سياسة الأمن السيبراني

كيف تتوافق منصة مُجسد مع الاستراتيجية الوطنية للأمن السيبراني للمملكة العربية السعودية (الهيئة الوطنية للأمن السيبراني).

توائم منصة مُجسد تصميمها وعملياتها مع الأهداف الاستراتيجية الستة للهيئة الوطنية للأمن السيبراني (NCA): التكامل، التنظيم، التوكيد، الدفاع، التعاون، والبناء. توثّق هذه الصفحة الضوابط المطبّقة في كل طبقة من طبقات المنصة.

التوافق مع أهداف الاستراتيجية الوطنية

١. التكامل — حوكمة موحّدة للأمن السيبراني

سياسة مركزية، مصدر موحّد للمصادقة والتفويض، وسجل تدقيق واحد عبر جميع الـendpoints. الأدوار (خبير/موظف) مُعرَّفة على مستوى البيانات لا مكرَّرة في كل صفحة.

٢. التنظيم — ترتيب الأولويات على أساس المخاطر

المسارات الأعلى خطورة (التسجيل، الدخول، إعادة تعيين كلمة المرور) محميّة كلٌّ على حدة بحدود طلبات وسجل تدقيق. المسارات الأقل خطورة (النشرة) لها ضوابط أخفّ تناسبها.

٣. التوكيد — حماية الفضاء السيبراني

كلمات المرور مُخزَّنة كـbcrypt hashes (لا تُحفظ كنص صريح أبداً). التحقق من الإيميل مطلوب قبل إنشاء أي حساب. معرّفات الخبراء عشوائية تشفيرياً وتُرسَل عبر SMTP موثَّق.

٤. الدفاع — قدرات تقنية ضد التهديدات

استجابات HTTP محصَّنة بـheaders أمنية (CSP، HSTS، X-Frame-Options، Referrer-Policy، X-Content-Type-Options). محاولات التخمين على endpoints المصادقة محدودة (10 طلبات / 15 دقيقة / IP). كل الأحداث الحساسة تُكتب في سجل تدقيق غير قابل للتعديل.

٥. التعاون — قناة إبلاغ مباشرة

إذا اكتشفت ثغرة أو حادثاً مشبوهاً، يرجى الإبلاغ على mujassd26@gmail.com. تُراجَع البلاغات خلال يوم عمل واحد.

٦. البناء — قدرات وطنية سعودية

المنصة مبنية ومُدارة محلياً داخل المملكة، على حزمة مفتوحة المصدر (Node.js، SQLite)، بلا اعتماد على خدمات سحابية أجنبية لتخزين البيانات الحساسة.

الضوابط التقنية المُطبَّقة

ملخّص الضوابط الفعلية المُطبَّقة الآن على السيرفر:

  • تشفير كلمات المرور بـbcrypt (cost factor 10)
  • التحقق من الإيميل قبل تفعيل الحساب (كود 6 أرقام، صلاحية 15 دقيقة)
  • معرّفات خبراء عشوائية تشفيرياً
  • Headers أمنية عبر Helmet (CSP، HSTS، X-Frame-Options، إلخ.)
  • تحديد معدّل الطلبات على كل endpoints المصادقة (10 طلبات / 15 دقيقة / IP)
  • سجل تدقيق غير قابل للتعديل للتسجيل والدخول وإعادة تعيين كلمة المرور
  • التحقق من صحة المدخلات على السيرفر لكل endpoint
  • تنظيف نصوص المستخدم (HTML escape) قبل العرض
  • استعلامات SQL مُعَلَّمة (لا concatenation للنصوص)
  • لا استرجاع لكلمة المرور بدون إثبات ملكية الإيميل

المرجع: «الاستراتيجية الوطنية للأمن السيبراني»، الهيئة الوطنية للأمن السيبراني — ديسمبر 2020.