نقاشی خیال

امنیت برنامه های وب

( بخش پنچم ) Posted by SAKHA RAVESH CO. on Jan 6, 2005, 15:09

در بخش پنجم این مقاله به بررسی Passport  Authentication خواهیم پرداخت .
همانگونه که در بخش اول این مقاله اشاره گردید ، برنامه های وب ASP.NET از سه روش عمده به منظور تائید کاربران استفاده می نمایند :

•  Windows  Authentication

•  Forms        Authentication

•  Passport   Authentication

زمانیکه از سرویس وب Passport مایکروسافت به منظور تائید کاربران استفاده می گردد ، مسئولیت تائید کاربران از IIS و برنامه وب سلب شده و این وظیفه به سایت Passport.com واگذار می گردد. در روش Passport Authentication ، شناسائی کاربران بر اساس سرویس وب ارائه شده توسط  Passport.com صورت می پذیرد . در روش فوق ، تائید کاربران  متمرکز و پس از تائید آنان ، امکان استفاده از سایر سایت هائی که از Passport Authentication  استفاده می نمایند ، وجود خواهد داشت .اطلاعات کاربران در یک پروفایل و بر روی سایت Passport.com ذخیره  و سایر سایت های متقاضی که نیازمند تائید کاربر به منظور ارائه خدمات خود می باشند ، می توانند ازاطلاعات کاربران استفاده نمایند . مهمترین ویژگی روش  Passport  Authentication  ، استفاده از یک نام و رمز عبور به منظور استفاده از سایت های متعدد می باشد . فرآیند تائید کاربران در روش فوق، بصورت زیر است :

• پس از درخواست یک صفحه ایمن توسط سرویس گیرنده ، درخواست وی در ابتدا برای IIS ارسال می گردد.

• IIS ، کاربر را به عنوان Anonymous تائید و درخواست وی را برای ASP.NET ارسال می نماید .

• ASP.NET ، بررسی لازم در خصوص وجود یک کوکی خاص را بر روی سرویس گیرنده انجام خواهد داد . در صورتیکه کوکی مورد نظر بر روی کامپیوتر سرویس گیرنده موجود نباشد ، درخواست کاربر نادیده گرفته شده و وی به وب سایت Passport.com  به منظور تائید صلاحیت ، هدایت می گردد .

•  سایت Passport.com ، یک فرم Login را تولید و برای سرویس گیرنده ارسال می نماید .سرویس گیرنده اطلاعات Logon را در آن درج و مجددا" اطلاعات را برای سایت Passport.com ارسال می نماید .

• در صورتیکه اطلاعات درج شده توسط کاربر ( نام و رمز عبور) با اطلاعات موجود در بانک اطلاعاتی پاسپورت مطابقت نماید ، Passport.com سرویس گیرنده را تائید و یک کوکی به همراه اطلاعات ذیربط ( مشابه یک بلیط ) برای وی ارسال می نماید .

• درخواست سرویس گیرنده مجددا" برای سرویس دهنده و این مرتبه به همراه مجوز صادر شده توسط Passport.com ، ارسال می گردد. IIS ، مجددا" سرویس گیرنده را به عنوان Anonymous تائید و درخواست وی را برای برنامه وب ASP.NET ارسال می نماید .

• برنامه وب ASP.NET تائید کاربر را بر اساس مجوز صادر شده برای وی توسط Passport.com ، انجام داده و صفحه وب درخواستی  را برای سرویس گیرنده ارسال می نماید .

• پس از تائید کاربر توسط Passport.com ، امکان دستیابی وی به سایر وب سایت هائی که از روش Passport  Authentication استفاده می نمایند ، وجود خواهد داشت .

 

فعال نمودن روش Passport  Authentication
به منظور استفاده از روش Passport  Authentication  در یک برنامه وب ، می بایست Passport SDK را بر روی سیستم نصب نمود. ( برای دریافت نرم افزار می توان از آدرس http://msdn.microsoft.com/download ، استفاده نمود ) . برای فعال نمودن روش PassportAuthentication  مراحل زیر  را دنبال می نمائیم :

• نصب Passport SDK . ( با اینکه نرم افزار فوق به همراه ویژوال استودیو ارائه نشده است ،ولی فریمورک دات نت دارای کلاس های لازم به منظور کار با Passport SDK پس از نصب آن می باشد ) .

• اعمال تغییرات لازم در  فایل Web.config : نوع Authentication  به Passport  و  مقدار عنصر Authorization به Deny برای کاربران تائید نشده 

• استفاده از رویداد PassportAuthentication_OnAuthenticate به منظور دستیابی به پروفایل اطلاعات کاربران و شناسائی آنان 

• پیاده سازی  روتین Sign-out به منظور حذف کوکی های Passport از روی ماشین کاربران

فایل Web.config  زیر ، روش Passport  Authentication  را فعال و تمامی کاربران را ملزم به تائید به منظور استفاده از برنامه وب می نماید .

Web.Config  setting

<authentication mode="Passport" /> <authorization>      <adeny users="?" />   </authorization>

زمانیکه برنامه وب بصورت محلی و با توجه به تنظیمات فوق ، اجراء می گردد ، کاربر مستقیما" به صفحه Signin  پاسپورت هدایت می گردد. در صورتیکه نسخه unlicense  نرم افزار Passpport SDK ، نصب شده باشد ، صفحه Signin مشابه صفحه ارائه شده در زمان بکارگیری واقعی یک سایت نخواهد بود. پس از Sign in کاربر ، Passport کوکی تائید کاربر را بر روی ماشین سرویس گیرنده ذخیره و وی را به صفحه اولیه درخواستی هدایـت و  یک پروفایل اطلاعاتی در ارتباط با کاربر را ذخیره می نماید . به منظور دستیابی به پروفایل فوق می توان از رویداد PassportAuthentication_OnAuthenticate ، در Global.asax استفاده نمود :

Global.asax module

Imports System.Web.Security Private Sub PassportAuthentication_OnAuthenticate( ByVal  Sender As Object , ByVal e As PassportAuthenticationEventArgs )   If e.Identity.IsAuthenticated Then        Response.Write(" Name : " & e.Identity.Item("FirstName")  &" " &  e.Identity.Item("LastName") & "<br>")        Response.Write("Address : " & e.Identity.Item("City") & "  " & e.Identity.Item("PostalCode") & "<br>" )        Response.Write("Email  : " & e.Identity.Item("PreferredEmail") & "<br>" )        Response.Write("Passport ID :   " & e.Identity.Name & "<br>" )    End If End Sub

کد فوق ، نام ، آدرس و سایر اطلاعات کاربر را از طریق پروفایل مربوطه  دریافت و آنان را نمایش می دهد.
مجوز صادر شده Passport به همراه اطلاعات پروفایل در پنج کوکی جداگانه بر روی ماشین سرویس گیرنده ، ذخیره می گرندد. پس از Sign out کاربر از برنامه وب ، می بایست کوکی های فوق حذف گردند . رویداد زیر ، نحوه  عملیات Sign out را از طریق حذف کوکی های مرتبط با Passport نشان می دهد :

Sign out Event Procedure

Private Sub butSignOut_Click ( ByVal sender As System.Object , ByVal e As System.EventArgs ) Handles butSignOut.Click    Response.Cookie("MSPProf").Expires          = Now    Response.Cookie("MSPAuth").Expires        = Now    Response.Cookie("MSPSecAuth").Expires  = Now    Response.Cookie("MSPProfC").Expires        = Now    Response.Cookie("MSPConsent").Expires   = Now    Response.Redirect("UserInfo.aspx")  End Sub

مدعی تامین امنیت ارتباطات

نویسنده: فرشاد فکرى نجات


  SSL، مدعى تامین امنیت ارتباطات

پراکسی ‌در امنیت شبکه‌

------------------------------------------

-

یک فیلتر هوشمند ساخته ی موسسه ی امنیت کامپیوتری، می تواند از ورود افراد به برخی وب سایت ها جلوگیری کند. همچنین در زیر چند نمونه از سایتهای طراحی شده توسط نرم افزار مدیریت محتوای طراحان وب ایران برای مشاهده آپلود شده است که شما می توانید آنها را مشاهده کنید. اخیرا یکی از نظریات مطرح شده درباره بلوتوث اینست که آنرا بزرگترین پارازیت امنیتی صنایع کامپیوتری میدانند و طرفداران این نظریه معمولا وسیله ای که این تکنولوژی را بهمراه خود داشته باشد را نمیخرند !!BS7799 نتیجه تلاش برای رسیدن به یک قالب مشترک امنیتی جهت شرکت های مختلف با زمینه کاری مختلف می باشد.سیستم عامل، یکی از عناصر چهار گانه در یک سیستم کامپیوتری است که دارای نقشی بسیار مهم و حیاتی در نحوه مدیریت منابع سخت افزاری و نرم افزاری است .

از سوی دیگر نرم افزارهای کنترلی می توانند برخی اعمال تهاجمی را شناسایی و متوقف کنند و به کارفرما اجازه ی شناسایی افراد خاطی را دهند، اما در عین حال به حریم خصوصی افراد تجاوز کرده و وجدان کارفرما را زیر سوال می برند.استاندارد امنیت اطلاعات BS7799 استانداردی جهانی و پویاست که با ارائه کنترل های مختلف سعی در پیاده سازی قالبی مطمئن برای شرکت ها دارد. درک اینکه infosec چیست و از آن چگونه برای توسعه و گسترش امنیت سیستمهای اطلاعاتی که بر اساس IIS مایکروسافت بنا نهاده شده اند، استفاده می شود، به شناسایی ماهیت تهدیدهایی که امنیت کامپیوتر را به مخاطره می اندازد کمک می کند. نرم افزار پرتال طراحان وب ایران از MySQL که یک بانک اطلاعاتی Free Licence است استفاده می نماید این بانک اطلاعاتی از نظر سرعت و کارآیی در حجم های بالا با Oracle رقابت می نماید و در تستهای انجام شده دو سال اخیر با آن برابری می نماید.

امکان مدیریت css های صفحات ، بسیار شبیه دریم ویور است و طبق گفته مایکروسافت تعامل زیادی با بسته نرم افزاری ویژوال استودیو دارد. این نرم افزار بطور کامل توسط تیم طراحان وب ایران طراحی شده و قابلیت انعطاف و تغییر برای کاربردهای خاص مانند آموزش(LCMS) و یا پرتالهای سازمانی را دارا می باشد. اهمیت infosec هم از جهت دسترسی مشکل به آن و هم از جهت مخاطراتی است که همه روزه در دنیای کامپیوتر اتفاق می افتد.پرداختن به مقوله امنیت در برنامه های وب با توجه به ماهیت این نوع از برنامه ها و جایگاه آنان در ارائه سرویس ها و خدمات پیشرفته ای همچونبسیار حایز اهمیت است . تجارت الکترونیکی مجازی

همچنین اگر آفیس 2007 بتا را نصب کرده اید قبل از نصب expression web باید آنرا از کامپیوترتان پاک کنید. این یعنی اینکه شما نقطه مرکزی برای تامین و تبیین سیاستهای امنیتی ندارید و در حقیقت مرکز سقلی برای امنیت شبکه وجود ندارد ! اینجاست که امنیت تبدیل به دغدغه اصلی میشود چرا که شما اطلاعات مهم خودتان را بی پناه بر روی لپ تاپ خود ذخیره میکنید تا دیگران روی شبکه از آنها استفاده کنند. از دیگر خصوصیات J2EE وجود طیف وسیعی از Application Server ها از نظر قیمت می باشد که از انواع Free Source مانند JBoos,Tomcat شروع شده و تا راهکارهای گرانقیــمتی مانند IBM Websphere و Bea weblogic با قیمتهای بیشتر از 30000 دلار ادامه می باید. از بین 87 ویروس سال 2005 حدود 82 تای آنها ویروس هایی هستند که برای حمله به سیستم عامل Symbian سری 60 طراحی شده اند.

پرتال طراحان وب ایران نرم افزار مدیریت محتوای بومی و ایرانی می باشد که جهت پاسخگویی به نیاز استفاده کنندگان ایرانی به یک cms ارزان و در عین حال پر قدرت در معیارهای جهانی طراحی شده است. در صورتی که در نمایشگاه وب طراحان وب ایران قالبی را برای سایت خود انتخاب کرده باشید تیم ما نرم افزار پرتال طراحان وب ایران را در آن قالب در کوتاهترین زمان ممکن برای شما راه اندازی خواهد کرد.com/demo برای مشاهده دمو و بخش مدیریت پرتال طراحان وب ایران و در اختیار گرفتن نام کاربری و رمز عبور با تلفن 09133135582 تماس گرفته و به آدرسهای زیر مراجعه کنید . پرداختن به مقوله امنیت سیستم های عامل ، همواره از بحث های مهم در رابطه با ایمن سازی اطلاعات در یک سیستم کامپیوتری بوده که امروزه با گسترش اینترنت ، اهمیت آن مضاعف شده است.

Net , J2EE می باشند ، اولی (J2EE) توسط شرکت Sun بصورت یک استاندارد جهت پیاده سازی سیستمهای چند لایه تعریف شده که توسط شرکتهای معتبری مانند HP,Borland,Macromedia,Bea,Oracle,IBM حمایت و پیاده سازی شده است در مقابل . با اجرای این کنترل ها نه تنها به شرکت خود نظم می بخشیم بلکه امنیت اطلاعات و دارایی های مختلف شرکت را برقرار خواهید ساخت. من مطمئن هستم که شما همچین کاری را انجام نمی دهید ولی دیده ام و شنیده ام که همین مسایل چگونه باعث حمله به یک شبکه می شود. در طراحی پرتال طراحان وب ایران از معماری چند لایه مبتنی بر J2EE استفاده شده است که در لایه نمایش XML به عنوان یک لایه واسطه و XSL جهت نمایش پیاده سازی شده اند.

با توجه به موارد بالا تیم طراحان وب ایران J2EE را به عنوان بستر نرم افزاری خود انتخاب نموده و به طراحی و پیاده سازی Framework منحصر به خود اقدام کرده است جداول زیر برای مقایسه توانائیهای .فرمت PDF توسط شرکت Adobe طراحی شده و مخفف Portable Document Format است ، به معنای فرمت سند قابل انتقال. مباحث مربوط به قابلیت اجرا بر روی بسترهای مختلف با توجه به پروژه سیستم عامل ملی در شرکت رهنما از اهمیت زیادی برخوردار بوده و تلاش خود را جهت عدم بروز مشکل برای کاربران نرم افزارهای ساخت خود نموده است.Net یک محصول نرم افزاری تجاری از شرکت Microsoft می باشد با توجه به موارد بالا در مواردی امنیت بالا ، کارآیی و قابلیت اطمینان اهمیت داشته باشد از J2EE استفاده میگردد که در این زمینه مراجعه به سایت [url]www.

با مطرح شدن اینترنت به طور گسترده، مسئله امنیت اطلاعات قابل انتقال، به شکل مشخصی بازگو شد زیرا اطلاعات مهم نیز از طریق این بستر فرستاده می شد. شاید شما هم شنیده باشید که چگونه یک نوجوان شانزده ساله با فهم اینکه رمز عبور استفاده شده توسط کارمند FBI چهار حرف بیشتر نمی باشد ، چگونه به شبکه فدرال امریکا نفوذ می کند و امنیت سیستم هایی را به خطر می اندازد که بیش از میلیونها دلار خرج امنیت آنها شده بود. فیلتر هوشمند موارد استفاده از وب و فعالیت های نامناسب اینترنتی را برجسته می کند و به سازمان ها اجازه می دهد برای مراجعه به برخی صفحات وب سایت هایی در نظر بگیرند.سیستم عامل، یکی از عناصر چهار گانه در یک سیستم کامپیوتری است که دارای نقشی بسیار مهم و حیاتی در نحوه مدیریت منابع سخت افزاری و نرم افزاری می باشد .

بررسی و آنالیز امنیت در سیستم های عامل می بایست با ظرافت و در چارچوبی کاملا" علمی و با در نظر گرفتن تمامی واقعیت های موجود ، انجام گیرد تا از یک طرف .شرکت Autonomy در یک اقدام بی سابقه، می تواند به تعیین زمان هایی که کارکنان شرکت به اعمالی علیه شرکت مشغول اند، بپردازد.کنترل های بالا تنها بخشی از 127 کنترل مدون در استاندارد BS7799 می باشد که اجرای آنها شما را چند قدم به ایجاد امنیت واقعی نزدیک تر می سازد. تا به امروز استفاده از J2EE تنها راهکار رایج پیاده سازی برنامه هایی است که بر روی تمامی بسترهای سخت افزاری (PC,main,Sparc,.

علاوه بر این امنیت در این فایل ها نسبت به سایر فرمت های موجود بسیار بالاتر است و حتی امکان رمزگزاری روی فایل جهت امنیت بیشتر نیز ممکن است . این نرم افزار هم چنین تعیین می کند که یک کارمند به طور تصادفی روی یک هرزنامه کلیک کرده یا این که این کار را بدخواهانه انجام داده است.هرچه امتیاز شما در گوگل افزایش یابد باعث میشود تا گوگل شما را در صفحه جستجو در رتبه بالاتری نمایش دهد. اطلاعاتی مثل، شماره کارت اعتباری، فرم پرداخت و غیره از جمله مسایلی بود که احتیاج به امنیت بیشتری داشت.

فایل های بانک ACCESS در حالت default از امنیت خوبی برخوردار نیستند و جای امنی برای نگه داری اطلاعات محرمانه کاربران یک سایت نیستند . مایکروسافت که شکست فرانت پیج را در برابر دریم ویور پذیرفته است ، دست به کار طراحی برنامه جدیدی برای طراحان وب زده است با امکاناتی که برای هر طراح وجذاب است. بررسی و آنالیز امنیت در سیستم های عامل می بایست با ظرافت و در چارچوبی کاملا" علمی و با در نظر گرفتن تمامی واقعیت های موجود . هکرها تا به حال اقدام به تولید برنامه هایی کرده اند تا امنیت دستگاه های همراه را امتحان کنند اما تعداد نرم افزارهای مخرب از 10 تا در سال 2004 به 87 تا در سال 2005 رسیده است و احتمالا در آینده نیز افزایش می یابد. برنامه نویسی

com/demoیاد بگیرید که همیشه جلو دهان خود را بگیرید! این را یک گستاخی مپندارید و به صورت مداوم آن را تمرین کنید. پرداختن به مقوله امنیت سیستم های عامل ، همواره از بحث های مهم در رابطه با ایمن سازی اطلاعات در یک سیستم کامپیوتری بوده که امروزه با گسترش اینترنت ، اهمیت آن مضاعف شده است . بافرض یک انتقال ایمن با پروتکل SSL,TCP/IP به عنوان پروتکل امنیتی لایه انتقال در زیر لایه کاربردی قرار گرفته و امنیت ارتباطات بین سرویس دهنده و سرویس گیرنده را برقرار می کند.هنگامی که شما تلاش می کنید IIS را در مقابل خطرات و تهدیدها ایمن نموده و آسیب پذیری برنامه های کاربردی موجود در IIS را شناسایی نمایید، در واقع به دنیای امنیت اطلاعات که با عنوان infosec شناخته می شود، وارد شده اید.

فایل های PDF دقیقا همانگونه ای چاپ میشوند که شما آن را در مانیتور میبینید ، با همان صفحه بندی ، فونت و عکس های موجود . درست است که امنیت 100% اطلاعات کاری دشوار است ولی نزدیک تر شدن به آن نیازمند کمی تلاش و مدیریت می باشد. تعداد زیاد حملات ویروسی به این سیستم عامل به معنای امنیت کمتر آن نیست بلکه نشان دهنده مشهور بودن دستگاه های Symbian است بنابراین هدف مورد علاقه ویروس نویسان است. موسسه ی امنیت کامپیوتری با ارایه ی یک طرح تکنیکی، مزایا و نقاط ضعف فیلترهای نرم افزاری را بررسی کرده است.

شرکت ضد ویروس F-Secure برای محافظت از تلفن های همراه نرم افزار جدیدی ارائه داده است کاربران می توانند با بازدید از سایت های زیرانتقال اطلاعات مهم مثل شماره کارت اعتباری اشخاص باید با امنیت کامل انجام گیرد. این فعالیت ها شامل خرید و فروش در داخل شرکت، دست بردن در حساب ها و یا حتا فرستادن ایمیل های خلاف عفت یا نژادپرستانه، باشد.) اجرا می گردند به عبارت دیگر برنامه های نوشته شده با J2EE بر روی طیف وسیعی سیستمها از ابر کامپیوترهای غول پیکر تا تلفن های همراه قابل اجرا می باشند. درباره امنیت اطلاعات خود به گونه ای فکر کنید که انگار دارید درباره امنیت خانواده خود و یا امنیت کشور خود فکر می کنید.

والبته برای این دسته از کاربران اهمیت امنیت بسیار دور از ذهن است ! پیاده سازی امنیت حتی در همین سطح استفاده میتواند از سوء استفاده کاربر غیرمجاز از این دستگاهها جلوگیری بکند. فناوری یاد شده، ایمیل ها، تلفن های همراه و PDA و پیام های فوری مربوط به شرکت Autonomy را بررسی می کند. infosec یک رشته تخصصی در دنیای کامپیوتر است که هدف آن تجزیه، تحلیل، کاهش و پاسخ به تهدیدهای سیستمهای اطلاعاتی است. Language J2EE Database MySQL(Oracle,SQL Server) Application Server Tomcat(Jboss,BeaWeblogic,SunOne,Websphere) WebServer Apache(IIS,Iplanet) برخی از امکانات پرتال 1.

در کنار استفاده از کنترل اینترنتی، سازمان ها می توانند تماس های تلفنی افراد را با استفاده از سیستم کنترل صدا زیر نظر داشته باشند.دستگاه های موبایل استعداد آلودگی ده ها هزار محصولی را دارند که هم اکنون از چیپ های کامپیوتری استفاده می کنند که این کار استعداد ویرانگر ویروس ها را افزایش می دهد. در طراحی و پیــاده سازی نـرم افزار پرتال طراحان وب ایران از نرم افـزارها و بسـته های Free License , Free Sourceشده است تا پس از پیوستن ایران به سازمان تجارت جهانی(WTO) و قانون کپی رایت مشکلات قانونی جهت استفاده کنندگان آن بوجود نیامده ، نرم افزار امکان ارائه در بازارهای جهانی را داشته باشد. یعنی آنقدر دور که تکنیکهای War-Driver کاملا جوابگوی هکرها میباشد و کاملا هم از دید شما مخفی خواهد بود.

با آن که این فیلترها می توانند از مضامین نامربوط و هجو جلوگیری و آن ها را مسدود کنند، لحظه و زمان سواستفاده ی افراد از اینترنت را نشان نمی دهند. پیاده سازی این استاندارد سبب خواهد شد تا امکان سوء استفاده از اطلاعات ، ازبین رفتن آن و سایر خطرات به حداقل برسد. این برنامه که از سوی مایکروسافت در حال آماده سازی است (فعلا نسخه بتا) به نظر من کپی برداری مستقیمی از روی Dreamweaver است.مواردی که در این نوشتار خواهید خواند، گوشهای از نکات مهمیست که شرکت گوگل به مدیران سایتها برای بهبودِبخش جستجو در سایت توصیه میکند.

شما باید اطلاعاتی که توسط شما منتشر می شود و یا در سرور های وب شما به نمایش گذاشته می شود اطلاع کاملی داشته باشید. پرتال طراحان وب ایران آمده است تا امکان مدیریت یک سایت را در کمترین زمان و هزینه و بدون نیاز به نیروی متخصص برای شما فراهم ساخته و کلیه مرزها ( محدودیتها) ی شما در مدیریت محتوا را از پیش رو بردارد تکنولوژیهای مورد استفاده و مزایا تکنولوژیهای رایج نرم افزاری امروز . این برنامه تعدادی از قابلیت های بانک اکسس را فعال میکند که باعث بالا بردن امنیت نهایی فایل MDB می شود . طبق گفته ی موسسه ی پشتیبان نرم افزارهای امنیتی Websense، نرم افزار کنترل کارکنان این شرکت با اجرای تعهداتی از وصل شدن افراد به سایت های نامربوط و ناخوشایند و بارگذاری (Download) پیام های فوری جلوگیری می کند.

زیرا گوگل سایت هایی را که این نکات را رعایت نکرده اند از لیست جستجویش حذف میکند و دیگر در هیچ یک از سایت های شرکای گوگل نیز نام شما نشان داده نمی شود . بیگمان، این نکات حاصل تجربهی این شرکت در زمینهی جست و جوست و نشان از اهمیت این بخش در سایتها دارد .

http://niosha.co.ir/ShowArticle.aspx?Id=240

----------------------------

امنیت

امنیت پایگاه داده و اطلاعات

امنیت چیست؟

امنیت چیست ؟

اولین رسالت امنیت ، حفاظت از سرمایه های یک سازمان است که ممکن است شامل آیتم های ملموسی نظیر یک صفحه وب و یا بانک اطلاعاتی مشتریان و یا آیتم های غیرملموسی نظیر شهرت و اعتبار یک سازمان باشد. امنیت یک مسیر است نه یک مقصد و به موازات تجزیه و تحلیل زیرساخت و برنامه های موجود ، می بایست اقدام به شناسائی تهدیدات و خطرات ناشی از آنان نمود . در واقع ، امنیت به مدیریت خطرات و پیاده سازی یک سیستم به منظور پاسخگوئی و مقابله با تهدیدات اشاره داشته و در ارتباط با عتاصر کلیدی زیر است :    Authentication ، فرآیندی است که به کمک آن به صورت منحصربفرد سرویس گیرندگان یک برنامه شناسائی می گردند . کاربران ، سرویس ها ، فرآیندها و کامپیوترها ، نمونه هائی از سرویس گیرندگان یک برنامه می باشند . در واقع ، authentication هویت استفاده کنندگان یک برنامه را بررسی می نماید .    Authorization ، فرآیندی است که به کمک آن دستیابی سرویس گیرندگان تائید شده به منابع و عملیاتی که قصد انجام آن را دارند بررسی و مجوز لازم صادر می گردد. فایل ها ، بانک های اطلاعاتی ، جداول ، سطرها ، منابع موجود در سطح سیستم نظیر کلیدهای ریجتسری و داده پیکربندی ، نمونه هائی از منابع مورد درخواست سرویس گیرندگان می باشند . انجام تراکنش هائی خاص نظیر خرید یک محصول ، واریز و انتقال پول از یک حساب به حساب دیگر و یا افزایش اعتبار یک کارت اعتباری از جمله عملیاتی می باشند که می بایست مجوز استفاده از آنان برای سرویس گیرندگان صادر گردد . در واقع ، authorization محدوده مجاز عملیاتی را که یک سرویس گیرنده می تواند انجام دهد را مشخص می نماید .    Auditing : ممیزی موثر و ثبت عملیات انجام شده یکی از اصول مهم در جلوگیری از انجام اعمال خلاف قانون است . بدین ترتیب این اطمینان ایجاد خواهد شد که یک کاربر نمی تواند باعث عدم انحام یک کار و یا فعالیت در سیستم گردد و یا یک تراکنش را مقداردهی اولیه نماید . مثلا" در یک سیستم e-commerce می بایست از مکانیزم هائی استفاده گردد تا این اطمینان حاصل گردد که یک مصرف کننده نمی تواند سفارش انجام شده برای خرید یکصد نسخه از یک کتاب را انکار نماید .    Confidentiality ، که از آن با نام privacy نیز نام برده می شود ، فرآیندی است که به کمک آن این اطمینان ایجاد می گردد که حریم خصوصی داده رعایت و امکان مشاهده آن توسط کاربران غیرمجاز و یا سایر افرادی که قادر به ردیابی ترافیک یک شبکه می باشند ، وجود نخواهد داشت .    Integrity ، فرآیندی است که به کمک آن این اطمینان ایجاد می گردد که داده در مقابل تغییرات تصادفی و یا تعمدی حفاظت خواهد شد . همانند privacy ، یکپارچگی اطلاعات یک فاکتور اساسی در خصوص امنیت داده محسوب می گردد ، خصوصا" در مواردی که داده در طول شبکه مبادله خواهد شد . یکپارچگی داده در حال حمل ،‌عموما" با استفاده از روش هائی نظیر hashing و یا کدهای تائید پیام انجام می شود .    Availability ، فرآیندی است که به کمک آن این اطمینان ایجاد خواهد شد که همواره داده برای کاربران مجاز در دسترس و قابل استفاده خواهد بود . در اغلب حملات از نوع DoS ، مهاجمان این هدف را دنبال می نمایند که بتوانند امکان استفاده و در دسترس بودن برنامه برای کاربران مجاز را غیرممکن و عملا" آن را از کار بیندازند .    تعاریف اولیه برخی از اصطلاحات امنیتی : تهدیدات ، نقاط آسیب پذیر و حملات    تهدید ( threat ) : به هرگونه پتانسیل بروز یک رویداد مخرب و یا سایر موارد دیگر که می تواند به سرمایه های یک سازمان آسیب برساند ، تهدید گفته می شود . به عبارت دیگر، هر رویدادی که بتواند به سرمایه های یک سازمان آسیب برساند ، در زمره تهدیدات محسوب می گردد .    نقاط آسیب پذیر (vulnerability) : ضعف های موجود در یک سیستم می باشند که پتانسیل اولیه بروز یک رویداد مخرب را فراهم می نمایند . ضعف در طراحی ، پیکربندی اشتباه ، استفاده از روش های کدینگ غیرایمن مهمترین دلایل ایجاد یک ضعف در سیستم می باشند . ضعف در بررسی صحت داده ورودی توسط کاربر ، نمونه ای از یک لایه آسیب پذیر در یک برنامه است که می تواند زمینه بروز یک تهاجم را فراهم نماید .    تهاجم (attack) : عملیاتی است که محوریت آن سوء استفاده از نقاط آسیب پذیر و پتانسیل های بروز یک رویداد مخرب می باشد . ارسال ورودی مخرب به یک برنامه و یا flooding یک شبکه به منظور از کار انداختن یک سرویس ، نمونه هائی در این زمینه می باشد .    یک تهدید پتانسیل بروز یک رویداد مخرب را فراهم می نماید که می تواند به سرمایه های یک سازمان آسیب برساند  در حالی که در یک تهاجم موفقیت آمیز از نقاط آسیب پذیر موجود در سیستم استفاده می گردد .    چگونه می توان یک برنامه وب ایمن را ایجاد نمود ؟  تا زمانی که شناخت مناسبی نسبت به تهدیدات وجود نداشته باشد ، امکان ایجاد یک برنامه وب ایمن وجود نخواهد داشت . بنابراین قبل از هر چیز لازم است که با "مدل تهدیدات " موجود آشنا شویم . هدف مدل فوق، آنالیز معماری و نحوه طراحی برنامه به منظور شناسائی نقاط آسیب پذیری است که ممکن است به صورت تصادفی توسط یک کاربر ناآگاه و یا مهاجمان با اهداف مخرب مورد سوء استفاده قرار گرفته تا با استناد به آنان بتوانند موجودیت و امنیت سیستم را با خطر مواجه نمایند .  پس از آسنائی با تهدیدات ، می بایست با بکارگیری مجموعه ای از اصول امنیتی اقدام به طراحی سیستم نمود . در ادامه ، پیاده کنندگان می بایست از روش های ایمن به منظور نوشتن کدهای مطمئن ، مستحکم و قابل اعتماد استفاده نمایند . پس از طراحی و پیاده سازی برنامه ، می بایست از یک شبکه ایمن ، یک host مطمئن و یک پیکربندی مناسب بر روی سرویس دهنده ،‌ استفاده گردد .  ایجاد یک برنامه وب ایمن ، مستلزم اقدامات امنیتی چند جانبه ای است که موفقیت در تمامی آنان ، ایمن بودن برنامه های‌ وب را تضمین خواهد کرد . ایمن سازی شبکه ، host و برنامه ، رئوس مثلث امنیتی ایجاد برنامه های وب ایمن را تشکیل می دهند .    ایمن سازی شبکه ، host و برنامه  به منظور ایجاد برنامه های وب ایمن ، تبعیت از یک رویکرد جامع امری است الزامی . بنابراین ، می بایست امنیت برنامه های‌ وب را در سه لایه متفاوت بررسی و اقدامات لازم را در هر لایه با توجه به جایگاه آن انجام داد . شکل زیر سه لایه مهم به منظور ایجاد برنامه های وب ایمن را نشان می دهد .        وجود یک نقطه آسیب پذیر در شبکه به یک مهاجم اجازه می دهد تا کنترل یک host و یا برنامه را بدست بگیرد .    وجود یک نقطه آسیب پذیر در host به یک مهاجم اجازه می دهد تا بتواند کنترل یک شبکه و یا برنامه را بدست بگیرد .    وجود یک نقطه آسیب پذیر در برنامه به یک مهاجم اجازه می دهد تا کنترل یک host و یا شبکه را بدست بگیرد .    در بخش دوم به بررسی هر یک از لایه های فوق خواهیم پرداخت .  تهیه شده در شرکت سخا روش ----------------------------- حفاظت چند لایه از شبکه های رایانه ای نیازها و ضرورتها گر چه مزایای استفاده از شبکه اینترنت برای انجام فعالیتهای تجاری و خدماتی غیر قابل انکار است، با این همه باز کردن دسترسی از اینترنت به یک شبکه اطلاعاتی رایانه ای، تهدیدات بسیاری را متوجه سازمان می کند. وقتی سازمانها شبکه های خود را به اینترنت متصل می کنند یا اقدام به ارائه خدمات الکترونیکی می نمایند، شبکه داخلی و اطلاعات حساس آنان در معرض تهدیدات مختلف از سوی نفوذگران عادی و حرفه ای و حتی رقبای تجاری قرار می گیرد. اما این تهدیدات قابل مدیریت هستند و یک استراتژی امنیتی مناسب در تشخیص و جلوگیری از نفوذ ، ساختار IT سازمان به همراه اطلاعات آن را در برابر حملات ممکن محافظت خواهد کرد. شرکت داده بان آریا با ارائه راهکار جامع محافظت و مدیریت امنیتی شبکه های رایانه ای، نیازهای کلیدی امنیتی را تامین می نماید: شناسایی و مدیریت تهدیدات داخلی و خارجی آنالیز موثر و بلادرنگ نشانگرها و تعیین وضعیت امنیتی تضمین کارآیی و دقت در شرایط مختلف پیاده سازی روال کارآمد برای بروزرسانی و اعلام تغییرات حفاظت چند لایه (Multi Layer Protection) اگرچه Firewall ها نقش مهمی را در تامین امنیت شبکه ها ایفا می کنند، اما قادر به تامین امنیت مطلوب به خصوص در محیطهایی که اقدام به ارائه خدمات الکترونیکی تحت وب می نمایند، نیستند. در حال حاضر با عمومیت یافتن استفاده از فایروالهای شبکه ای و بالارفتن امنیت نسبی در لایه شبکه، نفوذگران با تجربه بجای اتلاف وقت برای پویش پورتهای باز روی فایروالها، مستقیما نرم افزارهای تحت وب را هدف می گیرند. طبق آمار ۷۰٪ از حملات امروزه در لایه نرم افزاری (Application Layer) رخ می دهد. بررسی ها نشان داده است که طی فاصله سالهای 2001 تا 2003 تعداد نرم افزارهای تحت وب دارای ضعف های امنیتی از ۵۰٪ به ۸۵٪ رسیده است. راهکار شرکت داده بان آریا ، برای دستیابی به حداکثر امنیت و کنترل بر ساختار شبکه و داده ها و اطلاعات آن، در قالب حفاظت چند لایه طراحی و اجرا می شود. فایروالهای شبکه (Network Firewalls) ساختار بهینه برای فایروالها با بررسی و تحلیل نیازهای سازمان طراحی شده و با استفاده از تکنولوژیها و محصولات مناسب، اجرا می گردد. سیستم مدیریت و مانیتورینگ این لایه دفاعی، به صورت شبانه روزی، تمام عملیات در لایه شبکه را زیر نظر گرفته و مدیران شبکه را از وضعیت امنیتی شبکه آگاه می سازد. سیستمهای تشخیص و جلوگیری از نفوذ (Intrusion Detection And Response) فایروالهای متداول امروزی، محافظت ناچیزی را برای لایه نرم افزاری ارائه می کنند، در صورتی که اکنون موضوع امنیت تنها حفاظت از شبکه رایانه ای و بستر ارتباطی (لایه شبکه) نیست بلکه مساله اصلی حفاظت از داده های با ارزش رایانه ای (لایه نرم افزار) می باشد. راهکار داده بان آریا برای حصول به این امر، لایه محافظتی IDS/IDP را بکار می گیرد که دارای مشخصه های کلیدی زیر می باشد: تشخیص و جلوگیری از نفوذ در برابر حملات لایه شبکه و لایه نرم افزاری شامل: ثبت تمام جزییات حملات جلوگیری از ادامه حملات به صورت اتوماتیک اخطار بلادرنگ به صورت ارسال پیام کوتاه ، Email یا SNMP Trap ارائه گزارشات جامع تشخیص عملیات مشکوک و غیر عادی (Anomaly Detection) استفاده از �هوش مصنوعی� برای تشخیص �ترافیک عادی� و غیر عادی شبکه رفع اخطارهای نادرست با استفاده از Event Correlation عملکرد غیر محسوس در شبکه بدون تحمیل بار اضافی حفاظت در برابر آسیب پذیریهای امنیتی (Vulnerability Protection) بررسی و کنترل آسیب پذیریها یکی از اجزای اصلی هر برنامه امنیتی می باشد. پویش آسیب پذیریها اطلاعات ارزشمندی از میزان خطرپذیری مجموعه ارائه می دهد. اجرای برنامه بررسی و کنترل آسیب پذیریها در یک سازمان، مستلزم بکارگیری افراد متخصص در زمینه امنیت رایانه ای و صرف هزینه های زیاد برای تحقیق و مطالعه در باره آسیب پذیریهای جدید می باشد. بسیاری از سازمانها دارای چنین منابعی نبوده یا منابع در دسترس به امور دیگر تخصیص داده شده اند. راهکار شرکت داده بان آریا، لایه مدیریتی و حفاظتی را برای پویش پیوسته و رفع سریع آسیب پذیریها در ساختار IT سازمان، تامین می کند که دارای مشخصه های عمده زیر می باشد: اجرای پویشهای خودکار و قابل تنظیم روی لایه های مختلف ساختار IT شناسایی و رفع سریع آسیب پذیریها بروزرسانی خودکار سیستم برای تشخیص و رفع آسیب پذیریهای جدید سیستم جامع گزارشات و آمار کاهش چشمگیر هزینه های مربوط به ارزیابی های امنیتی موردی http://dadehban.com/perimeter.php

------------------------------------------------------

-

تکامل امنیت شبکه

تکامل امنیت شبکه های کامپیوتری با معرفی کدگذاری کوانتومی در کنفرانسی در وین وارد مرحله جدیدی شده است.این شبکه، شش مرکز در اطراف شهر وین را با 200 کیلومتر خطوط فیبر نوری به هم متصل می کند و توسط اتحادیه اروپا پشتیبانی می شود و seco-qc نام دارد. کدگذاری کوانتومی اساسا با کدگذاری ها و سیستم های امنیتی که در خانه و محل کار از آن ها استفاده می کنیم تفاوت دارد. کدهای این شبکه محاسبات و معادلات پیچیده ریاضی هستند که تقریبا غیر قابل نفوذ هستند ولی نفوذ به آن ها با در دست داشتن دانش ریاضی کافی و ابزار پیشرفته ممکن است. کلیدهای شبکه (network keys) نیز از همین کدها استخراج می شود و کاربران برای دسترسی به قسمت های مختلف این شبکه نیاز به نوعی شناسه کاربری خاص دارند. ایده پشت این سیستم مربوط به 25 سال پیش است. زمانی که چارلز بنت از شرکت ibm و گیلز براسارد از دانشگاه مونترال این طرح را به صورت مشترک به پایان رساندند و سپس در این کنفرانس شاهد معرفی این سیستم بودند. گیلز براسارد می گوید:«تمامی سیستم های امنتیتی کوانتومی بر اساس اصل عدم قطعیت هایزنبرگ بنا شده اند.

2
کوانتوم و امنیت شبکه های کامپیوتری
با این ایده که دسترسی به اطلاعات کد گذاری بدون دستکاری و تغییر فوتون ها عملی نیست. این نفوذ بدون به جا گذاشتن هیچ گونه اثر غیر قابل انجام است.» در عمل این به معنی شناسایی شعاع های نوری و فوتون هایی است که میلیون ها بار در هر ثانیه بین گره های این شبکه بین ساختمان های شرکت زیمنس (شبکه فیبر نوری این پروژه توسط زیمنس ساخته شده است) حرکت می کنند. از شناسایی فوتون های مشخصی که در این شبکه در حال حرکت هستند، ترکیبی پیچیده از ارقام بوجود می آید. از این قسمت به بعد بیشتر شبیه کد گذاری عادی است. مزیت این کار این است که برای دسترسی به کد ها باید هر کدام از فوتون ها را شناسایی کرد و این کار به دلیل وجود میلیون ها فوتون در شبکه برای افرادی که محل دقیق آن ها را نمی دانند غیر ممکن است. حتی اگر کسی به درون شبکه نفوذ کند و اقدام به شناسایی فوتون ها بکند، نظم فوتون ها به هم می خورد و شبکه به صورت خودکار از کار می افتد ولی این قطع موقتی شبکه به ارتباط گره ها با هم مشکلی وارد نمی کند زیرا ارتباط گره ها با یکدیگر از طریق خطوط دیگر نیز امکان پذیر است و تنها قسمتی که به آن نفوذ شده است دچار قطع می شود. دکتر هانس هوبل از دانشگاه وین مه یکی از تست کنندگان این شبکه است در این مورد می گوید:«ما در حال حاضر با بانک ها و موسسات مالی و بیمه در ارتباط هستیم. برای آن ها از بین رفتن 10میلیون یورو بسیار کم ضررتر از از کار افتادن کار شبکه برای چند ساعت است. به همین دلیل باید به آن ها تضمین بدهیم که قفل ها و کدگذاری ها شبکه ما برای چندین هفته و بدون خطا کار می کند.» برای اینکه از فوتون در کدگذاری استفاده شود چندین راه وجود دارد. یکی اینکه با قطبی کردن و منحرف کردن آن ها، کدها را شناسایی کرد و دیگری اینکه با استفاده از زمانی که طول می کشد تا درون شبکه حرکت کنند و از نقطه ای به نقطه ای دیگر بروند، آن ها را شناسایی کرد. مدیر این پروژه، کریستیان مونیک در این باره می گوید:«همان طور که در یک شبکه تلفن همراه، باید وجود صدها گوشی تلفن از صدها سازنده را انتظار داشت، در کدگذاری کوانتومی نیز باید به مشتریان اجازه انتخاب روش کار شبکه را داد.»

3
 
  امنیت در پایگاههای داده ای - بخش اول

امنیت سرور

مقدمه
با گسترش استفاده از تکنولوژی وب و توسعه برنامه هایی که برای کارکرد درین بستر تولید میشوند مباحث مربوط به امنیت پایگاههای داده ای بعد جدیدتری پیدا کرده اند. هر چند از آغاز پیداش پایگاههای داده همواره امنیت و تامین آن یک دغدغه مهم و پیاده سازی مناسب  و کارای آن یک خصوصیت بنیادی در پایگاههای داده بوده است اما بهر روی بحث امنیت (Security)همواره در سایه مقولاتی همچون عملکرد مناسب (Functionality) ، کارایی (Performance) و قابلیت اطمینان (Reliability) قرار میگرفت. به عبارتی هنوز هم چندان عجیب نیست اگر ببینیم یک برنامه رده سازمانی (Enterprise Level) با تعداد زیادی Client بدون هیچگونه ملاحظه امنیتی تولید شده و مورد استفاده باشد. حتی میتوان درین زمینه مثالهای جالبتری یافت. اغلب برنامه های Client-Server با نام کاربری  sa(System Administrator) به پایگاههای داده متصل میشوند. از دید امنیتی این مطلب یک فاجعه محسوب میشود. هیچ تغییر و یا خرابکاری ای قابل ردیابی نیست، همه کاربران به همه اطلاعات دسترسی دارند و الی آخر.

آنچه ذکر شد ، در واقع تصویری از وضعیت جاری بود، که باید از دو منظر نگریسته شود: عدم وجود مکانیزمهای امنیتی مناسب و نیز در صورت وجود چنین مکانیزمهایی عدم بهره گیری صحیح ازانها یا نداشتن سیاست امنیتی مطلوب.

این وضعیت شاید در دنیای برنامه های مبتنی بر تکنولوژی های Mainframe یا Client-Server قابل تحمل بود اما در شرایط فعلی که برنامه ها با سرعت زیادی به سمت بهره گیری از بستر وب میروند ادامه این روند فاجعه بار است. در حال حاضر دیگر کاربران یک برنامه به صورت بالقوه تنها کارمندان یک سازمان نیستند. هر فردی میتواند به سادگی باز کردن یک مرورگر وب به پایگاه داده شما متصل شود و مطمئن باشید اگر مکانیزمهای امنیتی را رعایت نکرده باشید ، حذف تمامی داده های شما حتس از عهده یک نفوذگر عادی هم بر می آید.

اجازه دهید یک فرض اساسی را مطرح کنیم. مدیران IT یک سازمان بر دو دسته اند: مدیران نوگرایی که به صورت داوطلبانه سازمان را به سمت ارائه خدمات عمومی و گسترده هدایت میکنند و به همین دلیل تکنولوژی وب را به عنوان تنها بستر موجود برای ارائه این خدمات میپذیرند و مدیران سنتی محافظه کاری که قابلیت اطمینان و کارایی سیستم جاری را تحت هیچ شرایطی حاضر نیستند در معرض خطر قرار دهند. وب از نظر این گروه دوم کماکان یک تکنولوژی مشکوک غیر قابل اطمینان است. در واقع دلایل فنی این گروه دوم هنوز هم چشمگیر و قابل اعتناست، به خصوص گروهی که از mainframe ها صحبت میکنند. قابلیت اطمینان 0.99999 هنوز هم در دنیای غیر Mainframe  یک رویاست. 

زمانی که بحث امنیت در بستر وب مطرح میشود به صورت عمده سه جزء زیر مد نظر است:

امنیت سرور(Server Security)
امنیت در تصدیق اعتبار(Authentication Security)
امنیت محاوره(Session Security)
در ادامه نگاهی به جزئیات هریک از اجزای این دسته بندی خواهیم داشت.

شاید بخش عمده امنیت سرور مربوط به مدیر شبکه و نیز کارشناس امنیت اطلاعات باشد. ازین نظر DBA مسئولیت چندانی ندارد ، البته این به شرطی ست که قبلا متخصص امنیت شبکه مکانیزمهای امنیتی مناسب را جهت سرور پیش بینی کرده باشد. این مکانیزمها محدوده وسیعی از ابزارها و راه حلهای امنیتی را در بر میگیرد: فایروالها ، تشخیصگرهای نفوذ (Intrusion Detectors) ، ضد ویروسها ، ... از جمله ابزارها هستند . معماری امن شبکه و لحاظ کردن مسائل امنیتی درین معماری نیز میتواند حائز اهمیت باشد. تمامی این مباحث زیر مجموعه بحث امنیت شبکه می باشند که در بخش آتی به صورت خیلی مختصر به آن اشاره خواهیم کرد:

معماری امن شبکه با نگاه به پایگاه داده

الف. در نظر گرفتن سخت افزار جداگانه جهت سرور وب و سرور پایگاه داده
بسیاری از سرویسهای کنونی وب و حتی  شبکه های داخلی (Intranet) به گونه ای طراحی شده اند که سرور اصلی پایگاه داده (Back End Server) را روی همان سروری در نظر میگیرند که سرویس وب روی آن راه اندازی شده است. البته برای این کار چندین توجیه وجود دارد :

توجیه اقتصادی: در نظر گرفتن هر دو سرویس بر روی یک ماشین از جهت هزینه کل سازمان یک صرفه جویی محسوب میشود. باید توجه داشت که برای ارایه هر دوی این خدمات ماشینهای با قدرت پردازش بالا باید در نظر گرفته شوند.
توجیه فنی: عده ای برین عقیده اند که ارائه این دو خدمت بر روی یک ماشین سبب بهبود کلی کارایی میشود. استدلال اصلی محدودیت سرعت بر روی شبکه است. این استدلال نیز توجیه چندانی ندارد زیرا حداقل سرعت شبکه های محلی فعلی ???Mb/s است که بسیار بالاتر از حداکثر سرعت شبکه های WAN در حال حاضر است.
بنابراین از دو توجیه بالا تنها استدلال مبتنی بر صرفه جویی اقتصادی کماکان میتواتند مطرح باشد. اما خطرات اجرای این دو سرویس بر روی یک مکاشین به حدی ست که بهتر است سازمان به جای پذیرش این ریسکها، هزینه اضافی مربوطه را متحمل شود. تا کنون روشهای متعددی برای نفوذ به سرورهای وب طراحی و اجرا شده است. بسیاری از ویروسهای کامپیوتری و نیز کرمهای اینترنتی (Code Redو Nimda) نیز اساسا بر پایه همین ضعفها عمل میکنند. صرف نظر از نوع سرور وبی که در نظر میگیرید (Apache،IIS یا هر سرور دیگر) همیشه باید این احتمال را بدهید که در صورت وجود یک شکاف امنیتی در سرور مربوطه، شما در مجموع کمترین ضرر را متحمل شوید.

جدا کردن فیزیکی دو سرور وب و پایگاه داده این امر را تا حدی (دقت کنید که فقط تا حدی و نه به طور کامل) برای شما تضمین میکند که حتی اگر نفوذگری توانست اختیارات مدیر سیستم مربوط به سرور وب را به دست بیاورد نتواند به سادگی به اطلاعات موجود روی پایگاه داده نیز دست یابد.

ب. قرار ندادن پایگاه داده در DMZ:

در صورتی که از یک معماری امن برای پیاده سازی شبکه خود استفاده کرده باشید به احتمال زیاد شبکه شما دارای یک بخش DMZ(Don’t Militarized Zone) خواهد بود. معمولا ارائه دهندگان خدمات عمومی را درین بخش از شبکه قرار میدهند. بعنوان مثال سرورهای وب، سرورهای میل ... که همگی جهت خدمات عمومی بکار میروند درین بخش از شبکه قرار دارند.

ایده عمومی داشتن یک بخش DMZ ساده ست: سرورهایی که خدمات عمومی بیرون سازمانی ارایه میدهند نیازمند سطح کمتری از امنیت هستند. در واقع همه میتوانند به آنها دسترسی  داشته باشند. این دسترسی همگانی به هیچ وجه لازم نیست در مورد تمامی منابع شبکه اعمال شود. بنابرین منابع عمومی شبکه را در بخشی از شبکه قرار میدهند که حساسیت امنیتی کمتری نسبت به آن وجود دارد. این همان بخش DMZ است. با توجه به مطالب بالا بسیار بدیهی به نظر میرسد سرور پایگاه داده را باید در همان بخش DMZ قرار دهیم زیرا که عموما این سرور نیز مسئولیت ارائه خدمات همگانی را بعهده دارد. اما قضیه در باره سرور پایگاه داده تا حدی متفاوت است. این سرور گرچه خدمات همگانی نیز عرضه میکند اما تنها بخشی از داده های آن ممکن است جنبه همگانی داشته باشد در حالی که عمده آن در اغلب اوقات سری ست. بعنوان مثال سروری که اطلاعات مربوط به کارت اعتباری افراد را نگهداری میکند از اهمیت فوق العاده ای برخوردار است و هرگونه دسترسی به کل داده های آن میتواند فاجعه بار باشد.

بنابراین بر خلاف دید اولیه به این نتیجه میرسیم که پایگاه داده نمیتواند و نباید که در بخش DMZ قرار گیرد. اما راهکار جداسازی آن ازین بخش چیست؟

شکل ?: پایگاه داده و DMZ

 راه حل ایده آل برای این جداسازی به شرح زیر است: به صورت عام از یک فایروال اصلی برای ایمنی کل شبکه و جداسازی آن از دنیای بیرون استفاده میشود. این فایروال در قسمت بیرونی DMZ قرار دارد و دارای قواعد خاص خود است. بدلایلی که در بخش پیش ذکر شد که کلا عبارت بود از نیاز به ارائه خدمات عمومی ،این فایروال نمیتواند کل ترافیک ورودی را محدود کند و ناچار است یک سیاست (Policy) حداکثری را اعمال کند.

اما در داخل خود شبکه ، مابیت LAN داخلی و DMZ از فایروال دومی استفاده میشود. این فایروال دوم در حالت ایده آل تمامی ترافیک ورودی را سد میکند بجز ترافیک ورودی از وب سرور به پایگاه داده. با این تمهید خاص هم پچایگاه داده خدمات عمومی خود را ارائه میدهد و هم دستیابی عموم را به آن سد کرده ایم. درین صورت یک نفوذ گر حتی پس ازینکه کنترل کامل سرور وب را در اختیار گرفت ناچار است از قواعد سختگیرانه فایروال دوم نیز عبور کند و تازه پس ازان باید بتواند به سرور پایگاه داده نیز نفوذ کند که انجام این هر دو کار بسیار دشوار میباشد و ریسک چنین شبکه ای عملا پایین می باشد.

اما شاید در مقابل روش ما استدلالی اینچنین ارائه شود: میتوان تنها با استفاده از یک فایروال امنیت را تامین کرد. روش آنهم اینست که برای سرورهای پایگاه داده از IP مجازی استفاده کنیم. در واقع این سرورها پشت یک NAT قرار داشته باشند. درین صورت نفوذگر اساسا از وجود پایگاه داده خبر ندارد تا بخواهد به آن نفوذ کند. این استدلال یک ابراد عمده دارد و آنهم اینست که اگر نفوذ گر بتواند کنترل سرور وب را در اختیار بگیرد عملا در همان شبکه ای قرار گرفته است که سرور پایگاه داده دران قرار دارد و دارای همان رنج IP میشود. بنابراین پس ازینکار در واقع تمهید قبلی ما بلااثر میشود و نفوذ گر میتواند بسادگی مانند یک کاربر داخلی شبکه ما عمل کند.

حال که استدلالات فوق را پذیرفته ایم میتوانیم کمی ایده آل تر باشیم و شبکه را ایمن تر کنیم. فرض کنید که یک نفوذگر بتواند از لایه اول امنیتی شما عبور کرده وارد DMZ شود. اگر این نفوذ به دلیل نقص قواعد امنیتی فایروال شماره یک باشد احتمال نفوذ همین شخص به لایه دوم بسیار پایین است. اما اگر این نفوذ به دلیل وجود شکاف امنیتی خاصی بر روی فایروال باشد چطور؟ فرض کنید به عنوان مثال هردو فایروال شما Check Point است. آنوقت نفوذگر بهمان سادگی که از لایه اول عبور کرده از لایه دوم امنیتی شما نیز خواهد گذشت چون هر دو فایروال ما از یک نوع است و طبیعتا شکاف امنیتی هردو یکسان است. بنابراین میتوان پیشنهاد داد که فرضا اگر فایروال لاه اول شما Check Point است در لایه دوم بهتر است از PIX استفاده کنید. این مطلب باعث امنیت بالاتر شبکه شما خواهد شد.

این روش گرچه موثر است اما از عهده هرسازمانی بر نمی آید. نگهداری، بروزسازی و پیکربندی فایروال عموما خودش یک تخصص خاص و بالنسبه گرانقیمت است. بنابراین وقتی از دو نوع فایروال استفاده میکنید دو تخصص جداگانه را در سازمان خود نیاز خواهید داشت که این مطلب باعث دو برابر شدن هزینه نیروی انسانی شما خواهد شد. علاوه برینکه اصولا خود سخت افزار فایروال هم گرانقیمت است و اصولا مشخص نیست که سازمان شما حاضر باشد چنین هزینه ای را متقبل شود (حتی با فرض دانستن ریسک امنیتی بالای آن)

راه حل دیگری که میتوان برای جداسازی بخش امن شبکه ارائه داد استفاده از بیش از یک کارت شبکه در فایروال است (شکل ?)

شکل ?: استفاده از دو کارت شبکه برای جداسازی DMZ

 همانطور که مشخص است درین روش توسط یک فایروال، DMZ از بخش امن شبکه جداسازی میشود. تنها ترافیکی که حق عبور از اینترفیس اول (eth1) به اینترفیس امن (eth2) را دارد ترافیک ورودی از وب سرور به سرور پایگاه داده میباشد. این روش بسیار ارزان تر از روش قبلی ست اما مشخصا امنیت آن در حد امنیت روش قبل نیست و علاوه برآن ممکن است فایروال موجود ما عملا از چندین کارت شبکه پشتیبانی نکند.

علاوه بر دو راهی که در فوق برای جداسازی پایگاه داده از مابقی شبکه ارائه دادیم راه حل سومی هم وجود دارد: اینکه اساسا پایگاه داده را از مابقی شبکه جدانکنیم! دقت کنید که با توجه به هزینه و نیز اندازه سازمان ممکن است جداسازی امکان پذیر نباشد و حتی مجبور شویم که این دو سرور را برروی یک ماشین اجرا کنیم. حتی درین صورت نیز بهتر است حداقل کارهایی که جهت ایمنی مضاعف پایگاه داده از دستمان بر می آید انجام دهیم. بعنوان مثال میتوانیم از یک فایروال نرم افزاری ارزان قیمت جهت ایمنی بیشتر استفاده کنیم. بهر حال این راه حل توصیه نمیشود مگر در شرایط اجبار.

ج. رمز نگاری اطلاعات مابین سرور وب و سرور پایگاه داده
برای جلوگیری از سرقت اطلاعات در بین راه(Sniffing) عموما از روشهای رمز نگاری استفاده میشود. متداول ترین روش تحت وب برای انجام این منظور استفاده از پروتکل SSL است. عموم اطلاعات امن که بر روی اینترنت منتقل میشوند از همین پروتکل استفاده میکنند . بعنوان مثال انتقال اطلاعات شناسایی با سرورهای معروف ایمیل، انتقال اطلاعات مربوط به کارت اعتباری و غیره.

تا بدینجا این پروتکل که اغلب سرورهای وب و نیز مرورگرها ازان پشتیبانی میکنند سطحی از امنیت را تامین میکند. اما آیا همین کافی ست؟

اغلب این اشتباه پیش می آید که همین سطح از رمز نگاری را در مقابل حمله Sniffing کافی میدانند. باید دقت کرد که SSL به صورت عام تنها برای رمزنگاری اطلاعات مابین Client و سرور وب به کار میرود و به صورت عادی اطلاعات مابین وب سرور و سرور پایگاه داده به صورت عادی و بدون رمزنگاری (Plain Text) منتقل میشوند. بنابراین حتی اگر همه جوانب را در شبکه بیرونی رعایت کرده باشیم، یک نفوذگر داخلی به سادگی میتواند اطلاعات در حال انتقال مابین این دو سرور را شنود کند. این مطلب زمانی بسیار جدی میشود که بدانیم بر اساس داده های موجود، بالاتر از ??? حملات موجود حملات درون سازمانی می باشد.

چاره کار استفاده از یک روش رمز نگاری مابین سرور وب و سرور پایگاه داده است. اغلب سرور های پایگاه داده امروزه از SSL حمایت میکنند. MS SQL Server2000 ، Oracle،Sybase ازین جمله اند. البته استفاده از SSL برای ارتباط مابین این دو سرور لازمه اش اینست که برنامه اصلی شما (Web Application) با همین ملاحظه طراحی و پیاده سازی شده باشد.

اما در صورتی که برنامه شما از قبل موجود باشد یا از SSL پشتیبانی نکند یا به هر صورت شما مایل به ایجاد هزینه اضافی نباشید چه؟ آیا راه حل دیگری برای رمزنگاری مابین دو سرور وجود دارد؟ خوشبختانه چنین راه حلی وجود دارد: استفاده از SSH یا یک برنامه مشابه.

اصولا SSH برنامه ای شبیه Telnet است اما نسخه امن آن. یکی از قابلیتهای SSH ایجاد یک تونل امن است. به این صورت که میتوان برنامه SSH را به گونه ای اجرا کرد که بر روی یک پورت شنود کند کل اطلاعات آن را رمز کرده به کامپیوتر مقصد ارسال کند و آنجا پس از تبدیل به حالت عادی به پورت مقصد تحویل دهد. با استفاده از این روش (SSH Port Forwarding) یک تونل امن به صورت شفاف مابین دو سرور ایجاد شده است(شکل ?).

شکل ?: استفاده از SSH برای برقراری تونل امن

مزیت استفاده ازین روش اینست که نیاز به هیچگونه تغییری در سرورها و یا برنامه ها ندارد و تنها توسط چند خط دستور قابل اجراست.

د. عدم استفاده از Hub و بهره گیری از Switch

به صورت عادی زمانی که از Hub استفاده میکنیم تمامی اطلاعات عبوری در هریک از سیستمهای موجود در شبکه داخلی قابل شنود است. یک نفوذ گر معمولی با استفاده از یکی از ابزارهای Sniffing میتواند اینترفیس شبکه با به حالت Promiscuous برده ، تمامی اطلاعات در حال جابجایی بر روی LAN را دریافت کند. البته استفاده از رمز نگاری خطر بالقوه بهره گیری ازین روش را کم میکند اما هیچگاه نمیتوان مطمئن بود که کل اطلاعات رمز نگاری شده است. بنابراین بهتر است حتی المقدور امکان بهره گیری از Sniffing را بر روی شبکه کاهش دهیم. استفاده از سوپیچها به جای هاب یکی از روشهای حل این مساله است. با استفاده از سوئیچ در واقع یک مدار مجازی (Virtual Circuit) مابین دو نود در حال مکالمه ایجاد میشود و دیگران به اطلاعات در حال انتقال مابین آن دو دسترسی ندارند.

?-?. ارائه امن اطلاعات

از دید کلی امنیت اطلاعات برای ارائه خدمات اطلاع رسانی بر روی وب به صورت عمده دو راه وجود دارد:

تولید اطلاعات به صورت استاتیک
تولید اطلاعات به صورت دینامیک
 
?-?-?. تولید اطلاعات به صورت استاتیک و مسائل امنیتی آن
معمولترین نوع دسترسی به اطلاعات در اینترنت استفاده از صفحات HTML است. هنوز هم بسیاری از متخصصین، این روش در دسترس گذاری اطلاعات (Web Publishing) را به روشهای دیگر ترجیح میدهند. البته دلایل اصلی آنها بیشتر مربوط به سادگی و قابلیت انعطاف این روش است.

درین روش اطلاعات یک بار تولید میشود. تولید اطلاعات (صفحات HTML) میتواند به صورت دستی یا به صورت اتوماتیک توسط برنامه های معمولی Client-Server انجام شود. پس از انجام این فاز کلیه اطلاعات بر روی سایت و سرور اصلی قرار میگیرد (Upload).

امنیت این روش به سادگی تامین میشود. کافیست که اشخاص نام فایلهای HTML را ندانند، درین صورت هرگز به آنها دسترسی نخواهند داشت. اینکار با استفاده از مکانیزم ساده ای صورت میگیرد. عموم وب سرورها برای دایرکتوریهای مختلف حق دسترسی تعریف میکنند که یکی ازین حقوق دسترسی حق مشاهده محتویات یک دایرکتوری است. در صورتی که کاربری این حق را نداشته باشد از اسامی فایلها بی خبر خواهد بود و در نتیجه قادر به مشاهده آنها نیست.

استفاده ازین روش مزایا و معایب خاص خود را دارد. مزیت آن امنیت بالاست. در واقع درینجا هیچ ارتباز اکیتیوی با سرور پایگاه داده وجود ندارد. اطلاعات به صورت برون خط (Offline) بر روی سرور وب بارگذاری میشوند و پس ازان هیچ ارتباطی مابین کاربر عادی و چپایگاه داده وجود نخواهد داشت. بدین ترتیب خطر حملات به پایگاه داده کاهش چشمگیری می یابد. اما از دیگر سو مدیریت حجم انبوه اطلاعات با استفاده ازین روش بسیار دشوار میباشد . ضمن اینکه قابلیت انعطاف روش نیز بسیار محدود است. در واقع زمانی که ازین روش استفاده میکنیم هدف اصلی خدمت رسانی و سهولت استفاده را قربانی امنیت کرده ایم.

?-?-?. تولید اطلاعات به صورت دینامیک
این روش متداول ترین شیوه ایست که امروزه جهت ارائه خدمات بر بستر وب مورد استفاده قرار میگیرد. درین روش صفحات موجود بر روی سرور وب عملا دارای هیچ اطلاعاتی نمیباشند یا دارای حداقل اطلاعات هستند. تمامی اطلاعات در پایگاه داده است. به محض دریافت هر تقاضایی توسط سرور وب ، صفحات مورد درخواست او به صورت دینامیک از طریق جستجوی (Query) مناسب در پایگاه داده تولید میشود.

برای پیاده سازی این روش طیف وسیعی از تکنولوژیها وجود دارد. ASP،JSP،PHP،CGI،ISAPI... و چندین روش دیگری که عم??ما حول همین تولید?دینامیک اطلاعات ??ر محیط?وب طراحی شده اند. ??منیت هریک ازین زبانها و روشها خود ? موضوع ب??ث مفصل و جداگانه ??یست اما از دید بح?? حاضر چند نکته مه?? را با??د مد نظر داشت:

?
? تا ک??ون شکافهای ? جدی امنیتی در مورد هر یک ازین ??وشها شناخته شده ??ست و با وجود ? حل اغلب آن??ا هنوز هم هیچکدام?آنها امنیت بالای?? را به تنهایی ? تضمین نمیکنند. ?
? با و??ود نکته ? بالا، چون هدف ??صلی ارائه خدمت یا?سرویس است در بسیا??ی موارد ? چاره ای بجز اس??فاده از یکی ازین ??وشها نداریم.
 هنگام انتخ??ب هری?? ازین روشها باید ??لاحظات امنیتی مر??وط به ابزارهای مدیریت ?? توسعه را نیز لحاظ کنیم. ?
?
? طی بخش گذشته عموما توجه ما معطوف به این مطلب بود که چگونه جلوی دستیابی افراد غیر مجاز به سیستم و اطلاعات گرفته شود. اما هیچ گاه به این مطلب اشاره نکردیم که مجاز یا غیر مجاز بودن افراد را چگونه تشخیص میدهیم. در واقع روش شناسایی افراد در یک سیستم امن چگونه میتواند باشد.

ابتدایی ترین روشی که درین زمینه میتوان در نظر گرفت تصدیق اعتبار ساده بر حسب نام کاربری و کلمه عبور است. گرچه پیاده سازی این روش سنتی بسیار ساده است اما امنیتی هم که تامین میکند حداقل امنیت ممکن است. درین روش کاربر یکبار در سیستم شناسایی میشود و پس ازان اطلاعات به صورت عادی بر روی شبکه جریان می یابد. مشکلات این روش را میتوان به صورت زیر خلاصه کرد:

·        تمامی اطلاعات در بین راه قابل شنود هستند.
بند بالا به خصوص شامل خود نام کاربری و کلمه عبور هم میشود. به عبارتی این دو هم به سادگی میتوانند توسط شخص ثالثی در بین راه شنود شده و بعدا مورد استفاده قرار گیرند.
در شرایطی که نام کاربری و کلمه عبور لو رود کل امنیت سیستم دچار اخلال خواهد شد.
در واقع این روش تنها تضمین کننده حداقل غیر قابل قبولی از امنیت در تصدیق اعتبار افراد است. بنابراین باید به دنبال روشهای جایگزینی بود که معایب فوق را نداشته باشند.

4
امنیت و الگوریتم های امنیت
امنیت به دو سطح تبدیل میشه: (جدا از بحث شبکه)
1) امنیت در سطح برنامه
2) امنیت در سطح داده های برنامه

در مورد امنیت در سطح برنامه، مطالب فراوان هست ولی در یک نظر کلی، منظور از امنیت برنامه، ایجاد روش هایی در پیشگیری از ایجاد دستبرد در برنامه و منابع برنامه مورد نظر، در کوتاه مدت یا بلند مدت است. (Web Application یا Desktop Application).
به عنوان یک مثال برای برنامه های Web Application عرض کنم که میشه تنها با چند خط کدنویسی ساده، با ارسال مقادیر زیاد داده ای از طریق Post به سایت مورد نظر، ترافیک سایت را به طرز بسیار زیادی بالا برده، Transfer سایت را تا حدی که مایلید زیاد کرده و منجر به ترکیدن Band Width (پهنای باند) سایت شوید. (کاری رو که بنده چند وقت پیش با قسمت وبلاگ سایت PersianBlog.Com انجام دادم. البته این سایت از نظر سخت افزاری بسیار قدرتمنده و آسیب چندانی ندید ولی تا 2 هفته مسئولین سایت موفق به برطرف کردن مشکل نشدند. دوستانی که یک ماه پیش به قسمت وبلاگ این سایت سر زده باشند،بیشتر از پنجاه هزار Comment با عنوان vb4u مشاهده کردند که اجازه ارسال نظرات رو به اونها نمی داد چون برای یک Comment باید Comment های قبلی پردازش شوند و از آنجایی که زمان اجرای Script توسط برنامه نویس حداکثر یک دقیقه در نظر گرفته میشه و پردازش پنجاه هزار پیغام بیشتر از یک دقیقه طول میکشه، بنابراین با خطای Script Time Out of Range روبرو خواهید شد)
البته این مشکل در این سایت وجود نداره و برنامه نویس حرفه ای سایت با ایجاد یک Delay در ارسال پست ها (که البته تنها راه هم هست) مشکل رو حل کرده. بنابراین اگر دقت کرده باشید، در زمانی که قصد دارید 2 تا پست رو پشت سر هم و در فواصل زمانی اندک انجام بدید، پیغامی مبنی بر اینکه قادر نخواهید بود پست را بلافاصله بعد از پست بعدی بفرستید و باید مقداری صبر کنید، به شما نمایش داده خواهد شد.
و مثالی هم در مورد برنامه های Desktop Application:
خط زیر را در نظر بگیرید:

If MyTextBox.Text = "123456” Then
MsgBox "OK"
Else
MsgBox "Fail"
End If

مثال بالا یکی از موارد اشتباه فاحشی است که در بسیاری از برنامه ها مشاهده شده و کلمه عبور را به راحتی با یک Hex Editor می توان به دست آورد.

و اما بحث اصلی من در مورد امنیت در سطح داده های برنامه است.
به طور ساده می تونیم بگیم که منظور از امنیت در سطح داده، کدگذاری داده است.
یعنی ابداع یا استفاده از روش هایی که باعث میشه داده های مورد نظر ما به کاراکترهایی تبدیل شوند که تنها برای کسانی که مجاز به استفاده از آنها هستند مفهوم داشته باشند.
در بحث داده ها که عموم بحث بر سر بانک های اطلاعاتی است، دو مورد مورد توجه است:
1) سیستم مدیریت پایگاه داده یا DBMS (DataBase Management System)
2) نحوه ذخیره داده ها در DBMS

انتخاب مورد اول به عهده کاربر است. یعنی با توجه به فاکتور ((اهمیت اطلاعات)) انتخاب می شود.
در ساده ترین و کم اهمیت ترین سطح (در زمانی که امنیت و در درجه دوم، سرعت مهم نباشد) یک فایل متنی ساده، پاسخگوی نیاز ما است.
اکثر کاربران که در سطح آغازین وارد دنیای Database می شوند، کار خو درا با بانک اطلاعاتی نرم افزار Access آغاز می کنند. (که مطمئنا در یک طراحی حرفه ای و آنجا که امنیت مطرح باشد، به هیچ وجه پاسخگوی نیاز ما نیست.)
امروزه بانک اطلاعاتی نرم افزار SQL Server که یک نرم افزار کلاینت-سرور است در بیشتر کاربردها به عنوان یک منبع ذخیره سازی قابل اطمینان که ضریب امنیتی بالغ بر 18 برابر بانک Access دارد، مورد استفاده است. (18 لایه امنیتی)
در سطوح بالاتر نیز، بانک های MySQL و Oracle قرار دارند.

ادامه مطلب
+ نوشته شده در  دوشنبه هشتم مهر 1387ساعت 11:0  توسط محمد سروش(ارشد IT )

امنیت و الگوریتم های امنیت
و اما مورد دوم که بحث اصلی ما است.
نحوه ذخیره سازی داده ها به طور پیش فرض به شکل کاراکتری است. حال اگر بتوان یک DBMS قدرتمند را با یک الگوریتم قدرتمند کدکردن داده ها ترکیب کرد، مسلما در سطح امنیت توانسته ایم به جایگاه بالایی دست پیدا کنیم.
نکته مهم: به این نکته مهم توجه داشته باشید که نظم، دشمن امنیت است.
هرچه داده های ما منظم تر باشند، امکان دستبرد به آنها بیشتر است. به همین خاطر است که در امور کوچک (نگهداری اطلاعات سربازان یک پادگان)، فایل Pile بیشترین کاربرد را دارد نه فایل ترتیبی (Sequential) یا شاخص دار (Indexing).

دو الگوریتم محبوب که در کدگذاری داده ها (Encrypt) بیشتر مورد استفاده قرار می گیرند، به شرح زیر هستند:
1) الگوریتم Huffman.
2) الگوریتم Cipher (که ویندوز نیز در کدگذاری داده ها از این الگوریتم استفاده می کند)

الگوریتم Huffman، یک الگوریتم قدیمی است که در ایران برای دانشجوهای کامپیوتر در درس ساختمان داده ها و به عنوان مبحث درخت های ویژه کامپیوتری تدریس می شود.
البته باید مقداری با ساختمان و مبحث درخت ها آشنایی داشته باشید.
فرض کنید رشته زیر برای کدگذاری وجود دارد:

aacccbeeee

قصد داریم رشته فوق را با استفاده از الگوریتم Huffman، کدگذاری کنیم.
ابتدا تعداد تکرار هر یک از کاراکترها را می نویسیم:

a = 2
b = 1
c = 3
e = 4

پس درصد احتمال ظهور هر یک از کاراکترها به شرح زیر شد:
کاراکتر a: 2 به 10
کاراکتر b: 1 به 10
کاراکتر c: 3 به 10
کاراکتر e: 4 به 10

حالا در هر مرتبه هر دو کاراکتری که احتمال ظهورشان از بقیه کمتر است را با هم ترکیب می کنیم:
کاراکتر b با کاراکتر a که می شود 3
کاراکتر c با کاراکتر e که می شود 7
و در نهایت 3 با 7 که می شود 10 و ریشه ی درخت را تشکیل می دهد.
در درختی که ایجاد می کنیم، گره های داخلی بیانگر جمع درصد ظهور کاراکترها و گره های خارجی بیانگر نام کاراکتر است.

البته در اینجا نمیشه شکل درخت را کشید ولی پس از پایان ایجاد درخت، به شاخه های سمت چپ عدد صفر و به شاخه های سمت راست عدد یک نسبت داده می شود و در نتیجه، کد Huffman داده ی مورد نظر به شکل زیر به دست می آید که به صورت صفر و یک است.

a = 01
b = 11
c = 01
d = 00

البته در VB به خاطر ساپورت نکردن از اشاره گرها، پیاده سازی این الگوریتم قدری مشکل است اما غیر ممکن نیست. ولی کد زبان C این الگوریتم را به عنوان پروژه یک درس نوشته ام که اگر دوستان خواستند تبدیل به VB بکنند در اختیارشون خواهم گذاشت.

و اما الگوریتم رمز Cipher که البته این الگوریتم یک مقدار قدیمی هست ولی اینقدر این الگوریتم کارامد هست که ویندوز نیز از این الگوریتم در کدکردن داده ها استفاده می کند.
توجه: می توانید در پوشه نصب ویندوز و در پوشه System32 فایل Cipher.exe را پیدا کنید.
و اما نحوه ی عملکرد الگوریتم Cipher:
کلید این الگوریتم رمز به صورت K=(K1,K2,00000000,Kn) است که در این کلید، حرف N، یک عدد ثابت و مثبت و معرف طول کلید است.
تابع رمز گذار (Encrypt) الگوریتم Cipher به شکل زیر است:

Ek(x1,x2,000000,xn) = (x1+k1,00000+kn) mod 26

و تابع رمزگشای (Decrypt) الگوریتم Cipher نیز به شکل زیر است:

Dk(y1,00000,yn) = (y1-k1,00000,ym-km) mod 26

در تابع رمزگذار، xi، حرف متن اصلی و در تابع رمزگشا، yi، حرف متن رمز شده است.
مثال:
فرض کنید برای کلید رمز، کلمه ی CIPHER را انتخاب کرده ایم. پس در نتیجه، n=6 خواهد شد و معادل کلید رمز، عبارت است از:

k=(2,8,15,7,4,17)

و متنی که می خواهیم به صورت رمز درآید، عبارت زیر است:

"thiscryptosystemis"

برای رمز کردن این متن، آن را به گروه های شش تایی تقسیم می کنیم و کلید را در زیر آنها می نویسیم. یعنی:

t h i s c r y p t o s y s t e m i s
c i p h e r c i p h e r c i p h e r

حالا معادل عددی هر حرف از دو ردیف را می نویسیم. یعنی:

19 7 8 18 2 17 24 15 19 14 18 24 18 19 4 12 8 18
2 8 15 7 4 17 2 8 15 7 4 17 2 8 15 7 4 17

توجه: منظورم از معادل عددی، مکان عدد در بین حروف الفباست که توجه داشته باشید از صفر شروع می شود. مثلا: A برابر صفر، B برابر یک، C برابر دو و …
حال عدد به دست آمده در دو ردیف را در مبنای 26 با هم جمع می کنیم که می شود:

21 15 23 25 6 8 0 23 8 21 22 15 20 1 19 19 12 9

حالا عدد به دست آمده را معکوس کرده و به معادل حروف الفبایشان تبدیل می کنیم که می شود:

"VPXZGIAXIVWPUBTTMJ"

پس عبارت معادل رمز شده ی کلمه مورد نظر ما به شکل فوق حاصل شد.
برای رمزگشایی نیز از همان کلید استفاده می شود و فقط به جای عمل جمع، از تفریق در مبنای 26 استفاده می کنیم.
+ نوشته شده در  دوشنبه هشتم مهر 1387ساعت 11:0  توسط محمد سروش(ارشد IT ) 

بیوگرافی کپلر زبان انگلیسی

Johannes Kepler: His Life, His Laws and Times

Coming up...   International Year of Astronomy (IYA) ...and Kepler     (Picture courtesy of Sternwarte Kremsmünster, Upper-Austria)   A Short Biography A List of Kepler's Firsts Kepler's Laws of Planetary Motion People and Events Contemporary to Kepler (1571-1630) Biographies and books on Kepler Links to Other Sites about Johannes Kepler A Short Biography Johannes Kepler was born at 2:30 PM on December 27, 1571, in Weil der Stadt, Württemburg, in the Holy Roman Empire of German Nationality. He was a sickly child and his parents were poor. But his evident intelligence earned him a scholarship to the University of Tübingen to study for the Lutheran ministry. There he was introduced to the ideas of Copernicus and delighted in them. In 1596, while a mathematics teacher in Graz, he wrote the first outspoken defense of the Copernican system, the Mysterium Cosmographicum. Kepler's family was Lutheran and he adhered to the Augsburg Confession a defining document for Lutheranism. However, he did not adhere to the Lutheran position on the real presence and refused to sign the Formula of Concord. Because of his refusal he was excluded from the sacrament in the Lutheran church. This and his refusal to convert to Catholicism left him alienated by both the Lutherans and the Catholics. Thus he had no refuge during the Thirty-Years War.   The Holy Roman Empire of German Nationality at the Time of Kepler   Kepler was forced to leave his teaching post at Graz due to the counter Reformation because he was Lutheran and moved to Prague to work with the renowned Danish astronomer, Tycho Brahe. He inherited Tycho's post as Imperial Mathematician when Tycho died in 1601. Using the precise data that Tycho had collected, Kepler discovered that the orbit of Mars was an ellipse. In 1609 he published Astronomia Nova, delineating his discoveries, which are now called Kepler's first two laws of planetary motion. And what is just as important about this work, "it is the first published account wherein a scientist documents how he has coped with the multitude of imperfect data to forge a theory of surpassing accuracy" (O. Gingerich in forward to Johannes Kepler New Astronomy translated by W. Donahue, Cambridge Univ Press, 1992), a fundamental law of nature. Today we call this the scientific method. In 1612 Lutherans were forced out of Prague, so Kepler moved on to Linz. His wife and two sons had recently died. He remarried happily, but had many personal and financial troubles. Two infant daughters died and Kepler had to return to Württemburg where he successfully defended his mother against charges of witchcraft. In 1619 he published Harmonices Mundi, in which he describes his "third law." In spite of more forced relocations, Kepler published the seven-volume Epitome Astronomiae in 1621. This was his most influential work and discussed all of heliocentric astronomy in a systematic way. He then went on to complete the Rudolphine Tables that Tycho had started long ago. These included calculations using logarithms, which he developed, and provided perpetual tables for calculating planetary positions for any past or future date. Kepler used the tables to predict a pair of transits by Mercury and Venus of the Sun, although he did not live to witness the events. Johannes Kepler died in Regensburg in 1630, while on a journey from his home in Sagan to collect a debt. His grave was demolished within two years because of the Thirty Years War. Frail of body, but robust in mind and spirit, Kepler was scrupulously honest to the data. Short Biography --||-- Kepler's Firsts --||-- Kepler's Laws --||-- People and Events in Kepler's Time Biographies and books on Kepler --||-- Links to Other Sites about Johannes Kepler --||-- IYA and Kepler A List of Kepler's Firsts First to correctly explain planetary motion, thereby, becoming founder of celestial mechanics and the first "natural laws" in the modern sense; being universal, verifiable, precise. In his book Astronomia Pars Optica, for which he earned the title of founder of modern optics he was the: First to investigate the formation of pictures with a pin hole camera; First to explain the process of vision by refraction within the eye; First to formulate eyeglass designing for nearsightedness and farsightedness; First to explain the use of both eyes for depth perception. In his book Dioptrice (a term coined by Kepler and still used today) he was the: First to describe: real, virtual, upright and inverted images and magnification; First to explain the principles of how a telescope works; First to discover and describe the properties of total internal reflection. In addition: His book Stereometrica Doliorum formed the basis of integral calculus. First to explain that the tides are caused by the Moon (Galileo reproved him for this). Tried to use stellar parallax caused by the Earth's orbit to measure the distance to the stars; the same principle as depth perception. Today this branch of research is called astrometry. First to suggest that the Sun rotates about its axis in Astronomia Nova First to derive the birth year of Christ, that is now universally accepted. First to derive logarithms purely based on mathematics, independent of Napier's tables published in 1614. He coined the word "satellite" in his pamphlet Narratio de Observatis a se quatuor Iovis sattelitibus erronibus Short Biography --||-- Kepler's Firsts --||-- Kepler's Laws --||-- People and Events in Kepler's Time Biographies and books on Kepler --||-- Links to Other Sites about Johannes Kepler --||-- IYA and Kepler Kepler's Laws of Planetary Motion Kepler was assigned the task by Tycho Brahe to analyze the observations that Tycho had made of Mars. Of all the planets, the predicted position of Mars had the largest errors and therefore posed the greatest problem. Tycho's data were the best available before the invention of the telescope and the accuracy was good enough for Kepler to show that Mars' orbit would precisely fit an ellipse. In 1605 he announced The First Law:   Planets move in ellipses with the Sun at one focus.   The figure below illustrates two orbits with the same semi-major axis, focus and orbital period: one a circle with an eccentricity of 0.0; the other an ellipse with an eccentricity of 0.8.   Circular and Elliptical Orbits Having the Same Period and Focus   Prior to this in 1602, Kepler found from trying to calculate the position of the Earth in its orbit that as it sweeps out an area defined by the Sun and the orbital path of the Earth that:   The radius vector describes equal areas in equal times. (The Second Law)   Kepler published these two laws in 1609 in his book Astronomia Nova. For a circle the motion is uniform as shown above, but in order for an object along an elliptical orbit to sweep out the area at a uniform rate, the object moves quickly when the radius vector is short and the object moves slowly when the radius vector is long. On May 15, 1618 he discovered The Third Law:   The squares of the periodic times are to each other as the cubes of the mean distances.   This law he published in 1619 in his Harmonices Mundi . It was this law, not an apple, that lead Newton to his law of gravitation. Kepler can truly be called the founder of celestial mechanics. Also, see the article on "Kepler and Mars - Understanding How Planets Move" by Edna DeVore

رمضان

.

.

..

..

..

.

.

.

سلام

رمضان امسال هم گذشت و من چیزهایی رو فهمیدم که تا بحال فکرش رو هم نمی کردم

یکی اینکه درسته که می گن دست و پای شیطون تو رمضون بسته میشه

اخه کمتر گناه میکنی و اگه خودت شیطون نفست رو آزاد نکنی اصلا گناه سیخی چند

2 اینکه فکر میکنی بزرگ شدی و معرفت زیادی داری ولی همینکه رمضون تموم شدو عید پاک(فطرت) رو پشت سر گذاشتی دوباره وسوسه میشی  دوبارهبدون اینکه بفهمی از نور معرفتت با اولین گناه کم و کمرنگ تر میشه

3 اینکه اونیکه خودش رو نگه میداره می تونه هر آرزویی که خوب باشه بکنه تا برآورده و مستجاب بشه خدا به همش جواب می ده

4 اینکه آدمهای خوب می تونن ملکه مخلوقات بشن طوری که همه موجودات به حرفهای خوب اونها گوش می کنن و اونوقته که به انسان و بنده بودن خودت افتخار می کنی و دعا میکنی که هیچوقت معرففت کم نشه

5 اینکه ترست از موجودات میریزه و اونها هم با تو کاری ندارن (نترس جدی میگم)

6 اینکه اگه همینطوری بمونی می تونی بفهمی که موجودات دیگه چی میگن (آخر احساس شاعرونه)

البته چند تا از موارد بالا رو آرزو کردم که برآورده شدن و شما هم می تونید امتحان کنید

7 اینکه به موقع به نمازت میرسی

8 اینکه فقط حواست باشه هر بار که همل خوبی رو انجام میدی مواظب آزمایش بعدش باش که می خواد به تو نشون بده که این خوبی تو قبوله یا نه اگه بعد از کار خوب منت گذاشتی یا کلام و حرکت ناشایستی از تو تو آزمایش سر بزنه بدون که یه جای کارت ایراد داره

9 اینکه بیشتر وقتها زود به اشتباهت پی می بری و وجدانت اونقدر بیدار هست که تو رو مجبور به جبران اشتباهت بشی و دیگه تکرار نکنی

10 اینکه حضور خدا رو همه جا احساس میکنی اونم چه احساسی یه طوری که تصورت اینه که درست بغلدستت نشسته و داره با تو صحبت میکنه

خوب دیگه همین ده تا بسه

ولی انگار ماه رمضون که تموم می شه تموم گناهات می سوزه و از تو یه آدم دیگه متولد میشه درست مثل تولد ققنوس

راستی از دوستام که اومدن منت رو سرم گذاشتن و نظر دادن خیلی ممنونم و امیدوارم هر جا که هستن موفق باشن

تا بعد

فرهنگ

سلام ایندفعه طبق حرفی که زدم می خوام در مورد فرهنگ بنویسم ودر مورد این برنامه قدیمی شک که از شبکه انم بربریا پخش شد بگم که بجای اینکه بیان فرهنگ سازی بکنن میان تقصیر رو به گردن یکی می اندازن و همونجا دادگاهی هم می شه که مردم نظر بدن مغز هارو شستشو می دن و اونوقت می گن خودتون قضاوت کنید و مطمئن باشید که شما هم همونطور که اونا می خوان قضاوت می کنید

شما هم شاید ته دلتون مثل من باشید

درمورد فرهنگ اینکه بر خلاف بعضی ها که فکر می کنن خیلی با فرهنگ هستن می خوام بگم که هیچی سر در نمیارن یه چیزی این وسط هست که هر کی یه جور با این قضیه برخورد می کنه مثلا همین رد شدن از چراغ قرمز واسه عابر ها که توی متمدن ترین شهر ایران یعنی...... به زور پلیس جا افتاد و مردم احساس خطر کردن که اگه رد شدنو ماشین بهشون حتما زد خودشون مقصرن

یا توی شهر کوچیک ما که تا چند سال پیش سرسبز بود و آب و هوای خوبی داشت به کسی اجاز  نمی دادن که خونه دو طبقه بسازه و حالا که همه ی زمینها و مراتع از بین رفته تازه به فکر افتادن مجوز تا 8 طبقه به بعضی از پارتی دار ها دادن میدونید یه نمونه دیگش همین جنگل گلستان خودمونه که از بزرگترین جنگلهای دنیاستو هر چندوقت یه بار به خاطر بی احتیاطی و بیخیالی مسافرها و گردشگر ها و قاچاقچیهای چوب تیکه تیکه داره نابود می شه چرا چون همه به فکر خودشونن یادشون رفته که سالها زحمت کشیده شده تا اجتماعی بشن و فرهنگ داشته باشن  و  اونها به خاطر منافع شخصی که توسرشون بخوره حتی حاضرن آبروی خودشونو بعنوان یه انسان بفروشنو تبدیل به حیوانهای درنده خو بشن فکر میکنید دروغ می گم شما میگید کار محیط زیست چیه ؟  اینه که هرکی خواست یه درختی رو یه جایی قطع کنه اونها نگذارند و بخوان که بجای اون درخت پیرو کهنه که قطع میشه چند تا درخت نو کاشته بشه یا اینکه یه پولی بجای جریمه بگیرن یا //......

می دونید اونها توی محیط زیست سلاح دارن ولی حق تیر ندارن یعنی کسی که به محیط زیست تجاوز می کنه و جون میلیاردها موجود زنده رو به خطر نابودی میکشونه ونابود میکنه جرمش کمتر از یه آدم روانی یا جنایتکاری که یک نفر رو تهدید کرده یا کشته

حالا دیگه خودتون نگاه کنید ببینید کجای این جامعه هستید و چیکار میتونید بکنید

اگه توی جنگلهای ایران یه گشت امداد شبانه روزی باشه و دوربین کار گذاشته بشه توی جنگلها و با ماهواره کنترل کنن که نابود نشه مثل جاهای دیگه دنیا فردا دیگه از باز هم مشکل پیش اومد قبل از اینکه سرایت کنه جلوش گرفته می شه و الکی تو سرمون نمی زنیم که بگیم ثروت ملی ما از دست رفت

شما که احتمالا این وبلاگ رو دیدن کردی از این نقاشی خیال ما به گوش اونهایی که می تونن کاری بکنن خبر بدین

بگین که هست کسی که دلش داره می سوزه نمی تونه کاری بکنه

راستی اینجا تبریک میگم به هادی ساعی به خاطر قهرمان شدنش و اینکه توی شورای شهر تهران اگه هست شاید بتونه کاری کنه از ما گفتن بود در این نقاشی خیال

من : متولد 1364 یا 1985
پروفایل یونس محمدی
ایمیل مدیر وبلاگ

آرشیو وبلاگ

صفحات وبلاگ

مطالب اخیر

موضوعات وبلاگ

لینکستان