جامعة الأمير سلطان
نظام إدارة السياسات
السياسة الأمنية لجهاز التوجيه

رمز السياسة IT008
عنوان السياسة السياسة الأمنية لجهاز التوجيه
صاحب السياسة مركز تقنية المعلومات 
المكتب المسؤول/القسم مكتب نائب رئيس الجامعة للشؤون الاكاديمية 
جهة الاعتماد مجلس الجامعة، ISO
المراجعة الأخيرة ديسمبر 2023
تاريخ النفاذ 2 فبراير, 2017


بيان السياسة

يجب على كل جهاز توجيه أن يلبي المعايير التالية:

  1. يجب ألا يحتوي جهاز التوجيه على أي حسابات محلية للمستخدمين. يجب على جهاز التوجيه استخدام نظام التحكم في الوصول إلى منصة وحدة التحكم (TACACS+) والبروتوكول المستخدم لأغراض المصادقة.
  2. يجب حفظ كلمات المرور "التمكينية" و"السرية" الموجودة على جهاز التوجيه في نموذج مشفر وآمن.
  3. يجب استخدام القيود المشتركة الخاصة ببروتوكول الرسائل الشبكية البسيطة الموحد.
  4. يتمتع مركز تقنية المعلومات بصلاحية إضافة الضوابط الخاصة بالوصول إلى قائمة التحكم حسب الضرورة.

الخلفية والمبررات

في عصر التهديدات السيبرانية المتصاعدة، قد تكون أجهزة التوجيه غير المحمية بوابات للدخول غير المصرح له والاختراقات. لا يؤدي جهاز التوجيه المخترق إلى المخاطرة بفقدان البيانات فحسب، بل يضر أيضًا بسمعة الجامعة ومصداقيتها. نظرًا لاعتمادنا الكبير على الحلول الرقمية والتركيز المتزايد على ضوابط الأمن السيبراني، فإن وجود سياسة أمنية واضحة لجهاز التوجيه أمر ضروري. تهدف هذه السياسة إلى تعزيز دفاعات شبكة الجامعة الالكترونية، وتلبية معايير الصناعة، ودعم الالتزام بحماية البيانات.

النطاق والغرض

تخضع جميع أجهزة الشبكة والبنية التحتية المتصلة بشبكة تقنية المعلومات الخاصة بجامعة الأمير سلطان لهذه السياسة.

يصف هذا المستند الحد الأدنى المطلوب من البنية التحتية الآمنة لجميع أجهزة التوجيه والشبكات المتصلة بالجامعة أو المستخدمة في البيئة الإنتاجية.

مبادئ السياسة

  1. خطوات الحماية: استخدم خطوات متعددة من الضوابط والتدابير الأمنية، مما يضمن عدم تعرض الشبكة بأكملها للخطر عند حدوث أي اختراق.
  2. الحد الأدنى من الصلاحيات: تمنح حقوق الوصول الضرورية فقط إلى البنية التحتية لجهاز التوجيه، مما يقلل من نقاط الضعف المحتملة من التغييرات غير المقصودة أو الضارة.
  3. التحديثات المنتظمة: التأكد من تحديث البرامج الثابتة وبرامج جهاز التوجيه بانتظام للحماية من الثغرات الأمنية المعروفة.
  4. التحكم في الوصول: تنفيذ آليات توثيق قوية للوصول إلى جهاز التوجيه، والقضاء على التغييرات غير المصرح لها والاختراقات المحتملة.
  5. المراقبة والتسجيل: مراقبة نشاط جهاز التوجيه باستمرار والاحتفاظ بالسجلات لاكتشاف الأنشطة المشبوهة والتعامل معها على الفور.
  6. التشفير: استخدام معايير تشفير قوية للبيانات التي تمر عبر جهاز التوجيه، مما يضمن سلامة البيانات وسريتها.
  7. الأمن المادي: التأكد من حماية أجهزة التوجيه والأجهزة ذات الصلة من التلاعب المادي أو الوصول غير المصرح به.
  8. إدارة البنية التحتية: الحفاظ على بنية تحتية آمن وقياسية لأجهزة التوجيه ومراجعتها وتحديثها بشكل دوري بناءً على التهديدات المتغيرة واحتياجات العمل.
  9. الاستجابة للحوادث: وضع إجراءات للتصدي للحوادث الأمنية المتصلة بأجهزة التوجيه والحفاظ عليها، وضمان اتخاذ الإجراءات اللازمة والتخفيف من حدتها في الوقت المناسب.
  10. توعية أصحاب المصلحة: تثقيف جميع الموظفين المعنيين حول أهمية أمان جهاز التوجيه ودورهم المهم في المحافظة عليه.

التعاريف

  1. جهاز التوجيه: جهاز يقوم بإعادة توجيه حزم البيانات بين شبكات الحاسب الالي، وتوجيه البيانات الواردة من الإنترنت إلى الجهاز المناسب على الشبكة.
  2. البرامج الثابتة: برامج دائمة مبرمجة في ذاكرة القراءة فقط. حيث أن البرنامج هو الذي يتحكم في وظائف الجهاز بالنسبة لأجهزة التوجيه.
  3. البنية التحتية: ترتيب وإعدادات برنامج جهاز التوجيه لضمان الاتصال السليم مع الأجهزة والشبكات الأخرى.
  4. التحكم في الوصول: آليات منح أو رفض إجراءات محددة على جهاز التوجيه بناءً على حقوق المستخدم أو البرنامج.
  5. المصادقة: عملية التحقق من هوية الشخص أو النظام الذي يحاول الوصول إلى جهاز التوجيه.
  6. التشفيرعملية تحويل المعلومات إلى تعليمات برمجية لمنع الوصول غير المصرح له.
  7. الأمن المادي: الإجراءات المتخذة لحماية جهاز التوجيه والأجهزة المرتبطة به من التهديدات المادية مثل العبث أو السرقة أو التلف.
  8. المراقبة: المراقبة والتسجيل المستمر لأنشطة جهاز التوجيه لضمان التشغيل السليم والكشف عن أي حالات شاذة.
  9. تسجيل الدخول: عملية تسجيل الأحداث في جهاز التوجيه، مثل محاولات الوصول، أو التغييرات التي تم إجراؤها، أو حالات الفشل، والتي يمكن استعراضها من أجل التحليل الأمني والتشغيلي.
  10. الحادث: حدث يؤدي أو من المحتمل أن يؤدي إلى ضرر لأمن نظام تقنية المعلومات أو البيانات التي يحملها.
  11. الحد الأدنى من الصلاحيات: مبدأ أمني يفرض على المستخدم منح الحد الأدنى من مستويات الوصول اللازمة لأداء مهامه الوظيفية.

المسؤوليات واستراتيجيات التنفيذ

  1. البنية التحتية القياسية:
    • الجهة المسؤولة: فريق شبكة تقنية المعلومات
    • الإستراتيجية: الحفاظ على قالب التكوينات القياسية والآمنة لأجهزة التوجيه، والتأكد من توافقها مع أفضل ممارسات المجال.
  2. تحديثات البرامج الثابتة:
    • الجهة المسؤولة: فريق شبكة تقنية المعلومات
    • الإستراتيجية: التحقق بانتظام من تحديثات البرامج الثابتة وتطبيقها، مما يضمن حماية أجهزة التوجيه من نقاط الضعف المعروفة.
  3. إدارة الوصول:
    • الجهة المسؤولة: فريق أمن تقنية المعلومات
    • الإستراتيجية: تنفيذ وصيانة قوائم قوية للتحكم في الوصول (ACLs) لأجهزة التوجيه، وتقييد الوصول بناءً على المهام الوظيفية والحاجة.
  4. المراقبة والتسجيل:
    • الجهة المسؤولة: فريق أمن تقنية المعلومات
    • الإستراتيجية: مراقبة حركة جهاز التوجيه بشكل مستمر والاحتفاظ بالسجلات لمدة محددة مسبقًا. واستخدم أنظمة كشف التسلل (IDS) لاكتشاف الأنشطة المشبوهة.
  5. الاستجابة للحوادث:
    • الجهة المسؤولة: فريق أمن تقنية المعلومات/li>
    • الإستراتيجية: وضع إجراء للتصدي للحوادث الأمنية المتصلة بجهاز التوجيه، وضمان تحديد الهوية والتخفيف من آثارها، والتواصل في الوقت المناسب.
  6. الأمن المادي:
    • الجهة المسؤولة: فريق إدارة المرافق
    • الإستراتيجية: تأكد من وجود أجهزة التوجيه في مناطق آمنة ذات وصول مقيد، مثل غرف الخوادم أو الخزانات المغلقة.
  7. النسخ الاحتياطي والاسترداد:
    • الجهة المسؤولة: فريق شبكة تقنية المعلومات
    • الإستراتيجية: وضع إعدادات احتياطية لجهاز التوجيه بانتظام مع وضع خطة لاستعادة لاستعادت المخزنة منها في حالة الفشل.
  8. التدريب والتوعية:
    • الجهة المسؤولة: فرق تدريب الموارد البشرية وتقنية المعلومات
    • الإستراتيجية: تثقيف موظفي تقنية المعلومات بانتظام حول أفضل ممارسات أمان جهاز التوجيه والتهديدات المحتملة ودورهم في حماية البنية التحتية للشبكة.
  9. تنفيذ عملية التشفير:
    • الجهة المسؤولة: فريق شبكة تقنية المعلومات
    • الإستراتيجية: التأكد من تطبيق معايير التشفير على البيانات التي يتم نقلها عبر جهاز التوجيه، خاصة للوصول الإداري عن بعد.
  10. عمليات التدقيق الدورية:
    • الجهة المسؤولة: فريق التدقيق الداخلي
    • الإستراتيجية: إجراء عمليات مراجعة روتينية للبنية التحتية لأجهزة التوجيه، وسجلات الدخول، والتدابير الأمنية لضمان الامتثال للسياسة ومعرفة مجالات التحسين.

إجراءات التعامل مع انتهاك السياسة

أي انتهاك لهذه السياسة سيجعل الشخص عرضة لإجراءات تأديبية من خلال قسم التنفيذ لسياسة الاستخدام غير المصرح به لمركز تقنية المعلومات.