عرض ادب و احترام

در ادامه پست قبلی در خصوص سازوکار احراز هویت به نظر من میتونن در این سایت از احراز هویت چند مرحله ای استفاده کنن . این سازوکار هرچند خودش بی اشکال نیست ولی میتونه با یه سیاست مناسب مورد بهره برداری قرار بگیره و به بالا رفتن امنیت ما کمک کنه . این احراز هویت چند مرحله ای هم پیاده سازی های مختلف داره ، مثلا موقع لاگین دوبار لاگین کنن کاربرا یا یه بار لاگین کنن واسه وب گردی و موقع انجام کارای مالی یه لاگین جداگونه داشته باشن و سناریوهای مختلف دیگه ای که باید قبلش همه ی شرایط کاربر پسند بودن و امنیت و ... رو در نظر گرفت .

در ادامه یه تصویر از فایروال سخت افزاری پارس گیت در مورد همین جریان به اشتراک میگذارم ،که در اون مشخصه یه url  رو با پورت و تنظیمات گوناگونی میشه پوشش داد .

با سلام خدمت استاد بزرگوار و دستيار محترم

بررسی مباحث امنیتی ضمن رعایت مشتری مداری سایت ردکالا

وضعیت امنیت سایت چگونه است؟

با بررسي هاي انجام شده مشخص شد كه پروتكل سايت رد كالا HTTP مي باشد كه يك پروتكل ناامن در فضاي تجارت الكترونيك مي باشد:

سرویس SSL/TLS در redkala.ir:443 فعال نیست و امکان مبادله اطلاعات به صورت ناامن (رمزنشده) وجود دارد.

همانطور كه دوستان هم اشاره كردن با توجه به گسترده شدن استفاده از خدمات الکترونیک در سازمان‌ها و استفاده از شبکه‌ اینترنت برای مبادله اطلاعات، نیاز است تا تمهیداتی برای امنیت داده‌های مبادله شده در اینترنت صورت پذیرد. برای تأمین محرمانگی و جامعیت داده‌های مبادله شده می‌توان از پروتکل‌های استانداردی که بدین منظور طراحی‌ شده استفاده کرد. در حال حاضر مهم‌ترین پروتکل رمزنگاری که در سطح اینترنت برای رمزنگاری داده‌های لایه کاربرد و تأمین امنیت ارتباطات استفاده می‌شود، پروتکل SSL/TLS است که در وب بانام HTTPS نیز نامیده می‌شود.شرکتی كه دارای گواهینامه دیجیتال باشد،در این صورت وب سایت ازپروتکل https استفاده می‌کند. مشتریان این شرکت،گواهینامه را با نشان یک قفل در سمت چپ آدرس سایت تشخیص می‌دهند.

منبع: https://sslcheck.certcc.ir/index.php

با استفاده از سرویس hpHostsسايت رد كالا جهت بررسي اطلاعات مخرب و بدافزارمورد بررسي قرار گرفت:

https://hosts-file.net/default.asp?s=redkala.ir

همانطور که در تصویر بالا مشاهده می نمایید وب سایت منظور دارای هیچگونه مشکلی از لحاظ بد افزار و نرم افزار های مخرب نیست و رنگ سبز بیانگر این وضعیت می باشد

منبع: https://hosts-file.net/

احراز هویت سایت را چگونه تلقی می کنید؟

تقريبا خوب و قابل اطمینان است چون وب سایت حراجی ردکالا دارای نماد اعتماد الکترونیکی از وزارت صنعت، معدن و تجارت بوده و همچنین داراي نماد ساماندهی پایگاه های اینترنتی از وزارت فرهنگ و ارشاد نيز می باشد.

ما مي توانيم از سایت رسمی نماد اعتماد الکترونیکیفروشگاه مورد نظر رو جست و جو کنیم و ببینیم آیا دارای نماد اعتماد هست یاخير.

بهتر هست در این سایت از احراز هویت چند مرحله ای استفاده کنند كه به بالا رفتن امنیت ما کمک مي كند. احراز هویت چند مرحله ای پیاده سازی های مختلف داره ، مثلا موقع لاگین كاربران دوبار لاگین کنند یا یه بار لاگین کنند براي وب گردی و موقع انجام عمليات مالی، یه لاگین جداگانه داشته باشند و يا روش هاي تركيبي ديگه ايي که با درنظر گرفتن شرایط کاربر پسند بودن و امنیت و ... مي توان در نظر گرفت . اين نكته را بايد درنظر داشت كهاگر چند فاکتور با هم در یک سیستم احراز هویت استفاده شود باعث بالا رفتن حداکثری امنیت می شود اما این نکته را فراموش نکنیم که هر چقدر امنیت شما بالا برود بالطبع آن دسترسی پذیری و چه بسا عملیاتی بودن یا Functionality سیستم شما پایین می آید و امنیت دیگر به عنوان یک فاکتور مزاحم در نظر گرفته می شود تا یک فاکتور آرامش بخش.

آیا می توان حین رعایت مسائل امنیتی مشتری مداری را هم در نظر گرفت؟

در مورد مشتری مداری دقیقا مشتری اولین خواستش مسائل امنیتی به خصوص سایت های خرید آنلاین میباشد.

قطعا مشتریان میخواهند که با خیالی آسوده و بدون نگرانی از فاش شدن اطلاعاتشان از خدمات سایت استفاده کنند.

وجود صفحه کلید مجازی برای ورود اطلاعات کارت به امنيت كاربر كمك مي كند .

با سلام و درود

بررسی امنیتی سایت ردکالا

با سلام و خدا قوت 

بسیار مطلب اموزنده ایی بود ممنون از شما فقط یه سوال من دقیق نمیدونم تفاوت فایروال با IDS و IPS چیه؟ 

ممنون

 در اینجا برخی از ویژگیهای معمول فایروال های NGFW را بررسی می کنیم:

امکانات استاندارد یک فایروال: در این نوع فایروال های قابلیت های همان فایروال های قدیمی ( نسل اولی ) از قبیل مسدود کردن پورت ها و پروتکل ها و همچنین سرویس شبکه خصوص مجازی یا VPN و سرویس NAT وجود دارد.

شناسایی و فیلتر کردن نرم افزارها: این قابلیت در واقع بزرگتری نقظه قوت اینگونه فایروال ها است، آنها می توانند به جای اینکه صرفا پورت یا پروتکل خاصی را فیلتر کنند، نوع ترافیک یک نرم افزار را تشخیص داده و بر اساس نوع نرم افزار پورت یا سرویس آن را فیلتر کنند. این قابلیت باعث میشود که نرم افزارهای مخرب نتوانند از پورت های معمول و غیر معمول برای ورود به شبکه و آسیب رسانی به آن استفاده کنند.

واکاوی SSH و NGFW :SSL ها میتوانند ترافیک رمزنگاری شده پروتکل های SSL و SSH را نیز واکاوی کنند . آنها توانایی رمزگشایی ترافیک را داشته و پس از رمز گشایی و اطمینان از سالم بودم و عدم وجود ترافیک غیر مجاز با توجه به خط مشی تعیین شده برای آن مجددا رمزگذاری کرده و ارسال می کنند. این قابلیت از مخفی شدن کد های مخرب در درون ترافیک رمزنگاری شده توسط نرم افزارهای مخرب جلوگیری کرده و از ورود اینگونه ترافیک به درون شبکه جلوگیری کند.

جلوگیری از نفوذ: با هوشمندی خاصی که برای اینگونه از فایروال ها در نظر گرفته شده است و توانایی واکاوی فوق العاده ای که در آنها دیده شده است، این NGFW ها توانایی جلوگیری و تشخیص نفوذ را در خود جای داده اند. برخی از اینگونه NGFW ها قابلیت های تشخیص و جلوگیری از نفوذی دارند که حتی یک دستگاه IPS مجزا هم این ویژگیها را به تنهایی ندارد.

هماهنگی با دایرکتوری سرویس ها: از قابلیت های جدید اینگونه NGFW ها هماهنگی کامل با ساختار های دایرکتوری مانند اکتیودایرکتوری است و با این روش دیگر نیازی به تعریف کاربر در فایروال نیست و از همان گروه ها و کاربرانی که در اکتیودایرکتوری وجود دارند می توان در فایروال نیز استفاده کرد.

فیلتر کردن کدهای مخرب : NGFW میتوانند بر اساس نوع فعالیت یک نر مافزار و مخرب بودن آن از ادامه کار یا حتی شروع به کار یک کد مخرب جلوگیری کنند، اینگونه NGFW ها میتوانند بوسیله شناسایی سایت های مخرب و ذخیره آنها در دیتابیس خود از بروز حمله از طریق آنها جلوگیری کنند، همچنین یعضی از آنها توانایی شناسایی حملات از نوع Phishing و همچنین شناسایی ویروس ها و تروجان ها را دارند.

همیشه هنگام انتخاب یک محصول برای استفاده در شبکه به عنوان یک فایروال نسل بعدی باید به تعداد نرم افزار ها و تعداد شناسایی هایی که آن فایروال می تواند تشخیص دهد توجه کرد، برخی از آنها توانایی شناسایی بیش از 15000 حمله و نرم افزار را دارند و این در حالی است که نوع دیگری تنها قادر به شناسایی 800 نوع حمله است، همچنین الگوریتم هایی که هر یک از آنها در شناسایی استفاده میکنند بسیار می تواند تعیین کننده باشد بطوریکه برخی از این نوع فایروال ها میتوانند برای یک نرم افزار مانند مسنجر یاهو تعیین کنند که کاربر بتواند چت کند اما نتواند فایلی را ارسال یا دریافت کند. همیشه در انتخاب یک محصول توانایی های آن را در اولویت قرار دهید.

عرض ادب و احترام خدمت دوستان

یه موردی هست اونم اینکه داشتن فایروال میتونه به بالا بردن امنیت کمک کنه  و این هم بستگی به شرایط و سناریوی ما هم داره . مثلا همین هاست ردکالا اگه توی سایت خودمون و دست خوده ما باشه میشه از فایروال لبه شبکه استفاده کرد . اگر توی این دیتاسنتر های اجاره ای باشه داستان کاملا منتفیه .

مورد دیگه اینکه فایروال ها امکانات دیگه ای هم دارن که در کل به بالا بردن امنیت وب سرویس ها کمک زیادی میکنن.

در ادمه یه تصویر از فایروال سخت افزاری سایبروم براتون میگذارم که در سازمان های دولتی و خصوصی با تنظیمات متفاوتی روی رول ها پیاده میشه .

با سلام و احترام خدمت همگی

با توجه به فرمایشات استاد و اسلاید ها اگه اشتباه نکنم منظور از مولفه های امنیت همون صحت ، محرمانگی و دسترس پذیری هستش که از اون به عنوان ارکان امنیت هم یاد میشه .ممنون میشم از اگر اشتباه میکنم جناب مهندس زند و دوستان راهنمایی کنن . در پست های بعدی سعی میکنم اطلاعات تکمیل تری در مورد این مولفه ها به اشتراک بگذارم .

البته توی فصل دوم استاد مولفه ها و یا عناصر رو با توجه به مدل مرجع امنیت اطلاعات متشکل از هشت مورده دارایی ها ، تهدیدها ، آسیب پذیری ها ، ضربه و یا پیامدها ، مخاطره یا ریسک ها، حفاظ یا سپر امنیتی ، مخاطره جنبی و محدودیت ها عنوان کردن .

سلام

لیست نکنید

بحث کنید

مخصوصا بحث های چالشی و اختلافی

☺

درود

       در ادامه بحث مولفه ها و عناصر اطلاعاتی خدمت دوستان عرض کنم که اگه بخواهیم به یکی از مهمترین مولفه ها و عناصر امنیت اطلاعات اشاره کنیم بدون شک باید دارایی‌های اطلاعاتی رو انتخاب کنیم. هر چیزی که برای سازمان دارای ارزش باشه جزو دارایی های سازمان محسوب میشه و برای سازمان با ارزشه ، حالا چه مادی باشه چه معنوی . در امنیت اطلاعات همواره هدف حفظ و نگهداری این دارایی هاست. این دارایی ها میتونن فیزیکی باشن مثل اسناد و تجهیزات کامپیوتری و... که در ادامه سعی میکنم خیلی خلاصه به اون ها اشاره کنم :

·محیط ها و تجهیزات فیزیکی :کامپیوترها ، ساختمان ها ، تجهیزات شبکه و محیط این موارد

·نرم افزارها :پلت فرم ها و سیستم عامل ها ، برنامه های کاربردی و نرم افزارهای سیستمی و ...

·خدمات شبکه و ارتباطات :خدمات و سرویس دهی، مسائل مربوط به ارتباط و بحث های فنی این حوزه

·داده های اطلاعاتی : بانک های اطلاعاتی ، فایل ها ، فرآیندها و ...

·نیروی انسانی : کارمندان ، پرسنل ، مشتریان ، تامین کنندگان و ...

·دانش و فناوری : دانش و فناوری مورد استفاده سازمان . از سامانه های ثبت دانش گرفته تا ...

این ها تنها بخشی از مصادیق دارایی ها بود که به آن اشاره شد .

منبع : اسلاید های آقای دکتر عرب سرخی - اطلاعات و تجربیات کاری

به نام خدا

مولفه های امنیت کدامند تعریف و مصادیق این مولفه ها چیست؟

محرمانگی

یکپارچگی درست بودن

در دسترس بودن

1- محرمانگی: Confidentiality يعني داده های در حال انتقال در فضای سایبری ،توسط مهاجمین خوانده نشوند و محرمانه بودن آن نقض نشود.

محرمانگی داده مانع از دسترسی سايرين و افراد بدون مجوز است . يعني فقط پرسنل دارای مجوز می توانند به داده ها دسترسی داشته باشند ولی پرسنل بدون مجوز چنين دسترسی اي ندارند . وظیفه اصلی محافظت داده‌های حساس سازمان‌ها چه در محل‌های ذخیره‌شده چه در انتقالات از اشخاصی که نبابد دسترسی به این داده‌ها داشته باشند ، می‌باشد. محرمانگی Confidentiality بخشی از امنیت شبکه است كه به ما اطمینان می‌ دهد که داده‌ها تنها برای کسانی که مجوز دسترسی دارند فعال و در دسترس است. دسترسی به داده‌های حساس سازمان‌ها باید تنها برای افراد دارای مجوز فراهم شود.

- رمز نگاری Incryption

رمزنگاری داده را به گونه ای تغییر می دهد که توسط پرسنل بدون مجوز خواندنی نباشد . پرسنل دارای مجوز می توانند با کلیدی که در اختیار دارند داده ها را رمزگشایی کرده و به آنها دسترسی پیدا کنند . رمزنگاری داده ها دسترسی پرسنل بدون مجوز را به داده ها بسیار مشکل می کند . رمزنگاری شامل الگوریتم های رایج مثل AES می باشد .
به عنوان مثال شما می خواهید اطلاعات شخصی قابل شناسایی PII افراد مثل اطلاعات پزشکی یا کارت اعتباری را از طریق ایمیل ارسال کنید و نمی خواهید که پرسنل بدون مجوز به این داده ها دسترسي داشته باشند . زمانی که کلید ارسال ایمیل را فشار می دهید دیگر از کنترل شما خارج شده است وهيچ كنترلی بر روی داده نخواهید داشت . ولي اگر قبل از ارسال داده را رمزنگاری كنيد ، محرمانگی داده ها حفظ مي شود .

-کنترل های دسترسیAccess controls

Identification Athentication Authorization سه اصطلاحی هستند که دست در دست هم نهاده و موجب فراهم شدن کنترل دسترسی می شوند . این اطلاعات به شما اطمینان می دهند که فقط افراد دارای مجوز می توانند به داده ها دسترسی پیدا کنند . اگر بخواهید به يكي مجوز دسترسی بدهید وبه ديگري ندهيد . با استفاده از کنترل های دسترسی ، مي توانيد اين محدودیت را ايجاد كنيد .

شناساییIdentification
کاربران با استفاده از یک نام کاربری یگانه مدعی شناسایی خود می شوند . برای مثال دوشخص مختلف هر دو حساب های کاربری جداگانه ای به همراه نام کاربری یگانه و خاص خود دارند . زمانی که شخصي با نام کاربری خود کار می کند در واقع مدعی می شود که هویت و شناسایی وی چیست .

تشخیص هویتAuthentication
کاربران نام کاربری خود را با استفاده از پروسه Authentication یا همان تشخیص هویت اثبات می کنند . مثلا با استفاده از پسورد . براي مثال : كاربر پسورد خودش را می داند ولی بقيه پسورد او را نمی دانند . زمانی که كاربر با حساب خود لاگین می کند، نام کاربری ورمز عبور را وارد می کند و با استفاده از نام کاربری و رمزعبور ادعا می کند که کیست با شناسایی Identification و لاگین کردن و وارد کردن این اطلاعات هویت خود را اثبات می کند .

مجوزAuthorization
پس از آنکه شخصي در سیستم لاگین کرد و شناسایی و تشخیص هویت شد ، گام بعدی این است که وی را از دسترسی برخی منابع با استفاده از متدهای تعیین مجوز مثلا ایجاد پرمیشن ها Permissions منع کنیم . برای مثال شما می توانید به علی اجازه دهید که کنترل دسترسی کامل به فایل ها و پوشه هاي خود داشته باشد ولی شخص ديگري را از دسترسی به این اطلاعات یا بخشی از این اطلاعات منع مي کنید .

پنهان نگاری یا نهان نگاری Steganography

روش سوم محرمانگی داده پنهان نگاری یا نهان نگاری یا Steganography استگانوگرافی است. پنهان نگاری را پروسه مخفی سازی داده درون داده می نامند . بسیاری از مردم آن را مخفی کردن داده در معرض دید می نامند . برای مثال یک پیام مخفی را درون یک تصویر با استفاده از شیوه های ویرایش فایل مخفی کرده مي توان گنجاند . اگر مردم دیگر به فایل تصویر نگاه کنند ، متوجه نمي شوند . گرچه اشخاصی که می دانند به دنبال چه هستند وقتي به فایل نگاه کنند ، مي توانند متن پیام را بازیابی کنند . یک مثال ساده تر ،مي توان بدون کمک ابزار ویژه و فقط با استفاده از ابزار Winrar و خط فرمان،. یک فایل متنی را به یک فایل تصویري اضافه کنید.

محرمانگی تاکید دارد که داده تنها توسط کاربران دارای مجوز دیده شود و بهترین راه برای این کار رمزنگاری داده ها است. این کار شامل همه انواع داده می شود . مثل PPI ، داده های پایگاه داده ، داده های موجود در دیوایس های همراه . کنترل دسترسی با محدودکردن دسترسی از محرمانگی داده محافظت می کند و استگانوگرافی نيز با مخفی کردن داده در داده ای دیگر به محرمانگی داده کمک می کند .

2- یکپارچگی : Integrity اگر در حین انتقال داده در فضای سایبری مثل شبکه،‌ اطلاعات توسط مهاجمین دستکاری شده و تغییر داده شوند،‌يا چیزی به آن اضافه یا کم شود، يكپارچگي داده از بين مي رود .

یکپارچگی داده ها Integrity این اطمینان را فراهم می کند که داده تغییری نکرده است . یعنی اینکه هیچ کسی داده را ویرایش و دستکاری و یا تخریب نکرده است . به صورت ایده آل فقط کاربران دارای مجوز داده را ویرایش کرده اند . اگرتغییرات اتفاق افتاده از سوی کاربران غیرمجاز باشد یا از سمت یک برنامه مخرب اتفاق بيفتد ، داده ها دیگر یکپارچه محسسوب نمي شوند .

Integrity از صحت و سلامت داده‌ها اطمینان می‌ دهد. وظیفه Integrity اطمینان پیدا کردن از این است که داده‌ها سالم، صحیح و دقیق به دست افراد دارای مجوز برسد و در میان راه توسط افراد غیرمجاز و یا هکرها تغییر نكند.  داده‌ای که به دست گیرنده می‌رسد باید دقیقاً همان داده‌ای باشد که فرستنده بدون هیچ تغییری در طول مسير.ارسال کرده است.

یکپارچگی داده ها

هش کردن یا هشینگ Hashing

هش کردن یکی از قابلیت های یکپارچگی داده ها می باشد . شما می توانید از تکنیک های هشینگ به منظور حفظ یکپارچگی داده ها استفاده کنید . تکنیک های گسترده هشینگ مثل MD5 Message Digest 5 وSHA-1 Secure Hash Algorithm 1 مي باشد .

هش عددی است که با اجرای یک الگوریتم هش بر روی داده مثلا یک فایل یا یک پیام بوجود می آید . تا زمانی که داده تغییری نکند ، عدد هشینگ ما نیز همان باقی مي ماند . با مقایسه اعداد هشینگ ایجاد شده در دو زمان مختلف می توانید از عدم تغییر داده و اورجینال بودن داده مطمئن شوید . اگر هش ها یکی بودند داده هم همان داده قبلی است . اگر هش ها متفاوت باشد ، داده تغییر کرده و دستکاری شده است .

برای مثال ، اولي داده ای به دومي ارسالمي كند و گيرنده و فرستنده می خواهند از یکپارچگی پیام های خود مطمئن شوند . پیام اولي ايجاد شده و یک هش نيزاز این پیام ایجاد مي شود که مثلا می شود عدد 123 . سپس اولي پیام و هش را برای دومي ارسال می کند . دومي پیام و هش را دریافت می کند و مجددا هش پیام ارسالی توسط اولي را ایجاد مي كند و عدد را با عدد ارسالی توسط اولی مقایسه می کند . اگر عدد هش 123 بود پس پیام نیز بدون دستکاری رسیده است و دومي مطمئن می شود که پیام ارسالی یکپارچگی خود را حفظ کرده است . ولی اگر عدد 456 بود مسلما پیام تغییر کرده است و دومي می فهمد که این پیام اولي نیست و پیام دستکاری شده است .

شما می توانید هشینگ را در پیام هایی مثل ایمیل و یا هر نوع فایل داده ای استفاده کنید . برخی برنامه های ایمیل از Message Authenticatin code یا همان MAC که به معنای کد تشخیص هویت پیام است برای تایید یکپارچگی داده ها استفاده می کنند ولی مفهوم اصلی همان است .

تکنیک های هشینگ به منظور تایید یکپارچگی داده ها زمان دانلود فایل نيزاستفاده می شوند . این کار به منظور جلوگیری از حملات Man-in-the-midel یا حتی ویروسی شدن فایل بر روی سرور و اطمینان از یکپارچگی فایل انجام می شود .
یکپارچگی اطمینان از عدم ویرایش یا دستکاری یا تخریب فایل را به شما می دهد وهشینگ یکپارچگی را تایید و ضمانت می کند .

امضاهای دیجیتال، اعتبارنامه ها، و انکارناپذیری

امضاهای دیجیتال Digitral Signatures اعتبارنامه ها Certificates و انکارناپذیری Non-Repudiation . كه با استفاده از آن می توان از یکپارچگی داده ها مطمئن شد . امضای دیجیتال شبیه امضای دست نویس روی کاغذ است . اگريك صفحه از یک قرارداد را امضا كنيد، هر کسی بعدا می تواند به قرارداد نگاه کرده و امضای شما را ببیند و تشخیص دهد که این همان قرارداد است . افراد دیگر نمي توانند کلمات درون قرارداد را دستکاری کنند مگر اینکه امضا را جعل کنند که کار ساده ای نیست .

استفاده از امضاهای دیجیتال با ایمیل بسیار رایج است . با امضای دیجیتال مي توان فهميد که ایمیل دستکاری نشده است .
امضای دیجیتال يك احرازهویت است و اگر امضای دیجیتال سالم به مقصد برسد ،گيرنده از اصل بودن هويت فرستنده نامه مطمئن مي شود .

تشخیص هویت در امضاهای دیجیتال ،دست هکرها را در جازدن خود به جای دیگران و جعل هویت مي بندد .

مفهوم دیگر در رابطه با امضای ديجيتال و تفاوتش با امضاهاي دیگران، انکارناپذیری Non-Repudiation می باشد . براي مثال اگر چیزی از طریق کارت اعتباری خریده شود و رسید امضا شود بعدا نمی توان خرید را انکار كرد يا نامه ارسال شده را انكار كرد .

سیستم های امنیتی انکارناپذیری فراتر از امضاهای کاغذی است . مثلا لاگ های بازرسی در سیستم وجود دارد که ثبت می کند چه کسی ، چه ، چه موقع و کجا چه کاری را انجام داده است . مثلا شخصي با نام کاربری خود وارد سیستم می شود و چند فایل مهم را حذف می کند . اگر لاگ ها فعال باشند ، مدرک انکارناپذیری وجود دارد .

امضاهای دیجیتال نیازمند استفاده از اعتبارنامه ها Certificates و زیرساخت کلیدعمومی Public Key Infrastructure یا همان PKI می باشد .اعتبارنامه ها شامل کلیدهایی است که به منظور رمزنگاری استفاده می شود و PKI یا زیرساخت کلیدعمومی ، به ایجاد و مدیریت اين كار كمك مي كند .
3- در دسترس بودن Availability: گاهي حملاتي با هدف خارج کردن يك منبع اطلاعاتی از سرویس انجام مي گيرد كه آن منبع قادر به ارائه سرویس به دیگران نباشد و نتواند تبادل اطلاعات درستی با کاربرانش داشته باشد .

یعنی جلوگیری از قطع خدمات یا تخریب دارایی‌ها، به صورت اتفاقی یا عمدی.

وظیفه Availability در امنیت ، اطمینان حاصل کردن از در دسترس بودن داده‌ها، منابع شبکه و یا سرویس‌های شبکه به‌صورت دائم و کامل برای کاربران و افرادی که به این منابع درهر زمان نیاز دارند، می‌باشد.

برقراری امنیت در فضای سایبری،به علت ماهیت فضای سایبری کار بسیار دشواری است،از فناوری سایبری بی تردید میتوان همانند ابزارهای جنگ متعارف،برای حمله به تشکیلات دولتی،نهادهای مالی،زیرساخت های انرژی و حمل و نقل ملی و روحیه عمومی استفاده کرد،به همين دليل ناامنی در فضای سایبری،صرفا شامل ناامنی در سیستم های اطلاعاتی نیست،بلکه شامل تمام زیرساخت هایی میشود که به شكلی با فناوری اطلاعات درارتباطند. در حمله سایبری ویروس استاکس نت در سال 2010به تاسیسات اتمی ایران ؛یک بمب منطقی توانست در سیستم کنترل سانترفیوژهای ایران نفوذ کند،تا دور سانترفیوژهارا آنقدر زیاد کند كه یا ازکار بیفتند ، یا منفجر شوند.ایران از میزان خسارات وارده ازاین ویروس به تاسیساتش اطلاعات دقیقی ارائه نكرد .مدیر سابق سازمان سیا در دولت جورج بوش مي گويد حمله هاي سایبري چنان با سرعت انجام مي شد که سیاست همیشه یک گام عقب تر بود .در حال حاضر با افزایش تهدیدات سایبری ، باید توجه ويژه اي به اين موضوع بشود؛این تهدیدات و حملات توسط متخصصان شرکتهاي سايبري توليد و به سيا فروخته مي شوند. در انگلستان نيزجرائم اینترتی یکی از چهار تهدید جدی برای امنیت ملی به حساب مي آيد.گسترش سریع شبکه ها ،خطراتي به همراه دارد که یکی از آنها ناآگاهی از آسیب پذیری بالقوه استفاده از شبكه ها در زیر ساخت های حیاتی کشور نظیر زیر ساخت های آب رسانی،برق وگاز است . گرچه استفاده از شبكه ها قطعا باعث کاهش هزینه و راحتی کار مي شود،ولي هر لحظه ممكن است امنیت يك كشور را به خطر بيندازد .در جنگ سرد آمریکا و روسیه،نرم افزار کنترل گاز در یکی از قسمت های روسیه هك شد، ومهاجم سایبری،توانست مدتی جلوی انتشار گاز در لوله های اصلي را بگیرد و بعد كه حمله برداشته شد ، گاز پرفشار در لوله ها حرکت کرد،و نقاط كم توان دراتصالات لوله ها را شکست و باعث انفجار گازدر چند نقطه از روسیه شد. برای سیاست مداران صاحب رایانه پر سرعت مثل صاحب جنگنده سریع است.

امنیت اطلاعات به معنای حفاظت از اطلاعات و سیستم های اطلاعات از دسترسی غیرمجاز، استفاده، اختلال یا تخریب است. حفاظت از اطلاعات و سیستم های اطلاعاتی در برابر دسترسی غیر مجاز یا اصلاح اطلاعات، چه در ذخیره، پردازش، و چه در حمل و نقل، و در برابر انکار خدمات به کاربران مجاز را گويند . امنیت اطلاعات شامل اقدامات لازم برای شناسایی، مستند سازی و مقابله با چنین تهدیدهای است. امنیت اطلاعات از امنیت رایانه و امنیت ارتباطات تشکیل شده است. امنیت اطلاعات بیش از امنیت کامپیوتر است. این همچنین شامل طیف وسیعی از اقدامات امنیتی فیزیکی مانند محافظت از دارایی های اطلاعاتی شما در برابر بلایای طبیعی یا سرقت و حملات مهندسی اجتماعی مانند شخصی است که شما را به ارائه اطلاعات حساس سوق می دهد.

امنیت اطلاعات فرآیند مداوم انجام مراقبت های دایمی و قانونی برای محافظت از اطلاعات و سیستم های اطلاعاتی از دسترسی غیرمجاز، استفاده، افشا، تخریب، اصلاح، یا اختلال یا توزیع است. فرایند بی پایان امنیت اطلاعات شامل آموزش مداوم، ارزیابی، حفاظت، نظارت و تشخیص، پاسخ به حادثه و تعمیر، مستند سازی و بررسی است. این امر امنیت اطلاعات را بخش مهمی از تمام عملیات تجاری در حوزه های مختلف می سازد.

مولفه هاي امنيت :

از زمان توسعه سیستم اصلی، مثلث CIA به عنوان استاندارد صنعت برای امنیت مورد توجه قرار گرفته است. این تنها بر مبنای سه ویژگی بود که ویژگی اطلاعات را شرح داد: محرمانه بودن، یکپارچگی و قابلیت دسترسی. تفسیرهای این سه جنبه متفاوت است، همانطور که در زمینه هایی که در آن بوجود می آیند.

محرمانه بودن:محرمانه بودن پنهان سازی اطلاعات یا منابع است. محرمانه بودن بدان معنی است که اطمینان حاصل شود که اطلاعات تنها توسط افرادی که حق دیدن آن را دارند دیده می شود. نگه داشتن اطمینان اطلاعات از دسترسی غیر مجاز احتمالا شایع ترین جنبه امنیت اطلاعات است. نیاز به نگهداری اطلاعات از استفاده از رایانه در زمینه های حساس مانند دولت و صنعت ناشی می شود. سازمان باید بر علیه اقدامات مخرب محافظت کند که محرمانه بودن اطلاعات آن را تهدید می کند.

یکپارچگی: یکپارچگی به اعتبار داده یا منابع اشاره دارد و معمولا از لحاظ جلوگیری از تغییر نامناسب یا غیر مجاز است. یکپارچگی شامل یکپارچگی داده ها یعنی محتوا اطلاعات و یکپارچگی مبدأ یعنی منبع داده است. یکپارچگی به این معنی است که اطمینان حاصل شود که اطلاعات دست نخورده و بدون تغییر باقی می مانند. این به معنای تماشای تغییرات از طریق اقدامات مخرب، فاجعه طبیعی یا حتی یک اشتباه ساده بی گناه است. یکپارچگی شامل صحت و اعتبار داده ها می شود.

دسترسی: دسترسی به قابلیت استفاده از اطلاعات یا منابع مورد نظر است. دسترسی به معنی داشتن دسترسی به اطلاعات شما هنگامی که به آن نیاز دارید. به عبارت دیگر، این بدین معنی است که مطمئن شوید هیچ شخص یا رویداد قادر به دسترسی مشروع یا به موقع دسترسی به اطلاعات نبوده است. اطلاعات ایجاد شده و ذخیره شده توسط یک سازمان باید به کاربران مجاز و برنامه های کاربردی دسترسی داشته باشند. اطلاعات بی فایده است اگر در دسترس نیست. در بعضی موارد، اطلاعات باید دائما تغییر کند، بدین معنی که برای کسانی که مجاز به دسترسی به آن هستند، باید در دسترس باشد. جنبه در دسترس بودن مربوط به امنیت این است که کسی ممکن است عمدا ترتیب دهد که دسترسی به داده ها یا سرویس را از طریق عدم دسترسی آن ممنوع کند.

دو هدف اضافی:

الف)اعتبار: صحیح بودن به معنای واقعی بودن و توانایی تأیید یا اعتماد است. در محاسبات، تجارت و امنیت اطلاعات، لازم است اطمینان حاصل شود که داده ها، معاملات، ارتباطات یا اسناد واقعی هستند. همچنین برای تأیید صحت اعتبار لازم است که هر دو طرف درگیر باشند که ادعا می کنند.

ب)پاسخگویی: مسئولیت پذیری شامل اقدامات یک نهاد می تواند منحصر به فرد به آن نهاد ردیابی، پشتیبانی ازnonrepudiation، بازدارندگی، جداسازی خطا، نفوذ، تشخیص و پیشگیری است. عدم انصراف بهمعنای قصد خود برای انجام وظایف خود در قرارداد است. این نیز نشان می دهد که یک طرف معامله نمی تواند انعقاد قرارداد را دریافت کند و یا طرف دیگر نمی تواند انعقاد قرارداد را ارسال کند.

نتیجه گیری:

با افزایش جرایم اینترنتی، حفاظت از داده ها (امنیت اطلاعات) مهم تر است. حفاظت از شبکه ها برای جلوگیری از از دست دادن منابع سرور مهم است و همچنین برای محافظت از استفاده شبکه از اهداف غیر قانونی مهم است. امنیت اطلاعات یک فرآیند مداوم و بی پایان است. هر روش امنیتی اطلاعات دارای ویژگی های منحصر به فرد و کاربردی است. برای اطمینان از امنیت اطلاعات، بهترین راه حل این است که راه حل های متنوعی را پیاده سازی کنید و مراقب باشید که دسترسی به منابع و اطلاعات شبکه از چه راه ها و نفوذ پذيري هايي قابل امكان مي باشد.

 منابع:

1.Sattarova Feruza Y. and Prof.Tao-hoon Kim, "IT Security Review: Privacy, Protection, Access Control, Assurance and System Security”, International Journal of Multimedia and Ubiquitous Engineering, Vol. 2, No. 2, April, 2007

2.Information Security: Principles and Practice, Mark Stamp Second Edition

3.http://www.vsrdjournals.com/CSIT/Issue/2013_04_April/Web/4_Kapil_Kumar_Sharma_1612_Revie w_Article_VSRDIJCSIT_April_2013..pdf

با سلام و احترام

با توجه به مطالب جلسات در هر کسب و کار ارکان امنيت از نظر ماهيتی و ذاتی بيانگر اهدافی هستند که کسب و کارها به دنبال تحقق آنها هستند.این ارکان به عنوان یك نياز یا ارکان امنيتی برای حفظ کسب و کارها مطرح هستند که میتوان به صحت ، محرمانگی و دسترس پذیری اشاره کرد.

از نظر من و باتوجه به سابقه کاری در تولید نرم افزارهای تحت وب میتونم بگم که مولفه های امنیت در وب می تواند موارد زیر باشد که بنده به آنها اشاره میکنم :

1- تصدیق هویت یا احراز اصالت Authentication که در واقع محرز می شود که چه کسی هستیم که می تواند همان ورود ساده (صحفه Login) به یک سیستم می باشد و یا می تواند از احراز هویت های بیومتریک و پیچیده تر استفاده کرد.

2- بحث فرآیند دسترسی به اطلاعات Authorization که در واقع مرحله بعد از احراز هویت می باشد و در مورد دسترسی به اطلاعات و محدود کردن کاربران و مجوزهایی که به منابع اطلاعاتی دارند بحث میشود.برای مثال برای دسترسی به جداول پایگاه داده براساس مجوزهای لازم به اسکیما های (schema) مشخص شده برای کاربر.

3- کدهای مخرب Malicious code کدهای مخرب هم میتواند یکی دیگر از مصادیق باشد که در نهایت باعث اختلال در امنیت باشد که باعث می شود دسترسی به اطلاعات حساس که خود این مقوله می تواند دسترس پذیری که از ارکان و مولف های امنیت باشند رو نقض کند.

4- مورد دیگری که میشود در خصوص اطلاعات موجود در نرم افزارهای تحت وب اشاره کرد بحث Cryptography یا رمزنگاری که میتواند از مولفه های دیگر امنیت باشد برای مثال در همین بحث تولید نرم افزارهای وب (اتوماسیون اداری) یکی از مسائلی که ملزم به رعایت میباشد رمزنگاری اطلاعات نامه ها و اسناد موجود می باشد تا در صورت سرقت اطلاعات آن را غیر قابل استفاده توسط کاربران مجاز بکند.

5- مورد دیگر بحث (SSL) میباشد که پروتکلی است که در بستر آن امکان رمزنگاری (encrypt) اطلاعات فراهم می شود که این امر میتواند می تواند با نصب و راه اندازی WAF یا فایروال برنامه های تحت وب میسر شود که در واقع یک middleware می باشد تا درخواست های ارسالی از سوی کاربران در ابتدا بررسی و در صورت نیاز به سرور اصلی ارسال میکند.

6- IPSEC :Protecting IP همانطور که میدانید IPSec یک پروتکل امنیتی در لایه شبکه می باشد تا رمزنگاری برای بسته ها را تامین کند که در واقع به پشتیبانی ترکیبی از تایید هویت ، جامعیت ، کنترل دسترسی و محرمانگی بپردازد. که همانطور بالا اشاره شد تمامی موارد ارکان امنیت را نیز شامل می باشد.

با توجه به این تعاریف می توان در خصوص ارتباط این مولفه ها در حوزه وب نتیجه گرفت که تحليل درخواست کاربران، تصدیق هویت کاربر، فرآیند دسترسی به اطلاعات ، جامعيت داده ها، صحت ، کنترل های دسترسي، ارائه پاسخ به صورت امن به درخواست کننده در لایه هاي مختلف نیازمند یک ساختار منظم و به صورت بک بسته امنیتی، امکان پذیر می باشد .

منابع :

1.فایل های درس

2. http://ijarcsse.com/index.php/ijarcsse

با سلام خدمت استاد بزرگوار و دستيار محترم

همانطور كه دوستان هم اشاره كردن و در متن درس استاد فرمودند، مولفه هاي امنيت عبارتند از صحت ، محرمانگی و دسترس پذیری كه به عنوان ارکان امنیت هم شناخته مي شوند.

در واقع مي توان گفت: امنیت اطلاعات به محرمانگی، یکپارچگی و در دسترس بودن داده‌ها مربوط است بدون در نظر گرفتن فرم اطلاعات اعم از الکترونیکی، چاپ، یا اشکال دیگر.

موارد سه‌گانه حفظ محرمانگی، یکپارچه بودن و دسترس‌پذیری از مفاهیم اصلی امنیت اطلاعات است. البته متخصصان بيان مي كنند كه علاوه بر این ۳ مفهوم، موارد دیگری هم را باید در بحث امنيت در نظر گرفت مثل «قابلیت حسابرسی»، «قابلیت عدم انکار انجام عمل» و «اصل بودن».

در اينجا به تعريف مختصري از هر كدام از اين مولفه هاي مي پردازيم:

محرمانگی:

محرمانگی یعنی جلوگیری از افشای اطلاعات به افراد غیرمجاز. به عنوان مثال، برای خرید با کارت‌های اعتباری بر روی اینترنت نیاز به ارسال شماره کارت اعتباری از خریدار به فروشنده و سپس به مرکز پردازش معامله است. در این مورد شماره کارت و دیگر اطلاعات مربوط به خریدار و کارت اعتباری او نباید در اختیار افراد غیرمجاز بیفتد و این اطلاعات باید محرمانه بماند. در این مورد برای محرمانه نگهداشتن اطلاعات، شماره کارت رمزنگاری می‌شود و در طی انتقال یا جاهایی که ممکن است ذخیره شود (در پایگاه‌های داده، فایل‌های ثبت وقایع سیستم، پشتیبان‌گیری، چاپ رسید، و غیره) رمز شده باقی می‌ماند. همچنین دسترسی به اطلاعات و سیستم‌ها نیز محدود می‌شود. اگر فرد غیرمجازی به هر نحو به شماره کارت دست یابد، نقض محرمانگی رخ داده‌است.

نقض محرمانگی ممکن است اشکال مختلف داشته باشد مانند فروش یا سرقت کامپیوتر، لپ‌تاپ حاوی اطلاعات حساس. یا دادن اطلاعات محرمانه از طریق تلفن و غيره همه موارد نقض محرمانگی است.

یکپارچه بودن:

یکپارچه بودن یعنی جلوگیری از تغییر داده‌ها بطور غیرمجاز و تشخیص تغییر در صورت دستکاری غیرمجاز اطلاعات. یکپارچگی وقتی نقض می‌شود که اطلاعات نه فقط در حین انتقال بلکه درحال استفاده یا ذخیره شدن ویا نابودشدن نیز به صورت غیرمجاز تغییر داده شود. سیستم‌های امنیت اطلاعات به‌طور معمول علاوه بر محرمانه بودن اطلاعات، یکپارچگی آن را نیز تضمین می‌کنند.

قابل دسترس بودن:

اطلاعات باید زمانی که مورد نیاز توسط افراد مجاز هستند در دسترس باشند. این بدان معنی است که باید از درست کار کردن و جلوگیری از اختلال در سیستم‌های ذخیره و پردازش اطلاعات و کانال‌های ارتباطی مورد استفاده برای دسترسی به اطلاعات اطمینان حاصل کرد. سیستم‌های با دسترسی بالا در همه حال حتی به علت قطع برق، خرابی سخت‌افزار، و ارتقاء سیستم در دسترس باقی می‌ماند. یکی از راه‌های از دسترس خارج کردن اطلاعات و سیستم اطلاعاتی درخواست‌های زیاد از طریق خدمات از سیستم اطلاعاتی است که در این حالت چون سیستم توانایی و ظرفیت چنین حجم انبوه خدمات دهی را ندارد از سرویس دادن بطور کامل یا جزیی عاجز می‌ماند. همانطور كه استاد هم در جلسه اول حضوري به آن اشاره كردن به عنوان مثال ارسال همزمان تعداد زيادي ايميل براي يك شخص و يا تعداد مراجعه زياد به سايت هاي استخدامي و ... را مي توان نام برد.

قابلیت بررسی (کنترل دسترسی):

افراد مجاز در هر مکان و زمان که لازم باشد بتوانند به منابع دسترسی داشته باشند.

قابلیت عدم انکار انجام عمل:

در انتقال اطلاعات یا انجام عملی روی اطلاعات، گیرنده یا فرستنده یا عمل‌کننده روی اطلاعات نباید قادر به انکار عمل خود باشد. مثلاً فرستنده یا گیرنده نتواند ارسال یا دریافت پیامی را انکار کند.

اصل بودن:

در بسیاری از موارد باید از اصل بودن و درست بودن اطلاعات ارسالی و نیز فرستنده و گیرنده اطلاعات اطمینان حاصل کرد. در بعضی موارد ممکن است اطلاعات رمز شده باشد و دستکاری هم نشده باشد و به خوبی به دست گیرنده برسد ولی ممکن است اطلاعات غلط باشد یا از گیرنده اصلی نباشد. در این حالت اگر چه محرمانگی، یکپارچگی و در دسترس بودن رعایت شده ولی اصل بودن اطلاعات مهم است.

عرض ادب و احترام

عناصر اصلی امنیت اطلاعات که متشکل از 8 مورد فوق می باشد:

1- دارایی 2- تهدید 3- آسیب پذیری های امنیتی 4- پیامد 5- مخاطرات 6- حفاظ های امنیتی 7- مخاطرات جنبی 8- محدودیت

هر سازمانی دارای مجموعه ای از دارایی های با ارزشی می باشند که این دارایی ها به واسطه ضعف هایی که در طراحی یا در کاربری آنها وجود دارد در بر گیرنده برخی آسیب پذیری ها یا نقص های امنیت هستندکه وجود این آسیب پذیری ها امکان سوء استفاده از این دارایی ها را توسط تهدیدات یا عوامل تهدید کننده ایجاد می کند. عموما برای مقابله با این تهدیدات از حفاظ ها یا سازو کارهای امنیتی استفاده می کنند یعنی با پیاده سازی مجموعه ای از محافظ ها یا سپرهای امنیتی در سطح آن دارایی امکان مقابله با آن تهدید را فراهم می کند. وجود آسیب پذیری حول دارایی ها و امکان سوء استفاده از آنها توسط تهدیدات و همچنین کمیت و کیفیت و کارآمدی آن می باشد که حفاظ امنیتی استفاده شده حول آن دارایی بیانگر احتمال مربوط به وقوع حملات امنیتی است که این احتمال را مخاطره می نامند. محدودیت ها، عواملی هستند که چگونگی انتخاب حفاظ ها و کيفيت اجرای برنامه های امنيتی را صورت بندی می کنند. 

با عرض سلام خدمت دستیارمحترم و همکلاسیهای عزیز

با عنایت به فرمایشات استاد دردرس و اشاره دوستان مولفه های امنیت 3مورد محرمانگی - دسترس پذیری  و صحت اطلاعات میباشد که باتوجه به توضیحات ارائه شده توسط دوستان توضیح دادن اینجانب تکرار مکررات محسوب میشود.لکن نکته مهمی که باید به آن اشاره کنم اینست که امنیت سایبری یکی از مهمترین نگرانی ها برای همه کشورها در سراسر جهان است.همانطور که تکنولوژی در حال رشد است وهمه روزه برنامه های جدیدی به بازار می آیند این برنامه ها توسط هکرها در معرض نفوذ هستند و اطلاعات مهم و محرمانه از سرورها سرقت شده و به سایر رقبا یا ذینفعان فروخته میشود.گزارشات جهانی امنیتی نشان می دهد که مجموع هزینه های نرم افزاری برای امنیت سایبری به میلیاردها دلار افزایش یافته و در کماکان حال افزایش است.

.

با سلام 

دلایل افزایش امنیت اطلاعات در سال های اخیر وابستگی سازمان ها به سیستم های اطلاعاتی بوده و لزوم حفظ و نگهداری از این سیستم های اطلاعاتی بیش از پیش حس میشود لذا اطلاعات یک سازمان قلب تپنده آن سازمان میباشد.. 

اینجا بود که در ساختار استاندارد سازی امنیت اطلاعات ISMS مثلث معروف CIA مطرح گردید و تعریفی برای امنیت اطلاعات ارائه گردید : 

به کلیه رویه ها امنیتی مدیریتی، روال های فنی مدیریتی ، همچنین رویه های فیزیکی امنیتی که برای حفاظت از دارایی ها ، اطلاعات یک سازمان انجام میشود امنیت اطلاعت میگویند. 

امنیت طلاعات یک فرآیند مستمر on going میباشد. 

پیرامون مثلث معروف CIA ما میتوانیم با روش های زیر درخواست هر اضلاع را برآورده کنیم 

Confidentiality-----> Using encryption 

یعنی ما برای اینکه این ضلع که محرمانگی است از رمز نگاری استفاده میکنیم 

جلوگیری از افشای غیر مجاز اطلاعات 

Integrity ----> Using hashing 

یعنی ما برای اینکه این ضلع که صحت است از عملیات hashing استفاده میکنیم 

تشخیص تغییرات غیر مجاز بر روی اطلاعات 

Availability----> Using Fault tolerance

یعنی ما برای اینکه این ضلع که دسترس پذیری است از اختصاص چند منبع برای یک سرویس (البته خیلی فارسی بود) استفاده میکنیم. 

پیرامون ارتباط آنها میتوان به این اشاره کرد با توجه به تعریف زمانی میگوییم ما در امنیت قرار داریم که هر سه ضلع را پوشش داده بااشیم البته گاهی با توجه به ارزش دارایی و اطلاعات ناخواسته گرایش بیشتری به یکی از این اضلاع پیدا میکنیم . یک جمله کلیدی : امنیت هدف نیست  بلکه ابزار است  

لذا ما برای تحقق این مولفه های امنیتی نیاز مند به کار گیری درست ابزار  های مخصوص هر کدام می باشیم. 

با تشکر - 

با توجه به اسلاید های درس امنیت مولفه ها و عناصر مرجع امنیت از 8 مورد تشکیل شده :

دارایی ها:

هر چیزی که برای سازمان ها دارای ارزش و اهمیت هستند . این دارایی ها انواع مختلفی دارند مثل اطلاعات ، خدمات ، سرویس ها ، منابع انسانی ، مستندات ، دانش ها ، تجهیزات فیزیکی

تهدیدها:

دارایی ها همواره در معرض تهدیدات هستند . عاملی که میتونه موجب بروز یه حادثه بشه رو تهدید میگن . وقوع یه تهدید زمانی رخ می ده که ما آسیب پذیری خاصی رو حول یه دارایی داشته باشیم . وقوع تهدید پیامدهای زیادی داره مثل انهدام دارایی ، نابودی دارایی ، افشاء دارایی ، انحراف و انسداد و وقفه در سرویس

سازمان باید دایماً تهدیدات رو رصد کنه که حداقل های لازم رو برای مواجهه با تهدیدات فراهم کنه .

تهدات به دو دسته فنی و غیر فنی تقسیم میشن .

آسیب پذیری ها:

از آسیب پذیری با عنوان رخنه هم یاد میشه . به وضعیتی که در اون مکانیزم های حفاظتی دچار ضعفی بشه که احتمال آسیب پذیری دارایی ها رو بالا ببره ، آسیب پذیری زائیده نقصه .

ضربه و یا پیامدها:

بعد از حمله پیامدهای اون به وجود میاد . این پیامد میتونه انسداد سرویس دهی باشه یا سرقت منابع و افشاء اطلاعات ، مخدوش شدن اطلاعات و ... باشه .

مخاطره یا ریسک ها:

ترکیب احتمال یه رویداد امنیتی + پیامدهای حاصل از اونه

حفاظ یا سپر امنیتی:

ساز و کارهایی که مخاطره رو کاهش میده بهش حفاظ امنیتی میگن . این سپر مانع بروز رخدادهای امنیتی ، آسیب پذیری و تهدید میشه و فرآیند بازیابی رو تسهیل میکنه .

مخاطره جنبی:

مخاطراتی هستند که امکان حذف اونها وجود نداره و برای سازمان پذیرفته شده هستند . مخاطراتی که بعد از پیاده سازی کنترل ها و حفاظ ها هنوز هم وجود داره .

محدودیت ها:

دلایل اصلی شکاف بین امنیت مطلوب و امنیتی که در حال حاضر سیستم داره رو باید در این قسمت یعنی در محدودیت ها دنبالش بگردیم . 

با سلام. من سعي دارم تو اين پست از جنبه ديگه اي به بحث امنيت و مولفه هاي امنيت اشاره كنم.

امنيت به وضعيتي از سطح آمادگي براي مقابله با تهديدات گفته ميشه و از مهمترين نيازمندي‌هاي جوامع امروزي وجود امنيت مي‌باشد.از يك ديدگاه امنيت به وجود نداشتن تهديدات اشاره مي‌كند. از ديدگاه ديگر امنيت به وجود آرامش و آسايش اشاره مي‌كند. اين دو ديدگاه گذشته از معناي مشابه، داراي تفاوت‌هايي مي‌باشند كه در بطن جملات، قابل درك مي‌باشد. از طرف ديگر درك معناي امنيت در نگاه اول ساده و همه‌فهم مي‌باشد؛ ولي وقتي به دقت در عمق معناي آن تفكر كنيم، به تعاريف فراواني رسيده و در نهايت نيز به انتهاي بحث نمي‌رسيم! براي شناخت بيشتر معني امنيت، همانگونه كه در جزوه درس امنيت دكتر عرب سرخي اتفاق افتاده است، سعي در شكستن اين مفهوم به اجزاء مختلف تشكيل دهنده آن مي‌كنند؛ بعنوان مثال در جزوه اين درس مولفه ها و  اجزاء امنيت متشكل از دارايي ها، سرمايه ها و... مي‌باشد. بصورت خلاصه در ادامه از نظر خودم اجزاء امنيت (يا بهتر است بگوييم شيوه‌هاي ديگري از دسته‌بندي امنيت) را بيان مي‌كنم؛

در يكي از دسته بندي هاي مهم امنيت مي توان به سطح بندي امنيت اشاره كرد؛ اين سطوح عبارتند از امنيت جهاني ، امنيت ملي و امنيت منطقه اي؛ همانگونه كه از اسم اجزاء اين دسته بندي مشخص است در اين نوع دسته‌بندي امنيت ابعاد جغرافيايي كاملا دخالت مستقيم دارد.

همچنين يك نوع ديگر از دسته بندي به امنيت فردي، اجتماعي و عمومي اشاره دارد؛ امنيت فردي به ورود به حريم خصوصي افراد اطلاق مي‌شود. امنيت اجتماعي به امنيتي كه جامعه‌اي را زير پوشش خود دارد گفته مي‌شود كه جوامع من جمله جوامع فيزيكي يا مجازي مي‌باشند، و امنيت اجتماعي نيز به امنيت عموم مردم در اجتماع تشكيل دهنده آنان اشاره دارد.

دسته بندي ديگر امنيت به امنيت اجتماعي، امنيت اقتصادي، امنيت تكنولوژيك،‌امنيت نظامي و امنيت سياسي اشاره مي‌كند. در اين دسته بندي نيز با توجه به ماهيت هر قسمت، به قرارگيري مؤلفه امنيتي در يك دسته خاص اشاره مي‌كنند. بعنوان مثال در بحث عدم وجود تهديد در بازار اقتصادي و كنترل قيمت، امنيت اقتصادي دخيل است كه بايد سطحي از عدم وجود يا امكان مقابله با تهديدات و حملات را در نظر گرفت.

با عرض سلام و احترام خدمت همگي دوستان ارجمند

در اين پست ميخوام در مورد يكي از مهمترين مولفه هاي امنيت يعني تهديدها ( Threat ) اشاره اي داشته باشم . همانطور كه استاد گرامي در متن درس فرمودند دارايي ها همواره در معرض انواع تهديدها قراردارند

اما تنها در اثر وجود آسيب پذيري پيرامون دارايي ها محقق و موجب بروز خسارت خواهند شد , بنابراين تهديدها عاملي هستند كه ميتوانند موجب بروز يك حادثه امنيتي شوند

معمولا يك سازمان يا كنترل كمي نسبت به يك تهديد داشته يا اصلا كنترلي ندارد كه علت اين امر ريشه در خارجي بودن منبع تهديد دارد به عنوان مثال تهديد يك هكر اينترنتي و يا تهديد حوادث طبيعي

تهديدات را ميتوان بر اساس منبع به سه دسته زير تقسيم بندي نمود

تهديد هاي طبيعي , تهديد هاي انساني , تهديدهاي محيطي

هر يك از تهديدات نيز مصاديق خود را دارا ميباشند , اما موضوع بسيار مهم در بحث تهديدات اين ميباشد كه با اين طيف وسيع تهديدات در حال حاضر و گستردگي روز افزون آنها به دليل پيشرفت هاي فن آوري و دسترس پذيري دارايي ها , راه هاي مقابله و پيشگيري براي سازمان ها بسيار زمان بر و هزينه بر خواهد بود و سازمانها هر روز در اين حوزه نسبت به روز قبل نيازهاي بيشتري خواهند داشت كه در نهايت اين امر به لحاظ وقت و هزينه سازمان را به چالش خواهد كشيد و در آينده تامين امنيت و جلوگيري از تهديدات خود يكي از تهديدات سازمان ها به شمار خواهد آمد

با سلام مجدد

البته همانطور كه دوستان اشاره كردند و در متن درس توسط استاد بيان شد سه اصل صحت و محرمانگي و دسترس پذيري مولفه هاي اصلي امنيت ميباشند

1.صحت

به درستی و یکپارچگی و تمامیت داراییاطلاعات اشاره دارد-صحت در حوزه امنیت اطلاعات به صحت موجودیت های رایانه ای دلالت دارد . صحت بیشتر در مورد داده ها به کار میرود نه اطلاعات

2.محرمانگی

محرمانگی در حوزه امنیت اطلاعات بر محرمانگی موجودیت های رایانه ای دلالت دارد - در نگاه کلی محرمانگی به پنهان کردن و یا پنهان نگه داشتن یک دارایی اشاره دارد - محرمانگی بیشتر در مورد اطلاعات به کار گرفته می شود

3.دسترس پذیری

دایر بودن و قابل استفاده بودن و سرویس دهی مناسب - در دسترس بودن و قابل استفاده بودن منابع اطلاعاتی و سرویس ها

ابعاد دسترس پذیری :

1-دسترس پذیری سرویس دهنده : سرویس دهنده مناسب و مورد انتظار -امکان دسترسی مورد انتظار کاربر به منبع اطلاعاتی

2-دسترس پذیری رسانه ارتباطی : رسانه ارتباطی به شکلی مناسب امکان دسترسی کاربر به منبع اطلاعاتی را فرآهم آورد

3-دسترس پذیری کاربر : امکان دسترسی مورد انتظار کاربر به منبع اطلاعاتی

که هر مولفه در 3 سطح زیر بررسی می شود :

1.داده

2.اطلاعات

3.منابع اطلاعات

حفاظ های امنیتی به منظور جلوگیری از تهدید ها و آسیب پذیری ها صورت می پذیرد .

حوزه هایی که حفاظ های امنیتی در آن به کار گرفته می شوند .

1.محیط فیزیکی

2.پرسنل و منابع انسانی

3.محیط فنی

4.مدیریتی و اجرایی

حفاظ های امنیتی از سه دیدگاه دسته بندی می شوند :

کاربردگرایی : فنی-فیزیکی

ماهیت گرایی : فیزیکی-پرسنل-رویه ای

کارکرد گرایی : پیشگیرانه-تشخصی- اصلاحی

از دید کلی حفاظ های امنیتی به 3 دسته تقسیم میشوند :

1-حفاظهای مدیریتی : بر مستند سازی تجارب برای اعمال و تقویت سیاست های امنیتی تاکید دارد

2-حفاظ های فیزیکی : حفاظت از ساختمان ها و تجهیزات در مقابل حوادث و بلاهای طبیعی را مد نظر دارد

3-حفاظ های تکنیکی : بر کنترل و محدود نمودن دسترسی های غیر مجاز به داده های در حال مبادله در سطح شبکه تاکید دارد .

مصادیق حفاظ های امنیتی :

امضا دیجیتال-آنتی ویروس-رمزنگاری داده ها و اطلاعات- دیواره آتش- تهیه نسخه پشتیبانی-حفاظت های فیزیکی-سامانه دوربین های مدار بیته - محدود کردئن دسترسی ها - سامانه های کنترل محیطی

استفاده از حفاظ های امنیتی عموما مخاطره را کاهش می دهد، تامین سطح بالای امنیت هزینه بالای در بر خواهد داشت،سازمان ها با توجه به منابع و بودجه همواره با مخاطره هایی روبه رو خواهد بود .

سلام خدمت جناب زند و دوستان محترم.

مولفه هاي امنيت ميتواند از ديدگاهي همان ابزار ها و درگاههاي امنيتي باشند كه يك مجموعه يا به طور جزئي تر كاربر براي حفظ امنيت اطلاعات خود از آنها استفاده ميكندو از اين طريق اطلاعات خود را كه داراي اهميت بسياري هست از سرقت و يا آسيب و هرگونه نفوذ و تخريب حفظ ميكند. اطلاعات براي كاربران و مجموعه ها از اهميت ويژه اي برخوردار هست و هر مجموعه براي بدست آوردن امنيت از مولفه هاي مختلفي به صورت موازي و يا سري استفاده ميكند. به عنوان مثال از كنترل افراد به وسيله تعيين سطح دسترسي به اطلاعات طبقه بندي شده و كنترل ورود و خروج آنها توسط لاگهاي سيستم هاي مانيتورينگ و همچنين استفاده از سخت افزار ها و نرم افزار هاي امنيتي جهت جلوگيري از نفوذهاي احتمالي كه اين مولفه ها اگر درست و منطقي چيدمان شده باشند جلوي نفوذهاي داخلي و خارجي را به شدت ميگيرند.

به عنوان مثال، به صورت پيش فرض پورت هاي ريموت دسكتاپ تمامي سيستم عامل ها به عددي مشخق و به صورت ديفالت باز هست و اگر كاربر به آن توجه نكند، حتي با وجود آنتي ويروس و نرم افزارهاي امنيتي مانند نرم افزار هاي فايروال احمال نفوذ ويروس هاي مخرب از جمله باج افزار بسيار بالا است و اين نوع باج افزار ها فقط روي پورتهاي ويندوز زوم شده اند و تخصصي براي آنها توليد شده اند.

با تشكر از توجه شما.

با سلام

دوستان به مولفه های اصلی امنیت اشاره کرده اند همچنین عناصر اصلی امنیت اطلاعات در مباحث درسی و کامنتها اشاره شده است ولی نکته ای که ذهنم رسید آن است که آیا همه مولفه های اصلی با همه عناصر امنیتی الزاما در ارتباط هستند؟

طبق تعاریف آکادمیک مولفه های امنیتی شامل سه موضوع اصلی 

صحت عملکرد و اطلاعات    

در دسترس بودن سرویس ها و سیستم

و حفظ محرمانگی در مقابل دسترسی های غیر مجاز طبقه بندی میشود.

هر کدام از این مولفه ها در مورد تعدادی از عناصر امنیت اطلاعات در هر سازمانی موضوعیت پیدا می کند.

بدین معنی که به عنوان مثال در مورد دارایی های اطلاعاتی حفظ صحت و محرمانگی مولفه محوری است ولی در دسترس بودن به عنوان مولفه دیگری است که در قبال تهدیدات و آسیب پذیری های احتمالی موضوعیت  می یابد.

در نتیجه همه مولفه های اصلی امنیت در مورد تمامی عناصر امنیتی قابل توجیه نبوده و هرکدام از مولفه ها با بخشی از عناصر امنیت اطلاعات سازمان در ارتباط هستند.

با تشکر از حسن توجه شما

همان طور كه مستحضر هستيد در ادامه مباحث جلسه دوم در خصوص مباني  و عناصر امنيت اطلاعات  در تمامي موارد فوق همچون سازمان هاريال ديتا سنتر ها، وب سايت ها ، زير ساخت ها و همچنين اپليكيشن هاي كاربردي بايد در زمينه اول بحث امنيت آن مرود بررسي و تحقيق و تفحص قرار گيرد در ادامه مباحث تخصصي قبلي اين بار بايد به مواردي داخلي تر اشاره نمود. 

در ابتدا به ساكن بايد پيامد هاي امنيتي ، مخاطرات ، حفاظهاي امنيتي و محدوديت هاي مورد نياز در سيستم مورد نظر بررسي و طرح ريزي شود . شايان ذكر است كه هر كدام از اين موارد خود شامل زير شاخ هاي كليدي هستند كه به شرح زير مي توان بيان نمود : 

پيامد يا  impact  ، اصولي ترين و مهمترين مولفه در توليد محتواي امنيتي محسوب مي گردد كه براساس چارچوب افشاء اطلاعات ، دسترسي بيشتر ، سرقت منابع، مخدوش شدن اطلاعات  و انسداد سرويس دهي اشاره مي كند . ضربه زدن و آسيب پذيري يك مجموعه و يا سازمان مي تواند با ناديده گرفتن همين معقوله صورت پذيرد. 

و اما مخاطره نيز كه خود فصل مشتركي ميان تهدي و آسيب پذيري مي باشد به ميزان آسيب پذيري هاي منابع و دارايي هاي يك سازمان و ارزش دهي منابع اطلاعاتي براساس يك سري تحليل و بررسي منجر مي گردد. البته بايداشاره نمود كه معيارهاي بررسي مخاطرات ما را در جهت رفع و بهبود اين ماجرا مي تواند كمك كند. 

ليكن مسئله اي  كه بايد دغدغه اساسي همه سازمان ها ، نهاد ها و مجموعه هاي مورد سوال اين مبحث مي باشد بحث حفاظ يا Safe Guard مي باشد كه فعاليت ها و وريه هاي ساز و كار نوعا براي كنترل امنيت  و تامني كننده امنيتي دارايي هاي يك مجموعه مي باشد. و براساس تقسيم بندي پنج گانه اي كه در جلسه سوم همين درس اشاره شده است توليد محتوا امكان پذير مي شود.

البته بايد به اين مهم نيز اشاره نمود كه كاركرد حفاظ امنيتي بايد براساس كاركرد گرايي ، ماهيت گرايي و كاربرد گرايي توصيف شود و در نگاه كلي  تجارب و تكنيك هاي اصولي و  مجاز در سطح شبكه امنيتي انجام پذيرد. 

عمدتا در سيستم هاي امروزي مولفه هاي اساسي حفاظ هاي امنيتي همچون آنتي ويروس ها ، سازو كارهاي كنترل دستي ، سامانه هاي كنترل محيطي ، نظارت و تحليل شبكه و كنترل كاربري و پر اهميت ترين آنها ساز و كار رمزنگاري ، حفظ محرمانگي كه در سوال اول مباحث تخصصي هم بدان اشاره شده است مورد بررسي قرار مي گيرد. 

البته نبايد فراموش كرد كه مخاطره خود نيز داراي جنبه هاي ايستا و پويا مي باشد كه بايد مديريت يك سازمان اين مخاطرات را هم قبول نماييد.  كه در برخي موارد موجب بروز محدويت هايي هم مي گردد. 

محدوديت هاي ايجاد شده را مي توان به سه دسته اساسي كه در درس اشاره شده است و در اسلايد 19 جلسه سوم به خوبي نشان داه شده است بيان نمود. 

جمع بندي: 

ابزار ها و منابع ساختاري و ساز و كارهاي مورد نظر در ايجاد فضاي امن در هر مجموعه چه سازماني و چه سيستمي نيازمند داشتن منابع مالي بسيار و كارشناسان متخصصي حوزه امنيت مي باشد تا در عصر امروز يك سيستم توانا و عاري از نفوذ و آلوده داشته باشيم . و صد البته براساس تحقيقات به عمل آمده هزينه هاي بسيار بالا در حوزه امنيت مي تواند بقا و سلامت را تضمين نمايد .

همان طور كه مستحضر هستيد در ادامه مباحث جلسه دوم در خصوص مباني  و عناصر امنيت اطلاعات  در تمامي موارد فوق همچون سازمان هاريال ديتا سنتر ها، وب سايت ها ، زير ساخت ها و همچنين اپليكيشن هاي كاربردي بايد در زمينه اول بحث امنيت آن مرود بررسي و تحقيق و تفحص قرار گيرد در ادامه مباحث تخصصي قبلي اين بار بايد به مواردي داخلي تر اشاره نمود. 

در ابتدا به ساكن بايد پيامد هاي امنيتي ، مخاطرات ، حفاظهاي امنيتي و محدوديت هاي مورد نياز در سيستم مورد نظر بررسي و طرح ريزي شود . شايان ذكر است كه هر كدام از اين موارد خود شامل زير شاخ هاي كليدي هستند كه به شرح زير مي توان بيان نمود : 

پيامد يا  impact  ، اصولي ترين و مهمترين مولفه در توليد محتواي امنيتي محسوب مي گردد كه براساس چارچوب افشاء اطلاعات ، دسترسي بيشتر ، سرقت منابع، مخدوش شدن اطلاعات  و انسداد سرويس دهي اشاره مي كند . ضربه زدن و آسيب پذيري يك مجموعه و يا سازمان مي تواند با ناديده گرفتن همين معقوله صورت پذيرد. 

و اما مخاطره نيز كه خود فصل مشتركي ميان تهدي و آسيب پذيري مي باشد به ميزان آسيب پذيري هاي منابع و دارايي هاي يك سازمان و ارزش دهي منابع اطلاعاتي براساس يك سري تحليل و بررسي منجر مي گردد. البته بايداشاره نمود كه معيارهاي بررسي مخاطرات ما را در جهت رفع و بهبود اين ماجرا مي تواند كمك كند. 

ليكن مسئله اي  كه بايد دغدغه اساسي همه سازمان ها ، نهاد ها و مجموعه هاي مورد سوال اين مبحث مي باشد بحث حفاظ يا Safe Guard مي باشد كه فعاليت ها و وريه هاي ساز و كار نوعا براي كنترل امنيت  و تامني كننده امنيتي دارايي هاي يك مجموعه مي باشد. و براساس تقسيم بندي پنج گانه اي كه در جلسه سوم همين درس اشاره شده است توليد محتوا امكان پذير مي شود.

البته بايد به اين مهم نيز اشاره نمود كه كاركرد حفاظ امنيتي بايد براساس كاركرد گرايي ، ماهيت گرايي و كاربرد گرايي توصيف شود و در نگاه كلي  تجارب و تكنيك هاي اصولي و  مجاز در سطح شبكه امنيتي انجام پذيرد. 

عمدتا در سيستم هاي امروزي مولفه هاي اساسي حفاظ هاي امنيتي همچون آنتي ويروس ها ، سازو كارهاي كنترل دستي ، سامانه هاي كنترل محيطي ، نظارت و تحليل شبكه و كنترل كاربري و پر اهميت ترين آنها ساز و كار رمزنگاري ، حفظ محرمانگي كه در سوال اول مباحث تخصصي هم بدان اشاره شده است مورد بررسي قرار مي گيرد. 

البته نبايد فراموش كرد كه مخاطره خود نيز داراي جنبه هاي ايستا و پويا مي باشد كه بايد مديريت يك سازمان اين مخاطرات را هم قبول نماييد.  كه در برخي موارد موجب بروز محدويت هايي هم مي گردد. 

محدوديت هاي ايجاد شده را مي توان به سه دسته اساسي كه در درس اشاره شده است و در اسلايد 19 جلسه سوم به خوبي نشان داه شده است بيان نمود. 

جمع بندي: 

ابزار ها و منابع ساختاري و ساز و كارهاي مورد نظر در ايجاد فضاي امن در هر مجموعه چه سازماني و چه سيستمي نيازمند داشتن منابع مالي بسيار و كارشناسان متخصصي حوزه امنيت مي باشد تا در عصر امروز يك سيستم توانا و عاري از نفوذ و آلوده داشته باشيم . و صد البته براساس تحقيقات به عمل آمده هزينه هاي بسيار بالا در حوزه امنيت مي تواند بقا و سلامت را تضمين نمايد .

با سلام خدمت همگی

من برای دیتا سنتر سعی میکنم در مورد آیتم های هرقسمت تیتروار یه اشاره کلی بکنم . البته همونطور که توی اسلاید های درسم بود خیلی موارد دیگه ای هم میتونه باشه .

منبع :دستورالعمل های ISMS ISO 27001 / انجمن ديتاسنتر ايران / اطلاعات شخصی و تجربه کاری

عالی

کوتاه و مختصر و واقعا مفید و طبقه بندی شده

عمدي در كار نبود ظاهرا سايت مشكل داشته چون من فقط يك بار وارد كردم 

با هم از همه دوستان عذرخواهي مي كنم 

عرض و ادب و احترام خدمت همه دوستان

در تکیل مطلب خودم در مورد شناسایی و دسته بندی درایی ها، تهدیدها و آسیب پذیریهای امنیتی رایج دیتاسنتر ،در این پست به آسیب پذیری ها اشاره میکنم .

منبع:دستورالعمل هایISMS ISO 27001 / انجمن ديتاسنتر ايران / اطلاعات شخصی و تجربه کاری

درود برشما
شناسایی و دسته بندی دارایی ها، تهدیدها، آسیب پذیریهای امنیتی رایج در زیرساخت، پلت فرم و نرم افزار های رایانش ابری سازمان های دولتی و غیر دولتی عبارتند از:

بر اساس گزارش منتشر شده ازCloud Security Alliance  

۱۲ تا از بزرگترین تهدیدها :
۱. Data breaches
نقض اطلاعات
۲. Weak identity, credential and access management
هویت ضعیف، اعتبار و مدیریت دسترسی
۳. Insecure interfaces and APIs
رابط های ناامن و API ها
۴. System and application vulnerability
آسیب پذیری سیستم و برنامه
۵. Account hijacking
ربودن حساب
۶. Malicious insiders
خودی های مضر
۷. Advanced persistent threats
تهدید دائمی پیشرفته
۸. Data loss
از دست رفتن داده ها
۹. Insufficient due diligence
۱۰. Abuse and nefarious use of cloud services
سوء استفاده و استفاده نادرست از خدمات ابری
۱۱. Denial of service
خود داری از خدمات
۱۲. Shared technology issues
مسائل مربوط به تکنولوژی مشترک
بن مایه:
https://www.ibm.com/blogs/cloud-computing/2016/04/01/12-biggest-cloud-computing-security-threats/

آسیب پذیری ها در رایانش ابری طبق آخرین تحقیقات در زمینه مهندسی نرم افزار و امنیت سایبری:
۱ .Consumers Have Reduced Visibility and Control
مصرف کنندگان بر کاهش دید و کنترل دارند
۲. On-Demand Self Service Simplifies Unauthorized Use
استفاده غیر مجاز تقاضای خدمات ساده
۳. Internet-Accessible Management APIs can be Compromised
مدیریت دسترسی به اینترنتAPI را می توان
در معرض خطر قرار داد
۴. Separation Among Multiple Tenants Fails. 
جدایی در میان MTF ها
۵. Data Deletion is Incomplete
حذف داده ها ناقص است
۶. Credentials are Stolen
مجوزها به سرقت رفته
۷. Vendor Lock-In Complicates Moving to Other CSPs
فروشنده قفل در پیچیده و انتقال به CSPهای دیگر
۸. Increased Complexity Strains IT Staff. 
افزایش سختی پیچیده IT Staff
۹. Insiders Abuse Authorized Access.
سوءاستفاده از دسترسی مجاز خودی ها
۱۰. Stored Data is Lost
داده های ذخیره شده از دست رفته است
بن مایه:
https://insights.sei.cmu.edu/sei_blog/2018/03/12-risks-threats-vulnerabilities-in-moving-to-the-cloud.html

دارایی ها طبق مقاله تجزیه و تحلیل سیستم های مختلف در رایانش ابری:
۱. Hypervisor
بیشتر سیستم های مجازی سازی از یک لایه ی نرم افزاری به نام Hypervisor استفاده می نمایند. این Hypervisor بین ماشین های مجازی و سخت افزار قرار دارد و وظیفه ی کنترل سخت افزار را به عهده داشته و به سیستم عامل های مهمان ( همان سیستم عامل های درست شده روی سیستم عامل اصلی) اجازه ی اجرا شدن بر روی سیستم فیزیکی مشترک را داده و به آن ها سخت افزار های مجازی اطلاق می دهد
۲. Network
شبکه یکی از اجزای مهم محاسبات ابری است که شامل DNS، DHCP و سازمان زیر شبکه از دستگاه فیزیکی است. پل مجازی، که همچنین بخشی از شبکه است، آدرس منحصر به فرد MAC مجازی را برای هر ماشین مجازی (VM) فراهم می کند.
۳. Framework
چارچوب ابر خود جزء مهم سیستم ابر است
۴. Disk Image
سخت افزار مجازی ضروری اساسی برای عملکرد یک ماشین مجازی است.
۵. Front-End
برای درخواست کاربر باید یک رابط داشته باشد که از طریق آن کاربر می تواند با دستگاه مجازی (VM) ارتباط برقرار کند، پارامتر را برای ورود به VM های ایجاد شده تعیین می کند.
بن مایه:
مقاله
Cloud Computing: Analysis of Various Platforms
Nawsher Khan*, A. Noraziah, Elrasheed I. Ismail Faculty of Computer Systems and Software EngineeringUniversiti Malaysia Pahang,Lebuhraya Tun Razak, 26300 Gambang, Kuantan, Pahang Darul Makmur, Malaysia

با سلام و احترام

در خصوص دارایی های وب اپلیکشن ها تحت وب در ابتدا می توان گفت که همه موارد مورد نیاز برای موفقیت پروژه و نرم افزار جز دارایی ها به حساب می آیند.که می توان به اطلاعات و داده های برنامه که مهترین دارایی یک برنامه کاربردی میباشد اشاره کرد.

از دیگر دارایی هایی که می توان به آن اشاره کرد :

• سرور دیتابیس ها
  
•  سرور برنامه کاربردی
• سورس کد های برنامه
• فایل های اطلاعاتی
• فایل های فیزیکی دیتابیس
• منابع ذخیره سازی
  
• لیسانس نرم افزارهای تحت وب
  
• نیروی انسانی
  
• دانش نیروی انسانی در ایجاد پروژه

از جمله تهدیدهایی که ممکن است برای برنامه های کاربردی بوجود بیاید با توجه به محتویات درس و همچنین جستجو در مقالات و سایت های خارجی می توان به موارد زیر اشاره کرد که باعث ایجاد تهدید می شود : افشاء اطلاعات ، دسترسی های غیرمجاز ، مخدوش شدن اطلاعات و سرقت منابع جز موارد عمومی در خصوص تهدیدها می باشد که در واقع این موارد به وسیله تهدید های رایج در حوزه نرم افزار از جمله خطرناک ترین آنها می توان به Sql Injection ها ، OS Commanding ، XML External Entities ، Path Traversal اشاره کرد.

شکل زیر شمای کلی انواع حملات و همچنین میزان آسیب پذیری آنها رو نمایش می دهد.

در خصوص آسیب پذیری های برنامه های تحت وب من سعی کردم شرکت معتبر مایکروسافت رو در این زمینه مورد بررسی قرار دهم که در این خصوص از سایت  https://www.cvedetails.com استفاده کردم که در ادامه به مواردی اشاره میکنم.

براساس اطلاعات این سایت در خصوص شرکت مایکروسافت برای وب اپلیکشن ها نشان می دهد از سال2014 تا 2018 تهدیدهایی از جمله 2 مورد DOS ، 8 مورد Code Execution ، 2 مورد Overflow ، 2 مورد Memory Corruption ، 1 مورد Gain Information، وجود داشته است که البته باید اشاره کرد که در سال 2018 تنها یک مورد Gain Information یا دستیابی به اطلاعات وجود داشته است.شکل زیر در واقع به صورت گرافیکی تعداد حملات و همچینین نوع حملات هم نشان می دهد

زیرساخت، پلت فرم و نرم افزار های رایانش ابری

ابرها یک پلتفرم محاسباتی قدرتمند را فراهم می کنند که افراد و سازمان ها را قادر به انجام سطوح مختلف کارهایی مانند: استفاده از فضای ذخیره سازی آنلاین، پذیرش برنامه های کاربردی تجاری، توسعه نرم افزارهای کامپیوتری سفارشی و ایجاد یک محیط شبکه واقعی می کند. در سال های گذشته، تعداد افرادی که از خدمات ابری استفاده می کردند، به طرز چشمگیری افزایش یافته و اطلاعات زیادی در محیط محاسبات ابری ذخیره شده است. در ضمن، نقض داده ها به سرویس های ابر نیز هر سال افزایش می یابد به دلیل هکرهایی که همیشه سعی در بهره برداری از آسیب پذیری های امنیتی معماری ابر دارند. خطرات و تهدیدهای امنیتی ابر براساس ماهیت مدل سرویس ابر بود. حملات ابر حقیقی جهان برای نشان دادن تکنیک هایی که هکرها در برابر سیستم های محاسبات ابری استفاده می کردند، گنجانده شده است.

 طبقه بندي از تهدیدات امنیتی رايانش ابری

سه مدل خدمات ابری (SaaS، PaaS و IaaS) نه تنها انواع خدماتی را برای کاربران نهایی ارائه می دهند، بلکه همچنین مسائل مربوط به امنیت اطلاعات و خطرات سیستم های محاسبات ابری را افشا می کنند. اولا، هکرها ممکن است از طریق انجام فعالیت های غیرقانونی توانایی محاسباتی اجباری توسط ابرها را مورد سوء استفاده قرار دهند. IaaS در لایه پایین قرار دارد که به طور مستقیم قابلیت های کلیدی ابر کل را فراهم می کند. این امکان را برای کاربران فراهم می کند تا محیطی واقعی را که شامل ماشین های مجازی در حال اجرا با سیستم عامل های مختلف است سفارشی کند. هکرها می توانند ماشین های مجازی را اجاره کنند، تنظیمات خود را تجزیه و تحلیل کنند، آسیب پذیری های خود را پیدا کنند، و ماشین های مجازی مشتریان دیگر را در همان ابر حمله کنند. IaaS همچنین هکرها را قادر می سازد تا حملات را انجام دهند، برای مثال خشونت اجباری، که نیاز به قدرت محاسباتی بالا دارد. از آنجا که IaaS از چندین ماشین مجازی پشتیبانی می کند، آن را یک پلت فرم ایده آل برای هکرها برای راه اندازی حملات (مانند حملات انکار سرویس توزیع شده (DDoS)) می کند که تعداد زیادی از موارد حمله را نیاز دارند.

   تهديدها براي منابع محاسباتی ابرش

در گذشته، هکرها از چندین رایانه یا یک botnet برای تولید مقدار زیادی از قدرت محاسباتی برای انجامحملات سایبریبه سیستم های کامپیوتری استفاده می کردند. این روند پیچیده است و می تواند چند ماه طول بکشد.امروزه یک زیرساخت محاسباتی قدرتمند، شامل هر دو نرم افزار و قطعات سخت افزاری، می تواند به راحتی با استفاده از یک فرایند ثبت نام ساده در ارائه دهنده سرویس ابرش محاسباتی ایجاد شود. با استفاده از قدرت رایانه غالب شبکه های ابري ، هکرها می توانند حملات را در یک زمان بسیار کوتاه به آتش بکشند. به عنوان مثال، حمله های خشونت آمیز و حملات DoS می تواند با سوء استفاده از قدرت محاسبات ابری انجام شود.

حملات DoS برای خراب کردن منابع میزبان یا شبکه به منظور ایجاد مشروعیت کاربران برای دسترسی به سرویس کامپیوتری تلاش می کند. آنها در فرم های مختلفی قرار می گیرند و هدف آنها در ارائه خدمات گوناگون است. به طور کلی، آنها به سه نوع اساسی تقسیم می شوند: مصرف کمبود، محدود یاغیر قابل تجدیدمنابع، تخریب یا تغییر اطلاعات پیکربندی، و تخریب یا تغییر جزئی قطعات شبكه.

1.خرابی داده ها

1.1.مخرب هاي خودي

تهدیدات امنیتی می تواند از سوی خارج و در داخل سازمان ها رخ دهد. طبق نظرسنجی CyberSecurity Survey 2011  که در مورد 607 کسب و کار، مدیران اجرایی، متخصصان و مشاوران دولتی صورت گرفته است، 21 درصد ازحملات اینترنتیتوسط خودی ایجاد شده است.  33٪ از پاسخ دهندگان فکر می کردند که حملات خودی گران تر است و سازمان ها را آسیب می رساند. شایع ترین حملات داخلی، دسترسی غیر مجاز به استفاده از اطلاعات شرکتی (63٪)، قرار گرفتن در معرض غیرعادی   داده های خصوصی یا حساس (57٪)، ویروس، کرم ها یا سایر کدهای مخرب (37٪) و سرقت از مالکیت معنوی(32٪)آسیب پذیری های محاسبات ابری به خودی های مخرب عبارتند از: نقش ها و مسئولیت های نامعلوم، اجرای ضعیف تعاریف نقش،نیاز به دانستنآسیب پذیری های AAA، آسیب پذیری های سیستم یا سیستم عامل، روش های امنیتی فیزیکی ناکافی، عدم امکان پردازش داده ها در فرم رمزگذاری، آسیب پذیری های نرم افزاری.

1.2.سرقت آنلاینسايبري

خدمات ابر محاسباتی کاربران را با توانایی پردازش قدرتمند و حجم عظیمی از فضای ذخیره سازی فراهم می کند. با هزینه ارزان خود، شرکت ها می توانند کسب و کار خود را به ابرها منتقل کنند تا نیازی به خرید سرورهای خود برای ذخیره اطلاعات مشتریان و ترافیک از مشتریان و بازدیدکنندگان نداشته باشند. 

1.3. حملاتبه سامانه امنيتي ابرش

1.3.1.حمله تزریق بدافزار

برنامه های کاربردیمبتنی بروب صفحات وب پویا را برای کاربران اینترنت برای دسترسی به سرورهای کاربردی از طریق یک مرورگر وب فراهم می کنند. برنامه های کاربردی می توانند به سادگی به عنوان یک سیستم ایمیل یا به عنوان یک سیستم بانکی آنلاین پیچیده باشند.  حمله تزریق بدافزار یک دسته ازحملاتمبتنی بر وب استکه هکرها از آسیب پذیری یک برنامه وب استفاده می کنند و کدهای مخربی را به آن اضافه می کنند که روند اجرای عادی آن را تغییر می دهد. مانندبرنامه های مبتنی بر وب، سیستم های ابر نیز حساس به حملات تزریق بدافزار هستند. هکرها برنامه کاربردی، برنامه و ماشین مجازی را طراحی کرده و آنها را به مدل SaaS، PaaS و IaaS مدل خدمات ابری هدایت می کنند. پس از تکمیل تزریق، ماژول مخرب به عنوان یکی از موارد معتبر در حال اجرا در ابر اجرا می شود؛سپس، هکر می تواند هر کاری که می خواهد مانند استراق سمع، دستکاری داده ها و سرقت اطلاعات انجام دهد.

1.3.2.حمله هاي بسته بندي شده (پكيچ حمله)

هنگامی که یک سرویس دهنده از طریق مرورگر وب خدمات وب سرور را درخواست می کند، سرویس با استفاده از پیام های Simple Object Access Protocol (SOAP) که از طریق پروتکل HTTP با فرمت زبان XML Extensible Markup Language (XML) منتقل می شود، تعامل می کند. برای اطمینان از محرمانه بودن و یکپارچگی داده های SOAP در انتقال بین مشتریان و سرورها، یک مکانیزم امنیتی،WS-Security (Web Services Security) برای سرویس وب اعمال ميشود.با استفاده از امضای دیجیتالی برای دریافت پیام امضا و روش رمزگذاری برای رمزگذاری محتوای پیام استفاده می شود. این باعث می شود که تأیید هویت مشتری و سرور بتواند اعتبار پیام را در حین انتقال تغییر ندهد. بسته بندی حملات از بسته بندی امضای XML (یا بازنویسی XML)برای سوء استفاده از یک ضعف زمانی که سرورهای وب معتبر درخواست های امضا شده می باشند استفاده می شود. حمله در هنگام ترجمه پیام های SOAP بین یک کاربر مشروع و سرور وب انجام می شود. با تکرار حساب کاربر و رمز عبور در دوره ورود به سیستم، هکر یک عنصر جعلی (پوسته) را در ساختار پیام جاسازی می کند، بدن پیام اصلی را زیر پوسته پوشیده می کند، محتوای پیام را با کد مخرب جایگزین می کند، و سپس می فرستد پیام به سروراز آنجایی که بدن اصلی هنوز معتبر است، سرور مجاز به ارسال پیام است که در واقع تغییر کرده است. در نتیجه، هکر قادر به دسترسی غیر مجاز به منابع محافظت شده و پردازش عملیات در نظر گرفته شده است.

نتيجه گيري:

همان طور كه به صورت مختصر اشاره گرديد تكنولوژي روز ابرش نيز داراي تهديدها و آسيب هاي جدي مي باشد كه با بررسي مواردي كوتاه مي توان جلوي آسيب پذيري اين پديده نو ظهور را نيز گرفت و به توسط امنيت كار را تضمين نمود. 

:REFERENCES

CERT Coordination Center, Denial of Service

M. Jensen, J. Schwenk, N. Gruschka, and L. L. Iacono, "On Technical Security Issues in Cloud   Computing,   "1

با سلام و ادب 

به پيوست تعداي مقاله مفيد در حوزه تهديدها و آسيب پذيري هاي امنيتي با محوريت درس با كسب اجازه از دستيار محترم جهت مشاهده و استفاده همه دوستان قرار مي دهم . اميدوارم مورد فايده  باشد . 

موفق باشيد 

درود ورورخوش

ببخشید درپایان فیلم جلسه دوم استاد یکی از این موارد را برای پاسخ پرسش گفتند انتخاب و پاسخی براساس چندین مقاله و تحقیقات سالهای جدید بدهیم ولی شما همه موارد را میخواهید؛

احتراماً در ادامه مطالب مطرح شده خودم در خصوص تهديدات امنيتي گوشي‌هاي هوشمند، تبلت و دستگاه‌هاي تلفن همراه اينترنتي و با توجه به تحقيقاتي كه انجام دادم با اجازه جناب زند و دانشجويان عزيز مورد ديگه‌اي هم بيان ميكنم؛

تهديدات امنيتي تلفن‌هاي همراه در آينده چگونه است؟؟؟
بر اساس يافته‌هاي وسيع شركت‌هاي امنيتي بزرگ دنيا، ماهيت تهديدات امنيتي تلفن‌هاي همراه با گذشت زمان تغييرات قابل‌ملاحظه چنداني نداشته‌اند. اما شدت عواقب آن به سرعت در حال افزايش است. از اين رو سه نكته مهم و تأثيرگذار قابل ذكر است:

1. نقش انحرافي در كار: طبق آمار منتشر شده، كامپيوترهاي دسكتاپ و لپتاپ‌هاي متصل به شبكه‌هاي تلفن همراه، يكي از مهمترين منابع و دلايل آلوده شدن گوشي‌هاي هوشمند و تبلت‌ها و نفوذ به آن‌ها مي‌باشند. از اين رو نقش انحرافي كامپيوترهاي خانگي در اين امر نبايد ناديده گرفته شود.

2. BYOD : اصطلاح Bring your own device با مفهوم قرار دادن قوانيني توسط اعضاي جامعه براي حفظ حريم شخصي خود مي‌باشد. (به نوعي به بخش اول ضرب‌المثل رايج ما ايراني‌ها «كلاه خود را سفت بگير، همسايه‌ات را دزد نكن» اشاره مي‌كند) همچنين اين اصطلاح به ايجاد ديوار حائل بين كاربرد شخصي و شغلي افراد اشاره مي‌كند. در اينجا قصد تعريف BYOD را ندارم؛ اما اين بحث در موضوعي كه ميخوام تو اين بند بگم صدق مي‌كنه؛ درصد استفاده از سيستم‌هاي كامپيوتري دسكتاپ و لپتاپ روزانه سير نزولي و در مقابل اون استفاده از دستگاه‌هاي هوشمند سير صعودي را طي مي‌كنند. اما حتي سطح امنيتي و كنترلي دستگاه‌هاي دسكتاپ و لپتاپ براي دستگاه‌هاي هوشمند و تلفن‌هاي همراه رعايت نمي‌شه. پس آيا بهتر نيست كه بيشتر به BYOD دقت كنيم...؟
ناگفته نماند كه BYOD در جهان كسب و كار شاهد تغيير و تحولات وسيع و مهمي هست. در حدود 75 درصد از كاربران در بازارهاي با درصد رشد بالا از جمله برزيل و روسيه و 44 درصد در بازارهاي توسعه يافته از تكنولوژي خود در كار استفاده مي‌كنند.

3. IoT اينترنت اشياء: فقط با آنتي ويروس‌هاي بروز شده و راه‌حل‌هاي امنيتي ساده در دوره‌اي كه گسترش استفاده از دستگاه‌هاي هوشمند متفاوت ثابت و همراه كه با سرعت زياد در حال گسترش بيشتر نيز هستند، نمي‌توان سوداي تأمين امنيت را داشت. پيش بيني مي شود كه در آينده نزديك هكرها بعنوان شاهراه نفوذ به دنياي ابزار همراه (تلفن‌همراه، تبلت و...) از اينترنت اشياء و ارتباط با آن، استفاده كنند.

* نتيجه گيري *

تهديدات امنيتي دستگاه‌هاي تلفن همراه هم از نظر كميت و هم از نظر گستره نفوذ همزمان با رشد تكنولوژي اين دستگاه‌ها در حال افزايش است. از اين رو كاربران بايد براي مقابله تهديدات آينده آماده شوند؛ اين آمادگي از دو طريق .الف. افزايش شناخت تهديدات امنيتي رايج و .ب. مقايسه تهديدات رايج فعلي با نسل جديد فعاليت‌هاي مخرب مي‌باشد.

با سلام  و احترام 

تجهيزات موبايل (سيستم عامل و برنامه هاي كاربردي)

امنيت در سيستم موبايل شبيه به سيستم هاي رايانه اي مي باشد اما بدليل پايين بودن  از لحاظ سخت افزاري وفني نمي توان  از تكنولوژي هاي خاص امنيتي استفاده كرد  مثلا در خصوص موبايل اندرويد خيلي شبيه به رايانه هاي كه شبيه سيستم هايي كه مبتني بر linux است مي باشد و پلت فرم هايي وجود دارد كه مي توان از لحاظ امنيت از ساده  تا پيشرفته  سفارشي سازي شود..سيستم عال اندرويد بسيار مورد توجه بدافزار ها  موبايل است كه از جمله مي توان به sms اشاره  كرد  كه با ارسال متن با شماره هاي بين المللي و نصب برنامه هاي  جعلي مي تواند  بدون آگاهي كاربر از خدمات نامناسب استفاده كند وحتي اطلاعات شخصي به سرقت رفته وكنترل موبايل در اختيار هكرها  قرار  گيرد. براي اينكه بتوانيم  تلفن همراه را از لحاظ امنيت بالا تهيه كنيم بايد داراي يكسري ويژگي مثل sandboxبرنامه هاي كاربردي-چارچوب برنامه هاي  موبايل  -سيستم فايل رمزنگاري و .... را داشته باشد.

با سلام و ارادت 

بنده ابتدا دارایی های موجود برای یک وب سایت تجاری برای شرکت ها و موسسات نام میبرم سپس به تهدیدات اون اشاره میکنم. 

در زمان حال وی سایت یک شرکت معتبر تقریبا ویترین و اعتبار یک شرکت معتبر است زمانی که اسم یه شرکت یا اداره ای را میشنویم اولین کاری که میکنیم وارد اینترنت میشیم و سایت اونو چک میکنیم پس از دید من امروزه خیلی مهمه که ما وب سایت قوی داشته باشیم... لذا از جمله دارایی های ما برای یک وب سایت میتوان به موارد زیر اشاره کرد. 

1. هاستینگ لوکال و یا هاستینگ خارجی تحت اجاره 

2. سرور سخت افزاری که قرار است وب سرویس بر روی آن بالا بیاید 

3. اصل دارایی یک وب سایت دیتابیس آن میباشد

4. البته اگه هاستینگ در شبکه لوکال باشد همان دیتا سنتر جز دارایی اصلی میتونه باشه (که توی پست های بچه ها بود) 

5. نیروی انسانی که قرار است پشتیبانی این سیستمو انجام بده خود از دارایی های آن میباشد 

در حالت کلی به تمام ذینفعان مالکیتی این وب سایت میتوان به عنوان دارایی اشاره کرد که البته با توجه به حوزه فناوری اطلاعات مهم سرویس های IT میباشد . 

6. فایروال ها WAF ها 

7. تجهیزات زیر ساختی مانند سوییچها همه و همه از دارایی های سیستم میباشد 

8. گواهینامه دیجیتال خریداری شده برای وب سایت خود یه دارایی ویژه است 

تهدیدات.... 

در مورد تهدیدات باید بگم اولین تهدید به نظر با توجه به publish بودن سرویس وب از دسترس خارج کردن این یعنی DOS شدن سامانه است 

دومین تهدید SQL Injection برای دیتا بیس 

سومین تهدید لو رفتن اطلاعات مشترکین ما بخصوص اگر از بستر HTTP استفاده کرده باشیم 

چهارمین تهدید مربوط به تهدیدات طبیعی مثل زلزله و یا ساختگی مثل اتش سوزی دیتا سنتر فیزیکی اشاره کرد.. 

با تشکر

درخصوص  داراییها، تهدیدها و آسیب پذیری های شرکت های psp موارد زیر را بیان خواهم کرد : 

دارایی های این شرکت ها شامل :

1 - سیستم های سخت افزاری  سرور ها که شامل RACK ، SWITCH ،STORAGE ،  ROUTER ، فایروال ها  و....... است 

2 - نرم افزار های دستگاه های pos  شامل CONFIG دستگاه ، رمز عبور و ...  

3 - تکنولوژی های ارتباطی ( اعم از خطوط E1  ، تکنولوژی های MPLS  , VPLS و  POINT TO POINT  ) 

4 - واحد های ارتباط با مشتریان و پشتیبانی فنی 

5 - ساختمان اداری ستادی 

6 - سرمایه های انسانی 

7 - سیستم حفاظتی فیزیکی  شامل حراست ، بازرسی

8 - سیستم های آلارم خودکار شامل آلارم های هشداری دمایی ، دود و 

تهدید های این شرکت ها عبارتند از : 

1 - عدم برقراری ارتباط بین دستگاه های POS وMCC ) MCC  ها از سخت افزار های موارد ارتباطی هستند ) 

2 - مستهلک شدن دستگاه های POS  و سخت افزار های بکار برده شده در خطوط ارتباطی 

3 -امنیت برق ساختمان های فنی در شهر های مختلف 

4 - مباحث مربوط به امنیت فیزیکی  ساختمان های اداری و فنی 

5 - نفوذ هکر ها به سیستم های نرم افزاری و سخت افزاری  دستگاه های POS  و سرور ها  و شبکه های رایانه ای 

6 - عدم تعهد نیرو های انسانی به سازمان و اجرای خرابی های داخلی از سوی ایشان مانند پشتیبانی ضعیف از دستگاه های POS   

7 - تغییر سیاست های دولتی و همچنین تغییر قوانین و مقررات های بین بانکی و مابین  بانک و شرکت های PSP 

آسیب پذیری هایی  که به واسطه این تهدیدات به وجود می آیند  شامل : 

1 - کاهش سود شرکت به واسطه قطع شدن ارتباط بین مشترکان و بانک ها 

2 - پایین آمدن اطمینان مشتریان در جهت استفاده از دستگاه های POS به واسطه عدم پشتیبانی مناسب 

با سلام و خسته نباشید خدمتجناب آقای مهندس زند و دوستان عزیز

من موضوع دارایی و آسیب ها و تهدید ها رو در ارتباط با وب سایت های تجاری شرکت ها میخوام عنوان کنم .

البته به نظرم مخصوصا در بخش دارایی ها ، مسائل عنوان شده  تمام شرکت هایی که در صورت سوال مطرح شده به نوعی مثل هم هستند اما با اینحال با اینکه دوستان به صورت کامل عنوان کردند من از دید خودم اونها رو ذکر میکنم

دارایی ها :

دستگاه سرور جهت استقرار اطلاعات و دیتا سنتر

سیستم خنک کننده و تهویه هوا

سیستم پشتیبان برق UPS

 سیستم اطفاء حریق

 فایروال های سخت افزار و نرم افزاری

 سوئیچ های قابل برنامه ریزی

 سیستم های امنیتی ورود و خروج

 نرم افزار منیتورینگ مراجعات به سرور و سایت

آنتی ویروس های بسیار قوی

اپلیکشن های مختلف هم برای گوشی و هم برای کامپیوترهای شخصی به منظور  وصل شدن به این

           سیستم

تهدیدات :

حملات هکرها به سایت

قطع برق

حمله به دیتا سنترها

قطع سرویس اینترنت

حملات ویروسی و بدافزارها

حوادث عمومی ( سیل ، زلزله ، جنگ )

حملات فیزیکی و دسترسی افراد غیر مجاز

از کار افتادن یا سرقت تجهیزات

آسیب پذیری های امنیتی رایج :

 کیفیت نامناسب سرویس های اینترنت و قطع و وصل شدن های زیاد

سرعت پایین اینترنت و اشکالات بوجود آمده در زمان پاسخگویی سایت و دسترسی به اطلاعات که باعث قطع ارتباط بین سرور و مبدا تراکنش میشه که نارضایتی در این زمینه موجبات خستگی مشتری و در نهایت از دست دادن مشتری هامون خواهد شد .

افت سرعت انتقال دیتاها در اثر ایجاد پیچیدگی های غیر لازم

مساله ای که به نظر من هم جز تهدیدات محسوب میشه و هم آسیب ها ، این مساله است :           " حفظ امنیت اطلاعات وارده مشتریان "

آسیب پذیر بودن نرم افزارهای امنیتی ضد ویروس و بدافزارهای و ... خود میتواند زمینه ساز بروز این مساله گردد .

همه جور دزدی و کلاهبرداری رو در فضای اینترنت شنیدیم از دزدی اطلاعات محرمانه ، دزدی عکس و فیلم و دزدی ... ،اما سارقان  پول و هدفشون برای همه کاملا ملموسه

 شرکت های تجاری در حال ارائه ی محصول و خدماتی هستند که طبیعتاً ما به ازای اون باید مشتری ها پرداختی داشته باشند . از طرفی مشتریان تمام اطلاعات بانکی خود را ناگزیز به وارد کردن هستند فاکتور از کیبوردهای مجازی طبیعتاً باید تسهیلات دیگری نیز برای بالا بردن حفظ این امنیت به کار برد . 

با عرض سلام و احترام

بنده تلفن همراه هوشمند را مورد بررسی قرار دادم و براساس منابع مطالعاتی که خلاصه آن را به شرح ذیل ارائه می دهم:

دارایی ها:

- فیزیک دستگاه تلفن

-اطلاعات ذخیره شده

-نحوه اتصال شبکه ای

-برنامه های کاربردی

تهدیدها:

آسیب پذیری ها:

دسترسی های غیر مجاز

نشت اطلاعات

بدافزارها

منابع:

https://hal.inria.fr/hal-01518232/document

https://www.symantec.com/content/dam/symantec/docs/security-center/white-papers/assets-threats-vulnerabilities-01-en.pdf

سلام و خسته نباشید خدمت استاد ,دستیار و دوستان عزیز

من در این مبحث مشارکتی میخواهم در مورد دارایی ها تهدیدات و آسیب پذیری وب سایت تجاری صحبت کنم . در واقع وب سایت تجاری سایتی است که برای تجارت و خرید و فروش راه اندازی میشود پس دارایی ها:

1)در ابتدا و قطعا خود سایت یکی از دارایی هاست چون عامل ارتباطی و خرید و فروش است

2)محتوای سایت یکی دیگر از دارایی هاست (چون براساس این محتواست که تجارت اتفاق می افتد)

3)جایگاه و رتبه بندی سایت در رتبه بندی گوگل

4)هاست 

5)دامنه

6)یوزر و پس وردهای مشتریان ثبت نام شده در سایت

7)برند تجاری 

و بخش دیگر تهدیدات است که شامل:

1)تهدید هکرها

2)تهدید استفاده از دامنه 

3)تهدید استفاده از برند

4)تهدید دزدیده شدن اطلاعات و پس وردهای کاربران و مشتریان

5)از بین رفتن محتوا و مطالب سایت(در واقع ویروسی شدن)

6)تهدید شنود یا مشاهده ترافیک و اطلاعات منتقل شده

7)تهدید از کار افتادن سرور

8)تهدید افزایش ترافیک داده ای و بالا نیامدن سایت

قسمت انتهایی آسیب پذیری است که شامل:

1)وجود در مخفی(چون با این مشکل به صورت عینی خودم برخورد کردم این مثال رو میزنم : در بعضی از سایتهای اینترنتی  میشود یک کدی که برای یک جایگاه خاص باشد به کمک ترفندی بتوان ان را در جای دیگر سایت نیز استفاده کرد)

2)محدود نبودن دسترسی به سایت

3)نداشتن فرم امنیتی که پیامدش میشود مسدود سازی سایت توسط رباتها

4)محدود نبودن دسترسی به دیتابیس

5)نداشتن فایروال و آنتی ویروس روی سایت

با سلام خدمت استاد بزرگوار و دستيار محترم

در اين مبحث، من در مورد شناسایی و دسته بندی دارایی ها، تهدیدها، آسیب پذیریهای امنیتی رایج سیستم های پرداخت الکترونیکی بانک ها بحث مي كنم:

در ابتدا به تعريف مختصري در مورد هر كدام از واژگان اشاره شده در بالا، مي پردازم.

دارائی ارزشمند Asset:

Asset دارایی ارزشمند برای سازمان است که نیازمند و مستحق محافظت است.

آسیب پذیری Vulnerability:

نقطه ضعف ، حفره  یا آسیب پذیری  در حوزه امنیت اطلاعات عبارت است از هرگونه نقطه  ضعف نرم افزاری ، سخت افزاری یا تکنولوژیک که قابل سوءاستفاده باشد.

تهدید Threat:

هر چیزی که می تواند آسیب پذیری را به طور عمدی یا به طور تصادفی مورد سوء استفاده قرار دهد و باعث  آسیب رساندن یا نابودی یک دارایی Asset شود، تهدید می باشد به عبارت دیگر  تهدید وجود خطر بالقوه در سامانه ها ست که در شرایط مناسب قابل استفاده برای نفوذ مهاجم  به منظور سرقت اطلاعات یا ایجاد خسارت برای اطلاعات یا سامانه های اطلاعاتی می باشد ، همچنین می توان گفت تهدید شرايط يا حالتي است كه  ميتواند امنيت را مختل كند.

دارائي ها در سيستم هاي پرداخت الكترونيك:

همانطور كه مي دانيم بانکداري الکترونيکي متکي بر محيط مبتني بر شبکه و اينترنت مي باشد. لذا در شبکه بانکداري الکترونيکي نيز از ترکيبي‌از ابزار و وسايل مانند رايانه‌هاي شخصي، تلفن‌ها، تجهيزات تعاملي تلويزيوني و کارت‌هاي رايانه‌اي مختلف استفاده مي شود.

از جمله دارائي هاي سيستم مي توان به موارد زير هم اشاره كرد: سرور هاي سخت افزاري مورد استفاده، سيستم شبكه، سيستم امنيت اطلاعات و حفظ امنيت نرم افزار،سخت افزارها،منابع انساني (مثل ادمین ها)، سيستم دخيره سازي، پايگاه داده ها و بانك هاي اطلاعاتي، سيستم مانيتورينگ

ريسكها و تهديدات در سيستم هاي پرداخت الكترونيك:

• دسترسي افراد غيرمجاز به به اطلاعات صاحبان حساب ها
• مشاهده صاحبان حساب به اطلاعاتي بيش از آنچه که مجاز هستند.
• صاحبان حساب يا ديگران توانايي انجام تراكنشها و اعمال غير مجاز را داشته باشند.
• صاحب حساب تراكنشي را انجام دهد اما بعدا منكر آن شود، ويا بانكها انكار كنند كه چنين تراكنشي انجام شده است .
• حملات ناشي از ويروسها ، ورمها و ساير كدهاي مخرب.
• ركوردهاي اطلاعاتي در جريان تبادل اطلاعات ويا از روي سرويس دهنده بانكهاي اطلاعاتي ، به سادگي ميتواند توسط افراد غيرمجاز دزديده شوند، تغيير يابند و يا هر گونه پردازش غير مجازي روي آنها صورت گيرد.
• کلمه و رمز عبور در جريان تبادل اطلاعات ويا از روي سرويس دهندهبه سادگي ميتوا ند توسط افراد غير مجاز ( با تدارک ديدنحملات مختلف ) دزديده و جهت انجام حملات تکرار، تراکنشهاي غير مجاز مالي و ديگر فعاليتهاي غير مجاز استفاده شوند.
• حمله DOS به هر يک از سرور ها ي فوق : ارسال درخواستهاي بيش از حد به سرويس دهنده هاي مورد نظر، در کار آنها اختلال ايجاد کرده و باعث مي شود که نتوانند به درخواستهاي مجاز پاسخ دهند.

آسيب پذيري ها در سيستم هاي پرداخت الكترونيك:

• اطمينان نداشتن از سيستم هاي امنيتي
• بروز اختلالات نرم افزاري و حفره هاي امنيتي
• عدم نصب سيستم هاي مانیتورینگ
• بدافزارها
• استفاده از آنتي ويروس نامناسب
• دسترسی های غیرمجاز افراد
• حوادث ناشي از دخالت انسان

با  سلام خدمت دستیار گرامی جناب مهندس زند و همکلاسی های عزیز

سیستم های پرداخت الکترونیکی بانک ها و سیستم های پرداخت الکترونیکی شرکت های واسط(PSP )

دارایی ها:

وبسایت رسمی با پرتکل Secure

نماد اعتماد الکترونیکی

حساب بانکی اصلی در بانک مربوطه

درگاه پرداخت الکترونیکی(IPG)

تهدید ها:

امکان سو استفاده از افراد با تکنیک مهندسی اجتماعی

افشای اطلاعات کارتهای بانکی

قطعی شبکه شتاب یا  شبکه شاپرک

ایجاد تراکنشهای ناموفق و تبعات ناشی از آن

آسیب پذیریهای امنیتی :

برنامه های  جاسوسی کی‌لاگر(ضبط کارکترهای وارده توسط کیبوردوارسال به هکر)

وجودصفحه های جعلی پرداخت اینترنتی(فیشینگ)

وجودسایتهای فاقد نماد اعتماد الکترونیکی

حمله های سایبری توسط هکر ها

شناسایی و دسته بندی دارایي ها، تهدید ها و آسیب پذیری های رایج در حوزه های زیر:

با سلام

درایی ها، تهدیدها، آسیب پذیریهای امنیتی رایج حوزه زیرساخت، پلت فرم و نرم افزار های رایانش ابری سازمان های دولتی و غیر دولتی...

دارايي ها                                                                                                              تهديد ها

- سرور ها                                                                                            - انواع ويروس ها

- سرويس هاي نرم افزاري                                                                  - پهناي باند اينترنت

- سيستم عامل ها                                                                               - خرابي سرور ها

- سخت افزار هاي شبكه                                                                      - خرابي تجهيزات سخت افزاري

- اينترنت                                                                                             - پايان لايسنس ها 

- متخصصين                                                                                         - عدم توانايي متخصصين

- مشتري ها                                                                                         - عدم اطمينان مشتري ها

- پهناي باند                                                                                          - حوادث طبيعي 

-لايسنس ها                                                                                        - قوانين و مقرارت جديد

-مجازي سازي ها                                                                                   - قطع برق

- برق                                                                                                    - هك شدن

- سرويس هاي امنيتي و آنتي ويروس ها                                              - نشر اطلاعات

البته در حوزه زيرساخت با توجه به افزايش چند برابري هزينه ها ...عملا  افزايش قيمت ارز به يكي از مهمترين تهديدهاي حوزه زيرساخت تبديل شده و شركت ها با افزايش قيمتها كاملا از توسعه و ارتقاع زيرساخت هاي خود در چند ماه گذشته منصرف شده اند

با سلام مجدد خدمت همگي دوستان و اساتيد ارجمند

نكته بسيار مهم در شناسايي و دسته بندي دارايي ها كه دوستان كمتر به آن اشاره نمودند و به نظر بنده يكي از ارزشمندترين دارايي هاي سازمان در حال حاضر ميباشد كارشناسان امنيت اطلاعات سازمانها هستند.

در صورت درك ناصحيح مديران از اهميت امنيت اطلاعات در شركت ها و با توجه به وابستگي روزافزون سازمانها و شركت ها به فن آوري اطلاعات و ارتباطات , اين دارايي بسيار كليدي و الزامي براي هر سازماني ميباشد كه متاسفانه هنوز آنچنان كه بايد اين امر در بين مشاغل نهادينه نشده و مديران تا هنگامي كه در معرض خطر و تهديدات امنيتي قرار نگرفته اند حاضر به پرداخت هزينه بابت به كار گيري نيروي  متخصص امنيت اطلاعات نميباشند كه اين امر خود يكي از بزرگترين تهديدات امنيتي در حال حاضر براي سازمانهاي ايراني ميباشد

با سلام

من در اینجا به بیان یک سری از تهدید هایی که ممکن است در رایانش ابری با آن مواجه شویم میپردازم

سرقت اطلاعات از مرکز ارائه دهنده:

شاید سرقت اطلاعات بدترین اتفاقی باشد که مدیران IT هر سازمانی با آن روبرو شوند که اگر برای جلوگیری از این کار اقدام به رمز گذاری روی اطلاعات کنند اگر کلید رمزنگاری را از دست بدهیم به هر دلیلی، آنگاه اطلاعات هم از دست خواهد رفت یا اگر back up گرفته شود آنگاه احتمال سرقت اطلاعات را در سمت خودمان افزایش داده ایم.

از دست دادن اطلاعات:

حتی فکر اینکه اطلاعات تجارت پاک شده است بسیار ناراحت کننده است که میتواند دلایلی حتی غیر از هک شدن داشته باشد مانند آتش سوزی یا زلزله و دیگر حوادث طبیعی

دزدی اکانت یا ترافیک سرویس:

دزدی اکانت و سرویس مسئله ای قدیمی است که با روش هایی مانند فیشینگ انجام پذیر است و چون رمزهای عبور با اطلاعات هویتی در جاهای مختلف استفاده می شود باعث می شود این نوع هک همچنان باقی بماند که البته یکی از راهکارهای جلوگیری از آن احراز هویت دو مرحله ای یا رمز یکبار مصرف می باشد و باید توسط سرویس دهنده ها صورت پذیرد.

رابط های کاربری ناامن:

رابط های کاربری باید در برابر تلاش های تصادفی یا بدخواهانه برای دور زدن رابط کاربری آمادگی داشته باشند چرا که تامین اطلاعات ، مدیریت و نظارت به روی اطلاعات از طریق آن ها صورت می پذیرد پس بایستی در امنیت آنها توجه ویژه ای شود.

Denial of Service  یا حملات DoS:

که طی اثرات مخرب آن کاربر سرویس cloud نمی تواند به اطلاعات یا برنامه های مورد تقاضا دسترسی مناسب یابد که به دلیل کمبود در منابع سیستمی مانند قدرت پردازشی یا حافظه یا پهنای باند رخ میدهد.

همکار خیانتکار:

یکی از پر بحث ترین موارد دنیای امنیت هست . اگر همکاری محرمانگی یا صحت اطلاعات را نقض کند که میتواند دلایل عمدی یا غیر عمدی را شامل شود واقعا چه کاری میتوان کرد . مانند قضیه ای که چند سال پیش در مورد افشای لیست حقوقی یکی از بانک های نظامی کشور خودمان رخ داد.

سوء استفاده از مزایای Cloud:

بسیاری از هکرها برای در اختیار داشتن سیستمی با قدرت پردازش بالا مجبور به هزینه ای گزاف برای خرید آنها هستند اما خیلی راحتتر میتوانند با صرف هزینه ای بسیار پایین تر برای اجاره کردن درcloud به مقصود خودشان برسند و از خدمات پردازش در سرعت های بالای شرکت های ارائه دهنده cloud بهره ببرند و در حقیقت سوء استفاده کنند.

فناوری مشترک به معنای خطرات مشترک :

وقتی تامین کنندگان cloud ، زیر ساخت و پلتفرم و برنامه ها را به اشتراک می گذارند چنانچه حفره ای در هر یک از لایه ها رخ دهد همه شرکت کنندگان در cloud از آن تاثیر خواهند گرفت.

برگرفته از انجمن مدیریت فناوری اطلاعات و InfoWorld

با سلام و احترام

بسیاری از برنامه های موبایلی که تحت سیستم عامل iOS نوشته می شوند، در برابر مهندسی معکوس و کپی برداری شدن، مصون نیستند. نفوذگرها و مهاجمین می توانند با استفاده از ابزارهای متعددی (که به سادگی نیز در دسترس هستند) آسیب پذیری های موجود در برنامه شما را شناسایی نموده و آن را مورد سوء استفاده قرار دهند. در این صورت سرقت اطلاعات، دسترسی به حساب های کاربری افراد و خواندن پیام های شخصی به سادگی امکانپذیر خواهد شد.

محصول iXGuard محصول شرکت گارداسکوئر با نمایندگی انحصاری شرکت آشنا ایمن در ایران، جهت محافظت از برنامه های توسعه یافته با زبانهای Swift و Objective-C در برابر مهندسی معکوس تولید و عرضه شده است. این ابزار قدرتمند و جهانی که از جایگاه منحصر به فرد و بی رقیبی در حوزه امن سازی اپلیکیشن های موبایل برخوردار است، برنامه های شما را در برابر شبیه سازی شدن، کپی برداری، تغییر و یا استخراج کلیدهای امنیتی استفاده شده در برنامه توسط دیگران مقاوم می کند و به آنها اجازه سو استفاده را نمی دهد.

با استفاده از لایه های امنیتی مختلفی نظیر رمزنگاری و درهم سازی (Obfuscation) رشته ها، ایجاد پیچیدگی در عملیات ریاضی، درهم سازی و ایجاد پیچیدگی در جریان منطقی برنامه و همچنین درهم ریزی کلیه نام ها که در iXGuard پیش بینی شده است، دسترسی به منطق داخلی برنامه شما توسط دیگران، تقریباً غیر ممکن خواهد شد. این امنیت به ویژه در حوزه هایی که با اطلاعات شخصی افراد سر و کار دارد (مانند بانکداری، تجارت الکترونیک، سلامت و شبکه های اجتماعی) بسیار حائز اهمیت است.

باسلام واحترام

حضور استاد گرامی وجناب آقای زند وهمه دوستان

مثال یک شرکت آموزشی برپایه آموزش مجازی

دارایی ها :

وب سایت برای وب سایت hostingتحت وب

سرور وسخت افزاری-دیتابیس سایت-نیروی انسانی-fire wallها-تجهیزات زیر ساخت -سوئیچ ها-کامپیوترها

آسیب ها:حمله فیزیکی به دفترکاریا data center

مادر مقابل نفوذ به دیتابیس ضعف داریم

خرابی زیرساخت IT

مشکلات منابع انسانی مانند مشکل با پیمان کارهایا استعفا واخراج نیروهای کلیدی

با سلام و احترام خدمت استاد محترم و دستیار گرامی ایشان

امروزه به کمك ابزارهای نوین، تولید داده ها به قدری پراکنده و انبوه است که تولید کنندگان آنها به سختی میتوانند این داده ها را مدیریت کنند و از ذخیره ی آنها به نحو مطلوب سود ببرند. افزون بر این، با توسعه شبكه های داخلی و جهانی و نیز حرکت پر سرعت سازمانها به سوی اطلاعات یكپارچه، نیاز به فضایی برای ذخیره سازی، طبقه بندی، مدیریت، توزیع، برقراری ارتباط پرسرعت و تامین امنیت داده ها به شدت احساس میشود. از این رو مراکز داده ها به صورت مجموعه های بزرگ و بسیار ایمن به عنوان انباره هایی برای نگهداری، طبقه بندی، مدیریت، پردازش و توزیع داده ها شكل گرفته اند. این مراکز شامل چند محیط تولید و فراوری همچون سرورهای وب، سوییچ ها،  الزامات امنیتی مراکز داده مسیریابها، مودمها، تجهیزات شبكه، پایگاههای داده و ...، تجهیزات کنترلهای محیطی مقاومت در برابر زلزله و سوانح طبیعی، تنظیم هوا، جلوگیری از آتشسوزی، تجهیزات برق پشتیبان و ... و تجهیزات امنیت دادهها همچونFirewall هستند. 

منبع: https://ito.gov.ir

دارای ها : هر آنچه که برای سازمان دارای ارزش باشد و اهمیت داشته باشد دارایی محسوب می شود . الزامات امنیتی پیرامون یک دارایی بر اساس تعریف و ارزش گذاری ها طرح ریزی و تدوین می شوند . هر یک از دارایی های شناسایی شده ممکن است به قدری با ارزش باشند که لازم باشد در مقابل تهدیدات حفاظت شوند .

دارایی ها می تواند شامل 5 دسته اصلی باشند :

1.منابع انسانی

2.اطلاعات

3.فیزیکی / ساختمان ها

4.نرم افزار ها

5.خدمات و سرویس

دارایی ها :

تهدید ها : دارایی ها همواره در معرض انواع تهدیدها قرار دارند . تهدید هایی که بوقوع می پیوندد حمله نامیده میشوند .

معمولا سازمانها یا کنترل کمی روی تهدیدها دارند یا اصلا کنترل ندارند . چون تهدید یک عامل خارجی می باشد .

معرف های یک تهدید عبارتند از :

1.منبع تهدید

2.انگیزه یا محرک

3.پیامدها و تبعات

4.روش ها

دسته بندی های تهدید ها :

1.تهدید های طبیعی

2.تهدید های انسانی

3.تهدید های محیطی

تهدید ها :

آسیب پذیری : آسیب پذیری ها نقش کارکردی در تخمین مخاطره دارد چون اگر آسیب پذیری وجود نداشت مسلما مخاطره هم وجود نداشت .

آسیب پذیری به وضعیتی گفته می شود که سیستم های حفاظتی و امنیتی دچار نقص شده و یا ضعیف باشند و احتمالا آسیب رسانی به سیستم وجود دارد

نقطه ضعفی که در یک یا گروه از دارایی وجود دارد و توسط یک یا چند تهدید مورد بهره برداری قرار گیرد

به نقص یا ضعف در طراحی و یا پیاده سازی و مدیریت سیستم گفته می شود که می تواند سیساست های امنیتی را مورد چالش قرار دهد .

آسیب پذیری ها بر اساس ویژگی های ذاتی :

1.نقص

2.شدت

3.پیامد

4.تاکتیک

آسیب پذیری ها :

با سلام

در پاسخ به سئوال فوق بنده قصد دارم بصورت خلاصه مجموعه اي از دارايي ها، تهديد ها و آسيب پذيري هاي رايج در حوزه هاي ذكر شده را بيان كنم. با توجه به نوع ماهيت حوزه هاي مطرح شده و پاسخ‌هاي ديگر دوستان، ممكن است مشتركاتي با پاسخ‌هاي ديگر وجود داشته باشد.

))) حوزه تجهيزات موبايل

ـ دارايي: اطلاعات مشتري و كاربر از قبيل عكس، فيلم، فايل‌هاي متني و صوتي و فايلهاي ديگر ـ اطلاعات مخاطبين و...

ـ تهديد: اشتباه كاربر موبايل ـ شنود ـ نرم افزارهاي مخرب و تروجان ها ـ روت شدن گوشي موبايل

ـ آسيب پذيري: آسيب پذيري هاي فني از قبيل هك شدن، نرم افزارهاي مخرب و...

))) حوزه سيستم هاي پرداخت الكترونيكي

ـ دارايي: اطلاعات مالي مشتري ـ اطلاعات ثبتي مشتري ـ فايل هاي ديگر اطلاعاتي

ـ تهديد: ازاله اطلاعات ـ خرابي اطلاعات ـ ايجاد مشكل در خدمات رساني به مشتري ـ اشتباه غيرعمد توسط اپراتور

ـ آسيب پذيري: آسيب پذيري فني، اجرايي و مديريتي

))) حوزه برنامه هاي تحت وب

ـ دارايي: نيروي كاري ـ فرايندهاي كاري و تجاري ـ فايل هاي حاوي اطلاعات

ـ تهديد: كاربري به شيوه غيرمجاز در نرم افزار ـ اشتباه غيرعمد اپراتور ـ افزايش ترافيك و پهناي باند ـ ناراضي بودن نيروي كار ـ اشكال در سرويس دهي

ـ آسيب پذيري: آسيب پذيري هاي مديريتي و فني و اجرايي

))) حوزه سايت هاي تجاري

ـ دارايي: پايگاه هاي داده ـ اطلاعات محرمانه مشتري ـ اطلاعات مالي مشتري ـ فرايندهاي تجاري ـ تمامي برنامه ها و نرم افزارهاي خاص سازمان

ـ تهديد: از كار افتادن بصورت عمدي ـ از بين رفتن اطلاعات ـ نيروي كار ناراضي ـ بالا رفتن ترافيك يا استفاده از پهناي باند ـ اشتباه فردي

ـ آسيب پذيري: آسيب پذيري مديريتي و فني و اجرايي

))) حوزه ديتاسنتر

ـ دارايي: سخت افزار شبكه ـ لينك هاي ارتباطي ـ فايلهاي موجود در شبكه ـ تجهيزات ـ نرم افزارها ـ فايروال ها و ...

ـ تهديد: قطعي زيرساخت (برق، شبكه و ...) ارتباط نودها ـ حوادث طبيعي (زلزله، طوفان و...)

آسيب پذيري: آسيب پذيري هاي فني و فيزيكي

دارايي ها دیتا بیس و مراکز داده

•كابل كشي و مديريت كابل ها

•سیستم لوله کشی ها

•سخت افزارها

•نرم افزارها

•منابع انساني 

•تهويه هواي وخنك كندده

•سيستم اطفاء حريق هوشمند

•فایروال ها

•سيستم توزيع برق

•storage

•سیتم روشنایی

•پايگاه داده ها

•سيستم مانيتورينگ

•UPS

تهدید ها

وقفه در سرویس

حوادث طبیعی

VIRUS, RANSOMWARE

دسترسی غیر مجاز (فیزیکی,سایبری و انواع حملات)

قطع برق

آسیب پذیری ها

پایین بودن کیفیت سرویس

کانفیگ نا مناسب ابزار ها و سیستم ها

تزریق کد SQL

کاهش پهنای باند

سریزی بافر

به کارگیری یوزر و‍‍پسورد ضعیف

دستکاری های فیزیکی

استفاده از آنتی ویروس و فایر وال نامناسب

کارایی نا مناسب تجهیزات

وب سایت های تجاری شرکت ها و موسسات معتبر کشور

دارایی ها: 

اطلاعات مشتریان، تامین کنندگان ، کاربران ، ریز محصولات در سامانه هایی نظیر پورتال یک سازمان تجاری یا صنعتی

فرمولاسیون و BOM  محصولات

اطلاعات مربوط به تامین کنندگان هر ماده

اطلاعات تحلیلی فروش و بودجه و پیش بینی

تهدیدات:

تهدیدات دسترسی های غیرمجاز به اطلاعات باارزش و دارایی های اطلاعاتی

در جهت افشای فرمولاسیون محصولات و دستور ساخت تولیدات

و یا افشای خطوط  کد محصولات نرم افزاری یک شرکت برنامه نویسی به عنوان ارزش مندترین دارایی آن شرکت

همچنین اطلاعات تحلیلی سیستم فروش و دسترسی آن برای رقبا در جهت شناخت و دسترسی غیر مجاز به بازارهای هدف می تواند از تهدیداتی باشد که هنگام نفوذ و دسترسی های غیر مجاز به سایت ها و صفحات تحت اینترنت شرکت ها و موسسات تجاری مورد هدف قرار گیرند.

در مورد فروشگاهها و سایت های حراجی تهدیدات دیگری نظیر حملاتی در جهت ایجاد وقفه یا انسدادا سرویس می تواند از سوی رقبا در جهت ضربه زدن به وجهه و اعتبار شرکت و یا با اهدافی نظیر کاهش میزان فروش به کار گرفته شود.

آسیب پذیری ها:

کاهش و قطع سرویس فروش در صورت وقوع حملات انسداد سرویس در مورد فروشگاههای اینترنتی و حراجی آنلاین

از بین رفتن مزیت رقابتی و پیدا شدن رقبا در صحنه رقابت پس از افشا فرمولاسیون و دستور ساخت محصولات در مورد شرکتهای تولیدی و صنعتی

نقض محرمانگی پس از بروز  حملات نفوذ و افشای اطلاعات شخصی کاربران و مشتریان

با تشکر از حسن توجه شما.

با سلام و احترام

شناسایی و دسته بندی دارایی ها، تهدیدها، آسیب پذیریهای امنیتی رایج  دیتاسنتر و مراکز داده  :

با سلام و خسته نباشید

چهار سوال کاملا تخصصی و تحقیقاتی در High level ترین حالت ممکن آن هم برای دانشجویان معماری سازمانی ... !  

سوال اول  : 

مهمترین تهدیدات امنیتی که در سال 2018 : 

اولین تهدید انقلابی بود که توی Ransomware  ایجاد شد .. تعدد باج افزار ها و پیشرفتی که آنها داشتند از مهمترین تهدیدات این سال های اخیر محصوب میشود

یکی دیگر از مهمترین تهدیداتی که در این سال ها در حال شکل گیری است تهدید اینترنت اشیاء میباشد که با توجه به فراگیر شدن آن از بزرگترین آسیب پذیری های ممکن میباشد. 

از دیگر تهدیدات سال های اخیر استفاده از هوش مصنوعی به جای هکرها میباشد که با توج به پیشرفت تکنولوژی در این ضمینه خود میتواند هر ساله جز بزگترین تهدیدات هر ساله میتونه به حساب بیاد

سرقت اطلاعات تجاری و سرقت اطلاعات مشتریان که در واقع یکی از بزرگترین تهدیدات سال 2018 نشت بزرگ داده های اطلاعاتی میباشد.

از دیگر حملاتی که در سال اخیر خیلی مورد توجه بود Cryptojacking  با تاثیر مستقیم بر روی سخت افزار های موجود از دیگر حملات سال های اخیر میباشد..

یکی از خیلی خیلی و مهمترین تهدیدات در این سال کلاه برداری و شیادی هایی بوده که از طریق نرم افزار ها و شبکه های مجازی رخ داده که باعث شده این تهدید در رنک بالای تهدیدات سال 2018 قرار بده

سوال دوم :

با توجه به روند تهدید آمیز در سال های اخیر که شرکت های بزرگی همچون اوبر ، سونیک ، HBO دچار تهیدات امنیتی برای مشتریان خود شدند و یا دولت ها و زیر ساخت های امنیتی که از این تهدیدات بی نصیب نمودند اینها خود نشان دهنده این است که در عصر نو تهدیدات سایبری در حال پیشرفت هستند و مجرمان سایبری به روش های نو و جدید دست پیدا میکنند. از جمله تهداداتی که میتونم اشاره کنم فقط درست شدن ده ها باج افزار های مختلف فقط در سالهای 2017 است. لذا پیشبینی هایی که در این خصوص صورت گرفته و انتظار میره میتونه گزینه های زیر و شامل بشه.

اول از همه باید شکل جدیدی به قانون حفاظت داده و جرایم سایبری داده بشه

دوم : مجرمان امنیت هیچ وقت دست از تلاش برای دور زدن امنیت موجود بر نمیدارن لذا بهتره امنیت کاران واکنش مناسب تری ارائه بدهند.

سوم : دولت ها شرکت ها باید درصد این باشند تا یکپارچگی اطلاعاتی را بدست بیارن و نیاز دارن یه روابط نزدیکتری داشته باشند به عنوان مثال میتونیم کلود های امنیتی سیسکو و شرکت های دیگه برسیم که اخرین تهدیدات امنیتی در آنها بارگذاری میشه و این جوری به دیگران نیز کمک میکنه تا ویروس ها سایت های مخرب و غیره مشخص بشن و همه بتواند در برابر آن ها مقاومت کنن

چهارم : اعتماد به شرکت های تامین کننده امنیت یکی دیگه از کارایی که در سال های اخیر در بورس بازار IT قرار داره

سوال سوم :

پیرامون تهدیدات به Web Application  ها میتونم به این نکته اشاره کنم که طبق آمار بدست امده حمله SQL Injection بیشترین درصد را از آن خود کرده است.

(عکس پیوست) 

سوال چهارم :

در مورد این سوال باید بگم بنده هیچگونه اطلاعی از این که در سال های اخیر دقیقا چه اتفاقات امنیتی برای E-Business  ها رخ داده از چه اسیب پذیری بوده ندارم اما با توجه به نمودار بالا میتونم نتیجه بگیرم زمانی که کسب و کارهای اینترنتی بر پایه یه وب سایت قرار دارند در مقابل این حمله اصلی کاملا اسیب پذیر میباشند. این که دقیقا روند خسارت های امنیتی در این سال های اخیر در حوزه کسب و کار های الکترونیکی دقیقا چی بوده نمیدونم.. 

با سلام و خسته نباشید

طبق تحقیق صورت گرفته از سایت های مختلف حملات سایبری از بزرگترین خطرات سال 2018 بوده که توسط مجرمان سایبری، هکرها و بدافزارها صورت گرفته .

البته که این حملات هم در راه امنیت اطلاعات اشخاص و سازمان ها و شرکت ها بوده و هم در ارتباط با پرداخت های الکترونیکی.

 اما در سال 2018 قریب به اتفاق حملات سایبری در ارتباط با پرداخت های الکترونیک است که در این سال  به صورت بی سابقه ای باعث کسب درآمد هکران خراب کار شده .

ویروس رایانه‌ای و بدافزار "خرگوش بد" به شرکت‌ها، بانک‌ها و موسسات کوچک و بزرگی در کشورهای مختلف بخصوص در اروپا حمله کرده و اطلاعات محرمانه آنها را به سرقت برده است.

درود وروزخوش

مهمترین تهدیدات امنیتی در سال 2018 به گزارش ایتنا و به نقل از وبسایت  scmagazineuk  

این تهدیدات بر اساس درجه اهمیت و اهمیت  اثر به شرح زیر است :

1 : سرقت اطلاعات خصوصی افراد و سازمان ها توسط هکر ها ، حملات سایبری ، بدافزار ها و باج افزار ها 

2 : مشکلات زیست محیطی مانند آلبودگی هوا و خشکسالی 

3 : مهاجرت های اجباری در اثر وقوع بلایای طبیعی 

4 : تجارت های غیر قانونی و نا مشروع مانند قاچاق اسلحه و دارو 

ارادتمند اقای محمدپور عزیز

مهندس جان بند 2 و 3 و 4 خیلی غیر مرتبط با طرح درس نیست؟ گمونم منظور امنیت حوزه اطلاعات بوده تا سایر ابعاد امنیت . شایدم من متوجه صورت سوال نشدم . به هرحال ممنون میشم بنده رو هم راهنمایی کنین اگر نیاز هست مطلبم رو اصلاح کنم .

☺☺☺ یکی از انتظارات این هست که محتوای درسی رو بخونید و بعد در مباحثات شرکت کنید ☺☺☺

این موارد دقیقا در محتوای درسی شما که مورد تایید دانشگاه و طبق سرفصل های وزارت علوم بوده تهیه شده.

ضمن این که بنده همراه شما هستم نه مقابل شما

مخلصیم

امنیت اطلاعات در هر صنعتی مهم و حیاتی هستش وبرای بسیاری از شرکت ها، شناسایی مهم ترین تهدیدات خودش یک چالشه . شناختن تهدیدات امنیتی ما رو قادر به ایجاد یک طرح امنیتی موثر می کنه که به محافظت از کسب و کارمون در برابر تهدیدات بپردازیم .در سایت های معتبر کارشناسان ، آمارها و اطلاعات گوناگونی رو منتشر میکنن که هر یک معتقد هستن جزو برترین و مهمترین حملات هستن . برخی از این حملات و تهدیدها در اونها مشترکه که دوست خوبم آقای اصغری سعیدی هم به تعدادی اشاره داشتن .سعی کردم تعداد دیگه ای رو به اشتراک بگذارم :

· Insider Attacks

اکثر راه حل های امنیتی برای خنثی کردن تهدیدها از خارج از شرکت طراحی شده اند. با این حال، تحقیقات نشان می دهد تاکید بیشتر بر تهدیدهای داخلی وجود دارد. طبق گزارش Infosecurity حوادث داخلی 43 درصد از نقض اطلاعات بوده که نیمه عمدی ونیمه تصادفی میباشد . یک گزارش دیگر نشان میدهد که 74 درصد از سازمان ها معتقدند که آنها به حملات خودی آسیب پذیر هستند. همان مطالعه نشان می دهد که این حملات درونی یکی از پر هزینه ترین حملات است.

· Cloud-based Malware

در حالی که فروشندگان بزرگ فضای ابری نمره بزرگتری برای مجرمان سایبری را نشان می دهند، اما شرکت های شناخته شده کمتر ممکن است از آسیب پذیر ترین ها باشند. ارائه دهنده های خدمات که دارای زیرساخت ها و منابع هستند مانند آمازون، گوگل و مایکروسافت برای جلوگیری از تهدیدات امنیتی خیلی هزینه میکنند. این نظر MIT Technology Review است، که پیش بینی می کند که ransomware  در 2018 فضای ابری ، زیرساخت ها و منابع را هدف قرار می دهد.

· Ransomware-as-a-Service

سیسکو تخمین می زند که این حملات مبتنی بر اخاذی ، با نرخ سالانه 350 درصد است. شرکت امنیتی BitDefender  معتقد است که ransomware در حال حاضر یک صنعت 2 میلیارد دلاری جهانی است.Ransomware-as-a-Service نقش مهمی در رشد ransomware بازی کرده است.از درون عمیق ترین صفحات وب ، حتی هکرهای تازه کار را با ابزارهایی کمک میکند .

بنده به شخصه روند حاکم برامنیت رو با توجه به اتفاقات و شرایط این چند ساله در آیتم های ذیل میبینم :

·روند ايمن سازي شبكه با استفادهاز چندين فايروال

·محدود كردن كاربران شبكه داخلي

·بلاك كردن IP هاي خارجي روي فايروال

·پياده سازي استانداردهاي ISMS (سيستم مديريت امنيت اطلاعات)

در خصوص این سوال موارد زیادی شاید بشه نوشت ولی از مهمترین اونها که به ذهنم میرسه میشه به مختل كردن سرويس های آنلاين و از كار انداختن سرويس هاي حياتي سازمان در اثر حملات سايبري اشاره کرد . (سعی میکنم در پست های بعدی مطالب کاملتری رو در این مورد بنویسم).

عرض ادب خدمت همه دوستان

یکی دیگه از مواردی که در این زمینه الان خیلی مورد توجه قرار گرفته بحث ریموت دسکتاپی که دوستان ادمین و بچه های شبکه ممولا توی شرکت و سازمان و این طرف و اونطرف باهاش کار میکنن . موردهایی داشتیم که سیستم ادمین اپدیت های امنیتی ماکروسافت رو داشته ، انتی ویروس اپدیت بوده ولی باز باج افزار گرفته . شرایط جوری شده که غیر از فایروال های سخت افزاری (فایروال های نرم افزاری کمتر البته) نمیتونن جلوی نفوذ رو بگیرن . یعنی باید IP رو محدود کرد و VPN زد و هزار جور اسکن رو پکت انجام داد تا بشه یه ارتباط سیف و ایمن داشت. اگر این موارد رعایت نشه خسارت امنیتی که این مورد میتونه داشته باشه واقعا جبران ناپذیره و متاسفانه خیلی از دوستان توجهی نمیکنن و این اسیب و اسیب هایی از این دست روند رو به رشدی رو داره .

خطرناکترین تهدیدات امنیتی سال 2018

ما اکنون در سال 2018 هستیم. گرچه ما نقض امنیتی بزرگ 2017 را پشت سر گذاشته ایم، درسهای آنها همچنان ادامه دارد. چالش های جدید نیز در سال آینده بوجود می آیند. در اين جا به اختصار بخش هايي از  تهدیدات  امنیتی بسيار مهم  را برای سال 2018 بررسی خواهیم کرد و اینکه چگونه تیم شما میتواند به هر یک از آنها پاسخ دهد.

1.Ransomware

مهمترین حملهransomwareسال گذشتهWannaCry، یک حمله جهانی سایبری توسط WannaCry ransomware cryptoworm بود که به سرعت از طریق شبکه های کامپیوتری و رایانه های تحت ویندوز مایکروسافت گسترش یافت. این حمله یک حادثه منفرد نبود. استفاده از ransomware در سال گذشته به طور چشمگیری افزایش یافت و با توجه به SpamTitan افزایش بیش از 3% بود . بخشی از آن به یک پدیده به نام ransomware-as-a-service است که کیت هایی برای خدمت به کدهای مخرب ارائه می دهد. بسیاری از این صنعت انتظار دارند که این روند در سال 2018 ادامه یابد.

شرکت ها می توانند از راه های مختلف از خود محافظت کنند، اما بسیاری از آنها پشت سر گذاشته می شوند. در یک بررسی مشترک توسط Forrester و مجله فاجعه بازیابی ، سه چهارم شرکت گزارش دادند که واکنش برنامه ریزی شده و مستند به دستکاری داده ها، اما تنها یک چهارم این برنامه ها را بیش از یک بار در سال آزمایش می کنند. طرح های تست، داشتن یک قابلیت پشتیبان گیری جامع داده ها و فیلترهای ایمنی ایمیل سه راه مهم برای محافظت از شرکت شما از حمله است.

2.شناسایی هویت از طریق مرورگر وب

هکرها به خوبی می دانند که افراد هر روز در مرورگرهای وب خود اطلاعات حساس مالی، پزشکی و شخصی را وارد می کنند - اطلاعات نه تنها به زندگی شخصی آنها متصل می شوند بلکه به زندگی تجاری آنها نیز کمک می کند. هکرها سال گذشته از نزدیک به 5 میلیون کاربر مرورگر به دلیل خرابکاری کدهای پس زمینه Chrome - به مخاطره انداختن کاربران به سرقت اعتبار احتمالی حمله کردند.

برای رهبران کسب و کار، توانایی هکرها برای ضبط جلسات مرور وب و جمع آوری وبسایت داده ها، یک خطر قابل توجه و در حال رشد است. اطلاعات حساب بانکی شرکت ها می تواند لغو شود، ایمیل حساس کسب و کار می تواند به عنوان خوانده شده یا پاسخ داده شود، و همچنین کلمه عبور که می تواند اجازه هکر را به "رب" هویت کارکنان برای دسترسی به اسناد و مدارک حساس شرکت و ارتباطات.

3.گسترش سطوح حملهCyber ​​Attack

شرکت های فناوری در سرعت سریع دستگاه های جدید اینترنت متصل شده، سنسورها و دیگر محصولات اینترنت(IoT)را متوقف می کنند. اغلب این سرعت سریع به این معنی است که تهدیدات امنیتی نادیده گرفته می شوند. بسیاری از دستگاه های متصل به اینترنت به گذرواژه های پیش فرض وابسته هستند و از ویژگی های امنیتی پایه ای برخوردار نیستند و اغلب در مورد "مالکیت" امنیتIOوجود ندارد. بوتنت ها همچنین از آسیب پذیری هایIoT استفاده می کنند و حملات حجمی را برای دسترسی به دستگاه ها انجام می دهند. محدود کردن دستگاه های متصل به اینترنت و ابزارهای موجود در دفتر به کسانی که بیشترین امنیت را دارند میتواند برای محافظت از شبکه کسب و کار شما کمک کند.

4.مهارت کمبود

اگرچه به طور خاص تهدیدی مستقیم برای امنیت سایبری شرکت شما نیست، کمبود استعدادهای امنیتی واجد شرایط امنیتی می تواند آن را در معرض خطر قرار دهد. مسائل مربوط به استخدام و نگهداری می تواند بودجه را از بی نهایت بیرون بکشند و ابزارهای بسیار ضروری را به نفع پرداخت حقوق بالاتر بریزند. پست ما را در مورد هزینه استخدام و نگهداری کارمندان امنیتیITدر اینجا برای اطلاعات بیشتر در مورد کمبود و آنچه که می توانید انجام دهید تا مطمئن شوید که شرکت شما محافظت می شود، بخوانید .

5.Spectre and  Meltdown

به هر حال به آن نگاه می کنید، این دو نقص امنیتی سخت افزار خبر بدی هستند زیرا به سخت افزارCPUخود حمله می کنند نه سیستم عامل که بر روی سخت افزار اجرا می شود. در حالی که تکه های امنیتی منتشر شده است، Spectre and Meltdownبه ارزیابی آسیب پذیری های دستگاه می پردازند که محققان آن را فاجعه بار توصیف می کنند، با توجه به نقص هایی که در تقریبا هر تراشه کامپیوتری که در 20 سال گذشته تولید می شود، تاثیر می گذارد. سازمان های جامعه مدنی، CISOs و تصمیم گیرندگان فناوری اطلاعات باید در ارزیابی وضعیت امنیتی دستگاه های مستقر در سراسر نیروی کار، مراقب باشند.