تحقیق درباره ارائه چارچوبی جهت استقرار امنیت اطلاعات با تمرکز بر ارزیابی ریسک و مبتنی بر استانداردها

اختصاصی از فی بوو تحقیق درباره ارائه چارچوبی جهت استقرار امنیت اطلاعات با تمرکز بر ارزیابی ریسک و مبتنی بر استانداردها دانلود با لینک مستقیم و پر سرعت .

فرمت فایل : word  (لینک دانلود پایین صفحه) تعداد صفحات 27 صفحه

چکیده

سازمان‌ها هر روز نسبت به دارائی‌های اطلاعاتی خود با تهدیدهایی مواجه می‌شوند. این در حالی است که به‌شدت به این دارائی‌ها وابسته و متکی هستند. بشتر سیستم‌های اطلاعاتی ذاتاً ایمن نیستند، و راه‌حل‌های فنی تنها  بخشی از راه‌حل‌های جامع امنیت اطلاعات هستند، لذا تدوین اطلاعات امری ضروری بوده و سازمان‌ها برای اجرای آنها بایستی محیط تهدید منحصر به خود را بشناسند. این محیط‌های تهدید از طریق تحلیل سیستماتیک و ارزیابی ریسک‌های امنیتی تعیین می‌شوند، و از آنجا با توجه به مشخص شدن حوزه‌های ریسک، کنترل‌های مناسب به‌منظور کاهش اثر ریسک‌های شناسایی شده، انتخاب خواهند شد. 

تاکنون روش‌ها و استاندارد‌های جهت ارزیابی امنیت ارائه شده‌اند، اما هیچ یک از آنها چارچوب و روشی سیستماتیک جهت ارزیابی امنیت و کاهش بهینه ریسک‌های امنیتی ارائه نمی‌دهند.

در این مقاله  چارچوبی جهت ارزیابی کاستی‌ها، حفره‌ها  و ریسک‌های امنیتی،به‌همراه الگوریتمی جهت انتخاب بهینه کنترل‌های کاهش ریسک  ارائه شده است.

چارچوب پیشنهادی استانداردها و روش‌های موجود از قبیل استانداردهای امنیتی ISO/IEC 15408، ISO/IEC 17799 ،  ISO/IEC 27002 ،  مدل تهدیدات مایکروسافت و مدل تخمین هزینهUse Case Function Point  مورد استفاده قرار گرفته‌اند.

1- مقدمه

در سال‌های اخیر شاهد وابستگی چشمگیر سازمان‌های زیادی به سیستم‌های اطاعاتی هستیم[1]. مباحث امنیتی مرتبط با تکنولوژی اطلاعات همچنان به‌عنوان نگرانی و چالشی برای تصمیم گیرندگان در جامعه تلقی می‌شوند. نیازمندی‌های امنیتی معمولاً به‌عنوان نیازهای غیرکارکردی در توسعه نرم‌افزارها در نظر گرفته می‌شوند [1-3] و این امر منجر به شکست‌های امنیتی در نرم‌افزارها می‌شود و این مشکل در حال رشد است.

یک شکست امنیتی در واقع یک تخلف یا انحراف از قواعد امنیتی مبتنی بر سیاست‌های امنیتی شامل دسترسی یا‌ عدم‌دسترسی به منابع است. به گزاش سازمان امنیت کلاه سفیدها، در ارزیابی که در تاریخ 2006 Jun تا Feb2008 در بین 2000 وب سایت انجام دادند، از هر 10 وب سایت 9‌تای آنها حداقل شامل یک شکست امنیتی بودند.

بنابرگزارش CERT/CC تعداد شکست‌های نرم‌افزارهای مرتبط با امنیت 5 برابر در طول 7 سال گذشته افزایش یافته است[4].

این در حالی است که شکست‌های نرم‌افزاری منجر به از بین رفتن 2% تا 3% سود سالانه‌ی سازمان‌ها می‌شود[5].

شکست‌های امنیتی در سیستم‌های نرم‌افزاری اتفاقاتی هستند که آرزو داریم جلوی آنها را بگیریم. این در حالی است که معیارهای امن بودن یک سیستم سایر معیارهای سیستم را تحت‌شعاع خود قرار می‌دهد. این امر لزوم پرداختن به مقوله ارزیابی امنیت سیستم‌های نرم‌افزاری را اجتناب‌ناپذیر ساخته است.

 هیچ یک از روش‌ها و استاندارد‌های ارزیابی امنیت ارائه شده تا کنون چارچوب و روشی سیستماتیک جهت ارزیابی امنیت بیان نمی‌کنند.

چهارچوب پیشنهادی در این مقاله با بهره‌گیری از نکات قوت روش‌ها و استاندارهای موجود، چارچوبی روشمند و قابل استفاده با پوشش نواقص روش‌های موجود و تکه بر شناسایی و کنترل ریسک‌ها بطور بهینه جهت ارزیابی امنیت کاربردهای نرم‌افزاری ارائه می‌دهد.

2- انواع روش‌های ارزیابی امنیت 

در سالهای اخیر استانداردها و روش‌های ارزیابی گوناگونی برای بررسی امنیت نرم‌افزارها ارائه شده است. هر یک از آنها با توجه به نگرش، مفاهیم و یا خصوصیات‌نرم‌افزارهای خاصی تهیه گردیده‌اند. برخی از آنها دارای شمولیت بیشتر و قابل استفاده‌ برای طیف وسیع‌تری از سیستم‌های نرم‌افزاری هستند.

2-1- استاندارد ISO/IEC 17799

استاندارد ISO/IEC17799، استانداردی بین‌المللی است که اولین بار در سال 2000 میلادی از BS7999 گرفته شده است و آخرین ویرایش آن در سال 2005 میلادی با عنوان ISO/IEC17799:2005 در دو بخش منتشر شد. هدف از تدوین این استاندارد ارائه پیشنهاداتی در زمینه مدیریت امنیت اطلاعات جهت طراحی، پیاده‌سازی، پشتیبانی مسائل امنیتی، ارزیابی میزان امنیت سازمان و ارائه راهکارهایی جهت بهینه‌سازی امنیت در یک سازمان است. استاندارد مزبور نقطه‌ی شروع توسعه‌ی راهکارهای امنیتی هر سازمان است[6].

1- یکی از معایب این استاندارد این است که فقط سرفصل‌ها و موضوعات کلی را بیان می‌کند.

2- همچنین این استاندارد روشی را جهت تخمین هزینه عملکردهای کنترل ریسک ارائه نمی‌دهد.

3- این استاندارد هیچگونه معیاری را جهت ارزیابی امنیت توصیه نمی‌کند.

تحقیق جامع و کامل درباره اصول هک,هکر و امنیت اطلاعات

اختصاصی از فی بوو تحقیق جامع و کامل درباره اصول هک,هکر و امنیت اطلاعات دانلود با لینک مستقیم و پر سرعت .

فرمت فایل word: (لینک دانلود پایین صفحه) تعداد صفحات : 65 صفحه

مقدمه

شاید شما هم این ضرب المثل را شنیده باشید که بهترین پلیس کسی است که دزد خوبی باشد و به عبارت دیگر می توان کفت تا زمانیکه یک پلیس به تمام ترفندهای دزدی آشنا بناشد نمی تواند با دزدان به مقابله بپردازد.

در اینترنت و شبکه نیز برای محافظت از کامپیوتر در مقابل هکرها تا زمانیکه شما با تمام ترفندهای نفوذ گران آشنا نباشید نمی توانید به مقابله با آنها بپردازید.

تهاجمات و حملات کامپیوتری به طور متداول و هر روزه روی می دهد و با یک اتصال ساده به اینترنت کسی در سوی دیگر سعی خواهد نمود از روی کنجکاوی به داخل دستگاه شما سه ، پنج یا دوازده بار در روز سرکشی نماید. هکرها بدون آگاهی با اتصالاتی که جلب توجه نماید دستگاهتان را از نظر آسیب پذیری مورد بررسی قرار می دهند اگر کامپیوتر در زمینه های بازرگانی و تجارت ، آموزشی ، امور عام المنفعه یا نظامی مورد استفاده قرار گیرد بیشتر مورد تهاجم و یورش هکرها قرار خواهد گرفت.

بسیاری از این حملات تنها برای یافتن نفوذی به سپر دفاعی کامپیوتر صورت می گیرد. مابقی قفل شکنهای پیچیده کامپیوتری می باشند و با نگاه اجمالی به عناوین خبری می توان دید که تعداد آنها رو به افزایش می باشد. به عنوان مثال سالهای اخیر ، بانک های بسیاری از سوی هکرها کامپیوتری مورد تهاجم قرار گرفتند بطوریکه هکرها توانسته اند به اطلاعات دسته بندی شده ای  در مورد حسابهای مشتریان بانک ها دسترسی پیدا نمایند هکرها شماره کارتهای اعتباری سایت های مالی و اعتباری می دزدند ، اغلب در مقابل اینکه اطلاعات کارت اعتباری مشتری را منتشر نکند از شرکت های تجاری الکترونیکی ، بنگاههای خبری و سایتهای داد و ستد الکترونیکی اخاذی می نمایند که اینکار باعث شده است که شرکتها درآمد مالی خود را از دست بدهند.

هک چیست؟

هک به ساده ترین زبان و شاید به عامیانه ترین تعبیر به دزدیدن کلمه عبور یک سیستم یا account گفته می شود. به طور کلی نفوذ به هر سیستم امنیتی کامپیوتری را هک می گویند.

هکر کیست؟

هکر کسی است که با سیستم های کامپیوتری آشناست و می تواند با روش هایی خاص (بدون اجازه) وارد آنها شود... این انسان می تواند خوب یا بد باشد(در هر حال هکر است). از دیگر صفات یک هکر این است که او شخصی با هوش و فرصت طلب و با معلومات علمی بالاست.

گروه بندی هکرها نسبت به اهدافشان

دسته ی اول هکرهایی هستند که هدف آنها از ورود به سیستم ضربه زدن به شخص نیست و فقط می خواهند معلومات خود را به رخ دیگران بکشند و ثابت کنند که سیستم های امنیتی همیشه دارای ضعف هستند و قابل نفوذ هستند اما دسته ی دوم هکرهایی هستند که قصد آنها ضربه زدن به دیگران و پرکردن جیب خود است (مانند دزدان اینترنتی. هکرهای گروه اول می توانند مفید باشند زیرا آنها با اثبات اینکه سیستمهای امنیتی قابل نفوذند در واقع نواقص سیستم های امنیتی را نمایان می سازند.

گروه بندی دیگر هکرها

هکرهای واقعی (سامورایی)

کسی که هدفش از نفوذ به سیستم ها نشان دادن ضعف سیستمهای کامپیوتری است نه سوء استفاده ...

Wacker (واکر):

کسی که هدفش از نفوذ به سیستم ها استفاده از اطلاعات آن سیستمهاست (جزو هکرهای کلاه سیاه)

Cracker (کراکر):

کسی که هدفش از نفوذ به سیستمها، خرابکاری و ایجاد اختلال در سیستمهای کامپیوتری است. (جزو هکرهای کلاه سیاه)

Preaker:

از قدیمی ترین هکرها هستند که برای کارشان نیاز (و دسترسی) به کامپیوتر نداشتند و کارشان نفوذ به خطوط تلفن برای تماس مجانی، استراق سمع و... بود.

یک هکر چگونه وارد سیستم می شود؟

هکر با دزدیدن پسورد سیستم می تواند به دیگر اطلاعات اتصال ما به شبکه مانند شماره ی IP دسترسی پیدا کند و همان طور که می دانیم IP آدرس پورت های سیستم ما در شبکه است پس هکر تحت شبکه و از طریق پورت ها وارد سیستم می شود. اگر پسورد Account ما دزدیده شود همان طور که خود ما از هر سیستمی در منزل یا بیرون از منزل با داشتن ID و پسورد وارد میل باکس خود می شود هکرها هم مانند خود ما به میل باکس ما دسترسی دارند.

روشهای ساده ی بدست آوردن پسورد

روش های ساده و رایج بدست آوردن پسورد عبارتند از:

1ـ خواندن پسورد از روی دست کاربر

2ـ فرستادن صفحه ای مانند صفحه ورودی یاهو و یا هات میل بصورت یک ایمیل که در آن به ظاهر کارکنان شرکت سرویس دهنده از کاربر می خواهند به منظور اطمینان از صحت سرویس دهی پسورد خود را تایپ کنند که این پسورد در همین لحظه برای هکر میل زده        می شود.

3ـ برنامه جالبی بنام log وجود دارد که تمامی حرف های وارد شده را ذخیره می کند. هکر تحت شبکه این برنامه را اجرا و بعد از شما می خواهد رمز خود را بزنید و برنامه کلیدهای تایپ شده توسط شما را درون فایل txt ذخیره می کند و هکر بعداً به آن رجوع می کند و رمز شما را کشف می کند.

4ـ روش دیگر حدس زدن جواب سؤالی است که شما انتخاب نموده اید تا در صورت فراموشی پسورد رمزتان از شما پرسیده شود. در یاهو استفاده از این روش سخت است زیرا تاریخ دقیق تولد و آدرس و کد پستی را نیز می خواهد که حدس زدن آنها کار راحتی نیست ولی در سرویس هات میل براحتی می توانید جواب سؤال را حدس بزنید.

پاورپوینت امنیت در فضاهای مسکونی

اختصاصی از فی بوو پاورپوینت امنیت در فضاهای مسکونی دانلود با لینک مستقیم و پر سرعت .

این فایل حاوی مطالعه امنیت در فضاهای مسکونی می باشد که به صورت فرمت PowerPoint در 23 اسلاید در اختیار شما عزیزان قرار گرفته است، در صورت تمایل می توانید این محصول را از فروشگاه خریداری و دانلود نمایید.

فهرست
امنیت در طراحی فضای مسکونی
عوامل تاثیر گذار در ایجاد امنیت
طراحی معماری
ایجاد امنیت ازطریق طراحی محیطی
نظارت طبیعی
تقویت حریم
کنترل طبیعی دسترسی
مشکل کردن هدف
نظریه اسکارنیومن(1972) درمورد فضاهای قابل دفاع
چهار ویژگی طراحی فضاهای قابل دفاع ازنظر نیومن
نمونه موردی بررسی شده توسط اسکار نیومن

تصویر محیط برنامه

پژوهش در مورد نقش زیر دریائی های ایران در امنیت خلیخ فارس و دریای عمان 92 ص - ورد

اختصاصی از فی بوو پژوهش در مورد نقش زیر دریائی های ایران در امنیت خلیخ فارس و دریای عمان 92 ص - ورد دانلود با لینک مستقیم و پر سرعت .

امروزه در جهان گشاده و پهناوری زندگی می کنیم .اندیشه توانا و پیدایشگر بشری اعماق دریاها و آسمانها را تسخیر کرده و به بسیاری از مشکلات اسرار افرینش پی برده است. انسان خاکی توانسته است مقدار زیادی از مبانی علوم را تغییر داده و فرضیه هائی را که سالیان دراز اساس کار دانشمندان بوده از عصری به عصر دیگر متحول سازد واقعیت این است که جهان دائماً در حال تغییر و تحول بوده و آرزوهای دیرینه بشری یکی پس از دیگری تحقق یافته، به نحوی که بشر دیروز امال و آروزهای بر باد رفته خود را بواسطه نبوغ بشری توانسته به آنچه که طبیعت بطور وضوح او را از داشتن آن محروم نموده است دست یابد. امروز پرواز حتی بصورت سفر در فضا انجام می‎شود و قدرت محرکه اتمی او را قادر نموده که تقریبا بدون وابستگی به اکسیژن اتمسفر به زندگی در زیر آب بپردازد.

لذا به جهت اهمیت ویژه دریا در ابعاد مختلف نظامی - سیاسی- اقتصادی- فرهنگی برای کشور جمهوری اسلامی ایران نیروهای دریائی ارتش و سپاه باید از انعطاف پذیری ویژه ای برخوردار باشند و همواره باید آینده نگر بود که آینده با چه سرعتی تغییر می کند، تا بتواند امادگیهای لازم برای پاسخ گویی قاطع به تهدیدات جواب داد.

با توجه به تغییرات بعمل آمده در توان رزمی کشورهای ساحلی خلیج فارس، نیروهای دریایی ارتش و سپاه باید قادر باشند که از تمامیت ارضی کشور در ابهای جنوبی دفاع نماید.

لذا بر اساس این تفکر و اهداف متعالی انقلاب اسلامی و سابقه چند ساله در فعالیتهای دریایی و تجارب بدست آمده در جنگ تحمیلی (دریایی) و آگاهی از تجهیزات موجود یگانها و لمس مشکلات یگانها و همچنین علاقه مندی پژوهشگر، به موضوع اعلام شده از طرف دانشکده کنترل و فرماندهی، در مورد نقش زیر دریائی های ایران و خلیج فارس و دریای عمان، در حد توان هر چند ناچیز و ناقص جهت اهداف مورد نظر اقدام شود.

دانلود تحقیق کامل درمورد فناوری‌های امنیت اطلاعات کامپیوتر

اختصاصی از فی بوو دانلود تحقیق کامل درمورد فناوری‌های امنیت اطلاعات کامپیوتر دانلود با لینک مستقیم و پر سرعت .

لینک پرداخت و دانلود *پایین مطلب*
فرمت فایل:Word (قابل ویرایش و آماده پرینت)
تعداد صفحه: 27
فهرست و توضیحات:

چکیده

مقدمه

فناوری‌های امنیت اطلاعات

طبقه‌بندی(INFOSEC)

1. براساس مرحله خاصی از زمان
2. براساس سطوح پیاده‌سازی نظام‌ های امنیتی در یک محیط رایانه‌ای

الف. فناوری‌های امنیت اطلاعات کنشگرایانه

1. رمزنگاری (Cryptography)
   
2. امضاهای رقومی (digital signatures)
   
3. گواهی‌های رقومی(Digital certificates)
   
4. شبکه‌های مجازی خصوصی( virtual private networks)
   
5. نرم‌افزارهای آسیب‌نما( vulnerability scanners)
   
6. پویشگرهای ضد ویروس(Anti- virus scanner)
   
7. پروتکل‌های امنیتی(security protocols)
   
8. سخت افزارهای امنیتی(Security hardware)
   
9. جعبه‌های توسعه نرم‌افزار امنیتی(security software development kits (SDKs))
   

ب. فناوری‌های امنیت اطلاعات واکنشی

1. دیوار آتش( firewalls)
   
2. کنترل دسترسی(access control)
   
3. کلمات عبور(passwords)
   
4. زیست‌سنجی(biometrics)
   
5. نظام‌های آشکارساز نفوذی(intrusion detection systems (IDS))
   
6. واقعه‌نگاری(logging)
   
7. دسترسی از راه دور(remote accessing)
   

منابع

چکیده

مهم‌ترین مزیت و رسالت شبکه‌های رایانه‌ای، اشتراک منابع سخت‌افزاری و نرم‌افزاری و دستیابی سریع و آسان به اطلاعات است. کنترل دستیابی و نحوه استفاده از منابعی که به اشتراک گذاشته شده‌اند، از مهم‌ترین اهداف یک نظام امنیتی در شبکه است. با گسترش شبکه‌های رایانه‌ای (خصوصاً اینترنت)، نگرش نسبت به امنیت اطلاعات و سایر منابع به اشتراک گذاشته شده، وارد مرحله جدیدی گردیده است. در این راستا لازم است که هر سازمان برای حفاظت از اطلاعات ارزشمند، به یک راهبرد خاص پایبند باشد و براساس آن، نظام امنیتی را اجرا نماید. نبود نظام مناسب امنیتی، بعضاً پیامدهای منفی و دور از انتظاری را به دنبال دارد. توفیق در ایمن‌سازی اطلاعات، منوط به حفاظت از اطلاعات و نظام‌های اطلاعاتی در مقابل حملات است؛ بدین منظور از سرویس‌های امنیتی متعددی استفاده می‌گردد. مقاله حاضر با توجه به این رویکرد به طبقه‌بندی فناوری‌های امنیت اطلاعات، براساس دو ویژگی خواهد پرداخت: مرحله خاصی از زمان که در هنگام تعامل فناوری با اطلاعات، عکس‌العمل لازم در برابر یک مشکل امنیتی، ممکن است کنشی یا واکنشی باشد، و سطوح پیاده‌سازی نظام‌های امنیتی در یک محیط رایانه‌ای.

مقدمه

اطلاعات در سازمان‌ها، مؤسسات پیشرفته و جوامع علمی، شاهرگ حیاتی محسوب می‌گردد. دستیابی به اطلاعات و عرضه مناسب و سریع آن، همواره مورد توجه سازمان‌هایی است که اطلاعات در آن‌ها دارای نقش محوری و سرنوشت‌ساز است. سازمان‌ها و مؤسسات باید یک زیرساخت مناسب اطلاعاتی برای خود ایجاد کنند و در جهت سازماندهی اطلاعات در سازمان خود حرکت نمایند. اگر می‌خواهیم ارائه‌دهنده اطلاعات در عصر اطلاعات، و نه صرفاً مصرف‌کننده اطلاعات باشیم، باید در مراحل بعد، امکان استفاده از اطلاعات ذیربط را برای متقاضیان محلی و جهانی در سریع‌ترین زمان ممکن فراهم نماییم.
سرعت در تولید و عرضه اطلاعات ارزشمند، یکی از رموز موفقیت در سازمان‌ها، مؤسسات و جوامع علمی در عصر اطلاعات است. پس از سازماندهی اطلاعات باید با بهره‌گیری از شبکه‌های رایانه‌ای، زمینه استفاده قانونمند و هدفمند از اطلاعات را برای دیگران فراهم کرد. به موازات حرکت به سمت یک سازمان پیشرفته و مبتنی بر فناوری اطلاعات، باید تدابیر لازم در رابطه با حفاظت از اطلاعات نیز اندیشیده شود.
مهم‌ترین مزیت و رسالت شبکه‌های رایانه‌ای، اشتراک منابع سخت‌افزاری و نرم‌افزاری و دستیابی سریع و آسان به اطلاعات است. کنترل دستیابی و نحوه استفاده از منابعی که به اشتراک گذاشته شده‌اند، از مهم‌ترین اهداف یک نظام امنیتی در شبکه است. با گسترش شبکه‌های رایانه‌ای خصوصاً اینترنت، نگرش به امنیت اطلاعات و دیگر منابع به اشتراک گذاشته شده، وارد مرحله جدیدی گردیده است. در این راستا لازم است که هر سازمان برای حفاظت از اطلاعات ارزشمند، به یک راهبرد خاص پایبند باشد و براساس آن، نظام امنیتی را پیاده‌سازی و اجرا نماید.
نبود نظام مناسب امنیتی، ممکن است پیامدهای منفی و دور از انتظاری را به دنبال داشته باشد. توفیق در ایمن‌سازی اطلاعات منوط به حفاظت از اطلاعات و نظام های اطلاعاتی در مقابل حملات است؛ بدین منظور از سرویس های امنیتی متعددی استفاده می‌شود. سرویس‌های انتخابی باید پتانسیل لازم در خصوص ایجاد یک نظام حفاظتی مناسب، تشخیص بموقع حملات، و واکنش سریع را داشته باشند. بنابراین می توان محور راهبردی انتخاب شده را بر سه مؤلفه حفاظت، تشخیص، و واکنش استوار نمود. حفاظت مطمئن، تشخیص بموقع و واکنش مناسب، از جمله مواردی هستند که باید همواره در ایجاد یک نظام امنیتی رعایت کرد (مدیریت شبکه شرکت سخا روش، 1382).
خوشبختانه پژوهش‌های زیادی در زمینه امنیت رایانه و شبکه‌ها در رابطه با فناوری‌های امنیتی پیشگیرانه (کنشی) و نیز مواجهه با مشکلات امنیتی (واکنشی) صورت گرفته است. مقاله حاضر در صدد بیان، تعدادی از فناوری‌های موجود در رابطه با امنیت اطلاعات با یک دیدگاه طبقه‌بندی است.

این فقط قسمتی از متن مقاله است . جهت دریافت کل متن مقاله ، لطفا آن را خریداری نمایید