انظمة الامن المادي في مراكز المعلومات

Spread the love

الملخص

مع الانتشار الكبير لأنظمة المعلومات والتقنيات الجديدة حول العالم, أصبح من الضروري علينا دراسة أمن هذه  الأنظمة وتوعية من حولنا بهذه الأنظمة وطرق حمايتها فلابد من أن نتخذ كافة التدابير اللازمة لحماية هذه الأنظمة قبل وقوع المحظور من دخول المتطفلين ولصوص المعلومات، فعلينا أن نضع سياسة أمنية ونطبقها في المنظمة, ونحرص على تدريب الموظفين وتثقيفهم بأهمية الأمن بالنسبة لمعلومات المنظمة، فإننا بذلك نضمن سلامة الأنظمة  والمنظمة والعاملين فيها من العبث بها أو سرقتها أو تخريبها.

فطرق تحقيق الأمن المادي تتراوح بين الأساليب التقليدية  كالأسوار والحراس والأقفال والأسلاك الشائكة والمراقبة المرئية، وبين الأساليب الأكثر تطورا والأكثر تقدماً من الناحية التقنية والتي تتضمن أنظمة المراقبة الرقمية واستخدام القياسات الحيوية وغيرها، وكما هو معروف بأن الأمن المادي يوفر حماية للمؤسسة من التعرض لسرقة موجوداتها الرئيسية أو تخريبها أو تدميرها من قبل المقتحمين من الخارج أو أشخاص من الداخل. ولا ننسى أيضا أن الموقع الجغرافي للمبنى الذي يوجد به خادمات المعلومات له تأثير على حماية المعلومات فوجوده بالقرب من جبل عالي يقلل من احتمالية التسلل للداخل وسرقة المعلومات والأجهزة.

وبالتالي فإن العديد من المنظمات تضع سياسات مختلفة لكي تحقق الأمن المادي داخل منظمتها.فالأمن المادي يتضمن عدة أنظمة تتكامل فيما بينها لتحقق الحماية الفعلية للخوادم ومراكز المعلومات في المنظمة.

 

الكلمات المفتاحية

الأمن المادي, أهمية الأمن المادي, أنظمة تحقيق الأمن المادي, الأمن المادي ضد الحوادث الطبيعية

 

المقدمة:

أن العديد من مدراء مراكز المعلومات يضعون اهتمامهم الأكبر بحماية المعلومات الرقمية المتوفرة على الحواسيب المركزية أو الشخصية أو المتبادلة عبر خطوط الشبكة، إلا أن البعض يغفل عن العامل الأساسي في الأمن، ألا وهو الأمن المادي، والذي تكمن أهميته في حماية المواقع (المباني) التي توجد فيها هذه المعلومات وكذلك حماية الأجهزة بحد ذاتها من السرقة أو التخريب أو من نتائج العوامل الطبيعة وغيرها والتي قد تؤدي إلى خسائر كبيرة.

فهو يهدف لتوفير الحماية الفعلية (الملموسة) لمركز المعلومات والحواسيب التي توجد عليها المعلومات. فنحن نهدف لنسيطر على أمن مركز المعلومات فلذلك نحن نسعى في هذه المقال لتوعية المسئولين عن حماية مراكز المعلومات والحواسيب القيمة بالإجراءات والسياسات التي يلزمهم تطبيقها وكذلك تطبيق عدد من التدابير الأمنية اللازمة للوصول إلى المستوى الملائم من الحماية بحسب قيمة المعلومات الموجودة لديهم. كما يلزمهم أيضا الأخذ بالاعتبارات الأمنية الطبيعية من التخطيط والتصميم والتأثير الخارجي على أفراد المنظمة والسيطرة عليهم في نفس الوقت ووضع نقاط يوضحون فيها كيف يمكنهم السيطرة على المبنى من حيث المداخل والمخارج وما يتبعها من إجراءات أمنية مشددة تتعلق بالتعرف على الهوية.

 

 

ما المقصود بالأمن المادي:

“يقصد به حماية المنظمة من الدخول الفعلي لها لسرقة أجهزة حاسوب أو سرقة ملفات, وثائق, سجلات ذات أهمية للمنظمة أو عرض الرشاوى أو التحايل على الموظفين بالتنكر للوصول إلى المبتغى.”(4) فالأمن المادي يهدف إلى التصدي لهذه التهديدات وتوفير الحماية الفعلية لمراكز المعلومات.

فأي منظمة تسعى لتوفير سياسة أمنيه فعاله لمركز معلوماتها, فلابد أن تتوفر أربع خصائص في السياسة الأمنية لكي تصبح فعالة ويمكنها توفير مستوى عالي من الحماية, يمكن تلخيص هذه الخصائص كالتالي:

أولا:” أن تضع السياسة الأمنية إطارا قويا للبرنامج الأمني، يتضمن تفاصيل شاملة للمعايير والإجراءات التقنية. “(4)

ثانياً:” يجب أن تضع هذه السياسة تفاصيل توثيق السياسة وانتشارها، مع ضمان فهم المعنيين داخل المؤسسة وخارجها للسياسة وكيفية تحديدها لمسؤولياتهم.” (4)

ثالثاً: “مراقبة التهديدات الناشئة والتعامل معها لضمان تطور السياسة والحلول التي تستند إليها أيضا. “(4)

رابعاً: “توفير الدليل لضمان أن جميع الأنظمة متوافقة وملتزمة بالسياسة الأمنية والتعليمات.” (4)

 

الأنظمة التي يتكون منها الأمن المادي

الأمن المادي يتضمن عدة أنظمة تتكامل فيما بينها لتوفير الحماية الفعلية لمركز المعلومات وهي:

  1. أنظمة التحكم بالدخول Access control
  2. أنظمة المراقبة المرئية Video monitoring
  3. أنظمة الإنذار Alarm systems

أنظمة التحكم بالدخول

هي مجموعة من التقنيات والأجهزة التي تتحكم بالدخول للمبنى الذي يوجد به المعلومات أو الدخول إلى الحواسيب التي تحتوي على المعلومات ذات الأهمية الكبيرة بالنسبة للمنظمة لتحمي المنظمة أو الحواسيب من سرقة المعلومات الموجودة بها أو سرقة الحواسيب والوثائق المهمة  ومن هذه التقنيات:

1-الأقفال المبرمجة: وهي عبارة عن أقفال تستخدم لإقفال أو فتح بوابات المباني أو الغرف الموجود بها الحواسيب بحيث انه يوجد قارئات الكترونية تقوم بالتحقق من الشخص الذي يريد الدخول أو الخروج بحيث تعتمد هذه القارئات على رقم سري أو بطاقة ذكيه أو بطاقة مغناطيسية.

2- منع الأشخاص غير الموثوق بهم من الدخول والسيطرة على مداخل ومخارج المنظمة والغرف التي توجد بها الحواسيب وتتم السيطرة على المداخل والمخارج بجعل بوابة واحدة للدخول وواحدة للخروج وذلك لتركيز القوى الأمنية عليها من حراس وأجهزة تفتيش وكاميرات مراقبة وأجهزة إنذار.

3-أجهزة القياس الحيويBiometrics:

“يوفر القياس الحيوي طريقة آلية لوضع هوية تعتمد على الخصائص المادية أو السلوكية التي يصعب تزييفها. فيمكن وضع نظام قياس حيوي للتدقيق في خصائص الوجه أو بصمات الأصابع أو أنماط شبكية العين أو الصوت، وكلها فريدة بالنسبة لشخص ما. نتيجة لذلك، يمكن استخدام القياسات الحيوية لربط حدث معين بشخص ما، بعكس كلمة السر أو الرقم الشخصي PIN، اللذَيْن يمكن استخدامهما من قبل شخص آخر غير مخول. وهذا يجعل القياس الحيوي دقيقاً جداً، و قد يوفر كشف متابعة للأغراض الأمنية. اُعتمد  القياس الحيوي بداية في الأماكن ذات المستويات الأمنية العالية جدا، مثلا في مؤسسات وزارة الدفاع والمؤسسات الهامة التي تواجه فيها المؤسسة خطر التجسس، ولكن بسبب دقة هذه التقنية أدّيا إلى سرعة تزايد تقبلها وانتشارها في عدد كبير من التطبيقات الأمنية في المجالات المدنية مثل المطارات والشركات الخاصة والمؤسسات الحكومية والشخصية والسجلات العدلية والخدمات المالية وغيرها. وتخطط حالياً الهيئة العالمية للنقل الجوى IATA لاستخدام القياس الحيوي كجزء من مبادرة ” سفر ميسر للركاب”. كما بدأت حكومة الصين باستخدامها في المكاتب الحكومية والمصارف (البنوك) . وفي الإمارات العربية المتحدة يستخدم القياس الحيوي استخداماً رتيباً لإصدار هويات للدخول إلى البلاد ولإجراء المعاملات المصرفية في المصارف، بدلاً من وثائق الهوية التي يسهل تزويرها.” (4)

ولكن أجهزة القياس الحيوي مازال بها عيوب من حيث ارتفاع أسعارها وعدم دقتها في إظهار النتائج حيث أن درجة دقتها لا تصل إلى نسبة 100% بحيث أنه قد تسمح لشخص غير مسموح له الدخول من الدخول أو العكس حيث أنها تمنع شخص مسموح له الدخول من الدخول وكذلك احتمال تعرض هذه السمات للسرقة فعلى سبيل المثال يمكن تسجيل صوت شخص ما واستخدامه عند الدخول .

انظر الشكل1-1و1-3 لتعرف على بعض الأجهزة المستخدمة في التحقق من السمات الحيوية

 

 

 

reader-finger-print

 

الشكل 1-1 أحد أنواع القوارئ التي تقوم بمطابقة الرقم السري للشخص مع قزحية العين.

 

 

reader-finger-print-1

الشكل 1-2 احد أنواع القوارئ التي تقوم بالتحقق من بصمة أصبع الشخص

فيجري في البداية إدخال معلومات الشخص ومعالجتها وتخزينها في قاعدة بيانات محددة, وعند ورود أي طلب تقوم بالمطابقة والتحقق من أن الشخص مخول له بالدخول أو لا.انظر الشكل 1-3

 

 

finger-print-athoriz-phase

الشكل 1-3مراحل المطابقة لقارئ بصمة الإصبع

 

 

 

 

أنظمة المراقبة المرئية

“هذه الأنظمة تعتمد على كاميرات المراقبة وملحقاتها من أجهزة تسجيل وتحكم, فتوضع الكاميرات بما يتناسب مع الموقع المراد مراقبته. ويمكن أن تكون هذه الكاميرات ثابتة أو متحركة, ويمكن أن تكون أيضا مصمصة لمراقبة مواقع داخل مبنى أو خارجه .” (4)

 

ويوجد تقنيتان في كاميرات المراقبة(4):

1- الكاميرات التمثيلية CCTV  أنظمة الدوائر التلفزيونية المغلقة

يتم توصيل الكاميرا بكابلٍ مخصص لنقل إشارة الفيديو من الكاميرا إلى جهاز التسجيل الرقمي Digital Video Recorder  (DVR)   الذي يمكن أن يكون جهازاً خارجياً مستقلاً أو بطاقةَ تحصيل تركب في أحد الحواسب .

2-كاميرات عبر الشبكة الحاسوبيةIP camera   توصَل مباشرة إلى الشبكة الحاسوبية الموجودة، ويكون لهذه الكاميرات عنوان شبكي خاص IP Address  ُيدخل إليها أو للتحكم عن طريق هذا العنوان وضمن صلاحيات وطرق دخول محددة.

 

أنظمة الإنذار

“تعتمد هذه الأنظمة على توزيع مُحِسَّات تقوم بمراقبة خصائص معينة وإعطاء الإنذارات عند مستويات محددة لإعطاء الإنذارات المناسبة عند حدوث خطر معين في المبنى.”(4) مثل أجهزة إنذار الحرائق التي تطلق صافراتها عند حدوث الحريق, أجهزة إنذار عند فصل إحدى أسلاك الحاسوب لمحاولة السرقة.

 

الأمن المادي ضد الحوادث الطبيعية

لحماية المعلومات عند حدوث حريق لا قدر الله يمكننا وضع نظام إطفاء مركزي يعمل أوتوماتيكيا عند حدوث الحريق والإطفاء أيضا بغازات غير مضرة بخوادم المعلومات والأقراص التي تحوي المعلومات و الأوراق والموظفين ويمكننا أيضا وضع الحواسيب في غرف مستقلة بحيث انه لو حصل حريق في المنظمة لا يصل إليها, وعند وجود عطل في الكهرباء تكون هناك محركات كهربائية احتياطية للسيطرة على الوضع, وان يكون التيار الخارج من هذه المولدات ثابت الشدة لان التيار المتغير في الشدة يؤثر على الحواسيب ويتلفها, وأيضا نضع الخوادم في ادوار مرتفعة من المبنى بحيث لو حدث فيضان لا قدر الله فإننا نقلل من احتمالية وصول الماء للخادم, ونوفر أيضا درجة حرارة ثابتة للغرفة لان ارتفاع درجة الحرارة يؤثر على الأقراص والحواسيب ويسبب تلفها وبالتالي فقدان ما بها من معلومات.

 

إن الموقع الجغرافي للمنظمة له دور في حماية المنظمة بحيث وجودها في منطقة مليئة بالسكان والمباني سوف يزيد من فرصة تعرضها للخطر بعكس حين تكون في منطقة قليلة السكان حيث أن ذلك سيقلل من فرصة تعرضها للخطر.

ولذلك لا نغفل عن حماية المنظمة من الخارج بقدر ما نتوقع من المخاطر, وأيضا على حسب أهمية ما لدينا من معلومات أو منتجات بحيث انه يجب أن يكون مستوى الحماية ملائما لمستوى أهمية ما تحويه المنظمة, فهناك طرق لحماية المنظمة من الخارج منها:

1-الحماية بالتضاريس والموانع الطبيعية: كأن يكون بجانب المنظمة جبل عالي أو حفرة عميقة تمنع الوصول إليها إلى من طريق البوابة الرئيسية.

2-الحماية ببناء الأسقف والحيطان: بوضع الأسوار العالية حول المنظمة والأسقف المرتفعة لضمان عدم الوصول إليها وحتى عند الوصول يوضع أسلاك شائكة أو كهربائية.

3-المتابعة الأمنية: وذلك عن طريق وجود دوريات أمنية تدور حول المبنى على مدار الساعة للحراسة والمراقبة والتوثيق الأمني للحالات المشبوهة فيها لكي نستفيد من الوثائق ونرجع لها عند الوقت اللازم.

 

 

 

الخلاصة

إننا نطبق هذه الأنظمة حسب أهمية المعلومات الموجودة لدينا ومستوى الحماية المطلوب لها فبعد القيام بكل هذه الإجراءات والسياسات والعمليات الأمنية يلزمنا  التأكد بأن الموظفين يقومون بتطبيق هذه الإجراءات ويحافظون على أمن المنظمة ومعلوماتها  من حيث عدم سماحهم للأشخاص المجهولين بالدخول إلى المنظمة كمرافقين أو عمال صيانة أو عمال تنظيف وغيرهم وعدم البوح بأسرار المنظمة للغير, ونمنع التسيب في تطبيق تلك الإجراءات بوضع عدد من السياسات التي يلتزم الموظفين بتطبيقها ووضع عدد من العقوبات الشديدة التي تجعل الموظف يحرص على أداء عمله الأمني المطلوب منه على الوجه التام.

 

الكاتب ayman

ayman

مواضيع متعلقة

اترك رداً