باز کردن منو اصلی

تغییرات

هیچ تغییری در اندازه به وجود نیامده‌ است.، ۹ سال پیش
جز
ربات: ویرایش جزئی
متخصصین سیستمهای [[امنیت]] [[اطلاعات]] باید نسبت به پیاده سازی [[کنترل]] دسترسی به منظور حفظ موجودیت، قابلیت اعتماد و جامعیت اطلاعات اطمینان حاصل کنند.<Brbr />
در دنیای شبکه‌های کامپیوتری همانگونه که کنترل دسترسی در سیستمهای توزیع شده اهمیت پیدا می‌کنند در سیستمهای متمرکز نیز حائز اهمیت می‌باشند.<Brbr />
متخصصین باید دانش کافی نسبت به حمله‌ها، مخاطرات و آسیبها که با زیرساختهای سیستمهای اطلاعات ارتباط نزدیکی دارند، داشته باشند و نسبت به ممعانت از نفوذ آسیبها اقدام کنند.<Brbr />
 
منظور از یک سیستم کنترل دسترسی، سیستمی است که بر پایه یکی از مکانیزم‌های شناسایی به جایگزینی یک قفل وکلید مکانیکی می‌پردازد.
<Brbr />
به طور مثال در یک سیستم AC که با روش رمز شناسایی (PIN) کار می‌کند، با وارد نمودن یک رمز خاص قفل برقی متصل به چارچوب در، عمل نموده و در باز می‌شود.
برمبنای این تعریف یک سیستم AC به رفع مشکل ذاتی تمام سیستم‌های مکانیکی مزیت دارد و آن محدودیت تکثیر کلید است به طوری که برای یک قفل فقط می‌توان یک کلید را مشابه سازی نمود و برای افراد مختلف استفاده کرد. بدیهی است که در صورت گم شدن کلید امنیت قفل خدشه دار می‌گردد.
سهولت اختصاص کلیدهای شناسایی مختلف به یک قفل و نیز سهولت حذف و مدیریت کلیدها از مهمترین مزایای بهره گیری از یک سیستم AC می‌باشد.
<Brbr />
کنترل دسترسی در سیتمهای اطلاعات و شبکه‌ها به منظور حفظ قابلیت اعتماد، جامعیت و دسترس پذیری آنها ضروری می‌باشد. در ادامه هر یک از این موارد تشریح شده‌اند.<Brbr />
 
'''قابلیت اعتماد:'''<Brbr /> باعث جلوگیری از فاش شدن اطلاعات برای افراد یا فرایندهایی که مجاز نمی‌باشند، میگردد.<Brbr />
 
'''جامعیت:'''<Brbr /> از طریق اهداف زیر بیان میگردد:<Brbr />
۱-ممانعت از تغییر اطلاعات توسط افراد غیر مجاز<Brbr />
۲-ممانعت از تغییر غیرعمدی توسط افراد مجاز<Brbr />
۳-محافظت از سازگاری داخلی و خارجی<Brbr />
I.سازگاری داخلی باعث تضمین سازگاری داده‌ها می‌شود.به عنوان مثال، فرض کنید یک بانک اطلاعاتی تعداد واحدهای یک قلم خاص در هر دپارتمان یک سازمان را نگهداری می‌کند.مجموع تعداد واحدها در هر دپارتمان باید با تعداد واحدها که درداخل بانک اطلاعاتی ضبط شده یکسان باشد.<Brbr />
II.سازگاری خارجی متضمن سازگاری داده‌های ذحیره شده در بانک اطلاعاتی با دنیای واقعی است.مثال تشریح شده در قسمت قبلی را برای سازگاری خارجی اینگونه میتوان عنوان کرد که اقلام ضبط شده در بانک اطلاعاتی برای هر دپارتمان برابر با تعداد اقلام فیزیکی موجود در هر دپارتمان می‌باشد.<Brbr />
 
'''دسترس پذیری:'''<Brbr /> تضمین کننده این مطلب است که کاربران مجاز سیستم میتوانند دسترسی به موقع و بی وقفه به اطلاعات سیستم داشته باشند. علاوه بر هدف دسترسی پذیری میتوان به سودمندی و قابلیت اعتماد اشاره کرد.<Brbr />
این اهداف و سایر اهداف مرتبط از سیاست امنیتی سازمان نشأت میگیرد که این امر توسط مدیریت ارشد سازمان به منظور تعیین دسترسی‌های لازم توسط اشخاص مجاز تدوین میگردد.<Brbr />
نکته قابل توجه که در طراحی و پیاده سازی مکانیزمهای کنترل دسترسی باید لحاظ شود سه مورد تهدیدهای موجود برای سیستم، آسیب¬پذیری سیستم در برابر این تهدید‌ها و مخاطراتی که ممکن است توسط این تهدیدها ایجاد شود، می‌باشد. در ادامه توضیحات بیشتری در مورد این سه مورد ذکر می‌شود:<Brbr />
 
'''تهدید:'''<Brbr /> واقعه یا فعالیتی که پتانسیل آسیب رسانی به اطلاعات سیستمها و یا شبکه¬ها را دارا می‌باشد.<Brbr />
 
'''آسیب پذیری:'''<Brbr /> ضعف یا کمبود محافظ، که میتواند توسط تهدید به وقوع بپیوندد و باعث آسیب رسانی به اطلاعات سیستمها و یا شبکه¬ها شود.<Brbr />
 
'''مخاطره:'''<Brbr /> پتانسیل برای آسیب رسانی و گم شدن اطلاعات سیستمها و یا شبکه‌ها می‌باشد و احتمال به وقوع پیوستن تهدیدها خواهد بود.<Brbr />
 
 
'''کنترل'''<Brbr />
کنترلها به منظور کاهش مخاطره و پتانسیل مفقود شدن اطلاعات سیستمها و یا شبکه‌ها پیاده سازی می¬شوند. کنترلها می‌توانند به سه صورت: ممانعت، تشخیص و تصحیح باشند. کنترلهای ممانعتی جهت جلوگیری از وقایع مضر بکار گرفته می¬شوند، کنترلهای تشخیصی برای کشف وقایع مضر ایجاد شده‌اند و کنترلهای تصحیحی برای بازیابی سیستمهائی که مورد حمله‌های مضر واقع شده‌اند، استفاده می¬شوند.<Brbr />
 
برای پیاده سازی این سنجه‌ها کنترلها می‌توانند به صورت: راهبری، منطقی یا فنی، و فیزیکی باشند.<Brbr />
'''کنترلهای راهبری:'''<Brbr /> شامل سیاستها و رویه‌ها، آموزش آگاهی امنیتی، رسیدگی موجودیت فردی جهت اهداف امنیتی، بررسی روش کار، بازبینی تاریخچه تعطیلات، و افزایش نظارت می‌شوند.<Brbr />
'''کنترلهای منطقی یا فنی:'''<Brbr /> شامل محدودیتهای دسترسی به سیستمها و محافظت از اطلاعات می¬شوند. نمونه¬هائی از انواع این کنترلها عبارتند از رمزگذاری، کارتهای هوشمند، لیستهای کنترل دسترسی و پروتکلهای انتقال.<Brbr />
'''کنترلهای فیزیکی:'''<Brbr /> این کنترلها باعث یکی شدن محافظان با ساختمان امنیتی می‌شوند، به عنوان مثال قفل کردن درها، امن سازی اتاقهای سرور، محافظت از کابلها، جداسازی وظائف و پشتیبان گیری از فایلها را می‌توان ذکر کرد.<Brbr />
 
کنترلها پاسخگوئی اشخاصی را که به اطلاعات حساس دسترسی دارند را تامین می‌کند. این پاسخگوئی از طریق مکانیزمهای کنترل دسترسی تکمیل می‌گردد که نیازمند شناسائی و صدور مجوز و توابع ممیزی می‌باشد. این کنترلها باید با سیاستهای امنیتی سازمان مطابق باشند.<Brbr />
رویه¬های تضمین باعث می‌شوند که مکانیزمهای کنترلی، سیاست امنیتی را در کل چرخه حیات سیستمهای اطلاعاتی به درستی پیاده سازی نمایند. <Brbr />
 
 
 
 
== مدلهای کنترل دسترسی''' ==
کنترل دسترسی بر اساس موضوع (یک موجودیت فعال مثل اشخاص یا فرایندها) به یک شیء که شامل تنظیم قوانین دسترسی است. این قوانین می‌توانند به سه مدل یا رسته دسته¬بندی شوند.<Brbr />
 
'''۱- کنترل دسترسی اجباری'''<Brbr />
مجوز دسترسی موضوع به یک شیء بستگی به برچسبها، که نمایان کننده اختیار و کلاسه بندی یا حساست شیء می‌باشد. برای مثال مستندات طبقه بندی شده نظامی به غیرسری، کمی محرمانه، محرمانه و خیلی سری. به همین نحو، یک شخص میتواند یک اختیار کمی محرمانه، محرمانه یا خیلی محرمانه داشته باشد تا به اطلاعات طبقه بندی شده مرتبط با محدودیتهای تعیین شده، دسترسی داشته باشد.<Brbr />
این محدودیت این است که اشخاص باید یک نیاز برای آگاهی مرتبط با مستندات طبقه بندی شده درگیر را داشته باشند.بنابر این، مستندات باید برای اشخاص به جهت تکمیل وظایف مرتبط ضروری باشند.<Brbr />
تا زمانیکه اشخاص مطابق با طبقه¬بندی موردنیاز مشخص نشده‌اند نباید به اطلاعات دسترسی داشته باشند.<Brbr />
کنترل دسترسی برمبنای قانون یک نوع از کنترل دسترسی اجباری است زیرا این کنترل بر اساس قوانین تشخیص داده می¬شود و نه به تنهایی توسط موجودیت موضوعات و اشیأ به تنهایی.<Brbr />
 
'''۲- کنترل دسترسی احتیاطی'''<Brbr />
موضوع اختیار لازم به همراه محدودیتهای مسلم برای مشخص کردن اینکه کدام اشیأ دسترس پذیر هستند را دارد. برای مثال لیستهای کنترل دسترسی قابل استفاده هستند.<Brbr />
این نوع از کنترل دسترسی یه صورت محلی، در موقعیتهای پویایی که موضوعات باید احتیاطهایی برای مشخص کردن اینکه به چه منابعیغ کاربران مسلمی مجاز برای دسترسی هستند، بکار می‌رود.<Brbr />
زمانیکه یک کاربر با محدودیتهای مسلم، حق جابجایی کنترل دسترسی به اشیأ مسلمی را دارد، این اصطلاح بکار می‌رود: کاربر هدایت شده با دسترسی احتیاطی<Brbr />
یک کنترل دسترسی براساس موجودیت یک نوع از کنترل دسترسی احتیاطی است که برمبنای موجود یا اشخاص می¬باشد. در بعضی نمونه¬ها، یک رویکرد پیوندی بکار می‌رود، که ترکیبی از قابلیتهای کنترل دسترسی احتیاطی بر مبنای کاربر و بر مبنای موجودیت می‌باشد.<Brbr />
 
'''۳- کنترل دسترسی غیراحتیاطی'''<Brbr />
یک اختیار مرکزی مشخیص می¬کند که چه موضوعاتی می‌توانند دسترسی به اشیأ مسلمی بر مبنای سیاست امنیتی سازمان داشته باشند. کنترلهای دسترسی ممکن است برمبنای نقش اشخاص در سازمان یا در پاسخگویی‌های موضوع و وظایف باشند.<Brbr />
در یک سازمانی که تغییرات دائمی پرسنل را داریم، کنترل دسترسی غیراحتیاطی مفید است زیرا کنترل دسترسی بر اساس نقش اشخاص و یا سمت در سازمان می‌باشد. این کنترل دسترسی هروقت که پرسنلی دارای نقشی دیگر می¬شود نیاز به تغییر ندارد.<Brbr />
نوع دیگری از کنترل دسترسی غیراحتیاطی کنترل دسترسی برمبنای شبکه(lattice-based) می‌باشد.در این نوع کنترل، یک مدل شبکه‌ای بکار رفته‌است. در یک مدل شبکه¬ای زوجی از اجزا موضوع و شیء می‌باشند و موضوع بیشترین کران پایین و کمترین کران بالای حق دسترسی به شیء را دارد.<Brbr />
 
 
'''ترکیبات کنترل'''<Brbr />
با ترکیب کنترلهای ممانعت کننده و تشخیص¬دهنده، انواع پیاده ساز راهبری، فنی(منطقی) و فیزیکی شامل زوجهای زیر می‌شوند:<Brbr />
'''مانع / راهبر
مانع / فنی
تشخیص دهنده / فیزیکی'''
 
هر کدام از این شش زوج و عناصر کلیدی آنها در ذیل مطرح می¬گردند.<Brbr />
 
'''ممانعت/ راهبری'''<Brbr />
در این نوع، اهمیت بر اساس مکانیزمهای «نرم» که پشتیبان اهداف کنترل دسترسی است، می‌باشد.این مکانیزمها شامل سیاستهای سازمانی و رویه‌ها، موافقت نامه‌های کارمندان، رویه‌های اختتامیه کارکنان به صورت دوستانه یا غیر دوستانه، زمانبندی تعطیلات، برسب بر روی مواد حساس، آگاهی‌های رفتاری و رویه‌های نشانه گذاری برای حصول شبکه‌ها و سیستمهای اطلاعاتی و... می‌باشند.<Brbr />
 
'''ممانعت/ فنی'''<Brbr />
این نوع، از تکنولوژی به منظور اچبار سیاستهای کنترلی استفاده می‌کند.این کنترلهای فنی همچنین به عنوان کنترلهای منطقی شناخته می‌شود و می‌توانند در سیستم عامل، نرم افزارهای کاربردی و یا در سخت افزارها و یا نرم افزارهای الحاقی گذاشته شوند.<Brbr />
بعضی از انواع کنترلهای ممانعت/ فنی شامل پروتکلها، کدگذاریها، کارتهای هوشمند، بیومتریکها (برای اخذ مجوز)، بسته ¬ای نرم افزاری کنترل دسترسی از راه دور، رمزها، منوها، پوسته‌ها، بانکهای اطلاعاتی، نرم افزارهای تشخیص ویروس می‌باشند.<Brbr />
پروتکلها، کدگذاریها، کارتهای هوشمند مکانیزمهای فنی برای محافظت اطلاعات و رمزها از افشاسازی می‌باشند.<Brbr />
بیومتریکها در تکنولوژیهایی نظیر اثرانگشت، شبکیه چشم، و جستجوی عنبیه برای اخذ مجوز از اشخاص برای دسترسی به منابع بکار می‌روند.<Brbr />
'''ممانعت / فیزیکی:'''<Brbr />
تعداد زیادی از سنجه‌های مانع / فیزیکی قابل حس و درک هستند. این سنجه‌ها به عنوان محدود کننده دسترسی فیزیکی به نواحی ای که اطلاعات حساس سیستم نگهداری می‌شود.
نواحی مورد محافظت قرار گرفته توسط یک فضای امنیتی حلقوی تعریف می¬شود که تحت نظرکنترل دسترسی می‌باشد.<Brbr />
کنترلهای ممانعت/ فیزیکی شامل: حفاظها، امضاء‌ها، درهای چندگانه(به عنوان مثال وجود چندین در پشت هم که در صورت ورود به یکی با درهای دیگر مواجه می‌شویم)، سیستم ورودی کارتهای مغناطیسی، بیومتریکها به منظور تعیین صلاحیت، گاردها، سگها، سیستمهای کنترل محیط (مانند درجه حرارت، رطوبت و...)، و ساختمان و نواحی دسترسی.<Brbr />
سنجه‌های ممانعت/ فیزیکی همچنین برای نواحی که برای پشتیبان گیری فایلها بکار میروند، کاربرد دارد.<Brbr />
 
'''تشخیص دهنده/ راهبری'''<Brbr />
تعداد زیادی از کنترل‌های این نوع با کنترل‌های مانع / راهبر همپوشانی دارند و این همپوشانی میتواتند در ممانعت از تخلفات سیاست امنیتی آینده یا تشخیص تخلفات موجود، ظاهر گردد.
نمونه¬هایی از این کنترل‌ها سیاستهای سازمان و رویه‌ها، زمانبندی تعطیلات، برچسب گذاری مواد حساس و... می‌باشند.
کنترلهای اضافی تشخیص دهنده/ راهبری شامل گردش کار؛ تسهیم مسئولیتها و بررسی رکوردهای ممیزی هستند.
 
'''تشخیص دهنده/ فنی'''<Brbr />
سنجه¬های کنترلی تشخیص دهنده/ فنی به منظور آشکارسازی تخلفات ناشی از سیاست امنیتی با کاربری فنی بکار میروند. این سنجه¬ها شامل موارد سیستمهای تشخیص حمله و گزارشات خودکار تخلفات از اطلاعات ارزیابی شده می‌باشند.
این گزارشات میتوانند واریانسهایی از عملیات نرمال نمایان سازند و یا تشخیص امضاهای دسترسی‌های غیرمجاز را داشته باشند.
 
'''تشخیص دهنده/ فیزیکی'''<Brbr />
کنترلهای تشخیص دهنده/ فیزیکی معمولا نیازمند نیروی انسانی برای ارزیابی ورودی از سنسورها یا دوربینها برای تشخیص تهدیدها و حملات موجود می‌باشند.
بعضی از انواع این کنترلها تشخیص دهنده حرکت و جنبش هستند و یا تشخیص دهنده‌های حرارتی و دوربینهای ویدئویی می‌باشند.
 
== پیوند‌ به بیرون ==
* [http://www.praxiom.com خلاصه متن استاندارد ایزو 17799]
* [http://www.sgnec.net شبکه مهندسی و راهبری تحقیقات همکاران سیستم ]
 
[[رده:کنترل دسترسی]]
۱۸۶٬۰۵۸

ویرایش