• تصميم وتطبيق شبكة معزولة منطقيًا و/أو ماديًا مع الأخذ بعين الاعتبار احتياجات الأعمال والمعمارية المؤسسية وذلك بالاستناد إلى الدفاع الأمني متعدد المراحل والمعمارية متعددة المستويات.
• تطبيق المستوى الملائم من ضوابط الأمن السيبراني على الأجزاء الشبكية المختلفة بناءً على قيمة وتصنيف المعلومات المخزنة أو المعالجة في الشبكة ومستويات الموثوقية والتأثير على الأعمال والمخاطر المرافقة.
• تطبيق المعمارية متعددة المستويات المحمية بجدار حماية ثنائي الطبقة. وعلى وجه الخصوص، تقسيم الشبكة إلى ثلاثة مستويات أو أكثر (مستوى الحدود/المحيط، والمستوى الرئيسي، والمستوى الموثوق)، وتقسيم الأجزاء الشبكية إلى مناطق (المنطقة المحايدة "DMZ"، ومنطقة الإدارة، ومنطقة الإنتاج، ومنطقة التطوير/الاختبار، وغيرها) وفقًا للبنية المؤسسية والبنية الأمنية في جامعة الإمام محمد بن سعود الإسلامية.
• تصميم وإعداد الشبكات لتصفية مرور البيانات بين مختلف أجزاء الشبكة ومنع الوصول غير المصرح به.
• وضع الخوادم أو مخازن البيانات التي تتضمن معلومات حساسة في أجزاء شبكية منفصلة ومخصصة.
• إعداد جدران الحماية والموجّهات (Routers) لمنع أي اتصالات غير مصرح بها بين الشبكات غير الموثوقة وأي مكونات نظام تقوم بتخزين معلومات حساسة.
• تحديد وتطبيق المستويات والحدود لكل منطقة أمنية.
• تحديد وتطبيق منطقة أو جزء شبكي لواجهات الإدارة المستقلة، بما في ذلك كافة خوادم الإدارة، والمعدات ذات صلاحية الوصول الإدارية، وخوادم بروتوكول النقل الآمن (SSH)، وخوادم الوصول إلى المناطق الآمنة (Jump Servers)، وأجهزة الحاسب ذات الصلاحيات والامتيازات الهامة والحساسة (PAWs).
• فصل الشبكات اللاسلكية عن الشبكة الداخلية والشبكات المعزولة والشبكات الخاصة.
• تحديد الخوادم والشبكات وبيئات الإنتاج والاختبار والبيئات الحساسة المستخدمة في تطوير واختبار وفحص وتخزين البيانات والنشاطات ذات الصلة وفصلها عن الشبكات الأخرى.
• فصل أجزاء الأنظمة الحساسة منطقيًا عن البيئات الأخرى.
• منع الأنظمة الحساسة من الاتصال بالشبكة اللاسلكية.
• منع الأنظمة الحساسة من الاتصال بالإنترنت في حال كانت هذه الأنظمة تقدم خدمات داخلية ولا تحتاج إلى صلاحية الوصول عن بعد أو الوصول عبر الإنترنت.
• مراجعة الإعدادات والقواعد والسياسات والملفات التعريفية الأمنية لجدران الحماية والموجهات (Routers) التي تدعم الشبكات الحساسة مرة كل ستة أشهر على الأقل.
  

• الاحتفاظ بقائمة جرد محدثة لكافة حدود الشبكة في جامعة الإمام محمد بن سعود الإسلامية.
• القيام بعمليات مسح وفحص منتظمة من الخارج لكل حد شبكة موثوق لاكتشاف أي اتصالات غير مصرح بها يمكن الوصول إليها عبر الحدود.
• حظر الاتصالات مع عناوين بروتوكولات الإنترنت الضارة أو غير المستخدمة وحصر الوصول بمجالات عنوان بروتوكولات الإنترنت الموثوقة والضرورية عند كل حد من حدود شبكة جامعة الإمام محمد بن سعود الإسلامية.
• حظر الاتصالات عبر منافذ بروتوكول التحكم بالنقل (TCP) أو بروتوكول حزم بيانات المستخدم (UDP) أو حركة التطبيقات لضمان السماح فقط للبروتوكولات المصرح لها بالدخول أو الخروج من الشبكة عبر حدود الشبكة عند كل حد من حدود شبكة جامعة الإمام محمد بن سعود الإسلامية.
• إعداد أنظمة المراقبة لتسجيل حزم بيانات الشبكة التي تمر عبر الحدود عند كل حد من حدود شبكة جامعة الإمام محمد بن سعود الإسلامية.
• تثبيت حساسات أنظمة كشف التسلل (IDS) على الشبكة لكشف أي آليات هجوم غير اعتيادية وكشف أي انتهاكات أمنية لهذه الأنظمة عند كل حد من حدود شبكة جامعة الإمام محمد بن سعود الإسلامية.
• تثبيت أنظمة الحماية المتقدمة لاكتشاف ومنع الاختراقات (IDPS) على الشبكة لكشف أي حركة بيانات خبيثة على الشبكة عند كل حد من حدود شبكة جامعة الإمام محمد بن سعود الإسلامية.
• تثبيت تقنيات كشف/منع التهديدات المتقدمة المستمرة (APT) على الشبكة لكشف أو منع الهجمات على الشبكة والهجمات غير المعروفة مسبقًا عند كل حد من حدود شبكة جامعة الإمام محمد بن سعود الإسلامية.
• تثبيت جدار حماية التحقق من التطبيقات لحجب أي تطبيقات غير مدرجة في قائمة التطبيقات المسموحة أو غير معروفة أو لا تمتثل للضوابط الأمنية (مثل التطبيقات التي تتواصل عبر منفذ بروتوكول حزم بيانات المستخدم الخاص بنظام أسماء النطاقات "UDP/53" وهي غير ممتثلة لبروتوكول نظام أسماء النطاقات (DNS)) عند كل حد من حدود شبكة جامعة الإمام محمد بن سعود الإسلامية.
• تثبيت جدار الحماية لتطبيقات الويب (WAF) لتحليل وتصفية ومراقبة حركة البيانات، ومنع حركة بيانات من الإنترنت غير مصرح لها من وإلى تطبيقات الويب.
• ضبط إعدادات بروتوكولات التشفير المقبولة والموافق عليها مثل بعض أنواع أمن طبقة النقل (TLS) للعمل على أي جهاز من أجهزة جدران الحماية لتطبيقات الويب (WAF) للتحقق من البيانات غير المشفرة. وفي حال عدم دعم الجهاز عملية تفريغ البيانات عبر أمن طبقة النقل، فلا بد من وضع جدار الحماية لتطبيقات الويب في جهاز فك تشفير للتحقق من البيانات غير المشفرة، أو تثبيت جدار الحماية لتطبيقات الويب على المستضيف.
• تفعيل خاصية جمع معلومات حركة البيانات عبر الشبكة (NetFlow) وتسجيل البيانات على كافة أجهزة حدود الشبكة.
• ضمان أن كافة أشكال حركة البيانات عبر الشبكة من أو إلى الإنترنت تمر عبر خادم وكيل طبقة التطبيقات المعتمدة والمجهز لتصفية الاتصالات غير المصرح بها.
• السماح للمستخدمين بالوصول إلى فئات عناوين (URL) محددة ومصرح بها، ومنع إمكانية الوصول إلى فئات العناوين (URL) الضارة أو المخصصة للاختراق، أو التي تعمل عبر خوادم مفوضة (Proxy) أو خوادم غير معروفة الهوية، أو المخصصة للتصيد أو المشبوهة أو غير المعروفة أو غير المصنفة.
• فك تشفير كافة حركة بيانات تصفح الإنترنت المشفرة عند الخادم المفوض (Proxy) على الحدود قبل تحليل المحتوى. يمكن لجامعة الإمام محمد بن سعود الإسلامية استخدام قائمة محددة من التطبيقات لمواقع مسموحة يمكن الوصول إليها عبر خادم المفوض (Proxy) دون فك تشفير حركة البيانات.
• ضبط إعدادات الوصول وتسجيل الدخول عن بعد إلى شبكة جامعة الإمام محمد بن سعود الإسلامية للقيام بتشفير البيانات قيد الاستخدام والنقل، واستخدام التحقّق من الهوية متعدّد العناصر.
• تثبيت جهاز وصول عن بعد يستخدم تقنيات مثل الشبكات الخاصة الافتراضية أو حلول طبقة المنافذ الآمنة-الشبكات الخاصة الافتراضية (SSL-VPN) لحجب وحماية كافة أشكال الوصول إلى شبكة جامعة الإمام محمد بن سعود الإسلامية.
• مسح جميع الأجهزة التي تقوم بالدخول عن بعد إلى شبكة جامعة الإمام محمد بن سعود الإسلامية قبل وصولها إلى الشبكة لضمان تطبيق جميع سياسات الأمن المعتمدة في جامعة الإمام محمد بن سعود الإسلامية بنفس الطريقة التي تم تطبيقها على أجهزة الشبكة المحلية.
• تثبيت تقنيات كشف/منع هجمات حجب الخدمة (DoS) وهجمات تعطيل الخدمات الموزعة (DDoS) على أجهزة جامعة الإمام محمد بن سعود الإسلامية أو من قبل أطراف خارجية لكشف وحجب هجمات حجب الخدمة (DoS) عند كل حد من حدود شبكة جامعة الإمام محمد بن سعود الإسلامية.
• تثبيت تقنيات أمن نظام أسماء النطاقات (DNS) لكشف ومنع الهجمات على نظام أسماء النطاقات عند كل حد من حدود شبكة جامعة الإمام محمد بن سعود الإسلامية.
• تفعيل خاصية تسجيل الاستفسارات على نظام أسماء النطاقات (DNS) لكشف وتحديد اسم المستضيف للنطاقات الخبيثة المعروفة.
• تثبيت بوابة أمن البريد الإلكتروني لكشف ومنع الهجمات عبر البريد الإلكتروني على حدود شبكة جامعة الإمام محمد بن سعود الإسلامية.
• ضمان التحديث المنتظم لكافة خدمات الاشتراك وفئات العناوين (URL) ومصادر المعلومات الاستباقية والقوائم المحددة من التطبيقات الممنوعة (Blacklists) والمؤشرات المعرفة المسبقة.

4-القيود والضوابط :

الهدف : الحد من مصادر الهجمات وحماية الشبكة الداخلية من التهديدات.

المخاطر المحتملة : يؤدي ضعف حماية الشبكة الداخلية والقيود والضوابط الخاصة بها إلى زيادة مخاطر التهديدات الداخلية والحركة الجانبية (Network Lateral Movement).

الإجراءات المطلوبة :

• ربط المنافذ والخدمات والأجهزة النشطة بأصول المعدات في قائمة جرد الأصول.
• تقييد منافذ الشبكة وبروتوكولاتها والخدمات المتاحة على النظام وحصرها على متطلبات الأعمال لكل نظام.
• القيام بعمليات مسح آلية للمنافذ بشكل منتظم على كافة الأنظمة، والتنبيه عند اكتشاف منافذ غير مصرح بها على النظام.
• تفعيل جدار حماية المستضيف أو أدوات تصفية المنافذ لكل نظام مع تطبيق قاعدة المنع التلقائي التي تحجب جميع أشكال حركة البيانات باستثناء الخدمات والمنافذ المصرح لها فقط.
• تثبيت جدار حماية لمركز البيانات لفحص ومراقبة الاتصالات عبر الشبكة المحلية الافتراضية (VLAN)، والمنافذ الموثوقة وغير الموثوقة، وما بين المناطق والأجزاء والخوادم لحماية الشبكات الداخلية وحجب الهجمات الداخلية.
• إعداد سياسات جدار الحماية ونموذج القواعد لاتباع نموذج الأمن الإيجابي (نموذج السماح بقائمة محددة (whitelisting)) من خلال منع كافة أنواع حركة البيانات تلقائيًا والسماح فقط بحركة بيانات محددة إلى خدمات معينة. ويمكن تحقيق هذا الأمر من خلال ضبط إعدادات آخر قاعدة في قائمة التحكم بالوصول بحيث تحجب كافة أنواع حركة البيانات. ويمكن القيام بهذا الأمر بشكل صريح أو ضمني حسب المنصة.
• إعداد جدار حماية لمركز البيانات مجهز بآلية التعرف على التطبيقات (المستوى 4 - المستوى 7) وآلية السماح بقائمة محددة (Whitelisting) ومنع قائمة محددة أخرى (Blacklisting).
• ضبط إعدادات قوائم جدار الحماية بآلية التعرف على المستخدم لوضع السياسات بناءً على هوية المستخدم (UID).
• في حال كانت شبكة جامعة الإمام محمد بن سعود الإسلامية تعمل على الإصدار الرابع من بروتوكول الإنترنت (IPv4)، يجب تطبيق ضوابط الأمن من المستوى 2 لحماية الشبكة الداخلية.
• إعداد شبكات محلية​ افتراضية خاصة/معزولة لأجزاء الشبكة الحساسة أو الأجزاء المعزولة من الشبكة.
• منع إمكانية وصول الشبكات أو أجزاء الأنظمة الحساسة إلى أي نظام في البيئة التقنية ما لم يتم مسحها مع تطبيق الضوابط الأمنية اللازمة والتحقق من الوضع الأمني للنظام.
• عزل شبكة الاتصالات من خلال وضعها في شبكات محلية افتراضية منفصلة وملائمة بناءً على وظيفتها مع استغلال الشبكات المحلية الافتراضية الخاصة أو التجزئة الدقيقة للشبكة.
  
  

5-الوصول اللاسلكي:

الهدف : تطبيق الضوابط الأمنية الملائمة لاستخدام الشبكات اللاسلكية وحمايتها.

المخاطر المحتملة : في حال تم ترك الشبكات اللاسلكية من دون حماية، ستتعرض جامعة الإمام محمد بن سعود الإسلامية لمخاطر الاتصال غير المصرح به بالشبكة أو كشف البيانات.

الإجراءات المطلوبة :

• إجراء تقييم مخاطر شامل لتقييم مخاطر اتصال الشبكات اللاسلكية بالشبكة الداخلية.
• الاحتفاظ بقائمة جرد بنقاط الوصول اللاسلكية المصرح بها والمتصلة بالشبكة السلكية.
• إعداد أدوات مسح الثغرات الأمنية في الشبكة لكشف أو منع أي وصول لاسلكي غير مصرح به متصل بالشبكة السلكية والتنبيه بوجوده.
• استخدام نظام كشف التسلل اللاسلكي (WIDS) لكشف أي وصول لاسلكي غير مصرح به متصل بالشبكة السلكية والتنبيه بوجوده.
• إلغاء تفعيل الوصول اللاسلكي على الأجهزة التي لا تقتضي طبيعة عملها ذلك.
• إعداد الوصول اللاسلكي على أجهزة المتصلين التي لا تحتاج لذلك لغايات العمل بحيث يتم السماح بالوصول إلى الشبكات اللاسلكية المصرح بها فقط وتقييد الوصول إلى الشبكات اللاسلكية الأخرى.
• إلغاء تفعيل قدرات الشبكة اللاسلكية (المخصصة) لمشاركة الملفات بين الأجهزة مباشرة على الشبكات اللاسلكية لدى المتصلين.
• إعداد نقاط الوصول اللاسلكية والأجهزة اللاسلكية للاتصال بالشبكة اللاسلكية باستخدام بروتوكولات آمنه مثل (WPA3).
• ضمان استخدام الشبكات اللاسلكية لبروتوكولات التحقق مثل بروتوكول المصادقة القابل للامتداد-أمن طبقة النقل (EAP/TLS) الذي يقتضي استخدام التحقّق من الهوية متعدّد العناصر بشكل متبادل.
• إلغاء تفعيل الوصول اللاسلكي للأجهزة الطرفية الموجودة على الأجهزة (مثل تقنية بلوتوث "Bluetooth" والاتصال قريب المدى "NFC") ما لم تقتض طبيعة العمل ذلك.
• إنشاء شبكات لاسلكية منفصلة للأجهزة الشخصية أو غير الموثوقة، والتعامل مع هذه الشبكات بحذر واعتبارها مصادرًا غير موثوقة مما يستدعي مراقبتها وتصفيتها بشكل مستمر.
  
  

6-التشفير :

الهدف : ضمان الحفاظ على سريّة حركة بيانات الشبكة والتأكّد من سريتها لحمايتها من الوصول غير المصرّح به والكشف عن المعلومات المحمية.

المخاطر المحتملة : قد يؤدي عدم وجود التقنيات الأمنية المناسبة لضمان تشفير بيانات الشبكة إلى تعرض بيانات جامعة الإمام محمد بن سعود الإسلامية لمخاطر سيبرانية نتيجة الوصول غير المصرح به إليها.

الإجراءات المطلوبة :

• تطبيق أفضل معايير التشفير للشبكات وفقًا لمعيار التشفير المعتمد لدى جامعة الإمام محمد بن سعود الإسلامية.    
• استخدام بروتوكولات الإدارة المشفرة الآمنة، مثل بروتوكول النقل الآمن (SSHv2) وبروتوكول التحكم بسطح المكتب عن بعد (RDP) عبر أمن طبقة النقل (TLS). 
• تشفير حركة بيانات الشبكة الحساسة باستخدام الجيل التالي من خوارزميات التشفير المدعومة (مثل التشفير بمجموعة “Suite B") وفقًا لمعيار التشفير المعتمد في جامعة الإمام محمد بن سعود الإسلامية.
• تشفير حركة بيانات الوصول عن بعد عبر أمن بروتوكول الإنترنت (IPSec) أو أمن طبقة النقل (TLS) باستخدام الجيل التالي من خوارزميات التشفير المدعومة (مثل التشفير بمجموعة “Suite B") وفقًا لمعيار التشفير المعتمد لدى جامعة الإمام محمد بن سعود الإسلامية.
• إعداد بروتوكولات التطبيقات لتستخدم التشفير حيثما أمكن (مثل: بروتوكول نقل النص التشعبي الآمن HTTPS"" وبروتوكول النقل الآمن "FTPS" عبر طبقة المنافذ الآمنة "SSL"، وبروتوكول النفاذ إلى الدليل البسيط LDAP"" عبر طبقة المنافذ الآمنة "SSL").
  

7-التحقق من سلامة البرمجيات والعتاد :

الهدف : ضمان أن جميع برامج وعتاد الشبكة تأتي من مصادر شرعية وأنه لم يتم العبث بها والتحقق من ذلك.

المخاطر المحتملة : تعتبر الاختراقات في سلسلة الإمداد فرصة لتركيب وتثبيت البرامج والمعدات الخبيثة ضمن شبكة جامعة الإمام محمد بن سعود الإسلامية، وقد تؤثر البرامج والعتاد الذي يتعرض لانتهاك أمني على أداء الشبكة ويهدد سرية وسلامة وتوافر المعلومات الخاصة بجامعة الإمام محمد بن سعود الإسلامية. ونتيجة لذلك، سيصبح من الممكن تحميل البرمجيات غير المصرح بها أو الخبيثة على الجهاز بعد تشغيلها.

الإجراءات المطلوبة :

• فحص كافة أجهزة الشبكة المادية للكشف عن أي علامات لوجود عبث عند التركيب.
• الحصول على البرمجيات وتحديثات النظام وحزم التحديثات والإصلاحات والترقيات الخاصة بمكونات الشبكة من مصادر موثوقة.
• أثناء تنزيل البرمجيات من الإنترنت، يجب التحقق من التجزئة مع قاعدة بيانات المورد لكشف أي تعديل غير مصرح به على البرامج الثابتة أو البرمجيات.

8-معايير أخرى :

الهدف: تطبيق جميع المعايير والمتطلبات الأمنية للشبكات لضمان أعلى مستويات الحماية.

المخاطر المحتملة : عدم تطبيق المعايير الأمنية المطلوبة لحماية الشبكة الخاصة بجامعة الإمام محمد بن سعود الإسلامية يعرضها إلى تهديدات سيبرانية تهدف إلى تعطيل الأعمال والخدمات.

الإجراءات المطلوبة :

• تطبيق المعايير التالية:
• معيار التعافي من الكوارث والنسخ الاحتياطية
• معيار تسجيل الأحداث وسجل التدقيق
• معيار الحماية المادية
• معيار الشبكات اللاسلكية
• معيار الإعدادات والتحصين
• المعايير الوطنية للتشفير
  ​