5174330

‫قضايا األمن والحماية في الحكومة‬
‫االلكترونية‬
‫المحتويات‬
‫‪ ‬مقدمة ألمن المعلومات‬
‫التهديدات التي تواجهها المعلومات ونظم المعلومات‬ ‫‪‬‬
‫ما هو الخطر ‪Risk‬؟‬ ‫‪‬‬
‫وسائل الحماية‬ ‫‪‬‬
‫آلية عمل أمن المعلومات‬ ‫‪‬‬
‫واجبات أساسية‬ ‫‪‬‬
‫أساسيات أمن المعلومات في الحكومة االلكترونية‬ ‫‪‬‬

‫مقدمة ألمن المعلومات‬
‫تعريف أمن المعلومات‬
‫“الحاسب آمن إذا استطعت االعتماد عليه للعمل كما تتوقع”‪.‬‬ ‫‪‬‬
‫تعريف أمن المعلومات‬ ‫‪‬‬
‫‪ ‬توفير بيئة آمنة للمعلومات بغض النظر عن مك‪-‬انها‪ :‬سواء في حالة‬

‫التخزين‪ ،‬حالة المعالجة‪ ،‬حالة النقل‪ ،‬و حالة التملك أو عند األفراد‬
‫أركان أمن المعلومات األساسية‬
‫أخطاء مدخلين‬ ‫‪‬‬
‫هاكرز‬ ‫‪‬‬
‫حذف معلومات‬ ‫‪‬‬
‫الحرمان من الخدمة‬ ‫‪‬‬

‫ت األخرى‬3‫أركان أمن المعلوما‬
Identification ‫تحديد هوية المستخدم‬ 
Authentication ‫إثبات هوية المستخدم‬ 
Authorization ‫تحديد صالحيات المستخدم‬ 
Accountability ‫تحديد مسئوليات المستخدم‬ 
Non-repudiation ‫عدم االنكار‬ 
Privacy ‫الخصوصية‬ 
Identification Authentication Authorization

Accountability
‫أهمية أمن المعلومات‬
‫زيادة االعتماد على أنظمة المعلومات في‬ ‫‪‬‬
‫إنجاز العمل‪.‬‬
‫التجارة اإللكترونية‪ ،‬والحكومة اإللكترونية‪.‬‬ ‫‪‬‬
‫انتشار استخدام شبكات الحاسب واستخدام‬ ‫‪‬‬
‫االنترنت ألداء األعمال‪.‬‬

‫سرعة تغير مجال التقنية المعلوماتية‪.‬‬ ‫‪‬‬
‫تزايد عدد المخترقين ويقابلها زيادة عدد‬ ‫‪‬‬
‫الثغرات األمنية‪.‬‬
‫شمولية أمن المعلومات‬
‫يشم‪-‬ل أم‪-‬ن المعلومات‪:‬‬ ‫‪‬‬
‫‪ ‬األمن الفيزيائي (أمن المنشآت)‪.‬‬

‫‪ ‬النسخ االحتياطية‪.‬‬
‫‪ ‬عدم االنكار‪.‬‬
‫‪ ‬التشفير‪.‬‬
‫‪ ‬استمرارية الخدمة رغم كل الظروف‪.‬‬
‫‪ ‬مواجهة الكوارث والحوادث (الحرائق‪ ،.. ،‬إلخ)‪.‬‬
‫‪ ‬مكافحة الفيروسات‪.‬‬
‫‪ ‬التحقيق في جرائم الحاسب‪.‬‬
‫‪ ‬إلخ‪...‬‬
‫صعوبات أمن المعلوما‪3‬ت‬
‫القوانين والتشريعات‬
‫المحلية والدولية‬
‫وضرورة تطبيقها‬ ‫تطوير البرامج الضخمة يخلق‬
‫العائد المادي من‬
‫ثغرات أمنية‪ ،‬ويواجه‬
‫تكتم الضحايا‬ ‫دعم األمن غير منظور‬
‫صعوبات عملية‬
‫(إال بعد فوات األوان)‬
‫‪‬‬ ‫‪‬‬ ‫‪‬‬ ‫‪‬‬

‫صعوبات أمن المعلومات ‪...‬‬
‫أيام‬ ‫دقائق‬ ‫ثواني‬
‫‪Melissa‬‬ ‫‪Code Red‬‬ ‫‪SQL Slammer‬‬

‫‪I Love You‬‬ ‫‪359,000 hosts‬‬ ‫يتضاعف كل ‪ 8‬دقائق‬
‫يتضاعف كل ‪ 37‬دقيقة‬
‫القرن العشرين‬ ‫القرن الواحد والعشرون‬
‫‪ ‬سرعة الهجمات‬
‫صعوبات أمن المعلومات‬
Network Administrators Firewall IDS IRT/IPC
High Trojan scan
denial of service
packet spoofing Floodnet
sniffers
Tool “stealth” /
Intruder
Knowledge scanners/sweepers s advanced scanning
www techniques
attacks
GUI
automated probes/scans
back doors network element Trojans
disabling audits network mgmt. diagnostics
hijacking
password guessing
sessions
Attack exploiting known vulnerabilities
Sophistication
password cracking
self-replicating code Attackers
burglaries
Low
1980 1985 1990 1995 1998 2000
‫سهولة وتطور أدوات االختراقات‬ 

‫صعوبات أمن المعلومات‬
‫!وتكمن المشكلة الكبرى في (الجانب البشري)‬

‫قصص عن الجانب البشري‬
‫اله‪-‬ندسة النفسية ‪Social Engineering‬‬ ‫‪‬‬
‫يعتبر موقع ‪ ebay‬من أشهر مواقع البيع على االنترنت ‪ ,‬حيث قام مجموعة‬
‫من المخربين بإرسال بريد إلك‪G‬تروني لمستخدم‪G‬ي الموقع تطلب‪ G‬تحديث‬
‫معلوماتهم بالدخول على الوصلة الموضحة في آخر الرسالة ‪:‬‬
‫قصص عن الجانب البشري‪...‬‬
‫عند الضغط على الوصلة تظهر لنا صفحة‬

‫أخرى يكون شريط العنوان فيه كالتالي‬
‫بينما وصلة الموقع األصلي هي‬

‫سيتم انتقالنا الى موقع شبيه بموقع ‪ ebay‬وسيتم طلب ادخال اسم المستخدم لعمالء الموقع وكذلك الرقم‬
‫السري وبهذه اآللية سيتم تحويل اسماء المستخدمين وأرقامهم السرية المستخدمة في الموقع إلى المخربين‬
‫لقد حاول المخربون إيهام مستخدمين موقع ‪ ebay‬ببعض العبارات لجعل المستخدمين‬
‫يتأكدون من أمن الموقع وكذلك جديته في عملية تحديث المعلومات‬
‫يجب الحذر عند التعامل مع المواقع التي تطلب رقم البطاقة االئتمانية حيث كل من دخل‬
‫ووضع رقم بطاقته االئتمانية بتأكيد سيتم اختالسها ‪ ebay‬الموقع المشابه لموقع‬
‫مصدر المشكلة‬
‫قلة الوعي األمني‬
‫قلة الخبراء في مجال أمن المعلومات‬
‫سهولة استخدام والحصول على ادوات االختراق (سنرى الحقا)‬
‫تعقيد البرمجيات ووجود الثغرات األم‪-‬نية‬
‫عدم االدراك بالمخاطر اال بعد فوات االوان‬
‫تقنيات غير آمنة‬
‫االزدياد المطرد للحوسبة واستخدامه‬
‫االتصال الدائم باالنترنت‪ -‬والشبكات الخارجية‬
‫أنواع المخترقون‬
‫هاكرز‪ :‬شخص ماهر يجرب للمتعة‬ ‫‪‬‬
‫كراكر‬ ‫‪‬‬
‫المجرمون‬ ‫‪‬‬
‫الموظفون الفاسدون‬ ‫‪‬‬
‫التجسس الصناعي‬ ‫‪‬‬
‫الجريمة المنظمة‬ ‫‪‬‬
‫الحكومات األجنبية‬ ‫‪‬‬
‫المقاتلون المعلوماتيون ‪Infowarriors‬‬ ‫‪‬‬
‫المخترقون المبتديئون‬ ‫‪‬‬
‫‪17‬‬
‫جميع الحقوق محفوظة د‪.‬‬
‫أمثلة لمواقع مخترقة‪ :‬شركة مايكروسوفت‬
‫فمن الممكن أن يكون‬

‫المهاجمون قد أقاموا أبوابا ً‬
‫خلفية سرية للبرامج التي‬
‫سيتم انتاجها في المستقبل‬
‫وهو ما يضمن لهم الوصول‬
‫إلى أجهزة الكمبيوتر بمختلف‬
‫انحاء العالم‬
‫‪18‬‬
‫أمثلة لمواقع مخترقة‪ :‬وكالة المخابرات‬
‫المركزية األمريكية‬
‫الموقع المخترق‬ ‫الموقع األصلي‬
‫‪19‬‬
‫أمثلة لمواقع مخترقة‪ :‬وزارة العدل األمريكية‬
‫الموقع المخترق‬ ‫الموقع األصلي‬
‫‪20‬‬
‫‪ ‬مقدمة ألمن المعلومات‬
‫‪ ‬التهديدات التي تواجهها المعلومات ونظم المعلومات‬ ‫‪‬‬
‫ما هو الخطر ‪Risk‬؟‬ ‫‪‬‬
‫‪21‬‬
‫التهديدات التي تواجه‪3‬ها نظم المعلومات‬
‫تهديدات طبيعية‬ ‫‪‬‬
‫الزالزل‬ ‫‪‬‬
‫البراكين‬ ‫‪‬‬
‫الحرائق‬ ‫‪‬‬
‫العواصف‬ ‫‪‬‬
‫االنزالق الطيني‬ ‫‪‬‬
‫الفيضانات‬ ‫‪‬‬
‫‪22‬‬
‫التهديدات التي تواجهها نظم المعلومات‪...‬‬
‫تهديدات من صنع االنسان‬ ‫‪‬‬
‫األخطاء البشرية (إدخال بيانات غير صحيحة‪ ،‬حذف بيانات‪ ،‬تخزين بيانات‬ ‫‪‬‬
‫بصورة غير صحيحة‪ ،‬الخ)‬

‫انتهاك الملكية الفكرية (األسرار التجارية‪ ،‬حماية حقوق المؤلف‪-‬قرصنة‬ ‫‪‬‬
‫البرمجيات‪ ،‬العالمات التجارية‪ ،‬وبراءة االختراع)‬

‫التجسس االنساني والصناعي‬ ‫‪‬‬
‫االبتزاز ‪Extortion and Blackmail‬‬ ‫‪‬‬
‫تخريب الممتلكات العامة والخاصة‬ ‫‪‬‬
‫السرقة والسرقة االلكترونية‬ ‫‪‬‬
‫‪23‬‬
‫التهديدات‪ 3‬التي تواجهها نظم‪ 3‬المعلومات‪...‬‬
‫مخاطر وتهديدات من صنع االنسان‬ ‫‪‬‬
‫البرمجيات الخبيثة ‪ Malware‬مثل الفيروسات والديدان وأحصنة الطراودة‬ ‫‪‬‬
‫اختالل مستوى الخدمات (مثل خلل التيار الكهربائي‪ ،‬خلل في الدائرة الموصلة‬ ‫‪‬‬
‫لمزود خدمة االنترنت‪ ،‬الخ)‬

‫خلل المعدات واألجهزة المستخدمة في نظم المعلومات (االسطوانات الصلبة‪،‬‬ ‫‪‬‬
‫الخادمات‪ ،‬الخ)‬
‫خلل البرمجيات المستخدمة في نظم المعلومات (ويندوز‪ ،‬شئون الموظفين‪،‬‬ ‫‪‬‬
‫االدارة المالية)‬
‫تقادم األجهزة والبرمجيات‬ ‫‪‬‬
‫‪24‬‬
‫التهديدات التي تواجهها نظم المعلومات ‪...‬‬
‫أخطاء المستخدمين‬
‫‪55%‬‬
‫الفيروسات‬ ‫‪4%‬‬ ‫‪2%‬‬ ‫المخترقين‬

‫الخارجيين‬
‫‪20%‬‬ ‫‪10%‬‬
‫‪9%‬‬ ‫الموظفين‬
‫تهديدات طبيعية مثل الحرائق‬ ‫المختلسين‬
‫والزالزل‬
‫الموظفين المستاءين‬ ‫‪* Computer Security Institute‬‬
‫‪25‬‬
‫التهديدات التي تواجهها المعلومات ونظم المعلومات‬ ‫‪‬‬ ‫‪‬‬
‫‪ ‬ما هو الخطر ‪Risk‬؟‬ ‫‪‬‬
‫‪26‬‬
‫ما هو الخطر ‪Risk‬؟‬
‫التهديد ‪ :Threat‬هو أي نوع من أنواع التهديدات الطبيعية (الزالزل) أو‬ ‫‪‬‬
‫التهديدات من صنع االنسان (األخطاء البشرية والتجسس االنساني والصناعي)‬

‫الثغرة األمنية ‪ :Vulnerability‬هي نقاط الضعف في النظام مثل عدم وجود‬ ‫‪‬‬
‫برنامج مضاد للفيروسات أو عدم وجود حراسة أمنية للمبنى أو عدم وجود‬
‫إجراءات النهاء خدمات موظف‬
‫يقع الخطر والذي يحدث ضرر بنظم المعلومات عندما يستغل التهديد الثغرة األمنية‬ ‫‪‬‬
‫قيمة المعلومات‪ :‬يجب تقدير قيمة معينة للمعلومات‪ ،‬فمثالً معلومات البريد‬ ‫‪‬‬
‫االلكتروني أقل قيمة من معلومات المواطنين‬
‫الخطر = )قيمة المعلومات × الثغرة × التهديد(‬

‫‪27‬‬
‫ما هو الخطر ‪Risk‬؟ ‪...‬‬
‫وسيلة الحماية ‪ :Countermeasure‬تستخدم ‪ ،‬سواء كانت‬ ‫‪‬‬
‫تقنية أو إجرائية أو مادية‪ ،‬للتخفيف من وقوع الخطروليس منعه‬

‫مثال‪:‬‬ ‫‪‬‬
‫ته‪-‬ديد = فيروس‬ ‫‪‬‬
‫ثغرة أمنية = عدم تحديث البرنامج الم‪-‬ضاد للفيروسات‬ ‫‪‬‬
‫الخطر = يقوم الفيروس بمسح االسطوانة الصلبة‬ ‫‪‬‬
‫قيمة المعلوم‪-‬ات = جميع ملفات الوورد تم م‪-‬سحها‬ ‫‪‬‬
‫وسيلة الحم‪-‬اية = تحديث البرنامج المضاد للفيروسات دوريا ًً‬ ‫‪‬‬
‫‪28‬‬
‫ينتج عنه‬
‫يستغل‬
‫التهديد‬ ‫الثغرة األمنية‬ ‫الخطر‬
‫يسبب تلف‬
‫تقييم‪3‬‬
‫االجراء المضاد‬
‫وسيلة حماية‬ ‫قيمة المعلومات‬
‫البد من تواجد ا‪-‬لثغرات مع التهديدات‬ ‫‪‬‬
‫ال يمكن ا‪-‬لتصدي لجميع ا‪-‬لتهديدات‬ ‫‪‬‬
‫ال يوجد خطر إذا لم يكن هناك تهديد‬ ‫‪‬‬
‫ال يوجد خطر إذا ل‪-‬م هناك ثغرة‬ ‫‪‬‬
‫‪29‬‬
‫التهديدات على أركان أمن المعلومات‪:‬‬ ‫‪‬‬
‫التهديد على السرية‪ :‬التصنت‬ ‫‪‬‬
‫التهديد على سالمة المعلومات م‪-‬ن التعديل‪ :‬الفيروسات والديدان‬ ‫‪‬‬
‫الته‪-‬ديد على توفر نظم المعلومات وعدم توقفها‪ :‬انقطاع التيار الكربائي‬ ‫‪‬‬
‫التهديد على تحديد هوية المستخدم‪ :‬التزييف ‪Spoofing‬‬ ‫‪‬‬
‫التهديد على إثبات هوية المستخدم‪ :‬سرقة ك‪G‬لم‪G‬ة السر‬ ‫‪‬‬
‫‪30‬‬
‫التهديدات التي تواجهها المعلومات ونظم المعلومات‬‫‪‬‬ ‫‪‬‬
‫‪ ‬ما هو الخطر ‪Risk‬؟‬ ‫‪‬‬
‫‪ ‬وسائل الحماية‬ ‫‪‬‬
‫‪31‬‬
‫وسائل الحماية‬
‫وسائل الحماية اإلدارية‬

‫‪Administrative Safeguards‬‬
‫وسائل الحماية المادية‬ ‫وسائل الحماية الفنية‬

‫‪Physical Safeguards‬‬ ‫‪Technical Safeguards‬ذ‬
‫‪32‬‬
‫وسائل الحماية‬
‫‪1‬‬ ‫‪2‬‬ ‫‪3‬‬
‫‪33‬‬
‫وسائل الحماية اإلدارية‬
‫إعداد وصياغة سياسات أمن المعلومات ‪Information Security Policy‬‬ ‫‪‬‬
‫تشريعات داخل المنشأة لتنظيم أمن المعلومات وتحديد المسئوليات واألدوار‬ ‫‪‬‬
‫تحدد ما هو مسموح به وما هو غير مسموح به للتعامل مع المعلومات ومع نظم‬ ‫‪‬‬
‫المعلومات‬
‫من أمثلتها‪:‬‬ ‫‪‬‬
‫اتفاقية صالحيات المستخدم وقبول استخدام النظام‬ ‫‪‬‬
‫الخصوصية‬ ‫‪‬‬
‫كلمات المرور‬ ‫‪‬‬
‫البريد االلكتروني‬ ‫‪‬‬
‫وغيرها‪...‬‬ ‫‪‬‬
‫‪34‬‬
‫وسائل الحماية اإلدارية ‪...‬‬
‫حماية األشخاص‬ ‫‪‬‬
‫التوعية بأمن المعلومات‬ ‫‪‬‬
‫إجراءات قبول موظف جديد‬ ‫‪‬‬
‫إجراءات إنهاء خدمات موظف‬ ‫‪‬‬
‫تصنيف المعلومات ونظم الم‪-‬علومات من حيث‪ -‬سريتها وحساسيتها‬ ‫‪‬‬
‫‪35‬‬
‫وسائل الحماية المادية‬
‫الكاميرات ‪ CCTV‬وأجهزة االنذار والحراسات‬ ‫‪‬‬
‫الجدران واألسوار والمفاتيح‬ ‫‪‬‬
‫بطاقات الم‪-‬وظفين‬ ‫‪‬‬
‫أجهزة اكتشاف األصوات والحركة‬ ‫‪‬‬
‫األنوار‬ ‫‪‬‬
‫أجهزة الدخول ”الم‪-‬صيده“‬ ‫‪‬‬
‫‪36‬‬
‫وسائل الحماية الفنية‬
‫تقنيات تحديد وإثبات هوية المستخدم وصالحياته ومسئولياته‬ ‫‪‬‬
‫الرقم وكلمة السر‬ ‫‪‬‬
‫التقنيات الحيوية ‪ Biometric‬مثل بصمة اليد‪ ،‬عروق الشبكة ‪Retina‬‬ ‫‪‬‬
‫والقزحية ‪ iris‬وشكل اليد والتوقيع اليدوي ‪ ،‬ونبرات الصوت ‪ ،‬الخ‬

‫التشفير‬ ‫‪‬‬
‫الجدران النارية‬ ‫‪‬‬
‫التدقيق ‪Auditing‬‬ ‫‪‬‬
‫واجهات التطبيق المقيده‬ ‫‪‬‬
‫البرامج المضادة للفيروسات ‪AV‬‬ ‫‪‬‬
‫الحفظ االحتياطي‬ ‫‪‬‬
‫التوقيع االلكتروني‬ ‫‪‬‬
‫الشهادات الرقمية‬ ‫‪‬‬
‫‪37‬‬
‫‪ ‬وسائل الحماية‬ ‫‪‬‬
‫‪ ‬آلية عمل أمن المعلومات‬ ‫‪‬‬
‫‪38‬‬
‫آلية عمل أمن المعلومات‬
‫‪‬‬ ‫‪‬‬
‫‪‬‬ ‫‪‬‬
‫‪39‬‬
‫‪ ‬آلية عمل أمن المعلومات‬ ‫‪‬‬
‫‪ ‬واجبات أساسية‬ ‫‪‬‬
‫‪40‬‬
‫واجبات أساسية‪:‬‬
‫البرامج المضادة للفيروسات‬
‫ترك‪-‬يب برنامج مضاد للفيروسات‬ ‫‪‬‬
‫تحديث برنامج مضاد الفيروسات‬ ‫‪‬‬
‫عدم فتح ملحقات البريد اإللكتروني بدون التأكد م‪-‬ن هوية المرسل ومحتوى‬ ‫‪‬‬
‫الملف (*‪)exe, *.bat, *.com, *.pif, *.scr.‬‬

‫تحديث نظام التشغيل ومتصفح االنترنت‬ ‫‪‬‬
‫عدم تركيب حافظات للشاشة وألع‪-‬اب من م‪-‬صادر غير معروفة‬ ‫‪‬‬
‫عدم استخدام أقراص مرنة أو مضغوطة م‪-‬ن مصادر غير موثوقة‬ ‫‪‬‬
‫‪41‬‬
‫كلمات المرور‬
‫يفضل أن تكون‬ ‫‪‬‬
‫‪ 6‬خانات على األقل‬ ‫‪‬‬
‫تحتوي على أرقام وحروف ورموز‬ ‫‪‬‬
‫خلط وتشكيل مظهر الحروف مثل ‪kAf23#‬‬ ‫‪‬‬
‫سهلة التذكر (عدم النسيان ولعدم كتابتها)‬ ‫‪‬‬
‫تغيير كلمة السر بشكل دوري‬ ‫‪‬‬
‫تجنب‬ ‫‪‬‬
‫استناد كلمة السر إلى معلومات شخصية يمكن تخمينها‬ ‫‪‬‬
‫استخدام كلمات ومفردات في القاموس‬ ‫‪‬‬
‫استخدام األسماء الدارجة‬ ‫‪‬‬
‫كتابة كلمة السر في ورقة‬ ‫‪‬‬
‫ادخال كلمة السر أمام اآلخرين‬ ‫‪‬‬
‫‪42‬‬
‫كلمات‪ 3‬المرور ‪:‬‬
‫كسر كلمات المرور‬
‫‪43‬‬
‫الهندسة النفسية ‪Social Engineering‬‬
‫الناس يثقون باآلخرين‬ ‫‪‬‬
‫يمك‪-‬ن اختراق األمن بسبل غير تقنية‬ ‫‪‬‬
‫الهندسة النفسية هي أن تخدع شخص بأخذك معلومات م‪-‬همة‬ ‫‪‬‬
‫ال توجد تقنية تمنع هذا الشيء‬ ‫‪‬‬
‫قد تستخدم في شؤون الحياة عموما‬ ‫‪‬‬
‫طرق الهندسة النفسية‬ ‫‪‬‬

‫الهاتف‬ ‫‪‬‬
‫البريد االلكتروني‬ ‫‪‬‬
‫وجها لوجه‬ ‫‪‬‬
‫عبر صفحات االنترنت‬ ‫‪‬‬
‫‪44‬‬
‫‪ ‬آلية عمل أمن المعلومات‬ ‫‪‬‬
‫‪ ‬واجبات أساسية‬ ‫‪‬‬
‫‪ ‬أساسيات أمن المعلومات في الحكومة االلكترونية‬ ‫‪‬‬
‫‪45‬‬
‫أساسيات أمن المعلومات في الحكومة االلكترونية‪:‬‬
‫بصمة الملف ‪Hash and MAC‬‬
‫بصمة ال‪-‬ملف‪ :‬طول محدد ‪ 24 ،21‬حرف‬ ‫الرسالة أو ا‪-‬لملف‬
‫ق م رزصت ي ن رؤت س ض غ ع‬
‫تشهد كتابة العدل‬
‫خ ‪ * 9‬ع أل ر ‪ @%‬ءظ‬
‫األولى أن‬
‫بصمة الملف‬ ‫المواطن محمد‬
‫‪Hash‬‬ ‫صالح قد تقدم‬
‫بطلب ‪.....‬‬
‫ق م رزصت ي ن رؤت س ض غ ع‬
‫خ ‪ * 9‬ع أل ر ‪ @%‬ءظ‬
‫بصمة الملف مع‬ ‫المواطن محمد‬
‫صالح قد تقدم‬
‫مفتاح ‪MAC‬‬ ‫بطلب ‪.....‬‬
‫مفتاح موجود عند المرسل‬ ‫الخدمات‪:‬‬
‫والمستقبل يستخدم‬ ‫‪Key‬‬
‫سالمة البيانات‬
‫لحساب بصمة الملف‬ ‫التأكد من هوية المرسل‬
‫‪46‬‬
‫المفاتيح العامة للتشفير ‪Public Key Cryptography‬‬
‫مفتاحان‪:‬‬ ‫‪‬‬
‫األول عام ‪ Public‬ومتوفر للجميع‬ ‫‪‬‬
‫الثاني خاص ‪ Private‬ومعروف فقط للمرسل‬ ‫‪‬‬
‫إذا استخدم المفتاح العام للتشفير فيجب استخدام المفتاح الخاص‬ ‫‪‬‬
‫لفك التشفير‬
‫إذا استخدم المفتاح الخاص للتشفير فيجب استخدام المفتاح العام‬ ‫‪‬‬
‫لفك التشفير‬
‫ال يمكن أن يتم استنتاج الخاص بمعرفة المفتاح العام‬ ‫‪‬‬
‫‪47‬‬
‫المفاتيح العامة للتشفير ‪... Public Key Cryptography‬‬
‫المفتاح العام للمستقبل‬

‫‪Ke‬‬
‫‪y‬‬

‫‪Ke‬‬
‫المفتاح الخاص للمستقبل‬ ‫المواطن محمد‬

‫‪y‬‬
‫بطلب ‪.....‬‬
‫الرسالة‬
‫فك التشفير‬ ‫تشفير‬ ‫الرسالة‬
‫‪Decrypt‬‬ ‫‪Encrypt‬‬
‫‪*9‬‬
‫المستقبل‬ ‫المرسل‬
‫الخدمات‪ :‬السرية ‪ ،‬التأكد من هوية المستقبل‬
‫‪48‬‬
‫المفاتيح العامة للتشفير ‪...Public Key Cryptography‬‬
‫المفتاح العام بالمستقبل‬
‫المفتاح العام للمرسل‬
‫‪Ke‬‬
‫‪y‬‬
‫‪Key‬‬
‫المفتاح الخاص بالمستقبل‬
‫المفتاح الخاص للمرسل‬
‫‪Key‬‬
‫‪Key‬‬
‫فك التشفير فك التشفيرالرسالة‬ ‫تشفير‪2‬‬ ‫تشفير‪1‬‬ ‫الرسالة‬
‫‪Decrypt‬‬ ‫‪Decrypt‬‬ ‫‪Encrypt‬‬ ‫‪Encrypt‬‬
‫‪*9‬‬
‫المستقبل‬ ‫المرسل‬
‫الخدمات‪ :‬السرية ‪ ،‬التأكد من هوية المرسل‪ ،‬التأكد من هوية المستقبل‬

‫‪49‬‬
‫التوقيع الرقمي ‪Digital Signature‬‬
‫تمثيل هوية الشخص أو المنشأة بشكل الكتروني‬ ‫‪‬‬
‫ارسال هذا التمثيل مع الرسالة المراد ارسالها‬ ‫‪‬‬
‫الخصائص المطلوبة‪:‬‬ ‫‪‬‬
‫شخص واحد فقط يقوم بانشاؤه‬ ‫‪‬‬
‫الحاقه مع الملفات عند انشاؤها باستمرار‬ ‫‪‬‬
‫سهل االنشاء‪ ،‬أي شخص يستطيع التحقق من صحته‪،‬‬ ‫‪‬‬
‫استحالة التزوير‬
‫‪50‬‬
‫إنشاء التوقيع الرقمي ‪Digital Signature‬‬

‫البصمة‬ ‫تشهد كتابة العدل‬
‫ب رؤزء‪3‬ق‪7‬ض‪3‬ؤس‪1‬ع‬ ‫األولى أن‬
‫‪Hash‬‬ ‫المواطن محمد‬
‫بطلب ‪.....‬‬
‫المفتاح الخاص‬
‫للمرسل‬
‫بصملة ملف مشفرة‬
‫‪Key‬‬
‫تشفير‬ ‫ت‪0‬ن‪%‬رؤض‪6‬ز‪“:‬؟ة‪5‬ةغ‪8‬‬
‫ارسال‬
‫األولى أن‬ ‫رسالة موقعة الكترونياً‬
‫المواطن محمد‬
‫بطلب ‪.....‬‬
‫‪51‬‬
‫التحقق من صحة التوقيع الرقمي‬
‫المفتاح العام للمرسل‬
‫بصملة ملف مشفرة‬
‫‪Key‬‬
‫ت‪0‬ن‪%‬رؤض‪6‬ز‪“:‬؟ة‪5‬ةغ‪8‬‬
‫بصملة ملف‬
‫فك التشفير‬ ‫تشهد كتابة العدل‬

‫ب رؤزء‪3‬ق‪7‬ض‪3‬ؤس‪1‬ع‬ ‫األولى أن‬
‫المواطن محمد‬
‫بطلب ‪.....‬‬
‫مقارنة‬ ‫رسالة موقعة الكترونياً‬

‫البصمة‬ ‫المواطن محمد‬
‫ب رؤزء‪3‬ق‪7‬ض‪3‬ؤس‪1‬ع‬
‫‪Hash‬‬ ‫صالح قد تقدم‬
‫بطلب ‪.....‬‬
‫‪52‬‬
‫التوقيع الرقمي‬
‫فوائده‪:‬‬ ‫‪‬‬
‫ال يستطيع المرسل أن ينكر ارسال الملف‬ ‫‪‬‬
‫ال يستطيع المستقبل أن يزعم أنه استقبل ملف آخر‬ ‫‪‬‬
‫يستخدم للتأكد من صحة البرمجيات التي يتم تنزيلها من شبكة‬ ‫‪‬‬
‫االنترنت‬
‫معاييره الدولية‬ ‫‪‬‬
‫ملف‬
‫‪( DSA‬ي‪333‬ستخدم ‪ SHA-1‬ال ‪3‬ي‪3‬جاد ب‪333‬صمة ا‪33‬ل )‬ ‫‪‬‬
‫‪RSA‬‬ ‫‪‬‬
‫‪ELGAMAL‬‬ ‫‪‬‬
‫‪53‬‬
‫الخالصة‬
‫ال يوجد أمن كامل في أي نظام‬ ‫‪‬‬
‫األمن يتناسب عكسيا مع تع‪-‬قيد النظام‬ ‫‪‬‬
‫األمن يتناسب عكسيا مع سه‪-‬ولة استخدام النظام‬ ‫‪‬‬
‫اإلحساس الخاطئ باألم‪-‬ن أخطر من اإلحساس الصحيح بعدم األمن‬ ‫‪‬‬
‫األمن كالسلسلة‪ ،‬تقاس قوته‪-‬ا بقوة أضع‪-‬ف حلقة فيها‪.‬‬ ‫‪‬‬
‫العامل البشري‪ :‬اختراق البشر اسه‪-‬ل من اختراق األجهزة‬ ‫‪‬‬
‫يجب االهتمام بتوفر المع‪-‬لومات كجزء م‪-‬ن األمن‬ ‫‪‬‬
‫‪54‬‬
‫في أي منشأة يمثل العنصر‬
‫البشري أهم الموارد‪ ،‬وفي نفس‬
‫الوقت هو أهم المخاطر على أمن‬
‫المعلومات‬
‫شكراً لحسن االستماع‬
‫‪55‬‬

5174330

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

5174330

Uploaded by

Copyright:

Available Formats

‫قضايا األمن والحماية في الحكومة‬

‫ما هو الخطر ‪Risk‬؟‬ ‫‪‬‬

‫وسائل الحماية‬ ‫‪‬‬

‫آلية عمل أمن المعلومات‬ ‫‪‬‬

‫واجبات أساسية‬ ‫‪‬‬

‫أساسيات أمن المعلومات في الحكومة االلكترونية‬ ‫‪‬‬

‫تعريف أمن المعلومات‬ ‫‪‬‬

‫‪ ‬توفير بيئة آمنة للمعلومات بغض النظر عن مك‪-‬انها‪ :‬سواء في حالة‬

‫حذف معلومات‬ ‫‪‬‬

‫الحرمان من الخدمة‬ ‫‪‬‬

Authentication ‫إثبات هوية المستخدم‬ 

Authorization ‫تحديد صالحيات المستخدم‬ 

Accountability ‫تحديد مسئوليات المستخدم‬ 

Non-repudiation ‫عدم االنكار‬ 

Identification Authentication Authorization

‫زيادة االعتماد على أنظمة المعلومات في‬ ‫‪‬‬

‫انتشار استخدام شبكات الحاسب واستخدام‬ ‫‪‬‬

‫االنترنت ألداء األعمال‪.‬‬

‫تزايد عدد المخترقين ويقابلها زيادة عدد‬ ‫‪‬‬

‫‪ ‬األمن الفيزيائي (أمن المنشآت)‪.‬‬

‫‪‬‬ ‫‪‬‬ ‫‪‬‬ ‫‪‬‬

‫أيام‬ ‫دقائق‬ ‫ثواني‬

‫‪Melissa‬‬ ‫‪Code Red‬‬ ‫‪SQL Slammer‬‬

‫القرن العشرين‬ ‫القرن الواحد والعشرون‬

‫سهولة وتطور أدوات االختراقات‬ 

‫!وتكمن المشكلة الكبرى في (الجانب البشري)‬

‫عند الضغط على الوصلة تظهر لنا صفحة‬

‫بينما وصلة الموقع األصلي هي‬

‫هاكرز‪ :‬شخص ماهر يجرب للمتعة‬ ‫‪‬‬

‫الموظفون الفاسدون‬ ‫‪‬‬

‫التجسس الصناعي‬ ‫‪‬‬

‫الجريمة المنظمة‬ ‫‪‬‬

‫الحكومات األجنبية‬ ‫‪‬‬

‫المقاتلون المعلوماتيون ‪Infowarriors‬‬ ‫‪‬‬

‫المخترقون المبتديئون‬ ‫‪‬‬

‫فمن الممكن أن يكون‬

‫ما هو الخطر ‪Risk‬؟‬ ‫‪‬‬

‫وسائل الحماية‬ ‫‪‬‬

‫آلية عمل أمن المعلومات‬ ‫‪‬‬

‫واجبات أساسية‬ ‫‪‬‬

‫أساسيات أمن المعلومات في الحكومة االلكترونية‬ ‫‪‬‬

‫تهديدات طبيعية‬ ‫‪‬‬

‫االنزالق الطيني‬ ‫‪‬‬

‫بصورة غير صحيحة‪ ،‬الخ)‬

‫البرمجيات‪ ،‬العالمات التجارية‪ ،‬وبراءة االختراع)‬

‫االبتزاز ‪Extortion and Blackmail‬‬ ‫‪‬‬

‫تخريب الممتلكات العامة والخاصة‬ ‫‪‬‬

‫السرقة والسرقة االلكترونية‬ ‫‪‬‬

‫مخاطر وتهديدات من صنع االنسان‬ ‫‪‬‬

‫البرمجيات الخبيثة ‪ Malware‬مثل الفيروسات والديدان وأحصنة الطراودة‬ ‫‪‬‬

‫لمزود خدمة االنترنت‪ ،‬الخ)‬

‫الفيروسات‬ ‫‪4%‬‬ ‫‪2%‬‬ ‫المخترقين‬

‫‪ ‬ما هو الخطر ‪Risk‬؟‬ ‫‪‬‬

‫وسائل الحماية‬ ‫‪‬‬

‫آلية عمل أمن المعلومات‬ ‫‪‬‬

‫واجبات أساسية‬ ‫‪‬‬

‫أساسيات أمن المعلومات في الحكومة االلكترونية‬ ‫‪‬‬

‫التهديدات من صنع االنسان (األخطاء البشرية والتجسس االنساني والصناعي)‬

‫االلكتروني أقل قيمة من معلومات المواطنين‬

‫الخطر = )قيمة المعلومات × الثغرة × التهديد(‬

‫وسيلة الحماية ‪ :Countermeasure‬تستخدم ‪ ،‬سواء كانت‬ ‫‪‬‬

‫تقنية أو إجرائية أو مادية‪ ،‬للتخفيف من وقوع الخطروليس منعه‬

‫ته‪-‬ديد = فيروس‬ ‫‪‬‬

‫ثغرة أمنية = عدم تحديث البرنامج الم‪-‬ضاد للفيروسات‬ ‫‪‬‬

‫الملف (‪)exe, .bat, .com, .pif, *.scr.‬‬