يتناول هذا الوثيقة أساسيات أمن المعلومات، مشيراً إلى أهمية حماية المعلومات من الوصول غير المصرح به، وضمان سريتها وسلامتها وتوافرها. كما يتطرق إلى مخاطر أمن المعلومات، بما في ذلك الهجمات الإلكترونية والفيروسات، بالإضافة إلى تقنيات الأمن المطلوبة مثل جدران الحماية والتشفير. ويشير أخيراً إلى ضرورة توعية المستخدمين حول طرق حماية المعلومات وكيفية إنشاء كلمات مرور قوية.

1. ‫أساسيات أمن المعلومات‬
‫م/ علي بن حسن باعيسى‬
‫0102‬

2. ‫أساسيات أمن المعلومات‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫مقدمة عن أمن المعلومات‬
‫مخاطر أمن المعلومات‬
‫تقنيات أمن المعلومات‬
‫سياسات أمن المعلومات‬
‫نصائح عامة في أمن المعلومات‬

3. ‫مقدمة عن أمن المعلومات‬
‫أمن المعلومات‬
‫حماية المعلومات وأنظمتها من الوصول أو االستخدام أو االفصاح أو التغيير أو التدمير غير المصرح به بهدف‬
‫توفير سرية تلك المعلومات وتكاملها واستمرارية توافرها.‬
‫العناصر األساسية ألمن المعلومات ‪CIA‬‬
‫1. سرية المعلومات :‬
‫حماية المعلومات من إطالع االشخاص غير المصرح لهم.‬
‫مثال: رواتب الموظفين – المعلومات العسكرية.‬
‫2. سالمة المعلومات :‬
‫ضمان صحة المعلومات المستقبلة بحيث يتم التأكد من عدم تغيير المعلومات أو تحديثها إال من قبل األشخاص المصرح لهم.‬
‫مثال: تعديل أسماء المقبولين في الوظائف – تغيير الرقم المحول لحساب بنكي من 000,1 لاير إلى 000,000,1‬
‫3. توافرية المعلومات :‬
‫توفر المعلومات وقت الحاجة لها.‬
‫مثال: سقوط الموقع اإللكتروني للخدمات اإللكترونية – حذف فواتير العمالء‬

4. ‫مقدمة عن أمن المعلومات‬
‫التوازن بين عناصر أمن المعلومات‬
‫أمثلة:‬
‫نظام المالحة الجوية: السالمة + التوافرية > السرية‬
‫شركات صناعة السيارات: السرية > السالمة + التوافرية‬
‫األنظمة العسكرية: السرية + السالمة + التوافرية‬
‫لماذا أحتاج إلى أمن المعلومات ؟‬
‫ليس لدي شيء أرغب بإخفائه‬
‫لكن‬
‫هل تريد أن يطلع اآلخرون على بريدك؟‬
‫هل تريد أن يكون جهازك مصدر للهجمات بدون علمك؟‬
‫هل تريد أن يستخدم بريدك إلرسال الرسائل المزعجة لآلخرين؟‬
‫هل تريد أن يستطيع اآلخرون االطالع على الملفات الموجودة على جهازك؟‬

5. ‫مقدمة عن أمن المعلومات‬
‫لماذا نحتاج إلى أمن المعلومات ؟‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫تطور البنية التحتية لتقنية المعلومات‬
‫ازدياد االعتماد على تقديم الخدمات االلكترونية للمنظمات‬
‫قيمة المعلومات‬
‫إستمرارية األعمال‬
‫الحاجة لالرتباط بنظم االتصاالت واالنترنت‬
‫تزايد عدد المخربين والفيروسات‬

6. ‫العناصر األساسية للهجمات اإللكترونية‬
‫1.‬
‫2.‬
‫3.‬
‫وجود الدافع:‬
‫‪ ‬المال‬
‫‪ ‬االنتقام‬
‫‪ ‬المنافسة‬
‫‪ ‬إثبات القدرات الفنية‬
‫‪ ‬أغراض سياسية‬
‫وجود طريقة لتنفيذ الهجوم‬
‫وجود ثغرات أمنية ‪Vulnerabilities‬‬
‫‪ ‬التصميم‬
‫‪ ‬التهيئة‬
‫‪ ‬الشبكة‬
‫‪ ‬الجهاز‬
‫‪ ‬نظام التشغيل‬
‫‪ ‬البرنامج‬

7. ‫مصادر المخاطر األمنية‬
‫1.‬
‫2.‬
‫المهاجمين من الداخل‬
‫‪ %87 ‬من منفذي الهجمات من داخل المنظمة (تقرير وزارة الدفاع األمريكية)‬
‫‪ ‬معدل تكاليف الهجوم الداخلي 7,2 مليون دوالر‬
‫‪ ‬معدل تكاليف الهجوم الخارجي 75 ألف دوالر (موقع ‪)SANS‬‬
‫‪ ‬عدم وجود العوائق األمنية بسبب التواجد داخل الشبكة‬
‫المهاجمين من الخارج‬

8. ‫مخاطر أمن المعلومات‬
‫أمثلة لمخاطر أمنية‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫انتحال الشخصية‬
‫خسارة السمعة‬
‫سرقة أجهزة‬
‫انقطاع الخدمة (مثل توقف البريد اإللكتروني)‬
‫نشر معلومات سرية‬
‫التصنت‬
‫اإلصطياد اإللكتروني‬

9. ‫مخاطر أمن المعلومات‬
‫أحداث سابقة لهجمات أمنية‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫اختراق هاكر روسي لشركة ‪ CD Universe‬وسرقة 000,003 بطاقة ائتمان وطلب‬
‫فدية 000,001 دوالر‬
‫---> نشر معلومات البطاقات على االنترنت‬‫بيع أسهم بقيمة 7,12 مليون دوالر تديرها شركة ‪ Daewoo Securities‬بصورة غير‬
‫قانونية بعد اختراق شبكتها.‬
‫قيام موظف روسي باختراق شبكة شركته وقام برفع راتبه الشهري ورواتب زمالئه.‬

10. ‫الفيروسات‬
‫تعريف الفيروسات:‬
‫‪ ‬برامج ذات هدف تخريبي طورت لتنتشر ذاتيا داخل الجهاز أو الشبكة‬
‫وتقوم بتغييرات في برامج وملفات الجهاز.‬
‫أنواع الفيروسات:‬
‫1.‬
‫الفيروسات ‪Viruses‬‬
‫‪ ‬برامج مضرة تتنتقل بين الحواسيب بعدة طرق وتتكاثر‬
‫باالعتماد على ملفات أخرى‬
‫‪ ‬وقت االنتشار‬
‫‪ ‬حادثة معينة‬
‫2.‬
‫الديدان ‪Worms‬‬
‫‪ ‬تعتمد على نفسها في التكاثر‬
‫‪ ‬سرعة االنتقال‬
‫‪‬‬
‫استهالك مصادر األجهزة.‬

11. ‫الفيروسات‬
‫3.‬
‫4.‬
‫حصان طروادة ‪Trojan Horse‬‬
‫‪ ‬التنكر على شكل برامج مفيدة‬
‫‪ ‬سرقة المعلومات أو تعديلها‬
‫‪ ‬إنشاء أبواب خلفية ‪Back Door‬‬
‫‪ ‬صعوبة اكتشافه‬
‫الخداع أو البالغ الكاذب ‪Hoax‬‬
‫‪ ‬رسالة كاذبة عن ظهور فيروس ونشر هذه الرسالة لعدد من األصدقاء.‬
‫‪ ‬الطلب بحذف بعض الملفات األساسية للحماية من الفيروسات‬
‫‪http://f-secure.com/virus-info/hoax ‬‬
‫طرق انتشار الفيروسات:‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫تصفح االنترنت‬
‫البريد االلكتروني‬
‫االقراص الضوئية واقراص الفالش‬
‫الشبكات الغير محمية‬

12. ‫الفيروسات‬
‫مؤشرات على وجود فيروسات‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫بطء الجهاز‬
‫التوقف على االستجابة‬
‫إعادة تشغيل الجهاز بشكل مفاجيء‬
‫كثرة رسائل األخطاء في النظام أو البرنامج‬
‫بطء فتح البرامج‬
‫أشهر الفيروسات‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪( MyDoom‬إصابة ربع مليون جهاز في يوم واحد)‬
‫‪( Melissia‬أرغم شركة مايكروسوفت وشركات كبرى إليقاف أنظمة البريد‬
‫اإللكتروني حتى تحتوي الفيروس)‬
‫‪ILOVEYOU‬‬
‫‪( Slammer‬إصابة عدد كبير من الخوادم خالل 51 دقيقة)‬
‫‪ ( Code Red‬شل حركة االنترنت خالل 9 ساعات من بدء انتشاره)‬
‫‪Storm‬‬

13. ‫االصطياد االلكتروني ‪Phishing‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫رسالة تبدو من مصدر حقيقي‬
‫طلب بيانات خاصة (كلمة مرور أو معلومات بطاقة ائتمان)‬
‫رسالة من البنك لتحديث معلوماتك وإال تم إغالق الحساب‬
‫سرقة المعلومات الشخصية والحسابات المالية‬
‫مثال‬
‫•‬
‫•‬
‫استخدام نطاق مزيف ‪sambaonlineaccess.com‬‬
‫استخدام النطاق الصحيح ‪samba.com‬‬

14. Phishing ‫االلكتروني‬
sambaonlineaccess.com :‫االصطياد• الموقع المزيف لبنك سامبا‬
http://www.sambaonlineaccess.com

15. samba.com :‫• الموقع الصحيح‬
https://www.samba.com

16. http://Riyadonlin.net.ms
‫مزيف‬

17. riyadbank.com :‫• الموقع الصحيح‬
https://www.riyadonline.com
‫صحيح‬

18. ‫• هل هذا موقع اصطياد؟‬

19. ‫برامج التجسس‬
‫تعريف برنامج التجسس:‬
‫‪‬مراقبة سلوك المستخدم على الجهاز‬
‫‪‬مراقبة المواقع التي يزورها‬
‫الغرض من برنامج التجسس‬
‫‪‬معرفة معلومات سرية (كلمات مرور ، ارقام حسابات بنكية)‬
‫‪‬أغراض تجارية (أنماط المستخدم)‬

20. ‫برامج التجسس‬
‫أنواع برامج التجسس:‬
‫1. برنامج التجسس ‪Spyware‬‬
‫‪ ‬سلوك المستخدم أو معلوماته بعلمه أو بدون علمه.‬
‫2. برنامج مسجل نقرات لوحة المفاتيح ‪Keystroke Logger‬‬
‫‪ ‬تسجيل جميع مايكتب وترسل لمطور البرنامج.‬
‫3. برامج االعالنات ‪Adware‬‬
‫‪ ‬التسويق بطرق اجبارية غير مرغوبة‬

21. ‫الهندسة االجتماعية ‪Social Engineering‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫استخدام الحيل النفسية للوصول إلى المعلومات‬
‫أنجح الوسائل للحصول على المعلومات‬
‫ال تستطيع األدوات التقنية إيقافها‬
‫أهمية توعية المستخدمين‬
‫طرق جمع المعلومات:‬
‫‪ ‬مكان العمل‬
‫‪ ‬الهاتف‬
‫‪ ‬النفايات‬
‫‪ ‬االنترنت‬

22. ‫الهندسة االجتماعية ‪Social Engineering‬‬
‫أنواع الهندسة االجتماعية‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫اإلقناع‬
‫انتحال الشخصية‬
‫المداهنة‬
‫مسايرة الركب‬
‫‪ ‬الهندسة االجتماعية العكسية‬

23. ‫كلمة المرور‬
‫‪ ‬من أهم مكونات أمن المعلومات‬
‫‪ ‬المفتاح للمرور لمعلوماتك‬
‫‪ ‬الطريق النتحال شخصيتك‬

24. ‫كلمة المرور‬
‫أخطاء في اختيار كلمات المرور‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫أسماء (أشخاص، عائلة)‬
‫كلمات من القاموس‬
‫أرقام (جوال،هوية،تاريخ)‬
‫كلمات صعبة التذكر‬

25. ‫كلمة المرور‬
‫كيفية كشف كلمات المرور‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫استخدام كلمات القاموس‬
‫أرقام (جوال،هوية،رقم موظف)‬
‫الطريقة االستقصائية ‪Brute Force‬‬
‫(,,,‪)AA,AB,AC…AZ‬‬
‫دمج الطريقتين (,,,,2‪)CAT,CAT0,CAT1,CAT‬‬
‫الهندسة االجتماعية‬
‫البحث عن أوراق على المكتب‬
‫الوقوف خلف الضحية‬
‫التجسس‬

26. ‫•كلمة المرورالالزم لمعرفة كلمة المرور‬
‫الوقت‬
‫طول كلمة‬
‫المرور‬
‫62 (حرف صغير‬
‫أو كبير فقط، بدون‬
‫أرقام أو عالمات)‬
‫63( حروف صغيرة‬
‫أوكبيرة فقط مع‬
‫أرقام)‬
‫25 (حروف صغيرة‬
‫وكبيرة وأرقام)‬
‫69 (حروف‬
‫صغيرة وكبيرة‬
‫وأرقام وعالمات‬
‫4‬
‫0‬
‫0‬
‫1 دقيقة‬
‫31 دقيقة‬
‫5‬
‫0‬
‫01 دقائق‬
‫1 ساعة‬
‫22 ساعة‬
‫6‬
‫05 دقيقة‬
‫6 ساعات‬
‫2,2 يوم‬
‫3 شهور‬
‫7‬
‫22 ساعة‬
‫9 أيام‬
‫4 شهور‬
‫32 سنة‬
‫8‬
‫42 يوم‬
‫5,01 شهور‬
‫71 سنة‬
‫7822 سنة‬
‫9‬
‫12 شهر‬
‫6,23 سنة‬
‫188 سنة‬
‫000,912 سنة‬
‫01‬
‫54 سنة‬
‫9511 سنة‬
‫83854 سنة‬
‫12 مليون سنة‬

27. ‫كلمة المرور‬
‫كيفية بناء كلمة مرور قوية‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫عدم استخدام كلمة واحدة (‪)Makkah, Alhilal,Ali‬‬
‫التقل كلمة المرور عن 01 حروف‬
‫استخدام خليط من الحروف الكبيرة والصغيرة واألرقام والرموز‬
‫استخدام كلمة مرور سهلة التذكر بدون الحاجة لكتابتها على ملصق‬
‫استخدم الجمل‬
‫مثال الستخدام الجمل‬
‫8002 ‪I work in Media Since‬‬
‫•‬
‫‪ ‬نأخذ أول حرف من كل كلمة‬
‫8002‪IwiMS‬‬
‫•‬
‫‪ ‬نستبدل حرف ‪ S‬برمز $ ورقم 0 ب ‪o‬‬
‫8‪IwiM$2oo‬‬
‫‪ ‬يمكن استبدال حرف ‪ a‬بـ @ وحرف ‪ I‬برقم 1 ورقم 8 بـ &‬
‫‪ ‬التستخدم كلمة المرور نفسها لكل حساباتك‬
‫‪ ‬غير كلمة المرور المقدمة لك فورا عند فتح حساب جديد‬
‫•‬

28. ‫كلمة المرور‬
‫المقاييس الحيوية ‪Biometrics‬‬
‫‪ ‬استخدام الصفات البشرية للتعرف على المستخدم‬
‫‪ ‬صعوبة انتحالها‬
‫التقنيات المستخدمة‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫بصمة األصابع‬
‫اليد‬
‫الوجه‬
‫شبكية العين‬
‫الصوت‬

29. ‫تقنيات أمن المعلومات‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫جدران الحماية ‪Firewall‬‬
‫التشفير ‪Encryption‬‬
‫طمس البيانات ‪Wiping‬‬
‫التخزين االحتياطي ‪Backup‬‬

30. ‫تحويل العناوين الرقمية ‪NAT‬‬
‫الغرض من تحويل العناوين الرقمية‬
‫•‬
‫•‬
‫كثرة عدد األجهزة مع قلة العناوين الرقمية المتاحة‬
‫اتصال األجهزة الداخلية بشبكة االنترنت‬
‫أنواع ال ‪NAT‬‬
‫•‬
‫•‬
‫النمط الثابت للتحويل ‪Static NAT‬‬
‫النمط المتغير للتحويل ‪Dynamic NAT‬‬
‫العالقة بين ‪ NAT‬و أمن المعلومات‬
‫•‬
‫حاجز لعدم معرفة العناوين الرقمية لألجهزة في الشبكة‬
‫الداخلية من شبكة االنترنت‬

31. ‫الجدار الناري ‪Firewall‬‬
‫‪ ‬حاجز تفتيش بين الشبكة الخارجية والشبكة‬
‫الداخلية‬
‫‪ ‬أنواع الجدران النارية‬
‫•‬
‫•‬
‫•‬
‫تصفية حزم البيانات ‪Packet Filtering‬‬
‫• فحص جميع الحزم ومقارنتها مع قائمة‬
‫المرور‬
‫تصفية حزم البيانات مع تغيير عناوين الحزم‬
‫‪Proxy‬‬
‫مراقبة السياق ‪Stateful Inspection‬‬
‫• مراقبة الحزم المرسلة سابقا ومقارنتها‬
‫مع الحالية‬

32. ‫التشفير ‪Encryption‬‬
‫‪ ‬تخزين المعلومات الحساسة أو نقلها عبر الشبكات غير اآلمنه‬
‫‪ ‬أهداف التشفير‬
‫•‬
‫•‬
‫•‬
‫•‬
‫السرية والخصوصية ‪Confidentiality‬‬
‫تكامل البيانات ‪Integrity‬‬
‫إثبات الهوية ‪Authentication‬‬
‫عدم الجحود ‪Non Repudation‬‬

33. ‫متطلبات االتصال اآلمن‬

34. ‫الحلول المادية لالتصال اآلمن‬
‫‪ ‬التحقق من الهوية‬
‫•‬
‫الجواز، بطاقة األحوال‬
‫‪ ‬سرية المعلومات‬
‫•‬
‫ظرف مغلق‬
‫‪ ‬سالمة البيانات‬
‫•‬
‫ظرف مغلق مختوم‬
‫‪ ‬عدم اإلنكار‬
‫•‬
‫التوقيع والتاريخ‬

35. ‫الحلول االلكترونية لالتصال اآلمن‬
‫‪ ‬التشفير:‬
‫•‬
‫•‬
‫مفتاح سري‬
‫مفتاح عام‬
‫‪ ‬استخدامات خاصة للتشفير:‬
‫•‬
‫التوقيع اإللكتروني‬
‫•‬
‫الشهادات الرقمية‬

36. Encryption ‫التشفير‬

37. )‫التشفير بالمفتاح السري (التناظري‬
Bullet Point Copy Here
Bullet Point Copy Here
Bullet Point Copy Here
•
•
•

38. )‫التشفير بالمفتاح العام (الغير متناظر‬
Bullet Point Copy Here
Bullet Point Copy Here
Bullet Point Copy Here
•
•
•

39. ‫طمس البيانات ‪Wiping‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫هل حذف الملف من سلة المحذوفات يعني أنه ال يمكن‬
‫استرجاعه؟‬
‫ال الحذف الذي تم هو حذف المؤشر الذي يؤشر على‬
‫وحدة التخزين‬
‫طمس البيانات: الكتابة على وحدات التخزين بشكل‬
‫متكرر‬
‫معيار وزارة الدفاع األمريكية: الكتابة على وحدات‬
‫التخزين 7 مرات‬
‫معيار بيترقتمن: الكتابة على وحدات التخزين 53‬
‫مرة‬

40. ‫سياسات أمن المعلومات‬
‫‪ ‬مجموعة من القوانين والتنظيمات والتوجيهات‬
‫المتعلقة بكيفية تعامل األشخاص مع المعلومات‬
‫بجميع صورها سواء األليكترونية أو الورقية وتمثل‬
‫هذه القوانين توجه المنظمة وسياستها في حماية‬
‫معلوماتها وأنظمتها.‬
‫• توجيه المدير العام بتطبيق سياسة أمن المعلومات‬

41. ‫سياسة أمن المعلومات‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫سياسة أمن المنظمة.‬
‫سياسة أمن االنترنت.‬
‫سياسة استخدام البريد اإلليكتروني.‬
‫سياسة كلمة المرور.‬
‫سياسة الحماية من الفيروسات.‬
‫سياسة األمن المادي.‬
‫سياسة االستخدام المتفق عليه.‬

42. ‫أمن االنترنت‬
‫‪ ‬االنترنت أداة مفيدة للبحوث والتسوق‬
‫واالتصال مع اآلخرين وأغراض‬
‫أخرى ولكن هناك مواقع ضارة على‬
‫االنترنت تؤثر على أمن المعلومات.‬

43. ‫التسوق اآلمن‬
‫‪ ‬التسوق عبر االنترنت يحتوي على خطورة‬
‫‪ ‬إرسال معلومات بطاقتك االئتمانية يجب أن ال يتم إال عبر موقع يستخدم التشفير.‬
‫مثال:‬
‫مشفر‬
‫غير مشفر‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪https://www.amazon.com‬‬
‫•‬
‫‪http://www.amazon.com‬‬
‫•‬
‫وجود القفل أسفل المتصفح دليل على التشفير‬
‫ال تخزن معلوماتك في الجهاز‬
‫تسوق عن طريق الشركات المعروفة‬
‫تأكد من كتابة اسم الموقع بشكل صحيح وال تعتمد على الضغط على الروابط‬

44. ‫سياسة أمن االنترنت‬
‫الغرض:‬
‫‪ ‬تقليل المخاطر المتعلقة بخدمات االنترنت.‬
‫السياسة:‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫عدم نشر أي معلومات تخص الهيئة في شبكة االنترنت وعدم وضع أي مواد تابعة للهيئة‬
‫(برمجيات ، مذكرات داخلية) في أي مكان عام يمكن الموصول إليه عن طريق الكمبيوتر.‬
‫عدم استخدام االنترنت ألغراض أخرى غير النشاطات المرتبطة بالهيئة.‬
‫عدم التحدث بإسم الهيئة أو اإلدالء بالتصريحات في شبكة االنترنت.‬
‫يتم اإلعالن عن األخبار واإلعالنات من خالل إدارة العالقات العامة.‬
‫عدم إرسال أي معلومات تقنية عن البنية التحتية لتقنية المعلومات إلى المجموعات اإلخبارية‬
‫العامة أو القوائم البريدية.‬

45. ‫سياسة أمن االنترنت‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫عدم تركيب برامج غير مصرحة باستخدامها من قبل إدارة االتصاالت وتقنية المعلومات.‬
‫منع استخدام أساليب المراوغة لتجاوز بروكسي الهيئة.‬
‫عدم تركيب أو استخدام موديم على أي جهاز على الشبكة للوصول لالنترنت (باب خلفي للشبكة).‬
‫عدم رفع أو إرسال أو نشر،أو توزيع أي معلومات أو مواد غير مالئمة أو غير محتشمة أو‬
‫فاحشة أو محرمة أو إنتهاكية أوتشهيرية على اإلنترنت بإستخدام موارد الهيئة.‬
‫ال يسمح ألي شخص بإستخدام موارد الهيئة لتثبيت إعالنات شخصية أو لعرض أي سلع أو‬
‫خدمات.‬

46. ‫سياسة كلمة المرور‬
‫السياسة:‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫يجب أن تعتبر كلمة المرور كمعلومة سرية ويجب أن ال تكشف ألي شخص آخر.‬
‫يجب تغيير كلمات المرور الخاصة باألنظمة و بيئات اإلنتاج (مثل األصل ، مشرف النظام ، حسابات‬
‫إدارة التطبيقات , الخ ) وذلك كل 09 يوم.‬
‫يجب تغيير كلمات المرور الخاصة بالمستخدمين (مستخدم لتطبيق ، البريد اإللكتروني ، الشبكة ،‬
‫الحاسب المكتبي ... الخ ) وذلك مرة واحدة كل 081 يوم.‬
‫عند استخدام كلمة المرور خمس مرات متتالية بشكل خاطيء سوف يقفل حساب المستخدم ويمنع من‬
‫النفاذ إلى نظام المعلومات.‬
‫سوف يعاد فتح الحساب المغلق بعد 03 دقيقة إلى وضعه السابق آليا أو تنشيط المستخدمين عن طريق‬
‫إداري النظام مع مراعاة إجراءات رسمية معدة و مطبقة وذلك لتعريف المستخدم وتحديد سبب‬
‫اإلغالق.‬
‫عند إعادة كتابة كلمة المرور فيجب عدم استخدام نفس كلمة المرور آلخر 3 مرات سابقة لنفس‬
‫الحساب‬

47. ‫سياسة كلمة المرور‬
‫‪ ‬يجب أن ال يباح بكلمات المرور في المحادثات أو إدخالها في رسائل البريد أو أي من أشكال‬
‫االتصاالت اإللكترونية إال إذا كانت مشفرة وموقعة رقميًا.‬
‫‪ ‬يجب عدم كتابة كلمات المرور أو تخزينها في أي نظام معلومات أو في جهاز التخزين أو على ورق.‬
‫‪ ‬يجب عدم نشر كلمة المرور ألي قريب أو زميل.‬
‫شروط كلمة المرور:‬
‫‪ 8 => ‬حروف.‬
‫‪ ‬تتكون من حروف وأرقام.‬
‫‪ ‬ال تبنى على اسم شخص أو معلومة شخصية.‬

48. ‫سياسة استخدام البريد االلكتروني‬
‫الغرض:‬
‫‪ ‬هو تقليل المخاطر المتعلقة بخدمات البريد اإللكتروني.‬
‫السياسة:‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫يقتصر استخدام البريد اإللكتروني على تبادل الرسائل المتعلقة بالعمل والرسائل المفيدة.‬
‫يجب على الموظف أن يستخدم البريد اإلليكتروني الخاص به فقط و اليسمح باستخدام بريده من قبل‬
‫شخص آخر مهما كانت الظروف.‬
‫يجب أال يقوم المستخدمون بنشر وتوزيع القوائم البريدية الداخلية ألفراد من خارج الهيئة .‬
‫يجب أال يتم فتح أي مرفقات من أشخاص مجهولين أو مصادر غير موثوقة.‬

49. ‫سياسة استخدام البريد االلكتروني‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫عدم إرسال رسائل غير مرغوبة (‪ )Spams‬أو رسائل ضارة أو رسائل فيها دعوات دينية أو سياسية‬
‫أو تجارية.‬
‫يجب أال يقوم المستخدمون بتركيب أو تحميل أي برامج أو تحديثات يتم تلقيها عبر البريد اإللكتروني.‬
‫نظام البريد اإلليكتروني يعتبر من ممتلكات الهيئة فمن الممكن مراقبة جميع محتويات البريد‬
‫اإلليكتروني بعلم أو بدون علم صاحبها.‬
‫يجب أن تكون جميع المرفقات في الرسائل محدودة ومضغوطة باستخدام برامج ضغط الملفات قبل‬
‫إرسالها .‬
‫يحظر إرسال مرفقات ذات حجم أكبر من 03 ميغا بايت عن طريق البوابات الخارجية وال يسمح‬
‫بإرسال ملفات غير متعلقة بالعمل تحتوي على مرفقات ضخمة ، مثل ملفات الصور والوسائط المتعددة‬
‫عبر نظام البريد اإللكتروني للهيئة .‬

50. ‫سياسة الحماية من الفيروسات‬
‫الغرض:‬
‫‪ ‬حماية الهيئة من الفيروسات والبرامج الضارة لما تمثله من مخاطر على سرية وسالمة وتوفر‬
‫أنظمة معلومات الهيئة.‬
‫السياسة:‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫تركيب برامج الحماية من الفيروسات على جميع األجهزة والخوادم.‬
‫ينبغي ضمان سالمة البرامج المستخدمة في أي من موارد تقنية المعلومات في الهيئة من خالل‬
‫التأكد من شرائها من شركات معروفة و اختبارها للتأكد عدم وجود البرامج الضارة فيها قبل‬
‫تركيبها.‬
‫عمل فحص للفيروسات على كافة األجهزة الشخصية .‬
‫يجب فحص جميع الملفات المحملة من االنترنت أو البريد اإلليكتروني أو من األقراص المرنة أو‬
‫ذاكرة الفالش قبل فتحها وتشغيلها.‬
‫منع المستخدمين من تغيير إعدادات أو إزالة أو تعطيل برنامج مضاد الفيروسات.‬
‫اإلبالغ عن حاالت الفيروسات التي اكتشفها برنامج الحماية مباشرة.‬

51. ‫سياسة االستخدام المقبول‬
‫‪ ‬هل تستخدم كلمة مرور فارغة؟‬
‫‪ ‬هل تترك جهازك مفتوح عندما تترك المكتب؟‬
‫‪ ‬هل سبق أن غيرت كلمة المرور؟‬
‫هل هذا هو مكتبك؟‬

52. ‫سياسة األمن المادي‬
‫الغرض:‬
‫‪ ‬تحديد متطلبات األمن المادي للهيئة في المركز الرئيسي وفي‬
‫جميع مباني الهيئة في الفروع وكذلك تحديد متطلبات حماية‬
‫أنظمة الحاسب والتطبيقات في مركز المعلومات.‬
‫السياسة:‬
‫‪ ‬يجب أن يقوم مسؤول أمن المعلومات بتعريف مناطق األمن في‬
‫الهيئة.‬
‫‪ ‬المنطقة أ: منطقة اإلستقبال، حيث بإستطاعة أي شخص أي أن يدخلها (تعتبر‬
‫األقل أمنا).‬
‫‪ ‬المنطقة ب: وهي المنطقة المتاحة للموظفين والزوار المصرح لهم.‬
‫‪ ‬المنطقة جـ: وهي المنطقة التي يسمح فقط لبعض الموظفين بدخولها مثل‬
‫مركز المعلومات و مناطق العمل األخرى الهامة.‬

53. ‫سياسة األمن المادي‬
‫• السياسة:‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫يجب أن يتم توثيق وحفظ المخططات الخاصة بأرض المكتب‬
‫والرسوم البيانية لكل خطوط كابل الهاتف، والكهرباء والماء‬
‫والشبكة، باإلضافة إلى أماكن مطافئ الحريق.‬
‫يجب أن يتم تركيب أدوات للتحكم بالدخول للمناطق اآلمنة.‬
‫يجب أن يتم تهيئة أدوات التحكم بالدخول بتسجيل جميع أوقات‬
‫الدخول والخروج للمناطق اآلمنة.‬
‫يجب أن يتم حراسة ومراقبة مداخل مباني الهيئة بشكل كافي.‬
‫يجب أن يتم حفظ دليل هواتف ألرقام الطوارئ في مكان يسهل‬
‫الوصول إليه عند الحاجة.‬

54. ‫مراجع في أمن المعلومات‬
‫كتب عربية:‬
‫مواقع عربية:‬
‫مركز التميز ألمن المعلومات‬
‫‪www.coeia.edu.sa‬‬
‫أمن‬
‫‪ammen.coeia.edu.sa‬‬

55. ‫الموظف هو رجل أمن المعلومات األول في أي منشأة‬
‫شكرا لكم‬