السلام عليكم و رحمة الله و بركاته ........ أهلا ومرحبا بكم في ساحة التنمية البشرية والتطوير الإداري

الأحد، 25 سبتمبر، 2011

السياسات الامنية للمواقع الإلكترونية

الكاتبة: حنان بنت خالد بن علي السلامه

pdf


الملخص:
مع انتشار الإرهاب الإلكتروني والهجمات التي لطالما دمّرت منشآت عديدة بالتطفل على مواقعها الإلكترونية ، انتشرت بالمقابل الكثير من وسائل الأمن والحماية المتفاوتة في قدرتها على مكافحة هذه الهجمات ، ومن هذا المنطلق سأتطرّق في هذا المقال لتحديد أهم الممتلكات التي يجب على المنشأة التركيز على حمايتها ووضع أولويات لذلك ،واستعراض لأهم المراحل التمهيدية التي ينبغي على المنشأة توخّي الحذر بالأخذ بها، ثم التعرف على أبرز الأساليب الإجرائية والتقنية لحماية مواقع المنشآت الإلكترونية كالبنوك والشركات الصغرى والكبرى والمؤسسات الحكومية ، وتعتبر هذه الإجراءات مطلب ضروري لاستمرار بقاء المواقع الإلكترونية التي باتت عنصراً أساسياً في تعاملات المنشأة  سواء كانت داخلية على مستوى المنشأة أو خارجية .

الكلمات المفتاحية :
بروتوكول طبقة المقابس الآمنة SSL (Secure Sockets Layer) ، الجدران النارية (Firewalls) ، أنظمة كشف التطفلIDS  Intrusion detection systems)) ، التوقيع الرقمي (Digital Signature) .

المقدمة :
السياسات الأمنية مطلب ضروري لمعظم مواقع المنشآت الإلكترونية ، فهي تلعب دوراً هاماً في تقليل المخاطر التي قد تتعرض لها المنشأة وتؤثر عليها تقنياً عن طريق تدمير أنظمة المنشأة وخادماتها، أو معنوياً وذلك بتشويه سمعتها في حال تسربت إحدى المعلومات السرية التي تحتفظ بها المنشأة ممّا يؤدي إلى انعدام ثقة عملائها بها.

إن إحاطة  موقع المنشأة الإلكتروني بنظام أمني دقيق  يحقق لها ثلاثة أهداف هامّة]  1[ :
  1. السرّية (Confidentiality)  :
وذلك بمنع أي محاولات للإطلاع على محتوى البيانات من قبل أشخاص غير مخوّلين بذلك.

  1. سلامة المحتوى(Integrity)  :
يُعنى بذلك التأكد من أن محتوى البيانات صحيح ولم يتم العبث به أو تغييره في جميع مراحل المعالجة التي تتعرّض لها البيانات .

  1. استمرارية توفّر المعلومات (Availability) :
يقصد بذلك توفر البيانات أو الخدمة في أي وقت تطلب به والتأكّد من استمرارية القدرة على التفاعل مع المعلومات .

من جانب آخر فقد رافق ظهور الشبكة العنكبوتية ظهور أنظمة تجسس واختراق تفتك بها وبمعلوماتها ، وخاصة عندما أصبحت غالبية المنشآت تعتمد التعامل الإلكتروني في جميع معاملاتها ومع جميع الأطراف سواء كانوا موظفين أو عملاء ، كما لوحظ بشكل واضح أن الكثير من المنشآت تعرّضت لسرقة معلوماتها وتدمير خادماتها ولازالت تعاني من هذه المعضلة حتى الوقت الحالي ، ومع بروز الكثير من التقنيات التي تحاول الحدّ من تفشّي عمليات التجسس والاختراق إلا أنها لا تحقّق الأمان الكامل للمواقع الالكترونية .

نتيجة انتشار اللاوعي وتضرّر الكثير من المنشآت كان لابد من استعراض أهم الأساليب الإجرائية والتقنية  التي تستخدمها المنشآت في مواقعها الإلكترونية للحفاظ على نظامها المعلوماتي، لكي تضعها بقية المنشآت بعين الاعتبار وتعلم مدى أهمية وجودها ومدى الضرر الناتج من إهمالها ، بالإضافة إلى تحديد  الأولويات في حماية ممتلكات المنشأة فالسؤال الذي يتبادر إلى الذهن دائماً هو ما الذي تريد أن تحميه في منشأتك ؟ .

أولويات الحماية :
لاشك بأنّ المنشأة تحوي الكثير من الممتلكات الثمينة والتي تحرص على سلامتها و أمنها ولكن عندما نضطر إلى تحديد الأولويات فإننا نجد أن الأشخاص هم أثمن ما في المنشآت والحفاظ على سلامتهم هو من أولى الأولويات، لاسيّما وأن هؤلاء الأشخاص تتنوع أدوارهم فمنهم مديرو أنظمة ومديرو شبكات ومشغّلون ومستخدمون وأصحاب عقود وشركاء تجاريون، وفي المرتبة الثانية تأتي أهمية المحافظة على البيانات التي تتمثّل في وثائق الفاكس المرسلة والمستقبلة ورسائل البريد الإلكتروني والبيانات المتنقلة عبر الشبكة والعمليات التجارية وقواعد البيانات الخاصة بالعملاء]  2[  .





المراحل التمهيدية لتحقيق الأمن الإلكتروني :
لابدّ من وجود أربعة مراحل تمهيدية لتحقيق الأمن في موقع المنشأة الإلكتروني وهي كالتالي] 2[:
  1. التقييم:
إنّ تقييم المخاطر المترصّدة للمنشأة أمر ضروري وذلك من خلال التقاء العاملين ومعرفة الوضع الأمني والأخذ بتوصياتهم وإرشاداتهم ووضعها بعين الاعتبار.

  1. التصميم:
إنّ استخدام أحدث تقنيات الحماية الأمنية كالجدران النارية وأنظمة كشف التطفل والتي سأتطرق إلى ذكرها بالتفصيل لاحقاً  لا تحقق الحماية 100% وخاصة عندما لا يتم تحديثها  باستمرار ، لذلك كان لابدّ من اعتماد هيكل أمني صلب أثناء تصميم البنية الأساسية للأمن المعلوماتي للمنشأة .

  1. التنفيذ:
بعد اختيار الهيكل الأساسي الأمني في المرحلة السابقة يتم تركيب كل الضوابط التقنية كالجدران النارية وأنظمة كشف التطفل وغيرها ، وبما أن هذه التقنيات ليست آمنة 100% فلابد من حماية الخادمات المركزية  وذلك بتوزيع الجهد على مجموعة من الخادمات للتقليل من الضرر .

  1. المراقبة:
لابدّ من مراقبة جميع التقنيات والإجراءات الأمنية التي تمّ وضعها في المنشأة للتأكد من استمرارية عملها على الوجه المطلوب و إصلاح الأعطاب فيما إذا اعترتها  والحرص على تحديثها إذا توفّرت لها تحديثات جديدة .


الأساليب الإجرائية لحماية المواقع الإلكترونية :

لابد من وجود سياسات إجرائية ثابتة في مواقع المنشآت الإلكترونية تتمثّل فيما يلي:

  1. بيان الخصوصية :
أصبح من الضروري وضع بيان يشرح وسائل الأمان والخصوصية للموقع ويعّد هذا البيان مطلب مهم لكسب ثقة العملاء.

  1. تحديد الصلاحيات:
لابدّ من وضع صلاحيات للموظفين تحكم إطلاعهم على النظام المعلوماتي للمنشأة وخاصة فيما يتعلق بالخادمات المركزية و أجهزة التخزين ، فصلاحيات الموظف تختلف عن صلاحيات المشرف العام والتي تختلف بدورها عن صلاحيات مدير المنشأة] 2[ .

  1. الحدّ من استخدام الشبكة العنكبوتية في المنشأة:
إنّ الحد من استخدام الشبكة الخارجية من شأنه أن يقلّل الخطر الذي قد تواجهه الشبكة الداخلية للمنشأة وذلك بفرض قوانين و إرشادات يجب على الموظفين إتباعها فيما يخص بعدم تصفّح المواقع المشبوهة أو تحميل برامج غير موثوقة] 3[ .

  1. أنظمة التشغيل:
مهما كان نظام التشغيل المعتمد في أجهزة الموظفين للمنشأة فإنه لابد من التأكد من سلامة هذا النظام بصورة دورية وخلّوه من أي تهديدات خارجية قد تضر المنشأة مستقبلاً] 2[.

الأساليب التقنية لحماية المواقع الإلكترونية :
فيما يلي سأستعرض أهّم الأساليب المنتشرة في الوقت الحالي لحماية ممتلكات مواقع المنشآت الإلكترونية .

بروتوكول طبقة المقابس الآمنة SSL (Secure Sockets Layer):

بروتوكول تشفير يعمل على توفير بيئة آمنة خلال نقل البيانات المشفرة بين المتصفح وجهاز الخادم في الموقع، وما يحدث باختصار هو أنّ المتصفح يقوم بإرسال رسالة من خلال بروتوكول SSL إلى جهاز الخادم فيستجيب ويرسل شهادة (SSL Certificate)  تتضمن في محتواها المفتاح العام للموقع (Public Key)، ومن ثم يقوم المتصفح بالتحقق من هذه الشهادة من خلال ثلاثة ركائز أساسية:
  • أولاً: أن تكون الشهادة آتية من طرف موثوق به.
  • ثانياً :التحقق من سريان مفعولها في الوقت الحالي وذلك من خلال إلقاء نظرة على تاريخ إصدار الشهادة وتاريخ انتهائها .
  • ثالثاً: المقارنة بين اسم الموقع في الشهادة واسم الموقع في الخادم للتأكد من أن الشهادة مرتبطة بالموقع وقادمة منه.
وبعد التحقق من الشهادة يعمل على إنشاء مفتاح عشوائي للتشفير (Symmetric Key Encryption) يقوم بدوره على تشفير البيانات التي تنتقل من المتصفح إلى جهاز الخادم باستخدام بروتوكول التحكم بالإرسال وبروتوكول الإنترنت (TCP/IP) مما يضمن عدم التعرّض لهذه البيانات  من قبل أي جهة أخرى فلا يمكن لأحد قراءتها سوى المرسل والمستقبل ، وفي نهاية المطاف يقوم الموقع بفك شيفرة الرسالة الواردة إليه من المتصفح وذلك باستخدام مفتاح خاص بالموقع ذاته (Private Key) ،ثم يستخدم المفتاح العشوائي لبقية الاتصال.
الجدير بالذكر أن استخدام هذه التقنية يعمل على إحداث تغيير طفيف في عنوان الموقع الإلكتروني كالبنك مثلاً وهذه دلالة واضحة على وجود أمن معلوماتي في المنشأة] 4[.
وعند التطرق إلى مثال البنك فإننا نلحظ عند الدخول إلى موقع البنك بأن عنوانه يبدأ بـ "http"  ولكن بمجرد الضغط على صفحة تسجيل الدخول إلى الحساب فإن العنوان يتغير من "http"  إلى"https " ، بالإضافة إلى أيقونة الأمان والتي تظهر في أسفل صفحة الموقع (صورة 1).

 https-prot
صورة 1: توضّح تغيّر العنوان إلى  "https "وظهور أيقونة الأمان أسفل الصفحة في موقع سامبا.

الجدران النارية (Firewalls):

الجدران النارية عبارة عن برنامج بسيط (Software) أو جهاز (Hardware) يقوم بتنقية المعلومات القادمة من خلال الشبكة العنكبوتية إلى الموقع الخاص ، وتقوم المنشآت بوضعها بهدف عزل شبكتها الداخلية الخاصة عن الشبكة العنكبوتية لمنع الاختراقات والتطفل (صورة 2).

 firewalls-working
صورة 2: توضّح  آلية عمل الجدران النارية.

آلية عمل الجدران النارية :
هناك ثلاثة طرق تستند إليها الجدران النارية في آلية عملها:
  1. تصفية الحزم (Packet Filtering) :
تنتقل المعلومات على هيئة حزم تمّر خلال الجدار النّاري الذي يقوم بدوره بفحصها والتحقق من موافقتها للشروط.

  1. وكيل الخدمة (Proxy Service) :
يعيّن الجدار النّاري نفسه وكيلاً عن الشبكة الداخلية فيكون بذلك قد حجب عناوين الشبكة الداخلية وبالتالي يتّم إرسال البيانات إلى عنوان الجدار الناري الذي يقوم بدوره بتوجيهها إلى وجهتها الأصلية.

  1. مراقبة السياق( (Stateful Inspection:
إن الجدار الناري هنا يقوم بفحص حقول معيّنة في الحزم فلا يفحص مكونات الحزم كلها بل يعمل على مقارنتها بالحقول المناظرة لها بنفس السياق (مجموعة الحزم الإلكترونية المتبادلة عبر شبكة الإنترنت) ، وعندما يكتشف أن حزم معينة لم تلتزم بقواعد السياق فإن ذلك دليل قاطع على وجود اختراق يهدّد أمن الموقع.

وهناك عدة معايير يمكن استخدامها لمعرفة فيما إذا كانت الحزم صحيحة وهي كالآتي] 5[:

أ‌-         العنوان الرقمي (IP Address) :
هو رقم لكل مشترك على الشبكة العنكبوتية يوفّر للجدار الناري المقدرة على التحكم بالسماح أو المنع لمرور الحزم القادمة.
ب‌-        اسم النطاق (Domain Name) :
يتيح للجدار الناري منع مرور الحزم القادمة من نطاق معيّن .

ت‌-        بروتوكول التخاطب (Protocol):
وهي طريقة للتخاطب وتبادل المعلومات بين العميل والمنشأة، أمّا بالنسبة للعميل فقد يكون شخص أو برنامج كالمتصفح (Browser).

تتعدّد هذه البروتوكولات و أبرزها ما يلي ] 6[:

  • بروتوكول HTTP: يستعمل لتبادل المعلومات بين المتصفح وجهاز الخادم.
  • بروتوكولFTP : يستخدم لنقل الملفات عوضاً عن إرسالها كمرفقات(Attachment) في البريد الإلكتروني .
  • بروتوكول SMTP: يستعمل لنقل البريد الإلكتروني.
  • بروتوكول SNMP: يستعمل لإدارة الشبكات وجمع المعلومات.
  • بروتوكول Telnet: يستعمل للتحكم بالجهاز عن بعد.

وأخيراّ فإن هناك خانة في الحزم تدل على نوع البروتوكول، يقوم الجدار الناري بالتحقق منها، وبناءً على ذلك فإذا كان البروتوكول مسموح به يقوم بتمريره وإلا فيمنعه من المرور.

أنظمة كشف التطفلIDS  Intrusion detection systems)) :
معظم المنشآت سواء كانت صغيرة أو كبيرة تحتاج إلى جهاز إنذار ضد السرقة للحفاظ على المعلومات القيّمة لديها ، وقد ظهر نظام جديد يغني عن أجهزة الإنذار ويؤدي وظيفتها على أكمل وجه وهو ما يعرف بنظام كشف التطفل الذي هو في جوهره نظام إنذار ضد السرقة ، يعمل على مراقبة الشبكة وإصدار إنذارات فيما إذا شك بأن الشبكة تتعرّض للهجوم في وقت ما .
يوجد آليتان لكشف التطفل:
  1. الكشف عن الوضع الشاذ (Anomaly detection ):
هذه الطريقة مبنية على أساس مراقبة سلوك المستخدمين في النظام الاعتيادي وتخزين السلوك في النظام ، فهي تقوم على أساس مقارنة السلوكيات مع الحزم الإلكترونية لاكتشاف الانحرافات ،و من أبرز مساوئ هذه الآلية  صدور إنذارات إيجابية خاطئة(False Positive Alarms)  نتيجة اكتشاف هجمات غير معرّفة.
  1. الكشف عن الإساءة (Misuse detection )  :
تعتمد على مقارنة الصفات المتعلقة بالحزم مع الصفات المخزنة في قاعدة البيانات، و من أبرز مساوئ هذه الآلية هو انحصارها فقط على الهجوم المعروف في قاعدة البيانات.


التوقيع الرقمي (Digital Signature):

عندما دعت الحاجة لإيجاد وسيلة تشفير آمنة ومضمونة فقد وجدت طريقة التوقيع الرقمي والتي تحل محّل التوقيع اليدوي وتؤدي وظيفته في إثبات مصداقية وسلامة البيانات المرسلة . تقوم هذه التقنية على استعمال خوارزمية تدعى (Hash Function) تتسّم بدرجة عالية من الأمان ، تعمل على تحويل البيانات إلى قيمة مبعثرة ،وتتغيّر هذه القيمة في حال تعرّضت لعمليات التزوير من قبل المتطفلين ممّا يسهّل اكتشاف تلك العمليات.

آلية العمل:
تتّم هذه العملية بإنشاء نوعين من المفاتيح أحدهما عام(Public Key) والآخر خاص (Private Key) ، والأخير لا يعرفه سوى المرسل فهو يستعمله في تشفير البيانات ، أما المفتاح العام فهو معروف لدى الطرفين المرسل والمستقبل ويستعمل لفك التشفير من قبل المستقبل .

فيما يلي سأستعرض مثالاً يوضّح آلية عمل هذين المفتاحين (صورة 3):

لو أراد الموظف أن يرسل مسودّة للعقد الذي بين المنشأة وبين الشريك التجاري للمنشأة في بلد آخر ليعطيه التأكيد بأنّ العقد لم يتعرّض للتغيير منذ أن قام بإرساله في المرة السابقة.
أولاً : يقوم الموظف بنسخ ولصق العقد في رسالة البريد الإلكتروني .
ثانياً: باستعمال برنامج خاص يمكنه أن يحصل على رسالة مبعثرة (Hash Message) باستخدام خوارزمية (Hash Function).

ثالثاً: يستعمل الموظف المفتاح الخاص فيه كونه هو المرسل وذلك بتشفير الرسالة المبعثرة (Encrypt The Message ).
رابعاً: هذه البعثرة المشفرة هي التوقيع الرقمي للرسالة والتي ستختلف في كل مره يرسل فيها الموظف رسالة إلى الشريك التجاري للمنشأة.

والآن يأتي دور الشريك التجاري (المستقبل):
أولاً : الشريك التجاري يعمل على بعثرة الرسالة القادمة إليه باستخدام خوارزمية (Hash Function).
ثانياً :يقوم الشريك التجاري باستعمال المفتاح العام للموظف لغرض فك تشفير الرسالة المبعثرة(Decrypt The Hash ).

digital-sing-prougres
صورة 3: توضّح آلية التوقيع الرقمي.


وفيما يلي أحد برامج التوقيع الرقمي الشهيرة والمتداولة بكثرة] 8[.

برنامج الخصوصية الجيدة جدًا (Pretty Good Privacy) PGP :
البرنامج الشهير PGP والذي يتميّز بأنّه عالي الجودة في التشفير، لاسيّما وأنه يخدم المنشأة أثناء تبادل المعلومات التجارية و الرسائل الخاصة مع المنشآت الأخرى أو أصحاب العقود وذلك من خلال البريد الإلكتروني.
آلية العمل:
يعتمد هذا البرنامج على مفتاحين أحدهما خاص والآخر عام ، وبالنظر إلى المفتاح الخاص نجد أنّه يمكن من تشفير الرسائل وفك الرسائل المشفرة من قبل المفتاح العام ، أمّا المفتاح العام هو الذي تتحكّم في نشرة لمن تريد منهم مراسلتك ، فمن يملكه يستطيع إرسال رسائل مشفرة إليك بيد أنّه لا يستطيع فك الشيفرة نهائياً ، ومن الملاحظ أن كاتب الرسالة بعد أن يقوم بتشفيرها باستعمال المفتاح العام فإنه لا يستطيع فك الشيفرة لأنه لا يملك المفتاح الخاص ] 9[ (صورة 4)،(صورة 5)،(صورة6).


 encryption-with-pgp
صورة 4: توضّح عملية تشفير محتوى الرسالة باستخدام برنامج PGP


encryption-with-pgp
صورة 5: توضّح المحتوى بعد انتهاء عملية التشفير


message-content
صورة 6:  توضّح محتوى الرسالة بعد أن تم فتحها من جهة المستقبل

الخلاصة:
إنّ الهدف الأسمى الذي يجب أن تسعى إليه المنشأة هو القدرة على تجاوز العقبات التي لابدّ وأن تواجهها خلال التعامل الإلكتروني مع جميع الأطراف ، ومع هذا كله يجب أن لا تعتمد على نقطة واحدة بحيث تكون هذه النقطة هي عنق الزجاجة التي باختراقها يمكن الوصول إلى جميع ممتلكات المنشأة ، ولذلك فإنه لابدّ من تركيب جميع الأنظمة التي تحقق مطلب الأمان ، ففي هذه الورقة تم ّ التعرف على أكثر السياسات الأمنية انتشاراً في المواقع الإلكترونية ، وتجدر الإشارة هنا إلى أن هذه السياسات ليست آمنة 100% كما ذكرت مسبقاَ ولا يعني الاعتماد عليها الضمان الكامل بعدم التعرض للهجوم الإلكتروني .

المراجع:
المراجع الأجنبية

, [1] Ciampa , M .(2005)." Information Security Fundamentals(2nd Edition)"
A Chapter of Information Security Fundamentals , pp. 5-7.
[4] Tyson , J.(2008). How Encryption Works.Available online http://computer.howstuffworks.com/encryption4.htm .
[5] Tyson , J.(2008). How Firewalls Works.Available online http://computer.howstuffworks.com/firewall1.htm.
[7] Carter, E.(2002). Intrusion Detection Systems.Available online
, [9] Ciampa , M .(2005)." Information Security Fundamentals(2nd Edition)"
A Chapter of Web Security, pp. 198-200.

المراجع العربية
] 2[ ورقة بعنوان أمن المعلومات  متوفرة على الإنترنت

] 3[ الطخيم ، سلطان سليمان (2005). أهمية السياسات الأمنية للمعلومات.  جريدة الرياض العدد (13438). متوفرة على الإنترنت http://coeia.edu.sa/images/stories/PDFs/security_policies.pdf

] 6 [القحطاني ، محمد بن عبدالله (2006). الجدران النارية.متوفرة على الإنترنت

] 8[ القوتلي ، رها (2009).التوقيع الرقمي .متوفرة على الإنترنت


الملحقات :
المصطلحات :
تمّ الحصول عليها من مركز التميّز لأمن المعلومات ( قاموس أمن المعلومات)

تعريف المصطلح المصطلح
بروتوكول طبقة المقابس الآمنة هي بروتوكول طورته شركة "نت سكاب" لنقل الوثائق السرية عبر الانترنت. يعمل ذلك البروتوكول باستخدام مفتاح عمومي لتشفير البيانات المنقولة عبر وصلة طبقة المقابس الآمنة. معظم برامج تصفح الانترنت تدعم استخدام بروتوكول طبقة المقابس الآمنة والكثير من مواقع الويب تستخدمه للحصول على معلومات سرية تخص المستخدم مثل أرقام بطاقات الائتمان. وبطبيعة الحال فان المواقع التي تتطلب قناة اتصال لبروتوكول طبقة المقابس الآمنة تبدأ بـ "https" بدلاً من "http". أما أمن طبقة النقل فانه يمثل معياراً من معايير الانترنت المعتمدة على الإصدار الثالث من بروتوكول طبقة المقابس الآمنة إلا أنه هناك بعض الاختلافات الطفيفة بين بروتوكول طبقة المقابس الآمنة وأمن طبقة النقل. بروتوكول طبقة المقابس الآمنة وأمن طبقة النقل
بيئة جدار الحماية هي مجموعة أنظمة في مكان معين من الشبكة تشكل معاً تطبيقاً لجدار حماية. تلك البيئة يمكن أن تتكون من جهاز واحد أو عدة أجهزة على سبيل المثال عدة جدران حماية وأنظمة لاكتشاف الاختراق وخوادم وكيله. بيئة جدار الحماية
برنامج يقوم بالبحث عن الأنشطة المثيرة للريبة وتوجيه تنبيه لمديري النظام. نظام اكتشاف الاختراقات
خوارزميات غير متناظرة تُستخدَم لتوقيع البيانات رقمياً. خوارزمية التوقيع الرقمي


مركز التميز لأمن المعلومات

ليست هناك تعليقات:

إرسال تعليق

أهم المشاركات