Skip Navigation Linksالإدارة العامة للأمن السيبرانيالوثائق التنظيمية معايير التشفير

​​​

معايير التشفير:


- استخدام التشفير:

الهدف :ضمان إدارة التشفير واستخدامه بصورة آمنة وملائمة عند الحاجة.

المخاطر المحتملة : يمكن أن يؤدي عدم استخدام التشفير بصورة ملائمة وعند الضرورة إلى مخاطر شديدة قد تتسبب بسرقة المعلومات أو الكشف عنها أو الوصول غير المصرح به إليها.

الإجراءات المطلوبة:

      • ​استخدام شهادات تشفير صحيحة لأمن طبقة النقل (TLS) وذلك لكافة المعلومات المحمية المنقولة أو المستخدمة بين العميل والخادم والخوادم الأخرى.
      • استخدام شهادات تشفير أمن طبقة النقل ((TLS الصادرة عن جهة إصدار شهادات معترف بها لكافة خدمات الإنتاج في جامعة الإمام محمد بن سعود الإسلامية.
      • إعداد متصفحات الإنترنت لتجنب البروتوكولات غير الآمنة (مثل SSLv3"" أو "SSLv2") وخوارزميات التشفير الضعيفة (مثل "DES" أو "MD5") مع التأكد من أن استخدام البروتكولات متوائم مع المعايير الوطنية للتشفير (NCS-1:2020).
      • استخدام القنوات المشفرة لكافة عمليات المصادقة.
      • ضمان حماية النسخ الاحتياطية بصورة ملائمة عن طريق الأمن المادي والتشفير عند تخزينها ونقلها عبر الشبكة، ويشمل هذا النسخ الاحتياطية عن بعد والخدمات السحابية.
      • إدارة كافة أجهزة الشبكة باستخدام جلسات مشفرة.
      • في حال اكتشاف خطأ في المعلومات المستلمة خلال عملية التشفير، وطلب المتلقي أن تكون المعلومات صحيحة بالكامل (على سبيل المثال لا الحصر، عندما لا يكون المتلقي قادراً على متابعة أعماله عند وجود خطأ في المعلومات)، يجب تنفيذ الآتي:
        • ​عدم استخدام المعلومات.
        • إعادة إرسال المعلومات بناءً على طلب المتلقي (على أن تكون إعادة إرسالها مقتصرة على عدد محدد من المرات).
        • تخزين المعلومات المتعلقة بالحادثة في سجل التدقيق لتحديد مصدر الخطأ لاحقاً.
      • يجب تصميم مستويات القوة لتستهدف مستوى أمن 128 -بت بالنسبة للمستوى الأساسي ومستوى أمن 256-بت بالنسبة للمستوى المتقدم بناء على المعايير الوطنية للتشفير (NCS-1:2020).

- تشفير البيانات والمعلومات:

الهدف :ضمان تشفير البيانات والمعلومات عند الضرورة.

المخاطر المحتملة : تنطوي البيانات والمعلومات غير المشفرة على مخاطر كبيرة قد تتسبب بسرقة المعلومات أو الكشف عنها أو الوصول غير المصرح به إليها.

الإجراءات المطلوبة:

      • ​​يجب استخدام برنامج تشفير القرص الكامل المعتمد لتشفير القرص الصلب في كافة الأجهزة المحمولة.
      • يجب فك تشفير كافة أنواع حركة بيانات الشبكة المشفرة عند الخادم الوكيل على حدود الشبكة قبل تحليل المحتوى. ويمكن لجامعة الإمام محمد بن سعود الإسلامية استخدام قائمة محددة من التطبيقات لمواقع مسموحة يمكن الوصول إليها عبر خادم وكيل دون فك تشفير حركة البيانات.
      • يجب على كافة عمليات الوصول وتسجيل الدخول عن بعد إلى شبكة جامعة الإمام محمد بن سعود الإسلامية تشفير البيانات قيد الاستخدام والنقل.
      • يجب مراقبة كافة أنواع الحركة التي تخرج من جامعة الإمام محمد بن سعود الإسلامية وكشف أي استخدام غير مصرح به للتشفير.
      • في حال استخدام أجهزة التخزين (USB)، يجب تشفير البيانات المخزنة بناءً على تصنيفها على هذه الأجهزة.
      • يجب تشفير جميع المعلومات المحمية أثناء الاستخدام والنقل.
      • يجب تشفير جميع المعلومات المحمية أثناء التخزين باستخدام أداة تتطلب آلية تحقق ثانوية غير مدمجة في نظام التشغيل من أجل الوصول إلى المعلومات.
      • يجب تشفير جميع البيانات اللاسلكية أثناء الاستخدام والنقل.
      • يجب تشفير أو اختزال كافة بيانات الاعتماد باستخدام بيانات عشوائية عند تخزينها.
      • يجب ضمان أن جميع أسماء المستخدمين وبيانات التحقق الخاصة بالحسابات تُنقل عبر الشبكات باستخدام قنوات مشفرة.
      • يجب تشفير وسائط تخزين الخوادم، بما في ذلك الأقراص الثابتة أو التخزين المتصل بالشبكة (NAS) أو التخزين المتصل بشبكة منطقة التخزين (SAN) أو أي نوع آخر من وحدات التخزين المتصلة.
      • يجب تشفير قواعد البيانات لمنع الاطلاع غير المصرح به للبيانات المصنفة مقيد وسري وسري للغاية.
      • يجب نقل البيانات عبر الشبكة وبين الأنظمة باستخدام آليات تشفير قوية بما يكفي لتقليل مخاطر تعرض البيانات.
      • يجب تشفير ملفات قاعدة البيانات على مستوى قاعدة البيانات أو المستوى الميداني، وفقًا للسياسات والإجراءات ذات الصلة الخاصة بجامعة الإمام محمد بن سعود الإسلامية.
      • يجب تشفير أشرطة النسخ الاحتياطي التي تخزن نسخًا احتياطية، ولا يجوز تخزين المفتاح في نفس الأشرطة بنص عادي.
      • يجب تشفير البيانات للمسؤول أو المستخدم أو التطبيق من وإلى نظام إدارة قواعد البيانات (DBMS).
      • يجب تطبيق التشفير بين الطرفيات (end-to end encryption) لاتصالات تطبيقات الويب من الخادم والعميل.



- المعلومات الأخرى ذات العلاقة بالتشفير:

الهدف : ضمان إدارة البيانات والمعلومات المستخدمة مع المفاتيح بصورة آمنة.

المخاطر المحتملة : قد تؤدي الإدارة غير الآمنة للبيانات والمعلومات المستخدمة مع المفاتيح إلى مخاطر كبيرة قد تتسبب بسرقة المعلومات أو الكشف عنها أو الوصول غير المصرح به إليها.

الإجراءات المطلوبة:

      • ​​​يجب حماية كافة المعلومات المستخدمة مع خوارزميات التشفير والمفاتيح.
      • يجب حماية الخصائص المشتركة لمعلومات التشفير وفقاً لنوعها.
      • يجب الحصول على ضمان بشأن صلاحية "معيار النطاق" لكافة خوارزميات المفاتيح العامة الخاصة بالدخول المنفصل لضمان صحة معايير النطاق حسابياً. وذلك من خلال إحدى الطرق التالية:
        • ​الحصول على ضمان من الجهة المسؤولة عن المفتاح أو الجهة المسؤولة عن التحقق من المفتاح أو طرف خارجي موثوق.
        • التحقق من المفاتيح العامة اعتماداً على الخوارزميات المستخدمة.
      • يجب إدراج آليات لا تعتمد على التشفير في أنظمة الاتصالات لضمان توافر المعلومات المشفرة المنقولة بعد استلامها بنجاح، بدلاً من الاعتماد على إعادة إرسالها من قبل المرسل الأصلي لغايات توافرها مستقبلاً.


- خوارزميات التشفير وتصاميمها:

الهدف : ضمان استخدام خوارزميات وتصاميم التشفير المعتمدة والآمنة عند التشفير.

المخاطر المحتملة : ينطوي استخدام خوارزميات وتصاميم التشفير غير الآمنة أو غير المعتمدة على مخاطر كبيرة قد تتسبب بسرقة المعلومات أو الكشف عنها أو الوصول غير المصرح به إليها.


الإجراءات المطلوبة:

      • ​​​​يجب استخدام خوارزميات دوال الاختزال المشفرة فقط بحيث لا يكون من الممكن العثور على نص له نتيجة اختزال معينة (مقاومة عكس الخوارزمية)، أو العثور على نصين لهما نفس نتيجة الاختزال (مقاومة التصادم).
      • يجب استخدام خوارزميات دوال اختزال مشفرة المقبولة بناء على المعايير الوطنية للتشفير (NCS-1:2020).
      • يجب استخدام أطوال المفاتيح التي لا تقل عن 128 بت في جميع خوارزميات المفاتيح المتماثلة.
      • يجب استخدام شفرة التحقق من الرسائل (MAC) لضمان سلامة البيانات والتأكد من قيام الجهة المتوقعة بحساب شفرة التحقق من الرسائل (MAC).
      • يجب استخدام خوارزميات شفرة التحقق من الرسائل (MAC) بناءً على خوارزميات التشفير الكتلي (Block Cipher)، (مثل شفرة التحقق من الرسائل باستخدام التشفير "CMAC")، أو بناءً على خوارزميات حساب ملخص النص المميز (شفرة التحقق من الرسائل المجزأة "HMAC").
      • يجب عدم استخدام نفس المفتاح لغايات التشفير واحتساب شفرة التحقق من الرسائل (MAC) في حال استخدام نفس خوارزمية التشفير الكتلي (Block Cipher).
      • يجب استخدام خوارزميات التواقيع الرقمية المعتمدة لتوفير التحقق الآمن والتحقق من سلامة المعلومات ودعم عدم إنكار صحة البيانات.
      • يجب استخدام خوارزميات التواقيع الرقمية التالية مع أطوال المفاتيح المعتمدة لكل من:
        • ​خوارزمية التوقيع الرقمي (خوارزمية ""DSA).
        • خوارزمية ريفست وشامير وإديلمان (خوارزمية "RSA").
        • خوارزمية التوقيع الرقمي للمنحنى الإهليلجي (خوارزمية ECDSA"").
        • خوارزمية ميركل (خوارزمية " Merkle"(.
      • يجب إصدار التواقيع الرقمية باستخدام مفاتيح تلبي أو تتجاوز أطوال المفاتيح المعتمدة للخوارزمية.
      • يجب استخدام طرق تبادل المفاتيح المعتمدة التالية لإعداد المفاتيح بين الجهات التي تقوم بالاتصالات:
        • ​نقل المفاتيح: يجب نقل مواد صياغة المفاتيح من جهة إلى أخرى باستخدام خوارزمية متماثلة (أي باستخدام مفاتيح تشفير المفاتيح) أو باستخدام خوارزمية غير متماثلة.
        • الاتفاق على المفاتيح: يجب أن تتعاون الجهات في إنشاء مواد صياغة المفاتيح المشتركة باستخدام خوارزميات متماثلة أو غير متماثلة.
      • يجب استخدام طرق تبادل المفاتيح المعتمدة باستخدام أطوال المفاتيح المعتمدة. وتشمل هذه الطرق خوارزمية ديفي- هيلمان (خوارزمية "DH") وخوارزمية "RSA" وخوارزمية “Elliptic Curve Diffie-Hellman" (“ECDH") للمستوى المتقدم.
      • يجب استخدام درجة قوة لا تقل عن 256 بت لخوارزميات التشفير المستخدمة للأنظمة الحساسة بناء على المعايير الوطنية للتشفير (NCS-1:2020).
      • يجب استخدام درجات قوة لا تقل عن 256 بت لخوارزميات الاختزال المستخدمة للأنظمة الحساسة.
      • يجب استخدام التشفير والتوثيق باستخدام البيانات المرتبطة والتصاميم المقبولة لذلك مثل:
        • Galois Counter Mode (GCM)
        • ​Counter with CBC-MAC (CCM)
      • عند استخدام تصاميم التشفير الهجينة يجب استخدام التصاميم المقبولة لها مثل 
        • ​Elliptic Curve Integrated Encryption Scheme (ECIES)
        • Discrete Logarithm Integrated Encryption Scheme (DLIES)
        • RSA with Optimal Asymmetric Encryption Padding (RSA-OAEP)


- بروتوكولات التشفير الشائعة:

الهدف : ضمان استخدام برتوكولات التشفير المعتمدة والآمنة عند التشفير.

المخاطر المحتملة : ينطوي استخدام بروتوكولات التشفير غير الآمنة أو غير المعتمدة على مخاطر كبيرة قد تتسبب بسرقة المعلومات أو الكشف عنها أو الوصول غير المصرح به إليها.

الإجراءات المطلوبة:

      • ​​​​​يجب استخدام خوارزميات بروتوكول الإنترنت الآمن (IP Security) وبالنسبة للتوثيق، يجب استخدام حقل التوثيق (AH) وتغليف البيانات الآمن (ESP) مع تصاميم التوثيق (MAC)  مثلHMAC-SHA2-384 , HMAC-SHA3-256 .
      • يجب استخدام الإصدارات المقبولة لبروتوكول طبقة النقل الآمنة (TLS)مثل  (TLS 1.2)  و(TLS 1.3)  .
      • يجب استخدام بروتوكول نظام اسم النطاق الآمن (DNSSEC) والمتطلبات المقبولة لتوقيع بيانات المنطقة ولتوثيق الرسائل مثل (ECDSA_P384_SHA-384) وHMAC_SHA- 384) ).
      • يجب استخدام الإصدارات والمتطلبات المقبولة لبروتوكول الاتصال الآمن عن بعد مثل (SSH-2)   وAEAD_AES_128_GCM)).
      • يجب استخدام الإصدارات والمتطلبات المقبولة للبلوتوث مثل (Bluetooth 4.1) و (Security Mode 4)  و (AES-CCM).
      • يجب استخدام المتطلبات المقبولة لنظام الاتصالات المتنقلة العالمية (UMTS) / الجيل الرابع(4G)  / الجيل الخامس(5G)  مثل: 
        • ​لنظام الاتصالات المتنقلة العالمية (UMTS) يتم استخدام (UEA1-128) مع (UA1-128)
        • للجيل الرابع (4G) يتم استخدام (128-EEA2) مع (128-EIA2) 
        • للجيل الخامس (5G) يتم استخدام (128-NEA2) مع (128-NIA2)
      • يجب استخدام الإصدارات المقبولة للوصول الآمن للشبكة اللاسلكية مثل. (WPA3-Enterprise)
      • يجب استخدام بروتوكول كيربيروس والمتطلبات المقبولة له للمستويين الأساسي والمتقدم مثل:
        • ​(CAMELLIA128-CTS-CMAC) 
        • AES256-CTS-HMAC-SHA3))
      • يجب استخدام بروتوكول إدارة الخادم الذي يدعم التشفير أو اعداد التشفير لبروتوكولات إدارة الخادم، مثل (LDAP) عبر (TLS) و (SNMPv3) مع المصادقة والخصوصية و (Kerberos) مع (TLS) وسجل النظام المشفر وما إلى ذلك.
      • يجب اعداد التشفير لتطبيق الخادم وبروتوكولات اتصال قاعدة البيانات، مثل HTTPS)) أو Secure API)) أو (TDE) أو (SQL) مع (TLS) و (SFTP) وSSHv2)) وما إلى ذلك.
      • لا يجوز استخدام البروتوكولات غير المشفرة أو الخدمات غير الآمنة (مثل (HTTP) وFTP)) وما إلى ذلك)، ويجب استخدام (HTTPS) و (FTPٍS) وما إلى ذلك بدلاً من ذلك.
      • يجب تنفيذ تقنيات التشفير، مثل بروتوكول أمان طبقة النقل (TLS) والشبكات الخاصة الافتراضية (VPN) ، لحماية آليات المصادقة أثناء الإرسال.
      • يجب تخصيص الاعدادات لبروتوكولات تطبيقات الويب لاستخدام التشفير حيثما كان ذلك ممكنًا (على سبيل المثال لا الحصر، (HTTPS)، و (SFTP) عبر (TLS) ، وما إلى ذلك).
      • يجب تقييد استخدام بروتوكولات الإدارة المشفرة الآمنة مثل Secure Shell) ((SSH) v2 وبروتوكول سطح المكتب البعيد (RDP) عبر (TLS).​
روابط الجهة
روابط مهمة
تابعنا على
جميع الحقوق محفوظة لجامعة الإمام © - م