search for Information Security بالعربي - الهيـــــــــــــلا *** منتدى قبيلة عتيبة

نواف العصيمي · 09-Dec-2006, 08:47 PM

امن المعلومات
ماهيتها وعناصرها واستراتيجياتها

1. مـا المقصـود بأمـــن المعلومات وما هـي عناصره ؟

أمن المعلومات ، من زاوية اكاديمية ، هو العلم الذي يبحث في نظريات واستراتيجيات توفير الحماية للمعلومات من المخاطر التي تهددها ومن انشطة الاعتداء عليها . ومن زاوية تقنية ، هو الوسائل والادوات والاجراءات اللازم توفيرها لضمان حماية المعلومات من الاخطار الداخلية والخارجية . ومن زاوية قانونية ، فان أمن المعلومات هو محل دراسات وتدابير حماية سرية وسلامة محتوى وتوفر المعلومات ومكافحة انشطة الاعتداء عليها او استغلال نظمها في ارتكاب الجريمة ، وهو هدف وغرض تشريعات حماية المعلومات من الانشطة غير المشروعة وغير القانونية التي تستهدف المعلومات ونظمها ( جرائم الكمبيوتر والإنترنت) .
واستخدام اصطلاح أمن المعلومات Information Security وان كان استخداما قديما سابقا لولادة وسائل تكنولوجيا المعلومات ، الا انه وجد استخدامه الشائع بل والفعلي ، في نطاق انشطة معالجة ونقل البيانات بواسطة وسائل الحوسبة والاتصال ، اذ مع شيوع الوسائل التقنية لمعالجة وخزن البيانات وتداولها والتفاعل معها عبر شبكات المعلومات- وتحديدا الإنترنت – احتلت ابحاث ودراسات أمن المعلومات مساحة رحبة آخذة في النماء من بين أبحاث تقنية المعلومات المختلفة ، بل ربما أمست أحد الهواجس التي تؤرق مختلف الجهات .

1-1 ما الذي نحميه – بوجه عام – بالنسبة للمعلومات ؟؟
( عناصر أمن المعلومات)

ان اغراض ابحاث واستراتيجيات ووسائل أمن المعلومات – سواء من الناحية التقنية او الادائية - وكذا هدف التدابير التشريعية في هذا الحقل ، ضمان توفر العناصر التالية لاية معلومات يراد توفير الحماية الكافية لها :-

 السرية أو الموثوقية CONFIDENTIALITY : وتعني التأكد من ان المعلومات لا تكشف ولا يطلع عليها من قبل اشخاص غير مخولين بذلك .
 التكاملية وسلامة المحتوى INTEGRITY : التأكد من ان محتوى المعلومات صحيح ولم يتم تعديله او العبث به وبشكل خاص لن يتم تدمير المحتوى او تغيره او العبث به في اية مرحلة من مراحل المعالجة او التبادل سواء في مرحلة التعامل الداخلي مع المعلومات او عن طريق تدخل غير مشروع .
 استمرارية توفر المعلومات او الخدمة AVAILABILITY :- التأكد من استمرار عمل النظام المعلوماتي واستمرار القدرة على التفاعل مع المعلومات وتقديم الخدمة لمواقع المعلوماتية وان مستخدم المعلومات لن يتعرض الى منع استخدامه لها او دخوله اليها .
 عدم إنكار التصرف المرتبط بالمعلومات ممن قام به Non-repudiation :- ويقصد به ضمان عدم انكار الشخص الذي قام بتصرف ما متصل بالمعلومات او مواقعها انكار انه هو الذي قام بهذا التصرف ، بحيث تتوفر قدرة اثبات ان تصرفا ما قد تم من شخص ما في وقت معين .

1-2 هل تحتاج اية معلومات عناصر الحماية ذاتها وبذات القدر ؟؟
( منطلقات خطة حماية المعلومات )

ان ضمان عناصر أمن المعلومات كلها او بعضها يعتمد على المعلومات محل الحماية واستخداماتها وعلى الخدمات المتصلة بها ، فليس كل المعلومات تتطلب السرية وضمان عدم الافشاء ، وليس كل المعلومات في منشأة واحدة بذات الاهمية من حيث الوصول لها او ضمان عدم العبث بها ، لهذا تنطلق خطط أمن المعلومات من الاجابة عن سلسلة تساؤلات متتالية :-

 التساؤل الاول :- ما الذي نريد ان نحميه ؟؟ واجابة هذا التساؤل تحدد تصنيف البيانات والمعلومات من حيث اهمية الحماية ، اذ تصنف المعلومات تبعا لكل حالة على حده ، من معلومات لا تتطلب الحماية ، الى معلومات تتطلب حماية قصوى ( انظر شكل 1 ).

شكل رقم 1

وحدات المعلومات كاملة

 التساؤل الثاني :- ما هي المخاطر التي تتطلب هكذا حماية ؟؟ وتبدا عملية تحديد المخاطر بتصور كل خطر قد يمس المعلومات محل الحماية او يهدد امنها ، ابتداء من قطع مصدر الكهرباء عن الكمبيوتر وحتى مخاطر اختراق النظام من الخارج بواحد او اكثر من وسائل الاختراق عبر نقاط الضعف ، مرورا باساءة الموظفين استخدام كلمات السر العائدة لهم ، ويصار الى تصنيف هذه المخاطر ضمن قوائم تبعا لاساس التصنيف ، فتصنف كمخاطر من حيث مصدرها ومن حيث وسائل تنفيذها ، ومن حيث غرض المتسببين بهذه المخاطر ، ومن حيث اثرها على نظام الحماية وعلى المعلومات محل الحماية. وهو ما سنقف لاحقا عليه بشكل تفصيلي . ومتى ما تم الانتهاء من هذا التحديد يجري الانتقال الى التساؤل التالي .

 التساؤل الثالث :- كيف يتم توفير الحماية لما نرغب بحمايته من المخاطر التي تم تحديدها ( وسائل الحماية ) ؟؟ وهنا تجد كل منشاة وكل هيئة طريقتها الخاصة في توفير الأمن من المخاطر محل التحديد وبحدود متطلبات حماية المعلومات المخصوصة التي تم تحديدها وبحدود امكاناتها المادية والميزانية المخصصة للحماية ، فلا تكون إجراءات الأمن رخوة ضعيفة لا تكفل الحماية وبالمقابل لا تكون مبالغا بها الى حد يؤثر على عنصر الأداء في النظام محل الحماية ، اذ لو تصورنا شخصا أراد حماية النقود الموجودة في منزله ، فانه من المقبول وضعها مثلا في قاصة حديدية ووضع حديد حماية مثلا على نوافذ المنزل ، او وضع جرس إنذار لأي اقتحام للمنزل وربما يمكن قبول هذه الوسائل الثلاث لتوفير الأمن من انشطة سرقة هذا المال . لكن ليس منطقيا بل مبالغا فيه ان يحمي هذا الشخص ماله بان يضع حراسا ( أشخاصا ) على منزله ، ويضع صواعق كهربائية على الأسوار الخارجية ، ومن ثم يضع حديد حماية على الأبواب والنوافذ ، ويضيف الى ذلك جرس إنذار لكل نقطة في المنزل ، فإذا ما دخلنا الى المنزل وجدنا كاميرات مراقبة عند كل نقطة ، ووجدنا بعدها ان الغرفة التي تحتوي القاصة الحديدية لا يسمح بالدخول اليها الا بعد تجاوز إجراءات تعريف خاصة كبطاقة تعريف او رقم سري على الأقفال او غير ذلك ، فإذا ما دخلنا الغرفة وجدنا اننا لسنا امام قاصة حديدية عادية ، وانما خزانة حفظ تفتح بقفل وقتي او ساعة وقتية ، او تفتح بمفتاحين او اكثر وبارقام سرية متعددة او غير ذلك من انماط القاصات المعقدة بل ووجدنا ان فتحها يتطلب ابتداء إلغاء جرس إنذار خاص بالقاصة نفسها . ان هكذا حماية لا يمكن ان تكون مقبولة ، لأنها ببساطة تجعل عملية حصول الشخص نفسه على بعض المال من بين نقوده عملية معقدة قد تدفعه لاحقا الى إهمال كل إجراءات الأمن هذه فيكون اكثر عرضة للسرقة من غيره ، وهذا ما نسميه التأثير على صحة الأداء وفعاليته . وفي بيئة المعلومات ، فمن الطبيعي مثلا ان نضع على جهاز الكمبيوتر الشخصي كلمة سر للولوج الى الملفات الهامة او حتى للنظام كله وان لا نعطي الكلمة لاحد ، وان نضع برنامجا او اكثر لمقاومة الفيروسات الإلكترونية الضارة ، ونراعي إجراءات مقبولة في حماية الدخول الى شبكة الإنترنت والتأكد من مصدر البريد الإلكتروني مثلا . فإذا كان الكمبيوتر خاص بدائرة او منشاة ويضم بيانات هامة ومصنف انها سرية ، كان لزاما زيادة إجراءات الأمن ، فمثلا يضاف للنظام جدران نارية تحد من دخول اشخاص من الخارج وتمنع اعتداءات منظمة قد يتعرض لها النظام او الموقع المعلوماتي ، واذا كان النظام يتبادل رسائل إلكترونية يخشى على بياناتها من الافشاء ، تكون تقنيات التشفير مطلوبة بالقدر المناسب . لكن لا يقبل مثلا على جهاز كمبيوتر خاص غير مرتبط بشبكة عامة ان توضع أنواع متعددة من الجدران النارية ، او ان يوضع على أحد مواقع الإنترنت وسائل تعريف متعددة لشخص المستخدم ، ككلمة السر والبصمة الإلكترونية والبصمة الصوتية ، وان يخضع نظام الموقع الى عدد مبالغ به من الفلترات والجدران النارية ، وتشفير طويل المدى لكافة البيانات الموجودة عليه والمتبادلة عبره ، وأيضا لا يقبل موقع أمني يضم بيانات سرية للغاية مجرد الاقتصار على كلمة سر للدخول للنظام . بمعنى ان إجراءات الحماية تنطلق من احتياجات الحماية الملاءمة ، فان زادت عن حدها أمست ذات اثر سلبي على الأداء ، فاصبح الموقع او النظام بطيئا وغير فاعل في أداء مهامه الطبيعية ، وان نقصت عن الحد المطلوب ، ازدادت نقاط الضعف واصبح اكثر عرضة للاختراق الداخلي والخارجي . فإذا فرغنا من اختيار وسائل الحماية التقنية واستراتيجياتها الإدارية والادائية الملائمة ، انتقلنا بعدئذ الى التساؤل الاخير.

 التساؤل الرابع :- ما العمل ان تحقق أي من المخاطر رغم وسائل الحماية ؟؟ واجابة هذا التساؤل هو ما يعرف بخطط مواجهة الأخطار عند حصولها ، وتتضمن مراحل متتالية ، تبدأ من مرحلة الإجراءات التقنية والادارية والاعلامية والقانونية اللازمة عند حصول ذلك ، ومرحلة إجراءات التحليل لطبيعية المخاطر التي حصلت وسبب حصولها وكيفية منع حصولها لاحقا . واخيرا إجراءات التعافي والعودة الى الوضع الطبيعي قبل حصول الخطر مع مراعاة تنفيذ ما اظهره التحليل عن كيفية حصول المخاطر وضمان عدم حصولها .

اذن ، وفي الوقت التي تتطلب بعض المعلومات كالمتصلة بالامن القومي والأسرار العسكرية مثلا ايلاء عنصري السرية والتكاملية أقصى درجات الاهتمام ، نجد بالنسبة للبنوك انه اضافة للعنصرين المتقدمين يتعين بالنسبة للنظام نفسه ايلاء عنصر الاستمرارية ذات القدر من الاهمية ، فان عملت المصارف في حقل البنوك الإلكترونية او الخدمات المصرفية الإلكترونية عن بعد ، كان عنصر عدم الإنكار بنفس اهمية بقية العناصر . ونجد ان مواقع الإنترنت مثلا تتطلب ايلاء عنصر الاستمرارية الاهتمام الاكبر ، في حين ان مواقع التجارة الإلكترونية من بين مواقع الإنترنت تتطلب الحرص على توفير عناصر الحماية الاربعة بنفس القدر والأهمية اذ تحتاج ضمان السرية ، وتحديدا بالنسبة للبيانات الخاصة بالزبائن كأرقام بطاقات الائتمان ، وتتطلب التكاملية والسلامة بالنسبة للبيانات المتبادلة عبر الرسائل الإلكترونية بين الزبون والموقع ، فلا يصل أمر الشراء مثلا وقد لحقه تغيير او تحريف ما ، وتتطلب استمرارية الموقع في تقديم خدماته وقدرة الزبون على الولوج اليه طوال وقت سريان عملية التصفح والشراء بل وفي أي وقت يريد للدخول الى الموقع ، وتتطلب ضمان عدم انكار الزبون ان التصرف الذي اجراه على الموقع ( كطلب الشراء ) قد صدر عنه او انكار الموقع نفسه انه تعاقد مع الزبون في شان ما .

1-3 اين تتجه المخاطر والاعتداءات في بيئة المعلومات ؟؟
تطال المخاطر والاعتداءات في بيئة المعلومات أربعة مواطن أساسية هي مكونات تقنية المعلومات في احدث تجلياتها :-
 الأجهــزة :- وهي كافة المعدات والادوات المادية التي تتكون منها النظم ، كالشاشات والطابعات ومكوناتها الداخلية ووسائط التخزين المادية وغيرها .
 البرامــج :- وهي الاوامر المرتبة في نسق معين لانجاز الاعمال ، وهي اما مستقلة عن النظام او مخزنة فيه .
 المعطيـات :- انها الدم الحي للأنظمة ، وما سيكون محلا لجرائم الكمبيوتر كما سنرى ، وتشمل كافة البيانات المدخلة والمعلومات المستخرجة عقب معالجتها ، وتمتد بمعناها الواسع للبرمجيات المخزنة داخل النظم . والمعطيات قد تكون في طور الادخال او الاخراج او التخزين او التبادل بين النظم عبر الشبكات ، وقد تخزن داخل النظم او على وسائط التخزين خارجه .
 الاتصـالات :- وتشمل شبكات الاتصال التي تربط اجهزة التقنية بعضها بعض محليا ونطاقيا ودوليا ، وتتيح فرصة اختراق النظم عبرها كما انها بذاتها محل للاعتداء وموطن من مواطن الخطر الحقيقي.
ومحور الخطر ، الانسان ، سواء المستخدم او الشخص المناط به مهام تقنية معينة تتصل بالنظام ، فادراك هذا الشخص حدود صلاحياته ، وادراكه اليات التعامل مع الخطر ، وسلامة الرقابة على انشطته في حدود احترام حقوقه القانونية ، مسائل رئيسة يعنى بها نظام الأمن الشامل ، تحديدا في بيئة العمل المرتكزة على نظم الكمبيوتر وقواعد البيانات . انظر (الشكل 2 )

والبقيه راجع الرابط + مرررفق بالصور

http://www.up4ksa.com/pic/download.p...807071d5c5.zip

التوقيع