مهندسی امنیت
مهندسی امنیت یک زمینه تخصصی از شاخه مهندسی میباشد که بر روی جنبههای امنیتی در طراحی سیستمهایی که لازم است بتوانند با قدرت در مقابل منابع خرابی بایستند، تمرکز دارد. این خرابیها میتوانند گسترهای از بلایای طبیعی تا فعالیتهای بدخواهانه باشند. مهندسی امنیت شبیه به دیگر فعالیتهای مهندسی سیستم است که انگیزه اصلی آن پشتیبانی از عرضه راهکارهای مهندسی، که نیازمندیهای کاربر و عملکردهای ازپیش تعریف شده را برآورده میسازد، است. اما این کار را باابعاد اضافهای جهت جلوگیری از سوء استفاده و رفتارهای بدخواهانه انجام میدهد. این محدودیتها در اکثر اوقات به عنوان سیاستهای امنیتی اضافه میشوند.
در بعضی یا چندین فرم، مهندسی امنیت به عنوان یک زمینه اطلاعاتی در برخی از کشورها مورد مطالعه قرار گرفتهاست. برای مثال زمینه قفل سازی و چاپ امنیتی برای چند سال برقرار بودهاست.
با توجه به وقایع ناگوار اخیر، بخصوص فاجعه یازدهم سپتامبر، مهندسی امنیت به سرعت به زمینه پر رونقی تبدیل شد. در تازهترین گزارش که در سال ۲۰۰۶ تکمیل شد تخمین زده شده بود که صنعت جهانی امنیت ارزشی معادل ۱۵۰ میلیارد دلار آمریکا دارد.[1] مهندسی امنیت شامل جنبههایی از علوم اجتماعی، روانشناسی (مثل ساختن سیستمی که بهخوبی از کار بیافتد بجای اینکه تمامی منابع خطا را از بین ببرد) و اقتصاد و همچنین شامل فیزیک، شیمی، ریاضیات، معماری و طراحی میباشد. برخی از تکنیکهای استفاده شده مانند درخت آنالیز خطا برگرفته از مدیریت ایمنی میباشد.[2] Some of the techniques used, such as fault tree analysis, are derived from safety engineering.
سایر تکنیکها مثل رمزنگاری قبل از این محدود به برنامههای نظامی بود. یکی از پیشگامان مهندسی امنیت به عنوان یک زمینه رسمی برای مطالعه راس اندرسون میباشد.
صلاحیتها
چند نوع صلاحیت برای مهندس امنیت به شرح زیر میباشد:
- مهندس متخصص بخدمت گرفته شده
- متخصص گواهی شده محافظت(CPP)، گواهی بینالمللی توسط ASIS
- متخصص امنیت فیزیکی(PSP)، گواهی بینالمللی توسط ASIS
- متخصص گواهی شده امنیت سیستمهای اطلاعاتی(CISSP)
با این وجود چندین گواهی، یا چندین فرد دارای گواهی که با یکدیگر کار میکنند میتوانند راه حلهای کاملتری ارائه دهند.[3]
حالت امنیتی
دو حالت پیش فرض ممکن روی مسائل امنیتی به شرح زیر است:
۱. رد پیش فرض: هر چیزی که بهطور آشکار مجاز نباشد، ممنوع است.
- این گزینه امنیت را افزایش میدهد و گزیه مناسبی است همگامی که شما با تهدیدات فراوانی روبرو هستید.
۲. قبول پیش فرض: هرچیزی که بهطور آشکار ممنوع نباشد، مجاز است.
- این گزینه به شما عملکرد بهتری را با قربانی کردن امنیت ارائه میکند.
- گزینه مناسبی است وقتی محیط شما بدون تهدید امنیتی است یا تهدیدات آن جزئی است.
فعالیتهای هسته
- آنالیز نیازمندیهای امنیتی
- کدینگ ایمن
- تست امنیتی
- مهندسی چرخه حیات محصول
- اقتصاد امنیت
زمینههای زیر مجموعه
- امنیت فیزیکی
- از دسترسی حمله کنندگان به منابع، اطلاعات و امکانات ذخیره شده بر روی مدیای فیزیکی جلوگیری میکند.
- امنیت اطلاعات
- دادهها را از دسترسی، استفاده، انتشار، دستکاری یا قطع دسترسی غیرمجاز حفظ میکند.
- عکسالعمل حفاظت تکنیکی
- اقتصاد امنیت
- جنبه اقتصادی امنیت رایانه و امنیت فضای خصوصی.
جستارهای وابسته
- اصالتسنجی
- رمزنگاری
- تحلیل رمز
- مهندسی زمینلرزه
- کرک کردن نرمافزار
- مهندسی سامانهها
- سیستم مورد اعتماد
- کنترل دسترسی
- کسب اجازه
- دستگاه قفل
- محرمانگی
- امنیت
- فریب
- کلاهبرداری
- پنهاننگاری
- مهندسی اجتماعی
- اصل کیرشهف
مطالعه بیشتر
- Ross Anderson (2001). Security Engineering. Wiley. ISBN 0-471-38922-6.
- Ross Anderson (2008). Security Engineering - A Guide to Building Dependable Distributed Systems. Wiley. ISBN 0-470-06852-3.
- Ross Anderson (2001). "Why Information Security is Hard - An Economic Perspective"
- Bruce Schneier (1995). Applied Cryptography (2nd edition ed.). Wiley. ISBN 0-471-11709-9.
- Bruce Schneier (2000). Bruce Schneier. Wiley. ISBN 0-471-25311-1.
- David A. Wheeler (2003). "Secure Programming for Linux and Unix HOWTO". Linux Documentation Project. Retrieved 2005-12-19.
مقالات
منابع
- "Data analytics, networked video lead trends for 2008". SP&T News. CLB MEDIA INC. Retrieved 2008-01-05.
- "Landscaping for security". Sunset. 1988. Archived from the original on 18 July 2012. Retrieved 26 November 2013.
- http://www.asla.org/safespaces/pdf/design_brochure.pdf