رپورتاژ آگهی
اصل امنیت سیستم اطلاعات چیست؟
امنیت سیستم اطلاعات یا INFOSEC به فرآیند ارائه حفاظت از رایانه ها، شبکه ها و داده های مرتبط اشاره دارد. با ظهور فناوری، هرچه اطلاعات بیشتر در شبکه های گسترده ذخیره شود، محافظت از آن در برابر موارد غیرمجاز که ممکن است از آن سوء استفاده کنند بسیار مهم تر می شود. هر سازمانی دارای مجموعه داده هایی است که حاوی اطلاعات محرمانه در مورد فعالیت های آن است.
اصل امنیت سیستم اطلاعات
دلیل اصلی تامین امنیت سیستم های اطلاعاتی نه تنها یک بار بلکه سه مورد است:
۱٫ محرمانه بودن
۲٫ صداقت
۳٫ در دسترس بودن
این لایهها با هم مثلث سیا را تشکیل میدهند که اتفاقاً به عنوان اصلیترین ضرورت تأمین امنیت سیستم اطلاعاتی شناخته میشود. این سه سطح اصل امنیت سیستم اطلاعاتی را توجیه می کنند.
بگذارید یکی یکی از همین موارد عبور کنیم:
محرمانه بودن
ماهیت اصلی این ویژگی در این واقعیت نهفته است که فقط پرسنل مجاز باید اجازه دسترسی به داده ها و سیستم را داشته باشند. افراد غیر مجاز باید از اطلاعات دور نگه داشته شوند. این با بررسی مجوز هر فردی که سعی در دسترسی به پایگاه داده را دارد تضمین می شود. برای مثال مدیریت یک سازمان نباید اجازه دسترسی به اطلاعات خصوصی کارکنان را داشته باشد.
تمامیت
یکپارچگی زمانی تضمین می شود که داده های ارائه شده دست نخورده باشند یا بهتر بگوییم توسط هیچ قدرت غیرمجاز تغییر داده نشده باشند. بنابراین اطلاعات را می توان با چشمان بسته ارجاع داد. یکپارچگی اطلاعات را می توان به روش های غیرعمدی یا عمدی تغییر داد. به طور عمدی، اطلاعات می تواند از طریق محتوای مخرب توسط هر فردی منتقل شود. در عوض، ناخواسته، هر فرد مجاز ممکن است خودش اطلاعات را مختل کند، به عنوان مثال، ممکن است هر بخش مهم خاصی از اطلاعات را حذف کند.
دسترسی
این ویژگی به این معنی است که اطلاعات می تواند توسط هر پرسنل مجاز در یک بازه زمانی مشخص قابل دسترسی و اصلاح باشد. نکته ای که در اینجا باید به آن اشاره کرد این است که دسترسی به اطلاعات محدود است. چارچوب زمانی که در آن می توان به آن دسترسی داشت برای هر سازمان متفاوت است.
تعادل امنیت اطلاعات و دسترسی
این تنها هدف سازمان حفاظت از منافع کاربران و ارائه مقدار مناسب اطلاعات در صورت لزوم است. همچنین، در عین حال، لازم است امنیت کافی برای اطلاعات فراهم شود تا کسی نتواند به آن دسترسی داشته باشد. نیاز به حفظ تعادل کامل امنیت اطلاعات و دسترسی از این واقعیت ناشی می شود که امنیت اطلاعات هرگز نمی تواند مطلق باشد.
ارائه دسترسی رایگان به یک اطلاعات مضر خواهد بود و محدود کردن هر گونه دسترسی دشوار خواهد بود. بنابراین، باید اطمینان حاصل شود که تعادل دقیق مورد نیاز حفظ می شود تا هم کاربران و هم متخصصان امنیتی راضی باشند.
ابزارهای امنیت اطلاعات
ابزارهای مختلفی وجود دارد که سازمان های مختلف می توانند از آنها استفاده کنند تا حداکثر امنیت سیستم اطلاعاتی را تضمین کنند. با این حال، این ابزارها امنیت مطلق را تضمین نمی کنند، اما همانطور که در بالا گفته شد، به شکل گیری تعادل حیاتی دسترسی و امنیت اطلاعات کمک می کنند.
احراز هویت
این مهمترین ابزاری است که باید قبل از شروع فرآیند حیاتی تضمین امنیت در نظر داشت. فرآیند احراز هویت زمانی است که سیستم فردی را با یک یا چند عامل شناسایی می کند. این عوامل باید برای اکثر کاربران منحصر به فرد باشد. به عنوان مثال، ترکیبات شناسه و رمز عبور، تشخیص چهره، نمایش انگشت شست و غیره. همیشه نمی توان به این عوامل اعتماد کرد زیرا ممکن است فرد آنها را گم کند یا ممکن است توسط افراد خارجی قابل دسترسی باشد. برای این شرایط می توان از مجوز چند عاملی استفاده کرد که با ترکیب هر دو یا چند عامل فوق انجام می شود.
کنترل دسترسی
پس از اطمینان از اینکه فرد مناسب به اطلاعات دسترسی دارد، باید مطمئن شود که فقط اطلاعات مناسب به او می رسد. با استفاده از ابزار کنترل دسترسی، سیستم قضاوت می کند که کدام کاربر باید قادر به بازخوانی یا نوشتن یا تغییر بخشی از اطلاعات باشد. برای این کار به طور کلی فهرستی از تمام کاربران را حفظ می کند.
می توان دو نوع لیست را پیدا کرد:
لیست کنترل دسترسی (ACL)
این فقط لیست افرادی است که واجد شرایط دسترسی به اطلاعات هستند
فهرست کنترل دسترسی مبتنی بر نقش (RBAC)
این فهرست شامل اسامی پرسنل مجاز و اقدامات مربوطه آنها است که مجاز به انجام آنها بر روی اطلاعات هستند.
رمزگذاری
گاهی اوقات اطلاعات از طریق اینترنت منتقل میشود، بنابراین خطر دسترسی هر کسی به آن افزایش مییابد و اکنون باید ابزارها برای جلوگیری از آن قوی باشند. در این سناریو، هر کسی می تواند به راحتی به اطلاعات دسترسی داشته باشد و آن را تغییر دهد. برای جلوگیری از این امر، ابزار جدیدی به نام Encryption به کار گرفته شده است. با استفاده از رمزگذاری، می توان اطلاعات محرمانه را در بیت هایی از کاراکترهای غیرقابل خواندن قرار داد که رمزگشایی آنها دشوار است و فقط گیرندگان مجاز اطلاعات می توانند آن را به راحتی بخوانند.
منبع: pishgamrayaneh