مقدمة
إحتل التواصل عبر شبكة الأنترنت مرتبة عالية حول العالم من حيث أهميته واحتياج جميع الأفراد له بصورة كبيرة خصوصا في السنوات الأخيرة.كما تطورت الأنظمة المالية المعلوماتية إلى شبكات تفاعلية ضمت الشركاء والداعمين والزبائن مع بعضهم البعض,وأصبحت العديد من المصادر المعلوماتية متوفرة للجميع لتوافي جميع الإحتياجات في المجالات المختلفة.
هذه التوفر الهائل في المصادر المعلوماتية خلق العديد من التحديات الأمنية خصوصا تلك التي تحتاج إلى درجة عالية من السرية والتي لايحق للكل الوصول إليها.
المهددات الأمنية التي تواجه المصادر المعلوماتية الخاصة كثيرة منها الإنتهاكات المتعمدة ,سلامة المحتويات ,عقبات التواصل الخدمي وغيرها..
هنالك العديد من التقنيات والنماذج الأمنية التي تتحقق من سلامة أمن النظم المعلوماتية.تختلف حسب طريقة عملها وقوتها.
في هذه الورقة العلمية سيتم وصف خمسة سياسات تهدف لحماية المصادر بمختلف المواقف وأنواع البيانات التي يجب حمايتها.
السياسة الأمنية الأولى :
إثبات أحقية الوصول للبيانات بالنسبة للمستخدم البعيد عن بيئة العمل المحلية
عندما يحتاج المستخدم الموثوق أن يبتعد عن المؤسسة الأصلية لأداء بعض المهمات الخارجية غير المتعلقة بالمؤسسة,سيضطر للتخلي عن امتيازاته وصلاحياته المتوفرة داخل محيط المؤسسة الأصلية.قد يبتعد عن المؤسسة ولكنه قد يعود مرة أخرى.في هذه الحالة يجب أن تكون هناك آليات إثبات الأهلية والثقة لتفحص أهليته لاستلام صلاحياته مرة أخرى .إقترحت الدراسات أن لا تعود هذه الصلاحيات الفائقة تلقائيا للمستخدم العائد إلا بعد تأكيد وتنقيح هويته.هذه الطريقة تضمن سلامة المصادر والمحتويات من الدخلاء.
السياسة الأمنية الثانية:
الجدار الناري
على كل من يريد الدخول إلى محيط المؤسسة المعلوماتي الخاص أن يعلم إسمها و الطريقة السرية للدخول إليها.وظيفة الجدار الناري تتم بمساعدة تقييد الوصول وتعيين إسم سري للمؤسسة لايعلمه إلا الأشخاص المسموح لهم بالدخول.هذا سيساعد في منع الدخلاء من الوصول للبيانات والمحتويات المهمة الخاصة بالمؤسسة.
السياسة الأمنية الثالثة :
التشفير بإستخدام رموز لحماية البيانات أثناء تناقلها.
تستخدم هذهالآلية لحماية الإتصال بين مؤسستين أو بين المؤسسة وطرف آخر منفصل.تضمن هذه الطريقة المحافظة على أمان المعلومات المتناقلة عبر الإتصال.في هذه الآلية تشفر الرسالة الموجهة برمز خاص يتداول بين الأطراف المعنيين.الرمز السري قد يعاد تدويره ويستخدم مرات عديدة لمهمات مختلفة.
السياسة الأمنية الرابعة:
تدرج الأمان عبر المستويات الوظيفية المتعددة
بطبيعة الحال المؤسسات الطبية تحتوي على مستويات وظيفية متعددة تختلف في درجاتها ومهامها وصلاحياتها في تداول و تعديل البيانات .
كلما ارتفع موقع الوظيفة في الهيكل الوظيفي التنظيمي كلما زادت إمتيازاتها و صلاحياتها في الإحاطة ببيانات المؤسسة الخاصة.ففي مثل هذه البيئات ذات المستويات الوظيفية المختلفة يجب تقييد الوصول للمعلومات الخاصة بالمؤسسة ,وهذا التقييد يتم بناء على مدى إحتياج كل وظيفة للبيانات.
تسري أحقية امتلاك البيانات من المستويات الوظيفية الدنيا حتى تكتمل تماما عند المستويات الوظيفية العليا وليس العكس.
السياسة الأمنية الخامسة:
انتقال البيانات عبر المجتمعات المختلفة أثناء التواصل
صلاحيات المستويات الوظيفية العليا قد تستخدم سلبيا من قبل أصحابها أو قد تنتهك من قبل افراد المستويات الوظيفية الدنيا فتضر المؤسسة ضررا بليغا.تفاديا لذلك تم وضع مفهوم الحواجز الأمنية العازلة كي تضمن عدم تسرب المعلومات السرية الخاصة بالمؤسسة.
تبعا لهذه الآلية كل معلومة أو إجراء وظيفي بالغ السرية تابع للمستويات العليا يجب أن يغلف بحاجز أمني تابع للمؤسسة.هذا الحاجز الأمني يمكن فتحه إلا إذا تم الولوج عبر حاجز أمني غير متخصص قبله.
السياسات الأمنية ذات الطبيعة التناغمية
هذه السياسات مشتقة من دراسة تم تقديمها عام 2002, تم استبدالها بالسياسات الأمنية الخمسة المذكورة أعلاه ,والتي ستتحول لإجراءات لاحقا.عندما تضاف السياسات لهذه الدراسة تأخذ مسمى مركب سياسة الميتا .هذا التصميم لديه صفة التعميم ويمكن تطبيقه على أي مخطط.
تطبيق مثل هذه السياسات يجعل الصورة الأمنية للمحتويات ذات السرية العالية قوية جدا وبذلك يتم تفادي الإجراءات الأمنية الزائدة مما يجعل سير المشروع أكثر جودة وسلاسة .
يتم تفعيل الإجراءات الأمنية حسب ماتقتضيه السياسات الأمنيةالمحددة والمبرمجة مسبقا.والتي تكمل بعضها البعض في الأدوار.
تغطية السجلات الطبية بالآلية المقترحة في الدراسة(CONTEXTUAL
META-POLICY GRAPHS)
النظام الأمني المتكامل المذكور أعلاه يستخدم في تطبيق ما يسمى بال(context based security) في الأنظمة المختلفة منها السجلات الطبية .
هناك ثلاث وظائف رئيسية متعلقة بالسجلات الطبية سنرتبها من الأعلى للأدنى
1.الطبيب الجراح يمتلك الأحقية الكاملة في الوصول لبيانات المرضى يستطيع الإضافة التعديل والقراءة.
2.الطبيب يمتلك أحقية الإذافة والقراءة.
3.الممرض يمتلك أحقية القراءة فقط.
كيف تطبق السياسات هنا؟
تطبيق السياسة الأمنية الأولى :
إثبات أحقية الوصول
هذه السياسة تحدد من يستطيع الولوج لبيانات المسستشفى إذا كان خارجها .وذلك بإعطائهم شيفرة مؤقتة تمكنهم من ذلك(الجراح والطبيب).لا أحد آخر يحق له الدخول لبيانات المشفى من الخارج.
تطبيق السياسة الأمنية الثانية:
إثبات أحقية الثقة بالنسبة للعملاء الغرباء
تحدد هذه السياسة طريقة دخول للمنتدبين من خارج المشفى عند الطوارئ.
يتم تصميم شيفرة للجراحين المنتدبين حتى تمكنهم من الوصول لبيانات المرضى.
تطبيق السياسة الأمنية الثالثة:
ترتيب المستويات الأمنية التابعة للمستويات الوظيفية
هذه السياسة تساعد في التحكم في امكانية الوصول للمصادر القيمة اعتمادا على الدور الوظيفي في المؤسسة الصحية.فالجراح يمتلك الأحقية الكاملة في التحكم في البيانات بينما لا يستطيع الطبيب أو الممرض.
تطبيق السياسة الأمنية الخامسة:
تناقش هذه السياسة التحقق من الأمان عند تواصل مؤسستين صحيتين معا أو عند تعامل المشفى مع مصدر بعيد.تضمن هذه السياسة أن كل الجهتين المتضمنتين في الإتصال هما الجهتان الحقيقيتان.خاصة في حالات انتداب الأطباء من الخارج.
خاتمة
السياسات الخمسة أعلاه قد بنيت على دراسسات سابقة قوية تم إدماجها معا من ثم أضيفت لها إجراءات أخرى حتى تزيد متانتها الأمنية.تطبيق هذه السياسات سيؤدي إلى تأمين محكم لبيانات المؤسسات الصحية.
الصادق جمال الدين الصادق