‫ﺑﺴﻢ ﺍﷲ ﺍﻟﺮﲪﻦ ﺍﻟﺮﺣﻴﻢ‬

‫ﺟــــﺎﻣـﻌـﺔ ﺃﻣـــﺪﺭﻣـــﺎﻥ ﺍﻹﺳــــﻼﻣـﻴـﺔ‬

‫ﻛــﻠـﻴـﺔ ﺍﻟـﻌـﻠـﻮﻡ ﻭﺍﻟــﺘـﻘـﺎﻧـﺔ‬

‫ﻗﺴﻢ ﻋﻠﻮﻡ ﺍﳊﺎﺳﻮﺏ‬

‫)ﺍﻟﻔﺮﻗﺔ ﺍﻟﺮﺍﺑﻌﺔ(‬

‫ﲢﻠﻴﻞ ﺍﳌﺨﺎﻃﺮ ﺍﳌﺘﻌﻠﻘﺔ ﺑﻨﻈﺎﻡ ﺍﳌﻌﻠﻮﻣﺎﺕ ﰲ ﺑﻨﻚ ﺇﻳﻔﻮﺭﻱ‬

‫ﻭﺍﳌﻘﺘﺮﺣﺎﺕ ﳌﻌﺎﳉﺘﻬﺎ‬

‫إﺷﺮاف اﻷﺳﺘﺎذ‪ -:‬ﻣﺤـﻤـﺪ ﻋـﺒـﺪ اﻟـﺮﺣـﻤـﻦ‪.‬‬

‫اﻟﻄﺎﻟﺐ‪ /‬ﻣﺎزن ﻓﺘﺤﻲ اﻟﺨﻀﺮ ﺳﻠﯿﻤﺎن‪.‬‬
 ‫دور ﺑﻨﻚ إﯾﻔﻮري ﻟﻼﺳﺘﺜﻤﺎر‬
‫ﯾﺼﻨﻒ إﯾﻔﻮري ﻟﻼﺳﺘﺜﻤﺎر اﻟﻤﺤﺎﻓﻈﺔ ﻋﻠﻰ ﻣﻌﻠﻮﻣﺎت اﻟﻌﻤﯿﻞ اﻟﻤﺨﺰﻧﺔ ﻓﻲ اﻷﻧﻈﻤﺔ أو اﻟﻤﺘﺪاوﻟﺔ ﻋﺒﺮ ﺷﺒﻜﺔ اﻹﻧﺘﺮﻧﺖ ﻛﺄوﻟﻮﯾﺔ أﻣﻨﯿﺔ ﻗﺼﻮى ﺗﺠﺴﯿﺪاً‬
‫ﻻﻟﺘﺰام اﻟﺒﻨﻚ ﺑﺤﻤﺎﯾﺔ ﻣﻌﻠﻮﻣﺎت اﻟﻌﻤﯿﻞ اﻟﺤﺴﺎﺳﺔ‪ ،‬ﻛﻤﺎ ﯾﻮاﺻﻞ اﻟﻌﻤﻞ ﻋﻠﻰ اﺗﺨﺎذ ﺟﻤﯿﻊ اﻟﺘﺪاﺑﯿﺮ واﻻﺣﺘﯿﺎﻃﺎت اﻷﻣﻨﯿﺔ اﻟﻔﻌﺎﻟﺔ ﻟﺘﺤﻘﯿﻖ ھﺬا اﻟﮭﺪف‪.‬‬
‫ﯾﻄﺒﻖ إﯾﻔﻮري ﻟﻼﺳﺘﺜﻤﺎر اﻟﻤﻌﺎﯾﯿﺮ اﻟﻌﺎﻟﻤﯿﺔ اﻟﻤﺜﻠﻰ ﻷﻣﻦ اﻟﻤﻌﻠﻮﻣﺎت ﻟﺘﻮﻓﯿﺮ ﺟﻮاﻧﺐ أﻣﻨﯿﺔ ﻣﺘﻄﻮرة‪ ،‬ﻛﻤﺎ ﯾﺠﺮي ﻣﺮاﺟﻌﺔ داﺧﻠﯿﺔ ﻣﺴﺘﻤﺮة ﻟﻤﻌﺎﯾﯿﺮ‬
‫اﻷﻣﻦ‪ ،‬وﯾﺪﻋﻢ ذﻟﻚ ﺑﻤﺮاﺟﻌﺎت أﻣﻨﯿﺔ ﻣﺴﺘﻘﻠﺔ ﻟﻄﻤﺄﻧﺔ اﻟﻌﻤﯿﻞ إﻟﻰ ھﺪﻓﻨﺎ اﻟﻤﺘﻤﺜﻞ ﻓﻲ ﺣﻤﺎﯾﺔ أﻣﻦ ﻣﻌﻠﻮﻣﺎﺗﮫ ﻋﻠﻰ ﻛﺎﻓﺔ اﻷﺻﻌﺪة‪ .‬ﻛﻤﺎ ﯾﻘﻮم اﻟﺒﻨﻚ ﺑﻤﺮاﻗﺒﺔ‬
‫ﻣﻮﻗﻌﮫ ﻋﻠﻰ ﺷﺒﻜﺔ اﻹﻧﺘﺮﻧﺖ ﻟﺮﺻﺪ أي اﺳﺘﺨﺪام ﻏﯿﺮ ﻣﺸﺮوع‪/‬ﻣﺼﺮح ﺑﮫ ﻻﺳﻢ اﻟﺒﻨﻚ وﻋﻼﻣﺎﺗﮫ اﻟﺘﺠﺎرﯾﺔ‪ ،‬وﺗﺸﻤﻞ ﻋﻤﻠﯿﺔ اﻟﻤﺮاﻗﺒﺔ ﻛﺸﻒ أي ﻣﻮاﻗﻊ‬
‫ﻣﺰﯾﻔﺔ ﻋﻠﻰ اﻟﺸﺒﻜﺔ ﺗﺸﺒﮫ ﻣﻦ ﺣﯿﺚ اﻟﺸﻜﻞ ﻣﻮﻗﻊ اﻟﺒﻨﻚ ﻷن ﻣﺜﻞ ھﺬه اﻟﻤﻮاﻗﻊ ﻛﻔﯿﻠﺔ ﺑﺘﻌﺮﯾﺾ أﻣﻦ وﺧﺼﻮﺻﯿﺔ ﻋﻤﻼﺋﻨﺎ ﻟﻠﺨﻄﺮ‪.‬‬

‫أھﻢ اﻟﻤﺨﺎﻃﺮ اﻟﺮاھﻨﺔ‬

‫ﯾﺮﻏﺐ إﯾﻔﻮري ﻟﻼﺳﺘﺜﻤﺎر ﻓﻲ إﻃﻼﻋﻜﻢ ﻋﻠﻰ ﺗﮭﺪﯾﺪات أﻣﻨﯿﺔ ﻣﺘﺼﺎﻋﺪة ‪ ،‬ﯾﻨﺒﻐﻲ أن ﺗﺤﻈﻰ ﺑﺄﻛﺒﺮ ﻗﺪر ﻣﻦ ﻋﻨﺎﯾﺘﻜﻢ‪.‬‬

‫اﻻﺳﺘﺪراج اﻹﻟﯿﻜﺘﺮوﻧﻲ‬

‫ھﻮ ﻋﺒﺎرة ﻋﻦ ﻧﺸﺎط إﺟﺮاﻣﻲ ﯾﻨﻄﻮي ﻋﻠﻰ ﻣﺤﺎوﻟﺔ ﻟﻠﺤﺼﻮل ﻋﻦ ﻃﺮﯾﻖ اﻻﺣﺘﯿﺎل ﻋﻠﻰ ﻣﻌﻠﻮﻣﺎت ﺣﺴﺎﺳﺔ ﻛﮭﻮﯾﺔ اﻟﻤﺴﺘﺨﺪم وﻛﻠﻤﺔ اﻟﺴﺮ وﺑﯿﺎﻧﺎت‬
‫اﻟﺤﺴﺎﺑﺎت ﻣﻦ ﺧﻼل اﻧﺘﺤﺎل ھﻮﯾﺔ ﺻﺪﯾﻖ ﻣﻮﺛﻮق أو ﺑﻨﻚ ﻣﺮﻣﻮﻗﺔ ﻛﺎﻟﺒﻨﻚ ﻓﻲ رﺳﺎﻟﺔ إﻟﯿﻜﺘﺮوﻧﯿﺔ أو ﻣﻮﻗﻊ وھﻤﻲ‪ .‬ﺗﻌﺘﺒﺮ اﻟﺸﺮﻛﺎت اﻟﺘﻲ ﺗﻘﺪم ﺧﺪﻣﺎت‬
‫اﺳﺘﺜﻤﺎرﯾﺔ ﻋﻠﻰ اﻹﻧﺘﺮﻧﺖ ﻣﻮاﻗﻊ ﻣﺴﺘﮭﺪﻓﺔ ﻟﻌﻤﻠﯿﺎت اﻻﺳﺘﺪراج‪ .‬أﻣﺎ أﻛﺜﺮ وﺳﺎﺋﻞ اﻻﺳﺘﺪراج ﺷﯿﻮﻋﺎً ﻓﮭﻲ اﻟﺮﺳﺎﺋﻞ اﻹﻟﯿﻜﺘﺮوﻧﯿﺔ أو اﻟﻔﻮرﯾﺔ‪ ،‬وﻏﺎﻟﺒﺎً ﻣﺎ‬
‫ﺗﻨﻄﻮي ﻋﻠﻰ ﻃﻠﺐ ﻟﻠﻤﺴﺘﺨﺪﻣﯿﻦ ﺑﺎﻟﻜﺸﻒ ﻋﻦ ﺗﻔﺎﺻﯿﻞ ﺷﺨﺼﯿﺔ ﻋﺒﺮ ﻣﻮﻗﻊ وھﻤﻲ ﻋﻠﻰ اﻟﺸﺒﻜﺔ اﻟﻌﺎﻟﻤﯿﺔ‪ ،‬إﻻ أن ﻋﻤﻠﯿﺎت اﻻﺳﺘﺪراج ﺗﺴﺘﺨﺪم‬
‫اﻟﻤﻜﺎﻟﻤﺎت اﻟﮭﺎﺗﻔﯿﺔ أﯾﻀﺎً ﻓﻲ ﺑﻌﺾ اﻷﺣﯿﺎن ‪ .‬إن اﻻﺳﺘﺪراج ھﺠﻮم ﻋﻠﻰ ھﻮﯾﺔ ﺷﺨﺺ ﻗﺪ ﯾﻜﻮن ﻋﻤﯿﻼً ﻟﺒﻨﻚ إﯾﻔﻮري ﻟﻼﺳﺘﺜﻤﺎر‪ .‬ﻟﻘﺪ درﺟﺖ اﻟﻌﺎدة ﻋﻠﻰ‬
‫إﻃﻼق ﻣﺼﻄﻠﺢ "ﺳﺮﻗﺔ اﻟﮭﻮﯾﺔ" ﻋﻠﻰ ھﺬا اﻟﻨﻮع ﻣﻦ اﻟﮭﺠﻤﺎت ﻷن ﻏﺮض اﻟﻤﮭﺎﺟﻢ ھﻮ اﻟﺤﺼﻮل ﻋﻠﻰ ﺑﯿﺎﻧﺎﺗﻚ اﻟﺸﺨﺼﯿﺔ ﺑﺎﺳﺘﺨﺪام ﺗﻘﻨﯿﺎت ﻣﺨﺘﻠﻔﺔ‬
‫ﻛﺎﻟﻤﻮاﻗﻊ اﻟﻮھﻤﯿﺔ واﻟﺮﺳﺎﺋﻞ اﻹﻟﯿﻜﺘﺮوﻧﯿﺔ اﻟﻤﺰﯾﻔﺔ ‪ ...‬اﻟﺦ‪ .‬ﻣﺎ اﻟﺬي ﯾﻤﻜﻨﻚ اﻟﻘﯿﺎم ﺑﮫ ﻟﻤﺴﺎﻋﺪﺗﻨﺎ ﻋﻠﻰ اﻟﺤﯿﻠﻮﻟﺔ دون ﻗﯿﺎم اﻟﻤﺴﺘﺪرﺟﯿﻦ ﺑﺎﺳﺘﻐﻼﻟﻚ؟‬

‫ﻛﻦ ﻣﺘﯿﻘﻈﺎً ﻟﻤﺤﺎوﻻت اﻻﺳﺘﺪراج ﻋﻦ ﻃﺮﯾﻖ اﻟﺒﺮﯾﺪ‪ ،‬وﺗﺄﻛﺪ ﻣﻦ اﻟﺪﺧﻮل ﻋﻠﻰ ﻣﻮﻗﻊ اﻟﺒﻨﻚ ﻋﺒﺮ ﻋﻨﻮان اﻟﻤﻮﻗﻊ اﻟﺼﺤﯿﺢ ﻟﻺﯾﻔﻮري ﻟﻼﺳﺘﺜﻤﺎر‬ ‫•‬
‫)أﯾﺘﺠﻨﺐ اﺳﺘﺨﺪام أﺟﮭﺰة اﻟﻜﻤﺒﯿﻮﺗﺮ أو وﺻﻼت اﻟﺸﺒﻜﺔ "اﻟﻌﻤﻮﻣﯿﺔ" ﺧﺼﻮﺻﺎً ﻋﻨﺪ ﻣﺮاﺟﻌﺔ اﻟﺒﯿﺎﻧﺎت اﻟﻤﺎﻟﯿﺔ‪ ،‬وﻓﯿﻤﺎ ﻟﻮ اﻗﺘﻀﺖ اﻟﻀﺮورة‬
‫اﺳﺘﺨﺪاﻣﮭﺎ ﯾﺠﺐ اﻟﺤﺮص ﻋﻠﻰ ﺷﻄﺐ اﻟﻤﻠﻔﺎت اﻟﺸﺨﺼﯿﺔ وﻛﻌﻜﺎت اﻟﺘﺠﺴﺲ وذاﻛﺮة اﻹﻧﺘﺮﻧﺖ اﻟﻤﺨﺒﺄة ﺑﻌﺪ اﻻﻧﺘﮭﺎء‪.‬‬
‫ﺣﻤﺎﯾﺔ اﻟﻜﻤﺒﯿﻮﺗﺮ اﻟﻤﺤﻤﻮل وﻏﯿﺮه ﻣﻦ اﻷﺟﮭﺰة اﻹﻟﯿﻜﺘﺮوﻧﯿﺔ اﻟﻨﻘﺎﻟﺔ ﺿﺪ اﻟﺴﺮﻗﺔ‪ ،‬وﺗﻔﻌﯿﻞ ﺧﺎﺻﯿﺔ ﺗﺸﻔﯿﺮ اﻟﻘﺮص اﻟﺼﻠﺐ وﻛﻠﻤﺔ اﻟﺴﺮ‬ ‫•‬
‫ﻟﻠﺘﺤﻜﻢ ﺑﺎﻟﺪﺧﻮل‪.‬‬
‫ﯾﻨﺒﻐﻲ ﻋﻠﯿﻚ اﻟﺤﺮص اﻟﺘﺎم ﻋﻠﻰ ﺗﺠﻨﺐ إﻓﺸﺎء ﺑﯿﺎﻧﺎﺗﻚ اﻟﺸﺨﺼﯿﺔ أو اﻟﻤﺎﻟﯿﺔ ﻟﻠﻐﯿﺮ رداً ﻋﻠﻰ ﻃﻠﺐ ﺧﺎص ﺑﺘﺤﺪﯾﺚ أو ﻓﺤﺺ أو ﺗﺄﻛﯿﺪ ﺑﯿﺎﻧﺎت‬ ‫•‬
‫اﻟﺤﺴﺎب إﻻ إذا ﻛﻨﺖ أﻧﺖ اﻟﻤﺒﺎدر ﺑﺈﺟﺮاء اﻻﺗﺼﺎل‪ ،‬ﻣﻊ ﻣﻌﺮﻓﺘﻚ ﺑﺎﻟﻄﺮف اﻵﺧﺮ اﻟﺬي ﺗﺘﻌﺎﻣﻞ ﻣﻌﮫ‪.‬‬
‫ﻻ ﺗﻘﻢ ﺑﺎﻟﻨﻘﺮ ﻋﻠﻰ وﺻﻼت اﻟﺮﺑﻂ ﻓﻲ ﻏﺮف اﻟﺪردﺷﺔ أو اﻟﺮﺳﺎﺋﻞ‪ ،‬وﻻ ﺗﺘﺼﻞ ﺑﺮﻗﻢ ھﺎﺗﻒ ﺗﻢ ﺗﻀﻤﯿﻨﮫ ﻓﻲ رﺳﺎﻟﺔ ﺑﺮﯾﺪ إﻟﯿﻜﺘﺮوﻧﻲ ﺣﺘﻰ وﻟﻮ‬ ‫•‬
‫ﻛﺎن اﻟﻐﺮض ھﻮ ﺗﺤﺪﯾﺚ ﺑﯿﺎﻧﺎﺗﻚ‪.‬‬
‫ﻻ ﺗﻘﻢ ﺑﺎﻟﺮد ﻋﻠﻰ رﺳﺎﺋﻞ اﻟﺒﺮﯾﺪ اﻹﻟﯿﻜﺘﺮوﻧﻲ اﻟﻤﺸﺒﻮھﺔ أو اﻟﺮﺳﺎﺋﻞ اﻟﺘﻲ ﺗﻄﻠﺐ ﻣﻨﻚ إﻓﺸﺎء ﻣﻌﻠﻮﻣﺎت ﺷﺨﺼﯿﺔ ﻛﺮﻗﻢ اﻟﺒﻄﺎﻗﺔ أو اﻟﺤﺴﺎب أو‬ ‫•‬
‫ﻛﻠﻤﺔ اﻟﺴﺮ‪.‬‬
‫ﺗﺬﻛﺮ أن إﯾﻔﻮري ﻟﻼﺳﺘﺜﻤﺎر ﻟﻦ ﯾﻘﻮم ﻋﻠﻰ اﻹﻃﻼق ﺑﺈرﺳﺎل رﺳﺎﻟﺔ ﺑﺮﯾﺪ إﻟﯿﻜﺘﺮوﻧﻲ إﻟﯿﻚ ﻣﻊ ﻣﻄﺎﻟﺒﺘﻚ ﺑﺎﻟﺮد واﻟﻜﺸﻒ ﻋﻦ ﻣﻌﻠﻮﻣﺎﺗﻚ‬ ‫•‬
‫اﻟﺸﺨﺼﯿﺔ‪.‬‬
‫إذا ﻗﻤﺖ ﻣﺆﺧﺮاً ﺑﺎﻟﺮد ﻋﻠﻰ رﺳﺎﻟﺔ ﺑﺮﯾﺪ إﻟﯿﻜﺘﺮوﻧﻲ ﺗﻠﻘﺎﺋﯿﺔ ﻟﻢ ﺗﺮد ﺑﻨﺎءً ﻋﻠﻰ ﻃﻠﺐ ﻣﻨﻚ وﻗﻤﺖ ﺑﺎﻟﺮد ﻋﻠﯿﮭﺎ‪ ،‬وﺗﻀﻤﻦ اﻟﺮد إﻓﺸﺎء أي‬ ‫•‬
‫ﻣﻌﻠﻮﻣﺎت ﺷﺨﺼﯿﺔ ﺧﺎﺻﺔ ﺑﺤﺴﺎﺑﻚ ﻟﺪى ﺑﻨﻚ إﯾﻔﻮري ﻟﻼﺳﺘﺜﻤﺎر‪ ،‬ووﺟﻮد ﺷﻚ ﻟﺪﯾﻚ اﻵن ﺑﺄن اﻟﺠﮭﺔ اﻟﻤﺮﺳﻠﺔ ﻟﻢ ﺗﻜﻦ اﻟﺒﻨﻚ‪ ،‬ﺑﺎدر إﻟﻰ‬
‫اﻻﺗﺼﺎل ﺑﻨﺎ ﻓﻮراً ﻟﻨﺘﻤﻜﻦ ﻣﻦ اﺗﺨﺎذ اﻹﺟﺮاءات اﻟﻼزﻣﺔ ﻟﺤﻤﺎﯾﺔ ﺣﺴﺎﺑﻚ‪.‬‬

‫اﻟﮭﻨﺪﺳﺔ اﻻﺟﺘﻤﺎﻋﯿﺔ‬

‫ھﻲ ﻋﻤﻠﯿﺔ اﻟﺤﺼﻮل ‪ -‬أو ﻣﺤﺎوﻟﺔ اﻟﺤﺼﻮل ‪ -‬ﻋﻠﻰ ﻣﻌﻠﻮﻣﺎت ﺳﺮﯾﺔ ﻣﻦ ﺧﻼل "ﺗﻤﻠﻖ" اﻟﻤﻨﺘﺤﻞ ﻹﻗﻨﺎع اﻟﻌﻤﯿﻞ ﺑﺎﻟﻜﺸﻒ ﻋﻦ ﻣﻌﻠﻮﻣﺎﺗﮫ اﻟﺴﺮﯾﺔ‪ .‬إن‬
‫اﻟﮭﻨﺪﺳﺔ اﻻﺟﺘﻤﺎﻋﯿﺔ ﻧﺎﺟﺤﺔ ﻷن ﺿﺤﺎﯾﺎھﺎ ﯾﻤﯿﻠﻮن إﻟﻰ اﻟﻄﯿﺒﺔ ﻓﻲ ﻃﺒﻌﮭﻢ‪ ،‬وﯾﺤﺮﺻﻮن ﻋﻠﻰ اﻟﺜﻘﺔ ﺑﺎﻟﻐﯿﺮ‪ ،‬وﯾﻨﺰﻋﻮن ﻣﻦ ﺗﻠﻘﺎء أﻧﻔﺴﮭﻢ ﻟﺘﻘﺪﯾﻢ اﻟﻤﺴﺎﻋﺪة‬
‫ﻟﻠﻐﯿﺮ‪ .‬ﯾﺘﻢ ﺧﺪاع ﺿﺤﺎﯾﺎ اﻟﮭﻨﺪﺳﺔ اﻻﺟﺘﻤﺎﻋﯿﺔ وإﻗﻨﺎﻋﮭﻢ ﺑﺎﻟﻜﺸﻒ ﻋﻦ ﻣﻌﻠﻮﻣﺎت ﻻ ﯾﺪرﻛﻮن أﻧﮭﺎ ﺳﺘﺴﺘﺨﺪم ﻟﻠﮭﺠﻮم ﻋﻠﻰ ﺷﺒﻜﺔ ﺣﺎﺳﺐ آﻟﻲ‪ .‬ﻓﻌﻠﻰ ﺳﺒﯿﻞ‬
‫اﻟﻤﺜﺎل ﻗﺪ ﯾﺘﻢ ﺧﺪاع ﻣﻮﻇﻒ ﺑﻨﻚ ﻟﻠﻜﺸﻒ ﻋﻦ اﺳﻢ اﻟﻤﺴﺘﺨﺪم ﻣﻊ ﻛﻠﻤﺔ اﻟﺴﺮ ﻟﺸﺨﺺ ﯾﺪﻋﻲ ﻛﻮﻧﮫ ﯾﻨﺘﺤﻞ ﺷﺨﺼﯿﺔ ﻣﻮﻇﻒ اﻟﺪﻋﻢ اﻟﻔﻨﻲ و ﺑﺎﻻﻗﺘﺮان ﻣﻊ‬
‫ﻣﻌﻠﻮﻣﺎت أﺧﺮى ﻗﺎم ﺑﺠﻤﻌﮭﺎ ﺑﻄﺮق ﻣﻤﺎﺛﻠﺔ ﻟﻼﻗﺘﺮاب أﻛﺜﺮ ﻓﺄﻛﺜﺮ ﻣﻦ اﻟﻌﺜﻮر ﻋﻠﻰ وﺳﯿﻠﺔ ﻻﺧﺘﺮاق ﺷﺒﻜﺔ اﻟﺤﺎﺳﺐ اﻵﻟﻲ ﻟﻠﺒﻨﻚ‪ .‬إن اﻻﺳﺘﺪراج ﻋﺒﺎرة‬
‫ﻋﻦ ھﺠﻮم ﯾﻌﺘﻤﺪ ﻋﻠﻰ اﻟﮭﻨﺪﺳﺔ اﻻﺟﺘﻤﺎﻋﯿﺔ ﻋﺒﺮ إﻏﺮاء اﻟﻀﺤﯿﺔ ﺑﺎﻟﻜﺸﻒ ﻋﻦ ﻣﻌﻠﻮﻣﺎت ﻓﻲ اﺳﺘﻐﻼل ﻟﻠﻨﺰﻋﺔ اﻟﺒﺸﺮﯾﺔ ﻓﻲ اﻟﺜﻘﺔ ﺑﺄﻣﻦ ﻋﻼﻣﺔ ﺗﺠﺎرﯾﺔ‬
‫ﻣﺮﻣﻮﻗﺔ ﻻرﺗﺒﺎط ﺗﻠﻚ اﻟﻌﻼﻣﺔ ﺑﺎﻟﺠﺪارة واﻟﻤﺼﺪاﻗﯿﺔ‪.‬‬

‫‪-2-‬‬
 ‫ھﻨﺎك ﻋﺪة أﺳﺎﻟﯿﺐ ﻟﻠﮭﺠﻮم ﺑﺎﺳﺘﺨﺪام اﻟﮭﻨﺪﺳﺔ اﻻﺟﺘﻤﺎﻋﯿﺔ وﻟﻜﻦ أﺷﮭﺮھﺎ ﻣﺎ ﯾﻠﻲ‪:‬‬

‫أ‪ -‬أﺳﻠﻮب اﻹﻗﻨﺎع )‪:(Persuasion‬‬

‫ھﺬا ھﻮ أھﻢ أﺳﺎﻟﯿﺐ ھﺬه اﻟﻄﺮﯾﻘﺔ وﻟﺬﻟﻚ ﺳﻨﻔﺼﻞ اﻟﻜﻼم ﻓﯿﮫ‪ .‬وﺑﺎدئ ذي ﺑﺪء ﻧﻘﻮل إن ﺳﯿﻜﻮﻟﻮﺟﯿﺔ اﻹﻗﻨﺎع ﻟﮭﺎ ﺟﻮاﻧﺐ ﻣﺘﻌﺪدة أھﻤﮭﺎ)‪:([1]1‬‬

‫)‪ (1‬ﻃﺮق اﻹﻗﻨﺎع‪ :‬ﺗﺪل اﻟﺪراﺳ ﺎت اﻟﺘ ﻲ أﺟﺮﯾ ﺖ ﻓ ﻲ ﻋﻠ ﻢ اﻟ ﻨﻔﺲ اﻻﺟﺘﻤﺎﻋــ ـﻲ )‪(Social Psychology‬أن ھﻨـ ـﺎك ﻃﺮﯾﻘﺘ ـﯿﻦ ﻹﻗﻨ ﺎع‬
‫ﺷﺨﺺ ﻟﻌﻤﻞ ﺷﻲء ﻣﺎ‪:‬‬
‫)أ( ﻃﺮﯾﻘﺔ اﻹﻗﻨﺎع اﻟﻤﺒﺎﺷﺮة‪ :‬ﻓﻲ ھﺬه اﻟﻄﺮﯾﻘﺔ ﯾﺘﺬرع اﻟﻤﮭﺎﺟﻢ ﺑﺎﻟﺤﺠﺞ اﻟﻤﻨﻄﻘﯿﺔ واﻟﺒﺮاھﯿﻦ ﻟﺤﻔﺰ اﻟﻤﺴﺘﻤﻊ – ﻓﻲ ھﺬه اﻟﺤﺎﻟ ﺔ اﻟ ﻀﺤﯿﺔ –‬
‫ﻋﻠﻰ اﻟﺘﻔﻜﯿﺮ اﻟﻤﻨﻄﻘﻲ واﻟﻮﺻﻮل إﻟﻰ ﻧﺘﯿﺠﺔ ﯾﺮﻏﺐ اﻟﻤﮭﺎﺟﻢ ﻓﻲ ﺟﺮ اﻟﻀﺤﯿﺔ إﻟﯿﮭﺎ‪.‬‬
‫)ب( اﻟﻄﺮﯾﻘ ﺔ ﻏﯿ ﺮ اﻟﻤﺒﺎﺷ ﺮة‪ :‬ھﻨ ﺎ ﯾﻌﺘﻤ ﺪ اﻟﻤﮭ ﺎﺟﻢ ﻋﻠ ﻰ اﻹﯾﺤ ﺎءات اﻟﻨﻔ ﺴﯿﺔ‪ ،‬واﻟﻘﻔ ﺰ ﻓ ﻮق اﻟﻤﻨﻄ ﻖ‪ ،‬وﺗﺤﺎﺷ ﻲ اﺳ ﺘﻨﻔﺎر ﻗ ﺪرة اﻟﺘﻔﻜﯿ ﺮ‬
‫اﻟﻤﻨﻄﻘﻲ ﻟﺪى اﻟﻀﺤﯿﺔ‪ ،‬وﺣﺚ اﻟﻀﺤﯿﺔ ﻋﻠﻰ ﻗﺒﻮل ﻣﺒﺮرات اﻟﻤﮭﺎﺟﻢ دون ﺗﺤﻠﯿﻠﮭﺎ واﻟﺘﻔﻜﯿﺮ ﻓﯿﮭﺎ ﺟﺪﯾﺎً‪.‬‬

‫وﻣﻦ اﻟﻮاﺿﺢ أن اﻟﻤﮭﺎﺟﻢ ﻻ ﯾﻤﻠﻚ ﻏﺎﻟﺒﺎً ﻣﺒﺮرات وﺣﺠﺠﺎً ﻣﻨﻄﻘﯿﺔ ﻹﻗﻨﺎع اﻟﺸﺨﺺ اﻟﻤﺴﺘﮭﺪف ﺑﻌﻤﻞ ﻣ ﺎ ﯾﺮﻏﺒ ﮫ‪ ,‬وﻟ ﺬﻟﻚ ﻓﺈﻧ ﮫ ﯾﻠﺠ ﺄ ﻏﺎﻟﺒ ﺎً ﻟﻠﻄﺮﯾﻘ ﺔ‬
‫اﻟﺜﺎﻧﯿ ﺔ‪ ،‬أي‪ :‬اﻟﻄﺮﯾﻘ ﺔ ﻏﯿ ﺮ اﻟﻤﺒﺎﺷ ﺮة‪ ،‬ﻓﯿﻌﻤ ﺪ ﻓ ﻲ ﺑﺪاﯾ ﺔ ﻟﻘﺎﺋ ﮫ ﺑﺎﻟ ﻀﺤﯿﺔ إﻟ ﻰ إﻃ ﻼق ﻋﺒ ﺎرات ﺗ ﺴﺘﺜﯿﺮ اﻟ ﺸﺨﺺ اﻟﻤ ﺴﺘﮭﺪف ﻧﻔ ﺴﯿﺎً‪ ،‬إﻣ ﺎ ﺑﺒ ﺚ ﻣ ﺸﺎﻋﺮ‬
‫اﻟﺨﻮف أو ﻣﺸﺎﻋﺮ اﻟﺤﻤﺎس ﻓ ﻲ ﻧﻔ ﺴﮫ‪ .‬وھ ﺬه اﻟﻤﻮﺟ ﺔ ﻣ ﻦ اﻟﻤ ﺸﺎﻋﺮ اﻟﻨﻔ ﺴﯿﺔ ﺗﻌﻤ ﻞ ﻋﻠ ﻰ ﺗ ﺸﺘﯿﺖ ذھ ﻦ اﻟﻤ ﺴﺘﮭﺪف وﺗ ﺸﻮش ﻧﻈﺮﺗ ﮫ ﻟﻸﻣ ﻮر‪ ،‬ﻓﺘ ﻀﻌﻒ‬
‫ﻗﺪراﺗﮫ ﻋﻠﻰ اﻟﺘﻔﻜﯿﺮ واﻟﺘﺤﻠﯿﻞ اﻟﻤﻨﻄﻘﻲ‪ ،‬ﻓﯿﺼﻌﺐ ﻋﻠﯿﮫ ﺗﺒﻌﺎً ﻟﺬﻟﻚ ﻣﻮاﺟﮭﺔ ﺣﺠﻢ وﻣﺒﺮرات اﻟﻤﮭﺎﺟﻢ وإن ﻛﺎﻧﺖ ﺿﻌﯿﻔﺔ‪.‬‬

‫اﻟﻤﺒﺎﺷﺮ‪ :‬ﻓﯿﻤﺎ ﯾﻠﻲ ﻧﻌﺮض أﻧﺠﺢ اﻷﺳﺎﻟﯿﺐ اﻟﺘ ﻲ ﯾُﻌْﻤِﻠﮭ ﺎ اﻟﻤﮭ ﺎﺟﻢ‬ ‫)‪ (2‬أﺳﺎﻟﯿﺐ اﻟﺘﺄﺛﯿﺮ اﻟﻤﺴﺘﺨﺪﻣﺔ ﻓﻲ ﻃﺮﯾﻘﺔ اﻹﻗﻨﺎع ﻏﯿﺮ‬
‫ﺿﺪ ﺧﺼﻤﮫ ﻋﻨﺪﻣﺎ ﯾﺴﺘﺨﺪم اﻷول ﻃﺮﯾﻘﺔ اﻹﻗﻨﺎع ﻏﯿﺮ اﻟﻤﺒﺎﺷﺮ‪:‬‬
‫)أ( اﻟﺘﺰﯾﻲ ﺑﻤﻈﮭﺮ ﺻﺎﺣﺐ اﻟﺴﻠﻄﺔ‪ :‬إن اﻟﻐﺎﻟﺐ ﻋﻠﻰ اﻟﻨﺎس ﺳﺮﻋﺔ ﺗﻠﺒﯿﺔ ﻃﻠﺒﺎت ذي اﻟﺴﻠﻄﺔ ﺣﺘﻰ وإن ﻟ ﻢ ﯾﻜ ﻦ ﻣﻮﺟ ﻮدا ﺑﺸﺨ ﺼﮫ‪ ،‬وﻗ ﺪ أﺟﺮﯾ ﺖ‬
‫ﺗﺠﺮﺑﺔ ﻓﻲ ﺛﻼﺛﺔ ﻣﺴﺘﺸﻔﯿﺎت ﺑﺎﻟﻮﻻﯾﺎت اﻟﻤﺘﺤﺪة ﺣﯿﺚ ادﻋﻰ اﻟﺸﺨﺺ اﻟﺬي أﺟﺮى اﻟﺘﺠﺮﺑﺔ أﻧﮫ ﻃﺒﯿﺐ واﺗ ﺼﻞ ھﺎﺗﻔﯿ ﺎً ﺑ ﺎﺛﻨﺘﯿﻦ وﻋ ﺸﺮﯾﻦ ﻣﻜﺘﺒ ﺎً ﻣ ﻦ ﻣﻜﺎﺗ ﺐ‬
‫اﻟﻤﻤﺮﺿﺎت ﺑﺎﻟﻤﺴﺘﺸﻔﯿﺎت اﻟﺜﻼﺛﺔ‪ ،‬وﻓﻲ ﻛﻞ ﻣﺮة ﻛ ﺎن ﯾﻄﻠ ﺐ ﻣ ﻦ اﻟﻤﻤﺮﺿ ﺔ اﻟﺘ ﻲ ﺗ ﺮد ﻋﻠ ﻰ ﻣﻜﺎﻟﻤﺘ ﮫ أن ﺗ ﺼﺮف ‪20‬ﻣﻠﻠﺠ ﺮام ﻣ ﻦ دواء ﻣﻌ ﯿﻦ ﻟﻤ ﺮﯾﺾ‬
‫ﻣﻌﯿﻦ ﻣﻮﺟﻮد ﻓﻲ اﻟﺠﻨﺎح اﻟﺬي ﯾﺸﺮف ﻋﻠﯿﮫ ﻣﻜﺘﺐ اﻟﻤﻤﺮﺿﺎت اﻟﺬي اﺗﺼﻞ ﺑﮫ اﻟﺒﺎﺣﺚ‪ .‬وﻓﻲ ھﺬه اﻟﺘﺠﺮﺑﺔ ﻋﺪة أﻣﻮر ﯾﺠﺐ أن ﯾُﻨﺘﺒﮫ إﻟﯿﮭﺎ‪:‬‬
‫أوﻻً‪ :‬أن اﻟﻤﻤﺮﺿﺔ ﻟﻢ ﯾﺴﺒﻖ ﻟﮭﺎ رؤﯾﺔ اﻟﻄﺒﯿﺐ اﻟﻤﺰﻋﻮم أو ﺣﺘﻰ اﻟﺤﺪﯾﺚ إﻟﯿﮫ ھﺎﺗﻔﯿﺎً‪.‬‬

‫ﺛﺎﻧﯿ ﺎً‪ :‬أن ھ ﺬا اﻟﻄﺒﯿ ﺐ ﻛ ﺎن ﯾﻌﻄﯿﮭ ﺎ اﻟﻮﺻ ﻔﺔ ھﺎﺗﻔﯿ ﺎً ﺑ ﺪﻻً ﻣ ﻦ اﻟﺤ ﻀﻮر ﺷﺨ ﺼﯿﺎً ﻹﻋﻄ ﺎء اﻟﻮﺻ ﻔﺔ ﻛﻤ ﺎ ﺗ ﻨﺺ ﻋﻠ ﻰ ذﻟ ﻚ ﻗﻮاﻋ ﺪ اﻟﻌﻤ ﻞ ﻓ ﻲ‬
‫اﻟﻤﺴﺘﺸﻔﯿﺎت اﻟﺘﻲ أﺟﺮﯾﺖ اﻟﺘﺠﺎرب ﻓﯿﮭﺎ‪.‬‬
‫ﺛﺎﻟﺜﺎً‪ :‬أن اﻟﻌﻼج اﻟﺬي وﺻﻔﮫ اﻟﻄﺒﯿﺐ اﻟﻤﺰﻋﻮم ﻟﻢ ﯾﻜﻦ اﺳﺘﺨﺪاﻣﮫ ﻣﺴﻤﻮﺣﺎً ﺑﮫ داﺧﻞ ذﻟﻚ اﻟﺠﻨﺎح‪.‬‬
‫راﺑﻌﺎً‪ :‬أن اﻟﺠﺮﻋﺔ اﻟﺘﻲ وﺻﻔﮭﺎ ذﻟﻚ اﻟﻄﺒﯿﺐ ﻛﺎﻧﺖ ﺿﻌﻒ اﻟﺤﺪ اﻷﻗﺼﻰ اﻟﻤﺴﻤﻮح ﺑﮫ ﻓﻲ اﻷﺟﻨﺤﺔ اﻟﺘﻲ ﯾﺴﻤﺢ ﻓﯿﮭﺎ ﺑﻮﺻﻒ ذﻟﻚ اﻟﺪواء‪.‬‬

‫وﻋﻠﻰ اﻟﺮﻏﻢ ﻣﻦ ﻛﻞ ھﺬا ﻓﺈن ‪ %95‬ﻣﻦ اﻟﻤﻤﺮﺿﺎت اﻟﺘﻲ ﺟﺮى اﻻﺗﺼﺎل ﺑﮭﻦ ﻛ ﻦ ﻓ ﻲ ﻃ ﺮﯾﻘﮭﻦ ﻟﺘﻨﻔﯿ ﺬ ﻃﻠﺒ ﺎت اﻟﻄﺒﯿ ﺐ‪ ،‬ﻟﻜ ﻦ اﻟﻤ ﺮاﻗﺒﯿﻦ‬
‫اﻟﻤﺸﺎرﻛﯿﻦ ﻓﻲ اﻟﺘﺠﺮﺑﺔ أوﻗﻔﻮھﻦ ﻗﺒﻞ ذﻟﻚ‪.‬‬
‫)ب( اﻹﻏﺮاء ﺑﺎﻣﺘﻼك ﺷﻲء ﻧﺎدر‪ :‬إن اﻟﻨﺎس ﻓﻲ ﻣﺠﻤﻠﮭﻢ ﻟﺪﯾﮭﻢ اﻟﺮﻏﺒﺔ ﻓﻲ اﻣﺘﻼك أي ﺷﻲء ﻣﮭﻤﺎ ﻛﺎن إذا أﺣﺴﻮا أن ذﻟﻚ اﻟﺸﻲء أﺻ ﺒﺢ ﺷ ﺤﯿﺤًﺎ‬
‫أو أﻧﮫ ﻣﺘﻮﻓﺮ ﻟﻔﺘﺮة ﻣﺤﺪودة‪ ،‬وھﺬا أﻣﺮ ﯾﺪل ﻋﻠﯿﮫ اﻟﻮاﻗﻊ اﻟﻤﻌﺎش‪ ،‬ﻛﻤﺎ دﻟﺖ ﻋﻠﯿﮫ اﻟﺪراﺳﺎت اﻟﺘﻲ أﺟﺮﯾﺖ ﻓ ﻲ ﻣﺠ ﺎل ﻋﻠ ﻢ اﻟ ﻨﻔﺲ اﻻﺟﺘﻤ ﺎﻋﻲ‪ .‬ﻛﻤ ﺎ أن‬
‫رﻏﺒﺘﮭﻢ ﺗﺰداد ﻓﻲ اﻣﺘﻼك ذﻟﻚ اﻟﺸﻲء ﻣﺘﻰ ﻣﺎ أﺷﻌﺮوا أن ﻗ ﺪرﺗﮭﻢ ﻋﻠ ﻰ اﻣﺘﻼﻛ ﮫ ﺳﺘ ﺼﺒﺢ ﻣﺤ ﺪودة ﻓ ﻲ اﻟﻤ ﺴﺘﻘﺒﻞ‪ .‬إن ھ ﺬا اﻟ ﺴﻠﻮك ﯾﻤﻜ ﻦ أن ﯾ ﺴﺘﻐﻠﮫ‬
‫اﻟﻤﮭﺎﺟﻢ ﻓﯿﻌﺮض ﻓﻲ ﻣﻮﻗﻌﮫ ﻣﺜﻼً ﺷﺎﺷــﺎت ﺗﻮﻗـــﻒ )‪ (Screen Savers‬ﻓﯿﮭﺎ ﺻــﻮر ﻣﻐﺮﯾﺔ‪ ،‬وﯾﻌﻄﻲ إﻣﻜﺎﻧﯿ ﺔ ﺗﺤﻤﯿﻠﮭ ﺎ ﻣ ﻦ ﻣﻮﻗﻌ ﮫ‪ ،‬ﺛ ﻢ ﯾﻌﻠ ﻦ أن‬
‫ھﺬا اﻟﻌﺮض ﯾﺴﺮي ﻟﻤﺪة ﻣﺤ ﺪودة ﻓﻘ ﻂ وﯾ ﺸﺘﺮط ﻋﻠ ﻰ اﻟ ﺸﺨﺺ اﻟﺮاﻏ ﺐ ﻓ ﻲ ﺗﺤﻤﯿﻠﮭ ﺎ أن ﯾ ﺸﺘﺮك ﻓ ﻲ اﻟﻤﻮﻗ ﻊ‪ ،‬وﻻ ﯾﺤﺘ ﺎج اﻻﺷ ﺘﺮاك إﻟ ﻰ أﻛﺜ ﺮ ﻣ ﻦ‬
‫اﺧﺘﯿﺎر رﻗﻢ ﻣﺴﺘﺨﺪم وﻛﻠﻤﺔ ﻣﺮور‪ .‬وھﻨﺎ ﻗﺪ ﯾﻘﻊ اﻟ ﺸﺨﺺ اﻟﻤ ﺴﺘﮭﺪف ﻓ ﻲ اﻟﻔ ﺦ ﻟﺤﺮﺻ ﮫ ﻋﻠ ﻰ ﺗﻨﺰﯾ ﻞ ھ ﺬه اﻟ ﺸﺎﺷﺎت‪ ،‬ﻓﯿ ﺪﺧﻞ رﻗﻤ ﺎً ﻣ ﺴﺘﺨﺪﻣﺎً وﻛﻠﻤ ﺔ‬
‫اﻟﻤﺮور ﻗﺪ ﺗﻜﻮن ھﻲ ﻧﻔﺲ ﻣﺎ ﯾﺴﺘﺨﺪﻣﮫ ﻓﻲ ﺗﻄﺒﯿﻘﺎت أﺧﺮى ﻣﺜﻞ اﻟﺒﺮﯾﺪ اﻹﻟﻜﺘﺮوﻧﻲ أو ﻗﺎﻋﺪة ﺑﯿﺎﻧﺎت اﻟﺒﻨﻚ‪ .‬وﻓﻲ ھﺬه اﻟﺤﺎﻟ ﺔ ﯾﻤﻜ ﻦ ﻟﻠﻤﮭ ﺎﺟﻢ اﻟﻤﺘ ﺴﺘﺮ‬
‫وراء ھﺬا اﻟﻤﻮﻗﻊ اﻟﺪﺧﻮل إﻟﻰ اﻟﺒﺮﯾﺪ اﻹﻟﻜﺘﺮوﻧﻲ اﻟﺨﺎص ﺑﺎﻟﻀﺤﯿﺔ‪ ،‬أو دﺧﻮل ﻗﺎﻋﺪة ﺑﯿﺎﻧﺎت اﻟﺒﻨﻚ اﻟﺘﻲ ﯾﻌﻤﻞ ﻓﯿﮭﺎ‪.‬‬

‫)ﺟـ( إﺑﺮاز أوﺟﮫ اﻟﺘﺸﺎﺑﮫ ﻣﻊ اﻟﺸﺨﺺ اﻟﻤﺴﺘﮭﺪف‪ :‬إن ﻣﻦ ﺧﺼﺎﺋﺺ اﻟﻨﻔﺲ اﻟﺒﺸﺮﯾﺔ اﻟﻤﯿﻞ إﻟﻰ ﻣﻦ ﯾ ﺸﺒﮭﮭﺎ ﻓ ﻲ اﻟﻌ ﺮق أو اﻟﻠ ﻮن أو اﻻھﺘﻤﺎﻣ ﺎت‬
‫واﻟﻄﺒﺎع‪ .‬وإﺣﺴﺎﺳﻨﺎ ﺑﻮﺟﻮد أوﺟﮫ ﺷﺒﮫ ﻣﻊ ﺷﺨﺺ ﻣﺎ ﯾﺠﻌﻠﻨﺎ أﻗﻞ ﺣﺬراً ﻋﻨﺪ اﻟﺘﻌﺎﻣﻞ ﻣﻌ ﮫ ﻷﻧﻨ ﺎ ﻻ إرادﯾ ﺎً ﻧﻌﻄ ﻞ ﺑﻌ ﺾ ﻗ ﺪراﺗﻨﺎ ﻋﻠ ﻰ اﻟﺘﺤﻠﯿ ﻞ واﻟﺘﻔﻜﯿ ﺮ‬
‫اﻟﻤﻨﻄﻘﻲ‪ .‬وﻗﺪ ﯾﻮﻇﻒ اﻟﻤﮭﺎﺟﻢ ھﺬه اﻟﺨﺎﺻﯿﺔ اﻟﺒﺸﺮﯾﺔ ﻟﻤﺼﻠﺤﺘﮫ‪ ،‬ﻓﻘﺒﻞ أن ﯾﻄﻠ ﺐ ﻣ ﻦ اﻟ ﺸﺨﺺ اﻟﻤ ﺴﺘﮭﺪف ﻣﻌﻠﻮﻣ ﺎت ﻣﮭﻤ ﺔ ﯾﺠﻤ ﻊ اﻟﻤﮭ ﺎﺟﻢ ﻣﻌﻠﻮﻣ ﺎت‬

‫‪-3-‬‬
‫ﻋﻦ اﻟﺸﺨﺺ اﻟﻤﺴﺘﮭﺪف‪ :‬ﻛﻤﻜﺎن ﻣﯿﻼده‪ ،‬أو اﻟﮭﻮاﯾﺎت اﻟﺘﻲ ﯾﻤﺎرﺳﮭﺎ أو ﻧﺤﻮ ذﻟﻚ‪ ،‬ﺛﻢ ﯾﺒﺪأ ﺣﻮاراً ﻣﻊ اﻟﻤﺴﺘﮭﺪف ﺣﻮل ھﺬه اﻷﻣﻮر و ﯾﻮھﻢ اﻟﻤ ﺴﺘﮭﺪف‬
‫ﺑﺄﻧﮫ وﻟﺪ ﻓﻲ اﻟﻤﺪﯾﻨﺔ ﻧﻔﺴﮭﺎ أو أﻧﮫ ﯾﻤﺎرس اﻟﮭﻮاﯾﺎت ﻧﻔﺴﮭﺎ‪ ,‬و ھﺬا ﯾُ ﺸﻌﺮ اﻟﻤ ﺴﺘﮭﺪف ﺑﻮﺟ ﻮد أوﺟ ﮫ ﺷ ﺒﮫ ﺑﯿﻨ ﮫ وﺑ ﯿﻦ اﻟﻤﮭ ﺎﺟﻢ اﻟﻤﺘ ﺮﺑﺺ‪ ،‬ﻓﺘﻨﺒﻨ ﻲ ﺑﯿﻨﮭﻤ ﺎ‬
‫ﻋﻼﻗﺔ ﺛﻘﺔ ﻻ أﺻﻞ ﻟﮭﺎ‪ ،‬ﻓﯿﺴﺘﺮﺧﻲ اﻟﻤﺴﺘﮭﺪف ذھﻨﯿﺎ‪ ،‬ﺑﻌﺪھﺎ ﯾﺒﺪأ اﻟﻤﮭﺎﺟﻢ ﺑﺎﺳﺘﺪراج اﻟﻤﺴﺘﮭﺪف ﻹﻋﻄﺎﺋﮫ اﻟﻤﻌﻠﻮﻣﺎت اﻟﺘﻲ ﯾﺮﻏﺐ اﻟﺤﺼﻮل ﻋﻠﯿﮭﺎ‪.‬‬

‫)د( رد اﻟﺠﻤﯿﻞ‪ :‬إن ﻣﻦ ﺧﺼﺎﺋﺺ اﻟﻨﻔﺲ اﻟﺴﻮﯾﺔ رﻏﺒﺘﮭﺎ ﻓﻲ رد اﻟﺠﻤﯿﻞ إﻟﻰ ﻣﻦ أﺣﺴﻦ إﻟﯿﮭﺎ‪ ،‬وﺗﺰداد ھﺬه اﻟﺨﺎﺻﯿﺔ رﺳ ﻮﺧﺎً ﻓ ﻲ اﻟﻤﺠﺘﻤﻌ ﺎت ذات‬
‫اﻟﺼﺒﻐﺔ اﻟﻘﺒﻠﯿﺔ واﻷﺳﺮﯾﺔ‪ .‬ﻓﻤﻦ ﻗﻮاﻋﺪ اﻟﺘﻌﺎﻣﻞ أن ﻣﻦ أﺳﺪى إﻟﯿﻚ ﻣﻌﺮوﻓﺎً – وﻟﻮ ﻟﻢ ﺗﻄﻠﺐ ﻣﻨ ﮫ ذﻟ ﻚ اﺑﺘ ﺪاء ‪ -‬ﻓﺈﻧ ﻚ ﻣﻠ ﺰم أدﺑﯿ ﺎً ﺑﻤﻘﺎﺑﻠ ﮫ ذﻟ ﻚ اﻟﻤﻌ ﺮوف‬
‫ﺑﻤﺜﻠﮫ أو أﺣﺴﻦ‪ .‬وھﺬا ﺧﻠﻖ ﺣﺴﻦ ﻏﯿﺮ أن اﻟﻤﮭﺎﺟﻢ ﻗﺪ ﯾﺴﺘﻐﻠﮫ ﻓﯿﻘﺪم ﺧﺪﻣﺔ ﻟﻠ ﺸﺨﺺ اﻟﻤ ﺴﺘﮭﺪف‪ ،‬وﻗ ﺪ ﺗ ﺄﺗﻲ ھ ﺬه اﻟﺨﺪﻣ ﺔ ﻓ ﻲ ﺻ ﻮرة ﻣ ﺴﺎﻋﺪة ﻓ ﻲ ﺣ ﻞ‬
‫ﻣ ﺸﻜﻠﺔ ﻓﻨﯿ ﺔ أو اﺳ ﺘﺮﺟﺎع ﻣﻠ ﻒ ﻣﮭ ﻢ ﺣ ﺬف‪ ،‬ﻓﯿﺘﻮﻟ ﺪ ﻋﻨ ﺪ اﻟﻤ ﺴﺘﮭﺪف ﺷ ﻌﻮر أﻧ ﮫ ﻣ ﺪﯾﻦ ﻟﻤ ﻦ ﺳ ﺎﻋﺪه‪ .‬وﻗ ﺪ ﯾ ﺴﺘﻐﻞ اﻟﻤﮭ ﺎﺟﻢ ھ ﺬا اﻟ ﺸﻌﻮر ﻓﯿﻄﻠ ﺐ ﻣ ﻦ‬
‫اﻟﻤﺴﺘﮭﺪف ﻣﺴﺎﻋﺪﺗﮫ ﺑﺈﻋﻄﺎﺋ ﮫ ﺑﻌ ﺾ اﻟﻤﻌﻠﻮﻣ ﺎت أو اﻟ ﺴﻤﺎح ﻟ ﮫ ﺑﺎﺳ ﺘﺨﺪام ﺟﮭ ﺎزه ‪ -‬ﻟﻄﺒﺎﻋ ﺔ ﺑﻌ ﺾ اﻟﻤﻠﻔ ﺎت ﻣ ﺜﻼً ‪ ،-‬ﻓ ﻼ ﯾﺠ ﺪ اﻟﻤ ﺴﺘﮭﺪف ﺑ ﺪا ﻣ ﻦ رد‬
‫اﻟﺠﻤﯿﻞ‪ ،‬ﻣﻤﺎ ﯾﻤﻜﻦ اﻟﻤﮭﺎﺟﻢ ﻣﻦ زرع ﺑﻌﺾ اﻟﺒﺮاﻣﺞ اﻟﺨﺒﯿﺜﺔ‪ ،‬أو اﻟﺤﺼﻮل ﻋﻠﻰ ﻣﻌﻠﻮﻣﺎت ﻟﻢ ﯾﻜﻦ ﺳﺎﺋﻐﺎً أن ﯾﺤﺼﻞ ﻋﻠﯿﮭﺎ‪.‬‬

‫اﻟﻔﯿﺮوﺳﺎت وﺑﺮاﻣﺞ اﻟﺘﺠﺴﺲ‬

‫ھﻲ أﻛﺜﺮ أﻧﻮاع اﻟﻤﺨﺎﻃﺮ اﻟﺘﻲ ﺗﻮاﺟﮭﻨﺎ ﺷﯿﻮﻋﺎً ھﺬه اﻷﯾﺎم‪ ،‬ﺣﯿﺚ أن ﺑﺈﻣﻜﺎن اﻟﻔﯿﺮوﺳﺎت وﺑﺮاﻣﺞ اﻟﺘﺠﺴﺲ وأﺣﺼﻨﺔ ﻃﺮوادة واﻟﺪﯾﺪان اﻟﺘﺴﺒﺐ ﻓﻲ‬
‫درﺟﺎت ﻣﺘﻔﺎوﺗﺔ ﻣﻦ اﻷﺿﺮار ﺗﺒﻌﺎً ﻟﻨﻮﻋﮭﺎ‪ .‬وﻋﻠﻰ اﻟﻌﻤﻼء اﻟﺤﺮص ﻋﻠﻰ ﺗﺮﻛﯿﺐ وﺗﺸﻐﯿﻞ ﺑﺮاﻣﺞ ﻣﻜﺎﻓﺤﺔ ﻓﯿﺮوﺳﺎت وﺗﺠﺴﺲ ﺣﺪﯾﺜﺔ ﻋﻠﻰ أﺟﮭﺰة‬
‫اﻟﻜﻤﺒﯿﻮﺗﺮ اﻟﺨﺎﺻﺔ ﺑﮭﻢ ﻋﻠﻰ اﻟﺪوام‪.‬‬

‫ﺳﺮﻗﺔ اﻟﮭﻮﯾﺔ‬

‫ھﻮ ﻋﺒﺎرة ﻋﻦ ﺟﺮﯾﻤﺔ ﯾﻘﻮم اﻟﻤﻌﺘﺪي ﻣﻦ ﺧﻼﻟﮭﺎ وﻋﺒﺮ ﻃﺮق ﻏﯿﺮ ﻣﺸﺮوﻋﺔ ﺑﺎﻟﺘﻄﻔﻞ واﻹﻃﻼع ﻋﻠﻰ ﻣﻌﻠﻮﻣﺎﺗﻚ اﻟﺸﺨﺼﯿﺔ واﺳﺘﺨﺪاﻣﮭﺎ ﺑﻄﺮق‬
‫اﺣﺘﯿﺎﻟﯿﺔ أو ﻣﻀﻠﻠﺔ ﻟﺘﺤﻘﯿﻖ ﻣﺂرب ﺗﺮﻣﻲ ﻟﺘﺤﻘﯿﻖ ﺳﺮﻗﺔ أﻣﻮال‪ .‬وﻣﻤﺎ ﯾﺪﻋﻮ ﻟﻸﺳﻒ أن ﻣﻌﻈﻢ ﺿﺤﺎﯾﺎ ﻋﻤﻠﯿﺎت اﻧﺘﺤﺎل اﻟﮭﻮﯾﺔ ﻻ ﯾﺪرﻛﻮن ﺣﻘﯿﻘﺔ ﻛﻮﻧﮭﻢ‬
‫ﻓﺮﯾﺴﺔ ﻣﺴﺘﮭﺪﻓﺔ إﻻ ﺑﻌﺪ وﻗﻮع اﻟﻀﺮر اﻟﺬي ﻗﺪ ﯾﻨﻄﻮي ﻋﻠﻰ ﺗﺤﻤﯿﻞ ﻣﺼﺎرﯾﻒ ﻣﺠﮭﻮﻟﺔ ﻋﻠﻰ اﻟﺤﺴﺎب‪ ،‬أو ﻋﻤﻠﯿﺎت ﺳﺤﺐ ﻣﻦ اﻟﺤﺴﺎﺑﺎت اﻻﺳﺘﺜﻤﺎرﯾﺔ‪،‬‬
‫أو اﺗﺼﺎﻻت واردة ﻟﻠﻤﻄﺎﻟﺒﺔ ﺑﻤﺒﺎﻟﻎ ﻣﺎﻟﯿﺔ ﻣﻦ ﻣﻜﺎﺗﺐ اﻟﺘﺤﺼﯿﻞ ‪ ...‬اﻟﺦ‪.‬‬
‫إن ﺳﺮﻗﺔ اﻟﮭﻮﯾﺔ ھﻮ اﻧﺘﺤﺎل ﻣﻘﺼﻮد ﻟﮭﻮﯾﺔ ﺷﺨﺺ آﺧﺮ ﯾﺮﻣﻲ ﻓﻲ اﻟﻌﺎدة ﻟﻠﻮﺻﻮل إﻟﻰ اﻟﺒﯿﺎﻧﺎت اﻟﻤﺎﻟﯿﺔ ﻟﺬﻟﻚ اﻟﺸﺨﺺ أو ﺗﻮرﯾﻄﮫ ﻓﻲ ﺟﺮﯾﻤﺔ ﻣﺎ‪.‬‬

‫ﻛﻠﻤﺔ اﻟﺴﺮ‬

‫ﺣﺎﻓﻆ ﻋﻠﻰ ﺳﺮﯾﺔ ﻛﻠﻤﺔ اﻟﺴﺮ وﻗﻢ ﺑﺘﻐﯿﯿﺮھﺎ دورﯾﺎً‪ .‬ﯾﻨﺼﺢ إﯾﻔﻮري ﻟﻼﺳﺘﺜﻤﺎر ﻋﻤﻼءه ‪ -‬ﻣﻦ أﺟﻞ أﻣﻨﮭﻢ وﺳﻼﻣﺘﮭﻢ ‪ -‬ﺑﺎﻻﻣﺘﻨﺎع ﻋﻦ اﺳﺘﺨﺪام اﻟﻤﻌﻠﻮﻣﺎت‬
‫اﻟﻤﻌﺮوﻓﺔ ﻛﺘﺎرﯾﺦ اﻟﻤﯿﻼد أو رﻗﻢ اﻟﮭﺎﺗﻒ أو أي ﺟﺰء ﯾﺴﮭﻞ اﻟﺘﻌﺮف ﻋﻠﯿﮫ ﻣﻦ اﺳﻢ اﻟﻌﻤﯿﻞ ﻛﻜﻠﻤﺔ ﺳﺮ‪.‬‬

‫دور اﻟﻌﻤﯿﻞ )أﺷﯿﺎء ﯾﻨﺒﻐﻲ ﻋﻠﯿﻚ اﻟﻘﯿﺎم ﺑﮭﺎ(‬

‫ﻟﻠﻌﻤﯿﻞ أﯾﻀﺎً دور ﺣﯿﻮي ﻓﻲ ﺿﻤﺎن أﻣﻦ اﻟﻤﻌﻠﻮﻣﺎت‪ .‬ﯾﻮﺻﻲ إﯾﻔﻮري ﻟﻼﺳﺘﺜﻤﺎر ﻋﻤﻼﺋﮫ ﺑﺎﻻﻟﺘﺰام ﺑﺎﻹرﺷﺎدات اﻟﺘﺎﻟﯿﺔ‪:‬‬

‫• اﻟﺤﺮص ﻋﻠﻰ ﺗﺠﮭﯿﺰ ﻧﻈﺎم اﻟﺘﺸﻐﯿﻞ ﺑﺂﺧﺮ اﻹﺻﺪارات واﻟﺤﺰم اﻷﻣﻨﯿﺔ‪.‬‬

‫• ﺗﺸﻐﯿﻞ ﺑﺮاﻣﺞ ﻣﻜﺎﻓﺤﺔ اﻟﻔﯿﺮوﺳﺎت واﻟﺤﺮص ﻋﻠﻰ ﺗﺜﺒﯿﺘﮭﺎ ﺑﺸﻜﻞ ﯾﻀﻤﻦ ﺗﺤﺪﯾﺜﮭﺎ آﻟﯿﺎً ﺑﺎﺳﺘﻤﺮار‪.‬‬
‫• ﺗﺸﻐﯿﻞ ﺑﺮاﻣﺞ ﻣﻜﺎﻓﺤﺔ اﻟﺘﺠﺴﺲ واﻟﺤﺮص ﻋﻠﻰ ﺗﺜﺒﯿﺘﮭﺎ ﺑﺸﻜﻞ ﯾﻀﻤﻦ ﺗﺤﺪﯾﺜﮭﺎ آﻟﯿﺎً ﺑﺎﺳﺘﻤﺮار‪.‬‬
‫• اﺳﺘﺨﺪام ﺑﺮاﻣﺞ ﺟﺪران اﻟﻨﺎر واﻟﺤﺮص ﻋﻠﻰ ﺳﻼﻣﺔ اﻟﺘﺮﻛﯿﺐ واﻟﺘﺜﺒﯿﺖ‪.‬‬
‫• ﻣﺮاﺟﻌﺔ أوﺿﺎع ﺿﺒﻂ أﻣﻦ ﺷﺒﻜﺔ اﻹﻧﺘﺮﻧﺖ ﻟﺒﺮﻧﺎﻣﺞ اﻟﻤﺘﺼﻔﺢ‪.‬‬
‫• ﺗﺠﻨﺐ إﻓﺸﺎء ﻛﻠﻤﺔ اﻟﺴﺮ واﻟﺒﯿﺎﻧﺎت اﻟﺸﺨﺼﯿﺔ ﻟﻠﻐﯿﺮ ﺑﻤﺎ ﻓﻲ ذﻟﻚ ﻣﻮﻇﻔﻲ اﻟﺒﻨﻚ‪.‬‬

‫ﯾﺠﻠﺐ اﻻرﺗﺒﺎط ﻣﻊ ﺷﺒﻜﺔ اﻻﻧﺘﺮﻧﺖ ﺗﺤﺪﯾﺎت أﻣﻨﯿﺔﺟﺪﯾﺪة ﻟﺸﺒﻜﺎت اﻟﺸﺮﻛﺎت اﻟﻜﺒﯿﺮة‪،‬ﺷﮭﺪ اﻟﻌﺎﻣﺎن اﻟﻤﺎﺿﯿﺎت دﺧﻮل آﻻف اﻟﺸﺮﻛﺎت إﻟىﺸﺒﻜﺔ‬
‫اﻻﻧﺘﺮﻧﺖ‪ ،‬ﺣﯿﺚ أﻧﺸﺄت ھﺬه اﻟﺸﺮﻛﺎت ﻣﻮاﻗﻊ ﻟﮭﺎ ﻋﻠﻰ اﻻﻧﺘﺮﻧﺖ‪ ،‬وزودت ﻣﻮﻇﻔﯿﮭﺎ ﺑﺨﺪﻣﺎﺗﺎﻟﺒﺮﯾﺪ اﻻﻟﻜﺘﺮوﻧﯿﻮﻣﺘﺼﻔﺤﺎت اﻧﺘﺮﻧﺖ وأﺻﺒﺢ ﺑﺬﻟﻚ أﻣﺎم‬
‫اﻟﻤﺴﺘﺨﺪم اﻟﺨﺎرﺟﻲ اﻟﻤﺴﻠﺤﺒﺒﻌﺾ اﻟﻤﻌﺮﻓﺔ وﺑﻌﺾ اﻷھﺪاف اﻟﺨﺒﯿﺜﺔ ﻃﺮﯾﻘﺔ ﺟﺪﯾﺪة ﻟﻠﺘﺴﻠﻞ إﻟﻰ اﻷﻧﻈﻤﺔ اﻟﺪاﺧﻠﯿﺔ‪،‬ﺣﺎﻟﻤﺎ ﯾﺼﺒﺢ ھﺬا اﻟﺪﺧﯿﻞ داﺧﻞ ﺷﺒﻜﺔ‬
‫اﻟﺒﻨﻚ‪ ،‬ﯾﻤﻜﻨﮫ أن ﯾﺘﺠﻮل ﻓﯿﮭﺎ وﯾﺨﺮب أو ﯾﻐﯿﺮ اﻟﺒﯿﺎﻧﺎت‪ ،‬أو ﯾﺴﺮﻗﮭﺎ ﻣﺴﺒﺒﺎ أﺿﺮاراﻣﻦ ﻣﺨﺘﻠﻒ اﻷﻧﻮاع ‪ ،‬و ﺣﺘﻰ إذا أﺧﺬﻧﺎ أﻛﺜﺮ ﺗﻄﺒﯿﻘﺎت اﻻﻧﺘﺮﻧﺖ‬
‫اﺳﺘﺨﺪاﻣﺎ وھﻮ اﻟﺒﺮﯾﺪاﻻﻟﻜﺘﺮوﻧﻲ ﻓﺎﻧﮫ ﻻ ﯾﻌﺘﺒﺮ ﻣﺄﻣﻮﻧﺎ ‪ ،‬ﯾﻤﻜﻦ ﻟﻤﻦ ﻟﺪﯾﮫ ﻣﺤﻠﻞ ﺑﺮوﺗﻮﻛﻮﻻت‪protocol analyzer‬وإﻣﻜﺎﻧﯿﺔ اﻟﻮﺻﻮل إﻟﻰ اﻟﻤﻮﺟﮭﺎت‬
‫‪ routers‬واﻷﺟﮭﺰة اﻟﺸﺒﻜﯿﺔ اﻷﺧﺮى اﻟﺘﻲ ﺗﻌﺎﻟﺠﺎﻟﺒﺮﯾﺪ اﻻﻟﻜﺘﺮوﻧﻲ أﺛﻨﺎء اﻧﺘﻘﺎﻟﮫ ﻣﻦ ﺷﺒﻜﺔ إﻟﻰ ﺷﺒﻜﺔ ﻋﺒﺮ اﻻﻧﺘﺮﻧﺖ أن ﯾﻘﺮأ أو ﯾﻐﯿﺮاﻟﺮﺳﺎﻟﺔ اﻟﻤﺮﺳﻠﺔ‪،‬‬
‫إذا ﻟﻢ ﺗﺘﺨﺬ ﺧﻄﻮات ﻣﻌﯿﻨﺔ ﻟﻀﻤﺎن ﺳﻼﻣﺘﮭﺎ ‪,‬ﺗﺘﺼﺮف ﺑﻌﻀﺎﻟﺸﺮﻛﺎت وﻛﺄن اﻟﺘﺤﺪﯾﺎت اﻷﻣﻨﯿﺔ ﻟﻢ ﺗﻜﻦ ﺧﻄﺮا ﺣﻘﯿﻘﯿﺎ ﺣﯿﺚ ﺗﺘﻄﻠﻊ إﻟىﺎﻟﺒﻨﯿﺔ اﻟﺘﺤﺘﯿﺔ‬
‫ﻟﺸﺒﻜﺔ اﻻﻧﺘﺮﻧﺖ‪ ،‬ﻛﻮﺳﯿﻠﺔ رﺧﯿﺼﺔ ﻧﺴﺒﯿﺎ‪ ،‬ﻟﺮﺑﻂ ﺷﺒﻜﺘﯿﻦ أو ﻋﺪة ﺷﺒﻜﺎت ﻣﺤﻠﯿﺔ ‪ LAN‬ﻣﻌﺰوﻟﺔ ﺟﻐﺮاﻓﯿﺎ ﻣﻊ ﺑﻌﻀﮭﺎ اﻟﺒﻌﺾ أو ﻟﻠﺮﺑﻂ ﻋﻦ ﺑﻌﺪ ﻣﻊ‬
‫‪-4-‬‬
 ‫ﺷﺒﻜﺔ ﻣﺎ‪.‬‬

‫وﺗﺠﺪر اﻹﺷﺎرة إﻟىﺄن أﻋﻤﺎل اﻟﺘﺠﺎرﯾﺔ ﻋﻠﻰ ﺷﺒﻜﺔ اﻻﻧﺘﺮﻧﺖ واﻟﺘﻲ ﺗﺘﻄﻠﺐ اﻟﻤﻼﯾﯿﻦ ﻣﻦ اﻟﺘﺒﺎدﻻت اﻟﻤﺼﺮﻓﯿﺔ اﻟﺴﺮﯾﺔ أﺻﺒﺤﺖ ﻗﺮﯾﺒﺔ ﻣﻦ ﻣﺘﻨﺎول‬
‫اﻟﻜﺜﯿﺮﯾﻦ‪,‬وﺗﺴﺘﺠﯿﺐ أﺳﻮاق أﻣﻦ اﻟﺸﺒﻜﺎت ‪ Network Security‬ﺑﺴﺮﻋﺔ ﻟﺘﺤﺪﯾﺎت أﻣﻦ ﺷﺒﻜﺔ اﻻﻧﺘﺮﻧﺖ ﻋﻦ ﻃﺮﯾﻖ ﺗﺒﻨﻲ ﺗﻘﻨﯿﺎت‬
‫اﻟﺘﺤﻘﻖ‪ Authentication‬واﻟﺘﺸﻔﯿﺮ‪ Encryption‬اﻟﻤﺘﻮﻓﺮة ﻓﻲ ھﺬا اﻟﻤﺠﺎل ﻟﺘﻄﺒﯿﻘﮭﺎ ﻋﻠﻰ رواﺑﻂ ﺷﺒﻜﺔ اﻻﻧﺘﺮﻧﺖ ‪ ،‬وﻋﻨﻄﺮﯾﻖ ﺗﻄﻮﯾﺮ ﻣﻨﺘﺠﺎت‬
‫ﺟﺪﯾﺪة ﻓﻲ ﻣﺠﺎل أﻣﻦ اﻟﻤﻌﻠﻮﻣﺎت‪ ،‬وﺗﻌﺘﺒﺮ اﻷﺳﻮاق اﻟﯿﻮم ﻓﻲ ﻓﻮﺿىﻤﻌﺎﯾﯿﺮ وﺗﻘﻨﯿﺎت وﻣﻨﺘﺠﺎت ‪.‬‬

‫اﻟﺴﯿﺎﺳﺎت اﻷﻣﻨﯿﺔ ‪:Security Policies‬‬

‫ﻟﻦ ﯾﻜﻮن اﻟﺮﺑﻂ ﻣﻊ ﺷﺒﻜﺔ اﻻﻧﺘﺮﻧﺖ ﻣﺜﻞ اﻟﺮﺑﻂ ﻣﻊ أي ﻧﻮع آﺧﺮ ﻣﻨﺎﻟﺸﺒﻜﺎت آﻣﻨﺎ ﺗﻤﺎﻣﺎ‪ ،‬وﺑﺪﻻ ﻣﻦ أن ﺗﻠﺠﺄ اﻟﺸﺮﻛﺎت إﻟﻰ ﺗﺤﻘﯿﻖ اﻷﻣﻦ اﻟﻤﻄﻠﻖ ﻋﻠﯿﮭﺎ‬
‫أﻧﺘﻌﺮف ﺧﻄﺮ ﺗﺴﺮب اﻟﻤﻌﻠﻮﻣﺎت ‪ ،‬وﺗﺤﻘﻖ ﻧﻮﻋﺎ ﻣﻦ اﻟﺘﻮازن ﺑﯿﻦ اﺣﺘﻤﺎﻻت ﺧﺮق اﻟﺘﺮﺗﯿﺒﺎت اﻷﻣﻨﯿﺔ وﺑﯿﻦ ﻛﻠﻔﺔ ﺗﺤﻘﯿﻖ ﻣﺨﺘﻠﻖ ھﺬه اﻟﺘﺮﺗﯿﺒﺎت‪.‬ﯾﺠﺐ‬
‫أن ﺗﺮﻛﺰاﻟﺨﻄﻮة اﻷوﻟﻰ ﻋﻠﻲ اﺳﺘﻨﺒﺎط ﺳﯿﺎﺳﺔ أﻣﻨﯿﺔ ﺷﺎﻣﻠﺔ ﻟﻠﺒﻨﻚ أو ﻋﻠﻲ ﺗﻄﻮﯾﺮ اﻟﺴﯿﺎﺳﺔ اﻷﻣﻨﯿﺔاﻟﻤﺘﻌﺒﺔ ﺑﺤﯿﺚ ﺗﺄﺧﺬ ﻓﻲ اﻻﻋﺘﺒﺎر اﻟﺮﺑﻂ ﻣﻊ اﻻﻧﺘﺮﻧﺖ‬
‫‪ ,‬وﯾﺠﺐ أن ﺗﺤﺪد ھﺬه اﻟﺴﯿﺎﺳﺔ ﺑﺎﻟﺘﻔﺼﯿﻞ ‪,‬اﻟﻤﻮﻇﻔﯿﻦ اﻟﺬﯾﻦ ﯾﺤﻖ ﻟﮭﻢ اﻟﻮﺻﻮل إﻟﻰ ﻛﻞ ﻧﻮع ﻣﻦ أﻧﻮاع اﻟﺨﺪﻣﺔ اﻟﺘﻲ ﺗﻘﺪﻣﮭﺎ اﻻﻧﺘﺮﻧﺖ‪،‬ﻛﻤﺎ ﯾﺠﺐ أن‬
‫ﺗﺜﻘﻒ اﻟﻤﻮﻇﻔﯿﻦ ﻓﻲ ﻣﺠﺎل ﻣﺴﺌﻮﻟﯿﺎﺗﮭﻢ ﺗﺠﺎه ﺣﻤﺎﯾﺔ ﻣﻌﻠﻮﻣﺎت اﻟﺒﻨﻚ ﻣﺜﻞ ﻣﺴﺆوﻟﯿﺎﺗﮭﻢ ﺗﺠﺎه ﺣﻤﺎﯾﺔ ﻛﻠﻤﺎت اﻟﻤﺮور اﻟﺘﻲ ﯾﺴﺘﺨﺪﻣﻮﻧﮭﺎ ﺑﺎﻹﺿﺎﻓﺔ إﻟﻰ‬
‫ﺗﺤﺪﯾﺪاﻹﺟﺮاءات اﻟﺘﻲ ﺳﺘﻘﻮم اﻟﺒﻨﻚ ﺑﮭﺎ ﻓﻲ ﺣﺎل ﺣﺪوث ﺧﺮق ﻟﻤﺜﻞ ھﺬه اﻟﺨﻄﺔ اﻷﻣﻨﯿﺔ ‪ ,‬وﺗﻌﺘﺒﺮ ھﺬه اﻟﺴﯿﺎﺳﺔ أداة ھﺎﻣﺔ ﺟﺪا ﻓﻲ ﺗﺤﺪﯾﺪ اﻟﻤﺠﺎﻻت اﻟﺘﻲ‬
‫ﺳﺘﻨﻔﻖ ﻓﯿﮭﺎ أﻣﻮال اﻟﺒﻨﻚ ﻟﻠﺤﻔﺎظ ﻋﻠﻲ أﻣﻦ ﻣﻌﻠﻮﻣﺎﺗﮭﺎ ‪ ،‬وﯾﻘﺪم ﻛﺘﺎب دﻟﯿﻞ اﻣﻦ اﻟﻤﻮاﻗﻊ ‪ Site Security handbook‬اﻟﺬي أﺻﺪره ﻣﺠﻤﻮﻋﺔ‬
‫‪ Group Network Working‬اﻟﺘﺎﺑﻌﺔ ﻟﮭﯿﺌﺔ‪ Internet Engineering task force‬أو ‪ IETF‬ﻓﻜﺮة ﺟﯿﺪة ﻋﻦ اﻟﻤﻮﺿﻮﻋﺎت اﻟﺘﻲ ﯾﺠﺐ أﺧﺬھﺎ‬
‫ﺑﻌﯿﻦ اﻻﻋﺘﺒﺎر ﻋﻨﺪ وﺿﻊ ﺳﯿﺎﺳﺎت أﻣﻨﯿﺔ ‪.‬‬

‫ﺗﺘﻄﻠﺐ اﻟﺴﯿﺎﺳﺔ اﻷﻣﻨﯿﺔ ﻛﺠﺰء ﻣﻦ ﺗﺮﺗﯿﺒﺎﺗﮭﺎﺗﻘﺪﯾﺮ اﻟﻜﻠﻔﺔ اﻟﺘﻲ ﺳﺘﺘﺤﻤﻠﮭﺎ اﻟﺒﻨﻚ‪ ،‬ﻓﻲ ﺣﺎل ﺧﺮق اﻟﺘﺮﺗﯿﺒﺎت اﻷﻣﻨﯿﺔ‪ .‬وﯾﺠﺐ أن ﯾﻨﺨﺮﻃﺎﻟﻤﻮﻇﻔﻮن ﻋﻠﻲ‬
‫اﻋﻠﻲ اﻟﻤﺴﺘﻮﯾﺎت ﻓﻲ ھﺬه اﻟﻌﻤﻠﯿﺔ وﻗﺪ ﯾﻜﻮن ﻣﻦ اﻟﻤﻔﯿﺪ أن ﺗﻘﻮم اﻟﺒﻨﻚ ﺑﺘﻮﻇﯿﻒ ﻣﺴﺘﺸﺎر ﻷﻣﻦ اﻟﻜﻤﺒﯿﻮﺗﺮ‪ ،‬ﻟﻀﻤﺎن أﻣﻦ ﻣﻌﻠﻮﻣﺎﺗﮭﺎ ‪ ،‬وﺗﻘﺪم اﻟﻜﺜﯿﺮ ﻣﻦ‬
‫اﻟﺸﺮﻛﺎت اﻟﻤﺰودة ﻟﺨﺪﻣﺔ اﻻﻧﺘﺮﻧﺖ‪ ،‬اﻻﺳﺘﺸﺎرة واﻟﻨﺼﺢ ﻓﻲ ھﺬا اﻟﻤﺠﺎل‪ ،‬وﺗﺒﺪأ ﺑﻌﺪ ﺗﺤﺪﯾﺪ اﻟﺴﯿﺎﺳﺔاﻟﻤﺘﺒﻌﺔ‪ ،‬ﻋﻤﻠﯿﺔ ﺗﻘﻮﯾﻢ اﺳﺘﺨﺪام ﺑﺮاﻣﺞ اﻟﺠﺪران‬
‫اﻟﻨﺎرﯾﺔ ‪ ،firewall‬واﻟﺘﺸﻔﯿﺮ ‪ encryption‬واﻟﺘﺜﺒﺖ ﻣﻦ اﻟﻤﺴﺘﺨﺪم ‪.Authentication‬‬

‫ﺑﻌﺾ اﻷﻣﺜﻠﺔ ﻋﻠﻰ اﻟﺴﯿﺎﺳﺎت اﻷﻣﻨﯿﺔ ‪:‬‬

‫• ﻣﺴﺢ ﻛﻠﻤﺔ اﻟﺴﺮ اﻟﺨﺎﺻﺔ ﺑﺎﻟﻤﻮﻇﻒ اﻟﻤﻨﺘﮭﻲ ﻋﻘﺪة ﻓﻮرا)ﻣﺜﻼ ﻛﺈﺟﺮاء ﺧﻼل ﺳﺤﺐ أوراﻗﺔ ﻣﻦ اﻟﺒﻨﻚ(‪.‬‬
‫• وﺿﻊ ﺣﺴﺎﺳﺎت ‪ Sensors‬ﻣﯿﺎه أو ﺣﺮاﺋﻖ ﻗﺮب أﺟﮭﺰة ﺗﺨﺰﯾﻦ اﻟﺒﯿﺎﻧﺎت ‪.‬‬
‫• اﺳﺘﺨﺪام اﻟﺠﮭﺎز اﻟﺨﺎص ﺑﺎﻟﺒﻨﻚ ﻟﻼﻧﺘﺮﻧﺖ‪ ,‬وﯾﻤﻨﻊ اﺳﺘﺨﺪام ﺟﮭﺎز ﻏﯿﺮة ﻣﺜﻼ ﻛﺄن ﯾﺤﻀﺮ ‪. laptop‬‬
‫• ﻻ ﯾﺴﻤﺢ ﺑﺘﺒﺎدل اﻟﺮﺳﺎﺋﻞ داﺧﻞ اﻟﺒﻨﻚ اﻟﺘﻲ ﺗﺤﺘﻮي ﻋﻠﻰ رﺳﺎﺋﻞ ﺧﺎﺻﺔ أو ‪ malicious gossip‬أو ‪. ... Slander‬‬
‫• ﺻﻼﺣﯿﺎت ﻛﻞ ﻣﺴﺘﺨﺪم ﻋﻠﻰ اﻟﺒﯿﺎﻧﺎت اﻟﻤﻮﺟﻮدة ﻋﻠﻰ ﻗﺎﻋﺪة اﻟﺒﯿﺎﻧﺎت ‪.‬‬
‫• اﻟﺪﺧﻮل ﻟﻠﺒﻨﻚ ﻋﻦ ﻃﺮﯾﻖ اﻟﺒﻄﺎﻗﺔ اﻟﺨﺎﺻﺔ‪.‬‬
‫• وﺿﻊ ﻣﺜﻼ أﺟﮭﺰة اﻟﺘﺤﻘﻖ ﻣﻦ ﺑﺼﻤﺔ اﻟﺸﺨﺺ ﻋﻠﻰ أﺟﮭﺰة اﻟﺒﯿﺎﻧﺎت اﻟﻤﮭﻤﺔ‪.‬‬

‫وﺑﻌﺪ أن أﺧﺬﻧﺎ ﻣﻘﺪﻣﺔ ﻋﻦ أﻣﻦ اﻟﻤﻌﻠﻮﻣﺎت ﻻﺑﺪ ﻟﻨﺎ ﻣﻦ ﻣﻌﺮﻓﺔ ‪:‬‬

‫‪ .1‬ﺗﻌﺮﯾﻒ اﻟﺨﻄﺮ ‪ Risk‬وأﻗﺴﺎﻣﮫ‪.‬‬
‫‪.2‬اﻹﺟﺮاءات اﻟﻤﻀﺎدة ﻋﻨﺪ ﺣﺪوث اﻟﺨﻄﺮ ‪.Countermeasures‬‬
‫‪ .3‬ﻛﯿﻔﯿﺔ إدارة اﻟﺨﻄﺮ و اﺣﺘﻤﺎل ﺣﺪوﺛﮫ ‪.‬‬

‫ﺗﻌﺮﯾﻒ اﻟﺨﻄﺮ ‪Risk‬وأﻗﺴﺎﻣﮫ‪:‬‬

‫اﻟﺨﻄﺮ أو ‪ Risk‬ھﻮ أﻧﮫ ﯾﻮﺟﺪ ﻋﻠﻰ اﻷرﺟﺢ ﺗﮭﺪﯾﺪ ﯾﻤﻜﻦ إﺳﺘﻐﻼﻟﮫ ‪ ,‬وﺑﺎﻟﺘﺎﻟﻲ إذا اﺳﺘﻐﻞ ذﻟﻚ اﻟﺘﮭﺪﯾﺪ ﯾﻤﻜﻦ أن ﻧﻄﻠﻖ ﻋﻠﯿﮫ ‪) Vulnerability‬ﺛﻐﺮة( ‪,‬‬
‫ﺣﯿﺚ أﻧﮫ ﯾﻮﺟﺪ ﺛﻐﺮة أﻣﻨﯿﺔ ﻓﻲ ﺗﻠﻚ اﻟﺒﻨﻚ‪.‬‬

‫وﻣﻦ ھﺬا اﻟﺘﻌﺮﯾﻒ ﯾﻤﻜﻦ أن ﻧﻘﺴﻢ ال ‪ Risk‬إﻟﻰ ﻗﺴﻤﯿﻦ رﺋﯿﺴﯿﯿﻦ ھﻤﺎ ‪:‬‬

‫• اﻟﺘﮭﺪﯾﺪ )‪ : (Threat‬وھﻮ ﻋﻤﻠﯿﺔ اﻟﻤﺤﺎوﻟﮫ اﻟﻰ اﻟﻮﺻﻮل إﻟﻰ اﻟﻤﻌﻠﻮﻣﺎت اﻟﺴﺮﯾﺔ اﻟﺨﺎﺻﺔ ﺑﺎﻟﺒﻨﻚ‪.‬‬
‫• اﻟﺜﻐﺮات )‪ : (Vulnerabilities‬وھﻲ أﻧﮫ ﯾﻮﺟﺪ ﺿﻌﻒ ﻓﻲ اﻟﺒﻨﻚ ﯾﺴﺘﻄﯿﻊ اﻟﻤﮭﺎﺟﻢ ‪ Attacker‬اﻟﺪﺧﻮل ﻣﻦ ﺧﻼﻟﮭﺎ ‪.‬‬
‫واﻵن ﺳﻮف ﻧﺄﺧﺬ اﻟـ ‪ Vulnerabilities‬واﻟـ ‪ Threats‬ﺑﺸﻲء ﻣﻦ اﻟﺘﻔﺼﯿﻞ ‪:‬‬

‫‪-5-‬‬
 ‫أوﻻ اﻟﺜﻐﺮات ‪:Vulnerabilities‬‬
‫ﺗﺘﻜﻮن ﻣﻦ ﻧﻮﻋﯿﻦ وھﻤﺎ‪:‬‬

‫• ﺗﺤﺼﯿﻦ ﺗﻘﻨﻲ ‪ :Vulnerability Technical‬إذا ﻛﺎن اﻟﺘﺤﺼﯿﻦ ﺿﻌﯿﻔﺎ واﺳﺘﻐﻞ اﻟﻀﻌﻒ ﻣﻦ ﻗﺒﻞ اﻟﻤﮭﺎﺟﻢ ‪ Attacker‬ﯾﻌﺮف ھﺬا اﻟﮭﺠﻮم ﺑﻤﺎ‬
‫ﯾﺴﻤﻰ ﺑﺎﻟﮭﺠﻮم اﻟﺘﻘﻨﻲ ‪.‬‬
‫• ﺗﺤﺼﯿﻦ ﻏﯿﺮ ﺗﻘﻨﻲ ‪ :Vulnerability Administrative‬وھﻮ ﻣﺎ ﯾﺴﻤﻰ ﺑﺎﻟﮭﺠﻮم اﻟﻐﯿﺮ ﺗﻘﻨﻲ أو ھﺠﻮم اﻟﮭﻨﺪﺳﺔ اﻻﺟﺘﻤﺎﻋﯿﺔ‪social‬‬
‫‪.engineering Attack‬‬
‫وﯾﻤﻜﻦ ﺗﻘﺴﯿﻤﮭﺎ ﻣﻦ ﺣﯿﺚ اﻟﺼﻌﻮﺑﺔ واﻟﺴﮭﻮﻟﺔ إﻟﻰ ﻗﺴﻤﯿﻦ‪:‬‬
‫• ﺗﺤﺼﯿﻨﺎت ﺿﻌﯿﻔﺔ‪: High-level Vulnerability‬وھﻮ ﺳﮭﻞ اﻻﺳﺘﻐﻼل‪ ,‬وﻣﺜﺎل ﻋﻠﯿﮫ ﻛﺘﺎﺑﮫ ﻛﻮد ﺑﺮﻣﺠﻲ ﻻﺳﺘﻐﻼل ﺗﻠﻚ اﻟﺜﻐﺮة‪.‬‬
‫• ﺗﺤﺼﯿﻨﺎت ﻗﻮﯾﺔ ‪ : Vulnerability Low-level‬وھﺬا اﻟﻨﻮع ﺻﻌﺐ اﻻﺳﺘﻐﻼل وﯾﺘﻄﻠﺐ اﻟﻜﺜﯿﺮ ﻣﻦ اﻟﻤﺼﺎدر ‪ ,‬ﻣﺼﺎدر ﻣﺎﻟﯿﮫ أو وﻗﺖ ﻃﻮﯾﻞ‬
‫ﻋﻠﻰ اﻟﻤﮭﺎﺟﻢ ‪.Attacker‬‬

‫ﺛﺎﻧﯿﺎ اﻟﺘﮭﺪﯾﺪ ‪: Threat‬‬

‫ھﻨﺎك ﺛﻼث ﻣﻜﻮﻧﺎت أﺳﺎﺳﯿﮫ ﻟﻠﺘﮭﺪﯾﺪ ‪ Threat‬وھﻲ ‪:‬‬

‫• اﻟﮭﺪف ‪ :Target‬وھﻲ اﻟﻤﻌﻠﻮﻣﺎت اﻟﻤﺮاد ﺳﺮﻗﺘﮭﺎ‪.‬‬

‫• اﻟﻄﺮﯾﻘﺔ أو اﻟﻌﻤﯿﻞ ‪ :Agent‬وھﻲ اﻷﺷﯿﺎء اﻟﻤﻜﻮﻧﺔ واﻟﺒﻨﻚ ﻟﻠﺘﮭﺪﯾﺪ‪.‬‬
‫• اﻟﺤﺪث ‪: Event‬وھﻲ ﻧﻮﻋﯿﺔ اﻟﺘﺄﺛﯿﺮ ﻟﻮﺿﻌﯿﺔ اﻟﺘﮭﺪﯾﺪ ‪.‬‬
‫وﻟﻨﺘﺤﺪث ﻋﻦ ﻛﻞ ﻣﻨﮭﻢ ﺑﺎﻟﺘﻔﺼﯿﻞ‪:‬‬

‫‪ .1‬اﻟﮭﺪف ‪: Target‬‬
‫وھﻲ اﻟﻤﻌﻠﻮﻣﺎت اﻟﺨﺎﺻﺔ ﺑﺎﻟﺒﻨﻚ وﯾﻤﻜﻦ ﻟﻠﻤﮭﺎﺟﻢ ‪ Attacker‬ﺑﻌﻤﻞ اﻵﺗﻲ ﻋﻠﻰ ﻛﻞ ﻣﻦ ‪:‬‬
‫• اﻟﺨﺼﻮﺻﯿﺔ ‪ :Confidentiality‬وذﻟﻚ ﺑﻜﺸﻒ اﻟﻤﻌﻠﻮﻣﺎت اﻟﺴﺮﯾﺔ ﻟﻶﺧﺮﯾﻦ ‪.‬‬
‫• ﺳﻼﻣﮫ اﻟﻤﻌﻠﻮﻣﺎت ‪ :Integrity‬ﯾﻤﻜﻨﮫ ﺗﻐﯿﯿﺮ اﻟﻤﻌﻠﻮﻣﺎت اﻟﺨﺎﺻﺔ ﺑﺎﻟﺒﻨﻚ‪.‬‬
‫• اﻟﺘﻮاﺟﺪ ‪ : Availability‬ﺑﻮاﺳﻄﺔ رﻓﺾ اﻟﺨﺪﻣﺔ ﻋﻦ ﻃﺮﯾﻖ ‪.DoS‬‬
‫• ﻗﺎﺑﻠﯿﺔ ﻣﺤﺎﺳﺒﺔ اﻟﻤﮭﺎﺟﻢ‪ : Accountability‬ﻟﻜﻲ ﻻ ﯾﺤﺎﺳﺐ اﻟﻤﮭﺎﺟﻢ ‪ Attacker‬ﻓﺈﻧﮫ ﯾﻘﻮم ﺑﺈﺧﻔﺎء اﻟﮭﺠﻮم )ﻋﻠﻰ ﺳﺒﯿﻞ اﻟﻤﺜﺎل ﺗﻐﯿﯿﺮ ﺳﺠﻞ‬
‫اﻷﺣﺪاث ‪.(Events logs‬‬

‫‪ .2‬اﻟﻄﺮﯾﻘﺔ ‪)Agents‬أو اﻟﻌﻤﯿﻞ(‪:‬‬

‫ﻻﺑﺪ ﻣﻦ ﺗﻮﻓﺮ ﺛﻼث ﺳﻤﺎت ‪:‬‬
‫• اﻟﻮﺻﻮل إﻟﻰ اﻟﮭﺪف ‪ :to the target Access‬ﻗﺪ ﯾﻜﻮن وﺻﻮل ﻣﺒﺎﺷﺮ‪) Direct‬أي أن ﻟﺪﯾﺔ ﺣﺴﺎب دﺧﻮل ﻋﻠﻰ اﻟﻨﻈﺎم وﻗﺪ ﯾﻜﻮن ﻏﯿﺮ ﻣﺒﺎﺷﺮ‬
‫‪) Indirect‬وذﻟﻚ ﺑﺎﻟﺪﺧﻮل ﻋﻦ ﻃﺮﯾﻖ وﺳﯿﻂ (‪.‬‬
‫• ﻣﻌﻠﻮﻣﺎت ﻋﻦ اﻟﻀﺤﯿﺔ ‪.Knowledge about the target‬‬
‫• اﻟﺪواﻓﻊ أو أﺳﺒﺎب اﻟﮭﺠﻮم ‪.Motivation‬‬

‫‪ .3‬اﻷﺣﺪاث ‪:Events‬‬
‫وھﻲ ﺗﻜﻮن ﺑﻄﺮق ﻋﺪﯾﺪة ﻣﻦ أھﻤﮭﺎ إﺳﺎءة اﻟﺪﺧﻮل اﻟﻤﺨﻮل ‪ Authorized‬وﻏﯿﺮ اﻟﻤﺨﻮل ‪ Unauthorized‬إﻟﻰ اﻟﻤﻌﻠﻮﻣﺎت أو اﻟﻨﻈﺎم‪.‬وإﻣﺎ ﻋﻦ‬
‫ﻃﺮﯾﻖ وﺿﻊ أﻛﻮاد ﺧﺒﯿﺜﺔ ‪) Malicious‬ﺗﺮوﺟﻮﻧﺎت أو ﻓﯿﺮوﺳﺎت( ﻓﻲ اﻷﻧﻈﻤﺔ‪.‬‬
‫وﺑﻌﺪ أن ﻋﺮﻓﻨﺎ ﺗﻌﺮﯾﻒ اﻟﺨﻄﺮ ‪ Risk‬وأﻗﺴﺎﻣﮫ ﻧﻜﻤﻞ ﻣﺎ ﺗﺒﻘﻰ ﻟﺪﯾﻨﺎ ‪:‬‬
‫‪ .2‬اﻹﺟﺮاءات اﻟﻤﻀﺎدة ﻋﻨﺪ ﺣﺪوث اﻟﺨﻄﺮ ‪.Countermeasures‬‬
‫‪ .3‬ﻛﯿﻔﯿﺔ إدارة اﻟﺨﻄﺮ و اﺣﺘﻤﺎل ﺣﺪوﺛﮫ ‪.‬‬

‫اﻹﺟﺮاءات اﻟﻤﻀﺎدة ﻋﻨﺪ ﺣﺪوث اﻟﺨﻄﺮ ‪:Countermeasures‬‬

‫ﻻ ﺷﻚ أن اﻟﻤﻌﻠﻮﻣﺎت ﺗﺨﺘﻠﻒ ﻣﻦ ﺑﻨﻚ إﻟﻰ ﺑﻨﻚ وﻋﻠﻰ ﺣﺴﺐ أھﻤﯿﺔ اﻟﻤﻌﻠﻮﻣﺎت ﻓﺄن اﻟﺒﻨﻚ ﺗﺘﺨﺬ اﻹﺟﺮاء اﻟﻤﻨﺎﺳﺐ ‪ ,‬وﻗﺪ ﯾﻜﻮن اﻟﺘﺪﺧﻞ ﻗﺒﻞ ﺣﺪوث‬
‫اﻟﺨﻄﺮ وﯾﺴﻤﻰ ‪ Proactive Model‬وﻗﺪ ﯾﻜﻮن ﺗﺪﺧﻞ ﺑﻌﺪ ﺣﺪوث اﻟﺨﻄﺮ )اﻧﻔﻌﺎﻟﻲ أو ﻋﺎﻃﻔﻲ ( وﯾﺴﻤﻰ ‪ .Model Reactive‬وﺳﻨﻘﻮم ﺑﺸﺮﺣﮫ‬
‫ﻻﺣﻘﺎ ‪.‬‬

‫‪-6-‬‬
 ‫وھﻨﺎ ﺑﻌﺾ أﻣﺜﻠﺔ اﻹﺟﺮاءات اﻟﻤﻀﺎدة ﻟﻠﺘﮭﺪﯾﺪ ‪ Threats‬أو اﻟﮭﺠﻮم ‪:Attacks‬‬
‫• وﺿﻊ ﺟﺪران ﻧﺎرﯾﺔ ‪.Firewalls‬‬
‫• ﺑﺮاﻣﺞ ﻣﻜﺎﻓﺤﺔ اﻟﻔﯿﺮوﺳﺎت ‪.Anti-virus software‬‬
‫• اﻟﺘﺤﻜﻢ ﺑﺎﻟﺪﺧﻮل ‪.Access Control‬‬
‫• ﻣﻀﺎﻋﻔﺔ أﻧﻈﻤﺔ اﻟﺘﺤﻘﻖ ﻣﻦ اﻟﻤﺴﺘﺨﺪم ‪.systems Two-factor authentication‬‬
‫• اﻟﺘﺪرﯾﺐ اﻟﺠﯿﺪ ﻟﻠﻤﻮﻇﻔﯿﻦ ‪.Well-trained employees‬‬

‫وﻏﯿﺮھﺎ اﻟﻜﺜﯿﺮ ﻣﻦ اﻹﺟﺮاءات‪.‬‬

‫ﻛﯿﻔﯿﺔ إدارة اﻟﺨﻄﺮ و اﺣﺘﻤﺎل ﺣﺪوﺛﮫ‪:‬‬
‫اﻟﺨﻄﻮات اﻟﻤﺘﺒﻌﺔ ﻓﻲ إدارة اﻟﺨﻄﺮ ‪ Risk‬ھﻲ‪:‬‬
‫أوﻻ‪ :‬ﺗﺤﻠﯿﻞ اﻟﺨﻄﺮ ) ‪.(Risk Analysis‬‬
‫ﺛﺎﻧﯿﺎ‪ :‬اﺗﺨﺎذ ﻗﺮار ﺑﺸﺄن ھﺬا اﻟﺨﻄﺮ )‪.(Decision Management‬‬
‫ﺛﺎﻟﺜﺎ‪ :‬ﺗﻄﺒﻖ ذﻟﻚ اﻟﻘﺮار )‪.(Implementation‬‬

‫إدارة اﻟﺨﻄﺮ ﻣﻦ ﺣﯿﺚ اﻟﺘﺪﺧﻞ ﯾﻨﻘﺴﻢ إﻟﻰ ﻗﺴﻤﯿﻦ ھﻤﺎ‪:‬‬

‫‪ .1‬ﺗﺪﺧﻞ ﺑﻌﺪ ﺣﺪوث اﻟﺨﻄﺮ ‪ :Reactive Model‬وھﺬا اﻟﻨﻮع ﻣﺸﮭﻮر ﺟﺪا وھﻮ ﻣﺎ ﯾﺴﻤﻰ ﺑﺎﻟﺘﺪﺧﻞ اﻻﻧﻔﻌﺎﻟﻲ أو اﻟﻌﺎﻃﻔﻲ ‪, Emotional‬ﻋﻠﻰ ﺳﺒﯿﻞ‬
‫اﻟﻤﺜﺎل ﯾﻘﻮم ﻣﺴﺌﻮل اﻷﻣﻦ ﻓﻲ اﻟﺒﻨﻚ ﺑﺘﺤﻤﯿﻞ ﺑﺮﻧﺎﻣﺞ ﻣﻜﺎﻓﺢ اﻟﻔﯿﺮوﺳﺎت ﺑﻌﺪﻣﺎ ﯾﻨﺘﺸﺮ اﻟﻔﯿﺮوس وﯾﺪﻣﺮ ﺑﻌﺾ اﻷﺟﮭﺰة وﯾﻤﻜﻦ ﺣﺴﺎﺑﮫ ﻛﻤﺎ ﯾﻠﻲ ‪:‬ﺗﻜﻠﻔﺔ‬
‫اﻟﺤﻤﺎﯾﺔ = ﻣﺠﻤﻮع ﺗﻜﻠﻔﺔ ھﺬا اﻟﺨﻄﺮ ‪ +‬ﺗﻜﻠﻔﺔ اﻹﺟﺮاء اﻟﻤﻀﺎد ‪.‬‬
‫‪ .2‬ﯾﺴﺘﻌﺪ ﻟﻠﺘﺪﺧﻞ أي ﻗﺒﻞ ﺣﺪوث اﻟﺨﻄﺮ ‪ :Proactive Model‬وھﺬا اﻟﻨﻮع أﻓﻀﻞ ﺑﻜﺜﯿﺮ ﻣﻦ ﻧﺎﺣﯿﺔ اﻟﺘﻜﻠﻔﺔ‪ ,‬ﺣﯿﺚ ﯾﻘﻠﻞ ﻣﻦ ﺗﻜﻠﻔﺔ اﻟﺨﻄﺮ‪ .‬ﻛﻤﺎ ﯾﻠﻲ‪:‬‬
‫ﺗﻜﻠﻔﺔ اﻟﺤﻤﺎﯾﺔ = اﻟﺤﺪ اﻷدﻧﻰ ﻣﻦ اﻟﺨﻄﺮ ‪ +‬ﺗﻜﻠﻔﺔ اﻹﺟﺮاء اﻟﻤﻀﺎد‪.‬‬
‫واﻵن ﻧﻨﺘﻘﻞ ﻟﺤﺴﺎب اﺣﺘﻤﺎﻟﯿﺔ ﺣﺪوث اﻟﺘﮭﺪﯾﺪ ‪:Threat‬‬

‫اﻟﺨﻄﻮات اﻟﻤﺘﺒﻌﺔ ﻟﺤﺴﺎب اﻻﺣﺘﻤﺎﻟﯿﺔ ھﻲ ﻛﻤﺎ ﯾﻠﻲ ‪:‬‬

‫‪ .1‬اﻟﺒﺪاﯾﺔ ﻣﻦ أﻋﻠﻰ أي أﻧﮭﺎ ﻋﻠﻰ ﺷﻜﻞ ﺷﺠﺮي ‪.Tree‬‬
‫‪ .2‬اﻟﺒﺤﺚ ﻋﻦ اﻟﻄﺮق اﻟﻤﺆدﯾﺔ أو اﻟﻤﺤﺘﻤﻠﺔ إﻟﻰ وﻗﻮع اﻟﺘﮭﺪﯾﺪ‪.‬‬
‫‪ .3‬ﺟﻤﻊ ھﺬه اﻟﻄﺮق ﺑﺎﺳﺘﺨﺪام اﻟﻌﻼﻗﺎت )‪.(AND,OR,XOR‬‬
‫‪ .4‬ﻟﺤﺴﺎب اﻻﺣﺘﻤﺎﻟﯿﺔ ﻓﺈﻧﻨﺎ ﻧﺒﺪأ ﻣﻦ أﺳﻔﻞ إﻟﻰ اﻷﻋﻠﻰ‪.‬‬

‫ﺷﺮح ﺑﻌﺾ ھﺬه اﻟﻌﻼﻗﺎت )‪:(AND,OR‬‬

‫وھﺬه اﻟﻌﻼﻗﺎت ﺗﻤﺜﻞ‪:‬‬

‫‪) :AND‬ﻻ ﺑﺪ ﻣﻦ ﺗﺤﻘﻖ ﻓﺮﻋﯿﻦ ﻣﺘﻮازﯾﯿﻦ ﻣﻦ ال ‪ Tree‬ﻣﻌﺎ (‪.‬‬
‫‪) :OR‬أن ﯾﺘﺤﻘﻖ أﺣﺪ اﻟﻔﺮﻋﯿﻦ اﻟﻤﺘﻮازﯾﯿﻦ(‪.‬‬

‫وﺑﺎﻟﻤﺜﺎل ﯾﺘﻀﺢ اﻟﻤﻘﺎل‪:‬‬

‫ﻋﻨﺪﻣﺎ ﯾﺤﺎول اﻟﻤﮭﺎﺟﻢ ‪ Attackers‬ﻛﺴﺮ ﻛﻠﻤﺔ اﻟﺴﺮ اﻟﺨﺎﺻﺔ ﺑﺎل ‪.Root‬‬
‫• إﻣﺎ أن ﯾﺤﺎول اﻟﻤﮭﺎﺟﻢ ﻣﻌﺮﻓﺔ ﻛﻠﻤﺔ ال ‪ Root‬ﺑﺎﻟﺘﺨﻤﯿﻦ ‪. Guessing the root password‬‬
‫• أو ﻣﮭﺎﺟﻤﺔ اﻟﺸﺒﻜﺔ ﻛﻜﻞ ﻟﻤﺤﺎوﻟﺔ وﺟﻮد ‪ Bugs‬ﻓﻲ اﻟﺸﺒﻜﺔ ‪.‬‬
‫وﯾﻨﺪرج ﺗﺤﺖ ھﺬه اﻟﻨﻘﻄﺔ ﻋﻨﺼﺮﯾﻦ ﻟﺘﺤﻘﻖ وﺟﻮد ‪ Bugs‬وھﻲ ‪:‬‬
‫‪ .1‬أن ﯾﻮﺟﺪ ﺛﻐﺮات ﯾﻤﻜﻦ اﺳﺘﻐﻼﻟﮭﺎ ‪ AND‬و أﯾﻀﺎ ﻻﺑﺪ أن ﯾﺘﺤﻘﻖ اﻟﺸﺮط اﻟﺘﺎﻟﻲ ﻣﻊ ھﺬا اﻟﺸﺮط‪.‬‬
‫‪ .2‬أن ﻻ ﯾﺤﺪث اﻟﻨﻈﺎم )أي ﻻ ﺗﻤﺤﻞ ﺗﺮﻗﯿﻌﮫ ‪ Patch‬ﻟﮭﺬه اﻟﺜﻐﺮة(‪.‬‬

‫وﺑﻌﺪ ذﻟﻚ ﻧﻘﻮم ﺑﺘﻤﺜﯿﻞ ھﺬه اﻟﻌﻤﻠﯿﺔ ﻋﻠﻰ اﻟـ ‪:Tree‬‬

‫ﻣﻊ اﻟﻔﺮﺿﯿﺎت اﻟﺘﺎﻟﯿﺔ‪:‬‬
‫• ‪,P(guessing root password = A) = 5/1000 = 0.005‬‬
‫• ‪ P(exploiting‬اﺳﺘﻐﻼل(( ‪active server = B) = 50 /1000 = 0.05 AND‬‬
‫• ‪not updated or not configured properly =C) = 0.1 P(system is‬‬

‫‪-7-‬‬
 ‫ﻓﻲ ھﺬه اﻟﻔﺮﺿﯿﺎت ﺟﻌﻠﻨﺎ ﺗﺨﻤﯿﻦ ﻛﻠﻤﮫ اﻟﺴﺮ ﺗﺴﺎوي ‪.A‬واﺳﺘﻐﻼل اﻟﺜﻐﺮة ﺟﻌﻠﻨﺎھﺎ ﺗﺴﺎوي ‪ B‬واﻷﺧﯿﺮة إذا ﻟﻢ ﯾُﺤﺪث اﻟﻨﻈﺎم ﺗﺴﺎوي ‪.C‬‬
‫ﻟﺘﺴﮭﯿﻞ ﻋﻤﻠﯿﺔ اﻟﺤﺴﺎب ﻋﻠﯿﮭﺎ ﺑﺪﻻ ﻣﻦ اﻷﺳﻤﺎء اﻟﻄﻮﯾﻠﺔ ‪.‬‬
‫ﺳﻮف ﻧﻘﻮم ﺑﺘﻮﺿﯿﺢ ﺑﻌﺾ اﻟﺨﻄﻮات ﻓﻲ اﻟﺸﻜﻞ اﻟﺴﺎﺑﻖ ‪:‬‬

‫وﻟﺤﺴﺎب اﻻﺣﺘﻤﺎﻟﯿﺔ ‪:‬‬

‫‪AND) P(attack service =BC) = P(B)*P(C) = 0.05 * 0.1 = 0.005‬ﻣﻦ اﻟـ(‬
‫‪ P(break-in‬أي اﻟﻜﻠﻲ( = ‪) 0.009975 = 0.005* 0.005 – P(A)+P(BC)-P(A)P(BC) = 0.005+0.005‬ﻣﻦ اﻟـ‪.(OR‬‬
‫إذا اﻻﺣﺘﻤﺎﻟﯿﺔ اﻟﻜﻠﯿﺔ )‪ (break0in‬ھﻲ ‪. 0.009975‬‬

‫ﻣﺜﺎل آﺧﺮ‪:‬‬
‫‪:The tree‬‬
‫ﻟﺪﯾﻨﺎ ﻓﻲ ھﺬا اﻟﻤﺜﺎل ‪ :‬ﻣﺎ ھﻲ اﺣﺘﻤﺎﻟﯿﮫ ﺳﺮﻗﺔ ال ‪ Password‬ﻋﻦ ﻃﺮﯾﻖ )اﻟﮭﻨﺪﺳﺔ اﻻﺟﺘﻤﺎﻋﯿﺔ ‪ ,‬أو ﺑﻮاﺳﻄﺔ ال ‪(Sniffing‬‬
‫ﻣﻼﺣﻈﮫ‪ :‬ھﺬه اﻟﺤﺎﻟﺔ واﻟﻤﺸﻜﻠﺔ أﺻﺒﺤﺖ ﺗﺸﺒﮫ اﻟﻤﺜﺎل اﻟﺴﺎﺑﻖ )ﻟﯿﺲ ﺷﺮط أن ﺗﻜﻮن ﺗﺸﺒﮫ اﻟﺸﻜﻞ اﻟﺴﺎﺑﻖ ‪ ,‬ﻗﺪ ﺗﺄﺗﻲ ‪ AND‬و اﻟﺜﺎﻧﯿﺔ ‪ AND‬وﻣﻤﻜﻦ أن‬
‫ﺗﺘﻔﺮع إﻟﻰ أﻛﺜﺮ ﻣﻦ ﻓﺮﻋﯿﻦ ‪.‬‬

‫‪event of of social engineering, B= the event of finding non-switched network, C= the Let A= the event‬‬
‫‪,.sending Clear text telnet, ftp, etc‬‬
‫‪:sniffing from network. Then And D= the event of‬‬
‫• ‪.probability (B) * Probability (C) = 0.1*0.05=0.005 = (Probability (D) = Probability (B and C‬‬
‫• ‪D) = 0.3) Password Theft) = Probability (A) +Probability (D)-Probability (A)*Probability) Probability‬‬
‫‪.0.3035 =0.005*0.3 – 0.005 +‬‬

‫<ﺇﺳﺘﺨﺪﺍﻡ ﺍﻟﺸﺒﻜﺔ ﻻﺳﻠﻜﻴﺔ‬

‫ﺑﺎت ﻋﺪد ﻛﺒﯿﺮ ﻣﻦ اﻟﺸﺮﻛﺎت ﯾﻌﺘﻤﺪ ﻋﻠﻰ اﻟﺸﺒﻜﺎت اﻟﻼﺳﻠﻜﯿﺔ ﻛﺒﺪﯾﻞ أو ردﯾﻒ ﻟﻠﺸﺒﻜﺎت اﻟﺴﻠﻜﯿﺔ اﻟﺘﻘﻠﯿﺪﯾﺔ ﺑﻐﯿﺔ اﻟﺘﻮﻓﯿﺮ ﻓﻲ اﻟﻮﻗﺖ واﻟﺠﮭﺪ واﻟﺘﻘﻠﯿﻞ ﻣﻦ‬
‫اﻟﻤﺸﺎﻛﻞ اﻟﺘﻲ ﺗﻌﺎﻧﻲ ﻣﻨﮭﺎ ھﺬه اﻟﺸﺒﻜﺎت اﻟﻼﺳﻠﻜﯿﺔ اﻟﺘﻲ ﯾﺒﺪو أﻧﮭﺎ ﺗﻮاﺟﮫ ﺧﻄﺮ اﻟﺰوال أﻣﺎم زﺣﻒ اﻟﺸﺒﻜﺎت اﻟﻼﺳﻠﻜﯿﺔ‪ .‬وﻣﺎ ﯾﺪﻋﻢ ھﺬه اﻟﻤﻘﻮﻟﺔ ھﻮ أن‬
‫اﻟﺸﺒﻜﺎت اﻟﻼﺳﻠﻜﯿﺔ اﻟﺘﻲ ﺗﻢ ﻧﺸﺮھﺎ ﻓﻲ ﺑﻌﺾ اﻟﺸﺮﻛﺎت ﺧﻼل اﻟﺴﻨﻮات اﻟﻘﻠﯿﻠﺔ اﻟﻤﺎﺿﯿﺔ أﺛﺒﺘﺖ ﻓﺎﻋﻠﯿﺔ ﻛﺒﯿﺮة ﻣﻦ ﺣﯿﺚ ﺧﻔﺾ اﻟﺘﻜﺎﻟﯿﻒ ورﻓﻊ‬
‫اﻹﻧﺘﺎﺟﯿﺔ‪ .‬ﻓﻌﻠﻰ ﺳﺒﯿﻞ اﻟﻤﺜﺎل ﺑﺎت ﺑﺈﻣﻜﺎن اﻟﻤﻮﻇﻔﯿﻦ اﻟﺬﯾﻦ ﯾﺴﺘﺨﺪﻣﻮن ﻛﻤﺒﯿﻮﺗﺮات دﻓﺘﺮﯾﺔ أن ﯾﺘﺠﻮﻟﻮا ﺑﺤﺮﯾﺔ ﻓﻲ أرﺟﺎء اﻟﺒﻨﻚ وﯾﺴﺘﻄﯿﻌﻮن اﻟﺪﺧﻮل‬
‫إﻟﻰ اﻟﺸﺒﻜﺔ اﻟﻤﺘﻮﻓﺮة ﻓﻲ اﻟﺒﻨﻚ ﻣﻦ أي ﻣﻜﺎن دون اﻟﺤﺎﺟﺔ ﻟﻮﺻﻞ أﯾﺔ ﻛﺎﺑﻼت أو إﺟﺮاء أﯾﺔ إﻋﺪادات‪ .‬وﺑﺎﻟﻤﺜﻞ ﯾﺴﺘﻄﯿﻊ ﻣﻮﻇﻔﻮ اﻟﺒﻨﻚ داﺋﻤﻲ اﻟﺘﻨﻘﻞ‪،‬‬
‫ﻣﺜﻞ اﻟﻌﺎﻣﻠﯿﻦ ﻓﻲ ﻣﯿﺪان اﻟﻤﺒﯿﻌﺎت‪ ،‬ﻣﻦ اﻟﻮﺻﻮل إﻟﻰ اﻟﺸﺒﻜﺔ اﻟﻤﺤﻠﯿﺔ اﻟﻤﻮﺟﻮدة ﻓﻲ ﺷﺮﻛﺘﮭﻢ ﻣﻦ ﺧﻼل اﻟﻘﻄﺎﻋﺎت اﻟﻨﺸﻄﺔ ‪ hot spots‬اﻟﻤﺘﻮﻓﺮة ﻓﻲ‬
‫اﻟﻤﻄﺎرات واﻟﻔﻨﺎدق‪ ،‬ﻣﻤﺎ ﯾﺮﻓﻊ ﻣﻦ إﻧﺘﺎﺟﯿﺘﮭﻢ إﻟﻰ ﺣﺪ ﻛﺒﯿﺮ‪ .‬وﯾﻨﺘﻈﺮ أن ﺗﺼﻞ أﻋﺪاد ھﺬه اﻟﻘﻄﺎﻋﺎت إﻟﻰ أرﻗﺎم ﻛﺒﯿﺮة ﺑﺤﯿﺚ ﺗﻐﻄﻲ ﻛﺎﻓﺔ ﺑﻘﺎع اﻟﻌﺎﻟﻢ ﻓﻲ‬
‫اﻟﻤﺴﺘﻘﺒﻞ اﻟﻘﺮﯾﺐ‪ .‬وﯾﺒﺪو أن اﻟﻨﺠﺎح ﻻ ﯾﺰال اﻟﺤﻠﯿﻒ اﻷﻛﺒﺮ ﻟﻠﺸﺒﻜﺎت اﻟﻼﺳﻠﻜﯿﺔ وﻣﺎ ﯾﺮاﻓﻘﮭﺎ ﻣﻦ ﻣﺒﺘﻜﺮات ﺗﺘﻌﻠﻖ ﺑﺎﻟﻮﺻﻞ اﻟﻼﺳﻠﻜﻲ ﻋﻠﻰ اﻟﺮﻏﻢ ﻣﻦ‬
‫أن اﻟﻜﺜﯿﺮﯾﻦ ﯾﺸﻜﻜﻮن ﻓﻲ إﻣﻜﺎﻧﯿﺔ اﺳﺘﻤﺮارھﺎ ﻓﯿﻤﺎ ﻟﻮ ﯾﺘﻢ اﻟﻮﺻﻮل إﻟﻰ ﺣﻠﻮل ﻓﻌًﺎﻟﺔ ﻟﺤﻤﺎﯾﺘﮭﺎ ‪.‬‬

‫ﻋﻘﺒﺔ رﺋﯿﺴﯿﺔ أﻣﺎم اﻧﺘﺸﺎر اﻟﺸﺒﻜﺎت اﻟﻼﺳﻠﻜﯿﺔ‬

‫ﻣﻊ ﺗﺰاﯾﺪ اﻧﺘﺸﺎر اﻟﺸﺒﻜﺎت اﻟﻼﺳﻠﻜﯿﺔ ﻓﻲ اﻟﺸﺮﻛﺎت وﻟﺪى اﻷﻓﺮاد ﺗﺘﺰاﯾﺪ أﯾﻀﺎً ﻣﻌﮭﺎ اﻟﻤﺨﺎﻃﺮ اﻟﺘﻲ ﺗﺘﮭﺪدھﺎ‪ ،‬ﺳﯿﻤﺎ أن ﻃﺒﯿﻌﺔ اﻟﺸﺒﻜﺎت اﻟﻼﺳﻠﻜﯿﺔ اﻟﺘﻲ‬
‫ﺗﺴﺘﺨﺪم اﻷﺛﯿﺮ ﻟﻨﻘﻞ اﻟﺒﯿﺎﻧﺎت ﺑﯿﻦ اﻟﻜﻤﺒﯿﻮﺗﺮات واﻷﺟﮭﺰة اﻟﻤﺤﻤﻮﻟﺔ اﻟﻤﺨﺘﻠﻔﺔ ﺗﻔﺘﺢ اﻟﺒﺎب ﻋﻠﻰ ﻣﺼﺮاﻋﯿﮫ أﻣﺎم اﻟﻤﺨﺮﺑﯿﻦ وﺧﺒﺮاء اﻟﺘﺴﻠﻞ إﻟﻰ اﻟﺸﺒﻜﺎت‬
‫و**** اﻟﻤﻌﻠﻮﻣﺎت أو ﺗﺨﺮﯾﺒﮭﺎ‪ .‬ﻛﻤﺎ أن اﻟﻮﺳﺎﺋﻞ اﻟﺘﻲ ﯾﺴﺘﺨﺪﻣﮭﺎ أوﻟﺌﻚ اﻟﻤﺨﺮﺑﯿﻦ ﻟﻠﺘﺴﻠﻞ إﻟﻰ ﻣﺨﺘﻠﻒ أﻧﻮاع اﻟﺸﺒﻜﺎت اﻟﻼﺳﻠﻜﯿﺔ اﻷﺧﺮى ھﻲ واﺣﺪة‬
‫وﯾﻤﻜﻦ اﺳﺘﺨﺪاﻣﮭﺎ ﺿﺪ أي ﻣﻦ ﺗﻠﻚ اﻟﺸﺒﻜﺎت‪ .‬ھﺬا ﻣﺎ ﯾﺠﻌﻞ ﻣﻦ اﻷھﻤﯿﺔ ﺑﻤﻜﺎن أن ﯾﺘﻢ أﺧﺬ ﻣﺴﺄﻟﺔ ﺣﻤﺎﯾﺔ اﻟﺸﺒﻜﺎت اﻟﻼﺳﻠﻜﯿﺔ ﻋﻠﻰ ﻣﺤﻤﻞ اﻟﺠﺪ ﺣﺘﻰ‬
‫ﻗﺒﻞ اﻟﺘﻔﻜﯿﺮ ﻓﻲ ﻧﺸﺮ واﺣﺪة ﻣﻦ ﺗﻠﻚ اﻟﺸﺒﻜﺎت‪.‬‬

‫وأﻣﺎم ھﺬه اﻟﻤﻌﻀﻠﺔ‪ ،‬اﻟﻤﺘﻤﺜﻠﺔ ﻓﻲ إﻣﻜﺎﻧﯿﺔ ﺗﻮﻓﯿﺮ ﺣﻤﺎﯾﺔ ﻣﺘﻜﺎﻣﻠﺔ ﻟﺘﻠﻚ اﻟﺸﺒﻜﺎت‪ ،‬واﻟﺘﻲ ﺗﻌﺪ اﻟﻌﺎﺋﻖ اﻟﻮﺣﯿﺪ أﻣﺎم اﻟﻤﺴﺎرﻋﺔ ﻟﻨﺸﺮ اﻟﺸﺒﻜﺎت اﻟﻼﺳﻠﻜﯿﺔ ﻓﻲ‬
‫اﻟﺸﺮﻛﺎت واﻟﺒﻨﻚ ﻛﺎن ﻻ ﺑﺪ ﻣﻦ إﯾﺠﺎد ﺣﻞ ﻣﻼﺋﻢ وﻓﻌّﺎل ‪.‬ﺗﻤﺜﻞ ھﺬا اﻟﺤﻞ ﻓﻲ اﻟﻤﻌﯿﺎر ‪X 802.1‬ﻟﺤﻤﺎﯾﺔ اﻟﺸﺒﻜﺎت اﻟﻼﺳﻠﻜﯿﺔ واﻟﺬي ﯾﻌﺘﻤﺪ ﻋﻠﻰ ﻣﺒﺪئ‬
‫ﻣﺮاﻗﺒﺔ اﻟﻤﺴﺘﺨﺪﻣﯿﻦ اﻟﺪاﺧﻠﯿﻦ إﻟﻰ اﻟﺸﺒﻜﺔ واﻟﺘﺄﻛﺪ ﻣﻦ أھﻠﯿﺘﮭﻢ واﻟﺘﺤﻘﻖ ﻣﻦ ﺻﻼﺣﯿﺎﺗﮭﻢ ﻓﻲ اﻟﻮﺻﻮل إﻟﻰ اﻟﺒﯿﺎﻧﺎت اﻟﻤﺘﻮﻓﺮة ﻋﻠﻰ اﻟﺸﺒﻜﺔ‪ .‬وﻟﻤﺎ ﻛﺎﻧﺖ‬
‫ﻣﺮاﻗﺒﺔ اﻟﺪاﺧﻠﯿﻦ إﻟﻰ اﻟﺸﺒﻜﺔ ﺗﻌﺪ ﻣﻦ أوﻟﻮﯾﺎت ﺑﻌﺾ اﻟﺸﺮﻛﺎت اﻟﺘﻲ ﺗﻨﺸﺮ ﺷﺒﻜﺎت ﻻﺳﻠﻜﯿﺔ‪ ،‬ﯾﻌﺪ اﻟﺤﻔﺎظ ﻋﻠﻰ ﺳﺮﯾﺔ اﻟﻤﻌﻠﻮﻣﺎت اﻟﻤﻨﻘﻮﻟﺔ ﻋﺒﺮ أﺛﯿﺮ ﺗﻠﻚ‬
‫اﻟﺸﺒﻜﺎت أﻛﺜﺮ أھﻤﯿﺔ ﺑﺎﻟﻨﺴﺒﺔ ﻟﺸﺮﻛﺎت أﺧﺮى‪ .‬ﻟﺬا ﻓﺈن ﺑﻌﺾ اﻟﺸﺮﻛﺎت ﺗﺨﺘﺎر اﻻﻋﺘﻤﺎد ﻋﻠﻰ ﻣﻌﯿﺎر اﻟﺤﻤﺎﯾﺔ ‪X 802.1‬دون اﻋﺘﻤﺎد ﺗﺸﻔﯿﺮ اﻟﺒﯿﺎﻧﺎت‬
‫واﻟﺒﻌﺾ اﻷﺧﺮ ﯾﻌﺘﻤﺪ ﻋﻠﻰ ھﺬا اﻟﻤﻌﯿﺎر ﻣﻊ اﻟﺘﺄﻛﯿﺪ ﻋﻠﻰ أھﻤﯿﺔ ﺗﺸﻔﯿﺮ اﻟﺒﯿﺎﻧﺎت اﻟﻤﺘﺒﺎدﻟﺔ ﻋﻠﻰ اﻟﺸﺒﻜﺔ ‪.‬‬
‫ﯾﺪﻋﻢ ﻧﻈﺎم اﻟﺘﺸﻐﯿﻞ وﯾﻨﺪوز إﻛﺲ ﺑﻲ ﻣﻌﯿﺎر اﻟﺤﻤﺎﯾﺔ ‪ ،X802.1‬ﻛﻤﺎ أن اﻟﺸﺮﻛﺎت اﻟﻤﻨﺘﺠﺔ ﻟﻠﻮﺣﺪات اﻟﻤﺴﺘﺨﺪﻣﺔ ﻛﻨﻘﺎط ﻟﻠﻮﺻﻮل‪، Access Points‬‬
‫‪-8-‬‬
 ‫واﻟﺘﻲ ھﻲ ﻋﺒﺎرة ﻋﻦ أﺟﮭﺰة ﺧﺎدﻣﺔ ﺗﺆﻣﻦ اﺗﺼﺎل اﻷﺟﮭﺰة اﻟﻼﺳﻠﻜﯿﺔ اﻟﺘﻲ ﯾﺴﺘﺨﺪﻣﮭﺎ اﻷﻓﺮاد ﻛﺎﻟﻜﻤﺒﯿﻮﺗﺮات اﻟﺪﻓﺘﺮﯾﺔ واﻟﻜﻔﯿﺔ إﻟﻰ اﻟﺸﺒﻜﺔ اﻟﻼﺳﻠﻜﯿﺔ‬
‫اﻟﺪاﺧﻠﯿﺔ‪ ،‬ﺗﺪﻋﻢ ھﺬا اﻟﻤﻌﯿﺎر أﯾﻀﺎً‪ .‬ھﺬا اﻟﻤﻌﯿﺎر ﯾﺆﻣﻦ ﺣﻤﺎﯾﺔ ﺗﺘﻔﻮق ﻋﻠﻰ ﺗﻘﻨﯿﺔ اﻟﺤﻤﺎﯾﺔ اﻟﺘﻲ ﺗﻌﺘﻤﺪ ﻋﻠﻰ ﺑﺮوﺗﻮﻛﻮل اﻟﺘﺸﻔﯿﺮ اﻟﻤﺴﻤﻰ ‪Wired‬‬
‫‪Equivalent Privacy (WEP).‬وﻋﻠﻰ اﻟﺮﻏﻢ ﻣﻦ ﻓﺎﻋﻠﯿﺔ اﻟﻤﻌﯿﺎر اﻟﺴﺎﺑﻖ إﻟﻰ أن ﺑﻌﺾ اﻷﺑﺤﺎث اﻟﺘﻲ أﺟﺮﯾﺖ ﺑﮭﺪف اﻟﺘﺄﻛﺪ ﻣﻦ ﻓﺎﻋﻠﯿﺘﮫ أﻇﮭﺮت‬
‫ﺑﻌﺾ اﻟﺜﻐﺮات وﻧﻘﺎط اﻟﻀﻌﻒ ﻓﯿﮫ‪ ،‬ھﺬا ﻣﺎ أدى إﻟﻰ ﻇﮭﻮر اﻟﺤﺎﺟﺔ إﻟﻰ اﺳﺘﺨﺪام اﻟﺘﻘﻨﯿﺔ اﻟﺘﻲ ﺗﻌﺘﺒﺮ أﻛﺜﺮ ﺗﻄﻮراً وﻓﺎﻋﻠﯿﺔ ﻣﻦ ﻛﻞ ﻣﻦ اﻟﺘﻘﻨﯿﺘﯿﻦ‬
‫اﻟﺴﺎﺑﻘﺘﯿﻦ واﻟﺘﻲ ﺗﺘﻤﺜﻞ ﻓﻲ اﻟﺸﺒﻜﺎت اﻻﻓﺘﺮاﺿﯿﺔ اﻟﺨﺎﺻﺔ ‪VPNs.‬‬

‫ﻋﺪم ﻣﺒﺎﻻة اﻟﺸﺮﻛﺎت ﺗﺠﺎه أھﻤﯿﺔ أﻣﻦ اﻟﺸﺒﻜﺎت اﻟﻼﺳﻠﻜﯿﺔ‬

‫أﺟﺮت ﺑﻨﻚ ''ﺟﻮﺑﺘﺮ ﻣﯿﺪﯾﺎ ﻛﻮرﺑﻮرﯾﺸﻦ'' ﻣﺆﺗﻤﺮاً ﺣﻮل ﻣﻌﯿﺎر اﻟﺮﺑﻂ اﻟﻼﺳﻠﻜﻲ ‪ 802.11‬أﻗﯿﻢ ﻋﻠﻰ ھﺎﻣﺸﮫ ﻣﻌﺮض ﻛﺒﯿﺮ ﻵﺧﺮ وأﺣﺪث اﻟﺘﻘﻨﯿﺎت‬
‫اﻟﻼﺳﻠﻜﯿﺔ وﺣﻠﻮل ﺣﻤﺎﯾﺘﮭﺎ‪ .‬وﻗﺪ أﺷﺎرت ﺗﻘﺎرﯾﺮ ﻧﺸﺮﺗﮭﺎ ﺑﻨﻚ ﺟﻮﺑﺘﺮ ﻟﻸﺑﺤﺎث اﻟﺘﺎﺑﻌﺔ ﻟﻠﺒﻨﻚ ﺳﺎﺑﻘﺔ اﻟﺬﻛﺮ إﻟﻰ أن ‪ %28‬ﻣﻦ اﻟﺸﺮﻛﺎت اﻟﺘﻲ ﺗﻤﻠﻚ ﺷﺒﻜﺎت‬
‫ﻻﺳﻠﻜﯿﺔ ﻗﺎﻣﺖ ﺑﻨﺸﺮ ﺷﺒﻜﺎت اﻓﺘﺮاﺿﯿﺔ ﺧﺎﺻﺔ ﻗﺮﯾﻦ ﻟﻘﺮﯾﻦ ‪ peer-to-peer user VPNs‬ﻟﺤﻤﺎﯾﺔ ﺷﺒﻜﺎﺗﮭﺎ اﻟﻼﺳﻠﻜﯿﺔ اﻟﻤﺤﻠﯿﺔ ‪ WLANs.‬و‪%29‬‬
‫ﻣﻦ ﺗﻠﻚ اﻟﺸﺮﻛﺎت ﻓﻘﻂ ﺗﺴﺘﺨﺪم اﻟﻤﻌﯿﺎر ‪X 802.1‬وھﻮ ﻋﺒﺎرة ﻋﻦ ﻣﻌﯿﺎر ﻓﺮﻋﻲ ﻣﻦ اﻟﻤﻌﯿﺎر ‪i 802.11‬اﻟﺬي ﯾﻨﺘﻈﺮ أن ﺗﺘﻢ اﻟﻤﺼﺎدﻗﺔ ﻋﻠﯿﮫ وإﻗﺮاره‬
‫أواﺧﺮ اﻟﻌﺎم اﻟﺤﺎﻟﻲ‪ .‬وﺑﺤﺴﺐ اﻟﺘﻘﺮﯾﺮ اﻟﺬي ﻧﺸﺮﺗﮫ ﺟﻮﺑﺘﺮ ﻓﺈن ‪ %48‬ﻣﻦ اﻟﺸﺮﻛﺎت ﻓﻘﻂ ﺗﺘﺨﺬ اﻹﺟﺮاءات اﻟﻀﺮورﯾﺔ ﻟﻤﻮاﺟﮭﺔ اﻟﻤﺨﺎﻃﺮ اﻟﺘﻲ ﺗﻮاﺟﮫ‬
‫ﺷﺒﻜﺎﺗﮭﺎ ‪.‬‬

‫اﻟﺒﻌﺾ ﻓﻘﻂ ﻣﻦ اﻟﺸﺮﻛﺎت اﻟﻜﺒﺮى ﺗﺴﺘﺨﺪم ﺗﻘﻨﯿﺔ اﻟﺸﺒﻜﺎت اﻻﻓﺘﺮاﺿﯿﺔ اﻟﺸﺨﺼﯿﺔ أو اﻟﻤﻌﯿﺎر ‪ ،X802.1‬ﺑﯿﻨﻤﺎ ﺗﻌﺘﻤﺪ ﺑﺎﻗﻲ اﻟﺸﺮﻛﺎت ﻋﻠﻰ ﺗﻘﻨﯿﺔ‬
‫اﻟﺤﻤﺎﯾﺔ اﻟﺘﻲ ﺗﻌﺘﻤﺪ ﻋﻠﻰ ﺑﺮوﺗﻮﻛﻮل ﺧﺎص ﻟﻠﺘﺸﻔﯿﺮ ‪ WEP‬أو أدوات اﻟﺤﻤﺎﯾﺔ وﺣﺠﺐ اﻟﺸﺒﻜﺔ أﻣﺎم اﻟﻤﺘﺴﻠﻠﯿﻦ اﻟﺘﻲ ﺗﻘﺪﻣﮭﺎ ﺑﺮاﻣﺞ اﻟﺤﻤﺎﯾﺔ اﻟﻤﺨﺘﻠﻔﺔ‪ .‬أﻣﺎ‬
‫ﺑﺎﻟﻨﺴﺒﺔ ﻟﻠﺸﺮﻛﺎت اﻟﺼﻐﯿﺮة ﻓﺈﻧﮭﺎ ﻻ ﺗﺒﺪي اھﺘﻤﺎﻣﺎً ﻛﺒﯿﺮاً ﺗﺠﺎه ﻣﺴﺄﻟﺔ ﺣﻤﺎﯾﺔ اﻟﺸﺒﻜﺎت اﻟﻤﺤﻠﯿﺔ اﻟﻼﺳﻠﻜﯿﺔ وﻻ ﺗﻘﻮم إﻻ ﺑﺈﺟﺮاءات ﻣﺘﻮاﺿﻌﺔ ﻓﻲ ھﺬا‬
‫اﻟﻤﺠﺎل‪.‬‬

‫اﻟﻤﺨﺎﻃﺮ اﻟﺘﻲ ﺗﺘﮭﺪد اﻟﺸﺒﻜﺎت اﻟﻼﺳﻠﻜﯿﺔ‬

‫ﻣﻦ اﻟﺠﺪﯾﺮ ﺑﺎﻟﺬﻛﺮ أن اﻟﺸﺒﻜﺎت اﻟﻼﺳﻠﻜﯿﺔ اﻟﻤﻨﺸﻮرة ﻓﻲ اﻟﺸﺮﻛﺎت ﻟﯿﺴﺖ وﺣﺪھﺎ ﻋﺮﺿﺔ ﻟﻼﺧﺘﺮاﻗﺎت اﻷﻣﻨﯿﺔ‪ ،‬ﻓﺎﻟﺸﺒﻜﺎت اﻟﻼﺳﻠﻜﯿﺔ اﻟﻤﻨﺰﻟﯿﺔ أﯾﻀﺎً‬
‫ﻟﯿﺴﺖ ﺑﻤﻨﺄى ﻋﻦ ﺗﻠﻚ اﻷﺧﻄﺎر‪ ،‬ﻛﻤﺎ أن اﻟﻜﺜﯿﺮ ﻣﻦ اﻟﺸﺮﻛﺎت ﺗﻌﻄﻲ ﻟﻤﻮﻇﻔﯿﮭﺎ ﺻﻼﺣﯿﺎت اﻟﺪﺧﻮل إﻟﻰ اﻟﺸﺒﻜﺔ اﻟﻤﻮﺟﻮدة ﻓﻲ اﻟﺒﻨﻚ ﻣﻦ ﻣﻨﺎزﻟﮭﻢ ورﺑﻤﺎ‬
‫ﯾﻜﻮن اﻟﺒﻌﺾ ﻣﻨﮭﻢ ﯾﺴﺘﺨﺪم ﺷﺒﻜﺔ ﻻﺳﻠﻜﯿﺔ ﻓﻲ اﻟﻤﻨﺰل‪ .‬ﻓﻔﻲ ھﺬه اﻟﺤﺎﻟﺔ ﺣﺘﻰ ﻟﻮ ﻛﺎﻧﺖ اﻟﺒﻨﻚ ﺗﺄﺧﺬ اﻻﺣﺘﯿﺎﻃﺎت اﻟﻼزﻣﺔ إﻻ أن ﻣﻌﻠﻮﻣﺎﺗﮭﺎ ﻣﻌﺮﺿﺔ‬
‫ﻟﻼﻧﺘﮭﺎك ﺑﯿﻨﻤﺎ ﯾﻜﻮن ھﺬا اﻟﻤﻮﻇﻒ ﻣﻮﺻﻮﻻً ﺑﺎﻟﺸﺒﻜﺔ ﻣﻦ اﻟﻤﻨﺰل أو ﻓﻲ ﻣﻜﺎن ﻣﺎ ﻓﻲ اﻟﻄﺮﯾﻖ‪.‬‬

‫ﺗﺘﻀﻤﻦ اﻟﻤﺨﺎﻃﺮ اﻟﺘﻲ ﺗﻮﺟﮭﮭﺎ اﻟﺸﺒﻜﺎت اﻟﻼﺳﻠﻜﯿﺔ إﻣﻜﺎﻧﯿﺔ وﻟﻮج ﻣﺨﺮﺑﯿﻦ ﻣﻦ ﺧﺎرج اﻟﺒﻨﻚ إﻟﻰ اﻟﺸﺒﻜﺔ واﻟﻌﺒﺚ ﺑﺎﻟﺒﯿﺎﻧﺎت اﻟﻤﺘﻮﻓﺮة ﻓﯿﮭﺎ أو ﻣﻘﺎﻃﻌﺔ‬
‫اﻟﺒﯿﺎﻧﺎت اﻟﻤﻨﻘﻮﻟﺔ ﻋﺒﺮھﺎ واﻟﻌﺒﺚ ﺑﺈﻋﺪادات اﻟﺸﺒﻜﺔ ﺑﺤﯿﺚ ﯾﺘﻢ ﻣﻨﻊ اﻟﻤﺴﺘﺨﺪﻣﯿﻦ اﻟﻤﺼﺮح ﻟﮭﻢ ﺑﺪﺧﻮل اﻟﺸﺒﻜﺔ ﻣﻦ اﻟﻮﺻﻮل إﻟﯿﮭﺎ أو ﺣﺘﻰ ﻣﮭﺎﺟﻤﺔ واﺣﺪ‬
‫ﻣﻦ ﻣﺴﺘﺨﺪﻣﻲ اﻟﺸﺒﻜﺔ واﻟﻌﺒﺚ ﺑﺒﯿﺎﻧﺎﺗﮫ‪ ،‬ورﺑﻤﺎ ﺗﺴﺒﺐ ھﺠﻤﺎت اﻟﻤﺨﺮﺑﯿﻦ أﯾﻀﺎً ﻓﻲ ﺗﺠﻤﯿﺪ ﺣﺮﻛﺔ اﻟﺒﯿﺎﻧﺎت اﻟﻤﺘﺒﺎدﻟﺔ ﺑﯿﻦ ﻣﺴﺘﺨﺪﻣﻲ اﻟﺸﺒﻜﺔ اﻟﻼﺳﻠﻜﯿﺔ ‪.‬‬

‫ھﻞ ھﻨﺎك ﺣﻞ ﻧﺎﺟﻊ ﯾﻤﻜﻦ اﻻﻋﺘﻤﺎد ﻋﻠﯿﮫ؟‬

‫ﺑﻌﺪ ھﺬا اﻟﺤﺪﯾﺚ ﻋﻦ أھﻤﯿﺔ اﻟﺸﺒﻜﺎت اﻟﻼﺳﻠﻜﯿﺔ وﻣﺎ ﺗﻘﺪﻣﮫ ﻣﻦ ﻓﻮاﺋﺪ ﺟﻤﺔ ﻟﻠﺸﺮﻛﺎت ﯾﺘﺒﺎدر إﻟﻰ اﻟﺬھﻦ اﻟﺴﺆال اﻟﺘﺎﻟﻲ‪ ،‬ﻣﺎ ھﻮ اﻟﺤﻞ؟ ﻛﯿﻒ ﯾﻤﻜﻦ ﻟﺒﻨﻚ ﻣﺎ‬
‫أن ﺗﻨﺸﺮ ﺷﺒﻜﺔ ﻻﺳﻠﻜﯿﺔ وﺗﻀﻤﻦ أن ﺗﻠﻚ اﻟﺸﺒﻜﺔ آﻣﻨﺔ ﺗﻤﺎﻣﺎً وﻣﺤﺼﻨﺔ ﺿﺪ ﻛﺎﻓﺔ اﻷﺧﻄﺎر؟ ﯾﻤﻜﻦ اﻟﻘﻮل ﺑﺄن ﻣﺎ ﻣﻦ أﺣﺪ ﯾﺴﺘﻄﯿﻊ أن ﯾﻘﺪم إﺟﺎﺑﺔ ﺷﺎﻓﯿﺔ‬
‫ﻟﮭﺬا اﻟﺴﺆال ﺳﯿﻤﺎ أن اﻟﻤﺨﺮﺑﯿﻦ ﺑﺎﺗﻮا ﯾﻄﻮرون أﺳﺎﻟﯿﺐ ﺗﺨﺮﯾﺒﯿﺔ ﻋﻠﻰ ﻧﺤﻮ أﺳﺮع ﻣﻦ اﻟﺸﺮﻛﺎت اﻟﺘﻲ ﺗﺒﺘﻜﺮ ﺣﻠﻮل اﻟﺤﻤﺎﯾﺔ‪ ،‬وﻣﺎ إن ﯾﻈﮭﺮ ﺣﻞ ﺟﺪﯾﺪ‬
‫ﯾﻮﺻﻒ ﻋﻠﻰ أﻧﮫ ﻣﺴﺘﺤﯿﻞ اﻻﺧﺘﺮاق ﺣﺘﻰ ﺗﺠﺪ اﻟﻤﺨﺮﺑﯿﻦ ﯾﺴﺎرﻋﻮن إﻟﻰ اﺑﺘﻜﺎر ﺣﯿﻞ ﻣﺎﻛﺮة وذﻛﯿﺔ ﯾﺴﺘﻐﻠﻮن ﻓﯿﮭﺎ أﺿﻌﻒ اﻟﺜﻐﺮات اﻷﻣﻨﯿﺔ ‪.‬‬

‫وﻟﻌﻞ أﻓﻀﻞ اﻟﺤﻠﻮل اﻟﻤﺘﻮﻓﺮة ﻓﻲ اﻟﻮﻗﺖ اﻟﺤﺎﻟﻲ ھﻮ اﻻﻋﺘﻤﺎد ﻋﻠﻰ ﻛﻞ ﻣﻦ اﻟﺸﺒﻜﺎت اﻻﻓﺘﺮاﺿﯿﺔ اﻟﺨﺎﺻﺔ ‪ VPNs‬واﻟﻤﻌﯿﺎر ‪X 802.1‬ﻟﺤﻤﺎﯾﺔ اﻟﺸﺒﻜﺔ‬
‫اﻟﻼﺳﻠﻜﯿﺔ ﺑﺤﯿﺚ ﯾﻤﻜﻦ اﻻﺳﺘﻐﻨﺎء ﻋﻦ ﺑﺮوﺗﻮﻛﻮل اﻟﺘﺸﻔﯿﺮ ‪ WEP‬ﺳﯿﻤﺎ أن اﻟﺸﺒﻜﺔ اﻻﻓﺘﺮاﺿﯿﺔ اﻟﺨﺎﺻﺔ ﺗﺆﻣﻦ ﺣﻤﺎﯾﺔ ﻛﺎﻣﻠﺔ وﺗﺸﻔﯿﺮ ﻟﻠﺒﯿﺎﻧﺎت اﻟﻤﺘﺒﺎدﻟﺔ‬
‫ﻋﺒﺮ اﻟﺸﺒﻜﺔ اﻟﻼﺳﻠﻜﯿﺔ اﻟﻤﺤﻠﯿﺔ‪ .‬ان ﻟﻠﺸﺒﻜﺔ اﻟﻼﺳﻠﻜﯿﺔ اﺧﻄﺎراً ﺗﮭﺪد اﻣﻨﮭﺎ ﻛﻐﯿﺮھﺎ ﻣﻦ اﻟﺸﺒﻜﺎت‪ ,‬ﺳﻮاء ﻛﺎﻧﺖ ھﺬه اﻟﻤﺨﺎﻃﺮ ﻣﺸﺘﺮﻛﺔ ﺑﯿﻦ اﻟﺸﺒﻜﺎت‬
‫اﻟﺴﻠﻜﯿﺔ و اﻟﻼﺳﻠﻜﯿﺔ ‪ ,‬او ﻛﺎﻧﺖ ﻣﺨﺎﻃﺮ ﻣﺨﺼﺼﺔ او ﻣﻮﺟﻮدة ﻓﻘﻂ ﻓﻲ اﻟﺸﺒﻜﺎت اﻟﻼﺳﻠﻜﯿﺔ وﻣﺎ ﺗﺤﺘﻮﯾﮫ ﻣﻦ ﻣﻌﺎﯾﯿﺮ و ﻏﯿﺮھﺎ‪.‬‬

‫ﻓﻲ ھﺬا اﻟﺪرس ﺳﻨﺤﺎول ﻗﺪر اﻻﻣﻜﺎن اﻟﺘﺮﻛﯿﺰ ﻋﻠﻰ ﺗﺄﻣﯿﻦ اﻟﺒﯿﺌﺔ اﻟﺸﺒﻜﯿﺔ اﻟﻼﺳﻠﻜﯿﺔ ﻣﻦ أﻏﻠﺐ اﻟﻤﺨﺎﻃﺮ اﻟﺘﻲ ﻗﺪ ﺗﮭﺪدھﺎ‪ ,‬ﻻ ﯾﻮﺟﺪ أﻣﻦ ‪ %100‬و ﻟﻜﻦ‬
‫ﻋﻠﯿﻨﺎ ﻗﺪر اﻻﻣﻜﺎن ان ﻧﻘﺘﺮب ﻣﻦ ھﺬه اﻟﻨﺴﺒﺔ ﺑﺘﻨﻔﯿﺬ ﺑﻌﺾ اﻻﻣﻮر اﻟﺘﻲ ﺳﺘﺴﺎﻋﺪ ﻋﻠﻰ ﺟﻌﻞ اﻟﺸﺒﻜﺔ آﻣﻨﺔ ﻗﺪر اﻻﻣﻜﺎن‪.‬‬

‫ﻣﻦ اﻟﻤﻌﺮوف ان ﻣﻦ أﺧﻄﺮ ﻣﺎ ﯾﮭﺪد اﻟﺸﺒﻜﺎت ھﺬه اﻻﯾﺎم ھﻲ ھﺠﻤﺎت ﺣﺠﺐ اﻟﺨﺪﻣﺔ اﻟﺘﻲ ﻗﺪ ﺗﺘﻌﺮض ﻟﮭﺎ و ﻓﻲ ﻛﺜﯿﺮ ﻣﻦ اﻻﺣﯿﺎن ﯾﺼﻌﺐ ﺗﻔﺎدﯾﮭﺎ ان‬
‫ﺗﻤﺖ ﺑﺼﻮرة دﻗﯿﻘﺔ و ﻣﺮﻛﺰة‪ .‬ان ﻣﻨﻔﺬي ھﺠﻤﺎت ﺣﺠﺐ اﻟﺨﺪﻣﺔ اﻟﻤﻮزﻋﺔ ‪ DDoS‬او ‪ Distributed Denial of Service‬ﯾﺤﺘﺎﺟﻮن اﻟﻰ ﻋﺪد‬
‫ﻛﺒﯿﺮ ﻣﻦ اﻻﺟﮭﺰة ﻟﻜﻲ ﯾﻨﻔﺬوا ھﺠﻤﺎﺗﮭﻢ‪ ,‬ﻓﺘﺮاھﻢ ﯾﺒﺮﻣﺠﻮن ﺑﺮﻣﺠﯿﺎت ﺗﻌﻤﻞ ﻋﻠﻰ اﺗﻤﺘﺔ اﻟﮭﺠﻮم و اﻻﺳﺘﯿﻼء ﻋﻠﻰ اﺟﮭﺰة اﻟﺤﺎﺳﺐ و ﻣﻦ ﺛﻢ اﻻﻧﺘﻘﺎل اﻟﻰ‬
‫اﻻﺟﮭﺰة اﻟﻤﺠﺎورة و ﻏﯿﺮھﺎ ﺑﺼﻮرة ﺗﻠﻘﺎﺋﯿﺔ ﺳﺮﯾﻌﺔ ‪,‬و اذا ﻛﺎن ﺟﮭﺎز اﻟﺤﺎﺳﺐ ﻏﯿﺮ ﻣﺤﻤﻲ ﺑﺼﻮرة ﻛﺎﻓﯿﺔ ﻓﺎﻧﮫ ﺳﯿﻘﻊ ﺿﻤﻦ ﻗﺎﺋﻤﺔ اﻻﺟﮭﺰة اﻟﺘﻲ ﺗﻨﺘﻈﺮ‬
‫‪-9-‬‬
 ‫اﻻواﻣﺮ ﻣﻦ اﻟﻤﮭﺎﺟﻤﯿﻦ ﻟﺘﻨﻔﺬ اﻟﮭﺠﻮم‪ .‬ﻓﻲ اﻟﻌﺎدة ﻓﺎن اﻻﺟﮭﺰة اﻟﻤﺼﺎﺑﺔ ﻻ ﯾﺘﻢ ﺣﺬف اﻟﻤﻠﻔﺎت ﻣﻨﮭﺎ‪ ,‬ﻟﻜﻦ ﯾﺘﻢ اﺳﺘﻌﻤﺎﻟﮭﺎ ﺟﻤﯿﻌﺎً ﻓﻲ وﻗﺖ واﺣﺪ ﻓﻲ‬
‫اﻟﮭﺠﻮم ﻋﻠﻰ ﺷﺒﻜﺔ ﻣﻌﯿﻨﺔ او ﻣﻮﻗﻊ ﻣﻌﯿﻦ و ﺗﻠﻚ اﻻﺟﮭﺰة ﺗﺴﻤﻰ ﺑﺎل‪zombies.‬‬

‫ﻣﻦ أﻛﺜﺮ اﻟﺠﮭﺎت اﻟﺘﻲ ﯾﻨﺼﺐ اھﺘﻤﺎم اﻟﻤﮭﺎﺟﻤﯿﻦ ﻋﻠﻰ اﻻﺳﺘﯿﻼء ﻋﻠﻰ اﺟﮭﺰﺗﮭﺎ ‪ ,‬ھﻲ اﻟﺸﺮﻛﺎت اﻟﻜﺒﯿﺮة و اﻟﺠﺎﻣﻌﺎت و اﻟﻜﻠﯿﺎت اﻟﺘﻲ ﺗﺤﻤﻞ ﻋﺪد ﻛﺒﯿﺮ‬
‫ﻣﻦ اﺟﮭﺰة اﻟﺤﺎﺳﺐ اﻟﻤﺘﺼﻠﺔ ﺑﺎﻻﻧﺘﺮﻧﺖ ﺑﺸﻜﻞ ﻣﺘﻮاﺻﻞ و ان ﻟﻢ ﯾﺘﺨﺬ اﻟﻤﺴﺆوﻟﯿﻦ ﻋﻦ ھﺬه اﻟﺸﺒﻜﺎت اﻟﺤﺬر ﻣﻦ اﻣﻮر ﻋﺪﯾﺪة‪ ,‬ﻓﺎن ﻧﺴﺒﺔ ﺗﻌﺮض اﺟﮭﺰة‬
‫ﺷﺒﻜﺘﮭﻢ ﻟﻼﺷﺘﺮاك ﻓﻲ ھﺠﻮم اﻣﺮ وارد‪.‬‬

‫و ﺑﻤﺎ ان اﻏﻠﺐ اﻟﺸﺮﻛﺎت و اﻟﺠﺎﻣﻌﺎت ﺑﺪأت ﺑﺎﻟﺘﻮﺟﮫ اﻟﻰ اﺳﺘﻌﻤﺎل اﻟﺸﺒﻜﺎت اﻟﻼﺳﻠﻜﯿﺔ‪ ,‬ﻓﺎن ﻧﺴﺒﺔ اﻟﺨﻄﺮ ﻓﻲ ﺿﻠﻮع اﺟﮭﺰﺗﮭﺎ ﺑﻄﺒﯿﻌﺔ اﻟﺤﺎل ﺗﺮﺗﻔﻊ‬
‫ﻻﺳﺒﺎب ﻋﺪﯾﺪة اوﻟﮭﺎ ان اﻻﺟﮭﺰة ﻟﻦ ﺗﻜﻮن ﻓﻲ اﻟﻌﺎدة ﻣﻮﺟﻮدة ﻓﻲ ﻣﻜﺎن ﺛﺎﺑﺖ‪ ,‬ﺑﻞ ﺗﺘﺤﺮك و رﺑﻤﺎ ﺗﺨﺮج ﻣﻦ ﻣﺒﻨﻰ اﻟﺒﻨﻚ ﻧﻔﺴﮭﺎ! ﻟﺬا وﺟﺐ اﻟﺤﺬر ﻣﻦ‬
‫اﺗﺨﺎذ ﻛﺎﻓﺔ اﻟﻮﺳﺎﺋﻞ اﻟﻤﻤﻜﻨﺔ ﻣﻦ ﺟﻌﻞ اﻟﺸﺒﻜﺔ اﻟﻼﺳﻠﻜﯿﺔ آﻣﻨﺔ ﻗﺪر اﻟﻤﺴﺘﻄﺎع‪.‬‬

‫ان اﻻﺟﮭﺰة اﻟﻤﺤﻤﻮﻟﺔ اﻟﺘﻲ ﺗﻤﻠﻚ ﻛﺮت ﺷﺒﻜﺔ ﻻﺳﻠﻜﻲ ﻣﻮﺻﻞ ﺑﻤﻘﻮي ﻟﻼرﺳﺎل‪ ,‬ﺑﺎﻣﻜﺎﻧﮭﺎ ان ﺗﺸﺎرك ﻓﻲ ﻧﻘﻞ اﻟﻤﻠﻔﺎت و اﻟﺘﻌﺎﻣﻞ ﻛﻤﺎ ﻟﻮ ﻛﺎﻧﺖ ﻓﻲ ﻣﺒﻨﻰ‬
‫اﻟﺠﺎﻣﻌﺔ او اﻟﺒﻨﻚ او اﻟﻜﻠﯿﺔ و ﻓﻲ اﻟﺤﻘﯿﻘﺔ ﻣﻦ اﻟﻤﻤﻜﻦ ان ﺗﺒﻌﺪ ﻛﯿﻠﻮﻣﺘﺮات ﻋﻨﮭﺎ! و اذا ﻛﺎﻧﺖ ﻧﻘﺎط اﻻﺗﺼﺎل اﻟﻤﻮﺟﻮدة ﻓﻲ اﻟﺒﻨﻚ او اﻟﺠﺎﻣﻌﺔ ﻟﻢ ﯾﺘﻢ‬
‫ﺗﻀﺒﯿﻂ اﻋﺪاداﺗﮭﺎ ﺑﻄﺮﯾﻘﺔ ﺳﻠﯿﻤﺔ‪,‬و ﻟﻢ ﯾﺘﻢ ﺗﻌﺪﯾﻞ اﻻﻋﺪادات اﻻﻓﺘﺮاﺿﯿﺔ اﻟﻤﻌﺮوﻓﺔ ﻟﺪى ﻛﻞ ﺑﺎﺣﺚ‪ ,‬ﻓﺎن اي ﺷﺨﺺ ﻋﻠﻰ ﺑﻌﺪ أﻣﯿﺎل )ﺑﺎﺳﺘﺨﺪام ﻣﻘﻮي‬
‫ﻟﻼرﺳﺎل(ﯾﺴﺘﻄﯿﻊ اﻟﺪﺧﻮل ﺑﻜﻞ ﺳﮭﻮﻟﺔ ﻋﻠﻰ اﻟﺸﺒﻜﺔ‪.‬‬

‫ان أﻏﻠﺐ اﻻﻣﻮر اﻟﺘﻲ ﻣﻦ اﻟﻤﻤﻜﻦ ان ﯾﺘﻢ اﺳﺘﻐﻼﻟﮭﺎ ھﻲ اﻻﻋﺪادات اﻻﻓﺘﺮاﺿﯿﺔ ﻟﻨﻘﺎط اﻻﺗﺼﺎل ‪ Access Points,‬و ﻓﻲ ﻣﺎ ﯾﻠﻲ ﺑﻌﺾ اﻻﻣﻮر اﻟﺘﻲ‬
‫ﺳﺘﺴﺎﻋﺪ ﻓﻲ ﺗﻘﻠﯿﻞ ﻣﺨﺎﻃﺮ اﻻﻋﺪادات اﻻﻓﺘﺮاﺿﯿﺔ‪:‬‬

‫ﻣﻌّﺮف اﻟﺨﺪﻣﺔ او ال‪SSID‬‬

‫ال ‪ SSID‬او ال ‪Service Set Identifier‬ﺗﻌﻨﻲ ﻣﻌّﺮف اﻟﺨﺪﻣﺔ‪ .‬ان ﻛﻞ ﻧﻘﻄﺔ اﺗﺼﺎل ﺗﻤﻠﻚ ﻣﻌﺮّف ﯾﻜﻮن ﻋﺒﺎرة ﻋﻦ ﻛﻠﻤﺔ او رﻗﻢ او ﺧﻠﯿﻂ ﺑﯿﻦ‬
‫ﺣﺮوف وارﻗﺎم‪ .‬ﯾﻘﻮم ھﺬا اﻟﻤﻌﺮف ﺑﺎﻟﺘﻌﺮﯾﻒ ﻋﻦ ﻧﻘﻄﺔ اﻻﺗﺼﺎل و ﻟﻨﻔﺮض ان ﻧﻘﻄﺔ اﺗﺼﺎل ﻣﻌﯿﻨﺔ ﺗﻤﻠﻚ ‪ SSID‬ﻣﻌﯿﻦ ﻋﻠﻰ ﺳﺒﯿﻞ اﻟﻤﺜﺎل ھﻮ =‬
‫اﻟﻤﻮﺳﻮﻋﺔ‪ .‬ان اي ﺷﺨﺺ ﻣﻮﺟﻮد ﻓﻲ ﻣﺪى اﻟﺘﻐﻄﯿﺔ اﻟﺘﻲ ﺗﻐﻄﯿﮭﺎ ﻧﻘﻄﺔ اﻻﺗﺼﺎل ) اﻟﻤﺪى ﯾﻌﺘﻤﺪ ﻋﻠﻰ اﻣﻮر ﻋﺪﯾﺪة ﻗﺪ ﺗﺼﻞ اﻟﻰ ﻛﯿﻠﻮ ﻣﺘﺮات‪ ,‬ﺳﻮاء‬
‫ﻛﺎن ﻓﻲ ﻧﻔﺲ اﻟﺒﯿﺖ او اﻟﻤﺒﻨﻰ او ﻛﺎن ﻓﻲ اﻟﺸﺎرع اﻟﻤﺠﺎور ﻟﻠﺒﯿﺖ( ﯾﺴﺘﻄﯿﻊ ان ﯾﺪﺧﻞ اﻟﻰ اﻟﺸﺒﻜﺔ اﻟﺨﺎﺻﺔ ﺑﻨﻘﻄﺔ اﻻﺗﺼﺎل ذات اﻟﻤﻌﺮف (‬
‫اﻟﻤﻮﺳﻮﻋﺔ( اذا ﻋﺮف ان ﻛﻠﻤﺔ )اﻟﻤﻮﺳﻮﻋﺔ( ھﻲ ال ‪SSID‬اﻟﺨﺎص ﺑﮭﺎ‪ .‬أﻏﻠﺐ ﻧﻘﺎط اﻻﺗﺼﺎل ﺗﺤﻤﻞ اﻋﺪادات اﻓﺘﺮاﺿﯿﺔ و ﯾﻜﻮن اﻟﻤﻌﺮف ﻟﮭﺎ‬
‫ﻣﻌﺮوﻓﺎً و ﻓﻲ اﻟﻐﺎﻟﺐ ﯾﻜﻮن ﻛﻠﻤﺔ ‪ (default).‬اذا ﻟﻢ ﯾﺘﻢ ﺗﻐﯿﯿﺮ ھﺬا اﻟﻤﻌﺮف اﻟﻰ اي ﺷﻲ آﺧﺮ‪ ,‬ﻓﺎن اي ﺷﺨﺺ ﯾﻘﻊ ﻓﻲ ﺿﻤﻦ ﻣﺪى ﻧﻘﻄﺔ اﻻﺗﺼﺎل‬
‫ﯾﺴﺘﻄﯿﻊ اﻟﺪﺧﻮل ﻟﻠﺸﺒﻜﺔ اﻟﺨﺎﺻﺔ ﺑﮭﺎ ﺑﺪون ﻋﻮاﺋﻖ!‬

‫ﻣﻦ اﻻﻣﻮر اﻟﻤﻮﺟﻮدة ﻓﻲ اﻻﻋﺪادات اﻻﻓﺘﺮاﺿﯿﺔ اﻟﺨﺎﺻﺔ ﺑﺎل ‪SSID‬ھﻮ ال ‪SSID Broadcasting.‬ﺗﻘﻮم ﻧﻘﺎط اﻻﺗﺼﺎل ﺑﺎﻟﺘﻌﺮﯾﻒ ﻋﻦ ﻧﻔﺴﮭﺎ‬
‫ﺑﺸﻜﻞ ﻣﺴﺘﻤﺮ ﻋﻠﻰ ﻣﺪى اﻟﺘﻐﻄﯿﺔ اﻟﺘﻲ ﺗﻐﻄﯿﮫ‪ ,‬ﻓﺘﻘﻮم ﺑﺼﻮرة ﻣﺴﺘﻤﺮة ﺑﺎرﺳﺎل اﺷﺎرات ﺗﻘﻮم ﺑﺎﻟﺘﻌﺮﯾﻒ ﻋﻦ ﻧﻔﺴﮭﺎ و ﺑﻤﻌﺮّﻓﮭﺎ اﻟﺨﺎص‪ .‬ﺑﮭﺬه اﻟﻄﺮﯾﻘﺔ‬
‫ﯾﻤﻜﻦ ﻻي ﺷﺨﺺ ﯾﻤﻠﻚ ﺟﮭﺎز ﺧﺎص‪ ,‬او ﻛﻤﺒﯿﻮﺗﺮ ﻣﺤﻤﻮل ﺑﮫ ﻛﺮت ﺷﺒﻜﺔ ﻻﺳﻠﻜﯿﺔ ان ﯾﺘﺠﮫ اﻟﻰ اﻟﻤﻨﻄﻘﺔ اﻟﺘﻲ ﺗﻐﻄﯿﮭﺎ ﻧﻘﻄﺔ اﻻﺗﺼﺎل ﻓﯿﺤﺼﻞ ﺑﺸﻜﻞ‬
‫ﺗﻠﻘﺎﺋﻲ ﻋﻠﻰ اﻻﺷﺎرة ﻣﻊ رﻗﻢ اﻟﻤﻌﺮف‪ ,‬ﻓﯿﻌﺮف اﻧﮫ اﻻن ﯾﻤﻜﻨﮫ اﻻﺗﺼﺎل ﺑﺸﻜﺒﺔ ﻧﻘﻄﺔ اﻻﺗﺼﺎل )اﻟﻤﻮﺳﻮﻋﺔ( ﻣﻦ ﻣﻮﻗﻌﮫ‪ .‬ﯾﺠﺐ ﺗﻌﻄﯿﻞ ھﺬه اﻟﺨﺎﺻﯿﺔ‬
‫اﻟﺘﻲ ﺗﺄﺗﻲ ﺑﺼﻮرة اﻓﺘﺮاﺿﯿﺔ ﻓﻲ اﻟﻌﺎدة ﺣﺘﻰ ﻻ ﯾﺘﻤﻜﻦ ﺿﻌﺎف اﻟﻨﻔﻮس ﻣﻦ اﻟﺬﯾﻦ ﯾﻤﻠﻜﻮن اﺟﮭﺰة ﻣﺤﻤﻮﻟﺔ ذات ﻛﺮوت ﺷﺒﻜﺔ ﻻﺳﻠﻜﯿﺔ ﻣﻦ اﻻﻗﺘﺮاب و‬
‫ﻣﻌﺮﻓﺔ اﻻﻣﺎﻛﻦ )اﻟﻘﺮﯾﺒﺔ( ﻣﻦ اﻟﻤﻨﺰل او اﻟﻤﺒﻨﻰ و اﻟﺘﻲ ﻣﻦ ﺧﻼﻟﮭﺎ ﯾﺴﺘﻄﯿﻌﻮن اﻟﺪﺧﻮل ﻋﻠﻰ اﻟﺸﺒﻜﺔ اﻟﻼﺳﻠﻜﯿﺔ‪ .‬ﯾﻔﻀﻞ ﻗﺪر اﻻﻣﻜﺎن ﺗﻐﯿﯿﺮ اﻟﻤﻌّﺮف‬
‫ﺑﺼﻮرة ﻣﺴﺘﻤﺮة ﺑﯿﻦ ﺣﯿﻦ و آﺧﺮ‪ ,‬ﺣﺘﻰ ان ﺣﺼﻞ اﺣﺪ اﻟﺬﯾﻦ ﯾﺤﺎوﻟﻮن اﺧﺘﺮاق اﻟﺸﺒﻜﺔ ﻋﻠﻰ اﻟﻤﻌﺮف اﻟﺨﺎص ﺑﻨﻘﻄﺔ اﻻﺗﺼﺎل ﻓﻲ وﻗﺖ ﻣﻌﯿﻦ ‪,‬ﻓﺎﻧﮫ‬
‫ﻋﻨﺪ ﺗﻐﯿﯿﺮه ﺑﺼﻮرة ﻣﺴﺘﻤﺮة ﺳﺘﺼﻌﺐ ﻣﮭﻤﺘﮫ اﻛﺜﺮ‪.‬‬

‫ﻣﻦ اﻟﻤﻤﻜﻦ اﯾﻀﺎ ﺗﻘﻠﯿﻞ ﻧﺴﺒﺔ اﻻرﺳﺎل ﻟﺪة ﻧﻘﻄﺔ اﻻﺗﺼﺎل ﺑﺤﯿﺚ ان ﯾﻜﻮن ﻣﺪاھﺎ ﻗﺪر اﻻﻣﻜﺎن ﻋﻠﻰ اﻟﻤﺤﺪود اﻟﻤﻄﻠﻮﺑﺔ و اﻟﻤﺴﻤﻮح ﺑﮭﺎ ﻻ ان ﺗﺘﺨﻄﻰ‬
‫ھﺬه اﻟﺤﺪود و ﺗﻐﻄﻲ ﻣﺴﺎﺣﺎت ﺧﺎرج ﻧﻄﺎق اﻟﻤﻨﺰل او اﻟﺒﻨﻚ و اﻟﺘﻲ ﻗﺪ ﯾﺴﺘﻐﻠﮭﺎ اﻟﺒﻌﺾ ﻓﻲ اﻟﺪﺧﻮل ﻟﻠﺸﺒﻜﺔ اﻟﺨﺎﺻﺔ‪.‬‬

‫ﻧﺴﺘﻄﯿﻊ ﺗﻤﺜﯿﻞ ﻣﺴﺄﻟﺔ ﺧﺮوج ﻣﺪى اﻟﺘﻐﻄﯿﺔ ﻋﻦ ﺣﺪود اﻟﺒﻨﻚ او اﻟﻤﻨﺰل اﻟﻰ ﻣﺴﺎﻓﺎت ﻻ داﻋﻲ ﻟﮭﺎ‪ ,‬ﻛﻮﺻﻮل اﻟﻤﺪى اﻟﻰ اﻟﺸﺎرع اﻟﻤﺠﺎور ‪ ,‬ﺑﺘﻮزﯾﻊ‬
‫اﺳﻼك و ﻛﯿﺒﻼت ﺧﺎﺻﺔ ﺑﺎﻟﺸﺒﻜﺔ اﻟﺪاﺧﻠﯿﺔ‪ ,‬ﻣﺎﻋﻠﻰ اﻟﻨﺎس اﻻ ان ﯾﺤﻀﺮوا اﺟﮭﺰﺗﮭﻢ و ﯾﻮﺻﻠﻮن ﻛﺮوت اﻟﺸﺒﻜﺔ ﺑﺎﻟﻜﯿﺒﻼت و اﻻﺳﻼك و ﯾﺪﺧﻠﻮن ﻋﻠﻰ‬
‫اﻟﺸﺒﻜﺔ اﻟﺪاﺧﻠﯿﺔ وھﻢ ﺟﺎﻟﺴﻮن ﻓﻲ اﻟﺸﺎرع اﻟﻤﺠﺎور!‬

‫ﻓﻠﺘﺮة ال‪MAC Address‬‬

‫ال ‪MAC Address‬او ال ‪ Media Access Control Address‬ھﻮ اﻟﻌﻨﻮان اﻟﻔﯿﺰﯾﺎﺋﻲ ﻟﻜﺮوت اﻟﺸﺒﻜﺔ‪ .‬ﻛﻞ ﻛﺮت ﺷﺒﻜﺔ ﻓﻲ اﻟﻌﺎﻟﻢ ﯾﺤﻤﻞ رﻗﻢ‬
‫ﯾﻤﯿﺰه ﻋﻦ ﻏﯿﺮه‪ ,‬ﺗﻘﻮم اﻟﺸﺮﻛﺎت اﻟﻤﻨﺘﺠﺔ ﺑﻮﺿﻊ ارﻗﺎم ﺧﺎﺻﺔ ﻋﻠﻰ اﺳﺎس ﻧﻈﺎم اﻟﮭﻜﺲ ﻟﺘﻤﯿﺰ ﻛﺮوت اﻟﺸﺒﻜﺔ ﻋﻦ ﺑﻌﻀﮭﺎ و ﻣﻦ اﻟﻤﻔﺘﺮض ان ﻻ‬
‫ﺗﻜﻮن ھﺬه اﻻرﻗﺎم ﻣﻜﺮرة اﺑﺪاً ‪.‬ﺑﻄﺒﯿﻌﺔ اﻟﺤﺎل ﻧﻘﻄﺔ اﻻﺗﺼﺎل ﺗﻌﺘﺒﺮ ﻣﻦ اﻟﻄﺒﻘﺔ اﻟﺜﺎﻧﯿﺔ ﻓﻲ ال ‪OSI Model‬او ال ‪Open System‬‬
‫‪- 10 -‬‬
 ‫‪Interconnect‬ﯾﻌﻨﻲ ﻓﻲ ﻃﺒﻘﺔ ال ‪Data Link‬ﻛﺎﻟﺴﻮﯾﺘﺸﺎت ﻓﺎن ﺗﻌﺎﻣﻠﮭﺎ ﯾﻜﻮن ﻣﻊ ال ‪MAC Address‬وﻟﯿﺲ ﻣﻊ ال ‪IP Address.‬و ھﻨﺎ‬
‫ﯾﺴﺘﻄﯿﻊ اﻟﻤﺴﺆول ﻋﻦ اﻟﺸﺒﻜﺔ اﻟﻼﺳﻠﻜﯿﺔ ان ﯾﺤﺪد اﻻﺟﮭﺰة اﻟﺘﻲ ﯾﺴﻤﺢ ﻟﮭﺎ ﺑﺎﺳﺘﺨﺪام ﻧﻘﻄﺔ اﻻﺗﺼﺎل اﻟﺨﺎﺻﺔ ﺑﮫ ‪.‬‬

‫ﻛﻤﺎ ﻧﻌﺮف ﻓﺎن ﻛﻞ ﺟﮭﺎز ﺣﺘﻰ ﯾﺘﺼﻞ ﺑﺎﻟﺸﺒﻜﺔ اﻟﻼﺳﻠﻜﯿﺔ ﯾﺠﺐ ان ﯾﺤﺘﻮي ﻋﻠﻰ ﻛﺮت ﺷﺒﻜﺔ ﻻﺳﻠﻜﯿﺔ‪ ,‬و ﻛﻞ ﻛﺮت ﺷﺒﻜﺔ ﻻﺳﻠﻜﯿﺔ ﺗﻤﻠﻚ رﻗﻢ ﺧﺎص‬
‫ﻣﻤﯿﺰ وھﻮ ال ‪MAC Address‬و ﻣﻦ اﻟﻤﻔﺘﺮض ان اﻟﻤﺴﺆول ﻋﻦ اﻟﺸﺒﻜﺔ ﯾﻌﻲ و ﯾﻌﻠﻢ ﻋﺪد اﻻﺟﮭﺰة اﻟﻤﻮﺟﻮدة ﻟﺪﯾﮫ او ﻟﺪى ﺷﺮﻛﺘﮫ و اﻟﺘﻲ ﯾﺮﯾﺪھﺎ‬
‫ان ﺗﺴﺘﺨﺪم ﺷﺒﻜﺘﮫ اﻟﻼﺳﻠﻜﯿﺔ‪ .‬ﻋﻨﺪھﺎ ﯾﺴﺘﻄﯿﻊ ﻓﻠﺘﺮة اﺳﺘﺨﺪام ﻧﻘﻂ اﻻﺗﺼﺎل ﻟﺪﯾﮫ و ﯾﺤﺪد اﻻﺟﮭﺰة ﺑﻮاﺳﻄﺔ اﺿﺎﻓﺔ ارﻗﺎم ال ‪MAC‬اﻟﺨﺎﺻﺔ ﺑﮭﺬه‬
‫اﻻﺟﮭﺰة ﻓﻲ ﻗﺎﺋﻤﺔ اﻻﺟﮭﺰة اﻟﻤﺴﻤﻮح ﻟﮭﺎ ﺑﺎﺳﺘﺨﺪام اﻟﺸﺒﻜﺔ او اﺳﺘﺨﺪام ﻧﻘﻂ اﻻﺗﺼﺎل و ﻻ ﯾﺴﻤﺢ ﺑﻐﯿﺮ ھﺬه اﻻﺟﮭﺰة ﻣﮭﻤﺎ ﻛﺎﻧﺖ ﺑﺎﺳﺘﺨﺪام ﻧﻘﺎط‬
‫اﻻﺗﺼﺎل اﻟﺨﺎﺻﺔ ﺑﺸﻜﺒﺘﮫ‪.‬‬

‫ﺗﺸﻔﯿﺮ اﻟﺒﯿﺎﻧﺎت ﺑﺎﺳﺘﺨﺪام ال‪WEP‬‬

‫أﻏﻠﺐ ﻧﻘﻂ اﻻﺗﺼﺎل ﺗﻤﻠﻚ اﻣﻜﺎﻧﯿﺔ اﻟﺘﻌﺎﻣﻞ ﻣﻊ اﻟﺒﯿﺎﻧﺎت اﻟﻤﺸﻔﺮة‪ .‬ﺑﺎﺳﺘﺨﺪام ﺗﻘﻨﯿﺔ ال ‪WEP‬او ‪ Wired *****alent Privacy‬ﻓﺎﻧﮫ و ﺗﻔﻌﯿﻠﮭﺎ ﻓﻲ‬
‫ﻧﻘﻄﺔ اﻻﺗﺼﺎل‪ ,‬ﯾﻤﻜﻦ ﺗﺸﻔﯿﺮ اﺳﺘﻼم و ﺗﻤﺮﯾﺮ اﻟﺒﯿﺎﻧﺎت اﻟﻤﺸﻔﺮة ﻓﻘﻂ‪ .‬ﻟﺬا ﯾﺠﺐ ﻋﻠﻰ ﻛﻞ ﻣﺴﺘﺨﺪم ﯾﺮﯾﺪ اﺳﺘﺨﺪام اﻟﺸﺒﻜﺔ اﻟﻼﺳﻠﻜﯿﺔ ان ﯾﻔﻌﻞ ﺧﺎﺻﯿﺔ‬
‫ال ‪WEP‬اي اﻟﺘﺸﻔﯿﺮ ﻓﻲ ﺟﮭﺎزه‪ ,‬ﻛﻲ ﯾﺘﻢ ﺗﺒﺎدل اﻟﺒﯿﺎﻧﺎت ﺑﺼﻮرة ﻣﺸﻔﺮة ﺗﺼﻌﺐ ﻓﻲ ﻣﻌﻈﻢ اﻻﺣﯿﺎن ﻣﻌﺮﻓﺔ ﻣﺤﺘﻮاھﺎ ان ﺗﻢ ﻧﺴﺦ ھﺬه اﻟﺒﯿﺎﻧﺎت اﺛﻨﺎء‬
‫ﻣﺮورھﺎ ﺑﯿﻦ اﻻﺟﮭﺰة‪.‬‬

‫و ﻛﺨﻂ دﻓﺎع ﺛﺎﻧﻲ‪ ,‬ﻋﻨﺪ اﺳﺘﺨﺪام ﻣﯿﺰة اﻟﺘﺸﻔﯿﺮ‪ ,‬ﯾﺠﺐ ﺗﺒﺎدل ﻣﻔﺘﺎح اﻟﺘﺸﻔﯿﺮ اﻟﻤﺴﻤﻰ ب ‪ WEP Key‬ﻓﮭﻮ ﻋﺒﺎرة ﻋﻦ ارﻗﺎم ﻋﻠﻰ اﺳﺎس ‪ Hex‬ﺗﺤﺪد‬
‫درﺟﺔ اﻟﺘﺸﻔﯿﺮ ‪ ,‬و ﻛﻠﻤﺎ زاد ﺣﺠﻢ اﻟﺮﻗﻢ زادت ﺻﻌﻮﺑﺔ ﻛﺴﺮ اﻟﺘﺸﻔﯿﺮ و اﯾﻀﺎ زادت اﻟﻤﺪة اﻟﺘﻲ ﯾﺘﻢ ﻧﻘﻞ اﻟﺒﯿﺎﻧﺎت ﺑﻌﺪ ﺗﺸﻔﯿﺮھﺎ و اﺳﺘﻼﻣﮭﺎ و ﻣﻦ ﺛﻢ ﻓﻚ‬
‫ﺗﺸﻔﯿﺮھﺎ‪ .‬و ﯾﻌﺘﺒﺮ اﻟﻤﻔﺘﺎح ﺧﻂ دﻓﺎع ﺛﺎﻧﻲ ﻻﻧﮫ ﯾﺠﺐ ﻋﻠﻰ اﻻﻃﺮاف اﻟﻤﺴﺘﺨﺪﻣﺔ ﻟﻠﺸﺒﻜﺔ ﻣﻌﺮﻓﺔ ھﺬا اﻟﻤﻘﺘﺎح ﻛﻲ ﯾﺘﻢ ﺗﺸﻔﯿﺮ اﻟﺒﯿﺎﻧﺎت ﻋﻠﻰ اﺳﺎﺳﮫ‪ ,‬و‬
‫ﯾﻔﻀﻞ ﺗﻐﯿﯿﺮه ﺑﯿﻦ ﻓﺘﺮة و اﺧﺮى ﺣﺘﻰ ان وﻗﻊ ﻓﻲ ﯾﺪ اﺣﺪ اﻟﻤﺘﻄﻔﻠﯿﻦ ﻓﺎﻧﮫ ﻟﻦ ﯾﺴﺘﺨﺪﻣﮫ ﻟﻔﺘﺮة ﻃﻮﯾﻠﺔ‪.‬‬

‫اﻟﻜﻠﻤﺔ اﻟﺴﺮﯾﺔ اﻻﻓﺘﺮاﺿﯿﺔ ‪Default Password‬‬

‫ﺗﺄﺗﻲ ﻧﻘﻂ اﻻﺗﺼﺎل ﻣﻦ اﻟﺸﺮﻛﺎت اﻟﻤﻨﺘﺠﺔ ﻟﮭﺎ ﺑﻜﻠﻤﺔ ﺳﺮﯾﺔ ﻣﻌﯿﻨﺔ ﻣﻮﺣﺪة و ﻣﻌﺮوﻓﺔ ‪,‬ﯾﺠﺪھﺎ اﻟﻤﺴﺘﺨﺪم ﻓﻲ اﻟﺪﻟﯿﻞ اﻟﺨﺎص ﺑﺎل ‪ Access Point,‬و ﻓﻲ‬
‫ﺑﻌﺾ اﻻﺣﯿﺎن ﺗﻜﻮن اﻟﻜﻠﻤﺔ اﻟﺴﺮﯾﺔ ﺧﺎﻟﯿﺔ ‪ ,‬ﯾﻌﻨﻲ ان ﻋﻨﺪ ﺗﺴﺠﯿﻞ اﻟﺪﺧﻮل ﻟﻨﻘﻄﺔ اﻻﺗﺼﺎل ﻟﺘﻐﯿﯿﺮ اﻻﻋﺪادات‪ ,‬ﯾﻜﻮن اﺳﻢ اﻟﻤﺴﺘﺨﺪم ھﻮ ﻣﺜﻼ ‪admin‬‬
‫و اﻟﻜﻠﻤﺔ اﻟﺴﺮﯾﺔ ﻏﯿﺮ ﻣﻮﺟﻮدة! ﻣﻦ اﻟﻮاﺿﺢ اﻧﮫ ﯾﺠﺐ ﺗﻐﯿﯿﺮھﺎ اﻟﻰ ﻛﻠﻤﺔ ﺳﺮﯾﺔ ﺻﻌﺒﺔ ﻣﻜﻮﻧﺔ ﻣﻦ ارﻗﺎم و ﺣﺮوف ‪.‬ھﺬه ھﻲ اﻻﻋﺪادات اﻻﻓﺘﺮاﺿﯿﺔ‬
‫اﻟﺘﻲ وﺟﺪت ﻟﺘﺴﮭﻞ اﻟﻌﻤﻠﯿﺔ ﻋﻠﻰ اﻟﻤﺴﺘﺨﺪﻣﯿﻦ ﻟﻜﻦ ان ﺑﻘﯿﺖ ھﻜﺬا ﻓﺎﻧﮭﺎ ﻗﺪ ﺗﺆدي ﻟﻰ ﻣﺼﺎﺋﺐ ﻛﺒﯿﺮة‪ ,‬ﯾﻤﻜﻦ ﺗﻔﺎدﯾﮭﺎ ﺑﺴﮭﻮﻟﺔ ﺑﺎﺗﺒﺎع اﻟﺘﻌﻠﯿﻤﺎت و‬
‫اﻟﻨﺼﺎﺋﺢ‪.‬‬

‫ھﺬه ﺑﻌﺾ اﻻﻣﻮر اﻟﺘﻲ ﺳﺘﺴﺎﻋﺪ ﻓﻲ ﺗﻘﻮﯾﺔ أﻣﻦ اﻟﺸﺒﻜﺎت اﻟﻼﺳﻠﻜﯿﺔ‪ ,‬رﻏﻢ ان اﻟﺤﺪﯾﺚ ﻋﻦ أﻣﻦ اﻟﺸﺒﻜﺎت اﻣﺮ واﺳﻊ ﺟﺪاً و ﻻ ﯾﻤﻜﻦ ﺣﺼﺮه ﻓﻲ‬
‫دروس‪ ,‬اﻻ ان وﺿﻊ اﻟﻨﻘﺎط ﻋﻠﻰ اﻟﺤﺮوف اﻣﺮ ﻣﻄﻠﻮب ﻟﻤﻌﺮﻓﺔ أھﻢ اﻻﻣﻮر اﻟﺘﻲ ﯾﺠﺐ اﻟﺘﺮﻛﯿﺰ ﻋﻠﯿﮭﺎ ﻟﺘﻘﻠﯿﻞ اﻟﻤﺨﺎﻃﺮ اﻟﺘﻲ ﻗﺪ ﯾﻮاﺟﮭﮭﺎ اي ﻣﺴﺆول‬
‫ﻋﻦ اﻟﺸﺒﻜﺎت‪.‬‬
‫ﻟﻌﻞ ﻣﻦ أﺑﺮز ﻣﺎ اﻧﺘﺸﺮ ﻓﻲ اﻵوﻧﺔ اﻷﺧﯿﺮة ھﻮ اﺳﺘﺨﺪام اﻟﺸﺒﻜﺎت اﻟﻼﺳﻠﻜﯿﺔ‪ .‬وﻗﺪ اﻧﺘﺸﺮ اﺳﺘﺨﺪام ھﺬه اﻟﺘﻘﻨﯿﺔ اﻟﻼﺳﻠﻜﯿﺔ ﻋﻠﻰ أرض ﻣﺪﯾﻨﺔ اﻟﺮﯾﺎض‬
‫ﺑﺸﻜﻞ واﺿﺢ ﺟﺪا‪ .‬ﻓﺘﺠﺪ اﻟﻨﻘﺎط اﻟﺴﺎﺧﻨﺔ ﻓﻲ ﻣﻘﺎھﻲ اﻹﻧﺘﺮﻧﺖ‪ ،‬وأﯾﻀﺎ ﻣﻘﺎھﻲ اﻟﻘﮭﻮة‪ ،‬وﻓﻲ ﺑﻌﺾ اﻟﻤﻄﺎﻋﻢ اﻟﻔﺨﻤﺔ‪ .‬أﯾﻀﺎ ﺗﻮﺟﺪ ﺑﻌﺾ اﻟﺸﺮﻛﺎت اﻟﺘﻲ‬
‫ﻗﺎﻣﺖ ﺑﺘﺒﺪﯾﻞ ﺷﺒﻜﺎﺗﮭﺎ اﻟﺴﻠﻜﯿﺔ إﻟﻰ أﺧﺮى ﻻ ﺳﻠﻜﯿﺔ‪ .‬وﻗﺪ ﯾﻌﺘﻘﺪ اﻟﺒﻌﺾ أن اﻟﺪﺧﻮل إﻟﻰ ھﺬه اﻟﺸﺒﻜﺔ أﻣﻦ‪ .‬وﻗﺪ ﯾﻜﻮن ھﺬا اﻟﻜﻼم ﺳﻠﯿﻤﺎ‪ .‬وﻟﻜﻦ ھﻨﺎك‬
‫ﻣﺨﺘﺮﻗﺎً ﯾﻘﻒ ﺑﺎﻟﺠﻮار ﻣﻊ ﺟﮭﺎز ﻗﺎدر ﻋﻠﻰ اﻻﺗﺼﺎل ﺑﺎﻟﺸﺒﻜﺔ اﻟﻼﺳﻠﻜﯿﺔ‪ .‬ﻓﮭﻞ ﺗﺴﺘﻄﯿﻊ ﻣﻨﻌﮫ أو ﺗﺤﺪﯾﺪ ﻣﻮﻗﻌﮫ‪ .‬ﻟﺬﻟﻚ ﺗﻘﻮم اﻹﻧﺘﺮﻧﺖ واﻻﺗﺼﺎﻻت‬
‫ﺑﻤﻨﺤﻜﻢ ﺑﻌﺾ اﻟﻨﺼﺎﺋﺢ ﻷﺻﺤﺎب اﻟﺸﺒﻜﺎت اﻟﻼﺳﻠﻜﯿﺔ وﻣﻦ ﯾﺮﯾﺪ اﻟﺪﺧﻮل إﻟﻰ ﺷﺒﻜﺔ ﻻ ﺳﻠﻜﯿﺔ ﻟﻜﻲ ﻻ ﯾﺘﻌﺮض ﻟﺨﻄﺮ اﻻﺧﺘﺮاق وﻛﺴﺮ ﺣﺎﺟﺰ‬
‫اﻟﺨﺼﻮﺻﯿﺔ ‪.‬‬
‫٭ ﻗﻢ ﺑﺘﺜﺒﯿﺖ ﺑﺮﻧﺎﻣﺞ ﺟﺪار ﻧﺎري ﻋﻠﻰ ﺟﮭﺎزك اﻟﻤﺤﻤﻮل‪ .‬إذا ﻛﻨﺖ ﻣﻦ ﻣﺴﺘﺨﺪﻣﻲ وﯾﻨﺪوز إﻛﺲ ﺑﻲ ﻗﻢ ﺑﺎﻟﺪﺧﻮل إﻟﻰ ﻟﻮﺣﺔ اﻟﺘﺤﻜﻢ وﻣﻦ ﺛﻢ ﻗﻢ ﺑﺎﺧﺘﯿﺎر‬
‫ﻣﺮﻛﺰ اﻟﺤﻤﺎﯾﺔ‪ .‬اﻵن ﺗﺴﺘﻄﯿﻊ أن ﺗﻔﻌﻞ اﻟﺠﺪار اﻟﻨﺎري إذا ﻛﺎن ﻧﻈﺎم اﻟﺘﺸﻐﯿﻞ ﻟﺪﯾﻚ ﯾﻌﻤﻞ ﻋﻠﻰ اﻟﺤﺰﻣﺔ اﻟﺨﺪﻣﯿﺔ اﻟﺜﺎﻧﯿﺔ ﻣﻦ ﻣﺎﯾﻜﺮوﺳﻮﻓﺖ وھﻮ ﻣﺎ‬
‫ﯾﺴﻤﻰ ب ‪ SP2.‬أﻣﺎ إذا ﻟﻢ ﯾﻜﻦ ﻟﺪﯾﻚ اﻟﺤﺰﻣﺔ اﻟﺨﺪﻣﯿﺔ اﻟﺜﺎﻧﯿﺔ ﻗﻢ ﺑﺘﺤﻤﯿﻞ ﺑﺮﻧﺎﻣﺞ ﺟﺪار ﻧﺎري ﻣﻨﻔﺼﻞ ﻟﻜﻲ ﯾﺤﻤﻲ ﺟﮭﺎزك وﺧﺼﻮﺻﯿﺘﻚ ﻣﻦ‬
‫اﻟﻤﺨﺘﺮﻗﯿﻦ ‪.‬‬

‫٭ ﻋﻨﺪ اﺗﺼﺎﻟﻚ ﺑﻨﻘﻄﮫ ﺳﺎﺧﻨﺔ ﻣﺠﺎﻧﯿﺔ ﻓﺄﻧﺖ ﻗﻤﺖ ﺑﺘﻮﺻﯿﻞ ﺟﮭﺎزك إﻟﻰ ﻣﺨﺘﺮق ﻓﺄﺣﺮص أﻻ ﺗﻘﻢ ﺑﮭﺬه اﻟﻌﻤﻠﯿﺔ‪ .‬ﺗﻮﺟﺪ ﻧﻘﺎط ﺳﺎﺧﻨﺔ ﻣﺪﻓﻮﻋﺔ اﻷﺟﺮ ﺣﺎول‬
‫أن ﺗﺪﻓﻊ اﺷﺘﺮاﻛﺎً ﻟﻤﺮة واﺣﺪ وﺗﺴﺘﻄﯿﻊ اﺳﺘﺨﺪاﻣﮭﺎ ﻋﻠﻰ ﻣﺮ اﻟﺰﻣﻦ‪ .‬وﻟﻜﻦ اﻟﻨﻘﺎط اﻟﻤﺪﻓﻮﻋﺔ ﺗﺘﻢ ﻋﻤﻠﯿﮫ ﻣﺘﺎﺑﻌﺘﮭﺎ وﺣﻤﺎﯾﺘﮭﺎ وﺗﻐﯿﺮ ﺟﻤﯿﻊ ﻣﺴﺘﻠﺰﻣﺎت‬
‫اﻷﻣﺎن ﻟﮭﺎ ﻣﻊ اﻟﺘﺸﻔﯿﺮ‪ .‬وﯾﻨﻄﺒﻖ ھﺬا اﻟﺤﺎل ﻋﻨﺪ اﻟﺴﻔﺮ ﺧﺎرج اﻟﻤﻤﻠﻜﺔ ‪.‬ﻛﻤﺎ ھﻮ اﻟﺤﺎل ﻓﻲ اﻟﻤﻄﺎرات اﻟﺪوﻟﯿﺔ ‪.‬‬

‫٭ ﻗﻢ ﺑﺈﯾﻘﺎف ﺧﺎﺻﯿﺔ ﻣﺸﺎرﻛﺔ اﻟﻤﻠﻔﺎت ﻋﻠﻰ ﺟﮭﺎزك ﺣﯿﺚ ﺗﻤﻨﻊ ﺑﺬﻟﻚ وﺻﻮل أي ﺷﺨﺺ إﻟﻰ ﻣﻠﻔﺎﺗﻚ اﻟﺨﺎﺻﺔ أو ﺣﺘﻰ ﻓﺘﺢ ﻣﺠﺎل اﻟﻤﺸﺎرﻛﺔ ﻟﻌﻤﻞ ذﻟﻚ‬
‫ﻗﻢ ﺑﺈزاﻟﺔ ﺧﺎﺻﯿﺔ اﻟﻤﻠﻔﺎت ﻣﻦ ﺧﯿﺎرات اﻟﻤﺠﻠﺪات اﻟﻤﻮﺟﻮدة ﻓﻲ ﻗﺎﺋﻤﮫ أدوات ‪.‬‬

‫‪- 11 -‬‬
 ‫٭ إذا ﻗﻤﺖ ﺑﺎﻻﺗﺼﺎل ﻣﻊ اﻟﺸﺒﻜﺔ اﻟﻼﺳﻠﻜﯿﺔ اﻟﺨﺎﺻﺔ ﺑﺎﻟﺒﻨﻚ اﻟﺘﻲ ﺗﻌﻤﻞ ﻣﻌﮭﺎ ﺗﺄﻛﺪ ﻣﻦ أﻧﮭﻢ ﻗﺎﻣﻮا ﺑﺘﺮﻛﯿﺐ اﻟﺸﺒﻜﺔ اﻻﻓﺘﺮاﺿﯿﺔ اﻟﺨﺎﺻﺔ )‪ (VPN‬ﻓﻜﻞ‬
‫اﻻﺗﺼﺎﻻت ﻣﻦ وإﻟﻰ اﻟﺸﺒﻜﺔ ﺗﻜﻮن ﻣﺸﻔﺮة ﺑﺎﻟﻜﺎﻣﻞ‪ .‬وﺑﺬﻟﻚ ﻻ ﯾﺴﺘﻄﯿﻊ اﺣﺪ اﻟﻮﺻﻮل إﻟﻰ ﺟﮭﺎزك ‪.‬‬

‫٭ إذا ﻛﺎن ﻓﻲ ﺟﮭﺎزك ﻣﻠﻔﺎت ﺧﺎﺻﺔ وھﺎﻣﺔ ﻗﻢ ﺑﺈﺣﻜﺎم إﻏﻼﻗﮭﺎ ﺑﻜﻠﻤﺔ ﻣﺮور‪ .‬اﻟﻄﺮﯾﻘﺔ ﺳﮭﻠﮫ ﻗﻢ ﺑﻀﻐﻂ اﻟﻤﻠﻔﺎت اﻟﺘﻲ ﺗﺮﯾﺪ ﺣﻤﺎﯾﺘﮭﺎ وﻓﻲ اﻟﺨﯿﺎرات‬
‫ﺳﺘﺠﺪ ﺧﯿﺎراً ﺧﺎﺻﺎً ﺑﻮﺿﻊ ﻛﻠﻤﮫ ﻣﺮور ﻟﻠﻤﻠﻒ ﺣﺘﻰ وﻟﻮ ﺗﻢ اﺧﺬ اﻟﻤﻠﻒ ﻣﻦ ﺟﮭﺎزك ﻓﻠﻦ ﯾﺴﺘﻄﯿﻊ ﻓﺘﺤﺔ‪ .‬أﯾﻀﺎ ﯾﻮﺟﺪ ﺑﺮاﻣﺞ ﺗﻘﻮم ﺑﻮﺿﻊ ﻛﻠﻤﺎت ﻣﺮور‬
‫ﻋﻠﻰ اﻟﻤﻠﻔﺎت واﻟﻤﺠﻠﺪات وأﯾﻀﺎ اﻟﺒﺮاﻣﺞ‪ .‬ﻟﻠﺤﺪ ﻣﻦ اﺳﺘﺨﺪاﻣﮭﺎ ‪.‬‬

‫٭ ﻗﻢ ﺑﺈﻃﻔﺎء ﻛﺮت اﻟﺸﺒﻜﺔ اﻟﻼﺳﻠﻜﯿﺔ ﻋﻠﻰ ﺟﮭﺎزك اﻟﻤﺤﻤﻮل‪ .‬ﻓﻠﻢ ﯾﺘﻢ وﺿﻊ زر اﻟﺘﺸﻐﯿﻞ ﻋﻠﻰ ﺟﮭﺎز اﻟﻤﺤﻤﻮل ﻋﺒﺚ‪ .‬وﻟﻜﻦ ﺗﻢ وﺿﻌﺔ ﻟﻜﻲ ﺗﻘﻮم‬
‫ﺑﺈﻏﻼﻗﮫ ﺑﻌﺪ اﻻﻧﺘﮭﺎء ﻣﻦ اﻻﺳﺘﺨﺪام‪ .‬ھﺬا ﺳﯿﻮﻓﺮ ﻋﻠﯿﻚ أوﻻ اﻟﻄﺎﻗﺔ وﺳﯿﻤﻨﻊ اﻷﺷﺨﺎص اﻵﺧﺮﯾﻦ ﻣﻦ اﻟﺪﺧﻮل أو ﺣﺘﻰ اﻟﻮﺻﻮل إﻟﻰ ﺟﮭﺎزك‪ .‬إذا ﻛﻨﺖ‬
‫ﺗﻌﻤﻞ ﻋﻠﻰ ﻛﺮت ﺷﺒﻜﮫ ﻻ ﺳﻠﻜﯿﺔ ﻗﻢ ﺑﺈﺧﺮاج اﻟﻜﺮت ﻣﻦ اﻟﻤﺤﻤﻮل ‪.‬‬

‫٭ اﻧﺘﺒﮫ ﻣﻦ أن ﺗﻘﻮم ﺑﺄي ﻋﻤﻠﯿﺔ ﻣﺎﻟﯿﺔ ﻋﻠﻰ ﻧﻘﻄﮫ ﺳﺎﺧﻨﺔ أو ﻣﻦ ﻣﻘﮭﻰ اﻧﺘﺮﻧﺖ‪ .‬إﻟﻰ ﻓﻲ ﺣﺎﻟﮫ اذا ﻛﺎن اﻟﻤﻮﻗﻊ ﯾﺤﺘﻮي ﻋﻠﻰ ﺧﺪﻣﺔ اﻟﺘﺸﻔﯿﺮ ‪ SSL‬وھﻲ‬
‫ﻋﺒﺎرة ﻋﻦ اﻟﻘﻔﻞ اﻟﺼﻐﯿﺮ اﻟﺬي ﯾﻈﮭﺮ ﻓﻲ أﺳﻔﻞ اﻟﻤﺘﺼﻔﺢ ﻛﻤﺎ ﺳﻮف ﺗﺠﺪ أن ﻛﻠﻤﮫ ‪ http‬أﺻﺒﺤﺖ ‪ https‬وﺗﻌﻨﻲ اﻣﻦ ‪ secure.‬أي ﻣﻌﺎﻣﻠﺔ ﻣﺎﻟﯿﮫ ﻻ‬
‫ﺗﺤﺘﻮي ﺧﺪﻣﺔ اﻟﺘﺸﻔﯿﺮ ﺳﺘﺆدي إﻟﻰ ﻣﺨﺎﻃﺮه ﻛﺒﯿﺮه ﻟﻤﻌﻠﻮﻣﺎﺗﻚ اﻟﺸﺨﺼﯿﺔ اﻟﺨﺎﺻﺔ ﺑﺄﻣﻮرك اﻟﻤﺎﻟﯿﺔ ‪.‬‬

‫٭ ﻋﺪم وﺟﻮد أي ﺷﺨﺺ ﻓﻲ اﻟﻤﻘﮭﻰ ﻻ ﯾﻌﻨﻲ أن ﺗﻜﻮن اﻟﺸﺒﻜﺔ اﻣﻨﺔ ﻓﻤﻦ اﻟﻤﻤﻜﻦ إن ﯾﻜﻮن ھﻨﺎك ﺷﺨﺺ ﻗﺮﯾﺐ ﻓﻲ اﻟﺠﻮار إﻣﺎ ﻓﻲ اﻟﺸﻘﺔ اﻟﻌﻠﻮﯾﺔ أو‬
‫ﻓﻲ ﺳﯿﺎرﺗﮫ وﻋﺪم رؤﯾﺘﮫ ﻻ ﯾﻌﻨﻲ اﻧﮫ ﻻ ﯾﺴﺘﻄﯿﻊ اﻻﺗﺼﺎل ﻓﺒﻌﺾ ﺗﻠﻚ اﻟﺸﺒﻜﺎت اﻟﻼﺳﻠﻜﯿﺔ ﯾﺼﻞ ﻣﺪى اﻟﺘﻐﻄﯿﺔ ﻟﺪﯾﮭﺎ إﻟﻰ ‪ 300‬ﻣﺘﺮ ‪.‬‬

‫٭ ﻻ ﺗﻘﻮم ﺑﺎﻻﺗﺼﺎل ﺑﺸﺒﻜﺔ ﻻ ﺳﻠﻜﯿﺔ وﺟﮭﺎزك ﻻ ﯾﺤﺘﻮي ﻋﻠﻰ ﺑﺮﻧﺎﻣﺞ ﺣﻤﺎﯾﺔ ﻣﻦ اﻟﻔﯿﺮوﺳﺎت ﻓﺒﻤﺠﺮد أن ﺗﻘﻮم ﺑﺎﻻﺗﺼﺎل ﺑﺎﻟﺸﺒﻜﺔ اﻟﻼﺳﻠﻜﯿﺔ ﻓﮭﻨﺎك‬
‫اﺣﺘﻤﺎﻟﯿﺔ أن ﺗﺼﺎب إﻣﺎ ﺑﻔﯿﺮوس أو دودة اﻟﻜﺘﺮوﻧﯿﺔ ﺧﻼل ‪ 15‬ﺛﺎﻧﯿﺔ إذا ﻟﻢ ﯾﺤﺘﻮ ﺟﮭﺎزك ﻋﻠﻰ ﺑﺮﻧﺎﻣﺞ ﻣﻜﺎﻓﺤﺔ اﻟﻔﯿﺮوﺳﺎت ‪.‬‬

‫٭ ﻻ ﺗﺘﺠﺎھﻞ ﻋﻼﻣﺔ اﻟﺘﺤﺪﯾﺚ اﻟﺼﻔﺮاء اﻟﺘﻲ ﺗﻈﮭﺮ ﺑﺠﺎﻧﺐ اﻟﺴﺎﻋﺔ‪ .‬ﻓﮭﻲ ﻋﻼﻣﺔ ﻣﮭﻤﺔ ﻣﻦ ﻣﺎﯾﻜﺮوﺳﻮﻓﺖ ﻓﻘﺪ ﻗﺎﻣﺖ اﻟﻨﻈﺎم ﺑﺘﺤﻤﯿﻞ اﻟﺘﺤﺪﯾﺜﺎت وﺗﻨﺘﻈﺮ‬
‫ﻓﻘﻂ اﻟﺘﺤﻤﯿﻞ‪ .‬ﻓﻼ ﺗﻔﻮت اﻟﻔﺮﺻﺔ ﻋﻠﻰ ﻧﻔﺴﻚ وﺗﺨﺎﻃﺮ ﺑﻌﺪم ﺗﺜﺒﯿﺘﮭﺎ‪ .‬اﻟﺘﺤﺪﯾﺜﺎت اﻟﺘﻲ ﺗﻈﮭﺮ ﺑﺠﺎﻧﺐ اﻟﺴﺎﻋﺔ ھﻲ ﺗﺤﺪﯾﺜﺎت أﻣﻨﯿﺔ ﻏﺎﯾﺔ ﻓﻲ اﻷھﻤﯿﺔ‬
‫ﻟﻀﻤﺎن إﻏﻼق اﻟﺜﻐﺮات اﻟﺘﻲ ﻗﺪ ﺗﺴﺒﺐ ﻣﺸﺎﻛﻞ ﻟﺠﮭﺎزك وﺗﺆدي ﺑﮫ ﻟﻼﺧﺘﺮاق]‪. [/size‬‬

‫<ﺃﺧﻄﺎﺭ ﻗﻮﺍﻋﺪ ﺍﻟﺒﻴﺎﻧﺎﺕ‪:‬‬

‫أﺻﺒﺤﺖ ﻛﺜﯿﺮ ﻣﻦ اﻟﺒﻨﻚ ﻓﻲ اﻟﻮﻗﺖ اﻟﺤﺎﺿﺮ ﺗﻌﺘﻤﺪ ﻋﻠﻰ ﺗﻘﻨﯿﺎت أﻧﻈﻤﺔ إدارة ﻗﻮاﻋﺪ اﻟﺒﯿﺎﻧﺎت وذﻟﻚ ﻟﺘﺴﯿﯿﺮﻋﻤﻠﯿﺎﺗﮭﺎ و أﻧﺸﻄﺘﮭﺎ اﻟﯿﻮﻣﯿﺔ‪ ،‬ﻓﻌﻠﻰ ﺳﺒﯿﻞ‬
‫اﻟﻤﺜﺎل ﻋﻨﺪ ذھﺎﺑﻚ إﻟﻰ ﻓﺮع اﻟﺒﻨﻚ اﻟﺨﺎص ﺑﻚ ﻹﺟﺮاء ﻋﻤﻠﯿﺔ إﯾﺪاع أو ﺳﺤﺐ ﻣﺒﻠﻎ ﻣﺎﻟﻲ ﻓﺈن ﺗﻠﻚ اﻟﻌﻤﻠﯿﺎت ﻓﻲ أﻧﻈﻤﺔ اﻟﺒﻨﻚ اﻟﺤﺎﺳﻮﺑﯿﺔ ﺗﻌﺘﻤﺪ ﻋﻠﻰ‬
‫ﻗﻮاﻋﺪ اﻟﺒﯿﺎﻧﺎت ﻹﺗﻤﺎم اﻟﻌﻤﻠﯿﺔ‪ ،‬ﻓﻌﻨﺪﻣﺎ ﺗﻘﻮم ﺑﻄﻠﺐ ﺳﺤﺐ ﻣﺒﻠﻎ ﻓﺈن اﻟﻨﻈﺎم ﺳﯿﻘﻮم أوﻻ ﺑﺎﻟﺘﺄﻛﺪ ﻣﻦ أن اﻟﺮﺻﯿﺪ اﻟﻤﺨﺰن ﻓﻲ ﻗﺎﻋﺪة ﺑﯿﺎﻧﺎت اﻟﻌﻤﻼء ﯾﻜﻔﻲ‬
‫ﻟﺘﻐﻄﯿﺔ اﻟﻤﺒﻠﻎ اﻟﻤﻄﻠﻮب وﻣﻦ ﺛﻢ ﯾﻘﻮم ﺑﻌﺪ اﻟﺘﺄﻛﺪ ﺑﺘﺤﺪﯾﺚ اﻟﺮﺻﯿﺪ و ﺗﻨﻔﯿﺬ أﻣﺮ اﻟﺴﺤﺐ‪ .‬ﻛﻤﺎ أﯾﻀﺎ ﺗﻌﺘﻤﺪ ﻛﺜﯿﺮ ﻣﻦ اﻟﻤﻮاﻗﻊ ﻓﻲ ﺷﺒﻜﺔ اﻹﻧﺘﺮﻧﺖ ﻛﻤﻮاﻗﻊ‬
‫ﺧﺪﻣﺎت اﻟﺒﺮﯾﺪ اﻹﻟﻜﺘﺮوﻧﻲ و اﻟﺘﺠﺎرة اﻹﻟﻜﺘﺮوﻧﯿﺔ ﻋﻠﻰ ﻗﻮاﻋﺪ اﻟﺒﯿﺎﻧﺎت ﻓﻲ ﺣﻔﻆ و إﺳﺘﺮﺟﺎع اﻟﺒﯿﺎﻧﺎت‪.‬‬
‫و ﯾﻌﺘﺒﺮ إﻧﺘﺸﺎر اﺳﺘﺨﺪام ھﺬه اﻷﻧﻈﻤﺔ ﻧﺘﯿﺠﺔ ﻟﻠﺘﻄﻮر اﻟﻤﺴﺘﻤﺮ ﻓﻲ اﻟﺘﻘﻨﯿﺎت اﻟﺤﺎﺳﻮﺑﯿﺔ وﻧﻘﻠﺔ ﺗﻄﻮرﯾﺔ ﻣﻦ اﻟﻮﺳﺎﺋﻞ اﻟﯿﺪوﯾﺔ ﻟﺤﻔﻆ اﻟﺒﯿﺎﻧﺎت ﻋﻠﻰ اﻟﻮرق‬
‫إﻟﻰ اﺳﺘﺨﺪام اﻟﻮﺳﺎﺋﻞ اﻟﺤﺎﺳﻮﺑﯿﺔ اﻟﻤﺆﺗﻤﺘﺔ‪ .‬و ﺗﻮﻓﺮ ﻗﻮاﻋﺪ اﻟﺒﯿﺎﻧﺎت ﻛﺜﯿﺮ ﻣﻦ اﻟﻤﺰاﯾﺎ اﻟﺘﻲ ﺳﺎھﻤﺖ ﻓﻲ اﻧﺘﺸﺎرھﺎ‪ ،‬ﻓﮭﻲ ﺗﻘﺪم وﺳﯿﻠﺔ ﺣﻔﻆ داﺋﻢ ﻟﻠﺒﯿﺎﻧﺎت‬
‫ﯾﻤﻜﻦ اﻟﺮﺟﻮع إﻟﯿﮫ ﻓﻲ أي وﻗﺖ‪ ،‬ﺳﮭﻮﻟﺔ اﻟﺒﺤﺚ و اﻟﺘﻌﺪﯾﻞ ﻓﻲ اﻟﺒﯿﺎﻧﺎت‪ ،‬اﻟﻤﺤﺎﻓﻈﺔ ﻋﻠﻰ ﻋﻤﻠﯿﺔ ﺗﺮاﺑﻂ اﻟﺒﯿﺎﻧﺎت و ﻓﺮض ﺷﺮوط ﺗﻜﺎﻣﻠﯿﺔ اﻟﺒﯿﺎﻧﺎت‪،‬‬
‫وﺳﺎﺋﻞ اﻟﺘﻌﺮﯾﻒ واﻟﺘﻮﺛﻖ ﻣﻦ اﻟﻤﺴﺘﺨﺪﻣﯿﻦ وﺣﺪود ﺻﻼﺣﯿﺎت اﻹﺳﺘﺨﺪام‪ ،‬ﻛﻤﺎ ﺗﻮﻓﺮ ﻋﻤﻠﯿﺔ اﻟﻨﺴﺦ اﻹﺣﺘﯿﺎﻃﻲ و إﺳﺘﺮﺟﺎع اﻟﺒﯿﺎﻧﺎت إﻟﻰ ﺣﺎﻟﺘﮭﺎ اﻟﺴﺎﺑﻘﺔ‬
‫ﻓﻲ ﺣﺎﻟﺔ ﺣﺪوث ﺧﻄﺄ‪ .‬وﻣﻦ اﻟﻘﻀﺎﯾﺎ اﻟﻤﮭﻤﺔ اﻟﺘﻲ ﯾﺠﺐ أن ﺗﺆﺧﺬ ﺑﺎﻹﻋﺘﺒﺎر ﻋﻨﺪ إﺳﺘﺨﺪام ﻗﻮاﻋﺪ اﻟﺒﯿﺎﻧﺎت ﻓﻲ أي ﺑﻨﻚ ﻗﻀﯿﺔ أﻣﻦ اﻟﺒﯿﺎﻧﺎت وﺳﻨﺘﺤﺪث‬
‫ﻋﻨﮭﺎ ﺑﺸﺊ ﻣﻦ اﻟﺘﻔﺼﯿﻞ ﻓﻲ ھﺬه اﻟﻮرﻗﺔ‪.‬‬
‫ﻣﺎاﻟﺬي ﻧﺤﻤﯿﮫ ﺑﺎﻟﻨﺴﺒﺔ ﻟﻠﺒﯿﺎﻧﺎت اﻟﻤﻮﺟﻮدة ﻓﻲ ﻗﻮاﻋﺪ اﻟﺒﯿﺎﻧﺎت‪:‬‬
‫ﯾﮭﺪف أﻣﻦ ﻗﻮاﻋﺪ اﻟﺒﯿﺎﻧﺎت إﻟﻰ ﺣﻤﺎﯾﺔ اﻟﺒﯿﺎﻧﺎت اﻟﻤﻮﺟﻮدة ﻓﻲ ھﺬه اﻟﻘﻮاﻋﺪ‪ ،‬ﻓﮭﺬه اﻟﺒﯿﺎﻧﺎت ﻟﮭﺎ ﻗﯿﻤﺔ و ﺗﻌﺘﺒﺮ ﻣﻦ أﺻﻮل اﻟﺒﻨﻚ اﻟﻤﮭﻤﺔ‪ .‬ﻟﺬﻟﻚ ﯾﺠﺐ أن‬
‫ﻧﻀﻤﻦ ﺗﻮﻓﺮ اﻟﻌﻨﺎﺻﺮ اﻟﺘﺎﻟﯿﺔ ﻷﯾﺔ ﻣﻌﻠﻮﻣﺎت ﯾﺮاد ﺗﻮﻓﯿﺮ اﻟﺤﻤﺎﯾﺔ اﻟﻜﺎﻓﯿﺔ ﻟﮫ‪:‬‬

‫‪ (1‬اﻟﺴﺮﯾﺔ )‪ :(Confidentiality‬ﯾﮭﺪف ھﺬا اﻟﻌﻨﺼﺮ إﻟﻰ اﻟﺘﺄﻛﺪ ﻣﻦ أن اﻟﻤﻌﻠﻮﻣﺎت ﻻ ﺗﻜﺸﻒ وﻻ ﯾﻄﻠﻊ ﻋﻠﯿﮭﺎ ﻣﻦ ﻗﺒﻞ أﺷﺨﺎص ﻏﯿﺮ ﻣﺨﻮﻟﯿﻦ‬
‫ﺑﺬﻟﻚ‪.‬‬
‫‪ (2‬اﻟﺘﻜﺎﻣﻞ )‪ :(Integrity‬ﯾﮭﺪف ھﺬا اﻟﻌﻨﺼﺮ إﻟﻰ اﻟﺘﺄﻛﺪ ﻣﻦ أن ﻣﺤﺘﻮى اﻟﺒﯿﺎﻧﺎت ﺻﺤﯿﺢ و ﻟﻢ ﯾﺘﻢ ﺗﻌﺪﯾﻠﮫ أو اﻟﻌﺒﺚ ﺑﮫ ﻓﻲ أي ﻣﺮﺣﻠﺔ ﻣﻦ ﻣﺮاﺣﻞ‬
‫اﻟﻤﻌﺎﻟﺠﺔ أو اﻟﺘﺮاﺳﻞ‪.‬‬
‫‪ (3‬إﺳﺘﻤﺮارﯾﺔ ﺗﻮﻓﺮ اﻟﺒﯿﺎﻧﺎت )‪ :(Availability‬ﯾﮭﺪف ھﺬا اﻟﻌﻨﺼﺮ ﻣﻦ اﻟﺘﺄﻛﺪ ﻣﻦ ﻋﻤﻠﯿﺔ ﺗﻮﻓﺮ اﻟﺒﯿﺎﻧﺎت ﻋﻨﺪ ﻃﻠﺒﮭﺎ ﻣﻦ ﻗﺒﻞ اﻷﺷﺨﺎص اﻟﻤﺨﻮل ﻟﮭﻢ‬
‫ذﻟﻚ‪.‬‬
‫‪- 12 -‬‬
 ‫ﻣﺼﺎدر ﺿﻌﻒ أﻣﻦ ﻗﻮاﻋﺪ اﻟﺒﯿﺎﻧﺎت‪:‬‬
‫ﯾﻮﺟﺪ ﺛﻼﺛﺔ ﻣﺼﺎدر أﺳﺎﺳﯿﺔ ﺗﺆدي إﻟﻰ ﺿﻌﻒ اﻷﻣﻦ ﻓﻲ ﻗﻮاﻋﺪ اﻟﺒﯿﺎﻧﺎت‪:‬‬
‫‪ (1‬اﻷﺧﻄﺎء اﻟﺒﺮﻣﺠﯿﺔ واﻟﺜﻐﺮات ﻓﻲ أﻧﻈﻤﺔ إدارة ﻗﻮاﻋﺪ اﻟﺒﯿﺎﻧﺎت‪.‬‬
‫‪ (2‬اﻟﮭﯿﻜﻠﯿﺔ اﻟﺮدﯾﺌﺔ ﻟﻠﻨﻈﺎم ‪.‬‬
‫‪ (3‬اﻟﺘﮭﯿﺌﺔ و اﻟﻀﺒﻂ اﻟﺨﺎﻃﺌﺔ ﻟﻠﻨﻈﺎم‪.‬‬

‫‪ (1‬اﻷﺧﻄﺎء اﻟﺒﺮﻣﺠﯿﺔ واﻟﺜﻐﺮات ﻓﻲ أﻧﻈﻤﺔ إدارة ﻗﻮاﻋﺪ اﻟﺒﯿﺎﻧﺎت‪:‬‬

‫ﻏﺎﻟﺒﺎ ﻣﺎﯾﻮﺟﺪ أﺧﻄﺎء ﺑﺮﻣﺠﯿﺔ و ﺛﻐﺮات ﻓﻲ أي ﻧﻈﺎم ﺣﺎﺳﻮﺑﻲ‪ ،‬ﻓﻤﻦ اﻟﺼﻌﺐ ﻋﻠﻰ اﻟﺸﺮﻛﺎت اﻟﻤﻨﺘﺠﺔ ﻟﮭﺬه اﻷﻧﻈﻤﺔ اﻟﺘﺄﻛﺪ ﻣﻦ ﺧﻠﻮ اﻟﻤﻨﺘﺞ ﻣﻦ ھﺬه‬
‫اﻷﺧﻄﺎء ﻷﻧﮭﺎ ﻏﺎﻟﺒﺎ ﻣﺎﺗﻈﮭﺮ ﺑﻌﺪ اﻹﺳﺘﺨﺪام اﻟﻌﻤﻠﻲ ﻟﮭﺬه اﻷﻧﻈﻤﺔ ﻣﻦ ﻗﺒﻞ اﻟﺒﻨﻚ اﻷﺧﺮى‪ .‬وﻟﻠﺤﻤﺎﯾﺔ ﻣﻦ ھﺬه اﻟﺜﻐﺮات ﯾﺠﺐ ﺗﺤﺪﯾﺚ اﻟﻨﻈﺎم ﺑﺈﺳﺘﻤﺮار و‬
‫ذﻟﻚ ﺑﺘﺤﻤﯿﻞ و ﺗﻨﺼﯿﺐ آﺧﺮ اﻟﺘﺤﺪﯾﺜﺎت اﻟﻤﻮﺟﻮدة ﻟﻨﻈﺎم ﻗﻮاﻋﺪ اﻟﺒﯿﺎﻧﺎت اﻟﻤﺴﺘﺨﺪم ﻓﻲ اﻟﺒﻨﻚ و ﯾﻤﻜﻦ ﻣﺘﺎﺑﻌﺔ اﻟﺘﺤﺪﯾﺜﺎت و اﻟﺤﺼﻮل ﻋﻠﯿﮭﺎ ﻣﻦ ﻗﺒﻞ‬
‫ﻣﻨﺘﺞ اﻟﻨﻈﺎم ‪.‬‬
‫‪ (2‬اﻟﮭﯿﻜﻠﯿﺔ اﻟﺮدﯾﺌﺔ ﻟﻠﻨﻈﺎم‪:‬‬
‫ﺗﻌﺘﺒﺮ اﻟﮭﯿﻜﻠﯿﺔ ﻷي ﻧﻈﺎم ﻣﻦ اﻷﻣﻮر اﻟﮭﺎﻣﺔ ﺟﺪا و اﻟﺘﻲ ﯾﺠﺐ أن ﺗﺄﺧﺬ ﺟﺰء ﻛﺒﯿﺮ ﻣﻦ اﻹﻋﺪاد و اﻟﺘﺼﻤﯿﻢ اﻟﺠﯿﺪ ﻟﮭﺎ‪ .‬ﻓﺒﻌﺾ أﻧﻈﻤﺔ ﻗﻮاﻋﺪ اﻟﺒﯿﺎﻧﺎت‬
‫ﺗﺴﺘﺨﺪم ھﻜﯿﻠﯿﺔ ﻻﺗﻮﻇﻒ ﺣﻠﻮل ﺟﯿﺪة ﻟﻠﻨﺎﺣﯿﺔ اﻷﻣﻨﯿﺔ ﻓﻲ اﻟﻨﻈﺎم‪ ،‬و ﯾﻌﺘﺒﺮ ھﺬا اﻟﻤﺼﺪر إذا ﻣﺎوﺟﺪ اﻷﺻﻌﺐ ﻣﻦ ﻧﺎﺣﯿﺔ إﺻﻼﺣﮫ‪ .‬وﻛﻤﺜﺎل ﻋﻠﻰ اﻟﮭﯿﻜﻠﯿﺔ‬
‫اﻟﺮدﯾﺌﺔ إﺳﺘﺨﺪام ﺣﻠﻮل وأﻧﻈﻤﺔ ﻓﺮﻋﯿﺔ ﺿﻌﯿﻔﺔ ﻟﺘﺸﻔﯿﺮ اﻟﺒﯿﺎﻧﺎت‪.‬‬

‫‪ (3‬اﻟﺘﮭﯿﺌﺔ و اﻟﻀﺒﻂ اﻟﺨﺎﻃﺌﺔ ﻟﻠﻨﻈﺎم‪:‬‬

‫اﻟﺘﮭﯿﺌﺔ واﻟﻀﺒﻂ اﻟﺨﺎﻃﺊ ﻟﻨﻈﺎم ﻗﻮاﻋﺪ اﻟﺒﯿﺎﻧﺎت ﯾﻤﻜﻦ أن ﯾﺆﺛﺮ ﺑﺸﻜﻞ ﻣﺒﺎﺷﺮ ﻋﻠﻰ أﻣﻦ اﻟﻨﻈﺎم‪ ،‬ﻓﯿﻮﺟﺪ اﻟﻜﺜﯿﺮ ﻣﻦ اﻟﺨﯿﺎرات اﻟﺘﻲ ﯾﻤﻜﻦ أن ﺗﻀﺒﻂ‬
‫ﺑﺸﻜﻞ ﯾﺠﻌﻞ اﻟﻨﻈﺎم ﻋﺮﺿﺔ ﻟﻺﺧﺘﺮاق‪ .‬و ﻛﻤﺜﺎل ﻋﻠﻰ ھﺬه اﻟﺨﯿﺎرات ﯾﻮﺟﺪ ﻓﻲ ﻧﻈﺎم ﻗﻮاﻋﺪ اﻟﺒﯿﺎﻧﺎت اﻟﻤﻌﺮوف أوراﻛﻞ )‪ (Oracle‬ﺧﯿﺎر ﯾﺴﻤﻰ ب‬
‫'‪ 'REMOTE_OS_AUTHENT‬ﻓﺈذا ﻣﺎﺗﻢ ﺿﺒﻂ ھﺬا اﻟﺨﯿﺎر إﻟﻰ اﻟﻘﯿﻤﺔ ‪ True‬ﻓﺬﻟﻚ ﺳﻮف ﯾﺴﻤﺢ ﻟﻸﺷﺨﺎص اﻟﻐﯿﺮ ﻣﺼﺮح ﻟﮭﻢ ﺑﺎﻟﺪﺧﻮل ﻋﻠﻰ‬
‫اﻟﻨﻈﺎم‪ .‬ﻟﺬﻟﻚ ﺗﻌﺘﺒﺮ ﻋﻤﻠﯿﺔ اﻟﺘﮭﯿﺌﺔ و اﻟﻀﺒﻂ ﻣﻦ اﻷﻣﻮر اﻟﮭﺎﻣﺔ ﻓﻲ أﻣﻦ ﻗﻮاﻋﺪ اﻟﺒﯿﺎﻧﺎت‪ ،‬و ﯾﻤﻜﻦ اﻟﺮﺟﻮع إﻟﻰ ﻗﺎﺋﻤﺔ ﺗﺪﻗﯿﻖ ) ‪ (Check list‬ﻟﻠﺘﺄﻛﺪ ﻣﻦ‬
‫ﺻﺤﺔ ﻋﻤﻠﯿﺔ اﻟﺘﮭﯿﺌﺔ واﻟﻀﺒﻂ ﻟﻠﻨﻈﺎم‪.‬‬

‫وﺳﺎﺋﻞ ﺣﻤﺎﯾﺔ أﻣﻦ ﻗﻮاﻋﺪ اﻟﺒﯿﺎﻧﺎت‪:‬‬

‫‪ (1‬اﻟﺘﮭﯿﺌﺔ و اﻟﻀﺒﻂ اﻟﻤﻨﺎﺳﺒﺔ ﻟﻠﻨﻈﺎم‪:‬‬
‫ﻛﻤﺎ ذﻛﺮﻧﺎ ﺳﺎﺑﻘﺎ ﻓﺈن اﻟﺘﮭﯿﺌﺔ و اﻟﻀﺒﻂ اﻟﺨﺎﻃﺌﺔ ﻟﻨﻈﺎم ﻗﻮاﻋﺪ اﻟﺒﯿﺎﻧﺎت ﻣﻦ اﻷﻣﻮر اﻟﺘﻲ ﻗﺪ ﺗﻌﺮض اﻟﻨﻈﺎم ﻟﺜﻐﺮات أﻣﻨﯿﺔ ﺧﻄﯿﺮة ﺟﺪا‪ ،‬و ھﻨﺎ ﺳﻨﺬﻛﺮ‬
‫ﺑﻌﺾ اﻟﺨﻄﻮات اﻟﻤﮭﻤﺔ أﺛﻨﺎء ھﺬه اﻟﻌﻤﻠﯿﺔ‪:‬‬
‫اﻟﺘﺄﻛﺪ ﻣﻦ إاﻟﻐﺎء أو ﺗﻐﯿﯿﺮ ﺟﻤﯿﻊ اﻟﺤﺴﺎﺑﺎت )أو أﺳﻤﺎء اﻟﻤﺴﺘﺨﺪﻣﯿﻦ( اﻹﻓﺘﺮاﺿﯿﺔ اﻟﺘﻲ ﺗﻨﺸﺄ أﺛﻨﺎء ﻋﻤﻠﯿﺔ ﺗﻨﺼﯿﺐ اﻟﻨﻈﺎم‪ ،‬وﻣﻦ اﻷﻣﺜﻠﺔ ﻋﻠﻰ ھﺬه‬
‫اﻟﺤﺴﺎﺑﺎت اﻟﺤﺴﺎب اﻟﻤﻌﺮوف ﻓﻲ ﻧﻈﺎم ﻗﻮاﻋﺪ اﻟﺒﯿﺎﻧﺎت أوراﻛﻞ )‪.(Scott/tiger‬‬
‫ﻋﺪم ﻗﺒﻮل ﻃﻠﺒﺎت اﻹﺗﺼﺎل ﻣﻦ ﺟﮭﺎت ﻏﯿﺮ ﻣﻮﺛﻮﻗﺔ )‪ ،(Anonymous‬ﺑﻞ ﯾﺠﺐ إذا أﻣﻜﻦ ﻣﻦ ﺗﺤﺪﯾﺪ ﻋﻨﺎوﯾﻦ ﺷﺒﻜﯿﺔ ﻟﻠﺠﮭﺎت اﻟﻤﻮﺛﻮﻗﺔ‬
‫)‪.(Trusted IP addresses‬‬
‫ﺿﺒﻂ اﻟﺤﺪ اﻷﻗﺼﻰ ﻟﻠﻤﺤﺎوﻻت اﻟﻔﺎﺷﻠﺔ ﻟﻠﺪﺧﻮل ﻟﻠﻨﻈﺎم‪ ،‬ﻓﻌﻠﻰ ﺳﺒﯿﻞ اﻟﻤﺜﺎل ﺑﻌﺪ ﺛﻼﺛﺔ ﻣﺤﺎوﻻت ﻓﺎﺷﻠﺔ ﻟﻠﺪﺧﻮل ﻓﺈن اﻟﻨﻈﺎم ﻟﻦ ﯾﻘﺒﻞ اﻟﻤﺤﺎوﻻت‬
‫اﻟﺘﺎﻟﯿﺔ ﻣﻦ ﻧﻔﺲ اﻟﺠﮭﺔ‪ .‬وذﻟﻚ ﻟﻠﻤﻨﻊ ﻣﻦ إﺳﺘﺨﺪام ﻃﺮﯾﻘﺔ اﻟﺘﺨﻤﯿﻦ ﻟﻜﻠﻤﺔ اﻟﻤﺮور ﻋﻦ ﻃﺮﯾﻖ اﻟﻘﻮة اﻟﻌﻤﯿﺎء )‪.(Brute Force‬‬
‫ﺗﻌﻄﯿﻞ إذا أﻣﻜﻦ اﻷﻣﺮ اﻟﺸﺒﻜﻲ ‪ Ping‬واﻟﺬي ﯾﻮﺟﺪ ﻓﻲ ﺑﺮﺗﻮﻛﻞ رﺳﺎﻟﺔ اﻟﺘﺤﻜﻢ ﺑﺎﻹﻧﺘﺮﻧﺖ )‪ (ICMP‬و ذﻟﻚ ﺑﻌﺪم اﻟﺴﻤﺎح ﻟﻠﺠﮭﺎز اﻟﺨﺎدم اﻟﺬي‬

‫ﯾﺤﺘﻮي ﻋﻠﻰ ﻧﻈﺎم ﻗﻮاﻋﺪ اﻟﺒﯿﺎﻧﺎت ﻣﻦ اﻟﺮد ﻟﻄﻠﺒﺎت ھﺬا اﻷﻣﺮ‪ .‬وھﺬا ﯾﺆدي إﻟﻰ ﻓﺎﺋﺪﺗﯿﻦ‪:‬‬
‫أ‪ -‬ﻋﺪم ﺗﻤﻜﯿﻦ ﻣﺤﺎوﻟﺔ إﻏﺮاق أو ﺗﻌﻄﯿﻞ اﻟﻨﻈﺎم )‪ (Denial of Service‬ﻋﻦ ﻃﺮﯾﻖ اﻹﺳﺘﺨﺪام اﻟﺴﺊ ﻟﻸﻣﺮ‪.‬‬
‫ب‪ -‬ﻏﺎﻟﺒﺎ ﻣﺎﺗﻜﻮن اﻟﺨﻄﻮة اﻷوﻟﻰ ﻟﻠﻤﺨﺘﺮﻗﯿﻦ ھﻲ إﺳﺘﺨﺪام ھﺬا اﻷﻣﺮ ﻟﻤﻌﺮﻓﺔ ﻣﺎ إذا ھﻨﺎﻟﻚ ﺟﮭﺎز ﯾﻌﻤﻞ ﺗﺤﺖ ﻋﻨﻮان ﺷﺒﻜﻲ ﻣﻌﯿﻦ أم ﻻ‪ .‬ﻛﻤﺎ ﻓﻲ‬
‫اﻟﺸﻜﻞ ‪ 1‬ﻓﺈن اﻟﺮد اﻟﻘﺎدم ﯾﺪل ﻋﻠﻰ أﻧﮫ ﯾﻮﺟﺪ ﺟﮭﺎز ﯾﻌﻤﻞ ﺗﺤﺖ اﻟﻌﻨﻮان ‪.127.0.0.1‬‬

‫‪- 13 -‬‬
 ‫)ﺷﻜﻞ ‪ :1‬إﺳﺘﺨﺪم اﻷﻣﺮ ‪( Ping‬‬

‫‪ (2‬ﺗﺤﺪﯾﺚ اﻟﻨﻈﺎم‪:‬‬
‫ﻛﻤﺎ ذﻛﺮﻧﺎ ﺳﺎﺑﻘﺎ ﻓﺈن اﻷﺧﻄﺎء اﻟﺒﺮﻣﺠﯿﺔ واﻟﺜﻐﺮات ﻓﻲ أﻧﻈﻤﺔ إدارة ﻗﻮاﻋﺪ اﻟﺒﯿﺎﻧﺎت ﺗﻌﺘﺒﺮ ﻣﻦ اﻟﻤﺼﺎدر اﻟﺘﻲ ﺗﻀﻌﻒ أﻣﻦ اﻟﻨﻈﺎم‪ ،‬ﻟﺬﻟﻚ ﻣﻦ اﻟﻤﮭﻢ‬
‫واﻟﻀﺮوري ﺟﺪا ﻣﺘﺎﺑﻌﺔ اﻟﺘﺤﺪﯾﺜﺎت اﻟﺠﺪﯾﺪة و اﻟﺤﺼﻮل ﻋﻠﯿﮭﺎ ﻣﻦ ﻗﺒﻞ ﻣﻨﺘﺞ اﻟﻨﻈﺎم و ﺗﻨﺼﯿﺒﮭﺎ ﺣﺎل ﺗﻮﻓﺮھﺎ‪.‬‬
‫‪ (3‬إﺳﺘﺨﺪام وﺳﺎﺋﻞ ﺗﺤﺪﯾﺪ ﺻﻼﺣﯿﺎت اﻹﺳﺘﺨﺪام )‪ (Access Control Methods‬اﻟﻤﻨﺎﺳﺒﺔ‪:‬‬
‫ﺗﺤﺘﻮي ھﺬه اﻟﻄﺮﯾﻘﺔ ﻋﻠﻰ إﺳﺘﺨﺪام آﻟﯿﺎت ﻣﻌﯿﻨﺔ ﻟﺘﺤﺪﯾﺪ ﺻﻼﺣﯿﺎت وﻧﻄﺎق اﻟﻤﺴﺘﺨﺪم ﻟﻮﺻﻮل إﻟﻰ اﻟﺒﯿﺎﻧﺎت‪ ،‬ﻓﺒﻨﺎءا ﻋﻠﻰ ھﻮﯾﺔ اﻟﻤﺴﺘﺨﺪم ﯾﻤﻜﻦ ﺗﺤﺪﯾﺪ‬
‫ﺗﻠﻚ اﻟﺼﻼﺣﯿﺎت‪ .‬ﯾﻮﺟﺪ ھﻨﺎﻟﻚ ﺛﻼﺛﺔ ﻃﺮق ﻣﻌﺮوﻓﺔ ﯾﻤﻜﻦ إﺳﺘﺨﺪاﻣﮭﺎ‪:‬‬
‫أ‪ -‬ﺿﺒﻂ اﻟﻮﺻﻮل اﻹﻟﺰاﻣﻲ )‪:(Mandatory Access Control‬‬
‫ﺗﻌﺘﺒﺮ ھﺬه اﻟﻄﺮﯾﻘﺔ ﻣﻦ أﻛﺜﺮ اﻟﻄﺮق ﺻﺮاﻣﺔ‪ ،‬ﻓﻔﻲ ھﺬه اﻟﻄﺮﯾﻘﺔ ﻻ ﯾﻤﻜﻦ ﻟﻠﻤﺴﺘﺨﺪم ﻣﻨﺢ ﺻﻼﺣﯿﺔ اﻟﻮﺻﻮل إﻟﻰ اﻟﺒﯿﺎﻧﺎت ﻟﻤﺴﺘﺨﺪم آﺧﺮ‪ .‬ﺑﻞ ﻋﻠﻰ‬
‫اﻟﻌﻜﺲ ﺟﻤﯿﻊ اﻟﺼﻼﺣﯿﺎت ﻣﺜﺒﺘﺔ و ﻣﻌﺮوﻓﺔ و ﻻﯾﻮﺟﺪ ھﻨﺎﻟﻚ ﻣﺮوﻧﺔ ﻓﻲ ﺗﺤﺪﯾﺪ اﻟﺼﻼﺣﯿﺎت ﻋﻠﻰ ﻣﺴﺘﻮى اﻟﺒﯿﺎﻧﺎت‪.‬‬
‫ﺗﺴﺘﺨﺪم ﻏﺎﻟﺒﺎ ھﺬه اﻟﻄﺮﯾﻘﺔ ﻓﻲ اﻟﺘﻄﺒﯿﻘﺎت اﻟﻌﺴﻜﺮﯾﺔ‪ ،‬ﺣﯿﺚ ﻣﻦ اﻟﻤﺄﻟﻮف أن ﻧﺠﺪ اﻟﺘﺼﻨﯿﻒ ﺳﺮي )‪ (Secret‬و ﺳﺮي ﻟﻠﻐﺎﯾﺔ )‪.(Top Secret‬‬
‫ب‪ -‬ﺿﺒﻂ اﻟﻮﺻﻮل اﻟﻤﺮﺗﻜﺰ ﻋﻠﻰ اﻟﺪور)‪:(Role Based Access Control‬‬
‫ﺑﺪﻻ ﻋﻦ ﻣﻨﺢ اﻟﺼﻼﺣﯿﺎت ﻟﻠﻤﺴﺘﺨﺪم ﻣﺒﺎﺷﺮة‪ ،‬ﯾﻤﻜﻦ ﻣﻨﺢ اﻟﺼﻼﺣﯿﺎت إﻟﻰ أدوار أو ﻣﻨﺎﺻﺐ ﻣﻌﯿﻨﺔ )‪ (Roles‬و ﻣﻦ ﺛﻢ إﺳﻨﺎد اﻟﻤﺴﺘﺨﺪﻣﯿﻦ إﻟﻰ‬
‫اﻷدوار اﻟﻤﻨﺎﺳﺒﺔ ﻟﮭﻢ‪ .‬ﻓﻲ ھﺬه اﻟﻄﺮﯾﻘﺔ ﯾﺤﺼﻞ اﻟﻤﺴﺘﺨﺪم ﻋﻠﻰ ﺟﻤﯿﻊ اﻟﺼﻼﺣﯿﺎت اﻟﻤﻮﺟﻮدة ﻓﻲ اﻟﺪور اﻟﻤﺴﻨﺪ إﻟﯿﮫ‪.‬‬
‫ت‪ -‬ﺿﺒﻂ اﻟﻮﺻﻮل اﻹﺧﺘﯿﺎري )‪:(Discretionary Access Control‬‬
‫ﺗﻌﺘﺒﺮ ھﺬه اﻟﻄﺮﯾﻘﺔ ﻣﻦ أﻗﻞ اﻟﻄﺮق ﺻﺮاﻣﺔ‪ ،‬ﻓﻔﻲ ھﺬه اﻟﻄﺮﯾﻘﺔ ﯾﻤﻜﻦ ﻟﻠﻤﺴﺘﺨﺪم ﻣﻨﺢ ﺻﻼﺣﯿﺔ اﻟﻮﺻﻮل إﻟﻰ اﻟﺒﯿﺎﻧﺎت ﻟﻤﺴﺘﺨﺪم آﺧﺮ‪ .‬وﺗﺤﺘﻮي ھﺬه‬
‫اﻟﻄﺮﯾﻘﺔ ﻋﻠﻰ ﺷﺊ ﻣﻦ اﻟﺨﻄﻮرة‪ ،‬ﺣﯿﺚ ﯾﻤﻜﻦ إﻋﻄﺎء ﻣﺴﺘﺨﺪم ﺻﻼﺣﯿﺎت ﻻ ﯾﺠﺐ أن ﯾﻤﻠﻜﮭﺎ‪.‬‬
‫وﻛﻤﺜﺎل ﻋﻠﻰ ھﺬه اﻟﻄﺮﯾﻘﺔ ﻓﻲ ﻧﻈﻢ ﻗﻮاﻋﺪ اﻟﺒﯿﺎﻧﺎت ﯾﻤﻜﻦ إﺳﺘﺨﺪام اﻷﻣﺮ ‪ Grant‬ﻹﻋﻄﺎء اﻟﺼﻼﺣﯿﺎت ﻟﻤﺴﺘﺨﺪم ﻣﻌﯿﻦ ﻣﻊ اﻟﻘﺪرة ﻋﻠﻰ ﺗﻤﻜﯿﻨﮫ ﻣﻦ ﻣﻨﺢ‬
‫ھﺬه اﻟﺼﻼﺣﯿﺎت ﻟﻤﺴﺘﺨﺪﻣﯿﻦ آﺧﺮﯾﻦ‪ .‬وﺳﻨﻌﺮض ﻣﺜﺎل ﻋﻠﻰ ذﻟﻚ‪:‬‬
‫‪;Mohammed to Employee_Table Grant Select on‬‬
‫ﻓﻌﻨﺪ ﺗﻨﻔﯿﺬ ھﺬا اﻷﻣﺮ ﻣﻦ ﻗﺒﻞ اﻟﻤﺴﺘﺨﺪم ‪ Admin‬ﻓﺈﻧﮫ ﺳﻮف ﯾﻌﻄﻲ اﻟﻤﺴﺘﺨﺪم ‪Mohammed‬ﺻﻼﺣﯿﺔ ﺗﻨﻔﯿﺬ اﻷﻣﺮ ‪ Select‬ﻋﻠﻰ اﻟﺠﺪول‬
‫‪ ،Employee_Table‬و ﻟﺘﻤﻜﯿﻦ اﻟﻤﺴﺘﺨﺪم ‪Mohammed‬ﻣﻦ ﻣﻨﺢ ھﺬه اﻟﺼﻼﺣﯿﺎت ﻟﻤﺴﺘﺨﺪﻣﯿﻦ آﺧﺮﯾﻦ ﯾﻤﻜﻦ إﺿﺎﻓﺔ اﻟﻜﻠﻤﺔ " ‪with Grant‬‬
‫‪ "Option‬ﻟﯿﺼﺒﺢ اﻷﻣﺮ ﻛﺎﻟﺘﺎﻟﻲ‪:‬‬
‫‪;with Grant Option Mohammed to Employee_Table Grant Select on‬‬
‫اﻵن ﯾﻤﻜﻦ ﻟﻠﻤﺴﺘﺨﺪم ‪Mohammed‬ﻣﻦ إﻋﻄﺎء ﻧﻔﺲ اﻟﺼﻼﺣﯿﺔ ﻟﻠﻤﺴﺘﺨﺪم ‪.Ali‬‬
‫‪ (4‬إﺳﺘﺨﺪام اﻟﺤﻠﻮل اﻷﻣﻨﯿﺔ اﻷﺧﺮى‪:‬‬
‫ﯾﻤﻜﻦ اﻟﺤﺼﻮل ﻋﻠﻰ ﻛﻔﺎءة أﻋﻠﻰ ﻋﻦ ﻃﺮﯾﻖ إﺳﺘﺨﺪام واﻹﺳﺘﻔﺎدة ﻣﻦ اﻟﺤﻠﻮل اﻷﻣﻨﯿﺔ اﻷﺧﺮى اﻟﻤﻌﺮوﻓﺔ وﻛﻤﺜﺎل ﻋﻠﻰ ھﺬه اﻟﺤﻠﻮل‪ :‬اﻟﺠﺪر اﻟﻨﺎرﯾﺔ و‬
‫أﻧﻈﻤﺔ ﻛﺸﻒ أو ﻣﻨﻊ اﻟﺘﺴﻠﻞ‪.‬‬
‫‪ (5‬ﻣﻨﻊ أﺳﺎﻟﯿﺐ اﻟﺘﺤﺎﯾﻞ و اﻹﺳﺘﺨﺪام اﻟﺴﺊ ﻟﻠﻨﻈﺎم‪:‬‬
‫ﻛﻮن أن اﻟﻨﻈﺎم ﯾﻌﻤﻞ ﺧﻠﻒ ﺟﺪار ﻧﺎري أو أﻧﻈﻤﺔ أﻣﻨﯿﺔ ﻓﻌﺎﻟﺔ ﻓﺈن ذﻟﻚ ﻻ ﯾﻌﻨﻲ أﻧﮫ ﻻ ﯾﻮﺟﺪ ﺛﻐﺮات ﯾﻤﻜﻦ اﻹﺳﺘﻔﺎدة ﻣﻨﮭﺎ ﻟﻠﻮﺻﻮل ﻟﻠﺒﯿﺎﻧﺎت‪ .‬و ﻛﻤﺜﺎل‬
‫ﻋﻠﻰ ھﺬه اﻷﺳﺎﻟﯿﺐ ﯾﻮﺟﺪ ﻃﺮﯾﻘﺔ ﺗﻌﺮف ﺑﺤﻘﻦ أواﻣﺮ اﻟﻠﻐﺔ اﻹﺳﺘﻔﺴﺎرﯾﺔ اﻟﻤﺮﻛﺒﺔ )‪ (SQL Injection‬اﻟﺨﺎﺻﺔ ﺑﻘﻮاﻋﺪ اﻟﺒﯿﺎﻧﺎت‪،‬ﺣﯿﺚ ﺗﻘﻮم ھﺬه‬
‫اﻟﻄﺮﯾﻘﺔ ﺑﻤﺤﺎوﻟﺔ ﺗﻌﺪﯾﻞ اﻷﻣﺮ اﻟﻤﺮﺳﻞ ﻣﻦ ﺧﺎدم اﻟﻮﯾﺐ إﻟﻰ ﻗﺎﻋﺪة اﻟﺒﯿﺎﻧﺎت‪.‬‬
‫ﻓﻌﻠﻰ ﺳﺒﯿﻞ اﻟﻤﺜﺎل ﻓﻲ ﻛﺜﯿﺮ ﻣﻦ ﻣﻮاﻗﻊ اﻹﻧﺘﺮﻧﺖ ﯾﻮﺟﺪ ﺻﻔﺤﺔ ﻟﻠﺘﺄﻛﺪ ﻣﻦ ھﻮﯾﺔ اﻟﻤﺴﺘﺨﺪم و ذﻟﻚ ﺑﻄﻠﺐ إدﺧﺎل إﺳﻢ اﻟﻤﺴﺘﺨﺪم و ﻛﻠﻤﺔ اﻟﻤﺮور‪:‬‬

‫‪- 14 -‬‬
 ‫وﻏﺎﻟﺒﺎ ﻣﻦ اﻟﻤﻌﺮوف أﻧﮫ ﺑﻌﺪ إرﺳﺎل ھﺬه اﻟﺼﻔﺤﺔ إﻟﻰ ﺧﺎدم اﻟﻮﯾﺐ ﻓﺈن ﺳﯿﺘﻢ ﺗﻨﻔﯿﺬ أﻣﺮ ﻣﺸﺎﺑﮫ ﻟﮭﺬا اﻷﻣﺮ وھﻮ ﻣﻜﺘﻮب ﺑﻠﻐﺔ ال ‪:ASP‬‬
‫‪+ '"=sql = new String ("Select * From WebUsers Where Username String‬‬
‫‪+ '"=request.getParameter("username") + "' And Password‬‬
‫‪" ' " + ("request.getParameter("password‬‬
‫وﺑﻌﺪ ﺗﻨﻔﯿﺬ ھﺬا اﻷﻣﺮ ﺳﯿﺘﻢ إرﺳﺎﻟﮫ إﻟﻰ ﻗﺎﻋﺪة اﻟﺒﯿﺎﻧﺎت ﺑﮭﺬا اﻟﺸﻜﻞ‪:‬‬

‫‪'=@=Password='Qjsid75# From WebUsers Where Username='Admin' and * Select‬‬

‫ﻟﺬﻟﻚ ﯾﻮﺟﺪ ﻃﺮﯾﻘﺔ ﺗﻤﻜﻦ ﻣﻦ ﺣﻘﻦ ھﺬا اﻷﻣﺮ ﺑﻌﺪ إرﺳﺎﻟﺔ إﻟﻰ اﻟﻤﻠﻘﻢ وھﻲ ﻛﺎﻟﺘﺎﻟﻲ‪:‬‬
‫ﺑﺪﻻ ﻋﻦ إدﺧﺎل ﻛﻠﻤﺔ اﻟﺴﺮ ﯾﻤﻜﻦ إدﺧﺎل اﻟﺠﻤﻠﺔ‪Aa' OR 'A'='A :‬‬
‫وﻛﻨﺘﯿﺠﺔ ﻟﺬﻟﻚ ﺳﯿﺼﺒﺢ اﻷﻣﺮ اﻟﻤﺮﺳﻞ إﻟﻰ ﻗﺎﻋﺪة اﻟﺒﯿﺎﻧﺎت ﻛﺎﻟﺘﺎﻟﻲ‪:‬‬
‫‪'A'='A' OR 'Where Username= 'Admin' And Password='Aa Select * From WebUsers‬‬
‫ﻓﺒﻌﺪ ﺗﻨﻔﯿﺬ ھﺬه اﻷﻣﺮ ﻣﻦ ﻗﺒﻞ ﻗﺎﻋﺪة اﻟﺒﯿﺎﻧﺎت ﻓﺈﻧﮫ ﺳﯿﻘﻮم ﺑﺈرﺟﺎع ﺟﻤﯿﻊ اﻟﺒﯿﺎﻧﺎت اﻟﻤﻮﺟﻮدة وﺑﺬﻟﻚ ﺳﯿﺘﻤﻜﻦ اﻟﻤﺴﺘﺨﺪم ﻣﻦ اﻟﺤﺼﻮل ﻋﻠﻰ دﺧﻮل ﻏﯿﺮ‬
‫ﺷﺮﻋﻲ ﻟﻠﻤﻮﻗﻊ ورﺑﻤﺎ اﻟﺤﺼﻮل ﻋﻠﻰ ﺻﻼﺣﯿﺎت إداري اﻟﻤﻮﻗﻊ‪.‬‬
‫ﻟﺬﻟﻚ ﯾﺠﺐ اﻟﺤﺮص ﻋﻠﻰ اﻟﺘﺄﻛﺪ ﻣﻦ ﺻﺤﺔ اﻷواﻣﺮ اﻟﻤﺮﺳﻠﺔ إﻟﻰ ﻗﺎﻋﺪة اﻟﺒﯿﺎﻧﺎت ﻗﺒﻞ إرﺳﺎﻟﮭﺎ‪.‬‬
‫‪ (6‬ﺗﺪﻗﯿﻖ اﻟﺒﯿﺎﻧﺎت اﻟﻤﻮﺟﻮدة ﻓﻲ ﺳﺠﻼت اﻟﻨﻈﺎم )‪:(Auditing‬‬
‫ﺗﺤﺘﻮي ﻛﺜﯿﺮ ﻣﻦ اﻷﻧﻈﻤﺔ وﻣﻦ ﺑﯿﻨﮭﺎ أﻧﻈﻤﺔ ﻗﻮاﻋﺪ اﻟﺒﯿﺎﻧﺎت ﻋﻠﻰ آﻟﯿﺎت ﻟﺘﺴﺠﯿﻞ إﺳﺘﺨﺪاﻣﺎت اﻟﻨﻈﺎم و اﻷﻧﺸﻄﺔ اﻟﺘﻲ ﯾﻘﻮم ﺑﮭﺎ ﻣﻊ ﺗﺴﺠﯿﻞ و اﻟﻮﻗﺖ و‬
‫اﻟﺘﺎرﯾﺦ ﻟﮭﺬه اﻷﻧﺸﻄﺔ‪ ،‬وﺗﻌﺘﺒﺮ ﻣﺮاﺟﻌﺔ ھﺬه اﻟﺴﺠﻼت ﻣﻦ اﻟﺨﻄﻮات اﻟﻤﮭﻤﺔ ﺟﺪا ﻟﻤﻌﺮﻓﺔ ﻣﺎ إذا ﻛﺎن ھﻨﺎﻟﻚ إﺧﺘﺮاق أو ﺣﺘﻰ ﻣﺤﺎوﻟﺔ إﺧﺘﺮاق ﻟﻠﻨﻈﺎم‪.‬‬
‫‪ (7‬ﺗﺸﻔﯿﺮ اﻟﺒﯿﺎﻧﺎت اﻟﺤﺴﺎﺳﺔ‪:‬‬
‫ﻋﻠﻰ اﻟﺮﻏﻢ ﻣﻦ أن ﺗﺸﻔﯿﺮ اﻟﺒﯿﺎﻧﺎت ﺗﻌﺘﺒﺮ ﻣﻦ اﻟﺤﻠﻮل اﻷﻣﻨﯿﺔ اﻟﻔﻌﺎﻟﺔ إﻻ أﻧﮫ ﯾﻤﻜﻦ أن ﯾﻜﻮن ﻣﺼﺪر ﻟﻠﻤﺸﺎﻛﻞ إذا ﻟﻢ ﯾﺴﺘﺨﺪم ﺑﺸﻜﻞ ﺟﯿﺪ‪ ،‬ﻛﻤﺎ ﻻ ﯾﺠﺐ‬
‫اﻷﺧﺬ ﺑﮫ ﻟﻮﺣﺪه و إھﻤﺎل اﻟﺤﻠﻮل اﻷﺧﺮى اﻟﻤﮭﻤﺔ ﻣﺜﻞ إﺳﺘﺨﺪام وﺳﺎﺋﻞ ﺗﺤﺪﯾﺪ ﺻﻼﺣﯿﺎت اﻹﺳﺘﺨﺪام‪.‬‬
‫وﯾﻮﺟﺪ ھﻨﺎﻟﻚ ﺛﻼﺛﺔ ﻃﺮق ﻟﺘﺸﻔﯿﺮ ﻗﻮاﻋﺪ اﻟﺒﯿﺎﻧﺎت‪:‬‬
‫أ‪ -‬ﺗﺸﻔﯿﺮ ﻋﻠﻰ ﻣﺴﺘﻮى ﻣﻠﻔﺎت ﻗﻮاﻋﺪ اﻟﺒﯿﺎﻧﺎت‪:‬‬
‫ﻓﻲ ھﺬه اﻟﻄﺮﯾﻘﺔ ﯾﺘﻢ ﺗﺸﻔﯿﺮ ﻣﻠﻔﺎت ﻗﻮاﻋﺪ اﻟﺒﯿﺎﻧﺎت ﺑﺸﻜﻞ ﻛﺎﻣﻞ ﻋﻠﻰ ﻣﺴﺘﻮى اﻟﺘﺨﺰﯾﻦ‪ ،‬وذﻟﻚ ﺑﺈﺳﺘﺨﺪام ﺑﺮﻣﺠﯿﺎت أو ﻋﺘﺎد ﺧﺎص ﻟﺬﻟﻚ‪.‬‬
‫ب‪ -‬ﺗﺸﻔﯿﺮ ﻋﻠﻰ ﻣﺴﺘﻮى أﻋﻤﺪة اﻟﺠﺪاول ﻓﻲ ﻗﻮاﻋﺪ اﻟﺒﯿﺎﻧﺎت‪:‬‬
‫ﻓﻲ ھﺬه اﻟﻄﺮﯾﻘﺔ ﯾﺘﻢ ﺗﺸﻔﯿﺮ اﻟﺤﻘﻮل ﻓﻲ ﺟﺪاول اﻟﺒﯿﺎﻧﺎت ﺑﻨﺎء ﻋﻠﻰ اﻷﻋﻤﺪة اﻟﺘﻲ ﺗﻨﺘﻤﻲ إﻟﯿﮭﺎ‪.‬‬
‫ت‪ -‬ﺗﺸﻔﯿﺮ ﻋﻠﻰ ﻣﺴﺘﻮى اﻟﺒﺮﻧﺎﻣﺞ اﻟﺘﻄﺒﯿﻘﻲ اﻟﺬي ﯾﺴﺘﺨﺪم ﻗﻮاﻋﺪ اﻟﺒﯿﺎﻧﺎت‪:‬‬
‫ﻓﻲ ھﺬه اﻟﻄﺮﯾﻘﺔ ﯾﺘﻢ ﺗﺸﻔﯿﺮ اﻟﺒﯿﺎﻧﺎت ﺑﻮاﺳﻄﺔ اﻟﺒﺮﻧﺎﻣﺞ اﻟﺘﻄﺒﯿﻘﻲ و ﻟﯿﺲ ﻋﻦ ﻃﺮﯾﻖ ﻧﻈﺎم ﻗﻮاﻋﺪ اﻟﺒﯿﺎﻧﺎت‪ ،‬ﻓﻘﺒﻞ ﺗﺨﺰﯾﻦ اﻟﺒﯿﺎﻧﺎت ﯾﻘﻮم اﻟﺒﺮﻧﺎﻣﺞ ﺑﻨﻔﺴﮫ‬
‫ﺑﺘﺸﻔﯿﺮ اﻟﺒﯿﺎﻧﺎت ‪.‬‬
‫ﻋﻤﻠﯿﺔ ﺗﺸﻔﯿﺮ اﻟﺒﯿﺎﻧﺎت ﻟﯿﺲ ﺣﻞ أﺳﺎﺳﻲ أو ﻣﻄﻠﻖ و إﻧﻤﺎ ﯾﺠﺐ إﺳﺘﺨﺪاﻣﮫ ﻓﻲ اﻟﺤﺎﻻت اﻟﺘﺎﻟﯿﺔ‪:‬‬
‫ﻣﻨﻊ اﻟﻮﺻﻮل اﻟﻐﯿﺮ ﺷﺮﻋﻲ ﻟﻠﺒﯿﺎﻧﺎت أو ﺗﺨﻔﯿﻒ ﻣﺨﺎﻃﺮ ﺳﺮﻗﺔ اﻟﻤﻠﻔﺎت اﻟﺘﻲ ﺗﺤﺘﻮي ھﺬه اﻟﺒﯿﺎﻧﺎت‪.‬‬
‫ﺣﻤﺎﯾﺔ أرﻗﺎم اﻟﺒﻄﺎﻗﺎت اﻹﺋﺘﻤﺎﻧﯿﺔ‪.‬‬
‫ﻣﻨﻊ اﻟﻤﺴﺘﺨﺪﻣﯿﻦ اﻟﻤﺼﺮح ﻟﮭﻢ ﻣﻦ ﻋﺮض اﻟﺒﯿﺎﻧﺎت اﻟﺨﺎﺻﺔ ﻏﯿﺮ اﻟﻤﺨﻮﻟﯿﻦ ﺑﺮؤﯾﺘﮭﺎ‪.‬‬
‫إﺳﺘﯿﻔﺎء اﻟﻤﻌﺎھﺪات اﻟﺘﻨﻈﯿﻤﯿﺔ أو اﻟﺸﺮوط اﻟﺘﻌﺎﻗﺪﯾﺔ‪.‬‬

‫‪- 15 -‬‬