‫أمن تكنولوجيا المعلومات‬

‫‪IT Security‬‬
‫أمن تكنولوجيا المعلومات‬ ‫جدول المحتويات‬

‫جدول المحتويات‬
‫‪ 1‬مفاهيم األمن ‪1 ............................................................................................. SECURITY CONCEPTS‬‬
‫‪ 1.1‬تهديدات البيانات ‪1 ............................................................................................. DATA THREATS‬‬
‫‪ 1.1.1‬تمييز البيانات من المعلومات ‪1 ........................... Distinguishing between data and information‬‬
‫‪ 2.1.1‬الجريمة اإللكترونية ‪1 ..................................................................................... Cybercrime‬‬
‫‪ 3.1.1‬فهم الفرق بين كل من القرصنة‪ ،‬وكسر الحماية واالختراق األخالقي ‪The difference between‬‬
‫‪2 ........................................................................... hacking, cracking and ethical hacking‬‬
‫‪ 4.1.1‬تهديدات البيانات بسبب ظروف قاهرة ‪2 .............................. Threats to data from force majeure‬‬
‫‪ 5.1.1‬تهديدات البيانات من األشخاص ‪3 ..............................................Threats to data from persons‬‬
‫تمرين (‪3 ...................................................................................................................... )1-1‬‬
‫‪ 2.1‬أهمية وقيمة المعلومات ‪4 .......................................................................... VALUE OF INFORMATION‬‬
‫‪ 1.2.1‬األسباب التي تدعو إلى حماية المعلومات الشخصية ‪The reasons for protecting personal‬‬
‫‪4 ............................................................................................................. information‬‬
‫‪ 2.2.1‬األسباب التي تدعو إلى حماية المعلومات التجارية الحساسة ‪The reasons for protecting‬‬
‫‪4 ............................................................................. commercially sensitive information‬‬
‫‪ 3.2.1‬التدابير التي تمنع الوصول غير المسموح به إلى البيانات ‪Measures for preventing unauthorised‬‬
‫‪4 .......................................................................................................... access to data‬‬
‫‪ 4.2.1‬الميزات األساسية ألمن المعلومات ‪5 ....................... Basic characteristics of information security‬‬
‫‪ 5.2.1‬حماية الخصوصية‪/‬البيانات‪ ،‬واالحتفاظ بها‪ ،‬ومتطلبات التحكم بها ‪The main data/privacy protection,‬‬
‫‪5 .............................................................................retention and control requirements‬‬
‫‪ 6.2.1‬أهمية إنشاء اإلرشادات والسياسات العامة المتعلقة باستخدام تكنولوجيا المعلومات واالتصاالت‪،‬‬
‫وااللتزام بها ‪The importance of creating and adhering to guidelines and policies for ICT‬‬
‫‪5 ........................................................................................................................ use‬‬
‫تمرين (‪6 ...................................................................................................................... )2-1‬‬
‫‪ 3.1‬األمن الشخصي ‪7 ........................................................................................ PERSONAL SECURITY‬‬
‫‪ 1.3.1‬الهندسة االجتماعية ‪7 ............................................................................ Social Engineering‬‬
‫‪ 1.1.3.1‬مفهوم الهندسة االجتماعية ‪7 ................................................................ The term: Social engineering‬‬
‫‪ 2.1.3.1‬اآلثار المترتبة على الهندسة االجتماعية ‪7 ......................................... Implications of social engineering‬‬
‫‪ 2.3.1‬أساليب الهندسة االجتماعية ‪7 .................................................. Methods of social engineering‬‬
‫‪ 3.3.1‬سرقة الشخصية‪/‬الهوية ‪8 ..............................................................................Identity theft‬‬
‫‪ 4.3.1‬طرق سرقة الشخصية‪/‬الهوية ‪8 ...................................................... Methods of identity theft‬‬
‫تمرين (‪9 ...................................................................................................................... )3-1‬‬
‫‪ 4.1‬أمن الملفات ‪11.................................................................................................. FILE SECURITY‬‬
‫‪ 1.4.1‬تأثير تمكين‪/‬عدم تمكين إعدادات أمان الماكرو ‪The effect of enabling/ disabling macro security‬‬
‫‪11................................................................................................................ settings‬‬
‫‪ 2.4.1‬تعيين كلمة مرور للملفات ‪11...................................................... Setting a password for files‬‬
‫‪ 1.2.4.1‬تعيين كلمة مرور للمستندات ‪11 ................................................... Setting a password for documents‬‬
 ‫جدول المحتويات‬ ‫أمن تكنولوجيا المعلومات‬

12 ................................ Setting a password for compressed files ‫ تعيين كلمة مرور للملفات المضغوطة‬2.2.4.1
15 .................................... Setting a password for spreadsheets ‫ تعيين كلمة مرور للجداول اإللكترونية‬3.2.4.1
16................................. The advantages and limitations of encryption ‫ إيجابيات وقيود التشفير‬3.4.1
16 ........................................................................ The advantages of encryption ‫ إيجابيات التشفير‬1.3.4.1
16 .............................................................................. The limitations of encryption ‫ قيود التشفير‬2.3.4.1
16.................................................................................................................... )4-1( ‫تمرين‬
17........................................................................................ MALWARE ‫الضارة‬/‫ البرمجيات الخبيثة‬2
17........................................................................... DEFINITION AND FUNCTION ‫ التعريف والوظيفة‬1.2
17........................................................ The term: Malware ‫الضارة‬/‫ مفهوم البرمجيات الخبيثة‬1.1.2
17 Ways that malware can be concealed ‫الضارة‬/‫ الطرق التي تختبئ وتختفي بها البرمجيات الخبيثة‬2.1.2
17.................................................................................................................... )1-2( ‫تمرين‬
11..................................................................................................................TYPES ‫ األنواع‬2.2
18. Types of infectious malware and how they work ‫ وآلية عملها‬،‫ أنواع البرمجيات الخبيثة المعدية‬1.2.2
Types of data theft, ‫ وآلية عملها‬،‫االبتزاز‬/‫ وتوليد األرباح‬،‫ أنواع البرمجيات الخبيثة لسرقة البيانات‬2.2.2
18............................................... profit generating/extortion malware and how they work
19.................................................................................................................... )2-2( ‫تمرين‬
01......................................................................................................... PROTECTION ‫ الحماية‬3.2
21How anti-virus software works and its limitations ‫ ومحدداتها‬،‫ آلية عمل برامج مكافحة الفيروسات‬1.3.2
21..............................................Using anti-virus software ‫ استخدام برنامج مكافحة الفيروسات‬2.3.2
21 ............................................Scanning specific drives ‫ فحص محركات أقراص محددة من الفيروسات‬1.2.3.2
21 ...................................................... Scanning specific folders ‫ فحص مجلدات محددة من الفيروسات‬2.2.3.2
22 ............................................................ Scanning specific files ‫ فحص ملفات محددة من الفيروسات‬3.2.3.2
23 .............................................................................................. Schedule scans ‫ جدولة الفحص‬4.2.3.2
The quarantine and its effect on ‫ وأثره على الملفات المصابة أو المشكوك بها‬،‫الحجْ ر‬ َ 3.3.2
24............................................................................................ infected/suspicious files
The importance of ‫ وملفات تعريف مكافحة الفيروسات‬،‫ أهمية تحميل وتثبيت تحديثات البرامج‬4.3.2
24............................ downloading and installing software updates, anti-virus definition files
25.................................................................................................................... )3-2( ‫تمرين‬
02........................................................................................... NETWORK SECURITY ‫ أمن الشبكات‬3
02.......................................................................................................... NETWORKS ‫ الشبكات‬1.3
26........................ The term: Network and common network types ‫ وأهم أنواعها‬،‫ مفهوم الشبكة‬1.1.3
27.............................................. The role of the network administrator ‫ دور مسؤول الشبكة‬2.1.3
28..........................................................................................The firewall ‫ الجدار الناري‬3.1.3
28 ......................................................................... The function of a firewall ‫ وظيفة الجدار الناري‬1.3.1.3
28 ............................................................The limitations of a firewall ‫ قيود ومحددات الجدار الناري‬2.3.1.3
28.................................................................................................................... )1-3( ‫تمرين‬
02................................................................................ NETWORK CONNECTIONS ‫ اتصاالت الشبكة‬2.3
29..................................... The options for connecting to a network ‫ خيارات االتصال بالشبكة‬1.2.3
‫أمن تكنولوجيا المعلومات‬ ‫جدول المحتويات‬

How connecting to a network has implications for ‫ اآلثار األمنية المترتبة على االتصال بالشبكة‬2.2.3
31................................................................................................................ security
31.................................................................................................................... )2-3( ‫تمرين‬
01.............................................................................. WIRELESS SECURITY ‫ أمن الشبكات الالسلكية‬3.3
The importance of requiring a password for protecting ‫ أهمية حماية الشبكة الالسلكية بكلمة مرور‬1.3.3
31.......................................................................................... wireless network access
31.................................................... Types of wireless security ‫ أنواع أمان الشبكات الالسلكية‬2.3.3
31 ................................................... Wi-Fi Protected Access (WPA) ‫ الوصول المحمي بالدقة الالسلكية‬1.2.3.3
31 ...................................................... Wired Equivalent Privacy (WEP) ‫ خوارزميات السرية المتكافئة‬2.2.3.3
31 .......................................................... Media Access Control (MAC) ‫ التحكم بالوصول إلى الوسائط‬3.2.3.3
32.Implications of using an unprotected wireless network ‫ آثار استخدام شبكة السلكية غير محمية‬3.3.3
32................................................. Connecting to a wireless network ‫ االتصال بشبكة السلكية‬4.3.3
34.................................................................................................................... )3-3( ‫تمرين‬
04........................................................................................ ACCESS CONTROL ‫ التحكم بالوصول‬4.3
34.............................................. The purpose of a network account ‫ الهدف من حساب الشبكة‬1.4.3
35........................................................ Good password policies ‫ سياسات كلمة المرور الجيدة‬2.4.3
Common biometric ‫البيومترية الشائعة المستخدمة في التحكم بالوصول‬/‫ التقنيات األمنية الحيوية‬3.4.3
35.................................................................. security techniques used in access control
37.................................................................................................................... )4-3( ‫تمرين‬
01................................................................................... SECURE WEB USE ‫ االستخدام اآلمن للويب‬4
01.............................................................................................. WEB BROWSING ‫ تصفُّح الويب‬1.4
Certain online activity ‫ أنشطة معينة على اإلنترنت يجب عدم القيام بها إال ضمن صفحات ويب آمنة‬1.1.4
38......................................................... should only be undertaken on secure web pages
38......................................... How to Identify secure websites ‫ كيفية تحديد مواقع الويب اآلمنة‬2.1.4
39................................................................................. Pharming ‫قرصنة العناوين‬/‫ تزوير‬3.1.4
41................................................................................. Digital certificate ‫ الشهادة الرقمية‬4.1.4
41 .................................................................... The term: Digital certificate ‫ مفهوم الشهادة الرقمية‬1.4.1.4
41 ..................................................................... Types of digital certificate ‫ أنواع الشهادات الرقمية‬2.4.1.4
41 .....................................................Validating a digital certificate ‫ التحقق من صحة الشهادة الرقمية‬3.4.1.4
42.................................. The term one-time password (OTP) ‫ كلمة السر المستخدمة لمرة واحدة‬5.1.4
42................................................. Autocomplete, Autosave ‫ والحفظ التلقائي‬،‫ اإلكمال التلقائي‬6.1.4
Selecting appropriate settings for ‫ اختيار اإلعدادات المناسبة لتمكين أو تعطيل اإلكمال التلقائي‬1.6.1.4
42 .................................................................. enabling/disabling autocomplete when completing a form
Selecting appropriate settings for ‫ اختيار اإلعدادات المناسبة لتمكين أو تعطيل الحفظ التلقائي‬2.6.1.4
44 ......................................................................... enabling/disabling autosave when completing a form
44............................................................ The term: Cookie )‫ ملف تعريف االرتباط (الكوكي‬7.1.4
Selecting appropriate )‫ اختيار اإلعدادات المناسبة للسماح بـ أو لمنع ملفات تعريف االرتباط (الكوكيز‬8.1.4
44........................................................................ settings for allowing, blocking cookies
‫جدول المحتويات‬ ‫أمن تكنولوجيا المعلومات‬

46..................... Deleting private data from a browser ‫ حذف البيانات الخاصة من متصفح الويب‬9.1.4
47..................................................... Content-control software ‫ برمجيات التحكم بالمحتوى‬11.1.4
48.................................................................................................................... )1-4( ‫تمرين‬
01............................................................................... SOCIAL NETWORKING ‫ الشبكات االجتماعية‬2.4
The importance of not ‫ فهم أهمية عدم الكشف عن معلومات سرية على مواقع الشبكات االجتماعية‬1.2.4
51....................................... disclosing confidential information on social networking sites
The need to apply ‫ الحاجة إلى تطبيق اإلعدادات الخصوصية المناسبة على حساب الشبكات االجتماعية‬2.2.4
51................................................. appropriate social networking account privacy settings
Potential dangers when using social ‫ األخطار المحتملة عند استخدام الشبكات االجتماعية‬3.2.4
51.................................................................................................... networking sites
51.................................................................................................................... )2-4( ‫تمرين‬
00............................................................................................... COMMUNICATIONS ‫ االتصاالت‬5
00................................................................................................... E-MAIL ‫ البريد اإللكتروني‬1.5
The purpose of encrypting, decrypting an e- ‫فك تشفير رسائل البريد اإللكتروني‬/‫ الهدف من تشفير‬1.1.5
52..................................................................................................................... mail
52.....................................................................The term: Digital signature ‫ التوقيع الرقمي‬2.1.5
53..................................... Creating and adding a digital signature‫ إنشاء توقيع رقمي وإضافته‬3.1.5
Be aware of the possibility of ‫ أو رسائل غير مرغوب فيها‬،‫ الحذر من استقبال رسائل احتيالية‬4.1.5
56................................................................. receiving fraudulent and unsolicited e-mail
56............................................................................................. Phishing ‫التصيّد‬/‫ الخداع‬5.1.5
The danger of infecting the computer with ‫الضارة‬/‫ خطر إصابة الحاسوب بالبرامج الخبيثة‬6.1.5
57............................................................................................................... malware
57.................................................................................................................... )1-5( ‫تمرين‬
01.................................................................. INSTANT MESSAGING (IM) ‫الفورية‬/‫ المراسلة اللحظية‬2.5
58... The term: Instant Messaging (IM) and its uses ‫ واستخداماتها‬،‫الفورية‬/‫ مفهوم المراسلة اللحظية‬1.2.5
59................................. The security vulnerabilities of IM ‫ الثغرات األمنية في المراسلة اللحظية‬2.2.5
Methods of ensuring confidentiality while ‫ أساليب ضمان السرية أثناء استخدام المراسلة اللحظية‬3.2.5
59............................................................................................................... using IM
61.................................................................................................................... )2-5( ‫تمرين‬
21.................................................................. SECURE DATA MANAGEMENT ‫ اإلدارة اآلمنة للبيانات‬6
21................................................ SECURING AND BACKING UP DATA ‫ النسخ االحتياطي وتأمين البيانات‬1.6
61.................. Ways of ensuring physical security of devices ‫ طرق ضمان األمن المادي لألجهزة‬1.1.6
61.............................. The importance of having a back-up procedure ‫ أهمية النسخ االحتياطي‬2.1.6
62........................................... The features of a back-up procedure ‫ ميزات النسخ االحتياطي‬3.1.6
62.................................................................. Back up data ‫ إجراء النسخ االحتياطي للبيانات‬4.1.6
64.... Restoring and validating backed up data ‫ استعادة وتقييم البيانات التي تم نسخها نسخا احتياطيا‬5.1.6
65.................................................................................................................... )1-6( ‫تمرين‬
‫أمن تكنولوجيا المعلومات‬ ‫جدول المحتويات‬

‫‪ 2.6‬التدمير اآلمن ‪22....................................................................................... SECURE DESTRUCTION‬‬

‫‪ 1.2.6‬أسباب حذف البيانات من محركات األقراص أو من األجهزة بشكل دائم ‪The reason for permanently‬‬
‫‪66.......................................................................... deleting data from drives or devices‬‬
‫‪ 2.2.6‬الفرق بين حذف البيانات وتدميرها بشكل دائم ‪Distinguish between deleting and permanently‬‬
‫‪66....................................................................................................... destroying data‬‬
‫‪ 3.2.6‬وسائل تدمير البيانات بشكل دائم ‪66............. Common methods of permanently destroying data‬‬
‫تمرين (‪67.................................................................................................................... )2-6‬‬
‫ملحق إجابات األسئلة‪ ،‬والمراجع ‪21...................................................................................................‬‬
‫أمن تكنولوجيا المعلومات‬ ‫مفاهيم األمن‬

‫‪ 1‬مفاهيم األمن ‪Security Concepts‬‬

‫مع تطور العلم والتكنولوجيا ووسائل تخزين المعلومات وتبادلها بطرق مختلفة‪ ،‬أو ما‬
‫يسمى نقل البيانات عبر الشبكة من موقع آلخر‪ ،‬أصبح النظر إلى أمن تلك البيانات‬
‫والمعلومات أمرا مهما للغاية‪.‬‬
‫يمكن تعريف أمن المعلومات بأنه العلم الذي يعمل على توفير الحماية للمعلومات من‬
‫المخاطر التي تهددها أو االعتداء عليها بالسرقة أو التعديل‪ ،‬وذلك من خالل توفير‬
‫األدوات والوسائل الالزمة لحماية المعلومات من المخاطر الداخلية أو الخارجية‪ ،‬واتباع‬
‫المعايير وإجراءات االتصاالت المناسبة؛ لمنع وصول المعلومات إلى أيدي أشخاص‬
‫غير مخولين‪ ،‬ولضمان أصالة وصحة تلك االتصاالت‪.‬‬
‫‪ 1.1‬تهديدات البيانات ‪Data Threats‬‬
‫‪ 1.1.1‬تمييز البيانات من المعلومات ‪Distinguishing between data and information‬‬

‫(البيانات‪ :)Data /‬يمكن أن تكون البيانات حروفا أو كلمات أو أرقاما أو رموزا أو صورا أو أصواتا لم تتم معالجتها‪،‬‬ ‫‪‬‬
‫وإنما يتم جمعها لغايات معالجتها‪ .‬وبالتالي يمكنك القول بأن البيانات هي معلومات لم تتم معالجتها‪.‬‬
‫(المعلومات‪ )Information /‬هي البيانات بعد معالجتها‪ ،‬بحيث تصبح ذات معنى عند الشخص الذي يستقبلها‪.‬‬ ‫‪‬‬

‫وكي تدرك الفرق بين البيانات والمعلومات؛ فإن الكلمات (علي‪ )92 ،921 ،‬تشير إلى بيانات‪ ،‬ولكن عند تفسيرها بأنها بيانات‬
‫لطالب اسمه علي‪ ،‬ومجموع عالماته ‪ ،921‬ومعدله ‪ ،92‬تصبح هذه البيانات معلومات‪.‬‬
‫وهنا تجدر اإلشارة إلى أنه عند تفسير البيانات بشكل مختلف‪ ،‬فإنه قد ينتج من البيانات نفسها معلومات مختلفة‪.‬‬
‫‪ 2.1.1‬الجريمة اإللكترونية ‪Cybercrime‬‬

‫هي أي نشاط غير قانوني يتم باستخدام اإلنترنت أو الحاسوب‪ .‬ومن األمثلة عليها‪ :‬سرقة الهوية الشخصية‪ ،‬والهندسة‬
‫االجتماعية‪ ،‬واالختراق األمني‪ ،‬وكسر حماية البرامج‪ ،‬وسرقة تفاصيل بطاقة االئتمان عبر اإلنترنت‪.‬‬
‫وبذلك فإن الجريمة اإللكترونية تشمل أية مخالفة ترتكب ضد أفراد أو جماعات بدافع جرمي‪ ،‬أو بنية اإلساءة لسمعة الضحية أو‬
‫لجسدها أو عقليتها‪ ،‬كل ذلك باستخدام وسائل االتصاالت الحديثة مثل اإلنترنت‪ ،‬وغرف الدردشة أو البريد اإللكتروني أو‬
‫المجموعات ‪ ...‬إلخ‪.‬‬

‫‪1‬‬
‫مفاهيم األمن‬ ‫أمن تكنولوجيا المعلومات‬

‫‪ 3.1.1‬فهم الفرق بين كل من القرصنة‪ ،‬وكسر الحماية واالختراق األخالقي ‪The difference between hacking,‬‬
‫‪cracking and ethical hacking‬‬

‫تقوم (القرصنة أو االختراق‪ )Hacking /‬على استخدام اإلبداع والخبرة الحاسوبية‬ ‫‪‬‬
‫في الوصول إلى نظام الحاسوب دون تخويل بذلك؛ من أجل العبث بالبيانات‬
‫والبرامج الموجودة على الحاسوب أو استغاللها ألغراض التجسس أو سرقة‬
‫األموال‪ ،‬أو قد يقوم القرصان بهذا العمل الستخدام موارد الحاسوب‪ ،‬أو يكتفي‬
‫بإثبات أنه يستطيع الوصول إلى حاسوبك‪.‬‬
‫يقوم (االختراق األخالقي‪ )Ethical hacking /‬أو ما يسمى بالقرصنة األخالقية على اختراق النظام األمني‬ ‫‪‬‬
‫للحاسوب‪ ،‬بتصريح من المالك نفسه؛ لكن ليس لتعطيل الخدمة أو نحو ذلك‪ ،‬بل لحماية نظام الحاسوب من خالل إيجاد‬
‫نقاط الضعف والثغرات في شبكة المنظمة‪ ،‬التي يمكن للقرصان الماكر استغاللها‪ ،‬فيقوم المخترق األخالقي بمحاولة‬
‫تفادي جميع معوقات أنظمة الحماية التي يواجهها في سبيل الوصول إلى معلومة ليس من المفترض أن يصل لها‪،‬‬
‫وأحيانا يُطلب من المخترق أن يحاول اإلطاحة بنظام قائم بهدف منع المستخدمين من الوصول إلى هذا النظام أو‬
‫الخدمة‪ ،‬وتنتهي هذه العملية بتقديم تقرير مفصل عن مستوى الحماية الذي توفره المنظمة‪ ،‬وما يمكن أن تقوم به من‬
‫تحسينات لتفادي األضرار التي قد تمس بالمنظمة جراء محاوالت قادمة للقراصنة غير األخالقيين‪.‬‬
‫يقوم (كسر حماية كلمة المرور‪ )Password Cracking /‬على استرداد ومعرفة كلمات السر‬ ‫‪‬‬
‫إما من البيانات التي تم تخزينها أو التي ت ّم نقلها عبر نظام الحاسوب‪ .‬ويتم هذا األمر إما يدويا‬
‫بتخمين كلمة المرور‪ ،‬أو باستخدام برامج خاصة‪.‬‬
‫يقوم (كسر حماية البرامج‪ )Software Cracking /‬على عدم تمكين أو على إزالة ميزات معينة غير مرغوب بها‬ ‫‪‬‬
‫من البرنامج‪ ،‬ومن األمثلة على تلك الميزات حقوق النشر‪ ،‬واألرقام السرية‪ ،‬ومفاتيح المعدات واألجهزة‪ ،‬وتاريخ‬
‫الفحص‪.‬‬
‫‪ 4.1.1‬تهديدات البيانات بسبب ظروف قاهرة ‪Threats to data from force majeure‬‬

‫الظروف القاهرة هي القوى الفائقة أو الحدث غير المتوقع الذي ال يمكن للشركة أن تتنبأ به‪ ،‬لكنه يمكن أن يهدد البيانات‪ ،‬مثل‬
‫النار‪ ،‬والفيضانات‪ ،‬والحروب‪ ،‬والزالزل‪ ،‬وهذه كلها قد تؤدي إلى تدمير بيانات األفراد والشركات‪.‬‬

‫‪2‬‬
‫أمن تكنولوجيا المعلومات‬ ‫مفاهيم األمن‬

‫‪ 5.1.1‬تهديدات البيانات من األشخاص ‪Threats to data from persons‬‬

‫إن خطر األشخاص ال يقل عن خطر القوى القاهرة‪ ،‬فإن احتمالية سرقة البيانات والتالعب بها واستخدامها لمصالح شخصية أو‬
‫مالية احتمال كبير نسبيا ما لم تتخذ إجراءات الحماية المناسبة‪ ،‬وفيما يأتي أهم األشخاص الذين يمكنهم الوصول إلى البيانات‪:‬‬
‫(الموظفون‪ :) Employees /‬يمكن للموظفين أن يسرقوا بيانات الشركة‪ ،‬مثل المعلومات عن المنتج الجديد الذي‬ ‫‪‬‬
‫ستنتجه الشركة‪ ،‬إما لحسابهم الشخصي‪ ،‬أو لحساب جهة خارجية‪.‬‬
‫(مزودو الخدمة‪ :)Service providers /‬يمكن لموظفي مزود الخدمة أن يطلعوا على البيانات بقصد أو دون قصد‪،‬‬ ‫‪‬‬
‫كما يمكنهم أن يدمروا أو يسرقوا بيانات قيّمة للشركة؛ ألنهم كما هو معلوم هم الذين يقومون بمعالجة بيانات الشركات‬
‫على أجهزة الخادم‪.‬‬
‫(األفراد من الخارج‪ :)External individuals /‬كالقراصنة‪ ،‬فإنهم يمكنهم الوصول إلى نظام الحاسوب‪ ،‬وسرقة أو‬ ‫‪‬‬
‫حذف البيانات‪.‬‬
‫تمرين (‪)1-1‬‬
‫اختر اإلجابة الصحيحة من بين البدائل األربعة المذكورة لكل سؤال مما يلي‪( :‬انظر اإلجابات في ملحق اإلجابات ص ‪.)68‬‬
‫ماذا يُطلق على النشاط غير المشروع باستخدام االنترنت؟‬ ‫‪.1‬‬
‫د‪ -‬الجريمة االفتراضية‪.‬‬ ‫ج‪ -‬الجريمة العنكبوتية‪.‬‬ ‫ب‪ -‬الجريمة المادية‪.‬‬ ‫أ‪ -‬الجريمة اإللكترونية‪.‬‬

‫أي من اآلتية يع ّد مثاال على جرائم اإلنترنت؟‬ ‫‪.2‬‬

‫د‪ -‬الجدار الناري‪.‬‬ ‫ج‪ -‬الخداع‪.‬‬ ‫ب‪ -‬التمزيق‪.‬‬ ‫أ‪ -‬القرصنة األخالقية‪.‬‬

‫يمكن تعريف القرصنة األخالقية بأنها‪:‬‬ ‫‪.3‬‬

‫ب‪ -‬االختراق المصرح به للنظام‪.‬‬ ‫أ‪ -‬التنصت على شبكة اتصال السلكية‪.‬‬
‫د‪ -‬التنصت على شبكة اتصال سلكية‪.‬‬ ‫ج‪ -‬االختراق غير المصرح به إلى النظام‪.‬‬

‫أي من اآلتية ال يع ّد من القوى القاهرة التي تهدد البيانات؟‬ ‫‪.4‬‬

‫د‪ -‬الزلزال‪.‬‬ ‫ج‪ -‬الفيضانات‪.‬‬ ‫ب‪ -‬الحريق‪.‬‬ ‫أ‪ -‬مزودو الخدمة‪.‬‬

‫ما المقصود بكسر حماية كلمة المرور؟‬ ‫‪.5‬‬

‫ب‪ -‬معرفة نص كلمة المرور‪.‬‬ ‫أ‪ -‬إدخال كلمة مرور غير صحيحة عدة مرات‪.‬‬
‫د‪ -‬تغيير كلمة المرور بشكل دوري‪.‬‬ ‫ج‪ -‬سرقة تفاصيل شخصية لشخص ما عبر اإلنترنت‪.‬‬

‫أي مما يلي ال يمكن أن يكون تهديدا محتمال للبيانات؟‬ ‫‪.6‬‬

‫د‪ -‬الموظفون‪.‬‬ ‫ج‪ -‬الشهادات الرقمية‪.‬‬ ‫ب‪ -‬مزودو الخدمة‪.‬‬ ‫أ‪ -‬القراصنة‪.‬‬

‫ما المقصود بالمعلومات؟‬ ‫‪.7‬‬

‫ب‪ -‬األرقام التي لم تتم معالجتها‪.‬‬ ‫أ‪ -‬البيانات التي تمت معالجتها‪.‬‬
‫د‪ -‬البيانات التي لم تتم معالجتها‪.‬‬ ‫ج‪ -‬األصوات والنصوص‪.‬‬

‫ماذا يطلق على اختراق النظام األمني للحاسوب‪ ،‬بتصريح من المالك نفسه؟‬ ‫‪.8‬‬
‫د‪ -‬االختراق األخالقي‪.‬‬ ‫ج‪ -‬انتحال الشخصية‪.‬‬ ‫ب‪ -‬كسر حماية البرامج‪.‬‬ ‫أ‪ -‬القرصنة‪.‬‬

‫‪3‬‬
‫مفاهيم األمن‬ ‫أمن تكنولوجيا المعلومات‬

‫‪ 2.1‬أهمية وقيمة المعلومات ‪Value of Information‬‬

‫‪The reasons for protecting personal‬‬ ‫‪ 1.2.1‬األسباب التي تدعو إلى حماية المعلومات الشخصية‬
‫‪information‬‬

‫عليك أن تحرص أشد الحرص على حماية معلوماتك الشخصية‪ ،‬ألنك بذلك تمنع أمورا خطيرة من أهمها‪:‬‬
‫سرقة‪/‬انتحال الشخصية من قبل أشخاص ي ّدعون أنهم أنت من أجل الحصول على خدمات باسمك‪.‬‬ ‫‪‬‬
‫االحتيال من قبل أشخاص قد يستخدمون معلوماتك الشخصية في االحتيال على اآلخرين الذين يثقون بك‪.‬‬ ‫‪‬‬

‫‪ 2.2.1‬األسباب التي تدعو إلى حماية المعلومات التجارية الحساسة ‪The reasons for protecting commercially‬‬
‫‪sensitive information‬‬

‫عليك أن تحرص أشد الحرص على حماية المعلومات التجارية‪ ،‬ألنك بذلك تمنع أمورا خطيرة تتعلق بسرقة البيانات‪ ،‬من أهمها‪:‬‬
‫سرقة أو إساءة استخدام تفاصيل العمالء من قبل الشركات المنافسة‪.‬‬ ‫‪‬‬
‫سرقة أو إساءة استخدام المعلومات المالية الخاصة بالشركة‪.‬‬ ‫‪‬‬
‫‪ 3.2.1‬التدابير التي تمنع الوصول غير المسموح به إلى البيانات ‪Measures for preventing unauthorised‬‬
‫‪access to data‬‬

‫تُستخدم شبكة اإلنترنت بشكل واسع لنقل المعلومات حول العالم‪ ،‬وتتميز بعض هذه المعلومات ـ مثل الحركات المالية‬
‫والمعلومات الشخصية لألفراد ـ بحاجتها إلى السرية العالية‪ .‬وللحفاظ على سرية البيانات التي يتم تبادلها من خالل اإلنترنت يتم‬
‫اتخاذ العديد من اإلجراءات‪ ،‬وفيما يأتي أهم هذه التدابير واإلجراءات‪:‬‬
‫(التشفير‪ :)Encryption /‬هو عملية ترميز البيانات والمعلومات‪ ،‬وتحويلها إلى‬ ‫‪‬‬
‫صيغة غير مفهومة‪ ،‬باستخدام المفاتيح العامة والخاصة في تشفير الرسالة‪،‬‬
‫وتستنَد هذه المفاتيح إلى ص َيغ رياضية معقَّدة؛ لمنع األشخاص غير المخولين‬
‫باالطالع على المعلومات من االطالع عليها‪.‬‬
‫أما عملية (فك التشفير‪ )Decryption /‬فهي عملية إعادة تحويل البيانات إلى‬
‫صيغتها األصلية‪ ،‬وذلك باستخدام المفتاح المناسب لفك الشيفرة‪.‬‬
‫(كلمات المرور‪ :)Passwords /‬هي سلسلة من الرموز (حروف وأرقام‬ ‫‪‬‬
‫وبعض الرموز الخاصة) تُستخدم للتأكد من الهوية وللتعريف بالشخص المخول‪،‬‬
‫وتمكنه من فتح ملف‪ ،‬أو تشغيل حاسوب‪ ،‬أو تشغيل برنامج‪ ،‬أو الدخول إلى‬
‫شبكة حواسيب‪ ،‬والحصول على إذن الوصول إلى موارد الحاسوب‪ .‬وعند إنشاء‬
‫كلمات المرور يجب أن تكون قوية‪ ،‬يصعب تخمينها أو كسر حمايتها‪.‬‬

‫‪4‬‬
‫أمن تكنولوجيا المعلومات‬ ‫مفاهيم األمن‬

‫‪ 4.2.1‬الميزات األساسية ألمن المعلومات ‪Basic characteristics of information security‬‬

‫أمن المعلومات يعني حمايتها من أي دخول غير مصرح به‪ ،‬وال يتحقق هذا األمن إال إذا توفرت األمور اآلتية‪:‬‬
‫(الخصوصية والسرّية‪ :)Confidentiality /‬تشير إلى حماية المعلومات من الوصول غير المصرح به‪ ،‬أو من‬ ‫‪‬‬
‫إفشائها‪.‬‬
‫(الكمال‪ :)Integrity /‬يشير إلى الثقة بمصادر المعلومات‪ ،‬وأنها معلومات صحيحة وكاملة ولم يتم تعديلها‪.‬‬ ‫‪‬‬
‫(التوفر‪ :)Availability /‬يشير إلى توفر مصادر المعلومات‪ ،‬وأنه يمكن الوصول والحصول على المعلومات‬ ‫‪‬‬
‫والبيانات عندما يتم طلبها من األشخاص المخولين‪ .‬ويشمل هذا األمر ضمان عدم تعطل أنظمة المعلومات بسبب‬
‫الصيانة أو تحديثها‪ ،‬أو بسبب وجود برامج خبيثة‪.‬‬
‫‪The main data/privacy protection,‬‬ ‫‪ 5.2.1‬حماية الخصوصية‪/‬البيانات‪ ،‬واالحتفاظ بها‪ ،‬ومتطلبات التحكم بها‬
‫‪retention and control requirements‬‬

‫يتصل عادة مفهوم (حماية البيانات‪ )Data Protection /‬بـ (خصوصية المعلومات‪ ،)Information Privacy /‬والتي تتضممن‬
‫القواعد التي تحكم جمع وإدارة البيانات الخاصمة‪ ،‬كمعلوممات بطاقمات الهويمة والمعلوممات الماليمة والسمجالت الطبيمة والسمجالت‬
‫الحكومية وغيرها‪ .‬وبناء على هذا فمإن قمانون حمايمة البيانمات همو القمانون المذي يحممي الخصوصمية الشخصمية وحقموق األفمراد‪،‬‬
‫ويقوم هذا القانون على ضمان أن تكون المعلومات متاحة فقط ألولئك الذين يُؤ َذن لهم باالطالع عليها‪.‬‬
‫في دول االتحاد األوروبي يتم تطبيق تشريع حماية البيانات األوروبي لعام ‪1995‬م‪ ،‬لكن يجب أن يتوفر في كل بلد قانون أو‬
‫تشريع لحماية هذه البيانات من االستخدام الخاطئ مراعيا األهداف الرئيسية اآلتية لقانون حماية البيانات‪:‬‬
‫وضع معايير الستخدام البيانات الشخصية بشكل يحفظ لألفراد خصوصيتهم ويحمي حقوقهم‪.‬‬ ‫‪‬‬
‫تحديد مسؤوليات مراقب البيانات‪ ،‬للتعامل مع البيانات بشكل أخالقي وقانوني والمحافظة على سرية تلك المعلومات‪.‬‬ ‫‪‬‬

‫ويتضمن هذا القانون في أيّة دولة عددا من المبادئ التي يجب اتباعها للتعامل مع البيانات الشخصية‪ ،‬والتي تكون مسؤولية‬
‫مراقب البيانات‪ ،‬منها‪:‬‬
‫أن تتم معالجة البيانات الشخصية بصورة عادلة وقانونية‪.‬‬ ‫‪‬‬

‫أن يتم الحصول عليها ألغراض محددة‪.‬‬ ‫‪‬‬

‫أن تكون كافية وذات صلة وليس مفرطة‪.‬‬ ‫‪‬‬

‫أن تكون دقيقة وحديثة‪.‬‬ ‫‪‬‬

‫أن ال تُحفظ وقتا أطول من الالزم‪.‬‬ ‫‪‬‬

‫أن تتم معالجتها وفقا لحقوق صاحب البيانات‪.‬‬ ‫‪‬‬

‫أن ال يتم نقل البيانات خارج البلد ما لم يكن هناك مستوى كاف من الحماية لهذه البيانات‪.‬‬ ‫‪‬‬
‫‪ 6.2.1‬أهمية إنشاء اإلرشادات والسياسات العامة المتعلقة باستخدام تكنولوجيا المعلومات واالتصاالت‪ ،‬وااللتزام بها‬
‫‪The importance of creating and adhering to guidelines and policies for ICT use‬‬

‫ينبغي على الشركات أن تقوم بتزويد جميع موظفيها بمعايير معينة كي يتبعوها‪ ،‬وليضمنوا‬
‫وجود موقف واضح حول كيفية استخدام تكنولوجيا المعلومات واالتصاالت بشكل يحمي‬
‫بيانات المنظمة‪.‬‬

‫‪5‬‬
‫مفاهيم األمن‬ ‫أمن تكنولوجيا المعلومات‬

‫ولعله من الضروري لك كمستخدم لتكنولوجيا المعلومات واالتصاالت أن تدرك مسؤوليتك تجاه الوصول الى الئحة كبيرة من‬
‫الخدمات والمواقع واألنظمة واألشخاص على الشبكة‪ .‬وتذكر دائما حقيقة أن قدرتك على القيام بعمل معين ال تعني بالضرورة‬
‫وجوب قيامك بذلك العمل‪ .‬فاستخدام الشبكة يعتبر ميزة وليس حقا‪ ،‬وقد تع ّرض هذه الميزة لإلساءة األخالقية والقانونية أحيانا إذا‬
‫ما تص ّرفت بشكل غير الئق‪.‬‬
‫ومن أهم هذه اإلرشادات العامة‪:‬‬
‫التأكد من أن إعدادات برامج الحماية على اإلنترنت صحيحة ومناسبة الستخداماتك‪.‬‬ ‫‪‬‬

‫مراجعة سياسة الخصوصية الخاصة بالمواقع اإللكترونية التي تنوي التسجيل بها أو تزويدها ببياناتك الشخصية‪.‬‬ ‫‪‬‬

‫إذا كنت تعمل لدى أية هيئة أو مؤسسة سواء أكانت حكومية أم خاصة‪ ،‬يجب التأكد من وجود االتفاقية السرية التي‬ ‫‪‬‬
‫تتضمن عدم الكشف عن المعلومات‪ ،‬قبل تبادل أية معلومات مع طرف ثالث خارج مؤسّستك‪.‬‬
‫استخدام جهاز تمزيق األوراق للتخلص من أية أوراق تحتوي على معلوماتك الشخصية‪.‬‬ ‫‪‬‬

‫عدم االستجابة لرسائل البريد اإللكتروني التي تطلب منك بيانات شخصية‪ ،‬أو تلك الواردة من األشخاص غير‬ ‫‪‬‬
‫المعروفين لديك‪.‬‬
‫تثبيت برنامج مكافحة الفيروسات وتحديثه بشكل مستمر‪.‬‬ ‫‪‬‬

‫تشغيل برنامج الجدار الناري‪ ،‬وتعيين اإلعدادات المناسبة له‪.‬‬ ‫‪‬‬

‫عدم استخدام نفس اسم المستخدم وكلمة المرور على مواقع إلكترونية مختلفة‪ ،‬والتأكد من سرية كلمات المرور‪.‬‬ ‫‪‬‬

‫عدم إدخال بيانات بطاقات االئتمان أو الحسابات البنكية في أي موقع دون التأكد من مدى األمان لذلك الموقع‪.‬‬ ‫‪‬‬

‫يستحسن الح ّد من المعلومات التي يتم نشرها في ملف التعريف الشخصي الخاص ببرامج المراسلة الفورية‪.‬‬ ‫‪‬‬

‫التأكد من أن عمليات التحديث التلقائية مبرمجة بشكل صحيح‪.‬‬ ‫‪‬‬

‫تمرين (‪)2-1‬‬
‫اختر اإلجابة الصحيحة من بين البدائل األربعة المذكورة لكل سؤال مما يلي‪( :‬انظر اإلجابات في ملحق اإلجابات ص ‪.)68‬‬
‫أي مما يأتي ال يع ّد سببا لحماية معلوماتك الشخصية أو التجارية؟‬ ‫‪.1‬‬
‫ب‪ -‬منع سرقة أو إساءة استخدام تفاصيل العمالء‪.‬‬ ‫أ‪ -‬منع سرقة‪/‬انتحال الشخصية‪.‬‬
‫د‪ -‬منع القرصنة األخالقية‪.‬‬ ‫ج‪ -‬منع االحتيال‪.‬‬
‫أي مما يأتي من التدابير التي تساعد على منع الوصول غير المصرح به للبيانات؟‬ ‫‪.2‬‬
‫ب‪ -‬استخالص كلمات المرور‪.‬‬ ‫أ‪ -‬الخداع‪.‬‬
‫د‪ -‬التشفير‪.‬‬ ‫ج‪ -‬استراق النظر للحصول على المعلومات‪.‬‬
‫ما المقصود بالكمال كخاصية من خصائص أمن المعلومات؟‬ ‫‪.3‬‬
‫ب‪ -‬الثقة بمصادر المعلومات‪ ،‬وأنها صحيحة وكاملة‪.‬‬ ‫أ‪ -‬توفر مصادر المعلومات‪.‬‬
‫د‪ -‬ازدياد إمكانية قرصنة العناوين‪.‬‬ ‫ج‪ -‬حماية المعلومات من الوصول غير المصرح به‪.‬‬
‫أي من اآلتية هو أحد أسباب منع االحتيال؟‬ ‫‪.4‬‬
‫ب‪ -‬حماية نفسك من القرصنة األخالقية‪.‬‬ ‫أ‪ -‬حماية المعلومات الشخصية من الوصول غير المعت َمد‪.‬‬
‫د‪ -‬الح ّد من ميزة الحفظ التلقائي في المتصفح‪.‬‬ ‫ج‪ -‬الح ّد من ميزة اإلكمال التلقائي في المتصفح‪.‬‬

‫‪6‬‬
‫أمن تكنولوجيا المعلومات‬ ‫مفاهيم األمن‬

‫أي العبارات التالية صحيح فيما يتعلق باإلرشادات والسياسات العامة المتعلقة باستخدام تكنولوجيا المعلومات‬ ‫‪.5‬‬
‫واالتصاالت؟‬
‫أ‪ -‬هذه اإلرشادات متعلقة فقط بالمؤسسات المالية‪.‬‬
‫ب‪ -‬ينبغي قراءة هذه اإلرشادات ولكن ال يشترط تنفيذها‪.‬‬
‫ج‪ -‬هذه اإلرشادات مهمة ألنها توفر معيارا للمستخدمين كي يتبعوه‪.‬‬
‫د‪ -‬هذه اإلرشادات تُطبق فقط على الموظفين العاديين في الشركة‪.‬‬
‫أي من اآلتية يع ّد من سمات أمن المعلومات التي تضمن عدم تعديل البيانات دون إذن أو تصريح؟‬ ‫‪.6‬‬
‫د‪ -‬السرية‪.‬‬ ‫ج‪ -‬التوفر‪.‬‬ ‫ب‪ -‬إمكانية الوصول‪.‬‬ ‫أ‪ -‬الكمال‪.‬‬
‫أي مما يلي ليس سببا شائعا لحماية المعلومات التجارية الحساسة المخزنة على الشبكة؟‬ ‫‪.7‬‬
‫ب‪ -‬لتشجيع الوصول الخارجي إلى الشبكة‪.‬‬ ‫أ‪ -‬لحماية العمالء من االحتيال‪.‬‬
‫د‪ -‬للتحكم في الوصول إلى المعلومات‪.‬‬ ‫ج‪ -‬للتأكد من بقاء تفاصيل العميل سرية‪.‬‬
‫في دول االتحاد األوروبي يتم تطبيق تشريع حماية البيانات األوروبي لعام‪:‬‬ ‫‪.8‬‬
‫د‪.1998 -‬‬ ‫ج‪.1997 -‬‬ ‫ب‪.1996 -‬‬ ‫أ‪.1995 -‬‬
‫أي من اآلتية هو أحد سمات أمن المعلومات التي تضمن حماية تلك المعلومات من الوصول غير المصرح به أو‬ ‫‪.9‬‬
‫الكشف عنها؟‬
‫د‪ -‬السرية‪.‬‬ ‫ج‪ -‬التوفر‪.‬‬ ‫ب‪ -‬الكمال‪.‬‬ ‫أ‪ -‬الموثوقية‪.‬‬
‫‪ 3.1‬األمن الشخصي ‪Personal Security‬‬
‫‪ 1.3.1‬الهندسة االجتماعية ‪Social Engineering‬‬
‫‪ 1.1.3.1‬مفهوم الهندسة االجتماعية ‪The term: Social engineering‬‬

‫هي مجموعة من التقنيات التي تُستخدم للتالعب باألشخاص‪ ،‬واستغاللهم من أجل القيام بعمل ما أو إفشاء معلومات سرية‪ ،‬ولهذا‬
‫تُعرف الهندسة االجتماعية أحيانا بفن اختراق العقول‪ ،‬بدال من القرصنة أو اختراق النظام للحصول على تلك المعلومات‪.‬‬
‫‪ 2.1.3.1‬اآلثار المترتبة على الهندسة االجتماعية ‪Implications of social engineering‬‬

‫يترتب على الهندسة االجتماعية العديد من اآلثار السيئة‪ ،‬منها‪:‬‬

‫(جمع المعلومات‪ :)Information gathering /‬التي يمكن أن تكون سرّية أو قيّمة‪.‬‬ ‫‪‬‬
‫(االحتيال‪ :)Fraud /‬استخدام المعلومات التي ت ّم ج ْمعها في االحتيال على اآلخرين‪.‬‬ ‫‪‬‬
‫(الوصول إلى نظام الحاسوب‪ :)Computer system access /‬يؤدي الوصول‬ ‫‪‬‬
‫إلى البيانات المخزنة على نظام الحاسوب إلى تسهيل واحتمالية الكشف عن معلومات‬
‫سرية‪.‬‬
‫‪ 2.3.1‬أساليب الهندسة االجتماعية ‪Methods of social engineering‬‬

‫للهندسة االجتماعية أساليب ووسائل عديدة‪ ،‬منها‪:‬‬

‫(المكالمات الهاتفية‪ :)Phone calls /‬استخدام االتصال الهاتفي في تضليل شخص ما‬ ‫‪‬‬
‫حول هويتك؛ للحصول على معلومات قيّمة‪ .‬حيث يتصل المهاجم مدعيا أنه شخص‬
‫ذو منصب‪ ،‬وله صالحيات‪ ،‬ثم يقوم تدريجيا ُ بسحب المعلومات من الضحية‪.‬‬
‫(استراق النظر‪ :)Shoulder surfing /‬استخدام المالحظة المباشرة للحصول على المعلومات‪ ،‬وذلك بمراقبة‬ ‫‪‬‬
‫األشخاص عند كتابة أرقامهم السرية ومعلوماتهم الشخصية‪ .‬فإذا كنت ممن يستخدمون الحاسوب المحمول في األماكن‬

‫‪7‬‬
‫مفاهيم األمن‬ ‫أمن تكنولوجيا المعلومات‬

‫العامة كثيرا‪ ،‬فينصح بوضع شاشة الخصوصية وهي شاشة إضافية تركب على الحاسوب‪ ،‬وتمنع التلصص أو النظر‬
‫من الزوايا والجوانب لضمان عدم قدرة اآلخرين على رؤية ما تقوم به‪ ،‬وبخاصة عندما تدخل اسم المستخدم وكلمة‬
‫المرور‪.‬‬
‫(الخداع والتصيّد‪ :)Phishing /‬تضليل شخص ما حول هويتك باستخدام اإلنترنت؛‬ ‫‪‬‬
‫للحصول على معلومات قيّمة‪ .‬حيث يحصل المهاجم على المعلومات التي يريدها‬
‫من خالل التحدث مع الضحية وحثها على اإلدالء بمعلومات حساسة أو ذات عالقة‬
‫بهدف المهاجم‪ ،‬وذلك من خالل إثارة انطباع جيد لدى الضحية والتملق وغيرها من‬
‫األساليب‪.‬‬
‫‪ 3.3.1‬سرقة الشخصية‪/‬الهوية ‪Identity theft‬‬

‫هي انتحال هوية شخص آخر من أجل الحصول على مكاسب شخصية‪ .‬حيث يتم اقناع الشخص المراد أخذ المعلومات منه أن‬
‫سارق الشخصية صديق أو ما شابه‪ ،‬أو أنه أحد األفراد الذين يحق لهم الحصول على المعلومات‪ ،‬لدفعه إلى كشف المعلومات‬
‫التي لديه والتي يحتاجها سارق الشخصية‪.‬‬
‫وسرقة الشخصية‪/‬الهوية تؤدي إلى االستخدام الخاطئ للمعلومات الشخصية أو القانونية أو المالية أو تلك المتعلقة بالعمل‪ ،‬فقد‬
‫يتظاهر شخص ما على كونه شخصا آخر‪ ،‬عادة ما يكون الهدف بقصد الوصول إلى موارد معينة أو الحصول على فوائد تحت‬
‫اسم الشخص اآلخر‪ .‬قد يعاني ضحية سرقة الهوية عواقب خطيرة إن تحمل عواقب تصرفات الشخص الذي قام بسرقة هويته‪.‬‬
‫كما أن األشخاص أو المؤسسات التي تتعرض للتالعب نتيجة سرقة الهوية قد تتعرض لخسائر ومتاعب كبيرة‪.‬‬
‫ويمكن تصنيف سرقة الشخصية‪/‬الهوية إلى خمسة أصناف‪:‬‬
‫سرقة هوية عمل أو تجارية‪ :‬استخدام االسم التجاري لشخص آخر من أجل الحصول على أموال‪.‬‬ ‫‪‬‬
‫سرقة هوية جرمية‪ :‬التظاهر كهوية شخص آخر عند ارتكاب جريمة ما‪.‬‬ ‫‪‬‬
‫سرقة هوية مالية‪ :‬استخدام هوية شخص ما عند الحصول على أموال أو بضائع أو خدمات‪.‬‬ ‫‪‬‬
‫استنساخ الهوية‪ :‬استخدام معلومات شخصية لشخص آخر على أنها معلوماته في الحياة اليومية‪.‬‬ ‫‪‬‬
‫سرقة هوية طبية‪ :‬استخدام هوية شخص آخر من أجل الحصول على رعاية طبية أو أدوية‪.‬‬ ‫‪‬‬
‫‪ 4.3.1‬طرق سرقة الشخصية‪/‬الهوية ‪Methods of identity theft‬‬

‫هناك العديد من الطرق للحصول على معلومات شخص‪ ،‬وانتحال شخصيته‪ ،‬منها‪:‬‬
‫(استعادة المعلومات‪ :)Information diving /‬ممارسة استعادة المعلومات من المواد المهملة‪ ،‬سواء في سالت‬ ‫‪‬‬
‫الفضالت والقمامة‪ ،‬أو في وسائط التخزين المهملة والتي لم يتم حذف البيانات نهائيا منها‪.‬‬
‫(االستخالص‪ :)Skimming /‬استخدام الماسح الضوئي للشريط المغناطيسي الذي يحتوي المعلومات‪ ،‬الستخالص‬ ‫‪‬‬
‫تلك المعلومات‪ ،‬وغالبا ما تكون من بطاقة االئتمان‪ .‬وأحيانا يكون ذلك بنسخ وصوالت البطاقات االئتمانية وما تحتويه‬
‫من معلومات‪.‬‬
‫(التستّر‪ :)Pretexting /‬الحصول على معلوماتك باستخدام المكر والخداع واالدعاءات الزائفة‪.‬‬ ‫‪‬‬

‫‪8‬‬
‫أمن تكنولوجيا المعلومات‬ ‫مفاهيم األمن‬

‫تمرين (‪)3-1‬‬
‫اختر اإلجابة الصحيحة من بين البدائل األربعة المذكورة لكل سؤال مما يلي‪( :‬انظر اإلجابات في ملحق اإلجابات ص ‪.)68‬‬
‫ما المقصود بالهندسة االجتماعية؟‬ ‫‪.1‬‬

‫ب‪ -‬قرصنة النظام للحصول على تلك المعلومات‪.‬‬ ‫أ‪ -‬التالعب باألشخاص واستغاللهم‪.‬‬
‫د‪ -‬تعطيل الجدار الناري‪.‬‬ ‫ج‪ -‬الوصول المصرح به إلى الشبكة‪.‬‬
‫أي مما يلي ليس نتيجة مباشرة للهندسة االجتماعية؟‬ ‫‪.2‬‬

‫ب‪ -‬االحتيال‪.‬‬ ‫أ‪ -‬سرقة الهوية‪.‬‬

‫د‪ -‬تعطيل الجدار الناري‪.‬‬ ‫ج‪ -‬الوصول غير المصرح به إلى الشبكة‪.‬‬
‫أي مما يلي هو وسيلة لسرقة الهوية؟‬ ‫‪.3‬‬

‫أ‪ -‬استخدام اسم غير صحيح على موقع شبكات ب‪ -‬استخدام تقنية استعادة المعلومات من مواد مهملة‪.‬‬
‫اجتماعية‪.‬‬
‫د‪ -‬استخدام مفتاح غير صحيح لفك تشفير مستند‪.‬‬ ‫ج‪ -‬إزالة مغناطيسية وسائط التخزين القابلة لإلزالة‪.‬‬
‫ماذا يُطلق على التظاهر بأنك شخص آخر من أجل تحقيق مكاسب شخصية أو مالية؟‬ ‫‪.4‬‬

‫د‪ -‬التحقق من الهوية‪.‬‬ ‫ج‪ -‬الخداع‪/‬التصيد‪.‬‬ ‫ب‪ -‬القرصنة األخالقية‪.‬‬ ‫أ‪ -‬سرقة الهوية‪.‬‬
‫أي مما يأتي ليست من وسائل الهندسة االجتماعية؟‬ ‫‪.5‬‬

‫أ‪ -‬القيام بمكالمات هاتفية للحصول على معلومات عن طريق الخداع‪.‬‬

‫ب‪ -‬القيام بمكالمات صوتية ومرئية مع األصدقاء باستخدام شبكة االنترنت‪.‬‬
‫ج‪ -‬وجود حسابات متعددة‪ ،‬وأسماء مستعارة على موقع الشبكات االجتماعية‪.‬‬
‫د‪ -‬إرسال بريد إلكتروني مع رابط إلى صفحة ويب احتيالية‪.‬‬
‫أي مما يلي يبين المقصود بسرقة الهوية؟‬ ‫‪.6‬‬

‫أ‪ -‬استخدام برامج مراقبة المحتوى عندما تكون متصال بشبكة اإلنترنت‪.‬‬
‫ب‪ -‬انتحال الشخصية لتحقيق مكاسب ذاتية‪.‬‬
‫ج‪ -‬استخدام اسم مستخدم عندما تكون متصال بشبكة االنترنت‪.‬‬
‫د‪ -‬التزويد بعنوان عملك لغايات التسليم عند الشراء عبر اإلنترنت‪.‬‬
‫أي مما يلي يع ّد مثاال على تقنية استعادة المعلومات من مواد مهملة؟‬ ‫‪.7‬‬

‫أ‪ -‬استراق النظر من فوق كتف الشخص للحصول على معلومات‪.‬‬

‫ب‪ -‬استرجاع المعلومات من قرص صلب تم التخلص منه‪.‬‬
‫ج‪ -‬إجراء مكالمة هاتفية احتيالية‪.‬‬
‫د‪ -‬استخدام شبكة االنترنت للبحث عن معلومات‪.‬‬

‫‪9‬‬