تعداد بازدید
14 بازدید
13.500 تومان

توضیحات

پروژه امنیت فناوری اطلاعات

پروژه امنیت فناوری اطلاعات در حجم 204 صفحه و در قالب word و قابل ویرایش و با بخشهای زیر:

 

پیشگفتار  ۲
خلاصه اجرایی  ۵
بخش اول
مقدمه  ۹
فصل ۱: امنیت اطلاعات چیست؟    ۱۰
فصل ۲: انواع حملات  ۲۶
فصل ۳: سرویس های امنیت اطلاعات  ۴۲
فصل ۴ : سیاست گذاری  ۵۵
فصل ۵: روند بهینه در امینت اطلاعات  ۹۱
نتیجه گیری  ۱۱۴
بخش دوم
فصل ۱: امنیت رایانه و داده ها  ۱۱۹
فصل ۲: امنیت سیستم عامل و نرم افزارهای کاربردی   ۱۴۰
فصل ۳: نرم افزارهای مخرب  ۱۵۰
فصل ۴: امنیت خدمات شبکه  ۱۶۳
نتیجه گیری  ۱۹۱
پیوست آشنایی با کد و رمزگذاری  ۱۹۳
منابع 

سياست اطلاعاتي

سياست اطلاعاتي ، تعيين كننده اطلاعات حساس سازمان است و مي گويد چگونه بايد از آنها محافظت شود. اين سياست بايد بگونه اي ايجاد شود كه تمام اطلاعات سازمان را پوشش دهد. بر طبق اين سياست گذاري هر يك از پرسنل سازمان در قبال حفاظت از اطلاعات حساسي كه در اختيارش قرار مي گيرد پاسخگو خواهد بود. بخشهاي مختلف سياست اطلاعاتي عبارتند از:

 

شناسايي اطلاعات حساس

نوع اطلاعاتي كه در يك سازمان حساس فرض مي شوند عبارتند از ليست حقوق افراد، آدرس و شماره تلفن منازل پرسنل، اطلاعات بيمه درماني و هر نوع اطلاعات مالي كه جنبه عمومي ندارد. لازم است اين مسئله را بخاطر داشته باشيد كه اطلاعات موجود در سازمان براي هميشه و همه اوقات حساس نيستند. انتخاب اطلاعات حساس بوسيله سياست گذاري انجام مي گيرد و لازم است به پرسنل اطلاع داده شود.

 

طبقه بندي

براي بيشتر سازمانها استفاده از دو يا سه سطح طبقه بندي كفايت مي كند. پايين ترين سطح طبقه بندي اطلاعات، طبقه بندي عمومي مي باشد، به عبارت ديگر اطلاعاتي كه از قبل شناخته شده است و مي توان در اختيار عموم قرار داد.

بعد از سطح فوق اطلاعاتي قرار دارد كه نمي توان در اختيار عموم قرار داد. براي اين نوع اطلاعات اسامي متفاوتي وجود دارد كه از آن جمله مي توان به اختصاصي، محرمانه شركتي يا حساس شركتي اشاره كرد. اين اطلاعات صرفاً در اختيار پرسنل همان سازمان و يا سازمانهاي غير رقيب و دوست قرار داده مي شود. چنانچه اين اطلاعات در اختيار عموم يا رقبا قرار گيرد سازمان زيان خواهد ديد.

سومين سطح طبقه بندي اطلاعات حساس، طبقه بندي انحصاري يا حفاظت شده است. اطلاعاتي كه در اين سطح قرار مي گيرد و در حالت عادي در انحصار تعداد محدودي از پرسنل سازمان قرار دارد. اين اطلاعات در اختيار تمام پرسنل قرار نمي گيرد و افرادي كه خارج از سازمان قرار دارند كاملاً از اين اطلاعات بي بهره اند.

توجه: طبقه بندي اطلاعات بصورت محرمانه، سري و خيلي سري كار خوبي نيست، چون اين نوع طبقه بندي براي اطلاعات حكومتي استفاده مي شود.

علامت گذاري اطلاعات حساس

براي هر سطح از اطلاعات حساس ( كه بالاتر از اطلاعات عمومي قرار مي گيرد) لازم است سياست گذاري نحوه علامتگذاري اطلاعات توسط سياست اطلاعات تعيين شود. چنانچه اطلاعات روي كاغذ ثبت شده باشد، بالا و پايين هر صفحه بايد علامتگذاري شود. اگر از برنامه word استفاده كرده ايد مي توانيد با استفاده از headers and footers اينكار را انجام دهيد.

 

ذخيره نمودن اطلاعات حساس

لازم است اطلاعات روي كاغذ و داخل كامپيوترها توسط سياست گذاري آدرس دهي شود. هيچ وقت نبايد اطلاعات روي ميز رها شود، بهتر است اطلاعات داخل كمد فايلي و يا كشوي ميز قرار داده شود.

چنانچه اطلاعات روي كامپيوتر ذخيره شده است لازم است سياست گذاري سطح مناسبي از محافظت را مشخص كند. اينكار شامل كنترل دسترسي به فايلها و قرار دادن كلمه عبور براي انواع خاص اسناد مي باشد. در موارد فوق العاده از رمز نگاري هم استفاده مي شود. به خاطر داشته باشيد مديريت سيستم بايد قادر به مشاهده تمام اسناد موجود در كامپيوترها باشد.

 

انتقال اطلاعات حساس

در سياست اطلاعاتي نحوه انتقال اطلاعات تعيين مي شود. اطلاعات به طرق مختلفي ( مانند پست الكترونيك، پست عادي، فكس و غيره) انتقال داده مي شوند و هر يك از اين روش هاي بايد در سياست گذاري تعيين شده باشد.

چنانچه براي انتقال اطلاعات از پست الكترونيك استفاده شود، لازم است رمزنگاري فايل هاي ضميمه و بدنه پيام توسط سياست اطلاعاتي مشخص شده باشد. چنانچه ارسال اطلاعات بصورت ارسال نسخه هاي چاپي انجام گيرد بايد از روشي استفاده گردد كه از دريافت آن توسط گيرنده اطمينان حاصل شود. از جمله اين روش ها ميتوان به پست سفارش اشاره كرد. چنانچه سندي از طريق فاكس ارسال مي شود بهتر است ابتدا به گيرنده سند تلفن بزنيد و او را از ارسال سند مطلع كنيد تا منتظر دريافت آن بماند. با اين كار از ماندن سند مذكور به مدت طولاني روي دستگاه فاكس گيرنده جلوگيري مي كنيد و بدين ترتيب امكان سوء استفاده يا به سرقت رفتن آن از بين خواهد رفت.

 

انهدام اطلاعات حساس

چنانچه اطلاعات حساس در سطل آشغال ريخته شود قابل استفاده براي افراد غيرمجاز خواهد شد، از اينرو اطلاعات حساسي كه روي كاغذ است بايد قبل از دور ريختن از بين برود و ريز ريز شود. امروزه دستگاه هاي خردكني وجود دارد كه كاغذ را در دو جهت افقي و عمودي خرد مي كند بطوريكه بازسازي صفحه كاغذ تقريباً غيرمكن مي شود. بدين ترتيب سطح بالايي از محافظت پياده سازي مي شود.

اگر حذف اطلاعات از روي كامپيوتر بدرستي انجام نشود افراد غير مجاز به بازيابي فايل هاي حذف شده خواهند بود. هم اكنون چندين برنامه نرم افزاري تجاري وجود دارد كه با استفاده از آن مي توانيد عمل پاك كردن اطلاعات از روي كامپيوتر را با امنيت بالا انجام دهيد.

توجه: اين امكان وجود دارد كه اطلاعات الكترونيك حذف شده را حتي بعد از آنكه اطلاعات جديدي روي هارد يا فلاپي نوشته شد بازيابي كرد. البته وسيله اي كه بتواند اينكار را انجام دهد بسيار گران قيمت است و جنبه تجاري ندارد. از اينرو معمولاً تخريب فيزيكي هارد يا فلاپي لازم نيست.

سياست امنيتي

سياست امنيتي تعيين كننده نيازهاي فني براي برقراري امنيت در كامپيوترهاي و تجهيزات شبكه است. سياست امنيتي تعيين مي كند مديريت شبكه يا سيستم از چه پيكره بندي استفاده كند تا امنيت مورد نظر بدست آيد. اين پيكره بندي تأثير خود را روي كاربران و نيازمنديهايي كه در بخش سياست گذاري به آنها اشاره شد اعمال خواهد كرد. اولين كسي كه در قبال اجراي اين سياست مسئول است مديريت شبكه و سيستم كامپيوتري است.

سياست امنيتي بايد نيازهايي كه در اجراي هر سيستمي احتياج است را تعيين كند. البته اين سيستم به خودي خود نبايد پيكره بندي خاصي را در سيستم عامل هاي مختلف تعيين كند و لازم است اينكار به پروسه خاص پيكره بندي سيستم عامل موكول شود. اين پروسه به صورت ضميمه در آخر سياست گذاري ارائه مي شود و نه در خود سياست گذاري.

 

بخشهاي مختلف سياست اطلاعاتي عبارتند از:

هويت سنجي و اعتبار سنجي

نحوه تعيين هويت كاربران از جمله مواردي است كه بايد توسط سياست امنيتي تعيين شود. به عبارت ديگر لازم است سياست امنيتي استانداردهايي را براي هويت كاربران تعيين كند.

از اين مهمتر لازم است سياست امنيتي مكانيزم اعتبار سنجي را براي كاربران و مديران سيستم تدوين كند. اگر اين مكانيزم استفاده از كلمه عبور باشد در اينصورت لازم است سياست گذاري مذكور كلمه عبوري با طول حداقل تعيين كند و حداقل و حداكثر طول كلمه عبور و نيازمنديهاي مشتمل بر كلمه عبور را هم تعيين كند.

هر سازماني به هنگام ايجاد سياست امنيتي خود بايد در مورد محورهاي مديريتي تصميم بگيرد بطوريكه تعيين شود از يك مكانيزم اعتبارسنجي براي مجوزهاي مختلف استفاده شود يا اينكه از مكانيزمهاي قوي تري استفاده شود. اگر نياز به مكانيزم قوي تر احساس شود، لازم است در اين قسمت از سياست گذاري، نيازهاي امنيتي تعيين شود. در مواردي كه به دسترسي از راه دور نياز است (همانند VPN يا دسترسي dail-in ) استفاده از مكانيزمهاي قوي تر مناسب مي باشد.

 

كنترل دسترسي

از جمله مواردي كه در سياست امنيتي تعيين مي شود استاندارهايي است كه براي كنترل دسترسي به فايلهاي الكترونيكي مورد نياز است. دو نياز عمده كه بايد تعيين شود عبارتند از:

  1. مكانيزم مورد نياز
  2. تنظيمات پيش فرض در فايل هاي جديد

مكانيزمي كه به آن اشاره شد مي تواند نوعي كنترل دسترسي باشد كه بر حسب نوع كاربر استفاده كننده از فايل تعيين ميشود. لازم است اين مكانيزم بهمراه مكانيزم اعتبار سنجي كار كند تا فقط كاربران مجاز قادر به دسترسي به فايل ها باشند. چنين مكانيزمي بايد تعيين كند كدام كاربر اجازه خواندن، نوشتن يا اجراي يك فايل را دارد.

تنظيمات پيش فرضي كه براي فايلهاي جديد در نظر گرفته مي شود بايد بتواند چگونگي اجازه دسترسي به هر فايل جديد را تعيين كند. اين بخش از سياست گذاري مجوز خواندن، نوشتن و اجراي هر فايل را براي مالك آن فايل و ديگر كاربران سيستم تعيين مي كند.

 

گزارش گيري

از جمله بخش هاي سياست امنيتي، گزارش گيري از تمام وقايع سيستم است. در حالت عادي سياست امنيتي نياز به گزارش گيري از وقايع زير را دارد:

  • ورود يا login (موفق و غير موفق)
  • خروج يا logout
  • دسترسي نادرست به فايل يا سيستم
  • فعاليت هاي صدور مجوز
  • وقايع سيستم (مانند خاموش كردن يا بوت نمودن كه توسط مديران انجام مي شود)

لازم است ره واقعه حاوي اطلاعات زير باشد:

  • IDكاربر
  • تاريخ و زمان
  • IDپردازشي
  • فعاليت انجام شده
  • موفقيت يا عدم موفقيت واقعه

سياست امنيتي طول ركوردهايي كه بايد ذخيره كند را تعيين ميكند. حتي اگر ممكن باشد نحوه مرور و آزمايش ركوردهاي گزارش گيري بايد توسط سياست گذاري تعيين شود.

 

اتصال شبكه اي

براي هر نوع اتصال به شبكه سازمان لازم است قوانين مربوط به اين اتصال و مكانيزم هاي محافظتي توسط سياست امنيتي تعيين گردد. براي ارتباط تلفني، استفاده از تكنيك هاي مناسب اعتبار سنجي لازم مي باشد. اگر اتصال شبكه اي از نوع دائم است استفاده از ديوار آتش مناسب است.

دسترسي از راه دور به سيستم داخلي

اغلب سازمانها به پرسنل خود اجازه ميدهند از راه دور به سيستم داخلي آن سازمان دسترسي داشته باشند. لذا لازم است سياست امنيتي براي مواقعي كه اين نوع دسترسي اعطاء مي شود مكانيزم مناسبي تعيين كند. مناسب است تمام ارتباطات با استفاده از رمزنگاري محافظت گردند و روي نوع رمزنگاري كه بايد استفاده شود تأكيد گردد. علاوه بر اين از آنجا كه ورود به سيستم از خارج صورت مي گيرد، استفاده از مكانيزمهاي اعتبار سنجي قوي تر لازم است.

 

كد خرابكاري

از جمله وظايف سياست امنيتي تعيين محل نرم افزار امنيتي است كه كدهاي خرابكاري (مانند ويروس ها و برنامه هاي اسب تروجان) را جستجو مي كند. محل هاي مناسب عبارتند از سرور فايل، روي سيستم DESKTOP و روي سرور پست الكترونيك.

تنظيمات نرم افزار امنيتي در سياست امنيتي تعيين مي شود. اين تنظيمات شامل مواردي است كه براي بررسي فايلها به هنگام بازكردن بكار مي رود.

از جمله موارد ديگري كه توسط سياست امنيتي تعيين مي شود به روز كردن امضاء براي برنامه هاي امنيتي است. اين كار بصورت دوره اي بايد انجام شود براي مثال لازم است امضاء بطور ماهانه به روز گردد.

 

رمز نگاري

از جمله مواردي كه لازم است در سياست امنيتي تعيين شود الگوريتم هاي قابل قبول رمزنگاري براي استفاده در سازمان است بطوريكه اين رمزنگاري به همان سياست اطلاعاتي بر مي گردد. بدين ترتيب الگوريتم يا الگوريتمهاي مناسبي براي حفظ اطلاعات حساس بكار مي رود. علاوه بر اين لازم است پروسه مديريت كليد توسط اين سياست تعيين گردد.

 

بازبيني استثنائات

حتي اگر بهترين تصميم گيري توسط مجري امنيتي و مديريت سيستم اتخاذ شده باشد، باز هم زمانهايي وجود دارد كه سيستم در موقعيتي جديد قرار مي گيرد بطوريكه اين موفقيت در سياست گذاري امنيتي ديده نشده است. براي مثال نياز مي شود سيستم برخي نيازهاي تجاري را برآورده كند و برآورده كردن اين احتياجات مهمتر از آن است كه سياست امنيتي سيستم اجرا شود. با بروز چنين اتفاقي بايد مكانيزمي توسط سياست گذاري امنيتي فراهم شود و ضمن آنكه ريسك معيني توسط سازمان پذيرفته مي شود نيازهاي موقت سازمان نيز برطرف شود.

 

ضمائم

جزئيات مربوط به پيكره بندي امنيتي سيستم عامل هاي مختلف در بخش ضمائم يا در پروسه پيكره بندي جداگانه اي قرار داده مي شود. اين مطلب باعث مي شود در صورت نياز اسناد مربوط به اين جزئيات بدون تغيير در سياست امنيتي سازمان تصحيح و دستكاري شود.

 

راهنمای خرید:
  • لینک دانلود فایل بلافاصله بعد از پرداخت وجه به نمایش در خواهد آمد.
  • همچنین لینک دانلود به ایمیل شما ارسال خواهد شد به همین دلیل ایمیل خود را به دقت وارد نمایید.
  • ممکن است ایمیل ارسالی به پوشه اسپم یا Bulk ایمیل شما ارسال شده باشد.
  • در صورتی که به هر دلیلی موفق به دانلود فایل مورد نظر نشدید با ما تماس بگیرید.
نقد و بررسی‌ها

هنوز هیچ نقد و بررسی وجود ندارد.

اضافه کردن نقد و بررسی

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *