دروس متعلقة:

لا توجد مقالات




أمن الأنظمة المعلوماتية : التحقيق و التخويل - الأمن المعلوماتي


سلامة الانظمة الرقمية  lock

 

في هذا المقال نستعرض مفهومين أساسيين في إدارة مستعملي الأنظمة المعلوماتية. و يتعلق الأمر بمفهوم التحقيق، أي الإستيثاق ( Authentication/Authentification ) و مفهوم آخر هو التخويل، أي الإجازة و الترخيص (Permission/Authorisation).


التحقيق: ببساطة، هي العملية التي بواسطتها يتأكد النظام المعلوماتي أنكم فعلا المستعمل الذي تزعمون. لنأخذ مثالاً، موقع ويب يدعم تسجيل الزوار، عندما يربط مستعمل الإتصال بالموقع، فإن عملية التحقيق ستحدد إن كان "مستعملا مجهولا" أو "مستعملا مسجلا" و في الحالة الثانية ستحدد من هو بالضبط. عادة ما يخول أمر التحقيق لوحدة خاصة تحمل إسم "برنامج الحماية" و لو أن الترجمة الحرفية لهذه الوحدة من الإنجليزية Fire wall تعطي كلمه" "جدار النار" (Par feux بالفرنسية)، و لا يتوقف دور "برنامج الحماية" في تحقيق المستعملين، بل يتم تكليفه بقطع الطريق أو السماح بالمرور حسب ما أفرزه التحقيق في كل مستعمل. 
نظريا يمكن إنجاز التحقيق بوسيلة تمكن من التأكد من هوية المتعامل، كاللجوء لمعلومة هو وحده من يعلمها، أو يتوفر عليها، أو تميزه في سياق معين، أو وحده القادر على  إنتاجها. و عمليا، توجد طرق عديدة لإعمال التحقيق، منها إستمارات التسجيل في المواقع، و منها التحقيق عبر الفيسبوك أو عبر جوجل أو الشهادات الرقمية ك X.509 و غيرها.

 

التخويل: هي العملية التي من شأنها تحديد ما إذا كان لديكم الحق في الوصول إلى المورد (الصفحة) المطلوبة. هذه العملية تتم بعد "التحقيق" في المستعملين من طرف "برنامج الحماية". على سبيل المثال، بعد التحقيق و التثبت من هوية المستعمل فلان و السماح له بالمرور لصفحة  قائمة الموضوعات للمنتدى، ستقوم "وحدة التخويل' بفحص الأدوار المخولة للمستعمل فلان، فإن كان من فريق الإدارة تخول له الوحدة آلية لحذف المواضيع، و إلا فسيحصل على الصفحة دون هذه الأدوات. 
و عادة ما يرتكز نظام التخويل على مفهوم الأدوار (Roles)، نعرف أدوار معينة و لكل دور نعين الموارد التي بالإمكان الولوج إليها من طرف الدور مع تحديد إمكانيات الولوج. إذ ذاك يكفي إعطاء الأدوار المناسبة لكل مستعمل لتخويله بالضبط ما نريد من إمكانيات. 

 

أخيرا، لا بد من الإشارة لدور آليات التحقيق و التخويل من تقديم إجابات مقنعة لعدد من أهداف أمن الأنظمة المعلوماتية كالسلامة و السرية و ضمان عدم التنصل و التدليس. 

0

التعليقات

التعليقات الواردة تعبر عن وجهة نظر أصحابها.

youssef منذ 4 سنين

جميل، شكرا على المقال.

0
عذراً :
الكتابة في هذا الحيز مخولة فقط للأعضاء المسجلين
من هنا للتسجيل
كونوا سباقين للتسجيل :
بتسجيلكم اليوم ستكونون من أوائل الأعضاء في البوابة، ما سيجعل لكم مكانة مميزة في الموقع.
الأعضاء لهم إمتيازات :
يتمتع الأعضاء بحق التعليق على المقالات. تعاليق و أسئلة و ردود الأعضاء لا تستلزم موافقة مسبقة من الإدارة ( عكس مساهمات الضيوف)