Upload
others
View
12
Download
0
Embed Size (px)
Citation preview
2/13/2018
1
:فصل مفاهیم امنیت اطالعات
Email:[email protected] ١
اهداف فصل : ه پس از مطالعه این فصل از فراگیر انتظار می رود ک
.مفهوم امنیت و جنبه های آن را بشناسد•.تمهیدات الزم برای امنیت اطالعات را بداند•.با مفاهیم و زیر ساخت امنیت داده و اطالعات آشنا شود•.با فعالیت های غیر مجاز رایانه ای آشنا شود•
Email:[email protected] ٢
2/13/2018
2
تعریف امنیت امنیت یعنی
دور بودن از هر گونه ریسک•دور بودن از هر گونه شک، تردید ، ترس و عصبانیت •داشتن اعتماد به نفس •هر چیزی که ایمنی و اعتماد بدهد•
Email:[email protected] ٣
تعریف امنیت اطالعات »دنا خوشاینرخداد های از جلوگیری الزم جهت تمهیداتمجموعه «
یا مرکز مکانیزم های پیشگیری جهت جلوگیری از ت«
»خطرناکرخدادهای در حین وقوع قدرتEmail:[email protected] ۴
2/13/2018
3
اطالعاتالزم برای امنیت تمهیداتمجموعه ) ( تمهیدات پیشگیری از حمله -) (کشف حمله تمهیدات -) ( بازیابی و خروج از بحران تمهیدات -
Email:[email protected] ۵
رخداد های ناخوشایند دسترسی غیر مجاز به اطالعات نشت اطالعات محرمانه از دسترس خارج شدن خدمات یک سرویس دهنده تغییر مخفیانه در داده ها سرقت داده ها و اطالعات
Email:[email protected] ۶
2/13/2018
4
... ادامه -رخداد های ناخوشایند از بین رفتن داده ها جعل داده هااختالل در عملکرد صحیح ماشین کاربر هر نوع تعرض به حریم داده های یک ماشین
Email:[email protected] ٧
... ادامه -رخداد های ناخوشایند
Email:[email protected] ٨
2/13/2018
5
... ادامه -رخداد های ناخوشایند
Email:[email protected] ٩
اهداف امنیتی
Email:[email protected] ١٠
2/13/2018
6
... ) ادامه ( اهداف امنیتی محرمانگی -۱
مکانیزم های تضمین کننده جهت حفظ اطالعاتمجموعه ● دارندافراد مجاز اجازه دسترسی به داده ها و اطالعات فقط ● تم، غیرمجاز نباید به داده های کاربران مجاز در سیسافراد ●
.کننددسترسی پیدا Email:[email protected] ١١
... ) ادامه ( اهداف امنیتی جامعیت -۲
، تکرار مکانیزم هایی که جهت جلوگیري از تحریف اطالعاتمجموعه اطالعات، دستکاري اطالعات، حذف اطالعات و آلوده کردن
. روداطالعات بکار می .شود تقسیم میجامعیت مبدا و داده جامعیت به دو بخش جامعیت
Email:[email protected] ١٢
2/13/2018
7
... ) ادامه ( اهداف امنیتی جامعیت داده
اشد آنچه گیرنده دریافت کرده است، همان چیزی ب. که فرستنده فرستاده است
Insecure channelP PA Bفرستنده گیرنده
Email:[email protected] ١٣
... ) ادامه ( اهداف امنیتی جامعیت مبداء
دعا آنچه گیرنده دریافت کرده است، از فرستنده ا. شده دریافت کرده باشد
Insecure channelP PA Bفرستنده گیرنده
Email:[email protected] ١۴
2/13/2018
8
... ) ادامه ( اهداف امنیتی در دسترس بودن -۳
فاده از توانایی استفاده از منابع در سیستم با استمجموعه مکانیزم ها
Email:[email protected] ١۵
... ) ادامه ( اهداف امنیتی مثالی از اهداف امنیتی
ندانسیستم پایگاه داده مربوط به حقوق و دستمزد کارمچگونگی تحقق محرمانگی ؟
تحقق جامعیت ؟چگونگی تحقق در دسترس بودن ؟ چگونگی
Email:[email protected] ١۶
2/13/2018
9
... ) ادامه ( اهداف امنیتی مثالی از اهداف امنیتی
سیستم رزرو بلیط یک آژانس هواپیماییچگونگی تحقق محرمانگی ؟
تحقق جامعیت ؟چگونگی تحقق در دسترس بودن ؟ چگونگی
Email:[email protected] ١٧
تعاریف و مفاهیم امنیتیحاشیه امنیت●
وگیری تعیین هر اقدام پیشگیرانه برای جل« »حمله به تهدیداز تبدیل
Email:[email protected] ١٨
2/13/2018
10
... ادامه تعاریف و مفاهیم امنیتی ): (میزان خطر●
حمله تخمینی از احتمال وقوع یک ) Risk Analysis And Assessment:(ارزیابی و تحلیل میزان خطر●
ه بررسی و تحلیل میزان خطر برای هر مولفه در شبکEmail:[email protected] ١٩
... ادامه تعاریف و مفاهیم امنیتی ): (دارایی ●
.هر موضوعی که ارزش محافظت داشته باشد.شودهر چیزی که مخاطره در مورد آن معنادار می
...داده ها ، نرم افزار ها ، سخت افزار ها و : مثال Email:[email protected] ٢٠
2/13/2018
11
... ادامه تعاریف و مفاهیم امنیتی ): (تصدیق اصالت ●
ند می ککه ادعا اطمینان از این که کاربر مقابل ما ، همانی است
Email:[email protected] ٢١
... ادامه تعاریف و مفاهیم امنیتی ) : (مجازشناسی●
ستبه همان میزان حق دسترسی دارد، که به او اعطاء شده اکاربر
Email:[email protected] ٢٢
2/13/2018
12
... ادامه تعاریف و مفاهیم امنیتی ): (حفظ حریم خصوصی●
تاج کردمقاومت در مقابل افشای اطالعاتی که می توان از بستر شبکه استن
Email:[email protected] ٢٣
... ادامه تعاریف و مفاهیم امنیتی ) : (خط مشی امنیتی●
ود بیان رسمی قواعد و باید و نبایدهایی که باعث می ش. دارایی های یک سازمان ، امن باقی بماند
Email:[email protected] ٢۴
2/13/2018
13
... ادامه تعاریف و مفاهیم امنیتی ): (راهکار امنیتی●
پیاده سازی خط مشی های امنیتی
Email:[email protected] ٢۵
... ادامه تعاریف و مفاهیم امنیتی ): (سرویس امنیتی●
نتقال سرویس هایی که امنیت سیستم های پردازش داده و ااطالعات سازمان ها را ارتقاء می دهد
Email:[email protected] ٢۶
2/13/2018
14
... ادامه تعاریف و مفاهیم امنیتی آسیب پذیری ●
، اجرا که هر گونه نقطه ضعف در توصیف، طراحی، پیاده سازی، پیکربندیقض نمودبتوان از آن سوء استفاده کرد و خط مشی های امنیتی سیستم را ن
Email:[email protected] ٢٧
... ادامه تعاریف و مفاهیم امنیتی مخاطره یا تهدید●
احتمال سوء استفاده کردن از یک یا چند آسیب پذیری: انواع
عمدی غیر عمدی طبیعی Email:[email protected] ٢٨
2/13/2018
15
... ادامه تعاریف و مفاهیم امنیتی :تهدیدات طبیعی
باشدی این تهدیدات ناشی از عوامل طبیعی یا خارج از سیستم مآتش سوزی –زلزله –سیل : مثال
انی استفاده از مناطق متفاوت جغرافیایی برای پشتیب: راهکار Email:[email protected] ٢٩
... ادامه تعاریف و مفاهیم امنیتی :تهدیدات غیر عمدیزمانساشبکه،کاربران یا کارمندان مدیر اشتباهات سهوی
:تهدیدات عمدیهر گونه اقدام برنامه ریزی شده جهت ایجاد اختالل
Email:[email protected] ٣٠
2/13/2018
16
... ادامه تعاریف و مفاهیم امنیتی )Security plan: (طرح امنیتی●
ملیع سازی پیاده ، تهدیدها کنترل ، نظارت برای دقیق ای نقشه به و پذیر آسیب نقاط آوردن در کنترل تحت ، امنیتی استراتژی
قموف ای حمله بروز صورت در احتمالی های آسیب رساندن حداقل . شود می گفته امنیتی طرح
Email:[email protected] ٣١
... ادامه تعاریف و مفاهیم امنیتی )Security Attack: (حمله امنیتی●
تبدیل تهدید از قوه به فعل و ایجاد خسارت و تخریب یا
ی اندازدهر فعالیتی که امنیت اطالعات یک سیستم را به خطر مEmail:[email protected] ٣٢
2/13/2018
17
... ادامه تعاریف و مفاهیم امنیتی )Damage: (خسارت ●
رمانه، از بین رفتن منابع، دستکاری اطالعات، افشای اطالعات محفاده از خصوصی، جعل هویت و فریبکاری، سوء استحریم شکستن
خدمات معمول شبکهEmail:[email protected] ٣٣
مهاجم اهانه هر شخص یا عنصری در شبکه، که با اعمال بدخو
دهد خود، حمله ای علیه سیستمی انجام می ا یتک نفره خود را به دو صورت حمالت مهاجمین
. می دهندانجام گروهیEmail:[email protected] ٣۴
2/13/2018
18
دسته بندی مهاجمین : الف گروه
ایه مشی خط خالف بر که شبکه درون معتبر فرد :داخلی -۱ .دهد می انجام مخربی های فعالیت خود، شبکه امنیتی
تفعالی انجام قصد و بوده شبکه از خارج عضوی :خارجی -۲ .دارد شبکه در مخربی های
Email:[email protected] ٣۵
... ادامه –دسته بندی مهاجمین :گروه ب تازه کار -۱شکن قفل -۲ نخبه -۳
Email:[email protected] ٣۶
2/13/2018
19
... ادامه –دسته بندی مهاجمین یگر ارسال تا یک هفته د. در مورد هکرهای زیر تحقیق نمائید:تمرین ) Neophyte, Noob, Newbie (نوب نوپا یا هکرهای هکرهای مدرن و هکرهای قدیمی ) Suicide( هکر انتحاری ) Academic( هکر علمی ) Phreaker( فریکر ) Hacktivist( هک تیویست ) Blue Hat( هکرهای کاله آبی ) Red Hat( هکرهای کاله قرمز ) Grey Hat( هکرهای کاله خاکستری
Email:[email protected] ٣٧
حمالت امنیتیانواع .را تهدید می کنند محرمانگیحمالتی که ●.تهدید می کنندرا جامعیت حمالتی که ●.کنندکاربران مجاز را تهدید می دسترسیحمالتی که ●
:تقسیم بندی حمالت بر اساس ) ( حمالت فعال -۲) ( حمالت غیر فعال -۱
Email:[email protected] ٣٨
2/13/2018
20
... ادامه –امنیتی انواع حمالت : حمالت غیرفعال ●
اثیری حمالتی که مهاجم از اطالعات شبکه استفاده کرده ، اما ت. بر روی آن نمی گذارد
صرفا بدست آوردن اطالعات است : هدفتحلیل ترافیک -۲آشکار سازی محتویات پیام -۱: انواع
Email:[email protected] ٣٩
حمالت غیرفعال ... ادامه –امنیتی انواع حمالت ) جاسوسی ( آشکار سازی محتویات پیام -۱
»دسترسی غیر مجاز به داده ها و شنود آنها« استفاده از رمز نگاری: روش جلوگیری
Internet or other commsfacility
Read content of message from Bob to Alice
Release of message contentsBob Alice
EVE
Email:[email protected] ۴٠
2/13/2018
21
حمالت غیرفعال ... ادامه –امنیتی انواع حمالت حمله تحلیل ترافیک -۲
Internet or other commsfacility
Observe pattern of messages from Bob to Alice
Traffic AnalysisBob
Alice
EVE
:مقابله مراقبت فیزیکی از کانال ● Email:[email protected]انتوزیع یکنواخت پیام در طول زم ● ۴١
... ادامه –امنیتی انواع حمالت ندحمالتی که مهاجم به داده ها و اطالعات سیستم صدمه وارد می ک: حمالت فعال ●
: انواعنقاب زنی یا تظاهر کردن -۱تغییر پیام ها -۲تکرار -۳ ممانعت از سرویس -۴Email:[email protected]پیام انکار ارسال و یا دریافت -۵ ۴٢
2/13/2018
22
حمالت فعال ... ادامه –امنیتی انواع حمالت نقاب زنی یا تظاهر کردن -۱
.ری رایانه ایماسک زدن یا به تعبیر دیگه تغییر قیافه دادن روش دیگه ای از کالهبردا
Internet or other commsfacilityAlice
Eve Message from Eve that appears to be from Bob
Bob
MasqueradeEmail:[email protected] ۴٣
حمالت فعال ... ادامه –امنیتی انواع حمالت دستکاری و تغییر پیام ها -۲
»نقطه داده های در حال جریان بین دو دستکاری «
Internet or other commsfacility
Alice
Eve
Bob
EVE modifies messages from Bob to Alice
Modifications of Message
D1 D2
Email:[email protected] ۴۴
2/13/2018
23
حمالت فعال ... ادامه –امنیتی انواع حمالت )بازخوانی ( ارسال مجدد اطالعات تکرار -۳
Internet or other commsfacility
Alice
Eve
Bob
Capture message from Bob to Alice, later reply message to Alice
ReplayEmail:[email protected] ۴۵
حمالت فعال ... ادامه –امنیتی انواع حمالت ممانعت از سرویس -۴
دهاز کار انداختن و یا کند کردن سرویس یک سرویس دهن
Internet or other comms facility
Eve
Bob
Eve disrupts service provided by servers
Denial of Service
Server
Email:[email protected] ۴۶
2/13/2018
24
حمالت فعال ... ادامه –امنیتی انواع حمالت انکار ارسال و یا دریافت پیام -۵
»عدم پذیرش و انکار ارسال و یا دریافت یک پیام «
Email:[email protected] ۴٧
طبقه بندی حمالت در ارتباط با اهداف امنیتی
SnoopingجاسوسیTraffic Analysisبکهتحلیل ترافیک ش
Modificationتغییر اطالعات
Repudiationانکار دریافت
Replayingتبرگرداندن اطالعا
Masqueradingتغییر شکل دادنDenial of Serviceعدم پذیرش سرویس
Security Attacks
خدشه بر دسترسی اطالعات
خدشه بر جامعیت اطالعات
خدشه بر محرمانگی اطالعات
Email:[email protected] ۴٨
2/13/2018
25
... ادامه –امنیتی انواع حمالت دسته بندی حمالت فعال و غیر فعال
به مخاطره اندازنده الفع/ غیرفعال حمالتمحرمانگی غیر فعال تحلیلی ترافیکجاسوسی،
جامعیت فعال ارسال ،زدن جاخود را ،دستکاریانکار ،دوباره
دسترسی اطالعات فعال اختالل در سرویس دهیEmail:[email protected] ۴٩
نتایج حملهافشای اطالعات
تخریب اطالعات منع خدمت
سرقت خدمت دسترسی بیشتر
Email:[email protected] ۵٠
2/13/2018
26
دسته بندی حمالت در شبکه
Email:[email protected] ۵١
امنیت کارت های الکترونیکی
Email:[email protected] ۵٢
کارت پرداخت الکترونیکی افزایش امنیت -۲سهولت در حمل و نقل -۱
Skimmer :ابزاری برای اسکن و ذخیره سی اطالعات ذخیره شده روی نوار مغناطی
کارت های پرداخت الکترونیکی
2/13/2018
27
اهداف و الزامات استاندارد
Email:[email protected] ۵٣
اهداف الزاماتایجاد و حفظ شبکه و سیستم امن نصب و پیکربندی فایروال جهت حفاظت ازا طالعات مربوط به دارندگان کارت پرداخت الکترونیک .۱
پارامترهای امنیت عدم استفاده از تنظیمات پیش فرض انجام شده توسط فروشندگان و سازندگان تجهیزات مانند کلمه عبور و دیگر.۲
حفاظت از اطالعات دارنده کارت محافظت از داده های ذخیره شده مربوط به دارندگان کارت .۳رمزنگاری اطالعات دارندگان کارت در هنگام انتقال در شبکه های عمومی.۴
ذیریاستفاده از برنامه های مدیریت آسیب پ حفاظت از کل سیستم در برابر بدافزارها و نصب نرم افزار آنتی ویروس و به روزرسانی مداوم آن .۵توسعه و نگهداری سیستم های ایمن و برنامه های کاربردی امن.۶
هادر کنترل دسترسی اعمال تمهیدات قویمحدود کردن دسترسی به اطالعات دارندگان کارت براساس حد نیاز .۷شناسایی و احراز هویت دسترسی به اجزای سیستم.۸محدود کردن دسترسی فیزیکی به اطالعات دارندگان کارت.۹
پایش و ارزیابی مداوم شبکه ان کارتپایش و ردیابی مداوم هر گونه دسترسی به منابع اطالعاتی، تجهیزات شبکه و همچنین اطالعات مربوط به دارندگ .۰۱ارزیابی و بازدید دوره ای و منظم امنیت سیستم ها و فرآیندهای امنیتی لحاظ شده.۱۱
اتخاذ یک سیاست امنیت اطالعات اتخاذ سیاست ها و خط مشی های امنیت اطالعات برای هدایت تمام پرسنل .۲۱
اطالعات ذخیره شده روی نوار مغناطیسی کارت ها
Email:[email protected] ۵۴
Primary Account number (PAN)شماره کارت •نام دارنده کارت•تاریخ انقضاء•CVVعدد •
2/13/2018
28
انکی تقلبی درگاه بطراحی صفحات سرقت اطالعات از طریق
Email:[email protected] ۵۵
یراهکارهای مقابله با سرقت اطالعات کارت های بانک
Email:[email protected] ۵۶
پایانه های از استفاده یا حضوری پرداخت های انجام هنگام در.۱ .شود وارد افراد خود توسط صرفاً عبور رمز فروشگاهی
نصب عدم به نسبت ATM دستگاه های از وجه دریافت هنگام در.۲.شود حاصل اطمینان کارت ورود محل skimmer دستگاه های
جودو به حتماً الکترونیکی درگاه های طریق از وجه پرداخت درهنگام.۳ .شود توجه سایت آدرس نوار در SSLگواهی