از /

المان های امنیت اطلاعات

محرمانه، سالم، همیشه آماده، واقعی، غیرقابل انکار

المان های امنیت اطلاعات

«عناصر امنیت اطلاعات» همون پنج‌گانه‌ایه که اگه یکیش بلنک بزنه، هکرها جشن تولد می‌گیرن: محرمانگی (Confidentiality)، یکپارچگی (Integrity)، دسترسی‌پذیری (Availability)، اصالت/هویت‌سنجی (Authenticity)، انکارناپذیری (Non-Repudiation).
هرکدوم رو کامل، شفاف و کاربردی می‌گم؛ هم تهدیدها، هم فناوری‌های درستِ مقابله، هم اشتباهات رایج.

محرمانگی | Confidentiality

تعریف قابل لمس

اطلاعاتت رو فقط همون‌هایی ببینن که باید. شبیه مهمانی خانوادگیه؛ عمو جانِ فضول دم در می‌مونه.

تهدیدهای کلاسیک

  • لو رفتن رمزها (فیشینگ، کی‌لاگر، Shoulder Surfing)

  • اشتراک‌گذاری اشتباه دسترسی‌ها، لینک عمومی S3/MinIO

  • دیتا بدون رمزنگاری روی دیسک یا شبکه (TLS خاموش)

چی کار کنیم (کنترل‌ها)

  • IAM درست‌وحسابی: RBAC/ABAC، اصل «کمترین دسترسی»

  • MFA همه‌جا (ترجیحاً TOTP/WebAuthn؛ SMS فقط وقتی مجبور شدی)

  • رمزنگاری:

    • در حال انتقال: TLS 1.2+، HSTS، mTLS برای سرویس‌به‌سرویس

    • در حال سکون: AES-256 با KMS/HSM، مدیریت کلید با Rotation

  • DLP: جلوگیری از خروج داده از ایمیل/پایانه‌ها

  • Labeling & Masking: برچسب محرمانگی، ماسک‌کردن PII در لاگ‌ها

  • Secrets Management: Vault/Parameter Store؛ .env روی Git؟ نه لطفاً!

خطاهای مرگبار

«همه کارمندن، پس همه‌چیز رو ببینن!» — بعدش هم دیتابیس حقوق‌ها تو کانال شرکت.

یکپارچگی | Integrity

تعریف

داده‌ها همان است که باید باشد؛ نه قاطی، نه دستکاری‌شده. مثلاً مبلغ فاکتور از ۹۰۰ به ۹۰۰۰ تبدیل نشه.

تهدیدها

  • SQLi/XXE، تغییر داده در مسیر (MITM)، خرابکاری داخلی، خطای انسانی

کنترل‌ها

  • Hash و MAC (SHA-256 + HMAC)، Checksums برای فایل‌ها

  • امضاهای دیجیتال روی اسناد/پیام‌ها (RSA/ECDSA)

  • کنترل نسخه و ثبت تغییر (Audit Trail با WORM/Immutable Logs)

  • ولیدیشن سمت سرور، ORM و پارامترایز کوئری

  • Code Signing برای باینری‌ها و اسکریپت‌ها

  • Time Sync با NTP امن؛ لاگ بدون زمان درست=بی‌خاصیت

آفت‌ها

«اعتبارسنجی رو گذاشتیم سمت فرانت چون سریع‌تره» — هکر: «دمت گرم!»

دسترسی‌پذیری | Availability

تعریف

خدمت باید وقتی لازم شد، در دسترس باشد. نه «پنجشنبه ۱۰ صبح تا شنبه ۱۰ شب»!

تهدیدها

  • DDoS، باج‌افزار، خرابی دیسک/شبکه، Single Point of Failure، قطعی دیتاسنتر

کنترل‌ها

  • طراحی افزونه: Load Balancer، چند نمونه، چند AZ/Region

  • Backup 3-2-1 + تست بازگردانی؛ Snapshot، آفلاین/immutable backup

  • HA & DR: RTO/RPO تعریف و تمرین شود (گیم‌دی/Chaos)

  • WAF/CDN/Rate Limit برای سیل درخواست‌ها

  • Patch & EDR برای خنثی کردن باج‌افزار

  • مانیتورینگ و آلارم: SLO/SLA، داشبورد، Runbook برای Incident

اشتباه همیشگی

«Backup داریم» — تا روز حادثه که می‌فهمن آخرین بکاپ سالم مربوط به پارسال بوده.

اصالت | Authenticity

تعریف

طرف مقابل همان کسی است که ادعا می‌کند؛ سرویس هم همان سرویس واقعی است.

تهدیدها

  • جعل هویت سرویس (DNS/ARP spoofing)، جعل کاربر، توکن دزدیده

کنترل‌ها

  • احراز هویت قوی: SSO/OIDC، WebAuthn، MFA

  • Certificate Pinning / mTLS بین سرویس‌ها

  • DKIM/SPF/DMARC برای ایمیل معتبر

  • Device Posture: بررسی سلامت کلاینت (MDM, compliance)

  • توکن‌های کوتاه‌عمر + Refresh امن، IP/UA Binding وقتی منطقیه

دام رایج

«گواهی تست رو تو پرود هم بزنیم فعلاً!» — کاربر: «سایت ناامن است…»

انکارناپذیری | Non-Repudiation

تعریف

هیچ‌کس نتونه بعداً بگه «من نبودم!» وقتی پیام/تراکنش را ارسال کرده یا دریافت کرده.

ابزار عملی

  • امضای دیجیتال + Timestamp معتبر (TSA)

  • Logهای تغییرناپذیر (WORM/SIEM با یکپارچگی تضمین‌شده)

  • KMS/HSM: کلیدهای امضا دسترس‌پذیر نباشند

  • ثبت رویداد end-to-end: چه کسی، چه چیزی، کی، از کجا

اشتباه محبوب

لاگ روی همان سرور اپلیکیشن بدون ارسال به SIEM؛ حمله که شد، لاگ هم رفت هوا.

جمع‌بندی کاربردی: نقشه‌ی اجرای سریع (۹۰ روزه)

هفته ۱–۲: پایه‌ها

  • سیاست‌های دسترسی (RBAC/Least Privilege)، فعال‌سازی MFA

  • TLS همه‌جا، HSTS، منع پروتکل‌های ضعیف

  • طبقه‌بندی داده و رمزنگاری در سکون با KMS

هفته ۳–۶: مصون‌سازی

  • WAF/Rate Limiting، بکاپ ۳-۲-۱ + DR Drill

  • لاگ متمرکز + SIEM، زمان‌بندی Rotation کلیدها

  • Secret Manager برای اپ‌ها

هفته ۷–۱۰: اصالت و انکارناپذیری

  • SSO/OIDC + WebAuthn، امضای دیجیتال اسناد حساس

  • Pinning/mTLS بین سرویس‌ها، DKIM/SPF/DMARC

هفته ۱۱–۱۳: تست و بلوغ

  • اسکن آسیب‌پذیری و PenTest، شبیه‌سازی فیشینگ

  • تعریف SLO/SLA، Runbook حادثه، tabletop exercise

چک‌لیست ۳۰ ثانیه‌ای مدیر فنی

  • MFA همه‌جا فعاله؟

  • TLS 1.2+ اجباری و گواهی‌ها معتبر؟

  • بکاپ تست‌شده‌ی Restore داری؟

  • لاگ‌ها تغییرناپذیر و در SIEM جمع می‌شن؟

  • دسترسی‌ها بر اساس نقش و اصول Least Privilege؟

  • کلیدها و Secrets داخل Vault با Rotation؟

  • امضای دیجیتال/تایم‌استمپ روی تراکنش‌های حساس؟

دو مثال بامزه برای یادگیری سریع

فکر کن رستوران داری:

  • محرمانگی: دستور پیتزای مخصوص فقط پیش سرآشپزه.

  • یکپارچگی: کسی تو دستور شکر رو با نمک عوض نکنه.

  • دسترسی‌پذیری: فر تعطیل نشه وسط ناهار.

  • اصالت: مشتری بدونه با خود رستوران حرف می‌زنه، نه دلال دم در.

  • انکارناپذیری: رسید پرداخت امضا شده؛ مشتری نمی‌تونه بگه «من پول ندادم».

مهمانی عروسی و امنیت اطلاعات!

محرمانگی (Confidentiality):
مثل اینه که فقط خانواده عروس بدونن کی مهریه رو چقدر داده! اطلاعات خصوصی بین خودی‌ها می‌مونه. غریبه‌ها حق ندارن بدونن شام چنده یا چرا داماد عرق کرده!

تمامیت (Integrity):
فرض کن کارت عروسی نوشته: “ساعت ۷ شب، سالن فلان”، ولی یکی از مهمونا شوخی کرده و زده: “ساعت ۱۱ صبح، پارک ملت”!
اینجا integrity رفته زیر سوال! هر تغییری بدون اجازه یعنی فاجعه.

دسترسی‌پذیری (Availability):
سالن بازه، غذا سِرو میشه، موزیک پخش میشه! اگه برق بره یا در قفل بشه، کسی نمی‌تونه جشنو ببینه. مثل سروری که دان شده! بدبختی محض!

اصالت (Authenticity):
یعنی اون کسی که داره می‌رقصه واقعاً داماده، نه یه مهمون بی‌دعوت با کت‌و‌شلوار مشابه! احراز هویت واقعی خیلی مهمه.

۵. انکارناپذیری (Non-repudiation):
وقتی داماد امضا کرد زیر سند مهریه، دیگه نمیشه بزنه زیرش! سند داریم که گفت “قبول دارم”، و نمی‌تونه بگه “من نبودم دستم بود امضام افتاد!”

امنیت اطلاعات «پروژه» نیست، عادت تیمیه. اگر این پنج‌گانه رو درست پیاده کنی، ۸۰٪ راه رو رفتی؛ بقیه‌اش می‌شه بهبود مستمر، پایش، و کمی کله‌شقی در برابر میان‌برها. 😉

دیدگاه‌ خود را بنویسید

پیمایش به بالا