پنجشنبه, ۱۱ بهمن, ۱۴۰۳ / 30 January, 2025
مجله ویستا
امنیت اطلاعات در کار الکترونیکی
تهدیدات موجود در پیشروی امنیت سیستمهای اطلاعاتی را میتوان به سه دستهی اصلی تقسیم كرد: ۱) افشای اطلاعات محرمانه (تهدید «افشا»)
۲) صدمه به انسجام اطلاعات (تهدید «دستكاری»)
۳) موجودنبودن اطلاعات (تهدید «تضییق خدمات»).
بطور مرسوم، امنیت اطلاعات در وهلهی اول با تهدید «افشا» همراه بوده است. در دنیای امروز، وابستگی ما به سیستمهای اطلاعاتی طوری است كه دستكاری غیرمجاز یا فقدان گستردهی اطلاعات، پیامدهای ناگواری را موجب خواهد شد. در كار الكترونیكی، لازم است كه همهی انواع اطلاعات از طریق شبكه، دسترسپذیر باشند.
بنابراین، امنیت اطلاعات شرط ضروری كار الكترونیكی است.در هنگام كاركردن در یك شبكهی باز، جریان اطلاعات در شبكه در معرض افشا و دستكاری غیرمجاز میباشد. برای حفاظت از محرمانگی و انسجام آن اطلاعات، رمزگذاری قوی ضروری است. كمك غیرمستقیم رمزگذاری به ما این است كه از وجود شبكههای اطلاعاتی اطمینان حاصل كنیم. پس از مقابلهی مؤثر با تهدیدات«دستكاری» و «افشا»، میتوان با ایجاد اضافات كافی در شبكههای اطلاعاتی، دردسترسبودن اطلاعات را تحقق بخشید. فناوری اینترنت در اصل برای بهوجودآوردن همین نوع از اضافات طراحی شد و هنوز هم برای این منظور مناسب است.
● ایجاد زیرساختار شبكه
معماری اینترنت، معماری شبكهای غالب در اوایل دههی ۲۰۰۰ است. اینترنت بر پروتكل اینترنت (آیپی)[۳] استوار است، كه میتوان آن را روی همهی انواع شبكههای فیزیكی و تحت همهی انواع برنامههای كاربردی به كار انداخت. استقلال پروتكل اینترنت هم از شبكههای فیزیكی و هم از برنامههای كاربردی، نقطهی قوت اصلی آن است. این پروتكل حتی با فناوریهای شبكهای كاملاً جدید، مثل «شبكهی محلی بیسیم» (دبلیولن)[۴] یا «سرویس رادیویی بستهای عمومی» (جیپیآراِس)[۵] و شبكهی «سامانهی عمومی ارتباطات همراه» (جیاِساِم)[۶] نیز كار میكند.
برنامههای جدید، مثل وب، «ووآیپی»[۷]، و بسیاری برنامههای دیگر كه در آینده عرضه میشوند را میتوان به راحتی با سرویس استاندارد پروتكل اینترنت اجرا كرد. معماری اینترنت اساساً از سال ۱۹۷۴ ثابت مانده و همچنان قدرت خود را اثبات میكند. بنابراین شعار قدیمی «آیپی ورای همه، همه چیز برروی آیپی» امروز بیش از هر زمان دیگری صدق میكند.عیبهای اصلی «آیپی»، فضای ناكافی نشانی، عدم پشتیبانی از جایجایی فیزیكی، فقدان كیفیت متمایز سرویس، و فقدان امنیت آن میباشد. «گروه فوقالعادهی مهندسی اینترنت»[۸] هر یك از این موضوعات را مدنظر قرار داده و راهحلهای استانداردی نیز برای هر یك از آنها پیشنهاد شده. در نگارش ششم و جدید «آیپی»[۹] عملاً تعداد نشانیها نامحدود، و گسترشپذیری آن بهتر از نگارش ۴ (كنونی) است. «آیپی سیار» (اِمآیپی)[۱۰] برای هر دو نگارش تعریف شده. این «آیپی» برای میزبان سیار این امكان را فراهم میآورد كه از یك شبكه به شبكه دیگر جابجا شود، ضمن اینكه نشانیهای «آیپی» دائمی خود را، كه در همهی ارتباطات با این میزبان مورد استفاده قرار میگیرد، حفظ میكند.
این امر منجر به تحرك واقعی، نه صرفاً در چارچوب فناوری یك شبكه (مثل «جیاِساِم»)، بلكه بین انواع مختلف شبكهها، مثل «دبلیولَن» ، «جیپیآراِس» ، و شبكههای سیمی میگردد. كیفیت سرویس را میتوان در اینترنت بهوسیلهی «سرویسهای متمایز اینترنتی»[۱۱] كه یك طرح اولویتبندی سادهی مستقل از كشورها است و كاملاً مناسب شبكههای جهانی میباشد، تكمیل كرد. امنیت عمومی سطح «آیپی» توسط «آیپیسِك» (پروتكل امنیت اینترنت)[۱۲] كه بر رمزنگاری، و «پروتكل مدیریت كلید» همراه با آن (یعنی «مبادلهی كلید اینترنتی» (آیكائی)[۱۳]) استوار میباشد، فراهم میگردد.اگرچه همهی این كاركردها را نمیتوان در لایهی «آیپی» به انجام رساند، اما هركار كه ممكن است باید در همانجا به انجام برسد؛ و این، ویژگی خوب معماری اینترنت است كه كل كاركردهای لایهی «آیپی»، چه از شبكههای فیزیكی و چه از برنامهها، مستقل است. مثلاً «آیپیسِك» با (و در) همهی شبكهها و تحت انواع برنامهها كار میكند. اینترنت میتواند از «قانون مور»[۱۴] نهایت استفاده را ببرد. این قانون در اصل خود حكایت از آن دارد كه عملكرد ریزپردازندهها هر ۱۸ ماه دوبرابر میشود، درحالی كه قیمت آنها ثابت میماند. عجیب این كه، این قانون بیش از ربع قرن است كه دوام آورده.
تقریباً همین رفتار را میتوان در بسیاری از حوزههای دیگر نیز مشاهده كرد، از جمله در مورد حافظهی موقت، دیسكسخت، شبكهی محلی، شبكهی محلی بیسیم، سوئیچ شبكهی محلی، و مسیریاب[۱۵] «آیپی». اما حتی در حوزهی مخابرات سیار ]موبایل[ كه نسبتاً سریع پیشرفت میكند، طول عمر یك نسل از تولید، ۱۰ سال است، نه ۲ سال. تلفن رادیویی اتومبیل[۱۶] درسال ۱۹۷۱، تلفن همراه اروپای شمالی[۱۷] در سال ۱۹۸۱، و سامانهی عمومی ارتباطات همراه در ۱۹۹۱ مورداستفادهی عموم قرار گرفتند و «یواِمتیاِس»[۱۸] احتمالاً در سال ۲۰۰۲ وارد میدان میشود.
این بدان معنا است كه صرفهمندی فناوری اینترنت براساس بسته، همواره بسیار سریعتر از فناوری مخابراتی مبتنی بر «تركیب تقسیم زمانی»[۱۹] متعارف پیشرفت میكند. بنابراین در زمان كوتاهی، همهی برنامهها روی «آیپی» قرار میگیرند. در سیستم تلفن معمولی، روشن است كه «ووآیپی» بسیار باصرفهتر از مخابرات معمول، چه درمحدودههای محلی و چه در مناطق گسترده است. با پیشرفتهایی كه در ارتباطات بیسیم و «آیپی» به وقوع پیوسته، فقط ۲ سال طول میكشد كه ارتباطات سیار هم به همین وضعیت برسد. اگر قرار باشد كه «یواِمتیاِس» یك لاكر[۲۰] بومشناختی داشته باشد، همان شبكهی فیزیكی، همراه با شبكهی محلی بیسیم (دبلیولَن)، سرویس رادیویی بستهای عمومی (جیپیآراِس)، و . . .، تحت «آیپی» خواهد بود. بنابراین منطقاً میتوانیم بپذیریم كه كار الكترونیكی بر معماری اینترنت استوار خواهد بود و جنبههای امنیت شبكهای آن نیز همانند امنیت اینترنت خواهد بود.رایانش فراگیر به معنای استفاده از فناوری اطلاعات در یكی از اشكال گوناگون آن، در همهی عرصههای زندگی و با همهی ابزار قابل تصور، میباشد. وسایل خانگی متداول شامل ریزپردازندههایی هستند كه نرم افزارهایی را به كار میاندازند كه بخش عمدهی كاركرد این وسایل را به انجام میرسانند. در آیندهی نزدیك، اكثر این ابزارها، اغلب با دسترسی بیسیم، شبكهبندی خواهند شد. همچنین بهمنظور حصول امنیت، لازم است كه سیستمهای رمزنویسی كلید عمومی و كلیدهای رمزنویسی مخفی داشته باشند تا پیكربندی و مدیریت امن آنها امكانپذیر شود. این بدان معنا است كه ما در همهجا، رایانههای با شبكهبندی كوچك و رمزنویسی تعبیهشده در درون آنها خواهیم داشت. این رایانهها بقدری رایج خواهند شد كه آنها را رایانه یا فناوری اطلاعات به شمار نخواهیم آورد؛ همانطور كه امروزه به الكتریسیته كه همهجا از آن استفاده میكنیم، چندان توجه نمیكنیم.بزودی تقاضای بسیار برای ابزارهای ارزانقیمت و كوچك را كه محیط رابط «آیپی»، «آیپیسِك»، و «دبلیولن» را بر روی فقط یك تراشهی سیلیكن به كار میاندازند شاهد خواهیم بود. بقیهی سطح این تراشه به یك ریزكنترلگر همهمنظوره، درگاههای ورودی و خروجی و حافظه اختصاص مییابد تا دستگاههای مختلف را كنترل كند. این تراشهها اكنون تولید شدهاند و بهزودی اكثر میزبانهای متصل به اینترنت را تشكیل میدهند.● تأثیر افزایش جابجاییپذیری
سیاربودن درمفهوم وسیعتر كلمه به معنای توانایی كاربر در دسترسی به اطلاعات، مستقل از محل و مكان او میباشد. در عمل، لازمهی این امر معمولاً نوعی از پشتیبانی جابجاییپذیری از سوی دستگاه پایانه و شبكهی اصلی است. البته جابجاییپذیری تهدیدهای جدید امنیتی را به دنبال نمیآورد، اما تهدیدهای موجود را جدیتر میسازد؛ زیرا دسترسی به اطلاعات، مستقل از مكان صورت میگیرد. همچنین امنیت سیستم، از هر جایی و توسط هر فرد مجاز میتواند مورد حمله قرار گیرد. باید توجه كرد كه جابجاییپذیری و بیسیمبودن دو چیز متفاوتاند، اگر چه اغلب با هم همراهاند. جابجاییپذیری به معنای توانایی كاربر یا پایانه، در حركت از یك شبكه (یا نقطهی اتصال) به شبكهی دیگر است؛ بیسیمبودن یعنی جایگزینساختن كابل شبكه یا آخرین پیوند شبكه با پیوندهای ارتباطی بیسیم (مثل رادیویی یا مادونقرمز). بیسیمبودن بهتنهایی، جابجاییپذیری چندانی را امكانپذیر نمیكند. مثلاً در یك شبكهی «سامانهی عمومی همراه» (جیاسام)، عمدهی پیچیدگی شبكه و نرمافزار پایانه باید به امر انتقالات، یعنی گذر پایانهی سیار از یك ایستگاه اصلی به ایستگاه دیگر تخصیص یابد. ضمن اینكه بیسیمبودن و جابجاییپذیری، هر یك بهطور جداگانه ممكن است مفید باشند، وقتی كه با هم تركیب میشوند بهترین عملكرد را دارند. به همین دلیل دسترسی بیسیم به شبكههای سیار اهمیت روزافزونی پیدا میكند.
● راهحلهای ممكن
امنیت اطلاعات موضوعی چندبـُعدی است كه با جنبههای غیرفنی متعددی ارتباط دارد. همواره برای تحقق امنیت، ابزارهای فیزیكی، پرسنلی و اجرایی لازماند و ابزارهای فنی بهتنهایی بیفایدهاند. اما وقتی كه در یك شبكهی نامطمئن كار میكنید، امنیت بدون استفاده از رمزنگاری میسر نمیشود. بنابراین بخشی از راهحل، «آیپیسِك» است كه میتوان به عنوان یك سازوكار استاندارد برای حفاظت در برابر استراق سمع و دستكاری پیام در شبكه به كار برد.رمزنگاری كلید عمومی، مثلاً برای تأیید اصالت و برای مدیریت كلیدها، لازم است.
بعلاوه، یك «زیرساختار كلیدهای عمومی»[۲۱] لازم است تا كلیدها را به شیوهای اطمینانبخش، به مالكان آنها پیوند دهد. «زیرساختار كلیدهای عمومی» نمونهای از خدمات «شخص ثالث امین»[۲۲] است كه همیشه بر اعتماد و اطمینان استوارند. تحقق فیزیكی «زیرساختار كلیدهای عمومی» در قالب گواهینامه انجام میگیرد. اعتماد بهدستآوردنی است نه دیكتهكردنی. طرفهای مختلف باید بتوانند تصمیم بگیرند به چه كسی، در چه موضوعاتی، و تا چه اندازه اعتماد كنند.همچنین در هر سیستم به یك «مبنای رایانشی قابل اعتماد»[۲۳] نیاز داریم. این «مبنای رایانشی قابل اعتماد» باید ] تا حد امكان [كوچكشده، و مبتنی بر طرحهای آزاد باشد. باید بتوانیم حسابرسی كنیم تا به آن اعتماد كنیم.
چشمپوشی از امنیت بخشهایی از سیستم در خارج از «مبنای رایانشی قابل اعتماد» نباید امنیت كل سیستم را به خطر اندازد.بطور سنتی، كنترل دسترسی و صدور مجوز برای آن براساس تأیید اصالت هویت كاربر (هویتی كه در شكل یك نام نمود مییابد) صورت میگیرد. این كار در سیستمهای بزرگ عملی نیست، زیرا تشخیص حقوق دسترسی یك فرد صرفاً براساس نام او، امكانناپذیر است. عموماً ما بیشتر علاقهمندیم كه اطمینان حاصل كنیم كاربر به انجام كاری كه انجام میدهد مجاز است یا خیر، و نه این كه بدانیم او كیست.
بنابراین به جای تعیین هویت او، باید قادر به تأیید اصالت حقوق او باشیم. صدور مجوزها ابزار عمومی خوبی هستند كه میتوان برای چنین اهدافی، حتی در سطوح سیستمهای جهانی بهكارگرفت.امنیت و قابلیت استفاده، از اقتضائات متضادباهم هستند. وقتی كه سیستمها را امنتر میكنیم، طبعاً از قابلیت استفادهی آنها میكاهیم. كار الكترونیكی چیزی است كه باید در شرایط مربوط به كاربر عادی هم عمل كند، یعنی برای هر كسی قابل استفاده باشد. تركیب قابلیت استفاده با امنیت، چالش اصلی عصر ما است.
● كار الكترونیكی امن: یك چشمانداز
كار با اینترنت به پیشرفت خود ادامه میدهد و به عرصههای جدید برنامههای كاربردی گسترش مییابد. كاهش سرانهی قیمت محصولات، عملاً همهی برنامهها را به استفاده از فناوری اصلی «آیپی»سوق خواهد داد. اگر جابجاییپذیری، كیفیت خدمات، و امنیت، محور اصلی خدمات اینترنت در نسل آینده باشند، در آن صورت یك سكوی عمومی جهانی خواهیم داشت تا كار الكترونیكی را بر روی آن استوار كنیم.«آیپیسِك» و «زیرساختار كلید عمومی» مانع مؤثری در مقابل افشای غیرمجاز و دستكاری ]ناشی از[ ترافیك شبكه ایجاد میكنند. وجود اضافات كافی در شبكه، مانع تضییق خدمات است. با راهحلهای استاندارد و ارزانقیمتی كه مرتباً ارزانتر هم میشوند، میتوان به همهی اینها دست یافت.بنابراین سكوی فنی برای كار الكترونیكی امن، در حال شكلگرفتن است و جنبههای شبكهای امنیت را میتوان حل كرد. اما وقتی كه با افراد و با جریانهای پیچیدهی اطلاعات سروكار داریم، هیچ راهحل استاندارد سادهای برای امنیت كل سیستم وجود ندارد.
برای تعریف فرایندهای اصلی پیشهگانی و جریانهای اطلاعاتی و مقتضیات امنیتی ملازم با آنها، كار زیادی لازم است. باید در طراحی این فرایندها، امنیت نیز وارد شود. باید سازوكارهای استاندارد امنیت بهكارگرفته شوند تا اطمینان حاصل شود كه سیستمهای اطلاعاتی مورد استفاده، امنیت جریانهای اطلاعاتی را به خطر نمیاندازند.هیچ روش شناختهشدهای برای اثبات امنیت كل فرایندها وجود ندارد. باید مداوماً به نظارت و به بازخورددادن به فرایندهایمان بپردازیم. همچنین بازرسی بهوسیلهی یك طرف بیرونی (كه مسئولیتی در استقرار یا اجرای سیستم ندارد) لازم است.
خوشبختانه ما به مرحلهای رسیدهایم كه قدرت پردازش فزاینده و دیگر پیشرفتهای فنی آتی، به نفع افراد است.استفادهپذیری هر سیستم اطلاعاتی یك چالش عمده است. تركیب استفادهپذیری با امنیت، بسیار دشوارتر است. هدف اصلی در طراحی سیستمها نباید بهینهسازی استفاده از منابع رایانشی هر چه ارزانتر باشد، بلكه باید كار افراد را هر چه اثربخشتر و خوشایندتر سازد. این یك عرصهی تحقیقاتی بین- رشتهای است كه انتظار میرود در آینده اهمیت بیشتری پیدا كند.ضعیفترین نقطه در موضوع امنیت، همچنان افراد و نگرشهای آنها خواهد بود.
مدتها است كه علت اصلی در عمدهی نقض امنیتها، رفتار غیرمجاز افراد غیرمجاز در كارهای روزانهشان است. درحالیكه ابزارهای فنی و سكوهای فنی امن و قابل اندازهگیری برای موفقیت در كار الكترونیكی ضرورت دارند، اما كمبودهای موجود در جنبههای غیرفنی امنیت را جبران نمیكنند. امنیت را باید تعریف، طراحی، و در فرایندهای كاری تعبیه كرد. افراد باید به خوبی راهنمایی شوند، آموزش ببینند، و انگیزهمند شوند. همچنین باید به نظارت و بازخورد، و نیز به بازرسی مستقل توجه كرد. این امر مستلزم آن است كه كل سازمانها، كار را از ردهی بالای مدیریت خود شروع كنند. امكانات حاصل از كار الكترونیكی چنان است كه باید در درازمدت، اطمینان حاصل شود كه از زمان و كار به بهترین صورت استفاده میشود.
پانوشتها
[۱]. Arto Karila, “Information Security in E-work”, in Telework ۲۰۰۱-Report of the ۸th European Assembly on New Ways to Work. Helsinki: ۱۲-۱۴.۹.۲۰۰۱, pp. ۷۸-۸۱.
[۲]. Internet Protocol (IP)
[۳]. Wireless LAN (WLAN)
[۴]. General Packet Radio Service (GPRS)
[۵]. General System for Mobile (GSM) communications
[۶]. Voice over IP (VoIP)
[۷]. Internet Engineering Task Force (IETF)
[۸]. IPv۶
[۹]. Mobile IP (MIP)
[۱۰]. Differentiated Internet Services (DiffServ)
[۱۱]. IPSEC (Internet security protocol)
[۱۲]. Internet Key Exchange (IKE)
[۱۳]. Moore’s law
[۱۴]. router
[۱۵]. Automobile Radio Phone (ARP)
[۱۶]. Nordic Mobile Telephone (NMT)
[۱۷]. UMTS (Universal Mobile Telecommunications System)
[۱۸]. Time Division Multiplexing (TDM)
[۱۹]. locker
[۲۰]. public key infrastructure (PKI)
[۲۱]. trusted-third-party (TTP)
[۲۲]. trusted computing base (TCB)
آرتو كاریلا[۱]
مترجم: حمید دلیلی
دانشجوی دورهی دكتری اطلاعرسانی و كتابداری دانشگاه فردوسی مشهد
عضو هیئت علمی دانشگاه پیام نور
[۱]. Arto Karila, “Information Security in E-work”, in Telework ۲۰۰۱-Report of the ۸th European Assembly on New Ways to Work. Helsinki: ۱۲-۱۴.۹.۲۰۰۱, pp. ۷۸-۸۱.
[۲]. Internet Protocol (IP)
[۳]. Wireless LAN (WLAN)
[۴]. General Packet Radio Service (GPRS)
[۵]. General System for Mobile (GSM) communications
[۶]. Voice over IP (VoIP)
[۷]. Internet Engineering Task Force (IETF)
[۸]. IPv۶
[۹]. Mobile IP (MIP)
[۱۰]. Differentiated Internet Services (DiffServ)
[۱۱]. IPSEC (Internet security protocol)
[۱۲]. Internet Key Exchange (IKE)
[۱۳]. Moore’s law
[۱۴]. router
[۱۵]. Automobile Radio Phone (ARP)
[۱۶]. Nordic Mobile Telephone (NMT)
[۱۷]. UMTS (Universal Mobile Telecommunications System)
[۱۸]. Time Division Multiplexing (TDM)
[۱۹]. locker
[۲۰]. public key infrastructure (PKI)
[۲۱]. trusted-third-party (TTP)
[۲۲]. trusted computing base (TCB)
آرتو كاریلا[۱]
مترجم: حمید دلیلی
دانشجوی دورهی دكتری اطلاعرسانی و كتابداری دانشگاه فردوسی مشهد
عضو هیئت علمی دانشگاه پیام نور
منبع : نما مجله الکترونیکی پژوهشگاه اطلاعات و مدارک علمی ایران
ایران مسعود پزشکیان دولت چهاردهم پزشکیان مجلس شورای اسلامی محمدرضا عارف دولت مجلس کابینه دولت چهاردهم اسماعیل هنیه کابینه پزشکیان محمدجواد ظریف
پیاده روی اربعین تهران عراق پلیس تصادف هواشناسی شهرداری تهران سرقت بازنشستگان قتل آموزش و پرورش دستگیری
ایران خودرو خودرو وام قیمت طلا قیمت دلار قیمت خودرو بانک مرکزی برق بازار خودرو بورس بازار سرمایه قیمت سکه
میراث فرهنگی میدان آزادی سینما رهبر انقلاب بیتا فرهی وزارت فرهنگ و ارشاد اسلامی سینمای ایران تلویزیون کتاب تئاتر موسیقی
وزارت علوم تحقیقات و فناوری آزمون
رژیم صهیونیستی غزه روسیه حماس آمریکا فلسطین جنگ غزه اوکراین حزب الله لبنان دونالد ترامپ طوفان الاقصی ترکیه
پرسپولیس فوتبال ذوب آهن لیگ برتر استقلال لیگ برتر ایران المپیک المپیک 2024 پاریس رئال مادرید لیگ برتر فوتبال ایران مهدی تاج باشگاه پرسپولیس
هوش مصنوعی فناوری سامسونگ ایلان ماسک گوگل تلگرام گوشی ستار هاشمی مریخ روزنامه
فشار خون آلزایمر رژیم غذایی مغز دیابت چاقی افسردگی سلامت پوست