نموذج تقييم المخاطر لشبكات الحاسوب الموصولة مع الخدمات السحابية للمؤسسات الاكاديمية
DOI:
https://doi.org/10.33977/2106-000-005-004الكلمات المفتاحية:
الشبكات السحابية، تقييم المخاطر، إدارة نقاط الضعف، استمرارية الاعمال، عداد بوردا، عملية التحليل الهرمي.الملخص
يزداد الاعتماد مؤخرا على الخدمات (السحابية) بحيث يتصل كثيرا من الشبكات بهذه الخدمات بشكل جزئي أو كلي. يصاحب هذه التغيرات جملة جديدة من المخاطر والتحديات تضاف إلى المخاطر القائمة في الشبكة. ففي كثير من الأحيان تحتفظ المنظمة بمجموعة من الخدمات التي تدار في الشبكات المحلية أو الموسعة الخاصة بها إلى جانب الخدمات التي يمكن أن تتواجد كليا أو جزئيا على مواقع الخدمات (السحابية). يضاف إلى هذه الإشكالية الضعف العام في المنظومات الإدارية للمخاطر في كثير من المنظمات بحيث تُغيب وثائق أساسية في التعامل مع المخاطر، مثل: استراتيجية نظم المعلومات، واستراتيجية أمن المعلومات، والأوراق المرجعية لمحددات أمن المعلومات، والمخاطر ذات العلاقة في المنظمات. أمّا ما يتم العمل عليه في المنظمات وبشكل يومي هو إدارة نقاط الضعف بحيث يتم التعامل مع نقاط الضعف الفنية في الشبكات المحلية والموسعة من خلال التقييم الدائم للتغيرات الدائمة على تقنيات البنى التحتية والتطبيقات، واقتراح الحلول الأمنية على مستوى العقدة في الشبكة، وحلها وبشكل آلي في بعض الأحيان وذلك بالاعتماد على تقنيات صناعية معدة لهذا الغرض، دون المرور على مفهوم المخاطر والتعامل معه. في هذا البحث نعمل على إعادة صياغة الخدمات الالكترونية الاستراتيجية في منظمة تعليمية والتي تعمل بشكل (هجين) بين الشبكات المحلية، والخدمات (السحابية) في الوقت نفسه؛ لدراسة المخاطر المرتبطة بها. وتم تقسيم الخدمات الاستراتيجية إلى مجموعات عمل تضم العقد المشاركة في بناء هذه الخدمة سواء كانت في الشبكة المحلية أو في المواقع (السحابية)، ثم تمّ احتساب الضعف لكل عقدة من العقد المشكلة للخدمة باستخدام أدوات تجارية متخصصة بهذا الشأن، وتم رسم مسار للعقد التي تشكل هذه الخدمة في الشبكة المحلية والتعبير عنه بمتجه يعرف بمتجه نقاط الضعف لخدمة استراتيجية معينة، وتم تقدير قيمة الأصول واحتمالية وقوع الخطأ، ودرجة تأثير الخطأ حين حدوثه. والخطوة التالية كانت اسناد أوزان هذه الخاطر، واحتساب قيمتها لكل خدمة استراتيجية، ومن ثم احتساب المخاطر الكلية للخدمات الاستراتيجية التي تعمل في المنظمة على شبكاتها المحلية. ومن ثم تمّ احتساب المخاطر المصاحبة للعمل مع الخدمات (السحابية) وهي ذات نوع وتأثير مختلف من حيث تسريب المعلومات أو فقدانها أو تعرضها للسرقة أو أي خلل يتسبب به مزود الخدمة (السحابية). وهنا أودّ الإشارة إلى أن المخاطر المستخدمة في هذه الورقة هي ضمن المخاطر المعيارية، والمنصوص عليها في الأدبيات ذات العلاقة. وتمّ اتباع المنهجية ذاتها في احتساب مخاطر الخدمات (السحابية) ومن ثمَّ تمّ احتساب المخاطر الكلية حسب شدة الخطورة؛ وذلك حسب خوارزمية عملية التحليل الهرمي. بحيث تم الخروج برقم موحد لمخاطر المنظمة اعتمادا على الخوارزمية سالفة الذكر.وتمّ الاستناد إلى بيئة جامعة القدس المفتوحة في إعداد بيانات هذا البحث.المراجع
- Amin Saurabh, Galina A., Schwartz, & Alefiya Hussain (2013). In quest of benchmarking security risks to cyber-physical systems. IEEE Network Transaction. 27(1)19 - 24
- Amro I. (2015). A Network Service-Based Risk Assessment Model with Case Study on an Educational Organization. Palestinian Journal for Open Learning and e-Learning. Volume 15
- Andersen A. (2010). Firm objectives, IT alignment, and information securit. IBM Journal of Research and Development.54(3):5.1-5.7
- Asosheh A., & Dehmoubed A., & Khani A. (2009). A new quantitative approach for information security risk assessment. Presented in 2nd IEEE International Conference on Computer Science and Information Technology pp. 222-227. China
- Bernardo D. (2013). Utilizing Security Risk Approach in Managing Cloud Computing Services. Presented in IEEE 16th International Conference on Network-Based Information Systems. South Korea
- George R. (2014). Systems Engineering Guide. The MITRE Corporation. Produced by MITRE Corporate Communications and Public Affairs. USA
- International Organization for Standardization ISO (20018) The ISO 27001 standard on information security matters, http:// www.27000.org/
- Jianxing Y. , C. Haicheng, W. Shibo & F. Haizhao (2020).A Novel Risk Matrix Approach Based on Cloud Model for Risk Assessment Under Uncertainty. in IEEE Access, vol. 9, pp. 27884-27896, 2021.
- Kassou M., & Kjiri L. (2012). SOASMM: A novel service-oriented architecture Security Maturity Model. Presented in IEEE International Conference on Multimedia Computing and Systems, 2012, pp. 912-918. Morroco
- Khidzir Nik Zulkarnaen, & Azlinah Mohamed, & Noor Habibah Hj Arshad (2010). Information Security Risk Management: An Empirical Study on the Difficulties and Practices in ICT Outsourcing. Presented in IEEE Second International Conference on Network Applications, Protocols and Services. Malysia.
- Lonita D., & Hertel P., & Pieters W., & Wieringa R. (2014). Current Established Risk Assessment Methodologies and Tools. ICT Section, Delft University of Technology. Netherlands
- Maček1 Davor, & Magdalenić1 Ivan, & Nina Begičević Ređep1 (2020). A Systematic Literature Review on the Application of Multicriteria Decision Making Methods for Information Security Risk Assessment.International Journal of Safety and Security Engineering Vol. 10, No. 2, pp. 161-174
- Maule R. W., & Lewis W. C. (2009). Risk Management Framework for Service-Oriented Architecture. Presented 2009 IEEE International Conference on Web Services. Proceeding pages: 1000-1005. USA
- Metzger Louis, & Bender Lisa (2007). MITRE Systems Engineering (SE) Competency Model Version 1.13. The MITRE Corporation. Bedford, MA 01730
- Moona Jewook, & Chanwoo Lee, & Sangho Park, & Yanghoon Kimc (2018). Mathematical model-based security management framework for future ICT outsourcing project.Discrete Applied Mathematics The Journal of Combinatorial Algorithms, Informatics, and Computational Sciences.Volume 241: 67-77
- Riaz M. T., M. Shah Jahan, K. S. Arif and W. Haider Butt (2019). Risk Assessment on Software Development using Fishbone Analysis. 2019 International Conference on Data and Software Engineering (ICoDSE), 2019, pp. 1-6,
- Saleem M, & Jaafar J., & Hassan F.Model Driven Security framework for definition of security requirements for SOA based applications. Presented in IEEE International Conference on Computer Applications and Industrial Electronics, 2010, pp. 266-270, Malasya.
- Xi G., H. Ruimin, P. Yongjun, B. Hao and L. Haitao (2010). The Comprehensive Assessment Method for Community Risk Based on AHP and Neural Network Presented in 2010 Second International Conference on Networks Security, Wireless Communications and Trusted Computing, 2010, pp. 410-413, doi: 10.1109/NSWCTC.2010.230.
- Xiao B. and J. Ran. (2010). Risk Evaluation of Network Security Based on NLPCA-RBF Neural Network,” in Multimedia Information Networking and Security, International Conference on, Nanjing, Jiangsu China, 2010 pp. 398-402.
- Xiaojun Wu and Cong Li (2011). Research and design of one security model for service-oriented multi-application architecture. Presented in IEEE International Conference on Computer Science and Service System (CSSS), pp. 3990-3993. China
- Zhang, Q. C. Zhou, Y. Tian, N. Xiong, Y. Qin and B. Hu (2018). A Fuzzy Probability Bayesian Network Approach for Dynamic Cybersecurity Risk Assessment in Industrial Control Systems. in IEEE Transactions on Industrial Informatics, vol. 14, no. 6, pp. 2497-2506
التنزيلات
منشور
كيفية الاقتباس
إصدار
القسم
الرخصة
- The editorial board confirms its commitment to the intellectual property rights
- Researchers also have to commit to the intellectual property rights.
- The research copyrights and publication are owned by the Journal once the researcher is notified about the approval of the paper. The scientific materials published or approved for publishing in the Journal should not be republished unless a written acknowledgment is obtained by the Deanship of Scientific Research.
- Research papers should not be published or republished unless a written acknowledgement is obtained from the Deanship of Scientific Research.
- The researcher has the right to accredit the research to himself, and to place his name on all the copies, editions and volumes published.
- The author has the right to request the accreditation of the published papers to himself.
