طرح ملی مسکن
امنيت اطلاعات

تعريف امنيت اطلاعات

امنيت اطلاعات يعني حفاظت اطلاعات و سيستم‌هاي اطلاعاتي از فعاليت‌هاي غيرمجاز. اين فعاليت‌ها عبارتند از دسترسي، استفاده، افشاء، خواندن، نسخه برداري يا ضبط، خراب كردن، تغيير، دستكاري.

واژه‌هاي امنيت اطلاعات، امنيت كامپيوتري و اطلاعات مطمئناً گاهي به اشتباه به جاي هم بكار برده مي‌شود. اگر چه اين ها موضوعات به هم مرتبط هستند و همگي داراي هدف مشترك حفظ محرمانگي اطلاعات، يكپارچه بودن اطلاعات و قابل دسترس بودن را دارند ولي تفاوت‌هاي ظريفي بين آنها وجود دارد. اين تفاوت‌ها در درجه اول در رويكرد به موضوع امنيت اطلاعات، روش‌هاي استفاده شده براي حل مسئله، و موضوعاتي كه تمركز كرده‌اند دارد.

امنيت اطلاعات به محرمانگي، يكپارچگي و در دسترس بودن داده‌ها مربوط است بدون در نظر گرفتن فرم اطلاعات اعم از الكترونيكي، چاپ، و يا اشكال ديگر.

امنيت كامپيوتر در حصول اطمينان از در دسترس بودن و عملكرد صحيح سيستم كامپيوتري تمركز دارد بدون نگراني از اطلاعاتي كه توسط اين سيستم كامپيوتري ذخيره يا پردازش مي‌شود.

دولت‌ها، مراكز نظامي، شركت‌ها، موسسات مالي، بيمارستان‌ها، و مشاغل خصوصي مقدار زيادي اطلاعات محرمانه در مورد كاركنان، مشتريان، محصولات، تحقيقات، و وضعيت مالي گردآوري مي‌كنند. بسياري از اين اطلاعات در حال حاضر بر روي كامپيوترهاي الكترونيكي جمع‌آوري، پردازش و ذخيره و در شبكه به كامپيوترهاي ديگر منتقل مي‌شود. اگر اطلاعات محرمانه در مورد مشتريان و يا امور مالي يا محصول جديد موسسه‌اي به دست رقيب بيفتد، اين درز اطلاعات ممكن است به خسارات مالي به كسب و كار، پيگرد قانوني و يا حتي ورشكستگي منجر شود. حفاظت از اطلاعات محرمانه يك نياز تجاري، و در بسياري از موارد نيز نياز اخلاقي و قانوني است.

براي افراد، امنيت اطلاعات تأثير معناداري بر حريم خصوصي دارد. البته در فرهنگ‌هاي مختلف اين مفهوم حريم خصوصي تعبيرهاي متفاوتي دارد.

بحث امنيت اطلاعات در سال‌هاي اخير به ميزان قابل توجهي رشد كرده است و تكامل يافته است. راههاي بسياري براي ورود به اين حوزه كاري به عنوان يك حرفه وجود دارد. موضوعات تخصصي گوناگوني وجود دارد از جمله: تأمين امنيت شبكه(ها) و زيرساخت‌ها، تأمين امنيت برنامه‌هاي كاربردي و پايگاه داده‌ها، تست امنيت، حسابرسي و بررسي سيستم‌هاي اطلاعاتي، برنامه ريزي تداوم تجارت و بررسي جرائم الكترونيكي، و غيره.

مفاهيم پايه

همانگونه كه تعريف شد، امنيت اطلاعات يعني حفظ محرمانگي، يكپارچه بودن و قابل دسترس بودن اطلاعات از افراد غيرمجاز. در اينجا مفاهيم سه‌گانه «محرمانگي»، «يكپارچه بودن» و «قابل دسترس بودن» توضيح داده مي‌شود. در بين متخصصان اين رشته بحث است كه علاوه بر اين ۳ مفهوم موارد ديگري هم را بايد در نظر گرفت مثل قابليت حسابرسي، قابليت عدم انكار انجام عمل و اصل بودن

محرمانگي

محرمانگي يعني جلوگيري از افشاي اطلاعات به افراد غير مجاز. به عنوان مثال، براي خريد با كارت‌هاي اعتباري بر روي اينترنت نياز به ارسال شماره كارت اعتباري از خريدار به فروشنده و سپس به مركز پردازش معامله است. در اين مورد شماره كارت و ديگر اطلاعات مربوط به خريدار و كارت اعتباري او نبايد در اختيار افراد غيرمجاز بيفتد و اين اطلاعات بايد محرمانه بماند. در اين مورد براي محرمانه نگهداشتن اطلاعات، شماره كارت رمزنگاري مي‌شود و در طي انتقال يا جاهايي كه ممكن است ذخيره شود (در پايگاه‌هاي داده، فايل‌هاي ثبت وقايع سيستم، پشتيبان گيري، چاپ رسيد، و غيره) رمز شده باقي مي‌ماند. همچنين دسترسي به اطلاعات و سيستم‌ها نيز محدود مي‌شود. اگر فردي غير مجاز به شماره كارت به هر نحوي دست يابد، نقض محرمانگي رخ داده است.

نقض محرمانگي ممكن است اشكال مختلف داشته باشد. مثلاً اگر كسي از روي شانه شما اطلاعات محرمانه نمايش داده شده روي صفحه نمايش كامپيوتر شما را بخواند. يا فروش يا سرقت كامپيوتر لپ‌تاپ حاوي اطلاعات حساس. يا دادن اطلاعات محرمانه از طريق تلفن همه موارد نقض محرمانگي است.

يكپارچه بودن

يكپارچه بودن يعني جلوگيري از تغيير داده‌ها بطور غيرمجاز و تشخيص تغيير در صورت دستكاري غير مجاز اطلاعات. يكپارچگي وقتي نقض مي‌شود كه اطلاعات نه فقط در حين انتقال بلكه درحال استفاده يا ذخيره شدن ويا نابودشدن نيز بصورت غيرمجاز تغيير داده شود. سيستم‌هاي امنيت اطلاعات به طور معمول علاوه بر محرمانه بودن اطلاعات، يكپارچگي آنرا نيز تضمين مي‌كنند.

قابل دسترس بودن

اطلاعات بايد زماني كه مورد نياز توسط افراد مجاز هستند در دسترس باشند. اين بدان معني است كه بايد از درست كار كردن و جلوگيري از اختلال در سيستم‌هاي ذخيره و پردازش اطلاعات و كانال‌هاي ارتباطي مورد استفاده براي دسترسي به اطلاعات اطمينان حاصل كرد. سيستم‌هاي با دسترسي بالا در همه حال حتي به علت قطع برق، خرابي سخت‌افزار، و ارتقاء سيستم در دسترس باقي مي‌ماند. يكي از راههاي از دسترس خارج كردن اطلاعات و سيستم اطلاعاتي درخواست‌هاي زياد از طريق خدمات از سيستم اطلاعاتي است كه در اين حالت چون سيستم توانايي و ظرفيت چنين حجم انبوه خدمات دهي را ندارد از سرويس دادن بطور كامل يا جزيي عاجز مي‌ماند.

قابليت بررسي (كنترل دسترسي)

افراد مجاز در هر مكان و زمان كه لازم باشد بتوانند به منابع دسترسي داشته باشند.

قابليت عدم انكار انجام عمل

در انتقال اطلاعات و يا انجام عملي روي اطلاعات، گيرنده يا فرستنده و يا عمل كننده روي اطلاعات نبايد قادر به انكار عمل خود باشد. مثلاً فرستنده يا گيرنده نتواند ارسال يا دريافت پيامي را انكار كند.

اصل بودن

در بسياري از موارد بايد از اصل بودن و درست بودن اطلاعات ارسالي و نيز فرستنده و گيرنده اطلاعات اطمينان حاصل كرد. در بعضي موارد ممكن است اطلاعات رمز شده باشد و دستكاري هم نشده باشد و به خوبي به دست گيرنده برسد ولي ممكن است اطلاعات غلط باشد و يا از گيرنده اصلي نباشد. در اين حالت اگر چه محرمانگي، يكپارچگي و در دسترس بودن رعايت شده ولي اصل بودن اطلاعات مهم است.

 

تاریخ به روزرسانی:
1396/11/03
تعداد بازدید:
237
شعار
Powered by DorsaPortal