View
232
Download
11
Category
Preview:
DESCRIPTION
امنیت اطلاعات و ضرورت آن. حمید رضا شهریاری http://ceit.aut.ac.ir/~shahriari استادیار دانشگاه صنعتی امیرکبیر (نسخه اولیه اسلایدها توسط آقای دکتر امینی تهیه شده اند) اسفند 1390. فهرست مطالب. مقدمه حوادث و رخدادهای امنیتی رشد قابل توجه رخدادها توزيع آلودگي در دنيا و ايران جنگ سايبري - PowerPoint PPT Presentation
Citation preview
امنيت اطالعات و ضرورت آن
حمید رضا شهریاریحمید رضا شهریاریhttp://ceit.aut.ac.ir/~shahriarihttp://ceit.aut.ac.ir/~shahriari
استادیار دانشگاه صنعتی امیرکبیراستادیار دانشگاه صنعتی امیرکبیر)نسخه اولیه اسالیدها توسط آقای دکتر امینی تهیه شده اند()نسخه اولیه اسالیدها توسط آقای دکتر امینی تهیه شده اند(
13901390اسفند اسفند
امنيت اطالعات و ضرورت آن
فهرست مطالب
مقدمه•حوادث و رخدادهای امنیتی•
رشد قابل توجه رخدادها–توزيع آلودگي در دنيا و ايران–جنگ سايبري–
مبانی امنیت اطالعات•تعاریف و مفاهیم اولیه–تهدیدات و حمالت–اقدامات امنیتی–4مني و مديريت امنيت اطالعات– ناا
جمعبندی•
2
امنيت اطالعات و ضرورت آن
3
امنيت اطالعات و ضرورت آن
مقدمه
زندگي وابسته به رشته هاي بيتي روي خطوط •ارتباطي
روند روبه رشد استفاده از شبكه در شركت ها و•سازمانها )به خصوص اينترنت(
افزایش دسترسی و افزایش تهدیدات الکترونیکی•
4
امنيت اطالعات و ضرورت آن
5
امنيت اطالعات و ضرورت آن
رشد رخدادهای امنیتی
میزان رخدادهای امنیتی گزارش شده توسط مرکز CERTمدیریت رخداد
تعداد ها
خدادر
6
امنيت اطالعات و ضرورت آن
رشد ابزار و کاهش دانش حمله
2000 1990 1980 کم
زیاد
Password Guessing
Self Replicating Code
Password Cracking
Exploiting Known
VulnerabilityDisabling Audits
Back Doors Sweepers
DDoS Sniffers
Packet Forging Spoofing Internet Worms
ابزار مهاجمان
دانش مهاجمان
7
امنيت اطالعات و ضرورت آن
رشد حمالت
از دو نمودار قبلی بخوبی پيداست :•
تعداد حمالت عليه امنيت اطالعات به طور قابل –مالحظه ای افزايش يافته است.
امروزه تدارک حمله با در اختيار بودن ابزارهای –فراوان در دسترس به دانش زيادی احتياج ندارد
)بر خالف گذشته(.
8
امنيت اطالعات و ضرورت آن
DTIنگاهي به گزارش انگليس
9
امنيت اطالعات و ضرورت آن
DTIنگاهي به گزارش انگليس
10
امنيت اطالعات و ضرورت آن
DTIنگاهي به گزارش انگليس
11
امنيت اطالعات و ضرورت آن
DTIنگاهي به گزارش انگليس
سازمانهاي بزرگ
)معادل به ميليون تومان(
سازمانهاي كوچك)معادل به ميليون
تومان(
340 – 646 5/25 – 51 تسلسل و وقفه در كسب و كار
10/2 – 20/4 1/02 – 2/55 زمان صرف شده براي مقابله با حادثه
42/5 - 68 6/8 – 11/9 هزينههاي مستقيم مقابله با حادثه
42/5 - 68 5/1 – 8/5 خسارات مالي مستقيم )خسارت به داراييها، حسابهای مالي و...(
25/5 - 34 8/5 - 17 خسارات مالي غيرمستقيم )از دست دادن حق مالكيت معنوي و ...(
25/5 - 340 0/17 – 1/7 لطمه به شهرت و اعتبار
476 - 1173 46/75 – 93/5 متوسط كل هزينه يك حادثه سنگين (2010امنيتي )
153 - 289 17 - 34 متوسط كل هزينه يك حادثه سنگين (2008امنيتي )
متوسط هزينههاي مرتبط با يك حادثه سنگين امنيتي در سازمانها
12
امنيت اطالعات و ضرورت آن
13
امنيت اطالعات و ضرورت آن
توزیع سایتهای فیشینگ
2010 ماه دوم 6توزیع سایتهای فیشینگ در دنیا در (SIR)گزارش
14
امنيت اطالعات و ضرورت آن
توزیع سیستمهای آلوده
ماهه دوم 6توزیع سیستمهای آلوده به بدافزار در دنیا در (SIR )گزارش 2010
15
امنيت اطالعات و ضرورت آن
توزیع سایتهای آلودهساز
ماهه چهارم 3توزیع سایتهای آلودهساز در دنیا در (SIR )گزارش 2010
16
امنيت اطالعات و ضرورت آن
17
امنيت اطالعات و ضرورت آن
جنگ سایبری
(1991جنگ عراق و آمریکا )•
ایجاد اختالل در سيستم ضدهوايي عراق–
AF/91توسط نيروي هوايي آمريكا با استفاده از ويروسي با نام –
انتقال از طریق چيپ پرینتر آلوده به ويروس از مسير عمان و –
سوريه
هر چند بعدها درستي موضوع تاييد نشد! وليكن ...–
18
امنيت اطالعات و ضرورت آن
جنگ سایبری
(2007حمله سايبري روسيه به استوني )•
حمله به وزارتخانهها، بانكها، و رسانهها–
حمله از طريق سfروfرهاي اداري تحت كنترل –
روسيه
19
امنيت اطالعات و ضرورت آن
جنگ سایبری
(2010حمله .... به تاسيسات هستهاي ایران )•
Stuxnetاز طريق ويروس –
هاPLCآلودهسازي سيستمهاي كنترل صنعتي و –
مطابق گزارش سیمانتک آلودهسازي هدف: –
سانتريفيوژها بوده است.
20
امنيت اطالعات و ضرورت آن
حمالت سایبری
(2011 آمریکا )Springfieldحمله به تاسسیات آب در •
نفوذ به تجهیزات اسکادا و تخریب پمپ آب•
نفوذ ابتدا به شرکت همکار پشتیبان سیستم انجام •شده و از آنجا به سیستمهای کنترل
منبع: •http://www.computerworld.com/s/article/9222014/Apparent_cyberattack_destroys_pump_at_Ill._water_utility
21
امنيت اطالعات و ضرورت آن
22
امنيت اطالعات و ضرورت آن
ست؟يت چيامن
ت به )طور غیر رسمی( عبارتست از حفاظت از يامن•
ما ارزشمند است. يآنچه برا
يدر برابر حمالت عمد–
در برابر رویدادهای غیرعمدی–
23
امنيت اطالعات و ضرورت آن
تعریف امنیت
مبتنی است بر تحقق سه ويژگی زیر:امنيت اطالعات
محرمانگي(Confidentiality)
ها غيرمجاز دادهافشای عدم •
صحت(Integrity)
افزاره��اي ه��ا توس��ط اف��راد ي��ا نرم عدم دس��تكاري داده•غيرمجاز
پذيري دسترس(Availability)
اف�راد مج�از در ه�ر مك�ان و در دسترس�ی ب�ه داده هاتوس�ط•هرزمان
CIA
24
امنيت اطالعات و ضرورت آن
سرويس هاي امنيتي
امنیت اطالعات مبتنی است بر ارائه سرویسهای امنیتی زیر:
(Integrity)ها داده حفظ صحت•
(Confidentiality ) محرمانگي دادههاحفظ •
(Authentication)احراز اصالت •
(Access Control)کنترل دسترسی •
(Non-repudiation ) عدم انكار•
(Availability) پذيری دسترس•
25
امنيت اطالعات و ضرورت آن
تعاریف و مفاهیم اولیه
:(Security Policy)خط مشی )سياست( امنيتی•سيستم اطالعاتی/ سازمان و يا يك نيازمنديهای امنيتی يک
نمايد. میبيانارتباطی را
در تعريف سياست هاي امنيتي:•
بدانيد تا چه اندازه و در چه نقاطي نياز به اقدامات بايد –محافظتي داريد.
سیاستهای سازمان در دسترسی افراد به منابع اطالعاتی –چیست؟
وليت هايي در اجراي ؤ چه افرادي، چه مسدبايد بداني–.اقدامات محافظتي سازمان دارند
26
امنيت اطالعات و ضرورت آن
تعاریف و مفاهیم اولیه
ویژگی یا نقطه : (Vulnerability)آسيب پذيری •ضعفی در سیستم که می توان از آن سوءاستفاده
کرد و امنیت سیستم را نقض کرد.
عمدي در يك نفوذيكتالش برای :( Attack)حمله• سيستم اطالعاتي/ ارتباطي، حمله گفته مي شود
� با بهره گيري از آسيب پذيري هاي موجود(. )معموًال
نتیجه یک حمله موفق و نقض: (Intrusion)نفوذ •امنیت سیستم.
27
امنيت اطالعات و ضرورت آن
تعاریف و مفاهیم اولیه
به هر :(Security Mechanism)مکانيزم امنيتي •روش، ابزار و يا رويه اي كه براي اعمال يك سياست
د.امنيتي به كار مي رود، يك مكانيزم امنيتي گوين
28
امنيت اطالعات و ضرورت آن
29
امنيت اطالعات و ضرورت آن
منشأ تهديدات امنيتي
منشأ تهدیدات امنیتی•
افراد )عوامل انسانی(–
نرم افزارها–
30
امنيت اطالعات و ضرورت آن
تهديد – عامل انساني
انواع مهاجمان•
ی کاله قرمز/سیاههكرها–
كارمندان ناراضي–
رقيبان داخلي–
رقيبان خارجي–
دولت هاي خارجي–
31
امنيت اطالعات و ضرورت آن
تهديد – عامل نرم افزاري
:باشندعامل خطر برنامه هاي كاربردي به دو صورت مي توانند •
.دنبراي ايجاد تهديد ساخته مي شو عمدي بطوربرنامه هايي كه –
در آنها وجود دارد.ي غيرعمدي اشكاالتبرنامه هايي كه بطور –
33
بدافـزارها
برنامههای آسیبپذیر
امنيت اطالعات و ضرورت آن
بدافزارها
�د، اسکریپت، و یا برنامه که به (: Malwareبدافزار )• یک قطعه ک
قصد خرابکاری و اختالل در امنیت سیستمها یا شبکهها منتشر
میشود.
اهداف خرابکارانه بدافزارها:•
دزدی اطالعات محرمانه و نقض حریم خصوصی )مثال اطالعات –
بانکی(
کندی و ایجاد وقفه و اختالل در سیستمها و سرویسدهی –
تخریب و تغییر اطالعات–
سوءاستفاده از منابع و سرویسها–34
امنيت اطالعات و ضرورت آن
بدافزارها
(Virusویروس )•يك قطعه برنامه کوچک با انتشار از طریق چسبیدن به –
دیگر فایلها
(Wormکرم )•برنامه كوچك مستقل با توانايي كپي شدن و بیشتر –
انتشار از طریق شبکه
(Trojan Horseاسب تروا )•مخفی در يك برنامه مفيد يا به صورت يك برنامه به –
ظاهر مفيد
(Botnet( شبکه بات )Botبات )•فراهم نمودن امکان کنترل تعدادی سیستم قربانی برای –
مقاصد سوء و انجام حمالت جمعی توزیعشده35
امنيت اطالعات و ضرورت آن
36
امنيت اطالعات و ضرورت آن
يتياقدامات امن
(Prevention)پیشگیری •
جلوگیری از خسارت –
(Detection & Tracing)تشخیص و ردیابی •
(Detection)تشخیص –
میزان خسارت •
هویت دشمن •
کیفیت حمله )زمان، مکان، دًالیل حمله، نقاط •ضعف...(
(Reaction)پاسخ •
ترمیم، بازیابی و جبران خسارات –
جلوگیری از حمالت مجدد–37
تشخیصDetection
پاسخReaction
پیشگیری
Prevention
امنيت اطالعات و ضرورت آن
مراتب مقابله با نفوذ و تهاجم در سیستم اطالعاتی / •ارتباطی
اقدامات امنیتی
پيشگيري
تشخيص
ترميم
و ت
ماج
هات
تال
مح
شناسايي و احراز •هويت
كنترل دسترسي•حفاظ )ديواره •
آتش(رمزنگاري و امضاي •
ديجيتال
تکرار داده ها و •سیستمها
پشتیبان گیری•
38
سیستم تشخیص •(IDSنفوذ )
سیستم همبستهساز •رویدادها
سیستم تلهعسل •(Honeypot)
امنيت اطالعات و ضرورت آن
39
امنيت اطالعات و ضرورت آن
داليل ناامني سیستم ها
ضعف فناوري•پروتكل، سيستم عامل، تجهيزات –
ضعف تنظيمات•رهاكردن تنظيمات پيش فرض، گذرواژه هاي نامناسب، –
عدم استفاده از رمزنگاري، راه اندازي سرويس هاي اينترنت بدون اعمال تنظيمات ًالزم، ...
ضعف سياست گذاري•عدم وجود سياست امنيتي–عدم وجود طرحي براي مقابله و بازيابي مخاطرات–نداشتن نظارت امنيتي مناسب )مديريتي و فني(–
40
امنيت اطالعات و ضرورت آن
يامن ساز
فقط به مسئلة امنيت ًالزم است و نه مديريتينگرش •
.نگرش فني
فه خاص و مقطعی.يک وظياست نه ند يفرآک ي يامن ساز•
سازمان است و نه تنها كارگزار تمامي منابع گستره امنيت •
.اصلي
و مجاز خطر بالقوة بيشتري دارند.مهاجمين داخلي •
41
امنيت اطالعات و ضرورت آن
احراز اصالت، فایروال،
رمزنگاری، . . .
سیستمهای تشخیص نفوذ، تله بدافزار، . . .
آزمون نفوذ و آسیبپذیری
عملیات شبکه و امنیت
چرخه ايجاد امنيت
42
امنيت اطالعات و ضرورت آن
امنيت
كارآيي
عملكرد
ت ي امنياستراتژيسازمان
و عملکردييت، کارآين امنيمصالحه ب•مصالحه بين امنيت، كارايي و هزينه•ت مورد انتظار کاربران؟يزان امنيم• قابل تحمل سازمان؟يزان ناامنيم•
43
امنيت اطالعات و ضرورت آن
امنيتي برقراريدشوار
� قربانيامن• يرياس پذي و مقييش کارآي افزايت معموًال
شود.ي م
بر است. نهيت باًال هزيامن•
ت را به عنوان مانع در برابر انجام شدن يکاربران عادی امن•
کنند.ي نميروي پيتي امنياستهايکنند و از سي ميکارها تلق
44
امنيت اطالعات و ضرورت آن
امنيتي برقراريدشوار
ت به طور ي دور زدن امنيافزارها اطالعات و نرم•
ار هستند.يگسترده در اخت
ک مبارزه در نظر يت را به عنوان ي دور زدن امنيبرخ•
برند.ي رند و از انجام آن لذت ميگي م
ه ي اوليهاي در هنگام طراحيتيمالحظات امن•
شود. ها در نظر گرفته نمی ها و شبکه ستميس
45
امنيت اطالعات و ضرورت آن
سیستم مديريت امنيت اطالعات
نیازمند پیادهسازی سیستم مدیریت امنیت اطالعات در سازمانها
ISMSInformation Security Management Systemموضوع
سخنرانی بعدی
46
امنيت اطالعات و ضرورت آن
47
امنيت اطالعات و ضرورت آن
جمعبندی
، و صحت، محرمانگیامنیت اطالعات مبتنی است بر حفظ •
دسترسپذیری
ضرورت تامین امنیت به واسطه افزایش رخدادها و حوادث•
نگاهي فرآيندي به تامين امنيت اطالعات در سازمان و •
سيستم مديريت امنيت سيستم مديريت امنيت سيستماطالعاتاطالعات
48
امنيت اطالعات و ضرورت آن
با تشکر از توجه شما ...با تشکر از توجه شما ...
با تشکر از آقای دکتر امینی برای تهیه نسخه اولیه اسالیدهابا تشکر از آقای دکتر امینی برای تهیه نسخه اولیه اسالیدها
49
Recommended