ویکی‌پدیا

کنترل دسترسی: تفاوت میان نسخه‌ها

نمایش تاریخچه به صورت تعاملی
→ تفاوت قدیمی‌ترتفاوت جدیدتر ←
محتوای حذف‌شده محتوای افزوده‌شده
دیداریویکی‌متن
ماني (بحث | مشارکت‌ها)
مدیران
۱۶۲٬۶۵۳ ویرایش‌ها
ماني (بحث | مشارکت‌ها)
مدیران
۱۶۲٬۶۵۳ ویرایش‌ها
ادغام دو نسخه
خط ۱:
متخصصین سیستمهای [[امنیت]] [[اطلاعات]] باید نسبت به پیاده سازی [[کنترل]] دسترسی به منظور حفظ موجودیت، قابلیت اعتماد و جامعیت اطلاعات اطمینان حاصل کنند.<Br>
{{منبع}}
در دنیای شبکه‌های کامپیوتری همانگونه که کنترل دسترسی در سیستمهای توزیع شده اهمیت پیدا می‌کنند در سیستمهای متمرکز نیز حائز اهمیت می‌باشند.<Br>
متخصصین باید دانش کافی نسبت به حمله‌ها، مخاطرات و آسیبها که با زیرساختهای سیستمهای اطلاعات ارتباط نزدیکی دارند، داشته باشند و نسبت به ممعانت از نفوذ آسیبها اقدام کنند.<Br>
<Center>'''سيستمهاي کنترل دسترسي'''<Br></Center>
 
متخصصين سيستمهاي [[امنيت]] [[اطلاعات]] بايد نسبت به پياده سازي [[کنترل]] دسترسي به منظور حفظ موجوديت، قابليت اعتماد و جامعيت اطلاعات اطمينان حاصل کنند.<Br>
منظور از یک سیستم کنترل دسترسی، سیستمی است که بر پایه یکی از مکانیزم‌های شناسایی به جایگزینی یک قفل وکلید مکانیکی می‌پردازد.
در دنياي شبکه هاي کامپيوتري همانگونه که کنترل دسترسي در سيستمهاي توزيع شده اهميت پيدا مي کنند در سيستمهاي متمرکز نيز حائز اهميت مي باشند.<Br>
متخصصين بايد دانش کافي نسبت به حمله ها، مخاطرات و آسيبها که با زيرساختهاي سيستمهاي اطلاعات ارتباط نزديکي دارند، داشته باشند و نسبت به ممعانت از نفوذ آسيبها اقدام کنند.<Br>
<Br>
حروف اختصاري مرتبط:<Br>
ACS : Access Control System
<Br>
ACS به معناي سيستم کنترل دسترسي
<Br>
ACU : Access Control Unit
<Br>
به طور مثال در یک سیستم AC که با روش رمز شناسایی (PIN) کار می‌کند، با وارد نمودن یک رمز خاص قفل برقی متصل به چارچوب در، عمل نموده و در باز می‌شود.
ACU به معناي قسمت کنترل دسترسي
برمبنای این تعریف یک سیستم AC به رفع مشکل ذاتی تمام سیستم‌های مکانیکی مزیت دارد و آن محدودیت تکثیر کلید است به طوری که برای یک قفل فقط می‌توان یک کلید را مشابه سازی نمود و برای افراد مختلف استفاده کرد. بدیهی است که در صورت گم شدن کلید امنیت قفل خدشه دار می‌گردد.
<Br><Br>
سهولت اختصاص کلیدهای شناسایی مختلف به یک قفل و نیز سهولت حذف و مدیریت کلیدها از مهمترین مزایای بهره گیری از یک سیستم AC می‌باشد.
تعريف ساده : منظور از يک سيستم کنترل دسترسي، سيستمي است که بر پايه يکي از مکانيزم هاي شناسايي به جايگزيني يک قفل وکليد مکانيکي مي پردازد.
<Br>
کنترل دسترسی در سیتمهای اطلاعات و شبکه‌ها به منظور حفظ قابلیت اعتماد، جامعیت و دسترس پذیری آنها ضروری می‌باشد. در ادامه هر یک از این موارد تشریح شده‌اند.<Br>
به طور مثال در يک سيستم AC که با روش رمز شناسايي (PIN) کار مي کند، با وارد نمودن يک رمز خاص قفل برقي متصل به چارچوب در، عمل نموده و در باز مي شود.
برمبناي اين تعريف يک سيستم AC به رفع مشکل ذاتي تمام سيستم هاي مکانيکي مزيت دارد و آن محدوديت تکثير کليد است به طوري که براي يک قفل فقط مي توان يک کليد را مشابه سازي نمود و براي افراد مختلف استفاده کرد. بديهي است که در صورت گم شدن کليد امنيت قفل خدشه دار مي گردد.
سهولت اختصاص کليدهاي شناسايي مختلف به يک قفل و نيز سهولت حذف و مديريت کليدها از مهمترين مزاياي بهره گيري از يک سيستم AC مي باشد.
<Br>
کنترل دسترسي در سيتمهاي اطلاعات و شبکه‌ها به منظور حفظ قابليت اعتماد، جامعيت و دسترس پذيري آنها ضروري مي باشد. در ادامه هر يک از اين موارد تشريح شده اند.<Br>
 
'''قابليتقابلیت اعتماد:'''<Br> باعث جلوگيريجلوگیری از فاش شدن اطلاعات برايبرای افراد يایا فرايندهاييفرایندهایی که مجاز نمينمی‌باشند، باشند، ميگرددمیگردد.<Br>
 
'''جامعيتجامعیت:'''<Br> از طريقطریق اهداف زيرزیر بيانبیان ميگرددمیگردد:<Br>
1۱-ممانعت از تغييرتغییر اطلاعات توسط افراد غيرغیر مجاز<Br>
2۲-ممانعت از تغييرتغییر غيرعمديغیرعمدی توسط افراد مجاز<Br>
3۳-محافظت از سازگاريسازگاری داخليداخلی و خارجيخارجی<Br>
I.سازگاريسازگاری داخليداخلی باعث تضمينتضمین سازگاريسازگاری داده‌ها مي شودمی‌شود.به عنوان مثال، فرض کنيدکنید يکیک بانک اطلاعاتياطلاعاتی تعداد واحدهايواحدهای يکیک قلم خاص در هر دپارتمان يکیک سازمان را نگهداري مينگهداری کندمی‌کند.مجموع تعداد واحدها در هر دپارتمان بايدباید با تعداد واحدها که درداخل بانک اطلاعاتياطلاعاتی ضبط شده يکسانیکسان باشد.<Br>
II.سازگاريسازگاری خارجيخارجی متضمن سازگاريسازگاری دادهداده‌های هاي ذحيرهذحیره شده در بانک اطلاعاتياطلاعاتی با دنيايدنیای واقعيواقعی است.مثال تشريحتشریح شده در قسمت قبليقبلی را برايبرای سازگاريسازگاری خارجيخارجی اينگونهاینگونه ميتوانمیتوان عنوان کرد که اقلام ضبط شده در بانک اطلاعاتياطلاعاتی برايبرای هر دپارتمان برابر با تعداد اقلام فيزيکيفیزیکی موجود در هر دپارتمان مي باشدمی‌باشد.<Br>
 
'''دسترس پذيريپذیری:'''<Br> تضمينتضمین کننده ايناین مطلب است که کاربران مجاز سيستمسیستم ميتوانندمیتوانند دسترسيدسترسی به موقع و بيبی وقفه به اطلاعات سيستمسیستم داشته باشند. علاوه بر هدف دسترسيدسترسی پذيريپذیری ميتوانمیتوان به سودمنديسودمندی و قابليتقابلیت اعتماد اشاره کرد.<Br>
ايناین اهداف و سايرسایر اهداف مرتبط از سياستسیاست امنيتيامنیتی سازمان نشأت ميگيردمیگیرد که ايناین امر توسط مديريتمدیریت ارشد سازمان به منظور تعيينتعیین دسترسي هايدسترسی‌های لازم توسط اشخاص مجاز تدوينتدوین ميگرددمیگردد.<Br>
نکته قابل توجه که در طراحيطراحی و پيادهپیاده سازيسازی مکانيزمهايمکانیزمهای کنترل دسترسيدسترسی بايدباید لحاظ شود سه مورد تهديدهايتهدیدهای موجود برايبرای سيستم،سیستم، آسيبآسیب¬پذيريپذیری سيستمسیستم در برابر ايناین تهديد هاتهدید‌ها و مخاطراتيمخاطراتی که ممکن است توسط ايناین تهديدهاتهدیدها ايجادایجاد شود، مي باشدمی‌باشد. در ادامه توضيحاتتوضیحات بيشتريبیشتری در مورد ايناین سه مورد ذکر مي شودمی‌شود:<Br>
 
'''تهديدتهدید:'''<Br> واقعه يایا فعاليتيفعالیتی که پتانسيلپتانسیل آسيبآسیب رسانيرسانی به اطلاعات سيستمهاسیستمها و يایا شبکه¬ها را دارا مي باشدمی‌باشد.<Br>
 
'''آسيبآسیب پذيريپذیری:'''<Br> ضعف يایا کمبود محافظ، که ميتواندمیتواند توسط تهديدتهدید به وقوع بپيونددبپیوندد و باعث آسيبآسیب رسانيرسانی به اطلاعات سيستمهاسیستمها و يایا شبکه¬ها شود.<Br>
 
'''مخاطره:'''<Br> پتانسيلپتانسیل برايبرای آسيبآسیب رسانيرسانی و گم شدن اطلاعات سيستمهاسیستمها و يایا شبکه‌ها مي باشدمی‌باشد و احتمال به وقوع پيوستنپیوستن تهديدهاتهدیدها خواهد بود.<Br>
 
 
'''کنترل'''<Br>
کنترلها به منظور کاهش مخاطره و پتانسيلپتانسیل مفقود شدن اطلاعات سيستمهاسیستمها و يایا شبکه‌ها پيادهپیاده سازيسازی ميمی¬شوند. کنترلها مي توانندمی‌توانند به سه صورت: ممانعت، تشخيصتشخیص و تصحيحتصحیح باشند. کنترلهايکنترلهای ممانعتيممانعتی جهت جلوگيريجلوگیری از وقايعوقایع مضر بکار گرفته ميمی¬شوند، کنترلهايکنترلهای تشخيصيتشخیصی برايبرای کشف وقايعوقایع مضر ايجادایجاد شده اندشده‌اند و کنترلهايکنترلهای تصحيحيتصحیحی برايبرای بازيابيبازیابی سيستمهائيسیستمهائی که مورد حمله هايحمله‌های مضر واقع شده اند،شده‌اند، استفاده ميمی¬شوند.<Br>
 
برايبرای پيادهپیاده سازيسازی ايناین سنجه‌ها کنترلها مي توانندمی‌توانند به صورت: راهبري،راهبری، منطقيمنطقی يایا فني،فنی، و فيزيکيفیزیکی باشند.<Br>
'''کنترلهايکنترلهای راهبريراهبری:'''<Br> شامل سياستهاسیاستها و رويه ها،رویه‌ها، آموزش آگاهيآگاهی امنيتي،امنیتی، رسيدگيرسیدگی موجوديتموجودیت فرديفردی جهت اهداف امنيتي،امنیتی، بررسيبررسی روش کار، بازبينيبازبینی تاريخچهتاریخچه تعطيلات،تعطیلات، و افزايشافزایش نظارت مي شوندمی‌شوند.<Br>
'''کنترلهايکنترلهای منطقيمنطقی يایا فنيفنی:'''<Br> شامل محدوديتهايمحدودیتهای دسترسيدسترسی به سيستمهاسیستمها و محافظت از اطلاعات ميمی¬شوند. نمونه¬هائيهائی از انواع ايناین کنترلها عبارتند از رمزگذاري،رمزگذاری، کارتهايکارتهای هوشمند، ليستهايلیستهای کنترل دسترسيدسترسی و پروتکلهايپروتکلهای انتقال.<Br>
'''کنترلهايکنترلهای فيزيکيفیزیکی:'''<Br> ايناین کنترلها باعث يکيیکی شدن محافظان با ساختمان امنيتيامنیتی مي شوند،می‌شوند، به عنوان مثال قفل کردن درها، امن سازيسازی اتاقهاياتاقهای سرور، محافظت از کابلها، جداسازيجداسازی وظائف و پشتيبانپشتیبان گيريگیری از فايلهافایلها را مي توانمی‌توان ذکر کرد.<Br>
 
کنترلها پاسخگوئيپاسخگوئی اشخاصياشخاصی را که به اطلاعات حساس دسترسيدسترسی دارند را تامينتامین مي کندمی‌کند. ايناین پاسخگوئيپاسخگوئی از طريقطریق مکانيزمهايمکانیزمهای کنترل دسترسيدسترسی تکميلتکمیل مي گرددمی‌گردد که نيازمندنیازمند شناسائيشناسائی و صدور مجوز و توابع مميزي ميممیزی باشدمی‌باشد. ايناین کنترلها بايدباید با سياستهايسیاستهای امنيتيامنیتی سازمان مطابق باشند.<Br>
رويهرویه¬هايهای تضمينتضمین باعث مي شوندمی‌شوند که مکانيزمهايمکانیزمهای کنترلي،کنترلی، سياستسیاست امنيتيامنیتی را در کل چرخه حياتحیات سيستمهايسیستمهای اطلاعاتياطلاعاتی به درستيدرستی پيادهپیاده سازيسازی نمايندنمایند. <Br>
 
'''مدلهاي کنترل دسترسي'''<Br>
کنترل دسترسي بر اساس موضوع (يک موجوديت فعال مثل اشخاص يا فرايندها) به يک شيء که شامل تنظيم قوانين دسترسي است. اين قوانين مي توانند به سه مدل يا رسته دسته¬بندی شوند.<Br>
 
در استاندارد ISO 17799 مجموعاً 10 دامنه وجود دارد که هر کدام پیرامون بخشی از حوزه‌های امنیت تدوین شده‌اند. هر دامنه دارای چندین کنترل است. کنترل دسترسی ششمین آنهاست.
'''1- کنترل دسترسي اجباري'''<Br>
مبحث کنترل دسترسی ([[access control]]) یکی از دامنه‌های مورد نظر در استاندارهای [[امنیت اطلاعات]] (از جمله ایزو 17799 و BS-7799) می‌باشد. واضح است که در بازرسی‌ها و ممیزی‌هایی که از یک سازمان به عمل می‌آید تا میزان امن بودن آن سازمان سنجیده شود (مثلا مطابق با استاندارد ممیزی ایزو 27001) این دامنه را نیز تحلیل خواهند کرد. اما جدای از این مورد، کنترل دسترسی تقریباً در تمام سازمانها از اهمیت ویژه‌ای بر خوردار است. در اغلب سازمانها وقتی در اجرای دامنه‌های ایزو 17799 بحث محدودیت مالی و منابع پیش آید و نیاز به رتبه بندی و الویت سنجی دامنه‌ها باشد، دامنه کنترل دسترسی غالباً رتبه «ارحج ترین» را می‌گیرد.
مجوز دسترسي موضوع به يک شيء بستگي به برچسبها، که نمايان کننده اختيار و کلاسه بندي يا حساست شيء مي باشد. براي مثال مستندات طبقه بندي شده نظامي به غيرسري، کمي محرمانه، محرمانه و خيلي سري. به همين نحو، يک شخص ميتواند يک اختيار کمي محرمانه، محرمانه يا خيلي محرمانه داشته باشد تا به اطلاعات طبقه بندي شده مرتبط با محدوديتهاي تعيين شده، دسترسي داشته باشد.<Br>
اين محدوديت اين است که اشخاص بايد يک نياز براي آگاهي مرتبط با مستندات طبقه بندي شده درگير را داشته باشند.بنابر اين، مستندات بايد براي اشخاص به جهت تکميل وظايف مرتبط ضروري باشند.<Br>
تا زمانيکه اشخاص مطابق با طبقه¬بندي موردنياز مشخص نشده اند نبايد به اطلاعات دسترسي داشته باشند.<Br>
کنترل دسترسي برمبناي قانون يک نوع از کنترل دسترسي اجباري است زيرا اين کنترل بر اساس قوانين تشخيص داده مي¬شود و نه به تنهايي توسط موجوديت موضوعات و اشيأ به تنهايي.<Br>
 
== تعریف کنترل دسترسی از دیدگاه CISSP ==
'''2- کنترل دسترسي احتياطي'''<Br>
موضوع اختيار لازم به همراه محدوديتهاي مسلم براي مشخص کردن اينکه کدام اشيأ دسترس پذير هستند را دارد. براي مثال ليستهاي کنترل دسترسي قابل استفاده هستند.<Br>
اين نوع از کنترل دسترسي يه صورت محلي، در موقعيتهاي پويايي که موضوعات بايد احتياطهايي براي مشخص کردن اينکه به چه منابعيغ کاربران مسلمي مجاز براي دسترسي هستند، بکار مي رود.<Br>
زمانيکه يک کاربر با محدوديتهاي مسلم، حق جابجايي کنترل دسترسي به اشيأ مسلمي را دارد، اين اصطلاح بکار مي رود: کاربر هدايت شده با دسترسي احتياطي<Br>
يک کنترل دسترسي براساس موجوديت يک نوع از کنترل دسترسي احتياطي است که برمبناي موجود يا اشخاص مي¬باشد. در بعضي نمونه¬ها، يک رويکرد پيوندي بکار مي رود، که ترکيبي از قابليتهاي کنترل دسترسي احتياطي بر مبناي کاربر و بر مبناي موجوديت مي باشد.<Br>
 
یک تعامل اولیه و خاص، بین یک فاعل و یک شئ است که در نهایت منجر به برقراری جریان اطلاعاتی از یکی از انها به دیگری خواهد شد.
'''3- کنترل دسترسي غيراحتياطي'''<Br>
نکته: به طور کلی عناصری که توان انجام فعالیت و اجرای عملی روی چیز دیگری دارند فاعل و عناصر دیگر مثل منابع و... را مفعول می‌نامیم.
يک اختيار مرکزي مشخيص مي¬کند که چه موضوعاتي مي توانند دسترسي به اشيأ مسلمي بر مبناي سياست امنيتي سازمان داشته باشند. کنترلهاي دسترسي ممکن است برمبناي نقش اشخاص در سازمان يا در پاسخگويي هاي موضوع و وظايف باشند.<Br>
مطابق توضیحات CISSP دامنه کنترل دسترسی، شامل این بخش هاست: 1-تعریف 2-علل اهمیت 3-انواع کنترل 4-مدل‌های کنترل 5-کشف مخاطرات 6-علائم منفرد روی سیستم‌ها 7-شناسایی و اعتبار سنجی
در يک سازماني که تغييرات دائمي پرسنل را داريم، کنترل دسترسي غيراحتياطي مفيد است زيرا کنترل دسترسي بر اساس نقش اشخاص و يا سمت در سازمان مي باشد. اين کنترل دسترسي هروقت که پرسنلي داراي نقشي ديگر مي¬شود نياز به تغيير ندارد.<Br>
نوع ديگري از کنترل دسترسي غيراحتياطي کنترل دسترسي برمبناي شبکه(lattice-based) مي باشد .در اين نوع کنترل، يک مدل شبکه اي بکار رفته است. در يک مدل شبکه¬اي زوجي از اجزا موضوع و شيء مي باشند و موضوع بيشترين کران پايين و کمترين کران بالاي حق دسترسي به شيء را دارد.<Br>
 
== چرا کنترل دسترسی اهمیت دارد؟ ==
 
کنترل دسترسی روشن ترین نماد امنیت است. در واقع آنرا قلب امنیت هم می‌دانند. همچنین برای به اجرا در آمدن اهداف CIA (Confidentiality, Integrity, Authentication) در بحث امنیت از نگاه ISMS، این دامنه یک مبنا و پیش نیاز به حساب می‌آید.
'''ترکيبات کنترل'''<Br>
کنترل دسترسی برای تحقق سه هدف عمده به کار گرفته می‌شود که عبارتند از:
با ترکيب کنترلهاي ممانعت کننده و تشخيص¬دهنده، انواع پياده ساز راهبري، فني(منطقي) و فيزيکي شامل زوجهاي زير مي شوند:<Br>
1- جلوگیری از دسترسی کاربران غیر مجاز به امکانات تغییر اطلاعات.
2- جلوگیری از دستکاری اطلاعات به صورت غیر عمدی توسط کاربران ناآشنا و غیر مجاز
3- حصول اطمینان از سلامت اطلاعات و ثبات اطلاعات داخلی و خارجی.
 
== انواع کنترل دسترسی ==
 
کنترل دسترسی و به طور کلی کنترل را از دیدگاه‌های مختلفی می‌توان تقسیم بندی کرد از یک دیدگاه انواع کنترل عبارتند از:
1-پیش گیرانه (که جلوی چیزی را قبل از حادث شدن می‌گیرند)
2-شناسایی کننده.(شناسایی مخاطرات)
3-اصلاح کننده (که تعمیر یا تصحیح امور را انجام می‌دهند)
4-بازیاب (که چیزی را بازیافت و دوباره احیا می‌کنند)
5-باز دارنده
 
اما از دیدگاه اجرایی و عملیاتی کنترلها سه دسته‌اند: 1-کنترل‌های مدیریتی شامل سیاست‌ها، رویه‌ها، آموزش و کنترل سابقه کاری و... می‌باشند
2-کنترل‌های منطقی / فنی مثل رمز گذاری و تهیه و استفاده از لیست کنترل دسترسی ACL
3-کنترلهای فیزیکی مانند درها، حصارها، گاردها و...
 
 
== کنترل دسترسی در ISO 17799-2005 ==
 
دامنه کنترل دسترسی به عنوان یکی از دامنه‌های استاندارد امنیتی ایزو 17799 دارای هفت بخش کلی است که هر کدام از آنها نیز از چندین زیربخش تشکیل شده‌اند. فهرست این بخش‌ها به شرح زیر است:
1- ملزومات مورد نیاز برای پیاده سازی
1-1- سیاست‌های کنترل دسترسی
2- مدیریت دسترسی کاربران
2-1- ثبت کاربر
2-2- مدیریت امتیازات خاص کنترل
3-2- مدیریت رمز عبور کاربران کنترل
4-2- بررسی حقوق دسترسی کاربر کنترل
3- مسئولیت‌های کاربر
1-3- کاربرد رمز عبور
2-3- تجهیزات دور از توجه مستقیم کاربر
3-3- سیاست تمیز نگاه داشتن میز کار و صفحه نمایش تجهیزات الکترونیکی
4- کنترل دسترسی به شبکه
1-4- سیاست چگونگی استفاده از رویس‌های شبکه
2-4- تصدیق اعتبار کاربر برای ارتباطات و تماس‌های از خارج از سازمان
3-4- شناسایی و تعیین هویت تجهیزات در شبکه
4-4- مراقبت از پورت‌هایی که برای اجرای تنظیمات و رفع نقص‌ها از راه دور
5-4- تفکیک و جداسازی در شبکه‌ها
6-4- کنترل تماس با شبکه
5- کنترل دسترسی به سیستم عامل
1-5- فرآیندهایی امن برای ورود به سیستم
2-5- شناسایی و تصدیق هویت کاربران
3-5- سیستم مدیریت رمز عبور
4-5- استفاده از برنامه‌های مزیتی سیستم
5-5- مهلت زمانی نشت‌ها
6-5- محدودیت زمان برقراری ارتباط
6- کنترل دسترسی به برنامه‌های کاربردی و اطلاعات
1-6-ممنوعیت دسترسی به اطلاعات
2-6- جداسازی سیستم‌های حساس
7- شبکه‌های بی‌سیم و ارتباطات سیار راه دور
1-7- محاسبات و ارتباطات سیار
2-7- کارکردن از راه دور
 
 
==مدلهای کنترل دسترسی'''==
کنترل دسترسی بر اساس موضوع (یک موجودیت فعال مثل اشخاص یا فرایندها) به یک شیء که شامل تنظیم قوانین دسترسی است. این قوانین می‌توانند به سه مدل یا رسته دسته¬بندی شوند.<Br>
 
'''۱- کنترل دسترسی اجباری'''<Br>
مجوز دسترسی موضوع به یک شیء بستگی به برچسبها، که نمایان کننده اختیار و کلاسه بندی یا حساست شیء می‌باشد. برای مثال مستندات طبقه بندی شده نظامی به غیرسری، کمی محرمانه، محرمانه و خیلی سری. به همین نحو، یک شخص میتواند یک اختیار کمی محرمانه، محرمانه یا خیلی محرمانه داشته باشد تا به اطلاعات طبقه بندی شده مرتبط با محدودیتهای تعیین شده، دسترسی داشته باشد.<Br>
این محدودیت این است که اشخاص باید یک نیاز برای آگاهی مرتبط با مستندات طبقه بندی شده درگیر را داشته باشند.بنابر این، مستندات باید برای اشخاص به جهت تکمیل وظایف مرتبط ضروری باشند.<Br>
تا زمانیکه اشخاص مطابق با طبقه¬بندی موردنیاز مشخص نشده‌اند نباید به اطلاعات دسترسی داشته باشند.<Br>
کنترل دسترسی برمبنای قانون یک نوع از کنترل دسترسی اجباری است زیرا این کنترل بر اساس قوانین تشخیص داده می¬شود و نه به تنهایی توسط موجودیت موضوعات و اشیأ به تنهایی.<Br>
 
'''۲- کنترل دسترسی احتیاطی'''<Br>
موضوع اختیار لازم به همراه محدودیتهای مسلم برای مشخص کردن اینکه کدام اشیأ دسترس پذیر هستند را دارد. برای مثال لیستهای کنترل دسترسی قابل استفاده هستند.<Br>
این نوع از کنترل دسترسی یه صورت محلی، در موقعیتهای پویایی که موضوعات باید احتیاطهایی برای مشخص کردن اینکه به چه منابعیغ کاربران مسلمی مجاز برای دسترسی هستند، بکار می‌رود.<Br>
زمانیکه یک کاربر با محدودیتهای مسلم، حق جابجایی کنترل دسترسی به اشیأ مسلمی را دارد، این اصطلاح بکار می‌رود: کاربر هدایت شده با دسترسی احتیاطی<Br>
یک کنترل دسترسی براساس موجودیت یک نوع از کنترل دسترسی احتیاطی است که برمبنای موجود یا اشخاص می¬باشد. در بعضی نمونه¬ها، یک رویکرد پیوندی بکار می‌رود، که ترکیبی از قابلیتهای کنترل دسترسی احتیاطی بر مبنای کاربر و بر مبنای موجودیت می‌باشد.<Br>
 
'''۳- کنترل دسترسی غیراحتیاطی'''<Br>
یک اختیار مرکزی مشخیص می¬کند که چه موضوعاتی می‌توانند دسترسی به اشیأ مسلمی بر مبنای سیاست امنیتی سازمان داشته باشند. کنترلهای دسترسی ممکن است برمبنای نقش اشخاص در سازمان یا در پاسخگویی‌های موضوع و وظایف باشند.<Br>
در یک سازمانی که تغییرات دائمی پرسنل را داریم، کنترل دسترسی غیراحتیاطی مفید است زیرا کنترل دسترسی بر اساس نقش اشخاص و یا سمت در سازمان می‌باشد. این کنترل دسترسی هروقت که پرسنلی دارای نقشی دیگر می¬شود نیاز به تغییر ندارد.<Br>
نوع دیگری از کنترل دسترسی غیراحتیاطی کنترل دسترسی برمبنای شبکه(lattice-based) می‌باشد.در این نوع کنترل، یک مدل شبکه‌ای بکار رفته‌است. در یک مدل شبکه¬ای زوجی از اجزا موضوع و شیء می‌باشند و موضوع بیشترین کران پایین و کمترین کران بالای حق دسترسی به شیء را دارد.<Br>
 
 
'''ترکیبات کنترل'''<Br>
با ترکیب کنترلهای ممانعت کننده و تشخیص¬دهنده، انواع پیاده ساز راهبری، فنی(منطقی) و فیزیکی شامل زوجهای زیر می‌شوند:<Br>
'''مانع / راهبر
مانع / فنيفنی
مانع / فيزيکيفیزیکی
تشخيصتشخیص دهنده / راهبر
تشخيصتشخیص دهنده / فنيفنی
تشخيصتشخیص دهنده / فيزيکيفیزیکی'''
 
هر کدام از ايناین شش زوج و عناصر کليديکلیدی آنها در ذيلذیل مطرح ميمی¬گردند.<Br>
 
'''ممانعت/ راهبری'''<Br>
در ايناین نوع، اهميتاهمیت بر اساس مکانيزمهايمکانیزمهای "«نرم"» که پشتيبانپشتیبان اهداف کنترل دسترسيدسترسی است، مي باشدمی‌باشد.ايناین مکانيزمهامکانیزمها شامل سياستهايسیاستهای سازمانيسازمانی و رويه ها،رویه‌ها، موافقت نامه هاينامه‌های کارمندان، رويهرویه‌های هاي اختتاميهاختتامیه کارکنان به صورت دوستانه يایا غيرغیر دوستانه، زمانبنديزمانبندی تعطيلات،تعطیلات، برسب بر رويروی مواد حساس، آگاهيآگاهی‌های هاي رفتاريرفتاری و رويه هايرویه‌های نشانه گذاريگذاری برايبرای حصول شبکه‌ها و سيستمهايسیستمهای اطلاعاتياطلاعاتی و ... مي باشندمی‌باشند.<Br>
 
'''ممانعت/ فنيفنی'''<Br>
ايناین نوع، از تکنولوژيتکنولوژی به منظور اچبار سياستهايسیاستهای کنترليکنترلی استفاده مي کندمی‌کند.ايناین کنترلهايکنترلهای فنيفنی همچنينهمچنین به عنوان کنترلهايکنترلهای منطقيمنطقی شناخته مي شودمی‌شود و مي توانندمی‌توانند در سيستمسیستم عامل، نرم افزارهايافزارهای کاربرديکاربردی و يایا در سخت افزارها و يایا نرم افزارهايافزارهای الحاقيالحاقی گذاشته شوند.<Br>
بعضيبعضی از انواع کنترلهايکنترلهای ممانعت/ فنيفنی شامل پروتکلها، کدگذاريها،کدگذاریها، کارتهايکارتهای هوشمند، بيومتريکهابیومتریکها (برايبرای اخذ مجوز)، بسته ¬ايای نرم افزاريافزاری کنترل دسترسيدسترسی از راه دور، رمزها، منوها، پوستهپوسته‌ها، ها،بانکهای بانکهاي اطلاعاتي،اطلاعاتی، نرم افزارهاي تشخيصافزارهای ويروستشخیص ميویروس باشندمی‌باشند.<Br>
پروتکلها، کدگذاريها،کدگذاریها، کارتهايکارتهای هوشمند مکانيزمهايمکانیزمهای فنيفنی برايبرای محافظت اطلاعات و رمزها از افشاسازيافشاسازی مي باشندمی‌باشند.<Br>
بيومتريکهابیومتریکها در تکنولوژيهاييتکنولوژیهایی نظيرنظیر اثرانگشت، شبکيهشبکیه چشم، و جستجويجستجوی عنبيهعنبیه برايبرای اخذ مجوز از اشخاص برايبرای دسترسيدسترسی به منابع بکار مي روندمی‌روند.<Br>
'''ممانعت / فيزيکيفیزیکی:'''<Br>
تعداد زياديزیادی از سنجه هايسنجه‌های مانع / فيزيکيفیزیکی قابل حس و درک هستند. ايناین سنجه‌ها به عنوان محدود کننده دسترسيدسترسی فيزيکيفیزیکی به نواحينواحی ايای که اطلاعات حساس سيستم نگهداريسیستم مينگهداری شودمی‌شود.
نواحينواحی مورد محافظت قرار گرفته توسط يکیک فضايفضای امنيتيامنیتی حلقويحلقوی تعريفتعریف ميمی¬شود که تحت نظرکنترل دسترسيدسترسی مي باشدمی‌باشد.<Br>
کنترلهايکنترلهای ممانعت/ فيزيکيفیزیکی شامل: حفاظها، امضاءامضاء‌ها، ها، درهايدرهای چندگانه( به عنوان مثال وجود چندينچندین در پشت هم که در صورت ورود به يکيیکی با درهايدرهای ديگردیگر مواجه مي شويممی‌شویمسيستمسیستم وروديورودی کارتهايکارتهای مغناطيسي،مغناطیسی، بيومتريکهابیومتریکها به منظور تعيينتعیین صلاحيت،صلاحیت، گاردها، سگها، سيستمهايسیستمهای کنترل محيطمحیط (مانند درجه حرارت، رطوبت و ...)، و ساختمان و نواحينواحی دسترسيدسترسی.<Br>
سنجه هايسنجه‌های ممانعت/ فيزيکيفیزیکی همچنينهمچنین برايبرای نواحينواحی که برايبرای پشتيبانپشتیبان گيريگیری فايلهافایلها بکار ميروند،میروند، کاربرد دارد.<Br>
 
'''تشخيصتشخیص دهنده/ راهبری'''<Br>
تعداد زياديزیادی از کنترلکنترل‌های هاي ايناین نوع با کنترل هايکنترل‌های مانع / راهبر همپوشانيهمپوشانی دارند و ايناین همپوشانيهمپوشانی ميتواتندمیتواتند در ممانعت از تخلفات سياستسیاست امنيتيامنیتی آيندهآینده يایا تشخيصتشخیص تخلفات موجود، ظاهر گردد.
نمونه¬هاييهایی از ايناین کنترلکنترل‌ها ها سياستهايسیاستهای سازمان و رويهرویه‌ها، ها،زمانبندی زمانبندي تعطيلات،تعطیلات، برچسب گذاريگذاری مواد حساس و ... مي باشندمی‌باشند.
کنترلهايکنترلهای اضافياضافی تشخيصتشخیص دهنده/ راهبری شامل گردش کار؛ تسهيمتسهیم مسئوليتهامسئولیتها و بررسيبررسی رکوردهايرکوردهای مميزيممیزی هستند.
 
'''تشخيصتشخیص دهنده/ فنيفنی'''<Br>
سنجه¬هايهای کنترليکنترلی تشخيصتشخیص دهنده/ فنيفنی به منظور آشکارسازيآشکارسازی تخلفات ناشيناشی از سياستسیاست امنيتيامنیتی با کاربريکاربری فنيفنی بکار ميروندمیروند. ايناین سنجه¬ها شامل موارد سيستمهايسیستمهای تشخيصتشخیص حمله و گزارشات خودکار تخلفات از اطلاعات ارزيابيارزیابی شده مي باشندمی‌باشند.
ايناین گزارشات ميتوانندمیتوانند واريانسهاييواریانسهایی از عملياتعملیات نرمال نماياننمایان سازند و يایا تشخيصتشخیص امضاهايامضاهای دسترسيدسترسی‌های هاي غيرمجازغیرمجاز را داشته باشند.
 
'''تشخيصتشخیص دهنده/ فيزيکيفیزیکی'''<Br>
کنترلهايکنترلهای تشخيصتشخیص دهنده/ فيزيکيفیزیکی معمولا نيازمندنیازمند نيروينیروی انسانيانسانی برايبرای ارزيابيارزیابی وروديورودی از سنسورها يایا دوربينهادوربینها برايبرای تشخيصتشخیص تهديدهاتهدیدها و حملات موجود مي باشندمی‌باشند.
بعضيبعضی از انواع ايناین کنترلها تشخيصتشخیص دهنده حرکت و جنبش هستند و يایا تشخيصتشخیص دهندهدهنده‌های هاي حرارتيحرارتی و دوربينهاي ويدئوييدوربینهای ميویدئویی باشندمی‌باشند.
 
== فهرست منابع ==
 
1- مستند استاندارد ایزو 17799 نسخه سال 2005 (انگلیسی)
 
2- سایت www.guidetocissp.com (دسترسی در مارس 2007)
 
3- سایتwww.adt.co.uk/access_control_systems (دسترسی در مارس 2007)
 
4- مستند ‘Access control Mindmap’ از مجموعه مستندات CISSP
 
== منبع ==
Wiley] - The CISSP Prep Guide - Mastering the Ten Domains of Computer Security]
 
== جستار وابسته ==
 
[[امنیت اطلاعات]]
 
== پیوند‌ به بیرون ==
*[http://www.praxiom.com خلاصه متن استاندارد ایزو 17799]
*[http://www.sgnec.net شبکه مهندسی و راهبری تحقیقات همکاران سیستم ]
 
[[en:Access control]]
برگرفته از «https://fa.wikipedia.org/wiki/کنترل_دسترسی»