امنیت اطلاعات در کار الکترونیکی

**ParvanehDesigner** · چهارشنبه 16 دی 1383, 23:28 عصر

1- تهدیدات و ملزومات مربوط به امنیت کار الکترونیکی
تهدیدات موجود در پیش‌روی امنیت سیستم‌های اطلاعاتی را می‌توان به سه دسته‌ی اصلی تقسیم کرد:‌ افشای اطلاعات محرمانه (تهدید «افشا»)، صدمه به انسجام اطلاعات (تهدید «دستکاری»)، و موجودنبودن اطلاعات (تهدید «تضییق خدمات»). بطور مرسوم، امنیت اطلاعات در وهله‌ی اول با تهدید «افشا» همراه بوده است. در دنیای امروز، وابستگی ما به سیستم‌های اطلاعاتی طوری است که دستکاری غیرمجاز یا فقدان گسترده‌ی اطلاعات، پیامدهای ناگواری را موجب خواهد شد. در کار الکترونیکی، لازم است که همه‌ی انواع اطلاعات از طریق شبکه‌، دسترس‌پذیر باشند. بنابراین، امنیت اطلاعات شرط ضروری کار الکترونیکی است.
در هنگام کارکردن در یک شبکه‌ی باز، جریان اطلاعات در شبکه در معرض افشا و دستکاری غیرمجاز می‌باشد. برای حفاظت از محرمانگی و انسجام آن اطلاعات، رمزگذاری قوی ضروری است. کمک غیرمستقیم رمزگذاری به ما این است که از وجود شبکه‌های اطلاعاتی اطمینان حاصل کنیم. پس از مقابله‌ی مؤثر با تهدیدات«دستکاری» و «افشا»، می‌توان با ایجاد اضافات کافی در شبکه‌های اطلاعاتی، دردسترس‌بودن اطلاعات را تحقق بخشید. فناوری اینترنت در اصل برای به‌وجود‌آوردن همین نوع از اضافات طراحی شد و هنوز هم برای این منظور مناسب است.

2- ایجاد زیرساختار شبکه
معماری اینترنت، معماری شبکه‌ای غالب در اوایل دهه‌ی 2000 است. اینترنت بر پروتکل اینترنت (آی‌پی)[3] استوار است، که می‌توان آن را روی همه‌ی انواع شبکه‌های فیزیکی و تحت همه‌ی انواع برنامه‌های کاربردی به کار انداخت. استقلال پروتکل اینترنت هم از شبکه‌های فیزیکی و هم از برنامه‌های کاربردی، نقطه‌ی قوت اصلی آن است. این پروتکل حتی با فناوری‌های شبکه‌ای کاملاً جدید، مثل «شبکه‌ی محلی بیسیم» (دبلیولن)[4] یا «سرویس رادیویی بسته‌ای عمومی» (جی‌پی‌آراِس)[5] و شبکه‌ی «سامانه‌ی عمومی ارتباطات همراه» (جی‌اِس‌اِم)[6] نیز کار می‌کند. برنامه‌های جدید، مثل وب،‌ «ووآی‌پی»[7]، و بسیاری برنامه‌های دیگر که در آینده عرضه می‌شوند را می‌توان به راحتی با سرویس استاندارد پروتکل اینترنت اجرا کرد. معماری اینترنت اساساً از سال 1974 ثابت مانده و همچنان قدرت خود را اثبات می‌کند. بنابراین شعار قدیمی «آی‌پی ورای همه، همه چیز برروی آی‌پی»‌ امروز بیش از هر زمان دیگری صدق می‌کند.
عیب‌های اصلی «آی‌پی»‌، فضای ناکافی نشانی، عدم پشتیبانی از جایجایی فیزیکی،‌ فقدان کیفیت متمایز سرویس، و فقدان امنیت آن می‌باشد. «گروه فوق‌العاده‌ی مهندسی اینترنت»[8] هر یک از این موضوعات را مدنظر قرار داده و راه‌حل‌های استانداردی نیز برای هر یک از آن‌ها پیشنهاد شده. در نگارش ششم و جدید «آی‌پی»[9] عملاً تعداد نشانی‌ها نامحدود، و گسترش‌پذیری آن بهتر از نگارش 4 (کنونی) است. «آی‌پی سیار» (اِم‌آی‌پی)[10] برای هر دو نگارش تعریف شده. این «آی‌پی» برای میزبان سیار این امکان را فراهم می‌آورد که از یک شبکه به شبکه دیگر جابجا شود، ضمن این‌که نشانی‌های «آی‌پی» دائمی خود را، که در همه‌ی ارتباطات با این میزبان مورد استفاده قرار می‌گیرد، حفظ می‌کند. این امر منجر به تحرک واقعی، نه صرفاً در چارچوب فناوری یک شبکه‌ (مثل «جی‌اِس‌اِم»)، بلکه بین انواع مختلف شبکه‌ها، مثل «دبلیولَن»‌،‌ «جی‌پی‌آر‌اِس»، و شبکه‌های سیمی می‌گردد. کیفیت سرویس را می‌توان در اینترنت به‌وسیله‌ی «سرویس‌های متمایز اینترنتی»[11] که یک طرح اولویت‌بندی ساده‌ی مستقل از کشورها است و کاملاً مناسب شبکه‌های جهانی می‌باشد، تکمیل کرد. امنیت عمومی سطح «آی‌پی» توسط «آی‌پی‌سِک» (پروتکل امنیت اینترنت)[12] که بر رمزنگاری، و «پروتکل مدیریت کلید» همراه با آن (یعنی «مبادله‌ی کلید اینترنتی» (آی‌کائی)[13]) استوار می‌باشد، فراهم می‌گردد.
اگرچه همه‌ی این کارکردها را نمی‌توان در لایه‌ی «آی‌پی» به انجام رساند،‌ اما هرکار که ممکن است‌ باید در همانجا به انجام برسد؛ و این، ویژگی‌ خوب معماری اینترنت است که کل کارکردهای لایه‌ی «آی‌پی»، چه از شبکه‌های فیزیکی و چه از برنامه‌ها،‌ مستقل است. مثلاً «آی‌پی‌سِک» با (و در) همه‌ی شبکه‌ها و تحت انواع برنامه‌ها کار می‌کند. اینترنت می‌تواند از «قانون مور»[14]‌ نهایت استفاده را ببرد. این قانون در اصل خود حکایت از آن دارد که عملکرد ریزپردازنده‌ها هر 18 ماه دوبرابر می‌شود، درحالی که قیمت‌ آن‌ها ثابت می‌ماند. عجیب این که،‌ این قانون بیش از ربع قرن است که دوام آورده.
تقریباً همین رفتار را می‌توان در بسیاری از حوزه‌های دیگر نیز مشاهده کرد، از جمله در مورد حافظه‌ی موقت، دیسک‌سخت، شبکه‌ی محلی، شبکه‌ی محلی بیسیم،‌ سوئیچ شبکه‌ی محلی، و مسیریاب[15] «آی‌پی». اما حتی در حوزه‌ی مخابرات سیار ]موبایل[ که نسبتاً سریع پیشرفت می‌کند، ‌طول عمر یک نسل از تولید، 10 سال است، نه 2 سال. تلفن رادیویی اتومبیل[16] درسال 1971، تلفن همراه اروپای شمالی[17] در سال 1981، و سامانه‌ی عمومی ارتباطات همراه در 1991 مورداستفاده‌ی عموم قرار گرفتند و «یواِم‌تی‌اِس»[18] احتمالاً در سال 2002 وارد میدان می‌شود.
این بدان معنا است که صرفه‌مندی فناوری اینترنت براساس بسته، همواره بسیار سریع‌تر از فناوری‌ مخابراتی مبتنی بر «ترکیب تقسیم زمانی»[19] متعارف پیشرفت می‌کند. بنابراین در زمان کوتاهی،‌ همه‌ی برنامه‌ها روی «آی‌پی» قرار می‌گیرند. در سیستم تلفن معمولی، روشن است که «ووآی‌پی» بسیار باصرفه‌تر از مخابرات معمول، چه درمحدوده‌های محلی و چه در مناطق گسترده است. با پیشرفت‌هایی که در ارتباطات بیسیم و «آی‌پی»‌ به وقوع پیوسته، فقط 2 سال طول می‌کشد که ارتباطات سیار هم به همین وضعیت برسد. اگر قرار باشد که «یواِم‌تی‌اِس» یک لاکر[20] بومشناختی داشته باشد، همان شبکه‌ی فیزیکی، همراه با شبکه‌ی محلی بیسیم (دبلیولَن)، سرویس رادیویی بسته‌ای عمومی (جی‌پی‌آر‌اِس)، و . . .، تحت «آی‌پی» خواهد بود. بنابراین منطقاً می‌توانیم بپذیریم که کار الکترونیکی بر معماری اینترنت استوار خواهد بود و جنبه‌های امنیت شبکه‌ای آن نیز همانند امنیت اینترنت خواهد بود.
رایانش فراگیر به معنای استفاده از فناوری اطلاعات در یکی از اشکال گوناگون آن، در همه‌ی عرصه‌های زندگی و با همه‌ی ابزار قابل تصور، می‌باشد. وسایل خانگی متداول شامل ریزپردازنده‌هایی هستند که نرم افزارهایی را به کار می‌اندازند که بخش عمده‌ی کارکرد این وسایل را به انجام می‌رسانند. در آینده‌ی نزدیک، اکثر این ابزارها،‌ اغلب با دسترسی بیسیم، شبکه‌بندی خواهند شد. همچنین به‌منظور حصول امنیت، لازم است که سیستم‌های رمزنویسی کلید عمومی و کلیدهای رمزنویسی مخفی داشته باشند تا پیکربندی و مدیریت امن آن‌ها امکانپذیر شود. این بدان معنا است که ما در همه‌جا، رایانه‌های با شبکه‌بندی کوچک و رمزنویسی تعبیه‌شده در درون آن‌ها خواهیم داشت. این رایانه‌ها بقدری رایج خواهند شد که آن‌ها را رایانه یا فناوری اطلاعات به شمار نخواهیم آورد؛ همان‌طور که امروزه به الکتریسیته که همه‌جا از آن استفاده می‌کنیم، چندان توجه نمی‌کنیم.
بزودی تقاضای بسیار برای ابزارهای ارزان‌قیمت و کوچک را که محیط رابط «آی‌پی»، «آی‌پی‌سِک»، و «دبلیولن» را بر روی فقط یک تراشه‌ی سیلیکن به کار می‌اندازند شاهد خواهیم بود. بقیه‌ی سطح این تراشه به یک ریزکنترلگر همه‌منظوره، درگاه‌های ورودی و خروجی و حافظه اختصاص می‌یابد تا دستگاه‌های مختلف را کنترل کند. این تراشه‌ها اکنون تولید شده‌اند و به‌زودی اکثر میزبان‌های متصل به اینترنت را تشکیل می‌دهند.

3. تأثیر افزایش جابجایی‌پذیری
سیاربودن درمفهوم وسیع‌تر کلمه به معنای توانایی کاربر در دسترسی به اطلاعات، مستقل از محل و مکان او می‌باشد. در عمل،‌ لازمه‌ی این امر معمولاً نوعی از پشتیبانی جابجایی‌پذیری از سوی دستگاه پایانه و شبکه‌ی اصلی است. البته جابجایی‌پذیری تهدیدهای جدید امنیتی را به دنبال نمی‌آورد،‌ اما تهدیدهای موجود را جدی‌تر می‌سازد؛ زیرا دسترسی به اطلاعات، مستقل از مکان صورت می‌گیرد. همچنین امنیت سیستم، از هر جایی و توسط هر فرد مجاز می‌تواند مورد حمله قرار گیرد.
باید توجه کرد که جابجایی‌پذیری و بیسیم‌بودن دو چیز متفاوت‌اند، اگر چه اغلب با هم همراه‌اند. جابجایی‌پذیری به معنای توانایی کاربر یا پایانه، در حرکت از یک شبکه (یا نقطه‌ی اتصال) به شبکه‌ی دیگر است؛‌ بیسیم‌بودن یعنی جایگزین‌ساختن کابل شبکه یا آخرین پیوند شبکه با پیوندهای ارتباطی بیسیم (مثل رادیویی یا مادون‌قرمز). بیسیم‌بودن به‌تنهایی، جابجایی‌پذیری چندانی را امکانپذیر نمی‌کند. مثلاً در یک شبکه‌ی «سامانه‌ی عمومی همراه» (جی‌اس‌ام)،‌ عمده‌ی پیچیدگی شبکه و نرم‌افزار پایانه باید به امر انتقالات، یعنی گذر پایانه‌ی سیار از یک ایستگاه اصلی به ایستگاه دیگر تخصیص یابد. ضمن این‌که بیسیم‌بودن و جابجایی‌پذیری، هر یک به‌طور جداگانه ممکن است مفید باشند، وقتی که با هم ترکیب می‌شوند بهترین عملکرد را دارند. به همین دلیل دسترسی بیسیم به شبکه‌های سیار اهمیت روزافزونی پیدا می‌کند.

4. راه‌حل‌های ممکن
امنیت اطلاعات موضوعی چندبـُعدی است که با جنبه‌های غیرفنی متعددی ارتباط دارد. همواره برای تحقق امنیت، ابزارهای فیزیکی، پرسنلی و اجرایی لازم‌اند و ابزارهای فنی به‌تنهایی بیفایده‌اند. اما وقتی که در یک شبکه‌ی نامطمئن کار می‌کنید، امنیت بدون استفاده از رمزنگاری میسر نمی‌شود. بنابراین بخشی از راه‌حل، «آی‌پی‌سِک» است که می‌توان به عنوان یک سازوکار استاندارد برای حفاظت در برابر استراق سمع و دستکاری پیام در شبکه به کار برد.
رمزنگاری کلید عمومی، مثلاً برای تأیید اصالت و برای مدیریت‌ کلیدها، لازم است. بعلاوه، یک «زیرساختار کلیدهای عمومی»[21] لازم است تا کلیدها را به شیوه‌ای اطمینان‌بخش، به مالکان‌ آن‌ها پیوند دهد. «زیرساختار کلیدهای عمومی» نمونه‌ای از خدمات «شخص ثالث امین»[22] است که همیشه بر اعتماد و اطمینان استوارند. تحقق فیزیکی «زیرساختار کلیدهای عمومی» در قالب گواهی‌نامه انجام می‌گیرد. اعتماد به‌دست‌آوردنی است نه دیکته‌کردنی. طرف‌های مختلف باید بتوانند تصمیم‌ بگیرند به چه کسی، در چه موضوعاتی، و تا چه اندازه اعتماد کنند.
همچنین در هر سیستم به یک «مبنای رایانشی قابل اعتماد»[23] نیاز داریم. این «مبنای رایانشی قابل اعتماد» باید ] تا حد امکان [کوچک‌شده، و مبتنی بر طرح‌های آزاد باشد. باید بتوانیم حسابرسی کنیم تا به آن اعتماد کنیم. چشمپوشی از امنیت بخش‌هایی از سیستم در خارج از «مبنای رایانشی قابل اعتماد» نباید امنیت کل سیستم را به خطر اندازد.
بطور سنتی،‌ کنترل دسترسی و صدور مجوز برای آن براساس تأیید اصالت هویت کاربر (هویتی که در شکل یک نام نمود می‌یابد) صورت می‌گیرد. این کار در سیستم‌های بزرگ عملی نیست، زیرا تشخیص حقوق دسترسی یک فرد صرفاً براساس نام او،‌ امکان‌ناپذیر است. عموماً ما بیش‌تر علاقه‌مندیم که اطمینان حاصل کنیم کاربر به انجام کاری که انجام می‌دهد مجاز است یا خیر،‌ و نه این که بدانیم او کیست. بنابراین به جای تعیین هویت او، باید قادر به تأیید اصالت حقوق او باشیم. صدور مجوز‌ها ابزار عمومی خوبی هستند که می‌توان برای چنین اهدافی، حتی در سطوح سیستم‌های جهانی به‌کارگرفت.
امنیت و قابلیت استفاده، از اقتضائات متضادباهم هستند. وقتی که سیستم‌ها را امن‌تر می‌کنیم، طبعاً از قابلیت استفاده‌ی آن‌ها می‌کاهیم. کار الکترونیکی چیزی است که باید در شرایط مربوط به کاربر عادی هم عمل کند، یعنی برای هر کسی قابل استفاده باشد. ترکیب قابلیت استفاده با امنیت، چالش اصلی عصر ما است.

5. کار الکترونیکی امن: یک چشم‌انداز
کار با اینترنت به پیشرفت خود ادامه می‌دهد و به عرصه‌های جدید برنامه‌های کاربردی گسترش می‌یابد. کاهش سرانه‌ی قیمت محصولات، عملاً همه‌ی برنامه‌ها را به استفاده از فناوری اصلی «آی‌پی»سوق خواهد داد. اگر جابجایی‌پذیری، کیفیت خدمات، و امنیت، محور اصلی خدمات اینترنت در نسل آینده باشند، در آن صورت یک سکوی عمومی جهانی خواهیم داشت تا کار الکترونیکی را بر روی آن استوار کنیم.
«آی‌پی‌سِک» و «زیرساختار کلید عمومی» مانع مؤثری در مقابل افشای غیرمجاز و دستکاری ]ناشی از[ ترافیک شبکه ایجاد می‌کنند. وجود اضافات کافی در شبکه، مانع تضییق خدمات است. با راه‌حل‌های استاندارد و ارزانقیمتی که مرتباً ارزان‌تر هم می‌شوند، می‌توان به همه‌ی این‌ها دست یافت.
بنابراین سکوی فنی برای کار الکترونیکی امن،‌ در حال شکل‌گرفتن است و جنبه‌های شبکه‌ای امنیت را می‌توان حل کرد. اما وقتی که با افراد و با جریان‌های پیچیده‌ی اطلاعات سروکار داریم، هیچ راه‌حل استاندارد ساده‌ای برای امنیت کل سیستم وجود ندارد. برای تعریف فرایندهای اصلی پیشه‌گانی و جریان‌های اطلاعاتی و مقتضیات امنیتی ملازم با آن‌ها، کار زیادی لازم است. باید در طراحی این فرایندها، امنیت نیز وارد شود. باید سازوکارهای استاندارد امنیت‌ به‌کارگرفته شوند تا اطمینان حاصل شود که سیستم‌های اطلاعاتی مورد استفاده، امنیت جریان‌های اطلاعاتی را به خطر نمی‌اندازند.
هیچ روش شناخته‌شده‌ای برای اثبات امنیت کل فرایندها وجود ندارد. باید مداوماً به نظارت و به بازخورددادن به فرایندهایمان بپردازیم. همچنین بازرسی به‌وسیله‌ی یک طرف بیرونی (که مسئولیتی در استقرار یا اجرای سیستم ندارد) لازم است.
خوشبختانه ما به مرحله‌ای رسیده‌ایم که قدرت پردازش فزاینده و دیگر پیشرفت‌های فنی آتی، به نفع افراد است. استفاده‌پذیری هر سیستم اطلاعاتی یک چالش عمده است. ترکیب استفاده‌پذیری با امنیت، بسیار دشوارتر است. هدف اصلی در طراحی سیستم‌ها نباید بهینه‌سازی استفاده از منابع رایانشی هر چه ارزان‌تر باشد، بلکه باید کار افراد را هر چه اثربخش‌تر و خوشایندتر سازد. این یک عرصه‌ی تحقیقاتی بین- رشته‌ای است که انتظار می‌رود در آینده اهمیت بیش‌تری پیدا کند.
ضعیف‌ترین نقطه در موضوع امنیت، همچنان افراد و نگرش‌های آن‌ها خواهد بود. مدت‌ها است که علت اصلی در عمده‌ی نقض امنیت‌ها، رفتار غیرمجاز افراد غیرمجاز در کارهای روزانه‌شان است. درحالی‌که ابزارهای فنی و سکوهای فنی امن و قابل اندازه‌گیری برای موفقیت در کار الکترونیکی ضرورت دارند، اما کمبودهای موجود در جنبه‌های غیرفنی امنیت را جبران نمی‌کنند. امنیت را باید تعریف، طراحی، و در فرایندهای کاری تعبیه کرد. افراد باید به خوبی راهنمایی شوند، آموزش ببینند، و انگیزه‌مند شوند. همچنین باید به نظارت و بازخورد، و نیز به بازرسی مستقل توجه کرد. این امر مستلزم آن است که کل سازمان‌ها، کار را از رده‌ی بالای مدیریت خود شروع کنند. امکانات حاصل از کار الکترونیکی چنان است که باید در درازمدت، اطمینان حاصل شود که از زمان و کار به بهترین صورت استفاده می‌شود.

پانوشتها



&#91;1&#93;. Arto Karila, “Information Security in E-work”, in Telework 2001-Report of the 8th European Assembly on New Ways to Work. Helsinki&#58; 12-14.9.2001, pp. 78-81.



&#91;2&#93;. Internet Protocol &#40;IP&#41;

&#91;3&#93;. Wireless LAN &#40;WLAN&#41;

&#91;4&#93;. General Packet Radio Service &#40;GPRS&#41;

&#91;5&#93;. General System for Mobile &#40;GSM&#41; communications

&#91;6&#93;. Voice over IP &#40;VoIP&#41;

&#91;7&#93;. Internet Engineering Task Force &#40;IETF&#41;

&#91;8&#93;. IPv6

&#91;9&#93;. Mobile IP &#40;MIP&#41;

&#91;10&#93;. Differentiated Internet Services &#40;DiffServ&#41;

&#91;11&#93;. IPSEC &#40;Internet security protocol&#41;

&#91;12&#93;. Internet Key Exchange &#40;IKE&#41;

&#91;13&#93;. Moore’s law

&#91;14&#93;. router

&#91;15&#93;. Automobile Radio Phone &#40;ARP&#41;

&#91;16&#93;. Nordic Mobile Telephone &#40;NMT&#41;

&#91;17&#93;. UMTS &#40;Universal Mobile Telecommunications System&#41;

&#91;18&#93;. Time Division Multiplexing &#40;TDM&#41;

&#91;19&#93;. locker

&#91;20&#93;. public key infrastructure &#40;PKI&#41;

&#91;21&#93;. trusted-third-party &#40;TTP&#41;

&#91;22&#93;. trusted computing base &#40;TCB&#41;

مترجم : حمید دلیلی - دانشجوی دوره‌ی دکتری اطلاع‌رسانی و کتابداری دانشگاه فردوسی مشهد عضو هیئت علمی دانشگاه پیام نور
منبع : سایت irandoc.ac.ir

نام تاپیک: امنیت اطلاعات در کار الکترونیکی

ابزار های تاپیک

نمایش

امنیت اطلاعات در کار الکترونیکی

قوانین ایجاد تاپیک در تالار