تعریف امنيت موبایل
< استفاده از مطالب سایت فراکنش با ذکر منبع مجاز است.>
یک شبکه تلفن همراه امن بايد در مقابل حملات عمدي و غيرعمدي محافظت شود و قابليت در دسترس بودن بالا زمان پاسخگويي مناسب، قابليت اطمينان، گسترش پذيري و قابليت فراهم کردن اطلاعات دقيق صورت حساب را داشته باشد. از طرفی حریم خصوصی مشترکین نیز باید محفوظ بماند.
دارا بودن قابليتهاي امنيتي در داراییهای سازمانهاي مهم، بسيار حياتي است. امنيت به عنوان یک رکن مهم در داراییهای سازمان نه تنها بايد مورد توجه قرار گيرد بلکه باید متناسب با توسعه شبکه بهروز نگه داشته شود که بهترین راهکار برای داشتن امنیت جامع پیروی از استاندارهای مطرح و مرتبط میباشد.
در اين بخش ابتدا برخی مفاهیم مهم و پایهای در امنیت را تعریف میکنیم و سپس به بررسي مرزهاي امنيت و حريم خصوصي موبايل با يک ديد کلی و وسيع میپردازیم.
تعاریف پايهای امنیتی
- معماري امنيتي
معماري امنيتي برای پاسخگویی به چالشهاي امنيتي، شامل فراهم کنندگان سرويس، سرمايهگذاران و تشکيلات اقتصادي و مشترکان تهیه میشود. معماري امنيتي مسائل امنيتي براي مديريت، کنترل، و استفاده از بستر، سرويسها و برنامههاي شبکه را نشان ميدهد. معماري امنيتي منظر کامل و جامع، بالا به پايين و سرتاسري از امنيت شبکه فراهم کرده و ميتواند به عناصر، سرويسها و برنامههاي شبکه اعمال شود تا آسيبپذيريهاي امنيتي را تشخيص داده، پيشبيني کرده و تصحيح نمايد.
معماري امنيتي به صورت منطقي مجموعه پيچيده خصوصيات مرتبط با امنيت شبکه را به اجزاء مجزاي معماري تقسيم ميکند. اين تقسيم بندي امکان يک روش سيستماتيک براي فراهم کردن امنيت سرتاسري را ايجاد ميکند که ميتواند براي طرحريزي راهحلهاي جديد امنيتي همچنين براي تخمين و ارزيابي امنيت شبکههاي موجود مورد استفاده قرار بگيرد.
معماري امنيتي به سه سوال اساسي با توجه به امنيت سرتاسري ميپردازد:
- چه نوع محافظتي براي مقابله با چه تهديدهايي مورد نياز هستند؟
- کدام یک از داراییهای شبکه نیاز به محافظت دارند؟
- کدام یک از فرایندها و فعاليتهاي شبکه نياز به محافظت دارند؟
- سیاست امنیتی
سياست امنيتي، يک سري از قوانين براي تأمين امنيت اطلاعات در يک سازمان ميباشد. هر سازماني که از فناوری اطلاعات و ارتباطات استفاده میکند، بايد سياست امنيتي خود را تدوين و به اجرا بگذارد. سياست امنيتي، مجموعهاي از قواعد و قوانين است که چگونگي حفظ امنيت کليه اجزاي آن سازمان را تعريف ميکند و توسط کليه افراد سازمان لازمالاجرا ميباشد. سیاست امنیتی مستندی است که در آن موارد زیر مشخص شده است:
اهداف امنیتی، مخاطرات امنیتی، سطوح مختلف اختیارات، تیم امنیتی و مسؤولیت آنها و راهکارهای برخورد با مشکلات امنیتی.
بدیهی است که برای سازمانی مانند شرکت ارتباطات سیار که سرویسدهنده خدمات فناوری اطلاعات و ارتباطات است، تعریف و اجرای یک سیاست امنیتی، امری حیاتی در برقراری امنیت در شبکه تلفن همراه کشور است.
- ابعاد امنيتي
ابعاد امنيتي مجموعههاي از معيارهاي طراحي شده براي پرداختن به جنبه خاصي از امنيت شبکه است. اين ابعاد محدود به شبکه نيستند و به برنامهها و اطلاعات کاربر نهايي هم قابل گسترش هستند. با اعمال ابعاد امنيتي به سیستم، سرويس دهندگان يا سرمايهگذاران موفق به فراهم کردن سرويسهاي امن براي مشتريانشان ميشوند. در استاندارهای امنیتی، هشت بعد را مشخص کردهاند:
- کنترل دسترسي
- تایید هویت
- انکارناپذيري
- محرمانگي دادهها
- امنيت ارتباط
- جامعيت دادهها
- در دسترس بودن
- حريم شخصي
طراحي و پياده سازي مطلوب ابعاد امنيتي سياست امنيتي تعريف شده براي يک شبکه خاص را پشتيباني کرده و مجموعه نقشها براي مديريت امنيتي را تسهيل مينمايد.
۱. کنترل دسترسي
بعد امنيتي کنترل دسترسي منابع شبکه را از دسترسي غير مجاز محافظت ميکند کنترل دسترسي تضمين ميکند که تنها به پرسنل و دستگاههاي مجاز اجازه داده ميشود تا به عناصر شبکه، اطلاعات ذخيره شده، جريان اطلاعات، سرويسها و کاربردها در شبکه دسترسي داشته باشند. به علاوه کنترل دسترسي بر اساس نقش و وظيفه، سطوح متمايزي از دسترسي را فراهم ميکند تا ضمانت کند، افراد و دستگاهها تنها اجازه دسترسي و انجام عمليات روي عناصر شبکه، اطلاعات ذخيره شده و جريانهاي اطلاعاتيای را دارند که براي آنها مجوز دارند.
۲. تایید هویت
تایید هویت براي تصديق کردن هويت طرفین ارتباط معنا پیدا میکند. تایید هویت اعتبار هويتهاي ادعا شده از طرفین رابطه (مانند شخص، دستگاه، سرويس، برنامه و کاربرد) را تضمين ميکند و همچنين با ایجاد اطمینان از تهدیداتی چون برقراری ارتباطات غیر مجاز و یا مبدل جلوگیری میکند.
۳. انکارناپذیری
انکارناپذيري تکنیکی براي ممانعت از انکار عمليات خاص انجام گرفته بر روی داراییهای سازمان میباشد. به اين منظور ازیک سری نشانهها استفاده میگردد.( مانند اثبات توافق انجام شده، اثبات مالکيت، اثبات استفاده از خدمات موبایل و….). اين کار در دسترس بودن مدارکي که بتوان به طرف سوم ارائه داد تا براي اثبات بعضي وقايع و فعاليتهاي انجام شده را تضمين ميکند.
۴. محرمانگی دادهها
محرمانگي دادهها را از افشاي بدون مجوز جلوگیری ميکند. محرمانگي دادهها تضمين ميکند محتواي دادهها بوسيله موجوديتهاي غير مجاز قابل فهم نباشد. رمزنگاري، کنترل دسترسي و مجوزدهی روشهايي هستند که معمولاً براي فراهم کردن محرمانگي دادهها استفاده ميشود.
۵. امنیت ارتباط
امنیت ارتباطات تضمين ميکند که اطلاعات فقط بين نقاط مجاز جريان مييابد( اطلاعات در جريان ميان نقاط انتهايي منحرف نشده يا استراق سمع نميشود).
۶. جامعیت دادهها
بعد امنيتي جامعيت دادهها صحت و دقت داده را تضمين ميکند. دادهها در مقابل تغييرات، حذف، توليد و کپي برداري غير مجاز محافظت شده و روشهايي براي تشخيص چنين فعاليتهاي غيرمجاز را فراهم ميکند.
۷. در دسترس بودن
بعد امنيتي در دسترس بودن، تضمين ميکند که ممانعتي براي دسترسي مجاز به عناصر شبکه، اطلاعات ذخيره شده و اطلاعات در حال جريان و سرويسها و کاربردهاي شبکه وجود ندارد. راه حلهاي جبران و بازيافت اطلاعات از حوادث در اين دسته قرار ميگيرد.
۸. حریم شخصی
بعد امنيتي حريم شخصي، حفاظت از اطلاعاتي که ممکن است از زيرنظر گرفتن فعاليتهاي شبکه استخراج شود، ميباشد. نمونههاي از اين اطلاعات شامل موقعيت مکاني کاربر، لیست شمارههای روی گوشی مشترک، افرادی که با آنها تماس گرفته و … ميباشد.