محمد نصیری
بنیانگذار انجمن تخصصی فناوری اطلاعات ایران ، هکر کلاه خاکستری ، کارشناس امنیت اطلاعات و ارتباطات

مثلث SFU چیست؟ آشنایی با مثلث سطح امنیت تفاوتش با مثلث DDD و CIA

مثلث سطح امنیت چیست؟ مثلث Usability ، Functionality و Security در سطح امنیت به چه معناست؟ خوب تا به حال در انجمن تخصصی فناوری اطلاعات ایران در خصوص مثلث امنیت اطلاعات یا CIA Triad صحبت کردیم ، راجع به مثلث هکرها یا DDD Triad هم صحبت کردیم اما همیشه یک نکته جالب در خصوص دوستان وجود دارد !! تا صحبت از امنیت به میان می آید صحبت از محدودیت و بگیر و ببند سازمانی می شود اما ما برای پیاده سازی امنیت در سازمان و سیستم های خودمان نیز یک سطح امنیتی باید تعریف کنیم و بر اساس همین سطح امنیتی باید روند کاری خودمان را طراحی و پیاده سازی کنیم.

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

اگر واقعا می خواهید همه چیز امن باشد و تمامی سیستم های شبکه شما امن باشند پیشنهاد می کنم سیستم های خودتان به همراه سرورها و نرم افزارهای موجود بر روی آنها را خاموش کنید و درون گاو صندوق بگذارید ، به این روش امنیت شما بالا می رود !!! اما نکته اینجاست که تنها فاکتور اصلی در حوزه فناوری اطلاعات امنیت یا Security نیست ، شما امنیت را برای این می خواهید که به روند پیشرفت سازمانی و عملیاتی بودن سرویس های خودتان کمک کنید و اگر امنیت این موارد را نتواند برای شما تامین کند قطعا به درد نمی خورد. پیاده سازی امنیت اطلاعات باید دارای تعادل باشد ، نه باید آنقدر امنیت را بالا ببریم که هیچکس نتواند از سرویس ها استفاده کند و نه باید اینقدر پایین بیاوریم که همه کس بتوانند براحتی از سرویس های ما سوء استفاده کنند.

برای همین منظور ما یک مثلث دیگر داریم به نام مثلث سطح امنیت یا Security Level Triad ، در این مثلث که یکی از اضلاع آن امنیت یا Security ، ضلع دوم آن Functionality یا عملکرد و در نهایت ضلع سوم Usability یا قابل استفاده بودن ( سهولت استفاده ) است ما میزان امنیت مورد نیاز در یک سازمان را با توجه به نیاز خودمان در نظر می گیریم. به شکل زیر دقت کنید ، هر سه ضلع این مثلث وجود دارند و یک نقطه را مشاهده می کنید که وسط این سه ضلعی قرار گرفته است .

نقطه وسط این مثلث را در نظر بگیرید اگر آن را به سمت یکی از ضلع های مثلث نزدیک کنیم از سایر اضلاع دور می شویم و استاندارد باید به گونه ای باشد که همیشه این مثلث در وسط قرار گرفته باشد. دقت کنید که در تصویر زیر اگر شما امنیت را بالا ببرید بصورت خودکار Functionality و Usability سرویس های شما کاهش پیدا می کند ، اگر Usability را بالا ببرید متقابلا Security و Functionality شما تحت تاثیر منفی قرار می گیرند.

معرفی مثلث سطح امنیت

در واقع در تصویر بالا شما رابطه بین امنیت ، عملیاتی بودن یا کارایی و سهولت استفاده از سرویس ها را مشاهده می کنید. برای اینکه درک بهتری از موضوع داشته باشید یک مثال می زنیم ، فرض کنید که شما در یک مرکز داده کار می کنید و هر روز به عنوان روز کاری می خواهید وارد محل کار خودتان بشوید ، در ابتدا باید از قسمت حراست سازمان عبور کنید و بازرسی های بدنی لازم باید انجام بشود ، سپس باید وارد اتاق مرکز داده بشوید که برای ورود هم باید رمز عبور را بدانید و هم باید اثر انگشت خودتان را وارد کنید ، برای اینکه یکی از رک ها را باز کنید باید رمز عبور درب رک را بزنید .

سپس کنسول مدیریتی سرورها باز می شود که باز هم یک رمز عبور دیگر دارد ، سپس باید رمز عبور سیستم عامل را بزنید ، سپس باید رمز عبور نرم افزار را بزنید و .... خوب طبیعی است که اینکار باعث کاهش کارایی نیروی ما خواهد شد و دفعه بعدی که می خواهد وارد مرکز داده شود ، پشت در یک آجر می گذارد که درب بسته نشود ، درب رک را نمی بندد ، سیستم عامل را Logoff نمی کند و رمز عبور نرم افزار را نیز Remember می کند تا هر بار مجبور به وارد کردن آنها نباشد. شما به عنوان یک کارشناس امنیت در واقع فعالیت کاری کاربران را فدای بالا بردن امنیت کرده اید و این همواره باعث کاهش کارایی سرویس دهی در سازمان فناوری اطلاعات شما خواهد شد.

مثال ساده تر سیستم عامل ویندوز است ، دقت کرده اید که چقدر شما عادت دارید سرویس User Account Control ویندوز را غیرفعال کنید ؟ آیا می دانید این سرویس چیست و چه کاری انجام می دهد ؟ با توجه به اینکه این سرویس زمانیکه در بالاترین سطح امنیت خودش قرار می گیرد دائما به شما برای انجام هر کاری پیام می دهد شما را ناراحت می کند و همین امر باعث می شود اکثر افراد این قابلیت امنیتی را بر روی سیستم خودشان غیرفعال کنند تا راحت تر بتوانند کارشان بر روی سیستم را انجام دهند. برای اینکه تعادلی بین امنیت و کارایی برقرار کنید کافیست که سطح UAC را در حد میانگین قرار بدهید تا نه سیخ بسوزد و نه کباب و نقطه مثلث ما در وسط باید قرار بگیرد.

وب سایت توسینسو

یک سری پروتکل های امنیتی هستند که هر سازمان بایستی درون خود آنها را داشته باشد ، برای یک سازمان داشتن یک فایروال قوی ، یک دستگاه آنتی اسپم ، یک آنتی ویروس سازمانی و حتی در سطوح بالاتر خط مشی رمز های عبور که بایستی قوی باشند یک امر کاملا طبیعی و الزامی است. طبیعی است که حتی قویترین دستگاه شبکه اگر دارای یک رمز عبور ضعیف باشد قابل هک شدن است. اما اینطور نباید باشد که امروز تصمیم بگیرید رمز عبور همه کاربران 20 کاراکتر باشد ، دارای پیچیدگی و حروف بزرگ و کوچک و ... باشد و انتظار داشته باشید کاربران برای بالا بردن امنیت از فردا این همه موارد را پیاده سازی کنند.

در واقع شما از آن ور پل خواهید افتاد و دسترسی به سرویس ها را برای کاربران غیر ممکن و خودتان را زیر سئوال می برید همیشه در چنین مواردی ابتدا آموزش بدهید و سپس بخواهید. فراموش نکنید که شما قرار است کارشناس امنیت اطلاعات باشید نه کارشناس جلوگیری از دسترسی به اطلاعات ، شما به عنوان کارشناس امنیت باید کاری کنید که کاربران به سهولت به نرم افزارهای خودشان و سرویسها دسترسی پیدا کنند و از این بابت مشکلی نداشته باشند در کنار این باید امنیت نیز در درجه مطلوبی قرار گرفته باشد.


محمد نصیری
محمد نصیری

بنیانگذار انجمن تخصصی فناوری اطلاعات ایران ، هکر کلاه خاکستری ، کارشناس امنیت اطلاعات و ارتباطات

محمد نصیری هستم ، هکر قانونمند و کارشناس امنیت سایبری ، سابقه همکاری با بیش از 50 سازمان دولتی ، خصوصی ، نظامی و انتظامی در قالب مشاور ، مدرس و مدیر پروژه ، مدرس دوره های تخصص شبکه ، امنیت ، هک و نفوذ ، در حال حاضر در ایران دیگه رسما فعالیتی غیر از مشاوره انجام نمیدم و مقیم کشور ترکیه هستم ، عاشق آموزش و تدریس هستم و به همین دلیل دوره های آموزشی که ضبط می کنم در دنیا بی نظیر هستند.

نظرات