القائمة الرئيسية

الصفحات

4 خطوات من اجل تطبيق تقنيات التشفير والترميز المتقدم فى حماية البيانات من شركة secureworks



قامت شركة سيكيوروركس secureworks وهى الشركة العالميه الرائده فى تقديمها الحمايه للشركات فى العالم الرقمى المتصل بالانترنت بالكشف عن الخطوات التى يمكن للشركات القيام باتباعها من اجل تطبيق تقنيات التشفير والترميز المتقدم " توكنيزيشن " من اجل حماية البيانات بكلفه محدوده واجراءات بسيطه فى نفس الوقت .

وتعمل تقنية الترميز المتقدّم على القيام بإخفاء البيانات الحساسة والعمل على حمايتها من عمليات الوصول غير المصرح بها وذلك من خلال جعل هذه البيانات لا يمكن إعادتها إلى حالتها ما قبل الترميز باستخدام الخوارزميات الرياضية ، ويتم استخدام هذه التقنية في العديد من الاجهزة التى تقوم بمعالجة بطاقات الائتمان وذلك بهدف حماية التعاملات التي تتم عن طريق هذه البطاقات من خلال استخدام ميزة تجزئة التشفير على سبيل المثال ، ولإنشاء رمز عشوائي من رقم بطاقة الائتمان بالإضافة إلى اسم المتجر وتفاصيل المعاملة وتاريخها ، وتوفر هذه الرموز أيضاً مستويات عالية من السلامة والامان وذلك من خلال ضمان عدم قيام الأشخاص غير المصرح بهم بتغيير المحتوى ، وكما يمكن استخدام تقنية الترميز للحد من المخاطر المرتبطة بتخزين أو معالجة البيانات السرية بشكل كبير.  

ونجد انه قد تكون بعض الشركات قلقة جدا من صعوبة أو تكلفة تطبيق تقنيات التشفير أو الترميز، ولكن تطبيق هذه التقنيات يمكن أن يكون بسيطاً وحتى سلساً في كثير من الحالات لكن إذا قامت شركة بتزويد هذه التقنيات بتصميم حلول التشفير أو الترميز بحسب احتياجات الشركة التي ترغب بتطبيق هذه الحلول ، وذلك من خلال التقليل من تأثير مثل هذه الحلول على بيئة العمل القائمة لدى هذه الشركة.  

1 - الكشف عن البيانات القديمه وتحويلها :
ان أي شركة تحتاج في البداية إلى الوصول إلى المخزون الذي يحتوي على البيانات السرية داخل شبكتها أو تلك التي تمر من خلالها ، وعلى سبيل المثال ، يمكن لأجهزة معالجة عمليات الدفع أن لا تقوم بتخزين البيانات ولكن يمكن لهذه البيانات أن تتعرض للاختراق أثناء عملية المعالجة ، ويمكن هنا لشركات تزويد تقنيات الترميز أو الأدوات المؤتمتة مثل تطبيق الحماية ضد فقدان البيانات DLP ، القيام بالمساعدة في مواجهة ذلك ، وكثيراً ما يتم فقدان البيانات في المواقع التي لا يتم عادة تخزين هذه البيانات فيها ، فالكثير من الشركات الكبيرة تقوم باستخدام البيانات الأصلية لما بعد العمليات في تطبيقات المكاتب الخلفية لديها مثل تطبيقات تحليل البيانات والتسويق وبرامج ولاء العملاء ، كما يمكن أن تنتشر البيانات القديمة المخزنة وتصل إلى الجداول أو رسائل البريد الإلكتروني ومستندات أخرى على أجهزة الحاسب في كافة أنحاء الشبكة، وكافة هذه المواقع تقوم بالخضوع إلى عمليات التدقيق التنظيمية حتى إذا كانت هذه البيانات مشفره فيها بشكل كبير .  

2 – القيام بتعديل مواصفات الرساله :
ان الشركه تحتاج عند القيام بإضافة الترميز إلى تزويد الجهات المستقبلة بتعليمات واضحة بشأن البيانات التي يتم إرسالها إلى مرحلة الترميز والشكل التي ستكون عليه ومايجب أن يتم إعادته إلى مالك البيانات ، ونجد ان الشركات التي تمتلك طرقاً جاهزة لمعالجة البيانات بالفعل تقوم باستخدام مواصفات الرسالة من اجل اعلام المستلم بالبيانات الواردة ، وعلى سبيل المثال ، يمكنك الحصول هنا على رقم تعريف شخصي ورقم بطاقة واضح ، فعليك القيام بإرسال هذا الرقم مرة أخرى إلى جانب رمز التفويض ، ولكن يجب تعديل هذه الرسالة حتى تتضمن تعليمات الترميز المُعرفة من قبل المعالج حتى تكون  " قم بإرسال رقم الرمز المميز إلى جانب رمز التفويض " وإذا ما اختارت الشركة تضمين التشفير في البيانات التى تم ارسالها  ، فيجب فى تلك الحاله أن تشير مواصفات الرسالة إلى أن البيانات المشفرة سوف تحل الآن محل ما كان سابقاً عباره عن نص بيانات واضح فقط.  

3 – تضمين التشفير من اجل الحصول على حمايه اضافيه :
إن القيام  بتشفير البيانات السرية قبل القيام بإرسالها إلى معالج آخر هي عباره عن عملية اختيارية ولكن ينصح بها بشدة عند تنفيذ حلول الترميز، حيث يقدم مزودو خدمات الترميز عادة خدمة تشفير إضافية من اجل المزيد من الحماية والأمان، وقد لا تحتاج الشركات التي تستخدم إطار حماية خاص بها مثل أن تقوم بنقل البيانات إلى كيان آخر، إلى مستوى تشفير اخر إضافي . وعلاوة على ذلك ، فقد تكون لدى بعض الشركات حلول تشفير اخرى خاصة بها ولن تحتاج إلى هذه الخدمة من شركات تزويد تقنيات الترميز.  

4 – القيام بضبط العمليات اذا لزم الامر :
ان الشركات في هذه المرحلة من مراحل الترميز ينبغى عليها أن تستعرض قواعدها وعملياتها الداخلية الخاصة بالبيانات وتقييم أثر البيانات المشفرة أو المرّمزة ، ويتطلب تنفيذ عمليات الترميز مناقشة مشتركة بين الشركة ومزود خدمات الترميز حول النظم التي تلمس البيانات الحساسة بالإضافة إلى فهم متطلبات عمل هذه النظم ، وتعتبر هذه الخطوة خطوه هامة جدا بشكل خاص بالنسبة للشركات الكبيرة التي تستخدم البيانات السرية لاجل اغراض إضافية تتجاوز أذونات الدفع، مثل البائعين الذين يقومون باستخدام بطاقات الائتمان أو الأدوات التي تنقل أرقام الضمان الاجتماعي أو المعلومات الطبية .

وقد قال باتريك بارنيت، وهو المتخصص في أمن المعلومات لدى سيكيوروركس secureworks :" انه يمكن لتقنيات الترميز أن تخفف من المخاطر إلى حد كبير عند دمجها مع ضوابط أمنية أخرى مثل نطاقات الدفاع والسياسات الأمنية القوية ، وإدارة برامج التصحيح وعمليات التسجيل المحمية ، وأدوات التنبيه وحماية النقاط النهائية ونظم كشف التسللات الأمنية والوقاية منها  IDS/IPSK، وتعتمد النظم الخلفية للعديد من الشركات على البيانات السرية مثل بيانات بطاقات الائتمان والضمان الاجتماعي ، وبيانات جوازات السفر وأرقام رخص القيادة ، كأدوات فريدة من اجل تحديد الهوية والوصول إلى معلومات الفوترة وحالة الطلب وخدمة العملاء ، وتسمح تقنية الترميز للشركات بالحفاظ على وظيفة النظم الخلفية من دون تعريض البيانات الحساسة لهجمات المخترقين " .

كما انه يمكن ايضا استخدام تقنية الترميز مع تقنيات التشفير من اجل حماية البيانات المخزنة في الخدمات السحابية أو التطبيقات ، بحيث تضمن تقنيات التشفير حماية البيانات المتبادلة مع أطراف ثالثة وذلك من خلال حمايتها بمفاتيح وصول تضمن عرض المحتوى من قبل المستخدمين المصرح لهم بذلك فقط .

ان القاعدة الأساسية لمشاركة البيانات الآمنة على شبكة الإنترنت ، وهي بروتوكول طبقة المنافذ الآمنة  TLS، نجد انها تعتمد على تقنيات التشفير من اجل انشاء نفق آمن بين المستخدم النهائي والموقع الإلكتروني المستخدم ، وتعتبر تقنية تشفير المفتاح غير المتماثل ، أو تقنية المفتاح العام ، عباره عن عنصر هام أيضاً من ضمن لائحة شهادات بروتوكول طبقة المنافذ الآمنة TLS والمستخدمة من اجل التحقق من صحة الهوية ، وبالاعتماد على حالة الاستخدام ، ويمكن للشركة القيام باستخدام تقنية التشفير أو الترميز أو مزيج من الاثنتين من اجل تأمين أنواع مختلفة من البيانات وتلبية المتطلبات التنظيمية لذلك . 


..............................................