بسیاری روشهای ایجاد امنیت برای IT بر برآورده ساختن سه نیاز اساس تاکید دارند. محرمانه بودن (Confidentiality)، یکپارچگی (Integrity) و دسترسپذیری (Availability) که به نام سه گانه CIA یا (CIA triad) نیز نامیده میشوند یک مدل طراحی شده برای بررسی امنیت یک سازمان است. گاهی اوقات به آن AIC نیز اطلاق میشود. این سه عنصر در واقع حساسترین اجزای امنیتی هستند و هر گاه یکی از آنها نقص شود به معنی هک شدن سیستم میباشد. محرمانه بودن بیانگر مجموعهی از محدودیتهای دسترسی به اطلاعات است، یکپارچگی، اطمینان از صحت و دقت اطلاعات و دسترسپذیری تضمین دسترسی افراد دارای مجور به اطلاعات است.
![13[1]](https://technet24.ir/wp-content/uploads/2015/10/131.jpg)
Confidentiality
محرمانه بودن معادل شخصی و پنهانی بودن است. این کار به منظور جلوگیری از دسترسی افراد بدون مجوز به اطلاعات حساس است در حالی که باید از دسترسی افراد دارای مجوز به این اطلاعات نیز اطمینان حاصل شود. همچنین متداول است که دادهها بر حسب نوع و مقدار آسیبی که ممکن است در صورت ضعف امنیتی به آنها وارد شود دستهبندی شود و بر حسب این دستهبندیها میتوان اقدامات سختگیرانه را برای مقابله با آسیب به اجرا گذاشت.
گاهی برای محافظت از محرمانه بودن داده نیازمند آموزشهای خاص به افرادی که با آن سر و کار دارند میباشد. این آموزشها میتواند شامل انواع مخاطرات امنیتی که میتواند این اطلاعات را تهدید کند باشد و میتواند افرادی که مجوز دسترسی به دادهها را دارند از انواع مخاطرات و چگونگی حفاظت از داده در مقابل آنها آگاه نماید. علاوه بر آن یکی دیگر از مزایای این آموزش آشنا کردن افراد با انواع روشهای تعیین کلمه عبور و روشهای مهندسی اجتماعی برای جلوگیری از نتایج فجیع و خطرناک است.
یک مثال خوب برای روشهای به کار گرفته شده برای تضمین محرمانه بودن اطلاعات، شماره حساب در هنگام بانکداری آنلاین است. یکی از روشهای محرمانه کردن اطلاعات، رمزنگاری دادهها است. همچنین استفاده از شماره شناسه و رمز عبور که یک نوع شناسایی است که دارای دو جز است نیز یک روش استاندارد امنیتی است. هر چه اهمیت اطلاعات بیشتر باشد، نوع روش استفاده شده برای تضمین محرمانه بودن اطلاعات نیز افزایش خواهد یافت.
Integrity
یکپارچگی به معنای ثبات، دقت و صحت داده میباشد. داده در هنگام انتقال نباید تغییر کند و باید مراحی طی شود تا اطمینان حاصل شود که داده توسط افراد غیر مجاز تغییر نیافته است. این اقدامات شامل مجوزهای دسترسی فایل و کنترل دسترسی است. کنترل نسخه (Version control) ممکن است به منظور جلوگیری از تغییرات اشتباه یا حذف تصادفی اطلاعات به وسیله اشخاص دارای مجوز مورد استفاده قرار گیرد. علاوه بر آن، برخی اجزا باید به منظور آشکارسازی تغییرات داده که ممکن است به دلیل عواملی غیر انسانی نظیر پالسهای الکترومغناطیسی یا خرابی سرور به وجود آید، در محل قرار گیرد. همچنین به منظور افزایش اطمینان از صحیح بودن اطلاعات باید از پشتیبانی و افزونگی نیز استفاده شود.
Availability
دسترسپذیری اطمینان از عملکرد تمامی سختافزارها و تعمیر سریع سختافزار در صورت لزوم و صحت کارکرد محیط سیستم عملیاتی است. همچنین همگام بودن با انواع به روز رسانی مورد نیاز سیستم نیز بسیار مهم است. محیا کردن پهنای باند ارتباطی مناسب و جلوگیری از ایجاد تنگناها و مشکلات نیز به همان اندازه مهم است. ایجاد افزونگی، failover، RAID و کلاسترهای با دسترسی بالا نیز میتواند در صورت بروز مشکل از نتایج مخرب آن بکاهد. همچنین دارا بودن قابلیت بازیابی بعد از خرابی نیز بسیار ضروری به نظر میرسد؛ این قابلیت مربوط به وجود یک طرح بازیابی خرابی جامع (comprehensive disaster recovery plan) است. همچنین این محافظتها در مقابل از دست دادن داده یا ایجاد وقفه در ارتباطات باید شامل برخی وقایع غیرقابل پیشبینی نظیر بلایای طبیعی یا آتشسوزی نیز باشند. برای جلوگیری از از دست رفتن داده بهتر است که یک نسخه پشتیبان در یک مکان کاملا ایزوله و حتی ضد آب و ضد آتش ذخیره شود. سایر تجهیزات امنیتی یا نرمافزارهایی نظیر فایروال یا سرورهای پروکسی را میتوان در مقابل عدم دسترسی به داده یا اقدامات تخریبی مانند حملات DoS و نفوذ شبکه محافظت کرد.
![21[1]]()
چالشهای اساسی در سه گانه CIA
![21[1]](https://technet24.ir/wp-content/uploads/2015/10/211-300x271.jpg)
داده بزرگ به علت حجم خالص اطلاعاتی که باید حفظ شود، منابع متعددی که این دادهها از آن میآیند و انواع فرمت هایی که در آن وجود دارد، چالشهای بزرگی در الگوی CIA ایجاد میکند. همچنین داده duplicate شده و بازیابی خرابی نیز به این هزینهها میافزاید. علاوه بر آن، به این علت که مهمترین نگرانی دادههای بزرگ جمعآوری آنها و ایجاد برخی تفاسیر کاربردی برای تمام اطلاعات است، نظارت دقیق بر دادهها اغلب وجود ندارد.
Internet of Things privacy یکی از ملاحظات مورد نیاز برای حفاظت از اطلاعات محرمانه در مقابل افشا شدن است. در یک محیط IoT تقریبا تمام ورودیهای فیزیکی و منطقی دارای یک شناسه منحصر به فرد هستند و قادر هستند که به صورت خودکار با اینترنت یا هر شبکه مشابهی ارتباط برقرار کنند. دادهای که از یک نقطه پایانی (endpoint) مشخص فرستاده میشود ممکن است نیازی به حریم خصوصی نداشته باشد. با این حال، هنگامی که دادههای تکه تکه از چندین نقطه پایانی جمعآوری، گردآوری و تحلیل شوند میتوان به اطلاعات حساسی دست یافت.
Internet of Things security نیز یک چالش است زیرا IoT اغلب شامل بسیاری از دستگاههایی به جز رایانه است که قابلیت اتصال به اینترنت را دارند که بیشتر به صورت پیشفرض پیکربندی شدهاند و دارای کلمات عبور سادهای هستند. به غیر از دستگاههایی که به خوبی حفاظت شدهاند، سایر اجزای IoT ممکن است به عنوان مسیرهای حمله مجزا استفاده شوند. به عنوان مثال محققان متوجه شدند که یک شبکه ممکن است از طریق لامپهای روشنایی دارای Wi-Fi مورد خطر قرار گیرد. در دسامبر سال ۲۰۱۳ یک محقق کشف کرد که صدها هزار هرزنامه از طریق یک دروازه امنیتی به سیستم وارد میشوند. این بدین معنی است که با افزایش استفاده از قطعاتی که قابلیت اتصال به شبکه را دارند باید به فکر امنیت شبکه نیز بود.
سلام.
ممنونم از مقاله ای که در مورد مثل CIA ارایه کردید.
این مثلث توسط NIST Standards for Security Categorization of Federal Information and Information Systems (FIPS 199) به عنوان مدل جامع ضامن امنیت سیستم های اطلاعاتی مطرح شده بود. در ادامه با مرور زمان دو اصل دیگر برای پیاده سازی امنیت سیستم های اطلاعاتی مطرح شده¬اند:
1. سندیت، اعتیار سنجی authenticity
2. مسئوليت پذیری Accountability
بر اساس مورد اعتبار سنجی باید بتوان صحت پیام، فرستنده و صحت انتقال رو تصدیق کرد. مثلا آیا کار بر u1 که ادعا می¬کنه دارخ پیغام m1 رو ارسال می¬کنه راست میگه ؟
بر اساس اصل مسئولیت پذیری باید بتوان سابقه اعمال هر کاربر، برنامه را در سیستم نگهداری و به عامل آن نسبت داد تا بتوان بعد از خرابی سیستم بایابی را بتوان انجام داد.
نویسنده: یاشار کاوسیان
مرجع:
Network security essentials By William Stallings