رکن اصلی امنیت سایبری – از ابتدای توسعه این مفهوم، – اجرای تدابیر فنی و غیر فنی ای است که امنیت سیستم های اطلاعاتی را تضمین می کند. اما برای آنکه این تدابیر تأثیرگذاری داشته باشند، باید تمامی تهدیدات و آسیب پذیری های ممکن را پوشش دهند، چرا که تنها یک نقص کوچک می تواند بستر حمله ای گسترده را فراهم کند. در عصر اطلاعات شاهد شکل‌گیری فضایی هستیم که در آن فعالیت‌های گوناگونی از قبیل اطلاع‌رسانی، ارائه خدمات، مدیریت و کنترل ارتباطات، از طریق سازوکارهای فضای مجازی انجام می‌پذیرد.

این فضا که از آن با نام«فضای تولید و تبادل اطلاعات» یاد می‌شود، در معرض چالش‌ها، آسیب‌ها و تهدیدات گوناگونی نظیر ارتکاب جرائم سازمان‌یافته، حملات مختل‌کننده‌ خدمات، جاسوسی، خرابکاری، تخریب بانک‌های اطلاعاتی، نقض حریم خصوصی و نقض حقوق مالکیت معنوی قرار دارد. تهدیدات امنیتی فضای مجازی با سوءاستفاده از پیچیدگی و اتصال روزافزون سیستم‌های موجود در سازمان‌ها و به‌ویژه زیرساخت‌های حیاتی، حساس و مهم، مواردی همچون امنیت، اقتصاد، ایمنی و سلامت عموم را در معرض خطر قرار می‌دهند. حفاظت از زیرساخت‌های حیاتی ملی برای ایجاد جامعه‌ای امن، ایمن و مقاوم در قبال حملات سایبری و سایر مخاطرات طبیعی و انسانی امری ضروری است. در این راستا زیرساخت‌های حیاتی نیازمند سازوکارهایی برای حفظ محرمانگی، یکپارچگی و دسترس‌پذیری دارایی‌های خود می‌باشند.

با توجه به نوپایی مفهوم امنیت فضای تولید و تبادل اطلاعات و با عنایت به میزان تأثیر آن بر امنیت ملی کشور، پرداختن به این موضوع و نهادینه‌سازی آن به‌عنوان یک ضرورت و اولویت تلقی می‌شود.هدف از این طرح، تأمین امنیت فضای تولید و تبادل اطلاعات سازمان و جلوگیری از بروز اختلال در ارائه سرویس‌های حیاتی آن است. در این طرح الزاماتی برای ایجاد، پیاده‌سازی، نگهداری و بهبود مستمر امنیت اطلاعات در حوزه‌های زیرساختی ارائه‌شده است. همچنین سازمان نیازمند ساختاری برای تأمین منابع انسانی و مالی به‌منظور اجرای طرح است. این ساختار متناسب با شرایط و اهداف سازمان می‌تواند در قالب کمیته اجرای طرح یا ایجاد واحدی سازمانی باشد. تشکیل این ساختار به‌عنوان پیش‌نیازی برای اجرای سایر الزامات طرح بوده و پس از انجام اقدامات فوق در سازمان، لازم است طرح امن‌سازی متناسب با نقشه راه اجرایی گردد.

راهبرد اصلی طرح امن‌سازی زیرساخت‌های حیاتی در قبال حملات سایبری، مدیریت مخاطرات است. مدیریت مخاطرات فرآیندی مستمر است که در آن تهدیدات و آسیب‌پذیری‌های موجود در یک سازمان شناسایی و ارزیابی می‌شوند و از طریق انجام اقدامات امن‌سازی که اولویت بیشتری دارند، مخاطرات مدیریت می‌شوند. لازمه این امر وجود یک رویکرد مدیریت مخاطرات سیستماتیک متناسب با بافتار، شرایط و مخاطرات خاص سازمان است که بدین منظور، امروزه استانداردها و روش‌های متعددی نظیر ISO/IEC 27005 ،ISO 31000 ،ISA/IEC 62443 و … چارچوب‌های مناسبی را برای مدیریت مخاطراتی که به امنیت اطلاعات لطمه می‌زند در اختیار سازمان‌ها قرار می‌دهند.

زیرساخت محرمانگی و استناد پذیری نیازمند تدوین سیاست‌ها، ضوابط، رویه‌ها در بعد مدیریتی و بهره‌گیری از ابزارهای امنیت اطلاعات و ارتباطات در بعد فنی بوده که محرمانگی اطلاعات را برای سازمان تضمین می‌نماید. قلمرو این زیرساخت در بعد فنی شامل الگوریتم‌های رمزنگاری، پروتکل‌های امنیتی، زیرساخت کلید عمومی و… است. لزوم استقرار زیرساخت محرمانگی و استناد پذیری در سازمان، جلوگیری از افشای داده‌ها و اطلاعاتی است که باید محافظت شوند و در اختیار افراد غیرمجاز قرار نگیرند. تمامی کاربردهای زیرساخت محرمانگی و استناد پذیری در بستر زیرساخت کلید عمومی قابل تحقق است. هر نوع داده یا مبادله الکترونیکی مطرح در حوزه عملیات خصوصی و غیرخصوصی که تهدید امنیتی در مورد آن مطرح باشد، جزء مواردی است که می‌توان از زیرساخت کلید عمومی برای امن سازی آن بهره گرفت. از موارد پرکاربرد زیرساخت محرمانگی سازمان‌ها می‌توان به مدیریت کلیدهای رمزنگاری، امن‌سازی کاربردهای تحت وب، امن‎سازی برنامه اتوماسیون اداری، تصدیق هویت و … اشاره نمود.
پس از پیاده‌سازی و اجرای برنامه‌های عملیاتی تدوین‌شده، باید از اجرای اثربخش برنامه مذکور اطمینان حاصل گردد. در این راستا ضروری است ممیزی‌های مستمر و ادواری در سازمان انجام شود. لذا مرکز افتا (امنیت فضای تولید و تبادل اطلاعات ) موظف است تا کلیه ممیزی‌ها را بر اساس ابزار ارزیابی سطح بلوغ ارائه‌شده، مدیریت و سازمان را از نتیجه مطلع نماید.

ممیزی داخلی: سازمان باید روال‌های مشخصی را برای برگزاری ممیزی داخلی تدوین کرده و به‌طور منظم نسبت به برگزاری آن‌ها اقدام کند. جهت اطمینان از اجرای الزامات، سازمان گزارش‌های لازم را بر اساس فرم‌های ممیزی مرکز افتا تهیه و جهت بررسی و اخذ تأییدیه به مرکز افتا ارسال می‌نماید.
ممیزی خارجی: جهت نظارت بر روند اجرای برنامه‌های عملیاتی و اثربخشی آن‌ها ممیزی خارجی توسط مرکز افتا انجام خواهد شد. سازمان پس از اخذ گزارش‌های ممیزی خارجی، نسبت به رفع انطباق‌ها اقدام نموده و در صورت نیاز، درخواست ممیزی مجدد از مرکز افتا را خواهد نمود.

جهت‌گیری ذهن‌ها در پشت فضای غبارآلود جذاب سایبری، داستان شهر «آز» -The Wizard of Oz-  را تداعی می‌کند که همه‌چیز در آن زمردین و فریبنده به نظر می‌رسد، اما در حقیقت شهری معمولی بود که همه آن را از پشت عینک‌های سبزرنگ مشاهده می‌کردند و در توهم برتر بودن، خاص بودن و بی‌عیب بودن زیست می‌کردند.فضای سایبر با این‌چنین جلوه‌ای خودنمایی می‌کند. آفت جدی فضای سایبر که نفوذش عالم‌گیر است،‌ توهم بی‌عیبی و برتر بودن را انتشار داده است. فضای سایبر با همه‌ خصیصه‌های خوبَش و تحول در ارتقاء سطح زندگی انسانی از آنجایی‌که در ورای خود انگیزه‌هایی خاص را دنبال می‌کند، به‌مثابه ظرف آلوده‌ای شده است که اگر ماءُ‌العسل را هم در خود جای دهد،‌ موجب فساد و تباهی و بیماری می‌شود. لزوم تنظیم شیوه‌ حکمرانی متناسب با اقتضائات سرزمینی بدیهی و عقلانی است (همان‌گونه که اروپا نیز ایده‌ اینترنتِ اعتماد را با حکمرانی نوین، پیگیری می‌کند).در حکمرانی سایبری،‌ حکمرانی متعلق مفهومی به نام سایبر است (البته حکمرانی سایبر با حکمرانی سایبری متفاوت است،‌ اما به نظر می‌آیند حکمرانی در حال سایبری شدن است). مفهوم سایبر در عین سادگی و درک عمومی دارای ابعاد و گستره‌ای ناشناخته است.

در کشور ما فضای سایبر -Cyberspace- معادل مفهومی به نام فضای مجازی قرارداده شده است. انگاره‌ نگارنده از سایبر مفهومی دقیق‌تر و عمیق‌تر از دو مفهوم فضای سایبر و فضای مجازی است. در چند سال گذشته بحث‌های متنوعی پیرامون مجاز و مجازی بودن و حقیقی بودن فضای سایبر شده است. البته شاید با کوچک‌ترین آشنایی با گستره‌ سایبر این بحث‌های حاشیه‌ای و غیر مرتبط با حل مسائل سایبر شکل نمی‌گرفت. پدیده‌ای که نگارنده از آن به سایبر یاد می‌کند، عالم نوپدیدی است که طلیعه‌هایی از آن آشکارشده است. عالم نوپدید نه به مثابه‌عوالمی که حکما از آن یاد می‌کنند، بلکه منظور شکل جدیدی از زندگی است که تاکنون بشر آن را تجربه نکرده است. این عالم نوپدید در مقابل عالم عادت شده‌ای است که بشر سال‌ها از زمان هبوط حضرت آدم(ع) آن را تجربه کرده است.

انقلاب کشاورزی و انقلاب صنعتی و تحولات فناورانه‌ از این‌ دست،‌ همیشه بخشی از عالم محسوسات ما را تغییر داده یعنی به‌طور مثال با قوانین فیزیکی خودرو طراحی‌شده،‌ نیروگاه برق تولید کرده، نفت استخراج و پالایش‌شده،‌ کشتی روی آب غوطه‌ور شده و هواپیما در آسمان به پرواز درآمده است، اما هم‌اکنون در عالم نوپدید سایبر، می‌توان بر اساس قوانین عالم خیال نیز مصنوعات و محسوساتی را ساخت. این تحولِ ژَرف عالم نوپدید است که فراتر از تعاریف ساده از فضای سایبر یا فضای مجازی است.حال همین فضای سایبر خالی از جهت نیست. به‌وضوح تغییر هویت‌ و فرهنگ‌ها با فضای سایبر قابل‌مشاهده است. فضای سایبر و عالم سایبر صرفا حوزه‌ فناوری نیست که در فضای انسانی-اجتماعی امتداد یافته است، بلکه ذاتا حوزه‌ شناختی و اجتماعی است. جنگ شناختی و تغییر هویت دینی و ملی با فضای سایبر قابل‌انکار نیست.

این تغییر در لابه‌لای جذابیت فناوری، به‌روز بودن، کسب‌وکارهای دیجیتالی، اعتماد به شبکه‌های اجتماعی و… نهفته است. در کلان فضای سایبر دو جهت‌گیری (۱) اِشراف راهبردی برای ایالات‌متحده و ابر شرکت‌ها و (۲)‌ جهانی‌سازی سبک زندگی غربی قابل‌مشاهده است. یکی از شئون قدرت در فضای سایبر اِشراف همه‌جانبه است. به کمک جریان گسترده‌ اطلاعات شخصی، اجتماعی و ملی و ملی ساز فضای سایبر که از بین سوئیچ‌های متنوع شبکه و سرویس‌ها و خدمات اینترنتی انتقال می‌یابد و تکنیک‌های تحلیل داده‌ عظیم – Big Data Analytics – همه صاحبان صنایع سایبری و دولت‌ها به سمت جمع‌آوری،‌ تحلیل و اِشراف بر سایبر جوامع و کشورها و استعمار نوین سوق داده است. در حقیقت مهندسی و مدیریت فکر که منجر به مهندسی فرهنگی،‌ اقتصادی و سیاسی می‌شود برای اَبَر شرکت‌ها و آمریکا که به‌نوعی مالک زیرساخت و دربردارنده‌ سرویس‌های جهانی است،‌ تحقق می‌یابد.

از طرفی سبک زندگی غرب مدرن که از تمدن غربی با رویکردهای اقتصادی و فرهنگی خاص خود است، در حال جهانی‌سازی به‌زعم جذابیت فناوری است. این تحقق نه‌فقط در محتوای پراکنده شده از طریق سایبر که در فُرم روابط نیز نهفته است. در حقیقت ماده و صورت هستند که در راستای قابلیت‌ها و انگیزه‌های پدیدآورنده محقق شده و خدمت و سرویسی را می‌سازد. در عالم سایبر قدرت نرم و سخت سایبری با ساخت سبک‌ زندگی گره‌خورده است.

عالم سایبر در پیش روی ما واقعی است. ما در دوران گذار و تحول هستیم. اگر به‌درستی این پیچ فناورانه و تاریخی را درک کنیم و مناسبات مقتضی فناوری با نظام اسلامی را شکل دهیم، حیات طیبه‌ای را در بستر این عالم نوپدید خلق خواهیم کرد که ‌می‌تواند بستر تمدن نوین اسلامی باشد. حکمرانی سایبری را نباید تقلیل دارد و از آن حکمرانی بی‌خاصیت و فناورانه صرف ساخت و نه باید آن‌چنان به آن اهمیت داد که نظام و چارچوب‌های فکری و فرهنگی آن را با توسعه‌ سایبر هماهنگ و تقلیل داد. سایبر واقعیتی است که باید با حکمرانی مُتقَن و نافذ،‌ آن‌را مبتنی بر استحکام ساخت درون کشور بازآفرینی نمود و حرکت داد.

جمهوری اسلامی ایران، به‌عنوان کشوری با موقعیت راهبردی، در دنیای معاصر همواره در معرض انبوهی از تهدیدات در سطوح فروملی، ملی و فراملی است. آنچه بیش از هر چیز دیگر برای تأمین امنیت ملی کشور لازم به‌نظر می‌رسد توجهِ ویژه به شناسایی و احصای تهدیدات امنیت ملی کشور و تلاش درجهت مقابله با این تهدیدات است و، باتوجه‌به محدودیت زمان و منابع مالی و انسانی برای مقابله با این تهدیدات، اولویت‌بندی دقیق تهدیدات اهمیت دارد.لزوم برقراری تناسب میان عمل و پاسخ و ضرورت تأثیرگذاری پاسخ، خود چالش دیگری را مطرح می کند مبنی بر آنکه بایستی به توانمندی ای دست یافت که تأثیر گذاری پاسخ و تکرار آن به کرات در صورت نیاز را تضمین کند.

برخی از کارشناسان معتقدند که دفاع سایبری، بر خلاف تدابیر مقابله جویانه (فیزیکی) که رقیب را کما بیش به طور قطعی خنثی می کند، می تواند فعالیت های رقیب را مختل کرده یا موقتا وی را خلع سلاح سازد؛ اما هیچ یک از راهکارهای سایبری نمی تواند منجر به خنثی سازی قطعی تهدید شوند.