بررسی امنیت فناوری اطلاعات 212 صفحه + doc

مفهوم امنیت در دنیای واقعی مفهومی حیاتی و كاملاً شناخته شده برای بشر بوده و هست در دوران ماقبل تاریخ، امنیت مفهومی كاملاً فیزیكی را شامل می شد كه عبارت بود از اصول حفظ بقا نظیر امنیت در برابر حمله دیگران یا حیوانات و نیز امنیت تامین غذا بتدریج نیازهای دیگری چون امنیت در برابر حوادث طبیعی یا بیماریها و در اختیار داشتن مكانی برای زندگی و استراحت بدو

فرمت فایل: doc

تعداد صفحات: 212

حجم فایل: 162 کیلو بایت

قسمتی از محتوای فایل و توضیحات:

عنوان پروژه

امنیت فناوری اطلاعات

پیشگفتار

مفهوم امنیت در دنیای واقعی مفهومی حیاتی و كاملاً شناخته شده برای بشر بوده و هست. در دوران ماقبل تاریخ، امنیت مفهومی كاملاً فیزیكی را شامل می شد كه عبارت بود از اصول حفظ بقا نظیر امنیت در برابر حمله دیگران یا حیوانات و نیز امنیت تامین غذا. بتدریج نیازهای دیگری چون امنیت در برابر حوادث طبیعی یا بیماریها و در اختیار داشتن مكانی برای زندگی و استراحت بدون مواجهه با خطر به نیازهای پیشین بشر افزوده شد. با پیشرفت تمدن و شكل گیری جوامع، محدوده امنیت ابعاد بسیار گسترده تری یافت و با تفكیك حوزه اموال و حقوق شخصی افراد از یكدیگر و از اموال عمومی، و همچنین تعریف قلمروهای ملی و بین المللی، بتدریج مفاهیم وسیعی مانند حریم خصوصی، امنیت اجتماعی، امنیت مالی، امنیت سیاسی، امنیت ملی و امنیت اقتصادی را نیز شامل گردید. این مفاهیم گرچه دیگر كاملاً محدود به نیازهای فیزیكی بشر نمی شدند، ولی عمدتاً تحقق و دستیبابی به آنها مستلزم وجود و یا استفاده از محیط های واقعی و فیزیكی بود.

لیكن جهان در دهه های اخیر و بویژه در پنج سال گذشته عرصه تحولات چشمیگری بوده كه بسیاری ا زمناسبات و معادلات پیشین را بطور اساسی دستخوش تغیر نموده است. این تحولات كه با محوریت كاربری وسیع از فناوری اطلاعات و ارتباطات امكانپذیر شده، از كاربرد رایانه به عنوان ابزار خودكارسازی (AUTOMATION) و افزایش بهره وری آغاز گردیده و اكنون با تكامل كاربری آن در ایجاد فضای هم افزایی مشاركتی (COLLABORATION) ، عملاً زندگی فردی و اجتماعی بشر را دگرگون ساخته است. به باور بسیاری از صاحب نظران همانگونه كه پیدایش خط و كتابت آنچنان تاثیر شگرفی بر سرنوشت انسان برجای گذاشته كه مورخین را بر آن داشته تا داستان زندگی بشر بر این كره خاكی را به دوران ماقبل تاریخ تقسیم نمایند، ورود به فضای مجازی حاصل از فناوری نوین اطلاعات و ارتباطات نیز دوره جدیدی از تمدن بشری را رقم زده، به نحوی كه انقلاب عصر اطلاعات شیوه اندیشه، تولید، مصرف، تجارت، مدیریت، ارتباط، جنگ و حتی دینداری و عشق ورزی را دگرگون ساخته است.

این تحول بزرگ الزامات و تبعات فراوانی را به همراه داشته كه از مهمترین آنها بوجود آمدن مفاهیم نوین امنیت مجازی یا امنیت در فضای سایبر می باشد. با تغییری كه در اطلاق عبارت شبكه رایانه ای از یك شبكه كوچك كار گروهی به شبكه ای گسترده و جهانی (اینترنت) واقع گردیده، و با توجه به رشد روز افزون تعاملات و تبادلاتی كه روی شبكه های رایانه ای صورت می پذیرد، نیاز به نظام های حفاظت و امنیت الكترونیكی جهت ضمانت مبادلات و ایجاد تعهد قانونی برای طرفهای دخیل در مبادله بسیار حیاتی است. نظام هایی مشتمل بر قوانین ،‌روشهای، استانداردها و ابزارهایی كه حتی از عقود متداول و روشهای سنتی تعهدآورتر بوده و ضمناً امنیت و خصوصی بودن اطلاعات حساس مبادله شده را بیش از پیش تضمین نمایند.

امنیت اطلاعات در محیط های مجازی همواره بعنوان یكی از زیرساختها و الزامات اساسی در كاربری توسعه ای و فراگیر از ICT مورد تاكید قرار گرفته است. گرچه امنیت مطلق چه در محیط واقعی و چه در فضای مجازی دست نیافتنی است، ولی ایجاد سطحی از امنیت كه به اندازه كافی و متناسب با نیازها و سرمایه گذاری انجام شده باشد تقریباً در تمامی شرایط محیطی امكانپذیر است. تنها با فراهم بودن چنین سطح مطلوبی است كه اشخاص حقیقی، سازمانها،‌ شركتهای خصوصی و ارگانهای دولتی ضمن اعتماد و اطمنیان به طرفهای گوناگونی كه همگی در یك تبادل الكترونیكی دخیل هستند و احتمالاً هیچگاه یكدیگر را ندیده و نمی شناسند، ‌نقش مورد انتظار خود بعنوان گره ای موثر از این شبكه متعامل و هم افزا را ایفا خواهند نمود.

فهرست مطالب

عنوان صفحه

پیشگفتار …………………………………………………………………………………………………………….

2

خلاصه اجرایی ……………………………………………………………………………………………………

5

بخش اول

مقدمه ……………………………………………………………………………………………………………….

9

فصل 1: امنیت اطلاعات چیست؟………………………………………………………………………….

10

فصل 2: انواع حملات ………………………………………………………………………………………..

26

فصل 3: سرویس های امنیت اطلاعات ………………………………………………………………….

42

فصل 4 : سیاست گذاری ……………………………………………………………………………………..

55

فصل 5: روند بهینه در امینت اطلاعات …………………………………………………………………..

91

نتیجه گیری …………………………………………………………………………………………………………

114

بخش دوم

فصل 1: امنیت رایانه و داده ها ………………………………………………………………………………

119

فصل 2: امنیت سیستم عامل و نرم افزارهای كاربردی ………………………………………………

140

فصل 3: نرم افزارهای مخرب ………………………………………………………………………………

150

فصل 4: امنیت خدمات شبكه ………………………………………………………………………………

163

نتیجه گیری ………………………………………………………………………………………………………

191

پیوست آشنایی با كد و رمزگذاری ………………………………………………………………………..

193

منابع ………………………………………………………………………………………………………………….

204

خلاصه اجرایی

راهنمای امنیت فناروی اطلاعات، راهنمایی كاربردی جهت فهم و اجرای گامهای دستیابی به امنیت در كاربردهای حوزه فناوری اطلاعات در منزل و محل كار شما است. گرچه این پروژه بهترین و نوین ترین راهكارها را در زمینه فناوری اطلاعات ارائه می دهد، اما در اصل بری خوانندگان كشورهای در حال توسعه نوشته شده است. این پروژه علاوه بر ارائه خلاصه ای از تهدیدات فیزیكی و الكترونیكی موجود در حوزه امنیت فناوری اطلاعات، به راهكارهای مدیریتی ، محیط های ضابطه مند و الگوهای مشاركت سازماندهی همكار می پردازد كه در حال حاضر در بازارهای، دولتهای، موسسات حرفه ای و سازمانهای بین المللی وجود دارند.

سازگارسازی فناوری اطلاعات و ارتباطات در حال افزایش است

این پروژه در ابتدا مروری بر رشد بخش فناوری اطلاعات و ارتباطات (ICT) دارد. این رشد و ارتقا كاربران عادی ICT را در بر میگیرد و از افزایش تعداد شبكه های خانگی و رشد سازمانهای كوچك و متوسط (SMES) كه برای پشتیبانی از بازارهایی كه به شدت به توسعه فناوری و بكارگیری آن در سراسر جهان وابسته اند كتكی به منابع رایانه ای می باشند- می توان به آن پی برد.

اطلاعات موجود از سوابق فعالیتهای

تامین امنیت فناوری اطلاعات

از آنجا كه توسعه بازار محصولات و خدمات فناوری در دو سطح فردی و سازمانی چشمگیر است، اطلاع از مباحث امنیت فناوری اطلاعات بسیار مفید و مهم می باشد. ممكن است كاربران فردی در مورد خطراتی كه هنگام استفاده از اینترنت متوجه آنها است مطلع نباشند . اگر كاربران خطرات شبكه های حفاظت نشده را تشخیص دهند، باز هم ممكن است یادگیری در مورد دیواره های آتش، ویروس یابها، رمزگذاری و نگهداری قاعده مند از اطلاعات را به دلیل هزینه و وقتی كه از آنها می گیرد و تغییری كه در رفتار رایانه ای آنها ایجاد می كند به تعویق بیاندازند. علاوه بر این سازمانهای كوچك و متوسط ممكن است از یك راه حل فنی نظیر دیواره آتش استفاده نمایند و به طبقه بندی سطوح امنیت توجهی نداشته باشند و ندانند كه بدون توجه به آن، امنیت سیستم به شدت دچار مخاطره است. همچنین ممكن است به دلایل مختلف ایمن ساختن سیستمهای خود را به تاخیر بیاندازند و در تدوین سیاستهای شفاف امنیتی برای كاربران و مدیران نیز كوتاهی كنند. اگر ارتباطات، آگاهی و آموزش مناسب در سازمان وجود نداشته باشد، تبهكاران ممكن است به آسانی حفاظهای فنی را پشت سر بگذارند.

فناوری در یك محیط متغیر

دستگاههای سیار، نرم افزارهای رایج كاربردی، و تهدیدهای كه موجب ایجاد پیچیدگی می شوند.

در حال حاضر كاربران جدید و غیر متخصص تنها علت نقض امنیت فناوری اطلاعات نیستند. محیط فناوری اطلاعات و ارتباطات با پیدایش محصولات جدید خصوصاً دستگاههای سیار (مانند رایانه های كیفی، تلفنهای همراه و PDAها) كه چالشهای متفاوتی را در زیرساخت و امنیت داده ها ایجاد می كنند بسرعت رو به تغییر می باشد. پیدایش برنامه های كاربردی رایانه ای برای سرمایه گذاری الكترونیكی و تجارت الكترونیك نیز موجب بروز پیچیدگی های در محیط های شبكه ای شده اند.

از هنگام ظهور دستگاههای خودپرداز گرفته تا زمان رواج بانكداری اینترنتی ، این قابلیتها موجب صرفه جویی مناسب در هزینه ها می شوند، اما تهدیدات و خطرات بالقوه ای نیز به همراه دارند.

آنچه كه اوضاع را بدتر می كند این است كه اكنون نفوذگران قادر به توسعه و گسترش تهدیدات خود می باشند: مثل تركیبی از ویروسها،‌ كرمها و تراواهایی كه می تواند آسیبهای شدیدتری را به این سیستمها و داده ها وارد كند. این صدمات حتی می توانند از بعضی نرم افزارهای مخرب (بدافزارها) نیز خطرناكتر باشند. از آنجا كه تمامی این پیشرفتها كاربران فناوری را در سطح جهانی تحت تاثیر قرار می دهند، بهترین روشهای مقابله با تهدیدات ناشی از آنها تنها از طریق همكاری بین المللی حاصل می شود.

همكاری بین المللی و امنیت در كشورهای در حال توسعه

امنیت فناوری اطلاعات در كشورهای در حال توسعه از اهمیت شایانی برخوردار است. واضح است كه اینترنت فرصتهایی طلایی برای تجارت و ارتباطات فراهم آورده كه حدود ده سال قبل حتی تصور آنها مشكل بود. البته دسترسی به اینترنت همیشه هم ارزان نیست. اینترنت كاربران را قادر می سازد تا نگاهی به گستره وسیعی از موضوعات داشته باشند و با استفاده از آن ارتباط مردم از طریق پست الكترونیكی بسیار كارآمدتر از خدمات پستی سنتی شده است. اینترنت بر اصول تجارت بین المللی نیز تأثیر گذاشته است،‌بازارهای كشورهای در حال توسعه اكنون می توانند كالاهای خود را بصورت برخط بفروشند. اگر چه هنوز تعداد رقبا در بازار بسیار زیاد است، اما مشتریان می توانند به سادگی تواناییها و محصولات شركتهای رقیب را ببینند و برای انجام این كار نیازی به اطلاعات وسیع در این زمینه ندارند. از آنجا كه دسترسی به بازارهای آنسوی مرزهای جغرافیایی برای هر سیستم اقتصادی بسیار جذاب است، همكاری گسترده ای برای جا افتادن مدل یك نظام شبكه ای كارآمد و جهانی لازم است.

بخش اول

امنیت اطلاعات

مقدمه

اولین گام در ارائه یك استراتژی صحیح امنیتی این است كه مفهوم «كاربرد صحیح» رایانه های شخصی و «حفاظت» از آنها مشخص شود. اگر شما نیز بدنبال همین مسئله هستید، اطمینان حاصل كنید كه:

  • داده ها و برنامه هایتان تنها در صورتی تغییر میكنند یا پاك می شوند كه شما چنین خواسته ای داشته باشید.
  • برنامه های رایانه بگونه ای كه طراح یا برنامه نویس آنرا تعیین كرده عمل می كنند (مگر عیب و نقصهای نرم افزاری، كه وجود آنها رد برنامه ها ناخواسته است).
  • هیچكس نمی تواند بدون اجازه شما از داده ها، رایانه و شبكه شما استفاده كند.
  • رایانه بطور ناخواسته فایلهای آلوده به ویروس را منتشر نمی كند.
  • كسی قادر به مشاهده تغییراتی كه رد رایانه ایجاد می كنید نیست.
  • كسی توانایی دستیابی به داده های شما، چه در شبكه های بی سیم و چه در شبكه های سیمی را ندارد.
  • روی سیستمها و یا پایگاه های وبی كه به آنها دسترسی دارید كسی قادر به سرقت نام كاربری و رمز عبور نیست.
  • چنانچه شماره كارت اعتباری و یا اطلاعات مربوط به حساب بانكی خود را از طریق شبكه اینترنت وارد كنید، داده های مربوطه از امنیت كامل برخوردار خواهند بود (مسلماً شما بر آنچه كه در سوی دیگر شبكه ارتباطی رخ می دهد كنترلی نخواهید داشت).

فصل اول

امنیت اطلاعات چیست؟

امنیت اطلاعات نمی تواند ایمنی را صد در صد سازماندهی اطلاعاتی سیستم كامپیوتری شما ضمانت نماید. به عبارت دیگر امنیت اطلاعات قادر به نگهداری اطلاعات شما نیست. هیچ سحر و جادویی را نمی توان یافت تا امنیت كاملی برای اطلاعات ایجاد نمود. مفاهیم موجود در امنیت اطلاعات، علم نظامی و فنی هم نیست كه واضح و آشكار باشد.

در واقع امنیت اطلاعات نوعی طرز فكر است. طرز فكری كه در آن انواع تهدیدهای ممكن و راههای ضربه زدن به سازماندهی اطلاعاتی بررسی می شود و مدیریت مناسبی برای آن پیشنهاد می گردد. شاید به تعداد زیادی از تولید كنندگان برخورد كرده باشید كه هر یك ادعا می كنند محصول تولیدی آنها بهترین راه حل برای رفع مشكلات امنیتی است .

در این فصل سعی بر آن است تا مسائل مربوط به امنیت اطلاعات تشریح گردد و در نهایت استراتژی مدیریتی مناسبی برای سازماندهی اطلاعاتی پیشنهاد گردد.

تعریف امنیت اطلاعات

بنا بر فرهنگ Merrian- Webster (كه به صورت زنده در آدرس www.m-w.com موجود است) كلمه «اطلاعات» بصورت زیر تعریف شده است:

اطلاعات دانشی است كه از طریق تحقیق، مطالعه، آموزش، فهم مطلب، اخبار، حقایق، دیتا، سیگنال یا كاركتری كه حاوی دیتا باشد ( مانند سیستمهای مخابراتی یا كامپیوتری)، چیزی كه نحوه ایجاد تغییرات در یك ساختار را بیان می كند (مانند طرح یا تئوری) و چیزهایی از این قبیل بدست آمده باشد.

در همین فرهنگ نامه امنیت بصورت زیر تعریف شده است :

رهایی از خطر ، وجود ایمنی ، رهایی از ترس یا نگرانی

اگر دو كلمه فوق را در كنار هم قرار دهیم ، به تعریفی از «امنیت اطلاعات» بصورت زیر خواهیم رسید:

امنیت اطلاعات میزان اجازه و اختیاری است كه استفاده از یك سرویس ، عدم استفاده از آن، و مقدار ایجاد اصلاحات توسط آن تعریف می شود و جلوگیری از بكارگیری دانش، حقایق ، دیتا یا قابلیت ها را باعث می شود .این تعریف حوزه وسیعی را شامل می شود كه دانش ، حقایق ، دیتا یا قابلیت ها در برابر اتفاقات بد محافظت شود. علاوه بر این در تعریف فوق محدودیتی روی شكل اطلاعات قرار ندادیم بطوریكه می تواند بصورت دانش یا قابلیت های یك سیستم باشد.

اما تعریفی كه از امنیت شبكه ارائه شد ضمانتی روی حفاظت از اطلاعات ندارد . زیرا اگر بزرگترین قلعه نظامی دنیا بسازیم باز هم یك نفر پیدا خواهد شد كه با ابزار جنگی قوی تر و بزرگتری آن قلعه را فتح خواهد كرد.

امنیت اطلاعات نامی است كه به اقدامات پیشگرانه اطلاق می شود بطوریكه این اقدامات قادر است از اطلاعات و قابلیت هایمان نگهبانی نماید. بدین ترتیب می توانیم اطلاعات را در برابر حملات خارجی و بهره برداری های غیر مجاز محافظت نماییم.

تاریخچه مختصری از امنیت

امنیت اطلاعات در طول زمان و بتدریج سیر تكاملی خود را پیموده است بطوریكه این روند تكاملی از رشد تكنولوژی و مسائل اجتماعی متأثر بوده است . فهمیدن روند رشد امنیت اطلاعات در این جهت مهم است كه می توانیم احتیاجات خود را بهتر درك كرده و مطابق نیازهای روز آنرا ایجاد نمائیم . علاوه بر دانستن تاریخچه امنیت اطلاعات ، باید بر جنبه های مختلف آن نیز اشراف داشت بدین ترتیب اشتباهاتی كه افراد قبل از ما انجام داده اند تكرار نخواهد شد . در ادا مه به این موارد خواهیم پرداخت .

امنیت فیزیكی

از جهت تاریخی می توان گفت اولین شكل اطلاعاتی كه بشر آنها را نگهداری می كرد به صورت فیزیكی بودند بطوریكه در ابتدا آنها را روی سنگ و بعداً روی كاغذ ثبت می كرد. ( بسیاری از كتابهای راهنمای تاریخی در مكان امن و مناسبی قرار نداشته اند تا اطلاعات حیاتی آنها در امان بماند . به همین دلیل امروزه اطلاعات بسیار كمی درباره علم كیمیا وجود دارد. علاوه بر این كسانی كه اطلاعات مهم در اختیار داشتند آنرا فقط در برخی شاگردان خاص خود قرار می دارند چنانكه ضرب المثلی معروف میگوید دانش همان قدرت است . شاید این روش بهترین روش باشد . یك ضرب المثل معروف می گوید: رازی كه بیش از یكنفر آنرا بداند دیگر راز نیست ). بهر حال برای محافظت از این سرمایه ها امنیت فیزیكی بصورت دیوار ، خندق و نگهبان بكار می رفت.

برای ارسال این نوع اطلاعات از یك پیام رسان استفاده می شد كه اغلب نگهبانی هم او را همراهی می كرد. خطر موجود در این حالت كاملاً فیزیكی است چون راهی وجود ندارد كه بدون بدست آوردن آن شئ اطلاعاتش را بدست آورد. در اكثر موارد سرمایه موجود به سرقت می رفت ( این سرمایه پول یا اطلاعات مكتوب بود ) و مالك اصلی آنرا از دست می داد.

امنیت مخابراتی

متأسفانه امنیت فیزیكی دارای نقص عمده ا ی است و آن اینكه اگر هنگام جابجایی اطلاعات، پیام به سرقت رود اطلاعات آن قابل استفاده و یادگیری برای دشمن خواهد بود . این نقیصه توسط ژولیس سزار شناسایی شده بود. راه حل این نقص در امنیت مخابراتی است. ژولیس سزار برای رفع این مشكل رمز سزار را ایجاد كرد. این نوع رمز باعث میشد تا اطلاعات در حال انتقال حتی اگر به سرقت برود توسط كسی قابل خواندن و استفاده نباشد .

این مسئله در جنگ جهانی دوم ادامه پیدا كرد. آلمانی ها از ماشینی به نام Enigma استفاده كردند كه پیام های ارسالی به واحدهای نظامی توسط آن رمز میشد. آلمانی ها ادعا می كردند اگر از ماشین Enigmaبدرستی استفاده شود نمی توان قفل آنرا شكست . اما استفاده درست از آن كار بسیار سختی بود، به همین دلیل برخی اپراتورها هنگام استفاده از این ماشین دچار اشتباه می شدند و در نتیجه طرف مقابل قادر بود برخی پیامها را بخواند ( بعد از آنكه مقادیر قابل توجهی از منابع رمز این ماشین بدست آمد مشكل خواندن پیام های آن نیز حل شد).

ارتباطات نظامی برای ارسال پیام به واحدها و مكان های نظامی از كلمات كد استفاده می نمایند. ژاپن در طول جنگ از كلمات كدی استفاده می كرد كه درك درست پیام ها را برای آمریكایی ها ، حتی اگر كدها را كشف می كردند بسیار مشكل می ساخت . زمانیكه جنگ به نبرد Midway كشیده شد، كد شكن های آمریكایی سعی می كردند هدف ژاپنی ها پیدا كنند. این هدف در پیام های ژاپنی ها بصورت ” AF ” دیده می شد. سرانجام آمریكایی كاری می كردند تا Midway عمداً پیامی درباره كمبود آب ارسال نماید. ژاپنی ها مجبور شدند در پاسخ و یك پیام كد ارسال كنند. در پیام كد شده معلوم گردیده كه AF مخفف آب است . از انجام كه آمریكایی ها پیام ژاپنی ها را خواندند لذا قادر بودند كه بفهمند AF در واقع همان Midway است.

پیام ها تنها نوع ترافیكی نبود كه كد می شدند . واحدهای ارتش آمریكا از یك زبان محلی استفاده می كردند تا دشمن نتواند به پیام های مخابره شده گوش كند . این افراد محلی برای ارسال پیام ها استفاده می كردند به همین دلیل اگر دشمن به این پیام ها گوش می داد نمی توانست از آن چیزی بفهمد.

بعد از جنگ جهانی دوم جاسوسان اتحاد جماهیر شوروی برای ارسال اطلاعات از یك سیستم خاص استفاده می كرد كه one- time pads ( الگوی یكبار مصرف) نام داشت. این سیستم در واقع از چند صفحه كاغذ ادبی تشكیل شده بود كه هر صفحه از آن دارای یك عدد تصادفی بود. هر صفحه فقط و فقط برای یك پیام بكار می رفت . چنانچه از این روش رمز نگاری بدرستی استفاده می شد، غیر قابل شكست بود اما در اینجا هم اشتباهات انسان باعث شد تا برخی از پیام ها قابل رمز گشایی شود.

امنیت تشعشع

صرف نظر از اشتباهاتی كه باعث لو رفتن یك پیام رمز شده می شود، استفاده از یك رمز كننده خوب باعث می شود كه شكستن آن رمز بسیار مشكل گردد. به همین دلیل تلاش ها به سمت دیگری معطوف گردید تا بوسیله آن بتوان اطلاعات رمز شده برای ارسال را به چنگ آورد. در سال1950 كشف گردید اگر سیگنالهای الكتریكی كه از طریق خطوط تلفن عبور می كنند تحت نظر قرار گیرند می توان به پیام اصلی دست پیدا كرد.

تمام سیستم های الكترونیكی از خود تشعشع الكترونیكی صادر می كنند. این پدیده در دستگاه تله تایپ و دستگاه رمز كننده ای كه برای ارسال پیام های رمز شده بكار می رود نیز وجود دارد .

وظیفه دستگاه رمز كننده این است كه سر راه پیام قرار داده شود و پس از رمز نمودن پیام، آنرا روی خط تلفن ارسال كند. اما نكته جالب این است كه سیگنالهای الكتریكی كه پیام اصلی و رمز نشده را در خود دارند بدلیل تشعشع ، اندكی روی خط تلفن دیده می شود. در واقع اگر از تجهیزات خوبی استفاده شود می توان پیام را از روی خط تلفن بازیابی كرد.

این مشكل ایالات متحده آمریكا را بر آن داشت تا برنامه ای به نام TEMPTEST ایجاد كند. وظیفه این برنامه ایجاد استاندارد های تشعشع الكتریكی برای سیستم های كامپیوتری است كه در محیطهای بسیار حساس استفاده می شوند . نتیجه این بود كه با كاهش تشعشعات ، امكان به سرقت رفتن اطلاعات كاش یافت .

امنیت كامپیوتری

اگر از سیستم تله تایپ برای ارسال پیام استفاده شود، كافی است برای محافظت پیام امنیت مخابراتی و امنیت تشعشع رعایت شود. اما با ورود كامپیوتر به عرصه زندگی انسان چشم اندازهای جدیدی در نحوه ذخیره و ارسال اطلاعات ایجاد گردید و فرمت های جدیدی برای سیگنالهای الكتریكی حاوی پیام ابداع گردید . با گذشت زمان استفاده از كامپیوتر آسانتر شد و مردمان بیشتری امكان استفاده و برقراری ارتباط دو طرفه با آنرا پیدا كردند. بدین ترتیب اطلاعات موجود روی سیستم كامپیوتر ی برای هر كسی ك بتواند از این وسیله استفاده كند قابل استفاده می شود.

در سال 1970 دو نفر به نامهای Leonard La Padula و Davd Bel مدلی برای عملكرد ایمن كامپیوتر ابداع كردند. این مدل بر اساس یك مفهوم حكومتی بنا شده است كه در آن اطلاعات بصورت طبقه بندی شده وبا سطوح مختلف قرار می گیرد و مجوزهایی با سطوح مختلف برای استفاده از اطلاعات وجود دارد . ( در این سیستم اطلاعات به چهار فرم طبقه بندی نشده ، محرمانه ، سری و بسیار سری تقسیم بندی می شود) . بدین ترتیب اگر كسی یا سیستمی دارای مجوزی باشد كه سطح آن از سطح طبقه بندی اطلاعات بالاتر باشد می تواند به آن فایل دسترسی پیدا كند.

مدل فوق اساس استاندارد 28/5200 در آمریكا گردید كه به نام TCSEC شناخته می شود (البته به نام كتاب نارنجی هم شناخته می شود). كتاب نارنجی سیستم های كامپیوتری را بر طبق معیار زیر تعریف می كند :

حداقل محافظت ( و یا خارج از محدوده ) D

محافظت امنیتی از روی احتیاط C1

محافظت بصورت دسترسی كنترل شده C2

محافظت امنیتی طبقه بندی B1

محافظت ساختار یافته B2

حوزه های امنیتی B3

طراحی بازبینی A1

برای هر یك از تقسیم بندی های فوق كتاب نارنجی وظایف خاصی را به عنوان پیش نیاز معین كرده است تا اطمینان و ضمانت لازم حاصل شود. بنابراین برای آنكه سیستمی به سطح خاصی از اطمینان برسد و مورد تصدیق قرار گیرد باید این وظایف و خصوصیات را بدرستی رعایت نماید.

فراهم كردن ملزومات سیستمی كاملاً امن و مطمئن ، نیاز به دقت بسیار و هزینه بالا دارد. به همین دلیل سیستم های كمی وجود دارند كه از تقسیم بندیC2 بالاتر باشند (تاكنون فقط یك سیستم توانسته به A1 برسد و آن سیستم Honeywel Scomp است. معیار های دیگری كه وجود دارند سعی كردهاند وظایف یك سیستم را از اطمینان و ضمانت آن جدا نمایند. برای نمونه می توان به German Green Book در سال 1989، Canadian Criterid در سال 1990 ، CISE یا Criteria Information Security Evaluation در سال 1991 و بلاخره Federal Criteria در سال 1992 اشاره كرد. هر یك از این معیارها تلاش كرده اند برای امنیت بخشیدن به سیستم های كامپیوتری روشی را پیشنهاد دهند.

در آخر باید گفت سیستم های كامپیوتری به سرعت به طرف برنا مه های تضمین شده و مطمئن در حركتند . این حركت آنقدر سریع است كه قبل از آنكه نسخه های قدیمی سیستم عامل و سخت افزار كامپیوتر بتواند مورد تائید واقع شوند، نسخه های جدید به بازار می آید.

امنیت شبكه

از جمله مشكلات موجود در هنگام ارزیابی معیار های امنیت كامپیوتری فقدان درك مفهوم شبكه بود. هنگامی كه كامپیوترها به هم شبكه شدند مفاهیم جدیدی از امنیت هم پدیدار شد و مفاهیم قبلی امنیت دیگر مفید نبود. به عنوان مثال هنگام استفاده از مخابرات، شبكه ای محلی وجود دارد و نه یك شبكه گسترده، علاوه بر این در یك شبكه كامپیوتری از سرعت های بالاتری استفاده می شود و تعداد زیادی ارتباط از طریق یك واسطه ایجاد می شود. در این حالت استفاده از یك رمز كننده خاص به هیچ عنوان جوابگوی نیاز امنیتی نمی باشد. علاوه بر این مسئله تشعشع الكتریكی از سیم هایی كه در یك اتاق یا ساختمان كامپیوترها را به هم شبكه كرده است نیز وجود دارد و سرانجام این كه در یك شبكه كامپیوتری كاربرانی وجود دارند كه از سیستم های بسیار متنوع به سیستم ما دسترسی دارند بدون اینكه توسط یك كامپیوتر واحد، كنترل مركزی روی آنها اعمال گردد.

در كتاب نارنجی به مفهوم كامپیوتر های شبكه شده اشاره ای نشده است . به عبارت دیگر دسترسی از طریق شبكه قادر است اعتبار كتاب نارنجی را زیر سؤال ببرد. جواب این مشكل در كتاب آورده شده است كه به شرح شبكه امن در TCSEC می پردازد و به TNI یا كتاب قرمز معروف است. مفاد كتاب قرمز در سال 1987 تنظیم شده است . كتاب قرمز تمام نیازهایی كه كتاب نارنجی به آن اشاره كرده است را در خود دارد و علاوه برآن سعی كرده است به محیط شبكه ای كامپیوترها هم بپردازد . متأسفانه كتاب قرمز بیشتر به مسائل وظیفه ای پرداخته است به همین دلیل سیستم های كمی توانسته اند تحت TNI یا كتاب قرمز ارزیابی گردند كه البته هیچكدام از آنها به موفقیت تجاری نرسیدند.

امنیت اطلاعات

به نظر شما تاریخچه ای كه تا اینجا از امنیت ارائه شد ما را به چه چیز راهنمایی می كند ؟ از این تاریخچه معلوم می شود هیچ یك از انواع امنیتی كه به آن اشاره شد به تنهایی قادر نیستند مشكلات امنیتی ما را حل نماید. امنیت فیزیكی خوب زمانی نیاز است كه بخواهیم سرمایه ای مانند كاغذ یا یك سیستم ثبت اطلاعات را محافظت كنیم. امنیت مخابراتی برای محافظت اطلاعات به هنگام ارسال آنها مفید است . امنیت تشعشع زمانی مفید است كه دشمن بتواند با استفاده از منابع كافی كه در اختیار دارد تشعشعات الكتریكی حاصل از سیستم كامپیوتری را بخواند . امنیت كامپیوتری برای كنترل دسترسی دیگران به سیستم های كامپیوتری نیاز است و بلاخره امنیت شبكه برای امنیت شبكه محلی نیاز است .

جمع بندی تمام مفاهیم فوق و استفاده از تمام آنها در كنار هم، امنیت اطلاعات را تحقق می بخشد.

هر آنچه ما انجام می دهیم نمی تواند نوعی پروسه اعتبار بخشی به سیستم های كامپیوتری باشد. تكنولوژی به سرعت در حال پیشرفت است و بسیاری ا ز این پروسه ها را پشت سر می گذارند. اخیراً آزمایشگاه بیمه گر امنیتی پیشنهاد شده است . در این آزمایشگاه میزان امنیت انواع محصولات موجود مورد ارزیابی قرار گرفته و تصدیق می‌شود . اگر محصولی نتواند گواهی لازم را كسب كند در آن صورت كاربر، تولید كننده آن محصول را بی دقت خواهد دید چون ممكن است سایت یا اطلاعات كاربر در معرض تهاجم قرار گیرد . متأسفانه این ایده دو مشكل دارد:

  • تكنولوژی با سرعت رو به جلو در حركت است و در نتیجه دلیل چندانی وجود ندارد چنین آزمایشگاهی شانس بهتری برای گواهی كردن محصولات داشته باشد. چون ممكن است قبل از تصدیق یك محصول نسخه جدیدتر آن وارد بازار گردد.
  • ثابت كردن این مسئله كه برخی چیزها امن و مطمئن هستند، اگر غیر ممكن نباشد بسیار سخت است . شما به سادگی تحت تاثیر گواهی چنین آزمایشگاهی به یك حصول اعتماد می كنید و آنرا غیر قابل نفوذ خواهید پنداشت در حالیكه یك پیشرفت جدید و یك توسعه جدیدتر می تواند تمامی گواهی های امروز را بی اعتبار كند.

در حالیكه صنایع در حال جستجو برای یك جواب نهایی هستند ، ما سعی می كنیم تا امنیت را به بهترین حالتی كه بتوانیم پیاده كنیم . این كار از طریق ممارست و پشتكار دائم حاصل می شود.

امنیت یك پروسه است ، نه یك محصول خاص

برای محافظت از اطلاعات سازمان نمی توان به نوع خاصی از امنیت اكتفا كرد. به همین طریق نمی توان به یك محصول اعتماد كرد و انتظار داشت كه تمام احتیاجات امنیتی برای كامپیوترها و سیستم های شبكه ای را فراهم كند . متأسفانه برخی از فروشندگان محصولات امنیتی برای كسب

درآمد و جلب مشتری ادعا می كنند كه محصول كاملی را ارائه كرده اند، اما حقیقت امر آن است كه هیچ محصولی نمی تواند به تنهایی امنیت سازمان را تأمین نماید. برای آنكه از سرمایه های اطلاعاتی سازمان بطور كامل محافظت شود به تعداد زیادی از این محصولات و انواع گوناگونی از آن نیاز می باشد. در چند پاراگراف بعد خواهیم دید چرا چند محصول برجسته و معروف امنیتی نمی توانند به تنهایی راه حل نهایی و كاملی باشند.

نرم افزار ضد ویروس

نرم افزار ضد ویروس بخش لازمی از یك برنامه خوب امنیتی می باشد. با نصب و تنظیم درست نرم افزار ضد ویروس می توان حملات وارده به سازمان را كاهش داد. اما برنامه های ضد ویروس فقط قادرند با برنامه های نرم افزاری بدخواهانه مقابله كنند (هر چند با همه آنها هم نمی توانند).

چنین برنامه ای قادر نیست در برابر مزاحمی كه قصد سوء استفاده از برنامه های مجاز یك سازمان را دارد از یك سازمان محافظت كند. علاوه بر این نرم افزار ضد ویروس نمی تواند سازمان را در برابر كسی كه قصد دارد به فایل های آن سازمان دسترسی پیدا كند ( در حالیكه چنین اجازه ای ندارد) محافظت نماید.

كنترل دسترسی

هر سیستم متعلق به سازمان باید قادر باشد دسترسی به فایل ها را بر اساس نوع ID كه به كاربر داده شده است محدود نماید چنانچه این سیستم بطور صحیح پیكر بندی شود قادر خواهد بود تا دسترسی كاربران مجاز را محدود نماید و بدین ترتیب روی دسترسی كاربران كنترل داشته باشد . با استفاده از كنترل دسترسی ، كسی كه ا ز یك سیستم آسیب پذیر قصد دسترسی به فایل های سیستم را دارد

نمی تواند مدیر سیستم آن فایل ها را مشاهده كند. حتی سیستم كنترل دسترسی كه اجازه پیكره بندی كنترل دسترسی روی سیستم را صادر می كند نمی تواند این فایل ها را مشاهده كند. بنابراین در چنین سیستمی ، مهاجم سعی میكند تا به عنوان یك كاربر مجاز از نوع مدیر به سیستم نگاه كند تا مجوز دسترسی به فایل را بدست آورد .

دیوار آتش، Firewall

دیوار آتش نوعی ابزار كنترل دسترسی به شبكه است، بطوریكه می تواند شبكه داخلی سازمان را در برابر حملات خارجی محافظت كند. با توجه به ماهیت دیوار آتش، این ابزار از نوع تولیدات امنیت حاشیه ای می باشد، معنای این جمله آن است كه بین شبكه داخلی و شبكه خارجی حاشیه اطمینان قرار داده می شود. با پیكر بندی صحیح ، دیوار آتش توانسته است به یكی از ابزارهای لازم امنیتی تبدیل شود. اما دیوار آتش نمی تواند در برابر مهاجمی كه دارای مجوز اتصال به شبكه است محافظتی به عمل آورد. برای مثال چنانچه یك سرور وب مجاز به برقراری تماس از خارج شبكه باشد و چنانچه آن سرور در برابر حمله نرم افزاری دیگری آسیب پذیر باشد، در آن صورت دیوار آتش به این نرم افزار مهاجم اجازه كار خواهد داد. علاوه بر این دیوار آتش نمی تواند در برابر كاربر داخلی سازمان محافظتی به عمل آورد، چون این كاربر از قبل در داخل شبكه قرار داشته است.

كارت های هوشمند

به رسمیت شناختن یك نفر را می توان با تركیبی ا ز آنچه آن شخص می داند، آن چیزی كه آن شخص دارد یا بر پایه آنچه كه هست انجام داد. یكی از روش های اعتبار سنجی افراد كه سابقه زیادی هم دارد استفاده از كلمه عبور یا Password است تا با استفاده از آن هویت افراد برای كامپیوتر تعیین گردد. این نوع اعتبار سنجی بر پایه آن چیزی كه شخص می داند انجام می گیرد . اما با گذشت زمان معلوم گردید اعتبار سنجی بر پایه آنچه یك شخص می داند روش چندان مطمئنی نیست چون ممكن است كلمه عبور توسط افراد دیگر كشف گردد یا هنگام تایپ لو برود. برای مقابله با این مشكل، امنیت به سمت روش های دیگر اعتبار سنجی حركت كرد بطوریكه این كار بر پایه آنچه یك شخص دارد و آنطوری كه آن شخص هست انجام می شود.

از كارت های هوشمند می توان برای اعتبار سنجی استفاده كرد ( اعتبار سنجی بر پایه چیزی كه شخص دارد ) و خطر لو رفتن كلمه عبور را كاهش داد. اما اگر آن كارت به سرقت رود یا مفقود گردد یك نفر دیگر می تواند با كتمان هویت اصلی خود و با استفاده از كارت هوشمند ، به عنوان فردی مجاز وارد شبكه گردد. به عبارت دیگر هنگامیكه كاربری از مسیر درست و با استفاده از كارت هوشمند وارد شبكه میشود، سیستم قادر نخواهد بود خود را در برابر حمله او محافظت كند.

بیومتری

بیومتری یكی ا ز روش های اعتبار سنجی است (بر پایه آن چیزی كه یك شخص هست) و می تواند خطر لو رفتن كلمه عبور تا حد زیادی كاهش دهد. برای آنكه روش بیومتری بتواند همانند دیگر روش های قدرتمند اعتبار سنجی كار كند باید دسترسی به این سیستم از طریق روش ورود مناسبی انجام گیرد . اگر مهاجم روشی برای پیشدستی كردن بر روش بیومتری پیدا كند، این روش نخواه د توانست امنیت سیستم را تأمین كند.

تشخیص ورود غیر مجاز

سیستم تشخیص ورود غیر مجاز یكی از محصولاتی است كه ادعا می كند مشكلات امنیتی را بطور كامل حل می كند. در این سیستم نیازی به محافظت فایل و سیستم نمی باشد بلكه در این سیستم وقتی یكنفر وارد سیستم می شود و قصد دارد كار خطایی را انجام دهد از ادامه كار ا و جلوگیری می شود. در واقع برخی از سیستم های تشخیص ورود غیر مجاز كه توانسته اند بازاری بدست آورند دارای این قابلیت هستند كه قبل از آنكه مهاجم بتواند كاری انجام دهد او را متوقف می سازند. هیچ یك از سیستمهای تشخیص ورود غیر مجاز كاملاً ایده آل نیستند لذا نمی توان آنرا یك برنامه امنیتی خوب تعریف كرد. علاوه بر این چنین سیستمی قادر به تشخیص كاربران مجازی كه احتمالاًً دسترسی نادرست به اطلاعات دارند نمی باشد.

مدیریت سیاسی

در یك برنامه خوب امنیتی ، سیاست و رویه ای كه در پیش گرفته شده است جزء مهمی می باشد و مدیریت سیستم كامپیوتری اهمیت زیادی دارد. با استفاده از مدیریت سیاسی، سازمان مقتدر خواهد بود خود را از سیستم های دیگر كه خط مشی متفاوتی دارند دور نگه دارد. اما توجه كنید كه از مدیریت استفاده كرد و هریك از این موارد می تواند باعث نفوذ موفق دشمن گردد. علاوه براین برای كاربرانی كه كلمه عبور خود را در اختیار افراد غیر مجاز قرار می دهند یا به طریقی كلمه عبور آنها لو می رود نمی توان از این سیستم استفاده كرد.

جستجوی راه های نفوذ

یكی از بخشهای مهم یك برنامه امنیتی خوب آن است كه به دنبال را های نفوذ در سیستم كامپیوتری خود باشد و آنها را بیابد. به كمك این جستجو سازمان می تواند پتانسیل های موجود برای ورود مزاحمین را پیدا كند البته ین سیستم به تنهایی قادر به حفاظت سیستم كامپیوتری شما نخواهد بود و باید بعد از یافتن را ه های نفوذ آنها را مسدود كرد. یكی از نقائص این روش آن است كه كاربران مجازی كه دسترسی نادرست به اطلاعات دارند را كشف نمی كند و همچنین مزاحمینی كه از قبل وارد سیستم شده اند را نمی تواند پیدا كند.

رمزنگاری

رمزنگاری از جمله اولین مكانیزمهای امنیت مخابراتی می با شد و قطعاً اطلاعات را به هنگام ارسال محافظت می كند برای محافظت اطلاعاتی كه به صورت فایل ذخیره می شوند نیز می توان از سیستم رمز نگاری استفاده كرد. البته كاربران مجاز باید قادر به دسترسی به این فایل ها باشند. چنانچه كلید استفاده شده در الگوریتم رمزنگاری در اختیار افراد قرار گیرد، سیستم رمزنگاری نمی تواند تفاوتی میان افراد مجاز و افراد غیر مجاز قائل شود. بنابراین رمزنگاری به تنهایی نمی تواند امنیت لازم را فراهم كند و باید روی كلید رمزنگاری كنترل دقیقی اعمال شود.

مكانیزم های امنیت فیزیكی

امنیت فیزیكی یكی از طبقه بندی های محصولات امنیتی می باشد و می تواند محافظت كاملی برای سیستم های كامپیوتری و اطلاعات فرا هم كند. این سیستم را می توان با هزینه نسبتاً ارزان ایجاد كرد. بدین ترتیب كه حفره ای به عمق ده متر ایجاد گردد، تمام سیستم ها و اطلاعات مهم در آن قرار داده شوند و پس از آن روی حفره با بتون پوشانده شود. بدین ترتیب سیستم و اطلاعات در امان خواهد ماند و هیچ كس قادر به دسترسی نخواهد بود. اما این كار راه حل معقولی برای مشكلات امنیتی نمی باشد چون برای آنكه سازمان وظایف خود را انجام دهد لازم است پرسنل آن سازمان به كامپیوترها و اطلاعاتش دسترسی داشته باشند. از طرفی سیستم امنیت فیزیكی كه روی مكان قرار گیری اطلاعات اعمال كردیم باعث خواهد شد فقط مقدار كمی از مردم به آن دسترسی داشته باشند و در نتیجه بحث شبكه كردن سیستم منتفی خواهد شد. علاوه بر این امنیت فیزیكی قادر نخواهد بود سیستم را در برابر حملات افرادی كه به ظاهر دارای مجوز دسترسی می باشند حفظ كند.

فصل دوم

انـــواع حمـــلات

راههای زیادی وجود دارد تا برای اطلاعات و سیستم های كامپیوتری سازمان اتفاقات ناگوار رخ دهد. برخی از این اتفاقات از روی عناد و بدخواهی صورت می گیرند و برخی هم بطور تصادفی حادث می شوند. طرف نظر از نوع اتفاق، آنچه مهم است از بین رفتن اطلاعات و خساراتی است كه به سازمان وارد می آید. به همین دلیل تمام این اتفاقات را حمله نامیده و كاری به عمدی یا غیر عمدی بودن آن نداریم. در این راستا حملات را به چهار دسته اساسی تقسیم می كنیم:

  • دسترسی (accessattacks)
  • دستكاری (modification attacks)
  • جلوگیری از سرویس دهی (denial-of-serveice attacks)
  • انكار (repudication attacks)

هر یك از موارد فوق در بخش های بعد به تفصیل مورد بررسی قرار خواهد گرفت.

حملات وارده به یك سازمان از طریق ابزارهای تكنیكی (همانند راه های نفوذ سیستم كامپیوتری) یا از طریق مهندسی اجتماعی می باشد. منظور از مهندسی اجتماعی استفاده از ابزارهای غیر تكنیكی برای رسیدن به دسترسی غیر مجاز می باشد. به عنوان مثال فردی را در نظر بگیرید كه از طریق خط تلفن یا قدم زدن وارد سازمانی می شود و چنان وانمود می كند كه واقعاً عضو آن مجموعه است. حملاتی كه از طریق مهندسی اجتماعی صورت می گیرد بسیار مخرب و زیان آور می باشد.

حمله به اطلاعاتی كه دارای فرم الكتریكی هستند دارای خاصیت جالبی است و آن اینكه می توان این اطلاعات را كپی كرد در حالیكه ظاهراً چیزی به سرقت نرفته است به عبارت دیگر مهاجم می تواند غیر مجاز به اطلاعات دسترسی پیدا كند در حالیكه مالك اصلی آن اطلاعات چیزی را از دست نداده است. پس از آن مالك اصلی هر دو طرف خواهند بود. نیم خواهیم بگوییم در این حالت خساراتی وارد نشده است. كشف این حمله بسیار مشكل است چرا كه مالك اصلی از اطلاعات بی بهره نشده است تا حمله را تشخیص دهد.

حمله برای دسترسی

منظور از حمله برای دسترسی تلاشی است كه مهاجم برا یدست یافتن به اطلاعاتی كه نباید مشاهده كند انجام میدهد. این حمله ممكن است به اطلاعات ثابت در یك محل یا اطلاعات در حال انتقال صورت پذیرد. این نوع حمله برای بدست آوردن اطلاعات محرمانه انجام می گیرد. این حمله بصورتهایی كه رد ادامه توضیح داده شده است انجام میشود.

جاسوسی

منظور از جاسوسی، جستجو در بین فایل های اطلاعاتی است به امید آنكه مطلب جالب توجهی در بین آنها پیدا شود. اگر اطلاعات بر روی كاغذ ثبت شده باشد، جاسوس مجبور است رد بین تمام پرونده ها و كمدها بایگانی جستجو كند. چنانچه اطلاعات بصورت فایل های كامپیوتری باشد جاسوس مجبور است فایلها را یكی پس از دیگری باز كند تا به اطلاعات مورد نظر دست پیدا كند.

استراق سمع

زمانیكه فردی به یك مكالمه گوش می دهد رد حالیكه جزء افراد مكالمه نیست استراق سمع كرده است . برای آنكه مهاجم بتواند بطور غیر مجاز به اطلاعات دیت یابد خود را در مكانی قرار می دهد كه اطلاعات مورد علاقه اش از آن مكان عبور می كند. این مورد بیشتر بصورت الكترونیكی انجام می شود.

حائل شدن

برخلاف استراق سمع حائل شدن حمله ای فعال در مقابل اطلاعات است. زمانیكه مهاجم در برابر اطلاعات حائل می شود، خود را در مسیر عبور اطلاعات قرار داده و قبل از رسیدن اطلاعات به مقصد آنها را بر می دارد. پس از آنكه مهاجم از محتوای اطلاعات آگاه شد و آنها را بررسی نمود، شاید دوباره اجازه دهد اطلاعات مسیر خود را ادامه دهند و شاید هم این كار را نكند.

حمله برای دسترسی چگونه انجام می گیرد؟

حمله جهت دسترسی دارای شكلهای متفاوتی است . شكل حمله بستگی به این دارد كه اطلاعات روی كاغذ ثبت شده باشد یا بطور الكترونیكی در سیستم كامپیوتری قرار گرفته باشد. در ادامه در مورد هر یك توضیح داده شده است.

اطلاعات روی كاغذ

چنانچه اطلاعات مورد نظر مهاجم بصورت فیزیكی و بر روی كاغذ قرار داشته باشد، كاغذها و اطلاعات روی آنها را در مكانهایی شبیه موارد زیر پیدا خواهد شد:

  • كمدهای بایگانی
  • داخل كشوی میز
  • ماشین فاكس
  • دستگاه چاپگر
  • داخل سطل آشغال

برای آنكه مهاجم بتواند مكان های فوق را جستجو كند باید از لحاظ فیزیكی به آنها دسترسی داشته باشد. چنانچه این شخص یكی از پرسنل سازمان باشد احتمالاً به اتاقهای آن سازمان و كمدهای بایگانی دسترسی خواهد داشت البته اگر كشوی میزها قفل نباشد. ماشین فاكس و چاپگر در مكان هایی قرار دارند كه بیشتر افراد سازمان بتوانند از آن استفاده كنند و بسیار اتفاق می افتد. اشغال های آن در خارج ساختمان قرار داده می شود تا پس از ساعت اداری تخلیه شوند.

ممكن است برخی اعمال احتیاطی از بیل قفل كردن كمدهای بایگانی و كشوی میزها تا حد زیادی از موفقیت مهاجم كم كند، اما او به جستجوی خود در وقت نهار ادامه می دهد تا كمدهای قفل نشده را پیدا كند. علاوه بر این كمدهای بایگانی و كشوی میزها دارای قفل ساده ای هستند كه براحتی قابل باز كردن می باشد. برای دستیابی به اطلاعات ثبت شده فیزیكی به دسترسی فیزیكی نیاز است.

استفاده از امنیت خوب در سایت می تواند دسترسی افراد خارجی به اطلاعات فیزیكی را محدود كند اما این روش در برابر پرسنل همان سازمان نمی تواند محافظتی انجام دهد.

اطلاعات الكترونیكی

اطلاعات الكترونیكی در مكان های زیر ذخیره می شوند:

  • روی سرور
  • داخل كامپیوتر
  • روی فلاپی دیسك
  • روی CD-ROM
  • روی نوارهای بك آپ

دسترسی به برخی از موارد فوق (مانند فلاپی دسك، CD-ROM ، نوارهای بك آپ و كامپیوتر همراه) با سرقت آنها میسر است. ممكن است اینكار نسبت به دسترسی الكترونیكی در یك سازمان آسانتر باشد.

چنانچه فایل های مورد نظر مهاجم در سیستمی باشد كه او هم اجازه دسترسی به آنها داشته باشد می تواند فایل ها را باز كند . چنانچه كنترل اجازه دسترسی بدرستی انجام شود، به یك فرد غیر مجاز نباید اجازه دسترسی داده شود. استفاده از سیستم درست اكانت، بسیاری جستجوهای عمدی را ناموفق خواهد كرد. در عوض فرد مهاجم هم سعی می كند اكانت خود را ارتقا دهد بطوریكه بتواند فایل را مشاهده كرده و كنترل دسترسی را كاهش دهد. سیستم هایی كه اجازه می دهند این عمل بطور موفقیت آمیز انجام شود، آسیب پذیری سیستم بسیار بالا خواهد بود. با استفاده از استراق سمع، اطلاعات رد حال انتقال قابل دستیابی خواهند بود. در یك شبكه محلی مهاجم با نصب sniffer‌ روی كامپیوتری كه به شبكه محلی متصل شده است این كار را انجام می دهد. Sniffer یك كامپیوتر است و بگونه ای پیكربندی شده است كه تمام ترافیك روی شبكه را دریافت كند (در حالت عادی كامپیوتری كه در شبكه قرار دارد فقط ترافیكی را در یافت می كند كه به آدرس خودش ارسال شده باشد.) مهاجم پس از آنكه بتواند امتیاز خود را ارتقا دهد و سیستمش را به شبكه متصل كند، sniffer را نصب خواهد كرد.

اگر چه sniffer بگونه ای قابل پیكر بندی است كه بتواند تمام ترافیك شبكه را دریافت كند اما اكثر آنها فقط شناسه كاربر و كلمه عبور را از شبكه می گیرند.

در شبكه های گسترده یا WAN هم استراق سمع قابل انجام است اما این استراق سمع نیاز به تجهیزات گسترده و دانش قوی تری دارد. بهترین محل برای استراق سمع در WAN، جعبه های سیم بندی است. حتی از خطوط فیبرنوری هم استراق سمع انجام پذیر است. برای نمونه برداری از اطلاعات موجود روی خطوط فیبرنوری امكانات بسیار خاصی نیاز است و مهاجم های عادی معمولاً چنین امكاناتی در اختیار ندارند.

استفاده از روش حائل شدن برای دسترسی به اطلاعات، یكی از انتخاب های مشكل برای مهاجم است چون برای رسیدن به موفقیت مجبور است خود را بین مسیر ارتباطی گیرنده و فرستنده اطلاعات قرار دهد. برای انجام این عمل در اینترنت، مهاجم نام خود را عوض می كند و بدین ترتیب نام كامپیوتر به یك آدرس نادرست تخصیص داده می شود. پس از آن ترافیك ارسالی بجای آنكه به سوی مقصد برود برای مهاجم ارسال می شود اگر مهاجم بتواند سیستم خود را بدرستی پیكربندی كند، كامپیوتر ارسال كننده اطلاعات به هیچ وجه نخواهد فهمید كه با مقصد غیر واقعی در حال صحبت است.

علاوه بر این ممكن است مهاجم عمل حائل شدن را روی پروسه ای كه از قبل در حال انجام است، پیاده كند. استفاده از این روش برای ترافیك های دو طرفه (با تعاملی) مانند telnet بهترین نوع حمله می باشد. در اینگونه موارد مهاجم در همان بخشی از شبكه قرار می گیرد كه به عنوان سرور (سرویس دهنده) یا كلانیت (سرویس گیرنده) شناخته می شود. در این حالت مهاجl به كاربر مجاز فرصت می دهد كار خود را با سرور آغاز كند و پس از آن از نرم افزار خاصی استفاده می كند و از آن پس از ارتباط ایجاد شده استفاده كند. این نوع حمله باعث می شود تا امتیاز و مجوز مهاجم همانند مجوز كاربر باشد.

حمله برای دستكاری اطلاعات

در این نوع حمله، مهاجم سعی می كند اطلاعاتی را تغییر دهد كه مجاز به تغییر آنها نیست. این حمله ممكن است در هر جایی كه اطلاعات ثبت شده است انجام پذیرد و یا اینكه روی اطلاعات در حال انتقال انجام شود. این نوع حمله باعث می شود صحت و تمامیت اطلاعات از بین برود. انواع دستكاری هایی كه روی اطلاعات انجام می شود به ترتیب زیر است:

تعویض اطلاعات

از جمله روشهای دستكاری اطلاعات، تعویض اطلاعات موجود است، همانند مهاجمی كه حقوق و دستمزد پرسنل اداره را عوض كند. این اطلاعات از قبل در آن سازمان موجود بود، اما پس از حمله نادرست خواهد بود. این نوع حمله معمولاً روی اطلاعات حساس و اطلاعات عمومی انجام می شود.

داخل كردن اطلاعات

نوعی دیگری از حمله برای دستكاری، داخل كردن اطلاعات می باشد. با انجام چنین حمله ای، اطلاعاتی كه از قبل در سازمان وجود نداشته است به آن اضافه می شود. این نوع حمله روی اطلاعات تاریخی و یا سوابق یا اطلاعاتی كه قرار است بر مبنای آنها كاری انجام گیرد اعمال می شود. برای مثال مهاجمی را در نظر بگیرید كه معامله ای صوری را به اطلاعات یك بانك اضافه می كند و بدین ترتیب از حساب یك مشتری به حساب خودش پول واریز می كند.

حذف اطلاعات

این نوع حمله برای پاك كردن اطلاعات موجود بكار می رود و مانند بخش قبل روی اطلاعات تاریخی، سوابق یا اطلاعاتی كه قرار است بر مبنای آنها كاری انجام گیرد اعمال می شود. برای مثال مهاجمی را در نظر بگیرید كه معامله انجام شده ای را از سیستم بانك پاك می كند و بدین ترتیب پول در حساب خودش باقی خواهد ماند.

حمله برای تغیر اطلاعات چگونه انجام می گیرد؟

براساس نوع دسترسی كه مهاجم در اختیار دارد، این نوع حمله علیه اطلاعات روی كاغذ یا اطلاعات به فرم الكترونیكی انجام میگیرد كه در ادامه هر یك را شرح می دهیم:

اطلاعات روی كاغذ

تغیر اطلاعات ثبت شده روی كاغذ طوریكه قابل كشف نباشد كار مشكلی است. برای امضای مجدد سندهایی كه دارای امضاء هستند (مانند سندهای قرارداد) نیاز به دقت و مهارت فوق العاده ای است. برای تغییر محتوای سند طولانی كه از تعداد زیادی صفحات كاغذی تشكیل شده است باید آن سند مجدداً گردآوری و تنظیم گردد.

افزودن اطلاعات یا حذف اطلاعات از یك سند دست نوشته كار بسیار سختی است چرا كه به لحاظ ترتیب و توالی مطالب سند، هر گوه تغییر به زودی كشف خواهد شد. به همین دلیل برای تغییر اطلاعات سندهای دست نوشته بهترین كار جایگزین كردن كل سند با سند دیگر می باشد. البته واضح است این نوع حمله نیاز به دسترسی فیزیكی به آن سند دارد.

اطلاعات الكترونیك

انجام تغییر روی اطلاعاتی كه دارای فرم الكترونیكی هستند به مراتب ساده تر از اطلاعاتی است كه روی كاغذ ثبت شده است. فرض كنید مهاجم به فایلی دسترسی داشته باشد، در این صورت انجام تغییرات نیاز به مهارت كمی دارد. چنانچه مجاز به دسترسی به آن فایل نباشد سعی می كند در ابتدا میزان دسترسی خود را به سیستم افزایش دهد یا نیاز به مجوز برای باز كردن فایل را از بین ببرد. بدین ترتیب مهاجم اول میزان آسیب پذیری سیستم را بررسی می كند و پس از افزایش سطح دسترسی خود، فایل را تغیر می دهد.

برای تعویض فایل های بانك اطلاعاتی و یا معاملات تجاری دقت زیادی لازم است. در برخی موارد معاملات به ترتیب شماره خورده اند و اضافه یا حذف كردن یك فایل بدون داشتن شماره ترتیب صحیح باعث می شود تا سیستم خطایی اعلام كند. در چنین حالتی مهاجم مجبور است تغییرات كلی تری در سیستم اعمال كند تا خود را در برابر كشف تغییرات محافظت كند. ایجاد تغییر روی اطلاعاتی كه در حال انتقال است كار سختی است. در این موارد بهترین راه آن است كه ابتدا یك حمله از نوع حائل شدن به سیستم انجام گیرد. سپس قبل از آنكه اطلاعات به طرف مقصد اصلی ارسال شود اطلاعات تغیر داده شود.

Dos : حمله جلوگیری از سرویس دهی

حمله برای جلوگیری از سرویس دهی باعث می شود كاربر مجاز نتواند از منابع موجود در سیستم، اطلاعات یا قابلیت های آن سیستم استفاده كند. اگر چه در این حمله كه به اختصار Dos گفته می شود، به مهاجم اجازه دسترسی و تغییر اطلاعات داده نمی شود، اما وی از سرویس دهی به دیگر كاربران مجاز جلوگیری می كند. انگیزه حمله Dos چیزی جز خرابكاری نیست و انواع آن بصورت زیر می باشد:

جلوگیری از دسترسی به اطلاعات

چنانچه حمله Dos روی اطلاعات سیستم انجام شود اطلاعات سیستم غیرقابل دسترسی می گردد. این نوع حمله بوسیله نابود كردن اطلاعات یا تغییر اطلاعات بفرمی كه غیر قابل استفاده گردد، انجام می گرد. روش دیگر این حمله آن است كه اطلاعات همچنان بدون تغییر می ماند اما در مكانی غیر قابل دسترسی قرار داده می شود.

جلوگیری از سرویس دهی به كاربردهای نرم افزاری

نوع دیگر حمله Dos آن است كه كاربردهای نرم افزاری كه اطلاعات را نمایش می دهند یا آنها را تغییر می دهند، هدف حمله قرار می گیرد. این حمله معمولاً به سیستم كامپیوتری انجام می گیرد كه آن كاربرد را اجرا می كند. چنانچه این كاربرد غیر قابل استفاده گردد، سازمان مذكور قادر به انجام وظایف خود از طریق آن كاربرد نخواهد بود.

جلوگیری از دسترس به سیستم

یكی از انواع حمله Dos آن است كه سیستم كامپیوتری از كار انداخته شود. این نوع حمله باعث خواهد شد سیستم بهمراه تمام نرم افزارهای كاربردی كه روی آن اجرا می شود و اطلاعاتی كه روی آن قرار داده شده است غیر قابل استفاده گردد.

جلوگیری از دسترسی به ارتباطات

حملات Dos بر روی ارتباطات سالهاست كه انجام می شود. این نوع حمله می تواند به روش های مختلف انجام شود: از قطع كردن سیم و مختل نمودن ارتباط رادیویی گرفته تا از كار انداختن یك شبكه با افزایش ترافیك شبكه. در این نوع حمله هدف اصلی همان واسطه ارتباطی است. در این حالت سیستم و اطلاعات موجود در آن آسیبی نمی بیند اما مختل شدن ارتباط، دسترسی به سیستم و اطلاعات آنرا غیر ممكن می سازد.

حملات Dos چگونه انجام می شود؟

اساساً حملات Dos، حمله ای به سیستم كامپیوتری و شبكه می باشد. در اینجا نمی خواهیم بگوییم كه حملات Dos بر ضد اطلاعات روی كاغذ انجام نمی گیرد، اما انجام این نوع حملات به جهان الكترونیك بسیار آسانتر است. در ادامه به بررسی هر یك از این موارد می پردازیم:

اطلاعات روی كاغذ

یكی از موارد مورد توجه در حمله فیزیكی Dos، اطلاعاتی می باشد كه بصورت فیزیكی روی كاغذ ثبت شده است. برای آنكه اطلاعات غیر قابل استفاده گردند باید آنها را سرقت كرد یا در محل نابود نمود. به عنوان مثال مهاجم می تواند كاغذها را ریز ریز كند . حال اگر از این اسناد كپی وجود نداشته باشد اطلاعات نابود شده است. به عنوان مثالی دیگر، مهاجم می تواند ساختمانی كه اسناد كاغذی را در آن قرار دارد را به آتش بكشد. بدین ترتیب اطلاعات از بین می رود و از دسترسی سازمان به این اطلاعات جلوگیری می شود. اینكار می تواند بطور غیر مستقیم هم انجام می شود بدین ترتیب كه مهاجم با دستكاری در سیم كشی ساختمان، زمینه آتش سوزی را فراهم كند یا اسناد را بصورت نادرست در اختیار پرسنل سازمان قرار دهد و آنها هم ناخواسته اسناد را از بین ببرند.

اطلاعات الكترونیكی

روش های متفاوتی وجود دارد كه اطلاعات به فرم الكترونیكی در معرض حمله Dos قرار گیرند.

این نوع اطلاعات قابل حذف كردن نمی باشد و بدین وسیله از دسترسی به آنها جلوگیری می شود. برای موفق بودن این حمله لازم است تمام پشتیبان های تهیه شده از اطلاعات حذف گردد. با ایجاد تغییر در یك فایل هم می توان اطلاعات آنرا غیرقابل استفاده نمود. برا مثال مهاجم می تواند ابتدا فایلی را رمزنگاری كند و پس از آن كلید رمزنگاری را خراب كند. بدین ترتیب هیچ كس قادر نخواهد بود از آن فایل استفاده كند (مگر اینكه یك فایل پشتیبان از آن قبلاً تهیه شده باشد).

اطلاعات الكترونیكی هم مستعد حملات فیزیكی می باشند به عنوان مثال یك سیستم كامپیوتری بهمراه اطلاعاتش قابل سرقت است. حملات Dos كوتاه مدت را می توان با خاموش كردن كامپیوتر انجام داد. علاوه بر این خاموش كردن كامپیوتر باعث می شود از سرویس دهی به خود سیستم كامپیوتر هم جلوگیری شود (Dos نسبت به خود سیستم) . بوسیله حمله ای كه مستقیماً به سیستم انجام می شود، می توان سیستم كامپیوتری را فلج كرد. چندین مهاجم از این دست موجود است (كه به آسیب پذیری سیستم عمل كامپیوتر و پروتكل های بكار رفته در آن بستگی دارد)

برنامه های كاربردی با چند آسیب پذیری معروف غیرقابل استفاده می شوند. این نوع آسیب پذیری به مهاجم اجازه می دهد مجموعه ای از دستورات از پیش تعریف شده را به برنامه كاربردی ارسال كند. این دستورات به آن كاربرد می گویند كه پردازش به درستی انجام نمی شود. در نتیجه برنامه كاربردی از كار می افتد. چنانچه نرم افزار كاربردی مجدداً راه اندازی گردد سرویس های آن مجدداً فعال می شود اما تا راه اندازی مجدد غیر قابل استفاده می ماند.

شاید آسانترین راه برای مختل كردن ارتباط مخابراتی بریدن سیم باشد ولی این كار نیاز به دسترسی فیزیكی به كابل های شبكه دارد و در برخی موارد به ابزار خاصی نیاز دارد. روش دیگر Dos بر ضد ارتباطات آن است كه مقدار بسیار زیاد و حجم عظیمی از ترافیك دیتا به یك سایت ارسال شود. این حجم ترافیك باعث خواهد شد واسطه های ارتباطی در حجم بالایی از تبادل اطلاعات فرو رود، در نتیجه سرویس لازم به كاربران مجاز ارائه نخواهد شد.

همه حمله های Dos كه بر ضد اطلاعات الكترونیكی انجام می شود عمدی نمی باشد، بلكه بطور غیر عمدی اتفاق می افتد. برای مثال امكان دارد كارگری كه در حال كندن زمین است بطور تصادفی كابل های مخابراتی و فیبر نوری را قطع كند. از این قبلی حوادث برای كاربران تلفن و اینترنت زیاد اتفاق می افتد. حتی بچه های هم می توانند باعث حمله Dos گردند. بچه هایی كه از مركز دیتا بازدید می كنند با تعداد زیادی چراغ های نمایشگر و كلیدهای برق برخورد می كنند كه اكثر آنها برای بچه های وسوسه انگیز است. اینكه فرضاً با خاموش كردن یك كلید چه اتفاقی می افتد، می تواند باعث از كار افتادن كل سیستم شود.

حمله تكذیبی و انكار

این حمله باعث می شود تا اطلاعات بصورت نادرست داده شود یا اینكه وقوع یك واقعه حقیقی یا معامله ای كه صورت رفته است انكار می شود. انواع حمله به صورت زیر است:

ماسك زدن

در این روش مهاجم سعی می كند تا هویت شخص یا سیستم دیگری را جعل كند. این نوع حمله در ارتباطات بین دو سیستم قابل انجام است.

تكذیب یك واقعه

تكذیب یك واقعه یعنی انكار انجام فعالیتی كه ثبت شده است. فرض كنید فردی با استفاده از كارت اعتباری از فروشگاه خرید می كند، اما زمانیكه شركت صادر كننده كارت اعتباری صورتحساب خرید را برایش ارسال می كند، شدیداً منكر خرید از چنین فروشگاهی می شود.

حمله تكذیبی چگونه انجام می شود

این حمله برضد اطلاعاتی با فرم فیزیكی و یا الكترونیكی انجام می شود. میزان مشكل بودن این نوع حمله به اقدامات احتیاطی كه سازمان انجام داده است بستگی دارد. در ادامه به بررسی هر یك از این موارد می پردازیم:

اطلاعات روی كاغذ

یك فرد حقیقی میتواند با استفاده ماسك زدن، از نام شخص دیگری در یك سند استفاده كند. چنانچه سند به امضا نیاز داشته باشد، مهاجم آنرا هم جعل می كند. زمانیكه مهاجم با یك سند تایپ شده رو برو است كارش به مراتب راحت تر از مانی است كه بخواهد سند دست نویسی را جعل كند.

به طریق دیگر یك شخص می تواند واقعه یا انجام معامله ای را تكذیب كند و ادعا كند كه وی در انجام آن نقشی نداشته است. در اینجا هم اگر امضای وی روی یك پیمان نامه یا رسید كارت اعتباری وجود داشته باشد آن شخص باید ثابت كند كه امضاء به وی تعلق ندارد. البته شخصی كه قصد دارد چنین حمله ای را ترتیب دهد، از همان ابتدا از امضایی شبیه به امضای خود ولی بطور اشتباه استفاده خواهد كرد.

اطلاعات الكترونیكی

اطلاعاتی كه دارای فرم الكترونیكی هستند نسبت به اطلاعات به فرم فیزیكی از آسیب پذیری بیشتری در برابر حملات تكذیبی برخوردار هستند. یك سند الكترونیكی به راحتی قابل ایجاد و ارسال است چون نیاز چندانی به تعیین هویت فرد ارسال كننده ندارد. برای مثال در یك پیام پست الكترونیك، بخش آدرس ارسال كننده پیام (آدرسی كه جلوی عبارت “FROM” وجود دارد قابل تعویض توسط فرد مهاجم است. اكثر افراد هنگام خواندن پیام های پست الكترونیكی كه برایشان ارسال شده است تلاش چندانی برای تعیین هویت واقعی ارسال كننده انجام نمی دهند.

این مطلب درباره اطلاعاتی كه از یك سیستم كامپیوتری ارسال می شود هم صادق است صرف نظر از موارد استثنایی، هر سیستم كامپیوتری می تواند IP Address‌ خود را به هر شماره ای كه می خواهد تغییر دهد. بدین ترتیب یك كامپیوتر می تواند برای سیستم كامپیوتر دیگر ماسك بزند و هویت اصلی خود را پنهان كند.

توجه: این كار ساده است. یك سیستم می تواند IP Address سیستم دیگری را برای خود قرار دهد (البته به شرطی كه هر دو در یك شبكه قرار نداشته باشند) و بدین ترتیب خود را به جای او جا بزند. انجام اینكار روی انترنت كار آسانی نیست و ممكن است تماس درست را نتیجه ندهد.

تكذیب یك واقعه در مورد اطلاعات به فرم الكترونیكی نسبت به اطلاعات فیزیكی بسیار راحت تر است. در اكثر موارد سندها از نوع دست نویس نیستند و رسید مربوط به كارتهای اعتباری دارای امضاء مشتری نمی باشد. به استثناء مواردی كه از امضای دیجیتالی استفاده می شود، نمی توان ثابت كرد این سند توسط شخص مقابل مورد پذیرش قرار گرفته است. حتی در مواردی كه امضای دیجیتالی استفاده شده است، فرد می تواند ادعا كند كه امضای وی به طریقی به سرقت رفته است و یا كلمه عبور محافظ كلید، لو رفته است. از آنجا كه اثبات این موارد سخت است، تكذیب روش بسیار آسانتری است (ضرب المثل معروف ایرانی مگوید دیوار حاشا بلند است).

تكذیب معاملاتی كه توسط كارت اعتباری انجام می شود كار ساده ای در جهان الكترونیك است. روی رسید كارت اعتباری امضای وجود ندارد كه با امضای صاحب كارت تطبیق داده شود. تنها دلیلی كه برای اثبات وجود دارد ارسال اجناس معامله شده به آدرس صاحب كارت می باشد، حال اگر این اجناس به جای دگر فرستاده شود چه كار می توان كرد؟ و بالاخره چه دلیلی

 


از این که از سایت ما اقدام به دانلود فایل ” بررسی امنیت فناوری اطلاعات ” نمودید تشکر می کنیم

هنگام دانلود فایل هایی که نیاز به پرداخت مبلغ دارند حتما ایمیل و شماره موبایل جهت پشتیبانی بهتر خریداران فایل وارد گردد.

فایل – بررسی امنیت فناوری اطلاعات – با کلمات کلیدی زیر مشخص گردیده است:
سازگارسازی فناوری اطلاعات و ارتباطات در حال افزایش است;تامین امنیت فناوری اطلاعات;بررسی امنیت فناوری اطلاعات

جعبه دانلود

برای دانلود فایل روی دکمه زیر کلیک کنید
دریافت فایل


شما ممکن است این را هم بپسندید

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *