Post on 10-Feb-2020
املعلوماتنظم أمن 2ج( احلمايهوسائل و االكرتونية املخاطر )
mis-course.weebly.com
احملتوايت
المعلوماتمصطلحات أمن •
االلكترونيةالمخاطر •
( Attacks)االختراق •
وسائل حماية نظم المعلومات•
3
مصطلحات أمن المعلومات
د يكون في وقأو في استثماره، تصميم النظام أو تنفيذه هي حالة ضعف في : الهشاشةالضعف أو نقطةفي البرنامجBugوجود د مضاد فيروسوجعدم ول، مثلالبرمجيات أو في العتاد
هي مجموعة الظروف أو األفعال أو األحداث التي توفر القدرة على إحداث إختراق أمني من:التهديد: ، أمثلةخالل استغالل هشاشة النظام
،شخص لديه القدرة على إحداث عمل غير مرغوب به•
.طبيعية قد تحدث ضررا ماحادثة •
هو إمكانية التعرض للضرر أو الخسارة: الخطر.
الهجوم(Attack :)هو تحقيق أو تنفيذ لتهديد ما،
المهاجم(attacker :) يقوم بالهجوم، أي استغالل هشاشة نظام بدافع الذي هو الشخص أو الكيان:المهاجممرادفاتومن ،معين
( enemy)العدو •
( adversary)الخصم •
( intruder)الدخيل •
(.eavesdropper)والمتنصت •
4
أنواع الهجوم
.تأخير أو رفض خدمة ليصبح النظام خارج االستخدام: (Interruption)المقاطعة •
.قراءة معلومات بطريقة غير شرعية: (Interception)االعتراض •
تعديل المعلومات بطريقة غير شرعية : (Modification)التعديل •
إدخال أو تخزين معلومات إلى النظام أو الشبكة لتظهر كأنها قادمة من : (Masquerade)انتحال الشخصية •
مستخدم مخول
.إدعاء عدم القيام بإرسال شيء: (Repudiation)النكران •
. مراقبة االتصال الشبكي بهدف استخالص معلومات حول االتصال: (Traffic Analysis)تحليل المرور •
.الشبكةإعادة إرسال رسالة تم اعتراضها سابقا على : (Replay)إعادة اإلرسال •
المخاطر االلكترونية
(virus)الفيروسات
-:ماهو الفيروس•ويقوم باحداث اضرار فى الحاسب والمعلومات الموجودة على الحاسب وهو مصمم على ان يقوم هو برنامج صغير مكتوب باحد للغات الحاسب•
.باعدة كتابة نفسة على الملفات الموجودة على الحاسب او اى حاسب اخر يتم تبادل المعلومات بينه وبين الحاسب حامل الفيروس
-:من اين تاتى•“HTTP”صفحات االنترنت -من خالل الرسائل االلكترونية •
وسائط التخزين المختلفه-نسخ البرامج المقلدة•
-:ماهو التأثير•زيادة عدد العمليات التى تتم الى مالين العمليات فيتوقف الحاسب عن العمل•
الغاء بعض ملفات النظام•
زيادة حجم الملف باعادة كتابتة على نفسة االف المرات •
اغالق الحاسب من تلقاء نفسة عند الدخول على االنترنت مثال•
BIOSالغاء البرنامج المكتوب على الـ•
(Internet worm)االنترنتديدان
ماهى ديدان االنترنت:-ة على الحاسب هى مثلها مثل الفيروس برنامج صغير مكتوب باحد للغات الحاسب مصمم على ان يقوم باعدة كتابة نفسة على الملفات الموجود–
.بسرعة هائلةاو اى حاسب اخر ولكنها متميزة بكونها ترسل نفسها منفردة الى قائمة البريد االلكترونى او الى كل جهاز بالشبكة وهى تنتشر
من اين تاتى:-“HTTP”صفحات االنترنت -من خالل الرسائل االلكترونية –
وسائط التخزين المختلفه-نسخ البرامج المقلدة–
ماهو التأثير:-زيادة عدد العمليات التى تتم الى مالين العمليات فيتوقف الحاسب عن العمل–
التحميل الزائد على الشبكة مما قد يبطئ العمل عليها تماما–
احداث البطئ الشديد فى االنترنت داخل المنشأة او على الحاسب الشخصى –
(Trojan horse)احصنة طروادة
-:ماهى احصنة طروادة•
كما تدمر هو برنامج حاسوب موضوع فى احد البرامج التى تستخدم مثل االلعاب ولكن بداخلها تكسر الحماية المستخدمة لديك•
الملفات
-:من اين تاتى•
ل االلكترونية اذا وهى تاتى غالبا مع الرسائل االلكترونية المرفق معها ملفات قابلة للتشغيل لذا التفتح اى ملف مرفق مع الرسائ•
.كانت ملفات قابلة للتشغيل
وهى تاتى ايضا عند تحميلك للبرامج المجانية الموجودة على االنترنت •
-:ماهو التأثير•
يرسل رسائل مزيفة منك الى الموجودين فى قائمة البريد االلكترونى-يقوم بالغاء الملفات •
يفتح الحماية الخاصه بك لمخترقى الحاسوب•
(Active code)جافا سكريبت وجافا أبليتس واألكتف إكس
-:ماهى •
– Active Xهى مجموعة من البرامج المتقدمة الموضوع على مواقع االنترنت لزايادة فاعليتها وهى فى صورة برامج • Java Applets
.وهى تجعل هناك تاثيرات خاصة على صفحات االنترنت تجعله اكثر جاذبية وفاعلية
-:من اين تاتى•
.“استخدام التطبيقات التى تستخدم تلك التكنولوجيا المتقدمة”تصفح االنترنت•
-:ماهو التأثير•
.تقوم بتشغيل برامج مباشرة بمجرد الدخول على الموقع مما يؤدى الى حدوث اختراق للجهاز او وضع فيروس او ماشابه ذلك•
قادرة على رصد كلمات السر والعبور وكذلك تدمير وتعديل الملفات المخزنة أوملفات البرامج•
(SPY Where & AD Where)
-:ماهى •
.مجموعة من البرامج التى تقوم بتثبيت نفسها تلقائيا بمجرد الدخول على احد المواقع•
-:من اين تاتى•
.“استخدام التطبيقات التى تستخدم تلك التكنولوجيا ”تصفح االنترنت•
-:ماهو التأثير•
.ارسال معلومات خاصة بالمستخدم وطريقة استخدامة لالنترنت•
“فتح صفحة عن اعالن الحد المنتجات بمجرد دخولك على االنترنت”فتح صفحات االنترنت الخاصة للجهة المصممة لهذا النوع •
(Spam E-mail)البريد المزعج
-:ماهى •
من عناوين وهمية متجددة فى كل مرة“ اعالنات”استقبال مجموعة من الرسائل االكترونية •
-:من اين تاتى•
او احد ISPانتشار العنوان البريدى على االنترنت فى احد المواقع التى تم اختراقها واخذ كافة العناوين ووضعها قائمة االرسال او تباع من •
.الشركات المسجل بها بيانات المستخدم
-:ماهو التأثير•
.استقبال رسائل غير مرغوب بها •
شغل حيز من مصدر االنترنت المستخدم بالمؤسسة•
(Attacks)االختراق
:المخترقونأنواع
.Hackers 1
.Crackers 2
:املخرتقوناآلليلحاسباعمللكيفيةعميقوفهمالبرامج،وتصميمكتابةعلىعاليتينوقدرةبموهبةيتمتعونأشخاصهم
.وتغييرهاأنظمتهااختراقعليهميسهلمما
المخترقينمننوعينهناك:
هو شخص لديه خبرة معمقة في أنظمة التشغيل والبرمجيات ولغات : (Hacker)المتسلل: األول•
آلخرينالبرمجة ويبذل جهد كبير الكتشاف نقاط الضعف في أنظمة المعلوماتية ويشارك معلوماته مع ا
(.(White Hatقصدولكن اليلحق األذى بشكل مباشر أو عن
وم بأشياء هم في العادة أشخاص فائقو الذكاء يسيطرون بشكل كامل على الحاسب، ويجعلون البرامج تقف•
لتستفيد لذلك نجد أن بعض الشركات العمالقة توظف أمثال هؤالء الهاكر. أبعد بكثير مما صممت له أصال
من مواهبهم سواء في الدعم الفني، أو حتى إليجاد الثغرات األمنية في أنظمة هذه الشركات
:(Cracker)المخرب:الثاني
منقانونيغيربشكل األنظمةإلىينفذأينية،بسوءاألنظمةبانتهاكيقومالذيالشخصهو
Black)تعديلهاأوالمعلوماتمحومثلمختلقةأهدافتحقيقأجل Hat)
والبرمجةالحاسببدراسةيهتمونوهمشريرة،بطريقةذكائهميسخرونأشخاصهمف
لمعلوماتاأحيانا،المخربون،أولئكويغيرالشخصية،اآلخرينمعلوماتسرقةمنليتمكنوا
.تخريبيةالأعمالمنالعديدبويقوموناألمان،أنظمةيكسرونأوللشركات،المالية
:املخرتقون:الكراكروالهاكرمابينالفرق
الكراكر:
يمتلك. .تعمللكيخاصرقموإعطاؤهابرمجتهافيوالتالعبمجانيةالغيروالبرامجالتشغيلأنظمةاختراقعلىالقدرة1
ويقوم. اتيالمعلومالنظامعلىالقضاءاألحيانأسوأفيأومعلوماتكسرقةهدفهيكونفقدتخريبية،ألهدافاألمنيةاألنظمةبكسر2.كليبشكلاإللكتروني،
كثير. .البرنامجهذاملفاتبينالباتشملفوضعلهدف،مجاناتوزيعهاوالبرامجبسرقةيقوممنهم3
الكراكر. .لهيدفعمنأونفسهسوىينفعوالتخريبيعملهدائما4
الهاكر:
.وتحسينهاتطويرهافييساعدلكيوالبرامجالنظامعملكيفيةعلىيتعرفأنفقطيحاول1.
لديه. .االنترنتعبرالتشغيلأنظمةاختراقعلىالكاملةالقدرة2
يقوم. .التطوعيبالعمليؤمنو،األشياءبناءوالمشاكلبحلالهاكر3
الهاكر. .اآلخرينينفعوومفيدبناءعملهدائما4
(Attacks)االختراق أنواع
هناك ثالث انواع من االختراق وهم
.Access Attacks 1
.Reconnaissance Attacks 2
.denial of service ( 3DoS) attacks
Access Attacks
ة محاولة الدخول بطرق شرعية من خالل تخمين او استخدام البرامج المتقدمة فى عملي•حتى يصل الى كلمة مرور صحيحة ويتحكم user name & passwordانشاء العديد من
بعد ذلك فى النظام
Reconnaissance Attacks
Hard wareاو softwareمحاولة استخدام نقاط الضعف الخاصة بالمنتج سواء •لختراق النظام(Back Door)للحصول على طريقة خلفية
Denial of service (DoS) attacks
Shat Downفى حالة صعوبة اختراق النظام الخاص بالسرية فان هناك امكانية لعمل •بحيث Security Server &Switch &Rooterللنظام ككل بارسال مالين الطلبات الى
اليتحمل هذا العدد من المعلومات فيتم اغالق النظام
:نظم املعلوماتاة محوسائل
نظم 3 2 1املعلومات
:وسائل احلماة :وسائل الحماية المادية
.من وسائل الحمايةالمحسوسةوهي األجزاء
:من أمثلتها
الكاميرات . (الفيديو أو الفوتوغرافية ) 1
أجهزة اإلنذار . 2.
الجدران واألسوار والمفاتيح. 3.
بطاقات دخول الموظفين. 4.
أجهزة اكتشاف األصوات والحركة. 5.
:وسائل احلماة :وسائل الحماية الفنية
.اتهتحديد وإثبات هوية المستخدم وصالحياته ومسئوليوهي تقنيات
:من أمثلتها
كلمة المرور. 1.
القياس الحيوي. 2.
حفظ نسخه ا. حتياطيه3
البرامج المضادة للفيروسات. 4.
الجدران النارية. 5.
التشفير. 6.
:وسائل احلماة :وسائل الحماية اإلدارية
:وتتضمنالمعلوماتأمنسياساتوصياغةإعداد1.
خاللمنواألدوارالمسئولياتوتحديدالمعلوماتأمنلتنظيمالمنشأةداخلتشريعاتنظمومعالمعلوماتمعللتعاملبهمسموحغيرهوومابهمسموحهوماديتحد
.المعلومات
:أمثلتهامن
اتفاقية. .النظاماستخداموقبولالمستخدمصالحيات1
الخصوصية. 2.
كلمات. .المرور3
البريد. .االلكتروني4
:وسائل احلماة :الحماية اإلداريةوسائل •
توعية الموظفين. 2:
تثقيفهىعلالحرصيجبفبالتاليللمعلومات،األمنيالنظاممكوناتأهممنيعتبرالبشريالعنصرأنبما:اآلتيةالطرقعبروتوعيته
االشتراك. .المعلوماتبأمناالهتماممجموعاتفي1
حضور. .إلزاميحضورهاويكون،المعلوماتأمنمجالفييومنصفأويوملمدةالقصيرةالمحاضراتمنعدد2
تكريم. .واللوائحاألنظمةطبقواوالذينشهريبشكلالمثاليينالموظفين3
إقامة. .اإلداريينواألجهزةلمستخدميوكذلكالموظفينلكبارتدريبيةبرامج4
حماية األشخاص. 3
إجراءات قبول موظف جديد. 4
إجراءات إنهاء خدمات موظف. 5
تصنيف المعلومات ونظم المعلومات من حيث سريتها وحساسيتها. 6
:كلم املرورو إختيار استخدامتعليمات الستخدام كلمة المرور:
أن تكون خاصة وال يطلع عليها أحد مهما كان. 1.
عدم كتابتها أبدا سواء كان في الجوال أو على ورق المالحظات. 2.
يجب تغييرها كل شهرين كحد أقصى. 3.
ال تستخدم نفس كلمة المرور في حسابات وأماكن أخرى. 4.
ال تقبل أن يضع . .شخص أخر كلمة المرورلك5
عندما تشعر بأن أحد اكتشف كلمة المرور، قم بتغيرها فورا . 6.
عند إدخالك لكلمة المرور تأكد بأنه ال يوجد أحد يراقبك. 7.
تجنب استخدام الحواسيب المشتركة مع اآلخرين. 8 .
الختيار كلمة المرور:
يفضل أن تحتوي على أحرف وأرقام. 1.
يفضل أن ال تقل عن . .خانات28
يفضل أن ال تكون مشهور ومتداولة. 3.
: Biometricsالقياس احليوي BioMetricsجزئينمنمكونةإغريقيةكلمةهي"BIO"والحياةومعناها"METRICS"ومعناها
.قياس
الحيويةنساناإللصفاتاإلحصائيالتحليليستخدمالذيالعلمهو:الحيويللقياسالدقيقوالتعريف.الفريدةصفاتهمباستخدامالشخصيةهويتهممنللتأكدوذلك
:أقسام القياس الحيوي:الفيزيائيةالصفات .1
.وهي الصفات التي تتعلق بجزء من جسم اإلنسان
: الصفات السلوكية.2
.وهي الصفات التي تتعلق بسلوك اإلنسان
القياس احليوي
صفات سلوكي
ضربات لوح املفاتيح
التوقيع اليدوي الصوت
صفات فيزةائي
الوجه بصم اإلصبع
بصم اليد
قزحي العني
احلمض النووي
:القياس احليويمزاةا:يوفر لنا القياس الحيوي عدد من المزايا منها
األمن والخصوصية. 1:
.يمنع األشخاص اآلخرين من الدخول الغير مصرح على البيانات الشخصية-
.المسروقةالشكياتإيقاف سرقة الهوية،مثل استخدام البطاقات االئتمانية أو -
البديل لحمل الوثائق . :مثلالثبوتية2
.بطاقة االئتمان-.رخصة القيادة-.بطاقة الهوية الوطنية-
البديل لحفظ وتذكر األرقام السرية. 3.
البديل لحمل المفاتيح للدخول إلى. 4:
.المكاتب-.المنازل-.السيارات-
تأمين سرية العمليات المالية مثل. 5:
.التجارة اإللكترونية-ATMالصراف اآللي مكائن-
:القياس احليوي:Fingerprint Scanningبصمة اإلصبع •
ة تقنيية أكثر األنظمة شييوعا فيي االسيتخدام وخاصية بيين المسيتخدمين ألجهيزمثلية بصيمة اإلصيبع تمسيح ضيوئيا باسيتخدام قارئيات خاصية، ومين األ .المعلوميات
.أجهزة تربط بالكمبيوتر ، أو تأتي مدمجة مع الفأرة :على هذه القارئات
:القياس احليوياليدبصمةHand Geometry:
ورالحضمتابعةأنظمةفيخاصوبشكلعديدةسنواتمنذالنظامهذايستخدموالدقةاألداءبينجيداتوازناالنظامهذايعطي.الوقتوتسجيلواالنصراف
الجهازعلىاليدتوضع.أخرىأنظمةفيدمجهالسهولةومن.االستخداموسهولةشكلينهابمنصفةتسعينبفحصالنظامويقوملها،المخصصالمكانفيالماسح
.األصابعمفاصلشكلوكذلكاألصابع،وعرضطول،3Dاألبعادثالثياليد
:القياس احليويالعينقزحيةIris Scanning:
اللذياالجزءأنهاحيثثباتهاعلىالعينلقزحيةالمستخدمالنظاميعتمدبكيةالشكصفةليستبعد،عنمرئيةأنهاأيضاميزةولها.الجسدمنيتغير
وال،.خصالشلنفساليمنىالعينعنتختلفاليسرىالعينقزحيةأيضا.دقةتعطيبالتاليوهيعينه،منالعدساتهذهيقربأنالمستخدميحتاج.االستخدامسهولةمععالية
:القياس احليويRetinaالعينشبكية• Scanning:
لفخالدمويةللشعيراتمسحلعملمنخفضضوءمصدرتستخدمالطريقةهذه•ذاوهالماسحةعلىويركزينظرأنيجبالمستخدمأنالطريقةهذهعيب.العين.النظاممعللتعاملالرغبةعدمللمستخدميسبب
:القياس احليويFacialالوجه• Scanning:
النظاموقيامتصوير،آلةمنللوجهكاملةصورةأخذعلىيعتمدالنظامهذاهووماالتطوير،أوجفيالتقنيةهذهمازالت.مسبقافيهخزنمامعبمقارنتها
.عاليةدقةتعطيالالوجهصورةعلىالمعتمدةاألنظمةمنحاليا موجود
:القياس احليويالصوتVoice Verification:
ألجهزةالشائعةاإلضافاتمنتعدالصوتتدقيقبرامجاأليام،هذهفيالحيويالقياسأنظمةلكن.والبنوكالشركاتمعظملدىالخاصةالكمبيوترات
تعطيلكيدقةأكثربشكلالصوتتردداتتحللفإنهاالصوت،علىالمعتمدةأنحيثهادئة،النظامهذابيئةتكونأنيجبولذلك.عليهايعتمدصحيحةنتائج
وأذاتهابحدمستقلةتكونقدالنظامهذاأجهزةوالنتيجةعلىتؤثرضجةأي.يةالمصرفاألنظمةمنهاعديدةمجاالتفيتساعدقدالتيالهاتفأنظمةمعمدمجة
:القياس احليويSignatureاليدويالتوقيع• Verification:
توقيعخاللنمتتمولكنهاالشخص،لتوقيعالتقليديةالطريقةعلىيعتمدالنظامهذاحويلتخاللهامنويتم.ضوئيقلمباستخدامللمسحساسةشاشةعلىالشخص
.النظامفيمسبقاخزنمامعمقارنتهثمومنرقميشكلإلىتوقيعه
:القياس احليويDNAالنوويالحمض• Scanning:
جدامعقدنظاموهوDNA.للشخصالوراثيالشريطعلىيعتمدالنظامهذا.يستخدمماقليال لذلكجدامكلفالنظاموهذااألشخاص،بينتغييرهويستحيل
:القياس احليويالمفاتيحلوحةضرباتkeystroke Dynamics:
هذهخاللومن.المفاتيحلوحةعلىالشخصضرباتتسجيليقومالنظامهذالضرباألصابعواالنتقالمفتاحضرببينالوقتبمراقبةيقومالعمليةعلىضاغطوهوالمستخدميأخذهالذيالوقتيراقبوكذلك.آخرمفتاح
والرقمالمستخدمأسميتذكرأنالمستخدمعلىيجبأنهوحيث.المفتاح.السري
Backup Solutionحفظ نسخه احتياطي
مان فى الشك انه اذا كان هناك نسخة احتياطية من البيانات الهامة لديك سيكون ذلك عنصر من عناصر اال•.استرجاع اخر نسخة موجودة قبل حدوث اى تخريب فى البيانات المخزنة
.نسخ احتياطية من قواعد البيانات•
.نسخ احتياطية من الملفات المتداولة يوميا لموظفى المؤسسة•
.نسخ احتياطية من النظم المملوكة للمؤسسة•
.نسخ احتياطية من البريد االلكترونى•
.نسخ احتاطية من مواقع المؤسسة•
(Image)صور من االجهزة المطلوب تشغيلها فورا •
Antivirus. الربامج املضادة للفريوسات
ية ومنها هناك العديد من انظمة الحماية من الفيروسات ومنها مايعمل بصورة فردية على الحاسبات الشخص•
ن خاصية مايعمل فى بيئة الشبكات واالخير هام جدا فى المؤسسات التى بها عدد كبير من االجهزة لما لها م
ت عند دخول السرفر والذى يتيح التحديث لكل االجهزة مرة واحدة وكذلك التحذير المباشر لمسئول الشبكا
هاز مصاب اى فيروس الى اى حاسب بالشبكة كما يتيح لمسئول الشبكات من عمل ازالة للفيروس من اى ج
.دون االنتقال الى الجهاز وبالتالى يسهل عملية التخلص من الفيروسات مباشرة
Firewallاجلدران النارة
WAN
DMZServers
Clients
Server/ Mainframe
LAN View
الى الشبكة رورعبارة عن مجموعة من االجهزة والبرامج التى تقوم بادارة تبادل البيانات بين شبكتين عبر االنترنت من خالل السماح او عدم السماح بالم
.الداخلية
ة التي تخالف مهمتها و قف البرامج السيئو و اإلنترنتالحاسب هي برامج تعمل تماما مثل شرطة المرور، حيث أنها تعترض كل المعلومات المتبادلة بين ف
القوانين و األنظمة
(Encryption)تشفري البيانات
ماهو التشفير•
وبالتالى . هاهو تغير شكل البيانات المنتقلة عبر الشبكة حتى اليتمكن احد من االطالع عليها وبالتالى اليمكن التعديل او الحذف ب•
.يكون تحقق الخصوصية السرية مع اتاحه البيانات
انواع التشفير•
:التشفير المتماثل•
.هو نوع من انواع التشفير والذى يحتوى على مفتاح للشفرة ونفس المفتاح لفك الشفرة•
:التشفير غير المتماثل•
.هذا النوع من التشفير والذى يحتوى على مفتاحين االول لتشفير واالخر لفك الشفرة•
(Encryption)تشفري البيانات
:لماذا نستخدم التشفير•لمنع االطالع على المعلومات المنتقلة عبر الشبكة•
استخدام بيانتك الشخصية الرسال رسائل مزيفة نيابة عنك•
التغير فى البيانات المنقولة عبر الشبكة•
.تغير كلمات السر الخاصة•
Clear text Encryption Clear textData
encryptedDecryption
(Encryption)تشفري البيانات
:طرق التشفير المتاحة•
شفرة قيصر) 1:
شفرة ) 2(DES) Data Encryption Standard
التشفير باستخدام المفتاح العلنى) 3
شفرة ) 4Rivest,Shamir & Adleman(RSA)
شفرة ) 5Escrowed Encryption System(EES)