امنیت اطلاعات
از
زمانی که نوشتن و تبادل اطلاعات آغاز شد، همه انسانها مخصوصا سران
حکومتها و فرماندهان نظامی در پی راهکاری برای محافظت از محرمانه ماندن
مکاتبات و تشخیص دستکاری آنها بودند. ژولیوس سزار 50 سال قبل از میلاد یک
سیستم رمزنگاری مکاتبات ابداع کرد تا از خوانده شدن پیامهای سری خود توسط
دشمن جلوگیری کند. این سیستم رمزنگاری به نام سیستم رمزنگاری سزار معروف
است. این سیستم رمزنگاری بسیار ابتدایی است بدین صورت که هر حرف الفبا به
سه حرف جلوتر شیفت پیدا میکند مثلا حرف "الف" به "ت" حرف "ب" به "ث" و به
همین صورت. بعد از جنگ جهانی دوم پیشرفت چشمگیری در زمینه امنیت اطلاعات
حاصل شد. قرن بیست و یکم شاهد پیشرفتهای سریع در ارتباطات راه دور، سخت
افزار، نرم افزار و رمزنگاری دادهها بود. سیستمهای پیشرفتهتری برای
رمزگذاری و رمزگشایی دادهها ظهور پیدا کرد. با رشد سریع و استفاده گسترده
از پردازش الکترونیکی دادهها از طریق اینترنت، همراه با ظهور بسیاری از
خرابکاریهای بین المللی، نیاز به روشهای بهتر حفاظت از رایانهها و
اطلاعات ملموستر گردید. از آنجا بود که رشته دانشگاهی امنیت اطلاعات با
هدف حصول اطمینان از امنیت و قابلیت اطمینان سیستمهای اطلاعاتی ظهور پیدا
کرد.
لازم
به ذکر است که امنیت چیزی نیست که بتوانید از سیسکو یا سایر شرکتها
خریداری کنید. امنیت فراتر از این محصولات است. امنیت با یک سیاست امنیتی
شروع میشود و سپس دو شاخه میشود: افرادی که باید این سیاستها را رعایت
کنند و افرادی که باید بر اجرای آن نظارت داشته باشند. سرانجام کار اعمال
تغییراتی در زیرساختهای سیستم اطلاعتی است.
مجموعهای
از ابزارها و فناوریها به همراه روشهای پذیرفته شده، که در همکاری با
یکدیگر، امنیت داراییهای اطلاعاتی را تأمین میکنند، امنیت اطلاعات را شکل
میدهند. به زبان سادهتر امنیت
اطلاعات به معنای حفاظت از اطلاعات و سیستمهای اطلاعاتی در برابر حمله
است. هدف اصلی فراهم آوردن یک سری سرویسهای امنیتی است این سرویسها
عبارتند از:
محرمانه ماندن اطلاعات: حفظ محرمانگی بدین معناست که پیامها و دادهها توسط افراد غیرمجاز قابل تفسیر نباشد.
احراز هویت:
قبل از آنکه محتوی پیام یا اطلاعات اهمیت داشته باشد باید مطمئن شوید که
پیام حقیقتاً از شخصی که تصور میکنیم رسیده است و کسی قصد فریب و گمراه
کردن شما را ندارد. بدین معناست که دادهها از منبع معتبری فرستاده شده و
به مقصد معتبری ارسال میشوند.
صحت دادهها: یعنی دست نخوردگی و عدم تغییر پیام و اطمینان از آنکه دادهها با اطلاعات مخرب مثل یک ویروس کامپیوتری آلوده نشدهاند.
کنترل دسترسی: یعنی بتوان دسترسی افراد غیرمجاز را کنترل کرد و توانایی منع افراد غیر قابل اعتماد از دسترسی به سیستم رایانهای وجود داشته باشد.
در دسترس بودن:
تمام امکانات سیستم رایانهای بدون دردسر و زحمت در اختیار کسانی باشد که
مجاز به استفاده از سیستم هستند. در ضمن هیچکس نتواند در دسترسی به آنها
اختلال ایجاد کند.
برای
اینکه اهداف ذکر شده تأمین شوند از الگوریتمهای درهمسازی ، رمزنگاری
متقارن و رمزنگاری نامتقارن استفاده میشود. زمانی که یکی از سرویس های
امنیتی پنج گانه فوق نقض شود به سیستم حمله شده است. تأمین تمام این اهداف
امنیتی اغلب فرآیندی مشکل و پرهزینه است، با توجه به سیاستهای امنیتی
تعیین شده توسط سازمان چگونگی تأمین اهداف امنیتی مشخص میشود. امروزه امنیت بخش قابل توجهی از بودجه اطلاعات
سازمانها را به خود اختصاص میدهد. ترس از خطر حملات اینترنتی بودجه به
مراتب بیشتری را به سازمانها تحمیل میکند. اطلاعات کسبوکار یک دارایی با
ارزش سازمان است ا اطلاعات حیاتی مانند اطلاعات تجاری و رکوردهای مشتریان
به سختی جایگزین میشوند. از دست دادن دادههای محرمانه یا حساس ممکن است
پیآمدهای جدی به دنبال داشته باشد.
معمولا
یک سیستم اطلاعاتی در معرض چهار نوع حمله قرار دارد؛ حمله از نوع وقفه ،
حمله از نوع استراق سمع (، حمله از نوع دستکاری اطلاعات ، حمله از نوع
افزودن اطلاعات ، تفاوت حمله ار نوع دستکاری اطلاعات با حمله از نوع افزودن
اطلاعات در این است که در حمله از نوع افزودن اطلاعات حمله کننده اطلاعاتی
را که در حال تبادل هستند را تغییر نمیدهد بلکه اطلاعات دیگری را که
میتواند مخرب یا بنیانگذار حملات بعدی باشد به اطلاعات اضافه نماید .
امنیت
اطلاعات در شاخههای مختلف فناوری اطلاعات نمود پیدا کردهاست، از
رمزنگاری و اصول انتقال امن دادهها و پروتکلهای امنیتی گرفته تا امنیت
پایگاه دادهها، امنیت تجارت الکترونیک، امنیت سیستم عامل و امنیت شبکه که
البته تمام اینها زمانی قابل بحث است که از امن بودن و صحت سخت افزارها و
نرمافزارهای مورد استفاده مطمئن باشیم. میتوان امنیت اطلاعات را با رشته
پزشکی مقایسه کرد: دیگر دورانی که دانشجویان پزشکی میتوانستند همه چیز را
از یک کتاب فرابگیرند به سر آمده است. در عوض، آنها باید منابع گوناگونی را
مطالعه کنند. به علاوه، آنها باید کتابهای مقدماتی در رابطه با آناتومی و
زیست شیمی را نیز بررسی نمایند. از این گذشته، مطالعه کتب طب بالینی که به
تشریح چگونگی شیوع بیماری و مقابله با آن میپردازد نیز به همان اندازه مهم
است. در مورد یک متخصص امنیت طالاعات نیز وضع به همین منوال است. یک متخصص
امنیت اطلاعات باید دانش کامل و به روز از نقاط ضعف، حفرهها و حملات
داشته باشد، اصول طراحی امن سیستمها را بداند و دانش کافی برای پیادهسازی
و تأمین امنیت سیستم کامپیوتری مورد بحث (اعم از سیستم عامل، شبکه
کامپیوتری یا پایگاه داده ..) داشته باشد بدین صورت که دانش کافی درخصوص
سیستم کامپیوتری مورد بحث داشته و فناوریهای تأمین امنیت هر یک را بداند.
متخصصی که در زمینه رمزنگاری و طراحی پروتکلهای امنیتی فعالیت دارد باید
به ریاضات علاقهمند بوده و دانش کافی در این زمینه داشته باشد.
در نگارش این متن از کتاب معماری امنیت شبکه نوشته شون کانوری استفاده شده است.
تهیه و تدوین: غزال مارین
|