5 / 5. 3

فهرست مطالب

فهرست مطالب

سرویس های امنیتی در شبکه های کامپیوتری

1- اصول امنیت

سرویس های امنیتی مبتنی بر اصول امنیتی می باشند.

اصول امنیتی، یک راهنما برای شرکت ها می باشد تا بتوانند سیاست های امنیتی خود(به منظور فراهم سازی امنیت اطلاعات) را به درستی شناسایی کنند. 

اصول امنیتی از سه گانه محرمانگی، جامعیت و دسترس پذیری تشکیل شده است.

همچنین از این سه گانه به عنوان مثلث CIA نیز یاد می شود که مخفف Confidentiality  ، Integrity ، Availability می باشد.

اصل امنیتی

1.1- محرمانگی (Confidentiality)

در عمل محرمانگی مربوط به تعیین درجه محرمانگی داده ها،  دسته بندی آن ها و کنترل دسترسی می باشد.

با استفاده از این اصل امنیتی شرکت ها باید به درستی انتخاب کنند که از نظر صاحب بیزنس، شرکا و مشتریانش کدام داده ها بیشترین اولویت محرمانگی را دارا می باشند.

مثلا در یک کتابخانه نسخه های خطی قدیمی را در یک گاو صندوق قرار می دهند ولی کتاب های معاصر و جدید را در قفسه ها قرار می دهند که مورد دسترس عموم نیز می باشند.

زمانی که اولویتها، مشخص و داده ها بر حسب درجه محرمانگی به درستی انتخاب شدند، شرکت ها میتوانند سرویسهای امنیتی مناسبی را برای تامین محرمانگی انتخاب کنند.

1.2 – جامعیت (Integrity)

زمانی که یک بیزنس یا شرکت تضمین می کند که در شبکه خود اصل جامعیت را رعایت کرده است.

یعنی به مشتریان و شرکای خود این تضمین را میدهد که داده ها کاملا درست و دست نخورده هستند.

بانک ها یکی از ارگان هایی هستند که همواره باید اصل امنیتی جامعیت را رعایت کنند. 

برای مثال مشتریانشان زمانی که از اینترنت بانک خود استفاده میکنند مطمئن هستند که موجودی حسابی که در سایت میبینند دقیقا همان موجودی میباشد که در بانک دارند.

1.3 – دسترس پذیری (Availability)

با استفاده  از این اصل امنیتی ، سازمان ها مشخص می کنند که کدام داده ها باید به محض تقاضا توسط مشتری قابل دسترس و  کدام داده ها فقط باید در زمان های خاصی قابل دسترس باشند.

 

مثلا در اینترنت بانکها، مشتری در هر زمان از شبانه روز قادر است موجودی حساب خود را چک کند اما برای انتقال پول از طریق شبا فقط در ساعات اداری می تواند اقدام کند.

2- سرویس های امنیتی در شبکه های کامپیوتری

یک سرویس امنیتی همواره در تلاش است تا با استفاده از چندین مکانیزم امنیتی، اصول و سیاست ها امنیتی را رعایت کند.

سرویس ها به طور کلی به سه دسته تقسیم می شوند:

سرویس امنیتی

2.1- سرویس های مبتنی بر اصل محرمانگی

 

سرویس های مبتنی بر اصل امنیتی محرمانگی  سعی می کنند تا اصل محرمانگی  را پیاده کنند.

هر سرویسی که در این گروه قرار میگیرد میتواند از مکانیزم های امنیتی مختلف (مثل مکانیزم های کنترل ترافیک یا مکانیزم های رمزنگاری) استفاده کند.

این سرویسها به دو روش تضمین میکنند که اطلاعات، در دسترس افراد، موجودیتها یا فرآیندهای غیر مجاز قرار نگرفته یا فاش نشوند.

سرویس امنیتی مبتنی بر محرمانگی

روش محرمانه سازی اطلاعات به هنگام ارسال و مخابره:

در این روش اطلاعات به گونه ای ذخیره میشوند که امکان مشاهده و فهم محتوای آنها برای افراد غیرمجاز وجود ندارد. 

مثلا قبل از این که اطلاعات بر روی کانال ارتباطی قرار گیرند، با استفاده  از مکانیزم های امنیتی رمزگذاری، بصورت رمز در آمده و سپس ارسال می شوند.

سرویس امنیتی مبتنی بر محرمانگی

روش محرمانه سازی جریان ترافیک:

اطلاعات مبادله شده بین فرستنده و گیرنده، بخشی از اطلاعات سازمان را افشا می کنند.

بنابراین با محرمانه سازی ترافیک، می توان جلوی برخی حملات را گرفت. 

برای مثال حمله تحلیل ترافیک یکی از حملاتی است که سعی می کند تا با تحلیل اطلاعات ترافیکی در شبکه ی یک سازمان، به آن حمله کند

سرویس امنیتی مبتنی بر محرمانگی

2.2- سرویس های مبتنی بر اصل امنیتی جامعیت

سرویس های امنیتی مبتنی بر جامعیت در تلاش هستند تا اصل جامعیت  را با استفاده از مکانیزم های امنیتی مختلف مثل امضای دیجیتال و … در شرکت ها پیاده سازی کنند.

این سرویس های امنیتی از هر گونه تحریف و حذف اطلاعات توسط افراد غیرمجاز، جلوگیری میکنند یا چنین اقداماتی را کشف می نمایند.  

مثلا برای سازمان سنجش لیست قبول شدگان موضوع محرمانه ای نیست و این لیست را در معرض عموم قرار داده اند ولی حفظ جامعیت آن اهمیت زیادی دارد.

اگر سازمان سنجش اصل جامعیت را رعایت نکند یعنی این امکان وجود دارد که نتایج قبولی توسط نفوذگران تحریف شده باشند.

حملات قابل پیشگری توسط این سرویس امنیتی:

  • تامین امنیت در مقابل حملات فعال
  • جلوگیری از حملات تکذیب با استفاده از مکانیزم کنترل سطح دسترسی
  • کشف و جلوگیری از حملات دستکاری اطلاعات با استفاده ی از امضای دیجیتال
  • کشف تغییرات غیر مجاز در مبدأ، مقصد و زمان انتقال

2.3- سرویس های مبتنی بر اصل دسترس پذیری

این سرویس ها تضمین میکنند، اطلاعات، خدمات، برنامه های کاربردی  و … در زمان درخواست توسط افراد مجاز، در کوتاه ترین زمان ممکن قابل دسترس باشند.

برخی از روشهایی که در این سرویس ها ارائه میشوند، تا فراهم کردن اطلاعات مورد درخواست کاربران تضمین گردد، عبارتند از:

 

سرویس امنیتی مبتنی بر دسترس پذیری

استفاده از نسخه پشتیبان (Backup):

 

در این روش که معمولا بصورت آفلاین انجام می شود، با تهیه ی نسخه های پشتیبان از اطلاعات اصلی و نگهداری آن ها در مکان های امن، می توان با بروز اشکال در سیستم و یا از بین رفتن اطلاعات، آن را به حالت صحیح اولیه بازگرداند.

 

سرویس امنیتی مبتنی بر دسترس پذیری

غلبه بر خطا (Fail-Over):

در این روش که بصورت آنلاین انجام می شود، با استفاده ی از یک فرآیند خودکار خطا و اشکال تشخیص داده شده و در سریع ترین زمان ممکن، اطلاعات یا قابلیت یک سیستم به شکل اولیه خود بازسازی می شوند .

مثلا در یک فروشگاه انلاین کاربر نیاز دارد، هر زمان که بخواهد پرداخت آنلاین خود را انجام دهد اما گاهی این درگاه ها خطا می دهند.

در نتیجه یک فروشگاه انلاین مثل دیجی کالا هیچ گاه از یک درگاه برای پرداخت استفاده نمی کند چون در صورت خطا هنگام پرداخت موجبات نارضایتی کاربران فراهم می شود.

در نتیجه یک سیستم تشخیص خطا پیاده سازی می کند که اگر درگاه فعلی به خطا خورد ، کاربر را به درگاه بعدی هدایت کند. در نتیجه کاربر متوجه این خطا نخواهد شد و می تواند پرداخت خود را سریع انجام دهد.

سرویس امنیتی مبتنی بر دسترس پذیری

3- سرویس امنیتی AAA

سرویس امنیتی AAA یا A3 توسط شرکت سیسکو ارائه شده است.

این سرویس مبتنی بر اصل جامعیت و محرمانگی می باشد.

AAA از سه مکانیزم مختلف برای برقراری محرمانگی و جامعیت استفاده می کند.

Authentication: مکانیزم احراز هویت کاربر از طریق یوزنیم و پسورد

Authorization: مکانیزم تشخیص مجوزهای دسترسی کاربر بعد از احراز هویت مثلا کاربر چه فایل هایی را می تواند ببیند یا چه فایل هایی را می تواند ویرایش کند.

Accounting: مکانیزمی برای تهیه تاریخچه ای از فعالیت کاربران مثلا کاربر چه زمانی را سپری، چه فایل هایی را خوانده و یا چه فایل هایی را تغییر داده است(برای جلوگیری از حمله تکذیب)