تعریف امنيت موبایل

/در /توسط

mobile security1

< استفاده از مطالب سایت فراکنش با ذکر منبع مجاز است.>

یک شبکه تلفن همراه امن بايد در مقابل حملات عمدي و غيرعمدي محافظت شود و قابليت در دسترس بودن بالا زمان پاسخ­گويي مناسب، قابليت اطمينان، گسترش ­پذيري و قابليت فراهم کردن اطلاعات دقيق صورت حساب را داشته باشد. از طرفی حریم خصوصی مشترکین نیز باید محفوظ بماند.

دارا بودن قابليت­هاي امنيتي در دارایی­‌های سازمان‌هاي مهم، بسيار حياتي است. امنيت به عنوان یک رکن مهم در دارایی‌­های سازمان نه تنها بايد مورد توجه قرار گيرد بلکه باید متناسب با توسعه شبکه به‌روز نگه داشته شود که بهترین راهکار برای داشتن امنیت جامع پیروی از استاندارهای مطرح و مرتبط می­باشد.

در اين بخش ابتدا برخی مفاهیم مهم و پایه‌ای در امنیت را تعریف می‌کنیم و سپس به بررسي مرزهاي امنيت و حريم خصوصي موبايل با يک ديد کلی و وسيع می‌پردازیم.

 تعاریف پايه‌ای امنیتی

  •  معماري امنيتي

معماري امنيتي برای پاسخگویی به چالش­هاي امنيتي، شامل فراهم کنندگان سرويس، سرمايه‌گذاران و تشکيلات اقتصادي و مشترکان تهیه می‌شود. معماري امنيتي مسائل امنيتي براي مديريت، کنترل، و استفاده از بستر، سرويس‌­ها و برنامه­‌هاي شبکه را نشان مي­‌دهد. معماري امنيتي منظر کامل و جامع، بالا به پايين و سرتاسري از امنيت شبکه فراهم کرده و مي­تواند  به عناصر، سرويس­ها و برنامه‌­هاي شبکه اعمال شود تا آسيب‌­پذيري‌هاي امنيتي را تشخيص داده، پيش‌بيني کرده و تصحيح نمايد.

معماري امنيتي به صورت منطقي مجموعه پيچيده خصوصيات مرتبط با امنيت شبکه را به اجزاء مجزاي معماري تقسيم مي­‌کند. اين تقسيم بندي امکان يک روش سيستماتيک براي فراهم کردن امنيت سرتاسري را ايجاد مي‌کند که مي­‌تواند براي طرح­‌ريزي راه­‌حل‌هاي جديد امنيتي همچنين براي تخمين و ارزيابي امنيت شبکه­‌هاي موجود مورد استفاده قرار بگيرد.

معماري امنيتي به سه سوال اساسي با توجه به امنيت سرتاسري مي­پردازد:

  1.   چه نوع محافظتي براي مقابله با چه تهديدهايي مورد نياز هستند؟
  2.   کدام یک از دارایی­‌های شبکه نیاز به محافظت دارند؟
  3.   کدام یک از فرایندها و فعاليت­‌هاي شبکه نياز به محافظت دارند؟
  •  سیاست امنیتی

سياست امنيتي، يک سري از قوانين براي تأمين امنيت اطلاعات در يک سازمان مي‌باشد. هر سازماني که از فناوری اطلاعات و ارتباطات استفاده می‌کند، بايد سياست امنيتي خود را تدوين و به اجرا بگذارد. سياست امنيتي، مجموعه‌اي از قواعد و قوانين است که چگونگي حفظ امنيت کليه اجزاي آن سازمان را تعريف مي‌کند و توسط کليه افراد سازمان لازم‌الاجرا مي‌باشد. سیاست امنیتی مستندی است که در آن موارد زیر مشخص شده است:

اهداف امنیتی، مخاطرات امنیتی،  سطوح مختلف اختیارات،  تیم امنیتی و مسؤولیت آن‌ها و راه‌کارهای برخورد با مشکلات امنیتی.

بدیهی است که برای سازمانی مانند شرکت ارتباطات سیار که سرویس‌دهنده خدمات فناوری اطلاعات و ارتباطات است، تعریف و اجرای یک سیاست امنیتی، امری حیاتی در برقراری امنیت در شبکه تلفن همراه کشور است.

  •  ابعاد امنيتي

ابعاد امنيتي مجموعه‌ه­اي از معيارهاي طراحي شده براي پرداختن به جنبه­ خاصي از امنيت شبکه است. اين ابعاد محدود به شبکه نيستند و به برنامه­‌ها و اطلاعات کاربر نهايي هم قابل گسترش هستند. با اعمال ابعاد امنيتي به سیستم، سرويس دهندگان يا سرمايه‌­گذاران موفق به فراهم کردن سرويس‌­هاي امن براي مشتريانشان مي‌­شوند. در استاندارهای امنیتی، هشت بعد را مشخص کرده‌اند:

  1. کنترل دسترسي
  2. تایید هویت
  3. انکارناپذيري
  4. محرمانگي داده‌­ها
  5.  امنيت ارتباط
  6. جامعيت داده‌­ها
  7. در دسترس بودن
  8. حريم شخصي

طراحي و پياده سازي مطلوب ابعاد امنيتي سياست امنيتي تعريف شده براي يک شبکه خاص را پشتيباني کرده و مجموعه نقش‌ها براي مديريت امنيتي را تسهيل مي­‌نمايد.

۱.  کنترل دسترسي

بعد امنيتي کنترل دسترسي منابع شبکه را از دسترسي غير مجاز محافظت مي­‌کند کنترل دسترسي تضمين مي‌­کند که تنها به پرسنل و دستگاه‌هاي مجاز اجازه داده مي­‌شود تا به عناصر شبکه، اطلاعات ذخيره شده، جريان اطلاعات، سرويس­‌ها و کاربردها در شبکه دسترسي داشته باشند. به علاوه کنترل دسترسي بر اساس نقش و وظيفه، سطوح متمايزي از دسترسي را فراهم مي‌­کند تا ضمانت کند، افراد و دستگاه‌­ها تنها اجازه دسترسي و انجام عمليات روي عناصر شبکه، اطلاعات ذخيره شده و جريان‌هاي اطلاعاتي‌ای را دارند که براي آنها مجوز دارند.

۲.  تایید هویت

تایید هویت براي تصديق کردن هويت طرفین ارتباط معنا پیدا می‌­کند. تایید هویت اعتبار هويت‌­هاي ادعا شده از طرفین رابطه (مانند شخص، دستگاه، سرويس، برنامه و کاربرد) را تضمين مي‌­کند و همچنين با ایجاد اطمینان از تهدیداتی چون برقراری ارتباطات غیر مجاز و یا مبدل جلوگیری می­‌کند.

۳. انکارناپذیری

انکارناپذيري تکنیکی براي ممانعت از انکار عمليات خاص انجام گرفته بر روی دارای‌ی­های سازمان می‌­باشد. به اين منظور ازیک سری نشانه‌­ها استفاده می‌گردد.( مانند اثبات توافق انجام شده، اثبات مالکيت، اثبات استفاده از خدمات موبایل و….). اين کار در دسترس بودن مدارکي که بتوان به طرف سوم ارائه داد تا براي اثبات بعضي وقايع و فعاليت­‌هاي انجام شده را تضمين مي‌­کند.

۴. محرمانگی داده‌ها

محرمانگي داده­‌ها را از افشاي بدون مجوز جلوگیری مي­‌کند. محرمانگي داده­‌ها تضمين مي­‌کند محتواي داده­‌ها بوسيله موجوديت‌هاي غير مجاز قابل فهم نباشد. رمزنگاري، کنترل دسترسي و مجوز­دهی روش‌هايي هستند که معمولاً براي فراهم کردن محرمانگي داده‌­ها استفاده مي‌­شود.

۵. امنیت ارتباط

امنیت ارتباطات تضمين م‌ي­کند که اطلاعات فقط بين نقاط مجاز جريان­ مي‌­يابد( اطلاعات در جريان ميان نقاط انتهايي منحرف نشده يا استراق سمع نمي­شود).

۶. جامعیت داده‌ها

بعد امنيتي جامعيت داده‌­ها صحت و دقت داده را تضمين مي­‌کند. داده­‌ها در مقابل تغييرات، حذف، توليد و کپي برداري غير مجاز محافظت شده و روش­‌هايي براي تشخيص چنين فعاليت‌­هاي غيرمجاز را فراهم مي­‌کند.

۷. در دسترس بودن

بعد امنيتي در دسترس بودن، تضمين مي­‌کند که ممانعتي براي دسترسي مجاز به عناصر شبکه، اطلاعات ذخيره شده و اطلاعات در حال جريان و سرويس­‌ها و کاربردهاي شبکه وجود ندارد. راه­‌ حل‌­هاي جبران و بازيافت اطلاعات از حوادث در اين دسته قرار مي­‌گيرد.

۸. حریم شخصی

بعد امنيتي حريم شخصي، حفاظت از اطلاعاتي که ممکن است از زيرنظر گرفتن فعاليت­‌هاي شبکه استخراج شود، مي­‌باشد. نمونه­‌هاي از اين اطلاعات شامل موقعيت مکاني کاربر، لیست شماره‌های روی گوشی مشترک، افرادی که با آنها تماس‌ گرفته و … مي­‌باشد.