• سبد خرید شما خالی است .
    • سبد خرید شما خالی است .

امنیت اطلاعات


تعریف امنیت اطلاعات:

امنیت اطلاعات یعنی حفاظت اطلاعات و سامانه‌های اطلاعاتی از فعالیت‌های غیرمجاز. این فعالیت‌ها عبارتند از: دسترسی، استفاده، افشاء، خواندن، نسخه برداری یا ضبط، خراب کردن، تغییر، دستکاری.

واژه‌های امنیت اطلاعات، امنیت رایانه‌ای و اطلاعات مطمئناً گاهی به اشتباه به جای هم بکار برده می‌شود. اگر چه این‌ها موضوعات به هم مرتبط هستند و همگی دارای هدف مشترک حفظ محرمانگی اطلاعات، یکپارچه بودن اطلاعات و قابل دسترس بودن را دارند ولی تفاوت‌های ظریفی بین آن‌ها وجود دارد.

این تفاوت‌ها در درجه اول در رویکرد به موضوع امنیت اطلاعات، روش‌های استفاده شده برای حل مسئله، و موضوعاتی که تمرکز کرده‌اند دارد.

امنیت اطلاعات به محرمانگی، یکپارچگی و در دسترس بودن داده‌ها مربوط است بدون در نظر گرفتن فرم اطلاعات اعم از الکترونیکی، چاپ، یا اشکال دیگر.

امنیت رایانه در حصول اطمینان از در دسترس بودن و عملکرد صحیح سامانه رایانه‌ای تمرکز دارد بدون نگرانی از اطلاعاتی که توسط این سامانه رایانه‌ای ذخیره یا پردازش می‌شود.

دولت‌ها، مراکز نظامی، شرکت‌ها، موسسات مالی، بیمارستان‌ها، و مشاغل خصوصی مقدار زیادی اطلاعات محرمانه در مورد کارکنان، مشتریان، محصولات، تحقیقات، و وضعیت مالی گردآوری می‌کنند.

بسیاری از این اطلاعات اکنون بر روی رایانه‌های الکترونیکی جمع‌آوری، پردازش و ذخیره و در شبکه به رایانه‌های دیگر منتقل می‌شود. اگر اطلاعات محرمانه در مورد مشتریان یا امور مالی یا محصول جدید موسسه‌ای به دست رقیب بیفتد، این درز اطلاعات ممکن است به خسارات مالی به کسب و کار، پیگرد قانونی یا حتی ورشکستگی منجر شود. حفاظت از اطلاعات محرمانه یک نیاز تجاری، و در بسیاری از موارد نیز نیاز اخلاقی و قانونی است.

بحث امنیت اطلاعات در سال‌های اخیر به میزان قابل توجهی رشد کرده‌است و تکامل یافته‌است. راه‌های بسیاری برای ورود به این حوزه کاری به عنوان یک حرفه وجود دارد. موضوعات تخصصی گوناگونی وجود دارد از جمله: تأمین امنیت شبکه(ها) و زیرساخت‌ها، تأمین امنیت برنامه‌های کاربردی و پایگاه داده‌ها، تست امنیت، حسابرسی و بررسی سامانه‌های اطلاعاتی، برنامه‌ریزی تداوم تجارت و بررسی جرائم الکترونیکی، و غیره.

 

محرمانگی:

محرمانگی یعنی جلوگیری از افشای اطلاعات به افراد غیرمجاز. به عنوان مثال، برای خرید با کارت‌های اعتباری بر روی اینترنت نیاز به ارسال شماره کارت اعتباری از خریدار به فروشنده و سپس به مرکز پردازش معامله است.

در این مورد شماره کارت و دیگر اطلاعات مربوط به خریدار و کارت اعتباری او نباید در اختیار افراد غیرمجاز بیفتد و این اطلاعات باید محرمانه بماند.

در این مورد برای محرمانه نگهداشتن اطلاعات، شماره کارت رمزنگاری می‌شود و در طی انتقال یا جاهایی که ممکن است ذخیره شود (در پایگاه‌های داده، فایل‌های ثبت وقایع سامانه، پشتیبان‌گیری، چاپ رسید، و غیره) رمز شده باقی می‌ماند.

همچنین دسترسی به اطلاعات و سامانه‌ها نیز محدود می‌شود. اگر فرد غیرمجازی به هر نحو به شماره کارت دست یابد، نقض محرمانگی رخ داده‌است.

نقض محرمانگی ممکن است اشکال مختلف داشته باشد. مثلاً اگر کسی از روی شانه شما اطلاعات محرمانه نمایش داده شده روی صفحه نمایش رایانه شما را بخواند. یا فروش یا سرقت رایانه لپ‌تاپ حاوی اطلاعات حساس. یا دادن اطلاعات محرمانه از طریق تلفن همه موارد نقض محرمانگی است.

 

یکپارچه بودن:

یکپارچه بودن یعنی جلوگیری از تغییر داده‌ها به‌طور غیرمجاز و تشخیص تغییر در صورت دستکاری غیرمجاز اطلاعات.

یکپارچگی وقتی نقض می‌شود که اطلاعات نه فقط در حین انتقال بلکه در حال استفاده یا ذخیره شدن ویا نابودشدن نیز به صورت غیرمجاز تغییر داده شود.

سامانه‌های امنیت اطلاعات به‌طور معمول علاوه بر محرمانه بودن اطلاعات، یکپارچگی آن را نیز تضمین می‌کنند.


 

قابل دسترس بودن:

اطلاعات باید زمانی که مورد نیاز توسط افراد مجاز هستند در دسترس باشند.

این بدان معنی است که باید از درست کار کردن و جلوگیری از اختلال در سامانه‌های ذخیره و پردازش اطلاعات و کانال‌های ارتباطی مورد استفاده برای دسترسی به اطلاعات اطمینان حاصل کرد.

سامانه‌های با دسترسی بالا در همه حال حتی به علت قطع برق، خرابی سخت‌افزار، و ارتقاء سامانه در دسترس باقی می‌ماند.

یکی از راه‌های از دسترس خارج کردن اطلاعات و سامانه اطلاعاتی، درخواست‌های زیاد از طریق خدمات از سامانه اطلاعاتی است که در این حالت چون سامانه، توانایی و ظرفیت چنین حجم انبوه خدمات دهی را ندارد از خدمات دادن به‌طور کامل یا جزئی عاجز می‌ماند.

 

قابلیت بررسی (کنترل دسترسی):

افراد مجاز در هر مکان و زمان که لازم باشد بتوانند به منابع دسترسی داشته باشند.
 

قابلیت عدم انکار انجام عمل:

در انتقال اطلاعات یا انجام عملی روی اطلاعات، گیرنده یا فرستنده یا عمل‌کننده روی اطلاعات نباید قادر به انکار عمل خود باشد. مثلاً فرستنده یا گیرنده نتواند ارسال یا دریافت پیامی را انکار کند.
 

اصل بودن:

در بسیاری از موارد باید از اصل بودن و درست بودن اطلاعات ارسالی و نیز فرستنده و گیرنده اطلاعات اطمینان حاصل کرد.

در برخی موارد ممکن است اطلاعات رمز گذاری شده باشد و دستکاری هم نشده باشد و به خوبی به دست گیرنده برسد، ولی ممکن است اطلاعات غلط باشد یا از گیرنده اصلی نباشد، در این حالت اگر چه محرمانگی، یکپارچگی و در دسترس بودن رعایت شده، ولی اصل بودن اطلاعات مهم است.

 

کنترل دسترسی:

برای حراست از اطلاعات، باید دسترسی به اطلاعات کنترل شود

. افراد مجاز باید و افراد غیرمجاز نباید توانایی دسترسی داشته باشند، بدین منظور روش‌ها و تکنیک‌های کنترل دسترسی ایجاد شده‌اند که در اینجا توضیح داده می‌شوند.

دسترسی به اطلاعات حفاظت شده باید به افراد محدود باشد.

برنامه‌های رایانه‌ای، فرایندها و سامانه‌هایی که مجاز به دسترسی به اطلاعات هستند. این مستلزم وجود مکانیزم‌هایی برای کنترل دسترسی به اطلاعات حفاظت شده می‌باشد.

پیچیدگی مکانیزم‌های کنترل دسترسی باید مطابق با ارزش اطلاعات مورد حفاظت باشد.

اطلاعات حساس تر و با ارزش تر نیاز به مکانیزم کنترل دسترسی قوی تری دارند.

اساس مکانیزم‌های کنترل دسترسی بر دو مقوله احراز هویت و تصدیق هویت است.

 

احراز هویت: تشخیص هویت کسی یا چیزی است.

این هویت ممکن است توسط فرد ادعا شود یا ما خود تشخیص دهیم. اگر یک فرد می‌گوید «سلام، نام من علی است» این یک ادعا است. اما این ادعا ممکن است درست یا غلط باشد.

پیش از اینکه به علی اجازه دسترسی به اطلاعات حفاظت شده داده شود ضروری است که هویت این فرد بررسی شود که او چه کسی است و آیا همانی است که ادعا می‌کند!؟


 

تصدیق هویت: عمل تأیید هویت است.

زمانی که «علی» به بانک می‌رود تا پول برداشت کند، او به کارمند بانک می‌گوید که او «علی» است (این ادعای هویت است).

کارمند بانک، کارت شناسایی عکس دار تقاضا می‌کند، و «علی» ممکن است گواهینامه رانندگی خود را ارئه دهد. کارمند بانک عکس روی کارت شناسایی با چهره «علی» مطابقت می‌دهد تا مطمئن شود که فرد ادعاکننده «علی» است. اگر عکس و نام فرد با آنچه ادعا شده مطابقت دارند تصدیق هویت انجام شده‌است.

 

از سه نوع اطلاعات می‌توان برای احراز و تصدیق هویت فردی استفاده کرد: چیزی که فرد می‌داند، چیزی که فرد دارد، یا کسی که فرد هست. نمونه‌هایی از چیزی که می‌داند شامل مواردی از قبیل کد، رمز عبور، یا نام فامیل پیش از ازدواج مادر فرد باشد.

نمونه‌هایی از چیزی که دارد شامل گواهینامه رانندگی یا کارت مغناطیسی بانک است. کسی که هست اشاره به تکنیک‌های بیومتریک هستند.

نمونه‌هایی از بیومتریک شامل اثر انگشت، اثر کف دست، صدا و اسکن عنبیه چشم هستند. احراز و تصدیق هویت قوی نیاز به ارائه دو نوع از این سه نوع مختلف از اطلاعات است. به عنوان مثال، چیزی که فرد می‌داند به علاوه آنچه دارد یعنی مثلاً ورود رمز عبور علاوه بر نشان دادن کارت مخصوص بانک. این تکنیک را احراز و تصدیق هویت دو عامله گویند که قوی تر از یک عامله (فقط کنترل گذرواژه) است.
 

در سامانه‌های رایانه‌ای امروزی، نام کاربری رایج‌ترین شکل احراز و رمز عبور رایج‌ترین شکل تصدیق هویت است. نام کاربری و گذرواژه به اندازه کافی به امنیت اطلاعات خدمت کرده‌اند اما در دنیای مدرن با سامانه‌های پیچیده‌تر از گذشته، دیگر کافی نمی‌باشند. نام کاربری و گذرواژه به تدریج با روش‌های پیچیده تری جایگزین می‌شوند.

پس از آنکه فرد، برنامه یا رایانه با موفقیت احراز و تصدیق هویت شد سپس باید تعیین کرد که او به چه منابع اطلاعاتی و چه اقداماتی روی آن‌ها مجاز به انجام است (اجرا، نمایش، ایجاد، حذف، یا تغییر). این عمل را صدور مجوز گویند.

صدور مجوز برای دسترسی به اطلاعات و خدمات رایانه‌ای با برقراری سیاست و روش‌های مدیریتی آغاز می‌شود. سیاست دسترسی تبیین می‌کند که چه اطلاعات و خدمات رایانه‌ای می‌تواند توسط چه کسی و تحت چه شرایطی دسترسی شود. مکانیسم‌های کنترل دسترسی سپس برای به اجرا درآوردن این سیاست‌ها نصب و تنظیم می‌شوند.

رویکردهای کنترل دسترسی مختلفی وجود دارند. سه رویکرد شناخته شده وجود دارند که عبارتند از: رویکرد صلاحدیدی، غیرصلاحدیدی و اجباری. در رویکرد صلاحدیدی خالق یا صاحب منابع اطلاعات قابلیت دسترسی به این منابع را تعیین می‌کند. رویکرد غیر صلاحدیدی همه کنترل دسترسی متمرکز است و به صلاحدید افراد نیست. در روش اجباری، دسترسی به اطلاعات یا محروم کردن بسته به طبقه‌بندی اطلاعات و رتبه فرد خواهان دسترسی دارد.
 

کنترل امنیت اطلاعات:

کنترل امنیت به اقداماتی گفته می‌شود که منجر به حفاظت، پیشگیری، مقابله/واکنش، و به حداقل رساندن دامنه تهدیدات امنیتی در صورت بروز می‌شود.

این اقدامات را می‌توان به سه دسته تقسیم کرد:

1.مدیریتی:

کنترل مدیریتی (کنترل رویه‌ها) عبارتند از سیاست‌ها، رویه‌ها، استانداردها و رهنمودهای مکتوب که توسط مراجع مسئول تأیید شده‌است. کنترل‌های مدیریتی چارچوب روند امن کسب و کار و مدیریت افراد را تشکیل می‌دهد. این کنترل‌ها به افراد نحوه امن و مطمئن انجام کسب و کار را می‌گویند و نیز چگونه روال روزانه عملیات‌ها هدایت شود. قوانین و مقررات ایجاد شده توسط نهادهای دولتی یک نوع از کنترل مدیریتی محسوب می‌شوند چون به شرکت‌ها و سازمان‌ها نحوه امن کسب و کار را بیان می‌کنند. برخی از صنایع سیاست‌ها، رویه‌ها، استانداردها و دستورالعمل‌های مختص خود دارند که باید دنبال کنند مثل استاندارد امنیت داده‌های صنعت کارت‌های پرداخت (PCI-DSS) مورد نیاز ویزا و مستر کارت یا سامانه مدیریت امنیت اطلاعات ISMS. نمونه‌های دیگر از کنترل‌ها مدیریتی عبارتند از سیاست امنیتی شرکت‌های بزرگ، سیاست مدیریت رمز عبور، سیاست استخدام، و سیاست‌های انضباطی. کنترل‌های مدیریتی پایه‌ای برای انتخاب و پیاده‌سازی کنترل‌های منطقی و فیزیکی است. کنترل‌های منطقی و فیزیکی پیاده‌سازی و ابزاری برای اعمال کنترل‌های مدیریتی هستند.
 

منطقی:

کنترل منطقی (کنترل فنی) به‌کارگیری نرم‌افزار، سخت‌افزار و داده‌ها است برای نظارت و کنترل دسترسی به اطلاعات و سامانه‌های رایانه‌ای. به عنوان مثال: گذرواژه، دیوار آتش‌ها ی شبکه و ایستگاه‌های کاری، سامانه‌های تشخیص نفوذ به شبکه، لیست‌های کنترل دسترسی و رمزنگاری داده‌ها نمونه‌هایی از کنترل منطقی می‌باشند.
 

فیزیکی:

کنترل فیزیکی برای حفاظت و کنترل محیط کار و تجهیزات رایانه‌ای و نحوه دسترسی به آن‌ها است که جنبه فیزیکی دارند. به عنوان مثال: درب، قفل، گرمایش و تهویه مطبوع، آژیر دود و آتش، سامانه دفع آتش‌سوزی، دوربین‌ها مداربسته، موانع، حصارکشی، نیروی‌های محافظ و غیره.


کنترل تنظیمات (رمزنگاری):

در امنیت اطلاعات از رمزنگاری استفاده می‌شود تا اطلاعات به فرمی تبدیل شود که به غیر از کاربر مجاز کس دیگری نتواند از آن اطلاعات استفاده کند حتی اگر به آن اطلاعات دسترسی داشته باشد. اطلاعاتی که رمزگذاری شده تنها توسط کاربر مجازی که کلید رمز نگاری را دارد می‌تواند دوباره به فرم اولیه تبدیل شود (از طریق فرایند رمزگشایی). رمزنگاری برای حفاظت اطلاعات در حال انتقال (اعم از الکترونیکی یا فیزیکی) یا ذخیره شده‌است. رمزنگاری امکانات خوبی برای امنیت اطلاعات فراهم می‌کند از جمله روش‌های بهبود یافته تصدیق هویت، فشرده‌سازی پیام، امضاهای دیجیتالی، قابلیت عدم انکار و ارتباطات شبکه رمزگذاری شده است.

رمزنگاری اگر درست پیاده‌سازی نشود می‌تواند مشکلات امنیتی در پی داشته باشد. راه حل‌های رمز نگاری باید با به‌کارگیری استانداردهای پذیرفته شده که توسط کارشناسان مستقل و خبره بررسی دقیق شده انجام گیرد. همچنین طول و قدرت کلید استفاده شده در رمزنگاری بسیار مهم است. کلیدی ضعیف یا بسیار کوتاه منجر به رمزگذاری ضعیف خواهد شد. مدیریت کلید رمزنگاری موضوع مهمی است. رمزگذاری داده‌ها و اطلاعات و تبدیل کردن آن‌ها به شکل رمزگذاری شده، روش مؤثر در جلوگیری از انتشار اطلاعات محرمانه شرکت می‌باشد.


 

ثبت درخواست تعمیر (۰۲۱۹۱۰۰۹۶۴۵)