information security awareness
Post on 25-May-2015
473 Views
Preview:
DESCRIPTION
TRANSCRIPT
أساسيات أمن المعلوماتباعيسىعلي بن حسن / م
2010
أساسيات أمن المعلومات
مقدمة عن أمن المعلومات
مخاطر أمن المعلومات
تقنيات أمن المعلومات
المعلوماتسياسات أمن
نصائح عامة في أمن المعلومات
مقدمة عن أمن المعلومات
المعلوماتأمن ه بهدف المعلومات وأنظمتها من الوصول أو االستخدام أو االفصاح أو التغيير أو التدمير غير المصرح بحماية
.توفير سرية تلك المعلومات وتكاملها واستمرارية توافرها
CIAالمعلومات العناصر األساسية ألمن
:سرية المعلومات 1.. لهمالمعلومات من إطالع االشخاص غير المصرح حماية
.المعلومات العسكرية–رواتب الموظفين : مثال
:سالمة المعلومات 2..لمصرح لهمضمان صحة المعلومات المستقبلة بحيث يتم التأكد من عدم تغيير المعلومات أو تحديثها إال من قبل األشخاص ا
1,000,000لاير إلى 1,000تغيير الرقم المحول لحساب بنكي من –تعديل أسماء المقبولين في الوظائف : مثال
:توافرية المعلومات 3..توفر المعلومات وقت الحاجة لها
حذف فواتير العمالء–سقوط الموقع اإللكتروني للخدمات اإللكترونية : مثال
التوازن بين عناصر أمن المعلومات :أمثلة
السرية< التوافرية + السالمة : نظام المالحة الجوية
التوافرية+ السالمة < السرية : شركات صناعة السيارات
التوافرية+ السالمة + السرية : األنظمة العسكرية
لماذا أحتاج إلى أمن المعلومات ؟ليس لدي شيء أرغب بإخفائه
لكن
؟هل تريد أن يطلع اآلخرون على بريدك
هل تريد أن يكون جهازك مصدر للهجمات بدون علمك؟
هل تريد أن يستخدم بريدك إلرسال الرسائل المزعجة لآلخرين؟
هل تريد أن يستطيع اآلخرون االطالع على الملفات الموجودة على جهازك؟
مقدمة عن أمن المعلومات
لماذا نحتاج إلى أمن المعلومات ؟ المعلوماتتطور البنية التحتية لتقنية
ازدياد االعتماد على تقديم الخدمات االلكترونية للمنظمات
قيمة المعلومات
إستمرارية األعمال
الحاجة لالرتباط بنظم االتصاالت واالنترنت
تزايد عدد المخربين والفيروسات
مقدمة عن أمن المعلومات
العناصر األساسية للهجمات اإللكترونية
:وجود الدافع1.
المال
االنتقام
المنافسة
إثبات القدرات الفنية
أغراض سياسية
وجود طريقة لتنفيذ الهجوم2.
Vulnerabilitiesوجود ثغرات أمنية 3.
التصميم
التهيئة
الشبكة
الجهاز
نظام التشغيل
البرنامج
المهاجمين من الداخل1.
87 % (تقرير وزارة الدفاع األمريكية)من منفذي الهجمات من داخل المنظمة
دوالر مليون 2,7معدل تكاليف الهجوم الداخلي
ألف دوالر 57معدل تكاليف الهجوم الخارجي( موقعSANS)
عدم وجود العوائق األمنية بسبب التواجد داخل الشبكة
المهاجمين من الخارج2.
مصادر المخاطر األمنية
أمثلة لمخاطر أمنيةانتحال الشخصية
خسارة السمعة
سرقة أجهزة
(مثل توقف البريد اإللكتروني)انقطاع الخدمة
نشر معلومات سرية
التصنت
اإلصطياد اإللكتروني
مخاطر أمن المعلومات
أمنيةأحداث سابقة لهجمات اختراق هاكر روسي لشركةCD Universe بطاقة ائتمان وطلب 300,000وسرقة
دوالر100,000فدية
---- >نشر معلومات البطاقات على االنترنت
مليون دوالر تديرها شركة 21,7بيع أسهم بقيمةDaewoo Securities بصورة غير
.قانونية بعد اختراق شبكتها
قيام موظف روسي باختراق شبكة شركته وقام برفع راتبه الشهري ورواتب زمالئه.
مخاطر أمن المعلومات
:تعريف الفيروساتبكة برامج ذات هدف تخريبي طورت لتنتشر ذاتيا داخل الجهاز أو الش
.وتقوم بتغييرات في برامج وملفات الجهاز
:أنواع الفيروساتVirusesالفيروسات 1.
ر برامج مضرة تتنتقل بين الحواسيب بعدة طرق وتتكاث
أخرىباالعتماد على ملفات
وقت االنتشار
حادثة معينة
Wormsالديدان2.
تعتمد على نفسها في التكاثر
سرعة االنتقال
األجهزةاستهالك مصادر.
الفيروسات
Trojan Horseحصان طروادة 3.
التنكر على شكل برامج مفيدة
سرقة المعلومات أو تعديلها
إنشاء أبواب خلفيةBack Door
صعوبة اكتشافه
Hoaxالخداع أو البالغ الكاذب 4.
رسالة كاذبة عن ظهور فيروس ونشر هذه الرسالة لعدد من األصدقاء.
الفيروساتالطلب بحذف بعض الملفات األساسية للحماية من
http://f-secure.com/virus-info/hoax
:انتشار الفيروساتطرق تصفح االنترنت
البريد االلكتروني
االقراص الضوئية واقراص الفالش
الشبكات الغير محمية
الفيروسات
مؤشرات على وجود فيروساتبطء الجهاز
التوقف على االستجابة
إعادة تشغيل الجهاز بشكل مفاجيء
كثرة رسائل األخطاء في النظام أو البرنامج
بطء فتح البرامج
أشهر الفيروساتMyDoom(إصابة ربع مليون جهاز في يوم واحد)
Melissia( أرغم شركة مايكروسوفت وشركات كبرى إليقاف أنظمة البريد
(اإللكتروني حتى تحتوي الفيروس
ILOVEYOU
Slammer( دقيقة15إصابة عدد كبير من الخوادم خالل)
Code Red ( ساعات من بدء انتشاره9شل حركة االنترنت خالل)
Storm
الفيروسات
رسالة تبدو من مصدر حقيقي
(كلمة مرور أو معلومات بطاقة ائتمان)طلب بيانات خاصة
ابرسالة من البنك لتحديث معلوماتك وإال تم إغالق الحس
المعلومات الشخصية والحسابات الماليةسرقة
مثالsambaonlineaccess.comاستخدام نطاق مزيف •
samba.comاستخدام النطاق الصحيح •
Phishingاالصطياد االلكتروني
sambaonlineaccess.com: الموقع المزيف لبنك سامبا• Phishingاالصطياد االلكتروني
http://www.sambaonlineaccess.com
samba.com: الموقع الصحيح•
https://www.samba.com
هل هذا موقع اصطياد؟•
:تعريف برنامج التجسسمراقبة سلوك المستخدم على الجهاز
مراقبة المواقع التي يزورها
الغرض من برنامج التجسس (كلمات مرور ، ارقام حسابات بنكية)معرفة معلومات سرية
(أنماط المستخدم)أغراض تجارية
برامج التجسس
:أنواع برامج التجسسSpywareبرنامج التجسس 1.
سلوك المستخدم أو معلوماته بعلمه أو بدون علمه.
Keystroke Loggerبرنامج مسجل نقرات لوحة المفاتيح 2.
تسجيل جميع مايكتب وترسل لمطور البرنامج.
Adwareبرامج االعالنات 3.
اجبارية غير مرغوبةبطرق التسويق
برامج التجسس
استخدام الحيل النفسية للوصول إلى المعلومات
أنجح الوسائل للحصول على المعلومات
ال تستطيع األدوات التقنية إيقافها
أهمية توعية المستخدمين
:طرق جمع المعلوماتمكان العمل
الهاتف
النفايات
االنترنت
Social Engineeringالهندسة االجتماعية
أنواع الهندسة االجتماعيةاإلقناع
انتحال الشخصية
المداهنة
مسايرة الركب
الهندسة االجتماعية العكسية
Social Engineeringالهندسة االجتماعية
من أهم مكونات أمن المعلومات
المفتاح للمرور لمعلوماتك
الطريق النتحال شخصيتك
كلمة المرور
أخطاء في اختيار كلمات المرور (عائلة، أشخاص)أسماء
كلمات من القاموس
(تاريخ،هوية،جوال)أرقام
كلمات صعبة التذكر
كلمة المرور
كيفية كشف كلمات المروراستخدام كلمات القاموس
(رقم موظف،هوية،جوال)أرقام
الطريقة االستقصائيةBrute Force
(AA,AB,AC…AZ,,,)
دمج الطريقتين(CAT,CAT0,CAT1,CAT2,,,,)
الهندسة االجتماعية
راق على المكتبوالبحث عن أ
الوقوف خلف الضحية
التجسس
كلمة المرور
الوقت الالزم لمعرفة كلمة المرور•
حروف )96
صغيرة وكبيرة
وأرقام وعالمات
حروف صغيرة )52
(وكبيرة وأرقام
حروف صغيرة ) 36
أوكبيرة فقط مع
(أرقام
حرف صغير )26
ون بدأو كبير فقط،
(أرقام أو عالمات
طول كلمة
المرور
دقيقة13 دقيقة1 0 0 4
ساعة22 ساعة1 دقائق10 0 5
شهور3 يوم2,2 ساعات6 دقيقة50 6
سنة23 شهور4 أيام9 ساعة22 7
سنة2287 سنة17 شهور10,5 يوم24 8
سنة219,000 سنة881 سنة32,6 شهر21 9
مليون سنة21 سنة45838 سنة1159 سنة45 10
كلمة المرور
كيفية بناء كلمة مرور قوية عدم استخدام كلمة واحدة(Makkah, Alhilal,Ali)
حروف10التقل كلمة المرور عن
استخدام خليط من الحروف الكبيرة والصغيرة واألرقام والرموز
استخدام كلمة مرور سهلة التذكر بدون الحاجة لكتابتها على ملصق
استخدم الجمل
مثال الستخدام الجمل• I work in Media Since 2008
نأخذ أول حرف من كل كلمة
• IwiMS2008
نستبدل حرفS ب 0ورقم $برمزo
• IwiM$2oo8
يمكن استبدال حرفa وحرف @ بـI بـ 8ورقم 1برقم&
التستخدم كلمة المرور نفسها لكل حساباتك
جديدغير كلمة المرور المقدمة لك فورا عند فتح حساب
كلمة المرور
Biometricsالمقاييس الحيوية استخدام الصفات البشرية للتعرف على المستخدم
صعوبة انتحالها
التقنيات المستخدمةبصمة األصابع
اليد
الوجه
شبكية العين
الصوت
كلمة المرور
جدران الحمايةFirewall
التشفيرEncryption
طمس البياناتWiping
التخزين االحتياطيBackup
تقنيات أمن المعلومات
الغرض من تحويل العناوين الرقميةكثرة عدد األجهزة مع قلة العناوين الرقمية المتاحة•
اتصال األجهزة الداخلية بشبكة االنترنت•
NATأنواع ال Static NATالنمط الثابت للتحويل •
Dynamic NATالنمط المتغير للتحويل •
و أمن المعلوماتNATالعالقة بين بكة حاجز لعدم معرفة العناوين الرقمية لألجهزة في الش•
الداخلية من شبكة االنترنت
NATتحويل العناوين الرقمية
لشبكة حاجز تفتيش بين الشبكة الخارجية وا
الداخلية
أنواع الجدران الناريةPacket Filteringتصفية حزم البيانات •
فحص جميع الحزم ومقارنتها مع قائمة •
المرور
لحزم تصفية حزم البيانات مع تغيير عناوين ا•
Proxy
Statefulمراقبة السياق • Inspection
ا مراقبة الحزم المرسلة سابقا ومقارنته•
مع الحالية
Firewallالجدار الناري
تخزين المعلومات الحساسة أو نقلها عبر الشبكات غير اآلمنه
أهداف التشفيرConfidentialityالسرية والخصوصية •
Integrityتكامل البيانات •
Authenticationإثبات الهوية •
Non Repudationعدم الجحود •
Encryptionالتشفير
متطلبات االتصال اآلمن
الهويةمن التحققالجواز، بطاقة األحوال•
سرية المعلوماتظرف مغلق•
سالمة البياناتظرف مغلق مختوم•
عدم اإلنكارالتوقيع والتاريخ•
الحلول المادية لالتصال اآلمن
التشفير:سريمفتاح •
مفتاح عام•
استخدامات خاصة للتشفير:التوقيع اإللكتروني•
الشهادات الرقمية•
الحلول االلكترونية لالتصال اآلمن
Encryptionالتشفير
•Bullet Point Copy Here
•Bullet Point Copy Here
•Bullet Point Copy Here
( التناظري)التشفير بالمفتاح السري
•Bullet Point Copy Here
•Bullet Point Copy Here
•Bullet Point Copy Here
(الغير متناظر)التشفير بالمفتاح العام
كن هل حذف الملف من سلة المحذوفات يعني أنه ال يم
استرجاعه؟
علىالذي يؤشر ال الحذف الذي تم هو حذف المؤشر
وحدة التخزين
شكل الكتابة على وحدات التخزين ب: طمس البيانات
متكرر
ت الكتابة على وحدا: معيار وزارة الدفاع األمريكية
مرات7التخزين
35الكتابة على وحدات التخزين: معيار بيترقتمن
مرة
Wipingطمس البيانات
مجموعة من القوانين والتنظيمات والتوجيهات
ت المتعلقة بكيفية تعامل األشخاص مع المعلوما
تمثل بجميع صورها سواء األليكترونية أو الورقية و
هذه القوانين توجه المنظمة وسياستها في حماية
.معلوماتها وأنظمتها
وماتتوجيه المدير العام بتطبيق سياسة أمن المعل•
سياسات أمن المعلومات
سياسة أمن المنظمة.
سياسة أمن االنترنت.
سياسة استخدام البريد اإلليكتروني.
سياسة كلمة المرور.
سياسة الحماية من الفيروسات.
سياسة األمن المادي.
سياسة االستخدام المتفق عليه.
سياسة أمن المعلومات
سوق االنترنت أداة مفيدة للبحوث والت
واالتصال مع اآلخرين وأغراض
أخرى ولكن هناك مواقع ضارة على
.االنترنت تؤثر على أمن المعلومات
أمن االنترنت
التسوق عبر االنترنت يحتوي على خطورة
إرسال معلومات بطاقتك االئتمانية يجب أن ال يتم إال عبر موقع يستخدم التشفير.
:مثال• https://www.amazon.com فرمش
• http://www.amazon.com غير مشفر
وجود القفل أسفل المتصفح دليل على التشفير
ال تخزن معلوماتك في الجهاز
تسوق عن طريق الشركات المعروفة
تأكد من كتابة اسم الموقع بشكل صحيح وال تعتمد على الضغط على الروابط
التسوق اآلمن
:الغرضتقليل المخاطر المتعلقة بخدمات االنترنت.
:السياسةعدم نشر أي معلومات تخص الهيئة في شبكة االنترنت وعدم وضع أي مواد تابعة للهيئة
.في أي مكان عام يمكن الموصول إليه عن طريق الكمبيوتر( برمجيات ، مذكرات داخلية)
عدم استخدام االنترنت ألغراض أخرى غير النشاطات المرتبطة بالهيئة.
عدم التحدث بإسم الهيئة أو اإلدالء بالتصريحات في شبكة االنترنت.
يتم اإلعالن عن األخبار واإلعالنات من خالل إدارة العالقات العامة.
بارية عدم إرسال أي معلومات تقنية عن البنية التحتية لتقنية المعلومات إلى المجموعات اإلخ
.العامة أو القوائم البريدية
سياسة أمن االنترنت
عدم تركيب برامج غير مصرحة باستخدامها من قبل إدارة االتصاالت وتقنية المعلومات.
منع استخدام أساليب المراوغة لتجاوز بروكسي الهيئة.
(.للشبكةباب خلفي)عدم تركيب أو استخدام موديم على أي جهاز على الشبكة للوصول لالنترنت
عدم رفع أو إرسال أو نشر،أو توزيع أي معلومات أو مواد غير مالئمة أو غير محتشمة أو
.فاحشة أو محرمة أو إنتهاكية أوتشهيرية على اإلنترنت بإستخدام موارد الهيئة
ع أو ال يسمح ألي شخص بإستخدام موارد الهيئة لتثبيت إعالنات شخصية أو لعرض أي سل.خدمات
سياسة أمن االنترنت
:السياسة أن تعتبر كلمة المرور كمعلومة سرية ويجب أن ال تكشف ألي شخص آخريجب.
سابات مثل األصل ، مشرف النظام ، ح)يجب تغيير كلمات المرور الخاصة باألنظمة و بيئات اإلنتاج
.يوم90وذلك كل ( الخ ,إدارة التطبيقات
الشبكة ، مستخدم لتطبيق ، البريد اإللكتروني)يجب تغيير كلمات المرور الخاصة بالمستخدمين ،
.يوم180وذلك مرة واحدة كل ( الخ ...الحاسب المكتبي
نع من عند استخدام كلمة المرور خمس مرات متتالية بشكل خاطيء سوف يقفل حساب المستخدم ويم
.النفاذ إلى نظام المعلومات
ريق دقيقة إلى وضعه السابق آليا أو تنشيط المستخدمين عن ط30سوف يعاد فتح الحساب المغلق بعد
إداري النظام مع مراعاة إجراءات رسمية معدة و مطبقة وذلك لتعريف المستخدم وتحديد سبب
.اإلغالق
مرات سابقة لنفس 3عند إعادة كتابة كلمة المرور فيجب عدم استخدام نفس كلمة المرور آلخر
الحساب
سياسة كلمة المرور
يجب أن ال يباح بكلمات المرور في المحادثات أو إدخالها في رسائل البريد أو أي من أشكال
.االتصاالت اإللكترونية إال إذا كانت مشفرة وموقعة رقمًيا
قيجب عدم كتابة كلمات المرور أو تخزينها في أي نظام معلومات أو في جهاز التخزين أو على ور.
يجب عدم نشر كلمة المرور ألي قريب أو زميل.
:شروط كلمة المرور
>=8حروف.
وأرقامحروفمنتتكون.
شخصيةمعلومةأوشخصاسمعلىتبنىال.
سياسة كلمة المرور
:الغرضهو تقليل المخاطر المتعلقة بخدمات البريد اإللكتروني.
:السياسةيدةيقتصر استخدام البريد اإللكتروني على تبادل الرسائل المتعلقة بالعمل والرسائل المف.
ريده من قبل يجب على الموظف أن يستخدم البريد اإلليكتروني الخاص به فقط و اليسمح باستخدام ب
.شخص آخر مهما كانت الظروف
ة يجب أال يقوم المستخدمون بنشر وتوزيع القوائم البريدية الداخلية ألفراد من خارج الهيئ.
يجب أال يتم فتح أي مرفقات من أشخاص مجهولين أو مصادر غير موثوقة .
سياسة استخدام البريد االلكتروني
عدم إرسال رسائل غير مرغوبة(Spams ) أو رسائل ضارة أو رسائل فيها دعوات دينية أو سياسية.أو تجارية
ريد اإللكترونييجب أال يقوم المستخدمون بتركيب أو تحميل أي برامج أو تحديثات يتم تلقيها عبر الب.
لبريد نظام البريد اإلليكتروني يعتبر من ممتلكات الهيئة فمن الممكن مراقبة جميع محتويات ا
.اإلليكتروني بعلم أو بدون علم صاحبها
قبل يجب أن تكون جميع المرفقات في الرسائل محدودة ومضغوطة باستخدام برامج ضغط الملفات
.إرسالها
ميغا بايت عن طريق البوابات الخارجية وال يسمح 30يحظر إرسال مرفقات ذات حجم أكبر من
ائط المتعددة بإرسال ملفات غير متعلقة بالعمل تحتوي على مرفقات ضخمة ، مثل ملفات الصور والوس.عبر نظام البريد اإللكتروني للهيئة
سياسة استخدام البريد االلكتروني
:الغرض
فر حماية الهيئة من الفيروسات والبرامج الضارة لما تمثله من مخاطر على سرية وسالمة وتو
.أنظمة معلومات الهيئة
:السياسة
تركيب برامج الحماية من الفيروسات على جميع األجهزة والخوادم.
الل ينبغي ضمان سالمة البرامج المستخدمة في أي من موارد تقنية المعلومات في الهيئة من خ
ل التأكد من شرائها من شركات معروفة و اختبارها للتأكد عدم وجود البرامج الضارة فيها قب
.تركيبها
عمل فحص للفيروسات على كافة األجهزة الشخصية.
لمرنة أو يجب فحص جميع الملفات المحملة من االنترنت أو البريد اإلليكتروني أو من األقراص ا
.ذاكرة الفالش قبل فتحها وتشغيلها
منع المستخدمين من تغيير إعدادات أو إزالة أو تعطيل برنامج مضاد الفيروسات.
اإلبالغ عن حاالت الفيروسات التي اكتشفها برنامج الحماية مباشرة.
سياسة الحماية من الفيروسات
هل تستخدم كلمة مرور فارغة؟
ب؟هل تترك جهازك مفتوح عندما تترك المكت
هل سبق أن غيرت كلمة المرور؟
هل هذا هو مكتبك؟
سياسة االستخدام المقبول
:الغرضوفيالرئيسيالمركزفيللهيئةالمادياألمنمتطلباتتحديد
مايةحمتطلباتتحديدوكذلكالفروعفيالهيئةمبانيجميع
.المعلوماتمركزفيوالتطبيقاتالحاسبأنظمة
:السياسةيفاألمنمناطقبتعريفالمعلوماتأمنمسؤوليقومأنيجب
.الهيئةعتبرت)يدخلهاأنأيشخصأيبإستطاعةحيثاإلستقبال،منطقة:أالمنطقة
.(أمنااألقل
لهمالمصرحوالزوارللموظفينالمتاحةالمنطقةوهي:بالمنطقة.
ثلمبدخولهاالموظفينلبعضفقطيسمحالتيالمنطقةوهي:جـالمنطقة.الهامةاألخرىالعملمناطقوالمعلوماتمركز
سياسة األمن المادي
:السياسة•بالمكتبأرضالخاصةالمخططاتوحفظتوثيقيتمأنيجب
ءوالماوالكهرباءالهاتف،كابلخطوطلكلالبيانيةوالرسوم
.الحريقمطافئأماكنإلىباإلضافةوالشبكة،
ةاآلمنللمناطقبالدخولللتحكمأدواتتركيبيتمأنيجب.
أوقاتجميعبتسجيلبالدخولالتحكمأدواتتهيئةيتمأنيجب
.اآلمنةللمناطقوالخروجالدخول
يكافبشكلالهيئةمبانيمداخلومراقبةحراسةيتمأنيجب.
هليسمكانفيالطوارئألرقامهواتفدليلحفظيتمأنيجب
.الحاجةعندإليهالوصول
سياسة األمن المادي
:كتب عربية
:مواقع عربيةمركز التميز ألمن المعلومات
www.coeia.edu.saأمن
ammen.coeia.edu.sa
مراجع في أمن المعلومات
أي منشأةالموظف هو رجل أمن المعلومات األول في
شكرا لكم
top related