אבטחת מערכות מידע

מתוך ויקיפדיה, האנציקלופדיה החופשית
קפיצה אל: ניווט, חיפוש

אבטחת מערכות מידע הוא תחום פעילות רחב מאוד העוסק בהגנה על מערכות מחשב מפני סיכונים המאיימים עליהן.

מאגרי מידע רבים, המשמשים יחידים, חברות עיסקיות ומדינות, נמצאים על גבי מחשבים בעלי גישה לרשת האינטרנט. מאגרי מידע אלו כוללים מידע אישי, עיסקי וביטחוני. תחום אבטחת המידע, עוסק בהגנה על מאגרי מידע אלו מפני גישה בלתי מורשית, גישה העלולה לגרום נזק רב: אישי, כלכלי וביטחוני.

תוכן עניינים

[עריכה] מבוא

מקובל להתייחס לשלושה היבטים מרכזיים עליהם נדרש להגן בהקשר של מערכות מידע:

  1. חסיון המידע - מידע יהיה נגיש לגורם שהורשה לו בלבד.
  2. זמינות המידע (והמערכת) - מערכת המידע והמידע האגור בה יהיו זמינים בהתאם לרמת הזמינות שהוגדרה על ידי לקוחות המערכת.
  3. שלמות ואמינות המידע - הגנה על כך שהמידע במערכת יכיל את כל שהוגדר מלכתחילה וכי הנתונים עצמם לא עברו שינוי על ידי גורם שאינו מורשה. ישנו קונפליקט מתמיד בנוגע לאבטחת רשת המחשבים: קבלת החלטת המשתמש לגבי אבטחה מול נוחות. המחשב המאובטח ביותר הוא מחשב כבוי. האפשרות הקרובה ביותר לאבטחה מלאה היא להסיר את חיבור הרשת, המקלדת, העכבר, הצג, כונן התקליטונים והמדפסת, אך דבר זה אינו ריאלי. הרעיון המרכזי באבטחה הוא שככל שאתה מספק גישה נרחבת יותר למחשב, כך הוא מאובטח פחות. מנגד, הדרך הנוחה ביותר להשתמש במחשב היא להפוך אותן לזמין מכל מקום בעולם, להשתמש בכל פרוטוקולי התקשורת הקיימים וללא סיסמאות. אך כאן נוצרת הבעיה שכאשר יש גישה מלאה למחשב הגישה היא לכל אדם בעולם ורמת האבטחה שואפת לאפס.

בעיה נוספת העולה מתקיפת מערכות מידע של חברות היא אובדן אמון הלקוחות בחברה. במערכות המידע של חברות רבות מצויים מאגרי מידע המכילים פרטים המשויכים לקהל הלקוחות, וכאשר גורמים שאינם מורשים מפלסים דרך גישה למאגרים אלו, הופכים קהל לקוחותיה גם הם לקורבן. במידה והדבר מתפרסם ונודע ללקוחות, צפוי נזק רב לחברה, ובשל כך חברות רבות אינן מדווחות על כשלי אבטחה במערכת שלהן, על מנת להימנע ממבוכה ציבורית, ופגיעה בשמן הטוב ובאמון הלקוחות.

בכדי להגן על המידע ועל מערכות המידע, נעשה שימוש במערכות אבטחת מידע. מערכות אלו פרוסות בחתכים שונים בארגון, וכוללות: הגנת המידע ביישומים שונים (הצפנה, ניהול הרשאות), הגנת מערכת המידע ברמה הלוגית (הזדהות - מניעת גישה) וברמה הפיזית. לדוגמה אבטחת יישום ובד בבד הגנה על גישה פיזית (דלתות וחלונות) בדרך אל מקום אחסון המידע - השרתים.

כל שכבה בארגון: האפליקציה - מערכת ההפעלה - המחשב - רשת התקשורת המקומית (LAN) - השרתים - רשת התקשורת המרחבית (WAN) - אתרי האינטרנט - האינטרנט, כוללים מגוון יישומים וחוקים (רגולציות) לאכיפת מדיניות אבטחת מידע תקינה ואמינה.

אבטחת מידע הינו נושא המקיף את כל מערכות המחשוב הארגוניות מתחנת הקצה דרך מערכות ההפעלה, מערכות התקשורת, שרתי הגישה (Gateway) וכמובן הרשת המרחבית (WAN) והאינטרנט. לכל רשת אפשר לפרוץ, הפתרון טמון בשני רכיבים: הכנה וידע.

בשנים האחרונות נערכים ניסיונות רבים להתגבר על מגבלה זו וליצור מערכות המזהות בעצמן איום חדש. מטרת מחקרים כאלו היא ליצור למידה עצמאית ומתמשכת, יכולת לפעול באופן רציף תוך כדי זיהוי בעיות חדשות ומציאת פתרונות חדשים עבורן.

כאמור, לרוב מתבצעים ניסיונות מקומיים להגן על רשת האינטרנט. יחד עם זאת, פתרון אוניברסלי יעיל רק נגד איומים הפועלים על פי חוקים ברורים ומוגדרים, תוך מתן מענה טכנולוגי בזמן אמת וגיבוי בחקיקה מסודרת. כותבי הווירוסים אינם פועלים על פי חוקים קבועים ומנסים ליצור בכל עת וירוסים חדשים ומתוחכמים יותר. פירוש הדבר שיצירת פתרון הגנה מסוים אפקטיבי לתקופת זמן מוגבלת בלבד, דהיינו, עד שכותב הווירוסים ימציא וירוס חדש.

יישום אבטחת המידע מביא את הארגון, המערכת או התוכנה למצב שבו הסיכון לאיבוד מידע, כשל מידע או ניצול פרצת אבטחת מידע הוא נמוך.

[עריכה] הרשאות

מתן אפשרות למשתמש מסוים לבצע פעולה נתונה במערכת מידע. הפעולות עשויות להיות יצירה, כתיבה, מחיקה או שינוי של קובץ, הזנה של נתונים בטווח ערכים או כל פעולה אחרת שהמערכת תוכננה להכיל.

מערכת הרשאות מתבססת על הזדהות כתנאי מקדים, שכן המערכת נדרשת לקשר בין משתמש לפעולה. במערכות בהן אין הזדהות (כדוגמה, גוגל[דרושה הבהרה]), ניתנות הרשאות למשתמשים לא מזוהים (כלומר, מנגנון ההזדהות מקשר ישות לא מזוהה עם משתמש אנונימי).

דוגמה למערכת קבצים שמאפשרת שימוש בהרשאות, גם במחשבים אישיים, היא מערכת NTFS.

ויקיפדיה, היא דוגמה למערכת מידע פתוחה למדי, אך גם בה יש מערכת הרשאות. כל גולש רשאי לעיין בכל דף ולשנות אותו, אך דפים מסוימים מוגנים מפני שינוי, כך שרק מפעילי מערכת רשאים לשנותם. מחיקת דף ניתנת להיעשות רק על ידי מפעילי מערכת, ולהם נתונה הסמכות לחסום כליל משתמש שמזיק למערכת. כמו כן נעשה שימוש בזיהוי זמני על פי כתובת IP, זיהוי שמבחינת הגולש הוא שקוף אולם מאפשר להפריד בין משתמשים אנונימיים שונים.

[עריכה] הזדהות

תהליך בו משתמש (אדם או שירות ממוחשב) מספק למערכת מידע פריט מידע המזהה אותו ואמצעי לווידוא הזיהוי. האמצעי הנפוץ ביותר הנו השימוש בשם משתמש וסיסמה, אולם ישנן אפשרויות נוספות החל מכרטיס חכם ועד זיהוי ביומטרי (לפי תכונות גופניות כמו טביעת אצבע).

מקובל לחלק את אמצעי ההזדהות השונים לשלוש קבוצות:

  1. משהו שהמשתמש יודע - בקבוצה זו נכללות סיסמאות.
  2. משהו בבעלות המשתמש - בקבוצה זו נכללים מנגנוני ייצור סיסמה חד פעמים (OTP), רכיבי אחסון לסיסמאות (Token), כרטיסים חכמים וכו'.
  3. משהו שהוא המשתמש - בקבוצה זו נכללים אמצעי הזיהוי הביומטרים.

הזדהות חזקה (כזו המאפשרת רמת וודאות גבוהה במיוחד בזיהוי) תכלול שילוב של שתיים מתוך שלוש הקבוצות. הדוגמה הקלאסית לכך הנה השימוש בכרטיסי אשראי. בכל ניסיון למשוך כסף מכספומט אנו נדרשים להזדהות באמצעות שני רכיבים - משהו שנמצא ברשותנו (כרטיס האשראי המכיל פרטי זיהוי) ומשהו שאנו יודעים (קוד סודי). ללא אחד מהשניים תהליך הזיהוי לא יושלם.

לרוב תהליך ההזדהות הוא החלק הבעייתי ביותר במערכת אבטחת המידע, במיוחד כאשר מדובר ברשת, וזאת בשל הצורך לטפל במספר בעיות פוטנציאליות:

  1. אובדן יכולת התחברות (לרוב איבוד סיסמה). כיום במרבית אתרי האינטרנט ניתנת אפשרות לשליחת הסיסמה לדואר האלקטרוני שהוזן בעת הרישום. כך ניתן לקבל את הסיסמה גם אם היא נשכחה, והיא נגישה רק למי שיש לו גישה לדוא"ל של המשתמש. לעתים נוהגים אתרים לאחזר סיסמה באמצעות תשובות לשאלות שרק בעל החשבון אמור לדעת את התשובות לגביהין וזאת בהתאם לפרטים שסיפק בעת הרשמתו.
  2. הצורך במשתמש בעל הרשאות בלתי מוגבלות.
  3. הצורך בהזדהות המשותפת למספר מערכות ו/או מחשבים.
  4. הנטייה של משתמשים לרשום את הסיסמה ו/או ללכת ולהשאיר את המחשב במצב שלאחר ההזדהות.או לבטל סיסמא.

[עריכה] הצפנה

עמוד ראשיPostscript-viewer-shaded.png
 ערך מורחב – הצפנה

הצפנה היא תהליך ערבול מידע (קובץ) או תקשורת. תהליך זה בנוי על פי מודלים מתמטיים מורכבים הכוללים מפתחות הצפנה בהם נעשה שימוש בתהליך הצפנה סימטרי ובתהליך הצפנה א-סימטרי.

[עריכה] הגנה מפני תוכנה מזיקה

תוכנות מזיקות כוללות: וירוסים, סוסים טרויאנים ורוגלות, אשר נועדו לפגוע במחשב הקצה, למחוק מידע, להוציא מידע (ריגול) וניצול מחשב הקצה למטרות שונות (כוח עיבוד, פרסום).

רוגלות - Spyware/Adware - הן תוכנות אשר 'נידבקות' למחשב הקצה דרך אתרי אינטרנט ותוכנות מפוקפקות אשר בתהליך ההתקנה שלהן הותקנו גם תוכנות הרוגלות. תוכנות אלו מקפיצות פרסומות (pop-up) במחשב הקצה ושולחות מידע משתמש ממחשב הקצה כגון אתרים שבוקרו וסיסמאות, לשרתים באינטרנט המנצלים אותם לשימוש לא חוקי.

הגנה של אנטי וירוס, אנטי-ספאם והגנה מפני רוגלות בתחנת הקצה ובשרתי הגישה (Gateway) ברשת מספקות מענה להתמודדות עם סיכונים אלו. חלק מן הכלים הקיימים (בחינם או בתשלום) מספקים מענה אמין.

[עריכה] גיבוי

עמוד ראשיPostscript-viewer-shaded.png
 ערך מורחב – גיבוי

גיבוי הוא שמירת עותק (בדרך כלל יותר מאחד) קודם של הנתונים. הוא מאפשר שחזור חלקי (לדוגמה: במקרה של מחיקת קובץ מסוים) או מלא (במקרה של הרס של ההתקן או של כל המערכת).

שמירת גיבוי יכולה לעזור להתאושש מהתקפות שמחקו מידע או שגרמו לכך שהמידע במערכת לא אמין (אם יכול להיות שהתוקף שינה חלק ממנו. לדוגמה: אם מישהו פרץ לאתר בנק ויכול להיות ששינה קצת את מאזני החשבונות).

[עריכה] הסמכה

הסמכות ותקנים בינלאומיים מתייחסים לשיטות יישום והבנת מערכות אבטחה. הסמכה נפוצה בעולם הינה ההסמכה של ארגון ה-ISC2 והסמכת ה-CISSP (ראשי תיבות של Certified Information Systems Security Professional). הסמכה זו כוללת 10 נושאים ראשיים (Domains) למבחן סופי:

  1. Access Control Systems
  2. Telecommunication and network security
  3. Security Management Practice
  4. Applications and Systems Development
  5. Cryptography
  6. Security Architecture and Models
  7. Operational Security
  8. BCP & DRP
  9. Law Investigation and Ethics
  10. Physical Security

[עריכה] ראו גם

[עריכה] קישורים חיצוניים

מיזמי קרן ויקימדיה
ויקיספר ספר לימוד בוויקיספר: אבטחת מידע
מקור: http://he.wikipedia.org/w/index.php?title=%D7%90%D7%91%D7%98%D7%97%D7%AA_%D7%9E%D7%A2%D7%A8%D7%9B%D7%95%D7%AA_%D7%9E%D7%99%D7%93%D7%A2&oldid=12022751
כלים אישיים
גרסאות שפה
מרחבי שם
פעולות
ניווט
קהילה
תיבת כלים
דף זה בשפות אחרות
הדפסה/יצוא