تسجيل دخول الاعضاء
أمن امواقع المنشآت الإلكترونيه
منتدى برنامج حياه على النت باذاعة صوت العرب :: أمن و حماية البريد الإلكترونى :: أمن و حماية المعلومات
صفحة 3 من اصل 2
صفحة 2 من اصل 2 • 
1, 2
نصيحه لاصحاب المواقع لكي يتفادو الهجوم على مواقعهم
من طرف manal kamal الثلاثاء يناير 26, 2010 12:49 pm
1- عدم حفظ الباسوورد الخاصة بمواقعهم في الويندوز عندما يسألهم المتصفح ذلك .
2- عدم الإعتماد على الويندوز 95 لوجود ثغرة كبيرة فيه يمكن الدخول من خلالها والتي تم تفاديها في الإصدارات التي تلتها من دون اعتراف الميكروسوفت بذلك .
3- الطلب من الشركة التي تستضيف موقعهم بعدم السماح للسيرفر بتقبل الملفات من نوع exe .
4- عدم استعمال برامج ftp لتحميل ملفاتهم الى السيرفر المستضيف لموقعهم لسهولة الحصول على الملف الخاص بالباسوورد واسم المستخدم من ملفات البرنامج نفسه عند اختراق اجهزتهم.5- عدم استعمال البرامج التي تدعي الحماية انها تحمي من الهكر المبتدئين لكنها تسهل المهمة على المتقدمين بسبب تحكمها الكبير على انظمة الدخول الى السيرفر .
2- عدم الإعتماد على الويندوز 95 لوجود ثغرة كبيرة فيه يمكن الدخول من خلالها والتي تم تفاديها في الإصدارات التي تلتها من دون اعتراف الميكروسوفت بذلك .
3- الطلب من الشركة التي تستضيف موقعهم بعدم السماح للسيرفر بتقبل الملفات من نوع exe .
4- عدم استعمال برامج ftp لتحميل ملفاتهم الى السيرفر المستضيف لموقعهم لسهولة الحصول على الملف الخاص بالباسوورد واسم المستخدم من ملفات البرنامج نفسه عند اختراق اجهزتهم.5- عدم استعمال البرامج التي تدعي الحماية انها تحمي من الهكر المبتدئين لكنها تسهل المهمة على المتقدمين بسبب تحكمها الكبير على انظمة الدخول الى السيرفر .
manal kamal- مدير المنتدى
- تاريخ التسجيل : 19/01/2010
-
أمن المعلومات فى المنشأت
من طرف manal kamal الخميس مارس 04, 2010 12:17 pm
إن التطرق إلى أمن المعلومات في أي منشأة يعتبر من الموجبات التي لا يمكن الاستغناء عنها، حال الانتهاء من إكتمال البنية التحتية لها أو حتى أن تسير بصورة متوازية معها. وهنا تكمن الحاجة إلى وضع خطوط واضحة ومدروسة بصورة فنية عن ما هو المطلوب تحقيقه من مفهوم الأمن لتقنية المعلومات. إن هذا الأمر يعتمد بالدرجة الأولى على مدى حاجة المنشأة من هذه التقنية والذي يعتمد أساسا على طبيعة الخدمات التي تقدمها. حيث إنها من الممكن أن تأتي على هيئة شريحة واحدة One Layer وفي داخل هذه الشريحة مجموعة من البرامج والأجهزة المتخصصة أو قد تأتي على عدة شرائح Multi Layers والتي تتيح للمنشأة توفير حماية أكبر لبنيتها التحتية بدءا من شبكة العمل المحلية والخارجية والتطبيقات الجاهزة والمطورة وخوادم الملفات وأجهزة الكمبيوتر والطابعات وإنتهاء بأجهزة التخزين وما تحتويه من البيانات المخزنة والمؤرشفة بكافة أنواعها. على سبيل المثال، معظم إن لم يكن جميع شركات الاتصالات والبنوك وأسواق الأسهم والجهات الأمنية والعسكرية والمطارات تعمل بمبدأ مستويات أمنية متعددة من الشرائح لحساسية المعلومات التي تتعامل بها وللكم الهائل منها. لذا فإن وضع سياسة لأمن المعلومات، والتي لربما تعتبر من أكثر الأمور صعوبة وحساسية، وقبل البدء بتطبيق نظام أمن المعلومات يجب أن يكون من أولويات الجهة المعنية بتقنية المعلومات في أي منشأة. وأن هذه السياسة يجب أن تكون واضحة المعالم لجميع منسوبي المنشأة بحيث يكون معروفا مسبقا حقوق وواجبات كل مستخدم ومستفيد من تقنية المعلومات. إذن ما هي الأهداف المرجوة من وضع سياسة أمنية للمعلومات، وبالتالي العمل بها، يمكن الإجابة على ذلك بأهداف قد تكون عامة وقد يكون البعض منها خاصا، كأن يكون الهدف هو منع حصول الاختراقات الأمنية، قدر الإمكان، من خارج أو حتى من داخل المنشأة الواحدة لغير المصرح لهم والحد من مهاجمة الفيروسات للبنية التحتية والتقليل أو حتى منع وصول الرسائل الإلكترونية غير المرغوب فيها، هذه الأهداف وما شابهها تعتبر عامة ومشتركة. أما من أهم الأهداف الخاصة والتي لربما تكون دعائية هي أن لا تكون سمعة المنشأة محلا للشبهات أمام من يتعامل معها وأن بنيتها التحتية غير قابلة للاختراق الأمني وهو هدف له تأثير معنوي أكثر من كونه تقنيا.
بعد أن يتم وضع أهداف محددة لأمن تقنية المعلومات تكون الأمور قد أصبحت ممهدة للبدء في التطبيق الفعلي وفق خطة مدروسة تفي بمتطلبات البنية التحتية للمنشأة والتي من الممكن تطبيقها على مراحل أو في مرحلة واحدة. حيث يبدأ العمل على أثرها في تركيب الأجهزة والبرامج المتخصصة من خوادم ملفات والجدران النارية Firewalls ومكونات شبكة العمل المحلية والخارجية وخطوط الاتصال والربط وخدمات الإنترنت وبرامج مكافحة الفيروسات والدخلاء أو غير المصرح لهم على مستوى معين وغيرها. بعد الانتهاء من ذلك، تقع على عاتق الفنيين في إدارة تقنية المعلومات مهمة متابعة ومراقبة أداء العمل في داخل منظومة أمن المعلومات. وهنا تكمن أهمية وضع سياسة خاصة لكيفية متابعة ومراجعة ذلك من وقت لآخر وأن تكون هذه السياسة مرنة وقابلة للتغيير وأن تتكيف مع ما يستجد من حاجات في وقتها، كأن تكون هذه المراجعة بصورة سنوية أو نصف سنوية أو ربع سنوية أو شهرية أو حسب الحاجة وعلى مدى حساسية المعلومات التي يتم التعامل بها. التثقيف التقني والمهني للمستفيد من الأمور المهمة التي يجب عدم الإغفال عنها، وذلك لرفع مستوى التفاعل مع الخطة الأمنية ولإعلامه من أن ذلك ليس موجها ضده، وإنما لمصلحته ومصلحة العمل بشكل أعم. كما ذكرنا أعلاه، تعتبر بيانات المنشأة من الأمور المهمة التي يجب حمايتها وبمستويات معينة حسب تصنيفها. ويمكن وضع تصنيف للبيانات بقدر أهميتها: بيانات ذات أهمية أو خطورة عالية ولا تكون متاحة للاطلاع عليها إلا من قبل أعلى مسئول في المنشأة والافصاح عنها يشكل خطورة، وبيانات خاصة لا يشكل الافصاح عنها خطورة ويكون ذلك عبر موافقات مسبقة وبيانات متاحة للعامة للاطلاع عليها بدون قيود.
لكي نحقق أقصى إستفادة من أمن المعلومات لا بد وأن نضع نصب أعيننا أنه بدون خطة مدروسة واضحة المعالم وتنفيذ سليم وتقييم الوضع بصورة مستمرة ووجود طاقم فني متمكن لتقديم خدمات الدعم الفني والصيانة والمتابعة كل ما دعت الحاجة إلى ذلك، فلن يكتب لها النجاح المطلوب منها.
بعد أن يتم وضع أهداف محددة لأمن تقنية المعلومات تكون الأمور قد أصبحت ممهدة للبدء في التطبيق الفعلي وفق خطة مدروسة تفي بمتطلبات البنية التحتية للمنشأة والتي من الممكن تطبيقها على مراحل أو في مرحلة واحدة. حيث يبدأ العمل على أثرها في تركيب الأجهزة والبرامج المتخصصة من خوادم ملفات والجدران النارية Firewalls ومكونات شبكة العمل المحلية والخارجية وخطوط الاتصال والربط وخدمات الإنترنت وبرامج مكافحة الفيروسات والدخلاء أو غير المصرح لهم على مستوى معين وغيرها. بعد الانتهاء من ذلك، تقع على عاتق الفنيين في إدارة تقنية المعلومات مهمة متابعة ومراقبة أداء العمل في داخل منظومة أمن المعلومات. وهنا تكمن أهمية وضع سياسة خاصة لكيفية متابعة ومراجعة ذلك من وقت لآخر وأن تكون هذه السياسة مرنة وقابلة للتغيير وأن تتكيف مع ما يستجد من حاجات في وقتها، كأن تكون هذه المراجعة بصورة سنوية أو نصف سنوية أو ربع سنوية أو شهرية أو حسب الحاجة وعلى مدى حساسية المعلومات التي يتم التعامل بها. التثقيف التقني والمهني للمستفيد من الأمور المهمة التي يجب عدم الإغفال عنها، وذلك لرفع مستوى التفاعل مع الخطة الأمنية ولإعلامه من أن ذلك ليس موجها ضده، وإنما لمصلحته ومصلحة العمل بشكل أعم. كما ذكرنا أعلاه، تعتبر بيانات المنشأة من الأمور المهمة التي يجب حمايتها وبمستويات معينة حسب تصنيفها. ويمكن وضع تصنيف للبيانات بقدر أهميتها: بيانات ذات أهمية أو خطورة عالية ولا تكون متاحة للاطلاع عليها إلا من قبل أعلى مسئول في المنشأة والافصاح عنها يشكل خطورة، وبيانات خاصة لا يشكل الافصاح عنها خطورة ويكون ذلك عبر موافقات مسبقة وبيانات متاحة للعامة للاطلاع عليها بدون قيود.
لكي نحقق أقصى إستفادة من أمن المعلومات لا بد وأن نضع نصب أعيننا أنه بدون خطة مدروسة واضحة المعالم وتنفيذ سليم وتقييم الوضع بصورة مستمرة ووجود طاقم فني متمكن لتقديم خدمات الدعم الفني والصيانة والمتابعة كل ما دعت الحاجة إلى ذلك، فلن يكتب لها النجاح المطلوب منها.
manal kamal- مدير المنتدى
- تاريخ التسجيل : 19/01/2010
-
رد: أمن امواقع المنشآت الإلكترونيه
من طرف manal kamal الثلاثاء مارس 23, 2010 6:39 am
الشركات بحاجة ماسَّة لحماية البنية التحتية عبرَ حماية النقاط النهائية، ومنصّة التراسل، وبيئة الويب. وبالإضافة إلى ما سبق، يتعيَّن على الشركات أن تضع من بين أولوياتها حماية الخوادم الداخلية ذات المهامّ الحاسمة وامتلاك المنهجية اللازمة لإنشاء النسخة الاحتياطية واسترداد البيانات في الحالات الطارئة. كما لابدَّ أن تملك الشركات الشفافية التامَّة والمعلومات الأمنية التي تمكنها من الاستجابة للتهديدات المختلفة بسرعة خاطفة.
مديرو التقنية المعلوماتية بحاجة لحماية المعلومات بطريقة استباقية عبر اعتماد منهجية لحماية المعلومات والتفاعلات على حدٍّ سواء. كما أنَّ لاعتماد منهجية مُلمَّة ومحيطة بالمحتوى لحماية المعلومات المؤسسية أهميةً بالغةً في معرفة مواقع المعلومات الحسَّاسة، وتحديد المُخوَّلين بالنفاذ إليها، ومعرفة منافذ دخولها إلى المؤسسة ومنافذ خروجها منها.
يتعيَّن على الشركات أن تعدَّ وتنفِّذَ سياسات التقنية المعلوماتية وأن (تؤتمتَ) عملية التوافق. فمن خلال تحديد أولويات الأخطار والمخاطر المحتملة وكذلك تحديد السياسات المنفذة على امتداد كافة المواقع، يمكن للشركات أن تنفِّذَ السياسات اللازمة عبرَ الأتمتة المُتضمَّنة وتدفُّق العمل المُتضمَّن، وألا ينحصر اهتمامها بتحديد التهديدات، بل سُبُل مواجهتها لحظة بروزها، وربما التنبؤ بها قبل حدوثها.
الشركات بحاجةٍ إلى إدارة نُظُمها عبر نشر بيئات تشغيل آمنة، وتوزيع وإنفاذ الحُزَم التصحيحية، وأتمتة العمليات لتحقيق الفاعلية المنشودة بطريقة انسيابية، ومراقبة حالة النظام والإخطار بأيِّ تهديدات في التوِّ واللحظة.
مديرو التقنية المعلوماتية بحاجة لحماية المعلومات بطريقة استباقية عبر اعتماد منهجية لحماية المعلومات والتفاعلات على حدٍّ سواء. كما أنَّ لاعتماد منهجية مُلمَّة ومحيطة بالمحتوى لحماية المعلومات المؤسسية أهميةً بالغةً في معرفة مواقع المعلومات الحسَّاسة، وتحديد المُخوَّلين بالنفاذ إليها، ومعرفة منافذ دخولها إلى المؤسسة ومنافذ خروجها منها.
يتعيَّن على الشركات أن تعدَّ وتنفِّذَ سياسات التقنية المعلوماتية وأن (تؤتمتَ) عملية التوافق. فمن خلال تحديد أولويات الأخطار والمخاطر المحتملة وكذلك تحديد السياسات المنفذة على امتداد كافة المواقع، يمكن للشركات أن تنفِّذَ السياسات اللازمة عبرَ الأتمتة المُتضمَّنة وتدفُّق العمل المُتضمَّن، وألا ينحصر اهتمامها بتحديد التهديدات، بل سُبُل مواجهتها لحظة بروزها، وربما التنبؤ بها قبل حدوثها.
الشركات بحاجةٍ إلى إدارة نُظُمها عبر نشر بيئات تشغيل آمنة، وتوزيع وإنفاذ الحُزَم التصحيحية، وأتمتة العمليات لتحقيق الفاعلية المنشودة بطريقة انسيابية، ومراقبة حالة النظام والإخطار بأيِّ تهديدات في التوِّ واللحظة.
manal kamal- مدير المنتدى
- تاريخ التسجيل : 19/01/2010
-
أمن المعلومات في المواقع الإلكترونية
من طرف manal kamal السبت ديسمبر 25, 2010 7:42 am
تعد الإنترنت أداة مهمة وضرورية كوسيلة اتصال وتواصل ومصدر رئيس للمعلومات، وكذلك أداة أساسية في إنجاز المعاملات والتعاملات إلكترونياً. ولكن يظل هاجس أمن المعلومات مؤرقاً للكثير من مستخدمي الشبكة. وفي هذه الحالة يجب اتخاذ كافة الإجراءات والاحتياطات الأمنية اللازمة لدرء مخاطر الاختراق والقرصنة الإلكترونية، وتوظيف الحلول الأمنية الإلكترونية المتقدمة، وسد الثغرات ومواطن الضعف في الشبكة، واستخدام أنظمة حماية المواقع وقواعد المعلومات. لكي يكتسب العمل على الإنترنت موثوقية عالية لدى مستخدميها. ولذا فإن استخدام الاحتياطات والإجراءات الأمنية من شبكية وبرمجية يساعد كثيراً في إزالة هاجس أمن المعلومات ويبعث مزيدا من الثقة على تصفح واستخدام الإنترنت، ويقلل كثيراً من مخاطر الاختراق والقرصنة المعلوماتية. ومهما كان حجم الاختراق فإن هذا لن يقلل من أهمية الإنترنت كأحد أبرز اختراعات القرن العشرين وما يليه من قرون لاحقة.
manal kamal- مدير المنتدى
- تاريخ التسجيل : 19/01/2010
-
رد: أمن امواقع المنشآت الإلكترونيه
من طرف manal kamal الأحد ديسمبر 26, 2010 7:58 am
أنسب الإِستراتيجيات لبِناء وتصميم مواقع إِنترنِت تُقَدِم خدمات ذات جودة وكفاءة عالية في المؤسسات الحكومية
تهتم الخصوصية بحق الفرد في تحديد المعلومات التي ستجمع منه أو عنه، وحقه في عدم اطلاع الآخرين عليها دون موافقة منه. وتساعد الخصوصية في الحفاظ على صحة الفرد النفسية، فتنتهك حرية الشخص وكرامته واستقلاليته عندما تُنتهك خصوصيته.
يمكن أن تشكل الإنترنت تهديدًا للخصوصية. وينشأ هذا التهديد عن عدد من العوامل، منها: أن منتجات الإنترنت غالبًا ما تنطوي على الحاجة إلى تسجيل المؤسسة أوالفرد، ويؤدي هذا التسجيل إلى زيادة الكشف عن المعلومات الشخصية من جانب المستهلكين، مما يتيح للشركات على الإنترنت عملية الاستيلاء على البيانات. كما تسمح التقنيات الجديدة بالتعرف على المستخدمين، والاستيلاء على مستويات تفصيلية متزايدة من المعلومات عنهم، كما وفرت تلك التقنيات نظما يمكنها اعتراض الرسائل الإلكترونية للأشخاص، ونظما أخرى يمكنها تتبع أبحاثهم.
اقتراحات وحلول عملية وعلمية التي يجب أن ينظر اليها كل صاحب موقع قبل وبعد تصميمه وإطلاقه وتدشين الموقع وأفضل الطرق والمعايير العالمية التي تجعل اي موقع الكتروني مفيداً وناجحاً وقابلاً للإستخدام من كافة شرائح المواطنين والمقيمين والمستخدمين:
الدعوة إلى وضع آلية تشريعية تحدد ماهية الجريمة المعلوماتية وأركانها والعقوبات المقررة لها بما يكفل تحقيق التوازن بين حق المجتمع في التداول الحر للمعلومات وحماية الكيان الاجتماعي.
إعادة النظر بتشديد العقوبات في القوانين ذات الصلة بالجريمة المعلوماتية بما يكفل الاستخدام الآمن والمشروع لتكنولوجيا المعلومات.
ارتياد آفاق جديدة في مجال التعاون الدولي لمكافحة الجريمة المعلوماتية من خلال الانضمام أو إبرام الاتفاقيات الدولية ذات الصلة.
يجب النظر لإعادة هندسة الإجراءات الحكومية من ناحية عملية وليس من ناحية تقنية بحته
يجب توفير المحتوى باللغة الرسمية للبلد.
يجب البدء بهندسة الإجراءات والتعاملات بالنظر من زاوية المستخدم أولا ومن ثم رؤية كيفية تحقيقها بناء على أنظمة وسياسات القطاع الحكومي
يجب تخصيص مسئول للإشراف على الحكومة الإلكترونية بشكل كامل ويتم تفريغه لهذا الغرض
توفير الحوافز الإضافية للمشاركين في الحكومة الإلكترونية
يجب تعليم وتدريب موظفي الحكومة بأهمية وحساسية الخصوصية والأمن في البيئة الإلكترونية
التأكد من وجود مواصفات الخصوصية عند تصميم جميع التعاملات الإلكترونية
التحكم بالدخول لقواعد البيانات والتأكد من وجود سجلات بعمليات الدخول وتواريخها ومن قام بها
تقليل المعلومات الخاصة المخزنة بأكبر قدر ممكن للقيام بالغرض المطلوب
يجب توفير جميع المحتوى المستلزم لإتمام الخدمات الإلكترونية
استخدام وسائل الإعلان لتفعيل الخدمات المقدمة في البوابة الإلكترونية
استخدام عنوان البوابة في جميع المطبوعات الإلكترونية.
إعطاء محفزات لاستخدام البوابة عوضا عن الطرق التقليدية.
وضع خطة للانتقال بشكل كامل (أو شبه كامل) للخدمات الإلكترونية.
manal kamal- مدير المنتدى
- تاريخ التسجيل : 19/01/2010
-
أمن امواقع المنشآت الإلكترونيه
من طرف manal kamal الجمعة أكتوبر 14, 2011 3:50 pm
السياسات الأمنية مطلب ضروري لمعظم مواقع المنشآت الإلكترونية، فهي تلعب دوراً هاماً في تقليل المخاطر التي قد تتعرض لها المنشأة وتؤثر عليها تقنياً عن طريق تدمير أنظمة المنشأة وخادماتها، أو معنوياً وذلك بتشويه سمعتها في حال تسربت إحدى المعلومات السرية التي تحتفظ بها المنشأة ممّا يؤدي إلى انعدام ثقة عملائها بها.
إن إحاطة موقع المنشأة الإلكتروني بنظام أمني دقيق يحقق لها ثلاثة أهداف هامّة:
1- السرّية (Confidentiality)
وذلك بمنع أي محاولات للاطلاع على محتوى البيانات من قبل أشخاص غير مخوّلين بذلك.
2- سلامة المحتوى(Integrity)
نعني بذلك التأكد من أن محتوى البيانات صحيح ولم يتم العبث به أو تغييره في جميع مراحل المعالجة التي تتعرّض لها البيانات .
3- استمرارية توفّر المعلومات (Availability)
يقصد بذلك توفر البيانات أو الخدمة في أي وقت تطلب به والتأكّد من استمرارية القدرة على التفاعل مع المعلومات .
من جانب آخر فقد رافق ظهور الشبكة العنكبوتية ظهور أنظمة تجسس واختراق تفتك بها وبمعلوماتها، وخاصة عندما أصبحت غالبية المنشآت تعتمد التعامل الإلكتروني في جميع معاملاتها ومع جميع الأطراف سواء كانوا موظفين أو عملاء، كما لوحظ بشكل واضح أن الكثير من المنشآت تعرّضت لسرقة معلوماتها وتدمير خادماتها ولازالت تعاني من هذه المعضلة حتى الوقت الحالي، ومع بروز الكثير من التقنيات التي تحاول الحدّ من تفشّي عمليات التجسس والاختراق إلا أنها لا تحقّق الأمان الكامل للمواقع الإلكترونية .
نتيجة انتشار اللاوعي وتضرّر الكثير من المنشآت كان لابد من استعراض أهم الأساليب الإجرائية والتقنية التي تستخدمها المنشآت في مواقعها الإلكترونية للحفاظ على نظامها المعلوماتي، لكي تضعها بقية المنشآت بعين الاعتبار وتعلم مدى أهمية وجودها ومدى الضرر الناتج من إهمالها، بالإضافة إلى تحديد الأولويات في حماية ممتلكات المنشأة فالسؤال الذي يتبادر إلى الذهن دائماً هو ما الذي تريد أن تحميه في منشأتك ؟ .
أولويات الحماية
لاشك بأنّ المنشأة تحوي الكثير من الممتلكات الثمينة والتي تحرص على سلامتها و أمنها ولكن عندما نضطر إلى تحديد الأولويات فإننا نجد أن الأشخاص هم أثمن ما في المنشآت والحفاظ على سلامتهم هو من أولى الأولويات، لاسيّما وأن هؤلاء الأشخاص تتنوع أدوارهم فمنهم مديرو أنظمة ومديرو شبكات ومشغّلون ومستخدمون وأصحاب عقود وشركاء تجاريون، وفي المرتبة الثانية تأتي أهمية المحافظة على البيانات التي تتمثّل في وثائق الفاكس المرسلة والمستقبلة ورسائل البريد الإلكتروني والبيانات المتنقلة عبر الشبكة والعمليات التجارية وقواعد البيانات الخاصة بالعملاء.
المراحل التمهيدية لتحقيق الأمن الإلكتروني
لابدّ من وجود أربعة مراحل تمهيدية لتحقيق الأمن في موقع المنشأة الإلكتروني وهي كالتالي:
التقييم
إنّ تقييم المخاطر المترصّدة للمنشأة أمر ضروري وذلك من خلال التقاء العاملين ومعرفة الوضع الأمني والأخذ بتوصياتهم وإرشاداتهم ووضعها بعين الاعتبار.
التصميم
إنّ استخدام أحدث تقنيات الحماية الأمنية كالجدران النارية وأنظمة كشف التطفل والتي سأتطرق إلى ذكرها بالتفصيل لاحقاً لا تحقق الحماية 100% وخاصة عندما لا يتم تحديثها باستمرار ، لذلك كان لابدّ من اعتماد هيكل أمني صلب أثناء تصميم البنية الأساسية للأمن المعلوماتي للمنشأة .
التنفيذ
بعد اختيار الهيكل الأساسي الأمني في المرحلة السابقة يتم تركيب كل الضوابط التقنية كالجدران النارية وأنظمة كشف التطفل وغيرها، وبما أن هذه التقنيات ليست آمنة 100% فلابد من حماية الخادمات المركزية وذلك بتوزيع الجهد على مجموعة من الخادمات للتقليل من الضرر .
المراقبة
لابدّ من مراقبة جميع التقنيات والإجراءات الأمنية التي تمّ وضعها في المنشأة للتأكد من استمرارية عملها على الوجه المطلوب و إصلاح الأعطاب فيما إذا اعترتها والحرص على تحديثها إذا توفّرت لها تحديثات جديدة .
الأساليب الإجرائية لحماية المواقع الإلكترونية
لابد من وجود سياسات إجرائية ثابتة في مواقع المنشآت الإلكترونية تتمثّل فيما يلي:
• بيان الخصوصية
أصبح من الضروري وضع بيان يشرح وسائل الأمان والخصوصية للموقع ويعّد هذا البيان مطلباً مهماً لكسب ثقة العملاء.
• تحديد الصلاحيات
لابدّ من وضع صلاحيات للموظفين تحكم اطلاعهم على النظام المعلوماتي للمنشأة وخاصة فيما يتعلق بالخادمات المركزية وأجهزة التخزين، فصلاحيات الموظف تختلف عن صلاحيات المشرف العام والتي تختلف بدورها عن صلاحيات مدير المنشأة.
• الحدّ من استخدام الشبكة العنكبوتية في المنشأة
إن الحد من استخدام الشبكة الخارجية من شأنه أن يقلّل الخطر الذي قد تواجهه الشبكة الداخلية للمنشأة وذلك بفرض قوانين وإرشادات يجب على الموظفين اتباعها فيما يخص عدم تصفّح المواقع المشبوهة أو تحميل برامج غير موثوقة .
• أنظمة التشغيل
مهما كان نظام التشغيل المعتمد في أجهزة الموظفين للمنشأة فإنه لابد من التأكد من سلامة هذا النظام بصورة دورية وخلّوه من أي تهديدات خارجية قد تضر المنشأة مستقبلاً.
الأساليب التقنية لحماية المواقع الإلكترونية
فيما يلي سأستعرض أهّم الأساليب المنتشرة في الوقت الحالي لحماية ممتلكات مواقع المنشآت الإلكترونية .
1. بروتوكول طبقة المقابس الآمنة SSL ) Secure Sockets Layer)
بروتوكول تشفير يعمل على توفير بيئة آمنة خلال نقل البيانات المشفرة بين المتصفح وجهاز الخادم في الموقع، وما يحدث باختصار هو أنّ المتصفح يقوم بإرسال رسالة من خلال بروتوكول SSL إلى جهاز الخادم فيستجيب ويرسل شهادة (SSL Certificate) تتضمن في محتواها المفتاح العام للموقع (Public Key)، ومن ثم يقوم المتصفح بالتحقق من هذه الشهادة من خلال ثلاثة ركائز أساسية:
أولاً: أن تكون الشهادة آتية من طرف موثوق به.
ثانياً :التحقق من سريان مفعولها في الوقت الحالي وذلك من خلال إلقاء نظرة على تاريخ إصدار الشهادة وتاريخ انتهائها .
ثالثاً: المقارنة بين اسم الموقع في الشهادة واسم الموقع في الخادم للتأكد من أن الشهادة مرتبطة بالموقع وقادمة منه.
وبعد التحقق من الشهادة يعمل على إنشاء مفتاح عشوائي للتشفير (Symmetric Key Encryption) يقوم بدوره على تشفير البيانات التي تنتقل من المتصفح إلى جهاز الخادم باستخدام بروتوكول التحكم بالإرسال وبروتوكول الإنترنت (TCP/IP) مما يضمن عدم التعرّض لهذه البيانات من قبل أي جهة أخرى فلا يمكن لأحد قراءتها سوى المرسل والمستقبل، وفي نهاية المطاف يقوم الموقع بفك شيفرة الرسالة الواردة إليه من المتصفح وذلك باستخدام مفتاح خاص بالموقع ذاته (Private Key)، ثم يستخدم المفتاح العشوائي لبقية الاتصال.
الجدير بالذكر أن استخدام هذه التقنية يعمل على إحداث تغيير طفيف في عنوان الموقع الإلكتروني كالبنك مثلاً وهذه دلالة واضحة على وجود أمن معلوماتي في المنشأة.
وعند التطرق إلى مثال البنك فإننا نلحظ عند الدخول إلى موقع البنك بأن عنوانه يبدأ بـ "http" ولكن بمجرد الضغط على صفحة تسجيل الدخول إلى الحساب فإن العنوان يتغير من "http" إلى"https " ، بالإضافة إلى أيقونة الأمان والتي تظهر في أسفل صفحة الموقع .
الجدران النارية (Firewalls)
الجدران النارية عبارة عن برنامج بسيط (Software) أو جهاز (Hardware) يقوم بتنقية المعلومات القادمة من خلال الشبكة العنكبوتية إلى الموقع الخاص، وتقوم المنشآت بوضعها بهدف عزل شبكتها الداخلية الخاصة عن الشبكة العنكبوتية لمنع الاختراقات والتطفل .
آلية عمل الجدران النارية
هناك ثلاثة طرق تستند إليها الجدران النارية في آلية عملها:
تصفية الحِزم (Packet Filtering)
تنتقل المعلومات على هيئة حِزم تمّر خلال الجدار النّاري الذي يقوم بدوره بفحصها والتحقق من موافقتها للشروط.
وكيل الخدمة (Proxy Service)
يعيّن الجدار النّاري نفسه وكيلاً عن الشبكة الداخلية فيكون بذلك قد حجب عناوين الشبكة الداخلية وبالتالي يتّم إرسال البيانات إلى عنوان الجدار الناري الذي يقوم بدوره بتوجيهها إلى وجهتها الأصلية.
مراقبة السياق ((Stateful Inspection
إن الجدار الناري هنا يقوم بفحص حقول معيّنة في الحزم فلا يفحص مكونات الحزم كلها بل يعمل على مقارنتها بالحقول المناظرة لها بنفس السياق (مجموعة الحزم الإلكترونية المتبادلة عبر شبكة الإنترنت)، وعندما يكتشف أن حزم معينة لم تلتزم بقواعد السياق فإن ذلك دليل قاطع على وجود اختراق يهدّد أمن الموقع.
وهناك عدة معايير يمكن استخدامها لمعرفة ما إذا كانت الحزم صحيحة وهي كالآتي:
أ- العنوان الرقمي (IP Address): هو رقم لكل مشترك على الشبكة العنكبوتية يوفّر للجدار الناري المقدرة على التحكم بالسماح أو المنع لمرور الحزم القادمة.
ب- اسم النطاق (Domain Name)
يتيح للجدار الناري منع مرور الحزم القادمة من نطاق معيّن .
ت- بروتوكول التخاطب (Protocol)
وهي طريقة للتخاطب وتبادل المعلومات بين العميل والمنشأة، أمّا بالنسبة للعميل فقد يكون شخصاً أو برنامجاً كالمتصفح (Browser).
تتعدّد هذه البروتوكولات و أبرزها ما يلي:
بروتوكول HTTP: يستعمل لتبادل المعلومات بين المتصفح وجهاز الخادم.
بروتوكولFTP : يستخدم لنقل الملفات عوضاً عن إرسالها. كمرفقات(Attachment) في البريد الإلكتروني .
بروتوكول SMTP: يستعمل لنقل البريد الإلكتروني.
بروتوكول SNMP: يستعمل لإدارة الشبكات وجمع المعلومات.
بروتوكول Telnet: يستعمل للتحكم بالجهاز عن بعد.
وأخيراّ فإن هناك خانة في الحزم تدل على نوع البروتوكول، يقوم الجدار الناري بالتحقق منها، وبناءً على ذلك فإذا كان البروتوكول مسموحاً به يقوم بتمريره وإلا فيمنعه من المرور.
أنظمة كشف التطفل IDS ( Intrusion detection systems)
معظم المنشآت سواء كانت صغيرة أو كبيرة تحتاج إلى جهاز إنذار ضد السرقة للحفاظ على المعلومات القيّمة لديها، وقد ظهر نظام جديد يغني عن أجهزة الإنذار ويؤدي وظيفتها على أكمل وجه وهو ما يعرف بنظام كشف التطفل الذي هو في جوهره نظام إنذار ضد السرقة، يعمل على مراقبة الشبكة وإصدار إنذارات فيما إذا شك بأن الشبكة تتعرّض للهجوم في وقت ما .
يوجد آليتان لكشف التطفل:
الكشف عن الوضع الشاذ (Anomaly detection )
هذه الطريقة مبنية على أساس مراقبة سلوك المستخدمين في النظام الاعتيادي وتخزين السلوك في النظام، فهي تقوم على أساس مقارنة السلوكيات مع الحزم الإلكترونية لاكتشاف الانحرافات، ومن أبرز مساوئ هذه الآلية صدور إنذارات إيجابية خاطئة (False Positive Alarms) نتيجة اكتشاف هجمات غير معرّفة.
الكشف عن الإساءة (Misuse detection )
تعتمد على مقارنة الصفات المتعلقة بالحزم مع الصفات المخزنة في قاعدة البيانات، و من أبرز مساوئ هذه الآلية هو انحصارها فقط على الهجوم المعروف في قاعدة البيانات.
التوقيع الرقمي (Digital Signature)
عندما دعت الحاجة لإيجاد وسيلة تشفير آمنة ومضمونة فقد وُجدت طريقة التوقيع الرقمي والتي تحل محّل التوقيع اليدوي وتؤدي وظيفته في إثبات مصداقية وسلامة البيانات المرسلة. تقوم هذه التقنية على استعمال خوارزمية تدعى (Hash Function) تتسّم بدرجة عالية من الأمان، تعمل على تحويل البيانات إلى قيمة مبعثرة، وتتغيّر هذه القيمة في حال تعرّضت لعمليات التزوير من قبل المتطفلين ممّا يسهّل اكتشاف تلك العمليات.
آلية العمل:
تتّم هذه العملية بإنشاء نوعين من المفاتيح أحدهما عام (Public Key) والآخر خاص (Private Key)، والأخير لا يعرفه سوى المرسل فهو يستعمله في تشفير البيانات، أما المفتاح العام فهو معروف لدى الطرفين المرسل والمستقبل ويستعمل لفك التشفير من قبل المستقبل .
فيما يلي سأستعرض مثالاً يوضّح آلية عمل هذين المفتاحين (صورة 3)
لو أراد الموظف أن يرسل مسودّة للعقد الذي بين المنشأة وبين الشريك التجاري للمنشأة في بلد آخر ليعطيه التأكيد بأنّ العقد لم يتعرّض للتغيير منذ أن قام بإرساله في المرة السابقة.
أولاً: يقوم الموظف بنسخ ولصق العقد في رسالة البريد الإلكتروني .
ثانياً: باستعمال برنامج خاص يمكنه أن يحصل على رسالة مبعثرة (Hash Message) باستخدام خوارزمية (Hash Function).
ثالثاً: يستعمل الموظف المفتاح الخاص فيه كونه هو المرسل وذلك بتشفير الرسالة المبعثرة (Encrypt The Message ).
رابعاً: هذه البعثرة المشفرة هي التوقيع الرقمي للرسالة والتي ستختلف في كل مرة يرسل فيها الموظف رسالة إلى الشريك التجاري للمنشأة.
والآن يأتي دور الشريك التجاري (المستقبل):
أولاً : الشريك التجاري يعمل على بعثرة الرسالة القادمة إليه باستخدام خوارزمية (Hash Function).
ثانياً: يقوم الشريك التجاري باستعمال المفتاح العام للموظف لغرض فك تشفير الرسالة المبعثرة (Decrypt The Hash ).
وفيما يلي أحد برامج التوقيع الرقمي الشهيرة والمتداولة بكثرة.ش
برنامج الخصوصية الجيدة جدًا (Pretty Good Privacy) PGP
البرنامج الشهير PGP والذي يتميّز بأنّه عالي الجودة في التشفير، لاسيّما وأنه يخدم المنشأة أثناء تبادل المعلومات التجارية و الرسائل الخاصة مع المنشآت الأخرى أو أصحاب العقود وذلك من خلال البريد الإلكتروني.
آلية العمل:
يعتمد هذا البرنامج على مفتاحين أحدهما خاص والآخر عام، وبالنظر إلى المفتاح الخاص نجد أنّه يمكّن من تشفير الرسائل وفك الرسائل المشفرة من قبل المفتاح العام، أمّا المفتاح العام فهو الذي تتحكّم في نشره لمن تريد منهم مراسلتك، فمن يملكه يستطيع إرسال رسائل مشفرة إليك بيد أنّه لا يستطيع فك الشيفرة نهائياً، ومن الملاحظ أن كاتب الرسالة بعد أن يقوم بتشفيرها باستعمال المفتاح العام فإنه لا يستطيع فك الشيفرة لأنه لا يملك المفتاح الخاص (صورة 4)،(صورة 5)،(صورة6).
إنّ الهدف الأسمى الذي يجب أن تسعى إليه المنشأة هو القدرة على تجاوز العقبات التي لابدّ وأن تواجهها خلال التعامل الإلكتروني مع جميع الأطراف، ومع هذا كله يجب أن لا تعتمد على نقطة واحدة بحيث تكون هذه النقطة هي عنق الزجاجة التي باختراقها يمكن الوصول إلى جميع ممتلكات المنشأة، ولذلك فإنه لابدّ من تركيب جميع الأنظمة التي تحقق مطلب الأمان، ففي هذه الورقة تمّ التعرف على أكثر السياسات الأمنية انتشاراً في المواقع الإلكترونية، وتجدر الإشارة هنا إلى أن هذه السياسات ليست آمنة 100% كما ذكرت مسبقاَ ولا يعني الاعتماد عليها الضمان الكامل بعدم التعرض للهجوم الإلكتروني .
المراجع
- Information Security Fundamentals (2nd Edition )
- Information Security Fundamentals.
- How Encryption Works 2008
إن إحاطة موقع المنشأة الإلكتروني بنظام أمني دقيق يحقق لها ثلاثة أهداف هامّة:
1- السرّية (Confidentiality)
وذلك بمنع أي محاولات للاطلاع على محتوى البيانات من قبل أشخاص غير مخوّلين بذلك.
2- سلامة المحتوى(Integrity)
نعني بذلك التأكد من أن محتوى البيانات صحيح ولم يتم العبث به أو تغييره في جميع مراحل المعالجة التي تتعرّض لها البيانات .
3- استمرارية توفّر المعلومات (Availability)
يقصد بذلك توفر البيانات أو الخدمة في أي وقت تطلب به والتأكّد من استمرارية القدرة على التفاعل مع المعلومات .
من جانب آخر فقد رافق ظهور الشبكة العنكبوتية ظهور أنظمة تجسس واختراق تفتك بها وبمعلوماتها، وخاصة عندما أصبحت غالبية المنشآت تعتمد التعامل الإلكتروني في جميع معاملاتها ومع جميع الأطراف سواء كانوا موظفين أو عملاء، كما لوحظ بشكل واضح أن الكثير من المنشآت تعرّضت لسرقة معلوماتها وتدمير خادماتها ولازالت تعاني من هذه المعضلة حتى الوقت الحالي، ومع بروز الكثير من التقنيات التي تحاول الحدّ من تفشّي عمليات التجسس والاختراق إلا أنها لا تحقّق الأمان الكامل للمواقع الإلكترونية .
نتيجة انتشار اللاوعي وتضرّر الكثير من المنشآت كان لابد من استعراض أهم الأساليب الإجرائية والتقنية التي تستخدمها المنشآت في مواقعها الإلكترونية للحفاظ على نظامها المعلوماتي، لكي تضعها بقية المنشآت بعين الاعتبار وتعلم مدى أهمية وجودها ومدى الضرر الناتج من إهمالها، بالإضافة إلى تحديد الأولويات في حماية ممتلكات المنشأة فالسؤال الذي يتبادر إلى الذهن دائماً هو ما الذي تريد أن تحميه في منشأتك ؟ .
أولويات الحماية
لاشك بأنّ المنشأة تحوي الكثير من الممتلكات الثمينة والتي تحرص على سلامتها و أمنها ولكن عندما نضطر إلى تحديد الأولويات فإننا نجد أن الأشخاص هم أثمن ما في المنشآت والحفاظ على سلامتهم هو من أولى الأولويات، لاسيّما وأن هؤلاء الأشخاص تتنوع أدوارهم فمنهم مديرو أنظمة ومديرو شبكات ومشغّلون ومستخدمون وأصحاب عقود وشركاء تجاريون، وفي المرتبة الثانية تأتي أهمية المحافظة على البيانات التي تتمثّل في وثائق الفاكس المرسلة والمستقبلة ورسائل البريد الإلكتروني والبيانات المتنقلة عبر الشبكة والعمليات التجارية وقواعد البيانات الخاصة بالعملاء.
المراحل التمهيدية لتحقيق الأمن الإلكتروني
لابدّ من وجود أربعة مراحل تمهيدية لتحقيق الأمن في موقع المنشأة الإلكتروني وهي كالتالي:
التقييم
إنّ تقييم المخاطر المترصّدة للمنشأة أمر ضروري وذلك من خلال التقاء العاملين ومعرفة الوضع الأمني والأخذ بتوصياتهم وإرشاداتهم ووضعها بعين الاعتبار.
التصميم
إنّ استخدام أحدث تقنيات الحماية الأمنية كالجدران النارية وأنظمة كشف التطفل والتي سأتطرق إلى ذكرها بالتفصيل لاحقاً لا تحقق الحماية 100% وخاصة عندما لا يتم تحديثها باستمرار ، لذلك كان لابدّ من اعتماد هيكل أمني صلب أثناء تصميم البنية الأساسية للأمن المعلوماتي للمنشأة .
التنفيذ
بعد اختيار الهيكل الأساسي الأمني في المرحلة السابقة يتم تركيب كل الضوابط التقنية كالجدران النارية وأنظمة كشف التطفل وغيرها، وبما أن هذه التقنيات ليست آمنة 100% فلابد من حماية الخادمات المركزية وذلك بتوزيع الجهد على مجموعة من الخادمات للتقليل من الضرر .
المراقبة
لابدّ من مراقبة جميع التقنيات والإجراءات الأمنية التي تمّ وضعها في المنشأة للتأكد من استمرارية عملها على الوجه المطلوب و إصلاح الأعطاب فيما إذا اعترتها والحرص على تحديثها إذا توفّرت لها تحديثات جديدة .
الأساليب الإجرائية لحماية المواقع الإلكترونية
لابد من وجود سياسات إجرائية ثابتة في مواقع المنشآت الإلكترونية تتمثّل فيما يلي:
• بيان الخصوصية
أصبح من الضروري وضع بيان يشرح وسائل الأمان والخصوصية للموقع ويعّد هذا البيان مطلباً مهماً لكسب ثقة العملاء.
• تحديد الصلاحيات
لابدّ من وضع صلاحيات للموظفين تحكم اطلاعهم على النظام المعلوماتي للمنشأة وخاصة فيما يتعلق بالخادمات المركزية وأجهزة التخزين، فصلاحيات الموظف تختلف عن صلاحيات المشرف العام والتي تختلف بدورها عن صلاحيات مدير المنشأة.
• الحدّ من استخدام الشبكة العنكبوتية في المنشأة
إن الحد من استخدام الشبكة الخارجية من شأنه أن يقلّل الخطر الذي قد تواجهه الشبكة الداخلية للمنشأة وذلك بفرض قوانين وإرشادات يجب على الموظفين اتباعها فيما يخص عدم تصفّح المواقع المشبوهة أو تحميل برامج غير موثوقة .
• أنظمة التشغيل
مهما كان نظام التشغيل المعتمد في أجهزة الموظفين للمنشأة فإنه لابد من التأكد من سلامة هذا النظام بصورة دورية وخلّوه من أي تهديدات خارجية قد تضر المنشأة مستقبلاً.
الأساليب التقنية لحماية المواقع الإلكترونية
فيما يلي سأستعرض أهّم الأساليب المنتشرة في الوقت الحالي لحماية ممتلكات مواقع المنشآت الإلكترونية .
1. بروتوكول طبقة المقابس الآمنة SSL ) Secure Sockets Layer)
بروتوكول تشفير يعمل على توفير بيئة آمنة خلال نقل البيانات المشفرة بين المتصفح وجهاز الخادم في الموقع، وما يحدث باختصار هو أنّ المتصفح يقوم بإرسال رسالة من خلال بروتوكول SSL إلى جهاز الخادم فيستجيب ويرسل شهادة (SSL Certificate) تتضمن في محتواها المفتاح العام للموقع (Public Key)، ومن ثم يقوم المتصفح بالتحقق من هذه الشهادة من خلال ثلاثة ركائز أساسية:
أولاً: أن تكون الشهادة آتية من طرف موثوق به.
ثانياً :التحقق من سريان مفعولها في الوقت الحالي وذلك من خلال إلقاء نظرة على تاريخ إصدار الشهادة وتاريخ انتهائها .
ثالثاً: المقارنة بين اسم الموقع في الشهادة واسم الموقع في الخادم للتأكد من أن الشهادة مرتبطة بالموقع وقادمة منه.
وبعد التحقق من الشهادة يعمل على إنشاء مفتاح عشوائي للتشفير (Symmetric Key Encryption) يقوم بدوره على تشفير البيانات التي تنتقل من المتصفح إلى جهاز الخادم باستخدام بروتوكول التحكم بالإرسال وبروتوكول الإنترنت (TCP/IP) مما يضمن عدم التعرّض لهذه البيانات من قبل أي جهة أخرى فلا يمكن لأحد قراءتها سوى المرسل والمستقبل، وفي نهاية المطاف يقوم الموقع بفك شيفرة الرسالة الواردة إليه من المتصفح وذلك باستخدام مفتاح خاص بالموقع ذاته (Private Key)، ثم يستخدم المفتاح العشوائي لبقية الاتصال.
الجدير بالذكر أن استخدام هذه التقنية يعمل على إحداث تغيير طفيف في عنوان الموقع الإلكتروني كالبنك مثلاً وهذه دلالة واضحة على وجود أمن معلوماتي في المنشأة.
وعند التطرق إلى مثال البنك فإننا نلحظ عند الدخول إلى موقع البنك بأن عنوانه يبدأ بـ "http" ولكن بمجرد الضغط على صفحة تسجيل الدخول إلى الحساب فإن العنوان يتغير من "http" إلى"https " ، بالإضافة إلى أيقونة الأمان والتي تظهر في أسفل صفحة الموقع .
الجدران النارية (Firewalls)
الجدران النارية عبارة عن برنامج بسيط (Software) أو جهاز (Hardware) يقوم بتنقية المعلومات القادمة من خلال الشبكة العنكبوتية إلى الموقع الخاص، وتقوم المنشآت بوضعها بهدف عزل شبكتها الداخلية الخاصة عن الشبكة العنكبوتية لمنع الاختراقات والتطفل .
آلية عمل الجدران النارية
هناك ثلاثة طرق تستند إليها الجدران النارية في آلية عملها:
تصفية الحِزم (Packet Filtering)
تنتقل المعلومات على هيئة حِزم تمّر خلال الجدار النّاري الذي يقوم بدوره بفحصها والتحقق من موافقتها للشروط.
وكيل الخدمة (Proxy Service)
يعيّن الجدار النّاري نفسه وكيلاً عن الشبكة الداخلية فيكون بذلك قد حجب عناوين الشبكة الداخلية وبالتالي يتّم إرسال البيانات إلى عنوان الجدار الناري الذي يقوم بدوره بتوجيهها إلى وجهتها الأصلية.
مراقبة السياق ((Stateful Inspection
إن الجدار الناري هنا يقوم بفحص حقول معيّنة في الحزم فلا يفحص مكونات الحزم كلها بل يعمل على مقارنتها بالحقول المناظرة لها بنفس السياق (مجموعة الحزم الإلكترونية المتبادلة عبر شبكة الإنترنت)، وعندما يكتشف أن حزم معينة لم تلتزم بقواعد السياق فإن ذلك دليل قاطع على وجود اختراق يهدّد أمن الموقع.
وهناك عدة معايير يمكن استخدامها لمعرفة ما إذا كانت الحزم صحيحة وهي كالآتي:
أ- العنوان الرقمي (IP Address): هو رقم لكل مشترك على الشبكة العنكبوتية يوفّر للجدار الناري المقدرة على التحكم بالسماح أو المنع لمرور الحزم القادمة.
ب- اسم النطاق (Domain Name)
يتيح للجدار الناري منع مرور الحزم القادمة من نطاق معيّن .
ت- بروتوكول التخاطب (Protocol)
وهي طريقة للتخاطب وتبادل المعلومات بين العميل والمنشأة، أمّا بالنسبة للعميل فقد يكون شخصاً أو برنامجاً كالمتصفح (Browser).
تتعدّد هذه البروتوكولات و أبرزها ما يلي:
بروتوكول HTTP: يستعمل لتبادل المعلومات بين المتصفح وجهاز الخادم.
بروتوكولFTP : يستخدم لنقل الملفات عوضاً عن إرسالها. كمرفقات(Attachment) في البريد الإلكتروني .
بروتوكول SMTP: يستعمل لنقل البريد الإلكتروني.
بروتوكول SNMP: يستعمل لإدارة الشبكات وجمع المعلومات.
بروتوكول Telnet: يستعمل للتحكم بالجهاز عن بعد.
وأخيراّ فإن هناك خانة في الحزم تدل على نوع البروتوكول، يقوم الجدار الناري بالتحقق منها، وبناءً على ذلك فإذا كان البروتوكول مسموحاً به يقوم بتمريره وإلا فيمنعه من المرور.
أنظمة كشف التطفل IDS ( Intrusion detection systems)
معظم المنشآت سواء كانت صغيرة أو كبيرة تحتاج إلى جهاز إنذار ضد السرقة للحفاظ على المعلومات القيّمة لديها، وقد ظهر نظام جديد يغني عن أجهزة الإنذار ويؤدي وظيفتها على أكمل وجه وهو ما يعرف بنظام كشف التطفل الذي هو في جوهره نظام إنذار ضد السرقة، يعمل على مراقبة الشبكة وإصدار إنذارات فيما إذا شك بأن الشبكة تتعرّض للهجوم في وقت ما .
يوجد آليتان لكشف التطفل:
الكشف عن الوضع الشاذ (Anomaly detection )
هذه الطريقة مبنية على أساس مراقبة سلوك المستخدمين في النظام الاعتيادي وتخزين السلوك في النظام، فهي تقوم على أساس مقارنة السلوكيات مع الحزم الإلكترونية لاكتشاف الانحرافات، ومن أبرز مساوئ هذه الآلية صدور إنذارات إيجابية خاطئة (False Positive Alarms) نتيجة اكتشاف هجمات غير معرّفة.
الكشف عن الإساءة (Misuse detection )
تعتمد على مقارنة الصفات المتعلقة بالحزم مع الصفات المخزنة في قاعدة البيانات، و من أبرز مساوئ هذه الآلية هو انحصارها فقط على الهجوم المعروف في قاعدة البيانات.
التوقيع الرقمي (Digital Signature)
عندما دعت الحاجة لإيجاد وسيلة تشفير آمنة ومضمونة فقد وُجدت طريقة التوقيع الرقمي والتي تحل محّل التوقيع اليدوي وتؤدي وظيفته في إثبات مصداقية وسلامة البيانات المرسلة. تقوم هذه التقنية على استعمال خوارزمية تدعى (Hash Function) تتسّم بدرجة عالية من الأمان، تعمل على تحويل البيانات إلى قيمة مبعثرة، وتتغيّر هذه القيمة في حال تعرّضت لعمليات التزوير من قبل المتطفلين ممّا يسهّل اكتشاف تلك العمليات.
آلية العمل:
تتّم هذه العملية بإنشاء نوعين من المفاتيح أحدهما عام (Public Key) والآخر خاص (Private Key)، والأخير لا يعرفه سوى المرسل فهو يستعمله في تشفير البيانات، أما المفتاح العام فهو معروف لدى الطرفين المرسل والمستقبل ويستعمل لفك التشفير من قبل المستقبل .
فيما يلي سأستعرض مثالاً يوضّح آلية عمل هذين المفتاحين (صورة 3)
لو أراد الموظف أن يرسل مسودّة للعقد الذي بين المنشأة وبين الشريك التجاري للمنشأة في بلد آخر ليعطيه التأكيد بأنّ العقد لم يتعرّض للتغيير منذ أن قام بإرساله في المرة السابقة.
أولاً: يقوم الموظف بنسخ ولصق العقد في رسالة البريد الإلكتروني .
ثانياً: باستعمال برنامج خاص يمكنه أن يحصل على رسالة مبعثرة (Hash Message) باستخدام خوارزمية (Hash Function).
ثالثاً: يستعمل الموظف المفتاح الخاص فيه كونه هو المرسل وذلك بتشفير الرسالة المبعثرة (Encrypt The Message ).
رابعاً: هذه البعثرة المشفرة هي التوقيع الرقمي للرسالة والتي ستختلف في كل مرة يرسل فيها الموظف رسالة إلى الشريك التجاري للمنشأة.
والآن يأتي دور الشريك التجاري (المستقبل):
أولاً : الشريك التجاري يعمل على بعثرة الرسالة القادمة إليه باستخدام خوارزمية (Hash Function).
ثانياً: يقوم الشريك التجاري باستعمال المفتاح العام للموظف لغرض فك تشفير الرسالة المبعثرة (Decrypt The Hash ).
وفيما يلي أحد برامج التوقيع الرقمي الشهيرة والمتداولة بكثرة.ش
برنامج الخصوصية الجيدة جدًا (Pretty Good Privacy) PGP
البرنامج الشهير PGP والذي يتميّز بأنّه عالي الجودة في التشفير، لاسيّما وأنه يخدم المنشأة أثناء تبادل المعلومات التجارية و الرسائل الخاصة مع المنشآت الأخرى أو أصحاب العقود وذلك من خلال البريد الإلكتروني.
آلية العمل:
يعتمد هذا البرنامج على مفتاحين أحدهما خاص والآخر عام، وبالنظر إلى المفتاح الخاص نجد أنّه يمكّن من تشفير الرسائل وفك الرسائل المشفرة من قبل المفتاح العام، أمّا المفتاح العام فهو الذي تتحكّم في نشره لمن تريد منهم مراسلتك، فمن يملكه يستطيع إرسال رسائل مشفرة إليك بيد أنّه لا يستطيع فك الشيفرة نهائياً، ومن الملاحظ أن كاتب الرسالة بعد أن يقوم بتشفيرها باستعمال المفتاح العام فإنه لا يستطيع فك الشيفرة لأنه لا يملك المفتاح الخاص (صورة 4)،(صورة 5)،(صورة6).
إنّ الهدف الأسمى الذي يجب أن تسعى إليه المنشأة هو القدرة على تجاوز العقبات التي لابدّ وأن تواجهها خلال التعامل الإلكتروني مع جميع الأطراف، ومع هذا كله يجب أن لا تعتمد على نقطة واحدة بحيث تكون هذه النقطة هي عنق الزجاجة التي باختراقها يمكن الوصول إلى جميع ممتلكات المنشأة، ولذلك فإنه لابدّ من تركيب جميع الأنظمة التي تحقق مطلب الأمان، ففي هذه الورقة تمّ التعرف على أكثر السياسات الأمنية انتشاراً في المواقع الإلكترونية، وتجدر الإشارة هنا إلى أن هذه السياسات ليست آمنة 100% كما ذكرت مسبقاَ ولا يعني الاعتماد عليها الضمان الكامل بعدم التعرض للهجوم الإلكتروني .
المراجع
- Information Security Fundamentals (2nd Edition )
- Information Security Fundamentals.
- How Encryption Works 2008
manal kamal- مدير المنتدى
- كيف تعرفت على المنتدى ؟ : غير ذلك
تاريخ التسجيل : 19/01/2010 -
صفحة 2 من اصل 2 • 1, 2
مواضيع مماثلة» الجريمه الإلكترونيه
» التهديدات الإلكترونيه
» الحروب الإلكترونيه
» الحروب الإلكترونيه
» الهجمات الإلكترونيه
» التهديدات الإلكترونيه
» الحروب الإلكترونيه
» الحروب الإلكترونيه
» الهجمات الإلكترونيه
منتدى برنامج حياه على النت باذاعة صوت العرب :: أمن و حماية البريد الإلكترونى :: أمن و حماية المعلومات
صفحة 3 من اصل 2
صلاحيات هذا المنتدى:
لاتستطيع الرد على المواضيع في هذا المنتدى