shs1366
Registered User
- تاریخ عضویت
- 3 جولای 2011
- نوشتهها
- 106
- لایکها
- 15
متخصصین سیستمهای امنیت اطلاعات باید نسبت به پیادهسازی کنترل دسترسی به منظور حفظ موجودیت، قابلیت اعتماد و جامعیت اطلاعات اطمینان حاصل کنند.
در دنیای شبکههای کامپیوتری همانگونه که کنترل دسترسی در سیستمهای توزیع شده اهمیت پیدا میکنند در سیستمهای متمرکز نیز حائز اهمیت میباشند.
متخصصین باید دانش کافی نسبت به حملهها، مخاطرات و آسیبها که با زیرساختهای سیستمهای اطلاعات ارتباط نزدیکی دارند، داشته باشند و نسبت به ممعانت از نفوذ آسیبها اقدام کنند.
منظور از یک سیستم کنترل دسترسی، سیستمی است که بر پایه یکی از مکانیزمهای شناسایی به جایگزینی یک قفل وکلید مکانیکی میپردازد.
به طور مثال در یک سیستم AC که با روش رمز شناسایی (PIN) کار میکند، با وارد نمودن یک رمز خاص قفل برقی متصل به چارچوب در، عمل نموده و در باز میشود.
برمبنای این تعریف یک سیستم AC به رفع مشکل ذاتی تمام سیستمهای مکانیکی مزیت دارد و آن محدودیت تکثیر کلید است به طوری که برای یک قفل فقط میتوان یک کلید را مشابه سازی نمود و برای افراد مختلف استفاده کرد. بدیهی است که در صورت گم شدن کلید امنیت قفل خدشه دار میگردد.
سهولت اختصاص کلیدهای شناسایی مختلف به یک قفل و نیز سهولت حذف و مدیریت کلیدها از مهمترین مزایای بهرهگیری از یک سیستم AC میباشد.
کنترل دسترسی در سیتمهای اطلاعات و شبکهها به منظور حفظ قابلیت اعتماد، جامعیت و دسترس پذیری آنها ضروری میباشد. در ادامه هر یک از این موارد تشریح شدهاند.
دسترس پذیری
تضمین کننده این مطلب است که کاربران مجاز سیستم میتوانند دسترسی به موقع و بی وقفه به اطلاعات سیستم داشته باشند. علاوه بر هدف دسترسی پذیری میتوان به سودمندی و قابلیت اعتماد اشاره کرد.
این اهداف و سایر اهداف مرتبط از سیاست امنیتی سازمان نشأت میگیرد که این امر توسط مدیریت ارشد سازمان به منظور تعیین دسترسیهای لازم توسط اشخاص مجاز تدوین میگردد.
نکته قابل توجه که در طراحی و پیادهسازی مکانیزمهای کنترل دسترسی باید لحاظ شود سه مورد تهدیدهای موجود برای سیستم، آسیبپذیری سیستم در برابر این تهدیدها و مخاطراتی که ممکن است توسط این تهدیدها ایجاد شود، میباشد. در ادامه توضیحات بیشتری در مورد این سه مورد ذکر میشود:
تهدید[ویرایش]
واقعه یا فعالیتی که پتانسیل آسیب رسانی به اطلاعات سیستمها و یا شبکهها را دارا میباشد.
آسیب پذیری
ضعف یا کمبود محافظ، که میتواند توسط تهدید به وقوع بپیوندد و باعث آسیب رسانی به اطلاعات سیستمها و یا شبکهها شود.
مخاطره
پتانسیل برای آسیب رسانی و گم شدن اطلاعات سیستمها و یا شبکهها میباشد و احتمال به وقوع پیوستن تهدیدها خواهد بود.
کنترل
کنترلها به منظور کاهش مخاطره و پتانسیل مفقود شدن اطلاعات سیستمها و یا شبکهها پیادهسازی میشوند. کنترلها میتوانند به سه صورت: ممانعت، تشخیص و تصحیح باشند. کنترلهای ممانعتی جهت جلوگیری از وقایع مضر بکار گرفته میشوند، کنترلهای تشخیصی برای کشف وقایع مضر ایجاد شدهاند و کنترلهای تصحیحی برای بازیابی سیستمهائی که مورد حملههای مضر واقع شدهاند، استفاده میشوند.
برای پیادهسازی این سنجهها کنترلها میتوانند به صورت: راهبری، منطقی یا فنی، و فیزیکی باشند.
کنترلهای راهبری
شامل سیاستها و رویهها، آموزش آگاهی امنیتی، رسیدگی موجودیت فردی جهت اهداف امنیتی، بررسی روش کار، بازبینی تاریخچه تعطیلات، و افزایش نظارت میشوند.
کنترلهای منطقی یا فنی
شامل محدودیتهای دسترسی به سیستمها و محافظت از اطلاعات میشوند. نمونههایی از انواع این کنترلها عبارتند از رمزگذاری، کارتهای هوشمند، لیستهای کنترل دسترسی و پروتکلهای انتقال.
کنترلهای فیزیکی
این کنترلها باعث یکی شدن محافظان با ساختمان امنیتی میشوند، به عنوان مثال قفل کردن درها، امنسازی اتاقهای سرور، محافظت از کابلها، جداسازی وظائف و پشتیبان گیری از فایلها را میتوان ذکر کرد.
کنترلها پاسخگوئی اشخاصی را که به اطلاعات حساس دسترسی دارند را تامین میکند. این پاسخگوئی از طریق مکانیزمهای کنترل دسترسی تکمیل میگردد که نیازمند شناسائی و صدور مجوز و توابع ممیزی میباشد. این کنترلها باید با سیاستهای امنیتی سازمان مطابق باشند.
رویههای تضمین باعث میشوند که مکانیزمهای کنترلی، سیاست امنیتی را در کل چرخه حیات سیستمهای اطلاعاتی به درستی پیادهسازی نمایند.
در استاندارد ISO ۱۷۷۹۹ مجموعاً ۱۰ دامنه وجود دارد که هر کدام پیرامون بخشی از حوزههای امنیت تدوین شدهاند. هر دامنه دارای چندین کنترل است. کنترل دسترسی ششمین آنهاست.
مبحث کنترل دسترسی (کنترل دسترسی) یکی از دامنههای مورد نظر در استاندارهای امنیت اطلاعات (از جمله ایزو ۱۷۷۹۹ و BS-۷۷۹۹) میباشد. واضح است که در بازرسیها و ممیزیهایی که از یک سازمان به عمل میآید تا میزان امن بودن آن سازمان سنجیده شود (مثلا مطابق با استاندارد ممیزی ایزو ۲۷۰۰۱) این دامنه را نیز تحلیل خواهند کرد. اما جدای از این مورد، کنترل دسترسی تقریباً در تمام سازمانها از اهمیت ویژهای بر خوردار است. در اغلب سازمانها وقتی در اجرای دامنههای ایزو ۱۷۷۹۹ بحث محدودیت مالی و منابع پیش آید و نیاز به رتبه بندی و اولویت سنجی دامنهها باشد، دامنه کنترل دسترسی غالباً رتبه «ارحج ترین» را میگیرد.
تعریف کنترل دسترسی از دیدگاه CISSP
یک تعامل اولیه و خاص، بین یک فاعل و یک شئ است که در نهایت منجر به برقراری جریان اطلاعاتی از یکی از انها به دیگری خواهد شد.
نکته: به طور کلی عناصری که توان انجام فعالیت و اجرای عملی روی چیز دیگری دارند فاعل و عناصر دیگر مثل منابع و... را مفعول مینامیم.
مطابق توضیحات CISSP دامنه کنترل دسترسی، شامل این بخش هاست:
تعریف
علل اهمیت
انواع کنترل
مدلهای کنترل
کشف مخاطرات
علائم منفرد روی سیستمها
شناسایی و اعتبار سنجی
چرا کنترل دسترسی اهمیت دارد؟
کنترل دسترسی روشنترین نماد امنیت است. در واقع آنرا قلب امنیت هم میدانند. همچنین برای به اجرا در آمدن اهداف CIA (Confidentiality, Integrity, Authentication) در بحث امنیت از نگاه ISMS، این دامنه یک مبنا و پیش نیاز به حساب میآید. کنترل دسترسی برای تحقق سه هدف عمده به کار گرفته میشود که عبارتند از:
جلوگیری از دسترسی کاربران غیر مجاز به امکانات تغییر اطلاعات.
جلوگیری از دستکاری اطلاعات به صورت غیر عمدی توسط کاربران ناآشنا و غیر مجاز
حصول اطمینان از سلامت اطلاعات و ثبات اطلاعات داخلی و خارجی.
انواع کنترل دسترسی
کنترل دسترسی و به طور کلی کنترل را از دیدگاههای مختلفی میتوان تقسیم بندی کرد از یک دیدگاه انواع کنترل عبارتند از:
پیش گیرانه (که جلوی چیزی را قبل از حادث شدن میگیرند)
شناسایی کننده.(شناسایی مخاطرات)
اصلاح کننده (که تعمیر یا تصحیح امور را انجام میدهند)
بازیاب (که چیزی را بازیافت و دوباره احیا میکنند)
باز دارنده
اما از دیدگاه اجرایی و عملیاتی کنترلها سه دستهاند:
کنترلهای مدیریتی شامل سیاستها، رویهها، آموزش و کنترل سابقه کاری و... میباشند
کنترلهای منطقی / فنی مثل رمز گذاری و تهیه و استفاده از لیست کنترل دسترسی ACL
کنترلهای فیزیکی مانند درها، حصارها، گاردها و...
در دنیای شبکههای کامپیوتری همانگونه که کنترل دسترسی در سیستمهای توزیع شده اهمیت پیدا میکنند در سیستمهای متمرکز نیز حائز اهمیت میباشند.
متخصصین باید دانش کافی نسبت به حملهها، مخاطرات و آسیبها که با زیرساختهای سیستمهای اطلاعات ارتباط نزدیکی دارند، داشته باشند و نسبت به ممعانت از نفوذ آسیبها اقدام کنند.
منظور از یک سیستم کنترل دسترسی، سیستمی است که بر پایه یکی از مکانیزمهای شناسایی به جایگزینی یک قفل وکلید مکانیکی میپردازد.
به طور مثال در یک سیستم AC که با روش رمز شناسایی (PIN) کار میکند، با وارد نمودن یک رمز خاص قفل برقی متصل به چارچوب در، عمل نموده و در باز میشود.
برمبنای این تعریف یک سیستم AC به رفع مشکل ذاتی تمام سیستمهای مکانیکی مزیت دارد و آن محدودیت تکثیر کلید است به طوری که برای یک قفل فقط میتوان یک کلید را مشابه سازی نمود و برای افراد مختلف استفاده کرد. بدیهی است که در صورت گم شدن کلید امنیت قفل خدشه دار میگردد.
سهولت اختصاص کلیدهای شناسایی مختلف به یک قفل و نیز سهولت حذف و مدیریت کلیدها از مهمترین مزایای بهرهگیری از یک سیستم AC میباشد.
کنترل دسترسی در سیتمهای اطلاعات و شبکهها به منظور حفظ قابلیت اعتماد، جامعیت و دسترس پذیری آنها ضروری میباشد. در ادامه هر یک از این موارد تشریح شدهاند.
دسترس پذیری
تضمین کننده این مطلب است که کاربران مجاز سیستم میتوانند دسترسی به موقع و بی وقفه به اطلاعات سیستم داشته باشند. علاوه بر هدف دسترسی پذیری میتوان به سودمندی و قابلیت اعتماد اشاره کرد.
این اهداف و سایر اهداف مرتبط از سیاست امنیتی سازمان نشأت میگیرد که این امر توسط مدیریت ارشد سازمان به منظور تعیین دسترسیهای لازم توسط اشخاص مجاز تدوین میگردد.
نکته قابل توجه که در طراحی و پیادهسازی مکانیزمهای کنترل دسترسی باید لحاظ شود سه مورد تهدیدهای موجود برای سیستم، آسیبپذیری سیستم در برابر این تهدیدها و مخاطراتی که ممکن است توسط این تهدیدها ایجاد شود، میباشد. در ادامه توضیحات بیشتری در مورد این سه مورد ذکر میشود:
تهدید[ویرایش]
واقعه یا فعالیتی که پتانسیل آسیب رسانی به اطلاعات سیستمها و یا شبکهها را دارا میباشد.
آسیب پذیری
ضعف یا کمبود محافظ، که میتواند توسط تهدید به وقوع بپیوندد و باعث آسیب رسانی به اطلاعات سیستمها و یا شبکهها شود.
مخاطره
پتانسیل برای آسیب رسانی و گم شدن اطلاعات سیستمها و یا شبکهها میباشد و احتمال به وقوع پیوستن تهدیدها خواهد بود.
کنترل
کنترلها به منظور کاهش مخاطره و پتانسیل مفقود شدن اطلاعات سیستمها و یا شبکهها پیادهسازی میشوند. کنترلها میتوانند به سه صورت: ممانعت، تشخیص و تصحیح باشند. کنترلهای ممانعتی جهت جلوگیری از وقایع مضر بکار گرفته میشوند، کنترلهای تشخیصی برای کشف وقایع مضر ایجاد شدهاند و کنترلهای تصحیحی برای بازیابی سیستمهائی که مورد حملههای مضر واقع شدهاند، استفاده میشوند.
برای پیادهسازی این سنجهها کنترلها میتوانند به صورت: راهبری، منطقی یا فنی، و فیزیکی باشند.
کنترلهای راهبری
شامل سیاستها و رویهها، آموزش آگاهی امنیتی، رسیدگی موجودیت فردی جهت اهداف امنیتی، بررسی روش کار، بازبینی تاریخچه تعطیلات، و افزایش نظارت میشوند.
کنترلهای منطقی یا فنی
شامل محدودیتهای دسترسی به سیستمها و محافظت از اطلاعات میشوند. نمونههایی از انواع این کنترلها عبارتند از رمزگذاری، کارتهای هوشمند، لیستهای کنترل دسترسی و پروتکلهای انتقال.
کنترلهای فیزیکی
این کنترلها باعث یکی شدن محافظان با ساختمان امنیتی میشوند، به عنوان مثال قفل کردن درها، امنسازی اتاقهای سرور، محافظت از کابلها، جداسازی وظائف و پشتیبان گیری از فایلها را میتوان ذکر کرد.
کنترلها پاسخگوئی اشخاصی را که به اطلاعات حساس دسترسی دارند را تامین میکند. این پاسخگوئی از طریق مکانیزمهای کنترل دسترسی تکمیل میگردد که نیازمند شناسائی و صدور مجوز و توابع ممیزی میباشد. این کنترلها باید با سیاستهای امنیتی سازمان مطابق باشند.
رویههای تضمین باعث میشوند که مکانیزمهای کنترلی، سیاست امنیتی را در کل چرخه حیات سیستمهای اطلاعاتی به درستی پیادهسازی نمایند.
در استاندارد ISO ۱۷۷۹۹ مجموعاً ۱۰ دامنه وجود دارد که هر کدام پیرامون بخشی از حوزههای امنیت تدوین شدهاند. هر دامنه دارای چندین کنترل است. کنترل دسترسی ششمین آنهاست.
مبحث کنترل دسترسی (کنترل دسترسی) یکی از دامنههای مورد نظر در استاندارهای امنیت اطلاعات (از جمله ایزو ۱۷۷۹۹ و BS-۷۷۹۹) میباشد. واضح است که در بازرسیها و ممیزیهایی که از یک سازمان به عمل میآید تا میزان امن بودن آن سازمان سنجیده شود (مثلا مطابق با استاندارد ممیزی ایزو ۲۷۰۰۱) این دامنه را نیز تحلیل خواهند کرد. اما جدای از این مورد، کنترل دسترسی تقریباً در تمام سازمانها از اهمیت ویژهای بر خوردار است. در اغلب سازمانها وقتی در اجرای دامنههای ایزو ۱۷۷۹۹ بحث محدودیت مالی و منابع پیش آید و نیاز به رتبه بندی و اولویت سنجی دامنهها باشد، دامنه کنترل دسترسی غالباً رتبه «ارحج ترین» را میگیرد.
تعریف کنترل دسترسی از دیدگاه CISSP
یک تعامل اولیه و خاص، بین یک فاعل و یک شئ است که در نهایت منجر به برقراری جریان اطلاعاتی از یکی از انها به دیگری خواهد شد.
نکته: به طور کلی عناصری که توان انجام فعالیت و اجرای عملی روی چیز دیگری دارند فاعل و عناصر دیگر مثل منابع و... را مفعول مینامیم.
مطابق توضیحات CISSP دامنه کنترل دسترسی، شامل این بخش هاست:
تعریف
علل اهمیت
انواع کنترل
مدلهای کنترل
کشف مخاطرات
علائم منفرد روی سیستمها
شناسایی و اعتبار سنجی
چرا کنترل دسترسی اهمیت دارد؟
کنترل دسترسی روشنترین نماد امنیت است. در واقع آنرا قلب امنیت هم میدانند. همچنین برای به اجرا در آمدن اهداف CIA (Confidentiality, Integrity, Authentication) در بحث امنیت از نگاه ISMS، این دامنه یک مبنا و پیش نیاز به حساب میآید. کنترل دسترسی برای تحقق سه هدف عمده به کار گرفته میشود که عبارتند از:
جلوگیری از دسترسی کاربران غیر مجاز به امکانات تغییر اطلاعات.
جلوگیری از دستکاری اطلاعات به صورت غیر عمدی توسط کاربران ناآشنا و غیر مجاز
حصول اطمینان از سلامت اطلاعات و ثبات اطلاعات داخلی و خارجی.
انواع کنترل دسترسی
کنترل دسترسی و به طور کلی کنترل را از دیدگاههای مختلفی میتوان تقسیم بندی کرد از یک دیدگاه انواع کنترل عبارتند از:
پیش گیرانه (که جلوی چیزی را قبل از حادث شدن میگیرند)
شناسایی کننده.(شناسایی مخاطرات)
اصلاح کننده (که تعمیر یا تصحیح امور را انجام میدهند)
بازیاب (که چیزی را بازیافت و دوباره احیا میکنند)
باز دارنده
اما از دیدگاه اجرایی و عملیاتی کنترلها سه دستهاند:
کنترلهای مدیریتی شامل سیاستها، رویهها، آموزش و کنترل سابقه کاری و... میباشند
کنترلهای منطقی / فنی مثل رمز گذاری و تهیه و استفاده از لیست کنترل دسترسی ACL
کنترلهای فیزیکی مانند درها، حصارها، گاردها و...