حجت رستمی
دانشجوی رشته شبکه و متخصص Passive

معرفی انواع سیستم های کنترل دسترسی امنیت : متدولوژی ها و کنترل ها

از انجایی که در امنیت اطلاعات باید از الزامات کنترل دسترسی و معنی و مفهوم پیاده سازی مطمئن یک سیستم از نظر محرمانگی , صحت و دسترس پذیری اگاهی داشته باشیم و در جهان شبکه های کامپیوتری متخصصین امنیت باید درک درستی از کنترل دسترسی به عنوان یک معماری متمرکز در عین حال توزیع شده داشته باشد. همچنین باید از تهدیدات و آسیب پزیری ها وخطرات مرتبط با زیرساخت سیستم های اطلاعاتی و با روشهای پیشگیری و تشخیص برای مقابله آگاهی داشته باشد تصمیم گرفتم که مطالبی رو در این ضمینه ارائه کنم .

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

پایه و اساس کنترل های دسترسی یا Access Controls

کنترل دسترسی به سیستم های اطلاعاتی و شبکه های ارتباطی برای حفظ محرمانگی و صحت داده ها و دسترس پزیری مورد نیاز است و بنابراین باعث میشود که افراد غیر مجاز به داده های محرمانه ما دسترسی نداشته باشند . کنترل دسترسی در این جهت به طور کلی در صحت داده ها سه هدف زیر را دنبال میکند .

  1. پیشگیری از دستکاری داده ها توسط کاربران غیر مجاز
  2. پیشگیری از تغییر داده ها به صورت عمدی یا غیر عمدی توسط کاربران مجاز (با این مثال که در نظر بگیرید کارمندان واحد امور مالی به عنوان کارکنان مجاز سازمان جهت رسیدگی به فاکتور های دریافتی از سایر واحدها و جمع دخل و خرج سازمان به اطلاعات عددی موجود در فاکتور ها دسترسی دارند . اما مجاز به دست بردن در این اسناد مالی و ایجاد هر نوع تغییر در مقادیر عددی اعلام شده از طرف واحد های مربوطه نیستند و صرفا وظیفه جمع و تفریق اعداد را بر عهده دارند .)
  3. حفظ ثبات داده های داخلی و خارجی (Preservation of the internal and external consistency )
  • A : ثبات داخلی تضمین میکند که داده های داخلی سازگارند به این معنی که فرض کنیم که یک پایگاه داده داخلی دارای تعدادی واحد از یک مورد خاص در هر بخش از سازمان است . مجموع تعداد واحد در هر بخش باید برابر با تعداد کل واحدی باشد که در پایگاه داده کل سازمان به ثبت رسیده است.
  • B: ثبات خارجی . سازگاری خارجی تضمین میکند که داده های ذخیره شده در پایگاه داده سازگار با جهان واقعی است با استفاده از مثال A به این توضیح که تعداد موارد ثبت شده در پایگاه داده به ازای هر بخش برابر است با تعداد ایتم های فیزیکی که در آن بخش وجود دارد.

و دسترس پذیری مارا از دسترسی به موقع و بدون وقفه به اطلاعات توسط کاربران مجاز مطمئن می سازد و نقش کنترل دسترسی در اینجا به عنوان یک ابزار کارامد مشخص میشود. موارد گفته شده به عنوان اهدافی در جهت جریان امنیت اطلاعات سازمانی تبدیل به سیاستهایی سطح بالا در جهت مدیریت سیستم های کنترل دسترسی , برای استفاده پرسنل مجاز سازمان از اطلاعات میشود. سه موردی که شما باید برای برنامه ریزی و اجرای مکانیزم های کنترل دسترسی باید در نظر بگیرید شامل :

  1. تهدیدات سیستم
  2. اسیب پزیری سیستمها
  3. ریسکها وخطرات
  • تهدید : یک رویداد و یا فعالیتی که منجر به آسیب به سیستم های اطلاعاتی و شبکه میشود
  • آسیب پزیری : ضعف یا عدم وجود یک حفاظ مطمئن که باعث اسیب رساندن به سیستم های اطلاعاتی و شبکه میشود
  • خطر: پتانسیلی برای آسیب یا از دست دادن یک سیستم اطلاعاتی یا شبکه

کنترل : اجرای سیاستهای کنترلی باعث کاهش ریسک و باعث کاهش بلقوه از دست دادن اطلاعات و نیز پیشگیری , تشخیص, و اصلاح روش های مورد استفاده برای حفظ داده ها میشود. پیاده سازی این اقدامات میتواند Administrative controls (کنترل های مدیریتی ) و Logical or technical controls (کنترل های منطقی یا تکنولوژیکی) وPhysical controls (کنترل های فیزیکی ) را شامل میشود.

کنترل های مدیریتی شامل

  • سیاستها و روشهای اموزش وآگاهی های امنیتی
  • چک کردن عادات کار
  • بررسی تاریخچه تعطیلات سازمان و افزایش امور نظارتی

کنترل منطقی یا فنی شامل

ایجاد محدودیت دسترسی به سیستم و حفاظت اطلاعاتی،که برای نمونه میتوان به رمز نگاری , کارتهای هوشمند, لیستهای کنترل دسترسی و پروتوکل های انتقال اشاره نمود.

کنترل های فیزیکی شامل

شامل استفاده از نگهبانال , کنترل امنیتی ساختمان بااستفاده از دوربین های مداربسته, دربهای ضد سرقت, امنیت اتاق سرور, محافظت از بستر کابل کشی, پشتیبان گیری از فایلها مراقبت از کامپیوتر های مستقر در سازمان و لپ تاب های مورد استفاده مدیران که به نوعی باعث خروج اطلاعات از سازمان میشود.و ارائه سیستم های کنترلی پاسخگو برای افرادی که به اطلاعات حساس دسترسی دارند این پاسخگویی از طریق مکانیسم هایی که نیاز به شناسایی و احراز هویت دارند انجام میشود این کنترلها باید مطابق با سیاستهای امنیتی سازمان باشد مکانیسم هایی که به طور کامل و مطمئن در روند جاری سازمان لحاظ شده باشند (به طور کلی چرخه ای از سیستم اطلاعاتی است, که گروهی از فرایندها میباشد که دسترسی به منابع به اشتراک گذارده شده در یک دامنه را سبب میشود.)

مدل هایی برای کنترل دسترسی

کنترل دسترسی به یک موضوع(یک موجودیت فعال مثل یک فرد یا فرایند) یا به یک شئ (یک نهاد منفعل مانند یک فایل) شامل تنظیم کردن قوانین دسترسی, این قوانین را میتوان به سه دسته یا مدل تقسیم کرد.

کنترل دسترسی اجباری

مجوز های اجباری دسترسی به یک موضوع حساس و طبقه بندی شده به عنوان مثال میتوان اسناد ومدارک محرمانه نظامی و یا به طور کلی ترهر موضوع با درجه طبقه بندی بالاتر را نام برد که افراد هرچند برای کارشان نیازمند استفاده ازآنها باشند و لی باز بر اساس قانون کنترل دسترسی باید مجوزهای لازم را دریافت کنند در این نوع موارد شناسایی هویت فرد و یا شئ تنها کافی نیست و نیاز به مکاتبات کتبی سازمان مربوطه را نیز دارد.

کنترل دسترسی اختیاری

البته از موضع قدرت , در برخی از محدودیت ها ی خاص , برای مشخص کردن اشیاء و موضوعات در دسترس به عنوان مثال از لیست های کنترل دسترسی میتوان استفاده کرد که شما ان ها را با نام ACL (access control list) میشناسید . که فهرستی از کاربران است که نشان دهنده میزان دسترسی افراد به فایلها و منابع خاص است( کنترل دسترسی سه گانه ای متشکل از کاربر, برنامه و فایل با امتیازات دسترسی مربوطه برای هر کاربر را اشاره میکند).

این نوع از کنترل دسترسی در موقعیتهای مختلف local و پویای domain به تشخیص مدیران IT برای مشخص کردن منابع مورد نیاز کاربران و سطح دسترسی های مجاز آنها مورد استفاده قرار میگیرد تا کاربران بتوانند به اختیار خود امکان ویرایش منابع مربوط به حوزه کاری خود را داشته باشند به همین دلیل هم از آن به عنوان کنترل دسترسی اختیاری به کارگردانی کاربر نام برده میشود که البته مبتنی بر هویت فرد میباشد (ترکیبی از ویژگی های کنترل مبتنی بر کاربر و دسترسی اختیاری مبتنی بر هویت .)

کنترل دسترسی غیر اختیاری

کنترل دسترسی میتواند بر اساس مسئولیت فرد در سازمان (مبتنی بر وظیفه) و یا نقش راهبردی افراد باشد ومتاثرازمحل , زمان , روز , و تاریخچه ای از دسترسی های قبلی که میتواند باعث قبول یا رد موضوعاتی توسط افراد شود به این معنی که آنها در بروز بعضی حوادث ناچار بوده یا کاری از دستشان برنیامده نوع دیگر از این نوع کنترل دسترسی مبتنی بر شبکه است که در این مورد یک مدلی ارائه میشود که ازموضوعات یک جفت وجود دارد که یکی دارای بالاترین ارزش و دیگری دارای کمترین ارزش است که تابعی از عوامل یاد شده میباشد

ترکیب های کنترل

با ترکیب انواع روش های کنترل پیشگیری و تشخیص با ابزار های مدیریتی و فنی و پیاده سازی های فیزیکی جفت ترکیب های زیر به دست میاید.

  • پیشگیری / مدیریتی
  • پیشگیری / فنی
  • پیشگیری / فیزیکی
  • تشخیص / مدیریتی
  • تشخیص / فنی
  • تشخیص / فیزیکی

حال به بررسی این شش جفت عنصر کلیدی به همراه مکانیسم های کنترل میپردازیم .

پیشگیری / مدیریتی

در این ترکیب تاکید بر استفاده از مکانیسم های نرم افزاری کنترل دسترسی است که این مکانیسم ها شامل سیاستهای سازمانی و تحقیقات پس زمینه قبل از استخدام افراد , به کار گیری شیوه های سخت گیرانه استخدام , استفاده از موافقت نامه های استخدامی و روشهای دوستانه یا غیر دوستانه , زمان بندی تعطیلات اداری, برچسب گزاری مواد حساس و داده های مهم, افزایش نظارت, استفاده از اموزشهای آگاهی امنیت, شناسایی میزان آگاهی افراد و رفتار سازمانی آنها, ثبت روش های دستیابی به سیستم های اطلاعاتی و شبکه

پیشگیری / فنی

اشاره به استفاده از فناوری برای به اجرا درآوردن سیاستهای کنترل دسترسی دارد و البته از این کنترل های فنی به عنوان گروهی از کنترل های منتقی هم یاد میشود به مثالهای زیر توجه کنید . کنترل با استفاده از امکانات موجود در سیستم عامل ها , نرم افزارها و برنامه های کاربردی, یا استفاده از مکمل های سخت افزاری / نرم افزاریfirewall , استفاده از برخی روشهای پیشگیرانه معمول مانند پروتکل های رمز نگاری , کارتهای هوشمند, استفاده از بسته های نرم افزاری کنترل دسترسی محلی و راه دور, سیستم های تماس تلفنی , کلمات عبور , رابط های کاربری محدود (منوها و اطلاعات پایگاه داده ای ), استفاده از نرم افزار های اسکن ویروس , استفاده از روشهای بیومتریک برای احراز هویت ( اثر انگشت و شبکیه چشم و اسکن عنبیه برای تایید هویت کاربران) اینها روشهای فنی هستند که میتوان از آنها برای کنترل دسترسی افراد در درخواستهای انها برای استفاده از منابع و اطلاعات حساس در سیستم های اطلاعاتی مورد استفاده قرار بگیرد.

پیشگیری / فیزیکی

استفاده از اقدامات پیشگیری / فیزیکی و بصری میتواند شما را در راه رسیدن به کنترل دسترسی افراد به مکانهای حساس امنیتی یاری کند که با استفاده از ابزار هایی مانند : تعریف محل و مناطقی که نیازمند کنترل های دسترسی حفاظتی امنیتی در ورود و خروج افراد را دارند , که این کنترل های پیشگیری فیزیکی میتواند انتخاب مدل خاصی از نرده های محوطه و درب های متعدد( تله درکه میتواند دو در فیزیکی از هم جدا برای یک راهرو عبوری باشد که فرد در صورت عبور از یک در درصورت نداشتن مجوز عبور در میان درها به دام خواهد افتاد ) استفاده از کارتهای مغناطیسی برای ورود و خروج افراد, بیومتریک (برای شناسایی) , نگهبان , سگ, سیستم های کنترل زیست محیطی ( دما, رطوبت و...) استفاده از دوربین های مدار بسته برای مکان هایی که در آنها از سیستم های پشتیبان گیری اطلاعات نگهداری میشود, و طراحی مناسب و پیش بینی شده در دسترسی به مکان های فیزیکی امنیتی .

تشخیص / مدیریتی

در چند مورد تشخیص مدیریتی با کنترل دسترسی در پیشگیری مدیریتی دارای هم پوشانی هستند چون کنترل آنها را میتوان برای پیشگیری از نقض ساستهای امنیتی آینده یا تشخیص تخلفات موجود مورد استفاده قرار داد نمونه هایی از روشها و کنترل سیاستهای سازمانی تهقیقات پس زمینه, برنامه ریزی تعطیلات, برچسب گزاری مواد حساس,افزایش نظارت,آموزش آگاهی های امنیتی و آگاهی رفتار, چرخش های شغلی و به اشتراک گزاری مسئولیتها, حسابرسی و بررسی پرونده ها اشاره نمود.

تشخیص / فنی

اقدامات کنترلی در نظر گرفته شده به منظور فاش کردن موارد نقض سیاستهای امنیتی با استفاده از وسایل فنی . این اقدامات شامل سیستم های تشخیص نفوذ و گزارشهای نقض ممیزی اطلاعات تولید شده خود کار که این گزارشها میتواند به صورت متفاوت نشان دهنده عادی بودن عملیات دسترسی به اطلاعات و یا تشخیس امضاهای شناخته شده از قسمت دسترسی های غیر مجاز, تشخیص logon های ناموفق و شکست خورده معمول کاربران در ایستگاههای کاری مربوطه برای مقایسه با گزارشات logon های غیر عادی شکست خورده بنابراین با توجه به اهمیت ممیزی اطلاعات سوابق ممیزی باید در بالاترین سطح از حساسیت در سیستم ها محافظت شود.

تشخیص / فیزیکی

این نوع از کنترل دسترسی نیازمند ارزیابی انسانی از ورود و خروج وبررسی سنسورها یا دوربینها برای تعیین اینکه آیا یک تهدید واقعی وجود دارد یا نه . برخی از این کنترل ها با استفاده از انواع آشکار سازها ی حرکت , آشکار سازهای حرارتی , و دوربین های ویدیویی صورت میپزیرد .

امیدوارم در مقالات بعدی این بحث رو کاملتر کنم

پیروز و سربلند باشید

نویسنده : حجت رستمی

منبع : انجمن تخصصی فناوری اطلاعات ایران

هرگونه نشر و کپی برداری بدون ذکر نام منبع و نویسنده اشکال اخلاقی دارد


حجت رستمی
حجت رستمی

دانشجوی رشته شبکه و متخصص Passive

دانشجوی رشته اینترنت و شبکه های گسترده علاقه مند به یادگیری active شبکه

نظرات