مفاهیم امنیت اطلاعات

      

 عناصر کلیدی در امنیت اطلاعات <?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

در تثبیت امنیت اطلاعات، عناصری کلیدی زیر، نقش بسزایی دارند (استاندارد BS7799) :

§         محرمانگی : فرآیندی است که به کمک آن این اطمینان ایجاد می‌گردد که حریم خصوصی داده رعایت و امکان مشاهده آن توسط کاربران غیر مجاز و یا سایر افرادی که قادر به ردیابی ترافیک یک شبکه می‌باشند وجود نخواهد داشت. به عبارتی دیگر محرمانگی به حفاظت اطلاعات از فاش شدن غیر مجاز یا جلوگیری از درک شدن آن‌ها می‌باشد. به عبارت دیگر اطلاعات فقط باید برای افراد مجاز در دسترس باشد که این امر یا با محدود نمودن دسترسی و یا با رمزی نمودن اطلاعات قابل انجام می‌باشد.

§         یکپارچگی و تمامیت : فرآیندی است که به کمک آن این اطمینان ایجاد می‌گردد که همواره داده در مقابل تغییرات تصادفی و یا تعمدی حفاظت شود، همانند محرمانگی اطلاعات، یکپارچگی اطلاعات یک فاکتور اساسی در خصوص امنیت داده محسوب می‌شود. به عبارتی دیگر تمامیت یا صحت شامل درستی و جامعیت اطلاعات است. اهمیت صحت اطلاعات در اتخاذ تصمیم است رخنه در صحت اطلاعات می‌تواند ناشی از تغییر غیر مجاز، غیر منتظره و غیر عامدانه باشد (Thomson and Solms, 1998).

§         در دسترس بودن : فرآیندی است که به کمک آن این اطمینان ایجاد می‌گردد که همواره داده برای کاربران مجاز در دسترس و قابل استفاده خواهد بود در اغلب حملات از نوع حملات ممانعت از سرویس، مهاجمان این هدف را دنبال می‌کنند که بتوانند امکان استفاده و در دسترس بودن برنامه برای کاربران را غیر ممکن و عملاً آن را از کار بیندازند. به عبارتی در دسترس بودن منابع برای استفاده توسط فرد مرتبط در زمان صحیح می‌باشد. این ویژگی از آن‌سو مهم است. چون بدون آن فعالیت‌های معمول شرکت ادامه نمی‌یابد و تصمیمات به موقع گرفته نمی‌شود. همچنین به این وسیله به نیازها پاسخ داده شده و از خسارات قابل توجه جلوگیری می‌شود.

§         عدم انکار[1] : به معنای تایید این است که یک فرد یا گروه مشخص اطلاعات خاصی را ارسال و یا دریافت نموده است و این فرد یا گروه نمی‌تواند دریافت اطلاعات را انکار کندو عدم انکار پیش نیاز پیاده‌سازی بسیاری از سرویس‌های الکترونیکی مانند تعاملات کسب و کار در اینترنت می‌باشد.

§         تصدیق[2]: فرآیندی است که به کمک آن دست‌یابی گیرندگان تایید شده و عملیاتی که قصد انجام آن را دارند بررسی و مجوز لازم صادر می‌شود. فایل‌ها، بانک‌های اطلاعاتی، جداول و منابع موجود در سطح سیستم نظیر کلیدهایرجیستری، داده‌های پیکربندی نمونه‌های از منابع مورد درخواست سرویس گیرندگان است.

§         کنترل دسترسی[3]: برای محدود کردن استفاده از سرویس‌های الکترونیکی فقط برای استفاده از افرادی که مجاز می‌باشند به کار می‌رود. هدف از کنترل دسترسی، حفاظت نسبی از محرمانگی و یکپارچگی اطلاعات است.

     اصطلاحات امنیتی

تهدید[4] : به هر گونه پتانسیل بروز یک رویداد مخرب و یا مواردی که می‌تواند به سرمایه‌های یک سازمان آسیب رساند تهدید گفته می‌شود. به عبارت دیگر هر رویدادی که توانایی آسیب رساندن به سیستم را داشته باشد، در زمره تهدیدات محسوب می‌گردد.

حمله[5] : عملیاتی است که محوریت آن سوءاستفاده از نقاط آسیب‌پذیر و پتانسیل‌های بروز یک رویداد مخرب می‌باشد. ارسال ورودی مخرب به یک برنامه و یا بار بیش از اندازه[6] یک شبکه به منظور از کار انداختن یک سرویس، نمونه‌هایی در این زمینه می‌باشد.

رخنه[7] : نقض سیاست امنیتی یک سیستم را رخنه گویند. که می‌تواند حتی توسط کارمند سازمان در اثر عدم آگاهی و یا بی‌دقتی صورت گیرد.

نفوذ[8] : فرآیند حمله و رخنه ناشی از آن و همچنین دسترسی موفق، قابل تکرار، و غیر مجاز به منابع حفاظت شده سیستم را نفوذ گویند.

حمله امنیتی[9] : عملی است که امنیت اطلاعات سازمان را نقض می‌کند. یک حمله به طرق مختلف می‌تواند چه از داخل سازمان و یا خارج آن صورت گیرد.

سازوكار امنیتی[10] : سازوكاري که جهت شناخت، پیشگیری و درمان یک نفوذ امنیتی طراحی می‌شود. در واقع هر مکانیزم راه‌حلی برای نیازها و مشکلاتی امنیتی است. مکانیزم‌های امنیت انواع روش‌ها و رویه‌های مورد استفاده جهت مقابله با نفوذ و اثرات آن را بیان می‌کند و دربرگیرنده روش در نظر گرفته شده برای تشخیص، جلوگیری و بازیابی از حملات است.

سرویس امنیتی[11] : مجموعه‌ای از مکانیزم‌های امنیتی، فایل‌ها و رویه‌ها است که کمک به حفاظت از شبکه می‌نماید در واقع، سرویس امنیتی، سرویسی است که جهت ارتقاء وضعیت امنیت داده‌ها استفاده می‌شود.

     مزایای سرمایه‌گذاری در امنیت اطلاعات

سازمان‌ها و مؤسسات تجاری با پیاده‌سازی یک استراتژی امنیتی از مزایای زیر بهره‌امند خواهند شد (سادوسکای، 1384) :

§         کاهش احتمال غیر فعال شدن سیستم‌ها و برنامه‌ها (از دست ندادن فرصت‌ها)

§         استفاده موثر از منابع انسانی[12] و غیر انسانی در یک سازمان (افزایش بهره‌وری)

§         کاهش هزینه از دست دادن داده‌ها و اطلاعات توسط ویروس­های مخرب و یا حفره‌های امنیتی[13] (حفاظت از داده‌های ارزشمند)

§         افزایش حفاظت از مالکیت معنوی[14]

§         هزینه پیشگیری از یک مشکل امنیتی، همواره کمتر از هزینه بازسازی خرابی متأثر از آن است.

     ضعف در بعد امنیت

ضعف‌های امنیتی در سامانه‌های رایانه‌ای معمولاً از موارد زیر ناشی می‌شود (سادوسکای، 1384):

سهل انگاری[15]

برنامه‌نویسان: معمولاً برنامه‌نویسان و طراحان از اهمیت نکات امنیتی، اطلاعاتی ندارند و در طراحی و ساخت نرم‌افزارها، نکات امنیتی را رعایت نمی‌کنند.

اولویت پایین[16] :

 تا چندی قبل، حتی کسانی که از نکات امنیتی آگاهی داشتند نسبت به آن چندان اقدامی نمی‌کردند و در نتیجه مسائل امنیتی مورد توجه قرار نمی‌گرفت.

محدودیت زمان و مکان و هزینه[17] :

 بعضی افراد تصور می‌کنند اقدامات امنیتی جهت طراحی، کد نویسی آزمایش در طول فرایند تولید نرم‌افزار هزینه گزافی در بر داشته و زیان زیادی به خود اختصاص می‌دهد؛ لذا اهمیت شایانی به رعایت نکات ایمنی داده نمی‌شد.

 بی‌نظی برنامه‌نویسان[18] :

برنامه‌نویسان در کارهای مربوط به برنامه‌نویسی، معمولاً در اثر بی‌نظمی، اشتباهات را چندین بار تکرار می‌کردند و باعث ایجاد نقایص امنیتی می‌شدند.

خلاقیت تبهکاران[19] :

 انسان موجودی خلاقی است و افراد با ­انگیزه همیشه برای غلبه بر موانع امنیتی و کشف اشتباهاتی که منجر به نقایص امنیتی شوند راهی پیدا خواهند کرد.

سطح پایین آگاهی کاربران[20] :

کاربران معمولی به طور طبیعی، به خاطر پایین بودن سطح معلوماتشان، از تهدیدهای اطراف خود آگاه نیستند و به همین دلیل در پی راه‌های مناسب جهت تضمین امنیت داده‌ها و سیستم‌های خود نیستند.

نگاه غیر واقع‌بینانه قربانیان[21] :

 برخی کاربران نسبت به نکات امنیتی آگاهی دارند ولی آن‌ها را جدی نمی‌گیرند، چون گمان دارند که هیچ‌گاه حمله‌ای علیه آن‌ها صورت نخواهد گرفت.


[1] Non repudiation

[2] Authentication

[3] Access control

[4]Threat

[5] Attack

[6] Flooding

[7] Breach

[8] Intrusion

[9]Security Attack

[10] Security Mechanism

[11] Security Service

[12]Human Resources

[13] Security holes

[14] Intellectual property

[15] Inattention

[16] Low priority

[17]Timeand spaceconstraintsandcost

[18]Chaosprogrammers

[19]Creativitycriminals

[20] Low awareness of users

[21]Lookunrealisticvictims


مطالب مشابه :


مفاهیم امنیت اطلاعات

امنیت اطلاعات خود آگاه نیستند و به همین دلیل در پی راه‌های مناسب جهت تضمین امنیت داده‌ها



امنیت اطلاعات در شبکه های کامپیوتری

IT-Student - امنیت اطلاعات در شبکه های کامپیوتری - مطالب it - IT-Student



مدیریت امنیت اطلاعات

امنیت پایگاه داده و اطلاعات (Data Security) چیست؟ امروزه گسترش



مقاله ای با موضوع: "طراحی امنیت پایگاه داده"

کارشناسی ارشد مهندسی نرم افزار - مقاله ای با موضوع: "طراحی امنیت پایگاه داده" - مقالات و مباحث



امنیت اطلاعات چیست ؟

امنیت اطلاعات دربرگیرنده سیاست سازمان در امنیت it ،امنیت اینترنت،امنیت داده ها و غیره است



رمز نگاری : راه حلی برای حفظ امنیت داده ها

مقاله - رمز نگاری : راه حلی برای حفظ امنیت داده ها -



مرکز داده (بخش اول)

راهکارهای شبکه و امنیت - مرکز داده (بخش اول) - مباحث کلی در زمینه شبکه و امنیت شامل: لینوکس



برچسب :