مهندسی امنیت یک زمینه تخصصی از شاخه مهندسی می‌باشد که بر روی جنبه‌های امنیتی در طراحی سیستم‌هایی که لازم است بتوانند با قدرت در مقابل منابع خرابی بایستند، تمرکز دارد. این خرابی‌ها می‌توانند گستره‌ای از بلایای طبیعی تا فعالیت‌های بدخواهانه باشند. مهندسی امنیت شبیه به دیگر فعالیت‌های مهندسی سیستم است که انگیزه اصلی آن پشتیبانی از عرضه راهکارهای مهندسی، که نیازمندی‌های کاربر و عملکردهای ازپیش تعریف شده را برآورده می‌سازد، است. اما این کار را باابعاد اضافه‌ای جهت جلوگیری از سوء استفاده و رفتارهای بدخواهانه انجام می‌دهد. این محدودیت‌ها در اکثر اوقات به عنوان سیاست‌های امنیتی اضافه می‌شوند.

در بعضی یا چندین فرم، مهندسی امنیت به عنوان یک زمینه اطلاعاتی در برخی از کشورها مورد مطالعه قرار گرفته‌است. برای مثال زمینه قفل سازی و چاپ امنیتی برای چند سال برقرار بوده‌است.

با توجه به وقایع ناگوار اخیر، بخصوص فاجعه یازدهم سپتامبر، مهندسی امنیت به سرعت به زمینه پر رونقی تبدیل شد. در تازه‌ترین گزارش که در سال ۲۰۰۶ تکمیل شد تخمین زده شده بود که صنعت جهانی امنیت ارزشی معادل ۱۵۰ میلیارد دلار آمریکا دارد.[۱] مهندسی امنیت شامل جنبه‌هایی از علوم اجتماعی، روانشناسی (مثل ساختن سیستمی که به‌خوبی از کار بیافتد بجای اینکه تمامی منابع خطا را از بین ببرد) و اقتصاد و همچنین شامل فیزیک، شیمی، ریاضیات، معماری و طراحی می‌باشد. برخی از تکنیک‌های استفاده شده مانند درخت آنالیز خطا برگرفته از مدیریت ایمنی می‌باشد.[۲] Some of the techniques used, such as fault tree analysis, are derived from safety engineering.

سایر تکنیک‌ها مثل رمزنگاری قبل از این محدود به برنامه‌های نظامی بود. یکی از پیشگامان مهندسی امنیت به عنوان یک زمینه رسمی برای مطالعه راس اندرسون می‌باشد.

صلاحیت‌ها

ویرایش

چند نوع صلاحیت برای مهندس امنیت به شرح زیر می‌باشد:

  • مهندس متخصص بخدمت گرفته شده
  • متخصص گواهی شده محافظت(CPP)، گواهی بین‌المللی توسط ASIS
  • متخصص امنیت فیزیکی(PSP)، گواهی بین‌المللی توسط ASIS
  • متخصص گواهی شده امنیت سیستم‌های اطلاعاتی(CISSP)

با این وجود چندین گواهی، یا چندین فرد دارای گواهی که با یکدیگر کار می‌کنند می‌توانند راه حل‌های کاملتری ارائه دهند.[۳]

حالت امنیتی

ویرایش

دو حالت پیش فرض ممکن روی مسائل امنیتی به شرح زیر است:

۱. رد پیش فرض: هر چیزی که به‌طور آشکار مجاز نباشد، ممنوع است.

این گزینه امنیت را افزایش می‌دهد و گزیه مناسبی است همگامی که شما با تهدیدات فراوانی روبرو هستید.

۲. قبول پیش فرض: هرچیزی که به‌طور آشکار ممنوع نباشد، مجاز است.

این گزینه به شما عملکرد بهتری را با قربانی کردن امنیت ارائه می‌کند.
گزینه مناسبی است وقتی محیط شما بدون تهدید امنیتی است یا تهدیدات آن جزئی است.

فعالیت‌های هسته

ویرایش
  • آنالیز نیازمندی‌های امنیتی
  • کدینگ ایمن
  • تست امنیتی
  • مهندسی چرخه حیات محصول
  • اقتصاد امنیت

زمینه‌های زیر مجموعه

ویرایش
  • امنیت فیزیکی
  • از دسترسی حمله کنندگان به منابع، اطلاعات و امکانات ذخیره شده بر روی مدیای فیزیکی جلوگیری می‌کند.
  • امنیت اطلاعات
  • داده‌ها را از دسترسی، استفاده، انتشار، دستکاری یا قطع دسترسی غیرمجاز حفظ می‌کند.
  • عکس‌العمل حفاظت تکنیکی
  • اقتصاد امنیت
  • جنبه اقتصادی امنیت رایانه و امنیت فضای خصوصی.

جستارهای وابسته

ویرایش

مطالعه بیشتر

ویرایش
  • Ross Anderson (2001). Security Engineering. Wiley. ISBN 0-471-38922-6.
  • Ross Anderson (2008). Security Engineering - A Guide to Building Dependable Distributed Systems. Wiley. ISBN 0-470-06852-3.
  • Ross Anderson (2001). "Why Information Security is Hard - An Economic Perspective"
  • Bruce Schneier (1995). Applied Cryptography (2nd edition ed.). Wiley. ISBN 0-471-11709-9. {{cite book}}: |edition= has extra text (help)
  • Bruce Schneier (2000). Bruce Schneier. Wiley. ISBN 0-471-25311-1.
  • David A. Wheeler (2003). "Secure Programming for Linux and Unix HOWTO". Linux Documentation Project. Retrieved 2005-12-19.

مقالات

ویرایش

منابع

ویرایش
  1. "Data analytics, networked video lead trends for 2008". SP&T News. CLB MEDIA INC. Retrieved 2008-01-05. [پیوند مرده]
  2. "Landscaping for security". Sunset. 1988. Archived from the original on 18 July 2012. Retrieved 26 November 2013.
  3. http://www.asla.org/safespaces/pdf/design_brochure.pdf