السبت، 24 أكتوبر 2015

حماية تطبيقات الإنترنت

لم تعد مواقع الإنترنت جامدة تقتصر على عرض المعلومات ، بل أصبحت أكثر تفاعلية ، حيث يمكن للمستخدم الاضافة والحذف والتعديل والتفاعل مع الموقع بشكل كبير جداً، وهو ما يطلق عليه الآن بتطبيقات الإنترنت ، وهذا التفاعل بين تطبيق الإنترنت والمستخدم يلزم توفير مستوى عالي من الأمن المعلوماتي، وذلك لحماية البيانات التي يرسلها المستخدم والتي قد تكون سرية كاسم المستخدم وكلمة المرور ورقم بطاقة الإئتمان وغيرها، وفيما يلي عرض لأهم وسائل حماية تطبيقات الإنترنت.

أولاً: جدار الحماية (Firewall):


جدار الحماية عبارة عن برنامج أو جهاز يتحكم في عملية الاتصال بين الحاسب والإنترنت أو بين شبكة حاسب أووأخرى، حيث يقوم بمنع البرامج الضارة والمتسللين من الوصول إلى جهاز الحاسب ، وذلك بمراجعة المعلومات التي يتم تبادلها مع الإنترنت أو الشبكة، ثم السماح لها بالوصول أو حظرها . ...
ويجدر أن ننوه بأن استخدام برامج جدران الحماية لا يغني عن استخدام برامج مكافحة الفيروسات.

ثانياً: بروتوكول (http): 


لعلك تلاحظ أن أي موقع إلكتروني تقوم بفتحه عبر متصفح الإنترنت له عنوان خاص به، ويبدأ بـ (http) وهو اختصار للجملة ( Hypertext Transfer Protocol) ويسمى هذا ببروتوكول نقل النص التشعبي (البروتوكول: هو الطريقة التي يتخاطب بها جهاز المرسل والمستقبل) وهو مسؤول عن نقل وعرض صفحات مواقع الإنترنت ، ويُعاب على بروتوكول (http) أن البيانات التي يتم ارسالها من قبل المستخدم غير مشفرة ،وبالتالي يمكن اعتراضها وسرقتها وهذه معضلة كبيرة في أمن المعلومات لا سيما إذا كانت هذه البيانات مهمة كاسم المستخدم وكلمة المرور ورقم بطاثة الإئتمان ... وغيرها.
ولحل هذه المعلضلة فقد تم تطوير هذا البروتوكول إلى البروتوكول الآمن والمسمى (https) وهو نفس البروتوكول السابق مدعوم ببروتوكول (SSL/TLS ) ، والذي يقوم بتشفير البيانات المدخلة في المتصفح أثناء تنقلها بين جهاز المرسل والمستقبل ، ونلاحظ أن جميع المواقع التي تتطلب بيانات خاصة وسرية تستخدم هذا البروتوكول كموقع نظام نور للإدارة التربوية التابع   لوزارة التعليم.

ثالثاً: التوقيع الرقمي (Digital Signature) :


عندما يأتيك  خطاب ورقي موقع من مدير المدرسة فإن هذا دليل على صحة الخطاب، ولكن الإنترنت لا يمكن تطبيق ذلك بنفس الصورة ، بل ابتكر ما يسمى بالتوقيع الرقمي وهو عبارة عن علامة أو برهان إلكتروني يتم إضافته للملفات يتيح للمستخدم مستقبل الملف التأكد من أن الملف على صورته وشكله الأساسي ولم يتعرض للتعديل والتزييف .
ويحتوي التوقيع الرقمي على قيمة خوارزمية فريدة تمثل بصمة خاصة للملف ويتم حساب هذه القيمة بالاعتماد على محتويات الملف، ومن ثم يتم إضافة هذه القيمة إلى الملف عند إرساله، وعند فتح الملف من قبل المستقبل يتم حساب القيمة مرة أخرى وفقاً لمحتويات الملف فإذا اختلفت هذه القيمة يعني هذا ان محتويات الملف قد تغيرت ويصبح الملف مزور ، ويطلق على هذه القيمة اسم قيمة هاش (Hash Value )  أو نتيجة هاش (Hash result ).

رابعاً: الشهادات الرقمية ( Digital Certificates):


عندما تريد أن تتأكد من معرض تجاري أو مصرف فإنك تطلب من المسؤولين تصاريحهم الرسمية كالسجل التجاري مثلاً، ولكن على شبكة الإنترنت يختلف الوضع إذ لا يمكن الاعتماد على ذلك، ولذلك وجدت حلول أخرى ومنها ما يسمى بالشهادة الرقمية .
الشهادة الرقمية: هي عبارة عن وثيقة إلكترونية تمنح من قبل هيئات عالمية تسمى هيئة إصدار الشهادات )
Certificates Authority) ، تقوم هذه الشهادة بتوثيق جهة ما كالبنوك أو المواقع التجارية المختلفة وتحتوي الشهادة على اسم الشركة أو الجهة ، تاريخ صلاحية الشهادة، رقم تسلسلي مفتاح التشفير العام ، والتوقيع الإلكتروني للجهة المانحة...
وداد الحربي


مرسلة بواسطة في هناك تعليق واحد:

السبت، 17 أكتوبر 2015

علوم وأنظمة تشفير المعلومات


   هناك من بين ملفاتك المخزنة على حاسبك الشخصي ما هو مهم وسري لا تريد لأحد أن يطلع عليه، وكذلك الحال بالنسبة للمنظمات والشركات فهناك ملفات تحوي بيانات مهمة وسرية لا ينبغي الاطلاع عليها إلا من قبل الأشخاص المصرح لهم. وفي هذه الحالة يجب علينا حفظ هذه الملفات والبيانات بطريقة يصعب التعرف على محتوياتها حتى لو تعرضت للسرقة او الاختراق ، وهو ما يسمى بعملية التشفير . وقد استخدم التشفير في الحروب قديماً وذلك بتشفير الرسائل عند نقلها وتغيير شكلها الحقيقي وبالتالي يصعب كشفها حتى لو سقطت في أيدي العدو.

تعريف تشفير المعلومات:

هو وسيلة لحفظ البيانات بصورة تختلف عن محتواها الأصلي باستخدام معادلات وخوارزم رياضية معقدة ، ويتم إعادتها إلى شكلها الأصلي بطرق خاصة يعرفها المرسل والمستقبل . للاطلاع انقر هنا

أنواع أنظمة التشفير:

هناك نوعان للتشفير وهي كما يلي:

التشفير المتماثل (Symmetric Cryptography ):

يستخدم هذا النوع مفتاح واحد للتشفير وفك التشفير . ويجب المحافظة على سرية مفتاح التشفير لأن من يحصل على هذا المفتاح يستطيع فك عملية التشفير .

ولتوضيح هذا النوع من التشفير انقر هنا .

التشفير غير المتماثل ( Asymmetric Cryptography ):

يعتمد هذا النوع من التشفير على مفتاحين أحدهما للتشفير ويسمى المفتاح العام (Public key ) ، والآخر يستخدم لفك التشفير ويسمى المفتاح الخاص  ( Privale key ) ، وبالتالي من يشفر بهذه الطريقة يستخدم المفتاح العام والذي يكونن معروف لدى الجميع ومن ثم يتم إرسال الرسالة فقط دون مفتاحها ، ويقوم مستقبل الرسالة بفكها من خلال مفتاحه الخاص والذي يكون معروف لديه دون غيره.

تشفير الشبكات اللاسلكية:

لا شك أن الاتصال بالشبكة لاسلكياً أسهل ومرغوب بشكل أكثر من استخدام كيابل الشبكة لأسباب تتعلق بتقييد التنقل وحرية العمل ، ولكن استخدام الشبكات اللاسلكية دون تشفير يعرضها للخطر ، إذ يمكن لأي مستخدم الاتصال بالشبكة متى ما توفرت لديه، وبالتالي يعرض جميع الأجهزة المتصلة بالشبكة لخطر أمن المعلومات .
 وحل ذلك يجب علينا تشفير اتصال الشبكة اللاسلكية وذلك باستخدام أنظمة التشفير المتوفرة مع وسائل الاتصال اللاسلكية سواء في أجهزة الحاسب أو أجهزة الاتصال بالإنترنت أو أجهزة الجوال وغيرها. وهناك عدة أنواع لتشفير الشبكات اللاسلكية ومنها:

1-نظام التشفير (WEP) :

وهو اختصار للجملة ( Wired Equivalency Protocol ) وينقسم لنوعين هما:
  • نظام التشفير ( Bit WEP 64 ): ويسمى بمفتاح التشفير المشترك ، وفيه يتكون مفتاح التشفير من (10) خانات، ويستخدم لكتابة الأرقام من (0) إلى (9) والحروف الإنجليزية (A) إلى (F) فقط، وهي تشكل ما يسمى بالأرقام الست عشرية ، مثال: مفتاح التشفير (A12345678H) غير صحيح لأن حرف (H) ليس من سلسلة الأعداد الست عشرية.
  • نظام التشفير (Bit WEP 128): وفيه يتم كتابة مفتاح التشفير بنفس الطريقة السابقة ، ولكن يجب أن يكون طولها عبارة عن (26) خانة تنتمي جميعها إلى الأرقام الست عشرية.

2-نظام التشفير (WPA): 

وهو اختصار للجملة (WI-FI Protected )، ويتكون مفتاح التشفير من (8) خانات يستخدم فيها جميع الأرقام والأحرف الإنجليزية .

  3-نظام التشفير(WPA2):

وهو مشابه تماماً للنظام (WPA) ، لكنه يستخدم خوارزميات حديثة وأقوى للتشفير ، ويعد أفضل أنواع التشفير للشبكات اللاسلكية.


وداد الحربي*

مرسلة بواسطة في ليست هناك تعليقات:

الخميس، 15 أكتوبر 2015

أمن المعلومات

1-عناصر أمن المعلومات:

للمحافظة على أمن البيانات و المعلومات في البرنامج أو النظام الذي نتعامل معه يجب أن تتوفر ثلاثة عناصر هي : السرية , السلامة , والتوافر والإتاحة, وفيما يلي توضيح لها:

1-السرية ( Confidentiality ):

تعني منع الوصول إلى المعلومات إلا من الأشخاص المصرح لهم فقط سواء عند تخزينها أو عند نقلها عبر وسائل الاتصال , وكذلك تحديد صلاحية التعديل والحذف والإضافة .

2-السلامة ( Integrity ):

المقصود بها أن تكون المعلومة صحيحة عند إدخالها ، وكذلك أثناء تنقلها بين الأجهزة في الشبكة وذلك باستخدام مجموعة من الأساليب والأنظمة.

3-التوافر والإتاحة ( Availability ):

تعني بقاء المعلومة متوفرة للمستخدم وإمكانية الوصول إليها ، وعدم تعطل ذلك نتيجة لخلل في أنظمة إدارة قواعد المعلومات والبيانات أو وسائل الاتصال.

 2-تهديدات أمن المعلومات :

تتعرض المعلومات أثناء استخدامنا لأجهزة الحاسب و الأجهزة الذكية لكثير من المخاطر، وتتنوع هذه المخاطر فمنها تتمثل في الحرائق والغرق والزلازل والبراكين وغيرها، ومنها مخاطر عامة كانقطاع التيار الكهربائي والإنترنت ومنها مخاطر إلكترونية تتمثل في انتحال الشخصية ، التنصت ، الفيروسات ، الاختراق ،والتجسس والتي تتنوع وتتطور بشكل مستمر نتيجة لتطور وتقدم التقنية ، ومن أبرز التهديدات الإلكترونية ما يلي:

1-انتحال الشخصية ( Falsifying User Identities ):

في مثل هذه الحالة يتم استخدام هوية مستخدم ما ( اسم المستخدم وكلمة المرور) للحصول على معلومات سرية أو أمنية أو مبالغ نقدية ، ويتم ذلك بعدة طرق منها:
  • تخمين اسم المستخدم وكلمة المرور . ومما يسهل الأمر إذا كان اسم المستخدم وكلمة المرور سهلة أو ذات دلالة بصاحب الحساب ( كاسمه وتاريخ ميلاده).
  • إرسال رسالة للمستهدفين يطلب منهم تحديث بياناتهم البنكية أو غبرها عبر روابط تحوي صفحات مشابهة تماماً للموقع الأصلي، في حين أن البيانات تذهب لمعد هذه الصفحة.
  • استخدام أجهزة أو برامج تقوك بتسجيل كل ما يتم النقر عليه في لوحة المفاتيح وإرسالة إلى بريد إلكتروني معين.
  • الاتصال مباشرة على المستهدفين والإدعاء بأنه موظف في شركة أو بنك ويطلب المعلومات السرية بحجة تحديث النظام أو ما شابه ذلك.

2-التنصت( Eavesdropping ):

يتم الحصول على المعلومات بهذه الطريقة عن طريق التنصتعلى حزم البيانات أثناء تنقلها عبر شبكات الحاسب ، ومما يسهل ذلك أنن تكون حزم هذه البيانات غير مشفرة .

3-الفيروسات (Viruses ):

عبارة عن برامج قام بتطويرها وكتابتها مبرمجين محترفين ؛ بهدف تنفيذ أوامر معينة في جهاز الضحية كإلحاق الضرر بالحاسب وما يحتويه من بيانات ، أو فتح منافذ في الحاسب يمكن عن طريقها اختراقه ومراقبته.
وهناك أنواع للفيروسات يمكن تقسيمها كما يلي:

  • الفيروس: عبارة عن برامج تنفيذية تهدف إلى تحقيق أهداف محددة أو إحداث خلل في نظام الحاسب.
  • الدودة (worm): سميت بذلك لأنها قادرة على نسخ نفسها والنتشار سريعاً عبر وسائل الاتصال كالبريد الإلكتروني ، بهدف تحقيق أهداف محددة.
  • حصان طروادة (Trojan Horse ):سمي هذا الفيروس بحصان طروادة لأنه يذكر بالقصة الشهيرة لحصان طروادة ،حيث اختبأ الجنود اليونان داخلة واستطاعوا اقتحام مدينة طروادة والتغلب على جيشها ، وبالتالي فإن هذا الفيروس يكون مرفقاً مع برنامج دون علم المستخدم ، ويهدف إلى سرقة البيانات وكشف كلمة المرور والحسابات المصرفية.
  • الاختراق(Penetration ): محاولة الوصول إلى أجهزة وأنظمة الأفراد او المنظمات والشركات باستخدام برامج خاصة عن طريق ثغرات في نظام الحماية بهدف الحصول على معلومات أو تخريب تلك الأنظمة و إلحاق الضرر بها.
  • التجسس (Spyware ): نوع من الاختراق يقتصر على معرفة محتويات النظام المستهدف بشكل مستمر دون إلحاق الضرر به.

3-أنظمة المملكة العربية السعودية في مكافحة جرائم أمن المعلومات:

نظراً لأهمية الأمن المعلوماتي فقد صدر نظام مكافحة جرائم المعلوماتية في المملكة العربية السعودية وذلك بقرار من مجلس الوزراء برقم 79 وتاريخ 7\3\1428هـ ، وتمت المصادقة عليه بموجب المرسوم الملكي الكريم رقم م \17 وتاريخ 8\3\1428هـ ، ويهدف هذا النظام إلى الحد من وقوع جرائم المعلوماتية، وذلك بتحديد هذه الجرائم والعقوبات المقررة لكل منها ،مما يسهم فيما يلي:
  1. المساعدة على تحقيق الأمن المعلوماتي.
  2. حفظ الحقوق المترتبة على الاستخدام المشروع للحاسبات الآلية والشبكات المعلوماتية.
  3. حماية المصلحة العامة، والأخلاق والآداب العامة.
  4. حماية الاقتصاد الوطني.
وداد الحربي

مرسلة بواسطة في ليست هناك تعليقات:
الاشتراك في: الرسائل (Atom)