دانشگاه آزاد اسلامی واحد نراق

2. دانشگاه آزاد اسلامی واحد نراق استاد گرامی : جناب آقای دکتر محسن رسولیان تهیه کنندگان: مریم الیاسی & نفیسه نخعی

3. سیستم اطلاعاتی مدیریتویرایش ششم بخش 14 خطرات، امنیتو بهبود فاجعه

4. اهداف سیستم اطلاعاتی مدیریت ، ویرایش ششم Describe the primary goals of information security Enumerate the main types of risks to information systems شرح اهداف اصلی در امنیت اطلاعات بیان خطراتی که به طورعمده‌ی سیستم های اطلاعاتی را تهدید میکنند

5. اهداف سیستم اطلاعاتی مدیریت ، ویرایش ششم List the various types of attacks on networked systems Describe the types of controls required to ensure the integrity of data entry and processing and uninterrupted e-commerce فهرست انواع مختلف حملات که به سیستم های شبکه‌ای میشود شرح انواع کنترل های مورد نیاز برای حصول اطمینان از صحت ورود داده ها، پردازش و تجارت الکترونیکی که بی‌وقفه انجام میشود

6. اهداف (ادامه) سیستم اطلاعاتی مدیریت ، ویرایش ششم Describe the various kinds of security measures that can be taken to protect data and Iss Improve the security of your personal information system and the information it stores توصیف انواع مختلف اقدامات امنیتی که برای محافظت از اطلاعات و ISS می توان مورد استفاده قرار داد. بهبود امنیت سیستم اطلاعات شخصی شما و اطلاعات ذخیره شده در آن.

7. اهداف (ادامه) سیستم اطلاعاتی مدیریت ، ویرایش ششم Recognize online scams Outline the principles of developing a recovery plan Explain the economic aspects of information security تشخیص کلاهبرداری های آنلاین طرح اصول توسعه برنامه‌ی بازیابی توضیح جنبه های اقتصادی امنیت اطلاعات

8. اهداف امنیت اطلاعات Protecting IT resources is a primary concern Securing corporate ISs is becoming increasingly challenging حفاظت از منابع فناوری اطلاعات (IT)نگرانی اصلی می باشد. حفاظت از سیستمهای اطلاعات شرکت بشدت چالشی می باشد. سیستم اطلاعاتی مدیریت ، ویرایش ششم

9. اهداف امنیت اطلاعات سیستم اطلاعاتی مدیریت ، ویرایش ششم • The major goals of information security are to: • Reduce the risk of systems ceasing operation • Maintain information confidentiality • Ensure the integrity and reliability of data resources • Ensure the uninterrupted availability of resources • Ensure compliance with policies and laws • اهداف عمده ی امنیت اطلاعات عبارتند از: • کاهش احتمال توقف عملیات سیستم • حفظ جنبه محرمانه بودن اطلاعات • اطمینان از درستی و قابل اعتماد بودن منابع داده ها • حصول اطمینان از در دسترس بودن بی وقفه منابع • حصول اطمینان از انطباق با خط مشی ها و قوانین

10. خطرات مربوط به سیستم های اطلاعات • Downtime: the period of time during which an IS is not available • Extremely expensive: average losses of: • $2,500/minute for CRM systems • $7,800/minute for e-commerce applications • $4 billion lost annually in the U.S. due to downtime • مدت زمانی که طی آن سرور(سیستم اطلاعات ) قابل استفاده نیست • بسیار گران قیمت بودن اطلاعات : • $ 2.500 در دقیقه برای سیستم های CRM • $ 7.800 در دقیقه برای تجارت الکترونیکی و برنامه های کاربردی • در ایالات متحده آمریکا سالانه 4 میلیارد دلار به دلیل از کارافتادگی سرورها به حدر می رود. سیستم اطلاعاتی مدیریت ، ویرایش ششم

11. خطرات مربوط به سخت افزار سیستم اطلاعاتی مدیریت ، ویرایش ششم • #1 cause of system downtime is hardware failure • Major causes of damage to hardware include: • Natural disasters • Fires, floods, earthquakes, hurricanes, tornadoes, and lightning • 1 علت خرابی سیستم، میتواند شکست قطعه سخت افزاری باشد • علل عمده ای که به سخت افزار آسیب می رسانند عبارتند از: • بلایای طبیعی • آتش سوزی، سیل، زلزله، طوفان، گردباد و رعد و برق

12. خطرات مربوط به سخت افزار سیستم اطلاعاتی مدیریت ، ویرایش ششم • Blackouts and brownouts • Blackout: total loss of electricity • Brownout: partial loss of electricity • Uninterruptible power supply (UPS): backup power • Vandalism • Deliberate destruction • خاموشی سراسری و خاموشی موقت • خاموشی: قطع ناگهانی برق • Brownout: از دست دادن جزئی از برق • تامین برق اضطراری UPS)(: پشتیبان گیری قدرت برق • دشمنی با علم و صنعت • تخریب عمدی

13. خطرات مربوط به داده ها و برنامه های کاربردی سیستم اطلاعاتی مدیریت ، ویرایش ششم Data should be a primary concern because it is often a unique resource Data and applications are susceptible to disruption, damage, and theft The culprit in damage to software or data is almost always human داده ها باید از دغدغه های اصلی باشند زیرا اغلب منبعی منحصر به فرد هستند. داده ها و برنامه های کاربردی بروز اختلال، آسیب، و سرقت هستند. تقریبا انسانها همواره در آسیب رساندن به نرم افزار و یا داده ها مقصر هستند.

14. خطرات مربوط به داده ها و برنامه های کاربردی سیستم اطلاعاتی مدیریت ، ویرایش ششم Keystroke logging: records individual keystrokes Social engineering: con artists pretend to be service people, and ask for passwords Identity theft: pretending to be another person ثبت استفاده هرکلید: ثبت اختصاصی استفاده از هر کلید صفحه کلید مهندسی اجتماعی: برای ورود وخدمات به مردم از انها کلمه عبور بخواهید متقلبینی که با تظاهر به ارائه خدمات به مردم از آنها رمزهای عبورشان را می خواهند. سرقت هویت: خود را به مشخصات فرد دیگری معرفی کردن

15. ارسال ایمیل به این سایت ممنوع چون این سایت جعلی است و ورود هر گونه اطلاعات ممکن است شما را دچار مشکل کنند. سیستم اطلاعاتی مدیریت ، ویرایش ششم

16. خطرات مربوط به داده ها و نرم افزار (ادامه) سیستم اطلاعاتی مدیریت ، ویرایش ششم • Risks to data include: • Alteration • Destruction • Web defacement • خطرات مربوط به داده ها عبارتند از: • تغییرداده ها • تخریب داده ها • پاک کردن وب (خراب کردن )

17. خطرات مربوط به داده ها و نرم افزار (ادامه) سیستم اطلاعاتی مدیریت ، ویرایش ششم • Deliberate alteration or destruction is often done as a prank, but has a high cost • The target may be a company’s Web site • Honeytoken: a bogus record in a networked database used to combat hackers • تغییرعمدی و یا تخریب داده ها که اغلب به عنوان شوخی انجام می شوند، اما هزینه بالایی دارند. • ممکن است هدف وب سایت یک شرکت باشد. • Honeytoken: برای مبارزه با هکرها رکوردهای امنیتی ساخته میشود که در پایگاه داده شبکه استفاده می گردد.

18. خطرات مربوط به داده ها و نرم افزار (ادامه) سیستم اطلاعاتی مدیریت ، ویرایش ششم • Honeypot: a server containing a mirrored copy of a database or a bogus database • Educates security officers about vulnerable points • تله : اطلاعات جعلی در بایگانی شبکه که به منظور مبارزه با هکرها مورد استفاده قرار می گیرد. (یک نوع سروری که حاوی کپی یک بایگانی جعلی است.) • دانش آموختگان ماموران امنیتی هستند که درمورد نقاط آسیب پذیر کار میکنند.

19. Virus: spreads from computer to computer Worm: spreads in a network without human intervention Antivirus software: protects against viruses Trojan horse: a virus disguised as legitimate software ویروس: از کامپیوتری به کامپیوتر دیگر انتقال پیدا میکند کرم: در یک شبکه بدون دخالت انسان گسترش می یابد نرم افزار آنتی ویروس: محافظت در برابر ویروس ها اسب تروا: ویروسی که خود را به هیئت نرم افزارهای قانونی درمی آورد. سیستم اطلاعاتی مدیریت ، ویرایش ششم

20. نرم افزار آنتی ویروس نرم افزار مهم برای جلوگیری از ویروسی شدن کامپیوتر میباشد. سیستم اطلاعاتی مدیریت ، ویرایش ششم

21. خطرات مربوط به داده ها و نرم افزار (ادامه) سیستم اطلاعاتی مدیریت ، ویرایش ششم • Logic bomb: software that is programmed to cause damage at a specific time • Unintentional, no malicious damage can be caused by: • Human error • Lack of adherence to backup procedures • Poor training • Unauthorized downloading and installation of software may cause damage • بمب منطقی: نرم افزاری که به منظورآسیب رساندن به نرم افزارها در زمانی خاص برنامه ریزی شده است. • آسیب هایی که ناخواسته و بدون اینکه قصد آسیب زدن داشته باشیم ایجاد شود : • خطای انسانی • عدم پیوستگی در تهیه نسخه پشتیبان • آموزش ضعیف • ممکن است دانلود غیر مجاز و نصب و راه اندازی غیر مجاز نرم افزار ها باعث بروزآسیب شوند

22. ریسک عملیات های آنلاین سیستم اطلاعاتی مدیریت ، ویرایش ششم • Many hackers try daily to interrupt online businesses • Types of attacks include: • Unauthorized access • Data theft • Defacing of Web pages • Denial of service • Hijacking • روزانه بسیاری از هکرها سعی میکنید باعث توقف کسب و کارهای آنلاین شوند • انواع حملات عبارتند از: • دسترسی های غیر مجاز • سرقت اطلاعات • پاک کردن صفحات وب • محرومیت از خدمات • ربودن

23. محرومیت از سرویس سیستم اطلاعاتی مدیریت ، ویرایش ششم • Denial of service (DoS): an attacker launches a large number of information requests • Slows down legitimate traffic to site • محرومیت از خدمات (DOS): مهاجم تعداد زیادی از درخواست اطلاعاترا راه اندازی می کند. • کاهش سرعت قانونی دسترسی به سایت

24. محرومیت از سرویس سیستم اطلاعاتی مدیریت ، ویرایش ششم • Distributed denial of service (DDoS): an attacker launches a DoS attack from multiple computers • Usually launched from hijacked personal computers called “zombies” • No definitive cure for this • A site can filter illegitimate traffic • تعمیم محرومیت از خدمات انکار سرویس (DDOS): مهاجمی که یک حمله DOS را از رایانه های مختلفی راه اندازی میکند. • معمولا از کامپیوترهای شخصی ربوده شده که "زامبی ها" نامیده می شوند راه اندازی می شود. • هیچ چاره قطعی برای آن وجود ندارد. • یک سایت می تواند بازدیدهای نامشروع را فیلتر کند.

25. ربودن اطلاعات کامپیوتر سیستم اطلاعاتی مدیریت ، ویرایش ششم • Hijacking: using some or all of a computer’s resources without the consent of its owner • Often done for making a DDoS attack • Done by installing a software bot on the computer • Main purpose of hijacking is usually to send spam • ربودن: استفاده از قسمتی یا تمام منابع یک کامپیوتر بدون اطلاع مالک آن. • اغلب برای ایجاد یک حمله مخربانه میباشد • با نصب نرم افزار بوت روی کامپیوتر انجام می شود. • معمولا هدف اصلی ربودن ، ارسال هرزنامه (Spam) است.

26. Bots are planted by exploiting security holes in operating systems and communications software • A boot usually installs e-mail forwarding software • نرم افزارهای بوت یا استفاده از حفره های امنیتی موجود در سیستم عامل و نرم افزارهای ارتباطات نصب می شوند. • یک نرم افزار بوت معمولا نرم افزار انتقال ایمیل را نیز نصب میکند. سیستم اطلاعاتی مدیریت ، ویرایش ششم

27. نظارت و کنترل سیستم اطلاعاتی مدیریت ، ویرایش ششم • Controls: constraints and restrictions imposed on a user or a system • Controls can be used to secure against risks • Controls are also used to ensure that nonsensical data is not entered • Controls can reduce damage caused to systems, application, and data • نظارت: محدودیت های اعمال شده برای یک کاربر و یا سیستم • از کنترل می توان برای تأمین امنیت در برابر خطرات استفاده کرد. • برای نظارت همچنین حصول اطمینان از وارد شدن داده های ناخواسته مورد استفاده قرار می گیرند. • با نظارت کردن می توان آسیب های وارده بر سیستم ، نرم افزار، و داده را کاهش داد.

28. کنترل (ادامه) سیستم اطلاعاتی مدیریت ، ویرایش ششم

29. قابلیت اطمینان برنامه و کنترل های ورودی سیستم اطلاعاتی مدیریت ، ویرایش ششم • A reliable application is one that can resist inappropriate usage such as incorrect data entry or processing • The application should provide clear messages when errors or deliberate misuses occur • Controls also translate business policies into system features • برنامه قابل اعتماد است که بتواند در برابر استفاده نامناسب همچون ورود اطلاعات یا پردازش نامناسب مقاومت داشته باشد. • این برنامه باید هنگامی که اشتباهات و یا سوء استفاده های عمدی رخ می دهد پیام واضحی بدهد • همچنین نظارت ها ، سیاست های کسب و کار را به ویژگی های سیستمی ترجمه میکند.

30. تهیه فایل پشتیبان سیستم اطلاعاتی مدیریت ، ویرایش ششم Backup: periodic duplication of all data Redundant Arrays of Independent Disks (RAID): set of disks programmed to replicate stored data پشتیبان گیری : تمام داده ها به طور مکررو دوره ای مدام ذخیره شود حذف ویروسها از دیسک های مستقل (RAID): مجموعه ای از نرم افزار های برنامه ریزی وجود دارد که مانع ورود ویروسها به دیسکهای مستقل میشود.

31. تهیه فایل پشتیبان سیستم اطلاعاتی مدیریت ، ویرایش ششم Data must be routinely transported off-site as protection from a site disaster Some companies specialize in data backup services or backup facilities for use in the event of a site disaster برای حفاظت در مقابل فاجعه سایت داده ها باید به طور مداوم از سایت خارج شود کار برخی از شرکت ها ارائه خدمات تهیه پشتیبان داده ها یا ابزار پشتیبان گیری در صورت بروز فاجعه سایت است.

32. نظارت بردسترسی اطلاعات سیستم اطلاعاتی مدیریت ، ویرایش ششم • Access controls: measures taken to ensure only authorized users have access to a computer, network, application, or data • Physical locks: lock the equipment in a secure facility • Software locks: determine who is authorized • کنترل دسترسی: ابزارهایی که به منظور اطمینان یافتن از دسترسی تنها افراد مجاز به یک کامپیوتر، شبکه، برنامه یا داده مورد استفاده قرار می گیرند. • قفل های فیزیکی : قفل کردن تجهیزات در مرکزی امن • قفل های نرم افزار : تشخیص این که چه کسی مجاز است از این برنامه استفاده کند

33. نظارت بردسترسی اطلاعات سیستم اطلاعاتی مدیریت ، ویرایش ششم • Three types of access controls: • What you know: access codes, such as user ID and password • What you have: requires special devices • Who you are: unique physical characteristics • سه نوع از نظارت های بر دسترسی اطلاعات عبارتند از : • آنچه می دانید: کدهای دسترسی، مانند ID کاربر و رمز عبور • آنچه که دارید : نیاز به دستگاه های خاص • شما چه کسی هستید: ویژگی های فیزیکی منحصر به فرد

34. کنترل دسترسی (ادامه) سیستم اطلاعاتی مدیریت ، ویرایش ششم • Access codes and passwords are usually stored in the OS or in a database • Security card is more secure than a password • Allows two-factor access • کدهای دسترسی و کلمات عبور هر دو معمولا در سیستم عامل و یا در یک پایگاه داده ذخیره می شوند. • کارت امنیتی رمز عبور امنیتی بیشتری دارد. • اجازه دسترسی دو عامل را می دهد.

35. کنترل دسترسی (ادامه) سیستم اطلاعاتی مدیریت ، ویرایش ششم • Biometric: uses unique physical characteristics such as fingerprints, retinal scans, or voiceprints • Up to 50% of help desk calls are from people who have forgotten their passwords • Biometrics can eliminate these kinds of calls • بیومتریک: استفاده از ویژگی های منحصر به فرد فیزیکی مانند اثر انگشت، اسکن شبکیه، یا صدای فرد • حدود 50% درخواستهای کمک مربوط به افرادی است که رمز عبور خود را فراموش کرده اند. • بیومتریک می تواند این نوع درخواست ها را از بین ببرد

36. معاملات اتمی سیستم اطلاعاتی مدیریت ، ویرایش ششم • Atomic transaction: a set of indivisible transactions • All of the transactions in the set must be completely executed, or none can be • Ensures that only full entry occurs in all the appropriate files to guarantee integrity of the data • Is also a control against malfunction and fraud • معامله اتمی: مجموعه ای از معاملات تفکیک ناپذیر • تمام معاملات در مجموعه باید به طور کامل اجرا شود و غیر اینصورت هیچ یک نمیتواند جداگانه انجام شود. • برای تضمین یکپارچگی داده ها اطمینان می دهد که در تمام فایل های داده ها بطور مناسب وارد شده است . • همچنین در برابر نقص و تقلب آنها را کنترل میکند

37. معاملات اتمی (ادامه) در معاملات اتمی باید تمام فایلهای مورد نیاز به طور کامل بروز رسانی شود. معامله جدید در فروش معامله در تمام فایل ها ثبت می شود؟ بله خیر اعتراف به روز رسانی هیچ فایل به روز رسانی نمی شود. اعلام پیام خطا سیستم اطلاعاتی مدیریت ، ویرایش ششم

38. دنباله ممیزی سیستم اطلاعاتی مدیریت ، ویرایش ششم • Audit trail: a series of documented facts that help detect who recorded which transactions, at what time, and under whose approval • Sometimes automatically created using data and timestamps • حسابرسی دنباله: مجموعه ای از مدارک هستند که به کمک آنها می توان تشخیص داد که چه کسی در چه زمانی و تحت تأیید چه کسی چه معاملاتی را ثبت کرده است. • گاهی اوقات با استفاده از داده ها و مقایسه آنها به صورت خودکار ایجاد میشود

39. Certain policy and audit trail controls are required in some countries Information systems auditor: a person whose job is to find and investigate fraudulent cases در برخی از کشورها سیاست های خاص نظارت و حسابرسی های دنباله دار مورد نیاز است . حسابرس رسمی سیستمهای اطلاعاتی: فردی که کارآن پیدا و بررسی کردن موارد جعلی کلاه برداری و تخلف است . سیستم اطلاعاتی مدیریت ، ویرایش ششم

40. رمز اندازه گیری • Organizations can protect against attacks using various approaches, including: • Firewalls • Authentication • Encryption • Digital signatures • Digital certificates • سازمان ها می توانند در برابر حملات با استفاده از روش های مختلف محافظت کنند، از جمله: • فایروال • تایید امضاهای دیجیتال • رمزگذاری گواهینامه های دیجیتال سیستم اطلاعاتی مدیریت ، ویرایش ششم

41. فایروال ها و سرور های پروکسی • Firewall: the best defense against unauthorized access over the Internet • Consists of hardware and software that blocks access to computing resources • Firewalls are now routinely integrated into routers • فایروال ها: بهترین دفاع در مقابل دسترسی های غیر مجاز بر روی اینترنت را انجام می دهد که: • شامل سخت افزار و نرم افزاری است که مانع از دسترسی به منابع محاسباتی می شود. • فایروال ها در حال حاضر به طور مداوم به روترها می پردازند. سیستم اطلاعاتی مدیریت ، ویرایش ششم

42. فایروال ها و سرور های پروکسی سیستم اطلاعاتی مدیریت ، ویرایش ششم • DMZ: demilitarized zone approach • One end of the network is connected to the trusted network, and the other end to the Internet • Proxy server: represents another server • Employs a firewall, and is usually placed between the Internet and the trusted network • DMZ یکپارچه: رویکرد منطقه غیرنظامی است. • یک انتهای شبکه به شبکه قابل اعتماد متصل شده و انتهای دیگر به اینترنت متصل می شود. • پروکسی سرور: سرور دیگری را نشان می دهد. • استخدام یک فایروال است، و معمولا بین اینترنت و شبکه مورد اعتماد قرار می گیرد.

43. سیستم اطلاعاتی مدیریت ، ویرایش ششم

44. احراز هویت و رمزگذاری Authentication: the process of ensuring that you are who you say you are Encryption: coding a message into an unreadable form تایید: روند اطمینان حاصل می شود که به شما می گویید چگونه پردازش کنید. رمزگذاری: برنامه نویسی کردن یک پیام به یک فرم قابل خواندن است. سیستم اطلاعاتی مدیریت ، ویرایش ششم

45. احراز هویت و رمزگذاری سیستم اطلاعاتی مدیریت ، ویرایش ششم Messages are encrypted and authenticated to ensure security A message may be text, image, sound, or other digital information پیام های رمزگذاری شده و تصدیق شده برای اطمینان از امنیت است. پیام ممکن است متن، تصویر، صدا، و یا دیگر اطلاعات دیجیتالی باشد.

46. احراز هویت و رمزگذاری (ادامه) سیستم اطلاعاتی مدیریت ، ویرایش ششم

47. احراز هویت ( ادامه) • Encryption programs scramble the transmitted information • Plaintext: the original message • Ciphertext: the encoded message • Encryption uses a mathematical algorithm and a key • برنامه های رمزگذاری وانتقال اطلاعات شامل: • متنی: پیام اصلی • متن رمزی: کد گذاری پیام است. • رمزگذاری با استفاده از یک الگوریتم ریاضی و کلید انجام می شود. سیستم اطلاعاتی مدیریت ، ویرایش ششم

48. احراز هویت ( ادامه) سیستم اطلاعاتی مدیریت ، ویرایش ششم Key: a unique combination of bits that will decipher the ciphertext Public-key encryption: uses two keys, one public and one private کلید: ترکیبی منحصر به فرد از بیت هاست. رمز نویسی کلید عمومی: با استفاده از دو کلید، عمومی و خصوصی انجام می شود.

49. سیستم اطلاعاتی مدیریت ، ویرایش ششم

50. احراز هویت و رمزگذاری (ادامه) Symmetric encryption: when the sender and the recipient use the same key Asymmetric encryption: both a public and a private key are used رمزگذاری متقارن: هنگامی که فرستنده و گیرنده با استفاده از کلیدی که هم عمومی و هم خصوصی است استفاده می شود. رمزگذاری نامتقارن: هنگامی که فرستنده و گیرنده با استفاده از کلیدی خصوصی استفاده می شود سیستم اطلاعاتی مدیریت ، ویرایش ششم