ויקיפדיה

אבטחת מידע – הבדלי גרסאות

עיון אינטראקטיבי בהיסטוריה
→ העריכה הקודמתהעריכה הבאה ←
תוכן שנמחק תוכן שנוסף
חזותיקוד ויקי
אין תקציר עריכה
תגית: תו כיווניות מפורש
הסרת תווים בלתי נראים, החלפות (לעיתים), הסרת קישורים עודפים, סידור קטגוריות
שורה 1:
{{עריכה|נושא=מחשוב}} [[קובץ:US Navy 060322-N-0555B-034 Information Systems Technician 1st Class Chris Hedger inspects the internal components of a computer during Information Security (INFOSEC) training.jpg|שמאל|ממוזער|350px|[[טכנאי]] של [[הצי האמריקני]] מבצע [[אימון|תרגול]] של ביקורת אבטחת מידע ב[[חומרה]] של [[מחשב אישי]]]]
'''אבטחת מידע''' (ב[[אנגלית]]: '''information security''' (infosec), או cybersecurity - אבטחת סייבר) היא הענף העוסק בהגנה מפני גישה, שימוש, חשיפה, [[ציתות]], שיבוש, העתקה או השמדה של [[מידע]] ומערכות מידע מצד גורמים שאינם מורשים או זדוניים ולספק סודיות, שלמות וזמינות של המידע ללא תלות בסוג המידע או בצורת האחסון, פיזית או אלקטרונית.
 
[[מאגר מידע|מערכות מידע]] עומדות בפני סיכונים יומיומיים המאיימים על שלמותן וביטחונן. ההגנה עליהן כוללת מספר רבדים, אבטחה פיזית של המבנה שבו נמצאות מערכות ה[[מחשב]], אבטחה של מערכות ה[[חומרה]] וה[[תוכנה]], אבטחת רכיבי ה[[תקשורת]] ואבטחת המידע הנאגר בהן. מאגרי מידע רבים המשמשים יחידים, תאגידים ומדינות, מאוחסנים על גבי מחשבים בעלי גישה ל[[אינטרנט]]. גם למאגר המבודל מהאינטרנט ניתן לגרום נזק באמצעות גישה ישירה. מאגרי מידע אלו כוללים [[מידע אישי]], עסקי וביטחוני.
שורה 33:
 
=== מודלים של אבטחת מידע ===
כיום נהוג ליישם אבטחת מידע על בסיס שני מודלים עיקריים. האחד: "מודל שבע השכבות" של ארגון OSI והשני: "מודל המעגלים" - CIA. בשני המודלים שכבות ההגנה החיצוניות הן: שכבת מדיניות, שכבת הגנה פיזית, שכבת הגנה על התקשורת הפנימית, שכבת הגנה על התקשורת החיצונית, שכבת הגנה על בסיס הנתונים ותחנת המשתמש, שכבת אבטחת האפליקציה, ושכבת אבטחת הנתונים.
במודל המעגלים מקובל להתייחס לשלושה נכסים מרכזיים שעליהם נדרש להגן ב[[מערכת מידע|מערכות מידע]]:
# '''חסיון המידע''' – מידע יהיה נגיש לגורם שהורשה לו בלבד;
שורה 43:
# '''אנשים''' – המשתמשים בטכנולוגיות, ולכן מהווים חוליה חלשה במיוחד, מכיוון שהם מפעילים או משתמשים בטכנולוגיות, ונוטים לעשות שגיאות המייצרות פרצות במערך ההגנה אשר מאפשרות לתוקף לנצלן.
# '''תהליכים''' – מידת הנזק משגיאת אנוש או [[נקודת תורפה]] טכנולוגית עשויה לִהצטמצם מאוד אם מבוצע תכנון נכון של התהליכים בארגון. הגדרת תהליכים בסדר נכון ובדוק מראש מאפשרת זיהוי מוקדם של פגיעה או ניסיון פגיעה במערכות.
<!-- עיקר תקציבי אבטחת המידע מנוצלים לטיפול בארבע השכבות החיצוניות, בעוד אבטחת בסיס הנתונים, תחנת המשתמש, אבטחת האפליקציה ואבטחת המידע של הנתונים עצמם לא טופלו. מסיבות אלו ואחרות, מרביתן תקציביות, בסיסי הנתונים בדרך-כלל לא מאובטחים, תחנת המשתמש אינה מוקשחת, ומרבית המפתחים אינם מיישמים מתודולוגיות של פיתוח מאובטח. לעתיםלעיתים מזומנות נושא אבטחת המידע לא נבדק בתהליכי QA, אין תהליכי בקרה על המידע ועל השימוש במידע ולבסוף - המידע עצמו גלוי ולא מוצפן.
לעתיםלעיתים מזומנות מדי בעידן הנוכחי, גם אין תהליכי בקרה נאותים, משתמש הקצה אינו מוכן להקשחת התחנה שלו ואינו נשמע למשמעת של אבטחת מידע. אין חינוך חובה לאבטחת מידע באקדמיה, אין רגולציה הדוקה לאבטחת מידע, והמודעות הכוללת לאבטחת מידע מאוד נמוכה. -->
 
בשל אילוצים כלכליים ולעיתים בשל מודעות נמוכה תהליכי הבקרה והרגולציה אינם טובים, משתמשי קצה לא תמיד מקפידים לציית להוראות הבטיחות והחינוך לאבטחת מידע באקדמיה לוקה בחסר. ההיבט של חלוקת התקציבים לטיפול בארבע השכבות החיצוניות מובן יותר כאשר קיימת סכנה לתשתיות שבהן האיום העיקרי אינו על המידע אלא על תהליכים טכניים, מכונות וכדומה.
שורה 170:
===הזדהות===
{{הפניה לערך מורחב|אימות זהות}}
[[קובץ:CryptoCard two factor.jpg|שמאל|ממוזער|250px|[[כלי|מכשיר]] לייצור [[סיסמה חד-פעמית|סיסמאות חד-פעמיות]]. המכשיר ניתן ל[[משתמש קצה|משתמש]] מורשה, ומדי זמן-מה מציג סיסמה אחרת. בזמן ה[[אימות זהות|הזדהות מול המערכת]], ה[[משתמש קצה|משתמש]]המשתמש נדרש להזין את הסיסמה האישית שלו, ובנוסף גם את הסיסמה המוצגת במכשיר]]
תהליך בו משתמש (אדם או שירות ממוחשב) מספק למערכת מידע פריט מידע המזהה אותו ואמצעי לווידוא הזיהוי. האמצעי הנפוץ ביותר הוא השימוש בשם משתמש ו[[סיסמה]], אולם ישנן אפשרויות נוספות החל מ[[כרטיס חכם]] ועד [[זיהוי ביומטרי]] (לפי תכונות גופניות כמו [[טביעת אצבע]]).
 
שורה 180:
הזדהות חזקה (כזו המאפשרת רמת ודאות גבוהה במיוחד בזיהוי) תכלול שילוב של שתיים מתוך שלוש הקבוצות. הדוגמה הקלאסית לכך היא השימוש ב[[כרטיס אשראי|כרטיסי אשראי]]. בכל ניסיון למשוך כסף מ[[כספומט]] אנו נדרשים להזדהות באמצעות שני רכיבים - משהו שנמצא ברשותנו (כרטיס האשראי המכיל פרטי זיהוי) ומשהו שאנו יודעים (קוד סודי). ללא אחד מהשניים תהליך הזיהוי לא יושלם.
 
לרוב תהליך ההזדהות הוא החלק הבעייתי ביותר במערכת אבטחת המידע, במיוחד כאשר מדובר ברשת, וזאת בשל הצורך לטפל במספר בעיות פוטנציאליות:
#אובדן יכולת התחברות (לרוב איבוד סיסמה). כיום במרבית אתרי האינטרנט ניתנת אפשרות לשליחת הסיסמה ל[[דואר אלקטרוני|דואר האלקטרוני]] שהוזן בעת הרישום. כך ניתן לקבל את הסיסמה גם אם היא [[שכחה|נשכחה]], והיא נגישה רק למי שיש לו גישה לדוא"ל של המשתמש. לעיתים נוהגים אתרים לאחזר סיסמה באמצעות תשובות לשאלות שרק בעל החשבון אמור לדעת את התשובות לגביהן וזאת בהתאם לפרטים שסיפק בעת הרשמתו.
#הצורך במשתמש בעל הרשאות בלתי מוגבלות.
שורה 189:
{{הפניה לערך מורחב|הצפנה}}
<!-- הצפנה היא תהליך ערבול מידע (קובץ) או תקשורת. תהליך זה בנוי על פי מודלים מתמטיים מורכבים הכוללים [[מפתח (קריפטוגרפיה)|מפתחות הצפנה]] בהם נעשה שימוש בתהליך [[צופן סימטרי|הצפנה סימטרי]] ובתהליך הצפנה א-סימטרי. -->
אבטחת מידע עושה שימוש מאסיבי בקריפטוגרפיה על רבדיה השונים החל מהצפנה שבה הנתונים מועברים למצב בלתי קריא על ידי אלגוריתמים להצפנה עם [[מפתח הצפנה|מפתחות הצפנה]] סודיים. הנתונים המוצפנים ניתנים לשחזור למצבם המקורי על ידי [[אלגוריתם]] הפענוח באמצעות מפתחות הפענוח המתאימים. קריפטוגרפיה מגינה על סודיות המידע גם בעת אחסונו וגם בזמן העברתו ברשת פתוחה הנגישה לגורמים זרים. בנוסף קריפטוגרפיה שימושית ליישומים נוספים כמו [[אימות זהויות]], [[חתימה דיגיטלית]] ו[[אי התכחשות]] המקבלים באמצעות רגולציה מתאימה תוקף חוקי.
 
בהתאם למידת האיום ההצפנה צריכה להיעשות עם אלגוריתמים ופרוטוקולים ידועים כמו [[RSA]], [[הצפנה מבוססת עקום אליפטי|ECC]], [[AES]] וכדומה ועם מפתחות הצפנה באורך בטוח שנקבע בהתאם למידת האיום, רמת הביטחון הנדרשת ורמת הביטחון בפועל של כל אחד ממרכיבי המערכת. חשוב להשוות את רמת הביטחון של כל המנגנונים המרכיבים את המערכת כי חוסנה נקבע לפי המרכיב החלש ביותר שבה. הטיפול במפתחות ההצפנה והפענוח צריך להיות באמצעים קריפטוגרפים מתאימים כמו [[הצפנה א-סימטרית#תשתית מפתח ציבורי|תשתית מפתח ציבורי]] (PKI) המטפלת במרבית הנושאים הקשורים בתחזוקה והעברה של מפתחות הצפנה.
 
כאמור קריפטוגרפיה עלולה להחדיר בעיות אבטחה אם אינה מיושמת כראוי. כל האלגוריתמים והפרוטוקולים חייבים להיות מוכרים על ידי תקנים תעשייתיים שעברו ביקורת פתוחה של מומחי אבטחת מידע. כדי להבטיח שהמערכת אמינה וכי היא מספקת את הביטחון המוצהר אין די בלהבטיח שהאלגוריתמים שבשימוש המערכת תקניים. נקודת התורפה העיקרית במערכות אבטחה היא האינטגרציה וההתאמה של כל המרכיבים אחד למשנהו באופן שאינו מחדיר דלתות סתר, פרצות ומחדלי אבטחה אחרים.
שורה 224:
מאמרים:
* [[מיכאל בירנהק]], [http://www.isoc.org.il/magazine/magazine6_2.html משפט המכונה: אבטחת מידע וחוק המחשבים], באתר של איגוד האינטרנט הישראלי
* {{ynet||מחקר: פחד ממרגלים משנה את הרגלי הגלישה|3109334|7 ביולי 2005}}
*[http://www.pcmagazine.co.il/articles/pid=5693&name=קניות-בטוחות-באינטרנט קניות בטוחות באינטרנט!] מגזין מחשבים.
* {{האקדמיה ללשון העברית - מילה|הבטחת איכות ואבטחת מידע|2010/07/25|הבטחת-איכות-ואבטחת-מידע}}
שורה 238:
==הערות שוליים==
{{הערות שוליים|יישור=ימין}}
[[קטגוריה:אבטחת מידע|*]]
 
[[קטגוריה:אבטחת מחשבים]]
[[קטגוריה:אבטחת מידע|*]]
[[קטגוריה:מערכות מידע]]
[[קטגוריה:היי-טק]]
אוחזר מתוך "https://he.wikipedia.org/wiki/אבטחת_מידע"