تضمين‌ ايمنى‌ اطلاعات‌ در قرن‌ پانزده‌ هجرى‌ شمسى‌ ‌

نام نویسنده: مريم‌ طايفه‌ محمودي*

ایران و جامعه اطلاعاتی – توسعه‌ فن‌آورى‌ اطلاعات‌ و جهانى‌گرايى‌ به‌ ويژه‌ در شبكه‌هاى‌ مخابراتى‌ واينترنتى‌ ازاواسط قرن‌ گذشته‌ منجر به‌ رشد اقتصادى‌ در اكثر كشورهاى‌ دنيا از جمله‌ ايران‌ گرديده‌ است‌،هرچند افق‌ تيره‌ اين‌ توسعه‌ را كه‌ افزايش‌ آسيب‌پذيرى‌ فضاى‌ سيبرنتيك‌ است‌، نمى‌توان‌ناديده‌ انگاشت‌. وجود گروه‌هايى‌ با دانش‌ و ابزارهاى‌ سيبرنتيك‌ مكفى‌، هر روزه‌ جوامع‌اطلاعاتى‌ از جمله‌ بانك‌ها و بازار سهام‌ را در معرض‌ خطر قرار مى‌دهند.

بدين‌ منظور حفظ ايمنى‌ كشور، تجارت‌ و زندگى‌ شخصى‌مان‌ در مقابل‌ چنين‌ تهديدهايى‌ از جمله‌ اهدافى‌ است ‌كه‌ در گستره‌ بررسى‌ فن‌آورى‌ اطلاعات‌ از اهميت‌ ويژهاى‌ برخوردار است‌. در اين‌ مقاله‌ ابتدااهم‌ مواردى‌ كه‌ لازمه‌ تضمين‌ ايمنى‌ اطلاعات‌ در سازمان‌ها بوده‌ و كمتر مورد توجه‌ قرارمى‌گيرند، بررسى‌ شده‌اند و سپس‌ با شناخت‌ نيازها، محدوديت‌ها و اهداف‌ سازمان‌ در سه‌ بعدمنابع‌ خارجى‌ عملياتى‌، تجارت‌ غير متمركز و سازمان‌ مجازى‌ امكان‌سنجى‌ لازم‌ صورت‌گرفته‌ و نهايتا راه‌كارهايى‌ به‌ منظور حمايت‌ نظام‌ از تهديدها پيشنهاد مى‌گردد.

مقدمه‌
در دهه‌هاى‌ اخير به‌ جهت‌ گسترش‌ شبكه‌هاى‌ رايانه‌اى‌، كشورهاى‌ جهان‌ بيش‌ از پيش‌ به‌يكديگر متصل‌ شده‌اند. اين‌ امر هرچند مزاياى‌ بى‌شمارى‌ را به‌ همراه‌ داشته‌ است‌، ليكن‌ از افق‌تيره‌ اين‌ جهانى‌ گرايى‌ نيز نبايد غافل‌ بود كه‌ بخش‌ اعظم‌ آن‌ در افزايش‌ آسيب‌ پذيرى‌هاى‌ نوين‌است‌. از جمله‌ اهدافى‌ كه‌ در گستره‌ بررسى‌ فن‌آورى‌ اطلاعات‌ مطرح‌ است‌ حفظ ايمنى‌ كشور، تجارت‌ و زندگى‌ شخصى‌ در مقابل‌ تهديدهاى‌ سيبرنتيك‌ است‌.

تضمين‌ ايمنى‌ مستلزم‌ تغيير در قوانين‌، سياست‌ها، فرهنگ‌ و نقطه‌ نظر كلى‌ در رابطه‌ با ايمنى‌ سيبرنتيك‌ است‌. در اين‌ راستا مشاركت‌ بخش‌هاى‌ خصوصى‌ و دولتى‌ جهت‌ حمايت‌ نظام‌ از تهديدها و به‌ كارگيرى‌ مدل‌هاى ‌جديد تجارى يكى‌ از راه‌ حل‌هاى‌ ممكن‌ به‌ شمار مى‌آيد. از آن‌جا كه‌ بخش‌ عمده‌ فعاليت‌ بانك‌ها، بازارهاى‌ سهام‌ و اعمال‌ تجارى‌ از طريق‌ اينترنت‌ صورت‌ مى‌پذيرد، تمهيداتى‌ درسطوح‌ مختلف‌ براى‌ حفظ ايمنى‌ اطلاعات‌ بايد صورت‌ گيرد.

ملزومات‌ تضمين‌ ايمنى‌ اطلاعات‌ در سازمان‌ها مدل‌هاى‌ تضمين‌ ايمنى‌ اطلاعاتى‌ كه‌ امروزه‌ در اكثر سازمان‌ها متداول‌ هستند، راه‌حل‌هايى‌ مطابق‌ با لحظه‌ وقوع‌ مشكل‌ ارائه‌ مى‌كنند، در حالى‌ كه‌ در گذشته‌ به‌ جهت‌ محدودبودن‌ حوزه‌ فعاليت‌ سازمان‌ها و تعداد محدود و مشخص‌ پرسنل‌، كنترل‌ و تضمين‌ ايمنى‌ اطلاعات‌ به‌ سادگى‌ صورت‌ مى‌پذيرفت‌. وليكن‌ امروزه‌ شرايط تغيير يافته‌اند و مرز يك ‌سازمان‌ ديگر كاملاپ مشخص‌ نيست‌.

تضمين‌ ايمنى‌ در قبال‌ تغييرات‌ محيط پيرامون‌ غيرممكن‌است‌ و افراد سازمان‌ نيز چون‌ گذشته‌ قابل‌ اطمينان‌ نيستند. آن‌چه‌ كه‌ اكثر سازمان‌ها بدان‌ اذعان‌ دارند، اين‌ واقعيت‌ است‌ كه‌ هفتاد درصد مشكلات‌ ازمنابع‌ داخلى‌ سازمان‌ سرچشمه‌ مى‌گيرندو نظارت‌ دائم‌ بر آن‌ها تقريباپ غيرممكن‌ است‌. بدين‌ منظور بايد چارچوب‌ قوانين‌ براى‌سازمان‌ مشخص‌ شود و نظارت‌ دقيقى‌ بر عملكرد كاربران‌ داخلى‌ و خارج‌ از نظام‌ جهت‌ محافظت‌ از سازمان‌ به‌ عمل‌ آيد. عواملى‌ كه‌ عمدتاپ باعث‌ به‌ خطر افتادن‌ اطلاعات‌ درسازمان‌ها مى‌گردند و تغييرات‌ بنيادى‌ در راهبرد سازمان‌ به‌ وجود مى‌آورند(1)، عبارت‌اند از:

– عدم‌ توجه‌ به‌ اطلاعات‌ كم‌ ارزش‌ موجود در سطوح‌ مختلف‌ سازمان‌;
– فقدان‌ مديريت‌ مخاطره‌ يا خطر كردن‌ (ريسك‌);
– ناقص‌ تعريف‌ نمودن‌ مرزهاى‌ ايمنى‌ ;
– قدردانى‌ ناقص‌ از ايمنى‌ اطلاعات‌;
– مديريت‌ خطركردن‌ زمان‌ بندى‌ شده‌;
– كمبود ارتباطات‌ در رابطه‌ با وظايف‌ امنيتى‌ ;
– سياست‌ بحران‌ ايمنى‌ ; و
– آموزش‌ و پيش‌گيرى‌ ضعيف از ايمنى‌ اطلاعات‌.

گسترش‌، بهبود و تطبيق‌ روش‌هاى‌ انتقال‌ اطلاعات‌ با توجه‌ به‌ فن‌آورى‌هاى‌ مخابراتى‌ واطلاعاتى‌ بى‌ شك‌ منافع‌ زيادى‌ براى‌ بشريت‌ به‌ همراه‌ خواهد داشت‌. در اين‌ راستا بايد با توجه ‌به‌ امكانات‌ و محدوديت‌هاى‌ موجود و درجه‌ ارتباطات‌ اين‌ شبكه‌ها با يكديگر، سه‌ عامل‌ مهم‌در سه‌ سطح‌ بررسى‌ شوند: منابع‌ خارجى‌ عملياتى‌، تجارت‌ غير متمركز و سازمان‌ مجازى‌.(2)

با گسترش‌ سازمان‌، عوامل‌ متعددى‌ از جمله‌ ظرفيت‌ شبكه‌ سازمان‌، ورودى‌ها و خروجى‌ها و بازار عرضه‌ نيز افزايش‌ مى‌يابند و در نتيجه ‌نياز به‌ منابع‌ خارجى‌ عملياتى‌ در قبال‌ فن‌آورى‌ اطلاعات‌ و استفاده‌ از تجارت‌ غيرمتمركز ونهايتا سازمان‌هاى‌ مجازى‌ افزايش‌ مى‌يابند تا علاوه‌ بر كاهش‌ هزينه‌هاى‌ عملياتى‌ موجب ‌تسريع‌ و بهبود روند انتقال‌ اطلاعات‌ گردند. البته‌، بايد متذكر شد كه‌ رعايت‌ قوانين‌ و سياست‌هاى‌ كارى‌ سازمان‌ و شبكه‌اى‌ كه‌ با آن‌ كار مى‌شود نيز در كارايى‌ عمليات‌ بسيار مؤثراست‌. نقش‌ سازمان‌هاى‌ مجازى‌ را كه‌ در برگيرنده‌ عرضه‌ كنندگان‌ و شركاى‌ خارجى‌ هستند نيزاز مرحله‌ طراحى‌ محصول‌ گرفته‌ تا توزيع‌ و پشتيبانى‌هاى‌ پس‌ از فروش‌، نبايد ناديده انگاشت‌.عملكرد رقبا و همكارى‌ ميان‌ آن‌ها خود موجب‌ تكميل‌ قابليت‌ها و توانائى‌هاى‌ سازمان‌هاى ‌متعامل‌ مى‌گردد.

راه‌كارهاى‌ لازم‌ جهت‌ پشتيبانى‌ از نظام‌تضمين‌ ايمنى‌ اطلاعات‌ چه‌ در داخل‌ و چه‌ در خارج‌ سازمان‌ هريك‌ متكى‌ به‌ روش‌ها ونرم‌ افزارهاى‌ خاصى‌ است‌ كه‌ با توجه‌ به‌ اهميت‌ موضوع‌ در سه‌ گام‌ قابل‌ اعمال‌ است‌:

گام‌ نخست‌، ايمنى‌ مرزى‌ است‌ كه‌ بيانگر ايمنى‌ در سطح‌ شبكه‌ است‌ و اعمالى‌ چون ‌ويروس‌ يابى‌، استفاده‌ از ديوارهاى‌ محافظ شبكه‌، نرم‌ افزارهاى‌ امنيتى‌، شبكه‌ خصوصى‌مجازى‌ و پشتيبانى‌ از تكذيب‌ خدمات‌ را در برمى‌ گيرد.

گام‌ دوم‌، اثبات‌ هويت‌ كاربر است‌ كه‌ شامل‌ نام‌ كاربر و كلمه‌ رمز عبور است‌ و اعمالى‌ چون‌ هماهنگ‌ سازى‌ رمز عبور، انتقال‌ كليد عمومى‌، علائم‌ و پيام‌هاى‌ عبور و به‌ كارگيرى ‌بيومتريك‌ها و اجازه‌ يك‌ بار ورود به‌ شبكه‌ را انجام‌ مى‌دهد.

گام‌ سوم‌، اجازه‌ دستيابى‌ بر مبناى‌ هويت‌ است‌ كه‌ شامل‌ اجازه‌ فردى‌ / گروهى‌، فهرست‌سازمانى‌، سرپرستى‌ كاربران‌ سازمان‌ و كنترل‌ دستيابى‌ مبتنى‌ بر قواعد است‌.
آن‌چه‌ كه‌ در طراحى‌ برنامه‌ ايمنى‌ هر سازمان‌ مؤثر است‌ پاسخ‌ به‌ سؤالات‌ زير است‌:
چه‌ سطح‌ از ايمنى‌ براى‌ آن‌ سازمان‌ خاص‌ مورد نياز است‌؟

چه‌ مقدار بايد خرج‌ ايمنى‌ اطلاعات‌ گردد؟

چه‌ ابزارها، فن‌آورى‌ها و پردازش‌ هايى‌ سيستم‌ ايمنى‌ اطلاعات‌ را در سازمان‌ متبوعه‌بهينه‌ خواهند كرد؟

در پاسخ‌ به‌ اين‌ سؤالات‌، مواجهه‌ با خطر، تعديل‌ خطر وبه‌ كارگيرى‌ احتياط لازم‌ و نهايتاپمديريت‌ خطر روندى‌ است‌ كه‌ در هر سازمان‌ و در سطح‌ كلان‌تر در كل‌ جهان‌ بايد مورد توجه‌قرار گيرد.

سازمان‌ها در هنگام‌ تنظيم‌ و مديريت‌ ايمنى‌ اطلاعات‌، بايد ديدى‌ جامع‌ داشته‌ باشند تابرنامه‌اى‌ ارائه‌ دهند كه‌ به‌ وسيله‌ آن‌ تهديدها و آسيب‌پذيرى‌هاى‌ جزئى‌ را هم‌ تشخيص‌ دهند ورديابى‌ نمايند و كاربران‌ نيز بايد اتفاق‌نظر داشته‌ باشند كه‌ ايمنى‌ اطلاعات‌ دقيقا به‌ اندازه‌ايمنى‌ فيزيكى‌ اساسى‌ و مهم‌ است‌. به‌كارگيرى‌ راه‌ حل‌هاى‌ جامع‌ پشتيبانى‌ از اطلاعات‌ علاوه ‌بر آن‌كه‌ موجب‌ تغيير محيط تهديدها مى‌شود، باعث‌ حمايت‌ از تجارت‌هاى‌ آينده‌ نيز مى‌گردد، به‌ خصوص‌ آن‌ كه‌ اين‌ پشتيبانى‌ در همكارى‌ ميان‌ گروه‌هاى‌ صنعتى‌، چه‌ بخش‌هاى ‌خصوصى‌ و چه‌ دولتى‌، و تبادلات‌ اطلاعاتى‌ ميان‌ آن‌ها نمود بيش‌ترى‌ مى‌يابد.(3)

گروه‌ها و سازمان‌هاى‌ تخصصى‌ معمولا استانداردهايى‌ را تبيين‌ مى‌كنند كه‌ منجر به‌افزايش‌ سطح‌ ايمنى‌ مى‌گردند و بهترين‌ راه‌كارهاى‌ عملى‌ را براى‌ رديابى‌ اطلاعات‌ فراهم‌مى‌سازند. بدين‌ ترتيب‌، پلى‌ مجازى‌ ميان‌ دولت‌ و صنايع‌ خصوصى‌ در اجراى‌ سياست‌هاى‌سيبرنتيك‌ ايجاد مى‌شود. از طرفى‌ حفظ شبكه‌ وظيفه‌ بسيار بزرگى‌ است‌ و براى‌ تضمين‌ ايمنى‌در آينده‌ بايد موسسات‌ خصوصى‌، گروه‌هاى‌ صنعتى‌ و دولت‌، همكارى‌هاى‌ نزديكى‌ بايكديگر داشته‌ باشند.

علاوه‌ برآن‌، هر سازمان‌ نيز بايد اطلاعات‌ جزئى‌ و بى‌ ارزش‌ را نيز مورد تحليل‌ و بازيابى‌ قرار دهد و بخشى‌ از سازمان‌ را موظف‌ به‌ پيش‌بينى‌ و جلوگيرى‌ از خطر كند تا خطر كردن‌ مديريت‌ شود. تعيين‌ مرز كارهاو تشويق‌ افرادى‌ كه‌ به‌ حفظ ايمنى‌ اطلاعات ‌مى‌پردازند; از عوامل‌ موثر در تضمين‌ ايمنى‌ اطلاعات‌ است‌. به‌ كارگيرى‌ فن‌آورى‌هاى ‌جديد5 و يادگيرى‌ روش‌هاى‌ حفظ ايمنى‌ هريك‌، از طريق‌ در تماس‌ بودن‌ با ساير سازمان‌ها وگذراندن‌ دوره‌هاى‌ آموزشى‌ مقدور مى‌گردد.

نتايج‌
از آن‌جا كه‌ در قرن‌ حاضر و در كشور ما، اكثر سازمان‌ها مجهز به‌ اينترنت‌ هستند و ازسيستم‌هاى‌ مديريت‌ اطلاعات‌ (MIS) نيز در شبكه‌هاى‌ داخلى‌ خود بهره‌ مى‌برند، لذا حفظايمنى‌ اطلاعات‌ چه‌ در مرحله‌ به‌ كارگيرى‌ و چه‌ در مرحله‌ انتقال‌ از اهميت‌ بسيار زيادى‌ برخوردار است‌. آن‌چه‌ موجب‌ موفقيت‌ سازمان‌ در تضمين‌ ايمنى‌ اطلاعات‌ مى‌گردد، عبارت‌است‌ از برآورد برنامه‌ ايمنى‌ جامع‌ كه‌ منجر به‌ تشخيص‌ آسيب‌پذيرى‌هاى‌ سازمان‌ مى‌شود، وتعيين‌ حداقل‌ مقدمات‌ لازم‌ به‌ منظور حفظ ايمنى‌، برنامه‌هاى‌ آموزشى (5) و ارتباطاتى‌ براى‌ كسب‌ موفقيت‌ هر برنامه‌ ايمنى‌ امرى‌ ضرورى‌ به‌ حساب‌ مى‌آيد. كاربران‌ نهايى‌ نيز بايد دقيقا و به‌ وضوح‌ نقش‌ و وظايف‌ خود را در مورد حف اطلاعات‌ سازمان‌ بدانند.

به‌ جهت‌ گسترش ‌مبادلات‌ تجارى‌ در سطح‌ دنيا، مرزهاى‌ سازمان‌ از مرزهاى‌ بين‌المللى‌ نيز عبور كرده‌ است‌،لذا براى‌ حفظ چنين‌ محيطى‌ بايد با قوانين‌ و سياست‌هاى‌ بين‌المللى‌ نيز آشنا بود و آن‌ها رارعايت‌ كرد. كنترل‌ صادرات‌ موجب‌ محدود شدن‌ تبادلات‌ نرم‌افزارى‌ و ارتباطات‌ داده‌اى ‌ميان‌ كشورها مى‌شود و زير ساختار مشخص‌ ودر دسترس‌ باعث‌ محدود شدن‌ راه‌ حل‌هايى ‌مى‌گردد كه‌ در هر محل‌ اجرا مى‌شود.

پى‌نوشت‌ها

۱.J.Saltzer and M.Schroeder , “The Protection Of Information in ComputerSystems”, Proc.IEEE,Vol.63, Page(s): 1278-1975.
۲.B.Schneier, “The Case for Outsourcing Security” , Supplement toComputer Society, Page (S): 20-22,2002.
۳. A.Perrig et al., “Efficient and Secure Source Authentication forMulticast ” , Proc . Network and Distributed System Security Symp., InternetSociety, Reston, Va.,2001.
۴. U.Lindqvist and P.A.Porras , “Detecting Computer and Network Misusewith the Production- Based Expert System Toolset”, IEEE Symp. Security andPrivacy, IEEE CS Press , Calif., Page(s): 146-161,1999.
۵. M.Bishop, “Computer Security Education: Training. Scholarship andResearch “, Supplement to Computer Magazine by IEEE Computer Society,Page(s): 31-32, 2002.

منابع‌

1. K.llgun, R.A.Kemmerer, and P.A.Porras, “State Tranisition Analysis: ARule Based intrusion Detection System”, IEEE Trans Software fing Vol.21,No.3. Page(s): 181-199, 1995.
2. A.K.Ghosh,J.Wanken, and F.Charron,”Delecting Anomalouse andUnknown Intrusions Against Programs”,Proc.Annual Computer SecurityApplication Conference , IEEE CS Press, Calif., Page (s): 259-267, 1998.
3.M. Dlese, J.Foigonbaum, and Harry, “Decontralized Trist Managementproc.17th IEEE Sympe Security and Privacy, IEEE CS Press, Calif ,Page(s):164-173.1996.
4. G.Jiang, “PROTOS: Security Testing of Protocol Implementations”,IEEE CS Press , Calif,Page(s):25-28,2001.
5. A.Amin, “EPRI/DoD Complex Interactive Networks/Systems Initiative:Self – Healing Infrastrucatures”, Proc 2 nd DARPA-JFACC Symp. Advancesin Enterprise Control, IEEE Computer Soc, Press , Calif., Page(s):30-34, 2000.
6. B.Schneier, “The Case for Oursourcing Security”, Security& Privacy,IEEE CS Press , Page (s): 20-22, 2002.
7. M.Bishop, “Computer Security Education”, Security & Privacy, IEEE CSPrss , Page(s): 31-33,2002

* كارشناس‌ ارشد كامپيوتر (نرم‌افزار)، دانشگاه‌ علم‌ و صنعت‌ ايران‌