1-مقدمه

ظهور تکنولوژي ارتباطات و اينترنت امکان" اشتراک اطلاعات" و "تبادل آسان اطلاعات" بين سيستم‌هاي کامپيوتري را به وجود آورده است. اين فناوري‌هاي نوين با غلبه بر فاصله ها و محدوديتهاي فيزيكي و كاهش محسوس زمان، معماري و ساختار ارائه خدمات در سيستم‌ها را بشدت تحت تأثير قرار داده‌اند.

2-تاریخچه استفاده

براي پيشگيري از تهديدهاي امنيتي متدها و استاندارهاي مختلفي تا بحال ارائه شده است اما کاملترين و معروف ترين آنها استاندارد BS7799 است.

تاريخچه اين استاندارد نام کاملش British Standard 7799 است به زمان تاسيس موسسه Commercial Computer Security Center و بخش UK Department of Trade and Industry در سال 1987 برميگردد. اين مرکز براي تعيين و تعريف معيارها و استانداردهايي بين المللي براي ارزيابي ميزان امنيت تجهيزات توليد شده توسط توليد کنندگان تجهيزات امنيتي و اعطاي نشان ها و تاييده هاي بين المللي و همچنين کمک به کاربران اين گونه تجهيزات تاسيس شد.

CCSC در سال 1989 اقدام به انتشار کدهايي براي سنجش ميزان امنيت کرد که به Users Code of Practice معروف شد. مدتي بعد کيفيت و کميت اين کدها از سوي مرکز محاسبات بين المللي NCC و يک کنسرسيوم از کاربران مورد بررسي قرار گرفت و درنهايت به صورت نخستين نسخه استاندارد امنيت با عنوان "مستندات راهبري PD 003 " در انگلستان منتشر شد.

 نسخه بازنگري شده اين استاندارد در سال 1995 با عنوان استاندارد ISO ثبت شد. با توجه به تجارب گذشته اين گروه در گردآوري سناد و قوانين و مستندات امنيتي استاندارد امنيتي BS7799 توسط اين گروه منتشر گرديد و در فوريه 1998 قسمت دوم اين استاندارد با عنوان سيستم مديريت امنيت اطلاعات يا Information Security Management System که حالا ديگر آن را به اختصار ISMS مي نامند منتشر شد.

طي سالهاي 1999 تا 2002 بازنگري ها و تغييرات زيادي روي اين استاندارد صورت گرفته، در سال 2000 با افزودن الحاقيه هايي به استاندارد BS7799 که به عنوان يک استاندارد ISO ثبت شده بود اين استاندارد تحت عنوان استاندارد امنيتي ISO/IEC17799 به ثبت رسيد

3-BS7799

BS7799 حفاظت از اطلاعات را در سه مفهوم خاص يعني قابل اطمينان بودن اطلاعات (Confidentiality) و صحت اطلاعات (Integrity) و در دسترس بودن اطلاعات (Availability) تعريف مي كند.

Confidentiality: تنها افراد مجاز به اطلاعات دسترسي خواهند يافت.

Integrity: كامل بودن و صحت اطلاعات و روشهاي پردازش اطلاعات مورد نظر هستند.

Availability: اطلاعات در صورت نياز بطور صحيح در دسترس بايد باشد.

استاندارد BS7799 داراي 10 گروه كنترلي مي باشد كه هرگروه شامل چندين كنترل زيرمجموعه است بنابراين در كل 127 كنترل براي داشتن سيستم مديريت امنيت اطلاعات مدنظر قراردارد. اين ده گروه كنترلي عبارتند از :

1-سياستهاي امنيتي 2-امنيت سازمان 3-كنترل و طبقه بندي دارايي ها 4-امنيت فردي 6- مديريت ارتباط ها 7-كنترل دسترسي ها 8-روشها و روالهاي نگهداري و بهبود اطلاعات 9-مديريت تداوم كار سازمان 10-سازگاري با موارد قانوني

3-1 فوائد استاندارد BS7799 و لزوم پیاده سازی

استاندارد BS7799 قالبي مطمئن براي داشتن يك سيستم مورد اطمينان امنيتي مي باشد. در زير به تعدادي از فوائد پياده سازي اين استاندارد اشاره شده است:

 - اطمينان از تداوم تجارت و كاهش صدمات توسط ايمن ساختن اطلاعات و كاهش تهديدها

 - اطمينان از سازگاري با استاندارد امنيت اطلاعات و محافظت از داده ها

 - قابل اطمينان كردن تصميم گيري ها و محك زدن سيستم مديريت امنيت اطلاعات

 - ايجاد اطمينان نزد مشتريان و شركاي تجاري

 - امكان رقابت بهتر با ساير شركت ها

 - ايجاد مديريت فعال و پويا در پياده سازي امنيت داده ها و اطلاعات

 - بخاطر مشكلات امنيتي اطلاعات و ايده هاي خود را در خارج سازمان پنهان نسازيد.

4- مديريت حفاظت ديجيتال(Digital Rights Management)

DRM سيستمي است براي حفاظت از حق کپي رايت داده هاي موجود در اينترنت و ساير رسانه هاي ديجيتال توسط فعال نمودن توزيع مطمئن داده ها و يا غيرفعال نمودن توزيع غيرقانوني داده ها. مثلا يک DRM سيستم از مالکيت معنوي دارنده اثر توسط Encrypting حفاظت مي کند بنابراين داده فقط توسط کاربران مجاز قابل استفاده خواهد بود.

 يك بخش از اين استاندارد، مربوط به حفاظت از اطلاعات (اسناد بايگاني) در برابر دسترسيهاي غير مجاز، آلوده شدن به ويروس، كپي و يا انجام عمليات غير مجاز مي باشد. مديريت حفاظت ديجيتال به منظور پوشش موارد مربوط به كپي و يا انجام عمليات غير مجاز در استاندارد توسط كمپانيهاي معروفي چون Sony، Apple ،Microsoft وBBC به خدمت گرفته شده است.

DRM 4-1 و مستندات

مديريت حفاظت ديجيتالي سازماني (E-DRM) كاربردي از تكنولوژي DRM به منظور كنترل دسترسي به اسناد سازماني مانند فايلهاي Word, PDF و ... ، ايميلها و صفحات وب پورتال داخلي سازمان مي باشد. امروزه اصطلاح E-DRM با عبارت IRM (مديري صحت اطلاعات) جايگزين شده است.

هدف ازIRM به صورت كلي جلوگيري از استفاده بدون مجوز از اسناد مهم و محرمانه مي باشد. IRM معمولا در نرم افزارهاي مديريت مستندات، محتوا و كنترل بايگاني ها استفاده مي گردد. DRM توسط سازمانهايي مانند كتابخانه بريتانيا در "سرويس تحويل الكترونيكي امن" به منظور فراهم كردن امكان دسترسي جهاني به اسناد كمياب و نادر بكار گرفته شده است.

5-ضرورت استفاده از قابليت مديريت صحت اطلاعات

مايکروسافت آفيس SharePoint سرور 2007 به منظور حفاظت از فايل هائي که کاربران دانلود مي نمايند, قابليتي به نام مديريت صحت اطلاعات(Information rights Management) را پيشنهاد مي کند.

5-1 مديريت صحت اطلاعات چيست و چگونه از فايل ها محافظت مي کند

مديريت صحت اطلاعات روشي براي محدود کردن اختيارات و عکس العمل هائي است که کاربر مي تواند پس از دانلود فايل از يک ليست SharePoint يا يک کتابخانه (library) روي آن فايل انجام مي دهد. مديريت صحت اطلاعات فايل را رمزگذاري(encrypt) کرده و سپس افراد و برنامه هائي که امکان رمزگشايي (decrypt) آن را دارند, کنترل مي کند.

 کنترل اينکه چه افرادي پس از رمزگشايي اجازه اعمال چه عملياتي را دارند نيز به عهده سيستم مديريت صحت اطلاعات است. در آفيس SharePoint سرور 2007 مي توان به جاي تخصيص مديريت صحت اطلاعات به تک تک فايل ها, آن را به کل ليست يا کتابخانه اعمال کنيد. از اين طريق ميزان اطمينان به اعمال همسان قانون حفاظت از اطلاعات مجموعه اسناد بالا مي رود. هنگامي که شما مديريت صحت اطلاعات را براي يک کتابخانه تخصيص مي دهيد, اين قابليت به تمام فايل هاي موجود در آن کتابخانه نيز اعمال مي شود.اما هنگامي که شما مديريت صحت اطلاعات را به يک ليست کتابخانه تخصيص مي دهيد, اين قابليت به موارد ليست(list item) اعمال نمي شود بلکه به فايل هاي که به موارد ليست پيوست(attach) شده اند, اعمال مي شود.

5-2 مديريت صحت اطلاعات از فايل ها در برابر چه چيز محافظت مي کند

 • اگر مي خواهيد افراد پس از دانلود فايل و يا ارسال آن توسط پست الکترونيک بدون مجوزهاي لازم حتي اجازه ديدن مندرجات آن را نداشته باشند.

 • اگر مي خواهيد دسترسي افراد به اسناد تنها در مدت زمان خاص امکان پذير باشد و پس از گذشت اين مدت زمان مجددا آن ها به تمديد اعتبار و در واقع ورود مجدد نام کاربري و رمز عبور نياز پيدا کنند و يا حتي آن ها را به دانلود مجدد فايل مجبور کنيد.

• اگر مي خواهيد امکان عملياتي مانند (copy/paste) و قابليت ديدن صفحه نمايش در حالت چاپ(print screen) در پنجره هاي ويندوز, ويرايش, پرينت و فکس براي کاربران غير فعال شود.

• اگر مي خواهيد در هنگام ترويج موضوعات(content) در ميان سازمان, سياست هائي را به آن ها اعمال کنيد...

قابليت مديريت صحت اطلاعات موجود در آفيس SharePoint سرور2007 راه حل منطقي خواهد بود.

5-3 و اما مواردي که جلوگيري از پيش آمدن آن ها از عهده قابليت مديريت صحت اطلاعات خارج است

• پاک شدگي, سرقت, بدست آوردن داده يا ارسال توسط برنامه هاي خرابکارانه مثل تروجان ها, keystroke logger ها و ديگر انواع spyware.

ا• از بين رفتن يا خرابي داده توسط ويروس هاي کامپيوتري.

• تهيه رونوشت به صورت دستي, تايپ مجدد يا عکس برداري از مندرجات توسط بازديد کنندگان غير مجاز

• تهيه کپي توسط برنامه هاي ضبط تصوير صفحه نمايش واسط.

5-4 پيش از اينکه بتوان از قابليت مديريت صحت اطلاعات استفاده کرد, چه کارهائي بايد انجام داد

يکي ديگر از موارد مطرح شده در استاندارد حفاظت موضوع ويروسها و مقابله با آنها مي باشد. از جمله توانايي هاي SharePoint استفاده از Antivirus براي بالا بردن امنيت و حفاظت از اسناد و فايلهايي است که توسط کاربران دانلود يا آپلود مي شوند، مي باشد. از آنجا که تمامي کاربران امکان داشتن يک Antivirus به روز شده بر روي سيستم هايشان نمي باشند، اين امکان SharePoint مي تواند باعث آسوده خاطر بودن آنها هنگام استفاده از نرم افزار مي شود.