عاملهای انسانی در امنیت اطلاعات/مهندسی امنیت با استفاده از الگوها
چکیده
ویرایشانجام کسب و کار دیجیتالی نیاز به شبکه امن و معماری نرم افزاری دارد. اخیرا افزایش وقوع حملات شدید نشان داده شده است. با این حال، ما هنوز نیاز به زمان و تلاش برای رسیدن به استانداردهای امنیتی از سیستمهای فناوری اطلاعات و سایر زمینهها هستیم.
در حال حاظر یک شکاف بزرگی بین تئوری و کد عملی وجود دارد. درحالی که دانشمندان روی روشهای رسمی برای تعیین و تصدیق روشهای امنیتی برای پاسخگویی به نیاز کاربران کار میکنند. انجمن تخصصی شناخت الگوها این مشکل را تشخیص داده است. الگو به معنای واقعی گرفتن تجربه از روشهای ساخت یافته متخصصان است. بنابراین افراد تازه کار میتوانند از دانش و مهارت خبرگان در این زمینه بهره ببرند.
از این رو ما الگوهایی برای حل مشکلات امنیتی پیشنهاد میکنیم. ما قصد داریم نشان دهیم که راهحلهای امنیتی گذشته کافی نبوده و الگوهای امنیتی برگرفته از روشهای ساخت یافته متخصصان به فرآیندهای مهندسی اینترنت کمک میکند.
معرفی
ویرایشبرای انجام کسب و کار دیجیتالی، نیاز به شبکههای امن و معماری برنامه است. در نتیجه یک مهندسی خوب، معماری سیستمهای امنیتی باید به گونهای باشد که جنبههای امنیتی خاص مانند محرمانگی، احراز هویت، سلامت و در دسترس بودن دادهها را تضمین کند. بروز نامههای ویروسی و سرویسهای مقابله حمله در برابر وبگاههای مشهور در آغاز سال 2000 نشان داده است. با این وجود ما هنوز نیازمند استانداردهایی برای مقابله هستیم. مثالهای زیر نشان میدهد که ما به وضوح حوادث امنیتی گذشته را فرا نگرفته و همان اشتباهات را بارها و بارها تکرار میکنیم:
- حملات ویروسی
- شبکه های خصوصی مجازی
امنیت و عاملهای انسانی
ویرایشدلیل اصلی مشکلات موجود این است که مهندسی امنیت مشکل فنی در وهله اول نیست. امنیت همیشه به وسیله انسانها بنا به درخواست از انسان اجرا شده است. بنابراین عاملهای انسانی تحت تاثیر امنیت فناوری اطلاعات به روشها و دستهبندیهای زیر تقسیم میشوند:
- مهندسی امنیت توسط غیر کارشناسان امنیتی
- راه حل مشکل ساختار
- وابستگی های محدود و کامل
- وابستگیهای زمان
روشهایی برای امنیت مهندسی
ویرایش- سیاستهای امنیتی
- معیارهای ارزیابی
- نمایندگی درخت
- روشهای رسمی
- روشهای نیمهرسمی
الگوهای امنیتی
ویرایش- الگو برای مدلهای امنیتی
- کارهای مرتبط
مهندسی امنیت با الگوها
ویرایش- الگوهای آیتی و امنیت
- پشتیبانی ابزار
- سناریو: الگوهای امنیت شبکه
نتیجهگیری
ویرایشامنیت از ویژگیهای اجباری امروز و آینده سیستم است؛ اگر فقط بتوانیم به فناوری اطلاعات در محیط پیرامونمان اعتماد کنیم، میتوانیم کسب و کار دیجیتال ایجاد کنیم. با توجه به وضعیت فعلی، استقرار و نگهداری امنیت کار سختی است و لازمه آن ترکیب دو روش رسمی و غیر رسمی به منظور دستیابی به امنیت در یک روش سیستماتیک و راحت است نه تنها کارشناسان، بلکه به طور متوسط برنامهنویسان و معماران باید قادر به طراحی سیستم ایمن فناوری اطلاعات باشند.
در این مقاله ما یک بحث عمومی در خصوص الگوهای امنیت مطرح کردیم و همچنین الگوهای امنیتی به منظور مقابله با مشکلات روند امنیتی مهندسی پیشنهاد کردیم:
۱- ما در اینجا برخی از مهمترین جنبه های غیر فنی که باعث مهندسی دشوار امنیتی شده را شناسایی کرده مقایسه چندین روش موجود برای رشته های مهندسی امنیت را انجام داده و به بررسی علل شکاف عظیمی که بین تئوری امنیت کد وجود دارد پرداخته و در نهایت نشان دادیم که امنیت الگوها در این زمینه، یک راه مناسب برای حل مشکلات امروز است.
۲- با استفاده از یک الگو برای الگوهای امنیتی به تعاریف و ویژگی الگوهای امنیتی وامنیت سیستم الگوها پرداخته و با استفاده از یک طرح طبقه بندی مناسب،آنها می توانند به یک سیستم امنیتی الگویی ادغام شوند.
از نقطه نظر ما، الگوها یک روش امید بخش به سوی امنیت هستند. یک چالش بزرگ ایجاد یک جامعه الگوی امنیتی خواهد بود که کمک به فرآیند استخراج امنیتی دارد ( شناسایی الگوهای امنیتی در سطوح مختلف). در دراز مدت ما میخواهیم برای ایجاد یک راه حل جامع مجموعه ای از الگوهای امنیتی به عنوان تنها مقدار کمی از فعالیتها در روشهای امروزی مورد استفاده قراردهیم.
ما مزایای مجموعه ای از ابزارها که از مهندسی امنیت با الگوها حمایت می کنند را برشمردیم.
قدم اول برای ایجاد مخزن الگوی امنیتی است که در دسترس عموم خواهد بود. از سوی دیگر ابزارها احتمالا هیچوقت جایگزین افراد خبره نخواهند شد اما آنها را در طول فرآیند مهندسی امنیت کمک خواهند کرد. به عنوان یک اظهار نهایی ما می خواهیم انتظارات را از الگوهای امنیتی محدود کنیم. آنها هیچ نوشدارویی نیستند و نمیتوانند جایگزین روشهای امنیتی شوند. به عنوان مثال ما استفاده از الگوهای امنیتی را در ترکیب با درختان حمله پیشنهاد کردیم. بنابراین الگوهای امنیتی باید به عنوان یک مکمل ارزشمند در فرآیند مهندسی امنیت در نظر گرفته شوند.
نام انگلیسی مقاله
ویرایشSecurity Engineering with Patterns
منبع
ویرایشMarkus Schumacher (1) and Utz Roedig (2), Darmstadt University of Technology, Department of Computer Science
1 IT Transfer Office (ITO), markus.schumacher@ito.tu-darmstadt.de
2 Industrial Process and System Communications (KOM), utz.roedig@kom.tu-darmstadt.de