بخشی از پاورپوینت
اسلاید 1 :
تهدیدات امنیت و الزامات مهندسی
اسلاید 4 :
مقدمه
انقلاب اطلاعات
دامنه وسیع و تأثیرات گسترده
جنگ اطلاعاتی
جمعآوری اطلاعات
انتقال اطلاعات
حفاظت اطلاعات
ممانعت از دسترسی
اسلاید 5 :
انواع نفوذ گران
نفوذ گران کلاه سفید
نفوذ گران کلاه سیاه
نفوذ گران کلاه خاکستری
نفوذ گران کلاه صورتی
اسلاید 6 :
انواع حملات نفوذ گران
شنود (interception )
تغییر اطلاعات (modification)
افزودن اطلاعات ( fabrication)
وقفه (interruption)
اسلاید 7 :
تهدیدهای امنیتی رایج
اسلاید 8 :
ویروس ها( Viruses)
نرم افزارهایی هستند که برای صدمه زدن به یک سیستم بوجود آمده اند . این نرم افزارها بدون کسب اجازه از سیستم بر روی آن اجرا می شوند و کاربران متوجه اجرای اینگونه نرم افزار ها بر روی سیستم خود نمی شوند . ایده ای که ویروس بر آن بنا شده این است که بدون اجازه سیستم وارد آن شده و به سیستم صدمه وارد کند. پس ویروس ها بد افزارها هستند .
اسلاید 9 :
کرم ها(Worms)
یکی دیگر از تهدیدهای امنیتی رایج ویروس است که توانایی تکثیر خود را از یک سیستم به سیستم دیگر را دارد . نکته دیگر درباره کرم ها که آنها را ازیک ویروس استاندارد متمایز می کند این است که کرم ها نیاز به یک نرم افزار در سیستم هاست ندارند Don’t need Host Applications) )ویروس های معمولا خود را به نرم افزار های دیگر سیستم شما متصل می کنند و به آنها وابسته اند . این در حالی است که کرم ها مستقل عمل می کنند و نیاز به هیچ نرم افزار جانبی دیگری ندارند و دانش انتقال به سیستم دیگر و عملیات بر روی آن را دارند . به همین دلیل از خطرناکترین ویروس های ساخته شده می باشند . به راحتی منتشر می شوند و شروع به تخریب می کنند .
اسلاید 10 :
حملات اسب تروا (Trojan Horse)
یکی از انواع دیگر ویروس است که خود را به صورت یک نرم افزار بدون خطر نشان می دهد , کاربر و سیستم وی را فریب می دهد و بر روی آن نصب و اجرا می شود . سپس بر اساس ساختاری که برای آن تعیین شده شروع به ضرر زدن به سیستم می کند . منظور از ضرر زدن در تمامی موارد می تواند تخریب سیستم , تغییر در ساختار یک نرم افزار خاص, صدور اجازه دسترسی به اشخاص مختلف , دزدی و سرقت اطلاعات سیستم , نابودی اطلاعات سیستم و حتی نشان دادن پیامی خاص در سیستم باشد .
اسلاید 11 :
حملات رد سرویس (DOS)
از دیگر تهدیدهای امنیتی رایج , حملات رد سرویس می باشد . در حقیقت حمله ای نیست که برای دزدی و یا تخریب سیستم به کار گرفته شود . بلکه نوعی حمله است که به یک سرویس مشخصی انجام می شود و آنقدر آن سرویس را به کار می گیرد تا آن توان عملیاتی سرویس سرریز می شود و دیگر قادر به انجام خدمت مورد نظر خود نخواهد بود . این حمله معمولا برای از کار انداختن یک سیستم طراحی شده است . این حمله معمولا بر روی وب سرور ها رایج است . شما ممکن است یک وب سرور داشته باشید که برای سرویس دهی به کاربران خود از آن استفاده می کنید و همچنین اگر این سرویس جزو خدمت اصلی شرکت شماست , یک مهاجم می تواند از این طریق سرور شما را به کار گیرد و خدمت رسانی شما را مختل کند . معمولا این کار زمانی اتفاق می افتد که هکرها نمی توانند به سیستم شما نفوذ کنند تا آن را از کار بیندازند و از این طریق سرویس های شما را مختل می کنند .
اسلاید 12 :
حملات اسمارف (Smurf)
یک نوع از حمله های DoS است و عملکرد آن به این گونه است که درخواست پینگ برای آدرس سرور مورد نظر می فرستد . پینگ درخواستی است که برای اطلاع از عملکرد ارتباطی بین دو سیستم فرستاده می شد . این پیام ارسال را می توان با حجم بالاتری از حجم معمول ارسال کرد و همچنین تعداد بسته ها را نامحدود ارسال کرد . در چنین حالتی سرور از توان پاسخگویی خارج شده و Down می شود .
اسلاید 13 :
حملات مهندسی اجتماعی (Social Engineering)
مهندسی اجتماعی به این معنی است که با استفاده از روابط اجتماعی از شما اطلاعات دریافت می کنند . به این صورت که از راه رابطه اجتماعی وارد می شوند و خود را افراد شناس معرفی می کنند تا اعتماد شما را جلب کنند . سپس از راه های مختلف از شما اطلاعات به دست می آورند .
اسلاید 14 :
حملات شخص واسط (Man in the Middle)
این حملات به این صورت است که فرد نفوذی خود را واسط ارتباط شما و شخص دیگری قرار می دهد و عمل انتقال داده را انجام می دهد . به این صورت به اطلاعات شما دسترسی خواهد داشت . علاوه بر این می تواند اطلاعات غلط و یا حتی فایل ها جاسوسی برای هریک از افراد ارسال کند و از این راه به سیستم آنها نفوذ کند .
اسلاید 15 :
مقابله با تهدیدات امنیت اطلاعاتی
امنیت کاربردها برای محدود کردن تهدیدات داخلی در سطوح کاربردی برای یک سازمان بسیار حیاتی است.
سند سیاست امنیت کاربردها باید شامل موارد زیر باشد:
طبقه بندی اطلاعات
امن سازی اطلاعات
امن سازی نرم افزار
امن سازی هسته سیستم عامل
اسلاید 16 :
طبقه بندی اطلاعات
همه اطلاعات موسسه را به منظور ایمن سازی اطلاعات یا محدود کردن دسترسی مهاجمین احتمالی، می توان در چهار دسته طبقه بندی کرد:
اطلاعات سری: مثلا اطلاعات مربوط به مسائل مالی یا دارایی های رقابتی سازمان
اطلاعات محرمانه: مثلا اطلاعات پرسنلی، رمزهای عبور، کاستی های امنیتی شرکت
اطلاعات داخلی: مثلا دفترچه تلفن و بولتن های داخلی
اطلاعات عمومی: اطلاعات عمومی هم باید محافظت شوند زیرا درصورت تغییر و مخدوش نمودن این اطلاعات توسط مهاجمین سازمان دچار مشکل می شود.
اسلاید 17 :
ایمن سازی اطلاعات
برای امن سازی هر موجودیت هدف ایجاد سه رکن اساسی امنیت یعنی صحت، محرمانگی و دسترس پذیری است بدین منظور امن سازی اطلاعات با توجه به این سه رکن دنبال می کنیم:
رمزنگاری اطلاعات شبکه : اطلاعاتی که از طریق شبکه داخلی موسسه مبادله می شوند.
افزونگی اطلاعات: قابلیت اعتماد و اطمینان پذیری سیستم بالا می رود. سیستم آرایه ای از سخت دیسک های به هم اتصال یافته است که تشکیل RAID داده و تسهیلات زیر را فراهم می کند:
نرخ تبادل بالاتر
افزایش گنجایش دیسک
نرخ ورودی، خروجی بالاتر
دسترسی سریع به اطلاعات
اسلاید 18 :
رمز نگاری سخت دیسک: سبب افزایش صحت و محرمانگی اطلاعات ذخیره شده
تصدیق هویت: کارآمد برای دستیابی به سرورها، کامپیوترها، تجهیزات شبکه چون فایروال و روتر
اسلاید 19 :
امن سازی نرم افزار
اکثر برنامه هایی که کارکنان یک سازمان با آن کار می کنند دارای حفره های امنیتی بوده و می تواند مسبب آسیب های جدی امنیتی شوند.
بهترین روش برای امن سازی نرم افزار
امن سازی در مرحله برنامه نویسی: یعنی تولید برنامه ها با استفاده از استانداردهای امنیتی
اجرای یک ممیزی امنیتی: بسیار حیاتی است زیرا تجزیه و تحلیل کدهای برنامه برای یافتن مشکلاتی نظیر سرریزی بافر سودمند است. به علاوه ابزارهایی برای پویش کدهای منبع به منظور تشخیص باگ های عمومی مورد استفاده قرار می گیرد. برنامه هایی مثل ITS4, RATS, Flawfinder
اسلاید 20 :
امن سازی هسته سیستم عامل
به منظور امن سازی هسته سیستم عامل و حصول صحت و محرمانگی اطلاعات بعد از نصب اولیه یک سیستم عامل نظیر windows باید به موارد زیر توجه کنیم:
امنیت مجوزها : تدابیر امنیتی صحیحی برای دسترسی به فایل ها و پوشه های موجود
دسترسی به منابع موجود روی فضای حافظه ای کامپیوتر به صورت Modify, Full Control و خواندن و نوشتن
درصورتیکه مجوز های لازم به طور صحیحی تفویض نگردد صحت اطلاعات نقض شده و سازمان دچار صدمه و آسیب خواهد گردید.
