كيف تكتب سياسة أمنية لشبكتك
مقدمة :
في الماضي كانت الحواسب مستقلة عن بعضها البعض و كان يتم وضعها في مراكز كبيرة تدعى مراكز معلومات وكان يتم حماية هذه المركز من هجمات العالم الخارجي بواسطة قفل الأبواب, و مع انتشار الشبكات انتشارا واسعا أصبح إغلاق الأبواب و وضع الأقفال غير كافيا لحماية الحاسبو معلوماته من الاختراق لأن الهجمات ستأتي الآن من الشبكة أي من أي حاسب آخر و قد يكون حتى من دولة أخرى.إن تحقيق الأمن لشبكة خاصة في ظل انتشارو توسع الانترنت أمر صعب و خاصة أن الانترنت الآن تعج بالمواقع و خاصة مواقع الهاكرز و أدواتهم بشكل مجاني.
الحاجة لسياسة أمن :
لا أحد يغفل ضرورة الأمن و خاصة في مجال الشبكات
قبل أن نبدأ:
إن أول خطوة في كتابة أي سياسة أمنية هو تحليل المخاطر و دراستها, إن تحليل المخاطر يعني دراسة ماذا تريد أن تحمي ضمن شبكتك و من ماذا تريد حمايته و كيف ستتم حمايته, وهذا يعني تحديد المخاطر و وضعها ضمن مستويات و درجات و طرق تجنبها و مواجهتها عند حدوثها .
أسس أي سياسة أمنية :
كلنا يعلم أن كتابة سياسة أمن للشبكات لها خصوصيتها و لكن لا يخلو الأمر من بعض الأساسيات التي لا بد أن تشترك بها كل سياسة أمنية بغض النظر كانت السياسة تهدف لحماية المعلومات أو حماية الشبكات.
الحماية الفيزيائية :
هناك تداخل كبير بين حماية الشبكة و الحماية الفيزيائية لان هيكلية شبكة مؤسسة ما قد تمتد لتشمل بناء كامل, مدينة , دولة و حتى العالم كله و عليه فإننا نحتاج لحماية فيزيائية لمحتويات الشبكة الفيزيائية من كابلات و موجهات …الخ و بدون الحماية الفيزيائية لن يكون هناك أي معنى للكلام عن مبادئ سرية الشبكات مثل التكاملية و الموثوقية .عندما نتحدث عن الحماية الفيزيائية هذا يعني أن نكتب و نوجد طرق حماية الموارد الفيزيائية من قطع هاردوير و تحديد الأشخاص المسؤولين عن الحماية و الأشخاص المسؤولين عن منح السماحيات للأشخاص الذين يدخلون غرف السيرفر و غرف تمديد الأسلاك .
حماية الشبكة :
تعنى حماية الشبكة بحماية تمديدات الشبكة و أسلاكها و يشمل هذا القسم وجود أدوات قياس و مراقبة للوصول و مثل على تلك الأدوات وجود جدار ناري, مراقبة الشبكة, تقييد خدمات مثل الوصول عن بعد , خدمات مشاركة الملفات, خدمات الانترنت .
التحكم بالوصول :
يهتم هذا القسم بتحديد هوية من يدخل الشبكة و إلى أين يدخل و ما هو سبب دخوله و يجب أن توجد إجرائية واضحة للتأكد من أن الأشخاص الحقيقيين هم الذين يمتلكون حق الوصول للخدمات و المعلومات الخاصة بهم دون غيرهم و بالتالي يجب أن تكون السياسة قادرة على منح المديرين المرونة الكافية لمنح الصلاحيات للمستخدمين و التحكم بها منعا لحدوث أخطاء .
التأكد من الهوية :
يعنى التأكد من الهوية بكيفية اختبار المستخدمين فيما إذا أنهم فعلا المستخدمين الحقيقيين , إن طرق التحقق من الهوية تتراوح من وجود رقم معرف و كلمة سر خاصة بكل مستخدم إلى طرق التأكد التي تعتمد على معدات هاردويرية مثل التأكد عن طريق بطاقات ممغنطة أو التأكد من البصمة و حدقة العين و طبعا يتراوح استخدام هذه التقنيات حسب الأهمية و الحاجة .
التشفير :
يعتبر التشفير أحد الأمور الهامة لتحقيق تكامل المعطيات و يقصد بتكامل المعطيات حماية المعطيات المرسلة عبر الشبكةو من التعديل و التزوير و غالباًما يكون التشفير ضروريا عندما يتم نقل المعلومات لمستخدمين بعيدين أو عند دخول أحد المستخدمين عن بعد لجهاز ما و خاصة في ظل وجود شبكة انترانت .
إدارة المفتاح :
إن كل عملية تشفير تتطلب وجود مفتاح و لذلك يجب أن تحدد عدة أمور هامة عند اختيار المفتاح : ·ما هو طول المفتاح . ·كل متى ستغير المفتاح . ·متى و كيف يتم توليد المفتاح . ·من و كيف بتم توزيع المفتاح .
المراقبة و المراجعة :
ماإن تقوم بوضع سياستك الأمنية لشبكتك و تنفذها عليك بعد فترة التأكد من أن المكونات و الموظفون يطبقون و يلتزمون هذه السياسة و يتم ذلك بمراقبة تطبيق هذه السياسة, تفيد السياسة في التعرف على المشاكل و التنبؤ بها قبل حدوثها و يجب مراجعة السياسة باستمرار للتأكد من استمرار فعاليتها .
خطة طوارئ :
يجب أن تحتوي سياستك على قسم يشرح الاجرائيات الواجب اتخاذها في حال حدوث كارثة و بالتالي عليك تحديد كيفية و توقيت استراجاع البيانات عند حدوث هجوم يؤدي لضررها و تحديد كيفية صد هجوم و كيفية حفظ النسخ الاحتياطية و مكانها و المسؤولون عليها .
السياسة الشخصية :
يحدد هذا القسم السياسة الشخصية لكل مستخدم لديك على الشبكة و ما هي السماحيات التي يملكها على موارد الشبكة مثل الطابعة و الانترنت و يجب تحديد السماحيات بدقة مثل سماحيات استخدام الألعاب , استخدام البريد الاكتروني, تصفح الانترنت و استخدام ما سبق للفائدة الشخصية .
سرية البرامج :
يجب تحديد نوعية البرامج التي تم تنزيلها على السيرفر و هل هي تجارية أو غير تجارية , موثوقة أم غير موثوقة بالإضافة لتقييد تحميل البرامج من الانترنت و تنصيبها على السيرفر مباشرة.
خطوات كتابة سياسة أمنية :
الهدف :
قبل الشروع بكتابة سياستك الأمنية يجب أن يكون لديك فكرة واضحة عن أهداف هذه السياسة .
المدى :
و هو ما ستقوم بحمايته بواسطة سياستك الأمنية و هذا يشمل ذكر كل المجالات اللازمة للحماية انطلاقا من الحماية الفيزيائية حتى الشخصية و مدى شمولية هذه السياسة من مدراء و مستخدمين و حتى زوار .
المناقشة و دعم الادارة العليا :
بعد كتابة الهدف و أفق السياسة يجب إطلاع الادارة العليا في مؤسستك عليها و أخذ الموافقة و النقاش معهم حول طرق تحقيق هذه السياسة .
الإطلاع على سياسات أخرى :
ينصح قبل الشروع بكتابة السياسة الأمنية الخاصة بك أن تطلع على سياسات عامة لشركات أخرى و تجارب الشركات الأخرى في هذا المجال .
تقدير المخاطر :
قبل كتابة السياسة يجب عليك تحديد المخاطر المتوقعة و طرق مواجهتها .
تحديد مكونات السياسة و كتابتها :
يعتمد ذلك على دراسة المخاطرة و ليس من الضروري وضع كل المكونات السابقة عند كتابة سياسة أمنية .
التقييم :
بعد أن تكتب السياسة عليك القيام بتقييمها ,و تساعدك الأسئلة التالية في تقييم سياستك: ·هل تتوافق سياستك مع القانون . ·هل تقيد نفوذ موظفيك . ·هل هي قابلة للتطبيق العملي . ·هل تعرف كل الأشكال المختلفة للاتصالات .
الخلاصة :
إن القيام بكتابة سياسة أمنية للشبكة أمر أكبر من أن يتم إنجازه ب يوم أو اثنين و هو يعتمد على مفاهيم إدارية و تقنية في آن ما . لا تحسب أنك ستكتب سياسة لمرة واحدة و كفى, فالسياسات تتطور و تتغير مع الزمن لان المفاهيم تتغير و أساليب الهجوم تتطور مع الوقت .
__________________
رحلة البحث عن بلد ... قدر ... رحلة البحث عن وطن مؤقت ...
أنت غير مسجل في :-: منتديات احساس سعودي :-: . للتسجيل الرجاء إضغط هنـا 
15 / 09 / 2008, 54 : 08 AM 
كيف تكتب سياسه أمنيه لشبكتك
