أمن المعلومات

أمن المعلومات

 

 

الكاتب: أيمن عبدالسلام
المراجع: خالد الرويلي
ماجد الربيعان 
المحرر: عبدالله الجابر

 

 

 

 

 

 

مقدمة:

•    مصطلح " أمن المعلومات " هو تعبير واسع يغطى مجموعة (كبيرة – مرتبة) من النشاطات في شركتك. وهو يتضمن كل (المنتجات – العمليات) التي تتم بهدف (منع وصول الأفراد الغير مصرح لهم – منع تعديل البيانات – منع حذف المعلومات – حماية المصادر وذلك بعرقلة الهجمات التي) . 
•    من منظور محترف. فإنك تتعامل مع قضايا أكثر بكثير من مجرد حماية أنظمة الحاسب من الفيروسات . فأنت أيضاً تحمى أصول الشركة الثمينة من الأفراد الذين قد يقومون بإساءة استعمال تلك الأصول ( بعضهم من داخل شركتك ويكون ساخط على الوضع الحالى – معظمهم من الخارج يحاولون الاقتحام ) . 
•    لسوء الحظ أن هذا العمل أصبح غير سهل. حيث أن نقاط الضعف – الاختراق فى أغلب الأنظمة التجارية أصبحت (معروفة – موثقة – تصبح معروفة أكثر كل يوم) ... كما يمكن لخصومك أن يستعملوا آليات البحث لإيجاد نقاط الضعف في أي (منتج – نظام تشغيل) ... وإذا أردت أن تتعلم كيف يمكن للمخترقين أن يستغلوا نقاط الضعف الموجودة فى نظامك يمكنك أن تشترى كتاب عن الـ Computer Hacking  - الاشتراك فى Newsgroup  على الإنترنت – الدخول إلى المواقع التى تعرض التفاصيل الواضحة .
•    يناقش هذا الدرس التفاصيل الأكثر سمات والتى يجب أن تؤخذ في الاعتبار لتكون لديك فرصة معقولة فى ضمان أمن (معلوماتك – شبكتك – حاسباتك) ... وهنا نريد أن نؤكد على نقطتين (تأكد من أننا نتحدث عن أعمال معقولة ويمكن القيام بها – ليس هناك هذا الشيء الكامل المسمى بالشبكات الآمنة) .
•    واحدة من أول الأشياء التى يجب أن تطورها كمدير لأمن المعلومات هي "أن تكون قليل الذعر" ... ومن المهم أن نذكرك بأنك تتعامل مع كلا من (نقاط الضعف الإنسانية – نقاط ضعف النظام) . وهما ليسوا متشابهتان. ولكن كلاهما يؤثر على المنظمة بشكل ملحوظ . 
•    يتضمن أمن المعلومات ثلاثة مناطق أساسية هي (خطة فعالة لأمن الحاسبات – عملية تقييم المخاطر – إنشاء استراتيجيات وطرق لتنفيذ تلك الخطة) . ويركز هذا الدرس على ثلاثة مناطق هى الـ (Physical Security – Operational Security – Management & Policies ) ... كل تلك المناطق حيوية لضمان أمن المعلومات فى منظمتك . حيث يمكنك أن تفكر فى أمن المعلومات مثل كرسى له ثلاثة أرجل . فإذا انكسر أى واحد من سيقان مقعدك . فسوف تقع وتؤذى نفسك ... فيجب عليك مخاطبة كل وجوه قاضيا العمل التى تتعلق بأمن الحاسبات .
•    الشكل التالى يعرض لك كيف تتفاعل المكونات الثلاثة لأمن الحاسبات كى تزودك ببيئة آمنة إلى حد معقول . 

 

شكل رقم 1: المكونات الأساسية لأمن المعلومات.

•    جزء من عملك أن (تقدم توصيات للإدارة حول الـ  الاحتياجات و أوجه النقص  - اتخاذ الإجراءات التى تقلل من الأخطار التى تتعرض لها معلوماتك وشركتك – تنفيذ تلك الإجراءات وفرضها على الشركة – الحفاظ على أمن الأنظمة التى تعمل عليها ) ... و هذه المهمة ليست صغيرة . بل يجب عليك التعامل مع جميع العناصر بشكل جيد كى تضمن فرصة معقولة فى الحفاظ على أمن منظمتك  .

 

أولاً : تأمين البيئة الطبيعية (Physical Environment)

 

كيف يتم تأمين البيئة الطبيعية:


•    يتضمن الـ Physical Security   " حماية (الأصول – المعلومات) من  الوصول الطبيعي إليها بواسطة أشخاص غير مصرح لهم بهذا " ...  وبمعنى آخر " حماية (الأصول – المعلومات) من أن (ترى – تلمس – تسرق) من قبل الأشخاص الغير مصرح لهم بهذا ... وهؤلاء الأشخاص قد يكونون (فنيين خدمات – بوابون – زبائن – باعة – الموظفين) . حيث يمكن أن قوموا بـ (سرقة الأجهزة – إتلافها – أخذ الوثائق من المكاتب – أخذ الوثائق من علب القمامة – دواليب الملفات) ... وقد يكون دافعهم لهذا (بسيط مثل كمعاقبة شخص داخل الشركة – دافع الطمع – دافع سرقة أسرارك التجارية وبيعها للمنافسين كفعل الثأر) . 
•    يعتبر تنفيذ الـ Physical Security  سهل نسبياً ... إذ يمكنك أن تؤمن الوسائل التى من شأنها السيطرة على الوصول الفعلى إلى المكتب . مثل (تقطيع الوثائق الغير مطلوبة – تركيب الأنظمة الأمنية – تحديد الوصول إلى الأماكن الحساسة من العمل) ... كما توفر أكثر عمارات المكاتب (محيط – ممرات) آمنة في غير ساعات العمل ... كما تقوم العديد من إدارات المبانى المكتبية بـ ( توفير دوريات أمن – واستخدام طرق متعددة للسيطرة على حركة الدخول إلى المبانى مثل استعمال المرور الإليكترونى عن طريق الكروت أو كلمات المرور)... والوضع النموذجى هى أن يتولى الـ facility managers معالجة هذه الترتيبات فهذه مسؤولياتهم فى التعامل مع الآمن الداخلى ... ولكن ليس من مسؤولياتهم التعامل مع الأمن الداخلي فيما يتعلق بالـ (سجلات الـ IT  - أنظمة الحاسب – أوراق إدارة الـ IT) .... فهذه مسؤوليتك فى أكثر الحالات . 
•    المكون الأول فى الحفاظ على الـ Physical Security  هو جعل الموقع أقل إغراء كهدف ... فإذا كان المكتب أو المبنى مفتوح كل الوقت فهذا يجعل عملية الدخول إلى الشركة أمر سهل . فيجب أن تمنع الناس من رؤية شركتك حتى لا يغريهم هذا على أن يصنفوها كهدف ... كذلك فإن ( وضع أقفال على الأبواب – تركيب أنظمة جرس إنذار – تركيب أنظمة مراقبة ) فهذا من شأنه أن يجعل شركتك كمبنى ملموس أقل كهدف مرغوب .
•    المكون الثانى فى الحفاظ على الـ Physical Security  هو اكتشاف أى محاولة للـ ( الاختراق – السرقة) .. كما يجب عليك أن تعرف (المكان الذى تم اختراقه – ما الذى تمت سرقته – كم الخسارة التي حدثت) ... كما أن استخدام أشرطة الفيديو السلبية تعتبر إحدى الطرق الجيدة فى الحصول على هذه المعلومات ... وهناك نقطة أخرى رادعة وهى أن تعلن بوضوح بأنك ستحاكم أى شخص يتم ضبطه فى عملية سرقة إلى أقصى حد للقانون .
•    المكون الثالث فى الحفاظ على الـ Physical Security  هو التعافى من عملية السرقة  وتعويض الخسارة ومواصلة العمل الطبيعى ... فإذا كانت غرفة السيرفرات قد تم تحطيمها فى ( حريق – فيضان --- ) فكم من الوقت يلزمك لتستطيع أن تعد شركتك إلى معدل الإنتاج الكامل من الخدمة . 
•    التعافى من الكارثة أو السرقة التى حدثت يتضمن الكثير من ( التخطيط – الفكر – الاختبار ) . فماذا سيحدث إذا كانت الملفات التى تحتوى على ( الحسابات المصرفية – أوامر الشراء – بيانات العملاء ) قد تحولت إلى كومة رماد فى الحريق الذى حدث فى شركتك ؟ الوضع المثالى هو أن يكون لديك نسخة احتياطية من كل الملفات الهامة موجودة فى موقع آخر مؤمن وتستطيع الحصول عليها بطريقة سريعة وتعمل باسترجاع كل البيانات مرة أخرى 
 

ثانياً : فحص البيئة التشغيلية ( operational environment )

 

ما هى عمليات الأمان :

•    تركز عمليات الأمان على كيفية تنفيذ عمليات الأمان وطرق تنفيذها على بيئة الـ IT  والتى تشمل (أجهزة الكمبيوتر – الشبكات – أنظمة الاتصالات – إدارة المعلومات) .. وهى تغطى منطقة كبيرة ... وأنت كشخص محترف فى أمن المعلومات ستعطى هذه العمليات أولوياتك أكثر من أى منطقة عمل أخرى .
•    تتضمن موضوعات عمليات الأمان ( السيطرة على الدخول – التحقق من هوية الأشخاص – التأمين المباشر بعد تركيب الشبكة بالكامل – العمليات اليومية للشبكة – الارتباط مع الشبكات الأخرى – خطط الـ backup – خطط الـ recovery ) ... باختصار فإن الـ operational security تتضمن كل شيء لا يرتبط بـ ( التصميم - physical security ) للشبكة . فهى تركز على الـ (topology and connections ) .
•    القضايا التى تخاطب الـ operational capacity ترى فى المقدمة بشكل ساحق ... كما أنك ستخاطب المناطق المتعلقة بـ ( نقاط الضعف فى الأنظمة التى تستخدمها  - ضعف سياسات الأمان أو عدم ملاءمتها ) ... فمثلاً قد تقوم بتطبيق سياسة شاملة لتغيير كلمة السر كل 30 يوم . ولكن هذه السياسة يمكن ألا تطبق بسبب ( أن النظام لا يتطلب rotation كلمة المرور – النظام لا يمكنه تغيير كلمة السر – أن يقوم المستخدم بإعادة إدخال نفس كلمة السر مرة أخرى ) ... فمن منظور الـ operational فإن الـ System  الذى قمت أنت بوضعه بصفتك خبير فى أنظمة أمن المعلومات سيوصف بأنه "ليس لديه القابلية لحماية كلمات السر الضعيفة" ...  وليس بيدك شيء لتقوم به إلا ( تركيب نظام security logon أقوى – استبدال نظام التشغيل الحالى ) ... وكلا الحلين قد يكلف الشركة (وقت – جهد – تكلفة ) أكبر . مما قد يسبب إحجام المنظمة عن تطبيق مقترحاتك .
•    خذ فى الاعتبار أيضاً حقيقة أن أكثر الشركات تستعمل البرامج التى طورت بمعرفة طرف ثالث لكى ( توفر التكلفة – تلبى احتياجات التوافق ) ... وهذه الـ Package  قد تحتاج نظام تشغيل معين . فإذا كان نظام التشغيل هذا به مشاكل هامة مع الأمان . فإن واجباتك ستكون عظيمة . لأنك ستكون مسئول عن تغير الأمن لهذه البيئة . فعلى سبيل المثال إذا كانت your secure corporate network متصلة بالإنترنت . فإنها قد تصبح خاضعة للعديد من نقاط الضعف المحتملة ... وقد يمكنك تركيب (hardware – software ) لتحسين مستوى الأمان ... ولكن الإدارة قد ترى أن هذا الإجراء يكلف كثيراً للتطبيق .
•    ثانية نكرر لك أنه operationally من المحتمل أنه سيكون لديك القليل لتفعله ... ومعظم هذا الكتاب سيناقش (التقنيات – الأدوات ) التى تستعمل للمساعدة فى ضمان الـ operational security .

 

 

 

ثالثاً : العمل مع السياسات والإدارة (Working with (Management & Policies

 

مقدمة:

•    (الإدارة – السياسات) تزودنا بالـ ( القواعد الموجهة – الإجراءات ) لتطبيق الـ security environment .. وكى تكون السياسات فعالة يجب أن يكون لديها الدعم الكامل من " فريق إدارة المنظمة " . ففى غياب الدعم ستفشل أفضل السياسات .
•    محترفو أمن المعلومات يمكنهم أن يوصوا بسياسات . لكنهم يحتاجون دعم الإدارة لتطبيقها . ففى ظل عدم وجود هذا الدعم ستكون كل من ( فترة خدمة مسئول الأمن – أمان المعلومات نفسها ) لها فترة حياة قصيرة .
•    القضايا التى يتم اتخاذ قرارات بشأنها على مستوى ( الإدارة – السياسات ) تكون قضايا هامة وغالباً من تؤثر فى الشركة بالكامل . ويمكن أن تعظم من مستويات ( إنتاج الشركة – الروح المعنوية – أخلاقية الشركة ) .. وهناك أيضاً السياسات المتعلقة بأمن المعلومات . فتلك القضايا يجب أن تعالج بشكل مختلف عن سياسات ( عطلة المنظمة – الأجازات المرضية – إنهاء الخدمة ) . فكثير يمكنك إخبارك عن عدد أيام الأجازات خلال العام . ولكن لن تد الكثيرين مما يستطيعون إخبارك عن ( كيفية استعمال المعلومات – سياسات الأمان ) للشركة . كما أن عدد من السياسات الرئيسية تحتاج إلى تأمين الشبكة .
•    سنشرح فى الأسطر التالية قائمة لبعض المناطق التى تتطلب فكر وتخطيط .

 

 

أولاً : السياسات الإدارية (  Administrative Policies ):

•    تعرض السياسات الإدارية ( التعليمات – توقعات )  الـ (  upgrades – المراقبة – backups – audits ) . تلك السياسات يستعملها الـ (Systems administrators – فريق الصيانة ) لتأدية العمل .
•    يجب أن تصاغ تلك السياسات بشكل واضح ودقيق . وأن تحدد بدقة ( متى تحدث الـ Upgrade – متى ولماذا تحدث المراقبة – كم عدد الـ logs التى يتم مراجعتها ) .
•    يجب أن تحدد السياسات ( ليس عن طريق الاسم ولكن عن طريق المسمى الوظيفى ) من المسئول عن اتخاذ القرارات المتعلقة بتلك الأمور ... كما يفضل أن تشير إلى ( الشخص الذى يكتب تلك السياسات – ومن الذى سيقوم بالتوقيع عليها – تاريخ التفويض له بهذا ) .
•    يجب أن تكون السياسات محددة كفاية وبشكل يساعد الـ administrative staff على أن يحتفظوا بتركيزهم على تشغيل ( الأنظمة – الشبكات ) ... وفى نفس الوقت فيجب أن تكون مرنة كفاية للسماح لـ ( الحالات الطارئة – الظروف الغير متوقعة ) ... ويجب العمل على تحقيق تلك المعادلة بين ( التحديد – المرونة ) . فوجود فجوة شاسعة بين الاثنين يجعل السياسات (غير مؤثرة – غير إلزامية عملياً ) .

 

 

ثانياً : متطلبات تصميم البرامج ( Software Design ) :

•    متطلبات التصميم تلخص مدى الكفاءة التى يجب أن يكون عليها الـ System  . هذه المتطلبات تكون جزء من "التصميم الأولى" . وتؤثر كثيراً على الـ solutions التى يمكن أن تستخدمها .
•    العديد من بائعى البرامج سيردون على عطاءك ويخبروك بأن برامجهم آمنة ... لذا يمكنك استخدام احتياجاتك ليقوم البائعين بتوضيح الـ solutions التى يتقدمون بها . وغالباً ما تكون فى شكل Check List  .
•    هذه السياسة يجب أن تكون محددة جداً بخصوص الـ security requirements .
•    إذا كان تصميمك لا يتضمن الـ security كعنصر مكمل فى التطبيق . يمكنك أن تراهن أن شبكتك بها نقاط ضعف ... فمتطلبات التصميم يجب النظر إليها كهدف مؤثر . 
•    متطلبات اليوم يجب أن تستوعب احتياجاتك خلال سنتين عندما تقوم بتعديل بيئة الشبكة بشكل ملحوظ .

 

 

 

ثالثاً : خطة التعافى بعد الكارثة (Disaster Recovery ) :

•    ويقصد بها " خطة التغلب على أثار الكارثة " . ويرمز لها بالرمز (DRPs) ... وهى واحدة من أكبر الأشياء التى تسبب صداع فى رأس محترفى الـ IT ... فهى تكلف كثيراً لـ ( تطوير نظام الـ DRP – اختباره ) . كما أنه يجب أن يحتفظ به جاهز Current .
•    الكثير من الشركات الكبيرة تستثمر مبالغ ضخمة فى الـ (DRP) . هذا الاستثمار يتضمن (backup – or - hot sites .
•    الـ Hot site هو " موقع بديل يتم تصميمه لتزويد خدمه فورية فى حالة فشل الـ (system -  network ) . هذا الموقع يكون مكلف جداً وغالباً ما يصعب إعطاء مبررات لتلك التكلفة ... وهذا الموضوع سيتم شرحه بالتفصيل – إن شاء الله – فى الفصل الثامن من هذا الكتاب .
•    نظام الـ (DRP) الجيد يجب أن يأخذ فى الاعتبار كل أنواع ( الحوادث  - فشل الأنظمة ) التى يمكن أن تحدث . فق يكون بسيط مثل توقف سيرفر وحيد لشركة ... أو معقد مثل شركة دولية محتاج إلى أن تتعافى من أثار كارثة حلت بها .

 

 

 

رابعاً : سياسات المعلومات (Information Policies) :

•    سياسات المعلومات هى " تلك السياسات التى تشير إلى الجوانب المختلفة لأمن المعلومات " . وهى تتضمن سياسات ( الوصول إلى – التصنيف – التأشير عليها – التخزين – الإرسال – تدمير ) المعلومات الحساسة .
•    إن تطوير الـ information policies هو عملية هامة جداً وحرجة لعنصر الأمان . حيث أن البيانات لها مستويات مختلفة فى عملية التصنيف . وهى غالباً ما تشبه التصنيف التالى :
o    عام (Public ) ... وهى المعلومات التى تكون متاحة لجمهور المتعاملين . مثل المعلومات المنشورة على الـ Web  .
o    داخلى (Internal ) ... المعلومات الموجودة على الشبكة الداخلية للشركة . 
o    خاصة (Private ) ... السجلات الشخصية – بيانات العملاء – وهكذا 
o    سرية (Confidential ) ... مثل معلومات الـ Public Key Infrastructure (PKI) – أى معلومات أخرى تكون مقصورة على أشخاص معينين يجب أن يعرفوها .
•    يجب عليك عدم ترك شيء للـ ( الصدفة – الحدس ) عند كتابة سياسات المعلومات . بل يجب أن تكون تلك السياسات شاملة .

 

 

 

خامساً : سياسات الأمان ( Security Policies ) :

•    يمكن تعريف سياسات الأمان بأنها تلك السياسات التى تحدد : 
o     الـ configuration الخاص بالـ System والشبكة .متضمنة ( تركيب الأجهزة والبرامج – الاتصال بالشبكة ) .
o    تعريف سياسات الـ  (Computer room – Data Center ) . بالإضافة إلى كيفية حدوث (التعرف على – التوثيق ) . (I & A) .
o    تحديد الـ (access control -  audits - reports - network connectivity ) .
o    عادة ما تقوم بتغطية الـ (Encryption  - antivirus software ) .
o    تؤسس إجراءات وطرق استخدام كل من ( اختيار كلمة المرور – انتهاء الحساب – فشل محاولات الاتصال – المناطق المرتبطة الأخرى ) .
•    بالرغم من أن كل سياسة أمان يقصد بها غرض معين . إلا أنه قد يكون هناك تداخل فى العديد من السياسات المختلفة .

 

 

 

سادساً : سياسات الاستخدام (  Usage Policies ) :

•    تقوم سياسات الاستعمال بتغطية " كيفية استخدام (المعلومات – المصادر)" ... و ستحتاج إلى أن تشرح للمستخدمين (كيفية استخدام مصادر الشركة – لأى غرض يتم استخدامها) ... فهذه السياسات تفرض قانون حول استخدام أجهزة الكمبيوتر .
•     وهى تتضمن تعبيرات بخصوص (السرية – الملكية – نتائج الأفعال الغير صحيحة) .
•    يجب لتلك السياسات أن تحدد وبشكل واضح توقعات الاستعمال بخصوص ( الإنترنت – الوصول عن بعد – البريد الإليكترونى) ... فمثلاً تشير إلى أن استخدام الإنترنت لأغراض العمل وليست لأغراض شخصية ---
•    تخاطب تلك السياسات المستخدمين وتعرفهم ( كيفية معالجة الحوادث – بمن يتصلون إذا وقعت شيء مشبوه).
•    يجب أن توضح تلك السياسة للمستخدمين بأن هناك مراقبة . ويجب موافقتهم عليها.
•    يجب أن تذكر نتائج سوء الاستعمال بشكل حاد وقاطع .

 


 

سابعاً : سياسات إدارة المستخدم ( User Management Policies ) :

•    يمكن تعريف سياسات إدارة المستخدمين بأنها " تلك السياسات التى تحدد الأعمال المختلفة التى يجب أن تحدث فى السياق الطبيعى لأنشطة الموظف " .
•    هذه السياسات يجب أن تخاطب المستخدمين الجدد الذين يتم إضافتهم على النظام . وهذه السياسات تشمل (التدريب – التوجيه – تريب الأجهزة – الـ Configuration  ) .
•    انتقال الموظفين شيء طبيعى داخل الشركة . فقد يتم تحويل الموظف إلى وظيفة جديدة . و ( يحصل على امتيازات جديدة – وتكون له صلاحيات مختلفة ) ... لذا فعند انتقال موظف لمكان جديد . يجب تأسيس access rights جديدة تسمح له بمباشرة عمله ... فإذا لم تقم بإلغاء الامتيازات القديمة . فقط يستخدمها فى الوصول إلى بيانات أكثر من التى يحتاجها ... ومع مرور الوقت فقط يؤدى هذا إلى حالة تسمى (privilege creep ) أى بمعنى " لص الصلاحيات " .
•    بالصدفة قد يكتسب المستخدم صلاحيات للوصول إلى الـ System  .
•    المستخدمين الذين أنهيت خدماتهم يشكلون خطر على أمن المعلومات ... ففى بعض الحالات قد يقوم - المستخدم الذى أنهيت خدماته - بالوصول إلى بيانات أصبح من غير المصرح له الوصول إليها مثل ( قوائم العملاء – الحسابات المصرفية – أى معلومات حساسة أخرى ) ... بل يجب عند مغادرة أى موظف للشركة أن يتم ( حذف – تعطيل ) حسابه . وأن لا يسمح له بالوصول إلى أى بيانات ... ستكون مندهش إذا علمت أنه فى أغلب الأحيان  أن الـ systems administrators لا يعلمون شيئاً حول التغيرات التى تحدث للموظفين . 
•    يجب أن تعمل الـ user management policies على أن تصل ملخصات واضحة لقسم الـ IT   بخصوص التغيرات التى تحدث فى مواقع الموظفين في نفس وقت حدوثها . وخصوصاً فى حالة مغادرة موظف للشركة.