Professional Documents
Culture Documents
للعلوم والتقنية
دراسات عليا
اشراف
د /ياسر المعمري
2016م
المقدمة
لقد فرض عصر العولمة تغٌرات كثٌرة على شتى مجاالت الحٌاة ،وتسابقت دول العالم لدخول
األسواق العالمٌة من أوسع أبوابها ،فالكل ٌحاول إٌجاد افضل وأسهل الطرق للدخول فً هذا
النظام العالمً الجدٌد بشتى الطرق ،مما جـعل العالم أشبه بقرٌة واحدة.
ولقد ساهمت تكنولوجٌا المعلومات ،ومن خالل أشكالها العصرٌة المتطورة ،والمتسارعة ،
والمتغٌرة ،والمتعددة فً جعل كل من ٌرغب فً الدخول فً النظام العالمً الجدٌد أن ٌبحث ،
وٌنشئ مقومات وآلٌات تساعده فً خوض هذا السباق.
لقد بدأت الشركات ومنذ عهد قرٌب باستخدام خدمة ما ٌسمى بالتجارة اإللكترونٌة عبر شبكة
االنترنٌت ،والسبب وراء ذلك ٌكمن بأن هذه الشبكة اإللكترونٌة غزت جمٌع دول العالم
وبشكل متسارع وبواسطتها ٌمكن للشركات تسوٌق وبٌع منتجاتها والوصول للمستهلك أٌنما
كان وبتكلفة قلٌلة ،وٌمكن القول بأن هذه الشبكة قد ألغت الحدود بٌن الدول.
تقوم حالٌا كثٌر من الشركات بإنشاء موقع لها على تلك الشبكة السحرٌة ٌسمى (Web
) Pageتسوق من خاللها منتجاتها ،وٌمكن للعمٌل إتمام عملٌة الشراء باستخدام بطاقات
االعتماد والشراء على الحساب وذلك وفقا لقٌود وقوانٌن وروابط مصممة من قبل الشركة
صاحبة الموقع.
ولكن وبالرغم من إٌجابٌات شبكة االنترنٌت إال انه هناك سلبٌات و محددات تعد خطٌرة جدا
على نظام المعلومات المحاسبً والتً تؤثر على فاعلٌته وكفاءته ومن أهم هذه المحددات أو
السلبٌات عدم توفر ما ٌلً:
ومن دون توافر البنود الثالثة المذكورة أعاله ٌ ،صبح النظام المحاسبً عقٌما تماما وقد
تصبح فاعلٌته وكفاءته موضع شك وفً أسوأ الحاالت قد ٌؤدي النهٌار الشركة تماما .ولهذا
فان الشركات تسعى بشتى الطرق لتفادي تلك السلبٌات ،أو المحددات.
امن المعلومات
ٌ -عرف أمن المعلومات من زاوٌة أكادٌمٌة" أنه العلم الذي ٌبحث فً نظرٌات
واستراتٌجٌات توفٌر الحماٌة للمعلومات من المخاطر التً تهددها ومن أنشطة
االعتداء علٌها"،
-أما من زاوٌة تقنٌة فٌعرف أمن المعلومات أنه عبارة عن" الوسائل واألدوات
واإلجراءات الالزم توفٌرها لضمان حماٌة المعلومات من األخطار الداخلٌة
والخارجٌة"،
ومن زاوٌة قانونٌة ٌعرف أمن المعلومات بأنه" محل دراسات وتدابٌر حماٌة سرٌة -
وسالمة محتوى وتوفر المعلومات ومكافحة أنشطة االعتداء علٌها أو استغالل نظمها
فً ارتكاب الجرٌمة.
-كما ٌعرؾ أمن المعلومات بأنه" السٌاسات واإلجراءات والمقاٌٌس الفنٌة والتً
تستخدم لتحول دون الوصول ؼٌر المتعمد أو السرقة أو التدمٌر للسجالت" .
ومن خالل ما سبق نصل إلى أن استراتٌجٌة أمن المعلومات عبارة عن القواعد التً تحدد
كٌفٌة الوصول إلى المعلومات والتعامل معها.
وتعد استراتٌجٌة أمن المعلومات مهمة جدا للحفاظ على أمن نظم المعلومات المحاسبٌة بحٌث
تمنع األشخاص الذٌن ال ٌحق لهم الوصول إلى المعلومات أن ٌصلوا إلى تلك المعلومات أو
التعامل معها أو التعرؾ علٌها.
ولكً تعتبر استراتٌجٌة أمن المعلومات ناجحة وفعالة وقابلة للتطبٌق فال بد أن ٌشارك فً
اعدادها وتنفٌذها جمٌع المستوٌات الوظٌفٌة التً لها عالقة بتلك االستراتٌجٌة حٌث تسعى تلك
المستوٌات إلى انجاح تلك االستراتٌجٌة من خالل تحقٌق أهداؾ استراتٌجٌة أمن المعلومات
والتً تتمثل فً:
.1تعرٌؾ مستخدمً نظم المعلومات ومختلؾ االدارٌٌن بالتزاماتهم وواجباتهم المطلوبة
لحماٌة نظم الحاسوب والشبكات والمعلومات بكافة أشكالها وفً مختلؾ مراحل
جمعها وادخالها ومعالجتها ونقلها عبر الشبكات واعادة استرجاعها عند الحاجة.
.2تحدٌد وضبط اآللٌات التً ٌتم من خاللها تحقٌق وتنفٌذ الواجبات المحددة لكل من له
عالقة بنظم المعلومات ونظمها وتحدٌد المسؤولٌات عند حصول الخطر.
.3بٌان اإلجراءات المتبعة لتفادي التهدٌدات والمخاطر وكٌفٌة التعامل معها عند
حصولها والجهات المكلفة بالقٌام بذلك.
عناصر أمن المعلومات
من أجل حماٌة المعلومات من المخاطر التً تتعرض لها ال بد من توفر مجموعة من العناصر
التً ٌجب أخذها بعٌن االعتبار لتوفٌر الحماٌة الكافٌة للمعلومات ،ولقد صنؾ تلك العناصر إلى
خمسة عناصر وهً:
.1السرٌة أو الموثوقٌة
وهً تعنً التأكد من أن المعلومات ال ٌمكن االطالع علٌها أو كشفها من قبل أشخاص ؼٌر
مصرح لهم بذلك ولتجسٌد هذا األمر ٌجب على المؤسسة استخدام طرق الحماٌة المناسبة من
خالل استخدام وسائل عدٌدة مثل عملٌات تشفٌر الرسائل أو منع التعرؾ على حجم تلك
المعلومات أو مسار إرسالها.
.3سالمة المحتوى
وهً تعنً التأكد من أن محتوى المعلومات صحٌح ولم ٌتم تعدٌله أو تدمٌره أو العبث به فً
أي مرحلة من مراحل المعالجة أو التبادل سواء كان التعامل داخلٌا فً المشروع أو خارجٌا
من قبل أشخاص ؼٌر مصرح لهم بذلك وٌتم ذلك ؼالبا بسبب االختراقات الؽٌر مشروعة مثل
الفٌروسات حٌث ال ٌمكن ألحد أن ٌكسر قاعدة بٌانات البنك وٌقوم بتؽٌٌر رصٌد حسابه لذلك
ٌقع على عاتق المؤسسة تأمٌن سالمة المحتوى من خالل اتباع وسائل حماٌة مناسبة مثل
البرمجٌات والتجهٌزات المضادة لالختراقات أو الفٌروسات.
.5عدم اإلنكار
وٌقصد به ضمان عدم إنكار الشخص الذي قام بإجراء معٌن متصل بالمعلومات لهذا اإلجراء،
ولذلك ال بد من توفر طرٌقة أو وسٌلة إلثبات أي تصرؾ ٌقوم به أي شخص للشخص الذي
قام به فً وقت معٌن ،ومثال ذلك للتأكد من وصول بضاعة تم شراؤها عبر شبكة اإلنترنت
إلى صاحبها ،وإلثبات تحوٌل المبالػ إلكترونٌا ٌتم استخدام عدة رسائل مثل التوقٌع اإللكترونً
والمصادقة اإللكترونٌة.
تعتبر نظم المعلومات المحاسبٌة اإللكترونٌة أقل أمانا من نظم المعلومات الٌدوٌة وذلك نظرا
العتماد النظم المحاسبٌة اإللكترونٌة على حفظ بٌاناتها فً ملفات الكترونٌة ٌستطٌع عدد كبٌر
من األشخاص الوصول إلٌها واالطالع علٌها ،ولذلك فإن نظم المعلومات المحاسبٌة
اإللكترونٌة قد تتعرض للعدٌد من المخاطر التً قد تهدد أمنها وذلك بسبب مجموعة من
العوامل وهً كما ٌلً:
.1نظم المعلومات اإللكترونٌة تتضمن كم هائل من البٌانات ولذلك فإنه ٌصعب عمل نسخ
ورقٌة لها.
.2صعوبة اكتشاؾ األخطاء الناتجة عن التؽٌر فً نظام المعلومات المحاسبً اإللكترونً
وذلك ألنه ال ٌمكن التعامل أو قراءة سجالتها إال بواسطة الحاسب والذي ال ٌكشؾ أي
تؽٌٌر.
.3صعوبة مراجعة اإلجراءات التً تتم من خالل الحاسب وذلك ألنها ؼٌر مرئٌة وؼٌر
ظاهرة.
.4صعوبة تؽٌٌر النظم اآللٌة مقارنة بالنظم الٌدوٌة.
.5احتمال تعرض النظم اآللٌة إلى إساءة استخدامها بواسطة الخبراء ؼٌر المنتمٌن
للمنظمة فً حال استدعائهم لتطوٌر النظم.
.6قد تؤدي المخاطر التً تتعرض لها النظم اآللٌة إلى تدمٌر كافة سجالت المنظمة
وبذلك فهً أشد خطورة على النظم اآللٌة من النظم الٌدوٌة.
.7انخفاض المستندات التً ٌمكن من خاللها مراجعة النظام تؤدي إلى انخفاض حالة
األمان الٌدوٌة.
.8احتمال تعرض النظم اآللٌة إلى حدوث أخطاء أو إساءة استخدام النظام فً مرحلة
تشؽٌل البٌانات وذلك لتعدد عملٌات التشؽٌل فً النظام اآللً.
.9ضعؾ الرقابة على النظام اآللً بسبب االتصال المباشر للمستخدم بنظم المعلومات.
التطور التكنولوجً فً االتصال عن بعد سهل عملٌة االتصال بنظم المعلومات .10
من أي مكان وبالتالً إمكانٌة الوصول ؼٌر المسموح به أو إساءة استخدام نظم
المعلومات.
استخدام العدٌد من التطبٌقات فً مواقع مختلفة لنفس قاعدة البٌانات ٌؤدي .11
إلى إمكانٌة اختراقها بفٌروسات الحاسب وبالتالً امكانٌة تدمٌر أو تؽٌٌر قاعدة
البٌانات لنظام المعلومات.
ومن خالل ما سبق نجد أنه ٌنبؽً على إدارة المؤسسة العمل على حماٌة بٌاناتها بكافة
أشكالها ،سواء كانت ورقٌة أو ؼٌر ورقٌة ،كما أن نظام المعلومات المحاسبً اإللكترونً
ٌكون عرضة للمخاطر أكثر من ؼٌره من النظم ولذلك ال بد لإلدارة من وضع قٌود على
المستخدمٌن تحد من امكانٌة التالعب بالبٌانات أو العبث بها سواء من أطراؾ داخل المؤسسة
أو خارجها.
ٌعتبر موضوع حماٌة البٌانات من األمور الواجب االهتمام بها فً كافة مراحل إعداد نظم
المعلومات المحاسبٌة حٌث أن أمن البٌانات والمعلومات أصبح من أهم عناصر الرقابة الواجب
تطبٌقها على المعلومات من خالل التخطٌط المستمر خالل دورة حٌاة نظم المعلومات
المحاسبٌة المستخدمة.
وتعتبر المخاطر المقصودة أشد خطرا على أداء فعالٌة النظم وتزداد تلك الخطورة فً النظم
اإللكترونٌة.
وتكمن خطورة مشاكل أمن المعلومات فً عدة جوانب منها تقلٌل أداء األنظمة الحاسوبٌة ،أو
تخرٌبها بالكامل مما ٌؤدي إلى تعطٌل الخدمات الحٌوٌة للمنشأة ،أما الجانب اآلخر فٌشمل
سرٌة وتكامل المعلومات حٌث قد ٌؤدي االطالع والتصنت على المعلومات السرٌة أو تؽٌٌرها
الى خسائر مادٌة أو معنوٌة كبٌرة وٌمكن تصنٌؾ مخاطر تهدٌدات أمن نظم المعلومات
المحاسبٌة اإللكترونٌة من وجهات نظر مختلفة إلى عدة أنواع:
.1وضع سٌاسة حماٌة عامة ألمن نظم المعلومات المحاسبٌة تتحدد حسب طبٌعة عمل
وتطبٌقات المنشأة.
ٌ .2جب على اإلدارة العلٌا فً المنشأة دعم أمن نظم المعلومات لدٌها.
ٌ .3جب أن توكل مسؤولٌة أمن نظم المعلومات فً المؤسسة ألشخاص محددٌن.
.4تحدٌد الحماٌة الالزمة لنظم التشؽٌل والتطبٌقات المختلفة.
.5تحدٌد آلٌات المراقبة والتفتٌش لنظم المعلومات والشبكات الحاسوبٌة.
.6االحتفاظ بنسخ احتٌاطٌة لنظم المعلومات بشكل آمن.
.7تشفٌر المعلومات التً ٌتم حفظها وتخزٌنها ونقلها على مختلؾ الوسائط.
.8تأمٌن استمرارٌة عمل وجاهزٌة نظم المعلومات خاصة فً حالة األزمات ومواجهة
المخاطر المتعلقة بنظم المعلومات.
اجراءات الحماٌة الفٌزٌائٌة لنظم المعلومات بما فٌها الحماٌة المادٌة لألجهزة التً
تحتوي على نظم المعلومات.
انتقاء العاملٌن فً النظم المعلوماتٌة بحٌث ٌكونوا ذوي خبرة وثقة وأمانة وٌعملون
لمصلحة المنشأة وتوعٌتهم أمنٌا للمحافظة على أمن المعلومات.
إجراءات الحماٌة الخاصة بنظم تشؽٌل البٌانات والبرامج التطبٌقٌة الالزمة لذلك
وضبط الصالحٌات الخاصة بنظم التشؽٌل.
إجراءات الحماٌة الخاصة بالشبكات المعلوماتٌة ومنع اختراقها.
العمل على تشفٌر المعلومات التً ٌتم تخزٌنها ونقلها حتى ال ٌتم معرفة ماهٌتها فً
حالة الحصول علٌها من أشخاص ؼٌر مصرح لهم بذلك.
إجراءات حفظ البٌانات بصورة عامة وحفظ نسخ منها فً مواقع آمنة ٌمكن الرجوع
إلٌها عند الحاجة لذلك.
إجراءات ضمان استمرارٌة عمل وجاهزٌة نظم المعلومات فً شتى الظروؾ التً قد
تواجه النظم ،مثل تعطل أو توقؾ النظم المعلوماتٌة عن العمل.
مجموعة الوسائل المتعلقة بالتحكم بالدخول والنفاذ الى الشبكة وهً التً تساعد فً
التأكد من ان الشبكة ومصادرها قد استخدمت بطرٌقة مشروعة ،وتشمل من بٌن ما
تشمل الوسائل التً تعتمد على تحدٌد حقوق المستخدمٌن ،او قوائم اشخاص
المستخدمٌن أنفسهم ،او تحدٌد المزاٌا االستخدامٌة او ؼٌر ذلك من اإلجراءات
واالدوات والوسائل التً تتٌح التحكم بمشروعٌة استخدام الشبكة ابتداء.
مجموعة الوسائل التً تهدؾ الى منع افشاء المعلومات لؽٌر المخولٌن بذلك وتهدؾ
الى تحقٌق سرٌة المعلومات ،وتشمل هذه الوسائل من بٌن ما تشمل تقنٌات تشفٌر
المعطٌات والملفات ،وإجراءات حماٌة نسخ الحفظ االحتٌاطٌة ،والحماٌة المادة
لألجهزة ومكونات الشبكات واستخدام الفلترات والموجهات .
مجموعة الوسائل الهادفة لحماٌة التكاملٌة ( سالمة المحتوى ) وهً الوسائل المناط
بها ضمان عدم تعدٌل محتوى المعطٌات من قبل جهة ؼٌر مخولة بذلك ،وتشمل من
بٌن ما تشمل تقنٌات الترمٌز والتواقٌع اإللكترونٌة وبرمجٌات تحري الفاٌروسات
وؼٌرها .
مجموعة الوسائل المتعلقة بمنع االنكار ( انكار التصرفات الصادرة عن الشخص )،
وتهدؾ هذه الوسائل الى ضمان عدم قدرة شخص المستخدم من انكار انه هو الذي
قام بالتصرؾ ،وهً وسائل ذات اهمٌة بالؽة فً بٌئة االعمال اإللكترونٌة والتعاقدات
على الخط ،وترتكز هذه الوسائل فً الوقت الحاضر على تقنٌات التوقٌع اإللكترونً
وشهادات التوثٌق الصادرة عن طرؾ ثالث.
وسائل مراقبة االستخدام وتتبع سجالت النفاذ او األداء ( االستخدام ) ،وهً التقنٌات
التً تستخدم لمراقبة العاملٌن على النظام لتحدٌد الشخص الذي قام بالعمل المعٌن فً
وقت معٌن ،وتشمل كافة أنواع البرمجٌات والسجالت اإللكترونٌة التً تحدد
االستخدام.
اٌضاح موجز حول اكثر وسائل االمن شٌوعا فً بٌئة نظم المعلومات -:
برمجٌات كشؾ ومقاومة الفٌروسات.
الجدران النارٌة والشبكات االفتراضٌة الخاصة.
التحقق من الهوٌة.
التشفٌر تحظى تقنٌات وسٌاسات التشفٌر فً الوقت الحاضر باهتمام استثنائً فً
مٌدان أمن المعلومات ،ومرد ذلك ان حماٌة التشفٌر ٌمثل الوسٌلة االكثر اهمٌة
لتحقٌق وظائؾ األمن الثالثة ،السرٌة والتكاملٌة وتوفٌر المعلومات .
فان التشفٌر ٌمر بمرحلتٌن رئٌستٌن ،األولى تشفٌر النص على نحو ٌحوله الى رموز
ؼٌر مفهومة او مقروءة بلؽة مفهومة ،والثانٌة ،فك الترمٌز بإعادة النص المشفر الى
وضعه السابق كنص مفهوم ومقروء ،وهذه المسالة تقوم بها برمجٌات التشفٌر التً
تختلؾ أنواعها ووظائفها .اما من حٌث طرق التشفٌر ،فثمة التشفٌر الترمٌزي ،والتشفٌر
المعتمد على مفاتٌح التشفٌر ،التً قد تكون مفاتٌح عامة او خاصة او مزٌجا منها.