مهمترین مزیت و رسالت شبکه های رایانه ای، اشتراک منابع سخت افزاری و نرمافزاری و دستیابی سریع و آسان به اطلاعات است. کنترل دستیابی و نحوه استفاده از منابعی که به اشتراک گذاشته شدهاند، از مهمترین اهداف یک نظام امنیتی در شبکه است. با گسترش شبکه های رایانهای (خصوصاً اینترنت)، نگرش نسبت به امنیت اطلاعات و سایر منابع به اشتراک گذاشته شده، وارد مرحله جدیدی گردیده است.
▪طبقهبندی (INFOSEC)
طبقهبندی، دستهبندی اشیا است در یک فهرست سازمان یافته یا در قالب یا روابط سلسلهمراتبی که روابط طبیعی بین اشیا را نشان میدهد (Conway & Sliger، ۲۰۰۲). طبقهبندی به عنوان یک فرایند، عبارت است از ایجاد نظامی منطقی از رتبهها که در آن، هر رتبه از تعدادی اشیا تشکیل شده، به گونهای که در صورت نیاز میتوان به آسانی به اجزای آن دسترسی پیدا کرد.
طبقه بندی ارائه شده در مقاله حاضر از فناوریهای امنیت اطلاعات، در وهله اول براساس دو ویژگی پایهگذاری شده:
۱. براساس مرحله خاصی از زمان: بدین معنا که در زمان تعامل فن آوریفناوری با اطلاعات، عکس العمل لازم در برابر یک مشکل امنیتی می تواند کنشگرایانه (کنشی)(Proactive) یا واکنشی (Reactive) باشد (Venter & Eloff، ۲۰۰۳).
غرض از «کنشگرایانه»، انجام عملیات پیشگیرانه قبل از وقوع یک مشکل خاص امنیتی است. در چنین مواردی به موضوعاتی اشاره می گردد که ما را در پیشگیری از وقوع یک مشکل کمک خواهد کرد ( چه کار باید انجام دهیم تا ...؟).
غرض از «واکنشی» انجام عکسالعمل لازم پس از وقوع یک مشکل خاص امنیتی است. در چنین مواردی به موضوعاتی اشاره میگردد که ما را در مقابله با یک مشکل پس از وقوع آن، کمک خواهند کرد (اکنون که ... چه کار باید انجام بدهیم؟).
۲. براساس سطوح پیادهسازی نظام های امنیتی در یک محیط رایانهای: فناوری امنیت اطلاعات را، خواه از نوع کنشی باشد یا واکنشی، میتوان در سه سطح – سطح شبکه(Network Level )، سطح میزبان(Host Level)، سطح برنامه کاربردی(Application Level)- پیادهسازی کرد. (Venter & Eloff، ۲۰۰۳). بدین منظور میتوان نظام امنیتی را در سطح شبکه و خدمات ارائه شده آن، در سطح برنامه کاربردی خاص، یا در محیطی که شرایط لازم برای اجرای یک برنامه را فراهم می نماید (سطح میزبان) پیاده کرد.
فناوری های امنیت اطلاعات را براساس دو ویژگی یاد شده ترسیم مینماید. توصیف مختصری از هریک از فن آوریفناوری ها در بخشهای بعد ارائه خواهد شد.
الف. فناوریهای امنیت اطلاعات کنشگرایانه
۱. رمزنگاری (Cryptography)
به بیان ساده، رمزنگاری به معنای «نوشتن پنهان»، و علم حفاظت، اعتمادپذیری و تأمین تمامیت دادهها است (McClure, Scambray, & Kurtz، ۲۰۰۲). این علم شامل اعمال رمزگذاری، رمزگشایی و تحلیل رمز است. در اصطلاحات رمزنگاری، پیام را «متن آشکار»(plaintext or cleartext)مینامند. کدگذاری مضامین را به شیوهای که آنها را از دید بیگانگان پنهان سازد، «رمزگذاری»(encryption)یا «سِرگذاری» ( encipher)مینامند* . پیام رمزگذاری شده را «متن رمزی»(ciphertext)، و فرایند بازیابی متن آشکار از متن رمزی را رمزگشایی( decryption)یا «سِّرگشایی»(decipher)می نامند.
الگوریتمهایی که امروزه در رمزگذاری و رمزگشایی دادهها به کار میروند از دو روش بنیادی استفاده می کنند: الگوریتمهای متقارن، و الگوریتمهای نامتقارن یا کلید عمومی. تفاوت آنها در این است که الگوریتمهای متقارن از کلید یکسانی برای رمزگذاری و رمزگشایی استفاده میکنند، یا این که کلید رمزگشایی به سادگی از کلید رمزگذاری استخراج میشود (مثل: DES(Data Encryption Standard)، CCEP(The Commercial Comsec Endoremment Program)، IDEA(International Data Encryption Algoritm)، FEAL ). در حالی که الگوریتمهای نامتقارن از کلیدهای متفاوتی برای رمزگذاری و رمزگشایی استفاده میکنند و امکان استخراج کلید رمزگشایی از کلید رمزگذاری وجود ندارد. همچنین کلید رمزگذاری را کلید عمومی، و کلید رمزگشایی را کلید خصوصی یا کلید محرمانه مینامند (مثل: RSA ، LUC).
تجزیه و تحلیل رمز(cryptanalysis)، هنر شکستن رمزها و به عبارت دیگر، بازیابی متن آشکار بدون داشتن کلید مناسب است؛ افرادی که عملیات رمزنگاری را انجام میدهند، رمزنگار(cryptographer)نامیده میشوند و افرادی که در تجزیه و تحلیل رمز فعالیت دارند رمزکاو(cryptanalyst)هستند.
رمزنگاری با تمام جوانب پیامرسانی امن، تعیین اعتبار، امضاهای رقومی، پول الکترونیکی و نرم افزارهای کاربردی دیگر ارتباط دارد. رمزشناسی(cryptology)شاخهای از ریاضیات است که پایههای ریاضی مورد استفاده در شیوههای رمزنگاری را مطالعه میکند ("آشنایی با ..."، ۱۳۸۳).
رمزنگاری یک فناوری امنیت اطلاعات از نوع کنشگرایانه است، زیرا اطلاعات را قبل از آن که یک تهدید بالقوه بتواند اعمال خرابکارانه انجام دهد، از طریق رمزگذاری دادهها ایمن میسازند. به علاوه، رمزنگاری در سطوح متنوع، به طوری که در طبقهبندی شکل ۱ بیان شد، در سطوح برنامههای کاربردی و در سطوح شبکه قابل پیادهسازی است.
مهمترین مزیت و رسالت شبکههای رایانهای، اشتراک منابع سختافزاری و نرمافزاری و دستیابی سریع و آسان به اطلاعات است. کنترل دستیابی و نحوه استفاده از منابعی که به اشتراک گذاشته شدهاند، از مهمترین اهداف یک نظام امنیتی در شبکه است. با گسترش شبکههای رایانهای (خصوصاً اینترنت)، نگرش نسبت به امنیت اطلاعات و سایر منابع به اشتراک گذاشته شده، وارد مرحله جدیدی گردیده است.
۲. امضاهای رقومی (digital signatures)
امضاهای رقومی، معادل «امضای دستنوشت» و مبتنی بر همان هدف هستند: نشانه منحصر به فرد یک شخص، با یک بدنه متنی (Comer، ۱۹۹۹، ص. ۱۹۱). به این ترتیب، امضای رقومی مانند امضای دستنوشت، نباید قابل جعل باشد. این فناوری که با استفاده از الگوریتم رمزنگاری ایجاد میشود، تصدیق رمزگذاریشدهای است که معمولاً به یک پیام پست الکترونیکی یا یک گواهینامه ضمیمه میشود تا هویت واقعی تولیدکننده پیام را تأیید کند.
امضای رقومی یک فناوری امنیت اطلاعات از نوع کنشگرایانه است، زیرا قبل از وقوع هر تهدیدی، میتوان با استفاده از آن فرستنده اصلی پیام و صاحب امضا را شناسایی کرد. به علاوه این فناوری در سطح یک برنامه کاربردی قابل پیادهسازی است. در این سطح، امضای رقومی در یک برنامه کاربردی خاص و قبل از آن که به یک گیرنده خاص فرستاده شود، ایجاد میگردد.
۳. گواهیهای رقومی(Digital certificates)
گواهیهای رقومی به حل مسئله «اطمینان» در اینترنت کمک میکنند. گواهیهای رقومی متعلق به «سومین دسته اطمینان»(trusted third parties)هستند و همچنین به «متصدیهای گواهی» اشاره دارند (Tiwana، ۱۹۹۹). متصدیهای گواهی، مؤسسات تجاری هستند که هویت افراد یا سازمانها را در وب تأیید، و تأییدیههایی مبنی بر درستی این هویتها صادر میکنند. برای به دستآوردن یک گواهی، ممکن است از فرد خواسته شود که یک کارت شناسایی (مانند کارت رانندگی) را نشان دهد. بنابراین گواهیهای رقومی، یک شبکه امن در میان کاربران وب، و مکانی برای تأیید صحت و جامعیت یک فایل یا برنامه الکترونیکی ایجاد میکنند. این گواهیها حاوی نام فرد، شماره سریال، تاریخ انقضا، یک نسخه از گواهی نگاهدارنده کلید عمومی (که برای رمزگذاری پیامها و امضاهای رقومی به کار میرود) میباشند** (Encyclopedia and learning center، ۲۰۰۴).
گواهیهای رقومی، فناوری امنیت اطلاعات از نوع کنشگرایانه هستند، زیرا از این فناوری برای توزیع کلید عمومی از یک گروه ارتباطی به گروه ارتباطی دیگر استفاده میشود. همچنین این روش، قبل از آن که هر ارتباطی بین گروهها اتفاق بیفتد، اطمینان ایجاد میکند. این فناوری در سطح برنامه کاربردی قابل پیادهسازی است؛ مثلاً قبل از آغاز هر ارتباط مرورگر وب، تأیید میکند که آن گروه خاص قابل اطمینان میباشد.