السلام عليكم و رحمة الله و بركاته ........ أهلا ومرحبا بكم في ساحة التنمية البشرية والتطوير الإداري

الأحد، 24 أبريل 2011

أمن وسرية المعلومات الإدارية .


·       أولا : أمن البيانات والشبكات :
نظرة لزيادة حجم القراصنة الذي يتم على البيانات وهي المادة الخام للمعلومات وتصاعد الوسائل التكنولوجية التي تمكن العديد من اختراق الأنظمة الأمنية للشبكات لذا فإن التأمين للشبكات بعناصر المتعددة يعتبر من المطالب الأساسية والضرورية والتي يجب التخطيط لها عند إنشاء أو تشغيل أي شبكة.
والمقصود بأمن البيانات والشبكات هو المحافظة على المعلومات ضد أي سرقة أو تخريب.

·       وفيما يلي بعض المشكلات التي تواجه الشركات في التعامل مع الشبكات وهي كما يلي :

1)   أمن البيانات :
حيث أن الهدف من امن البيانات هو توفير طرق الحماية الكافية لبرمجيات الحاسب والبيانات لحمايته من المخاطر التي تواجهها.

·       ويوجد أربعة وسائل لتحقيق أمن البيانات هي كما يلي :

1.   التحكم في الدخول إلى البيانات.
2.   التحقق من الشخصية.
3.   التحكم في تدفق البيانات أي سلامة البيانات.
4.   التشفير.
·       ويعتبر التحكم في الدخول إلى البيانات من أهم وسائل تأمين البيانات.
وهي السياسة التي تحدد السماحيات المختلفة للمستخدمين داخل الشبكة مع تحديد العمليات الغير المسموح بها وذلك بغرض التأمين وتحسين الأداء.
·       ويمكن أن يكون التحكم في الدخول من خلال طريقتين هما :
أ‌)      وسائل التعرف والتحقق من شخصية المستخدم وذلك من خلال استخدام كلمة المرور أو كلمة السر.
ب‌)  التوثيق وهو التأكد من أن المستخدم هو الشخص الذي يمتلك كلمة السر.
2)   أمن الشبكات :
ترجع الأهمية الأمنية لحركة الاتصالات أنها تمثل معيار أو لمناطق النشاط على الشبكة وهي عادة تختلف في حالة العمل اليومي عن الحالات الأخرى وبذلك يمكن استنباط الكثير من الدلالات منها ، حيث أنه يتم تنظيم الأمن وفقاً لنوع الشبكة.
·       يجب إتباع عدة إجراءات لكي تزيد من أمن الشبكات وهما كما يلي :
1.   تشفير المعلومات والبيانات المرسلة والمخزنة وعدم الاعتماد على الحماية.
2.   ضرورة الاحتفاظ على أو ينسخه من شرائط ووسائط التخزين.
3. وجود القياسات الدقيقة والمستمرة لمعاملات القنوات الطبيعية الخطية ، مثل قنوات الألياف الضوئية والقنوات الخطية لاكتشاف الدخول على وسط الاتصال بغرض التصنت.
4.   استخدام جميع برامج لتسجيل جميع العمليات التي يتم إجراؤها على الشبكة لمراجعتها عند الضرورة.
5.   عدم استخدام برامج غير أصلية أو مجهولة المصدر.
6.   تغيير كلمة السر بشكل مستمر بحيث يمنع توقعها.
7.   التأكد من أمن المعدات وصعوبة الوصول إليها.
8. إخفاء الخصوصية على أنظمة التشفير المستخدمة بما يضمن اختلافها عن مثيلاتها الموردة من خارج ويزيد من درجة سريتها.
9. التوعية المستمرة للمرؤوسين بالمخاطر التي قد تحدث للمؤسسة عند إهمال موضوع الأمن الخاص بالشبكات.
3)   أمن الشبكة الافتراضية :
1. استخدام الكروت الذكية التي تماثل بطاقة الائتمان في الشكل والحجم ولكنها تختلف من حيث طريقة عملها حيث أنها ليست مجرد قطعة من البلاستيك.
2. استخدام بروتوكول التحكم في النقل من نقطة إلى نقطة وهي طريقة تتميز بقــــوة تشفير تبلغ 128 بت كما أنها لا تتطلب أي جهاز خارجي يريد الاتصال بالشبكة الافتراضية.
3.   وضع حوائط النيران في الأجهزة الخادمة لتجنب المخترقين.
4.   لابد من تغليف الأسلاك النحاسية بغرض منع التصنت.
5.   تشفير جيوب المعلومات الصغيرة.  
4)   مستويات الحماية في بيئة العمل بالمنظمات :
يوجد عدة مستويات للحماية تحتاجها المنظمات تتمثل فيما يلي :
أ‌)      أداء تحليل المخاطر :
هو عملية يتم من خلالها التعرف على الأصول التي تحتاج حمايتها والمخاطرة المحتملة ضدها.
يجب أن يبدأ تحليل المخاطرة الجيد بتحديد الأصول والموارد التي تحتاج حمايتها.

ب‌)  المصادر التي يجب حماية أصول الشركات منها يمكن أن تشمل هذه المصادر :

-         نظم داخلية.
-         الدخول من مواقع الكاتب الميدانية.
-         الدخول من خلال رابط wan على موقع أحد الشركاء في العمل.
-         الدخول من خلال الإنترنت.
-         الدخول من خلال تجمعات أجهزة المودم.

جـ) نوعية مهاجمي نظم الشبكات : يمثل هؤلاء الأشخاص في الأتي :
-         الموظفين.
-         طاقم العمل الاستشاري أو الوقت.
-         المنافسون.
-         الأفراد الذين لديهم وجهات نظر.
-         الأفراد الذين يريدون الانتقام من الشركة.
-         الأفراد الذين يرغبون في شهرة نتيجة لهجومهم.

د) تحدي التكلفة الفورية للهجوم :
أحياناً يكون من الصعب تقدير حجم التكلفة الفورية.

هـ) مستوى خطورة الهجمات المحتملة على شبكات الشركات :
يتم تقييم مستوى الخطورة المحتملة على شركات نتيجة لوقوع بعض عمليات الهجوم عليها. حيث أن تحديد قيمة الهجوم على الشبكة يعد أمر شخصي تماماً فقد يوجد لدى شخصين موجودين داخل نفس الشركة آراء مختلفة تماما فيما يتعلق بقيمة الشركة والهجوم عليها.
5)   الإخلال بالأمن :
هناك وسائل متعددة مثل الإخلال بأمن نظام المعلومات مثل السرقة أي سرقة ودائع الشركات أو سرقة برمجيات خاصة بنظام المعلومات أو التسلل غير المشروع للبيانات واستخدامها.
وبالنسبة للبعض فإن مجرد إفشاء المعلومات الخاصة يسبب لهم الكثير من المشاكل المدمرة.

6)   حماية نطاق الأمن :
توجد عدة طرق أساسية لحماية نطاق الأمن تتلخص في الأتي :
1.   حذف الملفات الغير الهامة لأنها ممكن أن تكون بها معلومات مهمة للغير.
2.   طبع الرسائل الإلكترونية الهامة ثم حفظها بطريقة أمنية.
3. وضع جهاز الكمبيوتر في مكان أمن من اقتناص المعلومات ، حيث يمكن لأي شخص رؤية المعلومات.
4.   الكشف على الكمبيوتر بعد العودة لاستخدامه بعد فترة وذلك للتأكد من عدم اقتراب أحد منه.
5. عدم ترك الجهاز حتى لو دقيقة ، حيث أن خطورة اختراق نطاق الأمن تكمن في ترك الجهاز للعابثين والمتطفلين فرصة للحصول على المعلومات.
6.   لابد من تفريغ سلة المحذوفات قبل غلق الجهاز.
7.   لابد من تفريغ قائمة المستندات دائماً لأنها تبقى ركيزة أساسية لاختراق نطاق الأمن.
8.   نسخ جميع الملفات قبل غلق الجهاز على قرص مرن ثم حذفها من القرص الصلب.

7)   تصميم نطاق الأمن :
إن الإخلال بالأمن قد يكون متعمداً أي مدبر له أو قد يكون غير متعمد ولذلك فإنه عند تصميم نظام أمن جيد لابد من توقع كل الاحتمالات.

·       يمكن توضيح الاحتمالات أو مراحل تصميم نطاق الأمن كالأتي :
1-الوقاية :
وهي الاحتياطات التي تؤخذ في الاعتبار لحماية الأجهزة أو البرامج وتعتبر من أهم مراحل تصميم نطاق الأمن.
2-الكشف :
يقترن وجوده مع الوقاية فقد يوفر النظام الوقاية ضد الدخول الغير مسموح به كما يسجل محاولات الدخول الفاشلة لكشف نوع النشاطات التخريبية.
3-التخويف :
هو تخويف المخربين من اكتشافهم ومعاقبتهم على ما يفعلون.
4-استرجاع الأجزاء المفقودة :
يجب اتخاذ الإجراءات اللازمة لسرعة استعادة الأجزاء المفقودة من النظام وذلك من خلال النسخ الاحتياطي.
5-تصحيح النظام :
لأنه لابد من اكتشاف أخطاء النظام وتصحيحها بصفة مستمرة حتى لا تصبح هذه الأخطاء نقاط ضعف يستغلها المخترقون.
6-إعادة التصميم :
الوسيلة التي يتم اللجوء إليها بعد فشل جميع إجراءات الأمن في التغلب على تهديد معين هي إعادة تصميم النظام مرة أخرى مع أخذ الاعتبارات الأمنية الجديدة التي تعمل على منع مثل هذا التهديد.
·       ثانيا : التشفير :
أن التشفير ليس وليد هذا العصر فقط بل أن التشفير بدأ منذ أربعة آلاف سنة وتم استخدام التشفير منذ 1900 سنة قبل الميلاد حيث تم استخدامه في الرسومات المصرية التي تستبدل الكتابة بالرموز من اللغة الهيروغليفية النظامية بشكل نقرش كما أنه أيضاً تم استخدام التشفير في العصور الوسطى حتى الأوقات المعاصرة ، حيث يتم استخدامه في الأمور العسكرية والدبلوماسية والاتصالات الحكومية الأخرى.
·       التشفير :
هو وسيلة لاستبدال رسالة أو أي مستند ، حيث أنه لا يمكن معرفة محتوياتها وذلك بالترميز وهو عملية تحويل النص المبسط أو المستند الواضح إلى رموز.
·       يعرف التشفير بأنه :
طريقة لتطبيق نوع من الكود أو الشفرة السرية على شيء ما لمحاولة إخفائه عن شخص ما.
1)   كيفية تشفير البيانات :
التشفير هو علية استبدال والقيمة المستبدلة المأخوذة ويسمى الحرف المستخدم المنفرد بالحرف المأخوذ ، حيث تستبدل هذه القيمة بالعناصر المحددة للرسالة أو أي بيانات أخرى ويتم هذا على مستوى الحروف.
وتقوم عملية التسفير على فكرة المفاتيح مثل استخدام مفتاح من المفاتيح في الجهاز وهو عبارة عن ملف أو برنامج حتى لا يستطيع أحد قراءتها.
ويتم تشفير البريد الإلكتروني باستخدام مفتاح أخر لفك الشفرة التي يرجعها إلى صورتها الأصلية.
حيث تقوم برامج التشفير بعمل هذه المفاتيح.
·       يوجد نوعين من المفاتيح تستخدم في التشفير وهما :
أ) مفتاح تشفير خاص.            ب) مفتاح تشفير عام.
2)   تطبيقات التشفير :
التطبيق الأساسي لتشفير البيانات هو حماية المعلومات الموجودة في الملفات التي يمكن للآخرين الحصول عليها حيث أن المخترقين لهم قدرة عليه في التقنية الخاصة بالكمبيوتر.
وفي بعض الأحيان قد يتم للجوء إلى تشفير البيانات المخزنة في القرص الصلب وهذا يتم تطبيقه في حالة الملفات المحمية بكلمة السر.

·       ثالثا : برامج الحماية :
إن الغرض الأساسي من برامج الحماية من الفيروسات هي تحديد نوعية البرنامج إن كان فيروساً أم لا.
وتعتبر برامج الماسحات أفضل ما يمكن استخدامه لأنها تقدم تعريفاً دقيقاً  للفيروسات المعروفة وتتخلص منها بشكل سليم كما أنها نادراً ما تعطي إنذار كاذب.
كما أيضاً بوجود مكتشفات التغيير التي يمكنها التعرف على أعراض الإصابة بالفيروس كنمو الملف بشكل غير طبيعي والتغيير في الشفرة التنفيذية للملف. ولكنها تعتبر غير فعالة ضد أكثر الفيروسات خطراً في الوقت الحالي مثل فيروسات الماكرو مما يقلل من جودة هذه البرامج.
حيث يفضل برامج الماسحات.

1)   طرق برامج الحماية :
هناك عدة طرق يمكن استخدامها برامج الحماية للحماية من الاختراق والتصنت ويمكن تصنيف هذه الطرق على النحو التالي
1. تخزين قاعدة البيانات بالبرنامج يتم تخزين عدد كبير من أسماء أحصنة طروادة ويتم عمل مسح لكافة الملفات الموجودة بالجهاز أو قاعدة البيانات ، وبعد ذلك يتم تحديث قاعدة البيانات دورياً عن طريق الأقراص اللينة التي تحدث أولاً بأول.
2. الكشف عن التغيرات التي تطرأ على ملف التسجيل وتوضيح ذلك للمستخدم لمعرفة إن كان التغيير قد حدث من برنامج معروف أو من أحصنة طروادة.
3. مراقبة منافذ الاتصالات لاكتشاف أي محاولة غير مسموح بها للاتصال بالجهاز المستهدف وقطع الاتصال تلقائياً وإعطاء إنذار بذلك في حالة وجود محاولة للاختراق.
2)   أفضل برامج الأمن والحماية :
من الضروري استخدام برنامج أمني أثناء استخدام الإنترنت ويكون هذا البرنامج قادر على الحماية لمنع المخترقين من أداء أعمالهم.

أهم المشاركات