يعمل قسم أمن المعلومات بجامعة الملك خالد تحت إدارة تقنية المعلومات، ويهدف للتطوير والمحافظة على أمن وحماية المعلومات وإدارة المخاطر وتدقيق البرامج، ونطمح من خلال هذه العمليات إلى التأكد من سرية وسلامة وتوافر المعلومات للموظفين وأعضاء هيئة التدريس والطلاب.

    تطوير السياسات و الإجراءات الأمنية اللازمة.

    تحديد المخاطر التي تهدد أمن ونظم المعلومات.

    تحديد متطلبات أمن المعلومات، وإنشاء الحد الأدنى والأساسي لأمن المعلومات على أساس القوانين واللوائح المعترف بها، وأفضل الممارسات

     الأمنية.

    التأكد من تطوير خطط الإستجابه للحوادث وضمان تنفيذها.

    زيادة الوعي لدى منسوبي الجامعة في أمن المعلومات.

    حماية أصول المعلومات من الوصول الغير مصرح به، أو تعديلها، أو الكشف عنها أو اتلافها.

السياسات العامة لأمن المعلومات تنقسم إلى :

  سياسات أمن المعلومات وتشمل :

-  سياسة مسؤوليات أمن المعلومات

-  سياسة التوعية بأمن المعلومات 

-  سياسة أمن المعلومات 

 

   سياسات​ إدارة أمن المعلومات وتشمل :

-  سياسة مراقبة أمن المعلومات

-  سياسة الحماية من الشفرات الخبيثة

​-  سياسة الأمن المادي والبيئي

-  سياسة إدارة مخاطر أمن المعلومات 

-  سياسة إدارة حوادث أمن المعلومات

-  سياسة ادارة أصول أمن المعلومات

​-  سياسة إدارة سياسات أمن المعلومات

​-  سياسة أمن الموظفين 

 

   سياسات​ الأطراف الخارجية وتشمل :

-  سياسة العملاء 

-  سياسة الإستعانة بمصادر خارجية لتقديم الخدمات 

-  سياسة إدارة الخدمات المقدمة من أطراف ثالثة 

 

   سياسات الإلتزام وتشمل :

-  سياسة تدقيق أمن المعلومات 

-  سياسة الإلتزام بالمتطلبات القانونية 

-  سياسة إدارة الوصول المنطقي 

 

   سياسات جوانب أمن المعلومات في إدارة تقنية المعلومات وتشمل :

-  سياسة شراء وتطوير أنظمة المعلومات 

-  سياسة تطبيقات البريد الإلكتروني

​-  سياسة النسخ الإحتياطية والإسترجاع

​-  سياسة الخدمات الإلكترونية

-  سياسة إدارة التغيير 

 

   سياسات​ أخرى وتشمل :

-  سياسة معايير كلمة المرور 

-  سياسة الخصوصية 

-  سياسة التعامل مع الوسائط الإلكترونية 

-  سياسة الإستخدام المقبول لأنظمة المعلومات

​-  سياسة إدارة إستمرارية النشاط

-  سياسة أمن الوثائق

السياسات الخاصة لأمن المعلومات تنقسم إلى :

   سياسات أنظمة تقنية المعلومات وتشمل :

-   سياسة الهواتف المتنقلة

​-  سياسة المساعدات الرقمية الشخصية

-   سياسة الفاكس

-   سياسة الأجهزة المحمولة 

-   سياسة أجهزة سطح المكتب

​-   سياسة أنظمة الخوادم

-   سياسة أنظمة الاتصالات عبر بروتوكول الإنترنت

 

   سياسات البنية التحتية وتشمل :

-   سياسة مركز البيانات

​-   سياسة غرف الخوادم

-   سياسة غرف البنية التحتية

-   سياسة غرف الإجتماعات والتدريب

​-   سياسة النسخ الإحتياطي والأرشفة

-   سياسة المباني

-   سياسة الكابلات

 

   سياسات الدعم الفني وتشمل :

-   سياسة وإجراءات مكتب الدعم الفني

   سياسات الشبكات وتشمل :

-   سياسة وصلات الإتصالات الخارجية

​-   سياسة نظام منع الإختراق

-   سياسة نظام مراقبة أمن الشبكة

-   سياسة نظام إدارة الشبكة

​-   سياسة مواجهة الإنترنت

-   سياسة مركز الشبكة الخاصة الإفتراضية

-   سياسة شبكة المنطقة المحلية

-   سياسة جدران الحماية

-   سياسة الموجهات

-   سياسة المبدلات

-   سياسة الشبكة اللاسلكية

 

   سياسات تطبيقات تقنية المعلومات وتشمل :

-   سياسة قواعد البيانات

​-   سياسة تطبيقات نظام الرد الآلي الصوتي

-   سياسة تطبيقات العمل

-   سياسة تطبيقات التعاملات الإلكترونية

   كتاب أمن المعلومات   ( مقدم من مدينة الملك عبد العزيز للعلوم والتقنية​ )

   كتاب أمن المعلومات بلغة ميسرة   ( مقدم من مركز التميز لأمن المعلومات )

   كتاب الإصطياد الإلكتروني الأساليب والإجراءات المضادة  (  مقدم من مركز التميز لأمن المعلومات​  )

   كتاب أمن المعلومات  ( تمت ترجمته من قبل مدينة الملك عبدالعزيز للعلوم والتقنية​ )

التصيد الإلكتروني ويسمى أيضاً الإحتيال الإلكتروني والاستدراج الإلكتروني واللصوصية، وهي عملية احتيال تهدف إلى سرقة المعلومات الشخصية مثل تفاصيل الحسابات المصرفية، وكلمات المرور، وتفاصيل بطاقات الإئتمان، أو أي معلومات حساسة أخرى تكون ذات قيمة. معظم الناس يعتقدون أنهم على دراية جداً حول البريد المزعج والتصيد، ولكن تشير بعض الإحصائيات إلى أن بعض خدع التصيد في عام 2003 م انطلت على نسبة 5% من مستقبلي هذه الرسائل، وعددهم مليونا مستخدم، وقد نم خداعهم ليقوموا بإفشاء معلوماتهم السرية لمواقع مصرفية مزيفة ومواقع بطاقات الائتمان، مما تسبب لهم بخسائر مادية مباشرة تقدر بنحو 1.2 مليار دولار أمريكي. كن واعياً في حماية نفسك. التصيد الإلكتروني يتم بعدة طرق، وعلى الرغم من أن أهم عمل يمكنك القيام به هو تجنبها تماما، إلا أنا نقدم لك بعض النصائح المفيدة لتجنب نفسك من الوقوع كفريسة لهذا النوع من الإحتيال :

   لا تقم بالنقر على الرابط 

من السهل إغراءك بتقديم رابط بشكل جذاب. بدلا من النقر على الرابط المقدم، استخدم متصفحك للذهاب إلى موقع معروف وموثوق به عن طريق كتابة العنوان في متصفح الويب الخاص بك. على سبيل المثال، خذ هذا الرابط: https://www.google.com إذا قمت بالنقر فوق هذا فإنه لن يأخذك إلى Google، وسوف يأخذك إلى مكان مختلف تماما. يقوم المحتالين باستخدام هذه الحيلة في كل وقت لخداعك للذهاب إلى المواقع الخبيثة. كما يمكنك أن تعرف أين سيأخذك الرابط المقدم لك عن طريق الذهاب بالفأرة فوق الرابط بدون النقر عليه، إذا كنت تفعل ذلك على الرابط أعلاه سترى "infosec.kku.edu.sa" في أسفل المتصفح الذي تستخدمه. وإذا كنت تستخدم هاتف ذكي، فانقر مع الاستمرار على الرابط المقدم حتى يظهر لك صندوق يبين لك الوجهة الحقيقية للرابط، واسأل نفسك إذا كنت تريد حقا أن تذهب هناك!؟. القاعدة العامة: إذا كان البريد المرسل إليك يكذب حول أين يريد أن يرسلك، فهو عملية احتيال وتصيد.

   ضاعف الحماية لديك

- استخدم برامج مكافحة الفيروسات وبرامج مكافحة التجسس، بالإضافة إلى جدار الحماية، وتأكد دائما من تحديثها بانتظام.

- لا تفصح أبداً عن معلوماتك الشخصية أو المالية.

- تفقد بانتظام حساباتك المالية، وكشوف بطاقاتك الإئتمانية، وجميع تعاملاتك فيها، وفي حال اشتبهت بإحدى العمليات فعليك إبلاغ المصرف عنها فوراً.

  تعلم كيفية إكتشاف رسالة تصيد إلكتروني :

  البريد الإلكنروني يطلب منك كلمة المرور

هذا بريد احتيال. إحذفه. حيث أنه يستحيل أن يتم الطلب منك تقديم كلمة المرور لأحد حساباتك من المصدر الموثوق.

   البريد الإلكتروني يكون حول حساب مالي لا تملكه أو أمر أنت لا تعرف عنه شيئا

عادةً، يرسل المحتال عبر البريد الإلكتروني مدعي أن البريد من رجل أعمال أو منظمة من المحتمل أنك تتعامل معها مثل بنك، أو مقدم خدمة الإنترنت لديك، أو خدمة الدفع عبر الإنترنت، أو وكالة سفر، أو حتى جهة حكومية. ويطلب منك تحديث أو التحقق من صحة، أو تأكيد معلومات حسابك. بعض رسائل الإحتيال تهدد بعواقب وخيمة إذا لم تستجيب. البريد سوف يرسلك إلى مو قع يبدو تماما مثل موقع المنظمة أو الجهة الأصلي. إن مثل هذا البريد هو تصيد واحتيال.

   البريد الإلكتروني يأتي مع مرفق لا تتوقعه

يمكن أن تحتوي هذه الملفات المرفقة على فيروسات أو غيرها من البرامج الخبيثة التي تُضعف أمن جهاز الحاسوب الخاص بك. ويمكن أن تكون على شكل مقاطع فيديو مرسلة لك من حساب أحد أصدقائك الذي قد تم اختراق حسابه مسبقا. ويمكن أن تكون ملفات PDF من بعض الشركات تدعي أنها فاتورة لعملية شراء لم تقم فعلياً بها. وكن واعي بمعرفة ما هو حقيقي وطبيعي بالنسبة لك، حتى تتمكن من معرفة ما هو مزيف وتحايل.

   البريد الإلكتروني يحوي أخطاء إملائية أو نحوية واضحة

كن حذراً من رسائل البريد الإلكتروني التي تدعي أنها من منظمات أو جهات رسمية ومع ذلك تحتوي على أخطاء نحوية أو أخطاء في استخدام الكلمات والإملاء أو علامات الترقيم. معظم الجهات الرسمية تقوم باستعراض ما يتم ارساله عدة مرات قبل ارساله للجمهور، وعادة مايتم تصحيح الأخطاء الواضحه وإزالتها أثناء هذه العملية.

إذا كان جهاز الكمبيوتر الخاص بك في منطقة حيث يمكن لأشخاص آخرين الوصول إليه، فإنه يجب عليك أن تأخذ في الحسبان وضع وإعداد شاشة التوقف التلقائي مع حماية بكلمة المرور. شاشة التوقف التلقائي تعمل باستخدام المؤقت، بحيث إذا ترك الجهاز في وضع الخمول لفترة من الزمن، فإن شاشة التوقف ستبدأ بالعمل. إذا كانت شاشة التوقف محمية بكلمة مرور، فلايمكن لأحد الوصول إلى سطح المكتب والتطبيقات المفتوحة أثناء غيابك. إن تأمين جهازك وقفل سطح المكتب هو أمر في غاية الأهمية، خاصة إذا كانت التطبيقات قيد التشغيل، أو كان جهازك يحتوي على معلومات حساسة أو سرية.

   لإنشاء وإعداد شاشة التوقف التلقائي مع وضع حماية بكلمة مرور في نظام التشغيل ويندوز، اتبع التعليمات التالية :

- اذهب إلى إبدأ، إعدادات، لوحة التحكم .

- إختر إضفاء طابع شخصي (Personalization) .

- إختر تبويبة شاشة توقف .

- في قسم شاشة التوقف، إختر شاشة التوقف التي تناسبك من القائمة المنسدلة .

- تأكد من اختيارك (عند الاستئناف، عرض شاشة تسجيل الدخول) .

- في مؤقت "الانتظار" حدد المدة الزمنية. يُنصح بتحديد المؤقت بخمس دقائق .

- إضغط على "تطبيق"، ثم "موافق" .

بذلك، سيتم تفعيل شاشة التوقف تلقائياً بعد خمس دقائق إذا كان الجهاز الخاص بك في حالة سكون. عند العودة للوصول إلى سطح المكتب مرة أخرى، سوف يطلب منك إدخال كلمة المرور الخاصة بالجهاز.

 

كيف يكون لديك كلمة مرور "قوية" ويسهل عليك تذكرها؟ بينما يبدو أنه من الصعب القيام بذلك، إلا أنّا نقدم لك بعض النصائح البسيطة التي تمكنك من تحقيق ذلك :

- إحرص على أن تتكون كلمة المرور من خليط من الأحرف والأرقام والرموز .

- إحرص على استخدام خليط من الحروف الكبيرة Uppercase و الحروف الصغيرة Lowercase .

- إحرص على استخدام الرموز القياسية (!, @, #, $, %, ^, &, *) .

- تذكر أن كلمة السر غالبا ما تكون حساسة لحالة الأحرف Case sensitive أى أن حرف الـ (A) مثلا ليس هو نفسه حرف الـ (a)، فكلمة السر Ahmed تختلف

عن كلمة السر ahmed .

   عند اختيار كلمة المرور 

أنت تريد أن تختار كلمة مرور يسهل عليك تذكرها ولا تقل عن 8 خانات وتحوي أكبر قدر ممكن من التقنيات المذكورة أعلاه. طريقة واحده للقيام بذلك وهي باختيار "عبارة" يسهل تذكرها، إختر كل الحروف الأولى أو الأخيرة من كل كلمة ثم استبدل بعض الحروف المتبقية بأرقام ورموز. تستطيع اختيار بعض الأحرف في حالة Uppercase (مثلا الأحرف الأولى والأخيره أو الحرف الثاني حتى الأخير ...إلخ) .

   بعض الأمثلة

العبارة

الأحرف الأولى

كلمة المرور

The best car ever is S500 Mercedes Benz

tbceismb

Tbc31$mB

You cannot have everything. Where would you put it?

ychewwypi

Uch3Wwup1?

Ahmed: one of the biggest fans of Real Madrid team

aootbformt

A:1otbfoRMT

 

إذا كنت تختار كلمة المرور لموقع إلكتروني، قد ترغب في دمج بعض الحروف الأولى من اسم الموقع إلى كلمة المرور الخاصة بك، بحيث تصبح كلمات المرور مختلفة عن بعضها ويسهل تذكرها، أيضا لو اكتشف أحدها، فلن تحتاج لتغيير كل كلمات المرور. على سبيل المثال، إذا كان لديك كلمة مرور أساسية مثل Tbc31$mB (انظر أعلاه) التي ترغب في استخدامها في معظم الأماكن (وهذا غير مستحسن)، قد تضيف عليها بعض التعديلات من خلال وضع الحرف الأول والأخير للموقع من حوله :

   بعض الأمثلة

الموقع

كلمة المرور

www.kku.edu.sa

kTbc31$mBu

www.ebay.com

eTbc31$mBy

www.amazon.com

aTbc31$mBn

 

تهدف مبادرة "وعيك يحمينا" إلى تعزيز ونشر ثقافة الوعي بأمن المعلومات في المجتمع الجامعي ، وإعطاء فكرة أساسية عن مفاهيم أمن المعلومات ، وزيادة الرصيد المعرفي ، والإرتقاء بمستوى أمن المعلومات ، وإيضاح المخاطر المعلوماتية ومدى تأثيرها. 

تقدم مبادرة "وعيك يحمينا"​ خدمات توعوية موجهة ، من خلال إقامة ورش عمل حول أساسيات ومفاهيم أمن المعلومات والمخاطر المعلوماتية ، كما يتم عبر صفحة المبادرة تقديم عدد من الفيديوهات التي تحتوي على معلومات ومفاهيم تم استقاءها من الكتب والمصادر العالمية وفق أعلى معايير الجودة والنجاح في مجال أمن المعلومات. حيث تمت مراعاة :

  • دعم اللغة العربية والانجليزية
  • سهولة الإستخدام
  • محتوى شامل لمفاهيم أمن المعلومات
  • الحصول على المعرفة دون الحاجة إلى البحث والتنقل
  • الحفاظ على وقت العمل وعدم تعطيله

وتمكن مشاهدة المحتوى التوعوي بالكامل المستخدم من إجراء إختبار إلكتروني شامل لجميع المواضيع المطروحة لقياس مستوى وعي المستخدم ومدى فهمه للمواضيع المطروحة.

بالإضافة إلى خدمات توعوية غير موجهة من خلال أدوات وأساليب متنوعة إلكترونية ومطبوعة ، تشمل: 

  • رسائل الجوال القصيره
  • قنوات التواصل الإجتماعية (تويتر ، انستقرام ، يوتيوب)
  • منشورات توعوية
  • فيديوهات توعوية قصيره
  • عرض مجموعة من الكتب المنتقاة التي قُدمت من هيئات ومؤسسات حكومية في مجال أمن المعلومات

وأخيراً، تشكل هذه الأساليب و الأدوات جملةً من الوسائل التوعوية التي تخدم أهداف سياسات أمن المعلومات المطبقة بالجامعة.