الأهداف: 
تهدف هذه السياسة إلى الالتزام بمتطلبات الأمن السيبراني والمتطلبات التشريعية والتنظيمية ذات العلاقة، وهي مطلب تشريعي في الضابط رقم 2-2-1من الضوابط الأساسية للأمن السيبراني (ECC-1:2018) الصادرة من الهيئة الوطنية للأمن السيبراني.

نطاق العمل وقابلية التطبيق: 
تغطي هذه السياسة جميع الأنظمة والأنظمة الحساسة ومكوناتها التقنية، وجميع الخدمات المقدمة خارجياً (عن طريق الإنترنت) ومكوناتها التقنية، ومنها: البنية التحتية، والمواقع الإلكترونية، وتطبيقات الويب، وتطبيقات الهواتف الذكية واللوحية، والبريد الإلكتروني والدخول عن بعد في جامعة الملك سعود، وتنطبق هذه السياسة على جميع العاملين في جامعة الملك سعود سواءً العاملين الذين يعملون بشكل مباشر أو غير مباشر لدى جامعة الملك سعود ، وتنطبق كذلك على جميع موظفي الجهات الخارجية التي تحوز أو تستخدم المعلومات و/أو المرافق التي تمتلكها جامعة الملك سعود كما أن هذه السياسة تنطبق على أنظمة جامعة الملك سعود وكذلك المنصات السحابية

بنود السياسة:

المتطلبات العامة:

• يجب التقيد بسياسة كلمة المرور عند الإنشاء مع مراعاة هذه القواعد فيما يلي:

• يجب أن تتوافق جميع كلمات المرور مع هذه السياسة

• لا يجوز ترك خانة كلمة المرور أو اسم المستخدم فارغة

• يجب أن تكون كلمات المرور قوية بدرجة كافية.

• يجب أن تكون أنظمة إدارة كلمات المرور تفاعلية ويجب أن تتأكد من جودة كلمات المرور.

• يجب أن تحتوي كلمات المرور على كل ما يلي:

    - حروف إنجليزية صغيرة.

    - حروف إنجليزية كبيرة.

    - أرقام.

    - رموز خاصة (مثل @#$%^&*()! +|~-=\` {} []:";'<>/ وغير ذلك).

• تحتوي كلمات المرور الضعيفة على الخصائص التالية والتي يجب تجنبها:

    - تحتوي على أقل من عشرة (10) أحرف.

    - تكون كلمة المرور عبارة عن كلمة يمكن إيجادها في القاموس (سواء عربي أو إنجليزي).

    - تكون كلمة المرور من الكلمات شائعة الاستخدام مثل:

       - أسماء العائلة والأصدقاء والزملاء والحيوانات الأليفة وغير ذلك.    

       - المصطلحات والأسماء والأوامر والمواقع والشركات والأجهزة والبرامج ذات الصلة بالحواسيب.

       - أيام الميلاد وغيرها من المعلومات الشخصية مثل العناوين وأرقام الجوالات.

       - أنماط الأرقام أو الكلمات مثل aaabbb, qwerty, zyxwvuts, 123321 وغير ذلك.

       - أنماط الكلمات أو الأرقام الواردة أعلاه بشكل عكسي.

       - أي كلمة مرور مما سبق ذكره مسبوقة أو متبوعة برقم (مثل secret1، 1secret).

• يجب إنشاء كلمات المرور بحيث يسهل على صاحبها تذكرها ويتجنب كتابتها. (على سبيل المثال إنشاء كلمة مرور بناءً على أي تأكيد أو عبارة أخرى. على سبيل المثال، قد تكون العبارة على النحو التالي: "This May Be One Way To Remember" فتكون كلمة المرور على النحو التالي: "TmB1w2R!" أو "Tmb1W>r~"، أو غير ذلك.  

ملاحظة: يجب عدم استخدام أيٍ من هذه الأمثلة ككلمة مرور.

• يجب أن تكون حسابات المستخدم، والتي تتمتع بمميزات على مستوى النظام ممنوحة من قبل عضوية في مجموعة أو برامج مثل "SUDO"، لها كلمات مرور فريدة ومتميزة عن جميع كلمات المرور الخاصة بالحسابات الأخرى التي يملكها المستخدم.

• يجب أن تتوافق كلمات المرور المؤقتة (التي يُعدها مديرو العديد من أنظمة معالجة المعلومات) مع هذه السياسة.

• وحيثما أمكن، ينبغي استخدام تقنيات السمات الحيوية، التي ستعفي المستخدمين النهائيين من تذكر كلمات السر الطويلة.

سياسة المنسوبين (أعضاء هيئة التدريس والموظفين) بجامعة الملك سعود:

• يجب ألا يقل طول كلمة المرور عن 10 أحرف معقدة.

• يجب أن تظل كلمة المرور صالحة لمدة 12 شهرًا.

• سيتم تعطيل جميع حسابات الموظفين الحكوميين غير النشطة في النظام مع خيار "مطوي قيده"، في حالة عدم تسجيل الدخول خلال آخر 6 أشهر.

• سيتم تعطيل حسابات موظفي الجامعة المتعاقدين في حالة عدم تسجيل الدخول خلال آخر 6 أشهر، بخلاف المستقيلين أو المنتهية خدمتهم.

• حذف حسابات المتعاقدين من موظفي الجامعة بعد عام واحد، إذا لم يتم إعادة تفعيلها خلال 6 أشهر من التعطيل.

سياسة كلمة مرور (VPN):

• طول كلمة المرور لا يقل عن 12 حرفًا معقدًا.

• يجب أن تظل كلمة المرور صالحة لمدة 3 أشهر.

• يحتاج كل مسؤول خادم إلى الوصول إلى خادمه من شبكة خارجية، ويجب أن يكون لديه حسابين، حساب (VPN) يستخدم للوصول عبر نظام (VPN) إلى جهاز الحاسب الآلي الخاص به، وحساب خادم للوصول إلى الخادم من جهاز الحاسب الآلي الخاص به.

• سيتم قفل الحساب بعد 3 محاولات تسجيل دخول غير ناجحة.

• السماح بالمنافذ العامة فقط (Http، Https، RDP، SSH) واستبعاد المنافذ الأخرى.

• سيتم تعطيل حسابات (VPN) إذا لم يتم تسجيل الدخول خلال آخر 6 أشهر، بخلاف حسابات المستقيلين او المنتهية خدمتهم.

• سيتم احذف حسابات (VPN) بعد عام واحد، إذا لم يتم إعادة تنشيطها خلال 6 أشهر من التعطيل.

سياسة كلمة مرور مدير الخادم:

• طول كلمة المرور لا يقل عن 15 حرفًا معقدًا.

• كلمة المرور صالحة لمدة 3 أشهر.

• يجب أن يتم قفل حساب المستخدم بعد 5 محاولات فاشلة.

• سيتم تعطيل حسابات (SRV) إذا لم يتم تسجيل الدخول خلال الأشهر الستة الماضية، بخلاف حسابات المستقيلين او المنتهية خدمتهم.

• يجب حذف حسابات (SRV) بعد عام واحد، إذا لم يتم إعادة تنشيطها خلال 6 أشهر من التعطيل.

سياسة كلمة مرور الطلاب:

• يجب ألا يقل طول كلمة المرور عن 10 أحرف معقدة.

• يجب أن تظل كلمة المرور صالحة لمدة 4 أشهر.

• يجب أن يفي تعقيد كلمة المرور بمتطلبات التعقيد المذكورة في هذه السياسة.

• يتم إنشاء وحدة تنظيمية منفصلة للطلاب القدامى من خلال تطبيق جميع المتطلبات المذكورة في سياسة الطلاب.

• يتم نقل الطلاب الجدد إلى الوحدة التنظيمية، بعد الانتهاء من برامجهم التمهيدية.

• يجب ان تكون صلاحية حساب الطالب حسب الحالة الاكاديمية في الجدول ادناه:
   

• يجب حماية كلمات المرور مع مراعاة هذه القواعد فيما يلي:

    - تُعتبر جميع كلمات المرور "سرية" ولا يجوز مشاركتها أو الكشف عنها.

    - يمنع استخدام الحسابات التي تحتوي على كلمات مرور خاصة بالأنظمة في الأنشطة اليومية، وينبغي الاحتفاظ بها في أداة (إدارة مميزات الوصول PAM).

    - يمنع تدوين كلمات المرور في رسائل البريد الإلكتروني أو غيرها من وسائل التواصل الإلكترونية مثل وسائل التواصل الاجتماعي.

    - يمنع مشاركة كلمات المرور في الجامعة مع أي شخص، بما في ذلك موظفي الدعم الفني، أو المساعدين الإداريين، أو السكرتارية، أو المدير، أو أعضاء فريق العمل، أو أعضاء هيئة التدريس، أو أفراد الأسرة، أو غير ذلك.

    - يمنع على المستخدمين التلميح عن صيغة كلمة المرور (مثل "كلمة المرور هي اسم عائلتي").

    - يمنع على المستخدمين الكشف عن كلمات المرور الخاصة بهم في الاستبانات أو النماذج الأمنية.

• في حالة طلب أي شخص الحصول على كلمة المرور الخاصة بالمستخدمين، فيجب الإشارة إلى هذه الوثيقة وتوجيه هذا الشخص إلى التواصل مع الإدارة العامة للأمن السيبراني.

• في حالة الاشتباه في اختراق أي حساب أو كلمة مرور، يجب ابلاغ الإدارة العامة للأمن السيبراني في الجامعة بهذه الحادثة.

• يجب تغيير جميع كلمات مرور الأنظمة (مثل: حسابات المستخدم الرئيسي، دارة الشبكات وإدارة التطبيقات، وغيرها) كل ثلاث أشهر على الأقل.

• يجب تغيير كلمات المرور الخاصة بجميع المستخدمين (مثل البريد الإلكتروني، الويب وغيرها) مرة كل ثلاثة أشهر.

• يجب أن تكون جميع كلمات المرور مختلفة. لا يجوز للمستخدم إعادة استخدام آخر ست (6) كلمات مرور.

• يجب حظر المستخدم من النظام إذا لم ينجح في تسجيل الدخول بعد عشر (10) محاولات. ولا يمكن فك الحظر عن حسابات المستخدمين المحظورة إلا من قبل مدير النظام.

• يجب تنفيذ فترة تأخير مُحددة ومضاعفة بعد كل محاولة مصادقة فاشلة. (على سبيل المثال: سيكون هناك تأخير خمس ثوانٍ، وبعد فشل المحاولة الثانية سيكون هناك تأخير عشر ثوانٍ، وبعد فشل المحاولة الثالثة سيكون هناك تأخير عشرين ثانية وهكذا).

• يجب على المستخدمين الالتزام بالحذر البالغ عند إدخال كلمات المرور أثناء المصادقة والتأكد من إدخالها في الخانة المخصصة لكلمات المرور.

• يجب أن يكون المستخدمين على دراية بالأساليب العامة لسرقة كلمات المرور مثل: التصيد الإلكتروني والهندسة الاجتماعية واستراق النظر وغير ذلك.

• لا يجوز للمستخدمين تضمين كلمات المرور في أي عملية تسجيل دخول تلقائية، على سبيل المثال تخزينها في وظيفة الأمر المركب (macro) أو مفتاح الوظيفة.

• إذا تم تغيير كلمة المرور أو إعادة تعيينها، وكان المستخدم لم يطلب ذلك، فيجب عليه إخطار فريق الدعم الفني بذلك على الفور.

يجب تخزين كلمات المرور مع مراعاة هذه القواعد فيما يلي:

• كلمات المرور مصنفة على أنها سرية، ومن ثم يجب حمايتها وفقًا لذلك.

• يجب تقييد الوصول إلى الملفات التي تحتوي على كلمات مرور كما يجب أن تكون كلمات المرور المخزنة مقسمة ومخفية بطريقة مشفرة بدلًا من مجرد تخزين كلمات المرور العادية فقط ويجب أن تحتفظ جميع أنظمة معالجة البيانات بكلمة مرور معينة لها صلاحية لفترة محددة سابقًا.

• يجب أن تحتفظ جميع أنظمة المعلومات، إن أمكن من الناحية الفنية، بسجل لكلمات المرور المستخدمة سابقًا لكل حساب مستخدم.

• يحظر تخزين كلمات المرور بطريقة تسمح بالاطلاع عليها بشكل غير مصرح به، مثل كتابتها وتركها على المكتب أو نسخها على شاشة الحاسب وغير ذلك.

• يمنع أن تكون كلمات المرور النصية الواضحة مُضمنة في ملفات التطبيق أو ملفات المستخدم أو في إعدادات نقل الملفات، وغير ذلك.

• ينبغي تخزين ملفات كلمات المرور بطريقة منفصلة عن بيانات نظام التطبيق الأساسية.

• يجب دائمًا رفض خيار "تذكر كلمة المرور" في التطبيقات (مثل: Outlook).

• يجب إنشاء كلمات مرور الحسابات الإدارية تلقائيًا من قِبل عمادة التعاملات الإلكترونية والاتصالات وإدارتها تلقائيًا من قبل أداة إدارة مميزات الوصول.

• يجب أن تخزن أداة إدارة مميزات الوصول وتسترجع وتدير كلمات مرور الحسابات الإدارية بشكل آمن.  ولا يجوز منح أي شخص صلاحية الوصول إلى هذا النظام باستثناء مديري النظام المصرح لهم.

يجب نقل كلمات المرور مع مراعاة هذه القواعد فيما يلي:

• يجب تشفير كلمات المرور التي يتم نقلها خلال الشبكات.

• يجب إرسال كلمات المرور والمعلومات ذات الصلة بطريقة آمنة وعلى نحو لا يدع أي فرصة للكشف عنها بشكل غير مصرح به.

• يجب استخدام خاصية النقل خارج النطاق أثناء نقل كلمات المرور. على سبيل المثال، يمكن إرسال كلمة مرور خاصة بمستند محمي بكلمة مرور عبر خدمة الرسائل القصيرة في حين أن المستند نفسه يتم إرساله عبر البريد الإلكتروني.

يجب تغيير كلمات المرور مع مراعاة هذه القواعد فيما يلي:

• يجب أن تفرض جميع أنظمة معالجة البيانات على المستخدمين النهائيين تغيير كلمات المرور الخاصة بهم بعد تسجيل الدخول لأول مرة.

• يجب أن يفرض مديرو النظام على المستخدمين تغيير كلمات المرور الخاصة بهم بعد إعادة تعيينها.

• يجب أن تفرض جميع أنظمة معالجة البيانات على المستخدمين تغيير كلمات المرور الخاصة بهم بشكل دوري بعد فترة محددة سابقًا. يجب تغيير كلمات المرور الافتراضية التي تكون على الأجهزة وأنظمة التشغيل والتطبيقات قبل توزيعها لبدء العمل عليها.

• يجب تغيير كلمات المرور فورًا في حالة اختراق حساب المستخدم النهائي أو في حالة اكتشاف أو الاشتباه في تسريب البيانات مع الإبلاغ عن هذه الحالة كحادثة.

• في حالة ترْك موظفي الجامعة /موظفي الجهة الخارجية الجامعة، يجب حذف حسابهم أو تغيير كلمة المرور فورًا.  

• إذا أراد المستخدم النهائي تغيير كلمة المرور الخاصة به، فيجب عليه إدخال كلمة المرور الحالية للتحقق من هويته قبل تعيين كلمة مرور جديدة.

يجب مراعاة كلمات المرور الخاصة بالتطبيقات مع التقيد بهذه القواعد:

• يجب أن يتأكد مطورو البرامج من أن برامجهم تحتوي على التدابير الوقائية الأمنية التالية:

• أن تدعم البرامج مصادقة المستخدمين الأفراد ولا تدعم مصادقة المجموعات.

• لا يجوز تخزين كلمات المرور في نص عادي أو بأي طريقة معكوسة يسهل حلها.

• يجب أن تدعم هذه البرامج خاصية تنفيذ سياسة كلمات المرور في الجامعة.

• يجب توفير بعض أنواع إدارة المهام، بحيث يتمكن أحد المستخدمين النهائيين من الحصول على مهام مستخدم آخر دون الحاجة إلى معرفة كلمة المرور الخاصة به.

• يجب مراعاة كلمات المرور الخاصة بالجوالات مع التقيد بهذه القواعد:

• يجب تطبيق الحد الأدنى التالي من معايير كلمة المرور على كافة موظفي جامعة الملك سعود الذين يستخدمون خدمة الجوالات التي تقدمها الجامعة من خلال أداة إدارة الأجهزة المتنقلة MDM. 
   

تنفيذ السياسة والالتزام بها: 

• يُعد الالتزام بهذه السياسات إلزاميًا، ويجب على مديري إدارات جامعة الملك سعود التأكد من الالتزام المستمر لتلك السياسات داخل إداراتهم. يخضع الالتزام لبيانات هذه السياسات لمراجعة سنوية. 

• يُعد انتهاك هذه السياسات بمثابة مخالفة أمنية تعطي جامعة الملك سعود الحق في اتخاذ الاجراءات التأديبية والقانونية اللازمة والتي قد تصل إلى إنهاء الخدمة أو علاقة العمل