در توسینسو تدریس کنید

و

با دانش خود درآمد کسب کنید

معرفی مثلث Security ، Functionality و Usability یا مثلث سطح امنیت

خوب تا به حال در انجمن تخصصی فناوری اطلاعات ایران در خصوص مثلث امنیت اطلاعات یا CIA Triad صحبت کردیم ، راجع به مثلث هکرها یا DDD Triad هم صحبت کردیم اما همیشه یک نکته جالب در خصوص دوستان وجود دارد !! تا صحبت از امنیت به میان می آید صحبت از محدودیت و بگیر و ببند سازمانی می شود اما ما برای پیاده سازی امنیت در سازمان و سیستم های خودمان نیز یک سطح امنیتی باید تعریف کنیم و بر اساس همین سطح امنیتی باید روند کاری خودمان را طراحی و پیاده سازی کنیم. اگر واقعا می خواهید همه چیز امن باشد و تمامی سیستم های شبکه شما امن باشند پیشنهاد می کنم سیستم های خودتان به همراه سرورها و نرم افزارهای موجود بر روی آنها را خاموش کنید و درون گاو صندوق بگذارید ، به این روش امنیت شما بالا می رود !!! اما نکته اینجاست که تنها فاکتور اصلی در حوزه فناوری اطلاعات امنیت یا Security نیست ، شما امنیت را برای این می خواهید که به روند پیشرفت سازمانی و عملیاتی بودن سرویس های خودتان کمک کنید و اگر امنیت این موارد را نتواند برای شما تامین کند قطعا به درد نمی خورد. پیاده سازی امنیت اطلاعات باید دارای تعادل باشد ، نه باید آنقدر امنیت را بالا ببریم که هیچکس نتواند از سرویس ها استفاده کند و نه باید اینقدر پایین بیاوریم که همه کس بتوانند براحتی از سرویس های ما سوء استفاده کنند.

برای همین منظور ما یک مثلث دیگر داریم به نام مثلث سطح امنیت یا Security Level Triad ، در این مثلث که یکی از اضلاع آن امنیت یا Security ، ضلع دوم آن Functionality یا عملکرد و در نهایت ضلع سوم Usability یا قابل استفاده بودن ( سهولت استفاده ) است ما میزان امنیت مورد نیاز در یک سازمان را با توجه به نیاز خودمان در نظر می گیریم. به شکل زیر دقت کنید ، هر سه ضلع این مثلث وجود دارند و یک نقطه را مشاهده می کنید که وسط این سه ضلعی قرار گرفته است . نقطه وسط این مثلث را در نظر بگیرید اگر آن را به سمت یکی از ضلع های مثلث نزدیک کنیم از سایر اضلاع دور می شویم و استاندارد باید به گونه ای باشد که همیشه این مثلث در وسط قرار گرفته باشد. دقت کنید که در تصویر زیر اگر شما امنیت را بالا ببرید بصورت خودکار Functionality و Usability سرویس های شما کاهش پیدا می کند ، اگر Usability را بالا ببرید متقابلا Security و Functionality شما تحت تاثیر منفی قرار می گیرند.

معرفی مثلث سطح امنیت

در واقع در تصویر بالا شما رابطه بین امنیت ، عملیاتی بودن یا کارایی و سهولت استفاده از سرویس ها را مشاهده می کنید. برای اینکه درک بهتری از موضوع داشته باشید یک مثال می زنیم ، فرض کنید که شما در یک مرکز داده کار می کنید و هر روز به عنوان روز کاری می خواهید وارد محل کار خودتان بشوید ، در ابتدا باید از قسمت حراست سازمان عبور کنید و بازرسی های بدنی لازم باید انجام بشود ، سپس باید وارد اتاق مرکز داده بشوید که برای ورود هم باید رمز عبور را بدانید و هم باید اثر انگشت خودتان را وارد کنید ، برای اینکه یکی از رک ها را باز کنید باید رمز عبور درب رک را بزنید ، سپس کنسول مدیریتی سرورها باز می شود که باز هم یک رمز عبور دیگر دارد ، سپس باید رمز عبور سیستم عامل را بزنید ، سپس باید رمز عبور نرم افزار را بزنید و .... خوب طبیعی است که اینکار باعث کاهش کارایی نیروی ما خواهد شد و دفعه بعدی که می خواهد وارد مرکز داده شود ، پشت در یک آجر می گذارد که درب بسته نشود ، درب رک را نمی بندد ، سیستم عامل را Logoff نمی کند و رمز عبور نرم افزار را نیز Remember می کند تا هر بار مجبور به وارد کردن آنها نباشد. شما به عنوان یک کارشناس امنیت در واقع فعالیت کاری کاربران را فدای بالا بردن امنیت کرده اید و این همواره باعث کاهش کارایی سرویس دهی در سازمان فناوری اطلاعات شما خواهد شد.

مثال ساده تر سیستم عامل ویندوز است ، دقت کرده اید که چقدر شما عادت دارید سرویس User Account Control ویندوز را غیرفعال کنید ؟ آیا می دانید این سرویس چیست و چه کاری انجام می دهد ؟ با توجه به اینکه این سرویس زمانیکه در بالاترین سطح امنیت خودش قرار می گیرد دائما به شما برای انجام هر کاری پیام می دهد شما را ناراحت می کند و همین امر باعث می شود اکثر افراد این قابلیت امنیتی را بر روی سیستم خودشان غیرفعال کنند تا راحت تر بتوانند کارشان بر روی سیستم را انجام دهند. برای اینکه تعادلی بین امنیت و کارایی برقرار کنید کافیست که سطح UAC را در حد میانگین قرار بدهید تا نه سیخ بسوزد و نه کباب و نقطه مثلث ما در وسط باید قرار بگیرد.

معرفی مثلث Security ، Functionality و Usability یا مثلث سطح امنیت

یک سری پروتکل های امنیتی هستند که هر سازمان بایستی درون خود آنها را داشته باشد ، برای یک سازمان داشتن یک فایروال قوی ، یک دستگاه آنتی اسپم ، یک آنتی ویروس سازمانی و حتی در سطوح بالاتر خط مشی رمز های عبور که بایستی قوی باشند یک امر کاملا طبیعی و الزامی است. طبیعی است که حتی قویترین دستگاه شبکه اگر دارای یک رمز عبور ضعیف باشد قابل هک شدن است. اما اینطور نباید باشد که امروز تصمیم بگیرید رمز عبور همه کاربران 20 کاراکتر باشد ، دارای پیچیدگی و حروف بزرگ و کوچک و ... باشد و انتظار داشته باشید کاربران برای بالا بردن امنیت از فردا این همه موارد را پیاده سازی کنند. در واقع شما از آن ور پل خواهید افتاد و دسترسی به سرویس ها را برای کاربران غیر ممکن و خودتان را زیر سئوال می برید همیشه در چنین مواردی ابتدا آموزش بدهید و سپس بخواهید. فراموش نکنید که شما قرار است کارشناس امنیت اطلاعات باشید نه کارشناس جلوگیری از دسترسی به اطلاعات ، شما به عنوان کارشناس امنیت باید کاری کنید که کاربران به سهولت به نرم افزارهای خودشان و سرویسها دسترسی پیدا کنند و از این بابت مشکلی نداشته باشند در کنار این باید امنیت نیز در درجه مطلوبی قرار گرفته باشد. ITPRO باشید

نویسنده : محمد نصیری

منبع : انجمن تخصصی فناوری اطلاعات ایران

هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد

#cia_در_امنیت_اطلاعات #مثلث_سطح_امنیت #آموزش_امنیت_اطلاعات #امنیت_اطلاعات_چیست #مثلث_امنیت_اطلاعات #ddd_چیست #ارکان_اصلی_امنیت_اطلاعات #مثلث_سطح_امنیت_اطلاعات #مثلث_هکر_ها #مقایسه_مثلث_امنیت_و_مثلث_هکرها
0 نظر

هیچ نظری ارسال نشده است! اولین نظر برای این مطلب را شما ارسال کنید...

نظر شما
برای ارسال نظر باید وارد شوید.
از سرتاسر توسینسو
تنظیمات حریم خصوصی
تائید صرفنظر
×

تو می تونی بهترین نتیجه رو تضمینی با بهترین های ایران بدست بیاری ، پس مقایسه کن و بعد خرید کن : فقط توی جشنواره تابستانه می تونی امروز ارزونتر از فردا خرید کنی ....