1. 1

2. ‫پروژه درس امنیت در تجارت الکترونیک‬
‫استاد:جناب آقای دکتر سخاوتی‬
‫سمیه هادی پور داراکویه‬
‫9901688‬

3. ‫اصتاهدارد ًا ،چالض ًا ،راًکار ًا‬
‫3‬

4. ‫مكدمي ای بر هكض امویت در تجارت‬

5. ‫اظوائي با مراخل ظي ظدى در زميوي امويت اظالغات‬
‫5‬

6. ‫تجارت الک تروهیک چیشت؟‬
‫6‬

7. ‫زير ظاخي ًاي تجارت الک تروهيک‬
‫7‬
‫تجارت الک تروهيک(‪)E-Commerce‬‬ ‫1-‬
‫کشب و کار الک تروهيک(‪)E-Business‬‬ ‫2-‬
‫بازاريابي الک تروهيکي(‪)E-Marketing‬‬ ‫3-‬
‫باهکداري الک تروهيکي(‪)E-Banking‬‬ ‫4-‬
‫کارت ًاي ًٍظمود‬ ‫5-‬
‫مديريت روابط غمٍمي با مطتري‬ ‫6-‬

8. ‫مزاياي تجارت الک تروهيک‬
‫8‬
‫افزايض فروش‬ ‫‪‬‬
‫افزايض درامد‬ ‫‪‬‬
‫افزايض صرمايي گذاري‬ ‫‪‬‬
‫افزايض صعح رفاى زهدگي مردم‬ ‫‪‬‬
‫ايجاد فرصتٌاي تجاري جديد براي صوايع و بوگاى ًاي بازرگاهي‬ ‫‪‬‬
‫افزايض فرصتٌاي جديد ظغلي‬ ‫‪‬‬
‫امکان ارائي خدمات و مدصٍالت در صعح جٌاهي‬ ‫‪‬‬
‫جلٍگيري از اتالف ولت و کاًض ترددًاي بي مٍرد‬ ‫‪‬‬
‫کاًض ًزيوي ًاي صربار و ايجاد رلابت در صعح بين الملل‬ ‫‪‬‬
‫دصترصي صريع بي اظالغات‬ ‫‪‬‬
‫غدم خضٍر واصعي‬ ‫‪‬‬
‫کاًض ًزيوي ًاي تبليغات کاال‬ ‫‪‬‬
‫ورود بي بازارًاي فرا موعكي اي در جٌت بازاريابي جٌاهي‬ ‫‪‬‬

9. ‫هيازًاي تجارت الک تروهيک‬
‫9‬
‫يک صيشتم باهکي روان و دليق‬ ‫‪‬‬
‫لٍاهين گمرکي،مالياتي و باهکداري الک تروهيکي‬ ‫‪‬‬
‫کد تجاري مدصٍل‬ ‫‪‬‬
‫تٌيي و تدوين هظام مالي اظالغات و هظام خكٍلي اظالع رصاهي (کپ ي رايت)‬ ‫‪‬‬
‫امويت اظالغات‬ ‫‪‬‬
‫مدرماهي بٍدن اظالغات ظخصي‬ ‫‪‬‬
‫تعبيق مكررات ملي با مكررات متددالطکل بين المللي‬ ‫‪‬‬
‫ًمکاري داهطگاًٌا،مراکز تدكيكاتي و صازماهٌاي مختلف‬ ‫‪‬‬
‫پذيرش اصواد الک تروهيکي تٍصط لٍى لضاييي‬ ‫‪‬‬
‫تامين، صدور و بکارگيري کارت اغتباري‬ ‫‪‬‬
‫تامين خعٍط ارتباظي پرصرغت و معمئن و ايجاد بشتر مخابراتي بي ظکل بي صيم‬ ‫‪‬‬

10. ‫تػریف امویت :‬
‫• اطالعات فقط و فقط بایستی توسط افراد مجاز قابل دسترسی و تغییر‬
‫باشد.‬ ‫محرمانگی‬
‫• حفظ تمامیت به معناي پیشگیري از بروز مشکل در همکاري و پیوسته نگه‬
‫داشتن عناصر یک سیستم می باشد.‬ ‫تمامیت‬
‫• اطالعات بایستی به هنگام نیاز توسط افراد مجاز قابل دسترس باشد.‬
‫دسترس پذیري‬
‫• به هنگام انجام کاري و یا دریافت اطالعات یا سرویسی، شخص انجام دهنده یا‬
‫گیرنده نتواند آن را انکارکند.‬ ‫عدم انکار‬
‫01‬

11. ‫ارزیابی غملیات تجارت الک تروهیک‬
100%
80%
60% Series 3
Series 2
40%
Series 1
20%
0%
11 Category 1 Category 2 Category 3 Category 4

12. ‫ظرح مشتمر‬
‫21‬

13. ‫تدكیكات اهجام ظدى درمٍرد امویت تجارت الک تروهیک‬
‫31‬

14. ‫‪ DHS‬چیشت؟‬
‫1- سیستم ملی پاسخگوی امنیت فضاهای مجازی‬
‫2- برنامه کاهش آسیب پذیری و خطرات احتمالی موجود در فضاهای مجازی‬
‫3- برنامه های آموزشی و آگاه کننده در زمینه امنیت فضاهای مجازی‬
‫4- ایمن سازی فضای مجازی دولت‬
‫5- همکاری های بین المللی و ملی در زمینه امنیت‬
‫41‬

15. ‫51‬
‫استاندارد های امنیت اطالعات‬

16. ‫61‬
‫استاندارد 9977‪BS‬‬
‫استاندارد 9977‪ BS‬اولین استاندارد مدیریت امنیت است که توسط موسسه استاندارد انگلیس ارائه‬ ‫‪‬‬
‫شده است. نسخه اول این استاندارد (1-9977‪ )BS‬در سال 5991 و در یک بخش و با‬
‫عنوان‪ BS7799-1: Code of Practice for Information Security Management‬منتشر‬
‫گردید. و نسخه دوم آن (2-9977‪ )BS‬که در سال 9991 ارائه شد، عالوه بر تغییر نسبت به نسخه‬
‫اول، متشکل از دو بخش مستقل ارائه گردید. هدف از تدوین این استاندارد ارائه پیشنهاداتي در‬
‫زمینه مدیریت امنیت اطالعات براي کساني است که مسئول طراحي، پیاده سازي یا پشتیباني مسائل‬
‫امنیتي در یک سازمان مي باشند. این استاندارد متشکل از 53 هدف امنیتي و 721 اقدام بازدارنده‬
‫براي تامین اهداف تعیین شده ميباشد که جزئیات و چگونگيها را مطرح نمي کند بلکه سرفصلها‬
‫و موضوعات کلي را بیان مي کند. طراحان استاندارد 9977‪ BS‬اعتقاد دارند که در تدوین این‬
‫استاندارد، ممکن است کنترل ها و راهکارهاي مطرح شده براي همه سازمان ها قابل استفاده نباشد‬
‫ویا نیاز به کنترلهاي بیشتري باشد که این استاندارد، آنها را پوشش نداده است.‬

17. ‫71‬
‫اصتاهدارد 9977‪BS‬‬
‫در سال 0002 میالدي بخش اول استاندارد 2-9977‪ BS‬بدون هیچگونه تغییري توسط موسسه بین المللي استاندارد بعنوان استاندارد‬ ‫‪‬‬
‫99771 ‪ ISO/IEC‬منتشر گردید. وشامل سر فصل هاي ذیل است:‬
‫تدوین سیاست امنیتي سازمان‬ ‫‪‬‬
‫تشکیالت امنیتي‬ ‫‪‬‬
‫طبقه بندي سرمایه ها و تعیین کنترلهاي الزم‬ ‫‪‬‬
‫امنیت پرسنلي‬ ‫‪‬‬
‫امنیت فیزیکي و پیراموني‬ ‫‪‬‬
‫مدیریت ارتباطات و بهره برداري‬ ‫‪‬‬
‫کنترل دسترسي‬ ‫‪‬‬
‫توسعه و پشتیباني سیستم ها‬ ‫‪‬‬
‫مدیریت تداوم فعالیت‬ ‫‪‬‬
‫سازگاري‬ ‫‪‬‬

18. ‫81‬
‫اصتاهدارد 9977‪BS‬‬
‫این استاندارد مجددا در سال 2002 میالدي بازنویسي و منتشر گردید. در سال 5002‬ ‫‪‬‬
‫دوباره این استاندارد بازنویسي و با دو نام 5002:99771 ‪ BS ISO/IEC‬و ‪BS‬‬
‫5002:1-9977 در یک سند انتشاریافت. این نسخه متشکل از 93 هدف امنیتي و‬
‫431 اقدام بازدارنده است. تغییراتي که این استاندارد نسبت به استاندارد قبل آن‬
‫کرده است عبارت است از:‬
‫الف- افزایش یافتن یک فصل جدید و تغیییر نمودن بعضي از فصول گذشته‬ ‫‪‬‬
‫ب- تغییر وحذف شدن بعضي از کنترلهاي قدیمي و اضافه شدن 71 کنترل جدید‬ ‫‪‬‬
‫ج- افزایش تعداد کنترلها به 431عدد‬ ‫‪‬‬

19. ‫اصتاهدارد 9977‪BS‬‬
‫91‬
‫نحوه عملكرد استاندارد 9977 ‪BS‬‬ ‫‪‬‬
‫در راستای تحقق دومین هدف پیدایش این استاندارد كه به آن اشاره شد، یعنی كمك به كاربران سرفصلهایی‬
‫برای نحوه پیاده سازی امنیت در یك سازمان كه در حقیقت یك كاربر سیستم های امنیتی می باشد، تعیین شده‬
‫است كه عبارتند از:‬
‫● تعیین مراحل ایمن سازی و نحوه شكل گیری چرخه امنیت‬
‫● جزییات مراحل ایمن سازی و تكنیكهای فنی مورد استفاده در هر مرحله‬
‫● لیست و محتوای طرح ها و برنامه های امنیت اطالعات مورد نیاز سازمان‬
‫● ضرورت و جزییات ایجاد تشكیالت سیاستگذاری، اجرایی و فنی تامین امنیت‬
‫● كنترلهای امنیتی مورد نیاز برای هر یك از سیستم های اطالعاتی و ارتباطی‬ ‫‪‬‬
‫● تعریف سیاستهای امنیت اطالعات‬ ‫‪‬‬
‫● تعریف قلمرو سیستم مدیریت امنیت اطالعات و مرزبندی آن متناسب با نوع نیازهای سازمان‬
‫● انجام و پذیرش برآورد مخاطرات، متناسب با نیازهای سازمان‬
‫● پیش بینی زمینه ها و نوع مخاطرات بر اساس سیاستهای امنیتی تدوین شده‬
‫● انتخاب هدفهای كنترل و كنترلهای مناسب كه قابل توجیه باشند، از لیست كنترلهای همه جانبه‬
‫● تدوین دستورالعمل های عملیاتی‬

20. ‫اصتاهدارد 9977‪BS‬‬
‫02‬
‫مدیریت امنیت شبكه‬ ‫‪‬‬
‫به منظور تعیین اهداف امنیت، ابتدا باید سرمایههای مرتبط با اطالعات و ارتباطات سازمان،‬
‫شناسایی شده و سپس اهداف تامین امنیت برای هریك از سرمایهها، مشخص شود.سرمایههای‬
‫مرتبط با شبكه سازمان عبارتند از: سخت افزار، نرمافزار، اطالعات، ارتباطات، كاربران.‬
‫اهداف امنیتی سازمانها باید به صورت كوتاهمدت و میانمدت تعیین گردد تا امكان تغییر آنها‬
‫متناسب با تغییرات تكنولوژیها و استانداردهای امنیتی وجود داشته باشد. عمده اهداف كوتاه‬
‫مدت در خصوص پیادهسازی امنیت در یك سازمان عبارتند از:‬
‫‪‬‬
‫- جلوگیری از حمالت و دسترسیهای غیرمجاز علیه سرمایه های شبكه‬
‫- مهار خسارتهای ناشی از ناامنی موجود در شبكه‬
‫- كاهش رخنه پذیری‬

21. ‫اصتاهدارد 9977‪BS‬‬
‫12‬
‫اهداف میانمدت نیز عمدتا ً عبارتند از:‬ ‫‪‬‬
‫‪‬‬
‫- تامین صحت عملكرد، قابلیت دسترسی برای نرمافزارها و سختافزارها و محافظت فیزیكی‬
‫صرفا ً برای سخت افزارها‬
‫‪‬‬
‫- تامین محرمانگی، صحت و قابلیت دسترسی برای ارتباطات و اطالعات متناسب با طبقه‬
‫بندی آنها از حیث محرمانگی و حساسیت‬
‫‪‬‬
‫- تامین قابلیت تشخیص هویت، حدود اختیارات و پاسخگویی، حریم خصوصی و آگاهیرسانی‬
‫امنیتی برای كاربران شبكه، متناسب با طبقهبندی اطالعات قابل دسترس و نوع كاربران‬

22. ‫اصتاهدارد 9977‪BS‬‬
‫22‬
‫استاندارد 9977‪ BS‬دارای 01 گروه كنترلی می باشد كه هرگروه شامل چندین كنترل زیرمجموعه است‬ ‫‪‬‬
‫بنابراین در كل 721 كنترل برای داشتن سیستم مدیریت امنیت اطالعات مدنظر قراردارد. این ده گروه كنترلی‬
‫عبارتند از :‬
‫1- تدوین سیاست امنیتي سازمان: در این قسمت، به ضرورت تدوین و انتشار سیاست هاي امنیتي اطالعات و ار‬ ‫‪‬‬
‫تباطات سازمان ، بنحوي كه كلیه مخاطبین سیاست ها در جریان جزئیات آن قرار گیرند، تاكید شده است . همچنین‬
‫جزئیات و نحوه نگارش سیاست هاي امنیتي اطالعات و ارتباطات سازمان، ارائه شده است.‬
‫2- ایجاد تشكیالت تامین امنیت سازمان: در این قسمت، ضمن تشریح ضرورت ایجاد تشكیالت امنیت اطالعات و‬ ‫‪‬‬
‫ارتباطات سازمان، جزئیات این تشكیالت در سطوح سیاستگذاري، اجرائي و فني به همراه مسئولیت هاي هر یك از‬
‫سطوح، ارائه شده است.‬
‫3-دسته بندي سرمایه ها و تعیین كنترل هاي الزم :در این قسمت، ضمن تشریح ضرورت دسته بندي اطالعات‬ ‫‪‬‬
‫سازمان، به جزئ یات تدوین راهنماي دسته بندي اطالعات سازمان پرداخته و محورهاي دسته بندي اطالعات را ارائه‬
‫نموده است.‬
‫‪‬‬

23. ‫اصتاهدارد 9977‪BS‬‬
‫32‬
‫4-امنیت پرسنلي :در این قسمت، ضمن اشاره به ضرورت رعایت مالحظات امنیتي در‬ ‫‪‬‬
‫بكارگیري پرسنل، ضرورت آموزش پرسنل در زمینه امنیت اطالعات و ارتباطات، مطرح شده و‬
‫لیستي ازمسئولیت هاي پرسنل در پروسه تامین امنیت اطالعات و ارتباطات سازمان، ارائه شده‬
‫‪ ‬است.‬
‫‪5 ‬امنیت فیزیكي و پیراموني :در این قسمت، اهمیت و ابعاد امنیت فیزیكي، جزئیات محافظت از‬
‫تجهیزات و كنترلهاي موردنیاز براي این منظور، ارائه شده است.‬
‫‪6 ‬مدیریت ارتباطات :در این قسمت، ضرورت و جزئیات روالهاي اجرائي موردنیاز، بمنظور تعیین‬
‫مسئولیت هریك از پرسنل، روالهاي مربوط به سفارش، خرید، تست و آموزش سیستم ها، محافظت‬
‫درمقابل نرم افزارهاي مخرب، اقدامات موردنیاز در خصوص ثبت وقایع و پشتیبان گیري‬
‫ازاطالعات، مدیریت شبك ه، محافظت از رسانه ها و روالها و مسئولیت هاي مربوط به‬
‫‪ ‬درخواست، تحویل، تست و سایر موارد تغییر نرم افزارها ارائه شده است.‬

24. ‫اصتاهدارد 9977‪BS‬‬
‫42‬
‫7- كنترل دسترسي :در این قسمت، نیازمندیهاي كنترل دسترسي، نحوه‬ ‫‪‬‬
‫مدیریت دسترسي پرسنل،مسئولیت هاي كاربران، ابزارها و مكانیزم هاي‬
‫كنترل دسترسي در شبكه، كنترل دسترسي در سیستم عاملها و نرم افزارهاي‬
‫كاربردي، استفاده از سیستم هاي مانیتورینگ و كنترل دسترسي در ارتباط از‬
‫راه دور به شبكه ارائه شده است.‬
‫8-نگهداري و توسعه سیستم ها:در این قسمت، ضرورت تعیین نیازمندیهاي‬ ‫‪‬‬
‫امنیتي سیستم ها، امنیت د ر سیستم هاي كاربردي، كنترلهاي رمزنگاري،‬
‫محافظت از فایلهاي سیستم و مالحظات امنیتي موردنیازدر توسعه و پشتیباني‬
‫سیستم ها، ارائه شده است.‬

25. ‫اصتاهدارد 9977‪BS‬‬
‫52‬
‫‪ -9 ‬مدیریت تداوم فعالیت سازمان :در این قسمت، رویه هاي مدیریت تداوم فعالیت، نقش‬
‫تحلیل ضربه در تداوم فعالیت، طراحي و تدو ین طرح هاي تداوم فعالیت، قالب پیشنهادي براي‬
‫طرح تداوم فعالیت سازمان و طرح هاي تست، پشتیباني و ارزیابي مجدد تداوم فعالیت سازمان،‬
‫ارائه شده است.‬
‫01-پاسخگوئي به نیازهاي امنیتي :در این قسمت، مقررات موردنیاز در خصوص پاسخگوئي‬ ‫‪‬‬
‫به نیازهاي امنیتي، سیاست هاي امنیتي موردنیاز و ابزارها و مكانیزم هاي بازرسي امنیتي‬
‫سیستم ها، ارائه شده است.‬

26. ‫اصتاهدارد 9977‪BS‬‬
‫62‬
‫تهدیدهای امنیتی‬ ‫‪‬‬
‫تهدیدهای بالقوه برای امنیت شبكههای كامپیوتری به صورت عمده عبارتند از:‬
‫● فاش شدن غیرمجاز اطالعات در نتیجه استراقسمع دادهها یا پیامهای در حال مبادله روی شبكه‬
‫● قطع ارتباط و اختالل در شبكه به واسطه یك اقدام خرابكارانه‬
‫● تغییر و دستكاری غیر مجاز اطالعات یا یك پیغام ارسالشده برای جلوگیری از این صدمات باید سرویسهای‬
‫امنیتی زیر در شبكههای كامپیوتری ارائه شود و زمانی كه یكی از سرویسهای امنیتی نقص شود بایستی تمامی تدابیر‬
‫امنیتی الزم برای كشف و جلوگیری رخنه در نظر گرفته شود:‬
‫● محرمانه ماندن اطالعات‬
‫● احراز هویت فرستنده پیغام‬
‫● سالمت دادهها در طی انتقال یا نگهداری‬
‫● كنترل دسترسی و امكان منع افرادی كه برای دسترسی به شبكه قابل اعتماد نمی باشد.‬
‫● در دسترس بودن تمام امكانات شبكه برای افراد مجاز و عدم امكان اختالل در دسترسی‬

27. ‫فوائد استاندارد 9977‪ BS‬و لزوم پیاده سازی‬
‫72‬
‫استاندارد 9977‪ BS‬قالبی مطمئن برای داشتن یك سیستم مورد اطمینان امنیتی می باشد.‬
‫در زیر به تعدادی از فوائد پیاده سازی این استاندارد اشاره شده است:‬
‫- اطمینان از تداوم تجارت و كاهش صدمات توسط ایمن ساختن اطالعات و كاهش تهدیدها‬ ‫‪‬‬
‫- اطمینان از سازگاری با استاندارد امنیت اطالعات و محافظت از داده ها‬ ‫‪‬‬
‫- قابل اطمینان كردن تصمیم گیری ها و محك زدن سیستم مدیریت امنیت اطالعات‬ ‫‪‬‬
‫- ایجاد اطمینان نزد مشتریان و شركای تجاری‬ ‫‪‬‬
‫- امكان رقابت بهتر با سایر شركت ها‬ ‫‪‬‬
‫- ایجاد مدیریت فعال و پویا در پیاده سازی امنیت داده ها و اطالعات‬ ‫‪‬‬
‫- بخاطر مشكالت امنیتی اطالعات و ایده های خود را در خارج سازمان پنهان نسازید‬ ‫‪‬‬

28. ‫اصتاهدارد99771‪ISO/IEC‬‬
‫82‬
‫در حال حاضر، مجموعهاي از استانداردهاي مدیریتي و فني ایمنسازي فضاي تبادل اطالعات سازمانها ارائه‬ ‫‪‬‬
‫شدهاند که استاندارد مدیریتي 9977‪ BS‬موسسه استاندارد انگلیس، استاندارد مدیریتي 99771 ‪ISO/IEC‬‬
‫موسسه بینالمللي استاندارد و گزارش فني 53331 ‪ISO/IEC TR‬موسسه بینالمللي استاندارد از برجستهترین‬
‫استاندادرها و راهنماهاي فني در این زمینه محسوب ميگردند.‬
‫در این استانداردها، نکات زیر مورد توجه قرار گرفته شده است:‬ ‫‪‬‬
‫تعیین مراحل ایمنسازي و نحوه شکلگیري چرخه امنیت اطالعات و ارتباطات سازمان‬ ‫1-‬ ‫‪‬‬
‫جرئیات مراحل ایمنسازي و تکنیکهاي فني مورد استفاده در هر مرحله‬ ‫2-‬ ‫‪‬‬
‫لیست و محتواي طرحها و برنامههاي امنیتي موردنیاز سازمان‬ ‫3-‬ ‫‪‬‬
‫ضرورت و جزئیات ایجاد تشکیالت سیاستگذاري، اجرائي و فني تامین امنیت اطالعات و ارتباطات‬ ‫4-‬ ‫‪‬‬
‫سازمان‬
‫کنترلهاي امنیتي موردنیاز براي هر یک از سیستمهاي اطالعاتي و ارتباطي سازمان‬ ‫5-‬ ‫‪‬‬

29. ‫92‬
‫اصتاهدارد ايزو 10072‬
‫استاندارد 10072 ‪( ISO‬نسخه به روز 9977‪ )BS‬یا به عبارتی‬ ‫‪‬‬
‫همان استاندارد 99771 ‪ ISO/IEC‬می باشد ،نكته قابل اشاره در‬
‫این زمینه همسانی این استاندارد با استاندارد 0009‪ISO‬‬
‫میباشد. قسمت سوم استاندارد 9977‪ BS‬در حقیقت توسعه‬
‫سیستم ‪ ISMS‬میباشد. درست مانند تغییرات ایجاد شده در‬
‫استاندارد 4009‪.ISO‬‬
‫استاندارد 10072 ‪ ISO‬استانداردی یکپارچه می باشد.‬ ‫‪‬‬

30. ‫تٍلداصتاهداردمديريت امویت اظالغات‬
‫03‬
‫اصتاهدارد 10072 ‪ISO/IEC‬تٍصط کمیتي فوی مطترک 1 ‪ISO/IEC JTC‬‬
‫(فواوری اظالغات ،زیر کمیتي 72 ‪،SC‬فوٍن امویتی فواوری اظالغات )تٌیي ظدى اصت‬
‫این اصتاهدارد درصال 5002 مٍردبازهگري لرارگرفت.‬

31. ‫مزاياي اصتكرار اصتاهدارد ايزو 10072‬
‫13‬
‫- اطمینان از تداوم تجارت و كاهش صدمات توسط ایمن ساختن اطالعات و كاهش تهدیدها‬
‫- اطمینان از سازگاری با استاندارد امنیت اطالعات و محافظت از داده ها‬
‫- قابل اطمینان كردن تصمیم گیری ها و محك زدن سیستم مدیریت امنیت اطالعات‬
‫-ایجاد اطمینان نزد مشتریان و شركای تجاری‬

32. ‫23‬
‫(ادامي)‬ ‫مزاياي اصتكرار اصتاهدارد ايزو 10072‬
‫- امكان رقابت بهتر با سایر شركت ها‬
‫-ایجاد مدیریت فعال و پویا در پیاده سازی امنیت داده ها و اطالعات‬
‫-بخاطر مشكالت امنیتی اطالعات و ایده های خود را در خارج سازمان پنهان نسازید‬

33. ‫مدیریت و کوترل امویت تجارت الک تروهیکی‬
‫• برخی از سازمان ها از اهمیت اطالعات و فایلهای خود بی خبرند.‬
‫• بسیاری از سازمانها تنها به ایمن سازی شبکه کامپیوتری داخلی خود پرداخته و دیگر‬
‫بخشها را فراموش می کنند‬
‫• برخی از سازمانها به جای پیشگیری معموالً زمانی به کنترل مسائل امنیتی می پردازند که‬
‫مشکلی روی داده باشد .‬
‫• سازمانها به ندرت اقدامات امنیتی خود را طبق تغییرات پیش آمده به روز می کنند . آنها‬
‫همچنین در بهنگام رسانی اطالعات کارمندان خود در زمینه اقدامات امنیتی نیز ضعیف‬
‫عمل می کنند .‬
‫• همواره با مساله امنیتی به عنوان یک مشکل ‪ IT‬و نه یک مشکل و مساله سازمانی‬
‫33‬ ‫برخورد می شود .‬

34. ‫‪Security Risk Management‬‬ ‫مدیریت خعرات امویتی‬
‫در این مرحله سازمان به شناساایی کامپیوترهاای کلیادی ، شابکه هاای مهام ،‬
‫دارایی ها و بانکهای اطالعاتی مهم خود پرداخته و آنها را ارزش گاذاری مای‬ ‫شناسایی دارایی ها و‬
‫کند . هزینه بدست آوردن اطالعات ، محافظت و پشاتیبانی ، هزیناه جاایگزین‬ ‫اطالعات مهم‬
‫کااردن دارایاای هااا و احتمااال دسترساای اشااخاص اال ا بااه اطالعااات را ارزش‬
‫گذاری گویند.‬
‫پس ازشناسایی و ارزش گذاری باید خطرات احتمالی را که ممکان اسات ایان‬
‫دارایاای هااا و بانااک اطالعاااتی را تهدیااد کنااد ارزیااابی کنااد . ایاان مرحلااه شااامل‬
‫شناسایی خطرات ، نواحی آسایب پاذیر و تهدیاد هاای احتماالی اسات . (حماالت‬
‫ارزیابی خطرات‬
‫تروریسااتی،بدکارکردن سیسااتم هااا، نقااص ساااختار بناادی سیسااتم هااا،برخی از‬
‫کارمندان،مهاجمین،افراد سودجو و هکرها).‬
‫پس از شناسایی خطرات و تهدیدات و تقسیم بندی آنها بایاد بارای آنهاا لیساتی‬
‫از اقدامات پیشگیری را تهیه نمود و از نظر هزینه و مقرون به صرفه بودن‬
‫،اقدامات را بررسی کرد پس از آن سازمان موظف است بر روناد کاار نظاارت‬
‫اجرا و پیاده سازی‬
‫داشته و بازده و مفید بودن اقدامات را مورد بررسی قرار دهد.‬
‫43‬

35. ‫غٍامل دخیل در تجارت الک تروهیک:‬
‫53‬

36. ‫خٍزى ًای در بر گیرهدى غٍامل تجارت الک تروهیک‬
‫63‬
‫تٍلید‬
‫ارائي‬
‫برهامي ًای تدت وب‬ ‫بشتر هرم افزاری(صیشتم غامل ،صرویس دًودى وب ،صرویس دًودى باهک اظالغاتی دو....)‬
‫باهکٌای اظالغاتی‬ ‫بشتر صخت افزاری(صرویس دًودى ًا، موابع ذخیرى صازی و صاختار ارتباظی اهٌا)‬
‫.......‬
‫تجارت الک تروهیک‬
‫دریافت‬ ‫اهتكال‬
‫مطتریان و کاربران صیشتم ظامل اظخاص و وصیلي ارتباظی اهٌا‬ ‫بشتر دصترصی(ایوترهت ،ایوتراهت)‬
‫(غمدتا رایاهي ًای ظخصی)‬ ‫بشتر ارصال(پشت و اهٍاع مختلف ان)‬

37. ‫امویت در تجارت الک تروهیک:‬
‫73‬

38. ‫تٍلید:‬
‫83‬
‫‪SQL Injection‬‬
‫این روش وارد کردن دستورها و عباراتی باه زباان قابال فهام توساط‬
‫‪ SQL‬در قسمتهایی از یک وب سایت است که مای توانناد مقاادیري‬
‫را باااه صاااورت ورودي دریافااات کنناااد. بناااابراین هکااار میتواناااد یاااک‬
‫دساااتور را بااار روي سااارور باناااک اطالعاااات اجااارا کناااد. کاااه حاصااال‬
‫اجااراي ایاان دسااتور ماای توانااد بااه دساات آوردن اطالعااات کاااربران،‬
‫اطالعااات کااارت هاااي اعتبااااري، جزییااات مبااادالت انجااام شاااده و...‬
‫باشد.‬

39. ‫)‪Cross-Site Scripting (XSS‬‬
‫93‬
‫‪ Script‬در فیلااد هاااي ورودي بااه منظااور بااه دساات آوردن‬ ‫عبااارت اساات از فرسااتادن‬
‫اطالعات مهم و یاا ایجااد تغییار در کادهاي ‪ HTML‬کاه عمادتا ً ایان روش باه دو صاورت‬
‫ذخیره شده و منعکس تقسیم می شود.‬
‫در هر دو روش حاصل اجرا شدن ‪ Script‬می تواناد منجار باه ایان شاود کاه هکار بتواناد‬
‫اطالعات نشست احراز هویت شده کاربر با وب سایت مورد نظر را به دست آورد و بتواناد‬
‫خود از آن استفاده کند در واقع هویت خود را جعل و خود را به عنوان کاربر ابراز نماید.‬

40. ‫‪Price Manipulation‬‬
‫04‬
‫همانطور که اسم این روش نشان می دهد عبارت اسات از دساتکاري قیمات، باه ایان صاورت‬
‫که به هنگاام محاسابه قیمات کال باه علات ذخیاره ساازي یکساري از اطالعاات خریاد بار روي‬
‫سیستم مشتري، هکر با استفاده از یک برنامه که بتواند ارتباطات خود و سرویس دهناده را‬
‫پروکسی کند مانند برنامه ( ‪)Achilles‬می تواند اطالعات مهمی از جملاه قیمات را تغییار‬
‫دهد که اگر کنترل هاي الزم در سمت برنامه سرویس دهناده وجاود نداشاته باشاد ضارر ماالی‬
‫این کار متوجه شرکت سرویس دهنده میشود.‬

41. ‫‪Buffer Overflow‬‬
‫مربوط به اشتباه در برنامه نویسی می باشد. می توان این خطر را به دو قسمت تقسیم کرد:یکی افشاا‬
‫14‬
‫یکسري اطالعات از طریق پیغام هاي خطایی است که سیستم به علت سرریز شادن باافر بار مای گرداناد‬
‫که می تواند اطالعات بسیار خوبی را در اختیار هکار قارار دهاد و دوم اینکاه در برخای از شارایط هکار‬
‫قادر است با استفاده از این ضعف،دستوري را بر روي سرویس دهنده اجرا کند.‬
‫‪Password guessing‬‬
‫همان به دست آوردن غیر مجاز رمز عبور افراد می باشد که امروزه در تجارت الکترونیک، بسیار زیاد‬
‫دیده می شود. این روش خود باه دو قسامت حملاه هااي واژه ناماه اي و حملاه هااي مبتنای بار آزماایش‬
‫تمامی عبارات ممکن تقسیم می شود.‬

42. ‫ارائي:‬
‫24‬
‫کدهاي مخرب‬
‫)…,‪(Worm, Virus‬‬
‫این دسته از تهدیدها که می توانناد باعا از کاار افتاادن سیساتم شاوند باه عناوان‬
‫یکی از مهمترین تهدیدهاي سیستم عامل به حساب می آیند.‬

43. ‫‪DOS‬‬
‫)‪(Denial of Service‬‬
‫این دسته از حمالت تنها هدفشان از کار انداختن سرویس دهنده می باشد که می تواند هم به‬
‫علت وجود یک ضعف در سیستم باشد و یا به علت حجم باالیی از تقاضا.‬
‫آسیب پذیري سرویس دهنده‬
‫از جمله بزرگترین معضالت تکنولوژي وجود ضعفهاي امنیتی می باشد. این ضعفها از چند جهت قابل بررسی می باشد:‬
‫یکی از این جهت که معموالً این ضعفها اول توسط تیم هاي هکري کشف می شوند و در جهت کارهاي خرابکارانه مورد‬
‫استفاده قرار می گیرند.‬
‫دوم اینکه در برخی از موارد علیرغم انتشار بسته هاي امنیتی ممکن است که یکسري از استفاده کنندگان آنها رایا به‬
‫34‬
‫علت سهل انگاري و یا به علت عدم آگاهی در سرویس دهنده و یا سیستم عامل اعمال نکنند.‬

44. ‫اهتكال:‬
‫44‬

45. ‫دریافت:‬
‫54‬
‫وقتی دریافت هزینه همزمان با تحویال کااال در محال مشاتري انجاام مای پاذیرد مای تواناد تهدیادي جادي باه‬
‫حساب آید چرا که هیچ سیستمی به منظور اابات این موضوع که چه شخصی سافارش دهناده باوده وجاود‬ ‫انکار‬
‫ندارد.‬ ‫سفارش‬
‫ایاان تهدیااد بااه طااور عمااده در نقاال و انتقاااالت اینترنتاای وجااود دارد بااه طوریکااه‬ ‫انکار دریافت‬
‫دریافت کننده همواره انکار کننده دریافت سرویس و یا کاال می باشد.‬ ‫کاال‬
‫کاربر‬
‫شاامل فریااب دادن کااربران و دریافاات اطالعاات کااارت اعتبااري آنهااا و یاا دریافاات‬
‫هزینه اي بیشتر از قیمت کاال یا سرویس می باشد.‬
‫کاله برداری‬
‫در واقااع هااک شاادن ذات بشاار ماای باشااد بااه ایاان منظااور کااه بااا اسااتقاده از ترفناادهایی خاااص در ارتباطااات‬ ‫مهندسی‬
‫بشري هکر می تواند به اطالعات مطلاوب خاود دسات یاباد و یاا باه ناوعی آنهاا را متقاعاد باه انجاام کااري‬
‫بکند.‬
‫اجتماعی‬

46. ‫64‬
‫راًکارًاي مكابلي :‬

47. ‫1. اجتواب از خعر :‬
‫به این معنی می باشد که آن کاري را که می تواند براي سیستم ایجاد خطر نماید را انجام ندهیم و یا با انجام کاري آن خطر را‬
‫دور نماییم‬
‫2. اهتكال خعر :‬
‫در برخی از شرایط می توانیم خسارت ناشی از یک خطر را به سازمان و یا شرکت دیگري منتقل کنیم. یکی از متداولترین‬
‫کارها در این زمینه بیمه می باشد.‬
‫3. کاًض خعر :‬
‫به طور مثال با بروز نگه داشتن سیستم عامل خطر هک شدن از طریق ضعفهاي امنیتی سیستم عامل را کاهش‬
‫می دهیم.‬
‫4. پذیرش خعر:‬
‫در شرایطی که هیچگونه از موارد باال تحقق نیابند چاره اي جز پذیرش خطر نیست یعنی آگاهانه می پذیریم که‬
‫74‬ ‫از یک خطري ممکن است متضرر شویم.‬

48. ‫مفاًیم امویتی:‬
‫84‬

49. ‫تٍلید :‬
‫94‬

50. ‫ارائي :‬
‫05‬
‫1. باااااروز نگاااااه داشاااااتن‬
‫3. هر سرویس اضاافه اي کاه‬
‫همیشاااااگی محصاااااوالت .‬
‫2. تنظیم صحیح و ایمان برناماه‬
‫در سیساااتم ماااا وجاااود داشاااته‬ ‫بسااایاري از مشاااکالت در‬
‫هاااا، سیساااتم عامااال و سااارویس‬
‫ایاااان قساااامت مربااااوط بااااه‬
‫باشااد ماای توانااد داراي ضااعف‬ ‫آساااااااایب پااااااااذیري هاااااااااي‬
‫هااااي امنیتااای باشاااد. بناااابراین‬ ‫دهندگان، زیرا تنظیمات اولیه یاا‬ ‫محصاوالت ماورد اساتفاده‬
‫مااای باشاااد کاااه شاااارکتهاي‬
‫هرگوناااااه سااااارویس، قابلیااااات،‬ ‫به دالیل سازگاري با نسخه هاي‬ ‫ایجاد کننده آن همواره به‬
‫منظاااور بااار طااارف کاااردن‬
‫پروتکااال و... کاااه ماااورد نیااااز‬
‫قبلاای و یااا اسااتفاده آسااان تاار از‬ ‫ضاااااااااااعفهاي موجاااااااااااود،‬
‫نماای باشااند بایسااتی از سیسااتم‬ ‫محصاااااوالت خاااااود را باااااا‬
‫امنیت کافی برخوردار نیستند.‬ ‫بسااته هاااي امنیتاای بااروز‬
‫حذف شوند.‬ ‫رسانی می کنند‬

51. ‫اهتكال :‬
‫15‬

52. 52

53. ‫دریافت :‬
‫35‬
‫‪ ‬ماای تااوان بااا اسااتفاده از روشااهاي عضااو گیااري و شناسااایی کاماال افااراد بااه‬
‫مشکل دریافت کاال و پرداخت همزمان هزینه پاسخ داد.‬
‫همچنین به منظاور پیشاگیري از کالهبارداري اینترنتای نیاز مای تاوان از شاخص‬
‫سوم مورد تاییدي در جهت احراز هویت دوگانه استفاده نمود.‬

54. ‫راًکارًاي کالن‬
‫45‬

55. ‫سیستم مدیریت امنیت اطالعات )‪(ISMS‬‬
‫55‬
‫با ارائه اولین استاندارد مدیریت امنیت اطالعات در سال 5991، نگرش سیستماتیک‬ ‫‪‬‬
‫به مقوله ایمنسازي فضاي تبادل اطالعات شکل گرفت. بر اساس این نگرش، تامین‬
‫امنیت فضاي تبادل اطالعات سازمانها، دفعتا مقدور نميباشد و الزم است این امر‬
‫بصورت مداوم در یک چرخه ایمنسازي شامل مراحل طراحي، پیادهسازي، ارزیابي‬
‫و اصالح، انجام گیرد. براي این منظور الزم است هر سازمان بر اساس یک‬
‫متدولوژي مشخص، اقدامات زیر را انجام دهد:‬
‫تهیه طرحها و برنامههاي امنیتي موردنیاز تجارت الکترونیک‬ ‫1-‬ ‫‪‬‬
‫ایجاد تشکیالت موردنیاز جهت ایجاد و تداوم امنیت فضاي تبادل اطالعات تجارت‬ ‫2-‬ ‫‪‬‬
‫الکترونیک‬
‫اجراي طرحها و برنامههاي امنیتي تجارت الکترونیک‬ ‫3-‬ ‫‪‬‬

56. ‫مستندات ‪ISMS‬‬
‫65‬
‫بر اساس استانداردهاي مدیریت امنیت اطالعات و ارتباطات، هر سازمان باید مجموعه‬ ‫‪‬‬
‫مستندات مدیریت امنیت اطالعات و ارتباطات را به شرح زیر، براي خود تدوین نماید:‬
‫• اهداف، راهبردها و سیاستهاي امنیتي فضاي تبادل اطالعات دستگاه‬ ‫‪‬‬
‫• طرح تحلیل مخاطرات امنیتي فضاي تبادل اطالعات دستگاه‬ ‫‪‬‬
‫•طرح امنیت فضاي تبادل اطالعات دستگاه‬ ‫‪‬‬
‫• طرح مقابله با حوادث امنیتي و ترمیم خرابیهاي فضاي تبادل اطالعات دستگاه‬ ‫‪‬‬
‫• برنامة آگاهي رساني امنیتي به پرسنل دستگاه‬ ‫‪‬‬
‫• برنامة آموزش امنیتي پرسنل تشكیالت تامین امنیت فضاي تبادل اطالعات‬ ‫‪‬‬
‫دستگاه‬ ‫‪‬‬
‫در این بخش، به بررسي مستندات فوق خواهیم پرداخت.‬ ‫‪‬‬

57. ‫مستندات ‪ISMS‬‬
‫75‬
‫اهداف، راهبردها و سیاست هاي امنیتي‬ ‫‪‬‬
‫اولین بخش از مستندات دستگاه، شامل اهداف، راهبردها و سیاست هاي امنیتي‬ ‫‪‬‬
‫‪ISMS‬فضاي تبادل اطالعات دستگاه مي باشد .در این مستندات، الزم است موارد زیر،‬
‫گنجانیده شوند:‬
‫اهداف امنیت فضاي تبادل اطالعات دستگاه‬ ‫‪‬‬
‫در این بخش از مستندات، ابتدا سرمایه هاي فضاي تبادل اطالعات دستگاه، در قالب‬ ‫‪‬‬
‫سخت افزارها، نرم افزارها، اطالعات، ارتباطات، سرویسها و كاربران تفكیك و دسته‬
‫بندي شده و‬
‫سپس اهداف كوتاه مدت و میان مدت تامین امنیت هر یك از سرمایه ها، تعیین خواهد‬ ‫‪‬‬
‫شد.‬

58. ‫مستندات ‪ISMS‬‬
‫85‬
‫نمونه هائي از اهداف كوتاه مدت امنیت:‬ ‫‪‬‬
‫جلوگیري از حمالت و دسترسي هاي غیرمجاز، علیه سرمایه هاي فضاي تبادل ·‬ ‫‪‬‬
‫اطالعات دستگاه‬ ‫‪‬‬
‫مهار خسارتهاي ناشي از ناامني موجود در فضاي تبادل اطالعات دستگاه ·‬ ‫‪‬‬
‫كاهش رخنه پذیریهاي سرمایه هاي فضاي تبادل اطالعات دستگاه ·‬ ‫‪‬‬

59. ‫مستندات ‪ISMS‬‬
‫95‬
‫نمونه هائي از اهداف میان مدت امنیت:‬ ‫‪‬‬
‫تامین صحت عملكرد، قابلیت دسترسي و محافظت فیزیكي براي سخت افزارها، ·‬ ‫‪‬‬
‫متناسب با حساسیت آنها.‬ ‫‪‬‬
‫تامین صحت عملكرد و قابلیت دسترسي براي نرم افزارها، متناسب با حساسیت ·‬ ‫‪‬‬
‫آنها.‬ ‫‪‬‬
‫تامین محرمانگي، صحت و قابلیت دسترسي براي اطالعات، متناسب با طبق هبندي ·‬ ‫‪‬‬
‫اطالعات از حیث محرمانگي.‬ ‫‪‬‬
‫تامین محرمانگي، صحت و قابلیت دسترسي براي ارتباطات، متناسب با طبقه بندي ·‬ ‫‪‬‬
‫اطالعات از حیث محرمانگي و حساسیت ارتباطات.‬ ‫‪‬‬
‫تامین قابلیت تشخیص هویت، حدود اختیارات و پاسخگوئي، حریم خصوصي و ·‬ ‫‪‬‬
‫آگاهي رساني امنیتي براي كاربران شبكه، متناسب با طبقه بندي اطالعات قابل دسترس‬ ‫‪‬‬
‫و نوع كاربران‬ ‫‪‬‬

60. ‫مستندات ‪ISMS‬‬
‫06‬
‫راهبردهاي امنیت فضاي تبادل اطالعات دستگاه‬
‫راهبردهاي امنیت فضاي تبادل اطالعات دستگاه، بیانگر اقداماتي است كه به منظور تامین اهداف امنیت‬
‫دستگاه، باید انجام گیرد .نمونه اي از راهبردهاي كوتا ه مدت و میان مدت امنیت فضاي تبادل اطالعات‬
‫دستگاه، عبارتند از:‬
‫نمونه هائي از راهبردهاي كوتاه مدت امنیت:‬
‫شناسائي و رفع ضعفهاي امنیتي فضاي تبادل اطالعات دستگاه ·‬
‫آگاهي رساني به كاربران فضاي تبادل اطالعات دستگاه ·‬
‫كنترل و اعمال محدودیت در ارتباطات شبكه داخلي دستگاه ·‬
‫نمونه هائي از راهبردهاي میان مدت امنیت:‬
‫رعایت استانداردهاي مدیریت امنیت اطالعات ·‬
‫تهیه طرح ها و برنامه هاي امنیتي فضاي تبادل اطالعات دستگاه، بر اساس استانداردهاي فوق‬
‫ایجاد و آماده سازي تشكیالت تامین امنیت فضاي تبادل اطالعات دستگاه ·‬
‫اجراي طرح ها و برنامه هاي امنیتي فضاي تبادل اطالعات دستگاه‬

61. ‫مستندات ‪ISMS‬‬
‫16‬
‫سیاست هاي امنیتي فضاي تبادل اطالعات دستگاه‬
‫سیاست هاي امنیتي فضاي تبادل اطالعات دستگاه، متناسب با دسته بندي انجام شده روي سرمایه هاي‬
‫فضاي تبادل اطالعات دستگاه، عبارتند از:‬
‫سیاست هاي امنیتي سرویس هاي فضاي تبادل اطالعات دستگاه ·‬
‫سیاست هاي امنیتي سخت افزارهاي فضاي تبادل اطالعات دستگاه ·‬
‫سیاست هاي امنیتي نرم افزارهاي فضاي تبادل اطالعات دستگاه ·‬
‫سیاست هاي امنیتي اطالعات فضاي تبادل اطالعات دستگاه ·‬
‫سیاست هاي امنیتي ارتباطات فضاي تبادل اطالعات دستگاه ·‬
‫سیاست هاي امنیتي كاربران فضاي تبادل اطالعات دستگاه ·‬

62. ‫مستندات ‪ISMS‬‬
‫26‬
‫طرح تحلیل مخاطرات امنیتي‬
‫پس از تدوین اهداف ، راهبردها و سیاست هاي امنیتي فضاي تبادل اطالعات دستگاه و قبل ازطراحي امنیت فضاي تبادل‬
‫اطالعات، الزم است شناخت دقیقي از مجموعه فضاي تبادل اطالعات موجود دستگاه بدست آورد .در این مرحله، ضمن‬
‫كسب شناخت نسبت به اطالعات، ارتباطات،تجهیزات، سرویس ها و ساختار شبكه ارتباطي دستگاه، ضعفهاي امنیتي موجود‬
‫در بخشهاي‬
‫مختلف، شناسائي خواهند شد تا در مراحل بعدي، راهكارهاي الزم به منظور رفع این ضعفها ومقابله با تهدیدها، ارائه شوند .‬
‫روش تحلیل مخاطرات امنیتي، باید در مجموعه راهبردهاي امنیتي فضاي تبادل اطالعات دستگاه، مشخص شده باشد.‬
‫در تحلیل مخاطرات امنیتي، به مواردي پرداخته مي شود كه بصورت بالقوه، امكان دسترسي غیرمجاز، نفوذ و حمله‬
‫كاربران مجاز یا غیرمجاز فضاي تبادل اطالعات دستگاه، به منابع(سرمایه هاي) فضاي تبادل اطالعات دستگاه و منابع‬
‫كاربران این فضا را فراهم مي نمایند‬
‫در این مستند، الزم است مخاطرات امنیتي فضاي تبادل اطالعات، حداقل در محورهاي "معماري شبكه"، "تجهیزات شبكه"،‬
‫"سرویس دهنده هاي شبكه"، "مدیریت و نگهداري شبكه "و‬
‫"تشكیالت و روشهاي مدیریت امنیت شبكه"، بررسي شوند.‬

63. ‫مستندات ‪ISMS‬‬
‫36‬
‫معماري شبكه ارتباطي‬
‫در این بخش ، الزم است معماري شبكه ارتباطي دستگاه، حداقل در محورهاي زیر مورد‬
‫تجزیه و تحلیل قرار گیرد:‬
‫ساختار شبكه ارتباطي ·‬
‫ساختار آدرس دهي و مسیریابي ·‬
‫ساختار دسترسي به شبكه ارتباطي ·‬
‫تجهیزات شبكه ارتباطي‬
‫در این بخش ، الزم است تجهیزات شبكه ارتباطي دستگاه، حداقل در محورهاي زیر مورد‬
‫تجزیه و تحلیل قرار گیرد:‬
‫محافظت فیزیكي ·‬
‫نسخه و آسیب پذیریهاي نرم افزار ·‬
‫مدیریت محلي و از راه دور ·‬
‫تصدیق هویت، تعیین اختیارات و ثبت عملكرد سیستم، بویژه در دسترسي هاي مدیریتي‬
‫ثبت وقایع ·‬
‫نگهداري و به روزنمودن پیكربندي ·‬
‫مقابله با حمالت علیه خود سیستم، بویژه حمالت ممانعت از سرویس‬

64. ‫مستندات ‪ISMS‬‬
‫46‬
‫مدیریت و نگهداري شبكه ارتباطي‬
‫در این بخش ، الزم است مدیریت و نگهداري شبكه ارتباطي دستگاه، حداقل در محورهاي زیر مورد تجزیه و تحلیل قرار گیرد:‬
‫تشكیالت و روشهاي مدیریت و نگهداري شبكه ارتباطي ·‬
‫ابزارها و مكانیزم هاي مدیریت و نگهداري شبكه ارتباطي ·‬
‫سرویس هاي شبكه ارتباطي‬
‫در این بخش ، الزم است سرویس هاي شبكه ارتباطي دستگاه، حداقل در محورهاي زیرمورد تجزیه و تحلیل قرار گیرد:‬
‫سیستم عامل سرویس دهنده ·‬
‫سخت افزار سرویس دهنده، بویژه رعایت افزونگي در سطح ماجول و سیستم ·‬
‫نرم افزار سرویس ·‬
‫استفاده از ابزارها و مكانیزم هاي امنیتي روي سرویس دهنده ها ·‬
‫تشكیالت و روشهاي تامین امنیت شبكه ارتباطي‬
‫در این بخش، الزم است تشكیالت و روشهاي امنیت شبكه ارتباطي دستگاه، حداقل در‬
‫محورهاي زیر مورد تجزیه و تحلیل قرار گیرد:‬
‫طرح ها، برنامه ها و سایر مستندات امنیتي ·‬
‫تشكیالت امنیت، روالهاي اجرائي و شرح وظایف پرسنل امنیت‬

65. ‫مستندات ‪ISMS‬‬
‫56‬
‫طرح امنیت‬
‫پس از تحلیل مخاطرات امنیتي شبكه ارتباطي دستگاه و دسته بندي مخاطرات امنیتي‬
‫این شبكه، در طرح امنیت، ابزارها و مكانیز مهاي موردنیاز به منظور رفع این ضعفها و‬
‫مقابله با تهدیدها،رائه مي شوند . در طرح امنیت، الزم است كلیه ابزارها ومكانیزم هاي‬
‫امنیتي موجود، بكار گرفته شوند .‬
‫نمونه اي از این ابزارها عبارتند از:‬
‫1- سیستم هاي كنترل جریان اطالعات و تشكیل نواحي امنیتي‬
‫فایروال ها‬
‫سایر سیستم هاي تامین امنیت گذرگاه ها ·‬
‫2-سیستم هاي تشخیص و مقابله یا تشخیص و پیشگیري از حمالت، شامل:‬
‫سیستم هاي مبتني بر ایستگاه ·‬
‫سیستم هاي مبتني بر شبكه ·‬

66. ‫مستندات ‪ISMS‬‬
‫66‬
‫طرح امنیت‬
‫3-سیستم فیلترینگ محتوا(بویژه براي سرویس ‪)E-Mail‬‬
‫4-نرم افزارهاي تشخیص و مقابله با ویروس‬
‫5-سیستم هاي تشخیص هویت، تعیین حدود اختیارات و ثبت عملكرد كاربران‬
‫6-سیستم هاي ثبت و تحلیل رویدادنامه ها‬
‫7-سیستم هاي رمزنگاري اطالعات‬
‫8-نرم افزارهاي نظارت بر ترافیك شبكه‬
‫9-نرم افزارهاي پویشگر امنیتي‬
‫01-نرم افزارهاي مدیریت امنیت شبكه‬

67. ‫مستندات ‪ISMS‬‬
‫76‬
‫ویژگیهاي اصلي سیستم امنیتي شبكه ارتباطي دستگاه، عبارتند از:‬
‫چندالیه بودن سیستم امنیتي‬
‫توزیع شده بودن سیستم امنیتي‬
‫تشكیل نواحي امنیتي جهت كنترل دقیق دسترسي به سرویس هاي شبكه‬
‫یكپارچگي مكانیزم هاي امنیتي، بویژه در گذرگاههاي ارتباطي شبكه‬
‫تفكیك زیرساختار مدیریت امنیت شبكه ( حداقل بخش اصلي سیستم امنیتي‬
‫شبكه) هاي مختلف، بنحوي كه ضعفهاي ‪Brand‬انتخاب اجزاء سیستم امنیتي شبكه، از ·امنیتي یكدیگر‬
‫را پوشش داده و مخاطره باقیمانده را كاهش دهند‬
‫انتخاب محصوالتي كه داراي تائیدي ههاي معتبر، از موسسات ارزیابي بین المللي‬
‫مي باشند‬

68. ‫هتیجي‬
‫86‬