نظرة عامة على أمن المعلومات

يشير أمن المعلومات إلى مجموعة من العمليات والأنشطة التي يتم إجراؤها من أجل حماية المعلومات. الهدف الرئيسي لأمن المعلومات هو منع المستخدمين غير المصرح لهم من سرقة وإساءة استخدام المعلومات أو الخدمات.



عناصر أمن المعلومات

عند الحديث عن أمن المعلومات ، علينا أن نأخذ في الاعتبار عناصره الخمسة الرئيسية:

سرية

نحتاج إلى التأكد من أن أسرارنا وبياناتنا الحساسة آمنة.


تضمن السرية أن المعلومات متوفرة فقط للأشخاص الذين لديهم التفويض الصحيح للوصول إليه.

التكامل

لا نريد أن يتم الوصول إلى بياناتنا أو التلاعب بها من قبل أشخاص غير مصرح لهم بذلك. يضمن تكامل البيانات أن الأطراف المصرح لها فقط هي التي يمكنها تعديل البيانات.


النزاهة تضمن دقة المعلومات. يساعد استخدام التجزئة في الحفاظ على سلامة المعلومات.

التوفر

ينطبق التوفر على الأنظمة وكذلك البيانات ويضمن توفر الموارد متى احتاجها مستخدم مصرح له.

إذا لم يتمكن الأشخاص المرخص لهم من الحصول على البيانات بسبب فشل عام في الشبكة أو هجوم رفض الخدمة (DOS) ، فهذه مشكلة من وجهة نظر العمل.

اقرأ المزيد → ثالوث وكالة المخابرات المركزية


أصالة

تضمن الأصالة أن المستخدمين هم في الواقع من يقدمون أنفسهم ، أو أن المستند أو المعلومات المقدمة ليست تالفة.

المصادقة هي العملية التي تحدد مستخدمًا أو جهازًا للامتيازات الكبرى والوصول.

عدم التنصل

بعبارات بسيطة ، يعني عدم التنصل أن مرسل الرسالة لا يمكنه لاحقًا إنكار إرسال الرسالة. كما لا يمكن للشخص المتلقي أن ينكر استلام الرسالة.

يعد عدم التنصل أحد ركائز ضمان المعلومات (IA) التي تضمن تبادل المعلومات بين المرسل والمستقبل عبر تقنيات مثل التوقيع الرقمي والتشفير.


باختصار

  • السرية → مخول للوصول
  • النزاهة → مصداقية البيانات أو الموارد
  • توفر → متوفر عند الحاجة
  • الأصالة → جودة الصدق
  • عدم الإنكار → ضمان أو توكيد


مصطلحات أمن المعلومات

لفهم عملية القرصنة ، من المهم فهم المصطلحات الشائعة:

قيمة الاختراق

قيمة القرصنة هي طريقة المخترقين لتقرير ما إذا كان هناك شيء يستحق فعله أم لا.

إنه يعكس اهتمامهم ودوافعهم لإثبات أن شيئًا ما يعتبر عادةً صعبًا أو حتى مستحيلًا ، هو في الواقع قابل للتنفيذ وأنهم هم من فعلوه


لذلك ، إذا كان هناك شيء ما يعتبر ذا قيمة عالية للمتسلل ، فسوف يبذلون كل جهدهم وطاقتهم في الاختراق.

القابلية للتأثر

الضعف هو نقطة ضعف في التطبيق أو الشبكة المستهدفة. يمكن أن تكون أي ثغرة نقطة دخول للمتسللين لدخول الهدف.

يتسغل

Exploit هو جزء من التعليمات البرمجية الذي يستفيد من الثغرة الأمنية المحددة لتقديم رمز ضار.

الحمولة

الحمولة هي رمز ضار قادر على إحداث ضرر. يقوم المتسللون بتسليم الحمولات وتنفيذها من خلال مآثر مختلفة.


هجوم يوم الصفر

يشير Zero-day إلى ثغرة أمنية في البرامج أو الأجهزة غير معروفة للبائع.

إذا اكتشف المتسلل هذه الثغرة واستغلها ، فسيتم اعتبار ذلك هجومًا ليوم الصفر. حتى إذا كان البائع على علم بالثغرة الأمنية ، يمكن أن يحدث هجوم يوم الصفر في أي وقت حتى يقوم البائع بإصدار تصحيح.

لذا ، فإن استغلال الثغرات الأمنية غير المعروفة سابقًا والتي لم يتم إصدار تصحيح لها يسمى هجوم يوم الصفر.

ديزي تسلسل

التسلسل المتسلسل عبارة عن هجوم يتمكن من خلاله المتسللون من الوصول إلى جهاز كمبيوتر أو شبكة واحدة. ثم يستخدمون هذا الكمبيوتر للوصول إلى الكمبيوتر أو الشبكة التالية وما إلى ذلك.

دوكسينج

Doxing هو كشف ونشر معلومات شخصية عن شخص ما. إنه ينطوي على جمع معلومات خاصة وقيمة عن شخص أو منظمة ثم إساءة استخدام تلك المعلومات لأسباب مختلفة.

بوت

الروبوتات هي برامج ضارة يستخدمها المتسللون للتحكم في الأجهزة المصابة.

يستخدم المتسللون الروبوتات لأداء أنشطة ضارة من الأجهزة التي تعمل عليها الروبوتات. بمجرد أن يصيب المتسللون جهازًا ، يمكنهم استخدام هذا الروبوت للتحكم في هجمات على أجهزة الكمبيوتر الأخرى وتنفيذها.

بالإضافة إلى ذلك ، يستخدم المتسللون عادةً الروبوتات لإصابة أجهزة متعددة ، مما يؤدي إلى إنشاء شبكة الروبوتات التي يمكنهم استخدامها بعد ذلك في هجمات رفض الخدمة الموزعة.



مثلث الأمان وسهولة الاستخدام والوظائف

يحتوي كل نظام على ثلاثة مكونات مهمة: الوظيفة وقابلية الاستخدام والأمان.

  • وظائف يشير إلى ميزات النظام
  • سهولة الاستخدام يشير إلى واجهة المستخدم الرسومية للنظام ومدى سهولة استخدامه
  • حماية يشير إلى كيفية استخدام عمليات النظام ومن يستخدمها

هذه المكونات مترابطة ، لذا فإن أي تغيير يتم إجراؤه على أحد المكونات يؤثر بشكل مباشر على المكونين الآخرين.

هذا يعني أنه في حالة زيادة أمان النظام ، يتم تقليل وظائف النظام وقابليته للاستخدام.

يحدث نفس الشيء في حالة زيادة وظائف النظام أو قابليته للاستخدام.

لذلك ، من المهم التفكير بعناية في هذه المكونات ثم تحديد كيفية موازنة كل منها للحصول على المستويات المطلوبة من الأمان والوظائف وسهولة الاستخدام.

استنتاج

الآن يجب أن تكون قد تعلمت أساسيات أمن المعلومات. قمنا أيضًا بتغطية بعض المصطلحات الشائعة المستخدمة في مجتمع InfoSec.