سایت آموزشی فرهنگ،آموزش وب،کامپیوتر،خانه داری و آشپزی،طراحی،فتوشاپ،تلگرام،آهنگ،فیلم،برنامه نویسی،فرهنگ 21،گروه آموزشی،کرمانشاه

اصطلاحات و تعاریف امنیت اطلاعات – دانشنامه (دایرة المعارف) امنیت اطلاعات

دایرة المعارف امنیت اطلاعات

دارائی ارزشمند Asset

Asset دارایی ارزشمند برای سازمان است که نیازمند و مستحق محافظت است

آسیب پذیری Vulnerability

نقطه ضعف ، حفره یا آسیب پذیری در حوزه امنیت اطلاعات عبارت است از هرگونه نقطه ضعف نرم افزاری ، سخت افزاری یا تکنولوژیک که قابل سوءاستفاده باشد.

مشهورترین نقطه ضعف ها در نرم افزارها و سیستم های عامل وجود دارند که ممکن است از باگ های (Bug) برنامه نویسی ناشی شوند. البته آسیب پذیری را فقط نباید در برنامه های کامپیوتری خلاصه کرد زیرا یک نقطه ضعف امنیتی ممکن است در عادات فردی کاربران نیز خودنمایی کند. مانند کارشناس یا مدیری که رمزهای عبورش را برروی کاغذی یاداشت کرده و در زیر شیشه میزش قرار می دهد یا به بدنه کامپیوتر می چسباند و فراموش می کند که ممکن است توسط افراد غیر مجاز نیز رویت شود.

گاهی هم نقطه ضعف در یک فناوری Technology وجود دارد. مثلا یکی از اشکالات پروتکل Protocol انتقال فایل FTP آن است که نام کاربر و رمز عبورها به همان شکلی که تایپ می شوند و نه به صورت رمز شده در بستر شبکه ارسال می شود که همین نقطه ضعف امنیتی می تواند توسط هکر مورد سوء استفاده قرار گیرد (مشابه همین مورد برای پروتکل Telnet) .

به عنوان مثالی دیگر می توان از عدم استفاده از فایروال قدرتمند نام برد.

با پياده سازي صحيح و اقدامات امنيتي، آسيب پذيري ها كاهش مي يابند

تهدید Threat:

هر چیزی که می تواند آسیب پذیری را به طور عمدی یا به طور تصادفی مورد سوء استفاده قرار دهد و باعث آسیب رساندن یا نابودی یک دارایی Asset شود تهدید می باشد به عبارت دیگر تهدید وجود خطر بالقوه در سامانه ها ست که در شرایط مناسب قابل استفاده برای نفوذ مهاجم به منظور سرقت اطلاعات یا ایجاد خسارت برای اطلاعات یا سامانه های اطلاعاتی می باشد ، همچنین می توان گفت تهدید شرايط يا حالتي است كه ميتواند امنيت را مختل كند.

مثال : ارتباط راه دور اگر ارتباط امنی نباشد و یا استفاده از team viewer ممکن است اطلاعات را در اختیار فرد بیگانه قرار دهد و این خود یک تهدید به حساب می آید .

حمله attack:

در اصطلاح کامپیوتر و شبکه ، به هرگونه تلاش جهت مشاهده اطلاعات، دستکاری اطلاعات ، غیرفعال سازی سیستم های اطلاعاتی، نابودی اطلاعات ، سرقت یا دسترسی غیر مجاز برای استفاده غیر مجاز از دارایی هایی اطلاعاتی (یا سرویس های اطلاعاتی) سازمان (از طریق آسیب پذیری ها Vulnerabilities) ، حمله گویند به عبارت دیگر حمله عبارت است از تجاوز به امنیت سیستم و دارایی ارزشمند اطلاعاتی سازمان (Asset) ناشی از تهدید threat از طریق آسیب پذیری (vulnerability) سیستم.

انواع حملات :

حملات فعال Active attacks:

تلاش مهاجم در جهت نفوذ به سیستم و تغییر اطلاعات یا اثری بر عملیات سیستم ، مثل حمله مردی در میانه، انکار سرویس و حملات منجر به اصلاح پیام

حملات غیر فعال Passive attack:

تلاش مهاجم در جهت اطلاع از داده های سیستم بدون اعمال تغییرات ، مثل استراق سمع و تحلیل ترافیک .

حملات فعال تشخیص راحت تری نسبت به غیر فعال دارد. اما حملات غیر فعال خطرناک تر می باشد و دیرتر تشخیص داده میشود.

علاوه بر حملات اكتيو و پسيو، ميتوان حملات را به دو دسته داخلي (insider) و خارجي (outsider) نيز تقسيم كرد . حملاتي كه از داخل يك سازمان شكل ميگيرند، را حملات داخلي مي نامند و معمولا توسط كارمندي از داخل سازمان صورت مي گيرد تا به منابع بيشتري دسترسي پيدا كند. حمله خارجي، از بيرون سازمان توسط شخص خارجی که دسترسی مجاز به شبکه و سامانه های اطلاعاتی ندارد، صورت مي گیرد.

بد افزار Malware

بدافزار نرم افزاری است که به طور خاص برای دستکاری، خرابکاری، آسیب رساندن یا دسترسی غیر مجاز به یک سیستم اطلاعاتی طراحی شده است به عبارت دیگر بد افزارها برنامه‌های رایانه‌ای هستند که به کاربر آزار رسانده یا خسارتی وارد می کنند. برخی از آنها فقط کاربر را می‌آزارند. مثلاً وی را مجبور به انجام کاری تکراری می‌کنند یا می ترسانند . اما برخی دیگر به سیستم رایانه‌ای خسارت نرم افزاری و یا حتی سخت افزاری وارد کرده ، داده‌های آن را هدف قرار می‌دهند و یا اطلاعات را سرقت می نمایند.یک نرم‌افزار برپایه نیت سازنده آن به عنوان یک بدافزار شناخته می‌شود ؛ بدافزار کاهاً آلودگی رایانه‌ای نیز خطاب می شود که میتواند گوشی تلفن، تبلت و کامپیوترها را آلوده کند.

Malware پس از ورود به سیستم شما میتواند کارهایی مانند ارسال ایمیل های اسپم، سرقت اطلاعات و رمزهای عبور و … انجام دهد.

بدافزارها میتوانند از انواع روش ها و تکنیک های مختلف برای اجرای خود استفاده کنند . مثلا بعضی از آنها از سیستم شما به عنوان قربانی برای انجام عملیات تخریب روی دیگر سیستم ها استفاده میکنند، بعضی از آنها اقدام به جمع آوری اطلاعات شخصی کاربران مانند شماره حساب بانکی، رمز عبور و نام های کاربری و … میکنند و حتی ممکن است باعث تخریب در سیستم کاربران شوند.

برای کسب اطلاعات بیشتر در مورد بدافزارها و شیوه محافظت در مقابل آنها این مقاله را مطالعه فرمائید:

انواع بدافزارها Malware Types و محافظت در مقابل بدافزارها

امنيت شامل سه عنصر پايه اي می باشد :

opentext-graphic-for-web-information-security-en

  • (Confidentiality) محرمانگي
  • (Integrity) يكپارچگي
  • (Availability) در دسترس بودن

۱ – محرمانگی داده

محرمانگی

محافظت از افشای داده در حملات غیر فعال استراق سمع: با کمک شیوه های رمزنگاری و ناخوانا نمودن اطلاعات پیش از ارسال .

محافظت از جریان ترافیک در برابر حملات غیر فعال تحلیل ترافیک: با محرمانه نمودن اطلاعات مربوط به مبداء، مقصد، تکرار، طول و ویژگی های ترافیک روی کانال ارتباطی مثل VPN.

۲ – یکپارچگی یا صحت داده Data integrity

یکپارچگی اطلاعات

هدف :

جلوگیری از حذف، اضافه ، تکرار و به عبارتی اعمال هر گونه تغییر غیر مجاز در داده ها

داده ها مهم ترین دارایی های سامانه ها و سازمان ها

مهمترین هدف امنیتی سازمان ها :

محافظت از داده ها در برابر مهاجمین با کمک انواع راهکارها و سطوح دسترسی و اجازه عبور و … .

۳ – دسترس پذیری

دسترس پذیری

امکان دسترسی کاربران مجاز سیستم با توجه به مشخصات عملکردی سیستم و حقوق دسترسی خود در زمان های مجاز را دسترس پذیری گویند.

تضمین های سرویس دسترس پذیری :

امکان استفاده کاربر مجاز از منابع سیستم طبق ضوابط ، تحت هر شرایطی

چالش ها :

انواع حملات جهت از دست دادن یا کاهش دسترس پذیری

سایر عناصر امنیت:

۴ – کنترل دسترسی Access control

  • در صورت تعریف میزان امنیت برای اسناد و اطالاعات در سازمان ها، مورد استفاده قرار می گیرد.
  • وابستگی میزان امنیت به سطوح محرمانگی تعریف شده در سازمان.
  • تعریف سطح دسترسی کاربران متناظر با سطح امنیت تعریف شده برای اطالاعات.
  • قابلیت محدود سازی و کنترل دسترسی کاربران با سرویس کنترل دسترسی.

۵ – عدم انکار Non- Repudiation :

عدم امکان انکار هیچ یک از موجودیت ها پیرامون حضورش در ارتباط و امکان اثبات دریافت پیام از فرستنده در صورت بروز هر گونه مشکل توسط گیرنده Non- Repudiation ، امکان اثبات دریافت پیام از فرستنده در صورت بروز هر گونه مشکل توسط گیرنده .

با کمک امضای دیجیتال و رمزنگاری می توان به این مهم دست یافت

هدف هكر، استفاده از آسيب پذيري سيستم يا شبكه است تا ضعف هاي يكي از اين پايه ها را در سيستم هدف پيدا كند. هكر در انجام حمله DoS، عنصر دسترسي سيستمها و شبكه ها را مورد حمله قرار ميدهد. هر چند كه حمله DoS مي تواند شكلهاي مختلفي داشته باشد، هدف اصلي اين است كه از منابع و پهناي باند استفاده شود. در اين حمله، با سرازير كردن پيغا مهاي ورودي به سيستم هدف، آن را مجبور به خاموشي ميكند در نتيجه سرويس كاربران مختل ميشود.

سرقت اطلاعات، از قبيل سرقت پسوردها يا داده هاي ديگر كه بصورت رمز نشده در شبكه ارسال مي شوند ،در واقع محرمانگي اطلاعات را هدف قرار داده اند. فقط داده هاي روي شبكه ها نيستند كه در معرض سرقت قرار دارند بلكه لپ تاپها، ديسكها، و سایر حافظه های قابل حمل همگي در معرض خطر قرار دارند.

حملات معكوس كردن وضعيت بيت (bit flipping attack)، حملاتي براي يكپارچگي هستند براي اينكه ممكن است داد ه ها تغيير يابند بنابراين مديران سيستمها نميتوانند تشخيص دهند كه آيا داده ها ،همان هايي هستند كه ارسال كننده ارسال كرده است يا نه.

هکر

هکر Hacker : امروزه واژه هکر در فرهنگ عامه به متخصصان امنیت رایانه اطلاق می‌شود که توانایی نفوذ و کنترل سیستم‌های رایانه‌ای را برای هدف‌های گوناگون دارند.

انواع هكرها

هكرها در سه دسته کلی قرار مي گيرند: كلاه سفيدها، كلاه سياه ها، و كلاه خاكستري ها .

هكرهاي قانونمند معمولا در دسته كلاه سفيدها قرار مي گيرند.

هکر کلاه سفید

كلاه سفيد ها: اينها افرادي خوبي هستند كه از مهارت هكشان براي اهداف دفاعي استفاده مي كنند. هكرهاي كلاه سفيد، معمولا متخصصان امنيتي هستند كه دانش و ابزارهاي هك را دارند و از آنها براي كشف نقاط ضعف و اقدامات پيشگيري همچنین تست نفوذ قانونی (Ethical hacker) استفاده ميكنند.

کلاه سیاه ها:

هکر کلاه سیاه

كلاه سياه ها افراد بدي هستند. هكرهاي شرور يا کرکرها از مهارتشان براي اهداف غير قانوني استفاده مي كنند. آنها يكپارچگي ماشين مورد نظر را به قصد شوم مي شكنند. با داشتن دسترسي غيرمجاز، هكرهاي كلاه سياه مي توانند داده هاي حياتي و مهم را خراب كنند، سرويس هاي كاربران را مختل كنند و باعث بروز مشكلات براي آنها شوند. اين دسته از هكرها، به راحتي از هكرهاي كلاه سفيد قابل تشخيص هستند.

كلاه خاكستري ها: اينها هكرهايي هستند كه بسته به شرايط، ممكن است بصورت دفاعي يا مخرب عمل كنند. يعني ممكن است هم به نيت خوب از دانش خود استفاده كنند و هم به نيت شوم .

سیاست یا خط مشی امنیت اطلاعاتInformation Security Policy

سیاست یا خط مشی امنیتی یک سند است که برنامه سازمان برای حفاظت از دارایی های فیزیکی شرکت و دارایی های اطلاعاتی و سیستم اطلاعاتی را مشخص می کند که شامل باید ها و نباید ها و در حقیقت شیوه رفتار سازمانی در حوزه امنیت اطلاعات می باشد.

این سیاست ها اساس برنامه ریزی، طراحی و استقرار امنیت اطلاعات است و باید بتواند مسیری را برای رسیدگی به مسائل ترسیم نموده و استفاده از بهترین تکنولوژی ها را پیشنهاد دهد. این سیاست ها کیفیت نرم افزار یا کارایی تجهیزات را تعیین نموده که به استانداردهای امنیتی، رویه ها و شیوه های عملکرد منجر خواهد شد.

انواع سیاست های امنیت اطلاعات Information Security policy types

۱ – سیاست های امنیت اطلاعات سازمانی Enterprise Information Security Policy EISP

در سیاست های امنیت اطلاعات سازمانی ، پشتیبانی و هدایت مستقیم به مأموریت، چشم انداز و هدایت سازمان انجام شده و همین سیاست امنیتی عمومی است که جهت گیری استراتژیک و حوزه امنیت اطلاعات در سازمان را تعیین می نماید. سیاست امنیتی تمام تلاش های امنیتی را بررسی و هدایت می کند. از سوی دیگر، EISP همچنین جهت توسعه، اجرا و مدیریت برنامه امنیتی را مورد استفاده قرار گرفته و شرایطی را که باید با چارچوب امنیت اطلاعات تامین شود، تعیین می کند.

۲ – سیاست های امنیتی خاص Issue-specific Security Policies ISSP

سياست امنيتي خاص موضوع راهنمايي مفصل و با جزئیات مربوط به استفاده از يک فرآيند، سيستم يا تکنولوژي خاص را ارائه ميدهد؛ ایمیل، اینترنت و سیستم های کامپیوتری از مصادیق می باشند.

در ISSP دامنه و عملکرد سیاست امنیتی تست شده است. فن آوری هایی که باید مورد استفاده قرار گیرند مشخص می شود. مجوز دسترسی کاربر، حفاظت از حریم شخصی، استفاده عادلانه و مسئولانه از فن آوری مورد توجه قرار گرفته است. اغلب کاربران از استفاده از اطلاعات به نحوی که می توانند به دیگران آسیب برساند ممنوع است.

۳ – سیاست های امنیتی خاص سیستم System-specific Security Policies SysSP

سیاست های امنیتی خاص سیستم ارائه راهنمایی های دقیق و هدفمند، استفاده از یک فرایند خاص، تکنولوژی یا سیستم اطلاعاتی را ارائه می دهد.

SysSP اغلب شامل استانداردها و رویه هایی است که در هنگام نگهداری سیستم ها اجرا می شود. این سیاست امنیتی همچنین برای رسیدگی به پیاده سازی و پیکربندی تکنولوژی و همچنین رفتار پرسنل استفاده می شود.

طرح اجرایی امنیت اطلاعات Information Security Blueprint

نقشه ها برنامه های دقیق یا برنامه های اجرایی هستند. پس از آنکه سازمان سیاست های و استانداردهای امنیت اطلاعات را توسعه داد، بخش امنیت اطلاعات برنامه ای را برای برنامه امنیت اطلاعات توسعه می دهد. بخش امنیت اطلاعات تمام دارایی های اطلاعاتی را لیست کرده و تهدیدات و خطرات سازمان را اولویت بندی می نماید و تحلیل ارزیابی ریسک انجام می شود. این ارزیابی ها منجر به برای طراحی طرح امنیتی برای سازمان خواهد شد .

این طرح امنیتی به عنوان پایه ای برای طراحی، انتخاب و اجرای تمامی عناصر برنامه های امنیتی شامل اجرای سیاست امنیتی، مدیریت سیاست امنیتی مستمر ، برنامه های مدیریت ریسک، برنامه های آموزش امنیت به پرسنل، کنترل تکنولوژیکی و نگهداری برنامه های امنیتی خواهد بود.

مکانیزم های امنیتی Security mechanisms

  • رمزنگاری Cryptography

تبدیل داده ها به شکلی ناخوانا با کمک انواع محاسبات و الگوریتم های ریاضیات و امکان بازیابی داده ها با یک الگوریتم.

  • امضای دیجیتال : Digital signature

فراهم نمودن امکان اثبات صحت منبع برای گیرنده با کمک داده های اضافی یا به نوعی با منسوب کردن داده رمزنگاری شده به پیام ؛ برای قالب پروتکل ها از امضاهای دیجیتالی استفاده می شود.

  • کنترل دسترسی Access control

تقسیم اطلاعات به رده های مختلف عادی ، محرمانه ، سری و فوق سری.

تعیین میزان دسترسی هر کاربر

کنترل سیستمی میزان دسترسی هر کاربر پس از احراز اصالت

انواع دسترسی ها :

خواندنی ، نوشتنی ، هر دو و یا هیچ کدام

  • صحت داده Data integrity

شامل سازو کارهایی برای اطمینان از صحت یک واحد یا جریانی از داده ها

تبادل تصدیق اصالت :

مکانیزمی برای تصدیق هویت یک موجودیت با کمک تبادل اطلاعات

هكرها عموماً حدود ۹۰% از زمان را براي جمع آوري اطلاعات بر روي هدف و ۱۰% ديگر را بر روي انجام حمله صرف مي كند.

مهندسي اجتماعي Social engineering

مهندسی اجتماعی

مهندسي اجتماعي، روشي است غير فني براي شكستن امنيت سيستم يا شبكه است. فرآيند گول زدن كاربران يك سيستم و تحريك آنها براي دادن اطلاعاتي كه براي دور زدن مكانيزم هاي امنيتي استفاده مي شود. دانستن مهندسي اجتماعي بسيار مهم است براي اينكه هكر مي تواند از آن براي حمله به عنصر انساني سيستم استفاده كند. اين روش ميتواند براي جمع آوري اطلاعات قبل از حمله استفاده شود.

مهندسي اجتماعي، استفاده از ترغيب و تحريك براي گول زدن كاربران به منظور دستيابي به اطلاعات يا تشويق قرباني براي انجام برخي عمليات است. معمولا يك مهندس اجتماع، از تلفن يا اينترنت براي گول زدن كاربر و گرفتن اطلاعات حساس يا تحريك آنها براي انجام كارهايي كه سياست امنيتي سازمان را به خطر بياندازد استفاده مي كند. در اين روش، مهندسان اجتماعي، به جاي سوء استفاده از حفره هاي امنيتي كامپيوتر، از گرايشات و تمايلات طبيعي افراد براي ايجاد اعتماد، سو استفاده مي كنند. كاربران، ضعيف ترين لينك هاي امنيتي هستند. اين اصل، دليل انجام مهندسي اجتماعي است.

خطرناك ترين بخش مهندسي اجتماعي آن است كه شركت هايي كه فرآيندهاي احراز هويت، فايروال ،VPN، و نرم افزار مانيتورينگ شبكه دارند، هنوز مستعد حمله هستند براي اينكه مهندسي اجتماعي، معيارهاي امنيتي را بطور مستقيم مورد حمله قرار نمي دهد بلكه آن را دور مي زند .

افراد، ضعيف ترين لينك در زنجيره امنيتي هستند و بهترين روش براي مقابله با حمله مهندسي اجتماعي ،داشتن سياست مناسب و آموزش پرسنل است. برای سازمان، مهندسي اجتماعي، سخت ترين نوع حمله است براي اينكه سازمان نمي تواند تنها با استفاده از نرم افزار و سخت افزار از بروز آن جلوگيري كند.

مهندسی اجتماعی هنر هک کردن انسان هاست .

این مقاله به انگلیسی

نوشته اصطلاحات و تعاریف امنیت اطلاعات – دانشنامه (دایرة المعارف) امنیت اطلاعات اولین بار در آموزش مهارت وب، آموزش حرفه ای طراحی و برنامه نویسی وب پدیدار شد.

دیدگاه کاربران انتشار یافته : 0 - در انتظار بررسی : 4
    • دیدگاه ارسال شده توسط شما ، پس از تایید توسط مدیران سایت منتشر خواهد شد.
    • دیدگاهی که به غیر از زبان فارسی یا غیر مرتبط با مطلب باشد منتشر نخواهد شد.