مدل ها و مكانیزم های كنترل دسترسی
پس از آنكه یك فرد شناسایی و احراز هویت شد و امكان پاسخگویی در مورد آن برقرار گشت، باید مجوزهای لازم برای دسترسی به منابع یا اجرای كنشها برای وی صادر شود. تفویض اختیار تنها میتواند بعد از تایید هویت فرد از طریق فرآیند احراز هویت، اتفاق بیفتد. سیستمها، تفویض اختیار را از طریق استفاده از مدلها و مكانیزمهای كنترل دسترسی انجام میدهند. در زیر به توصیف این مدلها و مكانیزمها میپردازیم.
مدلهای كنترل دسترسی
مدلهای
كنترل دسترسی، شكل و گسترهی دسترسی افراد به اشیاء را مدیریت مینماید.
مدلهای كنترل دسترسی به طور كلی به دو دسته مبتنی بر صلاح دید و احتراز
تقسیم میشوند. مدل كنترل دسترسی احترازی نیز به روشهای مشخصی همچون روش
اجباری، مبتنی بر نقش و مبتنی بر وظیفه تقسیم میگردد.
- كنترل دسترسی مبتنی بر صلاح دید (DAC)
سیستمی كه
از كنترل دسترسی مبتنی بر صلاح دید استفاده میكند (DAC) به مالك یا ایجاد
كننده یك موضوع اجازه میدهد تا دسترسی نهاده ها به موضوع مذكور را تعریف
و كنترل نماید. به عبارت دیگر، كنترل دسترسی مبتنی بر تصمیم مالك موضوع
است.
- كنترل دسترسی احترازی
كنترل دسترسی احترازی در سیستمهای مبتنی بر قواعد استفاده میشود كه در آن مجموعهای از قواعد، محدودیتها و فیلترها تعیین كننده آن است كه چه چیزی در سیستم میتواند یا نمیتواند اتفاق بیفتد.
- كنترل دسترسی اجباری
كنترل
دسترسی اجباری بر مبنای برچسبهای طبقهبندی استوار است. هر برچسب
طبقهبندی نماینده یك دامنه امنیتی است. هر دامنه امنیتی در واقع قلمرویی
از اعتماد است كه حدود آن توسط سیاست امنیتی
خاص آن دامنه مشخص شده است. در این روش، برچسبهایی بر مبنای سطح اعتبار
نهاده ها به آنها داده میشود. موضوعها نیز برچسبهایی بر مبنای سطح
طبقهبندی یا حساسیت خود دریافت میدارند. برای مثال می توان به برچسبهای
فوق محرمانه، محرمانه و عادی اشاره كرد.
- كنترل دسترسی مبتنی بر نقش (RBAC)
سیستمهایی
كه از كنترل دسترسی مبتنی بر نقش و یا مبتنی بر وظیفه استفاده میكنند، در
واقع توانایی نهاده برای دسترسی به موضوعات را از طریق نقشها یا وظیفه
وی تعریف میكنند. برای مثال نهادهای كه در جایگاه مدیریتی است، نسبت به
نهادهای كه در یك موقعیت موقتی است، دسترسی بیشتری به منابع دارد. كنترل
دسترسی مبتنی بر نقش برای محیطهایی مناسب است كه پرسنل مرتباً در آن تغییر
میكنند، زیرا دسترسی بر مبنای توصیف شغل و نه بر مبنای هویت فرد، تعریف
میگردد.
- كنترل دسترسی مبتنی بر شبكهبندی
كنترل
دسترسی مبتنی بر شبكه یك حد بالایی و یك حد پایینی دسترسی برای هر نوع
رابطه بین فرد و موضوع تعریف میكند. با وجود اینكه تعریف حدود به صورت
دلخواه صورت میگیرد ولی معمولاً از همان برچسبهای امنیتی متداول در جامعه
مانند فوق محرمانه، محرمانه و عادی استفاده میشود.
مكانیزمهای كنترل دسترسی
دو روش اصلی برای كنترل دسترسی وجود دارد: روش متمركز و روش غیر متمركز (توزیع شده).
در كنترل
دسترسی متمركز، كلیه بررسیهای صدور مجوز توسط یك نهاد واحد، درون سیستم
انجام میشود. در كنترل دسترسی غیر متمركز یا كنترل دسترسی توزیع شده،
بررسیهای صدور مجوز توسط نهادهای مختلف، درون سیستم انجام میشود. روشهای
كنترل دسترسی متمركز و غیر متمركز همان فواید و اشكالاتی را دارند كه دیگر
سیستمهای متمركز و غیر متمركز آنها را دارا هستند. كنترل دسترسی متمركز
میتواند توسط یك گروه كوچك و یا حتی یك نفر اداره شود. سربار مدیریتی
بسیار پایینتر است زیرا همه تغییرات از یك محل انجام میشود. هر تغییری بر
روی كل سیستم اثر میگذارد. به همین دلیل است كه روش كنترل دسترسی متمركز
از یك نقطه شكست میخورد.
به عنوان مثال RADIUS یا احراز هویت از راه دور سرویس Dial-In، برای متمركز كردن احراز هویت اتصالات dial-up از راه دور استفاده میشود. شبكهای كه از سرور RADIUS استفاده میكند، طوری پیكربندی میشود كه سرور دسترسی از راه دور، اطلاعات ورود به سیستم كاربر dial-up را به سرورRADIUS برای احراز هویت ارسال میكند. استفاده از سرورهای احراز هویت مانند RADIUS یا TACACSكه جدا از سرور دسترسی از راه دور اولیه هستند، امنیت بیشتری را فراهم میسازد زیرا تنظیمات دسترسی و ممیزی را بر روی یك سیستم جداگانه نگهداری مینماید.
منبع مقاله ایمن داده سپنتا / مدل ها و مكانیزم های كنترل دسترسی
+ نوشته شده در چهارشنبه هجدهم دی ۱۳۹۲ ساعت 16:51 توسط ف.سپنتا
|