پاورپوینت آسیب پذیری ها و تهدیدات امنیتی در سیستمهای کامپیوتری: شناسایی و ایمنسازی

بخشی از پاورپوینت

اسلاید 1 :

آسيب پذيري ها و تهديدات امنيتي در سيستمهاي كامپيوتري: شناسایی و ایمنسازی

اسلاید 2 :

سير مبحث
مقدمه
اصطلاحات
آسيب پذيري در لايه هاي مختلف
مهارت هاي امنيتي مرتبط با پرسنل فناوری اطلاعات
معرفی 2 نمونه آسیب پذیری در محیط Web
SQL Injection and XSS
سناریوی عملی کشف آسیب پذیری، بهره برداری و ایمن سازی

اسلاید 3 :

اهميت امنيت سايبر
گسترش استفاده از فناوري اطلاعات و شبكه هاي كامپيوتري
افزايش تهديدات و حملات اينترنتي و Cyber
نمونه ها
لزوم توجه به مقوله امنيت
اهميت توانمند سازي نيروي انساني سازمان ها براي افزايش امنيت

اسلاید 4 :

امنيت در سطوح مختلف
نرم افزار كاربرديبانك داده
سيستم عامل
سرويسها
شبكه
امنيت فيزيكي
سياست ها و روالهاي امنيتي

اسلاید 5 :

بحث آسيب پذيريها
يك مشكل يا نقطه ضعف (Bug نرم افزار يا سخت افزار، سياست اشتباه و .) كه منجر به سو استفاده از سيستم و دسترسي غير مجاز به سيستم مي شود.
بالقوه امكان نقض سياستهاي امنيتي يا دور زدن مكانيزم هاي امنيتي را فراهم ميكند.
Vulnerability
Security Hole
Security Flaw

اسلاید 6 :

اصطلاحات
آسيب پذيري
بهره برداري (Exploitation)
كد بهره بردار (Exploit Code)
وصله امنيتي (Security Patch)
آسيب پذيري روز-صفرم (Zero Day)

اسلاید 7 :

تهديدات و خطرات ناشي از آسيب پذيريها
دسته بندي كلي بر اساس سايت OWASP
تاثيرات از نقطه نظر فني
از دست رفتن محرمانگي
از دست رفتن جامعيت
عدم دسترسي پذيري
تاثيرات از نقطه نظر كسب و كار
ضرر مالي
ضرر به اعتبار سازمان
نقض حريم خصوصي
.

اسلاید 8 :

امنيت در سطوح مختلف
نرم افزار كاربرديبانك داده
سيستم عامل
سرويسها
شبكه
امنيت فيزيكي
سياست ها و روالهاي امنيتي

اسلاید 9 :

تهديدات و خطرات ناشي از آسيب پذيريها
بطور كلي دسترسي غير مجاز به سرويس يا دادهها، يا از كار اندازي سرويس ها
آسيب پذيري سيستم عامل
Remote Vulnerability (دسترسي از راه دور به فايل ها، امكان اجراي دستورات سيستمي، Screen Shot، پاك كردن داده ها و ..)
Local Vulnerability (ارتقاي سطح دسترسي از كاربر معمولي به كاربر مدير)
آسيب پذيري شبكه
عدم Zone بندي درست: نفوذ به يك سيستم غيرحساس و تلاش براي نفوذ به سيستم هاي حساس از طريق آن

اسلاید 10 :

تهديدات و خطرات ناشي از آسيب پذيريها
آسيب پذيري شبكه
دسترسي به كلمات عبور پروتكل هاي نا امن (ftp، POP3)
آسيب پذيري در سطح فيزيكي
بوت با سي دي Hiren يا ERD Commander و تغيير كلمه عبور مدير
خواندن كلمه عبور مدير : Ophcrack

اسلاید 11 :

تهديدات و خطرات ناشي از آسيب پذيريها
آسيب پذيري در سطح برنامه كاربردي
دسترسي به حساب ساير كاربران (XSS)
دسترسي به بانك داده (SQL Injection)
ارسال درخواست از طرف يك كاربر ديگر (CSRF)

اسلاید 12 :

مهارتهاي امنيتي براي تيمهاي مختلف IT
ارتقاي مهارت هاي کارشناسان و مدیران فناوری اطلاعات سازمان در رابطه با آسيب پذيري ها اهمیت دارد
شناسایی
امن سازی

اسلاید 13 :

مهارتهاي امنيتي براي تيمهاي مختلف IT
توسعه نرمافزار
Secure Coding
DBMS Hardening
شبكه
Secure Network Design
سيستم عامل
O.S. Hardening
امنيت
Penetration Test
Vulnerability Assessment
بحث مديريتي (مديريت امنيت اطلاعات)

اسلاید 14 :

مهارتهاي مرتبط با آسيب پذيري ها
شناخت فني آسيب پذيري
چرا آسيب پذيري ايجاد مي شود؟
چه اثري دارد؟
چگونه مورد سو استفاده قرار مي گيرد؟
چگونه وجود آسيب پذيري را تشخيص دهيم؟
چگونه آسيب پذيري را از بين ببريم؟
وصله امنيتي (آسان)
تغيير معماري شبكه (سخت)
كدنويسي (سخت)

اسلاید 15 :

شناخت آسيب پذيري ها
از كجا شروع كنيم؟
آسيب پذيري هاي در سطح سيستم عامل؟
آسيب پذيري هاي در سطح شبكه؟
آسيب پذيري هاي در سطح برنامه هاي كاربردي؟
ريسك
كجا آسيب پذيري محتمل تر است؟ (likelihood)
كجا وجود آسيب پذيري اثر تخريبي بيشتري دارد؟

اسلاید 16 :

آسيب پذيري در نرم افزارهاي كاربردي (تحت وب)
OWASP
Open Web Application Security Project
مجموعه اي از شركت ها، موسسات تحقيقاتي و دانشگاه ها كه در حوزه امنيت نرم افزار كار مي كنند
مستندات و Guide Line ها
استاندارد
ابزارهاي امنيتي

اسلاید 17 :

آسيب پذيري ها (براساس OWASP TOP 10)