مقاله بررسی مدیریت امنیت اطلاعات و استانداردهای آن

فرمت فایل : word (قابل ویرایش) تعداد صفحات : 15 صفحه

معرفی و مقدمه :

با ارائه اولین استاندارد مدیریت امنیت اطلاعات در سال 1995، نگرش سیستماتیک به مقوله ایمن‌سازی فضای تبادل اطلاعات شکل گرفت. بر اساس این نگرش، تامین امنیت فضای تبادل اطلاعات سازمانها، دفعتا مقدور نمی‌باشد و لازم است این امر بصورت مداوم در یک چرخه ایمن‌سازی شامل مراحل طراحی، پیاده‌سازی، ارزیابی و اصلاح، انجام گیرد. برای این منظور لازم است هر سازمان بر اساس یک متدولوژی مشخص، اقدامات زیر را انجام دهد:

1-      تهیه طرح‌ها و برنامه‌های امنیتی موردنیاز سازمان

2-      ایجاد تشکیلات موردنیاز جهت ایجاد و تداوم امنیت فضای تبادل اطلاعات سازمان

3-      اجرای طرح‌ها و برنامه‌های امنیتی سازمان

در حال حاضر، مجموعه‌ای از استانداردهای مدیریتی و فنی ایمن‌سازی فضای تبادل اطلاعات سازمان‌ها ارائه شده‌اند که استاندارد مدیریتی BS7799 موسسه استاندارد انگلیس، استاندارد مدیریتی ISO/IEC 17799 موسسه بین‌المللی استاندارد و گزارش فنی ISO/IEC TR 13335 موسسه بین‌المللی استاندارد از برجسته‌ترین استاندادرها و راهنماهای فنی در این زمینه محسوب می‌گردند.

در این استانداردها، نکات زیر مورد توجه قرار گرفته شده است:

1-      تعیین مراحل ایمن‌سازی و نحوه شکل‌گیری چرخه امنیت اطلاعات و ارتباطات سازمان

2-      جرئیات مراحل ایمن‌سازی و تکنیکهای فنی مورد استفاده در هر مرحله

3-      لیست و محتوای طرح‌ها و برنامه‌های امنیتی موردنیاز سازمان

4-      ضرورت و جزئیات ایجاد تشکیلات سیاستگذاری، اجرائی و فنی تامین امنیت اطلاعات و ارتباطات سازمان

5-      کنترل‌های امنیتی موردنیاز برای هر یک از سیستم‌های اطلاعاتی و ارتباطی سازمان

استانداردهای مدیریتی ارائه شده در خصوص امنیت اطلاعات و ارتباطات سازمان‌ها، عبارتند از:

استاندارد مدیریتی BS7799 موسسه استاندارد انگلیساستاندارد مدیریتی ISO/IEC 17799 موسسه بین‌المللی استاندارد گزارش فنی ISO/IEC TR 13335 موسسه بین‌المللی استاندارد

در این بخش، به بررسی مختصر استانداردهای فوق خواهیم پرداخت.

2-1-          استاندارد BS7799 موسسه استاندارد انگلیس

استاندراد BS7799 اولین استاندارد مدیریت امنیت اطلاعات است که نسخه اول آن (BS7799:1) در سال 1995 منتشر شد. نسخه دوم این استاندارد (BS7799:2) که در سال 1999 ارائه شد، علاوه بر تغییر نسبت به نسخه اول، در دو بخش ارائه گردید. آخرین نسخه این استاندارد، (BS7799:2002) نیز در سال 2002 و در دو بخش منتشر گردید.

مقاله کامل در مورد امنیت اطلاعات در شبکه

لینک پرداخت و دانلود *پایین مطلب*
فرمت فایل:Word (قابل ویرایش و آماده پرینت)
تعداد صفحه: 7
فهرست مطالب:

سرویس های امنیتی در شبکه

دیوار آتش

اصول رمزنگاری

رمزگذاری جانشینی و جایگشتی

رمزگذاری DES

رمزگذاری RSA

اصول احراز هویت در شبکه

امضاهای دیجیتالی

1)مقدمه

تا یکی دو دهه قبل شبکه های کامپیوتری معمولاً در دو محیط وجود خارجی داشت:

محیطهای نظامی که طبق آئین نامه های حفاظتی ویژه بصورت فیزیکی حراست می شد و چو.ن سایت های ارتباطی خودشان هم در محیط حفاظت شدة نظامی مستقر بود و هیچ ارتباط مستقیم با دنیای خارج نداشتند، لذا دغدغة کمتری برای حفظ اسرار و اطلاعات وجود داشت. (نمونه بارز این شبکه ARPANET در وزارت دفاع آمریکا بود)محیط های علمی و دانشگاهی که برای مبادله دستاوردهای تحقیقی و دسترسی به اطلاعات علمی ازشبکه استفاده می کردند و معمولاً بر روی چنین شبکه هایی اطلاعاتی مبادله می شد که آشکار شدن آن ها لطمة چندانی به کسی وارد نمی کرد.( اداراتی هم که اطلاعات محرمانه و سری داشتند معمولاً از کامپیوترهای Mainframe استفاده می کردند که هم مدیریت و حراست ساده تری نیاز دارد و هم کنترل کاربران آن بصورت فیزیکی ساده است)

با گسترش روز افزون شبکه های به هم پیوسته و ازدیاد حجم اطلاعات مورد مبادله و متکی شدن قسمت زیادی از امور روزمره به شبکه های کامپیوتری و ایجاد شبکه‌های جهانی چالش بزرگی برای صاحبان اطلاعات پدید آمده است. امروز سرقت دانشی که برای آن هزینه و وقت، صرف شده یکی از خطرات بالقوه  شبکه های کامپیوتری به شمار می آید.

در جهان امروز با محول شدن امور اداری و مالی به شبکه های کامپیوتری زنگ خطر برای تمام مردم به صدا درآمده است و بر خلاف گذشته که خطراتی نظیر دزدی و راهزنی معمولاً توسط افراد کم سواد و ولگرد متوجه مردم بود امروزه این خطر توسط افرادی تحمیل می شود که با هوش و باسوادند(حتی با هوش تر از افراد معمولی) و قدرت نفوذ و ضربه به شبکه را دارند. معمولاً هدف افرادی که به شبکه های کامپیوتری نفوذ یا حمله می کنند یکی از موارد زیر است:

تفریح یا اندازه گیری ضریب توانایی فردی یا کنجکاوی (معمولاً دانشجویان!)دزدیدن دانشی که برای تهیه آن بایستی صرف هزینه کرد (راهزنان دانش)انتقام جویی و ضربه زدن به رقیبآزار رسانی و کسب شهرت از طریق مردم آزاری (بیماران روانی)جاسوسی و کسب اطلاعات از وضعیت نظامی و سیاسی یک کشور یا منطقهرقابت ناسالم در عرصة تجارت و اقتصادجا به جا کردن مستقیم پول و اعتبار از حسابهای بانکی و دزدیدن شماره کارتهای اعتبارکسب اخبار جهت اعمال خرابکاری و موذیانه (توسط تروریستها)

بهر حال امروزه امنیت ملی و اقتدار سیاسی و اقتصادی به طرز پیچیده ای به امنیت اطلاعات گره خورده و نه تنها دولتها بلکه تک تک افراد را تهدید می کند. برای ختم مقدمه از شما سئوال می کنیم که چه حالی به شما دست می دهد وقتی متوجه شوید که شماره حساب بانکی یا کارت اعتباریتان توسط فرد ناشناس فاش شده و انبوهی هزینه روی دست شما گذاشته است؟ پس به عنوان یک فرد مطلع از خطراتی که یک شبکه کامپیوتری را دنبال می کند این فصل را دنبال کنید.

سرویسهای امنیتی در شبکه ها

تهدید های بالقوه برای امنیت شبکه های کامپیوتری بصورت عمده عبارتند از:

فاش شدن غیر مجاز اطلاعات در نتیجة استراق سمع داده ها یا پیامهای در حال مبادله روی شبکهقطع ارتباط و اختلال در شبکه به واسطه یک اقدام خرابکارانهتغییر و دستکاری غیر مجاز اطلاعات با یک پیغام ارسال شده

بایستی با مفاهیم اصطلاحات زیر به عنوان سرویسهای امنیتی آشنا باشید:

الف) محرمانه ماندن اطلاعات[1]: دلایل متعددی برای یک سازمان یا حتی یک فرد عادی وجود دارد که بخواهند اطلاعات خود را محرمانه نگه دارد.

ب) احراز هویت[2]: بیش از آنکه محتوای یک پیام یا اطلاعات اهمیت داشته باشد باید مطمئن شوید که پیام حقیقتاً از کسی که تصور می کنید رسیده است و کسی قصد فریب و گمراه کردن ( یا آزار) شما را ندارد.

ج) سلامت داده ها[3] : یعنی دست نخوردگی و عدم تغییر پیام و اطمینان از آنکه داده ها با طالاعات مخبر مثل یک ویروس کامپیوتری آلوده نشده اند.

د) کنترل دسترسی[4]: یعنی مایلید دسترسی افرادی ا که مجاز نیستند، کنترل کنیدو قدرت منع افرادی را که از دیدگاه شما قابل اعتماد به شمار نمی آیند از دسترسی به شبکه داشته باشید.

ه) در دسترس بودن[5]: با این تفاضیل، باید تمام امکانات شبکه بدون دردسر و زحمت در اختیار آنهایی که مجاز به استفاده از شبکه هستند، باشد و در ضمن هیچ کس نتواند در دسترسی به شبکه اختلال ایجاد کند.

زمانی که یکی از سرویسهای امنیتی پنج گانه فوق نقض شود می گوییم به سیستم حمله شده است.

معمولاً یک شبکه کامپیوتری در معرض چهار نوع حمله قرار دارد:

حمله از نوع وقفه[6]: بدین معنا که حمله کننده باعث شود شبکه مختل شده و مبادله اطلاعات امکان پذیر نباشد.حمله از نوع استراق سمع[7]: بدین معنا که حمله کننده به نحوی توانسته اطلاعات در حال تبادل روی شبکه را گوش داده و بهره برداری نماید.حمله از نوع دستکاری داده ها[8] : یعنی حمله کننده توانسته به نحوی اطلاعاتی را که روی شبکه مبادله می شود تغییر دهد یعنی داده هایی که در مقصد دریافت می شود متفاوت با آن چیزی باشد که از مبدأ آن ارسال شده است.حمله از نوع افزودن اطلاعات[9]: یعنی حمله کننده اطلاعاتی را که در حال تبادل روی شبکه است تغییر نمی دهد بلکه اطلاعات دیگری را که می تواند مخرب یا بنیانگزار حملات بعدی باشد، به اطلاعات اضافه می نماید (مثل ویروس ها)

به حمله ای که هنگام شروع با بروز اختلال در شبکه علنی می شود و در کار ارسال یا دریافت مشکل ایجاد می کند “حمله فعال” می گویند. برعکس حمله ای که شبکه را با اختلال مواجه نمی کند و ظاهراً مشکلی در کار ارسال و دریافت به وجود نمی آورد “حملة غیر فعال”[10] نامیده می شود و از خطرناکترین انواع حمله ها به شبکه به شمار می رود.

در ادامه این فصل دو راه کلی برای حراست و حفظ امنیت اطلاعات در یک شبکه کامپیوتری معرفی می شود:

حراست و حفاظت داده ها و شبکه از طریق نظارت بر اطلاعات و دسترسی ها به کمک سیستم هایی که “دیوار آتش[11]” نامیده می شود.رمز گذاری اطلاعات به گونه ای که حتی اگر کسی آنها را دریافت کرد نتواند محتوای آن را بفهمد و از آن بهره برداری کند.

برای تمایز دو مورد فوق مثال عامیانه زیر بد نیست:

چون احتمال سرقت همیشه وجود دارد اولاً شما قفلهای مطمئن و دزدگیر برای منزل خود نصب می کنید و احتمالاً نگهبانی می گمارید تا ورود و خروج افراد را نظارت کند (کاری که دیوار آتش انجام می دهد) ثانیاً چون باز هم احتمال نفوذ می دهید لوازم قیمتی و وجه نقد را در گوشه ای مخفی می کنید تا حتی در صورت ورود سارق موفق به پیدا کردن و بهره برداری از آن نشود. با تمام این کارها باز هم اطمینان صد در صد وجود ندارد چرا که هر کاری از یک انسان باهوش بر می آید.

دانلود پروژه تحلیل فناوری اطلاعات (IT)

مقدمه:

اطلاعات همانند خونی است که در کالبد سازمان جریان می‌یابد و به آن حیات می‌بخشد، اطلاعات می‌تواند فرایند تصمیم‌گیری را در مورد ساختار، تکنولوژی و نوآوری تغذیه نماید، و همچنین اطلاعات همانند یک رگ حیاتی است که سازمان را به عرضه کنندگان مواد اولیه و مشتریان متصل می‌سازد، توسعه فن‌آوری اطلاعات مانند کامپیوترها و وسایل ارتباط الکترونیکی ماهیت بسیاری از کارهای دفتری را دگرگون کرده‌اند، شبکه‌های کار در خانه و خودکار شدن، امکان محدود کردن بعضی بخشها و کاهش تعداد کارکنان سازمان را فراهم آورده‌اند. از این پدیده‌ها (فن‌آوری اطلاعات) ممکن است چنین استنباط شود که سازمانهای بزرگ کوچکتر می‌شوند و گرایش بسوی انواع انعطاف‌پذیرتر و کوچکتر سازمان نیرومندتر می‌شود.

فن‌آوری اطلاعات همچنین می‌تواند منجر به تغییرات نسبتاً وسیعی در سطح بین‌المللی باشد. زیرا این فن‌آوریهای اطلاعاتی و کامپیوترها می‌توانند تاثیر شدیدی بر عملکردهای اقتصادی و اجتماعی و مناسبات جهانی داشته باشند. هم در پیش‌بینیهای خوشبینانه از نظر ابعاد مثبت تاثیرات فن‌آوری اطلاعات بر شیوه‌های زندگی و هم در بدبینیهای موجود نسبت به تاثیرات مخرب آن عناصری از واقعیت نهفته است، به هر تقدیر، بر بازار کار و شیوه زندگی تاثیر خواهد نهاد. در حال حاضر فن‌آوری اطلاعات مهمترین مساله‌ای نیست که یک کشور بخصوص با آن روبرو باشد بلکه تجلی آن بعنوان سریع‌التغیرترین عامل اقتصاد بسیاری از کشورها، مساله‌ساز است. این فن‌آوری به سرعت در حال بهسازی و ارتقاست و هزینه‌ها با سرعت قابل توجه کاهش می‌یابند. دامنه کاربرد آن بسیار وسیع است و در غالب صنایع تاثیرات آن بر قیمت تمام شده محصول از نظر سهم هزینه‌های مربوط به نیروی انسانی از اهمیت بسیار برخوردار است.

همچنین کاربرد این فن‌آوریهای اطلاعاتی در سازمانها در حکم یکی از منابع و دارائیهای با ارزش سازمانی است و انتخاب و تعیین استراتژی صحیح برای کاربرد آن ضروری است.

البته در مرحله اول این مطلب برای بسیاری از مدیران سازمانها چندان پذیرفتنی نیست و برخورد با اطلاعات در حکم منبعی همپایه همچون نیروی انسانی، مواد اولیه، منابع مالی و … و گاه مهمتر از این‌ها، امر راحتی نیست. حتی برای بسیاری از مدیران سطح اجرایی نیز، تلقی عنصری غیر ملموس در حکم منبع اصلی امکانات حیاتی، مشکل است. اما اگر درست توجه کنیم می‌بینیم که چطور این عناصر غیر ملموس، بر بالا رفتن بهره‌وری و سوددهی هر سازمانی و بهینه‌سازی اتخاذ تصمیمات مدیران راهبردی تاثیر می‌گذارند. اطلاعات در حیات هر سازمانی می‌تواند نقش مهمی را بعهده داشته باشد. در واقع اطلاعات وسیله‌ای است که امکان استفاده بهتر و مناسبتر از منابع ملموس سازمان را برای مدیریت فراهم می‌آورد. اطلاعات در سازمان غالباً به شکل موثری اداره نمی‌شود و با وجود آنکه در بسیاری از سازمانها، اطلاعات با فن‌آوری پیشرفته همراه شد و نظام‌های پیچیده خودکار برای خدمات اطلاعات[1] و همچنین نظامهای خودکار دفتری و اداری[2] در سطح وسیع به کار گرفته می‌شوند، هنوز در مورد مسئله مدیریت این نظامها و مراکز خدمات اطلاعاتی و چگونگی و میزان کاربرد این فن‌آوریها و مدیریت منابع اطلاعاتی بحث و بررسی دقیق و مفصلی نشده یا اجرا نگردیده است.

می‌توان اولین گام برای کاربرد فن‌آوریهای اطلاعاتی را آگاهی مدیران از ارزش بالقوة آن دانست. همان‌ طوری که با فعالتر شدن مدیریت، بکارگیری اصول و علوم آن ساده‌تر گردید، با ارج نهادن به نقش اطلاعات در سازمان به کاربرد فن‌آوریهای اطلاعاتی و نیز نقش‌آفرینی اطلاعات در تصمیمات و استراتژیهای مدیریتی و چگونگی بهره‌گیری از آن آگاه‌تر خواهیم شد.

تکنولوژی (فن‌آوری) :

تکنولوژی یکی از عوامل موثر و تعیین کننده در ساختار سازمانی است و تغییرات و تحولات تکنولوژیکی باعث پیدایش صنایع و مشاغل جدید و از بین رفتن یا بی‌اهمیت شدن بعضی از صنایع و مشاغل قبلی می‌گردد. بنابراین ورود تکنولوژی به سازمان محدودیتها و فرصتهایی را پدید می‌آورد که از جمیع جهات بر سازمان تاثیر می‌گذارد. تکنولوژی ترکیب جدیدی از تلاش انسان، ماشین‌ها و تجهیزات و روشهای انجام کار را ایجاد می‌کند که نیازمند آمادگی سازمان در جهت پذیرش و انتخاب ترکیب صحیح می‌باشد. در مفهوم واقعی تکنولوژی، اتفاق نظر کامل وجود ندارد. برداشتهای متفاوت از تاثیر تکنولوژی در سازمان شده است همچین سطوح تجزیه و تحلیل تاثیر تکنولوژی در سازمان نیز متفاوت بوده است و عده‌ای کل سازمان را بعنوان استفاده کنندگان تکنولوژی‌های متفاوت و حتی عده‌ای دیگر فرد را بعنوان یک واحد تاثیرپذیر تکنولوژی مورد بررسی قرار داده‌اند.

به همین جهت تعریف واحدی از تکنولوژی ارائه نشده است.

به هر حال، تکنولوژی عبارتی است که برای هر نوع سازمانی قابل کاربرد است. سازمانها همگی اعم از صنعتی و خدماتی از تکنولوژی استفاده می‌کنند. همه سازمانها به این منظور بوجود آمده‌اند که تغییری را در «شیء» بوجود آورند و ایجاد این تغییر مستلزم داشتن تکنولوژی است. البته شیء مذکور حتما نباید دارای شکل ظاهری و مادی باشد، بلکه می‌تواند شامل مواردی مثل اطلاعات، نمادها و حتی افراد نیز باشد. محسوس و ملموس بودن یا نبودن شیء مورد تغییر در سازمان، تاثیری در مفهوم و اهمیت تکنولوژی به طور عام ندارد به عبارت دیگر بعنوان عامل موثر هماهنگی که در یک پالایشگاه نفت مورد بررسی قرار می‌گیردبه همان نحو نیز در یک موسسه بیمه مورد تجزیه و تحلیل قرار می‌گیرد.(Scott . Bedeian . 1986)

فایل ورد 117 ص

دانلود کتاب معلم کارو فناوری کلیات فناوری اطلاعات و ارتباطات ششم دبستان

دانلود کتاب معلم(راهنمای تدریس) کارو فناوری کلیات فناوری اطلاعات و ارتباطات ششم دبستان

ذخیره و بازیابی اطلاعات سیستم و ساختار فایل ها (ویرایش سوم) - رانکوهی - مهندسی کامپیوتر

کتاب ذخیره و بازیابی اطلاعات سیستم و ساختار فایل ها (ویرایش سوم)

تالیف سید محمد تقی روحانی رانکوهی

منبع رشته مهندسی کامپیوتر دانشگاه پیام نور

شامل 541 صفحه کتاب با فرمت pdf

طبق لیست حذفیات فصل های 1 و 2 و 3 و 4 و 5 و 6 و 8 مطالعه شود.