رفتن به محتوای اصلی
چهارشنبه ۲۸ آذر ۱۳۹۷
.

دسته بندی اخبار

دسته بندی عمومی

چیستی امنيت سايبري

یادداشت تخصصی/مهندس محمود خالقي

چیستی امنيت سايبري

  معناي لغوي امنيت سايبري ، عبارت از در امان بودن سرمايه سايبري، از تهديد سايبري است. امنيت سايبري در عمل، از طريق تأمين سه پارامتر كليدي محرمانگي ، يكپارچگي  و دسترس پذيري ، تحقق مي‌يابد.فارغ از پارامترهاي فوق، سه نكته بسيار مهم در خصوص امنيت سايبري، همانند امنيت در ساير محيط ها و سرمايه ها وجود دارد:    

 

معناي لغوي امنيت سايبري ، عبارت از در امان بودن سرمايه سايبري، از تهديد سايبري است. امنيت سايبري در عمل، از طريق تأمين سه پارامتر كليدي محرمانگي ، يكپارچگي  و دسترس پذيري ، تحقق مي‌يابد.فارغ از پارامترهاي فوق، سه نكته بسيار مهم در خصوص امنيت سايبري، همانند امنيت در ساير محيط ها و سرمايه ها وجود دارد:

 

 

۱.            اوّل اين كه امنيت نسبي است.

۲.            دوّم اين كه امنيت يك ويژگي ذاتي است و نمي توان آن را به چيزي الحاق نمود.

۳.            سوّم اين كه بهترين روش تأمين امنيت، روش نظام مند يا همه جانبه است.

 

روش هاي تحقّق امنيت سايبري، بستگي به وضعيت سرمايه سايبري دارد. تأمين امنيت براي يك سرمايه سايبري توليدشده و در حال بهره برداري، با تأمين امنيت براي همان سرمايه سايبري، اگر در حال ايجاد، شكل گيري يا توليد باشد، كاملاً متفاوت خواهند بود. 

 

روش تأمين امنيت براي سرمايه سايبري در حال شكل گيري 

 

بهترين زمان براي تأمين امنيت، از زمان آغاز شكل گيري سرمايه سايبري، يعني زماني است كه طراحي آن سرمايه انجام مي گيرد. به منظور تأمين امنيت براي يك سرمايه سايبري در حال شكل گيري، لازم است :

 

 ۱.            نيازمندي هاي امنيتي سرمايه سايبري، تعيين شوند.

 

۲.            در مرحله ي طراحي، تمامي نيازمندي هاي امنيتي تعيين شده، در طرح اجزاء سرمايه سايبري و طرح يكپارچه سازي آن، پيش بيني شوند.

 

۳.            در مرحله ي پياده سازي، هم زمان با پياده سازي هر جزء سرمايه سايبري، نيازمندي هاي امنيتي آن جزء و هم زمان با يكپارچه سازي اجزاء سرمايه سايبري، نيازمندي هاي امنيتي يكپارچه ي آن سرمايه نيز پياده سازي شوند.

 

۴.            در مرحله ي تست، هم زمان با تست قابليت هاي كاركردي، قابليت هاي امنيتي سرمايه سايبري نيز مورد تست و ارزيابي قرار گيرند.

 

۵.            در مرحله ي رفع اشكال، هم زمان با رفع ساير اشكالات احتمالي، اشكالات امنيتي سرمايه سايبري نيز برطرف شوند.

 

۶.            در مراحل توسعه هاي بعدي نيز هم زمان با توسعه قابليت هاي كاركردي سرمايه سايبري، نيازمندي‌هاي امنيتي كاركردهاي در حال توسعه نيز به صورت يكپارچه با ساير نيازمندي هاي امنيتي، پيش بيني شده و توسعه يابند.

 

۷.            در مرحله ي بهره برداري، هم زمان با بهره برداري از قابليت هاي كاركردي سرمايه سايبري، از تمامي قابليت هاي امنيتي آن سرمايه نيز بهره برداري شود.

 

بديهي است در صورت عدم رعايت هر يك از موارد فوق، تأمين امنيت سرمايه سايبري، خدمات در حال ارائه توسط آن سرمايه و همچنين اطلاعات موجود در داخل آن سرمايه و يا تحت مديريت آن سرمايه، امكان پذير نخواهد بود. 

 

روش تأمين امنيت براي سرمايه سايبري موجود

 

 پس از آن كه يك سرمايه سايبري طراحي و پياده سازي يا خريداري شده و مورد بهره برداري قرار مي گيرد، چنانچه بخواهيم امنيت آن سرمايه را تأمين نمائيم، لازم است اقدامات ذيل، در خصوص آن انجام گيرد : 

 

۱.            اجزاء سرمايه سايبري موردنظر، شناسايي و طبقه بندي شوند.

۲.            وضعيت مطلوب نيازمندي هاي امنيتي آن سرمايه سايبري، استخراج شوند.

۳.            نحوه و ميزان تأمين نيازمندي هاي امنيتي سرمايه سايبري موردنظر، كه در مراحل شكل گيري سرمايه سايبري، اعم از طراحي، پياده سازي و بهره برداري تأمين شده اند، شناسايي و تعيين شوند.

۴.            وضعيت موجود تأمين نيازمندي هاي امنيتي، با وضعيت مطلوب آنها، مورد مقايسه قرار گرفته و مواردي كه نبود آنها چالش جدي ايجاد مي نمايد، استخراج شوند.

۵.            نيازمندي هاي امنيتي كه تأمين نشده اند و نبود آنها چالش جدي ايجاد مي نمايد، از طريق كنترل هاي افزودني تأمين شوند.

 

 بر اين اساس، به منظور تأمين امنيت براي سرمايه سايبري موجود، لازم است ابتدا از وضعيت تأمين نيازمندي هاي امنيتي در مراحل قبلي مدل تعالي سرمايه سايبري، اطلاع حاصل شود كه اين امر، از طريق انجام ارزيابي امنيتي سرمايه اطلاعاتي انجام مي گيرد و متعاقباً نيازمندي هاي امنيتي آن سرمايه، احصاء و تأمين گردند.

 

 روش نظام مند تأمين امنيت براي سرمايه سايبري

 

 

روش نظام مند براي تأمين امنيت يك سرمايه سايبري، روشي است كه :

 

۱.            همه ي نيازمندي هاي (نيازمندي هاي همه جانبه ي) امنيتي سرمايه سايبري موردنظر را تأمين نمايد.

۲.            نيازمندي هاي امنيتي را ابتدا در ذات سرمايه سايبري و هم گام با شكل گيري و تعالي آن، تأمين نمايد.

۳.            به منظور تأمين نيازمندي هاي همه جانبه ي امنيتي، از كنترل هاي همه جانبه ( اعم از كنترل هاي داخلي و بيروني يا افزودني و همچنين اعم از كنترل هاي فني، فرآيندي و مديريتي ) بهره گيرد.

 

روش تأمين امنيت سامانه هاي اطلاعاتي

 

تعداد روش هاي تأمين امنيت براي سامانه هاي اطلاعاتي كه در مستندات و استانداردهاي مختلف ارائه شده‌اند، خيلي زياد است، ليكن روش هايي كه هم استاندارد يا شناخته شده و فراگير باشند و هم به صورت نظام مند و همه جانبه به موضوع تأمين امنيت سامانه هاي اطلاعاتي پرداخته باشند، زياد نيست.

 

روش تأمين امنيت شبكه هاي ارتباطي

 

تعداد روش هاي تأمين امنيت براي شبكه هاي ارتباطي كه در مستندات و استانداردهاي مختلف ارائه شده اند، قابل توجه است، ليكن روش هايي كه هم استاندارد يا شناخته شده و فراگير باشند و هم به صورت نظام مند و همه جانبه به موضوع تأمين امنيت شبكه هاي ارتباطي پرداخته باشند، اندك است.

 

روش تأمين امنيت ساختارها و سازمان ها

 

يكي از استانداردهاي جامع و فراگير براي تأمين امنيت در سازمان ها، استاندارد ي، در وضعيت مناسبي قرار دارد. با ارائه اولين استاندارد سيستم مديريت امنيت اطلاعات در سال ۱۹۹۵، نگرش سيستماتيک به مقوله امنيت در سازمان هاي اطلاعات محور شکل گرفت. بر اساس اين نگرش، تامين امنيت اطلاعات در يک مجموعه سازماني وابسته به اطلاعات، دفعتاً مقدور نبوده و لازم است اين امر بصورت مداوم و در يک چرخه‌ي امن‌سازي شامل مراحل طراحي، پياده‌سازي، ارزيابي و بهبود انجام گيرد. براي اين منظور، لازم است سازمان موردنظر، بر اساس يک رويكرد نظام مند، ابتدا اقدام به تهيه طرح‌ها و برنامه‌هاي تأمين امنيت نموده و در ادامه، با استفاده از ابزارهاي كنترلي مختلف، اعم از ابزارهاي فني، ايجاد تشکيلات موردنياز و اعمال رويه ها و فرآيندهاي موردنياز، امنيت اطلاعات را در آن سازمان، استقرار داده و نهادينه نمايد.

 

روش تأمين امنيت فضاي سايبر ملي

 

روش هاي نظام مند تأمين امنيت براي فضاي سايبر ملّي، عموماً براي حوزه ي زيرساخت هاي حياتي ارائه مي شوند. يكي از جديدترين روش هاي ارائه شده براي تأمين امنيت زيرساخت هاي حياتي كشورها، نسخه اوّل "چارچوب بهبود امنيت سايبر زيرساخت هاي حياتي" نام دارد و در تاريخ ۱۲ فوريه ۲۰۱۴ توسط مؤسسه ملّي استاندارد و فناوري ايالات متحده آمريكا ارائه شده است.در داخل اين چارچوب، مدلي براي تأمين امنيت سايبر زيرساخت هاي حياتي كشورها ارائه شده است كه تأمين امنيت را در ۵ گام با عناوين شناسايي ، محافظت ، تشخيص ، مقابله  و بازيابي  انجام مي دهد.

۴۹