IT Security - SPECTO · تامولعملا ايجولونكت نمأ نمأا ميهافم 1 Security Concepts نملأا ميهافم 1 ام وأ ،ةفلتخم قرطب اهلدابتو

المعلوماتأمن تكنولوجيا

IT Security

أمن تكنولوجيا المعلومات جدول المحتويات

جدول المحتويات

SECURITY CONCEPTS ............................................................................................. 1 األمن مفاهيم 1

DATA THREATS ............................................................................................. 1 البيانات تهديدات 1.1

Distinguishing between data and information ........................... 1 المعلومات من البيانات تمييز 1.1.1

Cybercrime ..................................................................................... 1 اإللكترونية الجريمة 2.1.1

The difference between األخالقي واالختراق الحماية وكسر القرصنة، من كل بين الفرق فهم 3.1.1

hacking, cracking and ethical hacking ........................................................................... 2

Threats to data from force majeure .............................. 2 قاهرة ظروف بسبب البيانات تهديدات 4.1.1

Threats to data from persons .............................................. 3 األشخاص من البيانات تهديدات 5.1.1

3 ...................................................................................................................... (1-1) تمرين

VALUE OF INFORMATION .......................................................................... 4 المعلومات وقيمة أهمية 2.1

The reasons for protecting personal الشخصية المعلومات حماية إلى تدعو التي األسباب 1.2.1

information ............................................................................................................. 4

The reasons for protecting الحساسة التجارية المعلومات حماية إلى تدعو التي األسباب 2.2.1

commercially sensitive information ............................................................................. 4

Measures for preventing unauthorised البيانات إلى به المسموح غير الوصول تمنع التي التدابير 3.2.1

access to data .......................................................................................................... 4

Basic characteristics of information security ....................... 5 المعلومات ألمن األساسية الميزات 4.2.1

,The main data/privacy protection بها التحكم ومتطلبات بها، واالحتفاظ البيانات،/الخصوصية حماية 5.2.1

retention and control requirements ............................................................................. 5

واالتصاالت، المعلومات تكنولوجيا باستخدام المتعلقة العامة والسياسات اإلرشادات إنشاء أهمية 6.2.1

The importance of creating and adhering to guidelines and policies for ICT بها وااللتزام

use ........................................................................................................................ 5

6 ...................................................................................................................... (2-1) تمرين

PERSONAL SECURITY ........................................................................................ 7 الشخصي األمن 3.1

Social Engineering ............................................................................ 7 االجتماعية الهندسة 1.3.1

The term: Social engineering ................................................................ 7 االجتماعية الهندسة مفهوم 1.1.3.1

Implications of social engineering ......................................... 7 االجتماعية الهندسة على المترتبة اآلثار 2.1.3.1

Methods of social engineering .................................................. 7 االجتماعية الهندسة أساليب 2.3.1

Identity theft .............................................................................. 8 الهوية/الشخصية سرقة 3.3.1

Methods of identity theft ...................................................... 8 الهوية/الشخصية سرقة طرق 4.3.1

9 ...................................................................................................................... (3-1) تمرين

FILE SECURITY .................................................................................................. 11 الملفات أمن 4.1

The effect of enabling/ disabling macro security الماكرو أمان إعدادات تمكين عدم/تمكين تأثير 1.4.1

settings ................................................................................................................ 11

Setting a password for files ...................................................... 11 للملفات مرور كلمة تعيين 2.4.1

Setting a password for documents ................................................... 11 للمستندات مرور كلمة تعيين 1.2.4.1

جدول المحتويات أمن تكنولوجيا المعلومات

Setting a password for compressed files ................................ 12 المضغوطة فاتللمل مرور كلمة تعيين 2.2.4.1

Setting a password for spreadsheets .................................... 15 اإللكترونية للجداول مرور كلمة تعيين 3.2.4.1

The advantages and limitations of encryption ................................. 16 التشفير وقيود إيجابيات 3.4.1

The advantages of encryption ........................................................................ 16 التشفير إيجابيات 1.3.4.1

The limitations of encryption .............................................................................. 16 التشفير قيود 2.3.4.1

16 .................................................................................................................... (4-1) تمرين

MALWARE ........................................................................................ 17 الضارة/الخبيثة البرمجيات 2

DEFINITION AND FUNCTION ........................................................................... 17 والوظيفة التعريف 1.2

The term: Malware ........................................................ 17 الضارة/الخبيثة البرمجيات مفهوم 1.1.2

Ways that malware can be concealed 17 الضارة/الخبيثة البرمجيات بها وتختفي تختبئ التي الطرق 2.1.2

17 .................................................................................................................... (1-2) تمرين

TYPES .................................................................................................................. 11 األنواع 2.2

Types of infectious malware and how they work . 18 عملها وآلية المعدية، الخبيثة البرمجيات عأنوا 1.2.2

,Types of data theft عملها وآلية االبتزاز،/األرباح وتوليد البيانات، لسرقة الخبيثة البرمجيات أنواع 2.2.2

profit generating/extortion malware and how they work ............................................... 18

19 .................................................................................................................... (2-2) تمرين

PROTECTION ......................................................................................................... 01 الحماية 3.2

How anti-virus software works and its limitations21 ومحدداتها الفيروسات، مكافحة برامج عمل آلية 1.3.2

Using anti-virus software .............................................. 21 ساتالفيرو مكافحة برنامج استخدام 2.3.2

Scanning specific drives ............................................ 21 الفيروسات من محددة أقراص محركات فحص 1.2.3.2

Scanning specific folders ...................................................... 21 الفيروسات من محددة مجلدات فحص 2.2.3.2

Scanning specific files ............................................................ 22 الفيروسات من محددة ملفات فحص 3.2.3.2

Schedule scans .............................................................................................. 23 الفحص جدولة 4.2.3.2

The quarantine and its effect on بها المشكوك أو المصابة الملفات على أثرهو الحجر، 3.3.2

infected/suspicious files ............................................................................................ 24

The importance of الفيروسات مكافحة تعريف وملفات البرامج، تحديثات وتثبيت تحميل أهمية 4.3.2

downloading and installing software updates, anti-virus definition files ............................ 24

25 .................................................................................................................... (3-2) تمرين

NETWORK SECURITY ........................................................................................... 02 الشبكات أمن 3

NETWORKS .......................................................................................................... 02 الشبكات 1.3

The term: Network and common network types ........................ 26 أنواعها وأهم الشبكة، مفهوم 1.1.3

The role of the network administrator .............................................. 27 الشبكة مسؤول دور 2.1.3

The firewall .......................................................................................... 28 الناري الجدار 3.1.3

The function of a firewall ......................................................................... 28 الناري الجدار وظيفة 1.3.1.3

The limitations of a firewall............................................................ 28 الناري الجدار ومحددات قيود 2.3.1.3

28 .................................................................................................................... (1-3) تمرين

NETWORK CONNECTIONS ................................................................................ 02 الشبكة اتصاالت 2.3

The options for connecting to a network ..................................... 29 بالشبكة االتصال خيارات 1.2.3


How connecting to a network has implications for بالشبكة االتصال على المترتبة األمنية اآلثار 2.2.3

security ................................................................................................................ 31

31 .................................................................................................................... (2-3) تمرين

WIRELESS SECURITY .............................................................................. 01 الالسلكية الشبكات أمن 3.3

The importance of requiring a password for protecting مرور بكلمة الالسلكية الشبكة حماية أهمية 1.3.3

wireless network access .......................................................................................... 31

Types of wireless security .................................................... 31 الالسلكية الشبكات أمان أنواع 2.3.3

Wi-Fi Protected Access (WPA) ................................................... 31 الالسلكية بالدقة المحمي الوصول 1.2.3.3

Wired Equivalent Privacy (WEP) ...................................................... 31 المتكافئة السرية خوارزميات 2.2.3.3

Media Access Control (MAC) .......................................................... 31 الوسائط إلى بالوصول التحكم 3.2.3.3

Implications of using an unprotected wireless network. 32 محمية غير السلكية شبكة استخدام آثار 3.3.3

Connecting to a wireless network ................................................. 32 السلكية بشبكة االتصال 4.3.3

34 .................................................................................................................... (3-3) تمرين

ACCESS CONTROL ........................................................................................ 04 ولبالوص التحكم 4.3

The purpose of a network account .............................................. 34 الشبكة حساب من الهدف 1.4.3

Good password policies ........................................................ 35 الجيدة المرور كلمة سياسات 2.4.3

Common biometric بالوصول التحكم في المستخدمة الشائعة البيومترية/الحيوية األمنية التقنيات 3.4.3

security techniques used in access control .................................................................. 35

37 .................................................................................................................... (4-3) تمرين

SECURE WEB USE ................................................................................... 01 للويب اآلمن االستخدام 4

WEB BROWSING.............................................................................................. 01 الويب تصفح 1.4

Certain online activity آمنة ويب صفحات ضمن إال بها القيام عدم يجب اإلنترنت على معينة أنشطة 1.1.4

should only be undertaken on secure web pages ......................................................... 38

How to Identify secure websites ......................................... 38 اآلمنة الويب مواقع تحديد كيفية 2.1.4

Pharming ................................................................................. 39 العناوين قرصنة/تزوير 3.1.4

Digital certificate ................................................................................. 41 الرقمية الشهادة 4.1.4

The term: Digital certificate .................................................................... 41 الرقمية الشهادة مفهوم 1.4.1.4

Types of digital certificate ..................................................................... 41 الرقمية الشهادات أنواع 2.4.1.4

Validating a digital certificate ..................................................... 41 الرقمية الشهادة صحة من التحقق 3.4.1.4

The term one-time password (OTP) .................................. 42 واحدة لمرة المستخدمة السر كلمة 5.1.4

Autocomplete, Autosave ................................................. 42 التلقائي والحفظ التلقائي، اإلكمال 6.1.4

Selecting appropriate settings for التلقائي اإلكمال تعطيل أو لتمكين المناسبة اإلعدادات اختيار 1.6.1.4

enabling/disabling autocomplete when completing a form .................................................................. 42

Selecting appropriate settings for التلقائي الحفظ تعطيل أو لتمكين المناسبة اإلعدادات اختيار 2.6.1.4

enabling/disabling autosave when completing a form ......................................................................... 44

The term: Cookie ............................................................ 44( الكوكي) االرتباط تعريف ملف 7.1.4

Selecting appropriate (الكوكيز) االرتباط تعريف ملفات لمنع أو بـ للسماح المناسبة اإلعدادات اختيار 8.1.4

settings for allowing, blocking cookies ........................................................................ 44

جدول المحتويات أمن تكنولوجيا المعلومات

Deleting private data from a browser ..................... 46 الويب متصفح من الخاصة البيانات حذف 9.1.4

Content-control software ..................................................... 47 بالمحتوى التحكم برمجيات 11.1.4

48 .................................................................................................................... (1-4) تمرين

SOCIAL NETWORKING ............................................................................... 01 تماعيةاالج الشبكات 2.4

The importance of not االجتماعية الشبكات مواقع على سرية معلومات عن الكشف عدم أهمية فهم 1.2.4

disclosing confidential information on social networking sites ....................................... 51

The need to apply االجتماعية الشبكات حساب على المناسبة الخصوصية اإلعدادات تطبيق إلى الحاجة 2.2.4

appropriate social networking account privacy settings ................................................. 51

Potential dangers when using social االجتماعية الشبكات استخدام عند المحتملة األخطار 3.2.4

networking sites .................................................................................................... 51

51 .................................................................................................................... (2-4) تمرين

COMMUNICATIONS ............................................................................................... 00 االتصاالت 5

E-MAIL ................................................................................................... 00 اإللكتروني البريد 1.5

-The purpose of encrypting, decrypting an e اإللكتروني البريد رسائل تشفير فك/تشفير من الهدف 1.1.5

mail ..................................................................................................................... 52

The term: Digital signature..................................................................... 52 الرقمي التوقيع 2.1.5

Creating and adding a digital signature ..................................... 53 وإضافته رقمي توقيع إنشاء 3.1.5

Be aware of the possibility of فيها مرغوب غير رسائل أو احتيالية، رسائل استقبال من الحذر 4.1.5

receiving fraudulent and unsolicited e-mail ................................................................. 56

Phishing ............................................................................................. 56 التصيد/الخداع 5.1.5

The danger of infecting the computer with الضارة/الخبيثة بالبرامج الحاسوب إصابة خطر 6.1.5

malware ............................................................................................................... 57

57 .................................................................................................................... (1-5) تمرين

INSTANT MESSAGING (IM) .................................................................. 01 الفورية/حظيةالل المراسلة 2.5

The term: Instant Messaging (IM) and its uses ... 58 واستخداماتها الفورية،/اللحظية المراسلة مفهوم 1.2.5

The security vulnerabilities of IM ................................. 59 اللحظية المراسلة في األمنية الثغرات 2.2.5

Methods of ensuring confidentiality while اللحظية المراسلة استخدام أثناء السرية ضمان أساليب 3.2.5

using IM ............................................................................................................... 59

61 .................................................................................................................... (2-5) تمرين

SECURE DATA MANAGEMENT .................................................................. 21 للبيانات اآلمنة اإلدارة 6

SECURING AND BACKING UP DATA ................................................ 21 البيانات وتأمين االحتياطي النسخ 1.6

Ways of ensuring physical security of devices .................. 61 لألجهزة المادي األمن ضمان طرق 1.1.6

The importance of having a back-up procedure .............................. 61 االحتياطي النسخ أهمية 2.1.6

The features of a back-up procedure ........................................... 62 االحتياطي النسخ ميزات 3.1.6

Back up data .................................................................. 62 للبيانات االحتياطي النسخ إجراء 4.1.6

Restoring and validating backed up data .... 64 احتياطيا نسخا نسخها تم التي البيانات وتقييم استعادة 5.1.6

65 .................................................................................................................... (1-6) تمرين


SECURE DESTRUCTION ....................................................................................... 22 اآلمن التدمير 2.6

The reason for permanently دائم بشكل األجهزة من أو األقراص محركات من البيانات حذف أسباب 1.2.6

deleting data from drives or devices .......................................................................... 66

Distinguish between deleting and permanently دائم بشكل وتدميرها البيانات حذف بين الفرق 2.2.6

destroying data ....................................................................................................... 66

Common methods of permanently destroying data ............. 66 دائم بشكل البيانات تدمير وسائل 3.2.6

67 .................................................................................................................... (2-6) تمرين

21 ................................................................................................... والمراجع األسئلة، إجابات ملحق

أمن تكنولوجيا المعلومات األمن مفاهيم

1

Security Concepts مفاهيم األمن 1

أو ما ،بطرق مختلفةمع تطور العلم والتكنولوجيا ووسائل تخزين المعلومات وتبادلها

أصبح النظر إلى أمن تلك البيانات ،يسمى نقل البيانات عبر الشبكة من موقع آلخر

للغاية. ا مهم أمرا والمعلومات

يمكن تعريف أمن المعلومات بأنه العلم الذي يعمل على توفير الحماية للمعلومات من

وذلك من خالل توفير ديل،بالسرقة أو التع المخاطر التي تهددها أو االعتداء عليها

واتباع ،لحماية المعلومات من المخاطر الداخلية أو الخارجية ةاألدوات والوسائل الالزم

لمنع وصول المعلومات إلى أيدي أشخاص المناسبة؛االتصاالت المعايير وإجراءات

.االتصاالت تلكولضمان أصالة وصحة ،غير مخولين

Data Threats تهديدات البيانات 1.1

Distinguishing between data and information المعلوماتمن البيانات تمييز 1.1.1

/البيانات(Data): لم تتم معالجتها ا أو أصوات ا أو صور ا أو رموز ا أو كلمات أو أرقام حروفا البيانات يمكن أن تكون ،

.هي معلومات لم تتم معالجتهاوبالتالي يمكنك القول بأن البيانات .معالجتهاوإنما يتم جمعها لغايات

(معلومات/ الInformation) .هي البيانات بعد معالجتها، بحيث تصبح ذات معنى عند الشخص الذي يستقبلها

( تشير إلى بيانات، ولكن عند تفسيرها بأنها بيانات 92، 921وكي تدرك الفرق بين البيانات والمعلومات؛ فإن الكلمات )علي،

، تصبح هذه البيانات معلومات. 92، ومعدله 921لطالب اسمه علي، ومجموع عالماته

ينتج من البيانات نفسها معلومات مختلفة.فإنه قد ، تفسير البيانات بشكل مختلفعند وهنا تجدر اإلشارة إلى أنه

Cybercrime الجريمة اإللكترونية 2.1.1

ية الشخصية، والهندسة سرقة الهو :ومن األمثلة عليها .باستخدام اإلنترنت أو الحاسوبيتم نشاط غير قانوني أي هي

.سرقة تفاصيل بطاقة االئتمان عبر اإلنترنتوواالختراق األمني، وكسر حماية البرامج، االجتماعية،

نية اإلساءة لسمعة الضحية أو بأية مخالفة ترتكب ضد أفراد أو جماعات بدافع جرمي، أو وبذلك فإن الجريمة اإللكترونية تشمل

أو البريد اإللكتروني أو وغرف الدردشة اإلنترنت، الحديثة مثل االتصاالت لجسدها أو عقليتها، كل ذلك باستخدام وسائل

المجموعات ... إلخ.

مفاهيم األمن أمن تكنولوجيا المعلومات

2

,The difference between hacking األخالقي واالختراقفهم الفرق بين كل من القرصنة، وكسر الحماية 3.1.1

cracking and ethical hacking

تقوم(أو االختراق القرصنة/ Hacking ) الخبرة الحاسوبية اإلبداع وعلى استخدام

بالبيانات العبث ؛ من أجلفي الوصول إلى نظام الحاسوب دون تخويل بذلك

أو سرقة ألغراض التجسس استغاللهاأو والبرامج الموجودة على الحاسوب

ستخدام موارد الحاسوب، أو يكتفي بهذا العمل ال قد يقوم القرصان ، أواألموال

بإثبات أنه يستطيع الوصول إلى حاسوبك.

/االختراق األخالقي( يقومEthical hacking ) النظام األمني اختراقعلى أو ما يسمى بالقرصنة األخالقية

إيجاد لحماية نظام الحاسوب من خالل للحاسوب، بتصريح من المالك نفسه؛ لكن ليس لتعطيل الخدمة أو نحو ذلك، بل

نقاط الضعف والثغرات في شبكة المنظمة، التي يمكن للقرصان الماكر استغاللها، فيقوم المخترق األخالقي بمحاولة

الحماية التي يواجهها في سبيل الوصول إلى معلومة ليس من المفترض أن يصل لها، تفادي جميع معوقات أنظمة

وأحيانا يطلب من المخترق أن يحاول اإلطاحة بنظام قائم بهدف منع المستخدمين من الوصول إلى هذا النظام أو

وما يمكن أن تقوم به من الخدمة، وتنتهي هذه العملية بتقديم تقرير مفصل عن مستوى الحماية الذي توفره المنظمة،

تحسينات لتفادي األضرار التي قد تمس بالمنظمة جراء محاوالت قادمة للقراصنة غير األخالقيين.

/كسر حماية كلمة المرور( يقومPassword Cracking ) كلمات السر ومعرفة على استرداد

يدويا ويتم هذا األمر إما الحاسوب.نظام عبر نقلها التي تم من البيانات التي تم تخزينها أوإما

بتخمين كلمة المرور، أو باستخدام برامج خاصة.

/كسر حماية البرامج( يقومSoftware Cracking على عدم تمكين أو على إزالة ميزات معينة غير مرغوب بها )

معدات واألجهزة، وتاريخ مفاتيح الواألرقام السرية، وحقوق النشر، تلك الميزات ، ومن األمثلة علىمن البرنامج

الفحص.

Threats to data from force majeure ظروف قاهرةبسبب تهديدات البيانات 4.1.1

يمكن أن يهدد البيانات، مثل ال يمكن للشركة أن تتنبأ به، لكنه الفائقة أو الحدث غير المتوقع الذي القوىالظروف القاهرة هي

والزالزل، وهذه كلها قد تؤدي إلى تدمير بيانات األفراد والشركات.، والفيضانات، والحروب، النار


3

Threats to data from persons األشخاصتهديدات البيانات من 5.1.1

إن خطر األشخاص ال يقل عن خطر القوى القاهرة، فإن احتمالية سرقة البيانات والتالعب بها واستخدامها لمصالح شخصية أو

كبير نسبيا ما لم تتخذ إجراءات الحماية المناسبة، وفيما يأتي أهم األشخاص الذين يمكنهم الوصول إلى البيانات:مالية احتمال

/الموظفون(Employees يمكن للموظفين أن يسرقوا بيانات الشركة، مثل المعلومات عن المنتج الجديد الذي :)

.ية، إما لحسابهم الشخصي، أو لحساب جهة خارجستنتجه الشركة

/مزودو الخدمة(Service providers :) بقصد أو دون قصد يطلعوا على البياناتأن لموظفي مزود الخدمة يمكن ،

ون بمعالجة بيانات الشركات ميقوكما هو معلوم هم الذين ؛ ألنهم يدمروا أو يسرقوا بيانات قيمة للشركة كما يمكنهم أن

.على أجهزة الخادم

/األفراد من الخارج(External individuals:) يمكنهم الوصول إلى نظام الحاسوب، وسرقة أو فإنهم ،كالقراصنة

حذف البيانات.

(1-1تمرين )

.(68)انظر اإلجابات في ملحق اإلجابات ص : لكل سؤال مما يلياختر اإلجابة الصحيحة من بين البدائل األربعة المذكورة

استخدام االنترنت؟بلنشاط غير المشروع ا ماذا يطلق على .1

.الجريمة االفتراضية -د .الجريمة العنكبوتية -ج .الجريمة المادية -ب الجريمة اإللكترونية. -أ

اإلنترنت؟أي من اآلتية يعد مثاال على جرائم .2

.الجدار الناري -د الخداع. -ج .التمزيق -ب القرصنة األخالقية. -أ

بأنها: لقرصنة األخالقيةيمكن تعريف ا .3

.للنظام المصرح به االختراق -ب التنصت على شبكة اتصال السلكية. -أ

.التنصت على شبكة اتصال سلكية -د إلى النظام. االختراق غير المصرح به -ج

البيانات؟ يعد من القوى القاهرة التي تهددال أي من اآلتية .4

.الزلزال -د .الفيضانات -ج الحريق. -ب .مزودو الخدمة -أ

حماية كلمة المرور؟بكسر ما المقصود .5

كلمة المرور. معرفة نص -ب إدخال كلمة مرور غير صحيحة عدة مرات. -أ

.بشكل دوريتغيير كلمة المرور -د اإلنترنت.سرقة تفاصيل شخصية لشخص ما عبر -ج

يمكن أن يكون تهديدا محتمال للبيانات؟ ال أي مما يلي .6

الموظفون. -د .الشهادات الرقمية -ج .مزودو الخدمة -ب .القراصنة -أ

لمعلومات؟با ما المقصود .7

األرقام التي لم تتم معالجتها. -ب البيانات التي تمت معالجتها. -أ

البيانات التي لم تتم معالجتها. -د األصوات والنصوص. -ج

؟النظام األمني للحاسوب، بتصريح من المالك نفسه اختراقماذا يطلق على .8

.األخالقي االختراق -د .انتحال الشخصية -ج حماية البرامج. كسر -ب .القرصنة -أ


4

Value of Information المعلوماتوقيمة أهمية 2.1

The reasons for protecting personalاألسباب التي تدعو إلى حماية المعلومات الشخصية 1.2.1

information

عليك أن تحرص أشد الحرص على حماية معلوماتك الشخصية، ألنك بذلك تمنع أمورا خطيرة من أهمها:

من قبل أشخاص يدعون أنهم أنت من أجل الحصول على خدمات باسمك الشخصية /انتحالسرقة.

من قبل أشخاص قد يستخدمون معلوماتك الشخصية في االحتيال على اآلخرين الذين يثقون بك. االحتيال

The reasons for protecting commercially األسباب التي تدعو إلى حماية المعلومات التجارية الحساسة 2.2.1

sensitive information

، من أهمها:تتعلق بسرقة البيانات عليك أن تحرص أشد الحرص على حماية المعلومات التجارية، ألنك بذلك تمنع أمورا خطيرة

من قبل الشركات المنافسة سرقة أو إساءة استخدام تفاصيل العمالء.

الخاصة بالشركة المعلومات المالية سرقة أو إساءة استخدام.

Measures for preventing unauthorisedالتي تمنع الوصول غير المسموح به إلى البيانات التدابير 3.2.1

access to data

اإلنترنت بشكل واسع لنقل المعلومات حول العالم، وتتميز بعض هذه المعلومات ـ مثل الحركات المالية شبكة تستخدم

السرية العالية. وللحفاظ على سرية البيانات التي يتم تبادلها من خالل اإلنترنت يتم والمعلومات الشخصية لألفراد ـ بحاجتها إلى

اتخاذ العديد من اإلجراءات، وفيما يأتي أهم هذه التدابير واإلجراءات:

/التشفير(Encryptionهو عملية ترميز البيانات :) والمعلومات، وتحويلها إلى

صيغة غير مفهومة، باستخدام المفاتيح العامة والخاصة في تشفير الرسالة،

وتستند هذه المفاتيح إلى صيغ رياضية معقدة؛ لمنع األشخاص غير المخولين

باالطالع على المعلومات من االطالع عليها.

ة تحويل البيانات إلى ( فهي عملية إعادDecryptionأما عملية )فك التشفير/

صيغتها األصلية، وذلك باستخدام المفتاح المناسب لفك الشيفرة.

/كلمات المرور(Passwords :) هي سلسلة من الرموز )حروف وأرقام

وبعض الرموز الخاصة( تستخدم للتأكد من الهوية وللتعريف بالشخص المخول،

امج، أو الدخول إلى وتمكنه من فتح ملف، أو تشغيل حاسوب، أو تشغيل برن

شبكة حواسيب، والحصول على إذن الوصول إلى موارد الحاسوب. وعند إنشاء

.كلمات المرور يجب أن تكون قوية، يصعب تخمينها أو كسر حمايتها


5

Basic characteristics of information security الميزات األساسية ألمن المعلومات 4.2.1

إذا توفرت األمور اآلتية: حمايتها من أي دخول غير مصرح به، وال يتحقق هذا األمن إالأمن المعلومات يعني

(والسرية الخصوصية /Confidentiality:) حماية المعلومات من الوصول غير المصرح به، أو من إلى تشير

إفشائها.

/الكمال(Integrity :) ولم يتم تعديلها صحيحة وكاملة، وأنها معلومات الثقة بمصادر المعلوماتيشير إلى.

/التوفر(Availability :)والحصول على المعلومات ، وأنه يمكن الوصوليشير إلى توفر مصادر المعلومات

ويشمل هذا األمر ضمان عدم تعطل أنظمة المعلومات بسبب .المخولينوالبيانات عندما يتم طلبها من األشخاص

رامج خبيثة.الصيانة أو تحديثها، أو بسبب وجود ب

,The main data/privacy protection ، واالحتفاظ بها، ومتطلبات التحكم بهاالبيانات/خصوصيةال حماية 5.2.1

retention and control requirements

(، والتي تتضممن Information Privacy( بـ )خصوصية المعلومات/ Data Protectionيتصل عادة مفهوم )حماية البيانات/

القواعد التي تحكم جمع وإدارة البيانات الخاصمة، كمعلوممات بطاقمات الهويمة والمعلوممات الماليمة والسمجالت الطبيمة والسمجالت

الحكومية وغيرها. وبناء على هذا فمإن قمانون حمايمة البيانمات همو القمانون المذي يحممي الخصوصمية الشخصمية وحقموق األفمراد،

المعلومات متاحة فقط ألولئك الذين يؤذن لهم باالطالع عليها. ويقوم هذا القانون على ضمان أن تكون

م، لكن يجب أن يتوفر في كل بلد قانون أو 1995حماية البيانات األوروبي لعام تشريعتم تطبيق ي األوروبيفي دول االتحاد

لقانون حماية البيانات:تشريع لحماية هذه البيانات من االستخدام الخاطئ مراعيا األهداف الرئيسية اآلتية

.وضع معايير الستخدام البيانات الشخصية بشكل يحفظ لألفراد خصوصيتهم ويحمي حقوقهم

.تحديد مسؤوليات مراقب البيانات، للتعامل مع البيانات بشكل أخالقي وقانوني والمحافظة على سرية تلك المعلومات

التي يجب اتباعها للتعامل مع البيانات الشخصية، والتي تكون مسؤولية ويتضمن هذا القانون في أية دولة عددا من المبادئ

مراقب البيانات، منها:

.أن تتم معالجة البيانات الشخصية بصورة عادلة وقانونية

.أن يتم الحصول عليها ألغراض محددة

.أن تكون كافية وذات صلة وليس مفرطة

.أن تكون دقيقة وحديثة

الالزم. أن ال تحفظ وقتا أطول من

.أن تتم معالجتها وفقا لحقوق صاحب البيانات

.أن ال يتم نقل البيانات خارج البلد ما لم يكن هناك مستوى كاف من الحماية لهذه البيانات

، وااللتزام بهاالمتعلقة باستخدام تكنولوجيا المعلومات واالتصاالت العامةالسياسات و اإلرشادات أهمية إنشاء 6.2.1

The importance of creating and adhering to guidelines and policies for ICT use

كي يتبعوها، وليضمنوا معينةمعايير ب هاموظفيجميع تزويد أن تقوم ب ينبغي على الشركات

وجود موقف واضح حول كيفية استخدام تكنولوجيا المعلومات واالتصاالت بشكل يحمي

بيانات المنظمة.


6

الوصول الى الئحة كبيرة من تجاهولعله من الضروري لك كمستخدم لتكنولوجيا المعلومات واالتصاالت أن تدرك مسؤوليتك

. وتذكر دائما حقيقة أن قدرتك على القيام بعمل معين ال تعني بالضرورة على الشبكة الخدمات والمواقع واألنظمة واألشخاص

لإلساءة األخالقية والقانونية أحيانا إذا هذه الميزة ض قد تعر ووليس حقا ، ةبكة يعتبر ميزوجوب قيامك بذلك العمل. فاستخدام الش

فت بشكل غير الئق.ما تصر

ومن أهم هذه اإلرشادات العامة:

ومناسبة الستخداماتك. التأكد من أن إعدادات برامج الحماية على اإلنترنت صحيحة

اإللكترونية التي تنوي التسجيل بها أو تزويدها ببياناتك الشخصية.مراجعة سياسة الخصوصية الخاصة بالمواقع

التي تفاقية السرية االإذا كنت تعمل لدى أية هيئة أو مؤسسة سواء أكانت حكومية أم خاصة، يجب التأكد من وجود

، قبل تبادل أية معلومات مع طرف ثالث خارج مؤسستك.عدم الكشف عن المعلومات تتضمن

ز تمزيق األوراق للتخلص من أية أوراق تحتوي على معلوماتك الشخصية.استخدام جها

الواردة من األشخاص غير تلك عدم االستجابة لرسائل البريد اإللكتروني التي تطلب منك بيانات شخصية، أو

المعروفين لديك.

.تثبيت برنامج مكافحة الفيروسات وتحديثه بشكل مستمر

،وتعيين اإلعدادات المناسبة له.تشغيل برنامج الجدار الناري

والتأكد من سرية كلمات المرورعدم استخدام نفس اسم المستخدم وكلمة المرور على مواقع إلكترونية مختلفة ،.

ذلك الموقع.لعدم إدخال بيانات بطاقات االئتمان أو الحسابات البنكية في أي موقع دون التأكد من مدى األمان

ت التي يتم نشرها في ملف التعريف الشخصي الخاص ببرامج المراسلة الفورية.من المعلوما يستحسن الحد

التأكد من أن عمليات التحديث التلقائية مبرمجة بشكل صحيح.

(2-1تمرين )


أي مما يأتي ال يعد سببا لحماية معلوماتك الشخصية أو التجارية؟ .1

.سرقة أو إساءة استخدام تفاصيل العمالءمنع -ب .سرقة/انتحال الشخصيةمنع -أ

.منع القرصنة األخالقية -د .االحتيالمنع -ج

للبيانات؟ الوصول غير المصرح به ساعد على منعمن التدابير التي ت أي مما يأتي .2

.استخالص كلمات المرور -ب الخداع. -أ

التشفير. -د استراق النظر للحصول على المعلومات. -ج

؟ما المقصود بالكمال كخاصية من خصائص أمن المعلومات .3

.الثقة بمصادر المعلومات، وأنها صحيحة وكاملة -ب .مصادر المعلوماتتوفر -أ

قرصنة العناوين. ازدياد إمكانية -د .حماية المعلومات من الوصول غير المصرح به -ج

أي من اآلتية هو أحد أسباب منع االحتيال؟ .4

القرصنة األخالقية. حماية نفسك من -ب .المعتمدحماية المعلومات الشخصية من الوصول غير -أ

التلقائي في المتصفح. الحفظلحد من ميزة ا -د لحد من ميزة اإلكمال التلقائي في المتصفح.ا -ج


7

اإلرشادات والسياسات العامة المتعلقة باستخدام تكنولوجيا المعلومات بأي العبارات التالية صحيح فيما يتعلق .5

واالتصاالت؟ متعلقة فقط بالمؤسسات المالية. اإلرشاداتهذه -أ

تنفيذها. ال يشترطولكن اإلرشاداتينبغي قراءة هذه -ب

مهمة ألنها توفر معيارا للمستخدمين كي يتبعوه. اإلرشاداتهذه -ج

العاديين في الشركة. نموظفيالتطبق فقط على اإلرشاداتهذه -د

إذن أو تصريح؟ البيانات دون تي تضمن عدم تعديلال أمن المعلومات من سمات أي من اآلتية يعد .6

السرية. -د .التوفر -ج إمكانية الوصول. -ب .الكمال -أ

أي مما يلي ليس سببا شائعا لحماية المعلومات التجارية الحساسة المخزنة على الشبكة؟ .7

لتشجيع الوصول الخارجي إلى الشبكة. -ب لحماية العمالء من االحتيال. -أ

للتحكم في الوصول إلى المعلومات. -د للتأكد من بقاء تفاصيل العميل سرية. -ج

:حماية البيانات األوروبي لعام تشريعتم تطبيق ي األوروبيفي دول االتحاد .8

.1998 -د .1997 -ج .1996 -ب .1995 -أ

الوصول غير المصرح به أو أي من اآلتية هو أحد سمات أمن المعلومات التي تضمن حماية تلك المعلومات من .9

الكشف عنها؟ السرية. -د .التوفر -ج .الكمال -ب الموثوقية. -أ

Personal Security األمن الشخصي 3.1

Social Engineering الهندسة االجتماعية 1.3.1

The term: Social engineeringمفهوم الهندسة االجتماعية 1.1.3.1

ولهذا أو إفشاء معلومات سرية، بعمل ماالقيام من أجلواستغاللهم ،لتالعب باألشخاصالتي تستخدم ل مجموعة من التقنياتهي

للحصول على تلك المعلومات. أو اختراق النظام بدال من القرصنةتعرف الهندسة االجتماعية أحيانا بفن اختراق العقول،

Implications of social engineering الهندسة االجتماعية اآلثار المترتبة على 2.1.3.1

يترتب على الهندسة االجتماعية العديد من اآلثار السيئة، منها:

ج( /مع المعلوماتInformation gathering :) .التي يمكن أن تكون سرية أو قيمة

االحتيال( /Fraud :) االحتيال على اآلخرينجمعها في استخدام المعلومات التي تم.

الوصول( إلى نظام الحاسوب /Computer system access :) يؤدي الوصول

إلى البيانات المخزنة على نظام الحاسوب إلى تسهيل واحتمالية الكشف عن معلومات

سرية.

Methods of social engineering الهندسة االجتماعية أساليب 2.3.1

ووسائل عديدة، منها: أساليبللهندسة االجتماعية

/المكالمات الهاتفية(Phone calls :) استخدام االتصال الهاتفي في تضليل شخص ما

يتصل المهاجم مدعيا أنه شخص حيث ؛ للحصول على معلومات قيمة.حول هويتك

.يقوم تدريجيا بسحب المعلومات من الضحية ، ثمله صالحياتو ،ذو منصب

/استراق النظر(Shoulder surfingاستخدام المال :) ،مراقبة وذلك بحظة المباشرة للحصول على المعلومات

ب المحمول في األماكن وفإذا كنت ممن يستخدمون الحاس .الشخصيةالسرية ومعلوماتهم األشخاص عند كتابة أرقامهم


8

العامة كثيرا ، فينصح بوضع شاشة الخصوصية وهي شاشة إضافية تركب على الحاسوب، وتمنع التلصص أو النظر

والجوانب لضمان عدم قدرة اآلخرين على رؤية ما تقوم به، وبخاصة عندما تدخل اسم المستخدم وكلمة من الزوايا

المرور.

/الخداع والتصيد(Phishing :) تضليل شخص ما حول هويتك باستخدام اإلنترنت؛

يحصل المهاجم على المعلومات التي يريدها حيث للحصول على معلومات قيمة.

عالقة اتع الضحية وحثها على اإلدالء بمعلومات حساسة أو ذمن خالل التحدث م

وذلك من خالل إثارة انطباع جيد لدى الضحية والتملق وغيرها من ،بهدف المهاجم

.األساليب

Identity theft /الهوية الشخصيةسرقة 3.3.1

المراد أخذ المعلومات منه أن حيث يتم اقناع الشخص انتحال هوية شخص آخر من أجل الحصول على مكاسب شخصية. هي

سارق الشخصية صديق أو ما شابه، أو أنه أحد األفراد الذين يحق لهم الحصول على المعلومات، لدفعه إلى كشف المعلومات

التي لديه والتي يحتاجها سارق الشخصية.

فقد ،المالية أو تلك المتعلقة بالعملإلى االستخدام الخاطئ للمعلومات الشخصية أو القانونية أو تؤدي وسرقة الشخصية/الهوية

آخر، عادة ما يكون الهدف بقصد الوصول إلى موارد معينة أو الحصول على فوائد تحت ا يتظاهر شخص ما على كونه شخص

اسم الشخص اآلخر. قد يعاني ضحية سرقة الهوية عواقب خطيرة إن تحمل عواقب تصرفات الشخص الذي قام بسرقة هويته.

.للتالعب نتيجة سرقة الهوية قد تتعرض لخسائر ومتاعب كبيرة تتعرضخاص أو المؤسسات التي كما أن األش

ويمكن تصنيف سرقة الشخصية/الهوية إلى خمسة أصناف:

استخدام االسم التجاري لشخص آخر من أجل الحصول على أموال :سرقة هوية عمل أو تجارية.

ارتكاب جريمة ماوية شخص آخر عند التظاهر كه :سرقة هوية جرمية.

أو بضائع أو خدماتاستخدام هوية شخص ما عند الحصول على أموال :سرقة هوية مالية.

أنها معلوماته في الحياة اليوميةاستخدام معلومات شخصية لشخص آخر على :استنساخ الهوية.

الحصول على رعاية طبية أو أدوية استخدام هوية شخص آخر من أجل :سرقة هوية طبية.

Methods of identity theft /الهويةالشخصيةطرق سرقة 4.3.1

، منها:تهوانتحال شخصي ،هناك العديد من الطرق للحصول على معلومات شخص

/استعادة المعلومات(Information divingممارسة استعادة المعلومات من المواد المهملة :)، سواء في سالت

التخزين المهملة والتي لم يتم حذف البيانات نهائيا منها.القمامة، أو في وسائط الفضالت و

/االستخالص(Skimming استخدام الماسح الضوئي :) ،الستخالص للشريط المغناطيسي الذي يحتوي المعلومات

تويه وأحيانا يكون ذلك بنسخ وصوالت البطاقات االئتمانية وما تح المعلومات، وغالبا ما تكون من بطاقة االئتمان.تلك

من معلومات.

/التستر(Pretexting.الحصول على معلوماتك باستخدام المكر والخداع واالدعاءات الزائفة :)


9

(3-1تمرين )


ما المقصود بالهندسة االجتماعية؟ .1

.قرصنة النظام للحصول على تلك المعلومات -ب .التالعب باألشخاص واستغاللهم -أ

تعطيل الجدار الناري. -د الوصول المصرح به إلى الشبكة. -ج

مباشرة للهندسة االجتماعية؟أي مما يلي ليس نتيجة .2

االحتيال. -ب سرقة الهوية. -أ

تعطيل الجدار الناري. -د الوصول غير المصرح به إلى الشبكة. -ج

أي مما يلي هو وسيلة لسرقة الهوية؟ .3

استخدام اسم غير صحيح على موقع شبكات -أ

اجتماعية. تقنية استعادة المعلومات من مواد مهملة.استخدام -ب

استخدام مفتاح غير صحيح لفك تشفير مستند. -د .القابلة لإلزالة إزالة مغناطيسية وسائط التخزين -ج

شخصية أو مالية؟ من أجل تحقيق مكاسب شخص آخر يطلق على التظاهر بأنكذا ما .4

.التحقق من الهوية -د ./التصيدالخداع -ج .األخالقيةقرصنة ال -ب سرقة الهوية. -أ

الهندسة االجتماعية؟ يأتي ليست من وسائل أي مما .5

عن طريق الخداع. للحصول على معلومات القيام بمكالمات هاتفية -أ

شبكة االنترنت. األصدقاء باستخدام القيام بمكالمات صوتية ومرئية مع -ب

الشبكات االجتماعية. على موقع حسابات متعددة، وأسماء مستعارة وجود -ج

احتيالية. صفحة ويب مع رابط إلى بريد إلكتروني إرسال -د

أي مما يلي يبين المقصود بسرقة الهوية؟ .6

نترنت.شبكة اإلب متصال استخدام برامج مراقبة المحتوى عندما تكون -أ

لتحقيق مكاسب ذاتية. يةالشخص انتحال -ب

شبكة االنترنت.ب متصال استخدام اسم مستخدم عندما تكون -ج

التزويد بعنوان عملك لغايات التسليم عند الشراء عبر اإلنترنت. -د

ستعادة المعلومات من مواد مهملة؟أي مما يلي يعد مثاال على تقنية ا .7

استراق النظر من فوق كتف الشخص للحصول على معلومات. -أ

تم التخلص منه. قرص صلباسترجاع المعلومات من -ب

احتيالية.إجراء مكالمة هاتفية -ج

.معلوماتاستخدام شبكة االنترنت للبحث عن -د

Documents

IT Security - SPECTO · تامولعملا ايجولونكت نمأ نمأا ميهافم 1 Security Concepts نملأا ميهافم 1 ام وأ ،ةفلتخم قرطب اهلدابتو