امن المعلومات
ماهيتها وعناصرها واستراتيجياتها
1. مـا المقصـود بأمـــن المعلومات وما هـي عناصره ؟
أمن المعلومات ، من زاوية اكاديمية ، هو العلم الذي يبحث في نظريات واستراتيجيات توفير الحماية للمعلومات من المخاطر التي تهددها ومن انشطة الاعتداء عليها . ومن زاوية تقنية ، هو الوسائل والادوات والاجراءات اللازم توفيرها لضمان حماية المعلومات من الاخطار الداخلية والخارجية . ومن زاوية قانونية ، فان أمن المعلومات هو محل دراسات وتدابير حماية سرية وسلامة محتوى وتوفر المعلومات ومكافحة انشطة الاعتداء عليها او استغلال نظمها في ارتكاب الجريمة ، وهو هدف وغرض تشريعات حماية المعلومات من الانشطة غير المشروعة وغير القانونية التي تستهدف المعلومات ونظمها ( جرائم الكمبيوتر والإنترنت) .
واستخدام اصطلاح أمن المعلومات Information Security وان كان استخداما قديما سابقا لولادة وسائل تكنولوجيا المعلومات ، الا انه وجد استخدامه الشائع بل والفعلي ، في نطاق انشطة معالجة ونقل البيانات بواسطة وسائل الحوسبة والاتصال ، اذ مع شيوع الوسائل التقنية لمعالجة وخزن البيانات وتداولها والتفاعل معها عبر شبكات المعلومات- وتحديدا الإنترنت – احتلت ابحاث ودراسات أمن المعلومات مساحة رحبة آخذة في النماء من بين أبحاث تقنية المعلومات المختلفة ، بل ربما أمست أحد الهواجس التي تؤرق مختلف الجهات .
1-1 ما الذي نحميه – بوجه عام – بالنسبة للمعلومات ؟؟
( عناصر أمن المعلومات)
ان اغراض ابحاث واستراتيجيات ووسائل أمن المعلومات – سواء من الناحية التقنية او الادائية - وكذا هدف التدابير التشريعية في هذا الحقل ، ضمان توفر العناصر التالية لاية معلومات يراد توفير الحماية الكافية لها :-
السرية أو الموثوقية CONFIDENTIALITY : وتعني التأكد من ان المعلومات لا تكشف ولا يطلع عليها من قبل اشخاص غير مخولين بذلك .
التكاملية وسلامة المحتوى INTEGRITY : التأكد من ان محتوى المعلومات صحيح ولم يتم تعديله او العبث به وبشكل خاص لن يتم تدمير المحتوى او تغيره او العبث به في اية مرحلة من مراحل المعالجة او التبادل سواء في مرحلة التعامل الداخلي مع المعلومات او عن طريق تدخل غير مشروع .
استمرارية توفر المعلومات او الخدمة AVAILABILITY :- التأكد من استمرار عمل النظام المعلوماتي واستمرار القدرة على التفاعل مع المعلومات وتقديم الخدمة لمواقع المعلوماتية وان مستخدم المعلومات لن يتعرض الى منع استخدامه لها او دخوله اليها .
عدم إنكار التصرف المرتبط بالمعلومات ممن قام به Non-repudiation :- ويقصد به ضمان عدم انكار الشخص الذي قام بتصرف ما متصل بالمعلومات او مواقعها انكار انه هو الذي قام بهذا التصرف ، بحيث تتوفر قدرة اثبات ان تصرفا ما قد تم من شخص ما في وقت معين .
1-2 هل تحتاج اية معلومات عناصر الحماية ذاتها وبذات القدر ؟؟
( منطلقات خطة حماية المعلومات )
ان ضمان عناصر أمن المعلومات كلها او بعضها يعتمد على المعلومات محل الحماية واستخداماتها وعلى الخدمات المتصلة بها ، فليس كل المعلومات تتطلب السرية وضمان عدم الافشاء ، وليس كل المعلومات في منشأة واحدة بذات الاهمية من حيث الوصول لها او ضمان عدم العبث بها ، لهذا تنطلق خطط أمن المعلومات من الاجابة عن سلسلة تساؤلات متتالية :-
التساؤل الاول :- ما الذي نريد ان نحميه ؟؟ واجابة هذا التساؤل تحدد تصنيف البيانات والمعلومات من حيث اهمية الحماية ، اذ تصنف المعلومات تبعا لكل حالة على حده ، من معلومات لا تتطلب الحماية ، الى معلومات تتطلب حماية قصوى ( انظر شكل 1 ).
شكل رقم 1
وحدات المعلومات كاملة
التساؤل الثاني :- ما هي المخاطر التي تتطلب هكذا حماية ؟؟ وتبدا عملية تحديد المخاطر بتصور كل خطر قد يمس المعلومات محل الحماية او يهدد امنها ، ابتداء من قطع مصدر الكهرباء عن الكمبيوتر وحتى مخاطر اختراق النظام من الخارج بواحد او اكثر من وسائل الاختراق عبر نقاط الضعف ، مرورا باساءة الموظفين استخدام كلمات السر العائدة لهم ، ويصار الى تصنيف هذه المخاطر ضمن قوائم تبعا لاساس التصنيف ، فتصنف كمخاطر من حيث مصدرها ومن حيث وسائل تنفيذها ، ومن حيث غرض المتسببين بهذه المخاطر ، ومن حيث اثرها على نظام الحماية وعلى المعلومات محل الحماية. وهو ما سنقف لاحقا عليه بشكل تفصيلي . ومتى ما تم الانتهاء من هذا التحديد يجري الانتقال الى التساؤل التالي .
التساؤل الثالث :- كيف يتم توفير الحماية لما نرغب بحمايته من المخاطر التي تم تحديدها ( وسائل الحماية ) ؟؟ وهنا تجد كل منشاة وكل هيئة طريقتها الخاصة في توفير الأمن من المخاطر محل التحديد وبحدود متطلبات حماية المعلومات المخصوصة التي تم تحديدها وبحدود امكاناتها المادية والميزانية المخصصة للحماية ، فلا تكون إجراءات الأمن رخوة ضعيفة لا تكفل الحماية وبالمقابل لا تكون مبالغا بها الى حد يؤثر على عنصر الأداء في النظام محل الحماية ، اذ لو تصورنا شخصا أراد حماية النقود الموجودة في منزله ، فانه من المقبول وضعها مثلا في قاصة حديدية ووضع حديد حماية مثلا على نوافذ المنزل ، او وضع جرس إنذار لأي اقتحام للمنزل وربما يمكن قبول هذه الوسائل الثلاث لتوفير الأمن من انشطة سرقة هذا المال . لكن ليس منطقيا بل مبالغا فيه ان يحمي هذا الشخص ماله بان يضع حراسا ( أشخاصا ) على منزله ، ويضع صواعق كهربائية على الأسوار الخارجية ، ومن ثم يضع حديد حماية على الأبواب والنوافذ ، ويضيف الى ذلك جرس إنذار لكل نقطة في المنزل ، فإذا ما دخلنا الى المنزل وجدنا كاميرات مراقبة عند كل نقطة ، ووجدنا بعدها ان الغرفة التي تحتوي القاصة الحديدية لا يسمح بالدخول اليها الا بعد تجاوز إجراءات تعريف خاصة كبطاقة تعريف او رقم سري على الأقفال او غير ذلك ، فإذا ما دخلنا الغرفة وجدنا اننا لسنا امام قاصة حديدية عادية ، وانما خزانة حفظ تفتح بقفل وقتي او ساعة وقتية ، او تفتح بمفتاحين او اكثر وبارقام سرية متعددة او غير ذلك من انماط القاصات المعقدة بل ووجدنا ان فتحها يتطلب ابتداء إلغاء جرس إنذار خاص بالقاصة نفسها . ان هكذا حماية لا يمكن ان تكون مقبولة ، لأنها ببساطة تجعل عملية حصول الشخص نفسه على بعض المال من بين نقوده عملية معقدة قد تدفعه لاحقا الى إهمال كل إجراءات الأمن هذه فيكون اكثر عرضة للسرقة من غيره ، وهذا ما نسميه التأثير على صحة الأداء وفعاليته . وفي بيئة المعلومات ، فمن الطبيعي مثلا ان نضع على جهاز الكمبيوتر الشخصي كلمة سر للولوج الى الملفات الهامة او حتى للنظام كله وان لا نعطي الكلمة لاحد ، وان نضع برنامجا او اكثر لمقاومة الفيروسات الإلكترونية الضارة ، ونراعي إجراءات مقبولة في حماية الدخول الى شبكة الإنترنت والتأكد من مصدر البريد الإلكتروني مثلا . فإذا كان الكمبيوتر خاص بدائرة او منشاة ويضم بيانات هامة ومصنف انها سرية ، كان لزاما زيادة إجراءات الأمن ، فمثلا يضاف للنظام جدران نارية تحد من دخول اشخاص من الخارج وتمنع اعتداءات منظمة قد يتعرض لها النظام او الموقع المعلوماتي ، واذا كان النظام يتبادل رسائل إلكترونية يخشى على بياناتها من الافشاء ، تكون تقنيات التشفير مطلوبة بالقدر المناسب . لكن لا يقبل مثلا على جهاز كمبيوتر خاص غير مرتبط بشبكة عامة ان توضع أنواع متعددة من الجدران النارية ، او ان يوضع على أحد مواقع الإنترنت وسائل تعريف متعددة لشخص المستخدم ، ككلمة السر والبصمة الإلكترونية والبصمة الصوتية ، وان يخضع نظام الموقع الى عدد مبالغ به من الفلترات والجدران النارية ، وتشفير طويل المدى لكافة البيانات الموجودة عليه والمتبادلة عبره ، وأيضا لا يقبل موقع أمني يضم بيانات سرية للغاية مجرد الاقتصار على كلمة سر للدخول للنظام . بمعنى ان إجراءات الحماية تنطلق من احتياجات الحماية الملاءمة ، فان زادت عن حدها أمست ذات اثر سلبي على الأداء ، فاصبح الموقع او النظام بطيئا وغير فاعل في أداء مهامه الطبيعية ، وان نقصت عن الحد المطلوب ، ازدادت نقاط الضعف واصبح اكثر عرضة للاختراق الداخلي والخارجي . فإذا فرغنا من اختيار وسائل الحماية التقنية واستراتيجياتها الإدارية والادائية الملائمة ، انتقلنا بعدئذ الى التساؤل الاخير.
التساؤل الرابع :- ما العمل ان تحقق أي من المخاطر رغم وسائل الحماية ؟؟ واجابة هذا التساؤل هو ما يعرف بخطط مواجهة الأخطار عند حصولها ، وتتضمن مراحل متتالية ، تبدأ من مرحلة الإجراءات التقنية والادارية والاعلامية والقانونية اللازمة عند حصول ذلك ، ومرحلة إجراءات التحليل لطبيعية المخاطر التي حصلت وسبب حصولها وكيفية منع حصولها لاحقا . واخيرا إجراءات التعافي والعودة الى الوضع الطبيعي قبل حصول الخطر مع مراعاة تنفيذ ما اظهره التحليل عن كيفية حصول المخاطر وضمان عدم حصولها .
اذن ، وفي الوقت التي تتطلب بعض المعلومات كالمتصلة بالامن القومي والأسرار العسكرية مثلا ايلاء عنصري السرية والتكاملية أقصى درجات الاهتمام ، نجد بالنسبة للبنوك انه اضافة للعنصرين المتقدمين يتعين بالنسبة للنظام نفسه ايلاء عنصر الاستمرارية ذات القدر من الاهمية ، فان عملت المصارف في حقل البنوك الإلكترونية او الخدمات المصرفية الإلكترونية عن بعد ، كان عنصر عدم الإنكار بنفس اهمية بقية العناصر . ونجد ان مواقع الإنترنت مثلا تتطلب ايلاء عنصر الاستمرارية الاهتمام الاكبر ، في حين ان مواقع التجارة الإلكترونية من بين مواقع الإنترنت تتطلب الحرص على توفير عناصر الحماية الاربعة بنفس القدر والأهمية اذ تحتاج ضمان السرية ، وتحديدا بالنسبة للبيانات الخاصة بالزبائن كأرقام بطاقات الائتمان ، وتتطلب التكاملية والسلامة بالنسبة للبيانات المتبادلة عبر الرسائل الإلكترونية بين الزبون والموقع ، فلا يصل أمر الشراء مثلا وقد لحقه تغيير او تحريف ما ، وتتطلب استمرارية الموقع في تقديم خدماته وقدرة الزبون على الولوج اليه طوال وقت سريان عملية التصفح والشراء بل وفي أي وقت يريد للدخول الى الموقع ، وتتطلب ضمان عدم انكار الزبون ان التصرف الذي اجراه على الموقع ( كطلب الشراء ) قد صدر عنه او انكار الموقع نفسه انه تعاقد مع الزبون في شان ما .
1-3 اين تتجه المخاطر والاعتداءات في بيئة المعلومات ؟؟
تطال المخاطر والاعتداءات في بيئة المعلومات أربعة مواطن أساسية هي مكونات تقنية المعلومات في احدث تجلياتها :-
الأجهــزة :- وهي كافة المعدات والادوات المادية التي تتكون منها النظم ، كالشاشات والطابعات ومكوناتها الداخلية ووسائط التخزين المادية وغيرها .
البرامــج :- وهي الاوامر المرتبة في نسق معين لانجاز الاعمال ، وهي اما مستقلة عن النظام او مخزنة فيه .
المعطيـات :- انها الدم الحي للأنظمة ، وما سيكون محلا لجرائم الكمبيوتر كما سنرى ، وتشمل كافة البيانات المدخلة والمعلومات المستخرجة عقب معالجتها ، وتمتد بمعناها الواسع للبرمجيات المخزنة داخل النظم . والمعطيات قد تكون في طور الادخال او الاخراج او التخزين او التبادل بين النظم عبر الشبكات ، وقد تخزن داخل النظم او على وسائط التخزين خارجه .
الاتصـالات :- وتشمل شبكات الاتصال التي تربط اجهزة التقنية بعضها بعض محليا ونطاقيا ودوليا ، وتتيح فرصة اختراق النظم عبرها كما انها بذاتها محل للاعتداء وموطن من مواطن الخطر الحقيقي.
ومحور الخطر ، الانسان ، سواء المستخدم او الشخص المناط به مهام تقنية معينة تتصل بالنظام ، فادراك هذا الشخص حدود صلاحياته ، وادراكه اليات التعامل مع الخطر ، وسلامة الرقابة على انشطته في حدود احترام حقوقه القانونية ، مسائل رئيسة يعنى بها نظام الأمن الشامل ، تحديدا في بيئة العمل المرتكزة على نظم الكمبيوتر وقواعد البيانات . انظر (الشكل 2 )
2. ما هي عمليات المعلومات الرئيسة المتصلة بأمن المعلومات ؟؟
تتعدد عمليات التعامل مع المعلومات في بيئة النظم وتقنيات المعالجة والاتصال وتبادل البيانات ، ولكن يمكن بوجه عام تحديد العمليات الرئيسة التالية :-
2-1 تصنيف المعلومات Information classification :-
وهي عملية اساسية لدى بناء أي نظام او في بيئة أي نشاط يتعلق بالمعلومات وتختلف التصنيفات حسب المنشاة مدار البحث ، فمثلا قد تصنف المعلومات الى معلومات متاحة ، وموثوقة ، وسرية ، وسرية للغاية او قد تكون معلومات متاح الوصول اليها واخرى محظور التوصل اليها وهكذا .
2-2 التوثيق Documentation :-
وتتطلب عمليات المعلومات اساسا اتباع نظام توثيق خطي لتوثيق بناء النظام وكافة وسائل المعالجة والتبادل ومكوناتها . وبشكل رئيس فان التوثيق لازم وضروري لنظام التعريف والتخويل ، وتصنيف المعلومات ، والانظمة التطبيقية . وفي اطار الأمن ، فان التوثيق يتطلب ان تكون استراتيجية او سياسة الأمن موثقة ومكتوبة وان تكون إجراءاتها ومكوناتها كاملة محل توثيق ، اضافة الى خطط التعامل مع المخاطر والحوادث ، والجهات المسؤولة ومسؤولياتها وخطط التعافي وادارة الازمات وخطط الطوارئ المرتبطة بالنظام عند حدوث الخطر .
2-3 المهام والواجبات الإدارية والشخصية Administration and Personnel Responsibilities :-
ان مهام المتصلين بنظام أمن المعلومات تبدأ في الاساس من حسن اختيار الافراد المؤهلين وعمق معارفهم النظرية والعملية ، على ان يكون مدركا ان التأهيل العملي يتطلب تدريبا متواصلا ولا يقف عند حدود معرفة وخبرة هؤلاء لدى تعيينهم ، وبشكل رئيس فان المهام الإدارية او التنظيمية تتكون من خمسة عناصر او مجموعات رئيسة :- تحليل المخاطر ، وضع السياسة او الاستراتيجية ، وضع خطة الأمن ، وضع البناء التقني الامني – توظيف الاجهزة والمعدات والوسائل ، واخيرا تنفيذ الخطط والسياسات .
ومن المهم ادراك ان نجاح الواجبات الإدارية او الجماعية للمنشأة يتوقف على ادراك كافة المعنيين في الإدارة ( بمهامهم التقنية والإدارية والمالية ) استراتيجية وخطة وواجبات الأمن والتزام المؤسسة باعتبار مسائل الأمن واحدا من الموضوعات التي يدركها الكافة ويتمكن الكل من التعامل مع ما يخص واجباتهم من بين عناصر الأمن .
وعلى المستوى الشخصي او مستوى المستخدمين ، فان على المؤسسة ان تضع التوجيهات الكافية لضمان وعي عام ودقيق بمسائل الأمن ، بل المطلوب بناء ثقافة الأمن لدى العاملين والتي تتوزع بين وجوب مراعاة أخلاقيات استخدام التقنية وبين الإجراءات المتطلبة من الكل لدى ملاحظة أي خلل ، وعلى المؤسسة ان تحدد للمستخدمين ما يتعين عليهم القيام به والاهم ما يحظر عليهم القيام به في معرض استخدامهم للوسائل التقنية المختلفة .
2-4 وسائل التعريف والتوثق من المستخدمين وحدود صلاحيات الاستخدام Identification and Authorization :-
ان الدخول الى أنظمة الكمبيوتر وقواعد البيانات ومواقع المعلوماتية عموما ، يمكن تقييده بالعديد من وسائل التعرف على شخصية المستخدم وتحديد نطاق الاستخدام ، وهو ما يعرف بأنظمة التعريف والتخويل Identification and Authorization systems. . والتعريف او الهوية مسالة تتكون من خطوتين ، الأولى وسيلة التعريف على شخص المستخدم ، والثانية قبول وسيلة التعريف او ما يسمى التوثق من صحة الهوية المقدمة .
ووسائل التعريف تختلف تبعا للتقنية المستخدمة ، وهي نفسها وسائل أمن الوصول الى المعلومات او الخدمات في قطاعات استخدام النظم او الشبكات أو قطاعات الاعمال الإلكترونية ، وبشكل عام ، فان هذه الوسائل تتوزع الى ثلاثة أنواع :-
1 - شئ ما يملكه الشخص مثل البطاقة البلاستيكية او غير ذلك .
2 – شئ ما يعرفه الشخص مثل كلمات السر او الرمز او الرقم الشخصي غير ذلك
3– شيء ما يرتبط بذات الشخص او موجود فيه مثل بصمة الاصبع او بصمة العين والصوت وغيرها .
وتعد وسائل التعريف والتوثق الاقوى ، تلك الوسائل التي تجمع بين هذه الوسائل جميعا على نحو لا يؤثر على سهولة التعريف وفعاليته في ذات الوقت .
وايا كانت وسيلة التعريف التي سيستتبعها توثق من قبل النظام authentication ، فانها بذاتها وبما ستصل باستخدامها تخضع لنظام أمن وارشادات امنية يتعين مراعاتها ، فكلمات السر على سبيل المثال ، وهي الاكثر شيوعا من غيرها من النظم ، تتطلب ان تخضع لسياسة مدروسة من حيث طولها ومكوناتها والابتعاد عن تلك الكلمات التي يسهل تخمينها او تحريها وكذلك خضوع الاستخدام لقواعد عدم الاطلاع وعدم الافشاء والحفاظ عليها .
ومتى ما استخدمت وسائل تعريف ملائمة لاتاحة الوصول للنظام ، ومتى ما تحققت عملية التوثق والمطابقة والتأكد من صحة التعريف (الهوية) فان المرحلة التي تلي ذلك هي تحديد نطاق الاستخدام Authorization وهو ما يعرف بالتخويل او التصريح باستخدام قطاع ما من المعلومات في النظام ، وهذه المسالة تتصل بالتحكم بالدخول او التحكم بالوصول الى المعلومات او اجزاء النظام Access Control system . ( انظر البند 5 )
2-5 سجل الأداء Logging :-
تحتوى مختلف أنواع الكمبيوترات نوعا ما من السجلات التي تكشف استخدامات الجهاز وبرمجياته والنفاذ اليه ، وهي ما يعرف بسجلات الأداء او سجلات النفاذ الى النظام ، تتخذ سجلات الأداء اهمية استثنائية في حال تعدد المستخدمين وتحديدا في حالة شبكات الكمبيوتر التي يستخدم مكوناتها اكثر من شخص ، وفي هذه الحالة تحديدا ، أي شبكات المستخدمين ، فان هناك اكثر من نوع من أنواع سجلات الأداء وتوثيق الاستخدامات ، كما ان سجلات الأداء تتباين من حيث نوعها وطبيعتها وغرضها ، فهناك سجلات الأداء التاريخية والسجلات المؤقتة ، وسجلات التبادل وسجلات النظام وسجلات الأمن وسجلات قواعد البيانات والتطبيقات وسجلات الصيانة او ما يعرف بسجلات الأمور التقنية وغيرها . وبشكل عام فان سجلات الأداء منوط بها ان تحدد شخص المستخدم ووقت الاستخدام ، ومكانه ، وطبيعة الاستخدام ( محتواه ) واية معلومات إضافية أخرى تبعا للنشاط ذاته .
2-6 عمليات الحفظ Back-up :-
وعمليات الحفظ تتعلق بعمل نسخة إضافية من المواد المخزنة على إحدى وسائط التخزين سواء داخل النظام او خارجه ، وتخضع عمليات الحفظ لقواعد يتعين ان تكون محددة سلفا وموثقة ومكتوبة ويجري الالتزام بها لضمان توحيد معايير الحفظ وحماية النسخ الاحتياطية .
ويمثل وقت الحفظ ، وحماية النسخة الاحتياط ، ونظام الترقيم والتبويب ، وآلية الاسترجاع والاستخدام ، ومكان الحفظ وامنه ، وتشفير النسخ التي تحتوي معطيات خاصة وسرية ، مسائل رئيسة يتعين اتخاذ معايير واضحة ومحددة بشأنها .
2-7 وسائل الأمن الفنية ونظام منع الاختراق :-
تتعدد وسائل الأمن التقنية المتعين استخدامها في بيئة الكمبيوتر والإنترنت ، كما تتعدد أغراضها ونطاقات الاستخدام ، وقد تناولنا فيما تقدم مسائل التعريف والتوثيق وتحديدا كلمات السر ووسائل التعريف الأخرى . وتتخذ الجدران النارية Firewalls ، اضافة للتشفير cryptography ، وكذلك نظم التحكم في الدخول و نظام تحري الاختراق Intrusion Detection Systems (IDS) ، وأنظمة وبرمجيات مقاومة الفيروسات اهمية متزايدة ، لكنها لا تمثل جميعها وسائل الأمن المستخدمة ، بل هي اضافة لوسائل التعريف والتوثيق المتقدم الاشارة اليها تمثل اهم وسائل الأمن التقنية في الوقت الحاضر ، وسنعرض لهذه الوسائل بالقدر المتاح مع بيان اهم مسائلها من خلال ادلة الأمن المعتمدة دوليا وبعض المعايير والمقاييس السائدة بشأنها في البند 1-5 من هذا الفصل .
2-8 نظام التعامل مع الحوادث Incident Handling System :-
بغض النظر عن حجم وسائل الأمن التقنية المستخدمة ، ومعايير الأمن وإجراءاته المتبعة ، فانه لا بد من توفر نظام متكامل للتعامل مع المخاطر والحوادث والاعتداءات ، ويعدو متطلبا رئيسا بالنسبة لمؤسسات الاعمال كما في حالة البنوك والمؤسسات المالية .
واول ما يتعين ادراكه في هذا الصدد ان التعامل مع الحوادث عملية وليست مجرد مشروع او خطوة واحدة ، بمعنى انها عملية متكاملة تتصل باداء متواصل متدرج خاضع لقواعد محددة سلفا ومتبعة بدقة وانضباط ، ومتى ما تم التعامل مع الحوادث على انها مجرد حالة تنشا عند الحادث كنا امام حالة قصور تمثل بذاتها أحد عناصر الضعف في نظام الأمن .
وتختلف مكونات ومراحل وخطوات نظام التعامل مع الحوادث من مؤسسة الى أخرى تبعا لعوامل عديدة تتعلق بطبيعة الأخطار التي أظهرتها عملية تحليل المخاطر وما أظهرته استراتيجية الأمن الموضوعة في المؤسسة ، وتبعا للنظام محل الحماية وما اذا كنا نتحدث عن نظم كمبيوتر مغلقة أم مفتوحة او قواعد بيانات او شبكات او مزيج منها وما اذا كنا نتحدث عن نظام خدمة مخصوص أم عن خدمات للعامة عبر الشبكة خاصة كانت أم دولية وتبعا لوظيفة التطبيق محل الحماية ، اذ تتباين خطوات ومحتوى وعناصر خطط التعامل مع الحوادث لدى بنوك الإنترنت مثلا عنها لدى المواقع المعلوماتية ، ومع ذلك ، وبوجه عام ، فان نظام التعامل مع الحوادث يتكون عادة من ستة مراحل ( خطوة فخطوة ) هي :- الاعداد المسبق والتحري والملاحظة الاحتواء والاستئصال ، التعافي والعودة للوضع الطبيعي ، والمتابعة .
3 . ما هــــي المخاطر والتهديدات ونقاط الضعف وانواع الهجمــات والاعتداءات واساليبها التقنية ؟
3-1 في المفاهيم والاصطلاحات :-
ان الحدود بين الجريمة والفعل غير الاخلاقي تبدو غير واضحة المعالم في بيئة الكمبيوتر والإنترنت ، وتمييز وضبط هذه الحدود هو المسألة الجوهرية لتحديد متى يمكن ان يعد فعل ما جريمة من بين جرائم الكمبيوتر والإنترنت او انه مجرد إساءة استخدام لا ينطوي على قصد جرمي وهي المسألة التي أحدثت جدلا واسعا في مطلع الستينات وحتى منتصف السبعينات وهي ذات الفترة التي شهدت ميلاد ظاهرة جرائم الكمبيوتر ، ومن جديد يعود هذا الجدل بسبب شيوع استخدام الإنترنت وما حملته من انشطة جديدة لا يزال الخلاف قائما حول ما اذا كانت جريمة أم انها مجرد ممارسة غير مقبولة كسلوك أخلاقي لكنها لا ترقى الى حد الجريمة.
فعلى سبيل المثال ، ثمة جدل واسع في هذه الأيام حول ما اذا كانت رسائل البريد الإلكتروني الإعلانية التي توجه بكميات كبيرة الى المستخدم دون رغبته او دون طلبها من قبيل ممارسة خاطئة أم فعلا يوجب المساءلة ، فمع اتساع هذه الظاهرة واستخدامها في حالات كثيرة لضخ آلاف الرسائل الى نظام معين في وقت معين بقصد تعطيل عمله ، ومن اجل تحقيق اعتداء انكار الخدمة ، والتذرع بعد ذلك ان الفعل ليس اكثر من خطا في عملية الإرسال لرسائل إعلانية سبق إرسالها للموقع ، ومع بروز الكثير من المشكلات المتصلة بهذه الظاهرة والتي تهدد الخصوصية وتهدد أيضا سلامة استخدام النظام نفسه ، وجدت المؤسسات التشريعية نفسها في العديد من الدول مضطرة الى إعادة تقييم الموقف من البريد الإلكتروني والرسائل غير المرغوب بها ، وهو ما أدى الى تقديم مجموعة من التشريعات امام المؤسسات التشريعية في الدول الغربية كما في أمريكا والاتحاد الأوروبي تنظم مسائل البريد الإلكتروني وتهدف الى مكافحة المظاهر السلبية والأفعال غير المشروعة التي تنطوي عليها هذه الظاهرة ، ومع ذلك لا يزال ثمة جدال فيما اذا كانت هذه انشطة جريمة أم انها سلوكيات قد لا تكون مقبولة من الناحية الأخلاقية والمهنية لكنها لا تشكل جرما .
ان غرض هذا التقديم محاولة تقديم تحديد منضبط للاصطلاحات المستخدمة في عالم جرائم الكمبيوتر والإنترنت ، لجهة التمييز بين العديد من الاصطلاحات التي يجري الخلط بينها ، فثمة فرق بين الجريمة الإلكترونية ، الإرهاب الإلكتروني ، حرب المعلومات ، المخاطر ، الحوادث ، نقاط الضعف ، والأخطاء ، الاختراقات ، حرب المعلومات ....... وغيرها .
التهديد Threats : ويعني الخطر المحتمل الذي يمكن ان يتعرض له نظام المعلومات وقد يكون شخصا ، كالمتجسس او المجرم المحترف او الهاكرز المخترق ، او شيئا يهدد الاجهزة او البرامج او المعطيات ، او حدثا كالحريق وانقطاع التيار الكهربائي والكوارث الطبيعية .
نقاط الضعف او الثغرات Vulnerabilities : وتعني عنصر او نقطة او موقع في النظام يحتمل ان ينفذ من خلاله المعتدي او يتحقق بسببه الاختراق فمثلا يعد الأشخاص الذين يستخدمون النظام نقطة ضعف اذا لم يكن تدريبهم كافيا لاستخدام النظام وحمايته ، وقد يكون الاتصال بالإنترنت نقطة ضعف مثلا اذا لم يكن مشفرا . وقد يكون الموقع المكاني للنظام نقطة ضعف كأن يكون غير مجهز بوسائل الوقاية والحماية ، وبالعموم فان نقاط الضعف هي الأسباب المحركة لتحقيق التهديدات او المخاطر . ويرتبط بهذا الاصطلاح اصطلاح وسائل الوقاية Countermeasures : وتعني التكنيك المتبع لحماية النظام ككلمات السر والأقفال ووسائل الرقابة والجدران النارية وغيرها .
اما المخاطر Risks : فانها تستخدم بشكل مترادف مع تعبير التهديد ، مع انها حقيقة تتصل بأثر التهديدات عند حصولها ، وتقوم استراتيجية أمن المعلومات الناجحة على تحليل المخاطر Risk analysis ، وتحليل المخاطر هي عملية Process وليست مجرد خطة محصورة ، وهي تبدأ من التساؤل حول التهديدات ثم نقاط الضعف واخيرا وسائل الوقاية المناسبة للتعامل مع التهديدات ووسائل منع نقاط الضعف .
اما الحوادث Incident :- فهو اصطلاح متسع يشمل المخاطر ويشمل الأخطاء ، وهو بالمعنى المستخدم في دراسات أمن المعلومات التقنية يشير الى الأفعال المقصودة او غير المقصودة ، ويغطي الاعتداءات والأخطاء الفنية ، غير ان التوصيف الدقيق لهذا المفهوم في الإطار الادائي – الإداري والإطار القانوني ، يتعين ان يحمله على الحوادث غير المقصودة والتي قد تكون مخاطر بفعل الطبيعة ودون عامل قصدي او تكون أخطاء فنية غير مقصودة .
اما الهجمات Attacks فهو اصطلاح لوصف الاعتداءات بنتائجها او بموضع الاستهداف ، فنقول هجمات انكار الخدمة ، او هجمات إرهابية ، او هجمات البرمجيات ، او هجمات الموظفين الحاقدة او الهجمات المزاحية . ويستخدم كاصطلاح رديف للهجمات اصطلاح الاختراقات او الاخلالات Breaches ، وهو اصطلاح توصف به مختلف انماط الاعتداءات التقنية ، وبالتالي يكون مرادفا أيضا للاعتداءات .
اما في اطار الاصطلاحات القانونية – وهو ما سنتناوله تفصيلا في الفصل الثاني – فانه من المهم في هذا المقام تحديد الفرق بين ثلاث اصطلاحات تستخدم في ميدان الدراسات القانونية، الاول وهو اصطلاح الجرائم الإلكترونية Cyber crime وهو الدال على مختلف جرائم الكمبيوتر والإنترنت في الوقت الحاضر بالرغم من ان استخدامه ابتداء كان محصورا بجرائم شبكة الإنترنت وحدها ، وهو ما نعالج محتواه لاحقا بشكل مفصل في معرض بيان الاصطلاحات القانونية الدالة على جرائم الكمبيوتر .
اما الثاني فهو إرهاب السيبر او إرهاب العالم الإلكتروني Cyber Terrorism ، وهي هجمات تستهدف نظم الكمبيوتر والمعطيات لأغراض دينية او سياسية او فكرية او عرقية وفي حقيقتها جزء من السيبر كرايم باعتبارها جرائم إتلاف للنظم والمعطيات او جرائم تعطيل للمواقع وعمل الأنظمة ، لكنها تتميز عنها بسمات عديدة - سنقف عليها لدى بحثنا لأنماط جرائم الكمبيوتر – أبرزها انها ممارسة لذات مفهوم الأفعال الإرهابية لكن في بيئة الكمبيوتر والإنترنت وعبر الإفادة من خبرات الكريكرز – أي مجرمي الكمبيوتر الحاقدين - العالية ، وفي اطار ذات السمات التي تتوفر في جماعات الجريمة المنظمة . اما الاصطلاح الثالث ، فهو اصطلاح حرب المعلومات Information warfare، وهو اصطلاح ظهر في بيئة الإنترنت للتعبير عن اعتداءات تعطيل المواقع وإنكار الخدمة والاستيلاء على المعطيات ، وكما يشير الاصطلاح فان الهجمات والهجمات المقابلة هي التي تدل على وجود حرب حقيقية، وبما انها حرب فهي حرب بين جهات تتناقض مصالحها وتتعارض مواقفها ، لهذا تكون في الغالب هجمات ذات بعد سياسي ، او هجمات منافسين حاقدين في قطاع الاعمال ، وهو ما يجعلها مترادفة هنا مع أعمال إرهاب السيبر ، ولذا وصفت حملات الهاكرز اليوغسلافيين على مواقع الناتو ابان ضربات الناتو بانها حرب معلومات ، ووصفت كذلك هجمات المخترقين الأمريكان على مواقع صينية في اطار حملة أمريكية على الصين تحت ذريعة حقوق الانسان والتي تمت بدعم حكومي أمريكي بانها حرب معلومات ، وأشهر حروب المعلومات القائمة حتى وقت إعداد هذا الدليل المعركة المستعرة بين الشباب العرب والمسلم وتحديدا شباب المقاومة اللبنانية والمدعومين من خبراء اختراق عرب ومسلمين ، وبين جهات تقنية صهيونية في اطار حرب تستهدف اثبات المقدرات في اختراق المواقع وتعطيلها او الاستيلاء على بيانات من هذه المواقع . وهذا الاصطلاح في حقيقته اصطلاح إعلامي اكثر منه أكاديمي ، ويستخدم مرادفا في غالبية التقارير لاصطلاح الهجمات الإرهابية الإلكترونية ونجده لدى الكثيرين اصطلاح واسع الدلالة لشمول كل انماط مخاطر وتهديدات واعتداءات وجرائم البيئة الإلكترونية ، ونرى قصر استخدامه على الهجمات والهجمات المضادة في ضوء حروب الرأي والمعتقد لتمييزه عن بقية انشطة تعطيل المواقع التي لا تنطلق من مثل هذه الأغراض.
3-2 تحديد المخاطر ونقاط الضعف وأنماط الاعتداءات التقنية
اذن ، وبعد ان تبينا مواطن الاعتداء في البيئة الإلكترونية (بند 1-3) ، وبعد إيضاح عدد من المفاهيم المتصلة بالمخاطر والاعتداءات ، يثور التساؤل ؟؟ ما هي المخاطر وثغرات الأمن وأنماط الاعتداءات التي تواجه تقنية المعلومات ؟؟ وهل هي مخاطر واحدة أم تتباين تبعا لوسائل التقنية واستخداماتها وأغراضها ؟؟؟
قبل ان نقف على إجابة هذه التساؤلات من المهم الاشارة الى عدد من الحقائق :-
حقيقة 1 :-
علينا ان ندرك ابتداء ان الكمبيوتر الآمن على نحو مطلق هو فقط الكمبيوتر الذي لم يوصل بعد بمصدر الكهرباء ، وما يزال داخل الصندوق ، ولم يستعمل بعد . ومتى ما وضع الكمبيوتر في الاستخدام تبدأ المخاطر ، وهي مخاطر تتراوح بين المخاطر التقليدية التي يتعرض لها أي مال منقول ، وتمتد لمخاطر خاصة بطبيعة هذا الجهاز ووظائفه ، وتنتهي بمخاطر يكون هو فيها مصدر الخطر لمصالح وحقوق الآخرين .
حقيقة 2 :-
ان الحديث عن المخاطر والثغرات الأمنية وأنماط الاعتداءات التقنية ليس توصيفا لأنماط جرائم الكمبيوتر والإنترنت ( انظر فصل 2 ) ، لان جريمة إتلاف المعطيات على سبيل المثال ، تنطوي بذاتها على انماط متعددة من المخاطر وترتبط بأنماط مختلفة من الاعتداءات التقنية ومصدرها العديد من ثغرات الأمن ، فالفيروسات وسيلة هجوم شائعة لاتلاف المعطيات لكن أيضا يمكن إتلاف المعطيات بالعديد من وسائل الهجوم ومسمياته المختلفة وعن طريق تقنيات مختلفة تحقق هذا الغرض ، بل يمكن تحقيقه ماديا عن طريق انشطة التدمير المادي . وبالتالي قد نجد الحديث عن المخاطر يتقاطع كثيرا حين نتحدث عن الجرائم ونسعى لتوصيفها وتحديدها ، وهذا التقاطع لا يتعين ان يوقعنا في خلط ، اذ جريمة الدخول غير المصرح به مثلا او التوصل غير المصرح به ، جريمة تنطوي على العديد من أنواع الخطر وانواع الهجمات او الاعتداءات ، غالبا ما تحمل ذات المسمى ، كالتوصل غير المصرح به مع الشبكة ، او التوصل غير المصرح به مع نظام الكمبيوتر وغير ذلك . لهذا فاننا سنقف على انماط جرائم الكمبيوتر والإنترنت وعلى واقعها وحجم الظاهرة واتجاهات الخسائر والاضرار الناجمة عنها في الفصل الثاني ، لكننا نقف هنا امام أنواع الهجمات وأساليبها التقنية والمخاطر و الثغرات التقنية ، فإذا ما قرأت هذه المخاطر والأساليب مع انماط الجرائم تكاملت الصورة بشان تحديد مخاطر أمن المعلومات وثغرات الأمن وطبيعة الاعتداءات .
حقيقة 3 :-
مع كل يوم جديد ، ثمة جديد في ميدان الثغرات الأمنية ، لأننا ببساطة وفي كل يوم امام جديد من التقنيات والبرمجيات والبروتوكولات ، وفي كل يوم امام مبرمج يتفتق ذهنه عن جديد في عالم الكمبيوتر والإنترنت ، وهو اما جديد إيجابي يستخدم في رخاء البشرية وضمن الاستخدام الإيجابي للإبداع العقلي ، او جديد سلبي يستثمر لتحقيق اغراض غير مشروعة او ارتكاب أفعال مجرمة او أفعال يأباها السلوك الاخلاقي القويم . وبالتالي ، فان تحديد المخاطر والثغرات والاعتداءات عملية مستمرة ، يوما بعد يوم ، وهي هنا ما يميز خطط الأمن بعضها عن بعض .
حقيقة 4 :-
ثمة تحديد للمخاطر على ضوء الوسائل وعلى ضوء طبيعة المعلومات وعلى ضوء الاستخدام، وثمة تحديد للثغرات الأمنية على ضوء بيئة وواسطة التقنية مدار البحث ، لهذا فان الحقيقة الأولى ، انه لا يوجد مؤلف او باحث او مرجع يقدم قائمة شاملة للمخاطر والاعتداءات وثغرات الحماية ، لان ذلك يعني الوقوف على كل الوسائل التقنية والوقوف على كل الاستخدامات اضافة الى تصور ما لا يمكن للعقل تصوره من اغراض وبواعث محركة للهجمات تمتد عبر طريق يضم اكثر الأشخاص احترافا للجريمة مع أكثرهم بساطة ، ويضم هواة وخبراء ، ويضم حاقدين وحسني النية ، ويضم جواسيس يلفظهم المجتمع وآخرين يتظاهر من اجلهم بوصفهم ابطالا شعبيين مثل روبن هود.
وعليه واعتمادا على الحقائق والمفاهيم المتقدمة ، فان نظريات وآليات تحديد قائمة المخاطر والاعتداءات تتباين تبعا لنظرية التصنيف واساسه ، وهي نظريات ومعايير مختلفة تختلف تبعا لها قائمة المخاطر ضيقا واتساعا واحيانا تختلف من حيث التسميات فقط مع تغطيتها لذات المخاطر .
3-2-1 تصنيف الهجمات في ضوء مناطق ومحل الحماية :-
في الحقل التقني ، قد نحمي ويتعين ان نحمي البيئة المادية المحيطة بالأجهزة والنظم ، وهذا ما يعرف بالحماية المادية ، وهذه مستهدفة من أنواع معينة من الاعتداءات والمخاطر . ويتعين ان نحمي المنشاة من المخاطر المتصلة بالموظفين ، وبالتالي ثمة اعتداءات تتصل بشؤون الموظفين والأشخاص ، وهناك اعتداءات تتصل بالمعطيات ذاتها ونظم التوصل اليها ، واخيرا ثمة اعتداءات تتعلق بعمليات النظام ذاته ، وهذا التصنيف الذي قال به قطاع عريض من الخبراء التقنيين او الباحثين في حقل أمن المعلومات ، لا يمثل تحديدا منضبطا وان كان تحديدا يتصف بقدر واسع من الشمولية ، ومرد ذلك ان الاعتداء الواحد قد يجد موضعه في طائفة او اكثر من هذه التقسيمات وبالعموم ، تصنف المخاطر والاعتداءات وفق هذه الرؤيا على النحو التالي:-
أولا :- خرق الحماية المادية Physical security Breaches of
- التفتيش في مخلفات التقنية Dumpster diving ويقصد به قيام المهاجم بالبحث في مخلفات المؤسسة من القمامة والمواد المتروكة بحثا عن أي شيء يساعده على اختراق النظام ، كالأوراق المدون عليها كلمات السر ، او مخرجات الكمبيوتر التي قد تتضمن معلومات مفيدة ، او الاقراص الصلبة المرمية بعد استبدالها ، او غير ذلك من المواد المكتوبة او الاقراص او الملاحظات او أي أمر يستدل منه على اية معلومة تساهم في الاختراق . وحتى ندرك مخاطر قمامة التقنية ، فقد حصل ان بيعت من قبل وزارة العدل الأمريكية مخلفات اجهزة تقنية بعد ان تقرر اتلافها ، وكان من ضمنها نظام كمبيوتر يحتوى قرصه الصلب على كافة العناوين الخاصة ببرنامج حماية الشهود ، وبالرغم من انه لم يتم فعليا استثمار هذه المعلومات ، الا ان مخاطر كشف هذه العناوين استدعى إعادة نقل كافة الشهود وتغيير مواطن اقامتهم وهوياتهم وهو ما تطلب كلفا مالية ضخمة لا لشيء الا للاخفاق في إتلاف الاقراص بطريقة صحيحة.
- الالتقاط السلكي Wiretapping :- والمقصود هنا ببساطة التوصل السلكي المادي مع الشبكة او توصيلات النظام لجهة استراق السمع او سرقة والاستيلاء على المعطيات المتبادلة عبر الأسلاك ، وهي انشطة تتم بطرق سهلة او معقدة تبعا لنوع الشبكة وطرق التوصل المادي .
- استراق الأمواج Eavesdropping on Emanations : ويتم ذلك باستخدام لواقط تقنية لتجميع الموجات المنبعثة من النظم باختلاف أنواعها كالتقاط موجات شاشات الكمبيوتر الضوئية او التقاط الموجات الصوتية من أجهزة الاتصال .
- انكار او إلغاء الخدمة Denial or Degradation of Service :- والمقصود هنا الاضرار المادي بالنظام لمنع تقديم الخدمة ، اما ان كنا نتحدث عن انكار الخدمة مثلا على مواقع الإنترنت فان ذلك يتم عبر تقنيات مختلفة ، كضخ الرسائل البريدية الإلكترونية دفعة واحدة لتعطيل النظام .
ثانيا :- خرق الحماية المتعلقة بالاشخاص وشؤون الموظفين Personnel security Breaches of
تعد المخاطر المتصلة بالاشخاص والموظفين ، وتحديدا المخاطر الداخلية منها ، واحدة من مناطق الاهتمام العالي لدى جهات أمن المعلومات ، اذ ثمة فرصة لان يحقق اشخاص من الداخل ما لا يمكن نظريا ان يحققه أحد من الخارج ، وتظل أيضا مشكلة صعوبات كشف هؤلاء قائمة ان لم يكن ثمة نظام أداء وصلاحيات يتيح ذلك ، وبالعموم ثمة مسميات وطوائف عديدة لهذه المخاطر نتناول تاليا أبرزها ، على ان يكون مدركا انها تتعلق بالاخطار الداخلية والخارجية معا ، وقبل ان ننتقل لهذا البيان ، ثمة فائدة في تقديم قائمة من اهم مواقع الإنترنت وافضل المعالجات التي تناولت المخاطر الداخلية .
- التخفي بانتحال صلاحيات شخص مفوض Masquerading :-والمقصود هنا الدخول الى النظام عبر استخدام وسائل التعريف العائدة لمستخدم مخول بهذا الاستخدام ، كلاستغلال كلامة سر أحد المستخدمين واسم هذا المستخدم ، او عبر استغلال نطاق صلاحيات المستخدم الشرعي ومع ان هذا النمط من الاختراقات هو الشائع سواء في البيئة الداخلية للمنشاة او الخارجية ، الا ان وضعه ضمن طائفة الاختراقات المتصلة بالموظفين ومستخدمي النظام من الداخل مصدره حصوله الغالب في هذه البيئة بسبب أخطاء تشارك الموظفين كلمات السر ووسائل التعريف ، وبسبب امكان الحصول عليها عن طريق استراق النظر او نحو ذلك من الاساليب التي تتواجد في بيئة العمل الداخلي وتتيح الحصول على كلمات المرور او وسائل التعريف .
- الهندسة الاجتماعية Social Engineering ويصنف هذا الاسلوب ضمن الحماية المادية احيانا ويرجع الى انشطة الحصول على معلومات تهيئ الاقتحام من خلال علاقات اجتماعية وذلك باستغلال الشخص أحد عناصر النظام – اشخاصه – بايهامه باي أمر يؤدي الى حصول هذا الشخص على كلمة مرور او على اية معلومة تساعد في تحقيق اعتدائه ، وابسط مثال ان يتصل شخص باحد العاملين ويطلب منه كلمة سر النظام تحت زعم انه من قسم الصيانة او قسم التطوير او غير ذلك ، ولطبيعة الاسلوب الشخصي في الحصول على معلومة الاختراق او الاعتداء سميت الهندسة الاجتماعية .
- الازعاج والتحرش Harassment :- وهي تهديدات يندرج تحتها أشكال عديدة من الاعتداءات والأساليب ، ويجمعها توجيه رسائل الازعاج والتحرش وربما التهديد والابتزاز او في احيان كثيرة رسائل المزاح على نحو يحدث مضايقة وازعاجا بالغين ، وليست حكرا على البريد الإلكتروني بل تستغل مجموعات الحوار والاخبار والنشرات الإلكترونية في بيئة الإنترنت والويب ، كما انها ليست حكرا على بيئة الموظفين والمستخدمين ، بل هي نمط متواجد في مختلف التفاعلات عبر الشبكة وعبر البريد الإلكتروني ، والصحيح انها شائعة كاعتداءات من خارج اطار المنشأة وتغلب ان تكون مشكلة تتصل بالاشخاص اكثر منها مؤسسات الاعمال ، ومن هنا يصنفها اصحاب هذا التصنيف ضمن هذه الطائفة.
- قرصنة البرمجيات Software Piracy وقرصنة البرامج تتحقق عن طريق نسخها دون تصريح او استغلالها على نحو مادي دون تخويل بهذا الاستغلال ، او تقليدها ومحاكاتها والانتفاع المادي بها على نحو يخل بحقوق المؤلف ، وهو نشاط يندرج في حقيقته ضمن طائفة الاعتداءات والمخاطر التي تستهدف البرمجيات عموما ، وهو قطاع استقل بذاته من بين قطاعات جرائم الكمبيوتر ، وهو ما نخصص له الكتاب الثالث من هذه الموسوعة ، لكن وضعها من قبل اصحاب هذا التصنيف ضمن قائمة الاخلالات المتصلة بالاشخاص وشؤون الموظفين يرجع الى الانشطة التي تتم عن طريق نسخ الأشخاص والموظفين البرمجيات – وهنا في الغالب الموجودة على الوسائط والاوعية المستقلة – لتبادلها مع اصدقائهم واقربائهم او لاستغلالها في بيئات عمل أخرى .
ثالثا :- خرق الحماية المتصلة بالاتصالات والمعطيات
Communications and Security Breaches of
والمقصود بهذه الطائفة الانشطة التي تستهدف المعطيات والبرمجيات ذاتها وتشمل طائفتين :-
• هجمات المعطيات Data Attacks
- النسخ غير المصرح به للمعطيات Unauthorized Copying of Data:- وهي العملية الشائعة التي تستتبع الدخول غير المصرح به للنظام ، حيث يمكن الاستيلاء عن طريق النسخ على كافة أنواع المعطيات ، وهنا تشمل البيانات والمعلومات والاوامر والبرمجيات وغيرها .
- تحليل الاتصالات Traffic Analysis :- الفكرة هنا ببساطة ان الهجوم ينصب على دراسة أداء النظام في مرحلة التعامل ومتابعة ما يتم فيه من اتصالات وارتباطات بحيث يستفاد منها في تحديد مسلكيات المستخدمين وتحديد نقاط الضعف ووقت الهجوم المناسب وغير ذلك من مسائل يجمعها فكرة الرقابة على حركة النظام بغرض تيسير الهجوم عليه .
- القنوات المخفية Covert Channels :- وهي عمليا صورة من صور اعتداءات التخزين ، حيث يخفي المقتحم معطيات او برمجيات او معلومات مستولى عليها كأرقام بطاقات ائتمان في موضع معين من النظام ، وتتعدد اغراض الاخفاء ، فقد تكون تمهيدا لهجوم لاحق او تغطية اقتحام سابق او مجرد تخزين لمعطيات غير مشروعة .
• هجمات البرمجيات Software Attacks
- المصائد اوالابواب الخلفية Trap Doors :- الأبواب الخلفية ثغرة او منفذ في برنامج يتيح للمخترق الوصول من خلاله الى النظام ، انه ببساطة مدخل مفتوح تماما كالباب الخلفي للمنزل الذي ينفذ منه السارق .
- السرقة او اختلاس المعلومة او الاستخدام اللحظي ( سرقة او اختطاف الجلسات ) Session Hijacking :- وليس المقصود هنا انشطة الاستيلاء على البيانات عبر واحد او اكثر من الاساليب التقنية المتقدمة او اللاحقة ، انما المقصود ان يستغل الشخص استخداما مشروعا من قبل غيره لنظام ما ، فيسترق النظر او يستخدم النظام عندما تتاح له الفرصة لانشغال المستخدم دون علمه ، او ان يجلس ببساطة مكان مستخدم النظام فيطلع على المعلومات او يجري اية عملية في النظام ، وذلك بقصد الاستيلاء على بيانات او الحصول على معلومات تستخدم في اختراق او اعتداء لاحق او لتنفيذ نشاط تدميري آني او لكشف معطيات بشكل فوري .
- الهجمات عبر التلاعب بنقل المعطيات عبر انفاق النقل Tunneling :- انفاق النقل في الاصل طريقة تقنية مشروعة لنقل المعطيات عبر الشبكات غير المتوافقة، لكنها تصبح طريقة اعتداء عندما تستخدم حزم المعطيات المشروعة لنقل معطيات غير مشروعة .
- الهجمات الوقتية Timing attacks وهي هجمات تتم بطرق تقنية معقدة للوصول غير المصرح به الى البرامج او المعطيات ، وتقوم جميعها على فكرة استغلال وقت تنفيذ الهجمة متزامنا مع فواصل الوقت التي تفصل العمليات المرتبة في النظام ، وتضم في نطاقها العديد من الاساليب التقنية لتنفيذ الهجوم ، منها إساءة استغلال الاوضاع او الانماط العادية للاداء والكيفية في النظام Race conditions والهجمات غير المتزامنة او غير المتوافقة المتصلة باستغلال ترتيب تنفيذ العمليات الاعتيادية Asynchronous attacks .
- البرمجيات الخبيثة Malicious Code كالفايروسات Viruses وحصان طروادة Trojan Horses والدودة الإلكترونية ً Warms والسلامي Salamis والقنابل المنطقية Logic Bombs :- الجامع المشترك بين هذه البرمجيات انها برمجيات ضارة تستغل للتدمير سواء تدمير النظام او البرمجيات او المعطيات او الملفات او الوظائف او تستثمر للقيام بمهام غير مشروعة كانجاز احتيال او غش في النظام ، والحقيقة انها ليست تسميات مترادفة للفيروسات الشائعة ، انها تختلف عن بعضها البعض من حيث تركيبها احيانا واحيانا من حيث طريقة احداث النتيجة واحيانا اسلوبها في الهجوم .
والفيروسات تمثل حرب الهجمات القائمة والشائعة الان بسبب استغلال الانترنت وتوفيرها فرصة نشر البرمجيات الضارة حول العالم ، ولم تعد مجرد هجمة تستهدف نظاما بعينه او تلحق ضررا باحد الملفات ، بل عدت هجمات منظمة تلحق خسائر بالملايين ، ومن باب التمثيل لا اكثر ، فان هجمات الفايروسات وما الحقته من خسائر قد لا يتصور البعض حجمها ، فاذا كان الفيروس الذي اطلقه موريس عام 1988 وضرب نحو 6000 كمبيوتر عبر انتشاره اليها من خلال الانترنت فاتحة الهجمات وحدثا ادى الى نماء الاهتمام بالموضوع لدرجة انه وصف بانه محرك انشطة مكافحة هجمات الفايروسات ، فان فايروس ميلسيا وفايروس الحب خلال العامين الماضيين ، يذكران العالم بان (دودة موريس) كما عرفت في ذلك الوقت ، ليست الا افتتاحية لحجم مخاطر الفايروسات وقدراتها العالية على التدمير وتعطيل اداء الانظمة والشبكات وصدقت النبوءة عندما مثل الفيروس المنتشر وقت اعداد هذا الدليل (الشيفرة الحمراء) الهجوم الذي الحق اكبر الخسائر في بيئة الكمبيوتر والانترنت قياسا بغيره من انماط جرائم الكمبيوتر والانترنت حتى الان ، فهذا الفايروس الذي تشير احدث التقارير ان مصدره الصين ، الحق خسائر اولية قدرت بما يزيد عن 2.5 مليار ولا يزال يهدد غالبية نظم الكمبيوتر والشبكات حول العالم .
رابعا :- الهجمات والمخاطر المتصلة بعمليات الحماية Breaches of Operations Security :-
واذا ما اردنا ان نوصف المخاطر المتصلة بعمليات الحماية ذاتها ربما نكون في الحقيقة امام كافة أنواع المخاطر والهجمات والاعتداءات ، لكن من زاوية تقنية ضيقة ، يشار الى خمسة أنواع من الاساليب ضمن هذه الطائفة ، بعضها يتصل بالهجمات التي تستهدف نظام او إستراتيجية الدخول ، بعضها يستهدف نظام ادخال ومعالجة والبيانات ، وبعضها يصنف كفعل اولي لتحقيق عمليات الدخول غير المصرح به الى مختلف أنواع الشبكات ، وسنشير بايجاز الى هذه الاساليب والاعتداءات ، مع إيضاح لمسميات أخرى من الانشطة والأساليب والاعتداءات تتصل باختراق الشبكات تحديدا وبيان لاهم نقاط الضعف وفقا لما توصلت اليه ادلة أمن المعلومات المتخصصة جراء الدراسات البحثية :-
- العبث ( الغش ) بالبيانات Data Diddling :- ويستهدف هذا الهجوم او الاعتداء تغيير البيانات او انشاء بيانات وهمية في مراحل الادخال او الاستخراج ، ويتم في الحقيقة بعشرات الانماط والأساليب التقنية ، جامعها المساح بأمن وحماية مرحلة ادخال البيانات او استخراجها .
- خداع بروتوكول الإنترنت IP Spoofing (التخفي باستغلال بروتوكولات النقل ):- الحقيقة ان اصطلاح Spoofing لا يعني التخفي ، فهو اصطلاح يتعلق بالغش والخداع والايهام والتقليد والمحاكاة والسخرية ، لكن استخدامه الشائع الان يتعلق بهجمات فايروسات الإنترنت ، والفكرة هنا قريبة من فكرة التخفي التي عرضنا لها أعلاه عندما يتخذ شخص او ينتحل صفة مستخدم آخر مخول بالاستخدام ، لكن الفرق هنا ، اننا نتحدث عن وسيلة تقنية بحتة ، بحيث يقوم المهاجم عبر هذه الوسيلة بتزوير العنوان المرفق مع حزمة البيانات المرسلة بحيث يظهر للنظام – طبعا المعتمد في تبادل المعطيات على بروتوكولات النقل واهمها هنا بروتوكول الإنترنت الاساسي – على انه عنوان صحيح مرسل من داخل الشبكة ، بحيث يسمح النظام لحزمة البيانات بالمرور باعتبارها حزمة مشروعة ( ان جاز التعبير).
- تشمم كلمات السر ( جمعها والتقاطها ) Password Sniffing :- واذا كانت انشطة الاعتداء التي تتم باستعمال كلمات السر كانت تتم غالبا فيما سبق عن طريق تخمين كلمات السر مستفيدة من ضعف الكلمات عموما وشيوع اختيار الافراد لكلمات سهلة تتصل بمحيطهم الاسري او محيط العمل او حياتهم الشخصية ، فان الجديد استخدام برمجيات يمكنها تشمم او التقاط كلمات السر خلال تجوالها في جزء من الشبكة او أحد عناصرها ومراقبتها ومتابعتها لحركة الاتصال على الشبكة ، بحيث يقوم هذا البرنامج من حيث الاصل بجمع اول 128 بايت او اكثر – مثلا – من كل اتصال بالشبكة التي تجري مراقبتها وتتبع حركة الاتصال عليها ، وعندما يطبع المستخدم كلمة السر او اسم المستخدم ، فان البرنامج (الشمام) يجمع هذه المعلومات وينسخها اضافة الى ان أنواع من هذه البرامج تجمع المعلومات الجزئية وتعيد تحليلها وربطها معا كما تقوم بعضها باخفاء انشطة الالتقاط بعد قيامها بمهمتها .
- المسح والنسخ Scanning :- وهو اسلوب يستخدم فيه برنامج (الماسح- ware dialer او demon dialer processes) الذي هو برنامج احتمالات يقوم على فكرة تغيير التركيب او تبديل احتمالات المعلومة ، ويستخدم تحديدا بشان احتمالات كلمة السر او رقم هاتف الموديم او نحو ذلك ، وابسط نمط فيه عندما تستخدم قائمة الاحتمالات لتغيير رقم الهاتف بمسح قائمة أرقام كبيرة للوصل الى احدها الذي يستخدم موديم للاتصال بالإنترنت ، او اجراء مسح لاحتمالات عديدة لكلمة سر للوصل الى الكلمة الصحيحة التي تمكن المخترق من الدخول لنظام ، ومن جديد فان هذا اسلوب تقني يعتمد واسطة تقنية هي برنامج ( الماسح ) بدلا من الاعتماد على التخمين البشري .
- هجومات استغلال المزايا الاضافية Excess Privileges :- الفكرة هنا تتصل بواحد من اهم استراتيجيات الحماية ، فالاصل ان مستخدم النظام – تحديدا داخل المؤسسة – محدد له نطاق الاستخدام ونطاق الصلاحيات بالنسبة للنظام ، لكن ما يحدث في الواقع العملي ان مزايا الاستخدام يجري زيادتها دون تقدير لمخاطر ذلك او دون علم من الشخص نفسه انه يحظى بمزايا تتجاوز اختصاصه ورغباته ، في هذه الحالة فان أي مخترق للنظام لن يكون فقط قادرا على تدمير او التلاعب ببيانات المستخدم الذي دخل على النظام من خلال اشتراكه او عبر نقطة الدخول الخاصة به ، انه ببساطة سيتمكن من تدمير مختلف ملفات النظام حتى غير المتصلة بالمدخل الذي دخل منه لانه استثمر المزايا الاضافية التي يتمتع بها المستخدم الذي تم الدخول عبر مدخله . واوضح مثال على هذا الخطر في العالم المادي ، تمكن شخص من دخول غرفة مدير فندق مثلا بقصد سرقته فيجد في غرفته مفاتيح كافة قاصات الامانات او مفتاح الماستر الذي يفتح غرف الفندق جميعها . وهذا وحده يعطينا التصور لاهمية استراتيجية أمن المعلومات في المنشاة فتحديد الامتيازات والصلاحيات قد يمنع في حقيقته من حصول دمار شامل ويجعل الاختراقات غير ذي اثر ، ولن تسمح الاستراتيجية الواعية للقول ان المستخدم الفلاني لديه مزايا لا يعرف عنها بل لن تسمح بوجودها اصلا .
3-2-2 تصنيف المخاطر تبعا لموضع المعلومة من النظام وتبعا للواسطة التقنية
ان المعلومات تتعرض للعديد من المخاطر في مراحل الجمع والمعالجة والاسترجاع – سواء قراءة او طباعة او تنزيلا – وفي مرحلة النقل والتبادل وفي مرحلة التخزين ، وهذه المخاطر تختلف تبعا لهذه العمليات ذاتها ، اذ لكل مرحلة مخاطرها ووسائل حمايتها الخاصة . وبشكل عام فان اغلب قوائم تصنيف المخاطر تعتمد معيار موضع المعلومات من النظام ، ومن ذلك مثلا قائمة منظمة الشرطة العالمية / الانتربول التي نعرضها تاليا والتي تقوم – من ضمن معياريها - على تبويب المخاطر تبعا لموضع المعلومة أولا حيث تصنف الى ثلاثة طوائف :-
- طائفة المخاطر التي تتعرض لها المعلومات في مرحلة خلق واسترجاع وتعديل والغاء المعلومات ، وجامعها وجود المعلومات داخل النظام .
- READ/CREATE/MODIFY/DELETE refers to information (data and software) inside the computer system
- طائفة المخاطر التي تتعرض لها المعلومات في مرحلة النقل ، أي التبادل بين أنظمة الكمبيوتر .
- TRANSPORT refers to information (data and software) 'transported' via a network or on media
- طائفة المخاطر التي تتعرض لها المعلومات في مرحلة التخزين على وسائط خارج النظام .
- STORE refers to information (data and software) when it is stored on computer media and taken out of the computer system. (I.e. back-up tapes/diskettes).
كما ان المخاطر تختلف تبعا لواسطة تقنية المعلومات مدار البحث ، فليست مخاطر الشبكات والدخول عبرها الى نظم الكمبيوتر ، كمخاطر الكمبيوترات غير المرتبطة بالشبكة ، ومخاطر الانترانت او الاكسترانت تختلف عن مخاطر الإنترنت ، وحماية الكمبيوتر الشخصي يختلف عن حماية السيرفرات العملاقة التي تدير شبكة معلومات وتتحكم بها ، ومخاطر مواقع التجارة الإلكترونية والأعمال الإلكترونية على الشبكة تختلف عن مخاطر موقع معلوماتي ليس اكثر من ( بروفايل ) إعلاني ، كما ان ثغرات ونقاط الضعف تختلف تبعها للوسيلة او الواسطة او التقنية مدار البحث . ومن هذه الزاوية ثمة :- مخاطر وثغرات الشبكات سواء المحلية او المناطقية او الدولية – الإنترنت . وكذلك مخاطر وتهديدات الاجهزة بانواعها ( الكمبيوترات الكبرى الرئيسية ، الشخصية ، المحمولة .. الخ مخاطر تطال المعطيات والبرمجيات بمختلف مناطق وجودها داخل وخارج النظام.
وهذا هو المعيار الثاني الذي يمثل الى جانب معيار موضع المعلومة الاساس في قائمة المخاطر والأساليب التقنية للاعتداء المحددة من قبل جهات عديدة لتنفيذ القانون منها الشرطة الدولية ( الانتربول ).
3-2-3 تصنيف المخاطر والأساليب التقنية في الاعتداء تبعا لشيوع اساليب الهجوم وتقنياته واغراض الهجوم وقيمة المعلومات :-
ومن زاوية ثالثة ، يمكن ان نصف العديد من قوائم تصنيف المخاطر والاعتداءات بانها لا تعتمد معيارا منضبطا ، بل تتعدد فيها معايير التقسيم ، وضمنها تختلف اوصاف الاساليب والمخاطر وطبيعتها بل والأشخاص الذين يرتكبون الاعتداء تبعا لدرجة شيوع أنواع الاعتداءات واساليبها ، وهو ما قد يتاثر بالوقت الذي تجري فيه المعالجة ، فالعام 2000 شهد من بين الهجمات اتساعا كبيرا لهجمات انكار الخدمة التي استهدفت مواقع الإنترنت وشهد هجمات فايروسات عالمية ، في حين مثلا نجد الحديث في الوقت الحاضر قد ازداد بشان الاعتداءات التي تستهدف مواقع الاعمال الإلكترونية بغرض الحصول على المال عبر ما يعرف باحتيال الإنترنت متعدد الانواع والاشكال ونجد أيضا شيوعا لهجمات المضايقة والتحرش والازعاج واثارة الاحقاد عبر رسائل البريد الإلكتروني .
وقد تصنف الاعتداءات والمخاطر تبعا للدور المناط بالمعلومات موضوع الاعتداء او الحماية فقواعد معلومات المواقع العسكرية مستهدفة من جهات عديدة ، اما جهات احترافية لغايات التجسس وكشف المعلومات ، قد تكون دولا او منظمات او افراد ، او جهات اختراق تسعى للتحدي واثبات القدرات وهذه الاخيرة قد تتوزع بين راغبين بالتحدي تتوفر لديهم نوايا حاقدة وسيئة تجعلهم يقدمون على انشطة إتلاف وتدمير وقد لا تعدو اكثر من هجمات لا تستهدف الا الاختراق ذاته دون مجرد التفكير بإلحاق الضرر ، وبالمقابل ، فان اختراقات نظم كمبيوتر البنوك والمؤسسات المالية عادة ما تتم من قبل محترفي الاجرام التقني بقصد الاستيلاء على الأموال وتحقيق مكسب مالي ، اما مواقع الإنترنت فانها في الغالب عرضة اما لهجمات انكار الخدمة ، وغالبا ما تكون من جهات منافسة او موظفين يسعون للانتقام من رب العمل او عرضة لهجمات كشف الهوية وسرقة أرقام بطاقات الائتمان او أرقام التعريف وكلمات السر في اطار عمل تحضيري لجرائم مالية اكبر واكثر خطورة . ويتزايد يوما بعد يوم مخاطر أمن الإنترنت خاصة ما يتعلق بأمن الخادمات (أنظمة الكمبيوتر التي تستضيف مواقع الإنترنت او تقدم خدمات الإنترنت) .
وتصنف المخاطر في مواقع الدراسات الى قوائم ترصد حركة المخاطر الشائعة وتضم عادة قوائم تبين في الوقت المحدد اكثر المخاطر انتشارا في بيئة الكمبيوتر والإنترنت ، وعادة تضم هذه المواقع توصيفا لمخاطر :- الأخطاء التقنية Errors and Omissions ، الغش او الاحتيال والاستيلاء على البيانات Fraud and Theft ، احقاد الموظفين Disgruntled Employees ، الأخطار المادية Physical and Infrastructure ، الهجمات الحاقدة ، التجسس الصناعي Industrial Espionage والتجسس الحكومي Foreign Government Espionage ، البرامج الخبيثة Malicious Code . وفيما يلي نموذجا لقوائم المخاطر العشرة الاكثر شيوعا في وقت إعداد القائمة ( المثال ) .
وفي احدث تصنيف يسود الان على مختلف مواقع الإنترنت المتخصصة ، تصنف المخاطر وانواع الهجومات او الاعتداءات تبعا لمناطق الاختراق والثغرات ، وفيها يصار الى تحديد المخاطر تبعا للوصف التقني متصلا بمصدر الإقحام او نقطة الضعف في النظام.
اما من زاوية تحديد الثغرات ونقاط الضعف فعادة ما تصنف الهجومات بوجه عام – ونكتفي هنا بتوصيف هجومات الشبكة لمعالجة نقاط ضعف الهجمات الشائعة فيما تقدم – الى :- الدخول غير المصرح به الى شبكة النظام Unauthorized LAN access او مصادر الشبكة Unauthorized access to LAN resources والسيطرة على المعطيات ، والتعديل غير المصرح به للمعطيات والبرامج The unauthorized modification of data and software ، وكشف حركة المرور على الشبكة او التخفي للوصول الى حركة المرور او العبث بحركة المرور على الشبكة او تعطيل وظائف الشبكة ونلحق تاليا قائمة بأهم نقاط الضعف المتصلة بهذه المخاطر او أنواع الاعتداء:-
3-3 هل هناك مخاطر قانونية خاصة في بيئة المشاريع المعلوماتية ؟؟
احد اهم الانشطة الحديثة في ميدان بناء مشروعات المعلوماتية وتحديدا انشاء المواقع على شبكة الانترنت كمواقع التسويق والتجارة الالكترونية ومواقع الاعمال المالية الالكترونية ، وضع تصور شامل للمخاطر القانونية المتوقع ان تواجه الموقع وتحديد الاليات القانونية للتعامل معها ، وهي عملية تشبه تماما عملية تحليل المخاطر التقنية تباشرها الجهات القانونية المؤهلة في حقل قانون تقنية المعلومات ، ولا نبالغ ان قلنا ان مواقع الانترنت العربية ومشروعات الاستثمار المعلوماتي العربية تفتقر لرؤيا وتصور في هذا الحقل واذا كان خطر اغفال المخاطر القانونية يطال كافة المواقع والمؤسسات فانه يصبح خطرا مضاعفا في بيئتي التجارة الالكترونية والاعمال الالكترونية خاصة الاعمال المصرفية اللاسلكية والاعمال المصرفية الالكترونية على شبكة الانترنت .
وتحليل المخاطر القانونية عملية مستمرة تبدا من لحظة الشروع والاعداد للمشروع ، فتحدد كافة احتياجات المشروع القانونية اضافة الى تحليل العمليات التقنية والتسويقية والخدمية والادائية الداخلية والخارجية المتصلة بالمشروع من زاوية العلاقات القانونية والمسؤوليات القانونية ، وتحديد متطلبات الحماية القانونية ومواجهة المسؤوليات المتوقعة .
4. ما هي وسائل الأمن التقنية ؟؟
4-1 نطاق معالجة وسائل الأمن في هذه المعالجة ومنطلقاته
ان ما نتحدث عنه هنا ليس تحديدا لمنتجات الأمن التي لا يمر يوم دون وجود منتج جديد ، ولا يمر يوم أيضا دون إعادة تقييم لوسائل الأمن ، وهي وسائل ومنتجات تتوزع بين الوسائل المادية للحماية وبرمجيات وحلول الحماية ، ونظريات وبروتوكولات الحماية ، ولا نبالغ ان قلنا ان سوق وسائل الأمن اصبح يتقدم في عدد منتجاته على سوق الاجهزة ذاتها والحلول ، لان كل منتج وكل برنامج جديد يتطلب قدرا معينا من وسائل الحماية الفنية .
كما ان هذا الدليل لا يقيم وسائل الأمن القائمة ، فيتحدث مثلا عن مدى فعالية الجدران النارية او مدى مقدرة الشبكات الخاصة الافتراضية على توفير الأمن والثقة ، انما يعرض فقط للشائع من طوائف وسائل أمن المعلومات بوجه عام والتي تندرج في نطاق كل طائفة منها آلاف الوسائل التي تتباين تبعا للاحتياجات وتبعا لطبيعة محل الحماية .
ولهذا ، وعند الحديث عن اية وسائل ، ثمة منطلق رئيس ، وثمة ادلة تفصيلية :-
المنطلــق - لكل وسائله ، والخطا في الاستنساخ واغفال الاحتياج الحقيقي كالخطأ في اغفال الحماية.
الخطأ السائد يكمن في الاعتقاد ان نظم الكمبيوتر والشبكات تتشابه من حيث احتياجاتها الأمنية، اذ حتى في نطاق الطائفة الواحدة من أنظمة الكمبيوتر التي تستخدم نفس برمجيات التشغيل او تعتمد نفس وسائل التشبيك وحلول الشبكات وتجهيزاتها ، فان اختلافا في متطلبات الحماية لما يزل قائما ومرد لك التباين بين طبيعة العمليات التي يقوم بها النظام والتباين بين طبيعة المعطيات نفسها ، والتباين بين وسائل الاستخدام والمستخدمين ، واخيرا ، التباين في درجة التوازن المطلوبة ما بين إجراءات الأمن واداء وفعالية النظام نفسه .
ان بناء وسائل أمن فاعلة يتطلب الانطلاق من احتياجات المؤسسة الخاصة واغراض الأمن فيها ، ويقوم – كما سبق واوضحنا وكما سنوضح تاليا في البند 1-5 ، على ادراك الاحتياجات الداخلية فما نحميه يختلف عما يحميه غيرنا ، ومصادر الخطر التي تواجه مؤسسة مالية مثلا تختلف عن المخاطر التي تواجه مؤسسة عسكرية او تواجه نظام كمبيوتر مستخدم فرد . واحتياجات حماية جهاز الكمبيوتر وبرمجياته والمعطيات المخزنة فيه يتخلف عن احتياجات حماية شبكة داخلية او حماية الارتباط بشبكة عالمية.
ولهذا فان تقنيات الحماية مرتبطة بعامل الاحتياجات الخاصة المعتمدة على تقدير قائم على ركائز وحقائق سليمة ، ويعتمد أيضا على التوازن بين متطلبات الحماية وسرعة الأداء ، والتوازن أيضا بين متطلبات الحماية والميزانية المرصودة لتوظيف وسائل الأمن . ومنطق استخدام تقنيات إحدى الشركات لمجرد انها عالمية او مميزة ، منطق لا يتفق مع إستراتيجية الأمن ذاته ، ولا نبالغ ان قلنا ان مئات المؤسسات – وتحديا المالية – استخدمت حزما من التقنيات في ضمنها مثلا جدران نارية وبرمجيات تشفير - كانت فاعلة في حالات أخرى - لم تكن لتحل مشكلاتها الأمنية ، وفي الوقت ذاته اذا تمكنت من حلها فانها أحدثت اثرا سلبيا على كفاءة الأداء وفعالية النظام .
الادلة التقنية - لكل طائفة من وسائل الأمن مؤسساتها وادلتها التقنية وثمة تخصصية متنامية في نطاق كل وسيلة منها .
ان سوق الوسائل التقنية في مرحلة ما كان مجرد منتجات وخدمات مضافة الى طائفة منتجات وخدمات شركات تقنية المعلومات المختلفة وغالبا ما تكون وسائل في خدمة بقية منتجاتها وخدماتها ومع ان شركات تقنيات المعلومات لما تزل في غالبيتها تخصص وحدات من بين وحدات نشاطها لوسائل الأمن فان سوق تقنية المعلومات انتقل الى التخصصية ، فنشأت شركات عملاقة تعمل في حقل أمن المعلومات ، وسائله وحلوله ، واتجهت الدراسات البحثية والاستراتيجية والعلمية وحتى القانونية الى التعامل مع وسائل الأمن على استقلال ، فثمة ادلة ودراسات شاملة في ميدان الفايروسات ووسائل مكافحتها وثمة مثلها في ميدان التشفير وحلوله ، واخرى في ميدان وسائل التعريف والتحكم في الدخول الى النظام، وهكذا .
4-2 وسائل الأمن الشائعة
وسائل أمن المعلومات هي مجموعة من الآليات والإجراءات والادوات والمنتجات التي تستخدم للوقاية من او تقليل المخاطر والتهديدات التي تتعرض لها الكمبيوترات والشبكات وبالعموم نظم المعلومات وقواعدها .
وكما أوضحنا ، فان وسائل الأمن متعددة من حيث الطبيعة والغرض ، لكن يمكننا بشكل أساسي تصنيف هذه الوسائل في ضوء غرض الحماية الى الطوائف التالية :-
- مجموعة وسائل الأمن المتعلقة بالتعريف بشخص المستخدم وموثوقية الاستخدام ومشروعيته Identification and authentication ، وهي الوسائل التي تهدف الى ضمان استخدام النظام او الشبكة من قبل الشخص المخول بهذا الاستخدام ، وتضم هذه الطائفة كلمات السر بانواعها ، والبطاقات الذكية المستخدمة للتعريف ، ووسائل التعريف البيولوجية التي تعتمد على سمات معينة في شخص المستخدم متصلة ببنائه البيولوجي ، ومختلف أنواع المنتجات التي تزود كلمات سر آنية او وقتية متغيرة الكترونيا ، والمفاتيح المشفرة ، بل تضم هذه الطائفة ما يعرف بالأقفال الإلكترونية التي تحدد مناطق النفاذ .
- مجموعة الوسائل المتعلقة بالتحكم بالدخول والنفاذ الى الشبكة Access control وهي التي تساعد في التأكد من ان الشبكة ومصادرها قد استخدمت بطريقة مشروعة ، وتشمل من بين ما تشمل الوسائل التي تعتمد على تحديد حقوق المستخدمين ، او قوائم اشخاص المستخدمين أنفسهم ، او تحديد المزايا الاستخدامية او غير ذلك من الإجراءات والادوات والوسائل التي تتيح التحكم بمشروعية استخدام الشبكة ابتداءا .
- مجموعة الوسائل التي تهدف الى منع افشاء المعلومات لغير المخولين بذلك وتهدف الى تحقيق سرية المعلومات Data and message confidentiality ، وتشمل هذه الوسائل من بين ما تشمل تقنيات تشفير المعطيات والملفات file and message encryption technology, وإجراءات حماية نسخ الحفظ الاحتياطية protection for backup copies on tapes, diskettes, etc, والحماية المادة للاجهزة ومكونات الشبكات physical protection of physical LAN medium and devices واستخدام الفلترات والموجهات .
- مجموعة الوسائل الهادفة لحماية التكاملية ( سلامة المحتوى ) Data and message integrity وهي الوسائل المناط بها ضمان عدم تعديل محتوى المعطيات من قبل جهة غير مخولة بذلك ، وتشمل من بين ما تشمل تقنيات الترميز والتواقيع الإلكترونية وبرمجيات تحري الفايروسات وغيرها .
- مجموعة الوسائل المتعلقة بمنع الانكار ( انكار التصرفات الصادرة عن الشخص ) Non-repudiation ، وتهدف هذه الوسائل الى ضمان عدم قدرة شخص المستخدم من انكار انه هو الذي قام بالتصرف ، وهي وسائل ذات اهمية بالغة في بيئة الاعمال الإلكترونية والتعاقدات على الخط ، وترتكز هذه الوسائل في الوقت الحاضر على تقنيات التوقيع الإلكتروني وشهادات التوثيق الصادرة عن طرف ثالث.
- وسائل مراقبة الاستخدام وتتبع سجلات النفاذ او الأداء ( الاستخدام ) Logging and Monitoring ، وهي التقنيات التي تستخدم لمراقبة العاملين على النظام لتحديد الشخص الذي قام بالعمل المعين في وقت معين ، وتشمل كافة أنواع البرمجيات والسجلات الإلكترونية التي تحدد الاستخدام.
- ايضاح موجز حول اكثر وسائل الامن شيوعا في بيئة نظم المعلومات :-
برمجيات كشف ومقاومة الفايروسات
بالرغم من ان تقنيات مضادات الفيروسات تعد الاكثر انتشارا وتعد من بين وسائل الأمن المعروفة للعموم ، الا انها حجم تطبيق هذه التقنيات واستراتيجات وخطة التعامل معها تكشف عن ثغرات كبيرة وعن أخطاء في فهم دور هذه المضادات ، وبالعموم ثمة خمسة آليات اساسية لكيفية تحري هذه المضادات للفيروسات التي تصيب النظام ، كما ثمة قواعد اساسية تحقق فعالية هذه الوسائل والتي تعتمد في حقيقتها على الموازنة ما بين ضرورات هذه التقنيات لحماية النظام وما قد يؤثره الاستخدام الخاطئ لها على الأداء وفعالية النظام .
• الجدران النارية Firewall والشبكات الافتراضية الخاصة virtual private networks .
تطورت الجدران النارية بشكل متسارع منذ نشأتها حين كانت تقوم بتصفية حركة البيانات اعتمادا على قوانين ومعاملات بسيطة . أما برمجيات الجدران النارية الحديثة ، ورغم انها لا تزال تقوم باستخدام اسلوب فلترة وتصفية البيانات الواردة ، فانها تقوم بعمل ما هو اكثر بكثير مثل انشاء الشبكات الافتراضية الخاصة vertual private networks ، رقابة محتوى البيانات الوقاية من الفيروسات ، وحتى ادارة نوعية الخدمة quality of service ، وهذه الخدمات جميعها تعتمد على ميزة اساسية وهي ان الجدران النارية تقع على طرف الشبكة ، وخلال العقد الماضي ، كانت الجدران النارية ببساطة ، مجرد أدوات بسيطة تعمل كمنفذ للإنترنت - او بكلمات أخرى كحراس على طرف الشبكة - تقوم بتنظيم حركة البيانات وحفاظ على أمن الشبكة . وقد ظهرت اول الجدران النارية للشبكات في عام 1980 وكانت عبارة عن موجهات تستخدم في تقسيم هذه الشبكات الى شبكات محلية LAN صغيرة . وكانت مثل هذه الجدران النارية توضع في مواقعها هذه للحد من انتشار المشاكل التي يواجهها جزء من الشبكة الى الأجزاء الأخرى . وقد تم استخدام اول الجدران النارية لتحقيق الأمن في أوائل التسعينات ، وكانت عبارة عن موجهات لبروتوكول IP مع قوانين فلترة كانت تبدوا كالتالي : اسمح لفلان بالدخول والنفاذ الى الملف التالي . او امنع فلان ( او برنامجا ) من الدخول من المنطقة ( او المناطق ) التالية . وقد كانت هذه الجدران النارية فعالة ، ولكنها محدودة . حيث كان من الصعب في العادة إتقان وضع قوانين فلترة البيانات ، ومن الصعب في بعض الاحيان تحديد اجزاء التطبيقات المراد منعها من النفاذ الى الشبكة . وفي احيان أخرى كانت عناصر الشبكة ، مثل الموظفين العاملين ضمنها ، تتغير ، مما كان يستدعي تغيير القوانين ، ولذلك ، كان الجيل التالي من الجدران النارية اكثر قدرة واكثر مرونة للتعديل .
والجدران النارية كانت توضع على ما يعرف بالمستضيفات الحصينة Bastion Host واول جدار ناري من هذا النوع ، يستخدم الفلاتر وبوابات التطبيقات ( البرمجيات الوسيطة Proxy) كان من شركة ديجيتال اكويبمنت ، وكان يعتمد على الجدار الناري من شركة Dec حيث ان مختبرات الشبكات التابعة لشركة Dec هي التي وضعت اول الجدران النارية التي انتجتها الشركة . وفي يونيو 1991 طرحت شركة Dec في الاسواق اول الجدران النارية وخلال الشهور التي تلت ذلك ، ابتكر شخص يدعى ماركوس رانوم في شركة ديجيتال البرمجيات الوسيطة Proxies وأعاد كتابة جزء من الكود الخاص بالجدران النارية ، ليتم بعد ذلك طرح منتج Dec seal والذي كان يتكون في اول الامر من نظام خارجي يدعى بحارس البوابة Gatekeeper ، وهو النظام الوحيد الذي يمكنه مخاطبة الإنترنت وكان هناك أيضا بوابة للفلترة ، ومشبك داخلي للبريد .
من هذه البدايات البسيطة ، دفع التنافس الحاد بين المزودين للحصول على حصة سوقية من سوق الجدران النارية ، الى المزيد من الابتكارات ، ليس فقط في مجال تسريع أداء الجدران النارية وتقديم خدماتها ، بل وأيضا في تضمينها قدرات متعددة تفوق ما كان متوفرا في تلك الأيام ، وتتمثل هذه القدرات بما يلي :-
- التحقق من هوية المستخدمين :- ذلك ان اول ما اضافة المطورون الى الجدران النارية الأولى كانت القدرات القوية للتحقق من الهوية ، واذا كانت السياسيات الأمنية التي تتبعها المؤسسة تسمح بالنفاذ الى الشبكة من شبكة خارجية ، مثل الإنترنت ، فانه لا بد من استخدام ميكانيكية ما للتحقق من هوية المستخدمين . والتحقق من الهوية يعني ببساطة التأكد من صحة هوية المستخدم بشكل يتجاوز مجرد التحقق من اسم المستخدم والكلمات السرية والتي لا تعتبر بحد ذاتها وسيلة قوية للتحقق من هوية المستخدمين .ذلك انه وعلى وصلة غير خاصة ، مثل وصلة غير مشفرة عبر الإنترنت ، فان أسماء المستخدمين وكلماتهم السرية يمكن نسخها واعادة استخدامها Replay Attacks ، أما الاساليب القوية للتحقق من هوية المستخدمين فتستخدم اساليب التشفير مثل الشهادات الرقمية Certificates ، او برمجيات حساب الشفرات الرقمية الخاصة . وبواسطة الشهادات الرقمية يمكن تفادي هجمات إعادة الاستخدام حيث يتم نسخ اسم المستخدم وكلماته السرية واعادة استخدامها للنفاذ الى الشبكة .
- الشبكات الافتراضية الخاصة :- أما الإضافة الثانية الى الجدران النارية للإنترنت فكانت التشفير البيني للجدران النارية firewall - to firewall وكان اول منتج من هذا النوع هو ans interlock ، وهذه المنتجات هي ما ندعوها اليوم بالشبكات الافتراضية الخاصة virtual private networks . وهذه الشبكات خاصة لأنها تستخدم التشفير ، وهي افتراضية خاصة لأنها تستخدم الإنترنت وشبكات عامة لنقل المعلومات الخاصة . ورغم ان الشبكات الافتراضية الخاصة كانت متوفرة قبل برمجيات الجدران النارية باستخدام الموديمات او الموجهات للتشفير لكنها اصبحت تستخدم فيما بعد ضمن برمجيات الجدران النارية . ويمكن باستخدام تقنيات الشبكات الافتراضية الخاصة ان تقوم المؤسسات باستبدال مرافق الاتصالات المؤجرة وقنوات مشفرة عبر الشبكات العامة مثل الإنترنت .
- مراقبة المحتوى Content Screening :- وخلال العامين الماضيين اصبح من الشائع استخدام الجدران النارية كادوات لمراقبة المحتوى الوارد الى الشبكة .
- ومن بعض الاضافات التي وضعت في برمجيات الجدران النارية هي البحث عن الفيروسات ، ومراقبة عناوين الإنترنت ، منع برمجيات جافا ، وبرمجيات فحص ومراقبة الكلمات السرية.
- الجدران النارية الخاصة firewall appliances :- وهو جيل جديد من الجدران النارية الذي بدأ المزودون بطرحه خلال العام الماضي .وهذا الجيل يحتوي على عدد من التقنيات بما في ذلك حلول جدران نارية جاهزة turnkey بمعنى انها لا تحتاج الى إعداد من قبل المستخدم ويمكن البدء باستخدامها فور الحصول عليها دون الحاجة الى اجراء اية تعديلات خاصة على نظام التشغيل او البنية التحتية المستخدمة .
لقد انتقلت وسائل حماية الإنترنت من مستويات الحماية الفردية او ذات الاتجاه الفردي ، التي تقوم على وضع وسائل الحماية ومنها الجدران النارية في المنطقة التي تفصل الشبكة الخاصة عن الموجهات التي تنقل الاتصال الى الشبكة العالمية ( الإنترنت ) ، الى مستويات الأمن المتعددة والتي تقوم على فكرة توفير خطوط إضافية من الدفاع بالنسبة لنوع معين من المعلومات او نظم المعلومات داخل الشبكة الخاصة ، وتعتمد وسائل الأمن متعددة الاتجاهات والاغراض آليات مختلفة لتوفير الأمن الشامل للنظام COMPREHENSIVE SECURITY SYSTEM . وتتضمن ثلاثة مناطق اساسية ، الأولى : ادارة خطوات الأمن وتشمل الخطط والاستراتيجيات وأغراضها وكذلك المنتجات وقواعد الانتاج و البحث والتحليل . الثانية : أنواع الحماية وتشمل الوقاية او الحماية والتحقيق والتحري والتصرف . والثالثة : وسائل الحماية وتشمل حماية النظم والخوادم وحماية البنية التحتية للشبكة .
• التشفير
تحظى تقنيات وسياسات التشفير في الوقت الحاضر باهتمام استثنائي في ميدان أمن المعلومات ، ومرد ذلك ان حماية التشفير يمثل الوسيلة الاكثر اهمية لتحقيق وظائف الأمن الثلاثة ، السرية والتكاملية وتوفير المعلومات ، فالتشفير تقنيات تدخل في مختلف وسائل التقنية المنصبة على تحقيق حماية هذه العناصر ، فضمان سرية المعلومات اصبح يعتمد من بين ما يعتمد على تشفير وترميز الملفات والمعطيات بل تشفير وسائل التثبت وكلمات السر ، كما ان وسيلة حماية سلامة المحتوى تقوم على تشفير البيانات المتبادلة والتثبت لدى فك التشفير ان الرسالة الإلكترونية لم تتعرض لأي نوع من التعديل او التغيير ، ويعد التشفير بوجه عام وتطبيقاته العديدة وفي مقدمتها التواقيع الإلكترونية ، الوسيلة الوحيدة تقريبا لضمان عدم انكار التصرفات عبر الشبكات الإلكترونية ، وبذلك فان التشفير يمثل الاستراتيجية الشمولية لتحقيق اهداف الأمن من جهة ، وهو مكون رئيس لتقنيات ووسائل الأمن الأخرى ، خاصة في بيئة الاعمال الالكتروينة والتجارة الإلكترونية والرسائل الإلكترونية وعموما البيانات المتبادلة بالوسائط الإلكترونية .
ومن حيث مفهومه ، فان التشفير يمر بمرحلتين رئيستين ، الأولى تشفير النص على نحو يحوله الى رموز غير مفهومة او مقروءة بلغة مفهومة ، والثانية ، فك الترميز باعادة النص المشفر الى وضعه السابق كنص مفهوم ومقروء ، وهذه المسالة تقوم بها برمجيات التشفير التي تختلف أنواعها ووظائفها . اما من حيث طرق التشفير ، فثمة التشفير الترميزي ، والتشفير المعتمد على مفاتيح التشفير ، التي قد تكون مفاتيح عامة او خاصة او مزيجا منها ، وللوقوف على ابرز اغراض وعناصر التشفير وطرقه التقنية نورد تاليا مواد مختارة تتناول هذه المسائل مع الاشارة الى مصادرها .
5. ما هي استراتيجية أمن المعلومات وكيف يتم بناؤها ؟؟
5-1 مفاهيم ومحددات اولية
ما هي استراتيجية أمن المعلومات Security Policy ؟
ان استراتيجية أمن المعلومات ، او سياسة أمن المعلومات هي مجموعة القواعد التي يطبقها الأشخاص لدى التعامل مع التقنية ومع المعلومات داخل المنشأة وتتصل بشؤون الدخول الى المعلومات والعمل على نظمها وادارتها .
ما هي اهداف استراتيجية أمن المعلومات ؟
تهدف استراتيجية أمن المعلومات الى :-
• تعريف المستخدمين والاداريين بالتزاماتهم وواجباتهم المطلوبة لحماية نظم الكمبيوتر والشبكات وكذلك حماية المعلومات بكافة اشكالها ، وفي مراحل ادخالها ومعالجتها وخزنها ونقلها واعادة استرجاعها .
• كما تهدف الاستراتيجية الى تحديد الإلكترونية التي يتم من خلالها تحقيق وتنفيذ الواجبات المحددة على كل من له علاقة بالمعلومات ونظمها وتحديد المسؤوليات عند حصول الخطر .
• بيان الإجراءات المتبعة لتجاوز التهديدات والمخاطر والتعامل معها والجهات المناط بها القيام بها بذلك .
من الذي يعد استراتيجية أمن المعلومات ؟؟
لدى إعداد اية استراتيجية بشأن أمن المعلومات ، ولكي تكون هذه الاستراتيجية فاعلة ومنتجة وهادفة لا بد ان يساهم في اعدادها وتفهمها وتقبلها وتنفيذها مختلف مستويات الوظيفة في المنشأة الواحدة اضافة الى حاجتها الى التعاون والدعم الكامل من الكافة ، من هنا فان المعنيين باعداد سياسة أمن المعلومات يتوزعون الى مراتب وجهات عديدة داخل المنشأة ، لكن بوجه عام تشمل مسؤولي أمن الموقع ومديري الشبكات وموظفي وحدة الكمبيوتر ومديري الوحدات المختلفة في المنشأة كوحدة الاعمال والتسويق والبحث وغيرها وتشمل أيضا فريق الاستجابة للحوادث والاعطال وممثلي مجوعات المستخدمين ومستويات الادارة العليا الى جانب الادارة القانونية .
متى توصف أستراتيجية أمن المعلومات بانها ناجحة ؟؟
من حيث فعالية الاستخدام :- لكي توصف استراتيجية أمن المعلومات بانها أساسي ناجحة يتعين ان تعمم بشكل شامل على كافة قطاعات الادارة وان تكون مقبولة واقعية من المناط بها تنفيذها الى جانب توفر الادلة التوجيهية والارشادية لضمان إدامة التنفيذ وعدم التقاعس فيه والتنفيذ هنا هو الاستخدام الفعلي لأدوات الحماية التقنية من جهة والتطبيق الفعلي لقواعد العمل والتعامل مع البيانات ونظمها من جهة أخرى ، ولا تحقق الاستراتيجية نجاحا ان كان ثمة غموض فيها لهذا لا بد ان تكون واضحة دقيقة في محتواها ومفهومة لدى كافة المعنيين .
أما من حيث المحتوى :- فان أساسي أمن المعلومات تمتد الى العديد من المناحي المتصلة بنظم المعلومات وادارتها والتعامل معها اضافة الى المسائل المتعلقة بالمعلومات ذاتها وتعامل الغير مع معلومات المنشأة ، من هنا تشمل الاستراتيجية سياسة واضحة بشأن اقتناء وشراء الاجهزة التقنية وادواتها ، والبرمجيات ، والحلول المتصلة بالعمل ، والحلول المتعلقة بادارة النظام . كما تشمل استراتيجية الخصوصية المعلوماتية ، وهي التي تحدد مراتب المعلومات وقيمتها ووصفها من حيث السرية كما تبين الاستثناءات التي تعتمدها الاستراتيجية على حق الخصوصية لموظفي المنشأة مع مبررات هذه الاستثناءات ، كرقابة البريد الإلكتروني مثلا او رقابة الدخول الى المنشأة او رقابة الوصول الى ملفات المستخدمين بالمنشأة . ومن حيث الدخول الى الشبكات والمعلومات فلا بد من استراتيجية دخول واضحة تحدد حقوق وامتيازات كل شخص في المنشأة للوصول الى ملفات او مواقع معينة في النظام اضافة الى سياسة بشأن التعامل مع الاتصالات الخارجية ، المعطيات اجهزة ووسائل الاتصال المستخدمة ، اضافة البرامج الجديدة ، استراتيجيات المراسلة مع الآخرين .
وتضم استراتيجية المعلومات أيضا استراتيجية الاشتراكات التي تحدد سياسة المنشأة بشأن اشتراكات الغير في شبكتها او نظمها ، وكذلك استراتيجيات التعامل مع المخاطر والأخطاء بحيث تحدد ماهية المخاطر وإجراءات ابلاغ عنها والتعامل معها والجهات المسؤولة عن التعامل مع هذه المخاطر .
5-2 ما هي منطلقات واساس استراتيجية أمن المعلومات ؟؟
يتعين ان تنطلق أساسي أمن المعلومات من تحديد المخاطر ، اغراض الحماية ، ومواطن الحماية ، وأنماط الحماية اللازمة ، وإجراءات الوقاية من المخاطر ، وتتلخص المنطلقات والاسس التي تبنى عليها استراتيجية أمن المعلومات القائمة على الاحتياجات المتباينة لكل منشأة من الاجابة عن تساؤلات ثلاث رئيسة :- ماذا اريد ان احمي ؟؟ مِن ماذا احمي المعلومات ؟؟ كيف احمي المعلومات ؟؟
اغراض حماية البيانات الرئيسة .
1 - السرية CONFIDENTIALITY : التأكد من ان المعلومات لا تكشف ولا يطلع عليها من قبل اشخاص غير مخولين بذلك .
2 - التكاملية وسلامة المحتوى INTEGRITY : التأكد من ان محتوى المعلومات صحيح لم يتم تعديله او العبث به وبشكل خاص لن يتم تدمير المحتوى او تغيره عن طريق تدخل غير مشروع .
3 - استمرارية توفر المعلومات او الخدمة AVAILABILITY :- التأكد من ان مستخدم المعلومات لن يتعرض الى انكار استخدامه لها او دخوله اليها .
مناطق أمن المعلومات
1 - أمن الاتصالات : ويراد بأمن الاتصالات حماية المعلومات خلال عملية تبادل البيانات من نظام الى اخر
2 - أمن الكمبيوتر : ويراد به حماية المعلومات داخل النظام بكافة أنواعها وانماطها كحماية نظام التشغيل و حماية برامج التطبيقات وحماية برامج ادارة البيانات وحماية قواعد البيانات بانواعها المختلفة .
ولا يتحقق أمن المعلومات دون توفير الحماية المتكاملة لهذين القطاعين عبر معايير امنية تكفل توفير هذه الحماية ، ومن خلال مستويات أمن متعددة ومختلفة من حيث الطبيعة .
انماط ومستويات أمن المعلومات
1 - الحماية المادية : وتشمل كافة الوسائل التي تمنع الوصول الى نظم المعلومات وقواعدها كالاقفال والحواجز والغرف المحصنة وغيرها من وسائل الحماية المادية التي تمنع الوصول الى الاجهزة الحساسة .
2- الحماية الشخصية : وهي تتعلق بالموظفين العاملين على النظام التقني المعني من حيث توفير وسائل التعريف الخاصة بكل منهم وتحقيق التدريب والتأهيل للمتعاملين بوسائل الأمن الى جانب الوعي بمسائل الأمن ومخاطر الاعتداء على المعلومات .
3 - الحماية الإدارية : ويراد بها سيطرة جهة الادارة على ادارة النظم المعلومات وقواعدها مثل التحكم بالبرمجيات الخارجية او الاجنبية عن المنشأة ، ومسائل التحقيق باخلالات الأمن ، ومسائل الاشراف والمتابعة لأنشطة الرقابة اضافة الى القيام بانشطة الرقابة ضمن المستويات العليا ومن ضمنها مسائل التحكم بالاشتراكات الخارجية .
4 - الحماية الاعلامية- المعرفية : كالسيطرة على إعادة انتاج المعلومات وعلى عملية إتلاف مصادر المعلومات الحساسة عند اتخاذ القرار بعدم استخدامها .
المخاطر
هناك مخاطر عديدة يمكن ان تواجه نظام المعلومات بما في ذلك أنظمة التجارة الإلكترونية وابرز هذه المخاطر ما يلي :
1 - اختراق الأنظمة : ويتحقق ذلك بدخول شخص غير مخول بذلك الى نظام الكمبيوتر والقيام بأنشطة غير مصرح له بها كتعديل البرمجيات التطبيقية وسرقة البيانات السرية او تدمير الملفات او البرمجيات او النظام او لمجرد الاستخدام غير المشروع . ويتحقق الاقتحام بشكل تقليدي من خلال انشطة ( التقنيع والتخفي ) ويراد به تظاهر الشخص المخترق بانه شخص اخر مصرح له بالدخول . او من خلال استغلال نقاط الضعف في النظام كتجاوز إجراءات السيطرة والحماية او من خلال المعلومات التي يجمعها الشخص المخترق من مصادر مادية او معنوية ، كالتنقيب في قمامة المنشأة للحصول على كلمات السر او معلومات عن النظام او عن طريق الهندسة الاجتماعية كدخول الشخص الى مواقع معلومات حساسة داخل النظام ككلمات السر او المكالمات الهاتفية .
2 - الاعتداء على حق التخويل : ويتم من خلال قيام الشخص المخول له استخدام النظام لغرض ما باستخدامه في غير هذا الغرض دون ان يحصل على التخويل بذلك ، وهذا الخطر يعد من الأخطار الداخلية في حقل إساءة استخدام النظام من قبل موظفي المنشأة ، وهو قد يكون أيضا من الأخطار الخارجية ، كاستخدام المخترق حساب شخص مخول له باستخدام النظام عن طريق تخمين كلمة السر الخاصة به او استغلال نقطة ضعف بالنظام للدخول اليه بطريق مشروع او من جزء مشروع ومن ثم القيام بانشطة غير مشروعة .
3 - زراعة نقاط الضعف : عادة ينتج هذا الخطر عن اقتحام من قبل شخص غير مصرح له بذلك او من خلال مستخدم مشروع تجاوز حدود التخويل الممنوح له بحيث يقوم الشخص بزرع مدخل ما يحقق له الاختراق فيما بعد . ومن اشهر امثلة زراعة المخاطر حصان طروادة ، وهو عبارة عن برنامج يؤدي غرضا مشروعا في الظاهر لكنه يمكن ان يستخدم في الخفاء للقيام بنشاط غير مشروع ، كان يستخدم برنامج معالجة كلمات ظاهريا لتحرير وتنسيق النصوص في حين يكون غرضه الحقيقي طباعة كافة ملفات النظام ونقلها الى ملف مخفي بحيث يمكن للمخترق ان يقوم بطباعة هذا الملف والحصول على محتويات النظام .
4 - مراقبة الاتصالات : بدون اختراق كمبيوتر المجني عليه يتمكن الجاني من الحصول على معلومات سرية غالبا ما تكون من المعلومات التي تسهل له مستقبلا اختراق النظام وذلك ببساطة من خلال مراقبة الاتصالات من إحدى نقاط الاتصال او حلقاتها .
5 - اعتراض الاتصالات : وكذلك بدون اختراق النظام يقوم الجاني في هذه الحالة باعتراض المعطيات المنقولة خلال عملية النقل ويجري عليها التعديلات التي تتناسب مع غرض الاعتداء ويشمل اعتراض الاتصالات قيام الجاني بخلق نظام وسيط وهمي بحيث يكون على المستخدم ان يمر من خلاله ويزود النظام بمعلومات حساسة بشكل طوعي .
6 - انكار الخدمة : ويتم ذلك من خلال القيام بأنشطة تمنع المستخدم الشرعي من الوصول الى المعلومات او الحصول على الخدمة وابرز انماط انكار الخدمة ارسال كمية كبيرة من رسائل البريد الإلكتروني دفعة واحدة الى موقع معين بهدف اسقاط النظام المستقبل لعدم قدرته على احتمالها او توجيه عدد كبير من عناوين الإنترنت على نحو لا يتيح عملية تجزئة حزم المواد المرسلة فتؤدي الى اكتظاظ الخادم وعدم قدرته على التعامل معه .
7 - عدم الاقرار بالقيام بالتصرف : ويتمثل هذا الخطر في عدم اقرار الشخص المرسل اليه او المرسل بالتصرف الذي صدر عنه ، كأن ينكر انه ليس هو شخصيا الذي قام بارسال طلب الشراء عبر الإنترنت
وتنطلق الاستراتيجية الفاعلة من القدرة على ايجاد نظام متواصل لعملية تحليل المخاطر وتحديد احتياجات الحماية ، وعملية تحليل المخاطر هي في حقيقتها نظام متكامل للتحليل وسلامة التصرف تبدأ من الاعداد الجيد القائم على فهم وادراك وتحديد عناصر النظام والعمليات والمخاطر ، ومن ثم تحديد معايير التهديد ونطاق الحماية المطلوب منها وتبعا له وسائل الحماية ، لتنتهي ببيان معيار الخسارة المقبولة التي يتصور تحققها بغض النظر عن مستوى الحماية ومستوى الاستعداد للمواجهة.
الوقاية من مخاطر الاعتداء على المعلومات
في ميدان حماية الاتصالات وحماية الكمبيوتر يعبر عن إجراءات الوقاية بخدمات الأمن ، ولا يقصد بها الخدمات بالمعنى المعروف ، وانما اطلق هذا التعبير جراء نشوء شركات متخصصة بأمن المعلومات تقدم هذه الخدمات ، وبالعموم فان هناك خمسة أنواع اساسية لخدمات الأمن تستهدف حماية خمسة عناصر رئيسة في ميدان المعلومات وهي :
1 - خدمات ( وسائل ) حماية التعريف Identification and Authentication هذه الخدمات تهدف الى التثبت من الهوية وتحديدا عندما يقوم شخص ما بالتعريف عن نفسه فان هذه الخدمات تهدف الى التثبت من انه هو الشخص نفسه ولهذا فان التعريف يعد الوسائل التي تحمي من انشطة التخفي والتنكر ومن هنا فان هناك نوعين من خدمات التعريف الاول تعريف الشخصية واشهر وسائلها كلمات السر وثانيها التعريف بأصل المعلومات كالتثبت من أصل الرسالة .
2 - خدمات ( وسائل ) السيطرة على الدخول Access Control : وهذه الخدمات تستخدم للحماية ضد الدخول غير المشروع الى مصادر الأنظمة والاتصالات والمعلومات ويشمل مفهوم الدخول غير المصرح به لأغراض خدمات الأمن الاستخدام غير المصرح به والافشاء غير المصرح به ، والتعديل غير المصرح به ، والاتلاف غير المصرح به ، واصدار المعلومات والاوامر غير المصرح بها ولهذا فان خدمات التحكم بالدخول تعد الوسائل الاولية لتحقيق التخويل والتثبت منه .
3 - خدمات ( وسائل ) السرية Data and message Confidentiality: هذه الخدمات تحمي المعلومات من الافشاء للجهات غير المصرح لها بالحصول عليها ، والسرية تعني بشكل عام اخفاء المعلومات من خلال تشفيرها على سبيل المثال او من خلال وسائل أخرى كمنع التعرف على حجمها او مقدارها او الجهة المرسلة اليها .
4 - خدمات ( وسائل ) حماية التكاملية وسلامة المحتوى Data and message Integrity: هذه الخدمات تهدف الى حماية مخاطر تغيير البيانات خلال عمليات ادخالها او معالجتها او نقلها وعملية التغيير تعني بمفهوم الأمن هنا الالغاء او التحوير او إعادة تسجيل جزء منها او غير ذلك وتهدف هذه الوسائل أيضا الى الحماية من انشطة تدمير المعطيات بشكل كامل او إلغائها دون تخويل .
5 - خدمات ( وسائل ) منع الانكار Non-repudiation: وهذه الخدمات تهدف الى منع الجهة التي قامت بالتصرف من انكار حصول نقل البيانات او النشاط من قبلها .
وتعد الخدمات الخمس المتقدمة مناطق الحماية الاساسية في حقل المعلومات ، فالحماية يتعين ان تمتد الى التعريف ، انشطة الدخول ، السرية ، سلامة المحتوى ، منع عدم الانكار .
ماذا عن إستراتيجية أمن الإنترنت ؟؟؟
تنصب أساسي أمن المعلومات في حقل تحقيق أمن الإنترنت على مواضع ثلاث :- أمن الشبكة ، أمن التطبيقات ، أمن النظم . وكل منها ينطوي على قواعد ومتطلبات تختلف عن الأخرى ويتعين ان تكون أنظمة الأمن في هذه المواضع الثلاث متكاملة مع بعضها حتى تحقق الوقاية المطلوبة لأنها بالعموم تنطوي أيضا على اتصال وارتباط بمستويات الأمن العامة كالحماية المادية والحماية الشخصية والحماية الإدارية والحماية الإعلانية . وفيما تقدم اشرنا الى العناصر المتصلة بأمن النظم والبرمجيات والمعطيات وبقي ان نشير في هذا المقام الى أمن الشبكات :-
ان ما يحمى من خلال أمن الشبكة هو عملية الاتصال والتبادل بين أحد كمبيوترات الشبكة (النظام النهائي سواء اكان نظام الزبون ان نظام المستضيف ( الخادم ) وبين كمبيوتر اخر ضمن الشبكة ، فإذا ارتبط النظام النهائي بالإنترنت مباشرة دون وجود وسائل أمن ما بين هذا النظام والشبكة فان اية حزمة بيانات مرسلة قد يلحق بها ما يلي :
أ - قد يتم تغيرها خلال عملية النقل
ب - قد لا تظهر من حيث مصدرها من الجهة التي قدمت منها
ج - قد تكون جزء من هجوم يستهدف النظام
د - قد لا تصل الى العنوان المرسلة اليه
هـ - قد يتم قراءتها والاطلاع عليها وافشاؤها من الغير .
ويهدف أمن الشبكات من جهة أخرى الى حماية الشبكة نفسها واظهار الثقة لدى مستخدم النظام النهائي بتوفر وسائل الحماية في تعامله مع الشبكة وكذلك اظهار الشبكة ذاتها بانها تحتوى على وسائل أمن لا تتطلب معها ان يكون كمبيوتر المستخدم محتويا على وسائل خاصة .
وتتضمن وسائل أمن الشبكة ما يلي : -
1 - التعريف والسلامة من خلال تزويد نظام المستقبل بالثقة في حماية حزم المعلومات والتأكد من ان المعلومات التي وصلت لم يتم تعديلها .
2 - السرية : حماية محتوى حزم المعلومات من الافشاء الا للجهات المرسلة اليها .
3 - التحكم بالدخول : تقيد الاتصالات بحصرها ما بين النظام المرسل والنظام المستقبل .
5-3 قوائم المراجعة والتدقيق – ديمومة المراجعة واطار بناء خطط واستراتيجيات الأمن
هناك العديد من قوائم التدقيق والمراجعة حول مسائل أمن المعلومات ومتطلبات سياسات واستراتيجيات أمن المعلومات والنظم والاتصالات ، وتقوم بالاساس على توفير نوع من دليل المراجعة الذي يساعد المؤسسات او الافراد في بناء أساسي الأمن وتحديد اطار عام لواجبات الموظفين والمستشارين و المعنيين بشؤون ادارة نظم المعلومات والاتصال وتطبيقاتهما وبنفس الوقت تقدم هذه القوائم او ادلة المراجعة المؤسسات والافراد اطار عاما لفهم عناصر ومتطلبات بناء نظم الأمن الخاصة بالكمبيوتر والشبكات .
ومن بين المسائل التي تعالجها عادة هذه القوائم :-
- مسائل واجبات جهات الادارة للتحقق من وجود سياسة أمن المعلومات موثقة ومكتوبة والتحقق من وجود عمليات تحليل المخاطر وخطة الأمن وبناء الأمن التقني وسياسة ادارة الاتصالات الخارجية ، ومدى معرفة واطلاع الموظفين على السياسة الأمنية ومعرفتهم بواجباتهم ، ومدى توفر تدريب على مسائل الأمن وما اذا كان يخضع الموظفون الجدد لتدريب وتعريف حول محتوى الخطة .
- مسائل تنظيم شؤون ادارة الأمن ، والتي تتعلق بوجود جهة مختصة بذلك في المؤسسة وما اذا كان هنالك دليل مكتوب ، وخطط ومسؤولية التعامل مع إجراءات التنفيذ والتعريف والتعامل مع الحوادث ومع خطط الطوارئ وغيرها.
- مسائل الموظفين أنفسهم من حيث مدى فحص التأهيل والكفاءة ومدى التزام الموظفين بتحقيق معايير الأمن على المستوى الشخصي او فيما يتعلق بواجباتهم ، وأغراضها المتصلة بالامن لدى تعيين الموظفين وخلال عملهم ولدى انتهاء خدمتهم لأي سبب ، وتتصل أيضا بمدى توفر نصوص عقدية خاصة في عقود الموظفين ومدى توفر وصف دقيق بوجباتهم الوظيفية المتصلة بإلحاق المعلومات .
- مسائل جهات تزويد الخدمة او المشورة كالمستشارين والمدققين وغيرهم من حيث تغطية عقود التعامل معهم لمسائل الأمن المختلفة .
- مسائل تصنيف المعلومات من حيث توفرها ومعاييرها .
- مسائل البرمجيات من حيث سياسات شرائها واستخدامها وتنزيلها ومسائل الرخص المتصلة بها وآليات التعامل مع البرمجيات المطورة داخليا وحقوق الوصول اليها واستخدامها ، ومسائل حماية البرمجيات التقنية والقانونية .
- مسائل الاجهزة والمعدات من حيث توفر تصور للاحتياجات وتوفير المتطلبات ومعايير توظيف الاجهزة في العمل ، واسخداماتها والغاء استخدامها ومسائل صيانة والتدقيق .
- مسائل التوثيق ، وهي الذي تتعلق مدى توفر استراتيجية توثيق لكافة عناصر النظام ولكافة مرتكزات وعمليات خطط الأمن وسياساتها.
- المسائل المتصلة بوسائط التخزين خارج النظام من حيث تحديد وسائط التخزين المستخدمة وتبويبها وحفظها والوصول اليها وتبادلها واتلافها .
- مسائل التعريف والتوثق من شخصية المستخدم وحدود صلاحيات والتفويض ، وتتعلق بالتحقق من توفر سياسة التحكم بهذه العناصر والوسائل المستخدمة في تحديد الهوية والتوثق من المستخدم ، واستراتيجيات حماية وسائل التعريف تقنيا واداريا، ومدى صلاحية المستخدمين من الخارج او من داخل المؤسسة بشأن الوصول للمعلومات او قطاعات منها ، ومسائل التحقق من تصرفات المستخدم ، مسائل أمن النظام من حيث توفر وسائل التثبت من حيث وقت الاستخدام و المستخدمين .
- مسائل الاتصالات من حيث السيطرة على وسائل وتطبيقات الاتصالات الداخلية والخارجية وتوثيق حركات الاتصال وحماية عمليات الاتصال والمعايير التقنية المستخدمة في ذلك واستراتيجيات سرية ورقابة وتتبع واستخدام البريد الإلكتروني .
- مسائل ادارة الملفات وسجلات الأداء واستخدام النظام من حيث توفر وسائل توثيقها وارشفتها والتثبت من جهات الانشاء والتعديل والتعامل مع الملفات وقواعد البينات والبرامج التطبيقية .
- مسائل النسخ الاحتياطية من البيانات من حيث وقت عمل النسخ الاحتياطية وتخزينها واستخداماتها وتبويبها وتوثيقها وتشفيرها اذا كانت مما يتطلب ذلك .
- مسائل الحماية المادية من حيث التوثق من توفير وسائل وإجراءات الحماية للاجهزة الكمبيوتر والشبكات والبنى التحتية من ومسائل الطاقة والتوصيلات ومدى توفر وسائل الوقاية من الحوادث الطبيعة او المتعمدة اضافة الى وسائل حماية مكان وجود الاجهزة والوسائط وادلة الأمن المكتوبة ، والوسائل المادية للوصول الى الاجهزة واستخدامها من المخولين بذلك .
- مسائل التعامل مع الحوادث والاعتداءات ، من حيث توفر فريق لذلك وأغراضها التي يقوم بها الفريق لهذه الغاية اضافة الى وجود ارتباط مع جهات التحقيق الرسمية وجهات تطبيق القانون وجهات الخبرة المتخصصة بالمسائل المعقدة او التي لا تتوفر كفاءات للتعامل معها داخل المؤسسة .
- مسائل خطط الطوارئ وخطط التعافي لتخفيف الاضرار والعودة للوضع الطبيعي .
- مسائل الاعلام المتعلقة بالمعلومات المتعين وصولها للكافة او لقطاعات محددة والتحقق من وضوح استراتيجية التعامل الاعلامي مع الحوادث والاعتداءات المتحققة .
ومع ان قوائم المراجعة هذه تتباين من مؤسسة الى أخرى ، ومن شخص الى اخر ، تبعا للواقع والاحتياجات وطبيعة النظام والمعلومات والتطبيقات العملية الا ان الكثير منها يصلح كإطار عام ومرجعية لدى وضع هذه القوائم والأدلة ، ومن ابرزها القوائم التي وضعها مجموعة خبراء في حقل أمن المعلومات واعتمدتها منظمة الشرطة الدولية – الانتربول.
http://www.arablaw.org/