بخش اول - آشنایی با مفاهیم کلیدی امنیت اطلاعات

Information_Security

در اولین بخش از مجموعه مقالات آموزش مبانی امنیت اطلاعات نگاهی خواهیم داشت به مفاهیم اولیه این حوزه.

پیش از این در بخش صفرم از مجموعه مقالات مبانی امنیت اطلاعات خواندیم که چرا برخورداری از دانش امنیت اطلاعات برای همه‌ی فعالان حوزه فناوری اطلاعات یک ضرورت است.

محرمانگی و صحت اطلاعات و دسترسی پذیری مفاهیم اولیه‌ای هستند که در ادامه‌ی مجموعه مقالات آموزش مبانی امنیت اطلاعات می‌خواهیم به آن‌ها بپردازیم. در این مقالات راهکارهایی را بررسی می‌کنیم که طی آن‌ها از برقراری این شروط اطمینان حاصل می‌کنیم. اما پیش از هر چیز باید درک درستی از تعریف این واژگان داشته باشیم تا بدانیم دقیقا به دنبال برآورده کردن چه اهدافی هستیم.

به بانک جعفر خوش آمدید

با شخصیت‌هایی که طی این مقالات قرار است همراه ما باشند آشنا شوید.

جعفر- مدیر بانک جعفر

این جعفر است. جعفر به تازگی یک بانک راه اندازی کرده است به اسم بانک جعفر.

مرتضی - یک کاربر عادی

این مرتضی است. مرتضی یکی از افرادی است که در بانک جعفر حساب دارد. او برای انجام تراکنش و دریافت گزارش‌های مالی از سیستم آنلاین بانک جعفر استفاده می‌کند. او یک کاربر قانون مدار و معمولی است و هیچ وقت عملی که موجب آسیب رسیدن به سیستم شود از او سر نمی‌زند.

جواد - هکر و متخصص امنیت اطلاعات

بر خلاف مرتضی، جواد که در تصویر بالا او را مشاهده می‌کنید به همیشه به دنبال آسیب رساندن به سیستم است. او قصد دارد به هر نحوی که امکان پذیر باشد به جعفر خسارت وارد کند. شما به دنبال راهکارهایی هستید که بتوانید جلوی جواد را بگیرید.

محرمانگی - Confidentiality

محرمانگی به معنای جلوگیری از خواندن بدون اجازه‌ی اطلاعات است. به طور مثال مانده‌ی حساب مرتضی در بانک جعفر اطلاعاتی محرمانه است، چنانچه جواد بتواند این اطلاعات را بخواند محرمانگی اطلاعات به خطر افتاده است. برای حفظ محرمانگی اطلاعات شما باید اطمینان حاصل کنید که هر اطلاعاتی تنها و تنها توسط اشخاصی که مجاز هستند قابل خواندن هستند.

صحت اطلاعات - Integrity

شما باید همیشه اطمینان داشته باشید که اطلاعاتی که در سیستم شما وجود دارد صحیح است. برای این کار امکان نوشتن اطلاعات بدون اجازه نباید وجود داشته باشد یا حداقل نوشتن اطلاعات بدون اجازه باید قابل تشخیص باشد تا بتوانید تشخیص دهید که کدام یک از اطلاعات موجود در سیستم ناصحیح هستند. پس صحت اطلاعات یا Integrity به معنی جلوگیری از نوشتن بدون اجازه‌ی اطلاعات یا حداقل تشخیص نوشتن بدون اجازه‌ی اطلاعات است.

دقت کنید که صحت اطلاعات و محرمانگی اطلاعات نباید با همدیگر اشتباه گرفته شوند. ممکن است جواد نتواند مانده‌ی حساب مرتضی را بخواند که در این صورت محرمانگی اطلاعات حفظ شده است، اما چنانچه بتواند مقدار جدیدی را جایگزین مقدار ذخیره شده به عنوان مانده حساب مرتضی کند در این صورت صحت اطلاعات به خطر افتاده است.

دسترسی پذیری - Availability

حملات DOS یا محروم سازی از دسترسی، حملاتی نسبتا جدید به شمار می‌روند. در این حملات بدون این که اطلاعات محرمانه‌ای فاش شود یا تغییری در اطلاعات موجود رخ دهد، دسترسی به سیستم ناممکن می‌شود. ممکن است جواد که نمی‌تواند از اطلاعات محرمانه‌ای که در سیستم وجود دارد با خبر شود و امکان از بین بردن صحت اطلاعات را هم ندارد بخواهد دسترسی به سیستم آنلاین بانک جعفر را مختل کند. در این صورت مرتضی اعتمادش به بانک جعفر را از دست می‌دهد و پول‌هایش را می‌برد و در بانک دیگری حساب باز می‌کند. شما باید اطمینان حاصل کنید که ضمن حفظ محرمانگی و صحت اطلاعات، دسترسی پذیری به سیستم‌ها و اطلاعات همواره برقرار است.

احراز هویت - Authentication

مرتضی را در نظر بگیرید که لپ‌تاپش را روشن می‌کند و با استفاده از آن در سیستم آنلاین بانک جعفر یک تراکنش انجام می‌دهد. در مرحله‌ی نخست لپ‌تاپ مرتضی چطور باید بداند شخصی که با لپ‌تاپ کار می‌کند مرتضی است؟ در یک کامپیوتر منفرد این کار معمولا به واسطه‌ی تخصیص رمزعبور به کاربران انجام می‌شود و برای این که این فرآیند به شکلی ایمن انجام شود از روش‌های رمزنگاری استفاده می‌شود. در مقاله‌ی بعدی به رمزنگاری خواهیم پرداخت. به فرآیندی که طی آن از هویت کاربر اطمینان حاصل می‌کنیم احراز هویت یا Authentication گفته می‌شود. لپ‌تاپ مرتضی رمزعبوری دارد که فقط مرتضی آن را می‌داند، در نتیجه وقتی که او رمزعبور را به درستی وارد می‌کند مشخص می‌شود شخصی که از لپ‌تاپ استفاده می‌کند واقعا مرتضی است.

اما احراز هویت بر بستر شبکه با تهدیدهای بیشتری مواجه است. به طور مثال ممکن است جواد بتواند پیام‌هایی که روی شبکه رد و بدل می‌شوند را شنود کند. او همچنین ممکن است بتواند آن‌ها را دستکاری کند. فرض کنید او بتواند یکی از پیام‌های قبلی که از سمت مرتضی برای بانک جعفر ارسال شده‌ است را دوباره ارسال کند. در این صورت ممکن است بتواند خود را به عنوان مرتضی معرفی کند. به این نوع حملات، حمله‌ی Man in the middle گفته می‌شود که در مقالات بعدی به آن خواهیم پرداخت. برای این که چنین اتفاقی رخ ندهد تبادل پیام‌ها باید دقیقا بر مبنای پروتکل‌های مشخصی انجام شوند. به این معنی که ترکیب و ترتیب پیام‌های تبادل شده بسیار مهم است و باید از الگوی مشخصی پیروی کند. در فرآیند احراز هویت بر بستر شبکه نیز روش‌های رمزنگاری کاربرد‌های گسترده‌ای دارند.

تخصیص دسترسی - Authorization

پس از این که فرآیند احراز هویت مرتضی به درستی در سیستم آنلاین بانک جعفر صورت گرفت و اطمینان حاصل شد که شخصی که ادعا می‌کند مرتضی است واقعا هم مرتضی است، چه اطلاعاتی باید در دسترس او قرار بگیرد؟ پس از احراز هویت دسترسی‌ها و رفتارهای مجاز باید محدود شوند، مثلا مرتضی نباید بتواند به مانده‌ی حساب علی دسترسی داشته باشد. اما جعفر به عنوان مدیر بانک می‌تواند به مانده‌ی حساب مرتضی و علی دسترسی داشته باشد. به ساز و کاری که محدودیت‌ها را بر روی کاربران احراز هویت شده اعمال می‌کند تخصیص دسترسی یا Authorization گفته می‌شود.

حالا که با تعاریف کلیدی در امنیت اطلاعات آشنا شده‌اید وقت آن است که بدانیم هر کدام از این اهداف چطور برآورده می‌شوند. چه سازوکارهایی برای رسیدن به این اهداف وجود دارند؟ در چند مقاله‌ی بعدی با ورود به دنیای رمزنگاری با یکی از مهم‌ترین سازوکارهای امنیتی آشنا خواهیم شد.

منبع خبر: فیسیت

myAvatar.png

سروش غفاری - برنامه نویس و نویسنده

مهندسی فناوری اطلاعات خوانده‌ام و امنیت اطلاعات. برنامه‌نویسی می‌کنم و می‌نویسم. علاقه‌مندم به عکاسی و نوشتن و داستان. نظرات، انتقادها و پیشنهادهای شما را هم در آدرس ایمیل ghaffari.soroosh@gmail.com یا در بخش نظرات پذیرا هستم.


2 نظر درباره‌ی این پست نوشته شده است.

امید مینایی

پنج‌شنبه, 05 دی 1398

بسیار عالی و پرمحتوا، چنین مطلبی رو به این شیوه جای دیگه‌ای ندیده بودم

پاسخ

علی نظری

سه‌شنبه, 10 دی 1398

اگر همه اصطلاحات علمی ترجمه نشده بودن قابلیت فهم مطلب بیشتر بود اما در کل آموزنده بود

پاسخ

ثبت نظر