موضوع :امنیت فناوری اطلاعات
مقدمه:
با گسترش روز افزون کاربردهای فناوری اطلاعات ،موضوع تهدیدات امنیتی وچگونگی مقابله با آن ها اهمیت فوق العاده ای یافته است.
استفاده از شبکه های رایانه ای با وسعت زیاد برای تبادل اطلاعات مهم بین نقاط مختلف جهان ، در کنار مزایای بسیاری که دارد،عرصه گسترده برای سوء استفاده پدید اورده است
بنابراین یکی از مباحث مهم در فناوری اطلاعات ،امنیت آن است
فناوری اطلاعات
فناوری هایی که در خدمت ذخیره سازی ،پردازش ،انتقال و مدیریت اطلاعات است
امنیت فناوری اطلاعات
استفاده ایمن از این فناوری واطمینان از وجود محیطی عاری از هرگونه تهدید
امنیت فناوری اطلاعات
امنیت رایانه
امنیت ارتباطات
امنیت رایانه :
نگهداری از منابع اطلاعاتی در مقابل استفاده غیر مجاز وهمچنین حفاظت از اطلاعات در مقابل صدمات عمدی یا غیر عمدی ،افشا یا تغییر است
امنیت ارتباطات
حفاظت از اطلاعات طی انتقال بین سیستم های رایانه ای و شبکه هاست
نفوذگران:
نفوذ گران افرادی هستند ک با میل و اهداف گوناگون،شبکه های رایانه ای را هدف قرار می دهند
اطلاعات ارزشمند یک مرکز ممکن است افرادی را برای سرقت و فروش ان وسوسه کند
افرادی نیز به منظور شناسایی ویژگی های امنیتی سیستم های رایانه ای و ارزیابی نقاط ضعف نفوذ می کنند
رقبای اقتصادی برای دزدیدن اطلاعات و یا از کار انداختن شبکه ممکن است نفوذ کنند
عده ای ممکن است به خاطر تفریح و سرگرمی و یا امراض روانی و کسب شهرت به شبکه ها نفوذ کنند
برای تروریست ها وآن هایی که قصد دارند امنیت ملی کشورها را خدشه دار کنند
نفوذگران اطلاعات ان هارا تغییر می دهند و مطالبی را جایگزین میکنند تا شخصیت سیاسی ان ها آسیب ببیند
سیاسی
تروریستی
کسب درآمد
شناسایی
امنیتی
رقابت
اقتصادی
سرگرمی
اهداف حمله به شبکه های رایانه ای
دسته بندی نفوذگران از حیث رفتاری
هکر
کراکر
واکر
1.هکر
شخصی که در زمینه برنامه نویسی و شبکه های رایانه ای مهارت زیادی دارد
به منظور شناسایی ویژگی های امنیتی سیستم های رایانه ای ، در آن رخنه می کند،اما نقش تخریبی ندارد
2.کراکر
کسی است که برای بهره برداری غیر مجاز،سرقت و یا تخریب اطلاعات به سیستم های رایانه ای نفوذ می کند
3.واکر
به نفوذگر مزاحمی می گویند که مانند کراکرها در پی خراب کاری یا سرقت اطلاعات نیست
دسته بندی نفوذگران از حیث شخصیتی
نفوذگران که تنها هدفشان سرگرمی و شهرت است برای اینکه وقت خود را پر کنند و به شهرت دست یابند
خراب کارانی که هدفشان آسیب رسانی به سیستم هاست ،آن ها مشکلات بزرگی به بار می اورند ،اما خوشبختانه تعدادشان کم است
برخی نفوذگران، کارمندان اخراجی هستند که به سیستم سازمان دستیابی داشته اند و برای نفوذ اطلاعات مفیدی دارند
خیلی از افرادی که به رایانه ها نفوذ می کنند،همه اطلاعات را نمی دزدند،بلکه اطلاعاتی را می ربایند که قابل تبدیل به پول است
رخ دادن خیلی از حوادث به علت نفوذ دیگران نیست .بخاطر اشتباهات کاربران است آنها کاری را که نباید انجام می دهند.
سطح مهارت نفوذگران
متوسط
پیشرفته
بی تجربه
باهوش هستند پیچیده ترین روش نفوذ و حمله را ابداع میکنند هیچ ردی از خود جا نمیگذارند به برنامه نویسی مسلط اند
با علاقه شخصی به این فنون اشنا شده اند .به سرور و ftp حمله میکنند.نقاط ضعف سیستم را کشف میکنند و به آن سیستم نفوذ می کنند ولی ابزار جدید نمی توانند خلق کنند
این نفوذگران جوان ،بی تجربه ،ماجراجو هستند به صورت تقلیدی از ابزارهای نفوذگری استفاده می کنند
تهدیدات امنیتی
هر عملی که امنیت اطلاعات را به مخاطره افکند ،تهدید امنیتی محسوب می شود
تهدیدات غیرفعال
تهدیدات فعال
تهدیدات غیرفعال
اطلاعات به صورت غیرمجاز دریافت می شوند و تغییرا مانند حذف و تکرار در آنها مشاهده نمی شود.
با توجه به شکل :اطلاعات از منبع به مقصد منتقل می شوند و مزاحم به شیوه غیرفعال سیستم را تهدید می کند
S
D
منبع اطلاعات
Source
مقصد اطلاعات
Sink
مزاحم غیرفعال
Passive Intruder
اطلاعات
تهدیدات فعال
با حذف ،اضافه،تکرار و به طور کلی تغییر در اطلاعات ارسالی همراه هستند در این نوع تهدید موضوع بررسی اعتبار یا صحت پیام مهم است
D
S
اطلاعات صحیح (معتبر)
مقصد
منبع
مزاحم فعال
اطلاعات غیرمعتبر
I
جلوگیری از تهدیدات با استفاده از رمزگذار پیغام
با توجه به شکل :پیام mاز طریق رمز کننده مورد نظر و با کلید k رمز می شود و نتیجه آن متن رمز شده c خواهد بود که در سمت گیرنده با عملیات معکوس و با داشتن همان کلید رمز گشایی انجام می شود
منبع
اطلاعات
رمز کننده
EK
محیط امن
محیط
ناامن
رمز گشا
DK
گیرنده
اطلاعات
منبع کلید
m
c
m
دشمن
حملات یا تهدیدات در یک طبقه بندی جزئی به صورت زیر می باشد
الف) استراق سمع: خواندن غیرمجاز پیغام هایی که برای عناصر دیگری ارسال شده اند.
ب) تغییر قیافه: ارسال یا دریافت پیغام ها در لباس یا هویت عنصر دیگری.
ج) مداخله در پیغام: دستکاری پیغامی که برای دیگران ارسال شده است.
د) ارسال مجدد: استفاده از پیغام های قبلی و ارسال مجدد آن برای نیل به امتیازات کاذب.
ه) نفوذ: استفاده نادرست از یک مجوز برای نیل به مقاصد عناد آمیز.
و) تحلیل ترافیک: تحلیل حجم اطلاعات ارسالی در مسیر و بهره برداری از نتایج آن برای کارهای غیر مجاز.
ز) انکار یا تکذیب سرویس: جلوگیری از دسترسی به خدمات مجاز برای عناصر مجاز.
فرایند توسعه امنیت
به منظور ایجاد و توسعه روش های امنیتی برای مقابله با خطرات ممکن در یک سیستم یا سازمان لازم است مراحل زیر طی شوند
تحلیل خطرات
سیاست های امنیتی
خدمات امنیتی
مکانیزم های امنیتی
پروتکل های امنیتی
الگوریتم های رمزنگاری
1.تحلیل خطرات
فرایند توسعه عملکرد امنیتی یک سیستم همیشه با تحلیل حملات محتمل و اسیب پذیری آن سیستم آغاز می شود. تحلیل خطر (ریسک)،رابطه بین خطر آفرینی یک تهدید،امکان وقوع وتکرار آن (احتمال)و هزینعه ایجاد مکانیزم های محافظتی در قبال آن را بررسی می کند
با توجه به جدول:عدد1 حداقل هزینه عدد9 حداکثر هزینه می باشد.سطوح خطر یا ریسک بدین ترتیب مشخص می شود وکل فرآیند را مدیریت خطر می گویند .
احتمال وقوع تهدید
میزان خطر آفرینی
بندرت
گاه و بی گاه
اغلب
تا حدودی جدی
جدی
خیلی جدی
1
4
7
2
5
8
3
6
9
2.3.تدوین سیاست ها و خدمات امنیتی
با توجه به نتایج تحلیل ریسک سیاست های امنیتی تعیین می شود
سیاست های امنیتی مبادله ای منطقی بین خطرات و منابع موجود انجام می دهند و در بر گیرنده وظایفی هستند که آنها را خدمات امنیتی می نامند
خدمات امنیتی به وسیله مکانیزم های امنیتی محقق می شوند که مبتنی بر الگوریتم های رمزنگاری و پروتکل های امنیتی هستند
سه مولفه اصلی امنیت
صحت
محرمانگی
قابلیت
دسترسی
سازمان بین المللی استاندارد ISOخدمات پنج گانه امنیت را به صورت زیر تعریف می کند
احراز هویت: بیانگر اصالت موثق بودن هویت یک عنصر است.
کنترل دستیابی: اطمینان از این که فقط دسترسی عناصر مجاز به منابع حفاظت شده میسر است.
محرمانگی داده: اطمینان از آن که فقط عناصر مجاز قادر به فهم اطلاعات حفاظت شده هستند.
یکپارچگی یا اصالت داده: اطمینان از اینکه هیچ تغییری در اطلاعات توسط عناصر غیر مجاز انجام نمی شود
عدم انکار: اطمینان از انکه عناصر نمی توانند عملیات اجرایی خود را انکار کنند
4.تعیین مکانیزم های امنیتی
بعد از سیاست های امنیتی و شناسایی خدمات امنیتی نوبت به تعیین مکانیزم های امنیتی است
مکانیزم های امنیتی می توانند به صورت خاص یا عمومی باشند
مکانیز های امنیتی شامل وارد زیر است
مکانیزم های رمزگذاری
مکانیزم های امضای دیجیتالی
مکانیزم های کنترل دستیابی
مکانیزم های صحت داده
مکانیزم های تبادل احراز هویت
مکانیزم های پوشش ترافیک
مکانیزم های کنترل مسیر یابی
مکانیزم های تایید توسط عامل سوم
ارزیابی امنیتی
نظارت دائمی بر فعالیت های امنیتی در یک سیستم سازمان که تبعیت از سیاست های امنیتی را کنترل می کند نتایج چنین ارزیابی پیامد ارزیابی امنیتی نامیده می شود
با تشکر از توجه شما