المعيار الأول: إدارة هويات الدخول:
الهدف: ضمان حماية تطبيقات الويب من الوصول غير المصرح به.
المخاطر المحتملة: يترتب على الوصول غير المصرّح به لتطبيقات الويب مخاطر كبيرة قد تؤدي إلى تسرب أو سرقة
المعلومات، وقد تساعد هذه المعلومات في تنفيذ المزيد من الهجمات السيبرانية ضد البنية التحتية لجامعة الإمام محمد بن سعود الإسلامية.
الإجراءات المطلوبة:
- تطبيق الوصول الآمن وإدارة هويات الدخول لتطبيقات الويب الخارجية بما يتوافق مع المعايير التقنية والأمنية المذكورة في معيار إدارة الصلاحيات والهويات المعتمد في جامعة الإمام محمد بن سعود الإسلامية لمقاومة الهجمات السيبرانية.
- التأكد من وجود إدارة آمنة للجلسات (Secure Session Management)، بحيث تشمل موثوقية الجلسات (Authenticity)، إقفالها (Lockout)، وإنهاء مهلتها (Timeout).
المعيار الثاني: هندسة تطبيقات الويب:
الهدف: تحديد متطلبات الأمن السيبراني في بناء تطبيقات الويب وتصميمها وتطبيقها بشكل آمن وفعال.
المخاطر المحتملة: قد يسبب البناء العشوائي لتطبيقات الويب مخاطر أمنية حساسة يمكن استغلالها في الهجمات السيبرانية التي قد تؤثر على أعمال جامعة الإمام محمد بن سعود الإسلامية.
الإجراءات المطلوبة:
- حماية تطبيقات الويب الخارجية للأنظمة الحساسة من خلال استخدام مبدأ المعمارية ذات المستويات المتعددة (Multi-tier Architecture) على ألا يقل عدد المستويات عن ٣، أو معمارية الخدمات الصغيرة المحمية بجدار حماية ثنائي الطبقة، وتحديدًا، إدراج خادم الويب في منطقة الإنترنت المحايدة، وخوادم تطبيقات الويب في منطقة الإنتاج، وخوادم قواعد البيانات في المنطقة الموثوقة أو منطقة قاعدة البيانات.
- تطبيق العزل المادي أو المنطقي لتطبيقات الويب الحساسة عن التطبيقات أو الأنظمة الأخرى. فعلى سبيل المثال، يمكن تحقيق العزل المادي من خلال استضافة تطبيقات الويب في بيئة مادية منفصلة ومختلفة تمامًا، في حين يمكن تحقيق العزل المنطقي من خلال إدراج تطبيقات الويب في مناطق منفصلة داخل الشبكة دون السماح بالوصول إليها من أي منطقة أخرى.
- عزل تطبيقات الويب الخاصة بالإنتاج منطقيًا عن بيئة الاختبار وبيئة التطوير باستخدام محددات الشبكة عن طريق ضبط إعدادات قوائم التحكّم بالوصول (ACL) والسياسات الأمنية على جدران الحماية.
- تقييد الوصول عبر الشبكة لتطبيقات الويب وحصره بمنطقة خوادم الويب، ومنطقة خوادم تطبيقات الويب، ومنطقة الإدارة.
- تثبيت جدار الحماية لتطبيقات الويب (WAF) على خوادم تطبيقات الويب للتحقق من حركة البيانات الواردة والمصادقة عليها، وتسجيل أي حركة بيانات غير مصرح بها وحجبها، حيث تعمل أجهزة جدار الحماية لتطبيقات الويب (WAF) على كشف هجمات الويب أو هجمات التطبيقات على الخدمات الخارجية وتطبيقات الويب أو حجبها. (بالإضافة إلى ذلك، إعداد جدار الحماية لتطبيقات الويب (WAF) لتمكين خاصية التحكم ببروتوكول الإنترنت وخصائص الموقع الجغرافي لبروتوكول الإنترنت من أجل حجب بروتوكولات الإنترنت المحظورة ودول معينة).
- إعداد جدار الحماية لتطبيقات الويب (WAF) للحد من أعلى المخاطر الشائعة التي تستهدف تطبيقات الويب الصادرة عن المشروع المفتوح لأمن تطبيقات الويب (OWASP Top Ten Web Application Security) على تطبيقات الويب الحساسة وفقًا للمعايير والإجراءات ذات العلاقة في جامعة الإمام محمد بن سعود الإسلامية.
- تطبيق معايير أمن واجهة برمجة التطبيقات للحد من أعلى المخاطر الشائعة التي تستهدفها (OWASP Top Ten API Security) في حدها الأدنى لتطبيقات الويب الخارجية للأنظمة الحساسة.
- ضبط إعدادات نظام منع الاختراق (IPS) وجدار الحماية لتطبيقات الويب (WAF) لإتاحة التواقيع التي تطابق سلوك وبروتوكولات تطبيقات الويب (مثل Oracle OHS، وIIS، وApache، وSQL، وXML، وغيرها).
- ضبط إعدادات تقنيات الحماية من البرمجيات الضارة وأنظمة الحماية من التهديدات المتقدمة والمستمرة على سبيل المثال للتحقق من كافة عمليات نقل الملفات المرتبطة بتطبيقات الويب بحثًا عن أي ملفات خبيثة وفقًا لسياسة ومعيار الحماية من البرمجيات الضارة المعتمدين في جامعة الإمام محمد بن سعود الإسلامية.
- ضبط إعدادات تقنيات وأنظمة حماية تطبيقات الويب لتتبع نموذجًا أمنيًا إيجابيًا أو نموذج السماح بقائمة محددة من التطبيقات، وذلك من خلال السماح بأنواع محددة من الملفات، وبروتوكولات ومنافذ محددة، وتطبيقات ويب محددة من المستوى 7، ومتغيرات تطبيقات ويب محددة، مع منع جميع التطبيقات والملفات التي لم يتم ضبط إعداداتها.
- استخدام تطبيقات ويب وبروتوكولات اتصالات آمنة مثل بروتوكول نقل النص التشعبي الآمن (HTTPS) وبروتوكول نقل الملفات الآمن (SFTP) وبروتوكول أمن طبقة النقل (TLS) ونحوها.
المعيار الثالث: مراجعة الإعدادات والتحصين:
الهدف: تحديد الإعدادات والتحصين ومراجعتها للتأكد من ضبط إعدادات تطبيقات الويب وتشغيلها بشكل آمن وفعال.
المخاطر المحتملة: قد يؤدي عدم الدقة في ضبط إعدادات تطبيقات الويب ومكوناتها التقنية إلى ظهور ثغرات أمنية يمكن استغلالها لشن هجمات سيبرانية أو التأثير على سير الأعمال في جامعة الإمام محمد بن سعود الإسلامية.
الإجراءات المطلوبة:
- تطبيق مراجعة الإعدادات والتحصين لتطبيقات الويب الخارجية بما يتوافق مع المعايير التقنية والأمنية المذكورة في معيار إعدادات الحماية والتحصين المعتمد في جامعة الإمام محمد بن سعود الإسلامية لمقاومة الهجمات السيبرانية.
- إجراء اختبارات دورية لتقييم حماية تطبيقات الويب مثل اختبار أمن التطبيقات الثابت (SAST) واختبار أمن التطبيقات الديناميكي (DAST).
- إيقاف أو تعطيل الوظائف والخدمات وملفات الإعدادات غير الضرورية أو غير المستخدمة.
- حجب إمكانية الوصول إلى الملفات والمجلدات المشاركة عبر الشبكة غير الضرورية أو غير اللازمة.
- حماية الشفرة المصدرية وتحصينها.
- إنشاء نسخ أو قوالب آمنة لكافة تطبيقات الويب بناءً على المعايير الأمنية المعتمدة. وإعادة نسخ تطبيقات الويب باستخدام أحد قوالب النسخ في حال تعرضها لانتهاك أمني.
- تخزين النسخ في بيئة آمنة على خوادم مؤمنة والتحقق منها باستخدام أدوات مراقبة سلامة المعلومات دوريًا.
المعيار الرابع: توافر المعلومات:
الهدف: الحفاظ على توافر تطبيقات الويب الخارجية وحمايتها من هجمات حجب الخدمة (DDoS Attacks) وتعطل الخدمة العرضي.
المخاطر المحتملة: إذا لم يتم توفير أنظمة الحماية من هجمات حجب الخدمة وتعطل البنية التحتية، قد تكون تطبيقات الويب هدفًا لهجمات حجب الخدمة، مما قد يسبب انقطاعًا دائمًا في الخدمات أو يؤثر على كفاءة تطبيق الويب.
الإجراءات المطلوبة:
- استخدام مبدأ معمارية تطبيقات الويب التوزيعية الذي يعمل على توزيع نقاط التعطل الحاسمة.
- توفير تقنيات توزيع الجهد (Load Balancer) مثل تقنيات توزيع حركة البيانات والاتصالات.
- تطبيق آليات تكرار البيانات (Data Replication) على تطبيقات الويب في مواقع التعافي من الكوارث أو المواقع البديلة (Secondary Data Center).
- توفير نسخة مطابقة لبيئة إنتاج تطبيقات الويب للأنظمة الحساسة في موقع التعافي من الكوارث.
- فيما يتعلق بتطبيقات الويب التي تستضيفها أطراف خارجية، يجب أن تتضمن بنود اتفاقية مستوى الخدمة مستوى مقبول من توافر تطبيقات الويب والخدمات المقدمة من خلالها، وذلك وفقًا لسياسة الأمن السيبراني المتعلق بالأطراف الخارجية المعتمدة في جامعة الإمام محمد بن سعود الإسلامية.
- ضبط إعدادات إعادة توجيه حركة بيانات تطبيقات الويب تلقائيًا أو يدويًا لموقع النسخ الاحتياطية أو التعافي من الكوارث في حال تعطل بيئة الإنتاج.
المعيار الخامس: التشفير:
الهدف: ضمان سرية بيانات تطبيقات الويب والتأكد من سلامتها.
المخاطر المحتملة: في حال عدم استخدام تقنيات التشفير والتحقق من سلامة المعلومات، يمكن أن تتعرض المعلومات المحمية وبيانات تطبيقات الويب إلى الكشف أو التلاعب بها أو الوصول غير المصرح به.
الإجراءات المطلوبة:
- تطبيق التشفير لتطبيقات الويب الخارجية بما يتوافق مع المعايير التقنية والأمنية المذكورة في معيار التشفير المعتمد في جامعة الإمام محمد بن سعود الإسلامية والمتطلبات التشريعية والتنظيمية ذات العلاقة لمقاومة الهجمات السيبرانية.
- استخدام تقنيات التشفير للاتصالات بين الخوادم وأجهزة المستخدمين في تطبيقات الويب (End-to-End Encryption).
- توفير شهادات تشفير تطبيقات الويب من جهة إصدار شهادات موثوقة ومعتمدة وفقًا للمتطلبات التنظيمية والتشريعية ذات العلاقة والتأكّد من تجديدها بشكل دوري.
- استخدام تقنيات التشفير غير التماثلي القائم على شهادات التشفير (الخاص/العام) لكافة تطبيقات الويب العامة والخارجية، وذلك وفقًا لمعيار التشفير المعتمد في جامعة الإمام محمد بن سعود الإسلامية.
- تفعيل وظائف التشفير وإدارة شهادات التشفير على جدار الحماية لتطبيقات الويب للسيطرة بشكل أكبر على الهجمات والتهديدات.
- تخزين مفاتيح تشفير تطبيقات الويب في مكان ملائم وآمن وفقًا للسياسات والإجراءات ذات العلاقة في جامعة الإمام محمد بن سعود الإسلامية.
المعيار السادس: تسجيل الأحداث وسجل التدقيق:
الهدف: ضمان حفظ سجلات الأحداث لتطبيقات الويب في جامعة الإمام محمد بن سعود الإسلامية ومراقبتها.
المخاطر المحتملة: يؤدي عدم حفظ ومراقبة سجلات الأحداث لتطبيقات الويب في جامعة الإمام محمد بن سعود الإسلامية إلى صعوبة الكشف عن حوادث وتهديدات الأمن السيبراني وغيرها، وقد يتسبب بمضاعفة الأضرار التي قد تلحق بالتطبيقات.
الإجراءات المطلوبة:
المعيار السابع: النسخ الاحتياطي والأرشفة:
الهدف: ضمان سلامة بيانات تطبيقات الويب من العبث أو فقدانها بالخطأ أو تخريبها، والتأكد من توافرها وقابلية استعادتها.
المخاطر المحتملة: في حال حذف بيانات تطبيقات الويب أو العبث بها أو فقدانها بالخطأ أو تخريبها أو تعرّضها لهجوم إلكتروني، لن تتمكّن جامعة الإمام محمد بن سعود الإسلامية من استرداد البيانات مما سيؤثّر على أنشطة أعمالها الاعتيادية.
الإجراءات المطلوبة:
- تطبيق النسخ الاحتياطي والأرشفة لتطبيقات الويب بما يتوافق مع المعايير التقنية والأمنية المذكورة في معيار إدارة النسخ الاحتياطية والتعافي من الكوارث المعتمد في جامعة الإمام محمد بن سعود الإسلامية لمقاومة الهجمات السيبرانية.
- عمل نسخ احتياطية كاملة لتطبيقات الويب وترقيمها تسلسليًا وتحديد تاريخها ووقتها وفهرستها وفقًا لسياسة إدارة النسخ الاحتياطية المعتمدة في جامعة الإمام محمد بن سعود الإسلامية. وينبغي أن تشمل النسخ الاحتياطية على الأقل النسخ الاحتياطية لإعدادات تطبيقات الويب وبيانات ومعلومات تطبيقات الويب المخزنة.
المعيار الثامن: تطبيقات الويب الحديثة والسحابية الأصلية:
الهدف: تحديد متطلبات الأمن السيبراني لتطبيقات الويب المستضافة بالحوسبة السحابية لضمان إعدادها وتثبيتها وتشغيلها بطريقة آمنة.
المخاطر المحتملة: قد يؤدي استخدام خدمة الحوسبة السحابية لتشغيل تطبيقات الويب بدون وضع معايير أمنية وتطبيق متطلبات الأمن السيبراني إلى ظهور ثغرات أمنية شائعة يمكن استغلالها لشن هجمات سيبرانية أو التأثير على كفاءة أعمال جامعة الإمام محمد بن سعود الإسلامية.
الإجراءات المطلوبة:
- يجب تطوير واعتماد منهجية التطوير الآمن وفقًا لعملية "DevSecOps".
- تطوير نظام التكامل المستمر/التثبيت المستمر (CI/CD) الآمن وتطبيقه باتباع أفضل الممارسات.
- تنصيب منصة أمن الحاويات من مورد موثوق لإدارة أمن الحاويات وضمان حماية نظام الحاويات.
- تنصيب حزم التحديثات والإصلاحات دوريًا.
- توفير حلول إدارة المعلومات الحساسة وذلك من أجل إدارة المعلومات الحساسة والمفاتيح والشهادات ومنع تخزين المعلومات الحساسة في الحاويات.
- استخدام نسخ الحاويات من مصادر موثوقة أو معتمدة.
- عزل البنية التحتية الخاصة بالحاويات.
- استخدام كشف الثغرات التلقائي لفحص الحاويات قبل وبعد تثبيتها في بيئة الإنتاج.
- توفير تقنيات وأدوات المراقبة للتأكد من سلامة تطبيقات الويب وتوافرها وكفاءتها باستمرار.
