امنيت اطلاعات در كار الكترونيكى

irandoc.ac.ir – 1- تهديدات و ملزومات مربوط به امنيت كار الكترونيكى
تهديدات موجود در پيش‌روى امنيت سيستم‌هاى اطلاعاتى را مى‌توان به سه دسته‌ى اصلى تقسيم كرد: افشاى اطلاعات محرمانه (تهديد «افشا»)، صدمه به انسجام اطلاعات (تهديد «دستكارى»)، و موجودنبودن اطلاعات (تهديد «تضييق خدمات»). بطور مرسوم، امنيت اطلاعات در وهله‌ى اول با تهديد «افشا» همراه بوده است. در دنياى امروز، وابستگى ما به سيستم‌هاى اطلاعاتى طورى است كه دستكارى غيرمجاز يا فقدان گسترده‌ى اطلاعات، پيامدهاى ناگوارى را موجب خواهد شد. در كار الكترونيكى، لازم است كه همه‌ى انواع اطلاعات از طريق شبكه‌، دسترس‌پذير باشند. بنابراين، امنيت اطلاعات شرط ضرورى كار الكترونيكى است.

در هنگام كاركردن در يك شبكه‌ى باز، جريان اطلاعات در شبكه در معرض افشا و دستكارى غيرمجاز مى‌باشد. براى حفاظت از محرمانگى و انسجام آن اطلاعات، رمزگذارى قوى ضرورى است. كمك غيرمستقيم رمزگذارى به ما اين است كه از وجود شبكه‌هاى اطلاعاتى اطمينان حاصل كنيم. پس از مقابله‌ى مؤثر با تهديدات«دستكارى» و «افشا»، مى‌توان با ايجاد اضافات كافى در شبكه‌هاى اطلاعاتى، دردسترس‌بودن اطلاعات را تحقق بخشيد. فناورى اينترنت در اصل براى به‌وجود‌آوردن همين نوع از اضافات طراحى شد و هنوز هم براى اين منظور مناسب است.

2- ايجاد زيرساختار شبكه
معمارى اينترنت، معمارى شبكه‌اى غالب در اوايل دهه‌ى 2000 است. اينترنت بر پروتكل اينترنت (آى‌پى)[3] استوار است، كه مى‌وان آن را روى همه‌ى انواع شبكه‌هاى فيزيكى و تحت همه‌ى انواع برنامه‌هاى كاربردى به كار انداخت. استقلال پروتكل اينترنت هم از شبكه‌هاى فيزيكى و هم از برنامه‌هاى كاربردى، نقطه‌ى قوت اصلى آن است. اين پروتكل حتى با فناورى‌هاى شبكه‌اى كاملاً جديد، مثل «شبكه‌ى محلى بيسيم» (دبليولن)[4] يا «سرويس راديويى بسته‌اى عمومى» (جى‌پى‌آراِس)[5] و شبكه‌ى «سامانه‌ى عمومى ارتباطات همراه» (جى‌اِس‌اِم)[6] نيز كار مى‌كند. برنامه‌هاى جديد، مثل وب،‌ «ووآى‌پى»[7]، و بسيارى برنامه‌هاى ديگر كه در آينده عرضه مى‌شوند را مى‌توان به راحتى با سرويس استاندارد پروتكل اينترنت اجرا كرد.

معمارى اينترنت اساساً از سال 1974 ثابت مانده و همچنان قدرت خود را اثبات مى‌كند. بنابراين شعار قديمى «آى‌پى وراى همه، همه چيز برروى آى‌پى»‌ امروز بيش از هر زمان ديگرى صدق مى‌كند.

عيب‌هاى اصلى «آى‌پى»‌، فضاى ناكافى نشانى، عدم پشتيبانى از جايجايى فيزيكى،‌ فقدان كيفيت متمايز سرويس، و فقدان امنيت آن مى‌باشد. «گروه فوق‌العاده‌ى مهندسى اينترنت»[8] هر يك از اين موضوعات را مدنظر قرار داده و راه‌حل‌هاى استانداردى نيز براى هر يك از آن‌ها پيشنهاد شده. در نگارش ششم و جديد «آى‌پى»[9] عملاً تعداد نشانى‌ها نامحدود، و گسترش‌پذيرى آن بهتر از نگارش 4 (كنونى) است. «آى‌پى سيار» (اِم‌آى‌پى)[10] براى هر دو نگارش تعريف شده. اين «آى‌پى» براى ميزبان سيار اين امكان را فراهم مى‌آورد كه از يك شبكه به شبكه ديگر جابجا شود، ضمن اين‌كه نشانى‌هاى «آى‌پى» دائمى خود را، كه در همه‌ى ارتباطات با اين ميزبان مورد استفاده قرار مى‌گيرد، حفظ مى‌كند.

اين امر منجر به تحرك واقعى، نه صرفاً در چارچوب فناورى يك شبكه‌ (مثل «جى‌اِس‌اِم»)، بلكه بين انواع مختلف شبكه‌ها، مثل «دبليولَن»‌،‌ «جى‌پى‌آر‌اِس»، و شبكه‌هاى سيمى مى‌گردد. كيفيت سرويس را مى‌توان در اينترنت به‌وسيله‌ى «سرويس‌هاى متمايز اينترنتى»[11] كه يك طرح اولويت‌بندى ساده‌ى مستقل از كشورها است و كاملاً مناسب شبكه‌هاى جهانى مى‌باشد، تكميل كرد. امنيت عمومى سطح «آى‌پى» توسط «آى‌پى‌سِك» (پروتكل امنيت اينترنت)[12] كه بر رمزنگارى، و «پروتكل مديريت كليد» همراه با آن (يعنى «مبادله‌ى كليد اينترنتى» (آى‌كائى)[13]) استوار مى‌باشد، فراهم مى‌گردد.

اگرچه همه‌ى اين كاركردها را نمى‌توان در لايه‌ى «آى‌پى» به انجام رساند،‌ اما هركار كه ممكن است‌ بايد در همانجا به انجام برسد؛ و اين، ويژگى‌ خوب معمارى اينترنت است كه كل كاركردهاى لايه‌ى «آى‌پى»، چه از شبكه‌هاى فيزيكى و چه از برنامه‌ها،‌ مستقل است.

مثلاً «آى‌پى‌سِك» با (و در) همه‌ى شبكه‌ها و تحت انواع برنامه‌ها كار مى‌كند. اينترنت مى‌تواند از «قانون مور»[14]‌ نهايت استفاده را ببرد. اين قانون در اصل خود حكايت از آن دارد كه عملكرد ريزپردازنده‌ها هر 18 ماه دوبرابر مى‌شود، درحالى كه قيمت‌ آن‌ها ثابت مى‌ماند. عجيب اين كه،‌ اين قانون بيش از ربع قرن است كه دوام آورده.

تقريباً همين رفتار را مى‌توان در بسيارى از حوزه‌هاى ديگر نيز مشاهده كرد، از جمله در مورد حافظه‌ى موقت، ديسك‌سخت، شبكه‌ى محلى، شبكه‌ى محلى بيسيم،‌ سوئيچ شبكه‌ى محلى، و مسيرياب[15] «آى‌پى». اما حتى در حوزه‌ى مخابرات سيار ]موبايل[ كه نسبتاً سريع پيشرفت مى‌كند، ‌طول عمر يك نسل از توليد، 10 سال است، نه 2 سال. تلفن راديويى اتومبيل[16] درسال 1971، تلفن همراه اروپاى شمالى[17] در سال 1981، و سامانه‌ى عمومى ارتباطات همراه در 1991 مورداستفاده‌ى عموم قرار گرفتند و «يواِم‌تى‌اِس»[18] احتمالاً در سال 2002 وارد ميدان مى‌شود.

اين بدان معنا است كه صرفه‌مندى فناورى اينترنت براساس بسته، همواره بسيار سريع‌تر از فناورى‌ مخابراتى مبتنى بر «تركيب تقسيم زمانى»[19] متعارف پيشرفت مى‌كند. بنابراين در زمان كوتاهى،‌ همه‌ى برنامه‌ها روى «آى‌پى» قرار مى‌گيرند. در سيستم تلفن معمولى، روشن است كه «ووآى‌پى» بسيار باصرفه‌تر از مخابرات معمول، چه درمحدوده‌هاى محلى و چه در مناطق گسترده است. با پيشرفت‌هايى كه در ارتباطات بيسيم و «آى‌پى»‌ به وقوع پيوسته، فقط 2 سال طول مى‌كشد كه ارتباطات سيار هم به همين وضعيت برسد.

اگر قرار باشد كه «يواِم‌تى‌اِس» يك لاكر[20] بومشناختى داشته باشد، همان شبكه‌ى فيزيكى، همراه با شبكه‌ى محلى بيسيم (دبليولَن)، سرويس راديويى بسته‌اى عمومى (جى‌پى‌آر‌اِس)، و . . .، تحت «آى‌پى» خواهد بود. بنابراين منطقاً مى‌توانيم بپذيريم كه كار الكترونيكى بر معمارى اينترنت استوار خواهد بود و جنبه‌هاى امنيت شبكه‌اى آن نيز همانند امنيت اينترنت خواهد بود.
رايانش فراگير به معناى استفاده از فناورى اطلاعات در يكى از اشكال گوناگون آن، در همه‌ى عرصه‌هاى زندگى و با همه‌ى ابزار قابل تصور، مى‌باشد.

وسايل خانگى متداول شامل ريزپردازنده‌هايى هستند كه نرم افزارهايى را به كار مى‌اندازند كه بخش عمده‌ى كاركرد اين وسايل را به انجام مى‌رسانند. در آينده‌ى نزديك، اكثر اين ابزارها،‌ اغلب با دسترسى بيسيم، شبكه‌بندى خواهند شد. همچنين به‌منظور حصول امنيت، لازم است كه سيستم‌هاى رمزنويسى كليد عمومى و كليدهاى رمزنويسى مخفى داشته باشند تا پيكربندى و مديريت امن آن‌ها امكانپذير شود. اين بدان معنا است كه ما در همه‌جا، رايانه‌هاى با شبكه‌بندى كوچك و رمزنويسى تعبيه‌شه در درون آن‌ها خواهيم داشت. اين رايانه‌ها بقدرى رايج خواهند شد كه آن‌ها را رايانه يا فناورى اطلاعات به شمار نخواهيم آورد؛ همان‌طور كه امروزه به الكتريسيته كه همه‌جا از آن استفاده مى‌كنيم، چندان توجه نمى‌كنيم.

بزودى تقاضاى بسيار براى ابزارهاى ارزان‌قيمت و كوچك را كه محيط رابط «آى‌پى»، «آى‌پى‌سِك»، و «دبليولن» را بر روى فقط يك تراشه‌ى سيليكن به كار مى‌اندازند شاهد خواهيم بود. بقيه‌ى سطح اين تراشه به يك ريزكنترلگر همه‌منظوره، درگاه‌هاى ورودى و خروجى و حافظه اختصاص مى‌يابد تا دستگاه‌هاى مختلف را كنترل كند. اين تراشه‌ها اكنون توليد شده‌اند و بهزودى اكثر ميزبان‌هاى متصل به اينترنت را تشكيل مى‌دهند.

3. تأثير افزايش جابجايى‌پذيرى
سياربودن درمفهوم وسيع‌تر كلمه به معناى توانايى كاربر در دسترسى به اطلاعات، مستقل از محل و مكان او مى‌باشد. در عمل،‌ لازمه‌ى اين امر معمولاً نوعى از پشتيبانى جابجايى‌پذيرى از سوى دستگاه پايانه و شبكه‌ى اصلى است. البته جابجايى‌پذيرى تهديدهاى جديد امنيتى را به دنبال نمى‌آورد،‌ اما تهديدهاى موجود را جدى‌تر مى‌سازد؛ زيرا دسترسى به اطلاعات، مستقل از مكان صورت مى‌گيرد. همچنين امنيت سيستم، از هر جايى و توسط هر فرد مجاز مى‌تواند مورد حمله قرار گيرد.

بايد توج كرد كه جابجايى‌پذيرى و بيسيم‌بودن دو چيز متفاوت‌اند، اگر چه اغلب با هم همراه‌اند. جابجايى‌پذيرى به معناى توانايى كاربر يا پايانه، در حركت از يك شبكه (يا نقطه‌ى اتصال) به شبكه‌ى ديگر است؛‌ بيسيم‌بودن يعنى جايگزين‌ساختن كابل شبكه يا آخرين پيوند شبكه با پيوندهاى ارتباطى بيسيم (مثل راديويى يا مادون‌قرمز). بيسيم‌بودن به‌تنهايى، جابجايى‌پذيرى چندانى را امكانپذير نمى‌كند. مثلاً در يك شبكه‌ى «سامانه‌ى عمومى همراه» (جى‌اس‌ام)،‌ عمده‌ى پيچيدگى شبكه و نرم‌افزار پايانه بايد به امر انتقالات، يعنى گذر پايانه‌ى سيار از يك ايستگاه اصلى به ايستگاه ديگر تخصيص يابد. ضمن اين‌كه بيسيم‌بودن و جابجايى‌پذيرى، هر يك به‌طور جداگانه ممكن است مفيد باشند، وقتى كه با هم تركيب مى‌شوند بهترين عملكرد را دارند. به همين دليل دسترسى بيسيم به شبكه‌هاى سيار اهميت روزافزونى پيدا مى‌كند.

4. راه‌حل‌هاى ممكن
امنيت اطلاعات موضوعى چندبـُعدى است كه با جنبه‌هاى غيرفنى متعددى ارتباط دارد. همواره براى تحقق امنيت، ابزارهاى فيزيكى، پرسنلى و اجرايى لازم‌اند و ابزارهاى فنى به‌تنهايى بيفايده‌اند. اما وقتى كه در يك شبكه‌ى نامطمئن كار مى‌كنيد، امنيت بدون استفاده از رمزنگارى ميسر نمى‌شود. بنابراين بخشى از راه‌حل، «آى‌پى‌سِك» است كه مى‌توان به عنوان يك سازوكار استاندارد براى حفاظت در برابر استراق سمع و دستكارى پيام در شبكه به كار برد.

رمزنگارى كليد عمومى، مثلاً براى تأييد اصالت و براى مديريت‌ كليدها، لازم است. بعلاوه، يك «زيرساختار كليدهاى عمومى»[21] لازم است تا كليدها را به شيوه‌اى اطمينان‌بخش، به مالكان‌ آن‌ها پيوند دهد. «زيرساختار كليدهاى عمومى» نمونه‌اى از خدمات «شخص ثالث امين»[22] است كه هميشه بر اعتماد و اطمينان استوارند. تحقق فيزيكى «زيرساختار كليدهاى عمومى» در قالب گواهى‌نامه انجام مى‌گيرد. اعتماد به‌دست‌آوردنى است نه ديكته‌كردني. طرف‌هاى مختلف بايد بتوانند تصميم‌ بگيرند به چه كسى، در چه موضوعاتى، و تا چه اندازه اعتماد كنند.

همچنين در هر سيستم به يك «مبناى رايانشى قابل اعتماد»[23] نياز داريم. اين «مبناى رايانشى قابل اعتماد» بايد ] تا حد امكان [كوچك‌شده، و مبتنى بر طرح‌هاى آزاد باشد. بايد بتوانيم حسابرسى كنيم تا به آن اعتماد كنيم. چشمپوشى از امنيت بخش‌هايى از سيستم در خارج از «مبناى رايانشى قابل اعتماد» نبايد امنيت كل سيستم را به خطر اندازد.

بطور سنتى،‌ كنترل دسترسى و صدور مجوز براى آن براساس تأييد اصالت هويت كاربر (هويتى كه در شكل يك نام نمود مى‌يابد) صورت مى‌گيرد. اين كار در سيستم‌هاى بزرگ عملى نيست، زيرا تشخيص حقوق دسترسى يك فرد صرفاً براساس نام او،‌ امكان‌ناپذير است. عموماً ما بيش‌تر علاقه‌منديم كه اطمينان حاصل كنيم كاربر به انجام كارى كه انجام مى‌دهد مجاز است يا خير،‌ و نه اين كه بدانيم او كيست. بنابراين به جاى تعيين هويت او، بايد قادر به تأييد اصالت حقوق او باشيم. صدور مجوز‌ها ابزار عمومى خوبى هستند كه مى‌توان براى چنين اهدافى، حتى در سطوح سيستم‌هاى جهانى به‌كارگرفت.

امنيت و قابليت استفاده، از اقتضائات متضادباهم هستند. وقتى كه سيستم‌ها را امن‌تر مى‌كنيم، طبعاً از قابليت استفاده‌ى آن‌ها مى‌كاهيم. كار الكترونيكى چيزى است كه بايد در شرايط مربوط ه كاربر عادى هم عمل كند، يعنى براى هر كسى قابل استفاده باشد. تركيب قابليت استفاده با امنيت، چالش اصلى عصر ما است.

5. كار الكترونيكى امن: يك چشم‌انداز
كار با اينترنت به پيشرفت خود ادامه مى‌دهد و به عرصه‌هاى جديد برنامه‌هاى كاربردى گسترش مى‌يابد. كاهش سرانه‌ى قيمت محصولات، عملاً همه‌ى برنامه‌ها را به استفاده از فناورى اصلى «آى‌پى»سوق خواهد داد. اگر جابجايى‌پذيرى، كيفيت خدمات، و امنيت، محور اصلى خدمات اينترنت در نسل آينده باشند، در آن صورت يك سكوى عمومى جهانى خواهيم داشت تا كار الكترونيكى را بر روى آن استوار كنيم.

«آى‌پى‌سِك» و «زيرساختار كليد عمومى» مانع مؤثرى در مقابل افشاى غيرمجاز و دستكارى ]ناشى از[ ترافيك شبكه ايجاد مى‌كنند. وجود اضافات كافى در شبكه، مانع تضييق خدمات است. با راه‌حل‌هاى استاندارد و ارزانقيمتى كه مرتباً ارزان‌تر هم مى‌شوند، مى‌توان به همه‌ى اين‌ها دست يافت.

بنابراين سكوى فنى براى كار الكترونيكى امن،‌ در حال شكل‌گرفتن است و جنبه‌هاى شبكه‌اى امنيت را مى‌توان حل كرد. اما وقتى كه با افراد و با جريان‌هاى پيچيده‌ى اطلاعات سروكار داريم، هيچ راه‌حل استاندارد ساده‌اى براى امنيت كل سيستم وجود ندارد. براى تعريف فرايندهاى اصلى پيشه‌گانى و جريان‌هاى اطلاعاتى و مقتضيات اميتى ملازم با آن‌ها، كار زيادى لازم است. بايد در طراحى اين فرايندها، امنيت نيز وارد شود. بايد سازوكارهاى استاندارد امنيت‌ به‌كارگرفته شوند تا اطمينان حاصل شود كه سيستم‌هاى اطلاعاتى مورد استفاده، امنيت جريان‌هاى اطلاعاتى را به خطر نمى‌اندازند.

هيچ روش شناخته‌شده‌اى براى اثبات امنيت كل فرايندها وجود ندارد. بايد مداوماً به نظارت و به بازخورددادن به فرايندهايمان بپردازيم. همچنين بازرسى به‌وسيله‌ى يك طرف بيرونى (كه مسئوليتى در استقرار يا اجراى سيستم ندارد) لازم است.

خوشبختانه ما به مرحله‌اى رسيده‌ايم كه قدرت پردازش فزاينده و ديگر پيشرفت‌هاى فنى آتى، به نفع افراد است. استفاده‌پذيرى هر سيستم اطلاعاتى يك چالش عمده است. تركيب استفاده‌پذيرى با امنيت، بسيار دشوارتر است. هدف اصلى در طراحى سيستم‌ها نبايد بهينه‌سازى استفاده از منابع رايانشى هر چه ارزان‌تر باشد، بلكه بايد كار افراد را هر چه اثربخش‌تر و خوشايندتر سازد. اين يك عرصه‌ى تحقيقاتى بين- رشته‌اى است كه انتظار مى‌رود در آينده اهميت بيش‌ترى پيدا كند.

ضعيف‌ترين نقطه در موضوع امنيت، همچنان افراد و نگرش‌هاى آن‌ها خواهد بود. مدت‌ها است كه علت اصلى در عمده‌ى نقض امنيت‌ها، رفتار غيرمجاز افراد غيرمجاز در كارهاى روزانه‌شان است. درحالى‌كه ابزارهاى فنى و سكوهاى فنى امن و قابل اندازه‌گيرى براى موفقيت در كار الكترونيكى ضرورت دارند، اما كمبودهاى موجود در جنبه‌هاى غيرفنى امنيت را جبران نمى‌كنند. امنيت را بايد تعريف، طراحى، و در فرايندهاى كارى تعبيه كرد.

افراد بايد به خوبى راهنمايى شوند، آموزش ببينند، و انگيزه‌مند شوند. همچنين بايد به نظارت و بازخورد، و نيز به بازرسى مستقل توجه كرد. اين امر مستلزم آن است كه كل سازمان‌ها، كار را از رده‌ى بالاى مديريت خود شروع كنند. امكانات حاصل از كار الكترونيكى چنان است كه بايد در درازمدت، اطمينان حاصل شود كه از زمان و كار به بهترين صورت استفاده مى‌شود.

پانوشتها

[1]. Arto Karila, “Information Security in E-work”, in Telework 2001-Report of the 8th European Assembly on New Ways to Work. Helsinki: 12-14.9.2001, pp. 78-81.

[2]. Internet Protocol (IP)
[3]. Wireless LAN (WLAN)
[4]. General Packet Radio Service (GPRS)
[5]. General System for Mobile (GSM) communications
[6]. Voice over IP (VoIP)
[7]. Internet Engineering Task Force (IETF)
[8]. IPv6
[9]. Mobile IP (MIP)
[10]. Differentiated Internet Services (DiffServ)
[11]. IPSEC (Internet security protocol)
[12]. Internet Key Exchange (IKE)
[13]. Moore’s law
[14]. router
[15]. Automobile Radio Phone (ARP)
[16]. Nordic Mobile Telephone (NMT)
[17]. UMTS (Universal Mobile Telecommunications System)
[18]. Time Division Multiplexing (TDM)
[19]. locker
[20]. public key infrastructure (PKI)
[21]. trusted-third-party (TTP)
[22]. trusted computing base (TCB)