Professional Documents
Culture Documents
STANDARD Virtualization Security Template Ar v0.4
STANDARD Virtualization Security Template Ar v0.4
إخالء المسؤولية
ُط ّو ر هذا النموذج عن طريق الهيئة الوطنية لألمن الس77يبراني كمث77ال توض77يحي يمكن اس77تخدامه ك77دليل
ومرجع للجهات .يجب أن يتم تعديل ه7ذا النم7وذج ومواءمت7ه م7ع أعم7ال <اس7م الجه7ة> والمتطلب7ات التش7ريعية
والتنظيمية ذات العالقة .كما يجب أن ُيعتمد هذا النموذج من قبل رئيس الجهة أو من يقوم/تقوم بتفويض77ه .وتخلي
الهيئة مسؤوليتها من استخدام هذا النموذج كما هو ،وتؤكد على أن هذا النموذج ما هو إال مثال توضيحي.
اختر التصنيف
اإلصدار <>1.0
1
نموذج معيار أمن البيئة االفتراضية
اعتماد الوثيقة
نسخ الوثيقة
جدول المراجعة
اضغط هنا إلضافة تاريخ اضغط هنا إلضافة تاريخ مره واحدة كل سنة
اختر التصنيف
اإلصدار <>1.0
2
نموذج معيار أمن البيئة االفتراضية
قائمة المحتويات
الغرض 4............................................................................................................................
النطاق 4.............................................................................................................................
المعايير 4...........................................................................................................................
األدوار والمسؤوليات 10...........................................................................................................
التحديث والمراجعة 10.............................................................................................................
االلتزام بالمعيار 10................................................................................................................
اختر التصنيف
اإلصدار <>1.0
3
نموذج معيار أمن البيئة االفتراضية
الغرض
الغرض من هذا المعي77ار ه77و تحدي77د متطلب77ات األمن الس77يبراني التفص77يلية المتعلق77ة بالبيئ77ة االفتراض77ية
في <اسم الجهة> .حيث أن البيئة االفتراضية هي عملية إنشاء وإدارة نظام حاس7وبي افتراض7ي في بيئ7ة محاك7اة
افتراضية.
تمت مواءمة هذه المتطلبات مع متطلبات األمن السيبراني الصادرة عن الهيئة الوطنية لألمن الس77يبراني
وتشمل على سبيل المثال ال الحصر :الض77وابط األساس77ية لألمن الس77يبراني ( )ECC-1:2018وض77وابط األمن
الس77يبراني لألنظم77ة الحساس77ة ( )CSCC-1:2019وض77وابط األمن الس77يبراني للحوس77بة الس77حابية (CCC-
)1:2020وغيرها من المتطلبات التشريعية والتنظيمية ذات العالقة.
النطاق
يغطي هذا المعيار جميع األصول المعلوماتية والتقني77ة الخاص77ة ب<اس77م الجه77ة> وينطب77ق على جمي77ع
العاملين (الموظفين والمتعاقدين) في <اسم الجهة> واألطراف الثالثة ذات العالقة.
المعايير
أمن المضيف ()Host Security 1
إدارة المضيف المستخدم للبيئ77ة االفتراض77ية بش77كل آمن واس77تخدامه بش77كل مناس77ب عن77د
الهدف
الحاجة.
قد يكون الختراق المضيف ت77داعيات أمني77ة جس77يمة على كاف77ة البيئ77ات االفتراض77ية وق77د
المخاطر المحتملة
يتسبب في سرقة المعلومات والكشف عنها والوصول غير المصرح به إليها.
اإلجراءات المطلوبة
تثبيت جميع التحديثات األمنية على نظام تش77غيل المض77يف (إن ُو ج77د) بمج77رد إص77دارها
من المورد .ويجب إزال77ة جمي77ع التطبيق77ات غ77ير الض77رورية باس77تثناء م77راقب األجه77زة 1-1
االفتراضية.
أن يتواف77ق نظ77ام تش77غيل المض77يف م77ع متطلب77ات معي77ار إدارة ومراقب77ة س77جل األح77داث
المعتم77د في <اس77م الجه77ة> ،ويجب أن يجم77ع خصيًص ا األح77داث المتعلق77ة بمح77اوالت 1-2
تسجيل الدخول الناجحة والفاشلة لواجهات اإلدارة في ملف سجالت التدقيق.
أن يقتصر الوصول المادي إلى الخ77ادم على الم77وظفين المص77رح لهم فق77ط (الح77د األدنى
1-3
من الصالحيات لمختلف مديري النظام).
تقييد وصول مديري النظام إلى واجهة إدارة مراقب األجهزة االفتراضية. 1-4
اختر التصنيف
اإلصدار <>1.0
4
نموذج معيار أمن البيئة االفتراضية
حماي77ة جمي77ع قن77وات االتص77ال اإلداري77ة ال77تي تس77تخدم ش77بكة إدارة ُمخصص77ة أو ش77بكة
االتص77االت اإلداري77ة من إس77اءة االس77تخدام ،م77ع مراع77اة المص77ادقة والتش77فير باس77تخدام 1-5
وحدات التشفير بما يتوافق مع المعايير الوطنية للتشفير.
قطع اتصال وحدات التحكم غير المستخدمة في واجهة الشبكة عن جميع الشبكات. 1-7
مزامنة نظام المضيف مع خوادم زمنية موثوقة تتمتع بالصالحيات المناسبة. 1-8
استخدام أجهزة داعمة لبيئة التشغيل الُمقاسة حصًر ا إلنش77اء الثق77ة بين األجه77زة وم77راقب
1-9
األجهزة االفتراضية.
أن تدعم األجهزة بيئة التشغيل الُمقاسة بق7درات قي7اس التش7فير وأجه7زة التخ7زين القائم7ة
1-10
على المعيار.
يجب موازنة األوامر أو اإلرشادات ذات الص77الحيات من نظ77ام تش77غيل ض77يف ●
إلى مع77الج المض77يف للحف77اظ على م77دير اآلالت االفتراض77ية/مش77غل األجه77زة
االفتراضية كوحدة تحكم بالموارد االفتراضية.
يجب حماية سالمة وظيفة إدارة الذاكرة لمض77يف م77راقب األجه77زة االفتراض77ية ●
من الهجمات الس77يبرانية مث77ل تج77اوز س77عة التخ77زين الم77ؤقت وتنفي77ذ التعليم77ات
1-11
البرمجي77ة غ77ير المص77رح به77ا ،وخاص ً7ة في ج77داول الترجم77ة الالزم77ة إلدارة
الوصول إلى الذاكرة بواسطة آالت افتراضية متعددة.
يجب أن تضمن خوارزميات تخصيص الذاكرة أن األحم77ال على جمي77ع اآلالت ●
االفتراضية قادرة على أداء وظائفها.
إدارة ومراقبة جميع األدوات األمنية ألنظمة تشغيل الضيف بطريق77ة مح77ددة مس77بًقا وفًق ا
1-12
لهذا المعيار.
اختر التصنيف
اإلصدار <>1.0
5
نموذج معيار أمن البيئة االفتراضية
استخدام معالجات مع ذاكرة تخزين موقتة حصرية (إن أمكن) ،وتفعيل خاص77ية
التوزيع العشوائي لمخطط مساحات العناوين.
أن تتبع عملي77ة ترحي77ل البيئ77ة االفتراض77ية للمض77يف بين البيئ77ات المادي77ة أو االفتراض77ية
1-14
جميع متطلبات األمان الواردة في هذا المعيار.
ضبط إعدادات استخدام مراقب األجه77زة االفتراض77ية في <اس77م الجه77ة> بش77كل مناس77ب
الهدف
وإدارتها بشكل آمن.
مراقب األجهزة االفتراضية ه77و األس77اس لك77ل بني77ة تحتي77ة افتراض77ية ،وق77د ينتج عن أي
خطأ في ضبط إعداداته إلى سرقة المعلومات والكشف عنها والوصول غير المصرح ب7ه المخاطر المحتملة
إليها.
اإلجراءات المطلوبة
أن تتبع <اسم الجهة> أفضل الممارسات في إدارة نظام التشغيل المادي ،مث77ل المزامن77ة
2-1
الزمنية ،وإدارة السجالت ،والتحقق من الهويات ،والوصول عن بعد ،وغيرها.
الحص77ول على ص77ور تث77بيت م77راقب األجه77زة االفتراض77ية يجب أن يك77ون من مص77ادر
2-2
موثوقة فقط.
تركيب مراقب األجهزة االفتراضية على خوادم معدنية ( )bare metalلتجنب وج77ود
2-3
ثغرات محتملة في نظام تشغيل المضيف.
تثبيت جميع التحديثات على مراقب األجه7زة االفتراض7ية خالل ف7ترة زمني7ة مح7ددة في
2-4
<اسم الجهة> بعد إصدارها من قبل المورد.
أن يقوم مدراء النظام بمراقبة مراقب األجهزة االفتراضية بعناي77ة باس77تخدام أدوات أمني77ة
2-5
متخصصة ألي مؤشرات على وجود اختراق.
أن يوفر مراقب األجهزة االفتراضية واجهة افتراضية لبيئة التشغيل المقاسة في األجهزة
2-6
بناء على(. )MLE
تنفيذ جميع عمليات تثبيت مراقب األجه77زة االفتراض77ية مركزًي ا في المؤسس77ة باس77تخدام
2-7
نظام إدارة البيئة االفتراضية المؤسسي (.)EVMS
ضبط إعدادات المعيار الذهبي المؤسسية لمراقب األجهزة االفتراضية لتستوعب مختل77ف 2-8
أنواع أحمال العمل والتجمعات من خالل نظام إدارة البيئة االفتراضية للمؤسسة.
يجب أن تغطي إعدادات المعيار الذهبي الجوانب التالية كحٍد أدنى:
اختر التصنيف
اإلصدار <>1.0
6
نموذج معيار أمن البيئة االفتراضية
يجب عزل جميع أنظمة التشغيل للمضيف بشكل كامل (مادًيا ومنطًق يا) عن حدث مراقب
2-9
األجهزة االفتراضية.
إدارة وتحديث نظام تشغيل الضيف بشكل آمن لض77مان اس77تقالليته عن األنظم77ة األخ77رى
الهدف
باستخدام التغليف وطرق األمان التقليدية بسبب وصوله المباشر إلى الشبكة.
إذا تم اختراق نظام تش77غيل الض77يف على نظ77ام افتراض77ي مستض77اف ،فمن المحتم77ل أن
يتسبب نظام التش77غيل الض77يف في إلح77اق الض77رر باألنظم77ة األخ77رى على نفس م77راقب
المخاطر المحتملة
البيئة االفتراضية ،مما قد ي77ؤدي إلى س77رقة المعلوم77ات والكش77ف عنه77ا والوص77ول غ77ير
المصرح به إليها.
اإلجراءات المطلوبة
أن تتبع <اسم الجهة> أفضل الممارسات في إدارة نظام التش77غيل الم77ادي ،مث77ل مزامن77ة
3-1
التوقيت ،وإدارة السجالت ،والتحقق من الهويات ،والوصول عن بعد ،وغيرها.
تثبيت جميع التحديثات على نظ77ام تش77غيل الض77يف بش77كل ف77وري .تحت77وي جمي77ع أنظم77ة
3-2
التشغيل الحديثة على مزايا تقوم تلقائًيا بالتحقق من التحديثات وتثبتها.
إجراء نسخ احتياطي لمحركات األقراص االفتراضية المستخدمة من قبل نظام التش77غيل
الضيف بشكل منتظم باستخدام نفس السياسة الخاصة بإعداد النسخ االحتياطية المستخدمة 3-3
ألجهزة الحاسوب غير االفتراضية في <اسم الجهة>.
على ك77ل نظ77ام تش77غيل ض77يف ،يجب قط77ع االتص77ال م77ع األجه77زة االفتراض77ية غ77ير
3-4
المستخدمة (تحديًد ا محركات األقراص االفتراضية ومحوالت الشبكة االفتراضية).
استخدام حلول مصادقة منفصلة لكل نظ77ام تش77غيل ض77يف م77ا لم يكن هن77اك س77بب مح77دد
الش77تراك نظ77امي تش77غيل ض77يفين في بيان77ات االعتم77اد .ويجب الحص77ول على موافق77ة 3-5
المصادقة لفترة زمنية محدودة فقط.
ال يجب ربط األجهزة االفتراضية لنظام تشغيل الضيف إال مع األجهزة المادي77ة المناس77بة
على نظ7ام المض7يف ،مث7ل الرواب7ط بين وح7دات التحكم في واجه7ة الش7بكة االفتراض7ية 3-6
والمادية.
اختر التصنيف
اإلصدار <>1.0
7
نموذج معيار أمن البيئة االفتراضية
أال يصل نظام تشغيل الضيف إال إلى موارده الخاص77ة فق77ط ويجب أال يص77ل إلى م77وارد
3-7
أنظمة تشغيل الضيف األخرى أو أي موارد غير مخصصة الستخدام البيئة االفتراضية.
تقييد أداء نظام تشغيل الضيف لمنع حاالت الكشف غير المصرح به عن المعلومات. 3-8
ق77د يتس77بب الخط77أ في ض77بط إع77دادات البني77ة التحتي77ة االفتراض77ية أو أي انته77اك له77ا في
عواقب وخيمة يمكن أن تسفر عن سرقة المعلومات أو اإلفصاح عنه7ا أو الوص7ول غ7ير المخاطر المحتملة
المصرح بها إليها.
اإلجراءات المطلوبة
أن يقتص777ر الوص777ول إلى األجه777زة االفتراض777ية على نظ777ام تش777غيل الض777يف ال777ذي
4-1
سيستخدمها.
أن يقوم مدراء النظام بتطبيق ضابط الوصول إلى األجهزة االفتراضية ،خاصًة التخ77زين
4-2
والشبكات ،ومراقبته بصرامة باستخدام أدوات أمنية متخصصة.
استخدام مبدالت الشبكة االفتراض7ية ال7تي ت7دعم الش7بكة المحلي7ة االفتراض7ية ()VLAN
وق77درات ج77دار الحماي77ة لتوف77ير إمكاني77ة فص77ل وع77زل حرك77ة البيان77ات على اآلالت 4-3
االفتراضية.
تركيب أجهزة األمن اإلضافية (المادية أو االفتراض77ية) لفحص وض77بط وتهيئ77ة ومراقب77ة
4-4
اتصاالت الشبكة على اآلالت االفتراضية في موقع مركزي.
اس77تخدام أدوات إدارة إع77دادات اآلالت االفتراض77ية لمراقب77ة وإدارة إع77دادات ك77ل ش77بكة
4-5
لآلالت االفتراضية على مدار دورة حياتها.
ال يجب استخدام محاكاة األجهزة المادية إال عندما يكون التعقيد قاباًل لإلدارة (على سبيل
4-6
المثال ،وحدة تحكم المضيف بالناقل التسلسلي للبيانات).
تعيين ح77دود الم77وارد لع77رض نط77اق الش77بكة وع77رض نط77اق اإلدخ77ال واإلخ77راج (مث77ل
4-7
سرعات قراءة/كتابة األقراص) لكل شبكة افتراضية لمنع هجمات حجب الخدمة.
إدارة وتنظيم اس77تخدام البيئ77ة االفتراض77ية لس77طح المكتب بص77رامة باس77تخدام نهج الح77د
الهدف
األدنى من الصالحيات.
اختر التصنيف
اإلصدار <>1.0
8
نموذج معيار أمن البيئة االفتراضية
عند استخدامها ،تعد بيئة سطح المكتب االفتراضية أساس77ية للعملي77ات اليومي77ة واي خط77أ
في ضبط اإلع7دادات او خ7رق ق7د يتس7بب بانته7اك سياس7ة االمن الس7يبراني ل7دى الجه7ة المخاطر المحتملة
والكشف عن المعلومات.
اإلجراءات المطلوبة
تحديد السيناريوهات التي تتطلب تط7بيق اإلج7راءات األمني7ة من خالل حل7ول افتراض7ية
مدارة وتلك التي ال تتطلب إدارة مركزية.
على سبيل المثال ،إذا تمت إتاحة بيئة سطح المكتب االفتراضية للموظفين ال7ذين يعمل7ون 5-1
من المنزل ،فلن تتطلب أجهزة الحاسوب الخاصة بهم ضوابط أمنية ص77ارمة على عكس
تلك التي توفر الوصول إلى قواعد البيانات الداخلية أو المواقع اإللكترونية.
أن تستخدم <اسم الجهة> حلول البيئة االفتراضية التي ت7تيح نش7ر نظ7ام تش7غيل الض7يف
5-2
على سطح المكتب المدار على أجهزة الحاسوب غير المدارة.
تثبيت جميع التحديثات على نظام تشغيل الضيف على أجهزة الحاسوب غير المدارة متى
5-3
يقوم الموّر د بإصدارها.
أن يكون مستخدمو أنظمة تشغيل الضيف الُمدارة التي يستخدمها العدي77د من المس77تخدمين
على دراية بأن أي تغييرات أجراها مستخدم من المس77تخدمين يج77وز أن يتم نش77رها م77رة
5-4
أخ77رى على الص77ورة الرئيس77ية ،ثم تظه77ر على الص77ور ال77تي يس77تخدمها المس77تخدمون
اآلخرون.
ضبط إعدادات البيئة االفتراضية بشكل آمن واستخدامها بشكل مناسب عند الحاجة. الهدف
إذا كانت <اسم الجهة> ال تلتزم بجميع المعايير والمتطلبات المعمول بها واإللزامية ،فقد
المخاطر المحتملة
يؤدي ذلك إلى سرقة المعلومات والوصول غير المصرح به إليها والكشف عنها.
اإلجراءات المطلوبة
اختر التصنيف
اإلصدار <>1.0
9
نموذج معيار أمن البيئة االفتراضية
األدوار والمسؤوليات
مالك المعيار< :رئيس اإلدارة المعنية باألمن السيبراني>. -1
مراجعة المعيار وتحديثه< :اإلدارة المعنية باألمن السيبراني>. -2
تنفيذ المعيار وتطبيقه< :اإلدارة المعنية بتقنية المعلومات> و<اإلدارة المعنية باألمن السيبراني>. -3
قياس االلتزام بالمعيار< :اإلدارة المعنية باألمن السيبراني>. -4
التحديث والمراجعة
يجب على <اإلدارة المعنية باألمن السيبراني> مراجعة المعي7ار س7نوًيا األق7ل أو عن7د ح7دوث تغي7يرات
تقنية جوهرية في البنية التحتي7ة أو في ح7ال ح7دوث تغي7يرات في السياس7ات أو اإلج7راءات التنظيمي7ة في <اس7م
الجهة> أو المتطلبات التشريعية والتنظيمية ذات العالقة.
االلتزام بالمعيار
يجب على <رئيس اإلدارة المعنية باألمن السيبراني> التأكد من التزام <اسم الجهة> بهذا المعيار دورًيا. -1
يجب على كافة العاملين في <اسم الجهة> االلتزام بهذا المعيار. -2
قد يعرض أي انتهاك لهذا المعيار صاحب المخالفة إلى إجراء تأديبي حسب اإلجراءات المتبعة في <اسم -3
الجهة>.
اختر التصنيف
اإلصدار <>1.0
10