JO Academy school

Here you can browse Jo Academy school, the curriculum, questions, explanations, and much more

مقدمة في أمن المعلومات

الحاسوب - Grade المواد المشتركة توجيهي

الوحدة الرابعة 

أمن المعلومات والتشفير

Information   Security   and  Crypotography

  اهتمت الشعوب قديما بالحفاظ على سرية المعلومات ؛ وذلك للحفاظ على أسرارها  وهيبتها ومكانتها ولإنجاح مخططاتها العسكرية  و اعتمدت سرية المعلومات  على   موثوقية حاملها  و   قدرته على توفير الظروف المناسبة  لمنع اكتشاف المعلومات   ومع تطور العلم واستخدام شبكات الحاسوب كانت الحاجة أكثر إلحاحاً لإيجاد طرائق جديدة لحماية المعلومات فقد ابتدأت بالطرائق المادية
ثم تطورت هذه الطرائق لحماية قنوات الاتصال والمعلومات واستخدمت أساليب كثيرة لحماية المعلومات والأجهزة الخاصة بها وكذلك  تدريب الكادر البشري وتوعيته

الفصل الأول :  أمن المعلومات

 يعد أمن المعلومات من أهم الركائز التي تعتمد عليها الدول والمؤسسات والأفراد للحفاظ على موقفها العالمي سياسياً ومالياً

ومع التطور الهائل الذي حصل في مجالي الانترنت والبرمجيات أصبح تناقل المعلومات والحصول عليها امراً سهلا 

وبسبب وجود المخترقين والمتطفلين  بشكل  كبير  فقد وجب الاهتمام بكل ما يخص المعلومة من  أجهزة تخزين و  المعالجة والاهتمام بالكادر البشري التي يتعامل مع المعلومات  و المعلومات نفسها

أولاً  : مقدمة في  أمن المعلومات

درست سابقاً مفهوم أمن الشبكات  وكيفية حماية الشبكات والمخاطرالتي تهدد امنها وهو فرع من فروع أمن المعلومات

فما هو امن المعلومات ؟  وما المخاطر التي تهدد أمن المعلومات ؟  وما الضوابط التي يمكن أن تقلل من هذه المخاطر ؟

1 -   مفهوم أمن المعلومات :

هو العلم الذي يعمل على حماية المعلومات والمعدات  المستخدمة لتخزينها ومعالجتها ونقلها   ،  من السرقة أو  التطفل  أو من الكوارث الطبيعية أو غيرها من المخاطر   ويعمل على ابقائها  متاحة للأفراد المصرح لهم باستخدامها

 

يمكن تحديد الخصائص الأساسية لأمن المعلومات  بــــــ               https://content.joacademy.com/images/Picture11_1657635693.png

  • السرية
  • السلامة
  • توافر المعلومات 

  والتي يهدف  أمن المعلومات الحفاظ عليها  وف ما يأتي توضيح لكل منها 

                         أ -    السرية:    https://content.joacademy.com/images/Picture12_1657636151.png  Confidentiality 

تعني أن الشخص المخوّل هو الوحيد القادر  على الوصول للمعلومات والاطلاع عليها  وهو مصطلح السرية مرادف لمصطلحي :

 الأمن Security   و   الخصوصية Privacy   .

حيث تعد    المعلومات الشخصية   و   الموقف المالي  لشركة ما قبل إعلانه  و  المعلومات العسكرية   بيانات يعتمد أمنها على مقدار الحفاظ على سريتها 

                ب -     السلامة   https://content.joacademy.com/images/Picture14_1657636216.png  Integrity 

,وتعني  حماية الرسائل أو المعلومات  التي يتم تداولها والتأكد من أنها لم تتعرض لأي تعديل  سواء  بالاضافة   أم بالاستبدال     أم  حذف جزء منها

فمثلاً  عند نشر نتائج طلبة الثانوية العامة يجب الحفاظ على سلامة هذه النتائج من أي تعديلات وكذلك الامر عند صدور قوائم القبول الموحد  للجامعات الأردنية  والتخصصات التي قُبِل فيها الطلبة فلا بد من العمل على حماية هذه القوائم من أي تعديل  أو حذف  أو تبديل أو تغيير

                جـ - توافر المعلومات    Availability 

يُعد الحفاظ على سلامة المعلومات وسريتها أمرين مهمين  ولكن هذه المعلومات تكون بلا فائدة إذا لم تكن متاحة   للأشخاص المصرح لهم بالتعامل معها أو أنّ الوصول إليها يحتاج إلى وقت كبير

مفهوم توافر المعلومات  : هي أن تكون المعلومات متاحة للأشخاص المصرح لهم التعامل معها وأنّ الوصول إليها لا يحتاج إلى وقت كبير 

 

ومن  الوسائل التي يقوم بها المخترقون لجعل المعلومات غير متاحة  : إما بحذف المعلومات أو  الاعتداء على الأجهزة التي تخزن بها المعلومات

 

  2-   المخاطر التي تهدد أمن المعلومات  :  

تقسم المخاطر التي تهدد امن المعلومات إلى نوعين رئيسين هما : 

  • التهديدات
  • الثغرات

وفيما ييأتي توضيح لكل منهما  : 

أ -  التهديدات 

يحدث التهديد لأسباب طبيعية  مثل :  حدوث حريق أو انقطاع التيار الكهربائي ما يؤدي إلى فقد المعلومات  أو لأسباب  بشرية يمكن أن تكون غير  متعمدة 

وتحدث نتيجة الاهمال او خطأ  مثل : كتابة عنوان بريد الكتروني بشكل غير صحيح   وأحياناً تكون متعمدة  وتقسم إلى قسمين : غير موجهة لجهاز معين كان ينشر فيروس بين الحواسيب  أو  موجهة لجهاز معين  وهذا ما يسمّى  "   الهجوم الالكتروني Attack    أو  الاعتداء الالكتروني  "    ومن الأمثلة عليها  :

 1 - سرقة جهاز الحاسوب
2 - سرقة معدات التي تحفظ  المعلومات
3 - تعديل ملف وحذفه 
4 - الكشف عن بيانات سرية
5 - منع الوصول للمعلومات

 والشكل الآتي يبن انواع التهديدات 

                        
 

                                                              -  أنواع  تهديدات امن المعلومات   -

يُعدّ  الاعتداء  الالكتروني من اخطر أنواع التهديدات ، و يعتمد  نجاح هذا الهجوم   على ثلاثة عوامل رئيسة

  • الدافع
  • الطريقة
  • فرصة النجاح

يجب اخذها بالحسبان لتقييم التهديد الي يتعرض له النظام 

 أ -   الدافع

تتنوع دوافع الأفراد لتنفيذ الهجوم الالكتروني  فقد  تكون 
               1- الرغبة في الحصول على المال
               2 -محاولة اثبات القدرات التقنية
               3 - الاضرار بالآخرين

ب -   الطريقة  

وتتضمن الطريقة   :  

1 - المهارات التي يتميز بها المعتدي الالكتروني 

2-قدرته على توفير المعدات والبرمجيات الحاسوبية التي يحتاج إليها

3-  معرفته بتصميم النظام وآلية عمله

4 - معرفة نقاط القوة والضعف لهذا النظام

  ج-   فرصة نجاح الهجوم الالكتروني

تتمثل  فرصة النجاح في الاعتداء الالكتروني على :

1 - تحديد الوقت المناسب للتنفيذ

2 - كيفية الوصول للأجهزة


وقد تتعرض المعلومات إلى أربعة انواع من الاعتداءات الإلكترونية وهي : 

*  التنصت على المعلومات
*  التعديل على المحتوى
*  الإيقاف
*   الهجوم المزور أو المفبرك

            1 -  التنصت على المعلومات  :والهدف منه الحصول على  المعلومات السريّة حيث يتم   الاخلال بسرية المعلومات
            2 -  التعديل على المحتوى  : يتم اعتراض المعلومات وتغيير محتواها وإعادة إرسالها للمستقبل دون أن يعلم بتغيير محتواها  وفي هذا النوع يتم                                                                  الاخلال  بسلامة المعلومات

            3 -  الإيقاف : يتم قطع قناة الاتصال ومن ثم منع المعلومات من الوصول إلى المستقبل وفي هذه الحالة تصبح المعلومات غير متوافرة 

           4 -  الهجوم المزور أو المفبرك :  ويتمثل هذا النوع بارسال المعتدي الالكتروني رسالة لأحد الأشخاص على الشبكة يخبره  بأنه صديقه ويحتاج                                                                              معلومات أو كلمات سرية خاصة ، تتأثر بهذه الطريقة سرية المعلومات وقد تتأثر أيضا سلامتها

 

 ب -   الثغرات  ويقصد بها  نقطة ضعف النظام سواء كانت في :

             1 -   الاجراءات المتبعة  مثل عدم تحديد صلاحيات الوصول للمعلومات

             2 - مشكلة  في تصميم النظام

             3-  عدم كفاية الحماية المادية للأجهزة والمعلومات

هذه الثغرات تعد من نقاط ضعف النظام التي قد تتسبب  في :   1 - فقدان المعلومات    2 -هدم النظام   3 -تجعله عرضة للاعتداء الالكتروني

 

2-  الحد من مخاطر أمن المعلومات  
  يرى المختصون في مجال أمن المعلومات  بأن الحفاظ على المعلومات وأمنها  ينبع من التوازن بين تكلفة الحماية وفعالية الرقابة من جهة   مع احتمالية الخطر من جهة أخرى  لذا وُضِعت مجموعة من الضوابط لتقليل المخاطر التي تتعرض لها المعلومات والحد منها وهذه الضوابط 
 

       أ -  الضوابط المادية   :     ويقصد بها  مراقبة بيئة العمل  و حماية بيئة العمل من الكوارث الطبيعية  وغيرها   من خلال
                                                استخدام الجدران والأسوار والأقفال  و  وجود حراس الأمن   و  وجود أجهزة إطفاء الحريق

    ب - الضوابط الإدارية  :    و تستخدم مجموعة من الاوامر والاجراات المتفق عليها مثل :  القوانين واللوائح  و السياسات و الإجراءات التوجيهية  وحقوق                                                    النشر وبراءة الاختراع  والعقود والاتفاقيات

   ج-   الضوابط التقنية :      هي الحماية التي تعتمد على التقنيات المستخدمة سواء معدات Hardeware أو برمجيات Software

                                            وتتضمن    كلمات المرور  و  منح صلاحيات الوصول و  بروتوكول الشبكات    و  الجدر النارية    و  التشفير    و   تنظيم تدفق                                                      المعلومات في الشبكة

 

 وللوصول إلى أفضل النتائج تعمل الضوابط  السابقة  بشكل متكامل  للحد من الأخطار  التي تتعرض لها المعلومات