امنیت اطلاعات چیست؟

در دنیای امروزه اطلاعات حرف اول را می‌زند، تمامی افرادی که در یک کشور زندگی می‌کنند، تمامی سازمان‌ها و شرکت‌های خصوصی و یا دولتی، ارگان‌های نظامی و غیر نظامی همه و همه اطلاعات زیادی دارند که باید به صورت محرمانه باقی بماند، ایمن نگه‌داشتن این اطلاعات تلاش‌های فراوانی را می‌طلبد و این موضوع به یکی از موضوعات داغ این روز‌ها تبدیل شده است. با ما همراه باشید تا در ادامه بیشتر در مورد امنیت اطلاعات بحث کنیم.

امنیت اطلاعات چیست؟

به طور ساده امنیت اطلاعات یعنی انجام اقداماتی جهت محافظت از اطلاعات دیجیتال در برابر دسترسی‌های غیرمجاز، از دست رفتن، تغییر پیدا‌ کردن، دستکاری شدن در تمام مدت چرخه حیات اطلاعات؛ برای برقراری این اقدامات و محافظت از این اطلاعات می‌بایست اصول سه گانه C.I.A برقرار باشد. حالا منظور از این اصول سه گانه چیست؟

حتما بخوانید :

بهترین زبان های برنامه نویسی برای هک و امنیت و هکر شدن

اصول سه گانه C.I.A

اصول سه گانه از سه کلمه Confidentiality به معنای محرمانگی، Integrity به معنای یکپارچگی و Availability به معنای دسترس‌پذیری تشکیل شده است.

محرمانگی (Confidentiality): اصل محرمانه بودن می‌گوید اطلاعات حساس نباید دست افرادی که مجوز دسترسی به آن را ندارد بیافتد؛ بنابراین اطلاعات تنها باید در دسترس مالک آن اطلاعات و یا سازمان‌های مشروع باشد.
یکپارچگی (Integrity): اصل یکپارچی به پایدار بودن اطلاعات، دقیق بودن و عدم تغییرپذیری اشاره دارد. داده‌ها نباید در طول جابجایی و یا اقدامات دیگر تغییر کنند؛ بنابراین اصل یکپارچگی این اطمینان را می‌دهد که داده‌ها دقیق و قابل اعتماد هستند و چه به صورت تصادفی و چه غیر تصادفی تغییری نخواهند کرد.
دسترس‌پذیری (Availability): اصل دسترس‌پذیری می‌گوید اطلاعات باید همیشه و به سادگی در دسترس افراد مشروع باشد. این اصل شامل سخت افزارسخت افزار چیست - بررسی اجزای اصلی سخت افزار کامپیوتردر این صفحه بررسی شده که سخت افزار چیست و سخت افزار کامپیوتر به زبان ساده معرفی شده است، همچنین به بررسی اجزای اصلی سخت افزار کامپیوتر پرداخته شده استها و زیرساخت‌ها نیز می‌شود؛ به بیان دیگر این اصل تضمین می‌کند که زمانی که کاربران به داده‌ها نیاز داشته باشند، سیستم توانایی پاسخگویی به آن‌ها را دارد.

چرا امنیت اطلاعات مهم است؟

داده (Data) حکم یک عضو حیاتی هر سازمانی را دارد. گاهی اوقات حفظ اطلاعات خیلی از حفظ‌کردن پول و دارایی شرکت مهم‌تر است؛ زیرا درز اطلاعات باعث از بین رفتن شهرت سازمان می‌شود و حتی در خیلی از مواقع می‌تواند منجر به ورشکست شدن آن سازمان یا شرکت شود؛ به عنوان مثال شرکت کوکاکولا را در نظر بگیرید که طرز تهیه نوشابه‌های خود را درون خزانه قفل کرده است یا مثلا شرکت KFC که از یک آزمایشگاه مخفی (به نام هرشی) استفاده می‌کند تا 11 گیاه و ادویه معروف و ناشناخته‌ی خود را بسازد. حفظ این اطلاعات بسیار مهم است؛ اما همیشه نمی‌توان اطلاعات را قفل و کلید را مخفی کرد. بسیاری از اطلاعات امروزی به صورت دیجیتال هستند و کارمندان نیاز دارند تا به آن دسترسی داشته باشند؛ چراکه باید از آن اطلاعات استفاده کنند و بتوانند به آن داده‌های جدید اضافه کنند و یا از آن برای مسائل مربوط به سازمان استفاده کنند. هرچه تعداد افراد و شُرکای بیشتری به اطلاعات دسترسی داشته باشند، شانس درز اطلاعات و در خطر افتادن آن نیز بیشتر می‌شود.

وقتی فردی که دارای مجوز دسترسی نیست؛ اما به اطلاعات دسترسی پیدا می‌کند، می‌گوییم نقض اطلاعات یا نشت اطلاعات (Data breaches) رخ داده است؛ نقض اطلاعات از بزرگترین نگرانی‌های یک ارگان است. جالب است بدانید 63 درصد از پاسخ‌دهندگان به مطالعه KPMG گفته‌اند که در سال 2021 دچار نقض اطلاعات یا حادثه‌ی سایبری شده‌اند و این عدد همواره در حال رشد کردن است؛ نقض اطلاعات یا Data Breaches به تعدادی از حادثه‌های سایبری گفته می‌شود. در زیر مهم‌ترین و معروف‌ترین آنها را آورده‌ایم:

لو رفتن اطلاعات به صورت اتفاقی
حملات Phishing
حملات DDOS یا Distributed Denial-Of-Service
نقض اطلاعات به صورت فیزیکی
مشکلات در کنترل دسترسی (Access Control)
در پشتی یا Backdoors

لو رفتن اطلاعات و هک شدن سرویس‌های یک سازمان تنها مخصوص شرکت‌های کوچک و یا ضعیف نیست؛ حتی شرکت‌های بزرگ مانند یاهو، فیسبوک و توییتر نیز دچار این حملات شده‌اند.

حتما بخوانید :

امنیت سایبری چیست

انواع داده‌ها از نظر امنیت

قبل از اینکه یک ارگان تصمیم بگیرد داده‌ها را ایمن کند، اول باید بداند که اصلا چه داده‌هایی در اختیار دارد و میزان حساسیت آنها چقدر است. دسته‌بندی‌ اطلاعات یا Data Classification یک امر مهم در جهت ایمن‌سازی داده‌ها به‌حساب می‌آید و باعث می‌شود که مدیریت آنها، ذخیره‌سازی و ایمن‌کردن آنها راحت‌تر صورت بپذیرد. به‌طور کلی 4 دسته اطلاعات وجود دارد که به صورت زیر است:

اطلاعات عمومی (Public Information)
اطلاعات محرمانه (Confidential Information)
اطلاعات حساس (Sensitive Information)
اطلاعات شخصی (Personal Information)

بسته به نوع سازمان و ارگان صاحب اطلاعات، دسته‌ها ممکن است تغییر کنند و هرکدام از شاخه‌ها نیز دارای زیرمجموعه مخصوص به خودش باشد. تمامی این موارد به خود سازمان بستگی دارد؛ ولی مهم است که قبل از هرگونه اقدامی تمامی دسته‌ها مشخص شوند.

روش‌های ایمن سازی اطلاعات

تضمین امنیت اطلاعات دارای روش‌های مختلفی است؛ چراکه ماهیت داده‌ها و اطلاعات و همچنین نوع ذخیره‌سازی آنها متفاوت است؛ بنابراین نمی‌توان تنها با انجام یک تکنیک ثابت جهت ایمن سازی اطلاعات ادعا کنیم که داده‌ها دیگر در معرض خطر نیستند. در لیست زیر مهم‌ترین تکنیک‌ها و اقدامات جهت ایمن سازی اطلاعات آمده است:

رمزنگاری (Encryption)
پوشش داده‌ها (Data Masking)
کنترل دسترسی (Access Control)
پیشگیری از از دست دادن اطلاعات (Data loss Prevention)
پشتیبان گیری از داده‌ها

رمزنگاری

در فرایند رمزنگاریرمزنگاری چیست؟ بررسی انواع رمزنگاری و ویژگی های رمزنگاریرمزنگاری چیست و چگونه کار میکند؟ این مقاله عالی به معرفی رمز نگاری، انواع رمزنگاری از جمله متقارن و نامتقارن، الگوریتم های رمزنگاری و تاریخچه آن پرداخته است ، متون ساده و قابل خواندن به سایفرتکست (Ciphertext) تبدیل می‌شوند که غیرقابل خواندن است؛ این‌کار به وسیله الگوریتمالگوریتم چیست به زبان ساده و با مثال های فراواندر این مقاله به زبان بسیار ساده و با مثال های متعدد توضیح داده شده که الگوریتم چیست و چه کاربردهایی دارد‌های رمزنگاری انجام می‌شود. متون رمزشده توسط افراد متفرقه قابل رمزگشایی نیست و تنها کسی که کلید مخصوص رمزگشایی را داشته باشد قادر است تا متون رمزشده را رمزگشایی کند؛ بنابراین رمزنگاری یکی از راه‌های حفاظت از اطلاعات است که امروزه به‌وفور مورد استفاده قرار می‌گیرد؛ به عنوان مثال سیستم‌های بلاکچینبراستی بلاکچین چیست؟ از 0 تا 100 بلاکچین به زبان سادهبراستی بلاکچین چیست؟ افراد زیادی می‌خواهند با بلاکچین آشنا شوند، اما نمی‌توانند در سایت‌ها توضیح ساده ای از بلاکچین بیابند، این مقاله به توضیح بلاچین به زبان ساده پرداخته مانند بیت کوینبیت کوین چیست؟ از 0 تا 100 بیت کوین به زبان سادهبراستی بیت کوین چیه؟ افراد زیادی می‌خواهند با بیت کوین آشنا شوند، اما نمی‌توانند در سایت‌ها توضیح ساده ای از بیت کوین بیابند، این مقاله به توضیح بیت کوین به زبان ساده پرداخته است و اتریوممعرفی ارز دیجیتال اتریوم، اتریوم چیست و چرا به وجود آمد؟این صفحه فوق العاده به معرفی ارز دیجیتال اتریوم (Ethereum) پرداخته و بررسی کرده است که چه لزومی به ایجاد اتریوم (ETH) بوده و چرا اتریوم (ETH) به وجود آمده تماما بر اساس اصول رمزنگاری فعالیت می‌کنند.

پوشش داده‌ها

پوشش داده‌ها یا Data Masking نیز یکی از روش‌های پنهان‌سازی و محافظت از داده‌های حساس است. این روش شاید شبیه به رمزنگاری به نظر برسد اما کاملا با رمزنگاری فرق می‌کند. در این تکنیک، داده‌های ماسک شده شبیه به داده‌های اصلی بنظر می‌رسند، یعنی همان ویژگی مجموعه داده‌ها و یکپارچگی را دارند، اما اطلاعات مفیدی به خواننده نمی‌دهند و از آن نمی‌توان به داده‌های محرمانه و حساس رسید؛ به عنوان مثال فرض کنید شماره موبایل یک نفر 09901231231 باشد، داده ماسک شده می‌تواند به صورت 31*****0990 در وبسایت یا هر جای دیگر ظاهر شود؛ بدین ترتیب از لو رفتن اطلاعات اصلی جلوگیری می‌شود. پوشش داده بیشتر برای وقتی استفاده می‌شود که قرار است قسمتی از داده را به کاربر نشان دهیم و همچنین برای تست نرم افزارتست نرم افزار چیست؟ – انواع، روش ها و اهمیت تست نرم افزارتست نرم افزار چیست؟ این مقاله عالی به بررسی انواع تست های نرم افزاری، بهترین روش ها برای تست نرم افزارها و اهمیت تست نرم افزار پرداخته است یا Software Testing نیز مورد استفاده قرار می‌گیرد؛ به این ترتیب می‌توان به جای اطلاعات حساس، از اطلاعات پوشش داده شده در طول فرایند توسعه نرم‌افزار استفاده کرد.

کنترل دسترسی

یکی از مهم‌ترین راه‌های ایمن‌سازی اطلاعات، کنترل کردن دسترسی است، یعنی مشخص کنید که چه کسی قرار است به چه اطلاعاتی دسترسی داشته باشد. به‌وسیله تکنیک Access Control، سطوح دسترسی و فعالیت‌های قابل انجام برای افراد مختلف تعیین می‌شود؛ به عنوان مثال ممکن است به یک شخص (مثلا منشی) تنها اجازه خواندن و مشاهده اطلاعات موجود در پایگاه دادهپایگاه داده چیست؟ – انواع، مفاهیم و کاربردهاپایگاه داده چیست؟ این مقاله به بررسی این موضوع و همچنین انواع پایگاه داده، کاربردهای پایگاه داده، محبوب ترین پایگاه های داده و اجزای اصلی پایگاه داده پرداخته داده شود و اجازه هرگونه تغییر و حذف اطلاعات از او گرفته شود. اگر هر شخصی که در سازمان حضور دارد بتواند به طور آزادانه هر عملی را بر روی داده‌ها و اطلاعات انجام دهد، آن‌وقت است که داده‌ها در معرض خطر لو رفتن و نقض شدن قرار می‌گیرد. همانطور که گفته شد، کنترل دسترسی از مهم‌ترین تکنیک‌های محافظت از اطلاعات است؛ به همین خاطر اکثر سیستم‌های ذخیره اطلاعات بخش جدایی برای مدیریت دسترسی به‌وجود آورده‌اند؛ به عنوان مثال پایگاه داده MySQLmysql چیست؟ بررسی تفاوت مای اس کی یو ال با اس کی یو ال-sqlاین مقاله عالی به معرفی mysql می‌پردازد، همچنین ویژگی های MySQL، تفاوت MySQL با SQL و سازگاری این پایگاه داده به سایر سرویس ها را مورد بررسی قرار می‌دهد که امروزه به طور گسترده برای ذخیره‌ی داده‌های وبسایت‌ها استفاده می‌شود، دارای یک بخش جداگانه و کدهای مخصوص کنترل و مدیریت دسترسی می‌باشد. به طور کلی کنترل دسترسی از دو فرایند اصلی تشکیل می‌شود:

احراز هویت (Authentication): در این فرایند مشخص می‌شود که اشخاص همانی هستند که ادعا می‌کنند؛ یعنی فرد مهاجم و خرابکار نیستند.
مجوز دسترسی (Authorization): در فرایند مجوز دسترسی بررسی می‌شود که افرادی که احراز هویت شده‌اند، مجوز دسترسی به داده‌ها و منابع مربوطه را دارند.

حتما بخوانید :

معرفی گرایش رایانش امن در مقطع ارشد کامپیوتر

پیشگیری از از دست دادن اطلاعات

پیشگیری از، از دست‌دادن اطلاعات یا Data Loss Prevention که به اختصار به آن DLP می‌گویند، یکی از راه‌های حفظ اطلاعات است. ابزارهای مختلفی برای حفظ اطلاعات و جلوگیری از از دست رفتن آنها وجود دارد که هرکدام از تکنیک‌های خاصی استفاده می‌کنند تا داده‌ها حفظ شوند؛ به عنوان مثال تحلیل و آنالیز داده‌ها در مقابل هرگونه آنومالی و نقض قوانین مربوط به آنها.

پشتیبان گیری از داده ها

از بدیهی‌ترین راه‌های حفظ اطلاعات و ایمن نگه داشتن آنها در مقابل خطراتی همچون از دست رفتن و تغییر‌یافتن، پشتیبان‌گیری از آنها است. ما همیشه در حال پشتیبان‌گیری از داده‌هایمان هستیم؛ به عنوان مثال اگر در حال انجام دادن تمرین‌های درسی باشیم، آن را در جاهای مختلف کپی می‌کنیم تا مبادا اتفاقی بیافتد و کل زحمت‌مان به هدر برود. منظور از پشتیبان‌گیری داده‌ها دقیقا همین است، کپی‌کردن داده‌ها و اطلاعات پایگاه داده در جاهای مختلف؛ بنابراین اگر داده‌ها به سرقت رفت یا هر اتفاق دیگری افتاد، پشتیبان یا کپی داده‌ها این تضمین را به ما می‌دهد که می‌توانیم داده‌های از دست رفته را بازگردانی کنیم.

امنیت اطلاعات، حریم خصوصی اطلاعات و حفاظت از اطلاعات

گاهی اوقات برای ایمن سازی داده‌ها و اطلاعات از واژه‌های مختلفی استفاده می‌شود؛ این واژه‌ها ممکن است به اشتباه به‌جای یکدیگر به کار گرفته شود. در اینجا قرار است بررسی کنیم منظور هریک از این واژه‌ها دقیقا چیست؟

امنیت اطلاعات (Data Security)

امنیت داده ها دامنه وسیعی از ایمن سازی داده ها را در بر می‌گیرد. هدف از امنیت داده ها تنها جلوگیری از دسترسی افراد متفرقه به داده‌ها نیست، بلکه ایمن ساختن اطلاعات در برابر از دست رفتن عمدی و غیرعمدی و خراب شدن آنها نیز است؛ در حالی که حریم خصوصی داده‌ها بیشتر بر روی محرمانگی از سه گانه C.I.A تمرکز می‌کند، امنیت داده ها بیشتر تمرکزش بر روی یکپارچگی و دسترس‌پذیری داده‌ها است؛ به عنوان مثال تصور کنید یک فرد خرابکار یا هکر به هر نحوی به داده‌های محرمانه دسترسی پیدا کند، وجود رمزنگاری مانع خواندن داده‌ها توسط آن فرد می‌شود.

حریم خصوصی اطلاعات (Data Privacy)

حریم خصوصی داده‌ها به نحوه ذخیره و استفاده کردن داده‌های حساس توسط شرکت‌ها و سازمان‌ها و نوع جمع‌آوری آنها مربوط می‌شود. هر سازمانی یک خط‌مشی برای حفظ حریم خصوصی داده‌ها دارد. اگر دقت کرده باشید وقتی در وبسایتی ثبت نام می‌کنید یا وقتی قصد استفاده از ابزاری را داشته باشید، با عبارت Privacy Policies مواجه می‌شوید. Privacy Policies در واقع همان سیاست‌ها و خط مشی‌هایی است که ارگان‌ها جهت حفظ حریم خصوصی در پیش می‌گیرد.

حفاظت از اطلاعات (Data Protection)

حفاظت از اطلاعات راهی برای جلوگیری از از دست رفتن اطلاعات است؛ در واقع می‌خواهیم مطمئن شویم اگر اطلاعاتی از دست رفت، امکان ریکاوری از طریق اطلاعات پشتیبان وجود داشته باشد.

جمع‌بندی

با توجه به افزایش روز افزون داده‌ها، نقش امنیت اطلاعات در جلوگیری از به خطر افتادن آنها روز به روز پر رنگ‌تر می‌شود و در واقع بخش عظیمی از هزینه‌های شرکت به حفظ اطلاعات و داده‌های شرکت اختصاص می‌یابد. تکنیک‌های مختلفی برای جلوگیری از به خطر افتادن و از دست‌رفتن اطلاعات وجود دارد؛ اما هیچ وقت با قاطعیت نمی‌توان گفت که سیستمی که ما ایمن کردیم در مقابل هر خطری محفوظ است؛ چراکه افراد خرابکار همیشه به دنبال راه‌های جدید برای سرقت اطلاعات محرمانه هستند؛ بنابراین خیلی مهم است که اگر در زمینه امنیت اطلاعات کار می‌کنیم همیشه به روز باشیم. در این مقاله به بحث در مورد امنیت اطلاعات و واژه‌های مهم این زمینه پرداخته شد و همچنین راه‌های جلوگیری از نقض اطلاعات را بررسی کردیم.

امنیت اطلاعات چیست؟

به طور خلاصه امنیت اطلاعات یعنی انجام اقداماتی جهت محافظت از اطلاعات دیجیتال در برابر دسترسی‌های غیرمجاز، از دست‌ رفتن، تغییر پیدا کردن، دستکاری‌شدن در تمام مدت چرخه‌ی حیات اطلاعات.

سه گانه‌ی C.I.A در امنیت اطلاعات چیست؟

هر سیستم ایمن باید سه گانه‌ی C.I.A را داشته باشد؛ این سه گانه از سه کلمه‌ی Confidentiality به معنای محرمانگی، Integrity به معنای یکپارچگی و Availability به معنای دسترس‌پذیری تشکیل شده است.