أمن الحواسيب وشبكاتها

أ ب ت ث ج ح خ د ذ ر ز س ش ص ض ط ظ ع غ ف ق ك ل م ن هـ و ي

أمن الحواسيب وشبكاتها

امن حواسيب وشبكاتها

Computer and network security - Sécurité informatique et réseaux

غسان شدود

منتجات أمنية	أنواع الهجوم
البروتوكولات الأمنية	الخدمات الأمنية
معايير أمنية	الآليات الأمنية

ازدادت في السنوات الأخيرة التهديدات التي تستهدف المعطيات المخزّنة والمعالَجة في الحواسيب والمنقولة عبر الشبكات. ولمواجهة هذه التهديدات؛ ظهرت الإجراءات التي تركّز على حماية المعطيات المعالجة في الحواسيب ضمن سياق أمن الحواسيب computer security الذي يركّز على مواجهة التهديدات التي تستغل نقاط الضعف في الأنظمة للوصول إلى المعطيات الحاسوبية. وظهرت أيضاً إجراءات حماية المعطيات المنقولة عبر الشبكات ضمن سياق أمن الشبكات network security.

قد يبدو للوهلة الأولى أن الموضوعين: أمن الحواسيب وأمن الشبكات؛ منفصلان، ولكن الغوص فيهما يظهر تلاشي الحدود بينهما، وذلك لعدة أسباب، منها:

• تجهيز النظم الحاسوبية بواجهات الاتصال الشبكية مثل Li-Fi و Wi-Fi و Bluetooth و3G، وغيرها، وجميعها تسهم في جعل تدفق المعطيات خارج سيطرة المستخدم أو المالك.

• تطور نوعية النظم الحاسوبية، فأجهزة الهاتف الذكي والمساعدات الشخصية الرقمية وأنظمة التحكم في الإنتاج تُجهّز حالياً بأنظمة التواصل الشبكي.

• يرافق نقل المعطيات بين مكوّنات الحاسوب- مثلاً بين وحدة المعالجة ووحدة الإظهار- تسريب للمعطيات يمكن استغلاله لدى توفر أدوات كشف التسريب المناسبة.

يُعزى هذا الغموض في التعاريف وضبابية الحدود إلى ما يلي:

• سرعة التطور الهائلة لأنظمة الاتصال والمعلومات.

• التعامل مع حماية المعطيات بعد ظهور المشكلات ووقوع الخسائر؛ أي إن إجراءات الحماية أتت في أغلب الأحيان ردّاتِ فعل، وليست إجراءات وقائية.

• تعدّد الجهات التي شاركت في تطوير الحلول والمعايير، منها:

− وزارة الدفاع الأمريكية، التي طوّرت معايير تقييم النظم الحاسوبية الموثوقة أو ما يُعرف بالكتاب البرتقالي orange book.

− المنظّمة العالمية للمعايير ISO التي طوّرت البنية الأمنية لأمن الاتصالات؛ بالمعيار ISO 4798-2.

− الاتحاد الدولي للاتصالات ITU الذي اعتمد المعيار ISO 7498-2؛ باسم X.800.

− مجتمع الإنترنت الممثّل ب(IETF)ـ Internet Engineering Task Force الذي يسهم في تطوير بروتوكولات الإنترنت تحت إشراف مجتمع الإنترنت Internet Society.

− منتدى أمن المعلومات(ISF) Information Security Forum الذي طوّر معيار الممارسات الجيدة لحماية المعلومات.

وما يزال بعض العلماء يطلق عبارة أمن الحواسيب على الإجراءات التقنية التي تحمي المعطيات المعالجة والمخزّنة، وعبارة أمن الشبكات على إجراءات الحماية المقدَّمة على مستوى طبقات نموذج ترابط النظم المفتوحة open system interconnection (OSI) model. ولكن: هل يمكن أن تُطبّق إجراءات الحماية بمعزل عن تعريف المتطلبات الأمنية المقدّمة ضمن سياق السياسات الأمنية وإجراءات تحليل المخاطر وإجراءات الإدارة والتشغيل وإجراءات الحماية المادية والبشرية؟ دُمجت هذه الإجراءات جميعها في ما يعرف بـِأمن المعلومات Information security؛ وليصبح من ثمّ أمن الحواسيب وأمن الشبكات جزءاً من أمن المعلومات.

التعاريف التالية هي التعاريف المقترحة للاستخدام في مجتمع الإنترنت:

• أمن الحواسيب: مجموعة الإجراءات التي توفّر الخدمات الأمنية للنظم الحاسوبية.

• الخدمة الأمنية security service: هي خدمة معالجة أو خدمة اتصال تُقدَّم من نظام ما لإعطاء نوع محدَّد من الحماية من التهديدات لموارد نظام آخر.

• التهديد threat: هو القدرة على انتهاك الأمن التي تتوفر عندما يتمكن كيان أو ظرف أو فعل أو حدث من إحداث الأذى أو الضرر، مثل الـﭬيروسات والفيضانات.

• فعل التهديد threat action: هو إنجاز للتهديد؛ أي الاعتداء على أمن النظام نتيجة فعل مقصود أو حدث عرضي، مثل إرسال ملف يحوي معلومات سرية إلى عنوان البريد الإلكتروني الخاص بأحد المنافسين للشركة. ويُعدّ المنطق الخبيث malicious logic أحد أنواع فعل التهديد، ويشمل الـﭭيروس وحصان طروادة والدودة والقنبلة المنطقية وبرمجيات التجسس:

أ - الـﭬيروس virus: هو جزء من برنامج حاسوب ذاتي النسخ، وينتشر بالعدوى؛ أي ينسخ نفسه، ويلحق نفسه ببرنامج آخر؛ بحيث يُفعّل عندما يُنفّذ هذا الأخير.

ب - حصان طروادة Trojan horse: هو برنامج يبدو للمستخدم أنه غير ضار؛ ولكن يحوي رمازاً code مخفياً مصمّماً لإلحاق الأذى بالنظم التي يُشغّل عليها. ولا يمكن تشغيله من دون تدخل المستخدم، ولا ينتشر بمفرده، ولا يكرّر أو ينسخ نفسه.

ج - الدودة worm: هي برنامج خبيث ينتشر ذاتياً من حاسوب إلى آخر عبر الوصلات الشبكية، ويُنفّذ وينتشر من دون تدخل المستخدم.

د - القنبلة المنطقية logic bomb: رماز يُوضع داخل برنامج شرعي معدّ لينفجر (أي ليبدأ التنفيذ) عند تحقق شروط معيّنة قد تكون متعلقة بالوقت والزمن.

هـ - برمجيات التجسس spyware: وهي برامج تجمع معلومات من الحاسوب الذي تنفّذ عليه من دون موافقة المستخدم أو علمه، وتُرسل المعلومات المحصّلة إلى جهات مهتمة بالشخص المستهدف بالتجسس.

• الهجوم attack: فعل مقصود يحاول بوساطته كيان ما التهرب من الخدمات الأمنية أو اختراق السياسة الأمنية للنظام المستهدف.

• نقطة ضعف vulnerability: عيب أو ضعف في تصميم النظام أو إنجازه أو تشغيله أو إدارته، يمكن استغلاله لاختراق السياسة الأمنية للنظام.

• السياسة الأمنية security policy: هي هدف محدّد أو مسار أو أسلوب عمل يرشد ويحدد القرارات الحالية والمستقبلية المتعلقة بأمن النظام. وبمعنى آخر: هي مجموعة القواعد التي ترشد كيفية تقديم الخدمات الأمنية من قبل نظام أو مؤسسة لحماية الموارد الحساسة والأساسية للنظم.

• آلية أمنية security mechanism: طريقة أو إجراء يُستخدم لإنجاز خدمة أمنية. مثلاً يُستخدم التشفير آليةً لتحقيق سرية المعطيات المقدّمة بوصفها خدمة أمنية لحماية المعطيات الحساسة، المرسلة عبر الشبكة، والمقرة ضمن السياسة الأمنية.

أنواع الهجوم

لا يُميّز عموماً بين التهديد والهجوم. فعلى سبيل المثال، يُعدّ الـﭬيروس تهديداً للمعطيات المخزّنة على الحاسوب، ولكن عندما ينتقل الـﭬيروس إلى مرحلة إحداث الضرر، ويمحو بعض ملفات تقارير العمل المخزّنة على الحاسوب المصاب بالـﭬيروس؛ فعندها يصبح مصطلح «الهجوم» أكثر ملاءمةً ووضوحاً.

يُقسم الهجوم غالباً إلى نوعين: هجوم سلبي passive attack وهجوم نشط active attack.

الهجوم السلبي

يحاول المهاجم الحصول على المعلومات أو الاستفادة منها؛ ولكن لا يؤثر في موارد النظام نفسه، مثل التنصت الشبكي ومراقبة رسائل البريد الإلكتروني . يُقسم الهجوم السلبي إلى قسمين:

• كشف محتوى الرسائل: مثل الحصول على معلومات حساسة من رسالة إلكترونية أو ملف مخزن على حاسوب أو منقول عبر الشبكة.

• تحليل المرور traffic analysis: معرفة بعض المعلومات عن طريق الاستنتاج بمراقبة خصائص تدفق المعطيات، مثل معرفة عنوان المرسل وعنوان المستقبل وحجم المعطيات.

الهجوم النشط

يحاول المهاجم تغيير موارد النظام المستهدف أو التأثير في تشغيله. يُقسم الهجوم الفعال إلى أربعة أنواع:

• انتحال الشخصية masquerade: تحدث عندما يدّعي كيان ما بأنه كيان آخر، أي استخدام هوية غير هوية الكيان الحقيقية.

• إعادة الإرسال reply: اعتراض معطيات على الشبكة وإعادة إرسالها لاحقاً لإنتاج فعل مخوّل.

• تعديل الرسالة modification of message: وهي تعديل بعض أجزاء رسالة نظامية أو تغييرها، أو إعادة ترتيب بعض الرسائل أو تأخيرها بحيث ينتج أثر غير مخوّل.

• حجب الخدمة denial of service: تمنع الاستخدام الطبيعي أو إدارة تجهيزات الاتصال، مثل التسبب باختناق الشبكة.

الخدمات الأمنية

من الخدمات الأمنية المقترحة في مجتمع الإنترنت:

1. خدمة سرية المعطيات data confidentiality service: خدمة لحماية المعطيات من الكشف غير المخول. يُلجأ عادةً إلى هذه الخدمة لمواجهة هجوم كشف الرسائل أو محتوى الملفات. وضمن سياق الشبكات، تبرز الأنواع التالية من خدمة سرية المعطيات:

- سرية برقية المعطيات datagram confidentiality: تُعنى بسرية المعطيات المنقولة في رزمة وحيدة ومستقلة، مثل برقية المعطيات IPv4.

- سرية حقول مختارة selective-field confidentiality: وتُعنى بحماية جزء أو أجزاء من الرزمة، مثل حماية بعض حقول ترويسة برقية المعطيات IPv4.

- سرية تدفق المرور traffic flow confidentiality: وهي خدمة تُقدّم للحماية من تحليل المرور الشبكي.

2. خدمة سلامة المعطيات data integrity service: .وهي خدمة للحماية من التعديل غير المخوّل للمعطيات، سواء أكانت تغييرات مقصودة أم عرضية، ويجري ذلك بجعل التغييرات قابلة للكشف.

3. خدمة الإتاحة availability service: وهي خدمة لجعل النظام قابلاً للنفاذ وللاستخدام أو التشغيل عند طلبه من كيانات مخوّلة.

4. خدمة الاستيقان authentication service: وتُعنى بالتحقق من الهوية الخاصة بكيان أو المنسوبة إلى كيان ما. تفيد هذه الخدمة في مواجهة هجوم انتحال الشخصية. ويمكن التمييز بين نوعين منها: خدمة استيقان مصدر المعطيات data origin authentication service، وتهدف إلى التحقق من هوية الكيان الذي يدّعي أنه المصدر الأصلي للمعطيات المستقبلة؛ وخدمة استيقان كيان entity authentication service، وتهدف إلى التوثق من هوية منسوبة إلى كيان مشارك في نقل المعطيات.

5. التحكم في النفاذ access control: وهي خدمة الحماية من استخدام موارد النظام بطريقة تتعارض مع السياسة الأمنية للنظام. تضمن هذه الخدمة الحماية من النفاذ غير المخوّل، وتضمن أيضاً النفاذ المحدود؛ أي تمنع المخولين بالنفاذ من القيام بأعمال معيّنة. وضمن سياق أمن الشبكات؛ يمثل التحكم في النفاذ الحدّ من النفاذ إلى النظم المضيفة وتطبيقاتها عبر وصلات الاتصال. ويمكن أن تُستخدم خدمة التحكم في النفاذ لمواجهة أنواع عدة من الهجوم، مثل الكشف عن محتوى الرسائل أو الملفات، والتعديل على محتوى الملفات.

6. خدمة التدقيق audit service: خدمة لتسجيل المعلومات المطلوبة لإنشاء تدوين لأحداث النظام ولأفعال الكيانات المسبّبة لها. قد لا تساعد هذه الخدمة على الحماية مباشرة من أنواع الهجوم المذكورة آنفاً، ولكن يمكن الاعتماد عليها في تقويم الإجراءات الأمنية؛ وفي معرفة مقدار الامتثال للسياسة الأمنية؛ وفي الكشف عن اختراقات الخدمات الأمنية المقدّمة.

7. خدمة سلامة النظام system integrity service: وتهدف إلى حماية موارد النظام من التغيير غير المخوّل أو العرضي، ومن المحو، ومن الضياع؛ بطريقة قابلة للكشف. تفيد هذه الخدمة في الحفاظ على عمل النظام بالطريقة الموصّفة له.

8. خدمة عدم النكران non-repudiation service: هي خدمة أمنية للحماية من إنكار المشاركة في الارتباط؛ إذ يمكن للمرسل أن ينكر إرسال رسالة، ويمكن أيضاً للمستقبل أن ينكر استقبالها.

الآليات الأمنية

يقسم المعيار X.800 الآليات الأمنية التي تُقدّم الخدمات الأمنية للمعطيات الشبكية إلى ثماني آليات:

1. التشفير encipherment: يشير إلى استخدام خوارزميات رياضية لتحويل المعطيات إلى صيغة غير قابلة للقراءة أو الفهم أو الاستخدام، ويمكن استرجاعها لاحقاً إلى صيغتها المقروءة. يمكن الاعتماد على التشفير في تقديم خدمة سرية المعطيات وسلامتها.

2. التوقيع الرقمي digital signature: يدل على استخدام خوارزميات رياضية لإنتاج قيمة تُلحق بالمعطيات، وتساعد المستقبِل على تعرّف المرسل؛ أي إنه يتيح الاستيقان، وسلامة المعطيات، ويمنع الموقّع من إنكار إرسال المعطيات الموقَّعة.

3. آليات التحكم في النفاذ: هي مجموعة آليات لتنفيذ حقوق النفاذ إلى الموارد. تُستخدم هذه الآليات لتقديم خدمة التحكم في النفاذ.

4. آليات السلامة: هي مجموعة آليات تُستخدم للتحقق من سلامة المعطيات.

5. تبادل الاستيقان: هي مجموعة الآليات التي تساعد على التوثق من هوية كيان عن طريق تبادل المعلومات. وتُستخدم لتحقيق استيقان كيان ما.

6. حشو المرور traffic padding: يدلّ على إضافة خانات أو بتات إلى المعطيات المتدفقة بهدف منع تحليل المرور الشبكي.

7. التحكم في التسيير routing control: يمكّن من اختيار ممرات آمنة فيزيائياً لتسيير بعض أنواع المعطيات الحساسة.

8. التوثيق notarization: استخدام طرف ثالث موثوق به لضمان بعض خصائص المعطيات المتبادلة، مثل منع إنكار الإرسال.

منتجات أمنية

تُستخدم المنتجات والأدوات التالية آليات أمنية للكشف عن التهديدات أو الوقاية منها:

1 - الجدار الناري

الجدار الناري firewall هو جهاز شبكي أو حاسوبي يُستخدم لحماية نظام مضيف أو شبكة موثوقة من أخرى غير موثوقة. وهو مسؤول عن مسح المرور الشبكي لمنع النفاذ غير المخوّل. وإضافةً إلى الدور الذي يؤديه الجدار الناري للفصل بين شبكة موثوقة وأخرى غير موثوقة؛ يمكن أن يقوم بأدوار أخرى مثل المخدّم الوكيل proxy server الذي يُستخدم لإتمام الطلبات نيابةً عن مستخدمين لدى اتصالهم بكيان خارجي غير موثوق به.

ومن هذه الأدوار أيضاً وكيل الوِب web proxy. كما يمكن أيضاً أن يؤدي الجدار الناري دوراً مساعداً على مراقبة المرور الشبكي وتحليله. يوضح الشكل (1) موضع الجدار الناري في الشبكة الداخلية للمؤسسة.

2 - نظام لكشف الاقتحام

نظم كشف الاقتحام(IDS) intrusion detection system هي أجهزة شبكية أو حاسوبية تُستخدم للكشف عن محاولات النفاذ غير المخوّل داخل الشبكة الموثوقة. تُستخدم عادةً للكشف عن حالات الهجوم الخارجي الذي ينجح بتجاوز الجدار الناري؛ أو الداخلي الذي يبدأ من داخل الشبكة الموثوقة، ويستهدف أجهزة الشبكة الداخلية ذاتها.

تُصنّف أجهزة الكشف في قسمين:

• الأجهزة المعتمدة على المضيف(HIDS) host-based (IDS) : وتُعنى بحماية المضيف الذي تعمل عليه.

• الأجهزة المعتمدة على الشبكة(NIDS) network-based (IDS) : تُعنى بحماية مجموعة من المضيفين؛ أي جزء من شبكة. تفحص هذه النظم الرزم الشبكية في بعض النقاط المهمة في الشبكة، مثل المسيّر؛ بحثاً عن السلوك الخبيث أو الشاذ. يوضح الشكل (1) موضع نظام كشف الاقتحام داخل شبكة المؤسسة.

الشكل (1): شبكة داخلية لمؤسسة محمية بجدار ناري ونظام كشف الاقتحام.

3 - الشبكات الخاصة الافتراضية

تقدّم الشبكات الخاصة الافتراضية(VPN) virtual private network طريقة لمحاكاة شبكة خاصة فوق شبكة عامة مثل الإنترنت.

يُستخدم نوعان من المنتجات لإنشاء الشبكات الخاصة الافتراضية: بوابة وزبون.

1. بوابات VPN أو عبّارات VPN gateways: تُعدّ من أكثر الأجهزة VPN شيوعاً، وهي تؤدي دور حارس البوابة للمرور الشبكي من الموارد الشبكية المحمية وإليها. تُبنى الوصلات الافتراضية، أو المعروفة بالأنفاق بين بوابتين أو بوابة وزبون، كما هو موضح في الشكل (2). تقع عادةً البوابة VPN على حدود شبكة المؤسسة، وتتصرف نيابةً عن مجموعة الموارد الشبكية المحمية لتقديم الخدمات الأمنية. ويمكن النظر للبوابة VPN على أنها جهاز شبكي يقوم بالوظائف التالية: دور طرف النفق والتحقق من الاستيقان وضبط التحكم في النفاذ وتطبيق بقية الخدمات الأمنية مثل سرية المعطيات وسلامتها.

الشكل (2): شبكة VPN مكونة من شبكة المقر الرئيسي للمؤسسة وشبكتي فرعين وزبون.

2. الزبون VPN: هو برنامج يُستخدم لنفاذ حاسوب أو مستخدم إلى الشبكة VPN من بُعد. يُنصّب الزبون VPN على حاسوب واحد، وينشئ ممراً آمناً بين الحاسوب والبوابة ليتمكن الحاسوب من النفاذ إلى الموارد الشبكية المحمية بوساطة البوابة VPN.

4 - مضادات الـﭭيروسات anti-viruses

وهي برمجيات تُستخدم للكشف عن البرمجيات الخبيثة وإزالتها إن أمكن. وفي الكثير من الأحيان يُشغّل مضاد الـﭭيروسات على الجهاز الحاسوبي المراد حمايته؛ ولكن أيضاً يمكن أن يُنصّب على الجدار الناري للحماية من أي برنامج خبيث قد يأتي من الإنترنت. يقوم مضاد الـﭭيروسات بالكشف عن الـﭭيروسات عن طريق البحث عن سلسلة برمجية مميزة للــﭭيروس تسمى «التوقيع». لذلك يجب أن تُجهّز مضادات الـﭭيروسات بقاعدة معطيات محدَّثة دورياً تحوي تواقيع الـﭭيروسات المكتشفة.

5 - ماسحات الثغرات vulnerabilities scanner

هي برامج صُمّمت لتقييم الثغرات الأمنية في النظم الحاسوبية وفي الشبكات وتطبيقاتها. تتوافر عدة أنواع من الماسحات التي يتميز بعضها من بعضها الآخر من حيث الهدف الذي تركّز عليه. فمثلاً تتخصص الماسحة N-Stalk بتطبيقات الوِب؛ والماسحة Nessus بالمسح الشبكي.

البروتوكولات الأمنية

تُعدّ البروتوكولات والمعايير التالية من أهم الآليات الأمنية التي تقدّم الخدمات الأمنية على مستوى طبقات نموذج ترابط النظم المفتوحة.

1 - المعيار IEEE 802.11i

صُمّم هذا المعيار لحماية المعطيات المرسلة على القناة اللاسلكية التي يجري تبادلها بين نقطة النفاذ والمحطات النقالة، كما هو موضح في الشكل(3). إن الخدمات الأمنية التي يعرفها المعيار على مستوى طبقة وصل المعطيات هي:

الشكل(3): شبكة محلية لاسلكية محمية وفق المعيارi 802.11.

• الاستيقان المتبادل: تتوثق الشبكة -المتمثلة بنقطة النفاذ والمحطة النقالة- من هوية كلٍّ منهما.

• التحكم في النفاذ: لكي تستطيع المحطة المخوّلة فقط النفاذ إلى الشبكة المحلية.

• السرية والسلامة للمعطيات المتبادلة فوق القنوات اللاسلكية.

يعتمد المعيار IEEE 802.11i آلية استيقان معتمدة على المعيار 802.1x في التحكم في النفاذ والاستيقان المتبادل. ويقدم آليتي تشفير وسلامة معطيات معتمدتين على خوارزمية التشفير(AES) Advanced Encryption Standard.

2 - البنيان الأمني لطبقة الإنترنت IPSec

وهو مجموعة من البروتوكولات والخوارزميات التي تقدّم الخدمات الأمنية التالية على مستوى طبقة بروتوكول الإنترنت: التحكم في النفاذ والاستيقان والسرية والسلامة والحماية من إعادة الإرسال وسرية محدودة لتدفق المرور. تُقدّم هذه الخدمات عبر ثلاثة بروتوكولات:

1. بروتوكول ترويسة الاستيقان(AH) Authentication Header: يقدم الاستيقان والسلامة والحماية من إعادة الإرسال والتحكم في النفاذ.

2. بروتوكول تغليف المعطيات الأمنية(ESP) Encapsulating Security Payload: يقدّم السرية إضافة إلى جميع خدمات بروتوكول ترويسة الاستيقان.

3. بروتوكول تبادل مفاتيح الإنترنت(IKE) internet key exchange: يسمح للكيان المتصل بالتحقق من هوية الطرف الآخر والاتفاق على مفاتيح التعمية وخوارزمياتها.

3 - طبقة القبس الآمن SSL

تقدّم هذه الطبقة(SSL) Secure Sockets Layer مجموعة خدمات على مستوى طبقة النقل، وتعرّف الخدمات الأمنية التالية: السرية والاستيقان لمعطيات التطبيقات. وتعرّف الطبقة SSL هذه الخدمات بمجموعة من البروتوكولات التي تتوزع على طبقتين فرعيتين: عليا وسفلى (الشكل 4):

الشكل(4): طبقتا SSL الفرعيتان.

أ. الطبقة الفرعية السفلى: وهي طبقة البروتوكول SSL record الذي يُستخدم فعلياً لحماية معطيات التطبيقات.

ب. الطبقة الفرعية العليا: وهي طبقة بروتوكولات إدارة الطبقة SSL؛ وتتكون من ثلاثة بروتوكولات، أهمها SSL handshake الذي يسمح للكيان المتصل بالتحقق من هوية الطرف الآخر والاتفاق على مفاتيح التعمية وخوارزمياتها.

تمّ اعتماد SSL بنياناً أمنياً لطبقة النقل في النموذج المعياري TCP/IP.

4 - معيار أمن البريد الإلكتروني S/MIME

يعرّف المعيارSecure MIME أو S/MIME تقنيات حماية محتوى الرسائل الإلكترونية المبنية وفق مصاغة MIME. يعتمد البروتوكول S/MIME على الشهادات الرقمية من النوع X.509، ويقدّم الخدمات الأمنية التالية: السرية والسلامة والاستيقان وعدم النكران.

معايير أمنية

تقترح المعايير العالمية التالية منهجيات وإجراءات تنظيمية وإدارية وتقنية لحماية المعطيات.

1 - المعيار X.800

يقدّم المعيار X.800 توصيفاً عاماً للخدمات الأمنية والآليات التي يمكن تقديمها من النموذج المرجعي OSI، ويبيّن كيفية توزيع الخدمات والآليات على طبقات النموذج المرجعي OSI لحماية المعطيات المتبادلة بين النظم المفتوحة.

الخدمات الأمنية التي يعرّفها هذا المعيار هي: الاستيقان والتحكم في النفاذ وسرية المعطيات وسلامتها وعدم النكران. أما الآليات الأمنية فهي تلك المذكورة آنفاً.

2 - المعيار ISO/IEC 27002

يقدّم المعيار ISO/IEC 27002 توصيات حول أفضل الإجراءات المتعلقة بإدارة أمن المعلومات. يعرّف هذا المعيار 133 إجراءً أمنياً موزعاً على 11 مجموعة، ضمن سياق أمن الشبكات، منها: إدارة الإجراءات الأمنية التقنية في الشبكات والنظم، وإجراءات ضبط حقوق النفاذ إلى الشبكات والتطبيقات.

3 - المعيار SoGP

طوّر منتدى أمن المعلومات(ISF) Information Security Forum المعيار(SoGP) Standard of Good Practice الذي يعرّف أفضل الإجراءات لحماية أمن المعلومات من وجهة نظر الأعمال. ويضم هذا المعيار جميع إجراءات التصميم والتنفيذ والإدارة التي توفر تشغيل الشبكات وإدارتها بطريقة آمنة؛ سواء أكانت شبكات محلية أم شبكات واسعة أم شبكات اتصالات صوتية.

مراجع للاستزادة:

- D. Gollmann, Computer Security, John Wiley &Sons, 2005.

- ISO/IEC 27002: 2005, Information technology -- Security techniques -- Code of practice for information security management.

- S. Kent, K. Seo, Security Architecture for the Internet Protocol, IETF RFC 4301, 2005.

- S. Kent, IP Authentication Header (AH), IETF RFC 4302, Dec 2005.

- S. Kent, IP Encapsulating Security Payload (ESP), IETF RFC 4303, Dec 2005.

- C. Kaufman, Internet Key Exchange (IKEv2) Protocol, IETF RFC 4306, December 2005.

- B. Ramsdell and S. Turner, Secure/Multipurpose Internet Mail Extensions (S/MIME) Version 3.2 Message Specification. IETF RFC 5751, 2010.

-R. Shirey, Internet Security Glossary, Version 2, IETF RFC 4949, Aug 2007.

- The Standard of Good Practice for Information Security. Information Security Forum (ISF), 2007.

-W. Stallings, Cryptography and Network Security, Pearson, 2010.

- R. Yuan and W. T. Strayer, Virtual Private Networks: Technologies and Solutions. Addison-Wesley. 2001.