باز کردن منو اصلی

تغییرات

جز
اصلاح فاصله مجازی + اصلاح نویسه با استفاده از AWB
{{آموزشی}}
 
کنترل دسترسی در سیتمهای اطلاعات و شبکه‌ها به منظور حفظ قابلیت اعتماد، جامعیت و دسترسدسترس‌پذیری پذیری آنهاآن‌ها ضروری می‌باشد.
 
== قابلیت اعتماد ==
I. سازگاری داخلی باعث تضمین سازگاری داده‌ها می‌شود. به عنوان مثال، فرض کنید یک بانک اطلاعاتی تعداد واحدهای یک قلم خاص در هر دپارتمان یک سازمان را نگهداری می‌کند. مجموع تعداد واحدها در هر دپارتمان باید با تعداد واحدها که درداخل بانک اطلاعاتی ضبط شده یکسان باشد.
 
II. سازگاری خارجی متضمن سازگاری داده‌های ذحیره شده در بانک اطلاعاتی با دنیای واقعی است. مثال تشریح شده در قسمت قبلی را برای سازگاری خارجی اینگونهاین‌گونه می‌توان عنوان کرد که اقلام ضبط شده در بانک اطلاعاتی برای هر دپارتمان برابر با تعداد اقلام فیزیکی موجود در هر دپارتمان می‌باشد.
 
== دسترس پذیریدسترس‌پذیری ==
تضمین کنندهتضمین‌کننده این مطلب است که کاربران مجاز سیستم می‌توانند دسترسی به موقع و بی وقفهبی‌وقفه به اطلاعات سیستم داشته باشند. علاوه بر هدف دسترسی پذیریدسترسی‌پذیری می‌توان به سودمندی و قابلیت اعتماد اشاره کرد.
 
این اهداف و سایر اهداف مرتبط از سیاست امنیتی سازمان نشأت می‌گیرد که این امر توسط مدیریت ارشد سازمان به منظور تعیین دسترسی‌های لازم توسط اشخاص مجاز تدوین می‌گردد.
 
== تهدید ==
واقعه یا فعالیتی که پتانسیل آسیب رسانیآسیب‌رسانی به اطلاعات سیستمهاسیستم‌ها یا شبکه‌ها را دارا می‌باشد.
 
== آسیب‌پذیری ==
ضعف یا کمبود محافظ، که می‌تواند توسط تهدید به وقوع بپیوندد و باعث آسیب رسانیآسیب‌رسانی به اطلاعات سیستمهاسیستم‌ها یا شبکه‌ها شود.
 
== مخاطره ==
پتانسیل برای آسیب رسانیآسیب‌رسانی و گم شدن اطلاعات سیستمهاسیستم‌ها یا شبکه‌ها می‌باشد و احتمال به وقوع پیوستن تهدیدها خواهد بود.
 
== کنترل ==
کنترلها به منظور کاهش مخاطره و پتانسیل مفقود شدن اطلاعات سیستمهاسیستم‌ها یا شبکه‌ها پیاده‌سازی می‌شوند. کنترلها می‌توانند به سه صورت: ممانعت، تشخیص و تصحیح باشند. کنترلهای ممانعتی جهت جلوگیری از وقایع مضر بکار گرفته می‌شوند، کنترلهای تشخیصی برای کشف وقایع مضر ایجاد شده‌اند و کنترلهای تصحیحی برای بازیابی سیستمهائیسیستم‌هائی که مورد حمله‌های مضر واقع شده‌اند، استفاده می‌شوند.
 
برای پیاده‌سازی این سنجه‌ها کنترلها می‌توانند به صورت: راهبری، منطقی یا فنی، و فیزیکی باشند.
 
=== کنترلهای راهبری ===
شامل سیاستهاسیاست‌ها و رویه‌ها، آموزش آگاهی امنیتی، رسیدگی موجودیت فردی جهت اهداف امنیتی، بررسی روش کار، بازبینی تاریخچه تعطیلات، و افزایش نظارت می‌شوند.
 
=== کنترلهای منطقی یا فنی ===
شامل محدودیتهای دسترسی به سیستمهاسیستم‌ها و محافظت از اطلاعات می‌شوند. نمونه‌هایی از انواع این کنترلها عبارتند از رمزگذاری، کارتهایکارت‌های هوشمند، لیستهای کنترل دسترسی و پروتکلهای انتقال.
 
=== کنترلهای فیزیکی ===
این کنترلها باعث یکی شدن محافظان با ساختمان امنیتی می‌شوند، به عنوان مثال قفل کردن درها، امن‌سازی اتاقهای سرور، محافظت از کابلها، جداسازی وظائف و پشتیبان گیریپشتیبان‌گیری از فایلهافایل‌ها را می‌توان ذکر کرد.
 
کنترلها پاسخگوئی اشخاصی را که به اطلاعات حساس دسترسی دارند را تأمین می‌کند. این پاسخگوئی از طریق مکانیزمهای کنترل دسترسی تکمیل می‌گردد که نیازمند شناسائی و صدور مجوز و توابع ممیزی می‌باشد. این کنترلها باید با سیاستهایسیاست‌های امنیتی سازمان مطابق باشند.
 
رویه‌های تضمین باعث می‌شوند که مکانیزمهای کنترلی، سیاست امنیتی را در کل چرخه حیات سیستمهایسیستم‌های اطلاعاتی به درستی پیاده‌سازی نمایند.
 
در استاندارد ISO ۱۷۷۹۹ مجموعاً ۱۰ دامنه وجود دارد که هر کدام پیرامون بخشی از حوزه‌های امنیت تدوین شده‌اند. هر دامنه دارای چندین کنترل است. کنترل دسترسی ششمین آنهاست.
 
مبحث کنترل دسترسی (کنترل دسترسی) یکی از دامنه‌های مورد نظر در استاندارهای [[امنیت اطلاعات]] (از جمله ایزو ۱۷۷۹۹ و BS-۷۷۹۹) می‌باشد. واضح است که در بازرسی‌ها و ممیزی‌هایی که از یک سازمان به عمل می‌آید تا میزان امن بودن آن سازمان سنجیده شود (مثلامثلاً مطابق با استاندارد ممیزی ایزو ۲۷۰۰۱) این دامنه را نیز تحلیل خواهند کرد. اما جدای از این مورد، کنترل دسترسی تقریباً در تمام سازمانهاسازمان‌ها از اهمیت ویژه‌ای بر خوردار است. در اغلب سازمانهاسازمان‌ها وقتی در اجرای دامنه‌های ایزو ۱۷۷۹۹ بحث محدودیت مالی و منابع پیش آید و نیاز به رتبه‌بندی و اولویت سنجی دامنه‌ها باشد، دامنه کنترل دسترسی غالباً رتبه «ارحج‌ترین» را می‌گیرد.
 
== تعریف کنترل دسترسی از دیدگاه CISSP ==
یک تعامل اولیه و خاص، بین یک فاعل و یک شئ است که در نهایت منجر به برقراری جریان اطلاعاتی از یکی از آنهاآن‌ها به دیگری خواهد شد.
 
نکته: به‌طور کلی عناصری که توان انجام فعالیت و اجرای عملی روی چیز دیگری دارند فاعل و عناصر دیگر مثل منابع و… را مفعول می‌نامیم.
 
== چرا کنترل دسترسی اهمیت دارد؟ ==
کنترل دسترسی روشن‌ترین نماد امنیت است. در واقع آنراآن را قلب امنیت هم می‌دانند. همچنین برای به اجرا درآمدن اهداف CIA (Confidentiality, Integrity, Authentication) در بحث امنیت از نگاه ISMS، این دامنه یک مبنا و پیش نیاز به حساب می‌آید.
کنترل دسترسی برای تحقق سه هدف عمده به کار گرفته می‌شود که عبارتند از:
# جلوگیری از دسترسی کاربران غیرمجاز به امکانات تغییر اطلاعات.
کنترل دسترسی و به‌طور کلی کنترل را از دیدگاه‌های مختلفی می‌توان تقسیم‌بندی کرد از یک دیدگاه انواع کنترل عبارتند از:
# پیش گیرانه (که جلوی چیزی را قبل از حادث شدن می‌گیرند)
# شناسایی کنندهشناسایی‌کننده. (شناسایی مخاطرات)
# اصلاح کنندهاصلاح‌کننده (که تعمیر یا تصحیح امور را انجام می‌دهند)
# بازیاب (که چیزی را بازیافت و دوباره احیا می‌کنند)
# باز دارنده
اما از دیدگاه اجرایی و عملیاتی کنترلها سه دسته‌اند:
# کنترل‌های مدیریتی شامل سیاست‌ها، رویه‌ها، آموزش و کنترل سابقه کاری و… می‌باشند
# کنترل‌های منطقی / فنی مثل رمز گذاریرمزگذاری و تهیه و استفاده از لیست کنترل دسترسی ACL
# کنترلهای فیزیکی مانند درها، حصارها، گاردها و…
 
== کنترل دسترسی در ISO ۱۷۷۹۹–۲۰۰۵ ==
دامنه کنترل دسترسی به عنوان یکی از دامنه‌های استاندارد امنیتی ایزو ۱۷۷۹۹ دارای هفت بخش کلی است که هر کدام از آنهاآن‌ها نیز از چندین زیربخش تشکیل شده‌اند. فهرست این بخش‌ها به شرح زیر است:
# ملزومات مورد نیاز برای پیاده‌سازی
## سیاست‌های کنترل دسترسی
## کارکردن از راه دور
 
== مدلهایمدل‌های کنترل دسترسی ==
کنترل دسترسی بر اساس موضوع (یک موجودیت فعال مثل اشخاص یا فرایندها) به یک شیء که شامل تنظیم قوانین دسترسی است. این قوانین می‌توانند به سه مدل یا رسته دسته‌بندی شوند.
 
=== کنترل دسترسی اجباری ===
مجوز دسترسی موضوع به یک شیء بستگی به برچسبها، که نمایان کنندهنمایان‌کننده اختیار و کلاسه بندی یا حساست شیء می‌باشد. برای مثال مستندات طبقه‌بندی شده نظامی به غیرسری، کمی محرمانه، محرمانه و خیلی سری. به همین نحو، یک شخص می‌تواند یک اختیار کمی محرمانه، محرمانه یا خیلی محرمانه داشته باشد تا به اطلاعات طبقه‌بندی شده مرتبط با محدودیتهای تعیین شده، دسترسی داشته باشد.
 
این محدودیت این است که اشخاص باید یک نیاز برای آگاهی مرتبط با مستندات طبقه‌بندی شده درگیر را داشته باشند. بنابر این، مستندات باید برای اشخاص به جهت تکمیل وظایف مرتبط ضروری باشند.
 
تا زمانیکهزمانی‌که اشخاص مطابق با طبقه‌بندی موردنیاز مشخص نشده‌اند نباید به اطلاعات دسترسی داشته باشند.
 
کنترل دسترسی برمبنای قانون یک نوع از کنترل دسترسی اجباری است زیرا این کنترل بر اساس قوانین تشخیص داده می‌شود و نه به تنهایی توسط موجودیت موضوعات و اشیأ به تنهایی.
 
== ترکیبات کنترل ==
با ترکیب کنترلهای ممانعت کنندهممانعت‌کننده و تشخیص‌دهنده، انواع پیاده‌ساز راهبری، فنی (منطقی) و فیزیکی شامل زوجهای زیر می‌شوند:
 
'''مانع / راهبر
تشخیص دهنده / فیزیکی'''
 
هر کدام از این شش زوج و عناصر کلیدی آنهاآن‌ها در ذیل مطرح می‌گردند.
 
=== ممانعت ===
==== راهبری ====
در این نوع، اهمیت بر اساس مکانیزمهای «نرم» که پشتیبان اهداف کنترل دسترسی است، می‌باشد. این مکانیزمها شامل سیاستهایسیاست‌های سازمانی و رویه‌ها، موافقت نامه‌های کارمندان، رویه‌های اختتامیه کارکنان به صورت دوستانه یا غیر دوستانه، زمانبندی تعطیلات، برسب بر روی مواد حساس، آگاهی‌های رفتاری و رویه‌های نشانه گذارینشانه‌گذاری برای حصول شبکه‌ها و سیستمهایسیستم‌های اطلاعاتی و… می‌باشند.
 
==== فنی ====
این نوع، از تکنولوژی به منظور اچبار سیاستهایسیاست‌های کنترلی استفاده می‌کند. این کنترلهای فنی همچنین به عنوان کنترلهای منطقی شناخته می‌شود و می‌توانند در سیستم‌عامل، نرم‌افزارهای کاربردی یا در سخت‌افزارها یا نرم‌افزارهای الحاقی گذاشته شوند.
 
بعضی از انواع کنترلهای ممانعت/ فنی شامل پروتکلها، کدگذاریها، کارتهایکارت‌های هوشمند، بیومتریکها (برای اخذ مجوز)، بسته‌ای نرم‌افزاری کنترل دسترسی از راه دور، رمزها، منوها، پوسته‌ها، بانکهایبانک‌های اطلاعاتی، نرم‌افزارهای تشخیص ویروس می‌باشند.
 
پروتکلها، کدگذاریها، کارتهایکارت‌های هوشمند مکانیزمهای فنی برای محافظت اطلاعات و رمزها از افشاسازی می‌باشند.
 
بیومتریکها در تکنولوژیهایی نظیر اثرانگشت، شبکیه چشم، و جستجوی عنبیه برای اخذ مجوز از اشخاص برای دسترسی به منابع بکار می‌روند.
 
==== فیزیکی ====
تعداد زیادی از سنجه‌های مانع / فیزیکی قابل حس و درک هستند. این سنجه‌ها به عنوان محدود کنندهمحدودکننده دسترسی فیزیکی به نواحی ای که اطلاعات حساس سیستم نگهداری می‌شود.
نواحی مورد محافظت قرار گرفته توسط یک فضای امنیتی حلقوی تعریف می‌شود که تحت نظرکنترل دسترسی می‌باشد.
 
کنترلهای ممانعت/ فیزیکی شامل: حفاظها، امضاءها، درهای چندگانه (به عنوان مثال وجود چندین در پشت هم که در صورت ورود به یکی با درهای دیگر مواجه می‌شویم)، سیستم ورودی کارتهایکارت‌های مغناطیسی، بیومتریکها به منظور تعیین صلاحیت، گاردها، سگها، سیستمهایسیستم‌های کنترل محیط (مانند درجه حرارت، رطوبت و…)، و ساختمان و نواحی دسترسی.
 
سنجه‌های ممانعت/ فیزیکی همچنین برای نواحی که برای پشتیبانپشتیبان‌گیری گیری فایلهافایل‌ها بکار می‌روند، کاربرد دارد.
 
=== تشخیص دهنده ===
==== راهبری ====
تعداد زیادی از کنترل‌های این نوع با کنترل‌های مانع / راهبر همپوشانی دارند و این همپوشانی میتواتند در ممانعت از تخلفات سیاست امنیتی آینده یا تشخیص تخلفات موجود، ظاهر گردد.
نمونه‌هایی از این کنترل‌ها سیاستهایسیاست‌های سازمان و رویه‌ها، زمانبندی تعطیلات، برچسب گذاریبرچسب‌گذاری مواد حساس و… می‌باشند.
کنترلهای اضافی تشخیص دهنده/ راهبری شامل گردش کار؛ تسهیم مسئولیتها و بررسی رکوردهای ممیزی هستند.
 
==== فنی ====
سنجه‌های کنترلی تشخیص دهنده/ فنی به منظور آشکارسازی تخلفات ناشی از سیاست امنیتی با کاربری فنی بکار می‌روند. این سنجه‌ها شامل موارد سیستمهایسیستم‌های تشخیص حمله و گزارشات خودکار تخلفات از اطلاعات ارزیابی شده می‌باشند.
این گزارشات می‌توانند واریانسهایی از عملیات نرمال نمایان سازند یا تشخیص امضاهای دسترسی‌های غیرمجاز را داشته باشند.
 
۱۳۳٬۲۴۲

ویرایش