امنیت اطلاعات

از دانشنامه آزاد علم اطلاعات و دانش شناسی
پرش به: ناوبری، جستجو

امنیت اطلاعات Information Security

دکتر محمد باقر نگهبان و طاهره فیروز آبادی

امنیت اطلاعات گاهی اوقات به infosec مختصر می شود که به عمل دفاع ازاطلاعات برای جلوگیری از دسترسی های غیرمجاز ، استفاده ، انتشار، اختلال ، اصلاح ، مطالعه ،بازرسی ، ضبط یا تخریب گفته می شود. اصطلاحی کلی است که می تواند بدون درنظر گرفتن شکل داده های ( الکترونیکی ، فیزیکی وغیره ) مورد استفاده قرار گیرند. این مقاله یک دید کلی از امنیت اطلاعات ومفاهیم اصلی آن است.

1. تاریخچه 2. تعاریف 3. حرفه 4. مفاهیم پایه • محرمانه بودن • یکپارچگی • در دسترس بودن 5. تحلیل گران امنیت اطلاعات 6 . کنترل ها • مدیریتی • منطقی • فیزیکی 7 . طبقه بندی امنیت اطلاعات 8 . رمز نگاری 9 . فرهنگ امنیت اطلاعات 10 . CISSP 11 . نتیجه گیری تاریخچه: 

از زمانی که نوشتن و تبادل اطلاعات آغاز شد، همه انسانها مخصوصا سران حکومتها و فرماندهان نظامی در پی راهکاری برای محافظت از محرمانه بودن مکاتبات و تشخیص دستکاری آنها بودند. ژولیوس سزار ۵۰ سال قبل از میلاد یک سیستم رمزنگاری مکاتبات ابداع کرد تا از خوانده شدن پیام‌های سری خود توسط دشمن جلوگیری کند حتی اگر پیام به دست دشمن بیافتد.  اطلاعات حساس چون باید توسط افراد مورد اعتماد محافظت و حمل ونقل شوند ونیز درمحیطی امن ویا بسته بندی مطمئن نگهداری و ذخیره شوند علامت گزاری شده اند. از آنجا که خدمات پستی گسترش یافتند دولت برای رهگیری ، کشف ، خواندن ودوباره مهروموم کردن نامه ها سازمانهای رسمی ایجادکرد.

دراواسط قرن نوزده سیستمهای طبقه بندی پیچیده تری توسعه یافتند که به دولت امکان مدیریت اطلاعات خود با توجه به درجه حساسیت آنها را می دادند. پایان قرن بیستم و سالهای اولیه قرن بیست و یکم شاهد پیشرفتهای سریع در ارتباطات راه دور، سخت افزار، نرم افزار و رمزگذاری داده‌ها بود. در دسترس بودن تجهیزات محاسباتی کوچکتر، قوی تر و ارزان تر پردازش الکترونیکی داده‌ها باعث شد که شرکت‌های کوچک و کاربران خانگی دسترسی بیشتری به آنها داشته باشند. این تجهیزات به سرعت از طریق شبکه‌های کامپیوتر مثل اینترنت به هم متصل شدند. با رشد سریع و استفاده گسترده از پردازش الکترونیکی داده‌ها و کسب و کار الکترونیک از طریق اینترنت، همراه با ظهور بسیاری از خرابکاریهای بین‌المللی، نیاز به روش‌های بهتر حفاظت از رایانه‌ها و اطلاعات آنها ملموس گردید. رشته‌های دانشگاهی از قبیل امنیت کامپیوتری، امنیت اطلاعات و اطلاعات مطمئن همراه با سازمان‌های متعدد حرفه ای پدید آمدند. هدف مشترک این فعالیت‌ها و سازمانها حصول اطمینان از امنیت و قابلیت اطمینان از سیستم‌های اطلاعاتی است. تعاریف تعاریف پیشنهادشده از infosec درمنابع مختلف به شرح زیر خلاصه شده اند: 1- حفظ محرمانگی ، یکپارچگی و دردسترس بودن اطلاعات . نکته : علاوه بر این خواص دیگر ازجمله اعتبار،پاسخگویی ، عدم انکار وقابلیت اطمینان نیز می توانند نقش داشته باشند. 2- حفاظت از اطلاعات وسیستم های اطلاعاتی از دسترسی های غیر مجاز،استفاده ، افشاء ، اختلال یا تخریب به منظور فراهم نمودن محرمانگی ، یکپارچگی ودر دسترس بودن 3- تضمین می کند که فقط کاربران مجاز (محرمانه) به اطلاعات دقیق وکامل (تمامیت) درزمان موردنیاز دسترسی داشته باشند. 4- امنیت اطلاعات روند حفاظت ازمالکیت معنوی یک سازمان است. 5- امنیت اطلاعات یک شیوه مدیریت ریسک است که کارش مدیریت هزینه های خطر اطلاعات برای کسب وکاراست. 6- احساس اطمینان کردن از اینکه خطرات وکنترل اطلاعات درتعادل باشند. 7- امنیت اطلاعات، حفاظت از اطلاعات وبه حداقل رساندن خطر افشای اطلاعات به اشخاص غیرمجاز است. 8- امنیت اطلاعات یک ناحیه چندرشته ای از مطالعغه وفعالیتهای حرفه ای است که دررابطه با توسعه وپیاده سازی مکانیزم های امنیتی از انواع موجود ( فنی ، سازمانی، انسان گرا و حقوقی ) به منظور نگهداری از اطلاعات درتمام نقاط(درداخل وخارج از محیط سازمان ) می باشد ودرنتیجه سیستم های اطلاعاتی که اطلاعات درآنها ایجاد،پردازش ، ذخیره، انتقال وتخریب می شوندازتهدیدات مصون می باشند. حرفه امنیت اطلاعات حرفه ای با ثبات وروبه رشد است. متخصصان امنیت اطلاعات در کارشان بسیار ثابت قدم هستند. بیش از 80 درصد هیچ تغییری در کارفرما و یا کسب وکار در سال گذشته نداشتند وپیش بینی شده است تعداد متخصصان به طور مداوم در طول پنج سال آینده بیش از 11 درصد در سال رشد کنند . مفاهیم پایه دسته سه تایی CIA (محرمانه بودن ، یکپارچگی و در دسترس بودن ) یکی از اصول اساسی امنیت اطلاعات است. محرمانه بودن محرمانگی یعنی جلوگیری از افشای اطلاعات به افراد یا سیستمهای غیر مجاز. به عنوان مثال، برای خرید با کارت‌های اعتباری بر روی اینترنت نیاز به ارسال شماره کارت اعتباری از خریدار به فروشنده و سپس به مرکز پردازش معامله است. در این مورد شماره کارت و دیگر اطلاعات مربوط به خریدار و کارت اعتباری او نباید در اختیار افراد غیرمجاز بیافتد و این اطلاعات باید محرمانه بماند. در این مورد برای محرمانه نگهداشتن اطلاعات، شماره کارت رمزنگاری میشود و در طی انتقال یا جاهایی که ممکن است ذخیره شود (در پایگاه‌های داده، فایل‌های ثبت وقایع سیستم، پشتیبان گیری، چاپ رسید، و غیره) رمز شده باقی میماند. همچنین دسترسی به اطلاعات و سیستم‌ها نیز محدود میشود. اگر فردی غیر مجاز به شماره کارت به هر نحوی دست یابد، نقض محرمانگی رخ داده است. محرمانه بودن به منظور حفظ امور شخصی افرادی که اطلاعاتشان در سیستم نگهداری می شود ضروری است.

یکپارچگی درامنیت اطلاعات ، یکپارچگی داده ها به معنی حفظ واطمینان از دقت وانسجام اطلاعات درطول تمام چرخه زندگی آن است . بدان معنی است که داده ها نمی توانند به شیوه ای غیر مجاز و یا غیر قابل تشخیص تغییر یابند. نقض یکپارچگی زمانی صورت می گیرد که یک پیام به طور فعال در انتقال تغییر یابد. سیستم های امنیت اطلاعات علاوه برمحرمانه بودن داده ها، یکپارچگی داده ها را نیز فراهم می کنند.

دردسترس بودن اطلاعات باید زمانی که مورد نیاز توسط افراد مجاز هستند در دسترس باشند. این بدان معنی است که باید از درست کار کردن و جلوگیری از اختلال در سیستم‌های ذخیره و پردازش اطلاعات و کانال‌های ارتباطی مورد استفاده برای دسترسی به اطلاعات اطمینان حاصل کرد. سیستم‌های با دسترسی بالا در همه حال حتی به علت قطع برق، خرابی سخت افزار، و ارتقاء سیستم در دسترس باقی می ماند تحلیل گران امنیت اطلاعات تحلیل گران امنیت اطلاعات متخصصان فن آوری اطلاعات ( IT ) می باشند که مسئول حفاظت از تمام اطلاعات وارتباطاتی هستند که درسیستمهای شبکه ذخیره وبه اشتراک گذاشته شده اند.به عنوان مثال درصنعت مالی تحلیل گران امنیت اطلاعات ممکن است مکرراً فایروال هایی را ارتقا دهند که مانع دسترسی اضافی به داده های حساس کسب وکار شوند. کنترل ها کنترل امنیت به اقداماتی گفته میشود که منجر به حفاظت، مقابله، پیشگیری و یا به حداقل رساندن خطرات امنیتی است. این اقدامات را میتوان به سه دسته تقسیم کرد. مدیریتی کنترل مدیریتی ( کنترل رویه ها) عبارتند از سیاست ها، رویه ها، استانداردها و رهنمودهای مکتوب که توسط مراجع مسئول تایید شده است. کنترل‌های مدیریتی چارچوب روند امن کسب و کار و مدیریت افراد را تشکیل میدهد. این کنترل‌ها به افراد نحوه امن و مطمئن انجام کسب و کار را میگویند و نیز چگونه روال روزانه عملیات‌ها هدایت شود. قوانین و مقررات ایجاد شده توسط نهادهای دولتی یک نوع از کنترل مدیریتی محسوب میشوند چون به شرکت‌ها و سازمانها نحوه امن کسب و کار را بیان میکنند. برخی از صنایع سیاست ها، رویه ها، استانداردها و دستورالعمل‌های مختص خود دارند که باید دنبال کنند مثل استاندارد امنیت داده‌های صنعت کارتهای پرداخت (PCI) مورد نیاز ویزا و مستر کارت. نمونه‌های دیگر از کنترل‌ها مدیریتی عبارتند از سیاست امنیتی شرکت‌های بزرگ، سیاست مدیریت رمز عبور، سیاست استخدام، و سیاست‌های انضباطی. کنترل‌های مدیریتی پایه ای برای انتخاب و پیاده سازی کنترل‌های منطقی و فیزیکی است. کنترل‌های منطقی و فیزیکی پیاده سازی و ابزاری برای اعمال کنترل‌های مدیریتی هستند. منطقی کنترل منطقی (کنترل فنی) استفاده از نرم افزار، سخت افزار و داده‌ها است برای نظارت و کنترل دسترسی به اطلاعات و سیستم‌های کامپیوتری. به عنوان مثال : گذرواژه، فایروال‌ها ی شبکه و ایستگاههای کاری، سیستم‌های تشخیص نفوذ به شبکه، لیست‌های کنترل دسترسی و رمزنگاری داده‌ها نمونه هایی از کنترل منطقی می باشند.

فیزیکی کنترل فیزیکی برای حفاظت و کنترل محیط کار و تجهیزات کامپیوتری و نحوه دسترسی به آنها است که جنبه فیزیکی دارند. به عنوان مثال: درب، قفل، گرمایش و تهویه مطبوع، آژیر دود و آتش، سیستم دفع آتش سوزی، دوربین‌ها مداربسته، موانع، حصارکشی، نیروی‌های محافظ و غیره. طبقه بندی امنیت اطلاعات یک جنبه مهم امنیت اطلاعات ومدیریت خطر شناسایی ارزش اطلاعات و تعیین روشهای مناسب و حفاظت از اطلاعات می باشد. همه اطلاعات برابر نیستند وبنابراین نیاز به درجه یکسان از حفاظت ندارند. این نیاز به اطلاعات طبقه بندی امنیت را تعیین کرده است. اولین گام در طبقه بندی اطلاعات شناسایی یک عضو مدیریتی ارشد است که به عنوان دربرگیرنده اطلاعات خاصی که باید طبقه بندی شوند می باشد. بعدی توسعه سیاست طبقه بندی است . سیاست باید برچسب های طبقه بندی متفاوت را توصیف کند. برای اطلاعاتی که برچسب خاص را تعیین می کنند معیاری را تعریف کند ولیستی از کنترل های امنیتی مورد نیاز برای هر طبقه بندی را تهیه کند. نوعی از برچسب های طبقه بندی امنیت اطلاعات انتخاب واستفاده شده اند که مبتنی بر ماهیت سازمان می باشند. برای مثال: • در بخش کسب وکار برچشب هایی مانند : عمومی ، حساس ، خصوصی ، محرمانه • در بخش دولتی برچسب هایی مانند : طبقه بندی نشده ، حساس اما طبقه بندی نشده ، محدود ، محرمانه ، رمزی رمزنگاری در امنیت اطلاعات از رمزنگاری استفاده میشود تا اطلاعات به فرمی تبدیل شود که به غیر از کاربر مجاز کس دیگری نتواند از آن اطلاعات استفاده کند این فرایند رمزنگاری نامیده می شود. اطلاعاتی که رمزگذاری شده تنها توسط کاربر مجازی که کلید رمز نگاری را دارد میتواند دوباره به فرم اولیه تبدیل شود(از طریق فرایند رمزگشایی). رمزنگاری برای حفاظت اطلاعات در حال انتقال (اعم از الکترونیکی و یا فیزیکی) و یا ذخیره شده است. رمزنگاری امکانات خوبی برای امنیت اطلاعات فراهم می کند از جمله روش‌های بهبود یافته تصدیق هویت، فشرده سازی پیام، امضاهای دیجیتالی، قابلیت عدم انکار و ارتباطات شبکه رمزگذاری شده. برنامه های امنیتی تر مانند ssh که از ارتباطات شبکه رمز نگاری شده استفاده می کنند جایگزین برنامه های امنیتی قدیمی تر مانند شبکه راه دور و ftp شده اند. رمزنگاری اگر درست پیاده سازی نشود می تواند مشکلات امنیتی در پی داشته باشد. راه حل‌های رمز نگاری باید با استفاده از استانداردهای پذیرفته شده که توسط کارشناسان مستقل و خبره بررسی دقیق شده انجام گیرد. همچنین طول و قدرت کلید استفاده شده در رمزنگاری بسیار مهم است. کلیدی ضعیف یا خیلی کوتاه منجر به رمزگذاری ضعیف خواهد شد.


فرهنگ امنیت اطلاعات رفتارکارکنان تاثیر زیادی در امنیت اطلاعات در سازمانها دارد. مفهوم فرهنگی می تواند به نگرانی بخش های مختلف سازمان درباره امنیت اطلاعات در بین سازمان کمک کند. "بررسی رابطه بین فرهنگ سازمانی و فرهنگ امنیت اطلاعات" تعریف زیررا از فرهنگ امنیت اطلاعات فراهم می کند: ISC کلیت الگوهای رفتاری یک سازمان است که به حفاظت از همه نوع اطلاعات کمک می کند. فرهنگ امنیت اطلاعات باید به طور مداوم بهبود یابد. در " فرهنگ امنیت اطلاعات از تجزیه وتحلیل تا تغییر" نویسندگان اظهارنظر می کنند که " این پایان یک فرایند نیست بلکه یک دوره ارزیابی وتغییر یا تعمیر ونگهداری است." برای مدیریت فرهنگ امنیت اطلاعات پنج مرحله باید انجام شود: قبل ازارزیابی ، برنامه ریزی استراتژیک ، برنامه ریزی عملی ، پیاده سازی وپس از ارزیابی. • قبل از ارزیابی: به منظور آگاهی از امنیت اطلاعات در بین کارکنان وتجزیه وتحلیل خط مشی امنیتی جاری • برنامه ریزی استراتژیک : برای دسترسی به برنامه بهتر نیاز به تنظیم اهداف واضح و روشن داریم. • برنامه ریزی عملی : ما می توانیم فرهنگ امنیتی خوبی را براساس ارتباطات داخلی ، مدیریت خرید و آگاهی های امنیتی و برنامه های آموزشی تنظیم کنیم. CISSP تخصص به رسمیت شناخته شده در سطح جهانی در زمینه امنیت اطلاعات CISSP مدرک به رسمیت شناخته شده استاندارد در سطح جهانی است که دانش یک فرد را در زمینه امنیت اطلاعات تایید می کند. CISSP دارای اطلاعات حرفه ای تضمینی هستند که در موضوعات معماری ، طراحی ، مدیریت ویا کنترل تعریف می شوند و امنیت محیط کسب وکار را تضمین می کنند. این اولین گواهینامه در زمینه امنیت اطلاعات بود که برای پاسخ گویی به نیازهای دقیق IEC/ISO استاندارد 17024 بکار می رفت . تایید دانش وتجربه آزمون CISSP صلاحیت فرد را درده حوزه از ISC و CBK بررسی می کند که موضوعات مهم پوشش امنیت امروزه هستند از جمله مدیریت ریسک ، محاسبات ابری ، امنیت تلفن همراه ، امنیت توسعه نرم افزار وبیشتر. داوطلبان باید حداقل در دو تا از ده حوزه 5 سال تجربه داشته باشند. این گستردگی وسیع دانش و تجربه لازم برای قبول شدن در امتحان آن چیزی است که مجموعه CISSP را متمایز می کند. آزمون CISSP در ده حوزه های زیر است:  کنترل دسترسی  ارتباطات و امنیت شبکه  حکومت امنیت اطلاعات و مدیریت ریسک  توسعه نرم افزار امنیت  رمزنگاری  معماری امنیتی و طراحی  امنیت عملیات  تداوم کسب و کار و حوادث بازیابی برنامه ریزی  حقوقی، آیین نامه ها، تحقیق و پذیرش  فیزیکی (محیط زیست) امنیت نتیجه گیری امنیت اطلاعات فرایند در دست اقدام برای مراقبت و سعی و کوشش به منظور محافظت اطلاعات و سیستم های اطلاعاتی از دسترسی ، استفاده ، افشاء ، تخریب ، تغییر ویا قطع و توزیع افراد غیر مجاز است. فرایند همیشگی امنیت اطلاعات آموزش مستمر ، ارزیابی ، حفاظت ، نظارت وتشخیص اسناد ومدارک و بازنگریها را دربرمی گیرد. این ویژگیها امنیت اطلاعات را برای همه عملیاتهای کسب وکار در همه حوزه های مختلف بخشی ضروری می سازد.

برگرفته از «http://www.infit.ir//index.php?title=امنیت_اطلاعات&oldid=36»