03.Information Security Concept_Shahriari
Download
Report
Transcript 03.Information Security Concept_Shahriari
حمید رضا شهریاری
http://ceit.aut.ac.ir/~shahriari
استادیار دانشگاه صنعتی امیرکبیر
(نسخه اولیه اسالیدها توسط آقای دکتر امینی تهیه شده اند)
اسفند 1390
امنيت اطالعات و ضرورت آن
فهرست مطالب
•
•
•
•
مقدمه
حوادث و رخدادهای امنیتی
– رشد قابل توجه رخدادها
– توزيع آلودگي در دنيا و ايران
– جنگ سايبري
مبانی امنیت اطالعات
– تعاریف و مفاهیم اولیه
– تهدیدات و حمالت
– اقدامات امنیتی
َ
– ناامني و مديريت امنيت اطالعات
جمعبندی
امنيت اطالعات و ضرورت آن
2
مقدمه
امنيت اطالعات و ضرورت آن
3
مقدمه
• زندگي وابسته به رشتههاي بيتي روي خطوط ارتباطي
• روند روبهرشد استفاده از شبكه در شركتها و سازمانها (به خصوص
اينترنت)
• افزایش دسترس ی و افزایش تهدیدات الکترونیکی
امنيت اطالعات و ضرورت آن
4
حوادث و رخدادهای امنیتی
رشد قابل توجه رخدادها
امنيت اطالعات و ضرورت آن
5
رشد رخدادهای امنیتی
میزان رخدادهای امنیتی گزارش شده توسط مرکز مدیریت رخداد CERT
137,529
140,000
120,000
82,094
80,000
52,658
60,000
تعداد رخدادها
100,000
40,000
21,756
9,859
3,734
20,000
1,334
132
0
99 '00 '01 '02 '03
امنيت اطالعات و ضرورت آن
98
97
96
95
94
93
92
91
90
89
6
رشد ابزار و کاهش دانش حمله
زیاد
ابزار مهاجمان
Packet Forging Spoofing
DDoS
Internet Worms
Sniffers
Back Doors
Sweepers
Exploiting Known
Disabling Audits
Vulnerability
Self Replicating
Code
Password Cracking
دانش مهاجمان
Password Guessing
کم
7
1980
1990
2000
امنيت اطالعات و ضرورت آن
رشد حمالت
• از دو نمودار قبلی بخوبی پيداست :
– تعداد حمالت عليه امنيت اطالعات به طور قابل مالحظهای افزايش
يافته است.
– امروزه تدارک حمله با در اختيار بودن ابزارهای فراوان در دسترس به
دانش زيادی احتياج ندارد (بر خالف گذشته).
امنيت اطالعات و ضرورت آن
8
نگاهي به گزارش DTIانگليس
حوادث امنيتي مخرب در سازمانها
-2010سازمانهاي بزرگ
90%
-2010سازمانهاي كوچك
74%
-2008کل سازمانها
35%
-2006کل سازمانها
52%
-2004کل سازمانها
68%
-2002کل سازمانها
44%
-2000کل سازمانها
24%
-1998کل سازمانها
18%
100%
امنيت اطالعات و ضرورت آن
80%
60%
40%
20%
0%
9
نگاهي به گزارش DTIانگليس
انواع حوادث رخ داده در سازمانها
80%
خرابي سيستم يا تخريب دادهها
57%
62%
23%
آلودگي به ويروس و نرمافزارهاي مخرب
43%
14%
49%
80%
100%
كل سازمانها 2008 -
امنيت اطالعات و ضرورت آن
ديگر حوادث ناش ي از پرسنل داخلي
42%
63%
80%
11%
4%
60%
16%
حمالت از خارج سازمان
49%
40%
دزدي و كالهبرداري
16%
20%
سازمانهاي كوچك 2010 -
0%
سازمانهاي بزرگ 2010 -
10
نگاهي به گزارش DTIانگليس
حوادث امنيتي ناش ي از عملكرد نادرست پرسنل سازمانها
(در استفاده از اينترنت ،ايميل ،حفظ محرمانگي دادهها ،دسترس ي به شناسه كاربردي ديگران و )...
-2010سازمانهاي بزرگ
80%
-2010سازمانهاي كوچك
42%
-2008کل سازمانها
16%
-2006کل سازمانها
21%
-2004کل سازمانها
22%
-2002کل سازمانها
11%
-2000کل سازمانها
8%
90%
80%
امنيت اطالعات و ضرورت آن
70%
60%
50%
40%
30%
20%
10%
0%
11
نگاهي به گزارش DTIانگليس
متوسط هزينههاي مرتبط با يك حادثه سنگین امنيتي در سازمانها
سازمانهاي كوچك
(معادل به ميليون تومان)
سازمانهاي بزرگ
(معادل به ميليون تومان)
51 – 5/25
646 – 340
زمان صرف شده براي مقابله با حادثه
2/55 – 1/02
20/4 – 10/2
هزينههاي مستقيم مقابله با حادثه
11/9 – 6/8
68 - 42/5
خسارات مالي مستقيم (خسارت به داراييها ،حسابهای مالي و)...
8/5 – 5/1
68 - 42/5
17 - 8/5
34 - 25/5
1/7 – 0/17
340 - 25/5
متوسط كل هزينه يك حادثه سنگین امنيتي ()2010
93/5 – 46/75
1173 - 476
متوسط كل هزينه يك حادثه سنگین امنيتي ()2008
34 - 17
289 - 153
تسلسل و وقفه در كسب و كار
خسارات مالي غیرمستقيم (از دست دادن حق مالكيت معنوي و )...
لطمه به شهرت و اعتبار
امنيت اطالعات و ضرورت آن
12
حوادث و رخدادهای امنیتی
توزیع آلودگی در دنیا و ایران
امنيت اطالعات و ضرورت آن
13
توزیع سایتهای فیشینگ
توزیع سایتهای فیشینگ در دنیا در 6ماه دوم ( 2010گزارش )SIR
امنيت اطالعات و ضرورت آن
14
توزیع سیستمهای آلوده
توزیع سیستمهای آلوده به بدافزار در دنیا در 6ماهه دوم ( 2010گزارش )SIR
امنيت اطالعات و ضرورت آن
15
توزیع سایتهای آلودهساز
توزیع سایتهای آلودهساز در دنیا در 3ماهه چهارم ( 2010گزارش )SIR
امنيت اطالعات و ضرورت آن
16
حوادث و رخدادهای امنیتی
جنگ سایبری
امنيت اطالعات و ضرورت آن
17
جنگ سایبری
• جنگ عراق و آمریکا ()1991
– ایجاد اختالل در سيستم ضدهوايي عراق
– توسط نيروي هوايي آمريكا با استفاده از ويروس ي با نام AF/91
– انتقال از طریق چيپ پرینتر آلوده به ويروس از مسير عمان و سوريه
– هر چند بعدها درستي موضوع تاييد نشد! وليكن ...
امنيت اطالعات و ضرورت آن
18
جنگ سایبری
• حمله سايبري روسيه به استوني ()2007
– حمله به وزارتخانهها ،بانكها ،و رسانهها
– حمله از طريق ِسر ِورهاي اداري تحت كنترل روسيه
امنيت اطالعات و ضرورت آن
19
جنگ سایبری
• حمله ....به تاسيسات هستهاي ایران ()2010
– از طريق ويروس Stuxnet
– آلودهسازي سيستمهاي كنترل صنعتي و PLCها
– هدف :مطابق گزارش سیمانتک آلودهسازي سانتريفيوژها بوده است.
امنيت اطالعات و ضرورت آن
20
حمالت سایبری
• حمله به تاسسیات آب در Springfieldآمریکا ()2011
• نفوذ به تجهيزات اسکادا و تخریب پمپ آب
• نفوذ ابتدا به شرکت همکار پشتیبان سیستم انجام شده و از آنجا به
سیستمهای کنترل
• منبع:
_http://www.computerworld.com/s/article/9222014/Apparent_cyberattack_destroys_pump
at_Ill._water_utility
امنيت اطالعات و ضرورت آن
21
مبانی امنیت اطالعات
تعاریف و مفاهیم اولیه
امنيت اطالعات و ضرورت آن
22
امنيت چيست؟
• امنيت به (طور غير رسمی) عبارتست از حفاظت از آنچه براي ما ارزشمند
است.
– در برابر حمالت عمدي
– در برابر رویدادهای غيرعمدی
امنيت اطالعات و ضرورت آن
23
تعریف امنیت
امنيت اطالعات مبتنی است بر تحقق سه ويژگی زیر:
محرمانگي )(Confidentiality
•
صحت )(Integrity
•
عدم افشای غيرمجاز دادهها
I
CA
عدم دستكاري دادهها توسط افراد يا نرمافزارهاي غيرمجاز
دسترسپذيري )(Availability
•
امنيت اطالعات و ضرورت آن
دسترس ی به داده هاتوسط افراد مجاز در هر مكان و در هرزمان
24
سرويسهاي امنيتي
امنیت اطالعات مبتنی است بر ارائه سرویسهای امنیتی زیر:
• حفظ صحت دادهها )(Integrity
• حفظ محرمانگي دادهها )(Confidentiality
• احراز اصالت )(Authentication
• کنترل دسترس ی )(Access Control
• عدمانكار )(Non-repudiation
• دسترس پذيری )(Availability
امنيت اطالعات و ضرورت آن
25
تعاریف و مفاهیم اولیه
• خطمش ی (سياست) امنيتی) :(Security Policyنيازمنديهای امنيتی يک
سازمان و يا يك سيستم اطالعاتی /ارتباطی را بيان مینمايد.
• در تعريف سياستهاي امنيتي:
– بايد بدانيد تا چه اندازه و در چه نقاطي نياز به اقدامات
محافظتي داريد.
– سیاستهای سازمان در دسترس ی افراد به منابع اطالعاتی چیست؟
– بايد بدانيد چه افرادي ،چه مسؤوليتهايي در اجراي اقدامات محافظتي
سازمان دارند.
امنيت اطالعات و ضرورت آن
26
تعاریف و مفاهیم اولیه
• آسيبپذيری ) :(Vulnerabilityویژگی یا نقطه ضعفی در سیستم که می
توان از آن سوءاستفاده کرد و امنیت سیستم را نقض کرد.
• حمله ) :(Attackتالش برای يك نفوذ عمدي در يك سيستم اطالعاتي/
ً
ي
ي
ارتباطي ،حمله گفته ميشود (معموال با بهرهگير از آسيبپذير هاي موجود).
• نفوذ ) :(Intrusionنتیجه یک حمله موفق و نقض
امنیت سیستم.
امنيت اطالعات و ضرورت آن
27
تعاریف و مفاهیم اولیه
• مکانیزم امنيتي ) :(Security Mechanismبه هر روش ،ابزار و يا
رويهاي كه براي اعمال يك سياست امنيتي به كار ميرود ،يك مكانيزم امنيتي
گويند.
امنيت اطالعات و ضرورت آن
28
مبانی امنیت اطالعات
تهدیدات و حمالت
امنيت اطالعات و ضرورت آن
29
منشأ تهديدات امنيتي
• منشأ تهدیدات امنیتی
– افراد (عوامل انسانی)
– نرمافزارها
امنيت اطالعات و ضرورت آن
30
تهديد – عامل انساني
• انواع مهاجمان
– هكرهای کاله قرمز/سیاه
– كارمندان ناراض ي
– رقيبان داخلي
– رقيبان خارجي
– دولتهاي خارجي
امنيت اطالعات و ضرورت آن
31
تهديد – عامل نرمافزاري
• برنامههاي كاربردي به دو صورت ميتوانند عامل خطر باشند:
– برنامههايي كه بطور عمدي براي ايجاد تهديد ساخته ميشوند.
بدافـزارها
– برنامههايي كه بطور غیرعمدي اشكاالتي در آنها وجود دارد.
برنامههای آسیبپذیر
امنيت اطالعات و ضرورت آن
33
بدافزارها
ُ
• بدافزار ( :)Malwareیک قطعه کد ،اسکریپت ،و یا برنامه که به قصد
خرابکاری و اختالل در امنیت سیستمها یا شبکهها منتشر میشود.
• اهداف خرابکارانه بدافزارها:
– دزدی اطالعات محرمانه و نقض حریم خصوص ی (مثال اطالعات بانکی)
– کندی و ایجاد وقفه و اختالل در سیستمها و سرویسدهی
– تخریب و تغیير اطالعات
– سوءاستفاده از منابع و سرویسها
امنيت اطالعات و ضرورت آن
34
بدافزارها
• ویروس ()Virus
– يك قطعه برنامه کوچک با انتشار از طریق چسبیدن به دیگر فایلها
• کرم ()Worm
– برنامه كوچك مستقل با توانايي كپي شدن و بیشتر انتشار از طریق شبکه
• اسب تروا ()Trojan Horse
– مخفی در يك برنامه مفيد يا به صورت يك برنامه به ظاهر مفيد
• بات ( )Botشبکه بات ()Botnet
– فراهم نمودن امکان کنترل تعدادی سیستم قربانی برای مقاصد سوء و
انجام حمالت جمعی توزیعشده
امنيت اطالعات و ضرورت آن
35
مبانی امنیت اطالعات
اقدامات امنیتی
امنيت اطالعات و ضرورت آن
36
اقدامات امنيتي
• پیشگیری )(Prevention
– جلوگيری از خسارت
پیشگیری
Prevention
• تشخیص و ردیابی )(Detection & Tracing
– تشخیص )(Detection
• ميزان خسارت
تشخیص
پاسخ
Detection
Reaction
• هویت دشمن
• کیفیت حمله (زمان ،مکان ،دالیل حمله ،نقاط ضعف)...
• پاسخ )(Reaction
– ترمیم ،بازیابی و جبران خسارات
– جلوگيری از حمالت مجدد
امنيت اطالعات و ضرورت آن
37
اقدامات امنیتی
• مراتب مقابله با نفوذ و تهاجم در سیستم اطالعاتی /ارتباطی
تهاجمات و حمالت
•شناسايي و احراز هويت
•كنترل دسترس ي
•حفاظ (ديواره آتش)
•رمزنگاري و امضاي ديجيتال
امنيت اطالعات و ضرورت آن
پيشگیري
تشخيص
ترميم
•سیستم تشخیص نفوذ ()IDS
•تکرار داده ها و سیستمها
•سیستم همبستهساز رویدادها
•پشتیبان گیری
•سیستم تلهعسل ()Honeypot
38
مبانی امنیت اطالعات
ناامني و مديريت امنيت اطالعات
امنيت اطالعات و ضرورت آن
39
داليل ناامني سیستمها
• ضعف فناوري
– پروتكل ،سيستم عامل ،تجهيزات
• ضعف تنظيمات
– رهاكردن تنظيمات پيشفرض ،گذرواژههاي نامناسب ،عدم استفاده از
رمزنگاري ،راهاندازي سرويسهاي اينترنت بدون اعمال تنظيمات الزم... ،
• ضعف سياستگذاري
– عدم وجود سياست امنيتي
– عدم وجود طرحي براي مقابله و بازيابي مخاطرات
– نداشتن نظارت امنيتي مناسب (مديريتي و فني)
امنيت اطالعات و ضرورت آن
40
امنسازي
• نگرش مديريتي به مسئلة امنيت الزم است و نه فقط نگرش فني.
• امن سازي يک فرآيند است نه يک وظيفه خاص و مقطعی.
• گستره امنيت تمامي منابع سازمان است و نه تنها كارگزار اصلي.
• مهاجمین داخلي و مجاز خطر بالقوة بيشتري دارند.
امنيت اطالعات و ضرورت آن
41
چرخه ايجاد امنيت
احراز اصالت ،فایروال،
رمزنگاری. . . ،
امنسازی
پایش
سیستمهای تشخیص
نفوذ ،تله بدافزار. . . ،
خطمش ی
امنیتی
عملیات شبکه و امنیت
مدیریت و
بهبود
تست و
آزمون
آزمون نفوذ و آسیبپذیری
امنيت اطالعات و ضرورت آن
42
استراتژي امنيت سازماني
•
•
•
•
مصالحه بين امنيت ،کارآيي و عملکرد
مصالحه بين امنيت ،كارايي و هزينه
ميزان امنيت مورد انتظار کاربران؟
ميزان ناامني قابل تحمل سازمان؟
كارآيي
عملكرد
امنيت
امنيت اطالعات و ضرورت آن
43
دشواري برقراري امنيت
ً
ي
• امنيت معموال قرباني افزايش کارآيي و مقياس پذير ميشود.
• امنيت باال هزينهبر است.
• کاربران عادی امنيت را به عنوان مانع در برابر انجام شدن کارها تلقي ميکنند
و از سياستهاي امنيتي پيروي نميکنند.
امنيت اطالعات و ضرورت آن
44
دشواري برقراري امنيت
• اطالعات و نرمافزارهاي دور زدن امنيت به طور گسترده در اختيار هستند.
• برخي دور زدن امنيت را به عنوان يک مبارزه در نظر ميگيرند و از انجام آن
لذت ميبرند.
• مالحظات امنيتي در هنگام طراحيهاي اوليه سيستمها و شبکهها در نظر
گرفته نمیشود.
امنيت اطالعات و ضرورت آن
45
سیستم مديريت امنيت اطالعات
نیازمند پیادهسازی سیستم مدیریت امنیت اطالعات در سازمانها
ISMS
Information Security Management System
موضوع سخنرانی
بعدی
امنيت اطالعات و ضرورت آن
46
جمعبندی
امنيت اطالعات و ضرورت آن
47
جمعبندی
• امنیت اطالعات مبتنی است بر حفظ محرمانگی ،صحت ،و دسترسپذیری
• ضرورت تامين امنیت به واسطه افزایش رخدادها و حوادث
• نگاهي فرآيندي به تامين امنيت اطالعات در سازمان و سيستم
سيستم مديريت امنيت اطالعات
امنيت اطالعات و ضرورت آن
48
با تشکر از توجه شما ...
با تشکر از آقای دکتر امینی برای تهیه نسخه اولیه اسالیدها
امنيت اطالعات و ضرورت آن
49