انتقل إلى المحتوى

نقاش:أمن المعلومات

محتويات الصفحة غير مدعومة بلغات أخرى.
أضف موضوعًا
من ويكيبيديا، الموسوعة الحرة


استراتيجية أمن المعلومات

تعريفها  :

استراتيجية أمن المعلومات هي مجموعة القواعد التي يطبقها الأشخاص لدى التعامل مع التقنية ومع المعلومات داخل المنشأة وتتصل بشؤون الدخول الى المعلومات والعمل على نظمها وادارتها .

•اهداف استراتيجية أمن المعلومات :

  • .تعريف المستخدمين والاداريين بالتزاماتهم وواجباتهم المطلوبة لحماية نظم الكمبيوتر والشبكات وكذلك حماية المعلومات بكافة اشكالها ، وف ي مراحل ادخالها ومعالجتها وخزنها ونقلها واعادة استرجاعها .
  • . كما تهدف الاستراتيجية الى تحديد الإلكترونية التي يتم من خلالها تحقيق وتنفيذ الواجبات المحددة على كل من له علاقة بالمعلومات ونظمها وتحديد المسؤوليات عند حصول الخطر .
  • .بيان الإجراءات المتبعة لتجاوز التهديدات والمخاطر والتعامل معها والجهات المناط بها القيام بها بذلك .


اغراض حماية البيانات الرئيسة .

1 - السرية CONFIDENTIALITY : التأكد من ان المعلومات لا تكشف ولا يطلع عليها من قبل اشخاص غير مخولين بذلك . 2 - التكاملية وسلامة المحتوى INTEGRITY : التأكد من ان محتوى المعلومات صحيح لم يتم تعديله او العبث به وبشكل خاص لن يتم تدمير المحتوى او تغيره عن طريق تدخل غير مشروع . 3 - استمرارية توفر المعلومات او الخدمة AVAILABILITY :- التأكد من ان مستخدم المعلومات لن يتعرض الى انكار استخدامه لها او دخوله اليها . منطلقات واساس استراتيجية أمن المعلومات

يتعين ان تنطلق أساسي أمن المعلومات من تحديد المخاطر ، اغراض الحماية ، ومواطن الحماية ، وأنماط الحماية اللازمة ، وإجراءات الوقاية من المخاطر ، وتتلخص المنطلقات والاسس التي تبنى عليها استراتيجية أمن المعلومات القائمة على الاحتياجات المتباينة لكل منشأة من الاجابة عن تساؤلات ثلاث رئيسة :- ماذا اريد ان احمي ؟؟ مِن ماذا احمي المعلومات ؟؟ كيف احمي المعلومات ؟؟


انماط ومستويات أمن المعلومات

1 - الحماية المادية : وتشمل كافة الوسائل التي تمنع الوصول الى نظم المعلومات وقواعدها كالاقفال والحواجز والغرف المحصنة وغيرها من وسائل الحماية المادية التي تمنع الوصول الى الاجهزة الحساسة . 2- الحماية الشخصية : وهي تتعلق بالموظفين العاملين على النظام التقني المعني من حيث توفير وسائل التعريف الخاصة بكل منهم وتحقيق التدريب والتأهيل للمتعاملين بوسائل الأمن الى جانب الوعي بمسائل الأمن ومخاطر الاعتداء على المعلومات . 3 - الحماية الإدارية : ويراد بها سيطرة جهة الادارة على ادارة النظم المعلومات وقواعدها مثل التحكم بالبرمجيات الخارجية او الاجنبية عن المنشأة ، ومسائل التحقيق باخلالات الأمن ، ومسائل الاشراف والمتابعة لأنشطة الرقابة اضافة الى القيام بانشطة الرقابة ضمن المستويات العليا ومن ضمنها مسائل التحكم بالاشتراكات الخارجية . 4 - الحماية الاعلامية- المعرفية : كالسيطرة على إعادة انتاج المعلومات وعلى عملية إتلاف مصادر المعلومات الحساسة عند اتخاذ القرار بعدم استخدامها .

مناطق أمن المعلومات

1 - أمن الاتصالات : ويراد بأمن الاتصالات حماية المعلومات خلال عملية تبادل البيانات من نظام الى اخر 2 - أمن الكمبيوتر : ويراد به حماية المعلومات داخل النظام بكافة أنواعها وانماطها كحماية نظام التشغيل و حماية برامج التطبيقات وحماية برامج ادارة البيانات وحماية قواعد البيانات بانواعها المختلفة .


المخاطر

هناك مخاطر عديدة يمكن ان تواجه نظام المعلومات بما في ذلك أنظمة التجارة الإلكترونية وابرز هذه المخاطر ما يلي :

1 - اختراق الأنظمة : ويتحقق ذلك بدخول شخص غير مخول بذلك الى نظام الكمبيوتر والقيام بأنشطة غير مصرح له بها كتعديل البرمجيات التطبيقية وسرقة البيانات السرية او تدمير الملفات او البرمجيات او النظام او لمجرد الاستخدام غير المشروع . ويتحقق الاقتحام بشكل تقليدي من خلال انشطة ( التقنيع والتخفي ) ويراد به تظاهر الشخص المخترق بانه شخص اخر مصرح له بالدخول . او من خلال استغلال نقاط الضعف في النظام كتجاوز إجراءات السيطرة والحماية او من خلال المعلومات التي يجمعها الشخص المخترق من مصادر مادية او معنوية ، كالتنقيب في قمامة المنشأة للحصول على كلمات السر او معلومات عن النظام او عن طريق الهندسة الاجتماعية كدخول الشخص الى مواقع معلومات حساسة داخل النظام ككلمات السر او المكالمات الهاتفية .

2 - الاعتداء على حق التخويل : ويتم من خلال قيام الشخص المخول له استخدام النظام لغرض ما باستخدامه في غير هذا الغرض دون ان يحصل على التخويل بذلك ، وهذا الخطر يعد من الأخطار الداخلية في حقل إساءة استخدام النظام من قبل موظفي المنشأة ، وهو قد يكون أيضا من الأخطار الخارجية ، كاستخدام المخترق حساب شخص مخول له باستخدام النظام عن طريق تخمين كلمة السر الخاصة به او استغلال نقطة ضعف بالنظام للدخول اليه بطريق مشروع او من جزء مشروع ومن ثم القيام بانشطة غير مشروعة .

3 - زراعة نقاط الضعف : عادة ينتج هذا الخطر عن اقتحام من قبل شخص غير مصرح له بذلك او من خلال مستخدم مشروع تجاوز حدود التخويل الممنوح له بحيث يقوم الشخص بزرع مدخل ما يحقق له الاختراق فيما بعد . ومن اشهر امثلة زراعة المخاطر حصان طروادة ، وهو عبارة عن برنامج يؤدي غرضا مشروعا في الظاهر لكنه يمكن ان يستخدم في الخفاء للقيام بنشاط غير مشروع ، كان يستخدم برنامج معالجة كلمات ظاهريا لتحرير وتنسيق النصوص في حين يكون غرضه الحقيقي طباعة كافة ملفات النظام ونقلها الى ملف مخفي بحيث يمكن للمخترق ان يقوم بطباعة هذا الملف والحصول على محتويات النظام .

4 - مراقبة الاتصالات : بدون اختراق كمبيوتر المجني عليه يتمكن الجاني من الحصول على معلومات سرية غالبا ما تكون من المعلومات التي تسهل له مستقبلا اختراق النظام وذلك ببساطة من خلال مراقبة الاتصالات من إحدى نقاط الاتصال او حلقاتها .

5 - اعتراض الاتصالات : وكذلك بدون اختراق النظام يقوم الجاني في هذه الحالة باعتراض المعطيات المنقولة خلال عملية النقل ويجري عليها التعديلات التي تتناسب مع غرض الاعتداء ويشمل اعتراض الاتصالات قيام الجاني بخلق نظام وسيط وهمي بحيث يكون على المستخدم ان يمر من خلاله ويزود النظام بمعلومات حساسة بشكل طوعي .

6 - انكار الخدمة : ويتم ذلك من خلال القيام بأنشطة تمنع المستخدم الشرعي من الوصول الى المعلومات او الحصول على الخدمة وابرز انماط انكار الخدمة ارسال كمية كبيرة من رسائل البريد الإلكتروني دفعة واحدة الى موقع معين بهدف اسقاط النظام المستقبل لعدم قدرته على احتمالها او توجيه عدد كبير من عناوين الإنترنت على نحو لا يتيح عملية تجزئة حزم المواد المرسلة فتؤدي الى اكتظاظ الخادم وعدم قدرته على التعامل معه .

7 - عدم الاقرار بالقيام بالتصرف : ويتمثل هذا الخطر في عدم اقرار الشخص المرسل اليه او المرسل بالتصرف الذي صدر عنه ، كأن ينكر انه ليس هو شخصيا الذي قام بارسال طلب الشراء عبر الإنترنت وتنطلق الاستراتيجية الفاعلة من القدرة على ايجاد نظام متواصل لعملية تحليل المخاطر وتحديد احتياجات الحماية ، وعملية تحليل المخاطر هي في حقيقتها نظام متكامل للتحليل وسلامة التصرف تبدأ من الاعداد الجيد القائم على فهم وادراك وتحديد عناصر النظام والعمليات والمخاطر ، ومن ثم تحديد معايير التهديد ونطاق الحماية المطلوب منها وتبعا له وسائل الحماية ، لتنتهي ببيان معيار الخسارة المقبولة التي يتصور تحققها بغض النظر عن مستوى الحماية ومستوى الاستعداد للمواجهة.

الوقاية من مخاطر الاعتداء على المعلومات

في ميدان حماية الاتصالات وحماية الكمبيوتر يعبر عن إجراءات الوقاية بخدمات الأمن ، ولا يقصد بها الخدمات بالمعنى المعروف ، وانما اطلق هذا التعبير جراء نشوء شركات متخصصة بأمن المعلومات تقدم هذه الخدمات ، وبالعموم فان هناك خمسة أنواع اساسية لخدمات الأمن تستهدف حماية خمسة عناصر رئيسة في ميدان المعلومات وهي :

1 - خدمات ( وسائل ) حماية التعريف Identification and Authentication هذه الخدمات تهدف الى التثبت من الهوية وتحديدا عندما يقوم شخص ما بالتعريف عن نفسه فان هذه الخدمات تهدف الى التثبت من انه هو الشخص نفسه ولهذا فان التعريف يعد الوسائل التي تحمي من انشطة التخفي والتنكر ومن هنا فان هناك نوعين من خدمات التعريف الاول تعريف الشخصية واشهر وسائلها كلمات السر وثانيها التعريف بأصل المعلومات كالتثبت من أصل الرسالة .

2 - خدمات ( وسائل ) السيطرة على الدخول Access Control : وهذه الخدمات تستخدم للحماية ضد الدخول غير المشروع الى مصادر الأنظمة والاتصالات والمعلومات ويشمل مفهوم الدخول غير المصرح به لأغراض خدمات الأمن الاستخدام غير المصرح به والافشاء غير المصرح به ، والتعديل غير المصرح به ، والاتلاف غير المصرح به ، واصدار المعلومات والاوامر غير المصرح بها ولهذا فان خدمات التحكم بالدخول تعد الوسائل الاولية لتحقيق التخويل والتثبت منه .

3 - خدمات ( وسائل ) السرية Data and message Confidentiality: هذه الخدمات تحمي المعلومات من الافشاء للجهات غير المصرح لها بالحصول عليها ، والسرية تعني بشكل عام اخفاء المعلومات من خلال تشفيرها على سبيل المثال او من خلال وسائل أخرى كمنع التعرف على حجمها او مقدارها او الجهة المرسلة اليها .

4 - خدمات ( وسائل ) حماية التكاملية وسلامة المحتوى Data and message Integrity: هذه الخدمات تهدف الى حماية مخاطر تغيير البيانات خلال عمليات ادخالها او معالجتها او نقلها وعملية التغيير تعني بمفهوم الأمن هنا الالغاء او التحوير او إعادة تسجيل جزء منها او غير ذلك وتهدف هذه الوسائل أيضا الى الحماية من انشطة تدمير المعطيات بشكل كامل او إلغائها دون تخويل .

5 - خدمات ( وسائل ) منع الانكار Non-repudiation: وهذه الخدمات تهدف الى منع الجهة التي قامت بالتصرف من انكار حصول نقل البيانات او النشاط من قبلها . وتعد الخدمات الخمس المتقدمة مناطق الحماية الاساسية في حقل المعلومات ، فالحماية يتعين ان تمتد الى التعريف ، انشطة الدخول ، السرية ، سلامة المحتوى ، منع عدم الانكار .

إستراتيجية أمن الإنترنت

تنصب أساسي أمن المعلومات في حقل تحقيق أمن الإنترنت على مواضع ثلاث :- أمن الشبكة ، أمن التطبيقات ، أمن النظم . وكل منها ينطوي على قواعد ومتطلبات تختلف عن الأخرى ويتعين ان تكون أنظمة الأمن في هذه المواضع الثلاث متكاملة مع بعضها حتى تحقق الوقاية المطلوبة لأنها بالعموم تنطوي أيضا على اتصال وارتباط بمستويات الأمن العامة كالحماية المادية والحماية الشخصية والحماية الإدارية والحماية الإعلانية . وفيما تقدم اشرنا الى العناصر المتصلة بأمن النظم والبرمجيات والمعطيات وبقي ان نشير في هذا المقام الى أمن الشبكات :- ان ما يحمى من خلال أمن الشبكة هو عملية الاتصال والتبادل بين أحد كمبيوترات الشبكة (النظام النهائي سواء اكان نظام الزبون ان نظام المستضيف ( الخادم ) وبين كمبيوتر اخر ضمن الشبكة ، فإذا ارتبط النظام النهائي بالإنترنت مباشرة دون وجود وسائل أمن ما بين هذا النظام والشبكة فان اية حزمة بيانات مرسلة قد يلحق بها ما يلي :

1 - قد يتم تغيرها خلال عملية النقل 2 - قد لا تظهر من حيث مصدرها من الجهة التي قدمت منها 3 - قد تكون جزء من هجوم يستهدف النظام 4 - قد لا تصل الى العنوان المرسلة اليه 5 - قد يتم قراءتها والاطلاع عليها وافشاؤها من الغير .

ويهدف أمن الشبكات من جهة أخرى الى حماية الشبكة نفسها واظهار الثقة لدى مستخدم النظام النهائي بتوفر وسائل الحماية في تعامله مع الشبكة وكذلك اظهار الشبكة ذاتها بانها تحتوى على وسائل أمن لا تتطلب معها ان يكون كمبيوتر المستخدم محتويا على وسائل خاصة . وتتضمن وسائل أمن الشبكة ما يلي : - أ - التعريف والسلامة من خلال تزويد نظام المستقبل بالثقة في حماية حزم المعلومات والتأكد من ان المعلومات التي وصلت لم يتم تعديلها . بـ - السرية : حماية محتوى حزم المعلومات من الافشاء الا للجهات المرسلة اليها . جـ - التحكم بالدخول : تقيد الاتصالات بحصرها ما بين النظام المرسل والنظام المستقبل .

Sourses :

         http://www.itep.ae/arabic/EducationalCenter/Articles/cata_is.asp
         http://www.abdelmajid-miled.com/articles_ar1.php?id=16

.

البدء في نقاش حول أمن المعلومات

بَدْء نقاش