سلسبيل
11-15-2005, 10:09 AM
الشركات بحاجة إلى طبقات من «جدران النار» لضمان أمن المعلومات داخلها وخارجها
الجميل في ميدان أمن المعلومات ان هناك الكثير من المعلومات المتوفرة. وفي الواقع أن لكل شخص نظريته المفضلة التي يمارسها، كما أن هناك أيضا مجموعة من الارشادات والتوجيهات التي تبلغك ما الذي عليك أن تفعله، أو لا تفعله لكي تكون في مأمن.
والمشكلة هي انه ليست جميع هذه الاجراءات قد تحسن عامل الامن في مشاريعك وأعمالك، بل في الواقع أن بعضها قد يزيد الوضع سوءا. ومع ذلك فإن الاعتقاد السائد عن الأمن هو أنه امر دائم المفعول والتأثير بالنسبة الى الشركات والوكالات. وهي تنظر اليه على أنه أمر مقدس لا تحيد عنه. وفي الكثير من الحالات تجري اعادته وتكراره من خبير الى آخر، سواء كان جيدا أو سيئا، من دون اخضاعه الى الاختبارات والفحوصات. أما نحن، المستخدمون العاديون للكومبيوتر، فقد صدقناهم لاننا غالبا ما سمعناهم يكررون ذلك. ومع الزمن أصبحت هذه الاعتقادات الخاصة بالامن نوعا من الخرافات.
لذلك، يقول وين راش في مجلة «إنفورميشن ويك:، فعندما طلب مني الكتابة عن الخرافات العشر الاولى التي تتصدر القائمة فإن الأمر الاول الذي خطر على بالي هو سؤال الناس عما يعتقدونه.
هناك أشياء غريبة وسخيفة، لكن الخرافات التي سمعتها تبدو شائعة جدا.
1ـ لا تحتاج الى برامج «فاير وول» (جدار ناري) للحماية اذا كان هناك واحد منها متوفرا بين شركتك وشبكة الانترنت. مثل هذا الاعتقاد شائع جدا في دوائر تقنيات المعلومات في الشركات، لكن هذا ليس صحيحا. فرغم أن هناك حاجة ماسة لإقامة جدار ناري بين شبكة شركتك والعالم الخارجي للوقاية من الاخطار الخارجية، إلا أنك بحاجة أيضا الى جدار خارجي شخصي للوقاية من التهديدات الداخلية، بما في ذلك من الموظفين الذين لا يدركون انهم يجلبون معهم ديدانا وفيروسات من منازلهم والذين قد يكونون ضحايا محاولات الصيد الاحتيالي.
2 ـ هذا صحيح ولكنني بحاجة الى جدار ناري واحد كبير في شبكة شركتي؟ أليس كذلك؟
لا، فقد تحتاج ربما الى عدد من الجدران النارية، فقد يكون من غير المحتمل مثلا أن تكون المكالمات الهاتفية عبر الانترنت تمر عبر الوصلة الرئيسية الخاصة بشركتك الى الشبكة. من هنا فهناك حاجة الى جدار ناري هناك. علاوة على ذلك قد تحتاج الى جدار ناري بين المستخدمين لأعمال شركتك، وبعض الاجزاء الحساسة من شبكتك التي تحتوي على معلومات مهمة كدوائر المالية والموظفين، وبين موظفيك وبين هذه الاجزاء أيضا، أو حتى بين هذه الاجزاء ذاتها للوقاية من الموظفين المتطفلين، أو الاشخاص الذين قد يفلحون في اختراق شبكتك من الخارج. 3 ـ لكي تكون أعمال الشركة في مأمن تماما لا بد من كلمات مرور معقدة التي ينبغي أن تتغير باستمرار. فمما لا شك فيه أنه من الصعب فك كلمات المرور التي تتألف من 16حرفا عشوائيا، لكنها من الصعب أيضا تذكرها جميعها. من هنا لا بد من تدوينها وتسجيلها على دفتر الملاحظات في جهازك الكومبيوتري، أو على وثيقة أو ملف يمكن منه قطعه والصاقه على نافذة كلمات المرور. وهذا كما نرى ليس باستراتيجية أمينة. لذلك فإن البديل الافضل هو استخدام كلمات مرور يسهل تذكرها من دون أن تكون واضحة للغير، كالاسم الوسطي للأم بدلا من ترك كلمات المرور متروكة هناك في العراء.
4 ـ البرمجيات المضادة للفيروسات المركبة في كل جهاز كومبيوتر قد تكون كافية، لذلك ليست هناك حاجة الى برامج مضادة للتجسس، أو الفيروسات على الخادم الخاص بالبريد الالكتروني؟
البرامج المضادة للفيروسات التي تتعامل مع كل زبون هي بداية جيدة شرط تحديثها باستمرار والتأكد من أنها تبقى مركبة في مكانها. ولكن ما لم تكن متأكدا تماما من ان برامجك المضادة للفيروسات قادرة دائما على التقاط جميع الفيروسات، حتى في يومها الاول، فإنه من المفيد أن تكون لك طبقات متعددة من الحماية مع تحري خلو بريدك الالكتروني من الفيروسات والديدان عن طريق نظام «مايل سيكيورتي» من شركة «جي إف آي»GFI فالبرامج المضادة للفيروسات لا يمكنها دائما تحري برامج التلصلص. وبالطبع هناك البريد الناقل الذي لا تستطيع برامج المضادة للفيروسات التصدي له.
5ـ البريد الناقل (غير المرغوب فيه) قد يكون مزعجا لكنه قد لا يكون بالضرورة تهديدا أمنيا؟
هذا يعتمد على البريد الناقل ذاته، والذي قد تعتبره خطرا أمنيا. فبعض هذا البريد حافل بالديدان والفيروسات ومحتويات الصيد الاحتيالي. علاوة على ذلك يأتي بعضه بمحتويات قد تسوقك الى المحاكم اذا لم تحاول أن توقفه عند حده، كالاعلانات الخاصة بالمواقع الجنسية الاباحية المحظورة. وحتى لو لم يحدث كل ذلك، فإن مثل هذه الامور قد توقع شبكتك في مستنقع راكد عن طريق تعبئة أجهزتك الخادمة واستنزاف نطاقك العريض.
6ـ هل تكون الشبكة اللاسلكية مؤمنة ما دام الترميز شغالا؟
الترميز حتى الذي عفا عنه الزمن مثل ترميز WEP الذي يأتي مع مواصفات802.11b للاتصال اللاسلكي هو أفضل من لا شيء. ولكن ما لم يجر التغيير الى الترميز WPAالاكثر امانا والحصول على كلمة تحقق من الهوية لدخول المستخدمين الى الشبكة، فإن شبكة المؤسسة لا تزال معرضة للخطر.
7 ـ هل الانتقال الى نظام القياسات البيولوجية ستجعل الشبكة اكثر أمانا؟
ربما. فأجهزة قراءة القياسات البيولوجية هي مزية جديدة شعبية بالنسبة الى الشركات والمستخدمين الاخرين من المستهلكين. فالفكرة هي ان تستخدم بصمات الاصابع بدلا من كلمات المرور، اذ ان بصمات الاصابع هي شيء خاص فريد بكل شخص، لكن لسوء الحظ فإن أجهزة القياس البيولوجية التي يمكن شراؤها باسعار معقولة ليست موثوقة تماما، لكون قارئات بصمات الاصابع على الكومبيوترات الحضنية وعلى لوحات المفاتيح حافلة بالسلبيات والاخطاء. وهناك مشكلة اللصاق أو الرباط الطبي الذي يوضع على الاصبع، مما يعني استبدال هذه الوسائل بغيرها ككلمات المرور، أي العودة الى المربع واحد. وبالطبع هناك أجهزة قراءة القياسات البيولوجية الجيدة جدا، لكن ما من شركة بوسعها تحمل كلفتها واستخدامها على كل مكتب وجهاز كومبيوتر.
8 ـ هل الترميز الكامل للمكتب في محطات العمل الطرفية والكومبيوترات الحضنية من شأنها حماية المعلومات ضد عمليات الدخول غير المصرح بها؟
من المحتمل لا، لكون معظم برمجيات الترميز الكامل للمكاتب تقي أجهزة الكومبيوتر التي يحدث أن تكون مغلقة في زمن الحدث. لكن لدى تشغيلها يجري فك الرموز أتوماتيكيا، وبالتالي تسليمها الى أي شخص يمكنه الدخول اليها. فاذا كنت تخشى من سرقة كومبيوترك الحضني، فإن الترميز الكامل للمكتب سيحافظ على سرية المعلومات، أو قراءتها ما دامت السرقة حدثت والكومبيوتر مغلق. لكن ذلك لا يقوم بالحماية الكافية ضد شخص ما يحاول الدخول الى كومبيوترك من بعيد وهو موصول الى الشبكة.
9 ـ هل يمكن التغيير الى نظام «لينوكس» بالنسبة الى كل الامور والبقاء بوضع مأمون؟
صحيح هناك فيروسات وديدان اقل تستهدف «لينوكس»، ولكن اذا القينا نظرة على القائمة الاكثر تعرضا الى الاخطار التي تحتوي 20 اسما التي أعدتها مؤسسة «سانز»SANS ومكتب التحقيقات الفيدرالي الاميركي «اف بي آي» سنرى أن مشكلات «لينوكس» تتساوى مع مشكلات «ويندوز» ولا يوجد فرق بينهما.
10ـ هل أن أفضل استثمار في مجال الامن هو التدريب؟
هذا صحيح ما لم يكن المستخدمون والاداريون مدربون بشكل صحيح، مع تحديث هذا التدريب بشكل متواصل ، وبالتالي استنزاف جميع الوسائل الاخرين مع تذكر عدم فتح ملحقات الرسائل الالكترونية ما لم تكن مستعدين لذلك عن طريق وسائل الحماية والوقاية الضرورية.
الجميل في ميدان أمن المعلومات ان هناك الكثير من المعلومات المتوفرة. وفي الواقع أن لكل شخص نظريته المفضلة التي يمارسها، كما أن هناك أيضا مجموعة من الارشادات والتوجيهات التي تبلغك ما الذي عليك أن تفعله، أو لا تفعله لكي تكون في مأمن.
والمشكلة هي انه ليست جميع هذه الاجراءات قد تحسن عامل الامن في مشاريعك وأعمالك، بل في الواقع أن بعضها قد يزيد الوضع سوءا. ومع ذلك فإن الاعتقاد السائد عن الأمن هو أنه امر دائم المفعول والتأثير بالنسبة الى الشركات والوكالات. وهي تنظر اليه على أنه أمر مقدس لا تحيد عنه. وفي الكثير من الحالات تجري اعادته وتكراره من خبير الى آخر، سواء كان جيدا أو سيئا، من دون اخضاعه الى الاختبارات والفحوصات. أما نحن، المستخدمون العاديون للكومبيوتر، فقد صدقناهم لاننا غالبا ما سمعناهم يكررون ذلك. ومع الزمن أصبحت هذه الاعتقادات الخاصة بالامن نوعا من الخرافات.
لذلك، يقول وين راش في مجلة «إنفورميشن ويك:، فعندما طلب مني الكتابة عن الخرافات العشر الاولى التي تتصدر القائمة فإن الأمر الاول الذي خطر على بالي هو سؤال الناس عما يعتقدونه.
هناك أشياء غريبة وسخيفة، لكن الخرافات التي سمعتها تبدو شائعة جدا.
1ـ لا تحتاج الى برامج «فاير وول» (جدار ناري) للحماية اذا كان هناك واحد منها متوفرا بين شركتك وشبكة الانترنت. مثل هذا الاعتقاد شائع جدا في دوائر تقنيات المعلومات في الشركات، لكن هذا ليس صحيحا. فرغم أن هناك حاجة ماسة لإقامة جدار ناري بين شبكة شركتك والعالم الخارجي للوقاية من الاخطار الخارجية، إلا أنك بحاجة أيضا الى جدار خارجي شخصي للوقاية من التهديدات الداخلية، بما في ذلك من الموظفين الذين لا يدركون انهم يجلبون معهم ديدانا وفيروسات من منازلهم والذين قد يكونون ضحايا محاولات الصيد الاحتيالي.
2 ـ هذا صحيح ولكنني بحاجة الى جدار ناري واحد كبير في شبكة شركتي؟ أليس كذلك؟
لا، فقد تحتاج ربما الى عدد من الجدران النارية، فقد يكون من غير المحتمل مثلا أن تكون المكالمات الهاتفية عبر الانترنت تمر عبر الوصلة الرئيسية الخاصة بشركتك الى الشبكة. من هنا فهناك حاجة الى جدار ناري هناك. علاوة على ذلك قد تحتاج الى جدار ناري بين المستخدمين لأعمال شركتك، وبعض الاجزاء الحساسة من شبكتك التي تحتوي على معلومات مهمة كدوائر المالية والموظفين، وبين موظفيك وبين هذه الاجزاء أيضا، أو حتى بين هذه الاجزاء ذاتها للوقاية من الموظفين المتطفلين، أو الاشخاص الذين قد يفلحون في اختراق شبكتك من الخارج. 3 ـ لكي تكون أعمال الشركة في مأمن تماما لا بد من كلمات مرور معقدة التي ينبغي أن تتغير باستمرار. فمما لا شك فيه أنه من الصعب فك كلمات المرور التي تتألف من 16حرفا عشوائيا، لكنها من الصعب أيضا تذكرها جميعها. من هنا لا بد من تدوينها وتسجيلها على دفتر الملاحظات في جهازك الكومبيوتري، أو على وثيقة أو ملف يمكن منه قطعه والصاقه على نافذة كلمات المرور. وهذا كما نرى ليس باستراتيجية أمينة. لذلك فإن البديل الافضل هو استخدام كلمات مرور يسهل تذكرها من دون أن تكون واضحة للغير، كالاسم الوسطي للأم بدلا من ترك كلمات المرور متروكة هناك في العراء.
4 ـ البرمجيات المضادة للفيروسات المركبة في كل جهاز كومبيوتر قد تكون كافية، لذلك ليست هناك حاجة الى برامج مضادة للتجسس، أو الفيروسات على الخادم الخاص بالبريد الالكتروني؟
البرامج المضادة للفيروسات التي تتعامل مع كل زبون هي بداية جيدة شرط تحديثها باستمرار والتأكد من أنها تبقى مركبة في مكانها. ولكن ما لم تكن متأكدا تماما من ان برامجك المضادة للفيروسات قادرة دائما على التقاط جميع الفيروسات، حتى في يومها الاول، فإنه من المفيد أن تكون لك طبقات متعددة من الحماية مع تحري خلو بريدك الالكتروني من الفيروسات والديدان عن طريق نظام «مايل سيكيورتي» من شركة «جي إف آي»GFI فالبرامج المضادة للفيروسات لا يمكنها دائما تحري برامج التلصلص. وبالطبع هناك البريد الناقل الذي لا تستطيع برامج المضادة للفيروسات التصدي له.
5ـ البريد الناقل (غير المرغوب فيه) قد يكون مزعجا لكنه قد لا يكون بالضرورة تهديدا أمنيا؟
هذا يعتمد على البريد الناقل ذاته، والذي قد تعتبره خطرا أمنيا. فبعض هذا البريد حافل بالديدان والفيروسات ومحتويات الصيد الاحتيالي. علاوة على ذلك يأتي بعضه بمحتويات قد تسوقك الى المحاكم اذا لم تحاول أن توقفه عند حده، كالاعلانات الخاصة بالمواقع الجنسية الاباحية المحظورة. وحتى لو لم يحدث كل ذلك، فإن مثل هذه الامور قد توقع شبكتك في مستنقع راكد عن طريق تعبئة أجهزتك الخادمة واستنزاف نطاقك العريض.
6ـ هل تكون الشبكة اللاسلكية مؤمنة ما دام الترميز شغالا؟
الترميز حتى الذي عفا عنه الزمن مثل ترميز WEP الذي يأتي مع مواصفات802.11b للاتصال اللاسلكي هو أفضل من لا شيء. ولكن ما لم يجر التغيير الى الترميز WPAالاكثر امانا والحصول على كلمة تحقق من الهوية لدخول المستخدمين الى الشبكة، فإن شبكة المؤسسة لا تزال معرضة للخطر.
7 ـ هل الانتقال الى نظام القياسات البيولوجية ستجعل الشبكة اكثر أمانا؟
ربما. فأجهزة قراءة القياسات البيولوجية هي مزية جديدة شعبية بالنسبة الى الشركات والمستخدمين الاخرين من المستهلكين. فالفكرة هي ان تستخدم بصمات الاصابع بدلا من كلمات المرور، اذ ان بصمات الاصابع هي شيء خاص فريد بكل شخص، لكن لسوء الحظ فإن أجهزة القياس البيولوجية التي يمكن شراؤها باسعار معقولة ليست موثوقة تماما، لكون قارئات بصمات الاصابع على الكومبيوترات الحضنية وعلى لوحات المفاتيح حافلة بالسلبيات والاخطاء. وهناك مشكلة اللصاق أو الرباط الطبي الذي يوضع على الاصبع، مما يعني استبدال هذه الوسائل بغيرها ككلمات المرور، أي العودة الى المربع واحد. وبالطبع هناك أجهزة قراءة القياسات البيولوجية الجيدة جدا، لكن ما من شركة بوسعها تحمل كلفتها واستخدامها على كل مكتب وجهاز كومبيوتر.
8 ـ هل الترميز الكامل للمكتب في محطات العمل الطرفية والكومبيوترات الحضنية من شأنها حماية المعلومات ضد عمليات الدخول غير المصرح بها؟
من المحتمل لا، لكون معظم برمجيات الترميز الكامل للمكاتب تقي أجهزة الكومبيوتر التي يحدث أن تكون مغلقة في زمن الحدث. لكن لدى تشغيلها يجري فك الرموز أتوماتيكيا، وبالتالي تسليمها الى أي شخص يمكنه الدخول اليها. فاذا كنت تخشى من سرقة كومبيوترك الحضني، فإن الترميز الكامل للمكتب سيحافظ على سرية المعلومات، أو قراءتها ما دامت السرقة حدثت والكومبيوتر مغلق. لكن ذلك لا يقوم بالحماية الكافية ضد شخص ما يحاول الدخول الى كومبيوترك من بعيد وهو موصول الى الشبكة.
9 ـ هل يمكن التغيير الى نظام «لينوكس» بالنسبة الى كل الامور والبقاء بوضع مأمون؟
صحيح هناك فيروسات وديدان اقل تستهدف «لينوكس»، ولكن اذا القينا نظرة على القائمة الاكثر تعرضا الى الاخطار التي تحتوي 20 اسما التي أعدتها مؤسسة «سانز»SANS ومكتب التحقيقات الفيدرالي الاميركي «اف بي آي» سنرى أن مشكلات «لينوكس» تتساوى مع مشكلات «ويندوز» ولا يوجد فرق بينهما.
10ـ هل أن أفضل استثمار في مجال الامن هو التدريب؟
هذا صحيح ما لم يكن المستخدمون والاداريون مدربون بشكل صحيح، مع تحديث هذا التدريب بشكل متواصل ، وبالتالي استنزاف جميع الوسائل الاخرين مع تذكر عدم فتح ملحقات الرسائل الالكترونية ما لم تكن مستعدين لذلك عن طريق وسائل الحماية والوقاية الضرورية.