3 أدوات وإجراءات هامة للسيطرة على ضعف مصادر تكنولوجيا المعلومات

فيما يلي بعض الأدوات والتدابير المهمة للتحكم في ضعف موارد تكنولوجيا المعلومات:

تختلف طبيعة الضرر في المستويات المختلفة للبنية التحتية لتكنولوجيا المعلومات. قد يكون الضرر الذي يلحق بالمعلومات من حيث التغيير أو الحذف في القيم أو فقدان خصوصيتها. عادةً ما تتضرر الخدمات والشبكة بسبب حادث ينتج عن فشل في الأجهزة أو البرامج أو كليهما.

Image Courtesy: ipa.go.jp/files/000013242.png

عند إنشاء المعلومات وتخزينها بمساعدة الخدمات والشبكات ، ينبع التعرض للمعلومات من أعطال الأجهزة أو البرامج. وبما أن العناصر الثلاثة مترابطة ، فإن أي ضرر يلحق بالخدمات أو الشبكة يعوق عمل النظام ، كما أن الضرر الذي يلحق بالمعلومات يجعل الخدمات والشبكة أقل فائدة. لذلك ، هناك ما يبرر نهج متكامل لأمن البنية التحتية لتكنولوجيا المعلومات.

من الممكن التحكم في ضعف موارد تكنولوجيا المعلومات من خلال استخدام أدوات وأدوات تحكم مختلفة. وتصنف هذه على النحو التالي:

(أ) أدوات التحكم الأساسية

(ب) تدابير الرقابة العامة

(ج) تدابير مراقبة التطبيق

1. أدوات التحكم الأساسية:

فيما يلي بعض أدوات التحكم الأساسية المستخدمة بشكل شائع للتحكم في ضعف موارد تكنولوجيا المعلومات:

(أ) النسخ الاحتياطي:

من الأدوات الأساسية لحماية المعلومات الاحتفاظ بنسخة احتياطية من جميع البيانات. يخدم الغرض المزدوج من التعافي من الكوارث والكشف عن سوء المعاملة. قد يختلف نظام الاحتفاظ بنسخة احتياطية من ملفات البيانات والبرامج من التطبيق إلى التطبيق ، ولكن يعتبر نظام النسخ الاحتياطي المنتظم والمنتظم ضروريًا بشكل مطلق في جميع البنى التحتية لتكنولوجيا المعلومات.

يجب اتباع إجراءات النسخ الاحتياطي دينيًا خشية فشل نظام النسخ الاحتياطي عندما كان مطلوبًا أكثر. تضم معظم أنظمة إدارة قواعد البيانات الآن ميزات النسخ الاحتياطي التلقائي للبيانات. علاوة على ذلك ، تحتاج ملفات البرنامج إلى إجراء نسخ احتياطي لها بعد كل تغيير. يجب التحقق بانتظام من البيانات والبرامج الهامة للتأكد من دقتها.

(ب) التقسيم والقاعدة:

يمكن تطبيق قاعدة الأمان هذه التي تم اختبارها على الوقت على أمان البيانات أيضًا. يعد توفير وصول محدود لكل مستخدم أمرًا ضروريًا للتأكد من عدم تعرض أي شخص للخراب والنظام بأكمله. يتم الكشف عن سوء المعاملة في مكان واحد في مكان آخر أثناء التشغيل العادي لنظام المعلومات.

يجب تحديد الوصول إلى موارد تكنولوجيا المعلومات بطريقة تتناسب مع احتياجات الحوسبة من أجل تصريف مسؤوليات المستخدم ؛ لا أقل ولا أكثر مما هو ضروري. وبالتالي ، قد يقتصر إذن الوصول على أي من العمليات مثل القراءة والكتابة والتعديل والتنفيذ.

قد يتم تعريف إذن الوصول لكل عنصر بيانات في قواعد البيانات. وبالمثل ، يجب تحديد أذونات الوصول لكل وحدة في برنامج التطبيق وكل جزء من جهاز الكمبيوتر. يعتبر تعريف المستخدم والتحقق من صحته من خلال كلمة المرور وغيرها من التقنيات ضروريين لتنظيم الوصول إلى البنية التحتية لتكنولوجيا المعلومات.

(ج) إذن الوصول:

قد يتم تقييد الوصول إلى المعلومات بمساعدة أدوات التفويض. هذه الأدوات تسمح بالوصول إلى المعلومات فقط بعد التحديد الصحيح للمستخدمين. كل مستخدم لديه وصول محدود إلى المعلومات. قد يتم التحقق من هوية المستخدم بكلمات المرور. تحتوي أجهزة الكمبيوتر الحديثة على أدوات تحقق أكثر تطوراً من الهوية تستند إلى الصوت أو الخصائص المادية الأخرى مثل طباعة الإصبع للمستخدمين.

(د) التشفير:

التشفير هو عملية تحويل المعلومات إلى مجموعة كبيرة من الرموز المجمعة وغير المجدية من الرموز ، والتي يمكن فك تشفيرها لتحويل البيانات إلى الشكل الأصلي. يحدث هذا التحول للبيانات على استخدام أجهزة وبرامج خاصة.

يعتمد التشفير وفك التشفير على الكود المحدد من قبل المستخدم. هذا الرمز هو حفاظ على المستخدم المصرح به للبيانات ، ولن يؤدي استخدام أي كود آخر إلى تحويل المعلومات. أدوات التشفير شائعة جدًا عندما تنتقل المعلومات إلى أماكن بعيدة باستخدام ناقلات البيانات الشائعة مثل خطوط الهاتف.

(هـ) المقارنات:

المقارنة هي واحدة من الأدوات الهامة للكشف عن التجاوزات. تعمل المقارنة المنتظمة للبيانات مع المستندات المصدر ، وملفات البرامج الحالية مع نسخ رئيسية من ملفات البرامج ، وقيم الألفاظ السابقة مع قيم المصطلحات الحالية ، كأداة مفيدة للكشف عن سوء الاستخدام في الوقت المناسب. يجب إجراء هذه المقارنات من قبل أشخاص ليسوا مشاركين مباشرة في إنشاء واستخدام موارد تكنولوجيا المعلومات.

(و) المساءلة:

إن ضمان الامتثال للإجراء الأمني ​​أمر صعب للغاية لأنه في غياب الكشف عن إساءة كبيرة ، يبدأ الرضا بالزوال. ولذلك ، من الضروري تثبيت المساءلة عن الامتثال للإجراءات الأمنية.

(ز) سجل المستخدم:

يعد تعقب أنشطة مستخدمي البنية التحتية لتقنية المعلومات بمثابة رادع هام في إساءة استخدام الكمبيوتر. إن الصيانة والتدقيق الدوري للبيانات التفصيلية للعمليات التي يقوم بها كل مستخدم يضع ضغوطاً كبيرة على المستخدمين لتتبع المعايير الأمنية ، كما يضمن الكشف المبكر عن سوء الاستخدام. تعتبر مسارات التدقيق ضرورية لإعادة بناء المعالجة وتحديد المسؤولية عن إساءة الاستخدام.

(ح) التوجيهات:

في كثير من الأحيان ، من الممكن حدوث تجاوزات بسبب عدم كفاية التدريب في التعامل مع التدابير الأمنية. ينبغي تطوير نظام للمساعدة عبر الإنترنت لجميع المستخدمين في شكل توجيهات ومساعدة في فهم التهديد الأمني. ويقطع هذا النظام شوطا طويلا في تطوير ثقة المستخدمين في قوة النظام الأمني ​​ويساعد في الكشف المبكر عن التهديدات والإساءات.

(ط) المراجعة:

يعتبر تدقيق نظام المعلومات أداة مهمة أخرى لضمان قيام نظام المعلومات بوظائفه المحددة بشكل صحيح. جمعية تدقيق ومراقبة نظام المعلومات (ISACA) هي منظمة مقرها الولايات المتحدة والتي تهدف إلى وضع معايير لمراجعة نظام المعلومات لتدريب وكذلك الاعتماد المهنيين لهذا الغرض.

الشركات الأصغر حجماً التي لا تستطيع تحمل تكاليف إعداد إجراءات التدقيق في نظام المعلومات الداخلي ، قد تقوم بتوظيف خدمات المعلومات ، ومدققي النظام لهذا الغرض. يكتشف هذا التدقيق ويثني عن الرقابة ويحافظ على حالة التأهب الأمني.

ويعتمد الاستخدام المحدد لهذه الأدوات والطبيعة الدقيقة لإجراءات التحكم على طبيعة الموارد وخطورة التهديد.

2. تدابير الرقابة العامة:

تسري تدابير الرقابة هذه على جميع موارد التطبيق والبيانات. وهي تتكون من ضوابط مادية وبرامجيات قد تمارس على البنية التحتية لتكنولوجيا المعلومات.

(أ) الضوابط التنظيمية:

أهم وسيلة للسيطرة على نظم المعلومات هي الهيكل التنظيمي ومسؤوليات الأشخاص في المنظمة. هناك طريقتان أساسيتان للتحكم في المنظمة تتعلقان بفصل الواجبات في وظيفة واحدة.

على سبيل المثال ، قد يتم فصل تسجيل المعاملة من ترخيص المعاملات. قد يتم فصل تطوير البرامج واختبار البرامج للتأكد من أن التصادم ضروري لإساءة الاستخدام. الدوران الوظيفي والإجازة الإجبارية هي ضوابط تنظيمية أخرى ذات طبيعة عامة تم العثور عليها مفيدة للغاية في الكشف عن إساءة الاستخدام.

(ب) ضوابط تطوير النظام والتنفيذ:

وتشمل هذه الضوابط مثل الترخيص المناسب لمواصفات النظام (توقيع الخروج من المواصفات) ، واختبار وإقرار التغييرات في النظام الحالي ، إلخ. تعتبر الضوابط على النسخ الرئيسية للبرامج بما في ذلك شفرة المصدر والوثائق والموجودات الأخرى ذات الصلة أجزاء أساسية من تطوير النظام وضوابط التنفيذ. يعد وضع معايير لنظام المعلومات وتنفيذها أمرًا هامًا من وجهة نظر الأمن.

(ج) الضوابط المادية:

وتشمل هذه الضوابط تأمين مواقع الأجهزة والبرامج ضد الحرائق والفيضانات والسرقة وأعمال الشغب وما إلى ذلك باستخدام أدوات أمنية متنوعة مثل كاشفات الدخان وحراس الأمن والأقفال الفردية وكاميرات الدائرة المغلقة وأنظمة تحديد الهوية ، إلخ. درء التهديد للحياة المادية للبنية التحتية لتكنولوجيا المعلومات. تعمل هذه الضوابط بالتوازي مع التحكم في الأصول المادية الأخرى مثل النقد والأسهم وغيرها.

(د) ضوابط الاستعادة في حالات الكوارث:

تصبح تدابير مكافحة التعافي من الكوارث مهمة للغاية في حالة التطبيقات الحرجة والأضرار واسعة النطاق لنظم المعلومات. من الضروري إنشاء مجموعة بديلة لضمان أن يكون التعافي من الكارثة ممكنًا بأقل تكلفة وفي أدنى حد ممكن من ضياع الوقت والفرصة.

ويتم ذلك في بعض الحالات عن طريق الحفاظ على بنية تحتية متوازية لتكنولوجيا المعلومات لاستخدامها في حالة الكوارث. في حالة فشل نظام تداول البورصة ، أو نظام حجز السفر ، فإن تكلفة التأخير في الاسترداد أو الفشل في القيام بذلك ، يمكن أن تكون عالية للغاية.

في مثل هذه الحالات ، تعتبر البنية التحتية لتقنية المعلومات موازية للغاية. ومع ذلك ، تتوفر أيضًا أنظمة بديلة لاستعادة القدرة على العمل بعد الكوارث. يتخصص بعض البائعين في استعادة البيانات في حالة وقوع حوادث مثل حوادث القرص الصلب وهجمات الفيروسات وما إلى ذلك.

(هـ) الضوابط القائمة على البرمجيات:

ترتبط تدابير التحكم القائمة على البرامج عادة بالتحكم في الوصول إلى البيانات والتحقق من صحة البيانات في وقت إدخال البيانات. تجدر الإشارة إلى أن معظم الاعتداء على الكمبيوتر هو عن طريق تافه مع إدخال البيانات. قد يتم جعل مسارات الوصول في البرنامج أدوات مساعدة متعددة الطبقات وحساسة ، وقد يتم تأمين البيانات بشكل صحيح من خلال عناصر التحكم في البرامج.

وتتعلق هذه الضوابط بصفة عامة بمصادقة المستخدم وتعريف الوظيفة لكل مستخدم وإنشاء سجل غير قابل للتغيير لسلسلة العمليات التي يتم إجراؤها على مطراف معين (درب المراجعة).

يتم ذلك لمعرفة تسلسل الأحداث التي تؤدي إلى إساءة معينة. يجب أن يؤدي الوصول غير المصرح به إلى تحذير ويجب أن تؤخذ محاولات متكررة للوصول غير المصرح به كمحاولة جدية لاختراق نظام الأمان. وبالتالي ، قد يتم توجيه محاولات متكررة للوصول غير المصرح به إلى إنهاء المعالجة وإيقاف تشغيل المحطة وتسجيل مسار التدقيق لمزيد من التحليل.

(و) ضوابط اتصال البيانات:

أصبحت هذه الضوابط أكثر أهمية لأن حركة البيانات تتزايد في النسب الهندسية إلى جانب زيادة المسافة بين المرسل والمستقبل. كلاهما يؤدي إلى زيادة تعرض البيانات لخطر التنصت. هناك العديد من الطرق المستخدمة لحماية البيانات في طريقها إلى محطة الوصول.

بشكل عام ، يمكن أن تكون التهديدات للبيانات في الإرسال من ثلاثة أنواع ، (أ) التهديد بالنفاذ غير المصرح به ، (ب) التهديد لدقة البيانات واكتمالها ، (ج) التهديد بتنزيل البيانات في الوقت المناسب.

(1) الوصول غير المصرح به إلى البيانات:

الشبكات السلكية المتصلبة (باستخدام الأسلاك المحورية أو وسائط الألياف الضوئية) تكون أقل عرضة للتنصت عند الاتصال من القنوات الإلكترونية. كما تكتسب أجهزة المودم الأمنية شعبية في الشبكات التي تستخدم خطوط الهاتف. يتم استخدام طريقة أخرى تسمى نظام معاودة الاتصال التلقائي للتحقق من صحة المستخدم. في هذا النظام ، يتصل المتصل بطلب المعلومات وينتظر.

يقوم المرسل بالتحقق من الأصالة ويسجل كلمة المرور التي يستخدمها المتصل للمعلومات ويطلب ظهورها مرة أخرى إلى المتصل. هذا النوع من التحقق المزدوج على هوية المتصل وموقعه مفيد للغاية في اكتشاف التنصت على المكالمات الهاتفية. نظام تسجيل الخروج التلقائي هو أيضا نظام مراقبة بشعبية كبيرة.

مع تزايد ضغوط مسؤوليات المديرين التنفيذيين ، هناك كل إمكانية نسيان التنفيذيين تسجيل الخروج بشكل صحيح أو الخروج على الإطلاق. تضمن هذه الأنظمة أنه في حالة عدم استخدام الوحدة الطرفية لفترة زمنية محددة ، تقوم الوحدة الطرفية تلقائيًا بتسجيل الخروج من الخادم. لا يمكن الوصول إلى مزيد من المعلومات إلا عند تكرار إجراء تسجيل الدخول. يقلل هذا النوع من التحكم إمكانية الانتحال.

(2) ضوابط سلامة البيانات:

دقة البيانات والضوابط اكتمال ضرورية لضمان سلامة البيانات المرسلة. قد تحدث أخطاء في نقل البيانات بسبب اضطراب في قناة نقل البيانات أو بعض الأخطاء في أجهزة تبديل البيانات.

للتحقق مما إذا كانت البيانات قد وصلت إلى الوجهة بدقة وكاملة ، يمكن استخدام بتات التماثل. طريقة أخرى شائعة هي تقسيم الرسالة إلى حزم برؤوس وتذييلات (مقطورات) ، والتحقق من وجودها في نهاية المستقبِل.

(ز) ضوابط تشغيل الحاسوب:

يمكن التحكم في تشغيل أنظمة الكمبيوتر والمحطات بدور هام في تجنب إساءة استخدام الكمبيوتر. من المفيد التخطيط لجدول تشغيل الكمبيوتر للمستخدمين المنتظمين ، وبشكل أكثر تحديدًا ، في المستويات الدنيا من التسلسل الهرمي الإداري ، حيث تكون المتطلبات التشغيلية قابلة للتوقع ويمكن جدولتها بشكل صحيح. قد يتم فحص أي انحراف عن العمليات المجدولة لثني تشغيل نظام الكمبيوتر عن الوظائف غير المحددة لهذا اليوم.

يصبح التحكم في تشغيل أنظمة الكمبيوتر أكثر صعوبة في حالة المطاريف المشتركة وتلك التي تنطوي على الاتصال التفاعلي. ومع ذلك ، في حالة عدم مشاركة الهوية وكلمات المرور ، يمكن النظر في معظم مشاكل التحكم في المطاريف المشتركة.

(ح) ضوابط الأجهزة:

عناصر التحكم في أجهزة الكمبيوتر هي عمليات تدقيق تم دمجها بواسطة الشركات المصنعة لأجهزة الكمبيوتر للتحقق من خلل في النظام وإصدار تحذيرات في حالة حدوث إخفاقات. وتشمل هذه الشيكات التكافؤ الشهيرة في أجهزة التخزين ، وفحوص التحقق من الصحة وقراءات القراءة المزدوجة للتحقق. هذه الضوابط مفيدة جدا في تخزين واسترجاع البيانات وأداء وظائف حسابية على البيانات.

يجب مراجعة الضوابط العامة لفعاليتها. تشكل هذه الضوابط أساس التدبير الأمني ​​لنظام المعلومات ككل.

3. ضوابط التطبيق:

بالنسبة لتطبيقات محددة ، لا بد من ممارسة ضوابط خاصة في ضوء متطلباتهم الخاصة وتصوراتهم للمخاطر. وتهدف هذه الضوابط إلى ضمان دقة وصحة واكتمال مدخلات مخزونات المعلومات وصيانتها. وتشمل الضوابط التلقائية وكذلك اليدوية.

(أ) ضوابط المدخلات:

تضمن عناصر التحكم في الإدخال أن الإدخال مسموح به بشكل صحيح ، ويتم تسجيله وفقًا للمستند المصدر. يتم ترقيم المستندات المصدر بشكل متسلسل ويتم التحقق من الإدخال على دفعات قبل أن تؤثر على قاعدة البيانات. تستخدم مجاميع التحكم في الدفعات وتحريرها للتأكد من أن بيانات الإدخال دقيقة وكاملة ، ويتم التخلص من المدخلات المكررة.

يتم استخدام مطالبات إدخال الشاشة والقوائم الشاشة للمساعدة في ضمان دقة واكتمال إدخال البيانات. يتم استخدام عناصر التحكم في التحقق من البيانات للتأكد من أنواع البيانات الصالحة وطول الحقل وتحديد المعاملة والتحقق من مدى معقولية القيم الرقمية في الإدخال.

(ب) ضوابط المعالجة:

تهدف هذه الضوابط إلى ضمان التنفيذ الصحيح للإجراءات التي يجب تنفيذها على المدخلات. تشغيل مجاميع التحكم ، ومطابقة الحاسب الآلي للسجلات الرئيسية مع عناصر البيانات المحددة في المعاملات ، وفحوصات المعقولية ، وفحوصات التنسيق ، وفحوصات التبعية ، والفحص البصري ، وما إلى ذلك ، هي بعض الضوابط الشائعة المستخدمة لضمان أن معالجة المدخلات قد تم تنفيذها بشكل صحيح .

(ج) عناصر التحكم في المخرجات:

تهدف عناصر التحكم هذه إلى التأكد من أن ناتج تشغيل التطبيق دقيق وكامل. وتشمل هذه الضوابط تحقيق التوازن بين إجماليات المخرجات مع المدخلات ومجاميع المعالجة ، ومراجعة تقارير المخرجات وإجراءات تسليم تقارير المخرجات إلى المستلمين المعتمدين.