بررسی امنیت فناوری اطلاعات

مفهوم امنیت در دنیای واقعی مفهومی حیاتی و کاملاً شناخته شده برای بشر بوده و هست در دوران ماقبل تاریخ، امنیت مفهومی کاملاً فیزیکی را شامل می شد که عبارت بود از اصول حفظ بقا نظیر امنیت در برابر حمله دیگران یا حیوانات و نیز امنیت تامین غذا بتدریج نیازهای دیگری چون امنیت در برابر حوادث طبیعی یا بیماریها و در اختیار داشتن مکانی برای زندگی و استراحت بدو

دسته بندی	کامپیوتر و IT
فرمت فایل	doc
حجم فایل	162 کیلو بایت
تعداد صفحات فایل	212

دریافت فایل

فروشنده فایل

کد کاربری 8044

تمام فایل ها

عنوان پروژه

امنیت فناوری اطلاعات

پیشگفتار

مفهوم امنیت در دنیای واقعی مفهومی حیاتی و کاملاً شناخته شده برای بشر بوده و هست. در دوران ماقبل تاریخ، امنیت مفهومی کاملاً فیزیکی را شامل می شد که عبارت بود از اصول حفظ بقا نظیر امنیت در برابر حمله دیگران یا حیوانات و نیز امنیت تامین غذا. بتدریج نیازهای دیگری چون امنیت در برابر حوادث طبیعی یا بیماریها و در اختیار داشتن مکانی برای زندگی و استراحت بدون مواجهه با خطر به نیازهای پیشین بشر افزوده شد. با پیشرفت تمدن و شکل گیری جوامع، محدوده امنیت ابعاد بسیار گسترده تری یافت و با تفکیک حوزه اموال و حقوق شخصی افراد از یکدیگر و از اموال عمومی، و همچنین تعریف قلمروهای ملی و بین المللی، بتدریج مفاهیم وسیعی مانند حریم خصوصی، امنیت اجتماعی، امنیت مالی، امنیت سیاسی، امنیت ملی و امنیت اقتصادی را نیز شامل گردید. این مفاهیم گرچه دیگر کاملاً محدود به نیازهای فیزیکی بشر نمی شدند، ولی عمدتاً تحقق و دستیبابی به آنها مستلزم وجود و یا استفاده از محیط های واقعی و فیزیکی بود.

لیکن جهان در دهه های اخیر و بویژه در پنج سال گذشته عرصه تحولات چشمیگری بوده که بسیاری ا زمناسبات و معادلات پیشین را بطور اساسی دستخوش تغیر نموده است. این تحولات که با محوریت کاربری وسیع از فناوری اطلاعات و ارتباطات امکانپذیر شده، از کاربرد رایانه به عنوان ابزار خودکارسازی (AUTOMATION) و افزایش بهره وری آغاز گردیده و اکنون با تکامل کاربری آن در ایجاد فضای هم افزایی مشارکتی (COLLABORATION) ، عملاً زندگی فردی و اجتماعی بشر را دگرگون ساخته است. به باور بسیاری از صاحب نظران همانگونه که پیدایش خط و کتابت آنچنان تاثیر شگرفی بر سرنوشت انسان برجای گذاشته که مورخین را بر آن داشته تا داستان زندگی بشر بر این کره خاکی را به دوران ماقبل تاریخ تقسیم نمایند، ورود به فضای مجازی حاصل از فناوری نوین اطلاعات و ارتباطات نیز دوره جدیدی از تمدن بشری را رقم زده، به نحوی که انقلاب عصر اطلاعات شیوه اندیشه، تولید، مصرف، تجارت، مدیریت، ارتباط، جنگ و حتی دینداری و عشق ورزی را دگرگون ساخته است.

این تحول بزرگ الزامات و تبعات فراوانی را به همراه داشته که از مهمترین آنها بوجود آمدن مفاهیم نوین امنیت مجازی یا امنیت در فضای سایبر می باشد. با تغییری که در اطلاق عبارت شبکه رایانه ای از یک شبکه کوچک کار گروهی به شبکه ای گسترده و جهانی (اینترنت) واقع گردیده، و با توجه به رشد روز افزون تعاملات و تبادلاتی که روی شبکه های رایانه ای صورت می پذیرد، نیاز به نظام های حفاظت و امنیت الکترونیکی جهت ضمانت مبادلات و ایجاد تعهد قانونی برای طرفهای دخیل در مبادله بسیار حیاتی است. نظام هایی مشتمل بر قوانین ،‌روشهای، استانداردها و ابزارهایی که حتی از عقود متداول و روشهای سنتی تعهدآورتر بوده و ضمناً امنیت و خصوصی بودن اطلاعات حساس مبادله شده را بیش از پیش تضمین نمایند.

امنیت اطلاعات در محیط های مجازی همواره بعنوان یکی از زیرساختها و الزامات اساسی در کاربری توسعه ای و فراگیر از ICT مورد تاکید قرار گرفته است. گرچه امنیت مطلق چه در محیط واقعی و چه در فضای مجازی دست نیافتنی است، ولی ایجاد سطحی از امنیت که به اندازه کافی و متناسب با نیازها و سرمایه گذاری انجام شده باشد تقریباً در تمامی شرایط محیطی امکانپذیر است. تنها با فراهم بودن چنین سطح مطلوبی است که اشخاص حقیقی، سازمانها،‌ شرکتهای خصوصی و ارگانهای دولتی ضمن اعتماد و اطمنیان به طرفهای گوناگونی که همگی در یک تبادل الکترونیکی دخیل هستند و احتمالاً هیچگاه یکدیگر را ندیده و نمی شناسند، ‌نقش مورد انتظار خود بعنوان گره ای موثر از این شبکه متعامل و هم افزا را ایفا خواهند نمود.

فهرست مطالب

عنوان صفحه
پیشگفتار ............................................................................................................................	2
خلاصه اجرایی ..................................................................................................................	5
بخش اول
مقدمه ...............................................................................................................................	9
فصل 1: امنیت اطلاعات چیست؟.....................................................................................	10
فصل 2: انواع حملات .....................................................................................................	26
فصل 3: سرویس های امنیت اطلاعات ............................................................................	42
فصل 4 : سیاست گذاری ..................................................................................................	55
فصل 5: روند بهینه در امینت اطلاعات .............................................................................	91
نتیجه گیری ........................................................................................................................	114
بخش دوم
فصل 1: امنیت رایانه و داده ها ..........................................................................................	119
فصل 2: امنیت سیستم عامل و نرم افزارهای کاربردی ......................................................	140
فصل 3: نرم افزارهای مخرب ..........................................................................................	150
فصل 4: امنیت خدمات شبکه ..........................................................................................	163
نتیجه گیری .....................................................................................................................	191
پیوست آشنایی با کد و رمزگذاری ...................................................................................	193
منابع ..................................................................................................................................	204

خلاصه اجرایی

راهنمای امنیت فناروی اطلاعات، راهنمایی کاربردی جهت فهم و اجرای گامهای دستیابی به امنیت در کاربردهای حوزه فناوری اطلاعات در منزل و محل کار شما است. گرچه این پروژه بهترین و نوین ترین راهکارها را در زمینه فناوری اطلاعات ارائه می دهد، اما در اصل بری خوانندگان کشورهای در حال توسعه نوشته شده است. این پروژه علاوه بر ارائه خلاصه ای از تهدیدات فیزیکی و الکترونیکی موجود در حوزه امنیت فناوری اطلاعات، به راهکارهای مدیریتی ، محیط های ضابطه مند و الگوهای مشارکت سازماندهی همکار می پردازد که در حال حاضر در بازارهای، دولتهای، موسسات حرفه ای و سازمانهای بین المللی وجود دارند.

سازگارسازی فناوری اطلاعات و ارتباطات در حال افزایش است

این پروژه در ابتدا مروری بر رشد بخش فناوری اطلاعات و ارتباطات (ICT) دارد. این رشد و ارتقا کاربران عادی ICT را در بر میگیرد و از افزایش تعداد شبکه های خانگی و رشد سازمانهای کوچک و متوسط (SMES) که برای پشتیبانی از بازارهایی که به شدت به توسعه فناوری و بکارگیری آن در سراسر جهان وابسته اند کتکی به منابع رایانه ای می باشند- می توان به آن پی برد.

اطلاعات موجود از سوابق فعالیتهای

تامین امنیت فناوری اطلاعات

از آنجا که توسعه بازار محصولات و خدمات فناوری در دو سطح فردی و سازمانی چشمگیر است، اطلاع از مباحث امنیت فناوری اطلاعات بسیار مفید و مهم می باشد. ممکن است کاربران فردی در مورد خطراتی که هنگام استفاده از اینترنت متوجه آنها است مطلع نباشند . اگر کاربران خطرات شبکه های حفاظت نشده را تشخیص دهند، باز هم ممکن است یادگیری در مورد دیواره های آتش، ویروس یابها، رمزگذاری و نگهداری قاعده مند از اطلاعات را به دلیل هزینه و وقتی که از آنها می گیرد و تغییری که در رفتار رایانه ای آنها ایجاد می کند به تعویق بیاندازند. علاوه بر این سازمانهای کوچک و متوسط ممکن است از یک راه حل فنی نظیر دیواره آتش استفاده نمایند و به طبقه بندی سطوح امنیت توجهی نداشته باشند و ندانند که بدون توجه به آن، امنیت سیستم به شدت دچار مخاطره است. همچنین ممکن است به دلایل مختلف ایمن ساختن سیستمهای خود را به تاخیر بیاندازند و در تدوین سیاستهای شفاف امنیتی برای کاربران و مدیران نیز کوتاهی کنند. اگر ارتباطات، آگاهی و آموزش مناسب در سازمان وجود نداشته باشد، تبهکاران ممکن است به آسانی حفاظهای فنی را پشت سر بگذارند.

فناوری در یک محیط متغیر

دستگاههای سیار، نرم افزارهای رایج کاربردی، و تهدیدهای که موجب ایجاد پیچیدگی می شوند.

در حال حاضر کاربران جدید و غیر متخصص تنها علت نقض امنیت فناوری اطلاعات نیستند. محیط فناوری اطلاعات و ارتباطات با پیدایش محصولات جدید خصوصاً دستگاههای سیار (مانند رایانه های کیفی، تلفنهای همراه و PDAها) که چالشهای متفاوتی را در زیرساخت و امنیت داده ها ایجاد می کنند بسرعت رو به تغییر می باشد. پیدایش برنامه های کاربردی رایانه ای برای سرمایه گذاری الکترونیکی و تجارت الکترونیک نیز موجب بروز پیچیدگی های در محیط های شبکه ای شده اند.

از هنگام ظهور دستگاههای خودپرداز گرفته تا زمان رواج بانکداری اینترنتی ، این قابلیتها موجب صرفه جویی مناسب در هزینه ها می شوند، اما تهدیدات و خطرات بالقوه ای نیز به همراه دارند.

آنچه که اوضاع را بدتر می کند این است که اکنون نفوذگران قادر به توسعه و گسترش تهدیدات خود می باشند: مثل ترکیبی از ویروسها،‌ کرمها و تراواهایی که می تواند آسیبهای شدیدتری را به این سیستمها و داده ها وارد کند. این صدمات حتی می توانند از بعضی نرم افزارهای مخرب (بدافزارها) نیز خطرناکتر باشند. از آنجا که تمامی این پیشرفتها کاربران فناوری را در سطح جهانی تحت تاثیر قرار می دهند، بهترین روشهای مقابله با تهدیدات ناشی از آنها تنها از طریق همکاری بین المللی حاصل می شود.

همکاری بین المللی و امنیت در کشورهای در حال توسعه

امنیت فناوری اطلاعات در کشورهای در حال توسعه از اهمیت شایانی برخوردار است. واضح است که اینترنت فرصتهایی طلایی برای تجارت و ارتباطات فراهم آورده که حدود ده سال قبل حتی تصور آنها مشکل بود. البته دسترسی به اینترنت همیشه هم ارزان نیست. اینترنت کاربران را قادر می سازد تا نگاهی به گستره وسیعی از موضوعات داشته باشند و با استفاده از آن ارتباط مردم از طریق پست الکترونیکی بسیار کارآمدتر از خدمات پستی سنتی شده است. اینترنت بر اصول تجارت بین المللی نیز تأثیر گذاشته است،‌بازارهای کشورهای در حال توسعه اکنون می توانند کالاهای خود را بصورت برخط بفروشند. اگر چه هنوز تعداد رقبا در بازار بسیار زیاد است، اما مشتریان می توانند به سادگی تواناییها و محصولات شرکتهای رقیب را ببینند و برای انجام این کار نیازی به اطلاعات وسیع در این زمینه ندارند. از آنجا که دسترسی به بازارهای آنسوی مرزهای جغرافیایی برای هر سیستم اقتصادی بسیار جذاب است، همکاری گسترده ای برای جا افتادن مدل یک نظام شبکه ای کارآمد و جهانی لازم است.

بخش اول

امنیت اطلاعات

مقدمه

اولین گام در ارائه یک استراتژی صحیح امنیتی این است که مفهوم «کاربرد صحیح» رایانه های شخصی و «حفاظت» از آنها مشخص شود. اگر شما نیز بدنبال همین مسئله هستید، اطمینان حاصل کنید که:

• داده ها و برنامه هایتان تنها در صورتی تغییر میکنند یا پاک می شوند که شما چنین خواسته ای داشته باشید.
• برنامه های رایانه بگونه ای که طراح یا برنامه نویس آنرا تعیین کرده عمل می کنند (مگر عیب و نقصهای نرم افزاری، که وجود آنها رد برنامه ها ناخواسته است).
• هیچکس نمی تواند بدون اجازه شما از داده ها، رایانه و شبکه شما استفاده کند.
• رایانه بطور ناخواسته فایلهای آلوده به ویروس را منتشر نمی کند.
• کسی قادر به مشاهده تغییراتی که رد رایانه ایجاد می کنید نیست.
• کسی توانایی دستیابی به داده های شما، چه در شبکه های بی سیم و چه در شبکه های سیمی را ندارد.
• روی سیستمها و یا پایگاه های وبی که به آنها دسترسی دارید کسی قادر به سرقت نام کاربری و رمز عبور نیست.
• چنانچه شماره کارت اعتباری و یا اطلاعات مربوط به حساب بانکی خود را از طریق شبکه اینترنت وارد کنید، داده های مربوطه از امنیت کامل برخوردار خواهند بود (مسلماً شما بر آنچه که در سوی دیگر شبکه ارتباطی رخ می دهد کنترلی نخواهید داشت).

فصل اول

امنیت اطلاعات چیست؟

امنیت اطلاعات نمی تواند ایمنی را صد در صد سازماندهی اطلاعاتی سیستم کامپیوتری شما ضمانت نماید. به عبارت دیگر امنیت اطلاعات قادر به نگهداری اطلاعات شما نیست. هیچ سحر و جادویی را نمی توان یافت تا امنیت کاملی برای اطلاعات ایجاد نمود. مفاهیم موجود در امنیت اطلاعات، علم نظامی و فنی هم نیست که واضح و آشکار باشد.

در واقع امنیت اطلاعات نوعی طرز فکر است. طرز فکری که در آن انواع تهدیدهای ممکن و راههای ضربه زدن به سازماندهی اطلاعاتی بررسی می شود و مدیریت مناسبی برای آن پیشنهاد می گردد. شاید به تعداد زیادی از تولید کنندگان برخورد کرده باشید که هر یک ادعا می کنند محصول تولیدی آنها بهترین راه حل برای رفع مشکلات امنیتی است .

در این فصل سعی بر آن است تا مسائل مربوط به امنیت اطلاعات تشریح گردد و در نهایت استراتژی مدیریتی مناسبی برای سازماندهی اطلاعاتی پیشنهاد گردد.

تعریف امنیت اطلاعات

بنا بر فرهنگ Merrian- Webster (که به صورت زنده در آدرس www.m-w.com موجود است) کلمه «اطلاعات» بصورت زیر تعریف شده است:

اطلاعات دانشی است که از طریق تحقیق، مطالعه، آموزش، فهم مطلب، اخبار، حقایق، دیتا، سیگنال یا کارکتری که حاوی دیتا باشد ( مانند سیستمهای مخابراتی یا کامپیوتری)، چیزی که نحوه ایجاد تغییرات در یک ساختار را بیان می کند (مانند طرح یا تئوری) و چیزهایی از این قبیل بدست آمده باشد.

در همین فرهنگ نامه امنیت بصورت زیر تعریف شده است :

رهایی از خطر ، وجود ایمنی ، رهایی از ترس یا نگرانی

اگر دو کلمه فوق را در کنار هم قرار دهیم ، به تعریفی از «امنیت اطلاعات» بصورت زیر خواهیم رسید:

امنیت اطلاعات میزان اجازه و اختیاری است که استفاده از یک سرویس ، عدم استفاده از آن، و مقدار ایجاد اصلاحات توسط آن تعریف می شود و جلوگیری از بکارگیری دانش، حقایق ، دیتا یا قابلیت ها را باعث می شود .این تعریف حوزه وسیعی را شامل می شود که دانش ، حقایق ، دیتا یا قابلیت ها در برابر اتفاقات بد محافظت شود. علاوه بر این در تعریف فوق محدودیتی روی شکل اطلاعات قرار ندادیم بطوریکه می تواند بصورت دانش یا قابلیت های یک سیستم باشد.

اما تعریفی که از امنیت شبکه ارائه شد ضمانتی روی حفاظت از اطلاعات ندارد . زیرا اگر بزرگترین قلعه نظامی دنیا بسازیم باز هم یک نفر پیدا خواهد شد که با ابزار جنگی قوی تر و بزرگتری آن قلعه را فتح خواهد کرد.

امنیت اطلاعات نامی است که به اقدامات پیشگرانه اطلاق می شود بطوریکه این اقدامات قادر است از اطلاعات و قابلیت هایمان نگهبانی نماید. بدین ترتیب می توانیم اطلاعات را در برابر حملات خارجی و بهره برداری های غیر مجاز محافظت نماییم.

تاریخچه مختصری از امنیت

امنیت اطلاعات در طول زمان و بتدریج سیر تکاملی خود را پیموده است بطوریکه این روند تکاملی از رشد تکنولوژی و مسائل اجتماعی متأثر بوده است . فهمیدن روند رشد امنیت اطلاعات در این جهت مهم است که می توانیم احتیاجات خود را بهتر درک کرده و مطابق نیازهای روز آنرا ایجاد نمائیم . علاوه بر دانستن تاریخچه امنیت اطلاعات ، باید بر جنبه های مختلف آن نیز اشراف داشت بدین ترتیب اشتباهاتی که افراد قبل از ما انجام داده اند تکرار نخواهد شد . در ادا مه به این موارد خواهیم پرداخت .

امنیت فیزیکی

از جهت تاریخی می توان گفت اولین شکل اطلاعاتی که بشر آنها را نگهداری می کرد به صورت فیزیکی بودند بطوریکه در ابتدا آنها را روی سنگ و بعداً روی کاغذ ثبت می کرد. ( بسیاری از کتابهای راهنمای تاریخی در مکان امن و مناسبی قرار نداشته اند تا اطلاعات حیاتی آنها در امان بماند . به همین دلیل امروزه اطلاعات بسیار کمی درباره علم کیمیا وجود دارد. علاوه بر این کسانی که اطلاعات مهم در اختیار داشتند آنرا فقط در برخی شاگردان خاص خود قرار می دارند چنانکه ضرب المثلی معروف میگوید دانش همان قدرت است . شاید این روش بهترین روش باشد . یک ضرب المثل معروف می گوید: رازی که بیش از یکنفر آنرا بداند دیگر راز نیست ). بهر حال برای محافظت از این سرمایه ها امنیت فیزیکی بصورت دیوار ، خندق و نگهبان بکار می رفت.

برای ارسال این نوع اطلاعات از یک پیام رسان استفاده می شد که اغلب نگهبانی هم او را همراهی می کرد. خطر موجود در این حالت کاملاً فیزیکی است چون راهی وجود ندارد که بدون بدست آوردن آن شئ اطلاعاتش را بدست آورد. در اکثر موارد سرمایه موجود به سرقت می رفت ( این سرمایه پول یا اطلاعات مکتوب بود ) و مالک اصلی آنرا از دست می داد.

امنیت مخابراتی

متأسفانه امنیت فیزیکی دارای نقص عمده ا ی است و آن اینکه اگر هنگام جابجایی اطلاعات، پیام به سرقت رود اطلاعات آن قابل استفاده و یادگیری برای دشمن خواهد بود . این نقیصه توسط ژولیس سزار شناسایی شده بود. راه حل این نقص در امنیت مخابراتی است. ژولیس سزار برای رفع این مشکل رمز سزار را ایجاد کرد. این نوع رمز باعث میشد تا اطلاعات در حال انتقال حتی اگر به سرقت برود توسط کسی قابل خواندن و استفاده نباشد .

این مسئله در جنگ جهانی دوم ادامه پیدا کرد. آلمانی ها از ماشینی به نام Enigma استفاده کردند که پیام های ارسالی به واحدهای نظامی توسط آن رمز میشد. آلمانی ها ادعا می کردند اگر از ماشین Enigmaبدرستی استفاده شود نمی توان قفل آنرا شکست . اما استفاده درست از آن کار بسیار سختی بود، به همین دلیل برخی اپراتورها هنگام استفاده از این ماشین دچار اشتباه می شدند و در نتیجه طرف مقابل قادر بود برخی پیامها را بخواند ( بعد از آنکه مقادیر قابل توجهی از منابع رمز این ماشین بدست آمد مشکل خواندن پیام های آن نیز حل شد).

ارتباطات نظامی برای ارسال پیام به واحدها و مکان های نظامی از کلمات کد استفاده می نمایند. ژاپن در طول جنگ از کلمات کدی استفاده می کرد که درک درست پیام ها را برای آمریکایی ها ، حتی اگر کدها را کشف می کردند بسیار مشکل می ساخت . زمانیکه جنگ به نبرد Midway کشیده شد، کد شکن های آمریکایی سعی می کردند هدف ژاپنی ها پیدا کنند. این هدف در پیام های ژاپنی ها بصورت " AF " دیده می شد. سرانجام آمریکایی کاری می کردند تا Midway عمداً پیامی درباره کمبود آب ارسال نماید. ژاپنی ها مجبور شدند در پاسخ و یک پیام کد ارسال کنند. در پیام کد شده معلوم گردیده که AF مخفف آب است . از انجام که آمریکایی ها پیام ژاپنی ها را خواندند لذا قادر بودند که بفهمند AF در واقع همان Midway است.

پیام ها تنها نوع ترافیکی نبود که کد می شدند . واحدهای ارتش آمریکا از یک زبان محلی استفاده می کردند تا دشمن نتواند به پیام های مخابره شده گوش کند . این افراد محلی برای ارسال پیام ها استفاده می کردند به همین دلیل اگر دشمن به این پیام ها گوش می داد نمی توانست از آن چیزی بفهمد.

بعد از جنگ جهانی دوم جاسوسان اتحاد جماهیر شوروی برای ارسال اطلاعات از یک سیستم خاص استفاده می کرد که one- time pads ( الگوی یکبار مصرف) نام داشت. این سیستم در واقع از چند صفحه کاغذ ادبی تشکیل شده بود که هر صفحه از آن دارای یک عدد تصادفی بود. هر صفحه فقط و فقط برای یک پیام بکار می رفت . چنانچه از این روش رمز نگاری بدرستی استفاده می شد، غیر قابل شکست بود اما در اینجا هم اشتباهات انسان باعث شد تا برخی از پیام ها قابل رمز گشایی شود.

امنیت تشعشع

صرف نظر از اشتباهاتی که باعث لو رفتن یک پیام رمز شده می شود، استفاده از یک رمز کننده خوب باعث می شود که شکستن آن رمز بسیار مشکل گردد. به همین دلیل تلاش ها به سمت دیگری معطوف گردید تا بوسیله آن بتوان اطلاعات رمز شده برای ارسال را به چنگ آورد. در سال1950 کشف گردید اگر سیگنالهای الکتریکی که از طریق خطوط تلفن عبور می کنند تحت نظر قرار گیرند می توان به پیام اصلی دست پیدا کرد.

تمام سیستم های الکترونیکی از خود تشعشع الکترونیکی صادر می کنند. این پدیده در دستگاه تله تایپ و دستگاه رمز کننده ای که برای ارسال پیام های رمز شده بکار می رود نیز وجود دارد .

وظیفه دستگاه رمز کننده این است که سر راه پیام قرار داده شود و پس از رمز نمودن پیام، آنرا روی خط تلفن ارسال کند. اما نکته جالب این است که سیگنالهای الکتریکی که پیام اصلی و رمز نشده را در خود دارند بدلیل تشعشع ، اندکی روی خط تلفن دیده می شود. در واقع اگر از تجهیزات خوبی استفاده شود می توان پیام را از روی خط تلفن بازیابی کرد.

این مشکل ایالات متحده آمریکا را بر آن داشت تا برنامه ای به نام TEMPTEST ایجاد کند. وظیفه این برنامه ایجاد استاندارد های تشعشع الکتریکی برای سیستم های کامپیوتری است که در محیطهای بسیار حساس استفاده می شوند . نتیجه این بود که با کاهش تشعشعات ، امکان به سرقت رفتن اطلاعات کاش یافت .

امنیت کامپیوتری

اگر از سیستم تله تایپ برای ارسال پیام استفاده شود، کافی است برای محافظت پیام امنیت مخابراتی و امنیت تشعشع رعایت شود. اما با ورود کامپیوتر به عرصه زندگی انسان چشم اندازهای جدیدی در نحوه ذخیره و ارسال اطلاعات ایجاد گردید و فرمت های جدیدی برای سیگنالهای الکتریکی حاوی پیام ابداع گردید . با گذشت زمان استفاده از کامپیوتر آسانتر شد و مردمان بیشتری امکان استفاده و برقراری ارتباط دو طرفه با آنرا پیدا کردند. بدین ترتیب اطلاعات موجود روی سیستم کامپیوتر ی برای هر کسی ک بتواند از این وسیله استفاده کند قابل استفاده می شود.

در سال 1970 دو نفر به نامهای Leonard La Padula و Davd Bel مدلی برای عملکرد ایمن کامپیوتر ابداع کردند. این مدل بر اساس یک مفهوم حکومتی بنا شده است که در آن اطلاعات بصورت طبقه بندی شده وبا سطوح مختلف قرار می گیرد و مجوزهایی با سطوح مختلف برای استفاده از اطلاعات وجود دارد . ( در این سیستم اطلاعات به چهار فرم طبقه بندی نشده ، محرمانه ، سری و بسیار سری تقسیم بندی می شود) . بدین ترتیب اگر کسی یا سیستمی دارای مجوزی باشد که سطح آن از سطح طبقه بندی اطلاعات بالاتر باشد می تواند به آن فایل دسترسی پیدا کند.

مدل فوق اساس استاندارد 28/5200 در آمریکا گردید که به نام TCSEC شناخته می شود (البته به نام کتاب نارنجی هم شناخته می شود). کتاب نارنجی سیستم های کامپیوتری را بر طبق معیار زیر تعریف می کند :

حداقل محافظت ( و یا خارج از محدوده ) D

محافظت امنیتی از روی احتیاط C1

محافظت بصورت دسترسی کنترل شده C2

محافظت امنیتی طبقه بندی B1

محافظت ساختار یافته B2

حوزه های امنیتی B3

طراحی بازبینی A1

برای هر یک از تقسیم بندی های فوق کتاب نارنجی وظایف خاصی را به عنوان پیش نیاز معین کرده است تا اطمینان و ضمانت لازم حاصل شود. بنابراین برای آنکه سیستمی به سطح خاصی از اطمینان برسد و مورد تصدیق قرار گیرد باید این وظایف و خصوصیات را بدرستی رعایت نماید.

فراهم کردن ملزومات سیستمی کاملاً امن و مطمئن ، نیاز به دقت بسیار و هزینه بالا دارد. به همین دلیل سیستم های کمی وجود دارند که از تقسیم بندیC2 بالاتر باشند (تاکنون فقط یک سیستم توانسته به A1 برسد و آن سیستم Honeywel Scomp است. معیار های دیگری که وجود دارند سعی کردهاند وظایف یک سیستم را از اطمینان و ضمانت آن جدا نمایند. برای نمونه می توان به German Green Book در سال 1989، Canadian Criterid در سال 1990 ، CISE یا Criteria Information Security Evaluation در سال 1991 و بلاخره Federal Criteria در سال 1992 اشاره کرد. هر یک از این معیارها تلاش کرده اند برای امنیت بخشیدن به سیستم های کامپیوتری روشی را پیشنهاد دهند.

در آخر باید گفت سیستم های کامپیوتری به سرعت به طرف برنا مه های تضمین شده و مطمئن در حرکتند . این حرکت آنقدر سریع است که قبل از آنکه نسخه های قدیمی سیستم عامل و سخت افزار کامپیوتر بتواند مورد تائید واقع شوند، نسخه های جدید به بازار می آید.

امنیت شبکه

از جمله مشکلات موجود در هنگام ارزیابی معیار های امنیت کامپیوتری فقدان درک مفهوم شبکه بود. هنگامی که کامپیوترها به هم شبکه شدند مفاهیم جدیدی از امنیت هم پدیدار شد و مفاهیم قبلی امنیت دیگر مفید نبود. به عنوان مثال هنگام استفاده از مخابرات، شبکه ای محلی وجود دارد و نه یک شبکه گسترده، علاوه بر این در یک شبکه کامپیوتری از سرعت های بالاتری استفاده می شود و تعداد زیادی ارتباط از طریق یک واسطه ایجاد می شود. در این حالت استفاده از یک رمز کننده خاص به هیچ عنوان جوابگوی نیاز امنیتی نمی باشد. علاوه بر این مسئله تشعشع الکتریکی از سیم هایی که در یک اتاق یا ساختمان کامپیوترها را به هم شبکه کرده است نیز وجود دارد و سرانجام این که در یک شبکه کامپیوتری کاربرانی وجود دارند که از سیستم های بسیار متنوع به سیستم ما دسترسی دارند بدون اینکه توسط یک کامپیوتر واحد، کنترل مرکزی روی آنها اعمال گردد.

در کتاب نارنجی به مفهوم کامپیوتر های شبکه شده اشاره ای نشده است . به عبارت دیگر دسترسی از طریق شبکه قادر است اعتبار کتاب نارنجی را زیر سؤال ببرد. جواب این مشکل در کتاب آورده شده است که به شرح شبکه امن در TCSEC می پردازد و به TNI یا کتاب قرمز معروف است. مفاد کتاب قرمز در سال 1987 تنظیم شده است . کتاب قرمز تمام نیازهایی که کتاب نارنجی به آن اشاره کرده است را در خود دارد و علاوه برآن سعی کرده است به محیط شبکه ای کامپیوترها هم بپردازد . متأسفانه کتاب قرمز بیشتر به مسائل وظیفه ای پرداخته است به همین دلیل سیستم های کمی توانسته اند تحت TNI یا کتاب قرمز ارزیابی گردند که البته هیچکدام از آنها به موفقیت تجاری نرسیدند.

امنیت اطلاعات

به نظر شما تاریخچه ای که تا اینجا از امنیت ارائه شد ما را به چه چیز راهنمایی می کند ؟ از این تاریخچه معلوم می شود هیچ یک از انواع امنیتی که به آن اشاره شد به تنهایی قادر نیستند مشکلات امنیتی ما را حل نماید. امنیت فیزیکی خوب زمانی نیاز است که بخواهیم سرمایه ای مانند کاغذ یا یک سیستم ثبت اطلاعات را محافظت کنیم. امنیت مخابراتی برای محافظت اطلاعات به هنگام ارسال آنها مفید است . امنیت تشعشع زمانی مفید است که دشمن بتواند با استفاده از منابع کافی که در اختیار دارد تشعشعات الکتریکی حاصل از سیستم کامپیوتری را بخواند . امنیت کامپیوتری برای کنترل دسترسی دیگران به سیستم های کامپیوتری نیاز است و بلاخره امنیت شبکه برای امنیت شبکه محلی نیاز است .

جمع بندی تمام مفاهیم فوق و استفاده از تمام آنها در کنار هم، امنیت اطلاعات را تحقق می بخشد.

هر آنچه ما انجام می دهیم نمی تواند نوعی پروسه اعتبار بخشی به سیستم های کامپیوتری باشد. تکنولوژی به سرعت در حال پیشرفت است و بسیاری ا ز این پروسه ها را پشت سر می گذارند. اخیراً آزمایشگاه بیمه گر امنیتی پیشنهاد شده است . در این آزمایشگاه میزان امنیت انواع محصولات موجود مورد ارزیابی قرار گرفته و تصدیق می‌شود . اگر محصولی نتواند گواهی لازم را کسب کند در آن صورت کاربر، تولید کننده آن محصول را بی دقت خواهد دید چون ممکن است سایت یا اطلاعات کاربر در معرض تهاجم قرار گیرد . متأسفانه این ایده دو مشکل دارد:

• تکنولوژی با سرعت رو به جلو در حرکت است و در نتیجه دلیل چندانی وجود ندارد چنین آزمایشگاهی شانس بهتری برای گواهی کردن محصولات داشته باشد. چون ممکن است قبل از تصدیق یک محصول نسخه جدیدتر آن وارد بازار گردد.
• ثابت کردن این مسئله که برخی چیزها امن و مطمئن هستند، اگر غیر ممکن نباشد بسیار سخت است . شما به سادگی تحت تاثیر گواهی چنین آزمایشگاهی به یک حصول اعتماد می کنید و آنرا غیر قابل نفوذ خواهید پنداشت در حالیکه یک پیشرفت جدید و یک توسعه جدیدتر می تواند تمامی گواهی های امروز را بی اعتبار کند.

در حالیکه صنایع در حال جستجو برای یک جواب نهایی هستند ، ما سعی می کنیم تا امنیت را به بهترین حالتی که بتوانیم پیاده کنیم . این کار از طریق ممارست و پشتکار دائم حاصل می شود.

امنیت یک پروسه است ، نه یک محصول خاص

برای محافظت از اطلاعات سازمان نمی توان به نوع خاصی از امنیت اکتفا کرد. به همین طریق نمی توان به یک محصول اعتماد کرد و انتظار داشت که تمام احتیاجات امنیتی برای کامپیوترها و سیستم های شبکه ای را فراهم کند . متأسفانه برخی از فروشندگان محصولات امنیتی برای کسب

درآمد و جلب مشتری ادعا می کنند که محصول کاملی را ارائه کرده اند، اما حقیقت امر آن است که هیچ محصولی نمی تواند به تنهایی امنیت سازمان را تأمین نماید. برای آنکه از سرمایه های اطلاعاتی سازمان بطور کامل محافظت شود به تعداد زیادی از این محصولات و انواع گوناگونی از آن نیاز می باشد. در چند پاراگراف بعد خواهیم دید چرا چند محصول برجسته و معروف امنیتی نمی توانند به تنهایی راه حل نهایی و کاملی باشند.

نرم افزار ضد ویروس

نرم افزار ضد ویروس بخش لازمی از یک برنامه خوب امنیتی می باشد. با نصب و تنظیم درست نرم افزار ضد ویروس می توان حملات وارده به سازمان را کاهش داد. اما برنامه های ضد ویروس فقط قادرند با برنامه های نرم افزاری بدخواهانه مقابله کنند (هر چند با همه آنها هم نمی توانند).

چنین برنامه ای قادر نیست در برابر مزاحمی که قصد سوء استفاده از برنامه های مجاز یک سازمان را دارد از یک سازمان محافظت کند. علاوه بر این نرم افزار ضد ویروس نمی تواند سازمان را در برابر کسی که قصد دارد به فایل های آن سازمان دسترسی پیدا کند ( در حالیکه چنین اجازه ای ندارد) محافظت نماید.

کنترل دسترسی

هر سیستم متعلق به سازمان باید قادر باشد دسترسی به فایل ها را بر اساس نوع ID که به کاربر داده شده است محدود نماید چنانچه این سیستم بطور صحیح پیکر بندی شود قادر خواهد بود تا دسترسی کاربران مجاز را محدود نماید و بدین ترتیب روی دسترسی کاربران کنترل داشته باشد . با استفاده از کنترل دسترسی ، کسی که ا ز یک سیستم آسیب پذیر قصد دسترسی به فایل های سیستم را دارد

نمی تواند مدیر سیستم آن فایل ها را مشاهده کند. حتی سیستم کنترل دسترسی که اجازه پیکره بندی کنترل دسترسی روی سیستم را صادر می کند نمی تواند این فایل ها را مشاهده کند. بنابراین در چنین سیستمی ، مهاجم سعی میکند تا به عنوان یک کاربر مجاز از نوع مدیر به سیستم نگاه کند تا مجوز دسترسی به فایل را بدست آورد .

دیوار آتش، Firewall

دیوار آتش نوعی ابزار کنترل دسترسی به شبکه است، بطوریکه می تواند شبکه داخلی سازمان را در برابر حملات خارجی محافظت کند. با توجه به ماهیت دیوار آتش، این ابزار از نوع تولیدات امنیت حاشیه ای می باشد، معنای این جمله آن است که بین شبکه داخلی و شبکه خارجی حاشیه اطمینان قرار داده می شود. با پیکر بندی صحیح ، دیوار آتش توانسته است به یکی از ابزارهای لازم امنیتی تبدیل شود. اما دیوار آتش نمی تواند در برابر مهاجمی که دارای مجوز اتصال به شبکه است محافظتی به عمل آورد. برای مثال چنانچه یک سرور وب مجاز به برقراری تماس از خارج شبکه باشد و چنانچه آن سرور در برابر حمله نرم افزاری دیگری آسیب پذیر باشد، در آن صورت دیوار آتش به این نرم افزار مهاجم اجازه کار خواهد داد. علاوه بر این دیوار آتش نمی تواند در برابر کاربر داخلی سازمان محافظتی به عمل آورد، چون این کاربر از قبل در داخل شبکه قرار داشته است.

کارت های هوشمند

به رسمیت شناختن یک نفر را می توان با ترکیبی ا ز آنچه آن شخص می داند، آن چیزی که آن شخص دارد یا بر پایه آنچه که هست انجام داد. یکی از روش های اعتبار سنجی افراد که سابقه زیادی هم دارد استفاده از کلمه عبور یا Password است تا با استفاده از آن هویت افراد برای کامپیوتر تعیین گردد. این نوع اعتبار سنجی بر پایه آن چیزی که شخص می داند انجام می گیرد . اما با گذشت زمان معلوم گردید اعتبار سنجی بر پایه آنچه یک شخص می داند روش چندان مطمئنی نیست چون ممکن است کلمه عبور توسط افراد دیگر کشف گردد یا هنگام تایپ لو برود. برای مقابله با این مشکل، امنیت به سمت روش های دیگر اعتبار سنجی حرکت کرد بطوریکه این کار بر پایه آنچه یک شخص دارد و آنطوری که آن شخص هست انجام می شود.

از کارت های هوشمند می توان برای اعتبار سنجی استفاده کرد ( اعتبار سنجی بر پایه چیزی که شخص دارد ) و خطر لو رفتن کلمه عبور را کاهش داد. اما اگر آن کارت به سرقت رود یا مفقود گردد یک نفر دیگر می تواند با کتمان هویت اصلی خود و با استفاده از کارت هوشمند ، به عنوان فردی مجاز وارد شبکه گردد. به عبارت دیگر هنگامیکه کاربری از مسیر درست و با استفاده از کارت هوشمند وارد شبکه میشود، سیستم قادر نخواهد بود خود را در برابر حمله او محافظت کند.

بیومتری

بیومتری یکی ا ز روش های اعتبار سنجی است (بر پایه آن چیزی که یک شخص هست) و می تواند خطر لو رفتن کلمه عبور تا حد زیادی کاهش دهد. برای آنکه روش بیومتری بتواند همانند دیگر روش های قدرتمند اعتبار سنجی کار کند باید دسترسی به این سیستم از طریق روش ورود مناسبی انجام گیرد . اگر مهاجم روشی برای پیشدستی کردن بر روش بیومتری پیدا کند، این روش نخواه د توانست امنیت سیستم را تأمین کند.

تشخیص ورود غیر مجاز

سیستم تشخیص ورود غیر مجاز یکی از محصولاتی است که ادعا می کند مشکلات امنیتی را بطور کامل حل می کند. در این سیستم نیازی به محافظت فایل و سیستم نمی باشد بلکه در این سیستم وقتی یکنفر وارد سیستم می شود و قصد دارد کار خطایی را انجام دهد از ادامه کار ا و جلوگیری می شود. در واقع برخی از سیستم های تشخیص ورود غیر مجاز که توانسته اند بازاری بدست آورند دارای این قابلیت هستند که قبل از آنکه مهاجم بتواند کاری انجام دهد او را متوقف می سازند. هیچ یک از سیستمهای تشخیص ورود غیر مجاز کاملاً ایده آل نیستند لذا نمی توان آنرا یک برنامه امنیتی خوب تعریف کرد. علاوه بر این چنین سیستمی قادر به تشخیص کاربران مجازی که احتمالاًً دسترسی نادرست به اطلاعات دارند نمی باشد.

مدیریت سیاسی

در یک برنامه خوب امنیتی ، سیاست و رویه ای که در پیش گرفته شده است جزء مهمی می باشد و مدیریت سیستم کامپیوتری اهمیت زیادی دارد. با استفاده از مدیریت سیاسی، سازمان مقتدر خواهد بود خود را از سیستم های دیگر که خط مشی متفاوتی دارند دور نگه دارد. اما توجه کنید که از مدیریت استفاده کرد و هریک از این موارد می تواند باعث نفوذ موفق دشمن گردد. علاوه براین برای کاربرانی که کلمه عبور خود را در اختیار افراد غیر مجاز قرار می دهند یا به طریقی کلمه عبور آنها لو می رود نمی توان از این سیستم استفاده کرد.

جستجوی راه های نفوذ

یکی از بخشهای مهم یک برنامه امنیتی خوب آن است که به دنبال را های نفوذ در سیستم کامپیوتری خود باشد و آنها را بیابد. به کمک این جستجو سازمان می تواند پتانسیل های موجود برای ورود مزاحمین را پیدا کند البته ین سیستم به تنهایی قادر به حفاظت سیستم کامپیوتری شما نخواهد بود و باید بعد از یافتن را ه های نفوذ آنها را مسدود کرد. یکی از نقائص این روش آن است که کاربران مجازی که دسترسی نادرست به اطلاعات دارند را کشف نمی کند و همچنین مزاحمینی که از قبل وارد سیستم شده اند را نمی تواند پیدا کند.

رمزنگاری

رمزنگاری از جمله اولین مکانیزمهای امنیت مخابراتی می با شد و قطعاً اطلاعات را به هنگام ارسال محافظت می کند برای محافظت اطلاعاتی که به صورت فایل ذخیره می شوند نیز می توان از سیستم رمز نگاری استفاده کرد. البته کاربران مجاز باید قادر به دسترسی به این فایل ها باشند. چنانچه کلید استفاده شده در الگوریتم رمزنگاری در اختیار افراد قرار گیرد، سیستم رمزنگاری نمی تواند تفاوتی میان افراد مجاز و افراد غیر مجاز قائل شود. بنابراین رمزنگاری به تنهایی نمی تواند امنیت لازم را فراهم کند و باید روی کلید رمزنگاری کنترل دقیقی اعمال شود.

مکانیزم های امنیت فیزیکی

امنیت فیزیکی یکی از طبقه بندی های محصولات امنیتی می باشد و می تواند محافظت کاملی برای سیستم های کامپیوتری و اطلاعات فرا هم کند. این سیستم را می توان با هزینه نسبتاً ارزان ایجاد کرد. بدین ترتیب که حفره ای به عمق ده متر ایجاد گردد، تمام سیستم ها و اطلاعات مهم در آن قرار داده شوند و پس از آن روی حفره با بتون پوشانده شود. بدین ترتیب سیستم و اطلاعات در امان خواهد ماند و هیچ کس قادر به دسترسی نخواهد بود. اما این کار راه حل معقولی برای مشکلات امنیتی نمی باشد چون برای آنکه سازمان وظایف خود را انجام دهد لازم است پرسنل آن سازمان به کامپیوترها و اطلاعاتش دسترسی داشته باشند. از طرفی سیستم امنیت فیزیکی که روی مکان قرار گیری اطلاعات اعمال کردیم باعث خواهد شد فقط مقدار کمی از مردم به آن دسترسی داشته باشند و در نتیجه بحث شبکه کردن سیستم منتفی خواهد شد. علاوه بر این امنیت فیزیکی قادر نخواهد بود سیستم را در برابر حملات افرادی که به ظاهر دارای مجوز دسترسی می باشند حفظ کند.

فصل دوم

انـــواع حمـــلات

راههای زیادی وجود دارد تا برای اطلاعات و سیستم های کامپیوتری سازمان اتفاقات ناگوار رخ دهد. برخی از این اتفاقات از روی عناد و بدخواهی صورت می گیرند و برخی هم بطور تصادفی حادث می شوند. طرف نظر از نوع اتفاق، آنچه مهم است از بین رفتن اطلاعات و خساراتی است که به سازمان وارد می آید. به همین دلیل تمام این اتفاقات را حمله نامیده و کاری به عمدی یا غیر عمدی بودن آن نداریم. در این راستا حملات را به چهار دسته اساسی تقسیم می کنیم:

• دسترسی (accessattacks)
• دستکاری (modification attacks)
• جلوگیری از سرویس دهی (denial-of-serveice attacks)
• انکار (repudication attacks)

هر یک از موارد فوق در بخش های بعد به تفصیل مورد بررسی قرار خواهد گرفت.

حملات وارده به یک سازمان از طریق ابزارهای تکنیکی (همانند راه های نفوذ سیستم کامپیوتری) یا از طریق مهندسی اجتماعی می باشد. منظور از مهندسی اجتماعی استفاده از ابزارهای غیر تکنیکی برای رسیدن به دسترسی غیر مجاز می باشد. به عنوان مثال فردی را در نظر بگیرید که از طریق خط تلفن یا قدم زدن وارد سازمانی می شود و چنان وانمود می کند که واقعاً عضو آن مجموعه است. حملاتی که از طریق مهندسی اجتماعی صورت می گیرد بسیار مخرب و زیان آور می باشد.

حمله به اطلاعاتی که دارای فرم الکتریکی هستند دارای خاصیت جالبی است و آن اینکه می توان این اطلاعات را کپی کرد در حالیکه ظاهراً چیزی به سرقت نرفته است به عبارت دیگر مهاجم می تواند غیر مجاز به اطلاعات دسترسی پیدا کند در حالیکه مالک اصلی آن اطلاعات چیزی را از دست نداده است. پس از آن مالک اصلی هر دو طرف خواهند بود. نیم خواهیم بگوییم در این حالت خساراتی وارد نشده است. کشف این حمله بسیار مشکل است چرا که مالک اصلی از اطلاعات بی بهره نشده است تا حمله را تشخیص دهد.

حمله برای دسترسی

منظور از حمله برای دسترسی تلاشی است که مهاجم برا یدست یافتن به اطلاعاتی که نباید مشاهده کند انجام میدهد. این حمله ممکن است به اطلاعات ثابت در یک محل یا اطلاعات در حال انتقال صورت پذیرد. این نوع حمله برای بدست آوردن اطلاعات محرمانه انجام می گیرد. این حمله بصورتهایی که رد ادامه توضیح داده شده است انجام میشود.

جاسوسی

منظور از جاسوسی، جستجو در بین فایل های اطلاعاتی است به امید آنکه مطلب جالب توجهی در بین آنها پیدا شود. اگر اطلاعات بر روی کاغذ ثبت شده باشد، جاسوس مجبور است رد بین تمام پرونده ها و کمدها بایگانی جستجو کند. چنانچه اطلاعات بصورت فایل های کامپیوتری باشد جاسوس مجبور است فایلها را یکی پس از دیگری باز کند تا به اطلاعات مورد نظر دست پیدا کند.

استراق سمع

زمانیکه فردی به یک مکالمه گوش می دهد رد حالیکه جزء افراد مکالمه نیست استراق سمع کرده است . برای آنکه مهاجم بتواند بطور غیر مجاز به اطلاعات دیت یابد خود را در مکانی قرار می دهد که اطلاعات مورد علاقه اش از آن مکان عبور می کند. این مورد بیشتر بصورت الکترونیکی انجام می شود.

حائل شدن

برخلاف استراق سمع حائل شدن حمله ای فعال در مقابل اطلاعات است. زمانیکه مهاجم در برابر اطلاعات حائل می شود، خود را در مسیر عبور اطلاعات قرار داده و قبل از رسیدن اطلاعات به مقصد آنها را بر می دارد. پس از آنکه مهاجم از محتوای اطلاعات آگاه شد و آنها را بررسی نمود، شاید دوباره اجازه دهد اطلاعات مسیر خود را ادامه دهند و شاید هم این کار را نکند.

حمله برای دسترسی چگونه انجام می گیرد؟

حمله جهت دسترسی دارای شکلهای متفاوتی است . شکل حمله بستگی به این دارد که اطلاعات روی کاغذ ثبت شده باشد یا بطور الکترونیکی در سیستم کامپیوتری قرار گرفته باشد. در ادامه در مورد هر یک توضیح داده شده است.

اطلاعات روی کاغذ

چنانچه اطلاعات مورد نظر مهاجم بصورت فیزیکی و بر روی کاغذ قرار داشته باشد، کاغذها و اطلاعات روی آنها را در مکانهایی شبیه موارد زیر پیدا خواهد شد:

• کمدهای بایگانی
• داخل کشوی میز
• ماشین فاکس
• دستگاه چاپگر
• داخل سطل آشغال

برای آنکه مهاجم بتواند مکان های فوق را جستجو کند باید از لحاظ فیزیکی به آنها دسترسی داشته باشد. چنانچه این شخص یکی از پرسنل سازمان باشد احتمالاً به اتاقهای آن سازمان و کمدهای بایگانی دسترسی خواهد داشت البته اگر کشوی میزها قفل نباشد. ماشین فاکس و چاپگر در مکان هایی قرار دارند که بیشتر افراد سازمان بتوانند از آن استفاده کنند و بسیار اتفاق می افتد. اشغال های آن در خارج ساختمان قرار داده می شود تا پس از ساعت اداری تخلیه شوند.

ممکن است برخی اعمال احتیاطی از بیل قفل کردن کمدهای بایگانی و کشوی میزها تا حد زیادی از موفقیت مهاجم کم کند، اما او به جستجوی خود در وقت نهار ادامه می دهد تا کمدهای قفل نشده را پیدا کند. علاوه بر این کمدهای بایگانی و کشوی میزها دارای قفل ساده ای هستند که براحتی قابل باز کردن می باشد. برای دستیابی به اطلاعات ثبت شده فیزیکی به دسترسی فیزیکی نیاز است.

استفاده از امنیت خوب در سایت می تواند دسترسی افراد خارجی به اطلاعات فیزیکی را محدود کند اما این روش در برابر پرسنل همان سازمان نمی تواند محافظتی انجام دهد.

اطلاعات الکترونیکی

اطلاعات الکترونیکی در مکان های زیر ذخیره می شوند:

• روی سرور
• داخل کامپیوتر
• روی فلاپی دیسک
• روی CD-ROM
• روی نوارهای بک آپ

دسترسی به برخی از موارد فوق (مانند فلاپی دسک، CD-ROM ، نوارهای بک آپ و کامپیوتر همراه) با سرقت آنها میسر است. ممکن است اینکار نسبت به دسترسی الکترونیکی در یک سازمان آسانتر باشد.

چنانچه فایل های مورد نظر مهاجم در سیستمی باشد که او هم اجازه دسترسی به آنها داشته باشد می تواند فایل ها را باز کند . چنانچه کنترل اجازه دسترسی بدرستی انجام شود، به یک فرد غیر مجاز نباید اجازه دسترسی داده شود. استفاده از سیستم درست اکانت، بسیاری جستجوهای عمدی را ناموفق خواهد کرد. در عوض فرد مهاجم هم سعی می کند اکانت خود را ارتقا دهد بطوریکه بتواند فایل را مشاهده کرده و کنترل دسترسی را کاهش دهد. سیستم هایی که اجازه می دهند این عمل بطور موفقیت آمیز انجام شود، آسیب پذیری سیستم بسیار بالا خواهد بود. با استفاده از استراق سمع، اطلاعات رد حال انتقال قابل دستیابی خواهند بود. در یک شبکه محلی مهاجم با نصب sniffer‌ روی کامپیوتری که به شبکه محلی متصل شده است این کار را انجام می دهد. Sniffer یک کامپیوتر است و بگونه ای پیکربندی شده است که تمام ترافیک روی شبکه را دریافت کند (در حالت عادی کامپیوتری که در شبکه قرار دارد فقط ترافیکی را در یافت می کند که به آدرس خودش ارسال شده باشد.) مهاجم پس از آنکه بتواند امتیاز خود را ارتقا دهد و سیستمش را به شبکه متصل کند، sniffer را نصب خواهد کرد.

اگر چه sniffer بگونه ای قابل پیکر بندی است که بتواند تمام ترافیک شبکه را دریافت کند اما اکثر آنها فقط شناسه کاربر و کلمه عبور را از شبکه می گیرند.

در شبکه های گسترده یا WAN هم استراق سمع قابل انجام است اما این استراق سمع نیاز به تجهیزات گسترده و دانش قوی تری دارد. بهترین محل برای استراق سمع در WAN، جعبه های سیم بندی است. حتی از خطوط فیبرنوری هم استراق سمع انجام پذیر است. برای نمونه برداری از اطلاعات موجود روی خطوط فیبرنوری امکانات بسیار خاصی نیاز است و مهاجم های عادی معمولاً چنین امکاناتی در اختیار ندارند.

استفاده از روش حائل شدن برای دسترسی به اطلاعات، یکی از انتخاب های مشکل برای مهاجم است چون برای رسیدن به موفقیت مجبور است خود را بین مسیر ارتباطی گیرنده و فرستنده اطلاعات قرار دهد. برای انجام این عمل در اینترنت، مهاجم نام خود را عوض می کند و بدین ترتیب نام کامپیوتر به یک آدرس نادرست تخصیص داده می شود. پس از آن ترافیک ارسالی بجای آنکه به سوی مقصد برود برای مهاجم ارسال می شود اگر مهاجم بتواند سیستم خود را بدرستی پیکربندی کند، کامپیوتر ارسال کننده اطلاعات به هیچ وجه نخواهد فهمید که با مقصد غیر واقعی در حال صحبت است.

علاوه بر این ممکن است مهاجم عمل حائل شدن را روی پروسه ای که از قبل در حال انجام است، پیاده کند. استفاده از این روش برای ترافیک های دو طرفه (با تعاملی) مانند telnet بهترین نوع حمله می باشد. در اینگونه موارد مهاجم در همان بخشی از شبکه قرار می گیرد که به عنوان سرور (سرویس دهنده) یا کلانیت (سرویس گیرنده) شناخته می شود. در این حالت مهاجl به کاربر مجاز فرصت می دهد کار خود را با سرور آغاز کند و پس از آن از نرم افزار خاصی استفاده می کند و از آن پس از ارتباط ایجاد شده استفاده کند. این نوع حمله باعث می شود تا امتیاز و مجوز مهاجم همانند مجوز کاربر باشد.

حمله برای دستکاری اطلاعات

در این نوع حمله، مهاجم سعی می کند اطلاعاتی را تغییر دهد که مجاز به تغییر آنها نیست. این حمله ممکن است در هر جایی که اطلاعات ثبت شده است انجام پذیرد و یا اینکه روی اطلاعات در حال انتقال انجام شود. این نوع حمله باعث می شود صحت و تمامیت اطلاعات از بین برود. انواع دستکاری هایی که روی اطلاعات انجام می شود به ترتیب زیر است:

تعویض اطلاعات

از جمله روشهای دستکاری اطلاعات، تعویض اطلاعات موجود است، همانند مهاجمی که حقوق و دستمزد پرسنل اداره را عوض کند. این اطلاعات از قبل در آن سازمان موجود بود، اما پس از حمله نادرست خواهد بود. این نوع حمله معمولاً روی اطلاعات حساس و اطلاعات عمومی انجام می شود.

داخل کردن اطلاعات

نوعی دیگری از حمله برای دستکاری، داخل کردن اطلاعات می باشد. با انجام چنین حمله ای، اطلاعاتی که از قبل در سازمان وجود نداشته است به آن اضافه می شود. این نوع حمله روی اطلاعات تاریخی و یا سوابق یا اطلاعاتی که قرار است بر مبنای آنها کاری انجام گیرد اعمال می شود. برای مثال مهاجمی را در نظر بگیرید که معامله ای صوری را به اطلاعات یک بانک اضافه می کند و بدین ترتیب از حساب یک مشتری به حساب خودش پول واریز می کند.

حذف اطلاعات

این نوع حمله برای پاک کردن اطلاعات موجود بکار می رود و مانند بخش قبل روی اطلاعات تاریخی، سوابق یا اطلاعاتی که قرار است بر مبنای آنها کاری انجام گیرد اعمال می شود. برای مثال مهاجمی را در نظر بگیرید که معامله انجام شده ای را از سیستم بانک پاک می کند و بدین ترتیب پول در حساب خودش باقی خواهد ماند.

حمله برای تغیر اطلاعات چگونه انجام می گیرد؟

براساس نوع دسترسی که مهاجم در اختیار دارد، این نوع حمله علیه اطلاعات روی کاغذ یا اطلاعات به فرم الکترونیکی انجام میگیرد که در ادامه هر یک را شرح می دهیم:

اطلاعات روی کاغذ

تغیر اطلاعات ثبت شده روی کاغذ طوریکه قابل کشف نباشد کار مشکلی است. برای امضای مجدد سندهایی که دارای امضاء هستند (مانند سندهای قرارداد) نیاز به دقت و مهارت فوق العاده ای است. برای تغییر محتوای سند طولانی که از تعداد زیادی صفحات کاغذی تشکیل شده است باید آن سند مجدداً گردآوری و تنظیم گردد.

افزودن اطلاعات یا حذف اطلاعات از یک سند دست نوشته کار بسیار سختی است چرا که به لحاظ ترتیب و توالی مطالب سند، هر گوه تغییر به زودی کشف خواهد شد. به همین دلیل برای تغییر اطلاعات سندهای دست نوشته بهترین کار جایگزین کردن کل سند با سند دیگر می باشد. البته واضح است این نوع حمله نیاز به دسترسی فیزیکی به آن سند دارد.

اطلاعات الکترونیک

انجام تغییر روی اطلاعاتی که دارای فرم الکترونیکی هستند به مراتب ساده تر از اطلاعاتی است که روی کاغذ ثبت شده است. فرض کنید مهاجم به فایلی دسترسی داشته باشد، در این صورت انجام تغییرات نیاز به مهارت کمی دارد. چنانچه مجاز به دسترسی به آن فایل نباشد سعی می کند در ابتدا میزان دسترسی خود را به سیستم افزایش دهد یا نیاز به مجوز برای باز کردن فایل را از بین ببرد. بدین ترتیب مهاجم اول میزان آسیب پذیری سیستم را بررسی می کند و پس از افزایش سطح دسترسی خود، فایل را تغیر می دهد.

برای تعویض فایل های بانک اطلاعاتی و یا معاملات تجاری دقت زیادی لازم است. در برخی موارد معاملات به ترتیب شماره خورده اند و اضافه یا حذف کردن یک فایل بدون داشتن شماره ترتیب صحیح باعث می شود تا سیستم خطایی اعلام کند. در چنین حالتی مهاجم مجبور است تغییرات کلی تری در سیستم اعمال کند تا خود را در برابر کشف تغییرات محافظت کند. ایجاد تغییر روی اطلاعاتی که در حال انتقال است کار سختی است. در این موارد بهترین راه آن است که ابتدا یک حمله از نوع حائل شدن به سیستم انجام گیرد. سپس قبل از آنکه اطلاعات به طرف مقصد اصلی ارسال شود اطلاعات تغیر داده شود.

Dos : حمله جلوگیری از سرویس دهی

حمله برای جلوگیری از سرویس دهی باعث می شود کاربر مجاز نتواند از منابع موجود در سیستم، اطلاعات یا قابلیت های آن سیستم استفاده کند. اگر چه در این حمله که به اختصار Dos گفته می شود، به مهاجم اجازه دسترسی و تغییر اطلاعات داده نمی شود، اما وی از سرویس دهی به دیگر کاربران مجاز جلوگیری می کند. انگیزه حمله Dos چیزی جز خرابکاری نیست و انواع آن بصورت زیر می باشد:

جلوگیری از دسترسی به اطلاعات

چنانچه حمله Dos روی اطلاعات سیستم انجام شود اطلاعات سیستم غیرقابل دسترسی می گردد. این نوع حمله بوسیله نابود کردن اطلاعات یا تغییر اطلاعات بفرمی که غیر قابل استفاده گردد، انجام می گرد. روش دیگر این حمله آن است که اطلاعات همچنان بدون تغییر می ماند اما در مکانی غیر قابل دسترسی قرار داده می شود.

جلوگیری از سرویس دهی به کاربردهای نرم افزاری

نوع دیگر حمله Dos آن است که کاربردهای نرم افزاری که اطلاعات را نمایش می دهند یا آنها را تغییر می دهند، هدف حمله قرار می گیرد. این حمله معمولاً به سیستم کامپیوتری انجام می گیرد که آن کاربرد را اجرا می کند. چنانچه این کاربرد غیر قابل استفاده گردد، سازمان مذکور قادر به انجام وظایف خود از طریق آن کاربرد نخواهد بود.

جلوگیری از دسترس به سیستم

یکی از انواع حمله Dos آن است که سیستم کامپیوتری از کار انداخته شود. این نوع حمله باعث خواهد شد سیستم بهمراه تمام نرم افزارهای کاربردی که روی آن اجرا می شود و اطلاعاتی که روی آن قرار داده شده است غیر قابل استفاده گردد.

جلوگیری از دسترسی به ارتباطات

حملات Dos بر روی ارتباطات سالهاست که انجام می شود. این نوع حمله می تواند به روش های مختلف انجام شود: از قطع کردن سیم و مختل نمودن ارتباط رادیویی گرفته تا از کار انداختن یک شبکه با افزایش ترافیک شبکه. در این نوع حمله هدف اصلی همان واسطه ارتباطی است. در این حالت سیستم و اطلاعات موجود در آن آسیبی نمی بیند اما مختل شدن ارتباط، دسترسی به سیستم و اطلاعات آنرا غیر ممکن می سازد.

حملات Dos چگونه انجام می شود؟

اساساً حملات Dos، حمله ای به سیستم کامپیوتری و شبکه می باشد. در اینجا نمی خواهیم بگوییم که حملات Dos بر ضد اطلاعات روی کاغذ انجام نمی گیرد، اما انجام این نوع حملات به جهان الکترونیک بسیار آسانتر است. در ادامه به بررسی هر یک از این موارد می پردازیم:

اطلاعات روی کاغذ

یکی از موارد مورد توجه در حمله فیزیکی Dos، اطلاعاتی می باشد که بصورت فیزیکی روی کاغذ ثبت شده است. برای آنکه اطلاعات غیر قابل استفاده گردند باید آنها را سرقت کرد یا در محل نابود نمود. به عنوان مثال مهاجم می تواند کاغذها را ریز ریز کند . حال اگر از این اسناد کپی وجود نداشته باشد اطلاعات نابود شده است. به عنوان مثالی دیگر، مهاجم می تواند ساختمانی که اسناد کاغذی را در آن قرار دارد را به آتش بکشد. بدین ترتیب اطلاعات از بین می رود و از دسترسی سازمان به این اطلاعات جلوگیری می شود. اینکار می تواند بطور غیر مستقیم هم انجام می شود بدین ترتیب که مهاجم با دستکاری در سیم کشی ساختمان، زمینه آتش سوزی را فراهم کند یا اسناد را بصورت نادرست در اختیار پرسنل سازمان قرار دهد و آنها هم ناخواسته اسناد را از بین ببرند.

اطلاعات الکترونیکی

روش های متفاوتی وجود دارد که اطلاعات به فرم الکترونیکی در معرض حمله Dos قرار گیرند.

این نوع اطلاعات قابل حذف کردن نمی باشد و بدین وسیله از دسترسی به آنها جلوگیری می شود. برای موفق بودن این حمله لازم است تمام پشتیبان های تهیه شده از اطلاعات حذف گردد. با ایجاد تغییر در یک فایل هم می توان اطلاعات آنرا غیرقابل استفاده نمود. برا مثال مهاجم می تواند ابتدا فایلی را رمزنگاری کند و پس از آن کلید رمزنگاری را خراب کند. بدین ترتیب هیچ کس قادر نخواهد بود از آن فایل استفاده کند (مگر اینکه یک فایل پشتیبان از آن قبلاً تهیه شده باشد).

اطلاعات الکترونیکی هم مستعد حملات فیزیکی می باشند به عنوان مثال یک سیستم کامپیوتری بهمراه اطلاعاتش قابل سرقت است. حملات Dos کوتاه مدت را می توان با خاموش کردن کامپیوتر انجام داد. علاوه بر این خاموش کردن کامپیوتر باعث می شود از سرویس دهی به خود سیستم کامپیوتر هم جلوگیری شود (Dos نسبت به خود سیستم) . بوسیله حمله ای که مستقیماً به سیستم انجام می شود، می توان سیستم کامپیوتری را فلج کرد. چندین مهاجم از این دست موجود است (که به آسیب پذیری سیستم عمل کامپیوتر و پروتکل های بکار رفته در آن بستگی دارد)

برنامه های کاربردی با چند آسیب پذیری معروف غیرقابل استفاده می شوند. این نوع آسیب پذیری به مهاجم اجازه می دهد مجموعه ای از دستورات از پیش تعریف شده را به برنامه کاربردی ارسال کند. این دستورات به آن کاربرد می گویند که پردازش به درستی انجام نمی شود. در نتیجه برنامه کاربردی از کار می افتد. چنانچه نرم افزار کاربردی مجدداً راه اندازی گردد سرویس های آن مجدداً فعال می شود اما تا راه اندازی مجدد غیر قابل استفاده می ماند.

شاید آسانترین راه برای مختل کردن ارتباط مخابراتی بریدن سیم باشد ولی این کار نیاز به دسترسی فیزیکی به کابل های شبکه دارد و در برخی موارد به ابزار خاصی نیاز دارد. روش دیگر Dos بر ضد ارتباطات آن است که مقدار بسیار زیاد و حجم عظیمی از ترافیک دیتا به یک سایت ارسال شود. این حجم ترافیک باعث خواهد شد واسطه های ارتباطی در حجم بالایی از تبادل اطلاعات فرو رود، در نتیجه سرویس لازم به کاربران مجاز ارائه نخواهد شد.

همه حمله های Dos که بر ضد اطلاعات الکترونیکی انجام می شود عمدی نمی باشد، بلکه بطور غیر عمدی اتفاق می افتد. برای مثال امکان دارد کارگری که در حال کندن زمین است بطور تصادفی کابل های مخابراتی و فیبر نوری را قطع کند. از این قبلی حوادث برای کاربران تلفن و اینترنت زیاد اتفاق می افتد. حتی بچه های هم می توانند باعث حمله Dos گردند. بچه هایی که از مرکز دیتا بازدید می کنند با تعداد زیادی چراغ های نمایشگر و کلیدهای برق برخورد می کنند که اکثر آنها برای بچه های وسوسه انگیز است. اینکه فرضاً با خاموش کردن یک کلید چه اتفاقی می افتد، می تواند باعث از کار افتادن کل سیستم شود.

حمله تکذیبی و انکار

این حمله باعث می شود تا اطلاعات بصورت نادرست داده شود یا اینکه وقوع یک واقعه حقیقی یا معامله ای که صورت رفته است انکار می شود. انواع حمله به صورت زیر است:

ماسک زدن

در این روش مهاجم سعی می کند تا هویت شخص یا سیستم دیگری را جعل کند. این نوع حمله در ارتباطات بین دو سیستم قابل انجام است.

تکذیب یک واقعه

تکذیب یک واقعه یعنی انکار انجام فعالیتی که ثبت شده است. فرض کنید فردی با استفاده از کارت اعتباری از فروشگاه خرید می کند، اما زمانیکه شرکت صادر کننده کارت اعتباری صورتحساب خرید را برایش ارسال می کند، شدیداً منکر خرید از چنین فروشگاهی می شود.

حمله تکذیبی چگونه انجام می شود

این حمله برضد اطلاعاتی با فرم فیزیکی و یا الکترونیکی انجام می شود. میزان مشکل بودن این نوع حمله به اقدامات احتیاطی که سازمان انجام داده است بستگی دارد. در ادامه به بررسی هر یک از این موارد می پردازیم:

اطلاعات روی کاغذ

یک فرد حقیقی میتواند با استفاده ماسک زدن، از نام شخص دیگری در یک سند استفاده کند. چنانچه سند به امضا نیاز داشته باشد، مهاجم آنرا هم جعل می کند. زمانیکه مهاجم با یک سند تایپ شده رو برو است کارش به مراتب راحت تر از مانی است که بخواهد سند دست نویسی را جعل کند.

به طریق دیگر یک شخص می تواند واقعه یا انجام معامله ای را تکذیب کند و ادعا کند که وی در انجام آن نقشی نداشته است. در اینجا هم اگر امضای وی روی یک پیمان نامه یا رسید کارت اعتباری وجود داشته باشد آن شخص باید ثابت کند که امضاء به وی تعلق ندارد. البته شخصی که قصد دارد چنین حمله ای را ترتیب دهد، از همان ابتدا از امضایی شبیه به امضای خود ولی بطور اشتباه استفاده خواهد کرد.

اطلاعات الکترونیکی

اطلاعاتی که دارای فرم الکترونیکی هستند نسبت به اطلاعات به فرم فیزیکی از آسیب پذیری بیشتری در برابر حملات تکذیبی برخوردار هستند. یک سند الکترونیکی به راحتی قابل ایجاد و ارسال است چون نیاز چندانی به تعیین هویت فرد ارسال کننده ندارد. برای مثال در یک پیام پست الکترونیک، بخش آدرس ارسال کننده پیام (آدرسی که جلوی عبارت "FROM" وجود دارد قابل تعویض توسط فرد مهاجم است. اکثر افراد هنگام خواندن پیام های پست الکترونیکی که برایشان ارسال شده است تلاش چندانی برای تعیین هویت واقعی ارسال کننده انجام نمی دهند.

این مطلب درباره اطلاعاتی که از یک سیستم کامپیوتری ارسال می شود هم صادق است صرف نظر از موارد استثنایی، هر سیستم کامپیوتری می تواند IP Address‌ خود را به هر شماره ای که می خواهد تغییر دهد. بدین ترتیب یک کامپیوتر می تواند برای سیستم کامپیوتر دیگر ماسک بزند و هویت اصلی خود را پنهان کند.

توجه: این کار ساده است. یک سیستم می تواند IP Address سیستم دیگری را برای خود قرار دهد (البته به شرطی که هر دو در یک شبکه قرار نداشته باشند) و بدین ترتیب خود را به جای او جا بزند. انجام اینکار روی انترنت کار آسانی نیست و ممکن است تماس درست را نتیجه ندهد.

تکذیب یک واقعه در مورد اطلاعات به فرم الکترونیکی نسبت به اطلاعات فیزیکی بسیار راحت تر است. در اکثر موارد سندها از نوع دست نویس نیستند و رسید مربوط به کارتهای اعتباری دارای امضاء مشتری نمی باشد. به استثناء مواردی که از امضای دیجیتالی استفاده می شود، نمی توان ثابت کرد این سند توسط شخص مقابل مورد پذیرش قرار گرفته است. حتی در مواردی که امضای دیجیتالی استفاده شده است، فرد می تواند ادعا کند که امضای وی به طریقی به سرقت رفته است و یا کلمه عبور محافظ کلید، لو رفته است. از آنجا که اثبات این موارد سخت است، تکذیب روش بسیار آسانتری است (ضرب المثل معروف ایرانی مگوید دیوار حاشا بلند است).

تکذیب معاملاتی که توسط کارت اعتباری انجام می شود کار ساده ای در جهان الکترونیک است. روی رسید کارت اعتباری امضای وجود ندارد که با امضای صاحب کارت تطبیق داده شود. تنها دلیلی که برای اثبات وجود دارد ارسال اجناس معامله شده به آدرس صاحب کارت می باشد، حال اگر این اجناس به جای دگر فرستاده شود چه کار می توان کرد؟ و بالاخره چه دلیلی

سازگارسازی فناوری اطلاعات و ارتباطات در حال افزایش استتامین امنیت فناوری اطلاعاتبررسی امنیت فناوری اطلاعات