12 istm information security management-amn

‫מערכות‬ ‫ניהול‬‫מערכות‬ ‫ניהול‬
‫מידע‬ ‫וטכנולוגיות‬‫מידע‬ ‫וטכנולוגיות‬
‫הארגוני‬ ‫המידע‬ ‫אבטחת‬ ‫של‬ ‫ניהול‬‫הארגוני‬ ‫המידע‬ ‫אבטחת‬ ‫של‬ ‫ניהול‬
Information Security ManagementInformation Security Management
‫ד‬‫ד‬""‫פינק‬ ‫ליאור‬ ‫ר‬‫פינק‬ ‫ליאור‬ ‫ר‬
‫אלבי‬ ‫אמנו‬‫אלבי‬ ‫אמנו‬
‫ב‬ ‫אוניברסיטת‬‫ב‬ ‫אוניברסיטת‬--‫בנגב‬ ‫גוריו‬‫בנגב‬ ‫גוריו‬
‫וניהול‬ ‫תעשיה‬ ‫להנדסת‬ ‫המחלקה‬‫וניהול‬ ‫תעשיה‬ ‫להנדסת‬ ‫המחלקה‬
‫שיעור‬9

‫הארגוני‬ ‫המידע‬ ‫אבטחת‬ ‫ניהול‬ 228‫מאי‬12
‫הבעיה‬‫הבעיה‬
‫לפשיעה‬ ‫אטרקטיבית‬ ‫תשתית‬ ‫מהווה‬ ‫האינטרנט‬‫לפשיעה‬ ‫אטרקטיבית‬ ‫תשתית‬ ‫מהווה‬ ‫האינטרנט‬––
‫גדולי‬ ‫מסחר‬ ‫היקפי‬‫גדולי‬ ‫מסחר‬ ‫היקפי‬,,‫נמו‬ ‫סיכו‬‫נמו‬ ‫סיכו‬,,‫יחסית‬ ‫אנונימיות‬‫יחסית‬ ‫אנונימיות‬
‫עקי‬ ‫ונזק‬ ‫ישיר‬ ‫נזק‬‫עקי‬ ‫ונזק‬ ‫ישיר‬ ‫נזק‬
‫התופעה‬ ‫היק‬ ‫את‬ ‫להערי‬ ‫קושי‬‫התופעה‬ ‫היק‬ ‫את‬ ‫להערי‬ ‫קושי‬
‫כל‬ ‫לא‬‫כל‬ ‫לא‬""‫וירטואלי‬ ‫פושע‬‫וירטואלי‬ ‫פושע‬) ") "cybercriminalcybercriminal((‫מעוניי‬‫מעוניי‬
‫בכס‬‫בכס‬))‫לדוגמא‬‫לדוגמא‬,,‫אידיאולוגיי‬ ‫מניעי‬ ‫או‬ ‫ונדליז‬‫אידיאולוגיי‬ ‫מניעי‬ ‫או‬ ‫ונדליז‬((
‫כספי‬ ‫ג‬ ‫הוא‬ ‫הנזק‬‫כספי‬ ‫ג‬ ‫הוא‬ ‫הנזק‬,,‫בדימוי‬ ‫בפגיעה‬ ‫מתבטא‬ ‫ג‬ ‫א‬‫בדימוי‬ ‫בפגיעה‬ ‫מתבטא‬ ‫ג‬ ‫א‬
‫החברה‬ ‫של‬ ‫ובמוניטי‬‫החברה‬ ‫של‬ ‫ובמוניטי‬

‫מידע‬ ‫מערכות‬ ‫סיכוני‬‫מידע‬ ‫מערכות‬ ‫סיכוני‬
‫רבי‬ ‫נכסי‬ ‫ה‬ ‫עצמו‬ ‫והמידע‬ ‫המידע‬ ‫מערכות‬‫רבי‬ ‫נכסי‬ ‫ה‬ ‫עצמו‬ ‫והמידע‬ ‫המידע‬ ‫מערכות‬--‫ער‬‫ער‬
‫הארגו‬ ‫עבור‬‫הארגו‬ ‫עבור‬
‫אפשריי‬ ‫סיכוני‬‫אפשריי‬ ‫סיכוני‬::
‫פיזי‬ ‫נזק‬‫פיזי‬ ‫נזק‬))‫אש‬‫אש‬,,‫שיטפו‬‫שיטפו‬,,‫אסו‬‫אסו‬((
‫פנימי‬ ‫אנושי‬ ‫מגור‬ ‫נזק‬‫פנימי‬ ‫אנושי‬ ‫מגור‬ ‫נזק‬))‫בזדו‬ ‫או‬ ‫בתמימות‬‫בזדו‬ ‫או‬ ‫בתמימות‬((
‫חיצוני‬ ‫אנושי‬ ‫מגור‬ ‫נזק‬‫חיצוני‬ ‫אנושי‬ ‫מגור‬ ‫נזק‬))‫וירוסי‬‫וירוסי‬,,‫פורצי‬‫פורצי‬––HackersHackers((
‫טכניות‬ ‫תקלות‬‫טכניות‬ ‫תקלות‬
‫עיקרי‬ ‫אחריות‬ ‫תחו‬ ‫הינה‬ ‫מידע‬ ‫מערכות‬ ‫אבטחת‬‫עיקרי‬ ‫אחריות‬ ‫תחו‬ ‫הינה‬ ‫מידע‬ ‫מערכות‬ ‫אבטחת‬
‫מידע‬ ‫מערכות‬ ‫יחידת‬ ‫של‬‫מידע‬ ‫מערכות‬ ‫יחידת‬ ‫של‬

‫הסיכוני‬ ‫ניהול‬‫הסיכוני‬ ‫ניהול‬
‫סיכוני‬ ‫סוגי‬
‫טבע‬ ‫נזקי‬
‫אד‬ ‫בני‬
‫תפעוליי‬ ‫גורמי‬←‫חשמל‬ ‫הפסקת‬
‫סיכוני‬ ‫ניהול‬
‫זיהוי‬
‫חומרה‬ ‫הערכת‬
‫פתרו‬ ‫של‬ ‫בחירה‬:‫התחמקות‬,‫פתרו‬ ‫ללא‬ ‫אימו‬,‫הקטנה‬,‫העברה‬
‫שוט‬ ‫סיכוני‬ ‫ניהול‬:‫מדידה‬,‫בקרה‬

‫מוחלטת‬ ‫אבטחה‬ ‫אי‬ ‫מדוע‬‫מוחלטת‬ ‫אבטחה‬ ‫אי‬ ‫מדוע‬
‫באבטחה‬ ‫הקשורות‬ ‫עלויות‬‫באבטחה‬ ‫הקשורות‬ ‫עלויות‬
‫המשתמש‬ ‫בנוחות‬ ‫פגיעה‬‫המשתמש‬ ‫בנוחות‬ ‫פגיעה‬))Ease of useEase of use((
‫ציבורית‬ ‫מבחינה‬‫ציבורית‬ ‫מבחינה‬,,‫של‬ ‫הצור‬ ‫בי‬ ‫מתח‬ ‫ישנו‬‫של‬ ‫הצור‬ ‫בי‬ ‫מתח‬ ‫ישנו‬
‫ולאסו‬ ‫התקשורת‬ ‫רשתות‬ ‫את‬ ‫לנטר‬ ‫הממשל‬‫ולאסו‬ ‫התקשורת‬ ‫רשתות‬ ‫את‬ ‫לנטר‬ ‫הממשל‬
‫לפרטיות‬ ‫האזרחי‬ ‫זכות‬ ‫ובי‬ ‫מידע‬‫לפרטיות‬ ‫האזרחי‬ ‫זכות‬ ‫ובי‬ ‫מידע‬

‫תורפה‬ ‫נקודות‬
‫פגיעות‬ ‫סוגי‬

‫האינטרנט‬ ‫ברשת‬ ‫פגיעות‬ ‫נקודות‬‫האינטרנט‬ ‫ברשת‬ ‫פגיעות‬ ‫נקודות‬
Source: Laudon and Laudon (2004)

‫אלקטרונית‬ ‫בתקשורת‬ ‫אבטחה‬ ‫מימדי‬‫אלקטרונית‬ ‫בתקשורת‬ ‫אבטחה‬ ‫מימדי‬
IntegrityIntegrity ‫עצמו‬ ‫את‬ ‫מציג‬ ‫שהוא‬ ‫מי‬ ‫באמת‬ ‫הוא‬ ‫הגולש‬ ‫הא‬?
‫מיהו‬ ‫אומר‬ ‫הגולש‬/‫במשהו‬ ‫מחזיק‬/‫מאפיי‬‫שלו‬ ‫רק‬
Non RepudiationNon Repudiation ‫הכחשה‬ ‫אי‬
AuthenticityAuthenticity ‫זיהוי‬/‫הרשאה‬
ConfidentialityConfidentiality ‫סודיות‬
PrivacyPrivacy ‫פרטיות‬
AvailabilityAvailability ‫זמינות‬/‫מיותרת‬ ‫הצפנה‬ ‫למנוע‬

‫עיקריי‬ ‫אבטחה‬ ‫איומי‬‫עיקריי‬ ‫אבטחה‬ ‫איומי‬
Malicious codeMalicious code
Hacking and cybervandalismHacking and cybervandalism
Credit card fraud/theftCredit card fraud/theft
Spoofing/phishingSpoofing/phishing
Denial of service attacksDenial of service attacks
SniffingSniffing
Insider jobsInsider jobs

Malicious CodeMalicious Code
‫איומי‬ ‫של‬ ‫קטגוריה‬‫איומי‬ ‫של‬ ‫קטגוריה‬,,‫קוד‬ ‫של‬ ‫שוני‬ ‫סוגי‬ ‫הכוללת‬‫קוד‬ ‫של‬ ‫שוני‬ ‫סוגי‬ ‫הכוללת‬
‫נזק‬ ‫לעשות‬ ‫שנועד‬ ‫תוכנה‬‫נזק‬ ‫לעשות‬ ‫שנועד‬ ‫תוכנה‬::
VirusVirus––‫את‬ ‫לשכפל‬ ‫היכולת‬ ‫את‬ ‫לה‬ ‫שיש‬ ‫מחשב‬ ‫תוכנת‬‫את‬ ‫לשכפל‬ ‫היכולת‬ ‫את‬ ‫לה‬ ‫שיש‬ ‫מחשב‬ ‫תוכנת‬
‫אחרי‬ ‫לקבצי‬ ‫ולהתפשט‬ ‫עצמה‬‫אחרי‬ ‫לקבצי‬ ‫ולהתפשט‬ ‫עצמה‬,,‫נזק‬ ‫גרימת‬ ‫תו‬ ‫כלל‬ ‫בדר‬‫נזק‬ ‫גרימת‬ ‫תו‬ ‫כלל‬ ‫בדר‬
‫כלשהו‬‫כלשהו‬))Macro, FileMacro, File--infecting, Scriptinfecting, Script((
WormWorm––‫למחשב‬ ‫ממחשב‬ ‫להתפשט‬ ‫שמטרתו‬ ‫תוכנה‬ ‫קוד‬‫למחשב‬ ‫ממחשב‬ ‫להתפשט‬ ‫שמטרתו‬ ‫תוכנה‬ ‫קוד‬
Trojan horseTrojan horse––‫למשתמש‬ ‫טבעי‬ ‫נראה‬‫למשתמש‬ ‫טבעי‬ ‫נראה‬,,‫מבצע‬ ‫אז‬ ‫אול‬‫מבצע‬ ‫אז‬ ‫אול‬
‫צפויות‬ ‫בלתי‬ ‫פעילויות‬‫צפויות‬ ‫בלתי‬ ‫פעילויות‬

Hacking and CybervandalismHacking and Cybervandalism
HackerHacker––‫מורשית‬ ‫בלתי‬ ‫גישה‬ ‫להשיג‬ ‫המנסה‬ ‫אד‬‫מורשית‬ ‫בלתי‬ ‫גישה‬ ‫להשיג‬ ‫המנסה‬ ‫אד‬
‫מחשב‬ ‫למערכת‬‫מחשב‬ ‫למערכת‬
CrackerCracker––‫פלילית‬ ‫כוונה‬ ‫בעל‬ ‫האקר‬‫פלילית‬ ‫כוונה‬ ‫בעל‬ ‫האקר‬
White hatsWhite hats––‫האקרי‬‫האקרי‬""‫טובי‬‫טובי‬""‫לארגוני‬ ‫המסייעי‬‫לארגוני‬ ‫המסייעי‬
‫אבטחה‬ ‫פרצות‬ ‫ולתק‬ ‫לאתר‬‫אבטחה‬ ‫פרצות‬ ‫ולתק‬ ‫לאתר‬))‫חוזה‬ ‫תחת‬‫חוזה‬ ‫תחת‬((
Black hatsBlack hats––‫נזק‬ ‫כוונת‬ ‫בעלי‬ ‫האקרי‬‫נזק‬ ‫כוונת‬ ‫בעלי‬ ‫האקרי‬))‫של‬ ‫רצונו‬ ‫בלא‬‫של‬ ‫רצונו‬ ‫בלא‬
‫המטרה‬ ‫ארגו‬‫המטרה‬ ‫ארגו‬((
Grey hatsGrey hats––‫לטובת‬ ‫פועלי‬ ‫שה‬ ‫המאמיני‬ ‫האקרי‬‫לטובת‬ ‫פועלי‬ ‫שה‬ ‫המאמיני‬ ‫האקרי‬
‫בלא‬ ‫אבטחה‬ ‫פרצות‬ ‫ומפרסמי‬ ‫פורצי‬ ‫שה‬ ‫בכ‬ ‫הכלל‬‫בלא‬ ‫אבטחה‬ ‫פרצות‬ ‫ומפרסמי‬ ‫פורצי‬ ‫שה‬ ‫בכ‬ ‫הכלל‬
‫נזק‬ ‫לגרו‬‫נזק‬ ‫לגרו‬

Credit Card FraudCredit Card Fraud
‫זה‬ ‫מאיו‬ ‫חשש‬ ‫מתו‬ ‫באינטרנט‬ ‫רוכשי‬ ‫אינ‬ ‫רבי‬ ‫אנשי‬‫זה‬ ‫מאיו‬ ‫חשש‬ ‫מתו‬ ‫באינטרנט‬ ‫רוכשי‬ ‫אינ‬ ‫רבי‬ ‫אנשי‬
‫בפועל‬‫בפועל‬,,‫חושבי‬ ‫שאנשי‬ ‫ממה‬ ‫יותר‬ ‫הרבה‬ ‫קט‬ ‫זה‬ ‫איו‬‫חושבי‬ ‫שאנשי‬ ‫ממה‬ ‫יותר‬ ‫הרבה‬ ‫קט‬ ‫זה‬ ‫איו‬
Spoofing/PhishingSpoofing/Phishing
SpoofingSpoofing––‫לא‬ ‫ייצוג‬‫לא‬ ‫ייצוג‬--‫שימוש‬ ‫באמצעות‬ ‫עצמ‬ ‫של‬ ‫אמיתי‬‫שימוש‬ ‫באמצעות‬ ‫עצמ‬ ‫של‬ ‫אמיתי‬
‫דוא‬ ‫בכתובת‬‫דוא‬ ‫בכתובת‬""‫אחר‬ ‫למישהו‬ ‫התחזות‬ ‫או‬ ‫מזויפת‬ ‫ל‬‫אחר‬ ‫למישהו‬ ‫התחזות‬ ‫או‬ ‫מזויפת‬ ‫ל‬
PhishingPhishing--‫לכתובת‬ ‫קישור‬ ‫להפניית‬ ‫מתייחס‬ ‫ג‬ ‫זה‬ ‫מושג‬‫לכתובת‬ ‫קישור‬ ‫להפניית‬ ‫מתייחס‬ ‫ג‬ ‫זה‬ ‫מושג‬
‫מהמתכוו‬ ‫שונה‬ ‫אינטרנט‬‫מהמתכוו‬ ‫שונה‬ ‫אינטרנט‬,,‫הרצוי‬ ‫ליעד‬ ‫מתחזה‬ ‫האתר‬ ‫כאשר‬‫הרצוי‬ ‫ליעד‬ ‫מתחזה‬ ‫האתר‬ ‫כאשר‬

Denial of Service (DoS) attackDenial of Service (DoS) attack
‫על‬ ‫מיותרת‬ ‫תעבורה‬ ‫ע‬ ‫אינטרנט‬ ‫אתר‬ ‫להצפת‬ ‫מתייחס‬ ‫זה‬ ‫מושג‬‫על‬ ‫מיותרת‬ ‫תעבורה‬ ‫ע‬ ‫אינטרנט‬ ‫אתר‬ ‫להצפת‬ ‫מתייחס‬ ‫זה‬ ‫מושג‬
‫האתר‬ ‫את‬ ‫להפיל‬ ‫מנת‬‫האתר‬ ‫את‬ ‫להפיל‬ ‫מנת‬::
‫רלוונטי‬ ‫לא‬ ‫להיות‬ ‫הופ‬ ‫השירות‬ ‫אשר‬ ‫עד‬ ‫מתאר‬ ‫תגובה‬ ‫זמ‬‫רלוונטי‬ ‫לא‬ ‫להיות‬ ‫הופ‬ ‫השירות‬ ‫אשר‬ ‫עד‬ ‫מתאר‬ ‫תגובה‬ ‫זמ‬
‫ליכולתו‬ ‫מעבר‬ ‫עומס‬ ‫ע‬ ‫מתמודד‬ ‫השרת‬‫ליכולתו‬ ‫מעבר‬ ‫עומס‬ ‫ע‬ ‫מתמודד‬ ‫השרת‬
‫לאזורי‬ ‫מגיעות‬ ‫או‬ ‫מידע‬ ‫הורסות‬ ‫אינ‬ ‫אלה‬ ‫שהתקפות‬ ‫למרות‬‫לאזורי‬ ‫מגיעות‬ ‫או‬ ‫מידע‬ ‫הורסות‬ ‫אינ‬ ‫אלה‬ ‫שהתקפות‬ ‫למרות‬
‫השרת‬ ‫של‬ ‫חסויי‬‫השרת‬ ‫של‬ ‫חסויי‬,,‫הפסד‬ ‫וגוררות‬ ‫החברה‬ ‫לפעילות‬ ‫מפריעות‬ ‫ה‬‫הפסד‬ ‫וגוררות‬ ‫החברה‬ ‫לפעילות‬ ‫מפריעות‬ ‫ה‬
‫ותדמיתי‬ ‫כספי‬‫ותדמיתי‬ ‫כספי‬
Distributed DoSDistributed DoS––‫לתקו‬ ‫מנת‬ ‫על‬ ‫מחשבי‬ ‫במספר‬ ‫שימוש‬‫לתקו‬ ‫מנת‬ ‫על‬ ‫מחשבי‬ ‫במספר‬ ‫שימוש‬
‫המטרה‬ ‫רשת‬ ‫את‬‫המטרה‬ ‫רשת‬ ‫את‬

SniffingSniffing
SnifferSniffer––‫האזנה‬ ‫תוכנת‬ ‫של‬ ‫סוג‬‫האזנה‬ ‫תוכנת‬ ‫של‬ ‫סוג‬,,‫מידע‬ ‫המנטרת‬‫מידע‬ ‫המנטרת‬
‫ברשת‬ ‫העובר‬‫ברשת‬ ‫העובר‬
Insider JobsInsider Jobs
‫מגורמי‬ ‫דווקא‬ ‫לאו‬ ‫מגיע‬ ‫ביותר‬ ‫המשמעותיי‬ ‫האיומי‬ ‫אחד‬‫מגורמי‬ ‫דווקא‬ ‫לאו‬ ‫מגיע‬ ‫ביותר‬ ‫המשמעותיי‬ ‫האיומי‬ ‫אחד‬
‫הארגו‬ ‫בתו‬ ‫מאנשי‬ ‫אלא‬ ‫חיצוניי‬‫הארגו‬ ‫בתו‬ ‫מאנשי‬ ‫אלא‬ ‫חיצוניי‬

‫האסימטרית‬ ‫ההצפנה‬

‫טכנולוגיי‬ ‫פתרונות‬‫טכנולוגיי‬ ‫פתרונות‬
Encryption:Encryption:
Symmetric key encryptionSymmetric key encryption
Public key encryptionPublic key encryption
Digital envelopeDigital envelope
Digital certificateDigital certificate

‫ופרטי‬ ‫ציבורי‬ ‫מפתח‬ ‫בשיטת‬ ‫ההצפנה‬)1(
‫צירופי‬ ‫מנעול‬ ‫תלוי‬ ‫שעליה‬ ‫פתוחה‬ ‫תיבה‬ ‫לנעמי‬ ‫שולח‬ ‫אמנו‬
‫פתוח‬.
‫הסודי‬ ‫הצירו‬ ‫בידיעת‬ ‫צור‬ ‫אי‬ ‫המנעול‬ ‫לסגירת‬.
‫טביעת‬ ‫בצירו‬ ‫אותה‬ ‫ולנעול‬ ‫מכתב‬ ‫בתיבה‬ ‫לשי‬ ‫יכולה‬ ‫נעמי‬
‫המכתב‬ ‫גבי‬ ‫על‬ ‫שלה‬ ‫אצבע‬.‫את‬ ‫לשלוח‬ ‫יכולה‬ ‫היא‬ ‫כעת‬
‫חשש‬ ‫ללא‬ ‫לאמנו‬ ‫התיבה‬.
‫הסודי‬ ‫הצירו‬ ‫את‬ ‫מכיר‬ ‫אמנו‬ ‫רק‬,‫את‬ ‫לפתוח‬ ‫מסוגל‬ ‫הוא‬ ‫רק‬
‫המכתב‬ ‫את‬ ‫ולקרוא‬ ‫התיבה‬.
‫היא‬ ‫כי‬ ‫מוכיחה‬ ‫נעמי‬ ‫של‬ ‫האצבע‬ ‫טביעת‬‫היא‬‫את‬ ‫שלחה‬ ‫אשר‬
‫המכתב‬
‫לאחר‬ ‫התיבה‬ ‫את‬ ‫לפתוח‬ ‫מסוגלת‬ ‫אינה‬ ‫עצמה‬ ‫נעמי‬ ‫אפילו‬
‫אותה‬ ‫שנעלה‬

‫ופרטי‬ ‫ציבורי‬ ‫מפתח‬ ‫בשיטת‬ ‫ההצפנה‬)2(
‫פומבי‬ ‫מפתח‬ ‫הצפנת‬)‫ציבורי‬ ‫מפתח‬ ‫או‬(‫ב‬ ‫ענ‬ ‫היא‬‫קריפטוגרפיה‬‫ג‬ ‫הנקרא‬
‫הפענוח‬ ‫ממפתח‬ ‫שונה‬ ‫ההצפנה‬ ‫מפתח‬ ‫בה‬ ‫אשר‬ ‫אסימטרית‬ ‫הצפנה‬.
‫לעצמו‬ ‫מכי‬ ‫משתמש‬ ‫כל‬‫מפתחות‬ ‫זוג‬:‫פומבי‬ ‫מפתח‬)Public key(‫שהוא‬
‫פרטי‬ ‫ומפתח‬ ‫לכל‬ ‫הנגיש‬ ‫הצפנה‬ ‫מפתח‬)Private key(‫מתאי‬,‫בסוד‬ ‫הנשמר‬
‫לפענוח‬ ‫ומשמש‬.
‫הנה‬ ‫ההתאמה‬‫חד‬-‫חד‬‫ערכית‬)‫פרטי‬ ‫מפתח‬ ‫ורק‬ ‫א‬ ‫קיי‬ ‫פומבי‬ ‫מפתח‬ ‫לכל‬
‫לו‬ ‫המתאי‬ ‫יחיד‬.(‫זו‬ ‫בשיטה‬ ‫מסר‬ ‫להצפי‬ ‫כדי‬,‫עותק‬ ‫לידיו‬ ‫להשיג‬ ‫המצפי‬ ‫על‬
‫המקבל‬ ‫של‬ ‫הפומבי‬ ‫המפתח‬ ‫של‬ ‫אותנטי‬,‫את‬ ‫לו‬ ‫ושולח‬ ‫מצפי‬ ‫הוא‬ ‫בעזרתו‬
‫המסר‬.‫הפרטי‬ ‫המפתח‬ ‫בעזרת‬ ‫המוצפ‬ ‫הטקסט‬ ‫את‬ ‫לשחזר‬ ‫מסוגל‬ ‫המקבל‬ ‫רק‬
‫שברשותו‬ ‫המתאי‬.
‫שב‬ ‫הקושי‬ ‫על‬ ‫נשענת‬ ‫פומבי‬ ‫מפתח‬ ‫שיטת‬ ‫בטיחות‬‫חישוב‬‫מתו‬ ‫הפרטי‬ ‫המפתח‬
‫הפומבי‬ ‫המפתח‬.‫א‬ ‫זו‬ ‫שיטה‬ ‫מכונה‬ ‫זו‬ ‫מסיבה‬-‫סימטרית‬,‫הצפנה‬ ‫לשיטת‬ ‫בניגוד‬
‫סימטרית‬‫ההצפנה‬ ‫למפתח‬ ‫זהה‬ ‫הפענוח‬ ‫מפתח‬ ‫שבה‬)‫נית‬ ‫פני‬ ‫כל‬ ‫על‬
‫ההצפנה‬ ‫מפתח‬ ‫מתו‬ ‫בקלות‬ ‫לחישוב‬.(

.1‫השרת‬ ‫אל‬ ‫פונה‬ ‫הדפדפ‬
.2‫הדפדפ‬ ‫אל‬ ‫התעודה‬ ‫את‬ ‫שולח‬ ‫השרת‬
.3‫המפתח‬ ‫את‬ ‫התעודה‬ ‫מ‬ ‫שול‬ ‫הדפדפ‬‫הציבורי‬‫השרת‬ ‫של‬
.4‫הדפדפ‬‫מייצר‬‫הצפנה‬ ‫מפתח‬)‫סימטרי‬(
.5‫מצפי‬ ‫הדפדפ‬)‫א‬ ‫באופ‬-‫סימטרי‬(‫הסימטרי‬ ‫המפתח‬ ‫את‬‫בשימוש‬‫המפתח‬‫הציבורי‬‫השרת‬ ‫של‬
.6‫הסימטרי‬ ‫המפתח‬‫המוצפ‬‫השרת‬ ‫אל‬ ‫נשלח‬
.7‫הסימטרי‬ ‫המפתח‬ ‫את‬ ‫מפענח‬ ‫השרת‬‫בשימוש‬‫שלו‬ ‫הפרטי‬ ‫המפתח‬
.8‫תעלה‬ ‫יוצר‬ ‫אשר‬ ‫סימטרי‬ ‫מפתח‬ ‫יש‬ ‫ולשרת‬ ‫לדפדפ‬‫מאובטחת‬SSL‫ביניה‬

SSL‫עובד‬ ‫זה‬ ‫אי‬?
‫ל‬ ‫ניגש‬ ‫הקונה‬‫האינטרנט‬ ‫אתר‬‫מסוימת‬ ‫חנות‬ ‫של‬.
‫לכל‬ ‫הידוע‬ ‫הציבורי‬ ‫המפתח‬ ‫את‬ ‫שולח‬ ‫החנות‬ ‫של‬ ‫האינטרנט‬ ‫שרת‬.
‫ה‬‫דפדפ‬‫זמני‬ ‫מפתח‬ ‫מייצר‬ ‫הקונה‬ ‫של‬)‫הסימטרי‬ ‫המפתח‬ ‫הוא‬
‫הוא‬ ‫כיו‬ ‫המקובל‬ ‫וחוזקו‬128‫ביט‬.(
‫במפתח‬ ‫שימוש‬ ‫תו‬ ‫מוצפ‬ ‫באופ‬ ‫לחנות‬ ‫מועבר‬ ‫הסימטרי‬ ‫המפתח‬
‫החנות‬ ‫של‬ ‫הציבורי‬.
‫הפרטי‬ ‫במפתח‬ ‫שימוש‬ ‫תו‬ ‫מפענחת‬ ‫החנות‬‫החנות‬ ‫של‬
‫המפתח‬ ‫מהו‬ ‫ידעו‬ ‫הקונה‬ ‫של‬ ‫והדפדפ‬ ‫החנות‬ ‫של‬ ‫השרת‬ ‫רק‬
‫במפתח‬ ‫שימוש‬ ‫תו‬ ‫מוצפ‬ ‫מידע‬ ‫ביניה‬ ‫להעביר‬ ‫ויוכלו‬ ‫הסימטרי‬
‫הסימטרי‬]‫לחסו‬‫הצפנה‬ ‫בזמ‬.[‫את‬ ‫יותר‬ ‫עוד‬ ‫לאבטח‬ ‫כדי‬
‫ה‬‫תקשורת‬‫ביניה‬,‫שיחה‬ ‫יצירת‬ ‫בעת‬ ‫יוחל‬ ‫הסימטרי‬ ‫המפתח‬
‫חדשה‬.
‫ע‬ ‫אותו‬ ‫ומצפי‬ ‫האשראי‬ ‫כרטיס‬ ‫מספר‬ ‫את‬ ‫לחנות‬ ‫מעביר‬ ‫הקונה‬
‫הסימטרי‬ ‫המפתח‬.
‫יוכל‬ ‫לא‬ ‫לקונה‬ ‫החנות‬ ‫בי‬ ‫השיחה‬ ‫את‬ ‫ליירט‬ ‫שיצליח‬ ‫עוי‬ ‫גור‬
‫המתאי‬ ‫הסימטרי‬ ‫המפתח‬ ‫את‬ ‫לו‬ ‫שאי‬ ‫מכיוו‬ ‫השיחה‬ ‫את‬ ‫לפענח‬.

Figure 14-6
Public Key EncryptionPublic Key Encryption

Public Key EncryptionPublic Key Encryption
Source: Laudon and Traver (2004)

Digital Certificates andDigital Certificates and
Certification AuthoritiesCertification Authorities

‫טכנולוגיי‬ ‫פתרונות‬‫טכנולוגיי‬ ‫פתרונות‬--‫המש‬‫המש‬
Secure Sockets Layer (SSL)Secure Sockets Layer (SSL)
Virtual Private Networks (VPN)Virtual Private Networks (VPN)
FirewallsFirewalls
AntiAnti--Virus SoftwareVirus Software

‫הצפנה‬←‫חשאיות‬ ‫או‬ ‫סודיות‬
‫המקבל‬ ‫של‬ ‫הפומבי‬ ‫המפתח‬ ‫באמצעות‬ ‫המוצפ‬ ‫מסר‬,‫לא‬
‫את‬ ‫בידיו‬ ‫המחזיק‬ ‫המקבל‬ ‫מלבד‬ ‫איש‬ ‫ידי‬ ‫על‬ ‫לפענוח‬ ‫נית‬
‫המתאי‬ ‫הפרטי‬ ‫המפתח‬.
‫דיגיטלית‬ ‫חתימה‬←‫אימות‬/‫שלמות‬ ‫בדיקת‬ ‫ג‬ ‫כמו‬ ‫זיהוי‬.
‫של‬ ‫הפרטי‬ ‫המפתח‬ ‫באמצעות‬ ‫שנחת‬ ‫מסר‬‫השולח‬,‫נית‬
‫השולח‬ ‫של‬ ‫הפומבי‬ ‫למפתח‬ ‫גישה‬ ‫לו‬ ‫שיש‬ ‫מי‬ ‫כל‬ ‫ידי‬ ‫על‬ ‫לאימות‬.
‫המסמ‬ ‫וכי‬ ‫המסמ‬ ‫מקור‬ ‫הוא‬ ‫שהשולח‬ ‫להוכיח‬ ‫נית‬ ‫באמצעותו‬
‫זר‬ ‫גור‬ ‫בידי‬ ‫שונה‬ ‫לא‬.
‫המפתחות‬ ‫שיטת‬ ‫של‬ ‫העיקריי‬ ‫היישומי‬

‫יושר‬ ‫תעודת‬Certificate
‫מאשר‬ ‫גור‬ ‫ידי‬ ‫על‬ ‫מונפקת‬
‫באתר‬ ‫הפרטי‬ ‫נכונות‬ ‫על‬ ‫מעיד‬
‫המאשר‬ ‫הגור‬ ‫על‬ ‫סומכי‬ ‫אנו‬ ‫הא‬?
‫אמו‬ ‫רשת‬Trust Net

‫הגנה‬ ‫אמצעי‬

‫המידע‬ ‫אבטחת‬ ‫של‬ ‫טבעות‬‫המידע‬ ‫אבטחת‬ ‫של‬ ‫טבעות‬

‫האבטחה‬ ‫טבעת‬ ‫מודל‬‫האבטחה‬ ‫טבעת‬ ‫מודל‬
‫הארגונית‬ ‫המידע‬ ‫מערכת‬

‫האבטחה‬ ‫מעגלי‬‫האבטחה‬ ‫מעגלי‬
‫פיסית‬ ‫אבטחה‬
‫גישה‬ ‫בקרת‬:‫למתק‬,‫לנתוני‬,‫לתוכניות‬
‫זהות‬ ‫וידוא‬Authentication
‫יודע‬ ‫שהמשתמש‬ ‫דבר‬←What the user knows
‫ושניוניות‬ ‫ראשוניות‬ ‫סיסמאות‬
‫המשתמש‬ ‫ברשות‬ ‫שיש‬ ‫דבר‬←What the user has
‫מגנטי‬ ‫כרטיס‬,‫הצפנה‬ ‫נושא‬ ‫חכ‬ ‫כרטיס‬,‫ייצור‬PIN‫ע‬"‫י‬Secure ID
‫המשתמש‬ ‫את‬ ‫המזהה‬ ‫דבר‬←Who the user is
‫תוכנה‬ ‫אבטחת‬
‫תקשורת‬ ‫אבטחת‬
‫עקיפי‬ ‫אבטחה‬ ‫אמצעי‬:‫גיבוי‬,DRP,‫ביטוח‬

Firewall DMZ

‫הבאי‬ ‫במגזרי‬ ‫היתר‬ ‫בי‬ ‫מיוש‬ ‫זה‬ ‫מסוג‬ ‫פתרו‬:
‫כספיי‬ ‫מוסדות‬:‫בנקי‬,‫חברות‬‫ביטוח‬
‫ממשלה‬ ‫משרדי‬
‫תקשורת‬ ‫חברות‬
‫החיצו‬ ‫העול‬ ‫מפני‬ ‫להגנה‬ ‫אבטחה‬ ‫מעטפת‬

‫בארגו‬ ‫האבטחה‬ ‫מערכות‬ ‫ניהול‬

‫פיזיי‬ ‫נזקי‬ ‫כנגד‬ ‫הגנה‬ ‫אמצעי‬‫פיזיי‬ ‫נזקי‬ ‫כנגד‬ ‫הגנה‬ ‫אמצעי‬
‫אש‬ ‫כיבוי‬ ‫אמצעי‬‫אש‬ ‫כיבוי‬ ‫אמצעי‬,,‫ברקי‬ ‫כולאי‬‫ברקי‬ ‫כולאי‬
‫אש‬ ‫חסינות‬ ‫בכספות‬ ‫גיבויי‬ ‫אחסו‬‫אש‬ ‫חסינות‬ ‫בכספות‬ ‫גיבויי‬ ‫אחסו‬
‫למי‬ ‫איטו‬‫למי‬ ‫איטו‬
‫אל‬ ‫ציוד‬‫אל‬ ‫ציוד‬--‫החשמל‬ ‫ברשת‬ ‫הפרעות‬ ‫לבידוד‬ ‫פסק‬‫החשמל‬ ‫ברשת‬ ‫הפרעות‬ ‫לבידוד‬ ‫פסק‬
‫גבוהות‬ ‫טמפרטורות‬ ‫של‬ ‫מצב‬ ‫לאיתור‬ ‫טמפרטורה‬ ‫גלאי‬‫גבוהות‬ ‫טמפרטורות‬ ‫של‬ ‫מצב‬ ‫לאיתור‬ ‫טמפרטורה‬ ‫גלאי‬
‫מרוחק‬ ‫גיבוי‬ ‫אתר‬‫מרוחק‬ ‫גיבוי‬ ‫אתר‬

‫לנתוני‬ ‫פיזית‬ ‫גישה‬ ‫מניעת‬‫לנתוני‬ ‫פיזית‬ ‫גישה‬ ‫מניעת‬))‫שרתי‬ ‫נעילת‬‫שרתי‬ ‫נעילת‬,,‫כונני‬‫כונני‬,,
‫הדפסות‬ ‫איסור‬‫הדפסות‬ ‫איסור‬((
‫קפדניות‬ ‫הרשאות‬‫קפדניות‬ ‫הרשאות‬
‫שעוזבי‬ ‫ולעובדי‬ ‫חדשי‬ ‫לעובדי‬ ‫נהלי‬‫שעוזבי‬ ‫ולעובדי‬ ‫חדשי‬ ‫לעובדי‬ ‫נהלי‬
‫סיסמה‬ ‫באמצעות‬ ‫משתמשי‬ ‫זיהוי‬‫סיסמה‬ ‫באמצעות‬ ‫משתמשי‬ ‫זיהוי‬))AuthenticationAuthentication((
‫מגנטיי‬ ‫כרטיסי‬ ‫באמצעות‬ ‫זיהוי‬‫מגנטיי‬ ‫כרטיסי‬ ‫באמצעות‬ ‫זיהוי‬,,‫ביומטריי‬ ‫או‬ ‫חכמי‬‫ביומטריי‬ ‫או‬ ‫חכמי‬
‫והתראות‬ ‫מעקבי‬‫והתראות‬ ‫מעקבי‬
‫אנוש‬ ‫גורמי‬ ‫כנגד‬ ‫הגנה‬ ‫אמצעי‬‫אנוש‬ ‫גורמי‬ ‫כנגד‬ ‫הגנה‬ ‫אמצעי‬

‫הרשאות‬‫הרשאות‬
‫גישה‬ ‫בקרת‬ ‫של‬ ‫רשימת‬←Access control list
‫לגשת‬ ‫מותר‬ ‫למי‬,‫לבצע‬ ‫לו‬ ‫מותר‬ ‫מה‬
‫גישה‬ ‫בקרת‬ ‫של‬ ‫מטריצה‬←Access control matrix
‫שורה‬=‫משתמש‬,‫עמודה‬=‫נתו‬ ‫סוג‬,‫תוכנית‬,‫טבלה‬

‫מאסו‬ ‫להתאוששות‬ ‫תכנית‬‫מאסו‬ ‫להתאוששות‬ ‫תכנית‬
Disaster Recovery Plan (DRP)Disaster Recovery Plan (DRP)
‫מאז‬ ‫משמעותית‬ ‫תאוצה‬ ‫קיבל‬ ‫הנושא‬‫מאז‬ ‫משמעותית‬ ‫תאוצה‬ ‫קיבל‬ ‫הנושא‬1111//99//20012001
‫בנושא‬ ‫שמתמחות‬ ‫חברות‬ ‫קמות‬‫בנושא‬ ‫שמתמחות‬ ‫חברות‬ ‫קמות‬,,‫שונות‬ ‫בשיטות‬‫שונות‬ ‫בשיטות‬::
‫משוכלל‬ ‫גיבויי‬ ‫מער‬‫משוכלל‬ ‫גיבויי‬ ‫מער‬
‫גיבוי‬ ‫אתר‬‫גיבוי‬ ‫אתר‬
‫מרוחק‬ ‫באתר‬ ‫אחסו‬‫מרוחק‬ ‫באתר‬ ‫אחסו‬
‫אחר‬ ‫באתר‬ ‫גיבוי‬‫אחר‬ ‫באתר‬ ‫גיבוי‬

‫ארגוניות‬ ‫ופרוצדורות‬ ‫מדיניות‬‫ארגוניות‬ ‫ופרוצדורות‬ ‫מדיניות‬
‫הכרחי‬ ‫הגנה‬ ‫אמצעי‬ ‫הינ‬ ‫הטכנולוגיי‬ ‫הפתרונות‬‫הכרחי‬ ‫הגנה‬ ‫אמצעי‬ ‫הינ‬ ‫הטכנולוגיי‬ ‫הפתרונות‬,,‫א‬‫א‬
‫בלתי‬‫בלתי‬--‫מספיק‬‫מספיק‬
‫המידע‬ ‫לאבטחת‬ ‫תוכנית‬ ‫לפתח‬ ‫נדרש‬ ‫הארגו‬‫המידע‬ ‫לאבטחת‬ ‫תוכנית‬ ‫לפתח‬ ‫נדרש‬ ‫הארגו‬,,‫תו‬‫תו‬
‫הבאי‬ ‫השלבי‬ ‫יישו‬‫הבאי‬ ‫השלבי‬ ‫יישו‬::
‫סיכוני‬ ‫הערכת‬ ‫ביצוע‬‫סיכוני‬ ‫הערכת‬ ‫ביצוע‬
‫אבטחה‬ ‫מדיניות‬ ‫פיתוח‬‫אבטחה‬ ‫מדיניות‬ ‫פיתוח‬
‫יישו‬ ‫תוכנית‬ ‫פיתוח‬‫יישו‬ ‫תוכנית‬ ‫פיתוח‬
‫אבטחה‬ ‫ארגו‬ ‫יצירת‬‫אבטחה‬ ‫ארגו‬ ‫יצירת‬
‫אבטחה‬ ‫ביקורת‬ ‫ביצוע‬‫אבטחה‬ ‫ביקורת‬ ‫ביצוע‬
‫חונכות‬‫חונכות‬,,‫אישית‬ ‫דוגמא‬‫אישית‬ ‫דוגמא‬,,‫הדרכות‬‫הדרכות‬
‫לקידו‬ ‫תנאי‬‫לקידו‬ ‫תנאי‬
‫חדירות‬ ‫בדיקות‬‫חדירות‬ ‫בדיקות‬

‫אבטחה‬ ‫המלצות‬)‫דוגמא‬(
‫שרת‬ ‫גרסת‬ ‫של‬ ‫הסתרה‬,‫הפעלה‬ ‫מערכת‬‫והפיתוח‬
‫חסימת‬-Directory Listing
‫מוגדרות‬ ‫לכתובות‬ ‫הניהול‬ ‫ממשק‬ ‫חסימת‬
‫מיותרי‬ ‫ממשקי‬ ‫ביטול‬)‫משתמשי‬ ‫רישו‬(
‫משתמש‬ ‫ש‬:‫תקופתית‬ ‫והחלפה‬ ‫חוזק‬
‫נוהלי‬,‫נוהלי‬,‫נוהלי‬....

Governing for Enterprise SecurityGoverning for Enterprise Security
Carnegie Mellon University, Software Engineering InstituteCarnegie Mellon University, Software Engineering Institute
Shifts in Perspective about Security:Shifts in Perspective about Security:
The goal is securityThe goal is security
Security is an expenseSecurity is an expense
There is an intermittentThere is an intermittent
focus on securityfocus on security
Security has a technicalSecurity has a technical
ownerowner
Security is a technicalSecurity is a technical
problemproblem
From:From: To:To:
The goal is businessThe goal is business
continuitycontinuity
GoalGoal
Security is an investmentSecurity is an investmentFundingFunding
Security is integratedSecurity is integratedFocusFocus
Security is owned by theSecurity is owned by the
enterpriseenterprise
OwnershipOwnership
Security is an enterpriseSecurity is an enterprise--
wide problemwide problem
ScopeScope

Characteristics of Effective Security Governance:Characteristics of Effective Security Governance:
1.1. Security is enacted at an enterprise levelSecurity is enacted at an enterprise level
2.2. CC--level leaders understand their accountability andlevel leaders understand their accountability and
responsibility with respect to securityresponsibility with respect to security
3.3. Security is treated the same as any other businessSecurity is treated the same as any other business
requirementrequirement -- it is considered a cost of doing business,it is considered a cost of doing business,
not a discretionary or negotiable budgetnot a discretionary or negotiable budget--line item thatline item that
needs to be regularly defendedneeds to be regularly defended
4.4. Business units and staff donBusiness units and staff don’’t get to decide unilaterallyt get to decide unilaterally
how much security they wanthow much security they want
5.5. Security is considered during normal strategic andSecurity is considered during normal strategic and
operational planning cyclesoperational planning cycles
6.6. Security has achievable, measurable objectives thatSecurity has achievable, measurable objectives that
directly align with enterprise objectivesdirectly align with enterprise objectives

7.7. Determining how much security is enough equates toDetermining how much security is enough equates to
how much risk and how much exposure an organizationhow much risk and how much exposure an organization
can toleratecan tolerate
8.8. All function and business unit leaders within theAll function and business unit leaders within the
organization understand how security serves as aorganization understand how security serves as a
business enabler (versus an inhibitor)business enabler (versus an inhibitor)
9.9. They view security as part of their responsibility andThey view security as part of their responsibility and
understand that their performance with respect tounderstand that their performance with respect to
security is measured as part of their overall performancesecurity is measured as part of their overall performance
10.10. Security is integrated into enterprise functions andSecurity is integrated into enterprise functions and
processesprocesses -- these include risk management, humanthese include risk management, human
resources (hiring, firing), audit/compliance, disasterresources (hiring, firing), audit/compliance, disaster
recovery, business continuity, asset management,recovery, business continuity, asset management,
change control, and IT operationschange control, and IT operations

11.11. Security is actively considered as part of newSecurity is actively considered as part of new--projectproject
initiation and ongoing project management, and duringinitiation and ongoing project management, and during
all phases of any softwareall phases of any software--development life cycledevelopment life cycle
12.12. All personnel who have access to enterprise networksAll personnel who have access to enterprise networks
understand their individual responsibilities with respectunderstand their individual responsibilities with respect
to protecting and preserving the organizationto protecting and preserving the organization’’s securitys security
conditioncondition
13.13. Rewards, recognition, and consequences with respectRewards, recognition, and consequences with respect
to security policy compliance are consistently appliedto security policy compliance are consistently applied
and reinforcedand reinforced

‫שאלות‬?

12 istm information security management-amn

Recommended

Recommended

More Related Content

Similar to 12 istm information security management-amn

Similar to 12 istm information security management-amn (18)

More from Amnon Elbee אמנון אלבי

More from Amnon Elbee אמנון אלבי (19)

12 istm information security management-amn