8. مزاياي تجارت الک تروهيک
8
افزايض فروش
افزايض درامد
افزايض صرمايي گذاري
افزايض صعح رفاى زهدگي مردم
ايجاد فرصتٌاي تجاري جديد براي صوايع و بوگاى ًاي بازرگاهي
افزايض فرصتٌاي جديد ظغلي
امکان ارائي خدمات و مدصٍالت در صعح جٌاهي
جلٍگيري از اتالف ولت و کاًض ترددًاي بي مٍرد
کاًض ًزيوي ًاي صربار و ايجاد رلابت در صعح بين الملل
دصترصي صريع بي اظالغات
غدم خضٍر واصعي
کاًض ًزيوي ًاي تبليغات کاال
ورود بي بازارًاي فرا موعكي اي در جٌت بازاريابي جٌاهي
9. هيازًاي تجارت الک تروهيک
9
يک صيشتم باهکي روان و دليق
لٍاهين گمرکي،مالياتي و باهکداري الک تروهيکي
کد تجاري مدصٍل
تٌيي و تدوين هظام مالي اظالغات و هظام خكٍلي اظالع رصاهي (کپ ي رايت)
امويت اظالغات
مدرماهي بٍدن اظالغات ظخصي
تعبيق مكررات ملي با مكررات متددالطکل بين المللي
ًمکاري داهطگاًٌا،مراکز تدكيكاتي و صازماهٌاي مختلف
پذيرش اصواد الک تروهيکي تٍصط لٍى لضاييي
تامين، صدور و بکارگيري کارت اغتباري
تامين خعٍط ارتباظي پرصرغت و معمئن و ايجاد بشتر مخابراتي بي ظکل بي صيم
10. تػریف امویت :
• اطالعات فقط و فقط بایستی توسط افراد مجاز قابل دسترسی و تغییر
باشد. محرمانگی
• حفظ تمامیت به معناي پیشگیري از بروز مشکل در همکاري و پیوسته نگه
داشتن عناصر یک سیستم می باشد. تمامیت
• اطالعات بایستی به هنگام نیاز توسط افراد مجاز قابل دسترس باشد.
دسترس پذیري
• به هنگام انجام کاري و یا دریافت اطالعات یا سرویسی، شخص انجام دهنده یا
گیرنده نتواند آن را انکارکند. عدم انکار
01
11. ارزیابی غملیات تجارت الک تروهیک
100%
80%
60% Series 3
Series 2
40%
Series 1
20%
0%
11 Category 1 Category 2 Category 3 Category 4
14. DHSچیشت؟
1- سیستم ملی پاسخگوی امنیت فضاهای مجازی
2- برنامه کاهش آسیب پذیری و خطرات احتمالی موجود در فضاهای مجازی
3- برنامه های آموزشی و آگاه کننده در زمینه امنیت فضاهای مجازی
4- ایمن سازی فضای مجازی دولت
5- همکاری های بین المللی و ملی در زمینه امنیت
41
16. 61
استاندارد 9977BS
استاندارد 9977 BSاولین استاندارد مدیریت امنیت است که توسط موسسه استاندارد انگلیس ارائه
شده است. نسخه اول این استاندارد (1-9977 )BSدر سال 5991 و در یک بخش و با
عنوان BS7799-1: Code of Practice for Information Security Managementمنتشر
گردید. و نسخه دوم آن (2-9977 )BSکه در سال 9991 ارائه شد، عالوه بر تغییر نسبت به نسخه
اول، متشکل از دو بخش مستقل ارائه گردید. هدف از تدوین این استاندارد ارائه پیشنهاداتي در
زمینه مدیریت امنیت اطالعات براي کساني است که مسئول طراحي، پیاده سازي یا پشتیباني مسائل
امنیتي در یک سازمان مي باشند. این استاندارد متشکل از 53 هدف امنیتي و 721 اقدام بازدارنده
براي تامین اهداف تعیین شده ميباشد که جزئیات و چگونگيها را مطرح نمي کند بلکه سرفصلها
و موضوعات کلي را بیان مي کند. طراحان استاندارد 9977 BSاعتقاد دارند که در تدوین این
استاندارد، ممکن است کنترل ها و راهکارهاي مطرح شده براي همه سازمان ها قابل استفاده نباشد
ویا نیاز به کنترلهاي بیشتري باشد که این استاندارد، آنها را پوشش نداده است.
17. 71
اصتاهدارد 9977BS
در سال 0002 میالدي بخش اول استاندارد 2-9977 BSبدون هیچگونه تغییري توسط موسسه بین المللي استاندارد بعنوان استاندارد
99771 ISO/IECمنتشر گردید. وشامل سر فصل هاي ذیل است:
تدوین سیاست امنیتي سازمان
تشکیالت امنیتي
طبقه بندي سرمایه ها و تعیین کنترلهاي الزم
امنیت پرسنلي
امنیت فیزیکي و پیراموني
مدیریت ارتباطات و بهره برداري
کنترل دسترسي
توسعه و پشتیباني سیستم ها
مدیریت تداوم فعالیت
سازگاري
18. 81
اصتاهدارد 9977BS
این استاندارد مجددا در سال 2002 میالدي بازنویسي و منتشر گردید. در سال 5002
دوباره این استاندارد بازنویسي و با دو نام 5002:99771 BS ISO/IECو BS
5002:1-9977 در یک سند انتشاریافت. این نسخه متشکل از 93 هدف امنیتي و
431 اقدام بازدارنده است. تغییراتي که این استاندارد نسبت به استاندارد قبل آن
کرده است عبارت است از:
الف- افزایش یافتن یک فصل جدید و تغیییر نمودن بعضي از فصول گذشته
ب- تغییر وحذف شدن بعضي از کنترلهاي قدیمي و اضافه شدن 71 کنترل جدید
ج- افزایش تعداد کنترلها به 431عدد
19. اصتاهدارد 9977BS
91
نحوه عملكرد استاندارد 9977 BS
در راستای تحقق دومین هدف پیدایش این استاندارد كه به آن اشاره شد، یعنی كمك به كاربران سرفصلهایی
برای نحوه پیاده سازی امنیت در یك سازمان كه در حقیقت یك كاربر سیستم های امنیتی می باشد، تعیین شده
است كه عبارتند از:
● تعیین مراحل ایمن سازی و نحوه شكل گیری چرخه امنیت
● جزییات مراحل ایمن سازی و تكنیكهای فنی مورد استفاده در هر مرحله
● لیست و محتوای طرح ها و برنامه های امنیت اطالعات مورد نیاز سازمان
● ضرورت و جزییات ایجاد تشكیالت سیاستگذاری، اجرایی و فنی تامین امنیت
● كنترلهای امنیتی مورد نیاز برای هر یك از سیستم های اطالعاتی و ارتباطی
● تعریف سیاستهای امنیت اطالعات
● تعریف قلمرو سیستم مدیریت امنیت اطالعات و مرزبندی آن متناسب با نوع نیازهای سازمان
● انجام و پذیرش برآورد مخاطرات، متناسب با نیازهای سازمان
● پیش بینی زمینه ها و نوع مخاطرات بر اساس سیاستهای امنیتی تدوین شده
● انتخاب هدفهای كنترل و كنترلهای مناسب كه قابل توجیه باشند، از لیست كنترلهای همه جانبه
● تدوین دستورالعمل های عملیاتی
20. اصتاهدارد 9977BS
02
مدیریت امنیت شبكه
به منظور تعیین اهداف امنیت، ابتدا باید سرمایههای مرتبط با اطالعات و ارتباطات سازمان،
شناسایی شده و سپس اهداف تامین امنیت برای هریك از سرمایهها، مشخص شود.سرمایههای
مرتبط با شبكه سازمان عبارتند از: سخت افزار، نرمافزار، اطالعات، ارتباطات، كاربران.
اهداف امنیتی سازمانها باید به صورت كوتاهمدت و میانمدت تعیین گردد تا امكان تغییر آنها
متناسب با تغییرات تكنولوژیها و استانداردهای امنیتی وجود داشته باشد. عمده اهداف كوتاه
مدت در خصوص پیادهسازی امنیت در یك سازمان عبارتند از:
- جلوگیری از حمالت و دسترسیهای غیرمجاز علیه سرمایه های شبكه
- مهار خسارتهای ناشی از ناامنی موجود در شبكه
- كاهش رخنه پذیری
21. اصتاهدارد 9977BS
12
اهداف میانمدت نیز عمدتا ً عبارتند از:
- تامین صحت عملكرد، قابلیت دسترسی برای نرمافزارها و سختافزارها و محافظت فیزیكی
صرفا ً برای سخت افزارها
- تامین محرمانگی، صحت و قابلیت دسترسی برای ارتباطات و اطالعات متناسب با طبقه
بندی آنها از حیث محرمانگی و حساسیت
- تامین قابلیت تشخیص هویت، حدود اختیارات و پاسخگویی، حریم خصوصی و آگاهیرسانی
امنیتی برای كاربران شبكه، متناسب با طبقهبندی اطالعات قابل دسترس و نوع كاربران
22. اصتاهدارد 9977BS
22
استاندارد 9977 BSدارای 01 گروه كنترلی می باشد كه هرگروه شامل چندین كنترل زیرمجموعه است
بنابراین در كل 721 كنترل برای داشتن سیستم مدیریت امنیت اطالعات مدنظر قراردارد. این ده گروه كنترلی
عبارتند از :
1- تدوین سیاست امنیتي سازمان: در این قسمت، به ضرورت تدوین و انتشار سیاست هاي امنیتي اطالعات و ار
تباطات سازمان ، بنحوي كه كلیه مخاطبین سیاست ها در جریان جزئیات آن قرار گیرند، تاكید شده است . همچنین
جزئیات و نحوه نگارش سیاست هاي امنیتي اطالعات و ارتباطات سازمان، ارائه شده است.
2- ایجاد تشكیالت تامین امنیت سازمان: در این قسمت، ضمن تشریح ضرورت ایجاد تشكیالت امنیت اطالعات و
ارتباطات سازمان، جزئیات این تشكیالت در سطوح سیاستگذاري، اجرائي و فني به همراه مسئولیت هاي هر یك از
سطوح، ارائه شده است.
3-دسته بندي سرمایه ها و تعیین كنترل هاي الزم :در این قسمت، ضمن تشریح ضرورت دسته بندي اطالعات
سازمان، به جزئ یات تدوین راهنماي دسته بندي اطالعات سازمان پرداخته و محورهاي دسته بندي اطالعات را ارائه
نموده است.
23. اصتاهدارد 9977BS
32
4-امنیت پرسنلي :در این قسمت، ضمن اشاره به ضرورت رعایت مالحظات امنیتي در
بكارگیري پرسنل، ضرورت آموزش پرسنل در زمینه امنیت اطالعات و ارتباطات، مطرح شده و
لیستي ازمسئولیت هاي پرسنل در پروسه تامین امنیت اطالعات و ارتباطات سازمان، ارائه شده
است.
5 امنیت فیزیكي و پیراموني :در این قسمت، اهمیت و ابعاد امنیت فیزیكي، جزئیات محافظت از
تجهیزات و كنترلهاي موردنیاز براي این منظور، ارائه شده است.
6 مدیریت ارتباطات :در این قسمت، ضرورت و جزئیات روالهاي اجرائي موردنیاز، بمنظور تعیین
مسئولیت هریك از پرسنل، روالهاي مربوط به سفارش، خرید، تست و آموزش سیستم ها، محافظت
درمقابل نرم افزارهاي مخرب، اقدامات موردنیاز در خصوص ثبت وقایع و پشتیبان گیري
ازاطالعات، مدیریت شبك ه، محافظت از رسانه ها و روالها و مسئولیت هاي مربوط به
درخواست، تحویل، تست و سایر موارد تغییر نرم افزارها ارائه شده است.
24. اصتاهدارد 9977BS
42
7- كنترل دسترسي :در این قسمت، نیازمندیهاي كنترل دسترسي، نحوه
مدیریت دسترسي پرسنل،مسئولیت هاي كاربران، ابزارها و مكانیزم هاي
كنترل دسترسي در شبكه، كنترل دسترسي در سیستم عاملها و نرم افزارهاي
كاربردي، استفاده از سیستم هاي مانیتورینگ و كنترل دسترسي در ارتباط از
راه دور به شبكه ارائه شده است.
8-نگهداري و توسعه سیستم ها:در این قسمت، ضرورت تعیین نیازمندیهاي
امنیتي سیستم ها، امنیت د ر سیستم هاي كاربردي، كنترلهاي رمزنگاري،
محافظت از فایلهاي سیستم و مالحظات امنیتي موردنیازدر توسعه و پشتیباني
سیستم ها، ارائه شده است.
25. اصتاهدارد 9977BS
52
-9 مدیریت تداوم فعالیت سازمان :در این قسمت، رویه هاي مدیریت تداوم فعالیت، نقش
تحلیل ضربه در تداوم فعالیت، طراحي و تدو ین طرح هاي تداوم فعالیت، قالب پیشنهادي براي
طرح تداوم فعالیت سازمان و طرح هاي تست، پشتیباني و ارزیابي مجدد تداوم فعالیت سازمان،
ارائه شده است.
01-پاسخگوئي به نیازهاي امنیتي :در این قسمت، مقررات موردنیاز در خصوص پاسخگوئي
به نیازهاي امنیتي، سیاست هاي امنیتي موردنیاز و ابزارها و مكانیزم هاي بازرسي امنیتي
سیستم ها، ارائه شده است.
26. اصتاهدارد 9977BS
62
تهدیدهای امنیتی
تهدیدهای بالقوه برای امنیت شبكههای كامپیوتری به صورت عمده عبارتند از:
● فاش شدن غیرمجاز اطالعات در نتیجه استراقسمع دادهها یا پیامهای در حال مبادله روی شبكه
● قطع ارتباط و اختالل در شبكه به واسطه یك اقدام خرابكارانه
● تغییر و دستكاری غیر مجاز اطالعات یا یك پیغام ارسالشده برای جلوگیری از این صدمات باید سرویسهای
امنیتی زیر در شبكههای كامپیوتری ارائه شود و زمانی كه یكی از سرویسهای امنیتی نقص شود بایستی تمامی تدابیر
امنیتی الزم برای كشف و جلوگیری رخنه در نظر گرفته شود:
● محرمانه ماندن اطالعات
● احراز هویت فرستنده پیغام
● سالمت دادهها در طی انتقال یا نگهداری
● كنترل دسترسی و امكان منع افرادی كه برای دسترسی به شبكه قابل اعتماد نمی باشد.
● در دسترس بودن تمام امكانات شبكه برای افراد مجاز و عدم امكان اختالل در دسترسی
27. فوائد استاندارد 9977 BSو لزوم پیاده سازی
72
استاندارد 9977 BSقالبی مطمئن برای داشتن یك سیستم مورد اطمینان امنیتی می باشد.
در زیر به تعدادی از فوائد پیاده سازی این استاندارد اشاره شده است:
- اطمینان از تداوم تجارت و كاهش صدمات توسط ایمن ساختن اطالعات و كاهش تهدیدها
- اطمینان از سازگاری با استاندارد امنیت اطالعات و محافظت از داده ها
- قابل اطمینان كردن تصمیم گیری ها و محك زدن سیستم مدیریت امنیت اطالعات
- ایجاد اطمینان نزد مشتریان و شركای تجاری
- امكان رقابت بهتر با سایر شركت ها
- ایجاد مدیریت فعال و پویا در پیاده سازی امنیت داده ها و اطالعات
- بخاطر مشكالت امنیتی اطالعات و ایده های خود را در خارج سازمان پنهان نسازید
28. اصتاهدارد99771ISO/IEC
82
در حال حاضر، مجموعهاي از استانداردهاي مدیریتي و فني ایمنسازي فضاي تبادل اطالعات سازمانها ارائه
شدهاند که استاندارد مدیریتي 9977 BSموسسه استاندارد انگلیس، استاندارد مدیریتي 99771 ISO/IEC
موسسه بینالمللي استاندارد و گزارش فني 53331 ISO/IEC TRموسسه بینالمللي استاندارد از برجستهترین
استاندادرها و راهنماهاي فني در این زمینه محسوب ميگردند.
در این استانداردها، نکات زیر مورد توجه قرار گرفته شده است:
تعیین مراحل ایمنسازي و نحوه شکلگیري چرخه امنیت اطالعات و ارتباطات سازمان 1-
جرئیات مراحل ایمنسازي و تکنیکهاي فني مورد استفاده در هر مرحله 2-
لیست و محتواي طرحها و برنامههاي امنیتي موردنیاز سازمان 3-
ضرورت و جزئیات ایجاد تشکیالت سیاستگذاري، اجرائي و فني تامین امنیت اطالعات و ارتباطات 4-
سازمان
کنترلهاي امنیتي موردنیاز براي هر یک از سیستمهاي اطالعاتي و ارتباطي سازمان 5-
29. 92
اصتاهدارد ايزو 10072
استاندارد 10072 ( ISOنسخه به روز 9977 )BSیا به عبارتی
همان استاندارد 99771 ISO/IECمی باشد ،نكته قابل اشاره در
این زمینه همسانی این استاندارد با استاندارد 0009ISO
میباشد. قسمت سوم استاندارد 9977 BSدر حقیقت توسعه
سیستم ISMSمیباشد. درست مانند تغییرات ایجاد شده در
استاندارد 4009.ISO
استاندارد 10072 ISOاستانداردی یکپارچه می باشد.
31. مزاياي اصتكرار اصتاهدارد ايزو 10072
13
- اطمینان از تداوم تجارت و كاهش صدمات توسط ایمن ساختن اطالعات و كاهش تهدیدها
- اطمینان از سازگاری با استاندارد امنیت اطالعات و محافظت از داده ها
- قابل اطمینان كردن تصمیم گیری ها و محك زدن سیستم مدیریت امنیت اطالعات
-ایجاد اطمینان نزد مشتریان و شركای تجاری
32. 23
(ادامي) مزاياي اصتكرار اصتاهدارد ايزو 10072
- امكان رقابت بهتر با سایر شركت ها
-ایجاد مدیریت فعال و پویا در پیاده سازی امنیت داده ها و اطالعات
-بخاطر مشكالت امنیتی اطالعات و ایده های خود را در خارج سازمان پنهان نسازید
33. مدیریت و کوترل امویت تجارت الک تروهیکی
• برخی از سازمان ها از اهمیت اطالعات و فایلهای خود بی خبرند.
• بسیاری از سازمانها تنها به ایمن سازی شبکه کامپیوتری داخلی خود پرداخته و دیگر
بخشها را فراموش می کنند
• برخی از سازمانها به جای پیشگیری معموالً زمانی به کنترل مسائل امنیتی می پردازند که
مشکلی روی داده باشد .
• سازمانها به ندرت اقدامات امنیتی خود را طبق تغییرات پیش آمده به روز می کنند . آنها
همچنین در بهنگام رسانی اطالعات کارمندان خود در زمینه اقدامات امنیتی نیز ضعیف
عمل می کنند .
• همواره با مساله امنیتی به عنوان یک مشکل ITو نه یک مشکل و مساله سازمانی
33 برخورد می شود .
34. Security Risk Management مدیریت خعرات امویتی
در این مرحله سازمان به شناساایی کامپیوترهاای کلیادی ، شابکه هاای مهام ،
دارایی ها و بانکهای اطالعاتی مهم خود پرداخته و آنها را ارزش گاذاری مای شناسایی دارایی ها و
کند . هزینه بدست آوردن اطالعات ، محافظت و پشاتیبانی ، هزیناه جاایگزین اطالعات مهم
کااردن دارایاای هااا و احتمااال دسترساای اشااخاص اال ا بااه اطالعااات را ارزش
گذاری گویند.
پس ازشناسایی و ارزش گذاری باید خطرات احتمالی را که ممکان اسات ایان
دارایاای هااا و بانااک اطالعاااتی را تهدیااد کنااد ارزیااابی کنااد . ایاان مرحلااه شااامل
شناسایی خطرات ، نواحی آسایب پاذیر و تهدیاد هاای احتماالی اسات . (حماالت
ارزیابی خطرات
تروریسااتی،بدکارکردن سیسااتم هااا، نقااص ساااختار بناادی سیسااتم هااا،برخی از
کارمندان،مهاجمین،افراد سودجو و هکرها).
پس از شناسایی خطرات و تهدیدات و تقسیم بندی آنها بایاد بارای آنهاا لیساتی
از اقدامات پیشگیری را تهیه نمود و از نظر هزینه و مقرون به صرفه بودن
،اقدامات را بررسی کرد پس از آن سازمان موظف است بر روناد کاار نظاارت
اجرا و پیاده سازی
داشته و بازده و مفید بودن اقدامات را مورد بررسی قرار دهد.
43
38. تٍلید:
83
SQL Injection
این روش وارد کردن دستورها و عباراتی باه زباان قابال فهام توساط
SQLدر قسمتهایی از یک وب سایت است که مای توانناد مقاادیري
را باااه صاااورت ورودي دریافااات کنناااد. بناااابراین هکااار میتواناااد یاااک
دساااتور را بااار روي سااارور باناااک اطالعاااات اجااارا کناااد. کاااه حاصااال
اجااراي ایاان دسااتور ماای توانااد بااه دساات آوردن اطالعااات کاااربران،
اطالعااات کااارت هاااي اعتبااااري، جزییااات مبااادالت انجااام شاااده و...
باشد.
39. )Cross-Site Scripting (XSS
93
Scriptدر فیلااد هاااي ورودي بااه منظااور بااه دساات آوردن عبااارت اساات از فرسااتادن
اطالعات مهم و یاا ایجااد تغییار در کادهاي HTMLکاه عمادتا ً ایان روش باه دو صاورت
ذخیره شده و منعکس تقسیم می شود.
در هر دو روش حاصل اجرا شدن Scriptمی تواناد منجار باه ایان شاود کاه هکار بتواناد
اطالعات نشست احراز هویت شده کاربر با وب سایت مورد نظر را به دست آورد و بتواناد
خود از آن استفاده کند در واقع هویت خود را جعل و خود را به عنوان کاربر ابراز نماید.
40. Price Manipulation
04
همانطور که اسم این روش نشان می دهد عبارت اسات از دساتکاري قیمات، باه ایان صاورت
که به هنگاام محاسابه قیمات کال باه علات ذخیاره ساازي یکساري از اطالعاات خریاد بار روي
سیستم مشتري، هکر با استفاده از یک برنامه که بتواند ارتباطات خود و سرویس دهناده را
پروکسی کند مانند برنامه ( )Achillesمی تواند اطالعات مهمی از جملاه قیمات را تغییار
دهد که اگر کنترل هاي الزم در سمت برنامه سرویس دهناده وجاود نداشاته باشاد ضارر ماالی
این کار متوجه شرکت سرویس دهنده میشود.
41. Buffer Overflow
مربوط به اشتباه در برنامه نویسی می باشد. می توان این خطر را به دو قسمت تقسیم کرد:یکی افشاا
14
یکسري اطالعات از طریق پیغام هاي خطایی است که سیستم به علت سرریز شادن باافر بار مای گرداناد
که می تواند اطالعات بسیار خوبی را در اختیار هکار قارار دهاد و دوم اینکاه در برخای از شارایط هکار
قادر است با استفاده از این ضعف،دستوري را بر روي سرویس دهنده اجرا کند.
Password guessing
همان به دست آوردن غیر مجاز رمز عبور افراد می باشد که امروزه در تجارت الکترونیک، بسیار زیاد
دیده می شود. این روش خود باه دو قسامت حملاه هااي واژه ناماه اي و حملاه هااي مبتنای بار آزماایش
تمامی عبارات ممکن تقسیم می شود.
42. ارائي:
24
کدهاي مخرب
)…,(Worm, Virus
این دسته از تهدیدها که می توانناد باعا از کاار افتاادن سیساتم شاوند باه عناوان
یکی از مهمترین تهدیدهاي سیستم عامل به حساب می آیند.
43. DOS
)(Denial of Service
این دسته از حمالت تنها هدفشان از کار انداختن سرویس دهنده می باشد که می تواند هم به
علت وجود یک ضعف در سیستم باشد و یا به علت حجم باالیی از تقاضا.
آسیب پذیري سرویس دهنده
از جمله بزرگترین معضالت تکنولوژي وجود ضعفهاي امنیتی می باشد. این ضعفها از چند جهت قابل بررسی می باشد:
یکی از این جهت که معموالً این ضعفها اول توسط تیم هاي هکري کشف می شوند و در جهت کارهاي خرابکارانه مورد
استفاده قرار می گیرند.
دوم اینکه در برخی از موارد علیرغم انتشار بسته هاي امنیتی ممکن است که یکسري از استفاده کنندگان آنها رایا به
34
علت سهل انگاري و یا به علت عدم آگاهی در سرویس دهنده و یا سیستم عامل اعمال نکنند.
45. دریافت:
54
وقتی دریافت هزینه همزمان با تحویال کااال در محال مشاتري انجاام مای پاذیرد مای تواناد تهدیادي جادي باه
حساب آید چرا که هیچ سیستمی به منظور اابات این موضوع که چه شخصی سافارش دهناده باوده وجاود انکار
ندارد. سفارش
ایاان تهدیااد بااه طااور عمااده در نقاال و انتقاااالت اینترنتاای وجااود دارد بااه طوریکااه انکار دریافت
دریافت کننده همواره انکار کننده دریافت سرویس و یا کاال می باشد. کاال
کاربر
شاامل فریااب دادن کااربران و دریافاات اطالعاات کااارت اعتبااري آنهااا و یاا دریافاات
هزینه اي بیشتر از قیمت کاال یا سرویس می باشد.
کاله برداری
در واقااع هااک شاادن ذات بشاار ماای باشااد بااه ایاان منظااور کااه بااا اسااتقاده از ترفناادهایی خاااص در ارتباطااات مهندسی
بشري هکر می تواند به اطالعات مطلاوب خاود دسات یاباد و یاا باه ناوعی آنهاا را متقاعاد باه انجاام کااري
بکند.
اجتماعی
47. 1. اجتواب از خعر :
به این معنی می باشد که آن کاري را که می تواند براي سیستم ایجاد خطر نماید را انجام ندهیم و یا با انجام کاري آن خطر را
دور نماییم
2. اهتكال خعر :
در برخی از شرایط می توانیم خسارت ناشی از یک خطر را به سازمان و یا شرکت دیگري منتقل کنیم. یکی از متداولترین
کارها در این زمینه بیمه می باشد.
3. کاًض خعر :
به طور مثال با بروز نگه داشتن سیستم عامل خطر هک شدن از طریق ضعفهاي امنیتی سیستم عامل را کاهش
می دهیم.
4. پذیرش خعر:
در شرایطی که هیچگونه از موارد باال تحقق نیابند چاره اي جز پذیرش خطر نیست یعنی آگاهانه می پذیریم که
74 از یک خطري ممکن است متضرر شویم.
53. دریافت :
35
ماای تااوان بااا اسااتفاده از روشااهاي عضااو گیااري و شناسااایی کاماال افااراد بااه
مشکل دریافت کاال و پرداخت همزمان هزینه پاسخ داد.
همچنین به منظاور پیشاگیري از کالهبارداري اینترنتای نیاز مای تاوان از شاخص
سوم مورد تاییدي در جهت احراز هویت دوگانه استفاده نمود.
55. سیستم مدیریت امنیت اطالعات )(ISMS
55
با ارائه اولین استاندارد مدیریت امنیت اطالعات در سال 5991، نگرش سیستماتیک
به مقوله ایمنسازي فضاي تبادل اطالعات شکل گرفت. بر اساس این نگرش، تامین
امنیت فضاي تبادل اطالعات سازمانها، دفعتا مقدور نميباشد و الزم است این امر
بصورت مداوم در یک چرخه ایمنسازي شامل مراحل طراحي، پیادهسازي، ارزیابي
و اصالح، انجام گیرد. براي این منظور الزم است هر سازمان بر اساس یک
متدولوژي مشخص، اقدامات زیر را انجام دهد:
تهیه طرحها و برنامههاي امنیتي موردنیاز تجارت الکترونیک 1-
ایجاد تشکیالت موردنیاز جهت ایجاد و تداوم امنیت فضاي تبادل اطالعات تجارت 2-
الکترونیک
اجراي طرحها و برنامههاي امنیتي تجارت الکترونیک 3-
56. مستندات ISMS
65
بر اساس استانداردهاي مدیریت امنیت اطالعات و ارتباطات، هر سازمان باید مجموعه
مستندات مدیریت امنیت اطالعات و ارتباطات را به شرح زیر، براي خود تدوین نماید:
• اهداف، راهبردها و سیاستهاي امنیتي فضاي تبادل اطالعات دستگاه
• طرح تحلیل مخاطرات امنیتي فضاي تبادل اطالعات دستگاه
•طرح امنیت فضاي تبادل اطالعات دستگاه
• طرح مقابله با حوادث امنیتي و ترمیم خرابیهاي فضاي تبادل اطالعات دستگاه
• برنامة آگاهي رساني امنیتي به پرسنل دستگاه
• برنامة آموزش امنیتي پرسنل تشكیالت تامین امنیت فضاي تبادل اطالعات
دستگاه
در این بخش، به بررسي مستندات فوق خواهیم پرداخت.
57. مستندات ISMS
75
اهداف، راهبردها و سیاست هاي امنیتي
اولین بخش از مستندات دستگاه، شامل اهداف، راهبردها و سیاست هاي امنیتي
ISMSفضاي تبادل اطالعات دستگاه مي باشد .در این مستندات، الزم است موارد زیر،
گنجانیده شوند:
اهداف امنیت فضاي تبادل اطالعات دستگاه
در این بخش از مستندات، ابتدا سرمایه هاي فضاي تبادل اطالعات دستگاه، در قالب
سخت افزارها، نرم افزارها، اطالعات، ارتباطات، سرویسها و كاربران تفكیك و دسته
بندي شده و
سپس اهداف كوتاه مدت و میان مدت تامین امنیت هر یك از سرمایه ها، تعیین خواهد
شد.
58. مستندات ISMS
85
نمونه هائي از اهداف كوتاه مدت امنیت:
جلوگیري از حمالت و دسترسي هاي غیرمجاز، علیه سرمایه هاي فضاي تبادل ·
اطالعات دستگاه
مهار خسارتهاي ناشي از ناامني موجود در فضاي تبادل اطالعات دستگاه ·
كاهش رخنه پذیریهاي سرمایه هاي فضاي تبادل اطالعات دستگاه ·
59. مستندات ISMS
95
نمونه هائي از اهداف میان مدت امنیت:
تامین صحت عملكرد، قابلیت دسترسي و محافظت فیزیكي براي سخت افزارها، ·
متناسب با حساسیت آنها.
تامین صحت عملكرد و قابلیت دسترسي براي نرم افزارها، متناسب با حساسیت ·
آنها.
تامین محرمانگي، صحت و قابلیت دسترسي براي اطالعات، متناسب با طبق هبندي ·
اطالعات از حیث محرمانگي.
تامین محرمانگي، صحت و قابلیت دسترسي براي ارتباطات، متناسب با طبقه بندي ·
اطالعات از حیث محرمانگي و حساسیت ارتباطات.
تامین قابلیت تشخیص هویت، حدود اختیارات و پاسخگوئي، حریم خصوصي و ·
آگاهي رساني امنیتي براي كاربران شبكه، متناسب با طبقه بندي اطالعات قابل دسترس
و نوع كاربران
60. مستندات ISMS
06
راهبردهاي امنیت فضاي تبادل اطالعات دستگاه
راهبردهاي امنیت فضاي تبادل اطالعات دستگاه، بیانگر اقداماتي است كه به منظور تامین اهداف امنیت
دستگاه، باید انجام گیرد .نمونه اي از راهبردهاي كوتا ه مدت و میان مدت امنیت فضاي تبادل اطالعات
دستگاه، عبارتند از:
نمونه هائي از راهبردهاي كوتاه مدت امنیت:
شناسائي و رفع ضعفهاي امنیتي فضاي تبادل اطالعات دستگاه ·
آگاهي رساني به كاربران فضاي تبادل اطالعات دستگاه ·
كنترل و اعمال محدودیت در ارتباطات شبكه داخلي دستگاه ·
نمونه هائي از راهبردهاي میان مدت امنیت:
رعایت استانداردهاي مدیریت امنیت اطالعات ·
تهیه طرح ها و برنامه هاي امنیتي فضاي تبادل اطالعات دستگاه، بر اساس استانداردهاي فوق
ایجاد و آماده سازي تشكیالت تامین امنیت فضاي تبادل اطالعات دستگاه ·
اجراي طرح ها و برنامه هاي امنیتي فضاي تبادل اطالعات دستگاه
62. مستندات ISMS
26
طرح تحلیل مخاطرات امنیتي
پس از تدوین اهداف ، راهبردها و سیاست هاي امنیتي فضاي تبادل اطالعات دستگاه و قبل ازطراحي امنیت فضاي تبادل
اطالعات، الزم است شناخت دقیقي از مجموعه فضاي تبادل اطالعات موجود دستگاه بدست آورد .در این مرحله، ضمن
كسب شناخت نسبت به اطالعات، ارتباطات،تجهیزات، سرویس ها و ساختار شبكه ارتباطي دستگاه، ضعفهاي امنیتي موجود
در بخشهاي
مختلف، شناسائي خواهند شد تا در مراحل بعدي، راهكارهاي الزم به منظور رفع این ضعفها ومقابله با تهدیدها، ارائه شوند .
روش تحلیل مخاطرات امنیتي، باید در مجموعه راهبردهاي امنیتي فضاي تبادل اطالعات دستگاه، مشخص شده باشد.
در تحلیل مخاطرات امنیتي، به مواردي پرداخته مي شود كه بصورت بالقوه، امكان دسترسي غیرمجاز، نفوذ و حمله
كاربران مجاز یا غیرمجاز فضاي تبادل اطالعات دستگاه، به منابع(سرمایه هاي) فضاي تبادل اطالعات دستگاه و منابع
كاربران این فضا را فراهم مي نمایند
در این مستند، الزم است مخاطرات امنیتي فضاي تبادل اطالعات، حداقل در محورهاي "معماري شبكه"، "تجهیزات شبكه"،
"سرویس دهنده هاي شبكه"، "مدیریت و نگهداري شبكه "و
"تشكیالت و روشهاي مدیریت امنیت شبكه"، بررسي شوند.
63. مستندات ISMS
36
معماري شبكه ارتباطي
در این بخش ، الزم است معماري شبكه ارتباطي دستگاه، حداقل در محورهاي زیر مورد
تجزیه و تحلیل قرار گیرد:
ساختار شبكه ارتباطي ·
ساختار آدرس دهي و مسیریابي ·
ساختار دسترسي به شبكه ارتباطي ·
تجهیزات شبكه ارتباطي
در این بخش ، الزم است تجهیزات شبكه ارتباطي دستگاه، حداقل در محورهاي زیر مورد
تجزیه و تحلیل قرار گیرد:
محافظت فیزیكي ·
نسخه و آسیب پذیریهاي نرم افزار ·
مدیریت محلي و از راه دور ·
تصدیق هویت، تعیین اختیارات و ثبت عملكرد سیستم، بویژه در دسترسي هاي مدیریتي
ثبت وقایع ·
نگهداري و به روزنمودن پیكربندي ·
مقابله با حمالت علیه خود سیستم، بویژه حمالت ممانعت از سرویس
64. مستندات ISMS
46
مدیریت و نگهداري شبكه ارتباطي
در این بخش ، الزم است مدیریت و نگهداري شبكه ارتباطي دستگاه، حداقل در محورهاي زیر مورد تجزیه و تحلیل قرار گیرد:
تشكیالت و روشهاي مدیریت و نگهداري شبكه ارتباطي ·
ابزارها و مكانیزم هاي مدیریت و نگهداري شبكه ارتباطي ·
سرویس هاي شبكه ارتباطي
در این بخش ، الزم است سرویس هاي شبكه ارتباطي دستگاه، حداقل در محورهاي زیرمورد تجزیه و تحلیل قرار گیرد:
سیستم عامل سرویس دهنده ·
سخت افزار سرویس دهنده، بویژه رعایت افزونگي در سطح ماجول و سیستم ·
نرم افزار سرویس ·
استفاده از ابزارها و مكانیزم هاي امنیتي روي سرویس دهنده ها ·
تشكیالت و روشهاي تامین امنیت شبكه ارتباطي
در این بخش، الزم است تشكیالت و روشهاي امنیت شبكه ارتباطي دستگاه، حداقل در
محورهاي زیر مورد تجزیه و تحلیل قرار گیرد:
طرح ها، برنامه ها و سایر مستندات امنیتي ·
تشكیالت امنیت، روالهاي اجرائي و شرح وظایف پرسنل امنیت
65. مستندات ISMS
56
طرح امنیت
پس از تحلیل مخاطرات امنیتي شبكه ارتباطي دستگاه و دسته بندي مخاطرات امنیتي
این شبكه، در طرح امنیت، ابزارها و مكانیز مهاي موردنیاز به منظور رفع این ضعفها و
مقابله با تهدیدها،رائه مي شوند . در طرح امنیت، الزم است كلیه ابزارها ومكانیزم هاي
امنیتي موجود، بكار گرفته شوند .
نمونه اي از این ابزارها عبارتند از:
1- سیستم هاي كنترل جریان اطالعات و تشكیل نواحي امنیتي
فایروال ها
سایر سیستم هاي تامین امنیت گذرگاه ها ·
2-سیستم هاي تشخیص و مقابله یا تشخیص و پیشگیري از حمالت، شامل:
سیستم هاي مبتني بر ایستگاه ·
سیستم هاي مبتني بر شبكه ·
66. مستندات ISMS
66
طرح امنیت
3-سیستم فیلترینگ محتوا(بویژه براي سرویس )E-Mail
4-نرم افزارهاي تشخیص و مقابله با ویروس
5-سیستم هاي تشخیص هویت، تعیین حدود اختیارات و ثبت عملكرد كاربران
6-سیستم هاي ثبت و تحلیل رویدادنامه ها
7-سیستم هاي رمزنگاري اطالعات
8-نرم افزارهاي نظارت بر ترافیك شبكه
9-نرم افزارهاي پویشگر امنیتي
01-نرم افزارهاي مدیریت امنیت شبكه
67. مستندات ISMS
76
ویژگیهاي اصلي سیستم امنیتي شبكه ارتباطي دستگاه، عبارتند از:
چندالیه بودن سیستم امنیتي
توزیع شده بودن سیستم امنیتي
تشكیل نواحي امنیتي جهت كنترل دقیق دسترسي به سرویس هاي شبكه
یكپارچگي مكانیزم هاي امنیتي، بویژه در گذرگاههاي ارتباطي شبكه
تفكیك زیرساختار مدیریت امنیت شبكه ( حداقل بخش اصلي سیستم امنیتي
شبكه) هاي مختلف، بنحوي كه ضعفهاي Brandانتخاب اجزاء سیستم امنیتي شبكه، از ·امنیتي یكدیگر
را پوشش داده و مخاطره باقیمانده را كاهش دهند
انتخاب محصوالتي كه داراي تائیدي ههاي معتبر، از موسسات ارزیابي بین المللي
مي باشند