پیشگفتار
مفهوم امنیت در دنیای واقعی مفهومی حیاتی و کاملاً شناخته شده برای بشر بوده و هست. در دوران ماقبل تاریخ، امنیت مفهومی کاملاً فیزیکی را شامل می شد که عبارت بود از اصول حفظ بقا نظیر امنیت در برابر حمله دیگران یا حیوانات و نیز امنیت تامین غذا. بتدریج نیازهای دیگری چون امنیت در برابر حوادث طبیعی یا بیماریها و در اختیار داشتن مکانی برای زندگی و استراحت بدون مواجهه با خطر به نیازهای پیشین بشر افزوده شد. با پیشرفت تمدن و شکل گیری جوامع، محدوده امنیت ابعاد بسیار گسترده تری یافت و با تفکیک حوزه اموال و حقوق شخصی افراد از یکدیگر و از اموال عمومی، و همچنین تعریف قلمروهای ملی و بین المللی، بتدریج مفاهیم وسیعی مانند حریم خصوصی، امنیت اجتماعی، امنیت مالی، امنیت سیاسی، امنیت ملی و امنیت اقتصادی را نیز شامل گردید. این مفاهیم گرچه دیگر کاملاً محدود به نیازهای فیزیکی بشر نمی شدند، ولی عمدتاً تحقق و دستیبابی به آنها مستلزم وجود و یا استفاده از محیط های واقعی و فیزیکی بود.
لیکن جهان در دهه های اخیر و بویژه در پنج سال گذشته عرصه تحولات چشمیگری بوده که بسیاری ا زمناسبات و معادلات پیشین را بطور اساسی دستخوش تغیر نموده است. این تحولات که با محوریت کاربری وسیع از فناوری اطلاعات و ارتباطات امکانپذیر شده، از کاربرد رایانه به عنوان ابزار خودکارسازی (AUTOMATION) و افزایش بهره وری آغاز گردیده و اکنون با تکامل کاربری آن در ایجاد فضای هم افزایی مشارکتی (COLLABORATION) ، عملاً زندگی فردی و اجتماعی بشر را دگرگون ساخته است. به باور بسیاری از صاحب نظران همانگونه که پیدایش خط و کتابت آنچنان تاثیر شگرفی بر سرنوشت انسان برجای گذاشته که مورخین را بر آن داشته تا داستان زندگی بشر بر این کره خاکی را به دوران ماقبل تاریخ تقسیم نمایند، ورود به فضای مجازی حاصل از فناوری نوین اطلاعات و ارتباطات نیز دوره جدیدی از تمدن بشری را رقم زده، به نحوی که انقلاب عصر اطلاعات شیوه اندیشه، تولید، مصرف، تجارت، مدیریت، ارتباط، جنگ و حتی دینداری و عشق ورزی را دگرگون ساخته است.
این تحول بزرگ الزامات و تبعات فراوانی را به همراه داشته که از مهمترین آنها بوجود آمدن مفاهیم نوین امنیت مجازی یا امنیت در فضای سایبر می باشد. با تغییری که در اطلاق عبارت شبکه رایانه ای از یک شبکه کوچک کار گروهی به شبکه ای گسترده و جهانی (اینترنت) واقع گردیده، و با توجه به رشد روز افزون تعاملات و تبادلاتی که روی شبکه های رایانه ای صورت می پذیرد، نیاز به نظام های حفاظت و امنیت الکترونیکی جهت ضمانت مبادلات و ایجاد تعهد قانونی برای طرفهای دخیل در مبادله بسیار حیاتی است. نظام هایی مشتمل بر قوانین ،روشهای، استانداردها و ابزارهایی که حتی از عقود متداول و روشهای سنتی تعهدآورتر بوده و ضمناً امنیت و خصوصی بودن اطلاعات حساس مبادله شده را بیش از پیش تضمین نمایند.
امنیت اطلاعات در محیط های مجازی همواره بعنوان یکی از زیرساختها و الزامات اساسی در کاربری توسعه ای و فراگیر از ICT مورد تاکید قرار گرفته است. گرچه امنیت مطلق چه در محیط واقعی و چه در فضای مجازی دست نیافتنی است، ولی ایجاد سطحی از امنیت که به اندازه کافی و متناسب با نیازها و سرمایه گذاری انجام شده باشد تقریباً در تمامی شرایط محیطی امکانپذیر است. تنها با فراهم بودن چنین سطح مطلوبی است که اشخاص حقیقی، سازمانها، شرکتهای خصوصی و ارگانهای دولتی ضمن اعتماد و اطمنیان به طرفهای گوناگونی که همگی در یک تبادل الکترونیکی دخیل هستند و احتمالاً هیچگاه یکدیگر را ندیده و نمی شناسند، نقش مورد انتظار خود بعنوان گره ای موثر از این شبکه متعامل و هم افزا را ایفا خواهند نمود.
خلاصه اجرایی
راهنمای امنیت فناروی اطلاعات، راهنمایی کاربردی جهت فهم و اجرای گامهای دستیابی به امنیت در کاربردهای حوزه فناوری اطلاعات در منزل و محل کار شما است. گرچه این پروژه بهترین و نوین ترین راهکارها را در زمینه فناوری اطلاعات ارائه می دهد، اما در اصل بری خوانندگان کشورهای در حال توسعه نوشته شده است. این پروژه علاوه بر ارائه خلاصه ای از تهدیدات فیزیکی و الکترونیکی موجود در حوزه امنیت فناوری اطلاعات، به راهکارهای مدیریتی ، محیط های ضابطه مند و الگوهای مشارکت سازماندهی همکار می پردازد که در حال حاضر در بازارهای، دولتهای، موسسات حرفه ای و سازمانهای بین المللی وجود دارند.
سازگارسازی فناوری اطلاعات و ارتباطات در حال افزایش است
این پروژه در ابتدا مروری بر رشد بخش فناوری اطلاعات و ارتباطات (ICT) دارد. این رشد و ارتقا کاربران عادی ICT را در بر میگیرد و از افزایش تعداد شبکه های خانگی و رشد سازمانهای کوچک و متوسط (SMES) که برای پشتیبانی از بازارهایی که به شدت به توسعه فناوری و بکارگیری آن در سراسر جهان وابسته اند کتکی به منابع رایانه ای می باشند- می توان به آن پی برد.
اطلاعات موجود از سوابق فعالیتهای
تامین امنیت فناوری اطلاعات
از آنجا که توسعه بازار محصولات و خدمات فناوری در دو سطح فردی و سازمانی چشمگیر است، اطلاع از مباحث امنیت فناوری اطلاعات بسیار مفید و مهم می باشد. ممکن است کاربران فردی در مورد خطراتی که هنگام استفاده از اینترنت متوجه آنها است مطلع نباشند . اگر کاربران خطرات شبکه های حفاظت نشده را تشخیص دهند، باز هم ممکن است یادگیری در مورد دیواره های آتش، ویروس یابها، رمزگذاری و نگهداری قاعده مند از اطلاعات را به دلیل هزینه و وقتی که از آنها می گیرد و تغییری که در رفتار رایانه ای آنها ایجاد می کند به تعویق بیاندازند. علاوه بر این سازمانهای کوچک و متوسط ممکن است از یک راه حل فنی نظیر دیواره آتش استفاده نمایند و به طبقه بندی سطوح امنیت توجهی نداشته باشند و ندانند که بدون توجه به آن، امنیت سیستم به شدت دچار مخاطره است. همچنین ممکن است به دلایل مختلف ایمن ساختن سیستمهای خود را به تاخیر بیاندازند و در تدوین سیاستهای شفاف امنیتی برای کاربران و مدیران نیز کوتاهی کنند. اگر ارتباطات، آگاهی و آموزش مناسب در سازمان وجود نداشته باشد، تبهکاران ممکن است به آسانی حفاظهای فنی را پشت سر بگذارند.
فناوری در یک محیط متغیر
دستگاههای سیار، نرم افزارهای رایج کاربردی، و تهدیدهای که موجب ایجاد پیچیدگی می شوند.
در حال حاضر کاربران جدید و غیر متخصص تنها علت نقض امنیت فناوری اطلاعات نیستند. محیط فناوری اطلاعات و ارتباطات با پیدایش محصولات جدید خصوصاً دستگاههای سیار (مانند رایانه های کیفی، تلفنهای همراه و PDAها) که چالشهای متفاوتی را در زیرساخت و امنیت داده ها ایجاد می کنند بسرعت رو به تغییر می باشد. پیدایش برنامه های کاربردی رایانه ای برای سرمایه گذاری الکترونیکی و تجارت الکترونیک نیز موجب بروز پیچیدگی های در محیط های شبکه ای شده اند.
از هنگام ظهور دستگاههای خودپرداز گرفته تا زمان رواج بانکداری اینترنتی ، این قابلیتها موجب صرفه جویی مناسب در هزینه ها می شوند، اما تهدیدات و خطرات بالقوه ای نیز به همراه دارند.
آنچه که اوضاع را بدتر می کند این است که اکنون نفوذگران قادر به توسعه و گسترش تهدیدات خود می باشند: مثل ترکیبی از ویروسها، کرمها و تراواهایی که می تواند آسیبهای شدیدتری را به این سیستمها و داده ها وارد کند. این صدمات حتی می توانند از بعضی نرم افزارهای مخرب (بدافزارها) نیز خطرناکتر باشند. از آنجا که تمامی این پیشرفتها کاربران فناوری را در سطح جهانی تحت تاثیر قرار می دهند، بهترین روشهای مقابله با تهدیدات ناشی از آنها تنها از طریق همکاری بین المللی حاصل می شود.
همکاری بین المللی و امنیت در کشورهای در حال توسعه
امنیت فناوری اطلاعات در کشورهای در حال توسعه از اهمیت شایانی برخوردار است. واضح است که اینترنت فرصتهایی طلایی برای تجارت و ارتباطات فراهم آورده که حدود ده سال قبل حتی تصور آنها مشکل بود. البته دسترسی به اینترنت همیشه هم ارزان نیست. اینترنت کاربران را قادر می سازد تا نگاهی به گستره وسیعی از موضوعات داشته باشند و با استفاده از آن ارتباط مردم از طریق پست الکترونیکی بسیار کارآمدتر از خدمات پستی سنتی شده است. اینترنت بر اصول تجارت بین المللی نیز تأثیر گذاشته است،بازارهای کشورهای در حال توسعه اکنون می توانند کالاهای خود را بصورت برخط بفروشند. اگر چه هنوز تعداد رقبا در بازار بسیار زیاد است، اما مشتریان می توانند به سادگی تواناییها و محصولات شرکتهای رقیب را ببینند و برای انجام این کار نیازی به اطلاعات وسیع در این زمینه ندارند. از آنجا که دسترسی به بازارهای آنسوی مرزهای جغرافیایی برای هر سیستم اقتصادی بسیار جذاب است، همکاری گسترده ای برای جا افتادن مدل یک نظام شبکه ای کارآمد و جهانی لازم است.
بخش اول
امنیت اطلاعات
مقدمه
اولین گام در ارائه یک استراتژی صحیح امنیتی این است که مفهوم «کاربرد صحیح» رایانه های شخصی و «حفاظت» از آنها مشخص شود. اگر شما نیز بدنبال همین مسئله هستید، اطمینان حاصل کنید که:
داده ها و برنامه هایتان تنها در صورتی تغییر میکنند یا پاک می شوند که شما چنین خواسته ای داشته باشید.
برنامه های رایانه بگونه ای که طراح یا برنامه نویس آنرا تعیین کرده عمل می کنند (مگر عیب و نقصهای نرم افزاری، که وجود آنها رد برنامه ها ناخواسته است).
هیچکس نمی تواند بدون اجازه شما از داده ها، رایانه و شبکه شما استفاده کند.
رایانه بطور ناخواسته فایلهای آلوده به ویروس را منتشر نمی کند.
کسی قادر به مشاهده تغییراتی که رد رایانه ایجاد می کنید نیست.
کسی توانایی دستیابی به داده های شما، چه در شبکه های بی سیم و چه در شبکه های سیمی را ندارد.
روی سیستمها و یا پایگاه های وبی که به آنها دسترسی دارید کسی قادر به سرقت نام کاربری و رمز عبور نیست.
چنانچه شماره کارت اعتباری و یا اطلاعات مربوط به حساب بانکی خود را از طریق شبکه اینترنت وارد کنید، داده های مربوطه از امنیت کامل برخوردار خواهند بود (مسلماً شما بر آنچه که در سوی دیگر شبکه ارتباطی رخ می دهد کنترلی نخواهید داشت).
فصل اول
امنیت اطلاعات چیست؟
امنیت اطلاعات نمی تواند ایمنی را صد در صد سازماندهی اطلاعاتی سیستم کامپیوتری شما ضمانت نماید. به عبارت دیگر امنیت اطلاعات قادر به نگهداری اطلاعات شما نیست. هیچ سحر و جادویی را نمی توان یافت تا امنیت کاملی برای اطلاعات ایجاد نمود. مفاهیم موجود در امنیت اطلاعات، علم نظامی و فنی هم نیست که واضح و آشکار باشد.
در واقع امنیت اطلاعات نوعی طرز فکر است. طرز فکری که در آن انواع تهدیدهای ممکن و راههای ضربه زدن به سازماندهی اطلاعاتی بررسی می شود و مدیریت مناسبی برای آن پیشنهاد می گردد. شاید به تعداد زیادی از تولید کنندگان برخورد کرده باشید که هر یک ادعا می کنند محصول تولیدی آنها بهترین راه حل برای رفع مشکلات امنیتی است .
در این فصل سعی بر آن است تا مسائل مربوط به امنیت اطلاعات تشریح گردد و در نهایت استراتژی مدیریتی مناسبی برای سازماندهی اطلاعاتی پیشنهاد گردد.
تعریف امنیت اطلاعات
بنا بر فرهنگ Merrian- Webster (که به صورت زنده در آدرس www.m-w.com موجود است) کلمه «اطلاعات» بصورت زیر تعریف شده است:
اطلاعات دانشی است که از طریق تحقیق، مطالعه، آموزش، فهم مطلب، اخبار، حقایق، دیتا، سیگنال یا کارکتری که حاوی دیتا باشد ( مانند سیستمهای مخابراتی یا کامپیوتری)، چیزی که نحوه ایجاد تغییرات در یک ساختار را بیان می کند (مانند طرح یا تئوری) و چیزهایی از این قبیل بدست آمده باشد.
در همین فرهنگ نامه امنیت بصورت زیر تعریف شده است :
رهایی از خطر ، وجود ایمنی ، رهایی از ترس یا نگرانی
اگر دو کلمه فوق را در کنار هم قرار دهیم ، به تعریفی از «امنیت اطلاعات» بصورت زیر خواهیم رسید:
امنیت اطلاعات میزان اجازه و اختیاری است که استفاده از یک سرویس ، عدم استفاده از آن، و مقدار ایجاد اصلاحات توسط آن تعریف می شود و جلوگیری از بکارگیری دانش، حقایق ، دیتا یا قابلیت ها را باعث می شود .این تعریف حوزه وسیعی را شامل می شود که دانش ، حقایق ، دیتا یا قابلیت ها در برابر اتفاقات بد محافظت شود. علاوه بر این در تعریف فوق محدودیتی روی شکل اطلاعات قرار ندادیم بطوریکه می تواند بصورت دانش یا قابلیت های یک سیستم باشد.