مفاهیم پایه در امنیت اطلاعات

🔹داده و اطلاعات

·         داده (Data): اطلاعات خام که هنوز پردازش نشده است، مانند یک عدد یا متن ساده.

·         اطلاعات (Information): داده‌های پردازش شده و معنی‌دار که قابل استفاده هستند، مانند گزارش مالی یک شرکت یا پیام متنی شما.

اهمیت در امنیت

درک تفاوت داده و اطلاعات کمک می‌کند که بدانیم چه چیزی نیاز به محافظت دارد.
مثلاً لو رفتن یک شماره تلفن خام نسبت به لو رفتن بانک اطلاعاتی کامل مشتریان، پیامدهای متفاوتی دارد.

مثال روزمره

·         هر پیام کوتاه شما یک داده است، اما وقتی چند پیام به هم مرتبط می‌شوند و روندی از فعالیت‌ها را نشان می‌دهند، تبدیل به اطلاعات می‌شوند.

·         در یک شرکت، یک عدد فروش روزانه داده است، اما گزارش ماهانه فروش و تحلیل روندها اطلاعات محسوب می‌شوند که اهمیت محافظت بالایی دارد.

اثرات عدم محافظت

·         داده‌های خام ممکن است توسط هکرها برای ایجاد اطلاعات جعلی استفاده شوند.

·         افشای اطلاعات پردازش شده می‌تواند باعث ضرر مالی، اجتماعی یا شخصیتی شود.

🔹رمزنگاری (Encryption)

رمزنگاری فرآیندی است که اطلاعات را به شکل غیرقابل خواندن برای افراد غیرمجاز در می‌آورد، به طوری که فقط گیرنده‌ای که کلید رمز را دارد بتواند آن را بخواند.

اهمیت

·         حفظ محرمانگی پیام‌ها و داده‌ها

·         جلوگیری از سرقت اطلاعات مالی و شخصی

·         افزایش اعتماد کاربران به سرویس‌های دیجیتال

مثال روزمره

·         وقتی در پیام‌رسان واتساپ پیام می‌دهید، این پیام رمزگذاری شده است و کسی بین راه نمی‌تواند آن را بخواند.

·         تراکنش‌های بانکی آنلاین هم با رمزنگاری محافظت می‌شوند تا حتی اگر هکر به شبکه دسترسی پیدا کند، اطلاعات قابل استفاده نباشد.

داستان واقعی

در یک کشور اروپایی، یک هکر توانست به شبکه بانکی دسترسی پیدا کند، اما همه تراکنش‌ها رمزنگاری شده بودند و هیچ اطلاعاتی قابل برداشت نبود. این نشان می‌دهد رمزنگاری یکی از موثرترین ابزارهای محافظتی است.

🔹احراز هویت (Authentication)

احراز هویت فرآیندی است که سیستم مطمئن شود کاربری که وارد می‌شود، همان کسی است که ادعا می‌کند.

انواع احراز هویت

·         رمز عبور و نام کاربری: رایج‌ترین روش

·         اثر انگشت یا تشخیص چهره: روش‌های بیومتریک

·         رمز دوم (2FA): پیامک یا اپلیکیشن تأیید

اهمیت

بدون احراز هویت، هر فردی می‌تواند به داده‌های شما دسترسی پیدا کند. حتی رمزنگاری نیز بدون احراز هویت موثر نیست، زیرا کلیدها باید تنها در اختیار کاربران مجاز باشند.

مثال روزمره

·         ورود به حساب ایمیل یا شبکه اجتماعی

·         ورود به بانک آنلاین یا اپلیکیشن پرداخت

داستان واقعی

یک کاربر با استفاده از رمز ساده و بدون 2FA مورد هجوم هکرها قرار گرفت. آن‌ها توانستند به حساب او دسترسی پیدا کنند و چندین تراکنش مالی انجام دهند. بعد از استفاده از 2FA، امنیت او به طرز چشمگیری افزایش یافت.

🔹 مجوزها و سطح دسترسی (Authorization)

پس از احراز هویت، سیستم باید تعیین کند که کاربر چه اجازه‌هایی دارد. به این فرآیند، Authorization یا مجوز دسترسی گفته می‌شود.

اهمیت

·         جلوگیری از دسترسی غیرمجاز

·         حفاظت از داده‌های حساس

·         تضمین رعایت سیاست‌های داخلی سازمان

مثال روزمره

·         یک مدیر می‌تواند فایل‌های تمام کارمندان را ببیند، اما کارمند معمولی فقط به فایل‌های خود دسترسی دارد.

·         در شبکه‌های اجتماعی، تنظیمات حریم خصوصی تعیین می‌کند چه کسی می‌تواند پست‌ها و اطلاعات شما را ببیند.

داستان واقعی

در یک شرکت، عدم رعایت مجوزها باعث شد یک کارمند سطح پایین بتواند اطلاعات مالی حساس را مشاهده و حتی تغییر دهد. این مشکل، شرکت را با بحران قانونی و مالی مواجه کرد.

🔹 امنیت سیستم‌عامل‌ها

سیستم‌عامل‌ها مثل ویندوز، لینوکس و اندروید، قلب هر دستگاه دیجیتال هستند. امنیت سیستم‌عامل، شامل محافظت از دسترسی‌ها، فایل‌ها و برنامه‌ها می‌شود.

اهمیت

·         سیستم‌عامل آسیب‌پذیر باعث می‌شود همه داده‌ها و نرم‌افزارها در خطر باشند

·         به‌روزرسانی‌های منظم امنیتی، یکی از ساده‌ترین و موثرترین اقدامات برای حفاظت از دستگاه است

مثال روزمره

·         نصب آپدیت‌های ویندوز و اندروید که مشکلات امنیتی را برطرف می‌کنند

·         استفاده از آنتی‌ویروس و فایروال‌های داخلی سیستم‌عامل

داستان واقعی

یک شرکت با استفاده از نسخه قدیمی سیستم‌عامل، در برابر حمله باج‌افزار آسیب‌پذیر شد. با به‌روزرسانی سیستم‌عامل و اعمال امنیت مناسب، مشکل بعد از چند روز حل شد و جلوی خسارت‌های بزرگ‌تر گرفته شد.