امنیت اطلاعات
تعریف امنیت اطلاعات:
امنیت اطلاعات یعنی حفاظت اطلاعات و سامانههای اطلاعاتی از فعالیتهای غیرمجاز. این فعالیتها عبارتند از: دسترسی، استفاده، افشاء، خواندن، نسخه برداری یا ضبط، خراب کردن، تغییر، دستکاری.
واژههای امنیت اطلاعات، امنیت رایانهای و اطلاعات مطمئناً گاهی به اشتباه به جای هم بکار برده میشود. اگر چه اینها موضوعات به هم مرتبط هستند و همگی دارای هدف مشترک حفظ محرمانگی اطلاعات، یکپارچه بودن اطلاعات و قابل دسترس بودن را دارند ولی تفاوتهای ظریفی بین آنها وجود دارد.
این تفاوتها در درجه اول در رویکرد به موضوع امنیت اطلاعات، روشهای استفاده شده برای حل مسئله، و موضوعاتی که تمرکز کردهاند دارد.
امنیت اطلاعات به محرمانگی، یکپارچگی و در دسترس بودن دادهها مربوط است بدون در نظر گرفتن فرم اطلاعات اعم از الکترونیکی، چاپ، یا اشکال دیگر.
امنیت رایانه در حصول اطمینان از در دسترس بودن و عملکرد صحیح سامانه رایانهای تمرکز دارد بدون نگرانی از اطلاعاتی که توسط این سامانه رایانهای ذخیره یا پردازش میشود.
دولتها، مراکز نظامی، شرکتها، موسسات مالی، بیمارستانها، و مشاغل خصوصی مقدار زیادی اطلاعات محرمانه در مورد کارکنان، مشتریان، محصولات، تحقیقات، و وضعیت مالی گردآوری میکنند.
بسیاری از این اطلاعات اکنون بر روی رایانههای الکترونیکی جمعآوری، پردازش و ذخیره و در شبکه به رایانههای دیگر منتقل میشود. اگر اطلاعات محرمانه در مورد مشتریان یا امور مالی یا محصول جدید موسسهای به دست رقیب بیفتد، این درز اطلاعات ممکن است به خسارات مالی به کسب و کار، پیگرد قانونی یا حتی ورشکستگی منجر شود. حفاظت از اطلاعات محرمانه یک نیاز تجاری، و در بسیاری از موارد نیز نیاز اخلاقی و قانونی است.
بحث امنیت اطلاعات در سالهای اخیر به میزان قابل توجهی رشد کردهاست و تکامل یافتهاست. راههای بسیاری برای ورود به این حوزه کاری به عنوان یک حرفه وجود دارد. موضوعات تخصصی گوناگونی وجود دارد از جمله: تأمین امنیت شبکه(ها) و زیرساختها، تأمین امنیت برنامههای کاربردی و پایگاه دادهها، تست امنیت، حسابرسی و بررسی سامانههای اطلاعاتی، برنامهریزی تداوم تجارت و بررسی جرائم الکترونیکی، و غیره.
محرمانگی:
محرمانگی یعنی جلوگیری از افشای اطلاعات به افراد غیرمجاز. به عنوان مثال، برای خرید با کارتهای اعتباری بر روی اینترنت نیاز به ارسال شماره کارت اعتباری از خریدار به فروشنده و سپس به مرکز پردازش معامله است.
در این مورد شماره کارت و دیگر اطلاعات مربوط به خریدار و کارت اعتباری او نباید در اختیار افراد غیرمجاز بیفتد و این اطلاعات باید محرمانه بماند.
در این مورد برای محرمانه نگهداشتن اطلاعات، شماره کارت رمزنگاری میشود و در طی انتقال یا جاهایی که ممکن است ذخیره شود (در پایگاههای داده، فایلهای ثبت وقایع سامانه، پشتیبانگیری، چاپ رسید، و غیره) رمز شده باقی میماند.
همچنین دسترسی به اطلاعات و سامانهها نیز محدود میشود. اگر فرد غیرمجازی به هر نحو به شماره کارت دست یابد، نقض محرمانگی رخ دادهاست.
نقض محرمانگی ممکن است اشکال مختلف داشته باشد. مثلاً اگر کسی از روی شانه شما اطلاعات محرمانه نمایش داده شده روی صفحه نمایش رایانه شما را بخواند. یا فروش یا سرقت رایانه لپتاپ حاوی اطلاعات حساس. یا دادن اطلاعات محرمانه از طریق تلفن همه موارد نقض محرمانگی است.
یکپارچه بودن:
یکپارچه بودن یعنی جلوگیری از تغییر دادهها بهطور غیرمجاز و تشخیص تغییر در صورت دستکاری غیرمجاز اطلاعات.
یکپارچگی وقتی نقض میشود که اطلاعات نه فقط در حین انتقال بلکه در حال استفاده یا ذخیره شدن ویا نابودشدن نیز به صورت غیرمجاز تغییر داده شود.
سامانههای امنیت اطلاعات بهطور معمول علاوه بر محرمانه بودن اطلاعات، یکپارچگی آن را نیز تضمین میکنند.
قابل دسترس بودن:
اطلاعات باید زمانی که مورد نیاز توسط افراد مجاز هستند در دسترس باشند.
این بدان معنی است که باید از درست کار کردن و جلوگیری از اختلال در سامانههای ذخیره و پردازش اطلاعات و کانالهای ارتباطی مورد استفاده برای دسترسی به اطلاعات اطمینان حاصل کرد.
سامانههای با دسترسی بالا در همه حال حتی به علت قطع برق، خرابی سختافزار، و ارتقاء سامانه در دسترس باقی میماند.
یکی از راههای از دسترس خارج کردن اطلاعات و سامانه اطلاعاتی، درخواستهای زیاد از طریق خدمات از سامانه اطلاعاتی است که در این حالت چون سامانه، توانایی و ظرفیت چنین حجم انبوه خدمات دهی را ندارد از خدمات دادن بهطور کامل یا جزئی عاجز میماند.
قابلیت بررسی (کنترل دسترسی):
افراد مجاز در هر مکان و زمان که لازم باشد بتوانند به منابع دسترسی داشته باشند.
قابلیت عدم انکار انجام عمل:
در انتقال اطلاعات یا انجام عملی روی اطلاعات، گیرنده یا فرستنده یا عملکننده روی اطلاعات نباید قادر به انکار عمل خود باشد. مثلاً فرستنده یا گیرنده نتواند ارسال یا دریافت پیامی را انکار کند.
اصل بودن:
در بسیاری از موارد باید از اصل بودن و درست بودن اطلاعات ارسالی و نیز فرستنده و گیرنده اطلاعات اطمینان حاصل کرد.
در برخی موارد ممکن است اطلاعات رمز گذاری شده باشد و دستکاری هم نشده باشد و به خوبی به دست گیرنده برسد، ولی ممکن است اطلاعات غلط باشد یا از گیرنده اصلی نباشد، در این حالت اگر چه محرمانگی، یکپارچگی و در دسترس بودن رعایت شده، ولی اصل بودن اطلاعات مهم است.
کنترل دسترسی:
برای حراست از اطلاعات، باید دسترسی به اطلاعات کنترل شود
. افراد مجاز باید و افراد غیرمجاز نباید توانایی دسترسی داشته باشند، بدین منظور روشها و تکنیکهای کنترل دسترسی ایجاد شدهاند که در اینجا توضیح داده میشوند.
دسترسی به اطلاعات حفاظت شده باید به افراد محدود باشد.
برنامههای رایانهای، فرایندها و سامانههایی که مجاز به دسترسی به اطلاعات هستند. این مستلزم وجود مکانیزمهایی برای کنترل دسترسی به اطلاعات حفاظت شده میباشد.
پیچیدگی مکانیزمهای کنترل دسترسی باید مطابق با ارزش اطلاعات مورد حفاظت باشد.
اطلاعات حساس تر و با ارزش تر نیاز به مکانیزم کنترل دسترسی قوی تری دارند.
اساس مکانیزمهای کنترل دسترسی بر دو مقوله احراز هویت و تصدیق هویت است.
احراز هویت: تشخیص هویت کسی یا چیزی است.
این هویت ممکن است توسط فرد ادعا شود یا ما خود تشخیص دهیم. اگر یک فرد میگوید «سلام، نام من علی است» این یک ادعا است. اما این ادعا ممکن است درست یا غلط باشد.
پیش از اینکه به علی اجازه دسترسی به اطلاعات حفاظت شده داده شود ضروری است که هویت این فرد بررسی شود که او چه کسی است و آیا همانی است که ادعا میکند!؟
تصدیق هویت: عمل تأیید هویت است.
زمانی که «علی» به بانک میرود تا پول برداشت کند، او به کارمند بانک میگوید که او «علی» است (این ادعای هویت است).
کارمند بانک، کارت شناسایی عکس دار تقاضا میکند، و «علی» ممکن است گواهینامه رانندگی خود را ارئه دهد. کارمند بانک عکس روی کارت شناسایی با چهره «علی» مطابقت میدهد تا مطمئن شود که فرد ادعاکننده «علی» است. اگر عکس و نام فرد با آنچه ادعا شده مطابقت دارند تصدیق هویت انجام شدهاست.
از سه نوع اطلاعات میتوان برای احراز و تصدیق هویت فردی استفاده کرد: چیزی که فرد میداند، چیزی که فرد دارد، یا کسی که فرد هست. نمونههایی از چیزی که میداند شامل مواردی از قبیل کد، رمز عبور، یا نام فامیل پیش از ازدواج مادر فرد باشد.
نمونههایی از چیزی که دارد شامل گواهینامه رانندگی یا کارت مغناطیسی بانک است. کسی که هست اشاره به تکنیکهای بیومتریک هستند.
نمونههایی از بیومتریک شامل اثر انگشت، اثر کف دست، صدا و اسکن عنبیه چشم هستند. احراز و تصدیق هویت قوی نیاز به ارائه دو نوع از این سه نوع مختلف از اطلاعات است. به عنوان مثال، چیزی که فرد میداند به علاوه آنچه دارد یعنی مثلاً ورود رمز عبور علاوه بر نشان دادن کارت مخصوص بانک. این تکنیک را احراز و تصدیق هویت دو عامله گویند که قوی تر از یک عامله (فقط کنترل گذرواژه) است.
در سامانههای رایانهای امروزی، نام کاربری رایجترین شکل احراز و رمز عبور رایجترین شکل تصدیق هویت است. نام کاربری و گذرواژه به اندازه کافی به امنیت اطلاعات خدمت کردهاند اما در دنیای مدرن با سامانههای پیچیدهتر از گذشته، دیگر کافی نمیباشند. نام کاربری و گذرواژه به تدریج با روشهای پیچیده تری جایگزین میشوند.
پس از آنکه فرد، برنامه یا رایانه با موفقیت احراز و تصدیق هویت شد سپس باید تعیین کرد که او به چه منابع اطلاعاتی و چه اقداماتی روی آنها مجاز به انجام است (اجرا، نمایش، ایجاد، حذف، یا تغییر). این عمل را صدور مجوز گویند.
صدور مجوز برای دسترسی به اطلاعات و خدمات رایانهای با برقراری سیاست و روشهای مدیریتی آغاز میشود. سیاست دسترسی تبیین میکند که چه اطلاعات و خدمات رایانهای میتواند توسط چه کسی و تحت چه شرایطی دسترسی شود. مکانیسمهای کنترل دسترسی سپس برای به اجرا درآوردن این سیاستها نصب و تنظیم میشوند.
رویکردهای کنترل دسترسی مختلفی وجود دارند. سه رویکرد شناخته شده وجود دارند که عبارتند از: رویکرد صلاحدیدی، غیرصلاحدیدی و اجباری. در رویکرد صلاحدیدی خالق یا صاحب منابع اطلاعات قابلیت دسترسی به این منابع را تعیین میکند. رویکرد غیر صلاحدیدی همه کنترل دسترسی متمرکز است و به صلاحدید افراد نیست. در روش اجباری، دسترسی به اطلاعات یا محروم کردن بسته به طبقهبندی اطلاعات و رتبه فرد خواهان دسترسی دارد.
کنترل امنیت اطلاعات:
کنترل امنیت به اقداماتی گفته میشود که منجر به حفاظت، پیشگیری، مقابله/واکنش، و به حداقل رساندن دامنه تهدیدات امنیتی در صورت بروز میشود.
این اقدامات را میتوان به سه دسته تقسیم کرد:
1.مدیریتی:
کنترل مدیریتی (کنترل رویهها) عبارتند از سیاستها، رویهها، استانداردها و رهنمودهای مکتوب که توسط مراجع مسئول تأیید شدهاست. کنترلهای مدیریتی چارچوب روند امن کسب و کار و مدیریت افراد را تشکیل میدهد. این کنترلها به افراد نحوه امن و مطمئن انجام کسب و کار را میگویند و نیز چگونه روال روزانه عملیاتها هدایت شود. قوانین و مقررات ایجاد شده توسط نهادهای دولتی یک نوع از کنترل مدیریتی محسوب میشوند چون به شرکتها و سازمانها نحوه امن کسب و کار را بیان میکنند. برخی از صنایع سیاستها، رویهها، استانداردها و دستورالعملهای مختص خود دارند که باید دنبال کنند مثل استاندارد امنیت دادههای صنعت کارتهای پرداخت (PCI-DSS) مورد نیاز ویزا و مستر کارت یا سامانه مدیریت امنیت اطلاعات ISMS. نمونههای دیگر از کنترلها مدیریتی عبارتند از سیاست امنیتی شرکتهای بزرگ، سیاست مدیریت رمز عبور، سیاست استخدام، و سیاستهای انضباطی. کنترلهای مدیریتی پایهای برای انتخاب و پیادهسازی کنترلهای منطقی و فیزیکی است. کنترلهای منطقی و فیزیکی پیادهسازی و ابزاری برای اعمال کنترلهای مدیریتی هستند.
منطقی:
کنترل منطقی (کنترل فنی) بهکارگیری نرمافزار، سختافزار و دادهها است برای نظارت و کنترل دسترسی به اطلاعات و سامانههای رایانهای. به عنوان مثال: گذرواژه، دیوار آتشها ی شبکه و ایستگاههای کاری، سامانههای تشخیص نفوذ به شبکه، لیستهای کنترل دسترسی و رمزنگاری دادهها نمونههایی از کنترل منطقی میباشند.
فیزیکی:
کنترل فیزیکی برای حفاظت و کنترل محیط کار و تجهیزات رایانهای و نحوه دسترسی به آنها است که جنبه فیزیکی دارند. به عنوان مثال: درب، قفل، گرمایش و تهویه مطبوع، آژیر دود و آتش، سامانه دفع آتشسوزی، دوربینها مداربسته، موانع، حصارکشی، نیرویهای محافظ و غیره.
کنترل تنظیمات (رمزنگاری):
در امنیت اطلاعات از رمزنگاری استفاده میشود تا اطلاعات به فرمی تبدیل شود که به غیر از کاربر مجاز کس دیگری نتواند از آن اطلاعات استفاده کند حتی اگر به آن اطلاعات دسترسی داشته باشد. اطلاعاتی که رمزگذاری شده تنها توسط کاربر مجازی که کلید رمز نگاری را دارد میتواند دوباره به فرم اولیه تبدیل شود (از طریق فرایند رمزگشایی). رمزنگاری برای حفاظت اطلاعات در حال انتقال (اعم از الکترونیکی یا فیزیکی) یا ذخیره شدهاست. رمزنگاری امکانات خوبی برای امنیت اطلاعات فراهم میکند از جمله روشهای بهبود یافته تصدیق هویت، فشردهسازی پیام، امضاهای دیجیتالی، قابلیت عدم انکار و ارتباطات شبکه رمزگذاری شده است.
رمزنگاری اگر درست پیادهسازی نشود میتواند مشکلات امنیتی در پی داشته باشد. راه حلهای رمز نگاری باید با بهکارگیری استانداردهای پذیرفته شده که توسط کارشناسان مستقل و خبره بررسی دقیق شده انجام گیرد. همچنین طول و قدرت کلید استفاده شده در رمزنگاری بسیار مهم است. کلیدی ضعیف یا بسیار کوتاه منجر به رمزگذاری ضعیف خواهد شد. مدیریت کلید رمزنگاری موضوع مهمی است. رمزگذاری دادهها و اطلاعات و تبدیل کردن آنها به شکل رمزگذاری شده، روش مؤثر در جلوگیری از انتشار اطلاعات محرمانه شرکت میباشد.