گروه مهندسی فناوری اطلاعات دانشگاه اصفهان

امنیت اطلاعات

لازم به ذکر است که امنیت چیزی نیست که بتوانید از سیسکو یا سایر شرکت­ها خریداری کنید. امنیت فراتر از این محصولات است. امنیت با یک سیاست امنیتی شروع می­شود و سپس دو شاخه می­شود: افرادی که باید این سیاست­ها را رعایت کنند و افرادی که باید بر اجرای آن نظارت داشته باشند. سرانجام کار اعمال تغییراتی در زیرساختهای سیستم اطلاعتی است.

مجموعه­ای از ابزارها و فناوری­ها به همراه روش­های پذیرفته شده، که در همکاری با یکدیگر، امنیت دارایی­های اطلاعاتی را تأمین می­کنند، امنیت اطلاعات را شکل می­دهند. به زبان ساده­تر امنیت اطلاعات به معنای حفاظت از اطلاعات و سیستم­های اطلاعاتی در برابر حمله است. هدف اصلی فراهم آوردن یک سری سرویس­های امنیتی است این سرویس­ها عبارتند از:

محرمانه ماندن اطلاعات: حفظ محرمانگی بدین معناست که پیام­ها و داده­ها توسط افراد غیرمجاز قابل تفسیر نباشد.

احراز هویت: قبل از آنکه محتوی پیام یا اطلاعات اهمیت داشته باشد باید مطمئن شوید که پیام حقیقتاً از شخصی که تصور می­کنیم رسیده است و کسی قصد فریب و گمراه کردن شما را ندارد. بدین معناست که داده­ها از منبع معتبری فرستاده شده و به مقصد معتبری ارسال می­شوند.

صحت داده­ها: یعنی دست نخوردگی و عدم تغییر پیام و اطمینان از آنکه داده­ها با اطلاعات مخرب مثل یک ویروس کامپیوتری آلوده نشده­اند.

کنترل دسترسی: یعنی بتوان دسترسی افراد غیرمجاز را کنترل کرد و توانایی منع افراد غیر قابل اعتماد از دسترسی به سیستم رایانه­ای وجود داشته باشد.

در دسترس بودن: تمام امکانات سیستم رایانه­ای بدون دردسر و زحمت در اختیار  کسانی باشد که مجاز به استفاده از سیستم هستند. در ضمن هیچکس نتواند در دسترسی به آنها اختلال ایجاد کند.

برای اینکه اهداف ذکر شده تأمین شوند از الگوریتم­های درهم­سازی ، رمزنگاری متقارن و رمزنگاری نامتقارن استفاده می­شود. زمانی که یکی از سرویس های امنیتی پنج گانه فوق نقض شود به سیستم حمله شده است. تأمین تمام این اهداف امنیتی اغلب فرآیندی مشکل و پرهزینه است، با توجه به سیاست­های امنیتی تعیین شده توسط سازمان چگونگی تأمین اهداف امنیتی مشخص می­شود. امروزه امنیت بخش قابل توجهی از بودجه اطلاعات سازمانها را به خود اختصاص می­دهد. ترس از خطر حملات اینترنتی بودجه به مراتب بیشتری را به سازمانها تحمیل می­کند. اطلاعات کسب­وکار یک دارایی با ارزش سازمان است ا اطلاعات حیاتی مانند اطلاعات تجاری و رکوردهای مشتریان به سختی جایگزین می­شوند. از دست دادن داده­های محرمانه یا حساس ممکن است پی­آمد­های جدی به دنبال داشته باشد.

معمولا یک سیستم اطلاعاتی در معرض چهار نوع حمله قرار دارد؛ حمله از نوع وقفه ، حمله از نوع استراق سمع (، حمله از نوع دستکاری اطلاعات ، حمله از نوع افزودن اطلاعات ، تفاوت حمله ار نوع دستکاری اطلاعات با حمله از نوع افزودن اطلاعات در این است که در حمله از نوع افزودن اطلاعات حمله کننده اطلاعاتی را که در حال تبادل هستند را تغییر نمی­دهد بلکه اطلاعات دیگری را که می­تواند مخرب یا بنیانگذار حملات بعدی باشد به اطلاعات اضافه نماید
.

امنیت اطلاعات در شاخه­های مختلف فناوری اطلاعات نمود پیدا کرده­است، از رمزنگاری و اصول انتقال امن داده­ها و پروتکل­های امنیتی گرفته تا امنیت پایگاه داده­ها، امنیت تجارت الکترونیک، امنیت سیستم عامل و امنیت شبکه که البته تمام اینها زمانی قابل بحث است که از امن بودن و صحت سخت افزارها و نرم­افزارهای مورد استفاده مطمئن باشیم. می­توان امنیت اطلاعات را با رشته پزشکی مقایسه کرد: دیگر دورانی که دانشجویان پزشکی می­توانستند همه چیز را از یک کتاب فرابگیرند به سر آمده است. در عوض، آنها باید منابع گوناگونی را مطالعه کنند. به علاوه، آنها باید کتابهای مقدماتی در رابطه با آناتومی و زیست شیمی را نیز بررسی نمایند. از این گذشته، مطالعه کتب طب بالینی که به تشریح چگونگی شیوع بیماری و مقابله با آن می­پردازد نیز به همان اندازه مهم است. در مورد یک متخصص امنیت طالاعات نیز وضع به همین منوال است. یک متخصص امنیت اطلاعات باید دانش کامل و به روز از نقاط ضعف، حفره­ها و حملات داشته باشد، اصول طراحی امن سیستم­ها را بداند و دانش کافی برای پیاده­سازی و تأمین امنیت سیستم کامپیوتری مورد بحث (اعم از سیستم عامل، شبکه کامپیوتری یا پایگاه داده ..) داشته باشد بدین صورت که دانش کافی درخصوص سیستم کامپیوتری مورد بحث داشته و فناوری­های تأمین امنیت هر یک را بداند. متخصصی که در زمینه رمزنگاری و طراحی پروتکل­های امنیتی فعالیت دارد باید به ریاضات علاقه­مند بوده و دانش کافی در این زمینه داشته باشد.

در نگارش این متن از کتاب معماری امنیت شبکه نوشته شون کانوری استفاده شده است.

تهیه و تدوین: غزال مارین