مهندسی امنیت

مهندسی امنیت یک زمینه تخصصی از شاخه مهندسی می‌باشد که بر روی جنبه‌های امنیتی در طراحی سیستم‌هایی که لازم است بتوانند با قدرت در مقابل منابع خرابی بایستند، تمرکز دارد. این خرابی‌ها می‌توانند گستره‌ای از بلایای طبیعی تا فعالیت‌های بدخواهانه باشند. مهندسی امنیت شبیه به دیگر فعالیت‌های مهندسی سیستم است که انگیزه اصلی آن پشتیبانی از عرضه راهکارهای مهندسی، که نیازمندی‌های کاربر و عملکردهای ازپیش تعریف شده را برآورده می‌سازد، است. اما این کار را باابعاد اضافه‌ای جهت جلوگیری از سوء استفاده و رفتارهای بدخواهانه انجام می‌دهد. این محدودیت‌ها در اکثر اوقات به عنوان سیاست‌های امنیتی اضافه می‌شوند.

در بعضی یا چندین فرم، مهندسی امنیت به عنوان یک زمینه اطلاعاتی در برخی از کشورها مورد مطالعه قرار گرفته‌است. برای مثال زمینه قفل سازی و چاپ امنیتی برای چند سال برقرار بوده‌است.

با توجه به وقایع ناگوار اخیر، بخصوص فاجعه یازدهم سپتامبر، مهندسی امنیت به سرعت به زمینه پر رونقی تبدیل شد. در تازه‌ترین گزارش که در سال ۲۰۰۶ تکمیل شد تخمین زده شده بود که صنعت جهانی امنیت ارزشی معادل ۱۵۰ میلیارد دلار آمریکا دارد.^[۱] مهندسی امنیت شامل جنبه‌هایی از علوم اجتماعی، روانشناسی (مثل ساختن سیستمی که به‌خوبی از کار بیافتد بجای اینکه تمامی منابع خطا را از بین ببرد) و اقتصاد و همچنین شامل فیزیک، شیمی، ریاضیات، معماری و طراحی می‌باشد. برخی از تکنیک‌های استفاده شده مانند درخت آنالیز خطا برگرفته از مدیریت ایمنی می‌باشد.^[۲] Some of the techniques used, such as fault tree analysis, are derived from safety engineering.

سایر تکنیک‌ها مثل رمزنگاری قبل از این محدود به برنامه‌های نظامی بود. یکی از پیشگامان مهندسی امنیت به عنوان یک زمینه رسمی برای مطالعه راس اندرسون می‌باشد.

چند نوع صلاحیت برای مهندس امنیت به شرح زیر می‌باشد:

• مهندس متخصص بخدمت گرفته شده
• متخصص گواهی شده محافظت(CPP)، گواهی بین‌المللی توسط ASIS
• متخصص امنیت فیزیکی(PSP)، گواهی بین‌المللی توسط ASIS
• متخصص گواهی شده امنیت سیستم‌های اطلاعاتی(CISSP)

با این وجود چندین گواهی، یا چندین فرد دارای گواهی که با یکدیگر کار می‌کنند می‌توانند راه حل‌های کاملتری ارائه دهند.^[۳]

دو حالت پیش فرض ممکن روی مسائل امنیتی به شرح زیر است:

۱. رد پیش فرض: هر چیزی که به‌طور آشکار مجاز نباشد، ممنوع است.

این گزینه امنیت را افزایش می‌دهد و گزیه مناسبی است همگامی که شما با تهدیدات فراوانی روبرو هستید.

۲. قبول پیش فرض: هرچیزی که به‌طور آشکار ممنوع نباشد، مجاز است.

این گزینه به شما عملکرد بهتری را با قربانی کردن امنیت ارائه می‌کند.

گزینه مناسبی است وقتی محیط شما بدون تهدید امنیتی است یا تهدیدات آن جزئی است.

• آنالیز نیازمندی‌های امنیتی
• کدینگ ایمن
• تست امنیتی
• مهندسی چرخه حیات محصول
• اقتصاد امنیت

• امنیت فیزیکی
• از دسترسی حمله کنندگان به منابع، اطلاعات و امکانات ذخیره شده بر روی مدیای فیزیکی جلوگیری می‌کند.
• امنیت اطلاعات
• داده‌ها را از دسترسی، استفاده، انتشار، دستکاری یا قطع دسترسی غیرمجاز حفظ می‌کند.
• عکس‌العمل حفاظت تکنیکی
• اقتصاد امنیت
• جنبه اقتصادی امنیت رایانه و امنیت فضای خصوصی.

• اصالت‌سنجی
• رمزنگاری
• تحلیل رمز
• مهندسی زمین‌لرزه
• کرک کردن نرم‌افزار
• مهندسی سامانه‌ها
• سیستم مورد اعتماد
• کنترل دسترسی
• کسب اجازه
• دستگاه قفل
• محرمانگی
• امنیت
• فریب
• کلاهبرداری
• پنهان‌نگاری
• مهندسی اجتماعی
• اصل کیرشهف

• Ross Anderson (2001). Security Engineering. Wiley. ISBN 0-471-38922-6.
• Ross Anderson (2008). Security Engineering - A Guide to Building Dependable Distributed Systems. Wiley. ISBN 0-470-06852-3.
• Ross Anderson (2001). "Why Information Security is Hard - An Economic Perspective"
• Bruce Schneier (1995). Applied Cryptography (2nd edition ed.). Wiley. ISBN 0-471-11709-9. {{cite book}}: |edition= has extra text (help)
• Bruce Schneier (2000). Bruce Schneier. Wiley. ISBN 0-471-25311-1.
• David A. Wheeler (2003). "Secure Programming for Linux and Unix HOWTO". Linux Documentation Project. Retrieved 2005-12-19.

• patterns & practices Security Engineering on Channel9
• patterns & practices Security Engineering on MSDN
• patterns & practices Security Engineering Explained
• Basic Target Hardening from the Government of South Australia