خانه / مقالات / فناوری اطلاعات / تضمین اطلاعات و مدیریت ریسک

تضمین اطلاعات و مدیریت ریسک

تضمین اطلاعات و مدیریت ریسک
هدف از مدیریت امنیت فناوری اطلاعات دفاع از تمامی عناصر یک سیستم اطلاعلاتی، به‌ویژه داده‌ها، نرم‌افزارهای کاربردی، سخت‌افزارها و شبکه‌ها است. پیش از این‌که افراد مسئول در زمینه امنیت تصمیمی در خصوص اقدامات دفاعی اتخاذ کنند، باید نیازها و عملکرد کسب‌وکار را درک کرده باشند، چون این درک اساس یک استراتژی دفاعی مخصوص را تشکیل می‌دهد. در بخش بعدی، استراتژی‌های اصلی دفاعی شرح داده خواهد شد.
استراتژی دفاعی و اقدامات کنترلی که باید استفاده شوند بستگی به مواردی که باید مورد محافظت قرار گیرند و تحلیل هزینه- فایده آن‌ها دارند. به عبارت دیگر، شرکت‌ها باید از سرمایه‌گذاری‌های بیش از حد یا خیلی محدود اجتناب کنند. دو سازمان‌ SEC و FTC جریمه‌های سنگینی برای رخنه به داده‌ها وضع کرده‌اند تا شرکت‌ها را از سرمایه‌گذاری ناکافی در بخش حفاظت از داده‌ها بر حذر دارند. در ادامه دو هدف عمده استراتژی‌های دفاعی را بیان می‌کنیم:
۱- پیشگیری و بازداری: اقدامات حفاظتی که به درستی طراحی شده باشند می‌توانند از بروز خطاها جلوگیری کنند، بزهکاران را از حمله به سیستم باز دارند و بهتر از این، دسترسی افراد غیرمجاز را رد کنند. این اقدامات مطلوب‌ترین اقدامات کنترلی هستند.
۲- تشخیص: مانند آتش‌سوزی، یک حمله هر چه زودتر تشخیص داده شود، مقابله با آن آسان‌تر و خسارت وارده کمتر است. تشخیص را می‌توان در بسیاری از موارد با استفاده از نرم‌افزارهای مخصوص تشخیص، با هزینه کم انجام داد.
۳- محدود‌سازی (محدود کردن خسارت): محدودسازی زیان‌های پیش آمده در اثر یک عملکرد بد در سیستم را محدود می‌کند. به این اقدام کنترل خسارت نیز می‌گویند. این کار را می‌توان مثلاً با ایجاد یک سیستم تحمل خرابی که تا زمان بازگشت کامل سیستم به وضع عادی اجازه انجام عملیات را در شرایط محدود می‌دهد، انجام داد. اگر یک سیستم تحمل خرابی وجود نداشته باشد، یک بازیابی سریع و احتمالاً هزینه‌بر باید اجرا شود. کاربران می‌خواهند که سیستم آن‌ها در اسرع وقت به حالت عملیاتی برگردد.
۴- بازیابی: طرح بازیابی نحوه ترمیم یک سیستم اطلاعاتی را در اسرع وقت بیان می‌کند. جایگزینی به جای تعمیر اجزای سیستم، یکی از سریع‌ترین راه‌های ممکن برای بازیابی است.
۵- تصحیح: اصلاح عوامل ایجاد خسارت در سیستم‌ها می‌تواند از رخ دادن مجدد آن جلوگیری کند.
۶- آگاهی و پیروی: تمام سازمان‌های عضو باید درباره خطرات آموزش ببینند و از قواعد و مقررات امنیتی پیروی کنند.
استراتژی دفاعی همچنین نیازمند چندین اقدام کنترلی است همانگونه که در شکل ۱ نشان داده شده است. کنترل‌های عمومی جهت حفاظت از سیستم صرف‌نظر از کاربرد خاصی انجام می‌شوند. مثلاً، محافظت از سخت‌افزارها و کنترل دسترسی به مرکز داده‌ها مستقل از کاربردی خاص هستند. کنترل‌های کاربردی اقدامات حفاظتی هستند که هدفشان محافظت از کاربردهای خاص است. در دو بخش بعدی، انواع اصلی این دو گروه از اقدامات کنترلی سیستم‌های اطلاعاتی شرح داده می‌شود.
شکل ۱ اقدامات کنترلی دفاعی اصلی

دسته‌های اصلی کنترل‌های عمومی عبارتند از: کنترل‌های فیزیکی، کنترل‌های دسترسی، کنترل‌های بیومتریک، کنترل‌های مدیریتی، کنترل برنامه‌های کاربردی و کنترل نقاط انتهایی.

کنترل‌های فیزیکی
امنیت فیزیکی اشاره به حفاظت از تأسیسات و منابع کامپیوتری دارد. این امنیت شامل اموال فیزیکی از جمله کامپیوتر‌ها، مراکز داده‌، نرم‌افزارها، دستورالعمل‌ها و شبکه‌ها است. در این نوع امنیت حفاظت در برابر بیشتر مخاطرات طبیعی و بعضی از مخاطرات انسانی فراهم می‌شود. امنیت فیزیکی مناسب می‌تواند شامل چندین اقدام کنترلی باشد که به‌عنوان مثال می‌توان به این موارد اشاره کرد:
 طراحی مناسب مرکز داده؛ مثلاً، حصول اطمینان از این‌که مرکز داده ضد اشتعال و ضد آب است.
 ایجاد حفاظ در مقابل میدان‌های الکترومغناطیسی
 سیستم‌های پیشگیری، تشخیص و فرونشانی آتش‌سوزی، از قبیل سیستم‌های آب‌پاشی، پمپ‌های آب و امکانات زه‌کشی مناسب
 لوازم قطع اضطراری برق و باتری‌های پشتیبانی که باید در شرایط عملیاتی نگهداری شوند.
 سیستم‌های تهویه‌ای که به‌طور صحیح طراحی و نگهداری شده و عمل می‌کنند.
 آژیر خطر تشخیص‌دهنده حرکت که نفوذ فیزیکی را تشخیص می‌دهد.
کنترل‌های دسترسی. مدیریت این‌که چه کسی برای استفاده از سخت‌افزار و نرم‌افزار یک کامپیوتر مجاز هست یا نه کنترل دسترسی نام دارد. روش‌های کنترل دسترسی، همچون دیواره‌های آتش و فهرست‌های کنترل دسترسی، دسترسی به شبکه، پایگاه‌های داده، فایل یا داده‌ها را محدود می‌کند. این نوع کنترل خط دفاعی اصلی در مقابل افراد داخلی غیرمجاز و نیز افراد خارجی است. کنترل دسترسی مستلزم بررسی اختیار (داشتن حق برای دسترسی) و احراز هویت که شناسایی کاربر نیز خوانده می‌شود (اثبات این‌که کاربر همان کسی است که ادعا می‌کند) است.
روش‌های احراز هویت شامل این موارد است:
 چیزی که تنها کاربر می‌داند، مانند یک رمز عبور
 چیزی که تنها یک کاربر دارد، مانند یک کارت هوشمند یا توکن
 چیزی که مشخصه تنها یک کاربر است، مانند امضا، صدا، اثر انگشت، اسکن شبکیه چشم؛ که از طریق کنترل‌های بیومتریک پیاده‌سازی می‌شوند و می‌توانند فیزیکی با رفتاری باشند.
کنترل‌های بیومتریک. یک کنترل بیومتریک روشی خودکار برای وارسی هویت یک شخص، بر اساس مشخصات فیزیکی یا رفتاری است. بیشتر سیستم‌های بیومتریک بعضی از مشخصات شخصی را با یک پروفایل ذخیره شده مطابقت می‌دهند. معروف‌ترین بیومتریک‌ها عبارتند از:
 اثر شست یا اثر انگشت: هر زمان که کاربری دسترسی می‌خواهد، اثر انگشت یا انگشت شست او با قالبی که حاوی اثر انگشت یک شخص مجاز است مطابقت داده می‌شود تا او را شناسایی کند.
 اسکن شبکیه: الگوی رگ‌های خونی در شبکیه اسکن شده و با تصویری از شبکیه که قبلاً ذخیره شده مطابقت داده می‌شود.
 اسکن صدا: بین صدای کاربر و الگوی صدایی که در یک قالب ذخیره شده است، مطابقتی انجام می‌گیرد.
 امضا: امضاها با امضای اصل که از قبل ذخیره شده مقایسه می‌شوند. این سیستم می‌تواند مکمل یک سیستم تشخیص کارت تصویری شود.
در حال حاضر کنترل‌های بیومتریک در بسیاری از محصولات سخت‌افزاری و نرم‌افزاری کسب‌وکار‌های الکترونیکی مجتمع شده‌اند. اما کنترل‌های بیومتریک محدودیت‌هایی نیز دارند. در بعضی از موارد دقیق نیستند و بعضی از افراد آن‌ها را تجاوز به حریم خصوصی خود می‌دانند.
کنترل‌های اداری. در حالی‌که اقداماتی که در بخش‌های قبل شرح داده شدند در ذات خود فنی هستند، کنترل‌های اداری با صدور دستور‌العمل‌ها و پایش پیروی از آن‌ها مواجه هستند. نمونه‌هایی از این کنترل‌ها در جدول ۱ نشان داده شده‌اند.

جدول ۱ نمونه‌هایی از کنترل‌های اداری
 گزینش، آموزش و نظارت مناسب بر کارمندان، به‌ویژه در سیستم‌های اطلاعاتی و حسابداری
 افزایش وفاداری به شرکت
 لغو فوری مجوز‌های دسترسی کارمندان اخراج شده، مستعفی یا منتقل شده
 الزام تغییرات دوره‌ای کنترل‌های دسترسی (مانند رمزهای عبور)
 تدوین استانداردهای برنامه‌نویسی و مستند‌سازی (برای تسهیل ممیزی و استفاده از استانداردها به‌عنوان راهنمای کارمندان)
 پافشاری بر ضمانت‌های امنیتی و بیمه‌های تخلفات برای کارمندان کلیدی
 بنیان نهادن تفکیک وظایف، یعنی تقسیم وظایف حساس کامپیوتری بین حداکثر تعداد کارمندان تا حدی که از لحاظ اقتصادی شدنی باشد، به‌گونه‌ای که احتمال خسارت عمدی و غیرعمدی را کاهش دهد
 انجام بازرسی‌های دوره‌ای تصادفی برای سیستم

کنترل‌های کاربرد. حملات پیچیده سطح کاربرد را نشانه گرفته‌اند و بسیاری از برنامه‌های کاربردی برای تحمل چنین حملاتی طراحی نشده‌اند. برای افزایش مقاومت، روش‌شناسی‌های پردازش اطلاعات در حال جایگزین شدن با فناوری‌های مبتنی بر عامل هستند. عامل‌های هوشمند (که به آن‌ها Softbot یا Knowbot هم می‌گویند)، برنامه‌های کاربردی بسیار تطبیق‌پذیر هستند. این واژه به‌طور کلی به برنامه‌های کاربردی اشاره دارد که درجه‌ای از واکنش‌پذیری، خودمختاری و تطبیق‌پذیری را داشته باشند-این قابلیت‌ها در موقع حملات غیرقابل‌پیش‌بینی موردنیاز هستند. همان‌طور که در شکل ۲ مشاهده می‌شود، یک عامل قادر است تا خود را بر اساس تغییراتی که در محیطش اتفاق می‌افتد تطبیق دهد.
شکل ۲ عامل‌های هوشمند. عامل‌ها در جمع خود روی اتصالات امن در اینترنت یا اینترانت با همدیگر ارتباط برقرار می‌کنند. عامل‌های بدخواه (شاخدار) تشخیص داده شده و از جمع حذف می‌شوند. داده‌هایی که به شکل صحیح احراز هویت شده‌اند اجازه دارند به جمع بپیوندند، اما اطلاعات بد رد می‌شوند.

در بخش بعد، روی نقاط انتهایی دیجیتال یک شرکت و محیط آن، یعنی شبکه، تمرکز خواهد شد و درباره امنیت شبکه‌های سیمی و بی‌‌سیم و آسیب‌پذیری‌های ذاتی آن‌ها بحث می‌شود.
امنیت و کنترل نقاط انتهایی. بسیاری از مدیران مخاطرات مربوط به وسایل ذخیره‌سازی قابل‌حمل را که رمز‌گذاری نمی‌شوند، دست کم می‌گیرند. این وسایل نمونه‌هایی از نقاط انتهایی هستند. داده‌های کسب‌وکار معمولاً با حافظه‌های فلش، تلفن‌های هوشمند و کارت‌های حافظه قابل‌حمل، بدون مجوز، نظارت یا محافظت کافی بخش فناوری اطلاعات در برابر ضرر یا سرقت حمل می‌شوند. لوازم ذخیره‌سازی قابل‌حمل و دستی داده‌های حساس را با خطر مواجه می‌کنند. با توجه به یافته‌های یک شرکت تحقیقاتی در بازار، Applied Research-West، از هر چهار کارمند سه نفر داده‌های شرکت را روی حافظه فلش ذخیره‌ می‌کنند. با توجه به مطالعه انجام شده، ۲۵ درصد از کارمندان داده‌های مشتریان، ۱۷ درصد داده‌های مالی و ۱۵ درصد طرح‌های تجاری را روی حافظه فلش ذخیره می‌کنند. اما کمتر از ۵۰ درصد از بنگاه‌ها به‌طور روزمره آن حافظه‌ها را رمز‌گذاری می‌کنند و حتی کمتر از این تعداد، به‌طور مستمر داده‌‌های کپی شده در تلفن‌های هوشمند را ایمن‌سازی می‌کنند.
وسایل قابل‌حملی که داده‌های محرمانه مالی یا مربوط به مشتریان را ذخیره می‌کنند، صرف‌نظر از این‌که چه کسی مالک آن‌هاست (کارمندان یا شرکت)، باید محافظت شوند. اگر هیچ اقدام امنیتی برای حفاظت از وسایل ذخیره‌سازی قابل‌حمل یا دستی انجام نشود، داده‌ها نباید روی آن‌ها ذخیره شوند، چون این کار شرکت را در معرض مسئولیت قانونی، دادخواهی و جریمه قرار می‌دهد. برای شرکت‌های کوچک‌تر، یک رخنه ساده به داده‌ها می‌تواند منجر به ورشکستگی آن‌ها شود.
محافظت قوی به چیزی بیش از رمز‌گذاری معمولی نیاز دارد. مثلاً، قفل کردن یک گوشی تلفن همراه محافظت قوی را فراهم نمی‌کند. شرکت امنیتی IronKey گزارش داد که نرم‌افزار Mantech Crowbar (/cybersolutions.mantech.com) می‌تواند محتویات یک کارت حافظه گوشی تلفن BlackBerry را سریعاً کپی کرده و یک کد PIN چهار رقمی را در ۳۰ ثانیه بشکند. Crowbar که در حدود ۲۳۰۰ دلار قیمت دارد، طراحی شده تا در انجام کارش، یعنی شکستن رمزهای عبور در کارت‌های MMC/SD، سریع و ساده عمل کند. نرم‌افزار Crowbar می‌تواند امنیت یک وسیله دستی را بدون اعلام هشدار به مالک در مورد این‌که امنیت وسیله نقض شده بشکند. این نرم‌افزار همچنین اطلاعات ورود به دستگاه دستی کِرَک شده را ذخیره می‌کند و به هکر اجازه می‌دهد به دستگاه دسترسی مجدد داشته باشد، مگر این‌که کاربر رمز عبورش را تغییر دهد.

دیدگاهتان را ثبت کنید

آدرس ایمیل شما منتشر نخواهد شدعلامتدارها لازمند *

*

x

شاید بپسندید

ماهنامه کامپیوتری رایانه

تازه‌های امروز…

تیم فوتبال آمریکایی استیلرز برای جلوگیری از آسیب‌های مغزی از ربات استفاده ...