طبقه بندی کنترل دسترسی یا ACCESS CONTROLS
کنترل دسترسی چیست؟
یکی از بزرگ ترین وظایف مدیران امنیتی، کنترل دسترسی به منابع و اطلاعات می باشد. کنترل دسترسی خیلی بیشتر از این است که تعیین کنیم که یک فرد می تواند به یک بخش سازمان وارد شود و یا از یک فایل یا سرویس استفاده کند یا خیر، این بدین معناست که برای حفاظت از داده ها و اطلاعات و اشخاص در مقابل انواع تهدید ها از طرف افراد غیر می بایست کلیه ورودی ها و مبادی دسترسی به منابع و نقاط حساس هر سازمان مدیریت و کنترل گردد.
کنترل دسترسی یک فرایند است و مدیران می بایست با یک راهبرد و هدف روشن و شفاف و بر اساس نیازهای امنیتی سازمان و باتوجه به حساسیت های اطلاعات موجود در سازمان اقدام به طراحی، به کار گیریاز سیستم های سخت افزاری، نرم افزاری و پرسنل خود در راستهای اهداف از پیش تعیین شده نمایند.
انواع کنترل دسترسی (Access Control)
واژه کنترل دسترسی محدوده ی وسیعی از کنترل ها را در بر می گیرد که می تواند از مجبور کردن یک کاربر به استفاده از نام کاربری و رمز عبور معتبر برای ورود به سیستم یا تردد افراد در سازمان باشد تا از دسترسی کاربران به منابع خارج از محدوده دسترسی اعمال شده برای آنها جلوگیری شود. کنترل های دسترسی از نظر نوع فعالیت و همچنین هدفی که برای آن طراحی شده اند به 7 گروه اصلی طبقه بندی می شود. همیشه در نظر داشته باشید که برخی از مکانیزم های امنیتی هستند که از چندین نوع از این گروه ها تشکیل شده اند و ترکیبی از این 7 گروه ذیل هستند:
کنترل های دسترسی پیشگیری کننده (Preventative Access Control)
کنترل های دسترسی پیشگیری کننده از به وقوع پیوستن فعالیت های ناخواسته یا غیرمجاز جلوگیری می کنند. برای مثال: فنس کشی ها، قفل ها، تجهیزات تشخیص هویت و شناسایی افراد، Mantrap، سیستم های روشنایی، سیستم های هشدار دهنده یا آلارم، تقسیم وظایف، تغییر چرخشی فعالیت ها (job rotation)، طبقه بندی اطلاعات، تست نفوذسنجی، رمز نگاری اطلاعات، پایش و مانیتورینگ، دوربین های مداربسته، کارت های هوشمند، انواع گیت های کنترل تردد، خط مشی های امنیتی، برگزاری دوره های آموزشی امنیتی کارمندان و نرم افزار های آنتی ویروس جزئی از کنترل های دسترسی پیشگیری کننده محسوب می شوند.
کنترل های دسترسی اصلاح کننده (Corrective Access Control)
کنترل های دسترسی اصلاح کننده زمانی شروع به فعالیت می کنند که عمل ناخواسته یا دسترسی غیرمجاز ایجاد شده و سیستم دچار مشکل شده است و می بایست اصلاحات لازم جهت بازگردانی فعالیت به حالت معمول انجام گیرد. این گونه کنترل های دسترسی ساده هستند و می توانند شامل پایان دادن به یک پروسس و یا دسترسی به فایل و یا راه اندازی مجدد یک سیستم باشند. کنترل های دسترسی اصلاح کننده معمولا خیلی کم می توانند بر روی دسترسی های غیرمجاز و سوء استفاده از دسترسی ها تأثیر گذار باشند. کنترل های دسترسی اصلاح کننده می توانند شامل سیستم های تشخیص نفوذ، راهکارهای آنتی ویروس، هشدار دهنده ها یا آلارم ها، طرح های تداوم کسب و کار و خط مشی های امنیت شوند.
کنترل های دسترسی شناسایی (Detective Access Control)
کنترل های دسترسی شناسای زمانی به فعالیت می کنند که بخواهیم فعالیت های ناخواسته یا غیر مجاز را شناسایی کنیم. این گونه کنترل ها همیشه در زمانی فعال می شوند که عمل ناخواسته یا غیر مجاز انجام شده است و کنترلی نیستند که به صورت بلادرنگ فعالیت کنند. مواردی مثل نگهبانان امنیتی، سگ های نگهبان، سیستم های تشخیص حرکت، دوربین های مداربسته، تغییرات شغلی مرحله ای (job Rotation)، فرستادن کارمندان به تعطیلات اجباری، پایش و مانیتورینگ مداوم، سیستم های تشخیص نفوذ، گزارش های تخلف، هانی پات ها، سرپرستی و نظارت درست بر عملکرد کارمندان و شناسایی بحران ها جزئی از کنترل های امنیتی شناسایی یا (Detective Access Control) هستند.
کنترل های دسترسی منع کننده (Deterrent Access Control)
کنترل های دسترسی منع کننده باعث دلسرد شدن از تخطی و دور زدن خط مشی های امنیتی می شوند. این کنترل ها زمانی کاربرد دارند که کنترل های دسترسی پیشگیری کننده نتوانسته اند به خوبی عمل کنند. یک کنترل دسترسی منع کننده هیچ فعالیتی را متوقف نمی کند و یا از وقوع آن جلوگیری نمی کند در عوض نتایج تخطی را تحت تأثیر قرار می دهد، برای مثال در صورتیکه تلاش یا هرگونه تخطی صورت بگیرد اینگونه کنترل ها وارد کار می شوند. برای مثال قفل ها، فنس ها، گارد حفاظتی، دوربین های امنیتی، تجهیزات اعلام هشدار، تقسیم وظایف، دستورالعمل های انجام کار، دوره های آموزشی آگاه سازی امنیتی کارکنان، رمزنگاری، پایش و مانیتورینگ و دیواره های آتش یا فایروال ها هر کدام نوعی از کنترل های دسترسی منع کننده محسوب می شوند.
کنترل های دسترسی جبران کننده (Compensation Access Control)
کنترل های دسترسی جبران کننده یا جبرانی امکانات متنوعی را به سایر کنترل های دسترسی جهت کمک کردن به پشتیبانی و اجبار خط مشی امنیت برای اعمال شدن را در اختیار می گذارند. برای مثال خط مشی امنیت، نظارت و سرپرستی کارکنان، مانیتورینگ یا پایش و دستورالعمل های انجام وظایف کاری از انواع کنترل های دسترسی جبرانی یا جبران کننده می باشند. از کنترل های دسترسی جبران کننده می توان به عنوان جایگزین به جای برخی دیگر از کنترل ها که دارای خطرات احتمالی هستند نیز استفاده کرد. برای مثال اگر می خواهید از محلی محافظت کنید که در آنجا مکان مسکونی وجود دارد بنابراین استفاده از سگ ها نگهبان می تواند خطرناک باشد، در اینجا شما می توانید به جای سگ نگهبان از سیستم های تشخیص حرکت با قابلیت پخش صدای سگ استفاده کنید که بسیار موثرتر و کم خطرتر از خود سگ است.
کنترل های دسترسی ترمیمی یا بازیافتی (Recovery Access Control)
از کنترل های دسترسی ترمیمی یا بازیافتی زمانی استفاده می شود که بخواهیم پس از وقوع تخطی از خط مشی امنیت، منابع، فعالیت های عملیاتی و قابلیت ها را تعمیر یا بازیابی کنیم. کنترل های دسترسی ترمیمی نسبت به کنترل های دسترسی اصلاح کننده در زمان بروز تخطی از دسترسی ها، برای پاسخگویی قابلیت های پیشرفته تر و همچنین امکانات بیشتری دارند. برای مثال کنترل های دسترسی ترمیمی می توانند ضمن اینکه خرابی های به وجود آمده را ترمیم کنند، روند تخریبی آن را نیز متوقف کنند. برای مثال نسخه های پشتیبان و بازگردانی (Backup & Restore)، درایو های سیستم با قابلیت خطاپذیری یا redundancy، کلاسترینگ سرورها، نرم افزار آنتی ویروس و همچنین database shadowing یا mirroring از نمونه های کنترل های دسترسی ترمیمی یا بازیافتی هستند.
کنترل های دسترسی دستوری (Directive Access Control)
کنترل های دسترسی دستوری زمانی به کار می روند که بخواهیم با دستور و محبوس کردن و کنترل کردن فعالیت های یک موضوع آن را مجبور به پذیرفتن خط مشی های امنیتی کنیم. از انواع کنترل های دسترسی دستوری می توان به گاردهای امنیتی، سگ ها نگهبان، خط مشی امنیتی، اخطاریه های ارسالی، مانیتورینگ و پایش، آموزش های امنیتی کارکنان و تقسیم وظایف کاری اشاره کرد. کنترل های دسترسی همچنین می توانند بر اساس روش پیاده سازی نیز طبقه بندی شوند. در این حالت به سه طبقه بندی مدیریتی، منطقی یا فنی و فیزیکی نقسیم بندی می شوند:
کنترل های دسترسی مدیریتی (Administrative Access Controls)
کنترل های دسترسی مدیریتی خط مشی ها و دستورالعمل هایی هستند که توسط خط مشی امنیتی سازمان برای اجبار به پیاده سازی سراسری کنترل های دسترسی تعریف شده اند. کنترل های دسترسی مدیریتی بیشتر بر روی دو موضوع کارکنان و فعالیت های تجاری (مردم و خط مشی ها) تمرکز می کنند. برای مثال خط مشی ها، دستورالعمل ها، بررسی کردن عدم سوء پیشینه، طبقه بندی داده ها، آموزش های امنیتی، نظارت بر انجام کارها، کنترل کردن کارکنان و انجام تست های محتلف از انواع کنترل های دسترسی مدیریتی می باشند. همچنین نرم افزار جامع کنترل تردد نیز از ابزارهای کارآمد مدیریت و کنترل دسترسی افراد در سازمان ها می باشد.
کنترل های دسترسی منظقی یا فنی (Technical\Logical Access Controls)
کنترل های دسترسی منطقی و کنترل های دسترسی فنی مکانیزم های سخت افزاری و نرم افزاری هستند که به وسیله محافظت از منابع و سیستم ها دسترسی به آنها را کنترل و مدیریت می کنند. برای مثال رمزنگاری، کارت های هوشمند، رمزهای عبور، سیستم های تشخیص هویت biometric، لیست کنترل های دسترسی یا (ACL)، پروتکل ها، فایروال ها، مسیریاب ها و سیستم های تشخیص نفوذ برخی از انواع کنترل های دسترسی منطقی یا فنی هستند، در این موضوع کنترل دسترسی فنی و منطقی را می توان در کنار هم استفاده کرد
کنترل های دسترسی فیزیکی (Physical Access Controls)
کنترل های دسترسی فیزیکی، حصارها و موانع فیزیکی هستند که از دسترسی مستقیم و غیر مجاز به سیستم ها و منابع جلوگیری می کنند. برای مثال گاردهای امنیتی، فنس ها، سیستم های تشخیص حرکت، درب های قفل شده، گیت کنترل تردد، پنجره های مهر و موم شده، سیستم های روشنایی، سیستم های محافظت از کابل کشی، قفل های لپ تاپ، سگ های نگهبان، دوربین های امنیتی و سیستم های هشدار دهنده یا آلارم از انواع کنترل های دسترسی فیزیکی هستند.
