چکیده
مجازیسازی در صرفهجویی انرژی و منابع بسیار با اهمیت است و همچنین مدیریت اطلاعات مورد نیاز را به سادگی فراهم میکند. بااینحال، مسائل امنیت اطلاعات به یک نگرانی جدی تبدیل شدهاند. پژوهش حاضر به بررسی کسبوکار پس از مجازیسازی از لحاظ امنیت سیستم میپردازد. یک پرسشنامه بر اساس 133 استاندارد اصول مدیریت کنترل ISO / IEC 27001 توسعه داده شده است و یک تکنیک نمونه برای جمع آوری پاسخ از افراد حرفهای در زمینه IT با درک درستی از محیط مجازیسازی اطلاعات به کار گرفته شده است. نتایج به دست آمده نشان میدهد که مجازیسازی ممکن است در بخشهای صنعتی برای در دست گرفتن مسائل مربوط به امنیت اطلاعات مفید واقع شود.
1. معرفی
محاسبات ابری یکی از موضوعات مهم در حوزه IT در قرن 21 ام است. پس از سالها بحث دقیق، محاسبات ابری بهتدریج از معرفی به توسعه نرمافزار تکامل یافته است و در نتیجه به یکی از زمینههای امیدوارکننده در شرکتها تبدیل شده است و صنعت فناوری اطلاعات شروع به سرمایهگذاری گسترده کرده است. ویژگیهای فنآوری محاسبات ابری ممکن است شامل گسترشی بزرگ مقیاس، مقیاسپذیر پویا و مبتنی بر تقاضا باشد که در آن مجازیسازی نقش مهمی ایفا میکند. علاوه بر این، شرکت در جهت اهمیت مجازیسازی و سرمایهگذاری سنگین در اجرای آن شروع به کار می کند [37]. با توجه به بررسی اخیر ESG 2011 IT، بیش از 60 درصد از سازمانهای مورد بررسی هزینههای خود را در نرمافزار مجازیسازی در سال 2011 افزایش خواهند داد [15].
ظاهرا، صنعت فناوری اطلاعات در حال حاضر شروع به پذیرفتن مجازیسازی است. سوال - "چگونه کسب و کار میتواند از مجازیسازی بهره گیرد؟ "هنوز هم یکی از سوالات مهم برای پاسخ دادن است. در میان مزایای بالقوه آن، مجازیسازی در جهت متمرکز و یکپارچهسازی منابع IT کمک میکند. ذخیرهسازی متمرکز دادهها موجب پشتیبانگیری آسان اطلاعات، مانع از افزونگی و بهبود کنترل میشود. همچنین موجب تسهیل انطباق با مقررات و مدیریت IT میشود. در مرحله دوم، مجازیسازی در جهت کاهش تعداد سرویسدهندهها قدم برمیدارد و انجام این کار، منجر به کاهش استفاده از امکانات برق و خنککننده میشود. کاهش تعداد سرورها و استفاده از برق نه تنها میتواند فشار بهره وری مدیریت فناوری اطلاعات را از بین ببرد، بلکه به روند فراگیر استفاده از انرژی سبز جهانی کمک میکند. با این منافع ذکر شده، بسیاری از مسائل وجود دارد که باید به آن پرداخته شود و اجرای یا تصویب مجازیسازی در مورد آن انجام گیرد. بدین معنی که، یکی از مهمترین مسائل ممکن است نگرانیهای امنیتی در مورد ماشینهای مجازی و محیطهای مجازی باشد. تحقیقات اخیر و مطالعات هر دو جنبهی به چالش کشیده شده و مفید از مجازیسازی اطلاعات از لحاظ امنیتی را نشان میدهند [11،22،54،69]. علاوهبراین، بسیار پیشنهاد شده است که اقدامات امنیتی باید اجرا شوند و به عنوان کسبوکاری در جهت مجازیسازی ایفای نقش کنند [42،66]. پیادهسازی اقدامات امنیتی،حال، برای پشتیبانی، ممیزی و نظارت نیاز به مقررات خاص دارد. استاندارد ISO / IEC 27001 [26] در حال حاضر یکی از محبوبترین استانداردهای امنیت اطلاعات پذیرفته شده است در نتیجه به عنوان یک راهنما برای اجرا و ارزیابی اقدامات امنیت اطلاعات مختلف از سیستمهای مجازی بسیار مناسب است.
این مطالعه بر روی تاثیرات محیط اطلاعات مجازیسازی شده در امنیت اطلاعات متمرکز است. کسبوکار ممکن است به علت سوء مدیریت در معرض تهدید و مشکلاتی باشد و اقدامات امنیتی به خطر بیافتد. برای درک کامل تاثیر مجازیسازی در امنیت اطلاعات، پرسشنامهای براساس استاندارد ISO / IEC 27001 برای جمعآوری پاسخ از افراد حرفهای و با تجربه ITدر زمینه مجازیسازی یا یا صنعت خدمات IT طراحی شده است. ترکیبی از استاندارد ISO / IEC27001 و پرسشنامه مبتنی بر دیدگاههای جمعآوری شده یک مسیر جدید برای آدرسدهی و بررسی مسائل مربوط به مجازیسازی و امنیت اطلاعات را فراهم میکند. نتایج بررسی پرسشنامه برای بعد از مجازیسازی و از چشمانداز امنیت کسبوکار و جنبههای امنیت سیستم در نظر گرفته شده است. بهطورخلاصه، این مطالعه به سوالات پژوهش زیر پاسخ خواهد داد.
(1) از نظر امنیت فیزیکی و محیطی، کند اجرای مجازیسازی به طور قابل توجهی در امنیت اطلاعات تاثیر میگذارد؟
(2) از نظر ارتباطات و مدیریت عملیات، اجرای مجازیسازی به طور قابل توجهی در امنیت اطلاعات تاثیر میگذارد؟
(3) از نظر کنترل دسترسی، آیا اجرای مجازیسازی به طور قابل توجهی امنیت اطلاعات را تحت تاثیر قرار میدهد؟
(4) از نظر سیستم اطلاعات ، توسعه و نگهداری، آیا مجازیسازی به طور قابل توجهی امنیت اطلاعات را تحت تاثیر قرار میدهد؟
این مطالعه شامل شش بخش است. بخش 1 پیشزمینه و اهداف این مطالعه را بیان میکند. بخش بعدی به بررسی کارهای گذشته مرتبط با امنیت اطلاعات و مجازیسازی میپردازد. بخش 3 به توصیف روش تحقیق از جمله نمونه برداری و طرح پرسشنامه میپردازد. بخش 4 و 5 تجزیه و تحلیل آماری از بررسی نتایج و بحث براساس سوالات پژوهش را ارائه میدهد. در نهایت، آخرین بخش خلاصه یافتهها، مشارکت این مطالعه و برخی از جهات تحقیقات آینده را بحث میکند.
2. کارهای گذشته
این مطالعه به بررسی تاثیر مجازیسازی در امنیت اطلاعات میپردازد. این بخش عمدتا از دو بخش فرعی تشکیل شده که شامل امنیت اطلاعات و مجازیسازی است. اولی وضعیت فعلی تحقیقات امنیت اطلاعات و استاندارد ISO / IEC 27001 را معرفی میکند درحالیکه دومی به بررسی این مطالعات در مورد مجازیسازی و تکنولوژیهای مربوط میپردازد.
2.1. سیستم مدیریت امنیت اطلاعات (ISMS)
مسائل مربوط به امنیت اطلاعات در سالهای اخیر در حال افزایش است و این واقعیت منجر به توسعه پژوهشهای مرتبط با جنبههای مختلف امنیت اطلاعات شده است. جدول 1 تحقیقات مربوط به امنیت اطلاعات را که بنا به اطلاعات مختلف مسائل امنیتی دسته بندی شدهاند نشان میدهد. برخی از مطالعات نیز به مجازیسازی مربوط میشود. زیرا ارتباط این دو موضوع، ابزار ارزیابی مناسبی برای ارزیابی مجازیسازی تحت تاثیر امنیت اطلاعات است. استاندارد ISO / IEC 27001 یکی از گستردهترین استانداردهای حسابرسی پذیرفته شده برای ارزیابی امنیت اطلاعات است، بنابراین جهت استفاده و اقتباس این مطالعه بهمنظور بررسی اثرات مجازیسازی در امنیت اطلاعات مناسب است.
مجموعه استاندارد ISO / IEC 27000 از استانداردهای بین المللی منتشر شده توسط سازمان استاندارد (ISO) و کمیسیون بینالمللی الکترونیکی (IEC)، استانداردهای اختصاص داده شده به امنیت اطلاعات میباشند. بهطور خاص، استاندارد ISO / IEC 27001 (تکنولوژی اطلاعات - تکنیکهای امنیت - سیستمهای مدیریت امنیت اطلاعات – نیازمندیها) تعریف مهم و مورد نیاز برای سیستم مدیریت امنیت اطلاعات را فراهم میکند (ISMS) [77]. در اصل تکامل یافته استاندارد BS 7799 از موسسه استاندارد بریتانیا (BSI)، نسخه فعلی استاندارد ISO / IEC 27001 از ISO / IEC27001:2005 است [4].
Abstract
Virtualization provides the essential assistance to save energy & resources and also simplify the required information management. However, the information security issues have increasingly become a serious concern. This study investigates the post-virtualization business security landscape related to system security. A questionnaire is developed based on 133 control management principles of ISO/IEC 27001 standard and a sampling technique is employed to collect responses from IT professionals with an understanding of virtualization information environment. The obtained findings suggest that virtualization may be beneficial to certain industrial sectors in handling the issues of information security.
1. Introduction
Cloud computing is one of the critical topics in the IT domain in the 21st century. After years of rigorous and enthusiastic discussion, cloud computing has gradually evolved from concept introduction to application development and consequently become one of the promising fields in which enterprises and the IT industry start to invest massively. The features of cloud computing technology may include super-large scale, dynamic scalability and on-demand deployment and in which virtualization plays an important role. In addition, enterprises began to realize the importance of virtualization and invest heavily in its implementation [37]. According to a recent ESG's 2011 IT Spending Intentions Survey, more than 60% of surveyed organizations will increase their spending on virtualization software in 2011 [15].
Apparently, the IT industry has already started to accept virtualization. The question — “how does/can virtualization benefit business?” is still an important one to be answered. Among the potential benefits, virtualization helps to centralize and integrate IT resources. Centralized data storage makes data easier to back up, prevents redundancy, and improves control. It also facilitates a better compliance to IT regulations and management. Secondly, virtualization helps to reduce the number of servers, and by doing so, it tends to reduce the usage of power and cooling facilities. The reduced number of servers and power usage can not only relieve the pressure of efficiency IT management, but also conform to the pervasive trend toward global green energy. With these aforementioned benefits, there are however many issues to be addressed and resolved regarding the implementation and/or adoption of virtualization. Namely, one of the most important issues may be the security concerns regarding virtual machines and virtualized environments. Recent researches and/or studies revealed both challenging and beneficial aspects of virtualization regarding information security [11,22,54,69]. Further, it is highly suggested that security measures shall be implemented and adopted as businesses move toward virtualization [42,66]. The implementation of security measures, however, requires specific regulations to support, audit and monitor. The ISO/IEC 27001 Standard [26] is currently one of the most widely accepted information security standards and therefore is highly suitable to serve as one guideline for the implementation and evaluation of different information security measures of virtualized systems.
This study focuses on the impacts of a virtualized information environment on information security. A business may be exposed to threats and problems that occurred due to mismanagement and/or compromised security measures. To fully understand the influence of virtualization on information security, a questionnaire is designed based on ISO/IEC 27001 to collect responses from IT practitioners with experiences in the area of virtualization either in the specific enterprises or in the IT service industry. A combination of the ISO/IEC 27001-based questionnaire and viewpoints gathered from IT practitioners in fact provides a new direction for addressing and examining the issues of virtualization and information security. Results of the questionnaire survey are intended to reveal the postvirtualization business security landscape from the aspect of system security. In summary, this study would like to address the following research questions.
(1) From the viewpoint of Physical and Environmental Security, does the implementation of virtualization in an enterprise significantly affect the resulting information security?
(2) From the viewpoint of communications and operations management, does the implementation of virtualization in an enterprise significantly affect the resulting information security?
(3) From the viewpoint of Access Control, does the implementation of virtualization in an enterprise significantly affect the resulting information security?
(4) From the viewpoint of Information System Acquisition, Development and Maintenance, does the implementation of virtualization in an enterprise significantly affect the resulting information security?
This study consists of six parts. Section 1 introduces the background and the scope of this study. The next section reviews the relevant literatures related to information security and virtualization. Section 3 describes the research methodology including sampling and questionnaire design. Sections 4 and 5 provide the statistical analyses of the surveyed results and the discussion of the research questions, accordingly. Finally, the last section summarizes the findings, discusses the contributions of this study and provides some future research directions.
2. Literature review
This study investigates the impact of virtualization on information security. This literature review section is mainly composed of two subsections and they are the information security part and virtualization part. The former one introduces the current state of information security researches and ISO/IEC 27001 standard while the latter reviews these studies regarding virtualization and related technologies.
2.1. Information Security Management System (ISMS)
Issues regarding information security have been covered on the rise in recent years, and this fact leads to the development of researches related to various aspects of information security. Table 1 lists researches related to information security, categorized by different information security issues. Some of the studies are also related to virtualization. Because of the relevancy of these aforementioned two subjects, a suitable assessment tool may be required to evaluate how virtualization affects information security. The ISO/IEC 27001 is one of the most widely accepted auditing standards for assessing information security, and therefore it is appropriate to be used and adapted by this study to assess the effects of virtualization on information security.
The ISO/IEC 27000 series of standards published by the International Standard Organization (ISO) and International Electrotechnical Commission (IEC) are the standards dedicated to information security. Specifically, the ISO/IEC 27001 standard (Information technology– Security techniques–Information security management systems– Requirements) provides the important definition and requirements of an Information Security Management System (ISMS) [77]. Originally evolved from the BS 7799 standard of the British Standards Institution (BSI), the current version of ISO/IEC 27001 is ISO/IEC 27001:2005 [4].
چکیده
1. معرفی
2. کارهای گذشته
2.1. سیستم مدیریت امنیت اطلاعات (ISMS)
2.2. فنآوریهای مجازیسازی
3. روش تحقیق
3.1.طرح پژوهش
3.2. موارد پژوهش و نمونهبرداری
3.2.1. موارد پژوهش
3.2.2. نمونه برداری
3.3. طراحی ابزار اندازهگیری برای این پژوهش
3.3.1. طراحی پرسشنامه
3.3.2. محتویات پرسشنامه
3.3.3. آزمون قابلیت اطمینان برای پرسشنامه
4. تجزیهوتحلیل دادهها
5. بحث
6. نتیجهگیری
منابع
Abstract
1. Introduction
2. Literature review
2.1. Information Security Management System (ISMS)
2.2. Virtualization technologies
3. Research methods
3.1. Research design
3.2. Research subjects and sampling
3.2.1. Research subjects
3.2.2. Sampling
3.3. Designing the measurement tools for this research
3.3.1. The construction of the questionnaire
3.3.2. Questionnaire contents
3.3.3. Reliability test for the questionnaire
4. Data analysis
5. Discussion
6. Conclusion
References