عاملهای انسانی در امنیت اطلاعات/آنالیز نیازمندیهای امنیتی براساس رابطه بین اکتورهای استراتژیک
عنوان فارسی مقاله: آنالیز نیازمندی های امنیتی براساس رابطه بین اکتورهای استراتژیک
نرمافزارهای کاربردی اینترنتی جدید در مقایسه با نرم افزارهای سنتی یا سامانه های نرم افزاری پشتیبانی تصمیم گیری DSS، چهره جدیدی از موضوعات امنیتی خیلی پیچیده را با خود به همراه داشته اند. تا جایی که تهدیدهای تکنولوژیکی، بستر شبکه ای را هدف حملات سایبری خود قرارداده و در کلیه سامانه های نرم افزاری، موضوع امنیت را به موضوعی مهم و نگران کننده برای کاربران و فعالان در حوزه تکنولوژی اطلاعات تبدیل نموده است.
بدیهی است مادام که اکتور ها (افراد یا اجزای فعال نرم افزاری و سخت افزاری درشبکه)، وابسته و متعلق به یک جامعه کوچک و بسته باشند امنیت به سادگی اجرا و کنترل می شود.
در هنگام شراکت اعضای یک اجتماع یا گروه در محیط اینترنت ،بخش ها ،شبکه ها و سیستم های مربوط به احزاب و گروههای دیگر با منافعی متضاد و حتی با نیات مغرضانه با گروه اول در محیط فعال می باشند.
تهدید ها و نگرانی های تکنولوژیکی ناشی از سیستم ها و افراد مغرض که دسترسی به سطوح مختلف شبکه را به منظور تحت کنترل درآوردن آن ، به شدت و با جدیت هدف قرارداده اند.در همه جای شبکه وجود دارند در یک شبکه اینترنتی نقطه به نقطه (P2P) معمولا نقاط متصل و فعال از یک طرف و در سوی دیگر افراد ناشناس دیگری وجود دارند که در حال مبادله اطلاعات با یکدیگر می باشندکه این خود یک نقطه جدی و مهم از مخاطره و آسیب پذیری را ایجاد می کند.
ارتباطات نقطه به نقطه یا نظیر به نظیر تصویری از سامانه های نرم افزاری کاربردی را نشان می دهندکه لایه هایی از اجزای نرم افزاری و انسان های دارای نقش های مختلف ،چالش های امنیتی پیچیده ای را در تعامل خود با دیگران به نمایش گذاشته اند.
با آنالیز رابطه بین نقاط (pears) و پشتیبانی کنندگان از این رابطه های فعال در این سیستم این سوال مطرح می شودکه چه تهدید هایی برای امنیت در ارتباطات زنده وجود دارد؟چرا بعضی ها می خواهند به امنیت موجود در شبکه حمله ور شوند؟چقدر از اطلاعات ،بوجود آمده و در حال جریان موجود در شبکه های اجتماعی درست و صحیح هستند؟چه حجمی از اطلاعات خصوصی افراد در جریان برقراری ارتباطات توسط افراد غیر مجاز و ناشناس سرقت شده و فاش می شوند؟چه اقدامات متقابلی از سوی طراحان و مهندسان در شبکه انجام خواهد پذیرفت؟و در نهایت کدامیک از این اقدامات موثر تر خواهند بود؟
مدلی با چارچوب i*
ویرایشاین مدل، یک مدل ساده و کوچک از ارتباطات شکل گرفته بین آکتور ها می باشد. چارچوب زیر حاوی اهداف، agent ها و نیازهای غیر کاربردی میباشد. این مدل دارای سه جزء مفهومی و متنوع به نامهای آکتور ها، عامل ها و ارتباطات بین اجزا می باشد که در شکل روبرو نمایش داده شده است.
مدل p2p شامل یک شبکه توزیع شده می باشد جایی که هر نقطه می تواند سرویس ها و داده های متنوع خود را با دیگر آشنایان خود مبادله نماید. در هر صورت، یک طرف تولید کننده(تامین کننده) منابع و طرف دیگر مصرف کننده (استفاده کننده) از اطلاعات داده های به اشتراک گذاشته شده، است. توسط یک واسط رابطه اولیه بین دو طرف ایجاد می شود.
به این سه بازیگرآکتور گفته می شود. بسته به اهدافی که هریک به دنبال آن هستند وظایفی تولید و منابعی تجهیز می شود. در ارتباط ایجاد شده یک آکتور می تواند از قابلیتهای بدست آمده با اکتور دیگر منتفع شده و سود ببرد. همچنین به همین شکل نیز این رابطه می تواند موجب آسیب رسیدن به یک طرف و عدم رسیدن طرف دیگر به اهداف مورد نظرش شود.
در مدلهای پیچیده از ارتباطات بوجود آمده بین آکتورها، ما بیشتر به دنبال مفاهیم agent ها و نقش های انسانی که به صورت زیر می باشند، هستیم.
- AGENT: یک agent در واقع آکتوری است که می تواند یک انسان به تنهایی یا یک نرم افزار یا سخت افزار باشد.
- Roles: یک نقش یا یک مشخصه متمایز، ناشی از رفتار یک آکتور اجتماعی و برخی محتوا ها و دامنه ای از تلاشهایی که یک انسان می تواند به انجام برساند.ارتباطات و وابستگی ها با نقش ها همراه می شوند فارغ از اینکه چه کسی آنها را ایفا می کند.
مدل i* برخلاف مدل های رفتاری می باشد، مدلi* به سرعت به دنبال پاسخگویی به سوالات می باشد، به طور مثال چرا رفتارهای ویژه یا ساختاری های اطلاعاتی انتخاب می شوند؟ چه جایگزین هایی مشاهده شده اند؟
چه دلایلی برای جایگزینی وجود خواهد داشت؟ به هر شکل همین مدل i* می تواند هدف های کلی را ترکیب و یا سری از اهدافی که بین آکتور ها است، را توصیف می نماید.
اجزای موجود در یک مدل i* عبارتند از اهداف ، وظایف، softgoal (ویژگی های یک نرم افزار ایده آل) و منابع تجهیز یا به اشتراک گذاشته شده می باشند که به اختصار به شرح زیر توضیح داده می شود.
- اهداف: در واقع همان شرایط و یا وضعیت هایی است که مدعیان می خواهند به آن برسند.
- وظایف: در واقعه همان روش هایی است که با آن وظایمان و کارهایمان را به انجام می رسانیم.
- اهداف نرم افزاری یا softgoal: در واقع همان بهره وری، امنیت، دقت، قابلیت استفاده مجدد و ارزش یک نرم افزار می باشد.
- منابع: یک جزء فیزیکی یا دادههای اطلاعاتی است که یکی از دغدغه های اصلی ما در این مقاله است.
در ادبیات مربوط به موضوعات امنیت، فرایندها بر اساس آنالیزهای role base (پایه قراردادن نقش ها) و نحوه کنترل اجرا و نحوه دسترسی به ساختار کنترلی آن ها در درجه اول اهمیت قرار دارند.
در بسیاری از کارها نقشها به همراه اجازه دسترسی به کلاسهای مختلفی از کاربران و ساختار های سلسله مراتبی طبقه بندی، و به طور رسمی ارزیابی و آنالیز می شوند.
در یک محیط باز شبیه اینترنت ،کاربران متعلق به یک دامنه خاص بوده و همزمان می توانند چندین کار را با هم انجام دهند.
برای مشخص نمودن حجم تهدید های امنیتی،بایستی نقش ها و نحوه تعامل اکتور ها بخوبی درنظر گرفته شود.نبررسی مدل نیازمندی ها در طول چند سال گذشته توسط مهندسین از توجه زیادی برخوردار بوده است.در واقع همواره اهداف پاکسازی،طبقه بندی و نیاز مند های مرتبط با آنها استخراج می شوند.
امنیت موضوع مهمی برای سامانه های اینترنتی می باشد. انواع جدیدی از تهدید ها بوجود آمده و بسیاری از تکنولوژی ها نیز پدید آمده اند. شناسایی و آنالیز نیازهای امنیتی یک بخش مهمی از فعالیت مهندسین نرم افزار را تشکیل داده است. اگرچه امنیت عموما به سطوح تکنیکی و فنی اطلاق می شود. اما در نهایت به اجتماعی از افراد و قوانین وضع شده ارجاع و مرتبط می شود.
اخیرا پژوهشگرها در زمینه های مهندسی، نما ها و رویکردهای زیادی را توسعه داده اند که این مدل ها به استخراج و شناسایی و آنالیز NFR (نیازمندی های غیر عملیاتی) که در برگیرنده موارد امنیتی هستند کمک می کند. در این مقاله به مدل های استراتژیکی از رویکردها که بطور بالقوه به ما در استخراج ، شناسایی و آنالیز نیاز مندی های امنیتی کمک می کند، اشاره شده است. امنیت نیاز مندی های غیر عملیاتی که ناشی از تعامل، همکاری و ارتباط چند agent می باشد را تعریف می کند. در چنین شرایطی یک agent به سرویس های ارائه شده توسط چند agent دیگر وابسته خواهد بود. به هر صورت برخی از agent ها یا سرویس دهنده های سخت افزاری و نرم افزاری به محافظت و مراقبت بیشتری نیاز دارند. به طور مثال در تبادل فایلهای mp3 بین کاربران ریسک کمتری به نسبت تبادل اطلاعات خصوصی و محرمانه افراد متصل به سیستم وجود خواهد داشت.
در این مقاله چارچوب i* به عنوان مدل و ارزیابی کننده ای در امنیت بکار گرفته شده است. فهمیدن نیاز های امنیتی این زمینه را برای پروتکل طراحی شده، فراهم آورده است تا محیط خود را برای مقابله با حجم تهدیدهای مدعیان تجهیز نماید.
شرکت کنندگان در سامانه های p2p معمولا ایدههای خوب و درستی دارند. این اهداف تکمیلی بوده و از تئوری ها و تکنولوژی های گوناگون موجود، برای توسعه بستر امنیت استفاده می نمایند.
مدل i* ساختاری از ارتباطات هدف دار بین اکتور ها را نمایش می دهد (مانند مفاهیم ساختاری سرویس های هدف دار و نقش ها)
مفاهیم موجود در این مقاله چارچوبی را برای متمرکز نمودن مفاهیم و فناوریهای قابل مقابله با امنیت تهیه و تعریف می کنند. درساختار نمایش داده شده با i* رابطه ها و وابستگی های بین آکتور ها که موضوعات امینت داده ها در آن اهمیت داشته نمایش داده شده و به اختصار مورد تجزیه و تحلیل و آنالیز قرار می گیرند.
منبع
ویرایشعنوان انگلیسی مقاله:
Analyzing Security Requirements As Relationships among Strategic Actors