فصل السابع: أمن المعلومات PDF
Document Details
Uploaded by CompactTranscendental2049
Tags
Summary
يُقدم هذا النص ملخصًا شاملًا حول أمن المعلومات، يُغطي مفهـوم أمن المعلومات، أهميته، أهدافه، وعناصره. يُناقش أيضًا مجالات أمن المعلومات والمشاكل الأمنية المختلفة، إلى جانب سياسات الحماية.
Full Transcript
# الفصل السابع: أمن المعلومات ## يصبح أمن المعلومات أكثر أهمية مع التطور التقني - زيادة اعتماد الأفراد والشركات على المعلومات - تزايد أخطار القرصنة والاختراق - ضرورة حماية معلومات مهمة مثل قواعد البيانات ## ما هو أمن المعلومات؟ - مجموعة عمليات وممارسات - هدفها حماية المعلومات من الأخطار الخارجية...
# الفصل السابع: أمن المعلومات ## يصبح أمن المعلومات أكثر أهمية مع التطور التقني - زيادة اعتماد الأفراد والشركات على المعلومات - تزايد أخطار القرصنة والاختراق - ضرورة حماية معلومات مهمة مثل قواعد البيانات ## ما هو أمن المعلومات؟ - مجموعة عمليات وممارسات - هدفها حماية المعلومات من الأخطار الخارجية - مثال: التخريب، السرقة أو الإتلاف - حماية المعلومات بكافة أنواعها وأينما وجدت ## أهمية أمن المعلومات - منع وصول الأفراد غير المصرح لهم - منع تعديل البيانات - منع أخذ المعلومات - حماية المصادر - تحديد المخاطر والتعامل معها - ضمان سلامة المعلومات - منع المخاطر المترتبة عن تعريض معلوماتك للخطر - منع الاختراق العشوائي - الحفاظ على استمرار عملية الإنتاج - ضمان تميز الشركات - تقليل التكاليف وتفادي الخسائر ## أهداف أمن المعلومات - تقديم الحماية للمعلومات من الاختراق والتخريب - تحديد الجهات المخولة بالوصول الى المعلومات - حماية المعلومات من السرقة والاختراق - تقليل الخسائر المحتملة - الحد من تعطل الخدمات والأعمال ## عناصر أمن المعلومات - ### السرية أو الموثوقية: - التأكد من أن المعلومات لا يمكن الاطلاع عليها أو كشفها من قبل أشخاص غير مصرح لهم - استخدام وسائل حماية مثل عمليات تشفير الرسائل - ### التعرف أو التحقق من هوية الشخصية: - التأكد من هوية الشخص - استخدام كلمات السر الخاصة - استخدام طرق التحقق من الشخصية - ### سلامة المحتوى: - التأكد من أن محتوى المعلومات صحيح - حماية من التعديل أو التدمير - استخدام طرق الحماية - ### استمرارية توفر المعلومات أو الخدمة: - التأكد from استمرارية عمل نظام المعلومات - ضمان عدم تعرض مستخدمي تلك المعلومات إلى منع استخدامها - ### عدم الإنكار: - ضمان عدم إنكار الشخص للقيام بإجراء معين - استخدام طرق تثبيت أي تصرف ## مجالات أمن المعلومات - ### مسؤول أمن المعلومات: - اللبنة الأولى في أي فريق مختص في حماية المعلومات - مسؤول عن سلامة المعلومات - ### مسؤول أمن الشبكات: - مسؤول عن حماية وتخزين المعلومات على منصات التخزين السحابى - حماية من المخاطر التي قد تؤدي إلى تلف المعلومات - ### مختص إدارة المخاطر: - مسؤول عن تقييم حالة الشركات - تحديد مواطن الضعف - تلافي المخاطر - ### مهندس أو مسؤول تحليل البيانات الأمنية: - مسؤول عن تتبع محاولات الاختراق - معرفة مصدر الهجمات - تحديد حجم الضرر - ملاحقة المخترق قانونيا - ### مسؤول البرمجيات والتطبيقات: - مسؤول عن حفظ المعلومات عبر مختلف المنصات - تصحيح أخطاء في أمن المعلومات - دراسة الأكواد البرمجية - حماية المنصات من البرامج الضارة - ### المخترقون الأخلاقيون: - يساعدون الشركات على حماية أنظمة - يحددون نقاط الضعف - ينبهونهم إلى مخاطر اختراقات ## المشاكل الأمنية - ### الهاكر: - شخص يقوم بإنشاء وتعديل البرمجيات - يقوم بأعمال غير مرغوب فيها - سرقة المعلومات - ### البرمجيات الخبيثة: - برامج تم إعدادها من قبل مبرمجين لغرض إلحاق الضرر بالبيانات المستهدفة - تتميز بقدرتها على التناسخ والانتشار - ### الفيروسات: - برنامج صغير - يهدد النظام بالضرر - نسخ نفسه على ملفات أخرى - يزيد من عدد العمليات - إلغاء ملفات النظام - زيادة حجم الملف بإعادة كتابة على نفسه - اغلاق الحاسب - الغاء البرنامج المكتوب على الBIOS - ### ديدان الانترنت: - برنامج - نسخ نفسه على ملفات أخرى - يرسل نفسه بقائمة البريد الالكتروني - يزيد من عدد العمليات - التحميل الزائد على الشبكة - البطئ الشديد في الانترنت - ### احصنة طروادة: - برنامج حاسوب - داخل برامج تستخدم مثل الألعاب - يؤذي النظام - يقوم بإلغاء الملفات - يرسل رسائل مزيفة - يفتح الحماية الخاصة للمخترقين - ### الباب الخلفي: - ثغرات في أنظمة التشغيل - سماح للمخترقين بالدخول والسيطرة على النظام - ### اختراق: - الوصول إلى أهداف بطريقة غير مشروعة - اختراق عن طريق الثغرات - تعرض للبيانات أثناء انتقالها - اختراق الأجهزة - ### التجسس: - التعرف على محتويات الأنظمة - مراقبة وسرقة المعلومات دون إلحاق الضرر - استخدام نوع من الفيروسات - ### البريد الإلكتروني: - قلة الخصوصية - الوصول إلى البريد من قبل اشخاص غير مصرح لهم - ضرورة تشفير البريد الالكتروني - ### الهجوم المادي: - قلة الاهتمام بشأن الأمن - القيام بالبحث عن أي شيء يساعد على اختراق النظام مثل ورقة بها كلمة سر أو قرص مضغوط مرمى - استراق الأمواج أو الالتقاط اللاسلكي - الالتقاط السلكي - تعطيل النظام - التخفي أو انتحال شخصية - نسخ برامج من النظام خلسة ## سياسات الحماية - مسح كلمة السر الخاصة بالموظف المنتهي عقدة فورا - وضع حساسات Sensors مياه أو حرائق قرب اجهزة تخزين البيانات - استخدام الجهاز الخاص بالشركة للانترنت - منع استخدام جهاز غيرة للانترنت - لا يسمح بتبادل الرسائل داخل الشركة التي تحتوي على رسائل خاصة - صلاحيات كل مستخدم على البيانات الموجودة على قاعدة البيانات - الدخول للشركة عن طريق البطاقة الخاصة - وضع مثلا اجهزة التحقق من بصمة الشخص على اجهزة البيانات المهمة - التأمين المادي للأجهزة والمعدات - تركيب مضاد فيروسات قوي وتحديثه في فترات قصيرة - تركيب أنظمة كشف الاختراق وتحديثها - تركيب أنظمة مراقبة الشبكة للتنبيه عن نقاط الضعف التأمينية - عمل سياسة للنسخ الاحتياطي مع التحديث اليومي - استخدام أنظمه قوية لتشفير المعلومات المرسلة - التأكد من تحديث جميع برامجك - استخدام جدار النار (Firewall) - استخدام packet sniffers - استعمال مضادات الفيروسات مثل Kaspersky - وضع الخادم داخل غرفة مغلقة - استخدام أجهزة مراقبة - استخدام أجهزة أمان التأشيرة - استخداما لأجهزة البيولوجية - سياسة تواجد أكثر من شخص في غرفة - سياسة تفتيش الموظين - دراسة ومواكبة أساليب حيل الاختراق - الدراسة والفهم الجيد لنظم تشغيل وإدارة الشبكات - الدراسة الدقيقة لبرتوكولات الاتصالات والإحاطة بنقاط الضعف فيها - توعية ورفع الحس الأمني لدى المشرفين على أنظمة المعلومات - استخدام خوارزميات تشفير قوية وتطويرها ما أمكن ذلك - دراسة ومعالجة أنظمة الحماية والاستغلال الجيد لها ## متطلبات أمن نظم المعلومات - وضع سياسة حماية عامة - دعم الإدارة العليا - توكيل مسؤولية أمن نظم المعلومات - تحديد الحماية اللازمة - تحديد آليات المراقبة والتفتيش - الاحتفاظ بنسخ احتياطية - تشفير المعلومات - تأمين استمراية عمل وجاهزية
