سه مفهوم اساسی امنیت اطلاعات (cia)

مفاهیم اصلی امنیت اطلاعات (CIA)
سازمان های امروزی برای محافظت از اطلاعات و سیستم های اطلاعاتی از دسترسی های غیر مجاز (بجز در مواردی که از سوی سازمان مجوز صادر شود) ملزم به انجام برخی کارها می باشند که در یک کلام میتوان آن را امنیت اطلاعات معنی کرد. کامپیوترها می توانند قربانی عملیات های نهان باشند که متخصصین امنیت برای دفاع در برابر بدترین آن ها، سه مفهوم اساسی امنیت اطلاعات را مطرح کرده اند.
- محرمانگی (Confidentiality)
- یکپارچگی (Integrity)
- در دسترس بودن (Availability)
این سه مفهوم تحت عنوان CIA شناخته می شوند که در شکل زیر مشخص شده است:
محرمانه بودن، یکپارچگی و در دسترس بودن، که اغلب به عنوان اصول سه گانه سیا شناخته می شود، اصول اولیه اما اساسی برای حفظ امنیت در یک محیط معین هستند.
مفهوم Confidentiality (محرمانگی)
محرمانه بودن تضمین می کند که داده های مبادله شده برای کاربران غیرمجاز قابل دسترسی نیست. کاربران می توانند برنامه ها، فرآیندها، سایر سیستم ها و غیره باشند.
هنگام طراحی یک سیستم، مکانیسمهای کنترلی کافی برای اعمال محرمانگی و همچنین سیاست هایی که دیکته میکنند کاربران مجاز چه کاری میتوانند و چه کاری نمیتوانند با دادهها انجام دهند باید وجود داشته باشد. هرچه دادهها حساس تر باشند، سطح محرمانگی بالاتری دارند. بنابراین، تمام دادههای حساس باید همیشه کنترل و نظارت شوند.
مفهوم Integrity (یکپارچگی)
یکپارچگی بدین معناست که داده ها دستکاری نشده اند. یکپارچگی توانایی اطمینان از عدم تغییر غیرمجاز سیستم و داده های آن است. حفاظت از یکپارچگی نه تنها از دادهها، بلکه از سیستمهای عامل، برنامهها و سختافزار در برابر تغییر توسط افراد غیرمجاز محافظت میکند. به عنوان مثال، اگر شخصی بخواهد فایل های مورد نیاز را حذف کند، حتی از روی عمد یا سهو، یکپارچگی آن فایل به خطر می افتد.
مفهوم Availability (در دسترس بودن)
در دسترس بودن تضمین می کند که سیستم ها، برنامه ها و داده ها در صورت نیاز در دسترس کاربران قرار می گیرند. این همچنین به این معناست که داده ها در برابر حملات بدافزار ها نیز در دسترس هستند. متداولترین حملهای که بر دسترسی تأثیر میگذارد، حملات ddos یا انکار سرویس است که در آن مهاجم دسترسی به اطلاعات، سیستم، دستگاهها یا دیگر منابع شبکه را قطع میکند.
برای جلوگیری از مشکلات در دسترس بودن، لازم است مسیرهای افزونگی و استراتژیهای خرابی در مرحله طراحی گنجانده شود. همچنین شامل سیستمهای پیشگیری از نفوذ است که میتواند الگوی ترافیک شبکه را نظارت کند، تعیین کند که آیا ناهنجاری وجود دارد یا خیر و در صورت نیاز ترافیک شبکه را مسدود کند.
اصول سه گانه cia یک مدل امنیتی بسیار اساسی است، اما مانند هر مدل دیگری جا برای بهبود وجود دارد. سایر ویژگی ها مانند عدم انکار و احراز هویت نیز مهم هستند و باید در نظر گرفته شوند. اما حداقل، اطمینان از اینکه در هر ساختاری cia پوشش داده شده است، اولین گام مهم در جهت طراحی هر سیستم ایمن است.
این سه مفهوم دیگر نیز وجود دارد که باید همراه با امنیت سخت افزار، نرم افزار یا ارتباطات تأمین شود. این سه مفهوم به اصطلاح رایج AAA در امنیت اطلاعات می باشند.
- (Authentication) تأیید هویت
- (Authorization) اختیار
- (Accounting) حساب کاربری
(Authentication) تأیید هویت
هنگامی که هویت شخص اثبات و توسط سیستم تأیید می شود. عموماً نیازمند یک شناسایی دیجیتالی برخی ترتیب ها، نام کاربری یا کلمه عبور و یا سایر مفاهیم هویت سنجی میباشد.
(Authorization) اختیار
هنگامی که یک کاربر به داده های معینی دسترسی دارد. اختیار پس از تأیید هویت اتفاق می افتد و می تواند به روش های متعددی شامل مجوزها، لیست های کنترل دسترسی، زمان، روز و سایر محدودیت های لاگین تعیین شود.
(Accounting) حساب کاربری
برای ردیابی داده ها، استفاده از کامپیوتر و منابع شبکه می باشد. اغلب به معنای لاگین کردن، حسابرسی و مانیتور کردن داده ها و منابع است. امروزه حساب کاربری، به سرعت به یکی از مهمترین مفاهیم امنیت شبکه تبدیل شده است.
