دورة الأمن السيبراني
دورة الأمن السيبراني

أهداف الأمن السيبراني

الهدف من الأمن السيبراني هو حماية المعلومات من السرقة أو المخالفة أو الهجوم. يمكن قياس الأمن السيبراني بواحد على الأقل من ثلاثة أهداف-
حماية سرية البيانات.
الحفاظ على سلامة البيانات.
تعزيز توافر البيانات للمستخدمين المصرح لهم.

تشكل هذه الأهداف السرية والتكامل والتوافر confidentiality, integrity, availability  CIA ، وهو أساس جميع برامج الأمان. العناصر الثلاثة هي نموذج أمني تم تصميمه لتوجيه سياسات أمن المعلومات داخل مباني المؤسسة أو الشركة. يشار إلى هذا النموذج أيضًا باسم
 AIC Availability, Integrity, and Confidentiality  لتجنب الالتباس مع وكالة المخابرات المركزية. تعتبر العناصر الثلاثة الأكثر أهمية للأمن.

معايير CIA  هي أحد المعايير التي تستخدمها معظم المؤسسات والشركات عند تثبيت تطبيق جديد ، أو إنشاء قاعدة بيانات أو عند ضمان الوصول إلى بعض البيانات. لكي تكون البيانات آمنة تمامًا ، يجب أن تصبح جميع أهداف الأمان هذه سارية المفعول. هذه سياسات أمنية تعمل جميعها معًا ، وبالتالي قد يكون من الخطأ تجاهل سياسة واحدة.

1. السرية confidentiality
السرية تعادل تقريبًا الخصوصية وتتجنب الإفصاح غير المصرح به عن المعلومات. وهي تنطوي على حماية البيانات ، وتوفير الوصول لأولئك الذين يسمح لهم برؤيتها أثناء منع الآخرين من تعلم أي شيء عن محتواه. يمنع المعلومات الأساسية من الوصول إلى الأشخاص الخطأ مع التأكد من أن الأشخاص المناسبين يمكنهم الحصول عليها. تشفير البيانات هو مثال جيد لضمان السرية.

التشفير Encryption
التشفير هو طريقة لتحويل المعلومات لجعلها غير قابلة للقراءة للمستخدمين غير المصرح لهم باستخدام خوارزمية. يستخدم تحويل البيانات مفتاحًا سريًا (مفتاح تشفير) بحيث لا يمكن قراءة البيانات المحولة إلا باستخدام مفتاح سري آخر (مفتاح فك التشفير). يحمي البيانات الحساسة مثل أرقام بطاقات الائتمان عن طريق ترميز البيانات وتحويلها إلى نص مشفر غير قابل للقراءة. لا يمكن قراءة هذه البيانات المشفرة إلا بفك تشفيرها. المفتاح غير المتماثل والمفتاح المتماثل هما النوعان الأساسيان للتشفير.

صلاحية التحكم وصلاحية الدخول Access Control
يحدد التحكم في الوصول القواعد والسياسات للحد من الوصول إلى نظام أو إلى الموارد المادية أو الافتراضية. إنها عملية يتم من خلالها منح المستخدمين الوصول وامتيازات معينة للأنظمة أو الموارد أو المعلومات. في أنظمة التحكم في الوصول ، يحتاج المستخدمون إلى تقديم بيانات الاعتماد قبل أن يتم منحهم حق الوصول مثل اسم الشخص أو الرقم التسلسلي للكمبيوتر. في الأنظمة المادية ، قد تأتي أوراق الاعتماد هذه بأشكال عديدة ، ولكن أوراق الاعتماد التي لا يمكن نقلها توفر أكبر قدر من الأمان.

المصادقة Authentication
المصادقة هي عملية تضمن وتؤكد هوية المستخدم أو دوره. يمكن القيام به بعدد من الطرق المختلفة ، ولكنه عادة ما يستند إلى مزيج من –
شيء يمتلكه الشخص (مثل البطاقة الذكية لتخزين المفاتيح السرية) ، شيء يعرفه الشخص (مثل كلمة المرور) ، شيء هو الشخص (مثل إنسان ذو بصمة).
المصادقة هي ضرورة كل مؤسسة لأنها تمكن المؤسسات من الحفاظ على شبكاتها آمنة من خلال السماح فقط للمستخدمين المصادق عليهم بالوصول إلى مواردها المحمية. قد تتضمن هذه الموارد أنظمة الكمبيوتر والشبكات وقواعد البيانات والمواقع الإلكترونية والتطبيقات أو الخدمات الأخرى القائمة على الشبكة

التفويض Authorization
التفويض هو آلية أمنية تمنح الإذن للقيام أو امتلاك شيء ما. يتم استخدامه لتحديد السماح للشخص أو النظام بالوصول إلى الموارد ، بناءً على سياسة التحكم في الوصول ، بما في ذلك برامج الكمبيوتر والملفات والخدمات والبيانات وميزات التطبيق. وعادة ما يسبقه المصادقة للتحقق من هوية المستخدم. عادةً ما يتم تعيين مستويات أذونات لمسؤولي النظام تغطي جميع موارد النظام والمستخدم. أثناء التفويض ، يتحقق النظام من قواعد وصول المستخدم المصدق عليه ويمنح أو يرفض الوصول إلى الموارد.

الأمن المادي  Physical Security 
يصف الأمن المادي التدابير المصممة لمنع الوصول غير المصرح به لأصول تكنولوجيا المعلومات مثل المرافق والمعدات والأفراد والموارد والممتلكات الأخرى من التلف. يحمي هذه الأصول من التهديدات المادية بما في ذلك السرقة والتخريب والحرائق والكوارث الطبيعية

دورة الأمن السيبراني