أمـــن المعلومــــات
صفحة 1 من اصل 1
أمـــن المعلومــــات
من طرف ياسرحسين الأحد نوفمبر 21, 2010 11:30 am
أمـــن المعلومــــات
في عصرنا هذا والذي يعرف بالانفتاحية المطلقة والشفافية المتناهية أصبحت حماية وأمن المعلومات الحساسة والثمينة من أعقد الأمور التي تواجه كبار المسؤولين في القطاعات الحكومية والخاصة. وعند محاولة تطبيق الحماية التقليدية نجدها مكلفة جداً وتعيق إنسيابية الأعمال، وتضعنا في مصادمة مع تيار التقدم والتطور الذي يتطلب منا وضع جميع معلوماتنا المحفوظة على ورق في قواعد بيانات حاسوبية متواصلة مع حواسيب أخرى بواسطة شبكة داخلية تسمى الإنترنت (Enternet) ومطلوب الآن ربط الشبكة الداخلية هذه مع شبكة خارجية عالمية تسمى الإنترنت (Enternet) ، مما يعني فعلياً وضع جميع المعلومات لديك على الشبكة العالمية هذه التي يستخدمها أكثر من مائة مليون شخص في جميع أنحاء العالم ، والذي يعني بدوره أنك الآن تحت رحمة من يمتلكون ناصية علم وتقنية الحاسوب من هؤلاء أن كان على مستوى الأشخاص أو الشركات أو الدول.
الحقيقة المرة أن معظم الدول النامية لا تعتمد خطة وطنية شاملة مبنية على استراتيجية مدروسة لحماية معلوماتها ، لتواكب التطور الذي حصل في أداء الأعمال في العالم المتقدم . فحماية المعلومات لدى هذه الدول في مجمله يعتمد أولاً على الثقة في الأَشخاص ( في معظم الحالات يظهر هؤلاء الأشخاص الثقة والولاء ، ولأنهم يحاولون قدر جهدهم إبقاء الأمر كما هي عليه ويحاربون التغير الذي يحمله التطور والتحديث ، مع عملنا أن محاربة التطوير والتحديث هي أكبر كارثة تواجه الأمم وخاصة في عصرنا هذا .
فما العمل إذن لا بد من وضع خطة وطنية شاملة National Information Protection Security Plan ) and مبينة على استراتيجية واضحة ومدروسة جيداً لحماية وأمن المعلومات ، تسمح بانسيابية الأعمال ولا تتعارض مع الإنفتاحية المعلوماتية ولا تعكر صفو الشفافية المطلوبة لمجاراة العولمة بكل تحدياتها . دون التضحية بالأسرار الوطنية والاقتصادية الثمينة . وهذا لعمري ليس بالأمر الهين ، بل يتطلب كفاءات متخصصة ومجهود كبير ، ينطلق من تخطيط تقني سليم ، لرسم هذه الخطة التي ستظهر على شكل الستراتيجية بسياسات وأنظمة وقوانين وإجراءات مطبقة على نظم الحاسوب وكذلك مطبوعة في أدلة يتم توزيعها والالتزام بها ومتابعة تنفيذها على مستوى الوطن.
وفي محيط معالجة المعلومات وبشكل عام يقال بأن الحاسوب إضافة إلى الأجهزة التابعة والتجهيزات المحيطة به تمثل حقيقة تكلفة عالية، وتمثل جانب استثماري كبير في التقنية، ومن المسلم به أن هذه الأجهزة حساسة ومهمة لاستمرار العمل ولا يمكن استبدالها بسهولة. وبالتالي فإن غرف الحاسوب ومراكز تحضير المعلومات تكون عادة محمية ، كحماية الممتلكات المهمة، بمباني آمنة، ذات أبواب بأقفال.
أما المعلومات المخزنة في أجهزة الحاسوب فهي نادراً ما تحسب من الموجودات القيمة، وهنا مكمن الخطر . حيث يستطيع شخص ما من مبني مجاور، أو على بعد عشرة آلاف كليو متر، باستخدام جهاز حاسوب شخصي صغير، موصول بشبكة الإنترنت ، التسلسل إلى شبكة المعلومات لديك المربوطة بطريقة مباشرة أو غير مباشرة بالإنترنت . لذا فإن كل أشكال الحماية التقليدية التي اتخدذتها لن تفيدك. عند وضع هذه الاستراتيجية يجب النظر إلى الدول المتقدمة ، وكيف تعمل على حماية معلوماتها السرية. بالنظر إلى استراتيجية الولايات المتحدة الأمركية ودول حلف الناتو نجد أن أهم عناصر هذه الاستراتيجية هو التصنيف لأية وثيقة أو رسالة لحظة ولادتها، والحرص على ذلك التصنيف عند تدوالها أو تخزينها أو تحولها أو جزء منها من شكل إلى آخر.
• مبادئ استراتيجية حماية وأمن المعلومات الوطنية : -
1- كل ما هو ليس ممنوع مسموح .
2- كل ما هو ليس مسموح ممنوع .
في الدول المتقدمة الاستراتيجية الأولى هي المطبقة في عملية الدخول (Access) إلى المعلومات الحكومية . أما معظم دول العالم الأخرى فالدخول إلى المعلومات الحكومية محكوم بالاستراتيجية الثانية . أحد الفروقات المهمة هو أنك في الأولى تعمل على تحديد ما هو ممنوع ، بينما في الثانية تعمل على تحديد ما هو مسموح ، (والبديهي أن يكون نسبة السري أو الممنوع أكثر بكثير من الغير سري أو المسموح ) ، وفي الأولى ينتج لديك نسبة بسيطة جداً لما هو سري وممنوع ، فبالتالي يسهل عليك تأمينه وحمايته بينما في الثانية ينتج لديك نسبة عالية جداً لما هو سري وممنوع ، يصعب عليك تأمينه وحمايته . وفي معظم دول العالم الثالث يتم تطبيق الإستراتيجية الثانية وبطرق تختلف من موقع إلى آخر وحتى من شخص إلى آخر ومدى فهمه ووعيه لحماية وأمن المعلومات ، أما الاستراتيجية الأولى المبنية على التقدم التقني لخدمة حماية وأمن المعلومات فهي تصنع تفاصيل دقيقة وإجراءات محددة وتطبق على جميع المستويات من قبل الجميع ولا تستطيع أية جهة التعامل مع المعلومات دون الإلتزام التام بهذه الإجراءات وهي مبنية داخل نظام الحاسوب من لحظة ولادتها .هذا باختصار شديد فالفرق شاسع بين الاثنين . ومع أن الاستراتيجية الأولى توفر إمكانيات فائقة لحماية وأمن المعلومات فأنها تسمح بل تنمي عوامل التطور ، فهي : -
1. تيسر انسياب المعلومات أفقياً وعمودياً وتخترق الطبقية البيروقراطية .
2. تسمح بالمشاركة في اتخاذ القرار .
3. توفر الشفافية .
4. تدعم إمكانية التوقع أو التنبؤ والاستنباط .
5. تدعم الموثوقية ( وأبسط أشكالها : معرفة من عمل ماذا للمعلومات وبصورة قاطعة للشك )
6. تضمن المحافظة على تكامل وسلامة المعلومات وعدم السماح بتزوير المعلومات .
الاستراتيجية الأولى تنقسم إلى نظامين للتحكم بالدخول إلى المعلومات .
(أ) نظام التحكم بالدخول إلى المعلومات الإجباري Mandatory Access Control) ) .
(ب) نظام التحكم بالدخول إلى المعلومات المبني على التميز (Discretionary Access Control)
(أ) نظام التحكم بالدخول إلى المعلومات الإجباري Mandatory Access Control) ) .
ويطبق مبدأ " أقل امتياز" (Least Privvlege) ، حيث لا يحق لأي شخص بحكم مركزه أو نفوذه الإطلاع على معلومات سرية أو حساسة ، مالم تتطلب طبيعة عمله ذلك ، ورؤية فقط ما هو ضروري لإنجاز الأعمال المطلوبة منهم نظام التحكم بالدخول إلى المعلومات Mandatory Access Control) ) في الولايات المتحدة الأمريكية تأسس على نوعان من هياكل التحكم : -
1. هيكل هرمي .
2. هيكل لا هرمي .
3. الهيكل الهرمي يتكون من أربعة تصنيفات للمعلومات الحساسة : -
1. سري للغاية : Top Secret المعلومات التي يؤدي إفشاؤها إلى خطر كبير على الأمة .
2. سـري : Secret المعلومات التي يؤدي إفشاؤها إلى ضرر الأمة .
3. خصوصي :Confidential : المعلومات التي يؤدي إفشاؤها إلى أذى لمصالح الأمة
4. غير مصنف Unclassified .
2. الهيكل اللاهرمي يتكون من تصنيفات للمعلومات الحساسة :
1. تقسيمات مستقلة : وهي مختصة بمواضيع أمنية ، وبعض التقسيمات المستقلة هي ذرية ونووية، أمن اتصالات ، استخبارات الاتصالات ، واستخبارات الإشارة الاستخبارات البشرية.
المعلومات السرية للغاية والمرتبطة بالتقسيمات المستقلة تسمى تقسيمات معلومات حساسة ( SCI ) وتستدعي معاملة خاصة، وأعلى درجاتها هي الخطة العملية المتكاملة (Siop) أو رد فعل الأمة في الحرب .
2. التقسيمات التحذرية : وهي مختصة بالجنسية المتوقعة للقارئ ، وملكية الموضوع . بعض التقسيمات التحذيرية هي (ليست للأجانب ، الأمريكيون والبريطانيون فقط ، وهكذا )
(ب) نظام التحكم بالدخول إلى المعلومات المبنى على التمييز (Discretionary Sccess Control )
باستخدام مصفوفة التحكم بالدخول لكل شخص أو برنامج أو جهاز مدرج في يمين المصفوفة يتعامل مع أية مادة من المعلومات المدرج اسمها في أعلى المصفوفة ويمكن الاستدلال مما في المصفوفة عما يستطيع هذا الشخص عمله باستخدام هذا الأمر قراءة ، كتابة ، تنفيذ ، الخ ..........
عشر مبادئ رئيسية متعلقة بحماية المعلومات الحساسة حماية أمنية
بافتراض أن الاستراتيجية الأولى قد تم تبنيها ، ونظاماً للتصنيف والتصريح قد أسس ، فأن هناك على الأقل عشر مبادئ رئيسية يجب اتباعها توضح طرق تنفيذ هذه الاستراتيجية ، وتصنيفاتها لحماية المعلومات الحساسة حماية أمنية حسب هذه الاستراتيجية .
1. مبدأ الشبكية : -
يتكون تصنيف عناصر المعلومات من تصنيفها الهرمي مضاف إليه كل الأجراء التي وضعت فيها تلك العناصر. التصريح لشخص أو المعالجة (مثل تنفيذ برنامج معين من قبل هذا الشخص) سيكون مؤلفاً من التصريح الهرمي لهذا الشخص مضافاً إليه تصريح كل العناصر التي يعالجها.
2. مبدأ الحماية البسيطة : -
لا يمسح لشخص أو المعالجة برؤية معلومات يتجاوز تصنيفها تصريح ذلك الشخص ( بصفة مختصرة لا يمكنه القراءة للأعلى) .
3. مبدأ النجمة (*) : -
لا يسمح لشخص أو لمعالجة الكتابة على أي موضع يكون تصنيفه أقل من أي من الموضوعات التي سبق وعالجها ذلك الشخص . هذا المبدأ وجد لمنع تسريب المعلومات من تصنيف عالي إلى تصنيف أقل ( بصيغة مختصرة لا يمكنه الكتابة للأسفل) .
4. مبدأ التكامل الأولى : -
لا يسمح لبرنامج حاسوب أن يقبل معلومات من برنامج أقل منه في الامتيازات وتعني الامتيازات ما يمكن عمله أكثر ضمن نظام الحاسوب . الهدف هنا هو تجنيب نظام التشغيل من أن يخدع من قبل مستخدم ماكر ( بصيغة مختصرة وبالنسبة لنظام التشغيل ، لا يمكن القراءة للأسفل ) .
5. مبدأ التكامل الثاني :
لا يسمح لبرنامج حاسوب الكتابة إلى برنامج آخر أعلى منه في الامتيازات . الهدف هنا هو تجنب تدمير أجزاء من نظام التشغيل من قبل برامج المستعملين . (بصفة مختصرة وبالنسبة لامتيازات النظام ، لا يمكن الكتابة للأعلى ) .
6. مبدأ التسمية : -
كل معلومة يجب أن تتم تسميتها بوضوح ومسجل عليها التصنيف بطريقة يمكن قراءاتها من قبل الإنسان والحاسوب.
7. مبدأ الثبات : -
لا يحق لأي شخص أو لمعالجة أن يبدل تصنيف أو معلومة أو تصريح أي شخص بدون اتباع الإجراءات النظامية .
8. مبدأ عدم الدخول : -
لا يدخل للنظام أي شخص ما عدا المسموح لهم ضمن الإجراءات بأمن وحماية النظام.
9. مبدأ التدقيق : -
الاحتفاظ بسجل لا يمكن إلغاؤه لكل العمليات التي تتم والمتعلقة بأمن وحماية النظام.
10. مبدأ البرامج الموثوق بها:-
قد لا تجد برنامج يطبق كل مبادئ السابقة ويبقى يعمل بفعالية ، لذا وجد هذا المبدأ للسماح لبعض البرامج الموثوق بها بكسر أحد أو كل القواعد السابقة إذا تطلبت الضرورة ذلك . شافية للأسئلة المطروحة فيرى البعض أن ذلك أمراً طيباً لأنه يمكن شبكة الإنترنت من العمل دون معوقات قانونية في مكان معين وفي الوقت نفسه كما أن هناك فرصة لوضع القيود أو التحفظات للحفاظ على مصالح الخصوصية المشروعة لجميع المستخدمين لشبكة الإنترنت . ذلك لأن ثقافة الإنترنت كما يقال تتعدى الحدود الوطنية وأصبحت ثقافية كونية ، ومن الممكن أن تتضمن هذه الثقافة الكونية بعض القيم الإنسانية المتصلة بالخصوصية.
أمن البيانات وكيفية أدائه في العصر الحديث
تعد حماية بيانات الوثائق أمراً غاية في الأهمية ، من أجل ذلك فلا بد من كفالة التحكم في هذه الحماية بالطرق الفنية الممكنة ، ومن هذه الطرق نظام إدارة قاعدة بيانات الوثائق (DBMS) حيث يساعد هذا النظام كلاً من الناشرين والمؤلفين في تطويع الوثائق وحفظها وفي هذه الحالة يتم التحكم في الوثيقة وعدم نسخها . كما يحفظ هذا النظام الوثيقة من التلف ومن الوصول إليها إلا عن طريق شخص مخول لذلك في الوقت الذي تتيح فيه عن طريق هذا النظام الاستجابة السريعة والاقتصادية لطلبات النشر أو النسخ . كما يساعد هذا النظام في الإدارة المتماسكة للوثائق كمصدر تنظيمي بما في ذلك تصنيف وتنظيم الوثائق اعتماداً على محتواها المعلوماتي .
أي أن النظام سيمكن الشخص المخول له مراجعة أو تعديل أو نسخ صورة من الوثيقة.
وعلى الرغم من أن الوصول المادي للبيانات يعد قضية الأمر الأكثر وضوحاً إلا أن الاستخدام غير الصحيح أو غير المقصود للبيانات يعد شيئاً خطيراً كذلك ، ذلك لأن عدم حماية البيانات الشخصية داخل المؤسسة يمكن أن يكون مدمراً لبعض الأشخاص .
من أجل ذلك فمنهجية معالجة قواعد البيانات الوثائقية Docubase يجب أن يتم وضعها لضمان دقة واكتمال الوثائق أولاً ، وذلك قبل تحميلها في قاعدة البيانات مع كفالة المراجعة المستمرة لهذه الوثائق لضمان دقتها .
المراجـــــــع
1. أحمد أنور بدر: مجتمع المعلومات الكوني، ومشكلات الخصوصية وأمن المعلومات، 2 رجب ذو الحجة 1418 هـ / نوفمبر 1997م.
2. حسين فؤاد سندي : المؤتمر الثلاثون للمنظمة الدولية لشرطة المطارات والموانئ البحرية، 22-27- صفر 1420 هـ المملكة العربية السعودية . جدة .
3. عبد الله بن عبد العزيز الدهلاوي: أمن المعلومات في الحاسبات الآلية، مجلة الدفاع، العدد 93.
4. محمد عبد الله رسلان: آفاق حرب المعلومات والأمن القومي، مجلة كلية الملك خالد العسكرية، العدد 51 ، النسبة 15.
5. حسين الهبائلي : دورة المعالجة الآلية واللغوية للبيانات في تحقيق أمن المعلومات.
د / جبريل حسن محمد العريشي
جامعـة الملك سـعود
استاذ المعلومات المشارك
في عصرنا هذا والذي يعرف بالانفتاحية المطلقة والشفافية المتناهية أصبحت حماية وأمن المعلومات الحساسة والثمينة من أعقد الأمور التي تواجه كبار المسؤولين في القطاعات الحكومية والخاصة. وعند محاولة تطبيق الحماية التقليدية نجدها مكلفة جداً وتعيق إنسيابية الأعمال، وتضعنا في مصادمة مع تيار التقدم والتطور الذي يتطلب منا وضع جميع معلوماتنا المحفوظة على ورق في قواعد بيانات حاسوبية متواصلة مع حواسيب أخرى بواسطة شبكة داخلية تسمى الإنترنت (Enternet) ومطلوب الآن ربط الشبكة الداخلية هذه مع شبكة خارجية عالمية تسمى الإنترنت (Enternet) ، مما يعني فعلياً وضع جميع المعلومات لديك على الشبكة العالمية هذه التي يستخدمها أكثر من مائة مليون شخص في جميع أنحاء العالم ، والذي يعني بدوره أنك الآن تحت رحمة من يمتلكون ناصية علم وتقنية الحاسوب من هؤلاء أن كان على مستوى الأشخاص أو الشركات أو الدول.
الحقيقة المرة أن معظم الدول النامية لا تعتمد خطة وطنية شاملة مبنية على استراتيجية مدروسة لحماية معلوماتها ، لتواكب التطور الذي حصل في أداء الأعمال في العالم المتقدم . فحماية المعلومات لدى هذه الدول في مجمله يعتمد أولاً على الثقة في الأَشخاص ( في معظم الحالات يظهر هؤلاء الأشخاص الثقة والولاء ، ولأنهم يحاولون قدر جهدهم إبقاء الأمر كما هي عليه ويحاربون التغير الذي يحمله التطور والتحديث ، مع عملنا أن محاربة التطوير والتحديث هي أكبر كارثة تواجه الأمم وخاصة في عصرنا هذا .
فما العمل إذن لا بد من وضع خطة وطنية شاملة National Information Protection Security Plan ) and مبينة على استراتيجية واضحة ومدروسة جيداً لحماية وأمن المعلومات ، تسمح بانسيابية الأعمال ولا تتعارض مع الإنفتاحية المعلوماتية ولا تعكر صفو الشفافية المطلوبة لمجاراة العولمة بكل تحدياتها . دون التضحية بالأسرار الوطنية والاقتصادية الثمينة . وهذا لعمري ليس بالأمر الهين ، بل يتطلب كفاءات متخصصة ومجهود كبير ، ينطلق من تخطيط تقني سليم ، لرسم هذه الخطة التي ستظهر على شكل الستراتيجية بسياسات وأنظمة وقوانين وإجراءات مطبقة على نظم الحاسوب وكذلك مطبوعة في أدلة يتم توزيعها والالتزام بها ومتابعة تنفيذها على مستوى الوطن.
وفي محيط معالجة المعلومات وبشكل عام يقال بأن الحاسوب إضافة إلى الأجهزة التابعة والتجهيزات المحيطة به تمثل حقيقة تكلفة عالية، وتمثل جانب استثماري كبير في التقنية، ومن المسلم به أن هذه الأجهزة حساسة ومهمة لاستمرار العمل ولا يمكن استبدالها بسهولة. وبالتالي فإن غرف الحاسوب ومراكز تحضير المعلومات تكون عادة محمية ، كحماية الممتلكات المهمة، بمباني آمنة، ذات أبواب بأقفال.
أما المعلومات المخزنة في أجهزة الحاسوب فهي نادراً ما تحسب من الموجودات القيمة، وهنا مكمن الخطر . حيث يستطيع شخص ما من مبني مجاور، أو على بعد عشرة آلاف كليو متر، باستخدام جهاز حاسوب شخصي صغير، موصول بشبكة الإنترنت ، التسلسل إلى شبكة المعلومات لديك المربوطة بطريقة مباشرة أو غير مباشرة بالإنترنت . لذا فإن كل أشكال الحماية التقليدية التي اتخدذتها لن تفيدك. عند وضع هذه الاستراتيجية يجب النظر إلى الدول المتقدمة ، وكيف تعمل على حماية معلوماتها السرية. بالنظر إلى استراتيجية الولايات المتحدة الأمركية ودول حلف الناتو نجد أن أهم عناصر هذه الاستراتيجية هو التصنيف لأية وثيقة أو رسالة لحظة ولادتها، والحرص على ذلك التصنيف عند تدوالها أو تخزينها أو تحولها أو جزء منها من شكل إلى آخر.
• مبادئ استراتيجية حماية وأمن المعلومات الوطنية : -
1- كل ما هو ليس ممنوع مسموح .
2- كل ما هو ليس مسموح ممنوع .
في الدول المتقدمة الاستراتيجية الأولى هي المطبقة في عملية الدخول (Access) إلى المعلومات الحكومية . أما معظم دول العالم الأخرى فالدخول إلى المعلومات الحكومية محكوم بالاستراتيجية الثانية . أحد الفروقات المهمة هو أنك في الأولى تعمل على تحديد ما هو ممنوع ، بينما في الثانية تعمل على تحديد ما هو مسموح ، (والبديهي أن يكون نسبة السري أو الممنوع أكثر بكثير من الغير سري أو المسموح ) ، وفي الأولى ينتج لديك نسبة بسيطة جداً لما هو سري وممنوع ، فبالتالي يسهل عليك تأمينه وحمايته بينما في الثانية ينتج لديك نسبة عالية جداً لما هو سري وممنوع ، يصعب عليك تأمينه وحمايته . وفي معظم دول العالم الثالث يتم تطبيق الإستراتيجية الثانية وبطرق تختلف من موقع إلى آخر وحتى من شخص إلى آخر ومدى فهمه ووعيه لحماية وأمن المعلومات ، أما الاستراتيجية الأولى المبنية على التقدم التقني لخدمة حماية وأمن المعلومات فهي تصنع تفاصيل دقيقة وإجراءات محددة وتطبق على جميع المستويات من قبل الجميع ولا تستطيع أية جهة التعامل مع المعلومات دون الإلتزام التام بهذه الإجراءات وهي مبنية داخل نظام الحاسوب من لحظة ولادتها .هذا باختصار شديد فالفرق شاسع بين الاثنين . ومع أن الاستراتيجية الأولى توفر إمكانيات فائقة لحماية وأمن المعلومات فأنها تسمح بل تنمي عوامل التطور ، فهي : -
1. تيسر انسياب المعلومات أفقياً وعمودياً وتخترق الطبقية البيروقراطية .
2. تسمح بالمشاركة في اتخاذ القرار .
3. توفر الشفافية .
4. تدعم إمكانية التوقع أو التنبؤ والاستنباط .
5. تدعم الموثوقية ( وأبسط أشكالها : معرفة من عمل ماذا للمعلومات وبصورة قاطعة للشك )
6. تضمن المحافظة على تكامل وسلامة المعلومات وعدم السماح بتزوير المعلومات .
الاستراتيجية الأولى تنقسم إلى نظامين للتحكم بالدخول إلى المعلومات .
(أ) نظام التحكم بالدخول إلى المعلومات الإجباري Mandatory Access Control) ) .
(ب) نظام التحكم بالدخول إلى المعلومات المبني على التميز (Discretionary Access Control)
(أ) نظام التحكم بالدخول إلى المعلومات الإجباري Mandatory Access Control) ) .
ويطبق مبدأ " أقل امتياز" (Least Privvlege) ، حيث لا يحق لأي شخص بحكم مركزه أو نفوذه الإطلاع على معلومات سرية أو حساسة ، مالم تتطلب طبيعة عمله ذلك ، ورؤية فقط ما هو ضروري لإنجاز الأعمال المطلوبة منهم نظام التحكم بالدخول إلى المعلومات Mandatory Access Control) ) في الولايات المتحدة الأمريكية تأسس على نوعان من هياكل التحكم : -
1. هيكل هرمي .
2. هيكل لا هرمي .
3. الهيكل الهرمي يتكون من أربعة تصنيفات للمعلومات الحساسة : -
1. سري للغاية : Top Secret المعلومات التي يؤدي إفشاؤها إلى خطر كبير على الأمة .
2. سـري : Secret المعلومات التي يؤدي إفشاؤها إلى ضرر الأمة .
3. خصوصي :Confidential : المعلومات التي يؤدي إفشاؤها إلى أذى لمصالح الأمة
4. غير مصنف Unclassified .
2. الهيكل اللاهرمي يتكون من تصنيفات للمعلومات الحساسة :
1. تقسيمات مستقلة : وهي مختصة بمواضيع أمنية ، وبعض التقسيمات المستقلة هي ذرية ونووية، أمن اتصالات ، استخبارات الاتصالات ، واستخبارات الإشارة الاستخبارات البشرية.
المعلومات السرية للغاية والمرتبطة بالتقسيمات المستقلة تسمى تقسيمات معلومات حساسة ( SCI ) وتستدعي معاملة خاصة، وأعلى درجاتها هي الخطة العملية المتكاملة (Siop) أو رد فعل الأمة في الحرب .
2. التقسيمات التحذرية : وهي مختصة بالجنسية المتوقعة للقارئ ، وملكية الموضوع . بعض التقسيمات التحذيرية هي (ليست للأجانب ، الأمريكيون والبريطانيون فقط ، وهكذا )
(ب) نظام التحكم بالدخول إلى المعلومات المبنى على التمييز (Discretionary Sccess Control )
باستخدام مصفوفة التحكم بالدخول لكل شخص أو برنامج أو جهاز مدرج في يمين المصفوفة يتعامل مع أية مادة من المعلومات المدرج اسمها في أعلى المصفوفة ويمكن الاستدلال مما في المصفوفة عما يستطيع هذا الشخص عمله باستخدام هذا الأمر قراءة ، كتابة ، تنفيذ ، الخ ..........
عشر مبادئ رئيسية متعلقة بحماية المعلومات الحساسة حماية أمنية
بافتراض أن الاستراتيجية الأولى قد تم تبنيها ، ونظاماً للتصنيف والتصريح قد أسس ، فأن هناك على الأقل عشر مبادئ رئيسية يجب اتباعها توضح طرق تنفيذ هذه الاستراتيجية ، وتصنيفاتها لحماية المعلومات الحساسة حماية أمنية حسب هذه الاستراتيجية .
1. مبدأ الشبكية : -
يتكون تصنيف عناصر المعلومات من تصنيفها الهرمي مضاف إليه كل الأجراء التي وضعت فيها تلك العناصر. التصريح لشخص أو المعالجة (مثل تنفيذ برنامج معين من قبل هذا الشخص) سيكون مؤلفاً من التصريح الهرمي لهذا الشخص مضافاً إليه تصريح كل العناصر التي يعالجها.
2. مبدأ الحماية البسيطة : -
لا يمسح لشخص أو المعالجة برؤية معلومات يتجاوز تصنيفها تصريح ذلك الشخص ( بصفة مختصرة لا يمكنه القراءة للأعلى) .
3. مبدأ النجمة (*) : -
لا يسمح لشخص أو لمعالجة الكتابة على أي موضع يكون تصنيفه أقل من أي من الموضوعات التي سبق وعالجها ذلك الشخص . هذا المبدأ وجد لمنع تسريب المعلومات من تصنيف عالي إلى تصنيف أقل ( بصيغة مختصرة لا يمكنه الكتابة للأسفل) .
4. مبدأ التكامل الأولى : -
لا يسمح لبرنامج حاسوب أن يقبل معلومات من برنامج أقل منه في الامتيازات وتعني الامتيازات ما يمكن عمله أكثر ضمن نظام الحاسوب . الهدف هنا هو تجنيب نظام التشغيل من أن يخدع من قبل مستخدم ماكر ( بصيغة مختصرة وبالنسبة لنظام التشغيل ، لا يمكن القراءة للأسفل ) .
5. مبدأ التكامل الثاني :
لا يسمح لبرنامج حاسوب الكتابة إلى برنامج آخر أعلى منه في الامتيازات . الهدف هنا هو تجنب تدمير أجزاء من نظام التشغيل من قبل برامج المستعملين . (بصفة مختصرة وبالنسبة لامتيازات النظام ، لا يمكن الكتابة للأعلى ) .
6. مبدأ التسمية : -
كل معلومة يجب أن تتم تسميتها بوضوح ومسجل عليها التصنيف بطريقة يمكن قراءاتها من قبل الإنسان والحاسوب.
7. مبدأ الثبات : -
لا يحق لأي شخص أو لمعالجة أن يبدل تصنيف أو معلومة أو تصريح أي شخص بدون اتباع الإجراءات النظامية .
8. مبدأ عدم الدخول : -
لا يدخل للنظام أي شخص ما عدا المسموح لهم ضمن الإجراءات بأمن وحماية النظام.
9. مبدأ التدقيق : -
الاحتفاظ بسجل لا يمكن إلغاؤه لكل العمليات التي تتم والمتعلقة بأمن وحماية النظام.
10. مبدأ البرامج الموثوق بها:-
قد لا تجد برنامج يطبق كل مبادئ السابقة ويبقى يعمل بفعالية ، لذا وجد هذا المبدأ للسماح لبعض البرامج الموثوق بها بكسر أحد أو كل القواعد السابقة إذا تطلبت الضرورة ذلك . شافية للأسئلة المطروحة فيرى البعض أن ذلك أمراً طيباً لأنه يمكن شبكة الإنترنت من العمل دون معوقات قانونية في مكان معين وفي الوقت نفسه كما أن هناك فرصة لوضع القيود أو التحفظات للحفاظ على مصالح الخصوصية المشروعة لجميع المستخدمين لشبكة الإنترنت . ذلك لأن ثقافة الإنترنت كما يقال تتعدى الحدود الوطنية وأصبحت ثقافية كونية ، ومن الممكن أن تتضمن هذه الثقافة الكونية بعض القيم الإنسانية المتصلة بالخصوصية.
أمن البيانات وكيفية أدائه في العصر الحديث
تعد حماية بيانات الوثائق أمراً غاية في الأهمية ، من أجل ذلك فلا بد من كفالة التحكم في هذه الحماية بالطرق الفنية الممكنة ، ومن هذه الطرق نظام إدارة قاعدة بيانات الوثائق (DBMS) حيث يساعد هذا النظام كلاً من الناشرين والمؤلفين في تطويع الوثائق وحفظها وفي هذه الحالة يتم التحكم في الوثيقة وعدم نسخها . كما يحفظ هذا النظام الوثيقة من التلف ومن الوصول إليها إلا عن طريق شخص مخول لذلك في الوقت الذي تتيح فيه عن طريق هذا النظام الاستجابة السريعة والاقتصادية لطلبات النشر أو النسخ . كما يساعد هذا النظام في الإدارة المتماسكة للوثائق كمصدر تنظيمي بما في ذلك تصنيف وتنظيم الوثائق اعتماداً على محتواها المعلوماتي .
أي أن النظام سيمكن الشخص المخول له مراجعة أو تعديل أو نسخ صورة من الوثيقة.
وعلى الرغم من أن الوصول المادي للبيانات يعد قضية الأمر الأكثر وضوحاً إلا أن الاستخدام غير الصحيح أو غير المقصود للبيانات يعد شيئاً خطيراً كذلك ، ذلك لأن عدم حماية البيانات الشخصية داخل المؤسسة يمكن أن يكون مدمراً لبعض الأشخاص .
من أجل ذلك فمنهجية معالجة قواعد البيانات الوثائقية Docubase يجب أن يتم وضعها لضمان دقة واكتمال الوثائق أولاً ، وذلك قبل تحميلها في قاعدة البيانات مع كفالة المراجعة المستمرة لهذه الوثائق لضمان دقتها .
المراجـــــــع
1. أحمد أنور بدر: مجتمع المعلومات الكوني، ومشكلات الخصوصية وأمن المعلومات، 2 رجب ذو الحجة 1418 هـ / نوفمبر 1997م.
2. حسين فؤاد سندي : المؤتمر الثلاثون للمنظمة الدولية لشرطة المطارات والموانئ البحرية، 22-27- صفر 1420 هـ المملكة العربية السعودية . جدة .
3. عبد الله بن عبد العزيز الدهلاوي: أمن المعلومات في الحاسبات الآلية، مجلة الدفاع، العدد 93.
4. محمد عبد الله رسلان: آفاق حرب المعلومات والأمن القومي، مجلة كلية الملك خالد العسكرية، العدد 51 ، النسبة 15.
5. حسين الهبائلي : دورة المعالجة الآلية واللغوية للبيانات في تحقيق أمن المعلومات.
د / جبريل حسن محمد العريشي
جامعـة الملك سـعود
استاذ المعلومات المشارك
ياسرحسين- عضو جديد
- عدد المساهمات : 7
التقييم : 1
تاريخ التسجيل : 04/11/2010
صفحة 1 من اصل 1
صلاحيات هذا المنتدى:
لاتستطيع الرد على المواضيع في هذا المنتدى