الهدف:

تهدف هذه السياسة إلى تحديد القواعد وآليات استخدام تقنية الوصول عن بعد لشبكة الجامعة، وذلك لضمان تقليل الأضرار والمخاطر الناتجة عن الاستخدام غير المصرح به أو الخاطئ لهذه التقنية، مع ضمان أمان وسلامة بيانات الجامعة.

المجال:

تغطي هذه السياسة جميع العناصر والمكونات المستخدمة في الوصول عن بعد لشبكة الجامعة، سواء كان ذلك عبر الاتصالات السلكية أو اللاسلكية.

________________________________________

 القواعد العامة:

أ‌. منح وحذف الصلاحيات: يتم منح أو حذف صلاحيات الوصول عن بعد للعاملين وفقًا لأدوارهم الوظيفية وحاجتهم العملية، مع مراجعة دورية لهذه الصلاحيات لضمان الاستخدام المصرح به فقط.

ب‌. حماية بيانات تسجيل الدخول: يجب على العاملين المصرح لهم باستخدام تقنية الوصول عن بعد الحفاظ على سرية بيانات تسجيل الدخول الخاصة بهم وعدم مشاركتها مع أي شخص تحت أي ظرف.

ت‌. قنوات اتصال مشفرة: يجب أن تكون جميع قنوات الاتصال عن بُعد مشفرة باستخدام تقنيات مثل IPsec VPN أو SSL VPN، مع مراعاة استخدام كلمات سر قوية وفقًا لسياسة التشفير وكلمات المرور المحدثة.

ث‌. نقطة التحكم في الوصول: يجب أن تمر جميع الاتصالات عبر نقطة تحكم في الوصول قبل السماح للمستخدم بالدخول إلى الشبكة الداخلية، لضمان تأمين عملية المصادقة.

ج‌. التسجيل والمراجعة: يتم تسجيل جميع محاولات الوصول عن بُعد في قاعدة بيانات مركزية، مع مراجعة هذه السجلات بانتظام للكشف عن أي أنشطة غير معتادة أو مريبة.

ح‌. أمان الأجهزة الشخصية: يجب أن تفي الأجهزة الشخصية المستخدمة للوصول عن بعد بجميع متطلبات الأمان، بما في ذلك تحديثات النظام وبرامج مكافحة الفيروسات.

خ‌. توثيق الأجهزة: يجب توثيق الأجهزة المستخدمة في الوصول عن بعد في سجلات الجامعة، وأي تغيير في هذه الأجهزة يتطلب موافقة مدير أمن المعلومات.

د‌. تجنب الشبكات العامة: يجب على المستخدمين تجنب الاتصال بالشبكات العامة غير الآمنة (مثل المقاهي والمطارات) عند الوصول إلى شبكة الجامعة حتى عبر القنوات المشفرة.

ذ‌. ربط الأفرع: عند استخدام تقنية Site-to-Site لربط الأفرع، يجب استخدام قنوات اتصال مشفرة وآمنة مع تحديد وقت الاتصال وفقًا لمتطلبات العمل.

محاكاة تفصيلية للسياسة المقبولة وغير المقبولة

السيناريو الأول: السياسة المقبولة

الجامعة قامت بتطبيق سياسة وصول عن بعد محكمة تضمن الأمان لجميع العاملين عن بُعد.

• الآلية:

أ‌. يتم منح صلاحيات الوصول بناءً على احتياجات الموظفين الوظيفية فقط.

ب‌. يتم تشفير جميع قنوات الاتصال باستخدام SSL VPN.

ت‌. جميع الأجهزة الشخصية المستخدمة تمت مراجعتها والتأكد من توافقها مع متطلبات الأمان.

ث‌. سجل الوصول عن بعد يتم مراجعته بانتظام للكشف عن أي محاولات غير مصرح بها.

النتيجة:

• تمكن أحد الموظفين من العمل من المنزل عبر قناة مشفرة، دون أي محاولات غير مصرح بها. مراجعة السجل أكدت أمان جميع الاتصالات.

السيناريو الثاني: السياسة غير المقبولة

في الجامعة، لا يتم تطبيق سياسة وصول عن بعد بالشكل الصحيح.

• الآلية:

أ‌. يتم منح صلاحيات الوصول عن بعد دون مراجعة دورية.

ب‌. لا تُستخدم قنوات مشفرة بشكل صحيح.

ت‌. لا يتم تسجيل محاولات الوصول عن بعد بشكل دوري.

ث‌. بعض الموظفين يستخدمون شبكات عامة غير آمنة للوصول إلى الشبكة الداخلية.

النتيجة:

• تعرضت الجامعة لهجوم إلكتروني عبر أحد الموظفين الذي استخدم شبكة عامة غير آمنة، مما أدى إلى تسريب بيانات حساسة. لم يتم اكتشاف الاختراق في الوقت المناسب بسبب عدم مراجعة سجلات الوصول.

خلاصة:

• السياسة المقبولة تعتمد على منح صلاحيات مدروسة، استخدام قنوات اتصال مشفرة، ومراجعة دورية لسجلات الوصول.

• السياسة غير المقبولة تعتمد على صلاحيات مفتوحة، استخدام قنوات غير آمنة، وعدم متابعة الاتصالات بانتظام.

تطبيق السياسة بشكل صحيح يساعد في حماية موارد الجامعة من الاختراقات والمخاطر الناتجة عن الاتصال عن بُعد.