عاملهای انسانی در امنیت اطلاعات/چارچوبی برای مدلسازی انسان در سیستمهای سایبر
چارچوبی برای مدلسازی انسان در سیستم های سایبر
چکیده
ویرایشدرمدلهای سنتی امنیت سایبری به افراد (عامل انسانی) دخیل در سیستم توجهی نمیگردید یا مجموعه ثابتی از نحوه رفتار برای آنها در نظر گرفته شده بود. با توجه به سیستمهای امروزی و اهمیت امنیت دادهها و لزوم کاهش آسیبپذیری، عامل انسانی میتواند نقش مهمی در ایجاد امنیت و حذف آسیبپذیریها ایفا نماید. در نتیجه نیاز به ابزاری برای سنجش امنیت فضای سایبری وجود دارد که بتواند در حساب کاربری سیستم کاربر رفتارها و تصمیمهای فرد را تحلیل نماید.
معرفی و مدل سازی عامل های موثر در سیستم های سایبری انسانی
ویرایشدر این مقاله به سنجش میزان اهمیت تصمیمهای کاربر در سیستم امنیتی میپردازیم. در مقاله پیش رو ابتدا به معرفی سیستم سایبری فرد (Cyber Human System) و عوامل داخلی آن میپردازیم و سپس به بررسی نقطه تصمیم فرد(Human Decision Point) خواهیم پرداخت. در انتها به ساختاری جهت تحلیل مشکلات امنیتی فضای سایبر که خروجی آن که تحت تاثیر نحوه عملکرد کاربر است، ارائه خواهد شد. امنیت سایبری را چنین تعریف میکنیم«برآورد خصوصیات مرتبط با تمامی عاملهای دخیل در پیشگیری، تشخیص و پاسخ به حملات در هر سیستم پیچیدهای که کامپیوتر در آن نقش کلیدی ایفا میکند.» و عامل انسانی را به عنوان یک عنصر مهم در امنیت سایبری معرفی مینماییم. و سیستمهای سایبری- انسان با نام (CHS(Syber-Human System شناخته میشوند که در آنها سیستمهای کامپیوتری (رایانه ای) و عامل انسانی هر دو نقش کلیدی را بازی میکنند که به عنوان نمونه میتوان از سیستمهای تجارت الکترونیکی و چهار چوبهای مبتنی برفناوری اطلاعات در دانشگاهها و و یا حتی نحوه رابطه یک تلفن هوشمند و کاربر آن اشاره نمود. به طور معمول در سنجش امنیت سازمانی به دستگاههای فیزیکی، دیوارههای آتش، نرم افزارها، کنترلهای ادمین، روالها و قوانین امنیتی حاکم بر سازمان توجه شده و عامل انسانی به عنوان یک عامل تبعیت کننده از قوانین امنیتی و کنترلهای مدیر شبکه فرض میشود، که چنین برداشتی کاملا اشتباه و بسیار غیر منطقی است. در این مقاله تاثیر رفتار و تصمیمات عامل انسانی مورد بررسی قرار میگیرد و خواهیم دید که حتی رفتار و عملکرد گروهی از عاملهای انسانی مثل مدیران سازمان و مدیران شبکه و پشتیبانان سیستم، در تصمیم گیری گروهی دیگر از عاملهای انسانی مثل کارمندان بخشهای اداری تاثیر گذار است. یک CHS به چهار بخش عمده تقسیم میشود:
- اجزا (Components): اجزاء فیزیکی که سیستم از آنها تشکیل گردیدهاست. مانند سرورها، استگاههای کاری کاربران، اتصالات شبکه و نرم افزارها
- مشارکت گران (Participants): موجودیتهایی که با سیستم در ارتباط هستند. غالبا عامل انسانی و عاملهای غیر انسانی مثل پروسههای امنیتی و نظاره گر
- فعالیت های پردازشی (Processes): اهداف سازمانی و اطلاعاتی که مورد پردازش قرار میگیرد. مجموعه Taskها که توسط Participantها انجام میشود.
- ریز وظایف (Tasks): ریزترین واحد کاری که توسط یک یا چند Participant انجام میشود.
شرح سناریو مرتبط با مدلسازی
ویرایشبا ارائه سناریو ای از یک CHS ادامه مبحث را پی میگیریم. استفاده از فلش مموری در یک سازمان تجاری که اطلاعات حساس سازمان در آن قرار میگیرد و در جلسههای تجاری و یا موسسات مرتبط با سازمان یا مشتریان به نمایش در میآید و جابجایی این اطلاعات بین مکانهای مختلف را میتوان به عنوان یک ریسک امنیتی شناسایی کرد. قوانین امینتی سازمان حاکی از این است که اطلاعات حساسی که قرار است روی فلش مموری ذخیره شوند، باید حتما به صورت رمزنگاری شده ذخیره شوند. کاربران میتوانند از این قوانین پیروی یا سرپیچی نمایند. اما مدیریت امنیت گاهی اوقات به بررسی این حافظهها پرداخته و کاربران خاطی را جریمه مینماید. همچنین قسمتی با نام پشتیبانی IT در موارد مرتبط با رمز نگاری حافظهها راهنمای کاربران سازمان است. که از کل بودجه دپارتمان IT، بودجهای معین به قسمت پشتیبانی و کنترل و بررسی حافظهها اختصاص یافتهاست. هدف بخش امنیت اطلاعات سازمان، سنجش دسترس پذیری و محرمانگی در حافظهها است. اما کاربران حافظهها هدف و برداشت دیگری دارند که دسترس پذیری اطلاعات را در عدم استفاده از رمز نگاری، و در نتیجه رو در رو نشدن با بخش پشتیبانی برای رفع مشکلات احتمالی ناشی از فراموش کردن کلید رمز نگاری یا عدم توانایی رمزگشایی اطلاعات و شرمندگی ناشی از این موارد میدانند. و تنها عامل نگرانی آنها بررسی مدیریت و کشف سرپیچی آنها است. حال عناصر CHS را در سناریو بالا بررسی مینماییم.
- Components: فلش مموری، نرم افزار مربوط به رمز نگاری و ...
- Participants: کاربران ارائه کننده اطلاعات سازمان و نرم افزار مربوط به کنترل وضعیت دادههای روی فلش
- Processes: انتقال اطلاعات سازمانی به وسیله فلش مموری، اجرای سیاستهای امنیتی
- Tasks: رمزگذاری و رمز گشایی اطلاعات از روی فلش مموری، استفاده از کمک بخش پشتیبانی.
قسمت Task حاوی تمامی عملیاتی است که باید صورت پذیرد. حال به بررسی عوامل دخیل در میزان کارایی Taskها میپردازیم. که این عوامل شامل فرصتها (Opportunity)، رضایت و تمایل (Willingness) و قابلیتها(Capability) فرض میکنیم. و به اختصار OWC مینامیم. با استفاده از هستی شناسی OWC میتوانیم، شرایط عملکرد وظایف (Task Performance) را دسته بندی و بررسی نماییم. برای سادگی تحلیل Task را به دو دسته ساده مناسب یا نا مناسب تقسیم نموده. شرایط مناسب را وضعیت انتهایی دلخواه معرفی میکنیم. که با توجه به سناریو بالا، نوشتن اطلاعات رمزگذاری شده در مموری وضعیت مناسب خواهد بود. با توجه به تصویر زیر، اشتراک سه دایره OWC فضای مناسب برای ۴ عامل CHS را فراهم میآورد. برای تخمین زدن Opportunity باید مجموعه Taskهای داخلی آن را که با نام Opportunity Elements) OEs) در نظر گرفت و تابع عناصر داخل OE را بر {۰٬۱} منطبق میسازد که در سناریو مموری، {OE={E,L,U که E نماد نرم افزار رمزنگاری، L مکان کاربر،U خود حافظهاست و برای نمونه OE برای E عبارت است از{E.state∈{available,not available و حاصل ضرب حالات مطلوب OEها است تا به همان اشتراک نشان داده شده در تصویر نزدیک شویم. با درنظر گرفتن متغیرهای تصادفی برنولی سایر عناصر W و C را نیز به مدل اضافه مینماییم.
حال که با تصمیم گیری عامل انسانی فضای حالت و توابع مدل کننده دارای خروجیهای گوناگون میشوند و CHS مستقیما به تصمیم عامل انسانی وابستهاست، عاملی به نام نقطه تصمیم انسان را نیز معرفی مینماییم و آن را با HDP نشان میدهیم.
مدل سازی با ابزار سیستمی چندگانه نامتقارن
ویرایشچارچوب مدلسازی Multiple Asymmetric utility system یا ابزار سیستمی چندگانه نامقتارن را معرفی مینماییم. چهار بخش اصلی
- مدل سیستم
- مجموعهای از توابع عملکردی
- مجموعه تنظیمات سیستمی
- مجموعه احتمالات مربوط به تمایل عامل انسانی یا HDP
تشکیل شدهاست.
تنظمیات سیستمی، قابلیتها و امکانات (capabilities) سیستم را تشکیل میدهند. احتمال تمایلات مورد انتظار از کاربر را صفر فرض نموده و با توجه به مقداری تابع احتمال تمایلات، احتمال تمایلات مورد انتظار از کاربر(Expected Willingness Probality) و سودمندی کاربر یا به عبارتی (participant utility) مقداردهی میشوند و در نهایت میزان سودمندی امنیت با توجه به عوامل فوق محاسبه میگردد.
منابع
ویرایش- عنوان انگلیسی مقاله:
The Mutiple-Asymmetric-Utility System Model A Framework for Modeling Cyber-Human Systems