אבטחת מידע

מתוך הנקודאי

אבטחת מידע אני מגדיר בהגדרה צרה ככל שיטת הגנה מפריצה למערכת מחשב לצורך כריית מידע ו\או הסבת נזק ובהגדרה רחבה ככל שיטת הגנה על כל מערכת הכוללת[1] מידע בכלל ו"מידע רגיש" בעיקר מפריצה לצורך גניבת מידע ו\או הסבת נזק.
מכיוון שאינני מומחה אבטחת מידע ארחיב כאן בתמצית בעיקר רק על ההגדרה הצרה.

נושאי יסוד

נושאי יסוד באבטחת מידע ממוחשב בכלל ובכל הנוגע לתוכנות המעבירות נתונים דרך רשת האינטרנט הם למשל:

  • עדכון תדיר של תוכנות בכלל ותוכנת מערכת הפעלה בפרט
  • גישה מינימליסטית בהתקנת תוכנות המעבירות נתונים דרך האינטרנט; כל תוכנה שביכולתה להעביר נתונים דרך האינטרנט שמותקנת על מערכת הפעלה היא פתח למגוון פרצות ולכן הסתפקות במועט היא עיקרון חשוב באבטחת מידע כהגנה מפרצות כגון "דלת אחורית" (backdoor)
  • הגנה מפרצות כגון "איש באמצע" (man in the middle ובקצרה MitM)
  • הבטחת אותנטיקציה יעילה (כל מקרה לגופו)
  • הגנה ממתקפות ניחוש ברוטאלי (brute force attack ובקצרה BFA) על טפסים --- בעיקר טפסי התחברות --- למשל דרך קאפצ'ה והגבלת שיעור
  • הגנה מספאם בטפסים דרך הימנעות מפרסום כתובות אימייל טקסטואליות והתקנת מלכודת דבש לטפסים --- בעיקר טפסיי יצירת קשר
  • הגנה ממתקפות זריקת קוד כגון SQL injection לטפסים (אם רלוונטי ← לא בכל אפליקציית אינטרנט יש טפסים)
  • הגנה ממתקפות מניעת שירות (denial of service ובקצרה DoS
  • ועוד

עקרונות כלליים

  • לא למסור פרטי חיוב חשבון בנק אלא כשקונים מוצר מאתר רשמי של בית עסק גם אם המבקש מזדהה מטעם בית עסק (בלי הזמנת מוצר) או מטעם רשות מדינית
  • אם מעתיקים ומדביקים סיסמאות ל clipboard לבדוק היטב כותרות של טפסים שלא בטעות נדביק סיסמה בשדה של "שם משתמש"
  • להימנע מלהקריא סיסמאות בקול רם תמיד (אולי אנחנו מוקלטים בלי לדעת)
  • להימנע מתוכנות ענן שאינן נדרשות להישרדות
  • לגבה מידע לענן ולכונן מוחשי נשלף (Disk on Key)
  • להשתמש בהצפנה פשוטה (נטולת מפתח), בהצפנה עם מפתח ציבורי וכללי וכן בסטגנוגרפיה ככל שיש באלו צורך
  • לא להקליד סיסמאות מחוץ לשטח עבודה כללי שאין בו מצלמות שמישהו זר יכול להיכנס אליהם (גם אם מדובר בבית משפחה - טעויות תמיד יכולות לקרות)
  • באופן כללי, להימנע מאקספציות

ראו גם

פרטיות

אימות גוף ופרטי זהות מדינתיים

הונאה בווב

נעילה ופתיחה

מידע נוסף

הערות שוליים

  1. ^ בין אם ממוחשבת ובין אם לא