در اولین بخش از مجموعه مقالات آموزش مبانی امنیت اطلاعات نگاهی خواهیم داشت به مفاهیم اولیه این حوزه.
پیش از این در بخش صفرم از مجموعه مقالات مبانی امنیت اطلاعات خواندیم که چرا برخورداری از دانش امنیت اطلاعات برای همهی فعالان حوزه فناوری اطلاعات یک ضرورت است.
محرمانگی و صحت اطلاعات و دسترسی پذیری مفاهیم اولیهای هستند که در ادامهی مجموعه مقالات آموزش مبانی امنیت اطلاعات میخواهیم به آنها بپردازیم. در این مقالات راهکارهایی را بررسی میکنیم که طی آنها از برقراری این شروط اطمینان حاصل میکنیم. اما پیش از هر چیز باید درک درستی از تعریف این واژگان داشته باشیم تا بدانیم دقیقا به دنبال برآورده کردن چه اهدافی هستیم.
به بانک جعفر خوش آمدید
با شخصیتهایی که طی این مقالات قرار است همراه ما باشند آشنا شوید.
این جعفر است. جعفر به تازگی یک بانک راه اندازی کرده است به اسم بانک جعفر.
این مرتضی است. مرتضی یکی از افرادی است که در بانک جعفر حساب دارد. او برای انجام تراکنش و دریافت گزارشهای مالی از سیستم آنلاین بانک جعفر استفاده میکند. او یک کاربر قانون مدار و معمولی است و هیچ وقت عملی که موجب آسیب رسیدن به سیستم شود از او سر نمیزند.
بر خلاف مرتضی، جواد که در تصویر بالا او را مشاهده میکنید به همیشه به دنبال آسیب رساندن به سیستم است. او قصد دارد به هر نحوی که امکان پذیر باشد به جعفر خسارت وارد کند. شما به دنبال راهکارهایی هستید که بتوانید جلوی جواد را بگیرید.
محرمانگی - Confidentiality
محرمانگی به معنای جلوگیری از خواندن بدون اجازهی اطلاعات است. به طور مثال ماندهی حساب مرتضی در بانک جعفر اطلاعاتی محرمانه است، چنانچه جواد بتواند این اطلاعات را بخواند محرمانگی اطلاعات به خطر افتاده است. برای حفظ محرمانگی اطلاعات شما باید اطمینان حاصل کنید که هر اطلاعاتی تنها و تنها توسط اشخاصی که مجاز هستند قابل خواندن هستند.
صحت اطلاعات - Integrity
شما باید همیشه اطمینان داشته باشید که اطلاعاتی که در سیستم شما وجود دارد صحیح است. برای این کار امکان نوشتن اطلاعات بدون اجازه نباید وجود داشته باشد یا حداقل نوشتن اطلاعات بدون اجازه باید قابل تشخیص باشد تا بتوانید تشخیص دهید که کدام یک از اطلاعات موجود در سیستم ناصحیح هستند. پس صحت اطلاعات یا Integrity به معنی جلوگیری از نوشتن بدون اجازهی اطلاعات یا حداقل تشخیص نوشتن بدون اجازهی اطلاعات است.
دقت کنید که صحت اطلاعات و محرمانگی اطلاعات نباید با همدیگر اشتباه گرفته شوند. ممکن است جواد نتواند ماندهی حساب مرتضی را بخواند که در این صورت محرمانگی اطلاعات حفظ شده است، اما چنانچه بتواند مقدار جدیدی را جایگزین مقدار ذخیره شده به عنوان مانده حساب مرتضی کند در این صورت صحت اطلاعات به خطر افتاده است.
دسترسی پذیری - Availability
حملات DOS یا محروم سازی از دسترسی، حملاتی نسبتا جدید به شمار میروند. در این حملات بدون این که اطلاعات محرمانهای فاش شود یا تغییری در اطلاعات موجود رخ دهد، دسترسی به سیستم ناممکن میشود. ممکن است جواد که نمیتواند از اطلاعات محرمانهای که در سیستم وجود دارد با خبر شود و امکان از بین بردن صحت اطلاعات را هم ندارد بخواهد دسترسی به سیستم آنلاین بانک جعفر را مختل کند. در این صورت مرتضی اعتمادش به بانک جعفر را از دست میدهد و پولهایش را میبرد و در بانک دیگری حساب باز میکند. شما باید اطمینان حاصل کنید که ضمن حفظ محرمانگی و صحت اطلاعات، دسترسی پذیری به سیستمها و اطلاعات همواره برقرار است.
احراز هویت - Authentication
مرتضی را در نظر بگیرید که لپتاپش را روشن میکند و با استفاده از آن در سیستم آنلاین بانک جعفر یک تراکنش انجام میدهد. در مرحلهی نخست لپتاپ مرتضی چطور باید بداند شخصی که با لپتاپ کار میکند مرتضی است؟ در یک کامپیوتر منفرد این کار معمولا به واسطهی تخصیص رمزعبور به کاربران انجام میشود و برای این که این فرآیند به شکلی ایمن انجام شود از روشهای رمزنگاری استفاده میشود. در مقالهی بعدی به رمزنگاری خواهیم پرداخت. به فرآیندی که طی آن از هویت کاربر اطمینان حاصل میکنیم احراز هویت یا Authentication گفته میشود. لپتاپ مرتضی رمزعبوری دارد که فقط مرتضی آن را میداند، در نتیجه وقتی که او رمزعبور را به درستی وارد میکند مشخص میشود شخصی که از لپتاپ استفاده میکند واقعا مرتضی است.
اما احراز هویت بر بستر شبکه با تهدیدهای بیشتری مواجه است. به طور مثال ممکن است جواد بتواند پیامهایی که روی شبکه رد و بدل میشوند را شنود کند. او همچنین ممکن است بتواند آنها را دستکاری کند. فرض کنید او بتواند یکی از پیامهای قبلی که از سمت مرتضی برای بانک جعفر ارسال شده است را دوباره ارسال کند. در این صورت ممکن است بتواند خود را به عنوان مرتضی معرفی کند. به این نوع حملات، حملهی Man in the middle گفته میشود که در مقالات بعدی به آن خواهیم پرداخت. برای این که چنین اتفاقی رخ ندهد تبادل پیامها باید دقیقا بر مبنای پروتکلهای مشخصی انجام شوند. به این معنی که ترکیب و ترتیب پیامهای تبادل شده بسیار مهم است و باید از الگوی مشخصی پیروی کند. در فرآیند احراز هویت بر بستر شبکه نیز روشهای رمزنگاری کاربردهای گستردهای دارند.
تخصیص دسترسی - Authorization
پس از این که فرآیند احراز هویت مرتضی به درستی در سیستم آنلاین بانک جعفر صورت گرفت و اطمینان حاصل شد که شخصی که ادعا میکند مرتضی است واقعا هم مرتضی است، چه اطلاعاتی باید در دسترس او قرار بگیرد؟ پس از احراز هویت دسترسیها و رفتارهای مجاز باید محدود شوند، مثلا مرتضی نباید بتواند به ماندهی حساب علی دسترسی داشته باشد. اما جعفر به عنوان مدیر بانک میتواند به ماندهی حساب مرتضی و علی دسترسی داشته باشد. به ساز و کاری که محدودیتها را بر روی کاربران احراز هویت شده اعمال میکند تخصیص دسترسی یا Authorization گفته میشود.
حالا که با تعاریف کلیدی در امنیت اطلاعات آشنا شدهاید وقت آن است که بدانیم هر کدام از این اهداف چطور برآورده میشوند. چه سازوکارهایی برای رسیدن به این اهداف وجود دارند؟ در چند مقالهی بعدی با ورود به دنیای رمزنگاری با یکی از مهمترین سازوکارهای امنیتی آشنا خواهیم شد.
منبع خبر: فیسیت
ثبت نظر