بنیانگذار انجمن تخصصی فناوری اطلاعات ایران ، هکر کلاه خاکستری ، کارشناس امنیت اطلاعات و ارتباطات
معرفی 10 نوع کنترل دسترسی (Access Control) مهم در امنیت اطلاعات
یکی از اصلی ترین وظایف امنیت ، کنترل دسترسی به منابع است .کنترل دسترسی خیلی بیشتر از این است که تعیین کنیم که یک کاربر بتواند از یک فایل یا سرویس استفاده کند یا نه . کنترل دسترسی در حقیقت در مورد رابطه بین اشیاء یا Object ها و موضوع ها یا Subjectها صحبت می کند .
دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران
سرفصل های این مطلب
- انواع کنترل دسترسی ( Access Control)
- کنترل های دسترسی پیشگیری کننده ( Preventative Access Control)
- کنترل های دسترسی منع کننده (Deterrent Access Control)
- کنترل های دسترسی شناسایی ( Detective Access Control)
- کنترل های دسترسی اصلاح کننده ( Corrective Access Control)
- کنترل های دسترسی ترمیمی یا بازیافتی ( Recovery Access Control)
- کنترل های دسترسی جبران کننده ( Compensation Access Control)
- کنترل های دسترسی دستوری ( Directive Access Control)
- کنترل های دسترسی مدیریتی ( Administrative Access Controls)
- کنترل های دسترسی منظقی یا فنی ( Technical\Logical Access Controls)
- کنترل های دسترسی فیزیکی ( Physical Access Controls)
انتقال اطلاعات از یک شیء به یک موضوع را دسترسی می نامند . دسترسی صرفأ یک موضوع منطقی و یا فنی نیست ، هرگز قسمت فیزیکی قضیه را فراموش نکنید که براحتی می تواند باعث افشاء اطلاعات و یا ایجاد مشکلات خاص خود را کند . قانون اصلی کنترل دسترسی این است که دسترسی به منابع همیشه و بصورت پیشفرض باید در حالت deny یا منع شده باشد مگر اینکه به موضوع خاصی اجازه دسترسی داده شده باشد .
یک موضوع یا subject یک موجودیت غیرفعال محسوب می شود ، این موجودیت غیرفعال از طریق فرآیندی به نام دسترسی به دنبال بدست آوردن داده از قسمت های فعال یا همان اشیاء ( object) هستند . یک موضوع می تواند شامل یک کاربر،یک برنامه،یک پایگاه داده ، یک پروسس ، یک فایل و ... باشد .
یک شیء می تواند یک کاربر ، فایل ، کامپیوتر ، پایگاه داده ، پرینتر ، دستگاه ذخیره سازی و از این قبیل باشد . موضوع یا subject همیشه موجودیتی است که اطلاعات یا داده ها را از ، یا درباره اشیاء یا Object ها بدست می آورد ، همچنین این موجودیت اطلاعات یا داده های ذخیره شده در اشیاء را می تواند تغییر یا اصلاح کند .
اشیاء همیشه موجودیت هایی هستند که اطلاعات یا داده ها را ارائه می دهند و یا میزبان اطلاعات هستند. نقش بین اشیاء و موضوع ها را میتوان ارتباط بین نرم افزار و پایگاه داده و یا یک فایل و پروسس آن تصور کرد که برای انجام یک عملیا ت یا وظیفه در کنار هم جمع شده اند .
انواع کنترل دسترسی ( Access Control)
وجود کنترل های دسترسی برای حفظ محرمانگی ، صحت یا تمامیت و دسترسی پذیری اشیاء ( اطلاعات و داده ها ) ضروری است .
واژه کنترل دسترسی محدوده وسیعی از کنترل ها را در بر می گیرد که می تواند از مجبور کردن یک کاربر به استفاده از نام کاربری و رمز عبور معتبر برای ورود به سیستم باشد تا جلوگیری از دسترسی کاربران به منابع خارج از محدوده دسترسی اعمال شده برای آنان .
کنترل های دسترسی از نظر نوع فعالیت و همچنین هدفی که برای آن طراحی شده اند به هفت گروه اصلی طبقه بندی می شود . همیشه در نظر داشته باشید که برخی از مکانیزم های امنیتی هستند که از چندین نوع از این گروه ها تشکیل شده اند و ترکیبی از این هفت گروه هستند:
کنترل های دسترسی پیشگیری کننده ( Preventative Access Control)
کنترل های دسترسی پیشگیری کننده از بوقوع پیوستن فعالیت های ناخواسته یا غیرمجاز جلوگیری می کنند . برای مثال فنس کشی ها ، قفل ها ، تجهیزات تشخیص هویت و شناسایی افراد ، Mantrap ، سیستم های روشنایی ، سیستم های هشدار دهنده یا آلارم ، تقسیم وظایف ، تغییر چرخشی فعالیت ها ( job rotation) ، طبقه بندی اطلاعات ، تست نفوذسنجی ، رمز نگاری اطلاعات ، پایش و مانیتورینگ ، دوربین های مداربسته ، کارت های هوشمند ، سیستم های callback ، خط مشی های امنیتی ، برگزاری دوره های آموزشی امنیتی کارمندان و نرم افزار های آنتی ویروس جزئی از کنترل های دسترسی پیشگیری کننده محسوب می شوند .
کنترل های دسترسی منع کننده (Deterrent Access Control)
کنترل های دسترسی منع کننده باعث دلسرد شدن از تخطی و دور زدن خط مشی های امنیتی می شوند . این کنترل ها زمانی کاربرد دارند که کنترل های دسترسی پیشگیری کننده نتوانسته اند به خوبی عمل کنند . یک کنترل دسترسی منع کننده هیچ فعالیتی را متوقف نمی کند و یا از وقوع آن جلوگیری نمی کند در عوض نتایج تخطی را تحت تاثیر قرار می دهد ، برای مثال در صورتیکه تلاش یا هرگونه تخطی صورت بگیرد اینگونه کنترل ها وارد کار می شوند .
برای مثال قفل ها ، فنس ها ، گارد حفاظتی ، دوربین های امنیتی ، تجهیزات اعلام هشدار ، تقسیم وظایف ، دستورالعمل های انجام کار ، دوره های آموزشی آگاه سازی امنیتی کارکنان ، رمزنگاری ، پایش و مانیتورینگ و دیواره های آتش یا فایروال ها هر کدام نوعی از کنترل های دسترسی منع کننده محسوب می شوند .
کنترل های دسترسی شناسایی ( Detective Access Control)
کنترل های دسترسی شناسای زمانی به فعالیت می کنند که بخواهیم فعالیت های ناخواسته یا غیر مجاز را شناسایی کنیم . اینگونه کنترل ها همیشه در زمانی فعال می شوند که عمل ناخواسته یا غیر مجاز انجام شده است و کنترلی نیستند که بصورت بلادرنگ فعالیت کنند .
مواردی مثل نگهبانان امنیتی ، سگ های نگهبان ، سیستم های تشخیص حرکت ، دوربین های مداربسته ، تغییرات شغلی مرحله ای ( job Rotation) ، فرستادن کارمندان به تعطیلات اجباری ، پایش و مانیتورینگ مداوم ، سیستم های تشخیص نفوذ ، گزارش های تخلف ، هانی پات ها ، سرپرستی و نظارت درست بر عملکرد کارمندان و شناسایی بحران ها جزئی از کنترل های امنیتی شناسایی یا ( Detective Access Control) هستند .
کنترل های دسترسی اصلاح کننده ( Corrective Access Control)
کنترل های دسترسی اصلاح کننده زمانی شروع به فعالیت می کنند که عمل ناخواسته یا دسترسی غیرمجاز ایجاد شده و سیستم دچار مشکل شده است و می بایست اصلاحات لازم جهت بازگردانی فعالیت به حالت معمول انجام گیرد . ذاتأ اینگونه کنترل های دسترسی ساده هستند و می توانند شامل پایان دادن به یک پروسس و یا دسترسی به فایل و یا راه اندازی مجدد یک سیستم باشند .
کنترل های دسترسی اصلاح کننده معمولا خیلی کم می توانند بر روی دسترسی های غیرمجاز و سوء استفاده از دسترسی ها تاثیر گذار باشند . کنترل های دسترسی اصلاح کننده می توانند شامل سیستم های تشخیص نفوذ ، راهکارهای آنتی ویروس ، هشدار دهنده ها یا آلارم ها ، طرح های تداوم کسب و کار و خط مشی های امنیت شوند .
کنترل های دسترسی ترمیمی یا بازیافتی ( Recovery Access Control)
از کنترل های دسترسی ترمیمی یا بازیافتی زمانی استفاده می شود که بخواهیم پس از وقوع تخطی از خط مشی امنیت ، منابع ، فعالیت های عملیاتی و قابلیت ها را تعمیر یا بازیابی کنیم . کنترل های دسترسی ترمیمی نسبت به کنترل های دسترسی اصلاح کننده در زمان بروز تخطی از دسترسی ها، برای پاسخگویی قابلیت های پیشرفته تر و همچنین امکانات بیشتری دارند. برای مثال کنترل های دسترسی ترمیمی می توانند ضمن اینکه خرابی های بوجود آمده را ترمیم کنند ، روند تخریبی آن را نیز متوقف کنند . برای مثال نسخه های پشتیبان و بازگردانی ( Backup & Restore) ، درایو های سیستم با قابلیت خطاپذیری یا redundancy ، کلاسترینگ سرورها ، نرم افزار آنتی ویروس و همچنین database shadowing یا mirroring از نمونه های کنترل های دسترسی ترمیمی یا بازیافتی هستند .
کنترل های دسترسی جبران کننده ( Compensation Access Control)
کنترل های دسترسی جبران کننده یا جبرانی امکانات متنوعی را به سایر کنترل های دسترسی جهت کمک کردن به پشتیبانی و اجبار خط مشی امنیت برای اعمال شدن را در اختیار می گذارند . برای مثال خط مشی امنیت ، نظارت و سرپرستی کارکنان ، مانیتورینگ یا پایش و دستورالعمل های انجام وظایف کاری از انواع کنترل های دسترسی جبرانی یا جبران کننده می باشند . از کنترل های دسترسی جبران کننده می توان به عنوان جایگزین به جای برخی دیگر از کنترل ها که دارای خطرات احتمالی هستند نیز استفاده کرد . برای مثال اگر میخواهید از محلی محافظت کنید که در آنجا مکان مسکونی وجود دارد بنابراین استفاده از سگ ها نگهبان می تواند خطرناک باشد ، در اینجا شما می توانید به جای سگ نگهبان از سیستم های تشخیص حرکت با قابلیت پخش صدای پارس سگ استفاده کنید که بسیار موثرتر و کم خطرتر از خود سگ است .
کنترل های دسترسی دستوری ( Directive Access Control)
کنترل های دسترسی دستوری زمانی بکار می روند که بخواهیم با دستور و محبوس کردن و کنترل کردن فعالیت های یک موضوع آنرا مجبور به پذیرفتن خط مشی های امنیتی کنیم . از انواع کنترل های دسترسی دستوری می توان به گاردهای امنیتی ، سگ ها نگهبان ، خط مشی امنیتی ، اخطاریه های ارسالی ، مانیتورینگ و پایش ، آموزش های امنیتی کارکنان و تقسیم وظایف کاری اشاره کرد .کنترل های دسترسی همچنین می توانند بر اساس روش پیاده سازی نیز طبقه بندی شوند . در این حالت به سه طبقه بندی مدیریتی ، منطقی یا فنی و فیزیکی نقسیم بندی می شوند :
کنترل های دسترسی مدیریتی ( Administrative Access Controls)
کنترل های دسترسی مدیریتی خط مشی ها و دستورالعمل هایی هستند که توسط خط مشی امنیتی سازمان برای اجبار به پیاده سازی سراسری کنترل های دسترسی تعریف شده اند.کنترل های دسترسی مدیریتی بیشتر بر روی دو موضوع کارکنان و فعالیت های تجاری ( مردم و خط مشی ها ) تمرکز می کنند . برای مثال خط مشی ها ، دستورالعمل ها ، بررسی کردن عدم سوء پیشینه ، طبقه بندی داده ها ، آموزش های امنیتی ، نظارت بر انجام کارها ، کنترل کردن کارکنان و انجام تست های محتلف از انواع کنترل های دسترسی مدیریتی می باشند .
کنترل های دسترسی منظقی یا فنی ( Technical\Logical Access Controls)
کنترل های دسترسی منطقی و کنترل های دسترسی فنی مکانیزم های سخت افزاری و نرم افزاری هستند که بوسیله محافظت از منابع و سیستم ها دسترسی به آنها را کنترل و مدیریت می کنند . برای مثال رمزنگاری ، کارت های هوشمند ، رمزهای عبور،سیستم های تشخیص هویت biometric ، لیست کنترل های دسترسی یا ( ACL) ، پروتکل ها ، فایروال ها ، مسیریاب ها و سیستم های تشخیص نفوذ برخی از انواع کنترل های دسترسی منظقی یا فنی هستند ، در این موضوع کنترل دسترسی فنی و منطقی را می توان در کنار هم استفاده کرد .
کنترل های دسترسی فیزیکی ( Physical Access Controls)
کنترل های دسترسی فیزیکی حصارها و موانع فیزیکی هستند که از دسترسی مستقیم و غیر مجاز به سیستم ها و منابع جلوگیری می کنند .برای مثال گاردهای امنیتی ، فنس ها ، سیستم های تشخیص حرکت ، درب های قفل شده ، پنجره های مهر و موم شده ، سیستم های روشنایی ، سیستم های محافظت از کابل کشی ، قفل های لپ تاپ ، سگ های نگهبان ، دوربین های امنیتی و سیستم های هشدار دهنده یا آلارم از انواع کنترل های دسترسی فیزیکی هستند .
شما هیچوقت جایی را پیدا نخواهید کرد که صرفا از یک نوع مکانیزم کنترل دسترسی استفاده کرده باشد .در حقیقت تنها راهی که می توان به وسیله آن محیطی ایمن داشت ، محلی است که از چندین کنترل دسترسی بصورت ترکیبی استفاده کرده است . در دوره آموزش نتورک پلاس و قسمت امنیت شبکه در خصوص کنترل های دسترسی کمی صحبت می کنیم.