Information security - part 1

Security කියනකොට ඕන කෙනෙක්ගේ ඔලුවට එකපාරටම එන්නේ ආරක්ෂාව, ආරක්ෂණය වගේ දෙයක්. අපි හැම වෙලාවේම ආරක්ෂා කරන්න බලන්නේ අපිට වටිනා වැදගත් දේවල්. මෙතැනදී මම කියන්න යන්නේ පරිගණක භාවිතයේදී, තොරතුරු හුවමාරු කරන විට සහ සන්නිවේදන කටයුතු වලදී භාවිතා වන ආරක්ෂණ ක්‍රම ගැන.

ඔයා නිතරම පරිගණකය භාවිතා කරන, අන්තර්ජාලය (Internet) භාවිතාකරන කෙනෙක්නම් පරිගණක වෛරස (computer viruses) ගැන අහල ඇති. සමහර විට ඒවා ඔයාගේ පරිගණකයට ඇතුල්වෙච්ච අවස්ථාත් ඇති. ඒවගෙන් බේරෙන්න සමහරවිට ප්‍රතිවෛරස මෘදුකාංග (antivirus software) පාවිච්චි කරනවත් ඇති. වෛරස පරිගණකයට එන්න පුලුවන් ක්‍රම ගොඩක් තියනවා. ඒවා අතරින් අන්තර්ජාල භාවිතයෙන් සහ දත්ත හුවමාරු කරගන්න පාවිච්චි කරන pen drives වගේ උපකරණ වලින් වෛරස පැතිරීමේ අවදානම වැඩියි. ඒ නිසා අඩුම ගානේ නොමිලේ download කර install කරගන්න පුලුවන් antivirus software එකක්වත් පාවිච්චි කරන එකෙන් මේ අවදානම අඩු කරගන්න පුළුවන්. හැබැයි මතක ඇතුව update කරන්නත් ඕන. නැත්තන් අලුතෙන් එන වෛරස හදුනා ගන්ඩ antivirus එකට බැරී වෙනවා.

හැබැයි information security වලට බලපාන්නේ මේ වෛරස් විතරක් නෙමේ. අපේ පරිගණක වල තියන වැදගත් ලිපිගොනු වගේ දේවල් අපේ දැනුවත් වීමකින් තොරව වෙන පුද්ගලයන් හොරෙන් ලබාගන්ඩ හැකියාව තියනවා. අනෙක් එක තමයි කව්රුවත් ගත්තේ නැති උනත් අපි පාවිච්චි කරන දත්ත ගබඩා කරන උපකරණ (data storage media) නිසි ප්‍රමිතියකට නැති උනොත් හරි අපි හරි විදියට පාවිච්ච් කරේ නැත්තන් හරි අපේ දත්ත විනාශ වෙන්න පුළුවන්.

යම් පරිගණකයක් හෝ පරිගණක පද්ධතියක් ආරක්‍ෂිත (secured) නම් තියෙන්න ඕන අත්‍යවශ්‍ය අංග 3ක් තියනවා. මේ අංග CIA Triad කියලත් හදුන්වනවා.

Confidentiality

            මේකෙන් කියන්නේ දත්ත/තොරතුරු වල රහස්‍ය භාවය නැත්නම් විශ්වසනීය භාවයි. උදාහරණයක් විදියට බැංකුවක් ගත්තොත් එකේ computer system එකේ බැංකුවත් එක්ක ගනුදෙනු කරන අයගේ account numbers, visa cards වල pin numbers වගේ දේවල් තියනවා. අනෙක් දේ තමයි ගොඩක් අය internet එක හරහා තමයි දැන් ගණුදෙනු කරන්නේ. එතකොට ඒ අයගේ usernames, passwords වගේ ඒවා අනික් users ලට පෙනුනොත් හරි ඒවා ඕන කෙනෙකුට දැනගන්න පුලුවන් උනොත් හරි එතන රහස්‍ය භාවය නැති වෙලා තියනවා. ඒක නිසා තොරතුරු දැනගැනීමේ අයිතිය ඊට අදාල පුද්ගලයන්ට (authorized parties) පමණක් ලබා දිය යුතුයි. ඒක නිසා රහස්‍ය භාවය (confidentiality) ඉතා වැදගත්.

Integrity

            මේකෙන් කියන්නේ දත්ත/තොරතුරු වල නිරවද්‍ය භාවයයි. කලින් උදාහරණයේ බැංකුව සමග අන්තර්ජාලය හරහා ගණුදෙනු කරන කෙනෙක් ගත්තොත් තමන්ගේ savings account එකේ details බලද්දී තියෙන මුදල් ප්‍රමාණය වගේ දේවල් වැරදියට පෙන්නුවොත් වගේ දෙයක් උනොත් අන්න එතන නිරවද්‍ය බව නැති වෙලා තියනවා. එක නිසා නිරවද්‍ය බවත් (integrity) වැදගත් වෙනවා.

Availability

            මේකෙන් කියන්නේ එම පරිගණක පද්ධතිය අවශ්‍ය වෙලාවට පාවිච්චි කිරීමට ඇති හැකියාවයි. ඉහත උදාහරණයම ගත්තොත් ඉහත කරුණු දෙකම තිබුනත් අවශ්‍ය වෙලාවට අන්තර්ජාලය හරහා ඒ පුද්ගලයාට ගණුදෙනු කිරීමට ඉඩ දෙන්නේ නැත්නම් හෝ හැම වෙලාවේම system එක crash වෙනවානම් එම පරිගණක පද්ධතියෙන් නිසි ප්‍රයෝජනය ගන්න බැරී වෙනවා. ඒක නිසා availability කියන දේ සැහෙන්න වැදගත් වෙනවා.

ඉතින් මේ දේවල් ඇති වෙන විදියට පරිගණකයක් හෝ පරිගණක පද්ධතියක් ආරක්ෂා කරගන්න පාවිච්චි කරන ක්‍රම ගැන මම ඊළඟ ලිපියෙන් කියන්න බලාපොරොත්තු වෙනවා.