أمن الشبكات بين التقليد و التطوير
إن تنوع الخدمات التي يمكن ان تقدمها الشبكة العنكبوتية العالمية (Internet) دفع المؤسسات الحكومية و التجارية ان تعمل عند بناء شبكاتها المحلية الداخلية على جعلها متلائمة الملامح و البنية و الاستراتيجية التكنيكية لتأهيلها للاتصال بشبكة الإنترنت. إلا ان الارتباط بهذه الشبكة الواسعة طرح تحديات جديدة قد لا تعطيها تلك المؤسسات الأهمية التي تستحق ، مما قد يؤدي الى ذوبان المعلومات و البيانات السرية بين اصابع الفضوليين والقناصة والمعروفين عالمياً بـالهاكرز.
إن الإرتباط بشبكة الانترنت او بأي شبكات خارجية اخرى يعد تماشياً طبيعياً مع ما يشهده العالم من تغييرات مهمة لتبادل المعلومات الالكترونية. وقد زودت جميع المؤسسات شبكاتها الداخلية بخدمات الانترنت و البريد الإلكتروني لتبادل المعلومات بين الموظفين و جهات خارجية اخرى ولتحقيق الجاهزية الكاملة لعصر يقول الانترنت فيه كلمته بصوت عال ، إلا ان المتطفلين اصبح لهم مكان فسيح ينقبون فيه عن المعلومة و يدسون فيه انوفهم الطويلة التي تشتم اي شيء في شبكة الانترنت ، ولن يخرج من الشبكة في حال اختراقها ما لم يرضي غروره بالاطلاع على المعلومات السرية او الاتفاقيات التجارية الخاصة بتلك المؤسسة.
تتصرف بعض الجهات للأسف الشديد و كأن أمن المعلومات ما هو إلا جانب تقليدي في بنية الشبكة ، و الاجهزة و البرامج التي تحمي الشبكة من عمليات الاختراقات جانب مكمل لهذا الجانب التقليدي ، متناسين بأن بنية اي شبكة يعتمد على خبرات طويلة ، ومؤلفات و بحوث و دراسات كثيرة جداً ، و مشاريع تقنية معقدة في مجال الشبكات ، وكل ذلك يلتحم ليجعل بيئة الشبكات علماً جديداً يجب علينا ادراكه و الإلمام به وفهمه بصورة صحيحة. كما انه لم يقف على تلة صغيرة معلناً عدم مقدرته على التطور والتحديث ، بل هو مستمر في تقديم الجديد كل يوم مما يجعل له مصداقية كبيرة و اهتمام كبير في مختلف اوساط الحاسب الآلي. وبتطور معطيات النجاح في علم الشبكات فإن البحث عن الثغرات و الفجوات التي يمكن ان تظهر به مستمر بل قابل للتحديث ايضاً مما ينبئ بحرب ضروس بيننا نحن - اصدقاء الشبكة وبين اصدقائنا غير المرغوب فيهم وهم الهاكرز. حتى ان الوسائل القتالية تتطور ايضاً فيما بيننا و الانترنت ساحة الحرب الفعلية.
وعليه فإن أمن المعلومات لم يصبح - تقليداً - حسبما يشاع لدى البعض ، او ما قد تنشره بعض الصحف و المجلات الغير متخصصة في مجال أمن الشبكات تحديداً. بل يجب ان تطلق عليه - تطوري - ويفهم ذلك جيداً إن كنت مكلفاً من رئيس المؤسسة التي تعمل بها بالعناية بأمن الشبكة الخاصة به.
سنتطرق في هذا الموضوع الى النقطة الاولى التي لا تعطى اهتماماً كافياً عند بناء الشبكة مع العلم انها يجب ان تكون على رأس القائمة ، و هي نقطة “التثمين” او التقييم ، لأننا يجب ان نعمل على تقييم للممتلكات الإلكترونية بالمؤسسة التي نعمل بها ، و نرسم استراتيجية امنية واضحة الخطوط والملامح تعتمد على هذا التقييم ، و تتلخص العملية في حصر البيانات الالكترونية الخاصة بالشركة و اماكن ارتكازها في الهيكل التنظيمي و طرق انتقالها من جهة الى اخرى في نفس المؤسسة ، و تحديد الصلاحيات للوصول إليها ، و بذلك نبدأ في رسم الخطوط الامنية الاولى في الشبكة ، بعد ذلك ننتقل الى الجانب المعاكس في عملية التقييم ، و هو جانب الانترنت ، حيث يجب علينا معرفة احتياجات المؤسسة التي نعمل بها من الخدمات التي تقدمها الانترنت ، و ما هو الإحتياج الفعلي من تلك الخدمات التي قد نحتاج إليها ، فهل يسمح للموظفين بتصفح الانترنت بشكل كامل؟ وهل هناك مواقع يتم حظرها على موظفي المؤسسة لتحقيق الحماية من المواقع التي تقذف بملفات التجسس و الفيروسات؟ ام الاكتفاء بتصفح البريد الالكتروني؟ وكيف تتم المراقبة الآمنية للرسائل الواردة الى شبكة المؤسسة خصوصاً انها اسهل الطرق لنشر الفيروسات؟ و بالمقابل هل هناك بيانات في شبكتك الداخلية تود المشاركة بها مع جهات اخرى باستخدام الانترنت؟ فمثلاً: يوجد لدى شركتك فروع حول العالم وقد كلفك مسؤولك المباشر بتبادل المعلومات فيما بينها ، فهل انت على دراية كاملة بذلك؟ لأن ادنى خطأ قد يقدم تلك المعلومات للمتطفلين على طبق من ذهب.
بعد الانتهاء من مشروع مد الشبكة الداخلية في المؤسسة ، و بعد ان تعتقد ان الامور تسير على ما يرام و ترى الابتسامة و اضحة على رئيسك المباشر لما قمت به من تأمين الشبكة، استغل الفرصة و اطرح عليه هذا المقترح الذي اعتقد انه من الاهمية بحيث يضاف الى - النقاط المهمة لبناء الشبكة - و يتلخص الاقتراح في الإجتماع بجميع الموظفين في المؤسسة لمحاضرة - تقنية - بمناسبة ادخال الشبكة الجديدة ، وتشرح بأسهاب النقلة التي قام بها مركز نظم المعلومات لإدخال الشبكة المحلية و الخدمات التي سينتفع بها الموظف والمؤسسة معاً و طرق الاستفادة القصوى من تلك الخدمات ، ثم ننتقل الى نقطة الامن و الحماية في الشبكة الجديدة وخطورة تبادل البيانات و المعلومات من الشبكة الداخلية الى الانترنت ، كما يتم التأكيد على المحافظة على كلمة السر التي يستخدمها الموظف للدخول الى الشبكة. كما يتم تعريف الموظف بالاجراءات الصحيحة الواجب اتخاذها عند الاشتباه بوجود متطفل يدس انفه الطويلة بداخل الشبكة ، بحيث نقلل اقل قدر من الخطورة ، كما انه لا يجب إخافة الموظف في حال فقدان ملفات او بيانات خاصة بالمؤسسة اثناء محادثة اشخاص اخرين على شبكة الإنترنت لأن ذلك سيؤدي لعدم اعتراف ذلك الموظف مستقبلاً عند التعرض لنفس الحدث. كما ان فريق تقنية المعلومات بالمؤسسة و ربما انت - واحد منهم - يجب ان يكون على دراية كاملة بالاجراءات الواجب اتخاذها عند مواجهة هذه الحوادث لأننا نتحدث هنا عن آمن المعلومات.
إن تحديد وفهم مخرجات استراتيجية - التثمين - او التقييم تعتبر وسيلة مهمة جداً في تحديد الوجهات التي ستنفق فيها آموال المؤسسة للحفاظ على آمن المعلومات، و للحصول على المزيد من المعلومات حول هذا الجانب فأنا انصح بالاطلاع على كتاب Site Security Handbook الذي اصدرته مجموعة Network Working Group التابعة لهيئة Internet Engineering Task Force.
يتطلب النجاح في تحقيق سياسة آمنية مكتملة تقدير الكلفة المالية الى قد تحتاج إليها لتثقيف الموظفين في المؤسسة لأن الموظف الغير مثقف تقنياً و تكنلوجياً سيحمل المؤسسة اعباء مالية كبيرة وقد تكون الخسارة كفيلة لإشهار افلاس المؤسسة ان كانت تجارية ، او تقديم المسؤولين فيها استقالتهم ان كانت غير ذلك في حال خرق الاجراءات الامنية الخاصة بالشبكة ، كما انه يجب على المؤسسة تعيين مستشاراً تقنياً متخصص في آمن المعلومات و الشبكات لتقديم الاستشارات التي تساعد في إتخاذ القرارات المناسبة بناءاً على احتياجات المؤسسة ، والتعامل عن دراية تامة مع الاختراقات الامنية المحتملة للشبكة للوصول الى بياناتها بينما يغط صاحب المؤسسة في نوم هانئ. ويجب على هذا المستشار عمل تقويم سريع للشبكة إن وجدت و البرامج العاملة بها مثل برامج الجدران النارية Firewalls و تشفير المعلومات Encryption و الشرعية للولوج للمعلومات Authentications وتقرير الاحتياجات الاضافة التي قد تحتاج إليها المؤسسة. فإن حماية الشبكة و آمن المعلومات و البيانات ستكون امنية يتمناها مسؤولك المباشر ان تحققها له قبل ان يخلد الى النوم.
