امنیت رایانه

امنیت رایانه

روند اطمینان از محرمانه بودن ، یکپارچگی و در دسترس بودن رایانه ها ، برنامه های آنها ، دستگاه های سخت افزاری و داده ها. عدم امنیت ناشی از خرابی یکی از این سه ویژگی است. عدم رازداری ، افشای غیر مجاز داده ها یا دسترسی غیرمجاز به یک سیستم محاسباتی یا یک برنامه است. عدم موفقیت در یکپارچگی در نتیجه اصلاح غیرمجاز داده ها یا آسیب رساندن به سیستم یا برنامه محاسباتی است. عدم دسترسی به منابع محاسباتی منجر به انکار سرویس می شود.

یک عمل یا رویدادی که احتمال ایجاد نقص در امنیت رایانه را داشته باشد تهدید نامیده می شود. برخی تهدیدها به طور م effectivelyثر با اقداماتی متقابل که کنترل نامیده می شوند ، منحرف می شوند. انواع کنترل ها فیزیکی ، اداری ، منطقی ، رمزنگاری ، قانونی و اخلاقی است. تهدیدهایی که با کنترل مقابله نمی شوند آسیب پذیری نامیده می شوند.

رمزگذاری

رمزگذاری یک روش بسیار م forثر برای حفظ محرمانه بودن داده های رایانه ای است و در بعضی موارد می تواند برای اطمینان از درستی و در دسترس بودن نیز از آن استفاده کند. پیام رمزگذاری شده به فرمی تبدیل می شود که برای افراد غیر مجاز قابل تشخیص نیست. مزیت اصلی رمزگذاری این است که رهگیری را بی فایده می کند. به رمزنگاری مراجعه کنید

کنترل دسترسی

امنیت رایانه به این معنی است که دسترسی فقط به کاربران مجاز محدود می شود. بنابراین ، تکنیک هایی برای کنترل دسترسی و شناسایی ایمن کاربران لازم است. کنترل های دسترسی معمولاً کنترل های منطقی هستند که در سخت افزار و نرم افزار یک سیستم محاسباتی طراحی می شوند. شناسایی هر دو تحت کنترل برنامه و با استفاده از کنترل های فیزیکی انجام می شود.

به طور معمول ، دسترسی به داخل یک سیستم محاسباتی توسط یک ماتریس کنترل دسترسی که توسط سیستم عامل یا یک برنامه پردازشی اداره می شود ، محدود می شود. همه کاربران توسط برنامه هایی که از طرف کاربران اجرا می شوند به عنوان سوژه نشان داده می شوند. منابع ، اشیا یک سیستم محاسباتی نامیده می شوند ، شامل پرونده ها ، برنامه ها ، دستگاه ها و موارد دیگری است که دسترسی کاربران به آنها کنترل می شود. ماتریس برای هر موضوع اشیا that قابل دسترسی و انواع دسترسی مجاز را مشخص می کند.

کنترل دسترسی همانطور که در بالا توضیح داده شد مربوط به مجوزهای فردی است. به طور معمول ، چنین دسترسی را کنترل دسترسی اختیاری می نامند زیرا این کنترل به تشخیص صاحب شی یا شخص دیگری با اجازه اعمال می شود. با استفاده از نوع کنترل دسترسی دوم ، کنترل دسترسی اجباری نامیده می شود ، به هر شی در سیستم یک سطح حساسیت اختصاص داده می شود ، که یک درجه بندی از عواقب جدی است که در صورت گم شدن ، اصلاح یا آشکار شدن شی serious ، و هر موضوع یک سطح اعتماد به خود اختصاص داده است.

کنترل دسترسی لزوماً همانطور که توضیح داده شد مستقیم نیست. دسترسی غیرمجاز می تواند از طریق یک کانال مخفی رخ دهد. یک فرایند می تواند با باز و بسته کردن پرونده ها ، ایجاد سوابق ، مشغول بودن دستگاه یا تغییر اندازه یک شی something ، چیزی را به دیگری علامت گذاری کند. همه این اقدامات قابل قبول است ، بنابراین تشخیص استفاده از آنها برای ارتباطات پنهانی اساساً غیرممکن است ، چه رسد به جلوگیری از آنها.

امنیت برنامه ها

برنامه های رایانه ای اولین خط دفاعی در امنیت رایانه هستند ، زیرا برنامه ها کنترل های منطقی را ارائه می دهند. با این حال ، برنامه ها مورد خطا هستند ، که می تواند بر امنیت رایانه تأثیر بگذارد.

یک برنامه رایانه ای اگر مطابق با الزاماتی باشد که برای آن طراحی شده صحیح است. یک برنامه کامل است اگر تمام شرایط را برآورده کند. سرانجام ، یک برنامه دقیقاً در صورتی انجام می شود که فقط آن کارهایی را که براساس شرایط تعیین شده انجام می دهد.

خطاهای ساده برنامه نویس علت بیشتر خرابی های برنامه است. خوشبختانه ، کیفیت نرم افزار تولید شده تحت طراحی دقیق و استانداردهای تولید احتمالاً بسیار بالا خواهد بود. با این حال ، برنامه نویسی که قصد ایجاد یک برنامه معیوب را دارد ، می تواند علی رغم کنترل های توسعه ، این کار را انجام دهد. به مهندسی نرم افزار مراجعه کنید

حمله سالامی روشی است که در آن یک برنامه حسابداری برخی از حساب ها را مقدار کمی کاهش می دهد ، در حالی که یک حساب دیگر را با جمع مبالغ کم شده افزایش می دهد. انتظار می رود مقدار کاهش یافته ناچیز باشد. با این حال ، مبلغ خالص جمع شده در تمام حساب ها بسیار بیشتر است.

بعضی از برنامه ها دارای درهای عمودی ، نقاط ورودی غیرمستند اضافی هستند. اگر این trapdoor ها در سیستم های عملیاتی باقی بمانند ، می توانند توسط برنامه نویس مورد استفاده غیرقانونی قرار بگیرند یا به طور تصادفی توسط دیگران کشف شوند.

اسب تروا یک خطای برنامه ای عمدی است که به موجب آن یک برنامه علاوه بر استفاده تبلیغاتی ، برخی از عملکردها را نیز انجام می دهد. به عنوان مثال ، برنامه ای که در ظاهر یک لیست قالب بندی شده از پرونده های ذخیره شده تولید می کند ، ممکن است نسخه هایی از آن پرونده ها را در دستگاه دوم که یک برنامه نویس مخرب به آن دسترسی دارد ، بنویسد.

ویروس برنامه نوعی خاص از اسب تروا است که خود به خود تکثیر می شود. این برنامه علاوه بر انجام برخی اعمال غیرقانونی ، کپی از خود را ایجاد می کند و سپس آن را در سایر برنامه های بی گناه تعبیه می کند. هر بار که برنامه بی گناه اجرا می شود ، کد ویروس پیوست شده نیز فعال می شود. سپس ویروس می تواند تکثیر و خود را به سایر برنامه های آلوده منتقل کند. اسب ها و ویروس های تروا می توانند به منابع محاسباتی آسیب جدی وارد کنند و هیچ اقدام متقابل عملی برای توقف یا حتی تشخیص حضور آنها وجود ندارد.

امنیت سیستم عامل ها

سیستم عامل ها قلب اجرای امنیت رایانه هستند. آنها بیشترین مراقبت کنترل دسترسی ، بیشترین شناسایی و احراز هویت و بیشترین اطمینان را از داده ها و یکپارچگی برنامه و تداوم خدمات انجام می دهند.

سیستم عامل هایی که به طور خاص برای امنیت ساخته شده اند ، به صورت هسته ای ساخته شده اند و مفهوم مانیتور مرجع را در خود جای داده اند. یک سیستم عامل هسته ای بصورت لایه ای طراحی شده است. داخلی ترین لایه دسترسی مستقیم به امکانات سخت افزاری سیستم محاسبات را فراهم می کند و اشیا abstract انتزاعی بسیار بدوی را به لایه بعدی صادر می کند. هر لایه پی در پی اجسام پیچیده تری را می سازد و آنها را به لایه بعدی صادر می کند. مانیتور مرجع درواقع دروازه ای بین سوژه ها و اشیا است. به سیستم عامل مراجعه کنید

امنیت پایگاه های داده

یکپارچگی به دلیل ماهیت اشتراکی داده ها ، برای پایگاه داده ها بیشتر از برنامه های کاربردهای عمومی است. یکپارچگی تفسیرهای بسیاری دارد ، مانند اطمینان از اینکه داده ها ناخواسته رونویسی ، از بین نمی روند یا مخلوط نمی شوند. این داده ها فقط توسط افراد مجاز تغییر می یابند. وقتی افراد مجاز داده ها را تغییر می دهند ، آنها این کار را به درستی انجام می دهند. اگر چندین نفر همزمان به داده ها دسترسی داشته باشند ، استفاده آنها تضادی نخواهد داشت. و اگر داده ها به نوعی آسیب ببینند ، می توانند بازیابی شوند.

سیستم های پایگاه داده به ویژه مستعد استنباط و جمع هستند. از طریق استنباط ، یک کاربر ممکن است بتواند اطلاعات جزئی یا ممنوع با کسر از نتایج غیر حساس بدون دسترسی به اطلاعات حساس خود را بدست آورد. تجمیع توانایی دو یا چند مورد داده جداگانه برای حساسیت بیشتر (یا کمتر) در کنار هم نسبت به جداگانه است. روشهای مختلف آماری جلوگیری از استنباط را بسیار دشوار می سازد ، همچنین جلوگیری از تجمع نیز بسیار دشوار است ، زیرا کاربران می توانند در مدت زمان طولانی به حجم زیادی از داده از پایگاه داده دسترسی پیدا کنند و سپس دادهها را به طور مستقل با هم مرتبط کنند.

امنیت شبکه ها

با گسترش نیازهای رایانه ای ، کاربران رایانه ها را به یکدیگر متصل می کنند. اتصال شبکه اما باعث افزایش خطرات امنیتی در محاسبات می شود. در حالی که کاربران یک دستگاه توسط برخی کنترلهای فیزیکی محافظت می شوند ، با دسترسی به شبکه ، کاربر می تواند به راحتی هزاران مایل از رایانه واقعی فاصله داشته باشد. بعلاوه ، مسیریابی پیام ممکن است شامل بسیاری از ماشینهای میانی ، میزبان باشد ، که هر یک از آنها یک نقطه ممکن است که در آن می توان پیام را اصلاح یا حذف کرد ، یا پیام جدید ساخت. یک تهدید جدی احتمال جعل هویت ماشین دیگری در شبکه برای امکان رهگیری ارتباطات عبوری از ماشین جعلی است.

روش اصلی برای بهبود امنیت ارتباطات درون شبکه ، رمزگذاری است. پیام ها می توانند پیوند رمزگذاری شده یا پایان به پایان باشند. با رمزگذاری پیوند ، پیام در هر میزبان میانی رمزگشایی می شود و قبل از انتقال به میزبان بعدی مجددا رمزگذاری می شود. رمزگذاری پایان به پایان توسط مبدع پیام اعمال می شود و فقط توسط گیرنده نهایی حذف می شود.

برای بهره مندی از اشتراک دسترسی به سیستم های محاسباتی که همه آنها در کنار هم قرار ندارند ، سازمان ها شبکه های خصوصی مجازی (VPN) ایجاد کرده اند. این شبکه ها با هزینه های نزدیکتر به منابع عمومی مشترک ، به امنیت یک شبکه خصوصی نزدیک می شوند. تکنیک اصلی امنیتی استفاده شده رمزگذاری است.

اینترنت ، یا هر شبکه عمومی مشابه دیگر ، در معرض تهدید در دسترس بودن ، یکپارچگی و رازداری آن است. یک ویژگی پیچیده این است که به طور موثر هیچ کنترلی در انتقال از طریق اینترنت وجود ندارد. در نتیجه ، یک سیستم متصل به اینترنت در معرض هرگونه حمله مخربی است که هر کاربر اینترنت دیگری می خواهد راه اندازی کند.

محیط امنیتی

محیط امنیتی یک مرز منطقی است که تمام منابع کنترل شده و محافظت شده را احاطه کرده است. منابع محافظت شده یک دامنه (یا شبکه فرعی محافظت شده یا محاصره شده) نامیده می شوند. ممکن است دامنه هایی با حفاظت متفاوت با هم تداخل داشته باشند ، به طوری که حساس ترین منابع در داخلی ترین حوزه قرار دارند که بهترین محافظت است. محافظت از محیط امنیتی ممکن است کنترل های فیزیکی ، شناسایی و احراز هویت ، رمزگذاری و سایر اشکال کنترل دسترسی باشد. دو کنترل که به ویژه به محیط امنیتی مربوط می شوند ، اسکن آسیب پذیری شبکه و فایروال ها هستند.

اسکن آسیب پذیری شبکه ، فرآیند تعیین اتصال شبکه فرعی در یک محیط امنیتی و سپس آزمایش قدرت حفاظت در تمام نقاط دسترسی به شبکه فرعی است. با دامنه شبکه ، اگر یک نقطه دسترسی فراموش شده ایمن نباشد ، ضعف آن می تواند حفاظت از بقیه دامنه را تضعیف کند. یک اسکنر شبکه ، اتصال یک دامنه را به طور معمول با کاوش از خارج از دامنه ترسیم می کند تا مشخص کند چه منابعی از خارج قابل مشاهده هستند. به محض شناسایی تمام اتصالات خارجی ، هرکدام با طیف وسیعی از حملات آزمایش می شوند تا آسیب پذیری هایی را که به آنها حساس است شناسایی کنند و از آنها محافظت شود.

فایروال میزبانی است که به عنوان یک درگاه امن بین محفظه محافظت شده و خارج از آن فعالیت می کند. دیوار آتش بر اساس سیاست دسترسی از پیش تعیین شده ، تمام ترافیک را کنترل می کند. به عنوان مثال ، بسیاری از فایروال ها به گونه ای پیکربندی شده اند که امکان ارتباط بدون مانع از خارج (از دامنه محافظت شده به مقصد خارج از دامنه) را فراهم می کنند اما فقط انواع خاصی از ارتباطات ورودی را مجاز می دانند. فایروال می تواند یک کامپیوتر جداگانه باشد ، یا می توان عملکرد فایروال را در سوئیچ ارتباطات متصل به شبکه به شبکه خارجی تعبیه کرد.