الوفاء طبعي
25th December 2005, 09:03 AM
امن المعلومات
ماهيتها وعناصرها واستراتيجياتها
1. مـا المقصـود بأمـــن المعلومات وما هـي عناصره ؟
أمن المعلومات ، من زاوية اكاديمية ، هو العلم الذي يبحث في نظريات واستراتيجيات توفير الحماية للمعلومات من المخاطر التي تهددها ومن انشطة الاعتداء عليها . ومن زاوية تقنية ، هو الوسائل والادوات والاجراءات اللازم توفيرها لضمان حماية المعلومات من الاخطار الداخلية والخارجية . ومن زاوية قانونية ، فان أمن المعلومات هو محل دراسات وتدابير حماية سرية وسلامة محتوى وتوفر المعلومات ومكافحة انشطة الاعتداء عليها او استغلال نظمها في ارتكاب الجريمة ، وهو هدف وغرض تشريعات حماية المعلومات من الانشطة غير المشروعة وغير القانونية التي تستهدف المعلومات ونظمها ( جرائم الكمبيوتر والإنترنت) .
واستخدام اصطلاح أمن المعلومات Information Security وان كان استخداما قديما سابقا لولادة وسائل تكنولوجيا المعلومات ، الا انه وجد استخدامه الشائع بل والفعلي ، في نطاق انشطة معالجة ونقل البيانات بواسطة وسائل الحوسبة والاتصال ، اذ مع شيوع الوسائل التقنية لمعالجة وخزن البيانات وتداولها والتفاعل معها عبر شبكات المعلومات- وتحديدا الإنترنت – احتلت ابحاث ودراسات أمن المعلومات مساحة رحبة آخذة في النماء من بين أبحاث تقنية المعلومات المختلفة ، بل ربما أمست أحد الهواجس التي تؤرق مختلف الجهات .
2. ما هي عمليات المعلومات الرئيسة المتصلة بأمن المعلومات ؟؟
تتعدد عمليات التعامل مع المعلومات في بيئة النظم وتقنيات المعالجة والاتصال وتبادل البيانات ، ولكن يمكن بوجه عام تحديد العمليات الرئيسة التالية :-
تصنيف المعلومات Information classification :-
وهي عملية اساسية لدى بناء أي نظام او في بيئة أي نشاط يتعلق بالمعلومات وتختلف التصنيفات حسب المنشاة مدار البحث ، فمثلا قد تصنف المعلومات الى معلومات متاحة ، وموثوقة ، وسرية ، وسرية للغاية او قد تكون معلومات متاح الوصول اليها واخرى محظور التوصل اليها وهكذا .
التوثيق Documentation :-
وتتطلب عمليات المعلومات اساسا اتباع نظام توثيق خطي لتوثيق بناء النظام وكافة وسائل المعالجة والتبادل ومكوناتها . وبشكل رئيس فان التوثيق لازم وضروري لنظام التعريف والتخويل ، وتصنيف المعلومات ، والانظمة التطبيقية . وفي اطار الأمن ، فان التوثيق يتطلب ان تكون استراتيجية او سياسة الأمن موثقة ومكتوبة وان تكون إجراءاتها ومكوناتها كاملة محل توثيق ، اضافة الى خطط التعامل مع المخاطر والحوادث ، والجهات المسؤولة ومسؤولياتها وخطط التعافي وادارة الازمات وخطط الطوارئ المرتبطة بالنظام عند حدوث الخطر .
المهام والواجبات الإدارية والشخصية Administration and Personnel Responsibilities
ان مهام المتصلين بنظام أمن المعلومات تبدأ في الاساس من حسن اختيار الافراد المؤهلين وعمق معارفهم النظرية والعملية ، على ان يكون مدركا ان التأهيل العملي يتطلب تدريبا متواصلا ولا يقف عند حدود معرفة وخبرة هؤلاء لدى تعيينهم ، وبشكل رئيس فان المهام الإدارية او التنظيمية تتكون من خمسة عناصر او مجموعات رئيسة :- تحليل المخاطر ، وضع السياسة او الاستراتيجية ، وضع خطة الأمن ، وضع البناء التقني الامني – توظيف الاجهزة والمعدات والوسائل ، واخيرا تنفيذ الخطط والسياسات .
ومن المهم ادراك ان نجاح الواجبات الإدارية او الجماعية للمنشأة يتوقف على ادراك كافة المعنيين في الإدارة ( بمهامهم التقنية والإدارية والمالية ) استراتيجية وخطة وواجبات الأمن والتزام المؤسسة باعتبار مسائل الأمن واحدا من الموضوعات التي يدركها الكافة ويتمكن الكل من التعامل مع ما يخص واجباتهم من بين عناصر الأمن .
وعلى المستوى الشخصي او مستوى المستخدمين ، فان على المؤسسة ان تضع التوجيهات الكافية لضمان وعي عام ودقيق بمسائل الأمن ، بل المطلوب بناء ثقافة الأمن لدى العاملين والتي تتوزع بين وجوب مراعاة أخلاقيات استخدام التقنية وبين الإجراءات المتطلبة من الكل لدى ملاحظة أي خلل ، وعلى المؤسسة ان تحدد للمستخدمين ما يتعين عليهم القيام به والاهم ما يحظر عليهم القيام به في معرض استخدامهم للوسائل التقنية المختلفة .
عمليات الحفظ Back-up :-
وعمليات الحفظ تتعلق بعمل نسخة إضافية من المواد المخزنة على إحدى وسائط التخزين سواء داخل النظام او خارجه ، وتخضع عمليات الحفظ لقواعد يتعين ان تكون محددة سلفا وموثقة ومكتوبة ويجري الالتزام بها لضمان توحيد معايير الحفظ وحماية النسخ الاحتياطية .
ويمثل وقت الحفظ ، وحماية النسخة الاحتياط ، ونظام الترقيم والتبويب ، وآلية الاسترجاع والاستخدام ، ومكان الحفظ وامنه ، وتشفير النسخ التي تحتوي معطيات خاصة وسرية ، مسائل رئيسة يتعين اتخاذ معايير واضحة ومحددة بشأنها .
وسائل الأمن الفنية ونظام منع الاختراق :-
تتعدد وسائل الأمن التقنية المتعين استخدامها في بيئة الكمبيوتر والإنترنت ، كما تتعدد أغراضها ونطاقات الاستخدام ، وقد تناولنا فيما تقدم مسائل التعريف والتوثيق وتحديدا كلمات السر ووسائل التعريف الأخرى . وتتخذ الجدران النارية Firewalls ، اضافة للتشفير cryptography ، وكذلك نظم التحكم في الدخول و نظام تحري الاختراق Intrusion Detection Systems (IDS) ، وأنظمة وبرمجيات مقاومة الفيروسات اهمية متزايدة ، لكنها لا تمثل جميعها وسائل الأمن المستخدمة ، بل هي اضافة لوسائل التعريف والتوثيق المتقدم الاشارة اليها تمثل اهم وسائل الأمن التقنية في الوقت الحاضر ، وسنعرض لهذه الوسائل بالقدر المتاح مع بيان اهم مسائلها من خلال ادلة الأمن المعتمدة دوليا وبعض المعايير والمقاييس السائدة بشأنها في البند 1-5 من هذا الفصل .
3 . ما هــــي المخاطر والتهديدات ونقاط الضعف وانواع الهجمــات والاعتداءات واساليبها التقنية ؟
في المفاهيم والاصطلاحات :-
ان الحدود بين الجريمة والفعل غير الاخلاقي تبدو غير واضحة المعالم في بيئة الكمبيوتر والإنترنت ، وتمييز وضبط هذه الحدود هو المسألة الجوهرية لتحديد متى يمكن ان يعد فعل ما جريمة من بين جرائم الكمبيوتر والإنترنت او انه مجرد إساءة استخدام لا ينطوي على قصد جرمي وهي المسألة التي أحدثت جدلا واسعا في مطلع الستينات وحتى منتصف السبعينات وهي ذات الفترة التي شهدت ميلاد ظاهرة جرائم الكمبيوتر ، ومن جديد يعود هذا الجدل بسبب شيوع استخدام الإنترنت وما حملته من انشطة جديدة لا يزال الخلاف قائما حول ما اذا كانت جريمة أم انها مجرد ممارسة غير مقبولة كسلوك أخلاقي لكنها لا ترقى الى حد الجريمة.
فعلى سبيل المثال ، ثمة جدل واسع في هذه الأيام حول ما اذا كانت رسائل البريد الإلكتروني الإعلانية التي توجه بكميات كبيرة الى المستخدم دون رغبته او دون طلبها من قبيل ممارسة خاطئة أم فعلا يوجب المساءلة ، فمع اتساع هذه الظاهرة واستخدامها في حالات كثيرة لضخ آلاف الرسائل الى نظام معين في وقت معين بقصد تعطيل عمله ، ومن اجل تحقيق اعتداء انكار الخدمة ، والتذرع بعد ذلك ان الفعل ليس اكثر من خطا في عملية الإرسال لرسائل إعلانية سبق إرسالها للموقع ، ومع بروز الكثير من المشكلات المتصلة بهذه الظاهرة والتي تهدد الخصوصية وتهدد أيضا سلامة استخدام النظام نفسه ، وجدت المؤسسات التشريعية نفسها في العديد من الدول مضطرة الى إعادة تقييم الموقف من البريد الإلكتروني والرسائل غير المرغوب بها ، وهو ما أدى الى تقديم مجموعة من التشريعات امام المؤسسات التشريعية في الدول الغربية كما في أمريكا والاتحاد الأوروبي تنظم مسائل البريد الإلكتروني وتهدف الى مكافحة المظاهر السلبية والأفعال غير المشروعة التي تنطوي عليها هذه الظاهرة ، ومع ذلك لا يزال ثمة جدال فيما اذا كانت هذه انشطة جريمة أم انها سلوكيات قد لا تكون مقبولة من الناحية الأخلاقية والمهنية لكنها لا تشكل جرما .
ان غرض هذا التقديم محاولة تقديم تحديد منضبط للاصطلاحات المستخدمة في عالم جرائم الكمبيوتر والإنترنت ، لجهة التمييز بين العديد من الاصطلاحات التي يجري الخلط بينها ، فثمة فرق بين الجريمة الإلكترونية ، الإرهاب الإلكتروني ، حرب المعلومات ، المخاطر ، الحوادث ، نقاط الضعف ، والأخطاء ، الاختراقات ، حرب المعلومات ....... وغيرها .
4. ما هي وسائل الأمن التقنية ؟؟
نطاق معالجة وسائل الأمن في هذه المعالجة ومنطلقاته
ان ما نتحدث عنه هنا ليس تحديدا لمنتجات الأمن التي لا يمر يوم دون وجود منتج جديد ، ولا يمر يوم أيضا دون إعادة تقييم لوسائل الأمن ، وهي وسائل ومنتجات تتوزع بين الوسائل المادية للحماية وبرمجيات وحلول الحماية ، ونظريات وبروتوكولات الحماية ، ولا نبالغ ان قلنا ان سوق وسائل الأمن اصبح يتقدم في عدد منتجاته على سوق الاجهزة ذاتها والحلول ، لان كل منتج وكل برنامج جديد يتطلب قدرا معينا من وسائل الحماية الفنية .
كما ان هذا الدليل لا يقيم وسائل الأمن القائمة ، فيتحدث مثلا عن مدى فعالية الجدران النارية او مدى مقدرة الشبكات الخاصة الافتراضية على توفير الأمن والثقة ، انما يعرض فقط للشائع من طوائف وسائل أمن المعلومات بوجه عام والتي تندرج في نطاق كل طائفة منها آلاف الوسائل التي تتباين تبعا للاحتياجات وتبعا لطبيعة محل الحماية .
ولهذا ، وعند الحديث عن اية وسائل ، ثمة منطلق رئيس ، وثمة ادلة تفصيلية :-
المنطلــق - لكل وسائله ، والخطا في الاستنساخ واغفال الاحتياج الحقيقي كالخطأ في اغفال الحماية.
الخطأ السائد يكمن في الاعتقاد ان نظم الكمبيوتر والشبكات تتشابه من حيث احتياجاتها الأمنية، اذ حتى في نطاق الطائفة الواحدة من أنظمة الكمبيوتر التي تستخدم نفس برمجيات التشغيل او تعتمد نفس وسائل التشبيك وحلول الشبكات وتجهيزاتها ، فان اختلافا في متطلبات الحماية لما يزل قائما ومرد لك التباين بين طبيعة العمليات التي يقوم بها النظام والتباين بين طبيعة المعطيات نفسها ، والتباين بين وسائل الاستخدام والمستخدمين ، واخيرا ، التباين في درجة التوازن المطلوبة ما بين إجراءات الأمن واداء وفعالية النظام نفسه .
ان بناء وسائل أمن فاعلة يتطلب الانطلاق من احتياجات المؤسسة الخاصة واغراض الأمن فيها ، ويقوم – كما سبق واوضحنا وكما سنوضح تاليا في البند 1-5 ، على ادراك الاحتياجات الداخلية فما نحميه يختلف عما يحميه غيرنا ، ومصادر الخطر التي تواجه مؤسسة مالية مثلا تختلف عن المخاطر التي تواجه مؤسسة عسكرية او تواجه نظام كمبيوتر مستخدم فرد . واحتياجات حماية جهاز الكمبيوتر وبرمجياته والمعطيات المخزنة فيه يتخلف عن احتياجات حماية شبكة داخلية او حماية الارتباط بشبكة عالمية.
ولهذا فان تقنيات الحماية مرتبطة بعامل الاحتياجات الخاصة المعتمدة على تقدير قائم على ركائز وحقائق سليمة ، ويعتمد أيضا على التوازن بين متطلبات الحماية وسرعة الأداء ، والتوازن أيضا بين متطلبات الحماية والميزانية المرصودة لتوظيف وسائل الأمن . ومنطق استخدام تقنيات إحدى الشركات لمجرد انها عالمية او مميزة ، منطق لا يتفق مع إستراتيجية الأمن ذاته ، ولا نبالغ ان قلنا ان مئات المؤسسات – وتحديا المالية – استخدمت حزما من التقنيات في ضمنها مثلا جدران نارية وبرمجيات تشفير - كانت فاعلة في حالات أخرى - لم تكن لتحل مشكلاتها الأمنية ، وفي الوقت ذاته اذا تمكنت من حلها فانها أحدثت اثرا سلبيا على كفاءة الأداء وفعالية النظام .
الادلة التقنية - لكل طائفة من وسائل الأمن مؤسساتها وادلتها التقنية وثمة تخصصية متنامية في نطاق كل وسيلة منها .
ان سوق الوسائل التقنية في مرحلة ما كان مجرد منتجات وخدمات مضافة الى طائفة منتجات وخدمات شركات تقنية المعلومات المختلفة وغالبا ما تكون وسائل في خدمة بقية منتجاتها وخدماتها ومع ان شركات تقنيات المعلومات لما تزل في غالبيتها تخصص وحدات من بين وحدات نشاطها لوسائل الأمن فان سوق تقنية المعلومات انتقل الى التخصصية ، فنشأت شركات عملاقة تعمل في حقل أمن المعلومات ، وسائله وحلوله ، واتجهت الدراسات البحثية والاستراتيجية والعلمية وحتى القانونية الى التعامل مع وسائل الأمن على استقلال ، فثمة ادلة ودراسات شاملة في ميدان الفايروسات ووسائل مكافحتها وثمة مثلها في ميدان التشفير وحلوله ، واخرى في ميدان وسائل التعريف والتحكم في الدخول الى النظام، وهكذا .
5. ما هي استراتيجية أمن المعلومات وكيف يتم بناؤها ؟؟
مفاهيم ومحددات اولية
ما هي استراتيجية أمن المعلومات Security Policy ؟
ان استراتيجية أمن المعلومات ، او سياسة أمن المعلومات هي مجموعة القواعد التي يطبقها الأشخاص لدى التعامل مع التقنية ومع المعلومات داخل المنشأة وتتصل بشؤون الدخول الى المعلومات والعمل على نظمها وادارتها .
ما هي اهداف استراتيجية أمن المعلومات ؟
تهدف استراتيجية أمن المعلومات الى :-
• تعريف المستخدمين والاداريين بالتزاماتهم وواجباتهم المطلوبة لحماية نظم الكمبيوتر والشبكات وكذلك حماية المعلومات بكافة اشكالها ، وفي مراحل ادخالها ومعالجتها وخزنها ونقلها واعادة استرجاعها .
• كما تهدف الاستراتيجية الى تحديد الإلكترونية التي يتم من خلالها تحقيق وتنفيذ الواجبات المحددة على كل من له علاقة بالمعلومات ونظمها وتحديد المسؤوليات عند حصول الخطر .
• بيان الإجراءات المتبعة لتجاوز التهديدات والمخاطر والتعامل معها والجهات المناط بها القيام بها بذلك .
من الذي يعد استراتيجية أمن المعلومات ؟؟
لدى إعداد اية استراتيجية بشأن أمن المعلومات ، ولكي تكون هذه الاستراتيجية فاعلة ومنتجة وهادفة لا بد ان يساهم في اعدادها وتفهمها وتقبلها وتنفيذها مختلف مستويات الوظيفة في المنشأة الواحدة اضافة الى حاجتها الى التعاون والدعم الكامل من الكافة ، من هنا فان المعنيين باعداد سياسة أمن المعلومات يتوزعون الى مراتب وجهات عديدة داخل المنشأة ، لكن بوجه عام تشمل مسؤولي أمن الموقع ومديري الشبكات وموظفي وحدة الكمبيوتر ومديري الوحدات المختلفة في المنشأة كوحدة الاعمال والتسويق والبحث وغيرها وتشمل أيضا فريق الاستجابة للحوادث والاعطال وممثلي مجوعات المستخدمين ومستويات الادارة العليا الى جانب الادارة القانونية .
2 تصنيف المخاطر تبعا لموضع المعلومة من النظام وتبعا للواسطة التقنية
ان المعلومات تتعرض للعديد من المخاطر في مراحل الجمع والمعالجة والاسترجاع – سواء قراءة او طباعة او تنزيلا – وفي مرحلة النقل والتبادل وفي مرحلة التخزين ، وهذه المخاطر تختلف تبعا لهذه العمليات ذاتها ، اذ لكل مرحلة مخاطرها ووسائل حمايتها الخاصة . وبشكل عام فان اغلب قوائم تصنيف المخاطر تعتمد معيار موضع المعلومات من النظام ، ومن ذلك مثلا قائمة منظمة الشرطة العالمية / الانتربول التي نعرضها تاليا والتي تقوم – من ضمن معياريها - على تبويب المخاطر تبعا لموضع المعلومة أولا حيث تصنف الى ثلاثة طوائف :-
6- طائفة المخاطر التي تتعرض لها المعلومات في مرحلة خلق واسترجاع وتعديل والغاء المعلومات ، وجامعها وجود المعلومات داخل النظام .
- READ/CREATE/MODIFY/DELETE refers to information (data and software) inside the computer system
- طائفة المخاطر التي تتعرض لها المعلومات في مرحلة النقل ، أي التبادل بين أنظمة الكمبيوتر .
- TRANSPORT refers to information (data and software) 'transported' via a network or on media
- طائفة المخاطر التي تتعرض لها المعلومات في مرحلة التخزين على وسائط خارج النظام .
- STORE refers to information (data and software) when it is stored on computer media and taken out of the computer system. (I.e. back-up tapes/diskettes).
كما ان المخاطر تختلف تبعا لواسطة تقنية المعلومات مدار البحث ، فليست مخاطر الشبكات والدخول عبرها الى نظم الكمبيوتر ، كمخاطر الكمبيوترات غير المرتبطة بالشبكة ، ومخاطر الانترانت او الاكسترانت تختلف عن مخاطر الإنترنت ، وحماية الكمبيوتر الشخصي يختلف عن حماية السيرفرات العملاقة التي تدير شبكة معلومات وتتحكم بها ، ومخاطر مواقع التجارة الإلكترونية والأعمال الإلكترونية على الشبكة تختلف عن مخاطر موقع معلوماتي ليس اكثر من ( بروفايل ) إعلاني ، كما ان ثغرات ونقاط الضعف تختلف تبعها للوسيلة او الواسطة او التقنية مدار البحث . ومن هذه الزاوية ثمة :- مخاطر وثغرات الشبكات سواء المحلية او المناطقية او الدولية – الإنترنت . وكذلك مخاطر وتهديدات الاجهزة بانواعها ( الكمبيوترات الكبرى الرئيسية ، الشخصية ، المحمولة .. الخ مخاطر تطال المعطيات والبرمجيات بمختلف مناطق وجودها داخل وخارج النظام.
وهذا هو المعيار الثاني الذي يمثل الى جانب معيار موضع المعلومة الاساس في قائمة المخاطر والأساليب التقنية للاعتداء المحددة من قبل جهات عديدة لتنفيذ القانون منها الشرطة الدولية ( الانتربول ).
7- هل هناك مخاطر قانونية خاصة في بيئة المشاريع المعلوماتية ؟؟
احد اهم الانشطة الحديثة في ميدان بناء مشروعات المعلوماتية وتحديدا انشاء المواقع على شبكة الانترنت كمواقع التسويق والتجارة الالكترونية ومواقع الاعمال المالية الالكترونية ، وضع تصور شامل للمخاطر القانونية المتوقع ان تواجه الموقع وتحديد الاليات القانونية للتعامل معها ، وهي عملية تشبه تماما عملية تحليل المخاطر التقنية تباشرها الجهات القانونية المؤهلة في حقل قانون تقنية المعلومات ، ولا نبالغ ان قلنا ان مواقع الانترنت العربية ومشروعات الاستثمار المعلوماتي العربية تفتقر لرؤيا وتصور في هذا الحقل واذا كان خطر اغفال المخاطر القانونية يطال كافة المواقع والمؤسسات فانه يصبح خطرا مضاعفا في بيئتي التجارة الالكترونية والاعمال الالكترونية خاصة الاعمال المصرفية اللاسلكية والاعمال المصرفية الالكترونية على شبكة الانترنت .
وتحليل المخاطر القانونية عملية مستمرة تبدا من لحظة الشروع والاعداد للمشروع ، فتحدد كافة احتياجات المشروع القانونية اضافة الى تحليل العمليات التقنية والتسويقية والخدمية والادائية الداخلية والخارجية المتصلة بالمشروع من زاوية العلاقات القانونية والمسؤوليات القانونية ، وتحديد متطلبات الحماية القانونية ومواجهة المسؤوليات المتوقعة .
8- متى توصف أستراتيجية أمن المعلومات بانها ناجحة ؟؟
من حيث فعالية الاستخدام :- لكي توصف استراتيجية أمن المعلومات بانها أساسي ناجحة يتعين ان تعمم بشكل شامل على كافة قطاعات الادارة وان تكون مقبولة واقعية من المناط بها تنفيذها الى جانب توفر الادلة التوجيهية والارشادية لضمان إدامة التنفيذ وعدم التقاعس فيه والتنفيذ هنا هو الاستخدام الفعلي لأدوات الحماية التقنية من جهة والتطبيق الفعلي لقواعد العمل والتعامل مع البيانات ونظمها من جهة أخرى ، ولا تحقق الاستراتيجية نجاحا ان كان ثمة غموض فيها لهذا لا بد ان تكون واضحة دقيقة في محتواها ومفهومة لدى كافة المعنيين .
أما من حيث المحتوى :- فان أساسي أمن المعلومات تمتد الى العديد من المناحي المتصلة بنظم المعلومات وادارتها والتعامل معها اضافة الى المسائل المتعلقة بالمعلومات ذاتها وتعامل الغير مع معلومات المنشأة ، من هنا تشمل الاستراتيجية سياسة واضحة بشأن اقتناء وشراء الاجهزة التقنية وادواتها ، والبرمجيات ، والحلول المتصلة بالعمل ، والحلول المتعلقة بادارة النظام . كما تشمل استراتيجية الخصوصية المعلوماتية ، وهي التي تحدد مراتب المعلومات وقيمتها ووصفها من حيث السرية كما تبين الاستثناءات التي تعتمدها الاستراتيجية على حق الخصوصية لموظفي المنشأة مع مبررات هذه الاستثناءات ، كرقابة البريد الإلكتروني مثلا او رقابة الدخول الى المنشأة او رقابة الوصول الى ملفات المستخدمين بالمنشأة . ومن حيث الدخول الى الشبكات والمعلومات فلا بد من استراتيجية دخول واضحة تحدد حقوق وامتيازات كل شخص في المنشأة للوصول الى ملفات او مواقع معينة في النظام اضافة الى سياسة بشأن التعامل مع الاتصالات الخارجية ، المعطيات اجهزة ووسائل الاتصال المستخدمة ، اضافة البرامج الجديدة ، استراتيجيات المراسلة مع الآخرين .
وتضم استراتيجية المعلومات أيضا استراتيجية الاشتراكات التي تحدد سياسة المنشأة بشأن اشتراكات الغير في شبكتها او نظمها ، وكذلك استراتيجيات التعامل مع المخاطر والأخطاء بحيث تحدد ماهية المخاطر وإجراءات ابلاغ عنها والتعامل معها والجهات المسؤولة عن التعامل مع هذه المخاطر .
9- ما هي منطلقات واساس استراتيجية أمن المعلومات ؟؟
يتعين ان تنطلق أساسي أمن المعلومات من تحديد المخاطر ، اغراض الحماية ، ومواطن الحماية ، وأنماط الحماية اللازمة ، وإجراءات الوقاية من المخاطر ، وتتلخص المنطلقات والاسس التي تبنى عليها استراتيجية أمن المعلومات القائمة على الاحتياجات المتباينة لكل منشأة من الاجابة عن تساؤلات ثلاث رئيسة :- ماذا اريد ان احمي ؟؟ مِن ماذا احمي المعلومات ؟؟ كيف احمي المعلومات ؟؟
اغراض حماية البيانات الرئيسة .
1 - السرية CONFIDENTIALITY : التأكد من ان المعلومات لا تكشف ولا يطلع عليها من قبل اشخاص غير مخولين بذلك .
2 - التكاملية وسلامة المحتوى INTEGRITY : التأكد من ان محتوى المعلومات صحيح لم يتم تعديله او العبث به وبشكل خاص لن يتم تدمير المحتوى او تغيره عن طريق تدخل غير مشروع .
3 - استمرارية توفر المعلومات او الخدمة AVAILABILITY :- التأكد من ان مستخدم المعلومات لن يتعرض الى انكار استخدامه لها او دخوله اليها .
10- مناطق أمن المعلومات
1 - أمن الاتصالات : ويراد بأمن الاتصالات حماية المعلومات خلال عملية تبادل البيانات من نظام الى اخر
2 - أمن الكمبيوتر : ويراد به حماية المعلومات داخل النظام بكافة أنواعها وانماطها كحماية نظام التشغيل و حماية برامج التطبيقات وحماية برامج ادارة البيانات وحماية قواعد البيانات بانواعها المختلفة .
ولا يتحقق أمن المعلومات دون توفير الحماية المتكاملة لهذين القطاعين عبر معايير امنية تكفل توفير هذه الحماية ، ومن خلال مستويات أمن متعددة ومختلفة من حيث الطبيعة .
11- انماط ومستويات أمن المعلومات
1 - الحماية المادية : وتشمل كافة الوسائل التي تمنع الوصول الى نظم المعلومات وقواعدها كالاقفال والحواجز والغرف المحصنة وغيرها من وسائل الحماية المادية التي تمنع الوصول الى الاجهزة الحساسة .
2- الحماية الشخصية : وهي تتعلق بالموظفين العاملين على النظام التقني المعني من حيث توفير وسائل التعريف الخاصة بكل منهم وتحقيق التدريب والتأهيل للمتعاملين بوسائل الأمن الى جانب الوعي بمسائل الأمن ومخاطر الاعتداء على المعلومات .
3 - الحماية الإدارية : ويراد بها سيطرة جهة الادارة على ادارة النظم المعلومات وقواعدها مثل التحكم بالبرمجيات الخارجية او الاجنبية عن المنشأة ، ومسائل التحقيق باخلالات الأمن ، ومسائل الاشراف والمتابعة لأنشطة الرقابة اضافة الى القيام بانشطة الرقابة ضمن المستويات العليا ومن ضمنها مسائل التحكم بالاشتراكات الخارجية .
4 - الحماية الاعلامية- المعرفية : كالسيطرة على إعادة انتاج المعلومات وعلى عملية إتلاف مصادر المعلومات الحساسة عند اتخاذ القرار بعدم استخدامها .
11- المخاطر
هناك مخاطر عديدة يمكن ان تواجه نظام المعلومات بما في ذلك أنظمة التجارة الإلكترونية وابرز هذه المخاطر ما يلي :
1 - اختراق الأنظمة : ويتحقق ذلك بدخول شخص غير مخول بذلك الى نظام الكمبيوتر والقيام بأنشطة غير مصرح له بها كتعديل البرمجيات التطبيقية وسرقة البيانات السرية او تدمير الملفات او البرمجيات او النظام او لمجرد الاستخدام غير المشروع . ويتحقق الاقتحام بشكل تقليدي من خلال انشطة ( التقنيع والتخفي ) ويراد به تظاهر الشخص المخترق بانه شخص اخر مصرح له بالدخول . او من خلال استغلال نقاط الضعف في النظام كتجاوز إجراءات السيطرة والحماية او من خلال المعلومات التي يجمعها الشخص المخترق من مصادر مادية او معنوية ، كالتنقيب في قمامة المنشأة للحصول على كلمات السر او معلومات عن النظام او عن طريق الهندسة الاجتماعية كدخول الشخص الى مواقع معلومات حساسة داخل النظام ككلمات السر او المكالمات الهاتفية .
2 - الاعتداء على حق التخويل : ويتم من خلال قيام الشخص المخول له استخدام النظام لغرض ما باستخدامه في غير هذا الغرض دون ان يحصل على التخويل بذلك ، وهذا الخطر يعد من الأخطار الداخلية في حقل إساءة استخدام النظام من قبل موظفي المنشأة ، وهو قد يكون أيضا من الأخطار الخارجية ، كاستخدام المخترق حساب شخص مخول له باستخدام النظام عن طريق تخمين كلمة السر الخاصة به او استغلال نقطة ضعف بالنظام للدخول اليه بطريق مشروع او من جزء مشروع ومن ثم القيام بانشطة غير مشروعة .
3 - زراعة نقاط الضعف : عادة ينتج هذا الخطر عن اقتحام من قبل شخص غير مصرح له بذلك او من خلال مستخدم مشروع تجاوز حدود التخويل الممنوح له بحيث يقوم الشخص بزرع مدخل ما يحقق له الاختراق فيما بعد . ومن اشهر امثلة زراعة المخاطر حصان طروادة ، وهو عبارة عن برنامج يؤدي غرضا مشروعا في الظاهر لكنه يمكن ان يستخدم في الخفاء للقيام بنشاط غير مشروع ، كان يستخدم برنامج معالجة كلمات ظاهريا لتحرير وتنسيق النصوص في حين يكون غرضه الحقيقي طباعة كافة ملفات النظام ونقلها الى ملف مخفي بحيث يمكن للمخترق ان يقوم بطباعة هذا الملف والحصول على محتويات النظام .
4 - مراقبة الاتصالات : بدون اختراق كمبيوتر المجني عليه يتمكن الجاني من الحصول على معلومات سرية غالبا ما تكون من المعلومات التي تسهل له مستقبلا اختراق النظام وذلك ببساطة من خلال مراقبة الاتصالات من إحدى نقاط الاتصال او حلقاتها .
5 - اعتراض الاتصالات : وكذلك بدون اختراق النظام يقوم الجاني في هذه الحالة باعتراض المعطيات المنقولة خلال عملية النقل ويجري عليها التعديلات التي تتناسب مع غرض الاعتداء ويشمل اعتراض الاتصالات قيام الجاني بخلق نظام وسيط وهمي بحيث يكون على المستخدم ان يمر من خلاله ويزود النظام بمعلومات حساسة بشكل طوعي .
6 - انكار الخدمة : ويتم ذلك من خلال القيام بأنشطة تمنع المستخدم الشرعي من الوصول الى المعلومات او الحصول على الخدمة وابرز انماط انكار الخدمة ارسال كمية كبيرة من رسائل البريد الإلكتروني دفعة واحدة الى موقع معين بهدف اسقاط النظام المستقبل لعدم قدرته على احتمالها او توجيه عدد كبير من عناوين الإنترنت على نحو لا يتيح عملية تجزئة حزم المواد المرسلة فتؤدي الى اكتظاظ الخادم وعدم قدرته على التعامل معه .
7 - عدم الاقرار بالقيام بالتصرف : ويتمثل هذا الخطر في عدم اقرار الشخص المرسل اليه او المرسل بالتصرف الذي صدر عنه ، كأن ينكر انه ليس هو شخصيا الذي قام بارسال طلب الشراء عبر الإنترنت
وتنطلق الاستراتيجية الفاعلة من القدرة على ايجاد نظام متواصل لعملية تحليل المخاطر وتحديد احتياجات الحماية ، وعملية تحليل المخاطر هي في حقيقتها نظام متكامل للتحليل وسلامة التصرف تبدأ من الاعداد الجيد القائم على فهم وادراك وتحديد عناصر النظام والعمليات والمخاطر ، ومن ثم تحديد معايير التهديد ونطاق الحماية المطلوب منها وتبعا له وسائل الحماية ، لتنتهي ببيان معيار الخسارة المقبولة التي يتصور تحققها بغض النظر عن مستوى الحماية ومستوى الاستعداد للمواجهة.
12-الوقاية من مخاطر الاعتداء على المعلومات
في ميدان حماية الاتصالات وحماية الكمبيوتر يعبر عن إجراءات الوقاية بخدمات الأمن ، ولا يقصد بها الخدمات بالمعنى المعروف ، وانما اطلق هذا التعبير جراء نشوء شركات متخصصة بأمن المعلومات تقدم هذه الخدمات ، وبالعموم فان هناك خمسة أنواع اساسية لخدمات الأمن تستهدف حماية خمسة عناصر رئيسة في ميدان المعلومات وهي :
1 - خدمات ( وسائل ) حماية التعريف Identification and Authentication هذه الخدمات تهدف الى التثبت من الهوية وتحديدا عندما يقوم شخص ما بالتعريف عن نفسه فان هذه الخدمات تهدف الى التثبت من انه هو الشخص نفسه ولهذا فان التعريف يعد الوسائل التي تحمي من انشطة التخفي والتنكر ومن هنا فان هناك نوعين من خدمات التعريف الاول تعريف الشخصية واشهر وسائلها كلمات السر وثانيها التعريف بأصل المعلومات كالتثبت من أصل الرسالة .
2 - خدمات ( وسائل ) السيطرة على الدخول Access Control : وهذه الخدمات تستخدم للحماية ضد الدخول غير المشروع الى مصادر الأنظمة والاتصالات والمعلومات ويشمل مفهوم الدخول غير المصرح به لأغراض خدمات الأمن الاستخدام غير المصرح به والافشاء غير المصرح به ، والتعديل غير المصرح به ، والاتلاف غير المصرح به ، واصدار المعلومات والاوامر غير المصرح بها ولهذا فان خدمات التحكم بالدخول تعد الوسائل الاولية لتحقيق التخويل والتثبت منه .
3 - خدمات ( وسائل ) السرية Data and message Confidentiality: هذه الخدمات تحمي المعلومات من الافشاء للجهات غير المصرح لها بالحصول عليها ، والسرية تعني بشكل عام اخفاء المعلومات من خلال تشفيرها على سبيل المثال او من خلال وسائل أخرى كمنع التعرف على حجمها او مقدارها او الجهة المرسلة اليها .
4 - خدمات ( وسائل ) حماية التكاملية وسلامة المحتوى Data and message Integrity: هذه الخدمات تهدف الى حماية مخاطر تغيير البيانات خلال عمليات ادخالها او معالجتها او نقلها وعملية التغيير تعني بمفهوم الأمن هنا الالغاء او التحوير او إعادة تسجيل جزء منها او غير ذلك وتهدف هذه الوسائل أيضا الى الحماية من انشطة تدمير المعطيات بشكل كامل او إلغائها دون تخويل .
5 - خدمات ( وسائل ) منع الانكار Non-repudiation: وهذه الخدمات تهدف الى منع الجهة التي قامت بالتصرف من انكار حصول نقل البيانات او النشاط من قبلها .
وتعد الخدمات الخمس المتقدمة مناطق الحماية الاساسية في حقل المعلومات ، فالحماية يتعين ان تمتد الى التعريف ، انشطة الدخول ، السرية ، سلامة المحتوى ، منع عدم الانكار .
ماذا عن إستراتيجية أمن الإنترنت ؟؟؟
تنصب أساسي أمن المعلومات في حقل تحقيق أمن الإنترنت على مواضع ثلاث :- أمن الشبكة ، أمن التطبيقات ، أمن النظم . وكل منها ينطوي على قواعد ومتطلبات تختلف عن الأخرى ويتعين ان تكون أنظمة الأمن في هذه المواضع الثلاث متكاملة مع بعضها حتى تحقق الوقاية المطلوبة لأنها بالعموم تنطوي أيضا على اتصال وارتباط بمستويات الأمن العامة كالحماية المادية والحماية الشخصية والحماية الإدارية والحماية الإعلانية . وفيما تقدم اشرنا الى العناصر المتصلة بأمن النظم والبرمجيات والمعطيات وبقي ان نشير في هذا المقام الى أمن الشبكات :-
ان ما يحمى من خلال أمن الشبكة هو عملية الاتصال والتبادل بين أحد كمبيوترات الشبكة (النظام النهائي سواء اكان نظام الزبون ان نظام المستضيف ( الخادم ) وبين كمبيوتر اخر ضمن الشبكة ، فإذا ارتبط النظام النهائي بالإنترنت مباشرة دون وجود وسائل أمن ما بين هذا النظام والشبكة فان اية حزمة بيانات مرسلة قد يلحق بها ما يلي :
أ - قد يتم تغيرها خلال عملية النقل
ب - قد لا تظهر من حيث مصدرها من الجهة التي قدمت منها
ج - قد تكون جزء من هجوم يستهدف النظام
د - قد لا تصل الى العنوان المرسلة اليه
هـ - قد يتم قراءتها والاطلاع عليها وافشاؤها من الغير .
ويهدف أمن الشبكات من جهة أخرى الى حماية الشبكة نفسها واظهار الثقة لدى مستخدم النظام النهائي بتوفر وسائل الحماية في تعامله مع الشبكة وكذلك اظهار الشبكة ذاتها بانها تحتوى على وسائل أمن لا تتطلب معها ان يكون كمبيوتر المستخدم محتويا على وسائل خاصة .
وتتضمن وسائل أمن الشبكة ما يلي : -
1 - التعريف والسلامة من خلال تزويد نظام المستقبل بالثقة في حماية حزم المعلومات والتأكد من ان المعلومات التي وصلت لم يتم تعديلها .
2 - السرية : حماية محتوى حزم المعلومات من الافشاء الا للجهات المرسلة اليها .
3 - التحكم بالدخول : تقيد الاتصالات بحصرها ما بين النظام المرسل والنظام المستقبل .
13- قوائم المراجعة والتدقيق – ديمومة المراجعة واطار بناء خطط واستراتيجيات الأمن
هناك العديد من قوائم التدقيق والمراجعة حول مسائل أمن المعلومات ومتطلبات سياسات واستراتيجيات أمن المعلومات والنظم والاتصالات ، وتقوم بالاساس على توفير نوع من دليل المراجعة الذي يساعد المؤسسات او الافراد في بناء أساسي الأمن وتحديد اطار عام لواجبات الموظفين والمستشارين و المعنيين بشؤون ادارة نظم المعلومات والاتصال وتطبيقاتهما وبنفس الوقت تقدم هذه القوائم او ادلة المراجعة المؤسسات والافراد اطار عاما لفهم عناصر ومتطلبات بناء نظم الأمن الخاصة بالكمبيوتر والشبكات .
ومن بين المسائل التي تعالجها عادة هذه القوائم :-
- مسائل واجبات جهات الادارة للتحقق من وجود سياسة أمن المعلومات موثقة ومكتوبة والتحقق من وجود عمليات تحليل المخاطر وخطة الأمن وبناء الأمن التقني وسياسة ادارة الاتصالات الخارجية ، ومدى معرفة واطلاع الموظفين على السياسة الأمنية ومعرفتهم بواجباتهم ، ومدى توفر تدريب على مسائل الأمن وما اذا كان يخضع الموظفون الجدد لتدريب وتعريف حول محتوى الخطة .
- مسائل تنظيم شؤون ادارة الأمن ، والتي تتعلق بوجود جهة مختصة بذلك في المؤسسة وما اذا كان هنالك دليل مكتوب ، وخطط ومسؤولية التعامل مع إجراءات التنفيذ والتعريف والتعامل مع الحوادث ومع خطط الطوارئ وغيرها.
- مسائل الموظفين أنفسهم من حيث مدى فحص التأهيل والكفاءة ومدى التزام الموظفين بتحقيق معايير الأمن على المستوى الشخصي او فيما يتعلق بواجباتهم ، وأغراضها المتصلة بالامن لدى تعيين الموظفين وخلال عملهم ولدى انتهاء خدمتهم لأي سبب ، وتتصل أيضا بمدى توفر نصوص عقدية خاصة في عقود الموظفين ومدى توفر وصف دقيق بوجباتهم الوظيفية المتصلة بإلحاق المعلومات .
- مسائل جهات تزويد الخدمة او المشورة كالمستشارين والمدققين وغيرهم من حيث تغطية عقود التعامل معهم لمسائل الأمن المختلفة .
- مسائل تصنيف المعلومات من حيث توفرها ومعاييرها .
- مسائل البرمجيات من حيث سياسات شرائها واستخدامها وتنزيلها ومسائل الرخص المتصلة بها وآليات التعامل مع البرمجيات المطورة داخليا وحقوق الوصول اليها واستخدامها ، ومسائل حماية البرمجيات التقنية والقانونية .
- مسائل الاجهزة والمعدات من حيث توفر تصور للاحتياجات وتوفير المتطلبات ومعايير توظيف الاجهزة في العمل ، واسخداماتها والغاء استخدامها ومسائل صيانة والتدقيق .
- مسائل التوثيق ، وهي الذي تتعلق مدى توفر استراتيجية توثيق لكافة عناصر النظام ولكافة مرتكزات وعمليات خطط الأمن وسياساتها.
- المسائل المتصلة بوسائط التخزين خارج النظام من حيث تحديد وسائط التخزين المستخدمة وتبويبها وحفظها والوصول اليها وتبادلها واتلافها .
- مسائل التعريف والتوثق من شخصية المستخدم وحدود صلاحيات والتفويض ، وتتعلق بالتحقق من توفر سياسة التحكم بهذه العناصر والوسائل المستخدمة في تحديد الهوية والتوثق من المستخدم ، واستراتيجيات حماية وسائل التعريف تقنيا واداريا، ومدى صلاحية المستخدمين من الخارج او من داخل المؤسسة بشأن الوصول للمعلومات او قطاعات منها ، ومسائل التحقق من تصرفات المستخدم ، مسائل أمن النظام من حيث توفر وسائل التثبت من حيث وقت الاستخدام و المستخدمين .
- مسائل الاتصالات من حيث السيطرة على وسائل وتطبيقات الاتصالات الداخلية والخارجية وتوثيق حركات الاتصال وحماية عمليات الاتصال والمعايير التقنية المستخدمة في ذلك واستراتيجيات سرية ورقابة وتتبع واستخدام البريد الإلكتروني .
- مسائل ادارة الملفات وسجلات الأداء واستخدام النظام من حيث توفر وسائل توثيقها وارشفتها والتثبت من جهات الانشاء والتعديل والتعامل مع الملفات وقواعد البينات والبرامج التطبيقية .
- مسائل النسخ الاحتياطية من البيانات من حيث وقت عمل النسخ الاحتياطية وتخزينها واستخداماتها وتبويبها وتوثيقها وتشفيرها اذا كانت مما يتطلب ذلك .
- مسائل الحماية المادية من حيث التوثق من توفير وسائل وإجراءات الحماية للاجهزة الكمبيوتر والشبكات والبنى التحتية من ومسائل الطاقة والتوصيلات ومدى توفر وسائل الوقاية من الحوادث الطبيعة او المتعمدة اضافة الى وسائل حماية مكان وجود الاجهزة والوسائط وادلة الأمن المكتوبة ، والوسائل المادية للوصول الى الاجهزة واستخدامها من المخولين بذلك .
- مسائل التعامل مع الحوادث والاعتداءات ، من حيث توفر فريق لذلك وأغراضها التي يقوم بها الفريق لهذه الغاية اضافة الى وجود ارتباط مع جهات التحقيق الرسمية وجهات تطبيق القانون وجهات الخبرة المتخصصة بالمسائل المعقدة او التي لا تتوفر كفاءات للتعامل معها داخل المؤسسة .
- مسائل خطط الطوارئ وخطط التعافي لتخفيف الاضرار والعودة للوضع الطبيعي .
- مسائل الاعلام المتعلقة بالمعلومات المتعين وصولها للكافة او لقطاعات محددة والتحقق من وضوح استراتيجية التعامل الاعلامي مع الحوادث والاعتداءات المتحققة .
ومع ان قوائم المراجعة هذه تتباين من مؤسسة الى أخرى ، ومن شخص الى اخر ، تبعا للواقع والاحتياجات وطبيعة النظام والمعلومات والتطبيقات العملية الا ان الكثير منها يصلح كإطار عام ومرجعية لدى وضع هذه القوائم والأدلة ، ومن ابرزها القوائم التي وضعها مجموعة خبراء في حقل أمن المعلومات واعتمدتها منظمة الشرطة الدولية – الانتربول.
ماهيتها وعناصرها واستراتيجياتها
1. مـا المقصـود بأمـــن المعلومات وما هـي عناصره ؟
أمن المعلومات ، من زاوية اكاديمية ، هو العلم الذي يبحث في نظريات واستراتيجيات توفير الحماية للمعلومات من المخاطر التي تهددها ومن انشطة الاعتداء عليها . ومن زاوية تقنية ، هو الوسائل والادوات والاجراءات اللازم توفيرها لضمان حماية المعلومات من الاخطار الداخلية والخارجية . ومن زاوية قانونية ، فان أمن المعلومات هو محل دراسات وتدابير حماية سرية وسلامة محتوى وتوفر المعلومات ومكافحة انشطة الاعتداء عليها او استغلال نظمها في ارتكاب الجريمة ، وهو هدف وغرض تشريعات حماية المعلومات من الانشطة غير المشروعة وغير القانونية التي تستهدف المعلومات ونظمها ( جرائم الكمبيوتر والإنترنت) .
واستخدام اصطلاح أمن المعلومات Information Security وان كان استخداما قديما سابقا لولادة وسائل تكنولوجيا المعلومات ، الا انه وجد استخدامه الشائع بل والفعلي ، في نطاق انشطة معالجة ونقل البيانات بواسطة وسائل الحوسبة والاتصال ، اذ مع شيوع الوسائل التقنية لمعالجة وخزن البيانات وتداولها والتفاعل معها عبر شبكات المعلومات- وتحديدا الإنترنت – احتلت ابحاث ودراسات أمن المعلومات مساحة رحبة آخذة في النماء من بين أبحاث تقنية المعلومات المختلفة ، بل ربما أمست أحد الهواجس التي تؤرق مختلف الجهات .
2. ما هي عمليات المعلومات الرئيسة المتصلة بأمن المعلومات ؟؟
تتعدد عمليات التعامل مع المعلومات في بيئة النظم وتقنيات المعالجة والاتصال وتبادل البيانات ، ولكن يمكن بوجه عام تحديد العمليات الرئيسة التالية :-
تصنيف المعلومات Information classification :-
وهي عملية اساسية لدى بناء أي نظام او في بيئة أي نشاط يتعلق بالمعلومات وتختلف التصنيفات حسب المنشاة مدار البحث ، فمثلا قد تصنف المعلومات الى معلومات متاحة ، وموثوقة ، وسرية ، وسرية للغاية او قد تكون معلومات متاح الوصول اليها واخرى محظور التوصل اليها وهكذا .
التوثيق Documentation :-
وتتطلب عمليات المعلومات اساسا اتباع نظام توثيق خطي لتوثيق بناء النظام وكافة وسائل المعالجة والتبادل ومكوناتها . وبشكل رئيس فان التوثيق لازم وضروري لنظام التعريف والتخويل ، وتصنيف المعلومات ، والانظمة التطبيقية . وفي اطار الأمن ، فان التوثيق يتطلب ان تكون استراتيجية او سياسة الأمن موثقة ومكتوبة وان تكون إجراءاتها ومكوناتها كاملة محل توثيق ، اضافة الى خطط التعامل مع المخاطر والحوادث ، والجهات المسؤولة ومسؤولياتها وخطط التعافي وادارة الازمات وخطط الطوارئ المرتبطة بالنظام عند حدوث الخطر .
المهام والواجبات الإدارية والشخصية Administration and Personnel Responsibilities
ان مهام المتصلين بنظام أمن المعلومات تبدأ في الاساس من حسن اختيار الافراد المؤهلين وعمق معارفهم النظرية والعملية ، على ان يكون مدركا ان التأهيل العملي يتطلب تدريبا متواصلا ولا يقف عند حدود معرفة وخبرة هؤلاء لدى تعيينهم ، وبشكل رئيس فان المهام الإدارية او التنظيمية تتكون من خمسة عناصر او مجموعات رئيسة :- تحليل المخاطر ، وضع السياسة او الاستراتيجية ، وضع خطة الأمن ، وضع البناء التقني الامني – توظيف الاجهزة والمعدات والوسائل ، واخيرا تنفيذ الخطط والسياسات .
ومن المهم ادراك ان نجاح الواجبات الإدارية او الجماعية للمنشأة يتوقف على ادراك كافة المعنيين في الإدارة ( بمهامهم التقنية والإدارية والمالية ) استراتيجية وخطة وواجبات الأمن والتزام المؤسسة باعتبار مسائل الأمن واحدا من الموضوعات التي يدركها الكافة ويتمكن الكل من التعامل مع ما يخص واجباتهم من بين عناصر الأمن .
وعلى المستوى الشخصي او مستوى المستخدمين ، فان على المؤسسة ان تضع التوجيهات الكافية لضمان وعي عام ودقيق بمسائل الأمن ، بل المطلوب بناء ثقافة الأمن لدى العاملين والتي تتوزع بين وجوب مراعاة أخلاقيات استخدام التقنية وبين الإجراءات المتطلبة من الكل لدى ملاحظة أي خلل ، وعلى المؤسسة ان تحدد للمستخدمين ما يتعين عليهم القيام به والاهم ما يحظر عليهم القيام به في معرض استخدامهم للوسائل التقنية المختلفة .
عمليات الحفظ Back-up :-
وعمليات الحفظ تتعلق بعمل نسخة إضافية من المواد المخزنة على إحدى وسائط التخزين سواء داخل النظام او خارجه ، وتخضع عمليات الحفظ لقواعد يتعين ان تكون محددة سلفا وموثقة ومكتوبة ويجري الالتزام بها لضمان توحيد معايير الحفظ وحماية النسخ الاحتياطية .
ويمثل وقت الحفظ ، وحماية النسخة الاحتياط ، ونظام الترقيم والتبويب ، وآلية الاسترجاع والاستخدام ، ومكان الحفظ وامنه ، وتشفير النسخ التي تحتوي معطيات خاصة وسرية ، مسائل رئيسة يتعين اتخاذ معايير واضحة ومحددة بشأنها .
وسائل الأمن الفنية ونظام منع الاختراق :-
تتعدد وسائل الأمن التقنية المتعين استخدامها في بيئة الكمبيوتر والإنترنت ، كما تتعدد أغراضها ونطاقات الاستخدام ، وقد تناولنا فيما تقدم مسائل التعريف والتوثيق وتحديدا كلمات السر ووسائل التعريف الأخرى . وتتخذ الجدران النارية Firewalls ، اضافة للتشفير cryptography ، وكذلك نظم التحكم في الدخول و نظام تحري الاختراق Intrusion Detection Systems (IDS) ، وأنظمة وبرمجيات مقاومة الفيروسات اهمية متزايدة ، لكنها لا تمثل جميعها وسائل الأمن المستخدمة ، بل هي اضافة لوسائل التعريف والتوثيق المتقدم الاشارة اليها تمثل اهم وسائل الأمن التقنية في الوقت الحاضر ، وسنعرض لهذه الوسائل بالقدر المتاح مع بيان اهم مسائلها من خلال ادلة الأمن المعتمدة دوليا وبعض المعايير والمقاييس السائدة بشأنها في البند 1-5 من هذا الفصل .
3 . ما هــــي المخاطر والتهديدات ونقاط الضعف وانواع الهجمــات والاعتداءات واساليبها التقنية ؟
في المفاهيم والاصطلاحات :-
ان الحدود بين الجريمة والفعل غير الاخلاقي تبدو غير واضحة المعالم في بيئة الكمبيوتر والإنترنت ، وتمييز وضبط هذه الحدود هو المسألة الجوهرية لتحديد متى يمكن ان يعد فعل ما جريمة من بين جرائم الكمبيوتر والإنترنت او انه مجرد إساءة استخدام لا ينطوي على قصد جرمي وهي المسألة التي أحدثت جدلا واسعا في مطلع الستينات وحتى منتصف السبعينات وهي ذات الفترة التي شهدت ميلاد ظاهرة جرائم الكمبيوتر ، ومن جديد يعود هذا الجدل بسبب شيوع استخدام الإنترنت وما حملته من انشطة جديدة لا يزال الخلاف قائما حول ما اذا كانت جريمة أم انها مجرد ممارسة غير مقبولة كسلوك أخلاقي لكنها لا ترقى الى حد الجريمة.
فعلى سبيل المثال ، ثمة جدل واسع في هذه الأيام حول ما اذا كانت رسائل البريد الإلكتروني الإعلانية التي توجه بكميات كبيرة الى المستخدم دون رغبته او دون طلبها من قبيل ممارسة خاطئة أم فعلا يوجب المساءلة ، فمع اتساع هذه الظاهرة واستخدامها في حالات كثيرة لضخ آلاف الرسائل الى نظام معين في وقت معين بقصد تعطيل عمله ، ومن اجل تحقيق اعتداء انكار الخدمة ، والتذرع بعد ذلك ان الفعل ليس اكثر من خطا في عملية الإرسال لرسائل إعلانية سبق إرسالها للموقع ، ومع بروز الكثير من المشكلات المتصلة بهذه الظاهرة والتي تهدد الخصوصية وتهدد أيضا سلامة استخدام النظام نفسه ، وجدت المؤسسات التشريعية نفسها في العديد من الدول مضطرة الى إعادة تقييم الموقف من البريد الإلكتروني والرسائل غير المرغوب بها ، وهو ما أدى الى تقديم مجموعة من التشريعات امام المؤسسات التشريعية في الدول الغربية كما في أمريكا والاتحاد الأوروبي تنظم مسائل البريد الإلكتروني وتهدف الى مكافحة المظاهر السلبية والأفعال غير المشروعة التي تنطوي عليها هذه الظاهرة ، ومع ذلك لا يزال ثمة جدال فيما اذا كانت هذه انشطة جريمة أم انها سلوكيات قد لا تكون مقبولة من الناحية الأخلاقية والمهنية لكنها لا تشكل جرما .
ان غرض هذا التقديم محاولة تقديم تحديد منضبط للاصطلاحات المستخدمة في عالم جرائم الكمبيوتر والإنترنت ، لجهة التمييز بين العديد من الاصطلاحات التي يجري الخلط بينها ، فثمة فرق بين الجريمة الإلكترونية ، الإرهاب الإلكتروني ، حرب المعلومات ، المخاطر ، الحوادث ، نقاط الضعف ، والأخطاء ، الاختراقات ، حرب المعلومات ....... وغيرها .
4. ما هي وسائل الأمن التقنية ؟؟
نطاق معالجة وسائل الأمن في هذه المعالجة ومنطلقاته
ان ما نتحدث عنه هنا ليس تحديدا لمنتجات الأمن التي لا يمر يوم دون وجود منتج جديد ، ولا يمر يوم أيضا دون إعادة تقييم لوسائل الأمن ، وهي وسائل ومنتجات تتوزع بين الوسائل المادية للحماية وبرمجيات وحلول الحماية ، ونظريات وبروتوكولات الحماية ، ولا نبالغ ان قلنا ان سوق وسائل الأمن اصبح يتقدم في عدد منتجاته على سوق الاجهزة ذاتها والحلول ، لان كل منتج وكل برنامج جديد يتطلب قدرا معينا من وسائل الحماية الفنية .
كما ان هذا الدليل لا يقيم وسائل الأمن القائمة ، فيتحدث مثلا عن مدى فعالية الجدران النارية او مدى مقدرة الشبكات الخاصة الافتراضية على توفير الأمن والثقة ، انما يعرض فقط للشائع من طوائف وسائل أمن المعلومات بوجه عام والتي تندرج في نطاق كل طائفة منها آلاف الوسائل التي تتباين تبعا للاحتياجات وتبعا لطبيعة محل الحماية .
ولهذا ، وعند الحديث عن اية وسائل ، ثمة منطلق رئيس ، وثمة ادلة تفصيلية :-
المنطلــق - لكل وسائله ، والخطا في الاستنساخ واغفال الاحتياج الحقيقي كالخطأ في اغفال الحماية.
الخطأ السائد يكمن في الاعتقاد ان نظم الكمبيوتر والشبكات تتشابه من حيث احتياجاتها الأمنية، اذ حتى في نطاق الطائفة الواحدة من أنظمة الكمبيوتر التي تستخدم نفس برمجيات التشغيل او تعتمد نفس وسائل التشبيك وحلول الشبكات وتجهيزاتها ، فان اختلافا في متطلبات الحماية لما يزل قائما ومرد لك التباين بين طبيعة العمليات التي يقوم بها النظام والتباين بين طبيعة المعطيات نفسها ، والتباين بين وسائل الاستخدام والمستخدمين ، واخيرا ، التباين في درجة التوازن المطلوبة ما بين إجراءات الأمن واداء وفعالية النظام نفسه .
ان بناء وسائل أمن فاعلة يتطلب الانطلاق من احتياجات المؤسسة الخاصة واغراض الأمن فيها ، ويقوم – كما سبق واوضحنا وكما سنوضح تاليا في البند 1-5 ، على ادراك الاحتياجات الداخلية فما نحميه يختلف عما يحميه غيرنا ، ومصادر الخطر التي تواجه مؤسسة مالية مثلا تختلف عن المخاطر التي تواجه مؤسسة عسكرية او تواجه نظام كمبيوتر مستخدم فرد . واحتياجات حماية جهاز الكمبيوتر وبرمجياته والمعطيات المخزنة فيه يتخلف عن احتياجات حماية شبكة داخلية او حماية الارتباط بشبكة عالمية.
ولهذا فان تقنيات الحماية مرتبطة بعامل الاحتياجات الخاصة المعتمدة على تقدير قائم على ركائز وحقائق سليمة ، ويعتمد أيضا على التوازن بين متطلبات الحماية وسرعة الأداء ، والتوازن أيضا بين متطلبات الحماية والميزانية المرصودة لتوظيف وسائل الأمن . ومنطق استخدام تقنيات إحدى الشركات لمجرد انها عالمية او مميزة ، منطق لا يتفق مع إستراتيجية الأمن ذاته ، ولا نبالغ ان قلنا ان مئات المؤسسات – وتحديا المالية – استخدمت حزما من التقنيات في ضمنها مثلا جدران نارية وبرمجيات تشفير - كانت فاعلة في حالات أخرى - لم تكن لتحل مشكلاتها الأمنية ، وفي الوقت ذاته اذا تمكنت من حلها فانها أحدثت اثرا سلبيا على كفاءة الأداء وفعالية النظام .
الادلة التقنية - لكل طائفة من وسائل الأمن مؤسساتها وادلتها التقنية وثمة تخصصية متنامية في نطاق كل وسيلة منها .
ان سوق الوسائل التقنية في مرحلة ما كان مجرد منتجات وخدمات مضافة الى طائفة منتجات وخدمات شركات تقنية المعلومات المختلفة وغالبا ما تكون وسائل في خدمة بقية منتجاتها وخدماتها ومع ان شركات تقنيات المعلومات لما تزل في غالبيتها تخصص وحدات من بين وحدات نشاطها لوسائل الأمن فان سوق تقنية المعلومات انتقل الى التخصصية ، فنشأت شركات عملاقة تعمل في حقل أمن المعلومات ، وسائله وحلوله ، واتجهت الدراسات البحثية والاستراتيجية والعلمية وحتى القانونية الى التعامل مع وسائل الأمن على استقلال ، فثمة ادلة ودراسات شاملة في ميدان الفايروسات ووسائل مكافحتها وثمة مثلها في ميدان التشفير وحلوله ، واخرى في ميدان وسائل التعريف والتحكم في الدخول الى النظام، وهكذا .
5. ما هي استراتيجية أمن المعلومات وكيف يتم بناؤها ؟؟
مفاهيم ومحددات اولية
ما هي استراتيجية أمن المعلومات Security Policy ؟
ان استراتيجية أمن المعلومات ، او سياسة أمن المعلومات هي مجموعة القواعد التي يطبقها الأشخاص لدى التعامل مع التقنية ومع المعلومات داخل المنشأة وتتصل بشؤون الدخول الى المعلومات والعمل على نظمها وادارتها .
ما هي اهداف استراتيجية أمن المعلومات ؟
تهدف استراتيجية أمن المعلومات الى :-
• تعريف المستخدمين والاداريين بالتزاماتهم وواجباتهم المطلوبة لحماية نظم الكمبيوتر والشبكات وكذلك حماية المعلومات بكافة اشكالها ، وفي مراحل ادخالها ومعالجتها وخزنها ونقلها واعادة استرجاعها .
• كما تهدف الاستراتيجية الى تحديد الإلكترونية التي يتم من خلالها تحقيق وتنفيذ الواجبات المحددة على كل من له علاقة بالمعلومات ونظمها وتحديد المسؤوليات عند حصول الخطر .
• بيان الإجراءات المتبعة لتجاوز التهديدات والمخاطر والتعامل معها والجهات المناط بها القيام بها بذلك .
من الذي يعد استراتيجية أمن المعلومات ؟؟
لدى إعداد اية استراتيجية بشأن أمن المعلومات ، ولكي تكون هذه الاستراتيجية فاعلة ومنتجة وهادفة لا بد ان يساهم في اعدادها وتفهمها وتقبلها وتنفيذها مختلف مستويات الوظيفة في المنشأة الواحدة اضافة الى حاجتها الى التعاون والدعم الكامل من الكافة ، من هنا فان المعنيين باعداد سياسة أمن المعلومات يتوزعون الى مراتب وجهات عديدة داخل المنشأة ، لكن بوجه عام تشمل مسؤولي أمن الموقع ومديري الشبكات وموظفي وحدة الكمبيوتر ومديري الوحدات المختلفة في المنشأة كوحدة الاعمال والتسويق والبحث وغيرها وتشمل أيضا فريق الاستجابة للحوادث والاعطال وممثلي مجوعات المستخدمين ومستويات الادارة العليا الى جانب الادارة القانونية .
2 تصنيف المخاطر تبعا لموضع المعلومة من النظام وتبعا للواسطة التقنية
ان المعلومات تتعرض للعديد من المخاطر في مراحل الجمع والمعالجة والاسترجاع – سواء قراءة او طباعة او تنزيلا – وفي مرحلة النقل والتبادل وفي مرحلة التخزين ، وهذه المخاطر تختلف تبعا لهذه العمليات ذاتها ، اذ لكل مرحلة مخاطرها ووسائل حمايتها الخاصة . وبشكل عام فان اغلب قوائم تصنيف المخاطر تعتمد معيار موضع المعلومات من النظام ، ومن ذلك مثلا قائمة منظمة الشرطة العالمية / الانتربول التي نعرضها تاليا والتي تقوم – من ضمن معياريها - على تبويب المخاطر تبعا لموضع المعلومة أولا حيث تصنف الى ثلاثة طوائف :-
6- طائفة المخاطر التي تتعرض لها المعلومات في مرحلة خلق واسترجاع وتعديل والغاء المعلومات ، وجامعها وجود المعلومات داخل النظام .
- READ/CREATE/MODIFY/DELETE refers to information (data and software) inside the computer system
- طائفة المخاطر التي تتعرض لها المعلومات في مرحلة النقل ، أي التبادل بين أنظمة الكمبيوتر .
- TRANSPORT refers to information (data and software) 'transported' via a network or on media
- طائفة المخاطر التي تتعرض لها المعلومات في مرحلة التخزين على وسائط خارج النظام .
- STORE refers to information (data and software) when it is stored on computer media and taken out of the computer system. (I.e. back-up tapes/diskettes).
كما ان المخاطر تختلف تبعا لواسطة تقنية المعلومات مدار البحث ، فليست مخاطر الشبكات والدخول عبرها الى نظم الكمبيوتر ، كمخاطر الكمبيوترات غير المرتبطة بالشبكة ، ومخاطر الانترانت او الاكسترانت تختلف عن مخاطر الإنترنت ، وحماية الكمبيوتر الشخصي يختلف عن حماية السيرفرات العملاقة التي تدير شبكة معلومات وتتحكم بها ، ومخاطر مواقع التجارة الإلكترونية والأعمال الإلكترونية على الشبكة تختلف عن مخاطر موقع معلوماتي ليس اكثر من ( بروفايل ) إعلاني ، كما ان ثغرات ونقاط الضعف تختلف تبعها للوسيلة او الواسطة او التقنية مدار البحث . ومن هذه الزاوية ثمة :- مخاطر وثغرات الشبكات سواء المحلية او المناطقية او الدولية – الإنترنت . وكذلك مخاطر وتهديدات الاجهزة بانواعها ( الكمبيوترات الكبرى الرئيسية ، الشخصية ، المحمولة .. الخ مخاطر تطال المعطيات والبرمجيات بمختلف مناطق وجودها داخل وخارج النظام.
وهذا هو المعيار الثاني الذي يمثل الى جانب معيار موضع المعلومة الاساس في قائمة المخاطر والأساليب التقنية للاعتداء المحددة من قبل جهات عديدة لتنفيذ القانون منها الشرطة الدولية ( الانتربول ).
7- هل هناك مخاطر قانونية خاصة في بيئة المشاريع المعلوماتية ؟؟
احد اهم الانشطة الحديثة في ميدان بناء مشروعات المعلوماتية وتحديدا انشاء المواقع على شبكة الانترنت كمواقع التسويق والتجارة الالكترونية ومواقع الاعمال المالية الالكترونية ، وضع تصور شامل للمخاطر القانونية المتوقع ان تواجه الموقع وتحديد الاليات القانونية للتعامل معها ، وهي عملية تشبه تماما عملية تحليل المخاطر التقنية تباشرها الجهات القانونية المؤهلة في حقل قانون تقنية المعلومات ، ولا نبالغ ان قلنا ان مواقع الانترنت العربية ومشروعات الاستثمار المعلوماتي العربية تفتقر لرؤيا وتصور في هذا الحقل واذا كان خطر اغفال المخاطر القانونية يطال كافة المواقع والمؤسسات فانه يصبح خطرا مضاعفا في بيئتي التجارة الالكترونية والاعمال الالكترونية خاصة الاعمال المصرفية اللاسلكية والاعمال المصرفية الالكترونية على شبكة الانترنت .
وتحليل المخاطر القانونية عملية مستمرة تبدا من لحظة الشروع والاعداد للمشروع ، فتحدد كافة احتياجات المشروع القانونية اضافة الى تحليل العمليات التقنية والتسويقية والخدمية والادائية الداخلية والخارجية المتصلة بالمشروع من زاوية العلاقات القانونية والمسؤوليات القانونية ، وتحديد متطلبات الحماية القانونية ومواجهة المسؤوليات المتوقعة .
8- متى توصف أستراتيجية أمن المعلومات بانها ناجحة ؟؟
من حيث فعالية الاستخدام :- لكي توصف استراتيجية أمن المعلومات بانها أساسي ناجحة يتعين ان تعمم بشكل شامل على كافة قطاعات الادارة وان تكون مقبولة واقعية من المناط بها تنفيذها الى جانب توفر الادلة التوجيهية والارشادية لضمان إدامة التنفيذ وعدم التقاعس فيه والتنفيذ هنا هو الاستخدام الفعلي لأدوات الحماية التقنية من جهة والتطبيق الفعلي لقواعد العمل والتعامل مع البيانات ونظمها من جهة أخرى ، ولا تحقق الاستراتيجية نجاحا ان كان ثمة غموض فيها لهذا لا بد ان تكون واضحة دقيقة في محتواها ومفهومة لدى كافة المعنيين .
أما من حيث المحتوى :- فان أساسي أمن المعلومات تمتد الى العديد من المناحي المتصلة بنظم المعلومات وادارتها والتعامل معها اضافة الى المسائل المتعلقة بالمعلومات ذاتها وتعامل الغير مع معلومات المنشأة ، من هنا تشمل الاستراتيجية سياسة واضحة بشأن اقتناء وشراء الاجهزة التقنية وادواتها ، والبرمجيات ، والحلول المتصلة بالعمل ، والحلول المتعلقة بادارة النظام . كما تشمل استراتيجية الخصوصية المعلوماتية ، وهي التي تحدد مراتب المعلومات وقيمتها ووصفها من حيث السرية كما تبين الاستثناءات التي تعتمدها الاستراتيجية على حق الخصوصية لموظفي المنشأة مع مبررات هذه الاستثناءات ، كرقابة البريد الإلكتروني مثلا او رقابة الدخول الى المنشأة او رقابة الوصول الى ملفات المستخدمين بالمنشأة . ومن حيث الدخول الى الشبكات والمعلومات فلا بد من استراتيجية دخول واضحة تحدد حقوق وامتيازات كل شخص في المنشأة للوصول الى ملفات او مواقع معينة في النظام اضافة الى سياسة بشأن التعامل مع الاتصالات الخارجية ، المعطيات اجهزة ووسائل الاتصال المستخدمة ، اضافة البرامج الجديدة ، استراتيجيات المراسلة مع الآخرين .
وتضم استراتيجية المعلومات أيضا استراتيجية الاشتراكات التي تحدد سياسة المنشأة بشأن اشتراكات الغير في شبكتها او نظمها ، وكذلك استراتيجيات التعامل مع المخاطر والأخطاء بحيث تحدد ماهية المخاطر وإجراءات ابلاغ عنها والتعامل معها والجهات المسؤولة عن التعامل مع هذه المخاطر .
9- ما هي منطلقات واساس استراتيجية أمن المعلومات ؟؟
يتعين ان تنطلق أساسي أمن المعلومات من تحديد المخاطر ، اغراض الحماية ، ومواطن الحماية ، وأنماط الحماية اللازمة ، وإجراءات الوقاية من المخاطر ، وتتلخص المنطلقات والاسس التي تبنى عليها استراتيجية أمن المعلومات القائمة على الاحتياجات المتباينة لكل منشأة من الاجابة عن تساؤلات ثلاث رئيسة :- ماذا اريد ان احمي ؟؟ مِن ماذا احمي المعلومات ؟؟ كيف احمي المعلومات ؟؟
اغراض حماية البيانات الرئيسة .
1 - السرية CONFIDENTIALITY : التأكد من ان المعلومات لا تكشف ولا يطلع عليها من قبل اشخاص غير مخولين بذلك .
2 - التكاملية وسلامة المحتوى INTEGRITY : التأكد من ان محتوى المعلومات صحيح لم يتم تعديله او العبث به وبشكل خاص لن يتم تدمير المحتوى او تغيره عن طريق تدخل غير مشروع .
3 - استمرارية توفر المعلومات او الخدمة AVAILABILITY :- التأكد من ان مستخدم المعلومات لن يتعرض الى انكار استخدامه لها او دخوله اليها .
10- مناطق أمن المعلومات
1 - أمن الاتصالات : ويراد بأمن الاتصالات حماية المعلومات خلال عملية تبادل البيانات من نظام الى اخر
2 - أمن الكمبيوتر : ويراد به حماية المعلومات داخل النظام بكافة أنواعها وانماطها كحماية نظام التشغيل و حماية برامج التطبيقات وحماية برامج ادارة البيانات وحماية قواعد البيانات بانواعها المختلفة .
ولا يتحقق أمن المعلومات دون توفير الحماية المتكاملة لهذين القطاعين عبر معايير امنية تكفل توفير هذه الحماية ، ومن خلال مستويات أمن متعددة ومختلفة من حيث الطبيعة .
11- انماط ومستويات أمن المعلومات
1 - الحماية المادية : وتشمل كافة الوسائل التي تمنع الوصول الى نظم المعلومات وقواعدها كالاقفال والحواجز والغرف المحصنة وغيرها من وسائل الحماية المادية التي تمنع الوصول الى الاجهزة الحساسة .
2- الحماية الشخصية : وهي تتعلق بالموظفين العاملين على النظام التقني المعني من حيث توفير وسائل التعريف الخاصة بكل منهم وتحقيق التدريب والتأهيل للمتعاملين بوسائل الأمن الى جانب الوعي بمسائل الأمن ومخاطر الاعتداء على المعلومات .
3 - الحماية الإدارية : ويراد بها سيطرة جهة الادارة على ادارة النظم المعلومات وقواعدها مثل التحكم بالبرمجيات الخارجية او الاجنبية عن المنشأة ، ومسائل التحقيق باخلالات الأمن ، ومسائل الاشراف والمتابعة لأنشطة الرقابة اضافة الى القيام بانشطة الرقابة ضمن المستويات العليا ومن ضمنها مسائل التحكم بالاشتراكات الخارجية .
4 - الحماية الاعلامية- المعرفية : كالسيطرة على إعادة انتاج المعلومات وعلى عملية إتلاف مصادر المعلومات الحساسة عند اتخاذ القرار بعدم استخدامها .
11- المخاطر
هناك مخاطر عديدة يمكن ان تواجه نظام المعلومات بما في ذلك أنظمة التجارة الإلكترونية وابرز هذه المخاطر ما يلي :
1 - اختراق الأنظمة : ويتحقق ذلك بدخول شخص غير مخول بذلك الى نظام الكمبيوتر والقيام بأنشطة غير مصرح له بها كتعديل البرمجيات التطبيقية وسرقة البيانات السرية او تدمير الملفات او البرمجيات او النظام او لمجرد الاستخدام غير المشروع . ويتحقق الاقتحام بشكل تقليدي من خلال انشطة ( التقنيع والتخفي ) ويراد به تظاهر الشخص المخترق بانه شخص اخر مصرح له بالدخول . او من خلال استغلال نقاط الضعف في النظام كتجاوز إجراءات السيطرة والحماية او من خلال المعلومات التي يجمعها الشخص المخترق من مصادر مادية او معنوية ، كالتنقيب في قمامة المنشأة للحصول على كلمات السر او معلومات عن النظام او عن طريق الهندسة الاجتماعية كدخول الشخص الى مواقع معلومات حساسة داخل النظام ككلمات السر او المكالمات الهاتفية .
2 - الاعتداء على حق التخويل : ويتم من خلال قيام الشخص المخول له استخدام النظام لغرض ما باستخدامه في غير هذا الغرض دون ان يحصل على التخويل بذلك ، وهذا الخطر يعد من الأخطار الداخلية في حقل إساءة استخدام النظام من قبل موظفي المنشأة ، وهو قد يكون أيضا من الأخطار الخارجية ، كاستخدام المخترق حساب شخص مخول له باستخدام النظام عن طريق تخمين كلمة السر الخاصة به او استغلال نقطة ضعف بالنظام للدخول اليه بطريق مشروع او من جزء مشروع ومن ثم القيام بانشطة غير مشروعة .
3 - زراعة نقاط الضعف : عادة ينتج هذا الخطر عن اقتحام من قبل شخص غير مصرح له بذلك او من خلال مستخدم مشروع تجاوز حدود التخويل الممنوح له بحيث يقوم الشخص بزرع مدخل ما يحقق له الاختراق فيما بعد . ومن اشهر امثلة زراعة المخاطر حصان طروادة ، وهو عبارة عن برنامج يؤدي غرضا مشروعا في الظاهر لكنه يمكن ان يستخدم في الخفاء للقيام بنشاط غير مشروع ، كان يستخدم برنامج معالجة كلمات ظاهريا لتحرير وتنسيق النصوص في حين يكون غرضه الحقيقي طباعة كافة ملفات النظام ونقلها الى ملف مخفي بحيث يمكن للمخترق ان يقوم بطباعة هذا الملف والحصول على محتويات النظام .
4 - مراقبة الاتصالات : بدون اختراق كمبيوتر المجني عليه يتمكن الجاني من الحصول على معلومات سرية غالبا ما تكون من المعلومات التي تسهل له مستقبلا اختراق النظام وذلك ببساطة من خلال مراقبة الاتصالات من إحدى نقاط الاتصال او حلقاتها .
5 - اعتراض الاتصالات : وكذلك بدون اختراق النظام يقوم الجاني في هذه الحالة باعتراض المعطيات المنقولة خلال عملية النقل ويجري عليها التعديلات التي تتناسب مع غرض الاعتداء ويشمل اعتراض الاتصالات قيام الجاني بخلق نظام وسيط وهمي بحيث يكون على المستخدم ان يمر من خلاله ويزود النظام بمعلومات حساسة بشكل طوعي .
6 - انكار الخدمة : ويتم ذلك من خلال القيام بأنشطة تمنع المستخدم الشرعي من الوصول الى المعلومات او الحصول على الخدمة وابرز انماط انكار الخدمة ارسال كمية كبيرة من رسائل البريد الإلكتروني دفعة واحدة الى موقع معين بهدف اسقاط النظام المستقبل لعدم قدرته على احتمالها او توجيه عدد كبير من عناوين الإنترنت على نحو لا يتيح عملية تجزئة حزم المواد المرسلة فتؤدي الى اكتظاظ الخادم وعدم قدرته على التعامل معه .
7 - عدم الاقرار بالقيام بالتصرف : ويتمثل هذا الخطر في عدم اقرار الشخص المرسل اليه او المرسل بالتصرف الذي صدر عنه ، كأن ينكر انه ليس هو شخصيا الذي قام بارسال طلب الشراء عبر الإنترنت
وتنطلق الاستراتيجية الفاعلة من القدرة على ايجاد نظام متواصل لعملية تحليل المخاطر وتحديد احتياجات الحماية ، وعملية تحليل المخاطر هي في حقيقتها نظام متكامل للتحليل وسلامة التصرف تبدأ من الاعداد الجيد القائم على فهم وادراك وتحديد عناصر النظام والعمليات والمخاطر ، ومن ثم تحديد معايير التهديد ونطاق الحماية المطلوب منها وتبعا له وسائل الحماية ، لتنتهي ببيان معيار الخسارة المقبولة التي يتصور تحققها بغض النظر عن مستوى الحماية ومستوى الاستعداد للمواجهة.
12-الوقاية من مخاطر الاعتداء على المعلومات
في ميدان حماية الاتصالات وحماية الكمبيوتر يعبر عن إجراءات الوقاية بخدمات الأمن ، ولا يقصد بها الخدمات بالمعنى المعروف ، وانما اطلق هذا التعبير جراء نشوء شركات متخصصة بأمن المعلومات تقدم هذه الخدمات ، وبالعموم فان هناك خمسة أنواع اساسية لخدمات الأمن تستهدف حماية خمسة عناصر رئيسة في ميدان المعلومات وهي :
1 - خدمات ( وسائل ) حماية التعريف Identification and Authentication هذه الخدمات تهدف الى التثبت من الهوية وتحديدا عندما يقوم شخص ما بالتعريف عن نفسه فان هذه الخدمات تهدف الى التثبت من انه هو الشخص نفسه ولهذا فان التعريف يعد الوسائل التي تحمي من انشطة التخفي والتنكر ومن هنا فان هناك نوعين من خدمات التعريف الاول تعريف الشخصية واشهر وسائلها كلمات السر وثانيها التعريف بأصل المعلومات كالتثبت من أصل الرسالة .
2 - خدمات ( وسائل ) السيطرة على الدخول Access Control : وهذه الخدمات تستخدم للحماية ضد الدخول غير المشروع الى مصادر الأنظمة والاتصالات والمعلومات ويشمل مفهوم الدخول غير المصرح به لأغراض خدمات الأمن الاستخدام غير المصرح به والافشاء غير المصرح به ، والتعديل غير المصرح به ، والاتلاف غير المصرح به ، واصدار المعلومات والاوامر غير المصرح بها ولهذا فان خدمات التحكم بالدخول تعد الوسائل الاولية لتحقيق التخويل والتثبت منه .
3 - خدمات ( وسائل ) السرية Data and message Confidentiality: هذه الخدمات تحمي المعلومات من الافشاء للجهات غير المصرح لها بالحصول عليها ، والسرية تعني بشكل عام اخفاء المعلومات من خلال تشفيرها على سبيل المثال او من خلال وسائل أخرى كمنع التعرف على حجمها او مقدارها او الجهة المرسلة اليها .
4 - خدمات ( وسائل ) حماية التكاملية وسلامة المحتوى Data and message Integrity: هذه الخدمات تهدف الى حماية مخاطر تغيير البيانات خلال عمليات ادخالها او معالجتها او نقلها وعملية التغيير تعني بمفهوم الأمن هنا الالغاء او التحوير او إعادة تسجيل جزء منها او غير ذلك وتهدف هذه الوسائل أيضا الى الحماية من انشطة تدمير المعطيات بشكل كامل او إلغائها دون تخويل .
5 - خدمات ( وسائل ) منع الانكار Non-repudiation: وهذه الخدمات تهدف الى منع الجهة التي قامت بالتصرف من انكار حصول نقل البيانات او النشاط من قبلها .
وتعد الخدمات الخمس المتقدمة مناطق الحماية الاساسية في حقل المعلومات ، فالحماية يتعين ان تمتد الى التعريف ، انشطة الدخول ، السرية ، سلامة المحتوى ، منع عدم الانكار .
ماذا عن إستراتيجية أمن الإنترنت ؟؟؟
تنصب أساسي أمن المعلومات في حقل تحقيق أمن الإنترنت على مواضع ثلاث :- أمن الشبكة ، أمن التطبيقات ، أمن النظم . وكل منها ينطوي على قواعد ومتطلبات تختلف عن الأخرى ويتعين ان تكون أنظمة الأمن في هذه المواضع الثلاث متكاملة مع بعضها حتى تحقق الوقاية المطلوبة لأنها بالعموم تنطوي أيضا على اتصال وارتباط بمستويات الأمن العامة كالحماية المادية والحماية الشخصية والحماية الإدارية والحماية الإعلانية . وفيما تقدم اشرنا الى العناصر المتصلة بأمن النظم والبرمجيات والمعطيات وبقي ان نشير في هذا المقام الى أمن الشبكات :-
ان ما يحمى من خلال أمن الشبكة هو عملية الاتصال والتبادل بين أحد كمبيوترات الشبكة (النظام النهائي سواء اكان نظام الزبون ان نظام المستضيف ( الخادم ) وبين كمبيوتر اخر ضمن الشبكة ، فإذا ارتبط النظام النهائي بالإنترنت مباشرة دون وجود وسائل أمن ما بين هذا النظام والشبكة فان اية حزمة بيانات مرسلة قد يلحق بها ما يلي :
أ - قد يتم تغيرها خلال عملية النقل
ب - قد لا تظهر من حيث مصدرها من الجهة التي قدمت منها
ج - قد تكون جزء من هجوم يستهدف النظام
د - قد لا تصل الى العنوان المرسلة اليه
هـ - قد يتم قراءتها والاطلاع عليها وافشاؤها من الغير .
ويهدف أمن الشبكات من جهة أخرى الى حماية الشبكة نفسها واظهار الثقة لدى مستخدم النظام النهائي بتوفر وسائل الحماية في تعامله مع الشبكة وكذلك اظهار الشبكة ذاتها بانها تحتوى على وسائل أمن لا تتطلب معها ان يكون كمبيوتر المستخدم محتويا على وسائل خاصة .
وتتضمن وسائل أمن الشبكة ما يلي : -
1 - التعريف والسلامة من خلال تزويد نظام المستقبل بالثقة في حماية حزم المعلومات والتأكد من ان المعلومات التي وصلت لم يتم تعديلها .
2 - السرية : حماية محتوى حزم المعلومات من الافشاء الا للجهات المرسلة اليها .
3 - التحكم بالدخول : تقيد الاتصالات بحصرها ما بين النظام المرسل والنظام المستقبل .
13- قوائم المراجعة والتدقيق – ديمومة المراجعة واطار بناء خطط واستراتيجيات الأمن
هناك العديد من قوائم التدقيق والمراجعة حول مسائل أمن المعلومات ومتطلبات سياسات واستراتيجيات أمن المعلومات والنظم والاتصالات ، وتقوم بالاساس على توفير نوع من دليل المراجعة الذي يساعد المؤسسات او الافراد في بناء أساسي الأمن وتحديد اطار عام لواجبات الموظفين والمستشارين و المعنيين بشؤون ادارة نظم المعلومات والاتصال وتطبيقاتهما وبنفس الوقت تقدم هذه القوائم او ادلة المراجعة المؤسسات والافراد اطار عاما لفهم عناصر ومتطلبات بناء نظم الأمن الخاصة بالكمبيوتر والشبكات .
ومن بين المسائل التي تعالجها عادة هذه القوائم :-
- مسائل واجبات جهات الادارة للتحقق من وجود سياسة أمن المعلومات موثقة ومكتوبة والتحقق من وجود عمليات تحليل المخاطر وخطة الأمن وبناء الأمن التقني وسياسة ادارة الاتصالات الخارجية ، ومدى معرفة واطلاع الموظفين على السياسة الأمنية ومعرفتهم بواجباتهم ، ومدى توفر تدريب على مسائل الأمن وما اذا كان يخضع الموظفون الجدد لتدريب وتعريف حول محتوى الخطة .
- مسائل تنظيم شؤون ادارة الأمن ، والتي تتعلق بوجود جهة مختصة بذلك في المؤسسة وما اذا كان هنالك دليل مكتوب ، وخطط ومسؤولية التعامل مع إجراءات التنفيذ والتعريف والتعامل مع الحوادث ومع خطط الطوارئ وغيرها.
- مسائل الموظفين أنفسهم من حيث مدى فحص التأهيل والكفاءة ومدى التزام الموظفين بتحقيق معايير الأمن على المستوى الشخصي او فيما يتعلق بواجباتهم ، وأغراضها المتصلة بالامن لدى تعيين الموظفين وخلال عملهم ولدى انتهاء خدمتهم لأي سبب ، وتتصل أيضا بمدى توفر نصوص عقدية خاصة في عقود الموظفين ومدى توفر وصف دقيق بوجباتهم الوظيفية المتصلة بإلحاق المعلومات .
- مسائل جهات تزويد الخدمة او المشورة كالمستشارين والمدققين وغيرهم من حيث تغطية عقود التعامل معهم لمسائل الأمن المختلفة .
- مسائل تصنيف المعلومات من حيث توفرها ومعاييرها .
- مسائل البرمجيات من حيث سياسات شرائها واستخدامها وتنزيلها ومسائل الرخص المتصلة بها وآليات التعامل مع البرمجيات المطورة داخليا وحقوق الوصول اليها واستخدامها ، ومسائل حماية البرمجيات التقنية والقانونية .
- مسائل الاجهزة والمعدات من حيث توفر تصور للاحتياجات وتوفير المتطلبات ومعايير توظيف الاجهزة في العمل ، واسخداماتها والغاء استخدامها ومسائل صيانة والتدقيق .
- مسائل التوثيق ، وهي الذي تتعلق مدى توفر استراتيجية توثيق لكافة عناصر النظام ولكافة مرتكزات وعمليات خطط الأمن وسياساتها.
- المسائل المتصلة بوسائط التخزين خارج النظام من حيث تحديد وسائط التخزين المستخدمة وتبويبها وحفظها والوصول اليها وتبادلها واتلافها .
- مسائل التعريف والتوثق من شخصية المستخدم وحدود صلاحيات والتفويض ، وتتعلق بالتحقق من توفر سياسة التحكم بهذه العناصر والوسائل المستخدمة في تحديد الهوية والتوثق من المستخدم ، واستراتيجيات حماية وسائل التعريف تقنيا واداريا، ومدى صلاحية المستخدمين من الخارج او من داخل المؤسسة بشأن الوصول للمعلومات او قطاعات منها ، ومسائل التحقق من تصرفات المستخدم ، مسائل أمن النظام من حيث توفر وسائل التثبت من حيث وقت الاستخدام و المستخدمين .
- مسائل الاتصالات من حيث السيطرة على وسائل وتطبيقات الاتصالات الداخلية والخارجية وتوثيق حركات الاتصال وحماية عمليات الاتصال والمعايير التقنية المستخدمة في ذلك واستراتيجيات سرية ورقابة وتتبع واستخدام البريد الإلكتروني .
- مسائل ادارة الملفات وسجلات الأداء واستخدام النظام من حيث توفر وسائل توثيقها وارشفتها والتثبت من جهات الانشاء والتعديل والتعامل مع الملفات وقواعد البينات والبرامج التطبيقية .
- مسائل النسخ الاحتياطية من البيانات من حيث وقت عمل النسخ الاحتياطية وتخزينها واستخداماتها وتبويبها وتوثيقها وتشفيرها اذا كانت مما يتطلب ذلك .
- مسائل الحماية المادية من حيث التوثق من توفير وسائل وإجراءات الحماية للاجهزة الكمبيوتر والشبكات والبنى التحتية من ومسائل الطاقة والتوصيلات ومدى توفر وسائل الوقاية من الحوادث الطبيعة او المتعمدة اضافة الى وسائل حماية مكان وجود الاجهزة والوسائط وادلة الأمن المكتوبة ، والوسائل المادية للوصول الى الاجهزة واستخدامها من المخولين بذلك .
- مسائل التعامل مع الحوادث والاعتداءات ، من حيث توفر فريق لذلك وأغراضها التي يقوم بها الفريق لهذه الغاية اضافة الى وجود ارتباط مع جهات التحقيق الرسمية وجهات تطبيق القانون وجهات الخبرة المتخصصة بالمسائل المعقدة او التي لا تتوفر كفاءات للتعامل معها داخل المؤسسة .
- مسائل خطط الطوارئ وخطط التعافي لتخفيف الاضرار والعودة للوضع الطبيعي .
- مسائل الاعلام المتعلقة بالمعلومات المتعين وصولها للكافة او لقطاعات محددة والتحقق من وضوح استراتيجية التعامل الاعلامي مع الحوادث والاعتداءات المتحققة .
ومع ان قوائم المراجعة هذه تتباين من مؤسسة الى أخرى ، ومن شخص الى اخر ، تبعا للواقع والاحتياجات وطبيعة النظام والمعلومات والتطبيقات العملية الا ان الكثير منها يصلح كإطار عام ومرجعية لدى وضع هذه القوائم والأدلة ، ومن ابرزها القوائم التي وضعها مجموعة خبراء في حقل أمن المعلومات واعتمدتها منظمة الشرطة الدولية – الانتربول.