کنترل دسترسی: تفاوت میان نسخهها
جز سیستم های کنترل دسترسی و امنیت اطلاعات به کنترل دسترسی منتقل شد |
ادغام دو نسخه |
||
خط ۱: | خط ۱: | ||
متخصصین سیستمهای [[امنیت]] [[اطلاعات]] باید نسبت به پیاده سازی [[کنترل]] دسترسی به منظور حفظ موجودیت، قابلیت اعتماد و جامعیت اطلاعات اطمینان حاصل کنند.<Br> |
|||
{{منبع}} |
|||
در دنیای شبکههای کامپیوتری همانگونه که کنترل دسترسی در سیستمهای توزیع شده اهمیت پیدا میکنند در سیستمهای متمرکز نیز حائز اهمیت میباشند.<Br> |
|||
متخصصین باید دانش کافی نسبت به حملهها، مخاطرات و آسیبها که با زیرساختهای سیستمهای اطلاعات ارتباط نزدیکی دارند، داشته باشند و نسبت به ممعانت از نفوذ آسیبها اقدام کنند.<Br> |
|||
<Center>'''سيستمهاي کنترل دسترسي'''<Br></Center> |
|||
متخصصين سيستمهاي [[امنيت]] [[اطلاعات]] بايد نسبت به پياده سازي [[کنترل]] دسترسي به منظور حفظ موجوديت، قابليت اعتماد و جامعيت اطلاعات اطمينان حاصل کنند.<Br> |
|||
منظور از یک سیستم کنترل دسترسی، سیستمی است که بر پایه یکی از مکانیزمهای شناسایی به جایگزینی یک قفل وکلید مکانیکی میپردازد. |
|||
در دنياي شبکه هاي کامپيوتري همانگونه که کنترل دسترسي در سيستمهاي توزيع شده اهميت پيدا مي کنند در سيستمهاي متمرکز نيز حائز اهميت مي باشند.<Br> |
|||
متخصصين بايد دانش کافي نسبت به حمله ها، مخاطرات و آسيبها که با زيرساختهاي سيستمهاي اطلاعات ارتباط نزديکي دارند، داشته باشند و نسبت به ممعانت از نفوذ آسيبها اقدام کنند.<Br> |
|||
<Br> |
|||
حروف اختصاري مرتبط:<Br> |
|||
ACS : Access Control System |
|||
<Br> |
|||
ACS به معناي سيستم کنترل دسترسي |
|||
<Br> |
|||
ACU : Access Control Unit |
|||
<Br> |
<Br> |
||
به طور مثال در یک سیستم AC که با روش رمز شناسایی (PIN) کار میکند، با وارد نمودن یک رمز خاص قفل برقی متصل به چارچوب در، عمل نموده و در باز میشود. |
|||
ACU به معناي قسمت کنترل دسترسي |
|||
برمبنای این تعریف یک سیستم AC به رفع مشکل ذاتی تمام سیستمهای مکانیکی مزیت دارد و آن محدودیت تکثیر کلید است به طوری که برای یک قفل فقط میتوان یک کلید را مشابه سازی نمود و برای افراد مختلف استفاده کرد. بدیهی است که در صورت گم شدن کلید امنیت قفل خدشه دار میگردد. |
|||
<Br><Br> |
|||
سهولت اختصاص کلیدهای شناسایی مختلف به یک قفل و نیز سهولت حذف و مدیریت کلیدها از مهمترین مزایای بهره گیری از یک سیستم AC میباشد. |
|||
تعريف ساده : منظور از يک سيستم کنترل دسترسي، سيستمي است که بر پايه يکي از مکانيزم هاي شناسايي به جايگزيني يک قفل وکليد مکانيکي مي پردازد. |
|||
<Br> |
<Br> |
||
کنترل دسترسی در سیتمهای اطلاعات و شبکهها به منظور حفظ قابلیت اعتماد، جامعیت و دسترس پذیری آنها ضروری میباشد. در ادامه هر یک از این موارد تشریح شدهاند.<Br> |
|||
به طور مثال در يک سيستم AC که با روش رمز شناسايي (PIN) کار مي کند، با وارد نمودن يک رمز خاص قفل برقي متصل به چارچوب در، عمل نموده و در باز مي شود. |
|||
برمبناي اين تعريف يک سيستم AC به رفع مشکل ذاتي تمام سيستم هاي مکانيکي مزيت دارد و آن محدوديت تکثير کليد است به طوري که براي يک قفل فقط مي توان يک کليد را مشابه سازي نمود و براي افراد مختلف استفاده کرد. بديهي است که در صورت گم شدن کليد امنيت قفل خدشه دار مي گردد. |
|||
سهولت اختصاص کليدهاي شناسايي مختلف به يک قفل و نيز سهولت حذف و مديريت کليدها از مهمترين مزاياي بهره گيري از يک سيستم AC مي باشد. |
|||
<Br> |
|||
کنترل دسترسي در سيتمهاي اطلاعات و شبکهها به منظور حفظ قابليت اعتماد، جامعيت و دسترس پذيري آنها ضروري مي باشد. در ادامه هر يک از اين موارد تشريح شده اند.<Br> |
|||
''' |
'''قابلیت اعتماد:'''<Br> باعث جلوگیری از فاش شدن اطلاعات برای افراد یا فرایندهایی که مجاز نمیباشند، میگردد.<Br> |
||
''' |
'''جامعیت:'''<Br> از طریق اهداف زیر بیان میگردد:<Br> |
||
۱-ممانعت از تغییر اطلاعات توسط افراد غیر مجاز<Br> |
|||
۲-ممانعت از تغییر غیرعمدی توسط افراد مجاز<Br> |
|||
۳-محافظت از سازگاری داخلی و خارجی<Br> |
|||
I. |
I.سازگاری داخلی باعث تضمین سازگاری دادهها میشود.به عنوان مثال، فرض کنید یک بانک اطلاعاتی تعداد واحدهای یک قلم خاص در هر دپارتمان یک سازمان را نگهداری میکند.مجموع تعداد واحدها در هر دپارتمان باید با تعداد واحدها که درداخل بانک اطلاعاتی ضبط شده یکسان باشد.<Br> |
||
II. |
II.سازگاری خارجی متضمن سازگاری دادههای ذحیره شده در بانک اطلاعاتی با دنیای واقعی است.مثال تشریح شده در قسمت قبلی را برای سازگاری خارجی اینگونه میتوان عنوان کرد که اقلام ضبط شده در بانک اطلاعاتی برای هر دپارتمان برابر با تعداد اقلام فیزیکی موجود در هر دپارتمان میباشد.<Br> |
||
'''دسترس |
'''دسترس پذیری:'''<Br> تضمین کننده این مطلب است که کاربران مجاز سیستم میتوانند دسترسی به موقع و بی وقفه به اطلاعات سیستم داشته باشند. علاوه بر هدف دسترسی پذیری میتوان به سودمندی و قابلیت اعتماد اشاره کرد.<Br> |
||
این اهداف و سایر اهداف مرتبط از سیاست امنیتی سازمان نشأت میگیرد که این امر توسط مدیریت ارشد سازمان به منظور تعیین دسترسیهای لازم توسط اشخاص مجاز تدوین میگردد.<Br> |
|||
نکته قابل توجه که در |
نکته قابل توجه که در طراحی و پیاده سازی مکانیزمهای کنترل دسترسی باید لحاظ شود سه مورد تهدیدهای موجود برای سیستم، آسیب¬پذیری سیستم در برابر این تهدیدها و مخاطراتی که ممکن است توسط این تهدیدها ایجاد شود، میباشد. در ادامه توضیحات بیشتری در مورد این سه مورد ذکر میشود:<Br> |
||
''' |
'''تهدید:'''<Br> واقعه یا فعالیتی که پتانسیل آسیب رسانی به اطلاعات سیستمها و یا شبکه¬ها را دارا میباشد.<Br> |
||
''' |
'''آسیب پذیری:'''<Br> ضعف یا کمبود محافظ، که میتواند توسط تهدید به وقوع بپیوندد و باعث آسیب رسانی به اطلاعات سیستمها و یا شبکه¬ها شود.<Br> |
||
'''مخاطره:'''<Br> |
'''مخاطره:'''<Br> پتانسیل برای آسیب رسانی و گم شدن اطلاعات سیستمها و یا شبکهها میباشد و احتمال به وقوع پیوستن تهدیدها خواهد بود.<Br> |
||
'''کنترل'''<Br> |
'''کنترل'''<Br> |
||
کنترلها به منظور کاهش مخاطره و |
کنترلها به منظور کاهش مخاطره و پتانسیل مفقود شدن اطلاعات سیستمها و یا شبکهها پیاده سازی می¬شوند. کنترلها میتوانند به سه صورت: ممانعت، تشخیص و تصحیح باشند. کنترلهای ممانعتی جهت جلوگیری از وقایع مضر بکار گرفته می¬شوند، کنترلهای تشخیصی برای کشف وقایع مضر ایجاد شدهاند و کنترلهای تصحیحی برای بازیابی سیستمهائی که مورد حملههای مضر واقع شدهاند، استفاده می¬شوند.<Br> |
||
برای پیاده سازی این سنجهها کنترلها میتوانند به صورت: راهبری، منطقی یا فنی، و فیزیکی باشند.<Br> |
|||
''' |
'''کنترلهای راهبری:'''<Br> شامل سیاستها و رویهها، آموزش آگاهی امنیتی، رسیدگی موجودیت فردی جهت اهداف امنیتی، بررسی روش کار، بازبینی تاریخچه تعطیلات، و افزایش نظارت میشوند.<Br> |
||
''' |
'''کنترلهای منطقی یا فنی:'''<Br> شامل محدودیتهای دسترسی به سیستمها و محافظت از اطلاعات می¬شوند. نمونه¬هائی از انواع این کنترلها عبارتند از رمزگذاری، کارتهای هوشمند، لیستهای کنترل دسترسی و پروتکلهای انتقال.<Br> |
||
''' |
'''کنترلهای فیزیکی:'''<Br> این کنترلها باعث یکی شدن محافظان با ساختمان امنیتی میشوند، به عنوان مثال قفل کردن درها، امن سازی اتاقهای سرور، محافظت از کابلها، جداسازی وظائف و پشتیبان گیری از فایلها را میتوان ذکر کرد.<Br> |
||
کنترلها |
کنترلها پاسخگوئی اشخاصی را که به اطلاعات حساس دسترسی دارند را تامین میکند. این پاسخگوئی از طریق مکانیزمهای کنترل دسترسی تکمیل میگردد که نیازمند شناسائی و صدور مجوز و توابع ممیزی میباشد. این کنترلها باید با سیاستهای امنیتی سازمان مطابق باشند.<Br> |
||
رویه¬های تضمین باعث میشوند که مکانیزمهای کنترلی، سیاست امنیتی را در کل چرخه حیات سیستمهای اطلاعاتی به درستی پیاده سازی نمایند. <Br> |
|||
'''مدلهاي کنترل دسترسي'''<Br> |
|||
کنترل دسترسي بر اساس موضوع (يک موجوديت فعال مثل اشخاص يا فرايندها) به يک شيء که شامل تنظيم قوانين دسترسي است. اين قوانين مي توانند به سه مدل يا رسته دسته¬بندی شوند.<Br> |
|||
در استاندارد ISO 17799 مجموعاً 10 دامنه وجود دارد که هر کدام پیرامون بخشی از حوزههای امنیت تدوین شدهاند. هر دامنه دارای چندین کنترل است. کنترل دسترسی ششمین آنهاست. |
|||
'''1- کنترل دسترسي اجباري'''<Br> |
|||
مبحث کنترل دسترسی ([[access control]]) یکی از دامنههای مورد نظر در استاندارهای [[امنیت اطلاعات]] (از جمله ایزو 17799 و BS-7799) میباشد. واضح است که در بازرسیها و ممیزیهایی که از یک سازمان به عمل میآید تا میزان امن بودن آن سازمان سنجیده شود (مثلا مطابق با استاندارد ممیزی ایزو 27001) این دامنه را نیز تحلیل خواهند کرد. اما جدای از این مورد، کنترل دسترسی تقریباً در تمام سازمانها از اهمیت ویژهای بر خوردار است. در اغلب سازمانها وقتی در اجرای دامنههای ایزو 17799 بحث محدودیت مالی و منابع پیش آید و نیاز به رتبه بندی و الویت سنجی دامنهها باشد، دامنه کنترل دسترسی غالباً رتبه «ارحج ترین» را میگیرد. |
|||
مجوز دسترسي موضوع به يک شيء بستگي به برچسبها، که نمايان کننده اختيار و کلاسه بندي يا حساست شيء مي باشد. براي مثال مستندات طبقه بندي شده نظامي به غيرسري، کمي محرمانه، محرمانه و خيلي سري. به همين نحو، يک شخص ميتواند يک اختيار کمي محرمانه، محرمانه يا خيلي محرمانه داشته باشد تا به اطلاعات طبقه بندي شده مرتبط با محدوديتهاي تعيين شده، دسترسي داشته باشد.<Br> |
|||
اين محدوديت اين است که اشخاص بايد يک نياز براي آگاهي مرتبط با مستندات طبقه بندي شده درگير را داشته باشند.بنابر اين، مستندات بايد براي اشخاص به جهت تکميل وظايف مرتبط ضروري باشند.<Br> |
|||
تا زمانيکه اشخاص مطابق با طبقه¬بندي موردنياز مشخص نشده اند نبايد به اطلاعات دسترسي داشته باشند.<Br> |
|||
کنترل دسترسي برمبناي قانون يک نوع از کنترل دسترسي اجباري است زيرا اين کنترل بر اساس قوانين تشخيص داده مي¬شود و نه به تنهايي توسط موجوديت موضوعات و اشيأ به تنهايي.<Br> |
|||
== تعریف کنترل دسترسی از دیدگاه CISSP == |
|||
'''2- کنترل دسترسي احتياطي'''<Br> |
|||
موضوع اختيار لازم به همراه محدوديتهاي مسلم براي مشخص کردن اينکه کدام اشيأ دسترس پذير هستند را دارد. براي مثال ليستهاي کنترل دسترسي قابل استفاده هستند.<Br> |
|||
اين نوع از کنترل دسترسي يه صورت محلي، در موقعيتهاي پويايي که موضوعات بايد احتياطهايي براي مشخص کردن اينکه به چه منابعيغ کاربران مسلمي مجاز براي دسترسي هستند، بکار مي رود.<Br> |
|||
زمانيکه يک کاربر با محدوديتهاي مسلم، حق جابجايي کنترل دسترسي به اشيأ مسلمي را دارد، اين اصطلاح بکار مي رود: کاربر هدايت شده با دسترسي احتياطي<Br> |
|||
يک کنترل دسترسي براساس موجوديت يک نوع از کنترل دسترسي احتياطي است که برمبناي موجود يا اشخاص مي¬باشد. در بعضي نمونه¬ها، يک رويکرد پيوندي بکار مي رود، که ترکيبي از قابليتهاي کنترل دسترسي احتياطي بر مبناي کاربر و بر مبناي موجوديت مي باشد.<Br> |
|||
یک تعامل اولیه و خاص، بین یک فاعل و یک شئ است که در نهایت منجر به برقراری جریان اطلاعاتی از یکی از انها به دیگری خواهد شد. |
|||
'''3- کنترل دسترسي غيراحتياطي'''<Br> |
|||
نکته: به طور کلی عناصری که توان انجام فعالیت و اجرای عملی روی چیز دیگری دارند فاعل و عناصر دیگر مثل منابع و... را مفعول مینامیم. |
|||
يک اختيار مرکزي مشخيص مي¬کند که چه موضوعاتي مي توانند دسترسي به اشيأ مسلمي بر مبناي سياست امنيتي سازمان داشته باشند. کنترلهاي دسترسي ممکن است برمبناي نقش اشخاص در سازمان يا در پاسخگويي هاي موضوع و وظايف باشند.<Br> |
|||
مطابق توضیحات CISSP دامنه کنترل دسترسی، شامل این بخش هاست: 1-تعریف 2-علل اهمیت 3-انواع کنترل 4-مدلهای کنترل 5-کشف مخاطرات 6-علائم منفرد روی سیستمها 7-شناسایی و اعتبار سنجی |
|||
در يک سازماني که تغييرات دائمي پرسنل را داريم، کنترل دسترسي غيراحتياطي مفيد است زيرا کنترل دسترسي بر اساس نقش اشخاص و يا سمت در سازمان مي باشد. اين کنترل دسترسي هروقت که پرسنلي داراي نقشي ديگر مي¬شود نياز به تغيير ندارد.<Br> |
|||
نوع ديگري از کنترل دسترسي غيراحتياطي کنترل دسترسي برمبناي شبکه(lattice-based) مي باشد .در اين نوع کنترل، يک مدل شبکه اي بکار رفته است. در يک مدل شبکه¬اي زوجي از اجزا موضوع و شيء مي باشند و موضوع بيشترين کران پايين و کمترين کران بالاي حق دسترسي به شيء را دارد.<Br> |
|||
== چرا کنترل دسترسی اهمیت دارد؟ == |
|||
کنترل دسترسی روشن ترین نماد امنیت است. در واقع آنرا قلب امنیت هم میدانند. همچنین برای به اجرا در آمدن اهداف CIA (Confidentiality, Integrity, Authentication) در بحث امنیت از نگاه ISMS، این دامنه یک مبنا و پیش نیاز به حساب میآید. |
|||
'''ترکيبات کنترل'''<Br> |
|||
کنترل دسترسی برای تحقق سه هدف عمده به کار گرفته میشود که عبارتند از: |
|||
با ترکيب کنترلهاي ممانعت کننده و تشخيص¬دهنده، انواع پياده ساز راهبري، فني(منطقي) و فيزيکي شامل زوجهاي زير مي شوند:<Br> |
|||
1- جلوگیری از دسترسی کاربران غیر مجاز به امکانات تغییر اطلاعات. |
|||
2- جلوگیری از دستکاری اطلاعات به صورت غیر عمدی توسط کاربران ناآشنا و غیر مجاز |
|||
3- حصول اطمینان از سلامت اطلاعات و ثبات اطلاعات داخلی و خارجی. |
|||
== انواع کنترل دسترسی == |
|||
کنترل دسترسی و به طور کلی کنترل را از دیدگاههای مختلفی میتوان تقسیم بندی کرد از یک دیدگاه انواع کنترل عبارتند از: |
|||
1-پیش گیرانه (که جلوی چیزی را قبل از حادث شدن میگیرند) |
|||
2-شناسایی کننده.(شناسایی مخاطرات) |
|||
3-اصلاح کننده (که تعمیر یا تصحیح امور را انجام میدهند) |
|||
4-بازیاب (که چیزی را بازیافت و دوباره احیا میکنند) |
|||
5-باز دارنده |
|||
اما از دیدگاه اجرایی و عملیاتی کنترلها سه دستهاند: 1-کنترلهای مدیریتی شامل سیاستها، رویهها، آموزش و کنترل سابقه کاری و... میباشند |
|||
2-کنترلهای منطقی / فنی مثل رمز گذاری و تهیه و استفاده از لیست کنترل دسترسی ACL |
|||
3-کنترلهای فیزیکی مانند درها، حصارها، گاردها و... |
|||
== کنترل دسترسی در ISO 17799-2005 == |
|||
دامنه کنترل دسترسی به عنوان یکی از دامنههای استاندارد امنیتی ایزو 17799 دارای هفت بخش کلی است که هر کدام از آنها نیز از چندین زیربخش تشکیل شدهاند. فهرست این بخشها به شرح زیر است: |
|||
1- ملزومات مورد نیاز برای پیاده سازی |
|||
1-1- سیاستهای کنترل دسترسی |
|||
2- مدیریت دسترسی کاربران |
|||
2-1- ثبت کاربر |
|||
2-2- مدیریت امتیازات خاص کنترل |
|||
3-2- مدیریت رمز عبور کاربران کنترل |
|||
4-2- بررسی حقوق دسترسی کاربر کنترل |
|||
3- مسئولیتهای کاربر |
|||
1-3- کاربرد رمز عبور |
|||
2-3- تجهیزات دور از توجه مستقیم کاربر |
|||
3-3- سیاست تمیز نگاه داشتن میز کار و صفحه نمایش تجهیزات الکترونیکی |
|||
4- کنترل دسترسی به شبکه |
|||
1-4- سیاست چگونگی استفاده از رویسهای شبکه |
|||
2-4- تصدیق اعتبار کاربر برای ارتباطات و تماسهای از خارج از سازمان |
|||
3-4- شناسایی و تعیین هویت تجهیزات در شبکه |
|||
4-4- مراقبت از پورتهایی که برای اجرای تنظیمات و رفع نقصها از راه دور |
|||
5-4- تفکیک و جداسازی در شبکهها |
|||
6-4- کنترل تماس با شبکه |
|||
5- کنترل دسترسی به سیستم عامل |
|||
1-5- فرآیندهایی امن برای ورود به سیستم |
|||
2-5- شناسایی و تصدیق هویت کاربران |
|||
3-5- سیستم مدیریت رمز عبور |
|||
4-5- استفاده از برنامههای مزیتی سیستم |
|||
5-5- مهلت زمانی نشتها |
|||
6-5- محدودیت زمان برقراری ارتباط |
|||
6- کنترل دسترسی به برنامههای کاربردی و اطلاعات |
|||
1-6-ممنوعیت دسترسی به اطلاعات |
|||
2-6- جداسازی سیستمهای حساس |
|||
7- شبکههای بیسیم و ارتباطات سیار راه دور |
|||
1-7- محاسبات و ارتباطات سیار |
|||
2-7- کارکردن از راه دور |
|||
==مدلهای کنترل دسترسی'''== |
|||
کنترل دسترسی بر اساس موضوع (یک موجودیت فعال مثل اشخاص یا فرایندها) به یک شیء که شامل تنظیم قوانین دسترسی است. این قوانین میتوانند به سه مدل یا رسته دسته¬بندی شوند.<Br> |
|||
'''۱- کنترل دسترسی اجباری'''<Br> |
|||
مجوز دسترسی موضوع به یک شیء بستگی به برچسبها، که نمایان کننده اختیار و کلاسه بندی یا حساست شیء میباشد. برای مثال مستندات طبقه بندی شده نظامی به غیرسری، کمی محرمانه، محرمانه و خیلی سری. به همین نحو، یک شخص میتواند یک اختیار کمی محرمانه، محرمانه یا خیلی محرمانه داشته باشد تا به اطلاعات طبقه بندی شده مرتبط با محدودیتهای تعیین شده، دسترسی داشته باشد.<Br> |
|||
این محدودیت این است که اشخاص باید یک نیاز برای آگاهی مرتبط با مستندات طبقه بندی شده درگیر را داشته باشند.بنابر این، مستندات باید برای اشخاص به جهت تکمیل وظایف مرتبط ضروری باشند.<Br> |
|||
تا زمانیکه اشخاص مطابق با طبقه¬بندی موردنیاز مشخص نشدهاند نباید به اطلاعات دسترسی داشته باشند.<Br> |
|||
کنترل دسترسی برمبنای قانون یک نوع از کنترل دسترسی اجباری است زیرا این کنترل بر اساس قوانین تشخیص داده می¬شود و نه به تنهایی توسط موجودیت موضوعات و اشیأ به تنهایی.<Br> |
|||
'''۲- کنترل دسترسی احتیاطی'''<Br> |
|||
موضوع اختیار لازم به همراه محدودیتهای مسلم برای مشخص کردن اینکه کدام اشیأ دسترس پذیر هستند را دارد. برای مثال لیستهای کنترل دسترسی قابل استفاده هستند.<Br> |
|||
این نوع از کنترل دسترسی یه صورت محلی، در موقعیتهای پویایی که موضوعات باید احتیاطهایی برای مشخص کردن اینکه به چه منابعیغ کاربران مسلمی مجاز برای دسترسی هستند، بکار میرود.<Br> |
|||
زمانیکه یک کاربر با محدودیتهای مسلم، حق جابجایی کنترل دسترسی به اشیأ مسلمی را دارد، این اصطلاح بکار میرود: کاربر هدایت شده با دسترسی احتیاطی<Br> |
|||
یک کنترل دسترسی براساس موجودیت یک نوع از کنترل دسترسی احتیاطی است که برمبنای موجود یا اشخاص می¬باشد. در بعضی نمونه¬ها، یک رویکرد پیوندی بکار میرود، که ترکیبی از قابلیتهای کنترل دسترسی احتیاطی بر مبنای کاربر و بر مبنای موجودیت میباشد.<Br> |
|||
'''۳- کنترل دسترسی غیراحتیاطی'''<Br> |
|||
یک اختیار مرکزی مشخیص می¬کند که چه موضوعاتی میتوانند دسترسی به اشیأ مسلمی بر مبنای سیاست امنیتی سازمان داشته باشند. کنترلهای دسترسی ممکن است برمبنای نقش اشخاص در سازمان یا در پاسخگوییهای موضوع و وظایف باشند.<Br> |
|||
در یک سازمانی که تغییرات دائمی پرسنل را داریم، کنترل دسترسی غیراحتیاطی مفید است زیرا کنترل دسترسی بر اساس نقش اشخاص و یا سمت در سازمان میباشد. این کنترل دسترسی هروقت که پرسنلی دارای نقشی دیگر می¬شود نیاز به تغییر ندارد.<Br> |
|||
نوع دیگری از کنترل دسترسی غیراحتیاطی کنترل دسترسی برمبنای شبکه(lattice-based) میباشد.در این نوع کنترل، یک مدل شبکهای بکار رفتهاست. در یک مدل شبکه¬ای زوجی از اجزا موضوع و شیء میباشند و موضوع بیشترین کران پایین و کمترین کران بالای حق دسترسی به شیء را دارد.<Br> |
|||
'''ترکیبات کنترل'''<Br> |
|||
با ترکیب کنترلهای ممانعت کننده و تشخیص¬دهنده، انواع پیاده ساز راهبری، فنی(منطقی) و فیزیکی شامل زوجهای زیر میشوند:<Br> |
|||
'''مانع / راهبر |
'''مانع / راهبر |
||
مانع / |
مانع / فنی |
||
مانع / |
مانع / فیزیکی |
||
تشخیص دهنده / راهبر |
|||
تشخیص دهنده / فنی |
|||
تشخیص دهنده / فیزیکی''' |
|||
هر کدام از |
هر کدام از این شش زوج و عناصر کلیدی آنها در ذیل مطرح می¬گردند.<Br> |
||
'''ممانعت/ راهبری'''<Br> |
'''ممانعت/ راهبری'''<Br> |
||
در |
در این نوع، اهمیت بر اساس مکانیزمهای «نرم» که پشتیبان اهداف کنترل دسترسی است، میباشد.این مکانیزمها شامل سیاستهای سازمانی و رویهها، موافقت نامههای کارمندان، رویههای اختتامیه کارکنان به صورت دوستانه یا غیر دوستانه، زمانبندی تعطیلات، برسب بر روی مواد حساس، آگاهیهای رفتاری و رویههای نشانه گذاری برای حصول شبکهها و سیستمهای اطلاعاتی و... میباشند.<Br> |
||
'''ممانعت/ |
'''ممانعت/ فنی'''<Br> |
||
این نوع، از تکنولوژی به منظور اچبار سیاستهای کنترلی استفاده میکند.این کنترلهای فنی همچنین به عنوان کنترلهای منطقی شناخته میشود و میتوانند در سیستم عامل، نرم افزارهای کاربردی و یا در سخت افزارها و یا نرم افزارهای الحاقی گذاشته شوند.<Br> |
|||
بعضی از انواع کنترلهای ممانعت/ فنی شامل پروتکلها، کدگذاریها، کارتهای هوشمند، بیومتریکها (برای اخذ مجوز)، بسته ¬ای نرم افزاری کنترل دسترسی از راه دور، رمزها، منوها، پوستهها، بانکهای اطلاعاتی، نرم افزارهای تشخیص ویروس میباشند.<Br> |
|||
پروتکلها، |
پروتکلها، کدگذاریها، کارتهای هوشمند مکانیزمهای فنی برای محافظت اطلاعات و رمزها از افشاسازی میباشند.<Br> |
||
بیومتریکها در تکنولوژیهایی نظیر اثرانگشت، شبکیه چشم، و جستجوی عنبیه برای اخذ مجوز از اشخاص برای دسترسی به منابع بکار میروند.<Br> |
|||
'''ممانعت / |
'''ممانعت / فیزیکی:'''<Br> |
||
تعداد |
تعداد زیادی از سنجههای مانع / فیزیکی قابل حس و درک هستند. این سنجهها به عنوان محدود کننده دسترسی فیزیکی به نواحی ای که اطلاعات حساس سیستم نگهداری میشود. |
||
نواحی مورد محافظت قرار گرفته توسط یک فضای امنیتی حلقوی تعریف می¬شود که تحت نظرکنترل دسترسی میباشد.<Br> |
|||
کنترلهای ممانعت/ فیزیکی شامل: حفاظها، امضاءها، درهای چندگانه(به عنوان مثال وجود چندین در پشت هم که در صورت ورود به یکی با درهای دیگر مواجه میشویم)، سیستم ورودی کارتهای مغناطیسی، بیومتریکها به منظور تعیین صلاحیت، گاردها، سگها، سیستمهای کنترل محیط (مانند درجه حرارت، رطوبت و...)، و ساختمان و نواحی دسترسی.<Br> |
|||
سنجههای ممانعت/ فیزیکی همچنین برای نواحی که برای پشتیبان گیری فایلها بکار میروند، کاربرد دارد.<Br> |
|||
''' |
'''تشخیص دهنده/ راهبری'''<Br> |
||
تعداد |
تعداد زیادی از کنترلهای این نوع با کنترلهای مانع / راهبر همپوشانی دارند و این همپوشانی میتواتند در ممانعت از تخلفات سیاست امنیتی آینده یا تشخیص تخلفات موجود، ظاهر گردد. |
||
نمونه¬ |
نمونه¬هایی از این کنترلها سیاستهای سازمان و رویهها، زمانبندی تعطیلات، برچسب گذاری مواد حساس و... میباشند. |
||
کنترلهای اضافی تشخیص دهنده/ راهبری شامل گردش کار؛ تسهیم مسئولیتها و بررسی رکوردهای ممیزی هستند. |
|||
''' |
'''تشخیص دهنده/ فنی'''<Br> |
||
سنجه¬ |
سنجه¬های کنترلی تشخیص دهنده/ فنی به منظور آشکارسازی تخلفات ناشی از سیاست امنیتی با کاربری فنی بکار میروند. این سنجه¬ها شامل موارد سیستمهای تشخیص حمله و گزارشات خودکار تخلفات از اطلاعات ارزیابی شده میباشند. |
||
این گزارشات میتوانند واریانسهایی از عملیات نرمال نمایان سازند و یا تشخیص امضاهای دسترسیهای غیرمجاز را داشته باشند. |
|||
''' |
'''تشخیص دهنده/ فیزیکی'''<Br> |
||
کنترلهای تشخیص دهنده/ فیزیکی معمولا نیازمند نیروی انسانی برای ارزیابی ورودی از سنسورها یا دوربینها برای تشخیص تهدیدها و حملات موجود میباشند. |
|||
بعضی از انواع این کنترلها تشخیص دهنده حرکت و جنبش هستند و یا تشخیص دهندههای حرارتی و دوربینهای ویدئویی میباشند. |
|||
== فهرست منابع == |
|||
1- مستند استاندارد ایزو 17799 نسخه سال 2005 (انگلیسی) |
|||
2- سایت www.guidetocissp.com (دسترسی در مارس 2007) |
|||
3- سایتwww.adt.co.uk/access_control_systems (دسترسی در مارس 2007) |
|||
4- مستند ‘Access control Mindmap’ از مجموعه مستندات CISSP |
|||
== منبع == |
|||
Wiley] - The CISSP Prep Guide - Mastering the Ten Domains of Computer Security] |
Wiley] - The CISSP Prep Guide - Mastering the Ten Domains of Computer Security] |
||
== جستار وابسته == |
|||
[[امنیت اطلاعات]] |
|||
== پیوند به بیرون == |
|||
*[http://www.praxiom.com خلاصه متن استاندارد ایزو 17799] |
|||
*[http://www.sgnec.net شبکه مهندسی و راهبری تحقیقات همکاران سیستم ] |
|||
[[en:Access control]] |
نسخهٔ ۲۳ دسامبر ۲۰۰۹، ساعت ۱۷:۵۴
متخصصین سیستمهای امنیت اطلاعات باید نسبت به پیاده سازی کنترل دسترسی به منظور حفظ موجودیت، قابلیت اعتماد و جامعیت اطلاعات اطمینان حاصل کنند.
در دنیای شبکههای کامپیوتری همانگونه که کنترل دسترسی در سیستمهای توزیع شده اهمیت پیدا میکنند در سیستمهای متمرکز نیز حائز اهمیت میباشند.
متخصصین باید دانش کافی نسبت به حملهها، مخاطرات و آسیبها که با زیرساختهای سیستمهای اطلاعات ارتباط نزدیکی دارند، داشته باشند و نسبت به ممعانت از نفوذ آسیبها اقدام کنند.
منظور از یک سیستم کنترل دسترسی، سیستمی است که بر پایه یکی از مکانیزمهای شناسایی به جایگزینی یک قفل وکلید مکانیکی میپردازد.
به طور مثال در یک سیستم AC که با روش رمز شناسایی (PIN) کار میکند، با وارد نمودن یک رمز خاص قفل برقی متصل به چارچوب در، عمل نموده و در باز میشود.
برمبنای این تعریف یک سیستم AC به رفع مشکل ذاتی تمام سیستمهای مکانیکی مزیت دارد و آن محدودیت تکثیر کلید است به طوری که برای یک قفل فقط میتوان یک کلید را مشابه سازی نمود و برای افراد مختلف استفاده کرد. بدیهی است که در صورت گم شدن کلید امنیت قفل خدشه دار میگردد.
سهولت اختصاص کلیدهای شناسایی مختلف به یک قفل و نیز سهولت حذف و مدیریت کلیدها از مهمترین مزایای بهره گیری از یک سیستم AC میباشد.
کنترل دسترسی در سیتمهای اطلاعات و شبکهها به منظور حفظ قابلیت اعتماد، جامعیت و دسترس پذیری آنها ضروری میباشد. در ادامه هر یک از این موارد تشریح شدهاند.
قابلیت اعتماد:
باعث جلوگیری از فاش شدن اطلاعات برای افراد یا فرایندهایی که مجاز نمیباشند، میگردد.
جامعیت:
از طریق اهداف زیر بیان میگردد:
۱-ممانعت از تغییر اطلاعات توسط افراد غیر مجاز
۲-ممانعت از تغییر غیرعمدی توسط افراد مجاز
۳-محافظت از سازگاری داخلی و خارجی
I.سازگاری داخلی باعث تضمین سازگاری دادهها میشود.به عنوان مثال، فرض کنید یک بانک اطلاعاتی تعداد واحدهای یک قلم خاص در هر دپارتمان یک سازمان را نگهداری میکند.مجموع تعداد واحدها در هر دپارتمان باید با تعداد واحدها که درداخل بانک اطلاعاتی ضبط شده یکسان باشد.
II.سازگاری خارجی متضمن سازگاری دادههای ذحیره شده در بانک اطلاعاتی با دنیای واقعی است.مثال تشریح شده در قسمت قبلی را برای سازگاری خارجی اینگونه میتوان عنوان کرد که اقلام ضبط شده در بانک اطلاعاتی برای هر دپارتمان برابر با تعداد اقلام فیزیکی موجود در هر دپارتمان میباشد.
دسترس پذیری:
تضمین کننده این مطلب است که کاربران مجاز سیستم میتوانند دسترسی به موقع و بی وقفه به اطلاعات سیستم داشته باشند. علاوه بر هدف دسترسی پذیری میتوان به سودمندی و قابلیت اعتماد اشاره کرد.
این اهداف و سایر اهداف مرتبط از سیاست امنیتی سازمان نشأت میگیرد که این امر توسط مدیریت ارشد سازمان به منظور تعیین دسترسیهای لازم توسط اشخاص مجاز تدوین میگردد.
نکته قابل توجه که در طراحی و پیاده سازی مکانیزمهای کنترل دسترسی باید لحاظ شود سه مورد تهدیدهای موجود برای سیستم، آسیب¬پذیری سیستم در برابر این تهدیدها و مخاطراتی که ممکن است توسط این تهدیدها ایجاد شود، میباشد. در ادامه توضیحات بیشتری در مورد این سه مورد ذکر میشود:
تهدید:
واقعه یا فعالیتی که پتانسیل آسیب رسانی به اطلاعات سیستمها و یا شبکه¬ها را دارا میباشد.
آسیب پذیری:
ضعف یا کمبود محافظ، که میتواند توسط تهدید به وقوع بپیوندد و باعث آسیب رسانی به اطلاعات سیستمها و یا شبکه¬ها شود.
مخاطره:
پتانسیل برای آسیب رسانی و گم شدن اطلاعات سیستمها و یا شبکهها میباشد و احتمال به وقوع پیوستن تهدیدها خواهد بود.
کنترل
کنترلها به منظور کاهش مخاطره و پتانسیل مفقود شدن اطلاعات سیستمها و یا شبکهها پیاده سازی می¬شوند. کنترلها میتوانند به سه صورت: ممانعت، تشخیص و تصحیح باشند. کنترلهای ممانعتی جهت جلوگیری از وقایع مضر بکار گرفته می¬شوند، کنترلهای تشخیصی برای کشف وقایع مضر ایجاد شدهاند و کنترلهای تصحیحی برای بازیابی سیستمهائی که مورد حملههای مضر واقع شدهاند، استفاده می¬شوند.
برای پیاده سازی این سنجهها کنترلها میتوانند به صورت: راهبری، منطقی یا فنی، و فیزیکی باشند.
کنترلهای راهبری:
شامل سیاستها و رویهها، آموزش آگاهی امنیتی، رسیدگی موجودیت فردی جهت اهداف امنیتی، بررسی روش کار، بازبینی تاریخچه تعطیلات، و افزایش نظارت میشوند.
کنترلهای منطقی یا فنی:
شامل محدودیتهای دسترسی به سیستمها و محافظت از اطلاعات می¬شوند. نمونه¬هائی از انواع این کنترلها عبارتند از رمزگذاری، کارتهای هوشمند، لیستهای کنترل دسترسی و پروتکلهای انتقال.
کنترلهای فیزیکی:
این کنترلها باعث یکی شدن محافظان با ساختمان امنیتی میشوند، به عنوان مثال قفل کردن درها، امن سازی اتاقهای سرور، محافظت از کابلها، جداسازی وظائف و پشتیبان گیری از فایلها را میتوان ذکر کرد.
کنترلها پاسخگوئی اشخاصی را که به اطلاعات حساس دسترسی دارند را تامین میکند. این پاسخگوئی از طریق مکانیزمهای کنترل دسترسی تکمیل میگردد که نیازمند شناسائی و صدور مجوز و توابع ممیزی میباشد. این کنترلها باید با سیاستهای امنیتی سازمان مطابق باشند.
رویه¬های تضمین باعث میشوند که مکانیزمهای کنترلی، سیاست امنیتی را در کل چرخه حیات سیستمهای اطلاعاتی به درستی پیاده سازی نمایند.
در استاندارد ISO 17799 مجموعاً 10 دامنه وجود دارد که هر کدام پیرامون بخشی از حوزههای امنیت تدوین شدهاند. هر دامنه دارای چندین کنترل است. کنترل دسترسی ششمین آنهاست.
مبحث کنترل دسترسی (access control) یکی از دامنههای مورد نظر در استاندارهای امنیت اطلاعات (از جمله ایزو 17799 و BS-7799) میباشد. واضح است که در بازرسیها و ممیزیهایی که از یک سازمان به عمل میآید تا میزان امن بودن آن سازمان سنجیده شود (مثلا مطابق با استاندارد ممیزی ایزو 27001) این دامنه را نیز تحلیل خواهند کرد. اما جدای از این مورد، کنترل دسترسی تقریباً در تمام سازمانها از اهمیت ویژهای بر خوردار است. در اغلب سازمانها وقتی در اجرای دامنههای ایزو 17799 بحث محدودیت مالی و منابع پیش آید و نیاز به رتبه بندی و الویت سنجی دامنهها باشد، دامنه کنترل دسترسی غالباً رتبه «ارحج ترین» را میگیرد.
تعریف کنترل دسترسی از دیدگاه CISSP
یک تعامل اولیه و خاص، بین یک فاعل و یک شئ است که در نهایت منجر به برقراری جریان اطلاعاتی از یکی از انها به دیگری خواهد شد. نکته: به طور کلی عناصری که توان انجام فعالیت و اجرای عملی روی چیز دیگری دارند فاعل و عناصر دیگر مثل منابع و... را مفعول مینامیم. مطابق توضیحات CISSP دامنه کنترل دسترسی، شامل این بخش هاست: 1-تعریف 2-علل اهمیت 3-انواع کنترل 4-مدلهای کنترل 5-کشف مخاطرات 6-علائم منفرد روی سیستمها 7-شناسایی و اعتبار سنجی
چرا کنترل دسترسی اهمیت دارد؟
کنترل دسترسی روشن ترین نماد امنیت است. در واقع آنرا قلب امنیت هم میدانند. همچنین برای به اجرا در آمدن اهداف CIA (Confidentiality, Integrity, Authentication) در بحث امنیت از نگاه ISMS، این دامنه یک مبنا و پیش نیاز به حساب میآید. کنترل دسترسی برای تحقق سه هدف عمده به کار گرفته میشود که عبارتند از: 1- جلوگیری از دسترسی کاربران غیر مجاز به امکانات تغییر اطلاعات. 2- جلوگیری از دستکاری اطلاعات به صورت غیر عمدی توسط کاربران ناآشنا و غیر مجاز 3- حصول اطمینان از سلامت اطلاعات و ثبات اطلاعات داخلی و خارجی.
انواع کنترل دسترسی
کنترل دسترسی و به طور کلی کنترل را از دیدگاههای مختلفی میتوان تقسیم بندی کرد از یک دیدگاه انواع کنترل عبارتند از: 1-پیش گیرانه (که جلوی چیزی را قبل از حادث شدن میگیرند) 2-شناسایی کننده.(شناسایی مخاطرات) 3-اصلاح کننده (که تعمیر یا تصحیح امور را انجام میدهند) 4-بازیاب (که چیزی را بازیافت و دوباره احیا میکنند) 5-باز دارنده
اما از دیدگاه اجرایی و عملیاتی کنترلها سه دستهاند: 1-کنترلهای مدیریتی شامل سیاستها، رویهها، آموزش و کنترل سابقه کاری و... میباشند 2-کنترلهای منطقی / فنی مثل رمز گذاری و تهیه و استفاده از لیست کنترل دسترسی ACL 3-کنترلهای فیزیکی مانند درها، حصارها، گاردها و...
کنترل دسترسی در ISO 17799-2005
دامنه کنترل دسترسی به عنوان یکی از دامنههای استاندارد امنیتی ایزو 17799 دارای هفت بخش کلی است که هر کدام از آنها نیز از چندین زیربخش تشکیل شدهاند. فهرست این بخشها به شرح زیر است: 1- ملزومات مورد نیاز برای پیاده سازی 1-1- سیاستهای کنترل دسترسی 2- مدیریت دسترسی کاربران 2-1- ثبت کاربر 2-2- مدیریت امتیازات خاص کنترل 3-2- مدیریت رمز عبور کاربران کنترل 4-2- بررسی حقوق دسترسی کاربر کنترل 3- مسئولیتهای کاربر 1-3- کاربرد رمز عبور 2-3- تجهیزات دور از توجه مستقیم کاربر 3-3- سیاست تمیز نگاه داشتن میز کار و صفحه نمایش تجهیزات الکترونیکی 4- کنترل دسترسی به شبکه 1-4- سیاست چگونگی استفاده از رویسهای شبکه 2-4- تصدیق اعتبار کاربر برای ارتباطات و تماسهای از خارج از سازمان 3-4- شناسایی و تعیین هویت تجهیزات در شبکه 4-4- مراقبت از پورتهایی که برای اجرای تنظیمات و رفع نقصها از راه دور 5-4- تفکیک و جداسازی در شبکهها 6-4- کنترل تماس با شبکه 5- کنترل دسترسی به سیستم عامل 1-5- فرآیندهایی امن برای ورود به سیستم 2-5- شناسایی و تصدیق هویت کاربران 3-5- سیستم مدیریت رمز عبور 4-5- استفاده از برنامههای مزیتی سیستم 5-5- مهلت زمانی نشتها 6-5- محدودیت زمان برقراری ارتباط 6- کنترل دسترسی به برنامههای کاربردی و اطلاعات 1-6-ممنوعیت دسترسی به اطلاعات 2-6- جداسازی سیستمهای حساس 7- شبکههای بیسیم و ارتباطات سیار راه دور 1-7- محاسبات و ارتباطات سیار 2-7- کارکردن از راه دور
مدلهای کنترل دسترسی
کنترل دسترسی بر اساس موضوع (یک موجودیت فعال مثل اشخاص یا فرایندها) به یک شیء که شامل تنظیم قوانین دسترسی است. این قوانین میتوانند به سه مدل یا رسته دسته¬بندی شوند.
۱- کنترل دسترسی اجباری
مجوز دسترسی موضوع به یک شیء بستگی به برچسبها، که نمایان کننده اختیار و کلاسه بندی یا حساست شیء میباشد. برای مثال مستندات طبقه بندی شده نظامی به غیرسری، کمی محرمانه، محرمانه و خیلی سری. به همین نحو، یک شخص میتواند یک اختیار کمی محرمانه، محرمانه یا خیلی محرمانه داشته باشد تا به اطلاعات طبقه بندی شده مرتبط با محدودیتهای تعیین شده، دسترسی داشته باشد.
این محدودیت این است که اشخاص باید یک نیاز برای آگاهی مرتبط با مستندات طبقه بندی شده درگیر را داشته باشند.بنابر این، مستندات باید برای اشخاص به جهت تکمیل وظایف مرتبط ضروری باشند.
تا زمانیکه اشخاص مطابق با طبقه¬بندی موردنیاز مشخص نشدهاند نباید به اطلاعات دسترسی داشته باشند.
کنترل دسترسی برمبنای قانون یک نوع از کنترل دسترسی اجباری است زیرا این کنترل بر اساس قوانین تشخیص داده می¬شود و نه به تنهایی توسط موجودیت موضوعات و اشیأ به تنهایی.
۲- کنترل دسترسی احتیاطی
موضوع اختیار لازم به همراه محدودیتهای مسلم برای مشخص کردن اینکه کدام اشیأ دسترس پذیر هستند را دارد. برای مثال لیستهای کنترل دسترسی قابل استفاده هستند.
این نوع از کنترل دسترسی یه صورت محلی، در موقعیتهای پویایی که موضوعات باید احتیاطهایی برای مشخص کردن اینکه به چه منابعیغ کاربران مسلمی مجاز برای دسترسی هستند، بکار میرود.
زمانیکه یک کاربر با محدودیتهای مسلم، حق جابجایی کنترل دسترسی به اشیأ مسلمی را دارد، این اصطلاح بکار میرود: کاربر هدایت شده با دسترسی احتیاطی
یک کنترل دسترسی براساس موجودیت یک نوع از کنترل دسترسی احتیاطی است که برمبنای موجود یا اشخاص می¬باشد. در بعضی نمونه¬ها، یک رویکرد پیوندی بکار میرود، که ترکیبی از قابلیتهای کنترل دسترسی احتیاطی بر مبنای کاربر و بر مبنای موجودیت میباشد.
۳- کنترل دسترسی غیراحتیاطی
یک اختیار مرکزی مشخیص می¬کند که چه موضوعاتی میتوانند دسترسی به اشیأ مسلمی بر مبنای سیاست امنیتی سازمان داشته باشند. کنترلهای دسترسی ممکن است برمبنای نقش اشخاص در سازمان یا در پاسخگوییهای موضوع و وظایف باشند.
در یک سازمانی که تغییرات دائمی پرسنل را داریم، کنترل دسترسی غیراحتیاطی مفید است زیرا کنترل دسترسی بر اساس نقش اشخاص و یا سمت در سازمان میباشد. این کنترل دسترسی هروقت که پرسنلی دارای نقشی دیگر می¬شود نیاز به تغییر ندارد.
نوع دیگری از کنترل دسترسی غیراحتیاطی کنترل دسترسی برمبنای شبکه(lattice-based) میباشد.در این نوع کنترل، یک مدل شبکهای بکار رفتهاست. در یک مدل شبکه¬ای زوجی از اجزا موضوع و شیء میباشند و موضوع بیشترین کران پایین و کمترین کران بالای حق دسترسی به شیء را دارد.
ترکیبات کنترل
با ترکیب کنترلهای ممانعت کننده و تشخیص¬دهنده، انواع پیاده ساز راهبری، فنی(منطقی) و فیزیکی شامل زوجهای زیر میشوند:
مانع / راهبر
مانع / فنی
مانع / فیزیکی
تشخیص دهنده / راهبر
تشخیص دهنده / فنی
تشخیص دهنده / فیزیکی
هر کدام از این شش زوج و عناصر کلیدی آنها در ذیل مطرح می¬گردند.
ممانعت/ راهبری
در این نوع، اهمیت بر اساس مکانیزمهای «نرم» که پشتیبان اهداف کنترل دسترسی است، میباشد.این مکانیزمها شامل سیاستهای سازمانی و رویهها، موافقت نامههای کارمندان، رویههای اختتامیه کارکنان به صورت دوستانه یا غیر دوستانه، زمانبندی تعطیلات، برسب بر روی مواد حساس، آگاهیهای رفتاری و رویههای نشانه گذاری برای حصول شبکهها و سیستمهای اطلاعاتی و... میباشند.
ممانعت/ فنی
این نوع، از تکنولوژی به منظور اچبار سیاستهای کنترلی استفاده میکند.این کنترلهای فنی همچنین به عنوان کنترلهای منطقی شناخته میشود و میتوانند در سیستم عامل، نرم افزارهای کاربردی و یا در سخت افزارها و یا نرم افزارهای الحاقی گذاشته شوند.
بعضی از انواع کنترلهای ممانعت/ فنی شامل پروتکلها، کدگذاریها، کارتهای هوشمند، بیومتریکها (برای اخذ مجوز)، بسته ¬ای نرم افزاری کنترل دسترسی از راه دور، رمزها، منوها، پوستهها، بانکهای اطلاعاتی، نرم افزارهای تشخیص ویروس میباشند.
پروتکلها، کدگذاریها، کارتهای هوشمند مکانیزمهای فنی برای محافظت اطلاعات و رمزها از افشاسازی میباشند.
بیومتریکها در تکنولوژیهایی نظیر اثرانگشت، شبکیه چشم، و جستجوی عنبیه برای اخذ مجوز از اشخاص برای دسترسی به منابع بکار میروند.
ممانعت / فیزیکی:
تعداد زیادی از سنجههای مانع / فیزیکی قابل حس و درک هستند. این سنجهها به عنوان محدود کننده دسترسی فیزیکی به نواحی ای که اطلاعات حساس سیستم نگهداری میشود.
نواحی مورد محافظت قرار گرفته توسط یک فضای امنیتی حلقوی تعریف می¬شود که تحت نظرکنترل دسترسی میباشد.
کنترلهای ممانعت/ فیزیکی شامل: حفاظها، امضاءها، درهای چندگانه(به عنوان مثال وجود چندین در پشت هم که در صورت ورود به یکی با درهای دیگر مواجه میشویم)، سیستم ورودی کارتهای مغناطیسی، بیومتریکها به منظور تعیین صلاحیت، گاردها، سگها، سیستمهای کنترل محیط (مانند درجه حرارت، رطوبت و...)، و ساختمان و نواحی دسترسی.
سنجههای ممانعت/ فیزیکی همچنین برای نواحی که برای پشتیبان گیری فایلها بکار میروند، کاربرد دارد.
تشخیص دهنده/ راهبری
تعداد زیادی از کنترلهای این نوع با کنترلهای مانع / راهبر همپوشانی دارند و این همپوشانی میتواتند در ممانعت از تخلفات سیاست امنیتی آینده یا تشخیص تخلفات موجود، ظاهر گردد.
نمونه¬هایی از این کنترلها سیاستهای سازمان و رویهها، زمانبندی تعطیلات، برچسب گذاری مواد حساس و... میباشند.
کنترلهای اضافی تشخیص دهنده/ راهبری شامل گردش کار؛ تسهیم مسئولیتها و بررسی رکوردهای ممیزی هستند.
تشخیص دهنده/ فنی
سنجه¬های کنترلی تشخیص دهنده/ فنی به منظور آشکارسازی تخلفات ناشی از سیاست امنیتی با کاربری فنی بکار میروند. این سنجه¬ها شامل موارد سیستمهای تشخیص حمله و گزارشات خودکار تخلفات از اطلاعات ارزیابی شده میباشند.
این گزارشات میتوانند واریانسهایی از عملیات نرمال نمایان سازند و یا تشخیص امضاهای دسترسیهای غیرمجاز را داشته باشند.
تشخیص دهنده/ فیزیکی
کنترلهای تشخیص دهنده/ فیزیکی معمولا نیازمند نیروی انسانی برای ارزیابی ورودی از سنسورها یا دوربینها برای تشخیص تهدیدها و حملات موجود میباشند.
بعضی از انواع این کنترلها تشخیص دهنده حرکت و جنبش هستند و یا تشخیص دهندههای حرارتی و دوربینهای ویدئویی میباشند.
فهرست منابع
1- مستند استاندارد ایزو 17799 نسخه سال 2005 (انگلیسی)
2- سایت www.guidetocissp.com (دسترسی در مارس 2007)
3- سایتwww.adt.co.uk/access_control_systems (دسترسی در مارس 2007)
4- مستند ‘Access control Mindmap’ از مجموعه مستندات CISSP
Wiley] - The CISSP Prep Guide - Mastering the Ten Domains of Computer Security]