સુરક્ષા મોડેલ

સુરક્ષા મોડેલ એ એક એવું કમ્પ્યુટર મોડેલ છે જેનો ઉપયોગ સુરક્ષા નીતિઓને ઓળખવા અને લાદવા માટે કરવામાં આવે છે. તેને એક્સેસ રાઇટ મોડેલ અથવા વિતરિત કમ્પ્યુટિંગ મોડેલ અથવા ગણતરીના મોડેલ પર સ્થાપિત કરી શકાય તે પહેલાંની કોઈપણ રચનાની જરૂર નથી.

Photo : https://www.ibmbigdatahub.com/

અસંખ્ય નબળાઈઓમાં આધુનિક રીઅલ-વર્લ્ડ વેબ એપ્લિકેશનોને કલંકિત કરવાનું વલણ છે, જેનાથી હુમલાખોરોને સંવેદનશીલ માહિતી પ્રાપ્ત કરવામાં અને માલવેર પ્રવૃત્તિઓના પ્લેટફોર્મ તરીકે અસલી વેબ એપ્લિકેશનોનું શોષણ કરવામાં આવે છે. તદુપરાંત, કમ્પ્યુટિંગ તકનીકોનો વિકાસ ડેસ્કટોપ કમ્પ્યુટર સિસ્ટમોથી સ્માર્ટફોન, સ્માર્ટ ઘડિયાળો અને ગોગલ્સ જેવા ઉપકરણોમાં થાય છે. આની ખાતરી કરવાની જરૂર છે કે આ ઉપકરણો તેમની ઉપયોગીતામાં સુધારો કરે છે અને વપરાશકર્તાઓના વ્યક્તિગત ઓળખપત્રો (જેમ કે ક્રેડિટ કાર્ડ નંબર, ટ્રાંઝેક્શન પાસવર્ડ્સ, વગેરે) પર હુમલો કરવા માટે તેનો ઉપયોગ કરવામાં આવશે નહીં. તેથી, વપરાશકર્તાના ઓળખપત્રો પર સુરક્ષા આર્કિટેક્ચરની જરૂર છે જેથી કોઈ અનધિકૃત વપરાશકર્તા તેને એક્સેસ ન કરી શકે. કમ્પ્યુટર અને સાયબર વર્લ્ડની સુરક્ષા સુનિશ્ચિત કરવા માટે આવા સુરક્ષા મોડેલો ખૂબ જરૂરી છે.

પરિચય

વર્લ્ડ વાઇડ વેબ (WWW) ના સમકાલીન યુગમાં,ઓનલાઇન ઇન્ટરનેટ સુવિધાઓ વિવિધ સમુદાય સાથે સંકળાયેલા દરેક મનુષ્ય દ્વારા સરળતાથી ઉપલબ્ધ થઈ રહી છે. સોશિયલ નેટવર્કિંગ સાઇટ્સ,ઓનલાઇન શોપિંગ સાઇટ્સ, ઇન્ટરનેટ બેંકિંગ અને અન્ય તમામ વ્યાપક આધુનિક વેબ એપ્લિકેશનનો સતત તેજી વપરાશકર્તાઓને સમાવિષ્ટોની ગતિશીલ એક્સેસ પ્રદાન કરે છે અને તેનાથી યુઝર દ્વારા જનરેટ કરેલા એચટીએમએલ સમાવિષ્ટોનો ઉપયોગ વધ્યો છે. ક્રોસ-સાઇટ સ્ક્રિપ્ટીંગ (XSS) હુમલા (Gupta, 2015a; Gupta, 2015b; Gupta, 2015c; Gupta, 2015d) જેવી ટોચની નબળાઈઓ આધુનિક વેબ 2.0 એપ્લિકેશન માટે એક ઉપદ્રવ હોવાનું બહાર આવ્યું છે. XSS એટેકનું શોષણ નબળા વેબ એપ્લિકેશન્સ (Gupta, 2012a; Gupta, 2012b; Gupta, 2014) ના ઇન્જેક્શન પોઇન્ટ્સ પર દૂષિત જાવાસ્ક્રિપ્ટ કોડ (Gupta, 2016) ઇન્જેક્શન દ્વારા કરવામાં આવે છે.

સુરક્ષાની જરૂર છે

પ્રારંભિક કમ્પ્યુટર્સમાં, સુરક્ષાની જરૂરિયાત એ ડેટા સુધી મર્યાદિત હતી જે કેન્દ્રીય કમ્પ્યુટર સર્વરોમાં સંગ્રહિત હતી. ઇન્ટરનેટ અને સંદેશાવ્યવહાર સિસ્ટમ્સની પ્રગતિ સાથે સંદેશાઓની સુરક્ષાની જરૂરિયાત મુશ્કેલ અને જટિલ બની રહી છે. આજની કમ્પ્યુટર સિસ્ટમોમાં ફક્ત ડેટા અથવા સંદેશાઓની ગોપનીયતા જ હોવી જોઈએ નહીં પણ પ્રાપ્યતા, અખંડિતતા, અવિનંતીકરણ વગેરે જેવા અન્ય પરિબળો પણ આવશ્યક સુરક્ષા પદ્ધતિમાં અધિકૃત વપરાશકર્તાને યુજરનેમ અને પાસવર્ડ પૂરા પાડવાનો સમાવેશ થાય છે; અને તે માહિતીનો ઉપયોગ વપરાશકર્તાને પ્રમાણિત કરવા માટે ઉપયોગમાં લેવાતી બીજી સામાન્ય પદ્ધતિ એ જટિલ ડેટાબેસને એન્ક્રિપ્ટ કરવાની અને ડિક્રિપ્ટની એક્સેસને મંજૂરી આપવી તે છે જેમની પાસે ગુપ્ત કી છે. સંસ્થાઓને વધુ વ્યવહારદક્ષ અને અત્યંત સલામત પદ્ધતિની આવશ્યકતા છે જે સંભવિત હુમલાઓને સફળતાપૂર્વક રોકી શકે છે.

હુમલાખોરો વધુ ને વધુ સુસંસ્કૃત બની રહ્યા છે, તેથી તેમની હરીફાઈને નુકસાન પહોંચાડવા માટે તેમને બહાર પણ જવાની જરૂર નથી. 1982 માં શીત યુદ્ધ દરમિયાન, સીઆઈએએ રશિયામાં સાયબેરીયન ગેસ પાઇપલાઇન સોફ્ટવેર સિસ્ટમમાં કોડ ઇન્જેકટ કર્યો હતો જેથી તેમાં ખામી સર્જી શકે જેના કારણે તેમાં વિસ્ફોટ થયો (ફ્રેન્ચ, 2004). ઇન્ટરનેટની દુનિયામાં કોઈ પણ સુરક્ષિત નથી, યુએસએના પ્રમુખ પણ નથી. 2008 માં રાષ્ટ્રપતિ પદ દરમિયાન, ચાઇના અને રશિયાના શંકાસ્પદ હેકરોએ બરાક ઓબામા અને જ્હોન મેકકેન બંનેના પ્રચારમાં ઉપયોગમાં લેવાતા કમ્પ્યુટર પર હુમલો કર્યો, જેમાં ઇમેઇલ્સ અને ઝુંબેશ ડેટા (લાર્સન, 2013) જેવી સંવેદનશીલ માહિતી શામેલ છે. ભારત એક મોટા આઇટી સર્વિસ પ્રોવાઇડર તરીકે ઉભરી રહ્યું હોવા છતાં, તે સાયબર એટેકથી બચ્યો નથી. 12 જુલાઈ, 2012 ના રોજ, પ્રધાનમંત્રી કાર્યાલય, સંરક્ષણ પ્રધાનો, વિદેશી બાબતો, નાણાં મંત્રાલયો અને ગુપ્તચર એજન્સીઓ જેવા સરકારી અધિકારીઓ સહિત 10,000 થી વધુ લોકોના ઇમેઇલ્સ હેક થયા હતા (સેલ્વન, 2012). મોટી, પ્રખ્યાત કંપનીઓ પણ આ હુમલાથી દૂર નથી. 2014 માં, ઇબેએ ખૂબ મોટા હુમલાઓનો અનુભવ કર્યો હતો કારણ કે હુમલાખોરે પાસવર્ડ, ઇમેઇલ સરનામું,સરનામું, ફોન નંબરો વગેરે જેવા વ્યક્તિગત રેકોર્ડ્સ ચોરવામાં સંચાલિત કર્યું હતું (મેકગ્રેગોર, 2014). આખા વિશ્વમાં દરરોજ અનેક ઘટનાઓ બનતી રહે છે. કેસ્પર્સ્કી એન્ટિવાયરસ કંપની (ફંક, 2013) દ્વારા બનાવેલા અહેવાલ મુજબ, 2013 ના વર્ષમાં તેઓ 5,188,740,554 વપરાશકર્તા કમ્પ્યુટર અને મોબાઇલ ડિવાઇસીસ પરના સાયબર એટેકને નિષ્ફળ બનાવવામાં સફળ રહ્યા. તેથી, આ હુમલાઓ સામે સાયબર સુરક્ષાની કડક જરૂર છે.

સિક્યુરિટી મોડેલ એ એક માળખું છે જેમાં સુરક્ષા નીતિ વિકસિત થાય છે. આ સુરક્ષા નીતિનો વિકાસ કોઈ નીતિના ચોક્કસ સેટિંગ અથવા દાખલાને ધ્યાનમાં રાખીને કરવામાં આવે છે, ઉદાહરણ તરીકે, સત્તાધિકરણના આધારે સુરક્ષા નીતિ, પરંતુ સુરક્ષા મોડેલની મર્યાદામાં બનાવવામાં આવી છે. ઉદાહરણ તરીકે, ઓથેંટીકેશન અને ઓથોરાઇઝેશનના આધારે સિક્યુરિટી મોડેલની રચના,સુરક્ષાના ચાર પરિબળ મોડેલને ધ્યાનમાં લેશે, એટલે કે, પ્રમાણીકરણ, અધિકૃતતા, પ્રાપ્યતા અને પ્રમાણિકતા.

સોશિયલ એન્જિનિયરિંગ: ક્રેડિટ કાર્ડ નંબર, બેંકિંગ માહિતી, વપરાશકર્તા નામો, પાસવર્ડો અને અન્ય  જેવી કેટલીક વ્યક્તિગત માહિતી મેળવવાની આશામાં ગુનેગારો દ્વારા કરવામાં આવતી પ્રવૃત્તિ. સોશિયલ એન્જિનિયરિંગ ઇ-મેલ્સ, મેઇલ અને ફોન કોલ્સનું સ્વરૂપ લઈ શકે છે. સામાજિક ઇજનેરી પ્રવૃત્તિઓના લેખકો વિશ્વાસ કરવા ઇચ્છુક વ્યક્તિઓનું શોષણ કરે છે, ઘણીવાર ખરાબ પરિણામો સાથે. તે ઘણી વખત બિન-તકનીકી માધ્યમો પર આધારીત રહે છે અને વ્યક્તિગત માહિતી છોડવા માટે લોકોને દગો કરે છે. સોશિયલ એન્જિનિયરિંગના ગુનેગારો ઘણીવાર લોકોની સહાયતા માટે લોકોના સારાપણા અને સ્વભાવની વૃત્તિ પર આધાર રાખે છે.

કમ્પ્યુટર સિક્યુરિટી: એક ઇન્ફર્મેશન ટેક્નોલોજી ડેફિનિએશન ટર્મ ઘણીવાર ઘણા નામો દ્વારા સંદર્ભિત કરવામાં આવે છે, ઉદાહરણ તરીકે, માહિતી સુરક્ષા (ઇન્ફોસેક), કમ્પ્યુટર સુરક્ષા અને માહિતી ખાતરી. તેમાં વ્યક્તિગત અને સંગઠન સંપત્તિનું રક્ષણ શામેલ છે, જેમાં હાર્ડવેર અને સોફ્ટવેર શામેલ છે. તેમાં સિસ્ટમો પર સંગ્રહિત ડેટા અને સંક્રમણમાં રહેલા ડેટાનો સમાવેશ થાય છે. તેમાં મેનેજમેન્ટ પ્રક્રિયાઓ, કાર્યવાહી અને નીતિઓ શામેલ છે જે આ સંસાધનોને સુરક્ષિત રાખવા માટે વિકસાવવામાં આવી છે, ઉદાહરણ તરીકે, ડિઝાસ્ટર રીકવરી પ્લાન, બિઝનેસ સાતત્ય યોજના અને તેથી આગળ.

સિક્યુરિટી મોડેલ: સિક્યુરિટી મોડેલ એક ફ્રેમવર્ક છે જેમાં સુરક્ષા નીતિ વિકસિત થાય છે. આ સુરક્ષા નીતિનો વિકાસ કોઈ નીતિના ચોક્કસ સેટિંગ અથવા દાખલાને ધ્યાનમાં રાખીને કરવામાં આવે છે, ઉદાહરણ તરીકે, સત્તાધિકરણના આધારે સુરક્ષા નીતિ, પરંતુ સુરક્ષા મોડેલની મર્યાદામાં બનાવવામાં આવી છે. ઉદાહરણ તરીકે, ઓથેંટીકેશન અને ઓથોરાઇઝેશનના આધારે સિક્યુરિટી મોડેલની રચના, કોઈ સુરક્ષાના ચાર પરિબળ મોડેલને ધ્યાનમાં લેશે, એટલે કે, પ્રમાણીકરણ, અધિકૃતતા, પ્રાપ્યતા અને પ્રમાણિકતા.

ઇન્ફર્મેશન સિસ્ટમ્સનો અભ્યાસક્રમ: ઇન્ફર્મેશન સિસ્ટમ્સનો અભ્યાસક્રમ એ માહિતી પ્રણાલીના ક્ષેત્રમાં જ્ઞાનના મૂળભૂત બાંધાનો સમાવેશ કરતો એક મોડેલ અભ્યાસક્રમ છે. તે વિદ્વાનો, સંશોધકો અને ક્ષેત્રના નેતૃત્વ કરનારા પ્રેક્ટિશનરોની માહિતી સિસ્ટમ સમુદાયની સર્વસંમતિ છે. તેમાં ISના પાંચ મુખ્ય ક્ષેત્રનો સમાવેશ થાય છે, એટલે કે: માહિતી સિસ્ટમ્સ ફંડામેન્ટલ્સ, ઇન્ફર્મેશન સિસ્ટમ્સ થિયરી અને પ્રેક્ટિસ, ઇન્ફર્મેશન ટેકનોલોજી, ઇન્ફર્મેશન સિસ્ટમ્સ ડેવલપમેન્ટ અને ઇન્ફર્મેશન સિસ્ટમ્સ ડીપ્લોયમેન્ટ અને મેનેજમેન્ટ પ્રક્રિયાઓ.

ફિશિંગ: સોશિયલ એન્જિનિયરિંગ પર આધારીત એક પ્રવૃત્તિ, જ્યાં યુજરનેમ, પાસવર્ડ્સ, ક્રેડિટ કાર્ડ નંબર, બેંકિંગ માહિતી અને અન્ય,જેમ કે વ્યક્તિગત માહિતી જાહેર કરવા માટે વ્યક્તિઓના વિશ્વાસપાત્રતાનો ઉપયોગ કરવા માટે કાયમી અથવા ફિશર પ્રયાસ કરે છે. સંદેશાવ્યવહાર કેટલાક માધ્યમો દ્વારા કરવાનો પ્રયાસ કરવામાં આવે છે - ઇ-મેલ, ફોન, પત્રો - પરંતુ મોટેભાગે ઇ-મેઇલ દ્વારા હાથ ધરવામાં આવતી સરળતા અને સંબંધિત સરળતાને લીધે જેમાં ફિશર હજારો ઇ-મેઇલ સરનામાંઓ સાથે મેઇલિંગ સૂચિ મેળવી શકે છે. ફિશીંગ તકનીકો વૈવિધ્યસભર હોય છે અને ઘણી વાર ખૂબ વ્યવસાયિક હોય છે એમ કહેતા હોય છે કે તમારી નાણાકીય સંસ્થાને તમારે તુરંત જ તમારા રેકોર્ડ્સને અપડેટ કરવાની જરૂર છે અથવા તમારું એકાઉન્ટ લોક થઈ જશે. ફિશર્સ ખરેખર તમારી બેંકિંગ સંસ્થાને જાણતા નથી, પરંતુ તેઓ 10,000 ઇ-મેલ મોકલે છે, તેવી સંભાવનાઓ રહેલી છે કે તેમાંથી કેટલાક ઇ-મેઇલ સરનામાંઓ ખરેખર ઈ-મેલમાં નામવાળી સંસ્થા સાથે વ્યવસાય કરે છે. તે અસંદિગ્ધ વ્યક્તિ છે જે આને ઓળખતું નથી, અને તેની નાણાકીય સંસ્થાને કોલ કરવાને બદલે, તેમની કિંમતી માહિતી પ્રસ્તુત કરે છે, ઘણીવાર કોઈ વેબ સાઇટ પર, જે તેમની મુખ્ય સંસ્થા સમાન લાગે છે.

ઓળખ ચોરી : એવી પ્રવૃત્તિ જ્યાં ગુનેગાર નાણાકીય લાભ માટે તેમની પરવાનગી વિના કોઈની વ્યક્તિગત માહિતીનો ઉપયોગ કરે છે.ઉદાહરણ તરીકે ક્રેડિટ કાર્ડ અને મોર્ટગેજ છેતરપિંડી હોઈ શકે છે, જ્યાં પીડિતની આર્થિક રેટિંગના આધારે ગુનેગારને ક્રેડિટ આપવામાં આવે છે. અપરાધીઓ અસંખ્ય રીતે ઓળખ ચોરી કરે છે: ઈ-મેલ્સ, કી લોગર્સ, ઢોંગ, ફોન કોલ્સ અને કોઈ વ્યક્તિના ઘરમાંથી ડીજીટલ ચોરી.

(અન્ય વધુ માહિતી આગળના લેખોમાં ઉલ્લેખ કરેલ જ છે જે વાંચવા વિનંતી )