• ×

01:29 مساءً , الخميس 18 رمضان 1445 / 28 مارس 2024

الإدارة

أمن المعلومات

الإدارة

 0  1  1030
زيادة حجم الخط مسح إنقاص حجم الخط
مع تطور التكنولوجيا ووسائل تخزين المعلومات وتبادلها بطرق مختلفة أو ما يسمى نقل البيانات عبر الشبكة من موقع لاخر أصبح النظر إلى أمن تلك البيانات والمعلومات بشكل مهم للغاية. يمكن تعريف أمن المعلومات بأنه العلم الذي يعمل على توفير الحماية للمعلومات من المخاطر التي تهددها أو الاعتداء عليها وذلك من خلال توفير الأدوات والوسائل اللازم توفيرها لحماية المعلومات من المخاطر الداخلية أو الخارجية. المعايير والإجراءات المتخذة لمنع وصول المعلومات إلى أيدي أشخاص غير مخولين عبر الاتصالات ولضمان أصالة وصحة هذه الاتصالات ..
إن حماية المعلومات هو أمر قديم ولكن بدأ استخدامه بشكل فعلي منذ بدايات التطور التكنولوجيا ويرتكز أمن المعلومات إلى:-
أنظمة حماية نظم التشغيل
أنظمة حماية البرامج والتطبيقات.
أنظمة حماية قواعد البيانات.
أنظمة حماية الولوج أو الدخول إلى الأنظمة.

المبادئ الأساسية
من أهم المفاهيم, ومنذ أكثر من عشرين عاما، وأمن المعلومات قد حددت بالسرية Confidentiality والتكامل Integrity والتوافر Availability(المعروفة باسم الثالوث (سي آي ايه)(CIA),(أعضاء InfoSec التقليديون الثالوث -السرية والتكامل والتوافر - ويشار إليها بالتبادل في الأدبيات على أنها, سمات أمان، خصائص وأهداف أمنية, جوانب أساسية، معايير معلومات، خصائص معلومات هامة, واللبنات الأساسية.) والمبادئ الأساسية لأمن المعلومات. العديد من المتخصصين في مجال أمن المعلومات يؤمنون إيمانا راسخا بأن المساءلة ينبغي أن تضاف كمبدأ أساسي لأمن المعلومات [1] [2].
في عام 2002، اقترح دون باركر نموذجا بديلا للثالوث التقليدي (CIA). يتكون نموذج باركر من ستة عناصر من أمن المعلومات. العناصر هي السرية، الحيازة، السلامة، الأصالة، التوفر والأداة. إن سداسي باركر هو موضع نقاش بين المتخصصين في مجال الأمن.
أبسط أنواع الحماية هي استخدام نظام التعريف بشخص المستخدم, وثوقية الاستخدام, ومشروعيته. هذه الوسائل تهدف إلى ضمان استخدام النظام أو الشبكة من قبل الشخص المخول بالاستخدام. وتضم هذه الطائفة:
كلمات السر بأنواعها.
البطاقات الذكية المستخدمة للتعريف.
وسائل التعريف البيولوجية والتي تعتمد على سمات الشخص المستخدم المتصلة ببنائه البيولوجي.
المفاتيح المشفرة ويمكن ان تشمل ما يعرف بالاقفال الإلكترونية التي تحدد مناطق النفاذ.
إن كل التقنيات التي وصل إليها العالم لا يمكن ان تعيش من دون أمن المعلومات. فعلى سبيل المثال, نظام البنوك لو لم يكن هناك أمن المعلومات لاستطاع أي شخص ان يدخل على النظام

السرية
السرية هو المصطلح المستخدم لمنع الكشف عن معلومات لأشخاص غير مصرح لهم بالأطلاع عليها أو الكشف عنها. على سبيل المثال، استعمال بطاقة الائتمان في المعاملات التجارية على شبكة يتطلب إدخال رقم بطاقة الائتمان على أن تنتقل من المشتري إلى التاجر ومن التاجر لإنجاز وتجهيز المعاملات على الشبكة. يحاول النظام فرض السرية عن طريق تشفير رقم البطاقة أثناء الإرسال، وذلك بالحد من الوصول إلى أماكن تخزين أو ظهور تسلسل رقم البطاقة (في قواعد البيانات، وسجل الملفات، النسخ الاحتياطي، والإيصالات المطبوعة)، وذلك بتقييد الوصول إلى الأماكن التي يتم تخزين الرقم والبيانات بها. اماإذا كان الطرف غير المصرح له قد حصل على رقم البطاقة بأي شكل من الأشكال فإن ذلك يعد انتهاكا لمبدأ السرية في حفظ وتخزين البيانات.
خرق السرية يتخذ أشكالا عديدة. تجسس شخص ما على شاشة الحاسوب لسرقة كلمات سر الدخول ،أو رؤية بيانات سرية بدون علم مالكها, يمكن أن يكون خرقا للسرية. إذا كان الحاسوب المحمول يحتوي على معلومات حساسة عن موظفي الشركة, فإن سرقته أو بيعه يمكن أن يسفر عن انتهاك لمبدأ السرية. إعطاء معلومات سرية عبر اتصال هاتفي هو انتهاك لمبدأ السرية إذا كان طالب الاتصال غير مخول بأن يحصل على المعلومات.
السرية أمر ضروري (لكنها غير كافية) للحفاظ على خصوصية الناس الذين تحتوي الأنظمة معلوماتهم الشخصية.

توفر البيانات
يهدف أي نظام للمعلومات لخدمة غرضه، أن تكون المعلومات متوفرة عند الحاجة إليها. وهذا يعني أن تعمل عناصر النظام الآتية بشكل صحيح و مستمر:
الأنظمة الحاسوبية المستخدمة لتخزين ومعالجة المعلومات.
الضوابط الأمنية المستخدمة لحمايتة النظام.
قنوات الاتصال المستخدمة للوصول.
نظم عالية السرية تهدف إلى استمرارية الحماية في جميع الأوقات.
منع انقطاع الخدمة بسبب انقطاع التيار الكهربائي، أو تعطل الأجهزة، اونظام الترقيات والتحديث.
ضمان منع هجمات الحرمان من الخدمة.

إدارة المخاطر
والمعالجة الشاملة لموضوع إدارة المخاطر هو خارج عن نطاق هذا المقال. ومع ذلك، سوف تقدم تعريفا مفيدا لإدارة المخاطر تكون كذلك بعض المصطلحات الأساسية ويشيع استخدامه في عملية إدارة المخاطر.
ينص التعريف التالي لإدارة المخاطر : "إدارة المخاطر هي عملية التعرف على نقاط الضعف والتهديدات الموجهة إلى موارد المعلومات التي تستخدمها المنظمة أو الشبكة المعلوماتية في تحقيق الأهداف التجارية أو الاخرى، والحد والتقليل من نقاط الضعف إن وجدت، لتأخذ في الحد من المخاطر إلى مستوى مقبول، على أساس قيمة موارد المعلومات إلى المنظمة. "
هناك أمران في هذا التعريف قد يحتاجان إلى بعض التوضيح. أولا، عملية إدارة المخاطر هي تكرار العمليات الجارية ويجب أن يتكرر إلى ما لا نهاية لان بيئة العمل المتغيرة باستمرار، والتهديدات الجديدة والضعف تظهر كل يوم. والثانية اختيار التدابير المضادة (الرقابة) المستخدمة لإدارة المخاطر يجب أن توازن بين الإنتاجية، والتكلفة، وفعالية التدابير المضادة، وقيمة الموجودات وحماية البيانات.
الخطر هو احتمال أن شيئا ما سيئا سيحدث يسبب الأذى لأحد الأصول المعلوماتية (أو الخسارة في الأصول). الضعف هو الضعف الذي يمكن أن يستخدم لتعريضها للخطر أو التسبب في ضرر لأحد الأصول المعلوماتية. التهديد أي شيء فعل (من صنع الإنسان او فعل من أفعال الطبيعة) لديه القدرة على التسبب في ضرر.
احتمال أن يشكل تهديدا سوف تستخدم من التعرض للضرر يتسبب في خطر. عندما لا يشكل تهديدا استخدام الضعف لإلحاق الاذى، لما له من أثر. في سياق أمن المعلومات، وأثر هو خسارة لتوافر والنزاهة والسرية، وربما غيرها من الخسائر (الدخل المفقود، والخسائر في الأرواح وخسائر في الممتلكات العقارية). وتجدر الإشارة إلى أنه ليس من الممكن تحديد جميع المخاطر، ولا هو ممكن القضاء على جميع المخاطر. المخاطر المتبقية تسمى المخاطر المتبقيه.

إدارة المخاطر
تتألف عملية إدارة المخاطر من:
.تحديد الموجودات وتقدير قيمتها. تشمل ما يلي: الأفراد والمباني والأجهزة والبرامج والبيانات (الإلكترونية والمطبوعة وغيرها)، واللوازم.
.إجراء تقييم التهديد. وتشمل: أفعال الطبيعة، أعمال الحرب والحوادث والأفعال الضارة القادمة من داخل أو خارج المنظمة.
.إجراء تقييم الضعف، ولكل الضعف، وحساب احتمال أن يكون للاستغلال. تقييم السياسات والإجراءات والمعايير، والتدريب، الأمن المادي، مراقبة الجودة والأمن التقني.
.في حسبانها تأثير كل ذلك من شأنه أن يكون خطرا على كل الموجودات. استخدام التحليل النوعي أو التحليل الكمي.
.تحديد واختيار وتطبيق الضوابط المناسبة. تقدم ردا متناسبا. النظر في الإنتاجية، وفعالية التكاليف، وقيمة الموجودات.
.تقييم فعالية تدابير المكافحة. ضمان توفير الضوابط اللازمة لحماية فعالة من حيث التكلفة دون فقدان ملحوظ في الإنتاجية.
عند أي خطر معين، يمكن أن تختار الإدارة التنفيذية قبول المخاطرة استنادا إلى انخفاض القيمة النسبية للموجودات، وتواتر حدوث منخفضة نسبيا، وأثر انخفاض نسبي على الأعمال التجارية. أو، قد تختار القيادة التخفيف من المخاطر من خلال تحديد وتنفيذ تدابير الرقابة المناسبة للحد من المخاطر. في بعض الحالات، يمكن أن يكون خطر نقل إلى آخر أعمال التأمين عن طريق شراء أو التسنيد إلى آخر الأعمال. قد واقع بعض المخاطر يمكن الجدال فيها. في مثل هذه الحالات قد تختار القيادة إنكار المخاطر. هذا هو في حد ذاته يشكل خطرا محتملا

مهددات امن المعلومات

1- الفيروسات :
الفيروس هو برنامج صغير مكتوب بأحد للغات الحاسب ويقوم بإحداث أضرار في الحاسب والمعلومات الموجودة على الحاسب بمعني انه يتركز علي ثلاث خواص وهي التخفي، التضاعف، وإلحاق الأذى. مصادر الفيروس يكمن مصادر الفيروس من خلال الرسائل الإلكترونية المجهولة، صفحات الإنترنت المشبوهة، نسخ البرامج المقلدة، استخدام برامج غير موثقة، كذالك تبادل وسائل التخزين دون عمل فحص مسبق مثل الأقراص والذاكرة المتنقلة وارسال الملفات داخل الشبكة المحلية. للفيروس ثلاث خواص مؤثرة وهي: التضاعف: تتم عملية تضاعف الفيروس عند التحاق الفيروس بأحد الملفات وهنا تتم عملية زيادة عدد العمليات التي تتم إلى ملاين العمليات مما يسبب البطء في العمل أو توقف الحاسب عن العمل. التخفي: لابد للفيروس من التخفي حتى لا ينكشف ويصبح غير فعال، ولكي يتخفي فأنة يقوم بعدة أساليب منها علي سبيل المثال، صغر حجم الفيروس لكي سيناله الاختباء بنجاح في الذاكرة أو ملف آخر. إلحاق الأذى: قد يتراوح الأذى الذي يسببه الفيروس بالاكتفاء بإصدار صوت موسيقي أو مسح جميع المعلومات المخزنة لديك، ومن الأمثلة الاخري في إلحاق الأذى: إلغاء بعض ملفات النظام، إغلاق الحاسب من تلقاء نفسه عند الدخول على الإنترنت مثلا أو إلغاء البرنامج المكتوب على BIOS
2-هجوم تعطيل الخدمة :
وهذا النوع من الخدمة يقوم فيه القرصان أو المعتدي بإجراء أعمال خاصة تؤدي إلى تعطيل الأجهزة التي تقدم الخدمة Server في الشبكات.
3-مهاجمه المعلومات المرسله:
وهو اعتراض المعلومات عند ارسالها من جهة إلى أخرى، ويحدث هذا التعامل غالباً أثناء تبادل الرسائل خلال الشبكات: 1. الإنترنت 2. الشبكات التي تستخدم شبكة الهاتف العامة
4- هجوم السيطرة الكاملة:
في هذا النوع يقوم القرصان بالسيطرة الكاملة على جهاز الضحية والتحكم في جميع ملفاتهكما لو كانت في جهازه هو ويمكن للقرصان مراقبة الضحية بصورة كاملة.
يتم الهجوم بعد أن يضع القرصان ملف صغير على جهاز الضحية (عن طريق البريد الإلكتروني أو أي وسيلة أخرى) أو عن طريق استغلال نقاط الضعف في أظمة التشغيل
5- هجوم التضليل:
وفيه يقوم القرصان بانتحال شخصية موقع عام. كما يمكن للقرصان أن ينتحل شخصية مستخدم موثوق به للحصول على معلومات غير مصرحة له
6- الوصول المباشر لكوابل التوصيل:
يقوم المهاجم بالوصول المباشر لأسلاك التوصيل والتجسس على المعلومات المارة. ولكنه هجوم صعب ويتطلب عتاد خاص