سرویس های کاربردی امنیت اطلاعات(بخش اول)

امروزه امنیت واژه ای است گسترده که همه ما با آن آشنایی داریم و کسی نیست که در دنیای مجازی بااین کلمه سروکار نداشته باشد امنیت را می توان به دوبخش ساده و تخصصی تعریف کرد:

تعریف ساده از امنیت براساس وازه Webster :امنیت یعنی رهایی از خطر کیفیت یا ایمن بودن ،ترس ،تشویش ونگرانی می باشد.

تعریف تخصصی از امنیت : این نوع تعریف از نگاه افراد متخصص امنیت را در حفظ و بقاء ۳اصل می دانند:

۱.محرمانگی(Security ): اطلاعات فقط باید توسط شخص دارنده اطلاعات وافراد قابل اعتماد قابل دسترسی باشد.

۲.دسترس پذیری(Availability) اطلاعات بایستی به هنگام نیاز توسط افراد مجاز قابل دسترس باشد.

۳.آسیب پذیری(vulnerability) ضعف های موجود در نرم افزار سیستم یا دیگر مکانیزم هایی که یک رخنه گر برای دسترسی به سیستم یا شبکه می توان از آن بهره بگیرد.

امنیت اطلاعات را می توان توسط سرویس ها وبرنامه های کاربردی تامین کرد هریک از بخش های شبکه از برنامه های مخصوص و کاربردی استفاده می کنند.

سرویس های کاربردی امنیت را می توان به چند بخش زیر تقسیم کرد :



۱. سرویس امینت پست الکترونیکی

۲.امنیت معماری IP

۳.کنترل دسترسی داده

۴. سیستم زیست سنجی

در این بخش با اولین مورد یعنی سرویس امینت پست الکترونیکی آشنا می شویم.



امروزه هر سازمان واداره ای برای ارسال اطلاعات وداده های خود از پست الکترونیک یا همان (EMAIL) استفاده می کنند تا در زمان وقت صرفه جویی نمایند.اما باید این اطلاعات در مسیر درست حرکت کند یعنی در بین راه دچار اختلال نشود یا به طور کلی باید امنیت آن را تامین کرد در این جا ما دو سرویس برای امنیت پست الکترونیک معرفی می کنیم .

۱.سرویس PGP

این سرویس توسط فیل زیمرمان ارائه شد.از این سرویس برای اعتماد واحراز هویت که در برنامه های پست الکترونیک وذخیره فایل استفاده می شود.
برای ایجاد وساخت بلوک های از بهترین الگوریتم های رمز گذاری استفاده می شود.
الگوریتم مورد استفاده در این سرویس در قالب یک برنامه کاربردی مجتمع می شوند وبا مجموعه ای از دستورات ساده می توان ازآن استفاده کرد.

این یرویس به طور رایگان روی سیستم عامل های مختلفی از قبیل ویندوز،مکینتاش،یونیکس و… قابل اجرا می باشد.



در جدول زیر با برخی از نماد های سرویس PGP آشنا می شوید

در این سرویس الگوریتم رمزگذاری قوی و معروفی از قبیل CAST-128،IDEA،DES، RSA وSHA-1 استفاده شده است.این الگو در حوزه وسیعی به خصوص در سازمان هایی که از یک استاندارد خاص برای رمزگذاری های فایل ها و پیام های محرمانه خود استفاده می کنند.این سرویس، توسط دولت بخصوصی طراحی نمی شود.



فرایند ایجاد محرمانگی در سرویس PGP
 

۲. سرویس پست الکترونیک چند منظوره (S/MIME)



دومین سرویسی که برای امنیت پست الکترونیک از آن استفاده می شود سرویس پست الکترونیک چند منظوره (S/MIME) می باشد. این سرویس برای افزایش امنیت

به استاندارد قالب پست الکترونیک طراحی گردید که براساس تکنولوژی امنیت داده RSA عمل می کند.



استاندارد RFC822

یک نوع قالبی برای پیام های متنی می باشد که از طریق پست الکترونیکی ارسال می شوند.در این قالب اطلاعات به صورت یک بسته می باشد که محتوای آن اطلاعاتی است که باید به گیرنده تحویل داده شود.

در بخش اول با اولین سرویس و یا امنیت اطلاعات یعنی سرویس پست الکترونیکی تا حدودی آشنا شدید . در بخش دوم به سراغ دوسرویس دیگر یعنی

امنیت معماری IP وکنترل دسترسی داده آشنا خواهیم شد.

۲. امنیت معماری IP

اگر بخواهیم امنیت معماری IP ارائه دهیم بایستی به این نکته توجه داشته باشیم که شما در مورد پروتکل IP آشنایی کامل و یا تا حدودی آشنا هستیدپس امنیت معماری IP را به این صورت بیان می کنیم:

امنیت معماری IP می توان گفت از مستندات زیادی تشکیل شده است که به بحث در مورد مهمترین آنها می پردازیم.
RFC2401: مروری برمعماری امنیتی
RFC2402:توصیف گسترش احراز هویت بسته در IPV4 و IPV6
RFC2406: توصیف گسترش رمز گذاری بسته در IPV4 و IPV6
RFC2408: تعین قابلیت های مدیریت کلید

این ۴ مستندی که در بالا به آن اشاره شد مستنداتی بودند که در نوامبر ۱۹۹۸ ذکر شده اند.اما علاوه بر این ۴ مورد ما بخش های تکمیلی دیگری هم داریم که به ترتیب

آن ها را ذکر می کنیم وبه بحث در مورد آنها می پردازیم :

۱. معماری: ملزومات امنیت ومکانیزم های تعریف تکنولوژی IPSec است.

۲.احراز هویت یا AH: قالب بندی بسته ومسائل عمومی مربوط به AH برای احراز هویت بسته است.

۳.الگوریتم رمز گذاری: مجموعه ای از مستندات است که الکوریتم های رمز گذاری گوناگونی را در بردارد وبرای ESP استفاده می شود.

۴.الگوریتم احراز هویت: مجموعه ای از مستندات است که جگونگی استفاده الگوریتم های رمز گذاری مختلف برای AH و ESP راتعریف می کند.

۵.DOI : حوزه تفسیر DOI یه Domain of Interpretation ارتباط بین اسناد وپارامتر هایی ازقبیل طول عمر کلید می باشد.

۶. مدیریت کلید: مستنداتی هست که الگو های مدیریت کلید را توصیف می کند.

این نکته را به خاطر داشته باشید دو پروتکلی که امنیت را فراهم می کننداولی پروتکل احراز هویت که توسط سرایند پروتکل فراهم می شود(AH) و دومی پروتکل ترکیب رمز گذاری و احراز هویت که توسط قالب بندی بسته به صورت ESP فراهم می شود.

۳ .سرویس های کنترل دسرسی داده (DATA ACCESS CONTROL)

بحث بعدی ما در مورد کنترل دسترسی داده یا سرویس های آن می باشد.

امروزه یکی از راه هایی که می توان با هکر ها،سارقان وبد افزار ها مقابله کرد همین سیستم کنترل دسترسی داده می باشد.کاربر با ورود به یک سیستم می تواند به یک یا چند برنامه دسرسی داشته باشد.این نوع ورود برای سیستمی که داده ها وبانک اطلاعاتی حساس و مهمی داشته باشد کافی نمی باشد با سیستم کنترل دسرسی کاربر می تواند شناسایی شود.

برا مثال همه می توانند به لیست کارمند های یک شرکت مهم دسترسی پیدا کنند اما فقط مدیریت وافراد بخصوص می تواند به لیست حقوق و مشخصات دیگر کارمند ها دستبابی دارند.

یک مدل کلی دسترسی که توسط سیستم مدیریت بانک اطلاعات با یک فایل به کار می رود می تواند ماتریس داده که مولفه های آن به صورت زیر می باشد.

نهاد: قابلیت دسترسی به اشیاء را دارد.

شیء : هرچیزی که دسترسی به آن کنترل می گردد از قبیل فایل ها بخشی از فایل ها ویا برنامه ها وقطعات حافظه .

حقوق دسترسی: روشی که با آن نحوه دسترسی نهاد مشخص می گردد مانند خواندن ،نوشتن واجرا.

در بخش بعدی و پایانی این مبحث با سیستم زیست سنجی آشنا خواهید شد.

در بخش پایانی مبحث سرویس های کاربردی امنیت اطلاعات با آخرین سرویسی به نام (سیستم زیست سنجی) آشنا می شویم .

سیستم زیست سنجی: این سیستم در واقع همان احراز هویت می تواند باشد که وقتی شخص وارد سیستم یا مکان خاصی می می شود نیاز است که با

روش های

تشخیص هویت شناسایی و تایید گردد.

در اینجا به سه روش زیست سنجی یا احراز هویت می پردازیم :
استفاده از کارت شناسایی
استفاده از PIN یا کلمه عبور برای ورد
استفاده از مشخصات فیزیکی فرد



اما هر کدام از مواردی که بیان شده، به نوبه خود می تواند معایب و مزایایی داشته باشند.مشکل اصلی ما بر سر همین کلمه عبور هاست که ممکن است حدس زده شوند یا در اختیار دیگران قرار بگیرند.یکی از اصلی ترین این مشکل ها می تواند فراموش کردن پسورد باشد که برای همه ما این اتفاق افتاده است مخصوصا اگر از پسورد خاصی به ندرت استفاده کنیم .کارت های شناسایی هم ممکن است گم یا دزدیده شوند.اما مشخصات افراد انعطاف پذیری ندارند به عنوان مثال هیچ وقت از طریق خطوط تلفن به دیگران منتقل نمی شود.


اما در اینجا این پرسش برای طراحان سیستم ها وسرویس های امنیتی پیش می آید که آیا این توانایی برای کاربران فراهم است که اختیارشان را به دیگران منتقل کنند یا این امکان وجود ندارد؟ باید بگوییم که پاسخ دادن به این سوال در احراز هویت بسیار تاثیر گذار است .

ممکن است روش های شناسایی به صورت ترکیبی به کار بروند برای مثال ممکن است از یک کارت شناسایی برای ورد به ساختمان استفاده شود وبرای ورود به اتاق کامپیوتر از یک PIN ویک کارت شناسایی استفاده شود.اما برای عملیات خاصی مثل انتقال داده ها وپول از یک کارت شناسایی و اثر انگشت استفاده خواهد شد.
 

تقسیم بندی سیستم های زیست سنجی در دو گروه :
خصوصیات رفتاری
خصوصیات فیزیکی

تکنیک های رفتاری متعددی جهت تایید هویت وجود دارد که در اینجا به معرفی برخی از آنها می ‍‍‍‍پردازیم

۱. تایید امضا: در حالی که کاربر شکل نهایی امضا را بررسی می نمایید بیشتر انواع خودکار تایید امضا تاکید بیشتری بر روی حرکت های فرایند امضا کردن دارند .معمولا الگوی مرجع امضا یک کیلو بایت ویا کمتر هم می تواند باشد بنابر این توجه به این نکته خیلی مهم ضروری می باشد که روش مناسب جهت استفاده بر خط ، به همراه کارت هوشمند می باشد زیرا الگوی این امضا یک کیلو بایت و در واقع حجم کمی می تواند داشته باشد.

۱. الگوی تایپ کلید: روشی که کاربر با صفحه کلید تایپ می کند دقیقا با امضا کردن مشابه است .همین مساله را می توان در نحوه تایپ کردن افراد فهمید که تایپیست حرفه ای هستند یا خیر که این الگو برای تایپیست های حرفه ای صدق می کند.

۲.تشخیص صدا : این نوع سیستم در بعضی از محیط های پیاده سازی هزینه بسیار کمی دارد تشخیص صدا می تواند شاخه ای از پردازش صوت باشد که در کنفرانس های تصویری و تلفن های دیجیتالی کاربرد زیادی دارد.

خصوصیات فیزیکی : خصوصیات فیزیکی یا همان سنجش اعضا می توان یکی از قدیمی ترین روش های تشخیص شناسایی هویت افراد باشد. برخی از این روش ها

عبارتند از :

۱. اثر انگشت: یکی از قدیمی ترین روش ها ی احراز هویت می باشد.حجم الگوی مرجعی که سیستم برای ثبت جزئیات اثر انگشت که ممکن است شامل تقاطع ، کناره ها ی برجستگی ها یا کل تصویر باشد چیزی در حدود ۱۰۰ بایت می باشد.در حالی که تصویر کامل اثر انگشت ۵۰۰ تا ۱۵۰۰ بایت را اشغال می کند.بنابراین سیستم ها جزئیاتی از اثر انگشت را دخیره می کنند.دلیلش هم کاملا واضع است چون حجم کمی را اشغال می کند. اما مشکلی که در این روش تایید هویت می باشد این است که در برخی از کاربرانی که مواد مخدر مصرف می کنند وحتی کارگران، تحلیل وشناسایی اثر انگشتشان بسیار مشکل است .

۲. هندسه دست : به دلیل بزرگ بودن وراحتی استفاده از هندسه دست می تواند امتیاز بالایی کسب کند.از مجموعه برجستگی هایی تشکیل می شود که برای اسکن شدن هدایت می گردد و تصویر توسط یک دوربین CCD گرفته می شود .حجم این الگو چیزی در حدود ۹ کیلو بایت می باشد.از مزایای خوبی که دارد بر عکس روش اول (اثر انگست ) هیچ گونه کثیفی روی آن تاثیر نمی گذارد . اما تنها عیبی که در این روش می تواند وجود داشته باشد کیفیت سنجش به وسیله جراحت یا افزایش سن تغییر می یابد اگر الگو به روز آوری نشود عملات ثبت مجدد لازم می باشد و این روند باعث کاهش سرعت می شود.

۳. اسکن شبکیه : در این روش برای تولید یک تصویر متمرکز چشم باید در نزدیک دوربین قرار بگیرد حجم الگوی مرجع آن چیزی در حدود ۳۵ بایت در اکثر سیستم هایتجاری معمول می باشد.

۴. اسکن عینیه : در روش اسکن شبکیه کاربر نگران قرار دادن چشم در نزدیکی منبع نور هستند ممکن است موجب بعضی از بیماری ها شود که کاربران متوجه نشوند .بنابر این جای خود را به اسکن عینیه داده است. در این روش کاربر باید در حدود فاصله ۳۰ سانتیمتری یا کمی بیشتر برای چند ثانیه به دوربین نگاه کند. در این روش سنسور باید طوری باشد که برای تمامی کاربرها با قدهای مختلف حتی کسایی که روی صندلی چرخ دار هستند قدرت شناسایی را داشته باشد. این روش نسبت یه روش های دیگر جدیدتر می باشد.

با توجه به کاهش قیمت در سیستم زیست سنجی ،و افزایش کلاهبرداری ها و سرقت ها با استفاده از همین روش ،امنیت آن رو به افزایش می باشد.به عنوان مثال اکثر موسسات مالی از ترکیب کارت های شناسایی هوشمند با زیست سنجی استفاده می کنند.زیست سنجی در اکثر برنامه های کاربردی دولتی و امنیت ملی ،شامل امنیت فرودگاه ها بررسی گذر نامه ها برای جلوگیری از تقلب در خدمات اجتماعی در حال افزایش است.