اصول مهم مباحث امنيتي

تفکر امنيت در شبکه براي دستيابي به سه عامل مهم است که با يک ديگر مثلث امنيتي را تشکيل مي دهند. اين عوامل عبارتند از راز داري و امانت داري (Confidentiality) ، يکپارچگي (Integrity) و در نهايت در دسترس بودن هميشگي (Availability). اين سه عامل (CIA) اصول اساسي امنيت اطلاعات - در شبکه و يا بيرون آن - را تشکيل مي دهند بگونه اي که تمامي تمهيدات لازمي که براي امنيت شبکه اتخاذ ميشود و يا تجهيزاتي که ساخته مي شوند، همگي ناشي از نياز به اعمال اين سه پارامتر در محيط هاي نگهداري و تبادل اطلاعات است. Confidentiality : به معناي آن است که اطلاعات فقط در دسترس کساني قرار گيرد که به آن نياز دارند و اينگونه تعريف شده است. بعنوان مثال از دست دادن اين خصيصه امنيتي معادل است با بيرون رفتن قسمتي از پرونده محرمانه يک شرکت و امکان دسترسي به آن توسط مطبوعات. Integrity : بيشتر مفهومي است که به علوم سيستمي باز مي گردد و بطور خلاصه مي توان آنرا اينگونه تعريف کرد : - تغييرات در اطلاعات فقط بايد توسط افراد يا پروسه هاي مشخص و مجاز انجام گيرد. - تغييرات بدون اجاز و بدون دليل حتي توسط افراد يا پروسه هاي مجاز نبايد صورت بگيرد. - يکپارچگي اطلاعات بايد در درون و بيرون سيستم حفظ شود. به اين معني که يک داده مشخص چه در درون سيستم و چه در خارج آن بايد يکسان باشد و اگر تغيير مي کند بايد همزمان درون و برون سيستم از آن آگاه شوند.  Availability : اين پارامتر ضمانت مي کند که يک سيستم - مثلا" اطلاعاتي - همواره بايد در دسترس باشد و بتواند کار خود را انجام دهد. بنابراين حتي اگر همه موارد ايمني مد نظر باشد اما عواملي باعث خوابيدن سيستم شوند - مانند قطع برق - از نظر يک سيستم امنيتي اين سيستم ايمن نيست. اما جداي از مسائل بالا مفاهيم و پارامترهاي ديگري نيز هستند که با وجود آنکه از همين اصول گرفته مي شوند براي خود شخصيت جداگانه اي پيدا کرده اند. در اين ميان مي توان به مفاهيمي نظير Identification به معني تقاضاي شناسايي به هنگام دسترسي کاربر به سيستم، Authentication به معني مشخص کردن هويت کاربر، Authorization به معني مشخص کردن ميزان دسترسي کاربر به منابع، Accountability به معني قابليت حسابرسي از عملکرد سيستم و ... اشاره کرد.  امنيت اطلاعات در شبکه هاي کامپيوتري بموازات حرکت بسمت يک سازمان مدرن و مبتني بر تکنولوژي اطلاعات، مي بايست تدابير لازم در رابطه با حفاظت از اطلاعات نيز انديشيده گردد. مهمترين مزيت و رسالت شبکه هاي کامپيوتري ، اشتراک منابع سخت افزاري و نرم افزاري است . کنترل دستيابي و نحوه استفاده از منابع به اشتراک گذاشته شده ، از مهمترين اهداف يک سيستم امنيتي در شبکه است . با گسترش شبکه هاي کامپيوتري خصوصا" اينترنت ، نگرش نسبت به امنيت اطلاعات و ساير منابع به اشتراک گذاشته شده ، وارد مرحله جديدي شده است . در اين راستا ، لازم است که هر سازمان براي حفاظت از اطلاعات ارزشمند ، پايبند به يک استراتژي خاص بوده و بر اساس آن سيستم امنيتي را اجراء و پياده سازي نمايد . عدم ايجاد سيستم مناسب امنيتي ، مي تواند پيامدهاي  منفي و دور از انتظاري را  بدنبال داشته باشد . استراتژي سازمان ما  براي حفاظت و دفاع از اطلاعات چيست؟ در صورت بروز مشکل امنيتي در رابطه با اطلاعات در سازمان ، بدنبال کدامين مقصر مي گرديم ؟ شايد اگر در چنين مواردي ، همه مسائل امنيتي و مشکلات بوجود آمده را به خود کامپيوتر نسبت دهيم ، بهترين امکان برون رفت از مشکل بوجود آمده است ، چراکه کامپيوتر توان دفاع کردن از خود را ندارد . آيا واقعا" روش و نحوه برخورد با مشکل بوجود آمده چنين است ؟ در حاليکه يک  سازمان  براي خريد سخت افزار  نگراني هاي خاص خود را داشته و سعي در برطرف نمودن معقول آنها دارد ، آيا براي امنيت و حفاظت از اطلاعات  نبايد نگراني بمراتب بيشتري در سازمان وجود داشته  باشد ؟