تعریف سیاستهای سیستم مدیریت امنیت اطلاعات، برحسب مشخصات تجاری، سازمان، موقعیت آن، دارایی ها و تکنولوژی که شامل:
چارچوبی برای تعیین اهداف و ایجاد یک فهم کلی از جهت و قواعد با توجه به امنیت اطلاعات میباشد
( اینجا فقط تکه ای از متن پایان نامه درج شده است. برای خرید متن کامل فایل پایان نامه با فرمت ورد می توانید به سایت feko.ir مراجعه نمایید و کلمه کلیدی مورد نظرتان را جستجو نمایید. )
در نظر گرفتن الزامات تجاری، قانونی و نظارتی و تعهدات امنیتی قراردادی
قرارگرفتن، ایجاد و نگهداری سیستم مدیریت امنیت اطلاعات همراستا با زمینۀ مدیریت ریسک استراتژیک در سازمانها
ایجاد معیارهایی که ریسک به وسیلۀ آنها ارزیابی شود
اثبات شده به وسیلۀ مدیریت
تعریف رویکرد ارزیابی ریسک سازمان:
شناسایی متدولوژی ارزیابی ریسکی که مناسب سیستم مدیریت امنیت اطلاعات باشد و شناسایی الزامات قانونی و نظارتی در زمینۀ امنیت کسب و کارها
توسعۀ معیارها برای پذیرش ریسکها و شناسایی سطح ریسک قابل قبول
شناسایی ریسک:
شناسایی دارایی هایی که در محدودۀ سیستم مدیریت امنیت اطلاعات قرار دارند و صاحب این دارایی ها
شناسایی تهدیدات مرتبط با این دارایی ها
شناسایی آسیب پذیریهایی که ممکن است با تهدیدات مورد سوء استفاده قرار گیرند
شناسایی تأثیری که از دست دادن محرمانگی، درستی و در دسترس بودن می تواند برروی دارایی ها داشته باشد
تحلیل و ارزیابی ریسک:
ارزیابی تأثیرات عوامل تجاری مانند شکستهای امنیتی، در نظر گرفتن نتایج از دست دادن محرمانگی، صحت و دردسترس بودن دارایی ها برسازمان
ارزیابی واقع بینانۀ احتمال کلی رخ دادن خرابیهای امنیتی در اثر تهدیدات شایع، آسیبپذیریها و تأثیر برروی دارایی ها و کنترلهای اخیر
تخمین سطوح ریسکها
تعیین اینکه آیا ریسک قابل پذیرش است و یا اینکه با بهره گرفتن از معیارهای پذیرش ریسک نیاز به ارزیابی دارد
شناسایی و ارزیابی گزینه ها برای از بین بردن ریسک. فعالیتهای ممکن در این زمینه عبارتند از:
اجرای کنترلهای مناسب
پذیرش ریسک به صورت آگاهانه و هدفمند و مشروط بر تأمین سیاستهای سازمان و مقبولیت معیارهای ریسک
اجتناب از ریسک
انتقال ریسکهای تجاری به سایر شرکای تجاری مانند تضمین کننده و تأمین کننده
انتخاب کنترلها برای اهداف و از بین بردن ریسکها
کسب مجوز مدیریت برای اجرا و ادارۀ سیستم مدیریت امنیت اطلاعات.
ایجاد کردن یک بیانیۀ قابل اجرا (استاندارد ایزو/آی ایی سی، ۲۰۰۵).
مشخصات زیرساختها و پیادهسازی
امروزه امنیت به یک موضوع پیچیده تبدیل شده، از این رو محافظت از زیرساختها یک فعالیت جدی و ضروری محسوب می شود. در این راستا محصولات نرم افزاری زیادی ازجمله مدیریت امنیت اطلاعات وجود دارند که میتوانند به شرکتها برای مدیریت فرایند و متمرکز کردن اطلاعات مرتبط کمک نمایند (ناتان، ۲۰۰۵). باید در نظر داشت که شاید در گذشته، اهمیت زیرساختهای پایۀ شبکه، به منظور توسعۀ یک طرح مؤثر حفاظت از داده ها، دست کم گرفته میشد؛ اما امروزه با توجه به افزایش حجم داده ها در انواع طرحهای زیربنایی جدید، بیشترین اهمیت را دارد (گالسورتی، ۱۹۹۶)؛ در نتیجه توسعۀ هر پدیدۀ اجتماعی _ فنی، نیازمند زیرساختها و الزاماتی است که ممکن است از خود سیستم مستقل باشند یا نباشند.
از این رو رشد تجارت الکترونیک، نیازمند زیرساختهای انعطافپذیری است که میتوان آنها را در دو حوزۀ خرد و کلان در نظر گرفت؛ حوزۀ کلان به زیرساختهایی که باید توسط دولتها فراهم گردد، مربوط می شود و حوزۀ خرد به زیرساختهایی مربوط می شود که سازمانها به صورت جداگانه، باید برای خود فراهم نمایند. اما متأسفانه کشورهای در حال توسعه، معمولاً با کمبود زیرساختهای ارتباطی خوب مواجهند در نتیجه مردم و کسب و کارها در کشورهای در
حال توسعه نمی توانند بدون وجود زیرساختهای کافی در تجارت الکترونیک سرمایه گذاری کنند، علاوه بر آن ایجاد زیرساختهای مورد اعتماد، امری پرهزینه است و در بسیاری از مواقع مسئولیت تأمین مالی زیرساختهای مورد نیاز در کشورهای در حال توسعه، برعهده دولت است (آلجفری و همکاران، ۲۰۰۳).
البته در حوزۀ سازمانها، زیرساختهای امنیتی، بیان کنندۀ پیادهسازی سیاستهای امنیتی هستند. این زیرساختها، در واقع تکنولوژیهایی هستند که به منظور امن نگه داشتن کسب و کار الکترونیک و قواعدی که باید به آنها عمل کرد به کار میروند و مستلزم مدیریت رفتار منابعIT و انسانی میباشند، علاوه بر آن باید به طور منظم آنها را سیاست گذاری نمود و در نهایت، موارد تعیینشده اجرا شوند و همچنین باید مجازات برای نقض سیاستهای امنیتی برای تمام کارمندان و شرکا روشن گردد (سنگوپتا و همکاران، ۲۰۰۵).
بر این اساس برای پیادهسازی زیرساختهای امنیتی در تجارت الکترونیک، سازمانها باید یک چارچوب کلی برای پیادهسازی و توسعۀ برنامه های کاربردی ایجاد کنند، سپس میتوان الزامات را برای هریک از سطوح یا بخشهای تعریف شدۀ چارچوب، در نظر گرفت و با بهره گرفتن از این الزامات، طراحی اولیه از هر سطح چارچوب می تواند به صورت پیش نویس درآید که در واقع همان سیاستهای امنیتی است؛ در نهایت مطالعۀ جامع از سیستم، باید به منظور فهم روابط بین سطح و مفاهیم گسترۀ سیستم و فرصتهای طراحی ایجاد شده برای چارچوب هر سطح، ایجاد گردد.
در این فاز تحلیلهای حاصل از مشخصات الزامات امنیتی با مشخصات زیرساختهای امنیتی که برگرفته از سیاستهای امنیتی است، برای ایجاد لیستی از ابزارهای مورد نیاز، به منظور حفاظت از دارایی ها به کار میرود، سپس برای بدست آوردن، پیکربندی و گسترش در سطح سیستم مورد استفاده قرار میگیرد.
۲-۴-۵-۱) استفاده از صادرکنندۀ گواهی دیجیتال:
گواهی دیجیتال، ساختمانی از داده ها است که کلید عمومی و اطلاعات هویتی صاحب کلید را به همراه اطلاعات احتمالی دیگر، دربر میگیرد و با کلید خصوصی یک مرجع گواهی، امضاء می شود.
گواهینامۀ دیجیتال تصدیق می کند که دارندۀ کلید خصوصی یا عمومی، همان شخصی است که ادعا می کند؛ برای این منظور شخص ثالثی که به صادر کنندۀ گواهینامه معروف است، مسئولیت صدور گواهینامۀ دیجیتالی را بر عهده دارد و یک مقام مورد اعتماد است که گواهیهای دیجیتال را صادر و مدیریت مینماید. او در واقع از یک زیرساخت کلید عمومی، برای انجام مدیریت چرخۀ عمر گواهیهای دیجیتال استفاده می کند. این گواهیها عموماً شامل کلید عمومی مالک، تاریخ انقضای گواهینامه، نام مالک و سایر اطلاعات هستند. در بعضی موارد صادر کنندگان گواهی دیجیتال، در تعدادی از وظایف اداری از قبیل ثبتنام کاربر نهایی درگیر میشوند، اما این وظایف اغلب به مقام ثبتنام کننده واگذار میگردد (ریووید، ۲۰۰۵).
در واقع به واسطۀ گواهینامههای دیجیتالی، هویت صاحب یک کلید عمومی یا خصوصی، تأیید می شود؛ تمام مشترکان بالقوه پیش از اخذ گواهینامۀ دیجیتال توسط صادرکنندۀ گواهی، تصدیق هویت میشوند. فرایند تصدیق هویت، از یک تأیید ساده در زمینۀ تعلق ایمیل به فردی خاص، تا فرایند پیچیدۀ تضمین اسناد و مدارک را در بر میگیرد. فرایند جامعتر
در این زمینه، ارائۀ اطمینان قوی نسبت به مشترکی که ادعا می کند، میباشد. این را نباید فراموش کرد که گواهینامۀ دیجیتال، تنها مربوط به یک کلید با یک هویت است؛ نه متعلق به شخصی فیزیکی (مایک، ۲۰۱۲).
هنگامی که شخص درخواست یک متن را ارسال می کند، ابتدا از دریافت کننده میخواهد که گواهینامههای امضاء شده را بفرستد و فرستنده از کلید عمومی صادرکنندۀ گواهی دیجیتال، برای پنهانسازی گواهینامه استفاده مینماید. در این روش، فرستنده اطمینان خاطر بیشتری از صحت هویت دریافت کننده دارد و پس از پنهانسازی گواهینامه، فرستنده از کلید عمومی صادرکنندۀ گواهی دیجیتال، برای آشکارسازی متن استفاده می کند؛ در این صورت تنها کلید عمومی که فرستنده واقعاً مجبور به شناخت آن است، کلید عمومی صادرکنندۀ گواهی دیجیتال میباشد. انواع گواهینامههای موجود، شامل گواهینامههای وب سایت، اشخاص، گواهینامۀ سازندگان نرمافزارها و غیره است که حاوی نکاتی چون: مدت اعتبار، نام دارنده، اطلاعات کلید عمومی و یک هش[۱۹۰] امضاء شده از داده های گواهینامه میباشد (صنایعی، ۱۳۸۷).
گواهیدیجیتال و مدیریت گواهی، از اجزا اصلی زیرساختهای کلید عمومی هستند. یک صادرکنندۀ گواهی دیجیتال[۱۹۱]، می تواند پس از بررسی کلید عمومی که به نام فرد است، گواهینامهای که گواه براین حقیقت باشد، را صادر نماید. صادر کننده، صدور گواهینامه را از طریق امضاء دیجیتال کلید عمومی افراد و اطلاعات مرتبط با آن انجام میدهد و استاندارد X.509، فرمت لازم برای گواهیهای کلید عمومی را تعریف مینماید؛ سپس این گواهی به مخزن گواهینامهها و لیست ابطال گواهی که نشان دهندۀ گواهیهای ابطال شده میباشد، ارسال میگردد. پس از آن کاربران میتوانند به مخزن اطلاعات دسترسی پیدا کنند (ناهاری و کراتز، ۲۰۱۱).
هانیپات:
هانیپات را میتوان برای جمع آوری اطلاعات، به منظور شناسایی همدست و پاسخ به سوالاتی از این قبیل به کار برد که چگونه باید در برابر نفوذگرانی که هویت آنها شناخته شده نیست و دانشی در مورد عملکرد و انگیزۀ آنها وجود ندارد، دفاع کرد و آنها را شکست داد؟ (آرتیل، سفا، سرج، کوواتلی و آلماسری[۱۹۲]، ۲۰۰۶). اما در میان سایر تکنولوژیهای امنیتی همچون دیوارۀ آتش و سیستمهای تشخیص نفوذ، هانیپاتها سهم کوچکی در زمینۀ تشخیص نفوذ دارند؛ با این وجود قادرند که از حمله به اطلاعات منحصر به فرد جلوگیری نموده و آنها را به هر وسیلهای، غیرقابل دسترس نمایند.
هانیپاتها منابع سیستمهای اطلاعاتی، فایروالها، مسیریابها، سرورهای پایگاه داده، فایلها و مانند آن میباشند و طراحی آنها به گونه ای است که شبیه سیستمهای تولیدی به نظر برسند، اما در واقع کار نمیکنند. محققان با مشاهدۀ هانیپاتها، میتوانند راجع به علت حملات هکرها، زمان حمله، چگونگی حمله، آنچه بعد از هجوم انجام می دهند و چگونگی ارتباط با یکدیگر در حین و پس از حمله اطلاعاتی بدست آورند؛ بنابراین هانیپات یک سیستم دفاعی فعال برای امنیت شبکه میباشد.
این سیستم حملات را به دام می اندازد، اطلاعات نفوذ در ابزارها و فعالیتهای مربوط به فرآیندهای هک را ثبت و از حملات خطرساز خارج از سیستم، جلوگیری می کند. در صورت ترکیب هانی پات با سایر راههای امنیتی، بسیاری از معضلات سنتی حل میگردد؛ از این رو هانیپات یک ابزار ارزشمند برای کمک به فناوری امنیتی سنتی، به منظور بهبود عملکرد مربوط به آن میباشد. باید در نظر داشت که وظیفۀ اصلی هانیپات به دام انداختن حملهها و بدست آوردن اطلاعات نفوذ، در حالی که از دیگر حملات به سیستم جلوگیری می کند، است (ژانگ، ژو، کین و لییو[۱۹۳]، ۲۰۰۳).
هانیپاتها براساس نوع استفادهای که از آنها می شود با یکدیگر تفاوت دارند. هانیپات می تواند یک نرمافزار شبیهسازی، سیستم عامل با کارکرد کامل و تنظیمات پیش فرض، شبکۀ واقعی شامل سیستم عاملهای متفاوت و برنامه های کاربردی یا سیستمی باشد که صرفاً برنامه ها و سیستمهای دیگر را شبیهسازی مینماید. همینطور می تواند از سلاحهای روانی مانند فریب دادن، بازداشتن، کم کردن یا متوقف کردن حملات استفاده نموده و حملات را شناسایی و ثبت کرده و به شناختههای قبلی اضافه کند؛ این اطلاعات می تواند منجر به دانش بهتر از نفوذها شده که به نوبه خود به افزایش امنیت کلی شبکه کمک مینماید.