مقدمة لأمن المعلومات د.جبريل العريشي www.elm.com.sa

المحتويات مقدمة امثلة واحصاءات الجانب البشري حرب المعلومات حماية الحاسب الشخصي الخلاصة

تعريف أمن المعلومات A I C

أهمية أمن المعلومات انقطاع الكهرباء عن نيويورك عام 2003 زيادة الاعتماد على أنظمة المعلومات في إنجاز العمل. انتشار استخدام شبكات الحاسب واستخدام الانترنت لأداء الأعمال. سرعة تغير مجال التقنية المعلوماتية. تزايد عدد المخترقين ويقابلها زيادة عدد الثغرات الأمنية.

صعوبات أمن المعلومات تطوير البرامج عملية صعبة العائد المادي غير منظور الا بعد فوات الأوان تكتم الضحايا المشكلة الكبرى هي الجانب البشري

المحتويات مقدمة امثلة واحصاءات الجانب البشري حرب المعلومات حماية الحاسب الشخصي الخلاصة

تقرير الاختراقات من (CERT)

تقرير الحوادث الأمنية

مشروع فخ العسل عند وضع خادم جديد على الشبكة (بدون تحصين)، يتم اختراقه بعد 72 ساعة تقريباً تم اختراق windows98 خمس مرات خلال اربعة ايام  الرقم القياسي لاختراق نظام خادم (منذ ربطه بالشبكة): ربع ساعة!!!

أمثلة مواقع مخترقة (شركة مايكروسوفت) فمن الممكن أن يكون المهاجمون قد أقاموا أبواباً خلفية سرية للبرامج التي سيتم انتاجها في المستقبل وهوما يضمن لهم الوصول إلى أجهزة الكمبيوتر بمختلف انحاء العالم

أمثلة مواقع مخترقة الموقع المخترق الموقع الأصلي

أمثلة مواقع مخترقة الموقع المخترق الموقع الأصلي

سهولة الاختراق High Low Tools Attackers Network Administrators 1980 1985 1990 1995 1998 password guessing self-replicating code password cracking exploiting known vulnerabilities disabling audits back doors hijacking sessions scanners/sweepers sniffers packet spoofing GUI automated probes/scans denial of service www attacks Tools Attackers Intruder Knowledge Attack Sophistication “stealth” / advanced scanning techniques burglaries network mgmt. diagnostics network element Trojans Network Administrators Firewall IDS Floodnet 2000 Trojan scan IRT/IPC

مصدر المشكلة الاستخدام الأمن قلة الوعي الأمني. قلة الخبراء. سهولة استخدام والحصول على ادوات الاختراق. تعقيد البرمجيات ووجود الثغرات الأمنية عدم الادراك بالمخاطر الا بعد فوات الاوان تقنيات غير آمنة الازدياد المطرد للحوسبة واستخدامه الاتصال الدائم بالانترنت والشبكات الخارجية تعارض أمن المعلومات مع سهولة الاستخدام الاستخدام الأمن

مثال:الحرائق والزلازل. مصادر الاختراقات* أخطاء المستخدمين 55% 4% المخترقين الخارجيين الفيروسات 2% 20% 10% الموظفين المختلسين 9% مشاكل الأمن الحسي. مثال:الحرائق والزلازل. الموظفين المستاءين * Computer Security Institute

المحتويات مقدمة امثلة واحصاءات الجانب البشري حرب المعلومات حماية الحاسب الشخصي الخلاصة

قصص عن الجانب البشري الهندسة النفسية يعتبر موقع ebay من أشهر مواقع البيع على الانترنت , حيث قام مجموعة من المخربين بإرسال بريد إلكتروني لمستخدمي الموقع تطلب تحديث معلوماتهم بالدخول على الوصلة الموضحة في آخر الرسالة :

قصص عن الجانب البشري... عند الضغط على الوصلة تظهر لنا صفحة أخرى يكون شريط العنوان فيه كالتالي بينما وصلة الموقع الأصلي هي

قصص عن الجانب البشري... سيتم انتقالنا الى موقع شبيه بموقع ebay وسيتم طلب ادخال اسم المستخدم لعملاء الموقع وكذلك الرقم السري وبهذه الآلية سيتم تحويل اسماء المستخدمين وأرقامهم السرية المستخدمة في الموقع إلى المخربين .

قصص عن الجانب البشري... لقد حاول المخربون إيهام مستخدمين موقع ebay ببعض العبارات لجعل المستخدمين يتأكدون من أمن الموقع وكذلك جديته في عملية تحديث المعلومات يجب الحذر عند التعامل مع المواقع التي تطلب رقم البطاقة الائتمانية حيث كل من دخل الموقع المشابه لموقع ebay ووضع رقم بطاقته الائتمانية بتأكيد سيتم اختلاسها

قصص اخرى عن الجانب البشري... Yellow sticks are most dangerous threat to security. A high school student was able to change his grades by noticing the phone number, user id, and password written on a stick note besides the registreation pc. Rogue employee of a local ISP inserted a time bomb in the software.

الهندسة النفسية social engineering

الابواب الخلفية قصة زيروكس

جرائم الحاسب والجرائم التقليدية Automation Working from a distance Spread of crime methodology

أنواع المخترقين هاكرز: شخص ماهر يجرب للمتعة المجرمون الموظفون الفاسدون التجسس الصناعي الجريمة المنظمة المقاتلون المعلوماتيون Infowarriors

المحتويات مقدمة امثلة واحصاءات الجانب البشري حرب المعلومات حماية الحاسب الشخصي الخلاصة

حرب المعلومات "Airplanes are interesting toys but of no military value." Marechal Ferdinand Foch, Professor of Strategy, Ecole Superieure de Guerre.

حرب المعلومات حرب المعلومات تعني الحرب، وليست مجرد الاختراق أو التخريب أو التنصت. استخدام المعلومات وتقنية المعلومات كأسلحة على مستوى واسع ضد أهداف معلوماتية عند الرغبة (وليس عند القدرة)

أهداف ممكنة لحرب المعلومات النظام البنكي المحطات الكهربائية شبكات الهاتف ابراج مراقبة الطيران القطارات وعربات الأنفاق الشبكات العسكرية

اسلحة حرب المعلومات TEMPEST برامج القنابل الموقوته برامج التنصت تعطيل الأجهزة عن بعد- Electromagnetic Pulse Bombs الفيروسات والدود ثغرات البرامج والشبكات

المحتويات مقدمة امثلة واحصاءات الجانب البشري حرب المعلومات حماية الحاسب الشخصي الخلاصة

خطوات حماية الجهاز الشخصي اقفل الشاشة في حالة مغادرة المكتب ولو لدقائق فعّل حافظة الشاشة مع خيار كلمة السر اسأل قسم الحاسب قبل أن تقوم بتركيب أي برنامج جديد قم بنسخ نسخة احتياطية من ملفاتك المهمة حافظ على تحديث برنامج مضاد الفيروسات تركيب جدار ناري كن حذرا في التعامل مع الملفات القادمة من الانترنت

فيروس سلامر انتشر في العالم خلال 10 دقائق. في البداية، كان عدد الأجهزة المصابة يتضاعف كل تسع ثوان. تمكن الفيروس من تفحص 55 مليون عنوان في الثانية

حلول الفيروسات تركيب برنامج مضاد للفيروسات تحديث برنامج مضاد الفيروسات عدم فتح ملحقات البريد الإلكتروني بدون التأكد من هوية المرسل ومحتوى الملف تحديث نظام التشغيل ومتصفح الانترنت عدم تركيب حافظات للشاشة وألعاب من مصادر غير معروفة عدم استخدام أقراص مرنة أو مضغوطة من مصادر غير موثوقة

النسخ الاحتياطي مقاومة الحوادث حافظ على نسخ احتياطية من الملفات المهمة لا تترك النسخة الاحتياطية بجانب جهازك الشخصي حافظ على النسخ في مكان آمن اكتب تاريخ ونوع كل قرص من النسخ الاحتياطية اختبر النسخ الاحتياطية بشكل دوري وتأكد من سلامتها يجب أن تراعي الحرارة والرطوبة والعوامل الأخرى التي قد تأثر على الأقراص

الجدار الناري قائمة البرامج إعدادات الأمن

كلمات المرور: يفضل أن تكون 6 خانات على الأقل تحتوي على أرقام وحروف ورموز خلط وتشكيل مظهر الحروف مثل kAf23# سهلة التذكر (عدم النسيان ولعدم كتابتها) تغيير كلمة السر بشكل دوري

كلمات المرور: تجنب استناد كلمة السر إلى معلومات شخصية يمكن تخمينها استخدام كلمات ومفردات في القاموس استخدام الأسماء الدارجة كتابة كلمة السر في ورقة ادخال كلمة السر أمام الآخرين

كلمات المرور: أمثلة أمثلة جيدة hog666 rPg@21 747F22 kHaL22B Adv8ance أمثلة سيئة suliman june 9876 mother jungle windows mymother yourcomputer لم تعد كلمات جيدة الآن

كلمات المرور: كسر كلمات المرور

أخطاء شائعة فتح ملحقات البريد الإلكتروني بدون التأكد من هوية المرسل ومحتوى الملف عدم تحديث نظام التشغيل ومتصفح الانترنت تركيب حافظات للشاشة وألعاب من مصادر غير معروفة عدم نسخ البيانات Backup، واختبار النسخة الاحتياطية استخدام المودم أثناء الارتباط بالشبكة المحلية

اختراق البشر اسهل من اختراق الأجهزة الخلاصة العامل البشري: اختراق البشر اسهل من اختراق الأجهزة

الأسئلة شكرا لكم

حماية الوثائق الإلكترونية استبدال طرق الحماية التقليدية بطرق الحماية الإلكترونية

حماية الوثائق الإلكترونية تكامل وصحة الوثيقة: التأكد من أن محتويات الوثيقة سليمة ولم يتم العبث بها إعطاء صلاحية تغيير محتوى الوثيقة للأشخاص المخولين فقط أدوات إلكترونية للتحقق من محتوى الوثيقة: لوغاريتمات الهاش (Hashing Algorithms) التوقيع الإلكترونية (Digital Signature)

لوغاريتمات الهاش (Hashing Algorithms) خلق ملخص بحجم ثابت لمحتويات الوثيقة باستخدام إجراءات معيارية أي تغيير لمحتوى الوثيقة يؤدي لتغير الملخص الناتج كلية معرفة ملخص الرسالة لا يعطي فرصة للمخترق بمعرفة الرسالة الأصل (إجراء وحيد الطريق) أمثلة: MD5

لوغاريتمات الهاش (Hashing Algorithms) إذا استطاع المهاجم الوصول للوثيقة وتغيير محتواها فإنه قد يصل إلى ملخص الرسالة ويقوم بتغييره!! الحل الأمثل استخدام تقنية التوقيع الإلكتروني

التوقيع الإلكتروني يمتلك مؤلف الوثيقة مفتاح عام ومفتاح سري خاص يستخدم المفتاح السري الخاص لتشفير ملخص الوثيقة يستخدم القارئ المفتاح العام للمؤلف للحصول على الملخص الأصل، وبتطبيق لوغاريتم الهاش يحصل على ناتج تطبيقه على الوثيقة ومن ثم يقارن الملخصين إذا تطابق الملخصين فالوثيقة صحيحة

السرية يسمح للمخولين فقط الاطلاع على مكونات الوثيقة طرق الحماية: التوثق من هوية المستخدم صلاحيات المستخدم التعمية

التوثق التأكد من هوية المستخدم يتم بعدة أساليب شيء ما يعرفه المستخدم (اسم مستخدم وكلمة سر) شيء ما يمتلكه المستخدم (الكروت الذكية) شيء ما يتصف به المستخدم (البصمة) في بعض الأحيان يتم استخدام أكثر من طريقة للتوثق

صلاحيات المستخدم قائمة الصلاحيات لمحتوى النظام صلاحيات المستخدم صلاحيات الوثيقة إنشاء علاقة ربط بين المعلومات والمستخدمين

التعمية البيانات والوثائق أثناء نقلها عبر الشبكات البيانات في أنظمة التخزين ضمان سرية الوثائق: من المتلصصين سرقة أنظمة التخزين

توفر الوثائق ضمان الوصول للوثائق حال الحاجة إليها يتأثر توفر الوثائق بنوعين من الهجمات: الحرمان من الخدمات فقدان الوثائق بسبب الحوادث التشغيلية أو الطبيعية (الحرائق أو فشل الأنظمة إلخ)

توفر الوثائق تخطيط الطوارئ الذي قد يتضمّن تخطيط إستئناف العمل تخطيط التغلب على آثار الكارثة استحداث الموقع البديلة الجاهزة للتشغيل البيئة الموزّعة تأمين النسخ الاحتياطية

سياسات تصنيف المعلومات تصنيف الوثائق بحسب السرية والحساسية تنظيم نظم حماية المعلومات لتأمين مختلف مستويات الحماية بحسب تصنيف الوثائق ضمان عدم الخلط بين الوثائق ومستوى الحماية المطلوبة استحداث نظم تشفير قياسية على المستوى الوطني

الخلاصة لا يوجد أمن كامل في أي نظام الإحساس الخاطئ بالأمن أخطر من الإحساس الصحيح بعدم الأمن الأمن كالسلسلة، تقاس قوتها بقوة أضعف حلقة فيها. العامل البشري: اختراق البشر اسهل من اختراق الأجهزة يجب الاهتمام بتوفر المعلومات كجزء من الأمن