مقاله نیم نگاهی به مثلث CIA و معرفی آن

1 1,036
Telegram_GEEKBOY

نیم نگاهی به مثلث CIA و معرفی آن

بسیاری روش‌های ایجاد امنیت برای IT بر برآورده ساختن سه نیاز اساس تاکید دارند. محرمانه بودن (Confidentiality)، یکپارچگی (Integrity) و دسترس‌پذیری (Availability) که به نام سه گانه CIA یا (CIA triad) نیز نامیده می‌شوند یک مدل طراحی شده برای بررسی امنیت یک سازمان است. گاهی اوقات به آن AIC نیز اطلاق می‌شود. این سه عنصر در واقع حساس‌ترین اجزای امنیتی هستند و هر گاه یکی از آنها نقص شود به معنی هک شدن سیستم می‌باشد. محرمانه بودن بیانگر مجموعه‌ی از محدودیت‌های دسترسی به اطلاعات است، یکپارچگی، اطمینان از صحت و دقت اطلاعات و دسترس‌پذیری تضمین دسترسی افراد دارای مجور به اطلاعات است.

Confidentiality
محرمانه بودن معادل شخصی و پنهانی بودن است. این کار به منظور جلوگیری از دسترسی افراد بدون مجوز به اطلاعات حساس است در حالی که باید از دسترسی افراد دارای مجوز به این اطلاعات نیز اطمینان حاصل شود. همچنین متداول است که داده‌ها بر حسب نوع و مقدار آسیبی که ممکن است در صورت ضعف امنیتی به آنها وارد شود دسته‌بندی شود و بر حسب این دسته‌بندی‌ها می‌توان اقدامات سختگیرانه را برای مقابله با آسیب به اجرا گذاشت.

گاهی برای محافظت از محرمانه بودن داده نیازمند آموزش‌های خاص به افرادی که با آن سر و کار دارند می‌باشد. این آموزش‌ها می‌تواند شامل انواع مخاطرات امنیتی که می‌تواند این اطلاعات را تهدید کند باشد و می‌تواند افرادی که مجوز دسترسی به داده‌ها را دارند از انواع مخاطرات و چگونگی حفاظت از داده در مقابل آنها آگاه نماید. علاوه بر آن یکی دیگر از مزایای این آموزش آشنا کردن افراد با انواع روش‌های تعیین کلمه عبور و روش‌های مهندسی اجتماعی برای جلوگیری از نتایج فجیع و خطرناک است.

یک مثال خوب برای روش‌های به کار گرفته شده برای تضمین محرمانه بودن اطلاعات، شماره حساب در هنگام بانکداری آنلاین است. یکی از روش‌های محرمانه کردن اطلاعات، رمزنگاری داده‌ها است. همچنین استفاده از شماره شناسه و رمز عبور که یک نوع شناسایی است که دارای دو جز است نیز یک روش استاندارد امنیتی است. هر چه اهمیت اطلاعات بیش‌تر باشد، نوع روش استفاده شده برای تضمین محرمانه بودن اطلاعات نیز افزایش خواهد یافت.

Integrity
یکپارچگی به معنای ثبات، دقت و صحت داده می‌باشد. داده در هنگام انتقال نباید تغییر کند و باید مراحی طی شود تا اطمینان حاصل شود که داده توسط افراد غیر مجاز تغییر نیافته است. این اقدامات شامل مجوزهای دسترسی فایل و کنترل دسترسی است. کنترل نسخه (Version control) ممکن است به منظور جلوگیری از تغییرات اشتباه یا حذف تصادفی اطلاعات به وسیله اشخاص دارای مجوز مورد استفاده قرار گیرد. علاوه بر آن، برخی اجزا باید به منظور آشکارسازی تغییرات داده که ممکن است به دلیل عواملی غیر انسانی نظیر پالس‌های الکترومغناطیسی یا خرابی سرور به وجود آید، در محل قرار گیرد. همچنین به منظور افزایش اطمینان از صحیح بودن اطلاعات باید از پشتیبانی و افزونگی نیز استفاده شود.

Availability
دسترس‌پذیری اطمینان از عملکرد تمامی سخت‌افزارها و تعمیر سریع سخت‌افزار در صورت لزوم و صحت کارکرد محیط سیستم عملیاتی است. همچنین همگام بودن با انواع به روز رسانی مورد نیاز سیستم نیز بسیار مهم است. محیا کردن پهنای باند ارتباطی مناسب و جلوگیری از ایجاد تنگناها و مشکلات نیز به همان اندازه مهم است. ایجاد افزونگی، failover، RAID و کلاسترهای با دسترسی بالا نیز می‌تواند در صورت بروز مشکل از نتایج مخرب آن بکاهد. همچنین دارا بودن قابلیت بازیابی بعد از خرابی نیز بسیار ضروری به نظر می‌رسد؛ این قابلیت مربوط به وجود یک طرح بازیابی خرابی جامع (comprehensive disaster recovery plan) است. همچنین این محافظت‌ها در مقابل از دست دادن داده یا ایجاد وقفه در ارتباطات باید شامل برخی وقایع غیرقابل پیش‌بینی نظیر بلایای طبیعی یا آتش‌سوزی نیز باشند. برای جلوگیری از از دست رفتن داده بهتر است که یک نسخه پشتیبان در یک مکان کاملا ایزوله و حتی ضد آب و ضد آتش ذخیره شود. سایر تجهیزات امنیتی یا نرم‌افزارهایی نظیر فایروال یا سرورهای پروکسی را می‌توان در مقابل عدم دسترسی به داده یا اقدامات تخریبی مانند حملات DoS و نفوذ شبکه محافظت کرد.

چالش‌های اساسی در سه گانه CIA
داده بزرگ به علت حجم خالص اطلاعاتی که باید حفظ شود، منابع متعددی که این داده‌ها از آن می‌آیند و انواع فرمت هایی که در آن وجود دارد، چالش‌های بزرگی در الگوی CIA ایجاد می‌کند. همچنین داده duplicate شده و بازیابی خرابی نیز به این هزینه‌ها می‌افزاید. علاوه بر آن، به این علت که مهم‌ترین نگرانی داده‌های بزرگ جمع‌آوری آنها و ایجاد برخی تفاسیر کاربردی برای تمام اطلاعات است، نظارت دقیق بر داده‌ها اغلب وجود ندارد.

Internet of Things privacy یکی از ملاحظات مورد نیاز برای حفاظت از اطلاعات محرمانه در مقابل افشا شدن است. در یک محیط IoT تقریبا تمام ورودی‌های فیزیکی و منطقی دارای یک شناسه منحصر به فرد هستند و قادر هستند که به صورت خودکار با اینترنت یا هر شبکه مشابهی ارتباط برقرار کنند. داده‌ای که از یک نقطه پایانی (endpoint) مشخص فرستاده می‌شود ممکن است نیازی به حریم خصوصی نداشته باشد. با این حال، هنگامی که داده‌های تکه تکه از چندین نقطه پایانی جمع‌آوری، گردآوری و تحلیل ‌شوند می‌توان به اطلاعات حساسی دست یافت.

Internet of Things security نیز یک چالش است زیرا IoT اغلب شامل بسیاری از دستگاه‌هایی به جز رایانه است که قابلیت اتصال به اینترنت را دارند که بیش‌تر به صورت پیش‌فرض پیکربندی شده‌اند و دارای کلمات عبور ساده‌ای هستند. به غیر از دستگاه‌هایی که به خوبی حفاظت شده‌اند، سایر اجزای IoT ممکن است به عنوان مسیرهای حمله مجزا استفاده شوند. به عنوان مثال محققان متوجه شدند که یک شبکه ممکن است از طریق لامپ‌های روشنایی دارای Wi-Fi مورد خطر قرار گیرد. در دسامبر سال ۲۰۱۳ یک محقق کشف کرد که صدها هزار هرزنامه از طریق یک دروازه امنیتی به سیستم وارد می‌شوند. این بدین معنی است که با افزایش استفاده از قطعاتی که قابلیت اتصال به شبکه را دارند باید به فکر امنیت شبکه نیز بود.

ارسال یک نظر

آدرس ایمیل شما منتشر نخواهد شد.

این سایت از اکیسمت برای کاهش هرزنامه استفاده می کند. بیاموزید که چگونه اطلاعات دیدگاه های شما پردازش می‌شوند.