[אשכול] אבטחת מידע - הקדמה
הקדמה
אבטחת מידע הינה תחום העוסק בהגנה על מערכות מחשב והמידע האגור בהן מפני סיכונים אפשריים. מטרת מדריך זה להביא להגברת המודעות לנושא אבטחת המידע בקרב משתמשים בכלל ומשתמשים אשר יש להם גישות למאגרי מידע.
בתחום אבטחת מידע מקובל להתייחס לשלושה היבטים מרכזיים עליהם נדרש להגן בהקשר של מערכות מידע:באבטחת מידע חובה לשים לב לכל הכלים אשר איתם מציגים את המאגר ולדוג' ניקח אתר:
- חיסיון המידע - השימוש במידע והפצתו יהיה רק למטרות לשמן הוקם המאגר ועל ידי גורמים מורשים בלבד, בהתאם לרמת ההרשאה שהוגדרה לכל משתמש.
- זמינות המידע - מערכת המידע והמידע האגור בה יהיו זמינים בהתאם לרמת הזמינות הנדרשת למשתמשי המערכת.
- שלימות ואמינות המידע - כל המידע במערכת יהיה מוגן מפני חבלה או שינוי על ידי גורם שאינו מורשה.
הכלים שלו הם:
שרת,קבצי האתר והמשתמש אשר מהווה גישות למאגר המידע.
על מנת לחסום את אותם ניצולים\חורי אבטחה באותם כלים
צריך להבין את ההיגיון בשיטות הפריצה וככה לאבטח גם,
כיום שיטות הפריצה לשרתים,אתרים וכו' מפורסמות באינטרנט ואין בעיות למצוא אותם,
לדוג':
שרתים - ,apache/modules exploites
אתרים - PHP/SQL INJECTION,XSS,RFI,LFI ועוד.
פריצה למשתמש - שימוש בXSS לפישינג(השתלת קוד לגניבת ססמא), השתלת " פינץ' "(קובץ אשר גונב ססמאות) במחשב של המשתמש וכו'.
-- על שיטות אלה נכתוב מדריכים בהמשך --
לפי סינון וחסימת שיטות הפריצה חורי האבטחה נחסמים וכך אין גישה לאותו פורץ, אך זה לא הכל, אבטחת מידע היא גם עניין של חוכמה, המשתמש בעל הגישות למאגר המידע צריך חוכמה כדי שלא ישתמשו לו ב"פישינג" הוא צריך לשים לב לכל דבר קטן, לבדוק כל קובץ\קוד ששולחים לו ולשמור טוב על הססמאות שלו מפני צפייה של אחרים בהן.
כך חוסמים פריצות,מדריכים נוספים יכתבו בהמשך,זו רק הייתה הקדמה =]
תצפו לעוד
בתודה, חגי אבישר.
