امنیت اطلاعات و ضرورت آن

امنيت اطالعات و ضرورت آن

حمید رضا شهریاریحمید رضا شهریاریhttp://ceit.aut.ac.ir/~shahriarihttp://ceit.aut.ac.ir/~shahriari

استادیار دانشگاه صنعتی امیرکبیراستادیار دانشگاه صنعتی امیرکبیر)نسخه اولیه اسالیدها توسط آقای دکتر امینی تهیه شده اند()نسخه اولیه اسالیدها توسط آقای دکتر امینی تهیه شده اند(

13901390اسفند اسفند


فهرست مطالب

مقدمه•حوادث و رخدادهای امنیتی•

رشد قابل توجه رخدادها–توزيع آلودگي در دنيا و ايران–جنگ سايبري–

مبانی امنیت اطالعات•تعاریف و مفاهیم اولیه–تهدیدات و حمالت–اقدامات امنیتی–4مني و مديريت امنيت اطالعات– ناا

جمعبندی•

2


3


مقدمه

زندگي وابسته به رشته هاي بيتي روي خطوط •ارتباطي

روند روبه رشد استفاده از شبكه در شركت ها و•سازمانها )به خصوص اينترنت(

افزایش دسترسی و افزایش تهدیدات الکترونیکی•

4


5


رشد رخدادهای امنیتی

میزان رخدادهای امنیتی گزارش شده توسط مرکز CERTمدیریت رخداد

تعداد ها

خدادر

6


رشد ابزار و کاهش دانش حمله

2000 1990 1980 کم

زیاد

Password Guessing

Self Replicating Code

Password Cracking

Exploiting Known

VulnerabilityDisabling Audits

Back Doors Sweepers

DDoS Sniffers

Packet Forging Spoofing Internet Worms

ابزار مهاجمان

دانش مهاجمان

7


رشد حمالت

از دو نمودار قبلی بخوبی پيداست :•

تعداد حمالت عليه امنيت اطالعات به طور قابل –مالحظه ای افزايش يافته است.

امروزه تدارک حمله با در اختيار بودن ابزارهای –فراوان در دسترس به دانش زيادی احتياج ندارد

)بر خالف گذشته(.

8


DTIنگاهي به گزارش انگليس

9



10



11



سازمانهاي بزرگ

)معادل به ميليون تومان(

سازمانهاي كوچك)معادل به ميليون

تومان(

340 – 646 5/25 – 51 تسلسل و وقفه در كسب و كار

10/2 – 20/4 1/02 – 2/55 زمان صرف شده براي مقابله با حادثه

42/5 - 68 6/8 – 11/9 هزينههاي مستقيم مقابله با حادثه

42/5 - 68 5/1 – 8/5 خسارات مالي مستقيم )خسارت به داراييها، حسابهای مالي و...(

25/5 - 34 8/5 - 17 خسارات مالي غيرمستقيم )از دست دادن حق مالكيت معنوي و ...(

25/5 - 340 0/17 – 1/7 لطمه به شهرت و اعتبار

476 - 1173 46/75 – 93/5 متوسط كل هزينه يك حادثه سنگين (2010امنيتي )

153 - 289 17 - 34 متوسط كل هزينه يك حادثه سنگين (2008امنيتي )

متوسط هزينههاي مرتبط با يك حادثه سنگين امنيتي در سازمانها

12


13


توزیع سایتهای فیشینگ

2010 ماه دوم 6توزیع سایتهای فیشینگ در دنیا در (SIR)گزارش

14


توزیع سیستمهای آلوده

ماهه دوم 6توزیع سیستمهای آلوده به بدافزار در دنیا در (SIR )گزارش 2010

15


توزیع سایتهای آلودهساز

ماهه چهارم 3توزیع سایتهای آلودهساز در دنیا در (SIR )گزارش 2010

16


17


جنگ سایبری

(1991جنگ عراق و آمریکا )•

ایجاد اختالل در سيستم ضدهوايي عراق–

AF/91توسط نيروي هوايي آمريكا با استفاده از ويروسي با نام –

انتقال از طریق چيپ پرینتر آلوده به ويروس از مسير عمان و –

سوريه

هر چند بعدها درستي موضوع تاييد نشد! وليكن ...–

18


جنگ سایبری

(2007حمله سايبري روسيه به استوني )•

حمله به وزارتخانهها، بانكها، و رسانهها–

حمله از طريق سfروfرهاي اداري تحت كنترل –

روسيه

19


جنگ سایبری

(2010حمله .... به تاسيسات هستهاي ایران )•

Stuxnetاز طريق ويروس –

هاPLCآلودهسازي سيستمهاي كنترل صنعتي و –

مطابق گزارش سیمانتک آلودهسازي هدف: –

سانتريفيوژها بوده است.

20


حمالت سایبری

(2011 آمریکا )Springfieldحمله به تاسسیات آب در •

نفوذ به تجهیزات اسکادا و تخریب پمپ آب•

نفوذ ابتدا به شرکت همکار پشتیبان سیستم انجام •شده و از آنجا به سیستمهای کنترل

منبع: •http://www.computerworld.com/s/article/9222014/Apparent_cyberattack_destroys_pump_at_Ill._water_utility

21


22


ست؟يت چيامن

ت به )طور غیر رسمی( عبارتست از حفاظت از يامن•

ما ارزشمند است. يآنچه برا

يدر برابر حمالت عمد–

در برابر رویدادهای غیرعمدی–

23


تعریف امنیت

مبتنی است بر تحقق سه ويژگی زیر:امنيت اطالعات

محرمانگي(Confidentiality)

ها غيرمجاز دادهافشای عدم •

صحت(Integrity)

افزاره��اي ه��ا توس��ط اف��راد ي��ا نرم عدم دس��تكاري داده•غيرمجاز

پذيري دسترس(Availability)

اف�راد مج�از در ه�ر مك�ان و در دسترس�ی ب�ه داده هاتوس�ط•هرزمان

CIA

24


سرويس هاي امنيتي

امنیت اطالعات مبتنی است بر ارائه سرویسهای امنیتی زیر:

(Integrity)ها داده حفظ صحت•

(Confidentiality ) محرمانگي دادههاحفظ •

(Authentication)احراز اصالت •

(Access Control)کنترل دسترسی •

(Non-repudiation ) عدم انكار•

(Availability) پذيری دسترس•

25


تعاریف و مفاهیم اولیه

:(Security Policy)خط مشی )سياست( امنيتی•سيستم اطالعاتی/ سازمان و يا يك نيازمنديهای امنيتی يک

نمايد. میبيانارتباطی را

در تعريف سياست هاي امنيتي:•

بدانيد تا چه اندازه و در چه نقاطي نياز به اقدامات بايد –محافظتي داريد.

سیاستهای سازمان در دسترسی افراد به منابع اطالعاتی –چیست؟

وليت هايي در اجراي ؤ چه افرادي، چه مسدبايد بداني–.اقدامات محافظتي سازمان دارند

26



ویژگی یا نقطه : (Vulnerability)آسيب پذيری •ضعفی در سیستم که می توان از آن سوءاستفاده

کرد و امنیت سیستم را نقض کرد.

عمدي در يك نفوذيكتالش برای :( Attack)حمله• سيستم اطالعاتي/ ارتباطي، حمله گفته مي شود

� با بهره گيري از آسيب پذيري هاي موجود(. )معموًال

نتیجه یک حمله موفق و نقض: (Intrusion)نفوذ •امنیت سیستم.

27



به هر :(Security Mechanism)مکانيزم امنيتي •روش، ابزار و يا رويه اي كه براي اعمال يك سياست

د.امنيتي به كار مي رود، يك مكانيزم امنيتي گوين

28


29


منشأ تهديدات امنيتي

منشأ تهدیدات امنیتی•

افراد )عوامل انسانی(–

نرم افزارها–

30


تهديد – عامل انساني

انواع مهاجمان•

ی کاله قرمز/سیاههكرها–

كارمندان ناراضي–

رقيبان داخلي–

رقيبان خارجي–

دولت هاي خارجي–

31


تهديد – عامل نرم افزاري

:باشندعامل خطر برنامه هاي كاربردي به دو صورت مي توانند •

.دنبراي ايجاد تهديد ساخته مي شو عمدي بطوربرنامه هايي كه –

در آنها وجود دارد.ي غيرعمدي اشكاالتبرنامه هايي كه بطور –

33

بدافـزارها

برنامههای آسیبپذیر


بدافزارها

�د، اسکریپت، و یا برنامه که به (: Malwareبدافزار )• یک قطعه ک

قصد خرابکاری و اختالل در امنیت سیستمها یا شبکهها منتشر

میشود.

اهداف خرابکارانه بدافزارها:•

دزدی اطالعات محرمانه و نقض حریم خصوصی )مثال اطالعات –

بانکی(

کندی و ایجاد وقفه و اختالل در سیستمها و سرویسدهی –

تخریب و تغییر اطالعات–

سوءاستفاده از منابع و سرویسها–34


بدافزارها

(Virusویروس )•يك قطعه برنامه کوچک با انتشار از طریق چسبیدن به –

دیگر فایلها

(Wormکرم )•برنامه كوچك مستقل با توانايي كپي شدن و بیشتر –

انتشار از طریق شبکه

(Trojan Horseاسب تروا )•مخفی در يك برنامه مفيد يا به صورت يك برنامه به –

ظاهر مفيد

(Botnet( شبکه بات )Botبات )•فراهم نمودن امکان کنترل تعدادی سیستم قربانی برای –

مقاصد سوء و انجام حمالت جمعی توزیعشده35


36


يتياقدامات امن

(Prevention)پیشگیری •

جلوگیری از خسارت –

(Detection & Tracing)تشخیص و ردیابی •

(Detection)تشخیص –

میزان خسارت •

هویت دشمن •

کیفیت حمله )زمان، مکان، دًالیل حمله، نقاط •ضعف...(

(Reaction)پاسخ •

ترمیم، بازیابی و جبران خسارات –

جلوگیری از حمالت مجدد–37

تشخیصDetection

پاسخReaction

پیشگیری

Prevention


مراتب مقابله با نفوذ و تهاجم در سیستم اطالعاتی / •ارتباطی

اقدامات امنیتی

پيشگيري

تشخيص

ترميم

و ت

ماج

هات

تال

مح

شناسايي و احراز •هويت

كنترل دسترسي•حفاظ )ديواره •

آتش(رمزنگاري و امضاي •

ديجيتال

تکرار داده ها و •سیستمها

پشتیبان گیری•

38

سیستم تشخیص •(IDSنفوذ )

سیستم همبستهساز •رویدادها

سیستم تلهعسل •(Honeypot)


39


داليل ناامني سیستم ها

ضعف فناوري•پروتكل، سيستم عامل، تجهيزات –

ضعف تنظيمات•رهاكردن تنظيمات پيش فرض، گذرواژه هاي نامناسب، –

عدم استفاده از رمزنگاري، راه اندازي سرويس هاي اينترنت بدون اعمال تنظيمات ًالزم، ...

ضعف سياست گذاري•عدم وجود سياست امنيتي–عدم وجود طرحي براي مقابله و بازيابي مخاطرات–نداشتن نظارت امنيتي مناسب )مديريتي و فني(–

40


يامن ساز

فقط به مسئلة امنيت ًالزم است و نه مديريتينگرش •

.نگرش فني

فه خاص و مقطعی.يک وظياست نه ند يفرآک ي يامن ساز•

سازمان است و نه تنها كارگزار تمامي منابع گستره امنيت •

.اصلي

و مجاز خطر بالقوة بيشتري دارند.مهاجمين داخلي •

41


احراز اصالت، فایروال،

رمزنگاری، . . .

سیستمهای تشخیص نفوذ، تله بدافزار، . . .

آزمون نفوذ و آسیبپذیری

عملیات شبکه و امنیت

چرخه ايجاد امنيت

42


امنيت

كارآيي

عملكرد

ت ي امنياستراتژيسازمان

و عملکردييت، کارآين امنيمصالحه ب•مصالحه بين امنيت، كارايي و هزينه•ت مورد انتظار کاربران؟يزان امنيم• قابل تحمل سازمان؟يزان ناامنيم•

43


امنيتي برقراريدشوار

� قربانيامن• يرياس پذي و مقييش کارآي افزايت معموًال

شود.ي م

بر است. نهيت باًال هزيامن•

ت را به عنوان مانع در برابر انجام شدن يکاربران عادی امن•

کنند.ي نميروي پيتي امنياستهايکنند و از سي ميکارها تلق

44


امنيتي برقراريدشوار

ت به طور ي دور زدن امنيافزارها اطالعات و نرم•

ار هستند.يگسترده در اخت

ک مبارزه در نظر يت را به عنوان ي دور زدن امنيبرخ•

برند.ي رند و از انجام آن لذت ميگي م

ه ي اوليهاي در هنگام طراحيتيمالحظات امن•

شود. ها در نظر گرفته نمی ها و شبکه ستميس

45


سیستم مديريت امنيت اطالعات

نیازمند پیادهسازی سیستم مدیریت امنیت اطالعات در سازمانها

ISMSInformation Security Management Systemموضوع

سخنرانی بعدی

46


47


جمعبندی

، و صحت، محرمانگیامنیت اطالعات مبتنی است بر حفظ •

دسترسپذیری

ضرورت تامین امنیت به واسطه افزایش رخدادها و حوادث•

نگاهي فرآيندي به تامين امنيت اطالعات در سازمان و •

سيستم مديريت امنيت سيستم مديريت امنيت سيستماطالعاتاطالعات

48


با تشکر از توجه شما ...با تشکر از توجه شما ...

با تشکر از آقای دکتر امینی برای تهیه نسخه اولیه اسالیدهابا تشکر از آقای دکتر امینی برای تهیه نسخه اولیه اسالیدها

49

امنیت اطلاعات و ضرورت آن

Documents