الجمعة، أكتوبر 14، 2011

أمن امواقع المنشآت الإلكترونيه

السياسات الأمنية مطلب ضروري لمعظم مواقع المنشآت الإلكترونية، فهي تلعب دوراً هاماً في تقليل المخاطر التي قد تتعرض لها المنشأة وتؤثر عليها تقنياً عن طريق تدمير أنظمة المنشأة وخادماتها، أو معنوياً وذلك بتشويه سمعتها في حال تسربت إحدى المعلومات السرية التي تحتفظ بها المنشأة ممّا يؤدي إلى انعدام ثقة عملائها بها.
إن إحاطة موقع المنشأة الإلكتروني بنظام أمني دقيق يحقق لها ثلاثة أهداف هامّة:
1- السرّية (Confidentiality)
وذلك بمنع أي محاولات للاطلاع على محتوى البيانات من قبل أشخاص غير مخوّلين بذلك.
2- سلامة المحتوى(Integrity)
نعني بذلك التأكد من أن محتوى البيانات صحيح ولم يتم العبث به أو تغييره في جميع مراحل المعالجة التي تتعرّض لها البيانات .
3- استمرارية توفّر المعلومات (Availability)
يقصد بذلك توفر البيانات أو الخدمة في أي وقت تطلب به والتأكّد من استمرارية القدرة على التفاعل مع المعلومات .
من جانب آخر فقد رافق ظهور الشبكة العنكبوتية ظهور أنظمة تجسس واختراق تفتك بها وبمعلوماتها، وخاصة عندما أصبحت غالبية المنشآت تعتمد التعامل الإلكتروني في جميع معاملاتها ومع جميع الأطراف سواء كانوا موظفين أو عملاء، كما لوحظ بشكل واضح أن الكثير من المنشآت تعرّضت لسرقة معلوماتها وتدمير خادماتها ولازالت تعاني من هذه المعضلة حتى الوقت الحالي، ومع بروز الكثير من التقنيات التي تحاول الحدّ من تفشّي عمليات التجسس والاختراق إلا أنها لا تحقّق الأمان الكامل للمواقع الإلكترونية .
نتيجة انتشار اللاوعي وتضرّر الكثير من المنشآت كان لابد من استعراض أهم الأساليب الإجرائية والتقنية التي تستخدمها المنشآت في مواقعها الإلكترونية للحفاظ على نظامها المعلوماتي، لكي تضعها بقية المنشآت بعين الاعتبار وتعلم مدى أهمية وجودها ومدى الضرر الناتج من إهمالها، بالإضافة إلى تحديد الأولويات في حماية ممتلكات المنشأة فالسؤال الذي يتبادر إلى الذهن دائماً هو ما الذي تريد أن تحميه في منشأتك ؟ .
أولويات الحماية
لاشك بأنّ المنشأة تحوي الكثير من الممتلكات الثمينة والتي تحرص على سلامتها و أمنها ولكن عندما نضطر إلى تحديد الأولويات فإننا نجد أن الأشخاص هم أثمن ما في المنشآت والحفاظ على سلامتهم هو من أولى الأولويات، لاسيّما وأن هؤلاء الأشخاص تتنوع أدوارهم فمنهم مديرو أنظمة ومديرو شبكات ومشغّلون ومستخدمون وأصحاب عقود وشركاء تجاريون، وفي المرتبة الثانية تأتي أهمية المحافظة على البيانات التي تتمثّل في وثائق الفاكس المرسلة والمستقبلة ورسائل البريد الإلكتروني والبيانات المتنقلة عبر الشبكة والعمليات التجارية وقواعد البيانات الخاصة بالعملاء.
المراحل التمهيدية لتحقيق الأمن الإلكتروني
لابدّ من وجود أربعة مراحل تمهيدية لتحقيق الأمن في موقع المنشأة الإلكتروني وهي كالتالي:
التقييم
إنّ تقييم المخاطر المترصّدة للمنشأة أمر ضروري وذلك من خلال التقاء العاملين ومعرفة الوضع الأمني والأخذ بتوصياتهم وإرشاداتهم ووضعها بعين الاعتبار.
التصميم
إنّ استخدام أحدث تقنيات الحماية الأمنية كالجدران النارية وأنظمة كشف التطفل والتي سأتطرق إلى ذكرها بالتفصيل لاحقاً لا تحقق الحماية 100% وخاصة عندما لا يتم تحديثها باستمرار ، لذلك كان لابدّ من اعتماد هيكل أمني صلب أثناء تصميم البنية الأساسية للأمن المعلوماتي للمنشأة .
التنفيذ
بعد اختيار الهيكل الأساسي الأمني في المرحلة السابقة يتم تركيب كل الضوابط التقنية كالجدران النارية وأنظمة كشف التطفل وغيرها، وبما أن هذه التقنيات ليست آمنة 100% فلابد من حماية الخادمات المركزية وذلك بتوزيع الجهد على مجموعة من الخادمات للتقليل من الضرر .
المراقبة
لابدّ من مراقبة جميع التقنيات والإجراءات الأمنية التي تمّ وضعها في المنشأة للتأكد من استمرارية عملها على الوجه المطلوب و إصلاح الأعطاب فيما إذا اعترتها والحرص على تحديثها إذا توفّرت لها تحديثات جديدة .
الأساليب الإجرائية لحماية المواقع الإلكترونية
لابد من وجود سياسات إجرائية ثابتة في مواقع المنشآت الإلكترونية تتمثّل فيما يلي:
• بيان الخصوصية
أصبح من الضروري وضع بيان يشرح وسائل الأمان والخصوصية للموقع ويعّد هذا البيان مطلباً مهماً لكسب ثقة العملاء.
• تحديد الصلاحيات
لابدّ من وضع صلاحيات للموظفين تحكم اطلاعهم على النظام المعلوماتي للمنشأة وخاصة فيما يتعلق بالخادمات المركزية وأجهزة التخزين، فصلاحيات الموظف تختلف عن صلاحيات المشرف العام والتي تختلف بدورها عن صلاحيات مدير المنشأة.
• الحدّ من استخدام الشبكة العنكبوتية في المنشأة
إن الحد من استخدام الشبكة الخارجية من شأنه أن يقلّل الخطر الذي قد تواجهه الشبكة الداخلية للمنشأة وذلك بفرض قوانين وإرشادات يجب على الموظفين اتباعها فيما يخص عدم تصفّح المواقع المشبوهة أو تحميل برامج غير موثوقة .
• أنظمة التشغيل
مهما كان نظام التشغيل المعتمد في أجهزة الموظفين للمنشأة فإنه لابد من التأكد من سلامة هذا النظام بصورة دورية وخلّوه من أي تهديدات خارجية قد تضر المنشأة مستقبلاً.
الأساليب التقنية لحماية المواقع الإلكترونية
فيما يلي سأستعرض أهّم الأساليب المنتشرة في الوقت الحالي لحماية ممتلكات مواقع المنشآت الإلكترونية .
1. بروتوكول طبقة المقابس الآمنة SSL ) Secure Sockets Layer)
بروتوكول تشفير يعمل على توفير بيئة آمنة خلال نقل البيانات المشفرة بين المتصفح وجهاز الخادم في الموقع، وما يحدث باختصار هو أنّ المتصفح يقوم بإرسال رسالة من خلال بروتوكول SSL إلى جهاز الخادم فيستجيب ويرسل شهادة (SSL Certificate) تتضمن في محتواها المفتاح العام للموقع (Public Key)، ومن ثم يقوم المتصفح بالتحقق من هذه الشهادة من خلال ثلاثة ركائز أساسية:
أولاً: أن تكون الشهادة آتية من طرف موثوق به.
ثانياً :التحقق من سريان مفعولها في الوقت الحالي وذلك من خلال إلقاء نظرة على تاريخ إصدار الشهادة وتاريخ انتهائها .
ثالثاً: المقارنة بين اسم الموقع في الشهادة واسم الموقع في الخادم للتأكد من أن الشهادة مرتبطة بالموقع وقادمة منه.
وبعد التحقق من الشهادة يعمل على إنشاء مفتاح عشوائي للتشفير (Symmetric Key Encryption) يقوم بدوره على تشفير البيانات التي تنتقل من المتصفح إلى جهاز الخادم باستخدام بروتوكول التحكم بالإرسال وبروتوكول الإنترنت (TCP/IP) مما يضمن عدم التعرّض لهذه البيانات من قبل أي جهة أخرى فلا يمكن لأحد قراءتها سوى المرسل والمستقبل، وفي نهاية المطاف يقوم الموقع بفك شيفرة الرسالة الواردة إليه من المتصفح وذلك باستخدام مفتاح خاص بالموقع ذاته (Private Key)، ثم يستخدم المفتاح العشوائي لبقية الاتصال.
الجدير بالذكر أن استخدام هذه التقنية يعمل على إحداث تغيير طفيف في عنوان الموقع الإلكتروني كالبنك مثلاً وهذه دلالة واضحة على وجود أمن معلوماتي في المنشأة.
وعند التطرق إلى مثال البنك فإننا نلحظ عند الدخول إلى موقع البنك بأن عنوانه يبدأ بـ "http" ولكن بمجرد الضغط على صفحة تسجيل الدخول إلى الحساب فإن العنوان يتغير من "http" إلى"https " ، بالإضافة إلى أيقونة الأمان والتي تظهر في أسفل صفحة الموقع .
الجدران النارية (Firewalls)
الجدران النارية عبارة عن برنامج بسيط (Software) أو جهاز (Hardware) يقوم بتنقية المعلومات القادمة من خلال الشبكة العنكبوتية إلى الموقع الخاص، وتقوم المنشآت بوضعها بهدف عزل شبكتها الداخلية الخاصة عن الشبكة العنكبوتية لمنع الاختراقات والتطفل .
آلية عمل الجدران النارية
هناك ثلاثة طرق تستند إليها الجدران النارية في آلية عملها:
تصفية الحِزم (Packet Filtering)
تنتقل المعلومات على هيئة حِزم تمّر خلال الجدار النّاري الذي يقوم بدوره بفحصها والتحقق من موافقتها للشروط.
وكيل الخدمة (Proxy Service)
يعيّن الجدار النّاري نفسه وكيلاً عن الشبكة الداخلية فيكون بذلك قد حجب عناوين الشبكة الداخلية وبالتالي يتّم إرسال البيانات إلى عنوان الجدار الناري الذي يقوم بدوره بتوجيهها إلى وجهتها الأصلية.
مراقبة السياق ((Stateful Inspection
إن الجدار الناري هنا يقوم بفحص حقول معيّنة في الحزم فلا يفحص مكونات الحزم كلها بل يعمل على مقارنتها بالحقول المناظرة لها بنفس السياق (مجموعة الحزم الإلكترونية المتبادلة عبر شبكة الإنترنت)، وعندما يكتشف أن حزم معينة لم تلتزم بقواعد السياق فإن ذلك دليل قاطع على وجود اختراق يهدّد أمن الموقع.
وهناك عدة معايير يمكن استخدامها لمعرفة ما إذا كانت الحزم صحيحة وهي كالآتي:
أ‌- العنوان الرقمي (IP Address): هو رقم لكل مشترك على الشبكة العنكبوتية يوفّر للجدار الناري المقدرة على التحكم بالسماح أو المنع لمرور الحزم القادمة.
ب‌- اسم النطاق (Domain Name)
يتيح للجدار الناري منع مرور الحزم القادمة من نطاق معيّن .
ت‌- بروتوكول التخاطب (Protocol)
وهي طريقة للتخاطب وتبادل المعلومات بين العميل والمنشأة، أمّا بالنسبة للعميل فقد يكون شخصاً أو برنامجاً كالمتصفح (Browser).
تتعدّد هذه البروتوكولات و أبرزها ما يلي:
بروتوكول HTTP: يستعمل لتبادل المعلومات بين المتصفح وجهاز الخادم.
بروتوكولFTP : يستخدم لنقل الملفات عوضاً عن إرسالها. كمرفقات(Attachment) في البريد الإلكتروني .
بروتوكول SMTP: يستعمل لنقل البريد الإلكتروني.
بروتوكول SNMP: يستعمل لإدارة الشبكات وجمع المعلومات.
بروتوكول Telnet: يستعمل للتحكم بالجهاز عن بعد.
وأخيراّ فإن هناك خانة في الحزم تدل على نوع البروتوكول، يقوم الجدار الناري بالتحقق منها، وبناءً على ذلك فإذا كان البروتوكول مسموحاً به يقوم بتمريره وإلا فيمنعه من المرور.
أنظمة كشف التطفل IDS ( Intrusion detection systems)
معظم المنشآت سواء كانت صغيرة أو كبيرة تحتاج إلى جهاز إنذار ضد السرقة للحفاظ على المعلومات القيّمة لديها، وقد ظهر نظام جديد يغني عن أجهزة الإنذار ويؤدي وظيفتها على أكمل وجه وهو ما يعرف بنظام كشف التطفل الذي هو في جوهره نظام إنذار ضد السرقة، يعمل على مراقبة الشبكة وإصدار إنذارات فيما إذا شك بأن الشبكة تتعرّض للهجوم في وقت ما .
يوجد آليتان لكشف التطفل:
الكشف عن الوضع الشاذ (Anomaly detection )
هذه الطريقة مبنية على أساس مراقبة سلوك المستخدمين في النظام الاعتيادي وتخزين السلوك في النظام، فهي تقوم على أساس مقارنة السلوكيات مع الحزم الإلكترونية لاكتشاف الانحرافات، ومن أبرز مساوئ هذه الآلية صدور إنذارات إيجابية خاطئة (False Positive Alarms) نتيجة اكتشاف هجمات غير معرّفة.
الكشف عن الإساءة (Misuse detection )
تعتمد على مقارنة الصفات المتعلقة بالحزم مع الصفات المخزنة في قاعدة البيانات، و من أبرز مساوئ هذه الآلية هو انحصارها فقط على الهجوم المعروف في قاعدة البيانات.
التوقيع الرقمي (Digital Signature)
عندما دعت الحاجة لإيجاد وسيلة تشفير آمنة ومضمونة فقد وُجدت طريقة التوقيع الرقمي والتي تحل محّل التوقيع اليدوي وتؤدي وظيفته في إثبات مصداقية وسلامة البيانات المرسلة. تقوم هذه التقنية على استعمال خوارزمية تدعى (Hash Function) تتسّم بدرجة عالية من الأمان، تعمل على تحويل البيانات إلى قيمة مبعثرة، وتتغيّر هذه القيمة في حال تعرّضت لعمليات التزوير من قبل المتطفلين ممّا يسهّل اكتشاف تلك العمليات.
آلية العمل:
تتّم هذه العملية بإنشاء نوعين من المفاتيح أحدهما عام (Public Key) والآخر خاص (Private Key)، والأخير لا يعرفه سوى المرسل فهو يستعمله في تشفير البيانات، أما المفتاح العام فهو معروف لدى الطرفين المرسل والمستقبل ويستعمل لفك التشفير من قبل المستقبل .
فيما يلي سأستعرض مثالاً يوضّح آلية عمل هذين المفتاحين (صورة 3)
لو أراد الموظف أن يرسل مسودّة للعقد الذي بين المنشأة وبين الشريك التجاري للمنشأة في بلد آخر ليعطيه التأكيد بأنّ العقد لم يتعرّض للتغيير منذ أن قام بإرساله في المرة السابقة.
أولاً: يقوم الموظف بنسخ ولصق العقد في رسالة البريد الإلكتروني .
ثانياً: باستعمال برنامج خاص يمكنه أن يحصل على رسالة مبعثرة (Hash Message) باستخدام خوارزمية (Hash Function).
ثالثاً: يستعمل الموظف المفتاح الخاص فيه كونه هو المرسل وذلك بتشفير الرسالة المبعثرة (Encrypt The Message ).
رابعاً: هذه البعثرة المشفرة هي التوقيع الرقمي للرسالة والتي ستختلف في كل مرة يرسل فيها الموظف رسالة إلى الشريك التجاري للمنشأة.
والآن يأتي دور الشريك التجاري (المستقبل):
أولاً : الشريك التجاري يعمل على بعثرة الرسالة القادمة إليه باستخدام خوارزمية (Hash Function).
ثانياً: يقوم الشريك التجاري باستعمال المفتاح العام للموظف لغرض فك تشفير الرسالة المبعثرة (Decrypt The Hash ).
وفيما يلي أحد برامج التوقيع الرقمي الشهيرة والمتداولة بكثرة.ش
برنامج الخصوصية الجيدة جدًا (Pretty Good Privacy) PGP
البرنامج الشهير PGP والذي يتميّز بأنّه عالي الجودة في التشفير، لاسيّما وأنه يخدم المنشأة أثناء تبادل المعلومات التجارية و الرسائل الخاصة مع المنشآت الأخرى أو أصحاب العقود وذلك من خلال البريد الإلكتروني.
آلية العمل:
يعتمد هذا البرنامج على مفتاحين أحدهما خاص والآخر عام، وبالنظر إلى المفتاح الخاص نجد أنّه يمكّن من تشفير الرسائل وفك الرسائل المشفرة من قبل المفتاح العام، أمّا المفتاح العام فهو الذي تتحكّم في نشره لمن تريد منهم مراسلتك، فمن يملكه يستطيع إرسال رسائل مشفرة إليك بيد أنّه لا يستطيع فك الشيفرة نهائياً، ومن الملاحظ أن كاتب الرسالة بعد أن يقوم بتشفيرها باستعمال المفتاح العام فإنه لا يستطيع فك الشيفرة لأنه لا يملك المفتاح الخاص (صورة 4)،(صورة 5)،(صورة6).
إنّ الهدف الأسمى الذي يجب أن تسعى إليه المنشأة هو القدرة على تجاوز العقبات التي لابدّ وأن تواجهها خلال التعامل الإلكتروني مع جميع الأطراف، ومع هذا كله يجب أن لا تعتمد على نقطة واحدة بحيث تكون هذه النقطة هي عنق الزجاجة التي باختراقها يمكن الوصول إلى جميع ممتلكات المنشأة، ولذلك فإنه لابدّ من تركيب جميع الأنظمة التي تحقق مطلب الأمان، ففي هذه الورقة تمّ التعرف على أكثر السياسات الأمنية انتشاراً في المواقع الإلكترونية، وتجدر الإشارة هنا إلى أن هذه السياسات ليست آمنة 100% كما ذكرت مسبقاَ ولا يعني الاعتماد عليها الضمان الكامل بعدم التعرض للهجوم الإلكتروني .
المراجع
- Information Security Fundamentals (2nd Edition )
- Information Security Fundamentals.
- How Encryption Works 2008