Professional Documents
Culture Documents
أمن المعلومات ،من زاوية اكاديمية ،هو العلم الذي يبحييث فييي نظريييات
واستراتيجيات توفير الحماية للمعلومات من المخيياطر الييتي تهييددها وميين
انشييطة العتييداء عليهييا .وميين زاوييية تقنييية ،هييو الوسييائل والدوات
والجراءات اللزم توفيرها لضمان حماية المعلومات من الخطار الداخلييية
والخارجية .ومن زاوية قانونية ،فان أمن المعلومييات هييو محييل دراسييات
وتدابير حماية سرية وسلمة محتوى وتييوفر المعلومييات ومكافحيية انشييطة
العتداء عليها او استغلل نظمها في ارتكاب الجريمة ،وهو هييدف وغييرض
تشريعات حماية المعلومات من النشطة غييير المشييروعة وغييير القانونييية
التي تستهدف المعلومات ونظمها ) جرائم الكمبيوتر والنترنت( .
واسييتخدام اصييطلح أميين المعلومييات Information Securityوان كييان
استخداما قديما سابقا لولدة وسييائل تكنولوجيييا المعلومييات ،ال انييه وجييد
استخدامه الشائع بل والفعلي ،في نطاق انشييطة معالجيية ونقييل البيانييات
بواسطة وسائل الحوسبة والتصال ،اذ مع شيوع الوسائل التقنية لمعالجيية
وخزن البيانات وتداولها والتفاعل معها عبر شييبكات المعلومييات -وتحديييدا
النترنت – احتلت ابحاث ودراسات أمن المعلومات مساحة رحبة آخذة في
النماء من بين أبحاث تقنيية المعلوميات المختلفية ،بيل ربميا أمسيت أحيد
الهواجس التي تؤرق مختلف الجهات .
ما الذي نحميه – بوجه عام – بالنسبة للمعلومات ؟؟ 1.1
) عناصر أمن المعلومات(
1
مستخدم المعلومات لن يتعرض الى منع استخدامه لها او دخوله اليها
.
عدم إنكار التصرف المرتبط بالمعلومات ممن قام به Non-
-: repudiationويقصد به ضمان عدم انكار الشخص الذي قام بتصرف
ما متصل بالمعلومات او مواقعها انكار انه هو الذي قام بهذا
التصرف ،بحيث تتوفر قدرة اثبات ان تصرفا ما قد تم من شخص ما
في وقت معين .
ان ضمان عناصر أمن المعلومات كلهييا او بعضييها يعتمييد علييى المعلومييات
محييل الحماييية واسييتخداماتها وعلييى الخييدمات المتصييلة بهييا ،فليييس كييل
المعلومات تتطلب السرية وضمان عدم الفشاء ،وليييس كييل المعلومييات
في منشأة واحدة بييذات الهمييية ميين حيييث الوصييول لهييا او ضييمان عييدم
العبث بها ،لهذا تنطلق خطط أميين المعلومييات ميين الجابيية عيين سلسييلة
تساؤلت متتالية -:
التساؤل الول -:ما الذي نريد ان نحميه ؟؟ واجابة هذا التساؤل
تحدد تصنيف البيانات والمعلومات من حيث اهمييية الحماييية ،اذ تصيينف
المعلومات تبعا لكل حالة على حده ،من معلومات ل تتطلب الحماييية ،
الى معلومات تتطلب حماية قصوى ) انظر شكل .( 1
شكل رقم 1
معلومات ل
تتطلب الحماية
قد يصلها من
يشاء
2
ومن حيث اثرها على نظام الحماييية وعلييى المعلومييات محييل الحماييية.
وهو ما سنقف لحقا عليه بشكل تفصيلي .ومتى ما تم النتهاء من هييذا
التحديد يجري النتقال الى التساؤل التالي .
3
ان يوضيع عليى أحيد مواقيع النيترنت وسيائل تعرييف متعيددة لشيخص
المستخدم ،ككلمة السر والبصمة اللكترونييية والبصييمة الصييوتية ،وان
يخضع نظام الموقع الى عدد مبالغ به من الفلييترات والجييدران النارييية ،
وتشفير طويل المدى لكافة البيانات الموجودة عليييه والمتبادليية عييبره ،
وأيضا ل يقبل موقع أمني يضم بيانات سرية للغاية مجرد القتصييار علييى
كلمة سيير للييدخول للنظييام .بمعنييى ان إجييراءات الحماييية تنطلييق ميين
احتياجات الحماية الملءمة ،فان زادت عن حدها أمست ذات اثر سلبي
على الداء ،فاصبح الموقع او النظام بطيئا وغير فاعيل فيي أداء مهيامه
الطبيعييية ،وان نقصييت عيين الحييد المطلييوب ،ازدادت نقيياط الضييعف
واصبح اكثر عرضة للختراق الداخلي والخارجي .فإذا فرغنا ميين اختيييار
وسائل الحماية التقنية واستراتيجياتها الدارية والدائية الملئمة ،انتقلنييا
بعدئذ الى التساؤل الخير.
اذن ،وفي الوقت التي تتطلب بعض المعلومات كالمتصلة بالمن القييومي
والسرار العسكرية مثل ايلء عنصري السييرية والتكاملييية أقصييى درجييات
الهتمييام ،نجييد بالنسييبة للبنييوك انييه اضيافة للعنصييرين المتقييدمين يتعيين
بالنسبة للنظام نفسه ايلء عنصر الستمرارية ذات القدر من الهمية ،فان
عملييت المصييارف فييي حقييل البنييوك اللكترونييية او الخييدمات المصييرفية
اللكترونية عن بعد ،كان عنصر عدم النكار بنفس اهمييية بقييية العناصيير .
ونجد ان مواقييع النييترنت مثل تتطلييب ايلء عنصيير السييتمرارية الهتمييام
الكبر ،في حين ان مواقييع التجييارة اللكترونييية ميين بييين مواقيع النييترنت
تتطلب الحرص على توفير عناصر الحماية الربعيية بنفييس القييدر والهمييية
اذ تحتاج ضمان السرية ،وتحديدا بالنسبة للبيانات الخاصة بالزبائن كأرقييام
بطاقات الئتمان ،وتتطلب التكاملية والسلمة بالنسييبة للبيانييات المتبادليية
عبر الرسائل اللكترونية بين الزبون والموقييع ،فل يصييل أميير الشييراء مثل
وقد لحقه تغيييير او تحريييف مييا ،وتتطلييب اسييتمرارية الموقييع فييي تقييديم
خدماته وقدرة الزبون على الولوج اليه طوال وقت سريان عملية التصييفح
والشراء بل وفي أي وقت يريد للدخول الى الموقع ،وتتطلب ضمان عدم
انكار الزبون ان التصرف الذي اجراه على الموقيع ) كطلييب الشيراء ( قيد
صدر عنه او انكار الموقع نفسه انه تعاقد مع الزبون في شان ما .
4
تطال المخاطر والعتداءات في بيئة المعلومات أربعة مواطن أساسية هي
مكونات تقنية المعلومات في احدث تجلياتها -:
الجهــزة -:وهي كافة المعييدات والدوات المادييية الييتي تتكييون منهييا
النظم ،كالشاشييات والطابعييات ومكوناتهييا الداخلييية ووسيائط التخزييين
المادية وغيرها .
البرامــج -:وهي الوامر المرتبة فييي نسييق معييين لنجيياز العمييال ،
وهي اما مستقلة عن النظام او مخزنة فيه .
المعطيـات -:انها الييدم الحييي للنظميية ،ومييا سيييكون محل لجييرائم
الكمييبيوتر كمييا سيينرى ،وتشييمل كافيية البيانييات المدخليية والمعلومييات
المستخرجة عقب معالجتها ،وتمتد بمعناها الواسع للبرمجيات المخزنيية
داخل النظم .والمعطيييات قييد تكييون فييي طييور الدخييال او الخييراج او
التخزين او التبادل بين النظم عبر الشبكات ،وقد تخزن داخل النظم او
على وسائط التخزين خارجه .
التصـالت -:وتشييمل شييبكات التصييال الييتي تربييط اجهييزة التقنييية
بعضها بعض محليا ونطاقيا ودوليا ،وتتيح فرصيية اخييتراق النظييم عبرهييا
كما انها بذاتها محل للعتداء وموطن من مواطن الخطر الحقيقي.
ومحور الخطر ،النسان ،سواء المستخدم او الشخص المناط بييه مهييام
تقنييية معينيية تتصييل بالنظييام ،فييادراك هييذا الشييخص حييدود صييلحياته ،
وادراكه اليات التعامل مع الخطيير ،وسييلمة الرقابيية علييى انشييطته فييي
حدود احترام حقييوقه القانونييية ،مسييائل رئيسيية يعنييى بهييا نظييام الميين
الشامل ،تحديدا في بيئة العمل المرتكزة عليى نظيم الكميبيوتر وقواعيد
شكل 2
البيانات .انظر )الشكل ( 2
مواطن
العتدا
ء
التصا معطيا برمجي الج
لت ت النسا ات هزة
ن
.2مــا هــي عمليــات المعلومــات الرئيســة المتصــلة بــأمن
المعلومات ؟؟
5
او قد تكون معلومات متاح الوصييول اليهييا واخييرى محظييور التوصييل اليهييا
وهكذا .
التوثيق -: Documentation 2.2
وتتطلب عمليات المعلومات اساسا اتباع نظييام توثيييق خطييي لتوثيييق بنيياء
النظام وكافة وسائل المعالجية والتبيادل ومكوناتهيا .وبشيكل رئييس فيان
التوثيق لزم وضروري لنظام التعريف والتخويييل ،وتصيينيف المعلومييات ،
والنظمة التطبيقيية .وفيي اطيار المين ،فيان التوثييق يتطليب ان تكيون
استراتيجية او سياسة المن موثقة ومكتوبة وان تكون إجراءاتها ومكوناتها
كاملة محل توثيق ،اضافة الى خطييط التعامييل ميع المخيياطر والحييوادث ،
والجهات المسؤولة ومسؤولياتها وخطط التعافي وادارة الزمات وخطييط
الطوارئ المرتبطة بالنظام عند حدوث الخطر .
6
ووسائل التعريف تختلف تبعا للتقنية المستخدمة ،وهي نفسها وسائل أمن
الوصول الييى المعلومييات او الخييدمات فييي قطاعييات اسييتخدام النظييم او
الشييبكات أو قطاعييات العمييال اللكترونييية ،وبشييكل عييام ،فييان هييذه
الوسائل تتوزع الى ثلثة أنواع -:
- 1شئ مــا يملكــه الشــخص مثــل البطاقــة
البلستيكية او غير ذلك .
– 2شئ ما يعرفه الشخص مثل كلمات السر
او الرمز او الرقم الشخصي غير ذلك
–3شيء ما يرتبط بذات الشخص او موجــود
فيــه مثــل بصــمة الصــبع او بصــمة العيــن
والصوت وغيرها .
وتعد وسائل التعريف والتوثق القوى ،تلك الوسائل التي تجمييع بييين هييذه
الوسائل جميعا على نحو ل يؤثر على سييهولة التعريييف وفعيياليته فييي ذات
الوقت .
وايييا كييانت وسيييلة التعريييف الييتي سيسييتتبعها توثييق ميين قبييل النظييام
، authenticationفانها بييذاتها وبمييا ستصييل باسييتخدامها تخضييع لنظييام أميين
وارشادات امنية يتعين مراعاتها ،فكلمات السر على سبيل المثال ،وهييي
الكثر شيوعا من غيرها من النظم ،تتطلييب ان تخضييع لسياسيية مدروسيية
من حيث طولها ومكوناتها والبتعاد عن تلك الكلمات الييتي يسييهل تخمينهييا
او تحريها وكذلك خضوع الستخدام لقواعييد عييدم الطلع وعييدم الفشيياء
والحفاظ عليها .
ومتى ما استخدمت وسائل تعريف ملئمة لتاحة الوصول للنظييام ،ومييتى
ما تحققت عملية التوثق والمطابقة والتأكييد ميين صييحة التعريييف )الهوييية(
فان المرحلة التي تلي ذلك هي تحديد نطاق الستخدام Authorizationوهييو
ما يعرف بالتخويل او التصييريح باسييتخدام قطيياع مييا ميين المعلومييات فييي
النظام ،وهذه المسالة تتصل بالتحكم بالييدخول او التحكييم بالوصييول الييى
المعلومات او اجزاء النظام ) . Access Control systemانظر البند ( 5
7
عمليات الحفظ -: Back-up 2.6
وعمليات الحفظ تتعلييق بعمييل نسييخة إضييافية ميين المييواد المخزنيية علييى
إحدى وسائط التخزين سييواء داخييل النظييام او خييارجه ،وتخضييع عمليييات
الحفيظ لقواعييد يتعييين ان تكيون محييددة سيلفا وموثقيية ومكتوبيية ويجيري
اللتزام بها لضمان توحيد معايير الحفظ وحماية النسخ الحتياطية .
ويمثل وقت الحفظ ،وحماية النسخة الحتياط ،ونظام الترقيم والتبويب ،
وآلية السترجاع والستخدام ،ومكان الحفظ وامنه ،وتشفير النسييخ الييتي
تحتوي معطيات خاصة وسرية ،مسائل رئيسة يتعين اتخاذ معييايير واضييحة
ومحددة بشأنها .
8
خطوات ومحتوى وعناصر خطط التعامل مع الحوادث لدى بنييوك النييترنت
مثل عنها لدى المواقع المعلوماتية ،وميع ذليك ،وبيوجه عيام ،فيان نظيام
التعامل مع الحييوادث يتكييون عييادة ميين سييتة مراحييل ) خطييوة فخطييوة (
هيييي -:العـــداد المســـبق والتحـــري والملحظـــة الحتـــواء
والستئصال ،التعافي والعودة للوضع الطبيعي ،والمتابعة .
9
مكافحة المظاهر السلبية والفعال غير المشروعة التي تنطوي عليها هييذه
الظاهرة ،ومع ذلك ل يزال ثمة جدال فيما اذا كانت هييذه انشييطة جريميية
أم انها سلوكيات قد ل تكون مقبولة من الناحية الخلقية والمهنية لكنهييا ل
تشكل جرما .
ان غييرض هييذا التقييديم محاوليية تقييديم تحديييد منضييبط للصييطلحات
المستخدمة في عالم جرائم الكمبيوتر والنترنت ،لجهة التمييز بين العديييد
ميين الصييطلحات الييتي يجييري الخلييط بينهييا ،فثميية فييرق بييين الجريميية
اللكترونيييية ،الرهييياب اللكيييتروني ،حيييرب المعلوميييات ،المخييياطر ،
الحوادث ،نقاط الضعف ،والخطاء ،الختراقات ،حرب المعلومات .......
وغيرها .
التهديد : Threatsويعني الخطر المحتمل الذي يمكن ان يتعرض له نظام
المعلومييات وقييد يكييون شخصييا ،كالمتجسييس او المجييرم المحييترف او
الهاكرز المخترق ،او شيئا يهدد الجهزة او البرامج او المعطيات ،او حييدثا
كالحريق وانقطاع التيار الكهربائي والكوارث الطبيعية .
نقاط الضعف او الثغرات : Vulnerabilitiesوتعني عنصر او نقطة او
موقع فييي النظييام يحتمييل ان ينفييذ ميين خللييه المعتييدي او يتحقييق بسييببه
الختراق فمثل يعد الشخاص الذين يستخدمون النظام نقطة ضعف اذا لم
يكن تدريبهم كافيا لستخدام النظام وحمايته ،وقد يكون التصال بالنترنت
نقطة ضعف مثل اذا لم يكن مشفرا .وقد يكيون الموقيع المكيياني للنظيام
نقطة ضعف كأن يكون غير مجهز بوسائل الوقاية والحماية ،وبالعموم فان
نقيياط الضييعف هييي السييباب المحركيية لتحقيييق التهديييدات او المخيياطر .
ويرتبط بهييذا الصييطلح اصييطلح وسائل الوقايــة : Countermeasures
وتعني التكنيييك المتبييع لحماييية النظييام ككلمييات السيير والقفييال ووسييائل
الرقابة والجدران النارية وغيرها .
اما المخاطر : Risksفانها تستخدم بشكل مترادف مع تعبير التهديد ،
مع انها حقيقة تتصل بأثر التهديدات عند حصولها ،وتقوم اسييتراتيجية أميين
،ي وتحليــل المعلومات الناجحة على تحليل المخاطر Risk analysis
المخاطر هي عملية Processوليست مجرد خطة محصورة ،وهي تبييدأ
من التسياؤل حيول التهدييدات ثيم نقياط الضيعف واخييرا وسيائل الوقايية
المناسبة للتعامل مع التهديدات ووسائل منع نقاط الضعف .
اما الحوادث -: Incidentفهو اصطلح متسع يشمل المخاطر ويشييمل
الخطاء ،وهو بالمعنى المستخدم فييي دراسييات أميين المعلومييات التقنييية
يشييير الييى الفعييال المقصييودة او غييير المقصييودة ،ويغطييي العتييداءات
والخطاء الفنية ،غير ان التوصيف الدقيق لهذا المفهوم في الطار الدائي
– الداري والطيييار القيييانوني ،يتعيييين ان يحمليييه عليييى الحيييوادث غيييير
المقصودة والتي قد تكون مخيياطر بفعييل الطبيعيية ودون عامييل قصييدي او
تكون أخطاء فنية غير مقصودة .
اما الهجمات Attacksفهو اصطلح لوصف العتداءات بنتائجها او بموضع
السييتهداف ،فنقييول هجمييات انكييار الخدميية ،او هجمييات إرهابييية ،او
هجميييات البرمجييييات ،او هجميييات الميييوظفين الحاقيييدة او الهجميييات
10
المزاحية .ويستخدم كاصطلح رديف للهجمات اصيييطلح الختراقات او
الخللت ، Breachesوهو اصطلح توصف به مختلف انماط العتداءات
التقنية ،وبالتالي يكون مرادفا أيضا للعتداءات .
اما في اطار الصطلحات القانونية – وهو ما سيينتناوله تفصيييل فييي
الفصل الثاني – فانه من المهييم فيي هيذا المقييام تحدييد الفييرق بييين ثلث
اصطلحات تستخدم في ميدان الدراسييات القانونييية ،الول وهييو اصييطلح
الجرائم اللكترونيـة Cyber crimeوهييو الييدال علييى مختلييف جييرائم
الكمبيوتر والنترنت في الوقت الحاضيير بييالرغم ميين ان اسييتخدامه ابتييداء
كان محصورا بجرائم شبكة النترنت وحدها ،وهو ميا نعالييج محتييواه لحقيا
بشكل مفصل في معرض بيان الصطلحات القانونييية الداليية علييى جييرائم
الكمبيوتر .
اما الثاني فهو إرهاب السيبر او إرهــاب العــالم اللكــتروني Cyber
، Terrorismوهي هجمات تسييتهدف نظييم الكمييبيوتر والمعطيييات لغييراض
دينية او سياسية او فكرية او عرقية وفي حقيقتها جزء من السيييبر كرايييم
باعتبارها جرائم إتلف للنظم والمعطيات او جرائم تعطيل للمواقييع وعمييل
النظمية ،لكنهيا تتمييز عنهيا بسيمات عدييدة -سينقف عليهيا ليدى بحثنيا
لنميياط جييرائم الكمييبيوتر – أبرزهييا انهييا ممارسيية لييذات مفهييوم الفعييال
الرهابييية لكيين فييي بيئة الكمييبيوتر والنييترنت وعييبر الفييادة ميين خييبرات
الكريكييرز – أي مجرمييي الكمييبيوتر الحاقييدين -العالييية ،وفييي اطييار ذات
السمات التي تتوفر في جماعات الجريمة المنظمة .اما الصطلح الثالث
،فهو اصطلح حرب المعلومات ،Information warfareوهو اصطلح
ظهر في بيئة النترنت للتعبير عن اعتداءات تعطيل المواقع وإنكار الخدميية
والستيلء على المعطيات ،وكما يشير الصطلح فان الهجمات والهجمات
المقابلة هي التي تدل على وجود حرب حقيقية ،وبما انها حرب فهي حرب
بين جهات تتناقض مصالحها وتتعييارض مواقفهييا ،لهييذا تكييون فييي الغييالب
هجمييات ذات بعييد سياسييي ،او هجمييات منافسييين حاقييدين فييي قطيياع
العمال ،وهو ما يجعلها مترادفية هنيا ميع أعميال إرهياب السييبر ،ولييذا
وصفت حملت الهاكرز اليوغسلفيين على مواقع الناتو ابان ضربات النيياتو
بانها حرب معلومات ،ووصفت كذلك هجمات المخيترقين المريكيان عليى
مواقع صينية فييي اطييار حمليية أمريكييية علييى الصييين تحييت ذريعيية حقييوق
النسان والتي تمت بدعم حكومي أمريكي بانها حييرب معلومييات ،وأشييهر
حروب المعلومات القائمة حتى وقت إعداد هذا الدليل المعركة المسييتعرة
بيييين الشيييباب العيييرب والمسيييلم وتحدييييدا شيييباب المقاومييية اللبنانيييية
والمييدعومين ميين خييبراء اخييتراق عييرب ومسييلمين ،وبييين جهييات تقنييية
صهيونية في اطار حرب تستهدف اثبييات المقييدرات فييي اخييتراق المواقييع
وتعطيلها او الستيلء على بيانات من هذه المواقييع .وهييذا الصييطلح فييي
حقيقته اصطلح إعلمي اكثر منه أكاديمي ،ويسييتخدم مرادفييا فييي غالبييية
التقارير لصييطلح الهجمييات الرهابييية اللكترونييية ونجييده لييدى الكييثيرين
اصطلح واسع الدللة لشييمول كييل انميياط مخيياطر وتهديييدات واعتييداءات
وجرائم البيئة اللكترونية ،ونرى قصر استخدامه على الهجمات والهجمات
المضادة في ضوء حروب الرأي والمعتقد لتمييزه عن بقية انشطة تعطيييل
المواقع التي ل تنطلق من مثل هذه الغراض.
11
تحديد المخاطر ونقاط الضعف وأنماط 3.2
العتداءات التقنية
اذن ،وبعد ان تبينا مواطن العتداء في البيئة اللكترونية )بند ، (3-1وبعييد
إيضييياح عيييدد مييين المفييياهيم المتصيييلة بالمخييياطر والعتيييداءات ،يثيييور
التساؤل ؟؟ ما هي المخاطر وثغرات المن وأنماط العتداءات التي تواجه
تقنية المعلومات ؟؟ وهل هي مخاطر واحدة أم تتباين تبعا لوسائل التقنييية
واستخداماتها وأغراضها ؟؟؟
قبل ان نقف على إجابة هذه التساؤلت من المهم الشييارة اليى عييدد مين
الحقائق -:
حقيقة -: 1
علينييا ان نييدرك ابتييداء ان الكمييبيوتر الميين علييى نحييو مطلييق هييو فقييط
الكمبيوتر الذي لم يوصل بعد بمصدر الكهرباء ،وما يزال داخل الصندوق ،
ولم يستعمل بعد .ومتى ما وضع الكمبيوتر في الستخدام تبدأ المخيياطر ،
وهي مخيياطر تييتراوح بييين المخيياطر التقليدييية الييتي يتعييرض لهييا أي مييال
منقييول ،وتمتييد لمخيياطر خاصيية بطبيعيية هييذا الجهيياز ووظييائفه ،وتنتهييي
بمخاطر يكون هو فيها مصدر الخطر لمصالح وحقوق الخرين .
حقيقة -: 2
ان الحديث عن المخاطر والثغرات المنية وأنماط العتداءات التقنية ليييس
توصيفا لنماط جرائم الكمبيوتر والنترنت ) انظيير فصييل ، ( 2لن جريميية
إتلف المعطيات على سبيل المثال ،تنطوي بذاتها على انماط متعددة من
المخاطر وترتبط بأنماط مختلفة من العتداءات التقنية ومصييدرها العديييد
من ثغرات المن ،فالفيروسييات وسيييلة هجييوم شييائعة لتلف المعطيييات
لكن أيضا يمكن إتلف المعطيات بالعديييد ميين وسييائل الهجييوم ومسييمياته
المختلفة وعن طريق تقنيات مختلفة تحقق هذا الغرض ،بل يمكن تحقيقه
ماديا عن طريق انشطة التدمير المييادي .وبالتييالي قييد نجييد الحييديث عيين
المخيياطر يتقيياطع كييثيرا حييين نتحييدث عيين الجييرائم ونسييعى لتوصيييفها
وتحديدها ،وهذا التقاطع ل يتعين ان يوقعنا في خلييط ،اذ جريميية الييدخول
غير المصرح بييه مثل او التوصييل غييير المصييرح بييه ،جريميية تنطييوي علييى
العديد من أنواع الخطر وانييواع الهجميات او العتيداءات ،غالبييا مييا تحمييل
ذات المسمى ،كالتوصل غير المصييرح بييه مييع الشييبكة ،او التوصييل غييير
المصرح به مع نظام الكمبيوتر وغير ذلك .لهذا فاننا سينقف عليى انمياط
جييرائم الكمييبيوتر والنييترنت وعلييى واقعهييا وحجييم الظيياهرة واتجاهييات
الخسائر والضرار الناجمة عنها في الفصل الثاني ،لكننييا نقييف هنييا امييام
أنواع الهجمات وأسيياليبها التقنييية والمخيياطر و الثغييرات التقنييية ،فييإذا ميا
قرأت هذه المخاطر والساليب مع انماط الجرائم تكاملت الصييورة بشييان
تحديد مخاطر أمن المعلومات وثغرات المن وطبيعة العتداءات .
حقيقة -: 3
مع كل يوم جديد ،ثمة جديد فييي ميييدان الثغييرات المنييية ،لننييا ببسيياطة
وفي كل يوم امام جديد من التقنيييات والبرمجيييات والييبروتوكولت ،وفييي
كل يوم امام مبرمج يتفتق ذهنه عن جديد في عالم الكمييبيوتر والنييترنت ،
وهييو امييا جديييد إيجييابي يسييتخدم فييي رخيياء البشييرية وضييمن السييتخدام
12
اليجابي للبييداع العقلييي ،او جديييد سييلبي يسييتثمر لتحقيييق اغييراض غييير
مشروعة او ارتكاب أفعال مجرمة او أفعال يأباها السلوك الخلقي القويم
.وبالتالي ،فان تحديد المخاطر والثغرات والعتداءات عملية مستمرة ،
يوما بعد يوم ،وهي هنا ما يميز خطط المن بعضها عن بعض .
حقيقة -: 4
ثمة تحديد للمخاطر على ضييوء الوسييائل وعلييى ضييوء طبيعيية المعلومييات
وعلييى ضييوء السييتخدام ،وثميية تحديييد للثغييرات المنييية علييى ضييوء بيئة
وواسطة التقنية مييدار البحييث ،لهييذا فييان الحقيقيية الولييى ،انييه ل يوجييد
مؤلف او باحث او مرجع يقدم قائمة شاملة للمخاطر والعتداءات وثغرات
الحماية ،لن ذلك يعني الوقوف على كل الوسائل التقنية والوقييوف علييى
كل الستخدامات اضافة الى تصور ما ل يمكن للعقل تصيوره ميين اغييراض
وبواعث محركة للهجمات تمتد عبر طريق يضييم اكييثر الشييخاص احترافييا
للجريمة مع أكثرهم بساطة ،ويضم هواة وخبراء ،ويضم حاقدين وحسييني
النييية ،ويضييم جواسيييس يلفظهييم المجتمييع وآخرييين يتظيياهر ميين اجلهييم
بوصفهم ابطال شعبيين مثل روبن هود.
في الحقل التقني ،قد نحمييي ويتعييين ان نحمييي الييبيئة المادييية المحيطيية
بالجهزة والنظم ،وهذا ما يعرف بالحماية المادييية ،وهييذه مسييتهدفة ميين
أنواع معينة ميين العتييداءات والمخيياطر .ويتعييين ان نحمييي المنشيياة ميين
المخيياطر المتصييلة بييالموظفين ،وبالتييالي ثميية اعتييداءات تتصييل بشييؤون
الموظفين والشخاص ،وهنيياك اعتييداءات تتصييل بالمعطيييات ذاتهيا ونظييم
التوصل اليها ،واخيرا ثمة اعتداءات تتعلييق بعمليييات النظييام ذاتييه ،وهييذا
التصنيف الذي قال به قطاع عريض من الخييبراء التقنيييين او البيياحثين فييي
حقل أمن المعلومات ،ل يمثل تحديدا منضبطا وان كان تحديدا يتصف
بقدر واسع من الشمولية ،ومرد ذلك ان العتداء الواحد قييد يجييد موضييعه
فييي طائفيية او اكييثر ميين هييذه التقسيييمات وبييالعموم ،تصيينف المخيياطر
والعتداءات وفق هذه الرؤيا على النحو التالي-:
13
ذلك من المواد المكتوبة او القييراص او الملحظييات او أي أميير يسييتدل
منه على اية معلومة تساهم في الختراق .وحتى ندرك مخاطر قماميية
التقنية ،فقد حصل ان بيعت من قبييل وزارة العييدل المريكييية مخلفييات
اجهزة تقنية بعد ان تقرر اتلفها ،وكان من ضمنها نظام كمبيوتر يحتوى
قرصه الصييلب علييى كافيية العنيياوين الخاصيية ببرنامييج حماييية الشييهود ،
وبالرغم من انه لم يتم فعليا اسييتثمار هييذه المعلومييات ،ال ان مخيياطر
كشف هذه العناوين استدعى إعادة نقييل كافيية الشييهود وتغيييير مييواطن
اقامتهم وهوياتهم وهو ما تطلب كلفا مالية ضخمة ل لشيء ال للخفاق
في إتلف القراص بطريقة صحيحة.
اللتقاط السلكي -: Wiretappingوالمقصود هنا ببساطة -
التوصل السلكي المادي مع الشبكة او توصيلت النظييام لجهيية اسييتراق
السمع او سرقة والستيلء على المعطيات المتبادلة عبر السلك ،وهي
انشطة تتم بطرق سهلة او معقييدة تبعييا لنييوع الشييبكة وطييرق التوصييل
المادي .
استراق المواج : Eavesdropping on Emanationsويتم ذلك -
باستخدام لواقط تقنية لتجميع الموجييات المنبعثيية ميين النظييم بيياختلف
أنواعها كالتقاط موجات شاشات الكمبيوتر الضوئية او التقاط الموجييات
الصوتية من أجهزة التصال .
انكار او إلغاء الخدمة -: Denial or Degradation of Service -
والمقصود هنا الضرار المادي بالنظام لمنع تقديم الخدميية ،امييا ان كنييا
نتحدث عن انكار الخدمة مثل على مواقيع النييترنت فييان ذليك يتيم عييبر
تقنيات مختلفة ،كضخ الرسائل البريدية اللكترونية دفعة واحدة لتعطيل
النظام .
14
الداخل مصدره حصوله الغالب فييي هييذه الييبيئة بسييبب أخطيياء تشييارك
الموظفين كلمات السيير ووسييائل التعريييف ،وبسييبب امكييان الحصييول
عليها عن طريق استراق النظر او نحو ذلك من السيياليب الييتي تتواجييد
في بيئة العمل الداخلي وتتيح الحصول علييى كلمييات المييرور او وسييائل
التعريف .
الهندسة الجتماعية Social Engineeringويصنف هذا السلوب ضمن -
الحماية المادية احيانا ويرجع الى انشطة الحصول على معلومات تهيئ
القتحييام ميين خلل علقييات اجتماعييية وذلييك باسييتغلل الشييخص أحييد
عناصر النظام – اشخاصييه – بايهييامه بيياي أميير يييؤدي الييى حصييول هييذا
الشخص على كلمة مرور او على اية معلومة تساعد في تحقيق اعتدائه
،وابسط مثال ان يتصل شخص باحد العيياملين ويطلييب منييه كلميية سيير
النظام تحت زعم انه من قسم الصيانة او قسم التطييوير او غييير ذلييك ،
ولطبيعة السييلوب الشخصيي فيي الحصييول عليى معلومية الخييتراق او
العتداء سميت الهندسة الجتماعية .
الزعاج والتحرش -: Harassmentوهي تهديدات يندرج تحتها أشكال -
عديييدة ميين العتييداءات والسيياليب ،ويجمعهييا تييوجيه رسييائل الزعيياج
والتحرش وربما التهديد والبتزاز او في احيان كثيرة رسائل المزاح على
نحييو يحييدث مضييايقة وازعاجييا بييالغين ،وليسييت حكييرا علييى البريييد
اللكتروني بل تستغل مجموعات الحوار والخبار والنشييرات اللكترونييية
في بيئة النترنت والويب ،كما انها ليسييت حكييرا علييى بيئة المييوظفين
والمستخدمين ،بل هي نمط متواجد في مختلف التفاعلت عبر الشبكة
وعبر البريد اللكتروني ،والصحيح انها شائعة كاعتداءات من خارج اطار
المنشييأة وتغلييب ان تكييون مشييكلة تتصييل بالشــخاص اكييثر منهييا
مؤسسات العمال ،ومن هنا يصنفها اصحاب هذا التصيينيف ضييمن هييذه
الطائفة.
وقرصنة البرامج تتحقق عيين قرصنة البرمجيات Software Piracy -
طريق نسخها دون تصريح او استغللها على نحو مادي دون تخويل بهييذا
الستغلل ،او تقليدها ومحاكاتهيا والنتفياع الميادي بهيا عليى نحيو يخيل
بحقوق المؤلف ،وهو نشاط يندرج في حقيقته ضمن طائفة العتييداءات
والمخاطر التي تستهدف البرمجيات عموما ،وهييو قطيياع اسييتقل بييذاته
من بين قطاعات جرائم الكمبيوتر ،وهو ما نخصييص لييه الكتيياب الثييالث
من هذه الموسوعة ،لكن وضعها من قبل اصحاب هذا التصنيف ضييمن
قائميية الخللت المتصييلة بالشييخاص وشييؤون المييوظفين يرجييع الييى
النشطة التي تتم عن طريق نسخ الشخاص والمييوظفين البرمجيييات –
وهنا في الغالب الموجودة على الوسائط والوعييية المسييتقلة – لتبادلهييا
مع اصدقائهم واقربائهم او لستغللها في بيئات عمل أخرى .
15
النســخ غيــر المصــرح بــه للمعطيــات Unauthorized Copying of -
-:Dataوهي العملية الشائعة الييتي تسييتتبع الييدخول غييير المصييرح بييه
للنظام ،حيث يمكن السييتيلء عيين طريييق النسييخ علييى كافيية أنييواع
المعطيات ،وهنا تشمل البيانييات والمعلومييات والواميير والبرمجيييات
وغيرها .
تحليل التصــالت -: Traffic Analysisالفكييرة هنييا ببسيياطة ان -
الهجوم ينصب على دراسة أداء النظام في مرحلة التعامل ومتابعة ما
يتييم فيييه ميين اتصييالت وارتباطييات بحيييث يسييتفاد منهييا فييي تحديييد
مسييلكيات المسييتخدمين وتحديييد نقيياط الضييعف ووقييت الهجييوم
المناسب وغير ذلك مين مسييائل يجمعهييا فكييرة الرقابيية عليى حركيية
النظام بغرض تيسير الهجوم عليه .
القنوات المخفية -: Covert Channelsوهي عمليا صورة من صييور -
اعتداءات التخزين ،حيييث يخفييي المقتحييم معطيييات او برمجيييات او
معلومات مستولى عليها كأرقام بطاقات ائتمان في موضع معين ميين
النظام ،وتتعدد اغراض الخفاء ،فقد تكييون تمهيييدا لهجييوم لحييق او
تغطية اقتحام سابق او مجرد تخزين لمعطيات غير مشروعة .
هجمات البرمجيات Software Attacks •
المصائد اوالبواب الخلفيــة -: Trap Doorsالبييواب الخلفييية -
ثغرة او منفذ في برنامج يتيح للمخترق الوصول من خلله الى النظام
،انه ببساطة مدخل مفتوح تماما كالباب الخلفي للمنييزل الييذي ينفييذ
منه السارق .
16
الوضاع او النماط العادية للداء والكيفية في النظام Race conditions
والهجمات غير المتزامنة او غير المتوافقة المتصييلة باسييتغلل ترتيييب
تنفيذ العمليات العتيادية . Asynchronous attacks
-البرمجيات الخبيثــة Malicious Codeكالفايروســات Viruses
وحصان طروادة Trojan Horsesوالدودة اللكترونيــة Warms
والسلمي Salamisوالقنابل المنطقية -: Logic Bombsالجامع
المشترك بين هذه البرمجيات انهييا برمجيييات ضييارة تسييتغل للتييدمير
سييواء تييدمير النظييام او البرمجيييات او المعطيييات او الملفييات او
الوظائف او تستثمر للقيام بمهام غير مشروعة كانجاز احتيال او غش
فييي النظييام ،والحقيقيية انهييا ليسييت تسييميات مترادفيية للفيروسييات
الشائعة ،انهييا تختلييف عيين بعضييها البعييض ميين حيييث تركيبهييا احيانييا
واحيانا من حيث طريقة احداث النتيجة واحيانا اسلوبها في الهجوم .
والفيروسات تمثيل حيرب الهجميات القائمية والشيائعة الن بسيبب اسيتغلل
النترنت وتوفيرها فرصة نشر البرمجيات الضارة حول العالم ،ولم تعد مجرد
هجمة تستهدف نظاما بعينه او تلحق ضررا باحد الملفات ،بل عييدت هجمييات
منظمة تلحق خسائر بالمليين ،وميين بيياب التمثيييل ل اكييثر ،فييان هجمييات
الفايروسات وما الحقته من خسائر قد ل يتصور البعض حجمها ،فيياذا كييان
الفيروس الذي اطلقه موريس عام 1988وضرب نحو 6000كمبيوتر عبر
انتشاره اليهييا ميين خلل النييترنت فاتحيية الهجمييات وحييدثا ادى الييى نميياء
الهتمام بالموضوع لدرجة انه وصف بانه محرك انشييطة مكافحيية هجمييات
الفايروسييات ،فييان فييايروس ميلسيييا وفييايروس الحييب خلل العييامين
الماضيييين ،يييذكران العييالم بييان )دودة مييوريس( كمييا عرفييت فييي ذلييك
الوقت ،ليست ال افتتاحييية لحجيم مخيياطر الفايروسيات وقييدراتها العاليية
على التدمير وتعطيل اداء النظمة والشبكات وصدقت النبوءة عندما مثييل
الفيروس المنتشر وقت اعداد هذا الدليل )الشيفرة الحمراء( الهجوم الذي
الحق اكبر الخسائر في بيئة الكمبيوتر والنترنت قياسييا بغيييره ميين انميياط
جرائم الكمبيوتر والنترنت حتى الن ،فهذا الفايروس الذي تشييير احييدث
التقارير ان مصدره الصين ،الحق خسائر اولية قييدرت بمييا يزيييد عيين 2.5
مليار ول يزال يهدد غالبية نظم الكمبيوتر والشبكات حول العالم .
رابعا -:الهجمات والمخاطر المتصلة بعمليات الحمايــة Breaches
-: of Operations Security
واذا ما اردنا ان نوصف المخاطر المتصلة بعمليات الحماية ذاتها ربما نكون
في الحقيقة امام كافة أنواع المخاطر والهجمييات والعتييداءات ،لكيين ميين
زاوية تقنييية ضيييقة ،يشييار الييى خمسيية أنييواع ميين السيياليب ضييمن هييذه
الطائفيية ،بعضييها يتصييل بالهجمييات الييتي تسييتهدف نظييام او إسييتراتيجية
الدخول ،بعضها يستهدف نظام ادخال ومعالجة والبيانات ،وبعضها يصيينف
كفعل اولي لتحقيق عمليات الدخول غييير المصييرح بييه الييى مختلييف أنييواع
الشبكات ،وسنشير بايجاز الييى هييذه السيياليب والعتييداءات ،مييع إيضيياح
لمسييميات أخييرى ميين النشييطة والسيياليب والعتييداءات تتصييل بيياختراق
الشبكات تحديدا وبيان لهم نقاط الضعف وفقا لما توصلت اليه ادليية أميين
المعلومات المتخصصة جراء الدراسات البحثية -:
17
العبث ) الغــش ( بالبيانــات -: Data Diddlingويسييتهدف هييذا -
الهجوم او العتداء تغيير البيانات او انشاء بيانات وهمييية فييي مراحييل
الدخال او الستخراج ،ويتم في الحقيقة بعشرات النماط والساليب
التقنييية ،جامعهييا المسيياح بييأمن وحماييية مرحليية ادخييال البيانييات او
استخراجها .
18
الدخول لنظام ،ومن جديد فان هذا اسلوب تقني يعتمد واسطة تقنية
هي برنامج ) الماسح ( بدل من العتماد على التخمين البشري .
هجومات اســتغلل المزايــا الضــافية -: Excess Privileges -
الفكرة هنا تتصل بواحد من اهم اسييتراتيجيات الحماييية ،فالصييل ان
مسييتخدم النظييام – تحديييدا داخييل المؤسسيية – محييدد لييه نطيياق
الستخدام ونطاق الصلحيات بالنسبة للنظييام ،لكيين مييا يحييدث فييي
الواقع العملي ان مزايا الستخدام يجري زيادتها دون تقييدير لمخيياطر
ذلييك او دون علييم ميين الشييخص نفسييه انييه يحظييى بمزايييا تتجيياوز
اختصاصه ورغباته ،في هذه الحالة فان أي مخترق للنظام ليين يكييون
فقط قادرا على تدمير او التلعب ببيانات المستخدم الذي دخل علييى
النظام ميين خلل اشييتراكه او عييبر نقطيية الييدخول الخاصيية بييه ،انييه
ببساطة سيتمكن من تدمير مختلف ملفات النظام حتى غير المتصييلة
بالمدخل الذي دخل منه لنه استثمر المزايا الضافية الييتي يتمتييع بهييا
المستخدم الذي تييم الييدخول عييبر مييدخله .واوضييح مثييال علييى هييذا
الخطر في العالم المادي ،تمكن شخص من دخول غرفة مدير فنيدق
مثل بقصد سرقته فيجد في غرفته مفاتيييح كافيية قاصييات المانييات او
مفتاح الماستر الذي يفتح غرف الفندق جميعها .وهذا وحييده يعطينييا
التصييور لهميية اسيتراتيجية أمين المعلوميات فيي المنشيياة فتحدييد
المتيازات والصلحيات قد يمنع في حقيقته من حصييول دمييار شييامل
ويجعل الختراقييات غييير ذي اثيير ،ولين تسييمح السييتراتيجية الواعييية
للقول ان المستخدم الفلني لديه مزايا ل يعرف عنها بييل ليين تسييمح
بوجودها اصل .
3-2-2تصنيف المخاطر تبعا لموضع المعلومة من النظام وتبعا
للواسطة التقنية
ان المعلومات تتعرض للعديد من المخاطر فيي مراحييل الجميع والمعالجيية
والسترجاع – سواء قراءة او طباعة او تنزيل – وفي مرحلة النقل والتبادل
وفي مرحلة التخزين ،وهذه المخاطر تختلف تبعــا لهــذه العمليــات
ذاتها ،اذ لكل مرحلة مخاطرها ووسائل حمايتها الخاصيية .وبشييكل عييام
فان اغلب قييوائم تصيينيف المخيياطر تعتمييد معيييار موضييع المعلومييات ميين
النظام ،ومن ذلك مثل قائمة منظمة الشييرطة العالمييية /النييتربول الييتي
نعرضها تاليا والتي تقوم – من ضمن معياريها -على تبويب المخيياطر تبعييا
لموضع المعلومة أول حيث تصنف الى ثلثة طوائف -:
19
طائفة المخاطر التي تتعــرض لهــا المعلومــات فــي -
مرحلة التخزين على وسائط خارج النظام .
- STORE refers to information (data and software) when it is stored on
computer media and taken out of the computer system. (I.e. back-up
tapes/diskettes).
ومن زاوييية ثالثيية ،يمكيين ان نصييف العديييد ميين قييوائم تصيينيف المخيياطر
والعتداءات بانها ل تعتمد معيارا منضبطا ،بل تتعدد فيها معايير التقسيم ،
وضمنها تختلف اوصاف الساليب والمخاطر وطبيعتها بل والشخاص الذين
يرتكبون العتداء تبعا لدرجة شيوع أنواع العتداءات واساليبها ،وهو ما قييد
يتاثر بييالوقت الييذي تجييري فيييه المعالجيية ،فالعييام 2000شييهد ميين بييين
الهجمييات اتسيياعا كييبيرا لهجمييات انكييار الخدميية الييتي اسييتهدفت مواقييع
النترنت وشهد هجمات فايروسات عالمية ،في حين مثل نجد الحديث فيي
الوقت الحاضر قد ازداد بشان العتداءات الييتي تسييتهدف مواقييع العمييال
اللكترونية بغرض الحصول علييى المييال عييبر مييا يعييرف باحتيييال النييترنت
متعدد النواع والشكال ونجد أيضا شيييوعا لهجمييات المضييايقة والتحييرش
والزعاج واثارة الحقاد عبر رسائل البريد اللكتروني .
20
قييد تكييون دول او منظمييات او افييراد ،او جهييات اخييتراق تسييعى للتحييدي
واثبات القدرات وهذه الخيرة قد تتوزع بين راغبين بالتحدي تتييوفر لييديهم
نوايا حاقدة وسيئة تجعلهم يقدمون على انشطة إتلف وتدمير وقد ل تعييدو
اكثر من هجمات ل تستهدف ال الختراق ذاتييه دون مجيرد التفكييير بإلحياق
الضرر ،وبالمقابييل ،فييان اختراقييات نظييم كمييبيوتر البنييوك والمؤسسييات
المالية عادة ما تتم من قبل محترفي الجرام التقني بقصد السييتيلء علييى
الموال وتحقيييق مكسييب مييالي ،امييا مواقييع النييترنت فانهييا فييي الغييالب
عرضة اما لهجمات انكار الخدمة ،وغالبا ما تكييون ميين جهييات منافسيية او
موظفين يسعون للنتقام من رب العمل او عرضة لهجمات كشف الهوييية
وسرقة أرقام بطاقات الئتمان او أرقام التعريف وكلمات السر فييي اطييار
عمل تحضيري لجرائم مالية اكييبر واكيثر خطيورة .ويتزاييد يومييا بعيد يييوم
مخاطر أمن النترنت خاصة ما يتعلييق بييأمن الخادمييات )أنظميية الكمييبيوتر
التي تستضيف مواقع النترنت او تقدم خدمات النترنت( .
وتصنف المخاطر في مواقع الدراسات الى قييوائم ترصييد حركيية المخيياطر
الشائعة وتضم عادة قوائم تبين في الوقت المحدد اكثر المخيياطر انتشييارا
في بيئة الكمبيوتر والنترنت ،وعادة تضم هذه المواقع توصيفا لمخيياطر -:
الخطـــاء التقنيـــة ، Errors and Omissionsالغـــش او الحتيـــال
والســتيلء علــى البيانــات ، Fraud and Theftاحقــاد المــوظفين
، Disgruntled Employeesالخطار المادية ، Physical and Infrastructure
الهجمـــات الحاقـــدة ،التجســـس الصـــناعي Industrial Espionage
والتجســـس الحكـــومي ، Foreign Government Espionageالبرامـــج
الخبيثة . Malicious Codeوفيما يلييي نموذجييا لقييوائم المخيياطر العشييرة
الكثر شيوعا في وقت إعداد القائمة ) المثال ( .
وفي احدث تصنيف يسود الن على مختلف مواقع النترنت المتخصصة ،
تصنف المخاطر وانواع الهجومات او العتداءات تبعا لمناطق الختراق
والثغرات ،وفيها يصار الى تحديد المخاطر تبعا للوصف التقني متصل
بمصدر القحام او نقطة الضعف في النظام.
اما من زاوية تحديد الثغرات ونقاط الضييعف فعييادة مييا تصيينف الهجومييات
بوجه عام – ونكتفي هنا بتوصيف هجومات الشييبكة لمعالجيية نقيياط ضييعف
الهجمات الشائعة فيما تقدم – الى -:الدخول غير المصــرح بــه الــى
شـــبكة النظـــام Unauthorized LAN accessاو مصـــادر الشـــبكة
Unauthorized access to LAN resourcesوالسيطرة على المعطيــات ،
والتعديل غير المصرح به للمعطيات والبرامــج The unauthorized
، modification of data and softwareوكشف حركة المرور على الشبكة
او التخفي للوصول الى حركة المرور او العبث بحركــة المــرور
على الشبكة او تعطيل وظــائف الشــبكة ونلحييق تاليييا قائميية بييأهم
نقاط الضعف المتصلة بهذه المخاطر او أنواع العتداء-:
21
احد اهم النشطة الحديثة في ميدان بناء مشروعات المعلوماتييية وتحديييدا
انشاء المواقع على شبكة النترنت كمواقع التسييويق والتجييارة اللكترونييية
ومواقع العمال المالية اللكترونية ،وضع تصور شامل للمخاطر القانونييية
المتوقع ان تواجه الموقع وتحديييد الليييات القانونييية للتعامييل معهييا ،وهييي
عملية تشبه تماما عملية تحليل المخاطر التقنية تباشرها الجهات القانونييية
المؤهلة في حقييل قييانون تقنييية المعلومييات ،ول نبييالغ ان قلنييا ان مواقييع
النترنت العربية ومشييروعات السيتثمار المعلومياتي العربيية تفتقيير لرؤييا
وتصور في هذا الحقل واذا كان خطر اغفال المخاطر القانونية يطال كافة
المواقييع والمؤسسييات فييانه يصييبح خطييرا مضيياعفا فييي بيئتييي التجييارة
اللكترونييية والعمييال اللكترونييية خاصيية العمييال المصييرفية اللسييلكية
والعمال المصرفية اللكترونية على شبكة النترنت .
وتحليل المخاطر القانونية عملية مستمرة تبدا من لحظة الشروع والعداد
للمشروع ،فتحدد كافة احتياجات المشييروع القانونييية اضييافة الييى تحليييل
العمليييات التقنييية والتسييويقية والخدمييية والدائييية الداخلييية والخارجييية
المتصلة بالمشروع من زاوية العلقات القانونية والمسييؤوليات القانونييية ،
وتحديد متطلبات الحماية القانونية ومواجهة المسؤوليات المتوقعة .
ان ما نتحدث عنه هنا ليس تحديدا لمنتجات المن التي ل يمر يوم دون
وجود منتج جديد ،ول يمر يوم أيضا دون إعادة تقييم لوسائل المن ،وهي
وسائل ومنتجات تتوزع بين الوسائل المادية للحماية وبرمجيات وحلول
الحماية ،ونظريات وبروتوكولت الحماية ،ول نبالغ ان قلنا ان سوق
وسائل المن اصبح يتقدم في عدد منتجاته على سوق الجهزة ذاتها
والحلول ،لن كل منتج وكل برنامج جديد يتطلب قدرا معينا من وسائل
الحماية الفنية .
كما ان هذا الدليل ل يقيم وسائل المن القائمة ،فيتحدث مثل عن مدى
فعالية الجدران النارية او مدى مقدرة الشبكات الخاصة الفتراضية على
توفير المن والثقة ،انما يعرض فقط للشائع من طوائف وسائل أمن
22
المعلومات بوجه عام والتي تندرج في نطاق كل طائفة منها آلف الوسائل
التي تتباين تبعا للحتياجات وتبعا لطبيعة محل الحماية .
ولهذا ،وعند الحديث عن اية وسائل ،ثمة منطلق رئيس ،وثمة ادلة
تفصيلية -:
المنطلــق -لكل وسائله ،والخطا في
الستنساخ واغفال الحتياج الحقيقي
كالخطأ في اغفال الحماية.
الخطأ السائد يكمن في العتقاد ان نظم الكمبيوتر والشبكات تتشابه من
حيث احتياجاتها المنية ،اذ حتى في نطاق الطائفة الواحدة من أنظمة
الكمبيوتر التي تستخدم نفس برمجيات التشغيل او تعتمد نفس وسائل
التشبيك وحلول الشبكات وتجهيزاتها ،فان اختلفا في متطلبات الحماية
لما يزل قائما ومرد لك التباين بين طبيعة العمليات التي يقوم بها النظام
والتباين بين طبيعة المعطيات نفسها ،والتباين بين وسائل الستخدام
والمستخدمين ،واخيرا ،التباين في درجة التوازن المطلوبة ما بين
إجراءات المن واداء وفعالية النظام نفسه .
ان بناء وسائل أمن فاعلة يتطلب النطلق من احتياجات المؤسسة
الخاصة واغراض المن فيها ،ويقوم – كما سبق واوضحنا وكما سنوضح
تاليا في البند ، 5-1على ادراك الحتياجات الداخلية فما نحميه يختلف
عما يحميه غيرنا ،ومصادر الخطر التي تواجه مؤسسة مالية مثل تختلف
عن المخاطر التي تواجه مؤسسة عسكرية او تواجه نظام كمبيوتر
مستخدم فرد .واحتياجات حماية جهاز الكمبيوتر وبرمجياته والمعطيات
المخزنة فيه يتخلف عن احتياجات حماية شبكة داخلية او حماية الرتباط
بشبكة عالمية.
ولهذا فان تقنيات الحماية مرتبطة بعامل الحتياجات الخاصة المعتمدة
على تقدير قائم على ركائز وحقائق سليمة ،ويعتمد أيضا على التوازن بين
متطلبات الحماية وسرعة الداء ،والتوازن أيضا بين متطلبات الحماية
والميزانية المرصودة لتوظيف وسائل المن .ومنطق استخدام تقنيات
إحدى الشركات لمجرد انها عالمية او مميزة ،منطق ل يتفق مع
إستراتيجية المن ذاته ،ول نبالغ ان قلنا ان مئات المؤسسات – وتحديا
المالية – استخدمت حزما من التقنيات في ضمنها مثل جدران نارية
وبرمجيات تشفير -كانت فاعلة في حالت أخرى -لم تكن لتحل
مشكلتها المنية ،وفي الوقت ذاته اذا تمكنت من حلها فانها أحدثت اثرا
سلبيا على كفاءة الداء وفعالية النظام .
الدلة التقنية -لكل طائفة من وسائل
المن مؤسساتها وادلتها التقنية وثمة
تخصصية متنامية في نطاق كل وسيلة
منها .
ان سوق الوسائل التقنية في مرحلة ما كان مجرد منتجات وخدمات
مضافة الى طائفة منتجات وخدمات شركات تقنية المعلومات المختلفة
وغالبا ما تكون وسائل في خدمة بقية منتجاتها وخدماتها ومع ان شركات
تقنيات المعلومات لما تزل في غالبيتها تخصص وحدات من بين وحدات
نشاطها لوسائل المن فان سوق تقنية المعلومات انتقل الى التخصصية ،
23
فنشأت شركات عملقة تعمل في حقل أمن المعلومات ،وسائله وحلوله ،
واتجهت الدراسات البحثية والستراتيجية والعلمية وحتى القانونية الى
التعامل مع وسائل المن على استقلل ،فثمة ادلة ودراسات شاملة في
ميدان الفايروسات ووسائل مكافحتها وثمة مثلها في ميدان التشفير
وحلوله ،واخرى في ميدان وسائل التعريف والتحكم في الدخول الى
النظام ،وهكذا .
24
عدم تعديل محتوى المعطيات من قبل جهة غير مخولة بذلك ،
وتشمل من بين ما تشمل تقنيات الترميز والتواقيع اللكترونية
وبرمجيات تحري الفايروسات وغيرها .
-مجموعة الوسائل المتعلقة بمنع النكار ) انكار التصرفات
الصادرة عن الشخص ( ، Non-repudiationوتهدف هذه الوسائل الى
ضمان عدم قدرة شخص المستخدم من انكار انه هو الذي قام
بالتصرف ،وهي وسائل ذات اهمية بالغة في بيئة العمال اللكترونية
والتعاقدات على الخط ،وترتكز هذه الوسائل في الوقت الحاضر
على تقنيات التوقيع اللكتروني وشهادات التوثيق الصادرة عن طرف
ثالث.
-وسائل مراقبة الستخدام وتتبع سجلت النفاذ او الداء
) الستخدام ( ، Logging and Monitoringوهي التقنيات التي تستخدم
لمراقبة العاملين على النظام لتحديد الشخص الذي قام بالعمل
المعين في وقت معين ،وتشمل كافة أنواع البرمجيات والسجلت
اللكترونية التي تحدد الستخدام.
-ايضاح موجز حول اكثر وسائل المن شيوعا في بيئة نظم
المعلومات -:
برمجيات كشف ومقاومة الفايروسات
بالرغم من ان تقنيات مضادات الفيروسات تعد الكثر انتشارا وتعد من بين
وسائل المن المعروفة للعموم ،ال انها حجم تطبيق هذه التقنيات
واستراتيجات وخطة التعامل معها تكشف عن ثغرات كبيرة وعن أخطاء
في فهم دور هذه المضادات ،وبالعموم ثمة خمسة آليات اساسية لكيفية
تحري هذه المضادات للفيروسات التي تصيب النظام ،كما ثمة قواعد
اساسية تحقق فعالية هذه الوسائل والتي تعتمد في حقيقتها على الموازنة
ما بين ضرورات هذه التقنيات لحماية النظام وما قد يؤثره الستخدام
الخاطئ لها على الداء وفعالية النظام .
الجدران النارية Firewallوالشبكات الفتراضية •
الخاصة . virtual private networks
تطورت الجدران النارية بشكل متسارع منذ نشأتها حين كانت تقوم
بتصفية حركة البيانات اعتمادا على قوانين ومعاملت بسيطة .أما
برمجيات الجدران النارية الحديثة ،ورغم انها ل تزال تقوم باستخدام
اسلوب فلترة وتصفية البيانات الواردة ،فانها تقوم بعمل ما هو اكثر بكثير
مثل انشاء الشبكات الفتراضية الخاصة ، vertual private networksرقابة
محتوى البيانات الوقاية من الفيروسات ،وحتى ادارة نوعية الخدمة
، quality of serviceوهذه الخدمات جميعها تعتمد على ميزة اساسية وهي
ان الجدران النارية تقع على طرف الشبكة ،وخلل العقد الماضي ،كانت
الجدران النارية ببساطة ،مجرد أدوات بسيطة تعمل كمنفذ للنترنت -او
بكلمات أخرى كحراس على طرف الشبكة -تقوم بتنظيم حركة البيانات
وحفاظ على أمن الشبكة .وقد ظهرت اول الجدران النارية للشبكات في
عام 1980وكانت عبارة عن موجهات تستخدم في تقسيم هذه الشبكات
الى شبكات محلية LANصغيرة .وكانت مثل هذه الجدران النارية توضع
في مواقعها هذه للحد من انتشار المشاكل التي يواجهها جزء من الشبكة
25
الى الجزاء الخرى .وقد تم استخدام اول الجدران النارية لتحقيق المن
في أوائل التسعينات ،وكانت عبارة عن موجهات لبروتوكول IPمع
قوانين فلترة كانت تبدوا كالتالي :اسمح لفلن بالدخول والنفاذ الى
الملف التالي .او امنع فلن ) او برنامجا ( من الدخول من المنطقة ) او
المناطق ( التالية .وقد كانت هذه الجدران النارية فعالة ،ولكنها
محدودة .حيث كان من الصعب في العادة إتقان وضع قوانين فلترة
البيانات ،ومن الصعب في بعض الحيان تحديد اجزاء التطبيقات المراد
منعها من النفاذ الى الشبكة .وفي احيان أخرى كانت عناصر الشبكة ،
مثل الموظفين العاملين ضمنها ،تتغير ،مما كان يستدعي تغيير القوانين ،
ولذلك ،كان الجيل التالي من الجدران النارية اكثر قدرة واكثر مرونة
للتعديل .
والجدران النارية كانت توضع على ما يعرف بالمستضيفات الحصينة
Bastion Hostواول جدار ناري من هذا النوع ،يستخدم الفلتر وبوابات
التطبيقات ) البرمجيات الوسيطة (Proxyكان من شركة ديجيتال اكويبمنت
،وكان يعتمد على الجدار الناري من شركة Decحيث ان مختبرات
الشبكات التابعة لشركة Decهي التي وضعت اول الجدران النارية التي
انتجتها الشركة .وفي يونيو 1991طرحت شركة Decفي السواق اول
الجدران النارية وخلل الشهور التي تلت ذلك ،ابتكر شخص يدعى
ماركوس رانوم في شركة ديجيتال البرمجيات الوسيطة Proxiesوأعاد
كتابة جزء من الكود الخاص بالجدران النارية ،ليتم بعد ذلك طرح منتج
Dec sealوالذي كان يتكون في اول المر من نظام خارجي يدعى بحارس
البوابة ، Gatekeeperوهو النظام الوحيد الذي يمكنه مخاطبة النترنت وكان
هناك أيضا بوابة للفلترة ،ومشبك داخلي للبريد .
من هذه البدايات البسيطة ،دفع التنافس الحاد بين المزودين للحصول
على حصة سوقية من سوق الجدران النارية ،الى المزيد من البتكارات ،
ليس فقط في مجال تسريع أداء الجدران النارية وتقديم خدماتها ،بل
وأيضا في تضمينها قدرات متعددة تفوق ما كان متوفرا في تلك اليام ،
وتتمثل هذه القدرات بما يلي -:
-التحقق من هوية المستخدمين -:ذلك ان اول ما اضافة
المطورون الى الجدران النارية الولى كانت القدرات القوية للتحقق
من الهوية ،واذا كانت السياسيات المنية التي تتبعها المؤسسة
تسمح بالنفاذ الى الشبكة من شبكة خارجية ،مثل النترنت ،فانه ل
بد من استخدام ميكانيكية ما للتحقق من هوية المستخدمين .
والتحقق من الهوية يعني ببساطة التأكد من صحة هوية المستخدم
بشكل يتجاوز مجرد التحقق من اسم المستخدم والكلمات السرية
والتي ل تعتبر بحد ذاتها وسيلة قوية للتحقق من هوية
المستخدمين .ذلك انه وعلى وصلة غير خاصة ،مثل وصلة غير
مشفرة عبر النترنت ،فان أسماء المستخدمين وكلماتهم السرية
يمكن نسخها واعادة استخدامها ، Replay Attacksأما الساليب القوية
للتحقق من هوية المستخدمين فتستخدم اساليب التشفير مثل
الشهادات الرقمية ، Certificatesاو برمجيات حساب الشفرات
الرقمية الخاصة .وبواسطة الشهادات الرقمية يمكن تفادي هجمات
26
إعادة الستخدام حيث يتم نسخ اسم المستخدم وكلماته السرية
واعادة استخدامها للنفاذ الى الشبكة .
الشبكات الفتراضية الخاصة -:أما الضافة الثانية الى الجدران -
النارية للنترنت فكانت التشفير البيني للجدران النارية firewall - to
firewallوكان اول منتج من هذا النوع هو ، ans interlockوهذه
المنتجات هي ما ندعوها اليوم بالشبكات الفتراضية الخاصة virtual
. private networksوهذه الشبكات خاصة لنها تستخدم التشفير ،وهي
افتراضية خاصة لنها تستخدم النترنت وشبكات عامة لنقل
المعلومات الخاصة .ورغم ان الشبكات الفتراضية الخاصة كانت
متوفرة قبل برمجيات الجدران النارية باستخدام الموديمات او
الموجهات للتشفير لكنها اصبحت تستخدم فيما بعد ضمن برمجيات
الجدران النارية .ويمكن باستخدام تقنيات الشبكات الفتراضية
الخاصة ان تقوم المؤسسات باستبدال مرافق التصالت المؤجرة
وقنوات مشفرة عبر الشبكات العامة مثل النترنت .
مراقبة المحتوى -: Content Screeningوخلل العامين الماضيين -
اصبح من الشائع استخدام الجدران النارية كادوات لمراقبة المحتوى
الوارد الى الشبكة .
ومن بعض الضافات التي وضعت في برمجيات الجدران النارية هي -
البحث عن الفيروسات ،ومراقبة عناوين النترنت ،منع برمجيات
جافا ،وبرمجيات فحص ومراقبة الكلمات السرية.
الجدران النارية الخاصة -: firewall appliancesوهو جيل جديد -
من الجدران النارية الذي بدأ المزودون بطرحه خلل العام
الماضي .وهذا الجيل يحتوي على عدد من التقنيات بما في ذلك
حلول جدران نارية جاهزة turnkeyبمعنى انها ل تحتاج الى إعداد من
قبل المستخدم ويمكن البدء باستخدامها فور الحصول عليها دون
الحاجة الى اجراء اية تعديلت خاصة على نظام التشغيل او البنية
التحتية المستخدمة .
27
تحظى تقنيات وسياسات التشفير في الوقت الحاضر باهتمام استثنائي
في ميدان أمن المعلومات ،ومرد ذلك ان حماية التشفير يمثل الوسيلة
الكثر اهمية لتحقيق وظائف المن الثلثة ،السرية والتكاملية وتوفير
المعلومات ،فالتشفير تقنيات تدخل في مختلف وسائل التقنية المنصبة
على تحقيق حماية هذه العناصر ،فضمان سرية المعلومات اصبح يعتمد
من بين ما يعتمد على تشفير وترميز الملفات والمعطيات بل تشفير
وسائل التثبت وكلمات السر ،كما ان وسيلة حماية سلمة المحتوى تقوم
على تشفير البيانات المتبادلة والتثبت لدى فك التشفير ان الرسالة
اللكترونية لم تتعرض لي نوع من التعديل او التغيير ،ويعد التشفير بوجه
عام وتطبيقاته العديدة وفي مقدمتها التواقيع اللكترونية ،الوسيلة
الوحيدة تقريبا لضمان عدم انكار التصرفات عبر الشبكات اللكترونية ،
وبذلك فان التشفير يمثل الستراتيجية الشمولية لتحقيق اهداف المن من
جهة ،وهو مكون رئيس لتقنيات ووسائل المن الخرى ،خاصة في بيئة
العمال اللكتروينة والتجارة اللكترونية والرسائل اللكترونية وعموما
البيانات المتبادلة بالوسائط اللكترونية .
ومن حيث مفهومه ،فان التشفير يمر بمرحلتين رئيستين ،الولى تشفير
النص على نحو يحوله الى رموز غير مفهومة او مقروءة بلغة مفهومة ،
والثانية ،فك الترميز باعادة النص المشفر الى وضعه السابق كنص
مفهوم ومقروء ،وهذه المسالة تقوم بها برمجيات التشفير التي تختلف
أنواعها ووظائفها .اما من حيث طرق التشفير ،فثمة التشفير الترميزي ،
والتشفير المعتمد على مفاتيح التشفير ،التي قد تكون مفاتيح عامة او
خاصة او مزيجا منها ،وللوقوف على ابرز اغراض وعناصر التشفير
وطرقه التقنية نورد تاليا مواد مختارة تتناول هذه المسائل مع الشارة الى
مصادرها .
28
Security Policy ما هي استراتيجية أمن المعلومات
؟
لدى إعداد اية استراتيجية بشأن أمن المعلومات ،ولكي تكون هذه
الستراتيجية فاعلة ومنتجة وهادفة ل بد ان يساهم في اعدادها وتفهمها
وتقبلها وتنفيذها مختلف مستويات الوظيفة في المنشأة الواحدة اضافة
الى حاجتها الى التعاون والدعم الكامل من الكافة ،من هنا فان المعنيين
باعداد سياسة أمن المعلومات يتوزعون الى مراتب وجهات عديدة داخل
المنشأة ،لكن بوجه عام تشمل مسؤولي أمن الموقع ومديري الشبكات
وموظفي وحدة الكمبيوتر ومديري الوحدات المختلفة في المنشأة كوحدة
العمال والتسويق والبحث وغيرها وتشمل أيضا فريق الستجابة للحوادث
والعطال وممثلي مجوعات المستخدمين ومستويات الدارة العليا الى
جانب الدارة القانونية .
29
أما من حيث المحتوى -:فان أساسي أمن المعلومات تمتد الى العديد
من المناحي المتصلة بنظم المعلومات وادارتها والتعامل معها اضافة الى
المسائل المتعلقة بالمعلومات ذاتها وتعامل الغير مع معلومات المنشأة ،
من هنا تشمل الستراتيجية سياسة واضحة بشأن اقتناء وشراء الجهزة
التقنية وادواتها ،والبرمجيات ،والحلول المتصلة بالعمل ،والحلول
المتعلقة بادارة النظام .كما تشمل استراتيجية الخصوصية المعلوماتية ،
وهي التي تحدد مراتب المعلومات وقيمتها ووصفها من حيث السرية كما
تبين الستثناءات التي تعتمدها الستراتيجية على حق الخصوصية لموظفي
المنشأة مع مبررات هذه الستثناءات ،كرقابة البريد اللكتروني مثل او
رقابة الدخول الى المنشأة او رقابة الوصول الى ملفات المستخدمين
بالمنشأة .ومن حيث الدخول الى الشبكات والمعلومات فل بد من
استراتيجية دخول واضحة تحدد حقوق وامتيازات كل شخص في المنشأة
للوصول الى ملفات او مواقع معينة في النظام اضافة الى سياسة بشأن
التعامل مع التصالت الخارجية ،المعطيات اجهزة ووسائل التصال
المستخدمة ،اضافة البرامج الجديدة ،استراتيجيات المراسلة مع الخرين
.
وتضم استراتيجية المعلومات أيضا استراتيجية الشتراكات التي تحدد
سياسة المنشأة بشأن اشتراكات الغير في شبكتها او نظمها ،وكذلك
استراتيجيات التعامل مع المخاطر والخطاء بحيث تحدد ماهية المخاطر
وإجراءات ابلغ عنها والتعامل معها والجهات المسؤولة عن التعامل مع
هذه المخاطر .
30
- 1أمن التصالت :ويراد بأمن التصالت حماية المعلومات خلل
عملية تبادل البيانات من نظام الى اخر
- 2أمن الكمبيوتر :ويراد به حماية المعلومات داخل النظام بكافة
أنواعها وانماطها كحماية نظام التشغيل و حماية برامج التطبيقات
وحماية برامج ادارة البيانات وحماية قواعد البيانات بانواعها المختلفة .
ول يتحقق أمن المعلومات دون توفير الحماية المتكاملة لهذين
القطاعين عبر معايير امنية تكفل توفير هذه الحماية ،ومن خلل
مستويات أمن متعددة ومختلفة من حيث الطبيعة .
المخاطر
هناك مخاطر عديدة يمكن ان تواجه نظام المعلومات بما في ذلك أنظمة
التجارة اللكترونية وابرز هذه المخاطر ما يلي :
- 1اختراق النظمة :ويتحقق ذلك بدخول شخص غير مخول بذلك الى
نظام الكمبيوتر والقيام بأنشطة غير مصرح له بها كتعديل البرمجيات
التطبيقية وسرقة البيانات السرية او تدمير الملفات او البرمجيات او
النظام او لمجرد الستخدام غير المشروع .ويتحقق القتحام بشكل
تقليدي من خلل انشطة ) التقنيع والتخفي ( ويراد به تظاهر الشخص
المخترق بانه شخص اخر مصرح له بالدخول .او من خلل استغلل
نقاط الضعف في النظام كتجاوز إجراءات السيطرة والحماية او من
خلل المعلومات التي يجمعها الشخص المخترق من مصادر مادية او
معنوية ،كالتنقيب في قمامة المنشأة للحصول على كلمات السر او
معلومات عن النظام او عن طريق الهندسة الجتماعية كدخول
الشخص الى مواقع معلومات حساسة داخل النظام ككلمات السر او
المكالمات الهاتفية .
- 2العتداء على حق التخويل :ويتم من خلل قيام الشخص المخول
له استخدام النظام لغرض ما باستخدامه في غير هذا الغرض دون ان
31
يحصل على التخويل بذلك ،وهذا الخطر يعد من الخطار الداخلية في
حقل إساءة استخدام النظام من قبل موظفي المنشأة ،وهو قد يكون
أيضا من الخطار الخارجية ،كاستخدام المخترق حساب شخص
مخول له باستخدام النظام عن طريق تخمين كلمة السر الخاصة به او
استغلل نقطة ضعف بالنظام للدخول اليه بطريق مشروع او من جزء
مشروع ومن ثم القيام بانشطة غير مشروعة .
- 3زراعة نقاط الضعف :عادة ينتج هذا الخطر عن اقتحام من قبل
شخص غير مصرح له بذلك او من خلل مستخدم مشروع تجاوز حدود
التخويل الممنوح له بحيث يقوم الشخص بزرع مدخل ما يحقق له
الختراق فيما بعد .ومن اشهر امثلة زراعة المخاطر حصان طروادة ،
وهو عبارة عن برنامج يؤدي غرضا مشروعا في الظاهر لكنه يمكن ان
يستخدم في الخفاء للقيام بنشاط غير مشروع ،كان يستخدم برنامج
معالجة كلمات ظاهريا لتحرير وتنسيق النصوص في حين يكون غرضه
الحقيقي طباعة كافة ملفات النظام ونقلها الى ملف مخفي بحيث
يمكن للمخترق ان يقوم بطباعة هذا الملف والحصول على محتويات
النظام .
- 4مراقبة التصالت :بدون اختراق كمبيوتر المجني عليه يتمكن
الجاني من الحصول على معلومات سرية غالبا ما تكون من المعلومات
التي تسهل له مستقبل اختراق النظام وذلك ببساطة من خلل مراقبة
التصالت من إحدى نقاط التصال او حلقاتها .
- 5اعتراض التصالت :وكذلك بدون اختراق النظام يقوم الجاني في
هذه الحالة باعتراض المعطيات المنقولة خلل عملية النقل ويجري
عليها التعديلت التي تتناسب مع غرض العتداء ويشمل اعتراض
التصالت قيام الجاني بخلق نظام وسيط وهمي بحيث يكون على
المستخدم ان يمر من خلله ويزود النظام بمعلومات حساسة بشكل
طوعي .
- 6انكار الخدمة :ويتم ذلك من خلل القيام بأنشطة تمنع المستخدم
الشرعي من الوصول الى المعلومات او الحصول على الخدمة وابرز
انماط انكار الخدمة ارسال كمية كبيرة من رسائل البريد اللكتروني
دفعة واحدة الى موقع معين بهدف اسقاط النظام المستقبل لعدم
قدرته على احتمالها او توجيه عدد كبير من عناوين النترنت على نحو ل
يتيح عملية تجزئة حزم المواد المرسلة فتؤدي الى اكتظاظ الخادم
وعدم قدرته على التعامل معه .
- 7عدم القرار بالقيام بالتصرف :ويتمثل هذا الخطر في عدم
اقرار الشخص المرسل اليه او المرسل بالتصرف الذي صدر عنه ،كأن
ينكر انه ليس هو شخصيا الذي قام بارسال طلب الشراء عبر النترنت
وتنطلق الستراتيجية الفاعلة من القدرة على ايجاد نظام متواصييل لعملييية
تحليل المخاطر وتحديد احتياجات الحماية ،وعملييية تحليييل المخيياطر هييي
في حقيقتها نظام متكامل للتحليل وسلمة التصرف تبدأ من العداد الجيد
القائم علييى فهيم وادراك وتحديييد عناصيير النظيام والعملييات والمخيياطر ،
ومن ثم تحديييد معييايير التهديييد ونطيياق الحماييية المطلييوب منهييا وتبعييا لييه
32
وسائل الحماية ،لتنتهي ببيان معيار الخسارة المقبولة التي يتصور تحققها
بغض النظر عن مستوى الحماية ومستوى الستعداد للمواجهة.
33
تنصب أساسي أمن المعلومات في حقل تحقيق أمن النترنت على
مواضع ثلث -:أمن الشبكة ،أمن التطبيقات ،أمن النظم .وكل منها
ينطوي على قواعد ومتطلبات تختلف عن الخرى ويتعين ان تكون أنظمة
المن في هذه المواضع الثلث متكاملة مع بعضها حتى تحقق الوقاية
المطلوبة لنها بالعموم تنطوي أيضا على اتصال وارتباط بمستويات المن
العامة كالحماية المادية والحماية الشخصية والحماية الدارية والحماية
العلنية .وفيما تقدم اشرنا الى العناصر المتصلة بأمن النظم والبرمجيات
والمعطيات وبقي ان نشير في هذا المقام الى أمن الشبكات -:
ان ما يحمى من خلل أمن الشبكة هو عملية التصال والتبادل بين أحد
كمبيوترات الشبكة )النظام النهائي سواء اكان نظام الزبون ان نظام
المستضيف ) الخادم ( وبين كمبيوتر اخر ضمن الشبكة ،فإذا ارتبط
النظام النهائي بالنترنت مباشرة دون وجود وسائل أمن ما بين هذا النظام
والشبكة فان اية حزمة بيانات مرسلة قد يلحق بها ما يلي :
أ -قد يتم تغيرها خلل عملية النقل
ب -قد ل تظهر من حيث مصدرها من الجهة التي قدمت منها
ج -قد تكون جزء من هجوم يستهدف النظام
د -قد ل تصل الى العنوان المرسلة اليه
هي -قد يتم قراءتها والطلع عليها وافشاؤها من الغير .
ويهدف أمن الشبكات من جهة أخرى الى حماية الشبكة نفسها واظهار
الثقة لدى مستخدم النظام النهائي بتوفر وسائل الحماية في تعامله مع
الشبكة وكذلك اظهار الشبكة ذاتها بانها تحتوى على وسائل أمن ل تتطلب
معها ان يكون كمبيوتر المستخدم محتويا على وسائل خاصة .
وتتضمن وسائل أمن الشبكة ما يلي - :
- 1التعريف والسلمة من خلل تزويد نظام المستقبل بالثقة في
حماية حزم المعلومات والتأكد من ان المعلومات التي وصلت لم
يتم تعديلها .
- 2السرية :حماية محتوى حزم المعلومات من الفشاء ال للجهات
المرسلة اليها .
- 3التحكم بالدخول :تقيد التصالت بحصرها ما بين النظام المرسل
والنظام المستقبل .
34
المؤسسات والفراد اطار عاما لفهم عناصيير ومتطلبييات بنيياء نظييم الميين
الخاصة بالكمبيوتر والشبكات .
ومن بين المسائل التي تعالجها عادة هذه القوائم -:
-مسييائل واجبــات جهــات الدارة للتحقييق ميين وجييود سياسيية أميين
المعلومات موثقة ومكتوبة والتحقق من وجود عمليات تحليييل المخيياطر
وخطة المن وبناء الميين التقنييي وسياسيية ادارة التصييالت الخارجييية ،
ومييدى معرفيية واطلع المييوظفين علييى السياسيية المنييية ومعرفتهييم
بواجباتهم ،ومدى توفر تدريب على مسييائل الميين ومييا اذا كييان يخضييع
الموظفون الجدد لتدريب وتعريف حول محتوى الخطة .
-مسييائل تنظيــم شــؤون ادارة المــن ،والييتي تتعلييق بوجييود جهيية
مختصة بذلك في المؤسسة وما اذا كان هنالك دليييل مكتييوب ،وخطييط
ومسؤولية التعامل مع إجراءات التنفيذ والتعريف والتعامل مع الحييوادث
ومع خطط الطوارئ وغيرها.
-مسائل الموظفين أنفسهم من حيث مدى فحص التأهيل والكفيياءة
ومدى التزام الموظفين بتحقيق معايير المن على المستوى الشخصييي
او فيمييا يتعلييق بواجبيياتهم ،وأغراضييها المتصييلة بييالمن لييدى تعيييين
الموظفين وخلل عملهم ولدى انتهاء خدمتهم لي سبب ،وتتصييل أيضييا
بمدى توفر نصييوص عقدييية خاصيية فييي عقييود المييوظفين ومييدى تييوفر
وصف دقيق بوجباتهم الوظيفية المتصلة بإلحاق المعلومات .
-مسيييائل جهـــات تزويـــد الخدمـــة او المشـــورة كالمستشيييارين
والمدققين وغيرهم من حيث تغطية عقود التعامل معهم لمسائل الميين
المختلفة .
-مسائل تصنيف المعلومات من حيث توفرها ومعاييرها .
-مسائل البرمجيات من حيييث سياسييات شييرائها واسييتخدامها وتنزيلهييا
ومسائل الرخص المتصلة بها وآليات التعامييل مييع البرمجيييات المطييورة
داخليا وحقوق الوصول اليها واسييتخدامها ،ومسييائل حماييية البرمجيييات
التقنية والقانونية .
-مسائل الجهزة والمعدات من حيث توفر تصييور للحتياجييات وتييوفير
المتطلبات ومعايير توظييف الجهيزة فيي العميل ،واسيخداماتها والغياء
استخدامها ومسائل صيانة والتدقيق .
-مسائل التوثيق ،وهي الذي تتعلق مدى توفر استراتيجية توثيق لكافة
عناصر النظام ولكافة مرتكزات وعمليات خطط المن وسياساتها.
-المسائل المتصلة بوسائط التخزين خارج النظام من حيييث تحديييد
وسائط التخزين المستخدمة وتبويبهييا وحفظهيا والوصييول اليهييا وتبادلهييا
واتلفها .
-مسائل التعريف والتوثق من شخصييية المسييتخدم وحييدود صييلحيات
والتفويض ،وتتعلق بييالتحقق ميين تييوفر سياسيية التحكييم بهييذه العناصيير
والوسييائل المسييتخدمة فييي تحديييد الهوييية والتوثييق ميين المسييتخدم ،
واسييتراتيجيات حماييية وسييائل التعريييف تقنيييا واداريييا ،ومييدى صييلحية
المسييتخدمين ميين الخييارج او ميين داخييل المؤسسيية بشييأن الوصييول
للمعلوميييات او قطاعيييات منهيييا ،ومسيييائل التحقيييق مييين تصيييرفات
35
المستخدم ،مسائل أمن النظام من حيث توفر وسائل التثبت من حيييث
وقت الستخدام و المستخدمين .
مسييائل التصــالت ميين حيييث السيييطرة علييى وسييائل وتطبيقييات -
التصالت الداخلية والخارجية وتوثيق حركات التصييال وحماييية عمليييات
التصال والمعييايير التقنييية المسييتخدمة فييي ذلييك واسيتراتيجيات سيرية
ورقابة وتتبع واستخدام البريد اللكتروني .
مسائل ادارة الملفات وسجلت الداء واستخدام النظام ميين حيييث -
توفر وسييائل توثيقهييا وارشييفتها والتثبييت ميين جهييات النشيياء والتعييديل
والتعامل مع الملفات وقواعد البينات والبرامج التطبيقية .
مسائل النسخ الحتياطية من البيانات من حيييث وقييت عمييل النسييخ -
الحتياطييية وتخزينهييا واسييتخداماتها وتبويبهييا وتوثيقهييا وتشييفيرها اذا
كانت مما يتطلب ذلك .
مسائل الحماية المادية من حيث التوثق من توفير وسائل وإجييراءات -
الحماييية للجهييزة الكمييبيوتر والشييبكات والبنييى التحتييية ميين ومسييائل
الطاقة والتوصيلت ومدى توفر وسائل الوقاية من الحوادث الطبيعة او
المتعمدة اضافة الى وسائل حماية مكان وجود الجهزة والوسائط وادلة
المن المكتوبة ،والوسائل الماديية للوصيول اليى الجهيزة واسيتخدامها
من المخولين بذلك .
-مسائل التعامل مع الحوادث والعتداءات ،من حيييث تييوفر فريييق
لذلك وأغراضها التي يقييوم بهيا الفريييق لهيذه الغايية اضيافة اليى وجييود
ارتباط مييع جهييات التحقيييق الرسييمية وجهييات تطييبيق القييانون وجهييات
الخبرة المتخصصة بالمسائل المعقدة او التي ل تتوفر كفيياءات للتعامييل
معها داخل المؤسسة .
-مسائل خطط الطوارئ وخطط التعافي لتخفيف الضرار والعييودة
للوضع الطبيعي .
-مسييائل العلم المتعلقيية بالمعلومييات المتعييين وصييولها للكافيية او
لقطاعات محددة والتحقق من وضوح استراتيجية التعامل العلمييي مييع
الحوادث والعتداءات المتحققة .
ومع ان قوائم المراجعة هذه تتباين من مؤسسة الى أخرى ،ومن شييخص
الى اخر ،تبعا للواقع والحتياجات وطبيعة النظام والمعلومات والتطبيقات
العملية ال ان الكييثير منهييا يصييلح كإطييار عيام ومرجعييية لييدى وضييع هييذه
القوائم والدلة ،ومن ابرزها القوائم التي وضعها مجموعة خبراء في حقل
أمن المعلومات واعتمدتها منظمة الشرطة الدولية – النتربول.
36