Responsive Image

امنیت فضای مجازی

امروزه امنیت در فضای مجازی با توجه به گستردگی و پیشرفت تکنولوژی و تجارت الکترونیک، در بین مردم اهمیت بسیار زیادی پیدا کرده است. خبرگزاری ها، آموزش های الکترونیک، نشر عقاید، ارتباط با دیگران و… همه و همه در اینترنت قرار گرفته است. در این بین افرادی هستند که با گسترش این فضا با هک کردن وبسایت ها به دنبال به دست آوردن اطلاعات و برخی دیگر با ایجاد صفحات جعلی درگاه های پرداخت بانک ها در پی دزدیدن اطلاعات بانکی مردم و برهم زدن امنیت در فضای مجازی هستند. پس می توان گفت نیاز است تا یک کاربر، مدیر سایت یا یک مدیر سرور باید به امنیت در فضای مجازی توجه زیادی داشته باشد.

برنامه ریزی و نظارت بر فضای مجازی

تعيين ساختار سازماني وظايف مرتبط با امور امنيت فضاي مجازي در دستگاه هاي اجرايي مصوب 1399,11,05

به منظور ايجاد وحدت رويه در تعيين جايگاه وظايف مرتبط با امور امنيت فضاي مجازي در دستگاه هاي اجرايي و در اجراي مصوبات شوراي عالي فضاي مجازي، ساختار سازماني متولي امنيت فضاي مجازي و تشكيلات آن با بهره گيري از ظرفيت موجود دستگاه هاي اجرايي به شرح ذيل تعيين و ابلاغ ميگردد:

1- فرماندهي واحد عمليات و مقابله با حملات سايبري و فرماندهي مهار حملات در بحران ها در سطح ملي بر عهده مركز ملي فضاي مجازي قرار دارد. اين مركز متولي اتخاذ تصميمات لازم براي امنيت فضاي مجازي، ابلاغ الزامات و همچنين نظارت بر اجراي مناسب آن ها مي باشد. واحد سازماني مرتبط با اين موضوع در مركز ملي فضاي مجازي با تائيد سازمان اداري و استخدامي كشور ايجاد مي شود.

2- عنوان واحد سازماني متولي فناوري اطلاعات و عناوين مشابه در دستگاه هاي اجرايي به واحد "فناوري اطلاعات و امنيت فضاي مجازي" تغيير مي يابد و وظيفه امنيت فضاي مجازي و مقابله با حوادث حوزه فضاي مجازي در دستگاه اجرايي با واحدهاي مذكور مي باشد. شرح وظايف اصلي اين واحدها در حوزه "امنيت فضاي مجازي" به شرح ذيل است:
- ايجاد و راهبري سيستم مديريت امنيت اطلاعات؛
- طراحي، توسعه و نظارت بر عملياتي شدن طرح هاي امنيت اطلاعات؛
- مقابله با حوادث و حملات فضاي مجازي؛
- تحليل، ارزيابي و مديريت مخاطرات؛
- اجراي آزمون، مانور و تست نفوذ؛
- ايجاد ساز و كار ثبت وقايع امنيت اطلاعات و رصد وقايع و رويدادهاي سايبري؛
- تهيه دستورالعمل ها و آگاهي هاي امنيتي آموزشي جهت ارتقاء آگاهي كاركنان با همكاري واحدهاي متولي امنيت سايبري در سطح ملي؛
- اجراي الزامات و ضوابط ابلاغي توسط مراجع ذيصلاح در سطح ملي؛

تبصره: واحدهاي متولي فناوري اطلاعات در دستگاه هاي اجرايي كه وظايف ديگري به غير از فناوري اطلاعات بر عهده دارند (از قبيل نوسازي اداري، تشكيلات و ...) به عناوين آنها عبارت "امنيت فضاي مجازي" و به وظايف آنها وظايف مرتبط اضافه مي گردد.

3- در وزارتخانه ها و سازمان هاي مستقل ذيل رئيس جمهور يك پست معاونت در واحدهاي "فناوري اطلاعات و امنيت فضاي مجازي" با عنوان "معاون امنيت" ايجاد مي گردد.

تبصره: معاون امنيت در دستگاه هاي اجرايي مشمول اين ماده در رده مشاغل حساس قرار مي گيرد.

4- به منظور مديريت يكپارچه امنيت فضاي مجازي "كميته راهبري امنيت اطلاعات" به رياست بالاترين مقام دستگاه اجرايي يا معاون وي با عضويت بالاترين مسئول حوزه فناوري اطلاعات و امنيت فضاي مجازي و بالاترين مقام مسئول حراست ايجاد مي گردد و تصميمات آن در سطح دستگاه اجرايي لازم الاجرا مي باشد. دبيرخانه اين كميته در واحد فناوري اطلاعات و امنيت فضاي مجازي دستگاه اجرايي مستقر مي باشد.

5- سازمان اداري و استخدامي كشور نسبت به تقويت واحدهاي فناوري اطلاعات و امنيت با پيشنهاد جابجايي و تغيير عنوان پست هاي سازماني موجود دستگاه هاي اجرايي و انتقال آن به واحدهاي مذكور اقدام مي نمايد.

6- دستگاه هاي اجرايي موظفند پيشنهاد اصلاح تشكيلاتي مرتبط با اين بخشنامه را از طريق "سامانه ملي مديريت ساختار دستگاه هاي اجرايي كشور" به اين سازمان ارسال نمايند.

ارتقا سطح آگاهی

حدود وظایف و اختیارات مراکز مختلف در حوزه فضای مجازی :

          وظایف و اختیارات مرکز ملی فضای مجازی

  1. نظارت و ارزیابی در همه­ ابعاد فضای مجازی کشور در چارچوب طرح مصوب شورایعالی
  1. تقسیم کار ملی، هماهنگی و هم­ افزایی در فضای مجازی کشور در همه­ ابعاد، طبق مصوبات شورایعالی
  2. پایش و رصد نظام­ مند و مستمر فرصت ها و تهدیدهای فضای مجازی برای کشور
  3. برنامه­ ریزی برای حضور قوی و مستمر در مجامع جهانی مرتبط با فضای مجازی به منظور صیانت از حقوق و منافع ملی، به دست گیری ابتکار عمل و گسترش تعاملات میان دولت های همسو در جهت سالم وامن سازی فضای مجازی و امکان بهره گیری همه کشورها از این فضا بر اساس حاکمیت ملی و عدالت در چارچوب مصوبات شورایعالی
  4. مدیریت تشخیص حملات سایبری به کشور و همچنین دفاع از زیرساخت های حیاتی در برابر حملات سایبری
  5. انجام مستمر مطالعات راهبردی و آینده پژوهی در جهت مواجهه عالمانه و پیشتاز با تحولات فضای مجازی ایران و جهان
  6. تدوین نقشه جامع توسعه فاوا، برنامه­ های پنج­ ساله توسعه فضای مجازی و تعیین اولویت های علمی و فناوری فضای مجازی
  7. تسهیم و توزیع بودجه طرح های کلان یا فرادستگاهی مصوب شورایعالی از طریق ابلاغ اعتبار یا سایر روش های مصوب شورایعالی یا قوانین کشور
  8. تحقق بخشیدن به مصوبات کمیسیون های تعریف­ شده در چارچوب مصوبات شورایعالی و نظارت بر حسن اجرای آنها

وظایف و اختیارات مرکز مدیریت راهبردی افتای ریاست جمهوری

  • امن‌سازی مدبرانه فضای تولید و تبادل اطلاعات به منظور عدم توقف استمرار ارائه خدمات توسط

ماموریت‌های مرکز :

راهبردی-تدوین راهبردها، راهکارها و سیاست‌های اجرایی مورد نظر در چارچوب سیاست‌های حاکمیتی

  • تدوین بخشنامه‏ ها، دستورالعمل‏ ها و آئین‏ نامه‏ های ارتقاء امنیت
  • تدوین نظام پیشگیری و مقابله با حوادث فضای مجازی
  • ارزیابی راهبردی سیاست های کلی نظام در حوزه افتا ​​​


نظارتی- نظارت بر حسن اجرای بخشنامه‌ها، دستورالعمل‌ها و راهکارهای ابلاغی

  • ممیزی سامانه‏ های مدیریت امنیت اطلاعات (ISMS)
  • نظارت در اجرای طرح امن سازی زیرساخت‏ های حیاتی
  • نظارت بر عملکرد آزمایشگاه‏ های ارزیابی امنیتی و شرکت‏ ها


عملیاتی پیشگیری و مدیریت حوادث سایبری در دستگاه‌های اجرایی کشور

  • راه اندازی تیم امداد رایانه برای زیرساخت‌ ها
  • اجرای عملیات ارزیابی امنیتی و رصد آسیب پذیری‌ زیرساخت‏ ها
  • ارایه خدمات تخصصی فارنزیکی و تحلیلی حوزه بدافزار برای زیرساخت‌ ها
  • ارتقاء توان شناسایی و مقابله با بدافزارهای ناشناخته در زیرساخت‌ ها


حمایتی و فرهنگ‏ سازی– با هدف تکیه بر فناوری بومی و توانمندی‏ های تخصصی داخلی

  • برگزاری همایش‌ها، کارگاه‌ های آموزشی و جلسات توجیهی برای مدیران بخش خصوصی و نیز مدیران دستگاه‌ ها در سطح کشور به منظور فرهنگ سازی
  • برگزاری دوره‏ های توجیهی امنیتی برای صیانت از مدیران و کارشناسان بخش خصوصی
  • آگاهی‏ رسانی از طریق تهیه و توزیع خبرنامه و سامانه پیام ‏رسان
  • مشارکت در تأمین هزینه‏ های آزمایشگاهی ارزیابی امنیتی محصولات
  • تسهیل فرایند اداری برای بخش خصوصی جهت انجام پروژه های فاوایی
  • تاسیس مراکز استانی جهت حمایت از ظرفیت‌ های استانی

 

وظایف و اختیارات پلیس فتا

ایجاد امنیت و کاهش مخاطرات برای فعّالیّت‌های علمی، اقتصادی، اجتماعی در جامعه‌ی اطّلاعاتی، حفاظت و صیانت از هویت دینی و ملّی، مراقبت و پایش از فضای تولید و تبادل اطّلاعات برای پیش‌گیری از تبدیل شدن این فضا به بستری برای انجام هماهنگی‌ها و عملیات‌ برای انجام و تحقّق فعّالیّت‌های غیرقانونی و ممانعت از تعرّض به ارزش‌ها و هنجارهای جامعه در فتا از جمله‌ی وظایف و مأموریت‌های پلیس فضای تولید و تبادل اطّلاعات ناجاست

رصد وقایع امنیت اطلاعات

قابل توجه دستگاه ها، سازمان ها، ادارات و شرکت های دولتی و خصوصی استان

آسیب‌پذیری سرریز بافر در Juniper

آسیب‌پذیری CVE-۲۰۲۱-۰۲۸۴ در  Juniper (Junos OS)  امکان حمله DoS را برای مهاجم فراهم می‌کند شدت آسیب‌پذیری  (High) .1400/05/29

آسیب‌پذیری‌های متعدد در پلاگین‌های Wordpress

آسیب پذیری‌های CVE-۲۰۲۱-۳۴۶۴۵، CVE-۲۰۲۱-۳۷۵۹۷ و CVE-۲۰۲۱-۳۷۵۹۸ در پلاگین‌های Wordpress امکان تزریق اسکریپت‌های دلخواه و دور زدن راهکارهای امنیتی را برای مهاجم فراهم می‌کند.شدت آسیب پذیری: (High) 1400/05/29

https://nvd.nist.gov/vuln/detail/CVE-۲۰۲۱-۳۴۶۴۵
https://nvd.nist.gov/vuln/detail/CVE-۲۰۲۱-۳۷۵۹۷
https://nvd.nist.gov/vuln/detail/CVE-۲۰۲۱-۳۷۵۹۸

آسیب‌پذیری اجرای کد دلخواه از راه دور در سیسکو (Critical)

آسیب پذیری‌های CVE-۲۰۲۱-۳۴۶۴۵، CVE-۲۰۲۱-۳۷۵۹۷ و CVE-۲۰۲۱-۳۷۵۹۸ در پلاگین‌های Wordpress امکان تزریق اسکریپت‌های دلخواه و دور زدن راهکارهای امنیتی را برای مهاجم فراهم می‌کند.شدت آسیب پذیری: (High) 1400/05/28
 
https://nvd.nist.gov/vuln/detail/CVE-۲۰۲۱-۳۴۶۴۵
https://nvd.nist.gov/vuln/detail/CVE-۲۰۲۱-۳۷۵۹۷
https://nvd.nist.gov/vuln/detail/CVE-۲۰۲۱-۳۷۵۹۸

سه شنبه ۱۴۰۰/۰۵/۲۶

گزارش چندین آسیب‌پذیری‌ در Dell EMC PowerScale OneFS

چندین آسیب‌پذیری از جمله CVE-۲۰۲۱-۲۱۵۹۴، CVE-۲۰۲۱-۳۶۲۷۸ و CVE-۲۰۲۱-۳۶۲۷۹ در Dell EMC PowerScale OneFS امکان افزایش سطح دسترسی، دسترسی به اطلاعات حساس، افشای اطلاعات و ... را برای مهاجم فراهم می‌کنند. بالاشدت آسیب‌‌پذیری 

 

 https://nvd.nist.gov/vuln/detail/CVE-۲۰۲۱-۲۱۵۹۴
https://nvd.nist.gov/vuln/detail/CVE-۲۰۲۱-۳۶۲۷۸
https://nvd.nist.gov/vuln/detail/CVE-۲۰۲۱-۳۶۲۷۹
https://nvd.nist.gov/vuln/detail/CVE-۲۰۲۱-۳۶۲۸۰
https://nvd.nist.gov/vuln/detail/CVE-۲۰۲۱-۳۶۲۸۱