তথ্যনিরাপত্তা পরিচিতিঃ সিআইএ ( CIA ) – জাদুকরি এই তিনটি অক্ষর ছাড়া তথ্যনিরাপত্তা – বিষয়ক যেকোনাে বই অসম্পূর্ণ । , আমরা আমেরিকার বিখ্যাত গুপ্তচর সংস্থার কথা বলছি না । CIA ( অনেকে উলটো করে AIC ও বলে থাকেন ) এই তিন আদ্যক্ষর এসেছে Confidentiality ( তথ্যের গােপনীয়তা ) , Integrity ( তথ্যের শুদ্ধতা ) আর Availability তথ্যপ্রাপ্তির নিশ্চয়তা ) থেকে । আদতে এই তিনের সমন্বয় করাটাই আসলে যেকোনাে তথ্যনিরাপত্তা ব্যবস্থাপনার ( information system security management ) মূল লক্ষ্য । কিন্তু এত কিছু থাকতে শুধু এই তিনটি বিষয়ে এত গুরুত্ব দেওয়া হচ্ছে কেন ? ব্যাপারটা তাহলে একটু বিশদভাবে আলােচনা করা যাক ।
Confidentiality ( তথ্যের গােপনীয়তা ) বলতে কী বুঝি আমরা ? আক্ষরিক অর্থে যেটি বােঝা যায় সেটিই ঠিক , তবে তথ্যনিরাপত্তা জগতে এর সংজ্ঞা তার চেয়ে একটু বেশি বিস্তৃত । যেকোনাে তথ্য সংরক্ষণ ( data at rest ) অথবা আদান – প্রদান ( data in transit ) করার সময় এমনভাবে গােপনীয়তা নিশ্চিত করা , যাতে আগে থেকে অনুমতি পাওয়া ( with access permission ) ব্যক্তি , ডিভাইস বা সিস্টেম ছাড়া অন্য কারাে হাতে সেই তথ্য না যায় , অথবা গেলেও সে তথ্যের আসল অর্থ কেউ যাতে বুঝতে না পারে । (Pdf books)
সাধারণত access control ( যেমন , পাসওয়ার্ড ) আর এনক্রিপশন ( encryption ) প্রযুক্তি ব্যবহার করে এই গােপনীয়তা রক্ষা করা হয় । Integrity ( তথ্যের শুদ্ধতা ) বলতে আমরা বুঝি মাঝখান থেকে কেউ যে আসল তথ্য বিনা অনুমতিতে বদলে দেয়নি সেটি নিশ্চিত করা , অর্থাৎ মূল তথ্যের কোনাে বিকৃতি ঘটেনি এবং যেভাবে থাকার বা পাওয়ার কথা ছিল , সেভাবেই রয়েছে । সেই সঙ্গে এমন একটি ব্যবস্থা থাকতে হবে , যেন কেউ বদলে ফেললে বা ফেলার চেষ্টা করলে সেটি ধরা যায় ।
মনে রাখবেন , গােপনীয়তা ( Confidentiality ) মানে হচ্ছে তথ্য যার কাছে পাঠানাে হচ্ছে সে ছাড়া আর কারাে হাতে যেন চলে না যায় বা বা গেলেও যেন গােপন বার্তার মূল পাঠোদ্ধার করতে না পারে । আর শুদ্ধতা ( Integrity ) হচ্ছে সেই তথ্য , যেভাবে সংরক্ষণ করা বা পাঠানাে হয়েছিল সেখান থেকে একদম বিকৃত হয়নি । এক্ষেত্রে মনে রাখতে হবে এডিট ( edit ) হলাে বৈধভাবে পরিবর্তন , আর তথ্য বিকৃতি ( corruption or unauthorised modification ) হলাে বিনা অনুমতিতে পরিবর্তন ।
মূল তথ্যের এরকম অবৈধ পরিবর্তন ঠেকাতে অর্থাৎ তথ্যের শুদ্ধতা ( integrity ) রক্ষা করার জন্য হ্যাশিং ( Hashing ) নামক একটি গাণিতিক প্রক্রিয়া ব্যবহার করা হয়ে থাকে । তথ্যনিরাপত্তার কথা ভাবলে Confidentiality ( তথ্যের গােপনীয়তা ) আর Integrity ( তথ্যের শুদ্ধতা ) এত গুরুত্ব পায় যে , অনেক সময় Availability বা তথ্য প্রাপ্তির নিশ্চয়তার কথা সেরকম আলাদাভাবে মনে আসে না । (pdf books)
কিন্তু ভাবুন তাে , আপনার তথ্য গােপন আছে ঠিকই , সেটি অন্য কারাে হাতেও পড়েনি , কেউ বিকৃত করতে পারেনি , কিন্তু দেখতে গিয়ে আপনি নিজেই সেটি আর খুঁজে পাচ্ছেন না বা সিস্টেমে অ্যাকসেস করতে পারছেন না , তাহলে এত কিছু করে আর কী লাভ হলাে ? এই যে দরকারের সময় আসল বা বৈধ ব্যবহারকারী ( authorised user ) যাতে সেই তথ্য ঠিকঠাকমতাে দেখতে বা ব্যবহার করতে পারে , তার সুব্যবস্থা করার নামই হলাে Availability বা তথ্য প্রাপ্তির নিশ্চয়তা ।
সাধারণত ডেটা ব্যাকআপ , রেপ্লিকেশন ( মূল ডেটাবেজের অবিকল কপি , কয়েক মিনিট পরপর স্বয়ংক্রিয়ভাবে আপডেট হয় ) , লােড ব্যালান্সার ( একই অ্যাপ্লিকেশন একাধিক সার্ভারে হােস্ট করা থাকে , কোন ইউজার কোন সার্ভারে যুক্ত হবে সেটি স্বয়ংক্রিয়ভাবে নির্ধারণ করে ) , বিভিন্ন লােকেশনে একাধিক ডেটা সেন্টার স্থাপন ইত্যাদি উপায় অবলম্বন করে তথ্য প্রাপ্তির নিশ্চয়তা বাড়ানাে হয় । একটি সহজ উদাহরণ দিয়ে ওপরের তিনটি বিষয় ব্যাখ্যা করা যেতে পারে । ধরুন , আমি একটি ইমেইল পাঠাতে চাই যেটি শুধু আমার একজন বিশেষ বন্ধুই পড়তে পারবে ।
আমি এক কাজ করলাম : ইমেইল লেখার পর প্রত্যেক লাইনের তিন , এগারাে আর উনিশ নম্বর অক্ষর বদলে দিলাম ( আসলে এনক্রিপ্ট করলাম ) । আর এই বিশেষ কিছু অক্ষর বদলে ফেলার সাংকেতিক ব্যাপারটা ( encryption ) বন্ধুকে বলে দিতে হবে , যাতে সে পড়ার আগে বদলে দেওয়া অক্ষর পূর্বাবস্থায় ফিরিয়ে ( decryption ) নিয়ে যেতে পারে । এখন আমার এই ইমেইল যদি কোনাে দুষ্ট লােক আড়ি পেতে হস্তগত ( যাকে আমরা বলি Man in the middle attack ) করেও ফেলে , সে তখন ওই ইমেইল পড়ে কিছুই বুঝতে পারবে না কারণ বেশ কিছু অক্ষর বদলে গেছে । (pdf books)
তবে কোনােভাবে এই অক্ষর বদলে দেওয়ার ব্যাপারটা যদি সেই ব্যক্তি ধরে ফেলতে পারে , তাহলে আর গােপন কথাটি রইবে নাকো গােপন । এই ধরে ফেলার ব্যাপারটা কত কঠিন করে তােলা যায় তাকে বলা যেতে পারে ওই এনক্রিপশন অ্যালগরিদমের শক্তিমত্তা ( strength ) , যা দিয়ে বােঝা যায় একটি অ্যালগরিদমের সংকেত না জেনেও বার্তার পাঠোদ্ধার করার সম্ভাবনা কতটুকু বা কত দীর্ঘ সময়ের ব্যাপার । যা – ই হােক , আড়ি পাতা লােকটি ইমেইলের সঠিক অর্থ উদঘাটন করতে না পারলেও চাইলে সে হয়তাে বার্তাটি ওলট – পালট করে দিতে পারে , যাতে আসল প্রাপক মূল বার্তাটিই আর না পায় ।
তাে আমার বন্ধুটি কীভাবে বুঝতে পারবে যে আমার পাঠানাে মেসেজটি মাঝখানে অন্য কেউ বদলে ফেলেনি ? সেজন্য দরকার এমন একটি গাণিতিক ব্যবস্থা ( hashing algorithm ) , যেটি ছােটো বড়াে যেকোনাে মেসেজের ওপর এক বিশেষ গাণিতিক প্রক্রিয়া চালিয়ে ফলাফল হিসেবে একটি অবােধগম্য মান দেবে ( hash value or message digest ) , যার আকার সব সময় একই থাকবে । ( যেমন- 128 , 256 বা 512 বিট ) ।
এক্ষেত্রে দুটো ভিন্ন মেসেজের হ্যাশ ভ্যালু কখনােই এক হতে পারবে না ( তবে বাস্তবে লাখ লাখ মেসেজের ক্ষেত্রে হঠাৎ কখনাে দৈবক্রমে দুটি ভিন্ন মেসেজের হ্যাশ ভ্যালু এক হয়ে যাবে কি না – সেটি ঘটা কিন্তু সম্ভব – সেটি অবশ্য নির্ভর করে ওই হ্যাশিং অ্যালগরিদমের সামর্থ্যের পাল্লার ওপর । এই সম্ভাবনার ব্যাপারটি এরকম অ্যালগরিদমের ভঙ্গুরতা নিয়ে আলাদা এক গাণিতিক প্রায়ােগিক বিতর্কের বিষয় ! ) । (pdf books)
আমাদের যেটি জানা দরকার সেটি হলাে , কেউ যদি আসল মেসেজ মাঝখানে বদলে দিয়ে থাকে , তাহলে সেই মেসেজের হ্যাশ ভ্যালু যাচাই করে সঙ্গে সঙ্গেই সেটি ধরে ফেলা যাবে । এজন্য হ্যাশ ভ্যালুটি মেসেজের সঙ্গে প্রাপককে আলাদাভাবে দিয়ে দিতে হবে , অথবা অন্য কোনাে উপায়ে জানিয়ে দিতে হবে ( যেমন , ওয়েবসাইটে প্রকাশ করে ) ।
এভাবে খুব শক্তিশালী এনক্রিপশন অ্যালগরিদম দিয়ে বার্তা রূপান্তর আর তার সঙ্গে পাঠানাে হ্যাশ ভ্যালু উভয়টি ব্যবহার করে নিশ্চিত হওয়া গেল যে বার্তাটি সুরক্ষিত আছে বা অন্য কারাে হাতে পড়ে বদলে যায়নি , কিন্তু আমার বন্ধু যদি কোনাে কারণে তার ইমেইল সার্ভারেই ঢুকতে না পারে , তখন কী হবে ? এত কাণ্ড করেও দরকারের সময় তথ্য দেখতে না পেলে শেষ পর্যন্ত কী লাভ ? এখানেই তথ্যনিরাপত্তার উল্লেখযােগ্য ধাপ হিসেবে Availability ( তথ্যপ্রাপ্তির নিশ্চয়তা ) -এর গুরুত্ব ।
তবে এটা ঠিক যে , স্থান – কাল – পাত্রভেদে সিআইই – এর তিনটি লক্ষ্যই সব সময় সমানভাবে দরকার নাও পড়তে পারে । যেমন , কোনাে একটি ওয়েবসাইটে প্রকাশিত একটি সরকারি নােটিশ হয়তাে সকল নাগরিকের জন্য উন্মুক্ত থাকতে পারে ( তার মানে গােপনীয়তার দরকার নেই ) , কিন্তু ওই নােটিশের বক্তব্য অবিকৃত থাকা অত্যন্ত জরুরি । (Pdf books)
অন্যদিকে আপনি কাকে ভােট দিয়েছেন সেটি কাকপক্ষীও টের পাবে না – সেরকম গােপনীয় থাকলে তাে সেই ব্যবস্থা মােটেও গ্রহণযােগ্য হবে না ! আবার যেকোনাে টিভি চ্যানেলের লাইভ সম্প্রচার বা মােবাইল অপারেটরদের নেটওয়ার্ক 10 15 মিনিট বন্ধ হলে বিশাল আর্থিক ক্ষতির শঙ্কা । এভাবেই বাস্তব অবস্থা এবং দরকার বুঝে একেক জায়গায় একেক রকম নিরাপত্তার ব্যবস্থা নিতে হবে ।
আমরা তাহলে মােটামুটি বুঝলাম তথ্যনিরাপত্তায় কোন তিনটি মূল বিষয় এবং যেকোনাে সিস্টেমের ভেতরে তাদের কার্যকারীতা কেন খতিয়ে দেখা হয় । তথ্যনিরাপত্তা বিশেষজ্ঞদের কাজ হলাে ধাপে ধাপে এমন সব ব্যবস্থা ( counter measures ) গ্রহণ করা , যাতে নিরাপত্তা ব্যবস্থা কোনাে এক স্তরে আক্রমণ ঠেকাতে ব্যর্থ হলে বা অনুপ্রবেশের চেষ্টা চালানাে হলে যাতে অন্য স্তরে সেটি ব্যর্থ করে দেওয়ার সক্ষমতা থাকে ।
আর যদি শেষ পর্যন্ত হ্যাকিং আক্রমণ ঠেকানাে সম্ভব না হয় , তাহলে এমন ব্যবস্থা যেন কার্যকর থাকে , যাতে হারানাে তথ্য দ্রুত পুনরুদ্ধার করা বা বিকল্প উপায়ে সিস্টেম চালু রাখা যায় । একই সঙ্গে আক্রমণের পূর্বাভাস দেবে কিংবা আক্রমণ পুরােপুরি ঠেকানাে গেলেও দুর্ঘটনা ঘটার সঙ্গে সঙ্গে দ্রুত সতর্কবার্তা প্রদান করবে যাতে ক্ষয়ক্ষতি কমানাে যায় ।(Pdf books)
