مقدمة :
: information system
يعرف بأنه مجموعة من العناصر المتداخلة والمتفاعلة مع بعضها set of interrelated component والتي تعمل على جمع البيانات والمعلومات، ومعالجتها، وتخزينها، وبثها وتوزيعها، بغرض دعم صناعة القرارات، والتنسيق وتأمين السيطرة على المنظمة، إضافة إلى تحليل المشكلات، وتأمين المنظور المطلوب للموضوعات المعقدة. ويشتمل نظام المعلومات على بيانات عن الأشخاص الأساسيين، والأماكن، والنشاطات والأمور الأخرى التي تخص المنظمة، والبيئة المحيطة بها.
أما استخدام مصطلح نظام المعلومات المحوسبة computerize information system ، والذي كثيراً ما يصطلح على تسميته نظام المعلومات المعتمدة على الحاسوبComputer-based information systems ، ويرمز له اختصاراً (CBIS) ، فهو النظام الذي يعتمد على المكونات المادية أو الأجهزة Hardware ، والمكونات البرمجيةSoftware للحاسوب، في معالجة البيانات، من ثم وبث واسترجاع المعلوماتInformation processing and disseminating .
وعموماً، فإن نظام المعلومات هو عبارة عن آلية وإجراءات منظمة، تسمح بتجميع، وتصنيف، وفرز البيـانات data ومعالجتها، ومن ثم تحويلها إلى معلومـات information يسترجعها الإنسان عند الحاجة، ليتمكن من إنجاز عمل أو اتخاذ قرار أو القيام بأية وظيفة تفيد حركة المجتمع، عن طريق المعرفة التي سيحصل عليها من المعلومات المسترجعة من النظام. وقد يتم استرجاع المعلومات، في نظام المعلومات يدوياً، أو ميكانيكياً، أو إلكترونياً، وهو، أي هذا الأخير هو الغالب في نظم المعلومات المعاصرة.
ونستطيع الذهاب إلى اتجاه أكثر تحديداً فنعرف نظام المعلومات بأنه مجموعة من العناصر البشرية والآلية، التي تعمل معاً على تجميع البيانات ومعالجتها وتحليلها وتبويبها، طبقاً لقواعد وإجراءات مقننة لأغراض محدد، بغرض إتاحتها للباحثين وصانعي القرارات والمستفيدين الآخرين،، على شكل معلومات مناسبة ومفيدة.
تأمين انظمة المعلومات :
ان التطورات الحديثة في تقنية المعلومات أحدثت تغيرات مستمرة و مضطردة في أساليب العمل و الميادين كافة إذ أصبحت عملية انتقال المعلومات عبر الشبكات المحلية و الدولية و أجهزة الحاسوب من الأمور الروتينية في عصرنا الحالي و إحدى علامات العصر المميزة التي لا يمكن الإستغناء عنها لتأثيرها الواضح في تسهيل متطلبات الحياة العصرية من خلال تقليل حجم الأعمال و تطوير أساليب خزن و توفير المعلومات حيث أن انتشار أنظمة المعلومات المحوسبة أدى الى أن تكون عرضة للإختراق لذلك أصبحت هذه التقنية سلاحا ذو حدين تحرص المنظمات على إقتناءه و توفير سبل الحماية له .
ان موضوع الأمن المعلوماتي يرتبط ارتباطا و ثيقا بأمن الحاسوب فلا يوجد أمن للمعلومات إذا لم يراعى أمن الحاسوب ، و في ظل التطورات المتسارعة في العالم و التي أثرت على الإمكانات التقنية المتقدمة المتاحة و الرامية الى خرق منظومات الحاسوب بهدف السرقة أو تخريب المعلومات أو تدمير أجهزة الحاسوب ، كان لا بد من التفكير الجدي لتحديد الإجراءات الدفاعية و الوقائية و حسب الإمكانات المتوفرة لحمايتها من أي اختراق أو تخريب ، و كان على إدارة المنظمات أن تتحمل مسؤولية ضمان خلق أجواء امنية للمعلومات تضمن الحفاظ عليها .
أولا : مفهوم الأمن المعلوماتي
تشكل المعلومات لمنظمات البيئة التحتية التي تمكنها من أداء مهامها ، إذ أن نوع المعلومات و كميتها و طريقة عرضها تعتبر الأساس في نجاح عملية صنع القرارات داخل المنظمات المعاصرة و عليه فإن للمعلومات قيمة عالية تستوجب وضع الضوابط اللازمة لإستخدامها و تداولها و وضع السبل الكفيلة بحيازتها ، لذا فإن المشكلة التي يجب أخذها بالحسبان هو توفير الحماية اللازمة للمعلومات و إبعادها عن الإستخدام غير المشروع لها .
و من أجل فهم الأمن المعلوماتي Information Security لا بد من تحديد معناه ، حيث عرفه (السالمي) بأنه مجموعة من الإجراءات و التدابير الوقائية التي تستخدم سواء في المجال التقني أو الوقائي للحفاظ على المعلومات و الأجهزة و البرمجيات إضافة الى الإجراءات المتعلقة بالحفاظ على العاملين في هذا المجال ، أما (المشهداني) فقد عرفه بأنه ( الحفاظ على المعلومات المتواجدة في أي نظام معلوماتي من مخاطر الضياع و التلف أو من مخاطر الإستخدام غير الصحيح سواء المتعمد أو العفوي أو من مخاطر الكوارث الطبيعية ، أما (أنور) فقد عرفه بأنه مجموعة من التدابير الوقائية المستخدمة في المجالين الإداري و الفني لحماية مصادر البيانات من أجهزة و برمجيات و بيانات من التجاوزات أو التداخلات غير المشروعة التي تقع عن طريق الصدفة أو عمدا عن طريق التسلسل أو الإجراءات الخاطئة المستخدمة من قبل إدارة المصادر المعلوماتية ، فضلا عن إجراءات مواجهة الأخطار الناتجة عن الكوارث الطبيعية المحتملة التيب تؤدي الى فقدان بعض المصادر كلا أو جزءا ، و من ثم التأثير على نوع و مستوى الخدمة المقدمة ، من كل ما سبق يمكن أن نعرف الأمن المعلوماتي بأنه ذلك الحقل الذي يهتم بدراسة طرق حماية البيانات المخزونة في أجهزة الحاسوب إضافة الى الأجهزة الملحقة و شبكات الإتصالات و التصدي للمحاولات الرامية الى الدخول غير المشروع الى قواعد البيانات المخزونة أو تلك التي ترمي الى نقل أو تغيير أو تخريب الخزين المعلوماتي لهذه القواعد .
الجرائم المحوسبة Computer Crime
تمثل هذه تحديا كبيرا لإدارة نظم المعلومات لما تسببه من خسارة كبيرة و بشكل عام يتم التمييز بين ثلاثة مستويات للجرائم المحوسبة و هي :
1. سوء الإستخدام لجهاز الحاسوب : و هو الإستخدام المقصود الذي يمكن أن يسبب خسارة للمنظمة أو تخريب لأجهزتنا بشكل منظم .
2. الجريمة المحوسبة : و هي عبارة عن سوء استخدام لأجهزة الحاسوب بشكل غير قانوني يؤدي الى ارتكاب جريمة يعاقب عليها القانون خاصة بجرائم الحاسوب .
3. الجرائم المتعلقة بالحواسيب : و هي الجرائم التي تستخدم فيها الحواسيب كأداة لتنفيذ الجريمة .
و يمكن أن تتم الجرائم المحوسبة سواء من قبل أشخاص خارج المنظمة يقومون باختراق نظام الحاسوب (غالبا من خلال الشبكات) أو من قبل أشخاص داخل المنظمة يملكون صلاحيات الدخول الى النظام و لكنهم يقومون بإساءة استخدام النظام لدوافع مختلفة ، و تشير الدراسات التي أجرتها دائرة المحاسبة العامة و شركة Orkand للإستشارات الى أن الخسائر الناتجة عن جرائم الكمبيوتر تقدر بحدود 1.5 مليون دولار لشركات المصارف المحوسبة في الولايات المتحدة الأمريكية ، و من ناحية أخرى يقدر المركز الوطني لبيانات جرائم الحاسوب في لوس أنجلوس بأن 70% من جرائم الكمبيوتر المسجلة حدثت من الداخل ، أي من قبل من يعملون داخل المنظمات ، هذا و أن جرائم الحاسوب تزداد بصورة واضحة مما أصبحت تشكل تحديا خطيرا يواجه الإدارات العليا عموما و إدارة نظم المعلومات على وجه الخصوص .
الحماية من الأخطار :
تعتبر عملية الحماية من الأخطار التي تهدد أنظمة المعلومات من المهام المعقدة و الصعبة و التي تتطلب من إدارة نظم المعلومات الكثير من الوقت و الجهد و الموارد المالية و ذلك للأسباب التالية :
أ. العدد الكبير من الأخطار التي تهدد عمل نظم المعلومات .
ب. توزع الموارد المحوسبة على العديد من المواقع التي يمكن أن تكون أيضا متباعدة .
ج. وجود التجهيزات المحوسبة في عهدة أفراد عديدين في المنظمة و أحيانا خارجها .
د. صعوبة الحماية من الأخطار الناتجة عن ارتباط المنظمة بالشبكات الخارجية .
ه. التقدم التقني السريع يجعل الكثير من وسائل الحماية متقادمة من بعد فترة وجيزة من استخدامها.
و. التأخر في اكتشاف الجرائم المحوسبة مما لا يتيح للمنظمة امكانية التعلم من التجربة و الخبرة المتاحة.
ز. تكاليف الحماية يمكن أن تكون عالية بحيث لا تستطيع العديد من المنظمات تحملها .
هذا و تقع مسؤولية وضع خطة الحماية للأنشطة الرئيسية على مدير نظم المعلومات في المنظمة على أن تتضمن هذه الخطة إدخال وسائل الرقابة التي تضمن تحقيق ما يلي :
- الوقاية من الأخطار غير المتعمدة .
- إعاقة أو صنع الأعمال التخريبية المتعمدة .
- اكتشاف المشاكل بشكل مبكر قدر الإمكان .
- المساعدة في تصحيح الأعطال و استرجاع النظام .
و يمكن تصميم نظام الرقابة ضمن عملية تطوير نظام المعلومات و يجب أن يركز هذا النظام على مفهوم الوقاية من الأخطار ، و يمكن أن يصمم لحماية جميع مكونات النظام بما فيها التجهيزات و البرمجيات و الشبكات .
العناصر الأساسية لنظام الأمن المعلوماتي :
إن النظام الأمني الفعال يجب أن يشمل جميع العناصر ذات الصلة بنظام المعلومات المحوسبة و يمكن تحديد هذه العناصر بما يلي :
أ. منظومة الأجهزة الإلكترونية و ملحقاتها :
إن أجهزة الحواسيب تتطور بشكل بالمقابل هناك تتطور في مجال السبل المستخدمة لإختراقها مما يتطلب تطوير القابليات و المهارات للعاملين في أقسام المعلومات لكي يستطيعوا مواجهة حالات التلاعب و العبث المقصود في الأجهزة أو غير المقصود .
ب. الأفراد العاملين في أقسام المعلومات :
يلعب الفرد دورا أساسيا و مهما في مجال أمن المعلومات و الحواسيب و له تأثير فعال في أداء عمل الحواسيب بجانبيه الإيجابي و السلبي ، فهو عامل مؤثر في حماية الحواسيب و المعلومات و لكن في الوقت نفسه فإنه عامل سلبي في مجال تخريب الأجهزة و سرقة المعلومات سواء لمصالح ذاتية أو لمصالح الغير ، إن من متطلبات أمن الحواسيب تحديد مواصفات محددة للعاملين و وضع تعليمات واضحة لاختيارهم و ذلك للتقليل من المخاطر التي يمكن أن يكون مصدرها الأفراد إضافة الى وضع الخطط لزيادة الحس الأمني و الحصانة من التخريب ، كما يتطلب الأمر المراجعة الدورية للتدقيق في الشخصية و السلوكية للأفراد العاملين من وقت لآخر و ربما يتم تغيير مواقع عملهم و محاولة عدم احتكار المهام على موظفين محدودين .
ج. البرمجيات المستخدمة في تشغيل النظام :
تعتبر البرمجيات من المكونات غير المادية و عنصر أساس في نجاح استخدام النظام ، لذلك من الأفضل اختيار حواسيب ذات أنظمة تشغيل لها خصائص أمنية و يمكن أن تحقق حماية للبرامج و طرق حفظ كلمات السر و طريقة إدارة نظام التشغيل و أنظمة الإتصالات ، إن أمن البرمجيات يتطلب أن يؤخذ هذا الأمر بعين الإعتبار عند تصميم النظام و كتابة برامجه من خلال وضع عدد من الإجراءات كالمفاتيح و العوائق التي تضمن عدم تمكن المستفيد من التصرف خارج الحدود المخول بها و تمنع أي شخص من إمكانية التلاعب و الدخول الى النظام و ذلك من خلال أيضا تحديد الصلاحيات في مجال قراءة الملفات أو الكتابة فيها ، و محاولة التمييز بين اللذين يحق لهم الإطلاع و حسب كلمات السر الموضوعة ، و هناك أسلوبان للتمييز إما عن طريق البرمجيات أو استخدام الأجهزة المجفرة .
د. شبكة تناقل المعلومات :
تعتبر شبكة تناقل المعلومات المحلية أو الدولية ثمرة من ثمرات التطورات في مجالات الإتصالات كما أنها سهلت عملية التراسل بين الحواسيب و تبادل و استخدام الملفات ، و لكن من جهة أخرى إتاحة عملية سرقة المعلومات أو تدميرها سواء من الداخل كإستخدام الفيروسات أو من خلال الدخول عبر منظومات الاتصال المختلفة ، لذلك لا بد من وضع إجراءات حماية و ضمان أمن الشبكات من خلال إجراء الفحوصات المستمرة لهذه المنظومات و توفير الأجهزة الخاصة بالفحص ، كما أن نظم التشغيل المستخدمة و المسؤولة عن إدارة الحواسيب يجب أن تتمتع بكفاءة و قدرة عالية على الكشف عن التسلل الى الشبكة و ذلك من خلال تصميم نظم محمية بإقفال معقد أو عن طريق المجفرات و ربطها بخطوط الإتصال و التي هي عبارة عن استخدام الخوارزميات الرياضية أو أجهزة و معدات لغرض تجفير تناقل المعلومات أو الملفات .
ه. مواقع منظومة الأجهزة الإلكترونية و ملحقاتها :
يجب أن تعطى أهمية للمواقع و الأبنية التي يحوي أجهزة الحواسيب و ملحقاتها ، و حسب طبيعة المنظومات و التطبيقات المستخدمة يتم إتخاذ الإجراءات الإحترازية لحماية الموقع و تحصينه من أي تخريب أو سطو و حمايته من الحريق أو تسرب المياه و الفيضانات ، و محاولة إدامة مصدر القدرة الكهربائية و انتظامها و تحديد أساليب و إجراءات التفتيش و التحقق من هوية الأفراد الداخلين و الخارجين من الموقع و عمل سجل لذلك . و يمكن تمثيل أهم عناصر النظام الأمني الفعال و الإجراءات المتعلقة بالنموذج التالي :
سادسا : بعض المشاكل المعاصرة التي تواجه تأمين أنظمة المعلومات :
تواجه أنظمة المعلومات بعض المشكلات الشائعة التي بدأت تغزو أنظمة المعلومات و تساهم في تدميرها أو تخريبها أو سرقة الخزين المعلوماتي المحفوظ في أجهزة الحاسوب و من أهم هذه المشاكل هي :
أ. الفيروسات (Virus)
تعتبر من أهم جرائم الحاسوب و أكثرها انتشارا في الوقت الحاضر ، و لم يعد يخفى على أحد ما المقصود بفيروس الحاسوب حتى من العامة ممن لا يستخدموا الحاسوب و ذلك بسبب تناقل الصحف لأخبار خسائر الشركات و الحكومات و الأفراد بسبب تخريب أحدثه فيروس معين ، و لم يعد أحد يخلط بين معنى فيروس الحاسوب و الفيروس البيولوجي الذي يصيب الإنسان كما كان يحدث سابقا بسبب عدم انتشار ثقافة الحاسوب . و يمكن تعريفه على أنه برنامج حاسوب له أهداف تدميرية يهدف الى إحداث أضرار جسيمه بنظام الحاسوب سواء البرامج أو الأجهزة و يستطيع أن يعدل تركيب البرامج الأخرى حيث يرتبط بها و يعمل على تخريبها ، و هو برنامج مكتوب بإحدى لغات البرمجة من قبل المبرمجين و هو قادر على التوالد و التناسخ و يستطيع الدخول الى البرامج و على الأفضلية أكبر من نظم التشغيل تساعده في فحص المكونات المادية مثل الذاكرة الرئيسية أو القرص المرن أو الليزري .
قرصنة المعلومات
قد يسمع الكثير عن ما يسمى بالهاكرز أو مخترقي الأجهزة Hackers و نتسائل كيف يتم ذلك و هل الأمر بسيط الى هذا الحد أم يحتاج لدراسة و جهد ، في الحقيقة أنه مع انتشار برامج القرصنة و وجودها في الكثير من المواقع أصبح من الممكن اختراق أي جهاز حاسوب و بدون عناء فور انزال إحدى برامج القرصنة . و المقصود بالقرصنة هو سرقة المعلومات من برامج و بيانات بصورة غير شرعية و هي مخزونة في دائرة الحاسوب أو نسخ برامج معلوماتية بصورة غير قانونية و تتم هذه العملية إما بالحصول على كلمة السر أو بواسطة التقاط موجات الكهرومغناطيسية بحاسبة خاصة و يمكن إجراء عملية القرصنة بواسطة رشوة العاملين في المنظمات المنافسة .
.• المدينة السودانية
موضوع: تامين انظمة المعلومات 
الثلاثاء يناير 26, 2010 7:26 am
