امنیت و اینترنت اشیاء

 اصطلاح policy و به خصوص security policy برای اغلب کاربران کامپیوتر تا حدودی آشناست. هر کدام از ما اگر تا حدی هنگام پیکر بندی آنتی ویروس یا فایروال شخصی خود دقت کنیم، به این اصطلاح برخورد خواهیم کرد. در اغلب ابزارهای امنیتی و یا مدیریتی شبکه کلمه policy به جای configuration یا پیکربندی به کار می­رود. این نحوه کاربرد البته خالی از اشکال نیست اما امروزه تقریبا به صورت استاندارد در آمده است. اما معنای دقیق policy عبارت از سیاست عملکرد یا همان خط مشی است. security policy یا خط مشی امنیت مجموعه ای از باید ها و نباید هاست که تعیین می­کند چه چیزی در رابطه با اطلاعات و ابزارهای پردازش آن مجاز، و چه چیزی غیر مجاز شمرده می­شود. اهمیت security policy تا آنجاست که گفته می­شود بدون داشتن آن توقع ایجاد امنیت رویایی بیش نیست! برای مثال در یک بازی فوتبال اگر قواعد مسابقه، وظایف بازیکنان و نحوه انجام بازی به صورت مدون و مستند (نه صرفا در ذهن بازیکنان) موجود نباشد، آیا اصولا می­توان انتظار داشت که مسابقه ای انجام شود؟ این مساله برای سازمانها و برنامه های امنیتی آنها هم صادق است. باید مجموعه انتظارات سازمان از کلیه افراد ووظایف آنها در قبال امنیت اطلاعات به صورت مدون و مستند، با تایید مدیریت ارشد به همگان ابلاغ شود، و کلیه سازوکارهای امنیتی برمبنای این خط مشی به کارگرفته شود.

اما در اکثر قریب به اتفاق سازمانهای ایرانی امنیت تنها در نصب یک فایروال، آنتی ویروس و … خلاصه می­شود، حال آنکه اگر سوال شود که بر چه مبنایی این محصول خریداری شده و به این شکل و پیکربندی خاص استفاده شده، پاسخ علمی وجود ندارد. اگر از بسیاری از راهبران شبکه ها security policyسندی با نام را بخواهید، برداشتها و فرضیات بدیهی ذهن خود را تحویل شما می­دهند، نه از سندی مکتوب خبری هست و نه فرمت و ساختار مشخص و تایید شده. اما نکته جالب اینجاست که در یک فرآیند استاندارد، وجود مستند security policy اولین قدم در بررسی صحت سیستم امنیت اطلاعات است، بنا براین اگر از گرانترین فناوریها هم استفاده شود، بدون security policy امنیت معنایی نخواهد داشت.

در اینجا می­توانید مقالات و نمونه های مفیدی از security policy را پیدا کنید.      

یکی از بحثهای جنجالی بین طرفداران سیستم عاملهای لینوکس و ویندوز میزان امن بودن این سیستم عاملها نسبت به یکدیگر است، به طوریکه سالهاست هر دوطرف به وسیله آمارها، گزارشها و … سعی در اثبات ناامن بودن سیستم عامل رقیب را دارند. در سال ۲۰۰۴ هم مثل سالهای پیش گزارشهای متعددی در این زمینه منتشر شد، که امروز نگاهی به این گزارشها و نظرات پیرامون آنها می­اندازیم.

کمپانی انگلیسی mi2g در گزارشی مدعی شد که در ژانویه ۲۰۰۴ حدود ۱۷۰۰۰ حمله موفقیت آمیز روی سرویس دهنده های سرارسر دنیا انجام شده که از این میزان بیش از ۱۳۶۰۰ مورد سرویس دهنده لینوکس و تنها ۲۰۰۰ مورد ویندوز بوده است و اعلام کرد که لینوکس رخنه پذیر ترین سیستم عامل دنیاست، در حالی که کارشناسان امنیتی این گزارش را به دلیل در نظر نگرفتن آمار ویروسها و کرمها غیر معتبر دانستند. طرفداران ویندوز معتقد بوده و هستند که این سیستم عامل با توجه به گستره کاربری و بازار بزرگ تر هدف نسبت به لینوکس در معرض آسیبهای بیشتری بوده و لذا بیشتر بودن تعداد ویروسها، کرمها و رخنه ها لزوما به معنای غیر امن بودن ویندوز نیست. در مقابل بسیاری از کارشناسان لینوکس بر این باورند که حملات بیشتر علیه ویندوز به این دلیل است که اساسا ویندوز قابل امن کردن نیست!

یکماه پس از گزارش mi2g بود که مقاله ای مفصل در رد این گزارش منتشر شد و بسیاری از پیش فرضهای mi2g از جمله distribution لینوکس مورد مطالعه را زیر سوال برد. این دعوا سالهاست که ادامه داشته و به نظر نمی­رسد که هیچ یک از دوطرف قادر به اقناع دیگری باشد. اما به نظر من نکته کلیدی میزان مهارت فردی راهبر سیستم عامل است. یک سیستم عامل هر قدر هم امکانات امنیتی قوی داشته باشد، اگر به درستی توسط راهبر پیکر بندی و مدیریت نشود امن نخواهد بود. با این پیش فرض، لینوکس با ساختاری open source و بسیار انعطاف پذیر، قابلیت بیشتری برای پیکربندی امن نسبت به ویندوز دارد.  

وقتی از امنیت اطلاعات صحبت می کنیم،‌ اطلاعات را در تمام شکلهای آن مد نظر داریم ،‌نه فقط به صورت الکترونیکی یا کامپیوتری. بنا بر این تمام اسناد کاغذی،‌ صوتی – تصویری، الکترونیکی و … در این مقوله جایگاه خاص خود را دارند. اما موضوع امنیت اطلاعات الکترونیکی امروزه جذاب تر و مهم تر به نظر می رسد. از یک طرف انواع اشکال نمایش اطلاعات به سمت الکترونیکی شدن حرکت می کند و از سوی دیگر مکانیزمهای پردازش و تبادل آنها هم همگام با گسترش شبکه های اطلاعاتی به شکل الکترونیکی در می آید.