۰
plusresetminus
سه شنبه ۱۶ ارديبهشت ۱۳۹۳ ساعت ۱۷:۰۶

امنیت دارایی‌های‌ دیجیتال

ایتنا- سرقت هویت افراد در جامعه مجازی، در واقع یک کلاهبرداری مرسوم است.
امنیت دارایی‌های‌ دیجیتال


سیدمحمدرضا موسوی پور
در شماره‌های قبل موضوعی با عنوان «شگفتی عصر اطلاعات و یک خبر ناخوشایند» ارائه کردیم و در لابه‌لای مطالب، مفهومی به‌نام دارایی‌های دیجیتال را بیان نمودیم. بحث و گفت‌وگوی مجازی با یکی از خوانندگان عزیز در خصوص این مفهوم دست‌مایه‌ای شد تا بیشتر آن را کنکاش نماییم.

دارایی‌های دیجیتال از آنجا مورد توجه قرار گرفت که انسان امکان تبدیل داشته‌ها و دانسته‌ها را به داده‌های صفر و یک ایجاد نمود و تا امروز روند تبدیل دارایی‌های فیزیکی ما به سرمایه‌های دیجیتالی همچنان ادامه دارد و در همه جا می‌توان آنها را مشاهده نمود.

پول الکترونیک، مالکیت معنوی، اسناد، لپ‌تاپ‌، تلفن همراه، پست الکترونیک، دست‌نوشته‌های بهادار، صفحات وب و حتی این چند سطر پیش رو، همگی از دارایی‌های دیجیتال قلمداد می‌شوند. این داشته‌های دیجیتال از آنجا نشأت می‌گیرد که در کنار جامعه انسانی، اجتماعی شکل گرفت که به جامعه دیجیتال موسوم گردید.

جامعه دیجیتالی، اجتماعی پیشرو و مدرن است که در نتیجه اتخاذ یک سلسله قوانین و سیاست‌ها و نیز یکپارچه‌سازی و تطبیق فن‌آوری‌های اطلاعات و ارتباطات در منزل، محل کار، امور آموزش و بخش تفریح ​​و سرگرمی شکل گرفته است. ویژگی‌های متعددی وجود دارند که جامعه دیجیتال را متفاوت از جامعه عادی ما می‌سازد.

این ویژگی‌ها به شرح زیر است:
جامعه دیجیتالی از بیت‌ها و بایت‌ها ساخته شده است. ایجاد اشیاء در این جامعه بسیار ساده‌تر از جامعه عادی است.

زمانی که یک شی در جامعه دیجیتال به سرقت می‌رود، بدان معنی است که به سادگی یک نسخه از آن ایجاد شده است و حتی پس از این سرقت، نمونه اصلی می‌تواند دست‌نخورده باقی بماند. این موضوع کمتر در حالت معمول به وجود می‌آید. بنابراین سرقت دارایی‌ها در این جامعه نیازمند تعریف قوانین قضایی متفاوتی است. امروزه این مفهوم منجر به تعریف جرائمی گشته است که آنرا جرائم سایبری یا مجازی می‌نامند.

در جامعه دیجیتال، سرقت و حملات تکراری ارزان‌تر و آسان‌تر از جامعه عادی است و ما بسیار به ندرت از جهت منابع محدود می‌شویم. اما در جامعه عادی این‌چنین نیست. حتی در جامعه دیجیتال، حمله‌ای که امروز به‌سختی انجام می‌گیرد، فردا به آسانی صورت می‌پذیرد.

ناشناس ماندن در جامعه دیجیتال بسیار ساده است. داستان‌های بسیاری شنیده‌ایم از اینکه چگونه برخی از مردم هویت شخص دیگری را جعل می‌کنند. سرقت هویت افراد در این جامعه یک کلاه‌برداری‌ مرسوم است.

در جامعه دیجیتال هیچ محدودیتی در منابع وجود دارد. یک حمله می‌تواند به‌راحتی در سراسر جهان تکرار گردد. درست برخلاف یک حمله فیزیکی که در آن جغرافیای حمله، فاصله و سلاح‌ها همیشه محدود کننده‌اند. این ویژگی سبب شده است تا امروزه دولت‌ها سرمایه‌گذاری‌های پنهان و پیدای بسیاری را در این زمینه انجام دهند. تشکیل ارتش‌های سایبری نمونه بارز این رویکرد می‌باشد.

پشتیبانی از متن‌باز، شروع یک حرکت جدید در جامعه دیجیتال است و مفهوم مشخصی را در این فضای دیجیتالی به خود اختصاص داده است. این امر منجر به توسعه بسیاری از نرم‌افزارهای کاربردی مفید گردیده است.
هرچند یک دستاورد این حرکت آن است که به سادگی و بدون هزینه، مهمات برای حملاتی که ممکن است به آنها سلاح‌های دیجیتالی گفته شود، فراهم شده است.

در جامعه اطلاعاتی و مخابراتی، همه دستگاه‌های ارتباطی به هم متصل هستند. خواه آنها رایانه‌ها و تلفن‌‌های همراه و یا تلفن‌های دارای خط ثابت باشند. بنابراین ویروس‌ها، کرم‌ها و یا اسب‌های تروآ به‌سرعت در سراسر جهان می‌توانند منتشر شوند. این موضوع می‌تواند در نتیجه‌ یک بیماری همه‌گیر جهانی در دنیای دیجیتال باشد.
ورود یک اسب تروآ به یک سیستم رایانه‌ای مساوی است با شریک شدن اختیار آن سیستم با فرد مهاجم.

امنیت دیجیتالی
از رایانه‌ها در مدیریت بسیاری از امور، از حساب‌های بانکی ما تا پرونده‌های پزشکی استفاده می‌شود. ما از کارت‌های اعتباری‌مان به‌نحوی مراقبت می‌کنیم که هیچ‌کس نتواند آن را به سرقت ببرد.

بااین‌حال، با پیدایش تجارت الکترونیک، می‌توان کالایی را بدون استفاده از کارت اعتباری، به‌صورت غیرحضوری نیز خریداری نمود. امروزه یک تبهکار نیاز چندانی به دزدیدن کارت اعتباری ما ندارد.

بلکه تنها دانستن جزئیات کارت اعتباری برای او کافی خواهد بود. به همین دلیل ما نیاز داریم تا اطمینان حاصل کنیم که رایانه‌ای که اطلاعات کارت اعتباری ما در آن ذخیره می‌شود، امن باشد.

رایانه‌ها تمامی اطلاعات ما را مدیریت می‌کنند. از سرگرمی‌ها تا اطلاعات محل کار و از حساب‌های بانکی تا انواع گواهی‌نامه‌ها، همگی را می‌توان به‌وسیله رایانه نگهداری نمود. درصورتی‌که ما قادر به تامین امنیت و حفاظت از رایانه‌مان نباشیم، آنها می‌توانند به خطرناک‌ترین دشمن ما تبدیل شوند.

دارایی‌های دیجیتال
در جامعه دیجیتال دارایی‌های مختلفی وجود دارند. این اموال می‌توانند شخصی، عمومی و یا شرکت‌های بزرگی باشند که به شکل‌های مختلفی از داده‌ها، فایل‌ها و برنامه‌های کاربردی وجود دارند.

نمونه‌هایی از دارایی‌های شخصی، پست‌های الکترونیک، اسناد، دفترچه آدرس، عکس‌های دیجیتال و موسیقی دانلود شده از اینترنت و یا ذخیره‌شده در یک رایانه، تلفن همراه و یا یک آی‌پاد باشد. امروزه اسناد مالکیت و حقوقی به‌صورت دیجیتال در دفاتر وکالت و یا مکان‌های دولتی ذخیره می‌شوند.

حتی ایمیل ارسال‌شده توسط یک مشتری کسب‌وکار نیز از دارایی‌های یک شرکت است. اسناد و مدارک، گزارش پروژه‌هایی که به طور مرتب تهیه می‌شوند و مالکیت معنوی نیز نمونه‌هایی از کسب‌وکار و یا دارایی‌های یک شرکت هستند.
اطلاعات حساب مشتریان، اطلاعات شغلی حساس و دیگر اطلاعات محرمانه نیز در رایانه‌ها ذخیره می‌شوند. همه اینها انواع مختلفی از دارایی هستند و نیاز به محافظت دارند.

گرچه دارایی‌های دیجیتال نیز همچون دارایی‌های معمول، به نوعی از امنیت فیزیکی نیازمند هستند، اما روش‌های امنیتی برای محافظت از اشیاء ملموس گران‌بها مانند طلا و جواهر، با اشیاء دیجیتال مانند داده‌ها متفاوت‌اند. یک کارت اعتباری را به‌عنوان نمونه در نظر بگیرید.

از حدود بیست سال پیش تاکنون، این کارت‌ها برای خرید کالا به‌صورت فیزیکی ارائه‌شده‌اند. در حال حاضر ما می‌توانیم از طریق اینترنت و بدون همراه داشتن این کارت فیزیکی اقدام به خرید کالا نماییم. برای این کار نیاز به دانستن شماره کارت، رمز عبور، تاریخ انقضا و کد امنیتی کارت داریم.

در مورد اشیاء ملموس می‌توان گفت که آنها می‌توانند در هر لحظه از زمان تنها در یک مکان حضور فیزیکی داشته باشند. بنابراین واضح است که وقتی یک جسم فیزیکی به سرقت می‌رود، دیگر در اختیار مالک قانونی خود نخواهد بود.
بااین‌حال، برای دارایی‌های دیجیتال موضوع به این شکل نیست.

شخصی می‌تواند دارایی‌های شما را به سرقت ببرد، هر چند شما هنوز هم آن را در اختیار داشته باشید.
مثالی را در نظر بگیرید. فرض کنید برای صرف شام به یک رستوران رفته‌اید. پس از صرف شام برای پرداخت صورتحساب، کارت اعتباری خود را به پیشخدمت می‌دهید. او تمـام اطلاعات کارت اعتباری شما را از شما طلب کرده، صورتحساب را تسویه نموده و سپس کارت را به شما برمی‌گرداند.

در اینجا پیشخدمت به اینترنت رفته و با استفاده از یک سایت تجارت الکترونیک، کالایی را با استفاده از اطلاعات کارت شما خریداری می‌کند. در این مثال کارت اعتباری شما دزدیده شده است. هرچند هنوز هم آن را با خود به همراه دارید.

دارایی‌های ایستا
بسیاری از اموال دیجیتال در واقع ثابت بوده و اغلب در زمان انجام کسب‌وکار جابجایی چندانی ندارند. نمونه‌هایی از این دارایی‌ها، اسناد طبقه‌بندی‌شده، حساب‌های مالی شخصی، اسلایدهای ارائه و یا اسناد ذخیره‌شده در رایانه‌های خانگی ما می‌باشد.

پایگاه‌های داده‌ نیز می‌توانند به‌عنوان اموال ایستا دسته‌بندی شوند. این دارایی‌ها به طور کلی در رسانه‌های مغناطیسی ذخیره می‌شود. زمانی که آنها نیاز به جابجایی دارند، بر روی رسانه‌های مغناطیسی مانند نوار، لوح فشرده، درایوهای نیمه‌هادی و یا دیسک سخت جابجا می‌شوند.

این وسایل در محفظه‌های قابل‌لمس نگهداری می‌شوند. آنها می‌توانند مورد سرقت قرارگرفته، به بیرون درز نموده و یا نابود شوند. بنابراین مشخص است که باید آنها را امن نگاه داشت. امنیت فیزیکی در مورد این نوع از سرمایه‌ها کاملا موثر است.

این دارایی‌ها در مکان‌های محافظت‌شده‌ای ذخیره می‌گردند که در آن هیچ کس از لحاظ فیزیکی نمی‌تواند بدون عبور از کنترل‌های امنیتی به آن وارد شود. همچنین هیچ شیئی اجازه ترک این ناحیه دسترسی محدود را بدون انجام کنترل‌های فیزیکی ندارد.

این دارایی‌ها باید به گونه‌ای امن بمانند که حتی اگر آنها را از دست داده و یا به سرقت رفت، هیچ کس نتواند به داده‌ها دسترسی پیدا کند. از این‌رو رمزی‌سازی اطلاعات جهت حفاظت اطلاعات با ارزش مورد استفاده قرار می‌گیرد.


دارایی‌های پویا
این دارایی‌ها متحرک هستند. آنها از یک مکان به مکان دیگر به‌عنوان بخشی از فرآیند کسب‌و‌کار حرکت می‌کنند. هنگامی که شما وارد یک رایانه واقع در مکانی دیگر می‌شوید، نیاز است تا نام کاربری و رمز عبور را از طریق یک رایانه محلی به آن رایانه ارسال نمایید.

درصورتی‌که قصد دارید تعدادی کالا، کتاب و یا بلیت تئاتر را از طریق اینترنت خریداری نمایید، باید آن را به‌صورت یک دادوستد آنلاین پرداخت کنید. این اطلاعات از رایانه شما به‌واسطه اینترنت به سرور شرکت ارائه‌دهنده کارت اعتباری، بانک و سپس بانک طرف حساب تجاری می‌رود.

هنگامی که یک ایمیل ارسال می‌کنید، این ایمیل از نقاط مختلف ناامنی گذر می‌کند. همه این دارایی‌ها را می‌توان به‌عنوان دارایی‌های پویا و در حال حمل‌ونقل طبقه‌بندی نمود.

این دارایی‌ها از یک موقعیت به موقعیت دیگر جابجا می‌شوند. بطوریکه با استفاده از ارتباطات داده‌ها و یا شبکه‌های مخابراتی، به‌جای رسانه‌های مغناطیسی و به‌کمک وسایل الکترونیک که به‌جای وسایل فیزیکی بکار گرفته شده‌اند، جابجایی اطلاعات انجام می‌شود.

اما این دارایی‌ها می‌تواند در حین انتقال به سرقت رفته و یا آسیب ببینند. برای دستبرد زدن به این‌گونه از سرمایه‌ها، دیدن پیام توسط مهاجم می‌تواند به تنهایی کافی باشد. گوش‌دادن و یا بو‌کشیدن اطلاعات امروزه نمونه‌‌ای رایجی از حملات مهاجمان است.

بنابراین باتوجه به گستردگی بسیار وسیع شبکه‌های امروزی، برای محافظت از چنین دارایی‌هایی، ایجاد امنیت در شبکه‌های رایانه‌ای بسیار ضروری بوده و امروزه بخش مهمی از چرخه امنیت در جامعه دیجیتال مرتبط با شبکه‌های رایانه‌ای می‌باشد.

تامین امنیت دارایی دیجیتال
شگرد‌های امنیتی برای دارایی‌های ایستا متفاوت از دارایی‌های پویا می‌باشند. رمزنگاری اطلاعات، امضای دیجیتال، کنترل دسترسی، استفاده از گواهی نفر سوم و انواع سازوکارهای احراز اصالت تنها بخشی از سازوکارهای ایمنی داده‌های دیجیتال هستند.

به‌عنوان مثال، هنگامی که ما اطلاعات مربوط به کارت‌های اعتباری را از طریق اینترنت ارسال می‌نماییم، رمزگذاریِ جزئیات کارت، همراه با یک کد احراز اصالت پیام، ممکن است به‌قدر کافی آن را از سرقت و یا آسیب محافظت نماید.

ما می‌توانیم یک سند یا داده ایستا را با رمزی سازی در رایانه‌مان حفظ نماییم. بطوریکه سند رمزگذاری شده از سوء‌استفاده ایمن بماند. بااین‌حال، یک ویروس ممکن است رایانه شما را آلوده نموده و باوجود آنکه تمامی فایل‌های شما رمزگذاری شده‌اند، همگی را پاک نماید.
بنابراین ویروس می‌تواند دارایی‌تان را نابود نماید. از این‌رو علاوه بر رمزگذاری شما نیاز به عملیات پشتیبان‌گیری در مکان مناسبی دارید.

از سویی دیگر سیستم‌های امن بکار گرفته‌شده به برنامه‌های امنی نیاز دارند که علاوه بر توانایی حفاظت از دارایی‌های دیجیتال، قادر به محافظت از خود نیز باشند. این موضوع به‌واسطه برنامه‌نویسی ایمن قابل دستیابی است. بطور نمونه برنامه‌نویسی و طراحی هسته سیستم‌های ایمن باید تا حد امکان کوچک و ساده باشند.

چرا که طراحی‌های پیچیده حفره‌های بیشتری نیز به دنبال خواهد داشت. بطورکلی لازم است تا استانداردهای امنیتی پیش از طراحی نرم افزار بررسی گردند و آنها را به بعد واگذار ننمود. توجه به استانداردهای كدنویسی و عبور نکردن از کدهای خطای هرچند ساده، یک اصل مهم در برنامه‌نویسی سیستم‌های امن می‌باشد است.

نکته دیگر لزوم امنیت پایگاه داده است. چرا که داده اساس دارایی‌ها در رایانه است و این دارایی‌ها اغلب در پایگاه‌های داده ذخیره می‌شوند. از این‌رو امنیت پایگاه داده بعنوان موضوعی تخصصی در عرصه امنیت اطلاعات مورد توجه بوده و درحالی‌که شبکه‌ها به منظور دسترسی گسترده‌تر، بازتر می‌شوند، بر اهمیت امنیت پایگاه داده نیز افزوده می‌شود.

اقدامات امنیتی نظیر دیواره‌های آتش، سیستم‌های تشخیص نفوذ و کنترل دسترسی در پایگاه داده از بحث‌های همیشگی دنیای دیجیتال بوده است که بخش وسیعی از سرمایه‌های دیجیتالی را ایمن می‌سازد. اما ساخت یک سیستم امن نیز به تنهایی کافی نیست. بلکه محیطی که سیستم در آن قرار می‌گیرد نیز می‌بایست امن شود.

بنابراین انجام ارزیابی‌های لازم و آگاه شدن از تهدیدات فیزیکی احتمالی که سیستم و رایانه‌ای شما را تهدید می‌کند نیز قابل توجه است. در دیدگاه کلان استفاده از استانداردهای تدوین شده، ایجاد فهرست کنترلی و نیز بازبینی دوره‌ای این دستورالعمل‌ها در بهبود شرایط امنیتی کاملا موثر است. درنهایت هدف از امنیت فیزیکی، جلوگيري از دسترسی غيرمجاز فيزيكی، تخريب و سركشی بدون اجازه به دارایی‌های دیجیتال می‌باشد.

جمـع بندی
مردمانی در دنیای شبکه‌ای ما وجود دارند که برای ساخت سیستم‌هایی با اهداف گوناگون تجاری و اجتماعی در تلاش هستند و برخی نیز به‌قصد سرگرمی و یا سودجویی و کسب منفعت سعی در شکستن و اختلال در این سیستم‌ها دارند.

ساخت سیستم‌های نرم‌افزاری امن و ساختارهای ایمن جهت حفاظت از دارایی‌های دیجیتال یک چالش مهم برای مدیران، برنامه‌نویسان و توسعه‌دهندگان این صنعت بوجود آورده است و روزانه با افزایش نرخ تبدیل دارایی‌های معمول ما به دیجیتال و نیز تولید روزافزون آن، بر اهمیت آن به شدت افزوده می‌شود.

پیش از آن باید بدانیم، چه چیزی را و به چه دلیل باید امن نماییم و یا از چه کسی و سرانجام چگونه آن را باید ایمن نگاه داریم. بنابراین باید امنیت را به‌عنوان یک مفهوم کل درک و توجه نمود.

به طور کلی روزانه راه‌کارهای مختلفی جهت امنیت در سطوح مختلف برای استفاده از اینترنت و محافظت از دارایی‌های دیجیتال ارائه می‌گردد. بااین‌وجود همواره شاهد بروز ضعف‌ها و نقاط آسیب‌پذیر متعددی در سایت‌ها، رایانه‌ها، بانک‌های اطلاعاتی و حتی کاربران هستیم.

اما آنچه روشن است این است که هرچه دانش بیشتری از فضای موجود و نیز آنچه در اختیار داریم، داشته باشیم، ضریب امنیت افزایش یافته و میزان خطرپذیری ما کاهش می‌یابد. به یاد داشته باشیم که امنیت با افزایش دانش و البته صرف هزینه و زمان میسر می‌گردد و هرگاه در ورطه بی‌توجهی و روزمرگی قرار گیرد، ناخودآگاه خود را آماده آسیب‌پذیری مهاجمان نموده‌ایم.

این چند کلمه پایانی از کلیله‌ودمنه، به بیانی زیبا آنچه را که در پی آن بودیم به خوبی بیان می‌کند:
در‌کار خصم خفته نباشی به‌هیچ‌حال
زیـرا چـراغِ دزد بُـود خواب پاسبـان
کد مطلب: 30429
نام شما
آدرس ايميل شما

مهمترين اقدام برای پيشگیری از تکرار امثال کوروش کمپانی؟
اصلاح قوانين
برخورد قاطع
اصلاح گمرکات
آزاد کردن بازار
آگاه سازی مردم
هيچکدام