امنیت اطلاعات
امنیت اطلاعات Information Security
دکتر محمد باقر نگهبان و طاهره فیروز آبادی
امنیت اطلاعات گاهی اوقات به infosec مختصر می شود که به عمل دفاع ازاطلاعات برای جلوگیری از دسترسی های غیرمجاز ، استفاده ، انتشار، اختلال ، اصلاح ، مطالعه ،بازرسی ، ضبط یا تخریب گفته می شود. اصطلاحی کلی است که می تواند بدون درنظر گرفتن شکل داده های ( الکترونیکی ، فیزیکی وغیره ) مورد استفاده قرار گیرند. این مقاله یک دید کلی از امنیت اطلاعات ومفاهیم اصلی آن است.
1. تاریخچه 2. تعاریف 3. حرفه 4. مفاهیم پایه • محرمانه بودن • یکپارچگی • در دسترس بودن 5. تحلیل گران امنیت اطلاعات 6 . کنترل ها • مدیریتی • منطقی • فیزیکی 7 . طبقه بندی امنیت اطلاعات 8 . رمز نگاری 9 . فرهنگ امنیت اطلاعات 10 . CISSP 11 . نتیجه گیری تاریخچه:
از زمانی که نوشتن و تبادل اطلاعات آغاز شد، همه انسانها مخصوصا سران حکومتها و فرماندهان نظامی در پی راهکاری برای محافظت از محرمانه بودن مکاتبات و تشخیص دستکاری آنها بودند. ژولیوس سزار ۵۰ سال قبل از میلاد یک سیستم رمزنگاری مکاتبات ابداع کرد تا از خوانده شدن پیامهای سری خود توسط دشمن جلوگیری کند حتی اگر پیام به دست دشمن بیافتد. اطلاعات حساس چون باید توسط افراد مورد اعتماد محافظت و حمل ونقل شوند ونیز درمحیطی امن ویا بسته بندی مطمئن نگهداری و ذخیره شوند علامت گزاری شده اند. از آنجا که خدمات پستی گسترش یافتند دولت برای رهگیری ، کشف ، خواندن ودوباره مهروموم کردن نامه ها سازمانهای رسمی ایجادکرد.
دراواسط قرن نوزده سیستمهای طبقه بندی پیچیده تری توسعه یافتند که به دولت امکان مدیریت اطلاعات خود با توجه به درجه حساسیت آنها را می دادند. پایان قرن بیستم و سالهای اولیه قرن بیست و یکم شاهد پیشرفتهای سریع در ارتباطات راه دور، سخت افزار، نرم افزار و رمزگذاری دادهها بود. در دسترس بودن تجهیزات محاسباتی کوچکتر، قوی تر و ارزان تر پردازش الکترونیکی دادهها باعث شد که شرکتهای کوچک و کاربران خانگی دسترسی بیشتری به آنها داشته باشند. این تجهیزات به سرعت از طریق شبکههای کامپیوتر مثل اینترنت به هم متصل شدند. با رشد سریع و استفاده گسترده از پردازش الکترونیکی دادهها و کسب و کار الکترونیک از طریق اینترنت، همراه با ظهور بسیاری از خرابکاریهای بینالمللی، نیاز به روشهای بهتر حفاظت از رایانهها و اطلاعات آنها ملموس گردید. رشتههای دانشگاهی از قبیل امنیت کامپیوتری، امنیت اطلاعات و اطلاعات مطمئن همراه با سازمانهای متعدد حرفه ای پدید آمدند. هدف مشترک این فعالیتها و سازمانها حصول اطمینان از امنیت و قابلیت اطمینان از سیستمهای اطلاعاتی است. تعاریف تعاریف پیشنهادشده از infosec درمنابع مختلف به شرح زیر خلاصه شده اند: 1- حفظ محرمانگی ، یکپارچگی و دردسترس بودن اطلاعات . نکته : علاوه بر این خواص دیگر ازجمله اعتبار،پاسخگویی ، عدم انکار وقابلیت اطمینان نیز می توانند نقش داشته باشند. 2- حفاظت از اطلاعات وسیستم های اطلاعاتی از دسترسی های غیر مجاز،استفاده ، افشاء ، اختلال یا تخریب به منظور فراهم نمودن محرمانگی ، یکپارچگی ودر دسترس بودن 3- تضمین می کند که فقط کاربران مجاز (محرمانه) به اطلاعات دقیق وکامل (تمامیت) درزمان موردنیاز دسترسی داشته باشند. 4- امنیت اطلاعات روند حفاظت ازمالکیت معنوی یک سازمان است. 5- امنیت اطلاعات یک شیوه مدیریت ریسک است که کارش مدیریت هزینه های خطر اطلاعات برای کسب وکاراست. 6- احساس اطمینان کردن از اینکه خطرات وکنترل اطلاعات درتعادل باشند. 7- امنیت اطلاعات، حفاظت از اطلاعات وبه حداقل رساندن خطر افشای اطلاعات به اشخاص غیرمجاز است. 8- امنیت اطلاعات یک ناحیه چندرشته ای از مطالعغه وفعالیتهای حرفه ای است که دررابطه با توسعه وپیاده سازی مکانیزم های امنیتی از انواع موجود ( فنی ، سازمانی، انسان گرا و حقوقی ) به منظور نگهداری از اطلاعات درتمام نقاط(درداخل وخارج از محیط سازمان ) می باشد ودرنتیجه سیستم های اطلاعاتی که اطلاعات درآنها ایجاد،پردازش ، ذخیره، انتقال وتخریب می شوندازتهدیدات مصون می باشند. حرفه امنیت اطلاعات حرفه ای با ثبات وروبه رشد است. متخصصان امنیت اطلاعات در کارشان بسیار ثابت قدم هستند. بیش از 80 درصد هیچ تغییری در کارفرما و یا کسب وکار در سال گذشته نداشتند وپیش بینی شده است تعداد متخصصان به طور مداوم در طول پنج سال آینده بیش از 11 درصد در سال رشد کنند . مفاهیم پایه دسته سه تایی CIA (محرمانه بودن ، یکپارچگی و در دسترس بودن ) یکی از اصول اساسی امنیت اطلاعات است. محرمانه بودن محرمانگی یعنی جلوگیری از افشای اطلاعات به افراد یا سیستمهای غیر مجاز. به عنوان مثال، برای خرید با کارتهای اعتباری بر روی اینترنت نیاز به ارسال شماره کارت اعتباری از خریدار به فروشنده و سپس به مرکز پردازش معامله است. در این مورد شماره کارت و دیگر اطلاعات مربوط به خریدار و کارت اعتباری او نباید در اختیار افراد غیرمجاز بیافتد و این اطلاعات باید محرمانه بماند. در این مورد برای محرمانه نگهداشتن اطلاعات، شماره کارت رمزنگاری میشود و در طی انتقال یا جاهایی که ممکن است ذخیره شود (در پایگاههای داده، فایلهای ثبت وقایع سیستم، پشتیبان گیری، چاپ رسید، و غیره) رمز شده باقی میماند. همچنین دسترسی به اطلاعات و سیستمها نیز محدود میشود. اگر فردی غیر مجاز به شماره کارت به هر نحوی دست یابد، نقض محرمانگی رخ داده است. محرمانه بودن به منظور حفظ امور شخصی افرادی که اطلاعاتشان در سیستم نگهداری می شود ضروری است.
یکپارچگی درامنیت اطلاعات ، یکپارچگی داده ها به معنی حفظ واطمینان از دقت وانسجام اطلاعات درطول تمام چرخه زندگی آن است . بدان معنی است که داده ها نمی توانند به شیوه ای غیر مجاز و یا غیر قابل تشخیص تغییر یابند. نقض یکپارچگی زمانی صورت می گیرد که یک پیام به طور فعال در انتقال تغییر یابد. سیستم های امنیت اطلاعات علاوه برمحرمانه بودن داده ها، یکپارچگی داده ها را نیز فراهم می کنند.
دردسترس بودن اطلاعات باید زمانی که مورد نیاز توسط افراد مجاز هستند در دسترس باشند. این بدان معنی است که باید از درست کار کردن و جلوگیری از اختلال در سیستمهای ذخیره و پردازش اطلاعات و کانالهای ارتباطی مورد استفاده برای دسترسی به اطلاعات اطمینان حاصل کرد. سیستمهای با دسترسی بالا در همه حال حتی به علت قطع برق، خرابی سخت افزار، و ارتقاء سیستم در دسترس باقی می ماند تحلیل گران امنیت اطلاعات تحلیل گران امنیت اطلاعات متخصصان فن آوری اطلاعات ( IT ) می باشند که مسئول حفاظت از تمام اطلاعات وارتباطاتی هستند که درسیستمهای شبکه ذخیره وبه اشتراک گذاشته شده اند.به عنوان مثال درصنعت مالی تحلیل گران امنیت اطلاعات ممکن است مکرراً فایروال هایی را ارتقا دهند که مانع دسترسی اضافی به داده های حساس کسب وکار شوند. کنترل ها کنترل امنیت به اقداماتی گفته میشود که منجر به حفاظت، مقابله، پیشگیری و یا به حداقل رساندن خطرات امنیتی است. این اقدامات را میتوان به سه دسته تقسیم کرد. مدیریتی کنترل مدیریتی ( کنترل رویه ها) عبارتند از سیاست ها، رویه ها، استانداردها و رهنمودهای مکتوب که توسط مراجع مسئول تایید شده است. کنترلهای مدیریتی چارچوب روند امن کسب و کار و مدیریت افراد را تشکیل میدهد. این کنترلها به افراد نحوه امن و مطمئن انجام کسب و کار را میگویند و نیز چگونه روال روزانه عملیاتها هدایت شود. قوانین و مقررات ایجاد شده توسط نهادهای دولتی یک نوع از کنترل مدیریتی محسوب میشوند چون به شرکتها و سازمانها نحوه امن کسب و کار را بیان میکنند. برخی از صنایع سیاست ها، رویه ها، استانداردها و دستورالعملهای مختص خود دارند که باید دنبال کنند مثل استاندارد امنیت دادههای صنعت کارتهای پرداخت (PCI) مورد نیاز ویزا و مستر کارت. نمونههای دیگر از کنترلها مدیریتی عبارتند از سیاست امنیتی شرکتهای بزرگ، سیاست مدیریت رمز عبور، سیاست استخدام، و سیاستهای انضباطی. کنترلهای مدیریتی پایه ای برای انتخاب و پیاده سازی کنترلهای منطقی و فیزیکی است. کنترلهای منطقی و فیزیکی پیاده سازی و ابزاری برای اعمال کنترلهای مدیریتی هستند. منطقی کنترل منطقی (کنترل فنی) استفاده از نرم افزار، سخت افزار و دادهها است برای نظارت و کنترل دسترسی به اطلاعات و سیستمهای کامپیوتری. به عنوان مثال : گذرواژه، فایروالها ی شبکه و ایستگاههای کاری، سیستمهای تشخیص نفوذ به شبکه، لیستهای کنترل دسترسی و رمزنگاری دادهها نمونه هایی از کنترل منطقی می باشند.
فیزیکی کنترل فیزیکی برای حفاظت و کنترل محیط کار و تجهیزات کامپیوتری و نحوه دسترسی به آنها است که جنبه فیزیکی دارند. به عنوان مثال: درب، قفل، گرمایش و تهویه مطبوع، آژیر دود و آتش، سیستم دفع آتش سوزی، دوربینها مداربسته، موانع، حصارکشی، نیرویهای محافظ و غیره. طبقه بندی امنیت اطلاعات یک جنبه مهم امنیت اطلاعات ومدیریت خطر شناسایی ارزش اطلاعات و تعیین روشهای مناسب و حفاظت از اطلاعات می باشد. همه اطلاعات برابر نیستند وبنابراین نیاز به درجه یکسان از حفاظت ندارند. این نیاز به اطلاعات طبقه بندی امنیت را تعیین کرده است. اولین گام در طبقه بندی اطلاعات شناسایی یک عضو مدیریتی ارشد است که به عنوان دربرگیرنده اطلاعات خاصی که باید طبقه بندی شوند می باشد. بعدی توسعه سیاست طبقه بندی است . سیاست باید برچسب های طبقه بندی متفاوت را توصیف کند. برای اطلاعاتی که برچسب خاص را تعیین می کنند معیاری را تعریف کند ولیستی از کنترل های امنیتی مورد نیاز برای هر طبقه بندی را تهیه کند. نوعی از برچسب های طبقه بندی امنیت اطلاعات انتخاب واستفاده شده اند که مبتنی بر ماهیت سازمان می باشند. برای مثال: • در بخش کسب وکار برچشب هایی مانند : عمومی ، حساس ، خصوصی ، محرمانه • در بخش دولتی برچسب هایی مانند : طبقه بندی نشده ، حساس اما طبقه بندی نشده ، محدود ، محرمانه ، رمزی رمزنگاری در امنیت اطلاعات از رمزنگاری استفاده میشود تا اطلاعات به فرمی تبدیل شود که به غیر از کاربر مجاز کس دیگری نتواند از آن اطلاعات استفاده کند این فرایند رمزنگاری نامیده می شود. اطلاعاتی که رمزگذاری شده تنها توسط کاربر مجازی که کلید رمز نگاری را دارد میتواند دوباره به فرم اولیه تبدیل شود(از طریق فرایند رمزگشایی). رمزنگاری برای حفاظت اطلاعات در حال انتقال (اعم از الکترونیکی و یا فیزیکی) و یا ذخیره شده است. رمزنگاری امکانات خوبی برای امنیت اطلاعات فراهم می کند از جمله روشهای بهبود یافته تصدیق هویت، فشرده سازی پیام، امضاهای دیجیتالی، قابلیت عدم انکار و ارتباطات شبکه رمزگذاری شده. برنامه های امنیتی تر مانند ssh که از ارتباطات شبکه رمز نگاری شده استفاده می کنند جایگزین برنامه های امنیتی قدیمی تر مانند شبکه راه دور و ftp شده اند. رمزنگاری اگر درست پیاده سازی نشود می تواند مشکلات امنیتی در پی داشته باشد. راه حلهای رمز نگاری باید با استفاده از استانداردهای پذیرفته شده که توسط کارشناسان مستقل و خبره بررسی دقیق شده انجام گیرد. همچنین طول و قدرت کلید استفاده شده در رمزنگاری بسیار مهم است. کلیدی ضعیف یا خیلی کوتاه منجر به رمزگذاری ضعیف خواهد شد.
فرهنگ امنیت اطلاعات
رفتارکارکنان تاثیر زیادی در امنیت اطلاعات در سازمانها دارد. مفهوم فرهنگی می تواند به نگرانی بخش های مختلف سازمان درباره امنیت اطلاعات در بین سازمان کمک کند. "بررسی رابطه بین فرهنگ سازمانی و فرهنگ امنیت اطلاعات" تعریف زیررا از فرهنگ امنیت اطلاعات فراهم می کند: ISC کلیت الگوهای رفتاری یک سازمان است که به حفاظت از همه نوع اطلاعات کمک می کند.
فرهنگ امنیت اطلاعات باید به طور مداوم بهبود یابد. در " فرهنگ امنیت اطلاعات از تجزیه وتحلیل تا تغییر" نویسندگان اظهارنظر می کنند که " این پایان یک فرایند نیست بلکه یک دوره ارزیابی وتغییر یا تعمیر ونگهداری است." برای مدیریت فرهنگ امنیت اطلاعات پنج مرحله باید انجام شود: قبل ازارزیابی ، برنامه ریزی استراتژیک ، برنامه ریزی عملی ، پیاده سازی وپس از ارزیابی.
• قبل از ارزیابی: به منظور آگاهی از امنیت اطلاعات در بین کارکنان وتجزیه وتحلیل خط مشی امنیتی جاری
• برنامه ریزی استراتژیک : برای دسترسی به برنامه بهتر نیاز به تنظیم اهداف واضح و روشن داریم.
• برنامه ریزی عملی : ما می توانیم فرهنگ امنیتی خوبی را براساس ارتباطات داخلی ، مدیریت خرید و آگاهی های امنیتی و برنامه های آموزشی تنظیم کنیم.
CISSP
تخصص به رسمیت شناخته شده در سطح جهانی در زمینه امنیت اطلاعات
CISSP مدرک به رسمیت شناخته شده استاندارد در سطح جهانی است که دانش یک فرد را در زمینه امنیت اطلاعات تایید می کند. CISSP دارای اطلاعات حرفه ای تضمینی هستند که در موضوعات معماری ، طراحی ، مدیریت ویا کنترل تعریف می شوند و امنیت محیط کسب وکار را تضمین می کنند. این اولین گواهینامه در زمینه امنیت اطلاعات بود که برای پاسخ گویی به نیازهای دقیق IEC/ISO استاندارد 17024 بکار می رفت .
تایید دانش وتجربه
آزمون CISSP صلاحیت فرد را درده حوزه از ISC و CBK بررسی می کند که موضوعات مهم پوشش امنیت امروزه هستند از جمله مدیریت ریسک ، محاسبات ابری ، امنیت تلفن همراه ، امنیت توسعه نرم افزار وبیشتر. داوطلبان باید حداقل در دو تا از ده حوزه 5 سال تجربه داشته باشند. این گستردگی وسیع دانش و تجربه لازم برای قبول شدن در امتحان آن چیزی است که مجموعه CISSP را متمایز می کند.
آزمون CISSP در ده حوزه های زیر است:
کنترل دسترسی
ارتباطات و امنیت شبکه
حکومت امنیت اطلاعات و مدیریت ریسک
توسعه نرم افزار امنیت
رمزنگاری
معماری امنیتی و طراحی
امنیت عملیات
تداوم کسب و کار و حوادث بازیابی برنامه ریزی
حقوقی، آیین نامه ها، تحقیق و پذیرش
فیزیکی (محیط زیست) امنیت
نتیجه گیری
امنیت اطلاعات فرایند در دست اقدام برای مراقبت و سعی و کوشش به منظور محافظت اطلاعات و سیستم های اطلاعاتی از دسترسی ، استفاده ، افشاء ، تخریب ، تغییر ویا قطع و توزیع افراد غیر مجاز است. فرایند همیشگی امنیت اطلاعات آموزش مستمر ، ارزیابی ، حفاظت ، نظارت وتشخیص اسناد ومدارک و بازنگریها را دربرمی گیرد. این ویژگیها امنیت اطلاعات را برای همه عملیاتهای کسب وکار در همه حوزه های مختلف بخشی ضروری می سازد.