تعرفنا في مقالات سابقة على ركائز أمن المعلومات والمعروفة باسم CIA Triad. في هذا المقال سنتعرف على أحد مبادئ أمن المعلومات الرئيسية و هو مبدأ AAA . يُعتبر هذا المبدأ أساسياً عند تصميم أي نظام أمني أو سياسة حماية أو عند العمل على تطبيق أي حل أمني.
يشير مبدأ AAA إلى الأحرف الأولى من الكلمات التالية: Authentication, Authorization, and Accounting. يعني ذلك: المصادقة ، الترخيص (منح الصلاحيات) والمحاسبة (مراقبة الموارد التي يستهلكها المستخدم أثناء الوصول إلى الشبكة.).
مبادئ أمن المعلومات – العناصر الخمسة
صحيح أن الاختصار هو ثلاث أحرف ولكن بالحقيقة هذا الاختصار او هذا المصطلح يستخدم للإشارة إلى خمس عناصر وهي:
- تحديد الهوية Identification: التحقق من الهوية التي تدعيها عن محاولة الوصول إلى منطقة أو نظام أمن.
- المصادقة Authentication: التحقق من هوية المستخدم أو العملية أو الجهاز كشرط أساسي للسماح بالوصول إلى الموارد في نظام المعلومات.
- الترخيص Authorization: عملية منح أو رفض طلبات محددة للحصول على واستخدام المعلومات وخدمات معالجة المعلومات ذات الصلة. أو للدخول إلى منشآت مادية محددة (على سبيل المثال ، المباني الخاصة بالمؤسسة).
- التدقيق Auditing : تسجيل الأحداث والأنشطة والأعمال الخاصة بالنظام
- المسؤولية Accountability: مراجعة ملفات السجلات للتحقق من الامتثال للقواعد أو الانتهاكات
يُعتبر AAA من المفاهيم والقواعد الأساسية في مجال أمن المعلومات. وفي حال فقدان أي عنصر من عناصر AAA سيؤدي هذا الأمر إلى خلل في مستوى أمن المعلومات في المؤسسة.
دليلك لفهم مبادئ أمن المعلومات
تحديد الهوية Identification:
هو العملية المستخدمة للتعرف على الهوية أو تحديد الهوية التي يتم ادعائها قبل البدء بعمليات المصادقة أو الترخيص. ويجب أن يتضمن تقديم الهوية ادخال اسم المستخدم أو تمرير بطاقة ذكية أو بصمة العين أو الأصبع أو رقم معرف العملية. وبدون هذه الأمور لا يمكن للنظام البدء بالقيام بعملية المصادقة.
وبمجرد تعريف الهوية والتحقق منها فيتم استخدامها لتتبع النشاط. وهذا الأسلوب الذي يفهمه جهاز الحاسب. فهو يعرف أن حساب مستخدم معين يختلف عن حساب مستخدم آخر من خلال هذه الطريقة. ويتم إثبات الهوية من خلال عملية المصادقة. ومن ثم التحقق لضمان عدم الانكار وبعدها يتم منح الصلاحيات للوصول لموارد معينة وتطبيق الرقابة الخاصة بعد ذلك.
المصادقة Authentication في مبادئ أمن المعلومات:
يمكن تعريف المصادقة على أنها عملية التحقق من صحة الهوية التي يتم ادعائها. ويتم هذا الأمر من خلال مراجعة أمور إضافية كإدخال كلمة سر او بصمة العين او الأصبع أو تطبيق أكثر من عامل للمصادقة (المصادقة المتعددة العوامل أو المصادقة الثنائية).
على سبيل المثال المصادقة الثنائية قد تتطلب من المستخدم إدخال كلمة سر ومن ثم رمز ثاني OTP يتم الحصول عليه عبر رسالة SMS أو تطبيق خاص لهذه العملية. الأمر المهم هنا هو الطريقة المستخدمة في التحقق من عوامل المصادقة. كلما كانت طريقة التحقق أقوى كان مستوى الحماية الخاصة بالنظام أقوى.
غالباً ما يتم استخدام التعريف أو التحقق من الهوية مع المصادقة خلال عملية واحدة، حيث يتم تقديم الهوية في الخطوة الأولى ومن ثم توفير عوامل المصادقة. وبدون أي من هذه الخطوات لا يمكن للمستخدم الوصول للنظام حيث لا يمكن الوصول للنظام باستخدام خطوة واحدة فقط (كتحديد الهوية بدون المصادقة).
ممكن ان تكون عوامل المصادقة شيء تعرفه (مثل كلمة السر) أو شيء تملكه (بصمة الأصبع أو بطاقة ذكية أو التعرف على الصوت مثلاً) ولكل نوع من عوامل المصادقة ميزاته وعيوبه.
منح الأذن- Authorization:
بمجرد أن تتم عملية المصادقة تبدأ عملية السماح بالوصول إلى الامتيازات أو الحقوق التي يملكها صاحب هذا الحساب. يجب أن تدرك أن نجاح عملية المصادقة لا يعني أن صاحب الحساب قد حصل على التصريح الكامل للقيام بأي عمل أو الوصول إلى جميع الموارد داخل النظام لكنه حصل فقط على ترخيص لاستخدام الأمور المسموحة له و كذلك تم منعه من أمور أخرى.على سبيل المثال يمكن أن يٌسمح للمستخدم الاتصال بالشبكة ولكن لا يسمح له باستخدام احد الموارد كالطابعة. أو قد يُسمح له فقط بالقيام بعدد محدد من الأنشطة وعلى مجموعة محددة من الموارد. بذلك وجدنا أن تحديد الهوية والمصادقة والتخويل هي العناصر المستخدمة في إدارة عمليات التحكم بالوصول.
و بتفصيل أكثر، يمكن أن يكون منح الصلاحيات Authorization أكثر تخصيصاً، فقد يسمح لمستخدم معين بقراءة ملف ولكن لا يسمح له بالتعديل عليه أو حذفه. وقد يسمح لمستخدم أخر بطباعة ملف ولكن لا يسمح له بحذف قائمة الانتظار queue الخاصة بالطابعة.
تمنح الصلاحيات أو الأذونات من خلال النماذج الخاصة بالتحكم بالوصول مثل MAC – Mandatory Access Control التحكم بالوصول الإلزامي أو RBAC – Role Based Access Control التحكم بالوصول المعتمد على الدور أو الوظيفة.
التدقيق Auditing:
التدقيق أو المراجعة هي الوسيلة البرمجية التي يتم من خلالها تتبع إجراءات المستخدم أو البرنامج وتسجيلها لمعرفة الشخص المسؤول عن كل حدث تم في النظام. وهي كذلك العملية التي يتم من خلالها اكتشاف الأفعال الغير مصرح بها على النظام. كما يمكن استخدام هذه العملية لاكتشاف أخطاء النظام ومعرفة سبب فشل النظام أو البرنامج. كما تستخدم لاكتشاف عمليات التسلل واكتشاف الأفعال الخبيثة ومحاولات الاختراق.
المسؤولية Accountability:
لا يمكن فرض سياسة أمان ضمن الشركة أو المؤسسة إلا إذا تم تطبيق المساءلة. بمعنى آخر يمكن الحفاظ على الحماية والأمن فقط إذا تم تحميل الأشخاص المسؤولية عن أفعالهم. وتعتمد هذه العملية على القدرة على تتبع نشاط كل مستخدم. ويعتمد هذا الأمر بالتأكيد على عملية المصادقة. أي أن عملية المساءلة تعتمد في النهاية على قوة عملية المصادقة. وبدون عملية مصادقة قوية ممكن أن يكون هناك شك في أن هذا الشخص هو المرتبط بحساب معين أثناء عمليات التحقق من النشاطات أو الإجراءات الغير مرغوب بها.
تعرفنا اليوم على مفاهيم هامة في أمن المعلومات لا غنى عنها لأي مهتم بهذا المجال. و سيتابع روبودين في مقالات لاحقة تبسيط تلك المفاهيم و تقديمها لكم بشكل نتمنى أن ينال إعجابكم.