المعيار الأول: فصل الشبكة اللاسلكية :
الهدف: ضمان حماية تصميم وبنية الشبكة اللاسلكية وحماية الأجزاء الشبكية وفقًا لمستوى الأمن الخاص بها.
المخاطر المحتملة: عدم فصل الشبكات اللاسلكية يعرض جميع الشبكات المتواجدة في نفس نطاق البث لنفس المخاطر وتكون الأجهزة قادرة على التواصل دون مراقبة أو ضبط حركة البيانات، وبالتالي يمكن أن يؤدي أي هجوم على النظام إلى تهديدات داخلية خطيرة وهجمات على معظم أنظمة الشبكة، مما يسهل حركة البيانات الجانبية ضمن الشبكة.
الإجراءات المطلوبة:
- تصميم وتطبيق شبكة لاسلكية معزولة منطقيًا و/أو ماديًا مع الأخذ بعين الاعتبار احتياجات الأعمال والمعمارية المؤسسية وذلك بالاستناد إلى مبدأ الدفاع الأمني متعدد المراحل ومبدأ المعمارية متعددة المستويات.
- تطبيق المستوى الملائم من ضوابط الأمن السيبراني على الأجزاء الشبكية المختلفة بناءً على قيمة وتصنيف المعلومات المعالجة في الشبكة اللاسلكية ومستويات الموثوقية والتأثير على الأعمال والمخاطر ذات العلاقة.
- تصميم وإعداد الشبكات اللاسلكية لتصفية مرور البيانات بين مختلف الأجزاء وحجب الوصول غير المصرح به.
- ضبط إعدادات جدار الحماية والموجّهات (Routers) لمنع أي اتصالات غير مصرح بها بين الشبكات اللاسلكية غير الموثوقة.
- مراجعة الإعدادات والقواعد والسياسات والملفات التعريفية الأمنية لجدران الحماية والموجهات (Routers) بشكل دوري بناءً على خطة معتمدة.
- منع الأنظمة الحساسة من الاتصال بالشبكة اللاسلكية .
المعيار الثاني: تأمين الحدود:
الهدف: حماية حدود الشبكة اللاسلكية من التهديدات.
المخاطر المحتملة: ضعف تطبيق الضوابط الأمنية الملائمة لحماية حدود الشبكة اللاسلكية قد يجعلها عرضة للاختراق وفرض المزيد من التهديدات الخطيرة.
الإجراءات المطلوبة:
- الاحتفاظ بقائمة جرد محدثة لكافة حدود الشبكة اللاسلكية في جامعة الإمام محمد بن سعود الإسلامية.
- حظر الاتصالات مع عناوين بروتوكولات الإنترنت الضارة أو غير المستخدمة وحصر الوصول بمجالات عنوان بروتوكولات الإنترنت الموثوقة والضرورية عند كل حد من حدود الشبكة اللاسلكية لجامعة الإمام محمد بن سعود الإسلامية.
- حظر الاتصالات عبر منافذ بروتوكول التحكم بالنقل (TCP) أو بروتوكول حزم بيانات المستخدم (UDP) أو حركة التطبيقات لضمان السماح فقط للبروتوكولات المصرح لها بالدخول أو الخروج من الشبكة اللاسلكية عند كل حد من حدود الشبكة اللاسلكية جامعة الإمام محمد بن سعود الإسلامية.
- إعداد أنظمة المراقبة لتسجيل حزم بيانات الشبكة التي تمر عبر الحدود عند كل حد من حدود الشبكة اللاسلكية ل جامعة الإمام محمد بن سعود الإسلامية.
- تفعيل أنظمة الحماية المتقدمة لاكتشاف ومنع الاختراقات على حدود الشبكة اللاسلكية للكشف عن أي حركة بيانات خبيثة على الشبكة عند كل حد من حدود شبكة جامعة الإمام محمد بن سعود الإسلامية.
- تثبيت تقنيات كشف/منع التهديدات المتقدمة المستمرة (APT) على الشبكة لكشف أو حجب الهجمات على الشبكة والهجمات غير المعروفة مسبقًا عند كل حد من حدود شبكة جامعة الإمام محمد بن سعود الإسلامية.
- تفعيل خاصية جمع معلومات حركة البيانات عبر الشبكة (NetFlow) وتفعيل سجلات الأحداث على كافة أجهزة حدود الشبكة اللاسلكية.
- ضمان أن كافة أشكال حركة البيانات عبر الشبكة اللاسلكية من أو إلى الإنترنت تمر عبر خادم وكيل طبقة التطبيقات الموثقة والمجهز لتصفية الاتصالات غير المصرح بها.
- تفعيل خاصية تسجيل الاستعلامات على نظام أسماء النطاقات (DNS) لكشف وتحديد اسم المستضيف للنطاقات الخبيثة المعروفة.
- ضمان التحديث المنتظم لكافة خدمات الاشتراك وفئات العناوين (URL) ومصادر المعلومات الاستباقية والقوائم المحددة من التطبيقات الممنوعة (Blacklists) والإشارات المعرفة المسبقة.
المعيار الثالث: الارتباط اللاسلكي:
الهدف: ضبط استخدام الشبكات اللاسلكية وحمايتها.
المخاطر المحتملة: ضعف حماية الشبكات اللاسلكية قد يؤدي إلى تعرض جامعة الإمام محمد بن سعود الإسلامية لمخاطر الاتصال غير المصرح به بالشبكة أو كشف البيانات.
الإجراءات المطلوبة:
- إجراء تقييم مخاطر شامل لتقييم مخاطر اتصال الشبكات اللاسلكية بالشبكة الداخلية.
- الاحتفاظ بقائمة جرد بنقاط الوصول اللاسلكية المصرح بها والمتصلة بالشبكة السلكية.
- إعداد أدوات مسح الثغرات الأمنية في الشبكة لكشف أي محاولة اتصال نقاط وصول لاسلكية غير مصرح به بالشبكة السلكية والتنبيه بوجودها.
- استخدام نظام كشف التسلل اللاسلكي (WIDS) لكشف أي محاولة اتصال نقاط وصول لاسلكية غير مصرح به بالشبكة السلكية والتنبيه بوجودها.
- إلغاء تفعيل الوصول اللاسلكي على الأجهزة التي لا تقتضي طبيعة عملها ذلك.
- إعداد الوصول اللاسلكي على أجهزة المتصلين التي لا تحتاج لذلك لغايات العمل بحيث يتم السماح بالوصول إلى الشبكات اللاسلكية المصرح بها فقط وتقييد الوصول إلى الشبكات اللاسلكية الأخرى.
- إلغاء تفعيل قدرات الشبكة اللاسلكية (المخصصة) لمشاركة الملفات بين الأجهزة مباشرة على الشبكات اللاسلكية لدى المتصلين.
- إعداد نقاط الوصول اللاسلكية والأجهزة اللاسلكية للاتصال بالشبكة اللاسلكية باستخدام بروتوكولات آمنه مثل (WPA3).
- ضمان استخدام الشبكات اللاسلكية لبروتوكولات التحقق مثل بروتوكول المصادقة القابل للامتداد-أمن طبقة النقل (EAP/TLS) الذي يقتضي استخدام التحقّق من الهوية متعدّد العناصر بشكل متبادل.
- إلغاء تفعيل الوصول اللاسلكي للأجهزة الطرفية الموجودة على الأجهزة (مثل تقنية بلوتوث "Bluetooth" والاتصال قريب المدى "NFC") ما لم تقتض طبيعة العمل ذلك.
- إنشاء شبكات لاسلكية منفصلة للأجهزة الشخصية أو غير الموثوقة، والتعامل مع هذه الشبكات بحذر واعتبارها مصادرًا غير موثوقة مما يستدعي مراقبتها وتصفيتها بشكل مستمر.
- تقييد نقل البيانات المصنفة سري وسري للغاية عبر الشبكات اللاسلكية.
المعيار الرابع: التحقق من سلامة البرمجيات والعتاد:
الهدف: ضمان أن جميع برامج وعتاد الشبكة تأتي من مصادر أصلية وأنه لم يتم العبث بها والتحقق من ذلك.
المخاطر المحتملة: تعتبر الاختراقات في سلسلة الإمداد فرصة لتركيب وتثبيت البرامج والمعدات الخبيثة ضمن شبكة جامعة الإمام محمد بن سعود الإسلامية، وقد تؤثر البرامج والعتاد الذي يتعرض لانتهاك أمني على أداء الشبكة ويهدد سرية وسلامة وتوافر المعلومات الخاصة بجامعة الإمام محمد بن سعود الإسلامية. ونتيجة لذلك، سيصبح من الممكن تحميل البرمجيات غير المصرح بها أو الخبيثة على الجهاز بعد تشغيلها.
الإجراءات المطلوبة:
- قبل التركيب يجب فحص كافة أجهزة الشبكة اللاسلكية المادية بحثًا عن أي علامات عبث.
- الحصول على البرمجيات وتحديثات النظام وحزم التحديثات والإصلاحات والترقيات الخاصة بمكونات الشبكة اللاسلكية من مصادر الشركة المصنعة.
المعيار الخامس: معايير أخرى:
الهدف: تطبيق جميع المعايير والمتطلبات الأمنية للشبكات اللاسلكية لضمان أعلى مستويات الحماية.
المخاطر المحتملة: عدم تطبيق جميع المعايير والمتطلبات الأمنية يعرض جامعة الإمام محمد بن سعود الإسلامية إلى زيادة في المخاطر الأمنية للشبكات اللاسلكية.
الإجراءات المطلوبة:
1. تطبيق المعايير التالية:
- معيار النسخ الاحتياطي والتعافي
- معيار تسجيل الأحداث وسجل التدقيق
- معيار الحماية المادية
- معيار أمن الشبكات
- معيار إدارة هويات الدخول والصلاحيات
- معيار الإعدادات والتحصين
- معيار التشفير
- معيار إدارة حوادث وتهديدات الأمن السيبراني
