تدقيق أمان تقنية المعلومات أو التدقيق الأمني للحاسوب هو تقييم تقني يدوي أو آلي قابل للقياس يتم إجراؤه على نظام أو تطبيق ما. وتتضمن عمليات التقييم اليدوية إجراء مقابلات الموظفين وأداء عمليات فحص ثغرات الأمان ومراجعة التطبيق وتشغيل عناصر التحكم في الوصول إلى النظام وتحليل الوصول المادي إلى الأنظمة. أما عمليات التقييم الآلية أو تقنيات التدقيق بمساعدة الحاسوب (CAAT)، فتتضمن إنشاء تقارير تدقيق النظام أو استخدام البرمجيات لرصد التغييرات في الملفات والإعدادات والإبلاغ عنها. وقد تشمل الأنظمة الحواسيب الشخصية والخوادم والحواسيب الكبرى وأجهزة توجيه الشبكة والمحولات. وقد تتضمن التطبيقات خدمات الويب (Web Services) ومايكروسوفت بروجكت سنترال وقاعدة بيانات أوراكل. (هذه أمثلة فقط).
إعداد تقارير حدث التدقيق
أثناء العقود القليلة الماضية، كانت عملية إنشاء سجل التدقيق بشكل آلي (المعروفة أيضًا باسم إعداد تقارير حدث التدقيق) تعتبر عملية خاصة ومؤقتة. ومن المفارقات أنه في الأيام الأولى لظهور الحواسيب الكبرى والحواسيب الصغيرة المزودة ببرمجيات مخصصة واسعة النطاق تابعة لمورد واحد من شركات مثل آي بي إم وهوليت-باكارد، كان التدقيق يعد وظيفة حيوية للمهام. وعلى مدى السنوات الثلاثين الماضية، حلَّت تطبيقات ومكونات البرمجيات الجاهزة والحواسيب الدقيقة تدريجيًا محل البرمجيات والأجهزة المخصصة كحلولٍ منخفضة التكلفة لإدارة الأعمال.
أثناء هذه المرحلة الانتقالية، تحولت الطبيعة الحاسمة لعملية إعداد تقارير حدث التدقيق تدريجيًا بحيث أصبحت من متطلبات العملاء ذات الأولوية المنخفضة. وقد قَبِلَ مستهلكو البرمجيات -الذين لا يوجد لديهم إلا القليل ليعتمدوا عليه- تلك المعايير الأقل باعتبارها المعايير الطبيعية. وفي الوقت الحالي، تخلي تراخيص المستهلك الخاصة بالبرمجيات الجاهزة مسؤوليتها عن المشكلات المتعلقة بالأمان والأداء وسلامة البيانات.
التسجيل التقليدي
باستخدام أساليب التسجيل التقليدي، تقوم التطبيقات والمكونات بإرسال رسائل نصية حرة الشكل إلى أدوات إنشاء سجلات النظام مثل عملية سيس لوج في نظام يونكس أو نظام مايكروسوفت ويندوز أو الأمان أو سجلات حدث التطبيق. وترجع تطبيقات جافا غالبًا لأداة إنشاء سجل جافا المعيارية، وهي لوج فور جيه (log4j). وتتضمن هذه الرسائل النصية عادةً معلومات من المفترض أن تكون ذات صلة بالأمان فقط من قِبل مطور التطبيق، والذي لا يكون في الغالب خبيرًا في تأمين الحواسيب أو الشبكات.
تكمن المشكلة الأساسية في سجلات الحدث حرة الشكل في أن كل مطور تطبيق يُحدد بشكل فردي المعلومات التي ينبغي تضمينها في سجل حدث التدقيق، والتنسيق العام الذي ينبغي استخدامه لتقديم سجل التدقيق. ويُصعّب هذا التباين في التنسيق بين آلاف التطبيقات المجهزة ، من وظيفة التحليل اللغوي لسجلات حدث التدقيق بواسطة أدوات التحليل (مثل المنتج الحارس نوفل، على سبيل المثال) كما يجعلها عرضة للأخطاء. كذلك، يكون هذا النطاق وكود التحليل المحدد للتطبيق المتضمن في أدوات التحليل صعبًا في الاحتفاظ به، لأن التغيرات في تنسيقات الحدث ستشق طريقها حتميًا إلى نسخ أحدث من التطبيقات عبر الوقت.
خدمات التدقيق الحديثة
تدعم معظم أنظمة التشغيل الحديثة، بما في ذلك مايكروسوفت ويندوز وسولاريس وماك أو إس عشرة وفري بي إس دي (عبر مشروع تراستد بي إس دي) تسجيل حدث التدقيق بسبب المتطلبات في المعايير المشتركة (وأكثر تاريخيًا، معايير الكتاب البرتقالي). ويستفيد كل من نظامي فري بي إس دي وماك أوه إس عشرة من المكتبة مفتوحة المصدر أوبن بي إس إم ومجموعة الأوامر لإنشاء سجلات التدقيق ومعالجتها.
تزايدت أهمية تسجيل حدث التدقيق مع تشريعات الولايات المتحدة والتشريعات العالمية الجديدة الحديثة (ما بعد عام 2000) والتي ألزمت بتطبيق متطلبات التدقيق في أنظمة التشغيل. وقد بدأت المشروعات مفتوحة المصدر مثل أوبن إكس دي إيه إس، وهو مكون هوية مشروع بانديت، في توفير عمليات مراجعة لأمن البرمجيات ليس فقط كتحسين ولكن أيضًا كمطلب. ويعتمد أوبن إكس دي إيه إس على مواصفات خدمة التدقيق الموزعة للمجموعة المفتوحة، وقد بدأ يحتل مكانة بارزة لدى المهتمين بالأمان باعتباره بديلاً أكثر تنظيمًا لتسجيل التدقيق النصي حر الشكل. وتحدد مواصفات إكس دي إيه إس تنسيق حدث مدروس جيدًا لأحداث الأمان ذات الصلة، وهو تصنيف لأنواع الأحداث يشمل معظم سيناريوهات أحداث الأمان ذات الصلة، كما تحدد هذه المواصفات واجهة برمجة التطبيقات (إيه بي آي) الموحدة لإرسال الحدث وإدارته.
إجراء عمليات التدقيق
بوجه عام، يتم إجراء عمليات التدقيق الأمني للحاسوب عن طريق:
- الجهات المنظمة الفيدرالية أو الخاصة بالولاية - مثل المحاسبين المعتمدين أو مدققي أنظمة المعلومات المعتمدين (CISA) أو مكتب خدمات التكنولوجيا الفيدرالي أو مكتب الاتصالات والحوسبة (OCC) أو وزارة العدل الفيدرالية (DOJ)، إلخ.
- المراجعون الداخليون بالشركات - مثل المحاسبين المعتمدين أو مدققي أنظمة المعلومات المعتمدين (CISA)
- موظفو الأمن بالشركة - مثل مديري الأمن أو محترفي أمان أنظمة المعلومات المعتمدين (CISSP) أو مديري أمن المعلومات المعتمدين (CISM).
- موظفو تكنولوجيا المعلومات - خبراء الموضوع وموظفو الدعم
أيضا يمكنكم الاستعانة بفريق من الخبراء من شركات تقنية المعلومات مثل مفهوم البرمجيات و غيرها من الشركات الاحترافية.
مقالات ذات صلة
المراجع
وصلات خارجية
- Information Technology Audit Resources.
- Information Systems and Audit Control Association (ISACA)
- The Institute of Internal Auditors
- The OpenXDAS Distributed Auditing Service project
- The Bandit Project
- OpenBSM Project
- TrustedBSD Project