A Network Service-Based Risk Assessment Model with Case Study on an Educational Organization

Abstract

تهدف الدراسة الى تقويم مخاطر أنظمة المعلومات المحوسبة في مؤسسات لا تحتوي على أسس مرجعية لتقويم المخاطر . تبدأ الدراسة بتحديد الإطار المفاهيمي للخدمات التي تقدمها المؤسسة ، يؤدي هذا الاطار دور البديل للأسس المرجعية التي يعتمد عليها تقويم المخاطر في أية مؤسسة ، ونظرا لعدم وجود هذه الاستراتيجية في كثير من الأحيان تبرز مشكلة تقويم المخاطر. ومن هنا يعمل هذا البحث على إيجاد مقاربة لاحتساب هذه المخاطر بالاعتماد على طبيعة الخدمات المقدمة بالشبكة في حال عدم وجود استراتيجية وأمن المعلومات ،حيث يتم ذلك من خلال ربطها باطار مفاهيمي ناتج عن طبيعة الخدمات التي تقدمها المؤسسة . وتحدد هذه الخدمات ضمن مجموعات عمل رئيسة مثل خدمات أكاديمية أو خدمات بحثية ، يتم تصنيف مجموعات العمل الرئيسة تحت عنوان: خدمات الشبكة، ومن ثم نأخذ كل خدمة على حدة ، ونقوم بتحديد الأجهزة والخوادم المتطلعة بتقديم هذه الخدمة ، وفي حال معرفة قيمة الضعف الأمني على كل جهاز نستطيع تحديد الضعف الأمني لجميع الخدمات المقدمة على الشبكة وفق آلية محددة. وفي حال معرفة قيمة الضعف الأمني للشبكة ككل نستطيع احتساب المخاطر على المستوى العام ، وتحديد قراءة تمثل نسبة المخاطرة العامة على الشبكة. هذه القراءة تؤسس لتقديم قيمة للمخاطرة على الشبكة دون وجود وثيقة استراتيجية أمنية، وفي إطار منهج البحث وعلى مستوى الخدمات المقدمة ، قمنا ببناء نموذج احتمالي لحدوث المخاطر ، إضافة إلى نموذج يحدد تأثير المخاطر في حال حدوثها . كما قمنا بتحديد أوزان المخاطر باستخدام عداد (بوردا) مع تحديد آلية رياضية لتقدير المخاطر الكلية. يتناول البحث آلية محددة خطوة بخطوة لبناء منظومة مخاطر متكاملة . وقد استخدمت شبكة جامعة القدس المفتوحة كبيئة لاختبار المقاربة ، مع الأخذ بعين الاعتبار أن هذه الشبكة المذكورة شبكة أكاديمية تعليمية. وبذلك يكون البحث قدم آلية مفصلة حول احتساب المخاطر للشبكات المشابهة من حيث طبيعة الخدمات المقدمة ، وهي الخدمات التعليمية.