مفاهیم پایه ای امنیت وب

14 آگوست 2022

0 774 زمان تقریبی مطالعه 3 دقیقه

هر کسب و کاری در دنیای امروز، برای فروش محصولات یا خدمات و تبلیغات به یک وب سایت نیاز دارد. وب سایت‌های زیادی مورد هدف حمله قرار می‌گیرند. برای جلوگیری از آسیب دیدن در برابر حملات، یک سری کارها بایستی بر روی هر سایت انجام شود تا امنیت آن تامین گردد. باید وب سایت را در برابر حملاتی مثل سو استفاده از خطاهای نرم افزاری و تغییر شکل دادن وب سایت و افشای داده‌های backend data محافظت کرد. هدف ما از این مقاله ارائه مفاهیم پایه‌ای امنیت وب برای کاهش دادن میزان حملات و سو استفاده‌هاست.

فهرست مطالب

امنیت سرور وب

در رابطه با موضوع امنیت، نه فقط سیستم عامل بلکه تمام برنامه‌های کاربردی دستگاه بهتر است ایمن شوند. تمام برنامه‌های اضافیرا غیر فعال کنید. حذف کردن هر بخشی که از آن استفاده نمی‌شود، امکان بروز حمله را کاهش می‌دهد. در اینجا می‌خواهیم درمورد مفاهیم اساسی امنیت وب صحبت کنیم.

حملات امنیتی

حملات امنیتی متعددی عملکرد و کارایی سیستم ها را تحت تاثیر قرار می دهد. دو دسته‌بندی برای حملات امنیتی در نظر داریم. حملات غیر فعال که هدفش آگاهی از اطلاعات موجود در سیستم می‌باشد و حملات غیر فعال که هدفش تلاش برای تغییر دادن منابع سیستم است.

سرویس‌های امنیتی

یک سرویس ارتباطی که جهت پیاده‌سازی سیاست‌های امنیتی و محافظت از منابع سیستم ارائه می‌شود. این سرویس‌ها را می‌توان به 5 دسته‌ی شناسایی هویت یا تصدیق اصالت، کنترل دسترسی، محرمانه بودن داده‌ها، یکپارچگی داده‌ها و عدم انکار تقسیم کرد.

شناسایی هویت (authentication)

این نوع سرویس امنیتی، برای اطمینان از هویت و تایید اصالت ارتباط برقرار شده می‌باشد. سرویس تصدیق اصالت به دریافت‌کننده این اطمینان را می‌دهد که پیام از سمت منبع معتبر گرفته شده است. این سرویس در یک ارتباط مداوم تایید می‌کند که هر دو سمت، همان هویتی را دارند که ادعا می‌کنند و همینطور این اطمینان را می‌دهد که هیچ فرد یا ارتباط دیگری نمی‌تواند خود را به جای موجودیت اصلی یک طرف ارتباط جا بزند.

کنترل دسترسی (access control/authorization)

وظیفه‌ی این سرویس، محدود کردن و کنترل دسترسی به منابع و داده‌های مختلف سیستم می‌باشد. برای این موضوع، همه موجودیت‌ها باید از مرحله تصدیق اصالت بگذرند.

محرمانگی داده‌ها (data confidentiality)

در این سرویس، فقط کابران مجاز می‌توانند داده‌های محافظت شده را بفهمند. در واقع از تمامی یا بخشی از داده‌های انتقالی بین دو طرف ارتباط در یک بازه زمانی محافظت می‌کند. این مدل سرویس معمولا به صورت رمزنگاری اجرا می‌شود.

یکپارچگی داده‌ها (data integrity)

این نوع سیستم تضمین می‌کند که پیام دریافتی دقیقا همان پیام ارسال شده است و تغییری در آن ایجاد نشده است. در واقع مانع از آن می‌شود که یکپارچگی کل دیتاهای سیستم از بین برود و معنی خودشان را از دست بدهند. تمرکز این سرویس بیشتر بر روی کشف حمله می‌باشد و اگر متوجه نقص یکپارچگی شود، فقط این مشکل را گزارش می‌دهد.

عدم انکار (non repudiation)

این سیستم اطمینان می‌دهد که فرستنده و گیرنده نتوانند انتقال اطلاعات را انکار کنند. لذا با کمک آن چه گیرنده و چه فرستنده زمانی که پیام را دریافت یا ارسال می‌کنند، می‌توانند اثبات کنند که پیام را منتقل کرده‌اند. این خدمت ساختار پیچیده‌ای دارد.

مکانیزم‌های امنیتی

سرویس‌های امنیتی توسط مجموعه‌ای از مکانیزم‌های امنیتی پیاده‌سازی و اجرا می‌شوند. این مکانیزم‌ها دو دسته دارند. یکی از آن‌ها در لایه‌ای خاص از پروتکل پیاده‌سازی می‌گردند و دیگری در لایه‌ای خاص پیاده‌سازی نمی‌شود.

مکانیزم‌های امنیتی خاص: این مکانیزم‌ها برای پیاده‌سازی یک سرویس امنیتی معین مثلا محرمانگی دیتاها کاربرد دارد.

مکانیزم‌های فراگیر: این سری مکانیزم‌ها به سرویس خاصی تعلق ندارند و برای همه سیستم‌ها قابل استفاده است. بازیابی امنیتی مثالی از این نوع مکانیزم می‌باشد. زمان وقوع حمله می‌تواند از آن حمله، خودش را بازیابی کند و به موقعیت قبل از آن برگردد.

درباره نویسنده این مقاله

اشتراک گذاری این مقاله

اشتراک گذاری در twitter
Twitter
اشتراک گذاری در linkedin
LinkedIn
اشتراک گذاری در telegram
Telegram
اشتراک گذاری در whatsapp
WhatsApp
اشتراک گذاری در email
Email