دوره های آموزشی آکادمی پی وی لرن (پروژه محور و ویژه بازار کار)



  • ۱۹
  • اسفند

جلسه ۰۶-۰۲ : بررسی اصول امنیت سایبری (Cyber Security)

  • دسته‌بندی‌ها :
جلسه ۰۶-۰۲ : بررسی اصول امنیت سایبری (Cyber Security)
    • جزئیات
    • نوع محتواآموزشی

      با آموزش امنیت سایبری (Cyber Security) ، از وب سایت آموزشی پی وی لرن در خدمت شما کاربران عزیز خواهیم بود. بررسی اصول امنیت سایبری (Cyber Security) را در بخش قبل مورد بررسی قرار دادیم، در این بخش توضیحاتی برای هر مورد خواهیم داشت.

      بررسی اصول امنیت سایبری (Cyber Security)

      اصول امنیت سایبری (Cyber Security) را با بررسی هر مورد ادامه می دهیم.

      ۱٫ مکانیسم اقتصاد (Economy of mechanism)

      این اصل بیان می کند که ساز و کارهای امنیتی باید تا حد امکان ساده و اندک باشند. اصل مکانیسم اقتصاد طراحی و اجرای مکانیزم های امنیتی را ساده می کند. اگر طراحی و اجرا ساده و کوچک باشد ، برای خطاها کم تر فرصت وجود دارد. روند بررسی و آزمایش پیچیده تر است به طوری که نیاز به آزمایش اجزای کم تری دارد.

      اینترفیس ها بین ماژول های امنیتی منطقه مورد سوءظن است که باید تا حد امکان ساده باشد. برای این که ماژول های Interface ها اغلب فرضیات ضمنی راجع به پارامترهای ورودی یا خروجی یا وضعیت سیستم فعلی ایجاد می کنند. اگر هر کدام از این فرضیات اشتباه باشند ، اقدامات ماژول ممکن است نتایج غیر منتظره ای به بار آورد. چارچوب امنیتی ساده درک آن توسط توسعه دهندگان و کاربران را تسهیل می کند و امکان توسعه و تأیید کارآمد روش های اجرایی را برای آن فراهم می کند.

      ۲٫ پیش فرض ایمنی از خرابی (Fail-safe defaults)

      اصل Fail-safe defaults می گوید که پیکربندی پیش فرض یک سیستم باید دارای یک برنامه محافظه کارانه باشد. این اصل همچنین چگونگی آغاز امتیازات را هنگام ایجاد یک موضوع یا موضوع محدود می کند. هرگاه دسترسی ، امتیازات / حقوق و یا برخی از ویژگی های امنیتی به صراحت اعطا نشود ، نباید به آن شیء دسترسی پیدا کنید.

      مثال: اگر کاربر جدیدی را به سیستم عامل اضافه کنیم ، گروه پیش فرض کاربر باید حق دسترسی کم تری به فایل ها و خدمات داشته باشد.

      ۳٫ حداقل امتیاز (Least Privilege)

      این اصل بیان می کند که کاربر فقط باید آن امتیازاتی را داشته باشد که برای انجام وظیفه خود نیاز داشته باشد. وظیفه اصلی آن کنترل تکالیف حقوق اعطا شده به کاربر است نه هویت کاربر. این بدان معنی است که اگر رئیس خواستار دسترسی اصلی به سیستم یونیکس است که شما مدیریت می کنید ، نباید به او حق داده شود مگر این که او وظیفه ای داشته باشد که به چنین سطح دسترسی نیاز داشته باشد. در صورت امکان ، حقوق بالاتر هویت کاربر به محض این که دیگر نیازی به این حقوق نباشد حذف می شود.

      با بررسی اصول امنیت سایبری (Cyber Security) همراه هستیم.

      ۴٫ طراحی باز (Open Design)

      این اصل بیان می کند که امنیت یک مکانیزم نباید به محرمانه بودن طراحی یا اجرای آن بستگی داشته باشد. این نشان می دهد که پیچیدگی باعث افزایش امنیت نمی شود. این اصل بر خلاف رویکردی است که با عنوان “امنیت از طریق گمنامی” شناخته می شود. این اصل نه تنها در مورد اطلاعاتی مانند گذرواژه‌ ها یا سیستم های رمزنگاری بلکه همچنین سایر عملیات مرتبط با امنیت رایانه کاربرد دارد.

      مثال: محافظت از (DVD player & Content Scrambling System (CSS و CSS یک الگوریتم رمزنگاری است که از دیسک های فیلم DVD در برابر کپی غیر مجاز محافظت می کند.

      ۵- میانجیگری کامل (Complete mediation)

      اصل Complete mediation ذخیره اطلاعات را محدود می کند ، که اغلب منجر به اجرای ساده تر مکانیسم ها می شود. ایده این اصل این است که دسترسی به هر شی باید مطابق با یک طرح محافظت بررسی شود تا از اجازه آن ها اطمینان حاصل شود. در نتیجه ، باید احتیاط از تکنیک های بهبود عملکرد باشد، که جزئیات چک های مجوز قبلی را ذخیره می کنند ، زیرا مجوزها می توانند با گذشت زمان تغییر کنند.

      هر زمان که کسی سعی در دستیابی به یک شی داشته باشد ، سیستم باید حقوق دسترسی مرتبط با آن موضوع را تأیید کند. حقوق دستیابی به موضوع در یک بار دسترسی اولیه تأیید می شود و برای دسترسی های بعدی ، سیستم فرض می کند که همان حقوق دسترسی برای آن موضوع باید پذیرفته شود. سیستم عامل باید با همه و هر دسترسی به یک شی واسطه کند.

      مثال: یک وب سایت بانکی آنلاین باید کاربران را مجبور کند بعد از مدت معینی دوباره sign-in کند مانند این که بیست دقیقه سپری شده است.

      ۶٫ جدایی از امتیاز (Separation of Privilege)

      این اصل بیان می دارد که یک سیستم باید بر اساس برقرار بودن بیش از یک شرط، اجازه دسترسی را صادر کند. این اصل همچنین ممکن است محدود کننده باشد زیرا دسترسی اشخاص، سیستم را محدود می کند. بنابراین قبل از اعطای امتیاز ، باید بیش از دو مورد تأیید انجام شود.

      مثال: برای تغییر به ریشه ، باید دو شرط را رعایت کرد.

      • کاربر باید رمز عبور اصلی را بداند.
      • کاربر باید در گروهی مناسب باشد.

      ۷٫ کم ترین مکانیسم مشترک (Least Common Mechanism)

      این اصل بیان می کند که در سیستم های دارای چندین کاربر ، مکانیسم هایی که امکان به اشتراک گذاری منابع توسط بیش از یک کاربر را دارند ، باید تا حد امکان به حداقل برسند. این اصل همچنین ممکن است محدود کننده باشد زیرا باعث تقسیم منابع می شود.

      مثال: در صورت نیاز به دسترسی به یک فایل یا برنامه توسط بیش از یک کاربر ، این کاربران باید برای دسترسی به این منابع از کانال های جداگانه استفاده کنند ، این به جلوگیری از پیامدهای پیش بینی نشده ای که می تواند باعث ایجاد مشکلات امنیتی شود ، کمک می کند.

      ۸- پذیرش روانشناختی (Psychological acceptability)

      این اصل بیان می کند که یک مکانیزم امنیتی در صورت عدم وجود مکانیزم های امنیتی ، نباید دسترسی به منابع را پیچیده تر کند. اصل پذیرش روانشناختی عنصر انسانی را در امنیت رایانه می شناسد. اگر نرم افزارهای مرتبط با امنیت یا سیستم های رایانه ای برای پیکربندی ، نگه داری یا کارکرد آن بسیار پیچیده باشند ، کاربر از مکانیزم های امنیتی لازم استفاده نمی کند. به عنوان مثال ، اگر یک گذرواژه در طی فرایند تغییر رمز عبور مطابقت دارد ، برنامه تغییر رمز عبور باید بیان کند که چرا به جای دادن پیام خطای رمزنگاری ، آن را رد کرد. در عین حال ، برنامه ها نباید اطلاعات غیر ضروری را که منجر به سازش امنیت می شود ، افشا کنند.

      مثال: وقتی یک گذرواژه اشتباه وارد می کنیم ، سیستم باید به ما بگوید که شناسه کاربری یا رمز عبور نادرست بوده است. نباید به ما بگوید که فقط رمز عبور اشتباه بوده زیرا این اطلاعات را به مهاجم می دهد.

      ۹٫ فاکتور کار (Work Factor)

      در این اصل بیان شده است که هنگام طراحی یک طرح امنیتی ، هزینه دور زدن یک مکانیسم امنیتی باید با منابع یک مهاجم بالقوه مقایسه شود. در برخی موارد ، هزینه دور زدن (“معروف به عامل کار”) به راحتی قابل محاسبه است. به عبارت دیگر ، Work Factor اندازه گیری رمزنگاری متداول است که برای تعیین استحکام رمزنگاری معین استفاده می شود. این به طور مستقیم امنیت سایبری را ترسیم نمی کند ، اما مفهوم کلی اپلای می کند.

      مثال: فرض کنید تعداد آزمایش های لازم برای امتحان کردن کلمه عبور چهار کاراکتری ۲۴۴ = ۳۳۱۷۷۶ است. اگر یک مهاجم بالقوه باید هر رمز عبور آزمایشی را در یک ترمینال امتحان کند ، ممکن است یک رمز عبور چهار کاراکتر را رضایت بخش بداند. از طرف دیگر ، اگر مهاجم بالقوه بتواند از یک رایانه بی شمار استفاده کند که قادر است یک میلیون رمز عبور در هر ثانیه را امتحان کند ، رمز عبور چهار حرفی یک مانع جزئی برای یک متجاوز بالقوه خواهد بود.

      آخرین مورد از مبحث بررسی اصول امنیت سایبری (Cyber Security) را با Compromise Recording ادامه می دهیم.

      ۱۰٫ ثبت سازگاری (Compromise Recording)

      در اصل Compromise Recording گفته شده است كه گاهی اوقات ثبت کردن جزئیات نفوذ برای دستیابی به یک اقدام پیچیده تر برای جلوگیری از آن ، مطلوب تر است.

      مثال: سرورهای موجود در یک شبکه اداری می توانند برای همه دسترسی به فایل ها ، کلیه ایمیل های ارسال شده و دریافت شده و کلیه جلسات مرور در وب ، لاگ ها را نگه دارند. مثال دیگر این است که دوربین های مداربسته متصل به اینترنت نمونه بارز یک سیستم ثبت سازگاری است که می تواند برای محافظت از ساختمان در آن قرار بگیرد.

      بررسی اصول امنیت سایبری (Cyber Security) را در این جا به پایان می رسانیم.

      کلام پایانی

      مبحث بررسی اصول امنیت سایبری (Cyber Security) را در این بخش از آموزش امنیت سایبری دنبال نمودیم. در بخش بعدی به ملاحظات امنیت داده ها خواهیم پرداخت. با ما و آموزش ها همراه باشید.

      QR: جلسه ۰۶-۰۲ : بررسی اصول امنیت سایبری (Cyber Security)
      به اشتراک بگذارید
      , , , ,


      دیدگاه کاربران

      لیست مطالب دوره

      مطالب ویژه