شرح الفصل الأول من شهادة Security Plus بعنوان Compare and contrast various types of security controls

 

 المجال الأول: General Security Concepts 

 

الفصل الأول :  Compare and contrast various types of security controls

 

 

المجال الأول: المفاهيم العامة للأمن ( General Security Concepts):

يركز المجال الأول من شهادة CompTIA Security Plus SY0-701 على المفاهيم والممارسات الأساسية في الأمن، ويتكون هذا المجال من أربعة فصول، كل منها يقدم فهماً لجوانب مختلفة من cybersecurity.

ستحصل على نظرة عامة حول الأنواع المختلفة من ضوابط الأمن مثل الوقائية، الرادعة، الاستقصائية، التصحيحية، التعويضية، والتوجيهية، وكذلك المستويات المختلفة التي يتم فيها النظر في الأمن، بما في ذلك التقنية، الإدارية، التشغيلية، والفيزيائية. كما ستتعلم عن المفاهيم الأمنية الأساسية مثل CIA Triad، AAA ،  Zero Trust ، الأمن الفيزيائي، والتقنيات المختلفة للخداع.

سيناقش هذا القسم أيضًا عملية إدارة التغيير، حيث يغطي عمليات اتخاذ القرار بين أصحاب المصلحة بشأن القضايا الأمنية التي تؤثر على عمليات الأعمال والآثار التقنية للتغيير، التوثيق، والتحكم في الإصدارات.

أخيرًا، يركز المجال الأول على استخدام الحلول التشفيرية مثل المفاتيح العامة والتشفير والأدوات المتعلقة بها، وكذلك مفاهيم مثل salting ، التوقيعات الرقمية، key stretching ، blockchains، والشهادات.


يتضمن هذا القسم الفصول التالية:

• الفصل الأول: مقارنة وتباين أنواع مختلفة من ضوابط الأمن.
• الفصل الثاني: تلخيص المفاهيم الأمنية الأساسية.
• الفصل الثالث: شرح أهمية عمليات إدارة التغيير وتأثيرها على الأمن.
• الفصل الرابع: شرح أهمية استخدام الحلول التشفيرية المناسبة.

 مقارنة وتباين أنواع مختلفة من ضوابط الأمن (Compare and contrast various types of security controls): 

في بيئة الأمن الحالية، يجب على المؤسسات تبني نهج متعدد الطبقات لحماية أصولها الثمينة وبياناتها الحساسة، وتشكل ضوابط الأمن العمود الفقري لأي بيئة أمنية قوية، حيث تقدم مجموعة من التدابير لتقليل المخاطر، والكشف عن الحوادث، وضمان الامتثال للوائح الحالية، وتعتمد سياسات الشركات على هذه الضوابط كأساس لها.

يغطي هذا الفصل الهدف الأول في المجال الأول "المفاهيم العامة للأمن" ضمن امتحان CompTIA Security Plus،  وسنستعرض في هذا الفصل أنواعًا مختلفة من ضوابط الأمن، بما في ذلك الضوابط التقنية والإدارية والتشغيلية والفيزيائية، ومن ثم سنستكشف الخصائص المميزة والتطبيقات لكل من الضوابط الوقائية، الرادعة، الاستقصائية، التصحيحية، التعويضية، والتوجيهية، مما يتيح للمؤسسات اتخاذ قرارات مستنيرة حول استراتيجياتها الأمنية.


سيوفر لك هذا الفصل نظرة شاملة على سبب اعتماد الشركات على هذه الضوابط للحفاظ على بيئاتها آمنة، مما يضمن استعدادك للإجابة بنجاح على جميع الأسئلة المتعلقة بهذه المفاهيم في امتحان الشهادة.

ملاحظة:

 سيتم توفير تحليل كامل لأهداف الامتحان لهذه الوحدة في نهاية الفصل ضمن قسم أهداف الامتحان .

 فئات الضوابط (Control Categories) :

الفئات الأربع الرئيسية للضوابط هي: التقنية، الإدارية، التشغيلية، والفيزيائية. كل فئة تمثل جانبًا مختلفًا من التحكم داخل المؤسسة وتعد ضرورية لضمان الكفاءة والفعالية والامتثال. يتم شرح كل من هذه الفئات في الأقسام التالية.

 الضوابط التقنية (Technical Controls):

تلعب الضوابط التقنية دورًا حاسمًا في تقليل الثغرات في الأنظمة التقنية للمؤسسة، بما في ذلك شبكات الكمبيوتر، والبرمجيات، وإدارة البيانات، وتركيزها الأساسي هو الحفاظ على سلامة النظام، وتقليل مخاطر الوصول غير المصرح به، وحماية البيانات الحساسة من التهديدات المحتملة، ومن خلال تنفيذ تدابير التحكم التقنية الفعّالة، يمكن للمؤسسات تقليل الثغرات بشكل كبير وتعزيز أمان بنيتها التحتية التكنولوجية، أمثلة على الضوابط التقنية تشمل:

الـ Firewalls:  تعتبر Firewalls ضابطًا تقنيًا شائعًا يستخدم لحماية شبكات الكمبيوتر من الوصول غير المصرح به. حيث تراقب حركة المرور الواردة والصادرة، وتقوم بفلترة وحجب التهديدات المحتملة، مما يقلل من خطر الاختراق غير المصرح به.

Data encryption: هو ضابط تقني يحول المعلومات الحساسة إلى شكل مشفر، مما يجعلها غير قابلة للقراءة من قبل الأفراد غير المصرح لهم. يقلل هذا الإجراء من خطر تسريب البيانات من خلال ضمان بقاء البيانات آمنة وغير قابلة للوصول إليها دون مفتاح فك التشفير.

 الضوابط الإدارية (Managerial Controls):

تلعب الضوابط الإدارية دورًا محوريًا في تقليل المخاطر داخل المؤسسة، وتشمل تنفيذ السياسات والإجراءات والممارسات من قبل الإدارة لتوجيه وإدارة أنشطة الأفراد والفرق، من خلال التخطيط الفعّال، والتنظيم، ومراقبة الأداء، تضمن الضوابط الإدارية أن الموظفين متماشون مع أهداف المؤسسة، مما يقلل من احتمالية حدوث المخاطر ويعزز السلامة التشغيلية الشاملة، ومن خلال توفير توجيه وإشراف واضحين، تساهم الضوابط الإدارية في نهج استباقي لتقليل المخاطر وتساعد في حماية نجاح المؤسسة، تشمل أمثلة الضوابط الإدارية ما يلي:

• Performance reviews: هي ضابط إداري يتضمن تقييمات منتظمة لأداء الموظفين، ومن خلال تقديم الملاحظات، وتحديد الأهداف، وتحديد مجالات التحسين، تساعد مراجعات الأداء في توجيه أنشطة الموظفين بما يتماشى مع أهداف المنظمة وتضمن أن الموظفين يؤدون بفعالية.
  
  
• Risk assessments: هي ضابط إداري يتضمن التعرف المنهجي على المخاطر المحتملة وتقييمها وتخفيفها داخل المؤسسة، وتساعد في تحديد الثغرات، وتقييم احتمالية وتأثير المخاطر، وتطوير استراتيجيات لتقليلها أو تخفيفها، ومن خلال إجراء تقييمات منتظمة للمخاطر، يمكن للإدارة تحديد التهديدات المحتملة ومعالجتها بشكل استباقي، مما يقلل من التعرض العام للمخاطر في المنظمة.
  
  
• Code of conduct: هو مجموعة من الإرشادات والمعايير الأخلاقية التي تضعها الإدارة لتنظيم سلوك الموظفين. يعمل كضابط إداري من خلال تعريف السلوك المقبول، وتعزيز السلوك الأخلاقي، وتقليل مخاطر السلوك غير اللائق داخل المنظمة.

 الضوابط التشغيلية (Operational Controls):

تدور الضوابط التشغيلية حول تنفيذ الأنشطة والعمليات اليومية اللازمة لتقديم السلع والخدمات، وتتضمن هذه الضوابط إدارة الإجراءات التشغيلية، وضمان الالتزام بمعايير الجودة، وتعزيز الإنتاجية، وتحسين الكفاءة، ومن المهم إدراك أن هذه السياسات تُنفذ بواسطة الأشخاص داخل المنظمة الذين يلعبون دورًا حاسمًا في تحقيق سير العمل بسلاسة وزيادة الإنتاجية، ومن خلال تمكين وتوجيه الأفراد في تنفيذ تدابير الضوابط التشغيلية، يمكن للمؤسسات تحسين أدائها العام وتحقيق أهدافها بفعالية، تشمل أمثلة الضوابط التشغيلية ما يلي:

• Incident response procedures: هي ضوابط تشغيلية تحدد الخطوات الواجب اتباعها في حالة حدوث حادث أمني أو اختراق، وتوفر هذه الإجراءات نهجًا منظمًا للكشف عن الحوادث الأمنية، والاستجابة لها، والتعافي منها، ومن خلال وجود إجراءات استجابة للحوادث محددة جيدًا، يمكن للمؤسسات تقليل تأثير الاختراقات الأمنية، وتخفيف المخاطر الإضافية، واستعادة العمليات الطبيعية بفعالية أكبر.
  
  
• Security awareness training: هو ضابط تشغيلي يهدف إلى توعية الموظفين بالتهديدات الأمنية، وأفضل الممارسات، وسياسات المنظمة، ويسعى التدريب إلى تعزيز ثقافة واعية بالأمن، وتحسين قدرة الموظفين على التعرف على التهديدات والاستجابة لها، وتشجيع السلوك المسؤول لحماية أصول الشركة وبياناتها، ومن خلال توفير جلسات تدريبية منتظمة وتحديثات، تقلل المؤسسات من مخاطر الحوادث الأمنية الناتجة عن أخطاء بشرية أو إهمال وتبني دفاعًا استباقيًا ضد التهديدات الإلكترونية.
  
  
• User access management: هو ضابط تشغيلي يتضمن إدارة والتحكم في صلاحيات وصول المستخدمين إلى الأنظمة، والتطبيقات، والبيانات، ويشمل ذلك عمليات تخصيص الصلاحيات، وطلبات الوصول، وإلغاء الوصول، ومراجعات الصلاحيات الدورية، من خلال تنفيذ ضوابط قوية لإدارة وصول المستخدمين، يمكن للمؤسسات تقليل مخاطر الوصول غير المصرح به، وحماية المعلومات الحساسة، وضمان توافق صلاحيات الوصول مع أدوار ومسؤوليات المستخدمين.

تذكير:

 الضوابط التقنية تقلل من المخاطر ويتم تنفيذها من قبل فريق الأمن.

 الضوابط الفيزيائية (Physical Controls):
 
الضوابط الفيزيائية تشكل جزءًا حيويًا من الأمان العام، حيث تركز على حماية الأصول الملموسة، والمرافق، والموارد الخاصة بالمنظمة، و تشمل مجموعة من التدابير والتقنيات التي تهدف إلى منع الوصول غير المصرح به، وضمان السلامة، والتخفيف من المخاطر الأمنية الفيزيائية، وأحد العناصر الرئيسية في الضوابط الفيزيائية هو تنفيذ أنظمة التحكم في الوصول القوية، وتستخدم هذه الأنظمة آليات مختلفة (مثل بطاقات الوصول، أو التعرف البيومتري، أو رموز PIN) لتنظيم وتقييد الدخول إلى مناطق معينة داخل المنشأة، ومن خلال التحكم في من يمكنه الوصول إلى المناطق الحساسة أو المحظورة، يمكن للمؤسسات تقليل مخاطر أن يقوم أفراد غير مصرح لهم باختراق الأمن أو الوصول إلى الأصول الحيوية. فيما يلي أمثلة على الضوابط الفيزيائية:

• Access control vestibule: هو منطقة صغيرة مغلقة تحتوي على بابين وتخلق منطقة عازلة بين البيئة الخارجية والمنطقة المؤمنة. عادةً ما يتطلب من الأفراد المرور عبر خطوات تحقق متعددة (مثل تقديم بطاقة دخول أو الخضوع للتحقق البيومتري) قبل أن يتمكنوا من الدخول إلى المنطقة المؤمنة.
  
  
• Biometric locks: تستخدم الأقفال البيومترية خصائص فيزيائية أو سلوكية فريدة، مثل بصمات الأصابع، أو نمط القزحية، أو التعرف على الوجه، لمنح الوصول. تقوم هذه الأقفال بمسح البيانات البيومترية ومقارنتها بالقوالب المخزنة للتحقق من هوية الشخص الذي يحاول الدخول.
  
  
• Guards/security personnel: توظيف حراس أو أفراد أمن هو إجراء فيزيائي شائع، يعملون كرادع مرئي ويمكنهم التدخل جسديًا والاستجابة في حالة حدوث اختراقات أمنية، يتمركز الحراس عادةً عند نقاط الدخول وتشمل مسؤولياتهم مراقبة أنظمة المراقبة، وإجراء دوريات، وتطبيق بروتوكولات الأمن.
  
  
• Security fences: وتستخدم الحواجز الفيزيائية مثل الأسوار الأمنية لردع الوصول غير المصرح به إلى المنشآت أو المناطق المحظورة، وتصنع هذه الأسوار عادة من مواد متينة مثل المعدن أو الأسلاك عالية الشد، ويمكن تجهيزها بميزات إضافية مثل الأسلاك الشائكة أو التيارات الكهربائية لتعزيز الأمن.
  
  
• CCTV surveillance systems: وتستخدم أنظمة المراقبة بالتلفزيون الدائري (CCTV) كاميرات لمراقبة وتسجيل الأنشطة في مناطق معينة، توضع عادة في مواقع استراتيجية لتوفير تغطية لنقاط الدخول، والممرات، ومواقف السيارات، وغيرها من المناطق الحيوية. تساعد أنظمة CCTV في تحديد الاختراقات الأمنية، والتحقيق في الحوادث، وردع التهديدات المحتملة.
  
  
• Mantraps: هي مناطق مغلقة تسمح لشخص واحد فقط بالمرور في كل مرة. تتكون عادة من بابين أو بوابتين متداخلتين، ويجب إغلاق الباب الأول وإقفاله قبل فتح الباب الثاني، مما يضمن أن الأفراد المصرح لهم فقط يمكنهم المرور عبر الم نطقة المسيطر عليها.
  
  
• Vehicle barriers: تستخدم هذه الضوابط الفيزيائية لمنع المركبات غير المصرح لها من الوصول إلى مناطق معينة. يمكن أن تتخذ هذه العوائق شكل أعمدة، بوابات، مسامير الإطارات، أو عوائق هيدروليكية يمكن رفعها أو خفضها للتحكم في وصول المركبات إلى المنشأة.
  
  
• Tamper-evident seals: تستخدم الأختام المانعة للعبث لتأمين الحاويات، أو المعدات، أو المناطق الحساسة، وصممت هذه الأختام لإظهار علامات واضحة على العبث أو الوصول غير المصرح به، مثل كسر الختم أو تغيير لونه، مما يشير إلى أن شخصًا ما قد حاول الوصول إلى العنصر المؤمّن أو العبث به.
  
  
• Panic buttons/alarms: توفر أزرار الطوارئ أو الإنذارات وسيلة سريعة ومرئية لتنبيه أفراد الأمن أو السلطات في حالة الطوارئ أو حدوث اختراق أمني، ويمكن تركيب هذه الأجهزة في مواقع مختلفة في المنشأة وتكون عادة سهلة الوصول للموظفين أو شاغلي المكان.

تذكير:

 تسمى الضوابط الفيزيائية بهذا الاسم لأنها ملموسة ويمكن لمسها.

 أنواع الضوابط (Control Types):

أنواع الضوابط هي عناصر أساسية في نظام الإدارة الفعّال الذي يساعد المؤسسات في تحقيق أهدافها وضمان سير العمليات بسلاسة، فيما يلي تعريف لكل نوع من هذه الضوابط مع أمثلة توضيحية:

• Preventive controls: تهدف هذه الضوابط إلى منع حدوث المشاكل أو المخاطر في المقام الأول، وتركز على القضاء على التهديدات المحتملة أو تقليلها قبل أن تسبب أي ضرر، ومن أمثلة الضوابط الوقائية: تثبيت جدار حماية (Firewall) لمنع الوصول غير المصرح به إلى الشبكات الحاسوبية باستخدام قوائم التحكم في الوصول (ACLs)، وبرامج تدريب الموظفين لتثقيفهم حول إجراءات السلامة ومنع الحوادث في مكان العمل، وفحوصات الجودة في عملية التصنيع لمنع العيوب.
• Deterrent controls: تهدف ضوابط الردع إلى تثبيط الأفراد عن القيام بسلوكيات أو أنشطة غير مرغوبة، تخلق تصورًا للمخاطر أو العواقب السلبية لردع المخالفين المحتملين، من أمثلة ضوابط الردع: كاميرات المراقبة في الأماكن العامة لردع النشاط الإجرامي، ولافتات تحذيرية تشير إلى وجود نظام أمني لثني اللصوص، وكلمات مرور قوية والمصادقة المتعددة العوامل لردع الوصول غير المصرح به إلى الحسابات الإلكترونية.
• Detective controls: تُنفذ الضوابط الكاشفة لتحديد واكتشاف المشاكل أو المخاطر التي حدثت بالفعل، وتساعد في الكشف عن القضايا والشذوذ بسرعة لبدء الإجراءات التصحيحية، ومن أمثلة الضوابط الكاشفة: التدقيق المالي الدوري لتحديد المخالفات المحاسبية أو الاحتيال، وأنظمة إدارة المعلومات والأحداث الأمنية (SIEM) التي تجمع وتربط بيانات السجلات من مصادر متعددة لتوفير رؤية شاملة للأنشطة الشبكية وتمكين الكشف عن الأنماط أو السلوكيات المشبوهة.
• 
  
• Corrective controls: توضع الضوابط التصحيحية لمعالجة المشاكل أو المخاطر بعد تحديدها، وتهدف إلى تصحيح الوضع، وتقليل التأثير، واستعادة الوضع الطبيعي، من أمثلة الضوابط التصحيحية: تنفيذ نظام نسخ احتياطي واستعادة البيانات بعد فشل النظام، وتنفيذ تصحيحات أو تحديثات لمعالجة الثغرات الأمنية في البرمجيات.
• 
  
• Compensating controls: الضوابط التعويضية هي تدابير بديلة تُنفذ عندما لا تكون الضوابط الأساسية ممكنة أو كافية، وتساعد في تعويض القيود أو النواقص في الضوابط الأخرى، ومن أمثلة الضوابط التعويضية: طلب موافقات إضافية للمعاملات المالية في غياب أنظمة التحكم الآلية، واستخدام طريقة مصادقة ثانوية عندما تفشل الطريقة الأساسية أو تكون غير متاحة، وزيادة تدابير الأمن الفيزيائي عندما يتم اختراق الضوابط التقنية.
• Directive controls: الضوابط التوجيهية تشمل تقديم تعليمات أو إرشادات محددة لضمان الامتثال للسياسات، والإجراءات، أو اللوائح، توفر إطارًا واضحًا للموظفين ليتبعوه. من أمثلة الضوابط التوجيهية: مدونة السلوك أو الإرشادات الأخلاقية التي تحدد السلوك المقبول داخل المؤسسة، والإجراءات التشغيلية القياسية (SOPs) التي تفصل التعليمات خطوة بخطوة لإتمام المهام، والمتطلبات التنظيمية التي تفرض إجراءات تقارير محددة للمؤسسات المالية.

تعمل هذه الأنواع من الضوابط معًا لإنشاء بيئة تحكم شاملة تحمي أصول المنظمة، وتعزز الامتثال، وتمكن من إدارة المخاطر بشكل فعال.

تذكير:

 تأكد من دراسة الضوابط الوقائية، الكاشفة، الرادعة، والتعويضية بعناية.

 ملخص (Summary):

استعرض هذا الفصل فئات الضوابط التي تساعد في الحفاظ على الأمن والكفاءة داخل المؤسسات، وتعلمنا أن الضوابط التقنية تستخدم التكنولوجيا المتقدمة لحماية الأنظمة والمعلومات، وأن الضوابط الإدارية تُنشئ سياسات وإجراءات لتوجيه العمليات والإشراف عليها، وأن الضوابط التشغيلية تضمن أن الأنشطة اليومية تلتزم بالعمليات المحددة، وأن الضوابط الفيزيائية تتضمن تدابير ملموسة لحماية الأصول والمنشآت، وتعمل هذه الفئات معًا لخلق إطار تحكم شامل، يجمع بين وسائل الحماية التكنولوجية، والإدارة الفعّالة، والعمليات المجهزة، وتدابير الأمن الفيزيائي، مما يعزز بيئة تنظيمية آمنة ومُدارة بشكل جيد.

المعرفة المكتسبة في هذا الفصل ستجهزك للإجابة على أي أسئلة تتعلق بالهدف الأول من امتحان CompTIA Security Plus الخاص بك.

النهاية:
المعرفة المكتسبة في هذا الفصل ستجهزك للإجابة على أي أسئلة تتعلق بالهدف الأول من امتحان CompTIA Security Plus الخاص بك ، وها قد أنتهى الأول من تقديمه الفئات الأولية للأمان داخل المؤسسات ، لم كن الفصل كبير ولكنه بسيط في الشرح ، تستطيع الانضمام إلينا من خلال الرابط التالي.