אבטחת מערכות מידע
מתוך ויקיפדיה, האנציקלופדיה החופשית
אבטחת מערכות מידע הוא תחום פעילות העוסק בהגנה על מערכות מחשב מפני סיכונים המאיימים עליהן. לרוב מקובל להתייחס לשלושה היבטים מרכזיים עליהם נדרש להגן בהקשר של מערכות מידע:
- חסיון המידע - מידע יהיה נגיש לגורם שהורשה לו בלבד.
- זמינות המידע (והמערכת) - מערכת המידע והמידע האגור בה יהיו זמינים בהתאם לרמת הזמינות שהוגדרה על ידי לקוחות המערכת.
- שלמות ואמינות המידע - הגנה על כך שהמידע במערכת יכיל את כל שהוגדר מלכתחילה וכי הנתונים עצמם לא עברו שינוי על ידי גורם שאינו מורשה.
תוכן עניינים |
[עריכה] הרשאות
מתן אפשרות למשתמש מסוים לבצע פעולה נתונה במערכת מידע. הפעולות עשויות להיות יצירה, כתיבה, מחיקה או שינוי של קובץ, הזנה של נתונים בטווח ערכים או כל פעולה אחרת שהמערכת תוכננה להכיל.
מערכת הרשאות מתבססת על הזדהות כתנאי מקדים, שכן המערכת נדרשת לקשר בין משתמש לפעולה. במערכות בהן אין הזדהות (כדוגמה, גוגל), ניתנות הרשאות למשתמשים לא מזוהים (כלומר, מנגנון ההזדהות מקשר ישות לא מזוהה עם משתמש אנונימי).
ויקיפדיה, היא דוגמה למערכת מידע פתוחה למדי, אך גם בה יש מערכת הרשאות. כל גולש רשאי לעיין בכל דף ולשנות אותו, אך דפים מסוימים מוגנים מפני שינוי, כך שרק מפעילי מערכת רשאים לשנותם. מחיקת דף ניתנת להיעשות רק על ידי מפעילי מערכת, ולהם נתונה הסמכות לחסום כליל משתמש שמזיק למערכת. כמו כן נעשה שימוש בזיהוי זמני עפ"י IP, זיהוי שמבחינת הגולש הוא שקוף אולם מאפשר להפריד בין משתמשים אנונימיים שונים הנמצאים באותו רגע.
[עריכה] הזדהות
תהליך בו משתמש (אדם או שירות ממוחשב) מספק למערכת מידע פריט מידע המזהה אותו ואמצעי לווידוא הזיהוי. האמצעי הנפוץ ביותר הנו השימוש בשם משתמש וסיסמה, אולם ישנן אפשרויות נוספות החל מכרטיס חכם (דומה לכרטיס אשראי) ועד זיהוי ביומטרי (לפי תכונות גופניות כמו טביעת אצבע). מקובל לחלק את אמצעי ההזדהות השונים לשלוש קבוצות:
- משהו שהמשתמש יודע - בקבוצה זו נכללות סיסמאות
- משהו בבעלות המשתמש - בקבוצה זו נכללים מנגנוני ייצור סיסמה חד פעמים (OTP), רכיבי אחסון לסיסמאות (Token), כרטיסים חכמים
- משהו שהוא המשתמש - בקבוצה זו נכללים אמצעי הזיהוי הביומטרים
הזדהות חזקה (כזו המאפשרת רמת וודאות גבוהה במיוחד בזיהוי) תכלול שילוב של שתיים מתוך שלוש השיטות. הדוגמה הקלאסית לכך הנה השימוש בכרטיסי אשראי. בכל ניסיון למשוך כסף מכספומט אנו נדרשים להזדהות באמצעות שני רכיבים - משהו שנמצא ברשותנו (כרטיס האשראי המכיל פרטי זיהוי) ומשהו שאנו יודעים (קוד סודי). ללא אחד מהשניים תהליך הזיהוי לא יושלם.
לרוב תהליך ההזדהות הוא החלק הבעייתי ביותר במערכת אבטחת המידע, במיוחד כאשר מדובר ברשת, וזאת בשל הצורך לטפל במספר בעיות פוטנציאליות:
- אובדן יכולת התחברות (לרוב איבוד סיסמה). כיום במרבית האתרים ניתנת אפשרות לשליחת הסיסמה לדואר האלקטרוני שהוזן בעת הרישום. כך ניתן לקבל את הסיסמה גם אם היא נשכחה, והיא נגישה רק למי שיש לו גישה לדוא"ל של המשתמש.
- הצורך במשתמש בעל הרשאות בלתי מוגבלות
- הצורך בהזדהות המשותפת למספר מערכות ו/או מחשבים
- הנטייה של משתמשים לרשום את הסיסמה ו/או ללכת ולהשאיר את המחשב במצב שלאחר ההזדהות
[עריכה] הגנה מפני תוכנה מזיקה
הגנה של אנטי וירוס ואנטי ספאם על ה דוא"ל ושימוש בשרת קרבה PROXY לאינטרנט החיצוני, החלפת כתובות איטרנט של ה PROXY כלפי חוץ והתקנת אנטי וירוס על כל מחשב בחברה מעלה את עמידות המערכת מפני התקפות מבחוץ.
[עריכה] גיבוי
- ערך מורחב – גיבוי
כחלק מתהליך האבטחה יש לשמור גיבוי של המידע לפני השינויים ואחריהם על מנת לאפשר שחזור של המידע במקרה של כשל. כמו כן נשמרת היסטורית השינויים שנעשו במידע בכדי לאתר שינויים בלתי מורשים, ובכדי לאפשר חזרה לגרסה תקינה במקרה של שיבוש.
[עריכה] ראו גם
- אבטחת מחשב אישי ברשת - חומת אש - וירוס - סוס טרויאני - סיסמה - IP - פורט - סריקת כתובות IP - סריקת פורטים - שרת פרוקסי - פרצות אבטחה - קראקר - האקר - האקינג - פיצוח - הצפנת מידע - RSA
[עריכה] קישורים חיצוניים
- פורום אבטחת מידע, באתר "נענע"
- מחקר על התגובה לתוכנות רוגלה באינטרנט, ב־YNET

