‫أساسيات أمن المعلومات‬
‫م/ علي بن حسن باعيسى‬
‫0102‬

‫أساسيات أمن المعلومات‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫مقدمة عن أمن المعلومات‬
‫مخاطر أمن المعلومات‬
‫تقنيات أمن المعلومات‬
‫سياسات أمن المعلومات‬
‫نصائح عامة في أمن المعلومات‬

‫مقدمة عن أمن المعلومات‬
‫أمن المعلومات‬
‫حماية المعلومات وأنظمتها من الوصول أو االستخدام أو االفصاح أو التغيير أو التدمير غير المصرح به بهدف‬
‫توفير سرية تلك المعلومات وتكاملها واستمرارية توافرها.‬
‫العناصر األساسية ألمن المعلومات ‪CIA‬‬
‫1. سرية المعلومات :‬
‫حماية المعلومات من إطالع االشخاص غير المصرح لهم.‬
‫مثال: رواتب الموظفين – المعلومات العسكرية.‬
‫2. سالمة المعلومات :‬
‫ضمان صحة المعلومات المستقبلة بحيث يتم التأكد من عدم تغيير المعلومات أو تحديثها إال من قبل األشخاص المصرح لهم.‬
‫مثال: تعديل أسماء المقبولين في الوظائف – تغيير الرقم المحول لحساب بنكي من 000,1 لاير إلى 000,000,1‬
‫3. توافرية المعلومات :‬
‫توفر المعلومات وقت الحاجة لها.‬
‫مثال: سقوط الموقع اإللكتروني للخدمات اإللكترونية – حذف فواتير العمالء‬

‫مقدمة عن أمن المعلومات‬
‫التوازن بين عناصر أمن المعلومات‬
‫أمثلة:‬
‫نظام المالحة الجوية: السالمة + التوافرية > السرية‬
‫شركات صناعة السيارات: السرية > السالمة + التوافرية‬
‫األنظمة العسكرية: السرية + السالمة + التوافرية‬
‫لماذا أحتاج إلى أمن المعلومات ؟‬
‫ليس لدي شيء أرغب بإخفائه‬
‫لكن‬
‫هل تريد أن يطلع اآلخرون على بريدك؟‬
‫هل تريد أن يكون جهازك مصدر للهجمات بدون علمك؟‬
‫هل تريد أن يستخدم بريدك إلرسال الرسائل المزعجة لآلخرين؟‬
‫هل تريد أن يستطيع اآلخرون االطالع على الملفات الموجودة على جهازك؟‬

‫مقدمة عن أمن المعلومات‬
‫لماذا نحتاج إلى أمن المعلومات ؟‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫تطور البنية التحتية لتقنية المعلومات‬
‫ازدياد االعتماد على تقديم الخدمات االلكترونية للمنظمات‬
‫قيمة المعلومات‬
‫إستمرارية األعمال‬
‫الحاجة لالرتباط بنظم االتصاالت واالنترنت‬
‫تزايد عدد المخربين والفيروسات‬

‫العناصر األساسية للهجمات اإللكترونية‬
‫1.‬
‫2.‬
‫3.‬
‫وجود الدافع:‬
‫‪ ‬المال‬
‫‪ ‬االنتقام‬
‫‪ ‬المنافسة‬
‫‪ ‬إثبات القدرات الفنية‬
‫‪ ‬أغراض سياسية‬
‫وجود طريقة لتنفيذ الهجوم‬
‫وجود ثغرات أمنية ‪Vulnerabilities‬‬
‫‪ ‬التصميم‬
‫‪ ‬التهيئة‬
‫‪ ‬الشبكة‬
‫‪ ‬الجهاز‬
‫‪ ‬نظام التشغيل‬
‫‪ ‬البرنامج‬

‫مصادر المخاطر األمنية‬
‫1.‬
‫2.‬
‫المهاجمين من الداخل‬
‫‪ %87 ‬من منفذي الهجمات من داخل المنظمة (تقرير وزارة الدفاع األمريكية)‬
‫‪ ‬معدل تكاليف الهجوم الداخلي 7,2 مليون دوالر‬
‫‪ ‬معدل تكاليف الهجوم الخارجي 75 ألف دوالر (موقع ‪)SANS‬‬
‫‪ ‬عدم وجود العوائق األمنية بسبب التواجد داخل الشبكة‬
‫المهاجمين من الخارج‬

‫مخاطر أمن المعلومات‬
‫أمثلة لمخاطر أمنية‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫انتحال الشخصية‬
‫خسارة السمعة‬
‫سرقة أجهزة‬
‫انقطاع الخدمة (مثل توقف البريد اإللكتروني)‬
‫نشر معلومات سرية‬
‫التصنت‬
‫اإلصطياد اإللكتروني‬

‫مخاطر أمن المعلومات‬
‫أحداث سابقة لهجمات أمنية‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫اختراق هاكر روسي لشركة ‪ CD Universe‬وسرقة 000,003 بطاقة ائتمان وطلب‬
‫فدية 000,001 دوالر‬
‫---> نشر معلومات البطاقات على االنترنت‬‫بيع أسهم بقيمة 7,12 مليون دوالر تديرها شركة ‪ Daewoo Securities‬بصورة غير‬
‫قانونية بعد اختراق شبكتها.‬
‫قيام موظف روسي باختراق شبكة شركته وقام برفع راتبه الشهري ورواتب زمالئه.‬

‫الفيروسات‬
‫تعريف الفيروسات:‬
‫‪ ‬برامج ذات هدف تخريبي طورت لتنتشر ذاتيا داخل الجهاز أو الشبكة‬
‫وتقوم بتغييرات في برامج وملفات الجهاز.‬
‫أنواع الفيروسات:‬
‫1.‬
‫الفيروسات ‪Viruses‬‬
‫‪ ‬برامج مضرة تتنتقل بين الحواسيب بعدة طرق وتتكاثر‬
‫باالعتماد على ملفات أخرى‬
‫‪ ‬وقت االنتشار‬
‫‪ ‬حادثة معينة‬
‫2.‬
‫الديدان ‪Worms‬‬
‫‪ ‬تعتمد على نفسها في التكاثر‬
‫‪ ‬سرعة االنتقال‬
‫‪‬‬
‫استهالك مصادر األجهزة.‬

‫الفيروسات‬
‫3.‬
‫4.‬
‫حصان طروادة ‪Trojan Horse‬‬
‫‪ ‬التنكر على شكل برامج مفيدة‬
‫‪ ‬سرقة المعلومات أو تعديلها‬
‫‪ ‬إنشاء أبواب خلفية ‪Back Door‬‬
‫‪ ‬صعوبة اكتشافه‬
‫الخداع أو البالغ الكاذب ‪Hoax‬‬
‫‪ ‬رسالة كاذبة عن ظهور فيروس ونشر هذه الرسالة لعدد من األصدقاء.‬
‫‪ ‬الطلب بحذف بعض الملفات األساسية للحماية من الفيروسات‬
‫‪http://f-secure.com/virus-info/hoax ‬‬
‫طرق انتشار الفيروسات:‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫تصفح االنترنت‬
‫البريد االلكتروني‬
‫االقراص الضوئية واقراص الفالش‬
‫الشبكات الغير محمية‬

‫الفيروسات‬
‫مؤشرات على وجود فيروسات‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫بطء الجهاز‬
‫التوقف على االستجابة‬
‫إعادة تشغيل الجهاز بشكل مفاجيء‬
‫كثرة رسائل األخطاء في النظام أو البرنامج‬
‫بطء فتح البرامج‬
‫أشهر الفيروسات‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪( MyDoom‬إصابة ربع مليون جهاز في يوم واحد)‬
‫‪( Melissia‬أرغم شركة مايكروسوفت وشركات كبرى إليقاف أنظمة البريد‬
‫اإللكتروني حتى تحتوي الفيروس)‬
‫‪ILOVEYOU‬‬
‫‪( Slammer‬إصابة عدد كبير من الخوادم خالل 51 دقيقة)‬
‫‪ ( Code Red‬شل حركة االنترنت خالل 9 ساعات من بدء انتشاره)‬
‫‪Storm‬‬

‫االصطياد االلكتروني ‪Phishing‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫رسالة تبدو من مصدر حقيقي‬
‫طلب بيانات خاصة (كلمة مرور أو معلومات بطاقة ائتمان)‬
‫رسالة من البنك لتحديث معلوماتك وإال تم إغالق الحساب‬
‫سرقة المعلومات الشخصية والحسابات المالية‬
‫مثال‬
‫•‬
‫•‬
‫استخدام نطاق مزيف ‪sambaonlineaccess.com‬‬
‫استخدام النطاق الصحيح ‪samba.com‬‬

Phishing ‫االلكتروني‬
sambaonlineaccess.com :‫االصطياد• الموقع المزيف لبنك سامبا‬
http://www.sambaonlineaccess.com

samba.com :‫• الموقع الصحيح‬
https://www.samba.com

http://Riyadonlin.net.ms
‫مزيف‬

riyadbank.com :‫• الموقع الصحيح‬
https://www.riyadonline.com
‫صحيح‬

‫• هل هذا موقع اصطياد؟‬

‫برامج التجسس‬
‫تعريف برنامج التجسس:‬
‫‪‬مراقبة سلوك المستخدم على الجهاز‬
‫‪‬مراقبة المواقع التي يزورها‬
‫الغرض من برنامج التجسس‬
‫‪‬معرفة معلومات سرية (كلمات مرور ، ارقام حسابات بنكية)‬
‫‪‬أغراض تجارية (أنماط المستخدم)‬

‫برامج التجسس‬
‫أنواع برامج التجسس:‬
‫1. برنامج التجسس ‪Spyware‬‬
‫‪ ‬سلوك المستخدم أو معلوماته بعلمه أو بدون علمه.‬
‫2. برنامج مسجل نقرات لوحة المفاتيح ‪Keystroke Logger‬‬
‫‪ ‬تسجيل جميع مايكتب وترسل لمطور البرنامج.‬
‫3. برامج االعالنات ‪Adware‬‬
‫‪ ‬التسويق بطرق اجبارية غير مرغوبة‬

‫الهندسة االجتماعية ‪Social Engineering‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫استخدام الحيل النفسية للوصول إلى المعلومات‬
‫أنجح الوسائل للحصول على المعلومات‬
‫ال تستطيع األدوات التقنية إيقافها‬
‫أهمية توعية المستخدمين‬
‫طرق جمع المعلومات:‬
‫‪ ‬مكان العمل‬
‫‪ ‬الهاتف‬
‫‪ ‬النفايات‬
‫‪ ‬االنترنت‬

‫الهندسة االجتماعية ‪Social Engineering‬‬
‫أنواع الهندسة االجتماعية‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫اإلقناع‬
‫انتحال الشخصية‬
‫المداهنة‬
‫مسايرة الركب‬
‫‪ ‬الهندسة االجتماعية العكسية‬

‫كلمة المرور‬
‫‪ ‬من أهم مكونات أمن المعلومات‬
‫‪ ‬المفتاح للمرور لمعلوماتك‬
‫‪ ‬الطريق النتحال شخصيتك‬

‫كلمة المرور‬
‫أخطاء في اختيار كلمات المرور‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫أسماء (أشخاص، عائلة)‬
‫كلمات من القاموس‬
‫أرقام (جوال،هوية،تاريخ)‬
‫كلمات صعبة التذكر‬

‫كلمة المرور‬
‫كيفية كشف كلمات المرور‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫استخدام كلمات القاموس‬
‫أرقام (جوال،هوية،رقم موظف)‬
‫الطريقة االستقصائية ‪Brute Force‬‬
‫(,,,‪)AA,AB,AC…AZ‬‬
‫دمج الطريقتين (,,,,2‪)CAT,CAT0,CAT1,CAT‬‬
‫الهندسة االجتماعية‬
‫البحث عن أوراق على المكتب‬
‫الوقوف خلف الضحية‬
‫التجسس‬

‫•كلمة المرورالالزم لمعرفة كلمة المرور‬
‫الوقت‬
‫طول كلمة‬
‫المرور‬
‫62 (حرف صغير‬
‫أو كبير فقط، بدون‬
‫أرقام أو عالمات)‬
‫63( حروف صغيرة‬
‫أوكبيرة فقط مع‬
‫أرقام)‬
‫25 (حروف صغيرة‬
‫وكبيرة وأرقام)‬
‫69 (حروف‬
‫صغيرة وكبيرة‬
‫وأرقام وعالمات‬
‫4‬
‫0‬
‫0‬
‫1 دقيقة‬
‫31 دقيقة‬
‫5‬
‫0‬
‫01 دقائق‬
‫1 ساعة‬
‫22 ساعة‬
‫6‬
‫05 دقيقة‬
‫6 ساعات‬
‫2,2 يوم‬
‫3 شهور‬
‫7‬
‫22 ساعة‬
‫9 أيام‬
‫4 شهور‬
‫32 سنة‬
‫8‬
‫42 يوم‬
‫5,01 شهور‬
‫71 سنة‬
‫7822 سنة‬
‫9‬
‫12 شهر‬
‫6,23 سنة‬
‫188 سنة‬
‫000,912 سنة‬
‫01‬
‫54 سنة‬
‫9511 سنة‬
‫83854 سنة‬
‫12 مليون سنة‬

‫كلمة المرور‬
‫كيفية بناء كلمة مرور قوية‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫عدم استخدام كلمة واحدة (‪)Makkah, Alhilal,Ali‬‬
‫التقل كلمة المرور عن 01 حروف‬
‫استخدام خليط من الحروف الكبيرة والصغيرة واألرقام والرموز‬
‫استخدام كلمة مرور سهلة التذكر بدون الحاجة لكتابتها على ملصق‬
‫استخدم الجمل‬
‫مثال الستخدام الجمل‬
‫8002 ‪I work in Media Since‬‬
‫•‬
‫‪ ‬نأخذ أول حرف من كل كلمة‬
‫8002‪IwiMS‬‬
‫•‬
‫‪ ‬نستبدل حرف ‪ S‬برمز $ ورقم 0 ب ‪o‬‬
‫8‪IwiM$2oo‬‬
‫‪ ‬يمكن استبدال حرف ‪ a‬بـ @ وحرف ‪ I‬برقم 1 ورقم 8 بـ &‬
‫‪ ‬التستخدم كلمة المرور نفسها لكل حساباتك‬
‫‪ ‬غير كلمة المرور المقدمة لك فورا عند فتح حساب جديد‬
‫•‬

‫كلمة المرور‬
‫المقاييس الحيوية ‪Biometrics‬‬
‫‪ ‬استخدام الصفات البشرية للتعرف على المستخدم‬
‫‪ ‬صعوبة انتحالها‬
‫التقنيات المستخدمة‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫بصمة األصابع‬
‫اليد‬
‫الوجه‬
‫شبكية العين‬
‫الصوت‬

‫تقنيات أمن المعلومات‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫جدران الحماية ‪Firewall‬‬
‫التشفير ‪Encryption‬‬
‫طمس البيانات ‪Wiping‬‬
‫التخزين االحتياطي ‪Backup‬‬

‫تحويل العناوين الرقمية ‪NAT‬‬
‫الغرض من تحويل العناوين الرقمية‬
‫•‬
‫•‬
‫كثرة عدد األجهزة مع قلة العناوين الرقمية المتاحة‬
‫اتصال األجهزة الداخلية بشبكة االنترنت‬
‫أنواع ال ‪NAT‬‬
‫•‬
‫•‬
‫النمط الثابت للتحويل ‪Static NAT‬‬
‫النمط المتغير للتحويل ‪Dynamic NAT‬‬
‫العالقة بين ‪ NAT‬و أمن المعلومات‬
‫•‬
‫حاجز لعدم معرفة العناوين الرقمية لألجهزة في الشبكة‬
‫الداخلية من شبكة االنترنت‬

‫الجدار الناري ‪Firewall‬‬
‫‪ ‬حاجز تفتيش بين الشبكة الخارجية والشبكة‬
‫الداخلية‬
‫‪ ‬أنواع الجدران النارية‬
‫•‬
‫•‬
‫•‬
‫تصفية حزم البيانات ‪Packet Filtering‬‬
‫• فحص جميع الحزم ومقارنتها مع قائمة‬
‫المرور‬
‫تصفية حزم البيانات مع تغيير عناوين الحزم‬
‫‪Proxy‬‬
‫مراقبة السياق ‪Stateful Inspection‬‬
‫• مراقبة الحزم المرسلة سابقا ومقارنتها‬
‫مع الحالية‬

‫التشفير ‪Encryption‬‬
‫‪ ‬تخزين المعلومات الحساسة أو نقلها عبر الشبكات غير اآلمنه‬
‫‪ ‬أهداف التشفير‬
‫•‬
‫•‬
‫•‬
‫•‬
‫السرية والخصوصية ‪Confidentiality‬‬
‫تكامل البيانات ‪Integrity‬‬
‫إثبات الهوية ‪Authentication‬‬
‫عدم الجحود ‪Non Repudation‬‬

‫متطلبات االتصال اآلمن‬

‫الحلول المادية لالتصال اآلمن‬
‫‪ ‬التحقق من الهوية‬
‫•‬
‫الجواز، بطاقة األحوال‬
‫‪ ‬سرية المعلومات‬
‫•‬
‫ظرف مغلق‬
‫‪ ‬سالمة البيانات‬
‫•‬
‫ظرف مغلق مختوم‬
‫‪ ‬عدم اإلنكار‬
‫•‬
‫التوقيع والتاريخ‬

‫الحلول االلكترونية لالتصال اآلمن‬
‫‪ ‬التشفير:‬
‫•‬
‫•‬
‫مفتاح سري‬
‫مفتاح عام‬
‫‪ ‬استخدامات خاصة للتشفير:‬
‫•‬
‫التوقيع اإللكتروني‬
‫•‬
‫الشهادات الرقمية‬

Encryption ‫التشفير‬

)‫التشفير بالمفتاح السري (التناظري‬
Bullet Point Copy Here
Bullet Point Copy Here
Bullet Point Copy Here
•
•
•

)‫التشفير بالمفتاح العام (الغير متناظر‬
Bullet Point Copy Here
Bullet Point Copy Here
Bullet Point Copy Here
•
•
•

‫طمس البيانات ‪Wiping‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫هل حذف الملف من سلة المحذوفات يعني أنه ال يمكن‬
‫استرجاعه؟‬
‫ال الحذف الذي تم هو حذف المؤشر الذي يؤشر على‬
‫وحدة التخزين‬
‫طمس البيانات: الكتابة على وحدات التخزين بشكل‬
‫متكرر‬
‫معيار وزارة الدفاع األمريكية: الكتابة على وحدات‬
‫التخزين 7 مرات‬
‫معيار بيترقتمن: الكتابة على وحدات التخزين 53‬
‫مرة‬

‫سياسات أمن المعلومات‬
‫‪ ‬مجموعة من القوانين والتنظيمات والتوجيهات‬
‫المتعلقة بكيفية تعامل األشخاص مع المعلومات‬
‫بجميع صورها سواء األليكترونية أو الورقية وتمثل‬
‫هذه القوانين توجه المنظمة وسياستها في حماية‬
‫معلوماتها وأنظمتها.‬
‫• توجيه المدير العام بتطبيق سياسة أمن المعلومات‬

‫سياسة أمن المعلومات‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫سياسة أمن المنظمة.‬
‫سياسة أمن االنترنت.‬
‫سياسة استخدام البريد اإلليكتروني.‬
‫سياسة كلمة المرور.‬
‫سياسة الحماية من الفيروسات.‬
‫سياسة األمن المادي.‬
‫سياسة االستخدام المتفق عليه.‬

‫أمن االنترنت‬
‫‪ ‬االنترنت أداة مفيدة للبحوث والتسوق‬
‫واالتصال مع اآلخرين وأغراض‬
‫أخرى ولكن هناك مواقع ضارة على‬
‫االنترنت تؤثر على أمن المعلومات.‬

‫التسوق اآلمن‬
‫‪ ‬التسوق عبر االنترنت يحتوي على خطورة‬
‫‪ ‬إرسال معلومات بطاقتك االئتمانية يجب أن ال يتم إال عبر موقع يستخدم التشفير.‬
‫مثال:‬
‫مشفر‬
‫غير مشفر‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪https://www.amazon.com‬‬
‫•‬
‫‪http://www.amazon.com‬‬
‫•‬
‫وجود القفل أسفل المتصفح دليل على التشفير‬
‫ال تخزن معلوماتك في الجهاز‬
‫تسوق عن طريق الشركات المعروفة‬
‫تأكد من كتابة اسم الموقع بشكل صحيح وال تعتمد على الضغط على الروابط‬

‫سياسة أمن االنترنت‬
‫الغرض:‬
‫‪ ‬تقليل المخاطر المتعلقة بخدمات االنترنت.‬
‫السياسة:‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫عدم نشر أي معلومات تخص الهيئة في شبكة االنترنت وعدم وضع أي مواد تابعة للهيئة‬
‫(برمجيات ، مذكرات داخلية) في أي مكان عام يمكن الموصول إليه عن طريق الكمبيوتر.‬
‫عدم استخدام االنترنت ألغراض أخرى غير النشاطات المرتبطة بالهيئة.‬
‫عدم التحدث بإسم الهيئة أو اإلدالء بالتصريحات في شبكة االنترنت.‬
‫يتم اإلعالن عن األخبار واإلعالنات من خالل إدارة العالقات العامة.‬
‫عدم إرسال أي معلومات تقنية عن البنية التحتية لتقنية المعلومات إلى المجموعات اإلخبارية‬
‫العامة أو القوائم البريدية.‬

‫سياسة أمن االنترنت‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫عدم تركيب برامج غير مصرحة باستخدامها من قبل إدارة االتصاالت وتقنية المعلومات.‬
‫منع استخدام أساليب المراوغة لتجاوز بروكسي الهيئة.‬
‫عدم تركيب أو استخدام موديم على أي جهاز على الشبكة للوصول لالنترنت (باب خلفي للشبكة).‬
‫عدم رفع أو إرسال أو نشر،أو توزيع أي معلومات أو مواد غير مالئمة أو غير محتشمة أو‬
‫فاحشة أو محرمة أو إنتهاكية أوتشهيرية على اإلنترنت بإستخدام موارد الهيئة.‬
‫ال يسمح ألي شخص بإستخدام موارد الهيئة لتثبيت إعالنات شخصية أو لعرض أي سلع أو‬
‫خدمات.‬

‫سياسة كلمة المرور‬
‫السياسة:‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫يجب أن تعتبر كلمة المرور كمعلومة سرية ويجب أن ال تكشف ألي شخص آخر.‬
‫يجب تغيير كلمات المرور الخاصة باألنظمة و بيئات اإلنتاج (مثل األصل ، مشرف النظام ، حسابات‬
‫إدارة التطبيقات , الخ ) وذلك كل 09 يوم.‬
‫يجب تغيير كلمات المرور الخاصة بالمستخدمين (مستخدم لتطبيق ، البريد اإللكتروني ، الشبكة ،‬
‫الحاسب المكتبي ... الخ ) وذلك مرة واحدة كل 081 يوم.‬
‫عند استخدام كلمة المرور خمس مرات متتالية بشكل خاطيء سوف يقفل حساب المستخدم ويمنع من‬
‫النفاذ إلى نظام المعلومات.‬
‫سوف يعاد فتح الحساب المغلق بعد 03 دقيقة إلى وضعه السابق آليا أو تنشيط المستخدمين عن طريق‬
‫إداري النظام مع مراعاة إجراءات رسمية معدة و مطبقة وذلك لتعريف المستخدم وتحديد سبب‬
‫اإلغالق.‬
‫عند إعادة كتابة كلمة المرور فيجب عدم استخدام نفس كلمة المرور آلخر 3 مرات سابقة لنفس‬
‫الحساب‬

‫سياسة كلمة المرور‬
‫‪ ‬يجب أن ال يباح بكلمات المرور في المحادثات أو إدخالها في رسائل البريد أو أي من أشكال‬
‫االتصاالت اإللكترونية إال إذا كانت مشفرة وموقعة رقميًا.‬
‫‪ ‬يجب عدم كتابة كلمات المرور أو تخزينها في أي نظام معلومات أو في جهاز التخزين أو على ورق.‬
‫‪ ‬يجب عدم نشر كلمة المرور ألي قريب أو زميل.‬
‫شروط كلمة المرور:‬
‫‪ 8 => ‬حروف.‬
‫‪ ‬تتكون من حروف وأرقام.‬
‫‪ ‬ال تبنى على اسم شخص أو معلومة شخصية.‬

‫سياسة استخدام البريد االلكتروني‬
‫الغرض:‬
‫‪ ‬هو تقليل المخاطر المتعلقة بخدمات البريد اإللكتروني.‬
‫السياسة:‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫يقتصر استخدام البريد اإللكتروني على تبادل الرسائل المتعلقة بالعمل والرسائل المفيدة.‬
‫يجب على الموظف أن يستخدم البريد اإلليكتروني الخاص به فقط و اليسمح باستخدام بريده من قبل‬
‫شخص آخر مهما كانت الظروف.‬
‫يجب أال يقوم المستخدمون بنشر وتوزيع القوائم البريدية الداخلية ألفراد من خارج الهيئة .‬
‫يجب أال يتم فتح أي مرفقات من أشخاص مجهولين أو مصادر غير موثوقة.‬

‫سياسة استخدام البريد االلكتروني‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫عدم إرسال رسائل غير مرغوبة (‪ )Spams‬أو رسائل ضارة أو رسائل فيها دعوات دينية أو سياسية‬
‫أو تجارية.‬
‫يجب أال يقوم المستخدمون بتركيب أو تحميل أي برامج أو تحديثات يتم تلقيها عبر البريد اإللكتروني.‬
‫نظام البريد اإلليكتروني يعتبر من ممتلكات الهيئة فمن الممكن مراقبة جميع محتويات البريد‬
‫اإلليكتروني بعلم أو بدون علم صاحبها.‬
‫يجب أن تكون جميع المرفقات في الرسائل محدودة ومضغوطة باستخدام برامج ضغط الملفات قبل‬
‫إرسالها .‬
‫يحظر إرسال مرفقات ذات حجم أكبر من 03 ميغا بايت عن طريق البوابات الخارجية وال يسمح‬
‫بإرسال ملفات غير متعلقة بالعمل تحتوي على مرفقات ضخمة ، مثل ملفات الصور والوسائط المتعددة‬
‫عبر نظام البريد اإللكتروني للهيئة .‬

‫سياسة الحماية من الفيروسات‬
‫الغرض:‬
‫‪ ‬حماية الهيئة من الفيروسات والبرامج الضارة لما تمثله من مخاطر على سرية وسالمة وتوفر‬
‫أنظمة معلومات الهيئة.‬
‫السياسة:‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫تركيب برامج الحماية من الفيروسات على جميع األجهزة والخوادم.‬
‫ينبغي ضمان سالمة البرامج المستخدمة في أي من موارد تقنية المعلومات في الهيئة من خالل‬
‫التأكد من شرائها من شركات معروفة و اختبارها للتأكد عدم وجود البرامج الضارة فيها قبل‬
‫تركيبها.‬
‫عمل فحص للفيروسات على كافة األجهزة الشخصية .‬
‫يجب فحص جميع الملفات المحملة من االنترنت أو البريد اإلليكتروني أو من األقراص المرنة أو‬
‫ذاكرة الفالش قبل فتحها وتشغيلها.‬
‫منع المستخدمين من تغيير إعدادات أو إزالة أو تعطيل برنامج مضاد الفيروسات.‬
‫اإلبالغ عن حاالت الفيروسات التي اكتشفها برنامج الحماية مباشرة.‬

‫سياسة االستخدام المقبول‬
‫‪ ‬هل تستخدم كلمة مرور فارغة؟‬
‫‪ ‬هل تترك جهازك مفتوح عندما تترك المكتب؟‬
‫‪ ‬هل سبق أن غيرت كلمة المرور؟‬
‫هل هذا هو مكتبك؟‬

‫سياسة األمن المادي‬
‫الغرض:‬
‫‪ ‬تحديد متطلبات األمن المادي للهيئة في المركز الرئيسي وفي‬
‫جميع مباني الهيئة في الفروع وكذلك تحديد متطلبات حماية‬
‫أنظمة الحاسب والتطبيقات في مركز المعلومات.‬
‫السياسة:‬
‫‪ ‬يجب أن يقوم مسؤول أمن المعلومات بتعريف مناطق األمن في‬
‫الهيئة.‬
‫‪ ‬المنطقة أ: منطقة اإلستقبال، حيث بإستطاعة أي شخص أي أن يدخلها (تعتبر‬
‫األقل أمنا).‬
‫‪ ‬المنطقة ب: وهي المنطقة المتاحة للموظفين والزوار المصرح لهم.‬
‫‪ ‬المنطقة جـ: وهي المنطقة التي يسمح فقط لبعض الموظفين بدخولها مثل‬
‫مركز المعلومات و مناطق العمل األخرى الهامة.‬

‫سياسة األمن المادي‬
‫• السياسة:‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫يجب أن يتم توثيق وحفظ المخططات الخاصة بأرض المكتب‬
‫والرسوم البيانية لكل خطوط كابل الهاتف، والكهرباء والماء‬
‫والشبكة، باإلضافة إلى أماكن مطافئ الحريق.‬
‫يجب أن يتم تركيب أدوات للتحكم بالدخول للمناطق اآلمنة.‬
‫يجب أن يتم تهيئة أدوات التحكم بالدخول بتسجيل جميع أوقات‬
‫الدخول والخروج للمناطق اآلمنة.‬
‫يجب أن يتم حراسة ومراقبة مداخل مباني الهيئة بشكل كافي.‬
‫يجب أن يتم حفظ دليل هواتف ألرقام الطوارئ في مكان يسهل‬
‫الوصول إليه عند الحاجة.‬

‫مراجع في أمن المعلومات‬
‫كتب عربية:‬
‫مواقع عربية:‬
‫مركز التميز ألمن المعلومات‬
‫‪www.coeia.edu.sa‬‬
‫أمن‬
‫‪ammen.coeia.edu.sa‬‬

‫الموظف هو رجل أمن المعلومات األول في أي منشأة‬
‫شكرا لكم‬