العودة   منتديات نيو كرمة > نيو كرمة ، العلوم والروابط > منتدى التكنولوجيا والحاسوب
التسجيل التعليمـــات التقويم اجعل كافة الأقسام مقروءة
إضافة رد
 
أدوات الموضوع انواع عرض الموضوع
#1  
قديم 03-17-2009, 12:32 PM
عضو مميز
المحايد غير متصل
لوني المفضل Cadetblue
 رقم العضوية : 23
 تاريخ التسجيل : Feb 2009
 فترة الأقامة : 2083 يوم
 أخر زيارة : 03-26-2011 (09:15 PM)
 المشاركات : 189 [ + ]
 التقييم : 10
بيانات اضافيه [ + ]
افتراضي بحث مقدم لنيل درجة الماجستير في نظم المعلومات



بسم الله الرحمن الرحيم

السلام عليكم بجميع أصقاع العالم ورحمة الله وبركاته

هذا البحث تقدمت به لنيل درجة الماجستير في نظم المعلومات من جامعة النيليلن في يونيو2007 م بإشراف
بروفسير عوض حاج علي
سأعرض من البحث في أجزاء متتالية أرجو أن تفيد الباحثين والمهتمين بأمر حماية المعلومات وخاصة من لهم علاقة بالعمل المصرفي.



نورالدين محمد حامد




رد مع اقتباس
قديم 03-17-2009, 12:34 PM   #2
عضو مميز


الصورة الرمزية المحايد
المحايد غير متصل

بيانات اضافيه [ + ]
 رقم العضوية : 23
 تاريخ التسجيل :  Feb 2009
 أخر زيارة : 03-26-2011 (09:15 PM)
 المشاركات : 189 [ + ]
 التقييم :  10
لوني المفضل : Cadetblue
افتراضي



جمهــورية السودان
جامعة النيلين
كلية الدراسات العليا



أمن نظم ومعلومات المصارف وحمايتها
باشارة خاصة للواقع السوداني


بحث مقدم لنيل درجة الماجستير
في نظم المعلومات


إعـداد
نورالدين محمد حامد

إشراف
بروفسير/ عوض حاج علي


يونيو عام 2007م - 1428هـ


 

رد مع اقتباس
قديم 03-17-2009, 12:35 PM   #3
عضو مميز


الصورة الرمزية المحايد
المحايد غير متصل

بيانات اضافيه [ + ]
 رقم العضوية : 23
 تاريخ التسجيل :  Feb 2009
 أخر زيارة : 03-26-2011 (09:15 PM)
 المشاركات : 189 [ + ]
 التقييم :  10
لوني المفضل : Cadetblue
افتراضي



بسم الله الرحمن الرحيم


#قال الذي عنده علم من الكتاب أنا ءاتيك به قبل أن يرتد إليك طرفك فلما رءاه مستقرا عنده قال هذا من فضل ربي ليبلوني ءأشكر أم أكفر ومن شكر فإنما يشكر لنفسه ومن كفر فإن ربي غني كريم#


صدق الله العظيم


الآية 40 من سورة النمل





سبحان الذي علم بالقلم


علم الإنسان ما لم يعلم






اللهــم علمـنا ما ينفعنا


وأنفعـــنا بمـــا علمتـنـا


إنك أنت العليم الحكيم


 

رد مع اقتباس
قديم 03-17-2009, 12:46 PM   #4
عضو مميز


الصورة الرمزية المحايد
المحايد غير متصل

بيانات اضافيه [ + ]
 رقم العضوية : 23
 تاريخ التسجيل :  Feb 2009
 أخر زيارة : 03-26-2011 (09:15 PM)
 المشاركات : 189 [ + ]
 التقييم :  10
لوني المفضل : Cadetblue
افتراضي



إهداء


إلى روح والدي الذي أفنى حياته في التسفار في مجاهيل الغربة داخل السودان وخارجه، لتوفير حياة كريمة لاسرته، واضعاً نصب عينيه رسالته الأسمى وهي أن يهئ لأبنائه مناخاً ً آمناً لتحصيل العلم وليس غيره.

وإلى أمي- أمد الله في عمرها وحفها برعايته - التي أرضعتني معنى الحياة والقيم النبيلة، فهي التي تحملت عبء التنشئة، فكانت الأم والأب، ظلت تبعث فينا لنمتطئ صهوة الصفوف الأمامية وأن نترجل للعلم والعلماء.إلى أسرتي و إخواني وأهل بيتي ،زوجتي وأبنائي وبناتي الذين شاركوني بوجدانهم وهيأوا لي الأمر.

إلى أهلي وعشيرتي، وللذين ما زال منهم يترنحون تحت وطأة الغربة والهجرة والشتات لتوفير أسباب الحياة الكريمة لابنائهم.


إليهم جميعاً أهدي .




نورالدين محمد حامد


 
التعديل الأخير تم بواسطة المحايد ; 03-17-2009 الساعة 12:52 PM

رد مع اقتباس
قديم 03-17-2009, 12:51 PM   #5
عضو مميز


الصورة الرمزية المحايد
المحايد غير متصل

بيانات اضافيه [ + ]
 رقم العضوية : 23
 تاريخ التسجيل :  Feb 2009
 أخر زيارة : 03-26-2011 (09:15 PM)
 المشاركات : 189 [ + ]
 التقييم :  10
لوني المفضل : Cadetblue
افتراضي



شكر وتقدير



الحمد لله على نعمه التي لا تحصى ولا تعد حمداً كثيراً كما ينبغي لجلال وجهه وعظيم سلطانه، وصلي اللهم على سيدنا ومولانا وحبيبنا محمد وعلى آله وسلم.
يسر الباحث أن يتقدم بجزيل الشكر ووافر الإمتنان لكل من يسر له سبيل الإلتحاق بهذا الصرح الشامخ (جامعة النيلين) للتشرف بالحصول على درجة الماجستير.

كما يطيب للباحث أن يتقدم بوافر الشكر والتقدير والإمتنان لسعادة البروفسير عوض حاج علي، المشرف على هذه الرسالة، والذي كان له الفضل – بعد الله سبحانه وتعالى – في توجيهه وإرشاده ، فقد بذل من الجهد والوقت في سبيل إخراج هذه الرسالة بصورة لائقة، فله كل التقدير والإحترام.

كما يقدم الباحث الشكر الوافر للدكتور/ عزالدين وظيف علي بشير الأستاذ المساعد بجامعة أفريقيا العالمية والمتخصص في تعليم اللغة العربية للناطقين بغيرها على تشجيعه وتوجيهه وتفضله بمراجعة هذه الرسالة لغوياً وتصحيحها.

كما يتقدم بالشكر لكافة منسوبي البنوك التجارية، الذين لم يألو جهداً في تقديم العون والتسهيلات للباحث، وتفهمهم الكبير لأهمية هذا البحث من الناحية العلمية والعملية والذي إتضح من خلال الإستقصاء واسلوب المقابلات واللقاءات معهم.

كما يتقدم الباحث بالشكر والعرفان لأعضاء مناقشة الرسالة وهم الدكتور/ السماني عبدالمطلب أحمد استاذ بقسم علوم الحاسوب وتقانة المعلومات بجامعة النيلين والدكتور/ سيف الدين عثمان فتوح استاذ مشارك، مساعد العميد للشؤون الأكاديمية بكلية الحاسوب بجامعة الرباط الوطني.

والشكر ممتد للأبناء عبد العظيم علي عبد العزيز ومحمد المجتبى نورالدين على ما قدموه لي من مساعدة في طباعة وتغليف هذا البحث.
وفي الختام أشكر كل من ساهم بتوجيهي وتشجيعي ممن ذكرت وممن فاتني ذكرهم مع إعتذاري لهم لعدم ذكر اسمائهم.

وآخر دعوانا أن الحمد لله رب العالمين والصلاة والسلام على رسوله الأمين.


(الباحث)


 

رد مع اقتباس
قديم 03-17-2009, 12:55 PM   #6
عضو مميز


الصورة الرمزية المحايد
المحايد غير متصل

بيانات اضافيه [ + ]
 رقم العضوية : 23
 تاريخ التسجيل :  Feb 2009
 أخر زيارة : 03-26-2011 (09:15 PM)
 المشاركات : 189 [ + ]
 التقييم :  10
لوني المفضل : Cadetblue
افتراضي



الملخص


إن عالم اليوم يعتمد على التقنيات الحديثة بشكل كلي، فالتطور في تقنية الحاسوب والطفرة في تقنية الاتصالات وما صاحبهما من إنتشار في استخداماتها، جعل العالم في جهاز حاسوب واحد، فالحاسوب اصبح من ضرورات الحياة اليومية في أداء جميع الأعمال، فالأعمال التجارية التقليدية والتجارة الإلكترونية والمصارف والبنوك التقليدية والإلكترونية والحكومات الإلكترونية جميعها أصبح إستخدام تقنية المعلومات ونظمها أمر لا فكاك منه، وبنفس قدر تطور التقنية ونموها وانتشار إستخداماتها هنالك تطور تقني آخر مصاحب وملازم له متمثلاً في المخاطر والمهددات التي تتعرض لها إستخدامات هذه التقنية.
قام الباحث بعرض مراحل تطور العمل المصرفي بالسودان ومراحل إستخدام الحاسوب في أداء الاعمال المصرفية والخدمات التي تقدمها البنوك لعملائها، كما قام أيضاً بعرض المخاطر والمهددات التي تجابه إستخدامات التقنية بصورة عامة وبالبنوك بصفة خاصة وذلك في ظل إستخدام الشبكات الخاصة بكل بنك، أو إستخدامات الشبكات القومية لتبادل الخدمات بينها، وأيضاً في ظل إستخدامات الإنترنت، حيث تتنوع مصادر المخاطر بنوع الشبكات المستخدمة، فالمخاطر والمهددات في ظل الشبكات الخاصة تختلف عنها في الشبكات القومية، أما إستخدام الشبكة العالمية - الإنترنت - فتفتح نافذة على مخاطر لا تحدها إمكانية معرفية أو فنية أو جغرافية لذا أفرد لها الباحث مساحة ليعكس حجم المشاكل التي قد تتعرض لها البنوك.
إتخذ الباحث البنوك التجارية السودانية عينة لدراسته لمعرفة مدى تأثرها بإستخدامات تقنية المعلومات والمهددات التي تتعرض لها، ولمعرفة الاجراءات الادارية والأمنية والفنية المتخذة لدرء البنوك من مخاطر إستخدامات التقنية، كما قام الباحث بعرض نماذج السرقات التي تعرضت لها البنوك التجارية السودانية، وتبين له أن أسباب هذه السرقات هي سوء إستخدام الحاسوب لضعف النظام الرقابي به، أو لسوء إستغلال الصلاحيات الممنوحة للموظفين، والثقة المفرطة بين الموظفين وشيوع إستخدام وتبادل كلمات السر بينهم، كذلك عدم وجود سياسات لأمن المعلومات أو لعدم تطبيقها، تشابهت الطرق والوسائل المستخدمة في السرقات بين البنوك وذلك لتشابهها في إستخدامات التقنية ونوع الخدمات والمنتجات التي تقدمها البنوك لعملائها، ما شملت النماذج أيضاً السرقات في الدول العربية وباقي دول العالم وتبين تشابهها في الوسائل والطرق التي تمت بها السرقات، وكانت في جلها بإستخدم الإنترنت في الإحتيال عبر البريد الإلكتروني وسرقة المعلومات الخاصة بعملاء البنوك ومن ثم إختراق حساباتهم وسرقة أرقام البطاقات الإئتمانية إستغلالها في السرقات.
قام الباحث بوضع توصيات لحماية نظم المعلومات، ونظم المعلومات المصرفية بصورة خاصة، وذلك من واقع تجارب الآخرين، شملت التوصيات الأهداف الأمنية الأساسية وهي سرية معلومات العملاء، تكاملها وتوفر الخدمة وجاهزيتها، بدءاً بتوصيات لسد الثغرات بالبنوك السودانية لتفادي أسباب السرقات وللأخذ باسباب الحماية لمنع جرائم الحاسوب بصورة شاملة، وتمثلت التوصيات في طرق الوقاية من المهددات والمخاطر الأمنية، وسائل إكتشاف الإختراقات، وطريقة إيقافها ثم معالجة آثارها عند حدوثها.
وحث الباحث على أهمية تطوير سياسات أمن نظم المعلومات وحمايتها ووضع معايير ومواصفات قياسية لاستخدامات نظم المعلومات وتطبيقها بصورة فاعلة، كما حث على أهمية وجود إدارات مؤهلة ومختصة لأمن نظم المعلومات مراجعتها وتدقيقها، بالأضافة إلى ضرورة رفع الوعي الأمني لجميع الموظفين بشتى مستوياتهم، كما أشار الباحث إلى أهمية سن القوانين الرادعة لجرائم الحاسوب ودور الحكومات في ذلك وتطرق لقانون مكافحة جرائمالمعلوماتية بالسودان والدول العربية وباقي دول العالم.


 

رد مع اقتباس
قديم 03-19-2009, 12:30 AM   #7
عضو مميز


الصورة الرمزية المحايد
المحايد غير متصل

بيانات اضافيه [ + ]
 رقم العضوية : 23
 تاريخ التسجيل :  Feb 2009
 أخر زيارة : 03-26-2011 (09:15 PM)
 المشاركات : 189 [ + ]
 التقييم :  10
لوني المفضل : Cadetblue
افتراضي



الفصل الأول


المقدمة

1-. . مقدمة

لا يمكن الحديث عن أمن نظم ومعلومات المصارف وحمايتها دون التطرق للمشاكل والممارسات المالية غير المشروعة. - أنواعها وأضرارها- إذ إن المشاكل التي تتعرض لها النظم المصرفية جزء لا يتجزأ مشاكل المنظومة الاقتصادية.
تشهد الساحة الاقتصادية على المستوى الدولي، منذ الثمانينات من القرن الماضي، تفشي ظاهرة انتشار مشاكل وأزمات لها طابع مالي واقتصادي تتم بممارسات مخالفة لكافة القوانين والتشريعات المتعارف عليها في جميع انحاء العالم، بالإضافة الى كونها مخلة بالقيم والمبادئ والأعراف والأديان التي يؤمن بها معظم المجتمعات البشرية في هذه المعمورة. والأمر الذي يثير القلق هو أن هذه الاختراقات المالية والاقتصادية غير المشروعة آخذة في التوسع، وما يتثير الحيرة حقا فشل محاولات الدول بمفردها او بتعاون المتضررة منها مع بعضها في مكافحة هذه الظاهرة او حتى الحد من تفاقمها.
و سيتطرق الباحث هنا بإيجاز إلى أنواع وأبعاد الممارسات المالية والاقتصادية غير المشروعة وعرض المزيد من الأمثلة، وسيحاول من خلال هذه الأمثلة، ان يبين مساوئ هذه الممارسات التي تؤدي الى هلاك الملايين من البشر، ودمار اقتصادات بعض الدول، وأن فقدان الرقابة المالية يقود الى افلاس البنوك والخسائر الجسيمة التي يتكبدها المؤسسون وكبار العملاء وصغارهم ، وأن كثيرا من رجال الاعمال يفقدون أموالهم في استثمارات وهمية، وغيرها من مشاكل اقتصادية ومالية، نعرض لأهمها فيما يأتي:



1-1. الممارسات المالية غير المشروعة:
1-1-1. غسيل الأموال
جريمة غسيل الاموال عبارة عن توظيف أموال داخل الدولة أو خارجها في أعمال مشروعة لطمس الأصل غير المشروع لهذه الأموال وذلك من خلال تسلل هذه الموال إلى المشروعات الإقتصادية والتأثير فيها، وبذلك تمر الاموال المتحصل عليها من الجرائم خلال إستثمارات مشروعة ويعاد إستغلالها بعد ذلك على أنها من مصدر ربح مشروع ولمزيد من التضليل يقوم أشخاص آخرون غير أعضاء الجريمة المنظمة بغسيل هذه الأموال مقابل مبالغ نقدية تدفع لهم لعدم كشف مصدرها الحقيقي[1] .
لقد بدأ استعمال مصطلح «غسيل الأموال» مع نهاية عقد الثلاثينات ومطلع الأربعينات من القرن العشرين للإشارة الى الصفقات التي تنجزها المؤسسات الاقتصادية التي تمتلكها شبكة منظمة «المافيا» في الولايات المتحدة الامريكية والتي تقوم بغسل الأموال غير المشروعة وذلك عن طريق مزج الايرادات المشروعة وغير المشروعة معا بحيث تظهر كافة الايرادات وكأنها من مصدر مشروع.
ولا يزال هذا المفهوم للعمليات التي يتم من خلالها إخفاء مصدر الاموال غير المشروعة، هو السائد لمصطلح غسيل الاموال. وهناك العديد من المصادر للأموال غير المشروعة والتي يمكن ادراجها ضمن غسيل الأموال، وأهمها هي:
· الاتجار في المخدرات:
ويعود تاريخ تجارة المخدرات الى فترة الطفرة الاقتصادية التي سادت العالم بعد نهاية الحرب العالمية الثانية، وآخر احصاءات الموثوقة تقدر حجم الاموال الناجمة عن تجارة المخدرات بحوالي (700) مليار دولار سنويا أي تقريبا ما بين 2% الى 5% من إجمالي الدخل القومي العالمي[2]
· تجارة الرقيق:
تقوم عصابات الجريمة المنظمة، لا سيما في أميركا اللاتينية وأفريقيا وجنوب شرق آسيا وفي شبه القارة الهندية، باستغلال الظروف الاقتصادية والاجتماعية للأسر الفقيرة بشراء اطفالهم بمبالغ زهيدة للمتاجرة ببعضهم والاحتفاظ بالبعض الآخر منهم ليصبحوا نواة لأفراد عصابات الجريمة المنظمة في المستقبل. كما تتاجر بالأعضاء البشرية، بالإضافة إلى انهم يتاجرون بالفتيات للدعارة. وتشير التقارير الاخيرة لمنظمة العمل الدولية الى أن الاجمالي العام لهذه الانواع من التجارة تقدر عوائده السنوية بحوالي خمسة مليارات دولار.

· تجارة الاسلحة بشكل غير مشروع:
تتم صفقات هذه الاسلحة، بأساليب ملتوية ومخفية، بين تجار الاسلحة والدول المصنعة للاسلحة لتحقيق مكاسب اقتصادية غير مشروعة، والاطراف المستفيدة من هذه الصفقات هي الدول المحظور عليها اقتناء الاسلحة.

· تمويل العمليات الإرهابية:
تقوم بعض الدول و المنظمات و الأحزاب السياسية بتمويل أو بجمع التبرعات وتقديمها لعصابات اجرامية لتقوم بنشاطات لتحقيق أهداف معينة عن طريق استخدام العنف.

· الرشاوى:
إن صفقات الرشاوى تتم من خلال عمليات كبيرة معقدة وإجراءات يصعب اكتشافها. والأمر الغريب بهذا الخصوص ان كثيراً من الدول تسمح لشركاتها العالمية بحسم مبالغ الرشاوى من المستحقات الضريبية، وبعلم حكوماتهم وشركاتهم بهذه الاجراءات.



1-1-2. الإضرار باقتصاديات الدول:
خير شاهد على هذا النوع من الاجرام هو ما حدث لدول النمور الآسيوية نتيجة للنمو الاقتصادي السريع الذي حققته (حتى منتصف التسعينات من القرن العشرين)، والذي تفوّق في سرعته على النمو في الدول الصناعية الغربية، مما أثار حفيظة نفوس صانعي قرارات السياسات الاقتصادية في الدول الغربية لخوفهم على مستقبل المصانع في بلادهم، خاصة بعد ان يتم تطبيق بنود منظمة التجارة العالمية والتي منها فتح الاسواق المحلية للصادرات الأجنبية، مما جعل كبار المستثمرين وعلى رأسهم الأميركيين، وارن بيفت الذي سحب مبلغ 3 مليارات دولار، وجورج سورس الذي سحب مبلغ ملياري دولار، ثم تبعهما المضاربون الآخرون وبحركة هستيرية في سحب مئات ملايين الدولارات من اسواق الاسهم المالية الآسيوية، كل هذا حدث في شهر يوليو (تموز) 1997. ونتج عن ذلك انخفاض حاد في صرف سعر عملة تايلاند (البات). وبالطبع تطورت هذه المشلكة فأصبحت اقليمية الى ان انجرفت معظم دول جنوب شرقي آسيا الى حافة الانهيار المالي حيث اهتزت البورصات الآسيوية وتدهورت اسعار صرف عملات هذه الدول. قد أدى هذا الدمار إلى الاضرار بدولة اليابان ثاني أكبر اقتصاد في العالم.

مما سبق يتضح ان ما فعله وارن بيفت وجورح سورس وغيرهما من كبار المضاربين في الأسواق المالية للنمور الآسيوية، يعتبر هدراً ودماراً لمقدرات شعوب تلك المنطقة من العالم. وهذا في حد ذاته -على أقل تقدير- يعتبر جريمة اقتصادية بشعة في حق الانسانية.[3]



1-1-3. الاختلاس والاحتيال والتزوير المالي الدولي
ان اكبر جريمة اختلاس في تاريخ البشرية هي التي تتعلق بقضية «بنك الاعتماد والتجارة الدولي».. والسبب هو إدانة السيد عباس جوكال احد المسؤولين الكبار في مجموعة الخليج، بتهمتين:
الاولى تتعلق بتزوير وثائق ليصبح ممكنا الحصول على قروض ضخمة من البنك لمجموعة الخليج، والثانية تتمثل في مساعدة جوكال لبنك الاعتماد على إخفاء تعامل البنك عن مدققي حسابات البنك. وبلغ حجم عملية الاحتيال والتزوير في هاتين القضيتين مبلغ (13) مليار دولار. والامر المؤسف ان العملاء خسروا حوالي40% من إجمالي ودائعهم.[4]




[1] د. عبدالفتاح بيومي حجازي، جريمة غسيل الاموال بين الوسائط الاليكترونية ونصوص التشريع، دار الفكر الجامعي - الاسكندرية ، 2005م، صفحة 15.


[2]د.عبد الرحمن ابراهيم الصنيعجريدة الشرق الأوسط التاريخ 14/10/2002

[3]د.عبد الرحمن ابراهيم الصنيعجريدة الشرق الأوسط التاريخ 14/10/2002


[4] المصدر السابق


 

رد مع اقتباس
قديم 03-19-2009, 12:32 AM   #8
عضو مميز


الصورة الرمزية المحايد
المحايد غير متصل

بيانات اضافيه [ + ]
 رقم العضوية : 23
 تاريخ التسجيل :  Feb 2009
 أخر زيارة : 03-26-2011 (09:15 PM)
 المشاركات : 189 [ + ]
 التقييم :  10
لوني المفضل : Cadetblue
افتراضي



1-2. نشأة المصارف المبدأ والفكرة.
نشأت فكرة العمل المصرفي كنتيجة طبيعية لوجود فائض مالي لدى الناس، وبحثهم عن جهات آمنة يمكنهم إيداع أموالهم فيها. وكان أكثر فئات الناس تمتعاً بهذه الصفة ونيل ثقة الناس، الصاغة والجواهريون، الذين لجأ الناس إليهم لحفظ أموالهم، وكانوا مقابل إيداعاتهم يحصلون على صكوك. ومع تطور حاجات الناس، والثقة التي يتمتع بها مصدر الصكوك، أصبحت هذه الصكوك قابلة للتداول بين الناس، في معاملاتهم التجاربة اليومية . وفي المقابل كان الصاغة يقومون بإقراض الناس مبالغ مقابل فوائد محددة وصكوك لضمان أصل المبالغ وفوائدها.[1]
وهكذا نشأت فكرة العمل المصرفي مبنية على الثقة ، والأمن والأمانة وهما محور حديثنا في هذا البحث.
وقد مرت النظم المصرفية بعدة مراحل، حتى وصلت إلى ما هي عليه اليوم، من تطور في أسلوب العمل المصرفي، ووسائله، ونوعية الخدمات والمنتجات التي تقدمها.
إن عالمنا اليوم يعيش ثورة تقنية، تتعدى أبعادها الثورة الصناعية، وهي ما يطلق عليها ثورة المعلومات، حيث تعتبر خطوة كبيرة خطتها البشرية، بقصد ترويض الطاقات التي فجرها العلم وإخضاعها لخدمة الإنسان والوفاء باحتباجاته، من خلال خطط مستقبلية تسعى في النهاية إلى إحداث تنمية شاملة بأبعادها الإجتماعية والإقتصادية[2].


[1] النظم المصرفية وأترالحاسبات الإلكترونية عليها ، إعداد امام حسين حسن حلمي (إتحاد المصارف العربية العدد 16) ص 5

[2] كفاءة الإجراءات الإدارية في المحافظة على أمن المعلومات، إعداد عبدالله بن محمد ناصر السحيباني (دراسة مقدمة لنيل درجة الماجستير) الرياض 1997م


 

رد مع اقتباس
قديم 03-19-2009, 12:33 AM   #9
عضو مميز


الصورة الرمزية المحايد
المحايد غير متصل

بيانات اضافيه [ + ]
 رقم العضوية : 23
 تاريخ التسجيل :  Feb 2009
 أخر زيارة : 03-26-2011 (09:15 PM)
 المشاركات : 189 [ + ]
 التقييم :  10
لوني المفضل : Cadetblue
افتراضي



1-3. استخدام الحاسوب بالمصارف.
بحكم طبيعة عمل المصارف وكمية المعلومات التي تتداولها وحجمها وأهميتها، وسريتها، سواء ما يتعلق منها بالمعلومات الشخصية للعملاء أو بتعاملاتهم التجارية، وبأرصدتهم المتوفرة لديها ونتيجة للتطور السريع في صناعة المصارف والخدمات التي تقدمها كان لابد لها من مواكبة هذا التطور والاستفادة من هذه القفزات التقنية الكبيرة.
وتعتبرالبنوك التجارية من أهم القطاعات التي تستخدم أجهزة الحاسوب والنظم الآلية وهناك أسباب عديدة دعتها إلى الاعتماد على تلك الأجهزة والنظم في معالجة المعلومات وتقنيتها ويمكن تلخيصها في الآتي:
· إتساع نطاق الأعمال وزيادة حجم المشروعات، والأسواق، وبالتالي زيادة إحتياجات العملاء.
· الزيادة المطردة في سوق المصارف، من حيث كمية الخدمات والمنتجات المقدمة ونوعيتها.
· عدم قدرة النظم اليدوية على تقديم المعلومات في الوقت المناسب وبالدقة المطلوبة، مما يؤدي إلى الخطأ والتأخير في إتخاذ القرار.
· الإختلاسات والتزوير نتيجة لضعف الرقابة اليدوية.
· التطور في صناعة الحاسوب وشبكات المعلومات.
· صغر حجم الأجهزة وإنخفاض قيمتها المادية مما جعلها متاحة وفي متناول الجميع.


 

رد مع اقتباس
قديم 03-19-2009, 12:35 AM   #10
عضو مميز


الصورة الرمزية المحايد
المحايد غير متصل

بيانات اضافيه [ + ]
 رقم العضوية : 23
 تاريخ التسجيل :  Feb 2009
 أخر زيارة : 03-26-2011 (09:15 PM)
 المشاركات : 189 [ + ]
 التقييم :  10
لوني المفضل : Cadetblue
افتراضي



1-4. تجربة المصارف السودانية مع الحاسوب.
مرت البنوك السودانية بعدة مراحل حتى وصلت إلى ما هي عليها الآن في إستحدام الحاسوب والنظم الآلية ويمكن عرض هذه المراحل على النحو التالي[1]:

1-4-1. مرحلة ما قبل استخدام الحاسوب.
تمتد هذه المرحلة منذ الثلاثينات إلى نهاية السبعينات ويمكن تقسيمها حسب التطورات التقنية كالآتي:
· العمل المصرفي اليدوي في عقدي الثلاثينات والاربعينات من القرن الماضي
· استخدام الحاسبات الميكانيكية في الخمسينات من القرن الماضي.
· استخدام الحاسبات الالكترونية من ظراز NCR مع التوسع في الخدمات المصرفية في عقد الستينات من القرن الماضي وقدعم استخدامها جميع المصارف تقريباً وتأهل عليها المصرفيون مما هيأهم لمرحلة الحوسبة[2].

1-4-2.التطبيق الجزئي للحاسوب بالمصارف.
بدأ استخدام الحاسوب في السودان منذ العام 1967م في عدة منشآت ، وفي عام 1978م بدأ استخدام الحاسوب بالمصارف في الحسابات الجارية وقام بكتابة البرامج مبرمجون سودانيون، وتعتبر هذه الفترة من أهم فترات استخدام الحاسوب وهي الفترة التي أحس فيها المصرفيون والعملاء بفائدة الحاسوب[3].

1-4-3. استخدام حزم البرامج الجاهزة بالبنوك.
مع بداية الثمانينات، بعد نجاح تجربة بنك فيصل الاسلامي، اتجه الكثير من الأفراد والمؤسسات في العالم بما فيه السودان إلى إنشاء بنوك إسلامية وتبعاً لذلك ولنجاح نظم الحاسوب في الحسابات الجارية ولحاجة الصيغ الاسلامية لآلية الحاسوب، اتجهت البنوك الاسلامية نحو الحوسبة بقوة، واعتمد نظام الحزم الجاهزة مع حذف الإجراءات الربوية وإضافة الصيغ الإسلامية، مما مكن المبرمجين الوطنيين السيطرة على النظم المصرفية بصورة دقيقة وذلك لعدم وجود لغة مشتركة بين المستخدم والمبرمج، كما عرف المصرفيون مدى القدرات المتاحة في الحاسوب والتي لاتتم إلا من خلال برمجيات متكاملة.
ويؤخذ على الحزم الجاهزة التكلفة العالية في القيمة والصيانة وبطء الإستجابة في حالة حدوث أعطال كبيرة، وعدم إتاحة الفرصة للمبرمجين في التدرج في تطوير خبراتهم وأوضاعهم ومن ثم الهجرة لدول الخليج وبالتالي إضعاف الكادر الوطني، هذا بالاضافة إلى عدم إيفاء الحزم الجاهزة بمتطلبات بنك السودان من تقارير، كما أن هذه الحزم مرتبطة بأنواع معينة أو وسائط أكثر تكلفة[4].

1-4-4. استخدام الحاسبات الدقيقة بالمصارف
إن التطور والقفزة الكبيرة في تقنية الحاسوب، إقتضيا مجاراتها ومواكبتها من قبل البنوك التي شرعت في البحث عن هذه النقلة ووجدتها في نقل الحزم الجاهزة إلى الحاسبات الدقيقة وفي بيئة وندوز ، ولم يتأت لها ذلك إلا نتيجة ما أفرزته المرحلة السابقة من خبرات في مجال البرمجة لدى المبرمجيين. وقد اتسمت هذه المرحلة بالاستخدام الواسع لقواعد البيانات والنوافذ واستخدام بيئة الوندوز[5].
ومع بدايات القرن الحالي بدأ الانتشار الواسع في استخدام التقنيات المختلفة في الخدمات المصرفية الإلكترونية باستخدام الشبكات وربط فروع البنوك ببعضها ومن ثم البنوك ببعضها عبر البنك المركزي مستفيدة في ذلك من النقلة النوعية الكبيرة التي قدمتها شركة الاتصالات السودانية في مجال نقل المعلومات ومشاركتها الفاعلة في تطوير هذه الخدمات. هذا بالإضاف إلى تقديم الخدمات الإلكترونية للعملاء متمثلة في خدمات الصراف الآلي ونقاط البيع.


[1] أ.د عوض حاج علي، تجربة حوسبة المصارف السودانية والرؤى المستقبلية، دراسات إستراتيجية العدد 18 أغسطس – سبتمبر 1999 ، صفحة 37.

[2] المرجع السابق ص 37

[3] المرجع السابق ص 38

[4] أ.د عوض حاج علي تجربة حوسبة المصارف السودانية والرؤى المستقبلية، دراسات إستراتيجية العدد 18 أغسطس– سبتمبر 1999 ، ص39

[5] المرجع السابق ص


 

رد مع اقتباس
قديم 03-19-2009, 12:37 AM   #11
عضو مميز


الصورة الرمزية المحايد
المحايد غير متصل

بيانات اضافيه [ + ]
 رقم العضوية : 23
 تاريخ التسجيل :  Feb 2009
 أخر زيارة : 03-26-2011 (09:15 PM)
 المشاركات : 189 [ + ]
 التقييم :  10
لوني المفضل : Cadetblue
افتراضي



1-5. الطفرة التقنية في صناعة المصارف.
مع بداية التسعينات من القرن الماضي، بدأت مرحلة جديدة في صناعة المصارف، وذلك بالتوسع في استخدام شبكات المعلومات، واعتمادها في جميع المعاملات المصرفية ، هذا بالإضافة إلى ظهور الشبكة العالمية للمعلومات Internet، واعتماد المصارف والشركات عليها، في تنفيذ الأعمال التجارية فيما يعرف بالتجارة الإلكترونية e-commerce. وهذا النظام يعتمد على وسائل الدفع الإلكترونية المختلفة والمتمثل في:
· العمل المصرفي من خلال الشبكة العالمية Internet Banking
· النظم المصرفية الإلكترونية Electronic Banking System (EBS)
· وسائل أخرى مثل: (credit cards , debit cards , e-cash, e-fund, Cyber-cash)
وكما سبق توضيحه فإن العمل المصرفي يعتمد أساساً على الثقة، سواء كان ذلك من المودعين أو المساهمين أو غيرهم من العملاء. وأن هذه الثقة تنبع أساساً من السرية والأمانة التي تتعامل بها المصارف والبنوك مع حسابات ومعلومات العملاء ودقتها وسلامتها.
وقد صاحب اعتماد المصارف والبنوك على النظم الإلكترونية، وشبكات المعلومات، تخوف من قدرة المصارف في الحفاظ على سرية المعلومات المخزونة بأجهزتها ودقتها وسلامتها، وعدم تسريبها أو تغييرها أو حذفها نتيجة للأخطار التي تتعرض لها هذه الأجهزة والنظم من قبل المتسللين عبر الشبكات، والعابثين من داخل المؤسسات المصرفية.
وفي المقابل أيضاً - نشأت مشكلة أخرى متمثلة في عمليات توثيق الحركات المالية، المتعلقة بالعملاء، لنكران بعضهم ورفضهم لبعض العمليات والحركات المالية التي تنشأ منهم عبر الشبكات .
كل هذه المشاكل جعلت أمن النظم والمعلومات يتصدر قائمة الإهتمامات في مجال العمل المصرفي والتجارة الإلكترونية. وهذا ما يجعل الباحث يسعى لتغطية المخاطر والمهددات التي تتعرض لها المصارف واقتراح الإجراءات الوقائية والرقابية والإدارية التي ينبغي اتخاذها لحماية النظم والمعلومات بالمصارف.


 

رد مع اقتباس
قديم 03-19-2009, 12:38 AM   #12
عضو مميز


الصورة الرمزية المحايد
المحايد غير متصل

بيانات اضافيه [ + ]
 رقم العضوية : 23
 تاريخ التسجيل :  Feb 2009
 أخر زيارة : 03-26-2011 (09:15 PM)
 المشاركات : 189 [ + ]
 التقييم :  10
لوني المفضل : Cadetblue
افتراضي



1-5-1. أهداف البحث.
·يهدف هذا البحث إلى دراسة المخاطر والمشاكل الناتجة عن استخدام البنوك والمصارف للتقنيات الحديثة، كما يهدف إلى وضع الحلول والتوصيات الكفيلة بتوفير الأمن والحماية للمصارف.
·بالإضافة إلى أن هذا البحث قد يسهم في وضع حلول للمشكلات التي يتوقع ان تجابها البنوك في السودان من جراء استخدام تطبيقات التقنية الحديثة.

1-5-2. مشكلة البحث.
تتمثل مشكلة البحث في الإجابة عن الأسئلة التالية :
· ماالمشاكل والمهددات الناتجة عن استخدام التقنيات الحديثة بالمصارف؟
· مامصادر التهديد ومكامن الخطورة في استخدام التقنيات الحديثة بالمصارف؟
· ماالمخاطر المتوقع حدوثها للمصارف ؟

1-5-3. الفرضيات
بنطلق هذا البحث من الفرضيتين الآتيتين:
· كلما زاد الإعتماد على استخدام التقنيات والنظم الحديثة وشبكات المعلومات، زادت المهددات والمخاطر بالمصارف والبنوك.
· عدم إتخاذ وسائل وإجراءات أمنية ورقابية لحماية النظم والمعلومات سيؤدي إلى تدمير المصارف وإفلاسها.


1-5-4. منهج البحث
سيعتمد الباحث على المنهج الوصفي في دراسته وذلك بإيراد المشكلات ووصف الحالات وعرض النتائج وذلك عن طريق الآتي:
للإجابة عن السؤال الأول من مشكلة البحث سيقوم الباحث بعرض استخدامات التقنيات الحديثة وشبكات المعلومات في المصارف وأثر ذلك في بروز نوعيات جديدة من المشاكل والمهددات. خاصة وأن جميع الخدمات والمنتجات المصرفية الحديثة تعتمد على تقنية النظم.
للإجابة عن السؤال الثاني من مشكلة البحث سيقوم الباحث بعرض المنافذ والثغرات الناتجة من استخدام التقنيات الحديثة والفئات الجديدة من مصادر التهديد والمخاطر.
للإجابة عن السؤال االثالث من مشكلة البحث سيقوم الباحث بعرض نتائج الإجابة عن السؤال الأول وتحليل نتائج السؤال الثاني لمعرفة المخاطر المتوقع حدوثها للمصارف وتحديدها. وذلك من خلال طرح استبانة لمعرفة مدى إتخاذ وتطبيق المصارف للإجراءات الوقاية لسد الثغرات والمنافذ.

1-5-5. وسائل وأدوات البحث
سيعتمد الباحث على الوسائل والأدوات الآتية:
· الاستبانة
· اللقاءات
· المراجع والدراسات النظرية
· االشبكة العالمية للإنترنت ( المواقع المتخصصة في أمن والمعلومات)
· الاطلاع على الدراسات والأوراق المقدمة في المؤتمرات والسمنارات المتخصصة
· الاتصال بالبريد الإلكتروني بالاختصاصيين والاستشاريين في مجال الدراسة.


 

رد مع اقتباس
قديم 04-12-2009, 01:31 PM   #13
عضو مميز


الصورة الرمزية المحايد
المحايد غير متصل

بيانات اضافيه [ + ]
 رقم العضوية : 23
 تاريخ التسجيل :  Feb 2009
 أخر زيارة : 03-26-2011 (09:15 PM)
 المشاركات : 189 [ + ]
 التقييم :  10
لوني المفضل : Cadetblue
افتراضي رد: بحث مقدم لنيل درجة الماجستير في نظم المعلومات



الفصل الثاني

أخطار ومهددات استخدام التقنية

2-.. مقدمة
نتيجة للثورة التقنية والتطور الهائل في مجال الحاسوب، والطفرة الكبيرة التي حدثت في وسائل الاتصالات، وشبكات المعلومات والدخول في عصر العولمة والإنترنت - كان لابد من ظهور مخاطر ومهددات جديدة في الساحة العالمية وهي المسماة بجرائم الكمبيزتر Cyber Crime مما يستدعي حديثاً لا يخلو من التفصيل عنها.

2-1. فكرة عامة عن أمن النظم والمعلومات وجرائم الكبيوتر
إن أمن النظم والمعلومات عبارة عن مجموعة من الإجراءات والتدابير الوقائية التي تستخدم للحماية من جرائم الحاسوب والإنترنت، ومهددات استخدام التقنية قد تطال إما سرية المعلومات وسلامتها وتوفرها أو قد ترتبط بأجهزة الحاسوب نفسها كأن تطالها السرقة أو في استخدام أجهزة الحاسوب وشبكات المعلومات كوسيط في إرتكاب الجرائم. وقد تطال جرائم الحاسوب والإنترنت البيانات الشخصية المتصلة بالحياة الخاصة. كما أن هذه الجرائم تطال الملكية الفكرية ، وتنصب على برامج الحاسوب وعلى قواعد اليبانات وعلى محتوى مواقع الانترنت. ومما سبق يتضح أن جرائم الحاسوب ليست فئة واحدة أو نوعاً واحداً, إلا أنه يمكن تصنيفها في فئتينعريضتين تندرج تحتهما كل جرائم الحاسوب المعروفة حتى الآن: وهما:
·الحاسوبكأداة للجريمة:
عندما يستخدم المجرم الحاسوب كأداة فإن الجريمة التي ترتكب هيجريمة تقليدية كالسرقة ولكنها ارتكبت باستخدام أسلوب غير تقليدي. فالمجرم في هذهالحالات يستخدم الحاسوب كأداة مثل استخدامهالقلم في التزوير.
·الحاسوب كهدف للجريمة:
يحدث هذا النوع من الجرائم غالباً داخل المؤسسة بواسطةموظف من موظفيها أو بواسطة مجرم من خارجها. ويُستخدم في التهديد الخارجي شبكاتالاتصالات السلكية واللاسلكية من أجل الوصول غير القانوني لنظام الحاسوب.
ففي ظل هذه الجرائم والمهددات كان لابد من بروز أمن المعلومات كأمر ملح لتحقيق الاهداف الامنية الأساسية المتمثلة في:
· السرية Confidentiality .
· دقة المعلومات وسلامتها Integrity .
· توفر الخدمة والمعلومات Availability .
· الاستخدام الأمثل والشرعي Legitimate use .
· المسؤولية Accountability .
· عدم النكران Non repudiation .
وفيما يلي حديث يوضح كل هدف:
2-1-1. الخسائر الناتجة عن جرائم الحاسوب وأسبابها وأنواعها[1]
بالرغم من حداثة جرائم الحاسوب والانترنت نسبياً، إلا أنها لقيت اهتماماً من قبل بعض الباحثين، حيث أجريت العديد من الدراسات المختلفة، لمحاولة فهم هذه الظاهرة، ومن ثم التحكم فيها، وقد أثبتت هذه الدراسات أن هناك تبايناً بين دول منطقة الشرق الأوسط، فى حجم خسائر جرائم الحاسوب، حيث تراوحت الخسائر ما بين (30.000.000) ثلاثين مليون دولار أمريكي في المملكة العربية السعودية، والإمارات العربية المتحدة، و (1.400.000) مليون وأربعمائة ألف دولار أمريكي في لبنان.
وأظهرت دراسة قامت بها الأمم المتحدة حول جرائم الحاسوب والانترنت بأن (24-42%) من منظمات القطاع الخاص، والعام على حد سواء، كانت ضحية للجرائم المتعلقة بالحاسوب والانترنت، كما بينت دراسة أخرى أجريت في بريطانيا، أنه وحتى أواخر الثمانينات، أرتكبت ما يقرب من (262) مائتين واثنين وستين جريمة حاسوبية.
في حين أظهر المسح الذي أجري في عام (2000) ارتفاع عد الشركات الأمريكية المتضررة من تلك الجرائم، حيث وصل العدد إلى (273) مائتين وثلاث وسبعين شركة، بلغ مجموع خسائرها أكثر من (256.000.000) مائتين وستة وخمسون مليون دولار.
كما بينت إحصائيات الجمعية الأمريكية للأمن الصناعي أن الخسائر التي قد تسببها جرائم الحاسوب للصناعات الأمريكية قد تصل إلى (63.000.000.000) ثلاث وستون بليون دولار أمريكي، وأن (25%) من الشركات الأمريكية تتضرر من جرائم الحاسوب، وقد أصيب (63%) من الشركات الأمريكية والكندية بفيروسات حاسوبية ، ووصل الفقد السنوي بسبب سوء استخدام الحاسوب (555.000.000) خمسمائة وخمسة وخمسون مليون دولار.
ومن الصعوبة بمكان، تحديد أي جرائم الحاسوب المرتكبة أكبر من حيث الخسائر، حيث لا يعلن الكثير عن مثل هذه الجرائم، ولكن أكبر الجرائم المعلنة هي جريمة لوس أنجلس، حيث تعرضت أكبر شركات التامين على الاستثمارات للإفلاس، وبلغت خسائرها (2.000.000.000) ملياري دولار أمريكي.
وتعتبر هذه الخسائر بسيطة نسبياً بمقارنتها مع الخسائر التي تسببها جرائم نشر الفيروسات والتي تضر بالإفراد والشركات وخاصة الشركات الكبيرة حيث ينتج عنها توقف أعمال بعض تلك الشركات نتيجة إتلاف قواعد بياناتها، وقد يصل الضرر في بعض المنشآت التجارية والصناعية إلى تكبد خسائر مادية قد تصل إلى مبالغ كبيرة، وعلى سبيل المثال وصلت الأضرار المادية إلى ملياري دولار أمريكي، فى حين وصلت الأضرار فقط لفيروس الحب الشهير (8.7) مليون دولار واستمر انتشار الفيروس لخمسة أشهر وظهر منه (55) نوعاً.
الجدول (أ)
خسائر الحاسوب للأعوام من 1997 وحتى الربع الأول من 2001م1
مصدر الخسائر
1997
1998
1999
2000
2001
سرقة المعلومات المتعلقة بالملكية
20.48.000
33.545.000
42.469.000
66.708.000
151.230.100
إتلاف أو تخريب معطيات الشبكات
4.285.850
2.142.000
4.421.000
27.148.000
5.183.100
تصنت الشبكات
1.181.000
562.000
765.000
991.200
886.000
اختراق النظام من الخارج
2.911.700
1.637.000
2.885.000
7.885.000
19.066.600
إساءة الدخول للشبكة من الداخل
1.006.750
3.720.000
7.576.000
27.984.740
35.001.650
الاحتيال المالي
24.892.000
11.239.000
39.706.000
55.996.000
92.935.500
إنكار الخدمة
N/a
2.787.000
3.255.000
8.247.500
4.283.600
التلاعب والخداع
512.000
N/a
N/a
N/a
N/a
الفيروسات
12.498.150
7.874.000
5.274.000
29.171.700
45.288.150
الدخول غير المصرح به
3.991.605
50.565.000
3.567.000
22.554.500
6.004.000
احتيال الاتصال
22.660.300
17.256.000
773.000
4.028.000
9.041.000
استراق السمع
N/a
245.000
20.000
5.000.000
0
سرقة الحاسوب المحمول
6.132.200
5.250.000
13.038.000
10.404.3..
8.849.000
المجموع
100.119.55
136.822.000
123.799.00
265.586.24
377.828.700


ومنذ أحد عشر عاماً درج معهد أمن الحاسوب الامريكية CSI بالتعاون مع مكتب التحقيقات الفدرالية الامريكية FBI على إجراء إستقصاء سنوي في مواقع الانترنت لمعرفة حوادث الحاسوب، وكانت نتائج الدراسة التي تمت عام 2006م كالآتي:[2]
الجدول (ب)
حوادث الحاسوب عام 2006م حسب مكتب التحقيقات الفدرالية الامريكية FBI2
المهددات
النسبة
هجمات الفيروسات
69%
سرقة الكمبويترات والهواتف المحمولة
47%
دخول غير المصرح لهم
32%
عدم توفر الخدمة
29%
إختراقات النظم
19%
سوء استخدام الشبكات اللاسلكية
14%
سرقة الملكية الفكرية
9%
الاحتيالات المالية
9%
الإحتيال على الإتصالات
8%
سوء استخدام برامج مواقع الإنترنت العامة
6%
تشويه مواقع الانترنت
6%
أعمال تخريبية
3%
كان عدد الذين شملهم البحث 616 من العاملين في مجال أمن المعلومات، وقد غطى البحث النقاط التالية:
· استخدام غير المصرح به لأنظمة الحاسوب
· الحوادث الداخلية والخارجية
· نوع الهجمات وسوء الاستخدام الذين تم إكتشافهما
· الإجراءات التي تم إتخاذها كرد فعل للإختراقات
وتشير نتائج الدراسة إلى :
· أن هجمات الفيروسات كانت السبب في أكثر الخسارات المالية،
· دخول غير المصرح لهم كان السبب الثاني في الخسارات المالية.
· الخسائر المالية المتعلقة بأجهزة الحاسوب المحمولة وأجهزة الموبايل وسرقة معلومات الممتلكات (مثل الملكية الفكرية) كانت الثالث في حجم الخسارات المالية
وتمثل العناصر الاربعة السابقة أكثر من 74% من حجم الخسارة المالية البالغ 52.494.290$ دولاراً التي تشير الدراسة إلى أنها إنخفضت. ويعزو المعهد الإنخفاض إلى عدم رغبة الذين تم إستقصاؤهم في ذكر المبالغ الحقيقية للخسائر المالية.
كما أظهرت الدرسة أن الخسائر المالية الناتجة من المهددات الداخلية كانت كالآتي:
· 37% منهم أفادوا بعدم وجود خسارة ناتجة من الداخل
· 29% منهم أفادوا بان نسبة تصل إلى أقل من 20% ناتجة من الداخل
· 10% منهم أفادوا بان نسبة تصل من 21% إلى40% ناتجة من الداخل
· 10% منهم أفادوا بان نسبة تصل من 41% إلى60% ناتجة من الداخل
· 12% منهم أفادوا بان نسبة تصل من 61% إلى80% ناتجة من الداخل
· 07% منهم أفادوا بان نسبة تصل إلى أكثر من 80% ناتجة من الداخل



[1]http://www.smc.deware.net/ar/artopic.asp?artID=16229&aCK=AE
الندوة العلمية حول مشروع قانون مكافحة جرائم المعلوماتية لسنة 2006 الأحد 25 يونيو 2006 بالمركز السوداني للخدمات الصحفية اعداد الاستاذ/ عصام الدين الامين محمد نور

[2]www.gocsi.com/prelea_000321.htmhttp://i.cmpnet.com/gocsi/db_area/pdfs/fbi/FBI2006.pdf


 

رد مع اقتباس
قديم 04-12-2009, 01:34 PM   #14
عضو مميز


الصورة الرمزية المحايد
المحايد غير متصل

بيانات اضافيه [ + ]
 رقم العضوية : 23
 تاريخ التسجيل :  Feb 2009
 أخر زيارة : 03-26-2011 (09:15 PM)
 المشاركات : 189 [ + ]
 التقييم :  10
لوني المفضل : Cadetblue
افتراضي رد: بحث مقدم لنيل درجة الماجستير في نظم المعلومات



2-1. تصنيف وتحديد الأخطار والمهددات:

وعلينا أن ندرك بأن ليس هناك أمن مطلق للكمبيوتر، طالما أن هناك كمبيوتر مستخدم، وأن المخاطر تتدرج من المخاطر التقليدية كأي مال منقول إلى مخاطر خاصة بطبيعة عمل الجهاز ووظائفه وتنتهي بأن يكون هذا الجهاز مصدر تهديد للآخرين. كما علينا أن ندرك أيضاً أننا كل يوم أمام جديد من التقنيات والبرمجيات والبروتوكولات التي قد تستغل في أعمال غير مشروعة، وعليه فان تصنيف وتحديد المخاطر يتباين بحسب النظرية والمعايير المختلفة ولكنها لاتختلف في جملتها عن بعضها، وفي هذا البحث سيتم تحديد وتصنيف المخاطر على ضوء الهجمات التي تقع بمناطق الحماية ومحلها، ونعني البيئة المادية المحيطة بالأجهزة والنظم، هذا التصنيف قال به قطاع عريض من الخبراء والتقنيين و الباحثين في حقل أمن المعلومات، ويتصف هذا التعريف بقدر واسع من الشمولية، إلا أنه يؤخذ عليه ان المادة الواحدة قد تجد موضعها في طائفة اواكثر في هذه التقسيمات[1]

2-2-1.خرق الحماية المادية Breach of Physical Security
والمعنى هنا هو قيام الشخص غير المرخص له بالحصول على معلومات وذلك إما بتجاوز الموانع المادية أو التحايل عليها أو بتحليل المخلفات المادية بقصد التعدي على معلومات الغير واستخدامها بطريقة تضر بالمنشأة المستهدفة. ويتمثل هذا النوع من الاختراق في الآتي:
2-2-1-1. بحث وتفتيش المخلفات Media Scavenge*
ويعني بحث المعلومات في مخلفات المؤسسات من القمامة والمواد المتروكة من اقراص صلبة ووسائط وخلافه من مخلفات الحاسوب وأوراق وكربون إما لمعرفة أسرار العمل من قبل المنافسين أو للحصول على معلومات مثل كلمات السر والشفرات وخلافها تساعدهم في الاختراق أوالسرقة.
2-2-1-2.إستخلاص المعلومات من الموجات الكهروماغنطيسية Eavesdropping Emanation
ويتم ذلك باستخدام أجهزة ووسائل ولواقط تقنية لتجميع الموجات الكهرومغناطيسية من النظم باختلاف انواعها كالتقاط موجات شاشات الحاسوب الضوئية والموجات الصوتية من أجهزة الاتصالات واجهزة الراديو.

2-2-1-3. الإلتقاط السلكي Wire Tappingوتحليل الاتصالات Traffic Analysis
والمقصود به التوصيل السلكي المادي مع الشبكة أو توصيلات النظام بغرض استراق السمع وسرقة المعلومات المتبادلة عبر الأسلاك وتنصب فكرة الهجوم بهذه الطريقة على دراسة أداء النظام ومتابعة سير الاتصالات والمعلومات بحيث يستفاد من سلوك المستخدمين وتحديد نقاط ضعف النظام، والوقت المناسب حتى يتمكن من وضع خطة للاختراق. وتتوقف سهولة الاختراق وصعوبته على نوع الشبكة وطريقة التوصيل المادي لها.

2-2-1-4. انهاء الخدمة أو عدم توفرها Denial of Service
والمقصود هنا الاضرار بالنظام، لمنع تقديم الخدمة، ويتم ذلك بوسائل عدة خاصة عبر الانترنت مثل:
¨ إغراق النظام Sink flood
وذلك بجعل شبكة المعلومات أو النظام مشغولاً بصورة دائمة وذلك بإرسال الرسائل البريدية الالكترونية دفعة واحدة أو إرسال طلبات خدمة وبثها ونشرها بحيث تتم إعادة البث من مختلف الجهات بكميات تفوق إمكانية النظام في التعامل مع الطلبات الواردة اليها حتى تتوقف الاجهزة المستهدفة عن الاستجابة لانشغالها.

¨ الإتلاف Sabotage
وهو إحداث تلف وتخريب النظام في برامجه ونظم تشغيله وبياناته بغرض الإنتقام أو المنافسة.
¨ خلل في الجهاز[2]
تتكون أجهزة الحاسوب من عناصر إلكترونية وأجهزة ميكانيكية وتعمل بواسطة نبضات كهربائية ويجري الإتصال بين وحدات الجهاز بواسطة البث المحكم لهذه النبضات الكهربائية وتصمم الدائرة الإلكترونية للحاسوب بحيث تتحكم في التوقيت والشكل والقوة وتردد هذه النبضات. وتمتاز الحاسوب بقدرتها على إكتشاف الأخطاء بواسطة أجهزة رقابة مصممة ضمن الحاسوب. أن حدوث أي خلل في أحد العناصر الإلكترونية كالترانزستور يؤدي إلى تغيير في التوقيت أو الشكل أو القوة أو بث النبضات مما يؤدي إلى وقوع الأخطاء ويرجع سبب مثل هذا الخلل إلى زيادة الحرارة أو الرطوبة أو تذبذب قوة التيار الكهربائي. كما أن معظم الآلات المستخدمة في عمليات الإدخال والإخراج والتخزين تتطلب بعض العمليات الميكانيكية وهذه العمليات تتم بسرعة فائقة وغالباً ما يحدث الخلل والأخطاء الميكانيكية لوجود خلل في التوقيت أو السرعة أو خلل في وحدة القراءة والكتابة أو لسوء الاستخدام.
كل ما تقدم من أخطاء وخلل ينتج عنها فشل المنشأة في تقديم الخدمة للعملاء وينتج ما يسمى عدم جاهزية وتوفر الخدمة Denial of Service مما يؤثر سلباً على صورة المنشأة.

2-2-1-5. الكوارث الطيبعية[3]
وتتمثل في الحوادث التي لا يمكن التكهن بها أو التحكم بها مهما حرصت المنشآت على ذلك، ومما يزيد من مضاعفات هذه الكوارث عدم جود خطط لدرئها، وتتمثل هذه الكوارث في:
¨ الحرائق:
إن من أكبر المهددات الحرائق إذ أن الحرائق تنتشر بسرعة فائقة مدمرة بذلك الأجهزة والمستندات وما تحتويها من معلومات سواء المخزنة بأجهزة أو بوسائط النسخ الوقائي.

¨ الأبخرة والغازات
رغم أن خطورتها أقل من الحرائق إلا أنها قد تدخل في مكونات الأجهزة الداخلية مسببة الخلل، وتكمن الخطورة أيضاً في أن مصدر هذه الأبخرة خارجية وليست ناتجة عن غرفة الأجهزة.

¨ الفيضانات والزلازل
إن مثل هذه الكوارث نادرة الحدوث من جراء الأمطار والسيول إلا أن عدم إختيار الموقع السليم لغرفة الحاسوب وأرشيفها يرفع من نسبة تأثر الحاسوب من كوارث الفيضانات.

2-2-1-6. السرقات
السرقات التي تطال الأجهزة والوسائط والمعلومات في أشكالها المختلفة سواء كان في شكل تقارير مطبوعة أو أشرطة كمبيوتر واستخدام هذه المعلومات في غير صالح المنشأ.



2-2-2. خرق الحماية المتعلقة بالاشخاص وشئون الموظفين:
المعني هنا الأخطار الخارجية والداخلية الناتجة من الأشخاص ذوي الصلة بالمؤسسة سواء أكانوا من الموظفين العاملين بها أو ممن لهم صلة بهم أو بالمؤسسة كالمتعهدين أو المتعاقدين بالمؤسسة لانجاز مهام معينة. وقد أثبتت الدراسات والبحوث أن جل المهددات الأمنية تتم من داخل المؤسسات.
وتتم هذه الاختراقات بالوسائل والطرق الآتية:

2-2-2-1. انتهاك الصلاحيات Authorization Violation
وهو استخدام الصلاحية الممنوحة في غير الغرض المصرح به، ويسمي هذا النوع من الاختراق "المهددات الداخلية" وغالباً ما تنتج مثل هذه المشاكل من ضعف النظم والإجراءات والتقارير الرقابية بالمؤسسة وتنشأ من المستويات ذات الصلاحيات، وفي نظام مثل هذا، يصعب إكتشاف المشاكل إلا بعد حين.

2-2-2-2. انتهاك تكامل المعلومات Information Integrity Violation
ويعني تغييرالمعلومات بالتعديل أو التبديل بالإضافة أو الحذف بطريقة غير مشروعة ومن أشخاص غير مصرح لهم وينتج ذلك لعدم وجود نظام رقابي متكامل مما يفتح الثغرات أمام المتسللين وضعاف النفوس لانتهاك سلامة وتكامل المعلومات وبالتالى يؤدي إلى تزويد العملاء والادارات بمعلومات غير صحيحة كما أنه في أغلب الأحيان يؤدي إلى تعطيل النظام والخدمات المقدمة للعملاء.

2-2-2-3. الاختلاس والإختطاف اللحظي لللمعلوماتHijacking Session
ويتحقق استغلال النظام من قبل اشخاص غير مصرح لهم بطريقة غير شرعية وذلك بتحين الفرص واستتخدام صلاحيات اشخاص مصرح لهم بعمليات مثل إجراءات القيود والحركات المالية إذا ما وجدوا الشاشة مفتوحة واستغلال غفلة الشخص المصرح له وتحين الفرص Piggyback والحصول علي المعلومات او باستراق النظر، كما يهدف مثل هذا النوع من الوسائل أيضاً الحصول علي معلومات تساعد في اختراق النظم لاحقاً لتنفيذ نشاط تدميري أو خلافه .

2-2-2-4. الهندسة الاجتماعية Social Engineering
ويقصد به استغلال العلاقة والوظيفة أوخلافهما للحصول على طريقة لاختراق النظام كأن يتم الاتصال بالموظف منتحلاً صفة شخص ما، ذي علاقة بالعمل أي بمحاكاة شخص مسؤول Impersonating وطلب اسم وكلمة سر المستخدم واستغلال نطاق صلاحية هذا المستخدم.

2-2-2-5. الازعاج والتحرش Harassment
وهي تهديدات يندرج تحتها أشكال عديدة من الإعتداءات والأساليب، ويجمعها توجيه رسائل الازعاج والتحرش وربما التهديد والابتزاز أو في أحيان كثيرة رسائل المزاح على نحو يحدث مضايقة وإزعاجاً.

2-2-2-6. قرصنة البرمجيات Software Piracy
وتتحقق بنسخ البرامج دون تصريح أو استغلالها على نحو مادي دون تخويل بهذا الاستغلال أو بتقليدها أو محاكاتها والانتفاع المادي منها على نحو يخل بحقوق المؤلف.

2-2-2-7. عدم الاقرار بتنفيذ العمليات المالية(Non Repudiation)
يتمثل هذا الخطر في عدم إقرار الشخص بالعملية التي قام بتنفيذها، كأن ينكر بأنه قام بإجراء حركات مالية في حسابه لدى البنك أو ان ينكر أنه أصدر أمر شراء عبر شبكة المعلومات خصماً على حسابه أو بطاقة الإئتمان الخاص به.

2-2-2-8. خطأ إدخال البيانات
وبحدث هذا النوع من الخطأ في مجال العمل المصرفي وخاصة عند إدخال الحركات المالية لحسابات العملاء والقيود المالية المختلفة ما لم يكن النظام مصمماً بطريقة تضمن الرقابة على المدخلات خاصة أرقام الحسابات، وبذلك بتم إيداع المبالغ والقيود المالية في حسابات عملاء آخرين مما يفقد المنشاة مصداقيتها.

2-2-2-9. استغلال بواقي وكسور الإحتسابات : Salamis
وبحدث هذا النوع من الجرائم دائماً من داخل المنشأة وهنا يقوم المبرمج بوضع أوامر معينة لمراقبة نتائج العمليات المحاسبية وجمع جزء من كسور العمليات المالية في حساب ما واستغلالها دون ترك أي آثار.

2-2-2-10. الثورات الشعبية
أن عدم الإستقرار السياسي والإقتصادي غالباً ما يؤدي إلى الثورات الشعبية مصحوبة بالشغب والإتلاف والدمار مما قد يصيب المنشآت والمؤسسات وبالتالى غرف الحاسوب وأجهزتها ومن ثم فقدان معلومات العملاء.


2-2-3. خرق الحماية المتصلة بالاتصالات والبيانات:
والمقصود به الأنشطة والممارسات التي يقوم الاشخاص غير المصرح لهم القيام بها لتجاوز الحماية المضروبة على وسائل الاتصالات ومن ثم إستهداف البيانات الخاصة بالمؤسسة ، كما وان هجمات البرمجيات تتمثل في استخدام البرمجيات بانواعها وأغراضها المختلفة للحصول على المعلومات أو إيقاع الضرر على المنشأة المستهدفة وتشملهذه الهجمات طائفتين وهي:

2-2-3-1. هجمة البيانات Data Attack
ويعني ذلك سرقة وتسريب البيانات والمعلومات كالبيانات الشخصية للعملاء وأرقام الحسابات وارصدتهم لدى البنوك وذلك بغرض استغلالها وبيعها أو بغرض الابتزاز ويتم ذلك باستخدام وسائل وطرق عديدة متمثلة في الآتي:
¨ النسخ غيرالمصرح به للبيانات Unauthorized Coping of Data
وهي العملية التي تستتبع عادة الدخول غير المصرح به للنظام حيث يتم الاستيلاء على البيانات والمعلومات عن طريق النسخ لكافة أنواع البيانات والمعلومات والبرمجيات وخلافها.

¨ القنوات السرية [4]Covert Channels
هي عملياً عبارة عن نقل المعلومات بانتهاك أمن وحماية النظام وتتمثل في اعتداءات التخزين حيث يخفي المنتهك بيانات أو برمجيات أو معلومات مستولى عليها - كأرقام بطاقات الائتمان - في مواضع معين بالذاكرة أوالقرص الصلب بحيث يتم استخدامها لاحقاً ، اما القنوات السرية المتزامنة فتتمثل في برامج النظام بحيث يتم التعامل مع التغير من خلال برامج أخرى وتتعدد أغراض الاخفاء، فقد تكون تمهيدأ لهجوم لاحق أو تغطية اقتحامات سابقة أو مجرد تخزين لبيانات غير مشروعة .

2-2-3-2.هجمات البرمجيات Software Attack:
وفيها يقوم المهاجم باستخدام برامج معينة في تنفيذ الهجمات - وهي الان متوفرة في مواقع عديدة بالإنترنت وقد لا تتطلب مهارات عالية - سواء كانت هذه البرامج برامج نقل بيانات أو برامج إتلاف أوبرامج للمشاهدة والتحليل.

¨ المصائد والأبواب الخلفية Traps and Backdoors
وهي ثغرة أو منفذ في برنامج ما أو برامج تشغيل النظم والهدف من ايجاد هذه الثغرات أساساً، هو استخدامها في حالات معينة من قبل المختصين لمعالجة مشاكل النظم، كما ان بعضها تزرع في برمجيات عامة عمدا للاختراق فيما بعد للمواقع المختلفة كما حدث مع بعض نظم مايكروسفت وباعترافهم وهي ميزة أو صفة في نظام ما يؤدي سوء استغلالها إلى تجاوز كل السياسات الرقابية الموضوعة علي النظام وتستغل من قبل مرتكبي جرائم الحاسوب، ومثل هذه الثغرات تشكل تهديداً كبيراً للمؤسسات المالية والبنوك.

¨ الهجمات والتلاعب بنقل معلومات عبر أنفاق النقل Tunneling Session
وهي طريقة تقنية مشروعة لنقل المعلومات عبر الشبكات غير المتوافقة لكنها تصلح طريقة اعتداء عندما تستخدم حزم المعطيات المشروعة لنقل معلومات غير مشروعة.

¨ الهجمات الوقتية Timing Attack
هي هجمات تتم بطريقة تقنية معقدة للوصول غير المصرح به إلى البرامج والمعلومات، وتقوم جميعها علي فكرة استغلال وقت تنفيذ الهجمة متزامناً مع فواصل الوقت التي تفصل العمليات المرتبة والمجدولة للنظام، وتضم في نطاقها العديد من الأساليب التقنية لتنفيذ الهجوم منها إساءة إستغلال الأوضاع أو الانماط العادية للأداء والكيفية في النظام Race condition والهجمات غير المتزامنة أو غير المتوافقة المتصلة باستغلال ترتيب تنفيذ العمليات الاعتيادية Asynchronous attacks.

¨ حصان طروادة ( Trojan Horse )[5]
ويعني وضع برامج غير مرئية أو تعليمات تضمن ببعض البرامج من قبل أشخاص بهدف الحصول على المعلومات بطريقة غير مشروعة ، حيث تقوم هذه البرامج بنقل المعلومات الي واضع البرنامج او كشف كلمات السر أو نقل بيانات وارقام بطاقات الإئتمان وخلافها .

¨ البرمجيات الخبيثة Malicious Codes
البرمجيات الضارة أو الخبيثة هي مهددات مزروعة (Planting Threats) في النظم والبرامج وتستغل للتدمير، وتتمثل في الفيروسات وحصان طروادة والقنابل المنطقية والموقوتة وتستغل هذه البرامج لتدمير النظم أو البرمجات أو المعلومات والبيانات أو الملفات أو الوظائف، أو تستثمر للقيام بمهام غير مشروعة كالاحتيال أو غش النظام أو سرقة البيانات والمعلومات المهمة كأرقام وكلمات السر، والحقيقة أن هذه المسميات ليست تسميات مترادفة للفيروسات الشائعة بل أنها تختلف عن بعضها البعض من حيث تركيبها ومن حيث طريقة إحداث التجسس وأحياناً أسلوبها في الهجوم، والهدف من تركيبها أو زرعها.
والبرامج الخبيثة تتمثل في:
o الفيروس : Virus:
هو عبارة عن برنامج حاسوب مثل أيِ برنامج تطبيقي آخر، ولكن يتم تصميمه بواسطة أحد المخرِبين بهدف محدد، هو إحداث أكبر ضرر ممكن بنظام الحاسوب؛ ولتنفيذ ذلك يتم إعطاؤه القدرة على ربط نفسه بالبرامج الأخرى، وكذلك إعادة إنشاء نفسه حتى يبدو كأنه يتكاثر ويتوالد ذاتيا، مما يتيح له القدرة على الإنتشار بين برامج الحاسب المختلفة، وكذلك بين مواقع مختلفة في ذاكرة الحاسب حتى يحقق أهدافه التدميرية.
o الديدان : Worms:
عبارة عن برامج تصيب النظم بالخلل وذلك بنسخ نفسها بسرعة حتى لا تترك للبرامج التشغيلية متسعاً للعمل وبالتالي تعطيل العمل.

o القنبلة الموقوتة : Time Bomb:
عبارة عن برامج تزرع لتدمير نظام ما في وقت محدد وغالباً ما تزرع مثل هذه البرامج من قبل الموظفين الذين يشعرون بالتهديد في وظائفهم.
o القنبلة المنطقية : Logic Bomb:
وهذه تماماً كالقنبلة الموقوتة إلا إنها تختلف من حيث أنها تقدح بتحقيق أمر ما، كأن لا يضمن إسم أورقم الشخص زارع القنبلة في قائمة المرتبات أو أن يضمن في قائمة المفصولين .

2-2-3-3.المصيدة Phishing
و تعني اصطياد المعلومات من قبل القرصانباستخدام برامج لإلتقاط معلومات الضحايا، وذلك بخداع الضحية عن طريق برامج معينة، للقيام بنسخ صفحات موقع ما وليكن بنك بصورها وتصاميمها ، ومن ثم إنشاء موقع على الإنترنت مشابه تماماً لموقع البنك وباسمً قريب جداً لاسم هذا الموقع، ومن ثم ارسال بريد إلكتروني E-mail يدعو فيه الضحية لتحديث معلومات حسابه الإلكتروني، مع وصلة Link إلى موقع البنك المزيف وسيجد الضحية نفسه مدعواً لإدخال اسم الدخول وكلمة السر، وبعد ذلك تقوم العصابة بحفظ معلومات الدخول ثم السطو على حساب الضحية فيما بعد ، ثم لإنهاء العملية، إما أن يشاهد الضحية رسالة قصيرة تفيدك بأن هناك مشكلة في الدخول أو سيقوم الموقع المزيف بتحويل معلومات الدخول إلى صفحة البنك الحقيقية باستخدام تقنيات معروفة في برمجة صفحات الإنترنت وسيجد الضحية نفسه أمام حسابه الحقيقي في البنك و لكن معلومات حسابه الشخصي تكون قد سرقت·
وسرقة المعلومات تتم بان يقوم المجرم بزرع برامج من نوع حصان طروادة الذي يقوم بمتابعة حركة لوحة المفاتيح والفأرة (key logger) وتقوم بتسجيل كل ما تطبعه على لوحة المفاتيح، ثم ترسل هذه المعلومات بواسطة الإنترنت إلى كمبيوتر المجرم .


2-2-3-4.إختراق الشبكات اللاسلكية[6]
إن معظم الناس يمتلكون الآن شبكات لاسلكية تعمل بدون كوابل أو أسلاك وبالتالي تنقل المعلومات عبر الأثير من خلال موجات الراديو، من ميزات هذه التقنية، حرية الحركة دون مخاطر التنقل عبر الشبكة السلكية. ولكن الشبكة اللاسلكية أكثر عرضة للتهديد وللمخاطر أكثر من الشبكات العادية السلكية، لذا تحتاج إلى مزيد من الحماية والعناية الخاصة.
وهناك الآن نمو متصاعد من الهواة الذين يبحثون بصورة دائمة على الشبكات اللاسلكية، فهم يتجولون عبر المناطق بأجهزة الحاسوب المحمول، ويبحثون عن موجات هذه الشبكات، هذه العملية تسمى قيادة الحرب أو مشية الحرب أو دورة الحرب (war-driving, war-walking or war-cycling)، إعتماداً على الطريقة أو الوسيلة المستخدمة للتنقل، بعضهم يحدد أو يضع معلماً للشبكات التي يجدونها وهذا يطلق عليه إظهار الحرب أو طبشرة الحرب 'War-chalking'.
هناك الآن مواقع إنترنت تحتوي على خرائط للمواقع اللاسلكية التي تم تشممها أو إلتقاطها، وكل المدن تم وضع خرائط لها. إن عملية طبشرة الحرب ليست غير شرعية في حد ذاتها، ولكن إختراق شبكات الآخرين دون تصريح منهم هو العمل غير الشرعي.
هناك معدات لا تحصى لتتبع موجات الشبكات اللاسلكية، ومن السهل الحصول عليها واستخدامها، والآن كل أجهزة الحاسوب المحمولة مزودة بأجهزة الإتصال اللاسلكي وبرامج تشمم الموجات التي تستخدم للكشف على مواقع شبكات اللاسلكي أو ما يسمى "قيادة الحرب"
بمجرد أن يتم إكتشاف الشبكة اللاسلكية فإنها تكون عرضة لسوء الاستخدم بنسبة عالية، وأقرب مثال لذلك أن يقوم المتسللون باستخدام الشبكة لنقل المعلومات في حين أن الضحية يقوم بدفع فاتورة النقل، وبالطبع فإن المعلومات تكون عرضة للإختراق ولن تكون محمية أو مأمنة وبالتالي تنتهك الخصوصية وكل الانشطة المضرة يمكن أن تمارس في جهاز الضحية أو يستخدم جهاز الضحية لإرتكاب أعمال غير شرعية. ففي هذه الحالة لن يتمكن أحد من متابعة أثر المجرم لأبعد من جهاز الضحية التي استعمل جهازه في إرتكاب هذا الجرم، وفي هذه الحالة يمكن أن يتهم الضحية الأولى بأنه هو المجرم ويرفع عليه دعوى من الضحية الثانية التي تم إستهدافها من خلال جهاز الضحية الأولى.

2-2-3-5.خلل بالبرامج
عند تصميم البرامج والنظم تحدث عادة أخطاء قد ينتج عنها عدم أستمرارية الخدمة وعدم تكامل المعلومات والسرية ومن هذه الأخطاء:
¨ خطأ في التصميم وينتج عن ذلك عدم فاعلية النظام
¨ خطأ في كتابة البرامج وينتج عنه خطأ في التنفيذ
¨ أخطاء في منطق المعالجة وينتج عنها خطأ في النتائج
¨ عدم إكتمال و تغطية المبرج لكافة الإحتمالات والشروط.
¨ عدم أخذ الجزء المتعلق بالآلة في تصميم وكتابة البرامج.
¨ تحوير البرنامج للتعليمات وينتج عن ذلك خروج البرنامج عن إطار العمل المحدد له.
¨ قصور النظام عن الوفاء بالمطلوبات الأمنية والرقابية والتحكم.


2-2-4. الهجمات والمخاطر المتصلة بعمليات الحماية:
والمعني هنا المخاطر والمهددات التي يتعرض لها نظام الحماية المستخدمة لحماية النظم وبتعرض نظام الحماية للهجوم والإختراق تصبح كل أو بعض المعلومات والبرمجيات تحت سيطرة المهاجم وبالتالي تنفيذ الأغراض التي دخل من أجلها للنظام سواء كان ذلك سرقة أو تخريباً أو تهديد، وهذه المخاطر في حقيقة الأمر تمثل كافة أنواع المخاطر والهجمات ولكن من زاوية تقنية.
ونورد فيما يلي خمسة أنواع من المخاطر وهي :

2-2-4-1. العبث بالبيانات Data Diddling
وهو استخدام يتعلق بالغش والخداع والإيهام والتقليد والمحاكاة والسرقة، والفكرة هنا تنبني على استخدام تقنيات لتزوير العنوان المرفق مع حزمة البيانات المرسلة بحيث يفهم النظام على أنه عنوان صحيح ويسمح النظام لحزمة البيانات بالمرور باعتبارها حزمة مشروعة وصحيحة.

2-2-4-2. تشمم كلمة السر Password Sniffing
عادة ما يتم كشف كلمات السر بطريقة التخمين أو تنفيذ معادلات، ولكن هنا يتم الكشف عنها باستخدام برامج يمكنها أن تتشمم أو تلتقط كلمات السر خلال تجوالها في جزء من الشبكة أو أحد عناصرها بحيث تقوم هذه البرامج بجمع المعلومات عندما يطبع المستخدم كلمة السر.

2-2-4-3. المسح والنسخ .Scanning
وهو برنامج يقوم بمسح المعلومات وجمع البيانات باستخدام برامج أخرى تقنية تعمل بنظام الاحتمالات عن أرقام هاتف المودم وكلمات السر.

2-2-4-4. هجومات استغلال المزايا الإضافية Excess Privileges
يجب أن يمنح المستخدمين صلاحيات محدودة حسب الحاجة، ولكن لضعف في النظام، أو لجهل القائمين عليه، أو لعدم تقدير المخاطر، تمنح صلاحيات إضافية، وهنا إذا تمكن المخترق من الدخول في النظام من خلال هذا المستخدم، فإنه سيقوم باستخدام الصلاحيات الإضافية في تنفيذ عمليات أو تحطيم النظام.

2-2-4-5. تجاوز الرقابة ( Bypassing Controls )
يقوم المهاجم أو المخترق بقراءة ملفات التحكم بالنظم ومعرفة نقاط الضعف واستغلال الضعف الموجود في النظام ، بقراءة ملفات التحكم وبمتابعة مسار النظام والحصول علي صلاحيات بطريقة غير مشروعة وهنا يمكن أن يقوم بتنفيذ القيود المالية على حسابات العملاء و/أو الحسابات الوسيطة بتبديل وتغيير المعلومات سواء بالإضافة أوالحذف أو التعديل ودون ترك أي آثار لجريمته كما يمكنه تخريب النظام وإلغاء ملفاته وإتلاف بيانات العملاء.


[1] جرائم الحاسوب والانترنت ، صفحة 87، إعداد المحامي يونس عرب ، الطبعة الأولى 2002 إتحاد المصارف العربية

[2] المراجعة والرقابة الداخلية على أعمال الحاسبات الإلكترونية صفحة 172 د. محمد حسن عمر مطابع الفرزدق – السعودية - الرياض 1984م

[3] د. عبدالرحمن عبدالعزيز الشنيفي، أمن المعلومات وجرائم الحاسب الآلي ص 71 الطبعة الأولى 1415هـ رقم الإيداع 2696/15 ردمك: .- 769- 27 – المملكة العربية السعودبة 1994م.

[4] http://www.answers.com/topic/covert-channel

[5] Computer communications security. By Warwick Ford 1994, Page18

[6]http://www.xs4all.nl/uk/veiligheid/wireless/Wireless networks


 

رد مع اقتباس
قديم 04-12-2009, 01:37 PM   #15
عضو مميز


الصورة الرمزية المحايد
المحايد غير متصل

بيانات اضافيه [ + ]
 رقم العضوية : 23
 تاريخ التسجيل :  Feb 2009
 أخر زيارة : 03-26-2011 (09:15 PM)
 المشاركات : 189 [ + ]
 التقييم :  10
لوني المفضل : Cadetblue
افتراضي رد: بحث مقدم لنيل درجة الماجستير في نظم المعلومات



2-1. مصادر التهديد
طالما وجدت معلومات مخزنة في أجهزة الحاسوب وهناك شبكة معلومات، فلابد من وجود مخاطر ومهددات، وتتفاقم حجم هذه المخاطر وتتنوع مصادرها بدرجة الإعتماد على التقنية وعلى مدى إنفتاح المنشأة على العالم الخارجي أوإنغلاقها. كما أن دوافع الإختراق وأسبابها تحدد وتصنف مصادر التهديد وفئاته.
وقد أشار "سشنز" مدير الشرطةالفيدرالية الأمريكية إلى أنه من خلال التحقيقات في جرائم الحاسوب يمكن تصنيفمرتكبي جرائم الحاسب إلى ثلاث مجموعات:[1]

المجموعة الأولى:
وهي الأكبر، تتألف منأفراد يخترقون نظم الحاسوب فقط لممارسة الهواية ومعرفة مدى مقدرتهم علىإنجاز ذلك وليس بهدف السرقة أو تدمير البيانات.
المجموعة الثانية:
تخترقالحاسوب بهدف تدمير البيانات, أو تعطيل النظام, أو تغييره أو إيقافه. وتُعدأفعال هذه المجموعة من نوع الإزعاج الماكر لأنها لا تهدف إلى تحقيق ربحمادي.
المجموعة الثالثة:
تهدف إلى تحقيق ربح مادي. ولهذه المجموعة تهديد خطيرللقطاع التجاري والأمن الوطني لأنها تتألف من أفراد ذوي كفاءة عالية يوظفون مهاراتمتخصصة لسرقة المعلومات, أو التلاعب بالبيانات, أو التسبب في خسائر تلحق بخدمات نظمالحاسوب.
الجريمة عن طريق الموظفين العاملين أو الموظفين المفصولين وارد ومحتمل جدا.ً وتشير التقديرات إلى أن 80% من جرائم الحاسب ترتكب من قبل موظفي الجهة نفسها. ومن الوقائع التي حدثت في الولايات المتحدة الأمريكية أنه حكم على أحد الموظفين فيإحدى شركات التأمين بالسجن لمدة سبع سنوات وبغرامة مقدارها 150 ألف دولار لأنه أدخلفيروساً في أجهزة الشركة التي كان يعمل فيها مما أدى إلى ضياع 160 سجلاً من سجلاتالعملاء، وذلك انتقاماً من الشركة لأنها قامت بفصله من العمل .


2-3-1. مهددو ومرتكبو جرائم الحاسوب:
من المهددون؟ ومن مرتكبو جرائم الحاسوب وما؟ دوافعهم؟
بناءاً على مسح إحصائي عن حوادث أمن المعلومات من قبل الحكومة الامريكية وجد أن العوامل المؤثرة في أمن المعلومات ومع ما يترتب عن كل عامل منها كالآتي:[2]
· الأفعال غير المقصودة تمثل 50%.
· عدم أمانة العاملين في الحاسب يمثل 15% إلى 20%. .
· الإبتزاز والضغط المطلبي يمثل 10%.
· المياه والسوائل وعدم الإلتزام بالمواصفات البيئية تمثل 10%.
· الإعتداء الخارجي لا يتجاوز 5%.
· الكوارث الطبيعية والحريق يمثل 10%.
وتختلف درجة خطورة التهديدات ونسبتها التي تتعرض لها المنشأت حسب الشخص أو الجهة المهددة بالإضافة لدوافع التهديد وأهدافه. إذ أثبتت الدراسات أن مهددي الداخل من موظفين وخلافهم هم الأخطر والأعلى نسبة. ويمكن تصنيف مرتكبي جرائم الحاسوب بصورة عامة على النحو التالي:

2-3-2. مرتكبو جرائم الحاسوب من داخل المنشأة
إن التهديدات التي تتعرض لها جميع المنشآت تأتي في أغلبها من الموظفين العاملين بالمنشأة كما دلت الدراسات لذلك فإن أكثر من 80% منها تأتي منهم، وموظفو الداخل هم الأفراد الذين لهم علاقة مباشرة بالمنشأة، وبحكم طبيعة عملهم وإمكانية إستغلالهم للثقة الممنوحة لهم فانهم يشكلون الخطر الأعظم للمنشأة ويمكن تصنيف هوؤلاء الموظفين كما يأتي:
· الموظفون الذين يعملون بصفة مستديمة بنظام الوقت الكامل أو الوقت الجزئي وهؤلاء يخضعون لنظام وآلية التعيين المتبع بالشركة
· الموظفون المتعاقدون عن طريق شركات التوظيف و موظفي التعاقد الفردي
· الموظفون الاستشاريون والشركاء والموظفون المؤقتون بالإضافة لموظفي الصيانة
· الموظفون السابقون بالمنشأة.

2-3-2-1. الموظفون الدائمون وموظفو الوقت الجزئي
إن ضعف إجراءات تعيين الموظفين وضعف آلياتها، وطريقة إختيار الموظفين والتحري عن خلفياتهم وسجلاتهم الإجرامية عند التعيين لدى المنشآت بشتى أنواعها، يترتب عليه مشاكل كثيرة، وتعرض المنشآت لمخاطر وخسائر مالية كبيرة كان يمكن تفاديها إذا تم الإختيار والتوظيف وفق معايير وإجراءات محددة، والأمثلة التالية توضح لنا نماذج من المشاكل التي تعرضت لها بعض المنشآت الأمريكية من جراء ذلك من بعض الموظفين الذين لديهم سوابق في الإجرام، ولم يتم إكتشاف ذلك إلا بعد إرتكابهم جرائم وظائفهم الجديدة.

1. قامت إحدى المتخصصات في إدارة نظم المعلومات العاملات في السلك العسكري- عندما علمت بأن وظيفتها ستقلص - بتشفير جزء كبير من قاعدة المعلومات بالمنشأة وإستعملتها كوسيلة إبتزاز، وقامت بالإتصال بالمسؤول عن إدارة قاعدة البيانات وعرضت فك الشفرة مقابل 10 الف دولار بشرط عدم مقاضاتها، وعلى الفور وافق المسؤول على العرض دون الرجوع لجهات الإختصاص وتمت الصفقة، وعند الرجوع للمدعي العام أقر بأن إتفاق المسؤول ملزم ويحرمهم من المقاضاة. [3]

2. قامت الشرطة الفدرالية الامريكية بالقاء القبض على مجموعة من مشاهير القراصنة، ووجد لديهم بطاقة بريدية من مجند يعمل في قاعدة عسكرية كمتخصص في حقل الحاسوب، يعرض فيها، عن خلق علاقة بينه وبين هذه المجموعة، وبالتحري، إتضح أنه من القراصنة السابقين وكان قد أدين من قبل، وكان قد خير بين الحكم عليه بالسجن أو العمل كمجند في مجال الحاسوب، وأثناء عمله في الجيش ضبط متلبساً في اقتحام انظمة الحاسوب لشركة إتصالات.

3. كان أحد المهندسين العاملين في احدى الشركات العاملة في مشروع لإنتاج الطاقة على خلاف مع مشرفه الجديد غير المتخصص في تقنية المعلومات وكان المهندس يعاني من ألوان مشاكل التي تعرض لها، منها مرض زوجته، وخضوعه للرقابة بعد سلسلة من الغضب والمشاكل التي تبعت ذلك، وبعد فصله من العمل اكتشف المهندسون العاملون بالشركة بأنه قام بإحداث تغيير ما في النظام الرقابي لأجهزة السلامة وإمعاناً منه في ذلك قام بتغيير كلمة السر مهدداً بذلك مشروع الطاقة برمتها.

4. قام أحد موظفي التقنية المتعاقدين والعاملين في مبنى الإدارة لشركة طاقة عالمية بإغلاق نظام الحاسوب الخاص بتشغيل محولات الهاتف الخاصة بسكن الشركة وذلك نتيجة لتلقيه إخطاراً بفصله عن الخدمة قبل أسبوع من تاريخ إغلاقه النظام، وبالتحري عن الشخص وجد أن هذا الموظف قد أدين مرتين من قبل في جرائم اختراق النظم وبأنه عضو في مجموعة من القراصنة المطاردين من قبل الشرطة الفدرالية الامريكية FBI كما أنه ادين أيضاً بإختراق شركة اتصالات.
نرى أن جميع الحالات السابقة لم يتم تقييم الموظفين والتحري عنهم بالدرجة الكافية عند تعينهم لمعرفة سجلهم الاجرامي كما لم يبين أي منهم عن سجله السابق.

وأوضحت الدراسة التي أجرتها وور روم عام 1996 أن 62.9% من الشركات التي غطتها الدراسة أبلغت أن سوء استخدام النظم تم داخلياً من قبل الموظفين المعينين بالشركة، كما أوضحت الدراسة التي قام بها معهد أمن الحاسوب بالتعاون مع الشرطة الفدرالية الامريكية عام 1998 أن الاختراقات التي تمت من خارج المؤسسات كانت خساراتها حوالي 56 الف دولار بينما كان متوسط خسارة الشركات من العاملين داخل الشركة 2.7 مليون دولار .
كما أفادت الدراسة الشاملة التي قامت بها الأمم المتحدة في مجال الإجرام لعدد 3000 موقع غطت كندا وأوربا و الولايات المتحدة الأمريكية، أن التهديد الاكبر أتى من الموظفين العاملين داخل المنشآت والذين لديهم صلاحيات الدخول لنظم الحاسوب.
وخلصت الدراسات في مجال أمن وحماية نظم المعلومات بأن المشاكل التي يسببها موظفو الداخل هي الأكثر والأخطر في مجال السرقات والتخريب والتجسس، وتأتي من قبل المتخصصين في تقنية المعلومات وذلك لمعرفتهم أسرار النظم ونقاط ضعفها وثغراتها.
ورغم ذلك تشير الدراسات أن الإهتمام الأكبر في الحماية يتركز وينصب على حماية المنشآت من المخاطر الخارجية.
وتتمثل مصادر التهديد في المتخصصين في مجال التقنية من مدراء النظم ومبرمجيها ومشغليها وخبراء شبكات المعلومات، وقد تأتي المخاطر من الموظفين المعينين بالمنشأة كموظفين دائمين أو موظفي نظام الوقت الجزئي أو موظفين مؤقتين أو من الموظفين المتعاقدين. كما يمكن أن يأتي التهديد من الشركاء والعملاء الذين لديهم صلاحية الدخول للنظام والمخوليين.[4]
والموظفون هم الأكثر خطورة من حيث الدخول على النظام واتلاف نظم المعلومات الحساسة وبحكم انهم موظفون تم انتقاؤهم يتوقعون اهتماماً خاصا تجاه أدائهم ونجاحات مجموعة العمل، ويعتقدون أنهم فوق الشبهات، وهم آخر من يشتبه بهم اذا حدث سؤ اداء او فشل للنظام.
ومع ذلك يمكن للشركات أن تضع الرقابة على موظفيها أكثر من قدرتها على التحكم بالموظفين المتعاقدين أو الموظفين المؤقتين .
ان الموظفين الذين يحدثون التخريب للنظم عادة يستغلون امكانيتهم فى الدخول على مراكز المعلومات وذلك لعدة محفزات منها الطمع أو الانتقام نتيجة لعدم إنصافهم أو عدم سماع شكواهم وتظلمهم من قبل المسؤولين أو لترضية أنفسهم من أجل الأنا أو لحل مشكلة شخصية او مهنية او لتحدى النظام وقهره لإظهار مقدراتهم او للتعبير عن غضبهم أو للتاثير على الاخرين او لأكثر من سبب، ومن الأمثلة على ذلك :-

1. كان أحد المدراء المتخصصبن في مجال التقنية والعاملين بشركة أمريكية عالمية لإنتاج الطاقة يقوم بخلق مشاكل في النظم بفروع الشركة بشتى مواقع الشركة في الخارج وذلك بغرض السفر حول العالم، ولجذب اهتمام الإدارة العليا الى الاعتراف بمهاراتهم وخبراتهم العلمية والتقنية.

2. قام المدعو مشيل لوفنبيرج البالغ من العمر 31 عاماً والذي يعمل في البرنامج العام لتطوير الصواريخ الديناميكية الأطلسية بزرع قنبلة موقوتة لتقوم بإلغاء المعلومات الحساسة بعد إستقالته، متوقعاً أن يستدعى كخبير لإنقاذ الشركة ويعاد تعيينه بمرتب عالِ، وذلك نتيجة لإستيائه من قبل إدارته لعدم تقدير جهده تجاه البرامج التي كتبها لضبط وتتبع قطع غيار الصواريخ.

3. قام مدير الحاسوب بإحدى الشركات الأمريكية المالكة لمجموعة سوبرماكتات، بالإتفاق مع موظفين من الحسابات بتنفيذ عمليات سرقة كلفت الشركة 2 مليون دولار في غضون عامين، وبدأت العملية بالحاجة المادية وسرعان ما تحولت إلى طمع. الاستراتيجية المتبعة لتنفيذ السرقة تمت بإجراء تعديل في البرنامج المحاسبي ليقوم البرنامج بإسقاط بعض المشتريات من النظام المحاسبي ومن ثم تحويله إلى حساب وهمي، وفي نهاية اليوم يقوم المجرم بسحب المبالغ من الحساب الوهمي دون أن تظهرالحركة في القيود، ثم يقوم بإلغاء الحساب الوهمي.[5]

في المثالين الأولين نرى أن الموظفين إستغلوا مهاراتهم التقنية للدخول على معلومات النظم الحساسة ومن ثم خلق أزمة وذلك من أجل خلق نوع من الأهمية لأنفسهم وتعظيم قدرهم ورفع قيمتهم لدى الشركة، في حين أن المثال الثالث يوضح بجلاء ويعكس سوء إستغلال الوضع الوظيفي لتنفيذ العملية الإجرامية.

2-3-2-2. الموظفين المتعاقدون، الشركاء، الاستشاريون والمؤقتون
المتعاقدون والشركاء والاستشاريون والموظفون المؤقتون لا يعتبرون من ضمن موظفى المنشأة لأنهم لا يتم تعينهم واختيارهم بنفس الطريقة التى يتم بها فحص خلفية الموظفين والتحري عنهم، وهم أقل إنتماء للمنشأة من غيرهم من الموظفين، ورغم ذلك نجد ان المتعاقدين والاستشاريين لديهم صلاحيات دخول على الأنظمة لاعتماد المنشآت على العمالة الخارجية فى البرمجة وبعض مهام تقنية المعلومات، وهناك عدة جرائم حدثت من هذه المجموعة منها:-

1. اكتشفت احدى الشركات الامريكية العالمية العاملة فى مجال الطاقة بان احد المتعاقدين قام بزع قنبلة موقوتة ليعزز من نفوذه فى الشركة ولحماية نفسه فى حال اكتشاف صحيفة جرائمة، وهذا الموظف كان قد أدين فى خمس جرائم ذات علاقة بتقنية المعلومات من قبل، ولم تكتشفه الشركة لانها لم تقم بعمل الفحص الكامل لهذا الموظف لأنه ليس من موظفيها بل من موظفي شركات التوظيف.

2. قام احد الموظفين الصينيين المتعاقدين مع إحدى الشركات الأمريكية باختراق موقع القوات الجوية والدخول فى المعلومات الحساسة للبرامج الدفاعية والقتالية، وقام أيضاً بنقل كلمة سر ذات صلاحيات تمكن مستخدميها من الغاء اى ملف فى شبكة معلومات الشركة ومن ثم بثها فى الانترنت.

فى الامثلة السابقة نجد ان المثال الاول يعبر عن سؤ اختبار و اختيار المتعاقدين والمشاكل والمهددات التى تتعرض لها المنشأة جراء الإعتماد على العمالة الخارجية، أما المثال الثانى فيعبر عن عمليات التجسس التى تنجم عن استخدام المتعاقدين والاضرار التى يحدثها عن ذلك .

2-3-2-3. الموظفون السابقون
وهم الموظفون الذين تركوا العمل بالمؤسسة ولكن لديهم امكانية الدخول مباشرة فى النظام من خلال الابواب الخلفية، او بطريقة غير مباشرة عن طريق زميل لديه مشاكل مع رب العمل، او يتوقع انهاء خدمته من ِالشركة، ولذا يقوم بترك باب خلفى او كلمة سر بديلة او معلومات مخزنة، للاستخدام لاحقا بغرض الانتقام، وتأتي مثل هذه المشاكل من عدم إطمئنان الموظف لرب العمل ولعدم وجود ضمان ومسار وظيفى واضح ومن أمثلة ذلك:

1. قام أحد مبرمجى الحاسوب باحدى الشركات الأمنية - بعد تلقيه توبيخ و تعنييف من مسؤوليه - بإنتاج فيروس يقوم بإلغاء جزء من معلومات الشركة ويقوم بتكرار العملية إذا تحقق شرط معين، وبعد فصله من العمل قام بالدخول للشركة باستخدام نسخة مطبوعة من المفتاح والدخول على شبكة كمبيوتر الشركة باستخدام ثغرة خلفية وتشغيل الفيروس.

2. قام احد الموظفين العاملين فى مجال البرمجة فى شركة متخصصة فى صناعة البرمجيات المتقدمة فى منطقة كلورادو الامريكية بنقل أصل برمجيات Source Code الى احد الموظفين الصينيين العاملين بالشركة بمنطقة دنفر الامريكية والذى نقل هذة البرمجيات بدوره الى شركة صينية ونتيجة لسرقة هذة البرمجيات وتسويقها من قبل شركة أجنبية منافسة (الشركة الصينية) تدهورت الشركة مادياً ومن ثم اعلنت افلاسها.

2-3-3. المهددات الثقافية والشخصية
توصلت البحوث والدراسات التى عملت فى مجال مهددات أمن المعلومات إلى وجود سمات محددة اذا توفرت ووجدت معاً، تزيد من نسبة تعرض إختصاصيي التقنية للإستياء وبالتالي الإنحراف والتخريب والسلوك الهدام والتصرف غير القانونى، وذلك لاحساسهم بخيبة الأمل والسخط والفشل المتتابع من تحقيق العدالة والإنصاف من القائمين على الإدارة مما يعرض المنشآت لمخاطر التقنيين وهذه السمات هي:[6]
1. الإحباط.
2. الاعتماد على الحاسوب.
3. الخلفية التاريخية للشخص.
4. الاحباط الاجتماعى خاصة تجاه السلطة.
5. الانتماء الضعييف والمتأرجح أو المهزوز تجاه المنشأة.
6. التحلل والتفسخ الأخلاقي.
7. الاستحقاق متمثل في (الحقوق الفكرية والمادية والمعنوية) وتعني مشاكل الاستحقاق الاحساس بعدم الانصاف وبأن حقوقهم المادية والفكرية والمعنوية مهضومة
8. ضعف أو عدم وجود التعاطف مع الآخرين وهم اشخاص نرجسيون وضد المجتمعات.



2-3-4. مرتكبو جرائم الحاسوب من خارج المنشأة
اما مرتكبو الجرائم من الخارج فهم الذين لا تربطهم بالمنشأة أي علاقة ويستخدمون مهاراتهم ووالوسائل التقنية المتاحة لاستغلال نقاط الضغف الموجودة بالأتظمة واختراقها وغالباً ما ترتكب هذه المجموعة جرائمها عبر شبكات المعلومات ويتمثل هؤلاء في الآتي.
· المنافسين.
· المتسللين.
· الانتهازيين.
· معتادي الجرائم والمدمنين.
· الهواة.
· الاطفال .
بدأت عمليات الاختراق بدافع التحدي وإثبات المقدرة العلمية و التقنية، وكان ثمة حديث عن استغلال منظمات الجريمة لهؤلاء النابغين، وتحديدا استغلال ميول التحدي لديهم وأحياناً إحتياجاتهم المادية لتسخيرهم للقيام بانشطة تدر منافع لمنظمات الجريمة، ومع تنامي الظاهرة وتعدد أنماط جديدة متصلة بشبكات الحاسوب والانترنت سعت الهيئات العامة في ميدان السلوك الإجرامي لمحاولة تصنيف مرتكبي جرائم الحاسوب وبيان السمات الأساسية لكل فئة لوضع أنجع الوسائل لردع هذه الفئأت والحد من نشاطهم.
إلا أن التغير السريع في نطاق هذه الظاهرة وفي الوسائل والمخترعات و الأدوات التقنية تساعد في تطويرأنماط الجريمة وتطوير فعالية وسائل الاعتداء مما يساهم في إحداث تغيرات على السمات التى يتصف بها مجرمو التقنية. ولهذا اتجه الباحثون مؤخراً إلى الاقرار بأن أفضل تصنيف لمجرمي التقنية هو التصنيف القائم على أساس أغراض الاعتداء وليس على التقنية او الوسائط المستخدمة لتنفيذ الاعتداء.
ومن افضل التصنيفات لمجرمي التقنية، التوصيف الذي أورده (David Icove, Karl Segor and William Vonstorch) في مؤلفهم جرائم الحاسوب الصادرة عام 1995م حيث يتم تقسيم مجرمي التقنية إلى ثلاث طوائف وهم المخترقون والمحترفون والحاقدون[7]

2-3-4-1. المخترقون او المتطفلون Crackers and Hackers
الطائفتان القراصنة والمخترقون لاتختلفان عن بعضهما لدى هذا الرأي رغم التباين والاختلاف بين الاثنتين، إذ إن (القراصنة) متطفلون يتحّدون إجراءات أمن النظم والشبكات، ولكن لا تتوافر لديهم في الغالب دوافع حاقدة أو تخريبية، إنما يتطفلون من دوافع التحدي وإثبات المقدرة.
أما المخترقون فان اعتداءاتهم تعكس مدلولات تنبئ عن رغباتهم في إحداث التخريب. ورغم أن هذا التعريف غير منضبط إلا أن بعض التشريعات المحلية في الولايات المتحدة الأمريكية تعتمد هذا التميز.
اصطلاح (المخترقون) مرادف للهجمات الحاقدة والمؤذية في حين أن اصطلاح (القراصنة) مرادف لهجمات التحدي، طبعا دون ان يؤثر هذا التميز على مسؤلية مرتكبي الأنشطة من كلا الطائفتين ومساءلتهم عما يلحقون من أضرار بالمواقع المستهدفة باعتداءاتهم.
إن أفراد هذه الجماعة يعملون بدافع التحدي ويعتبرون أنفسهم أوصياء على أمن نظم الحاسوب في المؤسسات المختلفة، كما أن هذه الفئة يتميز أفرادها بصغر سنهم وقلة الخبرة، علماً بان (المخترقون) يتميزون في مستوى المعرفة التقنية عن (القراصنة) مما يؤهلهم لاختراق مختلف أنواع النظم التابعة للشركات المالية و التقنية والبنوك والمصانع والمؤسسات الحكومية ومؤسسات الخدمة العامة ومثال ذلك الاختراق الذي تم في وزارة الدفاع الامريكية (للبنتاقون) من صبي عمره 14 عاماً، واختراق آخر من صبي لايتجاوز عمره السابعة عشر لعدة مواقع لبرامج حرب النجوم بأوربا وأمريكا.
ومن سمات هؤلاء أيضا المشاركة في وسائل الاختراق وتبادل المعلومات عبر النشرات الإعلامية عن نقاط الضعف في نظام، كما تقوم هذه المجموعة بعقد مؤتمرات، ودعوة خبراء الاختراق للتفاكرحول وسائل الاختراق، ورغم سعي منظمات وهيئات إجرامية لاستغلال هؤلاء للكسب المادي إلا أن العديد من المؤسسات تستعين بهم في تقييم نظم الأمن لديهم.[8]

2-3-4-2. مجرمو الحاسوب (المحترفون)
تتميز هذه الطائفة بسعة الخبرة والإدراك الواسع للمهارات التقنية كما تتميز بالتنظيم والتخطيط للأنشطة التي ترتكب من قبل أفرادها، لذا فإن هذه الطائفة تعد الأخطر من بين مجرمي التقنية. وتهدف هذه الفئة أساساً للكسب المادي لأنفسهم أو لحساب جهات أخرى، بالإضافة إلى الأهداف السياسة أو التعبير عن موقف فكري أو نظري أو فلسفي.
وتصنف هذه الطائفة إلى عدة مجموعات حسب تخصصهم في نوع الجريمة أو تبعاً للوسيلة المتبعة، فمثلا هناك مجموعة تكون متخصصة في التجسس على منتجات المنشآت والمعلومات الهامة للمنافسين او فئات الاحتيال والتزوير بغرض الكسب المادي وضمن هذه المجموعات توجد مجموعات أخرى متخصصة. وبعكس الطائفة الاولى لايتم تبادل المعلومات بين هذه المجموعة بل تتم عملياتهم الإجرامية بكل تكتم.

2-3-4-3. الحاقدون
هذه الطائفة ليست كسابقتها، دوافع هؤلاء هو الانتقام من صاحب العمل أو المنشآت المستهدفة وتنقسم هذه الفئة إلى مستخدمي النظام بوصفهم موظفين أو مشتركين أو على علاقة بالنظام المستهدف.وإلى غرباء عن النظام تتوفر لديهم أسباب الانتقام من المنشآت المستهدفة في نشاطهم. وتنحصر أنشطة هذه الفئة من الناحية التقنية غالبا في زراعة البرامج التخريبية كالفيروسات والبرامج الضارة وتخريب النظام وإتلاف المعلومات وتعطيل النظام والمواقع وأنشطة إنكار الخدمة.



http://edu.arabsgate.com/showthread.php?t=37007 [1]

[2] أمنية المعلومات وتقنيات التشفير ، 2005م‘ ص 20، أ.د عوض حاج علي و د. أمير حسين خلف، رقم الايداع لدى الدائرة المكتبة الوطنية (1992/8/2004) 82، 005

[3]http://www.dss.mil/training/csg/security/Treason/Infosys.htm Insider Threat to Information Systems, page 1, By Eric D. Shaw, Ph. D., Keven. Ruby, M. A. and Jerrold M. Post, M.D. Political Psycholoogy Associates, Ltd. 1



[4]http://www.dss.mil/training/csg/security/Treason/Infosys.htm
Insider Threat to Information Systems, page 1, By Eric D. Shaw, Ph. D., Keven. Ruby, M. A. and Jerrold M. Post, M.D. Political Psycholoogy Associates, Ltd. 1, page 2


[5] المصدر السابق صفحة 7

[6] المرجع السابق صفحة 7

[7] جرائم الحاسوب والانترنت ، صفحة 268، إعداد المحامي يونس عرب ، الطبعة الأولى 2002 إتحاد المصارف العربية

[8] جرائم الحاسوب والانترنت ، صفحة 269، إعداد المحامي يونس عرب ، الطبعة الأولى 2002 إتحاد المصارف العربية


 

رد مع اقتباس
قديم 04-12-2009, 01:39 PM   #16
عضو مميز


الصورة الرمزية المحايد
المحايد غير متصل

بيانات اضافيه [ + ]
 رقم العضوية : 23
 تاريخ التسجيل :  Feb 2009
 أخر زيارة : 03-26-2011 (09:15 PM)
 المشاركات : 189 [ + ]
 التقييم :  10
لوني المفضل : Cadetblue
افتراضي رد: بحث مقدم لنيل درجة الماجستير في نظم المعلومات



2-4. دوافع ارتكاب جرائم الحاسوب:
يمكن تلخيص دوافع ارتكاب جرائم الحاسوب في عدة أسباب منها الدافع المادي والدوافع الشخصية لقهر النظام وإظهار التفوق وأيضاً دافع الإنتقام من رب العمل ومنها أيضاً الدوافع السياسية والأيدلوجية.

2-4-1. تحقيق الكسب المادي
يعتبر الكسب المادي من أكثر الدوافع بل الدافع الأساسي لتحريك الجناة لارتكاب جرائم الحاسوب. وتشير بعض الدراسات القديمة أن 43% من حالات الغش والاحتيال المرتبط بالحاسوب المعلن عنها قد نفذت من أجل اختلاس المال وهي النسبة الأعلى من بين النسب التي حققتها جرائم أخرى، حيث أن سرقة المعلومات تعادل 32% وإتلاف المعلومات 19% وسرقة وقت الحاسوب 15%.
وإذا ما إنتقلنا للدراسات الحديثة، فسنجد أن هذا الدافع بتفوق على غيره ويعكس إستمرار إتجاه مجرمي التقنية إلى السعي لتحقيق مكاسب مادية شخصية.[1].

2-4-2. الانتقام من رب العمل وإلحاق الضرر به:
هذه الجريمة ناتجة عن الآثار السلبية لبيئة العمل، وما يواجهونه من ضغوط نفسية والمشكلات المالية التي يتعرضون لها وعلاقات العمل المنفرة، هذا بالإضافة إلى الدافع المالي والانتقام من صاحب العمل.

2-4-3. الرغبة في قهر النظام والتفوق على تعقيداته:
يميل مرتكبو هذه الجرائم إلى إظهار تفوقهم وارتفاع مستوى براعتهم ويغلب عليهم التحدي لاختراق النظام وغالباً ما يجدون الوسيلة لاختراق أي مستحدث في مجال التقنية.

2-4-4. دوافع أخرى:
هناك جرانم أخرى مثل الإرهاب الإلكتروني والدوافع هنا سياسة وأيدلوجية كما أن الدوافع التنافسية تؤدي إلى الاستيلاء على الأسرار التجارية.

جدول(ج)
جرائم الحاسوب ودوافعها [2]3
الجرئم
الدوافع
حرب المعلومات والإرهابالإلكتروني
دوافع سياسية وفكرية.
إنكار الخدمة للمواقع التجارية
التحدي وقهر النظام، الثأر وأحقاد الموظفين، المنافسة بأنشطة غير مشروعة
احتيال الحاسوب والإنترنت
الاستيلاء على المال أو المنافع وتحقيق الربح.
الاستيلاء على المعلومات
المنافسة، ابتزاز الأفراد وتحقيق المكاسب، المنافع المالية، الأفعال الثأرية، الإعداد للهجمات ذات الدوافع المالية.
إتلاف البيانات وتخريب الأنظمة
الأحقاد والدوافع الثأرية ، إخفاء أنشطة الجرائم الأخرى، المنافسة غير المشروعة، التحدى ببرامج الفيروسات




[1] جرائم الحاسوب والانترنت ، إعداد المحامي يونس عرب ، الطبعة الأولى 2002 إتحاد المصارف العربية، صفحة 289.

[2] جرائم الحاسوب والانترنت ،إعداد المحامي يونس عرب ، الطبعة الأولى 2002 إتحاد المصارف العربية، صفحة 292 .


 

رد مع اقتباس
قديم 04-12-2009, 01:40 PM   #17
عضو مميز


الصورة الرمزية المحايد
المحايد غير متصل

بيانات اضافيه [ + ]
 رقم العضوية : 23
 تاريخ التسجيل :  Feb 2009
 أخر زيارة : 03-26-2011 (09:15 PM)
 المشاركات : 189 [ + ]
 التقييم :  10
لوني المفضل : Cadetblue
افتراضي رد: بحث مقدم لنيل درجة الماجستير في نظم المعلومات



الفصل الثالث

مهددات ومخاطر القطاع المصرفي ونماذج لذلك

3-1. مقدمة
تتدرج المخاطر والمشاكل التي تتعرض لها البنوك والمصارف من المشاكل العادية التي تتعرض لها البنوك في ظل النظم اليدوية أو التي تستخدم النظم المغلقة، إلى مشاكل متطورة ومعقدة تستخدم فيها التقنية الحديثة المتطورة، فالخطورة مرتبطة بالتطور التقني. فإذا تطورت نظم العمل والشبكات المستخدمة سواء كانت شبكات محلية أو أقليمية أو عالمية تبعاً لذلك يزيد وينقص نوع وطريقة ونسبة المخاطر. فالنظم التي تستخدم فيها الشبكات العالمية الإنترنت تتعرض لمخاطر الإختراق بصورة كبيرة . وهكذا نجد أن العلاقة طردية بين المخاطر والإنتشار الشبكي للنظام المعني.
ويمكن تقسيم المخاطر التي تتعرض لها البنوك إلى مخاطر مدروسة ومتعمدة )"(Intentionally "deliberate ومخاطر غير متعمدة أو نتيجة لمشكلة Mistake & Errors :



3-2.مخاطر المدروسة والمتعمدة Intentionally "deliberate” Risk
المخاطر المدروسة المتعمدة تعني ان الجريمة تحدث مع سبق الأصرار لأن الشخص يقوم بقصد وعمد بإختراق النظام أو يسيء استخدام النظام والصلاحيات الممنوحة له مع سابق علم بهدفه وباتباع الاسلوب المناسب لذلك، وتحدث المخاطر المتعمدة بطريقتين:
· طريقة فعلية ناشطة Active وتعني تعديل المعلومات وتبديلها وتغييرها ونقلها وتسريبها عن قصد وتعمد باستخدام وسائل تقنية مختلفة أو سوء استخدام النظام تبعاً لنوع ودرجة المعلومات والحماية المستخدمة.

· وبطريقة سلبية Passive وتتمثل في المشاهدة والمراقبة دون تعديل المعلومات او تغيرها ومثل هذه الطريقة تحتاج إلى دراية وعلم مما يجعل نوع هذه المهددات محصوراً في نطاق ذوي الخبرة والتخصص كما أنها تحتاج إلى أجهزة دقيقة متخصصة وإن كانت جميع الأجهزة والمعدات والوسائل أصبحت متاحة للجميع ونورد هنا بعض أمثلة المخاطر المتعمدة:[1]

1. الاختلاس من حسابات البنك الداخلية من قبل الموظفين:
ويتم ذلك عن طريق إستغلال الحسابات الوسيطة والمعلقة والحسابات غير المتحركة وتحدث بسبب سوء إستغلال الصلاحيات الإدارية والمتاجرة بأموال البنك من قبل كبار موظفي البنوك وذلك بمشاركة بعض عملاء البنك في أرباحهم. وتعود جميع هذه المشاكل إلى ضعف الرقابة وعدم وجود نظام مراجعة فاعلة وعدم تطبيق الرقابة الثنائية.

2. الإختلاس من حسابات العملاء من قبل الموظفين:
ويتم ذلك بالتلاعب في حسابات العملاء من قبل موظفي البنوك بالسحب والإيداع وذلك بتجاوز الصلاحيات الممنوحة أو بإساءة استخدام الصلاحيات أو باستغلال صلاحيات الآخرين وسوء استخدامها أو التزوير، ويعود ذلك أيضاً إلى ضعف الرقابة سواء كان الضعف ناتجاً عن النظام أو عن عدم وجود الوعي الأمني لدى العاملين والثقة المفرطة بين الموظفين.

3. السرقة من حسابات العملاء باستخدام شبكة الانترنت:
ويتم ذلك بعدة طرق تعرضنا لها سابقاً وهي الحصول على المعلومات السرية لعملاء البنك بإختراق أجهزتهم الخاصة وزرع البرامج الخبيثة مثل المصائد Phishing أو برامج رصد حركة لوحة المفاتيح التي تقوم بدورها بنقل البيانات الخاصة بالضحية مثل أرقام الحسابات وأرقام بطاقات الائتمان واسم المستخدم وكلمة السر والأرقام السرية ومن ثم بثها للمجرم ليقوم بالدخول لحسابات العملاء وتنفيذ الحركات المالية منها.
هذا بالإضافة إلى أنه توجد برامج خبيثة يمكن زرعها في جهاز الضحية ومن ثم التحكم في الجهاز - من البعد- في تنفيذ ما يشاء.

4. سرقة واستغلال بواقي وكسور الاحتسابات : Salamis
ويتم ذلك عادة من قبل المبرمجين الذين يقومون باستخدام برامج مدسوسة أو وضع شروط معينة ببعض البرامج وإذا تحقق الشرط يقوم البرنامج بتحويل جزء من الكسر العشري ويتم تجميعه في حساب ما -غير معروف أو مرئي لدي القائيمين بالأمر - ومن ثم يقوم بتحويله لحسابه، والسبب في ذلك عدم فصل المهام، وعدم فصل بيئة العمل، والإعتماد على موظف بعينه، وتفويض الأمر لمبرمج واحد مثلاً ليقوم بكل الأدوار أي دور المبرج والمختبر، وهوالذي يقوم بتركيب وصيانة النظام والمستخدم في آن واحد .

5. سرقة الارقام السرية لبطاقات عملاء الصراف الآلي:
يتم ذلك إما عن طريق إختراق الملفات الحاوية على الأرقام السرية في حالة ضعف نظام طباعة الارقام السرية أو بفك شفرة الرقم السري باستخدام برامج معينة أو بالمشاهدة من قبل أشخاص آخرين وذلك عند استخدام العميل للبطاقة أو بسرقة المغلفات الحاوية على الارقام السرية.

6. سرقة أرقام بطاقات الإئتمان:
ويحدث ذللك بطرق عديدة منها الاختراق كما سبق توضيحه وقراءة الملفات التي تحتوي على هذه الارقام أو تسريبها من قبل الموظفين بشتى الطرق والوسائل مثل النسخ أو عبر البريد الالكتروني أو في شكل تقارير والجريمة الفعلية تبدأ باستخدام أرقام البطاقات في التسوق عبر الإنترنت.

7. عدم الاعترا ف بالحركات المالية:
من أكبر المهددات التي تجابه التجارة الالكترونية والبنوك -كواحدة من هذه المنظومة - هي عدم امكانية إثبات حق أي من الطرفي التعامل – البنك والعميل- في حالة نشوب خلاف بينهم عند نكران العميل تنفيذه لحركة ما، فقد يكون العميل على حق في حالة حدوث اختراق للبنك من قبل آخرين لضعف في النطام الأمني وعدم القدرة لإثبات الواقعة ومدى قانونيتها والوسائل المستخدمة لاثبات شرعية تنفيذ الحركة والوثوق منها.

8. سرقة وتسريب المعلومات
وتتمثل في كشف معلومات العملاء ونشاطهم او كشف أسرار البنك لجهات منافسة وغالباً ما يحدث ذلك في المنتجات المصرفية وفي الصفقات التمويلية.




3-2. المخاطر غير المتعمدة والأخطاء Mistake & Errors
تنتج المخاطر أيضاً عن الأخطاء غير المتعمدة أو نتيجة لإهمال أو لجهل بالأمر أو مشاكل لم تؤخذ في الحسبان ، ومثل هذه المشاكل تؤدي إلى فشل خدمة عملاء البنوك أو تحدث خللاً وربكةً بحساباتهم، ومن أمثلة المشاكل غير المتعمدة:

3-2-1.عدم توفر الخدمة المقدمة وعدم استمراريتها Denial of service.
ويتم ذلك من خلال إعاقة الأجهزة والنطم من أداء عملها وجعل مصدر المعلومات غير متاح لاستعمال العملاء.
وتبرز هذه المشكلة في السودان، أن البنوك ليست لديها خطط استئناف العمل في حالة تعطل النظم، إذ ليست هناك بدائل لتقديم الخدمة سواء كانت بدائل يدوية او تقنية، كما أن الخدمات المصرفية التي تقدم لا ترتقي إلى المستوى الذي يميز بنكاً عن الآخر وبالتالي تكون النتيجة رضوخ العملاء إلى الامر الواقع والتعامل مع المشاكل على أنها مشكلة كمبيوتر ولا بد لهم من تحمل أعباء التقنية، وعموماً تحث هذه المشكلة لعدة أسباب منها:
3-2-1-1.الفيروسات:
من أكثر المشاكل التي تجابها الأنظمة اليوم مخاطر الفيروسات إذ تصيب كل أنواع البرامج والبيانات مما يؤدي إلى أعطال النظم وبالتالي عدم جاهزية النظم والمعلومات في أداء مهامها، وتعود هذه المشاكل إلى عدم وجود سياسات أمنية لإدارة نظم المعلومات ومنها مكافحة الفيروسات والبرمجات الضارة بصورة عامة، لجهل أو تساهل الإدارات في تقدير حجم هذه المشاكل، فعدم وجود السياسات الأمنية يجعل الموظفين ينقلون البرامج والمعلومات دون تحسب لهذه المشاكل، كما أن استخدام البرامج غير المرخصة وغير معروفة المصدر يجعل النظم عرضة للإصابة بالفيروسات.
وقد شهدت الآونة الأخير خسارات مادية كبيرة من موجة الفيروسات التي ضربت العالم.
3-2-1-2. مشاكل الكهرباء:
إن عدم إستقرار الطاقة الكهربائية في السودان والقطوعات المستمرة وارتفاع تكلفة البدائل الفاعلة، تعرض أجهزة الحاسوب إلى مخاطر عالية من تلف في الأجهزة وضياع للمعلومات وبالتالي عدم توفر الخدمة للعملاء.

3-2-2. مشاكل حسابات العملاء:
تتعرض حسابات العملاء لعدة مشاكل إما لخلل في النظام أو لعدم وجود وظيفة رقابية عليها أو لخطأ إدخال البيانات وخلطها بين حسابات العملاء أو لخلل في برامج وأجهزة الصراف الآلي أو مشاكل الشبكات في تنفيذ القيود بين الفروع.
ويمكن عرض ما سبق وإيجازه كما يأتي:

3-2-2-1. خطأ إدخال البيانات
كثيراً ما تحدث مشاكل في مجال العمل المصرفي كالخطأ في إدخال أرقام الحسابات عند اجراء الحركات المالية المختلفة فتتم القيود في حسابات عملاء آخرين أو إدخال مبالغ خطأ أو إجراء خصم بدلاً عن الإضافة مما يحدث مشاكل للعملاء، وتعود هذه المشاكل إلى عدم وجود آلية فاعلة في المطابقات اليومية والمراجعة والرقابة الثنائية ، كما تحدث لعدم تصميم النظام بطريقة تضمن الرقابة على المدخلات خاصة أرقام الحسابات عن طريق مراجعة صحة رقم الحساب Check digit.

3-2-2-2. مشاكل الصراف الآلي:
الصراف الآلي من الوسائل المتطورة في عالم البنوك والخدمات المصرفية التي تقدمها البنوك من حيث سهولة الإستعمال وحرية التصرف ومرونة الزمان والمكان الذين تتيحهما هذه الخدمة، إلا أن هذه الخدمة كغيرها من الخدمات الالكترونية عرضة لبعض المشاكل التي قد تزعج العميل، ومن هذه المشاكل:
1. الخلط ما بين حسابات العملاء:
حدث في أجهزة الصراف الآلي لأحد البنوك - لخلل في توفيق الجهاز أو لعدم شمولية برامجه - أن قام الصراف الآلي بصرف المبالغ المالية المطلوبة من حساب العميل السابق حيث كان النظام يقوم بخصم مبلغ الحركة من العميل السابق وهكذا في كل الحركات التالية لان النظام يتعامل مع شخصين مختلفين الاول هو صاحب البطاقة الذي يريد استخدام الجهاز والآخر هو صاحب الحساب وهو الذي استخدم الجهاز قبل الشخص الاول والنتيجة في كل الاحوال أما الخصم من حساب عميل آخر غير صاحب البطاقة أو الإعتذار للعميل بحجة تجاوز حدود الصرف المسموح به خلال اليوم لان العميل السابق قد سحب حد السقف المسموح به أو أن الرصيد لا يكفي، وبنظرة بسيطة نرى حجم المشكلة التي تحدثها هذا الخلل لكل من العميلين.

2. استرجاع المبالغ Retraction:
بعص أنواع أجهزة الصراف يقوم بدفع مبلغ الحركة دفعة واحدة وبالتالي ينتظر فترة محددة لتسيلم المبلغ، في حالة عدم إستلام العميل للمبلغ في الوقت المحدد يقوم الجهاز بسحب المبلغ إلى خزانة خاصة داخل الجهاز، وفي هذه الحالة لا يقوم النظام بعكس القيد أي بارجاع المبلغ لحساب العميل مالم يقم العميل بالمطالبة ومن ثم مراجعة سجل حركات الجهاز (Jornal) للتحري لمعرفة تفاصيل الحدث .

3. سحب البطاقات أو إغلاقها:
أجهزة وأنظمة الصراف اللآلي معدة ومجهزة لحماية بطاقات العملاء حيث يقوم الجهاز بسحب بطاقة العميل إذا تركها العميل سهواً لفترة محددة من الزمن لكي لا يأخذها شخص آخر ويسئ استخدامها، أو يقوم الجهاز بايقاف البطاقة إذا أخطأ العميل في إدخال الرقم السري لأكثر من عدد من المرات محددة وذلك خوفاً من أن تكون البطاقة مسروقة، ولكن عدم رضاء العميل ينبع من بطء اجراءات أستعادة البطاقة او إعادة تشغيلها والتي يتطلب خطوات دقيقة لضمان امن وسلامة الإجراءات.

3-2-2-3. مشاكل تنفيذ الحركات المالية بين الفروع عبر الشبكة Inter Branch:
من أهم أهداف ربط الفروع بشبكة معلومات واحدة للبنوك، خدمة عملائها بتنفيذ وتبادل القيود فيما بينها، ولكن لوجود مشاكل في الخدمات التي تقدمها شركات الإتصالات، تفشل كثير من البنوك في تقديم هذه الخدمة بالدرجة المأمولة بل وتؤدي إلى مشاكل مالية للعملاء والبنوك معاً من حيث عدم تنفيذ بعض الحركات لحسابات الفروع البعيدة Remote Branches ، كما أنها قد تؤدي إلى تكرار القيود في حسابات العملاء بالخصم أو الإضافة، بالإضافة لمشاكل الاتصالات فإن عدم دقة وتكامل النظام المستخدم يودي أيضاً إلى مثل هذه المشاكل.


3-3. مكامن الخطورة:
جميع ما سبق طرحه من مشاكل ومهددات أمن المعلومات، ناتجة عن أسباب عديدة، إدارية وإجرائية وفنية تقنية وهذه الأسباب هي المكامن الحقيقية والأساسية للمخاطر التي تواجهها نظم المعلومات بصفة عامة والقطاع المصرفي بصفة خاصة. ويمكن تصنيف هذه المخاطر كالآتي:

3-3-1. المخاطر الإدارية والإجرائية:
وهي المخاطر التي تهدد المنشأة نتيجة لعدم إتخاذ الإدارات العليا الاجراءات الكفيلة بحماية المنشأة وتتمثل في:

3-3-1-1. عدم إدراك واهتمام الإدارة العليا بأهمية أمن النظم والمعلومات
أن عدم إدراك الإدارة العليا بأهمية أمن المعلومات وعدم دعم الجهة المعنية بها، من الأسباب الرئيسة في فشل تطبيق السياسات الأمنية للمنشأة وبالتالي تعريضها للمخاطر.

3-3-1-2. عدم وجود سياسات ومواصفات قياسية وإجراءات دقيقة.
لا يمكن الحديث عن أمن المعلومات وحمايتها دون أن إيجاد سياسة واضحة ودقيقة وشاملة تسد جميع الثغرات والمهددات الأمنية، كما أن تطوير المواصفات القياسية والإجراءات هي التي تجعل من تطبيق السياسات الأمنية للمنشأة بصورة آلية سهلة.

3-3-1-2. عدم استخدام المعلومات في إتخاذ القرارات:عدم دقتها وتوفرها
من مكامن الخطورة في البنوك، عدم دقة المعلومات المتوفرة نتيجة للمهددات سابقة الذكر أو عدم الاستفادة منها في إتخاذ القرارات في المعاملات المالية ومنح التسهيلات المالية مع العملاء أو في تحليل هذه المعلومات بطريقة صحيحية مما قد يؤدي إلى خسارات مالية.

3-3-1-3. عدم تنفيذ النسخ الوقائي:
إن أجهزة الحاسوب والنظم قابلة للتلف سواء كان التلف ناتجاً عن خلل في النظام أو الجهاز أو لتعرضها لإحدى المخاطر والمهددات، مما يجعل المنشأة تفقد معلومات العملاء وبالتالي تفشل في إستمرارية العمل وتقديم الخدمة لهم، ولاسترجاع المعلومات قد تحتاج المنشأة إلى أيام أو أسابيع أو شهور حسب نشاط المنشأة وحجم معلوماتها والمفقودة منها.
وفي منشأة مثل البنك يقوم بمعملات كبيرة لعدد مقدر من العملاء وتقديم خدمات مصرفية متنوعة وعديدة - وعلى فرض أن البنك غير منتظم في عمل النسخ اليومي- فلك أن تتصور كم تكون حجم الخسائر التي تتعرض لها عند حدوث خلل ما في الأجهزة والنظم.
إن كثيراً من المنشآت لا تولي إهتماماً لعمل نسخ وقائي للمعلومات مما يضع المنشآت والمؤسسات في وضع لا يحمد عقباه.

3-3-1-4. عدم وجود خطة إستئناف العمل ودرء الكوارث:
في عالم مضطرب يرزخ بالمشاكل والحروب بالإضافة إلى الكوارث الطبيعية من زلازل وفيضانات، هذا فضلاً عن المنافسة الشرسة في تقديم الخدمات والمنتجات. فان عدم وجود خطط لاستئناف العمل ودرء الكوارث قد يؤدي إلى خروج المنشئات من سوق المنافسة.

3-3-1-5. عدم وجود مراجعة وتدقيق:
أن عدم وجود آلية رقابية متمثلة في عملية التفتيش والمراجعة والتدقيق وفق السياسة الأمنية للمنشأة وتطبيقها بشكل كلي، يؤدي إلى عدم تقيد الموظفين بالسياسات والتراخي في تطبيقها مما يشكل تهديداً للمنشأة، كما وأن عدم وجود كوادر مؤهلة للقيام بمهام المراجعة والتدقيق يساهم بشكل مباشر في هذه المشكلة.


3-3-1-6. عدم وجود وعي لدى العاملين بأهمية الأمن:
كثير من الموظفين لا يعون خطورة المهددات الأمنية والتهاون في تطبيق السياسات الأمنية ولذلك يتعاملون بكل عفوية وحسن نية متجاهلين خطورة ما يجلبه هذا التهاون من مخاطر على المنشأة وعليهم. لذا فان الترقية بمفاهيم الموظفين ونشر الوعي الأمني وسطهم يعد من أهم دواعي سلامة وأمن نظم والمعلومات وحمايتها.

3-3-1-7. عدم وجود إستراتيجية مكافحة الفيروسات والبرامج الضارة:
من أكثر المهددات الأمنية لأنظمة المعلومات اليوم هي البرامج الخبيثة ومنها الفيروسات إذ إن هذه البرامج تدمر النظم مسببة بذلك خسائر جمة، وعدم وجود استراتيجية وخطط لمكافحة هذه الآفة تعتبر دعوة للمخربين لإنتهاك سلامة وتكامل وجاهزية النظم.


3-3-2. المخاطر الفنية:
هي المخاطر التي تهدد المشأة من جراء استخدامات التقنية وعدم التوفيق في تركيب النظم وسد ثغراتها وكذلك عدم اتخاذ الإجراءات وفرض الرقابة على النظم.

3-3-2-1. استخدام النظم المفتوحة:
بحكم طبيعة التطورالتقني أصبح استخدام النظم المفتوحة من دواعي مواكبة هذا التطور ولكن عدم التحوط واتخاذ كافة الإجراءات في استخدام النظم المفتوحة قد يعرض المنشأة للمخاطر وعدم القدرة والتحكم في حماية النظم والمعلومات.
­­
3-3-2-2. عدم وجود رقابة وتحكم بالنظم:
يفترض أن تكون أنظمة الحاسوب مزودة بوظائف رقابة وتحكم، إلا أن الكثير من النظم والبرامج خاصة التطبيقية منها تكون غير مزودة بوظائف كافية للتحكم والرقابة وخاصة وظائف منح الصلاحيات للمستخدمين والتقارير التي تعكس أنشطة المستخدمين والتقنيين وأنشطة النظام و الأخطاء أوالمشاكل التي تتعرض لها الأنظمة نفسها، أو تكون هذه الوظائف غير منشطة وغير مفعلة، لذا فإن عدم وجود هذه الوظائف يعد من المهددات المباشرة لأمن النظم والمعلومات لذا كان أخذ مثل هذه الجوانب في إختيار وتطوير وتقييم النظم أمراً في غاية الأهمية.

3-3-2-3. عدم قدرة النظام الإيفاء بحاجة المستخدمين:
إن عدم قدرة النظام على الإيفاء بحاجة المستخدمين أو صعوبة استخدام النظام وتعقيداته يدفع المستخدمين في كثير من الأحيان إلى اللجوء لطرق ملتوية للحصول على ما يريدونه بالبحث في ثغرات النظام.

3-3-2-4. عدم استخدام البرامج الأصلية والمصرح بها:
مع تطور الوسائل التقنية وتوفر كثير من البرامج بأشكال وأنواع مختلفة في متناول اليد سواء كان عن طريق الإنترنت أو الأسطوانات المدمجة جعل الناس يتاجرون بهذه البرامج بطريقة غير شرعية وأسعار زهيدة، وأن كثيراً من هذه البرامج تكون مرفقة ببرامج خبيثة مثل الفيروسات ناهيك عن عدم مشروعية استخدامها، وماقد يترتب عليها من مساءلات قانونية قد تودي إلى محاكم وغرامات مالية كبيرة.

3-3-2-5. عدم تركيب وتوفيق البرامج بحيث تسد الثغرات:
من الأخطاء الفنية الكبيرة التي تقع فيها كثير من المنشآت والتي تسبب مخاطر كبيرة للمنشأة هي عدم الدقة في تركيب البرامج والنظم وتوفيقها بشكل كامل، اكتفاءاً بالأداء الوظيفي للنظام دون إعارة الإهتمام لما قد يترتب على ذلك من ثغرات أمنية تشكل تهدديداً للمنشأة وتجلب مخاطر كبيرة وينتج ذلك في كثير من الأحيان إلى عدم الإعتماد على ذوي الإختصاص والخبرات في تركيب وتوفيق البرامج.

3-3-2-6. عدم تركيب نظم الحماية والرقابة والتحكم:
إن عدم استخدام وسائل الحماية وخاصة في حالة إعتماد استخدام النظم المفتوحة واستخدام الإنترنت يعد من أخطر الامور تهديداً لكيان المنشأة ووجودها، ولأن هذه المخاطر تعرض المنشآت وعملاءها لخسائر مالية كبيرة، سعت كثير من الشركات إلى انتاج وسائل ووسائط وبرامج ونظم لحماية المنشآت من المهددات الأمنية، منها البرمجيات ومنها الأجهزة. والبنوك كواحدة من المنشآت المعنية باستخدام التقنيات الحديثة ومواكبة للتطور التقني، تعد من أكبر المرافق إستهدافاً بحكم طبيعة نشاطها.



[1] Computer communications security. By Warwick Ford 1994, Page 17


 

رد مع اقتباس
قديم 04-12-2009, 01:42 PM   #18
عضو مميز


الصورة الرمزية المحايد
المحايد غير متصل

بيانات اضافيه [ + ]
 رقم العضوية : 23
 تاريخ التسجيل :  Feb 2009
 أخر زيارة : 03-26-2011 (09:15 PM)
 المشاركات : 189 [ + ]
 التقييم :  10
لوني المفضل : Cadetblue
افتراضي رد: بحث مقدم لنيل درجة الماجستير في نظم المعلومات



3-4.أمثلة ونماذج:
مع إنتشار الخدمات المصرفية الإلكترونية والاعتماد الكلي على تقنية المعلومات في أداء مهام وخدمات المصارف، ظهرت مشاكل متنوعة، متمثلة في السرقات من حسابات العملاء وحسابات البنوك باستغلال في ذلك الثغرات الموجودة في الأنظمة أو لضعف الرقابة أو سوء استخدام الصلاحيات الممنوحة للموظفين. والأمثلة والنماذج الواردة تمثل السرقات بالبنوك السودانية والتي كانت برمتها مشاكل داخلية بحكم أن الخدمات المصرفية المقدمة ما زالت محدودة في إطار الفروع وفي أحسن أحوالها خدمات القيود بين الفروع وخدمة الصراف الآلي.
وكما أوردنا، فإن المشاكل والسرقات في العالم العربي والذي انحصرت في جلها في الإحتيال والسرقات في البطاقات الإئتمانية. أما المشاكل العالمية فقد تمثلت في استخدامات البنوك الإلكترونية عبر الإنترنت وفيها تجلت المقدرة التقنية للمجرمين في الإحتيال والسرقات.


3-4-2. نماذج السرقات بالبنوك السودانية
قام الباحث بإجراء لقاءات ببعض منسوبي ثلاثة بنوك لمعرفة ما إذا كانت لديهم مخالفات، وجد أن هناك مخالفات، وتبين أن المخالفات تتشابه في البنوك الثلاثة من حيث طريقة المخالفة ووسائلها نوجزها في الآتي:

1. في فرع بأحد البنوك ونتيجة لضعف عملية المطابقات بين الفروع بالمركز وعدم فاعليتها قام أحد الموظفين المشرفين على الصرافين بالسحب على حساب فرع آخر مستغلاً التسهيلات الممنوحة للموظفين من إمكانية سحب المبالغ من حساباتهم من فروع أخرى، وكان يقوم بسحب المبلغ من الصراف ويقوم بإتلاف كل المستندات المتعلقة بالحركة، وينفذ قيداً آخر من حساب فرع آخر لحساب فرعه وهكذا ظل يغطي من حساب فرع لآخر إلى أن تم اكتشافه أخيراً بكثرة التغطيات من حسابات الفروع.

2. وفي فرع آخر من نفس البنك ولضعف الرقابة والتحكم في النظام تمكن أحد الموظفين المسؤولين من تشغيل الحاسوب من تنفيذ قيود من حساب وسيط غير متحرك إلى حسابات خاصة، وكان يقوم باستخدام كلمة سر لمستخدم وهمي، وعند إصدار تقرير الحركة اليومية للمستخدمين لا يضمن المستخدم الوهمي ضمن التقرير وبالتالي لا تظهر الحركات، وقد تم اكتشاف اللعبة بالمصادفة من قبل مختصي التقنية، وهذا يعود إلى ضعف الرقابة والتحكم بالنظام وعدم وجود الإدارة الثنائية في منح الصلاحيات وإدارة سجل المستخدمين كما أنها راجعة لافتقار النظام إلى سد مثل هذه الثغرات الأمنية في بنيتها وتكوينها.

3. كما كان أحد الموظفين في فرع آخر من فروع البنك السابق ذكره يتحين فرصة تحرك الموظفين وتركهم لشاشات أجهزتهم مفتوحة وينفذ حركات مالية لحساب شخص آخر من حسابات الموظفين، ونتج ذلك للتساهل من قبل الموظفين في التعامل مع النظم وضعف الوعي الامني لديهم والثقة المفرطة بينهم كما أن عدم وجود سياسات ومواصفات أمنية وعدم تصميم البرامج البنكية بوظائف حماية، وعدم تشغيل وتنشيط الإقفال الآلي للشاشات يؤدي لمثل هذه المشاكل.

4. كما قام أحد الموظفين بمتابعة ومراقبة شيكات إحدى الشركات وقام بتزوير وطباعة شيك بنفس تسلسل شيكات الشركة وقام بسحب مبلغ من حساب الشركة، ورغم التحكم الموجود في الشيكات الممغنطة، والذي يستخدم فيه قارئ الشيكات إلا أن الحساسية الشديدة لأجهزة القراءة وفشلها المستمر في قراءة الشيكات نتيجة لتدني جودة ورق الشيكات أو سوء حفظ الشيكات، أدى إلى عدم الاستمرار في استخدام هذه الأجهزة مما أعطى الفرصة للتزوير.

5. وفي بنك آخر كان أحد الموظفين يقوم بمتابعة بعض الحوالات الواردة لمستفيدين غير معروفين لدى الفرع وليسوا من عملاء البنك، ويقوم بالاتصال بعصابة من خارج البنك وتمرير تفاصيل الحوالة لهم، وتقوم العصابة بتزوير الأوراق الثبوتية باسم المستفيد صاحب الحوالة وبالتالي صرف الحوالة. مثل هذه الجريمة ناتجة عن سهولة تزوير المستندات، ويمكن التغلب على مثل هذه الحالات بالاختيار الدقيق والتمحيص في الموظفين الذين يقومون بفك الشفرة في النظم اليدوية وألا تظهر كل المعلومات في الحاسوب إلا في اللحظات التي يحضر فيها المستفيد لصرف الحوالة فقط لكي لا تكون المعلومات متاحة للموظفين غير المعنيين.

6. وفي نفس البنك والفرع كان مجموعة من الموظفين يقومون بفتح وإدارة حسابات بأسماء وهمية وذلك بمراقبة بعض العملاء المعروفين لديهم والقيام بتقديم تسهيلات لهم في استلام إيداعاتهم وإصدار مستندات صحيحة بالمبالغ المراد إيداعها بحساباتهم، يتم إيداع المبالغ في الحسابات الوهمية ومن ثم التجارة بها ويمكن أخذها نقداً بدلاً من الإيداع، وفي نفس الوقت كانوا يراقبون حسابات هولاء العملاء من حيث ورود الشيكات المسحوبة على حساباتهم وكذلك عند طلب الرصيد وذلك بمعالجة الموقف، إما من الحسابات الوهمية أو من أي حساب آخر، وتنتج هذه المشاكل عن التسيب الإداري وعدم المراقبة الفاعلة لحركة الموظفين وتدخلاتهم في خدمة العملاء في حين أن هناك من يقومون بها، ولكن هذه الجريمة كانت شبه متكاملة الأطراف حيث كانت العصابة مكونة من مجموعة موظفين من مستويات إدارية مختلفة.
نوع هذه الجريمة، أي المتاجرة بودائع وحسابات العملاء منشرة في كثير من البنوك وكان يتم ذلك بدراية ومشاركة مديري الفروع، بمعنى أن يمنح بعض مديري فروع البنوك مبالغ لبعض السماسرة والتجار للقيام بعمل مضاربات تجارية آنية أي شراء وبيع بعض السلع وإيداع المبلغ في نهاية اليوم وتقسم الأرباح بينهم. ولا شك على عظم حجم هذه المخاطر والناتجة عن عدم وجود نظام رقابي في النظم المصرفية وعدم مراجعة تقارير أنشطة الموظفين وأيضاً مراجعة الصلاحيات الممنوحة والإدارة الثنائية للعمل، والضعف الشديد في الرقابة المصرفية، وعدم وجود آلية فاعلة في التفتيش وعدم أمانة القائمين بالأمر وجهل الإدارات العليا للبنوك عما يدور فيها، أوغض الطرف، أو الثقة المفرطة والصلاحيات الواسعة التي تمنح لبعض مديري الفروع.

7. وفي بنك آخر كان أحد موظفي أحد الفروع يقوم باستلام المبالغ من العملاء وتمريرها على الجهاز أي يقوم بإيداع المبالغ في حسابات العملاء، وطباعة إشعار إضافة من الحاسوب وتسليمه للعميل ، وبعد ذلك يقوم باستخدام صلاحيات مستخدم آخر وكلمة سره وإلغاء عملية الإضافة ولا يقوم بتوريد المبلغ المستل بالصندوق، وتصبح العملية كأن لم تكن. وتنتج هذه المشكلة عن الجهل بأهمية أمن المعلومات من الإدارة والموظفين، كما تنتج عن التهاون والثقة المفرطة بين الزملاء ولعدم وجود سياسات ومواصفات ومعايير أمنية بالنوك.

8. كما كان أحد الموظفين في فرع آخر بنفس البنك يقوم باستغلال ضعف النظام الرقابي بالبنك وأحادية التحكم في تنفيذ القيود وبمنح أكثر من صلاحية للموظف بالإضافة إلى استخدام كلمات سر الزملاء إما لأن الشاشات تركت مفتوحة أو لمعرفته بكلمات سرهم أو تخمين كلمات السر المستخدمة لسهولتها، فقام باستغلال كل هذه الثغرات، ولمعرفته التامة بالنظام وثغراته كان يقوم، بإجراء قيود لحسابات الحوالات الواردة وذلك بإضافة حوالات واردة لأسماء وهمية ومن ثم استغلال الثقة وإصدار شيكات مصرفية بالأسماء الوهمية بعد طباعة التقارير ومطابقة الفرع لأعماله نهاية اليومة ومن ثم يقوم بتظهير الشيك لأي شخص ليقوم بدوره بصرف المبلغ نقداً أو إيداعه بحسابه.


 

رد مع اقتباس
قديم 04-12-2009, 01:44 PM   #19
عضو مميز


الصورة الرمزية المحايد
المحايد غير متصل

بيانات اضافيه [ + ]
 رقم العضوية : 23
 تاريخ التسجيل :  Feb 2009
 أخر زيارة : 03-26-2011 (09:15 PM)
 المشاركات : 189 [ + ]
 التقييم :  10
لوني المفضل : Cadetblue
افتراضي رد: بحث مقدم لنيل درجة الماجستير في نظم المعلومات



3-4-2. نماذج السرقات بالبنوك العربية
من هذه الجرائم ما حدث في دبي من قبل أحد مهندسي الحاسوب الآسيويين كما ورد في التقرير الآتي:[1]
1. في واقعة هي الأولى من نوعها في الدولة كشفت شرطة دبي النقاب عن سرقاتمالية تمت عبر الإنترنت من حسابات لعملاء في 13 بنكا محليا وعالميا قام بارتكابهامهندس حاسوب آسيوي يبلغ من العمر 31 عاما ارتكب جرائمه عبر أحد مقاهي الإنترنت فيدبي. ذكر المسؤولون عن قسم جرائم الحاسوب أن رجال الشرطة وأجهزتها تمكنوا من الوصولإلى الجاني بطرق فنية بعد ورود نحو 14 بلاغا من بنوك محلية أفادت عن تعرض بعضالعملاء إلى اختلاسات مالية من حساباتهم الشخصية وتحويل هذه المبالغ، ودفوعاتلمشتريات خارجية من حساباتهم دون علمهم. وقال أنه بناء على هذه البلاغات انتقل علىالفور خبراء جرائم الحاسوب في الإدارة إلى البنوك المعنية وهي ثلاثة بنوك محليةوفحص الحاسوب الخاصة بها حيث تبين أن شخصا استطاع الدخول على شبكات البنوكالالكترونية بطريقة اعتيادية وتمكن من تحويل بعض المبالغ المالية عن طريق الإنترنتوتوصل الخبراء إلى أن الجاني قام باستغلال أحد مقاهي الإنترنت للقيام بعملياتالاختلاس الالكترونية من هذه الحسابات وتحويلها إلى حسابات وهمية كان قد أعدهامسبقا عن طريق أنظمة فتح الحسابات الالكترونية. وأضاف أنه بناء على تلك المعلوماتتم وضع كمائن الكترونية بالتعاون مع البنوك ومقهى الإنترنت ومؤسسة الاتصالاتوالنيابة العامة وشعبة البنوك في الإدارة العامة للتحريات والمباحث الجنائية وبعدمحاولات تهرب قام بها الجاني تم ضبطه ومصادرة الحاسوب والبرامج التي فيحوزته، وأوضح أنه من خلال فحص الأجهزة التي ضبطت لدى المتهم استطاع خبراء جرائمالحاسوب تحديد الأسلوب الإجرامي الذي قام به المتهم من اختراق زرع برامج خاصةواختراق حسابات بنكية لأشخاص من دون علمهم وتحويل مبالغ مالية منها. وتبين أن المتهم تمكن من الدخول على أكثر من 13 بنكا محليا وعالميا في دول آسيوية وأوروبية ويعتقد أن هناك بعض البنوك خارج الدولة قام المتهم باختراقها وتحويل بعض المبالغ المالية من حساب العملاء فيها، مشيراً إلى أنه يتم حاليا التنسيق مع تلك البنوك خارجالدولة للتأكد من مصير هذه التحويلات. وتبين أيضا أن الجاني قام بشراء بعض الموادمن المواقع التجارية عن طريق بطاقات الائتمان لبعض الأشخاص من دون علمهم، إضافة إلىقيامه بفتح موقع على الإنترنت عبارة عن موقع لإيجاد فرص العمل وموقع آخر لاستدراجعارضات الأزياء لجمع بعض البيانات عن الأشخاص واستخدامها في عمليات السرقةالالكترونية. وأشار إلى أنه من خلال قيام خبراء جرائم الحاسوب بفحص مقاهي الإنترنتتبين قيام الجاني بمحاولات زرع بعض البرامج فيها، إلا أنه لم يتمكن من ذلك حيث تمضبطه في الوقت المناسب. وحول المبالغ التي تم تحويلها من حسابات العملاء، اتضح من الحصر المبدئي أنها حوالي 300 ألف درهم من البنوك المحليةفقط، ولكن من المتوقع أن تكون هناك بلاغات جديدة من عملاء آخرين في الأيام المقبلةبخلاف المشتريات التي مايزال حصرها جاريا. وأشار إلى أن المتهم سبق ضبطه في قضية بيع مصنفات وبرامج فنية في دبي وتم إبعاده عن البلاد لكنه دخل مجددا بطريقة غيرمشروعة. من جانبه قال رئيس قسم الجرائم الاقتصادية إن هذا الأسلوب هو الأول من نوعهفي الدولة حيث تمكن الجاني من استغلال الخدمات الالكترونية التي توفرها هذهالمؤسسات لارتكاب جريمته، مؤكداً أن جرائم الحاسوب تعتبر من الجرائم الحديثة التيتفشت في الكثير من الدول المتقدمة ولكن بفضل تواجد خبراء مختصين في شرطة دبيللتعامل مع مثل هذه الجرائم تم ضبط عدد منها وتوجيه المؤسسات بكيفية وضع الحماية اللازمة لتفادي وقوع هذه الانواع من الجرائم، وحول الأسلوب الإجرامي الذي اتبعه الجاني في سرقة الحساباتالبنكية، قال المصدر إنه تمكن من التوصل إلى أرقام حسابات العملاء والأرقام السرية بطريقة عشوائية ومن ثم قام بعمليات التحويل لحسابات ومشتريات خارجية مؤكدا أن المتهم والقضية بأكملها تم تحويلها إلى النيابة العامة في دبي ويجري التحقيق فيها.

2. تمكن أحد القرصان، يقيم خارج المملكة العربية السعودية، من تصميم موقع لأحدالبنوك السعودية وإرسال رسائل باللغتين العربية والإنجليزية إلى عملاءالبنك يحثهم فيها على أهمية تحديث البيانات ليكون التعامل عبر الإنترنتأكثر أمنا وسرعة، واستطاع من وضع صور وبيانات تطابق الموقع الأصلي للبنك تمهيدا لنقل البيانات المدخلةمن قبل العملاء إلى موقعه إلكترونيا مما يتيح له إمكانية التلاعب فيالأرصدة أو إجراء عمليات تحويل وهمية.[2]
ولم يثبت إن كان القراصنة قد استطاع الإضرار بأرصدة العملاء أم تم تداركه قبل ذلك. حيث اعتذر البنك عن التصريح عن ذلك.
وأكدت هيئة الاتصالات وتقنية المعلومات، أن الهيئة تلقت معلومات من الجهات المختصة، تفيد بقيام شخص – يقيم فيالولايات المتحدة وموقعه مستضاف في تايوان- بتضليل عملاء البنك.
وأفاد المصدر، أنه تم على الفور التنسيق مع مدينة الملك عبد العزيز للعلوموالتقنية، بناء على طلب مؤسسة النقد العربي السعودي، وتم على الفور إغلاقالموقعين، لحماية العملاء المتعاملين مع البنك، والحد من التلاعب بأموالهم.
وأشار إلى أن هذه العملية تصنف ضمن جرائم المعلومات التقنية الدولية،مستبعدا أن يكون لبرنامج الحماية الذي يستخدمه البنك، أية علاقة بعمليةالتزوير الحاصلة، كونها عملية تضليل مشابهة للموقع وليس اختراقا لبرنامجالحماية. ولم يستبعد المصدر أن يلجأ البنك المتضرر إلى اتخاذ إجراءاتقانونية عبر القنوات الرسمية من خلال وزارة الداخلية عبر الإنتربول ضدالقراصنة لمقاضاته.
أمام ذلك أرسلت بعض الجهات الحكومية ومن بينها الهيئة الملكية للجبيل وينبع وجامعة الملك سعود تحذيرات لمنسوبيها عبر رسائل إلكترونية تنذرهم منالالتفات إلى الرسالة المزورة إضافة إلى وضعها في البريد غير المرغوب فيه.
يشار إلى أن المؤسسات المالية عرضة دائما إلى الاختراقات حيث تمثل النسبةالأكبر بين تلك العمليات إذ قد تتجاوز81 في المائة بمعدل نحو 3 آلاف موقعشهريا. وتتخذ المؤسسات المالية في السعودية مثلها مثل مختلف المؤسسات علىمستوى العالم إجراءات حماية ضد مثل هذه الاختراقات أو تزوير المواقع لمنع دخول القراصنة والتلاعب بأرصدة عملائها.
3. ضبطت شرطة منطقة الحدود الشمالية بالمملكة العربية السعوديةشبكة مكونة من (4) أشخاص سعوديين يشكلون عصابة يقومون باختلاس أموال المواطنين عنطريق شبكة الإنترنت الإلكترونية من البنوك المحلية بطريقة (القراصنة) حيث يقوم أحدهم باختراق الحسابات البنكية بطريقة ماهرة ويقوم بتحويل مبالغ مالية إلى حسابات أشخاصآخرين تربطه صلة بهم.[3]
و بينت مصادر أمنية مطلعة على مجريات القضية أن الجهاتالمختصة بشرطة المنطقة تلقت بلاغا رسميا من شخص يفيد أن هناك شابا يقوم باختراق حسابات العملاء في البنوك المحلية في مختلف المناطق السعودية وبعد رصد أمني دقيق لهذه القضية، تمت متابعة الشخص بطريقة سرية ورصد كامل لتحركاته حتى تم القبض عليهمتلبسا بعد أن أجرى أول عملية تحويل مبلغ مالي من حساب شخص إلى حساب شخص آخر تربطهبه صلة.
وبعد القبض على الشاب أجريت تحقيقات موسعة ومتابعة دقيقة لمجرياتالقضية إلى أن تم الكشف عن بقية العصابة والذين توزعوا في مدن ومحافظات المنطقة بعدتكرار سلسلة من التحويلات المالية عن طريق خدمة الصراف الآلي عن طريق شبكةالإنترنت. وقد كشفت مصادر أمنية أن حجم المبالغ المالية التي سحبت من أرصدةالعملاء في البنوك المحلية بلغت (350000) ألف ريال، كما أشارت بعض المصادر إلى أن مثل هذه الاختلاسات لا تحصل إلا بسبب ضعف البوابة الإلكترونية للبنوك التيتحافظ دائما على الأرباح ولا تحافظ على أموال العملاء.

4. ومن مشاكل السرقات الالكترونية بالمملكة العربية السعودية أيضا[4]ً ما ذكره المواطن السعودي خالد الشهراني (من الطائف) أنه تم تحويل مبلغ (84) الفاً و(465) ريالاً من حسابه بنفس البنك الى حساب عميل آخر يُدعى (ن.ع.ق).. مبيناً أنه قدم شكوى للإمارة والشرطة بعد أن لاحظ مماطلة من البنك المعني بالأمر في المتابعة الواقعة، وابلغه صاحب الحساب البنكي الذي تم تحويل المبلغ اليه بأنه صاحب محل لأجهزة الهاتف الجوال بالرياض.. وكان قد إتفق مع شخص على شراء كمية كبيرة من الأجهزة.. وقال له ذلك الشخص أنه سيحول المبلغ المتفق عليه إلى حسابه وهو ما تم بالفعل خلال نصف ساعة.
5. وبيّن المواطن عبدالله علي باحجلان أنه تم استغلال مبلغ (4) آلاف ريال من حسابه في ذات البنك لتسديد ثلاثة فواتير هاتف جوال لحساب شركة الاتصالات السعودية بدون علمه.. وما يزال يحاول مع البنك استرداد ذلك المبلغ، كما أن اخته تعرضت لموقف مماثل حيث تم استغلال مبلغ (5) آلاف ريال من حسابها في نفس البنك لسداد فواتير (جوال)، وطالب عبدالله الجهات المختصة بحماية عملاء البنوك من عمليات القرصنة.

6. نشرت صحيفة عكاظ خبراً عن سداد (27) فاتورة لشركة الاتصالات السعودية بقيمة (24) الفاً و(745) ريالاً من حساب أحد العملاء لدى ذات البنك بدون علمه وما يزال ينتظر منذ (6) أشهر رد مؤسسة النقد على الشكوى التي تقدم بها.

7. تم اختراق 3 من أشهر البنوك المصرية وبنك امريكي.. وخلال أيام قليلة تمكن المخترقون من سحب حوالي مليون جنيه مصري من حسابات خاصة في البنوك الأمريكية لم يزر أصحابها مصر ولا مرة واحدة[5]
المفاجأة.. هذا اللص الموهوب في سرقة البنوك عبر الحاسوب - محمد عبدالمنعم - طالب بالفرقة الخامسة بطب عين شمس وحصل في الثانوية العامة علي مجموع 98 % وينتمي لاسرة متوسطة وترتيبه الثاني بين اشقائه، وقد تم تصنيفه في عالم الجريمة الالكترونية باعتباره الخامس عالميا بين أقرانه من قراصنة الحاسوب والانترنت المعروفين عالميا باسم 'القراصنة'!
وتبدأ الحكاية كما تسجلها تحقيقات الإدارة العامة لمباحث الأموال العامة عندما تقدم المسؤول عن مراقبة مخاطر بطاقات الائتمان في البنك الأهلي ببلاغ حول اكتشافه قيام شخص ما باستخدام بطاقة ائتمانية صادرة من بنك 'ميريل لنش' الأمريكي بطريقة تتنافى مع السلوك المالي المعتاد لمستخدمي البطاقات.. حيث تم استخدامها في إجراء ثماني عمليات جارية متتالية في فترة زمنية تقارب الدقيقتين بمبلغ يتجاوز سبعة آلاف جنيه لدى احدى المحال التجارية الكبرى بالقاهرة، فقام المراقب بالاتصال بمدير المحل الذي أخبره ان مستخدم البطاقة شخص مصري الجنسية وأنه سيحضر بعد عدة أيام لاستلام باقي مشترياته.
قام المراقب بالاتصال بالمسؤولين في البنك الأمريكي من أجل تحصيل المبلغ الذي قام المستخدم المجهول للبطاقة بسحبه.. وهنا كانت المفاجأة حيث أكد مسؤولو البنك أن صاحب تلك البطاقة الحقيقي أمريكي الجنسية ولم يسبق له الحضور الى مصر من قبل. ولم تقف الصدمة التي تلقاها المراقب عند هذا الحد بل أكد مسؤولو البنك أيضا أن هناك 24 بطاقة ائتمانية أخرى صادرة من نفس البنك وتم استخدامها من قبل داخل مصر بالرغم من وجودها مع أصحابها بالولايات المتحدة.
وهنا بدأت إدارة الأموال العامة في تشكيل فريق بحث من الضباط وتم عمل كمين للمتهم أمام أحد المراكز التجارية بالقاهرة وتمكنوا من القاء القبض علي أحد الأشخاص أثناء توجهه الى المحل لاستلام باقي المشتريات. وبمواجهته بالواقعة أقر باستخدام بعض البطاقات المزورة في عمليات الشراء من المحلات التجارية.
وبتفتيشه عثر رجال المباحث معه على ثلاث بطاقات ائتمانية مزورة صادرة من بنك مصر أكد أنه غير مسؤول عن إجراء عملية التزوير وأن المسؤول عن ذلك هو صديقه المتهم الاول وبعد تكثيف التحريات تم استصدار إذن من النيابة العامة وتم ضبط المتهم الأول وبتفتيش منزله تم العثور على بطاقة ائتمانية خاصة به على شاكلة البطاقات السابقة وضبط جهاز كمبيوتر وماكينة 'تكويد' يتم استخدامها في عمليات تزوير البطاقات الائتمانية وإدخال الأرقام المعاد تكويدها على الشريط الممغنط.. وهذه الأرقام حصل عليها المتهم عن طريق اختراق موقع بنك ميريل لنش الأمريكي علي شبكة الانترنت وعن طريق العديد من أعوانه بالخارج من 'القراصنة'.وبعد أن يقوم بعملية التزوير المتقنة.. يقوم المتهم بتوزيع البطاقات المزورة على ثلاثة من أصدقائه لاستخدامها في المحال التجارية.. واثبتت تحريات رجال المباحث أن المتهم الأول صاحب تصنيف عالمي في القرصنة علي الانترنت وهو المركز الخامس على العالم..وتم تحرير محضر بالواقعة واحالة القضية الي نيابة حوادث جنوب الجيزة حيث وجه إليه مدير النيابة تهمتي التزوير والاستيلاء علي اموال البنوك المصرية (البنك الأهلي، وبنك مصر، والبنك العربي الإفريقي) بالإضافة الى بنك 'ميريل لنش' الامريكي بانتحال صفة أصحاب البطاقات الائتمانية الصادرة من البنك الامريكي والحصول بموجب تلك البطاقات على منقولات يصل ثمنها الى ما يقرب من مليون جنيه من المحلات التجارية المتعاقدة مع البنوك السابقة على سداد قيمة المبيعات بموجب البطاقات الائتمانية.


[1] http://aljareema.com/newss/wmview.php?ArtID=20


[3]http://www.alwatan.com.sa/daily/2006-07-03/local/local10.htm

[4]http://212.119.67.87/okazarchive/Data/2006/1/24/Art_310706.XML



 

رد مع اقتباس
قديم 04-12-2009, 01:45 PM   #20
عضو مميز


الصورة الرمزية المحايد
المحايد غير متصل

بيانات اضافيه [ + ]
 رقم العضوية : 23
 تاريخ التسجيل :  Feb 2009
 أخر زيارة : 03-26-2011 (09:15 PM)
 المشاركات : 189 [ + ]
 التقييم :  10
لوني المفضل : Cadetblue
افتراضي رد: بحث مقدم لنيل درجة الماجستير في نظم المعلومات



3-4-3. نماذج السرقات بالبنوك الأجنبية
1. قال مكتب التحقيقات الفيدرالي الأمريكي إن المتسللين إلى شبكة الإنترنت من روسيا وأوكرانيا قد سرقوا ما يزيد على مليون من أرقام البطاقات الائتمانية وذلك لاستخدامها في حملة ابتزاز دولية واسعة،[1]
وتشير المعلومات المتوافرة لدى المكتب إلى أن المتسللين نجحوا في اختراق الشبكات الخاصة بشركات تعمل في التجارة الإلكترونية والبنوك التي تمارس نشاطها عبر الإنترنت، وقاموا بتحميل قواعد المعلومات الخاصة بعملاء هذه الشركات ومنها أرقام البطاقات الائتمانية، وعادة ما تستخدم هذه العصابات المعلومات التي بحوزتها للاتصال بالشركات المعنية وابتزازها للحصول منها على أموال، ويحذر مكتب التحقيقات الفيدرالي من أن دفع الأموال إلى المتسللين لا يضمن عدم إقدامهم على تقديم المعلومات التي بحوزتهم إلى طرف ثالث.
وقال بيان أصدره المكتب إن المحققين يعتقدون أن البيانات الخاصة بالبطاقات الائتمانية تباع أحياناً إلى عصابات تنشط في مجال الجريمة المنظمة.
وذكرت تقارير غير مؤكدة أن مكتب التحقيقات الأمريكية FBI يحقق في مزاعم تتعلق بدعم تتلقاه جماعات المتسللين من بعض الحكومات.
وقد نجحت شعبة مكافحة جرائم الحاسوب في المكتب من تحديد أربعين شخصا في الولايات المتحدة كانوا ضحية لهجمات القراصنة أو متسللي الإنترنت، وتقول التقارير إن المتسللين يعمدون إلى الاستفادة من بعض العيوب الموجودة في نظام تشغيل ويندوز إن تيNT الذي أنتجته شركة مايكروسوفت، والتي تسهل لهم مهمتهم، وقد أصبحت هذه العيوب معروفة منذ عام ثمانية وتسعين ووضعت مايكروسوفت على موقعها برامج كفيلة بعلاجها يمكن تحميلها مجانا.
2. تعرضت شركتان على الأقل لعمليات ابتزاز قيمة الواحدة منها مئة ألف دولار ورفضت الشركتان وهما سي دي يونيفرس وكريدت كاردز. كوم الخضوع للمبتزين الذين تبين أنهم مواطنون روس الأمر الذي دفع هؤلاء المتسللين إلى نشر بيانات آلاف البطاقات الائتمانية التي حصلوا عليها من مواقع الشركتين
3. كانت شركة ويسترن يونيون المالية قد أغلقت موقعها في الخريف الماضي بعدما نجح متسللون في سرقة البيانات الخاصة بخمس عشرة ألف بطاقة ائتمانية منه.

4. ومن الحيل التي تمت بها سرقات عملاء بنك وستباك الامريكية [2]أن قام المجرم بإرسال رسالة بريد إلكتروني توحي بأنها صادرة من البنك وتحمل نموذجاً بشعار البنك مفادها أن البنك بصدد فرض حماية لعملائه من الهجمات التي تتعرض لها البنوك والمؤسسات المالية الأخرى، وإجراءات الحماية تتطلب من العملاء مراجعة حساباتهم، ولاجراء المراجعة ما عليه إلا أن يملأ النموذج المرفق ببيانات الحساب الذي يتطلب بطبيعة الحال إدخال رقم الحساب واسم المستخدم أو رقمه بالإضافة إلى كلمة السر أو الرقم السري . وفي نهاية الرسالة تحذيز بأن عدم مراجعة الحساب سيؤدي إلى تجميد الحساب من أجل حمايته.
هذه الطريق تسمى المصيدة Phishing ومن خلالها يقوم المجرم بتضمين بعض البرامج الخبيثة مثل حصان طروادة أو برنامج متابعة وترصيد حركة لوحة المفاتيح وإرسال بياناتها للمجرم والذي يقوم باستخدام بيانات العملاء للدخول لحساباتهم وسرقة أموالهم.
ويقول ريان هاملين مدير عام عناية التقنية وسلامتها بشركة مايكروسوفت بإن مبلغ 13.3 بليون دولار هو حجم السرقات التي تستخدم فيها تقنية المصيدة بالولايات المتحدة الأمريكية سنوياً.
5. في العام المنصرم اكتشف رجل الأعمال الامريكي جون لبيز بمدينة ميامي أن حساب شركته ببنك أمريكا نقص بمقدار 90 ألف دولار امريكي وبمراجعة سريعة لحركة حسابه وجد أن المبلغ تم تحويله دون علمه لبنك لاتفيا، وفوراً تم إشعار بنك أمريكا بذلك وقد تم إجراءات لإيقاف التحويل ولكن بعد فوات الأوان حيث تمكن المجرم من سحب مبلغ 20 ألف دولار قبل إيقاف الحوالة.
وبالبحث عن الجريمة في جهاز رجل الأعمال والتحري وجد أن هناك برنامجاً خبيثاً "حصان طروادة" باسم "كورفلود" الذي يمكن المجرم من التحكم في جهاز الضحية.[3]

6. قام البوليس التركي في مدينة أزميل باعتقال 17 من أفراد عصابة قاموا بالهجوم على شبكة أحد البنوك والاستيلاء على 300 ألف دولار من حسابات عملاء البنك عبر الانترنت، ومن خلال التحري اكتشف البوليس أن العصابة كانت تتلقى أسماء وبيانات عملاء البنوك مثل اسم المستخدم وكلمة السر من عصابة روسية مقابل 10% من الأموال المسروقة[4].
وقد بدت أخيراً شكاوي من مئات عملاء بنوك الانترنت في يناير الماضي بسحوبات مالية مجهولة من حساباتهم، ومن خلال التحري الذي قامت بها إدارة مباحث الجرائم التركية تم ضبط الشخص الذي كان يقوم بالسرقات والطريقة المستخدمة في ذلك.

7. في الأسبوع الثاني من يناير الماضي اكتشف في السويد سرقة مليون دولار امريكي من خدمات البنوك عبر الانترنت من قبل القرصان الروسي الملقب بالجثة[5]، وهذا الحادث قد فتح نافذة على العالم المظلم بالمبرمجين الروس والمخاطر الجسيمة على الخدمات المصرفية عبر الانترنت، وقد أوضح بنك نورديا و شركة اسكندنافيا للخدمات المالية أن الضحايا الذين تم استهدافهم فقط الذين ليست لأجهزتهم حماية ضد الفيروسات والبرامج الخبيثة.
وقد قال البوليس السويدي إن الفيرروس تم إرساله بواسطة رسائل البريد الالكتروني وبرامج تستهدف أجهزة الحاسوب المنزلية لعملاء عدة بنوك أوربية وامريكية ، وقد اعتقل البوليس رجلين سويديين وأجانب قاموا بسحب مبالغ من فروع بنك نورديا بإجراء تحاويل مالية من حسابات العملاء، وقد طالت هذه السرقات عدد 250 من عملاء بنك نورديا خلا ل 15 شهراً وقد قام البنك بتعويض جميع العملاء عن خسائرهم المالية.

8. قام رجل أعمال أمريكي برفع دعوى ضد بنك أمريكا بحجة أن البنك فشل في حمايته من السرقة، وأن المؤسسة المالية أهملت تحذيره من وجود مثل هذه الجرائم، مشبهاً ذلك بأن البنك علم بأن أحد يحمل مفتاح خزانة امانة لاحد العملاء ولكنه لم يحذر العميل.
وبالطبع رفض البنك تحمل ذلك بدعوى ان حماية جهاز العميل يقع عليه بتركيب برامج الحماية الفاعلة والمتاحة بل وتحديثه بصفة دورية.

9. أعلن في لندن عن إفشال واحدة من أكبر محاولات سرقة البنوك في لندن، والخطة كما وردت هي الاستيلاء على مبلغ 220 مليون جنيه استرليني أي ما يعادل 423 مليون دولار أمريكي من بنك سيوميتومو متسيو الياباني فرع لندن، والتحري في الأمر قد بدأ في شهر أكتوبر الماضي بعد اكتشافهم أن المتسللين قد تمكنوا من اختراق جهاز كمبيوتر البنك.
وقد قبض على المتهم يرون بلوندي البالغ من العمر 32 عاما بواسطة وحدة جرائم التقنية العالية في اسرائل إثر فشل محاولته تحويل مبلغ 13.9 مليون جنيه استرليني ، وحسب المصدر فإن الجريمة بدأت بزراعة برنامج لمتابعة حركة مفاتيح الحاسوب وتسجيلها ومن ثم تحليلها والحصول على أرقام الحسابات وأسماء المستخدمين وكلمات سرهم والمعلومات الحساسة. [6]

10. قامت الشرطة البريطانية بإلقاء القبض على متهم يبلغ من العمر واحد وعشرين عاماً كان يقوم بخداع عملاء البنوك والحصول على معلوماتهم السرية وذلك بإرسال رسائل كأنها صادرة من البنوك يحث فيها العملاء بتحديث معلومات حساباتهم وذلك بالدخول على موقع البنك والذي تم إنشاؤه من قبل المتهم بصورة لا يمكن للعميل التمييز بينه وبين الموقع الحقيقي للبنك. وهنا يقوم العميل بتعبئة بياناته من رقم حساب والرقم السري وكلمة السر ورقم بطاقة التأمين وخلافه في النموذج المعد لذلك وعند إكمال البيانات وإرسالها تكون كل هذه المعلومات لدى المجرم الذي يقوم باستخدامها في تحويل المبالغ من حساب العميل.[7]



[1]http://news.bbc.co.uk/hi/arabic/news/newsid_1210000/1210366.stm

[2]http://www.zdnet.com.au/news/security/soa/Online_banking_theft_who_pays_/0,130061744,139182217,00.htm

[3]http://www.zdnet.com.au/news/security/soa/Online_banking_theft_who_pays_/0,130061744,139182217,00.htm

[4] http://news.soft32.com/international...heft_3486.html

[5] http://www.nytimes.com/2007/01/25/technology/25hack.html?ex=1327381200&en=58990497ce27b2b2&ei= 5088&partner=rssnyt&emc=rss

[6]http://news.bbc.co.uk/1/hi/uk/4356661.stm

[7]http://www.gridtoday.com/04/0510/103190.html


 

رد مع اقتباس
قديم 04-12-2009, 01:47 PM   #21
عضو مميز


الصورة الرمزية المحايد
المحايد غير متصل

بيانات اضافيه [ + ]
 رقم العضوية : 23
 تاريخ التسجيل :  Feb 2009
 أخر زيارة : 03-26-2011 (09:15 PM)
 المشاركات : 189 [ + ]
 التقييم :  10
لوني المفضل : Cadetblue
افتراضي رد: بحث مقدم لنيل درجة الماجستير في نظم المعلومات



الفصل الرابع

إجراءات البحث


4-.. مقدمة
يتناول هذا الفصل مجتمع الدراسة وعينتها والأداة المستخدمة لجمع البيانات
4-1. مجتمع البحث
ولتكملة البحث والدراسة قام الباحث بدارسة وضع البنوك السودانية من حيث استخدامها التقنية في الأعمال المصرفية وعن المهددات والمخاطر التي تجابهها البنوك وعن الإجراءات والتحوطات المتخذة من قبلها لفرض الحماية على نظم المعلومات وللتحقق من ذلك قام الباحث بعمل استقصاء المعلومات عن طريق الاستبانة، واللقاءات المباشرة بالمسؤولين الإداريين والتقنيين بالبنوك التجارية والبنك المركزي.

4-2. عينة الدراسة
تكونت عينة الدراسة من (46) شخصاً من العاملين في مراكز المعلومات في الإدارات الرئيسية للبنوك التجارية العاملة بالسودان، فمن حيث جنسية البنك وجد أن عدد البنوك الأجنبية بنك واحد وليس له فروع ولا ينطبق علية متغيرات البحث لذا تم استبعاد هذه العينة، والبنوك التي تم تطبيق الدراسة عليها هي:
1.بنك أمدرمان الوطني
2.بنك الخرطوم
3.البنك السوداني الفرنسي
4.بنك البركة السوداني
5.بنك التضامن الإسلامي
6.البنك الإسلامي السوداني
7.بنك تنمية الصادرات
8.بنك العمال الوطني
9.بنك الشمال الإسلامي
10.مصرف الإدخار والتنمية الاجتماعية
11.بنك النيلين
12.البنك الأهلي السوداني
13.بنك النيل الأزرق والمشرق
14.البنك السعودي السوداني
15.بنك أيفوري
16.بنك حبيب


4-3. أداة الدراسة
استخدم الباحث الاستبانة لجمع المعلومات وتتكون عناصرها من:

4-3-1. متغيرات الدراسة
وتشمل البنوك التجارية

4-3-2. الإجراءات الإدارية في البنوك التجارية وتشمل
· اهتمام الإدارة العليا بأمن المعلومات
· استخدم تقنية النظم والمعلومات في أداء الأعمال
· ربط جميع فروع البنك بشبكة واحدة
· ربط البنك بشبكة الإنترنت
· إنشاء دائرة خاصة بأمن وحماية المعلومات
· تجهيزات غرف الحاسوب
· التوعية العاملين الأمنية
· تحفيز الموظفين العاملين التقنيين
· التدريب والمجلات والدوريات عن أمن ونظم المعلومات
· إجراءات المتبعة عند الاستغناء عن موظفي الحاسوب أو استقالتهم
· الإجراءات الإدارية والقانونية تجاه الأفراد الذين يسربون المعلومات.
· اعتماد البنك كلياً على التقانة في أداء أعمالها.

4-3-3. الإجراءات الامنية المتبعة في البنوك التجارية وتشمل
· إجراءات استمرار العمل عند حدوث خلل في النظام والشبكات
· التخلص من الوسائط والمستندات والتقارير
· إجراءات استمرار العمل ومراجعتها وتحديثها
· عمل نسخ وقائية احتياطية للمعلومات وطريقة حفظها
· طريقة حماية شبكات نظم المعلومات بالبنك
· استخدام كلمات السر وحفظها
· تركيب وصيانة الشبكات
· استخدام البرامج الأصلية المرخصة
· وضع إستراتيجية مكافحة الفيروسات
· تفعيل برامج ونظم حماية المعلومات
· إجراءات الدخول لنظم الحاسوب
· الاختراق وسوء استخدام النظام
· المصرح لهم للدخول في نظم البنك

4-3-4. الإجراءات الرقابية والحماية لدى البنوك التجارية
· مراجعة وتدقيق نظم المعلومات
· التخويل بإجراء التعديلات على البيانات
· موظفون متخصصون بأمن المعلومات وحمايتها
· سياسات وإجراءات ومواصفات قياسية لأمن المعلومات
· سياسات ومواصفات قياسية لتطوير وتشغيل نظم المعلومات
· متخصصون لمراجعة وتدقيق نظم المعلومات
· تطبيق سياسات نظم المعلومات بالبنك
· الدخول لغرفة الحاسوب
· إدخال الأجهزة إلى البنك وإخراجها
· الإجراءات المتبعة حيال نظم المعلومات بعد نهاية ساعات العمل الرسمية



4-4. الصدق والثبات
لقد تم تحكيم استمارة الاستبانة من 3 أستاذة متخصصين للتأكد من أن الأسئلة تؤدي الهدف من مضمونها، وقد تم قياس الصدق عن طريق توزيع الاستبانة على أحد مراكز المعلومات بأحد البنوك التجارية محل الدراسة، حيث اتضح أن لدى المبحوثين فهماً كاملاً عن أسئلة الإستبانة، أما الثبات فقد تم اختبار موضوعه وذلك عندما تم توزيع الاستبانة على نفس العينة السابقة ومن ثم جمعها وإعادة توزيع نفس الاستبانة لنفس الأشخاص ووجد أن نسبة الثبات من 80% إلى 90%.

4-5. الأساليب الإحصائية
تم استخدام الطريقة الوصفية والنسب المئوية لفحص الفروق بين نوعية البنك وجنسيته وبعض متغيرات الدراسة.



 

رد مع اقتباس
قديم 04-12-2009, 01:49 PM   #22
عضو مميز


الصورة الرمزية المحايد
المحايد غير متصل

بيانات اضافيه [ + ]
 رقم العضوية : 23
 تاريخ التسجيل :  Feb 2009
 أخر زيارة : 03-26-2011 (09:15 PM)
 المشاركات : 189 [ + ]
 التقييم :  10
لوني المفضل : Cadetblue
افتراضي رد: بحث مقدم لنيل درجة الماجستير في نظم المعلومات



4-6. تحليل الاستبانة

السؤال رقم (1) هل تستخدم تقنية النظم والمعلومات في أداء جميع الأعمال لديكم ؟

جدول رقم (1) استخدم تقنية النظم والمعلومات في أداء الأعمال4
نوع البنك
نعم
جزئياً
لا
سوداني حكومي
92.31%
-
7.69%
سوداني خاص
78.95%
21.05%
-
سوداني / أجنبي
100.00%
-
-

يظهر من الجدول رقم (1) أن جميع البنوك تستخدم تقنية النظم في أداء الأعمال المصرفية، مع ملاحظة أن البنوك التي لديها شراكة أجنبية تعتمد كلياً في أداء البنك.

السؤال رقم (2) هل البنك مربوط بشبكة معلومات بجميع الفروع ؟

جدول رقم (2) ربط جميع فروع البنك بشبكة واحدة5
نوع البنك
نعم
جزئياً
لا
سوداني حكومي
-
75.00%
25.00%
سوداني خاص
23.08%
61.54%
15.38%
سوداني / أجنبي
75.00%
25.00%
-

بين الجدول رقم (2) ما إذا كانت جميع فروع البنوك مربوطة بشبكة المعلومات ويتضح من النتائج أن نسبة ربط الفروع بشبكات الفروع يتباين بصورة كبيرة حيث إن البنوك ذات الشراكة الأجنبية تمثل نسبة عالية في حين إن المجموعات الأخرى تتماثل في نسبة استخدام الشبكات.



السؤال رقم (3) هل ترى الاعتماد كلياً على التقانة ؟

جدول رقم (3) اعتماد البنك كلياً على التقانة في أداء اعماله6
نوع البنك
نعم
لا
لا أدري
سوداني حكومي
100.00%
-
-
سوداني خاص
78.95%
21.05%
-
سوداني / أجنبي
100.00%
-
-
ويتضح من الجدول رقم (3) أن جميع البنوك ترى، بدرجة عالية الاعتماد على التقانة في أداء أعمالها

السؤال رقم (4) هل ترى الاعتماد على تقنية المعلومات في النظام المصرفي أكثر خطورة على أموال المودعين من النظام اليدوي ؟

جدول رقم (4) خطور الاعتماد على التقنية في النظام المصرفي7
نوع البنك
نعم
لا
سوداني حكومي
-
100.00%
سوداني خاص
-
100.00%
سوداني / أجنبي
-
100.00%

يبين الجدول رقم (4) أن جميع البنوك ترى أن اعتماد استخدم التقنية لا يشكل أي خطورة على أموال المودعين.



السؤال رقم (5) عادة ما تتم السرقات المالية بالبنوك باستخدام التقنية ؟

جدول رقم (5) السرقات المالية بالبنوك باستخدام التقنية8
نوع البنك
نعم
أخرى
لا
سوداني حكومي
33.33%
44.44%
22.22%
سوداني خاص
25.00%
50.00%
25.00%
سوداني / أجنبي
-
-
100.00%

يبين الجدول رقم (5) أن جميع البنوك تتساوى بدرجة كبيرة في نظرتها إلى أن استخدام التقنية يساعد في السرقات المالية، عدا البنوك التي بها مشاركة أجنبية تري أن السرقات المالية لا تتم باستخدام التقنية.

السؤال رقم (6) المصرح لهم بالدخول في نظم البنك ؟

جدول رقم (6) المصرح لهم بالدخول في نظم البنك9
نوع البنك
المستخدمون
المبرمجون
موظفو شركات الصيانة
آخرون
سوداني حكومي
75.00%
18.75%
-
6.25%
سوداني خاص
60.87%
39.13%
-
-
سوداني / أجنبي
57.14%
42.86%
-
-

يتضح من الجدول رقم (6) أن موظفي البنك من مستخدمي النظم ومبرمجيها هم فقط المصرح لهم بالدخول واستخدام النظم مع وجود نسبة ضئيلة من غير الموظفي البنوك يسمح لهم باستخدام أنظمة البنك.


السؤال رقم (7) المخول لهم باجراء التعديلات على البيانات ؟

جدول رقم (7) التخويل باجراء التعديلات على البيانات10
نوع البنك
مدخل البيانات
المشرف
آخرون
سوداني حكومي
-
75.00%
25.00%
سوداني خاص
40.00%
40.00%
20.00%
سوداني / أجنبي
42.86%
57.14%
-
يوضح الجدول رقم (7) تباين البنوك في تحديد المخولين بإجر أي تعديلات على البيانات لديهم، في الوقت الذي تمنع فيه البنوك السودانية الحكومية مدخلي البيانات باجراء التعديلات، تقوم البنوك الأخرى بإشراك مدخلي البيانات في تنفيذ التعديلات.

السؤال رقم (8) المسؤول عن تركيب وصيانة الشبكات ؟

جدول رقم (8) تركيب وصيانة الشبكات11
نوع البنك
موظفو البنك
عمل مشترك
جهات أخرى
سوداني حكومي
50.00%
50.00%
-
سوداني خاص
42.86%
42.86%
14.29%
سوداني / أجنبي
-
-
100.00%

في الوقت الذي بين فيه الجدول رقم (8) أن البنوك السودانية الأجنبية تعتمد كلياً على الجهات الأخرى في تركيب وصيانة الشبكات نرى أن باقي البنوك تقوم بتركيب وصيانة الشبكات بموظفيها كما أنها تستعين بالجهات الأخرى بنسبة 50% تقريباً.



السؤال رقم (9) هل البنك مرتبط بالشبكة العالمية (الإنترنت) ؟

جدول رقم (9) ربط البنك بشبكة الإنترنت12
نوع البنك
نعم
لا
سوداني حكومي
57.14%
42.86%
سوداني خاص
72.73%
27.27%
سوداني / أجنبي
66.67%
33.33%

يبين الجدول رقم (9) أن جميع البنوك لها اتصال بالشبكة العالمية (الانترنت) بنسبة تصل إلى الثلثين تقريباً.
ً
السؤال رقم (10) ما درجة اهتمام الإدارة العليا بأمن المعلومات ؟

جدول رقم (10) اهتمام الإدارة العليا بأمن المعلومات13
نوع البنك
اهتمام عال
يهتمون إلى حد ما
لا يهتمون
سوداني حكومي
69.23%
30.77%
-
سوداني خاص
78.95%
21.05%
-
سوداني / أجنبي
60.00%
40.00%
-

يبين الجدول رقم (10) أن نسبة اهتمام الإدارات العليا بأمن وحماية المعلومات تصل إلى قرابة 70% ولا توجد فروق كبيرة بين البنوك كما يوضح أن الإدارات العليا جميعها مهتمة بأمن المعلومات ولو بدرجات متفاوتة.


السؤال رقم (11) هل توجد دائرة خاصة بأمن وحماية المعلومات ؟

جدول رقم (11) دائرة خاصة بأمن وحماية المعلومات14
نوع البنك
نعم
لا
سوداني حكومي
57.14%
42.86%
سوداني خاص
25.00%
75.00%
سوداني / أجنبي
-
100.00%

يبين الجدول رقم (11) أن البنوك السودانية الأجنبية لديها دوائر خاصة بأمن المعلومات في حين أن 50% من البنوك السودانية الحكومية بها دوائر مختصة وتنخفض النسبة إلى 25% بالبنوك السودانية الخاصة.

السؤال رقم (12) هل يوجد بالبنك جهة مختصة بمراجعة وتدقيق نظم المعلومات ؟

جدول رقم (12) مراجعة وتدقيق نظم المعلومات15
نوع البنك
نعم
لا
سوداني حكومي
57.14%
42.86%
سوداني خاص
44.44%
55.56%
سوداني / أجنبي
66.67%
33.33%

يبين الجدول رقم (12) أن أكثر من 40% من البنوك لا توجد بها دوائر مختصة بمراجعة وتدقيق نظم المعلومات.



السؤال رقم (13) هل هناك موظفون متخصصون بأمن المعلومات وحمايتها ؟

جدول رقم (13) موظفون متخصصون بأمن المعلومات وحمايتها16
نوع البنك
نعم
لا
سوداني حكومي
75.00%
25.00%
سوداني خاص
25.00%
75.00%
سوداني / أجنبي
100.00%
-

يبين الجدول رقم (13) أن البنوك السودانية الأجنبية جميعها لديها موظفون متخصصون بأمن المعلومات كما أن 75% من البنوك السودانية الحكومية بها متخصصون أما البنوك السودانية الخاصة فتهبط النسبة فيها إلى 25%.

السؤال رقم (14) هل هناك سياسات وإجراءات ومواصفات قياسية لأمن المعلومات؟

جدول رقم (14) سياسات وإجراءات ومواصفات قياسية لأمن المعلومات17
نوع البنك
نعم
جزئيا
لا
سوداني حكومي
92.31%
-
7.69%
سوداني خاص
60.00%
26.67%
13.33%
سوداني / أجنبي
100.00%
-
-

يبين الجدول رقم (14) أن البنوك السودانية الأجنبية جميعها لديها سياسات وإجراءات ومواصفات قياسية لأمن المعلومات، وأن أكثر من 90% من البنوك السودانيية الحكومية بها أيضاً أما البنوك السودانية الخاصة فنسبتها تصل إلى 60%. ويوضح الجدول أيضاً أن أكثر من 10% من البنوك غير السودانية الأجنبية لا توجد بها سياسات وإجراءات ومواصفات قياسية لأمن المعلومات.



السؤال رقم (15) هل توجد لدى البنك سياسات ومواصفات قياسية لتطوير وتشغيل نظم المعلومات ؟

جدول رقم (15) سياسات ومواصفات قياسية لتطوير وتشغيل نظم المعلومات18
نوع البنك
نعم
جزئياً
لا
سوداني حكومي
54.55%
36.36%
9.09%
سوداني خاص
52.94%
47.06%
-
سوداني / أجنبي
100.00%
-
-

يبين الجدول رقم (15) أن البنوك السودانية الأجنبية جميعها لديها سياسات ومواصفات قياسية ، كما أن قرابة 50% من باقي البنوك السودانية لها سياسات ومواصفات قياسية لتطوير وتشغيل نظم المعلومات. ويوضح الجدول أيضاً أن أكثر من 9% من البنوك السودانية الحكومية لا يوجد بها ذلك.

السؤال رقم (16) هل هناك موظفون متخصصون بمراجعة وتدقيق نظم المعلومات؟

جدول رقم (16) متخصصون لمراجعة وتدقيق نظم المعلومات19
نوع البنك
نعم
لا
سوداني حكومي
75.00%
25.00%
سوداني خاص
60.00%
40.00%
سوداني / أجنبي
100.00%
-

يبين الجدول رقم (16) أن البنوك السودانية الأجنبية جميعها لديها موظفون متخصصون بمراجعة وتدقيق نظم المعلومات كما أن 75% من البنوك السودانية الحكومية بها متخصصون أما البنوك السودانية الخاصة فتصل النسبة فيها إلى 60%.


السؤال رقم (17) من الذي يقوم بتطبيق سياسات نظم المعلومات بالبنك ؟

جدول رقم (17) تطبيق سياسات نظم المعلومات بالبنك20
نوع البنك
الإدارة العليا
إدارة تقنية نظم المعلومات
آخرون
سوداني حكومي
30.00%
60.00%
10.00%
سوداني خاص
-
100.00%
-
سوداني / أجنبي
42.86%
57.14%
-

يبين الجدول رقم (17) أن الإدارة العليا لا تشارك في تطبيق السياسات لدى البنوك السودانية الخاصة في حين أنها تساهم بنسبة 40% تقريبا في باقي البنوك وتوكل مهام التطبيق لإدارة نظم المعلومات بالبنوك.

السؤال رقم (18) ما نوع الحماية المستخدمة لدى البنك ؟

جدول رقم (18) نوع الحماية المستخدمة لدى البنك21
نوع البنك
برامج
إجراءات
أخرى
سوداني حكومي
56.25%
37.50%
6.25%
سوداني خاص
62.07%
34.48%
3.45%
سوداني / أجنبي
60.00%
40.00%
-

يبين الجدول رقم (18) أن جميع البنوك تستخدم البرامج في حماية البنك بنسبة 60% تقريباً، والإجراءات بنسبة 40%


السؤال رقم (19) ما الطريقة المتبعة في حماية شبكات نظم المعلومات بالبنك ؟

جدول رقم (19) طريقة حماية شبكات نظم المعلومات بالبنك22
نوع البنك
تركيب الطوق الأمني (Firewall
تركيب برامج حماية الشبكات
عزل الشبكات عن بعضها
نظم أخرى
سوداني حكومي
42.11%
47.37%
-
10.53%
سوداني خاص
-
30.00%
20.00%
50.00%
سوداني / أجنبي
-
75.00%
25.00%
-

الجدول رقم (19) يبين أن جميع البنوك تتباين في استخدام وسائل حماية الشبكات

السؤال رقم (20) ما الطريقة المستخدمة للدخول في نظم الحاسوب؟

جدول رقم (20) للدخول لنظم الحاسوب23
نوع البنك
بصمات اليد ، الصوت وخلافه
كلمة السر
البطاقات الذكية
بدون رقم سري وبطاقات
سوداني حكومي
-
100.00%
-
-
سوداني خاص
-
100.00%
-
-
سوداني / أجنبي
57.14%
42.86%
-
-

يبين الجدول رقم (20) أن جميع البنوك السودانية تعتمد على كلمة السر للدخول في نظم الحاسوب في حين أن أكثر من 57% من البنوك السودانية الأجنبية تستخدم وسائل متعلقة بجسم الإنسان.



السؤال رقم (21) العلاقات الجيدة والثقة بين الموظفين عادة تجعلهم يستخدمون كلمات السر فيما بينهم. هل هذا ينطبق على بنككم ؟

جدول رقم (21) استخدام كلمات السر وحفظها24
نوع البنك
لا
أحياناً
نعم
سوداني حكومي
60.00%
20.00%
20.00%
سوداني خاص
21.43%
71.43%
7.14%
سوداني / أجنبي
75.00%
-
25.00%

يبين الجدول رقم (21) تبايناً كبيراً في إجاباتهم في التعامل مع كلمة السر حيث إن هناك نسباً متفاوتة في حفظ الموظفين لكلمات السر الخاصة، ويتضح أن موظفي البنوك السودانية الأجنبية أكثر حرصاً من غيرهم من موظفي البنوك الأخرى.

السؤال رقم (22) هل يستخدم البنك برامج أصلية ومرخصة ؟

جدول رقم (22) استخدام البرامج الأصلية المرخصة25
نوع البنك
نعم
لا
سوداني حكومي
100.00%
-
سوداني خاص
92.31%
7.69%
سوداني / أجنبي
100.00%
-

يبين الجدول رقم (22) أن جميع البنوك تستخدم برامج أصلية ومرخصة


السؤال رقم (23) هل لدى البنك إستراتيجية مكافحة الفيروسات ؟
جدول رقم (23) استراتيجية مكافحة الفيروسات26
نوع البنك
نعم
لا
سوداني حكومي
75.00%
25.00%
سوداني خاص
100.00%
-
سوداني / أجنبي
100.00%
-

يبين الجدول رقم (23) أن البنوك حريصة على تطوير إستراتيجية لمكافحة الفيروسات ويوضح أن البنوك السودانية الخاصة والبنوك السودانية الأجنبية جميعها لديها إستراتيجية في حين ان 25% من البنوك الحكومية ليست لديها أستراتيجية لمكافحة الفيروسات.

السؤال رقم (24) هل يستخدم البنك مضادات للفيروسات المرخصة ويواكب تحديثها؟

جدول رقم (24) مضادات للفيروسات المرخصة و تحديثها27
نوع البنك
نعم
لا
سوداني حكومي
75.00%
25.00%
سوداني خاص
72.73%
27.27%
سوداني / أجنبي
66.67%
33.33%

يبين الجدول رقم (24) أن أكثر من 75% من البنوك تستخدم مضادات الفيروسات الأصلية المرخصة وتواكب تحديثها في حين أن 25% لا تقوم بذلك.


السؤال رقم (25) ما الإجراءات التي يتخذها البنك لتفعيل برامج ونظم حماية المعلومات ؟
جدول رقم (25) تفعيل برامج ونظم حماية المعلومات28
نوع البنك
وضع خطة لمراقبة الأجهزة
ترك أجهزة الرقابة لتقوم بعملها آلياً
ترك الأمر لموظفي التقنية والمستخدمين
سوداني حكومي
-
-
100.00%
سوداني خاص
33.33%
-
66.67%
سوداني / أجنبي
60.00%
40.00%
-

يبين الجدول رقم (25) تبايناً كبيراً في أجاباتهم في تفعيل برامج ونظم حماية المعلومات بينما تترك البنوك السودانية الحكومية الأمر كلياً لموظفي التقنية والمستخدمين، نرى أن البنوك السودانية الخاصة تقوم بوضع خطط للمراقبة بنسبة الثلث وتعتمد على موظفي التقنية والمستخدمين بنسبة الثلثين، بينما الأمر يختلف لدى البنوك السودانية الأجنبية، إذ تقوم بوضع الخطط لمراقبة الأجهزة وتعتمد على الرقابة الآلية .

السؤال رقم (26) ما الإجراءات المتخذة للدخول إلى غرفة الحاسوب ؟
جدول رقم (26) الدخول لغرفة الحاسوب29
نوع البنك
الرقم السري
نظم البطاقات
نظم المفتاح عادية
نظم الحارس
سوداني حكومي
44.44%
33.33%
22.22%
-
سوداني خاص
-
-
88.89%
11.11%
سوداني / أجنبي
-
-
100.00%
-
يتضح الجدول رقم (26) أن البنوك محل الدراسة لا تعتمد نظام الحراس في الدخول لغرف الحاسوب، والاجراء المتبع هو استخدام نظام المفاتيح العادية، كما نرى أن البنوك السودانية الحكومية تتنوع في الإجراءات من أرقام سرية ونظام البطاقات.
السؤال رقم (27) هل هناك إجراءات لإدخال الأجهزة إلى البنك وإخراجها؟

جدول رقم (27) إدخال الأجهزة إلى البنك وإخراجها30
نوع البنك
نعم
لا
سوداني حكومي
100.00%
-
سوداني خاص
83.33%
16.67%
سوداني / أجنبي
100.00%
-

يبين الجدول رقم (27) أن جميع البنوك لديها إجراءا ت للمراقبة والتحكم في إدخال الأجهزة وإخراجها بينما هناك بعض البنوك السودانية الخاصة ليست لديها إجراءات.

السؤال رقم (28) من الذي يقوم بالاختراق، أوسوء استخدام النظام ؟

جدول رقم (28) الاختراق وسوء استخدام النظام31
نوع البنك
موظفو تقنية المعلومات
مستخدمو النظم من الموظفين
مستخدمو النظم من الإداريين
باشتراك أكثر من طرف
سوداني حكومي
28.57%
64.29%
-
7.14%
سوداني خاص
-
54.55%
-
45.45%
سوداني / أجنبي
50.00%
37.50%
-
12.50%

يوضح الجدول رقم (28) أن جميع البنوك تشترك بنسب متفاوتة في أن التهديد يأتي من مستخدمي النظام من الموظفين وأنهم الذين يقومون بإساءة استخدامه وكذلك يشتركون بنسب متفاوتة أيضاً في اشتراك أكثر من جهة في إساءة استخدامه النظم بينما لا تستبعد البنوك السودانية الحكومية والسودانية الأجنبية دور موظفي التقنية في ذلك.
السؤال رقم (29) ما الوسائل المستخدمة في التخلص من الوسائط والمستندات والتقارير ؟

جدول رقم (29) التخلص من الوسائط والمستندات والتقارير32
نوع البنك
الإتلاف داخل البنك بإشراف لجنة البنك
الإتلاف خارج البنك.
عدم الإتلاف
سوداني حكومي
85.71%
14.29%
-
سوداني خاص
80.00%
-
20.00%
سوداني / أجنبي
75.00%
-
25.00%

يوضح الجدول رقم (29) أن البنوك تقوم بإتباع إجراءات الاتلاف بإشراف لجنة داخل البنك للتخلص من الوسائط والمستندات والتقارير.

السؤال رقم (30) هل غرفة الحاسوب والمكاتب مجهزة ضد الحريق والمهددات الأخرى؟

جدول رقم (30) تجهيزات غرف الحاسوب33
نوع البنك
نعم
نوعا ما
لا
سوداني حكومي
92.31%
-
7.69%
سوداني خاص
90.00%
10.00%
-
سوداني / أجنبي
75.00%
-
25.00%

يوضح الجدول رقم (30) أن البنوك في السودان لديها تجهيزات مكافحة الحريق بينما 25% من البنوك السودانية الأجنبية ليست مجهزة بذلك.



السؤال رقم (31) هل هناك إجراءات لاستمرار العمل في حالة وجود خلل في النظام والشبكات ؟

جدول رقم (31) إجراءات لاستمرار العمل في حالة وجود خلل في النظام والشبكات34
نوع البنك
نعم
نوعا ما
لا
سوداني حكومي
85.71%
14.29%
-
سوداني خاص
78.95%
10.53%
10.53%
سوداني / أجنبي
60.00%
40.00%
-

يوضح الجدول رقم (31) أن جميع البنوك لديها إجراءات لاستمرار العمل عند حدوث خلل أو أعطال في النظم و الشبكات.

السؤال رقم (32) ما نوع الإجراءات المتخذة لاستمرار العمل في حالة وجود خلل في النظام؟
جدول رقم (32) إجراءات استمرار العمل35
نوع البنك
تشغيل النظام الاحتياطي
استخدام الطريقة اليدوية
الانتظار حتى معالجة الخلل
سوداني حكومي
64.29%
28.57%
7.14%
سوداني خاص
68.18%
18.18%
13.64%
سوداني / أجنبي
75.00%
25.00%
-

يوضح الجدول رقم (32) أن نسبة تفوق ال 65% من البنوك لديها نظم آلية احتياطية لاستمرار العمل كما أن لديهم الاجراءات اليدوية لاستئناف العمل كما أن هناك نسباً تتراوح ما بين 7% إلى 14% من البنوك السودانية الحكومية والسودانية الخاصة لا تقدم خدمة لعملائها عند حدوث الخلل.

السؤال رقم (33) هل تتم مراجعة وتحديث إجراءات استمرار العمل بصفة دورية ؟

جدول رقم (33) مراجعة وتحديث إجراءات استمرار العمل36
نوع البنك
نعم
أحياناً
لا
سوداني حكومي
30.00%
60.00%
10.00%
سوداني خاص
66.67%
33.33%
-
سوداني / أجنبي
100.00%
-
-

يوضح الجدول رقم (33) أن جميع البنوك السودانية الأجنبية تقوم بمراجعة وتحديث إجراءات استمرار العمل بصفة دورية بينما نرى ذلك بنسب متفاوتة بباقي البنوك.

السؤال رقم (34) هل يقوم البنك بعمل نسخ احتياطية للمعلومات بصفة دورية ويومية، لضمان أمن المعلومات وسلامتها ؟

جدول رقم (34) عمل نسخ وقائية احتياطية للمعلومات37
نوع البنك
نعم
أحياناً
لا
سوداني حكومي
100.00%
-
-
سوداني خاص
100.00%
-
-
سوداني / أجنبي
100.00%
-
-

يوضح الجدول رقم (34) أن جميع البنوك تقوم بعمل نسخ احتياطية للمعلومات بصفة دورية ويومية، لضمان أمن المعلومات وسلامتها.


السؤال رقم (35) أين يحتفظ البنك بالنسخ الاحتياطية للسجلات وكافة المعلومات المهمة ؟

جدول رقم (35) حفظ النسخ الاحتياطية38
نوع البنك
في مكان آمن خارج البنك
في مكان آمن داخل البنك
داخل غرفة الحاسوب
سوداني حكومي
-
100.00%
-
سوداني خاص
-
85.71%
14.29%
سوداني / أجنبي
66.67%
22.22%
11.11%

بالنظر إلى الجدول رقم (35) أعلاه نجد أن جميع البنوك السودانية الحكومية ومعظم البنوك السودانية الخاصة تقوم بحفظ النسخ الاحتياطية خارج غرفة الحاسوب داخل مبنى البنك، بينما نجد أن أكثر من ثلثي البنوك السودانية الأجنبية تقوم بحفظ النسخ في مكان آمن خارج البنك في حين أن نسب صغيرة متفاوتة من البنوك السودانية الخاصة والبنوك السودانية الأجنبية تقوم بحفظ النسخ الاحتياطية داخل غرف الحاسوب.

السؤال رقم (36) هل الموظفون على دراية بأهمية أمن المعلومات وحمايتها ؟

جدول رقم (36) التوعية الأمنية39
نوع البنك
نعم
لا
سوداني حكومي
88.89%
11.11%
سوداني خاص
92.31%
7.69%
سوداني / أجنبي
100.00%
-

يوضح الجدول رقم (36) أن جميع البنوك بها نسبة عالية من الوعي الأمني بينما تمتاز جميع البنوك السودانية الأجنبية بأن لديها دراية بأهمية أمن المعلومات وحمايتها.



السؤال رقم (37) ما الوسائل المستخدمة لتحفيز الموظفين العاملين التقنيين ؟

جدول رقم (37) تحفيز الموظفين العاملين التقنيين40
نوع البنك
التحفيز المالي
التقدير الشخصي
حوافز أخرى
سوداني حكومي
50.00%
16.67%
33.33%
سوداني خاص
37.50%
37.50%
25.00%
سوداني / أجنبي

66.67%
33.33%

يبين الجدول رقم (37) أن جميع البنوك لا تتبع طريقة معينة لتحفيز الموظفين العاملين التقنيين وكسب إنتمائهم، مع ملاحظة أن البنوك السودانية الأجنبية تعتمد على التحفيز غير المالي.

السؤال رقم (38) هل تتوفر لدى البنك دورات تدريبية أو مجلات دورية عن أمن ونظم المعلومات ؟

جدول رقم (38) التدريب والمجلات والدوريات عن أمن ونظم المعلومات41
نوع البنك
نعم
نوعا ما
لا
سوداني حكومي
-
75.00%
25.00%
سوداني خاص
-
72.73%
27.27%
سوداني / أجنبي
60.00%
40.00%
-

يبين الجدول رقم (38) أن اهتمام البنوك ضعيف في مجال التدريب وتوفير المجلات الدورية، مع ملاحظة أن البنوك السودانية الأجنبية تهتم بهذه الأمر إلى حد ما.



السؤال رقم (39) ما الإجراءات المتبعة عند الاستغناء عن موظفي الحاسوب أو استقالتهم؟

جدول رقم (39) الإجراءات المتبعة عند الاستغناء عن موظفي الحاسوب أو استقالتهم42
نوع البنك
تغيير كافة الإجراءات التي كانوا يقومون بها
أخذ تعهدات منهم بعدم تسريب المعلومات
تقديم مكافأة مالية لهم على فترات
إجراءات أخرى
سوداني حكومي
-
42.86%
-
57.14%
سوداني خاص
90.91%
-
-
9.09%
سوداني / أجنبي
100.00%
-
-
-

يبين الجدول رقم (39) أن البنوك السودانية الخاصة والبنوك السودانية الأجنبية تقوم بتغيير كافة الإجراءات التي كانوا يقومون بها، بينما تقوم البنوك السودانية الحكومية بأخذ التعهد على الموظف بعدم تسريب المعلومات.

السؤال رقم (40) هل توجد إجراءات إدارية وقانونية ضد الأفراد الذين يسربون المعلومات لجهات أخرى ؟

جدول رقم (40) الإجراءات الإدارية والقانونية تجاه الأفراد الذين يسربون المعلومات43
نوع البنك
نعم
لا
سوداني حكومي
75.00%
25.00%
سوداني خاص
60.00%
40.00%
سوداني / أجنبي
66.67%
33.33%

يبين الجدول رقم (40) أن معظم االبنوك لديها إجراءات إدارية وقانونية ضد الأفراد الذين يسربون المعلومات لجهات أخرى.
السؤال رقم (41) ما الإجراءات التي يتبعها البنك حيال نظم المعلومات بعد نهاية ساعات العمل الرسمية ؟
جدول رقم (41) الإجراءات المتبعة حيال نظم المعلومات بعد نهاية ساعات العمل الرسمية44
نوع البنك
تحديد المصرح لهم
إيقاف النظم والشبكات
مراقبة الشبكات والنظم
إجراءات أخرى
سوداني حكومي
-
92.31%
-
7.69%
سوداني خاص
-
100.00%
-
-
سوداني / أجنبي
-
100.00%
-
-

يبين الجدول رقم (41) أن جميع البنوك تتبع إجراءات إيقاف النظم والشبكات بعد نهاية ساعات العمل.


 

رد مع اقتباس
قديم 04-12-2009, 01:51 PM   #23
عضو مميز


الصورة الرمزية المحايد
المحايد غير متصل

بيانات اضافيه [ + ]
 رقم العضوية : 23
 تاريخ التسجيل :  Feb 2009
 أخر زيارة : 03-26-2011 (09:15 PM)
 المشاركات : 189 [ + ]
 التقييم :  10
لوني المفضل : Cadetblue
افتراضي رد: بحث مقدم لنيل درجة الماجستير في نظم المعلومات



4-7. تحليل نتائج البحث
بتحليل نتيجة الاستبانة ومن اقع اللقاءات التي أجراها الباحث ببعض المسؤولين والموظفين ببعض البنوك وبالنظر إلى ما ورد في تقرير بنك السودان المركزي، كان حصيلة الباحث الآتي:

4-7-1. تحليل نتيجة الاستبانة
1. وجد الباحث أن البنوك السودانية الأجنبية لديها إجراءات أمنية عالية مقارنة بباقي البنوك الأخرى.
2. وجود رغبة عالية لدى جميع البنوك في استخدام ومواكبة التقنية ولا يرونها تشكل في حد ذاتها خطورة وتهديداً لودائع العملاء،
3. بالرغم من النظرة الإيجابية لدى البنوك تجاه التقنية إلا أنهم يرون أن السرقات تتم بسوء استخدام التقنية والاستغلال السيئ للثقة الممنوحة لهم.
4. البنوك تنقصها مواصفات قياسية ومعايير وسياسات نظم المعلومات وأمنها وحمايتها
5. أما بالنسبة لبرامج التوعية الأمنية لدى كافة البنوك محل البحث وجدت أنها ضعيفة ولا توجد خطط تدريبية أو مجلات ونشرات دورية لرفع الوعي الأمني لدى الموظفين.
6. وجد أن المبرمجين لديهم تعامل مباشر في تغيير ومعالجة مشاكل النظم والبرامج لدى البنوك في البيئة التنفيذية (Production) بدلا من أن يتم ذلك في بيئة تطوير البرامج (Development) ومن ثم تركيبها في البيئة التنفيذية.
7. وجد الباحث أن نسبة غير قليلة من البنوك يسمحون لمدخلي البيانات بإجراء التعديلات بأنفسهم.
8. اتضح أن معظم البنوك مربوطة بالشبكة العالمية للإنترنت دون فصل الشبكات المصرفية الخاصة بها بوسائل الحماية اللازمة، ودون وجود برامج رقابية، مما يجعل البنوك عرضة للاختراقات والتسلل والبرامج الخبيثة، ولا يخفى على أحد ما ينتج عن ذلك من مخاطر أمنية، كما أن البنوك ليست لها أي معلومات عَما إذا كانت هناك اختراقات أم لا، وذلك لانعدام أو عدم فاعلية وسائل الحماية والرقابة.
9. كما وجد الباحث عدم وجود دائرة خاصة لأمن المعلومات وكذلك عدم وجود دائرة خاصة لمراجعة وتفتيش نظم المعلومات بالبنوك هذا بالاضافة لعدم وجود كوادر مؤهلة في مجال أمن نظم المعلومات ومراجعتها والرقابة عليها
10. كما إتضح عدم تطبيق السياسات أو ضعفها وعدم تطبيق الأجراءات الأمنية وعدم وضوح الجهات المسؤولة والمناطة بها.
11. في الوقت الذي يمثل فيه الاجراءات عادة أكثر من 60% من حماية النظم و40% وسائل حماية تقنية نجد أن البنوك في السودان تغفل عن الأجرات وتعتمد على البرامج والنظم الأمنية.
12. وجد أن الحماية المستخدمة للدخول والتعامل مع النظم والبرامج هي استخدام كلمة السر وهناك شيوع في استخدام كلمات سر الموظفين مع بعضهم البعض.
13. رغم إظهار الإستبانة بوجود استراتيجية لمكافحة الفيروسات وجد الباحث أن هناك ضعفاً في آلية توزيع وتركيب ومراقبة وتحديث برامج مكافحة الفيروسات وبما أن البنوك متصلة بالإنترنت فان نسبة الإصابة بالفيروسات تظل عالية حيث أن برامج المكافحة لا تأتى عادة إلا بعد اكتشاف الفيروس ناهيك عن دولة مثل السودان تقع تحت طائلة الحصار والمقاطعات مما يعيق جلب وتركيب وتحديث برامج مكافحة الفيروسات والبرامج الخبيثة بصفة دورية وفاعلة.
14. بالنسبة لاستمرارية العمل عند حدوث خلل بالأنظمة والبرامج، وجد الباحث أن هناك عدم اهتمام لدى البنوك لإيجاد بدائل عملية فاعلة لتقديم خدمات مصرفية للعملاء، مما يجعل العميل يرضخ للأمر الواقع والانتظار حتى حل المشكلة، ويتحمل ما ينتج عن ذلك من أعباء والتزامات مالية قد لا تحمد عقباهـا وما ذلك إلا لعدم وجود منافسة حقيقية في تقديم الخدمات المصرفية بين البنوك ولتشابه جميع البنوك في هذا الأمر.
15. وجد الباحث أن جميع البنوك تقوم بعمل نسخ احتياطي بصورة دورية ولكنها تحتفظ بها داخل غرف الحاسوب، وفى احسن الأحوال يحتفظون بها داخل مبنى البنك.

4-7-2. تحليل نتائج اللقاءات التي أجراها الباحث
1. وجد الباحث عدم وجود وعى آمني كافي لدى الموظفين بخطورة التساهل والتفريط في كلمات السر الخاصة بهم وبمسؤولياتهم القانونية تجاه ذلك.
2. شيوع استخدام كلمات السر بين الموظفين أو استخدام كلمات سر سهلة التخمين أو كتابتها في موضع ظاهر.
3. ضعف عملية المطابقات بين الفروع وبين الفروع والإدارة.
4. ضعف الرقابة في إنشاء وإدارة مستخدمي النظم وترك الامر للموظف المسؤول من تشغيل الحاسوب.
5. ترك الموظفين شاشات أجهزتهم مفتوحة والتحرك دون غلقها مما يجعلها عرضة لسوء الاستخدام.
6. وجد الباحث عدم الاستخدام الأمثل لوسائل التقنية مثل قارئ الشيكات الممغنطة مما يعرض البنك لشيكات مزورة.
7. قيام موظفي بعض البنوك بتسريب معلومات لعصابات تزوير خارج البنك عن الحوالات الواردة مما يعرض البنوك للاحتيال من قبل هذه العصابات.
8. قيام موظفي بعض البنوك بفتح حسابات وهمية والتلاعب بحسابات العملاء بالخصم والإضافة وذلك لضعف الرقابة الإدارية.
9. وجد الباحث أن أغلب الأعطال وعدم استمرارية الخدمة في معظم البنوك ناتجة عن إصابة أجهزة وأنظمة وشبكة هذه البنوك بالفيروسات والبرامج الخبيثة مما تنتج عنها مشاكل كبيرة تجاه الإيفاء بإلتزاماتها تجاه العملاء.
10. عدم وجود خطة درء الكوارث Disaster Recovery Plan لدى جميع البنوك بما فيها البنك المركزي، وهناك الآن بعض البنوك وعلى رأسها البنك المركزي يتلمسون الطريق لوضع خطط وإنشاء مراكز لدرء الكوارث.
11. غياب دور المستخدم في المشاركة في مراحل تطوير النظم وتقييمها.
12. الاعتماد على موظف تقني بعينه وبغيابه يتعطل العمل وذلك لعدم وجود سياسات واضحة وعدم وضوح وتوفر المسار والأمن الوظيفي والتدريب الكافي وتوزيع الفرص وبالتالي عدم تدريب الموظفين لزملائهم.

4-7-3. تحليل تقرير بنك السودان [1]
وفي تقرير تحصل عليه الباحث من بنك السودان عن بعض المخالفات المصرفية المترتبة عن تقنية العمل المصرفي كالآتي:

1. عزا التقرير أن المخالفات ناتجة عن وجود فجوة معرفية للتقنية بين المستويات الادارية في المؤسسة المصرفية وبين المستويات التنفيذية حيث كان في ظل العمل المصرفي اليدوي يتم ضبط يوميات العمل بواسطة المستويات الادارية يومياً عن طريق مراجعة المستندات، ولكن بعد التقنية تعقدت مهمة الضبط بالنسبة للإداريين ونتج عن ذلك زيادة المخالفات المصرفية.
2. عدم إلإلتزام بالضوابط التأمينية لإجراءات التقنية المصرفية ولعل طبيعة السودانيين وتوفر حسن النية والثقة الزائدة بين العاملين تساهم كثيراً في عدم الالتزام بالضوابط مما يؤدي إلى نشوء المخالفات ونذكر من ذلك الآتي:
· عدم تفعيل النموذج الخاص بمنح وإلغاء صلاحيات التطبيقات المصرفية.
· عدم إلالتزام بتسليم كلمة مرور مسؤول الحاسوب لمدير الفرع في بعض الفروع وكذلك عدم إلغاء صلاحيات المستخدمين الذين تركوا الفرع بأسباب التنقل أو الإجازات أو الفصل من الخدمة أو لأي أسباب أخرى.
· عدم الالتزام بتناوب مسؤول الحاسب كل فترة وأخرى.
· عدم إلإلتزام بإجراءات إلغاء القيود المحاسبية بالتطبيقات المصرفية.
· لا تتم مراجعة حسابات الفروع الآلية يومياً بواسطة مدراء الفروع، وكذلك عدم تقيد بعض الفروع باستخراج تقرير يومي للعمليات الملغاة والذي يرفع لمدير الفرع.
3. المخالفات الشائعة نتيجة لتقنية العمل المصرفي تنحصر في التلاعب في حسابات العملاء وتمثل 90% من المخالفات ويتم ذلك بالسحب من الحسابات والتحويل منه إلى حسابات أخرى داخل الفرع ولفروع أخرى ودون وجود تفويض من أصحاب الحسابات، ويتم ذلك عبر شاشات الحاسوب فقط دون استخدام أي إشعارات خصم وإضافة.
4. أيضاً من المخالفات الشائعة التلاعب في الإيداعات بحسابات العملاء، إما بتوريد نقدي أو شيكات تحصيل أو بتحويلات، حيث يقوم الموظف بتحويل المبالغ إلى مصلحته وإعطاء العملاء ايصالات توريد مزورة او عدم اعطائهم ايصالات توريد مطلقاً، وفي بعض الحالات يعطى العميل ايصال توريد صحيح وداخلياً يتم عمل مستند خصم لا من الخزينة إنما من حساب آخر.
5. هناك مخالفات تنتج من خلل تأميني في البرنامج الذي يعمل به البنك.

وقد شمل تقرير بنك السودان على إحصائية بعدد حالات الاختلاس والتزوير للأعوام 2004/2005/2006 وكانت كالآتي:[2]
جدول رقم (42) حالات الاختلاس والتزوير بالبنوك السودانية للأعوام 2004-2005-2006م45
نوع الاختلاس
2004
2005
2006
التلاعب في حسابات العملاء
7
6
8
التلاعب في التوريدات النقدية
5
1
3
شيكات مقاصة
1
0
0
الخزينة
2
0
1
التلاعب في حسابات الارباح والخسائر
1
0
0
التحاويل
1
0
0
التلاعب في المخزون
0
0
1
الاجمــــالي
17
7
13



[1] ورقة من بنك السودان عن بعض المخالفات المصرفية على المترتبة عن تقنية العمل المصرفي

[2]الاحصائية تمثل فقط حالات الاختلاس التي تبلغ لبنك السودان المركزي بواسطة البنوك التجارية بمعنى انه قد تكون هناك مخالفات لم تبلغ لبنك السودان.


 

رد مع اقتباس
قديم 04-12-2009, 01:56 PM   #24
عضو مميز


الصورة الرمزية المحايد
المحايد غير متصل

بيانات اضافيه [ + ]
 رقم العضوية : 23
 تاريخ التسجيل :  Feb 2009
 أخر زيارة : 03-26-2011 (09:15 PM)
 المشاركات : 189 [ + ]
 التقييم :  10
لوني المفضل : Cadetblue
افتراضي رد: بحث مقدم لنيل درجة الماجستير في نظم المعلومات



الفصل الخامس

التوصيات


5-.. مقدمة
يظهر جلياً من نتائج الدراسة وجود مهددات ومخاطر كبيرة تواجه استخدام التقنية في العمل المصرفي بالسودان وأن معظم هذه المهددات والمخاطر حتى الآن داخلية ، وقد قسم الباحث التوصيات إلى توصيات خاصة لسد الثغرات في البنوك السودانية في الوقت الراهن وتوصيات لوضع حلول شاملة لحماية نظم المعلومات عامة بما فيها المصارف من المخاطر والمهددات التي ستجابهها مع التوسع في تقديم خدمات مصرفية متنوعة باستخدامات التقنيات الحديثة لمواكبة التطور في العالم .

أولاً التوصيات الخاصة
5-1. توصيات لسد الثغرات في البنوك السودانية في الوقت الراهن
بالنظر إلى المشاكل والسرقات التي تمت في البنوك من نتائج الاستبانة والمقابلات التي أجراها الباحث وتقرير بنك السودان نرى أن معظم المشاكل تنحصر في سوء إدارة مستخدمي النظم، ومشاكل كلمات السر، وضعف الرقابة المصرفي نتيجة لضعف التقارير الرقابية، وعدم وجود سياسات ومواصفات ومعايير واجراءات أمنية، هذا بالإضافة للفجوة المعرفية الكبيرة بين التقنيين والتنفيذيين لعدم وضوح المهام وقلة التدريب وعدم مشاركة الموظفين التنفيذين في تطوير النظم، وعدم معرفة الموظفين وجهلهم بالمخاطر الامنية والثقة المفرطة وسوء إستغلال هذه الثقة.
وعليه يمكن حصر التوصيات الخاصة بمعالجة أوضاع البنوك بالسودان الآن في الوضع الراهن في النقاط الآتية:
1. إنشاء دائرة خاصة لأمن المعلومات تزود بكوادر مؤهلة لإدارتها ومنحها صلاحيات قوية تؤهلها لتطوير وتطبيق السياسات الأمنية وذلك بدعم الإدارة العليا لها.
2. رفع الوعي الأمني لدى جميع موظفي البنوك على اختلاف مستوياتهم وذلك بعمل دورات تدريبية خاصة مع عمل إصدارات دورية.
3. عمل كتيب بملخص السياسات والمعايير والمواصفات القياسية مع إقرار وتعهد أمني Security Undertaking يوقع عليه جميع الموظفين بمختلف مستوياتهم الإ دارية بعد قراءة الكتيب والاطلاع عليه.
4. ألاَ يتم إجراء أي تعديل أو إلغاء من النظام المصرفي إلا بنظام تحكم ثنائي أي أن يقوم طالب العملية بإجراء العملية ومن ثم تتم الموافقة عليها من قبل المشرف أو المدير من خلال النظام بعد الاطلاع على القيود وعلى مستند طلب الإلغاء.
5. لمعالجة سوء استخدام الشاشات المفتوحة من قبل الموظفين يجب تركيب برامج لحماية الشاشة ، ونظام الوندوز مزود ببرامج حماية الشاشات فما عليهم إلا إختبار عدم تعارضها مع البرامج التطبيقية ومن ثم تفعيلها، هذا بالإضافة إلى تضمين مثل هذه الميزة في البرامج التطبيقية بحيث تغلق النظام بعد فترة معينة من الزمن إذا ترك من غير عمل.
6. ولمعالجة سوء استخدام كلمات سرالآخرين لتنفيذ عمليات مالية يجب إضافة الميزات التالية بالبرامج التطبيقية :
· ربط رقم المستخدم بموقع معين بالشبكة إذا أمكن، وذلك لمنع استخدام اسم المستخدم أو رقمه في شاشة أخرى غير شاشة أو موقع صاحب الرقم حتى لو عرفت كلمة سره من قبل الآخرين.
· إضافة ميزة إغلاق رقم المستخدم بعد ثلاثة محاولات فاشلة وذلك لمنع محاولة الدخول على النظام بتخمين كلمة السر.
· لتطبيق سياسة صارمة تجاه كلمة السر، إذ يجب وضع مواصفات قياسية لكلمة السر من حيث عدد الحروف وتنوعها بالحروف والارقام والرموز، وعدم تكرار الحروف، وعدم إعادة استخدام نفس الكلمة حتى انقضاء فترة من الزمن وليكن عاماً، وطلب تغير الكلمة بصورة دورية، وتضمين هذه المواصفات في البرامج التطبيقية لفرض السياسة على جميع المستخدمين.
· إمكانية تجميد المستخدم بعد عدم استخدامه لفترة من الزمن.
7. تطبيق الإدارة الثنائية في إنشاء المستخدمين بالنظم وفي منح الصلاحيات .
8. يجب تطبيق السياسات المبنية على المهام الوظيفية ، بمعنى أن تجمع الوظائف ذات الصلاحيات المتشابهة معاً، مثل صلاحيات الصراف – صلاحيات المشرفين – صلاحيات المدراء بحيث لا يتجاوز أحد حدود صلاحياته.
9. تزويد النظام بإمكانية إصدار تقارير رقابية خاصة بإدارة المستخدمين تصدر يومياً وبصورة آلية وتعكس كل الأنشطة التي تمت على سجل المستخدمين من إضافة وحذف وتعديل ويراجع ويوقَع عليه من قبل المدير.
10. تزويد النظام بإمكانية إصدار تقارير لكل المستخدمين يعكس كل الأنشطة التي تمت لكل مستخدم.
11. لمعالجة مشاكل تعطل النظم وعدم إستمرارية الخدمة يتم طباعة تقرير شامل بأرصدة العملاء للإستمرار في تقديم الخدمة يدوياً في أسوأ الفروض.
12. مراجعة قائمة المستخدمين بالنظم التشغيلية وإلغاء جميع المستخدمين الغير نشطة.
13. إصدار تقرير يومي بالحسابات الداخلية غير النشطة ومراجعة الحركات التي تجرى فيها مقابل المستندات.
14. إصدار تقارير بالتغييرات التي تحدث على وضع الحسابات كالحسابات التى يتم تجميدها والحسابات المغلقة وبالحسابات التي تم تنشيطها والحسابات التي أزيل تجميدها أو إيقافها
15. إصدار تقارير بالحساب ذات الأرصدة الكبيرة ومراقبة حركاتها.
16. فصل شبكة بيئة التطوير عن بيئة التنفيذ فعلياً أو إفتراضياً
17. عدم السماح للمبرمجين والإختصاصين الفنيين من إجراء التعديلات مباشرة على برامج النظم في بيئة التنفيذ.
18. عدم ربط البيئة التنفيذية الداخلية بالبيئة الخارجية بما فيها الإنترنت إلا إذا دعت الضرورة لذلك، في هذه الحالة يجب تطبيق سياسة صارمة لذلك من حيث فصل الشبكات وتركيب وسائل حماية قوية من طوق أمني و خلافه.
19. بما أن معظم الأعطال ناتجة عن إصابة الأنظمة بالفيروسات والبرامج الخبيثة فعلى البنوك وضع إستراتيجية شاملة لمكافحة الفيروسات وذلك بجلب وتركيب برامج المكافحة المعروفة والمشهود لها بفاعليتها، بحيث تشمل الإستراتجية تركيب برامج مراقبة واكتشاف الفيروسات وبتوفيق البرامج بالخوادم بحيث لا تسمح للأجهزة الطرفية بالدخول إليها إذا لم تكن بها برامج إكتشاف الفيروسات وحديثة ومتوائمة مع ما بالخادم من برامج الحماية كما يجب أن تتضمن الاستراتيجية عدم نقل أو جلب البرامج والبيانات لنظم البنك بأي وسيلة ما لم يتم فحصها وتوثيقها من قبل الجهة المختصة بالبنك بخلوه من الفيروسات والبرامج الخبيثة.
20. في دولة مثل السودان مستهدفة من قبل الأعداء داخلياً وخارجياً ويعج بالصراعات المسلحة فلا بد من حفظ المعلومات البنكية في مكان آمن خارج البنك وخارج المدينة ما أمكن، وذلك بوضع خطط لدرء الكوارث وإنشاء مراكز تجهز بالأجهزة ويتم ربطها ما أمكن بشبكة البنك بحيث يتم تحديثها يوميا عبر الشبكة أو يدوياً وتكون مواكبة للتغيرات التي تحدث في حسابات البنك والعملاء وذلك لضمان وإستمرارية الخدمة للعملاء.
ولما للمستندات من أهمية ومتطلبات القوانين تجاه مدة حفظ المستندات وضرورة وجود اصولها في فض النزاعات، فلا بد من نقل المستندات إلى مركز درء الكوارث وتصويرها عبر برامج ووسائل مختلفة مثل الميكروفيلم أو Imaging System .
21. سد الفجوة المعرفية بين التنفيذيين والتقنيين بالبنوك وذلك بالتدريب المستمر وتحديد مهام كل طرف بوضوح وإشراك التنفيذيين في المراحل المختلفة من إختيار أو تطوير وإعداد النظم التقنية المصرقية.
22. قيام البنك المركزي السوداني (بنك السودان) بفرض الإطار العام للسياسات الامنية لحماية نظم معلومات المصارف وحقوق المودعين،وذلك بالمتابعة والتفتيش المستمر للتأكد من إلتزام البنك في تطبيق السياسات بدقة.



ثانياً : توصيات وحلول لحماية شاملة لنظم المعلومات:
نتناول هنا بالدراسة والتحليل الإجراءات التي يرى الباحث أنها كفيلة لحماية البنوك والمصارف من التهديدات الأمنية المتطورة بشكل دراماتيكي، وتتضمن الدراسة الأسس والإجراءات الإدارية والفنية.

5-2. أسس أمن النظم والمعلومات ووسائلها:[1]
تتمثل أسس ووسائل أمن نظم المعلومات وحمايتها في أساسيات أمن المعلومات، وتحديد المسؤوليات والواجبات، وتصنيف المعلومات وتحديد حساسيتها ودرجة أهميتها، بالإضاف إلى تحديد معايير تقييم الحساسية والسرية.

5-2-1. أساسياتأمن نظم المعلومات[2]
يهدف أمن النظم والمعلومات وحمايتها في سعيه لتوفير الأمن والحماية للمنشآت في شتى قطاعاتها إلى تحقيق أساسيات الأمن المتمثل في (C.I.A.) سرية البيانات Confidentiality وكاملية البيانات Integrity وتوفر الخدمة Availability:
· سرية البيانات Confidentiality.
وتعني سرية وخصوصية البيانات والمعلومات لدى المنشآت وإدارة أمن النظم والمعلومات معنية بتوفير هذه الحماية والخصوصية بالنظم والأجهزة بتطوير السياسات وتطبيق الإطار العام لأمن المعلومات.
· كاملية البيانات Integrity:
وتعني سلامة وكاملية المعلومات وعدم تعرضها للتغيير والتبديل إلاّ من خلال القنوات الرسمية وبطريقة شرعية من خلال صلاحيات ممنوحة لهذا الغرض لضمان ذلك لابد من توفير الوسائل والبرامج والإجراءات الرقابية.
· توفر الخدمة Availability:
وتعني جاهزية وتوفر الخدمة متمثلة في مقدرة مستخدمي النظم والبرامج في استخدام النظام والحصول على المعلومات عند الحاجة والطلب، ولا يتأتى ذلك إلا بأخذ التحوطات اللازمة لمنع ما يمكن أن يؤدي إلى الفشل سواء كان الفشل ناتجاً عن المهددات الداخلية أو الخارجية أو نتيجة لخلل بالأنظمة والبرامج.
وبما اننا لانستطيع ان نعيش بمعزل عن العالم دون الاستفادة من التطور التقني في شتى مجالاته، كان لابد لنا من الاهتمام بالجانب الامني بقدر اهتمامنا بالتطبيقات التقنية، وتتوقف نوع ومستوى ودرجة الحماية المطبقة، على اهمية وحساسية وسرية المعلومات، كما ان طبيعة النشاط تلعب دورا أساسياً في وضع استراتيجية الحماية.و قبل ان نحدد نوع الحماية ودرجتها، علينا ان نقوم بما يلي:

5-2-2. تحديد المسؤوليات والواجبات:
الإدارة العليا هي المسؤولة من توفير الأمن والحماية للمنشأة وهذه المسؤوليات تتدرج من مستوى إداري إلى آخر.
· مسؤولبة قمة الهرم الإداري
تضع الأطار العام وتقر بمسؤويتها عن حماية المنشأة وأصولها.
· مسؤولية إدارة أمن نظم المعلومات
تقع المسؤولية على عاتق إدارة متخخصة ومناطة بطبيق رغبة الأدارة العليا في حماية المنشأة وأصولها وذلك بتطبيق السياسات الأمنية.
· مسؤولية مالك البيانات والمعلومات
تؤول الملكية إلى الأدارة العليا وهي المسؤولة من وتصنيف المعلومات وتحديد درجة سريتها وحساسيتها وعليهم تحديد نوع الحماية المطلوبة وتحديد الصلاحيات الممنوحة للمستخدمين.
· مسؤلية خدمة البيانات والمعلومات
وتتم عادة من موظفي التقنية وهو المسؤول من أدارة النظم وصيانة المعلومات وتحديثها وعمل النسخ الوقائي.
· مسؤولية المستخدمين
هم الأشخاص الذين يقومون باستخدام البيانات بشكل روتيني من خلال الصلاحيات الممنوحة لهم لأداء العمل بصورة لا يشكل تهديداً لأمن النظم والمعلومات بالمنشأة وتقع حدود مسؤوليتهم في الاستخدام الشرعي للنظام في حدود صلاحياتهم.

5-2-3. تصنيف المعلومات وتحديد درجة اهميتها وحساسيتها وسريتها
هناك تصنيفان لتحديد سرية وحساسية المعلومات وهي قطاع الأعمال والقطاع العسكري، ويهمنا هنا، التصنيف الخاص بقطاع الأعمال، وتصنف كالآتي:

· سري Confidential .
· خاص Private .
· حساس Sensitive .
· عامPublic .
بعد التصنيف على المنشأة وضع محددات التصنيف حتي تتمكن وضع درجات سرية وحساسية المعلومات، والقائمة الأتية تبين بعض المحددات التي يمكن استخدامها.

5-2-4. محددات تقييم وتصنيف السرية والحساسية:
لتقييم وتصنيف مدى سرية وحساسية المعلومات بالمنشأة ولتحديد نوع ودرجة الحماية الأمنية، فلا بد من إيجاد محددات لذلك وتتمثل في الآتي:
· فائدة المعلومات
· أهمية وقيمة المعلومات
· عمر المعلومات
· حجم الخسائر التي قد تلحق بالمنشأة عند كشف المعلومات.
· حجم الخسائر التي قد تلحق بالمنشأة عند حدوث تعديل أو تلف بالمعلومات.
· القوانين واللوائح والمسؤوليات الخاصة بحماية المعلومات.
· ما مدى ثأثر الأمن القومي بهذه المعلومات؟
· من المصرح له باستخدام المعلومات؟
· من الذي سيقوم بصيانة المعلومات؟
· أين ستحفظ المعلومات؟
· من الذي يمكن إعادة إصدار المعلومات؟
· أي نوع من المعلومات يحتاج إلى تصنيف خاص؟

علماً بان تكلفة الحماية - غالبا- ما تكون عالية جداً، وعليه فان الادارات العليا صاحبة القرار- لها الخيار في حماية أنظمتها، او تحمل المخاطر اذا ما رأت في ذلك مصلحة للمنشأة، إذ لا يعقل ان نحمي ماقيمته عشرة دولارات بتكلفة قدرها الف دولار.



5-3. خطوات وإجراءات حماية البنوك والمصارف:
سنتناول هنا الخطوات والإجراءات العملية التي تؤمن المنشآت بصفة عامة و المنشآت المالية من بنوك ومصارف بصفة خاصة لما لهذه المنشآت من حساسية وخصوصية وعلاقة مباشرة مع أصحاب الأموال، وهذه الخطوات تحتاج إلى إجراءات فنية وإدارية نوردها في الصفحات التالية:

5-3-1. الأهداف الأمنية بالقطاع المصرفي
إذا نظرنا إلى الأهداف الأمنية بالقطاع المصرفي فإنه يسعى إلى تحقيق الأهداف العامة الأساسية لأمن النظم والمعلومات ولكن بدرجات متفاوتة كل حسب طبيعة نشاطه ونوع الخدمات والمنتجات التي يقدمها ودرجة حساسية وسرية المعلومات وأولويات حمايتها . هذا بالإضافة إلى أن درجة إعتماد البنك على التقنيات الحديثة وشبكات المعلومات يتحكم في الأهداف المنشودة، وهذه الأهداف تتمثل في الآتي[3]
· الحماية من السرقات والاختلاسات المالية.
· تفادي التعديل غير المقصود وغير المتعمد على الحركات المالية.
· الحماية ضد الاستخدام غير الشرعي للنظام.
· ضمان سلامة وكاملية الحركة المالية .
· ضمان عدم نكران العملاء لما نفذوها من عمليات وحركات مالية.
· ضمان الحفاظ على خصوصية وسرية معلومات العملاء.
· حماية المعلومات الحساسة وعدم كشفها بطريقة غير مصرح بها.
· اصباغ الصفة القانونية على الحركات المالية الموثقة بالتوقيع الإلكتروني.
· ضمان استمرارية تقديم الخدمة للعملاء.
· التعرف على العملاء.
· حماية الأرقام السرية للعملاء.
· التأكد من مصدر الحركة المالية.
· الرقابة والتحكم في الدخول على النظام ومنح وتخويل الصلاحيات.
ولتحقيق هذه الاهداف في ظل التهديدات الأمنية، لابد لاي منشأة من اتخاذ الخطوات والاجراءات الكفيلة بحماية المنشأة. ولا يتأتى ذلك إلاّ بإنشاء إدارة مختصة لأمن النظم والمعلومات، تطوير السياسات والمواصفات القياسية والاجراءات مع الإلتزام التام بتطبيق وتنفيذ السياسات والإجراءات الأمنية.

5-3-2. إنشاء إدارة مختصة لأمن النظم والمعلومات:
أن التطور السريع في عالم جرائم الحاسوب سابقة لوسائل وبرامج الحماية، لذا لابد من تخصيص جهة محددة لادارة هذه التغيرات ومواكبتها وسد الثغرات بمسؤولية وحيادية، لذا كان إنشاء دائرة مستقلة مهيأة بكوادر مؤهلة وذوي خبرة، على أن تتمتع هذه الادارة باستقلالية تامة وأن توضع في الهيكل التنظيمي في موضع يجعلها تعمل بفاعلية ودون مؤثرات وضغوط من الإدارات الأخرى، وتستمد هذه الادارة قوتها من قناعة ودعم أدارة المنشأة العليا لها.
إن ادارة أمن النظم والمعلومات مناطة بعدة مهام نجملها في الاتي:
· تطوير السياسات والمواصفات القياسية والإجراءات الأمنية وتطبيقها.
· المشاركة في تطوير وتقييم وإعتماد جميع النظم.
· مراجعة وتقييم النظم القائمة وتصحيح أوضاعها .
· جلب وتركيب البرامج الخاصة بالحماية.
· إدارة نظم الدخول للنظم ومنح الصلاحيات
· مراجعة التقارير الرقابية.
· تقديم الاستشارات الأمنية.
· مرقبة أجهزة ونظم الحماية وتنفيذ الإجراءات المناسبة في حالة التجاوزات والإختراقات.



5-3-3. تطوير السياسات والمواصفات القياسية والاجراءات:[4]

5-3-3-1. السياسات الأمنية:
السياسة هي مجموعة من القوانين المنظمة لكل الأنشطة ذات الصلة في موقع ما، وهذه السياسة تصدرها جهة مسؤولة تقر بمسؤوليتها تجاه أمن وحماية معلومات المنشأة من جميع مصادر التهديد.
السياسة تعبير عام وفضفاض تشمل مواضيع عديدة، ولتطبيقها بسهولة لابد من تطوير إطار عام للسياسة الأمنية وتتمثل المواصفات القياسية Standards والخطوط العريضة Baselines والدليل الأمني Guidline والإجراءات Procedure . وهناك فرق بين الأهداف الإسترتيجية والأهداف التكتيكية لسياسات الأمنية ، فالأهداف الاستراتيجية هي الأهداف المنشود تحقيقها في نهاية المطاف وهي تتجسد في السياسة الأمنية، بينما تمثل الأهداف التكتيكية الخطوات اللازمة إتخاذها وتطبيقها لتحقيق الأهداف المنشودة، وتتجسد الأهداف التكتيكية في المواصفات القياسية والخطوط العريضة والدليل الأمني والإجراءات.

· المواصفات والمعايير القياسية Standards.
المواصفات القياسية بالمنشأة هي التي تحدد كيفية تهيئة وإعداد وتنفيذ عمل الأجهزة والبرامج وذلك لضمان أن كل خطوات توفيق البرامج تم بصورة متطابقة وبطريقة موحدة.
· الخطوط العريضة Baselines.
الخطوط العريضة هي الحد الأدنى من متطلبات أمن النظم والمعلومات التي يجب توفرها قبل الشروع في بناء السياسات الأمنية، والمواصفات القياسية تبنى عادة من الخطوط العريضة لأمن النظم والمعلومات.


· الدليل الأمني Guideline.
الدليل الأمني عبارة عن توصيات إجرائية ودليل تشغيل وتنفيذ عمل للمستخدمين من موظفي التقنية ومشغلي الحاسوب والآخرين من ذوي العلاقة عندما لا تكون هناك سياسة أو موصفات لتطبيقها، ويستدل الموظف بالدليل لتنفيذ العمل المعني‘ إذ أن الدليل يتمتع بمرونة التطبيق على عكس المواصفات التي يجب إتباعها وتطبيقها بدقة.

· الإجراءات Procedure.
والأجراءات كما هي واضحة من إسمها معنية بتفاصيل تنفيذ أي عمل خطوة بخطوة ، وهذه الخطوات تنطبق على المستخدمين وموظفي التقنية ومشغلي الحاسوب، والإجراءات هي الدرجة السفلى من درجات السياسة الأمنية لأنها معنية بالتفاصيل وتتعامل مع الحاسوب مباشرة مثل تركيب البرامج وتوفيقها وتنفيذها.

5-3-3-2. أنواع السياساتTypes of Policies
هناك ثلاثة أنواع من السياسات الأمنية مصنفة على حسب إلزامية السياسة وتطبيقها فهناك سياسات ملزمة التطبيق وأخرى توضيحية إرشادية وسياسات تعليمية.[5]

· سياسة تنظيمية ملزمة Regulatory
هذه السياسة تصاغ للتأكد من أن المنشأة تطبق وتنفذ المواصفات القياسية التى تم كتابتها من قبل جهات محددة والتي قد تم تعميمها بقوة القانون، والمعني بها المنشآت المالية والصحية ومنشآت ومصالح الخدمات العامة.


· سياسة نصحية توضيحية Advisory
هذا النوع من السياسة تصاغ لتقديم النصح بشدة لتوجيه سلوك أو أنشطة ستطبق بالمنشأة، وأيضاً لتوضيح الآثارالمترتب لعدم تطبيق السياسات للموظفين، وهذه السياسة تطبق في المعلومات الطبية، الحركات والقيود المالية ولمعالجة المعلومات السرية الأخرى.
· سياسة تعريفية Informative
ونوع هذه السياسة تصاغ لتعريف الموظفين بامور محددة وهي ليست قابلة للتطبيق الإلزامي بقدرما هي لتعليم الموظفين بأمر ما ذي علاقة بالمنشأة، كأن يعرف الموظف عن كيفية التعامل مع الشركاء، وتوضيح أهداف الشركة وطريقة ونظام كتابة وتقديم التقارير.

5-3-3-3.مستويات السياسات الأمنية
ويمكن تقسيم وتصنيف السياسة الامنية إلى:
· السياسة العامة
السياسة العامة تعبير أو إفادة عن مدى رغبة المنشأة في حماية مواردها.

· السياسة الأمنية للمنشأة:
السياسة الأمنية للمنشأة هي مجموعة القواعد والقوانين والإجرآءات والمواصفات التي تنظم كيفية إدارة وحماية وتوزيع مصادر المعلومات من أجل تحقيق أهداف السياسة الأمنية.
· السياسات الأمنية للنظم:
السياسة الأمنية للنظم تعبير لإدارة اي نظام من النظم والبرامج التطبيقة وبتطبيق الإطار العام للسياسة من مواصفات قياسية وإجراءات بما يضمن تحقق أهداف السياسة الأمنية للمنشأة.



شروط نجاح السياسات في حماية المنشآت:
لضمان تطبيق السياسات تطبيقاً فعلياً وتنفيذها من قبل المعنيين فلا بد من توفر الشروط الآتية عند صياغة السياسة وتطويرها وتطبيقها
· شمولية السياسة الأمنية
· مشاركة الجهات المعنية وذات الصلة في تطوير السياسة
· مراجعة السياسة بصفة دورية لمواكبة التطورات والتهديدات المستجدة
· تحديد المسؤوليات بوضوح
· عدم المغالاة في التطبيق
· اطلاع الموظفين على السياسات الأمنية




[1]The CISSP All-in-one Certification Exam Guide, By Shon Harris, Published by Mcgraw-Hill/Osborne 2600 Tenth Street, Berkely, California 94710, U.S.A. 2002, Page 63

[2]The CISSP All-in-one Certification Exam Guide, By Shon Harris, Published by Mcgraw-Hill/Osborne 2600 Tenth Street, Berkely, California 94710, U.S.A. 2002, Page 63

[3]Computer communications security. By Warwick Ford 1994, Page 13

[4]The CISSP All-in-one Certification Exam Guide, By Shon Harris, Published by Mcgraw-Hill/Osborne 2600 Tenth Street, Berkely, California 94710, U.S.A. 2002, Page 93

[5]Michael Gregg, CISSP Exam Cram 2, Published by Paul Boger, 2005, page 46


 

رد مع اقتباس
قديم 04-12-2009, 02:02 PM   #25
عضو مميز


الصورة الرمزية المحايد
المحايد غير متصل

بيانات اضافيه [ + ]
 رقم العضوية : 23
 تاريخ التسجيل :  Feb 2009
 أخر زيارة : 03-26-2011 (09:15 PM)
 المشاركات : 189 [ + ]
 التقييم :  10
لوني المفضل : Cadetblue
افتراضي رد: بحث مقدم لنيل درجة الماجستير في نظم المعلومات



5-3-4. تطبيق السياسات الأمنية
ترتكزتطبيق سياساتأمنالنظموالمعلومات وحمايتها عليثلاثةمحاورهي: التحوط Prevention والإكتشاف Detectionوالتصويب .Correction

اولاً : التحوط Prevention

تهدف امن النظم والمعلومات إلى عمل التحوطات اللازمة لحماية المنشأة من المخاطر والمهددات الأمنية قبل حدوثها وذلك بتطبيق السياسات الامنية والمواصفات القياسية والإجراءات لحماية نظم معلومات المنشأة المتمثلة في:

5-3-4-1. حماية البيانات.
إن حماية البيانات هو المقصد النهائي من امن النظم والمعلومات ولابد من أن تشمل الحماية جميع الإجراءات الفنية للنظم والأجهزة والإجراءات الإدارية المتبعة في المنشأة وتتمثل في:

· حماية النظم والبرامج التشغيلية
أفضل حماية لمعلومات الحاسب يمكن الحصول عليها بتطبيق عدة مقاييس أمنية في آن واحد لأن نظام التشغيل هو الذي يشرف على وصول المستفيد إلى البيانات داخل الذاكرة ولا يتأتى حماية نظم التشغيل إلا من خلال إدارةالنظمبصورةفاعلة ومعتوافقكلي معسياساتالنظم والتحكم في التعديلات وسد الثغرات وفرض سياسات فصل مهام المبرمجين وعزلالإتصالالمباشربالبيئةالخارجيةإلاً منخلالوسائل وبرامج الحماية والحرص على تطبيق الإجراءات الآتية:
o تركيبواستخداماالبرامجالأصليةوالمرخصةفقط
o تحديث وترقية البرامج التشغيلية لسد الثغرات
o الحمايةضدالبرامجالضارة Malicious
o الحمايةضدالفيروسات وذلك بوضعإستراتيجيةشاملةلمكافحةالفيروسات وجلبوتركيببرامجالمكافحة Antivirus المعروفةوالمرخصة ومواكبة تحديثها بصفةدورية.
· حماية قواعد البيانات:
قاعدة البيانات كأي مكون آخر للحاسوب تكون عرضة للتغيير سواء كانت متعمدة أو غير متعمدة، ولحماية البيانات لا بد من إختيار نظام تشغيل ذي كفاءة أمنية، ولكن للأسف حتى نظم التشغيل المعقدة بها ثغرات تسمح بتسريب غير شرعي للمعلومات.وعموماً فإن التشفير يمكن استخدامه بسهولة لفرض حماية كل سجل البيانات المخزنة في الذاكرة المساعدة، مثل هذا له فائدة لأن كل البيانات في قاعدة البيانات تكون مخزنة بصيغة نصوص مشفرة ولايمكن قراءتها إلاّ من قبل الذين يملكون مفتاح الشفرة المطبقة، ولأن التشفير يتم تحت إشراف نظام التشغيل لذا فإن تناقل المعلومات بين الحاسبة والذاكرة المساعدة يكون محميا أيضا[1]ً.

¨ فرضنظامالتحكمفيالدخولعلىالنظم Access control
صاغ العالمان سالترز وسكرودر عدة مبادئ تصميمية لابد من أخذها في الاعتبار عند تصميم آلية سيطرة الوصول ومنها:[2]
o مبدأ التصميم المفتوح The open design system
ويعنى أن آلية سيطرة الوصول يجب ألا يعتمد على أمنية النظام.
o مبدأ التفكير العميق The complete mediation principle
ويعني التحقق والتدقيق قبل الوصول المنفرد إلى خدمة معينة
o مبدأ الصلاحية الأقل The least privilege principle
ويعني إعطاء المستخدم المجموعة الدنيا من الصلاحية لغرض إتمام عمله
o مبدأ إقتصاد الآلية The economy mechanism principle
ويعني سهولة الآلية ما أمكن ذلك بحيث يمكن إختبارها كلياً بعد التحقيق من صحتها.
o مبدأ الدخول The accessibly principle
عدم سهولة الآلية وعدم قابلية التطبيق يؤدي إلى سوء استخدامها للوصول غير الشرعي.
وعموماً يجبتطبيقسياسةصارمةفيتنفيذوإدارةنظام الدخول والوصول، ويطبقفيهالإدارةالثنائيةبحيثيمنحأحد المسؤولينالصلاحياتوالآخر يوثقها، على أن تطبق فيه منهج المنع الكلي بحيث أن تمنح صلاحية الدخول حسب الحاجة فقط أو تطبق منهجالسماح الكلي للدخول للنظام وفيه تمنح جميع الصلاحيات ومن ثم تمنع عنه بعض الصلاحيات.
ومسوغات الدخول لاستخدام النظام تتمثل فيالتعريف والتوثيقوالتفويض.

o التعريف Identification
ويتمتعريف المستخدم للنظام باسمالمستخدم User Name أو رقمالبطاقة أوبهما معاً.

o التوثيق Authentication
التوثيقهوالجزءالأساسيوالمهمفيسياسةأمناستخدامالنظموالذييتحققالنظاممنخلاله عنالمستخدمويتمذلكبإحدىالطرقالاتية:
ü شئماتعرفهSomething you know ومتمثل في الرقمالسري، لكلمةالسر.
ü شئماتحمله Something you have ومتمثل في المفاتيح، البطاقاتالممغنطةوالبطاقاتالذكية
ü شيئمافيذاتك Biometrics authentication (Something you are) ومتمثل في بصماتالاصابع Fingerprint، مسحشبكةالعين Retina scans، التعرفعلىالصوت Voice recognition والتوقيعاليدوي Hand writing dynamics.

o التفويض Authorization
ويعنيمنحالصلاحياتعلىمبدأمنيفعلماذا، وما الذييجبأنيطلع عليه" "Need to Know Need to do Basis” وهناكعدةسياساتلمنحالتفويضوالصلاحياتمنها:
ü السياسةالمبنيةعلىالأفراد، وفيهاتمنحصلاحياتمحددةلكلفرد.
ü السياسةالمبنيةعلىالوظائف، وفيهاتمنحمجموعةصلاحياتمتشابهةلأفرادذوي وظائفمتشابهة.
ü سياسةصلاحيةالمستوياتالمتعددة، وتمنحهذهالصلاحياتللنظمذاتالمعلوماتالحساسة.

¨ عمل النسخ الوقائي:
الحاسوب كأي جهاز إلكتروني معرض للخلل والتلف في أي لحظة سواء كان التلف ناتجاً عن خلل في النظام أو الجهاز كما سبق توضيحة أو لتعرضها لإحدى المخاطر والمهددات المذكورة آنفا،ً لذا كان عمل النسخ الوقائي بصورة يضمن الرجوع للعمل دون خسائر أو بأقل قدر من الخسائر أمراً ضرورياً وهي من أساسيات أمن النظم والمعلومات وحمايتها. كما يجب على المنشأة الحرص على عمل النسخ الوقائي بصورة يضمن لها إسترجاع المعلومات في قت وجيز وبأقل جهد، بناءً على السياسة والفلسفة المتبعة ويتم ذلك بصفة دورية:
o النسخ اليومى
o النسخ الأسبوعي
o النسخ الشهري
o نسخ النظم والبرامج التشغيلية أيضاً كل ما تم تحديثه
o حفظ أشرطة النسخ في مكان خارج مبنى الحاسوب

¨ التحكمفيتركيبالبرامجالجديدةوالتعديلات Change Control:
إن عدم تطبيق السياسة المتعلقة بادارة عمليات الحاسوب قد تسبب الكثير من المشاكل ، للجزء الخاص بتركيب البرامج الجديدة والتحديث والترقية والتعديلات التي تطرأ على النظم والبرامج ، لذا لابد من وضع ضوابط تؤُمَن تطبيق السياسات والمواصفات القياسية. ولضمان ذلك فلا بد لها أن تمربالمراحل الرقابية الآتبة:

¨ إختبار البرامج والنظم واعتمادها.
لاعتماد أي نظام بالمنشأة لا بد من إختبار صلاحية النظام أو البرنامج من حيث الأداء الوظيفي والقدرة على المواكبة والمواءمة وأنه متوافق مع سياسات التقنية الأمنية للمنشأة، ولا بد من توافر الشروط الأتية كحد أدنى:
o الموافقة الخطية النهائية من الجهات ذات الصلة.
o مراجعة المستندات للتأكد من مطابقتها للسياسات والمواصفات القياسية.
o إرفاق خطة إستئناف العمل لحالة فشل البرامج.
o منع أي تعديلات مباشرة في بيئة العمل التشغيلي Production
o التأكد من عدم وجود كود البرامج في بيئة العمل Production.

¨ فصل وظائف ومهام موظفي التقنية:
إن تداخل المهام والإختصاصات دائماً ما تحدث إرباكاً وخلطاً في العمل وتهدد أمن المعلومات وحمايتها لذا وجب فصل المهام في التعامل مع النظم، فلا تمنح أكثر من صلاحية لشخص واحد. ومن أمثلة ذلك:
o فصل مهام المبرمجين عن مهام المشغلين
o فصل مهام مدخلي البيانات عن مهام ذوي الصلاحيات
o فصل مهام مديري النظم عن بعضها البعض عند منح الصلاحيات.


5-3-4-2. حمايةالاتصالاتوالشبكاتCommunication & Network Protection
انالشبكاتوالاتصالاتهيمنفذالمنشأةللعالمالخارجيوإنعدموضعالخططوالبرامجلحمايةالشبكاتيعرضمعلوماتالمنشأةلمخاطرجمةلايمكنالتكهنبها، وهناكعدةطرقووسائللحمايةالشبكاتوتتمثلفي:
· التشفير Encryption
التشفير عبارة عن دراسة التقنيات المتعلقة بعدد من مظاهر أمنية المعلومات مثل الوثوقية وتكامل البيانات وإثبات شخصية الكينونة وإثبات مصدر البيانات هذا بالإضافة لضمان عدم الإنكار، وهذه المظاهر الأمنية هي أهداف التشفير.[3]
تتمعمليةالتشفيربعدةطرق،يلعب فيه نوعالمعلوماتودرجةسريتهاوحساسيتهافيتحديدالوسيلةالمستخدمةفيالتشفيروالوسائلهي:
o تشفيرالبيانات،وتتمباستخدامبرامجخاصةمبنيةعلىمعادلاترياضيةوتتوقفقوةوضعفهذهالطريقةعلىطولأوقصرالمعادلةوعددمراتمعالجاتالتشفير.
o تشفيروسائطالنقلياستخدامأجهزةمتخصصة بذلك .
· فصلالشبكاتعنبعضها
ونعنيهنافصلالشبكاتالداخليةبطريقةيسهلأدارتهاوالتحكمفيهاوحمايتهاوهنانحرص علىفصلبيئةتطويرالنطم Development عنبيئةالتشغيلوالعمل Production. فلا يجب منح صلاحية الدخول للمبرمجين إلى بيئة التشغيل، ولا يتأتى ذلك إلا بفصل الشبكات عن بعضها البعض.

· الطوقالأمني Firewall
هيعبارةعن أجهزةمصممةبطريقةخاصةومزودةببرامجحمايةأعدتخصيصاًلهاوتستخدمهذهالوسيلةغالباًلحماية الشبكاتالداخليةعنالعالمالخارجيوهناكنوعان من الطوق الأمني وهي التي تعتمد على تحليل البيانات الواردة“Packet Filtering” والنوع الذي يعتمد عل البرامج التطبيقية في التحكم “Application level” وتنتجمنشركاتمختلفةيتمتركيبهاحسب درجة حساسية وأهمية الموقعالمرادحمايته.
· بروكسي Proxy Servers
هيعبارةعننظاميتميزبتفنياتخاصةتستخدملمنعالمستخدممنالوصولمباشرةلمصدرالبيانات ويتم ذلك عادة بوضع جهاز وسيط مزود ببرامج تقوم بدور الوسيط بين المستخدم والمعلومات المصرح له بها.
· التوقيعالرقميوالشهادة الرقمية
تقنيةخاصةتستخدمفيهتشفيرالرسائلالمتبادلةلضمان مصدرالحركةووجهاتهاوتستخدمفيشتىالمناحي الإلكترونيةلضمانالتوثيقوعدمالنكرانفيالتجارة الإلكترونيةوالمصارفالإلكترونيةوالحكومات الإلكترونية.

5-3-4-3. شؤون الافراد والتوظيف .
كلماسبقطرحهمنسياساتوإجراءاتووسائللاتحميالمنشأةمالميأخذالعنصرالبشريفيعينالإعتبارإذأنجلالتهديداتتكمنداخلالمنشأة. والإهتمامبالجانبالبشريتتمثلفي:

· التوظيف Recruitment.
أنطريقةإختيارالموظفمنأهمالعناصرولابدمنالرجوعلخلفيةالموظفومعرفةتأريخهالوظيفيواستخدامالتقنياتالمعروفةفيالتحريوإختيارموظفيالتقنيةبكلدقةوشفافية.
¨ التدريب Training.
إنأكثرمايهددمراكزالبياناتهيالأخطاءالتيترتكبمنقبلالموظفينوخاصةفيمجالالتشغيل،لذاكانلابدمنتدريبالموظفينكلفيمجالهبشكليضمنلهمأداءالعملبكلدقة.
¨ الوعيالأمني Security Awareness
كماسبقلابدمنرفعالوعيالأمنيلدىموظفيالمنشأةوذلكبتطويربرنامجالوعيالأمنيحتىنضمنتطبيقجميعالسياساتالأمنيةدونمشاكلوبتلقائيةويتمذلكبعدةطرقمنها:
o التدريب
o المنشورات
o الملصقات
o البرامجالإفتتاحية
o الندوات
¨ الإنتماء Loyalty
فيعالميزخربالمنافسةلتقديمالأفضل،فإنالمنشآتوالمؤسساتلاتكفعنالبحثعنالكفاءات،وموظفالحاسوبقديكلفالكثيرمنالمالفيالتدريبوالتأهيلوبصفةمستمرة،عليهلابدمن المنشآت والمؤسساتأنتعملفيكسبولاءوإنتماءالموظفينلعدةأسباب :
o ضماناستمراريةالموظف
o ضمانعدمتسريبالموظفللمعلومات
o ضمان عدم تخريبالموظفللنظموالمعلومات
ولايتأتىذلكخاصة لذوي الكفاءات الفنية العاليةإلابتوفر الآتي:
o منحمزاياماديةمجزية.
o الأمنالوظيفي.
o الإعترافبجهوده.
o وضوحالمسارالوظيفي.
o خلقبئيةعملصحي.
¨ تبديل المواقع وعدم التركيزعلى موظف واحد:
من أكبر الأخطاء التي ترتكبها ادارات الحاسوب، إعتمادها على موظفين بعينهم في أداء العمل، إذ أنها بذلك تضع المنشأة تحت رحمة هذا الموظف, ولذا كان لا بد من إتباع سياسة تبادل المهام والتدريب التبادلي ولا يتم ذلك إلا يإحساس الموظف بالأمن الوظيفي ووجود سياسة وظيفية واضحة توضح للموظف مساره الوظيفي.

¨ الإقرارالأمني :Security Undertaking
الإقرارالأمنيتعبيريقرفيهالموظفويوقععليهبأنهقدأطلع علىسياسةالمنشأةعامةوالسياسةالأمنيةبصفةخاصةوأنه سيعرضللإجراءاتالنظاميةفيحالةعدمإلتزامهبماجاءبالإقرار، و يستهدفالإقرارالأمنيإلى:
o أنجميعالموظفينقدإطلعواعلىالسياساتالمعنيةليسهلتطبيقها
o أنمسألةتطبيقالسياسةأمرجادومربوطبمستقبلهمالوظيفي.
o لايستثنىأيفردمنالتوقيععلىالإقرارالأمني.
o علىإدارةأمنالمعلوماتإعدادذلكبالتعاونمعالإداراتذاتالصلة
o علىإدارةشؤوونالافرادتطبيقذلك
o علىإدارةالتفتيشوالمراجعةالتأكدمنتطبيقهاعلىالجميع




[1] منشورات مركز الدراسات الاستراتيجية، أمن المعلومات (4) أمنية نظم التشغيل والشبكات الموزعة ، 2002م‘ ص 18، أ.د عوض حاج علي و د. أمير حسين خلف

[2] المرجع السابق ص 13 و ص 14

[3] أمنية المعلومات وتقنيات التشفير ، 2005م‘ ص 20، أ.د عوض حاج علي و د. أمير حسين خلف، رقم الايداع لدى الدائرة المكتبة الوطنية (1992/8/2004) 82، 005


 

رد مع اقتباس
إضافة رد

مواقع النشر (المفضلة)


الذين يشاهدون محتوى الموضوع الآن : 1 ( الأعضاء 0 والزوار 1)
 
أدوات الموضوع
انواع عرض الموضوع

تعليمات المشاركة
لا تستطيع إضافة مواضيع جديدة
لا تستطيع الرد على المواضيع
لا تستطيع إرفاق ملفات
لا تستطيع تعديل مشاركاتك

BB code is متاحة
كود [IMG] متاحة
كود HTML معطلة

الانتقال السريع

المواضيع المتشابهه
الموضوع كاتب الموضوع المنتدى مشاركات آخر مشاركة
مركز المعلومات بكرمة ومعلومات مهمة للفائدة والدعم مصعب محمد عثمان منبر الحوار العام 2 03-09-2010 08:16 PM
عقول خرجت عن مسارها ابوعلي منبر الحوار العام 4 10-25-2009 02:47 AM
بنك المعلومات محمد شرف المنتدى الثقافي والأدبي 3 04-10-2009 06:44 PM
نشر بحث مقدم نيل درجة الماجستير في نظم المعلومات المحايد منبر الحوار العام 11 03-20-2009 01:53 AM


الساعة الآن 12:34 PM.


Powered by vBulletin Version 3.8.7
Copyright ©2000 - 2014, Jelsoft Enterprises Ltd
         سعودية هوست للاستضافه والتصميم والدعم الفني


HêĽм √ 3.1 BY: ! ωαнαм ! © 2010
كافة الحقوق محفوظة لمنتديات نيو كرمة
Sa-Host by Sa-Host 1998©2009