Sorry, you need to enable JavaScript to visit this website.

سياسة كلمة المرور


البنود العامة:

   يجب التقيد بسياسة كلمة المرور عند الإنشاء مع مراعاة هذه القواعد فيما يلي:

·      يجب أن تتوافق جميع كلمات المرور مع هذه السياسة.

·      لا يجوز ترك خانة كلمة المرور أو اسم المستخدم فارغة.

·      يجب أن تكون كلمات المرور قوية بدرجة كافية.

·      يجب أن تكون أنظمة إدارة كلمات المرور تفاعلية ويجب أن تتأكد من جودة كلمات المرور.

·      يجب أن تحتوي كلمات المرورعلى كل ما يلي:

-       حروف إنجليزية صغيرة.

-       حروف إنجليزية كبيرة.

-       أرقام.

-       رموز خاصة (مثل @#$%^&*()! +|~-=\` {} []:";'<>/ وغير ذلك).

·      تحتوي كلمات المرور الضعيفة على الخصائص التالية والتي يجب تجنبها:

-       تحتوي على أقل من عشرة (10) أحرف.

-       تكون كلمة المرور عبارة عن كلمة يمكن إيجادها في القاموس (سواء عربي أو إنجليزي).

-       تكون كلمة المرور من الكلمات شائعة الاستخدام مثل:

§      أسماء العائلة والأصدقاء والزملاء والحيوانات الأليفة وغير ذلك.

§      المصطلحات والأسماء والأوامر والمواقع والشركات والأجهزة والبرامج ذات الصلة بالحواسيب.

§      أيام الميلاد وغيرها من المعلومات الشخصية مثل العناوين وأرقام الجوالات.

§      أنماط الأرقام أو الكلمات مثل aaabbb, qwerty, zyxwvuts, 123321 وغير ذلك.

§      أنماط الكلمات أو الأرقام الواردة أعلاه بشكل عكسي.

§      أي كلمة مرور مما سبق ذكره مسبوقة أو متبوعة برقم (مثل secret1، 1secret).

·      يجب إنشاء كلمات المرور بحيث يسهل على صاحبها تذكرها ويتجنب كتابتها (على سبيل المثال إنشاء كلمة مرور بناءً على أي تأكيد أو عبارة أخرى. على سبيل المثال، قد تكون العبارة على 

النحو التالي( ("This May Be One Way To Remember"فتكون كلمة المرور على النحو التالي:"TmB1w2R!") أو"Tmb1W>r~")، أو غير ذلك.

·      ملاحظة: لا يجوز استخدام أيٍ من هذه الأمثلة ككلمة مرور. 

·      يجب أن تتوافق كلمات المرور المؤقتة (التي يُعدها مديرو العديد من أنظمة معالجة المعلومات) مع هذه السياسة.

·      وحيثما أمكن ينبغي استخدام تقنيات السمات الحيوية، التي ستعفي المستخدمين من تذكر كلمات السر الطويلة.

 

سياسة المنسوبين (أعضاء هيئة التدريس والموظفين) بجامعة الملك سعود:

·      يجب ألا يقل طول كلمة المرورعن 10 أحرف معقدة.

·      سيتم تعطيل جميع حسابات الموظفين الحكوميين غير النشطة في النظام مع خيار "مطوي قيده"، في حالة عدم تسجيل الدخول خلال آخر 6 أشهر.

·      سيتم تعطيل حسابات موظفي الجامعة المتعاقدين في حالة عدم تسجيل الدخول خلال آخر 6 أشهر، بخلاف المستقيلين أو المنتهية خدمتهم.

·      حذف حسابات المتعاقدين من موظفي الجامعة بعد عام واحد، إذا لم يتم إعادة تفعيلها خلال 6 أشهر من التعطيل.

 

سياسة كلمة مرور الطلاب:

·      يجب ألا يقل طول كلمة المرور عن 10 أحرف معقدة.

·      يجب أن تظل كلمة المرور صالحة لمدة 4 أشهر.

·      يجب أن يفي تعقيد كلمة المرور بمتطلبات التعقيد المذكورة في هذه السياسة.

 

  يجب حماية كلمات المرور مع مراعاة هذه القواعد فيما يلي:

·      تعتبر جميع كلمات المرور "سرية" ولا يجوز مشاركتها أو الكشف عنها.

·      يمنع استخدام الحسابات التي تحتوي على كلمات مرور خاصة بالأنظمة في الأنشطة اليومية، وينبغي الاحتفاظ بها في أداة (إدارة مميزات الوصول PAM).

·      يمنع تدوين كلمات المرور في رسائل البريد الإلكتروني أو غيرها من وسائل التواصل الإلكترونية مثل وسائل التواصل الاجتماعي.

·      يمنع مشاركة كلمات المرور في الجامعة مع أي شخص، بما في ذلك موظفي الدعم الفني، أو المساعدين الإداريين، أو السكرتارية، أو المدير، أو أعضاء فريق العمل، أو أعضاء هيئة التدريس، أو أفراد الأسرة، أو غير ذلك.

·      يمنع على المستخدمين التلميح عن صيغة كلمة المرور (مثل "كلمة المرور هي اسم عائلتي").

·      يمنع على المستخدمين الكشف عن كلمات المرور الخاصة بهم في الاستبانات أو النماذج الأمنية.

·      في حالة طلب أي شخص الحصول على كلمة المرور الخاصة بالمستخدمين، فيجب الإشارة إلى هذه الوثيقة وتوجيه هذا الشخص إلى التواصل مع الإدارة العامة للأمن السيبراني.

·      في حالة الاشتباه في اختراق أي حساب أو كلمة مرور، يجب إبلاغ الإدارة العامة للأمن السيبراني في الجامعة بهذه الحادثة.

·      يجب تغيير جميع كلمات مرور الأنظمة (مثل: حسابات المستخدم الرئيسي، إدارة الشبكات وإدارة التطبيقات، وغيرها) كل ثلاث أشهر على الأقل.

·      يجب تغيير كلمات المرور الخاصة بجميع المستخدمين (مثل البريد الإلكتروني، الويب وغيرها) مرة كل ثلاثة أشهر.

·      يجب أن تكون جميع كلمات المرور مختلفة، لا يجوز للمستخدم إعادة استخدام آخر ستة كلمات مرور.

·      يجب حظر المستخدم من النظام إذا لم ينجح في تسجيل الدخول بعد عشر (10) محاولات، ولا يمكن فك الحظر عن حسابات المستخدمين المحظورة إلا من قبل مدير النظام.

·      يجب تنفيذ فترة تأخير مُحددة ومضاعفة بعد كل محاولة مصادقة فاشلة (على سبيل المثال: سيكون هناك تأخير خمس ثوانٍ، وبعد فشل المحاولة الثانية سيكون هناك تأخير عشر ثوانٍ، وبعد فشل المحاولة الثالثة سيكون هناك تأخير عشرين ثانية وهكذا).

·      يجب على المستخدمين الالتزام بالحذر البالغ عند إدخال كلمات المرور أثناء المصادقة والتأكد من إدخالها في الخانة المخصصة لكلمات المرور.

·      يجب أن يكون المستخدمين على دراية بالأساليب العامة لسرقة كلمات المرور مثل: التصيد الإلكتروني والهندسة الاجتماعية واستراق النظر وغير ذلك.

·      لا يجوز للمستخدمين تضمين كلمات المرور في أي عملية تسجيل دخول تلقائية، على سبيل المثال تخزينها في وظيفة الأمر المركب (macro) أو مفتاح الوظيفة.

·      إذا تم تغيير كلمة المرور أو إعادة تعيينها، وكان المستخدم لم يطلب ذلك، فيجب عليه إخطار فريق الدعم الفني بذلك على الفور.

 

   يجب تخزين كلمات المرور مع مراعاة هذه القواعد فيما يلي:

·      كلمات المرور مصنفة على أنها سرية، ومن ثم يجب حمايتها وفقًا لذلك.

·      يجب تقييد الوصول إلى الملفات التي تحتوي على كلمات مرور كما يجب أن تكون كلمات المرور المخزنة مقسمة ومخفية بطريقة مشفرة بدلًا من مجرد تخزين كلمات المرور العادية فقط ويجب أن تحتفظ جميع أنظمة معالجة البيانات بكلمة مرور معينة لها صلاحية لفترة محددة سابقًا.

·      يجب أن تحتفظ جميع أنظمة المعلومات، إن أمكن من الناحية الفنية، بسجل لكلمات المرور المستخدمة سابقًا لكل حساب مستخدم.

·      يحظر تخزين كلمات المرور بطريقة تسمح بالاطلاع عليها بشكل غير مصرح به، مثل كتابتها وتركها على المكتب أو نسخها على شاشة الحاسب وغير ذلك.

·      يمنع أن تكون كلمات المرور النصية الواضحة مُضمنة في ملفات التطبيق أو ملفات المستخدم أو في إعدادات نقل الملفات وغير ذلك.

·      ينبغي تخزين ملفات كلمات المرور بطريقة منفصلة عن بيانات نظام التطبيق الأساسية.

·      يجب دائمًا رفض خيار "تذكر كلمة المرور" في التطبيقات (مثل: Outlook).

·      يجب أن تخزن أداة إدارة مميزات الوصول وتسترجع وتدير كلمات مرور الحسابات الإدارية بشكل آمن، ولا يجوز منح أي شخص صلاحية الوصول إلى هذا النظام باستثناء مديري النظام المصرح لهم.

 

   يجب تغيير كلمات المرور مع مراعاة هذه القواعد فيما يلي:

·      يجب أن تفرض جميع أنظمة معالجة البيانات على المستخدمين تغيير كلمات المرور الخاصة بهم بعد تسجيل الدخول لأول مرة.

·      يجب أن يفرض مديرو النظام على المستخدمين تغيير كلمات المرور الخاصة بهم بعد إعادة تعيينها.

·      يجب أن تفرض جميع أنظمة معالجة البيانات على المستخدمين تغيير كلمات المرور الخاصة بهم بشكل دوري بعد فترة محددة مسبقًا.

·      يجب تغيير كلمات المرور الافتراضية التي تكون على الأجهزة وأنظمة التشغيل والتطبيقات قبل توزيعها لبدء العمل عليها.

·      يجب تغيير كلمات المرور فورًا في حالة اختراق حساب المستخدم أو في حالة اكتشاف أو الاشتباه في تسريب البيانات مع الإبلاغ عن هذه الحالة كحادثة.

·      في حالة ترْك موظفي الجامعة أو موظفي الجهة الخارجية الجامعة، يجب حذف حسابهم أو تغيير كلمة المرور فورًا.

·      إذا أراد المستخدم  تغيير كلمة المرور الخاصة به، فيجب عليه إدخال كلمة المرور الحالية للتحقق من هويته قبل تعيين كلمة مرور جديدة.

 

 يجب مراعاة كلمات المرور الخاصة بالتطبيقات مع التقيد بهذه القواعد:

·      يجب أن يتأكد مطورو البرامج من أن برامجهم تحتوي على التدابير الوقائية الأمنية التالية:

-       أن تدعم البرامج مصادقة المستخدمين الأفراد ولا تدعم مصادقة المجموعات.

-       لا يجوز تخزين كلمات المرور في نص عادي أو بأي طريقة معكوسة يسهل حلها.

-       يجب أن تدعم هذه البرامج خاصية تنفيذ سياسة كلمات المرور في الجامعة.

-       يجب توفير بعض أنواع إدارة المهام، بحيث يتمكن أحد المستخدمين من الحصول على مهام مستخدم آخر دون الحاجة إلى معرفة كلمة المرور الخاصة به.

 

   يجب مراعاة كلمات المرور الخاصة بالجوالات مع التقيد بهذه القواعد:

·      يجب تطبيق الحد الأدنى التالي من معايير كلمة المرورعلى كافة موظفي جامعة الملك سعود الذين يستخدمون خدمة الجوالات التي تقدمها الجامعة من خلال أداة إدارة الأجهزة المتنقلة MDM.




تاريخ آخر تحديث : أكتوبر 8, 2025 1:00م