امنیت اطلاعات یا Information security

امروزه امنیت اطلاعات ( Information security ) که به معنای محافظت از اطلاعات و سیستم‌های اطلاعاتی در برابر دسترسی غیر مجاز، افشا، تخریب، تغییر و ... است، اهمیت بسیار زیادی دارد و نیاز به آن در عرصه‌‌های گوناگون احساس می‌شود. شرکت‌‌های بازرگانی، مالی، تجاری، ادارات دولتی و خصوصی، تاسیسات نظامی، دانشگاه‌‌ها، بیمارستان‌‌ها و ... همواره در تلاشند که از اطلاعات به نحو احسن نگهداری نموده و ضریب امنیت اسناد و داده‌‌های محرمانه خود را تا حد امکان افزایش دهند. در حال حاضر حفظ و ذخیره اطلاعات بیشتر به شکل الکترونیکی- رایانه‌ای و تبادل اطلاعات و داده‌‌ها از طریق شبکه‌‌های رایانه‌ای انجام می‌گیرد

اما نگهداری و حفظ اطلاعات چه به شیوه‌‌های سنتی و چه شیوه‌‌های مدرن همواره با چالش‌‌هایی همچون دسترسی غیرمجاز همراه بوده است، گفتنی است دسترسی غیر مجاز به اطلاعات محرمانه در هر یک از عرصه‌‌ها ممکن است به فاجعه بزرگی بینجامد به طور مثال دسترسی به اطلاعات تجاری یک شرکت در مورد نحوه ساخت یک محصول جدید ممکن است سبب ورشکستگی آن شرکت و دسترسی به پرونده بیماران یک بیمارستان سبب بروز مشکلات اجتماعی شود. اما شاید در این میان اطلاعات نظامی ‌هرکشور اهمیت بیشتری نسبت به سایر حوزه‌‌ها داشته باشد، از این رو امنیت این اطلاعات راهکار‌های بسیار دقیقتر و هوشمندانه‌تری را می‌طلبد. پیشینه حفاظت و امنیت اطلاعات نظامی ‌به سال‌های بسیار دور و عصر باستان باز‌می‌گردد، زمانی‌که جولیوس سزار در پنجاه سال پیش از میلاد، روشی را ابداع کرد که به رمزنگاری سزار معروف است. وی با به کارگیری این روش، فرامین و اطلاعات نظامی‌ را به شکل رمز در می‌آورد به نحوی که تنها برای خواص قابل فهم بوده و درک آن برای اشخاص غیرخودی امکان پذیر نبود. با گذشت زمان، روش‌های حفاظت و امنیت اطلاعات هم تغییر یافت و پیشرفت‌هایی در این زمینه حاصل شد. در جنگ جهانی دوم، حفاظت و امنیت اطلاعات به شکل یک حرفه درآمد و با به کارگیری روش‌‌های حفاظت فیزیکی از طریق موانع و گارد‌های نظامی ‌و همچنین طبقه‌بندی اطلاعات، گام‌های موثری برای حفاظت از اطلاعات نظامی ‌و محرمانه برداشته شد. در اواخر قرن بیستم و آغاز قرن بیست و یک، با پیشرفت علم مخابرات و تکنولوژی‌‌های سخت افزار و نرم افزار رایانه‌ای، علم حفاظت و امنیت اطلاعات رشد قابل توجهی یافت، اما به موازات آن خطر دسترسی غیر مجاز به داده‌‌ها و انجام خرابکاری توسط نفوذگر‌ها (هکر‌ها) هم افزایش یافت. اگر زمانی با حفاظت‌‌های فیزیکی سفت و سخت و همچنین روش‌های کدگذاری، از نفوذ افراد غیرخودی جلوگیری می‌شد اما با الکترونیکی شدن داده‌‌ها، دیگر این روش‌ها موثر نبود. امروزه حفاظت‌‌های فیزیکی و کدگذاری‌‌های ساده نمی‌تواند مانعی برای نفوذگر‌ها (هکر‌ها) به حساب آید، حتی گا‌هی نفوذگر‌ها (هکر‌ها) با گذر از سپر‌های حفاظتی نرم‌‌افزاری و سخت‌‌‌افزار می‌توانند به اطلاعات و داده‌‌ها دسترسی پیدا کنند و امنیت سیستم را مختل نمایند، از این رو دغدغه اصلی در روش جدید حفاظت اطلاعات، جلوگیری از هک شدن و رخنه هکر‌ها به سیستم است. اما عمل هک ( HACK) به چه معنا است؟
● هک و هکر
هک ( HACK ) در اصل یک واژه آلمانی بوده و به معنای ساختن وسایل خانه با تبر است اما در زبان انگلیسی ریشه آن به سال ۱۹۶۰ و دانشگاه ام‌‌آی‌تی آمریکا باز می‌گردد که در آن به راهکار‌های نو و استادانه دانشجویان برای حل موانع علمی‌واژه (هک) اطلاق می‌شد، واژه (هک) همچنین به معنی به اوج کمال و تکامل رسیدن در یک رشته هم می‌باشد. در زبان اینترنتی هک به معنای نفوذ به سیستم‌های رایانه ای و دستکاری آنهاست و هکر به شخصی اطلاق می‌شود که عمل هک را انجام دهد . (در زبان فارسی واژگان نفوذ و نفوذگر به جای هک و هکر پیشنهاد می‌شود). پس همانطور که گفته شد امروزه یکی از اصلی‌ترین دغدغه‌های موجود جهت ارتقای امنیت اطلاعات و داده‌‌ها، جلوگیری از نفوذ هکر‌ها ( نفوذگر‌ها) به سیستم‌های اطلاعاتی و بانک داده‌‌ها است. از آنجا که روش‌های متفاوتی برای نفوذ و هک کردن وجود دارد، روش‌های مقابله با آن هم متفاوت بوده و باید راهکار‌هایی متفاوت برای حفاظت از داده‌‌ها اندیشیده شود.
● واقعیت یا دروغ؟
حالا می‌خواهیم بحث امنیت اطلاعات را با یک داستان یا یک بهتر است بگوییم یک دروغ اینترنتی(Hoax) دنبال کنیم:
در خلال جنگ آمریکا و عراق در سال ۲۰۰۳، شایعه‌ای در چند سایت و وبلاگ اینترنتی پیچید. داستان از این قرار بود که گفته می‌شد رایانه‌‌های نیروی هوایی عراق از طریق ویروسی رایانه ای هک شده و بدین طریق عملکرد سیستم‌های نیروی هوایی عراق دچار مشکل شده و تجهیزات آنها مختل شده است. همچنین عنوان می‌شد این ویروس در تراشه چند چاپگر موجود بوده است و پس از فروش این چاپگر‌ها به نیروی هوایی عراق توانسته نفوذگران را برای نفوذ و ایجاد اختلال در سیستم‌ها یاری نماید. حتی گفته می‌شد کارکنان نیروی هوایی هرگاه که برای اطلاع از سیستم دفاع هوایی به صفحه‌‌های رایانه ای مراجعه می‌کنند این صفحه‌‌ها محو و اطلاعات موجود از بین می‌روند. جالب اینجاست که شایعه‌‌ها و دروغ‌هایی از این دست سال‌ها قبل و در حین جنگ اول خلیج فارس هم رواج یافته بود که سیستم‌های هوایی عراق از طریق ارسال ویروس به رایانه‌‌های نظامی‌عراق، هک و سیستم‌های اطلاعاتی آنها مختل شده است. همچنین صحبت‌هایی بود مبنی بر اینکه این ویروس‌ها از طریق شبکه فیبرنوری به رایانه‌‌های فوق‌‌الذکر ارسال شده است، به علاوه در آوریل ۱۹۹۱ مجله ای اقدام به چاپ خبر مختل شدن سیستم‌های نیروی هوایی عراق از طریق ویروس رایانه‌ای نمود که بعدا مشخص شد این یک دروغ اول آوریل بوده و برای سرگرمی ‌و گول زدن خوانندگان منتشر شده است. پس معلوم می‌شود که این شایعه یک دروغ تکراری بوده و از سال ۱۹۹۱ تا ۲۰۰۳ تکرار شده است تا برای مدتی موجبات سرگرمی، دلهره و نهایتا خنده شنوندگان خبر را فراهم آورد. حال باید دید اساسا این دروغ یک گزینه محال است یا امکان دارد این دروغ خنده دار در آینده ای نه چندان دور به واقعیت تبدیل شود؟ آیا امکان دارد روزی فرا رسد که در برخی تراشه‌‌های به کار رفته شده در رایانه‌‌ها ویروس‌هایی مخفی کار گذاشته شده باشند؟
● از امنیت چه خبر؟
آیا داستان هک شدن رایانه‌‌های نظامی‌عراق از طریق ویروس‌‌ها برای همیشه در حد دروغ و شایعه باقی می‌ماند یا در آینده زمانی خواهد رسید که به روشی متداول در عرصه جنگ تبدیل می‌گردد؟ شاید در حال حاضر بتوان با نگرشی دیگر به این دروغ پرداخت، شاید این دروغ را بتوان به مثابه تلنگری پنداشت بر انسان امروز که با دقت و وسواس بیشتری به مساله وابستگی امنیت و حفاظت داده‌‌ها به علوم رایانه ای بپردازد. شاید این دروغ بتواند ما را به فکر وادارد که تا چه حد می‌توان به رایانه‌‌ها اطمینان کرد. آیا به راستی می‌توان برای دستیابی به نهایت امنیت به رایانه‌‌ها دل بست و سرنوشت خود را به دستان محاسبات رایانه‌ای و دیجیتالی داده و در برابر تصمیمات هوشمند آن سر تسلیم فرود آورد. سال‌ها پیش آرتور.سی.کلارک با نوشتن داستان نگهبان این هشدار را به ما داد، داستانی که منشا اثری ماندگار در تاریخ سینما به نام «۲۰۰۱ یک ادیسه فضایی» ساخته استنلی کوبریک گردید. در این فیلم سرنوشت انسان به فضا پرتاب شده با تصمیمات ابر رایانه ای به نام‌‌هال ۹۰۰۰ رقم می‌خورد، در اینجا اطمینان بیجای انسان به رایانه می‌توانست به نابودی وی بینجامد، اما انسان چنین نکرد و با تصمیم خود راه را بر اشتبا‌هات احتمالی رایانه‌‌ها بست. همچنین دیوید فینچر دیگر کارگردان سینمایی در قالب فیلمی‌حادثه ای به نام «اتاق وحشت»، اطمینان انسان مدرن به امنیت پدید آمده توسط رایانه‌‌ها را به چالش کشید. به راستی، اکنون که امنیت داده‌‌ها و اطلاعات ما در گرو امنیت شبکه‌‌های رایانه ای می‌باشد، و هر روز وابستگی ما به رایانه‌‌ها بیشتر می‌شود، لازم است با دقت بیشتری به این مساله پرداخته شود که آیا اصولا می‌توان با اطمینان به رایانه و شبکه‌‌های رایانه ای از امنیت داده‌‌های و اطلاعات موجود درون رایانه‌‌ها و شبکه مطمئن شد؟ در اینجا نخست به نحوه ایمن‌سازی شبکه‌‌های رایانه ای در سطوح و مصارف مختلف می‌پردازیم و سپس بحث خود را در قالب پیشین ادامه می‌دهیم و به این پرسش می‌رسیم که آیا این روش‌ها می‌توانند ضریب اطمینان صد در صد را برای ما به ارمغان بیاورند.
پیش از آشنا شدن با روش‌های حفاظت و امنیت شبکه جالب است بدانید که در مدیریت امنیت شبکه‌‌ها روش‌های مختلفی وجود دارد که این روش‌ها بستگی به موقعیت کاربردی آنها دارد و برحسب نوع استفاده به دسته‌‌های زیر طبقه بندی می‌شود :
● مصارف کوچک - رایانه‌‌های خانگی :
▪ استفاده از دیواره آتشین یاfirewall در سطح ابتدایی
▪ نرم افزار‌های ضد ویروس در سطح ابتدایی
▪ استفاده از کلمه رمز
به نظر می‌رسد این روش‌ها با توجه به مصارف خانگی و کوچک مناسب باشند.
● مصارف متوسط- شرکت‌های کوچک :
▪ استفاده از دیواره آتشین یا firewall در سطح نسبتا پیشرفته
▪ نرم افزار‌های ضد ویروس در سطح نسبتا" پیشرفته
▪ استفاده از نرم‌افزار‌‌های امنیت اینترنت
▪ استفاده از کلمه رمز
▪ استفاده از شیوه اعتباردهی(authentication ) با به کارگیری واژگان رمز با تعداد کارکتر بالا و همچنین تغییر واژگان رمز به طور دو هفتگی یا ما‌هانه
▪ ارتقا سطح آگاهی کاربران نسبت به امنیت فیزیکی شبکه
▪ به کارگیری از یک تحلیلگر شبکه در صورت نیاز
اینگونه به نظر می‌رسد که روش‌های فوق هم برای مصارف سطح متوسط مناسب هستند.
● مصارف بزرگ و مهم :
▪ استفاده از دیواره آتشین یا firewall پیشرفته و پروکسی برای دور نگه داشتن افراد ناخواسته از داده‌‌ها
▪ نرم افزار‌های ضد ویروس در سطح پیشرفته
▪ استفاده از نرم افزار‌‌های امنیت اینترنت
▪ استفاده از شیوه اعتباردهی (authentication) با به کارگیری واژگان رمز با تعداد کارکتر بالا و همچنین تغییر واژگان رمز به طورهفتگی یا دو هفتگی
▪ آموزش عملی امنیت فیزیکی شبکه برای کاربران‌
▪ به کارگیری از یک تحلیلگر شبکه
▪ استفاده از دوربین‌‌های مدار بسته برای کنترل ورودی محوطه‌‌های حفاظت شده
▪ حفاظت از اتاق سرور‌ها
اما آیا روش‌های موجود برای مصارف بزرگ و مهم به راستی پاسخگوی نیاز ما برای امنیت اطلاعات و داده‌‌ها هستند؟
شاید بتوان ایمن‌سازی یک شبکه رایانه ای را همچون ایمن سازی یک کشور در برابر حملات خارجی دانست، ورودی‌‌های یک شبکه مانند رایانه‌‌ها، چاپگر‌ها،‌‌هاب‌ها و سوییچ‌ها، همچون نقاط مرزی یک کشور هستند که امکان ورود دشمن از راه آن وجود دارد، پس باید در درجه اول این نقاط مرزی را ایمن نمود. اعتبار دادن (authenticating ) به کاربران برای ورود به شبکه از طریق نام کاربری و کلمه رمز را می‌توان همچون مجوز یا روادید برای ورود افراد به داخل یک کشور دانست. پس تنها کاربرانی می‌توانند به شبکه وارد شوند که از مجوز ورود برخوردار باشند. علاوه بر آن‌ Firewall ‌ها یا دیواره‌‌های آتشین و پروکسی‌‌ها به عنوان یک نیروی دفاعی در برابر ورود عوامل ناخواسته به کار می‌روند، همچنین می‌توان از طریق نرم افزار‌‌های آنتی ویروس ، عوامل مخرب رایانه را نابود کرد. همه روش‌های فوق روش‌هایی موثر در حفاظت اطلاعات می‌باشند، اما آیا می‌توان در آینده هم از کارکرد درست آن‌ها در مصارف بزرگ مطمئن بود؟ آیا در حال حاضر می‌توان با اتکا به موارد فوق در مورد حفاظت شبکه، از عدم ورود ویروس‌‌ها و کرم‌های رایانه‌ای و فایل‌‌های مخرب به درون سیستم و همچنین عدم ‌نفوذ نفوذگر‌ها (هکر‌ها) اطمینان حاصل کرد؟
شاید نتوان به صراحت به این پرسش‌ها پاسخ مثبت داد. در اینکه در حال حاضر رایانه‌‌ها روشی متدوال و پیشرفته برای حفظ و نگهداری اطلاعات و همچنین محافظت از داده‌‌ها در برابر افراد ناخواسته است، بحثی نیست، اما هدف، موشکافی و تحلیل دقیق روش‌های رایانه ای امروزیست. اینکه همه داده‌‌های ارزشمند یک مجموعه وابسته به یک تکنولوژی خارجی باشد، اینکه زیرساختار‌های این روش حفاظت که همان رایانه‌‌های و تجهیزات شبکه هستند توسط دیگران تولید شود، اینکه چگونه می‌توان از این تکنولوژی جهت حفاظت و امنیت داده‌‌ها بهره برد اما چشم بسته به آن اطمینان نکرد، اینکه حتی تکنولوژی‌‌های حفاظتی همچون نرم‌‌افزار‌‌های ضد ویروس و نرم افزار‌‌های نگهداری و حفاظت شبکه توسط دیگران تولید می‌شود، همه و همه مسائلی است که باید هنگام استفاده از تکنولوژی رایانه‌ای برای حفاظت و امنیت داده‌‌ها و اطلاعات مورد توجه قرار گیرد. اگرچه نگاه فوق ممکن است نگاهی بسیار شکاک به تکنولوژی روز دنیا باشد، اما شاید اندکی شک لازم باشد تا در آینده اطمینان بیش از حد به تکنولوژی دردسر ساز نشود