الأخبار التقنية

تأمين الشبكة الداخلية

1 أبريل 2013آخر تحديث: 1 أبريل 2013
5 دقائق

          لا ضرورة لإضافة مزيد من التقنيات دائماً، للحصول على مزيد من الأمن، فالالتزام ببعض الإجراءات البسيطة، يمكن أن يلعب الدور الأكبر في تحسين الأمن.

الأمن مسؤولية جماعية، وقد يشكّل أي زميل لك في العمل الحلقة الأضعف فى المنظومة الأمنية للشركة. الهاكرز (المخترقون) يبحثون دائماً عن أى خطأ من المستخدم، يمكن أن يستخدموه لأختراق النظام وذلك قبل التوجه إلى حيل تقنية أشد تقدماً.

          فهل تقوم بدورك أيها المستخدم في حماية شركتك وعملك؟ وإذا كنت مشرفاً، هل لديك سياسية أمنية؟ وهل أنت متأكد من تطبيق عناصرها ؟
إليك عدداً من أكثر أخطاء الأمن شيوعاً، والتي يجب أن تقضي عليها.

1 –حسابات المستخدمين: إن استخدام حسابات للمستخدمين واضحة الاسم، مع كلمات سر ضعيفة. تمثل أبواباً مفتوحة للمخترقين. وأحد السيناريوهات الشائعة لذلك، أن يكون اسم المستخدم هو نفسه كلمة السر للحساب الواحد. وعلى الرغم من أنه يمكن منع استخدام كلمات سر ضعيفة، عبر إعداد مستوى تعقيد كلمات السر المطلوب في نظام التشغيل. إلا أن تحديد طول كلمة السر ليس كافياً. وبينما تحدد كثير من الشركات سياسة أن لا يقل طول كلمة السر عن ثماني حروف، لكنها تتجاهل حقيقة أن كلمة السر تلك، قد تشكل كلمة ذات معنى مؤلفة من ثماني حروف.

يحاول المخترقون استخدام الخيارات البديهية عادة، مثل كلمات السر الافتراضية المعروفة جيداً، وقوائم كلمات السر الشائعة. والوسيلة الأفضل لهزيمة كل ذلك، أن تطبق قواعد قوية لاختيار كلمة السر على نظام التشغيل.

  • استخدم كلمات السر الطويلة، ثم غيّرها كل شهر أو ثلاثة شهور على أقصى تقدير.
  • أجعل كلمة السر صعبة التخمين hard to guess بأن تضمّنها أعدداً، أو حروفاً غير شائعة.
  • اسمح بثلاث محاولات للدخول فقط، وفي حالة فشل الدخول، أجعل هناك حوالى 15 دقيقة أو نحوها من إقفال النظام، قبل السماح بمحاولات الدخول مرة أخرى.
  • راقب محاولات الدخول الفاشلة، وأسعى للبحث عمن قام بها ومن أى جهاز، وأسأل لماذا.
  • لا تضع قواعد صعبة جداً لكلمات السر. بحيث توقع المستخدمين في مشكلة تذكّر كلمات السر، مما قد يدفع بعضهم إلى كتابة كلمات السر، وتثبيتها فى اماكن عملهم مما يفقد كلمة السر الهدف منها أساساً.
  • عطل الحسابات الأفتراضية التى لا تستخدمها، مثل حساب Guest.
  • غير اسم المستخدم الأساسى للكمبيوتر أو الشبكه من Administrator، وقم بأعطاؤه اى اسم اخر.

2 –التحدث مع الغرباء: يشكّل تبادل المعلومات عن البنية التحتية مع أي شخص عبر الهاتف، أو البريد الإلكتروني، عملاً خطراً، مهما بدت تلك المعلومات بسيطة. قد يكون الشخص على الطرف الآخر من الهاتف أحد المتجسسين يتظاهر بأنه موظفا في أحد الجهات الحكومية أو الشركات التى تجرى أبحاث.

  • تأكد من هوية أي متّصل، وكن حذراً من ما تقوله حتى مع الموظفين الحقيقين.
  • لا شك أن بعض المخادعين أذكياء جداً، انظر مثلاً، إلى هذا الاستبيان الذي يبدو بريئاً:

المتصل: “كيف تقيمّ برنامج (س) للمحاسبة إذا سمحت؟”

الموظف الثرثار: “عفواً، نحن نستخدم نظام (ع) هنا. يؤسفني أنني لا أستطيع مساعدتك”

لكن ألم يساعده فعلاً؟ لقد أعطى للمتصل معلومة عن البرنامج المستخدم فعلا فى الشركة وبناء على هذا يمكن للمتصل الذى يحاول الأختراق أن يركز مجهوداته لمعرفه طرق أختراق هذا البرنامج فقط. لقد وفرت عليه نصف المسافة تقريباً.

3 – الاختراق من الداخل: تصمم سياسة الأمن عادة لإبقاء الأشخاص السيئون بعيداً، لكن معظم عمليات اختراق الشركات ترتكب من أشخاص في الداخل، أي من الموظفين، وذلك إما عمداً أو كنوع من الفضول. والمؤكد أن استخدام أحدهم لحسابه الخاص في محاولة الاختراق يشكل نوعاً من الغباء، ولذلك يترك المخترق الداخلي الاماكن المهمة التى يريد أن يتلصص عليها حتى يغيب أحد الموظفين الأخرين فيستخدم حسابه.

لكي تمنع الدخول غير المصرح به إلى الحسابات، أو إلى البيانات المهمة على الأقراص الصلبة:

  • ضع على جميع الأجهزة برامج حفظ شاشة محمية بكلمات سر، تعمل تلقائياً بعد عشر دقائق من عدم استخدام النظام.
  • إمنع مشاركة كلمات السر بين الموظفين، يجب ان يكون لكل موظف كلمة السر الخاصه به حتى وإن كان يتشارك فى جهاز واحد مع أكثر من زميل.
  • عطل حسابات المستخدمين فى حالة حصولهم على إجازات طويلة، حتى لا يستخدمها أحد سيئ النية أثناء فترة غياب هذا الموظف.
  • كلمات السر الأبتدائية التى تعطى للموظفين الجدد، يجب أن تكون مختلفة فى كل مرة.
  • إذا اتصل بك أحد الموظفين يخبرك بانه لا يستطيع الدخول على حسابه لأنه قد نسى كلمة السر الخاصه به، فيكون الحل ان تعطيه كلمة سر جديدة. ولكن هل انت متاكد ان الذى يتصل بك هو صاحب أسم المستخدم هذا فعلا؟.

لا تستجب لطلبات تغيير كلمة السر عبر الهاتف، واجعل هذه الطلبات مكتوبه وموثقة قدر الأمكان.

  • راجع الحسابات غير المستخدمة كل 3 شهور، وتأكد من ان حسابات الموظفين اللذين تركوا العمل قد تم ألغاؤها أو تعطيلها.

4 – التشارك على الملفات: برامج تشارك الملفات مرحه، وممتعة، لكن لا مكان لخدمات تشارك الملفات في الشركات. فعلاوة على المشكلات التي لا تحتاج إلى شرح، من ناحية عرض الحزمة Band width، وحقوق الملكية، التي يمكن أن تسببها، فإن تطبيقات مشاركة الملفات، يمكن أن تقبل، أو حتى ترسل أي شيء تقريباً. ولا تعرف هذه البرامج إذا كان ما تنزله هو فعلاً فيلم DivX، أو لعبة، أو فيروس، أو حصان طروادة، مع أنه يمكن أن يتخفى بسهولة وراء الامتداد .avi، أو .zip ويمكن لمثل تلك البرمجيات الخبيثة أن تفتح باباً خلفياً. في شبكتك.

من الأخطاء الأقل وضوحاً، ما يرتكبه المستخدمون المبتدؤون في إعدادات مشاركة الملفات. وتبحث أحدث هجمات المخترقين حالياً، عن رسائل البريد الإلكتروني، والجداول الممتدة، والوثائق الأخرى التي تحتوي على معلومات شخصية، والتي يحدث أن تتم المشاركة بها عن غير قصد. ويكتب المخترقون لهذا فيروسات لها امتدادات من تلك الأنواع.

5 – استخدام الإنترنت: يمكن للبرمجيات الخبيثة أن تدخل عبر حسابات البريد الإلكتروني الشخصية، ومواقع ويب المخفية، وتقوم بفعالية بإزالة كل من حماية مزودات البريد الإلكتروني، وجدران الحماية النارية fire walls في الشركات.

  • حاول أن تطبق سياسة استخدام مناسبة للأنترنت. لا تطبق سياسة ديكتاتورية، ولا تسمح للموظفين بدخول حر، فهذا ليس منطقي أيضاً.
  • لا تقيّد المستخدمين كثيراً إذا كان لديك دفاعات تقنية كافية، كاستخدام البرمجيات المضادة للفيروسات، لحماية حسبات البريد الإلكتروني الشخصية، واستخدام جدران النار الشخصية، أو  جدارن نارية تدار مركزياً.
  • ذكّر الموظفين بأن الشركة تملك الأقراص الصلب، وأنها يمكن أن تفحصها إذا شكّت بوجود مشكلة أمنية، أو اذا شكت فى وجود أستخدام خاطئ يعرض شبكة الشركة للأختراق.

6 – الموظف المناسب: فى ظل الظروف الاقتصادية الصعبة، يمكن أن يصيب تخفيض عدد الموظفين في الشركات أكثر الأقسام، ولا يستثنى من ذلك قسم تقنية المعلومات، لكن:

  • لا تدع هذا يؤدي إلى مشاركة شخص قليل المعرفة التقنية في الإشراف على النظام، بل وظّف شخصاً مؤهلاً لإعداد وتنفيذ سياسة الأمن لديك، وتركيب الباتشات والتحديثات الأمنية.
  • يمكن أن تستفيد من برمجيات إدارة النظام من النوع الذي يأتي مركباً في الأجهزة المكتبية التي تنتجها الشركات المرموقة.
  • كثيراً من الموظفين لا يعرف، أو لا يهتم بتحديث ما يستخدمه من نظام تشغيل أو تطبيقات، ويمكن للعديد من المخترقين الاستفادة من هذا الاهمال أو الجهل. وهكذا فإن دفع المستخدمين للاهتمام بذلك، ربما يكون المفتاح الرئيس لتنفيذ سياسة أمنية ناجحة. كما يمكنك الأستفادة من البرامج التى تقوم بتحديث أنظمة التشغل تلقائيا مثل Wsus Server.

7- كذبة ملفقة: تصلك رسالة بريد إلكتروني من صديق، أو زميل عمل تقول:”You may already be infected” (ربما تكون قد أصبت فعلاً)، وتطلب منك أن تجد ثم تحذف ملفاً يبدو غامضاً اسمه jdbgmre.exe، مخفياً في مجلدات ويندوز لديك، وأن تمرر الرسالة إلى كل شخص في دفتر عناوينك. الحقيقة أن جهازك غير مصاب، والملف المذكور ليس إلا أحد مكونات جافا، والرسالة الإلكترونية كلها مجرد خدعة.

الفيروسات التي تولد على الأنترنت مؤذية ومزعجة، لكن خدع الإصابة بالفيروسات مزعجة أيضاً. ولقد كلفت بعض تلك الخدع الشركات آلاف الساعات من توقف العمل. ويجب على الشركات وضع خطة دائمة للاستجابة للخدع من هذا النوع، كما يستجيبون تماماً للفيروسات أو العيوب الأمنية”.

  • عند تسلم رسالة بريد إلكتروني يُشك في أنها خدعة، أن تتأكد من صحة أو عدم صحة الرسالة من خبير ثقة قبل أن تفعل أي شيء آخر. فمثلا  “أرسل الرسالة إلى أدارة نظم المعلومات في الشركة، وليس إلى الأصدقاء.
  • راجع مواقع الأمن كي ترى إذا كانت تلك الرسالة خدعة أو تحذيراً صحيحاً.

 فى النهاية لا تترك بابك مفتوحاً، ثم تندم حيث لا ينفع الندم. خطوات بسيطة يمكنك أن تحتاط بها لنفسك قبل ان يدق الخطر بابك.

 

الوسوم
1 أبريل 2013آخر تحديث: 1 أبريل 2013
5 دقائق
زر الذهاب إلى الأعلى