مفهوم AAA در امنیت اطلاعات به چه معنی است؟
امروزه با پیشرفت روز افزون تکنولوژی، امنیت اطلاعات به یکی از اصل های مهم تبدیل شده است. همانطور که در مطلب قبلی در مورد مفهوم CIA بحث کردیم در این پست هم در مورد اصطلاح رایج دیگری با نام AAA در امنیت اطلاعات بحث خواهیم کرد. عبارت AAA اختصار شده مفاهیم زیر می باشد:
- (Authentication) تأیید هویت
- (Authorization) اختیار
- (Accounting) حساب کاربری
(Authentication) تأیید هویت : هنگامی که هویت شخص اثبات و توسط سیستم تأیید می شود. عموماً، این نیازمند یک شناسایی دیجیتالی برخی ترتیب ها، نام کاربری/کلمه عبور، یا سایر مفاهیم هویت سنجی می باشد.
(Authorization) اختیار : هنگامی که یک کاربر به داده های معینی یا نواحی ساختمان قابل دسترس است اختیار پس از تأیید هویت اتفاق می افتد و می تواند به روش های متعددی شامل مجوزها، لیست های کنترل دسترس، زمان، روز و سایر محدودیت های لاگین و فیزیکی تعیین شود.
(Accounting) حساب کاربری : برای ردیابی داده ها، استفاده از کامپیوتر و منابع شبکه می باشد. اغلب به معنای لاگین کردن، حسابرسی و مانیتور کردن داده ها و منابع است، دارای حساب کاربری کردن امروزه به سرعت به یکی از مهمترین مفاهیم امنیت شبکه تبدیل شده است.
مفهوم AAA همچنین باید به هر برنامه امنیتی توری یافته بپیوندد، گفتنی است پروتکل های تأیید هویت متعددی بر اساس مفهوم AAA وجود دارد همانند , TACACS4 .TACACS , RADIUS همچنین AAA نوعی از سرور استفاده شده در شبکه های بی سیم CDMA است.
امنیت اطلاعات شامل محافظت از داده ها و سیستم های اطلاعاتی از دسترس غیرمجاز، تغییرات غیر قانونی و دزدی، افشاء، انحراف و از بین رفتن می باشد. کنترل های امنیتی که برای محافظت از confidentiality, integrity, availability) CIA) داده ها مورد استفاده قرار می گیرند عبارتند از:
User awareness: هر چه کاربر عاقل تر، احتمال شکاف امنیتی کمتر. آموزش دادن به کاربر می تواند در هنگام تلاش برای محافظت در برابر حملات امنیتی روشی بسیار عالی باشد. این آموزش ها شامل مواردی از این قبیل می شود که کاربران چه ایمیل هایی را باز کنند و چه ایمیل هایی را باز نکنند، وارد چه سایت هایی شوند و وارد چه سایت هایی نشوند،حواسشان به آنتی ویروس باشد
Authentication: تأیید اعتبار دیوایس یا کاربر. تأیید هویت فرد از دسترسی غیرمجاز محافظت می کند.
Anti-malware software: نرم افزارهایی که از کرم، ویروس ، تروجان، روت کیت و… جلوگیری می کنند مانند Norton، McAfee. امروزه بسیاری از نرم افزارها تحت عنوان “آنتی ویروس” می توانند در برابر Spyware و سایر بدافزارها نیز محافظت کنند.
Data backups: بکاپ گرفتن از داده ها، آسیب به داده ها را متوقف نمی کند اما شما را قادر می سازد پس از حمله یا شکست سیستم، اطلاعات را بازیابی کنید. از برنامه ی پشتیبان گیری عبارتند از: Windows Backup and Restore، Windows File History و Bacula. و برنامه های در سطح سازمانی مانند Veritas Backup Exec. توجه داشته باشید که متدهای fault-tolerant از قبیل Raid 1, 5, 6 و 10 اقدامات پیشگیرانه خوبی در برابر خرابی سخت افزار محسوب می شوند اما ممکن است حفاظت از ساد داده یا پاک کردن داده را ارائه نکنند.
Encryption: اطلاعات حساس و طبقه بندی شده ی ما باید رمزنگاری شود و در اصل کلید این قفل در دست کسی باشد که سیاست سازمان اجازه ی دیدن فایل را به طرف داده باشد.
