دسته بندی انواع تهدیدات امنیتی فناوری اطلاعات و راه کارهای
فرهنگ لغات امنیت مقدمه ای بر انواع تهدیدات:
در مباحث مربوط به امنیت کلماتی چون آسیب پذیری، تهدید، حمله و رفتار متقابل به دفعات مورد استفاده قرار می گیرند. در بسیاری از موارد شیوه به کارگیری این لغات اشتباه بوده و بجای یکدیگر مورد استفاده قرار می گیرند. در این بخش سعی شده تعریف مشخص و واضحی از لغات فوق برای استفاده در این مبحث ارائه گردد. و سپس به انواع تهدیدات امنیتی می پردازیم
- آسیب پذیری: نقطه ضعفی در سیستم است که باعث به خطر افتادن امنیت سیستم می گردد.
- تهدید: هر عملی که بالقوه با استفاده از آسیب پذیری های یک سیستم باعث سوء استفاده از سیستم گردد.
- حمله: تهدیدی می باشد که از حالت بالقوه به بالفعل در آمده باشد.
- اقدام متقابل: هر نوع فعالیت و تلاشی می باشد که به منظور کاهش ریسک یک تهدید صورت می پذیرد.
بنابر تعاریف فوق وجود یک یا چند آسیب پذیری در سیستم باعث تهدید امنیت سیستم می شود که مهاجمان می توانند با استفاده از آنها به هدف حمله کنند و اقدامات متقابل باعث عدم امکان یا کاهش توان مهاجم برای حمله به سیستم می شود .
دسته بندی انواع تهدیدات فناوری اطلاعات و راه کارهای امنیتی
- Destruction: تخریب
- Corruption: دستکاری
- Removal: پاک کردن
- Disclosure: افشا
- Interruption: استراق سمع یا شنود
- Fraud: فریب
حملات امنیتی
یکی از روش های دسته بندی حملات که در X.800 و RFC 2828 به آن اشاره شده است، تفکیک به دو دسته حملات غیرفعال و حملات فعال است. هدف یک حمله غیرفعال آگاهی یافتن از اطلاعات موجود در سیستم بدون تاثیر بر منابع سیستم است. در مقابل، هدف یک حمله فعال تلاش برای تغییر منابع سیستم و یا عملیات آن می باشد.
سرویس های امنیتی
تعریف یک سرویس امنیتی در X.800 عبارت است از:
“سرویسی است که توسط یک لایه پروتکل سیستم های در حال ارتباط ارائه می شود که امنیت سیستم ها و یا انتقال داده ها را به نحو مناسب تضمین می کند”
از سوی دیگر تعریف ارائه شده از یک سرویس امنیتی در RFC 2828 عبارت است از:
“یک سرویس ارتباطی یا پردازشی که توسط یک سیستم، به منظور نوعی از محافظت از منابع سیستم ارائه شود. سرویس های امنیتی، سیاست های امنیتی را پیاده سازی کرده که توسط مکانیزم های امنیتی پیاده سازی می شوند.”
در X.800 سرویس های امنیتی به پنج دسته:
- تصدیق اصالت
- کنترل دسترسی
- محرمانگی داده
- یکپارچگی داده
- عدم انکار
مدیریت سرور پشتیبانی و مشاوره – ثبت دامنه