الســـــــلام علــــــيكم ورحمة الله وبركاته
كيف تكتب سياسة أمنية لشبكتك:
هذا كتاب عاجبنى منذ فترة طويلة جداً وهو منسق بشكل جيد ومفيد للغاية للمهتمين بأمنية الشبكات راح نبدأ فى أعطاء
محاضرة محاضرة بعون الله.
مقدمة :
في الماضي كانت الحواسب مستقلة عن بعضها البعض و كان يتم وضعها في مراكز كبيرة تدعى مراكز معلومات وكان يتم حماية
هذه المركز من هجمات العالم الخارجي بواسطة قفل الأبواب, و مع انتشار الشبكات انتشارا واسعا أصبح إغلاق الأبواب و وضع الأقفال
غير كافيا لحماية الحاسبو معلوماته من الاختراق لأن الهجمات ستأتي الآن من الشبكة أي من أي حاسب آخر و قد يكون حتى من
دولة أخرى.إن تحقيق الأمن لشبكة خاصة في ظل انتشارو توسع الانترنت أمر صعب و خاصة أن الانترنت الآن تعج بالمواقع و خاصة
مواقع الهاكرز و أدواتهم بشكل مجاني.
الحاجة لسياسة أمن :
لا أحد يغفل ضرورة الأمن و خاصة في مجال الشبكات و سنتحدث عن ذلك بالتفصيل في الجزء الثاني من المحاضرة.
قبل أن نبدأ:
إن أول خطوة في كتابة أي سياسة أمنية هو تحليل المخاطر و دراستها, إن تحليل المخاطر يعني دراسة ماذا تريد أن تحمي ضمن
شبكتك و من ماذا تريد حمايته و كيف ستتم حمايته, وهذا يعني تحديد المخاطر و وضعها ضمن مستويات و درجات و طرق تجنبها
و مواجهتها عند حدوثها .
أسس أى سياسة أمنية:
كلنا يعلم أن كتابة سياسة أمن للشبكات لها خصوصيتها و لكن لا يخلو الأمر من بعض الأساسيات التي لا بد أن تشترك بها كل سياسة
أمنية بغض النظر كانت السياسة تهدف لحماية المعلومات أو حماية الشبكات.
الحماية الفيزيائية :
هناك تداخل كبير بين حماية الشبكة و الحماية الفيزيائية لان هيكلية شبكة مؤسسة ما قد تمتد لتشمل بناء كامل, مدينة , دولة و حتى
العالم كله و عليه فإننا نحتاج لحماية فيزيائية لمحتويات الشبكة الفيزيائية من كابلات و موجهات …الخ و بدون الحماية الفيزيائية لن
يكون هناك أي معنى للكلام عن مبادئ سرية الشبكات مثل التكاملية و الموثوقية .عندما نتحدث عن الحماية الفيزيائية هذا
يعني أن نكتب و نوجد طرق حماية الموارد الفيزيائية من قطع هاردوير و تحديد الأشخاص المسؤولين عن الحماية و الأشخاص
المسؤولين عن منح السماحيات للأشخاص الذين يدخلون غرف السيرفر و غرف تمديد الأسلاك .
حماية الشبكة :
تعنى حماية الشبكة بحماية تمديدات الشبكة و أسلاكها و يشمل هذا القسم وجود أدوات قياس و مراقبة للوصول و مثل على تلك الأدوات
وجود جدار ناري, مراقبة الشبكة, تقييد خدمات مثل الوصول عن بعد , خدمات مشاركة الملفات, خدمات الانترنت .
التحكم بالوصول :
يهتم هذا القسم بتحديد هوية من يدخل الشبكة و إلى أين يدخل و ما هو سبب دخوله و يجب أن توجد إجرائية واضحة للتأكد من أن
الأشخاص الحقيقيين هم الذين يمتلكون حق الوصول للخدمات و المعلومات الخاصة بهم دون غيرهم و بالتالي يجب أن تكون السياسة
قادرة على منح المديرين المرونة الكافية لمنح الصلاحيات للمستخدمين و التحكم بها منعا لحدوث أخطاء .
التأكد من الهوية :
يعنى التأكد من الهوية بكيفية اختبار المستخدمين فيما إذا أنهم فعلا المستخدمين الحقيقيين , إن طرق التحقق من الهوية تتراوح من
وجود رقم معرف و كلمة سر خاصة بكل مستخدم إلى طرق التأكد التي تعتمد على معدات هاردويرية مثل التأكد عن طريق بطاقات
ممغنطة أو التأكد من البصمة و حدقة العين و طبعا يتراوح استخدام هذه التقنيات حسب الأهمية و الحاجة .
التشفير :
يعتبر التشفير أحد الأمور الهامة لتحقيق تكامل المعطيات و يقصد بتكامل المعطيات حماية المعطيات المرسلة عبر الشبكةو من التعديل
و التزوير و غالباًما يكون التشفير ضروريا عندما يتم نقل المعلومات لمستخدمين بعيدين أو عند دخول أحد المستخدمين عن بعد لجهاز ما
و خاصة في ظل وجود شبكة انترانت .
إدارة المفتاح :
إن كل عملية تشفير تتطلب وجود مفتاح و لذلك يجب أن تحدد عدة أمور هامة عند اختيار المفتاح : ·ما هو طول المفتاح . ·كل متى
ستغير المفتاح . ·متى و كيف يتم توليد المفتاح . ·من و كيف بتم توزيع المفتاح .
المراقبة و المراجعة :
ماإن تقوم بوضع سياستك الأمنية لشبكتك و تنفذها عليك بعد فترة التأكد من أن المكونات و الموظفون يطبقون و يلتزمون هذه
السياسة و يتم ذلك بمراقبة تطبيق هذه السياسة, تفيد السياسة في التعرف على المشاكل و التنبؤ بها قبل حدوثها و يجب مراجعة
السياسة باستمرار للتأكد من استمرار فعاليتها .
خطة طوارئ :
يجب أن تحتوي سياستك على قسم يشرح الاجرائيات الواجب اتخاذها في حال حدوث كارثة و بالتالي عليك تحديد كيفية و
توقيت استراجاع البيانات عند حدوث هجوم يؤدي لضررها و تحديد كيفية صد هجوم و كيفية حفظ النسخ الاحتياطية و مكانها و
المسؤولون عليها .
السياسة الشخصية :
يحدد هذا القسم السياسة الشخصية لكل مستخدم لديك على الشبكة و ما هي السماحيات التي يملكها على موارد الشبكة مثل الطابعة
و الانترنت و يجب تحديد السماحيات بدقة مثل سماحيات استخدام الألعاب , استخدام البريد الاكتروني, تصفح الانترنت و استخدام
ما سبق للفائدة الشخصية .
سرية البرامج :
يجب تحديد نوعية البرامج التي تم تنزيلها على السيرفر و هل هي تجارية أو غير تجارية , موثوقة أم غير موثوقة بالإضافة لتقييد
تحميل البرامج من الانترنت و تنصيبها على السيرفر مباشرة.
خطوات كتابة سياسة أمنية :
الهدف :
قبل الشروع بكتابة سياستك الأمنية يجب أن يكون لديك فكرة واضحة عن أهداف هذه السياسة .
المدى :
و هو ما ستقوم بحمايته بواسطة سياستك الأمنية و هذا يشمل ذكر كل المجالات اللازمة للحماية انطلاقا من الحماية الفيزيائية حتى
الشخصية و مدى شمولية هذه السياسة من مدراء و مستخدمين و حتى زوار .
المناقشة و دعم الادارة العليا :
بعد كتابة الهدف و أفق السياسة يجب إطلاع الادارة العليا في مؤسستك عليها و أخذ الموافقة و النقاش معهم حول طرق
تحقيق هذه السياسة .
الإطلاع على سياسات أخرى :
ينصح قبل الشروع بكتابة السياسة الأمنية الخاصة بك أن تطلع على سياسات عامة لشركات أخرى و تجارب الشركات الأخرى في
هذا المجال .
تقدير المخاطر :
قبل كتابة السياسة يجب عليك تحديد المخاطر المتوقعة و طرق مواجهتها .
تحديد مكونات السياسة و كتابتها :
يعتمد ذلك على دراسة المخاطرة و ليس من الضروري وضع كل المكونات السابقة عند كتابة سياسة أمنية .
التقييم :
بعد أن تكتب السياسة عليك القيام بتقييمها ,و تساعدك الأسئلة التالية في تقييم سياستك: ·هل تتوافق سياستك مع القانون هل تقيد نفوذ موظفيك هل هي قابلة للتطبيق العملي هل تعرف كل الأشكال المختلفة للاتصالات .
الخلاصة :
إن القيام بكتابة سياسة أمنية للشبكة أمر أكبر من أن يتم إنجازه بيوم أو اثنين و هو يعتمد على مفاهيم إدارية و تقنية في آن ما .
لا تحسب أنك ستكتب سياسة لمرة واحدة و كفى, فالسياسات تتطور و تتغير مع الزمن لان المفاهيم تتغير و أساليب الهجوم
تتطور مع الوقت.
وللموضوع بقية أن شاء الله تعالى,,, الرجـــاء من أصحاب النسخ واللصق (Copy+Past ) ذكر المصدر لأن الموضوع تاعب فيه كثير
ولكم حرية التصرف فى ما يمليه عليه ضميركم وأتمنى أن تستفيدوا من هذا الموضوع الذي يكون بنظر البعض تخريف ولكنه بنظرى
أهم من كونك Administrator Networks فاذا لم تعرف كيف تحمى شبكتك وسياسة النهج المتبعة فلا جدوى من بناء شبكة أو
كونك مهندس. ننتظر باقي السلسلة عن قريب ( ^-^14/7/2004^-^).
كيف ^-^ تكتب سياسة أمنية^-^ لشبكتك (#موضوع قيم#)
