تعديل

---------

الثلاثاء، 15 يناير 2013

أنظمة الأمن المادي في مراكز المعلومات


أنظمة الأمن المادي في مراكز المعلومات


السلام عليكم ورحمة الله وبركاته :


نظرة عامة عن الأمن المادي:
إن مراكز المعلومات في المنشآت والجهات المهمة والحيوية في الحكومات تحتوي على معلومات في غاية الأهمية والسرية، ويصرف على تلك المراكز مبالغ طائلة في سبيل تأمين تلك المعلومات من السرقة أو الوصول إليها والعبث بها، فكيف تتم تأمين مثل تلك المراكز وما تحتويه من أجهزة الحاسب الآلي بأنواعها وما تحتويه من معلومات؟

عندما نتطرق إلى موضوع أمن المعلومات في مجال الحاسب الآلي، قد يتبادر إلى أذهان البعض أن المقصود بذلك هو تأمين برامج وملفات الحاسب الشخصي (Personal Computer) أو الجهاز الخادم (Server) التي قد تحتوي على معلومات سرية وحساسة من سرقتها والوصول إليها الكترونياً، فهذا صحيح ولكنه ليس كل شيء.

فعندما تؤمن جهاز الحاسب الآلي الخاص بك بتنصيب مكافح الفيروسات (Antivirus) والجدار الناري (Firewall) فهذا قد يمنع أو يقلل فرصة إصابة جهازك بالفيروسات والبرامج الخبيثة، ولكن تلك الأدوات التي تهتم بجانب أمن البرمجيات والملفات لا تكفي لمنع سرقة الحاسب الآلي بأكمله من المكان الذي وضع فيه.

أن هذه المشكلة تقودنا إلى ما يسمى بالأمن المادي أو الأمن الفيزيائي (Physical Security)، وهو تأمين أجهزة الحاسب بأنواعها من المخاطر الفيزيائية مثل السرقة ومحاولة قطع التيار عنها أو العبث بها وغيرها من المخاطر التي قد تؤدي إلى خسائر بالغة للفرد أو للمنشأة .

فكما أن للأمن المنطقي (Logical Security) طرق وأدوات لحماية الحاسب الآلي مثل برامج الحماية من الفيروسات وبرامج التشفير، فإن للأمن المادي طرق وأدوات لحماية الحاسب ماديا سوف نتطرق إليها في النقاط القادمة.



كلمات رئيسة للموضوع:
الأمن الفيزيائي (Physical Security)
تهديدات الأمن الفيزيائي( Physical Security Threats)
التحكم بالوصول(Access Control)
الهندسة الاجتماعية (Social Engineering)
الحواجز الفيزيائية (Physical Barriers)
والمقاييس الحيوية (Biometrics)
مقدمة:
تعريف الأمن المادي:
الأمن المادي هو حماية أجهزة الحاسب والبرامج والشبكات والبيانات من الأحداث الفيزيائية التي يمكن ان تسبب خسائر وأضرار للمنشأة، وذلك يشمل حمايتها من الحرائق والكوارث الطبيعية والسطو والتخريب.



أهمية الأمن المادي:
يعتبر الأمن المادي أول خطوط الدفاع للمنشأة، وأهميته تكمن في أهمية ما يحميه من أجهزة الحاسب التي وبياناتها الحساسة، ويتعدى ذلك إلى حماية الموظفين من الهندسة الاجتماعية(Social Engineering).



أهداف الأمن المادي:
مما سبق تتضح لنا أهداف الأمن المادي، وتشمل: التحكم بالوصول (Access Control)، والحد من الهندسة الاجتماعية، وتأمين البنية التحتية لمراكز المعلومات.

التهديدات والأخطار على الأمن المادي:

هناك الكثير من الأخطار التي تهدد المنشأة وأصولها، مما يجعل إدارة المنشأة تقوم بتقييم أصولها لتدبير الوسائل المناسبة لحماية هذه الأصول.

فمن الأخطار التي قد تهدد المنشأة ما يلي:



- الكوارث الطبيعية :
1. الأدخنة والحرائق:
قد يحدث للمنشأة حريق من عدة أسباب مختلفة، قد يكون مصدره من المولدات الكهربائية أو وجود مواد قابلة للاشتعال في أماكن غير آمنة أو السجائر. ومن الإجراءات والاحتياطات للحماية من الحرائق:

تركيب أنظمة كشف الدخان.
وضع طفايات الحريق بالقرب من الغرف الحساسة مثل غرف الخوادم والشبكات.
تطبيق أنظمة عدم التدخين داخل المنشأة.


2. الطقس:
أن درجات الحرارة المرتفعة والأجواء المحيطة بأجهزة الحاسب الآلي وأجهزة التخزين قد تؤثر عليها سلباً مما يؤدي إلى عطلها. ومن الإجراءات والاحتياطات للحماية من أخطار الطقس:

جعل جميع الغرف التي تحتوي على الحاسب الآلي تحت درجة حرارة معقولة (بحدود 50 إلى 80 درجة فهرنهايت)
جعل جميع غرف الاتصالات والخوادم تحت درجة حرارة باردة.
جعل مستوى الرطوبة بحدود 20% - 80%.


3. الزلازل والاهتزازات:
إن للزلازل والاهتزازات تأثيرا ً قويا ً على أجهزة الحاسب الآلي مما قد يسبب لها السقوط من أسطح مرتفعة أو سقوط بعض المواد الأخرى المحيطة بها عليها. ومن الإجراءات والاحتياطات للحماية من أخطار الزلازل والاهتزازات:

إبقاء أجهزة الحاسب الآلي ونحوها بعيداً عن النوافذ الزجاجية والأسطح المرتفعة، خاصة ً عندما تكون في منطقة تحصل بها كثير من الزلازل.
كن متأكداً انه في حالة حصول اهتزاز قوي (بسبب زلزال أو أي مصادر أخرى)، فإن المواد المحيطة لن تقع على أجهزة الحاسب الآلي وأدوات الشبكة.


4. المياه:
هناك أنواع مختلفة من أضرار المياه. يمكن أن تكون من الفيضانات الناجمة عن الأمطار أو تراكم الثلوج في الخارج، أو مسالك المياه في الداخل ، أو من مرشات المياه المستخدمة لمكافحة الحريق. ولا ننسى أن وجود المياه بالقرب من الأجهزة يزيد من احتمالية وقوع صدمة كهربائية. ومن الإجراءات والاحتياطات للحماية من أخطار المياه:

إذا أصاب جهاز الحاسب الآلي رطوبة من المياه، اتركها فترة كافية حتى تجف قبل إعادة تشغيل الجهاز مرة أخرى.
تركيب جهاز استشعار المياه في مكان مناسب.


5. الكهرباء:
زيادة الطاقة الكهربائية التي تصل إلى جهاز الحاسب الآلي، أو انقطاعها عنها، تؤدي إلى عطل الأجهزة وقد يصل الضرر إلى التلف وقد تسبب حرائق أو انفجار. ومن الإجراءات والاحتياطات للحماية من الكهرباء:

للحصول على أفضل النتائج، ركب مولداً احتياطياً للكهرباء لكي يساعدك على السيطرة على الموقف حتى تستطيع إيقاف النظام بشكل آمن.
ركب مصفي لخط إمدادات الطاقة لجهاز الحاسب الآلي (Line Filter)، لضمان عدم تصاعد التيار الكهربائي الناتج عن الصواعق أو أخطاء من مصدر الطاقة.


6. البرق:
يؤثر البرق على أمن الأجهزة وإمدادات الطاقة لها، فقد تسبب زيادة في الطاقة الكهربائية التي تصل الى الجهاز فتسبب إتلافه. ومن الإجراءات والاحتياطات للحماية من البرق:

في حالة وجود البرق، أغلق أجهزة الحاسب الآلي وأفصل عنها التيار الكهربائي.


- الهندسة الاجتماعية:
الهندسة الاجتماعية هي محاولة اكتساب المعلومات عن نظام أو شبكة معينة عن طريق أساليب اجتماعية مثل التحدث مع موظفي المنشأة.

وقد تتم عملية الهندسة الاجتماعية عن طريق مكالمة بالهاتف أو إرسال رسالة بالبريد الإلكتروني أو زيارة المنشأة في سبيل الحصول على معلومات هامة مثل أسماء المستخدمين وكلمات المرور.

ومن الإجراءات والاحتياطات للحماية من الهندسة الاجتماعية:

وضع سياسات أمنية صارمة
تعليم وتدريب الموظفين
طرق وأدوات الأمن المادي:

إن هناك عدة طرق وأدوات تساعد المنشأة على تحقيق الأمن المادي وحماية أصولها من التهديدات (كالسرقة والدخول الغير مصرح به).



- التحكم بالوصول (Access Control) :
يعتبر التحكم بالوصول (Access Control) الجزء الحساس في الأمن المادي. فالأنظمة تحتاج أن تعمل بيئة آمنة بعيدا ً عن التهديدات مثل الاطلاع على الملفات المهمة والعبث بها. وتساعد أنظمة التحكم بالوصول في منع ومكافحة الهندسة الاجتماعية. ولتأمين ذلك نحتاج عمل طرق تساعد على التحكم بالوصول مثل الحواجز الفيزيائية (Physical Barriers) والمقاييس الحيوية (Biometrics)



- الحواجز الفيزيائية (Physical Barriers) :
ان الهدف من الحواجز الفيزيائية هو منع الوصول إلى أجهزة الحاسب الآلي والشبكات. ولتطبيق مفهوم الحواجز الفيزيائية بشكل فعال، يجب أن يوضع أكثر من حاجز بدلاً من حاجز واحد. فالتطبيق المثالي لهذا المفهوم هو وضع ثلاثة حواجز يسمى الأول (Perimeter)، وهو ما يتعلق بحماية محيط المنشأة الخارجي مثل الجدران الخارجية وصفارات الإنذار. أما الحاجز الثاني فيتعلق بمدخل مركز الحاسب الآلي وإقفالها. إما الحاجز الأخير فيتعلق بمدخل غرفة الحاسب الآلي نفسها. فكل من هذه المداخل يجب ان تكون مؤمنة ومراقبة ومحمية بأنظمة إنذار. (انظر الشكل 1)

[صورة مرفقة: The_multiple_barriers.jpg]

ومن الأمثلة على الحواجز الفيزيائية:

حراس الأمن
لوحات التحذير
الأسوار


كاميرات المراقبة. (انظر الجدول 1)

الأقفال بأنواعها . (انظر الجدول 2)
مسامير غير قياسية، وهي التي تكون ذات مفكات خاصة.
زجاج غير شفاف (عديم الشفافية أو شبه شفاف)
المياه والخنادق المائية.

[صورة مرفقة: Physical_barriers.jpg]


الكاميرات المربعة :

وهي الكاميرات التقليدية الشائعة والمستخدمة كثيرا ً. من مميزاتها انك تستطيع –في معظم الحالات- استخدام مجموعة واسعة من العدسات القابلة للتغيير التي تسمح لك بالحصول على مجال لعرض الفيديو الذي تريده.

[صورة مرفقة: Cameras_square.jpg]

الكاميرات على شكل قبة:

تستخدم على نطاق واسع بسبب انه من الصعب اكتشاف اتجاه عدسة الكاميرا.

[صورة مرفقة: Cameras_on_the_dome-shaped.jpg]


الكاميرا السرية:

تأتي بجميع الأشكال والأحجام، قد تكون مخفية بداخل ساعة حائط كبيرة أو بداخل قلم كتابة رفيع.

[صورة مرفقة: Secret_camera.jpg]

[صورة مرفقة: Some_types_of_door_locks.jpg]
بعض أنواع أقفال الأبواب

وهناك ايضا ً نوع آخر من الحواجز يسمى مصيدة الرجل(Mantrap)، فهي طريقة لعمل تعريف مرئي لهوية الشخص ومصادقتها لمنحه الوصول. وهي عبارة عن منطقة صغيرة تحتوي على بابين موصدين (يمتازان بقوتهما وقوة إقفالهما) أحدهما يسمح بالدخول إلى المنطقة والآخر يسمح بالدخول إلى غرفة الحاسب الآلي أو الغرفة الحساسة. كما تحتوي على زجاج ضد الرصاص يفصل هذه المنطقة الصغيرة عن غرفة أخرى يتواجد بها الحراس الذين يقومون بعملية المصادقة. أما طريقة عملها، فيقوم الشخص بتعريف نفسه عند الباب الأول، فعندما تتم مصادقته يفتح له الباب الأول ويدخل إلى المنطقة بين البابين وهي المصيدة (Mantrap)، فعندما تتم مصادقته عن طريق حراس الأمن، يفتح له الباب الآخر الذي يؤدي إلى الغرفة الحساسة. (انظر الشكل 2)

[صورة مرفقة: Mantrap.jpg]
الشكل(2) : توضيح لطريقة مصيدة الرجل (Mantrap)



- المقاييس الحيوية (Biometrics):
لكل شخص خصائص فسيولوجية وسلوكية تميزانه، فتستخدم هذه الخصائص في عملية تعريف الشخص. وكما يعرف سلفاً ان هناك ثلاثة طرق لعملية التعريف:

التعريف عن طريق شيء تعرفه (Something you know) مثل كلمة المرور.
التعريف عن طريق شيء تملكه (Something you have) مثل البطاقة الذكية.
التعريف عن طريق شيء منك (Something you are) مثل بصمة الإصبع. وهذه الطريقة تستخدم المقاييس الحيوية .


ومن الأمثلة على المقاييس الحيوية (مرتبة من الأكثر أماناً إلى الأقل):

نمط شبكية العين.
بصمة الإصبع.
بصمة اليد.
نمط الصوت.
نمط الضغط على لوحة المفاتيح.
التوقيع.

[صورة مرفقة: Some_examples_of_biometrics.jpg]
شكل(4): بعض الأمثلة على المقاييس الحيوية

0 التعليقات: