دانلود رایگان ترجمه مقاله اثرات مجازی سازی در امنیت اطلاعات (ساینس دایرکت – الزویر 2015)

مبتدی (مناسب برای درک مفهوم کلی مطلب) 

استاندارد ISO / IEC 27001 از چرخه PDCA (طرح، انجام کار، بررسی و عمل) پیروی می‎کند و شامل 11 زمینه کنترل است. این زمینه‌ها عبارتند از (1) سیاست امنیتی، (2) سازمان امنیت اطلاعات، (3) مدیریت دارایی، (4) امنیت منابع انسانی، (5) امنیت فیزیکی و محیطی، (6) ارتباطات و مدیریت عملیات، (7) کنترل دسترسی، کسب سیستم‌های اطلاعات، (8) توسعه و تعمیر و نگهداری، (9) مدیریت حادثه امنیت اطلاعات، (10) مدیریت تداوم کسب‌وکار و (11) پیروی [4،77]. این استاندارد ارزیابی و حسابرسی پایه برای ایجاد، پیاده‌سازی و نگهداری ISMS است. تعدادی از مراجع صدور گواهینامه در سراسر جهان توسط ادارات استاندارد ملی برای انطباق ممیزی با ISO / IEC 27001 و گواهی موضوع به سازمان‌های شرکت‌کننده به رسمیت شناخته شده‌اند.

2.2. فن‌آوری‌های مجازی‌سازی
مفهوم مجازی‌سازی در سال 1960 زمانی که هزینه رایانه‌های بزرگ بسیار گران قیمت بود سرچشمه گرفته است. آی بی ام یک پردازنده مرکزی بزرگ یونیکس را به چند واحد منطقی تقسیم کرده است که کاربران را قادر به استفاده کامل از یک منبع محاسباتی پردازنده مرکزی می‌کند [63]. هر واحد منطقی در اصل یک ماشین مجازی (VM) و یا یک سیستم عامل مهمان (OS) است. همان طورکه سیستم عامل و یا سخت‌افزار کامپیوترهای پردازنده مرکزی ممکن است سازگاری مختلفی با ماشین‌های مجازی داشته باشند، یک مانیتور ماشین مجازی، به نام هایپروایزر، ممکن است به عنوان رابط بین ماشین‌های مجازی و سخت‌افزار فیزیکی مورد نیاز باشد[29]. همانطور که در شکل 1 نشان داده شده است، هر ماشین مجازی دارای منابع مجازی از جمله پورت I / O و کانال DMA است و این ماشین‌های مجازی قادر به اجرا در هر سیستم‌عاملی از طریق هایپروایزر هستند، همان‌گونه که سخت‌افزار توسط سیستم‌عامل [29] پشتیبانی می‌شود. به عبارت دیگر، هایپروایزر کلید است. به‌عنوان مثالی در راه حل VMware، هایپروایزر VMware، به‌نام لایه مجازی‌سازی VMware، قادر به میزبانی چندین ماشین مجازی با یک پردازنده به اشتراک گذاشته، حافظه، درایور شبکه و فضای هارد دیسک است. از سوی دیگر، هایپروایزر به ناچار باید در مورد آسیب‌پذیری امنیتی اطلاعاتی داشته باشد و حساس به حملات هکر باشد، بنابراین نیاز به یک سطح بالاتری از مدیریت امنیت اطلاعات دارد [21].
فن‌آوری‌های مجازی‌سازی در سال‌های اخیر به‌طور فزاینده‌ای افزایش یافته‌اند و تحقیقات در این زمینه در حال ظهور هستند. جدول 2 چند موضوعات تحقیقاتی مرتبط را ارائه می‌کند. به‌طورخاص، از نظر امنیت اطلاعات، مطالعه وان نیکولز [69] اشاره به مجازی‌سازی جهت ایجاد چالش‌های خاصی برای سازمان‌ها کرده است و پیشنهاد کرده است که سازمان باید در سیستم‌های مجازی‌سازی خود را برای مسائل امنیتی مختلف دقیق‌تر نگاه کند. Hoesing [22] در بررسی خود از ارزیابی امنیتی تکنیک‌های مجازی‌سازی بیشتر استدلال کرده است که خطرات امنیتی مجازی‌سازی از یک محیط سرور فیزیکی نشات می‌گیرد، که با مجازی‌سازی با توجه به سرعت و سهولت استقرار منابع محاسباتی و ابزار مجازی‌سازی منحصربه‌فرد تقویت می‌شود. هوانگ و همکارانش [24] اثرات امنیتی شناخته شده مجازی‌سازی بر روی یک بستر شبکه را بررسی کردند و پیشنهاد کردند که تنظیمات صحیح، بهینه‌سازی مناسب و مدیریت اتصال باید در جهت به حداقل رساندن اثرات امنیتی اجرا شود. Zissis و Lekkas [76] عمده مسائل امنیتی مجازی‌سازی در محاسبات ابری را مورد ارزیابی قرار دادند و یک بخش سومی به‌عنوان راه‌حلی برای ارائه سرویس‌های امنیتی پایان به پایان با ایجاد سطح اعتماد لازم در سراسر شبکه پیشنهاد دادند.
از سوی دیگر، مجازی‌سازی نیز طرح‌های جدیدی از امنیت اطلاعات را به ارمغان می‌آورد. به‌عنوان مثال، Christodorescu و همکارانش [11] یک سیستم نظارت امنیتی ابر با طراحی جای دادن نظارت سیستم روی یک ماشین مجازی و نظارت بر سیستم ابر از خارج و از طریق مجازی ماشین درون نگری ارئه دادند.

چنین نظارت درون‌نگری اجازه می‌دهد تا ارزیاب، نظارت بر VM مهمان را در هر زمان از چرخه زندگی خود بدون دانستن سیستم عامل مهمان در پیشبرد و ارزیابی کد منبع سیستم‌عامل انجام دهد، که برای هر دو سیستم‌عامل ویندوز و لینوکس مناسب است [11]. لی و همکارانش [36] CyberGuarder را پیشنهاد دادند، که یک معماری تضمین امنیت مبتنی بر مجازی‌سازی برای محاسبات ابری سبز بود. CyberGuarder برای اجرا برروی سیستم‌عامل نرم‌افزار شبکه برای ارائه سه سرویس طراحی شده است: سرویس امنیت ماشین‌های مجازی، سرویس امنیت شبکه مجازی و یک مدیریت اعتماد مبتنی بر سیاست سرویس، و آزمون مقدماتی از CyberGuarder نتایج امیدوارکننده‌ای نشان داد [36].

3. روش تحقیق
پژوهش حاضر تاثیرات مجازی‌سازی در امنیت اطلاعات را مطالعه می‌کند. در بخش آتی، طرح پژوهش، پرسشنامه طراحی شده، افراد تحقیق و نمونه‌گیری و روش تجزیه و تحلیل بیان شده‌اند. به‌طورخاص، در طراحی پرسشنامه از تجزیه و تحلیل نسبت اعتبار محتوا (CVR) برای استخراج موارد مهم پرسشنامه از ISO / IEC 27001 استفاده شده است [34]. در این مطالعه، موارد توسط هیئتی از کارشناسان موضوع (SAES) بررسی شده‌اند.

3.1. طرح پژوهش
چارچوب تحقیق تحت کنترل ISO / IEC 27001 توسعه یافته است. شکل2 چارچوب تحقیق در این مطالعه را نشان می‌دهد. از طریق بررسی یک expertpanel با استفاده از تجزیه و تحلیل CVR، موارد پرسشنامه استخراج و متغیرهای وابسته یا مستقل شناخته شده‌اند.

3.2. موارد پژوهش و نمونه‌برداری
این مطالعه مستلزم مواردی دارای سطح خاصی از درک در مورد محیط مجازی‌سازی اطلاعات است. موارد تحقیق، روش نمونه‌گیری و نمونه گردش کار با جزئیات در بخش زیر شرح داده شده است.

3.2.1. موارد پژوهش
با چنین موضوع تحقیقی در مورد تکنولوژی خاصی، افراد این تحقیقات به متخصصان فناوری اطلاعات با درک درستی از محیط مجازی‌سازی اطلاعات محدود می‌شوند. بنابراین، این مطالعه جمعیت مورد تحقیق خود را از میان افراد صنعت IT و فناوری اطلاعات که در کار حرفه‌ای هستند انتخاب می‌کند.

3.2.2. نمونه‌ برداری
نمونه‌برداری هدفمند، که پاسخ‌دهندگان به نظرسنجی از میان افراد حرفه‌ای انتخاب می‌شوند، برای ارائه یک بحث عمق در مورد مسائل مربوط به تمرکز پژوهشی به کار گرفته شده توسط این مطالعه برای استخراج اطلاعات در مورد تاثیر مجازی‌سازی در امنیت اطلاعات است. هر دو پرسشنامه کاغذی و مبتنی بر وب بین افراد انتخاب شده توزیع می‌شود. سوالات در ابتدای پرسشنامه برای فیلتر کردن کسانی است که دانش کافی از مجازی‌سازی دارند. توزیع و جمع‌آوری پرسشنامه‌ها در یک زمان خاصی در حدود 6 هفته پایان می‌یابد. در مجموع 133 پرسشنامه مبتنی بر وب معتبر از میان 400 ایمیل دعوت‌نامه جمع آوری می‌شود. علاوه براین، 17 پرسشنامه معتبر مبتنی بر کاغذ از 20 پرسشنامه توزیع‌شده جمع‌آوری می‌شود. در نتیجه، تعداد کل پرسشنامه‌های معتبر 150 است.

3.3. طراحی ابزار اندازه‌گیری برای این پژوهش
3.3.1. طراحی پرسشنامه
این پژوهش در نظر دارد تاثیرات امنیت اطلاعات توسط مجازی‌سازی را مورد مطالعه قرار دهد. استاندارد ISO / IEC 27001 به‌عنوان چارچوبی برای سیستم‌های مدیریت امنیت اطلاعات به‌کار می‍‌شود. همانطور که پیش از این بحث شد، این تحقیق یک ارزیابی و حسابرسی ابزار پذیرفته شده برای امنیت سیستم‌های اطلاعاتی است. لذا این مطالعه، پرسشنامه‌ی پژوهش را براساس 133 کنترل استاندارد ISO / IEC 27001 توسعه می‌دهد. برای انتخاب موارد پرسشنامه از 133 کنترل، این مطالعه، تجزیه و تحلیل نسبت اعتبار محتوای (CVR) پیشنهاد شده توسط Lawshe [1،20،27،34] را برای بررسی اهمیت هر کنترل برای اهداف پژوهش به کار برده است.

3.3.2. محتویات پرسشنامه
پرسشنامه شامل سه بخش است (1) شخصی اطلاعات – از جمله جنس پاسخ‌دهنده، سن، پس زمینه آموزشی، عنوان شغلی، و زمان اشتغال در یک حوزه مربوط به IT؛ (2) اطلاعات شرکت – از جمله بخش صنعت، نوع کسب و کار کارمندان، مقیاس شرکت و تعدادی از فناوری‌های مربوط به شرکت مخاطب و (3) “بررسی امنیت اطلاعات سیستم اطلاعات مجازی‌سازی شده”- حاوی سوالات اقتباسی از 32 مورد واجد شرایط در کنترل ISO / IEC 27001 در مورد محیط اطلاعات مجازی‌سازی شده و امنیت اطلاعات. این مطالعه از یک مقیاس لیکرت 7 نقطه با ارزش از 1 تا 7 برای نشان دادن”بسیار مضر”، “مضر”، “کمی مضر”، “بی‌ربط”، “کمی مفید”، “مفید” و “بسیار مفید”، به‌منظور ارزیابی نظر مخاطب در مورد تاثیر مجازی‌سازی در هر یک از آیتم‌های پرسشنامه استفاده می‌کند. هر یک از آیتم‌های پرسشنامه نشان‌دهنده یکی از 32 کنترل ISO / IEC 27001 است، نمره بالا به معنی این است که مخاطب معتقد است اجرای مجازی‌سازی محیط اطلاعاتی در امنیت اطلاعات مفید است، درحالی که یک نمره کم نشان‌دهنده‌ی این است که مخاطب بر این باور است که اجرای محیط اطلاعات مجازی‌سازی ممکن است به نتیجه‌ی امنیت اطلاعات آسیب برساند.