امنیت اطلاعات در كار الكترونیكی(۲)

تهدیدات موجود در پیش روی امنیت سیستم های اطلاعاتی را می توان به سه دسته اصلی تقسیم كرد: افشای اطلاعات محرمانه (تهدید «افشا»)، صدمه به انسجام اطلاعات (تهدید «دستكاری») و موجود نبودن اطلاعات (تهدید «تضییق خدمات»). به طور مرسوم، امنیت اطلاعات در وهله اول با تهدید «افشا» همراه بوده است.

• تأثیر افزایش جابه جایی پذیری
سیاربودن در مفهوم وسیع تر كلمه به معنای توانایی كاربر در دسترسی به اطلاعات، مستقل از محل و مكان او است. در عمل، لازمه این امر معمولاً نوعی از پشتیبانی جابه جایی پذیری از سوی دستگاه پایانه و شبكه اصلی است. البته جابه جایی پذیری تهدیدهای جدید امنیتی را به دنبال نمی آورد، اما تهدیدهای موجود را جدی تر می سازد؛ زیرا دسترسی به اطلاعات، مستقل از مكان صورت می گیرد. همچنین امنیت سیستم، از هر جایی و توسط هر فرد مجاز می تواند مورد حمله قرار گیرد. باید توجه كرد كه جابه جایی پذیری و بی سیم بودن دو چیز متفاوتند، اگر چه اغلب با هم همراهند. جابه جایی پذیری به معنای توانایی كاربر یا پایانه، در حركت از یك شبكه (یا نقطه اتصال) به شبكه دیگر است؛ بی سیم بودن یعنی جایگزین ساختن كابل شبكه یا آخرین پیوند شبكه با پیوندهای ارتباطی بی سیم (مثل رادیویی یا مادون قرمز). بی سیم بودن به تنهایی، جابه جایی پذیری چندانی را امكانپذیر نمی كند. مثلاً در یك شبكه «سامانه عمومی همراه» (جی اس ام)، عمده پیچیدگی شبكه و نرم افزار پایانه باید به امر انتقالات، یعنی گذر پایانه سیار از یك ایستگاه اصلی به ایستگاه دیگر تخصیص یابد. ضمن این كه بی سیم بودن و جابه جایی پذیری، هر یك به طور جداگانه ممكن است مفید باشند، وقتی كه با هم تركیب می شوند بهترین عملكرد را دارند. به همین دلیل دسترسی بی سیم به شبكه های سیار اهمیت روزافزونی پیدا می كند.
• راه حل های ممكن
امنیت اطلاعات موضوعی چند بعدی است كه با جنبه های غیرفنی متعددی ارتباط دارد. همواره برای تحقق امنیت، ابزارهای فیزیكی، پرسنلی و اجرایی لازمند و ابزارهای فنی به تنهایی بی فایده اند. اما وقتی كه در یك شبكه نامطمئن كار می كنید، امنیت بدون استفاده از رمزنگاری میسر نمی شود. بنابراین بخشی از راه حل، «آی پی سك» است كه می توان به عنوان یك سازوكار استاندارد برای حفاظت در برابر استراق سمع و دستكاری پیام در شبكه به كار برد. رمز نگاری كلید عمومی، مثلاً برای تایید اصالت و برای مدیریت كلیدها، لازم است. به علاوه یك «زیرساختار كلیدهای عمومی» لازم است تا كلیدها را به شیوه ای اطمینان بخش، به مالكان آنها پیوند دهد. «زیرساختار كلیدهای عمومی» نمونه ای از خدمات «شخص ثالث امین» است كه همیشه بر اعتماد و اطمینان استوارند. تحقق فیزیكی «زیرساختار كلیدهای عمومی» در قالب گواهینامه انجام می گیرد. اعتماد به دست آوردنی است نه دیكته كردنی. طرف های مختلف باید بتوانند تصمیم بگیرند به چه كسی، در چه موضوعاتی و تا چه اندازه اعتماد كنند. همچنین در هر سیستم به یك «مبنای رایانشی قابل اعتماد» نیاز داریم. این «مبنای رایانشی قابل اعتماد» باید [تا حد امكان] كوچك شده و مبتنی بر طرح های آزاد باشد. باید بتوانیم حسابرسی كنیم تا به آن اعتماد كنیم. چشم پوشی از امنیت بخش هایی از سیستم در خارج از «مبنای رایانشی قابل اعتماد» نباید امنیت كل سیستم را به خطر اندازد. به طور سنتی، كنترل دسترسی و صدور مجوز برای آن براساس تایید اصالت هویت كاربر (هویتی كه در شكل یك نام نمود می یابد) صورت می گیرد. این كار در سیستم های بزرگ عملی نیست، زیرا تشخیص حقوق دسترسی یك فرد صرفاً براساس نام او، امكان ناپذیر است. عموماً ما بیشتر علاقه مندیم كه اطمینان حاصل كنیم كاربر به انجام كاری كه انجام می دهد مجاز است یا خیر و نه این كه بدانیم او كیست. بنابراین به جای تعیین هویت او، باید قادر به تایید اصالت حقوق او باشیم. صدور مجوز ها ابزار عمومی خوبی هستند كه می توان برای چنین اهدافی، حتی در سطوح سیستم های جهانی به كار گرفت. امنیت و قابلیت استفاده، از اقتضائات متضاد با هم هستند. وقتی كه سیستم ها را امن تر می كنیم، طبعاً از قابلیت استفاده آنها می كاهیم. كار الكترونیكی چیزی است كه باید در شرایط مربوط به كاربر عادی هم عمل كند، یعنی برای هر كسی قابل استفاده باشد. تركیب قابلیت استفاده با امنیت، چالش اصلی عصر ما است.كار با اینترنت به پیشرفت خود ادامه می دهد و به عرصه های جدید برنامه های كاربردی گسترش می یابد. كاهش سرانه قیمت محصولات، عملاً همه برنامه ها را به استفاده از فناوری اصلی «آی پی» سوق خواهد داد. اگر جابه جایی پذیری، كیفیت خدمات و امنیت، محور اصلی خدمات اینترنت در نسل آینده باشند، در آن صورت یك سكوی عمومی جهانی خواهیم داشت تا كار الكترونیكی را بر روی آن استوار كنیم.
«آی پی سك» و «زیرساختار كلید عمومی» مانع موثری در مقابل افشای غیرمجاز و دستكاری ناشی از ترافیك شبكه ایجاد می كنند. وجود اضافات كافی در شبكه، مانع تضییق خدمات است. با راه حل های استاندارد و ارزان قیمتی كه مرتباً ارزان تر هم می شوند، می توان به همه اینها دست یافت.بنابراین سكوی فنی برای كار الكترونیكی امن، در حال شكل گرفتن است و جنبه های شبكه ای امنیت را می توان حل كرد. اما وقتی كه با افراد و با جریان های پیچیده اطلاعات سروكار داریم، هیچ راه حل استاندارد ساده ای برای امنیت كل سیستم وجود ندارد. برای تعریف فرآیندهای اصلی پیشگانی و جریان های اطلاعاتی و مقتضیات امنیتی ملازم با آنها كار زیادی لازم است. باید در طراحی این فرآیندها، امنیت نیز وارد شود. باید ساز و كارهای استاندارد امنیت به كار گرفته شوند تا اطمینان حاصل شود كه سیستم های اطلاعاتی مورد استفاده، امنیت جریان های اطلاعاتی را به خطر نمی اندازند.
هیچ روش شناخته شده ای برای اثبات امنیت كل فرآیندها وجود ندارد. باید مداوماً به نظارت و به بازخورد دادن به فرآیندهایمان بپردازیم. همچنین بازرسی به وسیله یك طرف بیرونی (كه مسئولیتی در استقرار یا اجرای سیستم ندارد) لازم است.
خوشبختانه ما به مرحله ای رسیده ایم كه قدرت پردازش فزاینده و دیگر پیشرفت های فنی آتی، به نفع افراد است. استفاده پذیری هر سیستم اطلاعاتی یك چالش عمده است. تركیب استفاده پذیری با امنیت، بسیار دشوارتر است. هدف اصلی در طراحی سیستم ها نباید بهینه سازی استفاده از منابع رایانشی هر چه ارزان تر باشد، بلكه باید كار افراد را هر چه اثربخش تر و خوشایندتر سازد. این یك عرصه تحقیقاتی بین- رشته ای است كه انتظار می رود در آینده اهمیت بیشتری پیدا كند.ضعیف ترین نقطه در موضوع امنیت، همچنان افراد و نگرش های آنها خواهد بود. مدت هاست كه علت اصلی در عمده نقض امنیت ها، رفتار غیرمجاز افراد غیرمجاز در كارهای روزانه شان است. درحالی كه ابزارهای فنی و سكوهای فنی امن و قابل اندازه گیری برای موفقیت در كار الكترونیكی ضرورت دارند، اما كمبودهای موجود در جنبه های غیرفنی امنیت را جبران نمی كنند. امنیت را باید تعریف، طراحی و در فرآیندهای كاری تعبیه كرد. افراد باید به خوبی راهنمایی شوند، آموزش ببینند و انگیزه مند شوند. همچنین باید به نظارت و بازخورد و نیز به بازرسی مستقل توجه كرد. این امر مستلزم آن است كه كل سازمان ها كار را از رده بالای مدیریت خود شروع كنند. امكانات حاصل از كار الكترونیكی چنان است كه باید در درازمدت، اطمینان حاصل شود كه از زمان و كار به بهترین صورت استفاده می شود.