Presentation4

Description
1. 1 2. ‫پروژه درس امنیت در تجارت الکترونیک‬ ‫استاد:جناب آقای دکتر سخاوتی‬ ‫سمیه هادی پور…

Please download to get full document.

View again

of 68
All materials on our website are shared by users. If you have any questions about copyright issues, please report us to resolve them. We are always happy to assist you.
Information
Category:

Technology

Publish on:

Views: 0 | Pages: 68

Extension: PDF | Download: 0

Share
Transcript
  • 1. 1
  • 2. ‫پروژه درس امنیت در تجارت الکترونیک‬ ‫استاد:جناب آقای دکتر سخاوتی‬ ‫سمیه هادی پور داراکویه‬ ‫9901688‬
  • 3. ‫اصتاهدارد ًا ،چالض ًا ،راًکار ًا‬‫3‬
  • 4. ‫مكدمي ای بر هكض امویت در تجارت‬
  • 5. ‫اظوائي با مراخل ظي ظدى در زميوي امويت اظالغات‬‫5‬
  • 6. ‫تجارت الک تروهیک چیشت؟‬‫6‬
  • 7. ‫زير ظاخي ًاي تجارت الک تروهيک‬‫7‬ ‫تجارت الک تروهيک(‪)E-Commerce‬‬ ‫1-‬ ‫کشب و کار الک تروهيک(‪)E-Business‬‬ ‫2-‬ ‫بازاريابي الک تروهيکي(‪)E-Marketing‬‬ ‫3-‬ ‫باهکداري الک تروهيکي(‪)E-Banking‬‬ ‫4-‬ ‫کارت ًاي ًٍظمود‬ ‫5-‬ ‫مديريت روابط غمٍمي با مطتري‬ ‫6-‬
  • 8. ‫مزاياي تجارت الک تروهيک‬‫8‬ ‫افزايض فروش‬ ‫‪‬‬ ‫افزايض درامد‬ ‫‪‬‬ ‫افزايض صرمايي گذاري‬ ‫‪‬‬ ‫افزايض صعح رفاى زهدگي مردم‬ ‫‪‬‬ ‫ايجاد فرصتٌاي تجاري جديد براي صوايع و بوگاى ًاي بازرگاهي‬ ‫‪‬‬ ‫افزايض فرصتٌاي جديد ظغلي‬ ‫‪‬‬ ‫امکان ارائي خدمات و مدصٍالت در صعح جٌاهي‬ ‫‪‬‬ ‫جلٍگيري از اتالف ولت و کاًض ترددًاي بي مٍرد‬ ‫‪‬‬ ‫کاًض ًزيوي ًاي صربار و ايجاد رلابت در صعح بين الملل‬ ‫‪‬‬ ‫دصترصي صريع بي اظالغات‬ ‫‪‬‬ ‫غدم خضٍر واصعي‬ ‫‪‬‬ ‫کاًض ًزيوي ًاي تبليغات کاال‬ ‫‪‬‬ ‫ورود بي بازارًاي فرا موعكي اي در جٌت بازاريابي جٌاهي‬ ‫‪‬‬
  • 9. ‫هيازًاي تجارت الک تروهيک‬‫9‬ ‫يک صيشتم باهکي روان و دليق‬ ‫‪‬‬ ‫لٍاهين گمرکي،مالياتي و باهکداري الک تروهيکي‬ ‫‪‬‬ ‫کد تجاري مدصٍل‬ ‫‪‬‬ ‫تٌيي و تدوين هظام مالي اظالغات و هظام خكٍلي اظالع رصاهي (کپ ي رايت)‬ ‫‪‬‬ ‫امويت اظالغات‬ ‫‪‬‬ ‫مدرماهي بٍدن اظالغات ظخصي‬ ‫‪‬‬ ‫تعبيق مكررات ملي با مكررات متددالطکل بين المللي‬ ‫‪‬‬ ‫ًمکاري داهطگاًٌا،مراکز تدكيكاتي و صازماهٌاي مختلف‬ ‫‪‬‬ ‫پذيرش اصواد الک تروهيکي تٍصط لٍى لضاييي‬ ‫‪‬‬ ‫تامين، صدور و بکارگيري کارت اغتباري‬ ‫‪‬‬ ‫تامين خعٍط ارتباظي پرصرغت و معمئن و ايجاد بشتر مخابراتي بي ظکل بي صيم‬ ‫‪‬‬
  • 10. ‫تػریف امویت :‬ ‫• اطالعات فقط و فقط بایستی توسط افراد مجاز قابل دسترسی و تغییر‬ ‫باشد.‬ ‫محرمانگی‬ ‫• حفظ تمامیت به معناي پیشگیري از بروز مشکل در همکاري و پیوسته نگه‬ ‫داشتن عناصر یک سیستم می باشد.‬ ‫تمامیت‬ ‫• اطالعات بایستی به هنگام نیاز توسط افراد مجاز قابل دسترس باشد.‬ ‫دسترس پذیري‬ ‫• به هنگام انجام کاري و یا دریافت اطالعات یا سرویسی، شخص انجام دهنده یا‬ ‫گیرنده نتواند آن را انکارکند.‬ ‫عدم انکار‬‫01‬
  • 11. ‫ارزیابی غملیات تجارت الک تروهیک‬ 100% 80% 60% Series 3 Series 2 40% Series 1 20% 0%11 Category 1 Category 2 Category 3 Category 4
  • 12. ‫ظرح مشتمر‬‫21‬
  • 13. ‫تدكیكات اهجام ظدى درمٍرد امویت تجارت الک تروهیک‬‫31‬
  • 14. ‫‪ DHS‬چیشت؟‬ ‫1- سیستم ملی پاسخگوی امنیت فضاهای مجازی‬ ‫2- برنامه کاهش آسیب پذیری و خطرات احتمالی موجود در فضاهای مجازی‬ ‫3- برنامه های آموزشی و آگاه کننده در زمینه امنیت فضاهای مجازی‬ ‫4- ایمن سازی فضای مجازی دولت‬ ‫5- همکاری های بین المللی و ملی در زمینه امنیت‬‫41‬
  • 15. ‫51‬‫استاندارد های امنیت اطالعات‬
  • 16. ‫61‬ ‫استاندارد 9977‪BS‬‬ ‫استاندارد 9977‪ BS‬اولین استاندارد مدیریت امنیت است که توسط موسسه استاندارد انگلیس ارائه‬ ‫‪‬‬ ‫شده است. نسخه اول این استاندارد (1-9977‪ )BS‬در سال 5991 و در یک بخش و با‬ ‫عنوان‪ BS7799-1: Code of Practice for Information Security Management‬منتشر‬ ‫گردید. و نسخه دوم آن (2-9977‪ )BS‬که در سال 9991 ارائه شد، عالوه بر تغییر نسبت به نسخه‬ ‫اول، متشکل از دو بخش مستقل ارائه گردید. هدف از تدوین این استاندارد ارائه پیشنهاداتي در‬ ‫زمینه مدیریت امنیت اطالعات براي کساني است که مسئول طراحي، پیاده سازي یا پشتیباني مسائل‬ ‫امنیتي در یک سازمان مي باشند. این استاندارد متشکل از 53 هدف امنیتي و 721 اقدام بازدارنده‬ ‫براي تامین اهداف تعیین شده ميباشد که جزئیات و چگونگيها را مطرح نمي کند بلکه سرفصلها‬ ‫و موضوعات کلي را بیان مي کند. طراحان استاندارد 9977‪ BS‬اعتقاد دارند که در تدوین این‬ ‫استاندارد، ممکن است کنترل ها و راهکارهاي مطرح شده براي همه سازمان ها قابل استفاده نباشد‬ ‫ویا نیاز به کنترلهاي بیشتري باشد که این استاندارد، آنها را پوشش نداده است.‬
  • 17. ‫71‬ ‫اصتاهدارد 9977‪BS‬‬ ‫در سال 0002 میالدي بخش اول استاندارد 2-9977‪ BS‬بدون هیچگونه تغییري توسط موسسه بین المللي استاندارد بعنوان استاندارد‬ ‫‪‬‬ ‫99771 ‪ ISO/IEC‬منتشر گردید. وشامل سر فصل هاي ذیل است:‬ ‫تدوین سیاست امنیتي سازمان‬ ‫‪‬‬ ‫تشکیالت امنیتي‬ ‫‪‬‬ ‫طبقه بندي سرمایه ها و تعیین کنترلهاي الزم‬ ‫‪‬‬ ‫امنیت پرسنلي‬ ‫‪‬‬ ‫امنیت فیزیکي و پیراموني‬ ‫‪‬‬ ‫مدیریت ارتباطات و بهره برداري‬ ‫‪‬‬ ‫کنترل دسترسي‬ ‫‪‬‬ ‫توسعه و پشتیباني سیستم ها‬ ‫‪‬‬ ‫مدیریت تداوم فعالیت‬ ‫‪‬‬ ‫سازگاري‬ ‫‪‬‬
  • 18. ‫81‬ ‫اصتاهدارد 9977‪BS‬‬ ‫این استاندارد مجددا در سال 2002 میالدي بازنویسي و منتشر گردید. در سال 5002‬ ‫‪‬‬ ‫دوباره این استاندارد بازنویسي و با دو نام 5002:99771 ‪ BS ISO/IEC‬و ‪BS‬‬ ‫5002:1-9977 در یک سند انتشاریافت. این نسخه متشکل از 93 هدف امنیتي و‬ ‫431 اقدام بازدارنده است. تغییراتي که این استاندارد نسبت به استاندارد قبل آن‬ ‫کرده است عبارت است از:‬ ‫الف- افزایش یافتن یک فصل جدید و تغیییر نمودن بعضي از فصول گذشته‬ ‫‪‬‬ ‫ب- تغییر وحذف شدن بعضي از کنترلهاي قدیمي و اضافه شدن 71 کنترل جدید‬ ‫‪‬‬ ‫ج- افزایش تعداد کنترلها به 431عدد‬ ‫‪‬‬
  • 19. ‫اصتاهدارد 9977‪BS‬‬‫91‬ ‫نحوه عملكرد استاندارد 9977 ‪BS‬‬ ‫‪‬‬ ‫در راستای تحقق دومین هدف پیدایش این استاندارد كه به آن اشاره شد، یعنی كمك به كاربران سرفصلهایی‬ ‫برای نحوه پیاده سازی امنیت در یك سازمان كه در حقیقت یك كاربر سیستم های امنیتی می باشد، تعیین شده‬ ‫است كه عبارتند از:‬ ‫● تعیین مراحل ایمن سازی و نحوه شكل گیری چرخه امنیت‬ ‫● جزییات مراحل ایمن سازی و تكنیكهای فنی مورد استفاده در هر مرحله‬ ‫● لیست و محتوای طرح ها و برنامه های امنیت اطالعات مورد نیاز سازمان‬ ‫● ضرورت و جزییات ایجاد تشكیالت سیاستگذاری، اجرایی و فنی تامین امنیت‬ ‫● كنترلهای امنیتی مورد نیاز برای هر یك از سیستم های اطالعاتی و ارتباطی‬ ‫‪‬‬ ‫● تعریف سیاستهای امنیت اطالعات‬ ‫‪‬‬ ‫● تعریف قلمرو سیستم مدیریت امنیت اطالعات و مرزبندی آن متناسب با نوع نیازهای سازمان‬ ‫● انجام و پذیرش برآورد مخاطرات، متناسب با نیازهای سازمان‬ ‫● پیش بینی زمینه ها و نوع مخاطرات بر اساس سیاستهای امنیتی تدوین شده‬ ‫● انتخاب هدفهای كنترل و كنترلهای مناسب كه قابل توجیه باشند، از لیست كنترلهای همه جانبه‬ ‫● تدوین دستورالعمل های عملیاتی‬
  • 20. ‫اصتاهدارد 9977‪BS‬‬‫02‬ ‫مدیریت امنیت شبكه‬ ‫‪‬‬ ‫به منظور تعیین اهداف امنیت، ابتدا باید سرمایههای مرتبط با اطالعات و ارتباطات سازمان،‬ ‫شناسایی شده و سپس اهداف تامین امنیت برای هریك از سرمایهها، مشخص شود.سرمایههای‬ ‫مرتبط با شبكه سازمان عبارتند از: سخت افزار، نرمافزار، اطالعات، ارتباطات، كاربران.‬ ‫اهداف امنیتی سازمانها باید به صورت كوتاهمدت و میانمدت تعیین گردد تا امكان تغییر آنها‬ ‫متناسب با تغییرات تكنولوژیها و استانداردهای امنیتی وجود داشته باشد. عمده اهداف كوتاه‬ ‫مدت در خصوص پیادهسازی امنیت در یك سازمان عبارتند از:‬ ‫‪‬‬ ‫- جلوگیری از حمالت و دسترسیهای غیرمجاز علیه سرمایه های شبكه‬ ‫- مهار خسارتهای ناشی از ناامنی موجود در شبكه‬ ‫- كاهش رخنه پذیری‬
  • 21. ‫اصتاهدارد 9977‪BS‬‬‫12‬ ‫اهداف میانمدت نیز عمدتا ً عبارتند از:‬ ‫‪‬‬ ‫‪‬‬ ‫- تامین صحت عملكرد، قابلیت دسترسی برای نرمافزارها و سختافزارها و محافظت فیزیكی‬ ‫صرفا ً برای سخت افزارها‬ ‫‪‬‬ ‫- تامین محرمانگی، صحت و قابلیت دسترسی برای ارتباطات و اطالعات متناسب با طبقه‬ ‫بندی آنها از حیث محرمانگی و حساسیت‬ ‫‪‬‬ ‫- تامین قابلیت تشخیص هویت، حدود اختیارات و پاسخگویی، حریم خصوصی و آگاهیرسانی‬ ‫امنیتی برای كاربران شبكه، متناسب با طبقهبندی اطالعات قابل دسترس و نوع كاربران‬
  • 22. ‫اصتاهدارد 9977‪BS‬‬‫22‬ ‫استاندارد 9977‪ BS‬دارای 01 گروه كنترلی می باشد كه هرگروه شامل چندین كنترل زیرمجموعه است‬ ‫‪‬‬ ‫بنابراین در كل 721 كنترل برای داشتن سیستم مدیریت امنیت اطالعات مدنظر قراردارد. این ده گروه كنترلی‬ ‫عبارتند از :‬ ‫1- تدوین سیاست امنیتي سازمان: در این قسمت، به ضرورت تدوین و انتشار سیاست هاي امنیتي اطالعات و ار‬ ‫‪‬‬ ‫تباطات سازمان ، بنحوي كه كلیه مخاطبین سیاست ها در جریان جزئیات آن قرار گیرند، تاكید شده است . همچنین‬ ‫جزئیات و نحوه نگارش سیاست هاي امنیتي اطالعات و ارتباطات سازمان، ارائه شده است.‬ ‫2- ایجاد تشكیالت تامین امنیت سازمان: در این قسمت، ضمن تشریح ضرورت ایجاد تشكیالت امنیت اطالعات و‬ ‫‪‬‬ ‫ارتباطات سازمان، جزئیات این تشكیالت در سطوح سیاستگذاري، اجرائي و فني به همراه مسئولیت هاي هر یك از‬ ‫سطوح، ارائه شده است.‬ ‫3-دسته بندي سرمایه ها و تعیین كنترل هاي الزم :در این قسمت، ضمن تشریح ضرورت دسته بندي اطالعات‬ ‫‪‬‬ ‫سازمان، به جزئ یات تدوین راهنماي دسته بندي اطالعات سازمان پرداخته و محورهاي دسته بندي اطالعات را ارائه‬ ‫نموده است.‬ ‫‪‬‬
  • 23. ‫اصتاهدارد 9977‪BS‬‬‫32‬ ‫4-امنیت پرسنلي :در این قسمت، ضمن اشاره به ضرورت رعایت مالحظات امنیتي در‬ ‫‪‬‬ ‫بكارگیري پرسنل، ضرورت آموزش پرسنل در زمینه امنیت اطالعات و ارتباطات، مطرح شده و‬ ‫لیستي ازمسئولیت هاي پرسنل در پروسه تامین امنیت اطالعات و ارتباطات سازمان، ارائه شده‬ ‫‪ ‬است.‬ ‫‪5 ‬امنیت فیزیكي و پیراموني :در این قسمت، اهمیت و ابعاد امنیت فیزیكي، جزئیات محافظت از‬ ‫تجهیزات و كنترلهاي موردنیاز براي این منظور، ارائه شده است.‬ ‫‪6 ‬مدیریت ارتباطات :در این قسمت، ضرورت و جزئیات روالهاي اجرائي موردنیاز، بمنظور تعیین‬ ‫مسئولیت هریك از پرسنل، روالهاي مربوط به سفارش، خرید، تست و آموزش سیستم ها، محافظت‬ ‫درمقابل نرم افزارهاي مخرب، اقدامات موردنیاز در خصوص ثبت وقایع و پشتیبان گیري‬ ‫ازاطالعات، مدیریت شبك ه، محافظت از رسانه ها و روالها و مسئولیت هاي مربوط به‬ ‫‪ ‬درخواست، تحویل، تست و سایر موارد تغییر نرم افزارها ارائه شده است.‬
  • 24. ‫اصتاهدارد 9977‪BS‬‬‫42‬ ‫7- كنترل دسترسي :در این قسمت، نیازمندیهاي كنترل دسترسي، نحوه‬ ‫‪‬‬ ‫مدیریت دسترسي پرسنل،مسئولیت هاي كاربران، ابزارها و مكانیزم هاي‬ ‫كنترل دسترسي در شبكه، كنترل دسترسي در سیستم عاملها و نرم افزارهاي‬ ‫كاربردي، استفاده از سیستم هاي مانیتورینگ و كنترل دسترسي در ارتباط از‬ ‫راه دور به شبكه ارائه شده است.‬ ‫8-نگهداري و توسعه سیستم ها:در این قسمت، ضرورت تعیین نیازمندیهاي‬ ‫‪‬‬ ‫امنیتي سیستم ها، امنیت د ر سیستم هاي كاربردي، كنترلهاي رمزنگاري،‬ ‫محافظت از فایلهاي سیستم و مالحظات امنیتي موردنیازدر توسعه و پشتیباني‬ ‫سیستم ها، ارائه شده است.‬
  • 25. ‫اصتاهدارد 9977‪BS‬‬‫52‬ ‫‪ -9 ‬مدیریت تداوم فعالیت سازمان :در این قسمت، رویه هاي مدیریت تداوم فعالیت، نقش‬ ‫تحلیل ضربه در تداوم فعالیت، طراحي و تدو ین طرح هاي تداوم فعالیت، قالب پیشنهادي براي‬ ‫طرح تداوم فعالیت سازمان و طرح هاي تست، پشتیباني و ارزیابي مجدد تداوم فعالیت سازمان،‬ ‫ارائه شده است.‬ ‫01-پاسخگوئي به نیازهاي امنیتي :در این قسمت، مقررات موردنیاز در خصوص پاسخگوئي‬ ‫‪‬‬ ‫به نیازهاي امنیتي، سیاست هاي امنیتي موردنیاز و ابزارها و مكانیزم هاي بازرسي امنیتي‬ ‫سیستم ها، ارائه شده است.‬
  • 26. ‫اصتاهدارد 9977‪BS‬‬‫62‬ ‫تهدیدهای امنیتی‬ ‫‪‬‬ ‫تهدیدهای بالقوه برای امنیت شبكههای كامپیوتری به صورت عمده عبارتند از:‬ ‫● فاش شدن غیرمجاز اطالعات در نتیجه استراقسمع دادهها یا پیامهای در حال مبادله روی شبكه‬ ‫● قطع ارتباط و اختالل در شبكه به واسطه یك اقدام خرابكارانه‬ ‫● تغییر و دستكاری غیر مجاز اطالعات یا یك پیغام ارسالشده برای جلوگیری از این صدمات باید سرویسهای‬ ‫امنیتی زیر در شبكههای كامپیوتری ارائه شود و زمانی كه یكی از سرویسهای امنیتی نقص شود بایستی تمامی تدابیر‬ ‫امنیتی الزم برای كشف و جلوگیری رخنه در نظر گرفته شود:‬ ‫● محرمانه ماندن اطالعات‬ ‫● احراز هویت فرستنده پیغام‬ ‫● سالمت دادهها در طی انتقال یا نگهداری‬ ‫● كنترل دسترسی و امكان منع افرادی كه برای دسترسی به شبكه قابل اعتماد نمی باشد.‬ ‫● در دسترس بودن تمام امكانات شبكه برای افراد مجاز و عدم امكان اختالل در دسترسی‬
  • 27. ‫فوائد استاندارد 9977‪ BS‬و لزوم پیاده سازی‬‫72‬ ‫استاندارد 9977‪ BS‬قالبی مطمئن برای داشتن یك سیستم مورد اطمینان امنیتی می باشد.‬ ‫در زیر به تعدادی از فوائد پیاده سازی این استاندارد اشاره شده است:‬ ‫- اطمینان از تداوم تجارت و كاهش صدمات توسط ایمن ساختن اطالعات و كاهش تهدیدها‬ ‫‪‬‬ ‫- اطمینان از سازگاری با استاندارد امنیت اطالعات و محافظت از داده ها‬ ‫‪‬‬ ‫- قابل اطمینان كردن تصمیم گیری ها و محك زدن سیستم مدیریت امنیت اطالعات‬ ‫‪‬‬ ‫- ایجاد اطمینان نزد مشتریان و شركای تجاری‬ ‫‪‬‬ ‫- امكان رقابت بهتر با سایر شركت ها‬ ‫‪‬‬ ‫- ایجاد مدیریت فعال و پویا در پیاده سازی امنیت داده ها و اطالعات‬ ‫‪‬‬ ‫- بخاطر مشكالت امنیتی اطالعات و ایده های خود را در خارج سازمان پنهان نسازید‬ ‫‪‬‬
  • 28. ‫اصتاهدارد99771‪ISO/IEC‬‬‫82‬ ‫در حال حاضر، مجموعهاي از استانداردهاي مدیریتي و فني ایمنسازي فضاي تبادل اطالعات سازمانها ارائه‬ ‫‪‬‬ ‫شدهاند که استاندارد مدیریتي 9977‪ BS‬موسسه استاندارد انگلیس، استاندارد مدیریتي 99771 ‪ISO/IEC‬‬ ‫موسسه بینالمللي استاندارد و گزارش فني 53331 ‪ISO/IEC TR‬موسسه بینالمللي استاندارد از برجستهترین‬ ‫استاندادرها و راهنماهاي فني در این زمینه محسوب ميگردند.‬ ‫در این استانداردها، نکات زیر مورد توجه قرار گرفته شده است:‬ ‫‪‬‬ ‫تعیین مراحل ایمنسازي و نحوه شکلگیري چرخه امنیت اطالعات و ارتباطات سازمان‬ ‫1-‬ ‫‪‬‬ ‫جرئیات مراحل ایمنسازي و تکنیکهاي فني مورد استفاده در هر مرحله‬ ‫2-‬ ‫‪‬‬ ‫لیست و محتواي طرحها و برنامههاي امنیتي موردنیاز سازمان‬ ‫3-‬ ‫‪‬‬ ‫ضرورت و جزئیات ایجاد تشکیالت سیاستگذاري، اجرائي و فني تامین امنیت اطالعات و ارتباطات‬ ‫4-‬ ‫‪‬‬ ‫سازمان‬ ‫کنترلهاي امنیتي موردنیاز براي هر یک از سیستمهاي اطالعاتي و ارتباطي سازمان‬ ‫5-‬ ‫‪‬‬
  • 29. ‫92‬ ‫اصتاهدارد ايزو 10072‬ ‫استاندارد 10072 ‪( ISO‬نسخه به روز 9977‪ )BS‬یا به عبارتی‬ ‫‪‬‬ ‫همان استاندارد 99771 ‪ ISO/IEC‬می باشد ،نكته قابل اشاره در‬ ‫این زمینه همسانی این استاندارد با استاندارد 0009‪ISO‬‬ ‫میباشد. قسمت سوم استاندارد 9977‪ BS‬در حقیقت توسعه‬ ‫سیستم ‪ ISMS‬میباشد. درست مانند تغییرات ایجاد شده در‬ ‫استاندارد 4009‪.ISO‬‬ ‫استاندارد 10072 ‪ ISO‬استانداردی یکپارچه می باشد.‬ ‫‪‬‬
  • 30. ‫تٍلداصتاهداردمديريت امویت اظالغات‬‫03‬ ‫اصتاهدارد 10072 ‪ISO/IEC‬تٍصط کمیتي فوی مطترک 1 ‪ISO/IEC JTC‬‬ ‫(فواوری اظالغات ،زیر کمیتي 72 ‪،SC‬فوٍن امویتی فواوری اظالغات )تٌیي ظدى اصت‬ ‫این اصتاهدارد درصال 5002 مٍردبازهگري لرارگرفت.‬
  • 31. ‫مزاياي اصتكرار اصتاهدارد ايزو 10072‬‫13‬ ‫- اطمینان از تداوم تجارت و كاهش صدمات توسط ایمن ساختن اطالعات و كاهش تهدیدها‬ ‫- اطمینان از سازگاری با استاندارد امنیت اطالعات و محافظت از داده ها‬ ‫- قابل اطمینان كردن تصمیم گیری ها و محك زدن سیستم مدیریت امنیت اطالعات‬ ‫-ایجاد اطمینان نزد مشتریان و شركای تجاری‬
  • 32. ‫23‬ ‫(ادامي)‬ ‫مزاياي اصتكرار اصتاهدارد ايزو 10072‬ ‫- امكان رقابت بهتر با سایر شركت ها‬ ‫-ایجاد مدیریت فعال و پویا در پیاده سازی امنیت داده ها و اطالعات‬ ‫-بخاطر مشكالت امنیتی اطالعات و ایده های خود را در خارج سازمان پنهان نسازید‬
  • 33. ‫مدیریت و کوترل امویت تجارت الک تروهیکی‬ ‫• برخی از سازمان ها از اهمیت اطالعات و فایلهای خود بی خبرند.‬ ‫• بسیاری از سازمانها تنها به ایمن سازی شبکه کامپیوتری داخلی خود پرداخته و دیگر‬ ‫بخشها را فراموش می کنند‬ ‫• برخی از سازمانها به جای پیشگیری معموالً زمانی به کنترل مسائل امنیتی می پردازند که‬ ‫مشکلی روی داده باشد .‬ ‫• سازمانها به ندرت اقدامات امنیتی خود را طبق تغییرات پیش آمده به روز می کنند . آنها‬ ‫همچنین در بهنگام رسانی اطالعات کارمندان خود در زمینه اقدامات امنیتی نیز ضعیف‬ ‫عمل می کنند .‬ ‫• همواره با مساله امنیتی به عنوان یک مشکل ‪ IT‬و نه یک مشکل و مساله سازمانی‬‫33‬ ‫برخورد می شود .‬
  • 34. ‫‪Security Risk Management‬‬ ‫مدیریت خعرات امویتی‬ ‫در این مرحله سازمان به شناساایی کامپیوترهاای کلیادی ، شابکه هاای مهام ،‬ ‫دارایی ها و بانکهای اطالعاتی مهم خود پرداخته و آنها را ارزش گاذاری مای‬ ‫شناسایی دارایی ها و‬ ‫کند . هزینه بدست آوردن اطالعات ، محافظت و پشاتیبانی ، هزیناه جاایگزین‬ ‫اطالعات مهم‬ ‫کااردن دارایاای هااا و احتمااال دسترساای اشااخاص اال ا بااه اطالعااات را ارزش‬ ‫گذاری گویند.‬ ‫پس ازشناسایی و ارزش گذاری باید خطرات احتمالی را که ممکان اسات ایان‬ ‫دارایاای هااا و بانااک اطالعاااتی را تهدیااد کنااد ارزیااابی کنااد . ایاان مرحلااه شااامل‬ ‫شناسایی خطرات ، نواحی آسایب پاذیر و تهدیاد هاای احتماالی اسات . (حماالت‬ ‫ارزیابی خطرات‬ ‫تروریسااتی،بدکارکردن سیسااتم هااا، نقااص ساااختار بناادی سیسااتم هااا،برخی از‬ ‫کارمندان،مهاجمین،افراد سودجو و هکرها).‬ ‫پس از شناسایی خطرات و تهدیدات و تقسیم بندی آنها بایاد بارای آنهاا لیساتی‬ ‫از اقدامات پیشگیری را تهیه نمود و از نظر هزینه و مقرون به صرفه بودن‬ ‫،اقدامات را بررسی کرد پس از آن سازمان موظف است بر روناد کاار نظاارت‬ ‫اجرا و پیاده سازی‬ ‫داشته و بازده و مفید بودن اقدامات را مورد بررسی قرار دهد.‬‫43‬
  • 35. ‫غٍامل دخیل در تجارت الک تروهیک:‬‫53‬
  • 36. ‫خٍزى ًای در بر گیرهدى غٍامل تجارت الک تروهیک‬‫63‬ ‫تٍلید‬ ‫ارائي‬ ‫برهامي ًای تدت وب‬ ‫بشتر هرم افزاری(صیشتم غامل ،صرویس دًودى وب ،صرویس دًودى باهک اظالغاتی دو....)‬ ‫باهکٌای اظالغاتی‬ ‫بشتر صخت افزاری(صرویس دًودى ًا، موابع ذخیرى صازی و صاختار ارتباظی اهٌا)‬ ‫.......‬ ‫تجارت الک تروهیک‬ ‫دریافت‬ ‫اهتكال‬ ‫مطتریان و کاربران صیشتم ظامل اظخاص و وصیلي ارتباظی اهٌا‬ ‫بشتر دصترصی(ایوترهت ،ایوتراهت)‬ ‫(غمدتا رایاهي ًای ظخصی)‬ ‫بشتر ارصال(پشت و اهٍاع مختلف ان)‬
  • 37. ‫امویت در تجارت الک تروهیک:‬‫73‬
  • 38. ‫تٍلید:‬‫83‬ ‫‪SQL Injection‬‬ ‫این روش وارد کردن دستورها و عباراتی باه زباان قابال فهام توساط‬ ‫‪ SQL‬در قسمتهایی از یک وب سایت است که مای توانناد مقاادیري‬ ‫را باااه صاااورت ورودي دریافااات کنناااد. بناااابراین هکااار میتواناااد یاااک‬ ‫دساااتور را بااار روي سااارور باناااک اطالعاااات اجااارا کناااد. کاااه حاصااال‬ ‫اجااراي ایاان دسااتور ماای توانااد بااه دساات آوردن اطالعااات کاااربران،‬ ‫اطالعااات کااارت هاااي اعتبااااري، جزییااات مبااادالت انجااام شاااده و...‬ ‫باشد.‬
  • 39. ‫)‪Cross-Site Scripting (XSS‬‬‫93‬ ‫‪ Script‬در فیلااد هاااي ورودي بااه منظااور بااه دساات آوردن‬ ‫عبااارت اساات از فرسااتادن‬ ‫اطالعات مهم و یاا ایجااد تغییار در کادهاي ‪ HTML‬کاه عمادتا ً ایان روش باه دو صاورت‬ ‫ذخیره شده و منعکس تقسیم می شود.‬ ‫در هر دو روش حاصل اجرا شدن ‪ Script‬می تواناد منجار باه ایان شاود کاه هکار بتواناد‬ ‫اطالعات نشست احراز هویت شده کاربر با وب سایت مورد نظر را به دست آورد و بتواناد‬ ‫خود از آن استفاده کند در واقع هویت خود را جعل و خود را به عنوان کاربر ابراز نماید.‬
  • 40. ‫‪Price Manipulation‬‬‫04‬ ‫همانطور که اسم این روش نشان می دهد عبارت اسات از دساتکاري قیمات، باه ایان صاورت‬ ‫که به هنگاام محاسابه قیمات کال باه علات ذخیاره ساازي یکساري از اطالعاات خریاد بار روي‬ ‫سیستم مشتري، هکر با استفاده از یک برنامه که بتواند ارتباطات خود و سرویس دهناده را‬ ‫پروکسی کند مانند برنامه ( ‪)Achilles‬می تواند اطالعات مهمی از جملاه قیمات را تغییار‬ ‫دهد که اگر کنترل هاي الزم در سمت برنامه سرویس دهناده وجاود نداشاته باشاد ضارر ماالی‬ ‫این کار متوجه شرکت سرویس دهنده میشود.‬
  • 41. ‫‪Buffer Overflow‬‬ ‫مربوط به اشتباه در برنامه نویسی می باشد. می توان این خطر را به دو قسمت تقسیم کرد:یکی افشاا‬‫14‬ ‫یکسري اطالعات از طریق پیغام هاي خطایی است که سیستم به علت سرریز شادن باافر بار مای گرداناد‬ ‫که می تواند اطالعات بسیار خوبی را در اختیار هکار قارار دهاد و دوم اینکاه در برخای از شارایط هکار‬ ‫قادر است با استفاده از این ضعف،دستوري را بر روي سرویس دهنده اجرا کند.‬ ‫‪Password guessing‬‬ ‫همان به دست آوردن غیر مجاز رمز عبور افراد می باشد که امروزه در تجارت الکترونیک، بسیار زیاد‬ ‫دیده می شود. این روش خود باه دو قسامت حملاه هااي واژه ناماه اي و حملاه هااي مبتنای بار آزماایش‬ ‫تمامی عبارات ممکن تقسیم می شود.‬
  • 42. ‫ارائي:‬‫24‬ ‫کدهاي مخرب‬ ‫)…,‪(Worm, Virus‬‬ ‫این دسته از تهدیدها که می توانناد باعا از کاار افتاادن سیساتم شاوند باه عناوان‬ ‫یکی از مهمترین تهدیدهاي سیستم عامل به حساب می آیند.‬
  • 43. ‫‪DOS‬‬ ‫)‪(Denial of Service‬‬ ‫این دسته از حمالت تنها هدفشان از کار انداختن سرویس دهنده می باشد که می تواند هم به‬ ‫علت وجود یک ضعف در سیستم باشد و یا به علت حجم باالیی از تقاضا.‬ ‫آسیب پذیري سرویس دهنده‬ ‫از جمله بزرگترین معضالت تکنولوژي وجود ضعفهاي امنیتی می باشد. این ضعفها از چند جهت قابل بررسی می باشد:‬ ‫یکی از این جهت که معموالً این ضعفها اول توسط تیم هاي هکري کشف می شوند و در جهت کارهاي خرابکارانه مورد‬ ‫استفاده قرار می گیرند.‬ ‫دوم اینکه در برخی از موارد علیرغم انتشار بسته هاي امنیتی ممکن است که یکسري از استفاده کنندگان آنها رایا به‬‫34‬ ‫علت سهل انگاري و یا به علت عدم آگاهی در سرویس دهنده و یا سیستم عامل اعمال نکنند.‬
  • 44. ‫اهتكال:‬‫44‬
  • 45. ‫دریافت:‬‫54‬ ‫وقتی دریافت هزینه همزمان با تحویال کااال در محال مشاتري انجاام مای پاذیرد مای تواناد تهدیادي جادي باه‬ ‫حساب آید چرا که هیچ سیستمی به منظور اابات این موضوع که چه شخصی سافارش دهناده باوده وجاود‬ ‫انکار‬ ‫ندارد.‬ ‫سفارش‬ ‫ایاان تهدیااد بااه طااور عمااده در نقاال و انتقاااالت اینترنتاای وجااود دارد بااه طوریکااه‬ ‫انکار دریافت‬ ‫دریافت کننده همواره انکار کننده دریافت سرویس و یا کاال می باشد.‬ ‫کاال‬ ‫کاربر‬ ‫شاامل فریااب دادن کااربران و دریافاات اطالعاات کااارت اعتبااري آنهااا و یاا دریافاات‬ ‫هزینه اي بیشتر از قیمت کاال یا سرویس می باشد.‬ ‫کاله برداری‬ ‫در واقااع هااک شاادن ذات بشاار ماای باشااد بااه ایاان منظااور کااه بااا اسااتقاده از ترفناادهایی خاااص در ارتباطااات‬ ‫مهندسی‬ ‫بشري هکر می تواند به اطالعات مطلاوب خاود دسات یاباد و یاا باه ناوعی آنهاا را متقاعاد باه انجاام کااري‬ ‫بکند.‬ ‫اجتماعی‬
  • 46. ‫64‬ ‫راًکارًاي مكابلي :‬
  • 47. ‫1. اجتواب از خعر :‬ ‫به این معنی می باشد که آن کاري را که می تواند براي سیستم ایجاد خطر نماید را انجام ندهیم و یا با انجام کاري آن خطر را‬ ‫دور نماییم‬ ‫2. اهتكال خعر :‬ ‫در برخی از شرایط می توانیم خسارت ناشی از یک خطر را به سازمان و یا شرکت
  • We Need Your Support
    Thank you for visiting our website and your interest in our free products and services. We are nonprofit website to share and download documents. To the running of this website, we need your help to support us.

    Thanks to everyone for your continued support.

    No, Thanks