الدرس الأول: أمن المعلومات.
س1: عرف أمن المعلومات؟ الوسائل والأدوات والإجراءات اللزم توفيرها لضمان حماية المعلومات من الأخطار الداخلية والخارجية. وبالتالي ضمان: سرية وتكامل المعلومات وعدم انقطاع البيانات التي تؤدي إلى توقف العمل.
س2: ما هي عناصر أمن المعلومات الواجب توافرها لضمان الحماية الكافية للمعلومات؟ 1. السرية والموثوقية 2. التكاملية وسلامة المحتوى 3. استمرارية توفر المعلومات أو الخدمة 4. عدم انكار التصرف المرتبط بالمعلومات ممن قام به.
السرية والموثوقية.
س3: عرف السرية والموثوقية؟ التأكد من أن المعلومات لا تكشف ولا يطلع عليها من قبل الأشخاص الغير مخولين.
س4: ما هي درجات السرية؟ 1. سري: للوثائق والمعلومات التي تتعلق بالأفراد، كالتقارير السرية. 2. سري جداً: للوثائق والمعلومات التي تتعلق بموضوعات يضر إفشاؤها بالمؤسسة أو الشركات أو المؤسسات الحكومية. مثل التقارير التي لا تزال قيد البحث. 3. سري للغاية: للوثائق والمعلومات التي يضر إفشاؤها بمصالح الدولة. مثل المسائل العسكرية والدبلوماسية. 4. محظور الاطلاع عليه: للوثائق والمعلومات التي تتعلق بالخطط الاستراتيجية المهمة. و أسئلة الامتحانات.
التكاملية وسلامة المحتوى.
س5: عرف التكاملية وسلامة المحتوى؟ التأكد من أن محتوى المعلومات صحيح ولم يتم تعديله أو تدميره أو العبث به في أي مرحلة من مراحل التبادل أو المعالجة.
استمرارية توفر المعلومات أو الخدمة
س6: عرف استمرارية توفر المعلومات أو الخدمة؟ التأكد من: استمرار عمل النظام المعلوماتي واستمرار القدرة على التفاعل مع المعلومات و تقديم الخدمة لمواقع المعلومات، وأن المستخدم لن يتعرض إلى منع الاستخدام أو الدخول إلى النظام.
عدم إنكار التصرف المرتبط بالمعلومات ممن قام به.
س7: عرف عدم إنكار التصرف المرتبط بالمعلومات ممن قام به؟ ضمان عدم إنكار الشخص المتصل بالمعلومات بقيامه بتصرف معين، وعدم قدرة مستلم الرسالة على إنكاره لاستلامها.
الدرس الثاني: مخاطر نظم المعلومات.
ملاحظة: تبدأ عملية تحديد المخاطر بتصور كل خطر قد يمس نظم المعلومات ابتداءً من : فصل الكهرباء عن الاجهزة. إلى مخاطر الاختراق. إلى أخطاء المستخدمين وإساءة استعمالهم لكلمات المرور الخاصة بهم
س1: ما هي المواطن أو الأمور المستهدفة من قبل المخاطر والاعتداءات في بيئة نظم المعلومات؟ 1. الأجهزة. 2. البرامج. 3. المعطيات. 4. الاتصالات.
الأجهزة:
س2: ماذا نعني بالأجهزة؟ المعدات والأدوات المادية كافة التي تتكون منها النظم.
س3: أذكر ثلاثة أمثلة على المعدات؟ الشاشات و وسائط التخزين والطابعات.
س4: ما هي أكثر المخاطر التي تواجه المعدات؟ الكوارث الطبيعية ومشكلات الكهرباء.
البرامج.
س5: ما المقصود بالبرامج؟ هي الأوامر المرتبة في نسق معين لإنجاز الأعمال وهي إما مخزنة في النظام أو مستقلة عنه.
المعطيات.
س6: أ- عرف المعطيات؟ هي العصب الرئيسي لنظم المعلومات وتشمل البيانات المدخلة والمعلومات المستخرجة بعد المعالجة
ب- على ماذا تشتمل المعطيات؟ 1. البيانات المدخلة 2. المعلومات المستخرجة. بعد المعالجة
ملاحظات: 1. قد تكون المعطيات في طور الإدخال أو الإخراج أو التخزين أو التبادل بين النظم عبر الشبكات.. 2. تعتبر المعطيات العنصر الأكثر استهدافاً. والعصب الرئيسي لنظم المعلومات. 3. قد تخزن داخل النظام أو على وسائط تخزين خارجية.
الاتصالات: ( تشمل شبكات الاتصال ) س7: ماذا نعني بالشبكات؟شبكات الاتصال التي تربط الأجهزة التقنية بعضها ببعض محلياُ أو إقليمياً أو دولياً. أنواع المخاطر التي تتعرض لها نظم المعلومات. ملاحظة: يعتبر الفرد محور المخاطر سواء أكان مستخدماً أو تقنياً له علاقة بالنظام. س1: أذكر أهم المسائل التي يُعنى بها نظام الأمن الشامل؟ 1. إدراك الشخص حدود صلاحياته. 2. إدراكه لآليات التعامل مع الخطر. 3. سلامة الرقابة على أنشطته في حدود احترام حقوقه القانونية.
س2: ما هي أنواع المخاطر التي تتعرض لها نظم المعلومات؟ 1. مخاطر داخلية : هي مخاطر داخل نظام المعلومات. 2. مخاطر خارجية. هي مخاطر خارج نظام المعلومات.
أولاً: المخاطر الداخلية. س1: أذكر أربعة أمثلة للأخطار الداخلية؟ 1. الأخطاء البشرية. 2. خلل في المعدات. 3. أخطاء في البرمجيات. 4. أخطاء في البيانات. 5. نقاط الضعف أو الثغرات
1. الأخطاء البشرية. ملاحظات: • تعد من أخطر التهديدات التي تهدد نظم المعلومات. • من أساليب التهديدات البشرية ما هو مقصود وغير مقصود من المخولين وغيرهم.
س1: كيف يمكن للمسؤولين أن يقللوا من الأخطاء البشرية؟ أذكر ثلاثة إجراءات من الإجراءات اللازم اتباعها لتجنب الأخطاء البشربة؟
1. أن يكون الوصول إلى المعلومات مبنياً على أساس الصلاحيات. 2. إيقاف حساب المستخدمين الذين يذهبون في إجازة. 3. إلغاء حساب من يترك العمل.
س2: أذكر خمسة أمثلة على أهم( أتواع ) المخاطر البشرية التي قد تتعرض لها نظم المعلومات؟ 1. التخريب المتعمد للبرامج والأجهزة. 2. سرقة موجودات الحاسوب من اجهزة وبرامج وبيانات. 3. الاحتيال والتلاعب وإساءة الاستخدام. 4. الاستخدام غير المخول للنظم والإفصاح عن معلومات العملاء 5. خطأ في برمجة النظم وتصميم قاعدة البيانات. 6. الإهمال المقصود وغير المقصود في ترك البيانات في متناول الأيدي 7. أخطاء إدارة النظام وهي الاخطاء التي تحدث أثناء تركيب أو إدارة أو تشغيل نظم المعلومات والحاسوب 8. خطأ مشغل الحاسوب الشخصي. وذلك بشطب الملفات بطريقة خاطئة أو عدم الاحتفاظ بنسخ احتياطية
2. خلل في المعدات س1: ما هي أهم الأعطال التي تتضمنها الخلل في المعدات؟ 1. أعطال أجهزة الحاسوب. 2. أعطال الطرفيات ووسائط الربط. 3. عدم توافق القطع مع بعضها البعض.
س2: أذكر أهم الأسباب التي تؤدي إلى تعطل المعدات؟ 1. مشكلات الكهرباء. 2. التكييف والتهوية والرطوبة والتدفئة. 3. تسرب السوائل.
س3: من أهم الأعطال التي تتضمنها الخلل في المعدات عدم توافق المعدات مع بعضها البعض، أعط مثالاً على ذلك. تبين أن استخدام بطارية سانيو في جهاز إنتل قد أدى إلى التسبب بخلل في دوائره مما أدى إلى اشتعال النار.
3. أخطاء في البرمجيات س1: علل: هناك أخطاء محتملة من البرمجيات تؤدي إلى نتائج غير متوقعة وغير مطلوبة. لأنه لا يوجد هناك طريقة مؤكدة تثبيت أن البرنامج يعمل بدقة متناهية تحت كل الظروف.
س2: أذكر مثالاً على خطأ غير متوقع قد يحدث في البرمجيات؟ مثل مشكلة الهوامش التي تحدث عند استخدام برنامج ( MS OFFICE 2000 )، حيث يتم تحديد هوامش معينة للصفحة والطباعة لا تمون كما تم تحديده.
راجع هل تعلم صفحة 316
4. أخطاء في البيانات. س1: علل: تعتمد صحة المعلومات على صحة البيانات التي يتم إدخالها للنظام ؟ لأن المعلومات التي نحصل عليها من نظم المعلومات تأتي من معالجة البيانات التي تم إدخالها.
س2: أعط مثالاً على خطأ قد يحصل في المعلومات بسبب خطأ في إدخال البيانات؟ أخطأ موظف في سوق نيويورك في إدخال البيانات ، حيث أخطأ في إدخال طلب البيع، فظهر رقم المبلغ مكان عدد الأسهم المطلوب بيعها وكان رقماً كبيراً ( 11 مليون ). فأدى ذلك إلى خسارة الشركة الوسيطة مليون دولار.
مشاركة ( 8 – 3 ) صفحة 316 يشير الاختصار GIGO إلى Garbage in Garbage out أي في حال إدخال بيانات خاطئة فإننا سنحصل على بيانات خاطئة والعكس صحيح.
5. نقاط الضعف أو الثغرات س1: وضح المقصود بنقاط الضعف والثغرات؟ نقطة أو موقعاً أو عنصراً في النظام يحتمل أن ينفذ من خلاله المعتدي أو يتحقق بسببه الاختراق.
س2: أذكر ثلاثة أمثلة تشكل نقاط ضعف وثغرات في النظام؟ 1. الأشخاص الذين يستخدمون النظام إذا لم يتم تدريبهم بشكل كاف لاستخدام النظام وحمايته. 2. الاتصال بالإنترنت إن لم يكن مشفراً. 3. الموقع المكاني للنظام إن لم يكن مجهزاً بوسائل الوقاية والحماية.
س3: وضح المقصود بالمتلصصين ( Hackers ) ؟ مبيناً أهدافه ؟ هو الشخص الذي يحصل على ميزة الدخول إلى المواقع دون امتلاكه لصلاحية تمكنه من القيام بذلك على نحو قانوني بهدف: 1. الربح. 2. التمتع الشخصي.
س4: وضح المقصود بوسائل الوقاية؟ الطريقة المتبعة لحماية النظام.
س5: أذكر أربعة أمثلة لوسائل مستخدمة كوسائل وقاية؟ 1. كلمة السر. 2. الأقفال 3. حواجز العبور. 4. وسائل الرقابة.
ثانياً: المخاطر الخارجية. س1: أذكر أربعة أمثلة للأخطار الخارجية؟ 1. مخاطر الكوارث الطبيعية. 2. جرائم الكمبيوتر والإنترنت. 3. الهعجمات ( Attacks ). 4. الفيروسات. 5. حصان طروادة ( Trojan Horse ) 6. القنابل المنطقية. ( Logical Bombs ) 7. القنابل الموقوتة. ( Timed Bombs ) 8. الديدان ( Worms )
1- مخاطر الكوارث الطبيعية س1: أذكر أمثلة على كوارث طبيعية تشكل خطراً على نظم المعلومات ؟ 1. الهزات الأرضية. 2. الزوابع. 3. الفيضانات. 4. البراكين.
ملاحظة: قد لا تكون أساليب الحماية كافية لمواجهة الكوارث الطبيعية لكنها تخفف من الأضرار المترتبة على ذلك.
2- جرائم الكمبيوتر والإنترنت. ملاحظات: لا يوجد فرق واضح بين الجريمة والفعل الغير الأخلاقي ( إساءة الاستخدام ) بسبب انتشار الإنترنت بقي الخلاف قائماً حول اعتبار الأنشطة الضارة جريمة أو سلوك غير مقبول. مثال على سلوك خاطئ: توجيه رسائل إلكترونية إعلانية بكميات كبيرة للمستخدم دون رغبته. مثال على الجريمة: إساءة الاستخدام وتخريب وشطب البيانات والبرامج والمعدات وتعطيل وسائل الاتصال بشكل مقصود.
راجع هل تعلم صفحة 317
مشاركة ( 8 – 4 ) صفحة 318 ما المعنى؟ 1. الجريمة الإلكترونية ( Cyber crime ): مختلف جرائم الحاسوب والإنترنت. 2. الإرهاب الإلكتروني ( Cyber Terrorism ): هي هجمات تستهدف نظم الحاسوب لأغراض دينية أو سياسية أو فكرية أو عرقية وتعتبر جزء من الجريمة الإلكترونية، لكنها تتميز: بأنها ممارسة لذات مفهوم الأفعال الإرهابية لكن في بيئة الحاسوب والإنترنت وعبر الأفادة من مجرمي الحاسوب 3. حرب المعلومات ( Information warfare ): مصطلح ظهر في بيئة الإنترنت للتعبير عن اعتداءات تعطيل المواقع الإنترنت وإنكار الخدمة والاستيلاء على المعطيات ويشير المصطلح( حرب ) إلى وجود هجمات وهجمات مقابلة ذات بعد سياسي أو تنافسي...إلخ.
مشاركة ( 8 – 5 ) صفحة 318 من الطرق التي يستخدمها المتلصص في تخريب المواقع الإلكترونية: 1. حجب الخدمة: الدخول عديم الفائدة إلى الموقع( من خلال إرسال عدد كبير من طلبات الارتباط ) مما يسبب حجب الخدمة عن المستخدمين. 2. شاشة مكررة: حيث يكرر المتلصص نفس الشاشة الموجودة ( مثال إعادة شاشة طلب كلمة المرور الخاصة بالدخول لموقع معين ). 3. تغيير الموقع المرتبط بعنوان الموقع الإلكتروني للمؤسسة : عند إدخال المستخدم عنوان المؤسسة يتم نقله إلى عنوان أخر.
3- الهجمات ( Attacks ). س1: وضح المقصود بالهجمات؟ هو اصطلاح لوصف الاعتداءات بنتائجها أو بموضع الاستهداف.
س2: أذكر ثلاثة أمثلة ( أشكال ) للهجمات الخارجية على نظم المعلومات؟ 1. هجمات إنكار الخدمة 2. هجمات إرهابية. 3. هجمات البرمجيات. 4. هجمات الموظفين الحاقدة. 5. الهجمات المزاحية.
مشاركة ( 8- 6 ) صفحة 319 لماذا التخريب؟ 1. أسباب مادية: تحصيل أموال من أشخاص منافسين 2. الشهرة. 3. التخريب لأجل التخريب. 4. الانتقام: موظف تم فصله من المؤسسة. 4- الفيروسات. س1: عرف الفيروسات؟ هو برنامج حاسوبي مصمم بهدف إلحاق الضرر بنظام الحاسوب.
س2: ما هي الأمور التي يجب أن تتوفر في الفيروسات لكي تتمكن من إلحاق الضرر بنظام الحاسوب؟ س2: ما هي خصائص الفيروسات؟ 1. القدرة على ربط نفسها بالبرامج الأخرى. 2. القدرة على إعادة تكرار نفسها ( التكاثر ).
س3: أين تكمن خطورة الفيروسات؟ في قدرته على الانتقال من جهاز إلى آخر بسرعة كبيرة.
س4: علل: للفايروسات قدرة على الانتقال من جهاز إلى آخر بسرعة كبيرة. التقدم الكبير في وسائل الاتصال والشبكات، مما أدى إلى سهولة وصل الأجهزة حتى على مستوى القارات.
س5: ما هي أسباب انتشار الفيروسات؟ 1. التقدم الكبير في وسائل الاتصال والشبكات 2. توافق نظم التشغيل واتباعها للمعايير. 3. قرصنة البرامج
س6: ما هي أشكال الفيروسات؟ 1. حصان طروادة. 2. القنابل المنطقية. 3. القنابل الموقوتة. 4. الديدان.
5- حصان طروادة. س1: وضح المقصود بأحصنة طروادة؟ هو جزء صغير من الشيفرة يضاف للبرمجيات ولا يخدم الوظائف العادية التي صممت من أجلها هذه البرمجيات. هي برامج تبدو ظاهرياً مفيدة ولكنها تؤدي عملاً تخريبياً للنظام.
س2: أي تكمن خطورة أحصنة طروادة؟ في أن أن النظام لا يشعر بوجودها حتى تحين اللحظة المحددة لها لتؤدي دورها التخريبي.
س3: أذكر مثالاً علىأحصنة طروادة؟ ( Troj/Danmec-a ).
6- القنابل المنطقية. س1: وضح المقصود بالقنبلة المنطقية؟ هي أحد انواع أحصنة طروادة، وتصمم بحيث تعمل عند حدوث ظروف أو تنفيذ أوامر معينة.
س2: أذكر أمثلة لحدوث ظروف أو تنفيذ أوامر تؤدي إلى تفعيل القنابل المنطقية؟ 1. بلوغ الموظفين عدداً معيناً. 2. رفع اسم واضع القنبلة من كشف الرواتب.
س3: ما هي أهم آثار القنبلة المنطقية؟ 1. تخريب بعض النظم 2. شطب البيانات 3. تعطيل النظام عن العمل.
7- القنبلة الموقوتة. س1: وضح المقصود بالقنبلة الموقوتة؟ مبيناً ذلك بمثال؟ هي نوع خاص من القنابل المنطقية تعمل في ساعة محددة أو في يوم معين. مثال: كأن تعمل القنبلة الموقوتة في الساعة السادسة يوم 12/11/2007 8- الديدان. س1: وضح المقصود بالديدان؟ هي عبارة عن شيفرة تسبب أذى للنظام عند استدعائه، وتتميز بقدرتها على إعادة توليد نفسها.
س2: وضح كيف تنتشر الديدان؟ تنتقل إلى جهاز آخر أو ملف آخر من خلال الشبكة.
س3: أذكر مثالاً على الديدان. Melissa Worm Blaster
ملاحظة: من الفروق الواضحة بين الفيروسات والديدان أن الفيروسات بحاجة لبرامج تعمل من خلالها بعكس الديدان. تسمى الديدان ببرامج استهلاك الذاكرة
الدرس الثالث: العوامل التي تؤدي إلى زيادة مخاطر نظم المعلومات. حالة دراسية صفحة 321
س1: هناك عوامل عدة وراء المخاطر التي تهدد نظم المعلومات أذكر ثلاثاً منها؟ س1: أذكر ثلاثاً من العوامل التي تزيد من المخاطر على نظم المعلومات؟ 1. طبيعة النظم. ( س1 ) 2. عوامل بشرية. ( س2،3 ) 3. ضغوطات بيئة الاعمال. ( س4،5 ) ملاحظة: تعتمد النظم الكبيرة على العديد من العوامل البشرية والمادية والتقنية التي تعمل بشكل متكامل لتجنب فشل النظم.
س1: من العوامل التي تقف وراء المخاطر التي تهدد نظم المعلومات طبيعة النظم وضح ذلك؟ إذ أنه من طبيعة النظم أنه لا يتم عرض تفاصيل عملية معالجة البيانات ولا طريقة برمجة النظام على المستخدم مما يؤدي إلى صعوبة ملاحظة المستخدم للمشكلات التي يمكن ان تحصل. أصبح من السهل الوصول للبيانات ونسخها أو التعديل عليها بسبب لا مركزية نظم المعلومات
س2: وضح أهم التهديدات البشرية التي تواجه أمن نظام المعلومات؟ ( تم شرحه سابقاً ) 1. جهل العديد من الأشخاص أو تجاهلهم لأهمية نظام المعلومات. 2. إهمال المستخدمين أو محدودية فهمهم لنظم نظام المعلومات المعقدة. 3. تعمد بعض الأشخاص القيام بممارسات لا أخلاقية عند التعامل مع الحاسوب. 4. الحاجة إلى الانتقام من المؤسسة التي تستخدم النظام
س3: أذكر مثالاً على ممارسات لاأخلاقية عند التعامل مع الحاسوب؟ قيام بعض الأشخاص بنشر معلومات غير صحيحة. التلاعب بالبيانات والبرامج بهدف الحصول على مآرب خاصة.
س4: ما هو أثر ضغوطات بيئة الأعمال على نظم المعلومات؟ 1. تجاوز اعتبارات أمن النظام. 2. تجاوز اعتبارات تطوير مهمة. ( كتوثيق النظام ومراجعة خطوات التصميم )
ملاحظة: يمكن أن نلحظ هذه التجاوزات في المشاريع المتعلقة بالإنترنت ( علل ) والسبب في ذلك أن المواقع الإلكترونية تبنى بشكل سريع وتعدل باستمرار.
س5: ما هي أسباب تجاوز بعض اعتبارات أمن النظام؟ 1. ضغوطات بيئة الاعمال التي تؤدي إلى سرعة العمل بهدف الانتهاء من المشروع 2. نقص الأفراد. 3. التقصير في إعطاء الأهمية اللازمة لهذا الامر.
سؤال صفحة 323: 1. أجهزة الكمبيوتر لا تتمتع بالحماية من الاختراق. 2. البيانات لم يتم حفظها تحت أرقام سرية. 3. الشيفرة المستخدمة في البرامج سهلة الحل.
الدرس الرابع: طرق التقليل من المخاطر
س1: ما هي المعايير التي على أساسها تحدد المؤسسة الطريقة المناسبة لتوفير الحماية من المخاطر؟ 1. الإمكانات المادية والموازنة المخصصة للحماية. 2. متطلبات ودرجة حماية المعلومات.
س2: ( إن إجراءات الحماية تنطلق من احتياجات (متطلبات) الحماية الملائمة ) وضح ذلك بمثال؟ يتم وضع كلمة سر على الجهاز الشخصي لمنع الآخرين من الاطلاع على الملفات الخاصة. كذلك يتم وضع برنامج مضاد الفايروسات. كذلك أن نضع إجراءات خاصة بحماية الدخول للإنترنت. ولكن إذا كان الكمبيوتر خاص بمؤسسة ويحتوي على بيانات سرية، فيجب علينا تشديد إجرءات الحماية وكذلك إذا كانت المؤسسة تتبادل رسائل إلكترونية سرية فلا بد من استخدام تقنية التشفير
ملاحظة: إن إجراءات الحماية تنطلق من احتياجات (متطلبات) الحماية الملائمة ) بحيث أنه: إذا زادت عن حدها فإن لذلك أثر سلبي على النظام وأدائه بحيث يصبح بطيئاً. وإذا نقصت عن الحد المطلوب فإن لذلك أثر سلبي من حيث ازدياد نقاط الضعف في النظام مما يعرضه للاختراق الداخلي والخارجي.
س3: علل: عند تصميم نظم المعلومات يجب علينا أخذ بعين الاعتبار موضوع ضمان الأمن والسرية والتقليل من المخاطر؟ لما لذلك من أثر على متانة النظام وأدائه.
س4: ما هي أهم الطرق والوسائل المستخدمة للتقليل من المخاطر التي قد تتعرض لها نظم المعلومات؟ 1. تشفير البيانات. 2. استخدام حواجز العبور 3. تعريف مستخدمين بصلاحيات متباينة لاستخدام النظام. 4. تدريب المستخدمين. 5. تأمين وتحديد إمكانية الوصول إلى النظام. 6. مراقبة النظام. 7. النسخ الاحتياطية. 8. الوقاية من مشكلات المعدات. 9. الوقاية من الفيروسات. تشفير البيانات س1: عرف التشفير؟ هو عملية تغيير محتوى الرسالة المنقولة عبر شبكة عامة باستخدام رموز تشقير أو مفتاح ترميز سري، مما يجعل فهم الرسالة غير ممكن من قبل المتطفلين.
س2: علل: يحظى التشفير وسياساته باهتمام خاص في ميدان أمن المعلومات؟ لأن التشفير يمثل الوسيلة الأكثر أهمية لتحقيق عناصر الأمن الثلاثة ( السرية،التكاملية،توفير المعلومات)
س3:يعتبر التشفير الوسيلة الأكثر أهمية لتحقيق عناصر الأمن الثلاثة ( السرية،التكاملية،توفير المعلومات)( وضح ذلك)؟
س3: يعتبر التشفير الاستراتيجية الشمولية لتحقيق أهداف الأمن. وضح ذلك؟
س3: وضح أهمية التشفير في ميدان أمن المعلومات؟
إن ضمان سرية المعلومات يعتمد على التشفير. كذلك وسيلة حماية سلامة المحتوى تعتمد على تشفير البيانات المتبادلة. عند فك تشفير الرسالة الإلكترونية يمكن التثبت من أنها لم تتعرض للتغيير أو العبث يععتبر التوقيع الإكتروني الذي هو احد تطبيقات التشفير الوسيلة الوحيدة لضمان عدم إنكار التصرفات عبر شبكة الإنترنت. يعتبر التشفير مكون رئيسي لتقنيات ووسائل الأمن الاخرى في بيئة الأعمال والتجارة والرسائل الإلكترونية والبيانات المتبادلة بالوسائط الإكترونية.
س4: ما هي المراحل التي يمر بها التشفير؟ تحويل النص إلى رموز غير مفهومة ( التشفير) فك الترميز بإعادة النص المشفر إلى نص مقروء ( فك التشفير )
ملاحظة: تقوم برمجيات التشفير بعملية التشفير وفكه. مشاركة ( 8 – 9 ). 1. التوقيع الإلكتروني. تقنية مشابهة للتوقيع العادي ويستخدم لإثبات صحة الوثائق المرسلة عبر الإنترنت وللتحقق من هوية الطرف الآخر وعدم إنكار المرسل لعملية الإرسال. عبارة عن بيانات ملخصة من الرسالة يجري تشفيره وإرساله مع الرسالة. 2. الموقف القانوني 1. عندما يقوم شخص بالتوقيع العادي فإنه يكون مسؤول مسؤولية كاملة امام القضاء 2. أم التوقيع الإلكتروني فما زال غير معتمد إلا إذا أشرفت عليه جهة ثالثة.
3. مقارنة التوقيع الإكتروني التوقيع العادي إمكانية التقليد يصب تقليده يسهل تقليده التعديل على البيانات يضمن عدم تعديل البيانات أثناء الإرسال لا يضمن كيفية إنشاؤه من خلال معادلات رياضية يدوياً مشاركة ( 8 – 10 ). يسمى التشفير العام أو الغير متناظر أو الغير متماثل
استخدام حواجز العبور.
س1: عرف حواجز العبور؟ عبارة عن برمجيات أو اجهزة وعادة تكون معالجات اتصال أو خادماً مخصصاً هدفها حجز الوصول إلى موارد الشبكة من خلال مراقبة حركة المعلومات عبر الشبكة وفلترتها.
س2: ما هي أفضل طرق الحماية المستخدمة لحماية نظم المعلومات وبخاصة المواقع الإلكترونية؟ حواجز العبور.
س3: ما هي وظائف حواجز العبور؟ 1. تسمح بالوصول إلى بعض المعلومات 2. تمنع الوصول إلى البعض الآخر من المعلومات. 3. قد لا تسمح بالتغير على معلومات أخرى
ملاحظة: تسمح وتمنع حواجز العبور الوصول إلى المعلومات بناءً على مجموعة من القواعد ( آلية عمل حواجز العبور).
س4: أين يتم تركيب حواجز العبور؟ يتم تركيبها بين الشبكة الداخلية للمؤسسة والموجه.
تعريف مستخدمين بصلاحيات متباينة لاستخدام النظام.
س1: كيف تعريف المستخدمين بصلاحيات متباينة لاستخدام النظام. عدم تمكين أي شخص من دخول النظام إلا من خلال: 1. الحصول على اسم مستخدم وكلمة سر 2. ربط كل مستخدم للنظام ( حسب صلاحياته ) بشاشات معينة متصلة برمجياً ببيانات معينة، بحسث لا يحق له الاطلاع على البيانات الأخرى.
ملاحظة: تشكل السرية على مستوى النظام حماية إضافية إلى السرية التي توفرها نظم التشغيل وقواعد البيانات.
تدريب المستخدمين.
س1: علل: من الضروري تدريب المستخدمين على استخدام نظم المعلومات؟ لما لذلك من أهمية في الحفاظ على أمن وسرية المعلومات وحماية المستخدمين من الوقوع في الخطأ دون قصد.
س2: ما هو دور (واجب) المؤسسة في تدريب المستخدمين لتوفير الأمن والحماية لنظ المعلومات؟ 1. وضع التوجيهات الكافية لضمان الوعي في مسائل الأمن. 2. بناء ثقافة الأمن لدى العاملين. 3. تحديد ما على المستخدمين القيام به وما يحظر عليهم القيام به.
ملاحظة: تتوزع ثقافة الأمن في: مراعاة أخلاقيات استخدام التقنية الإجراءات المطلوبة من العاملين عند ملاحظة أي خلل.
تأمين وتحديد إمكانيات الوصول إلى النظام.
س1: عرف أنظمة التعريف والتخويل. هي أتظمة يتم من خلالها تقييد الدخول إلى نظم المعلومات والشبكات وقواعد البيانات باستخدام العديد من وسائل التعرف إلى شخصية المستخدم وتحديد نطاق الاستخدام.
ملاحظة: نلاحظ أن أنظمة التعريف والتخويل تتم من خلال مرحلتين: 1. التعريف. 2. التخويل.
التعريف: س1: تتم مرحلة التعريف بخطوتين، أذكرهما؟ 1. وسيلة التعرف بشخص المستخدم. 2. قبول وسيلة التعريف.( التوثق من صحة الهوية المقدمة ).
ملاحظة: تختلف وسائل التعريف تبعاً للتقنية المستخدمة.
س2: ما هي أنواع وسائل التعريف بشخصية المستخدم؟ 1. شيء ما يملكه الشخص: مثل ATM. 2. شيء ما يعرفه الشخص: مثل كلمة السر، الرقم الشخصي، الرمز. 3. شيء مرتبط بذات الشخص أو مرتبط به: مثل بصمة الإصبع، بصمة العين، الصوت.
س3: ما هي أقوى وسائل التعريف بشخصية المستخدم؟ • التي تجمع بين الوسائل جميعاً دون ان تؤثر على سهولة وفعالية التعريف.
س4: ما هي أهم الأمور التي يجب مراعاتها عند استخدام وسائل التعريف؟ 1. تخضع إلى ارشادات أمنية يتعين مراعاتها. 2. أن يخضع الاستخدام لقواعد عدم الاطلاع وعدم الإفشاء والحفاظ عليها.
س5: يجب أن تخضع وسيلة التحقق من هوية المستخدم إلى إرشادات أمنية يجب مراعاتها، وضح ذلك بمثال؟ مثلاً كلمة السر يجب أن تخضع إلى سياسة مدروسة من حيث: • طولها. • مكوناتها. • الابتعاد عن الكلمات التي يسهل تخمينها.
ملاحظة: تعد كلمة السر الوسيلة الاكثر شيوعا للتعرف إلى هوية المستخدم.
التخويل: س1: عرف التخويل؟ التصريح باستخدام قطاع من المعلومات في النظام ضمن صلاحيات محددة لكل شريحة من المستخدمين.
س2: ما هي الأمور التي تتضمنها مرحلة التخويل؟ • التحكم بالدخول • أو التحكم بالوصول إلى المعلومات أو أجزاء النظام • وكيف يتم هذا الوصول (Access Control System) . (ربط المستخدم الذي تم التأكد من هويته بكيفية التعامل والوصول إلى المعلومات بقراءة هذه المعلومات فقط أو السماح له بتعديلها وتحريرها ونسخها أو حتى حذفها).
مراقبة النظام.
س1: عرف سجلات الأداء ( النفاذ إلى النظام )؟ هي نوع من السجلات مضمنة في نظم التشغيل وقواعد البيانات ونظم المعلومات المتطورة تعمل على كشف استخدامات الجهاز وبرمجياته والنفاذ إليه.
س2: متى تظهر أهمية سجلات الأداء؟ • في حال تعدد المستخدمين وخاصة في شبكات الحاسوب التي يستخدم مواردها أكثر من شخص.
س3: ما هي أنواع سجلات الاداء؟ 1- سجلات الأداء التاريخية. 2- السجلات المؤقته. 3- سجلات التبادل 4- سجلات النظام. 5- سجلات الأمن. 6- سجلات قواعد البيانات والتطبيقات. 7- سجلات الصيانة أو ما يعرف بسجلات الأمور التقنية.
س4: ما هي أهم وظائف سجلات الأداء؟ 1- تحديد شخص المستخدم، 2- ووقت الاستخدام، ومكانه، 3- وطبيعة الاستخدام. 4- وأية معلومات إضافية أخرى تبعاً للنشاط ذاته.
ملاحظة: ( إمكانات إضافية لسجلات الأداء ) يمكن تفعيل سجلات الأداء لـ: 1- مراقبة مستخدم معين. أو مجموعة من المستخدمين. 2- مراقبة ملفات معينة وتسجيل أسماء مستخدميها وكيفية استخدامها.
النسخ الاحتياطية.
س1: على ماذا تتضمن عملية أخذ نسخ احتياطية؟ عمل نسخة اضافية من البيانات والمعطيات الخاصة بنظم المعلومات أو الحالة التقنية للنظام ككل.
س2: اذكر ثلاثة أمثلة على معلومات يمكن ان نعمل لها نسخ احتياطية؟ 1- حسابات المستخدمين 2- وكلمات المرور الخاصة بهم 3- وبريدهم الإلكتروني 4- والبيانات المخزنة على إحدى وسائط التخزين سواء داخل النظام أو خارجة
س3: علل: تخضع عمليات الحفظ إلى قواعد يتعين أن تكون محددة سلفاً وموثقة ومكتوبة ويجري الالتزام بها؟ لضمان توحيد معايير الحفظ وحماية النسخ الاحتياطية.
س4: يجب اتخاذ معايير واضحة ومحددة لمسائل رئيسية عند عمل نسخ احتياطية للمعلومات؟ 1- وقت الحفظ. 2- حماية النسخة الاحتياطية. 3- آلية الاسترجاع والاستخدام. 4- مكان الحفظ وأمنه. 5- تشفير النسخ التي تحتوي معطيات خاصة وسرية.
ملاحظة: النسخ الاحتياطية غير كافية في حالات الكوارث الطبيعية لأنها ستقضي على البيانات والبرامج الموجودة داخل المؤسسة.
س5: ما الذي يجب عمله لحماية النسخ الاحتياطية من الكوارث الطبيعية؟ 1- الاحتفاظ بها خارج المؤسسة 2- الاحتفاظ بها في أماكن مغلقة مقاومة للحريق
س6: علل: يجب الاحتفاظ بالنسخ الاحتياطية خارج المؤسسة؟ لأنها داخل المؤسسة ليست في مأمن من الكوارث الطبيعية كالحريق مثلاً.
الوقاية من مشكلات المعدات.
س1: أذكر مشكلة من مشكلات المعدات التي قد تهدد نظم المعلومات؟ انقطاع التيار الكهربائي عن الخادمات الرئيسية المزود للمعلومات.
س2: كيف يمكن وقاية نظم المعلومات من مشكلات المعدات؟ 1- استخدام جهاز UPS. 2- وضع البيانات والبرامج على أكثر من خادم.
س3: عرف جهاز UPS؟ هو جهاز يقوم بتزويد الخادمات بالكهرباء لفترة معينة لحين التمكن من إغلاق هذه الخادمات بالشكل الصحيح لضمان عدم ضياع المعلومات أو توقفها عن تقديم الخدمات المناطة بها.
س4: ما هي أنواع UPS؟ • نوع يقوم بتزويد الخادمات بالكهرباء لفترة معينة لحين التمكن من إغلاق هذه الخادمات بالشكل الصحيح. • نوع يقوم بإرسال إشارات إلى الخادمات عند انقطاع التيار الكهربائيي، بحيث تغلق الخادمات دون تدخل بشري.
الوقاية من الفيروسات
س1: ما هي أهم الاجراءات الوقائية التي تحمي المؤسسة من الفيروسات؟ 1- تجهيز نسخ احتياطية (Back-up) من البرمجيات وحفظها بحيث يمكن استرجاع نسخة (غير ملوثة بالفيروس) من البرامج عند الحاجة. 2- الاحتفاظ بسجل لكل عمليات التعديل في برامج التطبيقات (Log File) بحيث يتم تسجيل وقائع نقل البرامج المعدلة جميعها إلى البيئة الإنتاجية، 3- توعية المستخدمين بعدم تحميل أي برنامج غير موثوق المصدر في حاسباتهم الشخصية 4- يجب أن يتم فحص البرمجيات على حهاز مستقل قبل السماح بنشرها في المؤسسة للاستخدام العام. 5- تثبيت برنامج للتحقق من وجود فيروسات (Anti Virus Software) ، على أن يكون هذا البرنامج متواجداً دائماً في الذاكرة. 6- عدم إجازة البرامج للاستخدام العام للمؤسسة إلا بعد اجتيازها بنجاح اختبارات التحقق من خلوها من الفيروسات.
س2: ما هي أكثر الأسباب التي تؤدي إلى إدخال الفيروسات إلى النظم؟ تحميل أي برنامج غير موثوق المصدر إلى الحاسوب
س3: ما هي أهم الأمور التي تتضمنها عملية اختبار البرمجيات قبل السماح بنشرها في المؤسسة؟ • يجب أن يتضمن الاختبار البحث عن أي سلوك غير مفهوم في البرنامج، كأن يخرج رسائل لا داعي لها على الشاشة. • مع الاخذ بعين الاعتبار أن خلو البرنامج من أي سلوك غريب لا يعني نظافته من الفيروسات.
س4: علل: يجب تحديث البرامج المضادة للفيروسات باستمرار لكي يكون لها القدرة على مواجهة الفيروسات الجديدة.
س5: وضح أهم الأعمال التي تقوم بها البرامج المضادة للفيروسات للتحقق من وجود فيروسات؟ س5: وضح آلية عمل البرامج المضادة للفيروسات للتحقق من وجود فيروسات؟
1- تقوم هذه البرامج بالتأكد من عدم وجود الفيروسات المعروفة لها. 2- بعض البرامج يقوم بمقارنة محتويات بعض مناطق القرص (الصلب أو اللين) أو بعض مناطق الذاكرة بمحتوياتها المتوقعة والمفترض أن توجد فيها والإبلاغ عن أي تغيير فيها مما قد ينبئ عن وجود فيروس.
ملاحظة: يجب الحذر دائماً من البرامج المجانية التي يتم توزيعها من خلال مجلات الحاسوب وغيرها.(3)
مشاركة ( 8 – 13 ) التقليل من أخطاء البيانات. • تحديد مدى معين للبيانات المدخلة • عمل رسائل تأكيد عند إدخال بيانات مهمة • عمل قوائم منسدلة للبيانات المدخلة بحيث يقوم بإدخالها فقط. المشاركة ( 8-14 ) حماية المعلومات المخزنة على الحاسوب الشخصي. • عمل كلمة مرور على الجهاز او على ملفات معينة. • عمل نسخ احتياطية. • استخدام مضاد الفايروس. • استخدام جدار ناري • تشفير المعلومات الهامة.
في حال فقدان البيانات نقوم: • باسترجاعها من النسخ الاحتياطية. • معرفة أسباب الفقدان ومعالجتها من خلال كلمة المرور ومضاد الفيروس وبرامج الحماية. الإجراءات المتبعة في حال حدوث أياً من المخاطر على نظم المعلومات.
ملاحظات: • على الرغم من وضع خطط للحماية فإنه قد يتم الوصول إلى بيانات سرية (ما العمل؟). • يجب وضع خطط لمواجهة ومعالجة الاخطاء إن حصلت.
س1: عرف خطة الاسترجاع؟ هي عبارة عن وضع خطط وإجراءات تهدف إلى مواجهة الأخطار حين حصولها ومعالجتها.
س2: ما هي المراحل التي تتضمنها خطة الاسترجاع؟ ( Recovery plan ). 1- توافر موارد كثيرة، لذا يجب أن تكون الإدارة العليا مقتنعة بالأضرار التي يقد يسببها تعطل نظام المعلومات، حينها يتم توكيل منسق لوضع خطة وتنفيذها إذا حدث الخطر.
2- يقوم المنسق بتشكيل فريق إعداد الخطة، ( ممثل عن كل قسم )
3- يحدد الفريق العمليات التي ستتأثر في حال حدوث الخطر • وتحديد المعلومات التي يجب أخذ نسخ احتياطية منها، • والفترة الزمنية التي تستطيع فيها المؤسسة أن تستمر بالعمل لحين استرداد النظام لوضعه الطبيعي • وتحديد النتائج المالية والقانونية المترتبة في حال استمراء العطل.
4- تحدد إجراءات التعافي الفعلية لاسترجاع البيانات من النسخ الاحتياطية مثلاً والعودة إلى الوضع الطبيعي قبل حصول الخطر، مع مراعاة تنفيذ ما أظهره التحليل عن كيفية حصول المخاطر وضمان عدم حصولها.
5- يتم تقييم البدائل واختيار الأنسب من الخطط المعدة، آخذين بالاعتبار عوامل ، مثل: الكلفة والسرعة.
6- يتم فحص الخطة فحصاً دقيقاً ، مروراً بالخطوات جميعها التي لا بد من اتباعها في حالة حدوث الخطر فعلياً.
الدرس الخامس: خيارات الأمن في برمجية الآكسس.
س1: توفر برمجية أكسس طرقاً مختلفة للمحافظة على أمن البيانات فيها، أذكر ثلاثاً من هذه الطرق؟ 1- وضع كلمة مرور لقاعدة بيانات. 2- تعريف مجموعات ومستخدمين بصالحيات مختلفة لاستخدلم قاعدة البيانات. 3- تشفير البيانات.
حماية قاعدة البيانات بكلمة مرور.
س1: ما هي خطوات حماية قاعدة البيانات بكلمة مرور؟ 1- افتح برمجية أكسس. 2- اختر الأمر فتح من قائمة ملف ( File open ) ( ملف فتح ). 3- اضغط على السهم الجانبي لزر قتح واختر " فتح خاص "
4- اختر خيار الأمان ( Security ) من قائمة أدوات ( Tools ). 5- اختر الخيار " وضع كلمة مرور لقاعدة البيانات " ( Set Database Password )
6- عند ظهور مربع الحوار أدخل كلمة المرور وتأكيدها ثم اضعط موافق.
7- بعدها إذا أردت فتح قاعدة البيانات سيطلب منك إدخال كلمة المرور.
مشاركة ( 8 – 15 ) ( إلغاء كلمة المرور ) • نفس خطوات حماية قاعدة البيانات من ( 1-4 ) • خطوة 5 : اختر الخيار " إلغاء تعيين كلمة مرور قاعدة البيانات" " Unset Database Password "
: تعريف المستخدمين وتحديد صلاحياتهم. ملاحظة: • في هذه الطريقة يقوم المستخدم بإدخال كلمة المرور عند تشغيل الآكسس. • بعدها تقوم البرمجية بقراءة ملف يسمى ملف مجموعات العمل ( Workgroup information file )
س1: عرف ملف مجموعات العمل ( Workgroup information file )؟ هو ملف يحتوي على معلومات عن المستخدمين ومجموعات العمل، وتتضمن هذه المعلومات: • أسماء حسابات المستخدمين. • كلمات المرور. • صلاحيات كل مستخدم. • المجموعات التي ينتمي إليها كل مستخدم.
ملاحظة: إذا أردنا استخدام هذه الطريقة لحماية قاعدة البيانات فيجب علينا إلغاء كلمة المرور ( الطريقة الأولى لحماية البيانات في آكسس ).
س2: ما هي خطوات تعريف المستخدمين وتحديد صلاحياتهم في برمجية آكسس؟ 1. افتح برمجية أكسس. 2. قم بتشغيل المعالج وذلك باختياره من خيار الأمان ( Security ) من قائمة أدوات ( Tools ). ( أدوات أمان معالج الأمان على مستوى المستخدم )
3. يظهر مربع حوار يخبرك أن البرمجية ستنشئ ملف المجموعات، أختر التالي ( Next )
4. أدخل اسماً للمجموعة واختر التالي ( Next ).
5. يقوم أكسس بتطبيق خيارات الأمن على كل الكائنات، قم بإلغاء الاختيار عن الكائنات التي لا تريد تضمينها بخيارات الأمن. اختر التالي. 6. يظهر مربع حوار، لتحديد المجموعات التي تريد تضمينها في ملفك، اختر المجموعة التي تريدها واختر التالي.
س3: أذكر ثلاثة أمثلة للمجموعات التي يوفرها آكسس في معالج الأمان؟ 1- مجموعة للأشخاص الذي يسمح لهم فقط باستعراض البيانات (Read only users)، وليس بمقدورهم أيضاً التغيير على تصميم القاعدة. 2- مجموعة المستخدمين الذي لهم صلاحيات كاملة فقط على تحرير البيانات (User full data)، وليس بمقدورهم أيضاً التغيير على تصميم القاعدة. 3- مجموعة الأشخاص الذين يملكون صلاحيات كاملة على قاعدة البيانات (Permission Full)، ولكن ليس بمقدورهم إعطاء صلاحيات للآخرين.
7. ينتمي جميع مستخدمي قاعدة البيانات إلى مجموعة تسمى " مستخدمين " ،وبصورة أولية لا يعطي آكسس أية صلاحية لهذه المجموعة، فإذا أردت بإعطائها صلاحية قم بتحديد ما تريد واختر التالي.
8. قم بتحديد المستخدمين وكلمات المرور، وكلما انتهيت من مستخدم اضغط " أضف هذا المستخدم إلى القائمة" ثم اختر التالي.
9. اختر اسم المستخدم ثم انقر المجموعة التي ينتمي إليها وذلك لتحديد المجموعات التي ينتمي إليها كل مستخدم. 10. يقوم آكسس بإنشاء ملف احتياطي دون تأمين، حدد اسمه ثم اختر إنهاء.
11. احفظ ملف المجموعات 12. أغلق آكسس ثم افتح البرمجية مرة أخرى من خلال الاختصار الذي تم إنشاؤه على سطح المكتب. 13. ستطلب منك البرمجية إدخال اسم المستخدم وكلمة المرور.
ملاحظات: امتداد الملف الاحتياطي .bak اسم ملف المجموعات الافتراضي مؤمن.mdw