أمن الحاسب والمعلومات PDF
Document Details
Uploaded by SensibleCobalt
جامعة المنيا
د. رزق علي أحمد محمد
Tags
Summary
This document provides a detailed overview of computer and information security, including concepts, methodologies, and practical considerations. It examines topics like risk management, security policies, and system vulnerabilities. The document is intended for a postgraduate or professional audience, and primarily targets Information Security domains in general.
Full Transcript
# أمن الحاسب والمعلومات ## أولاً: أمن الحاسب (Computer Security) أمن نظام الحاسب (Computer System Security) يعني مجموعة العمليات (Processes) والآليات (Mechanisms) التي من خلالها يتم حماية سرية الممتلكات المعلوماتية والخدمات الحساسة والقيمة) ومنع انتشارها، ومنع العبث والتلاعب بها أو فقدانها بواسطة...
# أمن الحاسب والمعلومات ## أولاً: أمن الحاسب (Computer Security) أمن نظام الحاسب (Computer System Security) يعني مجموعة العمليات (Processes) والآليات (Mechanisms) التي من خلالها يتم حماية سرية الممتلكات المعلوماتية والخدمات الحساسة والقيمة) ومنع انتشارها، ومنع العبث والتلاعب بها أو فقدانها بواسطة أنشطة غير مصرح بها (Untrustworthy) أو أفراد غير جديرون بالثقة (Unauthorized Activities Individuals) أو الأحداث غير المخطط لها. لذلك فاستراتيجيات ومنهجيات أمن الحاسب (Strategies and Methodologies) تختلف في كثير من الأحيان عن معظم تقنيات الحاسب الأخرى، وذلك لأن هدفها مختلف فهو يتمثل في منع السلوكيات غير المرغوب فيها بدلاً من تمكين السلوكيات المطلوبة عند التعامل مع نظام الحاسب ومكوناته المادية والبرمجية. طبقاً للموسوعة البريطانية (Encyclopedia Britannica)، يهدف أمن الحاسب إلى "حماية معلومات وأنظمة الحاسب من الأذى (Harm)، والسرقة، والاستخدام غير المصرح به". تتم حماية المكونات المادية للحاسب بنفس الطرق المستخدمة في حماية غيرها من المعدات ذات القيمة أو الحساسية، وهي الأرقام التسلسلية (Serial Numbers)، الأبواب والأقفال (Locks)، وأجهزة الإنذار. أما حماية الوصول للنظام والمعلومات فتتحقق من خلال أساليب (Tactics) أخري يتسم بعضها بالتعقيد الشديد. ## ثانياً: أمن المعلومات (Information Security) تواجه البيانات والمعلومات أثناء المعالجة والنقل والتخزين مجموعة من المخاطر منها التلف والفقد والوصول أو التعديل غير المصرح به، ويستهدف مجال أمن المعلومات التعامل مع هذه المشكلات. يتم ذلك من خلال نظام الحماية وتأمين البيانات من الاختراق ومن ثم العبث بها أو فقدانها، سواء عند تخزينها أو عند تداولها ونقلها من جهاز أو موقع مادي إلى آخر. ويقدم معهد SANS تعريفاً أكثر شمولية وطبقاً له فإنه يشير إلى العمليات والمنهجيات التي تم تصميمها وتنفيذها لحماية المعلومة المطبوعة أو الإلكترونية أو أي شكل آخر من البيانات السرية والخاصة والحساسة من الوصول غير المصرح به أو الاستخدام، أو سوء الاستخدام، أو الإفشاء أو التدمير، أو التعديل، أو عدم توفرها عند الحاجة". وحماية المعلومات هي أمر قديم غير مستحدث، ولكن بدأ استخدامه فعليا وبشكل إيجابي منذ بدايات التطور التكنولوجي وظهور أجهزة الحاسب وأنظمتها. ولذلك يرتكز أمن المعلومات إلى أنظمة حماية نظم التشغيل وأنظمة حماية البرامج والتطبيقات، وحماية قواعد البيانات وحماية الولوج أو الدخول إلى الأنظمة. ويمكن النظر لأمن المعلومات من زاويتين أكاديمية وتقنية، فمن الناحية الأكاديمية هو العلم الذي يبحث في نظريات واستراتيجيات توفير الحماية لمنظومة الحاسب من المخاطر التي تهددها، ومن الأنشطة غير المصرح بها والتي تهدف إلى الاعتداء عليها. ومن الناحية التقنية "هو الإجراءات والأساليب المتبعة والأدوات التي يلزم توافرها لتحقيق حماية منظومة الحاسب من المخاطر الداخلية والخارجية. وتشتمل منظومة ## ثالثاً: أهداف أمن المعلومات يهدف أمن المعلومات إلى حماية المعلومات من السرقة أو التعرض للخطر أو الهجوم، ويمكن قياس مستوى الأمن بتوافر واحد على الأقل من ثلاثة أهداف أساسية طبقا لنموذج CIA أو ثلاثية AIC (الإتاحة والنزاهة والسرية لأمن المعلومات، وهذه الأهداف هي: - حماية سرية البيانات (Confidentiality) - الحفاظ على سلامة البيانات ونزاهتها (Integrity) - تعزيز توافر البيانات للمستخدمين المصرح لهم (Availability) تشكل الأهداف الثلاثة السرية والنزاهة والإتاحة (CIA) الأساس لجميع برامج التأمين وعمليات التأمين لأنظمة الحاسب والمعلومات في جميع المؤسسات. ويُضيف البعض هدفين آخرين يُمكن تضمينهما ضمن الأهداف السابقة، هما: - ضمان أصالة وصحة وموثوقية البيانات (Authenticity) - عدم الإنكار أو التنصل من المسئولية (Non-Repudiation) ثلاثية CIA هي نموذج أمني تم تصميمه لتوجيه سياسات تأمين المعلومات داخل المؤسسات، وتستخدم المؤسسات معايير CIA عند تثبيت تطبيق جديد أو عندما تقوم بإنشاء قاعدة بيانات أو في إجراءات ضمان الوصول إلى بعض البيانات، كما يجب تفعيل جميع الأهداف والمعايير السابقة لتحقيق مستوى مناسب من الأمان، حيث تعمل جميعها كسياسات أمنية متكاملة، ومن الخطأ التغاضي عن واحدة منها. ## رابعاً: عناصر أمن المعلومات يمكن تلخيص المكونات الأساسية لأمن المعلومات طبقاً لنموذج CIA كالتالي: السرية والسلامة والتوافر > - **السرية** (Confidentiality) > السرية هي احدى العناصر الاساسية لأمن المعلومات التي تضمن سرية البيانات بحيث تكون محمية من الوصول غير المصرح به. ويعني ذلك عدم كشف البيانات للأفراد والعمليات غير المصرح لهم بالوصول إليها. ولضمان السرية ، يجب أن تكون قادرًا على تحديد من يحاول الوصول إلى البيانات والتحكم في الوصول أو تحديد الصلاحيات. > ومن أهم التقنيات المصممة لضمان سرية البيانات: كلمات المرور والمصادقة والتشفير وبرامج الحماية مثل الجدار الناري وبرامج كشف ومنع التسلل، فجميعها تقنيات مصممة لضمان السرية. > - **سلامة البيانات** (Integrity) > تشير سلامة البيانات وتكاملها أو النزاهة أو المصداقية) إلى التحقق من سلامة البيانات والموارد، وذلك باتباع طرق وأساليب تضمن أن تكون البيانات صحيحة وحقيقية ودقيقة ومحمية من اتلافها أو تعديل المستخدم الذي لا يملك التصريح بذلك. سواء عن طريق الصدفة أو عن قصد. > ويوجد عدد من التقنيات التي تضمن السرية توفر أيضًا سلامة البيانات، حيث تمنع المتسلل من الوصول إلى البيانات وبالتالي لن يتمكن من تغييرها. كما توجد تقنيات أخرى تساعد في توفير حماية اضافة لضمان سلامة البيانات بشكل خاص منها: > * التجزئة :Hash هي تقنية تستخدم في التحقق من سلامة البيانات والكشف عن أي تغيير غير مصرح به والقيم الاختبارية Hash values هي قيم عددية يتم استخدامها لمقارنة مجموعتين من البيانات للتأكد من أنه متطابقة أو وحدة. > *النسخ الاحتياطي Backup يُمكن من استعادة البيانات والملفات السليمة في حالة فقد أو تلف النسخة الأصلية بقصد أو دون قصد. > - **التوافر** Availability > خاصية التوافر أو الإتاحة تعني ضمان الوصول إلى البيانات عند الحاجة وفي الوقت المناسب من قبل من يملك التصريح بذلك. فبينما تحتاج إلى التأكد من أن بياناتك لا يمكن الوصول إليها من قبل مستخدمين غير مصرح لهم، فإنك تحتاج أيضًا إلى التأكد من إمكانية الوصول إليها من قبل أولئك الذين لديهم الأذونات المناسبة. ويُمكن إضافة عدم إنكار التصرف المرتبط بالمعلومات ممن قام به (Non-repudiation) إلى العناصر السابقة، ويعني ذلك تحديد مسؤولية الشخص الذي قام بتصرف ما متصل بالمعلومات أو مواقعها وعدم التنصل من تصرفه أو إنكار أنه هو الذي قام بهذا التصرف، بحيث تتوفر قدرة إثبات أن تصرفاً ما قد تم من قبل شخص ما في وقت معين. ## خامساً: إدارة المخاطر (Risk Management) يدور أمن المعلومات حول إدارة المخاطر التي تستهدف الأصول، ويمكن فهم المخاطر (Risk) من تعرف العلاقة بين الأصول (Assets)، والتهديدات (Threats)، والثغرات أو نقاط الضعف (Vulnerabilities)، والتدابير المضادة (Countermeasures). حيث تعتبر المخاطر دالة للتهديد > - **الخاطر** (Risk) هو احتمال خسارة، أو تلف أو تدمير للأصول، أو البيانات بسبب تهديد أمني. ومن الشائع استخدام الخطر كمرادف للتهديد، ولكن في الحقيقة أن الخطر يستخدم أو يُقصد به الأثر الناتج عن وقوع أو حدوث التهديدات. > - **التهديد** (Threats) هو شيء يُمكن أن ينتهك الأمن، وقد يكون عملية، أو كيان، أو شخصاً ، أو ظرف ، أو قدرة، أو إجراء، أو حدث يُمكن أن يسبب ضررًا. وتستغل التهديدات الثغرات الأمنية أو نقاط الضعف، فالكيان كالبرامج الضارة والأشخاص المخترقين و الأحداث الحريق وانقطاع التيار الكهربائي والكوارث الطبيعية. > -**نقاط الضعف **(Vulnerabilities) هي نقطة ضعف في البنية التحتية أو الشبكات أو التطبيقات التي من المحتمل أن تعرضك للتهديدات. > **- الإجراء المضاد** (Countermeasure) أو التدبير المضاد هو إجراء، أو عملية ، أو جهاز ، أو نظام يمكنه منع أو تخفيف آثار التهديدات. > - **الأصول** (Assets): الأصول في أمن المعلومات تشمل الأشخاص والممتلكات والمعلومات الأشخاص الموظفين وأصحاب المصلحة الآخرين في المؤسسة والممتلكات تعني العناصر الملموسة وغير الملموسة التي تحمل بعض القيمة، والمعلومات تعني أي نوع من البيانات المفيدة مثل الحسابات والسجلات. ## سادساً: الاحتياطات والإجراءات المضادة (Countermeasure) تتنوع الاحتياط الأمنية والتدابير المضادة التي يجب الاهتمام بها جيداً وتعزيزها لضمان درجة مناسبة من أمن المعلومات، وتشمل التالي: - التدابير التنظيمية: كإنشاء وحدة داخلية مخصصة لأمن المعلومات واتباع إجراءات مناسبة للحد من صلاحيات الوصول للبيانات والانظمة الحساسة وقصرها على الفئة المسؤولة فقط. - التدابير المادية: كالتحكم في الوصول المادي إلى الأجهزة ومراكز البيانات، والفصل الطبيعي للقطاعات، وتجهيز البنية التحتية المناسبة من أبواب ونوافذ وأقفال ووسائل حماية ضد التهديدات الطبيعية. - التدابير البشرية: بتوعية وتثقيف أفراد المؤسسة بالمعلومات والممارسات الصحيحة لأمن المعلومات، والتدريب على المهارات الأساسية للحماية من التهديدات والمخاطر الأمنية. - التدابير التقنية: تشمل الأجهزة والبرامج التي تحمي البيانات مثل برامج مكافحة الفيروسات والجدران النارية وتقنيات تشفير البيانات. ## سابعاً: السياسة الأمنية (Security Policy) يعتقد البعض أن الحلول التقنية الأمنية وحدها كفيلة بتأمين مستوى حماية مناسب للمعلومات، وهذا بالطبع اعتقاد خاطئ. إذ أن حماية المعلومات ترتكز على ثلاثة عناصر أساسية مكملة لبعضها البعض وهي العنصر البشري، والحلول التقنية والسياسات الأمنية المناسبة وتحكم السياسة الأمنية وتنظم كيفية تعامل العنصر البشري مع المعلومات بشكل سليم للوصول إلى الهدف المنشود. تعرف السياسات الأمنية للمعلومات (Information Security Policy) بأنها وثيقة تضم مجموعة القوانين والتنظيمات والتوجيهات المتعلقة بكيفية تعامل الأشخاص مع المعلومات بجميع صورها سواء الإلكترونية أو الورقية أو حتى الشفهية. وتمثل هذه القوانين توجيهات المنظمة وسياستها في حماية معلوماتها وأنظمتها أو هي "المبادئ والقواعد التي توجه القرار الأمني. وهي تعريف لما يعنيه أن تكون آمناً كنظام أو مؤسسة. وتصف كل ما يسمح به النظام أو يحظره". توجد سياسات الأمان بمستويات مختلفة، بدءًا من التركيبات عالية المستوى التي تصف أهداف ومبادئ الأمان العامة للمؤسسة إلى المستندات التي تتناول مشكلات محددة، مثل الوصول عن بعد أو استخدام Wi-Fi يتم استخدام وثائق سياسة أمن المعلومات مع أنواع أخرى من الوثائق مثل إجراءات التشغيل القياسية. وتعمل هذه الوثائق معا لمساعدة الشركة على تحقيق أهدافها الأمنية. وتحدد السياسة الإستراتيجية العامة والموقف الأمني، بينما تساعد المستندات الأخرى في تكوين بنية الممارسات الأمنية. لذلك يمكن التفكير في سياسة الأمن على أنها تجيب على "ماذا" و "لماذا" ، بينما المعايير (Standards) والإجراءات (Procedures) والإرشادات (Guidelines) فتجيب على "كيف" أو كيفية التنفيذ. وتحدد سياسة أمن المعلومات ما المعلومات الحساسة وطرق حمايتها وتضمن الوصول إليها من قبل المستخدمين المصرح لهم فقط. ويتم ذلك من خلال تطبيق الإجراءات والإرشادات الموجودة في وثيقة أمن المعلومات. كما توجه هذه السياسات قرارات المؤسسة بشأن شراء أدوات التأمين وبرامج الحماية، وكذلك تُحدد سلوك الموظف ومسؤولياتهم. فمن بين أمور أخرى، يجب أن تتضمن سياسة أمن المعلومات الخاصة بالمؤسسة ما يلي: 1- الأهداف المراد تحقيقها والغرض من سياسة أمن المعلومات. 2- تعريف المصطلحات الأساسية الواردة في الوثيقة لضمان فهمها من قبل جميع أعضاء المؤسسة ومنع الالتباس. 3- تتضمن سياسة التحكم في الوصول إلى البيانات وجميع أجزاء النظام، وتحديد من لديه حق الوصول. 4- تتضمن سياسة كلمة المرور التي يتم فيها تحديد الاجراءات والارشادات الخاصة بحماية كلمة المرور. 5- تتضمن سياسة النسخ الاحتياطي للبيانات لضمان استعادة البيانات عند حدوث كارثة أو حذف أو تدمير للبيانات ناتج عن هجمات أو طرق مقصودة او عن طريق الخطأ. 6- تتضمن أدوار العاملين ومسؤولياتهم عندما يتعلق الأمر بحماية البيانات، بما في ذلك المسؤول النهائي عن أمن المعلومات. 7- تتضمن سياسة جدار الحماية: تصف سياسة جدار (جدران) حماية المؤسسة أنواع حركة المرور التي يجب أن يسمح بها جدار حماية المؤسسة أو يرفضها. لاحظ أنه حتى في هذا المستوى، لا تزال السياسة تصف فقط "ماذا"؛ حيث يُعد المستند الذي يصف كيفية تكوين جدار حماية لمنع أنواع معينة من حركة المرور إجراء وليس سياسة. ومن الأشياء المهمة أن تتضمن السياسة الأمنية للمؤسسة قواعد التعامل مع المصادر الخارجية من البيانات المخزنة في خدمات الحوسبة السحابية، وقواعد التي تحكم التعامل مع العاملين والعملاء من الخارج والمصادقة على وصولهم إلى المعلومات المقصودة من بعد. ## ثامناً: العمليات الرئيسة أمن المعلومات تتعدد عمليات التعامل مع المعلومات في بيئة النظم وتقنيات المعالجة والاتصال وتبادل البيانات، ولكن يمكن بوجه عام تحديد العمليات الرئيسة التالية: - **تصنيف المعلومات** (Information classification) تصنيف المعلومات هو عملية تقوم فيها المؤسسة بتقييم البيانات التي لديها ومستوى الحماية التي ينبغي منحها لها. وعادة ما يتم التصنيف طبقاً للسرية أي من يملك حق الوصول للبيانات. وتختلف التصنيفات حسب المؤسسة، فقد تُصنف المعلومات الى معلومات متاحة، وموثوقة، وسرية، وسرية للغاية، أو قد تُصنف إلى مستويين هما متاحة ومحظورة ... وهكذا . - **التوثيق** (Documentation) تطلب عمليات المعلومات اتباع نظام توثيق مكتوب لتسجيل جميع مراحل بناء النظام، ووسائل المعالجة، والتبادل، ومكوناتها. ويتضمن التوثيق خطط التعامل مع المخاطر والحوادث، والجهات المختصة ومسؤولياتها، وخطط التعافي وادارة الازمات وخطط الطوارئ المرتبطة بالنظام عند حدوث الخطر. -**تحديد مسئوليات الإدارة والموظفين** مسئوليات الإدارة والموظفين (Administration and Personnel Responsibilities) من أدوار وواجبات والتزامات يجب تحديدها بدقة والفصل بينها لمنع تداخل الاختصاصات. ويجب على الجميع الالتزام الدقيق بالواجبات الأمنية المرتبطة بالعمل داخل المؤسسة أو خارجها تبدأ عملية تحديد المسئوليات باختيار المؤهلين نظرياً وعملياً، مع التأهيل والتدريب المستمر. وتتكون المهام التنظيمية بشكل أساسي من خمسة عناصر رئيسة: تحليل المخاطر، ووضع السياسة أو الإستراتيجية، ووضع خطة الأمن، ووضع البناء الأمني التقني (توظيف الأجهزة والمعدات والوسائل)، وأخيراً مرحلة التنفيذ الفعلي للخطط والسياسات. - **تحديد الهوية وحدود الصلاحيات** التحكم في الدخول إلى أنظمة الحاسب وقواعد البيانات والمواقع على شبكة المعلومات يتم باستخدام عدد من الوسائل للتعرف على شخصية المستخدم وتحديد نطاق الاستخدام، وهو ما يُعرف بأنظمة التعريف (Identification and Authorization systems) ويتضمن هذا النظام مجموعة من العمليات هي: * **التعريف أو تحديد الهوية** (Identification): تقديم وسيلة التعريف الشخص أو برنامج ...... * **المصادقة أو التوثق** (Authentication): أو التحقق لإثبات صحة الهوية. * **التصريح أو التخويل** (Authorization): أو التفويض بمنح الهوية المثبتة حقوق الاستخدام. غالباً ما يتم استخدام التعريف والمصادقة معاً كعملية واحدة من خطوتين. وتتعدد وسائل التعريف بالشخص ويكون الجمع بين الوسائل المختلفة للتعريف أكثر أماناً دون التأثير في سهولة التعريف وفعاليته). وقد تكون وسائل التعريف أحد ثلاثة أنواع: * شيء ما يملكه الشخص مثل البطاقة البلاستيكية * شيء ما يعرفه الشخص ككلمة سر أو رمز أو رقم الشخصي * شيء ما يرتبط بذات الشخص كبصمة الإصبع أو بصمة العين والصوت ... وتُعرف بوسائل التعرف والمصادقة البيومترية (Biometric). ويجب أن تخضع وسائل التعرف لسياسة أمن مدروسة تضمن استخدامها فقط من قبل أصحابها - **تحديد الهوية وصلاحيات الاستخدام** يتم فيها تحديد الخصائص التي تتمتع بها هوية مثبتة الشخص أو برنامج أو عملية)، ومنحها أذونات (Permissions) أو حقوق وصول (Access rights) إلى الموارد التي تتناسب مع الخصائص التي تميز هذ الهوية. لذلك يرتبط التصريح بنظم التحكم في الدخول أو الوصول (Access Control System) إلى المعلومات أو أجزاء نظام الحاسب وشبكة المعلومات. - **سجل الأداء** (Logging) هي سجلات تكشف استخدامات الحاسب والوصول إليه من قبل البرامج والمستخدمين، وتكون لسجلات الأداء أهمية خاصة في حالة تعدد المستخدمين لجهاز الحاسب أو الشبكة. تتباين سجلات الأداء وتوثيق الاستخدامات من حيث النوع والطبيعة والغرض، فهناك السجلات التاريخية، وسجلات النظام، وسجلات الأمن، وسجلات قواعد البيانات والتطبيقات، وسجلات الصيانة أو ما يعرف بالسجلات التقنية ... وغيرها . وبشكل عام، تختص سجلات الأداء بتحديد المستخدم ووقت الاستخدام، ومكانه ، وطبيعة الاستخدام (محتواه) وأية معلومات إضافية أخرى تبعا لنشاط المستخدم. لذلك يكون لسجلات الأداء دور مميز في عملية المحاسبة أو المسائلة (Accountability) والتي يتم فيها التحقق من الأفعال والأنشطة وتحميل أصحابها المسؤولية، دون إنكار التصرف. - **النسخ الاحتياطي** (Backup) في تكنولوجيا المعلومات هو عمل نسخة إضافية من ملفات و / أو بيانات الحاسب وتخزينها على أحد وسائط التخزين وفي مكان آخر سواء كان ذلك داخل النظام او خارجه. تستخدم النسخة الاحتياطية لاستعادة البيانات بعد فقدانها بسبب الحذف أو التلف، أو لاستعادة البيانات من وقت سابق. وأحياناً تُستخدم لاستعادة كامل النظام. وتوفر النسخ الاحتياطية شكلاً من أشكال التعافي من الكوارث (Disaster recovery) - **وسائل الأمن الفنية وأنظمة كشف التسلل (التطفل):** تتعدد وسائل الأمن التقنية وتتنوع أغراضها ونطاقات فاعليتها واستخدامها. فبالإضافة إلى ما سبق ككلمات السر ووسائل التعريف والمصادقة المتنوعة. توجد وسائل الأمن التقنية الأخرى والتي من أهمها في الوقت الحاضر **الجدران النارية** (Firewalls) ، **والتشفير** (Cryptography)، **وأنظمة تحري الاختراق** (Intrusion) ، **التحكم في الدخول** (Access control system) وأنظمة وبرمجيات الحماية من الفيروسات ، (Detection Systems (IDS .Antivirus and malware والبرمجيات الضارة >- **نظام التعامل مع الحوادث (Incident Handling System)** بغض النظر عن وسائل الأمن التقنية المستخدمة، والمعايير والإجراءات الأمنية المتبعة، فانه يجب توفير نظام متكامل للتعامل مع المخاطر والحوادث والاعتداءات، ويُعد ذلك حاجة أساسية بالنسبة لمؤسسات الاعمال كما في حالة البنوك والمؤسسات المالية. تختلف مكونات نظام التعامل مع الحوادث من مؤسسة لأخرى تبعاً لعوامل متعددة، لكن بوجه عام، يتكون النظام في العادة من ستة مراحل: الإعداد التحري والتحليل الاحتواء الاستئصال التعافي ، والمتابعة.
