أمن الحاسوب في أقل من عشر دقائق – دليل للمبتدئين

294 مشاهدة
11 دقائق

يُعرّف مصطلح أمان الحاسوب بأنه التدابير والضوابط التي تضمن السرية والنزاهة وتوفر المعلومات التي تتم معالجتها وتخزينها بواسطة الحاسب. يتضمن ذلك الأجهزة والبرامج الثابتة وبيانات المعلومات والاتصالات. يقدم هذا التعريف ثلاثة ركائز رئيسة و هي السرية، النزاهة و التوافر. يناقش روبودين في هذا المقال مفهوم أمن الحاسوب Computer security. كما يشرح طرق قياس أثر فشل أي من تلك الركائز، إضافة لأهم التحديات في هذا المجال.

ركائز أمن الحاسوب

  • السرية: وتشمل مفهومين مترابطين وهما سرية البيانات والخصوصية. تضمن سرية البيانات عدم الكشف عن معلومات خاصة أو سرية وإتاحتها أو الكشف عنها للأفراد غير مصرح لهم. أما الخصوصية، فتضمن أن الأفراد يتحكمون في المعلومات المتعلقة بهم و تتحكم في كيفية جمعها وتخزينها ومن يقوم بذلك ولمن قد يتم الكشف عن المعلومات. وبالتالي فإن فقدان السرية هو الكشف غير المصرح به عن المعلومات.
  • النزاهة: يغطي هذا المصطلح مفهوم سلامة البيانات، أي عدم تغيير المعلومات والبرامج إلا بالطريقة المحددة والمصرح بها. وكذلك مفهوم سلامة النظام الضمان أنه يؤدي وظيفته المقصودة في بطريقة غير منقوصة. و خالية من النشاطات التي تسمح بالتلاعب بالنظام عمداً أو بشكل غير مقصود. ولذلك فإن فقدان النزاهة هو التعديل غير المصرح به أو تدمير المعلومات.
  • التوفر: التأكد من أن الأنظمة والمعلومات متاحة عند الحاجة إليها. مما يعني أن فقدان التوفر هو تعطيل الوصول إلى المعلومات و عدم القدرة على استخدامها أو استخدام النظام.

مفاهيم إضافية في أمن الحاسب

تشكل هذه المفاهيم الثلاثة ما يشار إليه غالباً باسم مثلث CIA. وهو يجسد الأهداف الأمنية الأساسية لكل من البيانات والمعلومات وخدمات الحوسبة عموماً. على الرغم من أن شيوع اعتبار هذا المثلث تعبيراً عن ركائز أمن المعلومات إلا أن هناك حاجة إلى مفاهيم إضافية ومنها:

  • الأصالة (Authenticity): الثقة في صحة الإرسال أو الرسالة أو منشئ الرسالة. يعني ذلك التحقق من أن المستخدمين هم -في الواقع- من يدعونه. وأن كل المدخلات التي تصل إلى النظام أتت من مصدر موثوق.
  • المساءلة (Accountability): المتطلبات والإجراءات التي تضمن إسناد النشاطات إلى الأشخاص -الكيانات- التي قاموا بها فعلاً. ويدعم مبدأ عدم الإنكار nonrepudiation و كشف التسلل ومنعه. كذلك فإن مفهوم المساءلة له أهمية خاصة في التحقيقات والإجراءات القانونية النتعلقة بالأحداث الأمنية. لأن الاختراقات الأمنية أمر واقع و لأنه لا يوجد أنظمة آمنة بشكل مطلق فيجب أن نكون قادرين على ربط الخرق الأمني بالطرف المسؤول عنه. لتحقيق ذلك، يجب أن تحتفظ الأنظمة بسجلات خاصة بالأنشطة المنفذة عليها والتي تسمح لمحترفي الطب الشرعي الرقمي بتتبع الخروقات الأمنية أو المساعدة فيها حل النزاعات.

انتهاك أمن الحاسوب – قياس التأثير

نستخدم ثلاثة مستويات لقياس تأثير انتهاك الأمن (أي فقدان السرية أو النزاهة أوالتوفر). تم تصنيف هذه المستويات كما يلي:

  • منخفض: من المتوقع أن يكون للخسارة تأثير سلبي محدود على المؤسسة، العمليات أو أصول المنظمة أو الأفراد. التأثير السلبي المحدود يعني على سبيل المثال، أن فقدان السرية أو النزاهة أو التوفر إلى يسبب انخفاض ملحوظ في قدرة المنظمة على أداء المهام من ناحية الجودة والوقت ولكنها تبقى قادرة على أداء وظائفها الأساسية. قد يؤدي ذلك إلى أضرار طفيفة في الأصول ، الأموال والأفراد (ليس ضرر يسبب خسارة أرواح أو أذى جسدي).
  • معتدل (Moderate): من المتوقع أن يكون للخسارة تأثير سلبي خطير على العمليات أو الأصول أو الأفراد. ويعني ذلك على سبيل المثال، أن الخسارة قد تتسبب في تدهور كبير في قدرات المنظمة ينعكس على المدة التي يتطلبها أداء الوظائف الأساسية، كما تقل فعالية الوظائف بشكل كبير. كذلك يؤدي الأمر إلى أضرار جسيمة للأصول وخسائر مالية كبيرة و/أو ضرر كبير للأفراد لا ينطوي على خسائر في الأرواح أو إصابات خطيرة تهدد الحياة.
  • عالي: من المتوقع أن يكون للخسارة تأثير سلبي شديد أو كارثي على العمليات التنظيمية أو الأصول أو الأفراد. التأثير السلبي الشديد أو الكارثي يعني، على سبيل المثال، أن الخسارة قد تسبب ضرراً شديداً، تدهور أو فقدان قدرة المنظمة على أداء واحدة أو أكثر من وظائفها الأساسية. كذلك أن تقع أضرار جسيمة على الأصول التنظيمية أو أن يؤدي الحدث إلى خسارة مالية كبيرة. والأهم مما سبق، تعرض الأفراد لمخاطر جسيمة تنطوي على خسائر في الأرواح أو إصابات خطيرة تهدد حياتهم.

أمثلة عملية عن أسس أمن الحاسوب

السرية – Confidentiality:

تعتبر معلومات درجات الطالب أحد أصول المعلومات التي تعتبر سريتها عالية. يجب أن تكون معلومات الصف متاحة
فقط للطلاب وأولياء أمورهم والموظفين الذين يحتاجون إلى المعلومات للقيام بعملهم. قد تتمتع معلومات تسجيل الطلاب بدرجة سرية معتدلة حيث يشاهدها عدد أكبر من الأشخاص يومياً. وقد يتم تصنيف معلومات، مثل قوائم الطلاب أو قوائم أعضاء هيئة التدريس أو الأقسام، ضمن مستوى سرية منخفض (أو في الواقع لا يوجد تصنيف). عادةً ما تكون هذه المعلومات متاحة مجاناً ومنشورة على موقع المدرسة.

النزاهة – Integrity:

يتم توضيح العديد من جوانب النزاهة من خلال مثال مريض موجود في المشفى ويعاني حساسية. يجب أن يكون الطبيب المعالج واثقاً من أن معلومات المريض المخزنة في قاعدة البيانات هي صحيحة ومحدثة (آنية). ولنفترض الأن أن موظفاً (مستخدماً) مخول بعرض وتحديث هذه المعلومات تعمد تزييف البيانات بما يلحق الضرر بالمستشفى. لذلك، يجب استعادة قاعدة البيانات إلى حالة موثوقة بسرعة، وينبغي أن يكون من الممكن تتبع الخطأ -التزييف- رجوعاً إلى المسؤول عن ذلك الخرق. في هذا المثال، نتوقع أن المشفى تطبق معايير عالية للنزاهة، لأن المعلومات الغير دقيقة قد تؤدي إلى ضرر جسيم أو وفاة مريض وتعريض المستشفى لمسؤولية جسيمة.

والأن لنناقش مثالاً على أحد أصول المعلومات المصنف ضمن مستوى معتدل من متطلبات النزاهة و هو موقع ويب يقدم منتدى للمستخدمين المسجلين لمناقشة موضوع معين. يمكن للمستخدم المسجل أو المتسلل تزوير بعض الإدخالات أو تشويه الموقع. إذا كان المنتدى موجود فقط من أجل إمتاع المستخدمين، ولا يدر سوى القليل من عائدات الإعلانات أو لا يدر أي عائدات على الإطلاق، حتى إذا استخدم لشيء مهم مثل البحث، فإن الضرر المحتمل ليس شديداً. بل قد يواجه مسؤول موقع الويب فقدان بعض البيانات وبالتالي يحتاج لوقت وموارد لاستعادتها.

ولاستكمال ما سبق، وتحديداً المتطلبات المنخفضة للنزاهة، فإن المثال الأقرب هو استطلاع مجهول عبر الانترنت. العديد من المواقع مثل المؤسسات الإخبارية، تقدم هذه الاستطلاعات لمستخدميها مع القليل من الضمانات المرتبطة بالنزاهة. وبالتالي، فإن عدم الدقة والطبيعة غير العلمية لمثل هذه الاستطلاعات أمر مفهوم جيداً.

التوفر -Availability:

كلما كان المكون أو الخدمة أكثر أهمية، كلما ارتفع مستوى التوفر المطلوب. لنفكر في نظام يوفر خدمات المصادقة للأنظمة والتطبيقات والأنظمة المهمة. سيؤدي انقطاع الخدمة إلى عدم قدرة العملاء على الوصول إلى أجهزتهم أو منع الموظفين من الوصول إلى الموارد التي يحتاجونها لأداء المهام الحاسمة. و قد يترجم ذلك إلى خسارة مالية كبيرة في فقدان إنتاجية الموظف وإمكاناته وخسارة العملاء.

ونعرض فيما يلي مثالاً على أحد الأصول التي يتم تصنيفها عادةً على أنها ذات متطلبات توفر معتدل وهو موقع ويب عام للجامعة يوفر معلومات عن البرامج الأكاديمية الحالية في الجامعة. بالنسبة للطلاب المحتملين فإن مثل هذا الموقع ليس عنصراً جوهرياً في الجامعة ولكن عدم توفره سيسبب بعض الإزعاج لهم، ربما سيضطرهم للسفر لزيارة مبنى الجامعة أو الدفع لمكاتب تعليمية وسيطة للحصول على المعلومات. أما التطبيق الذي يوفر البحث عبر دليل الهاتف على الانترنت فيمكن تصنيف مستوى التوفر المتوقع منه على أنه منخفض. إن الفقدان المؤقت لخدمات هذا التطبيق قد يكون مصدر إزعاج، إلا أن هناك طرق أخرى للوصول إلى المعلومات، مثل الدليل الورقي أو شركة الاتصالات.

تحديات أمن الحاسوب

أمن الحاسوب أمر رائع لكنه أيضاً يتسم بالتعقيد وذلك لجملة من الأسباب، منها:

  • أمان الحاسوب ليس بسيطاً كما قد يبدو للوهلة الأولى. كما رأينا فيما سبق، جرت العادة على إعطاء أسس أمن المعلومات مسميات من كلمة واحدة: السرية،المصادقة ،النزاهة والتوفر. لكن الآليات المستخدمة لتنفيذ تلك المفاهيم يمكن أن تكون معقدة للغاية.
  • عند تطوير آلية أو خوارزمية أمنية معينة، يجب على المرء دائماً أخذ الهجمات المحتملة على تلك الميزات الأمنية بعين الاعتبار. في كثير من الحالات، تكون الهجمات ناجحة لأنه تم تصميمها من خلال النظر إلى المشكلة بطريقة مبتكرة وبالتالي استغلال نقطة ضعف غير متوقعة في تلك الآلية.
  • غالباً ما تكون الإجراءات المستخدمة لتقديم خدمات معينة معقدة وغير واضحة. فقط عندما يتم النظر في الجوانب المختلفة للتهديد، تصبح الآليات الأمنية المعقدة منطقية وقابلة للتطبيق.
  • بمجرد تصميم آليات أمنية مختلفة، فمن الضروري اتخاذ القرار أين يمكن استخدامها. ويشمل ذلك مثلاً، نوع تجهيزات الأمن الموجودة في الشبكة ، وكذلك في أي طبقة أو طبقات من البنية مثل TCP/IP ينبغي تطبيق الحماية.
  • تتضمن آليات الأمان عادةً أكثر من خوارزمية أو بروتوكول. كما أنها تتطلب أن يمتلك المشاركون بعض المعلومات السرية (على سبيل المثال، مفتاح التشفير)، مما يثير تساؤلات حول إنشاء وتوزيع وحماية تلك المعلومات.

التصميم الآمن

  • إن أمن الحاسوب يمثل معركة ذكاء بين المتسللين الباحثين عن الثغرات، والمصمم أو المسؤول عن الحماية الذي يحاول إغلاقها. الميزة التي يتمتع بها المهاجم أنه يحتاج فقط إلى العثور على نقطة ضعف واحدة، في حين أنه يجب على المصمم العثور على جميع نقاط الضعف والقضاء عليها لتحقيق الأمان الأقرب للمثالي.
  • هناك ميل غير مفهوم لدى المستخدمين ومدراء النظام لعدم الاستثمار في الأمن ​​إلى اللحظة التي يحدث فيها فشل أمني. وبالنسبة لكثيرين فإن الأمن فكرة لاحقة ويتم دمجه في النظام بعد اكتمال التصميم بدل اعتباره جزءاً لا يتجزأ من عملية التصميم تلك.
  • تطلب الأمن مراقبة منتظمة ومستمرة، لكن تطبيق ذلك يعتبر صعباً في ظل ضغط العمل وتسارع التحول الرقمي. كما يقع أصحاب القرار أحياناً في مغالطة أن الأمن القوي يمثل عائقاً أمام التشغيل الفعال وسهولة استخدام نظم المعلومات.

كلمة أخيرة

في عالم أمن الحاسوب، لاينتهي أبداً السباق بين المتسللين ومجرمي الانترنت من جهة، والمدافعين السيبرانيين من جهة أخرى. نسعى دائماً لإيجاد إجراء مضاد فعال للتعامل مع الهجمات الأمنية ويساعدنا في ذلك قياس أثرها على السرية، النزاهة والتوفر.

شارك المقال
اضف تعليق

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

الأكثر قراءة

أمن قواعد البيانات
أمن قواعد البيانات – خطوات بسيطة نحو حماية أفضل
أمن انترنت الاشياء
أمن انترنت الأشياء IOT الاسباب والحلول
تقييم المخاطر
كيفية تقييم مخاطر الأمن السيبراني في خمس خطوات
مبادئ أمن المعلومات
مبادئ أمن المعلومات – العناصر الخمسة في AAA
هجوم حقن قواعد البيانات SQL
هجوم حقن قواعد بيانات SQL – دليل سريع للحماية
الهجمات على الشبكات اللاسلكية
التشفير في الشبكات اللاسلكية – طرق الحماية و حدودها
المرونة الإلكترونية للحماية من المخاطر السيبرانية
نهج عملي لإدارة المخاطر والمرونة الإلكترونية
مراقبة الشبكة و تحليل البيانات
مراقبة الشبكة – أنواعها، أدواتها و أهميتها في عالم الأعمال