراین‬ ‫دهندگان، زیرا تنظیمات اولیه یاا‬ ‫محصاوالت ماورد اساتفاده‬ ‫مااای باشاااد کاااه شاااارکتهاي‬ ‫هرگوناااااه سااااارویس، قابلیااااات،‬ ‫به دالیل سازگاري با نسخه هاي‬ ‫ایجاد کننده آن همواره به‬ ‫منظاااور بااار طااارف کاااردن‬ ‫پروتکااال و... کاااه ماااورد نیااااز‬ ‫قبلاای و یااا اسااتفاده آسااان تاار از‬ ‫ضاااااااااااعفهاي موجاااااااااااود،‬ ‫نماای باشااند بایسااتی از سیسااتم‬ ‫محصاااااوالت خاااااود را باااااا‬ ‫امنیت کافی برخوردار نیستند.‬ ‫بسااته هاااي امنیتاای بااروز‬ ‫حذف شوند.‬ ‫رسانی می کنند‬
  51. 51. ‫اهتكال :‬‫15‬
  52. 52. 52
  53. 53. ‫دریافت :‬‫35‬ ‫‪ ‬ماای تااوان بااا اسااتفاده از روشااهاي عضااو گیااري و شناسااایی کاماال افااراد بااه‬ ‫مشکل دریافت کاال و پرداخت همزمان هزینه پاسخ داد.‬ ‫همچنین به منظاور پیشاگیري از کالهبارداري اینترنتای نیاز مای تاوان از شاخص‬ ‫سوم مورد تاییدي در جهت احراز هویت دوگانه استفاده نمود.‬
  54. 54. ‫راًکارًاي کالن‬‫45‬
  55. 55. ‫سیستم مدیریت امنیت اطالعات )‪(ISMS‬‬‫55‬ ‫با ارائه اولین استاندارد مدیریت امنیت اطالعات در سال 5991، نگرش سیستماتیک‬ ‫‪‬‬ ‫به مقوله ایمنسازي فضاي تبادل اطالعات شکل گرفت. بر اساس این نگرش، تامین‬ ‫امنیت فضاي تبادل اطالعات سازمانها، دفعتا مقدور نميباشد و الزم است این امر‬ ‫بصورت مداوم در یک چرخه ایمنسازي شامل مراحل طراحي، پیادهسازي، ارزیابي‬ ‫و اصالح، انجام گیرد. براي این منظور الزم است هر سازمان بر اساس یک‬ ‫متدولوژي مشخص، اقدامات زیر را انجام دهد:‬ ‫تهیه طرحها و برنامههاي امنیتي موردنیاز تجارت الکترونیک‬ ‫1-‬ ‫‪‬‬ ‫ایجاد تشکیالت موردنیاز جهت ایجاد و تداوم امنیت فضاي تبادل اطالعات تجارت‬ ‫2-‬ ‫‪‬‬ ‫الکترونیک‬ ‫اجراي طرحها و برنامههاي امنیتي تجارت الکترونیک‬ ‫3-‬ ‫‪‬‬
  56. 56. ‫مستندات ‪ISMS‬‬‫65‬ ‫بر اساس استانداردهاي مدیریت امنیت اطالعات و ارتباطات، هر سازمان باید مجموعه‬ ‫‪‬‬ ‫مستندات مدیریت امنیت اطالعات و ارتباطات را به شرح زیر، براي خود تدوین نماید:‬ ‫• اهداف، راهبردها و سیاستهاي امنیتي فضاي تبادل اطالعات دستگاه‬ ‫‪‬‬ ‫• طرح تحلیل مخاطرات امنیتي فضاي تبادل اطالعات دستگاه‬ ‫‪‬‬ ‫•طرح امنیت فضاي تبادل اطالعات دستگاه‬ ‫‪‬‬ ‫• طرح مقابله با حوادث امنیتي و ترمیم خرابیهاي فضاي تبادل اطالعات دستگاه‬ ‫‪‬‬ ‫• برنامة آگاهي رساني امنیتي به پرسنل دستگاه‬ ‫‪‬‬ ‫• برنامة آموزش امنیتي پرسنل تشكیالت تامین امنیت فضاي تبادل اطالعات‬ ‫‪‬‬ ‫دستگاه‬ ‫‪‬‬ ‫در این بخش، به بررسي مستندات فوق خواهیم پرداخت.‬ ‫‪‬‬
  57. 57. ‫مستندات ‪ISMS‬‬‫75‬ ‫اهداف، راهبردها و سیاست هاي امنیتي‬ ‫‪‬‬ ‫اولین بخش از مستندات دستگاه، شامل اهداف، راهبردها و سیاست هاي امنیتي‬ ‫‪‬‬ ‫‪ISMS‬فضاي تبادل اطالعات دستگاه مي باشد .در این مستندات، الزم است موارد زیر،‬ ‫گنجانیده شوند:‬ ‫اهداف امنیت فضاي تبادل اطالعات دستگاه‬ ‫‪‬‬ ‫در این بخش از مستندات، ابتدا سرمایه هاي فضاي تبادل اطالعات دستگاه، در قالب‬ ‫‪‬‬ ‫سخت افزارها، نرم افزارها، اطالعات، ارتباطات، سرویسها و كاربران تفكیك و دسته‬ ‫بندي شده و‬ ‫سپس اهداف كوتاه مدت و میان مدت تامین امنیت هر یك از سرمایه ها، تعیین خواهد‬ ‫‪‬‬ ‫شد.‬
  58. 58. ‫مستندات ‪ISMS‬‬‫85‬ ‫نمونه هائي از اهداف كوتاه مدت امنیت:‬ ‫‪‬‬ ‫جلوگیري از حمالت و دسترسي هاي غیرمجاز، علیه سرمایه هاي فضاي تبادل ·‬ ‫‪‬‬ ‫اطالعات دستگاه‬ ‫‪‬‬ ‫مهار خسارتهاي ناشي از ناامني موجود در فضاي تبادل اطالعات دستگاه ·‬ ‫‪‬‬ ‫كاهش رخنه پذیریهاي سرمایه هاي فضاي تبادل اطالعات دستگاه ·‬ ‫‪‬‬
  59. 59. ‫مستندات ‪ISMS‬‬‫95‬ ‫نمونه هائي از اهداف میان مدت امنیت:‬ ‫‪‬‬ ‫تامین صحت عملكرد، قابلیت دسترسي و محافظت فیزیكي براي سخت افزارها، ·‬ ‫‪‬‬ ‫متناسب با حساسیت آنها.‬ ‫‪‬‬ ‫تامین صحت عملكرد و قابلیت دسترسي براي نرم افزارها، متناسب با حساسیت ·‬ ‫‪‬‬ ‫آنها.‬ ‫‪‬‬ ‫تامین محرمانگي، صحت و قابلیت دسترسي براي اطالعات، متناسب با طبق هبندي ·‬ ‫‪‬‬ ‫اطالعات از حیث محرمانگي.‬ ‫‪‬‬ ‫تامین محرمانگي، صحت و قابلیت دسترسي براي ارتباطات، متناسب با طبقه بندي ·‬ ‫‪‬‬ ‫اطالعات از حیث محرمانگي و حساسیت ارتباطات.‬ ‫‪‬‬ ‫تامین قابلیت تشخیص هویت، حدود اختیارات و پاسخگوئي، حریم خصوصي و ·‬ ‫‪‬‬ ‫آگاهي رساني امنیتي براي كاربران شبكه، متناسب با طبقه بندي اطالعات قابل دسترس‬ ‫‪‬‬ ‫و نوع كاربران‬ ‫‪‬‬
  60. 60. ‫مستندات ‪ISMS‬‬‫06‬ ‫راهبردهاي امنیت فضاي تبادل اطالعات دستگاه‬ ‫راهبردهاي امنیت فضاي تبادل اطالعات دستگاه، بیانگر اقداماتي است كه به منظور تامین اهداف امنیت‬ ‫دستگاه، باید انجام گیرد .نمونه اي از راهبردهاي كوتا ه مدت و میان مدت امنیت فضاي تبادل اطالعات‬ ‫دستگاه، عبارتند از:‬ ‫نمونه هائي از راهبردهاي كوتاه مدت امنیت:‬ ‫شناسائي و رفع ضعفهاي امنیتي فضاي تبادل اطالعات دستگاه ·‬ ‫آگاهي رساني به كاربران فضاي تبادل اطالعات دستگاه ·‬ ‫كنترل و اعمال محدودیت در ارتباطات شبكه داخلي دستگاه ·‬ ‫نمونه هائي از راهبردهاي میان مدت امنیت:‬ ‫رعایت استانداردهاي مدیریت امنیت اطالعات ·‬ ‫تهیه طرح ها و برنامه هاي امنیتي فضاي تبادل اطالعات دستگاه، بر اساس استانداردهاي فوق‬ ‫ایجاد و آماده سازي تشكیالت تامین امنیت فضاي تبادل اطالعات دستگاه ·‬ ‫اجراي طرح ها و برنامه هاي امنیتي فضاي تبادل اطالعات دستگاه‬
  61. 61. ‫مستندات ‪ISMS‬‬‫16‬ ‫سیاست هاي امنیتي فضاي تبادل اطالعات دستگاه‬ ‫سیاست هاي امنیتي فضاي تبادل اطالعات دستگاه، متناسب با دسته بندي انجام شده روي سرمایه هاي‬ ‫فضاي تبادل اطالعات دستگاه، عبارتند از:‬ ‫سیاست هاي امنیتي سرویس هاي فضاي تبادل اطالعات دستگاه ·‬ ‫سیاست هاي امنیتي سخت افزارهاي فضاي تبادل اطالعات دستگاه ·‬ ‫سیاست هاي امنیتي نرم افزارهاي فضاي تبادل اطالعات دستگاه ·‬ ‫سیاست هاي امنیتي اطالعات فضاي تبادل اطالعات دستگاه ·‬ ‫سیاست هاي امنیتي ارتباطات فضاي تبادل اطالعات دستگاه ·‬ ‫سیاست هاي امنیتي كاربران فضاي تبادل اطالعات دستگاه ·‬
  62. 62. ‫مستندات ‪ISMS‬‬‫26‬ ‫طرح تحلیل مخاطرات امنیتي‬ ‫پس از تدوین اهداف ، راهبردها و سیاست هاي امنیتي فضاي تبادل اطالعات دستگاه و قبل ازطراحي امنیت فضاي تبادل‬ ‫اطالعات، الزم است شناخت دقیقي از مجموعه فضاي تبادل اطالعات موجود دستگاه بدست آورد .در این مرحله، ضمن‬ ‫كسب شناخت نسبت به اطالعات، ارتباطات،تجهیزات، سرویس ها و ساختار شبكه ارتباطي دستگاه، ضعفهاي امنیتي موجود‬ ‫در بخشهاي‬ ‫مختلف، شناسائي خواهند شد تا در مراحل بعدي، راهكارهاي الزم به منظور رفع این ضعفها ومقابله با تهدیدها، ارائه شوند .‬ ‫روش تحلیل مخاطرات امنیتي، باید در مجموعه راهبردهاي امنیتي فضاي تبادل اطالعات دستگاه، مشخص شده باشد.‬ ‫در تحلیل مخاطرات امنیتي، به مواردي پرداخته مي شود كه بصورت بالقوه، امكان دسترسي غیرمجاز، نفوذ و حمله‬ ‫كاربران مجاز یا غیرمجاز فضاي تبادل اطالعات دستگاه، به منابع(سرمایه هاي) فضاي تبادل اطالعات دستگاه و منابع‬ ‫كاربران این فضا را فراهم مي نمایند‬ ‫در این مستند، الزم است مخاطرات امنیتي فضاي تبادل اطالعات، حداقل در محورهاي "معماري شبكه"، "تجهیزات شبكه"،‬ ‫"سرویس دهنده هاي شبكه"، "مدیریت و نگهداري شبكه "و‬ ‫"تشكیالت و روشهاي مدیریت امنیت شبكه"، بررسي شوند.‬
  63. 63. ‫مستندات ‪ISMS‬‬‫36‬ ‫معماري شبكه ارتباطي‬ ‫در این بخش ، الزم است معماري شبكه ارتباطي دستگاه، حداقل در محورهاي زیر مورد‬ ‫تجزیه و تحلیل قرار گیرد:‬ ‫ساختار شبكه ارتباطي ·‬ ‫ساختار آدرس دهي و مسیریابي ·‬ ‫ساختار دسترسي به شبكه ارتباطي ·‬ ‫تجهیزات شبكه ارتباطي‬ ‫در این بخش ، الزم است تجهیزات شبكه ارتباطي دستگاه، حداقل در محورهاي زیر مورد‬ ‫تجزیه و تحلیل قرار گیرد:‬ ‫محافظت فیزیكي ·‬ ‫نسخه و آسیب پذیریهاي نرم افزار ·‬ ‫مدیریت محلي و از راه دور ·‬ ‫تصدیق هویت، تعیین اختیارات و ثبت عملكرد سیستم، بویژه در دسترسي هاي مدیریتي‬ ‫ثبت وقایع ·‬ ‫نگهداري و به روزنمودن پیكربندي ·‬ ‫مقابله با حمالت علیه خود سیستم، بویژه حمالت ممانعت از سرویس‬
  64. 64. ‫مستندات ‪ISMS‬‬‫46‬ ‫مدیریت و نگهداري شبكه ارتباطي‬ ‫در این بخش ، الزم است مدیریت و نگهداري شبكه ارتباطي دستگاه، حداقل در محورهاي زیر مورد تجزیه و تحلیل قرار گیرد:‬ ‫تشكیالت و روشهاي مدیریت و نگهداري شبكه ارتباطي ·‬ ‫ابزارها و مكانیزم هاي مدیریت و نگهداري شبكه ارتباطي ·‬ ‫سرویس هاي شبكه ارتباطي‬ ‫در این بخش ، الزم است سرویس هاي شبكه ارتباطي دستگاه، حداقل در محورهاي زیرمورد تجزیه و تحلیل قرار گیرد:‬ ‫سیستم عامل سرویس دهنده ·‬ ‫سخت افزار سرویس دهنده، بویژه رعایت افزونگي در سطح ماجول و سیستم ·‬ ‫نرم افزار سرویس ·‬ ‫استفاده از ابزارها و مكانیزم هاي امنیتي روي سرویس دهنده ها ·‬ ‫تشكیالت و روشهاي تامین امنیت شبكه ارتباطي‬ ‫در این بخش، الزم است تشكیالت و روشهاي امنیت شبكه ارتباطي دستگاه، حداقل در‬ ‫محورهاي زیر مورد تجزیه و تحلیل قرار گیرد:‬ ‫طرح ها، برنامه ها و سایر مستندات امنیتي ·‬ ‫تشكیالت امنیت، روالهاي اجرائي و شرح وظایف پرسنل امنیت‬
  65. 65. ‫مستندات ‪ISMS‬‬‫56‬ ‫طرح امنیت‬ ‫پس از تحلیل مخاطرات امنیتي شبكه ارتباطي دستگاه و دسته بندي مخاطرات امنیتي‬ ‫این شبكه، در طرح امنیت، ابزارها و مكانیز مهاي موردنیاز به منظور رفع این ضعفها و‬ ‫مقابله با تهدیدها،رائه مي شوند . در طرح امنیت، الزم است كلیه ابزارها ومكانیزم هاي‬ ‫امنیتي موجود، بكار گرفته شوند .‬ ‫نمونه اي از این ابزارها عبارتند از:‬ ‫1- سیستم هاي كنترل جریان اطالعات و تشكیل نواحي امنیتي‬ ‫فایروال ها‬ ‫سایر سیستم هاي تامین امنیت گذرگاه ها ·‬ ‫2-سیستم هاي تشخیص و مقابله یا تشخیص و پیشگیري از حمالت، شامل:‬ ‫سیستم هاي مبتني بر ایستگاه ·‬ ‫سیستم هاي مبتني بر شبكه ·‬
  66. 66. ‫مستندات ‪ISMS‬‬‫66‬ ‫طرح امنیت‬ ‫3-سیستم فیلترینگ محتوا(بویژه براي سرویس ‪)E-Mail‬‬ ‫4-نرم افزارهاي تشخیص و مقابله با ویروس‬ ‫5-سیستم هاي تشخیص هویت، تعیین حدود اختیارات و ثبت عملكرد كاربران‬ ‫6-سیستم هاي ثبت و تحلیل رویدادنامه ها‬ ‫7-سیستم هاي رمزنگاري اطالعات‬ ‫8-نرم افزارهاي نظارت بر ترافیك شبكه‬ ‫9-نرم افزارهاي پویشگر امنیتي‬ ‫01-نرم افزارهاي مدیریت امنیت شبكه‬
  67. 67. ‫مستندات ‪ISMS‬‬‫76‬ ‫ویژگیهاي اصلي سیستم امنیتي شبكه ارتباطي دستگاه، عبارتند از:‬ ‫چندالیه بودن سیستم امنیتي‬ ‫توزیع شده بودن سیستم امنیتي‬ ‫تشكیل نواحي امنیتي جهت كنترل دقیق دسترسي به سرویس هاي شبكه‬ ‫یكپارچگي مكانیزم هاي امنیتي، بویژه در گذرگاههاي ارتباطي شبكه‬ ‫تفكیك زیرساختار مدیریت امنیت شبكه ( حداقل بخش اصلي سیستم امنیتي‬ ‫شبكه) هاي مختلف، بنحوي كه ضعفهاي ‪Brand‬انتخاب اجزاء سیستم امنیتي شبكه، از ·امنیتي یكدیگر‬ ‫را پوشش داده و مخاطره باقیمانده را كاهش دهند‬ ‫انتخاب محصوالتي كه داراي تائیدي ههاي معتبر، از موسسات ارزیابي بین المللي‬ ‫مي باشند‬
  68. 68. ‫هتیجي‬‫86‬

×