مقاله کلیدهای رمزنگاری و امنیت داده‌های رایانه‌ای

بخشی از مقاله

چکیده : امنیت اطلاعات عدم دسترسی اشخاص و یا ابزار غیر مجاز به اطلاعات و جلوگیری از ورود غیر قانونی به حریم خصوصی و دستیابی به داده ها و اطلاعات شخصی کاربران است. امنیت فناوری اطلاعات موضوع بسیار پیچیده ای است که تقریباً همگام با فناوری اطلاعات در حال تکوین است. سیاست های اصلی تامین امنیت اطلاعات و پیاده سازی آنها در یک کشور باعث تقویت جریان سرمایه گذاری در آن خواهد شد.

اطلاعات در قالب های مختلف و گوناگونی نگهداری، ذخیره و منتقل می شود. از جمله این موارد ممکن است برروی کاغذ تحریر و نگاشته شود، به وسیله سیستم پستی و یا ابزار الکترونیکی انتقال داده شود، بصورت فیلم، اسلاید و یا عکس نگهداری شود و یا در یک مکالمه تلفنی و یا اینترنتی بیان شود. فرآیند نگهداری، اشتراک و دسترسی اطلاعات به هر شکل و روشی که صورت پذیرد مستلزم محافظت مناسب و مدیریت ایمنی دقیق است.

-1 مقدمه

امنیت اطلاعات در شبکه های کامپیوتری و امنیت تبادل اطلاعات در فضای مجازی مبحث بسیار مهمی است. اما کارشناسان فناوری اطلاعات به ندرت به این نکته اشاره داشتهاند و یا به آن پرداخته اند. بدون تأمین امنیت نقل و انتقال دادهها و اطلاعات، تکنولوژی رسانه ای و اطلاعاتی شبکه های کامپیوتری به ابزاری نا امن و غیر مطمئن تبدیل خواهد شد و همچنین فرصتی برای سوء استفاده سودجویان و سارقان اطلاعاتی در فناوری اطلاعات پدید خواهد آمد.

در عصر اطلاعات و ارتباطات که علوم نوین کامپیوتر و همچنین پیشرفت های روزافزون فناوری اطلاعات تمامی ابعاد زندگی انسان ها را تحت الشعاع قرار داده و گریز از آن امکان ناپذیر است، مبحث امنیت اطلاعات در جایگاهی حساس و مهم قرار دارد.  امروزه فناوری اطلاعات ذخیره سازی اطلاعاتی را ممکن کرده است که در گذشته تنها با در اختیار داشتن انبارهای بایگانی بزرگ از پرونده های قطور ممکن بوده است. و این فناوری در روش ذخیره سازی و نگهداری اطلاعات بصورت کمی و کیفی به جامعه بشری خدمت نموده است.

توسعه فناوری های نوظهور و گسترش علوم کامپیوتر و فناوری اطلاعات و ارتباطات دارای ابعاد و مولفه های شاخص و کاربردهای بسیاری است که در این میان عدم آشنایی و آگاهی کامل کاربران این فناوری با مسائل امنیتی و حفاظت از داده ها و اطلاعات خود، باعث بروز مشکلات و عواقب ناشی از ناآگاهی ها و ایجاد مشکلات امنیتی خواهد شد. اطلاعات به منزله گنجینه دستاوردهای فکری انسان همچون کلیدی است برای رشد دانش و فناوری، تصمیمگیری و مدیریت، تحقیق و توسعه، تولید و اشتغال، آموزش و پرورش، برنامهریزی و قانونگذاری و ساختن جهانی نو که در آن حداکثر بهرهوری در استفاده از نیرویهای بالقوه مادی و معنوی لحاظ شده باشد.

-2 بیان مساله

در رابطه با برقراری امنیت و جایگاه و ساختار تشکیل آن پرسش های متعددی مطرح میشوند: -1 زیرساخت برقراری امنیت چیست؟ -2 ضرورت ایمنی شبکه و اطلاعات آن در برابر چه تهدیدهایی است؟ -3 هزینه برقراری امینت در سیستم نگهداری اطلاعات چقدر است؟ و در نهایت پاسخ تمامی این پرسش ها با دستیابی به یک تعریف جامع از سیستم امن و تعریف امنیت تحقق می یابد.

امروزه تبادل اطلاعات و یافته های علمی، پژوهشی، مهندسی، پزشکی و اسناد مالی، نظامی، اداری و غیره به وسیله ارتباطات شبکه ای صورت می پذیرد. با توجه به سرعت قابل توجه ارتباطات، عدم وجود محدودیت های جغرافیایی و امکانات موجود در شبکه های رایانه ای، مخاطرات و تهدیداتی از قبیل: برنامه های جاسوسی و خرابکارانه، هکرها و نفوذ گران شبکه که اقدام به سرقت اطلاعات و داده ها در Network می نمایند مورد توجه و بحث و بررسی می باشد.

ضرورت حفاظت اطلاعات در تمامی عرصه های علمی، اقتصادی، امن از منابع اینترنت و نقل و انتقال و تبادل اطلاعات، متخصصین نیاز به آموزش و شناخت راهکار های امنیتی دارند. اقتصاد کشور سالانه میلیون ها دلار از قاچاق و سرقت اطلاعات زیان می بیند و این نکته نشانگر حساسیت موضوع از لحاظ اقتصادی و استراتژیک می باشد. از دیدگاه دیگر، امنیت اطلاعات دارای اهمیت ویژه ای از نظر سیاسی، نظامی، علمی، اجتماعی و مباحث کلان اقتصادی و ملی یک کشور است. تهدیدات سیستم های اطلاعاتی به دو دسته کلی تقسیم می شوند.

-1 تهدیدات عمدی مثل کلاهبرداری های اینترنتی، حملات ویروس ها و هکرها.

-2 تهدیدات سهوی مانند اشتباهات انسانی، مشکلات سخت افزاری و نرم افزاری و حوادث طبیعی. تهدیدات نوع اول جدی تر و خطرناک تر از نوع دوم است.

1؛-2  امنیت اطلاعات و داده های رایانهای

امنیت اطلاعات عدم دسترسی اشخاص و یا ابزار غیر مجاز به اطلاعات و جلوگیری از ورود غیر قانونی به حریم خصوصی و دستیابی به داده ها و اطلاعات شخصی کاربران است. ارتباطات شبکه ای، ماهواره ای و بی سیم امکان دسترسی افراد غیرمجاز را به اطلاعات شخصی افراد و اطلاعات طبقه بندی شده یک سازمان را فراهم می آورد.

مدیران و کارشناسان امنیتی در راستای تامین ضریب امنیت داده ها، اطلاعات ارزشمند را دسته بندی نموده و خطر پذیری و ضریب نفوذ به آنها را محاسبه می نمایند. ضریب نفوذ و امنیت اطلاعات و خطر پذیری آن به 3 جزء: -1 محرمانگی، -2 دسترس پذیری، -3 یکپارچگی تقسیم می شود. همچنین برقراری امنیت اطلاعات بصورت سازمانی به 3 بخش اساسی دسته بندی می گردد: کنترل های مدیریتی کنترل های عملیاتی کنترل های فنی و تخصصی

-    محرمانگی: حصول اطمینان از دسترسی افراد، بخش ها و برنامه های مجاز به اطلاعات است.

-    دسترس پذیری: امکان دسترسی به موقع افراد و برنامه های مجاز به اطلاعات طبقه بندی شده مورد نیاز.

-    یکپارچگی: اطلاعات و داده ها می باید توسط افراد مجاز و با استفاده از روش های مجاز قابل تغییر و دسترسی باشد. امنیت فناوری اطلاعات موضوع بسیار پیچیده ای است که تقریباً همگام با IT در حال تکوین است. سیاست های اصلی تامین امنیت اطلاعات و پیاده سازی آنها در یک کشور باعث تقویت جریان سرمایه گذاری در آن خواهد شد.

اطلاعات در قالب های مختلف و گوناگونی نگهداری، ذخیره و منتقل می شود. از جمله این موارد ممکن است برروی کاغذ تحریر و نگاشته شود، بوسیله سیستم پستی و یا ابزار الکترونیکی انتقال داده شود، بصورت فیلم، اسلاید و یا عکس نگهداری شود و یا در یک مکالمه تلفنی و یا اینترنتی بیان شود. فرآیند نگهداری، اشتراک و دسترسی اطلاعات به هر شکل و روشی که صورت پذیرد مستلزم محافظت مناسب و مدیریت ایمنی دقیق است.

بنابر نظر سنجی سرقت اطلاعات یا - Information Security Breaches  ISBS Survey - در سال 2000 میلادی 31 درصد سازمان ها هیچ گونه اطلاعات خود را بصورت طبقه بندی شده و محرمانه در نظر نگرفته بودند. در حالی که 58 درصد آنها امنیت اطلاعات را به عنوان یک مبحث مهم و ضروری در فعالیت اقتصادی خود در نظر می گرفتند و تنها 11 درصد از آنها دارای سیاست مشخص و مدیریت امنیت اطلاعات در سیستم خود بوده اند.

نتایج تحقیقات پژوهشگران در خصوص امنیت اطلاعت در سطح جهانی و برروی تعداد 1000 شرکت ثروتمند که بخشی از منابع خود را جهت رسیدگی به مسائل امنیتی قرار داده اند نشان می دهد که %90 سازمان ها معتقدند امنیت اطلاعات برای دستیابی آنها به اهداف کلی سازمان بسیار حائز اهمیت است. %78 عنوان کرده اند اولین هدفشان در تامین امنیت اطلاعات، کاهش خطرپذیری و ریسک سرقت اطلاعات می باشد.

بیش از %34 عنوان کرده اند قدرت کافی برای تشخیص اینکه آیا سیستم آنها در معرض خطر حمله و سرقت اطلاعات دیجیتالی قرار دارد را ندارند. بیش از %33 سازمان ها توانایی مقابله و واکنش مناسب در موقع بروز خطر و تهدیدات امنیتی را ندارند و تنها %34 از سازمان ها ادعا می کنند ضوابط و مسائل امنیتی را اجرا می کنند و %35 از سازمان ها برنامه های پیوسته آموزشی و اطلاع رسانی امنیتی را برای کارکنان خود اجرا می کنند.

2؛-2 کنترل امنیتی اطلاعات

کنترل امنیتی شامل روش ها، دستورالعمل ها، راهکارها و الگوریتم هایی هستند که دارایی ها و اطلاعات را در مقابل تهدیدات امنیتی محافظت می کنند و مخاطرات ناشی از آسیب پذیری و مسائل امنیتی ناخواسته را کاهش می دهند. همچنین میزان دسترسی افراد مجاز و سطوح امنیتی و واکنش به تهدیدات در کنترل امنیتی اطلاعات موثر است. ارزیابی ریسک امنیت اطلاعات به تصمیم گیری مدیران و متخصصان برای انتخاب راه حل های امنیتی مناسب کمک می کند.

مدل ارزیابی ریسک امنیت اطلاعات بر اساس استاندارد BS7799 به صورت زیر می باشد: تعیین داراریی ها و ارزش مالی و اقتصادی آنها تعیین تهدیدات احتمالی و میزان خطر پذیری ارزیابی وضعیت موجود از نظر امنیتی محاسبه میزان ریسک امنیت اطلاعات تعیین ارزش اقتصادی و مالی اطلاعات این امکان را فراهم می سازد که روش ها و تدابیر اتخاذ شده، سیاست و هزینه های جاری جهت برقراری امنیت داده ها متناسب با ارزش اطلاعات و میزان اهمیت آنها باشد.

این روش کنترل مدیریتی و اقتصادی اطلاعات و امنیت آن می باشد. تعیین تهدیدات و میزان خطر پذیری در انتخاب نوع مدیریت امنیتی و کنترل آسیب پذیری بسیار موثر است و راهکارهای مناسب و روش های متناسب با نیازهای امنیتی را مشخص می کند. در کنترل امنیت اطلاعات، میزان هزینه های امنیتی نباید از میزان ارزش اقتصادی اطلاعات بیشتر باشد و بررسی این موضوع به تعیین ارزش اطلاعات و ضریب امنیت و نفوذ بستگی دارد. سیستم مدیریت اطلاعات ابزاری است در جهت طراحی، پیاده سازی و کنترل امنیت نرم افزار و سخت افزار یک سیستم اطلاعاتی که وظیفه تعیین اهداف امنیت و بررسی موانع سر راه رسیدن به این اهداف و ارایه راهکارهای لازم را بر عهده دارد.

یکی از روش ها و برنامه های ضدامنیتی، Phishing یا دزدی هویت است. نفوذگران و سارقان اطلاعات با دزدی هویت افراد مجاز و به دست آوردن نام کاربری و رمز عبوری آنان، اقدام به ورود غیر قانونی و سرقت اطلاعات می نمایند. برای جلوگیری از وقوع این دسته از خطرات ضد امنیتی، آموزش مسائل و نکات امنیتی و حفظ اطلاعات کاربری به افراد و کاربران سیستم های نگهداری اطلاعات لازم و ضروری است. سرقت اطلاعات و افشای آنها توسط افراد غیر مجاز می تواند خسارات اقتصادی، امنیتی، اطلاعاتی و علمی گسترده ای را به صاحبان این اطلاعات الکترونیکی وارد سازد. ورود به حریم خصوصی کاربران حقیقی و حقوقی و سوء استفاده از اطلاعات شخصی آنها سبب وارد آمدن زیان های مالی و روحی بسیاری می گردد.

3؛-2 راهکارهای افزایش امنیت اطلاعات رایانهای

یکی از موثرترین راه های افزایش ضریب امنیت اطلاعات و داده ها، رمزنگاری اطلاعات می باشد. رمزنگاری و کدگذاری داده ها به روش های گوناگون و مختلفی صورت می پذیرد که یکی از این روش ها DES و الگوریتم کلید متقارن است. این روش از کلیدهای 64 بیتی برای رمزنگاری و رمزگشایی استفاده میکند. در جدول شماره 2، الگوریتم DES متن اولیه را به بلوک های 64 بیتی تبدیل نموده و آنها را بصورت جداگانه به رمز تبدیل میکند. نسخه دیگری از این الگوریتم ارایه شده است که از کلیدهای 56 بیتی و با فضای کلید موثر 168 بیت استفاده میکند و سه بار بصورت متداول عملیات رمزنگاری را انجام میدهد.