۳۹ نتیجه برای امنیت
محمد حسین نوراله زاده، احمد غلامی، رضا علیمرادی،
دوره ۹، شماره ۲ - ( ۱۲-۱۳۹۹ )
چکیده
با پیدایش رایانش ابری، مالکان داده تمایل دارند تا دادههای خود را را به سرورهای ابری بسپارند و به کاربران اجازه دهند تا در صورت لزوم به دادهها دسترسی پیدا کنند. با این حال، برون سپاری دادههای حساس مسائل حریم خصوصی را به دنبال خواهد داشت. رمزگذاری دادهها قبل از برون سپاری، مسائل حریم خصوصی را حل میکند، اما در این حالت، قابلیت جستجو در دادهها را از دست خواهیم داد. برای دستیابی به این قابلیت یعنی جستجو در دادههای رمزگذاری شده بدون به خطر انداختن حریم خصوصی، طرحهای رمزگذاری قابل جستجو
(SE) پیشنهاد شده است. با این روش هم از از اطلاعات حساس کاربر محافظت میشود و هم قابلیت جستجو در دادههای رمزگذاری شده را خواهیم داشت. در این مقاله، طرحهای مختلف
SE را مرور میکنیم. در این مرور، رده بندی طرحهای
SE را ارائه مینماییم: رمزگذاری قابل جستجوی متقارن، رمزگذاری قابل جستجوی کلید عمومی و طرحهای رمزگذاری قابل جستجو ویژگی مبنا، و سپس بحث مفصلی در مورد طرحهای
SE از نظر ساختار نمایه و قابلیت جستجو ارائه میکنیم. همچنین مقایسهای درمورد تحلیل طرحهای
SE از نظر امنیت و عملکرد و کارایی ارائه شده است. علاوه بر این، در مورد چالشها، مسیرهای پیشرو و کاربردهای طرحهای
SE نیز صحبت کردهایم.
الناز کتانچی، بابک پورقهرمانی،
دوره ۹، شماره ۲ - ( ۱۲-۱۳۹۹ )
چکیده
همه گیری
COVID-۱۹ یک رویداد قابل توجه و بیسابقه بود که زندگی میلیاردها شهروند را در سطح جهان تغییر داد و نتیجهی آن چیزی بود که از نظر هنجارهای اجتماعی و نحوه زندگی و کار با عنوان جدید شناخته میشود. گذشته از تأثیر خارق العاده بر جامعه و تجارت به طور کلی، این همه گیری مجموعهای از شرایط منحصر به فرد مربوط به جرایم اینترنتی را ایجاد کرد که جامعه و تجارت را نیز تحت تأثیر قرار داد. افزایش اضطراب ناشی از این بیماری همه گیر، احتمال موفقیت حملات سایبری را با افزایش تعداد و دامنه حملات سایبری افزایش میدهد. این مقاله، همه گیری
COVID-۱۹ را از منظر جرایم اینترنتی تجزیه و تحلیل کرده و طیف وسیعی از حملات سایبری را که در سطح جهانی در طی همه گیری تجربه کردهاند، برجسته میکند. حملات سایبری در چارچوب رویدادهای مهم جهانی تجزیه و تحلیل میشوند تا شیوه عمل حملات سایبری را آشکار سازند. این تحلیل نشان میدهد که چگونه به دنبال چیزی که به نظر میرسد فاصله زیادی بین شیوع ابتلا به همه گیری در چین و اولین حمله سایبری مرتبط با
COVID-۱۹ وجود دارد، حملات به طور پیوسته، شیوع بیشتری پیدا میکنند تا جایی که در بعضی از روزها، ۳ یا ۴ حمله سایبری منحصر به فرد گزارش میشد. این تحلیل با استفاده از بررسیها در کشور انگلستان به عنوان یک مطالعه موردی نشان میدهد که چگونه مجرمان اینترنتی از وقایع مهم و اطلاعیههای دولتی برای ساخت و طراحی دقیق کمپینهای جرایم اینترنتی استفاده میکنند
.
راضیه سالاری فرد، علیرضا جواهری،
دوره ۹، شماره ۲ - ( ۱۲-۱۳۹۹ )
چکیده
یکی از نکات حائز اهمیت در علم اطلاعات، چگونگی رمزنگاری دادهها برای محافظت از دسترسی غیرمجاز یا دستکاری آنها است. به این منظور ماژولهایی برای رمزنگاری طراحی میشوند تا فرآیندهای رمزنگاری را به درستی پیادهسازی کنند. حال چالشی که به وجود میآید محافظت از خود این ماژولها است، بنابراین پس از طراحی یک ماژول نیاز به ارزیابی امنیت آن تحت یک طرحواره داریم تا اطمینان پیدا کنیم که الزامات امنیتی به خوبی فراهم شده اند. از مهمترین طرحوارههای ارزیابی می توان به CMVP اشاره کرد. این برنامه شامل استانداردهایی است که یکی از اساسیترین آنها استاندارد ISO/IEC ۱۹۷۹۰ میباشد که در ۴ سطح امنیتی و ۱۱ حوزه الزامات تدوین شده است. هدف از این پژوهش، تشریح این سطوح و حوزهها با تأکید بر حوزه الزامات امنیت فیزیکی و امنیت غیر تهاجمی است، زیرا که این دو حوزه از رایجترین حوزههای حملات به ماژول رمزنگاری میباشد. همچنین یکی از مهمترین اصولی که در کشور توجه کمتری به آن شده است ارزیابی ماژولهای رمزنگاری بومی است. ارزیابی این ماژولها تحت استانداردهای جهانی و در آزمایشگاههای ارزیابی امنیتی کشور بسیار ضروری و موجب تقویت زیرساختهای امنیتی است.
مصطفی سبزه کار، مجتبی سبزه کار، سید ابوالفضل اسلامی، علی مهری خانیکی،
دوره ۱۰، شماره ۱ - ( ۶-۱۴۰۰ )
چکیده
ربات های وب، برنامه هایی هستند که به طور خودکار و به صورت بازگشتی اطلاعات و محتوای وب سایت ها را بازبینی می نمایند. برخی از این ربات ها نقش مخربی دارند. بنابراین، تشخیص ربات های وب از جمله مهم ترین چالش ها در زمینه امنیت وب است. در این مقاله به ارائه یک روش جدید ترکیبی بر مبنای ماشین های بردار پشتیبان فازی با هدف افزایش کارایی در تشخیص ربات های وب پرداخته شده است. به این منظور از سه روش ماشین بردار پشتیبان فازی استفاده شده و توابع تعلق آنها به منظور افزایش دقت پیش بینی، با یکدیگر ترکیب شده است. نتایج روش پیشنهادی با ماشین بردار پشتیبان استاندارد و همچنین هر یک از سه ماشین بردار پشتیبان فازی مورد استفاده، مقایسه شده است. معیارهای مورد مقایسه، دقت، ویژگی و حساسیت می باشد. نتایج حاکی از برتری روش پیشنهادی در معیارهای مورد بررسی نسبت به الگوریتم های مورد مقایسه در این مقاله است.
علی اریش، مائده عاشوری تلوکی،
دوره ۱۰، شماره ۲ - ( ۱۲-۱۴۰۰ )
چکیده
شبکه حسگر بی سیم، کاربردهای زیادی دارد و در محیط های مختلف توسعه پیدا کرده اند. اما محدودیت های این شبکه ها شامل محدودیت انرژی و قدرت پردازشی حسگرها، محققان را با چالش های زیادی مواجه کرده است. یکی از چالش ها، مساله امنیت این نوع شبکه ها و به طور خاص مساله احراز اصالت در شبکه حسگر بی سیم است. یک طرح احراز اصالت در شبکه حسگر بی سیم باید دارای ویژگی های امنیتی گمنامی، عدم پیوند نشست ها، توافق کلید نشست، امن بودن کلید نشست و امنیت رو به جلو کامل باشد و جلوی حمله های مهاجم را بگیرد. یک ویژگی مهم در طرح احراز اصالت این است که با ضبط حسگر مهاجم نتواند مقادیر خصوصی طرف های پروتکل را به دست آورد. چن و همکاران یک طرح احراز اصالت همراه با توافق کلید با استفاده از شبکه حسگر بی سیم برای سامانه نظارت کشاورزی ارائه دادند و ادعا کردند که ویژگی های امنیتی را دارا است. در این مقاله اثبات می شود که طرح چن و همکاران در برابر حمله ضبط حسگر که منجر به دست آوردن کلید نشست، جعل حسگر، نقض گمنامی کاربر و حسگر، نقض امنیت رو به جلو و رو به عقب و پیوند زدن نشست ها می شود، آسیب پذیر است. در ادامه مقاله، راهکار پیشنهادی جهت بهبود طرح چن و همکاران ارائه و طرح بهبودیافته مورد ارزیابی قرار خواهد گرفت.
ابراهیم صحافی زاده، بهروز ترک لادانی،
دوره ۱۰، شماره ۲ - ( ۱۲-۱۴۰۰ )
چکیده
در سال های اخیر، رواج شایعات در شبکه های اجتماعی که به ویژه با هدف فریب افکار عمومی ساخته می شوند، به یکی از نگرانی های جدی در جوامع مختلف تبدیل شده است. شایعات می تواند با قصد آسیب رسانی در حوزه های مختلف مدیریتی و انجام عملیات جنگ نرم تهیه و هدایت شود. بنابراین، با توجه به حجم بالای شایعات و لزوم کنترل سریع آن ها، توسعه مدل هایی برای تحلیل نحوه انتشار شایعات و ارزیابی کارایی و اثربخشی ساز و کارهای مختلف مقابله با شایعه از اهمیت ویژه ای برخوردار است. در این مقاله مدلی برای انتشار و کنترل شایعه به عنوان یک تهدید نرم در شبکه های اجتماعی ارائه شده است. این مدل با تکیه بر ساز و کارهای امنیت نرم مانند اعتماد، اعتبار منابع و منتشرکنندگان خبر و رتبه دهی به خبر، شایعه را با استفاده از خرد جمعی کنترل می کند. مدل پیشنهادی به صورت شبیه سازی عامل‐مبنا بر روی دو شبکه باراباسی‐آلبرت و شبکه ای از مجموعه داده های واقعی توییتر با استفاده از روش مونت کارلو ارزیابی شده است. نتایج ارزیابی نشان می دهند که ساز و کار پیشنهادی کنترل شایعه می تواند روشی کارا برای کنترل شایعه در شبکه های اجتماعی باشد و توسعه دهندگان این شبکه ها می توانند با استفاده از روش پیشنهادی و ارائه امکانات لازم بستری برای خودکنترلی شایعه توسط کاربران فراهم نمایند.
اعظم مظفری، لیلا ظفری، نگین حامیان،
دوره ۱۱، شماره ۱ - ( ۶-۱۴۰۱ )
چکیده
بهره برداری پست های فوق توزیع بدون اپراتور، اگرچه از منظر اقتصادی و فنی مورد توجه مدیران صنعت برق است، فرصت مناسبی است که از نظر امنیت سایبری مورد بررسی دقیق قرار گیرد. در این مقاله ضمن بیان اهمیت توجه به امنیت سایبری مراکز اسکادا، الزامات امنیت سایبری دو نوع DCS و سنتی پست های فوق توزیع، ارتباطات این نوع پست ها و مرکز اسکادا مربوطه مورد بررسی قرار گرفت. در این مقاله سعی شد بر اساس مستندات و استانداردهای امنیت سایبری صنعتی و صنعت برق، الزامات امنیتی پست ها و ارتباطات آنها با مراکز مربوطه استخراج گردد و این الزامات بر اساس شناخت از صنعت و اهمیت بخش ها و فرایندهای موجود اولویت بندی گردید. ضمن آنکه با توجه به عدم اجرای الزامات امنیتی در پست های فشار قوی در کشور، توجه به ملاحظات امنیتی این حوزه از جمله انجام مدیریت مخاطرات امنیتی، توجه به آموزش نیروی انسانی و دریافت تاییدیه های امنیتی تاکید گردید.
حمید قنبری، بهروز خادم، محمد جدیدی،
دوره ۱۱، شماره ۱ - ( ۶-۱۴۰۱ )
چکیده
کاربرد رمزهای سبک وزن و کم مصرف در اینترنت اشیا اجتناب ناپذیر شده است. اخیرا Midori۶۴ به دلیل مصرف توان بسیار کم در بین سایر رمزهای سبک وزن مورد توجه زیادی قرار گرفته است. امنیت Midori۶۴ از طرف حملات مختلفی از جمله حملات کانال جانبی مورد تهدید قرار گرفته است. یکی از انواع حملات کانال جانبی حمله تحلیل توان همبستگی است که در آن مهاجم با استفاده از نشت توان تراشه رمزنگاری و در حین اجرای الگوریتم، داده ی در حال پردازش و عملیات در حین اجرا می تواند کلید رمزنگاری را کشف کند. نقاب گذاری در برابر حملات تحلیل توان به عنوان یکی از موثرترین روش های مقاوم سازی الگوریتم های رمزنگاری شناخته شده است. هدف از نقاب گذاری بر هم زدن رابطه بین توان مصرفی و عملیات در حال انجام است. در این مقاله یک نسخه پیاده سازی شده رمز Midori۶۴ روی میکروکنترلر AVR مدل Atmega۳۲ مورد حمله تحلیل توان همبستگی قرار گرفته و کلید رمزنگاری با ۳۰۰ بلوک متن اصلی کشف شده است. پس از مقاوم سازی Midori۶۴ با روش نقاب گذاری بولی، مجددا این حمله انجام شده و نتایج به دست آمده از آزمایشات نشان داده که روش نقاب گذاری بولی می تواند مانع کشف کلید شود.
علی خزائی، حسین همائی، منیره هوشمند،
دوره ۱۱، شماره ۲ - ( ۱۲-۱۴۰۱ )
چکیده
گفت وگوی کوانتومی به نوعی از ارتباطات کوانتومی گفته می شود که در آن کاربران می توانند به صورت همزمان برای یکدگیر پیام ارسال کنند. اولین نمونه های پروتکل های گفت وگوی کوانتومی با مشکلات امنیتی نظیر نشت اطلاعات و آسیب پذیری هایی همچون دریافت و ارسال مجدد روبرو بودند. از این رو، پروتکل های متعددی ارائه شده که سعی در برطرف نمودن این نواقص دارند. با وجود این پیشرفت ها، گفت وگوهای کوانتومی همچنان با چالش هایی روبرو هستند. در حال حاضر، محدود بودن تعداد شرکت کنندگان و عدم امکان گسترش کاربران در زمان گفت وگو از جمله مهم ترین چالش های این نوع پروتکل ها محسوب می شود. در این پژوهش یک پروتکل گفت وگوی کوانتومی چندکاربره طراحی کرده ایم که چالش های فوق را برطرف نماید. پروتکل پیشنهادی حالت تعمیم یافته گفت وگوی کوانتومی است که در آن هر کاربر می تواند به صورت همزمان با کاربران دیگر ارتباط برقرار کند. تعداد کاربران شرکت کننده محدود نیست و به صورت پویا (یعنی بدون نیاز به راه اندازی مجدد پروتکل) نیز قابل تغییر است. بنابراین، در زمان اجرای پروتکل، یک کاربر می تواند گفت وگو را ترک کند و یا کاربری جدید می تواند به آن ملحق شود. ارتباط میان کاربران از طریق یک سرور نیمه صادق مرکزی برقرار می شود. بررسی های انجام شده نشان می دهد که پروتکل پیشنهادی نسبت به نشت اطلاعات مقاوم است. یعنی، هیچ کاربر غیرمجازی (حتی سرور مرکزی) نمی تواند به داده های خام مبادله شده میان افراد دسترسی پیدا کند.
سارا مقیمی، محمدعلی هادوی،
دوره ۱۱، شماره ۲ - ( ۱۲-۱۴۰۱ )
چکیده
چگونگی سوءاستفاده از آسیب پذیری ها و اثرات آن در کنار الگوهای شناخته شده، متأثر از توانمندی مهاجم ها می باشد. هرچه مهاجم توانمندتر باشد، مخاطره تهدیدها و آسیب پذیری ها افزایش پیدا می کند. بنابراین، تحلیل و ارزیابی امنیتی سامانه ها وابسته به توانمندی مهاجم است. علاوه بر این، اطلاع از سطح توانمندی مهاجم ارتباط مستقیمی با هزینه مورد نیاز برای امنیت و بکارگیری کنترل ها و اقدامات امنیتی متناسب با توان مهاجم دارد. بر این اساس، این مقاله مدل سازی توانمندی مهاجم را هدف گذاری کرده است. ما در این مقاله با تکیه بر تزریق پیلودهایی که مهاجم برای سوءاستفاده از آسیب پذیری های تزریق استفاده می کند، توانمندی مهاجم را با سه گانه ی (Type, Technique, Point_Entry) مدل می کنیم. مؤلفه ی Type بیانگر نوع تزریق می باشد که شامل مجموعه ای شناخته شده از انواع حمله تزریق است که مهاجم در طول حمله به کار برده است. مؤلفه ی Technique بیانگر تکنیک هایی است که مهاجم در طول حمله به کار برده است، و مؤلفه ی Point_Entry نشان دهنده ی مجموعه ای از نقاط شناخته شده تزریق پیلود است. از این مدل هم برای سطح بندی و مقایسه توانمندی مهاجم و هم برای سطح بندی امنیت یک سامانه با توجه به سطح توان مهاجمی که می تواند امنیت آن را به خطر بیاندازد استفاده می شود. نتایج ارزیابی تجربی انجام شده نشان می دهد که مدل ارائه شده برای تعیین سطح توانمندیِ مهاجم قابل استفاده است. با این که مدل ارائه شده با تمرکز بر حملات تزریق SQL است، اما قابل توسعه به بسیاری از حملات دیگر می باشد.
دکتر سمیه دولتنژاد ثمرین، دکتر مرتضی امینی،
دوره ۱۲، شماره ۱ - ( ۶-۱۴۰۲ )
چکیده
در سالهای اخیر، یکی از موضوعات مورد پژوهش در حوزهی امنیت محاسبات برونسپاری شده، راستیآزمایی صحت اجرای محاسبات برونسپاری شده است. محاسبات برونسپاری شده، بر روی دادههای دریافتی از یک یا چند منبع داده قابل اجرا میباشند. در حال حاضر روشهای محدودی برای محاسبات برونسپاری شده با منابع داده توزیع شده ارایه شدهاند. راهحلهای ارایه شده در این حوزه جهت راستیآزمایی صحت اجرای انواع توابع، توابع تجمعی، توابع خطی و توابع چند جملهای در سه دسته اصلی محاسبات وارسیپذیر، احرازکنندههای اصالت همریخت و روشهای ارایه شده برای کاربرد خاص )نظیر پایگاهدادههای برونسپاری شده، شبکههای حسگر بیسیم و سامانههای مدیریت جریان داده( قرار میگیرند. در این مقاله روشهای مختلف ارایه شده برای راستی آزمایی صحت اجرای محاسبات و به طور دقیقتر روشهای ارایه شده برای راستی آزمایی نتایج پرسمانهای استفاده شده در سامانههای مدیریت جریان داده مرور و مقایسه شدهاند.
آقای ناصر زربی، دکتر علی زعیم باشی، دکتر نصور باقری،
دوره ۱۲، شماره ۱ - ( ۶-۱۴۰۲ )
چکیده
در رمزنگاری نشتتاب، هدف طراحی پروتکلهای تبادل کلیدی است که بتواند در برابر حملات نشت مقاومت کند. این پروتکلها با استفاده از یک مدل امنیتی نشتتاب مورد بررسی قرار میگیرند تا مشخص شود که آیا ویژگیهای امنیتی ادعا شده را دارا هستند یا خیر. بررسی ویژگیهای امنیتی بر این تمرکز دارد که چگونه یک مدل امنیتی نشتتاب طی سالها تکاملیافته است تا نیازهای امنیتی فزاینده را برآورده کند و طیف وسیعتری از حملات را پوشش دهد. با مطالعه و بررسی ویژگیهای امنیتی ارائهشده توسط این مدلها، آسیبپذیریهای احتمالی در طراحی پروتکلها میتواند بهطور مؤثری برطرف شود. این مقاله به بررسی انواع مدلهای امنیتی نشتتاب مبتنی بر دو مدل $CK$ و $eCK$ میپردازد و نمونههایی از پروتکلهای امن تبادل کلیدی را که در این مدلها تعریفشدهاند، ارائه میکند. علاوه بر این، ارتباط بین قابلیتهای مهاجمان در این مدلها و انواع طرحهای حمله در دنیای واقعی را مورد بررسی قرار میدهد و با ارائه بینشی در مورد مدلهای مختلف امنیتی نشتتاب، حملات نشتی و توسعه پروتکلهای امن، به پیشرفت دانش در این زمینه کمک میکند.
سیدمحمد دخیل علیان، معصومه صفخانی، فاطمه پیرمرادیان،
دوره ۱۲، شماره ۱ - ( ۶-۱۴۰۲ )
چکیده
ارائه تمامی خدمات از راه دور مستلزم احراز اصالت متقابل طرفین شرکتکننده است. چارچوبی که این احراز اصالت به وسیله آن انجام میشود، پروتکلهای احراز اصالت نام دارد. بهعبارتی، پروتکل رمزنگاری یا رمزنگاشتی یک الگوریتم رمزنگاری توزیع شده است که بین حداقل دو یا چند هستار با یک هدف مشخص تعاملاتی را برقرار مینماید. درواقع، این پروتکلها کانالهای امن و ناامنی برای ارتباط بین طرفین شرکتکننده در پروتکل فراهم نمودهاند. معمولاً از کانالهای امن جهت ثبتنام و از کانالهای ناامن جهت احراز اصالت متقابل استفاده میشود. کاربر بعد از ثبتنام در سرور و تأیید اصالت آن توسط سرور میتواند از خدماتی که سرور ارائه میدهد بهرهمند شود. پروتکلهای احراز اصالت بسیاری در زمینههایی مانند مراقبت پزشکی الکترونیکی، اینترنت اشیاء، محاسبات ابری و غیره ارائه شده است. حریم خصوصی و گمنامی کاربران در این طرحها، بزرگترین چالش در پیادهسازی بستر جهت بهرهمندی خدمات از راه دور است. به دلیل اینکه احراز اصالت کاربران در بستر ناامن اینترنت اتفاق میافتد، پس نسبت به تمامی حملات اینترنتی موجود میتواند آسیبپذیر باشد. به طور کلی دو روش جهت تحلیل و اثبات امنیت پروتکلهای احراز اصالت وجود دارد. روش صوری و روش غیرصوری. روش غیرصوری که مبتنی بر استدلالهای شهودی، خلاقیت تحلیلگر و مفاهیم ریاضی است، سعی و تلاش در جهت یافتن خطاها و اثبات امنیت دارد. درحالیکه روش صوری که به دو صورت دستی و خودکار انجام میشود، از انواع منطقهای ریاضی و ابزارهای تحلیل امنیت خودکار استفاده نموده است. روش دستی با استفاده از مدلهای ریاضی مانند مدل پیشگوی تصادفی و منطقهای ریاضی مانند منطق BAN، منطق GNY 
و غیره و روش خودکار با استفاده از ابزارهای اویسپا، سایتر، پرووریف، تامارین و غیره انجام شده است. در واقع روشهای اثبات و تحلیل امنیت پروتکلهای امنیتی به دو دسته کلی مبتنی بر اثبات قضیه و وارسی مدل تقسیم شدهاند، که در این مقاله جزئیات هرکدام از این روشهای اثبات و تحلیل امنیت، تحلیل امنیت پروتکل ECCPWS 
با برخی از این روشها و در نهایت مقایسه این روشها با یکدیگر از لحاظ نقاط قوت، نقاط ضعف و غیره بیان شده است. در این مقاله، روشهای مبتنی بر وارسی مدل و سپس روشهای مبتنی بر اثبات قضیه شرح داده میشود.
احمد راهداری، محمد حسام تدین،
دوره ۱۲، شماره ۲ - ( ۱۲-۱۴۰۲ )
چکیده
آموزش امنیت سایبری در ایران با استانداردها و رویکردهای جهانی منطبق نیست و سه عامل، بخش آموزشی، متقاضیان آموزش و سازمانها و شرکتهای متقاضی کار شناخت مناسبی از تخصصها و نقشهای کاری مورد نیاز ندارند. تخصصهای مختلف در زمینههای کاری امنیت سایبری، منطبق با پازلهای بینالمللی نیست و این امر حفرههای امنیتی در زیستبوم فضای مجازی کشور ایجاد کرده است. افرادی که در حوزه سایبری فعالیت میکنند به ترکیبی از دانش ویژه حوزه، مهارتها، تواناییها و تخصصهای دیگر نیاز دارند تا مانند فناوریهایی که با آن کار میکنند، قابل اعتماد و انعطافپذیر باشند.
در سطح بینالمللی، چارچوبهای متعددی برای آموزش و بهکارگیری متخصصان امنیت سایبری طراحی و اجرا شدهاند که از جمله مهمترین آنها میتوان به چارچوب نیروی کار امنیت سایبری آمریکا (NICE)، چارچوب مهارتهای سایبری اروپا (ECSF) و چارچوب مهارتهای سایبری استرالیا (ASD) اشاره کرد. در این مقاله، هر کدام از این چارچوبها بهطور خلاصه معرفی و ویژگیهای کلیدی آنها، از جمله هدف، ساختار و اجزا بررسی و تحلیل میشود. همچنین اثربخشی آنها در رسیدگی به چالشهای سازمانهای جهانی در ایجاد و توسعه منابع انسانی متخصص امنیت سایبری ارزیابی و تحلیل میشود. این بررسی نقاط قوت و ضعف هر چارچوب را برجسته میکند، قرابت یکی از چارچوبها به فضای آموزشی و بازار کار ایران را نشان میدهد و توصیههایی را برای طراحی یک چارچوب ملی آموزش و بهکارگیری متخصصان امنیت سایبری ارائه میدهد که میتواند درسآموزی بزرگی برای کشور داشته باشد تا متولیان امر در اسرع وقت در این زمینه اقدامات لازم را انجام دهند.
زهرا جعفری، سحر پلیمی، محمد امین صبائی، رحمان حاجیان، سید حسین عرفانی،
دوره ۱۲، شماره ۲ - ( ۱۲-۱۴۰۲ )
چکیده
در محیطهای مبتنی بر اینترنت اشیا، موضوع حفظ امنیت و حریم خصوصی دو نگرانی اصلی در برنامههای کاربردی و حیاتی آن هستند. پروتکل LoRa بطور موثر امکان ارتباط دوربرد را برای دستگاههای انتهایی با محدودیت منابع در شبکه LoRaWAN فراهم میکند که توسط افراد مختلف و دنیای صنعت پذیرفته شده و مورد استفاده قرار گرفته است. بهمنظور تسهیل استفاده از این فناوری و جلب اعتماد کاربران، اطمینان از امنیت و حریم خصوصی اطلاعات جمع آوری شده توسط دستگاههای انتهایی ضروری است که پروتکلهای احرازهویت و توافق کلید در این زمینه پیشگام هستند. در این مقاله، یک طرح جدید برای احرازهویت و توافق کلید خاص شبکه LoRaWAN معرفی کردهایم که احرازهویت متقابل را در میان شرکتکنندگان آن فراهم میکند و برای کاربر/ دستگاههای انتهایی و سرور شبکه این امکان را فراهم میکند تا بدون اعتماد بی قید و شرط، یک کلید نشست امن برقرار کنند. امنیت طرح پیشنهادی در ابتدا با استفاده از ارزیابی غیررسمی و مبتنی بر دانش فرد تحلیلگر، سپس از طریق ابزار AVISPA و منطق BAN بصورت رسمی به اثبات رسیده است. علاوه بر این، ضمن مقایسه برخی از طرحهای احرازهویت موجود، نشان دادهایم که پروتکل پیشنهادی از منظر هزینههای مربوط به سربارهای محاسباتی و ارتباطی کارآمدتر است.
دکتر سعید بنائیان فر، دکتر مریم رجب زاده عصار،
دوره ۱۳، شماره ۱ - ( ۶-۱۴۰۳ )
چکیده
برونسپاری دادهها به مراکز قابل اعتماد برای نگهداری، محافظت و دسترسپذیری دادهها یک راه ساده و کم هزینه است و نیازی به داشتن زیرساخت های فیزیکی، سخت افزاری، نرم افزاری و منابع انسانی ندارد. اما اتفاقات دنیای واقعی و تحقیقات اخیر نشان دادهاند که حتی مراکز قابل اعتماد نیز میتوانند از اعتماد کاربران سوء استفاده کنند. به طور مثال، ۱) در دادههایی که در اختیار دارند تغییر ایجاد کنند، ۲) آنها را حذف کنند و یا ۳) موقتا/دائما از دسترس خارج کنند. روشهای ممیزی داده این اطمینان را به مالکان داده میدهند که داده ثبت شده در پایگاه داده همان دادۀ ارسال شده توسط کاربر است و تغییرات ایجاد شده در آن را آشکار می کند. اما فقط مشکل اول را حل می کنند. در سال ۲۰۰۸ معرفی یک فناوری به نام زنجیرۀقالب ها که دارای چندین ویژگی جذاب از جمله شفافیت ، تغییرناپذیری و خودمختاری بود، سبب شد تا مشکلات بسیاری از سامانه ها که نیاز به ویژگی های ذکر شده را دارند حل شوند. در این مقاله، پس از مرور و بررسی چندین معماری و پروتکل ممیزی داده مبتنی بر زنجیرۀقالبها، چارچوب کلی آنها را بررسی و تحلیل می کنیم. در نهایت مقایس های بین کارهای بررسی شده ارائه می دهیم و برخی افق های آینده این حوزه را مشخص می کنیم.
نسرین تاج، امیر منصور یادگاری، ابوذر عربسرخی، رضا کلانتری،
دوره ۱۳، شماره ۱ - ( ۶-۱۴۰۳ )
چکیده
با توجه به مصوبات شورای عالی فضای مجازی، توسعه زیرساخت کشور به عنوان زیرساختی مستقل، امن و پایدار یکی از اولویتهای راهبردی کشور است که تحقق آن علاوه بر نیازمندیهای فناورانه در زمینه فناوری اطلاعات و ارتباطات، بسترسازی برای استقرار، توسعه و عرضه انواع خدمات و محتوای فضای سایبری کشور، نیازمند تأمین ارتباطات امن و پایدار زیرساختهای حیاتی کشور نیز میباشد.
براساس مدل مفهومی مندرج در مصوبه جلسه ۶۶ شورای عالی فضای مجازی، زیرساخت ارتباطی و اطلاعاتی کشور از یکسری ماژولهای اصلی تشکیل شده است که تحلیل مخاطرات آن درراستای قابلیت بازگشتپذیری در حوادث، حفاظتشدگی در برابر تهدیدات، پایش و پاسخ هوشمند از نیازهای اساسی دستیابی به ارتباطات امن و مطمئن است. با توجه به محدودیت فضای این مقاله، نویسنده قصد دارد نحوه دستیابی به تحلیل مخاطرات چندنمونه از این ماژولهای اساسی را تشریح نموده وسپس بر اساس نتیجه بدست آمده، چگونگی بهره برداری از دانش پدیدآمده را در قالب نمودار جهت شناسایی نوع تهدید و منبع آن و استخراج الزامات پیشگیرانه مذکور، تبیین نماید.
قدسیه کریمی، مرتضی عادلی، محمدعلی هادوی،
دوره ۱۳، شماره ۲ - ( ۱۰-۱۴۰۳ )
چکیده
با افزایش روز افزون استفاده از برچسب های RFID، نیاز به پروتکل های خاص برای مدیریت و ارتباط با این برچسب ها افزایش می یابد. در این بین، پروتکل انتقال مالکیت اشیاء که امنیت و حریم خصوصی اشیا را ً برای مالک جدید پس از تغییر مالکیت تأمین می کند، از اهمیت بسیاری برخوردار است. اخیرا یک پروتکل سبک وزن انتقال مالکیت اشیا در شبکه های RFID ارائه شده است. این پروتکل از یک تابع سبک وزن خطی برای تأمین امنیت خود استفاده می کند و طراحان این پروتکل مدعی هستند که در عین سبک وزن بودن، در مقابل حملات شناخته شده امن است. در این مقاله، ضعف های تابع استفاده شده در این پروتکل را شناسایی کرده و نشان می دهیم که این پروتکل در برابر حمله افشای راز آسیب پذیر است. همچنین نشان می دهیم که حداکثر با ۴ × L مرتبه اجرای پروتکل (L طول کلید است)، می توان با شنود داده های دریافتی، اطلاعات لازم را برای اجرای این حمله بدست آورد و سپس کلیدهای مشترک استفاده شده در پروتکل را بازیابی نمود.
فرنوش کریمی، بهروز ترک لادانی، بهروز شاهقلی قهفرخی،
دوره ۱۳، شماره ۲ - ( ۱۰-۱۴۰۳ )
چکیده
با افزایش شدت تهدیدات امنیت سایبری در سطح جهانی، نیاز به آموزش متخصصان امنیتی اهمیت بیشتری یافته است. برنامه های آموزشی به همراه آزمایشگاه ها و انجام تمرین های امنیت سایبری، نقش اساسی در بهبود مهارت های آفندی و پدافندی ایفا می کنند. انجام این تمرین ها، به ویژه در شبکه های عملیاتی که مناسب آزمایش حملات سایبری نیستند، از اهمیت ویژه ای برخوردارند. میدان سایبری، بستر مناسبی برای این تمرین ها فراهم می کنند. یکی از چالش های اساسی در آموزش امنیت سایبری، تطابق برنامه های آموزشی با سطوح مختلف مهارت آموزان است. یادگیری تطبیقی با استفاده از هوش مصنوعی و سیستم های پیشنهاددهنده می تواند راه حل مناسبی برای ارائه آموزش شخصی سازی شده باشد. در این پژوهش، با تمرکز بر میدان سایبری کایپو، به بررسی امکان جایگزینی یا تکمیل نقش مربی با یک عامل پیشنهاد دهنده مبتنی بر هوش مصنوعی پرداخته شده است. هدف از این تحقیق، کاهش نیاز به دخالت انسانی و افزایش کارایی فرآیند آموزش است. بدین منظور، از اطلاعات جمع آوری شده در میدان سایبری کایپو که توسط دانشگاه ماساریک توسعه یافته، استفاده شده و مدل های مختلف یادگیری ماشین به کار گرفته شده است تا فرآیند آموزش به صورت خودکار و بهینه انجام شود. نتایج این پژوهش نشان می دهد که استفاده از هوش مصنوعی می تواند به بهبود عملکرد سیستم های آموزشی و کاهش زمان ارزیابی کمک کند.
