رویکرد حاکمیت امنیت اطالعات در رایانش ابری سینا افشاری نیا دانشجوی کارشناسی ارشد مدیریت فناوری اطالعات دانشگاه تربیت مدرس

Download Report

Transcript رویکرد حاکمیت امنیت اطالعات در رایانش ابری سینا افشاری نیا دانشجوی کارشناسی ارشد مدیریت فناوری اطالعات دانشگاه تربیت مدرس 

‫رویکرد حاکمیت امنیت اطالعات‬
‫در رایانش ابری‬
‫سینا افشاری نیا‬
‫دانشجوی کارشناسی ارشد مدیریت فناوری اطالعات‬
‫دانشگاه تربیت مدرس‬
‫سینا افشاری نیا‬
‫معرفی رایانش ابری‬
‫‪‬‬
‫رايانش ابري به عنوان یک پارادايم جديد‪ ،‬با هدف ایجاد‪:‬‬
‫‪ ‬پويایی‬
‫‪ ‬قابلیت اتکا‬
‫‪ ‬انعطاف پذيری‬
‫‪QoS ‬‬
‫‪‬‬
‫‪‬‬
‫شبکه بزرگي از گره ها‬
‫مجازي سازي‬
‫منبع‪Velte et al, 2010 :‬‬
‫‪2 / 21‬‬
‫سینا افشاری نیا‬
‫معرفی رایانش ابری‬
‫(ادامه)‬
‫منبع‪Zhu 2010 :‬‬
‫‪3 / 21‬‬
‫سینا افشاری نیا‬
‫معرفی رایانش ابری‬
‫(ادامه)‬
‫منبع‪Linthicum, 2010 :‬‬
‫‪4 / 21‬‬
‫سینا افشاری نیا‬
‫برنامه ریزی استراتژیک سیستم های اطالعاتی‬
‫‪‬‬
‫پروژه های تشکیل دهندۀ برنامه ريزي استراتژيک سيستم هاي اطالعاتي‬
‫(‪)Doherty & Fulford, 2006‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫اصالح سيستم هاي اطالعاتي فعلي‬
‫بهبود سيستم هاي اطالعاتي موجود‬
‫توجه به پروژه هاي جديد توسعه سيستم هاي اطالعاتي‬
‫توجه ويژه به فناوري زيرساختارهاي جديد‬
‫سرمايه گذاري در پروژه هاي پژوهش ي نوآورانه‬
‫تاثیرگذاری بر‬
‫سیاسات های‬
‫امنیتی‬
‫‪5 / 21‬‬
‫سینا افشاری نیا‬
‫راه حل های امنیت اطالعات‬
‫‪‬‬
‫‪‬‬
‫تمرکز مدیریت استراتژیک امنیت بر تقاضای منابع و هزینۀ دستیابی به آن ها‬
‫جنبه های اصلی امنیت (‪)Papazoglou et al, 2007‬‬
‫‪ ‬تصديق هويت‬
‫‪ ‬يکپارچگي داده ها‬
‫‪ ‬قابل اطمينان بودن داده ها‬
‫‪ ‬کنترل دسترس ي‬
‫‪ ‬عدم انکار سرويس‬
‫منبع‪Stallings, 2003 :‬‬
‫‪6 / 21‬‬
‫سینا افشاری نیا‬
‫راه حل های امنیت اطالعات‬
‫‪‬‬
‫(ادامه)‬
‫کاستی های راه حل های امنیتی (‪)Anderson & Choobineh, 2008‬‬
‫‪ ‬تمرکز بر مقایسۀ راه حل ها‬
‫‪ ‬عدم برخورداری از رویکردی جامع‬
‫‪ ‬دیدگاه جهانشمول نسبت به ریسک‬
‫‪‬‬
‫ریسک های امنیتی‬
‫(‪)Posthumus & Solms, 2004‬‬
‫‪ ‬پدیده های طبیعی‬
‫‪ ‬نارسایی فنی‬
‫‪ ‬ریسک های مرتبط با انسان‬
‫‪7 / 21‬‬
‫سینا افشاری نیا‬
‫اجزای سیاست های امنیت اطالعات‬
‫‪ ‬اجزاي سياست هاي امنيتي اطالعات (‪)Doherty & Fulford, 2006‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪8 / 21‬‬
‫استفاده هاي شخص ي از سيستم هاي اطالعاتي‬
‫امنيت فيزيکي زيرساختار و منابع اطالعات‬
‫برنامه ريزي اقتضايي‬
‫دسترس ي به اينترنت‬
‫افشاي اطالعات‬
‫تخلفات امنيتي‬
‫رايانش سيار‬
‫رمزنگاري‬
‫مديريت دسترس ي کاربران‬
‫توسعه و نگهداري نرم افزارها‬
‫جلوگيري از ويروس ها و کرم ها‬
‫منبع‪Laborde et al, 2007 :‬‬
‫سینا افشاری نیا‬
‫ذخیره سازی در ابر‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫قراردادهای سطح خدمات‬
‫امنیت اطالعات‪ ،‬مهمترین نگرانی در رایانش ابری‬
‫شباهت ذخيره سازی در ابر‪ ،‬به خدمات الکترونیکی‬
‫منبع‪Joint et al, 2009 :‬‬
‫‪9 / 21‬‬
‫‪10 / 21‬‬
‫سینا افشاری نیا‬
‫‪‬‬
‫قوانين مربوط به دسترس ی کاربران‬
‫‪ ‬مجوزهای دسترس ی به حساب مشتریان‬
‫‪ ‬ایجاد حس مسئولیت پذیری در کاربران‬
‫‪ ‬تهدیدات امنیتی با مداخلۀ انسان‬
‫‪‬‬
‫نظم و قانون پذیری‬
‫‪ ‬سياست هاي آزمون امنيت و سياست هاي افشاي نقاط ضعف‬
‫‪ ‬دسترس ی به داده ها به محض نیاز‬
‫‪ ‬رويه ها و سياست هاي توسعه نرم افزار‬
‫‪ ‬استانداردهای امنیتی‬
‫‪11 / 21‬‬
‫سینا افشاری نیا‬
‫‪‬‬
‫محل داده ها‬
‫‪ ‬قوانين مربوط به حریم شخص ی کاربران‬
‫‪ ‬قوانين کشورها در رابطه با اطالعات شهروندان‬
‫‪ ‬توافقنامه هايي براي پيروي از نيازهاي محلي و منطقه اي‬
‫‪‬‬
‫تفکيک داده هاي مشتريان مختلف‬
‫‪ ‬حفظ محرمانگی اطالعات‬
‫‪ ‬رمزنگاری اطالعات‬
‫‪ ‬ابرهای اختصاص ی‬
‫سینا افشاری نیا‬
‫‪12 / 21‬‬
‫‪‬‬
‫قابلیت بازیابی‬
‫‪ ‬امکان آزمایش و اصالح سنجه های امنیتی‬
‫‪ ‬پرداخت غرامت‬
‫‪ ‬افزونگی مخازن ذخيره سازی داده ها‬
‫‪ ‬زمان نیاز برای بازیابی‬
‫‪‬‬
‫امکان تحقیق و رسیدگی‬
‫‪ ‬روش های استاندارد افشاسازی و بازرس ی‬
‫‪ ‬بازرس ی فعالیت های غير قانونی‬
‫‪ ‬قراردادهای بازرس ی‬
‫‪13 / 21‬‬
‫سینا افشاری نیا‬
‫‪‬‬
‫تداوم پذیری‬
‫‪ ‬ماشين های مجازی‬
‫‪ ‬امکان استقالل از سخت افزار‬
‫‪ ‬امنیت و قابلیت اتکا‬
‫‪14 / 21‬‬
‫سینا افشاری نیا‬
‫سینا افشاری نیا‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫مشکل بودن توافق کامل بر کنترل امنيت و پيشگيري‬
‫نبود استانداردهای رایانش ابری‬
‫ابزار کنترل و مديريت تغيير‬
‫نتیجه‬
‫‪ ‬سياست ها‪ ،‬فرآيندها‪ ،‬ارتباطات و آموزش‬
‫‪‬‬
‫‪15 / 21‬‬
‫پيچيدگی‪ ،‬عدم انعطاف پذيري و کاهش بازدهي‬
‫گیری‬
‫سینا افشاری نیا‬
‫نتیجه گیری‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪16 / 21‬‬
‫موانع قانونی برخی از کشورها‬
‫داده های حساس‬
‫تفاوت رويکرد به مهارت ها‪ ،‬ادراکات و دانش امنيت اطالعات‬
‫حاکمیت امنیت اطالعات‬
‫(ادامه)‬
‫سینا افشاری نیا‬
‫توصیه ها‬
‫‪17 / 21‬‬
‫سینا افشاری نیا‬
‫توصیه ها‬
‫‪18 / 21‬‬
‫سینا افشاری نیا‬
‫منابع‬






Anderson E E, Choobineh J (2008) Enterprise Information Security Strategies,
Computers & Security (27) pp.22-29
Brodkin J (2008) Gartner: Seven Cloud-Computing Security Risks, available
at <http://www.networkworld.com/news/2008/070208-cloud.html>, last
accessed on 8/27/2009
Doherty N F, Fulford H (2006) Aligning the Information Security Policy with
the Strategic Information Systems Plan, Computers & Security (25) pp.55–63
Joint A, Baker E, Eccles E (2009) Hey, You, Get Off of That Cloud?,
Computer Law & Security Review (25), 2009, pp.270-274
Laborde R, Kamel M, Barrère F, Benzekri A (2007) Implementation of a
Formal Security Policy Refinement Process in WBEM Architecture, Journal of
Network and Systems Management (15:2) pp.241-266.
Linthicum D S (2010) Cloud Computing and SOA Convergence in Your
Enterprise: A Step-by-Step Guide, Pearson Education. The Addison-Wesley
Information Technology Series
19 / 21
‫سینا افشاری نیا‬
‫منابع‬





Papazoglou M P, Traverso P, Dustdar S, Leymann F (2007) Service-Oriented
Computing: State of the Art and Research Challenges, Computer (40:11) pp.
64-71
Posthumus S, Solms R V (2004) A framework for the Governance of
Information Security, Computers & Security (23) pp.638-646
Stallings W (2003) Network Security Essentials: Applications and Standards,
2nd Edition, New Jersey: Pearson Education
Velte A T, Velte T J, Elsenpeter R (2010) Cloud Computing: A Practical
Approach, MacGraw-Hill.
Zhu J (2010) Cloud Computing Technologies and Applications, In. Handbook
of Cloud Computing, eds. Furht B, Escalante A, NY: Springer
20 / 21
‫سینا افشاری نیا‬
‫با تشکر‬
‫‪‬‬