سكيوريتي

 

معلومات سكيورتي – 3 –

لنتفق على هذة المعادلة اولا .. وسنعرف تفاصيلها لاحقاً .
Risk = Asset X Threat X Vulnerability

موضوعنا اليوم هو Security Risk Assessment او اختصاراً SRA . من المواضيع المهمة جداً ، تقيم و تحديد المخاطر في مجال امن المعلومات. ومن بعد التحديد سيكون هناك الية للتحكم بهذة المخاطر . يعتمد تقيم المخاطر في الشركات على عدة عوامل ، وهذة العوامل تختلف من شركة لاخرى .

لكن عموما في اغلب الشركات يتم استخدام العوامل الاتية .

الاصول او Asset والتي تعني المصادر او الاصول ، وفي موضوعنا المعلومات data و التي ستكون الهدف التي تخطط لحمايتها . وهذة المصادر تعتبر اساس و رأس مال الشركة.

 

التهديد Threat يعتمد مستوى خطورة التهديد من شركة الى اخرى . مثلا درجة خطورة التهديدات واحتمال تحول هذة التهديدات الى اختراقات في البنوك والمصارف العالمية تكون عالية جداً . اما نفس التهديد سيكون طبيعي في شركة متواضعة او صغيرة لا يهمها حتى و ان تحول هذا التهديد الى اختراق حقيقي .

نقاط الضعف Vulnerability ، نقاط الضعف التي تخص ال Asset . وهناك الكثير من المصادر لتحديد نقاط الضعف في المعلومات . سنفصل في هذة النقطة في الكتابات القادمة .

يتم تقييم المواضيع اعلاه على اربع مستويات
Very Low – Low – Moderate – High – Critical

بعدها يتم القرار على اساس النتائج  .و مرة اخرى تحديدات الخطورة يختلف من شركة الى اخرى لكن المبدأ ثابت .

 

معلومات سكيورتي -2-

هل هناك في عالم السكيورتي نظام او منهج يكون أساس نستطيع من خلالة تحديد المناطق والأدوات التي نحتاجها في هذا العالم ؟ نعم هذا هو موضوعنا اليوم . طبعاً هناك مناهج وتقاسيم كثيرة لكن هذا اسهلها .

اسم الموديل او المنهج هو
Information Security Model

يقسم هذا المنهج الى ثلاث أقسام وكل قسم يتكون من ثلاث فروع . وكما يأتي :

1-Information Security Properties :
وتشمل النقاط التالية :
Confidentiality /Integrity /Availability
C I A

وقت تكلمنا عن هذة الفقرة في الكتابات الاولى .

=======================

2- Information States :

وهي التي تعرف لنا الأماكن التي يجب ان تكون محمية. وبالتالي تمثل المصادر التي يستهدفها الهكر للوصول الى مبتغاة ، وهي ثلاث مصادر عموما وكماياتي :

Process / Storage / Transmission

حماية المعالج تعني حماية النظام من ان يفقد اليته او عملة الأساس ، مثلا تخيل لو انك تصدر امر طباعة فيطبق النظام امر اعادة التشغيل !!
هذا يدل ان المعالجة مصابة وغير محمية مسبقا .

ال Storage سابقا كانت مقتصرة على حماية خزن المعلومات ، الان اصبحت مهمة حيث ان اغلب المواقع لديها قواعد بينات Database وهذة مخزونة في الستورج ويجب ان تكون محمية ، أهمية هذة الفقرة ازدادت اكثر بوجود تكنولوجي الفيرجول والكلاود التي تعتمد اعتماداً كبير على الستورج .

اخيراً من المناطق التي يجب ان توفر لها الحماية هي الية التناقل او مصادر الشبكة من الإرسال و الاستلام . حيث يجب ان يكون تدفق الترفك في الشبكة مشفر و محمي بقدر كافي لمنع اي عمليات تنصت او ما يعرف بي ال Sniffer .
=======================

 

3- Security Measure :

هذا المنهج يحتوي على الأساليب و الطرق الكفيلة بتطبيق وتقرير الحماية . لنظام معين لشركة او لمؤسسة مثلا ، وهذة الأساليب كما يأتي :

Policy and Procedure
Technologies
Education , Training and Awareness

ال Policy and Procedure , هي النماذج او الستندر المعمول بة عالميا ، بمعنى عند عملك بشركة عالمية كبيرة ، الشركة لا تنتظر منك اقتراحات لتوفير الحماية لها . بل لها قواعد أساسية تتبعها في عملها . هذة القواعد يجب على الكل اتباعها . مثلا لاتستطيع ان تستخدم أدوات او برامج على هواك ، هناك برامج محددة موجودة في الكومبوتر الذي تعمل انت علية . كذالك مثلا يجب عليك تقديم طلب و الحصول على موافقة من مديرك لكي تستخدم الانترنيت عبر الوايرليس مثلا .

ال Technologies . بمعنى انك يجب ان تكون لديك تكنولوجي كافية وحديثة لحماية ما تريد . التحديثات للوندوز و الفيروول تنطوي كذالك ضمن هذة الفقرة .

ال Education , Training and Awareness

يجب ان يكون الفريق الذي يعمل في مجال السيكورتي مدرب ولدية المعرفة المسبقة بأمور كثير منها الشبكات وحمايتها ، البرمجة ، قواعد البينات ، وحتى أساليب الهكر و الاختراق . وبالتالي يجب ان يكون لدى عناصر الشركة او المؤسسة ككل التوعية و المعرفة الكافية لأساليب حماية الكومبوتر ، مثلا لا تفتح اميل مجهول المصدر ، لاتترك الكومبوتر الشخصي مفتوح وانت خارج عملك . أماكن الخروج عند حدوث الحرائق وغيرها من المعرفة العامة للحماية .

=====================
لتلخيص الموضوع :

لدينا مناهج او ادوات للحماية ال CIA .
=====================
ولكن لحماية ماذا ؟؟ ماهي المناطق التي يجب حمايتها؟؟ Process / Storage / Transmission
====================
كيف يتم هذا ؟؟ باستخدام الآتي :
Policy and Procedure
Technology
Education , Training and Awareness
================

 

معلومات سيكورتي -1- Confidentiality / Integrity / Availability C I A
أصل وأساس عالم السيكيورتي !!

كنت ابحث في الانترنيت على فايروول للبيع ، فوجد شخص عربي لدية فايروول للبيع وكان من قريب جداً من المكان الذي اسكن فيه ، اتفقنا ان نلتقي في مكان ما وليكن وسط البلد في مكان محدد يسمح لنا بالدخول اليه من خلال تحقق ..(حرف A). على اننا نعيش في دولة غير عربية .

ولأننا لم نتقابل من قبل فتفقنا على كلمة سر ، تتكون من عبارتين انا أقول عبارة مثلا ( الحياة أصبحت صعبة ) ولآخر يقول ( القادم أصعب )…(حرف I) .

وكذالك اتفقنا اننا لو التقينا كلامنا سيكون باللغة العربية . لكي لايفهمنا احد ، لأننا بدولة لا تتكلم لغتنا … ( حرف C)

تم اللقاء واشتريت الفايروول .

ما دخلنا في هذة القصة . تذكر قبل الدخول لموضوعنا اننا :

اولا) حددنا المكان .. حرف A
ثانيا) حددنا كلمة سر تكاملية .. حرف I
ثالثا) تكلمنا باستخدام للغة غير مفهومة في ذالكم البلد .. حرف C .

إذن هناك ثلاث أسس حددت لقائنا.
لنعود الى موضوعنا :
عالم السيكورتي مبني على هذة الأسس او المفاهيم : لنتعرف عليها :
===================
ال C اختصار لل Confidentiality او السرية ، والمتمثلة بتشفير المعلومات في الاتصال، لجعلها مجموعة رموز يصعب حلها بعد ان كانت كلمات مفهومة ، وهناك الكثير من البروتكولات تقوم بهذه المهمة اشهرها 3DES , DES , RSA . وغيرها الكثير . ( اللغة العربية التي استخدمتها انا والشخص صاحب الروتر في البلد الأجنبي )
====================
ال I اختصار لل Integrity , ومهمة هذه الجزء هو ضمان عدم تغير محتوى المعلومات ، من خلال ادخال المعلومات بمعادلات ، لينتج عنها كود يسمى ال hash , يعطي دليل عدم تغير محتوى المعلومات عند إرسالها من خلال مقارنة هذا الhash . وهناك الكثير من البروتكولات تفعل هذا ، اشهرها MD5 , SHA .
( الحياة اصبحت صعبة ) ( القادم أصعب )
====================
ال A اختصار Availability , ومهمتها التأكد من ان الطرفين لديهم التخويل للوصول الى الانظمة او المصادر . وهذا مايعرف بي طرق ال Authentication & Authorzation
طبعاً هناك الكثير من البروتوكولات التي تساعدنا في هذا الجانب منها LDAP/ RADIUS/ TACACS/SAML وغيرها من بروتكولات التحقق والتخويل .

( المكان الذي اتفقنا الحضور فية وسط البلد لتتم إلقاء فية )

 

====================

هل هناك تسلسل لهذة المفاهيم او يجب ان تجتمع جميعها ؟ نعم ولكن ليس بالضرورة ! بمعنى اننا ممكن استخدام ال C فقط اقصد التشفير . او ممكن استخدام ال A فقط مثلا .

اما في حالت استخدام هذة المفاهيم بضربة واحدة سيكون الترتيب عموما AIC . اي تكون البداية مع ال A التحقق .

الان ! ماهي التكنولوجي التي تجسد هذة المفاهيم مجتمعة ؟ ال VPN احد الأمثلة التي تستخدم كل هذة المفاهيم . ال IPSec يستخدم بعضها . وغيرها الكثير .

عموماً هذة المفاهيم تجدها في معظم جوانب السيكورتي . طبعاً مجالات السيكورتي كثيرة ومتداخلة

توجهاتنا في هذة السلسلة الكتابية ستختص بأمن المعلومات . على ان نتطرق وبشكل عام على بعض المجالات الاخرى .