![تهدید
آسی دارایی به تواند می که شود می گفته انسانی یا طبیعی از اعم اقدامی هر به
برساند ب
.
به ملزم را ها سازمان آنها همه که است شدید های طوفان و زلزله ،سیل شامل طبیعی تهدیدهای
تجاری عملیات ادامه از اطمینان برای هایی برنامه ایجاد
(
ک و کسب تداوم طرح ،مثال عنوان به
ار
[BCP]
)
و
سازمان بهبود
(
بازیابی طرح یعنی
بالیا
[DRP]
کنند می
.).
یک
BCP
که را کارکردهایی
یک و ،کند می بندی اولویت دارد نیاز آن به دادن ادامه برای سازمان یک
DRP
تعریف
که کند می
پای روی دوباره ،طوفان یا سوزی آتش مانند ،بزرگ فاجعه یک از پس کار و کسب یک چگونه
خود
گردد می باز
.
کدهای ،ها ویروس شامل کامپیوتری سیستم یک برای انسان از ناشی تهدیدات
است غیرمجاز دسترسی و مخرب
.
رساند آسیب برای که است کامپیوتری برنامه یک ویروس
به ن
کام ای برنامه بدافزار یا مخرب کدهای و است شده نوشته ها داده یا برنامه یک ،سیستم یک
پیوتری
است شده نوشته دیسک هارد کردن پاک مانند خاص عمل یک انجام برای که است
.
می تهدید
برساند آسیب سازمان یک یا کار و کسب یک ،فرد یک به تواند
.](https://image.slidesharecdn.com/chapter11-221216122941-4665707a/75/chapter-1-1pdf-22-2048.jpg?cb=1671194112)
chapter 1 (1).pdf
•0 gefällt mir•4 views
Melden
Teilen
Downloaden Sie, um offline zu lesen
interner
Más contenido relacionado
Similar a chapter 1 (1).pdf
Similar a chapter 1 (1).pdf(20)
chapter 1 (1).pdf
- 1. اول فصل امنیت سیستم های اطالعاتی شناسیم می اینترنت عنوان به ما که جهانی شبکه است داده نشان خود فروتنانه آغاز از را ای العاده خارق تغییر و رشد . ب ابزاری ًاصرف که زمانی که ود جهان شبکه یک ًاواقع ،شد می استفاده دولتی های سازمان و ها دانشگاه از کمی تعداد توسط با ی 5 است کاربر میلیارد . ت انجام و ها دستگاه حتی و مردم ارتباط راه ،است کرده رشد که همانطور جارت کند می ایجاد را ناگفتنی مزایای و ها فرصت و است داده تغییر را . ه روش به اینترنت امروزه ای دهد می ادامه خود گسترش و رشد به متنوع و جدید . جدید خدمات و نوآوری از سرویس این کند می پشتیبانی ابری رایانش و بالدرنگ استریم مانند . ب شروع اینترنت که هنگامی ،کرد کار ه شرکت یک در چه و شخصی استفاده برای چه ،بودند هارایانه متصل هایدستگاه اکثر . ای با ،حال ن ،هوشمند هایتلفن جمله از ،هارایانه از فراتر هادستگاه از ایفزاینده تعداد ،اخیر هایسال در بدون هواپیماهای ،خودکار فروش هایماشین ،درها زنگ ،خانگی لوازم ،نقلیه وسایل ،هاتبلت ب و کرده متصل هم به را هاداده توانندمی ،هوشمند هایساختمان و هوشمند هایخانه ،سرنشین ه بگذارند اشتراک .
- 2. اشیا اینترنت گسترش با شناسیم می امروزه که همانطور اینترنت (IoT) روزمره زندگی بر آن تاثیر و کند می تجربه را رشدی جهش ،ما . سال در رسمی طور به اینترنت اگرچه 1969 اما ،کرد کار به شروع است جدید آن به مردم وابستگی میزان . با روزمره عادی زندگی از بخشی عنوان به مردم امروزه دارند تعامل مجازی فضای و اینترنت . شخ استفاده برای اغلب اینترنت به اتصال عدم ،واقع در و صی شود می تلقی آزاردهنده تجاری . امنی و خصوصی حریم به مربوط مسائل با حاضر حال در کاربران تی مواجه خود تجاری و شخصی مورد در هستند . طور به کالهبردار هنرمندان و ها تروریست ،تهاجمی و هوشمند سایبری مجرمان عنوان به اطالعات کنند می کمین مجازی های سایه در مستمر و فزاینده . اینترنت به هادستگاه و هارایانه اتصال بالفاصله آید وجود به تواندمی سختی و ناامیدی آن نتیجه در که دهدمی قرار حمله معرض در را آنها . کس هر ی است رفته سرقت به او شخصی اطالعات که ( هویت سرقت نام به ) کند تأیید را آن تواند می . ب از دتر تجارت به که است ملی اقتصاد برای تهدیدی ای شبکه های دستگاه و ها رایانه به حمالت ،آن است وابسته الکترونیکی .
- 3. کند می تهدید را ملی امنیت سایبری حمالت ،آن از مهمتر . م تروریستی مهاجمان ،مثال برای ی کنند مختل را نظامی ارتباطات یا ببندند را برق های شبکه توانند . کنی ایجاد تفاوت توانی می تو . و کنند درک را سایبری امنیت که دارد نیاز افرادی به جهان بتوانند کنند محافظت سایبری مجرمان برابر در هاشبکه و هادستگاه ،هارایانه از . باش داشته یاد به همه ،ید است آن اطراف های زیرساخت و حساس های داده از محافظت مورد در چیز . فصل این ،شروع برای برای که دهد می ارائه را اطالعاتی های سیستم امنیتی اصطالحات و مفاهیم از کلی نمای یک کنید درک را آنها باید سایبری حمالت از جلوگیری .
- 4. فصل مباحث 1 پردازد می زیر مفاهیم و موضوعات به فصل این : • چیست ها داده نقض و غیرمجاز دسترسی • چیست؟ اطالعاتی های سیستم امنیت • چیست؟ اطالعاتی های سیستم امنیت اصول • اطالعات فناوری زیرساخت حوزه هفت IT) ) چیست؟ • چیست؟ اطالعات فناوری زیرساخت در حلقه ترین ضعیف • کاهش را ریسک تواند می اطالعات فناوری امنیتی سیاست چارچوب یک چگونه دهد • فناور زیرساخت امنیتی نیازهای بر ها داده بندی طبقه استاندارد یک چگونه ی گذارد می تأثیر اطالعات
- 5. فصل اهداف 1 بود خواهید قادر ،کردید کامل را فصل این وقتی : • شود داده نقض به منجر تواند می غیرمجاز دسترسی چگونه که دهید توضیح • ح هفت بر محرمانگی و یکپارچگی ،بودن دسترس در الزامات تأثیرگذاری نحوه وزه زیرساخت IT کنید بیان را معمولی . • ش را شوند می یافت حوزه هفت در ًالمعمو که هایی پذیری آسیب و تهدیدات ،خطر رح دهید • کنید شناسایی حوزه هفت در را ای الیه امنیتی رویکرد یک • ناش خطرات کاهش به کمک برای را اطالعات فناوری امنیتی سیاست چارچوب یک ی کنید ایجاد رایج های پذیری آسیب و تهدیدات از • کنید بیان را حوزه هفت بر ها داده بندی طبقه استاندارد تأثیرگذاری نحوه
- 6. اطالعاتی های سیستم امنیت ًاتقریب با جهانی شبکه یک امروزی اینترنت 5 است کاربر میلیارد . و مشاغل ،ها دولت همه ًاتقریب شود می شامل را زمین روی های سازمان . ب تنها شبکه یک در کاربر تعداد این داشتن ،حال این با رای نبود کافی تغییر حال در نوآوری یک به اینترنت تبدیل . ب مکانیسم نوعی به کاربران این یابی مکان رای متصل های شبکه از ای مجموعه در یکدیگر با آنها پیوند و مختلف های رایانه در منابع و اسناد نیاز داشتند . رایانه در کاربر یک ،دیگر عبارت به A رایانه در سند یک کردن باز برای آسان راه یک به B داشت نیاز . ای شبکه در را منابع و اسناد ارتباط نحوه که شد سیستمی ایجاد باعث نیاز این ها رایانه از کند می تعریف . وب جهانی شبکه سیستم این نام (WWW) ساده زبان به یا مجازی فضای به که است است معروف نیز وب . کنید فکر موضوع این به : پ یکدیگر به را ارتباطی های شبکه اینترنت می یوند دهد . است ای شبکه های رایانه آن در دیجیتال محتوای و وب صفحات ،ها سایت وب اتصال وب . و که است دسترسی قابل کاربردی های برنامه و وب صفحات ،ها شبکه ،کاربران همه مجازی فضای در کنند می کار جهانی الکترونیکی قلمرو این .
- 7. متحده ایاالت در اخیر اطالعات نقض ) 2014 – 2020 ( و افراد به که هاییآسیب با همراه ،جهان سراسر در شدهگزارش اطالعاتی هاینقض تعداد سال هر یابدمی افزایش ،کنندمی وارد هاسازمان . اند شده قربانی خصوصی و دولتی بخش دو هر . جدول 1 - 1 فهرس را سازمان آن بر داده نقض تأثیر و دیده آسیب سازمان ،ها داده اخیر های نقض از ای خالصه ت کند می . جدول 1 - 1 اخیر های داده نقض داده نقض ها دسامبر در یاهو 2016 میلیارد یک هکرها از گروهی که کرد فاش اند انداخته خطر به را کاربری حساب . اکتبر در 2017 اطالعات یاهو ، به را شده نقض های اکانت تخمین و کرد منتشر بیشتری 3 میلیارد داد افزایش . O R G A NI Z A TI ON yaho o ها داده تاثیر رخنه ر تا شد خواسته یاهو کاربران همه از ،یاهو نقض نتیجه در مز به را مرتبط امنیتی سواالت و دهند تغییر را خود عبور روز کنند . و هاگذرواژه از مجدد استفاده از کاربران همچنین هایگذرواژه که هاییحساب سایر هایگذرواژه فوری تغییر شدن منصرف ،گذاشتندمی اشتراک به را یاهو شده فاش د .
- 8. Firs T Am Eric An Fin Anci Al Cor Por Atio N Veri Fica Tion s.Io Mar Riott /Sta Rwo Od Hot els حدود 885 حساس شخصی مالی اطالعات کاربر میلیون ی می در که داشتند 2019 کرد درز بیرون به . هکرها تراک شامل که کنند استخراج را هایی داده توانستند نش سال به مربوط های 2003 بود . ق هویت سرقت خطر معرض در بالفاصله مشتریان رار شد نقض آنها شخصی مالی اطالعات زیرا داشتند ه دارد ادامه همچنان خطر این و بود . فوریه در 2019 ، 763 منحص کاربر ایمیل آدرس میلیون ر اعتبارسنجی سرویس فرد به Verifications.io به اینترنت پروتکل آدرس ،تلفن شماره ،نام همراه (IP) ، شد فاش جنسیت و تولد تاریخ . مشتریان ،آمریکایی نقض اولین همانند Verifications.io برای باالیی خطر معرض در بودند هویت سرقت قربانی به شدن تبدیل ( و هنوز هستند هم .) د استاروود هایاستراحتگاه و هاهتل اطالعات سیستم ر سال 2014 سال تا نفوذ این اما ،افتاد خطر به 2018 نشد شناسایی . سکوت در سال چهار مدت به هکرها کردند آوریجمع را مشتریان اطالعات . ،پایان در که زد تخمین استاروود 500 اطالعات مهمان میلیون کارت شماره و پاسپورت اطالعات جمله از شخصی حدود پرداخت 100 اند رفته سرقت به مشتری میلیون ، است شده رمزگذاری پرداخت کارت اطالعات اگرچه . ماریوت ،استاروود نقض کشف از قبل سال دو کرد خریداری را استاروود اینترنشنال . ماریوت در مشتری اعتماد دادن دست از با شد مجبور شد مجبور و کند نرم پنجه و دست بزرگ مقیاس به بخشیدن اطمینان برای را نامشخصی مبلغ خصوصی حریم حفظ های سیاست از خود مشتریان کند گذاری سرمایه خود امنیتی و .
- 9. Twi Tter Fire Eye مه ماه در 2018 اعالم توییتر اجتماعی رسانه پلتفرم ، کرد عبور رمزهای ذخیره به منجر افزاری نرم اشکال یک که اس شده نشده رمزگذاری الگ فایل مکان یک در کاربر ت است داده قرار هکرها دسترس در را آنها و . اکی توییتر ًاد همه که کرد توصیه 300 را خود عبور رمز کاربر میلیون حساب تعداد چه که نکرد فاش هرگز اما ،دهند تغییر اند گرفته قرار نقض این تأثیر تحت ًاواقع . اجتم های رسانه کاربران از بسیاری که آنجایی از اعی استفاده سایت چندین در یکسان عبور رمزهای از توان می سایت یک در عبور رمز افشای ،کنند می به د چندین در کاربری های حساب تا دهد اجازه هکرها بیاندازند خطر به را سایت . خوب هایروش با حتی تواندمی اجتماعی هایرسانه نقض ،عبور رمز برای تواندمی که کند فاش را شخصی اطالعات شود استفاده هویت سرقت جمله از اضافی حمالت . دسامبر در 2020 امنیتی شرکت ، FireEye اعالم که کرد داده امنیت ارزیابی برای که خود نفوذ تست ابزارهای های است رفته سرقت به ،شودمی استفاده مشتریان . اختصاصی ابزارهای هدف به توجه با FireEye ، FireEye هشدار برای توانمی آن ابزارهای از که داد کرد استفاده دیگر هایشرکت کردن هک . می که بد بازیگران از بسیاری روی به را در ،شوید می متصل مجازی فضای به وقتی ،متأسفانه خواهند کنید می باز ،بدزدند و کرده پیدا را شما های داده . متصل اینترنت به که دستگاهی یا رایانه هر شود می یک و است خطر معرض در IoT ایجاد پشتیبان آنها زندگی های جنبه تمام در کاربران از که کند می ی کند می . اینترنت دولت هیچ و است جدید مرز یک بلوغ حال در اینترنت ،بیرونی فضای مانند قدرت یا ی ندارد مرکزی . است مشکوک رفتارهای و ها چالش و ها فرصت از پر این . هایبخش ،جهان سرتاسر در اندگرفته قرار خطر معرض در هاداده نقض حمالت و غیرمجاز دسترسی طریق از خصوصی و دولتی .
- 10. کش از نمایندگی به که مهاجمانی و یافته سازمان سایبری مجرمان ،افراد توسط اخیر حمالت این ورهای است شده انجام ،کنند می کار دیگر . است افزایش حال در ملی منافع علیه سایبری حمالت تعداد . اینترن به نقلیه وسایل همچنین و خانگی و شخصی هایدستگاه به اشیا اینترنت اتصال با حتی ،ت همه برای را مهاجمان برابر در خود اطالعات از دفاع و است دسترس در سرقت برای بیشتری هایداده سازدمی ضروری کاربران . را خود ملی امنیت خواهدمی که است دولتی هر وظیفه سایبری امنیت هایداده و اطالعاتی هایدارایی از باید که است سازمانی هر مسئولیت هاداده امنیت ،کند تضمین خود حساس ( اعتباری کارت و اجتماعی تامین هایشماره مانند ) خود هایداده از و کند محافظت کند محافظت . شکل ماست همه مسئولیت 1 - 1 دهد می نشان را جدید مرز این .
- 12. کد و ویروس مخرب عامالن کاله هکرهای سیاه کاربران میزبان مهاجم شکل 1 - 1 مجازی فضای : جدید مرز
- 13. نیستند امن خودکار طور به مجازی فضای دهنده تشکیل اجزای . کشی کابل شامل اجزایی چنین ، ات برای ها رایانه که است افزاری نرم های برنامه و ها عامل سیستم ،فیزیکی شبکه های دستگاه به صال کنند می استفاده آنها از اینترنت . پروتک نسخه ترینرایج در امنیت کمبود ،مشکل قلب در ارتباطی ل ( اینترنت سراسر در ارتباط برقراری هایروش و قوانین از فهرستی یعنی ) - کنترل پروتکل انتقال / پروتکل اینترنت (TCP/IP) است . TCP/IP فقط پروتک از ای مجموعه بلکه ،نیست پروتکل یک ل است شده ایجاد شبکه یک در ارتباط برقراری برای که است هایی . هایپروتکل TCP/IP دو نام به که ارتب منظور به دهندمی اجازه رایانه دو هر به تا کنندمی کار هم با ،اندشده نامگذاری مهم پروتکل و ،اط شوند متصل یکدیگر به ،شبکه یک ایجاد نتیجه در . TCP/IP می تقسیم ها بسته یا قطعات به را ها پیام کند ارسال شبکه های رایانه بین را ها داده تا کند . ا نهفته واقعیت این در ها داده امنیت مشکل که ست بسته هر در ها داده IP با است خواندن قابل است همه دسترس در که ای ساده افزار نرم از استفاده . شود می شناخته شفاف متن عنوان به خواندنی حالت این . ش ارسال های داده که معناست بدان این ده بسته یک داخل در TCP/IP شوند تر ایمن ها داده تا شوند رمزگذاری یا مخفی باید . شکل 1 - 2 داده بسته ساختار درون های TCP/IP دهد می نشان را .
- 15. شکل 1 - 2 ارتباطات TCP/IP هستند واضح متن بصورت
- 16. م آن به میل با همه چرا ،است ناامن حد این تا اینترنت اگر که کند می ایجاد را سوال این اینها همه تصل دهه اواسط از وب عظیم رشد ،پاسخ افزایند؟ می آن رشد به و شوند می 1990 دهه اوایل تا 2000 خطر و است شدن آنالین شده درک پایین نسبتا . ف دسترسی امکان کسی هر به اینترنت به اتصال و وب به وری داد می را آن متعدد منابع . احساس کاربران بیشتر و بود نادر سایبری جرایم ،وب اولیه های سال در داشتند آنالین بودن ناشناس و امنیت . افز را اتصال برای تقاضا جهانی و آسان اتصال جذابیت داد ایش . کرد کمک پرسرعت ارتباطات برای هاهزینه کاهش به آن متعاقب رشد و تقاضا این . مشاغ ،خانوارها و ل مقرون و شدن تررایج با و ،کردند پیدا دسترسی صرفه به مقرون پرسرعت اینترنت به هادولت ترصرفهبه وص باید را هاییدستگاه چه و هستید کجا اینکه به توجه بدون ،سلولی سیمبی اتصاالت شدن ،کنید ل است شده ترآسان کردن برقرار ارتباط . شکل 1 - 3 به را جهان اشیا اینترنت چگونه که دهد می نشان کند می متصل دیجیتالی صورت . بزرگ را پذیریآسیب مسائل و تهدید ،ریسک اشیا اینترنت ،کندمی تر به متصل دستگاه هر به تواندمی مهاجم یا هکر یک اینکه به توجه با IP باشد داشته غیرمجاز دسترسی . به متصل دستگاه یک به دسترسی که هنگامی IP توانند می ها داده ،مهاجم تمایل صورت در ،شد اعطا شوند وارد آسیب یا رفته سرقت به . ماهیت این " تاریک شرور " ه به که است چیزی همان هکر یک کرها عنوان به " سیاه کاله " کرد کمک زدن برچسب .
- 19. است بوده نسلی های تفاوت از ناشی نیز اینترنت رشد . نسل فرهنگ Y ( افرادی هایسال بین که 1981 تا 1996 که ،اندآمده دنیا به ها هزاره شوندمی نامیده نیز ) بومی هایبچه بازنشستگی شروع با مطرح شد . به اینترنت به دسترسی و هوشمند های تلفن ،همراه های تلفن با مردم از جدید نسل این طور شدند بزرگ ای فزاینده . نام به جدیدتر نسل یک حتی نسل z وجود ،دارد ( افرادی هایسال بین که 1997 تا 2012 اندشده متولد ) و ثابت ًاتقریب اتصال و هوشمند هایگوشی بدون زندگی هرگز که ، اندنکرده تجربه را بالدرنگ ارتباطات . شامل امروزی شخصی ارتباطات Voice over Internet Protocol (VoIP) ، ویدئو و صوتی کنفرانس همچنین و اجتماعی هایرسانه و ،متنی هایپیام است کنفرانس . پروتکل در فعال هایبرنامه این شروع جلسه SIP-enabled) ) ًالمعمو عنوان به شوندمی شناخته یکپارچه ارتباطات . س از عبارتند یکپارچه ارتباطی هایبرنامه از هایینمونه رویس فوری رسانیپیام Google Chat™ ، ،مسنجر یاهو WebexTM ، GoToMeeting™ ، Zoom™ ، Adobe ™ Connect و SkypeTM for Business آنالین جلسه هایویژگی .
- 20. است جریان در اطالعات امنیت جنگ ،حال همین در . قب از دشمنان و است مجازی فضای نبرد میدان ل هستند ها دروازه در . جا همه در دشمن ،آن از بدتر - جهان سراسر در و محلی منطقه در - دارد حضور است حساس های داده دنبال به و . غیرم دسترسی به دستیابی مهاجم برای بازی نام ،بنابراین ،است جاز آوردمی دست به آنها اجازه بدون را کاربران مجاز عبور رمز و ورود هایشناسه مهاجم که معنی این به . دسترسی اجازه که هاییبرنامه و هاسیستم تمام به مهاجم ،ورود هایاعتبارنامه این از استفاده با کندمی پیدا دسترسی دهدمی را کاربران . هکنترل به بسته ،شود داده غیرمجاز دسترسی اگر ای باشند دانلود قابل و بوده دسترسی قابل حساس هایداده است ممکن ،کاربر دسترسی . همی به ،دلیل ن دارند نیاز مناسب امنیتی های کنترل به اطالعات فناوری های زیرساخت . امنیت جنگ دلیل به ایج اطالعات تضمین و اطالعاتی های سیستم امنیت متخصصان برای زیادی تقاضای ،اطالعات شده اد ت منافع و امنیت از دفاع به کمک برای سایبری جنگجویان از جدیدی نوع دهنده نشان که است جاری هستند .
- 21. ها پذیری آسیب و تهدیدات ،خطرات پردازد می خطرات این با مقابله چگونگی و مجازی فضای خطرات معرفی به متن این . شناس نحوه و ایی د می توضیح را اطالعات فناوری های زیرساخت و اطالعاتی های سیستم در رایج خطرات با مبارزه هد . تهد ،خطرات مفاهیم باید ابتدا ،کنید ایمن ممکن حد تا را هارایانه چگونه بفهمید اینکه برای و یدها بدانید را هاپذیریآسیب . معم ،گذارد می تأثیر دارایی یک بر که است رویدادهایی معرض در گرفتن قرار از سطحی ریسک ًالو دهد رخ دارایی یک برای بدی اتفاق که دارد وجود احتمال این . ی ،اطالعات فناوری امنیت زمینه در ک باشد اطالعات قطعه یک یا داده پایگاه یک ،دستگاه یک ،کامپیوتر یک تواند می دارایی . نمو از هایی نه است زیر موارد شامل خطر : • ها داده به دسترسی دادن دست از • در کار و کسب که را ساختمانی فاجعه یک که دلیل این به کار و کسب دادن دست از آن است کرده ویران کند می فعالیت • مقررات و قوانین رعایت عدم
- 22. تهدید آسی دارایی به تواند می که شود می گفته انسانی یا طبیعی از اعم اقدامی هر به برساند ب . به ملزم را ها سازمان آنها همه که است شدید های طوفان و زلزله ،سیل شامل طبیعی تهدیدهای تجاری عملیات ادامه از اطمینان برای هایی برنامه ایجاد ( ک و کسب تداوم طرح ،مثال عنوان به ار [BCP] ) و سازمان بهبود ( بازیابی طرح یعنی بالیا [DRP] کنند می .). یک BCP که را کارکردهایی یک و ،کند می بندی اولویت دارد نیاز آن به دادن ادامه برای سازمان یک DRP تعریف که کند می پای روی دوباره ،طوفان یا سوزی آتش مانند ،بزرگ فاجعه یک از پس کار و کسب یک چگونه خود گردد می باز . کدهای ،ها ویروس شامل کامپیوتری سیستم یک برای انسان از ناشی تهدیدات است غیرمجاز دسترسی و مخرب . رساند آسیب برای که است کامپیوتری برنامه یک ویروس به ن کام ای برنامه بدافزار یا مخرب کدهای و است شده نوشته ها داده یا برنامه یک ،سیستم یک پیوتری است شده نوشته دیسک هارد کردن پاک مانند خاص عمل یک انجام برای که است . می تهدید برساند آسیب سازمان یک یا کار و کسب یک ،فرد یک به تواند .
- 23. م فراهم را دارایی یک بر اثرگذاری یا تهدید تحقق امکان که است ضعفی نقطه پذیری آسیب کند ی . کنید فکر آتش کردن روشن به ،چیست پذیری آسیب اینکه درک برای . ر غذا اگر ،طرف یک از روی ا ص در تا است شده طراحی آتش مهار برای که کنید روشن کوره در را آتشی باید ،پزیدمی کباب ورت باشد نداشته خطری آتش ،گریل از صحیح استفاده . مر یک در آتش کردن روشن ،دیگر سوی از کز پ آسیب آتش برابر در ای رایانه داده مرکز یک زیرا شود می آسیب باعث ًالاحتما ای رایانه داده ذیر نیست اینگونه گریل یک که حالی در ،است . آس باعث همیشه خود خودی به تهدید ،بنابراین نمی یب شود . باشد داشته وجود پذیری آسیب باید تهدید یک تحقق برای . شوند قانونی های مسئولیت به منجر توانند می اغلب ها پذیری آسیب . هارایانه که آنجایی از باید ناگ افزارینرم هایبرنامه ،بنویسند افزارنرم هاانسان و باشند مفید تا کنند اجرا را افزارینرم حاوی زیر هستند خطا . نهایی کاربر مجوز توافقنامه یک با باید افزار نرم فروشندگان ،بنابراین ( EULA ) از خود کنند محافظت خود های پذیری آسیب تعهدات برابر در . ک می نصب را افزار نرم کاربر که زمانی ،ند EULA شود می اعمال . از افزار نرم فروشندگان همه EULA بار که معنی این به ،کنند می استفاده اطالعات های سیستم امنیت متخصصان عهده بر ها داده و اطالعات فناوری های سیستم از حفاظت است داخلی .
- 24. نهایی کاربر مجوز قراردادهای ( EULA ) EULA هستند افزار نرم فروشنده یک و کاربر یک بین مجوز های نامه توافق ها . EULA برای از محافظت یک حاوی ًالمعمو و شود می استفاده ناقص افزار نرم رفتار از ناشی ادعاهای برابر در افزار نرم فروشندگان سلب هکر که هایی ضعف و افزاری نرم اشکاالت برابر در را فروشندگان مسئولیت که است ضمانت مسئولیت می ها کند می محدود کنند استفاده سوء آنها از توانند . از ای گزیده اینجا در EULA های ضمانت فقط شرکت این کند می بیان که است مایکروسافت " محدود " برای را دهد می ارائه خود افزار نرم . EULA افزاری نرم محصول که کند می توصیه همچنین " تمام با و هست که همانطور ایرادات " شود می ارائه . نامه ضمانت از مسئولیت سلب . ضمان تنها ،شود می ظاهر باال در که محدودی ضمانت ت دیگری صریح ضمانت هر جای به و است شده داده شما به که است صریح ( وجود صورت در ) توسط شده ایجاد هر شود می ارائه بندی بسته یا سند . ت حداکثر و محدود ضمانت جز به ،آن کنندگان تامین و مایکروسافت مجاز حد ا پشتیبانی خدمات و افزاری نرم محصوالت ،اجرا قابل قانون توسط ( وجود صورت در ) هست که نحوی هر به را به و دهند می ارائه ،حال هر . EULA یا افزار نرم هزینه به را خود مالی مسئولیت همچنین مایکروسافت 5 دالر ( متحده ایاالت ) می محدود باشد بیشتر کدام هر ،کند : مسئولیت محدودیت . دلیلی هر به وارده خسارت هرگونه وجود با دارویی هرگونه ( ، محدودیت بدون ، جمله از عمومی یا مستقیم های خسارت کلیه و باال در شده ارجاع های خسارت تمام ) مایکروسافت مسئولیت کل ، هر و این ارائه هرگونه تحت آن کنندگان تأمین از یک EULA و فوق موارد همه برای حل راه شما فرد به منحصر ( جز به ض نقض هرگونه به توجه با است شده انتخاب مایکروسافت توسط که جایگزینی یا اصالح گونه هر برای مانت محدود ) از بیش مبلغ به باید 0.5 شود محدود دالر . فوق هایمسئولیت سلب و مستثنیات ،هامحدودیت ( شامل هایبخش 9 ، 10 و 11 باال ) عدم صورت در حتی ،شود اعمال اعمال قابل قانون توسط مجاز میزان حداکثر تا باید خسارت جبران امکان . است شده استفاده مایکروسافت اجازه با .
- 25. چیست؟ اطالعاتی های سیستم امنیت آ سازنده اجزای به را آن که است این اطالعاتی های سیستم امنیت تعریف برای راه ترین ساده ن کنیم تقسیم . ا کاربردی افزار نرم و عامل سیستم ،افزار سخت شامل اطالعاتی سیستم یک که ست کنند می کار هم با ها سازمان و افراد برای ها داده ذخیره و پردازش ،آوری جمع برای . از عاری امنیت است خطر یا خطر . اس آرزویی امنیت به دستیابی ،دارد وجود ریسک مقداری همیشه که آنجایی از ،ت مطلق نه . ا سیستم از که است هایی فعالیت مجموعه اطالعاتی های سیستم امنیت بنابراین و طالعاتی کند می محافظت آن در شده ذخیره های داده . اک المللی بین و متحده ایاالت قوانین از بسیاری نون رسی نیاز این به مستقیم طور به باید ها سازمان و کند می ایجاب را امنیتی تضمین نوع این کنند دگی . شکل 1 - 4 می مرور ،شود می یافت اطالعات فناوری زیرساخت یک در ًالمعمو که را اطالعاتی انواع کند .
- 27. شکل 1 - 4 کنیم؟ می ایمن را چیزی چه
- 28. ک می تحریک را اطالعاتی های سیستم امنیت به نیاز ،انطباق مقررات و قوانین ند کند می ها سازمان و مردم متوجه را جدیدی تهدیدات مجازی فضای . خود خصوصی حریم از باید افراد شخ اطالعات گونه هر و معنوی مالکیت از حفاظت مسئول هاسازمان و وکارهاکسب و کنند محافظت صی کنندمی کار آنها با که هستند خصوصی یا . کن از استفاده به ملزم را ها سازمان مختلف قوانین های ترل کنند می محرمانه و خصوصی های داده از محافظت برای امنیتی . به مربوط جاری مقررات و قوانین است زیر موارد شامل اطالعات امنیت : • اطالعات امنیت مدیریت قانون فدرال – (FISMA) در سال 2002 ،شد تصویب FISMA سازمان از پش فدرال عملیات از که منابعی بر را امنیتی های کنترل که خواهد می فدرال غیرنظامی های تیبانی کنند فراهم ،کنند می . • فدرال اطالعات امنیت نوسازی قانون – (FISMA) که سال در 2014 ،رسید تصویب به FISMA برای رسانی روز به FISMA 2002 بهترین و امنیتی های کنترل همچنین و مدرن تهدیدات اطالعات با رسید تصویب به ها شیوه .
- 29. • قانون - Sarbanes-Oxley (SOX) در سال 2002 ،شد تصویب SOX می عام سهامی های شرکت از کنند ارائه اعتماد قابل و دقیق مالی های گزارش که خواهد . اط سازی ایمن به نیازی قانون این العات گزارش یکپارچگی و بودن محرمانه از محافظت برای امنیتی های کنترل به اما ،ندارد خصوصی خود دارد نیاز . • قانون Gramm-Leach-Bliley (GLBA) - سال در 1999 ، GLBA نیاز مالی مؤسسات انواع همه به کنند محافظت مشتریان خصوصی مالی اطالعات از تا دارد . • سالمت بیمه پاسخگویی و حمل قابل قانون (HIPAA) - سال در که 1996 ،شد تصویب HIPAA برای خصوصی حریم و امنیتی های کنترل اجرای به ملزم را بهداشتی های مراقبت های سازمان کند می بیمار خصوصی حریم از اطمینان . • قانون کودکان اینترنت از حفاظت (CIPA) - که سال در 2000 سال در و شد تصویب 2011 روز به ،شد CIPA اینترن ایمنی مشی خط از استفاده به ملزم را عمومی های کتابخانه و دولتی مدارس می ت کند . باشد داشته توجه زیر موارد به باید سیاست :
- 30. o اینترنت در نامناسب موارد به کودکان دسترسی کردن محدود o الکترونیکی ارتباطات سایر و روم چت ،ایمیل از استفاده هنگام کودکان امنیت تضمین o آنالین صورت به کودکان توسط غیرقانونی های فعالیت سایر و هک کردن محدود o مجوز بدون کودکان شخصی اطالعات توزیع و افشای منع o مضر مواد به کودکان دسترسی کردن محدود o اجتماعی های رسانه خطرات و استفاده مورد در کودکان به هشدار • خصوصی حریم و خانواده آموزشی حقوق قانون (FERPA) - که سال در 1974 ،شد تصویب FERPA کند می محافظت آنها مدرسه سوابق و آموزان دانش خصوصی اطالعات از . شکل 1 - 5 دهد می نشان صنعت اساس بر را قوانین این .
- 31. شکل 1 - 5 ،انطباق مقررات و قوانین اطالعات های سیستم امنیت به نیاز را ی کند می تحریک
- 32. تن متحده ایاالت اما ،هستند متحده ایاالت قوانین ،تاکنون شده فهرست انطباق قوانین تمام جایی ها هستند خصوصی حریم و امنیت نگران قانونگذاران که نیست . تد مشغول کشورها از بسیاری وین هستن سایبری مجرمان برابر در کنندگان مصرف و ها سازمان از محافظت برای مقررات و قوانین د . م ،شخصی هایداده خصوصی حریم از محافظت برای هاتالش ترینگسترده و جدیدترین از یکی قررات اروپا اتحادیه هایداده از حفاظت عمومی (GDPR) است . GDPR اروپا اتحادیه قوانین در مقرراتی کند می محافظت اروپا اتحادیه شهروند هر فردی های داده از که است . GDPR داده مالکیت افراد به کند می محدود را آنها از استفاده و آوری جمع نحوه و دهد می را آنها شخصی های . اگرچه GDPR سرازی اروپا اتحادیه اطالعاتی هایسیستم به که را هاییداده اما ،است اروپا اتحادیه مقررات یک و ر دهدمی پوشش را شوندمی خارج . را اروپا اتحادیه شهروندان های داده که جهان در سازمانی هر رعایت به ملزم کند می مدیریت GDPR است .
- 33. اطالعاتی های سیستم امنیت اصول اما ،باشد امن باید خصوصی اطالعات که هستند موافق مردم اکثر " امن اطالعات " چه به واقعا کند می برآورده را اطالعات ویژگی یا اصل سه ایمن اطالعات معناست؟ . اص سه این بتوانید اگر را ل کرد خواهید برآورده را ایمن اطالعات الزامات ،کنید تضمین . زیر شرح به اصل سه این است • بودن محرمانه - کنند مشاهده را اطالعات توانند می مجاز کاربران فقط . • صداقت - دهند تغییر را اطالعات توانند می مجاز کاربران فقط . • بودن دسترس در - دسترسی اطالعات به ،کنند درخواست را اطالعات که زمان هر مجاز کاربران دارند . فنی نکته ایاالت مرکزی اطالعات آژانس با سردرگمی از جلوگیری برای هاسیستم امنیت متخصصان از برخی عنوان به ًالمعمو که ،متحده CIA گانه سه عنوان به اصول این از ،شودمی شناخته A-I-C کنندمی یاد . با ًالمعمو ،حال این C-I-A اشاره امنیت اصول یا امنیتی گانه سه به که بینید می اطالعات امنیت در را دارد .
- 34. شکل 1 - 6 دهد می نشان را اطالعاتی های سیستم امنیت اصل سه . طرا را امنیتی های کنترل که هنگامی حی پردازید می اصول این از مورد چند یا یک به ،کنید می استفاده و . شکل 1 - 6 اطالعاتی های سیستم امنیت اصل سه
- 35. گانه سه از باید ،امنیتی مسائل برای حل راه یافتن هنگام محرمانگی ، یکپارچگی و دستر در بودن س (C-I-A) برای اس اطالعات فناوری معمولی زیرساخت یک برای سازمان امنیتی پایه اهداف تعریف تفاده کنید . ش محافظت هایداده نوع اساس بر امنیتی الزامات و هاکنترل به اهداف این ،تعریف از پس ده شوندمی تبدیل .
- 36. هویت سرقت حدود ساله هر هویت سرقت 15 خسارات با ،دهد می قرار تأثیر تحت را متحده ایاالت شهروند میلیون از بیش مالی 50 است متحده ایاالت کنندگان مصرف برای بزرگ تهدید یک و ،دالر میلیارد . عناص ر زیر موارد جمله از ،سازند می را فرد یک هویت بسیاری : • خانوادگی نام و نام • پستی آدرس • تولد تاریخ • اجتماعی تامین شماره • بانک نام • بانکی حساب شماره • اعتباری کارت حساب شماره • شرکت حساب شماره • پزشکی پرونده شماره • مسکن وام حساب شماره • نامه بیمه شماره • گذاری سرمایه و بهادار اوراق حساب شماره
- 37. مثال برای اجتماعی تامین شماره و منزل آدرس ،نام با فقط افراد هایحساب به توانندمی کالهبرداران ، باشند داشته دسترسی . ی توسط توانمی را هازباله در شدهپرت هایحساب شماره و کاغذی هایحسابصورت ک شودمی ترآسان افراد مالی حساب اطالعات و خصوصی هایداده افتادن خطر به و کرد بازیابی وجدانبی فرد . شوند خرد ریختن دور از قبل باید اسناد این ،شدن مفقود احتمال کاهش برای . شخصی اعتباری رتبه به آسیب ،صرف مالی ضرر از فراتر هویت سرقت Fair Isaac Corp. (FICO) است می که دارد باز اعتباری کارت یا مسکن وام ،بانکی وام دریافت از را شما تواند . ت بکشد طول ها سال است ممکن ا شود پاک شما شخصی اعتباری تاریخچه . FICO یک توسط استفاده مورد اطالعات که است عام سهامی شرکت Equifax ، Experian ، و TransUnion ، ارائه را متحده ایاالت در کنندهمصرف اعتبار دهیگزارش آژانس سه دهدمی . بودن محرمانه اس کسانی جز به افراد همه از اطالعات از محافظت معنای به که است رایج اصطالح یک محرمانگی ت دارند را آن حق که . است زیر موارد شامل محرمانه اطالعات :
- 38. • افراد خصوصی اطالعات • مشاغل معنوی مالکیت • دولت و کشورها برای ملی امنیت ها سازم و وکارهاکسب ،کندمی محافظت افراد خصوصی هایداده از که متحده ایاالت انطباق قوانین هاان باشند داشته بودن محرمانه از اطمینان برای مناسبی امنیتی هایکنترل تا کندمی ملزم را . می انجام آنالین خرید اعتباری هایکارت با بیشتری افراد ،آنالین تجارت در انفجاری رشد با که ،دهند دهند ارائه الکترونیک تجارت هایسایتوب به را خود خصوصی هایداده تا کندمی ملزم را افراد . باشند خود خصوصی های داده و شخصی هویت از حفاظت مراقب باید کنندگان مصرف ،بنابراین . داد از محافظت برای امنیتی های کنترل از که کنند می ملزم را ها سازمان قوانین ،این بر عالوه های ه کنند استفاده افراد خصوصی . س یک که است متقابلی اقدام یا حفاظت امنیتی کنترل یک برای ازمان کند می اجرا ریسک کاهش به کمک . است زیر موارد شامل ها کنترل این از هایی نمونه : • خصو هایداده صحیح مدیریت مورد در کارکنان به که ،کارکنان برای امنیت از آگاهی ساالنه آموزش برگزاری صی امنیتی هایدستورالعمل و هارویه ،استانداردها ،هاسیاست از سازمان چارچوب از آگاهی باعث و کندمی یادآوری شودمی .
- 39. • ک از باید کجا کند می مشخص که است کلی طرح یک که ،اطالعات فناوری امنیتی سیاست چارچوب سازی پیاده نترل شود استفاده امنیتی های . • اطالعات فناوری زیرساخت برای ای الیه امنیتی حل راه یک طراحی . هایداده که بیشتری هایمحفظه یا هاالیه چه هر شودمی دشوارتر هادارایی و هاداده سرقت و یافتن ،کنندمی محافظت یا مسدود را معنوی مالکیت و خصوصی . • اطالعات فناوری های زیرساخت و ها سایت وب در نفوذ های تست و ممیزی ،امنیتی ریسک ای دوره های ارزیابی انجام . اند کرده نصب درستی به را ها کنترل که کنند می تأیید امنیتی متخصصان ،وظایف این انجام طریق از . • میکروس از استفاده مانند که ،اینترنت خروجی و ورودی نقاط در امنیتی رویدادهای و حوادث بر نظارت کردن فعال کوپ است شودمی خارج و وارد آنچه دیدن برای . • ویروس از جلوگیری به که ،مخرب افزارهای نرم از محافظت و سرور ویروس آنتی و خودکار کاری ایستگاه از استفاده و ها کند می کمک رایانه از مخرب افزارهای نرم . • حس هایداده و هابرنامه ،هاسیستم برای عبور رمز و ورود شناسه از فراتر تردقیق دسترسی هایکنترل از استفاده اس . باشد داشته کاربر هویت تایید برای دومی آزمایش باید تر حساس های سیستم به دسترسی . • ک امنیتی اصالحات و ها وصله با آنها رسانی روز به با سرورها و ها رایانه در افزار نرم ضعف نقاط رساندن حداقل به به به ه کند می کمک کاربردی افزارهای نرم و عامل سیستم داشتن نگه روز .
- 40. است هاداده بودن محرمانه تضمین فرآیند خصوصی هایداده از حفاظت . ه کنترل از باید ها سازمان ای زیر موارد مانند ،کنند استفاده نگرانی این مخصوص مناسب امنیتی : • هایداده از حفاظت برای سازمان هایدستورالعمل و هارویه ،استانداردها ،هامشیخط تعریف دهندمی ارائه خصوصی هایداده مدیریت نحوه برای را هاییراهنمایی همگی که ،محرمانه . • اطالع فناوری زیرساخت در را هاداده با برخورد نحوه که هاداده بندیطبقه استاندارد یک اتخاذ ات د داشتن نگه ایمن برای که است هاییکنترل شناسایی برای راه نقشه که ،کندمی تعریف الزم هااده است . • ک کسانی برای فقط را محرمانه هایداده که هاییبرنامه و هاسیستم به دسترسی کردن محدود ه هستند هاداده آن از استفاده به مجاز . • نگ دسترس غیرقابل و محرمانه های داده کردن مخفی برای رمزنگاری های تکنیک از استفاده ه غیرمجاز کاربران برای آن داشتن . • کنند می عبور عمومی اینترنت از که هایی داده رمزگذاری . • شوند می ذخیره سازی ذخیره های دستگاه و ها داده پایگاه در که هایی داده رمزگذاری .
- 41. ک از باید محرمانه هایداده که است معنی این به ،شبکه یک از استفاده با ،دیگر هایرایانه به هاداده ارسال اربران است خواندن غیرقابل برای رمزنگاری از استفاده مستلزم که ،شود نگهداری غیرمجاز . رمزگذاری ،بنابراین فرآیند شفاف متن از هاداده تبدیل ( بخواند را آن تواندمی کسی هر که هاییداده یعنی ) رمزی متن به ( هداده یعنی ای شودمی حاصل شفاف متن رمزگذاری از که درهم ) است . شکل در فرآیند این از ای نمونه 1 - 7 شده داده نشان است . شکل 1 - 7 رمزی متن به شفاف متن رمزگذاری
- 42. حال در ایالتی و محلی های دولت که است مهم قدری به ها داده خصوصی حریم حفظ و بودن محرمانه هستند فدرال و ایالتی سطوح در آن از محافظت برای قوانین تقویت و تصویب . تمامیت دارد سروکار ها داده دقت و اعتبار با صداقت . یکپارچگی فاقد های داده - دقی که هایی داده یعنی و ق نیستند معتبر - ندارند ای فایده هیچ . مالک های دارایی اطالعات و ها داده ،ها سازمان از برخی برای یت های پایگاه و مخفی های فرمول ،امتیاز حق ،چاپ حق شامل آنها از هایی نمونه که هستند معنوی است مشتریان اطالعاتی . غیرمج تغییرات که ،باشد داشته زیادی ارزش تواند می اطالعات این می از کند تضعیف را آن تواند . است سیستم امنیت اصل یک یکپارچگی ،دلیل همین به . شکل 1 - 8 می نشان خیر یا است استفاده قابل داده آن آیا و چیست داده یکپارچگی از منظور که دهد . ف و خرابکاری ساد تجار عملیات برای ها داده اگر خصوص به ،است سازمان یک برای جدی تهدیدی ها داده یکپارچگی ی باشند حیاتی .
- 44. کسی هر برای که معنی این به ،شود می منتقل شفاف متن صورت به اینترنت طریق از ایمیل ترافیک که آنجا از را ایمیل که نکنید وارد ایمیل در را خصوصی های داده هرگز ،است مشاهده قابل کامال بیند می . م یک سایت آن اگر ،این بر عالوه یزبان ک وب برنامه یا سایت وب در یا ،کرد بررسی دیگر ابزارهای یا تلفن طریق از را آن توان می که ،نیست اعتماد قابل از ه نکنید وارد سایت وب یک در را خصوصی های داده هرگز ،کند نمی استفاده رمزگذاری ( ص در را قفل نماد ،مثال عنوان به فحه کنید جستجو . انتقال ایمن پروتکل رمزگذاری آیا اینکه بررسی برای رایانه مرورگر ابرمتن (HTTPS) در یا سایت وب آن خیر یا است فعال برنامه .) هشدار
- 45. دسترسی است روزمره زندگی در رایج اصطالح یک بودن دسترس در . بو دسترس در به ًالاحتما ،مثال برای دن اید کرده توجه خود همراه تلفن خدمات یا تلویزیون ،اینترنت . دس در ،اطالعات امنیت زمینه در ترس کاربرد برنامه ،سیستم یک از توانند می کاربران که زمانی مقدار عنوان به کلی طور به بودن داده و ی شود می بیان کنند استفاده . است زیر موارد شامل بودن دسترس در زمان رایج هایگیریاندازه : • Uptime — Uptime کل هستند دسترس در ها داده و برنامه ،سیستم یک که است زمانی مدت . Uptime ًالمعمو می گیری اندازه مشخص تقویمی ماه یک در ساعت و دقیقه ،ثانیه واحدهای در شود . شود می بیان دسترس در زمان از درصدی عنوان به کار زمان ،اوقات اغلب ( ،مثال عنوان به 99.5 کار زمان درصد .) • Downtime — Downtime کل دسترس در ها داده و برنامه ،سیستم یک که است زمانی مدت نیستند . اندا تقویمی ماه یک برای ساعت و دقیقه ،ثانیه واحد حسب بر نیز خاموشی زمان گیری زه شود می .
- 46. • —Availability در آن در که است ریاضی محاسبه یک بودن دسترس A = (Total Uptime)/(Total Uptime + Total Downtime). • MTTF—Mean time to failure (MTTF) است خاص سیستم یک برای خرابی بین زمان میانگین . نیمه دارای بنابراین و شوند نمی خراب الکترونیک و ها هادی MTTF ساله چندین ( 25 بیشتر یا ) هستند . قطعات دارای تغذیه منابع و هافن ،هاکابل ،کانکتورها مانند ،فیزیکی MTTF تریپایین بسیار ( کمتر یا سال پنج ) بشکند را آنها تواندمی پارگی و فرسودگی زیرا ،هستند . • MTTR—Mean time to repair (MTTR) میانگین برنام ،سیستم یک تعمیر برای که است زمانی مدت یا ه است الزم جزء . است سیستم سریع بازگرداندن هدف . • MTBF—Mean time between failures (MTBF) مدت یک های خرابی بین شده بینی پیش زمان است کار حین در اطالعات فناوری سیستم . • RPO—Recovery point objective (RPO) مقدار و بدهد دست از تواند می سازمان یک که است ای داده کند کار همچنان . ا کمتر خالص ضرر که طوری به کند می بازیابی را ها داده موفق بازیابی عملیات یک ز RPO باشد . • RTO—Recovery time objective (RTO) مقدار یک دادن قرار دسترس در و بازیابی برای که است زمانی است نیاز قطعی از پس استفاده برای داده و برنامه ،سیستم . BCP یک ًالمعمو ها RTO ،هاسیستم برای را کنندمی تعریف حیاتی هایداده به دسترسی و هابرنامه .
- 47. ماهانه بودن دسترس در محاسبه نحوه تقویم ماه یک برای 30 است برابر کار زمان کل مقدار ،روزه : 30 روز × 24 ساعت / روز × 60 دقیقه / ساعت = 43,200 دقیقه تقویمی ماه یک برای 28 روزه ( فوریه ) است برابر کار زمان کل مقدار ، : 28 روز × 24 ساعت / روز × 60 دقیقه / ساعت = 40,320 از استفاده با دقیقه فرمول Availability = (Total Uptime)/(Total Uptime + Total Downtime) تقویمی ماه یک برای بودن دسترس در ضریب 30 با روزه 30 در شده ریزی برنامه توقف دقیقه شود می محاسبه زیر صورت به تقویمی ماه آن : Availability = (43,200 minutes)/(43,200 minutes + 30 minutes) = 0.9993, یا 99.93%
- 48. خدمات سطح قراردادهای خود مشتریان به اینترنتی و مخابراتی خدمات دهندگان ارائه (SLA) ارائه می دهند . SLA گسترده های شبکه برای را خدمات ماهانه بودن دسترس در حداقل که است قراردادی (WAN) و کند می تضمین اینترنت به دسترسی پیوندهای . SLA خدمات ها WAN به اختصاصی دسترسی پیوندهای و کنند می همراهی را اینترنت . کند می گیری اندازه را سرویس سطح در ماهانه تعهد بودن دسترس در . هما نطور ،گرفت قرار بحث مورد کناری نوار در که ماهانه بودن دسترس در مثال در که 30 تقویم ماه یک در توقف دقیقه 30 معادل روزه 99.93 است بودن دسترس در درصد . ًالمعمو خدمات دهندگان ارائه SLA هایی از را 99.5 تا درصد 99.999 دهند می ارائه بودن دسترس در درصد . زیرساخت یک دامنه هفت IT معمولی زیرساخت یک در نقشی چه سیستم امنیت اصل سه IT که کنیم مرور دهید اجازه ،ابتدا کنند؟ می ایفا معمولی زیرساخت یک IT رسد می نظر به چگونه معمولی . بز دولتی نهاد یک در چه ،کوچک کار و کسب یک در چه ،رگ شکل در شده داده نشان حوزه هفت از اطالعات فناوری هایزیرساخت اکثر ،عام سهامی شرکت در چه 1 - 9 اندشده تشکیل : ،کاری ایستگاه ،کاربر LAN ، LAN-to-WAN ، WAN ، سیستم و ،دور راه از دسترسی / دامنه کاربردی های
- 50. شکل 1 - 9 زیرساخت یک حوزه هفت IT معمولی
- 51. گانه سه الزامات باید که دارد نیاز مناسب امنیتی های کنترل به دامنه هر C-I-A کند برآورده را . مروری ادامه در یافت امروزی اطالعات فناوری های محیط در ًالمعمو که هایی پذیری آسیب و تهدیدها ،خطرات و حوزه هفت بر شود می ارائه ،شوند می . نشان شویدمی روبرو آن با که اطالعاتی فناوری محیط هر در دامنه هر است ممکن داده کندمی فراهم امنیت به ایالیه و قوی رویکرد مورد در بحث برای خوبی چارچوب زیرساخت اما ،نشود . کاربر دامنه ک می تعریف ،دارند دسترسی سازمان یک اطالعاتی سیستم به که را فرآیندهایی و افراد ،کاربر دامنه ند . کاربر دامنه های مسئولیت و ها مسئولیت ،ها نقش است شده ارائه شود انجام کاربر دامنه در باید آنچه از کلی نمای یک زیر در : • وظایف و ها نقش - سیست به خود شده تعریف دسترسی حقوق به بسته توانند می کاربران برنامه ،ها م داشت مطابقت کارکنان های مشی خط و ها دستورالعمل با باید و باشند داشته دسترسی ها داده و ها باشند ه . قبول قابل استفاده مشی خط یک (AUP) ، می مشخص که است کارمندان برای قوانین کتاب یک مانند که های دارایی با نیستند مجاز کارهایی چه و هستند مجاز کارهایی چه کند IT ،دهند انجام سازمان به متعلق شود می یافت حوزه این در . باشد اخراج برای ای زمینه تواند می قوانین این نقض .