کنترل دسترسی: تفاوت میان نسخهها
محتوای حذفشده محتوای افزودهشده
جز ←مخاطره |
جزبدون خلاصۀ ویرایش |
||
خط ۸:
به طور مثال در یک سیستم AC که با روش رمز شناسایی (PIN) کار میکند، با وارد نمودن یک رمز خاص قفل برقی متصل به چارچوب در، عمل نموده و در باز میشود.
برمبنای این تعریف یک سیستم AC به رفع مشکل ذاتی تمام سیستمهای مکانیکی مزیت دارد و آن محدودیت تکثیر کلید است به طوری که برای یک قفل فقط میتوان یک کلید را مشابه سازی نمود و برای افراد مختلف استفاده کرد. بدیهی است که در صورت گم شدن کلید امنیت قفل خدشه دار میگردد.
سهولت اختصاص کلیدهای شناسایی مختلف به یک قفل و نیز سهولت حذف و مدیریت کلیدها از مهمترین مزایای بهره گیری از یک سیستم AC میباشد.
سطر ۱۸ ⟵ ۲۰:
== جامعیت ==
از طریق اهداف زیر بیان میگردد:
# ممانعت از تغییر اطلاعات توسط افراد غیر مجاز
# ممانعت از تغییر غیرعمدی توسط افراد مجاز
سطر ۲۴ ⟵ ۲۵:
I.سازگاری داخلی باعث تضمین سازگاری دادهها میشود.به عنوان مثال، فرض کنید یک بانک اطلاعاتی تعداد واحدهای یک قلم خاص در هر دپارتمان یک سازمان را نگهداری میکند.مجموع تعداد واحدها در هر دپارتمان باید با تعداد واحدها که درداخل بانک اطلاعاتی ضبط شده یکسان باشد.
II.سازگاری خارجی متضمن سازگاری دادههای ذحیره شده در بانک اطلاعاتی با دنیای واقعی است.مثال تشریح شده در قسمت قبلی را برای سازگاری خارجی اینگونه میتوان عنوان کرد که اقلام ضبط شده در بانک اطلاعاتی برای هر دپارتمان برابر با تعداد اقلام فیزیکی موجود در هر دپارتمان میباشد.
سطر ۶۱ ⟵ ۶۳:
در استاندارد ISO ۱۷۷۹۹ مجموعاً ۱۰ دامنه وجود دارد که هر کدام پیرامون بخشی از حوزههای امنیت تدوین شدهاند. هر دامنه دارای چندین کنترل است. کنترل دسترسی ششمین آنهاست.
مبحث کنترل دسترسی ([[access control]]) یکی از دامنههای مورد نظر در استاندارهای [[امنیت اطلاعات]] (از جمله ایزو ۱۷۷۹۹ و BS-۷۷۹۹) میباشد. واضح است که در بازرسیها و ممیزیهایی که از یک سازمان به عمل میآید تا میزان امن بودن آن سازمان سنجیده شود (مثلا مطابق با استاندارد ممیزی ایزو ۲۷۰۰۱) این دامنه را نیز تحلیل خواهند کرد. اما جدای از این مورد، کنترل دسترسی تقریباً در تمام سازمانها از اهمیت ویژهای بر خوردار است. در اغلب سازمانها وقتی در اجرای دامنههای ایزو ۱۷۷۹۹ بحث محدودیت مالی و منابع پیش آید و نیاز به رتبه بندی و الویت سنجی دامنهها باشد، دامنه کنترل دسترسی غالباً رتبه «ارحج ترین» را میگیرد.
== تعریف کنترل دسترسی از دیدگاه CISSP ==
یک تعامل اولیه و خاص، بین یک فاعل و یک شئ است که در نهایت منجر به برقراری جریان اطلاعاتی از یکی از انها به دیگری خواهد شد.
نکته: به طور کلی عناصری که توان انجام فعالیت و اجرای عملی روی چیز دیگری دارند فاعل و عناصر دیگر مثل منابع و... را مفعول مینامیم.
مطابق توضیحات CISSP دامنه کنترل دسترسی، شامل این بخش هاست:
# تعریف
# علل اهمیت
# انواع کنترل
# مدلهای کنترل
# کشف مخاطرات
# علائم منفرد روی سیستمها
# شناسایی و اعتبار سنجی
== چرا کنترل دسترسی اهمیت دارد؟ ==
سطر ۸۳ ⟵ ۹۵:
# باز دارنده
اما از دیدگاه اجرایی و عملیاتی کنترلها سه دستهاند:
# کنترلهای مدیریتی شامل سیاستها، رویهها، آموزش و کنترل سابقه کاری و... میباشند # کنترلهای منطقی / فنی مثل رمز گذاری و تهیه و استفاده از لیست کنترل دسترسی ACL
# کنترلهای فیزیکی مانند درها، حصارها، گاردها و...
سطر ۱۲۵ ⟵ ۱۳۸:
== مدلهای کنترل دسترسی''' ==
کنترل دسترسی بر اساس موضوع (یک موجودیت فعال مثل اشخاص یا فرایندها) به یک شیء که شامل تنظیم قوانین دسترسی است. این قوانین میتوانند به سه مدل یا رسته دستهبندی شوند.
=== کنترل دسترسی اجباری ===
مجوز دسترسی موضوع به یک شیء بستگی به برچسبها، که نمایان کننده اختیار و کلاسه بندی یا حساست شیء میباشد. برای مثال مستندات طبقه بندی شده نظامی به غیرسری، کمی محرمانه، محرمانه و خیلی سری. به همین نحو، یک شخص میتواند یک اختیار کمی محرمانه، محرمانه یا خیلی محرمانه داشته باشد تا به اطلاعات طبقه بندی شده مرتبط با محدودیتهای تعیین شده، دسترسی داشته باشد.
این محدودیت این است که اشخاص باید یک نیاز برای آگاهی مرتبط با مستندات طبقه بندی شده درگیر را داشته باشند.بنابر این، مستندات باید برای اشخاص به جهت تکمیل وظایف مرتبط ضروری باشند.
تا زمانیکه اشخاص مطابق با طبقهبندی موردنیاز مشخص نشدهاند نباید به اطلاعات دسترسی داشته باشند.<br />▼
کنترل دسترسی برمبنای قانون یک نوع از کنترل دسترسی اجباری است زیرا این کنترل بر اساس قوانین تشخیص داده میشود و نه به تنهایی توسط موجودیت موضوعات و اشیأ به تنهایی.<br />▼
▲تا زمانیکه اشخاص مطابق با طبقهبندی موردنیاز مشخص نشدهاند نباید به اطلاعات دسترسی داشته باشند.
▲کنترل دسترسی برمبنای قانون یک نوع از کنترل دسترسی اجباری است زیرا این کنترل بر اساس قوانین تشخیص داده میشود و نه به تنهایی توسط موجودیت موضوعات و اشیأ به تنهایی.
=== کنترل دسترسی احتیاطی ===
موضوع اختیار لازم به همراه محدودیتهای مسلم برای مشخص کردن اینکه کدام اشیأ دسترس پذیر هستند را دارد. برای مثال لیستهای کنترل دسترسی قابل استفاده هستند.
این نوع از کنترل دسترسی یه صورت محلی، در موقعیتهای پویایی که موضوعات باید احتیاطهایی برای مشخص کردن اینکه به چه منابعیغ کاربران مسلمی مجاز برای دسترسی هستند، بکار میرود.
زمانیکه یک کاربر با محدودیتهای مسلم، حق جابجایی کنترل دسترسی به اشیأ مسلمی را دارد، این اصطلاح بکار میرود: کاربر هدایت شده با دسترسی احتیاطی
یک کنترل دسترسی براساس موجودیت یک نوع از کنترل دسترسی احتیاطی است که برمبنای موجود یا اشخاص میباشد. در بعضی نمونهها، یک رویکرد پیوندی بکار میرود، که ترکیبی از قابلیتهای کنترل دسترسی احتیاطی بر مبنای کاربر و بر مبنای موجودیت میباشد.
سطر ۱۵۰ ⟵ ۱۶۸:
'''مانع / راهبر
مانع / فنی
مانع / فیزیکی
تشخیص دهنده / راهبر
تشخیص دهنده / فنی
تشخیص دهنده / فیزیکی'''
هر کدام از این شش زوج و عناصر کلیدی آنها در ذیل مطرح میگردند.
=== ممانعت
==== راهبری ==== در این نوع، اهمیت بر اساس مکانیزمهای «نرم» که پشتیبان اهداف کنترل دسترسی است، میباشد.این مکانیزمها شامل سیاستهای سازمانی و رویهها، موافقت نامههای کارمندان، رویههای اختتامیه کارکنان به صورت دوستانه یا غیر دوستانه، زمانبندی تعطیلات، برسب بر روی مواد حساس، آگاهیهای رفتاری و رویههای نشانه گذاری برای حصول شبکهها و سیستمهای اطلاعاتی و... میباشند.
==
این نوع، از تکنولوژی به منظور اچبار سیاستهای کنترلی استفاده میکند.این کنترلهای فنی همچنین به عنوان کنترلهای منطقی شناخته میشود و میتوانند در سیستم عامل، نرم افزارهای کاربردی و یا در سخت افزارها و یا نرم افزارهای الحاقی گذاشته شوند.
بعضی از انواع کنترلهای ممانعت/ فنی شامل پروتکلها، کدگذاریها، کارتهای هوشمند، بیومتریکها (برای اخذ مجوز)، بستهای نرمافزاری کنترل دسترسی از راه دور، رمزها، منوها، پوستهها، بانکهای اطلاعاتی، نرم افزارهای تشخیص ویروس میباشند.
پروتکلها، کدگذاریها، کارتهای هوشمند مکانیزمهای فنی برای محافظت اطلاعات و رمزها از افشاسازی میباشند.
بیومتریکها در تکنولوژیهایی نظیر اثرانگشت، شبکیه چشم، و جستجوی عنبیه برای اخذ مجوز از اشخاص برای دسترسی به منابع بکار میروند.
==
تعداد زیادی از سنجههای مانع / فیزیکی قابل حس و درک هستند. این سنجهها به عنوان محدود کننده دسترسی فیزیکی به نواحی ای که اطلاعات حساس سیستم نگهداری میشود.
نواحی مورد محافظت قرار گرفته توسط یک فضای امنیتی حلقوی تعریف میشود که تحت نظرکنترل دسترسی میباشد.
کنترلهای ممانعت/ فیزیکی شامل: حفاظها، امضاءها، درهای چندگانه(به عنوان مثال وجود چندین در پشت هم که در صورت ورود به یکی با درهای دیگر مواجه میشویم)، سیستم ورودی کارتهای مغناطیسی، بیومتریکها به منظور تعیین صلاحیت، گاردها، سگها، سیستمهای کنترل محیط (مانند درجه حرارت، رطوبت و...)، و ساختمان و نواحی دسترسی.
سنجههای ممانعت/ فیزیکی همچنین برای نواحی که برای پشتیبان گیری فایلها بکار میروند، کاربرد دارد.<br />▼
▲سنجههای ممانعت/ فیزیکی همچنین برای نواحی که برای پشتیبان گیری فایلها بکار میروند، کاربرد دارد.
=== تشخیص دهنده
==== راهبری ==== تعداد زیادی از کنترلهای این نوع با کنترلهای مانع / راهبر همپوشانی دارند و این همپوشانی میتواتند در ممانعت از تخلفات سیاست امنیتی آینده یا تشخیص تخلفات موجود، ظاهر گردد.
نمونههایی از این کنترلها سیاستهای سازمان و رویهها، زمانبندی تعطیلات، برچسب گذاری مواد حساس و... میباشند.
کنترلهای اضافی تشخیص دهنده/ راهبری شامل گردش کار؛ تسهیم مسئولیتها و بررسی رکوردهای ممیزی هستند.
==
سنجههای کنترلی تشخیص دهنده/ فنی به منظور آشکارسازی تخلفات ناشی از سیاست امنیتی با کاربری فنی بکار میروند. این سنجهها شامل موارد سیستمهای تشخیص حمله و گزارشات خودکار تخلفات از اطلاعات ارزیابی شده میباشند.
این گزارشات میتوانند واریانسهایی از عملیات نرمال نمایان سازند و یا تشخیص امضاهای دسترسیهای غیرمجاز را داشته باشند.
==
کنترلهای تشخیص دهنده/ فیزیکی معمولا نیازمند نیروی انسانی برای ارزیابی ورودی از سنسورها یا دوربینها برای تشخیص تهدیدها و حملات موجود میباشند.
بعضی از انواع این کنترلها تشخیص دهنده حرکت و جنبش هستند و یا تشخیص دهندههای حرارتی و دوربینهای ویدئویی میباشند.
|