در توسینسو تدریس کنید

و

با دانش خود درآمد کسب کنید

AAA در امنیت چه مفهومی دارد؟

سلام به دوستان عزیز ITPro ای و علاقه مندان به مباحث امنیت. بعد از معرفی و آشنایی شما عزیزان با دوره CompTIA Security + و مباحث موجود در آن، از این نکته به بعد قصد دارم تا در حد توان مباحث موجود را بصورت جزئی تر مورد بررسی قرار دهم. بی مقدمه اضافی، با ادامه مطلب همراه باشید:

دوستان عزیز هر دوره امنیتی در سطح پایه و حتی در سطح پیشرفته، بدون پرداختن و وارد شدن به سه موضوع کنترل دسترسی (Access Control)، احراز هویت (Authentication) و پیگیری فعالیت های انجام شده روی سیستم (Auditing) به نوعی میتوان گفت ناقص است و نمیتواند حق مطالب را ادا کند.

AAA که همان مخفف وکنار هم قرار گرفته سه اصل بالا میباشد، شامل مباحثی است که زیر ساخت و فوندانسیون کار در یک محیط امنیتی IT را تشکیل میدهند. در این فصل به بررسی مفاهیم کلی خواهم پرداخت که AAA دیباچه و سرآغاز آن هاست. در این فصل به بررسی و استفاده نکردن از سرویس های غیرضروری به جهت امن کردن پلت فرم مورد استفاده خواهم پرداخت.

AAA چیست؟


AAA مجموعه ای از مفاهیم پایه ایست که در فهم امنیت کامپیوتر و شبکه بکمک ما میآیند. ما بدون آن که متوجه شویم روزانه بارها و بارها در مواردی مانند محافظت از اطلاعات و سیستم ها در برابر تهدیدات عمدی و غیرعمدی از اصول AAA استفاده میکنیم. اما واقعا AAA چیست؟

همانطور که گفتیم AAA از در کنار هم قرار گرفتن اول حروف Access Control، Authentication و Auditing تشکیل شده است. اما این سه مفهوم چکاری را انجام میدهند؟ علاوه بر در دسترس قرار دادن پلت فرم در شبکه، مهمترین هدف هر سه اصل بالا پشتیبانی و محافظت از محرمانگی (Confidentiality)، یکپارچگی (Integrity) و موجودیت (Availability) و در یک کلام CIA است.

بطور خلاصه میتوان CIA را به این صورت تعریف کرد:

o محرمانگی (Confidentiality): اطلاعات و محتوای موجود مورد سرقت قرار نگیرد.

o یکپارچگی (Integrity): اطلاعات و محتوای موجود دست نخورده باقی بمانند و ویرایش نشوند.

o موجودیت (Availability): در صورت مجاز بودن، اطلاعات و محتوای موجود در دسترس باشد.

این سه مفهوم اگرچه ظاهرا سه ناحیه مختلف را تشکیل میدهند، اما در واقع در کنار هم ارتباط تنگاتنگی دارند و با یکدیگر کار میکنند. سطح استفاده از هرکدام از سه مفهوم بالا، بطور مستقیم سطح کنترل دسترسی به منابع و تجهیزات شبکه را مشخص میکند. در ادامه به بررسی جزئی تر هر یک از سه مفهوم تشکیل دهنده واژه AAA خواهیم پرداخت.

کنترل دسترسی (Access Control)


AAA در امنیت چه مفهومی دارد؟

کنترل دسترسی را میتوان یک پالیسی، مولفه نرم افزاری و یا عنصر سخت افزاری در نظر گرفت که در دسترسی دادن و یا جلوگیری از دسترسی به یک سورس در شبکه استفاده میشود. برای این کار میتوان از کامپوننت های پیشرفته ای مثل Smart Card، دیوایس های Biometric و یا سخت افزارهای دسترسی به شبکه مثل روترها، ریموت اکسس پوینت ها (RAS و VPNها) و یا اکسس پوینت های وایرلس (WAP) استفاده کرد. فارغ از بعد سخت افزاری، کنترل دسترسی میتواند بصورت تعیین حق دسترسی (permission) بر روی یک فایل و یا سورس به اشترک گذاشته شده در شبکه باشد. برای نمونه میتوان به خصوصیت نرم افزار NTFS در ویندوز مایکروسافت اشاره کرد. در نهایت با کنار گذاشتن دو بعد سخت افزاری و نرم افزاری که در بالا به آن اشاره شد، کنترل دسترسی میتواند بصورت رولی (قانونی) باشد که محدودیت های یک نرم افزار را در محیط سیستم و یا شبکه تعیین میکند. در قسمت بعد بطور مفصل در رابطه با کنترل دسترسی صحبت خواهم کرد.

احراز هویت (Authentication)


AAA در امنیت چه مفهومی دارد؟

احراز هویت را میتوان فرآیندی تعریف کرد که در طی آن هویت ماشین و یا کاربری که قصد دسترسی به شبکه و یا منابع شبکه را دارد، تشخیص و مورد بررسی قرار میگیرد. در مورد این موضوع نیز در آینده مفصل بحث خواهم کرد و در اینجا فقط در حد آشنایی با مفهوم موضوع را پیگیری میکنم.

پیگیری فعالیت های انجام شده روی سیستم (Auditing)


AAA در امنیت چه مفهومی دارد؟

Auditing را میتوان فرآیند پیگیری و مرور رخدادها، خطاها، دسترسی ها و تلاش های دسترسی در یک سیستم تعریف کرد. مشابه روش های مرسوم حسابرسی برای پیگیری جریان مالی یک سازمان، در زمینه امنیت هم شما نیاز دارید تا بتوانید سابقه و جریان تلاش های دسترسی، دسترسی های موفق و یا ناموفق، مشکلات رخ داده در سیستم یا خطاها و رخدادهای دیگر که در بحث مانیتورینگ و کنترل یک سیستم حائز اهمیت هستند، را پیگیری نمایید.

قابلیت Auditing بطور پیش فرض بر روی بسیاری از سیستم های عمل فعال نیست و مدیر سیستم یا شبکه باید بر حسب نیاز خود آن را فعال نماید.

خوب دوستان به همین سادگی توانستیم مفهوم AAA را توضیح دهیم. در واقع همانطور که گفتم، درک صحیح AAA در گروه 3 تا A است که فهم آن ها ضامن درک صحیح AAA است. در قسمت های بعد راجع به هر کدام از این A ها بیشتر توضیح خواهم داد.

پایان

مانا باشید.

نویسنده: احسان امجدی

منبع: جزیره امنیت اطلاعات و ارتباطات وب سایت توسینسو

هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد.

#aaa_چیست؟ #availablity_چیست؟ #یکپارچگی_داده_به_چه_معناست؟ #access_control_چیست؟ #َauthentication_چیست؟ #auditing_چیست؟ #cia_چیست؟ #اموزش_دوره_+security #محرمانگی_داده_چیست؟
0 نظر

هیچ نظری ارسال نشده است! اولین نظر برای این مطلب را شما ارسال کنید...

نظر شما
برای ارسال نظر باید وارد شوید.
از سرتاسر توسینسو
تنظیمات حریم خصوصی
تائید صرفنظر
×

تو می تونی بهترین نتیجه رو تضمینی با بهترین های ایران بدست بیاری ، پس مقایسه کن و بعد خرید کن : فقط توی جشنواره پاییزه می تونی امروز ارزونتر از فردا خرید کنی ....