حماية البوابات الإلكترونية

في عصر اتسمت فيه الجهات الحكومية والقطاعات الخاصة في تقديم خدماتها الالكترونية عبر الانترنت. وأصبحت بيانات الأفراد والشركات تتناقل في خفايا الشبكات. كان من السهل على المنظمات الاجرامية من المحاولة لاختراق هذه الجهات اما للتخريب او لسرقة البيانات وتدميرها. وأثبتت الدراسات التكاليف-سوف يكون لها موضوع منفصل- التي تؤثر بسبب هذه الاقتراحات والذي يجعلنا نهتم بالأمر قبل حدوثه.
ولذلك قررت ان اكتب موضوعا بشكل عام بحيث يفيد المسؤولين بشكل أساسي. في هذا المقال سأسرد فيه بعض الاقتراحات العملية التي من شأنها رفع قدرة الحماية لدى البوابات والخدمات الالكترونية. وبالإضافة الى ذلك يجب توفر فريق حماية متخصص سواء للتطوير او المراقبة او الإشراف. الاقتراحات هي كما يلي:
1.عمل فحص حماية بشكل دوري، كل ستة أشهر وعن طريق شركة مختلفة كل مرة
1. تطبيق مفهوم "فصل المهام" والذي يسمى segregation of duty اثناء تصميم الشبكة والانظمة بحيث تكون البوابة والخدمات الإلكترونية في شبكة منفصلة عن الشبكة الخاصة بالمستخدمين للتقليل من الاختراق الداخلي.
2. تركيب نظام جدار حماية للويب، وهو ما يسمى layer 7 firewall or web application firewall، والذي سوف يقلل ويحجم من الاقتراحات المعروفة. هذا النظام لا يغني عن وجوب وجود Next Generation FireWall وكذلك IDP حيث لكل منهم أساليب معينة للحماية وجميعها مكملة لبعضها.
3. فصل خطوط الانترنت الى جزأين، محلي ودولي. للحماية من DDOS عن طريق اغلاق احد الخطوط في حال كان الهجوم عن طريقه.
5.الارتباط مع مقدم خدمة فلترة بيانات للحماية أيضا من DDOS
6.فصل شبكة الأنظمة عن شبكة المستخدمين كليا.
7.عدم ارتباط الأنظمة الداخلية للخدمات الإلكترونية بالإنترنت وذلك لمنع ارسال البيانات لجهة خارج الأنظمة عن طريق قنوات مجهولة. وجود دائما طبقة حماية قبل الوصول إليها.
8.وضع نسخة من الموقع الرئيسي على شكل صفحات HTML في خادم منفصل -بدون خدمات إلكترونية لتفادي الاختراق مرة أخرى- ويفضل ان تكون خارج الشبكة لتحويل الوصول إليها في حال الاختراق لا سمح الله.
9.تركيب نظام مراقبة التغيير ومنع التغيير غير المرغوب به على إعدادات الأنظمة و الشبكة.
10.تركيب نظام مراقبة الأحداث SIEM والذي من شأنه مراقبة أي أحداث مشبوهة على مستوى البنية التحتية
11.جعل اسم المستخدم للمشرفين يختلف في الأنظمة عن الاستخدام العادي، كما يجب استخدام كلمة السر المعقدة ويكون التغيير لها بشكل دوري
12.تطبيق مفهوم البرمجة المقننة بدورة الحماية Secure SDLC وكذلك فحص النصوص البرمجية أمنيا وخلوها من الثغرات قبل نشرها، وهناك أنظمة وأدوات تساعد على ذلك.
13.عمل دورات تثقيفية للمطورين والمشرفين عن الحماية وطرق الاختراق
14.وضع خطة خاصة لعملية التصدي لعملية الجرائم الإلكترونية، توضح آلية التعامل قبل وبعد حدوث أي جريمة إلكترونية.
15.وجود آلية نسخ احتياطي وتجربة الاستعادة.
1. توفر بيئة احتياطية DR للانتقال إليه في حال حدوث أي طارئ وتجربة الانتقال كذلك وتوثيقها بخطة ومراجعتها دوريا.
2. تركيب أنظمة حماية من الفايروسات (يفضّل استخدام نوع متخصص للخوادم ونوع اخر للمستخدمين)، بالإضافة الى نظام حماية من maleware
هذه مجموعة منتقاة من الاقتراحات بناء على خبراتي السابقة. هذه الاقتراحات من شأنها رفع مستوى الحماية لدى أي منظمة تقدم خدماتها عبر الإنترنت. قد أكون غفلت عن بعض الاقتراحات المهمة. وبالطبع أي منظمة لها اختصاصات ومقترحات قد لا تشملها هذه القائمة لذلك يجب عمل دراسة تفصيلية لها.
وحفظ الله خدماتنا إلكترونية من الاختراق أو التخريب.