الإجراءات الأمنية في وجه متطفلي الإنترنت
1- تستطيع الشركة أن تشيِّد خارج نطاق جدار الحماية (المشار إليه باللون البرتقالي) شبكة يمكن أن يصل إليها من يريد ذلك. وتسمح مثل هذه الشبكة ـ التي غالبا ما توصف بالمنطقة المنزوعة السلاح ـ لزبائن الشركة بإرسال البريد الإلكتروني أو تصفّح موقع الشركة على الويب. فالمنطقة المنزوعة السلاح هذه تشبه صالة الاستقبال في مبنى إداري؛ إذ تعتبر المكان المناسب ليحصل منه الزبائن على معلومات عن منتجات الشركة، ولما كانت هذه المنطقة مصرحا بها للجميع فإنه يجب ألا توضع فيها أيه بيانات مهمة.
2- إن مهمة جدار الحماية المستخدم على مستوى التطبيق تماثل مهمة مكتب إدارة بريد الشركة: فهو يفحص البريد الإلكتروني الوارد بحثا عن ڤيروسات الحاسوب مثلما يفحص موظفو البريد الطرود البريدية بالأشعة السينية (أشعة إكس). فبرامج الإنترنت المتوقع أن تكون خطرة ـ تلك التي ربما تتضمن تعليمات غير مرئية لسرقة بيانات معينة من الشركة أو إتلافها ـ يتم تحويلها إلى مخدِّم وسيط (وكيل) proxy server، ومهمته نقل المعلومات إلى برامج وسيطة يمكن تشغيلها على الشبكة بأمان؛ إذ إن مهمة البرنامج الوسيط تماثل مهمة موظف البريد (المجسم الأزرق) الذي يتسلم الرسائل الواردة إلى الشركة ثم يوزعها على أصحابها.
3-لا يمكن لجدران الحماية أن تحمي شبكات الحواسيب من جميع الاعتداءات. فجواسيس المهنة يستطيعون تحاشي جدران الحماية والوصول إلى الشبكة بالاتصال الهاتفي عن طريق الموديم modem أو سرقة الأقراص المرنة أو الأشرطة الممغنطة التي تحوي بيانات مهمة. لذا يجب إغلاق هذه المنافذ الخلفية حتى تصبح الشبكة مأمونة فعلا.
4-ربما تحتاج شركة كبيرة إلى أكثر من جدار حماية واحد. فعندما تتوسع شبكة حواسيب الشركة، فإن الحاجة إلى جدران حماية إضافية تصبح ضرورية لحماية نظم الحواسيب في أقسام الشركة المهمة، مثل قسم الرواتب أو المحاسبة. فجدران الحماية تؤدي مهمة تماثل مهمة الباب الفولاذي لخزنة ممتلكات الشركة الثمينة، ألا وهي حماية النظم الحيوية للشركة من الاعتداءات سواء من العاملين لديها أو من قبل شركائها في المهنة.
5- يؤدي مرشِّح الرزم مهمة مماثلة لمهمة فريق من الحرس يقف عند مدخل المقر الرئيسي للشركة (المجسمات الزرقاء). فتبعا لنظام أمن الشركة، قد يسمح المرشح فقط بمرور الرزم الآتية من عناوين معينة على الإنترنت ـ مثلا، من عناوين لشركاء عمل أو موردين موثوقين. ونظرا لأن الدخلاء قد يحاولون التسلل إلى الشبكة عن طريق تزوير عنوان مصدر موثوق وتضمينه في رزمهم، فإن بعض جدران الحماية تبحث عن موثق التعمية cyptographicauthenticator ـ وهو يشبه البطاقة الأمنية التي توضع على صدر صاحبها ـ مهمته التحقق من أن الملف أو البرنامج القادم من الإنترنت هو آت فعلا من عنوان موثوق.
2- إن مهمة جدار الحماية المستخدم على مستوى التطبيق تماثل مهمة مكتب إدارة بريد الشركة: فهو يفحص البريد الإلكتروني الوارد بحثا عن ڤيروسات الحاسوب مثلما يفحص موظفو البريد الطرود البريدية بالأشعة السينية (أشعة إكس). فبرامج الإنترنت المتوقع أن تكون خطرة ـ تلك التي ربما تتضمن تعليمات غير مرئية لسرقة بيانات معينة من الشركة أو إتلافها ـ يتم تحويلها إلى مخدِّم وسيط (وكيل) proxy server، ومهمته نقل المعلومات إلى برامج وسيطة يمكن تشغيلها على الشبكة بأمان؛ إذ إن مهمة البرنامج الوسيط تماثل مهمة موظف البريد (المجسم الأزرق) الذي يتسلم الرسائل الواردة إلى الشركة ثم يوزعها على أصحابها.
3-لا يمكن لجدران الحماية أن تحمي شبكات الحواسيب من جميع الاعتداءات. فجواسيس المهنة يستطيعون تحاشي جدران الحماية والوصول إلى الشبكة بالاتصال الهاتفي عن طريق الموديم modem أو سرقة الأقراص المرنة أو الأشرطة الممغنطة التي تحوي بيانات مهمة. لذا يجب إغلاق هذه المنافذ الخلفية حتى تصبح الشبكة مأمونة فعلا.
4-ربما تحتاج شركة كبيرة إلى أكثر من جدار حماية واحد. فعندما تتوسع شبكة حواسيب الشركة، فإن الحاجة إلى جدران حماية إضافية تصبح ضرورية لحماية نظم الحواسيب في أقسام الشركة المهمة، مثل قسم الرواتب أو المحاسبة. فجدران الحماية تؤدي مهمة تماثل مهمة الباب الفولاذي لخزنة ممتلكات الشركة الثمينة، ألا وهي حماية النظم الحيوية للشركة من الاعتداءات سواء من العاملين لديها أو من قبل شركائها في المهنة.
5- يؤدي مرشِّح الرزم مهمة مماثلة لمهمة فريق من الحرس يقف عند مدخل المقر الرئيسي للشركة (المجسمات الزرقاء). فتبعا لنظام أمن الشركة، قد يسمح المرشح فقط بمرور الرزم الآتية من عناوين معينة على الإنترنت ـ مثلا، من عناوين لشركاء عمل أو موردين موثوقين. ونظرا لأن الدخلاء قد يحاولون التسلل إلى الشبكة عن طريق تزوير عنوان مصدر موثوق وتضمينه في رزمهم، فإن بعض جدران الحماية تبحث عن موثق التعمية cyptographicauthenticator ـ وهو يشبه البطاقة الأمنية التي توضع على صدر صاحبها ـ مهمته التحقق من أن الملف أو البرنامج القادم من الإنترنت هو آت فعلا من عنوان موثوق.
1 جدران الحماية(1)
(شعبة تقانات لوسينت)
و<M.S.بيللوفن>، من مركز أبحاث الشركة AT&T
سوف تبقى شبكات الحواسيب عرضة للاعتداءات بشكل دائم. فمادامت الشركات تستخدم الإنترنت ـ لنقل الملفات وإرسال البريد الإلكتروني ونسخ البرامج.. إلخ ـ فإن الفرصة تبقى متاحة أمام بعض أصحاب النيات السيئة لإحداث تخريب واسع في نظم الحواسيب لدى تلك الشركات. ولكن هناك وسائل تجعل أي شبكة حاسوبية أكثر مقاومة للاعتداءات. فخط الدفاع الأول هو جدار الحماية firewall، وهو برنامج حاسوبي يؤدي دور حارس البوابة بين الإنترنت والإنترانت intranet (شبكة حاسوبية خاصة بموظفي الشركة التي تستخدمها).
والنوعان الأكثر شيوعا من جدران الحماية هما مرشِّحات الرزم packet filters وجدران الحماية المستخدمة على مستوى التطبيق application-level firewalls، حيث يقوم مرشح الرزم، وهو يعمل نمطيا على جهاز يدعى المسيِّر router، بفحص عنوان المصدر source وعنوان الوجهة destination لكل رزمة من البيانات سواء أكانت داخلة إلى شبكة الشركة أم خارجة منها. فبإمكان المرشح أن يمنع رزما آتية من عناوين معينة من الدخول إلى الشبكة، وأن يمنع رزما أخرى من الخروج منها. أما جدار الحماية المستخدم على مستوى التطبيق، فإنه يقوم بفحص مضمون البيانات المتداولة بالإنترنت إضافة إلى العناوين. لذا فهو أبطأ من مرشح الرزم ولكنه يسمح للشركة بتنفيذ خطة أمنية أكثر تفصيلا.
إن متاهة المكاتب الموضَّحة في الصورة جانبا، تمثل شبكة حواسيب محمية بجدران الحماية؛ حيث ترمز المجسمات الخضراء إلى رزم من البيانات مسموح لها بدخول الشبكة، في حين ترمز المجسمات الحمراء إلى رزم قد تكون مؤذية وبالتالي يجب ألا يسمح لها بالدخول.
2 شهادات التوثيق الرقمية(2)
تؤدي شهادات التوثيق الرقمية دورا رئيسيا في التعمية بالمفتاح المعلن(العمومي) public-key cyptography، وهي طريقة مستخدمة في الإنترنت على نطاق واسع لتبقى وسائل الاتصال مأمونة. فمن أجل إرسال الرسائل وتسلّمها بهذه الطريقة، يجب أن يمتلك مستخدم النظام زوجا من مفاتيح التعمية ـ مفتاح سري(خصوصي) private key وآخر معلن(عمومي) public ـ يتكون كل منهما من سلسلة طويلة من البيانات تتضمن عادة ما بين 500 و1000 بتة. ويحتفظ المستخدم بالمفتاح السري في مكان آمن ـ مثلا على قرص الحاسوب الصلب بعد تعميته ـ في حين يكون المفتاح المعلن معروفا لدى الأشخاص الذين يرغب في الاتصال بهم.
لنفرض أن أمل تريد توجيه رسالة إلى بدر. ولما كانت أمل تريد أن يكون بدر على يقين من أن الرسالة آتية منها فعلا، فإنها تستخدم مفتاحها السري كشهادة توثيق رقمية digital signature ترافق رسالتها. ويستخدم بدر مفتاح أمل المعلن للتحقق من توقيعها signature. ولكن كيف يمكن لبدر أن يتأكد من أن هذا المفتاح المعلن يخص أمل بالفعل؟ فربما يقوم محتال بتزوير كلا المفتاحين الخاصين بأمل ثم إرسال المفتاح المعلن إلى بدر مدعيا أنه يخص أمل. وللحيلولة دون ذلك، فإن على أمل أن تحصل على شهادة توثيق رقمية، وهي وثيقة بيانات تصدرها إحدى هيئات التوثيق المعتمدة على نطاق واسع مثل VeriSign أو CyberTrust GTE، أو هيئة توثيق تشكلها الشركة التي تعمل بها أمل. وشهادة التوثيق الرقمية في الفضاء السيبري هي بمثابة شهادة قيادة المركبات التي تصدرها الجهات الحكومية المختصة. فهي تؤكد أن مفتاحا معلنا معينا يخص شخصا بعينه أو جهة معينة.
1-
تستخدم أمل برنامج تعمية لتكوين مفتاح سرّي (a) وآخر معلن (b). ثم ترسل المفتاح المعلن إلى هيئة توثيق معتمدة وتطلب إليها إصدار شهادة توثيق رقمية. تحتاج هيئة التوثيق إلى التحقق من هوية أمل؛ وتبعًا لنوع الشهادة، قد يتطلب ذلك التأكد من معلومات شخصية خاصة بأمل عليها أن تزودهم بها. فإذا ما ثبتت صحة المعلومات، فإن هيئة التوثيق تصدر لها الشهادة المطلوبة (c) التي تؤكد أن المفتاح المعلن يخصها. ويرافق شهادة التوثيق التوقيع الرقمي لهيئة التوثيق، الذي يمكن أن يتحقق منه أي شخص يعرف المفتاح المعلن لهيئة التوثيق.
2-
ترسل أمل المفتاح المعلن (d) الصادر عن هيئة التوثيق إلى كل من يحتاج إليه بمن فيهم بدر. وعادة يثبت المفتاح المعلن في مستعرضات الويب(3) وبرمجيات أخرى تُستخدم في وسائل الاتصال الحاسوبية المأمونة.
3-
تضع أمل توقيعها الرقمي على رسالتها الموجهة إلى بدر؛ ومن أجل ذلك تقوم أولا بتطبيق صيغة رياضياتية على الرسالة تدعى دالة الاختصار (4) hash function. تعمل هذه الدالة على إعداد «مختصر» digest مناسب للرسالة، فتقوم أمل بتعميته مستخدمة مفتاحها السري لتشكيل «التوقيع الرقمي» (e). ثم ترسل هذا «التوقيع» مع الرسالة إلى بدر (f)، وترفق بالرسالة أيضا شهادة التوثيق الرقمية التي تحوي مفتاحها المعلن.
4-
يستخدم بدر المفتاح المعلن الصادر عن هيئة التوثيق للتحقق من صحة التوقيع الرقمي المرافق لشهادة التوثيق؛ وهكذا يستطيع بدر الآن التأكد من موثوقية الشهادة ومن أن المفتاح المعلن المرافق للشهادة خاص بأمل. بعد ذلك، يستخدم بدر هذا المفتاح لفك تعمية التوقيع الرقمي الخاص بأمل، الذي يعيد تكوين مختصر الرسالة. وأخيرا يقوم بتطبيق دالة الاختصار على رسالة أمل. فإذا تطابق المختصر المشكّل بهذه الطريقة مع المختصر المشكل من التوقيع الرقمي بعد فك تعميته، فإن بدرا يصبح على يقين من أن الرسالة هي بالفعل آتية من أمل وأنه لم يعبث بها أحد ما على الشبكة.
3 صندوق مأمون(لغة البرمجة)جاڤا (5)
يستخدم المبرمجون لغة البرمجة جاڤا Java لكتابة برامج خدمية صغيرة ـ تدعى ملحقات التطبيقات applets ـ يمكن نسخها من الإنترنت أو من الشبكات الحاسوبية الأخرى. وثمة خطر على هذه الشبكات في أن يقوم شخص غير أمين بتكوين ملحق تطبيق يمكن أن تكون له القدرة على العبث بنظام حاسوب مستخدِمٍ ما، وذلك بحذف ملفات أو سرقة بيانات أو تمرير ڤيروس حاسوبي. إلا أن لغة البرمجة جاڤا صممت لتحول دون مثل هذه الانتهاكات.
ومفتاح أمان جاڤا هو طبقة layer من البرمجيات تدعى آلة جاڤا الافتراضية Java Virtual Machine، وهي ضرورية لتنفيذ أي ملحق تطبيق كُتِب بهذه اللغة. فعندما ينسخ downloads المستخدم ملحق تطبيق، فإن الآلة الافتراضية تحُول مبدئيا دون وصول هذا البرنامج إلى القرص الصلب للحاسوب أو إلى وصلات الشبكة أو موارد النظام الحيوية الأخرى. إذ يمكن أن نتصور في هذه المرحلة أن ملحق التطبيق قد استقر في صندوق مأمون لا يسبب أي ضرر للحاسوب(يشبه صندوق الرمل sandbox الذي يوضع فيه الأطفال عند اللعب لحمايتهم من الأخطار). ويستطيع ملحق التطبيق أن يغادر هذا الصندوق في حالة واحدة فقط: عندما تتحقق آلة جاڤا الافتراضية من أن مصدر البرنامج موثوق به.
1
يزور سمير موقعا لمصرف (لبنك) على الويب ليجد ملحق تطبيق يمكن أن يساعده على حساب دفعات رهن عقاري mortgage payments. عندما ينسخ سمير ملحق التطبيق المناسب من مخدم المصرف على الويب، فإن آلة جاڤا الافتراضية الملحقة بمستعرض browser الويب المخزن في الحاسوب، تسمح لملحق التطبيق بالوصول إلى شيپاتchips ذاكرة الوصول العشوائي RAM ولكنها تحول دون وصوله إلى القرص الصلب؛ أي إن ملحق التطبيق استقر في الصندوق المأمون.
2
يحدد محقق كود البايت byte-code verifier ما إذا كان ملحق التطبيق قد كتب بلغة جاڤا على نحو سليم. فإذا لم يكن ملحق التطبيق مكتوبا بشكل سليم، فلن يسمح لسمير أبدا باستخدام البرنامج. أما إذا كان ملحق التطبيق سليمًا، فإن آلة جاڤا الافتراضية تبحث عن توقيع رقمي مرفق بملحق التطبيق. وهذا التوقيع يحدد الشخص أو المصدر الذي كوّن ملحق التطبيق كما يُبين ما إذا كان هناك طرف ثالث قد قام بالعبث بالبرنامج. ويجب أن يبقى ملحق التطبيق في الصندوق المأمون إذا لم يكن لديه توقيع يمكن التحقق من مصدره. وبهذا يستطيع سمير استخدام البرنامج للقيام بالحسابات التي يحتاج إليها، ولكن من دون أن يستطيع قراءة أو كتابة الملفات على القرص الصلب في حاسوبه.
3
أما إذا تم التحقق من صحة توقيع ملحق التطبيق، فإن الآلة الافتراضية تحدد مقدار الاتصال الذي سيتاح للبرنامج. ويستطيع سمير تعديل هذا المقدار وفقا لاحتياجاته الأمنية. فمثلا، يمكن أن يسمح سمير لملحق التطبيق بقراءة أي ملف مخزن على القرص الصلب أو أن يمنعه من الوصول إلى أجزاء من القرص تتضمن بيانات سرية.
It's very nice, Ilove you
ردحذفIt's veryextremely useful
ردحذف