عناصر أمن المعلومات-مثلث السرية والسلامة والتوافر

1.5k مشاهدة
12 دقائق

تعتبر السرية والسلامة والتوافر عناصر أمن المعلومات الأساسية وهي العناصر المتأصلة والضرورية عند نشر أي حلول حماية وأمان أو عند تطبيق أي سياسة حماية. تحدد هذه العناصرالمعالم الأساسية للبيئة الآمنة. وتحدد أيضاً أهداف وغايات مصممي السياسات والنظام. إن فهم هذه العناصر بالعمق هو أمر ضروري للمهتمين بمجال الحماية وأمن المعلومات.

سنتعرف على العناصر الأساسية لأمن المعلومات والمواضيع المتعلقة بها لإدارة الحماية للمؤسسات والشركات الكبيرة والصغيرة.
يجب أن تبدأ الحماية من مكان ما وهذا المكان غالباً ما يكون عناصر أمن المعلومات الأساسية “السرية – السلامة – التوافر”.

ينظر لهذه العناصر على أنها الأهداف والغايات الأساسية للحماية ويشار إليها بمصطلح مثلث CIA كاختصار لأول حرف من كل عنصر.
عادةً ما يتم تقييم التحكم بالحماية من خلال مدى تطبيق العناصر الأساسية في أمن المعلومات. وبشكل عام يجب أن يعالج أي نظام أو حل أمني بشكل مناسب كل هذه المبادئ. كما أن عملية تقييم نقاط الضعف والثغرات وحتى التهديدات والمخاطر تتم بناء على التهديد او التأثير على واحد أو أكثر من عناصر أمن المعلومات. وبالتالي يجب التعرف على هذه العناصر واستخدامها بالشكل الأمثل للحكم على كل ما يتعلق بالحماية وأمن المعلومات.

تعتبر عناصر أمن المعلومات هي المبادئ الأكثر أهمية في الحماية وتعتمد أهمية كل عنصر بحسب أهدف أو متطلبات الحماية الخاصة بكل شركة أو منظمة أو بمدى التهديدات التي تستهدف هذه الشركة أو المنظمة.

السرية Confidentiality- أهم عناصر أمن المعلومات:

العنصر الأول من مثلث أمن المعلومات CIA Triad هو السرية. ويمكن تعريفها على أنها مجموعة التدابير المستخدمة لضمان حماية سرية البيانات أو الموارد. والهدف منها منع أو التقليل من الوصول الغير مصرح به إلى البيانات.
تركز السرية على التدابير الأمنية لضمان عدم وجود أي أحد قادرعلى قراءة المعلومات الغير مخصصة له. أوتلك التي لا يملك إذن أو تصريح يُسمح له من خلاله بذلك.
السرية هي وسيلة للتحكم بالسماح بوصول المستخدمين للمعلومات والتفاعل معها. كما أنها تضمن أن يتم السماح فقط بالقيام بذلك للمستخدمين المصرح لهم ومنع الغير مصرح لهم من القيام بذلك.
و يمكن تحقيق السرية من خلال مجموعة واسعة من الضوابط الأمنية. من هذه الضوابط على سبيل المثال لا الحصر: التشفير والتحكم بالوصول وإخفاء المعلومات.
إن التهديد المرتبط بالسرية هو كشف المعلومات والوصول الغيرمصرح به لها. وبشكل عام للحفاظ على سرية البيانات عبر الشبكة يجب أن تكون المعلومات محمية ضد الوصول الغير مصرح به أثناء الاستخدام أو أثناء التخزين أو النقل أو المعالجة. إضافة لتحديد الضوابط المطلوبة لكل حالة.

الهجمات التي تركز على كسر أو اختراق السرية:

تشمل هذه الهجمات التنصت وإلتقاط حزم البيانات Sniffing وسرقة كلمات السر وهجمات الهندسة الاجتماعية. بالإضافة لهجمات رفع مستوى الصلاحيات أو تجاوز مستوى الصلاحيات escalation of privileges والعديد من الهجمات الأخرى.
لا يقتصر انتهاك السرية على الهجمات. فالعديد من حالات الكشف عن الملفات الحساسة والمعلومات السرية تتم نتيجة لخطأ بشري أو عدم الكفاءة.

الأحداث والأمور الأخرى التي تؤثر على السرية:

تشمل هذه الحوادث الفشل في تطبيق التشفيروالفشل في تطبيق المصادقة بشكل صحيح. كما تشمل تنفيذ الأكواد البرمجية الضارة التي تسمح بفتح أبواب خلفية أو حتى الرسائل التي يتم إرسالها إلى جهات خاطئة. و يمكن أن يحدث هذا الأمربسبب أخطاء في السياسة الأمنية او عناصر التحكم المطبقة والتي تم إعدادها أو تطبيقها بشكل خاطئ او غير مناسب.
تساعد العديد من الأمور والإجراءات في حماية وضمان السرية ضد التهديدات المحتملة. وتشمل هذه الأمور: التشفير ومنع إلتقاط حركة البيانات وإجراءات المصادقة الصارمة وفلترة البيانات والتدريب للموظفين والمستخدمين.
وتشمل الأمور والمفاهيم الأخرى الخاصة بالسرية على أهمية وحساسية المعلومات. بشير ذلك إلى مستوى الأهمية الخاصة بالمعلومات وتأثيرها أو حجم الضرر الذي سيتسبب به كشف هذه المعلومات.

من عناصر أمن المعلومات-السلامة أو النزاهة Integrity:

وهي العنصر الثاني من مثلث أمن المعلومات CIA Triad. ويمكن تعريفها على أنها موثوقية البيانات وصحتها وهي تضمن عدم التعديل الغير مصرح به على البيانات لتبقى صحيحة وغير معدلة.
يتم تحقيق السلامة من خلال الحماية من الأنشطة الغير مصرح بها للتلاعب بالبيانات. ومن هذه الأنشطة البرمجيات الخبيثة وكذلك الأخطاء التي يرتكبها المستخدمين المصرح له (كالأخطاء المقصودة أو الغير مقصودة).
للحفاظ على السلامة يجب أن نحمي البيانات من أضرار أي تعديل أو تلاعب يتم بشكل مقصود أو غير مقصود من قبل الأشخاص المصرح لهم بالوصول للبيانات أو الغير مصرح لهم بذلك. وهذا الأمر يجب ان يشمل كل الحالات أثناء الحفظ أو النقل.

يمكن الحفاظ على السلامة من خلال الأمور التالية:

  • منع الجهات الغير مصرح لها من أجراء تعديلات على البيانات
  • تقييد الجهات المصرح لها بالوصول للبيانات ومنعها من إجراء تعديلات غير مسموح بها إما بشكل مقصود أو غيرمقصود عن طريق الأخطاء أو السهو.
  • الحفاظ على السلامة الداخلية والخارجية للبيانات.

للحفاظ على سلامة النظام يجب أن تكون الضوابط مطبقة في مكانها الصحيح. و ذلك لتقييد الوصول إلى البيانات والموارد. بالإضافة لذلك يجب تتبع النشاطات وتسجيلها للتأكد من ان المستخدمين المصرح لهم فقط هم القادرون على الوصول إلى الموارد الخاصة بهم فقط.
أما الهجمات التي تؤثر على عنصرالسلامة Integrity فيمكن أن تكون الفيروسات والأبواب الخفية أو الوصول الغير مصرح به أو أخطاء الترميز أو التعديل المقصود والعديد من الهجمات الأخرى.
وكما هو الأمر في العنصر الأول “السرية” فلا تقتصر انتهاكات السلامة على الهجمات. لكنها يمكن ان تكون خطأ بشري يؤدي لحذف البيانات أو التعديل عليها أو إدخال البيانات بشكل خاطئ أو سياسة أمنية أو ضوابط أمنية غير صحيحة.

الأمور والإجراءات التي تضمن تطبيق السلامة:

يمكن أن نضمن تطبيق العنصر الثاني من عناصر أمن المعلومات “السلامة” ضد التهديدات المختلفة من خلال العديد من الأمور. وتشمل هذه الأمور: التحكم الصارم بالوصول وتطبيق المصادقة. إضافة لاستخدام أنظمة منع الاختراق IPS وأنظمة كشف الاختراق IDS واستخدام الهاش hash للقيام بعمليات التحقق.
الامر المهم الذي يجب أن ندركه بأن السلامة (integrity) تعتمد على السرية بالإضافة لمفاهيم وأمور أخرى وهي:

  • الصواب accuracy والدقة في التعامل مع البيانات.
  • الصدق: أن تكون المعلومات أو البيانات انعكاساً حقيقياً للواقع
  • الصلاحية: السلامة من الناحية الواقعية والمنطقية
  • عدم الانكارNonrepudiation: عدم القدرة على انكار القيام بعمل او نشاط معين والتحقق من كل حدث تم.
  • المساءلة والمسؤولية: المسؤولية والالتزام تجاه الإجراءات والأفعال والنتائج
  • الشمولية: التضمن الكامل لكل العناصر المطلوبة

بشكل سريع يمكن شرح عدم الانكار Nonrepudiation بأنه عدم القدرة على التنصل من القيام بعمل أو حدث معين. لأن هذا الأمر يمكن تحديده من خلال تحديد الهوية والمصادقة والترخيص المساءلة والتدقيق. ويمكن اثبات هذا الأمر من خلال استخدام شهادات رقمية ومعرفات الجلسة وسجلات الاحداث والعديد من الأمور الأخرى الخاصة بآليات التحكم والوصول.

التوافر أو إمكانية الوصول Availability:

وهي العنصر الثالث من مثلث أمن المعلومات CIA Triad. ويمكن تعريفه على أنه إمكانية الوصول. يعني ذلك منح الأشخاص المصرح لهم الوصول بالوقت المناسب دون أي قيود أو انقطاع. و يشمل ذلك عدة أمور ومنها عرض الحزمة والتوقيت المناسب للمعالجة. وتضمن هذه الأمور مستوى عالي من التأكيد على أن البيانات والموارد هي في متناول الأشخاص المصرح لهم دون أي انقطاع أو حرمان من الخدمة.
يشمل التوافر أو إمكانية الوصول أيضاً الدعم الخاص بالبنية التحتية. بما في ذلك خدمات الشبكة والاتصالات وآليات التحكم بالوصول. ومن أجل الحفاظ على التوافر أو إمكانية الوصول للنظام يجب أن تكون عناصر التحكم في مكانها الصحيح.

الهدف من التوافر ضمان الوصول المصرح به مع مستوى مقبول من الأداء والتعامل بسرعة مع الانقطاعات والاحتفاظ بنسخ احتياطية آمنة وموثوقة لمنع فقدان البيانات.
يوجد العديد من التهديدات التي قد تؤثرعلى التوافرأوإمكانية الوصول. وتشمل الفشل في الأنظمة والبرامج والمشكلات البيئية (الفيضانات والكوارث الطبيعية). وأكثر الهجمات التي تؤثر على التوافر وإمكانية الوصول هي هجمات منع الخدمة DoS.

وكما هو الحال في كل من السرية والسلامة فإن انتهاكات التوافر لا تقتصر على الهجمات المختلفة. ففي كثير من الحالات ممكن أن تكون بسبب خطأ بشري أو عدم الكفاءة. وفي بعض الحالات ممكن أن تتم من خلال حذف الملفات عن طريق الخطأ أو نقص تخصيص الموارد أو التسمية الخاطئة أو التصنيف الغير صحيح أو بسبب السياسات الأمنية أو الأعداد الخاطئ أو الغير صحيح.

الحفاظ على إمكانية الوصول:

من التدابيرالتي تساعد على التخفيف من الهجمات والأمورالتي تؤثرعلى التوافرأوإمكانية الوصول ما يلي:

  • التصميم الصحيح لأنظمة التسليم الوسيطة
  • استخدام ضوابط التحكم بالوصول بشكل فعال.
  • مراقبة الأداء وحركة البيانات باستخدام أجهزة الحماية كالجدران النارية القادرة على إفشال هجمات منع الخدمة DoS
  • والتأكد من عمليات النسخ الاحتياطي
  • خطط استمرارية الأعمال BCP – Business Continuity Planning
  • التركيز على استخدام ميزات التسامح مع الخطأ على مستويات مختلف من الوصول والتخزين والأمان
  • التأكد من آليات الصيانة وسرعة التعامل مع حالات الفشل للأنظمة الحرجة

التوافر يعتمد على كل من السرية والسلامة وبدونهم لا يمكن الحصول على هذا العنصر

بعض الأمور الأخرى الخاصة بالتوافر وإمكانية الوصول:

  • ضمان إمكانية الوصول على أوسع نطاق لكل الموارد بعض النظر على قدراتها أن كانت كبيرة أو محدودة
  • التوقيت الصحيح والذي يضمن السرعة في التعامل والاستجابة مع حالات الفشل
  • سهولة الاستخدام أو إمكانية التعلم السريع لطريقة الاستخدام وفهم طريقة التعامل

أولويات عناصر أمن المعلومات:

كل منظمة لديها متطلبات أمنية مختلفة تعتمد على أفضل الممارسات و الخبرات في مجال أعمالها. و بناءاً على ذلك، يعمل فريق الإدارة والحماية على تحديد الأولويات والاحتياجات الخاصة لضمان أمان الشركة.

تعمد الشركات لإعطاء الأولوية لعنصرأو عنصرين من عناصر أمن المعلومات وتحديد أي من هذه العناصر هو الأكثر أهمية بالنسبة للمنظمة أو الشركة. بحيث نلاحظ أن هذا النمط يجب أن يكرر في كل من التصميم والنشر والصيانة.

ينعكس هذا الأمر على الميزانية وخطط الانفاق وتخصيص الخبرات والوقت المخصص لكل عنصرمن عناصر أمن المعلومات.إضافة لإعطاء الأولوية لمتطلبات الحماية ومعرفة كل الأصول وتصنيف البيانات ونشر حلول الحماية.

على سبيل المثال فإن العديد من وكالات الاستخبارات والمنظمات العسكرية والحكومية تميل إلى إعطاء السرية الأولوية أكثر من السلامة والتوافر. بينما تميل الشركات الخاصة لإعطاء الأولوية للتوافر وإمكانية الوصول أكثر من السرية والسلامة. وعلى الرغم من ذلك هذا لا يعني أن العناصر الأخرى يتم تجاهلها. ولكن التركيز عليها لا يكون بنفس القدر الخاص بالعنصر الذي له الأولوية. والهدف النهائي هو تحقيق التوازن بين العناصر الثلاثة لضمان مستوى الحماية المطلوب والحد من المخاطر والتهديدات الأمنية المحتملة.

شارك المقال
اضف تعليق

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

الأكثر قراءة

شهادة CISSP
شهادة CISSP – ماذا تعرف عنها؟ وهل تناسبك؟
الفريق الأزرق- فريق لكرة القدم
الفريق الأزرق – حماية الحصن من مجرمي الانترنت
الهاكر الأخلاقي المُعتَمد
الهاكر الأخلاقي المُعتَمد CEH – بطل من هذا الزمان “الرقمي”
اختبار اختراق الفريق الأحمر
اختبار اختراق الفريق الأحمر – هل أنت مستعد لهذه التجربة؟
هجمات الهندسة الاجتماعية-قناع وجه
هجمات الهندسة الاجتماعية – التلاعب بالبشر و استغلال المعلومات
مصطلحات الأمن السيبراني
مصطلحات الأمن السيبراني – الجزء الأول
إخفاء المعلومات
إخفاء المعلومات الحساسة – رحلة إلى عالم سري
انترنت الأشياء
انترنت الاشياء – الحماية من التهديدات السيبرانية