Information security & isms

2,395 views

Published on

meryamsiroos@yahoo.com

2 Comments
1 Like
Statistics
Notes
No Downloads
Views
Total views
2,395
On SlideShare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
140
Comments
2
Likes
1
Embeds 0
No embeds

No notes for slide

Information security & isms

  1. 1. ISMS I nformation S ecurity M anagement S ystem فناوری های امنیت اطلاعات و مدیریت امنیت اطلاعات پروژه امنیت اطلاعات مریم سیروس شماره دانشجویی : 8861048 Email : meryamsiroos@yahoo.com
  2. 2. فناوری امنیت اطلاعات <ul><li>« امنيت اطلاعات »( Information security ) </li></ul><ul><li>امنیت اطلاعات به حفاظت از اطلاعات و به ‌حداقل‌رساندن خطر افشاي اطلاعات در بخش هاي غيرمجاز اشاره دارد . </li></ul><ul><li>با توجه به تعاريف ارائه شده، امنيت به مجموعه‌اي از تدابير، روش‌ها و ابزارها براي جلوگيري از دسترسي و تغييرات </li></ul><ul><li>غيرمجاز در نظام‌هاي رايانه‌اي و ارتباطي اطلاق مي‌شود . « فن ا وري » به کاربرد علم، خصوصاً براي اهداف صنعتي و </li></ul><ul><li>تجاري يا به دانش و روش‌هاي مورد استفاده براي توليد يک محصول گفته مي‌شود . </li></ul><ul><li>طبقه‌بندی امنیت اطلاعات </li></ul>فناوری امنیت اطلاعات براساس مرحله خاصي از زما ن براساس سطوح پياده‌سازي نظام‌ هاي امنيتي در يک محيط رايانه‌اي واکنشي ( Reactive ) کنشگرايانه ( کنشي )( Proactive ) واکنشي ( Reactive ) کنشگرايانه ( کنشي )( Proactive )
  3. 3. فناوری امنیت اطلاعات کنشگرايانه ( کنشي )( Proactive ) 1. رمزنگاري ( Cryptography ) 2. امضاهاي رقومي ( digital signatures ) 3. گواهي‌هاي رقومي ( Digital certificates ) 4. شبكه‌هاي مجازي خصوصي ( virtual private networks ) 5. نرم‌افزارهای آسيب‌نما ( vulnerability scanners ) 6. پويشگرهاي ضد ويروس ( Anti- virus scanner ) 7. پروتکل‌هاي امنيتي ( security protocols ) 8. سخت افزارهاي امنيتي ( Security hardware ) 9. جعبه‌هاي توسعه نرم‌افزار امنيتي ) ( security software development kits (SDKs )
  4. 4. فناوری امنیت اطلاعات 1. رمزنگاري ( Cryptography ) « رمزگذاري »( encryption ) يا « سِرگذاري » ( encipher ) مي‌نامند * . پيام رمزگذاري شده را « متن رمزي »( ciphertext ) ، و فرايند بازيابي متن آشکار از متن رمزي را رمزگشايي ( decryption ) يا « سِّرگشايي »( decipher ) مي نامند . الگوريتم‌هايی که امروزه در رمزگذاري و رمزگشايي داده‌ها به کار می‌روند از دو روش بنيادی استفاده می کنند : الگوريتم‌های متقارن، و الگوريتم‌های نامتقارن يا کليد عمومی . رمزنگاري يک فناوري امنيت اطلاعات از نوع کنشگرايانه است، زيرا اطلاعات را قبل از آن که يک تهديد بالقوه بتواند اعمال خرابکارانه انجام دهد، از طريق رمزگذاري داده‌ها ايمن مي‌سازند . به علاوه، رمزنگاري در سطوح متنوع، به طوري که در طبقه‌بندي شكل 1 بيان شد، در سطوح برنامه‌هاي کاربردي و در سطوح شبکه قابل پياده‌سازي است . امضاي رقومي يک فناوري امنيت اطلاعات از نوع کنشگرايانه است، زيرا قبل از وقوع هر تهديدي، مي‌توان با استفاده از آن فرستنده اصلي پيام و صاحب امضا را شناسايي كرد . به علاوه اين فناوري در سطح يک برنامه کاربردي قابل پياده‌سازي است . در اين سطح، امضاي رقومي در يک برنامه کاربردي خاص و قبل از آن که به يک گيرنده خاص فرستاده شود، ايجاد مي‌گردد . 2. امضاهاي رقومي ( digital signatures )
  5. 5. فناوری امنیت اطلاعات گواهي‌هاي رقومي به حل مسئله « اطمينان » در اينترنت كمك مي‌کنند . گواهي‌هاي رقومي متعلق به « سومين دسته اطمينان »( trusted third parties ) هستند و همچنين به « متصدي‌هاي گواهي » اشاره دارند ( Tiwana ، 1999 ). متصدي‌هاي گواهي، مؤسسات تجاري هستند که هويت افراد يا سازمان‌ها را در وب تأييد، و تأييديه‌هايي مبني بر درستي اين هويت‌ها صادر مي‌کنند . براي به دست‌آوردن يک گواهي، ممکن است از فرد خواسته شود که يک کارت شناسايي ( مانند کارت رانندگي ) را نشان دهد . بنابراين گواهي‌هاي رقومي، يک شبکه امن در ميان کاربران وب، و مکاني براي تأييد صحت و جامعيت يک فايل يا برنامه الکترونيکي ايجاد مي‌کنند . اين گواهي‌ها حاوي نام فرد، شماره سريال، تاريخ انقضا، يک نسخه از گواهي نگاهدارنده کليد عمومي ( كه براي رمزگذاري پيام‌ها و امضاهاي رقومي به کار مي‌رود ) مي‌باشند گواهي‌هاي رقومي، فناوري امنيت اطلاعات از نوع کنشگرايانه هستند، زيرا از اين فناوري براي توزيع کليد عمومي از يک گروه ارتباطي به گروه ارتباطي ديگر استفاده مي‌شود . همچنين اين روش، قبل از آن که هر ارتباطي بين گروه‌ها اتفاق بيفتد، اطمينان ايجاد مي‌کند . اين فناوري در سطح برنامه کاربردي قابل پياده‌سازي است؛ مثلاً قبل از آغاز هر ارتباط مرورگر وب، تأييد مي‌کند که آن گروه خاص قابل اطمينان مي‌باشد . فناوري شبكه‌هاي مجازي خصوصي، عبور و مرور شبکه را رمزگذاري مي‌کند . بنابراين اين فناوري براي تضمين صحت و امنيت داده‌ها، به رمزنگاري وابسته است . اين شبکه بسيار امن، براي انتقال داده‌هاي حساس ( از جمله اطلاعات تجاري الکترونيکي ) از اينترنت به عنوان رسانه انتقال بهره مي‌گيرد . شبكه‌هاي مجازي خصوصي، فناوري امنيت اطلاعات از نوع کنشگرايانه هستند، زيرا داده‌ها قبل از آن که در شبکه عمومي منتشر شوند، با رمزگذاري محافظت مي‌شوند و اين باعث مي‌گردد که تنها افراد مجاز قادر به خواندن اطلاعات باشند . به علاوه اين فناوري در سطح شبکه قابل پياده‌سازي است، و از فناوري رمزگذاري بين دو ميزبان شبکه مجازي خصوصي، در مرحله ورود به شبکه و قبل از آن که داده‌ها به شبکه عمومي فرستاده شود، استفاده مي‌گردد . 3. گواهي‌هاي رقومي ( Digital certificates ) 4. شبكه‌هاي مجازي خصوصي ( virtual private networks )
  6. 6. فناوری امنیت اطلاعات نرم‌افزارهای آسيب‌نما برنامه‌هايي براي بررسي نقاط ضعف يک شبکه يا سيستم يا سايت هستند . بنابراين نرم‌افزارهای آسيب‌نما يک نمونه خاص از نظام آشکارساز نفوذی از فناوري امنيت اطلاعات هستند ( Bace ، 2000 ، ص 4-3). همچنين اين نرم‌افزارها به يک پويش فاصله‌مدار اشاره دارند؛ بدين معنا که ميزبان‌هاي روي شبکه را در فواصل خاص و نه بطور پيوسته، پويش مي‌کنند . به مجرد اين که يک نرم‌افزار آسيب‌نما بررسي يک ميزبان را خاتمه داد، داده‌ها در درون يک گزارش، نمونه‌برداري مي‌شوند، كه به يک « عکس فوري »( snapshot ) شباهت دارد ( مثل : cybercop scanner ، cisco secure scanner ، Net Recon ). ن رم‌افزارهای آسيب‌نما، فناوري امنيت اطلاعات از نوع کنشگرايانه هستند، زيرا از آن‌‌ها براي کشف عامل‌های نفوذی قبل از آن که بتوانند با عمليات‌هاي خرابکارانه يا بدخواهانه از اطلاعات سوء استفاده کنند، استفاده مي‌شود . نرم‌افزارهای آسيب‌نما در سطح ميزبان قابل پياده‌سازي هستند . در دهه‌هاي گذشته ويروس‌هاي رايانه‌اي باعث تخريب عظيمي در اينترنت شده‌اند . ويروس رايانه‌اي يک قطعه مخرب نرم‌افزاري است که توانايي تکثير خودش را در سراسر اينترنت، با يک بار فعال‌شدن، دارد ( McClure et al ، 2002 ). پويشگرهاي ضد ويروس، برنامه‌هاي نرم‌افزاري هستند که براي بررسي و حذف ويروس‌هاي رايانه‌اي، از حافظه يا ديسک‌ها طراحي شده‌اند . اين برنامه‌ها از طريق جستجوي كدهاي ويروس رايانه‌اي، آن‌ها را تشخيص مي‌دهند . اگرچه برنامه‌هاي حفاظت از ويروس نمي‌توانند تمام ويروس‌ها را نابود کنند، اما اعمالي که اين برنامه‌ها انجام مي‌دهند عبارت‌اند از : 1) ممانعت از فعاليت ويروس، 2) حذف ويروس، 3) تعمير آسيبي که ويروس عامل آن بوده است، و 4) گرفتن ويروس در زمان کنترل و بعد از فعال‌شدن آن ( Caelli, Longley , & Shain ، 1994 ). پويشگر ضدويروس، يک فناوري امنيت اطلاعات از نوع کنشگرايانه است . اين پويشگرها در سطوح متنوع، و به طوري که در طبقه‌بندي بيان شده در سطح برنامه‌هاي کاربردي و در سطح ميزبان، قابل پياده‌سازي هستند . 5. نرم‌افزارهای آسيب‌نما ( vulnerability scanners ) 6. پويشگرهاي ضد ويروس ( Anti- virus scanner )
  7. 7. فناوری امنیت اطلاعات پروتکل‌هاي امنيتي مختلفي مانند « پروتکل امنيت اينترنت »( Internet Protocol Security ( IPsec )) و « کربروس »( kerberos ) که در فناوري‌هاي امنيت اطلاعات طبقه‌بندي مي‌شوند، وجود دارند . پروتکل‌ها فناوري‌هايي هستند که از يک روش استاندارد براي انتقال منظم داده‌ها بين رايانه‌ها استفاده مي‌کنند، يا مجموعه‌اي از مقررات يا قراردادها هستند که تبادل اطلاعات را ميان نظام‌هاي رايانه‌اي، کنترل و هدايت مي‌کنند . پروتکل‌هاي امنيتي، يک فناوري امنيت اطلاعات از نوع کنشگرايانه هستند، زيرا براي حفاظت از اطلاعات حساس از يک پروتکل خاص امنيتي، قبل از آن که اطلاعات به وسيله خرابکاران به دست آيد، استفاده مي‌كنند . اين فناوري در سطوح مختلف _ سطح برنامه کاربردي و سطح شبکه - قابل پياده‌سازي است . مثلاً پروتکل « کربروس » ، پروتکل و سيستمي است که از آن در تعيين اعتبار سيستم‌هاي اشتراکی استفاده مي‌شود . « کربروس » براي تعيين اعتبار ميان فرآيندهاي هوشمند ( نظير از خدمت‌گيرنده به خدمت‌دهنده، يا ايستگاه کاري يک کاربر به ديگر ميزبان‌ها ) مورد استفاده قرار مي‌گيرد و اين تعيين اعتبار در سطح برنامه کاربردي و شبکه، قابل پياده‌سازي است . سخت افزار امنيتي به ابزارهاي فيزيکي که کاربرد امنيتي دارند، اشاره مي‌كندٍ؛ مانند معيارهاي رمزگذاري سخت‌افزاري يا مسيرياب‌هاي سخت‌افزاري . ابزارهاي امنيت فيزيکي شامل امنيت سرورها، امنيت کابل‌ها، سيستم‌هاي هشداردهنده امنيتي در زمان دسترسي غيرمجاز يا ذخيره فايل‌ها بعد از استفاده يا گرفتن فايل پشتيبان هستند . اين فناوري يک فناوري امنيت اطلاعات از نوع کنشگرايانه است، زيرا داده‌ها را قبل از آن که تهديد بالقوه‌اي بتواند تحقق يابد، حفاظت مي‌کنند . جعبه‌هاي توسعه نرم‌افزار امنيتي، ابزارهاي برنامه‌نويسي هستند که در ايجاد برنامه‌هاي امنيتي مورد استفاده قرار مي‌گيرند . « Java security manager » و « Microsoft.net SDKs » نمونة‌ نرم‌افزارهايي هستند که در ساختن برنامه‌هاي کاربردي امنيتي ( مانند برنامه‌هاي تعيين اعتبار مبتني بر وب ) به کار مي‌روند . اين جعبه‌ها شامل سازنده صفحه تصويري، يک ويراستار، يک مترجم، يک پيونددهنده، و امکانات ديگر هستند . جعبه‌هاي توسعه نرم‌افزار امنيتي، فناوري امنيت اطلاعات از نوع کنشگرايانه هستند، زيرا از آن‌ها در توسعه نرم افزارهاي متنوع برنامه‌هاي کاربردي امنيتي ( که داده‌ها را قبل از آن که تهديد بالقوه تحقق يابد، حفاظت مي‌کنند ) استفاده مي‌شوند . به‌علاوه اين فناوري در سطوح متنوع - سطح برنامه‌هاي کاربردي، سطح ميزبان، سطح شبکه - قابل پياده‌سازي است . 7. پروتکل‌هاي امنيتي ( security protocols ) 8. سخت افزارهاي امنيتي ( Security hardware ) 9. جعبه‌هاي توسعه نرم‌افزار امنيتي ) ( security software development kits (SDKs )
  8. 8. فناوری امنیت اطلاعات واکنشي ( Reactive ) 1. ديوار آتش ( firewalls ) 2 . کلمات عبور ( passwords ) 3 . زيست‌سنجی ( biometrics ) 5. نظام‌هاي آشکارساز نفوذی ( intrusion detection systems (IDS )) 6. واقعه‌نگاري ( logging ) 7. دسترسي از راه دور ( remote accessing )
  9. 9. فناوری امنیت اطلاعات در اينترنت يک ابزار نرم‌افزاري، خصوصاً روي يک رايانه پيکربندي‌شده مي‌باشد که به عنوان مانع، فيلتر يا گلوگاه بين يک سازمان داخلي يا شبکه امين و شبکه غيرامين يا اينترنت، نصب مي‌شود . هدف از ديوار آتش جلوگيري از ارتباطات غيرمجاز در درون يا بيرون شبکه داخلي سازمان يا ميزبان است ديوار آتش يک فناوري امنيت اطلاعات از نوع واکنشي است و مهم‌ترين ابزار امنيتي مورد استفاده براي کنترل ارتباطات شبکه‌اي بين دو سازمان که به يکديگر اعتماد ندارند، مي‌باشد . با قراردادن يک ديوار آتش روي هر ارتباط خارجي شبکه، سازمان مي‌تواند يک دايره امنيتي تعريف نمايد که از ورود افراد خارجي به رايانه‌هاي سازمان جلوگيري مي‌کند . علاوه بر آن، ديوار آتش مي‌تواند مانع نفوذ افراد خارجي به منابع موجود در رايانه‌هاي سازمان و گسترش نامطلوب روي شبکه سازمان شود . اين فناوري در سطوح ميزبان و در سطح شبکه قابل پياده‌سازي است . کلمه عبور، يک کلمه، عبارت يا حروف متوالي رمزي است . کلمه عبور، فناوري امنيت اطلاعات از نوع واکنشي است، زيرا به‌منظور گرفتن مجوز و دسترسي به نظام، به محض اين که يک فرد يا فرايند بخواهد به يک برنامه کاربردي، ميزبان يا شبکه متصل شود، به کار مي‌رود . اين فناوري در سطوح متنوع - در سطح برنامه کاربردي، سطح ميزبان، سطح شبکه - پياده‌سازي مي‌شود . زيست‌سنجی، علم و فناوري سنجش و تحليل‌داده‌هاي زيستي است . در فناوري اطلاعات، زيست‌سنجی معمولاً به فناوري‌هايي براي سنجش و تحليل ويژگي‌هاي بدن انسان ( مانند اثر انگشت، قرنيه و شبکيه چشم، الگوهاي صدا، الگوهاي چهره، و اندازه‌هاي دست ) خصوصاً به‌منظور تعيين اعتبار اشاره دارد . زيست‌سنجی فناوري امنيت اطلاعات از نوع واکنشي است، زيرا از آن می‌توان با استفاده از هندسه بخشی از بدن کاربر برای گرفتن مجوز يا براي جلوگيری از دسترسی به نظام، به محض اين که کاربر بخواهد به يک برنامه کاربردي، ميزبان يا شبکه متصل شود، استفاده نمود . به‌علاوه اين فناوري در سطوح متنوع، با توجه به طبقه‌بندي بيان‌شده، قابل پياده‌سازي است . 1. ديوار آتش ( firewalls ) 3 . زيست‌سنجی ( biometrics ) 2 . کلمات عبور ( passwords )
  10. 10. فناوری امنیت اطلاعات نظام‌هاي آشکارساز نفوذی، يک نظام تدافعي است که فعاليت‌هاي خصمانه را در يک شبکه تشخيص مي‌دهد . بنابراين نکته کليدي در نظام‌هاي آشکارساز نفوذی، تشخيص و احتمالاً ممانعت از فعاليت‌هايي است که ممكن است امنيت شبکه را به خطر بيندازند . يکي از ويژگي‌هاي مهم اين نظام‌ها، توانايي آن‌ها در تأمين نمايي از فعاليت‌هاي غيرعادي، و اعلام هشدار به مديران نظام‌ها و مسدود نمودن ارتباط مشکوک است . نظام‌هاي آشکارساز نفوذی فرايندي براي شناسايي و تقابل با فعاليت‌هاي مشکوک است که منابع رايانه‌اي و شبکه‌ها را هدف قرار داده‌اند . علاوه بر اين، ابزارها و تجهيزات اين نظام مي‌توانند بين تهاجم‌هاي داخلي از داخل سازمان ( کارمندان يا مشتريان ) و تهاجم‌هاي خارجي ( حملاتي که توسط هکرها انجام مي‌شود ) تمايز قايل شوند ( مثل Snort IDS ، ISS Real Secure ، Cisco IDS ) . اين فناوري، فناوري امنيت اطلاعات از نوع واکنشي است، زيرا از آن براي کنترل ميزبان‌هاي روي شبکه، آشکارسازی، ثبت گزارش، و متوقف ساختن هر نوع حمله و استفاده غيرقانونی استفاده می‌شود . اين فناوري در سطوح ميزبان و شبکه، قابل پياده‌سازي است . واقعه‌نگاري به ثبت اعمال يا تراکنش‌هاي انجام‌شده توسط کاربر يا يک برنامه، توليد سابقه، و ثبت نظام‌مند رويدادهاي مشخص به ترتيب وقوع آن‌ها براي فراهم‌کردن امکان تعقيب و پيگيري داده‌ها در تحليل‌هاي آتي اطلاق مي‌شود . واقعه‌نگاري، فناوري امنيت اطلاعات از نوع واکنشي است، زيرا به علت‌جويي حوادث امنيتي بعد از وقوع مي‌پردازد . اين فناوري در سطوح برنامه کاربردي، ميزبان و شبکه قابل پياده‌سازي است . « دسترسي از راه دور » به دسترسي به يک سيستم يا برنامه، بدون نياز به حضور فيزيکي در محل توجه دارد . با اين حال معمولاً دسترسي به خدمات از راه دور، کنترل‌شده نيستند، زيرا ممکن است دسترسي به يک خدمت از راه دور به طور ناشناس صورت بگيرد که در اين مورد دسترسي به خدمت، خطر جعل هويت را به همراه دارد . در اين زمينه با توجه به شرايط و امکانات، بايد ايمن‌ترين پروتکل‌ها و فناوری‌ها را به خدمت گرفت . مثلاً تعدادي از نظام‌ها ممکن است به غلط براي مجوزگرفتن اتصال، به صورت ناشناس با يک پيش‌فرض پيکربندي کنند، در حاليکه اتصال ناشناس بر طبق خط‌مشي امنيتي سازمان نبايد اجازه يابد که وارد نظام شود . دسترسي از راه دور، فناوري امنيت اطلاعات از نوع واکنشي است، زيرا يک فرد يا فرايند براي اتصال از راه دور، قادر به دستيابي بر طبق امتيازات دسترسي مي‌باشد . اين فناوري در سطح ميزبان قابل پياده‌سازي مي‌باشد . 6. واقعه‌نگاري ( logging ) 7. دسترسي از راه دور ( remote accessing ) 5. نظام‌هاي آشکارساز نفوذی ( intrusion detection systems (IDS ))
  11. 11. استانداردهای مدیریت امنیت اطلاعات <ul><li>استاندارد BS7799 </li></ul><ul><li>استاندارد ISO/IEC 17799 </li></ul><ul><li>استاندارد ISO/IEC TR 13335 </li></ul>
  12. 12. طرح ها وبرنامه های امنیتی مورد نیاز <ul><li>اهداف،راهبردها و سیاست های امنیتی فن آوری اطلاعات سازمان </li></ul><ul><li>طرح امنیت فن آوری اطلاعات سازمان </li></ul><ul><li>طرح ارزیابی مخاطرات امنیتی فن آوری اطلاعات سازمان </li></ul><ul><li>طرح پشتیبانی حوادث امنیتی فن آوری اطلاعات سازمان </li></ul><ul><li>طرح تداوم عملکرد و ترمیم خرابی های فن آوری اطلاعات سازمان </li></ul><ul><li>برنامه آگاهی رسانی،تربیت نیروی انسانی و آموزش امنیت فن آوری اطلاعات سازمان </li></ul>
  13. 13. چارجوب پیشنهادی برای تدوین اهداف،راهبردها و سیاست های امنیتی <ul><li>اهداف امنیت شبکه </li></ul><ul><li>راهبردهای تأمین امنیت شبکه </li></ul><ul><li>تشکیلات تأمین امنیت شبکه </li></ul><ul><li>سیاست های امنیتی شبکه </li></ul>
  14. 14. سرمایه های مرتبط با شبکه <ul><li>سخت افزارها </li></ul><ul><li>نرم افزارها </li></ul><ul><li>اطلاعات </li></ul><ul><li>ارتباطات </li></ul><ul><li>کاربران </li></ul>
  15. 15. اهداف امنیت شبکه <ul><li>اهداف کوتاه مدت امنیت شبکه </li></ul><ul><li>اهداف میان مدت امنیت شبکه </li></ul>
  16. 16. اهداف کوتاه مدت امنیت شبکه <ul><li>جلوگیری از حملات و دسترسی غیر مجاز،علیه سرمایه های شبکه </li></ul><ul><li>مهار خسارت های ناشی از ناامنی موجود در شبکه </li></ul><ul><li>کاهش رخنه پذیری های سرمایه های شبکه </li></ul>
  17. 17. اهداف میان مدت امنیت شبکه <ul><li>تأمین صحت عملکرد،قابلیت دسترسی و محافظت فیزیکی برای سخت افزارها،متناسب با حساسیت آنها </li></ul><ul><li>تأمین صحت عملکرد،قابلیت دسترسی برای نرم افزارها، متناسب با حساسیت آنها </li></ul><ul><li>تأمین محرمانگی،صحت وقابلیت دسترسی برای اطلاعات،ارتباطات ،متناسب با حیث محرمانگی </li></ul><ul><li>تأمین قابلیت تشخیص هویت،حدود اختیارات و پاسخ گویی،حریم خصوصی و آگاهی رسانی امنیتی برای کاربران شبکه،متناسبت با طبقه بندی اطلاعات قابل دسترس و نوع کاربران </li></ul>
  18. 18. سرمایه ها اهداف سخت افزارها نرم افزارها اطلاعات ارتباطات کاربران شبکه محرمانگی ( Confidentiality ) صحت ( Integrity ) قابلیت دسترسی ( Availability ) محافظت فیزیکی ( Physical Protection ) تشخیص هویت ( Authenticity ) حدود اختیارات ( Authority ) پاسخ گویی ( Accountability ) حریم خصوصی ( Privacy ) آگاهی رسانی ( Security Awareness )
  19. 19. راهبردهای تأمین امنیت شبکه <ul><li>راهبردهای کوتاه مدت </li></ul><ul><li>راهبردهای میان مدت </li></ul>
  20. 20. راهبردهای کوتاه مدت <ul><li>شناسایی و رفع ضعف های امنیتی شبکه </li></ul><ul><li>آگاهی رسانی به کاربران </li></ul><ul><li>کاربران ارتباطات شبکه سازمان با سایر شبکه ها </li></ul>
  21. 21. راهبردهای میان مدت <ul><li>تهیه طرح ها و برنامه های امنیت شبکه </li></ul><ul><li>ایجاد و آماده سازی تشکیلات تأمین امنیت شبکه </li></ul>
  22. 22. ایجاد و آماده سازی تشکیلات تأمین امنیت شبکه <ul><li>ساختار و شرح وظایف تشکیلات مورد نیاز به منظور تأمین تداوم امنیت شبکه </li></ul><ul><li>اقدامات لازم به منظور ایجاد تشکیلات </li></ul><ul><li>آموزش های لازم جهت آماده سازی تشکیلات فوق به منظور پذیرش مسولیت </li></ul>
  23. 23. تشکیلات تأمین امنیت شبکه <ul><li>اجزاء و ساختار تشکیلات </li></ul><ul><li>شرح وظایف تشکیلات </li></ul>
  24. 24. اجزاء و ساختار تشکیلات <ul><li>در سطح راهبردی و سیاست گذاری : کمیته راهبری امنیت شبکه </li></ul><ul><li>در سطح مدیریت اجرایی : مدیر امنیت شبکه </li></ul><ul><li>در سطح فنی : واحد پشتیبانی امنیت شبکه </li></ul>
  25. 26. شرح وظایف تشکیلات <ul><li>کمیته راهبری </li></ul><ul><li>بررسی،تغییر و تصویب سیاست های امنیتی شبکه </li></ul><ul><li>پیگیری اجرای سیاست های امنیتی از مدیر امنیت شبکه </li></ul><ul><li>تایید طرح ها و برنامه های امنیت شبکه </li></ul><ul><li>بررسی ضرورت تغییر سیاست های امنیتی شبکه </li></ul><ul><li>بررسی، تغییر و تصویب تغییرات سیاست های امنیتی شبکه </li></ul>
  26. 27. شرح وظایف تشکیلات <ul><li>مدیر امنیت شبکه </li></ul><ul><li>تهیه پیشنویس سیاست های امنیتی شبکه و ارائه به کمیته راهبری </li></ul><ul><li>نظارت بر اجرای کامل سیاست های امنیتی </li></ul><ul><li>تهیه طرح ها و برنامه های امنیت شبکه </li></ul><ul><li>مدیریت واحد پشتیبانی امنیت شبکه </li></ul><ul><li>تشخیص ضرورت و پیشنهاد بازنگری و اصلاح سیاست های امنیتی شبکه </li></ul><ul><li>تهیه پیشنویس تغییرات سیاست های امنیتی شبکه </li></ul>
  27. 28. شرح وظایف تشکیلات <ul><li>واحد پشتیبانی امنیت </li></ul><ul><li>تشخیص و مقابله با تهاجم </li></ul><ul><li>تشخیص و مقابله با ویروس </li></ul><ul><li>تشخیص وپشتیبانی حوادث فیزیکی </li></ul><ul><li>شرح وظایف نظارت و بازرسی امنیتی شبکه </li></ul><ul><li>شرح وظایف مدیریت تغییرات </li></ul><ul><li>شرح وظایف نگهداری امنیت شبکه </li></ul>
  28. 29. سیاست های امنیتی شبکه <ul><li>سیاست های امنیتی سرویس های شبکه </li></ul><ul><li>سیاست های امنیتی سخت افزارها </li></ul><ul><li>سیاست های امنیتی نرم افزارها </li></ul>
  29. 30. سیاست امنیتی سرویس های شبکه <ul><li>سیاست امنیتی سرویس دسترسی به شبکه داخلی </li></ul><ul><li>سیاست امنیتی سرویس دسترسی به شبکه اینترنت </li></ul><ul><li>سیاست امنیتی سرویس Web </li></ul><ul><li>سیاست امنیتی سرویس E-mail </li></ul><ul><li>سیاست امنیتی سرویس Wireless </li></ul><ul><li>سیاست امنیتی سرویس Print Sharing </li></ul>
  30. 31. سیاست امنیتی سخت افزارها <ul><li>اولویت بندی سخت افزارهای شبکه سازمان </li></ul><ul><li>سیاست های امنیتی ایستگاه های کاری </li></ul><ul><li>سیاست های امنیتی سرویس دهنده های شبکه </li></ul><ul><li>سیاست های امنیتی تجهیزات زیر ساختار شبکه </li></ul><ul><li>سیاست های امنیتی استفاده از تجهیزات بی سیم </li></ul><ul><li>سیاست های امنیتی سفارش،خرید،تست،نصب و پیکر بندی </li></ul>
  31. 32. سیاست های امنیتی نرم افزارها <ul><li>اولویت بندی های نرم افزارهای شبکه </li></ul><ul><li>سیاست های امنیتی سیستم عامل های مورد استفاده در شبکه </li></ul><ul><li>سیاست های امنیتی سفارش،خرید،تست،نصب و پیکر بندی </li></ul><ul><li>سیاست های مدیریت رمز عبور </li></ul>
  32. 33. چارچوب پیشنهادی برای طرح ارزیابی مخاطرات امنیتی شبکه <ul><li>مخاطرات امنیتی معماری شبکه </li></ul><ul><li>مخاطرات امنیتی تجهیزات شبکه </li></ul><ul><li>مخاطرات امنیتی مدیریت و نگهداری شبکه </li></ul>
  33. 34. مخاطرات امنیتی معماری شبکه <ul><li>ساختار شبکه </li></ul><ul><li>تجهیزات شبکه،نوع،مدل و آدرس IP </li></ul><ul><li>نوع و ظرفیت خطوط ارتباطی </li></ul><ul><li>ارتباطات شبکه با سایر شبکه ها در حیطه سازمان </li></ul><ul><li>ارتباطات شبکه با سایر شبکه ها در خارج از حیطه سازمان </li></ul><ul><li>نحوه تامین برق برای تجهیزات و سرویس دهنده ها </li></ul><ul><li>سخت افزارها و نرم افزارهای امنیت شبکه </li></ul><ul><li>Data Flow دسترسی کاربران داخلی </li></ul>
  34. 35. مخاطرات امنیتی معماری شبکه <ul><li>ساختار آدرس دهی و مسیر یابی شبکه </li></ul><ul><li>محدوده آدرس های IP مورد استفاده در شبکه </li></ul><ul><li>لیست حوزه های کاری ( Domain ) و گروهای کاری ( Work Group ) </li></ul>
  35. 36. مخاطرات امنیتی معماری شبکه <ul><li>ساختار دسترسی به شبکه </li></ul><ul><li>دسترسی فیزیکی به شبکه </li></ul><ul><li>دسترسی منطقی به شبکه </li></ul>
  36. 37. دسترسی فیزیکی به شبکه <ul><li>محافظت فیزیکی از تجهیزات و سرویس دهنده های مسقر در سایت شبکه سازمان </li></ul><ul><li>محافظت فیزیکی از تجهیزات مسقر در طبقات ساختمان </li></ul><ul><li>محافظت فیزیکی از تجهیزات و سرویس دهنده های مسقر در ادارات مختلف </li></ul><ul><li>محافظت فیزیکی از خطوط ارتباطی شبکه </li></ul>
  37. 38. دسترسی منطقی به شبکه <ul><li>امکان دسترسی غیر مجاز در سطح عادی یا مدیریتی به شبکه </li></ul><ul><li>امکان دسترسی غیر مجاز از طریق Remote Access در سطح عادی یا مدیریتی به شبکه </li></ul>
  38. 39. مخاطرات امنیتی تجهیزات شبکه <ul><li>سوییچ ها ( Switch ) </li></ul><ul><li>مسیر یاب ها ( Router ) </li></ul>
  39. 40. مخاطرات امنیتی مدیریت و نگهداری شبکه <ul><li>تشکیلات و روش های مدیریت و نگهداری شبکه </li></ul><ul><li>ابزارها و مکانیزم های مدیریت شبکه </li></ul>
  40. 41. چارچوب پیشنهادی برای طرح امنیت شبکه <ul><li>اهداف و روش های تامین امنیت در طرح امنیت شبکه </li></ul><ul><li>معماری،ساختار و مشخصات سیستم امنیتی شبکه </li></ul><ul><li>تخمین هزینه و اجرای طرح امنیت شبکه </li></ul>
  41. 42. اهداف و روش های تامین امنیت در طرح امنیت شبکه <ul><li>ساختار شبکه </li></ul><ul><li>اهداف طرح امنیت شبکه </li></ul><ul><li>روش های تامین امنیت در طرح امنیت شبکه </li></ul>
  42. 43. روش های تامین امنیت شبکه اهداف طرح امنیت روش های تامین اهداف تمهیدات مورد نیاز محرمانگی اطلاعات و ارتباطات مدیریتی <ul><li>ایمن سازی ارتباطات مدیریتی </li></ul><ul><li>جداسازی ارتباطات مدیریتی،بویژه ارتباطات مدیریت امنیت شبکه </li></ul><ul><li>استفاده از پروتکل های امن مدیریتی </li></ul><ul><li>ایجاد زیر ساخت مستفل برای مدیریت شبکه،بویژه مدیریت امنیت شبکه </li></ul>صحت عملکرد تجهیزات شبکه پیکربندی امن تجهیزات ارائه دستورالعمل های پیکربندی امن تجهیزات صحت عملکرد سرویس دهنده ها <ul><li>پیکربندی امن سیستم عامل سرویس دهنده </li></ul><ul><li>پیکربندی امن نرم افزارها سرویس </li></ul><ul><li>ارائه دستورالعمل های پیکربندی امن سیستم عامل سرویس دهنده ها </li></ul><ul><li>ارائه دستورالعمل های پیکربندی امن نرم افزارها سرویس های شبکه </li></ul>
  43. 44. روش های تامین امنیت شبکه اهداف طرح امنیت روش های تامین اهداف تمهیدات مورد نیاز تشخیص هویت کاربران مدیریتی <ul><li>Authentication کاربران مدیریت </li></ul>استفاده از AAA Server و مکانیزم های تشخیص هویت نرم افزارهای مدیریتی شبکه تشخیص هویت کاربران محلی Authentication کاربران محلی استفاده از تصدیق هویت Domain Controller یا AAA مستقل تشخیص هویت کاربران راه دور Authentication کاربران راه دور استفاده از قابلیت Remote Access Server یا AAA Server مستقل
  44. 45. معماری،ساختار و مشخصات سیستم امنیتی شبکه <ul><li>معماری امنیت شبکه </li></ul><ul><li>ساختار شماتیک طرح امنیت شبکه </li></ul><ul><li>مشخصات فنی ابزارهای امنیت شبکه </li></ul><ul><li>جریان اطلاعات در طرح امنیت شبکه </li></ul>
  45. 46. معماری پیشنهادی برای تأمین امنیت شبکه امنیت کاربردها امنیت سیستم ها امنیت ارتباطات شبکه امنیت زیر ساخت شبکه
  46. 47. امنیت ارتباطات شبکه <ul><li>Firewall </li></ul><ul><li>Network Based Intrusion Detection & Prevention System </li></ul><ul><li>Network Based Intrusion Detection System (N-IDS) </li></ul><ul><li>Network Based Antivirus Software </li></ul><ul><li>Authentication Authorization & Analyzer Software </li></ul><ul><li>Log Server & Log Analyzer Software </li></ul><ul><li>Monitoring Software </li></ul>
  47. 48. امنیت سیستم ها ( سرویس دهنده ها ) <ul><li>Host Based Intrusion Detection System (H-IDS) </li></ul><ul><li>Server Based Antivirus Software </li></ul><ul><li>Log Server & Log Analyzer Software </li></ul><ul><li>Vulnerability Scanner </li></ul>
  48. 49. امنیت سیستم ها ( ایستگاه ها ) <ul><li>Client Based Antivirus Software (C-AV) </li></ul><ul><li>Log Server & Log Analyzer Software </li></ul><ul><li>Vulnerability Scanner </li></ul>
  49. 50. امنیت کاربردها ( نرم افزار سرویس ها ) <ul><li>Host Based Intrusion Detection System (H-IDS) </li></ul><ul><li>Server Based Antivirus Software (S-AV) </li></ul><ul><li>Log Server & Log Analyzer Software </li></ul><ul><li>Vulnerability Scanner </li></ul><ul><li>E-Mail Content Filter (E-mail Server) </li></ul>
  50. 51. مشخصات فنی ابزارهای امنیت شبکه <ul><li>مشخصات فنی فایروال </li></ul><ul><li>مشخصات فنی سیستم ضد ویروس </li></ul><ul><li>مشخصات فنی سیستم تشخیص و مقابله با تهاجم </li></ul><ul><li>مشخصات فنی دروازه های امنیتی </li></ul>
  51. 52. تخمین هزینه و اجرای طرح امنیت شبکه <ul><li>لیست و تخمین هزینه طرح امنیت شبکه </li></ul><ul><li>اجرای طرح امنیت شبکه </li></ul>
  52. 53. <ul><li>ساختار تیم پشتیبانی حوادث </li></ul><ul><li>متدولوژی پشتیبانی حوادث </li></ul><ul><li>الگوی پشتیبانی حوادث </li></ul>چارچوب پیشنهادی برای طرح پشتیبانی حوادث شبکه
  53. 54. متدولوژی پشتیبانی حوادث آماده سازی تشخیص و تحلیل محدود سازی،ریشه کنی و ترمیم فعالیت های بعد از ترمیم

×