منتديات اليسير للمكتبات وتقنية المعلومات - عرض مشاركة واحدة

مكتبية · May-24-2004, 03:56 AM

ماهو الأمنهو حماية أصول وموارد نظام ما بطرق مشروعة, كذلك هو أداة تنظيم العلاقات والاتصالات داخل النظام دون أن يؤثر على قدرة مستخدمي النظام على الأداء. وهو لا يمنع الجريمة أو الاختراق نهائيا, ولكن كلما كان النظام الأمني قويا ودقيقا كان الاختراق والجريمة في أحد الصور الآتية: 1. مكلفة, بمعنى أن تكون تكاليف الاقتحام أو الاختراق باهظة .2. تحتاج إلى وقت طويل يمكن خلاله اكتشاف المخترق.3. تحتاج إلى وقت طويل مما سهل اكتشافها.مفهوم الأمن هو تامين حياة البشر وكذا ممتلكاتهم سواء كانت شخصية آو ممتلكات عامة تمتلكها الدولة , ومنذ قديم الأزل اكتشف الإنسان بفطرته حاجته للحماية منذ الإنسان الحجري إلى وقتنا الحاضر , وكان نظام الأمن في مفهومه الفطري هو تأمين حياته من كل الأخطار , ثم تطور ذلك المفهوم مع ظهور المعادن والحاسبات الآلية , وبدخول الحاسبات الإليكترونية في مجالات تامين الأشخاص أو المنشآت أو الإدارات والمصالح الحكومية التي تقدم أعمالا ً حيوية ذات طبيعة سرية حدثت طفرة هائلة في نظام التأمين المختلفة من وقاية ضد التخريب والحريق والسرقة والاختلاس والتسلل والتزوير والتعرف على الأشخاص حيث تستخدم أجهزة مساعدة تقوم بعمل التحضيرات الأولية وتأخذ العينات لتسلمها كمعطيات للحاسب الآلي ليقوم بإصدار القرار المناسب لكل حالة حسب الإجراءات المتفق عليها والتي تم برمجته مسبقاً على أن يقوم بها .إن الأجهزة الأمنية وأجهزة العدالة الجنائية في مختلف الدول تهدف إلى منع الجريمة والعمل على الوقاية منهما بشتى السبل والوسائل . وان المجتمعات الإنسانية ومنها المنطقة العربية عرفت جرائم مختلفة واجهتها بأساليب متعددة ومتنوعة , لكن التطور التقني الذي تعيشه اليوم كافة مناطق العالم وبلدانه , والمتمثل باستخدام الكمبيوتر ونظم المعلومات , أدى إلى استحداث جرائم لم تكن معروفة من قبل , ولذا فهي كثيرا ما تدعى بالجرائم من نوع فريد , تحتاج إلى تشريعات خاصة , وإلى وسائل إثبات مختلفة عما الفناه في الماضي , بل وإلى كفاءات مدربة ومؤهلة على نحو يجعلها قادرة على مواجهة ومكافحة هذا النوع من الجرائم . كما أن جرائم نظم المعلومات انتشرت خلال السنوات الأخيرة في الدول الصناعية , ولم تعد منطقتنا العربية بمنأى عنها نتيجة التطور الكبير الذي تشهده الدول العربية .كما أن هذا يستدعي من الجهات العربية المختصة أن تكون على مستوى الأحداث في إعداد البرامج ووضع الخطط واستحداث الأنظمة والتشريعات التي تساعد على مواجهة جرائم المعلومات وردع مقترفيها . ماهية المعلومات يعيش العالم الآن فترة غير مسبوقة في تاريخ التطور والتقدم، حيث تلاحق المتغيرات والمتحولات وتتصاعد قوى التغيير في مواطن كثيرة من العالم وتتبدل النظم السياسية والاقتصادية والاجتماعية مع ظهور عالم من التكتلات الاقتصادية بدءً من السوق الأوروبية إلى مجموعة النمور السبعة إلى المنظمة العالمية للتجارة. الكل في سباق لاهث يحاول أن يجد لنفسه مكاناً في النظام العالمي الجديد. ومع تحول المجتمعات من التكنولوجيا المحدودة البسيطة إلى التكنولوجيا العالمية العالية، والتحول من المركزية إلى اللامركزية، والتحول من التفكير في البدائل المتعارضة والمتنافسة على البدائل المتكاملة والمتداخلة أدت كل التحولات إلى ظهور مجتمع شبكات المعلومات ونظم المعلومات ، وأثرها في دعم واتخاذ القرارات السليمة. المقصود بأمــــن المعلوماتأمن المعلومات ، من زاوية أكاديمية ، "هو العلم الذي يبحث في نظريات واستراتيجيات توفير الحماية للمعلومات من المخاطر التي تهددها ومن أنشطة الاعتداء عليها" . ومن زاوية تقنية ، "هو الوسائل والأدوات والإجراءات اللازم توفيرها لضمان حماية المعلومات من الأخطار الداخلية والخارجية" . ومن زاوية قانونية ، "فان أمن المعلومات هو محل دراسات وتدابير حماية سرية وسلامة محتوى وتوفر المعلومات ومكافحة أنشطة الاعتداء عليها أو استغلال نظمها في ارتكاب الجريمة" ، وهو هدف وغرض تشريعات حماية المعلومات من الأنشطة غير المشروعة وغير القانونية التي تستهدف المعلومات ونظمها ( جرائم الكمبيوتر والإنترنت) . واستخدام اصطلاح أمن المعلومات Information Security وان كان استخداماً قديماُ سابقاً لولادة وسائل تكنولوجيا المعلومات ، إلا انه وجد استخدامه الشائع بل والفعلي ، في نطاق أنشطة معالجة ونقل البيانات بواسطة وسائل الحوسبة والاتصال ، إذ مع شيوع الوسائل التقنية لمعالجة وخزن البيانات وتداولها والتفاعل معها عبر شبكات المعلومات- وتحديداً الإنترنت – احتلت أبحاث ودراسات أمن المعلومات مساحة رحبة آخذة في النماء من بين أبحاث تقنية المعلومات المختلفة ، بل ربما أمست أحد الهواجس التي تؤرق مختلف الجهات.( عناصر أمن المعلومات) إن أغراض أبحاث واستراتيجيات ووسائل أمن المعلومات – سواء من الناحية التقنية أو الادائية - وكذا هدف التدابير التشريعية في هذا الحقل ، ضمان توفر العناصر التالية لأية معلومات يراد توفير الحماية الكافية لها :- ü السرية أو الموثوقية CONFIDENTIALITY : وتعني التأكد من أن المعلومات لا تكشف ولا يطلع عليها من قبل أشخاص غير مخولين بذلك .درجات السرية للمعلومات : 1. سري : للوثائق والمعلومات التي تتعلق بالأفراد كالتقارير السرية .2. سري جداً : للوثائق والمعلومات التي تتعلق بموضوعات يضر إفشاء سريتها بالصالح العام لإحدى الوزارات أو الأجهزة الحكومية مثل المشروعات والتقارير التي لاتزال قيد البحث .3. سري للغاية : للوثائق والمعلومات التي تتعلق بموضوعات يضر إفشاء سريتها بالصالح العام للدولة مثل المسائل العسكرية والدبلوماسية .4. محظور الاطلاع عليه : للوثائق والمعلومات التي تتعلق بالخطط العسكرية الهامة , وأسئلة الامتحانات.حالات إفشاء المعلومات السرية : 1. نتيجة إهمال المسؤولين في التحفظ على الوثائق مما يتيح فرصة الاطلاع عليها .2. نتيجة للتفوه بالبيانات دون قصد .3. نتيجة للحصول على اصل الوثيقة أو نسخة منها بطريقة غير شرعية .4. نتيجة الحصول على البيانات عن الوثيقة السرية بطريق غير مشروع دون الحصول على اصلها.الاحتياطات التي يجب مراعاتها لضمان أمن المعلومات السرية :1. عند نسخ الوثائق السرية لابد من تحديد النسخ وبعد الانتهاء من النسخ يجب إعدام المسودات .2. تحديد الأفراد المكلفين بنسخ الوثائق ويتم ذلك بتسجيل حرفين من اسمهم اسفل كل وثيقة .3. لا يجوز نسخ صور من الوثائق السرية إلا بأذن من السلطة المختصة مع إرفاق تصريح بذلك .4. عند نسخ الوثائق توضع في مظاريف سميكة وتلصق جيداً .5. يجب ختم المظاريف السرية بأختام السرية بدرجاتها .6. لاتنقل الوثائق السرية من مكان حفظها إلى مكان آخر إلا في حالة طلبها رسمياً .7. حفظ الوثائق في أماكن مأمونة كالخزائن الحديدية أو الدواليب ذات الأقفال المضادة للحرائق .8. لا يطلع أي شخص غير مختص على الوثائق إلا بتصريح من السلطة ويرفق التصريح مع الوثائق السرية مسجلاً عليه تاريخ الاطلاع حتى يمكننا تحديد المسئولية في حالة إفشاء السرية. ü التكاملية وسلامة المحتوى INTEGRITY : التأكد من أن محتوى المعلومات صحيح ولم يتم تعديله أو العبث به وبشكل خاص لن يتم تدمير المحتوى أو تغيره أو العبث به في أية مرحلة من مراحل المعالجة أو التبادل سواء في مرحلة التعامل الداخلي مع المعلومات أو عن طريق تدخل غير مشروع . ü استمرارية توفر المعلومات أو الخدمة AVAILABILITY :- التأكد من استمرار عمل النظام المعلوماتي واستمرار القدرة على التفاعل مع المعلومات وتقديم الخدمة لمواقع المعلوماتية وان مستخدم المعلومات لن يتعرض إلى منع استخدامه لها أو دخوله إليها .ü عدم إنكار التصرف المرتبط بالمعلومات ممن قام به Non-repudiation :- ويقصد به ضمان عدم إنكار الشخص الذي قام بتصرف ما متصل بالمعلومات أو مواقعها إنكار انه هو الذي قام بهذا التصرف ، بحيث تتوفر قدرة إثبات أن تصرفاً ما قد تم من شخص ما في وقت معين .خطة حماية المعلوماتان ضمان عناصر أمن المعلومات كلها او بعضها يعتمد على المعلومات محل الحماية واستخداماتها وعلى الخدمات المتصلة بها ، فليس كل المعلومات تتطلب السرية وضمان عدم الافشاء ، وليس كل المعلومات في منشأة واحدة بذات الاهمية من حيث الوصول لها او ضمان عدم العبث بها ، لهذا تنطلق خطط أمن المعلومات من الاجابة عن سلسلة تساؤلات متتالية :- ü التساؤل الأول :- ما الذي نريد أن نحميه ؟؟ وإجابة هذا التساؤل تحدد تصنيف البيانات والمعلومات من حيث أهمية الحماية ، إذ تصنف المعلومات تبعا لكل حالة على حده ، من معلومات لا تتطلب الحماية ، إلى معلومات تتطلب حماية قصوى ( انظر شكل 1 ). شكل رقم 1 وحدات المعلومات كاملة ü التساؤل الثاني :- ما هي المخاطر التي تتطلب هكذا حماية ؟؟ وتبدأ عملية تحديد المخاطر بتصور كل خطر قد يمس المعلومات محل الحماية أو يهدد أمنها ، ابتداء من قطع مصدر الكهرباء عن الكمبيوتر وحتى مخاطر اختراق النظام من الخارج بواحد أو اكثر من وسائل الاختراق عبر نقاط الضعف ، مرورا بإساءة الموظفين استخدام كلمات السر العائدة لهم ، ويشار إلى تصنيف هذه المخاطر ضمن قوائم تبعا لاساس التصنيف ، فتصنف كمخاطر من حيث مصدرها ومن حيث وسائل تنفيذها ، ومن حيث غرض المتسببين بهذه المخاطر ، ومن حيث أثرها على نظام الحماية وعلى المعلومات محل الحماية. وهو ما سنقف لاحقا عليه بشكل تفصيلي . ومتى ما تم الانتهاء من هذا التحديد يجري الانتقال إلى التساؤل التالي .ü التساؤل الثالث :- كيف يتم توفير الحماية لما نرغب بحمايته من المخاطر التي تم تحديدها ( وسائل الحماية ) ؟؟ وهنا تجد كل منشاة وكل هيئة طريقتها الخاصة في توفير الأمن من المخاطر محل التحديد وبحدود متطلبات حماية المعلومات المخصوصة التي تم تحديدها وبحدود إمكاناتها المادية والميزانية المخصصة للحماية ، فلا تكون إجراءات الأمن رخوة ضعيفة لا تكفل الحماية وبالمقابل لا تكون مبالغا بها إلى حد يؤثر على عنصر الأداء في النظام محل الحماية ، إذ لو تصورنا شخصا أراد حماية النقود الموجودة في منزله ، فانه من المقبول وضعها مثلا في قاصة حديدية ووضع حديد حماية مثلا على نوافذ المنزل ، أو وضع جرس إنذار لأي اقتحام للمنزل وربما يمكن قبول هذه الوسائل الثلاث لتوفير الأمن من أنشطة سرقة هذا المال . لكن ليس منطقيا بل مبالغا فيه أن يحمي هذا الشخص ماله بان يضع حراسا ( أشخاصا ) على منزله ، ويضع صواعق كهربائية على الأسوار الخارجية ، ومن ثم يضع حديد حماية على الأبواب والنوافذ ، ويضيف إلى ذلك جرس إنذار لكل نقطة في المنزل ، فإذا ما دخلنا إلى المنزل وجدنا كاميرات مراقبة عند كل نقطة ، ووجدنا بعدها أن الغرفة التي تحتوي القاصة الحديدية لا يسمح بالدخول إليها إلا بعد تجاوز إجراءات تعريف خاصة كبطاقة تعريف أو رقم سري على الأقفال أو غير ذلك ، فإذا ما دخلنا الغرفة وجدنا أننا لسنا أمام قاصة حديدية عادية ، وإنما خزانة حفظ تفتح بقفل وقتي أو ساعة وقتية ، أو تفتح بمفتاحين أو اكثر وبأرقام سرية متعددة أو غير ذلك من أنماط القاصات المعقدة بل ووجدنا أن فتحها يتطلب ابتداء إلغاء جرس إنذار خاص بالقاصة نفسها . أن هكذا حماية لا يمكن أن تكون مقبولة ، لأنها ببساطة تجعل عملية حصول الشخص نفسه على بعض المال من بين نقوده عملية معقدة قد تدفعه لاحقا إلى إهمال كل إجراءات الأمن هذه فيكون اكثر عرضة للسرقة من غيره ، وهذا ما نسميه التأثير على صحة الأداء وفعاليته . وفي بيئة المعلومات ، فمن الطبيعي مثلا أن نضع على جهاز الكمبيوتر الشخصي كلمة سر للولوج إلى الملفات الهامة أو حتى للنظام كله وان لا نعطي الكلمة لاحد ، وان نضع برنامجا أو اكثر لمقاومة الفيروسات الإلكترونية الضارة ، ونراعي إجراءات مقبولة في حماية الدخول إلى شبكة الإنترنت والتأكد من مصدر البريد الإلكتروني مثلا . فإذا كان الكمبيوتر خاص بدائرة أو منشاة ويضم بيانات هامة ومصنف أنها سرية ، كان لزاما زيادة إجراءات الأمن ، فمثلا يضاف للنظام جدران نارية تحد من دخول أشخاص من الخارج وتمنع اعتداءات منظمة قد يتعرض لها النظام أو الموقع المعلوماتي ، وإذا كان النظام يتبادل رسائل إلكترونية يخشى على بياناتها من الإفشاء ، تكون تقنيات التشفير مطلوبة بالقدر المناسب . لكن لا يقبل مثلا على جهاز كمبيوتر خاص غير مرتبط بشبكة عامة أن توضع أنواع متعددة من الجدران النارية ، أو أن يوضع على أحد مواقع الإنترنت وسائل تعريف متعددة لشخص المستخدم ، ككلمة السر والبصمة الإلكترونية والبصمة الصوتية ، وان يخضع نظام الموقع إلى عدد مبالغ به من الفلترات والجدران النارية ، وتشفير طويل المدى لكافة البيانات الموجودة عليه والمتبادلة عبره ، وأيضا لا يقبل موقع أمني يضم بيانات سرية للغاية مجرد الاقتصار على كلمة سر للدخول للنظام . بمعنى أن إجراءات الحماية تنطلق من احتياجات الحماية الملاءمة ، فان زادت عن حدها أمست ذات اثر سلبي على الأداء ، فاصبح الموقع أو النظام بطيئا وغير فاعل في أداء مهامه الطبيعية ، وان نقصت عن الحد المطلوب ، ازدادت نقاط الضعف واصبح اكثر عرضة للاختراق الداخلي والخارجي . فإذا فرغنا من اختيار وسائل الحماية التقنية واستراتيجياتها الإدارية والادائية الملائمة ، انتقلنا بعدئذ إلى التساؤل الأخير.ü التساؤل الرابع :- ما العمل أن تحقق أي من المخاطر رغم وسائل الحماية ؟؟ وإجابة هذا التساؤل هو ما يعرف بخطط مواجهة الأخطار عند حصولها ، وتتضمن مراحل متتالية ، تبدأ من مرحلة الإجراءات التقنية والإدارية والإعلامية والقانونية اللازمة عند حصول ذلك ، ومرحلة إجراءات التحليل لطبيعية المخاطر التي حصلت وسبب حصولها وكيفية منع حصولها لاحقا . وأخيرا إجراءات التعافي والعودة إلى الوضع الطبيعي قبل حصول الخطر مع مراعاة تنفيذ ما أظهره التحليل عن كيفية حصول المخاطر وضمان عدم حصولها . إذن ، وفي الوقت التي تتطلب بعض المعلومات كالمتصلة بالأمن القومي والأسرار العسكرية مثلا ايلاء عنصري السرية والتكاملية أقصى درجات الاهتمام ، نجد بالنسبة للبنوك انه إضافة للعنصرين المتقدمين يتعين بالنسبة للنظام نفسه ايلاء عنصر الاستمرارية ذات القدر من الأهمية ، فان عملت المصارف في حقل البنوك الإلكترونية أو الخدمات المصرفية الإلكترونية عن بعد ، كان عنصر عدم الإنكار بنفس أهمية بقية العناصر . ونجد أن مواقع الإنترنت مثلا تتطلب ايلاء عنصر الاستمرارية الاهتمام الأكبر ، في حين أن مواقع التجارة الإلكترونية من بين مواقع الإنترنت تتطلب الحرص على توفير عناصر الحماية الأربعة بنفس القدر والأهمية إذ تحتاج ضمان السرية ، وتحديدا بالنسبة للبيانات الخاصة بالزبائن كأرقام بطاقات الائتمان ، وتتطلب التكاملية والسلامة بالنسبة للبيانات المتبادلة عبر الرسائل الإلكترونية بين الزبون والموقع ، فلا يصل أمر الشراء مثلا وقد لحقه تغيير أو تحريف ما ، وتتطلب استمرارية الموقع في تقديم خدماته وقدرة الزبون على الولوج إليه طوال وقت سريان عملية التصفح والشراء بل وفي أي وقت يريد للدخول إلى الموقع ، وتتطلب ضمان عدم إنكار الزبون أن التصرف الذي أجراه على الموقع ( كطلب الشراء ) قد صدر عنه أو إنكار الموقع نفسه انه تعاقد مع الزبون في شان ما .ماهي العمليات الأساسية لأمن المعلومات تتعدد عمليات التعامل مع المعلومات في بيئة النظم وتقنيات المعالجة والاتصال وتبادل البيانات ، ولكن يمكن بوجه عام تحديد العمليات الرئيسة التالية :- 1. تصنيف المعلومات Information classification :وهي عملية أساسية لدى بناء أي نظام أو في بيئة أي نشاط يتعلق بالمعلومات وتختلف التصنيفات حسب المنشاة مدار البحث ، فمثلا قد تصنف المعلومات إلى معلومات متاحة ، وموثوقة ، وسرية ، وسرية للغاية أو قد تكون معلومات متاح الوصول إليها وأخرى محظور التوصل إليها وهكذا .2. التوثيق Documentation :وتتطلب عمليات المعلومات أساسا اتباع نظام توثيق خطي لتوثيق بناء النظام وكافة وسائل المعالجة والتبادل ومكوناتها . وبشكل رئيس فان التوثيق لازم وضروري لنظام التعريف والتخويل ، وتصنيف المعلومات ، والأنظمة التطبيقية . وفي إطار الأمن ، فان التوثيق يتطلب أن تكون استراتيجية أو سياسة الأمن موثقة ومكتوبة وان تكون إجراءاتها ومكوناتها كاملة محل توثيق ، إضافة إلى خطط التعامل مع المخاطر والحوادث ، والجهات المسؤولة ومسؤولياتها وخطط التعافي وادارة الأزمات وخطط الطوارئ المرتبطة بالنظام عند حدوث الخطر .3. المهام والواجبات الإدارية والشخصية Administration and Personnel Responsibilities :إن مهام المتصلين بنظام أمن المعلومات تبدأ في الأساس من حسن اختيار الأفراد المؤهلين وعمق معارفهم النظرية والعملية ، على أن يكون مدركا أن التأهيل العملي يتطلب تدريبا متواصلا ولا يقف عند حدود معرفة وخبرة هؤلاء لدى تعيينهم ، وبشكل رئيس فان المهام الإدارية أو التنظيمية تتكون من خمسة عناصر أو مجموعات رئيسة :- تحليل المخاطر ، وضع السياسة أو الاستراتيجية ، وضع خطة الأمن ، وضع البناء التقني الأمني – توظيف الأجهزة والمعدات والوسائل ، و أخيرا تنفيذ الخطط والسياسات .ومن المهم إدراك أن نجاح الواجبات الإدارية أو الجماعية للمنشأة يتوقف على إدراك كافة المعنيين في الإدارة ( بمهامهم التقنية والإدارية والمالية ) استراتيجية وخطة وواجبات الأمن والتزام المؤسسة باعتبار مسائل الأمن واحدا من الموضوعات التي يدركها الكافة ويتمكن الكل من التعامل مع ما يخص واجباتهم من بين عناصر الأمن . وعلى المستوى الشخصي أو مستوى المستخدمين ، فان على المؤسسة أن تضع التوجيهات الكافية لضمان وعي عام ودقيق بمسائل الأمن ، بل المطلوب بناء ثقافة الأمن لدى العاملين والتي تتوزع بين وجوب مراعاة أخلاقيات استخدام التقنية وبين الإجراءات المتطلبة من الكل لدى ملاحظة أي خلل ، وعلى المؤسسة أن تحدد للمستخدمين ما يتعين عليهم القيام به والاهم ما يحظر عليهم القيام به في معرض استخدامهم للوسائل التقنية المختلفة .4. وسائل التعريف والتوثق من المستخدمين وحدود صلاحيات الاستخدام Identification and Authorization :إن الدخول إلى أنظمة الكمبيوتر وقواعد البيانات ومواقع المعلوماتية عموما ، يمكن تقييده بالعديد من وسائل التعرف على شخصية المستخدم وتحديد نطاق الاستخدام ، وهو ما يعرف بأنظمة التعريف والتخويل Identification and Authorization systems. . والتعريف أو الهوية مسالة تتكون من خطوتين ، الأولى وسيلة التعريف على شخص المستخدم ، والثانية قبول وسيلة التعريف أو ما يسمى التوثق من صحة الهوية المقدمة . ووسائل التعريف تختلف تبعا للتقنية المستخدمة ، وهي نفسها وسائل أمن الوصول إلى المعلومات أو الخدمات في قطاعات استخدام النظم أو الشبكات أو قطاعات الأعمال الإلكترونية ، وبشكل عام ، فان هذه الوسائل تتوزع إلى ثلاثة أنواع :- 1 - شئ ما يملكه الشخص مثل البطاقة البلاستيكية أو غير ذلك . 2 – شئ ما يعرفه الشخص مثل كلمات السر أو الرمز أو الرقم الشخصي غير ذلك 3– شيء ما يرتبط بذات الشخص أو موجود فيه مثل بصمة الإصبع أو بصمة العين والصوت وغيرها . وتعد وسائل التعريف والتوثق الأقوى ، تلك الوسائل التي تجمع بين هذه الوسائل جميعا على نحو لا يؤثر على سهولة التعريف وفعاليته في ذات الوقت . وأيا كانت وسيلة التعريف التي سيستتبعها توثق من قبل النظام authentication ، فإنها بذاتها وبما ستصل باستخدامها تخضع لنظام أمن وإرشادات أمنية يتعين مراعاتها ، فكلمات السر على سبيل المثال ، وهي الأكثر شيوعا من غيرها من النظم ، تتطلب أن تخضع لسياسة مدروسة من حيث طولها ومكوناتها والابتعاد عن تلك الكلمات التي يسهل تخمينها أو تحريها وكذلك خضوع الاستخدام لقواعد عدم الاطلاع وعدم الإفشاء والحفاظ عليها .ومتى ما استخدمت وسائل تعريف ملائمة لإتاحة الوصول للنظام ، ومتى ما تحققت عملية التوثق والمطابقة والتأكد من صحة التعريف (الهوية) فان المرحلة التي تلي ذلك هي تحديد نطاق الاستخدام Authorization وهو ما يعرف بالتخويل أو التصريح باستخدام قطاع ما من المعلومات في النظام ، وهذه المسالة تتصل بالتحكم بالدخول أو التحكم بالوصول إلى المعلومات أو أجزاء النظام Access Control system . ( انظر البند 5 )5. سجل الأداء Logging :تحتوى مختلف أنواع الكمبيوترات نوعا ما من السجلات التي تكشف استخدامات الجهاز وبرمجياته والنفاذ إليه ، وهي ما يعرف بسجلات الأداء أو سجلات النفاذ إلى النظام ، تتخذ سجلات الأداء أهمية استثنائية في حال تعدد المستخدمين وتحديدا في حالة شبكات الكمبيوتر التي يستخدم مكوناتها اكثر من شخص ، وفي هذه الحالة تحديدا ، أي شبكات المستخدمين ، فان هناك اكثر من نوع من أنواع سجلات الأداء وتوثيق الاستخدامات ، كما أن سجلات الأداء تتباين من حيث نوعها وطبيعتها وغرضها ، فهناك سجلات الأداء التاريخية والسجلات المؤقتة ، وسجلات التبادل وسجلات النظام وسجلات الأمن وسجلات قواعد البيانات والتطبيقات وسجلات الصيانة أو ما يعرف بسجلات الأمور التقنية وغيرها . وبشكل عام فان سجلات الأداء منوط بها أن تحدد شخص المستخدم ووقت الاستخدام ، ومكانه ، وطبيعة الاستخدام ( محتواه ) وأية معلومات إضافية أخرى تبعا للنشاط ذاته .6. عمليات الحفظ Back-up :- وعمليات الحفظ تتعلق بعمل نسخة إضافية من المواد المخزنة على إحدى وسائط التخزين سواء داخل النظام أو خارجه ، وتخضع عمليات الحفظ لقواعد يتعين أن تكون محددة سلفا وموثقة ومكتوبة ويجري الالتزام بها لضمان توحيد معايير الحفظ وحماية النسخ الاحتياطية .ويمثل وقت الحفظ ، وحماية النسخة الاحتياط ، ونظام الترقيم والتبويب ، وآلية الاسترجاع والاستخدام ، ومكان الحفظ و أمنه ، وتشفير النسخ التي تحتوي معطيات خاصة وسرية ، مسائل رئيسة يتعين اتخاذ معايير واضحة ومحددة بشأنها .7. وسائل الأمن الفنية ونظام منع الاختراق :تتعدد وسائل الأمن التقنية المتعين استخدامها في بيئة الكمبيوتر والإنترنت ، كما تتعدد أغراضها ونطاقات الاستخدام ، وقد تناولنا فيما تقدم مسائل التعريف والتوثيق وتحديدا كلمات السر ووسائل التعريف الأخرى . وتتخذ الجدران النارية Firewalls ، إضافة للتشفير cryptography ، وكذلك نظم التحكم في الدخول و نظام تحري الاختراق Intrusion Detection Systems (IDS) ، وأنظمة وبرمجيات مقاومة الفيروسات أهمية متزايدة ، لكنها لا تمثل جميعها وسائل الأمن المستخدمة ، بل هي إضافة لوسائل التعريف والتوثيق المتقدم الإشارة إليها تمثل أهم وسائل الأمن التقنية في الوقت الحاضر . 8. نظام التعامل مع الحوادث Incident Handling System :بغض النظر عن حجم وسائل الأمن التقنية المستخدمة ، ومعايير الأمن وإجراءاته المتبعة ، فانه لا بد من توفر نظام متكامل للتعامل مع المخاطر والحوادث والاعتداءات ، ويعدو متطلبا رئيسا بالنسبة لمؤسسات الأعمال كما في حالة البنوك والمؤسسات المالية . وأول ما يتعين إدراكه في هذا الصدد أن التعامل مع الحوادث عملية وليست مجرد مشروع أو خطوة واحدة ، بمعنى أنها عملية متكاملة تتصل بأداء متواصل متدرج خاضع لقواعد محددة سلفا ومتبعة بدقة وانضباط ، ومتى ما تم التعامل مع الحوادث على أنها مجرد حالة تنشا عند الحادث كنا أمام حالة قصور تمثل بذاتها أحد عناصر الضعف في نظام الأمن .وتختلف مكونات ومراحل وخطوات نظام التعامل مع الحوادث من مؤسسة إلى أخرى تبعا لعوامل عديدة تتعلق بطبيعة الأخطار التي أظهرتها عملية تحليل المخاطر وما أظهرته استراتيجية الأمن الموضوعة في المؤسسة ، وتبعا للنظام محل الحماية وما إذا كنا نتحدث عن نظم كمبيوتر مغلقة أم مفتوحة أو قواعد بيانات أو شبكات أو مزيج منها وما إذا كنا نتحدث عن نظام خدمة مخصوص أم عن خدمات للعامة عبر الشبكة خاصة كانت أم دولية وتبعا لوظيفة التطبيق محل الحماية ، إذ تتباين خطوات ومحتوى وعناصر خطط التعامل مع الحوادث لدى بنوك الإنترنت مثلا عنها لدى المواقع المعلوماتية ، ومع ذلك ، وبوجه عام ، فان نظام التعامل مع الحوادث يتكون عادة من ستة مراحل ( خطوة فخطوة ) هي :- الإعداد المسبق والتحري والملاحظة الاحتواء والاستئصال ، التعافي والعودة للوضع الطبيعي ، والمتابعة .أصبح الأمن يشكل في الوقت الراهن ظاهره شاملة لها أبعادها ومقوماتها الاقتصادية والاجتماعية والثقافية والتكنولوجية ويقصد بأمن مرافق المعلومات توفير الوسائل والإجراءات التي تؤدي عاده إلى فقد إحدى جزئيات نظام مرفق المعلومات ويقصد بمرافق المعلومات الوحدات الإدارية و التنظيمية المسئولة عن تنظيم خدمات المعلومات وهي مهمتها تجميع أوعيه المعلومات وتنظيمها وإتاحتها للمستفيدين:1. أمن البناءوذلك من خلال الأبواب المصنوعة من الصلب وبينها طبقات من الخشب والنوافذ ذات الإطارات المعدنية وبها زجاج مقاوم للحريق وكذلك الأسقف والأرضيات المقاومة للحريق .2. أمن المجموعاتتعاني مرافق المعلومات من مشكلة سرقة أوعية المعلومات وخاصة في المكتبات ذات الأرفف المفتوحة فلا توجد وسائل لحماية مجموعات مرافق المعلومات من السرقة بنسبه100% لان سرقه المواد أو أجزاء منها يرجع بالدرجة الأولى لعدم احترام الملكية العامة وهناك وسائل للإقلال من المواد المسروقة وهي:إتاحة الإطلاع لعدد اكبر من الساعات , توفير عدد كافي من النسخ للاستخدام ,السماح بإعارة المواد في نهاية اليوم , توفير خدمه التصوير والنسخ للمستفيدين .يجب تحديد الوثائق الهامة وخاصة القديمة منها لوضعها في أماكن محمية من الحريق واستنساخ صور منها باستخدام المصغرات الفيلمية أو التخزين الآلي في الأقراص المليزره بالاضافه إلى توفير ظروف الحفظ المناسبة من الأثاث والجو المحيط بأوعية المعلومات كما ينبغي ترتيب الرفوف والأثاث بحيث يتيسر معه دقه مراقبه المستفيدين , كما تتطلب المواد السمعية درجه حرارة معينه تتراوح من 68 إلى 70 درجه ونسبه رطوبة تتراوح من 40 إلى 50 عند حفظ المواد ,ويعد الانضباط من جانب موظفي مرافق المعلومات والمستفيدين منها العامل الأول لحماية ابنيه مرافق المعلومات .3. أمن أماكن العمل ضرورة عدم وجود عوائق في طرقات مرافق المعلومات وإصلاح أي مشكلات في الأرضية أو في النوافذ والأبواب الداخلية بمرافق المعلومات وعدم جعل الأسلاك الكهربائية أرضيه بل الأفضل أن تكون علوية وكذلك توفير الأثاث من مقاعد ومناضد ومطابقة للمعايير والمواصفات العالمية بالاضافه إلى توفير الاضافه والتأثيث الملائم والتمسك بسلوكيات ملائمة داخل المكتبة وذلك من قبل المستفيدين . 4. حماية التخزين الآليتوجد أربع وسائل لتحقيق أمن البيانات وبرمجيات الحاسبات الآلية وهي:1-التحكم في الدخول إلى البيانات .2- التحكم في تدفق البيانات .3-التحكم في محاولات الاستنساخ .4-تشفير البيانات .وتم الاتفاق لدى منظمه التعاون الاقتصادي والتنمية OCDE حول الجريمة المعلوماتية على ضرورة أن يغطي قانون العقوبات في كل دوله التهديدات التالية :1- التلاعب في البيانات المعالجة آليا أو محوها .2- التجسس المعلوماتي أو الاستعمال الغير مشروع للبيانات .3- تخريب المعلومات .4- الاستخدام الغير مشروع أو سرقه الحاسب الآلي .5- قرصنه البرامج .6- الدخول الغير مشروع على البيانات أو نقلها .7- بالاضافه إلى امكانيه تدمير المعلومات التي يمكن أن تستخدم كدليل في الإثبات في مده تقل عن الثانية أو اختراق شبكات المعلومات الوطنية وتخريبها مما يترتب عليه اصابه بعض قطاعاتها الحيوية بالشلل أو تعريض مصالحها الحيوية للخطر وتجدر الاشاره هنا إلى أن جمهورية الصين الشعبية هي أول الدول في الشرق الأقصى التي فرضت حكومتها رقابه مشددة على استخدام مواطنيها الإنترنت لأنها ترى أن استخدام الشبكه فيه تسريب أسرار البلاد كذلك أن نشر المعلومات يضر بها وتشمل هذه التدابير مجموعه من الأعمال مثل تسريب أسرار الدولة وحبك المؤامرات السياسية وترويج المواد الخلاعيه والعنف .الإجراءات التي يتم اتباعها لحماية نظم المعلومات مايلي :1. إجراءات وضوابط أمن قواعد البيانات :ويهدف التحكم في الدخول إلى قواعد البيانات والتحكم في تدفق البيانات وتحديد الوسائل التي يتم من خلال التعرف على شخصيه المستفيد والتحقق منها وتحديد الأفراد المسئولين عن أمن قواعد البيانات .2. إجراءات وضوابط الأمن الإدارية والتنظيمية : وتهدف إلى تحديد الأفراد المسؤولين عن ضمان وتنفيذ ومتابعة إجراءات الأمن والإجراءات التي يجب اتباعها عند حدوث أي محاولة لاختراق النظام ومن يحق لهم الدخول إلى موقع الحاسب الآلي وماهي الإجراءات الأمنية الواجب اتباعها قبل السماح بالدخول إلى المركز .3. إجراءات وضوابط الأمن القانونية:وتهدف إلى تحديد الإجراءات القانونية الواجب إتباعها ضد من يحاول اختراق نظم المعلومات بهدف الحصول على بيانات بدون أحقيه أو من يحاول إن يسئ استخدام البيانات التي يحصل عليها من النظام بحكم عملهويجب أن يكون للنظام الأمني القدرة على التعرف على مستخدم الحاسب وذلك عن طريق كلمه سر أو الصفات الطبيعية للشخص مثل بصمات الأشخاص –حيث انه يتوفر برنامج يستطيع التعرف على المستخدم بواسطة البصمة المخزنة أو الصوت الذي سبق تخزينه.تخزين وحفظ المواد السمعية :قبل الخوض في خضم تلك المشكلات المتعلقة بحفظ المواد المسموعة لابد من التسليم بأن حجم تلك المواد في حد ذاته يتفتق عن قدر جم من الصعوبات فيما يختص بتخزينها وعلى وجه الخصوص مازالت هناك كميه كبيرة جدا من الأفلام المعالجة بملح حامض النتريك في انتظار تحويلها إلى مخزن مأمون يتوفر فيه الأمان والسلامة وقد يكون من حيث السعه المكانية ومن حيث الوقت أن يتم التحويل إلى أشرطة بدلا من ذلك غير أن الاحتفاظ بها في هذا الشكل قد يعيق المستفيدين الذي يهتمون بدمج وإدراج المواد علي أفلام جديدة خاصة بهم ومن المرجح أن التطورات المستمرة في مجال التكنولوجيا سوف تتغلب في الوقت المناسب على كثير من تلك المشكلات ولكن في الوقت الحاضر لابد وأن نسلم بأن طبيعة المواد ذاتها تحتم وتفرض ضغوطها وقيودها الخاصة على التمويلات الخاصة بالأرشيف وربما ينتهي الأمر إلى المشاركة في اقتسام أماكن التخزين في ظل ما يستحدث من اتجاهات نحو ضغط الإنفاق ولاقتصاد في النفقات العامة وغير المباشرة.المشكلات الفنية:إننا لا نعرف إلا النذر اليسير عن خواص الثبات وطول عمر أي شكل من الأشكال أو النماذج المعاصرة في مجال تسجيل الأصوات كما وان الوسائل الأقدم والتي استخدمت في الماضي ليست لها صفة الثبات أو الاستمرارية علي نحو يمكن إثباته أو إقامة الدليل عليه فالاسطوانات الشمعية على سبيل المثال تتخلف عنها فطريات تؤدي إلى إتلاف المعدات المستخدمة .التدريب:لفت مجلس أفلام الجامعات البريطانية إلى ضرورة إتاحة وتنظيم القدر الكافي من التدريب للأفراد العاملين في مجال المحفوظات المسموعة قد شكلت مجموعات للتدريب في مجال المسموع إلا انه لم يتعد ذلك أو يتجاوزه إلى بلورة هذا الاهتمام وتعزيزه من خلال التدريب على المستوى الرسمي ومن المؤكد أن جمعية المحفوظات أو رابطة المتاحف ربما تود اتخاذ الإجراءات اللازمة لسد تلك الثغرة من خلال التعاون مع الجهات والاجهزه القيادية في مجال المواد المسموعة.هناك مجموعه من التهديدات التي تحيط المواد السمعية:هناك كثير من عمليات السرقة والتخريب دفعت الباحثين والأكاديميون المتخصصون للمساهمة في تطوير الموضوعات المتعلقة بالأمن والسلامة الخاصة في مباني المكتبات والمجموعات ومن بينها المواد السمعية والتي تعد من أهم المواد في المكتبة لدورها الكبير في المشاركة في العملية التعليمية .من ابرز المخاطر التي تواجه المواد السمعية هي: · الحريق:من المخاطر التي قد تتعرض لها المكتبة هي الحريق وقد يحدث لأسباب عديدة منها إهمال صيانة المبنى والاستخدام السيئ لبعض الأدوات الكهربائية مثل التكييف والتهوية الكهربائية والالتماس الكهربائي واستخدام أجهزة التدفئة كما إنه عند حدوث الحريق فإن عمليه إطفاءه قد يضر المكتبة حيث تؤثر على الأثاث الموجود بالمكتبة والمجموعات الموجودة بها وذلك أن الحريق يضر بهذه المواد من حيث إفساد المواد المصنوعة منها المواد السمعية وبالتالي على المعلومات الموجودة بها وقد يكفي إفساد هذه المواد مجرد ارتفاع درجة الحرارة عن68 إلى 70 درجه .ويتم إطفاء الحريق بمرافق المعلومات باستخدام إحدى الوسائل التالية:· طفاية الحريق اليدوية.· خراطيم المياه .· نظام الإطفاء الذاتي بالغاز .· نظام الإطفاء الذاتي بالرش .متطلبات أساسيه في انظمه الإطفاء المستخدمة بمرافق المعلومات وهي:1- أن يكون موقع الطفايات على بعد 30م كحد أقصى لكل فرد بمرافق المعلومات .2- أن تكون هذه النظم ذات ظروف ميكانيكية جيدة وخاضعة للفحص الدوري .3- أن يتضمن التصميم المعياري لمبنى مرافق المعلومات مخارج للطوارئ .4- الاحتفاظ بخرائط تفصيلية عن مبنى مرافق المعلومات في مكان يسهل الوصول إليه .· تسرب المياه أو الرطوبة:من المخاطر الكبيرة التي قد تتعرض لها المكتبة هي تسرب المياه سواء كان من الأعطال الموجودة في بعض المواسير أو الرطوبة أو بسبب الفيضانات والأمطار فكل هذا وغيره قد يضر ضررا كبيرا بمقتنيات المكتبة ومن بينها المواد السمعية و كذلك الأجهزة المستخدمة في عمليه استرجاع المواد السمعية وذلك لان الماء يتسبب بتلفيات كبيره كذلك الرطوبة إذا ارتفعت عن 40 إلى 50 .· السرقة :قد يقوم بعض رواد المكتبة بمحاولة سرقة بعض مقتنيات المكتبة وهذه السرقة قد تكون للكتب أو المواد السمعية كالأشرطة أو غيرها من هذه المواد وخاصة للمكتبة ذات الأرفف المفتوحة تكون أكثر عرضه للسرقه من المكتبات ذات الأرفف المغلقة لذلك نجد أن بعض المكتبات لجأت إلى بعض الوسائل هي:1-وضع المرايا المقعرة .2. اللجوء إلى بعض رجال الأمن بالمرور بين الأرفف .3.استخدام أجهزة التلفاز.4.تركيب أبواب إلكترونية ومغنطة جميع مواد المكتبة وغيرها من الوسائل لحماية هذه المقتنيات.وقد تكون عمليه السرقة مجرد نسخ المعلومات المخزنة والمسجلة على أي مادة من المواد السمعية دون تصريح .· التخريب:قد يقوم بعض الأفراد بعمل بعض الأعمال التخريبية لسبب أو لاخر سواء للكتب بتمزيقها أو للمواد الغير ورقيه كالمواد السمعية بسوء استخدامها أو تعريضها لدرجة حرارة غير مناسبة عمدا أو بكسرها أو محو المعلومات الموجودة بها أو اضافه معلومات أخرى دون إذن من الجهة المسؤولة وغير ذلك من الأعمال التي قد تضر بها.· تدمير نظم المعلومات واختراقها:إن دخول المكتبات في عالم الشبكات كان له اثر كبير في مساعدة بعض الباحثين بالاستفادة من خدمات المكتبة التي تقدمها لهم إلا انه كان سبب في ظهور خطر جديد للمكتبه سواء باختراق أو تدمير قواعدها هذا بالإضافة إلي خطر الفيروسات فهذه الأعمال التخريبية تضر بالمواد السمعية المسجلة على جهاز الحاسب أو الموجودة في أحد المواقع المستهدفة ضرراً كبيراً ولذلك لا بد من اخذ التدابير الوقائية للمحافظة عليها من المخربين والتي سوف يتم التحدث عنها في أمن بيئة العمل الغبار:يجب على المكتبات التي تقتني المواد السمعية أن تحميها من الغبار وذلك لان الغبار يضر بالمعلومات المخزنة عليه ولا تقتصر الحماية على المواد السمعية فقط وإنما على الأجهزة المستخدمة في عمليه استرجاع المواد السمعية . أما فيما يخص حماية المواد السمعية من الغبار وذلك بحفظها في العلب أو الصناديق قي حالة عدم استخدامها فمعظم تلك الأجهزة تكون مزوده بصناديق من الكرتون أو الخشب أو المعدن أو أغطيه من القماش أو البلاستيك لتناسب شكل الجهاز حتى تحميه من الغبار وتتلقى عنه الصدمات هذا بالاضافه إلى تسهيلها عملية نقله.هناك بعض القواعد التي يجب إتباعها في عملية حماية المواد السمعية من الغبار:1- أن تبقي الجهاز في صندوقه وان تتأكد دائما من إغلاقه 2- أن تحفظ الاجهزه في خزائن ذات أبواب محكمه خاصة إذ لم يكن لها صندوق أو غطاء3-أن لا نقوم بعملية كنس مكان العرض أو غرفة الجهاز عندما تكون قد أعدت للعرض أو قبل إدخالها الصندوق .4-يجب إزالة الغبار عن الصندوق قبل فتحه خاصة إذا كان الصندوق جزأً من الجهاز وكذلك يجب إزالة الغبار الموجود على الطاولات التي تضع عليها الجهاز عند العرض لان المراوح الموجودة بالجهاز تثير الغبار عند تشغيله مما يتسبب انتشاره على العدسات أو في المسالك الحساسة .الزلازل والبراكين والحروب:إن المكتبات معرضه لكثير من الكوارث الطبيعية سواء كانت زلازل أو براكين أو كوارث ناتجة عن الحروب هذه الكوارث تؤدي إلى تدمير مباني المكتبة وبالتالي ثؤثر على مقتنياتها لأنها في هذه الحالة تكون عرضه لجميع أنواع المخاطر من تسرب المياه والحريق والسرقه وغيرها من المخاطر ففي هذه الحالة قد يكون من الأفضل هي أن يكون مبنى المكتبة مقاوم للزلازل وكذلك مقاوم للحريق حتى يمكن تفادي اكبر قدر ممكن من الخسائر .· أمن بيئة العمل:وتشتمل على بيئة العمل وذلك من خلال التهوية والتكيف والاضاءه والتأثيث والتجهيز وتوفير طفايات الحريق حيث تكون قريبه في متناول الأشخاص الذين يقومون بعملية الإطفاء وكذلك يجب مراقبه سلوك المستفيدين بالاضافه إلى استخدام وسائل الحماية من الفيروسات ومنها:1-الجدران النارية وجدران اللهب2-الحفظ الدوري لقواعد نظم المكتبة 3-استخدام وتجديد البرامج المضادة4-استخدام كلمات عبور ذكيه هناك عشر نصائح تمكن من مواجهة المخاطر المتعلقة بأجهزة المواد السمعية :1- احفظ أجهزة المواد السمعية في مكان يمكن إغلاقه .2- إذا وضعت الأجهزة في أماكن مفتوحة ركب أجهزة تثبيت لها أو أجهزة تنبيه في حال حدوث أي محاولة للعبث بها .3- سجل قائمة بالأرقام المتسلسلة واحفظها في مكان آمن , ففي حالة حدوث سرقة فان الأرقام المتسلسلة تسهل استعادة ماتم فقده غالباً .4- انقش علامة مميزة على الأجهزة للمساعدة في التعرف عليها واستعادتها عند فقدها .5- أمن على الأجهزة ضد الفقد والعبث .6- تبن استراتيجية صيانة تشمل جميع الأجهزة فهذه الإستراتيجية تكفل استمرارية تشغيل الأجهزة وتجنبنا نفقات غير متوقعة .7- عمل نسخ احتياطية من المواد السمعية وحفظها في مكان آمن فهو يحافظ على أمن المعلومات والبيانات اكثر من أي طريقة أخرى .8- احتفظ بنسخ من الملفات والمواد في مكان آخر خارج مقر المكتبة, ففي حالة حدوث كوارث كالحريق مثلا فالنسخ في نفس المقر ستدمر بعكس تلك المحفوظة خارج مقر المكتبة.9- قيد استخدام المواد السمعية بالأشخاص المصرح لهم فقط.10- نفذ اختبارت تقويم للأجهزة والبرامج وتحقق من النتائج.اثر المواد السمعية على أمن المعلومات :المواد السمعية كغيرها من المواد معرضة لأنواع كثيرة من المخاطر والتي تؤدي بدورها إلى تلفها , ولكن المواد السمعية تعتبر من اقل الأنواع تضرراً فغالباً مايتم حفظها في علب وصناديق بلاستيكية تحفظها من الأتربة والغبار والحشرات وكذا تسرب المياه وهذه الميزة من أهم ما تمتاز به المواد السمعية عن غيرها من المواد مثل الكتب أو المواد الورقية فانها تتأثر من الغبار والديدان والحشرات وتسرب المياه الذي يؤدي إلى بللها وبالتالي تلفها وتمزقها .وهناك عيب في المواد السمعية يتعلق بالنسخ فعملية نسخها سهلة ورخيصة ولاتكلف وقتاً طويلاً , بالإضافة إلى صغر حجمها مما يجعل من السهل جداً فقدانها وضياعها وكذا سرقتها وبكل بساطة ويسر .الله انفعنا وانفع بنا