الحاسب وأمن المعلومات
صدر مؤخراً عن مركز البحوث بمعهد الإدارة العامة بالعاصمة السعودية الرياض، كتاب بعنوان "الحاسب وأمن المعلومات" من تأليف حسن طاهر داوود، عضو هيئة التدريس بمعهد الإدارة. ويقع هذا الكتاب فى 400 صفحة من القطع المتوسط. واشتمل الكتاب علي خمسة عشر فصلاً؛ خصص الفصل الأول للحديث عن أمن المعلومات وأهميته وأثر تطور التقنية علي الأمن، وعن ثورة المعلومات في العصر الحديث. ثم تحدث الفصل الثانى عن الأمن المادى لمراكز المعلومات وشمل أمن المنشآت وأمن الأجهزة ووسائط المعلومات وأمن الأفراد. وضرب المؤلف أمثلة من الواقع عن الكوارث التى تنجم عن عدم الاهتمام بأمن المنشآت، كما تحدث عن الدور المهم الذى يلعبه ضابط أمن نظم المعلومات فى المؤسسات المختلفة.
وخصص الفصل الثالث للحديث عن جرائم الحاسب وأنواعها وبعض الأمثلة لها. وتحدث المؤلف فيه عن بعض الأساليب الناجحة لمكافحة هذا النوع من الجرائم. وختم هذا الفصل بالحديث عن التشريعات والقوانين فى مجال مكافحة جرائم الحاسب. ودعي المؤلف لأن تسن المؤسسات التشريعية فى الدول العربية قوانين جديدة لمكافحة جرائم الحاسب وتقوم بتعديل قوانينها وتشريعاتها الحالية لتعكس التطور التقنى الذى نشأ عن دخول الحاسب الآلى إلي حياتنا.
وخصص الفصل الرابع للحديث عن جريمة خطيرة من جرائم الحاسب وهى "فيروسات الحاسب"، فتحدث عن طبيعة الفيروسات ونشأتها وألقي نظرة من الداخل عليها، ثم أورد بعض طرق الوقاية من الفيروسات، وبعض طرق علاج آثارها إذا وقع المحظور. وناقش الفصل الخامس موضوع مواجهة الكوارث مشيراً إلي أن المهم عند حدوث الكارثة أن يستمر العمل وألا يتوقف، حتي لو تم يدوياً. كما ناقش الأخطار المحتملة والتي قد تسبب كوارث لبعض مراكز الحاسب الآلى، واختتم هذا الفصل بالحديث عن المبادئ الأساسية لنجاح نشاط مواجهة الكوارث، وأنه يأتي علي رأس هذه المبادئ ضرورة وجود خطة للطوارئ.
وناقش الفصل السادس تحليل المخاطر، فقدم منهجية جديدة فى تحليل المخاطر التي تخشي أن تتعرض لها مراكز الحاسب الآلى، وتحدث بالتفصيل عن هذه المنهجية المقترحة بمراحلها المختلفة؛ تقييم أصول المؤسسة، إدارة الأخطار، تقدير الخسائر، الأنظمة الحرجة، إجراءات حماية الأصول، والبدائل الاحتياطية.
وناقش الفصل السابع خطة الطوارئ المعلوماتية، فتحدث عن أهداف هذه الخطة وما يمكن أن تحققه للمؤسسة من فوائد معنوية ومادية. كما تحدث المؤلف فى هذا الفصل عن عوامل النجاح التى يجب أن تتوفر حتي تحقق الخطة أهدافها، وقدم المؤلف وصايا عشر للإدارة العليا تتعلق بالخطة، ثم حدد باختصار ما يجب أن تحتوى عليه الخطة من فصول وملاحق.
وناقش الفصل الثامن تنفيذ خطة الطوارئ، فلكى يبين الخطوات العملية اللازمة لوضع خطة الطوارئ موضع التنفيذ، تحدث المؤلف عن إجراءات الطوارئ، وفرق الطوارئ، ومهام المشاركين فيها، وأسلوب اختبار الخطة وتعديلها ومراقبتها، ثم أسلوب تدريب الموظفين علي تنفيذ الخطة.
وناقش الفصل التاسع تشفير البيانات أو "تعمية البيانات"، من خلال مفهوم التشفير وتاريخه وأهميته كوسيلة فعالة للغاية لتأمين البيانات. وتحدث المؤلف عن أنواع التشفير، بدءاً من شفرة المفتاح السرى (شفرة قصير)، وأشهر أنظمتها وهو نظام تشفير البيانات القياسى. كما ناقش التشفير باستخدام المفتاح العلنى، وعن أشهر أنظمته وهو نظام RSA. وأنهي المؤلف هذا الفصل بقسم عن أحدث وسائل التشفير وهو التشفير المودع. وعن استخدامه فى تشفير المكالمات الهاتفية.
وناقش الفصل العاشر نظم أمن البيانات، وهى النظم المتاحة فى الأسواق والتى تكفل الأمن. فتحدث عن دورها وإمكاناتها، وعن الموارد التى يجب حمايتها، والتقارير التى تنتجها هذه النظم. وأورد بعض نظم البيانات المتاحة فى الأسواق سواءً للحاسب المركزى أم الحاسبات الشخصية. وأوضح كيفية المفاضلة بينها. وتحدث بعد ذلك عن النسخ الاحتياطى ومعدلاته وكيفية استعادة البيانات المفقودة، ثم ختم الفصل بالحديث عن تصنيف مستويات مراكز الحاسب الآلى وفقاً لاتباعها لقواعد ومعايير أمن المعلومات.
وناقش الفصل الحادى عشر أمن التطبيقات وأثر بيئة العمل علي الأمن. وناقش بشئ من التفصيل المشاكل الأمنية فى بيئة "العميل الخادم". واختتم الفصل بالحديث عن كيفية تأمين التطبيقات عند استخدامها بواسطة الأجهزة المحمولة خاصة إذا تم الاتصال من خلال شبكة الهاتف العامة.
أما الفصل الثانى عشر فيكاد يكون امتداداً للفصل الحادى عشر، ولكن ركز المؤلف فيه علي أمن قواعد المعلومات، فقدم للقارئ غير المتخصص بعض المعلومات عن طبيعة استخدام قواعد البيانات، ثم أوضح كيف يمكن وضع خطة تأمين البيانات فى بيئة عمل تستخدم قواعد البيانات. وناقش فى الفصل الثالث عشر موضوع جديد وهو "أمن شبكات نقل المعلومات" لما لهذا الموضوع من أهمية حيوية فائقة.
وناقش هذا الفصل بالتفصيل مفهوم الشبكات وأنواعها، والأجهزة المستخدمة فيها، والبرامج التى تستخدم فى مجال الشبكات، والأساليب الحديثة لنقل البيانات، ومصادر تهديد البيانات خلال مرورها بالشبكات، وكيفية ضمان صحة البيانات المرسلة.
وناقش الفصل الرابع عشر الشبكات فتناول موضوع الساعة وهو "أمن شبكات إنترانت المحلية" وهو الهاجس الذى يشغل بال الكثير من الشركات التى تستخدم الإنترنت فى شبكاتها المحلية؛ مبتدئاً بتعريف الشبكات المحلية وأنواعها ومكوناتها، وموضحاً مفهوم إنترانت والمقصود منها. ثم أورد وسائل تأمين المعلومات المتبادلة فى الشبكات المحلية وأمن البريد الإلكترونى.
وناقش الفصل الخامس عشر والأخير موضوع الإنترنت وتحدث فيه المؤلف عن شبكة المعلومات العالمية (إنترنت)، فبدأ الفصل بالتعريف السريع بهذه الشبكة والمشاكل التى تكتنفها والأخطار الأمنية المحيطة بها علي المستويين العالمى والعربى. وتحدث بعد ذلك عن المستقبل وعن شبكة إنترنت 2 الجديدة. ثم انتقل لتقنيات حماية المعلومات واستخدامها فى شبكة إنترنت، وكذلك جدران الحماية، ومدي فاعليتها. واختتم الفصل بموضوعين خاصين بالمملكة العربية السعودية هما أسلوب تنظيم استخدام شبكة إنترنت فى المملكة العربية السعودية ودور الأجهزة السعودية المعنية بأمن المعلومات فى ضمان أمن الشبكة. ثم أورد المؤلف قائمة بالمراجع التى استخدمها فى إعداد هذا الكتاب وهى حوالى أربعين مرجعاً.
وخلاصة؛ إن هذا الكتاب يطرق موضوعاً هاماً وحيوياً يمس حياة الأفراد كما يمس مصائر الدول، فهو يتحدث عن أمن المعلومات وأمن مراكز الحاسب الآلى، وجرائم الحاسب ومنها الفيروسات وأساليب مكافحتها، ويدعو المؤسسات التشريعية فى الدول العربية لأن تسن قوانينها الخاصة بمكافحة جرائم الحاسب، كما يدعو لإنشاء إدارة لأمن المعلومات فى وزارات الداخلية العربية.
ويتحدث الكتاب كذلك عن مواجهة الكوارث واستمرارية العمل وتحليل الأخطار المحتملة التى تواجه مراكز الحاسب، ويقدم منهجية جديدة فى تحليل المخاطر ويدعو خبراء أمن المعلومات لاتباعها. كما يتعرض لموضوع علي جانب كبير من الأهمية وهو "خطة الطوارئ المعلوماتية"، فيتحدث عنها بالتفصيل ويقدم فى ملحقه خطة طوارئ فعلية يمكن أن تحتذي.
كما يتعرض الكتاب لتشفير البيانات وأنواع التشفير مثل التشفير باستخدام المفتاح العلنى، والتشفير المودع، وتشفير المكالمات الهاتفية. كما يتحدث عن نظم أمن البيانات المتاحة فى الأسواق وكيفية المفاضلة بينها، وعن تصنيف مراكز الحاسب الآلى وفقاً لاتباعها لمعايير أمن المعلومات.
ويتطرق الكتاب لأمن التطبيقات، وأمن قواعد البيانات، والمشاكل الأمنية فى بيئة العميل-الخادم، كما يتعرض لأمن شبكات نقل المعلومات، ومصادر تهديد البيانات خلال مرورها بالشبكة، وأمن شبكات إنترانت؛ وهو الهاجس الذى يشعل بال الكثير من الشركات التى تستخدم تقنيات الإنترنت فى شبكاتها المحلية. وهذا الكتاب سيساعد القارئ للنظر إلي أمن المعلومات نظرة مختلفة، أكثر جدية وأكثر حرصاً، فأمن المعلومات قد يكون الفاصل بين النصر والهزيمة فى الحرب وقد يكون الفيصل بين البقاء والفناء لدول أو أفراد أو مؤسسات أو شركات.