عامل‌های انسانی در امنیت اطلاعات/مهندسی امنیت با استفاده از الگوها

ویکی‎کتاب، کتابخانهٔ آزاد
پرش به ناوبری پرش به جستجو
Gnome-go-last.svg Gnome-go-first.svg

چکیده[ویرایش]

انجام کسب و کار دیجیتالی نیاز به شبکه امن و معماری نرم افزاری دارد. اخیرا افزایش وقوع حملات شدید نشان داده شده است. با این حال، ما هنوز نیاز به زمان و تلاش برای رسیدن به استانداردهای امنیتی از سیستم‌های فناوری اطلاعات و سایر زمینه‌ها هستیم.

در حال حاظر یک شکاف بزرگی بین تئوری و کد عملی وجود دارد. درحالی که دانشمندان روی روش‌های رسمی برای تعیین و تصدیق روش‌های امنیتی برای پاسخگویی به نیاز کاربران کار می‌کنند. انجمن تخصصی شناخت الگوها این مشکل را تشخیص داده است. الگو به معنای واقعی گرفتن تجربه از روش‌های ساخت یافته متخصصان است. بنابراین افراد تازه کار می‌توانند از دانش و مهارت خبرگان در این زمینه بهره ببرند.

از این رو ما الگوهایی برای حل مشکلات امنیتی پیشنهاد می‌کنیم. ما قصد داریم نشان دهیم که راه‌حل‌های امنیتی گذشته کافی نبوده و الگوهای امنیتی برگرفته از روش‌های ساخت یافته متخصصان به فرآیندهای مهندسی اینترنت کمک می‌کند.

معرفی[ویرایش]

برای انجام کسب و کار دیجیتالی، نیاز به شبکه‌های امن و معماری برنامه است. در نتیجه یک مهندسی خوب، معماری سیستم‌های امنیتی باید به گونه‌ای باشد که جنبه‌های امنیتی خاص مانند محرمانگی، احراز هویت، سلامت و در دسترس بودن داده‌ها را تضمین کند. بروز نامه‌های ویروسی و سرویس‌های مقابله حمله در برابر وب‌گاه‌های مشهور در آغاز سال 2000 نشان داده است. با این وجود ما هنوز نیازمند استانداردهایی برای مقابله هستیم. مثال‌های زیر نشان می‌دهد که ما به وضوح حوادث امنیتی گذشته را فرا نگرفته و همان اشتباهات را بارها و بارها تکرار می‌کنیم:

  1. حملات ویروسی
  2. شبکه های خصوصی مجازی

امنیت و عامل‌های انسانی[ویرایش]

دلیل اصلی مشکلات موجود این است که مهندسی امنیت مشکل فنی در وهله اول نیست. امنیت همیشه به وسیله انسان‌ها بنا به درخواست از انسان اجرا شده است. بنابراین عامل‌های انسانی تحت تاثیر امنیت فناوری اطلاعات به روش‌ها و دسته‌بندی‌های زیر تقسیم می‌شوند:

  • مهندسی امنیت توسط غیر کارشناسان امنیتی
  • راه حل مشکل ساختار
  • وابستگی های محدود و کامل
  • وابستگی‌های زمان

روشهایی برای امنیت مهندسی[ویرایش]

  • سیاست‌های امنیتی
  • معیارهای ارزیابی
  • نمایندگی درخت
  • روش‌های رسمی
  • روش‌های نیمه‌رسمی

الگوهای امنیتی[ویرایش]

  • الگو برای مدل‌های امنیتی
  • کارهای مرتبط

مهندسی امنیت با الگوها[ویرایش]

  • الگوهای آیتی و امنیت
  • پشتیبانی ابزار
  • سناریو: الگوهای امنیت شبکه

نتیجه‌گیری[ویرایش]

امنیت از ویژگی‌های اجباری امروز و آینده سیستم است؛ اگر فقط بتوانیم به فناوری اطلاعات در محیط پیرامون‌مان اعتماد کنیم، می‌توانیم کسب و کار دیجیتال ایجاد کنیم. با توجه به وضعیت فعلی، استقرار و نگهداری امنیت کار سختی است و لازمه آن ترکیب دو روش رسمی و غیر رسمی به منظور دستیابی به امنیت در یک روش سیستماتیک و راحت است نه تنها کارشناسان، بلکه به طور متوسط برنامه‌نویسان و معماران باید قادر به طراحی سیستم ایمن فناوری اطلاعات باشند.

در این مقاله ما یک بحث عمومی در خصوص الگوهای امنیت مطرح کردیم و همچنین الگوهای امنیتی به منظور مقابله با مشکلات روند امنیتی مهندسی پیشنهاد کردیم:

۱- ما در اینجا برخی از مهمترین جنبه های غیر فنی که باعث مهندسی دشوار امنیتی شده را شناسایی کرده مقایسه چندین روش موجود برای رشته های مهندسی امنیت را انجام داده و به بررسی علل شکاف عظیمی که بین تئوری امنیت کد وجود دارد پرداخته و در نهایت نشان دادیم که امنیت الگوها در این زمینه، یک راه مناسب برای حل مشکلات امروز است.

۲- با استفاده از یک الگو برای الگوهای امنیتی به تعاریف و ویژگی الگوهای امنیتی وامنیت سیستم الگوها پرداخته و با استفاده از یک طرح طبقه بندی مناسب،آنها می توانند به یک سیستم امنیتی الگویی ادغام شوند.

از نقطه نظر ما، الگوها یک روش امید بخش به سوی امنیت هستند. یک چالش بزرگ ایجاد یک جامعه الگوی امنیتی خواهد بود که کمک به فرآیند استخراج امنیتی دارد ( شناسایی الگوهای امنیتی در سطوح مختلف). در دراز مدت ما می‌خواهیم برای ایجاد یک راه حل جامع مجموعه ای از الگوهای امنیتی به عنوان تنها مقدار کمی از فعالیتها در روشهای امروزی مورد استفاده قراردهیم.

ما مزایای مجموعه ای از ابزارها که از مهندسی امنیت با الگوها حمایت می کنند را برشمردیم.

قدم اول برای ایجاد مخزن الگوی امنیتی است که در دسترس عموم خواهد بود. از سوی دیگر ابزارها احتمالا هیچوقت جایگزین افراد خبره نخواهند شد اما آنها را در طول فرآیند مهندسی امنیت کمک خواهند کرد. به عنوان یک اظهار نهایی ما می خواهیم انتظارات را از الگوهای امنیتی محدود کنیم. آنها هیچ نوشدارویی نیستند و نمیتوانند جایگزین روشهای امنیتی شوند. به عنوان مثال ما استفاده از الگوهای امنیتی را در ترکیب با درختان حمله پیشنهاد کردیم. بنابراین الگوهای امنیتی باید به عنوان یک مکمل ارزشمند در فرآیند مهندسی امنیت در نظر گرفته شوند.

نام انگلیسی مقاله[ویرایش]

Security Engineering with Patterns

منبع[ویرایش]

http://scholar.google.com/scholar?hl=en&q=Security+Engineering+with+Patterns&btnG=Search&as_sdt=0%2C5&as_ylo=&as_vis=0

Markus Schumacher (1) and Utz Roedig (2), Darmstadt University of Technology, Department of Computer Science

1 IT Transfer Office (ITO), markus.schumacher@ito.tu-darmstadt.de

2 Industrial Process and System Communications (KOM), utz.roedig@kom.tu-darmstadt.de