مفهوم امن المعلومات
امن المعلومات (يشار إليه غالبًا بـ InfoSec) عبارةٌ عن مجموعةٍ من استراتيجيات إدارة العمليات، والأدوات، والسياسات الضرورية لمنع، وكشف، وتوثيق، ومواجهة التهديدات على المعلومات الرقمية وغير الرقمية، وهذا يشمل حماية المعلومات من التعديل، والتعطيل، والتدمير، والتفتيش.
إن مفهوم امن المعلومات يشمل الناحية النظرية، والممارسة الفعليّة.
تاريخ أمن المعلومات
نشأ مفهوم “أمن المعلومات” من وكالة الاستخبارات المركزية الأمريكية (CIA)، كطريقةٍ للتأكد من أن الوثائق في مأمنٍ من أن يتم تغييرها، أو الوصول إليها من قبل أشخاص ليس من المفترض أن يتمكنوا من الحصول عليها، وبالأخصّ المعلومات السرية.
مبادئ، وأهداف InfoSec
تُبنى برامج InfoSec حول الأهداف والمبادئ الأساسية لما يسمّى ثالوث الـ (CIA)، الذي يشمل الأركان الثلاثة الآتية:
1. السرية ” Confidentiality” (عدم الكشف عن المعلومات الحساسة إلا للأطراف المرخص لها).
2. النزاهة ” Integrity” (منع التعديل غير المصرح به للبيانات).
3. التوافر ” Availability” (ضمان إمكانية الوصول إلى البيانات من قبل الأطراف المخولة عند الطلب).
وقد تطور ذلك اليوم إلى ما يشبه السداسي، والذي يتضمن بالإضافة للثالوث السابق:
4. الحيازة (السيطرة) ” Possession”.
5. الأصالة “Authenticity”.
6. الفائدة ” Utility”.
أنواع وأشكال InfoSec
- أمان التطبيقات
أمان التطبيقات هو مجالٌ واسعٌ من امن المعلومات يغطي نقاط الضعف في البرامج، وتطبيقات الويب، والهاتف المحمول، وواجهة برمجة التطبيقات (APIs).
يمكن العثور على نقاط الضعف هذه بواسطة عمليات المصادقة، أو تخويل المستخدمين، إلخ.
- الأمان السحابي
يركز الأمان السحابي على بناء واستضافة التطبيقات الآمنة في البيئات السحابية.
تعني كلمة “سحابة” ببساطةٍ أن “التطبيق” يعمل في بيئةٍ مشتركةٍ؛ وعليه يجب التأكد من وجود عزل كافٍ بين العمليات المختلفة في البيئات المشتركة.
- التشفير
غالبًا ما تستخدم التوقيعات الرقمية في التشفير للتحقق من صحة الوصول للبيانات.
- أمان البنية التحتية
يتعامل أمان البنية التحتية مع حماية الشبكات الداخلية، والخارجية، والمختبرات، ومراكز البيانات، والخوادم، وأجهزة الكمبيوتر المكتبية، والأجهزة المحمولة.
- الاستجابة
الاستجابة للحوادث هي الوظيفة التي تقوم بمراقبة السلوك الضار المحتمل والتحقيق فيه.
- إدارة الضعف
إدارة الضعف هي عملية مسح البيئة بحثًا عن نقاط الضعف (مثل البرامج غير المربوطة)، وتحديد أولويات المعالجة بناءً على المخاطر.
ليست هناك تعليقات:
إرسال تعليق