• نرم افزار، برای مثال: تست ناکافی، فقدان پیگیری.
    • شبکه، برای مثال: خطوط ارتباطی محافظت نشده، معماری شبکه ناامن.
    • کارکنان، برای مثال: روند جذب ناکافی، آگاهی­های امنیتی ناکافی.
    • مکان، برای مثال: منطقه مستعد سیل،منبع برق غیر قابل اعتماد.
    • سازمانی، برای مثال: عدم پیگیری منظم، عدم تداوم برنامه­ها.

3-1-1- علت­های ایجاد آسیب پذیری­ها

برخی از منابع و علت­های ایجاد آسیب پذیری­ها عبارتند از:

پایان نامه

    • پیچیدگی سیستم: احتمال وجود نقص و نقاط دسترسی ناخواسته در سیستم­های بزرگ پیچیده، بیشتر است (8).
    • متعارف بودن سیستم: استفاده از کدها، نرم افزارها، سیستم عامل­ها یا سخت افزارهای معمول و معروف، احتمال اینکه یک مهاجم بتواند به دانش و ابزار، جهت بهره کشی از نقص موجود دسترسی پیدا کند، را افزایش می­دهد (9).
    • اتصال: اتصالات فیزیکی، امتیازات[1]، پورت­ها، پروتکل­ها و سرویس­های بیشتر و افزایش مدت زمان هر یک از آن­ها، دسترسی پذیری به آسیب پذیری­ها را افزایش می­دهد (7).
    • نقص در مدیریت پسوردها: کاربران کامپیوتر از پسوردهای ضعیفی که با تلاش اندکی کشف می­شوند، استفاده می­کنند یا اینکه آن­ها را در برخی برنامه­ها ذخیره می­کنند، و این پسوردها بین بسیاری از برنامه­ها و صفحات وب­ مشترک است (8).
    • نقص­های طراحی در سیستم عامل­های اصلی: طراحان سیستم عامل­ها، عموماً سیاست­هایی که کمتر کاربر/مدیر سیستم را درگیر کنند را برمی­گزینند. برای مثال سیستم عامل­ها، سیاست­هایی مثل پیش فرض­های اعطای مجوز به هر برنامه و دسترسی کامل کاربران به سیستم را دارند (8).این نقص­های سیستم عامل­ها، به ویروس­ها و بدافزارها، اجازه اجرای دستوراتی از طرف مدیر را می­دهد (1).
    • مروروب­سایت­های اینترنت: برخی وب سایت­های اینترنتی دارای جاسوس­ها یا تبلیغات خطرناکی هستند، که می­توانند به صورت خودکار روی سیستم­های کامپیوتری نصب شوند. بعد از بازدید از این وب سایت­ها سیستم­ها آلوده می­شوند، اطلاعات شخصی جمع آوری شده و برای شخص ثالث فرستاده می­شود (10).
    • اشکلات نرم افزاری: اشکلات قابل بهره کشی در بسیاری برنامه­های نرم افزاری وجود دارد. اشکلات نرم افزاری ممکن است به مهاجمان اجازه سوء استفاده از برنامه را بدهند (8).
    • ورودی­های کاربر کنترل نشده: برنامه­ها فرض می­کنندکه همه­ی ورودی­های کاربر امن است. برنامه­هایی که ورودی­های کاربر را بررسی نمی­کنند، در واقع امکان اجرای مستقیم دستورات ناخواسته و دستکاری در پایگاه داده­ها را فراهم می­کنند (8).

4-1-1- شناسایی و حذف آسیب پذیری­ها

تلاش­های زیادی در جهت ساخت نرم افزارهایی با قابلیت کشف خودکار آسیب پذیری­های سیستم­های کامپیوتری انجام شده است. اگرچه نرم افزارهای موجود می­توانند در برخی موارد دید کلی خوبی را نسبت به آسیب پذیری­های سیستم فراهم کنند، اما نمی­توانند جایگزین بررسی انسانیروی آسیب پذیری­ها شوند. تکیه بر گزارشات اسکنرها، دید محدود همراه با تشخیص­های اشتباه زیاد، به همراه خواهد داشت. آسیب پذیری­ها در همه­ی نرم افزارهای اساسی مثل سیستم عامل­ها وجود دارند. گاهی اوقات تنها راه حل اساسی مقابله با آن­ها نصب بسته نرم افزاری اصلاح شده آن محصول است و در فاصله زمانی کشف تا ارائه بسته نرم افزاری با روش­هایی مثل استفاده از دیوار آتش و یا نظارت مستقیم بر کنترل­های دسترسی توسط ناظران سیستم­ها، می­توان جلوی سوء استفاده از سیستم را گرفت. لازم به ذکر است که روش­های نظارت مستقیم بر سیستم­ها، هم از نظر مالی و هم از نظر نیروی انسانی بسیار هزینه بر هستند.

2-1- مفاهیم اولیه­ مورد نیاز

موضوعات: بدون موضوع  لینک ثابت


فرم در حال بارگذاری ...