أساسيات أمن المعلوماتباعيسىعلي بن حسن / م

2010

أساسيات أمن المعلومات

مقدمة عن أمن المعلومات

مخاطر أمن المعلومات

تقنيات أمن المعلومات

المعلوماتسياسات أمن

نصائح عامة في أمن المعلومات

مقدمة عن أمن المعلومات

المعلوماتأمن ه بهدف المعلومات وأنظمتها من الوصول أو االستخدام أو االفصاح أو التغيير أو التدمير غير المصرح بحماية

.توفير سرية تلك المعلومات وتكاملها واستمرارية توافرها

CIAالمعلومات العناصر األساسية ألمن

:سرية المعلومات 1.. لهمالمعلومات من إطالع االشخاص غير المصرح حماية

.المعلومات العسكرية–رواتب الموظفين : مثال

:سالمة المعلومات 2..لمصرح لهمضمان صحة المعلومات المستقبلة بحيث يتم التأكد من عدم تغيير المعلومات أو تحديثها إال من قبل األشخاص ا

1,000,000لاير إلى 1,000تغيير الرقم المحول لحساب بنكي من –تعديل أسماء المقبولين في الوظائف : مثال

:توافرية المعلومات 3..توفر المعلومات وقت الحاجة لها

حذف فواتير العمالء–سقوط الموقع اإللكتروني للخدمات اإللكترونية : مثال

التوازن بين عناصر أمن المعلومات :أمثلة

السرية< التوافرية + السالمة : نظام المالحة الجوية

التوافرية+ السالمة < السرية : شركات صناعة السيارات

التوافرية+ السالمة + السرية : األنظمة العسكرية

لماذا أحتاج إلى أمن المعلومات ؟ليس لدي شيء أرغب بإخفائه

لكن

؟هل تريد أن يطلع اآلخرون على بريدك

هل تريد أن يكون جهازك مصدر للهجمات بدون علمك؟

هل تريد أن يستخدم بريدك إلرسال الرسائل المزعجة لآلخرين؟

هل تريد أن يستطيع اآلخرون االطالع على الملفات الموجودة على جهازك؟

مقدمة عن أمن المعلومات

لماذا نحتاج إلى أمن المعلومات ؟ المعلوماتتطور البنية التحتية لتقنية

ازدياد االعتماد على تقديم الخدمات االلكترونية للمنظمات

قيمة المعلومات

إستمرارية األعمال

الحاجة لالرتباط بنظم االتصاالت واالنترنت

تزايد عدد المخربين والفيروسات

مقدمة عن أمن المعلومات

العناصر األساسية للهجمات اإللكترونية

:وجود الدافع1.

المال

االنتقام

المنافسة

إثبات القدرات الفنية

أغراض سياسية

وجود طريقة لتنفيذ الهجوم2.

Vulnerabilitiesوجود ثغرات أمنية 3.

التصميم

التهيئة

الشبكة

الجهاز

نظام التشغيل

البرنامج

المهاجمين من الداخل1.

87 % (تقرير وزارة الدفاع األمريكية)من منفذي الهجمات من داخل المنظمة

دوالر مليون 2,7معدل تكاليف الهجوم الداخلي

ألف دوالر 57معدل تكاليف الهجوم الخارجي( موقعSANS)

عدم وجود العوائق األمنية بسبب التواجد داخل الشبكة

المهاجمين من الخارج2.

مصادر المخاطر األمنية

أمثلة لمخاطر أمنيةانتحال الشخصية

خسارة السمعة

سرقة أجهزة

(مثل توقف البريد اإللكتروني)انقطاع الخدمة

نشر معلومات سرية

التصنت

اإلصطياد اإللكتروني

مخاطر أمن المعلومات

أمنيةأحداث سابقة لهجمات اختراق هاكر روسي لشركةCD Universe بطاقة ائتمان وطلب 300,000وسرقة

دوالر100,000فدية

---- >نشر معلومات البطاقات على االنترنت

مليون دوالر تديرها شركة 21,7بيع أسهم بقيمةDaewoo Securities بصورة غير

.قانونية بعد اختراق شبكتها

قيام موظف روسي باختراق شبكة شركته وقام برفع راتبه الشهري ورواتب زمالئه.

مخاطر أمن المعلومات

:تعريف الفيروساتبكة برامج ذات هدف تخريبي طورت لتنتشر ذاتيا داخل الجهاز أو الش

.وتقوم بتغييرات في برامج وملفات الجهاز

:أنواع الفيروساتVirusesالفيروسات 1.

ر برامج مضرة تتنتقل بين الحواسيب بعدة طرق وتتكاث

أخرىباالعتماد على ملفات

وقت االنتشار

حادثة معينة

Wormsالديدان2.

تعتمد على نفسها في التكاثر

سرعة االنتقال

األجهزةاستهالك مصادر.

الفيروسات

Trojan Horseحصان طروادة 3.

التنكر على شكل برامج مفيدة

سرقة المعلومات أو تعديلها

إنشاء أبواب خلفيةBack Door

صعوبة اكتشافه

Hoaxالخداع أو البالغ الكاذب 4.

رسالة كاذبة عن ظهور فيروس ونشر هذه الرسالة لعدد من األصدقاء.

الفيروساتالطلب بحذف بعض الملفات األساسية للحماية من

http://f-secure.com/virus-info/hoax

:انتشار الفيروساتطرق تصفح االنترنت

البريد االلكتروني

االقراص الضوئية واقراص الفالش

الشبكات الغير محمية

الفيروسات

مؤشرات على وجود فيروساتبطء الجهاز

التوقف على االستجابة

إعادة تشغيل الجهاز بشكل مفاجيء

كثرة رسائل األخطاء في النظام أو البرنامج

بطء فتح البرامج

أشهر الفيروساتMyDoom(إصابة ربع مليون جهاز في يوم واحد)

Melissia( أرغم شركة مايكروسوفت وشركات كبرى إليقاف أنظمة البريد

(اإللكتروني حتى تحتوي الفيروس

ILOVEYOU

Slammer( دقيقة15إصابة عدد كبير من الخوادم خالل)

Code Red ( ساعات من بدء انتشاره9شل حركة االنترنت خالل)

Storm

الفيروسات

رسالة تبدو من مصدر حقيقي

(كلمة مرور أو معلومات بطاقة ائتمان)طلب بيانات خاصة

ابرسالة من البنك لتحديث معلوماتك وإال تم إغالق الحس

المعلومات الشخصية والحسابات الماليةسرقة

مثالsambaonlineaccess.comاستخدام نطاق مزيف •

samba.comاستخدام النطاق الصحيح •

Phishingاالصطياد االلكتروني

sambaonlineaccess.com: الموقع المزيف لبنك سامبا• Phishingاالصطياد االلكتروني

http://www.sambaonlineaccess.com

samba.com: الموقع الصحيح•

https://www.samba.com

http://Riyadonlin.net.ms

مزيف

riyadbank.com: الموقع الصحيح•

https://www.riyadonline.com

صحيح

هل هذا موقع اصطياد؟•

:تعريف برنامج التجسسمراقبة سلوك المستخدم على الجهاز

مراقبة المواقع التي يزورها

الغرض من برنامج التجسس (كلمات مرور ، ارقام حسابات بنكية)معرفة معلومات سرية

(أنماط المستخدم)أغراض تجارية

برامج التجسس

:أنواع برامج التجسسSpywareبرنامج التجسس 1.

سلوك المستخدم أو معلوماته بعلمه أو بدون علمه.

Keystroke Loggerبرنامج مسجل نقرات لوحة المفاتيح 2.

تسجيل جميع مايكتب وترسل لمطور البرنامج.

Adwareبرامج االعالنات 3.

اجبارية غير مرغوبةبطرق التسويق

برامج التجسس

استخدام الحيل النفسية للوصول إلى المعلومات

أنجح الوسائل للحصول على المعلومات

ال تستطيع األدوات التقنية إيقافها

أهمية توعية المستخدمين

:طرق جمع المعلوماتمكان العمل

الهاتف

النفايات

االنترنت

Social Engineeringالهندسة االجتماعية

أنواع الهندسة االجتماعيةاإلقناع

انتحال الشخصية

المداهنة

مسايرة الركب

الهندسة االجتماعية العكسية

Social Engineeringالهندسة االجتماعية

من أهم مكونات أمن المعلومات

المفتاح للمرور لمعلوماتك

الطريق النتحال شخصيتك

كلمة المرور

أخطاء في اختيار كلمات المرور (عائلة، أشخاص)أسماء

كلمات من القاموس

(تاريخ،هوية،جوال)أرقام

كلمات صعبة التذكر

كلمة المرور

كيفية كشف كلمات المروراستخدام كلمات القاموس

(رقم موظف،هوية،جوال)أرقام

الطريقة االستقصائيةBrute Force

(AA,AB,AC…AZ,,,)

دمج الطريقتين(CAT,CAT0,CAT1,CAT2,,,,)

الهندسة االجتماعية

راق على المكتبوالبحث عن أ

الوقوف خلف الضحية

التجسس

كلمة المرور

الوقت الالزم لمعرفة كلمة المرور•

حروف )96

صغيرة وكبيرة

وأرقام وعالمات

حروف صغيرة )52

(وكبيرة وأرقام

حروف صغيرة ) 36

أوكبيرة فقط مع

(أرقام

حرف صغير )26

ون بدأو كبير فقط،

(أرقام أو عالمات

طول كلمة

المرور

دقيقة13 دقيقة1 0 0 4

ساعة22 ساعة1 دقائق10 0 5

شهور3 يوم2,2 ساعات6 دقيقة50 6

سنة23 شهور4 أيام9 ساعة22 7

سنة2287 سنة17 شهور10,5 يوم24 8

سنة219,000 سنة881 سنة32,6 شهر21 9

مليون سنة21 سنة45838 سنة1159 سنة45 10

كلمة المرور

كيفية بناء كلمة مرور قوية عدم استخدام كلمة واحدة(Makkah, Alhilal,Ali)

حروف10التقل كلمة المرور عن

استخدام خليط من الحروف الكبيرة والصغيرة واألرقام والرموز

استخدام كلمة مرور سهلة التذكر بدون الحاجة لكتابتها على ملصق

استخدم الجمل

مثال الستخدام الجمل• I work in Media Since 2008

نأخذ أول حرف من كل كلمة

• IwiMS2008

نستبدل حرفS ب 0ورقم $برمزo

• IwiM$2oo8

يمكن استبدال حرفa وحرف @ بـI بـ 8ورقم 1برقم&

التستخدم كلمة المرور نفسها لكل حساباتك

جديدغير كلمة المرور المقدمة لك فورا عند فتح حساب

كلمة المرور

Biometricsالمقاييس الحيوية استخدام الصفات البشرية للتعرف على المستخدم

صعوبة انتحالها

التقنيات المستخدمةبصمة األصابع

اليد

الوجه

شبكية العين

الصوت

كلمة المرور

جدران الحمايةFirewall

التشفيرEncryption

طمس البياناتWiping

التخزين االحتياطيBackup

تقنيات أمن المعلومات

الغرض من تحويل العناوين الرقميةكثرة عدد األجهزة مع قلة العناوين الرقمية المتاحة•

اتصال األجهزة الداخلية بشبكة االنترنت•

NATأنواع ال Static NATالنمط الثابت للتحويل •

Dynamic NATالنمط المتغير للتحويل •

و أمن المعلوماتNATالعالقة بين بكة حاجز لعدم معرفة العناوين الرقمية لألجهزة في الش•

الداخلية من شبكة االنترنت

NATتحويل العناوين الرقمية

لشبكة حاجز تفتيش بين الشبكة الخارجية وا

الداخلية

أنواع الجدران الناريةPacket Filteringتصفية حزم البيانات •

فحص جميع الحزم ومقارنتها مع قائمة •

المرور

لحزم تصفية حزم البيانات مع تغيير عناوين ا•

Proxy

Statefulمراقبة السياق • Inspection

ا مراقبة الحزم المرسلة سابقا ومقارنته•

مع الحالية

Firewallالجدار الناري

تخزين المعلومات الحساسة أو نقلها عبر الشبكات غير اآلمنه

أهداف التشفيرConfidentialityالسرية والخصوصية •

Integrityتكامل البيانات •

Authenticationإثبات الهوية •

Non Repudationعدم الجحود •

Encryptionالتشفير

متطلبات االتصال اآلمن

الهويةمن التحققالجواز، بطاقة األحوال•

سرية المعلوماتظرف مغلق•

سالمة البياناتظرف مغلق مختوم•

عدم اإلنكارالتوقيع والتاريخ•

الحلول المادية لالتصال اآلمن

التشفير:سريمفتاح •

مفتاح عام•

استخدامات خاصة للتشفير:التوقيع اإللكتروني•

الشهادات الرقمية•

الحلول االلكترونية لالتصال اآلمن

Encryptionالتشفير

•Bullet Point Copy Here

•Bullet Point Copy Here

•Bullet Point Copy Here

( التناظري)التشفير بالمفتاح السري

•Bullet Point Copy Here

•Bullet Point Copy Here

•Bullet Point Copy Here

(الغير متناظر)التشفير بالمفتاح العام

كن هل حذف الملف من سلة المحذوفات يعني أنه ال يم

استرجاعه؟

علىالذي يؤشر ال الحذف الذي تم هو حذف المؤشر

وحدة التخزين

شكل الكتابة على وحدات التخزين ب: طمس البيانات

متكرر

ت الكتابة على وحدا: معيار وزارة الدفاع األمريكية

مرات7التخزين

35الكتابة على وحدات التخزين: معيار بيترقتمن

مرة

Wipingطمس البيانات

مجموعة من القوانين والتنظيمات والتوجيهات

ت المتعلقة بكيفية تعامل األشخاص مع المعلوما

تمثل بجميع صورها سواء األليكترونية أو الورقية و

هذه القوانين توجه المنظمة وسياستها في حماية

.معلوماتها وأنظمتها

وماتتوجيه المدير العام بتطبيق سياسة أمن المعل•

سياسات أمن المعلومات

سياسة أمن المنظمة.

سياسة أمن االنترنت.

سياسة استخدام البريد اإلليكتروني.

سياسة كلمة المرور.

سياسة الحماية من الفيروسات.

سياسة األمن المادي.

سياسة االستخدام المتفق عليه.

سياسة أمن المعلومات

سوق االنترنت أداة مفيدة للبحوث والت

واالتصال مع اآلخرين وأغراض

أخرى ولكن هناك مواقع ضارة على

.االنترنت تؤثر على أمن المعلومات

أمن االنترنت

التسوق عبر االنترنت يحتوي على خطورة

إرسال معلومات بطاقتك االئتمانية يجب أن ال يتم إال عبر موقع يستخدم التشفير.

:مثال• https://www.amazon.com فرمش

• http://www.amazon.com غير مشفر

وجود القفل أسفل المتصفح دليل على التشفير

ال تخزن معلوماتك في الجهاز

تسوق عن طريق الشركات المعروفة

تأكد من كتابة اسم الموقع بشكل صحيح وال تعتمد على الضغط على الروابط

التسوق اآلمن

:الغرضتقليل المخاطر المتعلقة بخدمات االنترنت.

:السياسةعدم نشر أي معلومات تخص الهيئة في شبكة االنترنت وعدم وضع أي مواد تابعة للهيئة

.في أي مكان عام يمكن الموصول إليه عن طريق الكمبيوتر( برمجيات ، مذكرات داخلية)

عدم استخدام االنترنت ألغراض أخرى غير النشاطات المرتبطة بالهيئة.

عدم التحدث بإسم الهيئة أو اإلدالء بالتصريحات في شبكة االنترنت.

يتم اإلعالن عن األخبار واإلعالنات من خالل إدارة العالقات العامة.

بارية عدم إرسال أي معلومات تقنية عن البنية التحتية لتقنية المعلومات إلى المجموعات اإلخ

.العامة أو القوائم البريدية

سياسة أمن االنترنت

عدم تركيب برامج غير مصرحة باستخدامها من قبل إدارة االتصاالت وتقنية المعلومات.

منع استخدام أساليب المراوغة لتجاوز بروكسي الهيئة.

(.للشبكةباب خلفي)عدم تركيب أو استخدام موديم على أي جهاز على الشبكة للوصول لالنترنت

عدم رفع أو إرسال أو نشر،أو توزيع أي معلومات أو مواد غير مالئمة أو غير محتشمة أو

.فاحشة أو محرمة أو إنتهاكية أوتشهيرية على اإلنترنت بإستخدام موارد الهيئة

ع أو ال يسمح ألي شخص بإستخدام موارد الهيئة لتثبيت إعالنات شخصية أو لعرض أي سل.خدمات

سياسة أمن االنترنت

:السياسة أن تعتبر كلمة المرور كمعلومة سرية ويجب أن ال تكشف ألي شخص آخريجب.

سابات مثل األصل ، مشرف النظام ، ح)يجب تغيير كلمات المرور الخاصة باألنظمة و بيئات اإلنتاج

.يوم90وذلك كل ( الخ ,إدارة التطبيقات

الشبكة ، مستخدم لتطبيق ، البريد اإللكتروني)يجب تغيير كلمات المرور الخاصة بالمستخدمين ،

.يوم180وذلك مرة واحدة كل ( الخ ...الحاسب المكتبي

نع من عند استخدام كلمة المرور خمس مرات متتالية بشكل خاطيء سوف يقفل حساب المستخدم ويم

.النفاذ إلى نظام المعلومات

ريق دقيقة إلى وضعه السابق آليا أو تنشيط المستخدمين عن ط30سوف يعاد فتح الحساب المغلق بعد

إداري النظام مع مراعاة إجراءات رسمية معدة و مطبقة وذلك لتعريف المستخدم وتحديد سبب

.اإلغالق

مرات سابقة لنفس 3عند إعادة كتابة كلمة المرور فيجب عدم استخدام نفس كلمة المرور آلخر

الحساب

سياسة كلمة المرور

يجب أن ال يباح بكلمات المرور في المحادثات أو إدخالها في رسائل البريد أو أي من أشكال

.االتصاالت اإللكترونية إال إذا كانت مشفرة وموقعة رقمًيا

قيجب عدم كتابة كلمات المرور أو تخزينها في أي نظام معلومات أو في جهاز التخزين أو على ور.

يجب عدم نشر كلمة المرور ألي قريب أو زميل.

:شروط كلمة المرور

>=8حروف.

وأرقامحروفمنتتكون.

شخصيةمعلومةأوشخصاسمعلىتبنىال.

سياسة كلمة المرور

:الغرضهو تقليل المخاطر المتعلقة بخدمات البريد اإللكتروني.

:السياسةيدةيقتصر استخدام البريد اإللكتروني على تبادل الرسائل المتعلقة بالعمل والرسائل المف.

ريده من قبل يجب على الموظف أن يستخدم البريد اإلليكتروني الخاص به فقط و اليسمح باستخدام ب

.شخص آخر مهما كانت الظروف

ة يجب أال يقوم المستخدمون بنشر وتوزيع القوائم البريدية الداخلية ألفراد من خارج الهيئ.

يجب أال يتم فتح أي مرفقات من أشخاص مجهولين أو مصادر غير موثوقة .

سياسة استخدام البريد االلكتروني

عدم إرسال رسائل غير مرغوبة(Spams ) أو رسائل ضارة أو رسائل فيها دعوات دينية أو سياسية.أو تجارية

ريد اإللكترونييجب أال يقوم المستخدمون بتركيب أو تحميل أي برامج أو تحديثات يتم تلقيها عبر الب.

لبريد نظام البريد اإلليكتروني يعتبر من ممتلكات الهيئة فمن الممكن مراقبة جميع محتويات ا

.اإلليكتروني بعلم أو بدون علم صاحبها

قبل يجب أن تكون جميع المرفقات في الرسائل محدودة ومضغوطة باستخدام برامج ضغط الملفات

.إرسالها

ميغا بايت عن طريق البوابات الخارجية وال يسمح 30يحظر إرسال مرفقات ذات حجم أكبر من

ائط المتعددة بإرسال ملفات غير متعلقة بالعمل تحتوي على مرفقات ضخمة ، مثل ملفات الصور والوس.عبر نظام البريد اإللكتروني للهيئة

سياسة استخدام البريد االلكتروني

:الغرض

فر حماية الهيئة من الفيروسات والبرامج الضارة لما تمثله من مخاطر على سرية وسالمة وتو

.أنظمة معلومات الهيئة

:السياسة

تركيب برامج الحماية من الفيروسات على جميع األجهزة والخوادم.

الل ينبغي ضمان سالمة البرامج المستخدمة في أي من موارد تقنية المعلومات في الهيئة من خ

ل التأكد من شرائها من شركات معروفة و اختبارها للتأكد عدم وجود البرامج الضارة فيها قب

.تركيبها

عمل فحص للفيروسات على كافة األجهزة الشخصية.

لمرنة أو يجب فحص جميع الملفات المحملة من االنترنت أو البريد اإلليكتروني أو من األقراص ا

.ذاكرة الفالش قبل فتحها وتشغيلها

منع المستخدمين من تغيير إعدادات أو إزالة أو تعطيل برنامج مضاد الفيروسات.

اإلبالغ عن حاالت الفيروسات التي اكتشفها برنامج الحماية مباشرة.

سياسة الحماية من الفيروسات

هل تستخدم كلمة مرور فارغة؟

ب؟هل تترك جهازك مفتوح عندما تترك المكت

هل سبق أن غيرت كلمة المرور؟

هل هذا هو مكتبك؟

سياسة االستخدام المقبول

:الغرضوفيالرئيسيالمركزفيللهيئةالمادياألمنمتطلباتتحديد

مايةحمتطلباتتحديدوكذلكالفروعفيالهيئةمبانيجميع

.المعلوماتمركزفيوالتطبيقاتالحاسبأنظمة

:السياسةيفاألمنمناطقبتعريفالمعلوماتأمنمسؤوليقومأنيجب

.الهيئةعتبرت)يدخلهاأنأيشخصأيبإستطاعةحيثاإلستقبال،منطقة:أالمنطقة

.(أمنااألقل

لهمالمصرحوالزوارللموظفينالمتاحةالمنطقةوهي:بالمنطقة.

ثلمبدخولهاالموظفينلبعضفقطيسمحالتيالمنطقةوهي:جـالمنطقة.الهامةاألخرىالعملمناطقوالمعلوماتمركز

سياسة األمن المادي

:السياسة•بالمكتبأرضالخاصةالمخططاتوحفظتوثيقيتمأنيجب

ءوالماوالكهرباءالهاتف،كابلخطوطلكلالبيانيةوالرسوم

.الحريقمطافئأماكنإلىباإلضافةوالشبكة،

ةاآلمنللمناطقبالدخولللتحكمأدواتتركيبيتمأنيجب.

أوقاتجميعبتسجيلبالدخولالتحكمأدواتتهيئةيتمأنيجب

.اآلمنةللمناطقوالخروجالدخول

يكافبشكلالهيئةمبانيمداخلومراقبةحراسةيتمأنيجب.

هليسمكانفيالطوارئألرقامهواتفدليلحفظيتمأنيجب

.الحاجةعندإليهالوصول

سياسة األمن المادي

:كتب عربية

:مواقع عربيةمركز التميز ألمن المعلومات

www.coeia.edu.saأمن

ammen.coeia.edu.sa

مراجع في أمن المعلومات

أي منشأةالموظف هو رجل أمن المعلومات األول في

شكرا لكم