چشم اندازی بر ۲۰ سال امنیت (قسمت اول)

در طول این بیست سال هر چیزی که فکرش را بکنید تغییر کرده، تغییراتی نه تنها ظاهری که حتی در بنیاد و باطن یک پدیده. برای مثال پدیده پیام رسانی فوری، کماکان به عنوان یک مفهوم و پدیده نوپا بود که ناگهان وب۲ متولد شد. پدیده پردازش های ابری در حال حاضر آنقدر نوپا ونوظهور هستند که هنوز بسیاری از مردم درک کامل و صحیحی از آن ندارند که در واقع چه هست، چه می کند و چه مزایا و معایبی دارد.

در این مقاله به بررسی کامل و همه جانبه ای در مورد مسئله امنیت، به خصوص در مورد پدیدههای فوق و سایر پدیدهها و تغییر و تحولات صورت گرفته در بیست سال گذشته میپردازیم.

واضح است که بیست سال در طول عمر یک کسب و کار به عنوان سرآغاز و شروع دوران جوانی مطرح می شود، و البته در طول این بیست سال به قدری تغییر و تحولات سریع و عمیق بوده اند که بررسی آنها حتی در این مدت کوتاه بسیار ضروری به نظرمی رسد و البته این ماجرا زمانی دلچسبتر میگردد که مسئله امنیت را در حوزه فناوری اطلاعات بررسی کنیم.

در این مقاله علاوه بر مسائل فوق نگاهی به بخشهای مختلف بازار نیز داشتهایم و روش ها و نیازمندیهایی که برای ایجاد سامانههای امنیتی مد نظر بوده است را بررسی کردهایم. بازیگران اصلی این بخش خاص را میتوان در گروههایی چون افراد ماهر و کار آزموده، نظریه پردازان، رصد کنندگان و محققان و پژوهشگران تقسیم بندی کرد. اما در واقع همه آنها در یک مسئله مشترک هستند، و آن هم این که همه آنها روی این دریای پرتلاطم به همراه شما در یک کشتی سوارند که به مقصد رسیدن آن به نفع همه و غرق شدن آن به ضرر همه خواهد بود. نام این کشتی، امنیت است.

امنیـت اطـلاعـات
شاید بتوان نخستین رویداد جدی شکل گرفته در حوزه امنیت فناوری اطلاعات را به سال ۱۹۷۸ ارجاع داد. در این سال کنفرانس امنیت رایانه با موضوع بسط سیاست ها، برنامه ریزیهای زمان بحران، امنیت فیزیکی مراکز داده و فناوریهای جدید در خصوص سامانههای کنترل دسترسی مورد بحث و بررسی قرار گرفتند. در آن زمان رایانهها به وسعت امروز در دسترس همگان نبودند و به صورت آزمایشگاهی و حتی در قالب مین فریم ها به ارائه خدمات میپرداختند.

اما در سال ۱۹۸۱، همه چیز به یکباره با معرفی نخستین رایانه قابل حمل تغییر کرد و در واقع با این دگرگونی کاربری رایانه از آزمایشگاهها و محیطهای تخصصی به سمت شخصی شدن پیشرفت و هر فردی می توانست با خرید نرم افزارها و سخت افزارهای مورد نیاز خود، سامانه رایانهای شخصی خود را ایجاد کند.

این حرکت به سمت تمرکز زدایی، محققان وفعالان حوزه امنیت رایانه را به سمت تغییر نگاهها و سیاستهایی که تا پیش از این در این حوزه اعمال میکردند واداشت و در واقع باید سیاستها را به گونهای تغییر میدادند که نرم افزارها و سخت افزارهای امنیتی خود را با شرایط جدید که همانا گسترش سامانههای رایانهای در بخشهای مختلف زندگی روزمره مردم بود، همسو کنند، و شاید بتوان گفت ازهمین دوران بود که حتی شغل جدیدی با عنوان ISSO: Information System Security Officer ایجاد شد.

و با ظهور زیر ساختهایی چون Client-Server، حتی افرادی که به عنوان ISSO در شرکتی مشغول به کار بودند از بخشهای IT سازمانها بیرون رفتند ودر واقع حوزه کاری آنها بسیار گستردهتر شده و اعمال سیاستهای امنیتی از حوزه یک واحد کوچک در یک سازمان به سطح کامل سازمان تسری پیدا کرد. در این زمان مسئله امنیت سازمانی (Corporate Security) برای اولین بار مطرح گردید و بحث برگزاری دورههای آموزشی در جهت ارتقاء دانش و آگاهی کلیه کارمندان جدیتر شد.

همچنین در سال ۱۹۹۱، با معرفی گواهینامه امنیت سامانههای

اطلاعاتی CISSP: Certified Information System Security Proffessional گام بسیار مهم و جدی در توسعه و پیشرفت صنعت امنیت اطلاعات برداشته شد و امروزه با گذشت پس از ۲۰ سال از معرفی مدرک CISSP، دارنده این مدرک به عنوان فردی که دارای سطح دانش واطلاعاتی قابل قبول در حوزه امنیت اطلاعات است، شناخته میشود و در واقع، داشتن سطح اطلاعات قابل قبول یکی از عوامل کلیدی موفقیت برنامههای امنیت اطلاعات است.

امروزه بحث امنیت اطلاعات به قدری مهم و با اهمیت شده است که در بخش مدیریت ریسک سازمانها و نهادها به آن پرداخته میشود و در۳۶ امین کنفرانس سالانه موسسه امنیت اطلاعات نیز بحث مدیریت ریسک پر مباحثهترین موضوعات بوده است.

انقـلاب یا تغییـر تـدریجـی
چشـم انـدازی بـر سـال ۱۹۸۹
مفهوم رایجی که از سیستمهای رایانهای در ذهن ما شکل گرفته است در واقع در سالهای پایانی دهه۸۰ و سالهای ابتدای دهه ۹۰ ایجاد شده است. در همان دوران نیز این سیستمها تا حد زیادی توسط سازنده خود از دیگران متمایز میشدند به طور مثال در فروشگاههای IBM به هیچ عنوان تجهیزات DEC به فروش نمیرفت و بالعکس.

سیستمهای HP در سایتهای کارخانه ای به فروش می رفتند و دنیای CAD/CAE نیز تحت سیطره Standalone Graphic Units قرار داشت و البته در همین دوران بود که استانداردهای امنیت سیستمهای رایانهای توسط دولت ایالات متحده منتشر شد.

طول ده سال بعدی را میتوان عصر دات کام نامید. تکنولوژی تقریبا تمامی جنبههای زندگی ما را تحت تأثیر قرار داد اما با وجود این تغییرات آیا تعریف ما نیز از دامنه امنیت اطلاعات نیز عوض شده است؟ و در واقع ما در مقابل این انقلاب چه رویکردی اتخاذ کردهایم؟

معمـاری شبـکـه
در سال ۱۹۸۹ بود که به تدریج سیستمهای باز با یکدیگر مرتبط شدند و از این طریق، کانالهای ارتباطی جدیدی برای رخنه اطلاعات از یک سیستم به سیستم دیگر باز شد و در واقع ارتباطات فراوان و حتی بیش از حدی در شبکههای داخلی و حتی روی خطوط استیجاری شکل گرفت.

در همین دوران استفاده از خطوط ارتباطی Dial Up عمومی برای انتقال اطلاعات حساس نیز کاهش یافت و معماری شبکههای ارتباطی به سمت یک معماری امنیت محور حرکت کرد.

بیـست سـال حـاکمـیت
در گذشته بحث امنیت اطلاعات به طور عمدهای محدود به مسائل فنی و ابزارهایی بود که به حل مشکلات و مسائل IT محور کمک میکردند، و اصولا این مباحث در پشت درهای بسته مطرح و حل میشدند و به ندرت به صورت علنی مطرح میشدند.

اما بعدها با انجام تعدادی از حملات سایبری و البته ترکیب آنها با بعضی از بلایای طبیعی، بحث اعمال حاکمیت در موضوع امنیت اطلاعات در کانون توجهات قرار گرفت.

این مسئله خصوصا در مواجهه با مواردی چون حفاظت از دیتا، پیشگیری از وقوع حمله، محافظت از اعتبار کسب و کارها و برندها اهمیت بیشتری یافت و در واقع شرکتهایی که مبنای عملکردهای آن B۲B و B۲C بود بیشتر به دنبال تامین امنیت خود و مشتریان خود در حوزه IT بودند.

دولتها البته فعالیتهای مثبتی نیز در راستای توسعه بحث امنیت اطلاعات صورت دادهاند، که ارائه طرحها و لوایح جدید برای بالا بردن آگاهی عمومی و همچنین تدوین استانداردهای جدید دولتی در این خصوص قابل اشاره هستند که مشهورترین این قوانین، SOX: Sarbanes – Oxely Act در ایالات متحده و EU Data Praivacy Act در کشورهای عضو اتحادیه اروپا میباشند.

این نوع بازنگری در خصوص قوانین و اعمال حاکمیتهای دولتی خود به خود منجر به ایجاد پستهای سازمانی جدیدی چون مدیر ارشد امنیت اطلاعات CISO: Chief Information Security Officer، مدیر ارشد ریسک CRO: Chief Risk Officer و مدیر ارشد حریم شخصی CPO: Chief Privacy Officer گردید.

این پستهای سازمانی جدید در واقع یک فرآیند آشکار را در خصوص مسئولیتها و ساختار سازمان در خصوص حفظ مسائل امنیتی تعریف کردند. علاوه بر آن بحث امنیت فناوری اطلاعات به عنوان بخشی از فرهنگ سازمان و طرز فکر سازمان مطرح شده است که خود عامل

مهمی در ارتقای امنیت فناوری اطلاعات در سازمانها بوده است.
در این خصوص یک مسئله بسیار روشن است: با توجه به نقش قدرتمنـد دولت در بالا بـردن آگاهیهـا و مطرح کردن اینگونه مسائل در بخشهای عمومی می توان افق مثبتی در این حوزه تصور کرد.

توسعـه سیـاستهـای امنیـت اطـلاعـات
اگر به سالهای ۱۹۸۰ تا ۱۹۹۰ نگاهی بیندازیم خواهیم دید که در آن دوران همچنان در بحث توسعه و بسط سیاستهای امنیت اطلاعات تلاش و کار چندان مهمی در شرکتها و سازمانها صورت نپذیرفته بود و در واقع تنها فردی که متولی و مسئول تدوین این سیاستها بود مدیر IT آن سازمان بود که وی نیز کار چندانی در این خصوص انجام نمی داد. اما در نهایت تصویب قوانینی چون (HIPPA) Health Insurance Portability and Accountability Act
و (GLBA) Gramm-Leach-Bliley Act را می توان به عنوان سرآغاز ایجاد یک فرآیند ساخت یافته در جهت پیشبرد و تدوین سیاستهایی انسجام یافته در خصوص توسعه امنیت اطلاعات در نظر گرفت. و البته در سال ۲۰۰۲ نیز ارائه قانون (SOX) Sarbanes-Oxley Act توانست کمک شایانی به این امر کند.

امروزه اما با ترویج و گسترش ابزارهای دیجیتال بحث امنیت اطلاعات با مسئله حفظ امنیت حریم شخصی افراد گره خورده است که این نکته خود بر مسئله نیاز به توسعه سیاستهای حفظ امنیت اطلاعات مهر تأیید میزند.

مـدیـریت دستـرسـی
بیسـت سـال مدیـریت دستـرسـی

مسئله مدیریت دسترسی هیچگاه تا به این اندازه که امروزه در کانون توجهات است، مورد توجه نبوده است. در این خصوص اگر به گذشته نگاهی بیندازیم مسئلـه دستـرسی به سیستـمهـای رایانـهای تقریبـا به معنی دسترسی و امکان ورود به محل قرارگیری این سیستمها بوده و در واقع در عصر مین فریم ها امکان چندانی برای دسترسی به رایانهها از خـارج از محـل نگه داری آن ها وجود نداشته است.

اما با تولد سیستمهای IBM مثل DEC TOPS-۱۰/۲۰ و یا ISS-۳۶۰ مسئله مدیریت و دسترسی نیز به تدریج جای خود را در مباحث امنیت فناوری اطلاعات بازکرد و حتی در همین دوران بود که کلمه عبور برای استفاده از سیستمهای رایانهای ایجاد شد.

گام مهم بعدی در این خصوص در زمان معرفی سیستمهای چندکاربره Unix/Multics در دهه ۷۰ برداشته شد، در این زمان یونیکس به معرفی مفهوم تعریف ایجاد ساختاری برای دادن یا ندادن اجازه جهت دسترسی به یک برنامه خاص به یک کاربر خاص پرداخت. این ویژگی برای اولین بار این امکان را فراهم کرد که عدهای از کاربران به بخشی از برنامهها و اطلاعات دسترسی داشته باشند.

در حالی که سایر کاربران به همان برنامه ها و اطلاعات دسترسی ندارند.
گر چه این امکان جدید توانست افق جدیدی را در حوزه کاربری سیستمهـای رایانـهای ایجـاد کند امـا به همـان اندازه در خصوص حفظ امنیت ایـن سیستمها نیز پیچیدگی ایجـاد کرد. بـا بررسی دیگر سیستـمهای نرم افزاری میتوانیـم اینگونه در نظـر بگیریـم که در واقـع اسـاس همه آنهـا همین سـاختار یونیکـس بوده است. در این خصـوص تنها نکته جدیـدی کـه میتـوان بـه آن اشـاره کـرد بحث مربـوط بـه ACL: Access Control List است.

مدیریت دستـرسی برای سال ها تنهـا در بحث شنـاسه کاربـری و کلمه عبور خلاصه می شـد. اما در طـول ده تا پاـنزده سال گذشته شبکههای داخلـی و همچنین اینترنت رشد بسیار سریعی را تجربه کردهانـد، و برنامهها و نرم افزارها و سخت افزارها از طریق راهها وساختـارهای ارتباطـی جدیدی به هم متصـل میشوند که در گذشتـه چندان کاربـرد نداشتهانـد و بنابراین به ناگاه وضعیتی به وجود آمد که حسابهای کاربری افراد باید با صدها و یا هزار برنـامه و نـرم افزار که سعی دارند جهت مقاصد مختلف از این حسابهـا استفـاده کننـد همـاهنگ شـود، کـه بنـابـرایـن روشهای جدید تعیین هویت کاربر ابداع و به کار گرفته شدند که استفاده از توکن و کارتهای هوشمند، و ابزارهای تعیین هویت بیومتریک برخی از این روشها هستند. البته امروزه واژه جدیدی به نام امنیت

ابری به جمع واژگان مدیریت دسترسی کاربر افزوده شده است که روشی جدید والبته چالشی جدید برای کاربران ایجاد کرده است.

رمـزنگـاری: بیسـت سـال پیـش
امـروزه در جهانـی زندگـی میکنیـم که رمـزنگـاری در تمامی ابزارهای اطراف ما به نحـوی کاربرد دارد، امـا در سال ۱۹۸۰ وضعیت به گونـهای دیگر بوده است. اصولا رمزنگاری در آن زمـان بسیـار نـادر، مهم و سرشار از نقص بوده است. اما بعد از تاسیس NSA: National Security Agency، در ایالات متحده روند کنتـرل بر این فرآیند ساختـاری جـدیتر به خود گرفت.

در سـال ۱۹۸۱ بـود که بـرای اولیـن بـار کنفـرانس سالانه رمز در ایالات متحده برگزار شد و بعد از آن کنفرانس Euro Crypt نیز در سال ۱۹۸۲ برگزار گردید. کنفرانسهای مربوط به ریاضیـات نیز مقولات در حوزه رمز را مورد بررسی و پذیرش قرار میدادند و حتی بسیاری از مقالات در ژورنالهای مهنـدسی نیز به چاپ رسیدند.

تغییرات در خصوص رمـز در دهه ۹۰ رشد بیشتری پیدا کرد. تا آن جا که امروزه این پدیده در زندگی روزمـره همه ما دیده میشود، در مواردی چون سیستم عامـلهـا، مرورگرهـای وب، تلفـنها و برنـامههـای ارسـال پست الکتـرونیک و... .

در حـال حاضـر کنفرانسهـای متعـددی در گوشــه و کنـار جهـان در خصوص رمز برگـزار می شـود و تحقیقـات در این خصوص با سرعت ادامه دارد.

چشم اندازی تاریخی در مدیریت کلمـه عبـور
در اواسط دهه ۸۰ ، در خصوص امنیت فناوری اطلاعات مسئلهای مهمتر از امنیت کلمه عبور وجود نداشت و در آن زمان سیاست ها و قوانینی در خصوص نحوه ایجاد کلمه عبور(به طور مثال قانونی که حداقل حروف کلمه عبور معین کند) وجود نداشت و با اینکه مدیران ارشد معمولا تاکید زیادی بر این مسئله که کارمندان باید کلمه عبور مناسبی را ایجاد کنند، داشتند، ولی با این حال باز هم توجه چندانی به این مسئله صورت نمیگرفت.

در اواخـر دهـه ۸۰ اما سرانجام چند فنـاوری مهـم در خصوص مدیریت کلمـات عبور ظهور کردند که به طـور مثال از ایجاد کلمـات عبور بسیار ساده در سامانههای مهـم و حیاتـی جلوگیـری می کـردند. سـامـانههای ناظـر امنیتی این امکان را فراهم کردند تا مدیران سامانهها بتوانند از وجود کلمات عبور ساده مطلع شوند و بنابراین از کارمندان بخواهند که این کلمات را تغییر دهند.

ویندوز نیز از سال ۱۹۹۳ به بعد از فناوری ایجاد فیلتر روی کلمات عبور بهره گرفت تا کلمات عبور ترکیبی از حروف، اعداد و نمادها باشند. البته تحقیقات زیادی نیز در این خصوص صورت پذیرفت که با توجه به نتایجی که در این زمینه منتشر شده باید گفت که شکستن این نوع از کلمات عبور نیز چندان سخت و دور از انتظار نیست و در واقع این نوع ترکیب کردن، نتوانسته آن چنان که به نظر می رسد بر امنیت کلمه عبور اضافه کند.

باید گفت که در حال حاضر به کارگیری کلمات عبور ضعیف که شکستن آنها تنها در چند دقیقه امکان پذیر است یکی از بزرگترین دغدغهها در خصوص ارتقا امنیت سامانههای رایانهای خصوصا در سازمانها و نهادهاست و با وجود اینکه فناوریها و نرم افزارهای رایگان فراوانی نیز در خصوص ایجاد کلمات عبور مناسب در دسترس افراد است با این حال سوال اساسی این است که چرا همچنان کلمات عبور بسیار ضعیف و شکننده هستند.

تکـامـل تـدریجـی تسـت هـای نفـوذ
انجام تستهای نفوذ همچنان به عنوان یکی از مهمترین آزمایشها برای بررسی میزان آسیب پذیری سامانه های مرتبط با فناوری اطلاعات میباشد.

در طول دو دهه۷۰ و ۸۰ معمولا بحثهای مربوط به آزمایشهای نفوذ به عنوان یک سری از آزمون های محدود و محرمانه در مراکز تحقیقات نظامی و دانشگاهی مد نظر بوده است. در اوایل دهه۹۰ زمانی که نخستین بذرها در جهت توسعه اینترنت پاشیده شده و انقلاب فناوری اطلاعات در حال طلوع کردن بود بحث انجام تستهای نفوذ نیز به ناگاه دارای اهمیت فراوانی شد و نرم افزارها و استانداردهای فراوانی در این خصوص منتشر گردیدند.