امنیت اطلاعات(قسمت چهارم)
سیاست دسترسی: در مورد اولویت ها، محدودیت ها کلا در مورد آنچه که کاربران می توانند انجام دهند یا برای آنها ممنوع است راهنمایی می کند
سیاست احراز هویت: روش های پذیرش و تایید کاربران به منظور دسترسی به منابع و تجهیزات موجود در سطح شبکه
سیاست رمز گذاری: نحوه مدیریت کلمات عبور
سیاست های مسئولیت پذیری و جوابگویی: هر پرسنل بر اساس مسئولیتی که دارد باید پاسخگو باشد
سیاست پنهان سازی: آنچه که نباید مشهود باشد و در اختیار همگان قرار گیرد
سیاست گزارش گیری: بررسی و گزارشگیری از تخلفات انجام شده در سازمان
سیاست های در دسترس بودن: این سیاست ها در زمان تعمیرات، پیش بینی ها و اقداماتی را جهت در دسترس بودن سیستم انجام می دهند و دستورالعمل هایی برای روند غیرفعال نمودن و یا فعالیت مجدد شبکه پیش بینی می کند
سیاست های حفظ و نگهداری شبکه . سیستم امنیت: این سیاست ها مشخص می کند که افراد درون سازمان چگونه از تجهیزات و منابع کامپیوتری نگهداری نمایند
سیاست های انتظارات از دیوار آتش: این سیاست ها باید قبل از استقرار آن بر روی شبکه طراحی و تدوین شود
سیاست های ضد ویروس: به استفاده از نرم افزارهای ایمن، مشخصه های نرم افزارهای ضدویروس و قوانینی برای استفاده کاربران از سایت های مختلف است
سیاست طبقه بندی اطلاعات: به تشریح، بررسی و محافظت اطلاعات و دارایی های سازمان می پردازد و اطلاعات را در بخش های محرمانه، خصوصی و عمومی تقسیم می کند
سیاست منابع انسانی: به تشریح چگونگی ارتباط واحد فن آوری اطلاعات با واحد منابع انسانی می پردازد
سیاست های واکنش در مقابل حوادث و حملات: بعضی از حوادثی که بدون اطلاع شبکه و یا سیستم ممکن است اتفاق بیفتد شامل:
- تغییرات سخت افزار و نرم افزار
- حمله انکار سرویس
- دسترسی غیر مجاز به سیستم و داده های آن
- پردازش، ذخیره سازی، تغییر و تخریب غیر مجاز داده ها
مدل های امنیت اطلاعات:
هر برنامه امنیت اطلاعاتی بر اساس یکی از مدل های امنیت اطلاعات طراحی شده است
- مدل سه تایی یا CIA: در این مدل چگونگی سه مورد محرمانگی، یکپارچگی و دسترسی به اطلاعات بررسی می شود:
- محرمانگی: اشاره به این موضوع است که اطلاعات تنها در دسترس افرادی قرار می گیرد که نه تنها به آنها نیاز دارند بلکه صلاحیت استفاده از این اطلاعات را هم دارند
- یکپارچگی: تغییرات در اطلاعات فقط باید توسط افراد یا پروسه های مشخص و مجاز انجام می گیرد که باید در درون و برون سیستم حفظ شود و اطلاعات نباید توسط افراد غیر متخصص تغییر یابند.
- دسترسی: هر زمان که دسترسی به اطلاعات لازم باشد این اطلاعات در دسترس خواهند بود. اگر همه موارد ایمنی مد نظر قرار گیرند اما عواملی باعث از دسترس خارج شدن آن گردد امن نیست
- مدل های دفاعی: برای آنکه بتوان محرمانگی، یکپارچگی و دسترسی اطلاعات را در شبکه و محیط حفظ کرد از دو روش می توان استفاده کرد:
- ساخت محیط دفاعی اطراف داده ها و اطمینان از افرادی که داخل محیط هستند
- تعریف از لایه های گوناگون برای دسترسی به اطلاعات
- مدل آبنبات چوبی یا لولی پاپ: همینطور که اطراف آبنبات چوبی یک پوسته ضخیم است، در اینجا نیز یک پوسته ضخیم اطراف اطلاعات قرار می گیرد، مثل سیستم های دولتی. اما این محیط نمی تواند امن باشد و افرادی که بخواهند می توانند راهی را برای وارد شدن به آن می یابند
- مدل آنیون یا پیاز: در این مدل هر اطلاعاتی از حفاظت ویژه ای برخوردار است. از داخل به خارج شامل کنترل دسترسی، رمزگذاری، پچ، مانیتورینگ، حفاظت فیزیکی
هر یک از نمایه های شبکه از حدود اطمینان مختلفی برخوردارند، بعضی از سرویس ها کاملا ایمن هستند و گیرنده و فرستنده اطلاعات از یک سطح امنیت برخوردارند، بعضی از سرویس ها نیمه ایمن هستند و بعضی از شبکه ها نیز غیر ایمنند مثل هات اسپات های بی سیم.