Professional Documents
Culture Documents
IT Security
أمن تكنولوجيا المعلومات جدول المحتويات
جدول المحتويات
1مفاهيم األمن 1 ............................................................................................. SECURITY CONCEPTS
1.1تهديدات البيانات 1 ............................................................................................. DATA THREATS
1.1.1تمييز البيانات من المعلومات 1 ........................... Distinguishing between data and information
2.1.1الجريمة اإللكترونية 1 ..................................................................................... Cybercrime
3.1.1فهم الفرق بين كل من القرصنة ،وكسر الحماية واالختراق األخالقي The difference between
2 ........................................................................... hacking, cracking and ethical hacking
4.1.1تهديدات البيانات بسبب ظروف قاهرة 2 .............................. Threats to data from force majeure
5.1.1تهديدات البيانات من األشخاص 3 ..............................................Threats to data from persons
تمرين (3 ...................................................................................................................... )1-1
2.1أهمية وقيمة المعلومات 4 .......................................................................... VALUE OF INFORMATION
1.2.1األسباب التي تدعو إلى حماية المعلومات الشخصية The reasons for protecting personal
4 ............................................................................................................. information
2.2.1األسباب التي تدعو إلى حماية المعلومات التجارية الحساسة The reasons for protecting
4 ............................................................................. commercially sensitive information
3.2.1التدابير التي تمنع الوصول غير المسموح به إلى البيانات Measures for preventing unauthorised
4 .......................................................................................................... access to data
4.2.1الميزات األساسية ألمن المعلومات 5 ....................... Basic characteristics of information security
5.2.1حماية الخصوصية/البيانات ،واالحتفاظ بها ،ومتطلبات التحكم بها The main data/privacy protection,
5 .............................................................................retention and control requirements
6.2.1أهمية إنشاء اإلرشادات والسياسات العامة المتعلقة باستخدام تكنولوجيا المعلومات واالتصاالت،
وااللتزام بها The importance of creating and adhering to guidelines and policies for ICT
5 ........................................................................................................................ use
تمرين (6 ...................................................................................................................... )2-1
3.1األمن الشخصي 7 ........................................................................................ PERSONAL SECURITY
1.3.1الهندسة االجتماعية 7 ............................................................................ Social Engineering
1.1.3.1مفهوم الهندسة االجتماعية 7 ................................................................ The term: Social engineering
2.1.3.1اآلثار المترتبة على الهندسة االجتماعية 7 ......................................... Implications of social engineering
2.3.1أساليب الهندسة االجتماعية 7 .................................................. Methods of social engineering
3.3.1سرقة الشخصية/الهوية 8 ..............................................................................Identity theft
4.3.1طرق سرقة الشخصية/الهوية 8 ...................................................... Methods of identity theft
تمرين (9 ...................................................................................................................... )3-1
4.1أمن الملفات 11.................................................................................................. FILE SECURITY
1.4.1تأثير تمكين/عدم تمكين إعدادات أمان الماكرو The effect of enabling/ disabling macro security
11................................................................................................................ settings
2.4.1تعيين كلمة مرور للملفات 11...................................................... Setting a password for files
1.2.4.1تعيين كلمة مرور للمستندات 11 ................................................... Setting a password for documents
جدول المحتويات أمن تكنولوجيا المعلومات
12 ................................ Setting a password for compressed files تعيين كلمة مرور للملفات المضغوطة2.2.4.1
15 .................................... Setting a password for spreadsheets تعيين كلمة مرور للجداول اإللكترونية3.2.4.1
16................................. The advantages and limitations of encryption إيجابيات وقيود التشفير3.4.1
16 ........................................................................ The advantages of encryption إيجابيات التشفير1.3.4.1
16 .............................................................................. The limitations of encryption قيود التشفير2.3.4.1
16.................................................................................................................... )4-1( تمرين
17........................................................................................ MALWARE الضارة/ البرمجيات الخبيثة2
17........................................................................... DEFINITION AND FUNCTION التعريف والوظيفة1.2
17........................................................ The term: Malware الضارة/ مفهوم البرمجيات الخبيثة1.1.2
17 Ways that malware can be concealed الضارة/ الطرق التي تختبئ وتختفي بها البرمجيات الخبيثة2.1.2
17.................................................................................................................... )1-2( تمرين
11..................................................................................................................TYPES األنواع2.2
18. Types of infectious malware and how they work وآلية عملها، أنواع البرمجيات الخبيثة المعدية1.2.2
Types of data theft, وآلية عملها،االبتزاز/ وتوليد األرباح، أنواع البرمجيات الخبيثة لسرقة البيانات2.2.2
18............................................... profit generating/extortion malware and how they work
19.................................................................................................................... )2-2( تمرين
01......................................................................................................... PROTECTION الحماية3.2
21How anti-virus software works and its limitations ومحدداتها، آلية عمل برامج مكافحة الفيروسات1.3.2
21..............................................Using anti-virus software استخدام برنامج مكافحة الفيروسات2.3.2
21 ............................................Scanning specific drives فحص محركات أقراص محددة من الفيروسات1.2.3.2
21 ...................................................... Scanning specific folders فحص مجلدات محددة من الفيروسات2.2.3.2
22 ............................................................ Scanning specific files فحص ملفات محددة من الفيروسات3.2.3.2
23 .............................................................................................. Schedule scans جدولة الفحص4.2.3.2
The quarantine and its effect on وأثره على الملفات المصابة أو المشكوك بها،الحجْ ر َ 3.3.2
24............................................................................................ infected/suspicious files
The importance of وملفات تعريف مكافحة الفيروسات، أهمية تحميل وتثبيت تحديثات البرامج4.3.2
24............................ downloading and installing software updates, anti-virus definition files
25.................................................................................................................... )3-2( تمرين
02........................................................................................... NETWORK SECURITY أمن الشبكات3
02.......................................................................................................... NETWORKS الشبكات1.3
26........................ The term: Network and common network types وأهم أنواعها، مفهوم الشبكة1.1.3
27.............................................. The role of the network administrator دور مسؤول الشبكة2.1.3
28..........................................................................................The firewall الجدار الناري3.1.3
28 ......................................................................... The function of a firewall وظيفة الجدار الناري1.3.1.3
28 ............................................................The limitations of a firewall قيود ومحددات الجدار الناري2.3.1.3
28.................................................................................................................... )1-3( تمرين
02................................................................................ NETWORK CONNECTIONS اتصاالت الشبكة2.3
29..................................... The options for connecting to a network خيارات االتصال بالشبكة1.2.3
أمن تكنولوجيا المعلومات جدول المحتويات
How connecting to a network has implications for اآلثار األمنية المترتبة على االتصال بالشبكة2.2.3
31................................................................................................................ security
31.................................................................................................................... )2-3( تمرين
01.............................................................................. WIRELESS SECURITY أمن الشبكات الالسلكية3.3
The importance of requiring a password for protecting أهمية حماية الشبكة الالسلكية بكلمة مرور1.3.3
31.......................................................................................... wireless network access
31.................................................... Types of wireless security أنواع أمان الشبكات الالسلكية2.3.3
31 ................................................... Wi-Fi Protected Access (WPA) الوصول المحمي بالدقة الالسلكية1.2.3.3
31 ...................................................... Wired Equivalent Privacy (WEP) خوارزميات السرية المتكافئة2.2.3.3
31 .......................................................... Media Access Control (MAC) التحكم بالوصول إلى الوسائط3.2.3.3
32.Implications of using an unprotected wireless network آثار استخدام شبكة السلكية غير محمية3.3.3
32................................................. Connecting to a wireless network االتصال بشبكة السلكية4.3.3
34.................................................................................................................... )3-3( تمرين
04........................................................................................ ACCESS CONTROL التحكم بالوصول4.3
34.............................................. The purpose of a network account الهدف من حساب الشبكة1.4.3
35........................................................ Good password policies سياسات كلمة المرور الجيدة2.4.3
Common biometric البيومترية الشائعة المستخدمة في التحكم بالوصول/ التقنيات األمنية الحيوية3.4.3
35.................................................................. security techniques used in access control
37.................................................................................................................... )4-3( تمرين
01................................................................................... SECURE WEB USE االستخدام اآلمن للويب4
01.............................................................................................. WEB BROWSING تصفُّح الويب1.4
Certain online activity أنشطة معينة على اإلنترنت يجب عدم القيام بها إال ضمن صفحات ويب آمنة1.1.4
38......................................................... should only be undertaken on secure web pages
38......................................... How to Identify secure websites كيفية تحديد مواقع الويب اآلمنة2.1.4
39................................................................................. Pharming قرصنة العناوين/ تزوير3.1.4
41................................................................................. Digital certificate الشهادة الرقمية4.1.4
41 .................................................................... The term: Digital certificate مفهوم الشهادة الرقمية1.4.1.4
41 ..................................................................... Types of digital certificate أنواع الشهادات الرقمية2.4.1.4
41 .....................................................Validating a digital certificate التحقق من صحة الشهادة الرقمية3.4.1.4
42.................................. The term one-time password (OTP) كلمة السر المستخدمة لمرة واحدة5.1.4
42................................................. Autocomplete, Autosave والحفظ التلقائي، اإلكمال التلقائي6.1.4
Selecting appropriate settings for اختيار اإلعدادات المناسبة لتمكين أو تعطيل اإلكمال التلقائي1.6.1.4
42 .................................................................. enabling/disabling autocomplete when completing a form
Selecting appropriate settings for اختيار اإلعدادات المناسبة لتمكين أو تعطيل الحفظ التلقائي2.6.1.4
44 ......................................................................... enabling/disabling autosave when completing a form
44............................................................ The term: Cookie ) ملف تعريف االرتباط (الكوكي7.1.4
Selecting appropriate ) اختيار اإلعدادات المناسبة للسماح بـ أو لمنع ملفات تعريف االرتباط (الكوكيز8.1.4
44........................................................................ settings for allowing, blocking cookies
جدول المحتويات أمن تكنولوجيا المعلومات
46..................... Deleting private data from a browser حذف البيانات الخاصة من متصفح الويب9.1.4
47..................................................... Content-control software برمجيات التحكم بالمحتوى11.1.4
48.................................................................................................................... )1-4( تمرين
01............................................................................... SOCIAL NETWORKING الشبكات االجتماعية2.4
The importance of not فهم أهمية عدم الكشف عن معلومات سرية على مواقع الشبكات االجتماعية1.2.4
51....................................... disclosing confidential information on social networking sites
The need to apply الحاجة إلى تطبيق اإلعدادات الخصوصية المناسبة على حساب الشبكات االجتماعية2.2.4
51................................................. appropriate social networking account privacy settings
Potential dangers when using social األخطار المحتملة عند استخدام الشبكات االجتماعية3.2.4
51.................................................................................................... networking sites
51.................................................................................................................... )2-4( تمرين
00............................................................................................... COMMUNICATIONS االتصاالت5
00................................................................................................... E-MAIL البريد اإللكتروني1.5
The purpose of encrypting, decrypting an e- فك تشفير رسائل البريد اإللكتروني/ الهدف من تشفير1.1.5
52..................................................................................................................... mail
52.....................................................................The term: Digital signature التوقيع الرقمي2.1.5
53..................................... Creating and adding a digital signature إنشاء توقيع رقمي وإضافته3.1.5
Be aware of the possibility of أو رسائل غير مرغوب فيها، الحذر من استقبال رسائل احتيالية4.1.5
56................................................................. receiving fraudulent and unsolicited e-mail
56............................................................................................. Phishing التصيّد/ الخداع5.1.5
The danger of infecting the computer with الضارة/ خطر إصابة الحاسوب بالبرامج الخبيثة6.1.5
57............................................................................................................... malware
57.................................................................................................................... )1-5( تمرين
01.................................................................. INSTANT MESSAGING (IM) الفورية/ المراسلة اللحظية2.5
58... The term: Instant Messaging (IM) and its uses واستخداماتها،الفورية/ مفهوم المراسلة اللحظية1.2.5
59................................. The security vulnerabilities of IM الثغرات األمنية في المراسلة اللحظية2.2.5
Methods of ensuring confidentiality while أساليب ضمان السرية أثناء استخدام المراسلة اللحظية3.2.5
59............................................................................................................... using IM
61.................................................................................................................... )2-5( تمرين
21.................................................................. SECURE DATA MANAGEMENT اإلدارة اآلمنة للبيانات6
21................................................ SECURING AND BACKING UP DATA النسخ االحتياطي وتأمين البيانات1.6
61.................. Ways of ensuring physical security of devices طرق ضمان األمن المادي لألجهزة1.1.6
61.............................. The importance of having a back-up procedure أهمية النسخ االحتياطي2.1.6
62........................................... The features of a back-up procedure ميزات النسخ االحتياطي3.1.6
62.................................................................. Back up data إجراء النسخ االحتياطي للبيانات4.1.6
64.... Restoring and validating backed up data استعادة وتقييم البيانات التي تم نسخها نسخا احتياطيا5.1.6
65.................................................................................................................... )1-6( تمرين
أمن تكنولوجيا المعلومات جدول المحتويات
مع تطور العلم والتكنولوجيا ووسائل تخزين المعلومات وتبادلها بطرق مختلفة ،أو ما
يسمى نقل البيانات عبر الشبكة من موقع آلخر ،أصبح النظر إلى أمن تلك البيانات
والمعلومات أمرا مهما للغاية.
يمكن تعريف أمن المعلومات بأنه العلم الذي يعمل على توفير الحماية للمعلومات من
المخاطر التي تهددها أو االعتداء عليها بالسرقة أو التعديل ،وذلك من خالل توفير
األدوات والوسائل الالزمة لحماية المعلومات من المخاطر الداخلية أو الخارجية ،واتباع
المعايير وإجراءات االتصاالت المناسبة؛ لمنع وصول المعلومات إلى أيدي أشخاص
غير مخولين ،ولضمان أصالة وصحة تلك االتصاالت.
1.1تهديدات البيانات Data Threats
1.1.1تمييز البيانات من المعلومات Distinguishing between data and information
(البيانات :)Data /يمكن أن تكون البيانات حروفا أو كلمات أو أرقاما أو رموزا أو صورا أو أصواتا لم تتم معالجتها،
وإنما يتم جمعها لغايات معالجتها .وبالتالي يمكنك القول بأن البيانات هي معلومات لم تتم معالجتها.
(المعلومات )Information /هي البيانات بعد معالجتها ،بحيث تصبح ذات معنى عند الشخص الذي يستقبلها.
وكي تدرك الفرق بين البيانات والمعلومات؛ فإن الكلمات (علي )92 ،921 ،تشير إلى بيانات ،ولكن عند تفسيرها بأنها بيانات
لطالب اسمه علي ،ومجموع عالماته ،921ومعدله ،92تصبح هذه البيانات معلومات.
وهنا تجدر اإلشارة إلى أنه عند تفسير البيانات بشكل مختلف ،فإنه قد ينتج من البيانات نفسها معلومات مختلفة.
2.1.1الجريمة اإللكترونية Cybercrime
هي أي نشاط غير قانوني يتم باستخدام اإلنترنت أو الحاسوب .ومن األمثلة عليها :سرقة الهوية الشخصية ،والهندسة
االجتماعية ،واالختراق األمني ،وكسر حماية البرامج ،وسرقة تفاصيل بطاقة االئتمان عبر اإلنترنت.
وبذلك فإن الجريمة اإللكترونية تشمل أية مخالفة ترتكب ضد أفراد أو جماعات بدافع جرمي ،أو بنية اإلساءة لسمعة الضحية أو
لجسدها أو عقليتها ،كل ذلك باستخدام وسائل االتصاالت الحديثة مثل اإلنترنت ،وغرف الدردشة أو البريد اإللكتروني أو
المجموعات ...إلخ.
1
مفاهيم األمن أمن تكنولوجيا المعلومات
3.1.1فهم الفرق بين كل من القرصنة ،وكسر الحماية واالختراق األخالقي The difference between hacking,
cracking and ethical hacking
تقوم (القرصنة أو االختراق )Hacking /على استخدام اإلبداع والخبرة الحاسوبية
في الوصول إلى نظام الحاسوب دون تخويل بذلك؛ من أجل العبث بالبيانات
والبرامج الموجودة على الحاسوب أو استغاللها ألغراض التجسس أو سرقة
األموال ،أو قد يقوم القرصان بهذا العمل الستخدام موارد الحاسوب ،أو يكتفي
بإثبات أنه يستطيع الوصول إلى حاسوبك.
يقوم (االختراق األخالقي )Ethical hacking /أو ما يسمى بالقرصنة األخالقية على اختراق النظام األمني
للحاسوب ،بتصريح من المالك نفسه؛ لكن ليس لتعطيل الخدمة أو نحو ذلك ،بل لحماية نظام الحاسوب من خالل إيجاد
نقاط الضعف والثغرات في شبكة المنظمة ،التي يمكن للقرصان الماكر استغاللها ،فيقوم المخترق األخالقي بمحاولة
تفادي جميع معوقات أنظمة الحماية التي يواجهها في سبيل الوصول إلى معلومة ليس من المفترض أن يصل لها،
وأحيانا يُطلب من المخترق أن يحاول اإلطاحة بنظام قائم بهدف منع المستخدمين من الوصول إلى هذا النظام أو
الخدمة ،وتنتهي هذه العملية بتقديم تقرير مفصل عن مستوى الحماية الذي توفره المنظمة ،وما يمكن أن تقوم به من
تحسينات لتفادي األضرار التي قد تمس بالمنظمة جراء محاوالت قادمة للقراصنة غير األخالقيين.
يقوم (كسر حماية كلمة المرور )Password Cracking /على استرداد ومعرفة كلمات السر
إما من البيانات التي تم تخزينها أو التي ت ّم نقلها عبر نظام الحاسوب .ويتم هذا األمر إما يدويا
بتخمين كلمة المرور ،أو باستخدام برامج خاصة.
يقوم (كسر حماية البرامج )Software Cracking /على عدم تمكين أو على إزالة ميزات معينة غير مرغوب بها
من البرنامج ،ومن األمثلة على تلك الميزات حقوق النشر ،واألرقام السرية ،ومفاتيح المعدات واألجهزة ،وتاريخ
الفحص.
4.1.1تهديدات البيانات بسبب ظروف قاهرة Threats to data from force majeure
الظروف القاهرة هي القوى الفائقة أو الحدث غير المتوقع الذي ال يمكن للشركة أن تتنبأ به ،لكنه يمكن أن يهدد البيانات ،مثل
النار ،والفيضانات ،والحروب ،والزالزل ،وهذه كلها قد تؤدي إلى تدمير بيانات األفراد والشركات.
2
أمن تكنولوجيا المعلومات مفاهيم األمن
إن خطر األشخاص ال يقل عن خطر القوى القاهرة ،فإن احتمالية سرقة البيانات والتالعب بها واستخدامها لمصالح شخصية أو
مالية احتمال كبير نسبيا ما لم تتخذ إجراءات الحماية المناسبة ،وفيما يأتي أهم األشخاص الذين يمكنهم الوصول إلى البيانات:
(الموظفون :) Employees /يمكن للموظفين أن يسرقوا بيانات الشركة ،مثل المعلومات عن المنتج الجديد الذي
ستنتجه الشركة ،إما لحسابهم الشخصي ،أو لحساب جهة خارجية.
(مزودو الخدمة :)Service providers /يمكن لموظفي مزود الخدمة أن يطلعوا على البيانات بقصد أو دون قصد،
كما يمكنهم أن يدمروا أو يسرقوا بيانات قيّمة للشركة؛ ألنهم كما هو معلوم هم الذين يقومون بمعالجة بيانات الشركات
على أجهزة الخادم.
(األفراد من الخارج :)External individuals /كالقراصنة ،فإنهم يمكنهم الوصول إلى نظام الحاسوب ،وسرقة أو
حذف البيانات.
تمرين ()1-1
اختر اإلجابة الصحيحة من بين البدائل األربعة المذكورة لكل سؤال مما يلي( :انظر اإلجابات في ملحق اإلجابات ص .)68
ماذا يُطلق على النشاط غير المشروع باستخدام االنترنت؟ .1
د -الجريمة االفتراضية. ج -الجريمة العنكبوتية. ب -الجريمة المادية. أ -الجريمة اإللكترونية.
ماذا يطلق على اختراق النظام األمني للحاسوب ،بتصريح من المالك نفسه؟ .8
د -االختراق األخالقي. ج -انتحال الشخصية. ب -كسر حماية البرامج. أ -القرصنة.
3
مفاهيم األمن أمن تكنولوجيا المعلومات
عليك أن تحرص أشد الحرص على حماية معلوماتك الشخصية ،ألنك بذلك تمنع أمورا خطيرة من أهمها:
سرقة/انتحال الشخصية من قبل أشخاص ي ّدعون أنهم أنت من أجل الحصول على خدمات باسمك.
االحتيال من قبل أشخاص قد يستخدمون معلوماتك الشخصية في االحتيال على اآلخرين الذين يثقون بك.
2.2.1األسباب التي تدعو إلى حماية المعلومات التجارية الحساسة The reasons for protecting commercially
sensitive information
عليك أن تحرص أشد الحرص على حماية المعلومات التجارية ،ألنك بذلك تمنع أمورا خطيرة تتعلق بسرقة البيانات ،من أهمها:
سرقة أو إساءة استخدام تفاصيل العمالء من قبل الشركات المنافسة.
سرقة أو إساءة استخدام المعلومات المالية الخاصة بالشركة.
3.2.1التدابير التي تمنع الوصول غير المسموح به إلى البيانات Measures for preventing unauthorised
access to data
تُستخدم شبكة اإلنترنت بشكل واسع لنقل المعلومات حول العالم ،وتتميز بعض هذه المعلومات ـ مثل الحركات المالية
والمعلومات الشخصية لألفراد ـ بحاجتها إلى السرية العالية .وللحفاظ على سرية البيانات التي يتم تبادلها من خالل اإلنترنت يتم
اتخاذ العديد من اإلجراءات ،وفيما يأتي أهم هذه التدابير واإلجراءات:
(التشفير :)Encryption /هو عملية ترميز البيانات والمعلومات ،وتحويلها إلى
صيغة غير مفهومة ،باستخدام المفاتيح العامة والخاصة في تشفير الرسالة،
وتستنَد هذه المفاتيح إلى ص َيغ رياضية معقَّدة؛ لمنع األشخاص غير المخولين
باالطالع على المعلومات من االطالع عليها.
أما عملية (فك التشفير )Decryption /فهي عملية إعادة تحويل البيانات إلى
صيغتها األصلية ،وذلك باستخدام المفتاح المناسب لفك الشيفرة.
(كلمات المرور :)Passwords /هي سلسلة من الرموز (حروف وأرقام
وبعض الرموز الخاصة) تُستخدم للتأكد من الهوية وللتعريف بالشخص المخول،
وتمكنه من فتح ملف ،أو تشغيل حاسوب ،أو تشغيل برنامج ،أو الدخول إلى
شبكة حواسيب ،والحصول على إذن الوصول إلى موارد الحاسوب .وعند إنشاء
كلمات المرور يجب أن تكون قوية ،يصعب تخمينها أو كسر حمايتها.
4
أمن تكنولوجيا المعلومات مفاهيم األمن
أمن المعلومات يعني حمايتها من أي دخول غير مصرح به ،وال يتحقق هذا األمن إال إذا توفرت األمور اآلتية:
(الخصوصية والسرّية :)Confidentiality /تشير إلى حماية المعلومات من الوصول غير المصرح به ،أو من
إفشائها.
(الكمال :)Integrity /يشير إلى الثقة بمصادر المعلومات ،وأنها معلومات صحيحة وكاملة ولم يتم تعديلها.
(التوفر :)Availability /يشير إلى توفر مصادر المعلومات ،وأنه يمكن الوصول والحصول على المعلومات
والبيانات عندما يتم طلبها من األشخاص المخولين .ويشمل هذا األمر ضمان عدم تعطل أنظمة المعلومات بسبب
الصيانة أو تحديثها ،أو بسبب وجود برامج خبيثة.
The main data/privacy protection, 5.2.1حماية الخصوصية/البيانات ،واالحتفاظ بها ،ومتطلبات التحكم بها
retention and control requirements
يتصل عادة مفهوم (حماية البيانات )Data Protection /بـ (خصوصية المعلومات ،)Information Privacy /والتي تتضممن
القواعد التي تحكم جمع وإدارة البيانات الخاصمة ،كمعلوممات بطاقمات الهويمة والمعلوممات الماليمة والسمجالت الطبيمة والسمجالت
الحكومية وغيرها .وبناء على هذا فمإن قمانون حمايمة البيانمات همو القمانون المذي يحممي الخصوصمية الشخصمية وحقموق األفمراد،
ويقوم هذا القانون على ضمان أن تكون المعلومات متاحة فقط ألولئك الذين يُؤ َذن لهم باالطالع عليها.
في دول االتحاد األوروبي يتم تطبيق تشريع حماية البيانات األوروبي لعام 1995م ،لكن يجب أن يتوفر في كل بلد قانون أو
تشريع لحماية هذه البيانات من االستخدام الخاطئ مراعيا األهداف الرئيسية اآلتية لقانون حماية البيانات:
وضع معايير الستخدام البيانات الشخصية بشكل يحفظ لألفراد خصوصيتهم ويحمي حقوقهم.
تحديد مسؤوليات مراقب البيانات ،للتعامل مع البيانات بشكل أخالقي وقانوني والمحافظة على سرية تلك المعلومات.
ويتضمن هذا القانون في أيّة دولة عددا من المبادئ التي يجب اتباعها للتعامل مع البيانات الشخصية ،والتي تكون مسؤولية
مراقب البيانات ،منها:
أن تتم معالجة البيانات الشخصية بصورة عادلة وقانونية.
أن ال يتم نقل البيانات خارج البلد ما لم يكن هناك مستوى كاف من الحماية لهذه البيانات.
6.2.1أهمية إنشاء اإلرشادات والسياسات العامة المتعلقة باستخدام تكنولوجيا المعلومات واالتصاالت ،وااللتزام بها
The importance of creating and adhering to guidelines and policies for ICT use
ينبغي على الشركات أن تقوم بتزويد جميع موظفيها بمعايير معينة كي يتبعوها ،وليضمنوا
وجود موقف واضح حول كيفية استخدام تكنولوجيا المعلومات واالتصاالت بشكل يحمي
بيانات المنظمة.
5
مفاهيم األمن أمن تكنولوجيا المعلومات
ولعله من الضروري لك كمستخدم لتكنولوجيا المعلومات واالتصاالت أن تدرك مسؤوليتك تجاه الوصول الى الئحة كبيرة من
الخدمات والمواقع واألنظمة واألشخاص على الشبكة .وتذكر دائما حقيقة أن قدرتك على القيام بعمل معين ال تعني بالضرورة
وجوب قيامك بذلك العمل .فاستخدام الشبكة يعتبر ميزة وليس حقا ،وقد تع ّرض هذه الميزة لإلساءة األخالقية والقانونية أحيانا إذا
ما تص ّرفت بشكل غير الئق.
ومن أهم هذه اإلرشادات العامة:
التأكد من أن إعدادات برامج الحماية على اإلنترنت صحيحة ومناسبة الستخداماتك.
مراجعة سياسة الخصوصية الخاصة بالمواقع اإللكترونية التي تنوي التسجيل بها أو تزويدها ببياناتك الشخصية.
إذا كنت تعمل لدى أية هيئة أو مؤسسة سواء أكانت حكومية أم خاصة ،يجب التأكد من وجود االتفاقية السرية التي
تتضمن عدم الكشف عن المعلومات ،قبل تبادل أية معلومات مع طرف ثالث خارج مؤسّستك.
استخدام جهاز تمزيق األوراق للتخلص من أية أوراق تحتوي على معلوماتك الشخصية.
عدم االستجابة لرسائل البريد اإللكتروني التي تطلب منك بيانات شخصية ،أو تلك الواردة من األشخاص غير
المعروفين لديك.
تثبيت برنامج مكافحة الفيروسات وتحديثه بشكل مستمر.
عدم استخدام نفس اسم المستخدم وكلمة المرور على مواقع إلكترونية مختلفة ،والتأكد من سرية كلمات المرور.
عدم إدخال بيانات بطاقات االئتمان أو الحسابات البنكية في أي موقع دون التأكد من مدى األمان لذلك الموقع.
يستحسن الح ّد من المعلومات التي يتم نشرها في ملف التعريف الشخصي الخاص ببرامج المراسلة الفورية.
6
أمن تكنولوجيا المعلومات مفاهيم األمن
أي العبارات التالية صحيح فيما يتعلق باإلرشادات والسياسات العامة المتعلقة باستخدام تكنولوجيا المعلومات .5
واالتصاالت؟
أ -هذه اإلرشادات متعلقة فقط بالمؤسسات المالية.
ب -ينبغي قراءة هذه اإلرشادات ولكن ال يشترط تنفيذها.
ج -هذه اإلرشادات مهمة ألنها توفر معيارا للمستخدمين كي يتبعوه.
د -هذه اإلرشادات تُطبق فقط على الموظفين العاديين في الشركة.
أي من اآلتية يع ّد من سمات أمن المعلومات التي تضمن عدم تعديل البيانات دون إذن أو تصريح؟ .6
د -السرية. ج -التوفر. ب -إمكانية الوصول. أ -الكمال.
أي مما يلي ليس سببا شائعا لحماية المعلومات التجارية الحساسة المخزنة على الشبكة؟ .7
ب -لتشجيع الوصول الخارجي إلى الشبكة. أ -لحماية العمالء من االحتيال.
د -للتحكم في الوصول إلى المعلومات. ج -للتأكد من بقاء تفاصيل العميل سرية.
في دول االتحاد األوروبي يتم تطبيق تشريع حماية البيانات األوروبي لعام: .8
د.1998 - ج.1997 - ب.1996 - أ.1995 -
أي من اآلتية هو أحد سمات أمن المعلومات التي تضمن حماية تلك المعلومات من الوصول غير المصرح به أو .9
الكشف عنها؟
د -السرية. ج -التوفر. ب -الكمال. أ -الموثوقية.
3.1األمن الشخصي Personal Security
1.3.1الهندسة االجتماعية Social Engineering
1.1.3.1مفهوم الهندسة االجتماعية The term: Social engineering
هي مجموعة من التقنيات التي تُستخدم للتالعب باألشخاص ،واستغاللهم من أجل القيام بعمل ما أو إفشاء معلومات سرية ،ولهذا
تُعرف الهندسة االجتماعية أحيانا بفن اختراق العقول ،بدال من القرصنة أو اختراق النظام للحصول على تلك المعلومات.
2.1.3.1اآلثار المترتبة على الهندسة االجتماعية Implications of social engineering
7
مفاهيم األمن أمن تكنولوجيا المعلومات
العامة كثيرا ،فينصح بوضع شاشة الخصوصية وهي شاشة إضافية تركب على الحاسوب ،وتمنع التلصص أو النظر
من الزوايا والجوانب لضمان عدم قدرة اآلخرين على رؤية ما تقوم به ،وبخاصة عندما تدخل اسم المستخدم وكلمة
المرور.
(الخداع والتصيّد :)Phishing /تضليل شخص ما حول هويتك باستخدام اإلنترنت؛
للحصول على معلومات قيّمة .حيث يحصل المهاجم على المعلومات التي يريدها
من خالل التحدث مع الضحية وحثها على اإلدالء بمعلومات حساسة أو ذات عالقة
بهدف المهاجم ،وذلك من خالل إثارة انطباع جيد لدى الضحية والتملق وغيرها من
األساليب.
3.3.1سرقة الشخصية/الهوية Identity theft
هي انتحال هوية شخص آخر من أجل الحصول على مكاسب شخصية .حيث يتم اقناع الشخص المراد أخذ المعلومات منه أن
سارق الشخصية صديق أو ما شابه ،أو أنه أحد األفراد الذين يحق لهم الحصول على المعلومات ،لدفعه إلى كشف المعلومات
التي لديه والتي يحتاجها سارق الشخصية.
وسرقة الشخصية/الهوية تؤدي إلى االستخدام الخاطئ للمعلومات الشخصية أو القانونية أو المالية أو تلك المتعلقة بالعمل ،فقد
يتظاهر شخص ما على كونه شخصا آخر ،عادة ما يكون الهدف بقصد الوصول إلى موارد معينة أو الحصول على فوائد تحت
اسم الشخص اآلخر .قد يعاني ضحية سرقة الهوية عواقب خطيرة إن تحمل عواقب تصرفات الشخص الذي قام بسرقة هويته.
كما أن األشخاص أو المؤسسات التي تتعرض للتالعب نتيجة سرقة الهوية قد تتعرض لخسائر ومتاعب كبيرة.
ويمكن تصنيف سرقة الشخصية/الهوية إلى خمسة أصناف:
سرقة هوية عمل أو تجارية :استخدام االسم التجاري لشخص آخر من أجل الحصول على أموال.
سرقة هوية جرمية :التظاهر كهوية شخص آخر عند ارتكاب جريمة ما.
سرقة هوية مالية :استخدام هوية شخص ما عند الحصول على أموال أو بضائع أو خدمات.
استنساخ الهوية :استخدام معلومات شخصية لشخص آخر على أنها معلوماته في الحياة اليومية.
سرقة هوية طبية :استخدام هوية شخص آخر من أجل الحصول على رعاية طبية أو أدوية.
4.3.1طرق سرقة الشخصية/الهوية Methods of identity theft
هناك العديد من الطرق للحصول على معلومات شخص ،وانتحال شخصيته ،منها:
(استعادة المعلومات :)Information diving /ممارسة استعادة المعلومات من المواد المهملة ،سواء في سالت
الفضالت والقمامة ،أو في وسائط التخزين المهملة والتي لم يتم حذف البيانات نهائيا منها.
(االستخالص :)Skimming /استخدام الماسح الضوئي للشريط المغناطيسي الذي يحتوي المعلومات ،الستخالص
تلك المعلومات ،وغالبا ما تكون من بطاقة االئتمان .وأحيانا يكون ذلك بنسخ وصوالت البطاقات االئتمانية وما تحتويه
من معلومات.
(التستّر :)Pretexting /الحصول على معلوماتك باستخدام المكر والخداع واالدعاءات الزائفة.
8
أمن تكنولوجيا المعلومات مفاهيم األمن
تمرين ()3-1
اختر اإلجابة الصحيحة من بين البدائل األربعة المذكورة لكل سؤال مما يلي( :انظر اإلجابات في ملحق اإلجابات ص .)68
ما المقصود بالهندسة االجتماعية؟ .1
ب -قرصنة النظام للحصول على تلك المعلومات. أ -التالعب باألشخاص واستغاللهم.
د -تعطيل الجدار الناري. ج -الوصول المصرح به إلى الشبكة.
أي مما يلي ليس نتيجة مباشرة للهندسة االجتماعية؟ .2
أ -استخدام اسم غير صحيح على موقع شبكات ب -استخدام تقنية استعادة المعلومات من مواد مهملة.
اجتماعية.
د -استخدام مفتاح غير صحيح لفك تشفير مستند. ج -إزالة مغناطيسية وسائط التخزين القابلة لإلزالة.
ماذا يُطلق على التظاهر بأنك شخص آخر من أجل تحقيق مكاسب شخصية أو مالية؟ .4
د -التحقق من الهوية. ج -الخداع/التصيد. ب -القرصنة األخالقية. أ -سرقة الهوية.
أي مما يأتي ليست من وسائل الهندسة االجتماعية؟ .5
أ -استخدام برامج مراقبة المحتوى عندما تكون متصال بشبكة اإلنترنت.
ب -انتحال الشخصية لتحقيق مكاسب ذاتية.
ج -استخدام اسم مستخدم عندما تكون متصال بشبكة االنترنت.
د -التزويد بعنوان عملك لغايات التسليم عند الشراء عبر اإلنترنت.
أي مما يلي يع ّد مثاال على تقنية استعادة المعلومات من مواد مهملة؟ .7
9