امنيت تجارت الكترونيك
شش سال پیش منتشر شده
تعداد بازدید: 859
کد پروژه: 60258
شرح پروژه
لطفاً دو فايل پيوست را ملاحظه فرماييد.
هدف حل تمارين پيوست است. اين تمارين مربوط به درس امنيت تجارت الكترونيكي است.
تمرین عملی سري سوم
موعد تحویل: 20 آذر الی 9 بهمن
نام درس: امنیت تجارت الکترونیک
cookie فعالیت 3: سوء استفاده از
باشد. cookie وب اپلیکیشنی را بیابید که مکانیزم احراز هویت آن بر اساس
ها بکار می روند، پس از ورود به وب اپلیکیشن، cookie کردن export و import دوماشین مجازي راه اندازي کرده و با استفاده از پلاگین هاي مربوط به مرورگرها که براي
کنید تا مجددا بر روي ماشین مجازي دوم نیزبدون وارد کردن کلمه کاربري و رمز عبور و بر import و روي مرورگر ماشین مجازي دیگر export ن ش ست خود را cookie
توسط اپلیکیشن احراز هویت شوید. cookie اساس
هاي cookie کردن export را انتخاب کنید و مسیري را براي Export to a file گزینه Import & Export بخش File در منوي Internet Explorer براي مثال در
در منوي Import & Export در بخش IMPORT FROM A FILE مرورگر خود مشخص کنید. پس از این مرحله بر روي ماشین دیگر فایل آماده شده را با استفاده از گزینه
به مرورگر جدید وارد کرده و براي ورود به وب اپلیکیشن مربوطه (مثلا ایمیل خود) بدون نیاز به وارد کردن مجدد پسوورد، تلاش کنید. File
ها بنا cookie بر پایه XSS ها در مکانیزم هاي احراز هویت وب اپلیکی شن ها و سوء ا ستفاده ساده از آن ا ست. حملاتی از قبیل cookie هدف از این فعالیت نمایش اهمیت
شده اند.
(B نمره جبرانی در صورت ارائه بخش + A تمرین سري چهارم (بخش
نام درس: امنیت تجارت الکترونیک
تحلیل ریسک
روش هاي متفاوتی براي اجراي تحلیل ریسک وجود دارد همه این روشها سعی در شکستن مشکل به قطعات قابل اندازهگیري دارند درصورت شکسته
شدن مشکل به ابعاد کوچکتر امکان مدیریت کردن مشکل فراهم میشود در همه این روش ها ، ریسکها به دو دسته عمدي و غیر عمدي تقسیم
میشوند مانند محاسبه ریسک ناشی از وقایع غیر عمدي ( مانند قطع برق ، ثبت اشتباه دادهها ) و تأثیر هزینههاي آن برسازمان .
براي محاسبه ریسکهاي عمدي از فرمولهاي دیگري استفاده میشود زیرا ریسک عمدي تحت تأثیر عواملی مانند میزان جذابیت سیستم براي
خلافکاران، در دسترس بودن سیستم در زمان حمله خلافکاران و میزان آسیبپذیري سیستم است ازجمله تهدیدهاي عمدي میتوان به کلاهبرداري ،
نیت بد و خرابکاريهاي عمدي اشاره کرد .
بعد از جمعآوري دادهها در تحلیل ریسک ارزیابی جزئیات ریسک انجام میشود به مثال زیر توجه کنید :
را در نظر بگیرید و براي مراکز : مرکز تماس، پشتیبانی خدمات مشترکین، بخش خدمات فنی و مرکز داده ISP یک مجموعه خدمات
مجموعه از دارائیها را در نظر بگیرید:
مرحله اول – تشخیص دارایی اطلاعاتی شرکت
حوزه و هدف ارزیابی ریسک به وسعت سیستم اطلاعات سازمان مربوط بستگی دارد تیم ارزیابی ریسک حوزه و وسعت ارزیابی را مشخص میکنند
آنها ابعاد سیستمهاي اطلاعاتی حیاتی سازمان را مشخص میکنند در مثال فوق این شرکت سامانههاي زیر را بهعنوان مثال خواهد داشت، به مثال فوق
دارائیهاي دیگر را در نظر بگیرید:
CRM سامانه مرکز تماس و
سامانه خدمات مشترکین
سامانه مانیتورینگ شبکه
سوئیچ مرکزي
سامانه ثبت تردد کارکنان
سامانه ثبت اثر انگشت براي ورود به مرکز داده
دوربین مرکز داده
سخت افزار ذخیره ساز
UPS
سرور بانک اطلاعاتی مشترکین
مرحله دوم - اولویتبندي روي دارائیهاي فناوري اطلاعات
بعد از مشخص کردن دارایی اطلاعاتی، درجه اهمیت آن در عملکرد شرکت تعیین میشود . مقیاس درجه اهمیت ، مقیاسی توافقی است که تیم امنیت و
کاربران بخشها آن را تعیین میکنند سطح بحرانی یک سیستم اطلاعاتی بستگی به تأثیر آن سیستم بر رضایت مشتریان و در دسترس پذیري سیستمهاي
مرتبط با کسب و کار شرکت دارد در جدول 1 دارائی و ارزش آنرا مشخص کنید.
جدول 1- سطح اهمیت هر سیستم اطلاعاتی
شناسه دارائی سطح اهمیت هر دارائی
سامانه خدمات مشترکین 5 A1
A2
5. خیلی زیاد 4. زیاد 3.متوسط 2. کم 1. خیلی کم
جدول 2- سطح آسیبپذیري
شناسه دارائی آسیبپذیري رتبه آسیبپذیري
عدم مکانیزم توزیع بار 5 A1 V1
V2
5. خیلی زیاد 4. زیاد 3.متوسط 2. کم 1. خیلی کم
جدول 3- میزان تهدیدات
شناسه دارائی تهدیدات رتبه تهدید
5 DoS حملات A1 T1
T2
5. خیلی زیاد 4. زیاد 3.متوسط 2. کم 1. خیلی کم
جدول 4- سطح تاثیرات
شناسه تهدیدات تاثیرات رتبه تأثیر
از بین رفتن دسترسی به سامانه و قطعی سرویس 5 T1 I1
I2
5. خیلی زیاد 4. زیاد 3.متوسط 2. کم 1. خیلی کم
مرحله سوم – تحلیل ریسک
بعد از تعیین سطح بحران هر سیستم ، سیستم امنیتی ریسک بالقوههاي که ممکن است براي سیستم روي دهد را مشخص میکند با توجه به شاخصی
که در بالا مشخص شد به همین منظور تیمی براي محاسبه شاخص سنجش و اندازهگیري ریسک انتخاب میشود . براي تعیین سطح آسیبپذیري هر
سیستم به رویداد توجه میشود . تیم امنیتی از طریق این دادهها فاکتور ریسک کلی براي هر ریسک بالقوه را مشخص میکند یک مقیاس اختیاري از 1 تا
3 براي نشان دادن مقدار ریسک ( بالا ، متوسط ، پایین ) در نظر گرفته میشود . تیم امنیت براي هر سیستم اصلی ، این تحلیل را انجام می هد از نتایج
تحلیل هر یک از سیستمهاي فرعی میتوان نتیجه گرفت که در کل سازمان باید چه سیاستها و رویههایی را دنبال کرده و چه اقداماتی را انجام داد .
توجه : پیوست 1 بخش اجباري تمرین و پیوست 2 جهت مطالعه و اختیاري است.
A بخش
در پاسخ این تمرین میبایست موارد زیر انجام و تا موعد مشخص شده ارسال گردد:
- جداول 1 تا 5 پر شود. 10 ردیف براي جداول 1 تا 5 حداقل پر شود.
- راهکار پیشنهادي جهت اقدامات کنترلی و پایش مستمر در قالب جدول ( 10 مکانیزم نرم افزاري، سخت
ISO افزاري، قراردادي یا سیاسیت گذاري) حداقل پر شود . بشکلی که پالیسی براي اجرا با رویکرد 27001
را پوشش دهد، ارائه گردد.
B بخش
تولید برنامکی که بتواند بهعنوان ورودي جداول 1 تا 4 را از تحلیلگر بگیرد و در خروجی جدول 5 را نمایش دهد.
میتوانید بهراحتی با استفاده از قابلیتهاي طراحی بانک اطلاعاتی و طراحی فرم و استفاده از فیلدهاي فرمولی در نرم
این کار را انجام دهید. access افزار
این پروژه شامل 2 فایل مهم است، لطفا قبل از ارسال پیشنهاد حتما نسبت به بررسی این فایل اقدام فرمایید.
مهارت ها و تخصص های مورد نیاز
بودجه
5,000 تومان تا 100,000 تومان
مهلت برای انجام
15روز
وضعیت مناقصه
بسته
درباره کارفرما
عضویت شش سال پیش
