أمن المعلومات :
محتويات البحث :
(1) مقدمة عن أمن المعلومات .
(2) الفرق بين البيانات والمعلومات .
(3) خصائص المعلومات الجيدة .
(4) تعريف أمن المعلومات .
(5) مفهوم أمن المعلومات .
(6) مراحل تطول مفهوم أمن المعلومات .
(7) مكونات نظام أمن المعلومات .
(8) عناصر أمن المعلومات .
(9) طرق اختراق أمن المعلومات .
(10) مجالات اختراق أمن المعلومات .
(11) أهداف أمن المعلومات .
(12) تهديدات أمن المعلومات .
مقدمة عن أمن المعلومات :
يعتبر تزايد المعلومات وكثرة الاعتماد عليها من أهم السمات التي تميز العصر الحالي ، ومع التطور التكنولوجي المتسارع ، زاد الاهتمام بأمن المعلومات ، وأصبح من القضايا الهامة والرئيسية التي يهتم بها مصممي النظم ومستخدميها على السواء لضمان حماية معلوماتهم والحفاظ عليها .
إن تطور تقنيات معالجة المعلومات وتداولها قد أدى إلى كثرة المعلومات وتشعبها ، مما ألقى عبئا كبيرا على المؤسسات للحفاظ على هذه المعلومات من خلال تنظيمها ، حفظها ، تحديثها ، وسرعة استرجاعها ، بالإضافة التأمينها وحمايتها . (القحطاني، 2008، ص 16)
كما أن ازدياد دور نظم المعلومات والاعتماد الكبير عليها في المجالات المختلفة أدى إلى بذل الكثير من الجهود لضمان الثقة والمصداقية لهذه النظم من حيث أمنها وشفافيتها للمستخدمين . (الشبلي، 2009، ص 209)
سنتناول في هذا البحث عدة مفاهیم مرتبطة بأمن المعلومات ، مثل الفرق بين البيانات والمعلومات ، خصائص المعلومات الجيدة، مفهوم أمن المعلومات ، مراحل تطوره ، مكونات نظامه ، عناصره ، طرق ومجالات اختراقه . كما سنتناول أيضا آليات تعزيز أمن المعلومات ، حيث تعتبر سياسات أمن المعلومات أحد هذه الآليات .
الفرق بين البيانات والمعلومات :
ان المعلومات تختلف عن البيانات ، مع أن المصطلحان يستعملان غالبا على أنهما يمثلان المعنى نفسه في حياتنا اليومية ، لذلك، فإنه من المهم توضيح الفرق بين المصطلحين قبل الدخول في مفهوم نظم وأمن المعلومات . ( تعلب ،2011، ص37)
(أ) البيانات ( Data ) :
البيانات هي مجموعة حقائق غير منظمة قد تكون في شكل أرقام أو كلمات أو رموز لا علاقة بين بعضها البعض ، أي ليس لها معنى حقيقي ولا تؤثر في سلوك من يستقبلها . (سلطان، 2000، ص 41).
وهي المادة الخام التي تشتق منها المعلومات ، وهي تمثل ( ترمز إلى ) الأشياء والحقائق والأفكار والآراء والأحداث والعمليات التي تعبر عن مواقف وأفعال ، أو تصف هدفا أو ظاهرة أو واقعا معينا دون أي تعديل أو تفسير أو مقارنة ، ويتم التعبير عنها بكلمات أو أرقام أو رموز أو أشكال . ( الحسنية ، 2002 ، ص38 ) .
مما سبق يمكن تعريف البيانات كالتالي :
هي مجموعة من الحقائق الخام وغير المنظمة للمعلومات ، والتي لا يمكن الاستفادة منها إلا بعد معالجتها .
(ب) المعلومات ( Information )
المعلومات هي البيانات المجهزة في شكل منظم ومفيد وبالتالي فهي نوع من المعرفة الناتجة عن عمليات تشغيلية لخدمة أغراض بعينها . (المغربي، 2002، ص 29)
وهي البيانات المنظمة والمنسقة بطريقة توثيقية مناسبة ، بحيث تعطي معنى خاص ، وتركيبة متجانسة من الأفكار والمفاهيم ، تمكن الإنسان من الاستفادة منها في الوصول إلى المعرفة واكتشافها .
وبالتالي يمكن تعريف المعلومات :
هي عبارة عن بيانات تمت معالجتها لتتم الاستفادة منها لتساهم في اتخاذ القرارات المناسبة .
خصائص المعلومات الجيدة :
ان المعلومات الجيدة هي معلومات مفيدة وذات قيمة لمستخدمها ، وتفرض الثقة في نفسه ، وتساعده في اتخاذ القرارات .
وحتى تتصف المعلومات بأنها جيدة ، يجب أن تتسم بالخصائص التالية :
1. الشمولية ( Comprehensiveness ) :
يجب أن تتصف المعلومات بالكمال الذي يفيد متخذي القرار .
2. الدقة ( Accuracy ) :
أن تتوفر المعلومات حسب طلب المستخدم والموضوع محل البحث .
3. التوقيت ( Timely ) :
أن ترد المعلومات في الوقت المناسب لمستخدمها لاتخاذ القرارات الفعالة .
4. الوضوح ( Clarity ) :
أن تكون المعلومات خالية من الغموض ، ومفهومة بشكل كبير لمستخدمها .
5. الموضوعية (Objectivity):
أن تكون المعلومات خالية من قصد التحريف أو التغيير لغرض التأثير على مستخدمها .
6. المرونة (Flexibility):
أن تكون المعلومات قابلة للتكيف بحيث يمكن استخدامها أكثر من مرة .
7. التكلفة ( Cost ) :
أن يكون العائد المتوقع من المعلومات أكبر من تكلفة الحصول عليها .
8. الواقعية ( Realistic ) :
أن تكون المعلومات ممثلة للواقع ، أي مأخوذة من واقع حالة المشكلة . ( المغربي ، 2002 ، ص32 ) ( الشرمان ، 2004 ، ص19 )
تعريف أمن المعلومات :
يعتمد تعريف الأمن إلى حد كبير على السياق ، حيث أن كلمة " الأمن " تشير إلى طيف واسع من المجالات سواء ضمن حقل تكنولوجيا المعلومات أو خارجها .
تعددت تعريفات امن المعلومات ومنها :
(1) الحقل الذي يهتم بدراسة طرق حماية البيانات المخزنة في أجهزة الحاسوب إضافة إلى الأجهزة الملحقة وشبكات الاتصالات والتصدي للمحاولات الرامية إلى الدخول غير المشروع إلى قواعد البيانات المخزونة أو تلك التي ترمي إلى نقل أو تغيير أو تخریب الخزين المعلوماتي لهذه القواعد . ( الحميدي وآخرون ، 2005 ، ص265 )
(2) حماية جميع أنواع المعلومات ومصادر الأدوات التي تتعامل معها وتعالجها ، من منظمة ، وغرفة تشغيل أجهزة ، والأجهزة ، ووسائط التخزين ، والأفراد من السرقة والتزوير والتلف والضياع والاختراق وذلك باتباع إجراءات وقائية وضوابط واضحة . ( الحميد ، ونينو ، 2007 ، ص 34 )
(3) العلم الذي يعمل علي توفير الحماية للمعلومات من المخاطر التي تهددها او الاعتداء عليها ، وذلك من خلال توفير الادوات والوسائل اللازم توفيرها لحماية المعلومات من المخاطر الداخلية او الخارجية . ( الطاهر والخفاف ، 2011 ، ص297 )
مما سبق يمكن تعريف أمن المعلومات كما يلي :
عبارة عن مجموعة من الاجراءات الادارية والتقنية التي يتم اتخاذها لضمان توفير الحماية اللازمة للمعلومات من التهديدات الداخلية او الخارجية .
مفهوم أمن المعلومات :
مفهوم أمن المعلومات من الناحية النظرية :
العلم الذي يبحث في نظريات واستراتيجيات توفير الحماية للمعلومات ، من المخاطر التي تهددها ومن أنشطة الاعتداء عليها .
مفهوم أمن المعلومات من الناحية التقنية :
الوسائل والأدوات والاجراءات اللازم توفيرها لضمان حماية المعلومات من الأخطار الداخلية والخارجية . ( الشبلي ، 2009 ، ص211 )
مراحل تطور مفهوم أمن المعلومات :
لقد مر مفهوم أمن المعلومات بمراحل متعددة تطورت من مفهوم " أمن الحواسيب " وصولا لمفهوم " أمن المعلومات ".
يمكن تقسيم مراحل تطور مفهوم أمن المعلومات إلى ثلاث حقب زمنية على النحو التالي:
(1) الستينات :
في هذه المرحلة كانت الحواسيب هي كل ما يشغل العاملين ، بالإضافة إلى كيفية تنفيذ البرامج ، فلم يكن العاملون مشغولون بأمن المعلومات بقدر انشغالهم بعمل الأجهزة .
ولقد كان مفهوم الأمن يدور حول تحديد الوصول أو الاطلاع على البيانات من خلال منع أي جهة خارجية من التلاعب في الأجهزة ، فظهر مصطلح " أمن الحواسيب " والذي يعني حماية الحواسيب وقواعد البيانات .
(2) السبعينات :
في هذه المرحلة تم الانتقال لمفهوم " أمن البيانات " ، وبدأ استخدام كلمات السر البسيطة للسيطرة على الوصول للبيانات ، إضافة لوضع إجراءات حماية المواقع الحواسيب من الكوارث ، كما رافق ذلك اعتماد خطط لتخزين نسخ إضافية من البيانات والبرمجيات بعيدا عن مواقع الحواسيب .
(3) الثمانينات والتسعينات :
في هذه المرحلة تم الانتقال لمفهوم " أمن المعلومات "، وذلك نظرا للتطورات في مجال تكنولوجيا المعلومات والتي سمحت لأكثر من مستخدم للمشاركة في قواعد البيانات ، فأصبح من الضروري المحافظة على المعلومات ، وتكاملها ، وتوفر درجة موثوقيتها . وهو المفهوم الذي تتحدث عنه في اطار البحث الحالي . ( الحميدي وآخرون ، 2005 ، ص265 )
مكونات نظام أمن المعلومات :
تتعدد المكونات التي تشكل نظام أمن المعلومات ، وترتبط مع بعضها ارتباطا وثيقا لتحقيق أمن المعلومات .
يتكون نظام أمن المعلومات من اربعة مكونات أساسية هي كالتالي :
(1) العمليات ( Processes ) :
هي جوهر نظام أمن المعلومات ، ويحكمها مجموعة من المعايير مثل المعايير التي قررتها المنظمة الدولية للتوحيد القياسي ISO ، ويجب أن تطبق العمليات بطريقة منظمة ، وأن يتم مراجعتها باستمرار لتجنب الأخطاء والمخاطر .
(2) الأفراد ( People ) :
تمثل العاملين ، المستشارين ، المتعاقدين ، والفنيين . يجب أن تتواجد هذه الفئات بأعداد وتخصصات ملائمة ، وبمهارات وخبرات ودافعية مناسبة .
(3) التكنولوجيا ( Technology ) :
وهي التقنيات المتوافرة والجاهزة بالفعل ، ويعتبر سوق التكنولوجيا ذا طابع تنافسي ومنتجاته ذات دورة حياة قصيرة نسبيا .
(4) الثقافة ( Culture ) :
تتعلق بأخلاقيات المنظمة تجاه المجتمع .
ويعتبر كل من السياسات الموثقة والموزعة على العاملين ، بالإضافة إلى المساندة والالتزام تجاه أمن المعلومات من قبل الإدارة العليا في المؤسسة من الأوجه الثقافية في إدارة نظام أمن المعلومات الناجح .
عناصر أمن المعلومات :
تسعي كافة وسائل أمن المعلومات لتحقيق الغاية الرئيسية المتمثلة في ضمان حماية المعلومات والمحافظة عليها .
ان هدف الابحاث والاستراتيجيات ووسائل أمن المعلومات يتمثل في ضمان توفر ثلاثة عناصر رئيسية لأية معلومات ، وهي :
(1) سرية المعلومات ( confidentiality ) :
تشمل كافة التدابير اللازمة لمنع اطلاع الجهات غير المصرح لها علي المعلومات الحساسة او السرية .
(2) تكامل وسلامة المعلومات ( Integrity ) :
تشمل كافة التدابير اللازمة لحماية المعلومات من التغيير .
(3) توفر المعلومات ( Availability ) :
تشمل كافة التدابير اللازمة لضمان التأكد من استمرار القدرة علي تقديم الخدمات والتفاعل مع المعلومات والوصول إليها .
(4) عدم انكار التصرف المرتبط بالمعلومات ممن قام به ( Non - Reputation ) :
ضمان عدم انكار الشخص انه قام بتصرف ما متصل بالمعلومات .
طرق اختراق أمن المعلومات :
تتعدد الطرق التي يمكن من خلالها أن تتم عملية الاختراق لأمن المعلومات مما يؤدى لوصول أشخاص غير مخولين لبيانات ومعلومات قد تكون هامة وسرية .
وفيما يلي الطرق الرئيسية لإختراق أمن المعلومات :
(أ) التجسس التنافسي ( Competitive Spying ) :
ويقصد بها عملية الدخول غير المشروع الي معلومات المؤسسة لأحد الاسباب التالية : زيادة حدة التنافس ، انخفاض ولاء العاملين ، قصر دورة حياة المنتج ، انخفاض هامش الربح .
ويمكن ان تتم عملية التجسس التنافسي بعدة طرق مثل : التنصت ، التفتيش الدقيق في نفايات الشركة ، الالتقاط الذهني للمعلومات من شاشة الحاسوب ، او اعتماد ذرائع وهمية في عملية الدخول لنظم الحاسوب .
(ب) سوء استخدام المعلومات ( Mesuse of Information ) :
وهي الحالة التي يتم فيها استخدام المعلومات من قبل أشخاص مخول لهم الاطلاع عليها ، ولكن يسيئون استخدامها بغرض تحقيق اهداف غير مشروعة ، هذه الاهداف قد تكون أهدافا شخصية ، او لتحقيق مبالغ مالية من المنافسين .
(ج) الإهمال ( Negligence ) :
إن السبب الرئيسي لإهمال العاملين هو تهاونهم وضعف ادراكهم لأهمية الاحتفاظ بسرية المعلومات ، او عدم معرفتهم المعلومات التي تحتاج لحماية ، ومن يمتلك الدافع لسرقتها سواء من داخل المؤسسة او خارجها .
(د) تدمير المعلومات ( Information Destruction ) :
تتم هذه العملية عن طريق استخدام الفيروسات التي تعمل على إتلاف البرامج والمعلومات ، حذفها ، تحريفها ، إعادة تسميتها ، أو تغيير تواريخ تخزينها .
مجالات اختراق أمن المعلومات :
إن دوافع الاختراق تتعدد ، فقد تكون دوافع سياسية ، تجارية ، انتقامية أو دوافع شخصية . (تعلب، 2011، ص 276).
ويمكن تصنيف مجالات اختراق أمن المعلومات كالتالي :
(أ) الملفات الورقية ( Paper Files ) :
على الرغم من استخدام النظم الحاسوبية إلا أن الملفات الورقية لا زالت تستحوذ على النسبة الأكبر للملفات المستخدمة في المؤسسات ، وتتعدد الفرص المتاحة في هذا المجال ، مثل : رمي النسخ رديئة الطباعة والتي تحتوي على معلومات هامة دون القيام بإتلافها بصورة مناسبة ، أو فشل إدارة المؤسسة في التعامل مع البحوث الداخلية التي تنشرها المؤسسة والتي قد تحتوي على معلومات حساسة ومهمة .
(ب) الهاتف النقال (Mobile) :
يمكن أن تتم عملية الاختراق إما من خلال استراق السمع ، أو من خلال التقاط المعلومات بواسطة الماسحات الضوئية الخاصة بأجهزة الراديو عند ضبطها على التردد المناسب .
(ج) الثرثرة ( Gossip ) :
يمكن أن تتم عملية الاختراق من خلال المناقشات والحديث الذي يجري بين العاملين في المؤسسة ، حيث أنه من الممكن أن يتطرقوا لمعلومات سرية خاصة بالمؤسسة ، كما ويمكن أن تتم من خلال المناقشات التي تجري في الاجتماعات الرسمية والمؤتمرات ، فيجب أن يتوخی المتحدث باسم المؤسسة الحذر الشديد في طرحه للمواضيع .
(د) الملفات الالكترونية ( Electronic Files ) :
يتيح استخدام الملفات الالكترونية فرصا عديدة في عملية اختراق أمن المعلومات ، ومن هذه الفرص : إساءة استخدام كلمات السر (اشراك الآخرين بكلمات السر ، انشاء كلمات سر ذات دلالة خاصة في الحياة اليومية ، الاستمرار مدة طويلة دون تغيير كلمة السر ، الاحتفاظ بنسخ مكتوبة من كلمة السر في أماكن سهل الوصول إليها )، ترك أجهزة الحاسوب مفتوحة أثناء التنقل مما يسمح بالاطلاع عليها أو نسخ بياناتها ، ترك حافظات الأقراص مفتوحة مما يسهل سرقتها ، نسخها ، أو تعريضها للتلف .
(هـ) أجهزة الفاكس :
ان اجهزة الفاكس تعتبر أيضا من مجالات اختراق أمن المعلومات ، حيث انه علي الرغم من المزايا التي تقدمها هذه الاجهزة ، لكنها قد تتيح الفرصة لاختراق أمن المعلوموات عند وضعها في مواقع عامة دون قيود تمنع الوصول إليها ، أو عن طريق الانتفاع من الخطوط الهاتفية وأخذ خط منها بسهولة والوصول للمعلومات السرية .
أهداف أمن المعلومات :
الهدف الرئيسي من أمن المعلومات هو حماية نظام المعلومات بالشركة ومكوناته ، بناءا علي ذلك فإن السبب الرئيسي لأمن الأصول المعلوماتية هو التاكد من عدم تعرضها للمخاطر وأنها متاحة للأشخاص المصرح لهم .
بناءا علي ما تقدم فإن أهداف أمن المعلومات تتلخص فيما يلي :
(1) نزاهة المعلومات ( Information Integrity ) :
تكون المعلومات نزيهة عندما تكون المعلومات المستخرجة من النظام دقيقة وموثوقة .
(2) السرية ( confidentiality ) :
يجب الاحتفاظ بالمعلومات السرية بعيدا عن الأشخاص غير المصرح لهم .
(3) التحقيق من المستخدم ( User Authentication ) :
هي عملية المصادقة علي هوية الاشخاص المصرح لهم .
تهديدات أمن المعلومات :
تتزايد التهديدات التي تتعرض لها المنظمات نتيجة التطور المتسارع في الأساليب التي يمكن من خلالها الوصول لبيانات ومعلومات سرية خاصة بالمنظمة بشكل غير مصرح به بهدف تعديلها او سرقتها او حتى تدميرها .
يمكن تصنيف أساليب الاحتيال الالكتروني بهدف الحصول علي المعلومات بأسلوب غير مصرح به الي ثلاث أساليب وهي :
(1) اختراق الشبكات ( Hacking ) :
ويقصد به الوصول غير المصرح به للشبكة او نظام المعلومات المحاسبي بهدف تعديل البيانات او المعلومات او سرقتها او تدميرها.
ويحتوي هذا الأسلوب علي عدة تقنيات منها كمثال لتقنيات شائعة في هذا المجال :
أ- سرقة كلمة السر ( Password Cracking ) :
اختراق الشبكة والاطلاع علي المعلومات الخاصة بالشركة من خلال سرقة كلمة السر الخاصة بالمعنيين داخل الشركة .
ب- هجمات حقن قواعد البيانات ( structured Query Language Injection Attack ) :
مثلا من خلال إدخال برمجية ضارة مكان كلمة السر او اسم المستخدم إذ تمكن المحتال من الوصول إلى قواعد البيانات بهدف سرقتها أو التعديل فيها أو تدميرها .
ج- التعرض للإختراق أثناء محاولة معالجة اختراق سابق ( Zero-day-attack ) .
(2) الهندسة الاجتماعية :
ويقصد بها تحفيز المستخدم علي الإفصاح عن بيانات سرية من خلال طرح أسئلة بسيطة بهدف جمع معلومات دون إثارة شبهة .
ويحتوي هذا الأسلوب علي عدة تقنيات منها :
أ- التوأمة الشريرة ( Evil Twin ) :
اي ادعاء جهة معينة بأنها جهة موثوق منها من قبل المستخدم تطلب منه استخدام ملف مرفق يكون ضارا به .
ب- سرقة الهوية ( Identity Theft ) :
اي ادعاء جهة معينة بأنها جهة أخرى معروفة من قبل المستخدم ، بحيث يتم الطلب منه تقديم المعلومات بشكل مباشر .
ج- التصيد ( phishing ) :
ويقصد منها وصول رسالة مزيفة من جهة ( غالبا مالية ومعروفة ) لطلب معلومات او التحقق منها ، ولتحقيق ذلك قد تحتوي هذه الرسائل علي رابط مزيف لجهة معروفة .
(3) البرمجيات الضارة ( Malware ) :
وهي عبارة عن برامج متخصصة لتسهيل التسلل الي النظام او الشبكة بهدف تدميرها ، وما أن يتم تثبيت البرمجية الضارة فإنه من الصعب جدا إزالتها .
ويحتوي هذا الاسلوب علي عدة تقنيات منها كمثال علي تقنيات شائعة في هذا المجال :
أ- حصان طروادة ( Trojan Horse ) :
وهو برنامج يظهر بأنه يعمل بشكل معين ومفيد للمستخدم بينما هو في الواقع يقوم بعمل ضار وخفي عن المستخدم مثل الإضرار بالحاسوب أو إرسال معلومات إلى المحتال .
ب- الفيروسات ( Viruses ) :
وهي برامج تدخل إلى الحاسوب ويتصل بالملفات المخزنة به ثم يكرر نفسه بحيث يتم تدمير هذه الملفات .
ج- برامج التجسس ( Spyware ) :
وهي البرمجيات التي تؤدى إلى التجسس علي المعلومات الشخصية دون علم مستخدم الحاسوب وغالبا ما يتم تنزيلها بشكل سري بحيث تكون مرافقة لتنزيل برمجيات أو ملفات مجانية من الإنترنت .
تعليقات