امنیت سیستم اطلاعاتی

استفاده "درست و مشروع" از اطلاعات "صحیح"، یكی از الزامات بسیار مهم برای دستیابی سازمان ها به اهداف سازمانی است و قابلیت اطمینان، یكپارچگی و در دسترس بودن این اطلاعات، از مؤلفه های بسیار مهم در كارآیی آنها هستند.
استفاده "درست و مشروع" از اطلاعات "صحیح"، یكی از الزامات بسیار مهم برای دستیابی سازمان ها به اهداف سازمانی است و قابلیت اطمینان، یكپارچگی و در دسترس بودن این اطلاعات، از مؤلفه های بسیار مهم در كارآیی آنها هستند.
استفاده "درست و مشروع" از اطلاعات "صحیح"، یكی از الزامات بسیار مهم برای دستیابی سازمان ها به اهداف سازمانی است و قابلیت اطمینان، یكپارچگی و در دسترس بودن این اطلاعات، از مؤلفه های بسیار مهم در كارآیی آنها هستند. مزایای ذخیره سازی ساختارمند اطلاعات به صورت الكترونیكی، كاربرد وسیع رایانه ها در اهداف تجاری را ناگزیر كرده و استفاده از شبكه های رایانه ای و بویژه اینترنت، تغییرات اساسی را در فرآیندهای كسب و كار به وجود آورده و باعث شده كه حجم بسیار زیادی از اطلاعات تنها به اندازه یك سر انگشت با ما فاصله داشته باشند؛ و ناگفته پیداست كه در یك محیط پیچیده با این ارتباطات وسیع، مخاطرات گسترده ای سیستم های رایانه ای، سیستم های اطلاعاتی، و فعالیت ها و زیرساخت های حیاتی وابسته به آنها را تهدید می كنند.
سیر پیشرفت فناوری اطلاعات و ارتباطات و نوآوری های حاصل از آن موجب افزایش چشمگیر بهره وری و پیدایش انواع جدیدی از كالاها و خدمات شده است. با بهبود روزافزون قدرت، ظرفیت و قیمت تجهیزات میكروالكترونیكی كه به رشد سالانه تقریباً 30 درصدی بهره وری این تجهیزات نسبت به قیمت منجر شده، امكان استفاده از این فناوری برای همه میسر شده است.
امروزه ما در دنیایی زندگی می كنیم كه پردازش اطلاعات در آن ارزان و هزینه های ارتباطات رو به كاهش است و جهان بطور فزاینده ای در تبادل و تعامل اطلاعات به سر می برد.
اما فراهم شدن امكانات فنی جدید تنها باعث پیدایش محصولات نوین و راه های بهتر و كارآمدتر برای انجام امور نشده، بلكه در كنار آن امكان سوء استفاده از فناوری را نیز افزایش داده است. فناوری اطلاعات و ارتباطات نیز همانند سایر فناوری ها حالت ابزاری دارد و می¬توان آن را به گونه ای مورد استفاده قرار داد كه برای همگان مفید باشد و یا به نحوی از آن استفاده كرد كه نتایج خطرناكی به بار آورد.
     سرعت انتقال در فناوری اطلاعات و ارتباطات چیزی در حدود میكروثانیه است كه باعث می¬شود اطلاعات غیرقابل مشاهده، تحت كنترل نرم افزارهای تهیه¬شده توسط افراد، جابجا شود.
    در چنین فضایی اعمال غیرقانونی و مخرب آن قدر سریع صورت می گیرد كه می¬تواند غیرقابل شناسایی باشد، هرچند شناسایی آن غیر ممكن نیست.
     اكثر قریب به اتفاق سازمان ها در معرض انواع تهدیدات داخلی و خارجی خرابكاران هستند؛ تهدیداتی چون دستكاری اطلاعات مرجع و یا سرقت اطلاعات حیاتی و سرمایه¬های اطلاعاتی. در چنین شرایطی، عواملی كه می¬توانند از مزایای سیستم ها به شمار روند (مثل سرعت و قابلیت دسترسی بالا)، اگر تحت كنترل نباشند ممكن است باعث بروز آسیب پذیری شوند و سوء استفاده افراد بد نیت از آنها به نفوذ و خرابكاری، كلاهبرداری، و یا اخاذی بی انجامد. علاوه بر این، مشكلات طبیعی و خطاهای غیرعمدی كه توسط كاربران رایانه ای رخ می¬دهد، درصورت فقدان روال صحیح برای حفاظت از اطلاعات می تواند نتایج مخربی به بار آورد.
    در دنیای امروز، اعتبارات مالی بیشتر و بیشتر به صورت الكترونیكی جابجا می¬شوند، اطلاعات مختلف با حساسیتهای كم و زیاد از طریق شبكه¬ها منتقل می¬شوند، سامانه¬های رایانه¬ای با سرعت بسیار زیادی پیچیده¬تر و مرتبط¬تر با دنیای بیرونی می¬شوند، و ابزارهای ساده نفوذ و بهره¬برداری از آسیب-پذیری ها بیش از هر زمان دیگری در دسترس ماجراجویان دنیای مجازی قرار دارد؛ و هریك از این عوامل خود به تنهایی دلیل محكمی برای جدی گرفتن موضوع امنیت است.
    مشكلات مربوط به امنیت سیستمهای اطلاعاتی، فرآیندهای وابسته به آنها و ذخیره و ارسال اطلاعات به شكل الكترونیكی مسائل تازه ای نیستند.
    به عنوان مثال، سیستم های تجاری رایانه ای نزدیك به پنجاه سال قدمت دارند و سیستم های بانكداری نیز انتقال الكترونیكی پول را تقریباً در همان زمان آغاز كرده¬اند. در این سیستم های تجاری، برای ارتكاب جرم از طریق نفوذ به شبكه های رایانه ای و سیستم های مالی انگیزه¬های قوی وجود دارد.
    انقلاب رایانه های شخصی كه در اواسط دهه 70 میلادی شروع شد، موجب شده درحال حاضر رایانه های قدرتمند در دسترس صدها میلیون نفر باشند. علاوه بر آن اینترنت و دیگر انواع شبكه های شخصی، ارتباطات بین رایانه ای را میان بسیاری از مردم امكان پذیر ساخته اند.
     صدها میلیون رایانه برای پردازش هرگونه اطلاعات قابل تصوری به كار می¬روند كه با یك شبكه ارتباطی قوی به نام اینترنت به هم متصل شده¬اند. این شبكه موجب گسترش ارتباطات مردمی شده و همچنین امكان دسترسی آسان و نسبتاً ارزان به داده¬های دیجیتالی و اسناد تجهیزات فنی و محصولات درحال ساخت را به وجود آورده است. عمده كاربران شبكه های رایانه ای دهه 70 میلادی را كارشناسان حرفه ای رایانه تشكیل می¬دادند؛ حال آنكه امروز بیشتر كاربران از افراد غیرحرفه ای هستند و لذا ممكن است عدم اطلاعات كافی آنان باعث شود كه از بسته های نرم افزاری ایمن استفاده مناسب نكنند و درنتیجه نفوذگران و تبهكاران رایانه ای صرف نظر از محل جغرافیایی خود و یا كاربر بتوانند به سیستم حمله و از آن سوء استفاده كنند.
    در كنار همه این مسائل، موضوع جرائم سازمان¬یافته دنیای مجازی بر پیچیدگی كار دولت ها برای تأمین امنیت زیرساخت های حیاتی خدمات عمومی می¬افزاید و تبعات سنگین سوء استفاده تبهكاران از منابع دولتی، اهمیت پرداختن صحیح و مؤثر آنها به موضوع امنیت را دو چندان می¬كند.
     آمارهای جهانی از رخدادهای پایگاه های وب دولتی و تجاری كه توسط ویروس ، كرم و حملات تخریب سرویس به وقوع پیوسته، آسیب پذیری این سیستم ها را به خوبی به تصویر می كشد. به عنوان مثال، طبق تخمین دستگاههای امنیتی ایالات متحده (كه به عنوان پیشرو در حوزه فناوری های اطلاعات و ارتباطات شناخته می¬شود)، تنها در سال 2003 ضررهای ناشی از خدشه¬دار شدن امنیت سازمان ها بالغ بر 10 میلیارد دلار برآورد شده است.
    كاربران و راهبران رایانه در كشورهای توسعه¬یافته دسترسی بسیار زیادی به اطلاعات كاربردی و تكنیكی دارند كه می تواند در زمینه¬های مختلف كاری به آنها كمك كند.
     برای مثال كتابفروشی ها و كتابخانه های زیادی وجود دارند كه از رایانه استفاده می كنند و لذا درخواست كمك از افراد هم¬صنف دیگر به راحتی امكانپذیر است. زمانی كه یك رایانه یا شبكه دچار اشكال می شود، مجموعه ای غنی از كانال های اطلاعاتی وجود دارد كه اخبار و اطلاعات امنیتی از طریق آنها ارسال می شود.
    سازمانهایی كه از رایانه ها و شبكه ها استفاده می كنند دارای مراكز كمك رسانی هستند كه توسط متخصصین فنی اداره می شوند و قادر به جلوگیری از كاربرد سوء منابع سازمانی و تأمین امنیت آنها هستند.
    اما كاربران و راهبران فنی در كشورهای درحال توسعه معمولاً فاقد توانایی ارائه این سطح از پشتیبانی هستند. تعداد كاربران اندك است و به هشدارها و راه¬حل های ارائه¬شده نیز توجه نمی شود. سازمان هایی كه از رایانه استفاده می كنند غالباً دارای بخش ستادی كوچكی هستند كه توانایی نظارت بر منابع فنی داخلی خود را ندارند. بسیاری از اوقات این عدم توجه و ناتوانی به دلیل عدم وجود اطلاعات و دانش كافی درباره سیستم های رایانه ای و امنیت شبكه است و گروه هایی هم كه اصول اساسی را درك كرده اند، معمولاً در فهم چگونگی سازگارسازی راهكارهای فنی با شرایط متغیر و غیرقابل پیش بینی این محیط مشكل دارند.
     از سوی دیگر فروشگاه ها و مراكز خدمات تعمیرات رایانه معمولاً از مشكلاتی كه در سایر نقاط دنیا به وجود می¬آیند مطلع نیستند و درنتیجه كاربران و راهبران، به قربانیان توسعه اطلاعات مربوط به امنیت فناوری تبدیل می شوند. نقص امنیتی شبكه در همه كشورها اتفاق می افتد و حتی ممكن است موجب تحت فشار قرار گرفتن دولتها نیز بشود؛ به غیر از این، بسیاری از این نقص ها معمولاً گزارش نمی شوند؛ چراكه اطلاع عموم مردم از آنها می¬تواند نتایج نامطلوبی برای سازمان ها به بار آورد.
     دولت ها و سازمان های موجود در كشورهای توسعه¬یافته عموماً توانایی مقابله با چنین نقص هایی را دارند، ولی نتایج ناشی از بروز نقص ها و اشكالات امنیتی در كشورهای درحال توسعه می تواند بسیار وخیم تر از كشورهای توسعه¬یافته باشد.
     در كنار همه این موارد، بازارها، سازمانها و دولت های كشورهای درحال توسعه به دلیل عدم توجه به عواقب ناشی از نفوذهای رایانه ای در حجم وسیع، عدم توانایی تحلیل ضررهای مالی ناشی از این حملات، و نیز نداشتن تخمین مناسب از زمان لازم برای ترمیم خسارات وارده (البته اگر این خسارات قابل ترمیم باشند)، معمولاً تمایل چندانی به رفع نقایص امنیتی ندارند.
     بنابراین كسب آگاهی درخصوص امنیت فناوری اطلاعات، در وهله اول برای خوانندگانی در كشورهای درحال توسعه نیاز است؛ هرچند اصول امنیتی - مستقل از اینكه شما در یك كشور توسعه¬یافته، درحال توسعه یا توسعه¬نیافته باشید - همواره یكسانند.
    كشورهای درحال توسعه باید تأمین امنیت را به عنوان اولویت اصلی خود درنظر بگیرند، چراكه خطر فعالیت های تبهكارانه بیشتر متوجه مكان هایی است كه از كنترل كافی برخوردار نبوده و ناامن هستند.
     تجارت الكترونیكی در كشورهایی كه امنیت فناوری اطلاعات در آنها كمتر تأمین شده، اهداف جذاب¬تری برای حمله هستند. كشورهای درحال توسعه باید ظرفیت منابع انسانی آموزش¬دیده و زیرساخت های فناوری خود را بهبود بخشند تا اهداف آسانی برای حمله تبهكاران فضای رایانه ای نباشند. در غیر این صورت، كدام سازمان كوچك یا متوسط است كه علی رغم به سرقت رفتن اطلاعات محرمانه مشتریان، فایل های تجاری و یا دستكاری شدن اطلاعات كلیدی سازمان بتواند همچنان پابرجا بماند؟
    با توجه به آنچه گفته شد، تلاش برای حفظ امنیت وظیفه هر فرد است. این فرد می تواند یك كاربر عادی، كارشناس فنی، راهبر سیستم، راهبر شبكه یا و مدیر یك سیستم یا شبكه در سازمان باشد.
اگر در منزل و یا محل كار خود از رایانه استفاده می كنید، مسوولیت حفاظت از اطلاعات آن بر عهده شما است و باید نحوه كاركردن ایمن با یك رایانه یا شبكه ای از رایانه های متصل به هم را بیاموزید.
    توجه به اهمیت امنیت باعث می شود اقدامات ضروری و اطمینان¬بخشی برای حفاظت از سیستم ها صورت پذیرد و استفاده از مجموعه¬ای مؤثر از سیاست های امنیتی، گام مهمی در جهت اطمینان از این مساله است. در آن صورت در بیشتر موارد رایانه ها و اطلاعات شما از دسترسی های غیرمجاز ایمن خواهد بود و خواهید توانست اطلاعات خود را با امنیت كافی با سایرین در شبكه مبادله كنید.
    در مورد نیاز به تأمین امنیت دیدگاه های متفاوتی وجود دارد. گروهی كه در مورد داده¬ها نگرانی دارند، به این مساله به عنوان یك موضوع در حوزه امنیت اطلاعات می‏نگرند؛ كسانی كه با مكانیزم های فنی ذخیره و ارسال اطلاعات سر و كار دارند، این مبحث را از دید امنیت سیستم و شبكه می بینند؛ حال آن كه دیگرانی كه به تجارت مشغول هستند، به آن به عنوان یك حوزه جدید در تجارت و عموماً تحت عنوان امنیت الكترونیكی نگاه می¬كنند.
    با این اوصاف، تدوین و اجرای تدابیر امنیتی در قبال این تهدیدات گسترده، ضرورتی اجتناب ناپذیر برای سازمان ها محسوب می¬شود. تدابیر مناسب می-توانند احتمال وقوع مخاطرات را به حداقل برسانند؛ درصورت وقوع آنها میزان خسارتهای وارده را در حد بسیار ناچیزی نگه دارند؛ و قابلیت واكنش سریع و مؤثر به وجود آورند تا سازمان ها برای ترمیم خسارت ها از فرآیندهای از پیش تعیین¬شده استفاده كنند، بهره وری و ایمنی اطلاعات افزایش یابد و كسب و كار با خیالی آسوده¬تر تداوم یابد. 
نویسنده: مهدی میردامادی
منبع خبر: ماهنامه تحليلگران عصر اطلاعات
  ۲ آذر ۱۳۸۹ ساعت ۲:۳۵:۵۳ بعد از ظهر
شما اولین نفری باشید که نظر میدهد

 همین حالا نظر خود را ثبت کنید: