امنیت

سه مفهوم اساسی امنیت اطلاعات (cia)

مفاهیم اصلی امنیت اطلاعات (CIA)

سازمان های امروزی برای محافظت از اطلاعات و سیستم های اطلاعاتی از دسترسی های غیر مجاز (بجز در مواردی که از سوی سازمان مجوز صادر شود) ملزم به انجام برخی کارها می باشند که در یک کلام میتوان آن را امنیت اطلاعات معنی کرد. کامپیوترها می توانند قربانی عملیات های نهان باشند که متخصصین امنیت برای دفاع در برابر بدترین آن ها، سه مفهوم اساسی امنیت اطلاعات را مطرح کرده اند.

  • محرمانگی (Confidentiality)
  • یکپارچگی (Integrity)
  • در دسترس بودن (Availability)

این سه مفهوم تحت عنوان CIA شناخته می شوند که در شکل زیر مشخص شده است:

سه مفهوم اساسی امنیت اطلاعات (cia)محرمانه بودن، یکپارچگی و در دسترس بودن، که اغلب به عنوان اصول سه گانه سیا شناخته می شود، اصول اولیه اما اساسی برای حفظ امنیت در یک محیط معین هستند.

مفهوم Confidentiality (محرمانگی)

محرمانه بودن تضمین می کند که داده های مبادله شده برای کاربران غیرمجاز قابل دسترسی نیست. کاربران می توانند برنامه ها، فرآیندها، سایر سیستم ها و غیره باشند.

هنگام طراحی یک سیستم، مکانیسم‌های کنترلی کافی برای اعمال محرمانگی و همچنین سیاست هایی که دیکته می‌کنند کاربران مجاز چه کاری می‌توانند و چه کاری نمی‌توانند با داده‌ها انجام دهند باید وجود داشته باشد. هرچه داده‌ها حساس تر باشند، سطح محرمانگی بالاتری دارند. بنابراین، تمام داده‌های حساس باید همیشه کنترل و نظارت شوند.

مفهوم Integrity (یکپارچگی)

یکپارچگی بدین معناست که داده ها دستکاری نشده اند. یکپارچگی توانایی اطمینان از عدم تغییر غیرمجاز سیستم و داده های آن است. حفاظت از یکپارچگی نه تنها از داده‌ها، بلکه از سیستم‌های عامل، برنامه‌ها و سخت‌افزار در برابر تغییر توسط افراد غیرمجاز محافظت می‌کند. به عنوان مثال، اگر شخصی بخواهد فایل های مورد نیاز را حذف کند، حتی از روی عمد یا سهو، یکپارچگی آن فایل به خطر می افتد.

مفهوم Availability (در دسترس بودن)

در دسترس بودن تضمین می کند که سیستم ها، برنامه ها و داده ها در صورت نیاز در دسترس کاربران قرار می گیرند. این همچنین به این معناست که داده ها در برابر حملات بدافزار ها نیز در دسترس هستند. متداول‌ترین حمله‌ای که بر دسترسی تأثیر می‌گذارد، حملات ddos یا انکار سرویس است که در آن مهاجم دسترسی به اطلاعات، سیستم، دستگاه‌ها یا دیگر منابع شبکه را قطع می‌کند.

برای جلوگیری از مشکلات در دسترس بودن، لازم است مسیرهای افزونگی و استراتژی‌های خرابی در مرحله طراحی گنجانده شود. همچنین شامل سیستم‌های پیشگیری از نفوذ است که می‌تواند الگوی ترافیک شبکه را نظارت کند، تعیین کند که آیا ناهنجاری وجود دارد یا خیر و در صورت نیاز ترافیک شبکه را مسدود کند.

اصول سه گانه cia یک مدل امنیتی بسیار اساسی است، اما مانند هر مدل دیگری جا برای بهبود وجود دارد. سایر ویژگی ها مانند عدم انکار و احراز هویت نیز مهم هستند و باید در نظر گرفته شوند. اما حداقل، اطمینان از اینکه در هر ساختاری cia پوشش داده شده است، اولین گام مهم در جهت طراحی هر سیستم ایمن است.

این سه مفهوم دیگر نیز وجود دارد که باید همراه با امنیت سخت افزار، نرم افزار یا ارتباطات تأمین شود. این سه مفهوم به اصطلاح رایج AAA در امنیت اطلاعات می باشند.

  • (Authentication) تأیید هویت
  • (Authorization) اختیار
  • (Accounting) حساب کاربری

(Authentication) تأیید هویت

هنگامی که هویت شخص اثبات و توسط سیستم تأیید می شود. عموماً نیازمند یک شناسایی دیجیتالی برخی ترتیب ها، نام کاربری یا کلمه عبور و یا سایر مفاهیم هویت سنجی میباشد.

(Authorization) اختیار

هنگامی که یک کاربر به داده های معینی دسترسی دارد. اختیار پس از تأیید هویت اتفاق می افتد و می تواند به روش های متعددی شامل مجوزها، لیست های کنترل دسترسی، زمان، روز و سایر محدودیت های لاگین تعیین شود.

(Accounting) حساب کاربری

برای ردیابی داده ها، استفاده از کامپیوتر و منابع شبکه می باشد. اغلب به معنای لاگین کردن، حسابرسی و مانیتور کردن داده ها و منابع است. امروزه حساب کاربری، به سرعت به یکی از مهمترین مفاهیم امنیت شبکه تبدیل شده است.

یوسف وفایی

فارغ التحصیل کارشناسی IT، علاقه مند به برنامه نویسی و علم امنیت، عاشق یادگیری حرفه های جدید، کنجکاو برای همه چیز، همچنین همیشه تلاش میکنم تا به هدفم برسم...

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *


دکمه بازگشت به بالا