الثلاثاء، 1 ديسمبر 2020

What is Information Security? - CyberSecurity Analyst guide? ما هو أمن المعلومات؟ - دليل محلل الأمن السيبراني؟

 What is Information Security? - CyberSecurity Analyst guide? ما هو أمن المعلومات؟  - دليل محلل الأمن السيبراني؟

What is Information Security? - CyberSecurity Analyst guide? ما هو أمن المعلومات؟  - دليل محلل الأمن السيبراني؟

What is Information Security? - CyberSecurity Analyst guide? ما هو أمن المعلومات؟  - دليل محلل الأمن السيبراني؟

تحاول جميع تدابير أمن المعلومات معالجة هدف واحد على الأقل من ثلاثة أهداف:
  1.  حماية سرية البيانات
  2.  الحفاظ على سلامة البيانات
  3.  تعزيز توافر البيانات للاستخدام المصرح به
 تشكل هذه الأهداف ثالوث السرية والتكامل والتوافر (CIA) ، وهو أساس جميع برامج الأمان.  يجب على متخصصي أمن المعلومات الذين يضعون السياسات والإجراءات (يشار إليها غالبًا بنماذج الحوكمة) مراعاة كل هدف عند إنشاء خطة لحماية نظام الكمبيوتر.

 ماهو ثالوث وكالة المخابرات المركزية


 ثالوث وكالة المخابرات المركزية من السرية والتكامل والتوافر هو في صميم أمن المعلومات.  هناك جدل مستمر حول تمديد هذا الثلاثي الكلاسيكي.  تم اقتراح إضافة مبادئ أخرى مثل المساءلة في بعض الأحيان - وقد تمت الإشارة إلى أن قضايا مثل عدم التنصل لا تتناسب بشكل جيد مع المفاهيم الأساسية الثلاثة.

 في عام 1992 وتم تنقيحها في عام 2002 ، اقترحت إرشادات منظمة التعاون الاقتصادي والتنمية لأمن نظم المعلومات والشبكات المبادئ التسعة المقبولة عمومًا: الوعي ، والمسؤولية ، والاستجابة ، والأخلاق ، والديمقراطية ، وتقييم المخاطر ، وتصميم وتنفيذ الأمن ، وإدارة الأمن ، وإعادة التقييم.  بناءً على ذلك ، في عام 2004 اقترحت المبادئ الهندسية لأمن تكنولوجيا المعلومات الخاصة بـ NIST 33 مبدأ.  من كل من هذه المبادئ التوجيهية والممارسات المشتقة.

 في عام 2002 ، اقترح دون باركر نموذجًا بديلًا للثالوث الكلاسيكي لوكالة المخابرات المركزية ، والذي أطلق عليه العناصر الذرية الستة للمعلومات.  العناصر هي السرية ، والحيازة ، والسلامة ، والأصالة ، والتوافر ، والمنفعة.  تعتبر مزايا Parkerian hexad موضوع نقاش بين المتخصصين في مجال الأمن.

 في عام 2013 ، بناءً على تحليل شامل لأدبيات ضمان وأمن المعلومات (IAS) ، تم اقتراح IAS-octave كامتداد لـ CIA-triad.  يتضمن IAS-octave السرية والتكامل والتوافر والمساءلة والقابلية للتدقيق والأصالة / الجدارة بالثقة وعدم التنصل والخصوصية.  تم تقييم اكتمال ودقة IAS-octave عبر سلسلة من المقابلات مع أكاديميين وخبراء في IAS.  يعد IAS-octave أحد أبعاد النموذج المرجعي لتأمين وأمن المعلومات (RMIAS) ، والذي يلخص معرفة IAS في نموذج واحد شامل.

  •  السرية - في أمن المعلومات ، السرية "هي الملكية ، تلك المعلومات لا يتم توفيرها أو الكشف عنها لأفراد أو كيانات أو عمليات غير مصرح بها" (مقتطف ISO27000).

 السرية تعادل الخصوصية تقريبًا.  تم تصميم التدابير المتخذة لضمان السرية لمنع المعلومات الحساسة من الوصول إلى الأشخاص الخطأ ، مع التأكد من أن الأشخاص المناسبين يمكنهم في الواقع الحصول عليها: يجب أن يقتصر الوصول على أولئك المصرح لهم لعرض البيانات المعنية.  من الشائع أيضًا تصنيف البيانات وفقًا لمقدار ونوع الضرر الذي يمكن أن يحدث في حالة وقوعها في أيدي غير مقصودة.  يمكن بعد ذلك تنفيذ تدابير أكثر أو أقل صرامة وفقًا لتلك الفئات.

 في بعض الأحيان ، قد تتضمن حماية سرية البيانات تدريبًا خاصًا لأولئك المطلعين على هذه المستندات.  يتضمن هذا التدريب عادةً مخاطر أمنية قد تهدد هذه المعلومات.  يمكن أن يساعد التدريب في تعريف الأشخاص المصرح لهم بعوامل الخطر وكيفية الوقاية منها.  يمكن أن تشمل جوانب التدريب الأخرى كلمات مرور قوية وأفضل الممارسات المتعلقة بكلمات المرور ومعلومات حول أساليب الهندسة الاجتماعية ، لمنعهم من ثني قواعد معالجة البيانات بنوايا حسنة ونتائج كارثية محتملة.

 من الأمثلة الجيدة على الأساليب المستخدمة لضمان السرية رقم الحساب أو رقم التوجيه عند التعامل المصرفي عبر الإنترنت.  تشفير البيانات طريقة شائعة لضمان السرية.  تشكل معرفات المستخدم وكلمات المرور إجراءً قياسيًا ؛  أصبحت المصادقة الثنائية هي القاعدة.  تشمل الخيارات الأخرى التحقق من القياسات الحيوية ورموز الأمان أو سلاسل المفاتيح أو الرموز الرقمية.  بالإضافة إلى ذلك ، يمكن للمستخدمين اتخاذ الاحتياطات لتقليل عدد الأماكن التي تظهر فيها المعلومات وعدد المرات التي يتم إرسالها فيها فعليًا لإكمال المعاملة المطلوبة.  قد يتم اتخاذ تدابير إضافية في حالة المستندات شديدة الحساسية ، والاحتياطات مثل التخزين فقط على أجهزة الكمبيوتر المعطلة أو أجهزة التخزين المنفصلة ، أو للحصول على معلومات شديدة الحساسية ، في شكل نسخة ورقية فقط.

  •  التكامل - تعني سلامة البيانات الحفاظ على دقة البيانات واكتمالها وضمانها على مدار دورة حياتها بالكامل.  هذا يعني أنه لا يمكن تعديل البيانات بطريقة غير مصرح بها أو غير مكتشفة.  هذا ليس نفس الشيء مثل التكامل المرجعي في قواعد البيانات ، على الرغم من أنه يمكن اعتباره حالة خاصة من الاتساق كما هو مفهوم في نموذج ACID الكلاسيكي لمعالجة المعاملات.  توفر أنظمة أمن المعلومات عادةً تكامل الرسالة بالإضافة إلى سرية البيانات.

 يجب عدم تغيير البيانات أثناء النقل ، ويجب اتخاذ خطوات لضمان عدم إمكانية تغيير البيانات من قبل أشخاص غير مصرح لهم (على سبيل المثال ، في انتهاك للسرية).  تتضمن هذه الإجراءات أذونات الملفات وضوابط وصول المستخدم.  ربما يتم استخدام التحكم في الإصدار لمنع التغييرات الخاطئة أو الحذف العرضي من قبل المستخدمين المصرح لهم أن يصبح مشكلة.  بالإضافة إلى ذلك ، يجب أن تكون هناك بعض الوسائل في مكانها الصحيح لاكتشاف أي تغييرات في البيانات قد تحدث نتيجة لأحداث غير بشرية مثل النبض الكهرومغناطيسي (EMP) أو تعطل الخادم.  قد تتضمن بعض البيانات مجاميع اختبارية ، وحتى مجاميع اختبارية للتشفير ، للتحقق من النزاهة.  يجب أن تتوفر النسخ الاحتياطية أو التكرار لاستعادة البيانات المتأثرة إلى حالتها الصحيحة.

 تحافظ نماذج التكامل على البيانات نقية وجديرة بالثقة من خلال حماية بيانات النظام من التغييرات المقصودة أو العرضية.  نماذج التكامل لها ثلاثة أهداف:
  1.  منع المستخدمين غير المصرح لهم من إجراء تعديلات على البيانات أو البرامج
  2.  منع المستخدمين المصرح لهم من إجراء تعديلات غير صحيحة أو غير مصرح بها
  3.  الحفاظ على التناسق الداخلي والخارجي للبيانات والبرامج
 من أمثلة فحوصات النزاهة موازنة مجموعة من المعاملات للتأكد من أن جميع المعلومات موجودة وحسابها بدقة.

  •  التوفر - لكي يخدم أي نظام معلومات غرضه ، يجب أن تكون المعلومات متاحة عند الحاجة إليها.  وهذا يعني أن أنظمة الحوسبة المستخدمة لتخزين المعلومات ومعالجتها ، والضوابط الأمنية المستخدمة لحمايتها ، وقنوات الاتصال المستخدمة للوصول إليها يجب أن تعمل بشكل صحيح.  تهدف أنظمة الإتاحة العالية إلى أن تظل متاحة في جميع الأوقات ، مما يمنع انقطاع الخدمة بسبب انقطاع التيار الكهربائي وتعطل الأجهزة وترقيات النظام.  يتضمن ضمان الإتاحة أيضًا منع هجمات رفض الخدمة ، مثل تدفق الرسائل الواردة إلى النظام المستهدف مما يجبره بشكل أساسي على الإغلاق.

 يتم ضمان التوفر على أفضل وجه من خلال الصيانة الصارمة لجميع الأجهزة ، وإجراء إصلاحات الأجهزة فورًا عند الحاجة ، والحفاظ على بيئة نظام تشغيل تعمل بشكل صحيح وخالية من تعارضات البرامج.  من المهم أيضًا مواكبة جميع ترقيات النظام الضرورية.  إن توفير عرض نطاق اتصال مناسب ومنع حدوث الاختناقات أمران مهمان بنفس القدر.  يمكن أن يؤدي التكرار وتجاوز الفشل و RAID حتى مجموعات التوفر العالية إلى التخفيف من العواقب الوخيمة عند حدوث مشكلات في الأجهزة.  التعافي السريع والتكيفي من الكوارث ضروري لأسوأ السيناريوهات ؛  تعتمد هذه القدرة على وجود خطة شاملة للتعافي من الكوارث (DRP).  يجب أن تتضمن الإجراءات الوقائية ضد فقدان البيانات أو الانقطاعات في الاتصالات أحداثًا غير متوقعة مثل الكوارث الطبيعية والحرائق.  لمنع فقدان البيانات من مثل هذه الحوادث ، يمكن تخزين نسخة احتياطية في مكان معزول جغرافيًا ، وربما حتى في مكان آمن مقاوم للحريق ومقاوم للماء.  يمكن للأجهزة أو البرامج الأمنية الإضافية ، مثل جدران الحماية والخوادم الوكيلة ، الحماية من أوقات التعطل والبيانات التي يتعذر الوصول إليها بسبب الإجراءات الضارة مثل هجمات رفض الخدمة (DoS) واختراقات الشبكة.

 نماذج التوافر تحافظ على البيانات والموارد متاحة للاستخدام المصرح به ، خاصة أثناء حالات الطوارئ أو الكوارث.  عادةً ما يتعامل متخصصو أمن المعلومات مع ثلاثة تحديات مشتركة للتوافر:

 رفض الخدمة (DoS) بسبب الهجمات المتعمدة أو بسبب عيوب غير مكتشفة في التنفيذ (على سبيل المثال ، برنامج مكتوب من قبل مبرمج غير مدرك لوجود خلل قد يؤدي إلى تعطل البرنامج في حالة مواجهة مدخلات معينة غير متوقعة)
 فقدان إمكانيات نظام المعلومات بسبب الكوارث الطبيعية (حرائق أو فيضانات أو عواصف أو زلازل) أو أعمال بشرية (قنابل أو ضربات)
 أعطال المعدات أثناء الاستخدام العادي
 بعض الأنشطة التي تحافظ على السرية و / أو النزاهة و / أو التوفر تمنح حق الوصول فقط للأفراد المصرح لهم ، وتطبيق التشفير على المعلومات التي سيتم إرسالها عبر الإنترنت أو تخزينها على الوسائط الرقمية ، واختبار أمان نظام الكمبيوتر بشكل دوري للكشف عن نقاط الضعف الجديدة ، وبناء البرامج بشكل دفاعي  ، ووضع خطة للتعافي من الكوارث لضمان استمرار وجود الشركة في حالة وقوع كارثة أو فقدان الوصول من قبل الموظفين.

  •  عدم التنصل - في القانون ، يشير عدم التنصل إلى نية الفرد للوفاء بالتزاماته بموجب العقد.  كما يعني ضمناً أن أحد طرفي المعاملة لا يمكنه إنكار تلقي المعاملة ولا يمكن للطرف الآخر إنكار إرسال المعاملة.  ملاحظة: يعتبر هذا أيضًا جزءًا من النزاهة.

 من المهم أن نلاحظ أنه في حين أن التكنولوجيا مثل أنظمة التشفير يمكن أن تساعد في جهود عدم التنصل ، فإن المفهوم هو في جوهره مفهوم قانوني يتجاوز مجال التكنولوجيا.  على سبيل المثال ، لا يكفي إظهار أن الرسالة تطابق توقيعًا رقميًا موقعًا بالمفتاح الخاص للمرسل ، وبالتالي كان بإمكان المرسل فقط إرسال الرسالة ولا يمكن لأي شخص آخر تغييرها أثناء النقل.  يمكن للمرسل المزعوم في المقابل إثبات أن خوارزمية التوقيع الرقمي ضعيفة أو معيبة ، أو يزعم أو يثبت أن مفتاح التوقيع الخاص به قد تم اختراقه.  قد يقع الخطأ في هذه الانتهاكات أو لا يقع على عاتق المرسل نفسه ، وقد تعفي هذه التأكيدات المرسل من المسؤولية وقد لا تعفيه ، لكن التأكيد من شأنه أن يبطل الادعاء بأن التوقيع يثبت بالضرورة الأصالة والأمانة وبالتالي يمنع التنصل.

 مبدأ الامتياز الأقل Principle of least privilege


 معايير تقييم نظام الكمبيوتر الموثوق به من وزارة الدفاع ، (DOD-5200.28-STD) ، أو الكتاب البرتقالي ، هي معيار مقبول لأمن الكمبيوتر.  يعرّف هذا المنشور الامتياز الأقل بأنه مبدأ "يتطلب أن يتم منح كل موضوع في نظام ما مجموعة الامتيازات الأكثر تقييدًا (أو أقل تصريح) اللازمة لأداء المهام المصرح بها.  يحد تطبيق هذا المبدأ من الضرر الذي يمكن أن ينتج عن حادث أو خطأ أو استخدام غير مصرح به ".

 ستذكر معظم التدريبات والوثائق المتعلقة بالأمان مبدأ الامتياز الأقل.  على الرغم من أن هذا المبدأ سهل الفهم نسبيًا ، إلا أنه أيضًا من شأنه أن يحسن بشكل كبير ملف تعريف الأمان لأي شركة تنفذها.  ببساطة ، ينص هذا المبدأ على أن جميع الحسابات يجب أن تتمتع بالحد الأدنى المطلق من مجموعة الامتيازات الضرورية لإكمال المهام الحالية وليس أكثر.  لا ينطبق هذا المبدأ على المستخدمين فحسب ، بل ينطبق أيضًا على أجهزة الكمبيوتر والخدمات التي تعمل عليها.

 لا يساعد اتباع هذا المبدأ في الحماية من المهاجمين والبرامج الضارة فحسب ، بل يحسن أيضًا ملف تعريف الأمان للشركة عن طريق إجبار متخصصي التكنولوجيا على إجراء بحث مكثف لتحديد امتيازات الوصول التي يحتاجها المستخدمون وأجهزة الكمبيوتر والتطبيقات.  يوفر فهم هذه المعلومات نظرة ثاقبة حول العمليات أو الإعدادات التي قد تكون غير آمنة وتتطلب مزيدًا من الحماية ، وبالتالي فهي خطوة أساسية لأي مبادرة أمنية ناجحة.

 على سبيل المثال ، وفقًا لمبدأ الامتياز الأقل ، يجب على الشخص الذي لديه دور مسؤول المجال فقط استخدام حساب له امتياز مستوى مسؤول المجال عند تنفيذ المهام التي تتطلب هذا المستوى من الوصول.  بخلاف ذلك ، عند عدم تنفيذ المهام التي تتطلب امتيازًا بمستوى أعلى ، يجب على المسؤول استخدام حساب بحقوق الوصول القياسية.  من شأن مثل هذه الممارسة أن تقلل التهديدات الأمنية التي تنشأ عن خطأ بشري وتقلل من مقدار الضرر الذي يحدث في حالة إصابة محطة عمل إدارية ببرامج ضارة.

 الدفاع في العمق Defense in Depth


 في عالم أمن المعلومات ، يتطلب الدفاع في العمق وضع أجهزة أمان في سلسلة تحمي وتكتشف وتستجيب للهجمات على الأنظمة.  على سبيل المثال ، تتضمن الشبكة النموذجية المتصلة بالإنترنت والمصممة مع وضع الأمان في الاعتبار أجهزة التوجيه والجدران النارية وأنظمة كشف التسلل (IDS) لحماية الشبكة من المتطفلين المحتملين ؛  توظف محللي حركة المرور والمراقبين البشريين في الوقت الفعلي الذين يراقبون الحالات الشاذة أثناء استخدام الشبكة لاكتشاف أي خرق في طبقات الحماية ؛  ويعتمد على آليات آلية لإيقاف الوصول أو إزالة النظام من الشبكة استجابةً لاكتشاف دخيل.

 أخيرًا ، يجب اختبار أمان كل من هذه الآليات بدقة قبل النشر للتأكد من أن النظام المتكامل مناسب للعمليات العادية.  بعد كل شيء ، فإن السلسلة جيدة مثل أضعف حلقاتها.

 الفكرة وراء أسلوب الدفاع المتعمق هي الدفاع عن نظام ضد أي هجوم معين باستخدام عدة طرق مستقلة.  إنه تكتيك متعدد الطبقات ، تصوره وكالة الأمن القومي (NSA) كنهج شامل للمعلومات والأمن الإلكتروني.

 الدفاع في العمق هو في الأصل استراتيجية عسكرية تسعى إلى تأخير تقدم المهاجم بدلاً من منعه من خلال توفير مساحة لكسب الوقت.  يهدف وضع آليات وإجراءات وسياسات الحماية إلى زيادة موثوقية نظام تكنولوجيا المعلومات ، حيث تمنع طبقات الدفاع المتعددة التجسس والهجمات المباشرة ضد الأنظمة الهامة.  فيما يتعلق بالدفاع عن شبكة الكمبيوتر ، لا ينبغي للتدابير الدفاعية المتعمقة أن تمنع الخروقات الأمنية فحسب ، بل توفر أيضًا وقتًا للمؤسسة لاكتشاف الهجوم والرد عليه ، وبالتالي تقليل وتخفيف عواقب الاختراق.

ما هي مبادئ الأمن السيبراني

 أدركت صناعة الإنترنت والحكومة في المملكة المتحدة الحاجة إلى تطوير سلسلة من المبادئ التوجيهية لتحسين الأمن عبر الإنترنت لعملاء مزودي خدمات الإنترنت والحد من زيادة الهجمات الإلكترونية.  يشمل الأمن السيبراني لهذه الأغراض حماية المعلومات والعمليات والأنظمة الأساسية ، المتصلة أو المخزنة عبر الإنترنت ، مع رؤية واسعة عبر الأشخاص والمجالات التقنية والمادية.

 تدرك هذه المبادئ أن مقدمي خدمات الإنترنت (ومقدمي الخدمات الآخرين) ومستخدمي الإنترنت وحكومة المملكة المتحدة يلعبون جميعًا دورًا في تقليل وتخفيف التهديدات السيبرانية الملازمة لاستخدام الإنترنت.

تم تطوير هذه المبادئ التوجيهية للاستجابة لهذا التحدي من خلال توفير نهج متسق لمساعدة عملاء مزودي خدمة الإنترنت (مزود خدمة الإنترنت) وإعلامهم وتثقيفهم وحمايتهم من الجرائم عبر الإنترنت.  تعتبر هذه المبادئ التوجيهية طموحة وتم تطويرها وتنفيذها كشراكة بين الحكومة ومقدمي خدمات الإنترنت.  إنهم يدركون أن مزودي خدمات الإنترنت لديهم مجموعات مختلفة من العملاء ، ويقدمون مستويات مختلفة من الدعم والخدمات لحماية هؤلاء العملاء من التهديدات الإلكترونية.

 بعض مبادئ الأمن السيبراني الأساسية موضحة أدناه-

  •  آلية اقتصاد
  •  المفترض ان تشعر بالامان
  •  امتياز أقل
  •  افتح التصميم
  •  وساطة كاملة
  •  فصل الامتياز
  •  الآلية المشتركة الأقل
  •  القبول النفسي
  •  عامل العمل
  •  التسوية في التسجيل

1. اقتصاد الآلية Economy of mechanism

 ينص هذا المبدأ على أن آليات الأمن يجب أن تكون بسيطة وصغيرة قدر الإمكان.  يبسط مبدأ اقتصاد الآلية تصميم وتنفيذ آليات الأمن.  إذا كان التصميم والتنفيذ بسيطًا وصغيرًا ، فهناك احتمالات أقل للأخطاء.  تعتبر عملية الفحص والاختبار أقل تعقيدًا لذا يلزم اختبار عدد أقل من المكونات.

 تعتبر الواجهات بين وحدات الأمان هي المنطقة المشبوهة التي يجب أن تكون بسيطة قدر الإمكان.  لأن وحدات الواجهة غالبًا ما تضع افتراضات ضمنية حول معلمات الإدخال أو الإخراج أو حالة النظام الحالية.  إذا كان أي من هذه الافتراضات خاطئًا ، فقد تؤدي إجراءات الوحدة إلى نتائج غير متوقعة.  يسهل إطار العمل الأمني ​​البسيط فهمه من قبل المطورين والمستخدمين ويتيح التطوير الفعال والتحقق من طرق التنفيذ الخاصة به.

 2. افتراضات الأمان عند  الفشل Fail-safe defaults

 ينص مبدأ التخلف الآمن من الفشل على أن التكوين الافتراضي للنظام يجب أن يحتوي على مخطط حماية متحفظ.  يقيد هذا المبدأ أيضًا كيفية تهيئة الامتيازات عند إنشاء موضوع أو كائن.  عندما لا يتم منح حق الوصول أو الامتيازات / الحقوق أو بعض السمات المتعلقة بالأمان صراحةً ، فلا ينبغي منحها حق الوصول إلى هذا الكائن.

 مثال: إذا أضفنا مستخدمًا جديدًا إلى نظام تشغيل ، فيجب أن تتمتع المجموعة الافتراضية للمستخدم بحقوق وصول أقل إلى الملفات والخدمات.

 3.  الامتياز الأقل  Least Privilege

 ينص هذا المبدأ على أن المستخدم يجب أن يمتلك فقط تلك الامتيازات التي يحتاجها لإكمال مهمته.  وتتمثل وظيفته الأساسية في التحكم في تخصيص الحقوق الممنوحة للمستخدم ، وليس هوية المستخدم.  هذا يعني أنه إذا طلب المدير الوصول إلى الجذر إلى نظام UNIX الذي تديره ، فلا ينبغي منحه هذا الحق ما لم يكن لديه / لديها مهمة تتطلب هذا المستوى من الوصول.  إذا كان ذلك ممكنًا ، يجب إزالة الحقوق المرتفعة لهوية المستخدم بمجرد عدم الحاجة إلى هذه الحقوق.

 4. افتح التصميم Open Design

 ينص هذا المبدأ على أن أمن الآلية لا ينبغي أن يعتمد على سرية تصميمها أو تنفيذها.  يقترح أن التعقيد لا يضيف الأمان.  هذا المبدأ هو عكس النهج المعروف بـ "الأمن من خلال الغموض".  لا ينطبق هذا المبدأ على المعلومات مثل كلمات المرور أو أنظمة التشفير فحسب ، بل ينطبق أيضًا على العمليات الأخرى المتعلقة بأمان الكمبيوتر.

 مثال: حماية مشغل DVD ونظام تشويش المحتوى (CSS).  CSS هي خوارزمية تشفير تحمي أقراص أفلام DVD من النسخ غير المصرح به.

 5. وساطة كاملة Complete mediation

 يقيد مبدأ الوساطة الكاملة التخزين المؤقت للمعلومات ، مما يؤدي غالبًا إلى عمليات تنفيذ أبسط للآليات.  فكرة هذا المبدأ هي أنه يجب التحقق من الوصول إلى كل كائن للتأكد من امتثاله لنظام الحماية للتأكد من أنه مسموح به.  نتيجة لذلك ، يجب أن يكون هناك حذر من تقنيات تحسين الأداء التي تحفظ تفاصيل فحوصات التفويض السابقة ، حيث يمكن أن تتغير الأذونات بمرور الوقت.

 عندما يحاول شخص ما الوصول إلى كائن ، يجب على النظام مصادقة حقوق الوصول المرتبطة بهذا الموضوع.  يتم التحقق من حقوق الوصول الخاصة بالموضوع مرة واحدة عند الوصول الأولي ، وبالنسبة لعمليات الوصول اللاحقة ، يفترض النظام أنه يجب قبول حقوق الوصول نفسها لهذا الموضوع والكائن.  يجب أن يتوسط نظام التشغيل في كل وصول إلى كائن ما.

 مثال: يجب أن يطلب موقع الويب للخدمات المصرفية عبر الإنترنت من المستخدمين تسجيل الدخول مرة أخرى بعد فترة معينة كما يمكننا القول ، لقد انقضت عشرين دقيقة.

 6. فصل الامتياز Separation of Privilege

 ينص هذا المبدأ على أن النظام يجب أن يمنح إذن الوصول بناءً على تلبية أكثر من شرط واحد.  قد يكون هذا المبدأ أيضًا مقيدًا لأنه يحد من الوصول إلى كيانات النظام.  وبالتالي ، قبل منح الامتياز ، يجب إجراء أكثر من تحققين.

 مثال: لسو (التغيير) إلى الجذر ، يجب استيفاء شرطين-

 يجب أن يعرف المستخدم كلمة مرور الجذر.
 يجب أن يكون المستخدم في المجموعة الصحيحة (عجلة).

 7. أقل آلية مشتركة Least Common Mechanism

 ينص هذا المبدأ على أنه في الأنظمة ذات المستخدمين المتعددين ، يجب تقليل الآليات التي تسمح بمشاركة الموارد من قبل أكثر من مستخدم واحد قدر الإمكان.  قد يكون هذا المبدأ مقيدًا أيضًا لأنه يحد من مشاركة الموارد.

 مثال: إذا كانت هناك حاجة للوصول إلى ملف أو تطبيق من قبل أكثر من مستخدم ، فيجب على هؤلاء المستخدمين استخدام قنوات منفصلة للوصول إلى هذه الموارد ، مما يساعد على منع حدوث عواقب غير متوقعة قد تسبب مشاكل أمنية.

 8. القبول النفسي Psychological acceptability

 ينص هذا المبدأ على أن آلية الأمان لا ينبغي أن تجعل الوصول إلى المورد أكثر تعقيدًا إذا لم تكن آليات الأمان موجودة.  يعترف مبدأ القبول النفسي بالعنصر البشري في أمان الكمبيوتر.  إذا كانت البرامج المتعلقة بالأمان أو أنظمة الكمبيوتر معقدة للغاية بحيث يتعذر تكوينها أو صيانتها أو تشغيلها ، فلن يستخدم المستخدم آليات الأمان اللازمة.  على سبيل المثال ، إذا تمت مطابقة كلمة المرور أثناء عملية تغيير كلمة المرور ، فيجب أن يذكر برنامج تغيير كلمة المرور سبب رفضها بدلاً من تقديم رسالة خطأ مشفرة.  في الوقت نفسه ، يجب ألا تنقل التطبيقات معلومات غير ضرورية قد تؤدي إلى حل وسط في الأمان.

 مثال: عند إدخال كلمة مرور خاطئة ، يجب أن يخبرنا النظام فقط أن معرف المستخدم أو كلمة المرور غير صحيحة.  لا ينبغي أن يخبرنا أن كلمة المرور فقط كانت خاطئة لأن هذا يعطي معلومات للمهاجم.

 9. عامل العمل Work Factor

 ينص هذا المبدأ على أنه يجب مقارنة تكلفة التحايل على آلية الأمان بموارد مهاجم محتمل عند تصميم نظام أمان.  في بعض الحالات ، يمكن حساب تكلفة التحايل ("المعروفة باسم عامل العمل") بسهولة.  بمعنى آخر ، عامل العمل هو مقياس تشفير شائع يستخدم لتحديد قوة تشفير معين.  لا يرتبط مباشرة بالأمن السيبراني ، لكن المفهوم العام ينطبق.

 مثال: افترض أن عدد التجارب اللازمة لتجربة جميع كلمات المرور الأربعة المحتملة هو 244 = 331776. إذا كان يجب على المهاجم المحتمل تجربة كل كلمة مرور تجريبية في محطة طرفية ، فقد يعتبر المرء أن كلمة المرور المكونة من أربعة أحرف مرضية.  من ناحية أخرى ، إذا تمكن المهاجم المحتمل من استخدام جهاز كمبيوتر فلكي قادر على تجربة مليون كلمة مرور في الثانية ، فإن كلمة المرور المكونة من أربعة أحرف ستكون عائقًا ثانويًا لمتطفل محتمل.

 10. تسوية  التسجيل Compromise Recording

 ينص مبدأ التسوية على التسجيل على أنه في بعض الأحيان يكون من المرغوب فيه تسجيل تفاصيل التطفل لتبني تدبير أكثر تعقيدًا لمنعه.

 مثال: قد تحتفظ الخوادم في شبكة المكتب بسجلات لجميع عمليات الوصول إلى الملفات ، وجميع رسائل البريد الإلكتروني المرسلة والمستلمة ، وجميع جلسات التصفح على الويب.  مثال آخر هو أن كاميرات المراقبة المتصلة بالإنترنت هي مثال نموذجي لنظام التسجيل الوسط الذي يمكن وضعه لحماية المبنى.

اقرأ أيضا في دليل محلل الأمن السيبراني 

اقرأ أيضا عن مواضيع ذات علاقة بالشبكات


التسميات: