للمعلومات السرية خصوصية لا مثيل لها، فقد حاول متداولو المعلومات السرية على مر العقود التعامل مع هذه المعلومات بأشد الحساسية طارقين كل السبل لحمايتها. ونشأت العديد من الطرق لتوصيل المعلومات من دون الخوف على محتواها من الانكشاف. تعددت الطرق للحفاظ على المعلومات على مر العصور، حماية المعلومات بدأ منذ عهد الفراعنة وما قبلهم، فحاجة الإنسان لحماية المعلومات نبعت من فطرة الإنسان نفسه وحفاظًا على حقوق الاخرين والمحافظة على الخصوصية.
إن العرب هم مؤسسون علم التعمية وكان ذلك على يد الكندي، فساهم معه مجموعة من العلماء بتطوير العلم وكان أهمهم الفراهيدي، أما كلمة تشفير المترجمة من اللاتينية فهي نحت جديد لكلمة تصفير كدلالة على الغموض.
أمن المعلومات
في عصرنا هذا توجه الحريصين على سرية الاتصالات وتداول المعلومات إلى علم أمن المعلومات بما يوفره من حفاظ على المعلومات السرية؛ فأمن المعلومات يعمل على توفير الحماية للمعلومات من المخاطر التي تهددها أو الاعتداء عليها وذلك من خلال توفير الأدوات والوسائل اللازم توفيرها لحماية المعلومات من المخاطر الداخلية أو الخارجية. فهو المعايير والإجراءات المتخذة لمنع وصول المعلومات إلى أيدي أشخاص غير مخولين عبر الاتصالات ولضمان أصالة وصحة هذه الاتصالات.
عناصر أمن المعلومات
- السرية Confidentiality: واحدة من الطرق التي نحافظ فيها على سرية المعلومات هي بالتشفير.
- التكاملية Integrity: تعبر عن كيف نقوم بتخزين البيانات ونتأكد بأنه لم يتم التعديل عليها سواء من قبل المخترقين أو حتى الأشخاص المصرح لهم بالاطلاع على البيانات. وكذلك عند نقل البيانات من مكان لمكان فهل تم اعتراض هذه البيانات والتعديل عليها؟
- التوافر Availability: وهي أن تكون البيانات أو الأجهزة والشبكات متوفرة عند طلبها وعند الحاجة إليها.
لو حاولنا فك تشفير بعض الخوارزميات باستخدام الكمبيوتر ومن دون مفتاح فك تشفير فقد يستغرق 400 ألف عام لفك التشفير وفهم محتوى الرسالة.
علم التشفير Cryptography
علم التعمية أو علم التشفير هو علم وممارسة إخفاء البيانات؛ أي بوسائل تحويل البيانات (مثل الكتابة) من شكلها الطبيعي المفهوم لأي شخص إلى شكل غير مفهوم، بحيث يتعذّر على من لا يملك معرفة سرية محددة معرفة وفهم محتواها.
يحظى هذا العلم اليوم بمكانة مرموقة بين العلوم، إذ تنوعت تطبيقاته العملية لتشمل مجالات متعددة نذكر منها: المجالات الدبلوماسية والعسكرية، والأمنية، والتجارية، والاقتصادية، والإعلامية، والمصرفية والمعلوماتية. وتجدر الإشارة أن العرب استعمل قديمًا مصطلح “التعمية” كناية عن عملية تحويل نص واضح إلى نص غير مفهوم باستعمال طريقة محددة.
التشفير عبارة عن تحويل المعلومات من حالة قابلة للقراءة إلى حالة مبهمة تمامًا، أشبه بطلاسم غير مفيدة ولا تضيف معلومة للقارئ.
التوقيع الرقمي Digital Signature
هو عملية توقيع المستند الإلكتروني باستخدام الشهادة الرقمية، ويتم ذلك من خلال تشفير المختصر الحسابي Hash (الناتج من عملية دالة الاختزال للمستند الإلكتروني) باستخدام المفتاح الخاص. وتكمن أهمية التوقيع الرقمي في إثبات هوية الشخص وإثبات موافقته على ما تم التوقيع عليه، كما يضمن سلامة المستند الإلكتروني من أي تعديل بعد التوقيع الإلكتروني.
فوائد التوقيع الرقمي
بالرغم من أن الرسائل تتضمن معلومات عن كيان أو محتوى الرسالة فإن في معظم الوقت لا تكون هذه المعلومات دقيقة، وبالتالي فإنه بالتوقيع الرقمي يمكن المصادقة على مصدر هذه الرسالة. أهمية هذه المصادقة تظهر جلياً في المستندات المالية، على سبيل المثال إذا قام فرع لبنك ببعث رسالة إلى الفرع الرئيسي يطلب فيها تغيير حساب معين، فإذا لم يتأكد الفرع الرئيسي أن مصدر مرسل الرسالة مصرح له بإصدار هذه المعلومات فتغيير هذا الحساب يعتبر خطأً فادحاً.
التوقيع الرقمي يثبت صحة المرسل وليس صحة البيانات الموجودة بالرسالة
يمكن لباعث أو متلقي الرسالة أن يكون بحاجة للتأكد أو الثقة بأنه لم يتم المساس بالمعلومات خلال عملية الإرسال. وبما أن عملية التشفير تخفي مضمون الرسالة فإنه لا يمكن التغيير فيها، فإذا كانت الرسالة موقعة رقمياً فإن أي تغيير فيها سيشكك بمصداقية التوقيع.
مهددات أمن المعلومات
تعتبر الفايروسات من أهم مهددات أمن المعلومات ومن العوائق التي تحد من تحقيق أمن المعلومات، كذلك هجوم حجب الخدمة DoS Attacks وهي خدمة يقوم فيه القرصان أو المعتدي بإجراء أعمال خاصة تؤدي إلى تعطيل الأجهزة التي تقدم الخدمة Server في الشبكات، ومهاجمة المعلومات المرسلة وهو اعتراض المعلومات عند ارسالها من جهة إلى أخرى، ويحدث هذا التعامل غالباً أثناء تبادل الرسائل خلال الشبكات.
هجوم السيطرة الكاملة في هذا النوع يقوم القرصان بالسيطرة الكاملة على جهاز الضحية والتحكم في جميع ملفاته كما لو كانت في جهازه هو ويمكن للقرصان مراقبة الضحية بصورة كاملة. يتم الهجوم بعد أن يضع القرصان ملف صغير على جهاز الضحية أو عن طريق استغلال نقاط الضعف في أنظمة التشغيل، كذلك من مهددات أمن المعلومات هجوم التضليل وفيه يقوم القرصان بانتحال شخصية موقع عام. كما يمكن للقرصان أن ينتحل شخصية مستخدم موثوق به للحصول على معلومات غير مصرحة له.
لعل من أصعب مهددات أمن المعلومات الوصول المباشر لكوابل التوصيل والذي يقوم فيه المهاجم بالوصول المباشر لأسلاك التوصيل والتجسس على المعلومات المارة. ولكنه هجوم صعب ويتطلب عتاد خاص.
طرق وأدوات لحماية أمن المعلومات
التأمين المادي للأجهزة والمعدات، وتركيب مضاد فيروسات قوي وتحديثه بشكل دوري، كذلك تركيب أنظمة كشف الاختراق وتحديثها كذلك. وتركيب أنظمة مراقبة الشبكة للتنبيه عن نقاط الضعف التأمينية. وعمل سياسة للنسخ الاحتياطي، استخدام أنظمة قوية لتشفير المعلومات المرسلة. ودعم أجهزة عدم انقطاع التيار ونشر التعليم والوعي الأمني.
المراجع
Wikipedia: Cryptography
Wikipedia: Information Security
