امن الإدارة الالكترونية Data Security
الأمنية : هي مجموعة الإجراءات والتدابير والوقاية التي تستخدم سواء في المجال الفني أو الوقائي لصيانة المعلومات الخاصة بالإدارة الالكترونية. والإجراءات القانونية التي تتخذ ,تحمي من حدوث أي تدخلات غير مشروعة سواء عن طريق الصدفة أو بشكل متعمد وتشمل المنية عدة مجالات منها:
1. الأخطاء العفوية الغير متعمدة والتي تحدث أثناء تجهيز البيانات أو أثناء إدخالها للحاسوب.
2. الأخطاء المتعمدة وتكون بسبب إجراءات خاطئة أو غير وافية.
3. تتأثر سلامة البيانات بحدوث بعض الحوادث الطبيعية أو السرقة.
4. تغيير البيانات قد يؤدي لتدمير كل أو جزء من البيانات.
5. وجود خلل في بعض البرامج.
6. سرية البيانات ومجموعة الإجراءات التي توضع لمواجهة الاعتداء أو الانتهاك للمعلومات الشخصية.
**- إجراءات وطرق الحماية المتبعة في الإدارات الالكترونية كما يلي:
1- اعتماد أساليب تدفق المدخلات والتأكد من الاستمارات والوثائق قبل تسلمها وحفظها.
2- اعتماد أساليب التدفق أثناء الإدخال للحاسوب.
3- حماية المعلومات المحفوظة علي الاسطوانات والأشرطة الخاصة وعمل نسخ احتياطية لها.
*** أمنية البيانات
" وهي العلم الذي يهتم بدراسة طرق حماية البيانات المخزونة ضمن الكمبيوتر وأنظمة الاتصالات ,وسبل التصدي للمحاولات لمعرفة البيانات المخزنة ضمن الحاسوب بصورة غير شرعية" وتعتمد كثير من الأجهزة الشخصية كلمة السر .
*** الحماية الأمنية لتناقل البيانات علي شبكات الاتصالات
وتتلخص الأساليب والوسائل بما يلي:
1. اعتماد الوسائل الكفيلة بالسيطرة علي البيانات المنقولة.
2. اعتماد نقاط تدقيق في البرامج لتسجيل المراحل المختلفة التي تمر بها كل عملية تراسل.
3. السيطرة عل خطوط تناقل البيانات ووضع التحضير اللازم لحماية التناقل .
4. وضع أجهزة الكترونية لتحسس محاولات سرقة المعلومات.
5. توثيق أساليب استخدام خطوط تناقل البيانات ضمن الوثائق القياسية كمركز الحاسبة المركزية.
6. تحديد كلمات مرور للدخول للبرامج وتغييرها دوريا.
7. عدم ظهور كلمات المرور علي الشاشات للمحطات الطرفية.
8. ملائمة موقع الحاسوب وكفاءة مستلزمات التشغيل.
*- يتم وضع خطوط لازمة لحماية الموقع واختياره يؤمن حماية الأجهزة من الخطر وتوفير مستلزمات المخرجات والسيطرة علي دخول العاملين وخروجهم علي أساس:
1- اعتماد دليل قياسي لتشغيل الأجهزة.
2- تهيئة بدائل للأجزاء اللازمة للمنظومة المتعطلة وتوفير منظمة كاملة كبديل جاهز.
3- وضع الأسس اللازمة لتنظيم المستفيدين من المحطات الطرفية وتعريفهم بها.
4- ملاحظة مخالفات الإجراءات الأمنية إن كانت حدثت عن قصد أم إهمال وتسجيلها ومعالجتها.
5- تثبيت المقاييس بالتطبيقات وتوثيق البرامج في دليل خاص .
*** الأمنية في قواعد البيانات
وفيها تتم اتخاذ التدابير الوقائية اللازمة لحماية البيانات داخل القاعدة من محاولات الوصول أو الإلغاء غير المشروع وتداخل إجراءات الحفاظ علي سرية وخصوصية البيانات بشكل رئيسي وأساسي من حالات الوصول للمعلومات في:
1) بعض الأشخاص يعطون حق الوصول غير مشروط للبيانات وإجراء أي نوع من العمليات .
2) المستفيدين الممنوع وصولهم للملف أو أي جزء منه ,مهما كان نوع الطلب.
3) المسموح لهم بالاسترجاع أو القراءة , ولكن غير مسموح لهم التغيير أو الكتابة علي الملف.
4) المستفيدين المسموح لهم الاطلاع علي قيد واحد الذي يخصه فقط ولا يعدل القيم.
5) مستفيد يعطي الحرية ويمكنه استرجاع قيده الخاص ولا يمكنه التغيير فيه.
6) مستفيد يحق له الاطلاع علي بيانات معينة في حدود معينة ولكن لا يعدل ولا يطلع علي بيانات من هم اعلي منه درجة.
7) المستفيدون المسموح لهم بالقراءة والتعديل .
*** حماية قواعد البيانات
للحفاظ علي قاعدة البيانات من الأخطار يجب مايلي:
*-الاعتبارات الخاصة بالعمليات التي تؤثر بسلامة الاتصال , وتستخدم الحماية لخلق وصيانة عمليات السلامة في نظام قواعد البيانات ,ويتحكم أمر الحماية علي ثلاثة بنود كالتالي:
1. إشارة عبارة عن كلمة Log-In فتح النظام باسم المستخدم.
2. سلامة منفذ الحقول Field –Access والذي يسمح له بتعريف ماهية الملفات والحقول .
3. تشفير البيانات والتي يمنع الوصول غير المخول لقراءة الملفات نظرا لأهميتها.
*** طريقة ترشيح كلمة السر
وتستخدم في حالة اكتشاف كلمات السر الضعيفة ,وتحتوي عملية الترشيح اختيارات من خلال دالات وظيفة خاصة بالعمليات المطلوبة ويبجا النظام بترشيح كلمات السر المستخدمة سابقا ,وتغني تلك الطريقة عن الوقوع بأخطاء كشف الدخلاء علي النظام وحماية المعلومات بصفة دائمة.
*** أمنية كلمة السر
هناك سياسة خاصة بكلمات السر لحماية مواقع عمل النظام في الكمبيوتر.
*** الجرائم الحاسوبية
مع الاستخدام المتزايد لإعداد الكمبيوترات تكاثرت أنواع الجرائم بمختلف أنواعها,وتنفذ الجرائم عن طريق البشر.
أ- سرقة وقت الحاسوب
ب- قرصنة المعلومات: وتتم فيها :
1. تقليد البرامج المعروفة بصورة غير شرعية .
2. النسخ أو الغش من قبل الموزع عند بيعها علي إنها أصلية.
3. النسخ غير المرخصة بها من قبل المستهلكين.
4. إنتاج برامج مماثلة للبرامج الرائجة من قبل الشركات المنافسة وبيعها علي أساس إنها أصلية.
***حماية البرامج
وترجع لعدة أسباب ,لأجل الحفاظ علي أسرار الحياة الخاصة والمعلومات الشخصية وأيضا ضخامة الاستثمارات المادية والبشرية المستخدمة في إعداده وكذلك النقص الحاصل في وسائل التقنية المتوفرة وتشجيع الابتكارات.
لما كانت البيانات والمعلومات المخزنة ذات أهمية خاصة للمستخدمين والمختصين في مجال الحاسبات ,فلابد من وجود نظام امني سري يحمي هذه البيانات من التداول غير المشروع وأعمال القرصنة والسرقات للبرامج والمعلومات.
** كيف يمكن تطبيق أحكام حق الملف في مجال البرامج:
يكفل نظام الحماية بحق المؤلف المبتكر طائفتين من الحقوق:
أولا: الحقوق الأدبية:
1- حق في نسبة البرامج إليه.
2- حق في تقدير لحظة التوزيع الأول لبرامجه.
3- حق في احترام مصنفه فيمتنع علي الآخرين تحديد هذا الصنف أو تعديله.
4- حق في السحب أو الندم علي تدول برنامجه.
ثانيا : الحقوق المالية:
يخول المشرع للمؤلف حق الاستغلال المالي لمصنفه سواء عن طريق إصدار تراخيص النسخ أو بواسطة منع تراخيص التحوير والاستعمال, أما الاستعمال المرخص به فيجب إن يتضمن الترخيص تحديدا زمنيا ومكاني لهذا الاستعمال .
*** مبادئ حماية المعلومات
يذكر الأستاذ(بول سجارت) مبدأ لحماية المعلومات الخاصة في الحاسبات الآلية, وهو مبدأ الحد الداني من تداول المعلومات ,فهذه المبادئ تهدف إلي حماية البرامج الخاصة التي توضع في الحاسب.ومنها:
1- مبدأ أخطار عامة: وهو إن كل نظم الحاسب التي تتعامل في المعلومات وخاصة المعلومات الشخصية ينبغي أن تكون معلومة للجمهور.
2- مبدأ صحة المعلومات: يجب إن تكون المعلومات دقيقة وذات صلة بالموضوع .
3- مبدأ الأمن : وتكون المعلومات المحتفظ بها في الكمبيوتر واضحة الضمانات وهي:
أ- إن تكون المعلومات المدونة في ذاكرة الكمبيوتر هي معلومات سليمة.
ب- إن تكون هذه المعلومات سوف تستخدم في أغراضها الصحيحة.
ج- إن يكون هناك آليات واضحة في عمليات تصحيح الأخطاء.
4- مبدأ الشرعية: إن تكون المعلومات المعدة بواسطة الكمبيوتر للأغراض المشروعة فقط , أما إذا كانت البرامج غير خاصة وكانت هناك ضرورة قوية للمصلحة العامة لاستخدام هذه المعلومات فانه من الحكمة إن تكون سلطة مستقلة تستطيع إن ترخص استخدام هذه المعلومات وتكفل لهذه الجهة الضمانات.
وهذه الضمانات هي:
*- أن المحكم لابد أن يكونوا متمتعين بالاستقلال والحياد.
*- أن يكونوا علي درجة كافية من المهارة والخبرة.
*- أن يعملوا في إطار مجموعة من القواعد الواضحة .
*- أن تكون لقرارات اللجنة صفة الالتزام.
*** التوازن بين الحماية والحفاظ علي سمات مجتمع الانترنت الديمقراطي
ثمة خمسة مبادئ أساسية تحكم ما يسمي بالممارسات العادلة والمقبولة أو النزيهة في نطاق خصوصية المعلومات أو حماية البيانات الشخصية وهذه المبادئ هي:
أولا : الإبلاغ: ويراد به إبلاغ المستخدمين للموقع ما إذا كان الموقع أو مقتضيات الخدمة ينطويان علي جمع البيانات الشخصية ولماذا تجمع ولما تستخدم.
ثانيا: الاختيار: وفيه تلتزم الشركات صاحبة المواقع أو مزودي الخدمة بتوفير خيار للمستخدم بشان استخدام بياناته.
ثالثا : الوصول للبيانات: وفيه قدرة المستخدمين للوصول لبياناتهم والتثبت من صحتها وتحديثها.
رابعا : الأمن: ويتعلق بمسئوليات جهات جمع البيانات ( المواقع ومزودي الخدمة) بشان معايير الأمن لضمان سرية البيانات وسلامة الاستخدام وحظر الوصول غير المصرح به لهذه البيانات.
خامسا : تطبيق القانون: ويتعلق باليات المناسبة المتعين اعتمادها لفرض الجزاءات علي الجهات غير المتوافقة مع المبادئ المتقدمة .
***وسائل وأدوات الحماية التقنية
** حماية أمن المعلومات
يتصل أمن المعلومات بحماية مواقع الحكومة الإلكترونية ضد هجمات القراصنة وسوء الاستخدام والتجاوز في حماية أمن المعلومات يفقد ثقة المواطنين بالحكومة الإلكترونية فالثقة تعتبر عنصرا رئيسيا وجوهريا من عناصر مشروعات وبرامج الحكومة الإلكترونية وبدون الثقة لن يفكر المواطنون علي التردد علي مواقع الحكومة الإلكترونية، وخاصة في حالة الخدمات التي يتطلب الحصول عليها قيام المواطنين بتزويد الحكومة الإلكترونية بمعلومات شخصية ذات صفة خاصة. وباستطاعة الحكومة القيام بدور مهم في الكشف عن سياساتها وتعريف المواطنين بها أو إعلامهم بمخططاتها ومشروعاتها والأهداف المستهدف تحقيقها من عملية جمع وتخزين البيانات عنهم، حيث أن اطمئنان المواطن أو المستخدم علي أن المعلومات التي يقدمها عن نفسه لن تستغل لأغراض غير مهنية وأخلاقية مما يعتبر الأساس الأهم في قيام الحكومة الإلكترونية لذلك يجب:
1- وضع سياسة محددة عن أمن المعلومات وتعيين مسئول محدد لتنفيذ هذه السياسة وفقا للمعايير الدولية في هذا الشأن.
2- التقييم المستمر والمتواصل لنظم الأمن للتأكد من تنفيذها لكل ما يتعلق بالإجراءات الوقائية الأمنية بشكل سليم.
3- عدم الإفصاح عن المعلومات الشخصية دون الحصول علي إذن مسبق.
4- توعية وتدريب العاملين علي القضايا المتصلة بأمن المعلومات وتكنولوجياتها بشكل منتظم ومتواصل.
5- تقييم أداء مديري نظم المعلومات بالالتزام بممارسة عمليات ومهام الأمن.
التوقيع الإلكتروني ***
وهو ليس توقيع بالمعنى المعروف بل عملية مصادقة من قبل شخص أو هيئة ما ويتم من خلالها التأكد من شيئين:
1- ضمان أن الرسالة (وثيقة بيع أو شراء مثلا) أرسلت من الشخص الحقيقي وليس شخص آخر غيره. وهذا يتم عبر التشفير غير المتماثل.
2- ضمان أن الرسالة وصلت فعلا بنفس الشكل الذي أرسله بها المرسل وصادق عليه. ويتم ذلك بواسطة عملية رياضية (لوغارثم) تتم على الرسالة قبل الإرسال لتحديد جميع خواصها وتشمل كل صغيره وكبيرة في الرسالة بحيث لو تغير أي شيء في الرسالة تتغير نتيجة العملية . هذه النتيجة تسمى الرسالة المركزة أو التوقيع الإلكتروني، ويرفق هذا التوقيع مع الرسالة عند إرسالها. وعند وصول الرسالة إلى الطرف الآخر يتم التحقق من سلامة محتوى الرسالة وخلوه من التزوير بنفس العملية الرياضية وعند تطابق النتيجة مع البيانات المخزنة في التوقيع يعرف أن الرسالة وصلت بنفس الشكل الذي أرسلت به دون تغيير.