امنیت سیستمها و شبکهها
امنیت سیستمها و شبکهها از تکنیکهای رمزنگاری و مهندسی برای محافظت از رایانهها، شبکهها و دادههای جاری بین آنها در برابر استراق سمع، دستکاری، جعل هویت و دسترسی غیرمجاز استفاده میکند.
Definition
امنیت سیستمها و شبکهها رشتهای است که با ترکیب رمزنگاری، کنترل دسترسی و شیوههای مهندسی امن، از محرمانگی، یکپارچگی و دسترسپذیری سیستمهای رایانهای و شبکههای متصل به آنها محافظت میکند.
Scope
این حوزه به دفاع عملی از زیرساختهای مستقر میپردازد: ایمنسازی ارتباطات شبکه، احراز هویت کاربران و ماشینها، کنترل دسترسی، توزیع اعتماد از طریق زیرساخت کلید عمومی، و ساخت کانالهای امن مانند TLS. این حوزه به چگونگی ترکیب اصول رمزنگاری در پروتکلهای واقعی و چگونگی هدایت طراحی سیستم توسط اصول امنیتی (کمترین امتیاز، دفاع در عمق) میپردازد. این حوزه شامل طراحی اصول رمزنگاری زیربنایی و تحلیل آسیبپذیریهای سطح نرمافزار نمیشود، که در حوزههای مرتبط دیگر مورد بررسی قرار میگیرند.
Sub-topics
Core questions
- چگونه دادهها هنگام عبور از شبکههای غیرقابل اعتماد محافظت میشوند؟
- چگونه کاربران و ماشینها به طور قابل اعتماد احراز هویت میشوند و دسترسی آنها چگونه کنترل میشود؟
- چگونه اعتماد به کلیدهای عمومی در مقیاس وسیع برقرار و مدیریت میشود؟
- چه اصول امنیتی طراحی سیستمهای قابل اعتماد را هدایت میکنند؟
- چگونه محرمانگی، یکپارچگی و دسترسپذیری در برابر قابلیت استفاده و عملکرد متعادل میشوند؟
Key concepts
- محرمانگی، یکپارچگی، دسترسپذیری
- کمترین امتیاز
- دفاع در عمق
- احراز هویت و مجوزدهی
- کنترل دسترسی
- زیرساخت کلید عمومی
- کانالهای امن (TLS)
- مدلسازی تهدید
- محیط شبکه و تقسیمبندی
Key theories
- اصول طراحی سالتزر و شرودر
- اصول کلاسیک برای طراحی سیستم امن – کمترین امتیاز، پیشفرضهای ایمن در صورت خرابی، صرفهجویی در مکانیزم، واسطهگری کامل، طراحی باز، تفکیک امتیازات – همچنان پایه و اساس مهندسی امنیت هستند.
- سهگانه CIA و دفاع در عمق
- اهداف امنیتی به عنوان محرمانگی، یکپارچگی و دسترسپذیری تعریف میشوند؛ سیستمهای قوی چندین کنترل مستقل (دفاع در عمق) را لایهبندی میکنند تا خرابی یک مکانیزم کل سیستم را به خطر نیندازد.
Clinical relevance
امنیت سیستمها و شبکهها چیزی است که اینترنت را قابل استفاده نگه میدارد: TLS از ترافیک وب و API محافظت میکند، VPNها و IPsec دسترسی از راه دور را ایمن میسازند، مراجع گواهی و PKI به ماشینهای غریبه اجازه میدهند به یکدیگر اعتماد کنند، و سیستمهای کنترل دسترسی از همه چیز، از کنسولهای ابری گرفته تا سوابق بیمارستانی، محافظت میکنند. شکستها در این زمینه باعث نقض دادهها، حوادث باجافزاری و مصالحههای زنجیره تأمین میشوند که اخبار امنیتی را تحت سلطه خود دارند.
Evidence & guidelines
عملکرد توسط چارچوبها و استانداردها شکل میگیرد: چارچوب امنیت سایبری NIST و سری SP 800، ISO/IEC 27001، پایگاههای دانش OWASP و MITRE ATT&CK، و RFCهای پروتکل. معماریهای با اعتماد صفر (NIST SP 800-207) به طور فزایندهای جایگزین مدلهای صرفاً مبتنی بر محیط میشوند، و رژیمهای نظارتی (GDPR, HIPAA, PCI-DSS) الزامات امنیتی را بر بخشهای خاصی تحمیل میکنند.
History
امنیت شبکه با خود اینترنت رشد کرد: کرم موریس (1988) آسیبپذیری سیستمی را نشان داد، فایروالها و تشخیص نفوذ در دهه 1990 پدیدار شدند، و SSL/TLS (از سال 1995) وب را ایمن کرد. اصول سالتزر و شرودر در سال 1975 همچنان پایه و اساس این حوزه هستند. با از بین رفتن محیطهای امنیتی با رایانش ابری و موبایل، این رشته به سمت مدلهای هویتمحور و اعتماد صفر تغییر یافت.
Key figures
- Roger Needham
- Ross Anderson
- Jerome Saltzer
- Michael Schroeder
- Whitfield Diffie
Related topics
Seminal works
- anderson2020
- saltzer1975
- stallings2017
Frequently asked questions
- تفاوت بین احراز هویت و مجوزدهی چیست؟
- احراز هویت مشخص میکند که یک طرف چه کسی است (تأیید هویت، مثلاً از طریق رمز عبور یا کلید). مجوزدهی تصمیم میگیرد که یک طرف احراز هویت شده مجاز به انجام چه کاری است (مجوزهای آن). یک سیستم باید هر دو را انجام دهد: هویت را تأیید کند، سپس حقوق دسترسی را اعمال کند.
- آیا رمزنگاری قوی برای ایمنسازی یک سیستم کافی است؟
- خیر. رمزنگاری لازم است اما کافی نیست. بیشتر نقضهای واقعی از رمزهای عبور ضعیف، پیکربندی نادرست، نرمافزار وصلهنشده، فیشینگ یا مدیریت ضعیف کلیدها سوءاستفاده میکنند تا شکستن خود رمزنگاری، به همین دلیل مهندسی و عملیات امن به اندازه الگوریتمها اهمیت دارند.