0

مقدمه ای بر امنیت اطلاعات

1288 بازدید
مقدمه ای بر امنیت اطلاعات

مقدمه ای بر امنیت اطلاعات

هر شخصی چیزی ازرشمند دارد که بخواهد از آن محافظت کند. وقتی صحبت از برقراری امنیت می شود اولین چیزی که به ذهن ما می رسد این است که از اطلاعات یا شیء ارزشمند خود، در برابر دسترسی نادرست محافظت کنیم. محافظت کردن ممکن است از روش های مختلفی انجام شود. برقراری امنیت در حوزه دیتا و اطلاعات را از دیدگاه های گوناگونی می توان سنجید. امنیت اطلاعات یعنی عدم نفوذ ویروس ها و تروجان ها، امنیت اطلاعات یعنی حفاظت فیزیکی اطلاعات، امنیت اطلاعات یعنی جلوگیری از نفوذ هکرها و نفوذ افراد غیرمجاز، امنیت اطلاعات یعنی جلوگیری افراد غیرمجاز از دسترسی درست به اطلاعات درست و … . با همه این تفاسیر، معنای امنیت چیست؟!

 

امنیت چیست؟

بطور کلی میتوان امنیت را اینگونه تعریف کرد، حفاظت از هر گونه دارایی که برای ما با ارزش است در برابر حملات عمدی و غیرعمدی! یک سازمان زمانی موفق می شود امنیت را تا حد قابل قبولی در سیستم خود بالا ببرد، که چندین لایه از امنیت را داشته باشد؛ امنیت فیزیکی، امنیت پرسنلی، امنیت عملیاتی، امنیت ارتباطات، امنیت شبکه و امنیت اطلاعات!مقدمه ای بر امنیت اطلاعات

 

دارایی چیست؟

هر چیزی که برای یک سازمان دارای ارزش باشد، یک دارایی محسوب می شود. در یک سازمان دارایی ها را میتوان در بخش های زیر دسته بندی کرد:

اطلاعات: هرگونه داده و اطلاعاتی که در یک سازمان وجود دارد شامل این بخش می شود. مانند بانک اطلاعاتی، پرونده ها، مستندات سیستمی، راهنمای کاربر، قراردادها و … . بدون محافظت از اطلاعات ممکن است:

  • محرمانگی آن کاهش یابد و به شکلی غیرمجاز افشا شود.
  • بدون دانش به صورت عمدی یا غیرعمدی دستکاری شود.
  • به صورت جبران ناپذیری پاک شده یا از بین بروند
  • زمان که مورد نیاز است غیرقابل دسترس شود.

دارایی های نرم افزاری: هر نوع نرم افزاری که در یک سازمان مورد استفاده قرار می گیرد جزیی از دارایی نرم افزاری محسوب می شود. مثل برنامه های کاربردی، ابزارهای توسعه سیستم، برنامه های کمکی و … .

دارایی های فیزیکی: هرنوع دارایی فیزیکی از یک صندلی گرفته تا تجهیزات رایانه ای، تجهیزات ارتباطی و …. یکی از دارایی های فیزیکی را شامل می شود.

خدمات: شامل خدمات ارتباطی، امکانات عمومی همانند نور، گرما، برق و … می شود.

منابع انسانی: تمامی کارکنان، تخصص، مهارت و تجارب آن ها جزئی از منابع انسانی هستند.

دارایی های نامشهود: اعتبار، وجهه و شهرت سازمان را شامل می شود.

 

مقدمه ای بر امنیت اطلاعات

امنیت اطلاعات

بر اساس راهنمای ISO 27001 برای برقراری امنیت اطلاعات حفظ سه مورد لازم و ضروری است؛ محرمانگی، یکپارچگی و دسترس پذیری اطلاعات. این سه مورد که به CIA معروف است سه رکن اصلی برای سنجش امنیت اطلاعات است.

  • محرمانگی (Confidentiality): این ویژگی بر این امر تاکید دارد که اطلاعات در دسترس افراد، موجودیت ها یا فرآیندهای غیرمجاز قرار نگیرد و فاش نشود.
  • یکپارچگی (Integrity): این ویژگی بر حفظ صحت و تمامیت دارایی ها تاکید دارد. اطلاعات نمی توانند بدون اجازه ایجاد شوند، تغییر یابند و از بین بروند.
  • دسترس پذیری (Availability): این ویژگی بر در دسترس و قابل استفاده بودن، به محض تقاضا توسط یک موجودیت مجاز تاکید دارد.

 

تهدیدات امنیت اطلاعات

تهدیدات امنیتی میتوانند از منابع مختلفی ناشی شوند. برخی از مهم ترین تهدیدات شامل موارد زیر هستند:

  • حملات سایبری: این حملات شامل بدافزار ها، فیشینگ، حملات نفوذ و دیگر روش هایی هستند که مهاجمان از آن ها برای دسترسی به اطلاعات حساس استفاده میکنند.
  • خطای انسانی: یکی از بزرگترین تهدیدات امنیت اطلاعات، خطای انسان است. این خطا ها میتوانند شامل افشای نادرست اطلاعات، انتخاب رمز های عبور ضعیف و یا کلیک بر روی لینک های مخرب باشند.
  • خرابی سخت افزار یا نرم افزار: خرابی تجهیزات یا اشکالات نرم افزاری میتوانند به از دست رفتن یا دسترسی غیرمجاز به داده ها منجر شوند.
  • حوادث طبیعی: رویداد های طبیعی مانند سیل، زلزله و آتش سوزی میتوانند زیرساخت های فناوری اطلاعات را تهدید کرده و اطلاعات را از بین ببرند.

 

روش های حفاظت از اطلاعات

برای مقابله با تهدیدات و اطمینان از امنیت اطلاعات، روش های مختلفی به کار گرفته میشود. برخی از این روش ها عبارتند از:

  • رمزنگاری: استفاده از الگوریتم های رمزنگاری برای حفاظت از اطلاعات در زمان زخیره سازی و انتقال.
  • احراز هویت و مجوزدهی: اطمینان از اینکه تنها کاربران مجاز، به سیستم ها و اطلاعات دسترسی دارند.
  • فایروال ها و سیستم های تشخیص نفوذ(IDS/IPS): جلوگیری از دسترسی غیرمجاز و شناسایی تهدیدات به صوت بلادرنگ.
  • پشتیبان گیری منظم: تهیه نسخه پشتیبان از اطلاعات به منظور بازیابی در صورت از دست رفتن داده ها.
  • آموزش کارکنان: آموزش کاربران در مورد بهترین روش های امنیتی و آگاهی از تهدیدات، میتواند نقش مهمی در کاهش خطرات امنیتی داشته باشد.

نه تنها افراد بلکه هیچ سازمانی نیز بودجه نامحدود برای امن کردن همه چیز ندارد. در نتیجه نمی توان سیستمی صددرصد امن داشت. مثلا یک روش برای امن کردن یک کامپیوتر از حملات شبکه ای، جدا کردن کابل شبکه آن کامپیوتر است اما اینگونه قابلیت استفاده از آن کاهش می یابد. روشی دیگر اتصال کامپیوتر به اینترنت بدون هرگونه آنتی ویروس و فایروال است که قابلیت استفاده از آن بسیار راحت است اما امنیت آن به شدت در خطر خواهد بود. بنابراین کار یک متخصص امنیت یافتن نقطه تعادل بین امنیت و دسترسی است.

برای یافتنن تعادل شما باید بدانید اهداف یک سازمان  چیست، امنیت چست، و چگونه تهدیدات را برای امنیت اندازه گیری کنید! اگر امنیت زیاد باشد به تدریج باعث خستگی کاربران شده و به آن توجه نمیکنند. بنابراین وظیفه یک متخصص امنیتی یافتن نقطه تعادل در این مثلث امنیتی است. حال با داشتن مقدمه ای بر امنیت اطلاعات می توان به سراغ سیستم مدیریت امنیت اطلاعات رفت.

 

سیستم مدیریت امنیت اطلاعات چیست؟

ISMS برگرفته از کلمات Information Security Management System به معنای سیستم مدیریت امنیت اطلاعات است. این سیستم بخشی از سیستم مدیریت کلان است که بر دیدگاه مدیریت مخاطرات کسب و کار بنا شده است. در واقع ISMS به منظور طراحی، پیاده سازی، اجرا، پایش، بازنگری، نگهداری و بهبود امنیت اطلاعات ایجاد شده است. ISMS با انتخاب کنترل های امنیتی کافی و متناسب به مدیران این امکان را می دهد تا بتوانند امنیت سیستم های خود را با به حداقل رساندن مخاطرات تجاری کنترل نماید.

 

 

 

هیواشبکه

ما در مجموعه هیواشبکه شامل :
شرکت فنی و مهندسی هیوانوآوران داده گستر : مجری طراحی ، پیاده سازی ، پشتیبانی پروژه های شبکه و امنیت در استان گیلان – رشت و شهرها و استانهای همجوار
آموزشگاه تخصصی هیواشبکه : برگزار کننده دوره های تخصصی شبکه و امنیت ، پیکربندی سرور HP ، مجازی سازی ، MCSA 2016 ، نتورک و … به صورت حضوری با مجوز از سازمان فنی و حرفه ای و آموزش کارکنان دولت در رشت ، استان گیلان و به صورت مجازی در سراسر کشور
در خدمت شما عزیزان هستیم.

آیا این مطلب را می پسندید؟
https://hivanetwork.ir/?p=39079
اشتراک گذاری:
مونا ارادتی
مطالب بیشتر
برچسب ها:

نظرات

1 نظر در مورد مقدمه ای بر امنیت اطلاعات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

  1. بازتاب: درک نیازها و تعیین دامنه در ISMS | فروشگاه هیواشبکه