عاملهای انسانی در امنیت اطلاعات/استفاده از قابلیت مصورسازی انسان برای ارتقاء امنیت اطلاعات در عرصه فناوری اطلاعات
مقدمه
ویرایشهمان طور که بر همگان واضح است، هیچ راه کار امنیتی جامعی برای همه سیستم های اطلاعاتی در راستای حفاظت از محتوا در برابر کپی غیر قانونی وجود ندارد. مثلا حتی اگر اطلاعاتی رمزنگاری گردند، فردی که دسترسی به کلید رمز دارد میتواند اطلاعات مذکور را رمزگشایی کند و در اختیار همگان قرار دهد. از سوی دیگر امنیت و قابلیت استفاده به مثابه کفههای یک ترازو میباشند که اصرار بر یکی، منجر به کاهش دیگری خواهد شد (مثلا هرچه سیاستهای امنیتی بیشتری بر یک سیستم اعمال گردد، استفاده از آن با دشواری بیشتری مواجه خواهد شد).
از سوی دیگر حتی watermarking نیز علیرغم اینکه قابلیتهایی در شناسایی فرد توزیع کننده اطلاعات دارد، نمیتواند از این توزیع غیرمجاز پیشگیری کند. چرا که برای تولید کننده (یا فروشنده) محتوا، امکان پذیر نیست که کلیه اطلاعات موجود در سیستمهای کامپیوتری را بررسی و به شناسایی فرد متقلب بپردازد!
راهکارها
ویرایشاز راهکارهای در حال بررسی برای تسهیل در این امر، استفاده از قابلیتهای ذهنی و روانی بدن انسان است که در این مقاله به دو راهکار اشاره میگردد: 1-Image tainting
2- احراز هویت کاربران با استفاده از حافظه تصویری
۱- Image tainting
ویرایشزمانی که اطلاعات مورد نظر ما، به صورت تصویر باشند از این راهکار میتوان استفاده نمود. در این روش، تصویر مربوطه به طرق مختلف دستکاری شده و کیفیت پایین تری پیدا میکند. سپس تصویر بی کیفیت به خریدار مربوطه عرضه میگردد. این کار به گونه¬ای انجام میشود که در نهایت خریدار در حالی که تصویر بی کیفیت را دریافت کرده، اما آن را به صورت تصویر اصلی مشاهده کند. در این روش از تصویر اصلی دو کپی تهیه میگردد. در کپی اول به برخی پیکسل¬ها روشنایی بیشتری داده میشود در حالی که به متناظر همان پیکسل ها در کپی دوم روشنایی کمتری داده میشود. این موارد را میتوانید در شکل 1 مشاهده نمایید.
به همراه تصاویر عرضه شده به خریدار، نرم افزاری جهت مشاهده اطلاعات عرضه میگردد که این نرمافزار ابتدا کپی شماره 1 را نمایش داده و سپس در کمتر از 008/0 ثانیه تصویر بعدی را نمایش میدهد. در این حالت چشم غیر مسلح قادر به درک تعویض تصاویر نیست و آنها را با هم ترکیب میکند و تصویر اصلی را میبیند.
۲-احراز هویت کاربران با استفاده از حافظه تصویری
ویرایشاغلب سیستمهای احراز هویت بر اساس کلمه عبور کار میکنند. این سیستمها همگی دارای ضعف هایی میباشند. مثلا کاربران مجبورند کلمات عبور طولانی و سختی برای خود انتخاب کنند تا مبادا به راحتی توسط دیگران حدس زده شود. در این صورت مشکلی که پیش می آید فراموش کردن پسورد توسط خود کاربران است!
در روش پیشنهادی، به جای کلمه عبور از "تصویر عبور" استفاده میشود! یعنی یک تصویر غیرواضح به کاربر نشان داده شده و از خواسته میشود تا تصویر واضحی که مربوط به آن است را انتخاب نماید. به شکل 2 دقت کنید.
در این شکل، یک تصویر به همراه کد شده آن به کاربر نشان داده میشود و از او خواسته میشود تا این تصاویر را به خاطر بسپارد. سپس در هنگام احراز هویت، پنجره ای مطابق شکل 3 به او نمایش داده میشود و از او خواسته میشود تا تصویر غیرواضح را تشخیص دهد.
این روش بر روی 50 نفر از دو جنبه مختلف آزمایش گردیده است که نتایج آن را در جدول زیر میبینید:
1 روز بعد | 8 روز بعد | |
قابلیت به یادآوری تصویر عبور | 50/50 (100%) | 49/50 (98%) |
میانگین زمان برای به یادآوری | 8.194 ثانیه | 7.102 ثانیه |
جدول 1
از سوی دیگر یکی از محاسن بزرگ این روش، عدم قابلیت انتقال "تصویر عبور" از طریق شرح دادن ویژگیهای آن برای فرد دیگر است.
جمعبندی
ویرایشروشهای پیشنهادی در این مقاله با توجه به آزمایشهای انجام گرفته میتوانند آغاز خوبی برای ارتقاء امنیت اطلاعات و استفاده بیشتر از خصوصیات انسانی و پر رنگ تر سازی نقش عوامل انسانی در امنیت اطلاعات و فناوری اطلاعات بپردازند.