التخطيط لحلول الأمن المادي المتكاملة والمتقاربة
تتألف منصة الأمن المادي والمراقبة المادية بشكل أساسي من الأنظمة الفرعية التالية: نظام التحكم الإلكتروني في الدخول، وأنظمة الإنذار وأجهزة الاستشعار، وكشف التسلل، والتحكم المنطقي في الدخول، والمراقبة بالفيديو.
هذه الأنظمة موجودة منذ فترة ليست بالقصيرة.
تتحدث الشركات عن التكامل والتقارب بين هذه الأنظمة الفرعية والبنية التحتية الشاملة لتكنولوجيا المعلومات.
تحاول المدونة استكشاف متطلبات العصر الجديد هذه بمزيد من التفصيل.
التكامل أو التقارب في لغة الرجل العادي يعني “عندما تندمج الأشياء المنفصلة معًا لتصبح شيئًا واحدًا”.
وفي لغة طب العيون يمكن وصف التقارب أيضًا بـ “الرؤية المزدوجة” والتي تعني ببساطة أن رؤية كل منهما تندمج معًا بحيث نرى جسمًا واحدًا ولكن من منظور ثلاثي الأبعاد بدلاً من “الرؤية المزدوجة”.
كلمة التقارب لها نطاق واسع وآثار واسعة النطاق في مجال الأمن والمراقبة.
وعادةً ما يتم توفير منظور ضيق للغاية من قبل مصنعي المعدات الأصلية أو شركات التكامل اعتمادًا على مجموعة منتجاتهم ومعرفتهم.
أحاول هنا مناقشة مختلف وجهات نظر التقارب والتكامل، والتي قد تساعد في معالجة مختلف الثغرات وأوجه الغموض في مرحلة التصميم نفسها.
يتكون تصميم منصة الأمن المادي المتكاملة من المراحل الأربع التالية: كيانات وعلاقات الأعمال الخطوة الأولى نحو تصميم حل أمني متقارب هي تحديد جميع كيانات الأعمال التي من المتوقع أن يتم التحكم فيها أو السيطرة عليها.
يمكن أن يكون كيان الأعمال إنساناً أو شيئاً.
يجب أن تكشف سلسلة من جلسات العصف الذهني مع مختلف أصحاب المصلحة عن جميع هذه الكيانات.
على سبيل المثال، يمكن تحديد كيانات وحدة التصنيع على أنها الموظفين، والعمال المتعاقدين، والمقاولين، والبائعين، والمركبات المملوكة للشركة، والمركبات التعاقدية، والمركبات المملوكة للموظفين، والسائقين المتعاقدين، وسائقي الشركة، والزوار غير الرسميين، وأصول الشركة، ومسؤولي النظام، ورؤساء الأقسام/الوظائف، إلخ.
يجب أن يكون الحل الأمني المتقارب حقًا قادرًا على تحديد جميع هذه الكيانات في النظام بشكل فريد وتعيين مختلف سياسات الأمان والعمليات وقواعد الوصول المرتبطة بها.
يجب أن يكون النظام قادراً على إنشاء علاقات بين هذه الكيانات.
وفيما يلي بعض الأمثلة على العلاقات:
- يتم تعيين الموظفين مع مديري التقارير الخاصة بهم، الذين يكونون مسؤولين عن الموافقة على طلب إجازاتهم، وتعيين حقوق الوصول، وتعيين قواعد الحضور، والموافقة على طلبات الزيارة وما إلى ذلك.
يتم كذلك ربط الموظفين بمركباتهم وأصولهم الصادرة لهم من قبل المؤسسة. - يتم تعيين العمال المتعاقدين مع شركات المقاولات الخاصة بهم ومديري التقارير الخاصة بهم.
- يتم تعيين الزائرين للموظفين الذين يقومون بزيارتهم والموافقة على السلطة.
- يتم تعيين السائقين للمركبات، وإذا كانت المركبات تعاقدية فتكون لشركات المقاولات.
يجب أن يتم تعيين حقوق الوصول للموظف/المتعاقد مع معلمات معينة في سجلات الموارد البشرية الخاصة بهم. بيانات الاعتماد في سيناريوهات العمل الحديثة اليوم بناءً على عوامل مثل الملاءمة ومستوى الأمان ومتطلبات الامتثال، قد يتم تحديد كل كيان كما هو موضح في القسم أعلاه باستخدام بيانات اعتماد مختلفة في أنظمة مختلفة.
على سبيل المثال، قد يُطلب من الشخص استخدام القياسات الحيوية للدخول إلى مراكز البيانات، والبطاقة الذكية للأبواب والأبواب الدوارة، والعلامات طويلة المدى لمركبته، والتوقيعات الرقمية لغناء وثائق المناقصات وتقديم الشركات إلى مختلف الهيئات القانونية، واسم المستخدم وكلمات المرور لتسجيل الدخول إلى أجهزة الكمبيوتر والخوادم والتطبيقات.
يمكن تصنيف بيانات الاعتماد أو الهويات هذه إلى ثلاثة أنواع:
- المادية: البطاقات الذكية، والرموز المميزة، وعلامات المركبات بتقنية RFID، وعلامات الأصول بتقنية RFID، والتصاريح الورقية، وهواتف NFC وغيرها
- المقاييس الحيوية: بصمة الإصبع، والوجه، وقزحية العين، وشبكية العين، إلخ.
- افتراضي: التوقيعات الرقمية، اسم المستخدم-كلمة المرور، رقم التعريف الشخصي
جميع أشكال أوراق الاعتماد المذكورة أعلاه لها خصائص مختلفة، فأوراق الاعتماد المادية مثل البطاقات الذكية قد تتغير من عدة أيادٍ (يعاد إصدارها)، وقد تتعرض للضياع أو السرقة، وبالتالي يجب مراقبة دورة حياة أوراق الاعتماد المادية وجردها بعناية والتصرف فيها؛ أما أوراق الاعتماد البيومترية فهي تحدد هوية الشخص بشكل فريد مدى الحياة تقريباً، وبالتالي يجب الحفاظ عليها بعناية من أجل توافرها وسريتها وسلامتها على المدى الطويل؛ أما أوراق الاعتماد الافتراضية فلها إمكانية اختراقها أو نقلها إلى الآخرين أو نسيانها وفي بعض الحالات يجب تسليمها.
لذلك يجب أن تكون هناك سياسات محددة بشكل جيد وقابلة للتكوين لتخزين بيانات الاعتماد هذه وانتهاء صلاحيتها وإعادة إصدارها.
يجب على مهندس النظام تحديد جميع بيانات الاعتماد هذه التي يتم ربطها بكيانات الأعمال المختلفة.
لذلك يجب أن يكون نظام إدارة الأمن منصة متقاربة لإدارة وتكوين السياسات لجميع الأشكال الثلاثة لبيانات الاعتماد/الهويات بناءً على خصائصها الفريدة وإدراكها للتهديدات ونقاط الضعف.
الجانب الآخر المهم أثناء تحديد الأشكال المختلفة للهويات هو التوافق عبر المنصات وقابلية التشغيل البيني.
على سبيل المثال إذا استخدمنا بصمات الأصابع كشكل من أشكال بيانات الاعتماد لتحديد هوية الموظف في نظام التحكم في الوصول، فيجب أن تكون قاعدة بيانات قالب بصمة الإصبع قابلة للوصول والتفسير من قبل الأجهزة الأخرى ومواقع الفروع ووحدات البرامج مثل وحدات إدارة الموارد البشرية والزوار والمتعاقدين.
وينطبق الشيء نفسه على البطاقات الذكية والتوقيعات الرقمية وما إلى ذلك.
الكلمات الرئيسية هنا هي عدم الاحتكار، والتوافق عبر المنصات وقابلية التشغيل البيني. اتخاذ قرار بشأن منتجات الأجهزة والبرمجيات بمجرد تحديد كيانات الأعمال وعلاقاتها وبيانات اعتمادها، فإن الخطوة التالية هي تحديد أفضل منتجات الأجهزة والبرمجيات المتوافقة مع بيانات الاعتماد كما هو محدد أعلاه والتي يمكنها التعرف على جميع الكيانات كما هو محدد سابقًا والتواصل بسلاسة مع بعضها البعض وكذلك مع أنظمة تكنولوجيا المعلومات الأخرى بناءً على السياسات والعلاقات كما هو محدد.
كما يجب أن تستند منصة الأجهزة والبرمجيات إلى معايير مفتوحة وأحدث الابتكارات التكنولوجية والاعتبارات البيئية وأن تكون قادرة على الصمود في المستقبل بشكل معقول.
فيما يلي بعض نماذج الحالات القليلة التي قد توفرها المنصة المتكاملة:
- سيؤدي تمرين التدريب على مكافحة الحرائق إلى إنشاء تقرير في الوقت الفعلي لجميع الأشخاص الموجودين حاليًا في المنشأة من موظفين وزوار ومقاولين وسائقين وبائعين وما إلى ذلك.
- نظام إدارة الزوار قادر على تحديد هوية الزائر كموظف سابق أو موظف حالي أو بائع مدرج في القائمة السوداء من منشأة مرتبطة.
- بمجرد انتهاء صلاحية عقد المتعاقد في نظام إدارة الموارد البشرية، يتم تعطيل جميع بيانات الاعتماد المرتبطة به (المركبة، والوصول الشخصي، وحقوق الوصول المنطقي) تلقائيًا في آخر يوم عمل
- بمجرد أن يحدد جهاز استشعار الحريق وقوع حادث، يسلط نظام إدارة الإنذار المتكامل الضوء على الحادث مع لقطات كاميرات المراقبة المقابلة.
- لا ينغلق قسم المشتريات مع بائع معين أثناء التوسعة أو الإصلاح والصيانة.
التكامل مع أنظمة تكنولوجيا المعلومات في عالم اليوم المترابط شبكيًا، لا يمكن لنظام الأمن المادي أن يعمل كجزيرة منعزلة، وبالتالي يجب أن يتكامل مع أنظمة المعلومات المختلفة في المؤسسة.
يمكن تصنيف متطلبات التكامل مع مختلف أنظمة المؤسسة إلى الفئات التالية:
- إدخال البيانات
- واجهة خدمة الاتصال
يجب أن يحصل نظام أمان إدخال البيانات في المؤسسة على إمكانية الوصول التلقائي إلى بيانات المؤسسة مثل سجلات الموظفين/المتعاقدين إلى جانب معلمات مهمة أخرى مثل تواريخ انتهاء الخدمة وتواريخ انتهاء الصلاحية ومدير التقارير وموقع الفرع والإجازات والعطلات وما إلى ذلك لتجنب الأخطاء اليدوية وبيانات الاعتماد الوهمية وتلبية بعض الامتثال التنظيمي.
معظم معايير واجهة إدخال البيانات المعروفة جيداً هي Active Directory/LDAP أو التكامل القائم على خدمة الويب المخصصة مع نظام إدارة الموارد البشرية وأنظمة تخطيط موارد المؤسسات.
واجهة خدمة الاتصالات يجب أن تكونواجهة خدمة الاتصالات يجب أن يكون أمن المؤسسة قادراً على إرسال رسائل إشعارات مختلفة إلى مختلف الموظفين أو الأنظمة عند الحاجة، وبالتالي فإن بعض عمليات التكامل مطلوبة مع خدمات الاتصالات المؤسسية مثل خوادم البريد الإلكتروني أو خوادم الرسائل النصية القصيرة أو بوابات الإنترانت أو واجهات المراسلة الأخرى التي تم نشرها من قبل المؤسسة.
إخراج البيانات يجب أن تكون هناك حاجة أيضًا إلى إخراج معلومات معينة على أساس دوري إلى أنظمة معلومات المؤسسة مثل أنظمة إدارة الموارد البشرية لمعالجة كشوف المرتبات، لتلبية الامتثال لقانون العمل وأنظمة الطرف الثالث مثل نظام الحضور والانصراف، وأنظمة إدارة غرف الاجتماعات، وأنظمة الكافتيريا وما إلى ذلك، لذلك يجب على مهندسي النظام أثناء تصميم منصة الأمن المادي تحليل جميع متطلبات التكامل المذكورة أعلاه بعناية سواء الحالية أو المستقبلية قبل اتخاذ قرار بشأن المنتج أو إعداد وثيقة طلب تقديم العروض.
مشاركة التخطيط لمنصة الأمن المادي المتكاملة والمتقاربة.