المحاضرة رقم 3 : تطبيقات وضوابط اجراءات العمل (BUSINESS PROCESS APPLICATIONS AND CONTROLS)
تطبيقات وضوابط اجراءات العمل (BUSINESS PROCESS APPLICATIONS AND CONTROLS) :
في بيئة تطبيق متكاملة (integrated application environment) يتم تضمين عناصر التحكم وتصميمها في تطبيق الأعمال الذي يدعم العمليات. يتضمن تأكيد مراقبة اجراءات العمل (Business process control assurance) تقييم الضوابط :
1. على مستوى العملية (at the process levels).
2. وعلى مستوى النشاط (at the activity levels).
قد تكون هذه الضوابط :
1. مجموعة من الضوابط الإدارية المبرمجة (combination of management programmed controls)
2. ومجموعة من الضوابط الإدارية اليدوية (combination of management manual controls).
بالإضافة إلى تقييم الضوابط العامة (general controls) التي تؤثر على العمليات يتم تقييم الضوابط الخاصة (specific controls) بمالك العمليات التجارية – مثل :
1. إنشاء الأمان المناسب (establishing proper security).
2. وفصل الواجبات / المهام segregation of duties (SoD).
3. والمراجعة الدورية (periodic review).
4. والموافقة على الوصول (approval of access).
5. وضوابط التطبيق ضمن دورة الأعمال (application controls within the business process).
للتدقيق الفعال (Effective) لأنظمة تطبيقات الأعمال يجب أن يحصل مدقق نظم المعلومات على فهم واضح لنظام التطبيق قيد المراجعة.
ملاحظة : يتضمن المحتوى التالي أمثلة لأنظمة وبنى تطبيقات الأعمال والعمليات والمخاطر ذات الصلة. يجب أن يكون المرشح الـCISA على دراية بأنظمة تطبيقات الأعمال والبنى والعمليات والمخاطر والضوابط ذات الصلة وآثار وممارسات تدقيق نظم المعلومات.
تتم حوسبة (computerized) العديد من :
1. الوظائف المالية (financial functions).
2. الوظائف التشغيلية (operational functions).
بغرض :
1. تحسين الكفاءة (improving efficiency).
2. وزيادة موثوقية المعلومات (increasing the reliability of information).
1. تحسين الكفاءة (improving efficiency).
2. وزيادة موثوقية المعلومات (increasing the reliability of information).
تتراوح هذه التطبيقات من التقليدية (traditional) .. بما في ذلك :
1. دفتر الأستاذ العام (general ledger).
2. والحسابات الدائنة (accounts payable).
3. وكشوف المرتبات (payroll).
1. دفتر الأستاذ العام (general ledger).
2. والحسابات الدائنة (accounts payable).
3. وكشوف المرتبات (payroll).
إلى الصناعة المحددة (industry-specific) .. مثل :
1. القروض المصرفية (bank loans).
2. والمقاصة التجارية (trade clearing).
3. وتخطيط المتطلبات المادية (material requirements planning).
1. القروض المصرفية (bank loans).
2. والمقاصة التجارية (trade clearing).
3. وتخطيط المتطلبات المادية (material requirements planning).
نظرًا لخصائصها الفريدة تضيف أنظمة التطبيقات المحوسبة تعقيدًا إلى جهود التدقيق (complexity to audit efforts).
قد تتضمن هذه الخصائص :
1. مسارات تدقيق محدودة (limited audit trails).
2. وتحديث فوري (instantaneous updating).
3. وحمل معلومات زائد (information overload).
قد توجد أنظمة التطبيقات في البيئات المختلفة التالية :
1. التجارة الإلكترونية (Ecommerce). 2. تبادل البيانات الرقمية (Electronic Data Interchange). 3. البريد الالكتروني (Email).
4. أنظمة نقاط البيع (Point-of-sale Systems). 5. الخدمات المصرفية الإلكترونية (Electronic Banking).
6. التحويل الإلكتروني للأموال (Electronic Funds Transfer). 7. ماكينة الصراف الآلي (Automated Teller Machine).
8. التمويل الالكتروني (Electronic Finance). 9. أنظمة التصنيع المتكاملة (Integrated Manufacturing Systems).
10. الرد الصوتي التفاعلي (Interactive Voice Response). 11. نظام محاسبة الشراء (Purchase Accounting System).
12. معالجة الصورة (Image Processing). 13. أنظمة التحكم الصناعية (Industrial Control Systems).
14. الذكاء الاصطناعي والأنظمة الخبيرة (Artificial Intelligence and Expert Systems). 15. إدارة سلسلة التوريد (Supply Chain Management).
16. إدارة علاقات العملاء (Customer Relationship Management).
1. تفاصيل التسليم (delivery details).
2. وتفاصيل الدفع (payment details) .. بما في ذلك :
1. عمليات التحويل (transfers orders).
2. أو أوامر الدفع / السداد (payment orders).
قد تتضمن هذه الخصائص :
1. مسارات تدقيق محدودة (limited audit trails).
2. وتحديث فوري (instantaneous updating).
3. وحمل معلومات زائد (information overload).
قد توجد أنظمة التطبيقات في البيئات المختلفة التالية :
1. التجارة الإلكترونية (Ecommerce). 2. تبادل البيانات الرقمية (Electronic Data Interchange). 3. البريد الالكتروني (Email).
4. أنظمة نقاط البيع (Point-of-sale Systems). 5. الخدمات المصرفية الإلكترونية (Electronic Banking).
6. التحويل الإلكتروني للأموال (Electronic Funds Transfer). 7. ماكينة الصراف الآلي (Automated Teller Machine).
8. التمويل الالكتروني (Electronic Finance). 9. أنظمة التصنيع المتكاملة (Integrated Manufacturing Systems).
10. الرد الصوتي التفاعلي (Interactive Voice Response). 11. نظام محاسبة الشراء (Purchase Accounting System).
12. معالجة الصورة (Image Processing). 13. أنظمة التحكم الصناعية (Industrial Control Systems).
14. الذكاء الاصطناعي والأنظمة الخبيرة (Artificial Intelligence and Expert Systems). 15. إدارة سلسلة التوريد (Supply Chain Management).
16. إدارة علاقات العملاء (Customer Relationship Management).
التجارة الإلكترونية (Ecommerce) :
التجارة الإلكترونية هي بيع وشراء البضائع عبر الإنترنت. عادةً ما يشتري المشتري البضائع والخدمات من موقع ويب (website) ويقدم :1. تفاصيل التسليم (delivery details).
2. وتفاصيل الدفع (payment details) .. بما في ذلك :
1. عمليات التحويل (transfers orders).
2. أو أوامر الدفع / السداد (payment orders).
قد يقوم موقع الويب بـ :
1. جمع تفاصيل حول العملاء (gather details about customers).
2. وتقديم عناصر أخرى قد تكون ذات أهمية (offer other items that may be of interest).
1. جمع تفاصيل حول العملاء (gather details about customers).
2. وتقديم عناصر أخرى قد تكون ذات أهمية (offer other items that may be of interest).
يشمل مصطلح الأعمال الإلكترونية :
1. الشراء والبيع عبر الإنترنت (buying and selling online).
2. بالإضافة إلى دعم العملاء أو العلاقات بين الشركات (customer support or relationships between businesses).
1. الشراء والبيع عبر الإنترنت (buying and selling online).
2. بالإضافة إلى دعم العملاء أو العلاقات بين الشركات (customer support or relationships between businesses).
تستخدم التجارة الإلكترونية .. كنموذج عام .. التكنولوجيا (technology) لتعزيز عمليات المعاملات التجارية بين الشركة وعملائها وشركائها التجاريين. يمكن أن تشمل التكنولوجيا المستخدمة :
1. الإنترنت (Internet).
2. والوسائط المتعددة (multimedia).
3. ومتصفحات الويب (web browsers).
4. والشبكات الخاصة (proprietary networks).
5. وآلات الصراف الآلي (automatic teller machines - ATM).
6. والخدمات المصرفية المنزلية (home banking). Online banking
7. والنهج التقليدي لتبادل البيانات الإلكترونية (traditional approach to electronic data interchange - EDI).
تشمل أنواع التجارة الإلكترونية ما يلي : 6 انواع
• الأعمال بين الشركات Business-to-business (B-to-B) الأعمال التي تتم بين المنظمات
• من شركة إلى مستهلك Business-to-consumer (B-to-C) الأعمال التي تتم بين منظمة وعملائها
• من المستهلك إلى المستهلك Consumer-to-consumer (C-to-C) الأعمال التي يتم إجراؤها بين العملاء باستخدام منصة طرف ثالث (third-party platform) بشكل أساسي
• المستهلك إلى الأعمال Consumer-to-business (C-to-B) الأعمال التي تتم بين المستهلك والعمل التجاري. يحدث هذا عندما يبيع المستهلكون منتجاتهم أو خدماتهم إلى شركة.
• الأعمال التجارية إلى الحكومة Business-to-government (B-to-G) الأعمال التجارية التي تتم بين منظمة وإدارة عامة (مثل المنظمات الحكومية) حيث تعمل المنظمة الحكومية على تعزيز الوعي بالتجارة الإلكترونية ونموها. بالإضافة إلى المشتريات العامة (public procurement) قد تقدم الإدارات أيضًا خيار التبادل الإلكتروني لمثل هذه المعاملات مثل إقرارات ضريبة القيمة المضافة ودفع ضرائب الشركات.
• المستهلك إلى الحكومة Consumer-to-government (C-to-G) الأعمال التي تتم بين المستهلك والإدارة العامة أو الحكومة. مثال على ذلك هو الإيداع الضريبي الإلكتروني (electronic tax filing).
تشمل معماريات التجارة الإلكترونية النموذجية (Typical ecommerce architectures) الأنواع التالية :
• البنية أحادية الطبقة (Single-tier architecture) هي تطبيق يعتمد على العميل ويعمل على كمبيوتر واحد.
• تتكون البنية ثنائية الطبقة (Two-tier architecture) من العميل والخادم.
• تتكون البنية ثلاثية الطبقات (Three-tier architecture) مما يلي :
- تعرض طبقة العرض (presentation tier) المعلومات التي يمكن للمستخدمين الوصول إليها مباشرة (access directly) .. مثل :
1. صفحة الويب (web page).
2. أو واجهة المستخدم الرسومية لنظام التشغيل (operating system’s (OS’s) graphical user interface).
- تتحكم طبقة التطبيق application tier (منطق الأعمال / التطبيقات business logic / applications) في وظائف التطبيق (application’s functionality) عن طريق إجراء معالجة مفصلة.
- تتكون طبقة البيانات (data tier) عادةً من :
1. خوادم قاعدة البيانات (database servers).
2. ومشاركات الملفات (file shares).
وما إلى ذلك وطبقة الوصول إلى البيانات (data access layer) التي :
1. تغلف آليات الثبات (encapsulates the persistence mechanisms).
2. وتكشف البيانات (exposes the data).
أدى التحدي المتمثل في دمج التقنيات المتنوعة (integrating diverse technologies) داخل الشركة وخارجها بشكل متزايد إلى انتقال المؤسسات إلى ..
الأنظمة القائمة على المكونات التي تستخدم بنية أساسية للبرامج الوسيطة تستند إلى خادم تطبيق.
component-based systems that use a middleware infrastructure based around an application server
يدعم هذا الاتجاهات الحالية في تطور تطوير البرمجيات (software development) بناء أنظمة من :
1. مكونات الجودة (quality components).
2. و المكونات المفهرسة (catalogued components).
تمامًا كما يتم بناء الأجهزة. في حين أن هذا لم يتحقق بالكامل بعد ، فإن نماذج المكونات (component models) - لا سيما :
1. نموذج مايكروسوفت للأشياء المشترك Microsoft Component Object Model (COM).
2. مدير مشروع أوراكل Oracle Enterprise
JavaBeans – تُستخدم على نطاق واسع وتقع ضمن مجموعة "كود الجوال mobile code".
كود الهاتف المحمول (Mobile code) عبارة عن برنامج يتم نقله بين الأنظمة (على سبيل المثال يتم نقله عبر شبكة transferred across a network) ويتم تنفيذه على نظام محلي باستخدام رمز عبر الأنظمة الأساسية (local system using cross-platform code) دون تثبيت صريح (explicit installation) بواسطة الكمبيوتر المستلم .. على سبيل المثال :
1.Adobe® .. مجموعة برامج للغرافيكس والانيميشن
2.Flash® .. مشغل وسائط (Media player).
3. Shockwave® .. عرض ألعاب الوسائط المتعددة والفيديو
4. Java applets .. برامج مكتوبة بلغة برمجة جافا تعمل على متصفح ويب الذي يحتوى على تعليمات داخلية تمكن من تشغيل برمجيات متنوعة
5. VBScripts .. لغة سكريبت تعمل في بيئة إنترنت وتتشابه في مفاهيمها البرمجية مع لغة فيجوال بيسك مع بعض التعديلات التي تتلاءم مع طبيعتها
6. ActiveX ..
تطبيقات صغيرة تسمح لمواقع الويب بتوفير محتوى مثل مقاطع الفيديو والألعاب. كما أنها تتيح لك التفاعل مع محتويات مثل أشرطة الأدوات ومؤشرات الأسهم عند استعراض الويب
يجلب الاعتماد المستمر لكود الهاتف المحمول ناقلًا آخر لانتشار البرامج الضارة عبر متجهات التسليم (delivery vectors) دائمة التطور التي تتراوح من :
1. البريد الإلكتروني (email).
2. إلى مواقع الويب الضارة (malicious websites).
3. وتطبيقات الأجهزة المحمولة الضارة (malicious mobile device applications).
تشتمل المكونات الإلكترونية (Ecomponents) التي غالبًا ما تُرى في نظام B-to-C على عناصر (components) :
1. التسويق (marketing).
2. والمبيعات (sales).
3. وخدمة العملاء (customer service) .. مثل :
1. التخصيص (personalization).
2. والعضوية (membership).
3. وكتالوج المنتجات (product catalog).
4. وطلب العملاء / ترتيب طلبات العملاء (customer ordering).
5. والفواتير (invoicing).
6. والشحن (shipping).
7. واستبدال المخزون (inventory replacement).
8. والتدريب عبر الإنترنت (online training).
9. وإخطار المشكلة (problem notification).
تدعم خوادم التطبيقات (Application servers) ..
1. نموذج مكون معين (particular component model)
2. وتوفر الخدمات .. مثل :
1. إدارة البيانات (data management).
2. وإدارة الأمان (security management).
3. وإدارة المعاملات التجارية (transaction management) إما :
1. بشكل مباشر (directly).
2. أو من خلال الاتصال بخدمة أخرى (through connection to another service).
3. أو منتج وسيط (middleware product).
توفر خوادم التطبيقات جنبًا إلى جنب مع منتجات البرامج الوسيطة الأخرى (other middleware products) أنظمة متعددة المستويات (multitiered systems) (يمكن أن تمتد المعاملات التجارية عبر منصات وطبقات برامج متعددة). على سبيل المثال تتكون طبقة العرض التقديمي للنظام عادةً من متصفح أو تطبيق عميل آخر. سيتم استخدام خادم الويب (web server) لـ :
1. إدارة محتوى الويب (manage web content).
2. وإدارة اتصالات الويب (manage web connections).
1. الإنترنت (Internet).
2. والوسائط المتعددة (multimedia).
3. ومتصفحات الويب (web browsers).
4. والشبكات الخاصة (proprietary networks).
5. وآلات الصراف الآلي (automatic teller machines - ATM).
6. والخدمات المصرفية المنزلية (home banking). Online banking
7. والنهج التقليدي لتبادل البيانات الإلكترونية (traditional approach to electronic data interchange - EDI).
تشمل أنواع التجارة الإلكترونية ما يلي : 6 انواع
• الأعمال بين الشركات Business-to-business (B-to-B) الأعمال التي تتم بين المنظمات
• من شركة إلى مستهلك Business-to-consumer (B-to-C) الأعمال التي تتم بين منظمة وعملائها
• من المستهلك إلى المستهلك Consumer-to-consumer (C-to-C) الأعمال التي يتم إجراؤها بين العملاء باستخدام منصة طرف ثالث (third-party platform) بشكل أساسي
• المستهلك إلى الأعمال Consumer-to-business (C-to-B) الأعمال التي تتم بين المستهلك والعمل التجاري. يحدث هذا عندما يبيع المستهلكون منتجاتهم أو خدماتهم إلى شركة.
• الأعمال التجارية إلى الحكومة Business-to-government (B-to-G) الأعمال التجارية التي تتم بين منظمة وإدارة عامة (مثل المنظمات الحكومية) حيث تعمل المنظمة الحكومية على تعزيز الوعي بالتجارة الإلكترونية ونموها. بالإضافة إلى المشتريات العامة (public procurement) قد تقدم الإدارات أيضًا خيار التبادل الإلكتروني لمثل هذه المعاملات مثل إقرارات ضريبة القيمة المضافة ودفع ضرائب الشركات.
• المستهلك إلى الحكومة Consumer-to-government (C-to-G) الأعمال التي تتم بين المستهلك والإدارة العامة أو الحكومة. مثال على ذلك هو الإيداع الضريبي الإلكتروني (electronic tax filing).
تشمل معماريات التجارة الإلكترونية النموذجية (Typical ecommerce architectures) الأنواع التالية :
• البنية أحادية الطبقة (Single-tier architecture) هي تطبيق يعتمد على العميل ويعمل على كمبيوتر واحد.
• تتكون البنية ثنائية الطبقة (Two-tier architecture) من العميل والخادم.
• تتكون البنية ثلاثية الطبقات (Three-tier architecture) مما يلي :
- تعرض طبقة العرض (presentation tier) المعلومات التي يمكن للمستخدمين الوصول إليها مباشرة (access directly) .. مثل :
1. صفحة الويب (web page).
2. أو واجهة المستخدم الرسومية لنظام التشغيل (operating system’s (OS’s) graphical user interface).
- تتحكم طبقة التطبيق application tier (منطق الأعمال / التطبيقات business logic / applications) في وظائف التطبيق (application’s functionality) عن طريق إجراء معالجة مفصلة.
- تتكون طبقة البيانات (data tier) عادةً من :
1. خوادم قاعدة البيانات (database servers).
2. ومشاركات الملفات (file shares).
وما إلى ذلك وطبقة الوصول إلى البيانات (data access layer) التي :
1. تغلف آليات الثبات (encapsulates the persistence mechanisms).
2. وتكشف البيانات (exposes the data).
أدى التحدي المتمثل في دمج التقنيات المتنوعة (integrating diverse technologies) داخل الشركة وخارجها بشكل متزايد إلى انتقال المؤسسات إلى ..
الأنظمة القائمة على المكونات التي تستخدم بنية أساسية للبرامج الوسيطة تستند إلى خادم تطبيق.
component-based systems that use a middleware infrastructure based around an application server
يدعم هذا الاتجاهات الحالية في تطور تطوير البرمجيات (software development) بناء أنظمة من :
1. مكونات الجودة (quality components).
2. و المكونات المفهرسة (catalogued components).
تمامًا كما يتم بناء الأجهزة. في حين أن هذا لم يتحقق بالكامل بعد ، فإن نماذج المكونات (component models) - لا سيما :
1. نموذج مايكروسوفت للأشياء المشترك Microsoft Component Object Model (COM).
2. مدير مشروع أوراكل Oracle Enterprise
JavaBeans – تُستخدم على نطاق واسع وتقع ضمن مجموعة "كود الجوال mobile code".
كود الهاتف المحمول (Mobile code) عبارة عن برنامج يتم نقله بين الأنظمة (على سبيل المثال يتم نقله عبر شبكة transferred across a network) ويتم تنفيذه على نظام محلي باستخدام رمز عبر الأنظمة الأساسية (local system using cross-platform code) دون تثبيت صريح (explicit installation) بواسطة الكمبيوتر المستلم .. على سبيل المثال :
1.Adobe® .. مجموعة برامج للغرافيكس والانيميشن
2.Flash® .. مشغل وسائط (Media player).
3. Shockwave® .. عرض ألعاب الوسائط المتعددة والفيديو
4. Java applets .. برامج مكتوبة بلغة برمجة جافا تعمل على متصفح ويب الذي يحتوى على تعليمات داخلية تمكن من تشغيل برمجيات متنوعة
5. VBScripts .. لغة سكريبت تعمل في بيئة إنترنت وتتشابه في مفاهيمها البرمجية مع لغة فيجوال بيسك مع بعض التعديلات التي تتلاءم مع طبيعتها
6. ActiveX ..
تطبيقات صغيرة تسمح لمواقع الويب بتوفير محتوى مثل مقاطع الفيديو والألعاب. كما أنها تتيح لك التفاعل مع محتويات مثل أشرطة الأدوات ومؤشرات الأسهم عند استعراض الويب
يجلب الاعتماد المستمر لكود الهاتف المحمول ناقلًا آخر لانتشار البرامج الضارة عبر متجهات التسليم (delivery vectors) دائمة التطور التي تتراوح من :
1. البريد الإلكتروني (email).
2. إلى مواقع الويب الضارة (malicious websites).
3. وتطبيقات الأجهزة المحمولة الضارة (malicious mobile device applications).
تشتمل المكونات الإلكترونية (Ecomponents) التي غالبًا ما تُرى في نظام B-to-C على عناصر (components) :
1. التسويق (marketing).
2. والمبيعات (sales).
3. وخدمة العملاء (customer service) .. مثل :
1. التخصيص (personalization).
2. والعضوية (membership).
3. وكتالوج المنتجات (product catalog).
4. وطلب العملاء / ترتيب طلبات العملاء (customer ordering).
5. والفواتير (invoicing).
6. والشحن (shipping).
7. واستبدال المخزون (inventory replacement).
8. والتدريب عبر الإنترنت (online training).
9. وإخطار المشكلة (problem notification).
تدعم خوادم التطبيقات (Application servers) ..
1. نموذج مكون معين (particular component model)
2. وتوفر الخدمات .. مثل :
1. إدارة البيانات (data management).
2. وإدارة الأمان (security management).
3. وإدارة المعاملات التجارية (transaction management) إما :
1. بشكل مباشر (directly).
2. أو من خلال الاتصال بخدمة أخرى (through connection to another service).
3. أو منتج وسيط (middleware product).
توفر خوادم التطبيقات جنبًا إلى جنب مع منتجات البرامج الوسيطة الأخرى (other middleware products) أنظمة متعددة المستويات (multitiered systems) (يمكن أن تمتد المعاملات التجارية عبر منصات وطبقات برامج متعددة). على سبيل المثال تتكون طبقة العرض التقديمي للنظام عادةً من متصفح أو تطبيق عميل آخر. سيتم استخدام خادم الويب (web server) لـ :
1. إدارة محتوى الويب (manage web content).
2. وإدارة اتصالات الويب (manage web connections).
وسيتم توفير ..
1. منطق الأعمال (business logic).
2. والخدمات الأخرى (other services).
بواسطة خادم التطبيق (application server) وسيتم استخدام :
1. قاعدة بيانات واحدة (one database)
2. أو أكثر من قاعدة بيانات (more database) لتخزين البيانات.
تلعب قواعد البيانات دورًا رئيسيًا (key role) في معظم أنظمة التجارة الإلكترونية .. حيث :
1. تحافظ على البيانات لصفحات مواقع الويب (maintaining data for website pages).
2. وتراكم معلومات العملاء (accumulating customer information).
3. وتخزين بيانات تدفق النقر لتحليل استخدام الموقع (storing click-stream data for analyzing website usage).
لتوفير الوظائف الكاملة وتحقيق الكفاءات الخلفية قد يتضمن نظام التجارة الإلكترونية اتصالات بالأنظمة القديمة الداخلية –
1. المحاسبة (accounting).
2. أو إدارة المخزون (inventory management).
3. أو نظام تخطيط موارد المؤسسة (enterprise resource planning system - ERP)
4. أو أنظمة شركاء الأعمال (business partner systems).
وبالتالي يتم إضافة المزيد من :
1. منطق الأعمال (business logic).
2. ومستويات استمرارية البيانات (data persistence tiers).
لأسباب تتعلق بالأمان لا ينبغي تخزين بيانات العملاء الدائمة على خوادم الويب (web servers) التي يتم عرضها مباشرة على الإنترنت.
من المحتمل أيضًا أن تشكل لغة الترميز الموسعة "نظام متفق عليه لتشكيل النصوص" (XML) جزءًا مهمًا من بنية التجارة الإلكترونية الشاملة للمؤسسة. في حين تم تصميم لغة الترميز الموسعة (XML) في الأصل على أنه أسلوب لتسهيل النشر الإلكتروني فقد تم استخدامه بسرعة كوسيط يمكنه تخزين وإحاطة أي نوع من المعلومات المنظمة بحيث يمكن تمريرها بين أنظمة الحوسبة المختلفة. برزت لغة الترميز الموسعة (XML) كوسيلة رئيسية لتبادل مجموعة متنوعة من البيانات على الويب وفي أي مكان آخر.
بالإضافة إلى لغة الترميز الموسعة (XML) الأساسي تم تطوير مجموعة متنوعة من المعايير ذات الصلة وما زال يتم تطويرها.
بعض هذه تشمل :
• لغة أوراق التنسيق الموسعة Extensible Stylesheet Language - XSL)) - تحدد كيفية تقديم مستند لغة الترميز الموسعة (XML) على سبيل المثال على صفحة ويب)
• XML query (XQuery) يتعامل مع الاستعلام عن بيانات تنسيق لغة الترميز الموسعة (XML)
• XML encryption يتعامل مع تشفير مستندات لغة الترميز الموسعة (XML) وفك تشفيرها والتوقيع عليها رقميًا
فرع مهم بشكل خاص من لغة الترميز الموسعة (XML) هو خدمات الويب (web services). تمثل خدمات الويب طريقة لاستخدام معلومات تنسيق لغة الترميز الموسعة (XML) لاستدعاء المعالجة عن بُعد (remotely invoke processing). نظرًا لأن رسالة خدمات الويب يمكن أن تحتوي على كل من :
1. مستند لغة الترميز الموسعة (XML document).
2. والمخطط المقابل (corresponding schema).
الذي يحدد المستند .. فمن الناحية النظرية .. فهي تصف ذاتيًا وتساعد في تحقيق هدف "الاقتران غير المحكم / ضعيف loose coupling".
إذا تغير تنسيق رسالة خدمات الويب (format of a web services message changes) .. ستستمر خدمات الويب المستقبلة في العمل .. بشرط تحديث المخطط المصاحب (accompanying schema is updated). هذه الميزة جنبًا إلى جنب مع دعم خدمات الويب (support for web services) تعني أن خدمات الويب هي الآن البرامج الوسيطة الرئيسية (key middleware) لتوصيل أنظمة الويب الموزعة.
من الضروري التوصل إلى بعض الاتفاق حول تعريفات البيانات الوصفية (metadata definitions) لخدمات الويب لتكون بمثابة وسيلة لتمكين المعالجة التعاونية عبر الحدود التنظيمية (cooperative processing across organizational boundaries). البيانات الوصفية هي بيانات حول البيانات (Metadata are data about data) ويشار إلى المصطلح في معايير خدمات الويب على أنه الاونتولوجيا (ontology). قد يتم استدعاء خدمات الويب بنجاح وقد يتم تحليل بيانات لغة الترميز الموسعة (XML) الناتجة بنجاح بواسطة برنامج الاتصال ولكن لاستخدام هذه البيانات بشكل فعال من الضروري فهم المعنى التجاري للبيانات. هذا مشابه للمحاولات السابقة في الحوسبة بين المنظمات (مثل التبادل الإلكتروني للبيانات) حيث كان من الضروري الاتفاق مسبقًا على تنسيقات ومعاني المستندات الإلكترونية.
مخاطر التجارة الإلكترونية (Ecommerce Risk) :
تعتمد التجارة الإلكترونية .. مثل أي شكل آخر من أشكال التجارة .. على وجود مستوى من الثقة (level of trust) بين طرفين.
على سبيل المثال يمثل الإنترنت تحديًا بين المشتري والبائع على غرار ما يواجهه كتالوج أو بائع تجزئة بالبريد المباشر. تثبت التحديات للمشترين أن البائعين هم من يقولون إن معلوماتهم الشخصية (personal information) .. مثل أرقام بطاقات الائتمان credit card numbers (وغيرها من معلومات التعريف الشخصية) ، ستبقى سرية ؛ وأن البائعين لا يستطيعون فيما بعد دحض حدوث معاملة صحيحة.
بعض أهم العناصر المعرضة للخطر هي : 5 عناصر
• السرية (Confidentiality) - يهتم المستهلكون المحتملون بتزويد البائعين غير المعروفين بمعلومات شخصية (أحيانًا حساسة) لعدد من الأسباب بما في ذلك السرقة المحتملة لمعلومات بطاقة الائتمان من البائع بعد الشراء. يتطلب الاتصال بالإنترنت عبر مستعرض تشغيل برنامج على الكمبيوتر تم تطويره بواسطة شخص غير معروف للمؤسسة. علاوة على ذلك فإن وسيلة الإنترنت هي شبكة بث (broadcast network) مما يعني أن كل ما يوضع عليها يتم توجيهه عبر مسارات واسعة النطاق وغير متحكم فيها بشكل أساسي. يوسع الاتجاه الحالي للاستعانة بمصادر خارجية وخدمات الاستضافة على السحابة نطاق المخاطر إلى ما وراء حدود الكيان المتعامل.
من المهم أن تأخذ في الاعتبار أهمية القضايا الأمنية التي تتجاوز أهداف السرية.
• النزاهة (Integrity) - قد تكون البيانات سواء أثناء :
1. النقل (transit).
2. أو التخزين (storage).
عرضة لـ :
1. التغيير (alteration).
2. أو الحذف (deletion).
غير المصرح به unauthorized (أي القرصنة أو نظام الأعمال الإلكترونية نفسه قد يكون به مشاكل في التصميم أو التكوين).
• التوافر (Availability) - يتيح الإنترنت للعملاء القيام بأعمال تجارية على مدار 24 ساعة وسبعة أيام في الأسبوع.
ومن ثم فإن التوافر / الاتاحة العالية (high availability) مهم .. مع ظهور فشل أي نظام على الفور للعملاء أو الشركاء التجاريين.
• المصادقة وعدم الإنكار (Authentication and nonrepudiation) - يجب أن يكون طرفا المعاملة الإلكترونية في علاقة عمل معروفة وموثوقة الأمر الذي يتطلب إثبات هويتهما قبل تنفيذ المعاملة لمنع هجمات الرجل الوسيط man-in-the-middle attacks (أي منع البائع من كونه محتال). بعد ذلك .. بعد وقوع الواقعة .. يجب أن تكون هناك طريقة ما لضمان عدم تمكن الأطراف المتعاملة من إنكار أن المعاملة قد اكتملت والشروط التي تم بموجبها إكمالها.
• تحول القوة إلى العملاء (Power shift to customers) - يمنح الإنترنت المستهلكين وصولاً لا مثيل له إلى معلومات السوق ويسهل بشكل عام الانتقال بين الموردين. تحتاج المنظمات المشاركة في الأعمال التجارية الإلكترونية إلى جعل عروضها جذابة وسلسة من حيث تقديم الخدمات. لن يشمل ذلك تصميم النظام فحسب بل يشمل أيضًا إعادة هندسة العمليات التجارية. يجب أن تكون عمليات الدعم الخلفية فعالة قدر الإمكان لأنه .. في كثير من الحالات .. يؤدي القيام بالأعمال التجارية عبر الإنترنت إلى خفض الأسعار (على سبيل المثال السمسرة في الأسهم عبر الإنترنت). لتجنب فقدان ميزتها التنافسية لممارسة الأعمال التجارية عبر الإنترنت تحتاج المؤسسات إلى تعزيز خدماتها والتمييز عن المنافسة وبناء قيمة إضافية. يوضح هذا الدافع لتخصيص مواقع الويب من خلال استهداف المحتوى بناءً على سلوك العملاء الذي تم تحليله والسماح بالاتصال المباشر مع الموظفين من خلال تقنية المراسلة الفورية والوسائل الأخرى.
على وجه التحديد عند تطبيق تكامل تطبيقات المؤسساتenterprise application integration - EAI) ) يجب على المؤسسات إنشاء واجهات عبر الإنترنت (online interfaces) والتأكد من أن هذه الواجهات تتواصل مع :
1. قواعد البيانات الحالية (existing databases).
2. والأنظمة الحالية (existing systems).
لخدمة العملاء ومعالجة الطلبات (customer service and order processing).
المصطلح الذي يشار إليه غالبًا في إنشاء هذا الاتصال هو "البرامج الوسيطة middleware" ، والتي يتم تعريفها على أنها برامج وخدمات مستقلة تستخدمها تطبيقات الأعمال الموزعة لمشاركة موارد الحوسبة عبر تقنيات غير متجانسة (heterogeneous technologies). مدى من
من المحتمل نشر تقنيات البرامج الوسيطة .. مثل :
1. وسطاء الرسائل (message brokers).
2. والبوابات (gateways).
3. ومديرو العمليات (process managers).
4. وبرامج تحويل البيانات (data transformation software).
5. ونقل ملفات البيانات (data file transfer).
لإنشاء بنية أساسية للتكامل (integration infrastructure). على نحو متزايد لن يُنظر إلى التكامل على أنه مسؤولية فريق تطوير التطبيق الفردي ولكن كشيء يجب إدارته عبر المؤسسة باستخدام نهج وتقنيات معيارية (standard approach and technologies).
دور مدقق نظم المعلومات في عملية التجارة الإلكترونية .. يجب على مدقق نظم المعلومات مراجعة ما يلي :
• اتفاقيات ربط معدة قبل الدخول في اتفاقية التجارة الإلكترونية (Interconnection agreements prepared prior to engaging in an ecommerce agreement). يمكن أن تكون هذه الاتفاقيات بسيطة مثل قبول شروط الاستخدام للشروط والأحكام التفصيلية التي يجب وضعها قبل إنشاء روابط التجارة الإلكترونية.
• آليات وإجراءات الأمان التي تشكل مجتمعة بنية أمان للتجارة الإلكترونية (Security mechanisms and procedures that, taken together, constitute a security architecture for ecommerce)
على سبيل المثال :
1. جدران حماية الإنترنت (Internet firewalls).
2. والبنية التحتية للمفتاح العام public key infrastructure [PKI].
3. والتشفير (encryption).
4. والتصديق (certificates).
5. وامتثال PCI DSS (PCI DSS compliance). معيار أمن بيانات صناعة بطاقات الدفع (Payment Card Industry Data Security Standard)
6. وإدارة كلمات المرور (password management).
• آليات جدار الحماية (Firewall mechanisms) الموجود للتوسط بين الشبكة العامة public network (الإنترنت) والشبكة الخاصة للمؤسسة (organization’s private network).
• عملية (process) يمكن من خلالها تحديد المشاركين في معاملة التجارة الإلكترونية بشكل فريد وإيجابي ..
على سبيل المثال :
1. عملية استخدام مزيج من تشفير المفاتيح العامة والخاصة (public and private key encryption).
2. والتصديق على أزواج المفاتيح (certifying key pairs).
• الإجراءات المعمول بها للتحكم في التغييرات في وجود التجارة الإلكترونية
• سجلات تطبيق التجارة الإلكترونية (Ecommerce application logs) والتي يتم مراقبتها من قبل الموظفين المسؤولين. يتضمن ذلك :
1. سجلات نظام التشغيل (OS logs).
2. ورسائل وحدة التحكم (console messages).
3. رسائل إدارة الشبكة (network management messages).
4. وسجلات وتنبيهات جدار الحماية (firewall logs and alerts)
5. ورسائل إدارة جهاز التوجيه (router management messages).
6. وإنذارات كشف التسلل (intrusion detection alarms).
7. وإحصائيات التطبيق والخادم (application and server statistics).
8. وفحوصات سلامة النظام (system integrity checks).
• طرق وإجراءات التعرف على الخروقات الأمنية عند حدوثها (أنظمة كشف التسلل القائمة على الشبكة والمضيف IDSs)
• ميزات في تطبيقات التجارة الإلكترونية لإعادة بناء النشاط الذي يقوم به التطبيق
• إجراءات الحماية المعمول بها لضمان عدم الإفصاح عن البيانات التي يتم جمعها عن الأفراد دون موافقة الأفراد أو استخدامها لأغراض أخرى غير تلك التي تم جمعها من أجلها
• وسائل لضمان سرية البيانات التي يتم توصيلها بين :
1. العملاء (customers).
2. والموردين (vendors).
(حماية الموارد مثل من خلال طبقة مآخذ التوصيل الآمنة المشفرة safeguarding resources such as through encrypted Secure Sockets Layer [SSL]
• آليات حماية وجود التجارة الإلكترونية ودعم الشبكات الخاصة من فيروسات الكمبيوتر ومنعها من نشر الفيروسات للعملاء والموردين
• الميزات الموجودة في بنية التجارة الإلكترونية للحفاظ على جميع المكونات من الفشل والسماح لها بإصلاح نفسها .. في حالة فشلها
• خطط وإجراءات لمواصلة أنشطة التجارة الإلكترونية في حالة انقطاع ممتد للموارد المطلوبة للمعالجة العادية
• ممارسات وإجراءات مفهومة بشكل عام لتحديد نوايا الإدارة لأمن التجارة الإلكترونية
• المسؤوليات المشتركة داخل منظمة لأمن التجارة الإلكترونية
• الاتصالات من البائعين إلى العملاء حول مستوى الأمان في بنية التجارة الإلكترونية
• البرامج المنتظمة للتدقيق والتقييم لأمن بيئات التجارة الإلكترونية وتطبيقاتها لتوفير ضمان بأن الضوابط موجودة وفعالة
رابط ملف الـ PDF الخاص بالمحاضرة
شكرا لك استاذ احمد ...
ردحذفاول مرة اشوف محتوى رائع بهذا الشكل بخصوص تدقيق نظم المعلومات