پشتیبانی - صفحه 2

سیستم رادیویی NEC

alireza 
  بازدید : 253
دوشنبه 24 ارديبهشت 1397 زمان : 9:50 


1
2
3
4
5

سیستم رادیویی iPASOLINK® EX-Advanced wireless را در جهت پیشرفت در رشد خدمات شبکه، به Wave Broadband ارائه میدهدانتقال بی سیم با ظرفیت بالا که قابل مقایسه با فیبر نوری 10 گیگابیتی در ثانیه است می تواند پلتفرمی برای توسعه سرویس West Coast باشد ایروینگ، تگزاس و توکیو، ژاپن، 30 نوامبر 2017- شرکت NEC امریکا، همراه با شرکت، امروز اعلام کردند که توسط Wave Broadband (شرکتی مستقر در Kirkland که ارائه دهنده ی خدمات پهنای باند است) انتخاب شده اند تا سیستم ارتباطی رادیویی فوق فشرده ی iPASOLINK® EX-Advanced را به عنوان بخشی از گسترش خدمات آنها در West Coast برای آنها پیاده سازی کنند. سیستم بی سیم iPASOLINK EX-Advanced به ارائه دهندگان خدمات پهنای باند ظرفیت انتقالی برابر با 10 گیگابایت در ثانیه در فیبرهای نوری را میدهد، درحالیکه ساخت فیبرهای نوری سنتی از لحاظ هزینه و زمان بسیار بالا هستند.

اعلام نتایج آزمون مدارس تیزهوشان قلعه گنج 97 – 98

كاربرد پراكسی در امنیت شبكه

alireza 
  بازدید : 242
يکشنبه 23 ارديبهشت 1397 زمان : 14:57 


1
2
3
4
5

در این مقاله به این مطلب می پردازیم که از دیدگاه امنیتی پراکسی چیست و چه چیزی نیست، از چه نوع حملاتی جلوگیری می کند و به مشخصات بعضی انواع پراکسی پرداخته می شود. البته قبل از پرداختن به پراکسی بعنوان ابزار امنیتی، بیشتر با فیلترها آشنا خواهیم شد.

به وبلاگ خود خوش امدید

امنیت در نقاط پایانی، چالش جدید سازمان ها

alireza 
  بازدید : 320
يکشنبه 23 ارديبهشت 1397 زمان : 8:47 


1
2
3
4
5

امن سازی نقاط پايانی:

ثبت نام کارشناسی ارشد بدون کنکور دانشگاه آزاد

چالش‌های انسانی، سازمانی و تكنولوژیكی در پیاده‌سازی پروژه‌های امنیتی

alireza 
  بازدید : 251
شنبه 22 ارديبهشت 1397 زمان : 17:30 


1
2
3
4
5

مقدمه
عامل‌هايي مانند کارشناسان، عوامل تکنولوژيکي و فرآيند‌هاي سازماني عناصري هستند که پياده‌سازي امنيت در سازمان ها را با چالش خدمات شبکه مواجه مي کنند. جنبه هاي انساني عبارتست از آنچه مربوط به شناخت و درک افراد است مانند فرهنگ و تعامل با ديگر با افراد. جنبه هاي سازماني مربوط هستند به ساختار سازمان شامل اندازه سازمان و تصميمات مديريتي در حوزه امنيت فناوري اطلاعات. جنبه هاي تکنولوژي، شامل راه حل هاي تکنيکي مانند برنامه ها و پروتکل هاست. براي مثال، براي رسيدن به درک متقابل درباره ريسک هاي امنيت در ميان ذينفعان مختلف، ارتباطات و تعاملات موثر مورد نياز است. همچنين خطاهاي انساني تهديد ديگري براي راهکارهاي امنيتي هستند. تحليل ها نشان مي دهد که فاکتورهاي سازماني مانند ارتباطات، فرهنگ امنيت و قوانين دلايل متداول خطاها در حوزه امنيت اطلاعات هستند.
متدولوژي
شناخت بهتر شرايط و محدوديت هاي دنياي واقعي در ارائه راهکارهاي امنيتي براي ايجاد سيستم هاي پسیو شبکه امن تر و قابل استفاده تر، به توسعه دهندگان و طراحان سيستم کمک خواهد کرد. سوالات اصلي که در اين مطالعه مطرح شده است، عبارتند از:
1. مشکلات اصلي که کارشناسان در بخش امنيت اطلاعات در سازمان خود با آنها روبرو هستند، چيست؟
2. چگونه اين چالش ها و مشکلات با هم در تقابل هستند؟
3. الزامات اين چالش ها بر روي تحقيقات آينده چيست؟

ارائه چارچوب يکپارچه چالش ها
سه دسته از اين مشکلات بعنوان فاکتورهاي انساني دسته بندي مي شود:
1- فرهنگ 2- فقدان آموزش امنيت 3- فرآيندهاي امنيت ارتباطات
فقدان فرهنگ امنيت داخل سازمانها تغيير شيوه ها را مشکل کرده است. براي مثال، چندين کارمند از يک نام کاربري براي دسترسي به يک سيستم پشتیبانی شبکه استفاده مي کنند. در برخي موارد، کارمندان دسترسي به داده را بعنوان يک امتياز در نظر مي گيرند و در برابر از دست دادن اين امتياز بعنوان يک تغيير سازماني مقاومت مي نمايند. فقدان آموزش امنيت موضوع ديگر است. پياده سازي کنترل هاي امنيتي در حالي که افراد توجه کافي يا دانش کافي درباره امنيت فناوري اطلاعات ندارند، دشوار خواهد بود. فقدان فرهنگ و آموزش، شناخت ريسک هايي که ذينفعان داخل سازمان با آن مواجه هستند، تحت تاثير قرار مي دهد. زماني که ديدگاه مشترک از ريسک ها ميان ذينفعان وجود نداشته باشد امنيت ارتباطات با مشکل روبرو خواهد شد.
مواردي که به ويژگي هاي سازمان ها مربوط مي شود، عبارتند از:
1- برآورد ريسک 2- محيط هاي باز و آزاد دانشگاهي 3- فقدان بودجه 4- قرار دادن امنيت در اولويت دوم 5- زمانبندي فشرده 6- روابط تجاري با ديگر سازمان ها 7- توزيع مسئوليت هاي فناوري اطلاعات 8- کنترل دسترسي به داده هاي حساس
فاکتورهاي مبتني بر تکنولوژي که براي پياده سازي قوانين امنيتي مطرح مي شوند، عبارتند از:
1- پيچيدگي سيستم ها 2- دسترسي هاي توزيع شده و سيار 3- آسيب در سيستم ها و برنامه ها
نتيجه گيري
تجزيه و تحليل ها نشان داد که ارتباطات موثر يک مشکل براي کارشناساني که ريسک ها و کنترل هاي امنيتي را با ديگر ذينفعان مطرح مي نمايند، مي باشد. براي پياده سازي فرآيندهاي امنيتي بايد فرهنگ سازماني و ديدگاه ذينفعان مختلف و نه فقط کاربران نهايي درباره ريسک هاي امنيتي در نظر گرفته شود. توزيع مديريت فناوري اطلاعات و عدم آموزش هاي امنيتي میکروتیک ذينفعان فاکتورهايي هستند که تاثير منفي بر روي کارآيي و اثربخشي ارتباطات ايجاد شده توسط کارشناسان امنيت دارند.زمانبندي فشرده براي تحويل سرويس هايي که شامل نيازمنديهاي امنيتي است، مشکل ديگري است. اين مشکل به کمبود زمان، منابع و ارتباطات متناقض بين مسئولان مربوط مي باشد. به اين ترتيب يک ارتباط مستقيم بين زمانبندي فشرده و سطح امنيت وجود دارد.
توزيع، در حوزه دسترسي کنترل شده به داده دو جنبه دارد: اول، کنترل کردن دسترسي کاربراني که پراکنده هستند و از تکنولوژي هاي دسترسي متفاوت استفاده مي کنند. دوم، کنترل دسترسي به داده هاي توزيع شده در کل سازمان که توسط ذينفعان مختلف مديريت مي شود. پيشنهاد مطرح شده اينست که، پروسه هاي امنيتي بايد با فرض محيط هاي توزيع شده توسعه يابند. اين سيستم‌ها بايد به منظور فراهم کردن دسترسي کنترل شده به داده هاي توزيع شده، به اندازه کافي انعطاف پذير باشند و کانال هاي ارتباطي بين ذينفعان مختلف که به آن داده ها دسترسي دارند، بهبود ببخشند.

اعلام نتایج کاردانی دانشگاه آزاد

امنیت در محیط های رایانش ابری و مجازی

alireza 
  بازدید : 298
شنبه 22 ارديبهشت 1397 زمان : 12:22 


1
2
3
4
5

اگر محاسبات را بعنوان عنصر اساسي پنجم فرض کنيم، آنگاه مي‌توانيم آن را مانند عناصر ديگر همچون آب مدل‌‌سازي نماييم. در اين مدل، کاربران سعي مي‌کنند بر اساس نيازهايشان و بدون توجه به اينکه سرويس در کجا قرار دارد و يا چگونه تحويل داده مي‌شود، به آنها دسترسي يابند.

به وبلاگ خود خوش امدید

معرفی مركز عملیات امنیت شبكه (SOC)

alireza 
  بازدید : 395
شنبه 22 ارديبهشت 1397 زمان : 9:08 


1
2
3
4
5

طرح مسئله
ترکيب تکنولوژي‌هاي مختلف با هدف برآورده نمودن نيازمندي‌هاي کسب و کار، سازمان را با چالش‌هايي جديد روبرو نموده است، چرا که عموماً هيچ روش يا مکانيزمي با هدف جمع آوري، نرمال سازي، مرتبط سازي و اولويت‌بندي ميليون‌ها رخداد گزارش شده از سوي تکنولوژي‌ها و سامانه‌هاي مختلف وجود ندارد. در چنين وضعيتي استفاده از تکنولوژي‌هاي پسیو شبکه مختلف و نامتجانس جز افزايش سربار فعاليت‌هاي امنيتي سازمان، مضاعف شدن اين فعاليت‌ها، ايجاد مدل‌هاي امنيتي ضعيف و عدم موفقيت فرايندهاي مميزي، نتيجه‌اي به همراه نخواهد داشت.
در چنين وضعيتي، مرتبط¬سازي بلادرنگ وقايع مختلف (که توسط تجهيزات و ابزارهاي مختلفي توليد شده‌است) و شناسايي يک حمله يا نفوذ مشخص، بسيار مشکل و عموما غيرممکن مي‌باشد. علاوه بر اين، تحليل‌هاي پس از وقوع حوادث نيز بسيار کند انجام خواهند شد چرا که ترکيب اطلاعاتي که به روش‌هاي متفاوت در ابزارها و تجهيزات مختلف نگهداري مي‌شوند، کاري بسيار زمان بر و پرهزينه است و سوالات زير در اين خصوص مطرح ميگردد:
• چگونه ميتوان ميليون‌ها واقعه‌اي که روزانه توسط سيستم‌ها، نرم افزار‌هاي کاربردي و کانال‌هاي کسب و کار مختلف توليد مي‌شوند را جمع آوري، نرمال و به يکديگر مرتبط ساخت؟
• چگونه اين وقايع را ميتوان اولويت‌بندي کرد؟
• در چنين وضعيتي، چگونه با توليد گزارشات مناسب پشتیبانی شبکه ميتوان رعايت قوانين و مقررات، استانداردها و بهترين تجربيات امنيتي را تضمين نمود؟
• چگونه مي‌توان از محافظت مناسب دارايي‌هاي با ارزش سازمان اطمينان حاصل نمود؟
• و بالاخره، چگونه ميتوان تصويري کامل از وضعيت امنيتي شبکه سازمان ارائه نمود؟
ارائه راه حل
مرکز کنترل و عمليات امنيت SOC، ديدي بلادرنگ و جامع نسبت به وضعيت امنيت شبکه سازمان ايجاد مي‌نمايد. در واقع، اين مرکز بواسطه اطلاع رساني‌هاي اتوماتيک خدمات شبکه حوادث و وقايع، توليد گزارشات جزئي و کلي، پاسخ‌دهي اتوماتيک به حوادث و وقايع، رويکردي پيشگيرانه را در جهت مديريت ريســـک‌هاي امنيتي ايجاد خواهد نمود.
همچنين، اين مرکز، وقايع و حوادث را اولويت‌بندي مي‌نمايد، دارايي‌هاي متاثر شده از وقايع اتفاق افتاده را مشخص نموده و راهکارهاي اصلاحي و يا پيشگيرانه را پيشنهاد داده و يا در مواردي از پيش تعيين شده، اجرا مي‌نمايد.
اين مرکز، با ارايه گزارشاتي در سطوح مختلف، نيازمندي‌هاي مربوط به فرايندهاي مميزي و همچنين ارزيابي بخشي از ريسک‌هاي عملياتي زيرساخت شبکه را برآورده مي‌نمايد.
در واقع، مرکز عمليات امنيت شبکه, مکاني است براي جمع‌آوري اطلاعات و تجزيه تحليل آنها جهت پياده سازي استراتژي‌هاي امنيتي، همچون:
• جلوگيري از حملات مبتني بر شبکه
• جلوگيري از حملات مبتني بر ميزبان
• شناسايي و جلوگيري از حملات پيچيده و ترکيبي
• تشخيص و رفع آسيب پذيريهاي امنيتي تجهيزات
• ايجاد ابزاري جهت به حداقل رساندن زيان و ضرر اقتصادي

نگاهي کلي به مرکز عمليات امنيت شبکه
مرکز عمليات امنيت، مجموعه اي از عوامل تکنولوژيک، فرآيندها و عوامل انساني است که به صورت پيوسته، رخدادهاي امنيتي میکروتیک را از تجهيزات مختلف و ناهمگون شبکه جمع¬آوري را براي شناسايي وقايع امنيتي آناليز مي نمايد.
مزايا و قابليت هاي مرکز عمليات امنيت
با توجه به موارد ذکر شده در بخش هاي قبلي، مي توان مزايا و قابليت هاي زير را براي مرکز عمليات امنيت شبکه برشمرد:
• مديريت و پايش امنيت تجهيزات، شبكه‌هاي ارتباطي و رايانه‌ها، به صورت 24 ساعته
• مديريت و مانيتورينگ لحظه‌اي تهديدات
• جمع آوري و آناليز ترافيک شبکه
• پاسخ دهي به مشکلات و رخدادهاي امنيتي
• بهبود در اجراي خط مشي ها و استانداردهاي امنيتي

ظرفیت پذیرش و انتخاب رشته کارشناسی ارشد مدیریت بازرگانی سراسری و دانشگاه آزاد 97

مقاله چالش های پیاده سازی سیستم مدیریت امنیت اطلاعات از دیدگاه اثربخشی

alireza 
  بازدید : 304
جمعه 21 ارديبهشت 1397 زمان : 15:28 


1
2
3
4
5

با ارائه اولين استاندارد مديريت امنيت اطلاعات، نگرش سيستماتيک به مقوله ايمن‌سازی فضای تبادل اطلاعات شکل گرفت. بر اساس اين نگرش، تامين امنيت فضای تبادل اطلاعات سازمان ها، دفعتا مقدور نمي‌باشد و لازم است اين امر بصورت مداوم در يک چرخه ايمن‌سازي شامل مراحل طراحي، پياده‌سازي، ارزيابي و اصلاح، انجام گيرد. براي اين منظور لازم است هر سازمان خدمات شبکه بر اساس يک متدولوژي مشخص، اقدامات زير را انجام دهد: 1- تهيه طرح‌ها و برنامه‌هاي امنيتي موردنياز سازمان 2- ايجاد تشکيلات موردنياز جهت ايجاد و تداوم امنيت فضاي تبادل اطلاعات سازمان 3- اجراي طرح‌ها و برنامه‌هاي امنيتي سازمان و در نهايت اقدام به پياده سازي سيستم مديريت امنيت اطلاعات نمايد . 1 چالش هاي منجر به شکست پروژه ISMS پياده سازي هر سيستم مديريتي در يک سازمان با موانعي روبروست. گاه اين موانع آن چنان جدي است که عملا پياده سازي سيستم را غير ممکن مي سازد. به هر حال بايد در نظر داشت که مي توان با شناخت چالش ها و اقدام در جهت بر طرف سازي آنها مسير را در حرکت به سمت آن هموار کرد. مهمترين موانع پيش رو در پياده سازي ISMS عبارتند از : 1-1 مشکلات مديريتی • عدم ثبات مديران در سازمان ها هميشه از مشکلات اساسي در پروژه ها مي باشد .اين تغييرات از لايه مديران مياني تا لايه مديريت کلان سازمان، مي تواند صورت گيرد. • عدم تعهد مديريت - تعهد مديريت اصلي ترين بحث در شکل گيري ISMS مي باشد. هدف ISMS ايجاد يک سيستم مديريتي پشتیبانی شبکه است حال اگر مديريت تعهدي نسبت به اجرايي شدن ISMS نداشته باشد پياده سازي آن نه تنها به بهبود امنيت در سازمان کمک نمي کند بلکه سازمان را مختل نيز خواهد کرد. 1-2 مشکلات کارکنان • عدم آگاهي مناسب منابع انساني- پيش از پروژه ISMS آگاهي لازم به کارمندان داده نمي شود. • کمبود منابع انساني متخصص – عدم حضور نيروي متخصص در حوزه فناوري اطلاعات در سازمان، مشکلات بسياري را از ابتدا تا انتهاي پروژه به همراه خواهد داشت . • مقاومت کاربران در برابر تغيير • عدم برقراري ارتباط موثر -مديران امنيت اطلاعات مي بايست قادر به ارتباط موثر با کاربران نهايي و از طرف ديگر مديران ارشد و هيئت مديره باشند. 1-3 مشکلات سازمانی • عدم بلوغ سازماني - عدم بلوغ سازماني در بکار گيري سيستم مديريتي از مهمترين موانع در ايجاد ISMS در هر سازمان محسوب مي شود. • تغيير ساختار سازماني – تغيير محدوده و ادارات انتخاب شده در پروژه و گاهي تلفيق و جدا سازي ادارات از ديگر مشکلات پياده سازي است • عدم استفاده از مشاور مناسب - انتخاب مناسب پيمانکاري که تخصص لازم را داشته باشد و متدولوژي مناسبي در پياده سازي ارايه دهد • نداشتن متولي ISMS در سازمان- به دليل ماهيت پروژه که موضوع امنيت است معمولاً در سازمان ها اداره حراست مسئوليت پروژه را بر عهده مي گيرد در صورتيکه سهم بيشتر اين پروژه مربوط به IT است . • عدم تخصيص بودجه مناسب- بسياري از مديران از انتخاب معيار مناسب جهت تعيين رقم بودجه غافل مي شوند و با صرف هزينه کمتر و عدم تخصيص بودجه مناسب براي پروژه شرايط نامناسبي را فراهم مي کنند. 1-4 مشکلات فني : • وجود نرم افزار هاي قديمي و سيستم عامل هاي غير اورجينال - از نقطه نظر فني وجود نرم افزار هاي قديمي و سيستم عامل پسیو شبکه هاي غير اورجينال يکي از جدي ترين چالشهاي امنيتي به شمار مي رود. • عدم وجود الگوي مناسب توسعه با ديدگاه فناوري اطلاعات ، اين مساله باعث عدم مکانيزه شدن بسياري از فرايند هاي سازمان و در نتيجه عدم امکان پياده سازي مناسب سيستم امنيت اطلاعات خواهد شد. 1-5 مشکلات مناقصه در پروژه هاي سيستم مديريت امنيت اطلاعات، محصول نهايي در انتهاي پروژه تحويل کارفرما نمي شود و ماهيت پروژه ايجاد سيستم و جاري ساختن اين سيستم در سازمان است. کارفرما با بيان نيازمندي هاي خود و شرکت کنندگان در مناقصه با توصيف روشي جهت پوشش دهي آنها در مناقصات شرکت مي کنند . ار آنجائيکه برداشت متفاوتي از اين نيازها و الزامات مي شود، شرکت کنندگان پروپزالهاي متفاوتي ارائه مي دهند و در نتيجه قيمت هاي پيشنهادي متفاوتي ارائه مي شود که اين مسئله باعث مي شود، قيمت کمتر در مناقصه برنده شود و انتخاب درستي براي پيمانکار صورت نگيرد . 2 نتيجه گيري: مشكلات مديران امنيت اطلاعات اين است كه بسياري از مواقع مجبور مي شوند نقش يك متخصص فني با ديدگاه مديريتي فرمان دهنده را بپذيرند. آن ها معمولا تصميمات مربوط به امنيت اطلاعات را بدون درگير كردن يا مذاكره با كاركنان مي گيرند.، مديريت خوب فناوري اطلاعات به طور فزاينده بستگي به انسان ها و همچنين فرآيندها و ملاحظات فني دارد. مديران امنيت فناوري اطلاعات به طور فزاينده براي جايگزيني رويكرد كنترلي با يك سبكي كه بيشتر دانشگاهي باشد، فعاليت دارند. اين شامل كمك میکروتیک به كاربر نهايي و بحث و مذاكره و تصميم گيري در مورد مسائل امنيت اطلاعات است. متاسفانه تحقيقات نشان داده است كه اين دو نقش گاهي اشتباه گرفته مي شود و اين مي تواند به تناقضاتي در پيام هايي كه به كاربران نهايي فرستاده مي شود بيانجامد. مديران امنيت اطلاعات از برخي از مشكلات ذاتي در سازمان، آگاه هستند. از طرفي اگر آن ها يك دستور را بگيرند و وضعيت را كنترل كنند پس از آن موقعيت آنها به گونه اي مي شود كه بيشتر توجهشان معطوف به كاربر نهايي شده و كمتر مي توانند به خود توجه داشته باشند. از سوي ديگر اگر مدير امنيت اطلاعات يك رويكرد بيشتر دانشگاهي و مبني بر اختيار كاربر نهايي براي تصميم گيري بيشتر با توجه به امنيت اطلاعات داشته باشد، پس از آن احتمال رخ دادن حوادث (حداقل در كوتاه مدت) بيشتر خواهد شد و اشتباهات بيشتري به وجود مي آيد. اين حالت نياز به پذيرش و شايد سرمايه گذاري بيشتر براي بهبود آن را دارد. مصاحبه با مديران امنيت اطلاعات نصب شبکه اشكار كرد كه آن ها برروي صحبت، ارائه و تقويت ايده ها تمركز دارند ولي توجهي به گوش دادن به كاربر نهايي ندارند. در نهايت پياده سازي سيستم مديريت امنيت اطلاعات به صورت يک پروژه نيست، که روزي شروع و روزي پايان داشته باشد . ISMS يک سيستم است که بايد از همان ابتدا در لايه هاي داخل سازمان نفوذ کند و امنيت ايجاد شده در سالهاي متوالي توسط کميته هاي راهبردي و استراتژيک سازمان بهبود يابد

اعلام نتایج کنکور سراسری

استانداردهای امنیت اطلاعات

alireza 
  بازدید : 302
پنجشنبه 20 ارديبهشت 1397 زمان : 15:55 


1
2
3
4
5

امروزه در دنیای توانمند فناوری تکنولوژی، "اطلاعات" دارایی حياتي برای کسب و کار سازمانها محسوب می شود. بنابراین تامین امنیت آنها بسیار مهم خواهد بود. عبارت "امنیت اطلاعات"،

تنها به موضوع ساده حفاظت از نام کاربری و رمز عبور ختم نمی شود؛ مقررات و حریم خصوصی یا خط مشی های حفاظت از اطلاعات مختلف، یک تعهد پویا را برای سازمان ها به وجود مي آورد.

در عین حال ویروسها، تروجان ها، فیشرها و ... برای سازمان تهدید به حساب می آیند. همچنین هکرها باعث به وجود آمدن خسارات زیادی برای سازمان می شوند، مانند دزدی اطلاعات

مشتریان، جاسوسی استراتژی های کسب و کار به نفع رقبا، از بین بردن اطلاعات مهم سازمان خدمات شبکه که هر یک از آنها به تنهایی می تواند صدمات جبران ناپذیری را متوجه سازمان ها نماید.

از این رو استفاده از یک سیستم مدیریت امنیت اطلاعات(ISMS ) مناسب برای مدیریت موثر دارایی های اطلاعاتی سازمان الزامی به نظر می رسد.

ISMS شامل مجموعه ای از خط مشی ها به منظور فراهم نمودن مدلی برای ایجاد، توسعه و نگهداری امنیت منابع اطلاعاتي از جمله دارايي هاي نرم افزاري و سخت افزاري مي باشد. این خط مشی ها به منزله راه های امنی هستند که از طریق آنها منابع اطلاعاتي می توانند مورد استفاده قرار بگیرند.

استانداردهای مختلفی در زمینه فناوري اطلاعات و ارتباطات وجود دارد که منجر به امنیت اطلاعات می شوند، مانند: PRINCE2, OPM3, CMMI, P-CMM, PMMM, ISO27001, PCI DSS,COSO, SOA, ITIL و COBIT. اما بعضی از این استانداردها به دلایل مختلف چندان مورد استقبال سازمان ها قرار نگرفته. در اینجا به بررسی چهار استاندارد برتر دنیا می پردازیم

که به طور گسترده در زمینه چارچوب، ساختار و امنیت فناوري اطلاعات مورد استفاده قرار می گیرند. این چهار استاندارد برتر شامل: ISO 27001, PCI DSS, ITIL و COBIT هستند.

در ادامه به بررسي و نگاهی اجمالی به کلیات هریک از این چهار استاندارد مي پردازيم:

ISO27001:
استاندارد بین المللی ISO27001 الزامات ایجاد، پیاده سازی، پایش، بازنگری، نگهداری و توسعه ISMS در سازمان را مشخص می کند. این استاندارد برای ضمانت انتخاب کنترلهای امنیتی

به جا و مناسب برای حفاظت از دارایی های اطلاعاتی، طراحی شده است. زمانی که یک سازمان موفق به دریافت گواهینامه مربوط به استاندارد ISO27001 می گردد، به این معنی ست که

آن سازمان توانسته امنیت را در زمینه اطلاعات خود مطابق با بهترین روش های ممکن مدیریت نماید. این استاندارد (بخصوص نسخه 2013 آن) برای پیاده سازی در انواع سازمان های دولتی،

خصوصی، بزرگ و یا کوچک مناسب است. در ایران با توجه به تصویب سند افتا توسط دولت و الزامات سازمان هاي پسیو شبکه بالادستي در صنعت هاي مختلف، کلیه سازمان ها و نهادهای دولتی، ملزم به پیاده سازی

ISMS گرديده و اکثر این سازمان ها به پیاده سازی الزامات استاندارد ISO27001 رو آوردند.

علاوه بر این که استاندارد ISO27001 خود حاوی کنترل های امنیتی جامعی جهت تضمین امنیت سازمان است، همچنین می تواند به عنوان یک بستر مدیریتی جهت پیاده سازی کنترل های

امنیتی بیشتری که در استانداردهای دیگر وجود دارد، مورد استفاده قرار گیرد.

PCI DSS:
استاندارد امنیت اطلاعات در صنعت کارت پرداخت (PCI DSS) یک استاندارد امنیت اطلاعات جهانی است که توسط انجمن استانداردهای امنیت صنعت کارت پرداخت برای افزایش امنیت کارت های اعتباری

ایجاد شد. این استاندارد اختصاصاً برای سازمان هایی مفید است که در زمینه کارت های اعتباری، کیف الکترونیک، ATM، POS و... اطلاعات مشتریان را نگهداری، پردازش یا مبادله می کنند.
اعتبار این استاندارد به صورت سالیانه بررسی می شود. برای سازمان های بزرگ بررسی انطباق توسط یک ارزیاب مستقل انجام می شود اما سازمان های کوچکتر می توانند انطباق خود را توسط

پرسشنامه خود ارزیابی بررسی نمایند.

ITIL
ITIL یک چارچوب عمومی است که بر پایه تجارب موفق در مدیریت سرویس های IT در سازمان های دولتی و خصوص در سطح بین المللی به وجود آمده است. ITIL در اصل یک استاندارد نیست

بلکه چارچوبی است با نگاهی نوین برای بهبود ارائه و پشتیبانی خدمات فناوری اطلاعات که امروزه از سوی سازمانهای ارائه دهنده خدمات فناوری اطلاعات بسیار مورد توجه قرار گرفته است. هدف

اولیه این چارچوب این است که مطمئن شود سرویس های IT با نیازهای کسب و کار سازمان منطبق است و در زمانی که کسب و کار به آن نیاز دارد پاسخگوی این نیاز است.

ITIL به عنوان مجموعه ای از کتابها به وجود آمده و بر پایه مدل دمینگ و چرخه PDCA ایجاد شده، نسخه ی فعلی ITIL که مورد استفاده است، نسخه سوم می باشد که ۵ بخش اصلی

را در بر دارد: استراتژی خدمات، طراحی خدمات، تحویل خدمات، اداره خدمات، بهینه سازی پیوسته خدمات.
همانطور که بیان شد، ITIL بیشتر در شرکت هایی که کسب و کار IT دارند مورد توجه قرار گرفته است.

COBIT:
COBIT یک گواهینامه است که توسط ISACA و موسسه مدیریت IT (ITGI) در سال 1996 به وجود آمد. این استاندارد چارچوبی برای مدیریت فناوري اطلاعات است. این استاندارد با رویکردی فرآیندگرا در 4 دامنه و 34 فرآیند و مجموعه ای از 318 هدف کنترلی در حوزه ارزیابی فناوری اطلاعات تدوین شده است و مجموعه ای از سنجه ها، شاخص ها، فرآیندها و بهترين¬تجارب را برای کمک به مدیران، ممیزان و کاربران IT ارائه می-دهد.COBIT دارای پنج حوزه تمرکز بر مدیریت فناوري اطلاعات است: تنظیم استراتژیک، تحویل ارزش پشتیبانی شبکه مدیریت منابع، مدیریت ریسک، اندازه¬گیری کارایی . پیاده سازی و بکارگیری COBIT در سازمان¬ها، برای مدیران چارچوبی را فراهم می آورد تا به کمک آن بتوانند برنامه استراتژیک IT، معماری اطلاعاتی، نرم¬افزارها و سخت افزارهای مورد نیاز IT و کنترل عملکرد سیستم های IT سازمان خود را طراحی نمایند و با کمک این ابزارها به تصمیم¬گیری و سرمایه گذاری¬های مرتبط با فناوری اطلاعات بپردازند.

همپوشاني حوزه هاي امنيتي :
در سال 2009، یازده حوزه کنترلي اساسی معرفی شد که به 11EC معروف گردید این کنترل ها می بایست توسط سازمان هایی که می خواهند امنیت اطلاعات را پیاده سازی نمایند پیاده سازی شوند، اگر این کنترل ها را به عنوان معیاری برای تحقق امنیت اطلاعات در نظر بگیریم حاصل مقایسه چهار استاندارد مذکور، با توجه به این معیارها به شکل زیر خواهد بود:

مقایسه چهار استاندارد برتر:
جهت مقايسه متناظر ويژگي هاي اين استانداردها، جدول زير برخي موضوعات قابل تأمل را مشخص مي نمايد.

انتخاب استاندارد جهت پياده سازي امنيت اطلاعات :
بسیار مهم است که استانداردی در سازمان پیاده سازی گردد که به عنوان یک معیار همگانی شناخته شده و مورد قبول اکثر سازمان ها و قوانين کشوري باشد، استاندارد ISO توسط 25 کشور راه اندازی شد، این درحالی است که سه استاندارد دیگر تنها در یک کشور شروع به کار کردند. در این خصوصISO به نسبت سه استاندارد میکروتیک دیگر بسیار شناخته شده تر است، ISO به طور گسترده در جهان توسط 163 کشور مورد استفاده قرار گرفته است، در مقایسه با PCIDSS (125)، ITIL (50) و COBIT (160). ISO27001 به علت جامعيت کنترلهاي آن نسبت به سه استاندارد امنیتی دیگر، موجبات پذيرش آن توسط مشتریان، تامین کنندگان، خریداران و مدیران را فراهم مي سازد.

همانطور که در شکل نیز مشاهده می نمایید، امنیت اطلاعات که به عنوان جزئی از حاکمیت فن آوری اطلاعات در نظر گرفته می شود، بیشتر توسط ISO27001 پوشش داده شده، در صورتی که ITIL و COBIT سهم بیشتری در خصوص حاکمیت فناوری اطلاعات دارا می باشند، گستردگی این استانداردها در شکل مشخص شده، نواحی مشترک، نشان دهنده کنترل های امنیتی و حوزه هایی هستند که استانداردها با یکدیگر همپوشانی دارند، همچنین همانطور که مشاهده می شود PCI DSS همپوشانی زیادی با ISO27001 دارد با این تفاوت که PCI DSS در حوزه امنیت کارت فعالیت می کند، این شکل بیانگر این موضوع است که پیاده سازی ISO27001 علاوه بر اینکه به تنهایی امنیت اطلاعات را در سازمان به صورت عمومی تضمین می نماید، می تواند به عنوان بستری مناسب جهت پیاده سازی استانداردهای امنیتی دیگر متناسب با حوزه کاری هر سازمانی مورد استفاده قرار گیرد.
هر استاندارد به نوعی نقش خود را در پیاده سازی امنيت اطلاعات ایفا می کند، به عنوان مثال ISO27001 بر سیستم مدیریت امنیت اطلاعات، PCIDSS بر امنیت اطلاعات مرتبط با تراکنش کسب و کار و کارت هوشمند، ITIL و COBIT بر امنیت اطلاعات و ارتباطشان با مدیریت پروژه و حاکميت فناوري اطلاعات تمرکز دارند. به طور کلی استقبال عمومی در استفاده جهانی از استانداردها، نشان می دهد که ISO27001 برتر از سه استاندارد دیگر در سطح جهانی ظاهر شده است به خصوص براي ايجاد سيستم مديريتي امنيت خدمات شبکه اطلاعات، این استاندارد نسبت به دیگر استانداردها راحت تر پیاده سازی می شود و توسط ذینفعان (مدیران ارشد، کارکنان، تأمین کنندگان، مشتریان و قانون گذاران) به خوبی قابل درک است. از این رو با در نظر گرفتن سطح بالاي قابلیت استفاده و اعتماد به ISO27001 در جهان، میتوان اين استاندارد را همچون زبان انگلیسی به عنوان زبان بین المللی و جهانی در استانداردها و معیارهای ISMS دانست.

پیام نور | لیست رشته های کارشناسی ارشد فراگیر پیام نور

8 روش مجازی سازی كامپیوترهای شخصی

alireza 
  بازدید : 248
پنجشنبه 20 ارديبهشت 1397 زمان : 8:31 


1
2
3
4
5

8 روش برای مجازی سازی کامپیوترهای شخصی وجود دارد که قابلیت ارتقا را افزایش داده و هزینه را کاهش می‌دهند.

دفترچه انتخاب رشته تکمیل ظرفیت کارشناسی ارشد سراسری 97

حفره 20 میلیارد دلاری امنیت فناوری اطلاعات

alireza 
  بازدید : 308
چهارشنبه 19 ارديبهشت 1397 زمان : 15:35 


1
2
3
4
5

اکنون زمان بیداری از منظر امنیت رسیده است. وقتی نوبت به حملات پیشرفته و هدفمند می‌رسد، آیا سازمان شما واقعا آنقدر محافظت می‌شود که تصورش را می‌کنید؟

ثبت نام آزمون نمونه دولتی استان خراسان جنوبی - www.azmoon.medu.ir

«123 4 5 6 »

تعداد صفحات : 0

نام کاربری :
رمز عبور :
تکرار رمز عبور :
ایمیل :
نام و نام خانوادگی :
کد امنیتی :