Download presentation
Presentation is loading. Please wait.
1
قضايا الأمن والحماية في الحكومة الالكترونية
د. م. ناصر المشاري SSCP, CISSP أستاذ أمن المعلومات المساعد في معهد الإدارة العامة مستشار أمن المعلومات في برنامج الحكومة الالكترونية – يـسّـر مستشار أمن المعلومات في هيئة الاتصالات وتقنية المعلومات
2
المحتويات مقدمة لأمن المعلومات واجبات أساسية
التهديدات التي تواجهها المعلومات ونظم المعلومات ما هو الخطر Risk؟ وسائل الحماية آلية عمل أمن المعلومات واجبات أساسية أساسيات أمن المعلومات في الحكومة الالكترونية جميع الحقوق محفوظة د. المشاري
3
مقدمة لأمن المعلومات تعريف أمن المعلومات
مقدمة لأمن المعلومات تعريف أمن المعلومات “الحاسب آمن إذا استطعت الاعتماد عليه للعمل كما تتوقع”. تعريف أمن المعلومات توفير بيئة آمنة للمعلومات بغض النظر عن مكانها: سواء في حالة التخزين، حالة المعالجة، حالة النقل، و حالة التملك أو عند الأفراد جميع الحقوق محفوظة د. المشاري
4
أركان أمن المعلومات الأساسية
C A I أخطاء مدخلين هاكرز حذف معلومات الحرمان من الخدمة C C A I التوفر التكامل الأمن C A I A I السريـة C A I جميع الحقوق محفوظة د. المشاري
5
أركان أمن المعلومات الأخرى
تحديد هوية المستخدم Identification إثبات هوية المستخدم Authentication تحديد صلاحيات المستخدم Authorization تحديد مسئوليات المستخدم Accountability عدم الانكار Non-repudiation الخصوصية Privacy Identification Authentication Authorization Accountability جميع الحقوق محفوظة د. المشاري
6
أهمية أمن المعلومات زيادة الاعتماد على أنظمة المعلومات في إنجاز العمل.
التجارة الإلكترونية، والحكومة الإلكترونية. انتشار استخدام شبكات الحاسب واستخدام الانترنت لأداء الأعمال. سرعة تغير مجال التقنية المعلوماتية. تزايد عدد المخترقين ويقابلها زيادة عدد الثغرات الأمنية. جميع الحقوق محفوظة د. المشاري
7
شمولية أمن المعلومات يشمل أمن المعلومات:
الأمن الفيزيائي (أمن المنشآت). النسخ الاحتياطية. عدم الانكار. التشفير. استمرارية الخدمة رغم كل الظروف. مواجهة الكوارث والحوادث (الحرائق، ..، إلخ). مكافحة الفيروسات. التحقيق في جرائم الحاسب. إلخ... جميع الحقوق محفوظة د. المشاري
8
صعوبات أمن المعلومات تكتم الضحايا
تطوير البرامج الضخمة يخلق ثغرات أمنية، ويواجه صعوبات عملية العائد المادي من دعم الأمن غير منظور (إلا بعد فوات الأوان) تكتم الضحايا القوانين والتشريعات المحلية والدولية وضرورة تطبيقها جميع الحقوق محفوظة د. المشاري
9
صعوبات أمن المعلومات ... سرعة الهجمات أيام دقائق ثواني القرن العشرين
Melissa I Love You Code Red 359,000 hosts يتضاعف كل 37 دقيقة SQL Slammer يتضاعف كل 8 دقائق القرن العشرين القرن الواحد والعشرون سرعة الهجمات جميع الحقوق محفوظة د. المشاري
10
صعوبات أمن المعلومات High Low Tools Attackers Network Administrators
1980 1985 1990 1995 1998 password guessing self-replicating code password cracking exploiting known vulnerabilities disabling audits back doors hijacking sessions scanners/sweepers sniffers packet spoofing GUI automated probes/scans denial of service www attacks Tools Attackers Intruder Knowledge Attack Sophistication “stealth” / advanced scanning techniques burglaries network mgmt. diagnostics network element Trojans Network Administrators Firewall IDS Floodnet 2000 Trojan scan IRT/IPC سهولة وتطور أدوات الاختراقات جميع الحقوق محفوظة د. المشاري
11
وتكمن المشكلة الكبرى في (الجانب البشري)!
صعوبات أمن المعلومات وتكمن المشكلة الكبرى في (الجانب البشري)! جميع الحقوق محفوظة د. المشاري
12
قصص عن الجانب البشري الهندسة النفسية Social Engineering
يعتبر موقع ebay من أشهر مواقع البيع على الانترنت , حيث قام مجموعة من المخربين بإرسال بريد إلكتروني لمستخدمي الموقع تطلب تحديث معلوماتهم بالدخول على الوصلة الموضحة في آخر الرسالة : جميع الحقوق محفوظة د. المشاري
13
قصص عن الجانب البشري... عند الضغط على الوصلة تظهر لنا صفحة أخرى يكون شريط العنوان فيه كالتالي بينما وصلة الموقع الأصلي هي جميع الحقوق محفوظة د. المشاري
14
قصص عن الجانب البشري... سيتم انتقالنا الى موقع شبيه بموقع ebay وسيتم طلب ادخال اسم المستخدم لعملاء الموقع وكذلك الرقم السري وبهذه الآلية سيتم تحويل اسماء المستخدمين وأرقامهم السرية المستخدمة في الموقع إلى المخربين جميع الحقوق محفوظة د. المشاري
15
قصص عن الجانب البشري... لقد حاول المخربون إيهام مستخدمين موقع ebay ببعض العبارات لجعل المستخدمين يتأكدون من أمن الموقع وكذلك جديته في عملية تحديث المعلومات يجب الحذر عند التعامل مع المواقع التي تطلب رقم البطاقة الائتمانية حيث كل من دخل الموقع المشابه لموقع ebay ووضع رقم بطاقته الائتمانية بتأكيد سيتم اختلاسها جميع الحقوق محفوظة د. المشاري
16
مصدر المشكلة قلة الوعي الأمني قلة الخبراء في مجال أمن المعلومات
سهولة استخدام والحصول على ادوات الاختراق (سنرى لاحقا) تعقيد البرمجيات ووجود الثغرات الأمنية عدم الادراك بالمخاطر الا بعد فوات الاوان تقنيات غير آمنة الازدياد المطرد للحوسبة واستخدامه الاتصال الدائم بالانترنت والشبكات الخارجية جميع الحقوق محفوظة د. المشاري
17
أنواع المخترقون هاكرز: شخص ماهر يجرب للمتعة كراكر المجرمون
الموظفون الفاسدون التجسس الصناعي الجريمة المنظمة الحكومات الأجنبية المقاتلون المعلوماتيون Infowarriors المخترقون المبتديئون جميع الحقوق محفوظة د. المشاري
18
أمثلة لمواقع مخترقة: شركة مايكروسوفت
فمن الممكن أن يكون المهاجمون قد أقاموا أبواباً خلفية سرية للبرامج التي سيتم انتاجها في المستقبل وهو ما يضمن لهم الوصول إلى أجهزة الكمبيوتر بمختلف انحاء العالم جميع الحقوق محفوظة د. المشاري
19
أمثلة لمواقع مخترقة: وكالة المخابرات المركزية الأمريكية
الموقع المخترق الموقع الأصلي جميع الحقوق محفوظة د. المشاري
20
أمثلة لمواقع مخترقة: وزارة العدل الأمريكية
الموقع المخترق الموقع الأصلي جميع الحقوق محفوظة د. المشاري
21
المحتويات مقدمة لأمن المعلومات
التهديدات التي تواجهها المعلومات ونظم المعلومات ما هو الخطر Risk؟ وسائل الحماية آلية عمل أمن المعلومات واجبات أساسية أساسيات أمن المعلومات في الحكومة الالكترونية جميع الحقوق محفوظة د. المشاري
22
التهديدات التي تواجهها نظم المعلومات
تهديدات طبيعية الزلازل البراكين الحرائق العواصف الانزلاق الطيني الفيضانات جميع الحقوق محفوظة د. المشاري
23
التهديدات التي تواجهها نظم المعلومات...
تهديدات من صنع الانسان الأخطاء البشرية (إدخال بيانات غير صحيحة، حذف بيانات، تخزين بيانات بصورة غير صحيحة، الخ) انتهاك الملكية الفكرية (الأسرار التجارية، حماية حقوق المؤلف-قرصنة البرمجيات، العلامات التجارية، وبراءة الاختراع) التجسس الانساني والصناعي الابتزاز Extortion and Blackmail تخريب الممتلكات العامة والخاصة السرقة والسرقة الالكترونية جميع الحقوق محفوظة د. المشاري
24
التهديدات التي تواجهها نظم المعلومات...
مخاطر وتهديدات من صنع الانسان البرمجيات الخبيثة Malware مثل الفيروسات والديدان وأحصنة الطراودة اختلال مستوى الخدمات (مثل خلل التيار الكهربائي، خلل في الدائرة الموصلة لمزود خدمة الانترنت، الخ) خلل المعدات والأجهزة المستخدمة في نظم المعلومات (الاسطوانات الصلبة، الخادمات، الخ) خلل البرمجيات المستخدمة في نظم المعلومات (ويندوز، شئون الموظفين، الادارة المالية) تقادم الأجهزة والبرمجيات جميع الحقوق محفوظة د. المشاري
25
التهديدات التي تواجهها نظم المعلومات ...
أخطاء المستخدمين 55% 4% الفيروسات المخترقين الخارجيين 2% 20% 10% 9% الموظفين المختلسين تهديدات طبيعية مثل الحرائق والزلازل الموظفين المستاءين * Computer Security Institute جميع الحقوق محفوظة د. المشاري
26
المحتويات مقدمة لأمن المعلومات
التهديدات التي تواجهها المعلومات ونظم المعلومات ما هو الخطر Risk؟ وسائل الحماية آلية عمل أمن المعلومات واجبات أساسية أساسيات أمن المعلومات في الحكومة الالكترونية جميع الحقوق محفوظة د. المشاري
27
الخطر = )قيمة المعلومات × الثغرة × التهديد(
ما هو الخطر Risk؟ التهديد Threat: هو أي نوع من أنواع التهديدات الطبيعية (الزلازل) أو التهديدات من صنع الانسان (الأخطاء البشرية والتجسس الانساني والصناعي) الثغرة الأمنية Vulnerability: هي نقاط الضعف في النظام مثل عدم وجود برنامج مضاد للفيروسات أو عدم وجود حراسة أمنية للمبنى أو عدم وجود إجراءات لانهاء خدمات موظف يقع الخطر والذي يحدث ضرر بنظم المعلومات عندما يستغل التهديد الثغرة الأمنية قيمة المعلومات: يجب تقدير قيمة معينة للمعلومات، فمثلاً معلومات البريد الالكتروني أقل قيمة من معلومات المواطنين الخطر = )قيمة المعلومات × الثغرة × التهديد( جميع الحقوق محفوظة د. المشاري
28
ما هو الخطر Risk؟ ... وسيلة الحماية Countermeasure: تستخدم ، سواء كانت تقنية أو إجرائية أو مادية، للتخفيف من وقوع الخطروليس منعه مثال: تهديد = فيروس ثغرة أمنية = عدم تحديث البرنامج المضاد للفيروسات الخطر = يقوم الفيروس بمسح الاسطوانة الصلبة قيمة المعلومات = جميع ملفات الوورد تم مسحها وسيلة الحماية = تحديث البرنامج المضاد للفيروسات دورياًًً جميع الحقوق محفوظة د. المشاري
29
ما هو الخطر Risk؟ ... لابد من تواجد الثغرات مع التهديدات
ينتج عنه التهديد يستغل الثغرة الأمنية الخطر يسبب تلف تقييم الاجراء المضاد قيمة المعلومات وسيلة حماية لابد من تواجد الثغرات مع التهديدات لا يمكن التصدي لجميع التهديدات لا يوجد خطر إذا لم يكن هناك تهديد لا يوجد خطر إذا لم هناك ثغرة جميع الحقوق محفوظة د. المشاري
30
ما هو الخطر Risk؟ ... التهديدات على أركان أمن المعلومات:
التهديد على السرية: التصنت التهديد على سلامة المعلومات من التعديل: الفيروسات والديدان التهديد على توفر نظم المعلومات وعدم توقفها: انقطاع التيار الكربائي التهديد على تحديد هوية المستخدم: التزييف Spoofing التهديد على إثبات هوية المستخدم: سرقة كلمة السر جميع الحقوق محفوظة د. المشاري
31
المحتويات مقدمة لأمن المعلومات
التهديدات التي تواجهها المعلومات ونظم المعلومات ما هو الخطر Risk؟ وسائل الحماية آلية عمل أمن المعلومات واجبات أساسية أساسيات أمن المعلومات في الحكومة الالكترونية جميع الحقوق محفوظة د. المشاري
32
Administrative Safeguards Technical Safeguardsذ
وسائل الحماية وسائل الحماية الإدارية Administrative Safeguards وسائل الحماية الفنية Technical Safeguardsذ وسائل الحماية المادية Physical Safeguards جميع الحقوق محفوظة د. المشاري
33
وسائل الحماية جميع الحقوق محفوظة د. المشاري
34
وسائل الحماية الإدارية
إعداد وصياغة سياسات أمن المعلومات Information Security Policy تشريعات داخل المنشأة لتنظيم أمن المعلومات وتحديد المسئوليات والأدوار تحدد ما هو مسموح به وما هو غير مسموح به للتعامل مع المعلومات ومع نظم المعلومات من أمثلتها: اتفاقية صلاحيات المستخدم وقبول استخدام النظام الخصوصية كلمات المرور البريد الالكتروني وغيرها... جميع الحقوق محفوظة د. المشاري
35
وسائل الحماية الإدارية ...
حماية الأشخاص التوعية بأمن المعلومات إجراءات قبول موظف جديد إجراءات إنهاء خدمات موظف تصنيف المعلومات ونظم المعلومات من حيث سريتها وحساسيتها جميع الحقوق محفوظة د. المشاري
36
وسائل الحماية المادية الكاميرات CCTV وأجهزة الانذار والحراسات
الجدران والأسوار والمفاتيح بطاقات الموظفين أجهزة اكتشاف الأصوات والحركة الأنوار أجهزة الدخول ”المصيده“ جميع الحقوق محفوظة د. المشاري
37
وسائل الحماية الفنية تقنيات تحديد وإثبات هوية المستخدم وصلاحياته ومسئولياته الرقم وكلمة السر التقنيات الحيوية Biometric مثل بصمة اليد، عروق الشبكة Retina والقزحية iris وشكل اليد والتوقيع اليدوي ، ونبرات الصوت ، الخ التشفير الجدران النارية التدقيق Auditing واجهات التطبيق المقيده البرامج المضادة للفيروسات AV الحفظ الاحتياطي التوقيع الالكتروني الشهادات الرقمية جميع الحقوق محفوظة د. المشاري
38
المحتويات مقدمة لأمن المعلومات
التهديدات التي تواجهها المعلومات ونظم المعلومات ما هو الخطر Risk؟ وسائل الحماية آلية عمل أمن المعلومات واجبات أساسية أساسيات أمن المعلومات في الحكومة الالكترونية جميع الحقوق محفوظة د. المشاري
39
آلية عمل أمن المعلومات المنع التقيــيم الإستجابة الاكتشاف
جميع الحقوق محفوظة د. المشاري
40
المحتويات مقدمة لأمن المعلومات
التهديدات التي تواجهها المعلومات ونظم المعلومات ما هو الخطر Risk؟ وسائل الحماية آلية عمل أمن المعلومات واجبات أساسية أساسيات أمن المعلومات في الحكومة الالكترونية جميع الحقوق محفوظة د. المشاري
41
واجبات أساسية: البرامج المضادة للفيروسات
تركيب برنامج مضاد للفيروسات تحديث برنامج مضاد الفيروسات عدم فتح ملحقات البريد الإلكتروني بدون التأكد من هوية المرسل ومحتوى الملف (*.exe, *.bat, *.com, *.pif, *.scr) تحديث نظام التشغيل ومتصفح الانترنت عدم تركيب حافظات للشاشة وألعاب من مصادر غير معروفة عدم استخدام أقراص مرنة أو مضغوطة من مصادر غير موثوقة جميع الحقوق محفوظة د. المشاري
42
واجبات أساسية: كلمات المرور
يفضل أن تكون 6 خانات على الأقل تحتوي على أرقام وحروف ورموز خلط وتشكيل مظهر الحروف مثل kAf23# سهلة التذكر (عدم النسيان ولعدم كتابتها) تغيير كلمة السر بشكل دوري تجنب استناد كلمة السر إلى معلومات شخصية يمكن تخمينها استخدام كلمات ومفردات في القاموس استخدام الأسماء الدارجة كتابة كلمة السر في ورقة ادخال كلمة السر أمام الآخرين جميع الحقوق محفوظة د. المشاري
43
واجبات أساسية: كلمات المرور :
كسر كلمات المرور جميع الحقوق محفوظة د. المشاري
44
واجبات أساسية: الهندسة النفسية Social Engineering
الناس يثقون بالآخرين يمكن اختراق الأمن بسبل غير تقنية الهندسة النفسية هي أن تخدع شخص بأخذك معلومات مهمة لا توجد تقنية تمنع هذا الشيء قد تستخدم في شؤون الحياة عموما طرق الهندسة النفسية الهاتف البريد الالكتروني وجها لوجه عبر صفحات الانترنت جميع الحقوق محفوظة د. المشاري
45
المحتويات مقدمة لأمن المعلومات
التهديدات التي تواجهها المعلومات ونظم المعلومات ما هو الخطر Risk؟ وسائل الحماية آلية عمل أمن المعلومات واجبات أساسية أساسيات أمن المعلومات في الحكومة الالكترونية جميع الحقوق محفوظة د. المشاري
46
أساسيات أمن المعلومات في الحكومة الالكترونية: بصمة الملف Hash and MAC
بصمة الملف: طول محدد 21، 24 حرف الرسالة أو الملف تشهد كتابة العدل الأولى أن المواطن محمد صالح قد تقدم بطلب ..... ق م رزصت ي ن رؤت س ض غ ع خ 9 * ع لأ ر ءظ بصمة الملف Hash ق م رزصت ي ن رؤت س ض غ ع خ 9 * ع لأ ر ءظ تشهد كتابة العدل الأولى أن المواطن محمد صالح قد تقدم بطلب ..... بصمة الملف مع مفتاح MAC الخدمات: سلامة البيانات التأكد من هوية المرسل مفتاح موجود عند المرسل والمستقبل يستخدم لحساب بصمة الملف Key جميع الحقوق محفوظة د. المشاري
47
أساسيات أمن المعلومات في الحكومة الالكترونية: المفاتيح العامة للتشفير Public Key Cryptography
مفتاحان: الأول عام Public ومتوفر للجميع الثاني خاص Private ومعروف فقط للمرسل إذا استخدم المفتاح العام للتشفير فيجب استخدام المفتاح الخاص لفك التشفير إذا استخدم المفتاح الخاص للتشفير فيجب استخدام المفتاح العام لفك التشفير لا يمكن أن يتم استنتاج الخاص بمعرفة المفتاح العام جميع الحقوق محفوظة د. المشاري
48
أساسيات أمن المعلومات في الحكومة الالكترونية: المفاتيح العامة للتشفير Public Key Cryptography ...
المفتاح العام للمستقبل تشهد كتابة العدل الأولى أن المواطن محمد صالح قد تقدم بطلب ..... Key المفتاح الخاص للمستقبل الرسالة فك التشفير Decrypt تشفير Encrypt الرسالة المرسل المستقبل الخدمات: السرية ، التأكد من هوية المستقبل جميع الحقوق محفوظة د. المشاري
49
أساسيات أمن المعلومات في الحكومة الالكترونية: المفاتيح العامة للتشفير Public Key Cryptography...
المفتاح العام بالمستقبل Key المفتاح العام للمرسل Key المفتاح الخاص بالمستقبل Key المفتاح الخاص للمرسل Key فك التشفير Decrypt فك التشفير Decrypt تشفير2 Encrypt تشفير1 Encrypt الرسالة الرسالة المستقبل المرسل الخدمات: السرية ، التأكد من هوية المرسل، التأكد من هوية المستقبل جميع الحقوق محفوظة د. المشاري
50
أساسيات أمن المعلومات في الحكومة الالكترونية: التوقيع الرقمي Digital Signature
تمثيل هوية الشخص أو المنشأة بشكل الكتروني ارسال هذا التمثيل مع الرسالة المراد ارسالها الخصائص المطلوبة: شخص واحد فقط يقوم بانشاؤه الحاقه مع الملفات عند انشاؤها باستمرار سهل الانشاء، أي شخص يستطيع التحقق من صحته، استحالة التزوير جميع الحقوق محفوظة د. المشاري
51
أساسيات أمن المعلومات في الحكومة الالكترونية: إنشاء التوقيع الرقمي Digital Signature
البصمة Hash تشهد كتابة العدل الأولى أن المواطن محمد صالح قد تقدم بطلب ..... ب رؤزء3ق7ض3ؤس1ع المفتاح الخاص للمرسل Key تشفير بصملة ملف مشفرة ت0ن%رؤض6ز:“؟ة5ةغ8 ارسال تشهد كتابة العدل الأولى أن المواطن محمد صالح قد تقدم بطلب ..... رسالة موقعة الكترونياً جميع الحقوق محفوظة د. المشاري
52
أساسيات أمن المعلومات في الحكومة الالكترونية: التحقق من صحة التوقيع الرقمي
المفتاح العام للمرسل Key بصملة ملف مشفرة ت0ن%رؤض6ز:“؟ة5ةغ8 فك التشفير بصملة ملف تشهد كتابة العدل الأولى أن المواطن محمد صالح قد تقدم بطلب ..... ب رؤزء3ق7ض3ؤس1ع مقارنة رسالة موقعة الكترونياً البصمة Hash تشهد كتابة العدل الأولى أن المواطن محمد صالح قد تقدم بطلب ..... ب رؤزء3ق7ض3ؤس1ع جميع الحقوق محفوظة د. المشاري
53
أساسيات أمن المعلومات في الحكومة الالكترونية: التوقيع الرقمي
فوائده: لا يستطيع المرسل أن ينكر ارسال الملف لا يستطيع المستقبل أن يزعم أنه استقبل ملف آخر يستخدم للتأكد من صحة البرمجيات التي يتم تنزيلها من شبكة الانترنت معاييره الدولية DSA (يستخدم SHA-1 لايجاد بصمة الملف) RSA ELGAMAL جميع الحقوق محفوظة د. المشاري
54
الخلاصة لا يوجد أمن كامل في أي نظام الأمن يتناسب عكسيا مع تعقيد النظام
الأمن يتناسب عكسيا مع سهولة استخدام النظام الإحساس الخاطئ بالأمن أخطر من الإحساس الصحيح بعدم الأمن الأمن كالسلسلة، تقاس قوتها بقوة أضعف حلقة فيها. العامل البشري: اختراق البشر اسهل من اختراق الأجهزة يجب الاهتمام بتوفر المعلومات كجزء من الأمن جميع الحقوق محفوظة د. المشاري
55
في أي منشأة يمثل العنصر البشري أهم الموارد، وفي نفس الوقت هو أهم المخاطر على أمن المعلومات
شكراً لحسن الاستماع جميع الحقوق محفوظة د. المشاري
Similar presentations
