سفارش تبلیغ
صبا ویژن

امنیت شبکه

مروری بر امنیت شبکه (1)

    نظر

وقتی از امنیت شبکه صحبت می کنیم بدنبال پاسخ دادن به این سوالات هستیم:

  • وقتی داده ای را ارسال می کنیم چه کسانی می توانند این داده را ببینند و یا چه کسانی می توانند به شبکه ها داخلی راه پیدا کنند؟برای مثال وقتی درحال ارسال یک عکس خصوصی هستیم چه کسانی می توانند این عکس را ببینند؟ یا وقتی مشغول ارسال یک ایمیل بسیار مهم هستیم، آیا به سیستم پیام رسان خود اعتماد داریم؟
  • آیا می توان تغییری در اطلاعات وب سایتی که قرار است ببینیم ایجاد کرد؟ برای مثال وقتی در حال مشاهده یک وب سایت هستیم برای ایجاد تغییر محدودیت هایی داریم مثلا فقط می توانیم کامنت بگذاریم یا دیدگاه ارسال کنیم یا از چت آنلاین استفاده کنیم اما نمی توانیم محتوای وب سایت را تغییر دهیم.
  • آیا می توانیم به شبکه اعتماد کنیم و اطلاعات محرمانه از قبیل: شماره حساب بانکی ، شماره کارت اعتباری و ... را روی شبکه قرار دهیم؟ بعنوان مثال وقتی یک کالا را به صورت آنلاین خریداری می کنیم چگونه می توانیم به صفحات درگاه پرداخت بانکی اطمینان کنیم و تمام اطلاعات حساب خود را در آن وارد کنیم؟
  • برای اینکه بتوانیم در شبکه های امروزی امنیت به وجود بیاوریم، چه تدابیر امنیتی باید اتخاذ کنیم؟


دسته بندی حملات در حالت کلی:

1- Interruption (قطع ارتباط)
مهاجم جلوی ارسال اطلاعات را می گیرد و اطلاعات به مقصد نمی رسد.
2- Interception (شنود اطلاعات)
اطلاعات به مقصد می رسد اما مهاجم اطلاعات را استراق سمع می کند و این حمله باعث نقض محرمانگی می شود.
3- Modification (تغییر اطلاعات)
مهاجم روی اطلاعات تغییراتی ایجاد کرده سپس آن را به مقصد می رساند. بنابراین صحت اطلاعات زیر سوال می رود.
4- Fabrication (فریب و جعل اطلاعات)
مهاجم خود را بعنوان مبدا جا زده و اطلاعاتی را از طرف مبدا به مقصد ارسال می کند. در این حمله اصالت اطلاعات زیر سوال می رود.
مثلث امنیت:
براساس تعریف انواع حملات یکسری اهداف امنیتی تدوین شد که به آن مثلث امنیتی می گویند. اگر یکی یا چند تا از اضلاع این مثلث برقرار نباشد یعنی امنیت شبکه وجود ندارد.


اضلاع مثلث امنیت:

- Confidentiality (محرمانگی)
یعنی محرمانگی اطلاعات حفظ شود.
- Integrity (جامعیت یا یکپارچگی)
یعنی اطلاعات بدون کم و کاست از مبدا به مقصد ارسال شود.
- Availability (دسترسی)
مقصد به اطلاعات مبدا دسترسی داشته باشد.


بعدها "استفاده قانونی از اطلاعات" به این اهداف امنیتی اضافه شد یعنی آیا من قانونا اجازه استفاده از اطلاعاتی که در دسترس من هستند را دارم یا نه؟
به این اهداف امنیتی +CIA گفته می شود.