1 / 48

امنیت اطلاعات و ضرورت آن

امنیت اطلاعات و ضرورت آن. حمید رضا شهریاری http://ceit.aut.ac.ir/~shahriari استادیار دانشگاه صنعتی امیرکبیر (نسخه اولیه اسلایدها توسط آقای دکتر امینی تهیه شده اند) اسفند 1390. فهرست مطالب. مقدمه حوادث و رخدادهای امنیتی رشد قابل توجه رخدادها توزيع آلودگي در دنيا و ايران جنگ سايبري

shaina
Télécharger la présentation

امنیت اطلاعات و ضرورت آن

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. امنیت اطلاعات و ضرورت آن حمید رضا شهریاری http://ceit.aut.ac.ir/~shahriari استادیار دانشگاه صنعتی امیرکبیر (نسخه اولیه اسلایدها توسط آقای دکتر امینی تهیه شده اند) اسفند 1390

  2. فهرست مطالب • مقدمه • حوادث و رخدادهای امنیتی • رشد قابل توجه رخدادها • توزيع آلودگي در دنيا و ايران • جنگ سايبري • مبانی امنیت اطلاعات • تعاریف و مفاهیم اولیه • تهدیدات و حملات • اقدامات امنیتی • نااَمني و مديريت امنيت اطلاعات • جمع‏بندی

  3. مقدمه

  4. مقدمه • زندگي وابسته به رشته‌هاي بيتي روي خطوط ارتباطي • روند روبه‌رشد استفاده از شبكه در شركت‌ها وسازمانها (به خصوص اينترنت) • افزایش دسترسی و افزایش تهدیدات الکترونیکی

  5. حوادث و رخدادهای امنیتیرشد قابل توجه رخدادها

  6. رشد رخدادهای امنیتی تعداد رخدادها میزان رخدادهای امنیتی گزارش شده توسط مرکز مدیریت رخداد CERT

  7. رشد ابزار و کاهش دانش حمله زیاد ابزار مهاجمان Packet Forging Spoofing Internet Worms DDoS Sniffers Back Doors Sweepers Exploiting Known Vulnerability Disabling Audits Self Replicating Code Password Cracking دانش مهاجمان Password Guessing کم 1980 1990 2000

  8. رشد حملات • از دو نمودار قبلی بخوبی پيداست : • تعداد حملات عليه امنيت اطلاعات به طور قابل ملاحظه‌ای افزايش يافته است. • امروزه تدارک حمله با در اختيار بودن ابزارهای فراوان در دسترس به دانش زيادی احتياج ندارد (بر خلاف گذشته).

  9. نگاهي به گزارش DTI انگليس

  10. نگاهي به گزارش DTI انگليس

  11. نگاهي به گزارش DTI انگليس

  12. نگاهي به گزارش DTI انگليس متوسط هزينه‏هاي مرتبط با يك حادثه سنگين امنيتي در سازمانها

  13. حوادث و رخدادهای امنیتیتوزیع آلودگی در دنیا و ایران

  14. توزیع سایت‏های فیشینگ توزیع سایت‏های فیشینگ در دنیا در 6 ماه دوم 2010 (گزارش SIR)

  15. توزیع سیستم‏های آلوده توزیع سیستم‏های آلوده به بدافزار در دنیا در 6 ماهه دوم 2010 (گزارش SIR)

  16. توزیع سایت‏های آلوده‏ساز توزیع سایت‏های آلوده‏ساز در دنیا در 3 ماهه چهارم 2010 (گزارش SIR)

  17. حوادث و رخدادهای امنیتیجنگ سایبری

  18. جنگ سایبری • جنگ عراق و آمریکا (1991) • ایجاد اختلال در سيستم ضدهوايي عراق • توسط نيروي هوايي آمريكا با استفاده از ويروسي با نام AF/91 • انتقال از طریق چيپ پرینتر آلوده به ويروس از مسير عمان و سوريه • هر چند بعدها درستي موضوع تاييد نشد! وليكن ...

  19. جنگ سایبری • حمله سايبري روسيه به استوني (2007) • حمله به وزارتخانه‏ها، بانك‏ها، و رسانه‏ها • حمله از طريق سِروِرهاي اداري تحت كنترل روسيه

  20. جنگ سایبری • حمله .... به تاسيسات هسته‏اي ایران (2010) • از طريق ويروس Stuxnet • آلوده‏سازي سيستم‏هاي كنترل صنعتي و PLCها • هدف: مطابق گزارش سیمانتک آلوده‏سازي سانتريفيوژها بوده است.

  21. حملات سایبری حمله به تاسسیات آب در Springfield آمریکا (2011) نفوذ به تجهیزات اسکادا و تخریب پمپ آب نفوذ ابتدا به شرکت همکار پشتیبان سیستم انجام شده و از آنجا به سیستمهای کنترل منبع: http://www.computerworld.com/s/article/9222014/Apparent_cyberattack_destroys_pump_at_Ill._water_utility

  22. مبانی امنیت اطلاعاتتعاریف و مفاهیم اولیه

  23. امنيت چيست؟ • امنيت به (طور غیر رسمی) عبارتست از حفاظت از آنچه براي ما ارزشمند است. • در برابر حملات عمدي • در برابر رویدادهای غیرعمدی

  24. تعریف امنیت I C A امنيت اطلاعات مبتنی است بر تحقق سه ويژگی زیر: • محرمانگي (Confidentiality) • عدم افشای غيرمجاز داده‌ها • صحت (Integrity) • عدم دستكاري داده‌ها توسط افراد يا نرم‌افزارهاي غيرمجاز • دسترس‌پذيري (Availability) • دسترسی به داده هاتوسط افراد مجاز در هر مكان و در هرزمان

  25. سرويس‌هاي امنيتي امنیت اطلاعات مبتنی است بر ارائه سرویس‏های امنیتی زیر: • حفظ صحت داده‌ها(Integrity) • حفظ محرمانگي داده‏ها (Confidentiality) • احراز اصالت (Authentication) • کنترل دسترسی (Access Control) • عدم‌انكار (Non-repudiation) • دسترس پذيری (Availability)

  26. تعاریف و مفاهیم اولیه • خط‌مشی (سياست) امنيتی(Security Policy):نيازمنديهای امنيتی يک سازمان و يا يك سيستم اطلاعاتی/ ارتباطی را بيان می‌نمايد. • در تعريف سياست‌هاي امنيتي: • بايد بدانيد تا چه اندازه و در چه نقاطي نياز به اقدامات محافظتي داريد. • سیاستهای سازمان در دسترسی افراد به منابع اطلاعاتی چیست؟ • بايد بدانيد چه افرادي، چه مسؤوليت‌هايي در اجراي اقدامات محافظتي سازمان دارند.

  27. تعاریف و مفاهیم اولیه • آسيب‌پذيری (Vulnerability): ویژگی یا نقطه ضعفی در سیستم که می توان از آن سوءاستفاده کرد و امنیت سیستم را نقض کرد. • حمله(Attack) :تلاش برای يك نفوذ عمدي در يك سيستم اطلاعاتي/ ارتباطي، حمله گفته مي‌شود (معمولاً با بهره‌گيري از آسيب‌پذيري‌هاي موجود). • نفوذ (Intrusion): نتیجه یک حمله موفق و نقضامنیت سیستم.

  28. تعاریف و مفاهیم اولیه • مکانيزم امنيتي (Security Mechanism):به هر روش، ابزار و يا رويه‌اي كه براي اعمال يك سياست امنيتي به كار مي‌رود، يك مكانيزم امنيتي گويند.

  29. مبانی امنیت اطلاعاتتهدیدات و حملات

  30. منشأ تهديدات امنيتي • منشأ تهدیدات امنیتی • افراد (عوامل انسانی) • نرم‌افزارها

  31. تهديد – عامل انساني • انواع مهاجمان • هكرهای کلاه قرمز/سیاه • كارمندان ناراضي • رقيبان داخلي • رقيبان خارجي • دولت‌هاي خارجي

  32. تهديد – عامل نرم‌افزاري • برنامه‌هاي كاربردي به دو صورت مي‌توانند عامل خطر باشند: • برنامه‌هايي كه بطور عمدي براي ايجاد تهديد ساخته مي‌شوند. • برنامه‌هايي كه بطور غيرعمدي اشكالاتي در آنها وجود دارد. بدافـزارها برنامه‏های آسیب‏پذیر

  33. بدافزارها • بدافزار (Malware): یک قطعه کُد، اسکریپت، و یا برنامه که به قصد خرابکاری و اختلال در امنیت سیستم‏ها یا شبکه‏ها منتشر می‏شود. • اهداف خرابکارانه بدافزارها: • دزدی اطلاعات محرمانه و نقض حریم خصوصی (مثلا اطلاعات بانکی) • کندی و ایجاد وقفه و اختلال در سیستم‏ها و سرویس‏دهی • تخریب و تغییر اطلاعات • سوءاستفاده از منابع و سرویس‏ها

  34. بدافزارها • ویروس (Virus) • يك قطعه برنامه کوچک با انتشار از طریق چسبیدن به دیگر فایلها • کرم (Worm) • برنامه كوچك مستقل با توانايي كپي شدن و بیشتر انتشار از طریق شبکه • اسب تروا (Trojan Horse) • مخفی در يك برنامه مفيد يا به صورت يك برنامه به ظاهر مفيد • بات (Bot) شبکه بات (Botnet) • فراهم نمودن امکان کنترل تعدادی سیستم قربانی برای مقاصد سوء و انجام حملات جمعی توزیع‏شده

  35. مبانی امنیت اطلاعاتاقدامات امنیتی

  36. اقدامات امنيتي پیشگیری Prevention • پیشگیری (Prevention) • جلوگیری از خسارت • تشخیص و ردیابی (Detection & Tracing) • تشخیص (Detection) • میزان خسارت • هویت دشمن • کیفیت حمله (زمان، مکان، دلایل حمله، نقاط ضعف...) • پاسخ (Reaction) • ترمیم، بازیابی و جبران خسارات • جلوگیری از حملات مجدد پاسخ Reaction تشخیص Detection

  37. تهاجمات و حملات ترميم پيشگيري تشخيص اقدامات امنیتی • مراتب مقابله با نفوذ و تهاجم در سیستم اطلاعاتی / ارتباطی • شناسايي و احراز هويت • كنترل دسترسي • حفاظ (ديواره آتش) • رمزنگاري و امضاي ديجيتال • سیستم تشخیص نفوذ (IDS) • سیستم همبسته‏ساز رویدادها • سیستم تله‏عسل (Honeypot) • تکرار داده ها و سیستمها • پشتیبان گیری

  38. مبانی امنیت اطلاعاتناامني و مديريت امنيت اطلاعات

  39. دلايل ناامني سیستم‌ها • ضعف فناوري • پروتكل، سيستم عامل، تجهيزات • ضعف تنظيمات • رهاكردن تنظيمات پيش‌فرض، گذرواژه‌هاي نامناسب، عدم استفاده از رمزنگاري، راه‌اندازي سرويس‌هاي اينترنت بدون اعمال تنظيمات لازم، ... • ضعف سياست‌گذاري • عدم وجود سياست امنيتي • عدم وجود طرحي براي مقابله و بازيابي مخاطرات • نداشتن نظارت امنيتي مناسب (مديريتي و فني) ضعف مدیریتی

  40. امن‌سازي • نگرش مديريتي به مسئلة ‌امنيت لازم است و نه فقط نگرش فني. • امن سازييک فرآيند است نه يک وظيفه خاص و مقطعی. • گستره امنيت تمامي منابع سازمان است و نه تنها كارگزار اصلي. • مهاجمين داخلي و مجاز خطر بالقوة‌ بيشتري دارند.

  41. چرخه ايجاد امنيت احراز اصالت، فایروال، رمزنگاری، . . . عملیات شبکه و امنیت سیستم‏های تشخیص نفوذ، تله بدافزار، . . . آزمون نفوذ و آسیب‏پذیری

  42. مصالحه بين امنيت، کارآيي و عملکرد مصالحه بين امنيت، كارايي و هزينه ميزان امنيت مورد انتظار کاربران؟ ميزان ناامني قابل تحمل سازمان؟ استراتژي امنيت سازماني كارآيي عملكرد امنيت

  43. دشواري برقراري امنيت • امنيت معمولاً قرباني افزايش کارآيي و مقياس پذيري مي‌شود. • امنيت بالا هزينه‌بر است. • کاربران عادی امنيت را به عنوان مانع در برابر انجام شدن کارها تلقي مي‌کنند و از سياستهاي امنيتي پيروي نمي‌کنند.

  44. دشواري برقراري امنيت • اطلاعات و نرم‌افزارهاي دور زدن امنيت به طور گسترده در اختيار هستند. • برخي دور زدن امنيت را به عنوان يک مبارزه در نظر مي‌گيرند و از انجام آن لذت مي‌برند. • ملاحظات امنيتي در هنگام طراحي‌هاي اوليه سيستم‌ها و شبکه‌ها در نظر گرفته نمی‌شود.

  45. سیستم مديريت امنيت اطلاعات موضوع سخنرانی بعدی نیازمند پیاده‏سازی سیستم مدیریت امنیت اطلاعات در سازمان‏ها ISMS Information Security Management System

  46. جمع‏بندی

  47. جمع‏بندی سيستم مديريت امنيت اطلاعات امنیت اطلاعات مبتنی است بر حفظ محرمانگی، صحت، و دسترس‏پذیری ضرورت تامین امنیت به واسطه افزایش رخدادها و حوادث نگاهي فرآيندي به تامين امنيت اطلاعات در سازمان و سيستم

  48. با تشکر از توجه شما ... با تشکر از آقای دکتر امینی برای تهیه نسخه اولیه اسلایدها

More Related