امنیت اطلاعات - دنیای مجازی

دنیای مجازی

فناوری اطلاعات +جهان=جهان بی میهن

صفحه نخست نسخه موبایل عناوین مطالب وبلاگ تماس با من

درباره وبلاگ

دین و دنیایت را نزد خداوند به امانت گذار،و از او بهترین مقدرات را هم‏اکنون و در آینده،در دنیا و آخرت مسئلت نما!

آخرین مطالب

عضویت درخبر نامه

دنیای مجازی

on Google+

ماسک کوچک کننده بینی ماسک چندکاره مخصوص بینی پاک کننده، کوچک کننده و فرم دهنده	تکنیکهای تست‌زنی در کنکور آموزش ویدیوئی کشف گزینه صحیح (مهندسی معکوس)
X تبلیغات در بلاگ اسکای

فناوری‌های امنیت اطلاعات: با یک دیدگاه طبقه‌بندی

جمعه 24 شهریور ماه سال 1385 :: 07:22 AM :: نویسنده : محمدرضا گرامی

چکیده
مهم‌ترین مزیت و رسالت شبکه‌های رایانه‌ای، اشتراک منابع سخت‌افزاری و نرم‌افزاری و دستیابی سریع و آسان به اطلاعات است. کنترل دستیابی و نحوه استفاده از منابعی که به اشتراک گذاشته شده‌اند، از مهم‌ترین اهداف یک نظام امنیتی در شبکه است. با گسترش شبکه‌های رایانه‌ای (خصوصاً اینترنت)، نگرش نسبت به امنیت اطلاعات و سایر منابع به اشتراک گذاشته شده، وارد مرحله جدیدی گردیده است. در این راستا لازم است که هر سازمان برای حفاظت از اطلاعات ارزشمند، به یک راهبرد خاص پایبند باشد و براساس آن، نظام امنیتی را اجرا نماید. نبود نظام مناسب امنیتی، بعضاً پیامدهای منفی و دور از انتظاری را به دنبال دارد. توفیق در ایمن‌سازی اطلاعات، منوط به حفاظت از اطلاعات و نظام‌های اطلاعاتی در مقابل حملات است؛ بدین منظور از سرویس‌های امنیتی متعددی استفاده می‌گردد. مقاله حاضر با توجه به این رویکرد به طبقه‌بندی فناوری‌های امنیت اطلاعات، براساس دو ویژگی خواهد پرداخت: مرحله خاصی از زمان که در هنگام تعامل فناوری با اطلاعات، عکس‌العمل لازم در برابر یک مشکل امنیتی، ممکن است کنشی یا واکنشی باشد، و سطوح پیاده‌سازی نظام‌های امنیتی در یک محیط رایانه‌ای.

مقدمه
اطلاعات در سازمان‌ها، مؤسسات پیشرفته و جوامع علمی، شاهرگ حیاتی محسوب می‌گردد. دستیابی به اطلاعات و عرضه مناسب و سریع آن، همواره مورد توجه سازمان‌هایی است که اطلاعات در آن‌ها دارای نقش محوری و سرنوشت‌ساز است. سازمان‌ها و مؤسسات باید یک زیرساخت مناسب اطلاعاتی برای خود ایجاد کنند و در جهت سازماندهی اطلاعات در سازمان خود حرکت نمایند. اگر می‌خواهیم ارائه‌دهنده اطلاعات در عصر اطلاعات، و نه صرفاً مصرف‌کننده اطلاعات باشیم، باید در مراحل بعد، امکان استفاده از اطلاعات ذیربط را برای متقاضیان محلی و جهانی در سریع‌ترین زمان ممکن فراهم نماییم.
سرعت در تولید و عرضه اطلاعات ارزشمند، یکی از رموز موفقیت در سازمان‌ها، مؤسسات و جوامع علمی در عصر اطلاعات است. پس از سازماندهی اطلاعات باید با بهره‌گیری از شبکه‌های رایانه‌ای، زمینه استفاده قانونمند و هدفمند از اطلاعات را برای دیگران فراهم کرد. به موازات حرکت به سمت یک سازمان پیشرفته و مبتنی بر فناوری اطلاعات، باید تدابیر لازم در رابطه با حفاظت از اطلاعات نیز اندیشیده شود.
مهم‌ترین مزیت و رسالت شبکه‌های رایانه‌ای، اشتراک منابع سخت‌افزاری و نرم‌افزاری و دستیابی سریع و آسان به اطلاعات است. کنترل دستیابی و نحوه استفاده از منابعی که به اشتراک گذاشته شده‌اند، از مهم‌ترین اهداف یک نظام امنیتی در شبکه است. با گسترش شبکه‌های رایانه‌ای خصوصاً اینترنت، نگرش به امنیت اطلاعات و دیگر منابع به اشتراک گذاشته شده، وارد مرحله جدیدی گردیده است. در این راستا لازم است که هر سازمان برای حفاظت از اطلاعات ارزشمند، به یک راهبرد خاص پایبند باشد و براساس آن، نظام امنیتی را پیاده‌سازی و اجرا نماید.
نبود نظام مناسب امنیتی، ممکن است پیامدهای منفی و دور از انتظاری را به دنبال داشته باشد. توفیق در ایمن‌سازی اطلاعات منوط به حفاظت از اطلاعات و نظام های اطلاعاتی در مقابل حملات است؛ بدین منظور از سرویس های امنیتی متعددی استفاده می‌شود. سرویس‌های انتخابی باید پتانسیل لازم در خصوص ایجاد یک نظام حفاظتی مناسب، تشخیص بموقع حملات، و واکنش سریع را داشته باشند. بنابراین می توان محور راهبردی انتخاب شده را بر سه مؤلفه حفاظت، تشخیص، و واکنش استوار نمود. حفاظت مطمئن، تشخیص بموقع و واکنش مناسب، از جمله مواردی هستند که باید همواره در ایجاد یک نظام امنیتی رعایت کرد (مدیریت شبکه شرکت سخا روش، 1382).
خوشبختانه پژوهش‌های زیادی در زمینه امنیت رایانه و شبکه‌ها در رابطه با فناوری‌های امنیتی پیشگیرانه (کنشی) و نیز مواجهه با مشکلات امنیتی (واکنشی) صورت گرفته است. مقاله حاضر در صدد بیان، تعدادی از فناوری‌های موجود در رابطه با امنیت اطلاعات با یک دیدگاه طبقه‌بندی است.

تعاریف:
فناوری‌های امنیت اطلاعات
«امنیت اطلاعات»( Information security) به حفاظت از اطلاعات (Maiwald & Sieglein، 2002) و به ‌حداقل‌رساندن خطر افشای اطلاعات در بخش های غیرمجاز اشاره دارد (King, Dalton, & Osmanoglu، 2001). امنیت اطلاعات مجموعه‌ای از ابزارها برای جلوگیری از سرقت، حمله، جنایت، جاسوسی و خرابکاری (هاشمیان، 1379) و علم مطالعه روش‌های حفاظت از داده‌ها در رایانه‌ها و نظام‌های ارتباطی در برابر دسترسی و تغییرات غیرمجاز است (عبداللهی،‌ 1375). با توجه به تعاریف ارائه شده، امنیت به مجموعه‌ای از تدابیر، روش‌ها و ابزارها برای جلوگیری از دسترسی و تغییرات غیرمجاز در نظام‌های رایانه‌ای و ارتباطی اطلاق می‌شود. «فن آاوری» به کاربرد علم، خصوصاً برای اهداف صنعتی و تجاری (Lexico Publishing Group ، 2002) یا به دانش و روش‌های مورد استفاده برای تولید یک محصول گفته می‌شود.
بنابراین «فناوری امنیت اطلاعات» به بهره‌گیری مناسب از تمام فناوری‌های امنیتی پیشرفته برای حفاظت از تمام اطلاعات احتمالی روی اینترنت اشاره دارد (INFOSEC، 2002).

طبقه‌بندی(INFOSEC)
طبقه‌بندی، دسته‌بندی اشیا است در یک فهرست سازمان یافته یا در قالب یا روابط سلسله‌مراتبی که روابط طبیعی بین اشیا را نشان می‌دهد (Conway & Sliger، 2002). طبقه‌بندی به عنوان یک فرایند، عبارت است از ایجاد نظامی منطقی از رتبه‌ها که در آن، هر رتبه از تعدادی اشیا تشکیل شده، به گونه‌ای که در صورت نیاز می‌توان به آسانی به اجزای آن دسترسی پیدا کرد.
طبقه‌ بندی ارائه‌ شده در مقاله حاضر از فناوری‌های امنیت اطلاعات، در وهله اول براساس دو ویژگی پایه‌گذاری شده:
1. براساس مرحله خاصی از زمان: بدین معنا که در زمان تعامل فن آوریفناوری با اطلاعات، عکس‌ العمل لازم در برابر یک مشکل امنیتی می‌ تواند کنشگرایانه (کنشی)(Proactive) یا واکنشی (Reactive) باشد (Venter & Eloff، 2003).
غرض از «کنشگرایانه»، انجام عملیات پیشگیرانه قبل از وقوع یک مشکل خاص امنیتی است. در چنین مواردی به موضوعاتی اشاره می گردد که ما را در پیشگیری از وقوع یک مشکل کمک خواهد کرد ( چه کار باید انجام دهیم تا ...؟).
غرض از «واکنشی» انجام عکس‌العمل لازم پس از وقوع یک مشکل خاص امنیتی است. در چنین مواردی به موضوعاتی اشاره می‌گردد که ما را در مقابله با یک مشکل پس از وقوع آن، کمک خواهند کرد (اکنون که ... چه کار باید انجام بدهیم؟).
2. براساس سطوح پیاده‌سازی نظام‌ های امنیتی در یک محیط رایانه‌ای: فناوری امنیت اطلاعات را، خواه از نوع کنشی باشد یا واکنشی، می‌توان در سه سطح – سطح شبکه(Network Level )، سطح میزبان(Host Level)، سطح برنامه کاربردی(Application Level)- پیاده‌سازی کرد. (Venter & Eloff، 2003). بدین منظور می‌توان نظام امنیتی را در سطح شبکه و خدمات ارائه شده آن، در سطح برنامه کاربردی خاص، یا در محیطی که شرایط لازم برای اجرای یک برنامه را فراهم می نماید (سطح میزبان) پیاده کرد.
شکل 1 فناوری‌های امنیت اطلاعات را براساس دو ویژگی یاد شده ترسیم می‌نماید. توصیف مختصری از هریک از فن آوریفناوری ها در بخش‌های بعد ارائه خواهد شد.

شکل 1. فناوری‌های امنیت اطلاعات با دیدگاه طبقه‌بندی (اقتباس از Venter &Eloff ، 2003)

الف. فناوری‌های امنیت اطلاعات کنشگرایانه
1. رمزنگاری (Cryptography)
به بیان ساده، رمزنگاری به معنای «نوشتن پنهان»، و علم حفاظت، اعتمادپذیری و تأمین تمامیت داده‌ها است (McClure, Scambray, & Kurtz، 2002). این علم شامل اعمال رمزگذاری، رمزگشایی و تحلیل رمز است. در اصطلاحات رمزنگاری، پیام را «متن آشکار»(plaintext or cleartext)می‌نامند. کدگذاری مضامین را به شیوه‌ای که آن‌ها را از دید بیگانگان پنهان سازد، «رمزگذاری»(encryption)یا «سِرگذاری» ( encipher)می‌نامند* . پیام رمزگذاری شده را «متن رمزی»(ciphertext)، و فرایند بازیابی متن آشکار از متن رمزی را رمزگشایی( decryption)یا «سِّرگشایی»(decipher)می نامند.
الگوریتم‌هایی که امروزه در رمزگذاری و رمزگشایی داده‌ها به کار می‌روند از دو روش بنیادی استفاده می کنند: الگوریتم‌های متقارن، و الگوریتم‌های نامتقارن یا کلید عمومی. تفاوت آن‌ها در این است که الگوریتم‌های متقارن از کلید یکسانی برای رمزگذاری و رمزگشایی استفاده می‌کنند، یا این که کلید رمزگشایی به سادگی از کلید رمزگذاری استخراج می‌شود (مثل: DES(Data Encryption Standard)، CCEP(The Commercial Comsec Endoremment Program)، IDEA(International Data Encryption Algoritm)، FEAL ). در حالی که الگوریتم‌های نامتقارن از کلیدهای متفاوتی برای رمزگذاری و رمزگشایی استفاده می‌کنند و امکان استخراج کلید رمزگشایی از کلید رمزگذاری وجود ندارد. همچنین کلید رمزگذاری را کلید عمومی، و کلید رمزگشایی را کلید خصوصی یا کلید محرمانه می‌نامند (مثل: RSA ، LUC).
تجزیه و تحلیل رمز(cryptanalysis)، هنر شکستن رمزها و به عبارت دیگر، بازیابی متن آشکار بدون داشتن کلید مناسب است؛ افرادی که عملیات رمزنگاری را انجام می‌دهند، رمزنگار(cryptographer)نامیده می‌شوند و افرادی که در تجزیه و تحلیل رمز فعالیت دارند رمزکاو(cryptanalyst)هستند.
رمزنگاری با تمام جوانب پیام‌رسانی امن، تعیین اعتبار، امضاهای رقومی، پول الکترونیکی و نرم افزارهای کاربردی دیگر ارتباط دارد. رمزشناسی(cryptology)شاخه‌ای از ریاضیات است که پایه‌های ریاضی مورد استفاده در شیوه‌های رمزنگاری را مطالعه می‌کند ("آشنایی با ..."، 1383).
رمزنگاری یک فناوری امنیت اطلاعات از نوع کنشگرایانه است، زیرا اطلاعات را قبل از آن که یک تهدید بالقوه بتواند اعمال خرابکارانه انجام دهد، از طریق رمزگذاری داده‌ها ایمن می‌سازند. به علاوه، رمزنگاری در سطوح متنوع، به طوری که در طبقه‌بندی شکل 1 بیان شد، در سطوح برنامه‌های کاربردی و در سطوح شبکه قابل پیاده‌سازی است.
2. امضاهای رقومی (digital signatures)
امضاهای رقومی، معادل «امضای دست‌نوشت» و مبتنی بر همان هدف هستند: نشانه منحصر به فرد یک شخص، با یک بدنه متنی (Comer، 1999، ص. 191). به این ترتیب، امضای رقومی مانند امضای دست‌نوشت، نباید قابل جعل باشد. این فناوری که با استفاده از الگوریتم رمزنگاری ایجاد می‌شود، تصدیق رمزگذاری‌شده‌ای است که معمولاً به یک پیام پست الکترونیکی یا یک گواهی‌نامه ضمیمه می‌شود تا هویت واقعی تولیدکننده پیام را تأیید کند.
امضای رقومی یک فناوری امنیت اطلاعات از نوع کنشگرایانه است، زیرا قبل از وقوع هر تهدیدی، می‌توان با استفاده از آن فرستنده اصلی پیام و صاحب امضا را شناسایی کرد. به علاوه این فناوری در سطح یک برنامه کاربردی قابل پیاده‌سازی است. در این سطح، امضای رقومی در یک برنامه کاربردی خاص و قبل از آن که به یک گیرنده خاص فرستاده شود، ایجاد می‌گردد.
3. گواهی‌های رقومی(Digital certificates)
گواهی‌های رقومی به حل مسئله «اطمینان» در اینترنت کمک می‌کنند. گواهی‌های رقومی متعلق به «سومین دسته اطمینان»(trusted third parties)هستند و همچنین به «متصدی‌های گواهی» اشاره دارند (Tiwana، 1999). متصدی‌های گواهی، مؤسسات تجاری هستند که هویت افراد یا سازمان‌ها را در وب تأیید، و تأییدیه‌هایی مبنی بر درستی این هویت‌ها صادر می‌کنند. برای به دست‌آوردن یک گواهی، ممکن است از فرد خواسته شود که یک کارت شناسایی (مانند کارت رانندگی) را نشان دهد. بنابراین گواهی‌های رقومی، یک شبکه امن در میان کاربران وب، و مکانی برای تأیید صحت و جامعیت یک فایل یا برنامه الکترونیکی ایجاد می‌کنند. این گواهی‌ها حاوی نام فرد، شماره سریال، تاریخ انقضا، یک نسخه از گواهی نگاهدارنده کلید عمومی (که برای رمزگذاری پیام‌ها و امضاهای رقومی به کار می‌رود) می‌باشند** (Encyclopedia and learning center، 2004).
گواهی‌های رقومی، فناوری امنیت اطلاعات از نوع کنشگرایانه هستند، زیرا از این فناوری برای توزیع کلید عمومی از یک گروه ارتباطی به گروه ارتباطی دیگر استفاده می‌شود. همچنین این روش، قبل از آن که هر ارتباطی بین گروه‌ها اتفاق بیفتد، اطمینان ایجاد می‌کند. این فناوری در سطح برنامه کاربردی قابل پیاده‌سازی است؛ مثلاً قبل از آغاز هر ارتباط مرورگر وب، تأیید می‌کند که آن گروه خاص قابل اطمینان می‌باشد.
4. شبکه‌های مجازی خصوصی( virtual private networks)
فناوری شبکه‌های مجازی خصوصی، عبور و مرور شبکه را رمزگذاری می‌کند. بنابراین این فناوری برای تضمین صحت و امنیت داده‌ها، به رمزنگاری وابسته است. این شبکه بسیار امن، برای انتقال داده‌های حساس (از جمله اطلاعات تجاری الکترونیکی) از اینترنت به عنوان رسانه انتقال بهره می‌گیرد. شبکه‌های مجازی خصوصی، فناوری امنیت اطلاعات از نوع کنشگرایانه هستند، زیرا داده‌ها قبل از آن که در شبکه عمومی منتشر شوند، با رمزگذاری محافظت می‌شوند و این باعث می‌گردد که تنها افراد مجاز قادر به خواندن اطلاعات باشند. به علاوه این فناوری در سطح شبکه قابل پیاده‌سازی است، و از فناوری رمزگذاری بین دو میزبان شبکه مجازی خصوصی، در مرحله ورود به شبکه و قبل از آن که داده‌ها به شبکه عمومی فرستاده شود، استفاده می‌گردد.
5. نرم‌افزارهای آسیب‌نما( vulnerability scanners)
نرم‌افزارهای آسیب‌نما برنامه‌هایی برای بررسی نقاط ضعف یک شبکه یا سیستم یا سایت هستند. بنابراین نرم‌افزارهای آسیب‌نما یک نمونه خاص از نظام آشکارساز نفوذی از فناوری امنیت اطلاعات هستند (Bace، 2000، ص 4-3). همچنین این نرم‌افزارها به یک پویش فاصله‌مدار اشاره دارند؛ بدین معنا که میزبان‌های روی شبکه را در فواصل خاص و نه بطور پیوسته، پویش می‌کنند. به مجرد این که یک نرم‌افزار آسیب‌نما بررسی یک میزبان را خاتمه داد، داده‌ها در درون یک گزارش، نمونه‌برداری می‌شوند، که به یک «عکس فوری»(snapshot) شباهت دارد (مثل: cybercop scanner، cisco secure scanner، Net Recon).
نرم‌افزارهای آسیب‌نما، فناوری امنیت اطلاعات از نوع کنشگرایانه هستند، زیرا از آن‌‌ها برای کشف عامل‌های نفوذی قبل از آن که بتوانند با عملیات‌های خرابکارانه یا بدخواهانه از اطلاعات سوء استفاده کنند، استفاده می‌شود. نرم‌افزارهای آسیب‌نما در سطح میزبان قابل پیاده‌سازی هستند.
6. پویشگرهای ضد ویروس(Anti- virus scanner)
در دهه‌های گذشته ویروس‌های رایانه‌ای باعث تخریب عظیمی در اینترنت شده‌اند. ویروس رایانه‌ای یک قطعه مخرب نرم‌افزاری است که توانایی تکثیر خودش را در سراسر اینترنت، با یک بار فعال‌شدن، دارد (McClure et al، 2002). پویشگرهای ضد ویروس، برنامه‌های نرم‌افزاری هستند که برای بررسی و حذف ویروس‌های رایانه‌ای، از حافظه یا دیسک‌ها طراحی شده‌اند. این برنامه‌ها از طریق جستجوی کدهای ویروس رایانه‌ای، آن‌ها را تشخیص می‌دهند. اگرچه برنامه‌های حفاظت از ویروس نمی‌توانند تمام ویروس‌ها را نابود کنند، اما اعمالی که این برنامه‌ها انجام می‌دهند عبارت‌اند از: 1) ممانعت از فعالیت ویروس، 2) حذف ویروس، 3) تعمیر آسیبی که ویروس عامل آن بوده است، و 4) گرفتن ویروس در زمان کنترل و بعد از فعال‌شدن آن (Caelli, Longley, & Shain ، 1994).
پویشگر ضدویروس، یک فناوری امنیت اطلاعات از نوع کنشگرایانه است. این پویشگرها در سطوح متنوع، و به طوری که در طبقه‌بندی بیان شده در سطح برنامه‌های کاربردی و در سطح میزبان، قابل پیاده‌سازی هستند.
7. پروتکل‌های امنیتی(security protocols)
پروتکل‌های امنیتی مختلفی مانند «پروتکل امنیت اینترنت»( Internet Protocol Security (IPsec)) و «کربروس»(kerberos)که در فناوری‌های امنیت اطلاعات طبقه‌بندی می‌شوند، وجود دارند. پروتکل‌ها فناوری‌هایی هستند که از یک روش استاندارد برای انتقال منظم داده‌ها بین رایانه‌ها استفاده می‌کنند، یا مجموعه‌ای از مقررات یا قراردادها هستند که تبادل اطلاعات را میان نظام‌های رایانه‌ای، کنترل و هدایت می‌کنند.
پروتکل‌های امنیتی، یک فناوری امنیت اطلاعات از نوع کنشگرایانه هستند، زیرا برای حفاظت از اطلاعات حساس از یک پروتکل خاص امنیتی، قبل از آن که اطلاعات به وسیله خرابکاران به دست آید، استفاده می‌کنند. این فناوری در سطوح مختلف _ سطح برنامه کاربردی و سطح شبکه- قابل پیاده‌سازی است. مثلاً پروتکل «کربروس»، پروتکل و سیستمی است که از آن در تعیین اعتبار سیستم‌های اشتراکی استفاده می‌شود. «کربروس» برای تعیین اعتبار میان فرآیندهای هوشمند (نظیر از خدمت‌گیرنده به خدمت‌دهنده، یا ایستگاه کاری یک کاربر به دیگر میزبان‌ها) مورد استفاده قرار می‌گیرد و این تعیین اعتبار در سطح برنامه کاربردی و شبکه، قابل پیاده‌سازی است.
8. سخت افزارهای امنیتی(Security hardware)
سخت افزار امنیتی به ابزارهای فیزیکی که کاربرد امنیتی دارند، اشاره می‌کندٍ؛ مانند معیارهای رمزگذاری سخت‌افزاری یا مسیریاب‌های سخت‌افزاری.
ابزارهای امنیت فیزیکی شامل امنیت سرورها، امنیت کابل‌ها، سیستم‌های هشداردهنده امنیتی در زمان دسترسی غیرمجاز یا ذخیره فایل‌ها بعد از استفاده یا گرفتن فایل پشتیبان هستند.
این فناوری یک فناوری امنیت اطلاعات از نوع کنشگرایانه است، زیرا داده‌ها را قبل از آن که تهدید بالقوه‌ای بتواند تحقق یابد، حفاظت می‌کنند. مثلاً از رمزگذاری داده‌ها به‌منظور جلوگیری از اعمال خرابکارانه و جرح و تعدیل ابزار سخت‌افزاری استفاده می‌شود. این فناوری در سطح شبکه قابل پیاده‌سازی است. مثلاً یک کلید سخت‌افزاری می‌تواند در درون درگاه میزبان برای تعیین اعتبار کاربر، قبل از آن که کاربر بتواند به میزبان متصل شود به کار رود، یا معیارهای رمزگذاری سخت‌افزار روی شبکه، یک راه حل مقاوم به دستکاری را فراهم آورد و در نتیجه ایمنی فیزیکی را تأمین نماید.
9. جعبه‌های توسعه نرم‌افزار امنیتی(security software development kits (SDKs))
جعبه‌های توسعه نرم‌افزار امنیتی، ابزارهای برنامه‌نویسی هستند که در ایجاد برنامه‌های امنیتی مورد استفاده قرار می‌گیرند. «Java security manager» و «Microsoft.net SDKs» نمونة‌ نرم‌افزارهایی هستند که در ساختن برنامه‌های کاربردی امنیتی (مانند برنامه‌های تعیین اعتبار مبتنی بر وب) به کار می‌روند. این جعبه‌ها شامل سازنده صفحه تصویری، یک ویراستار، یک مترجم، یک پیونددهنده، و امکانات دیگر هستند. جعبه‌های توسعه نرم‌افزار امنیتی، فناوری امنیت اطلاعات از نوع کنشگرایانه هستند، زیرا از آن‌ها در توسعه نرم افزارهای متنوع برنامه‌های کاربردی امنیتی (که داده‌ها را قبل از آن که تهدید بالقوه تحقق یابد، حفاظت می‌کنند) استفاده می‌شوند. به‌علاوه این فناوری در سطوح متنوع- سطح برنامه‌های کاربردی، سطح میزبان، سطح شبکه- قابل پیاده‌سازی است.
ب. فناوری‌های امنیت اطلاعات واکنشی
1. دیوار آتش( firewalls)
دیوار آتش در اینترنت یک ابزار نرم‌افزاری، خصوصاً روی یک رایانه پیکربندی‌شده می‌باشد که به عنوان مانع، فیلتر یا گلوگاه بین یک سازمان داخلی یا شبکه امین و شبکه غیرامین یا اینترنت، نصب می‌شود (Tiwana، 1999). هدف از دیوار آتش جلوگیری از ارتباطات غیرمجاز در درون یا بیرون شبکه داخلی سازمان یا میزبان است (Oppliger، 1998، ص. 58). دیوار آتش به عنوان اولین خط دفاعی در تلاش برای راندن عامل مزاحم، مورد توجه قرار می‌گیرد. اگرچه فناوری رمزگذاری به حل بسیاری از مشکلات ایمنی کمک می‌کند، به یک فناوری ثانوی نیز نیاز داریم. فناوری معروف به دیوار آتش اینترنت کمک می‌کند تا رایانه‌ها و شبکه‌های یک سازمان را از ترافیک نامطلوب اینترنت محافظت کنید. این فناوری برای پرهیز از مشکلات ایجاد شده در اینترنت یا گسترش آن‌ها به رایانه‌های سازمان طراحی می‌گردد. دیوار آتش بین نظام‌های سازمان و اینترنت قرار می‌گیرد. شکل 2 این مفهوم را نشان می‌دهد (امنیت شبکه...، 1383).
دیوار آتش یک فناوری امنیت اطلاعات از نوع واکنشی است و مهم‌ترین ابزار امنیتی مورد استفاده برای کنترل ارتباطات شبکه‌ای بین دو سازمان که به یکدیگر اعتماد ندارند، می‌باشد. با قراردادن یک دیوار آتش روی هر ارتباط خارجی شبکه، سازمان می‌تواند یک دایره امنیتی تعریف نماید که از ورود افراد خارجی به رایانه‌های سازمان جلوگیری می‌کند. علاوه بر آن، دیوار آتش می‌تواند مانع نفوذ افراد خارجی به منابع موجود در رایانه‌های سازمان و گسترش نامطلوب روی شبکه سازمان شود. این فناوری در سطوح میزبان و در سطح شبکه قابل پیاده‌سازی است.

شکل 2. تصویری از یک دیوار آتش برای حفاظت سازمان در مقابل نفوذ غیرمجاز به شبکه
2. کنترل دسترسی(access control)
کنترل دسترسی به مجموعه سیاست‌ها و اقدامات مربوط به دادن اجازه یا ندادن اجازه برای دسترسی یک کاربر خاص به منابع، یا محدودکردن دسترسی به منابع نظام‌های اطلاعاتی برای کاربران، برنامه‌ها، پردازه‌ها یا دیگر سیستم‌های مجاز اطلاق می‌شود. هدف از این فناوری، حصول اطمینان است از این که یک موضوع، حقوق کافی برای انجام عملیات‌های خاص روی سیستم را دارد (King et al.، 2001). این موضوع ممکن است کاربر، یک گروه از کاربران، یک خدمت، یا یک برنامه کاربردی باشد. موضوعات در سطوح مختلف، امکان دسترسی به اشیای خاصی از یک سامانه را دارند. این شیء ممکن است یک فایل، راهنما، چاپگر یا یک فرایند باشد. کنترل دسترسی ابزاری است که امنیت شبکه را از طریق تأمین کاراکترهای شناسایی و کلمه عبور تضمین می‌کند و فناوری امنیت اطلاعات از نوع واکنشی است، زیرا دسترسی به یک نظام را به محض این که یک درخواست دسترسی صورت گیرد، مجاز می‌شمارد یا غیرمجاز. این فناوری در سطوح متنوع- در سطح برنامه کاربردی، در سطح میزبان و در سطح شبکه- قابل پیاده‌سازی است.
3.کلمات عبور(passwords)
کلمه عبور، یک کلمه، عبارت یا حروف متوالی رمزی است که فرد برای به‌دست آوردن جواز دسترسی به اطلاعات (مثلاً یک فایل، برنامه کاربردی یا نظام رایانه‌ای) باید وارد نماید (Lexico Publishing Group ، 2002). این کلمه برای شناسایی و برای اهداف امنیتی در یک نظام رایانه‌ای به کار می‌رود. به هر کاربر مجموعه معینی از الفبا و عدد اختصاص داده می‌شود تا به تمام یا قسمت‌هایی از نظام رایانه‌ای دسترسی داشته باشد. کلمه عبور، فناوری امنیت اطلاعات از نوع واکنشی است، زیرا به‌منظور گرفتن مجوز و دسترسی به نظام، به محض این که یک فرد یا فرایند بخواهد به یک برنامه کاربردی، میزبان یا شبکه متصل شود، به کار می‌رود. این فناوری در سطوح متنوع- در سطح برنامه کاربردی، سطح میزبان، سطح شبکه- پیاده‌سازی می‌شود.
4. زیست‌سنجی(biometrics)
زیست‌سنجی، علم و فناوری سنجش و تحلیل‌داده‌های زیستی است. در فناوری اطلاعات، زیست‌سنجی معمولاً به فناوری‌هایی برای سنجش و تحلیل ویژگی‌های بدن انسان (مانند اثر انگشت، قرنیه و شبکیه چشم، الگوهای صدا، الگوهای چهره، و اندازه‌های دست) خصوصاً به‌منظور تعیین اعتبار اشاره دارد. یکی از ویژگی‌های ذاتی علم زیست‌سنجی این است که کاربر باید با یک الگوی مرجع مقایسه شود. اثر انگشت، چهره یا داده‌های زیست‌سنجی دیگر را می‌توان جایگزین کارت هوشمند نمود و کاربران می‌توانند هم از کارت هوشمند و هم از اثر انگشت یا چهره خود برای تعیین اعتبار در امور بازرگانی، بانک‌ها یا ارتباط تلفنی استفاده نمایند (Encyclopedia and learning center، 2004).
زیست‌سنجی فناوری امنیت اطلاعات از نوع واکنشی است، زیرا از آن می‌توان با استفاده از هندسه بخشی از بدن کاربر برای گرفتن مجوز یا برای جلوگیری از دسترسی به نظام، به محض این که کاربر بخواهد به یک برنامه کاربردی، میزبان یا شبکه متصل شود، استفاده نمود. به‌علاوه این فناوری در سطوح متنوع، با توجه به طبقه‌بندی بیان‌شده، قابل پیاده‌سازی است.
5. نظام‌های آشکارساز نفوذی(intrusion detection systems (IDS))
نظام‌های آشکارساز نفوذی، یک نظام تدافعی است که فعالیت‌های خصمانه را در یک شبکه تشخیص می‌دهد. بنابراین نکته کلیدی در نظام‌های آشکارساز نفوذی، تشخیص و احتمالاً ممانعت از فعالیت‌هایی است که ممکن است امنیت شبکه را به خطر بیندازند. یکی از ویژگی‌های مهم این نظام‌ها، توانایی آن‌ها در تأمین نمایی از فعالیت‌های غیرعادی، و اعلام هشدار به مدیران نظام‌ها و مسدود نمودن ارتباط مشکوک است. نظام‌های آشکارساز نفوذی فرایندی برای شناسایی و تقابل با فعالیت‌های مشکوک است که منابع رایانه‌ای و شبکه‌ها را هدف قرار داده‌اند. علاوه بر این، ابزارها و تجهیزات این نظام می‌توانند بین تهاجم‌های داخلی از داخل سازمان (کارمندان یا مشتریان) و تهاجم‌های خارجی (حملاتی که توسط هکرها انجام می‌شود) تمایز قایل شوند (مثل Snort IDS، ISS Real Secure، Cisco IDS) (سیستم‌های شناسایی...،1383). این فناوری، فناوری امنیت اطلاعات از نوع واکنشی است، زیرا از آن برای کنترل میزبان‌های روی شبکه، آشکارسازی، ثبت گزارش، و متوقف ساختن هر نوع حمله و استفاده غیرقانونی استفاده می‌شود. این فناوری در سطوح میزبان و شبکه، قابل پیاده‌سازی است.
6. واقعه‌نگاری(logging)
واقعه‌نگاری به ثبت اعمال یا تراکنش‌های انجام‌شده توسط کاربر یا یک برنامه، تولید سابقه، و ثبت نظام‌مند رویدادهای مشخص به ترتیب وقوع آن‌ها برای فراهم‌کردن امکان تعقیب و پیگیری داده‌ها در تحلیل‌های آتی اطلاق می‌شود. واقعه‌نگاری، فناوری امنیت اطلاعات از نوع واکنشی است، زیرا به علت‌جویی حوادث امنیتی بعد از وقوع می‌پردازد. این فناوری در سطوح برنامه کاربردی، میزبان و شبکه قابل پیاده‌سازی است.
7. دسترسی از راه دور(remote accessing)
«دسترسی از راه دور» به دسترسی به یک سیستم یا برنامه، بدون نیاز به حضور فیزیکی در محل توجه دارد. با این حال معمولاً دسترسی به خدمات از راه دور، کنترل‌شده نیستند، زیرا ممکن است دسترسی به یک خدمت از راه دور به طور ناشناس صورت بگیرد که در این مورد دسترسی به خدمت، خطر جعل هویت را به همراه دارد. در این زمینه با توجه به شرایط و امکانات، باید ایمن‌ترین پروتکل‌ها و فناوری‌ها را به خدمت گرفت. مثلاً تعدادی از نظام‌ها ممکن است به غلط برای مجوزگرفتن اتصال، به صورت ناشناس با یک پیش‌فرض پیکربندی کنند، در حالیکه اتصال ناشناس بر طبق خط‌مشی امنیتی سازمان نباید اجازه یابد که وارد نظام شود. دسترسی از راه دور، فناوری امنیت اطلاعات از نوع واکنشی است، زیرا یک فرد یا فرایند برای اتصال از راه دور، قادر به دستیابی بر طبق امتیازات دسترسی می‌باشد. این فناوری در سطح میزبان قابل پیاده‌سازی می‌باشد.
نتیجه‌گیری
اگر چه اغلب سازمان‌ها تمایل به داشتن شبکه‌های ایمن دارند، ارائه تعریفی واحد از امنیت که همه نیازهای شبکه را تأمین نماید ممکن نیست. در عوض هر سازمان باید ارزش اطلاعات خود را ارزیابی کند و سپس یک خط‌مشی امنیتی برای مواردی که باید مورد حفاظت قرار گیرند مشخص نماید. مثلاً روش‌های تعیین اعتبار زیست‌سنجی از نظر قدرت و در دسترس بودن، در حال بهبود هستند، اما در حال حاضر با نوعی تردید با آن‌ها برخورد می‌شود و این تردید ناشی از هزینه‌های نسبتاً بالا و مشکلات مرتبط با دغدغه‌های حفظ حریم خصوصی می‌باشد. البته نظراتی وجود دارند که به موجب آن‌ها می‌توان از ترکیب فناوری‌های متنوع امنیتی، برای تشکیل فناوری‌های امنیتی قوی در زمینه امنیت اطلاعات استفاده نمود. مثلاًً در آینده نزدیک با ترکیب دیوار آتش، نظام‌های آشکارساز نفوذی و فناوری‌های پویشگرهای ضد ویروس، به تشکیل یک فناوری نیرومند در زمینه امنیت اطلاعات خواهیم رسید.
برای یک سازمان، شناختن فناوری‌های امنیت اطلاعات قابل دسترس، مهم است، تا از آن برای تدوین خط‌مشی‌های امنیتی با توجه به نوع و حساسیت اطلاعات سازمان خود، استفاده نمایند. به علاوه، ارائه این طبقه‌بندی از فناوری‌ها، زمینه‌ساز پژوهش جدیدی خواهد بود.

فصلنامه علوم اطلاع‌رسانی

مریم اسدی
کارشناس ارشد کتابداری و اطلاع‌رسانی

1 نظر

احساس امنیت، مهم ترین دستاورد فناوری

سه شنبه 21 شهریور ماه سال 1385 :: 08:43 AM :: نویسنده : محمدرضا گرامی

زندگی روزمره انسانی در دنیای فیزیکی غالبا با تهدیدهایی از سوی مهاجمان، متجاوزان و قانون‌شکنان مواجه بوده است و برنامه‌ریزان و مدیران جوامع با اتخاذ تدابیر و با به‌کارگیری نیروهای سازمان‌یافته در پی مبارزه با تهدیدهای مذکور و محافظت از جان و منافع انسانی و در نهایت ایجاد امنیت در جامعه هستند. امنیت کامپیوتر و شبکه یا امنیت فضای تبادل اطلاعات مقوله‌های مهمی هستند که همواره به آن‌ها پرداخته می‌شود، اما با این وجود به ندرت میزان حفاظت از داده ها و دارایی های اطلاعاتی شهروندان، شرکت‌ها یا حکومت‌ها کافی و وافی است. اگر زیرساخت شبکه، مسیریاب‌ها، کارگزاران نام و سوئیچ‌هایی که این سیستم‌ها را به هم متصل می¬کنند از کار بیفتند، کامپیوترها نخواهند توانست دقیق و مطمئن با یکدیگر ارتباط برقرار کنند. برای روشن شدن هرچه بیشتر این قضیه و افزایش اطمینان خاطر کاربران برای وجود به فضاهای مجازی و استفاده مناسب از فناوری‌های جدید، آن کریشنر(Ann Kirschner) مدیر امنیتی دفتر سیاست‌گذاری‌های فناوری اطلاعات آمریکا گفت‌وگویی را انجام داده است که بخش‌هایی از آن را مرور می‌کنیم.

به نظر شما نیازمندی‌های امنیتی چیست و آیا می‌توان این نیازمندی‌ها را پاسخ گفت؟

تفاوت‌های میان نیازمندی‌های یک دانشگاه و یک سازمان نظامی که کارهای رمزنگاری انجام می دهد را در نظر بگیرید. تفاوت اصلی در نحوه به اشتراک گذاشتن اطلاعات است. دانشگاه نتایج پژوهش‌ها را در اختیار عموم قرار می دهد. از طرف دیگر سازمان نظامی به محرمانگی اهمیت ویژه ای می دهد. نه‌تنها سازمان مایل به افشای نحوه شکستن الگوریتم‌های رمز نیست، بلکه حتی نمی خواهد دیگران از شکسته ‌شدن الگوریتم رمز آگاه شوند. بنابراین امنیت معنای ثابتی ندارد و این نیاز به تعریف امنیت را گوشزد می کند.

هنگامی که سازمانی بخواهد سیستم‌های خود را امن کند باید نخست نیازمندی‌ها را مشخص کند. دانشگاه نیاز به حفاظت از سلامت داده ها و تا حدی محرمانگی آن‌ها دارد. ضمنا ممکن است نیاز به دسترس پذیر بودن سیستم از طریق اینترنت برای دانشجویان و استادان داشته باشد. در مقابل سازمان نظامی به محرمانگی کلیه کارهای خود تاکید دارد. سیستم‌های آن نباید از طریق شبکه در دسترس باشند. سلامت داده ها نیز مهم است ولی نه به اندازه محرمانگی آن‌ها. یک سازمان نظامی معمولا ترجیح می دهد داده ها از بین بروند تا اینکه افشا شوند.

این مثال نشان می‌دهد که نیازمند‌های امنیتی تا چه اندازه با یکدیگر متفاوتند و به‌همین خاطر شرکت‌های عرضه‌کننده محصولات امنیتی و کامپیوتری مجبورند برای پاسخ‌گویی به هر یک از این نیازها، آن‌ها را به‌صورت جداگانه و منفصل در نظر بگیرند و بررسی کنند. این طور که امروزه مشخص شده، بیشتر نیازمندی‌هایی که در زمینه امنیت وجود دارد از میان برداشته شده و به‌همین خاطر کاربران با آرامش خاطر بیشتری این روزها از کامپیوتر و اینترنت استفاده می‌کنند.

آیا در زمینه امنیت نیز سیاست‌های خاصی وجود دارد؟ این سیاست‌ها چگونه تعیین می‌شود؟

نیازمندی‌های امنیتی مجاز بودن برخی اعمال و حالت‌های سیستم را دیکته کرده و بقیه را غیرمجاز می¬دانند. یک سیاست امنیتی بیان خاصی است از موارد مجاز و غیرمجاز. اگر همیشه سیستم در حالت‌های مجاز باقی بماند و کاربران تنها اعمالی را که مجاز هستند بتوانند انجام دهند، آن‌گاه سیستم امن است. اگر سیستم بتواند به یک حالت غیرمجاز وارد شود یا کاربر بتواند عمل غیرمجازی را با موفقیت انجام دهد، سیستم ناامن خواهد بود. این ناامنی می‌تواند مشکلات جبران‌ناپذیری را برای کاربران به‌دنبال داشته باشد و علاوه بر اختلال در سیستم‌مرکزی کامپیوتر، موجبات بروز خسارات مالی فراوان را فراهم آورد.

تعیین سیاست‌های امنیتی که می‌تواند حالت جهان‌شمول داشته باشد و همه کاربران جهانی را دربر بگیرد، معمولا توسط شرکت‌های بزرگ کامپیوتری و مراکز اصلی قانون‌گذاری فناوری در جهان صورت می‌گیرد و طی آن تمامی کشورها موظف به انجام این قبیل قوانین می‌شوند و باید همه سیاست‌های تعیین شده را به مرحله اجرا برسانند.

راهکارهای امنیتی چیست و چگونه عملی می‌شود؟

راهکارهای امنیتی سیاست امنیتی را اجرا می¬کنند که هدف اصلی از آن‌ها این است که از ورود سیستم به حالت‌های غیرمجاز جلوگیری شود. راهکارها ممکن است فنی یا عملیاتی باشند. به‌عنوان مثال فرض کنید سازمان نظامی سندهای طبقه بندی نشده و سندهای فوق‌سری دارد. کاربرانی که حق دسترسی به اسناد فوق‌سری را ندارند نمی توانند به آن‌ها دسترسی پیدا کنند.

راهکارهای فنی برای برخی سیاست‌ها مناسب نیستند. برای مثال دانشگاه می خواهد دانشجویان را از داشتن فایل‌های موزیک روی کامپیوترشان منع کند. جهت انجام این کار راهبران سیستم قادرند کامپیوترها را برای یافتن موزیک جست‌وجو کنند، ولی دانشجویان باهوش می توانند فایل‌های موسیقی را به‌صورت متنی کدگذاری کنند. ولی راهکار عملیاتی که دانشجویان را از قرار دادن فایل موسیقی منع می کند در کنار تنبیه در صورت تخلف، خیلی مناسب‌تر و موثرتر از راهکار فنی می‌تواند باشد.

اینکه کل راهکارهای اتخاذ شده به‌درستی سیاست امنیتی را پیاده سازی می کند پرسشی مربوط به اطمینان یا تضمین است. برای مثال فایروال‌ها سیستم‌هایی محسوب می‌شوند که واسطه اتصال سیستم یا شبکه داخلی به اینترنت هستند. فایروال می تواند تلاش‌های اتصال به شبکه داخلی از اینترنت را بلوکه کند. با این حال اگر نرم افزار فایروال به‌درستی نوشته نشده باشد، ممکن است برخی اتصال‌ها که سیاست امنیتی اجازه نداده را بلوکه نکند.

در ادامه دو مثال این مورد را بیشتر توضیح می دهند. اول فرض کنید سیاست سازمان آن است که از شبکه های خارجی نقطه‌به‌نقطه(Point to Point) استفاده نشود. ساده ترین راه آن است که فایروال به گونه ای پیکربندی شود که پیام‌های خارجی درگاه مربوطه را نپذیرد. با این حال اگر فایروال به‌خوبی پیکربندی نشده باشد، ممکن است پیامی حتی اگرچه سیاست امنیتی آن را منع کرده باشد، بپذیرد. بنابراین راهکار مورد نظر برای اجرای سیاست امنیتی شکست می خورد.

دوم فرض کنید دانشگاه یک سایت اینترنتی برای اسنادی که قرار است در دسترس پژوهشگران بیرونی باشند دارد. سیاست امنیتی سیستم آن است که فایل‌های موجود در دایرکتوری‌های کارگزار وب برای اجرای این سیاست پیکربندی شوند. متاسفانه کارگزار یک خطای نرم افزاری دارد که با فرستادن یک URL خاص می توان به هر فایل روی سیستم دسترسی پیدا کرد. در این جا راهکار نه به‌علت پیکربندی نادرست، بلکه به‌علت خطای نرم افزاری شکست می خورد.

تضمین‌های امنیتی تا چه اندازه می‌تواند در افزایش اطمینان خاطر کاربر در کامپیوتر و اینترنت مفید واقع شود؟

اینکه چقدر سیاست‌های امنیتی نیازمندی‌ها را می پوشانند و راهکارها سیاست‌ها را پیاده سازی می کنند، در قلمروی بحث تضمین امنیتی قرار می گیرد. متدولوژی‌های مختلفی برای اندازه گیری تضمین یا اطمینان امنیتی وجود دارند. متدولوژی می تواند به‌عنوان بخشی از فرآیند مهندسی نرم‌افزار باشد، با این حال هیچ متدولوژی نمی تواند به‌طور مطلق امن بودن سیستم را تضمین کند، ولی متدولوژی‌های مختلف درجه های مختلفی از امنیت را فراهم می کنند. روش‌های مختلف ارزیابی میزان تضمین امنیت نه‌تنها به سیستم، بلکه به محیط ارزیابی و فرآیند تولید سیستم نیز بستگی دارند.

تضمین حتی به نیروهای انسانی نیز بستگی دارد. اینکه راهبران فنی چقدر از سیاست امنیتی را درک کرده اند؟ آیا سیاست گذاران افراد را برای پرسش موارد مبهم تشویق می کنند؟ آیا پاسخ‌ها گویا و مفید است؟ و بسیاری موارد دیگر.

این پرسش‌ها اهمیت آموزش افراد متخصص امنیت را یادآور می¬شوند. آموزش خود در دو جایگاه می تواند متجلی شود. این دو جایگاه شامل آموزش دانشگاهی و آموزش حرفه ای می‌شود که هر یک اهداف خاص خود را دارند.

مولفه های امنیت کدامند و چه فایده‌ای دارند؟

به‌طور کلی امنیت سه مولفه دارد: نیازمندی‌ها، سیاست و راهکارها. نیازمندی‌ها اهداف امنیت را تعریف می کنند. آن‌ها به این پرسش که "از امنیت چه انتظاری دارید؟" پاسخ می دهند. سیاست معنای امنیت را تعریف می کند و به پرسش "چه گام‌هایی برای رسیدن به اهداف بالا برمی دارید؟" پاسخ می دهد. راهکارها سیاست را اعمال می کنند. به این پرسش پاسخ می دهند که آن‌ها "از چه ابزارها و روال‌هایی برای اطمینان از طی‌ شدن این گام‌ها استفاده می کنند؟" از یک دید امنیت از دو مقوله امن‌ بودن یا امن نبودن سیستم کار خود را انجام می‌دهد. با این حال ارزیابی امنیت با این روش مفید نیست. به‌طور کلی میزان امنیت یک سایت با میزان پوشش دادن نیازمندی‌ها سنجیده می‌‌شود. بنابراین یک سازمان که از قابلیت‌های امنیتی فعال شده بسیاری استفاده می کند، ممکن از سازمان مشابه دیگری که از امکانات امنیتی کمتری استفاده می کند امنیت کمتری داشته باشد.

امنیت در اینترنت و فضاهای مجازی چگونه است و شما چطور می‌توانید تضمین کنید که یک فرد پس از ورود به شبکه اینترنت می‌تواند بدون بروز هرگونه مشکل به فعالیت‌های خود بپردازند؟

در خصوص شبکه‌های اطلاع‌رسانی و به‌خصوص اینترنت مبحث امنیت را می‌توان از دو جنبه مورد بررسی قرار داد که این دو جنبه شامل امنیت سرویس‌دهندگان(Servers Security) و امنیت کاربران(Client Security) می‌شود که در هر دو مورد با تهدیدهای بسیار جدی از سوی مهاجمان و مخربین مواجه هستیم. با توجه به گسترش زمینه‌های گوناگون استفاده از اینترنت به‌خصوص تبادلات بازرگانی و فعالیت‌های اقتصادی و علاقه‌مندی شدید مهاجمان به این نوع از تخریب‌ها، در قدم اول سعی بر آن است تا از نفوذ هکرها به این بخش جلوگیری شود. طی چند ماه اخیر مطالعات فراوانی در مورد سطح امنیت اینترنت شده که نتایج بسیاری از آن‌ها نگرانی کاربران این ابزار ارتباطی مدرن را به‌دنبال داشته است. متاسفانه این تحقیقات نشان می‌دهد اینترنت آن‌قدرها هم که برخی تصور می‌کنند، ایمن نیست و به هنگام استفاده از آن باید خیلی دقت کرد. البته اگر هم‌چنین گزارش‌هایی منتشر نمی‌شد، نتیجه چندان تفاوتی نمی‌کرد، زیرا بسیاری از کاربران اینترنت خود به‌طور مستقیم بارها و بارها آلوده شدن سیستم‌های رایانه‌ای خود به ویروس‌ها، کرم‌ها، تروجان‌ها و نرم‌افزارهای جاسوسی را تجربه کرده‌اند. همه ما با هرزنامه‌های اینترنتی آشنایی داریم و شاید چندین هزرنامه الکترونیکی از این دست را دریافت کرده باشیم.

حفره‌های امنیتی و اشکالات نرم‌افزارها و سیستم‌عامل‌های مختلفی که به هنگام اتصال به اینترنت مورد استفاده قرار می‌گیرند نیز معمولا از سوی هکرهای حرفه‌ای و ویروس‌نویسان مورد سوءاستفاده قرار می‌گیرد و آنان از این طریق ضمن مطلع ‌شدن از هویت برخی کاربران، خود را به جای آنان جا زده و در فضای مجازی جولان می‌دهند. نقص‌های مذکور که برخی از آن‌ها بسیار جدی هستند همچنین امکان اجرای انواع نرم‌افزارهای مخرب را روی کامپیوترهای شخصی فراهم می‌آورند و چه‌بسا موجب شوند که هکر به اطلاعات شخصی حساسی مانند کلمات عبور، شماره‌های کارت‌های اعتباری و دیگر جزئیات مربوط به حساب‌های بانکی دست یابد.

رویداد امنیتی در فضای سایبر چیست و چگونه رویکرد امنیت لایه‌بندی ‌شده در مقابل تهدیدها و حملات معمول از شبکه سایبر محافظت می‌کند؟

برای تامین امنیت روی یک شبکه، یکی از بحرانی‌ترین و خطیرترین مراحل تامین امنیت دسترسی و کنترل تجهیزات شبکه است. تجهیزاتی چون مسیریاب، سوئیچ یا فایروال‌ها که هر کدام از آن‌ها در جایگاه خود اهمیت ویژه‌ای دارد. اهمیت امنیت تجهیزات به دو علت بسیار مهم تلقی می‌شود:

الف – عدم وجود امنیت تجهیزات در شبکه به نفوذگران به شبکه اجازه می‌دهد که‌با دست‌یابی به تجهیزات امکان پیکربندی آن‌ها را به گونه‌ای که تمایل دارند آن سخت‌افزارها عمل کنند داشته باشند. از این طریق هرگونه نفوذ و سرقت اطلاعات و یا هر نوع صدمه دیگری به شبکه، توسط نفوذگر امکان‌پذیر خواهد شد.

ب – برای جلوگیری از خطرهای DoS (Denial of Service) تامین امنیت تجهیزات روی شبکه الزامی است. توسط این حمله‌ها نفوذگران می‌توانند سرویس‌هایی را در شبکه از کار بیندازند که از این طریق در برخی موارد امکان دسترسی به اطلاعات با دور زدن هر یک از فرآیندهای AAA فراهم می‌شود.

هر زمان که به اینترنت متصل می‌شوید و پست الکترونیکی ارسال می‌کنید و یا اطلاعات شخصی خود را در یک وب‌سایت ثبت می‌کنید، آدرس اینترتنی(IP) شما در تمام اینترنت منتشر می‌شود و با این آدرس هر شخصی بلافاصله می‌تواند شروع به هک‌ کردن شما کند. این امر می‌تواند مشکلات عدیده‌ای را برای شما به‌وجود آورد که مهم‌ترین آن‌ها شامل به سرقت رفتن شماره کارت اعتباری و اطلاعات شخصی، خوانده‌ شدن پست الکترونیکی، مستقر شدن یک ویروس یا کرم اینترنتی، پاک‌ شدن اطلاعات از روی کامپیوتر و ... شود.

برحسب قوانین موجود اطلاعات اشخاصی که هر مرکز یا سازمانی به آن دسترسی دارند طبقه‌بندی می‌شوند و هر شخص برحسب کار خود به یک سری اطلاعات از پیش تعیین‌ شده دسترسی پیدا می‌کند. حال اگر شخصی سعی به دسترسی به اطلاعات در محدوده‌هایی غیر از محدوده خود کند به این عمل دسترسی غیرمجاز می‌گویند. باید توجه داشته باشیم که هکرها و سارقان اینترنتی از جمله کسانی هستند که معمولا از دسترسی‌های غیرمجاز استفاده می‌کنند. اصطلاح هکر معمولا به کسانی اطلاق می‌شود که از نفوذ به سیستم و دسترسی به اطلاعات قصد بدی نداشته و صرفا جهت اطلاع از وضعیت امنیتی و اعلان خطر به مدیر سیستم دست به این کار می‌زنند و خود از متخصصان شبکه و کامپیوتر هستند. سارقان الکترونیکی نیز در واقع بیشتر سعی در سرقت و دسترسی به اطلاعات و سوءاستفاده از آن دارند. این اطلاعات می‌تواند خانوادگی، تجاری، سیاسی و یا نظامی باشد. بیشتر این اشخاص اقدام به ربودن رمز عبور کارت‌های اعتباری و شماره‌حساب‌های بانکی اشخاص می‌کنند.

این روزها برخی روزنامه‌نگاران سایبر فکر می‌کنند ما با فضاسازی سعی در معرفی اینترنت به مثابه پدیده‌ای ضدامنیتی داریم. مسؤولان سیاست‌گذاری اینترنتی به استراتژی تلفیقی آمریکایی- چینی در حوزه اینترنت معتقد هستند. ایالات متحده در سال 2000 در بیانه استراتژی امنیت ملی در قرن جدید اینترنت را هم به‌عنوان تهدید امنیتی و هم به‌عنوان بزرگ‌ترین فرصت ملی تلقی کرد و چین هم رسما اعلام کرد که به‌دنبال برقراری توازن میان جریان آزاد اطلاعات و صیانت از فرهنگ و ارزش‌های اجتماعی خود است. اگر در اخبار رسانه به جاسوسی سایبر اهمیت داده می‌شود، وجه تهدید امنیتی اینترنت بارز شده است و این به مثابه تهدید نیست.

امنیت شبکه چیست و چگونه تامین می‌شود؟

وقتی بحث امنیت شبکه پیش می‌آید مباحث زیادی قابل طرح و ارایه هستند، موضوعاتی که هر کدام به‌تنهایی می‌توانند جالب، پرمحتوا و قابل درک باشند. اما وقتی صحبت کار عملی به میان می‌آید قضیه پیچیده می‌شود، زیرا ترکیب علم و عمل احتیاج به تجربه دارد و نهایت هدف یک علم هم به‌کار آمدن آن است.

همیشه در امنیت شبکه لایه‌های دفاعی موضوع داغی است که نظرات مختلفی در مورد آن وجود دارد. عده‌ای فایروال را اولین لایه دفاعی می‌دانند، بعضی‌ها Access List را در این زمینه اول می‌دانند و ...، اما واقعیت پنهان این است که هیچ کدام از این‌ها نخستین لایه دفاعی نیستند. اولین لایه دفاعی در امنیت شبکه و حتی امنیت فیزیکیPolicy است. بدون این مقوله لیست کنترل، فایروال و هر لایه دیگر بی‌معنی خواهد شد و اگر بدون policy شروع به ایمن کردن شبکه شود، محصول نتیجه‌ای در پی نخواهد داشت.

برای ایمن کردن شبکه‌ها باید پنج مرحله ما باید پنج مرحله بازرسی،‌حفاظت، ردیابی، واکنش و بازتاب مورد توجه قرار گیرد. در طول مسیر از این پنج مرحله عبور می‌کنیم، ضمن اینکه ایمن‌ کردن شبکه به این شکل احتیاج به تیم امنیتی دارد و یک نفر به‌تنهایی نمی‌تواند این فرآیند را طی کند و اگر هم بتواند‌، مدت‌زمان زیادی طول می‌کشد و قانون حداقل زمان ممکن را نقض می‌کند. باید توجه داشت که امروزه امنیت شبکه یک مسئله مهم برای ادارات و شرکت‌های دولتی و سازمان‌های کوچک و بزرگ است. تهدیدهای پیشرفته از سوی تروریست‌های فضای سایبر، کارمندان ناراضی و هکرها رویکردی سیستماتیک را برای امنیت شبکه می‌طلبد. در بسیاری از صنایع، امنیت به شکل پیشرفته یک انتخاب نیست بلکه یک ضرورت است.

متخصصان امنیت شبکه از اصطلاحی با عنوان ضریب عملکرد(work factor) استفاده می‌کنند که مفهومی مهم در پیاده‌سازی امنیت لایه‌بندی است. ضریب عملکرد به‌عنوان میزان تلاش مورد نیاز توسط یک نفوذگر به‌منظور تحت تاثیر قرار دادن یک یا بیشتر از سیستم‌ها و ابزار امنیتی تعریف می‌شود که باعث رخنه‌ کردن در شبکه خواهد شد. یک شبکه با ضریب عملکرد بالا به سختی مورد دستبرد قرار می‌گیرد، درحالی ‌که یک شبکه با ضریب عملکرد پایین می‌تواند نسبتا به‌راحتی مختل شود. اگر هکرها تشخیص دهند که شبکه شما ضریب عملکرد بالایی دارد، احتمالا شبکه شما را رها می‌کنند و به سراغ شبکه‌هایی با امنیت پایین‌تر می‌روند و این دقیقا همان چیزی است که شما می‌خواهید.

سید میثم لطفی

2 نظر

امنیت اطلاعات با استفاده از بیومتریک

سه شنبه 21 شهریور ماه سال 1385 :: 07:40 AM :: نویسنده : محمدرضا گرامی

هاله عباسی باویل

Email: trinity.scorpio@gmail.com

دانشجوی کارشناسی ناپیوسته مهندسی کامپیوتر_نرم افزار

دانشگاه جامع علمی کاربردی مرکز تراکتورسازی تبریز

چکیده:
امروزه به علت اهمیت روز افزون اطلاعات و تمایل افراد به امنیت بیشتر اطلاعات مخصوصا در Internet، ابزارهای قدیمی مانند استفاده از Password به تنهایی جوابگو و قابل اعتماد نمی باشد، خصوصا با ایجاد تجارت الکترونیک و خرید و فروش اینترنتی مسئله امنیت نه تنها برای شرکتها وبانکها بلکه برای عموم افراد مهم شده است.بنابرین متخصصین به دنبال راه هایی مطمئن تر می گردند یکی از موفق ترین راه های یافته شده استفاده از علم Biometricاست.
در این مقاله در مورد علم Biometric ودلایل ایجاد آن و انواع آن بحث خواهیم کردونقاط ضعف و قدرت آنها را شناسا یی خواهیم کرد و در پایان کارتهای شناسایی بیومتریکBiometric ID Card مورد بحث قرار خواهد گرفت ودر پایان مقاله پیشنهادی در مورد امنیت در انتخابات الکترونیک.
کلید واژه ها:امنیت ، biometric ،انتخابات الکترونیک

مقدمه:
خطوطی که بر روی سرانگشتان همه انسانها نقش بسته از دیر باز مورد توجه همه بوده است،این خطوط نقشهای مختلفی دارند،یکی از این وظایف ایجاد اصطکاک بین سر انگشتان و اشیاء متفاوت است مانند قلم که با استفاده از این اصطکاک می توانیم اشیاء را برداریم ،بنویسیم،یا لمس کنیم.
از سوی دیگر این خطوط برای هر شخص منحصر به فرد است ،از سالها پیش از اثر انگشت افراد در جرم شناسی استفاده می شود،و امروزه در علم بیومتریک نیز از آن استفاده می شود. مانند تمام دیگر اعضاء بدن DNA های هر شخصی الگوی ساخت این خطوط را دارا هستند و در واقع DNA های هرشخص نیز کاملا منحصر به فردند و این قضیه تقریبا در مورد تمام دیگر اعضاء بدن صادق اند. با وجود hacker ها و دزدی های اینترنتی Password ها ابزار قابل اعتمادی نیستند.بیومتریک علم شناسایی افراد از طریق مشخصات انسانی اوست که شامل اثر انگشت،کف دست ،صورت ، امضاء ، دست خط ،اسکن عنبیه و شبکیه ، صدا است. در علم بیومتریک اعضایی از بدن مورد توجه قرار گرفته که استفاده از آنها راحتتر و کم ضرر تر باشد. هر کدام از روشهای مورد استفاده دارای نقاط ضعف و قدرتی هستند که با ترکیب آنها با دیگر روشهای امنیتی می توان ضعفهای موجود را از بین برد.
هیچ فردی نمی خواهد هنگام چک کردن موجودی خود از طریق شبکه های online بانکها متوجه شود که مو جودیش خالی شده ، در بسیاری از موارد به علت معنی دار بو دن Passwordها افرادی که تا حدی ما را می شناسند میتوانند آنها را حدس بزنند و با فهمیدن شماره ما در بانک به راحتی با استفاده از شبکه onlineبانک وارد حساب ما شده موجودی ما را خالی کنند.
با توجه به سرعت رشد قابل توجه تجارت جهانی و اهمیت تجارت نمی توان از سیستمهای قدیمی دستی یا حضوری برای مدت زمان طولانی استفاده کرد، از طرف دیگر استفاده از این روشهای قدیمی با عث اتلاف انرژی و زمان زیاد شده و در مدت زمان طولانی کار کمتری انجام می شود. بنابرین در تجارت ، به موضوع تجارت الکترونیکی نیاز احساس می شود و موضوع بسیار مهمی که امروزه مورد توجه است مسئله امنیت وsecurityاست. Biometric با استفاده از روشهای قابل اعتماد میتواند تا حد زیادی جوابگوی مشکلا تی از این قبیل باشد. علمBiometric نه تنها در مورد تجارت الکترونیک بلکه در موارد بسیار دیگری نیز کاربرد دارد. به عنوان مثال در آزمایشگاهای مهم و حساس یا ورودیها ی ساختمانهایی که در مورد ورود و خروج از آنها حساسیم یا می توانیم از قفلهایی که روی آنها صفحه کلید نصب شده استفاده کنیم و به افراد مورد نظر اسم رمز عبور بدهیم تا هنگام ورود از آن استفاده کرده داخل شوند ولی این روش نیز زیاد قابل اعتماد نیست با لو رفتن کلمه عبور دیگر این کار به درد نخور خواهد شد. ولی زمانیکه از اثر انگشت یا کف دست یا ... برای شناسایی و اجازه ورود استفاده شود دیگر این مسائل ایجاد نخواهد شد. بعد از شرح اهمیت این موضوع به بررسی Biometric می پردازیم.
در تمام مواردی که ذکر خواهد شد ابتدا با استفاده از وسایل مخصوص آن روش معمولا تا 3 بار الگوی اولیه گرفته می شود و بعد از بدست آوردن بهترین الگو ، ذخیره می شود و موقع شناسایی با این الگو مقایسه انجام می گیرد.

در Biometric از مشخصا ت فیزیکی و رفتاری برای شناسایی افراد استفاده میشود، مشخصات فیزیکی مانند:اثر انگشت، اسکن دست ، صورت وچشم که خود به دو دسته اسکن عنبیه و شبکیه تقسیم می شود. مشخصات رفتاری مانند:صدا، امضاء، تایپ.

اثر انگشت:
برای استفاده از اثر انگشت از اسکنرهای مخصوصی استفاده می شود این اسکنرها انواع متفاوتی دارند بعد از اینکه انگشت روی صفحه اسکنر قرار گرفت، بسته به نرم افزار استفاده شده، اثر انگشت اسکن شده و نقاط کلیدی آن تعیین شده و با الگوی اولیه تطبیق داده می شود .البته با توجه به اینکه زمان مقایسه بعد از مدتی که حجم مقایسات زیادشد ،بالا میرود و برای کمتر کردن این زمان، ابتدا نقاطی را به عنوان نقاط کلیدی برای دسته بندی اسکن های موجود استفاده می کنیم و در زمان انطباق از همین کلیدها استفاده کرده و زمان مقایسه را پایین می آوریم. هر چند که تحلیل اثر انگشت بعضی از افراد مانند کارگرانی که کارهای سخت با دستهای خود انجام می دهند یا افراد معتاد مشکل است ولی در کل در بسیاری از موارد از اثر انگشت استفاده های موفقی انجام شده.
امروزه این اسکنرها نه تنها در ادارات پلیس بلکه در روی صفحه کلیدها و حتی موش واره ها وجود دارند و از انها در موارد متفاوتی استفاده میشود ، مثلا میتوان با استفاده از امکانات نرم افزاری کامپیوتر را قفل کنیم و در صورتی سیستم کامپیوتری قفل را باز کند که اثر انگشت شما را روی صفحه اسکنر خود اسکن کند.
در آینده شاید بتوان از اسکن اثر انگشت به جای تایپ Password در چک کردن پست های الکترونیکیمان استفاده کنیم ، یا در تجارت الکترونیک یا تغییر موجودی در بانکهای online از آن استفاده ببریم.

اسکن دست:
برای اسکن سطح کف دست از اسکنرهایی با صفحه اسکنی که برای درست قرار گرفتن دست هنگام اسکن مهره هایی برروی آن قرار گرفته استفاده می شود مانند اثر انگشت اسکنر بعد از اسکن کرئن با توجه به قابلیتهای نرم افزار و سخت افزار استفاده شده مقایسه انجام می شودکه در صورت تطبیق هویت شخص تایید می شود.
جغرافیای کف دست بعد از مدتی با گذشت سال و با بالا رفتن سن تغییر می کند و نیز جراحات نیز باعث عوض شدن شکل کف دست می شود ، بنابرین در استفاده از این روش باید اسکن به دست آمده در مواقع لزوم و نیز بعد از یک دوره زمانی به روز شود و اسکن جدیدی برای شناسایی افراد ایجاد شود. بنابرین استفاده از این روش در مواردی مفید است که به طور مستمر مورد استفاده قرار گیرد و افراد مورد شناسایی با این روش در دسترس باشند. البته این روش به علت اینکه سطح بزرگی را مورد مقایسه قرار می دهند دارای ضریب اطمینان بالایی هستند.

صورت:
اسکن از صورت به طرزی متفاوت از موارد دیگر صورت می گیرد در این روش نمونه بدست آمده باید به صورت 3D باشد برای این منظور از 3 دور بین که نسبت به هم زاویه 90 درجه می سازند یا از یک دوربین متحرک که بصورت یک نیم دایره که مرکز آن صورت شخص مورد نظر قرار گرفته استفاده کرد و به وسیله نرم افزار مر بوطه یک تصویر3D بدست آورد در تصویر بدست آمده نقاط قرار گیری ابروها ، چشمها، بینی، دهان ،چانه و طول چانه و پیشانی همچنین فاصله چشمها و ابرو ها و ... ثبت و سپس با نمونه های ذخیره شده مقایسه می شوند.
این روش به علت استفاده از سخت افزار و نرم افزارهای گران قیمت هزینه زیادی دارد ولی قابلیت اعتماد بالایی دارد. در این روش نیز مانند روش اسکن کف دست نیاز به بروز شدن اطلاعات وجود دارد.

چشم:
اسکن چشم به دو صورت است:
اسکن شبکیه:
در اسکن شبکیه با استفاده از دوربین مخصوص الگوی رگ های خونی اسکن می شود برای این کار از لیزر مادون قرمز کم قدرت استفاده میشود. برای بدست اوردن یک تصویر با کیفیت خوب و متمرکز باید چشمها نزدیک دوربین قرار گیرد و این موضوع و اینکه از اشعه لیزر استفاده می شود باعث شده افراد زیادی به این روش علاقه نشان ندهند. درضمن بر خلاف تصور اینکه شبکیه تغییر نمی کند تحقیقات پزشکی نشان داده که برخی از بیماریها روی شبکیه تاثیر می گذارند و آن را تغییر می دهند.

اسکن عنبیه:
در اسکن عنبیه دوربین مخصوص رگه های عنبیه را اسکن میکند وبا توجه به اینکه تعدادی زیادی از ویژگیها مورد اسکن و مقایسه قرار می گیرند روش مطمئنی ایجاد میشود، در ضمن این روش با لنز ها و عینک ها نیز تطبیق داده شده ونیز مشکل نز دیک بودن دوربین به چشم نیز حل شده و کاربر باید چشم خود را در فاصله حدوداً 30 سانتی متری از دوربین قرار دهد .

امضاء:
برای ثبت امضا از یک اسکنر بخصوص استفاده می شود ، این اسکنر نه تنها شکل امضاء را اسکن می کند بلکه طرز امضاء کردن را هم می سنجد، به این مفهوم که مناطقی را که قلم را فشار دادید یا تند حرکت دادید ویا برعکس مناطقی از امضا را که خط نازک کشیده اید یا با دقت و آرامش بیشتری کشیده اید را ثبت و مقایسه می کند و با استفاده از این روش جعل امضاء غیر ممکن می شود. البته این روش بهتر است که در مواردی استفاده شود که افراد زیاد از امضاء خود استفاده می کنند در غیر این صورت این روش نیز احنیاج به به روز شدن پیدا می کند. از این روش در امضا کرئن قرار داد های مهم که در فواصل دور انحام می گیرد و همچنین در بانکها میتوان استفاده کرد.

صدا:
ضبط صدا از طریق یک دستگاه ضبط کننده صدا انجام می گیرد و سپس با سخت افزار و نرم افزار مربوطه مورد تحلیل قرار می گیرد با توجه به امکانات در دسترس میتوان مکث ها و بالا و پایین رفتن تون صدا را به صورت یک الگوی صوتی در اورد و با الگوهای ذخیره شده مورد مقایسه قرار داد. نمونه وسایل ساخته شده از این روش قفل در است که با چک کردن صدا و کلمه گفته شده ومعنی جمله ساخته شده کار می کند. به این صورت که کلمه ای یا جمله ای از قبل تعیین شده و به کاربر گفته می شود.

الگوی تایپ:
شاید این کمی عجیب به نظر برسد ولی الگوی تایپ افراد نیز کاملا با دیگران متفاوت است، در این مورد نیز جمله ای در نظر گرفته می شود و کاربر جمله را در شرایط یکسان با نمونه اولیه تایپ می کند و مقایسه صورت می گیرد، در این نوع نیز تفاوت زمانی ما بین تایپ کلمات ، سرعت تایپ و ... تعیین شده با الگوهای قبلی مقایسه می شود. این روش نیز نیاز به به روز شدن و استفاده مستمر دارد در غیر این صورت مثمر ثمر نخواهد بود.

کارتهای شناسایی بیومتریک:
کارتهای شناسایی بیومتریک یا Biometric ID Cards ترکیبی از کارتهای شناساشی معمولی و یک یا چند مشخصه بیومتریک هستند. این کارتها کاملا مورد اعتماد هستند و تقلب در آنها و سوء استفاده از آنها تقریبا غیر ممکن است. این کارتها شامل نوع کارت ،مانند :کارت رانندگی ، کارت ماشین و... هستند و سپس مشخصات دارنده کارت مانند :نام ، نام خانوادگی و ... ویک عکس مربوط به دارنده کارت تمام مشخصا ت بعد از ورود به همراه اسکن عکس و تعیین پیکسلهاِی عکس با توجه به یک الگوی مخصوص رمز گذاری که برای آن سازمان در نظر گرفته شده رمز گذاری شده و در قسمت زیر عکس به صورت کد (bar code) ذخیره می شود، سپس هنگام تشخیص عکس و تمام مشخصات ثبت شده برروی کارت خوانده شده و به وسیله الگوی رمز گذاری برای آن سازمان رمز گذاری میشود و سپس bar code بوسیله دستگاه خوانده شده و رمز حاصل از آن با رمز بدست آمده از رمز گذاری مقایسه میشود و در صورت تطبیق هویت فرد تایید می شود.
در این روش چون هم رمز و هم مشخصات بر روی کارت ثبت می شود دیگر نیازی به اطلاعات حجیم نمی باشد و فقط الگوهای رمز گذاری باید مشخص باشد و این در مقایسه با حجم بسیار زیاد الگوهای ذخیره شده ناچیز است.
اگر در این کارتها یک مشخصه بیومتریک نیز مانند اثر انگشت ثبت شود نه تنها از قانونی بودن کارت اطمینان حاصل می شود بلکه از اینکه کارت به شخص تعلق دارد نیز می توان مطمئن شد.

نتیجه:
Biometric روشهای قابل اطمینان و غیر قابل جعل یا کپی برداری را ارائه می دهد ، مخصوصا در مواردی که اطلاعات حیاتی است مانند اطلاعات تجاری مربوط به یک شرکت ویا حسابهای بانکی این روشها بسیار موفق است .
بعضی از روشهای گفته شده امروزه مورد توجه بسیاری از سازمانهاست، به عنوان مثال امروزه در بعضی ادارات و ساختمانها از چک کردن اثر انگشت به همراه شماره پرسونلی برای ثبت ساعات ورود و خروج کارمندان استفاده می شود.از این روشها می توان در انتخابات الکترونیک نیز بهره جست.

منابع:

Web site: www.howstuffwork.com
Fingerprint basics

Website: www.opticsreport.com
http://www.opticsreport.com/content/article.php?article_id=1014&page=1

Website: www.wisegeek.com
What is Biometric Face Recognition

Website: www.sciencenews.org
Website: www.ircert.com

0 نظر

ارائه یک الگوی امنیتی برای شبکه های کامپیوتری(۱)

پنجشنبه 9 شهریور ماه سال 1385 :: 07:45 AM :: نویسنده : محمدرضا گرامی

1-     مقدمه:
در شبکه کامپیوتری برای کاهش پیچیدگی های پیاده سازی، آن را مدل سازی میکنند که از جمله میتوان به مدل هفت لایه OSI و مدل چهار لایه TCP/IP اشاره نمود. در این مدلها، شبکه لایه بندی شده و هر لایه با استفاده از پروتکلهای خاصی به ارائه خدمات مشخصی میپردازد. مدل چهار لایه TCP/IP نسبت به OSI محبوبیت بیشتری پیدا کرده است ولی علیرغم این محبوبیت دارای نقاط ضعف و اشکالات امنیتی است که باید راهکارهای مناسبی برای آنها ارائه شود تا نفوذگران نتوانند به منابع شبکه دسترسی پیدا کرده و یا اینکه اطلاعات را بربایند. [1]
شناسائی لایه های مدل TCP/IP، وظایف، پروتکلها و نقاط ضعف و راهکارهای امنیتی لایه ها در تعیین سیاست امنیتی مفید است اما نکته ای که مطرح است اینست که تنوع شبکه های کامپیوتری از نظر معماری، منابع، خدمات، کاربران و مواردی از این دست، ایجاد سیاست امنیتی واحدی را برای شبکه ها غیرممکن ساخته و پیشرفت فناوری نیز به این موضوع دامن میزند و با تغییر داده ها و تجهیزات نفوذگری، راهکارها و تجهیزات مقابله با نفوذ نیز باید تغییر کند.

2-     مروری بر مدل TCP/IP:
این مدل مستقل از سخت افزار است و از 4 لایه زیر تشکیل شده است [2]:
1-    لایه میزبان به شبکه:
دراین لایه رشته ای از بیتها بر روی کانال های انتقال رد و بدل می شوند و از تجهیزاتی مانند HUB,MAU,Bridge و Switch برای انتقال داده در سطح شبکه استفاده میشود.
2-    لایه اینترنت یا شبکه (IP):
وظیفه این لایه هدایت بسته های اطلاعاتی ( IP-Packet) روی شبکه از مبدا به مقصد است. مسیریابی و تحویل بسته ها توسط چند پروتکل صورت می گیرد که مهمترین آنها پروتکل IP است. از پروتکلهای دیگر این لایه میتوان ARP,RIP,ICMP,IGMP را نام برد. مسیریاب ( ROUTER ) در این لایه استفاده میشود.
3-    لایه انتقال (TCP):
برقراری ارتباط بین ماشینها بعهده این لایه است که میتواند مبتنی بر ارتباط اتصال گرای TCP یا ارتباط غیر متصل UDP باشد. داده هایی که به این لایه تحویل داده می شوند توسط برنامه کاربردی با صدازدن توابع سیستمی تعریف شده در واسط برنامه های کاربردی (API) ارسال و دریافت میشوند. دروازه های انتقال در این لایه کار میکنند.
4-    لایه کاربرد:
این لایه شامل پروتکل های سطح بالائی مانند HTTP,SMTP,TFTP,FTP,Telnet است.در این لایه دروازه کاربرد دیده میشود.

3-     تهدیدات علیه امنیت شبکه:
تهدیدات و حملات علیه امنیت شبکه از جنبه های مختلف قابل بررسی هستند. از یک دیدگاه حملات به دو دسته فعال و غیر فعال تقسیم می شوند و از دیدگاه دیگر مخرب و غیر مخرب و از جنبه دیگر میتوان براساس عامل این حملات آنهارا تقسیم بندی نمود. بهرحال حملات رایج در شبکه ها بصورت ذیل میباشند [11]:
1-    حمله جلوگیری از سرویس (DOS):
در این نوع حمله، کاربر دیگر نمیتواند از منابع و اطلاعات و ارتباطات استفاده کند. این حمله از نوع فعال است و میتواند توسط کاربر داخلی و یا خارجی صورت گیرد.
2-    استراق سمع:
در این نوع حمله، مهاجم بدون اطلاع طرفین تبادل داده، اطلاعات و پیامها را شنود می کند. این حمله غیرفعال است و میتواند توسط کاربر داخلی و یا خارجی صورت گیرد.
3-    تحلیل ترافیک:
در این نوع حمله مهاجم براساس یکسری بسته های اطلاعاتی ترافیک شبکه را تحلیل کرده و اطلاعات ارزشمندی را کسب میکند. این حمله یک نوع حمله غیر فعال است و اکثرا توسط کاربران خارجی صورت می گیرد.
4-    دستکاری پیامها و داده ها:
این حمله یک حمله فعال است که در آن مهاجم جامعیت و صحت اطلاعات را با تغییرات غیر مجاز بهم می زند و معمولا توسط کاربر خارجی صورت می گیرد.
5-    جعل هویت:
یک نوع حمله فعال است که در آن مهاجم هویت یک فرد مجاز شبکه را جعل می کند و توسط کاربران خارجی صورت میگیرد.

4-     راهکارهای امنیتی:
در این بخش سرویس ها، مکانیزم ها و تجهیزات امنیتی نام برده میشود.
سرویس های امنیتی عبارتند از [3]:
1-    حفظ محرمانگی: یعنی کاربران خاصی از داده بتوانند استفاده کنند.
2-    حفظ جامعیت داده: یعنی داده ها بدرستی در مقصد دریافت شوند.
3-    احراز هویت: یعنی گیرنده از هویت فرستنده آگاه شود.
4-    کنترل دستیابی مجاز: یعنی فقط کاربران مجاز بتوانند به داده ها دستیابی داشته باشند.
5-    عدم انکار: یعنی فرستنده نتواند ارسال پیام توسط خودش را انکار کند.
مکانیزم های امنیتی عبارتند از :
1-    رمز نگاری که در آن با استفاده از کلید خصوصی یا عمومی و با استفاده از الگوریتم های پیچیده پیام بصورت رمز درآمده و در مقصد رمزگشایی می شود.
2-    امضاء دیجیتال که برای احراز هویت بکار می رود.
تجهیزات امنیتی عبارتند از [10]:
1 - فایروال: امکاناتی است که میتواند بصورت سخت افزاری یا نرم افزاری در لبه های شبکه قرار گیرد و سرویس های کنترل دستیابی ، ثبت رویداد ، احراز هویت و ... را انجام دهد.
2- VPN بهره مندی از شبکه عمومی برای اتصال دو یا چند شبکه خصوصی است .
3- IDS   : سیستم تشخیص نفوذ است که در لایه بعد از فایروال می تواند امنیت را تقویت کند و نفوذ مهاجمین رابر اساس تحلیل های خاص تشخیص می دهد.
4- IPS : سیستم جلوگیری از نفوذ است که پس از تشخیص نفوذ می تواند به ارتباطات غیرمجاز ومشکوک بصورت یکطرفه پایان دهد.
5- AntiVirus : که می تواند با تشخیص محتوای فایل، فایل های آلوده را بلوکه کند.
6- Vulnerability Scan : امکانات نرم افزاری است برای تشخیص آسیب پذیری شبکه.
7- Logserver & Analysis: امکاناتی است که برای ثبت و کنترل رویدادها مورد استفاده قرار می گیرد.
8- سرورهای AAA: برای احراز هویت، کنترل و نظارت بر دسترسی کاربران داخلی و خارجی استفاده می شوند.
البته بغیر از تجهیزات فوق الذکر،با استفاده از مسیریابها و سوئیچ های مدیریت پذیر می توان امنیت در مسیر تبادل را نیز تا حد زیادی تامین نمود.
  در ادامه حملات، سرویس ها و مکانیزم ها و تجهیزات امنیتی در لایه های مختلف در قالب جداول 1-2-3-4 با یکدیگر مقایسه می شوند و همانطور که در جداول مذکور نشان داده شده است می توان نتیجه گرفت که بیشترین حملات به ترتیب در لایه IP,TCP ، کاربرد و میزبان به شبکه است و سرویس ها و مکانیزم ها بیشتر در لایه IP به چشم می خورد و تجهیزات امنیتی با بهره گیری از مکانیزم های مختلف بیشتر در لایه IP , TCP   و کاربرد ، کاربری دارند .
در جدول 5تجهیزات امنیتی از نظر پارامترهای مختلف با یکدیگر مقایسه می شوند و مورد ارزیابی قرار می گیرند، استفاده از تجهیزات سخت افزاری نظیر فایروال، سوئیچ ها و مسیریابهای مدیریت پذیر، گران است و هزینه پشتیبانی آنها نیز بالاست و از پیچیدگی نسبتا بالایی برخوردارند. در تجهیزات نرم افزاری نیز هزینه پشتیبانی بدلیل لزوم Update مرتب ، بالا است ولی هزینه استقرار و پیچیدگی پائین است.

جدول 1. مقایسه تهدیدات امنیتی در لایه های چهارگانه TCP/IP

لایه تهدید	Host to Network	IP	TCP	Application
Trojan,Virus,Worm
SQL-Injection
TCP/IP Spoofing
Session Hijacking
Port Scan
Physical Attacks
Phishing
Password Attacks
Packet Sniffing
Dos/DDos Attacks
Network Layer Attacks
Application Layer Attacks
Buffer Over Flow Attacks
Replay
Traffic Analysis
Message Modification

جدول 2. اهراف امنیتی در منابع شبکه

منابع اهداف	شبکه				کاربران شبکه
منابع اهداف	سخت افزارها	نرم افزارها	اطلاعات	ارتباطات	کاربران شبکه
محرمانگی
صحت
قابلیت دسترسی
محافظت فیزیکی
تشخیص هویت
صدور اختیارات
حریم خصوصی
آگاهی رسانی امنیتی

جدول 3. سرویس های امنیتی در لایه های مختلف TCP/IP

لایه سرویس	Host to Network	IP	TCP	Application
محرمانگی
تایید هویت
رد انکار
کنترل جامعیت و صحت

جدول 4. مکانیزم های امنیتی مربوط به لایه های مختلف TCP/IP

لایه مکانیزم	Host to Network	IP	TCP	Application
رمزنگاری
امضائ دیجیتال
کنترل دستیابی
درستی و صحت داده
کنترل مسیریابی
رد انکار ( سندیت )

جدول 5. مقایسه تجهیزات امنیتی در لایه های چهارگانه TCP/IP

لایه تجهیزات امنیتی	Host to Network	IP	TCP	Application
حفاظت فیزیکی
رمزنگاری
IP Sec
SSL
Firewall
AntiVirus
AAA Server
VPN
PGP
IDS/IPS

0 نظر

معماری اطلاعات

چهارشنبه 8 شهریور ماه سال 1385 :: 09:46 AM :: نویسنده : محمدرضا گرامی

معماری اطلاعات در سالهای اخیر به عنوان واژه ای تازه در طراحی وب راه یافته است.هنوز هم متخصصین در ارائه تعریفی واحد از "معماری اطلاعات" مشکل دارند.مثل دو واژه" رده بندی "(Taxonomy)و "ابرداده" (Meta Data)که درسخنرانی ها و مکالمات راه یافته ولی استفاده کنندگان از این واژه ها تعریف جامع و مشترکی از آن ارائه ندادند.
به احتمال قریب به یقین، واژه معماری اطلاعات اولین بار در سال 1994توسط جوزف جین(Joseph Janes) و لویس روزنفلد (Louis Rosenfeld)،مدیران شرکت Argus Associates، که در دانشکده کتابداری و اطلاع رسانی دانشگاه میشیگان بودند،استفاده شد.
زمینه کاری این شرکت، Argus Associates، اینترنت و توسعه وب بود،که از استعاره معماری اطلاعات به خاطر مهم جلوه دادن ساختار و سازمان،در طراحی وب،در چشم مشتریان ،برای اولین بار استفاده کرد.
مجله Web Review برای اولین بار یک ستون با عنوان معماری وب که توسط روزنفلد نوشته شده بود ،راچاپ کرد و پتر مورویل( Peter Morrville) که دانشجوی دانشگاه میشیگان و کارمند شرکت Argus Associates بود،آن را دنبال کرد.
در سال 1996 ریچارد سوال ورمن (Richard Saul Wurman)یک کتاب تحت عنوان "معماری اطلاعات " که در آن ادعا کرد که واژه معماری اطلاعات در سال 1975 توسط خود وی به کار برده شد،را منتشر کرد.
نگرش وی در این کتاب به معماری اطلاعات از منظر طراحی اطلاعات بود در حالیکه روزنفلد و مورویل معماری اطلاعات را از جنبه کتابداری و اطلاع رسانی بررسی می کردند.بسیاری از متخصصین اطلاع رسانی تاریخ "معماری اطلاعات " را انتشار "کتاب خرس قطبی " در سال 1998 می دانند.
تا این زمان Argus Associates،شهرت قابل ملاحظه ای در معماری اطلاعات کسب کرد ورزنفلد و مورویل با انتشارات OReilly برای انتشار کتابی که بعدا "معماری اطلاعات وب " نام گرفت به مذاکره پرداختند. ویرایش دوم این کتاب در سال 2002 منتشر شد.تمام کتابهای انتشارات OReilly جلد های متمایزی دارند که روی هرکدام از این کتابها عکس حیوان بخصوصی را آورده اند.و روی کتاب معماری اطلاعات عکس "خرس سفید قطبی " آورده شده است.
در سال 2000 انجمن اطلاعات و فناوری آمریکا کنگره های پی در پی در مورد معماری اطلاعات برگزار کرد ،که این کنگره ها عاملی شتاب دهنده در روشن شدن مفهوم معماری اطلاعات داشت.شرکت تجاری- اینترنتی Argus Associates در سال 2001 ورشکسته شد.
ولی از آن پس معماری اطلاعات به یک واژه عمومی و شایع در طراحی وب تبدیل شد،و در سال 2002 تعدادی کتاب که افقهای نوینی را در این گرایش نو ظهور در بر می گرفت،منتشر شد.
آیا اکنون تعریف پذیرفته و قابل قبولی از "معماری اطلاعات "وجود دارد؟
در ویرایش دوم از کتاب ساختار معماری اطلاعات وب نوشته روزنفلد و مورویل تعاریف زیر ارائه شده است:
● ترکیبی از مدلهای سازماندهی ،طبقه بندی و پیمایش اطلاعات در سیستمهای اطلاعاتی
● طراحی ساختاری یک سیتم اطلاعاتی جهت تسهیل دسترسی مستقیم به محتوا
● هنر وعلم سازماندهی و طبقه بندی وب سایتها و شبکه های اینترانت برای کمک به کاربران جهت یافتن و مدیریت اطلاعات
● یک رشته و یک سری تجربیات تازه با تاکید بر اصول طراحی و معماری برای چشم اندز دیجیتال

یک تعریف جامع و پذیرفته شده از "معماری اطلاعات" وجود ندارد واین چیز خوبی در این مرحله از توسعه می باشد.درست مثل واژه اطلاع رسانی تاریخ آن به حدود 1950 بر می گردد ولی هنوز تعریف جامع و قابل قبولی از آن وجود ندارد.
یک جنبه دیگر از معماری اطلاعات توسط روگرایوردن در کتاب اطلاعات اولین(Butterworth-Heinemann,2003 ) است که چنین بیان کرده است:"یک سری اصول اساسی برای توصیف نظریه،چهارچوب،خط مشی ها، استانداردهای توافقی و عواملی برای مدیریت اطلاعات به عنوان یک منبع"
دلایلی که رزنفلد و مورویل برای اهمیت و کارآمدی معماری اطلاعات داشتند شامل موارد زیر می باشد:
● هزینه یافتن اطلاعات
● هزینه پیدا نکردن اطلاعات
● هزینه ساختار
● هزینه نگهداری و
● هزینه آموزش

پتر مورویل مفهوم "قابلیت یافتن" (findability)را به عنوان ترکیبی از پیمایش و جستجو به منظور فراهم آوری و دسترسی کارآمد و موثر به اطلاعات ارتقا داد.
هم اکنون علاقه وکشش های زیادی به موضوع مدیریت محتوا بین متخصصین وجود دارد، روزنفلد و مورویل در مورد رابطه مدیریت محتوا و معماری اطلاعات در کتاب شان اظهار داشتند که:
معماری اطلاعات و مدیریت محتوا در واقع دو روی یک سکه هستند.معماری اطلاعات یک نگرش فضایی از یک سیستم اطلاعاتی ارائه می دهد،در حالیکه مدیریت محتوا توصیف یک نگرش کنونی با نشان دادن جریان اطلاعات در داخل،پیرامون،و خارج از سیستم اطلاعاتی ارائه می دهد.همچنین خود را معمار اطلاعات قلمداد می کنند،در حقیقت پیش از سال 2004 House of Parliament در یکی از صفحات گرانقیمت Sunday Times یک آگهی تبلیغاتی در مورد معماری اطلاعات ارائه داد، که در این آگهی تبلیغاتی استفاده از معماری اطلاعات توسط متخصصین با تجربه آمده بود.
گمان می رود که معماری اطلاعات مثل اطلاع رسانی مجموعه ای از ابزارها و روشهاست که توسط متخصصین در اندازه ای وسیع برای حل مشکلات مدیریت اطلاعات استفاده می شود.در ایلات متحده آمریکا معماری اطلاعات توسط انجمن اطلاع رسانی آمریکا ارتقا داده شده و توسط اسلیمور (Asilmor Institute( www.aifia.org نیز حمایت می شود.واین موسسه در تلاش است که فعالیت های خود را در حد بین المللی گسترش دهد و عضو گیری کند.
در اروپا معماری اطلاعات امروزه عناوین کارگاهها و کنفرانسهای زیادی را به خود اختصاص داده است.نشست معماری اطلاعات در کنفرانس اطلاعات پیوسته لندن در دسامبر 2003 با حضور شرکت کنندگان زیادی برگزار شد،همچنین یک کنفرانس در فوریه 2004 با شرکت 150 برگزار،کاربران پیوسته انگلیسی نیز یک سمینار در مارس و Information Today یک سمینار در ژوئن 2004 در پاریس برگزار کردند.(www.infotoday.com/iaparis)
حال ضرورت یک مجله تخصصی معماری اطلاعات حس می شود!
در حال حاضر با جستجوی کلید واژه معماری اطلاعات بالاتر از 600000 رکورد که این عبارت را به کار برده اند پیدا می شود.این آمار بسیار جالب است چون اگر محتوای این 600000 صفحه علمی هم نباشد،این حجم علاقه زیاد افراد به این موضوع را نشان می دهد. و بدون شک این اصطلاح به زودی در نزدیکی شما نیز ظاهر خواهد شد.
نویسنده:مارتین وایت( Martin White)
مترجم:احسان محمدی

کارشناس واحد اطلاع رسانی کتابخانه مرکزی دانشگاه شهید بهشتی

2 نظر

<< 1 2 3 4

موضوعات

پیوندها

لوگو

آمار وبلاگ

تعداد بازدیدکنندگان: 2440958