وقد توسع البحث في مصطلح أمن البيانات
(Data Security)
وارتبط بالحاسب ويمكننا تعرفيه بما يلي:
هو العلم الذي يبحث في نظريات وأساليب حماية البيانات، ويضع الأدوات والإجراءات اللازمة لضمان حمايتها ، ويسهم في وضع التشريعات التي تمنع الاعتداء على المعلومات ومعاقبة المعتدين عليها.
وللمحافظة على أمن البيانات في البرامج أو الأنظمة الذي نتعامل معها يجب أن تتوفر فيه ثلاثة عناصر وهي السرية، السلامة، والتوافر والاتاحةوفيما يلي توضيح لها:
- السرية( Confidentiality) تعني منع الوصول إلى المعلومات من الأشخاص المصرح لهم فقطسواء عند تخزينها أو عند نقلها عبر وسائل الاتصال وكذلك تحديد صلاحية التعديل والحذف والاضافة.
- السلامة(Safety)المقصود بها أن تكون المعلومة صحيحة عند إدخالها وكذلك أثناء تنقلها بين الأجهزة في الشبكة وذلك باستخدام مجموعة من الأساليب والأنظمة.
- التوافر والإتاحة (Availability)تعني بقاء المعلومة متوفرة للمستخدم وإمكانية الوصول إليها ، وعدم تعطل ذلك نتيجة لخلل في أنظمة إدارة قواعد المعلومات والبيانات أو وسائل الاتصال.
أمن قواعد البيانات تستخدم أمن قواعد البيانات مجموعة واسعة من
ضوابط أمن المعلومات، وذلك لحماية قواعد البيانات بما في ذلك البيانات أو تطبيقات قواعد البيانات أو الوظائف المخزنة وأنظمة قواعد البيانات وخوادم قواعد البيانات ووصلات الشبكة المرتبطة بها. وتتوافر أنواع وفئات مختلفة من الضوابط، مثل التقنية والإجرائية / الإدارية والفيزيائية. أمن قاعدة البيانات هو موضوع متخصص ضمن المجالات الأوسع لأمن الحاسوب وأمن المعلومات، وإدارة المخاطر.
وتشمل المخاطر الأمنية لنظم قواعد البيانات، على سبيل المثال:
أو الاستخدام غير المقصود أو إساءة الاستخدام من قبل مستخدمي قاعدة البيانات المأذون لهم، أو مدراء قواعد البيانات، أو مدراء الشبكات / الأنظمة أو المستخدمين غير المصرح لهم أو المخترقينم ثل الوصول غير المصرح إلى البيانات الحساسة أو الوظائف داخل قواعد البيانات أو التغييرات غير المناسبة في برامج قواعد البيانات أو الهياكل أو التشكيلات الأمنية.
إصابات البرامج الضارة التي تتسبب في حوادث مثل الوصول غير المصرح به أو التسرب أو الكشف عن البيانات الشخصية أو الملكية أو حذف أو تلف البيانات أو البرامج أو انقطاع أو عدم القدرة على الوصول المرخص به إلى قاعدة البيانات والاعتداءات على أنظمة أخرى والفشل غير المتوقع لخدمات قواعد البيانات.
. أضرار مادية لخوادم قواعد البيانات الناجمة عن حرائق غرف الحاسوب أو الفيضانات ،وارتفاع درجة الحرارة،و البرق، وتسرب السائل العرضي، و التصريف الثابت ،و الأعطال الإلكترونية / فشل المعدات والتقادم؛
عيوب في التصميم وأخطاء في البرمجة في قواعد البيانات والبرامج والنظم المرتبطة بها، وخلق ثغرات أمنية مختلفة (مثل تصعيد الامتياز غير المصرح به)، وفقدان البيانات / الفساد، وتدهور الأداء، وما إلى ذلك؛
تلف البيانات و / أو الخسارة الناجمة عن إدخال البيانات أو الأوامر غير الصالحة، والأخطاء في قواعد البيانات أو عمليات إدارة النظام، والتخريب / الضرر الجنائي الخ.
و دائمًا ما يقول روس أندرسون بأن طبيعة قواعد البيانات الضخمة لا تكون خالية من سوء الاستخدام من قبل انتهاكات الأمن؛ إذا تم تصميم نظام يسهل الوصول إليه فيصبح النظام غير آمن. وإذا تم توصيله بالماء يصبح من المستحيل استخدامه مرة أخرى. وهذا ما يعرف أحياناً باسم قاعدة أندرسون.
العديد من الطبقات وأنواع مراقبة أمن المعلومات مناسبة لقواعد البيانات، بما في ذلك:
صلاحية التحكم صلاحية الدخول
التدقيق
المصادقة
التشفير
مراقبة النزاهة
النسخ الاحتياطية
أمن التطبيق
أمن قاعدة البيانات تطبيق الأسلوب الإحصائي
وقد تم تأمين قواعد البيانات إلى حد كبير ضد القراصنة من خلال تدابير أمن الشبكات مثل الجدران النارية، ونظم الكشف عن التسلل القائمة على الشبكة. وفي حين تظل ضوابط أمن الشبكات ذات قيمة في هذا الصدد، فإن تأمين نظم قواعد البيانات نفسها، والبرامج / الوظائف والبيانات الموجودة فيها، يمكن أن يصبح أكثر أهمية نظرا لأن الشبكات تفتح على نحو متزايد أمام النفاذ الواسع النطاق، ولا سيما النفاذ إليها من الإنترنت. وعلاوة على ذلك، كانت دائما ضوابط النظام والبرنامج والوظائف والوصول إلى البيانات، إلى جانب الوظائف المرتبطة بتحديد هوية المستخدم والتوثيق وإدارة الحقوق، مهمة للحد من أنشطة المستعملين والإداريين المرخص لهم، وفي بعض الحالات تسجيلها. وبعبارة أخرى، هذه هي النهج التكميلية لأمن قاعدة البيانات، التي تعمل في كلا الاتجاهين من الخارج إلى الداخل ومنالداخل إلى الخارج كما كانت من قبل.
وتضع العديد من المنظمات معاييرها الأمنية الخاصة "الأساسية" وتصاميمها بالتفصيل في تدابير الرقابة الأمنية الأساسية لأنظمة قواعد البيانات الخاصة بها. وقد تعكس هذه المتطلبات متطلبات أمن المعلومات العامة أوالالتزامات التي تفرضها سياسات أمن المعلومات المؤسسية والقوانين واللوائح المعمول بها على سبيل المثال المتعلقة بالخصوصية ولإدارة المالية وغيرها ، إلى جانب ممارسات أمن قواعد البيانات الجيدة و المقبولة مثل التقيد المناسب بالنظم الساسية (، وربما توصيات أمنية من نظام قاعدة البيانات ذات الصلة وبائعي البرامج. وعادة ما تحدد التصاميم الأمنية لنظم قواعد بيانات معينة المزيد من وظائف إدارة الأمن وإدارتها مثل الإدارة والإبلاغ عن حقوق وصول المستعملين وإدارة السجلات والتحليل وتكرار قاعدة البيانات / التزامن والنسخ الاحتياطية مع مختلف ضوابط أمن المعلومات التي يحركها العمل في قاعدة البيانات مثل التحقق من صحة إدخال البيانات وتدقيقها. وعلاوة على ذلك، تدمج عادة مختلف الأنشطة المتصلة بالأمن (الضوابط اليدوية) في الإجراءات والمبادئ التوجيهية وما إلى ذلك فيما يتعلق بتصميم قواعد البيانات وتطويرها واستخدامها وإدارتها وصيانتها.
وسائل حماية المعلومات
١- توفير تأمين ماديّ ملموسٍ على الأجهزة والمعدّات جميعها لحِمايتها من السرقة أو الانتهاك.
٢-استخدام مضادّات الفيروسات الفعّالة واستمرارية تحديثها دوريّاً لضمان مواكبتها للتطوّرات والتصدّي للفيروسات المستحدثة.
٣-استخدام أنظمة الكشف الخاصّة بالاختراق وتحديثها باستمرار.
٤-خلق نظام مراقبة على الشبكة للكشف عن الثغرات ونقاط الضعف التأمينيّة أولاً بأول قبل وقوع المشكلة.
٥-الاستمراريّة في الاحتفاظ بنسخٍ احتياطيّة للبيانات والمعلومات المتوفّرة على النظام.
٦-الاعتماد على أنظمةٍ قويةٍ لغايات تشفير المعلومات المرسلة وحمايتها.
٧-توفير مزوّدٍ كهربائيّ لتفادي مشكلة انقطاع التيار الكهربائي.
٨-العمل مليّاً على نشر الوعي الأمنيّ بين الأفراد.
٩-تفعيل خاصية جدران الحماية الإلكترونية (Fire wall)، وذلك لتوفير الحماية اللازمة للأجهزة والمعدّات من الاختراق.
١٠-استخدام خاصية File Valute لإخضاع البيانات الموجودة في الهارديسك للتشفير بشكل كامل.
١١-استخدام برنامج Private Tunnel لغايات تشفير البيانات المُتناقلة عبر الشبكة العنكبوتية.
١٢-استخدام HTTP Everywhere لمستخدمي متصفح الجوجل كروم. ١٣المداومة على تحديث برامج الحماية من الفيروسات أولاً بأول.
١٤-وضع كلمة سر غير مألوفة للأفراد وأن تكون صعبة وتتألف من رموز وحروف وأرقام.
١٥-الاعتماد على تقنية SFTP
عند تراسل البيانات عبر شبكة الإنترنت.
ما هو عِلم التشفير Cryptography ؟
يمكننا تعريفه بكلمات مبسّطة فنقول: هو عِلم يبحث في كيفية حماية البيانات من خلال تحويرها وتغييرها إلى شكل لا يمكن الاستفادة منه في حال وجود طرف ثالث غير مخوّل، وتكون الطريقة الوحيدة للاستفادة من هذه البيانات المشفّرة هي فقط من خلال مفتاح فك التشفير والذي يجب أن يكون الطرفان قد اتفقا عليه مُسبقًا أو تم إرساله بشكل آمن للمستقبِل.
* ما هي أقسام عملية التشفير؟
تنقسم آلية عمل التشفير إلى قسمين رئيسين:
أ. تشفير البيانات Encryption:
وهو القسم الأول من العملية، حيث يتم استخدام مفتاح التشفير لتحويل البيانات من الصيغة المفهومة الاعتيادية (plain text) إلى الصيغة المشفرة (cipher text).
ب. فك تشفير البيانات Decryption:
وهو القسم الثاني من العملية، حيث يتم استخدام مفتاح لفك التشفير وذلك بهدف إعادة البيانات لصيغتها المفهومة (plain text) وذلك عادةً عند الطرف المستقبِل للبيانات.
ما هي أنواع التشفير
للتشفير نوعان بشكل أساسيّ، إلا أنه يوجد أساليب حماية تشابه في طريقة عملها أساليب التشفير، ولذلك سأتطرق لأنواع التشفير في هذا المقال، ويمكن أن نكمل مع الأساليب المشابهة له في مقالات أخرى.
1- التشفير المتماثل Symmetric Encryption:
تقوم الفكرة الأساسية لهذا النوع على استخدام مفتاح التشفير نفسه في عملية التشفير وفك التشفير، فمثلًا في الشكل أعلاه؛ يتم إدخال البيانات المفهومة (plain text) حيث رُمِزَ لها بالرمز X إلى خوارزمية التشفير (Encryption Algorithm) حيث يتم في هذه الجزئية تشفير البيانات باستخدام مفتاح التشفير (Secret Key / Encryption Key) والذي رُمز له بالرمز K، وبعد ذلك يتم إرسال النص المشفّر إلى المستَقبِل.
على الجانب الآخر وعند المُستقبِل، يتم استخدام خوارزمية لفك التشفير (Decryption Algorithm) بنفس المفتاح K الذي تم استخدامه في التشفير عند المُرسِل، وينتج عن هذه العملية النص المُشفّر ذاته وبالصيغة المفهومة.
- مثال بسيط على هذه الطريقة:
يودّ "أحمد" أن يرسل رسالة إلى "خالد" بشكل مشفّر، ومحتوى الرسالة هو (أنا راقم)، كيف سيقوم بذلك من خلال هذه الطريقة في التشفير؟
بدايةً، يجب أن يكون هناك اتفاق حول مفتاح التشفير بين الطرفين، فمثلًا لو كان الاتفاق على أنّ المفتاح هو عبارة عن تحريك الأحرف بمقدار 3 خانات إلى اليمين.
وبذلك، يكون تشفير هذه الرسالة كالتالي: "ثيث شثمو"، وهنا سيكون جوهر الفكرة؛ لو أنّ أحمد كتب هذه الجملة وأعطاها لصاحب البريد على شكل ظرف رسائل، ووقع هذا الظرف بيد شخص سارق فسيفتح الرسالة ويقرأ هذا النص الذي لن يتمكّن من فهم شيءٍ منه! ولن يكون قادرًا على فهمه إلّا حينما يمتلك تلك المعلومة حول مفتاح التشفير.
عندما تصل الرسالة إلى خالد، سيفتحها ويبدأ بقلب الأحرف إلى محتواها الصحيح، حيث سيعيد صياغة الجملة من خلال النظر في مكان الحرف وإعادته بمقدار 3 خانات إلى الوراء لتعود له الجملة الأصلية (أنا راقم).
2- التشفير غير المتماثل Asymmetric Encryption:
في هذا النوع من التشفير، يتم استخدام مفتاحين مختلفين، واحد للتشفير والآخر لفك التشفير، ويكون لكل مستخدم في هذا النوع مفتاحان: خاصٌ وعام.
المفتاح العام ويستخدم للتشفير وهو معروف وليس سريًّا، والفتاح الخاص وهو سرّي ويستخدمه المُستقبِل لفك التشفير، ويعتبر مستوى الحماية في هذا النوع أعلى من مستوى النوع الأول.
- مثال بسيط على هذه الطريقة:
يودّ بوب Bob كما في الشكل أعلاه أن يرسل رسالة إلى آليس Alice، لكي يقوم بذلك في هذا النوع، سيضطر بوب إلى أن يقوم بتشفر النص بمفتاح آليس العام والذي يمتلكه بوب.
ومن ثُمّ يقوم بالإرسال، عندما تصل الرسالة إلى آليس، تحتاج إلى أن تستخدم مفتاحها الخاص والذي لا يعلمه غيرها من أجل أن تفك تشفير الرسالة وتعيدها لصيغتها المفهومة.
يمكن أن أشبّه هذا النوع من التشفير بنظام البريد الإلكتروني، فعنوانه معروف للأصدقاء، وسيرسلون رسائلهم لك من خلاله، وبالمقابل أنت الوحيد القادر على قرائتها لأنك تمتلك كلمة السر لهذا البريد الإلكتروني.
يتم استخدام هذا النوع من التشفير لأغراض أخرى مثل التخويل/التأكّد Authentication، فمثلًا لو اعتبرنا بوب مديرًا لشركة، فيمكن له أن يشفّر رسالةً بمفتاحه الخاص، ويرسلها لمجموعة كبيرة من الناس (مثلًا موظفيه)، ولن يستطيع أحد أن يفهم محتوى هذه الرسالة إلّا إن امتلك المفتاح العام لبوب ( أي موظفو الشركة).
:اشتملت هذه المدونة على
تعريف أمن المعلومات ●
عناصر المحافظة على أمن المعلومات ●
المخاطر الأمنية لنظم قواعد المعلومات ●
وسائل حماية المعلومات ●
تعريف بعلم التشفير ●
أقسام عملية التشفير ●
أنواع التشفير ●
لتوضيح عناصر أمن المعلومات قم بمشاهدة الفيديو من خلال الرابط أدناه:
https://youtu.be/MeUZBchM0bI
هذه المدونة بإعداد الطالبات:
.شهد البيطار
ميسم نصرلله
فرح بلال
هيلدا جمال
وحيدة عبد الناصر
عند تراسل البيانات عبر شبكة الإنترنت.
ما هو عِلم التشفير Cryptography ؟
يمكننا تعريفه بكلمات مبسّطة فنقول: هو عِلم يبحث في كيفية حماية البيانات من خلال تحويرها وتغييرها إلى شكل لا يمكن الاستفادة منه في حال وجود طرف ثالث غير مخوّل، وتكون الطريقة الوحيدة للاستفادة من هذه البيانات المشفّرة هي فقط من خلال مفتاح فك التشفير والذي يجب أن يكون الطرفان قد اتفقا عليه مُسبقًا أو تم إرساله بشكل آمن للمستقبِل.
* ما هي أقسام عملية التشفير؟
تنقسم آلية عمل التشفير إلى قسمين رئيسين:
أ. تشفير البيانات Encryption:
وهو القسم الأول من العملية، حيث يتم استخدام مفتاح التشفير لتحويل البيانات من الصيغة المفهومة الاعتيادية (plain text) إلى الصيغة المشفرة (cipher text).
ب. فك تشفير البيانات Decryption:
وهو القسم الثاني من العملية، حيث يتم استخدام مفتاح لفك التشفير وذلك بهدف إعادة البيانات لصيغتها المفهومة (plain text) وذلك عادةً عند الطرف المستقبِل للبيانات.
ما هي أنواع التشفير
للتشفير نوعان بشكل أساسيّ، إلا أنه يوجد أساليب حماية تشابه في طريقة عملها أساليب التشفير، ولذلك سأتطرق لأنواع التشفير في هذا المقال، ويمكن أن نكمل مع الأساليب المشابهة له في مقالات أخرى.
1- التشفير المتماثل Symmetric Encryption:
تقوم الفكرة الأساسية لهذا النوع على استخدام مفتاح التشفير نفسه في عملية التشفير وفك التشفير، فمثلًا في الشكل أعلاه؛ يتم إدخال البيانات المفهومة (plain text) حيث رُمِزَ لها بالرمز X إلى خوارزمية التشفير (Encryption Algorithm) حيث يتم في هذه الجزئية تشفير البيانات باستخدام مفتاح التشفير (Secret Key / Encryption Key) والذي رُمز له بالرمز K، وبعد ذلك يتم إرسال النص المشفّر إلى المستَقبِل.
على الجانب الآخر وعند المُستقبِل، يتم استخدام خوارزمية لفك التشفير (Decryption Algorithm) بنفس المفتاح K الذي تم استخدامه في التشفير عند المُرسِل، وينتج عن هذه العملية النص المُشفّر ذاته وبالصيغة المفهومة.
- مثال بسيط على هذه الطريقة:
يودّ "أحمد" أن يرسل رسالة إلى "خالد" بشكل مشفّر، ومحتوى الرسالة هو (أنا راقم)، كيف سيقوم بذلك من خلال هذه الطريقة في التشفير؟
بدايةً، يجب أن يكون هناك اتفاق حول مفتاح التشفير بين الطرفين، فمثلًا لو كان الاتفاق على أنّ المفتاح هو عبارة عن تحريك الأحرف بمقدار 3 خانات إلى اليمين.
وبذلك، يكون تشفير هذه الرسالة كالتالي: "ثيث شثمو"، وهنا سيكون جوهر الفكرة؛ لو أنّ أحمد كتب هذه الجملة وأعطاها لصاحب البريد على شكل ظرف رسائل، ووقع هذا الظرف بيد شخص سارق فسيفتح الرسالة ويقرأ هذا النص الذي لن يتمكّن من فهم شيءٍ منه! ولن يكون قادرًا على فهمه إلّا حينما يمتلك تلك المعلومة حول مفتاح التشفير.
عندما تصل الرسالة إلى خالد، سيفتحها ويبدأ بقلب الأحرف إلى محتواها الصحيح، حيث سيعيد صياغة الجملة من خلال النظر في مكان الحرف وإعادته بمقدار 3 خانات إلى الوراء لتعود له الجملة الأصلية (أنا راقم).
2- التشفير غير المتماثل Asymmetric Encryption:
في هذا النوع من التشفير، يتم استخدام مفتاحين مختلفين، واحد للتشفير والآخر لفك التشفير، ويكون لكل مستخدم في هذا النوع مفتاحان: خاصٌ وعام.
المفتاح العام ويستخدم للتشفير وهو معروف وليس سريًّا، والفتاح الخاص وهو سرّي ويستخدمه المُستقبِل لفك التشفير، ويعتبر مستوى الحماية في هذا النوع أعلى من مستوى النوع الأول.
- مثال بسيط على هذه الطريقة:
يودّ بوب Bob كما في الشكل أعلاه أن يرسل رسالة إلى آليس Alice، لكي يقوم بذلك في هذا النوع، سيضطر بوب إلى أن يقوم بتشفر النص بمفتاح آليس العام والذي يمتلكه بوب.
ومن ثُمّ يقوم بالإرسال، عندما تصل الرسالة إلى آليس، تحتاج إلى أن تستخدم مفتاحها الخاص والذي لا يعلمه غيرها من أجل أن تفك تشفير الرسالة وتعيدها لصيغتها المفهومة.
يمكن أن أشبّه هذا النوع من التشفير بنظام البريد الإلكتروني، فعنوانه معروف للأصدقاء، وسيرسلون رسائلهم لك من خلاله، وبالمقابل أنت الوحيد القادر على قرائتها لأنك تمتلك كلمة السر لهذا البريد الإلكتروني.
يتم استخدام هذا النوع من التشفير لأغراض أخرى مثل التخويل/التأكّد Authentication، فمثلًا لو اعتبرنا بوب مديرًا لشركة، فيمكن له أن يشفّر رسالةً بمفتاحه الخاص، ويرسلها لمجموعة كبيرة من الناس (مثلًا موظفيه)، ولن يستطيع أحد أن يفهم محتوى هذه الرسالة إلّا إن امتلك المفتاح العام لبوب ( أي موظفو الشركة).
:اشتملت هذه المدونة على
تعريف أمن المعلومات ●
عناصر المحافظة على أمن المعلومات ●
المخاطر الأمنية لنظم قواعد المعلومات ●
وسائل حماية المعلومات ●
تعريف بعلم التشفير ●
أقسام عملية التشفير ●
أنواع التشفير ●
لتوضيح عناصر أمن المعلومات قم بمشاهدة الفيديو من خلال الرابط أدناه:
https://youtu.be/MeUZBchM0bI
هذه المدونة بإعداد الطالبات:
.شهد البيطار
ميسم نصرلله
فرح بلال
هيلدا جمال
وحيدة عبد الناصر
