پاورپوینت امنیت ضرورت توسعه در عصر اطلاعات و ارتباطات

بخشی از پاورپوینت

اسلاید 2 :

امنيت ضرورت توسعه در عصر اطلاعات و ارتباطات

اسلاید 3 :

طرح چند سوال
در قرن اخير ميزان و نحوه تاثير فناوري در زندگي بشر چگونه قابل ارزيابي است؟

در قرن بيست و يکم آيا فناوري اطلاعات و ارتباطات يک انتخاب است و يا يک پارادايم قالب زندگي؟

با فرض اينکه فناوري اطلاعات و ارتباطات يک انتخاب باشد آيا هزينه امنيتي آن بر منافع حاصل از آن ارجحيت دارد؟

آيا فناوريهاي نوظهور به صورت عام و فناوري اطلاعات به صورت خاص به صورت ذاتي ماهيتي تهديد آميز دارند؟

اسلاید 4 :

مفهوم و تعاريف فناوری
مجموعه اي از دانشها، مهارت ها و تجهيزات كه سطح توانمندي سازمان را براي انجام فعاليتها، اجرای فرآيندها، و توسعه محصولات و خدمات افزايش مي دهد.

فناوری یک توانمندی خلق شده برای افزایش مهارت های انسانی می باشد که به صورت مجموعه ای از دانش، مهارت و تجهیزات متبلور می شود.

اسلاید 5 :

نتیجه گیري
براساس روندهاي جهاني و تحليلهاي انجام شده فناوري اطلاعات يک پارادايم زندگي جديد است.
براساس رويکرد الهام بخش و تعامل فعال نظام، رويکرد اساسي کشور حضور موثر در اين پارادايم جديد زندگي ملي و بينالمللي است.
با توجه به سياستهاي کلان ابلاغي مقام معظم رهبري رويکرد اساسي نظام در امنيت :
فرهنگسازي
دستيابي به فناوري امنيت
هوشمندي پدافندي
به عنوان لازمه بهرهبرداري همه جانبه و هوشمندانه از اين فناوري است.

اسلاید 6 :

امنيت اطلاعات چيست ؟
فرايند(نه پروژه)
هيچ وقت 100%
مديريت ريسک
ارتقا وضعيت امنيت
تغيير چشم انداز امنيت
تهديدات
فرصتها

اسلاید 7 :

هدف امنيت اطلاعات
Protected
Information
براي اطمينان از محرمانگي، يکپارچگي و دسترس پذيري سيستمهاي حياتي و اطلاعات محرمانه
اطلاعات محرمانه و سيستمهاي حياتي

اسلاید 8 :

حوزه هاي امنيت اطلاعات
کنترل دسترسي
امنيت برنامه هاي کاربردي
طرح مواجهه با حوادث غير مترقبه و تداوم کسب و کار
رمزنگاري
مديريت امنيت اطلاعات و ريسک
امنيت عملياتها
امنيت فيزيکي(محيطي)
طراحي و معماري امنيت
امنيت شبکه و ارتباطات

اسلاید 9 :

مروري بر حملات اخير
سرور mail وزارت امور خارجه ايران توسط گروه هکري ناشناس شکسته شد و 10000 ايميل در سال 1390 هک شد.
سرور اتوماسيون اداري وزارت علوم تحقيقات و فناوري در خرداد سال 90 مورد نفوذ قرار گرفت و مكاتبات زيادي از بين رفت.
ورود بدافزار و حمله سايبري اخير به وزارت نفت و شركت هاي تابعه باعث به وجود آمدن مشكلات فراواني براي آن وزارتخانه شد.
چندين حمله و بدافزار ديگري نيز در سازمانها اتفاق افتاد كه رسانه اي نشد.

اسلاید 10 :

Stuxnet
استاکسنت از طريق رايانامه و حافظههاي جانبي منتشر ميشود.
هدف از طراحي اين بدافزار دستيابي به اطلاعات صنعتي ايران و هدف بعدي خرابکاري در سيستم هاي صنعتي مخصوص بود.
اسرائيل استاکسنت را در مرکز اتمي ديمونا و بر روي سانتريفيوژهاي مشابهاي که ايران از آنها در تاسيسات غنيسازي اورانيوم نطنز استفاده ميکند، با موفقيت آزمايش کردهبود.

اسلاید 11 :

Duqu
قسمتهايي از Duqu مشابه Stuxnet است که ميتواند بيانگر آن باشد که احتمالاً توسط نويسندگان آن و يا افرادي که به کد منبع Stuxnet دسترسي داشتهاند، نوشته شده است.
برخلاف Stuxnet بدافزار Duqu حاوي هيچ کدي مرتبط با سيستمهاي کنترل صنعتي نيست .
به عبارت ديگر Duqu براي حمله مستقيم به سيستمهاي صنعتي طراحي نشده و در واقع بيشتر براي جمعآوري اطلاعات براي حمله آينده نوشته شده است. تعدادي از سازندههاي سيستمهاي کنترل صنعتي آلوده به اين بدافزار بودهاند.

اسلاید 12 :

Flame
بد افزار Flame به مدت 5 تا 8 سال فعال بوده است، در بعضي گزارشات نيز به سالهاي بيشتري اشاره شده است.
انتشار از طريق حافظه هاي فلش
پويش شبكه و جمع آوري و ثبت اطلاعات منابع شبكه و رمز عبور سيستم هاي مختلف
پويش ديسك كامپيوتر آلوده و جستجو براي فايل هايي با پسوندها و محتواي مشخص
تهيه تصوير از فعاليت هاي خاص كاربر سيستم آلوده با ذخيره سازي تصاوير نمايش داده شده بر روي مانيتور كاربر
ذخيره سازي صوت دريافتي از طريق ميكروفن سيستم در صورت وجود
ارسال اطلاعات ذخيره شده به سرورهاي كنترل خارج از كشور

اسلاید 13 :

نکات مهم بدافزارهاي اخير
انتقال از Flash درايورها (كنترل ورود و خروج اطلاعات)
آسيب پذيري ويندوز (مراجعت به سيستم عامل هاي متن باز)
عدم آموزش پرسنل
رمزهاي عبور ساده کارمندان
دسترسي واحدهاي مختلف کاري در شبکه به همديگر
عدم وجود تجهيزات و نيروي انساني متخصص در حوزه امنيت

اسلاید 14 :

قاعده 90/10
10%
90%

اسلاید 15 :

کارمندان خطر ساز
گروهي که داراي دانش امنیتي کمي مي باشند و به دوستان يا همکاران خود اجازه دسترسي يه رايانه دراختيار را ميدهند(اکثريت کارمندان)
افرادي که با وسايل و ابزارهاي اضافه به سر کار مي آيند و آن را به رايانه ها متصل ميکنند
افرادي که از منابع فناوري اطلاعات استفاده ناشايست ميکنند
افرادي که به عمد به خرابکاري ميپردازند( اقليت ناچيز)

اسلاید 16 :

آمارهاي تهديد داخلي
يک نفر از هر پنج کاربر(21%) به همکاران ،دوستان و خانواده اجازه ميدهند از رايانه در اختیار و همراه خود استفاده کنند..

بيش از نصف(51%) کارمندان وسايل و ابزار خود را به رايانه ها وصل ميکنند.

يک چهارم اين افراد هر روز اين کار را انجام ميدهند.

60% کارمندان قبول دارند که اطلاعات شخصي را بر روي رايانه هاي اداره ذخيره مي کنند

اسلاید 17 :

آمار بيشتري از تهديدات داخلي
يک نفر از 10 نفر اعتراف دارد که فايلهاي نامربوط دانلود کرده اند
دو سوم ( 62%) اذعان دارند که داراي دانش امنيتي کمي هستند

بيش از نصف (51%) کارمندان در مورد به روز رساني ضد ويروس ايده اي ندارند

5% گفتند به حوزه هاي سيستم فناوري اطلاعاتي که اجازه ورود نداشتند دسترسي پيدا کرده اند.

اسلاید 18 :

چه مشکلي در اين تصوير ديده ميشود ؟

اسلاید 19 :

اشکالات کم نيست !!!!

اسلاید 20 :

آگاهي امنيتي چيست؟
آگاهي امنيتي به دانش،مهارت و حالت افراد در قبال حفاظت ازدارايي هاي امنيتي گفته مي شود.
آگاه بودن امنيتي به معناي فهم از امکان دزدي يا خرابکاري حساب،رايانه يا داده شما به صورت عمدي يا تصادفي مي باشد.
آگاهي از مخاطرات و راه هاي ايمن کردن ممکن اولين گام دفاعي براي امنيت اطلاعات،سيستمها و شبکه ها مي باشد.