دانشگاه آزاد اسلامی واحد نراق

نراق واحد اسالمی آزاد دانشگاه

گرامی : استاد

رسولیان محسن دکتر آقای جناب

: کنندگان تهیه

نخعی نفیسه & الیاسی مریم

14بخش

، امنیت و بهبود فاجعهخطرات

سیستم اطالعاتی مدیریت

ششمویرایش

4

اهداف

سیستم اطالعاتی مدیریت ، ویرایش ششم

• Describe the primary goals of information security• Enumerate the main types of risks to information

systems

شرح اهداف اصلی در امنیت اطالعات•

بیان خطراتی که به طورعمده ی سیستم •

های اطالعاتی را تهدید میکنند

، سیستم اطالعاتی مدیریتویرایش ششم

5

• List the various types of attacks on networked systems• Describe the types of controls required to ensure the

integrity of data entry and processing and uninterrupted e-commerce

فهرست انواع مختلف حمالت که به سیستم •های شبکه ای میشود

شرح انواع کنترل های مورد نیاز برای حصول •اطمینان از صحت ورود داده ها، پردازش و تجارت الکترونیکی که بی وقفه انجام میشود

اهداف


6

اهداف )ادامه(• Describe the various kinds of security measures that

can be taken to protect data and Iss• Improve the security of your personal information

system and the information it stores

توصیف انواع مختلف اقدامات امنیتی که • می توان ISSبرای محافظت از اطالعات و

مورد استفاده قرار داد.

بهبود امنیت سیستم اطالعات شخصی شما •

و اطالعات ذخیره شده در آن.


7

• Recognize online scams• Outline the principles of developing a recovery plan• Explain the economic aspects of information security

تشخیص کالهبرداری های آنالین•

طرح اصول توسعه برنامه ی بازیابی•

توضیح جنبه های اقتصادی امنیت •

اطالعات

اهداف )ادامه(

8

اهداف امنیت اطالعات

• Protecting IT resources is a primary concern• Securing corporate ISs is becoming

increasingly challenging

حفاظت از منابع فناوری اطالعات •(IT.نگرانی اصلی می باشد)

حفاظت از سیستمهای اطالعات شرکت •بشدت چالشی می باشد.

سیستم اطالعاتی مدیریت ، ویرایش ششم


9

• The major goals of information security are to:o Reduce the risk of systems ceasing operationo Maintain information confidentialityo Ensure the integrity and reliability of data resourceso Ensure the uninterrupted availability of resourceso Ensure compliance with policies and laws

اهداف عمده ی امنیت اطالعات عبارتند از:•oکاهش احتمال توقف عملیات سیستمoحفظ جنبه محرمانه بودن اطالعاتoاطمینان از درستی و قابل اعتماد بودن منابع داده هاoحصول اطمینان از در دسترس بودن بی وقفه منابعoحصول اطمینان از انطباق با خط مشی ها و قوانین

اهداف امنیت اطالعات


10

خطرات مربوط به سیستم های اطالعات

• Downtime: the period of time during which an IS is not available• Extremely expensive: average losses of:

o $2,500/minute for CRM systemso $7,800/minute for e-commerce applicationso $4 billion lost annually in the U.S. due to downtime

مدت زمانی که طی آن سرور)سیستم اطالعات ( •

قابل استفاده نیست

بسیار گران قیمت بودن اطالعات :•

o $2.500 در دقیقه برای سیستم های CRM

o $7.800 در دقیقه برای تجارت الکترونیکی و برنامه های

کاربردی

میلیارد دالر به دلیل 4در ایاالت متحده آمریکا ساالنه •

از کارافتادگی سرورها به حدر می رود.


11

خطرات مربوط به سخت افزار

• #1 cause of system downtime is hardware failure

• Major causes of damage to hardware include:o Natural disasters

• Fires, floods, earthquakes, hurricanes, tornadoes, and lightning

علت خرابی سیستم، میتواند شکست قطعه 1•سخت افزاری باشد

علل عمده ای که به سخت افزار آسیب می •رسانند عبارتند از:

oبالیای طبیعیآتش سوزی، سیل، زلزله، طوفان، گردباد و رعد و •

برق


12

o Blackouts and brownouts• Blackout: total loss of electricity• Brownout: partial loss of electricity• Uninterruptible power supply (UPS): backup power

o Vandalism• Deliberate destruction

oخاموشی سراسری و خاموشی موقتخاموشی: قطع ناگهانی برق••Brownoutاز دست دادن جزئی از برق :( ): پشتیبان گیری UPSتامین برق اضطراری •

قدرت برقoدشمنی با علم و صنعت

تخریب عمدی•

خطرات مربوط به سخت افزار


13

خطرات مربوط به داده ها و برنامه های کاربردی

• Data should be a primary concern because it is often a unique resource

• Data and applications are susceptible to disruption, damage, and theft

• The culprit in damage to software or data is almost always human

داده ها باید از دغدغه های اصلی باشند زیرا اغلب •منبعی منحصر به فرد هستند.

داده ها و برنامه های کاربردی بروز اختالل، آسیب، •و سرقت هستند.

تقریبا انسانها همواره در آسیب رساندن به نرم •

افزار و یا داده ها مقصر هستند.


14

• Keystroke logging: records individual keystrokes• Social engineering: con artists pretend to be service

people, and ask for passwords• Identity theft: pretending to be another person

ثبت استفاده هرکلید: ثبت اختصاصی استفاده •از هر کلید صفحه کلید

مهندسی اجتماعی: برای ورود وخدمات به •مردم از انها کلمه عبور بخواهید متقلبینی که با تظاهر به ارائه خدمات به مردم از آنها رمزهای

عبورشان را می خواهند.

سرقت هویت: خود را به مشخصات فرد •

دیگری معرفی کردن

خطرات مربوط به داده ها و برنامه های کاربردی

سیستم اطالعاتی مدیریت ، ویرایش ششم 15

ارسال ایمیل به این سایت ممنوع چون این سایت جعلی است و ورود هر گونه اطالعات

ممکن است شما را دچار مشکل کنند.


16

خطرات مربوط به داده ها و نرم افزار )ادامه(

• Risks to data include:o Alterationo Destructiono Web defacement

خطرات مربوط به داده ها عبارتند از:•oتغییرداده هاoتخریب داده هاo) پاک کردن وب )خراب کردن


17

• Deliberate alteration or destruction is often done as a prank, but has a high cost

• The target may be a company’s Web site• Honeytoken: a bogus record in a networked database used to

combat hackers

تغییرعمدی و یا تخریب داده ها که اغلب به عنوان •شوخی انجام می شوند، اما هزینه باالیی دارند.

ممکن است هدف وب سایت یک شرکت باشد.•

•Honeytoken برای مبارزه با هکرها رکوردهای امنیتی :ساخته میشود که در پایگاه داده شبکه استفاده می

گردد.



18


• Honeypot: a server containing a mirrored copy of a database or a bogus databaseo Educates security officers about vulnerable points

تله : اطالعات جعلی در بایگانی شبکه که به •منظور مبارزه با هکرها مورد استفاده قرار می

گیرد. )یک نوع سروری که حاوی کپی یک بایگانی جعلی است.(

دانش آموختگان ماموران امنیتی هستند که •درمورد نقاط آسیب پذیر کار میکنند.


19

• Virus: spreads from computer to computer• Worm: spreads in a network without human intervention• Antivirus software: protects against viruses• Trojan horse: a virus disguised as legitimate software

ویروس: از کامپیوتری به کامپیوتر دیگر انتقال پیدا میکند•کرم: در یک شبکه بدون دخالت انسان گسترش می یابد•نرم افزار آنتی ویروس: محافظت در برابر ویروس ها•اسب تروا: ویروسی که خود را به هیئت نرم افزارهای •

قانونی درمی آورد.


جلوگیری برای مهم افزار نرم ویروس آنتی افزار نرم . میباشد کامپیوتر شدن ویروسی از


21


• Logic bomb: software that is programmed to cause damage at a specific time• Unintentional, no malicious damage can be caused by:

o Human erroro Lack of adherence to backup procedureso Poor trainingo Unauthorized downloading and installation of software may cause damage

بمب منطقی: نرم افزاری که به منظورآسیب رساندن به •نرم افزارها در زمانی خاص برنامه ریزی شده است.

آسیب هایی که ناخواسته و بدون اینکه قصد آسیب زدن •داشته باشیم ایجاد شود :

oخطای انسانی

oعدم پیوستگی در تهیه نسخه پشتیبان

oآموزش ضعیف

o ممکن است دانلود غیر مجاز و نصب و راه اندازیغیر مجاز نرم افزار ها باعث بروزآسیب شوند


22

ریسک عملیات های آنالین

• Many hackers try daily to interrupt online businesses• Types of attacks include:

o Unauthorized accesso Data thefto Defacing of Web pageso Denial of serviceo Hijacking

روزانه بسیاری از هکرها سعی میکنید باعث توقف کسب و کارهای •آنالین شوند

انواع حمالت عبارتند از:•

oدسترسی های غیر مجاز

oسرقت اطالعات

oپاک کردن صفحات وب

oمحرومیت از خدمات

oربودن


23

محرومیت از سرویس• Denial of service (DoS): an attacker launches a large

number of information requestso Slows down legitimate traffic to site

(: مهاجم تعداد DOSمحرومیت از خدمات )•زیادی از درخواست اطالعات را راه اندازی

می کند.o کاهش سرعت قانونی دسترسی به

سایت


24

• Distributed denial of service (DDoS): an attacker launches a DoS attack from multiple computerso Usually launched from hijacked personal computers called “zombies”o No definitive cure for thiso A site can filter illegitimate traffic

تعمیم محرومیت از خدمات انکار سرویس •(DDOS مهاجمی که یک حمله :)DOS را از

رایانه های مختلفی راه اندازی میکند.o معموال از کامپیوترهای شخصی ربوده شده که

"زامبی ها" نامیده می شوند راه اندازی می شود.o.هیچ چاره قطعی برای آن وجود نداردo یک سایت می تواند بازدیدهای نامشروع را فیلتر

کند.

محرومیت از سرویس


25

ربودن اطالعات کامپیوتر

• Hijacking: using some or all of a computer’s resources without the consent of its ownero Often done for making a DDoS attacko Done by installing a software bot on the computero Main purpose of hijacking is usually to send spam

ربودن: استفاده از قسمتی یا تمام منابع یک کامپیوتر •بدون اطالع مالک آن.

oاغلب برای ایجاد یک حمله مخربانه میباشدo.با نصب نرم افزار بوت روی کامپیوتر انجام می شودo( معموال هدف اصلی ربودن ، ارسال هرزنامهSpam )

است.


26

• Bots are planted by exploiting security holes in operating systems and communications softwareo A boot usually installs e-mail forwarding software

نرم افزارهای بوت یا استفاده از حفره های •امنیتی موجود در سیستم عامل و نرم

افزارهای ارتباطات نصب می شوند.o یک نرم افزار بوت معموال نرم افزار انتقال ایمیل

را نیز نصب میکند.


27

نظارت و کنترل• Controls: constraints and restrictions imposed on a user or a system

o Controls can be used to secure against riskso Controls are also used to ensure that nonsensical data is not entered

• Controls can reduce damage caused to systems, application, and data

نظارت: محدودیت های اعمال شده برای یک کاربر و یا سیستم•

o از کنترل می توان برای تأمین امنیت در برابر خطرات

استفاده کرد.

o برای نظارت همچنین حصول اطمینان از وارد شدن داده

های ناخواسته مورد استفاده قرار می گیرند.

با نظارت کردن می توان آسیب های وارده بر سیستم ، نرم •

افزار، و داده را کاهش داد.


28

کنترل )ادامه(Common controls to protect systems from risksکنترل های معمول برای حفاظت از سیستم

در مقابل خطرات نیرومندی و کنترل های

برنامه و داده ها ورود¨ Program robustness and data

entry controls

تهیه فایل پشتیبان ¨ Backup

کنترل و نظارت بر اطالعات قابل دسترسی

¨ Access controls

معامالت اتمی ¨ Atomic transactions

دنباله ممیزی ¨ Audi trail


29

قابلیت اطمینان برنامه و کنترل های ورودی

• A reliable application is one that can resist inappropriate usage such as incorrect data entry or processingo The application should provide clear messages when errors or deliberate misuses occur

• Controls also translate business policies into system features

برنامه قابل اعتماد است که بتواند در برابر استفاده •

نامناسب همچون ورود اطالعات یا پردازش نامناسب

مقاومت داشته باشد.

o این برنامه باید هنگامی که اشتباهات و یا سوء استفاده های عمدی

رخ می دهد پیام واضحی بدهد

همچنین نظارت ها ، سیاست های کسب و کار را به •

ویژگی های سیستمی ترجمه میکند.


30

تهیه فایل پشتیبان• Backup: periodic duplication of all data• Redundant Arrays of Independent Disks (RAID): set of

disks programmed to replicate stored data

پشتیبان گیری : تمام داده ها به طور مکررو دوره ای •

مدام ذخیره شود

(: مجموعه RAIDحذف ویروسها از دیسک های مستقل )•

ای از نرم افزار های برنامه ریزی وجود دارد که مانع

ورود ویروسها به دیسکهای مستقل میشود.


31

• Data must be routinely transported off-site as protection from a site disaster

• Some companies specialize in data backup services or backup facilities for use in the event of a site disaster

برای حفاظت در مقابل فاجعه سایت داده ها باید •به طور مداوم از سایت خارج شود

کار برخی از شرکت ها ارائه خدمات تهیه •پشتیبان داده ها یا ابزار پشتیبان گیری در صورت

بروز فاجعه سایت است.

تهیه فایل پشتیبان


32

نظارت بردسترسی اطالعات

• Access controls: measures taken to ensure only authorized users have access to a computer, network, application, or datao Physical locks: lock the equipment in a secure facilityo Software locks: determine who is authorized

کنترل دسترسی: ابزارهایی که به منظور اطمینان یافتن از •دسترسی تنها افراد مجاز به یک کامپیوتر، شبکه، برنامه یا داده

مورد استفاده قرار می گیرند.o قفل های فیزیکی : قفل کردن تجهیزات در مرکزی امن

o قفل های نرم افزار : تشخیص این که چه کسی مجاز است ازاین برنامه استفاده کند


33

• Three types of access controls:o What you know: access codes, such as user ID and passwordo What you have: requires special deviceso Who you are: unique physical characteristics

سه نوع از نظارت های بر دسترسی اطالعات عبارتند از •:o آنچه می دانید: کدهای دسترسی، مانندID کاربر و رمز

عبور

oآنچه که دارید : نیاز به دستگاه های خاص

oشما چه کسی هستید: ویژگی های فیزیکی منحصر به فرد

نظارت بردسترسی اطالعات


34

کنترل دسترسی )ادامه(• Access codes and passwords are usually stored

in the OS or in a database• Security card is more secure than a password

o Allows two-factor access

کدهای دسترسی و کلمات عبور هر دو معموال در •سیستم عامل و یا در یک پایگاه داده ذخیره می

شوند.کارت امنیتی رمز عبور امنیتی بیشتری دارد.•

o.اجازه دسترسی دو عامل را می دهد


35

• Biometric: uses unique physical characteristics such as fingerprints, retinal scans, or voiceprints

• Up to 50% of help desk calls are from people who have forgotten their passwordso Biometrics can eliminate these kinds of calls

بیومتریک: استفاده از ویژگی های منحصر به فرد •فیزیکی مانند اثر انگشت، اسکن شبکیه، یا صدای

فرد% درخواستهای کمک مربوط به افرادی 50حدود •

است که رمز عبور خود را فراموش کرده اند.o بیومتریک می تواند این نوع درخواست ها را از

بین ببرد

کنترل دسترسی )ادامه(


36

معامالت اتمی• Atomic transaction: a set of indivisible transactions

o All of the transactions in the set must be completely executed, or none can beo Ensures that only full entry occurs in all the appropriate files to guarantee integrity of

the datao Is also a control against malfunction and fraud

معامله اتمی: مجموعه ای از معامالت تفکیک ناپذیر•

o تمام معامالت در مجموعه باید به طور کامل اجرا شود و غیر

اینصورت هیچ یک نمیتواند جداگانه انجام شود.

o برای تضمین یکپارچگی داده ها اطمینان می دهد که در تمام

فایل های داده ها بطور مناسب وارد شده است .

oهمچنین در برابر نقص و تقلب آنها را کنترل میکند


37

فاکتور های حسابدریافتنی

حمل کمیسیون

در معاملهتمام

ها فایلمی ثبت

شود؟

معامالت اتمی )ادامه(در معامالت اتمی باید تمام فایلهای مورد نیاز

به طور کامل بروز رسانی شود.

در جدید معاملهفروش

روز به اعترافرسانی

رسانی 1. روز به فایل هیچ. شود نمی

خطا 2. پیام اعالم

بله خیر


38

دنباله ممیزی• Audit trail: a series of documented facts that

help detect who recorded which transactions, at what time, and under whose approvalo Sometimes automatically created using data and timestamps

حسابرسی دنباله: مجموعه ای از مدارک هستند •که به کمک آنها می توان تشخیص داد که چه

کسی در چه زمانی و تحت تأیید چه کسی چه معامالتی را ثبت کرده است.

o گاهی اوقات با استفاده از داده ها و مقایسه آنها بهصورت خودکار ایجاد میشود


39

• Certain policy and audit trail controls are required in some countries

• Information systems auditor: a person whose job is to find and investigate fraudulent cases

در برخی از کشورها سیاست های خاص نظارت و •حسابرسی های دنباله دار مورد نیاز است .

حسابرس رسمی سیستمهای اطالعاتی: فردی که •کارآن پیدا و بررسی کردن موارد جعلی کاله برداری

و تخلف است .


40

رمز اندازه گیری• Organizations can protect against attacks using various

approaches, including:o Firewallso Authenticationo Encryptiono Digital signatureso Digital certificates

سازمان ها می توانند در برابر حمالت با استفاده از روش •

های مختلف محافظت کنند، از جمله:

o فایروال

o تایید امضاهای دیجیتال

oرمزگذاری گواهینامه های دیجیتال


41

فایروال ها و سرور های پروکسی

• Firewall: the best defense against unauthorized access over the Interneto Consists of hardware and software that blocks access to computing

resourceso Firewalls are now routinely integrated into routers

فایروال ها: بهترین دفاع در مقابل دسترسی •های غیر مجاز بر روی اینترنت را انجام می

دهد که:o شامل سخت افزار و نرم افزاری است که مانع از دسترسی

به منابع محاسباتی می شود.

o فایروال ها در حال حاضر به طور مداوم به روترهامی پردازند.


42

• DMZ: demilitarized zone approacho One end of the network is connected to the trusted network, and the other end to

the Internet

• Proxy server: represents another servero Employs a firewall, and is usually placed between the Internet and the trusted

network

•DMZ .یکپارچه: رویکرد منطقه غیرنظامی استo یک انتهای شبکه به شبکه قابل اعتماد متصل شده و انتهای دیگر به

اینترنت متصل می شود.

پروکسی سرور: سرور دیگری را نشان می دهد.•o استخدام یک فایروال است، و معموال بین اینترنت و شبکه مورد

اعتماد قرار می گیرد.

فایروال ها و سرور های پروکسی



44

احراز هویت و رمزگذاری

• Authentication: the process of ensuring that you are who you say you are

• Encryption: coding a message into an unreadable form

تایید: روند اطمینان حاصل می شود که به شما •

می گویید چگونه پردازش کنید.

رمزگذاری: برنامه نویسی کردن یک پیام به یک •

فرم قابل خواندن است.


45

• Messages are encrypted and authenticated to ensure security• A message may be text, image, sound, or other digital

information

پیام های رمزگذاری شده و تصدیق شده برای اطمینان •

از امنیت است.

پیام ممکن است متن، تصویر، صدا، و یا دیگر اطالعات •

دیجیتالی باشد.

احراز هویت و رمزگذاری


46

احراز هویت و رمزگذاری )ادامه(


47

احراز هویت ) ادامه(• Encryption programs scramble the transmitted information

o Plaintext: the original messageo Ciphertext: the encoded message

• Encryption uses a mathematical algorithm and a key

برنامه های رمزگذاری وانتقال اطالعات •

شامل:

oمتنی: پیام اصلی

o.متن رمزی: کد گذاری پیام است

رمزگذاری با استفاده از یک الگوریتم ریاضی و •

کلید انجام می شود.


48

• Key: a unique combination of bits that will decipher the ciphertext

• Public-key encryption: uses two keys, one public and one private

کلید: ترکیبی منحصر به فرد از بیت هاست.•

رمز نویسی کلید عمومی: با استفاده از دو •

کلید، عمومی و خصوصی انجام می شود.

احراز هویت ) ادامه(



50


• Symmetric encryption: when the sender and the recipient use the same key

• Asymmetric encryption: both a public and a private key are used

رمزگذاری متقارن: هنگامی که فرستنده و گیرنده با •

استفاده از کلیدی

که هم عمومی و هم خصوصی است استفاده می

شود.

رمزگذاری نامتقارن: هنگامی که فرستنده و گیرنده •

با استفاده از کلیدی خصوصی استفاده می شود


51

• Transport Layer Security (TLS): a protocol for transactions on the Web that uses a combination of public key and symmetric key encryption

• HTTPS: the secure version of HTTP• Digital signature: a means to authenticate online messages; implemented with public

keys

(: یک پروتکل برای معامالت بر روی وب سایت TLSامنیت الیه حمل و نقل )•

است که با استفاده از ترکیب کلید عمومی و متقارن رمزنگاری می شود.

پروتکل رمزدار: یک ورژن امن از پروتکل که قانون دریافت اطالعات از •

سایت است

امضای دیجیتال: ابزاری برای تأیید هویت پیام های آنالین، همراه با کلید •

.عمومی به هنگام اجراست



53

• Message digest: unique fingerprint of file• Digital certificates: computer files that

associate one’s identity with one’s public keyo Issued by certificate authority

خالصه پیام: اثر انگشت منحصر به فرد از فایل •است.

گواهینامه دیجیتال: فایلهای کامپیوتری است که •هویت یک همکار با کلید عمومی را نشان می

دهد.o.صادر شده توسط گواهی اقتدار است



54

• Certificate authority (CA): a trusted third party• A digital certificate contains its holder’s name, a serial

number, its expiration dates, and a copy of holder’s public keyo Also contains the digital signature of the CA

(: یک طرف ثالث مورد اعتماد است.CAاقتدار گواهی )•

گواهی دیجیتال شامل نام دارنده آن، شماره سریال، •تاریخ انقضای آن، و یک کپی از کلید عمومی دارنده

است.o همچنین دارای امضای دیجیتالیCA.می باشد




56

حرکت نزولی از اقدامات امنیتی

• Single sign-on (SSO): a user must enter his or her name/password only once• Single sign-on saves employees time• Encryption slows down communication

o Every message must be encrypted and then decrypted

• IT specialists must clearly explain the implications of security measures to upper management

: یک کاربر باید نام خود / نام رمز عبور خود را SSOتنها نشانه( )•

فقط یک بار وارد کند.

تنها ثبت نام در صرفه جویی در وقت است.•

o.هر پیام باید رمزگذاری شده و پس از آن رمزگشایی شود

•IT متخصص به وضوح باید پیامدهای اقدامات امنیتی به مدیریت

باالیی را توضیح دهد.


57

اقدامات بازیابی• Security measures may reduce mishaps, but no one can

control all disasters• Preparation for uncontrolled disasters requires that recovery

measures are in place

اقدامات امنیتی ممکن است اتفاقات •ناگوار را کاهش دهند، اما هیچ کس نمی

تواند تمام حوادث را کنترل کند.

آمادگی برای حوادث غیر قابل کنترل، •مستلزم آن است که اقدامات بهبود در

محل انجام شود.


58

• Redundancy may be usedo Very expensive, especially in distributed systems

• Other measures must be taken

در رفع اشکاالت ممکن است مورد •استفاده قرار گیرد.

o بسیار گران است، به ویژه در سیستم های توزیعشده.

اقدامات دیگر باید در نظر گرفته شود.•


59

طرح کسب و کار بازیابی

• Business recovery plan: a plan about how to recover from a disastero Also called disaster recovery plan, business resumption plan, or business continuity plan

• Nine steps to develop a business recovery plan:1. Obtain management’s commitment to the plan2. Establish a planning committee3. Perform risk assessment and impact analysis4. Prioritize recovery needs

بهبود کسب و کار: طرح در مورد بازیابی از یک فاجعه بحث می کند.•

فاجعه بازیابی، از سرگیری طرح کسب و کار، و یا طرح تداوم کسب و کار نیز نامیده می شود.

نه گام برای رسیدن به توسعه طرح بهبود کسب و کار:•

اخذ تعهد مدیریت به طرح1.

ایجاد یک کمیته برنامه ریزی2.

انجام ارزیابی ریسک و تجزیه و تحلیل تاثیر3.

اولویت بندی نیازهای بازیابی4.


60

• Mission-critical applications: those without which the business cannot conduct operations

• Nine steps to develop a business recovery plan (continued):5. Select a recovery plan6. Select vendors

برنامه های کاربردی ماموریت بحرانی: کسانی که بدون آن •کسب و کار می توانند عملیات انجام دهند.

نه گام برای رسیدن به توسعه یک کسب و کار طرح بهبود •)ادامه(:

انتخاب یک برنامه بازیابی5.

انتخاب فروشندگان6.

طرح کسب و کار بازیابی


61

طرح کسب و کار بازیابی )ادامه(

5. Develop and implement the plan6. Test the plan7. Continually test and evaluate

• The plan should include key personnel and their responsibilities

توسعه و پیاده سازی برنامه7.

تست برنامه8.

مداوم تست و ارزیابی9.این طرح باید شامل پرسنل کلیدی و •

مسئولیت پذیر باشند.


62

برنامه ریزی بازیابی و ارائه دهندگان سایت

• Can outsource recovery plans to firms that specialize in disaster recover planning

• Hot sites: alternative sites that a business can use when a disaster occurso Backup sites provide desks, computer systems, and Internet links

می تواند برنامه های بازیابی برون سپاری به شرکت های که •

در فاجعه هستند را برنامه ریزی کند.

هات سایت: جایگزین سایت هایی است که یک کسب و کار •

می تواند از آن استفاده کند زمانی که یک فاجعه رخ می دهد.

o پشتیبان گیری از سایت های ارائه میز، سیستم های کامپیوتری، و

لینک های اینترنت را نیز انجام می دهد.


63

اقتصاد امنیت اطالعات• Security measures should be regarded as analogous to insurance• Spending for security measures should be proportional to the potential

damage• A business must assess the minimum acceptable rate of system downtime

and ensure that the company can financially sustain the downtime

اقدامات امنیتی را باید به عنوان بیمه بودن اطالعات در نظر •

گرفته شود

هزینه برای اقدامات امنیتی باید متناسب با آسیب احتمالی •

باشد

شرکت مالی درکسب و کار باید حداقل نرخ قابل قبول از •

خرابی سیستم و ارزیابی آن را در نظر بگیرد.


64

چقدر امنیت کافی است؟

• Two costs should be considered:o Cost of the potential damageo Cost of implementing a preventative measure

• As the cost of security measures increases, the cost of potential damage decreaseso Companies try to find the optimal point

دو هزینه ها باید در نظر گرفته شود که شامل:•oهزینه از آسیب بالقوه

o.هزینه اجرای یک اقدام پیشگیرانه است

هزینه اقدامات امنیتی را افزایش می دهد، هزینه از آسیب •های بالقوه کاهش می یابد.

o.شرکت ها سعی به پیدا کردن نقطه مطلوب می کنند


65

• The company must define what needs to be protected

• Security measures should never exceed the value of protected system

شرکت باید تعیین کند که چه قدر نیاز به محافظت •است.

اقدامات امنیتی باید از ارزش سیستم در برابرتجاوز •محافظت کنند.

چقدر امنیت کافی است؟


66

چقدر امنیت کافی است؟ )ادامه دارد(


67

محاسبه های سرور• Businesses should try to minimize downtime, but the benefit of greater uptime must

be compared to the added cost• Mission-critical systems must be connected to an alternative source of power,

duplicated with a redundant system, or both• Many ISs are now interfaced with other systems

o Interdependent systems have greater downtime

• Redundancy reduces downtime

کسب و کار باید برای به حداقل رساندن خرابی ها سعی کند.•

سیستم های ماموریت حیاتی را باید به یک منبع جایگزین قدرت •

متصل کرد.

•ISS.در حال حاضر با سیستم های دیگر مقابله می کند

o.سیستم های وابسته خرابی بیشتر دارند

افزونگی خرابی ها را کاهش می دهد. •


68

خالصه• The purpose of controls and security measures is to

maintain the functionality of ISs• Risks to ISs include risks to hardware, data, and

networks, and natural disaster and vandalism

هدف از کنترل و اقدامات امنیتی برای حفظ عملکرد •

ISS.است

شامل خطرات به سخت ISSخطرات مربوط به •

افزار، اطالعات، و شبکه، و فاجعه های طبیعی و

خرابکاری است.


69

• Risks to data and applications include theft of information, identity theft, data alteration, data destruction, defacement of Web sites, viruses, worms, logic bombs, and no malicious mishaps

• Risks to online systems include denial of service and hijacking

خطرات به سیستم های آنالین عبارتند از محرومیت از •خدمات و ربودن.

خطرات مربوط به داده ها و برنامه های کاربردی، سرقت •

اطالعات، سرقت هویت، تغییر داده ها، تخریب داده، بدشکل

کردن از وب سایت ها، ویروس ها، کرم ها، بمب منطق، و

اتفاقات ناگوار را نیز شامل می شود.

خالصه )ادامه(


70

خالصه )ادامه(• Controls are used to minimize disruption• Access controls require information to be entered before resources are

made available• Atomic transactions ensure data integrity

کنترل ها برای به حداقل رساندن اختالالت •

است.

کنترل نیاز به دسترسی قبل از ورود منابع در •

دسترس دارد.

معامالت اتمی حصول اطمینان از یکپارچگی •

داده ها را بر عهده دارند.


71

• Firewalls protect against Internet attacks• Encryption schemes scramble messages to protect them on the Internet• A key is used to encrypt and decrypt messages

فایروال در برابر حمالت اینترنتی محافظت می کند.•

طرح رمزگذاری پیام را در اینترنت محافظت می کند.•

کلید مورد استفاده برای رمزگذاری و رمزگشایی پیام •

نیز هست.



72

• SSL, TLS, and HTTPS are encryption standards designed for the Web• Keys and digital certificates can be purchased from a certificate authority• Many organizations have business recovery plans, which may be

outsourced

•SSL، TLS، HTTPS و استانداردهای رمزگذاری طراحی شده برای وب هستند.

کلید ها و گواهینامه های دیجیتال را می توان از •قدرت گواهی خریداری شده به حساب آورد.

بسیاری از سازمان ها به طرح بهبود کسب و کار، که •ممکن است برون سپاری باشد می پردازند.



73

• Careful evaluation of the amount spent on security measures is necessary

• Redundancy reduces the probability of downtime• Governments are obliged to protect citizens against crime and

terrorism

ارزیابی دقیق از میزان مصرف اقدامات •امنیتی الزم است.

احتمال خرابی باعث میشود که اشکاالت •کاهش یابد.

دولت موظف به حمایت از شهروندان در برابر •جرم و جنایت و تروریسم است.


Documents

دانشگاه آزاد اسلامی واحد نراق