مقدمه و مفاهیم اولیه +security

دسته بندی ها : میکروبوک +security ۱۳ اردیبهشت ۱۳۹۹ آپا دانشگاه تبریز 376 بازدید

در دنیای گسترده و پر خطر سایبری فراهم کردن امنیت اطلاعات، یکی از مهمترین و سخت ترین کارها محسوب می شود. همواره کاربران با رعایت نکات امنیتی با سختی هایی روبرو می شوند. معمولا بین امنیت و راحتی استفاده، تضاد و اختلاف وجود دارد. زمانی که بخواهیم از امنیت بالایی برخوردار باشیم باید تدابیر پیچیده و سختی بیاندیشیم و بالعکس اگر خواستار راحتی باشیم باید در رعایت تدابیر امنیتی کاستی کنیم برای مثال میتوانیم رمز وای فای خانگی خود را ساده انتخاب کنیم، که در این صورت هدفی راحت برای حمله مهاجمان خواهد بود و اگر رمزی سخت و پیچیده در نظر بگیریم به خاطر سپردن یا استفاده از آن سخت خواهد بود. به همین دلیل امنیت در مقابل راحتی استفاده قرار دارد.

امنیت اطلاعات: به عمل محافظت از اطلاعات و داده ها در مقابل دسترسی های غیر مجاز، اصلاحات غیر قانونی، افشا، فساد و کارهایی از این قبیل امنیت اطلاعات نام دارد. هنگامیکه سخن از امنیت اطلاعات باشد، مقصود خود داده ها و اطلاعات هستند نه ابزار ها و سیستم های اطلاعاتی. به همین سبب، تعریف امنیت سیستم های اطلاعاتی مطرح می شود.

security+ - tarde of between security and convinience

امنیت سیستم های اطلاعاتی: عمل محافظت از سیستم هایی است که داده ها و اطلاعات در آن پردازش یا نگهداری می شوند که میتواند کامپیوتر، سرور، ابزارهای شبکه، تلفن های هوشمند و … باشد.

 

سه تایی CIA

برخی مفاهیم پایه وجود دارند که میتوان گفت امنیت بر پایه آنها استوار است. این سه تایی متشکل است از:

  • محرمانگی (confidentiality)
  • تمامیت و صحت اطلاعات (information integrity)
  • در دسترس بودن (availability)

 +cia triad - secutity

محرمانگی (confidentiality):

محرمانگی به کاربران این اطمینان میدهد که داده ها و اطلاعات آنها نزد هیچ فرد غیر مجازی، افشا نشده است. در دنیای حقیقی اگر بخواهیم وسیله ای را محرمانه نگه داریم آن را در داخل یک بسته گذاشته و در داخل یک کمد یا گاو صندوق پنهان میکنیم و شخصی که کلید کمد یا گاو صندوق را داشته باشد میتواند به آنها دسترسی داشته باشد. در دنیای سایبری همانند دنیای حقیقی، با کلید عمومی و خصوصی و الگوریتم های رمز نگاری برای ایجاد محرمانگی سر و کار داریم که در ادامه با آنها آشنا خواهیم شد.

 

تمامیت و صحت اطلاعات (information integrity):

اگر داده ها و اطلاعات توسط فردی که مجوز های لازم را ندارد تغییر کند، دارای صحت و تمامیت نخواهند بود. برای مثال کاربران قادر هستند با نام کاربری و رمز عبوری که از بانک دریافت کرده اند ( قاعده محرمانگی)، از طریق سامانه اینترنتی بانک، موجودی حساب خود را مشاهده کنند اما نسبت به تغییر موجودی حساب خود نمی توانند اقدام کنند زیرا این مجوز صرفا به کارمندان آن بانک داده شده است. اگر موجودی حساب کاربر تغییر یابد پس قاعده تمامیت و صحت اطلاعات در پیاده سازی آن سیستم رعایت نشده است.

 

در دسترس بودن (availability):

این قاعده به کاربر اطمینان می دهد که همیشه اطلاعات کاربر در دسترس، ذخیره و محافظت شده خواهد بود. اگرچه سیستمی دو قاعده قبلی یعنی محرمانگی و تمامیت اطلاعات را داشته باشد اما در دسترس نباشد، کارایی خود را نخواهد داشت. فرض کنید در مثال قبلی تمامی فرآیند های امنیتی به درستی رعایت شده( هیچ فرد دیگری قادر به مشاهده موجودی حساب کاربر نیست و به جز کارمندان بانک فرد دیگری قادر به ایجاد تغییرات در حساب کاربر نمی باشد) اما اگر کاربر به سامانه اینترنتی بانک دسترسی نداشته باشد، هیچ کدام از فرآیند های امنیتی کارا نخواهند بود.

 

AAA در امنیت (Authentication, Authorization, Accounting)

احراز هویت، مجوز دسترسی و حساب کاربری، تشکیل دهنده Aهای امنیت هستند که به حروف اول این عبارات در زبان انگلیسی رجوع می کنند. در ادامه با هر یک از آنها آشنا میشویم:

 

احراز هویت (Authentication):

در هر سامانه ای، یک الگوریتم یا فرآیند برای تشخیص هویت فردی که قصد استفاده از سامانه را دارد، وجود دارد. هنگامی که مشخصات فردی، با استفاده از این فرآیند ها توسط سیستم قبول شود، فرآیند احراز هویت انجام شده است. فرآیند ورود به حساب کاربری در سایت ها و اپلیکیشن ها نمونه ای از احراز هویت در دنیای مجازی هستند و بررسی گواهینامه رانندگی توسط پلیس میتواند نمونه شایع آن در زندگی حقیقی باشد.

 

در دنیای دیجیتال و مجازی ۵ فاکتور مهم برای احراز هویت وجود دارد، که از آنها برای انجام این فرآیند استفاده می شود این ۵ فاکتور عبارتند از:

  1. چیزی که میدانیم:

نام کاربری یا رمز عبور از جمله اطلاعاتی است که هنگام ثبت نام توسط کاربر وارد سامانه می شود و فقط خود کاربر از آنها اطلاع دارد. به همین سبب از نام کاربری یا رمز عبور به عنوان کلید هایی برای احراز هویت استفاده می شود.

  1. چیزی که هستیم:

هر فرد دارای خصوصیات منحصر به فرد از قبیل اثر انگشت، عنبیه چشم و دیگر خصوصیات است. این خصوصیات به سبب منحصر به فرد بودن، میتوانند گزینه هایی برای احراز هویت باشند. امروزه از این فرآیند در گوشی های هوشمند، لپ تاپ ها، تبلت ها و دیگر لوازم الکترونیکی استفاده می شود.

  1. چیزی که داریم:

هنگام استفاده از برخی سامانه ها و یا در دنیای حقیقی برای داشتن برخی مجوز ها (همانند مجوز برای رانندگی) ابزار هایی از قبیل توکن، گواهینامه و … داده می شود، که از آنها برای احراز هویت فرد به خاطر داشتن مجوز برای استفاده از سامانه یا دیگر خدمات استفاده می شود.

  1. نحوه انجام برخی کارها:

طرز حرف زدن و یا امضا هر فرد مشخص و منحصر به خود است که از آنها نیز میتوان برای احراز هویت استفاده کرد.

  1. مکانی که هستیم:

بسته به موقعیت های مکانی خاصی که توسط شما تعریف می شود، آن موقعیت ها میتوانند کلید هایی برای احراز هویت شما باشند. به طور مثال قرار گرفتن در کنار یک ابزار الکترونیکی خاص، مانند قرار گرفتن ساعت هوشمندی که به مچ دست شما بسته است در کنار تلفن همراه شما که به عنوان یک تائید هویت برای باز کردن قفل صفحه تلفن شما می توان به کار برد.

 

مجوز دسترسی (Authorization):

تمامی کاربر هایی که از یک سامانه استفاده میکنند دارای مجوز های دسترسی یکسانی نیستند. به طور مثال شما در سامانه اینترنتی بانک خود فقط قادر به مشاهده صورتحساب، پرداخت قبوض و عملیاتی از این قبیل هستید اما یک کارمند بانک ضمن مشاهده همه این اطلاعات قادر به تغییر آنها نیز می باشد و سیستم نباید مجوز تغییر این اطلاعات را توسط یک کاربر عادی بدهد که در غیر این صورت داده ها دارای ویژگی integrity نخواهند بود.

 

حسابداری (Accounting):

در سیستم های کامپیوتری فایل هایی به نام Log وجود دارد که تمامی اطلاعات عملیاتی که کاربر انجام داده است در آن ذخیره می شود. اطلاعاتی مثل اتصال ها به اینترنت، سابقه ورود کاربر و … با ذخیره تمامی این فعالیت ها میتوان با بررسی این فایل به فعالیت های مشکوک و فعالیت هایی که توسط فرد دیگری انجام شده پی برد.

 

راه آسان‌تری برای ارتباط با کاربران‌مان پیدا کرده‌ایم :) عضویت در کانال

نظرات کاربران

    دیدگاهتان را بنویسید

    نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

    لینک کوتاه :