تعريف وأنواع نماذج وأساليب التحكم في الوصول (محدثة 2023)

تعريف وأنواع نماذج وأساليب التحكم في الوصول (تحديث 2023)
إذا كنت قد التحقت بمعسكر تدريب CISSP التدريبي، فأنت تعرف عن التحكم في الوصول. أنت تعلم أيضاً أن أمن المعلومات ينطوي على مسؤولية كبيرة. ويتضمن ذلك إنشاء نظام يسمح للموظفين بالوصول إلى المعلومات والأدوات التي يحتاجون إليها للقيام بوظائفهم بفعالية، ويعني أيضاً منع الأشخاص الخطأ من الوصول إلى نفس المعلومات.
بالتأكيد، يمكنك تعيين مسؤول نظام لمنح طلبات الوصول على أساس كل حالة على حدة، ولكن هذا ليس بفعالية إنشاء نماذج للتحكم في الوصول تؤكد أو ترفض تلقائيًا الوصول إلى الشبكات والأنظمة والبرامج للأشخاص المناسبين.
احصل على شهادة CISSP مضمونة!
اكسب شهادة CISSP الخاصة بك، مضمونة!
تعتمد معظم مجالات الأمن السيبراني على إنشاء عناصر تحكم في الوصول للموافقة على طلبات الوصول تلقائيًا وضمان عدم تمكن أي شخص من خداع تلك الضوابط لتوفير الوصول إلى أولئك الذين قد يسربون أو يهددون أنظمة المعلومات.
مع نمو المؤسسات بشكل أكبر وازدياد تعقيد أنواع الوصول المطلوبة لتسيير الأعمال اليومية، تزداد الطرق التي يتبعها محترفو أمن المعلومات (IS) في هيكلة الموافقة على الوصول. لهذا السبب فإن تعلم ومواكبة أكثر أساليب ونماذج التحكم المنطقي في الوصول الأكثر فعالية في التحكم المنطقي في الوصول أمر بالغ الأهمية لاجتياز اختبار شهادة اختصاصي أمن المعلومات المعتمد من ISC2 (CISSP)، مما يثبت للمحترفين الآخرين أنك تعرف كيفية إدارة المعلومات بشكل آمن.
تتم تغطية التحكم في الوصول على نطاق واسع في مجال إدارة الهوية والوصول في شهادة CISSP. دعنا نلقي نظرة على بعض أحدث أساليب التحكم في الوصول في تدريب CISSP، وكيف تختلف هذه الأساليب وكيف يمكن تطبيق هذه المعرفة عملياً في اختبار CISSP.
نماذج التحكم في الوصول الرئيسية
فيما يلي نماذج للتحكم في الوصول في دورة أساسيات التحكم في الوصول التي تقدمها SPOTO، والتي يتم تغطيتها بشكل مكثف في اختبار CISSP. يوجد في قلب كل نموذج مفهوم التبادل بين الموضوعات والأشياء. والموضوع هو أي شيء، سواء كان شخصًا أو برنامجًا أو كيانًا آخر، يطلب الوصول إلى كائن ما، والذي يُعرّف عادةً بأنه أي شيء يحتوي على معلومات.
يستخدم كل نموذج من نماذج التحكم في الوصول التالية طرقًا مختلفة لمنح الإذن للموضوعات والتحكم في الوصول إلى الكائنات.
1. التحكم في الوصول التقديري (DAC)
يمنح نموذج التحكم في الوصول هذا الموضوعات أكبر قدر من الحرية في الوصول إلى الكائنات ولكنه يوفر أيضًا مستوى أمان أقل من النماذج الأخرى في هذه القائمة. يعمل هذا النموذج من خلال قيام مسؤول الأمان بإنشاء ملف تعريف مورد للكائن يحتوي على قائمة التحكم في الوصول لأولئك الذين يمكنهم الوصول إلى كائن وبأي صفة. ومع ذلك، بالإضافة إلى المسؤول، يمتلك مالك أو منشئ الكائن نفس القدرة على إدارة الوصول. في حين أن هذا يمكن أن يوفر المرونة ويسمح للأشخاص الجدد الذين يحتاجون إلى الوصول بالحصول عليه، فإن الجانب السلبي الرئيسي لهذا النموذج هو أن المالك يمكنه منح حق الوصول إلى من يرغب – بما في ذلك الأشخاص الخطأ.
2. التحكم في الوصول الإلزامي (MAC)
على النقيض تقريبًا من DAC، فإن نموذج التحكم الإلزامي في الوصول الإلزامي لديه مسؤول واحد مسؤول عن منح حق الوصول إلى الموضوعات من خلال تعيين مستويات التصريح لأي كيان يصل إلى المعلومات. يتم إعطاء كائن ما مستوى تصريح بناءً على متطلباته الأمنية، ولا يمكن الوصول إلى هذا الكائن إلا للأشخاص الذين لديهم نفس مستوى التصريح أو أعلى. يشيع استخدام نموذجين أمنيين لإدارة نموذج MAC بناءً على ما إذا كانت سلامة المعلومات أو سريتها هي الأولوية: Biba و Bell-LaPadula.
يعد Biba هو الأفضل للحفاظ على سلامة المعلومات في نماذج التحكم في الوصول، ويسمح للأشخاص الذين لديهم تصريح من مستوى أدنى بقراءة كائنات ذات تصريح من مستوى أعلى، والأشخاص الذين لديهم تصريح من مستوى أعلى بالكتابة لكائنات ذات تصريح من مستوى أدنى.
أما نموذج بيل-لابادولا فهو أكثر صرامة ويستخدم عادةً في الأدوار الحكومية أو العسكرية. في هذا النموذج، يمكن حتى للأشخاص الذين لديهم تصريح من مستوى أعلى الكتابة في مستواهم وليس أعلى أو أقل، ولكن لا يزال بإمكانهم قراءة كائنات ذات تصريح أقل.
على الرغم من أن نموذج التحكم في الوصول الإلزامي هو أحد أكثر النماذج أمانًا في مجال نظم المعلومات، إلا أن الحصول على موافقة الوصول غالبًا ما يكون بطيئًا جدًا ويستغرق وقتًا طويلاً.
3. التحكم في الوصول المستند إلى الدور (RBAC)
يعد هذا النموذج جزءًا قياسيًا من تطبيق التحكم في الوصول في أنظمة التحكم الصناعي أو أنظمة التحكم الصناعية. فبدلاً من تعيين مستويات التصريح للموافقة على الوصول، يمنح نموذج التحكم في الوصول هذا الوصول إلى الكائنات بناءً على الدور التنظيمي أو المسمى الوظيفي المخصص للموضوع. يمكن أن يكون إنشاء ملفات تعريف الموارد للوصول استنادًا إلى الأدوار الوظيفية خيارًا رائعًا ومبسطًا للمؤسسات ذات الأدوار المحددة بوضوح والكائنات المرتبطة بها. ومع ذلك، فإنه ليس نموذجًا مثاليًا للتحكم في الوصول إذا كانت وظيفتك تتطلب منك العمل مع العديد من الأقسام أو في مشاريع ذات مستويات وصول مختلفة بشكل كبير.
4. التحكم في الوصول المستند إلى القواعد (RuBAC)
يستخدم هذا النموذج للتحكم في الوصول مجموعة مبرمجة من “الشروط” أو القواعد التي يدخلها مسؤول النظام لتحديد ما إذا كان يجب أن يكون للموضوع حق الوصول إلى كائن ما. في حين أن بعض النماذج تأخذ بعين الاعتبار الموضوع والكائن فقط عند منح الإذن، فإن RuBAC يأخذ بعين الاعتبار أيضًا “الإجراء”. وهو مشابه لعبارات “إذا-ثم-ثم-إذا-ثم-إلا” التي يستخدمها المبرمجون، ويمكن لهذا النموذج استخدام العديد من الشروط والمتغيرات لمنح الأذونات أو رفضها. قد تستفيد المؤسسة التي لديها معلومات لا يجب الوصول إليها إلا في وقت معين من اليوم أو في موقع جغرافي معين من نموذج RuBac، ولكن تغيير مجموعة الشروط غالبًا ما يستغرق وقتًا ومعرفة بالبرمجة.
اكسب شهادة CISSP الخاصة بك، مضمونة!
احصل على CISSP الخاص بك، مضمون!
نماذج التحكم في الوصول الأقل شيوعاً
على الرغم من أن نماذج التحكم التالية ليست شائعة الاستخدام مثل النماذج الأربعة المذكورة أعلاه، إلا أنك ستظل بحاجة إلى معرفتها من أجل اختبار CISSP. بالإضافة إلى ذلك، هناك بعض المواقف المحددة التي يمكن أن تكون فيها طرق التحكم في الوصول هذه مفيدة بشكل خاص.
1. التحكم في الوصول المستند إلى السمات (ABAC)
قد يكون من المفيد التفكير في هذا الشكل من أشكال التحكم في الوصول على أنه مزيج من نموذجي التحكم في الوصول القائم على السمات والتحكم في الوصول القائم على السمات. يتم منح الأذونات استنادًا إلى تعيين التصريح الخاص بالموضوع، ونوع الكائن المطلوب، والإجراء الذي يتم تنفيذه على الكائن، وبيئة الطلب. على سبيل المثال، يمكن لـ ABAC تقييم دورك المعين، ونوع الملف الذي تحاول الوصول إليه، وما إذا كنت تحاول قراءة الملف أو تعديله، والوقت من اليوم الذي تطلب فيه الوصول قبل منح الإذن. وكما يمكنك أن تعرف، فإن نموذج التحكم في الوصول هذا يسمح لمسؤولي النظام بمزيد من التحكم في منح الأذونات من عدمه، ولكنه يتطلب أيضًا الكثير من الترميز أو البرمجة لإنشاء أو تعديل الأذونات.
2. التحكم في الوصول المتكيف مع المخاطر (RAdAC)
يعد RAdAC أحد أفضل نماذج التحكم في الوصول للمسؤولين الذين لديهم اهتمام بتحليل التهديدات والهجمات. بالإضافة إلى تقييم تصريح الشخص وصلاحيته، تُستخدم أيضًا مقاييس أمان فريدة لتحديد الوصول. يمكن أن تتضمن هذه المقاييس نوع الاتصال الذي يستخدمه الشخص لطلب الوصول، وموقعه الفعلي، وطريقة المصادقة المستخدمة. يمكن أن يكون هذا نموذجًا مثاليًا للمؤسسات التي يطلب فيها العديد من الموظفين الوصول إلى معلومات حساسة للغاية بطرق مختلفة وحيث يختلف أمن المعلومات وفقًا لعوامل مختلفة. ومع ذلك، مثل طرق التحكم في الوصول التفصيلي الأخرى، قد يستغرق تكوين هذا النموذج وتعديله الكثير من العمل لإنجازه بشكل صحيح. ونظرًا لأن RAdAC يعني أن الإذن يمكن أن يتغير بناءً على الظروف الأمنية المتغيرة، فإنه ليس دائمًا الأسهل بالنسبة للمستخدمين النهائيين.
3. التحكم في الوصول المستند إلى الهوية (IBAC)
هذا نموذج مباشر للغاية للتحكم في الوصول يمكن استخدامه لأنظمة المعلومات التي تواجه المستهلك. يتم إنشاء قائمة وصول تحكم تحدد الأذونات استناداً إلى الهوية الفردية للشخص، وتحدد ما هو مسموح وما هو غير مسموح له بالوصول إليه على وجه الخصوص. يتم ذلك غالبًا باستخدام معرف تسجيل الدخول وكلمة المرور ولكن يمكن أن يتضمن بصمات الأصابع أو بيانات التعرف على الوجه للموافقة على الوصول. يمكن أن يكون نظام IBAC خيارًا جيدًا للأنظمة التي يطلب فيها شخص واحد الوصول إلى كائن واحد منخفض الأمان؛ ومع ذلك، فإن بيانات بصمات الأصابع وبيانات التعرف على الوجه عرضة للتغيير والمخاوف المتعلقة بالخصوصية والتحيز، كما أن أنظمة كلمات المرور تضع المزيد من المسؤولية على المستخدم النهائي، مما يسبب أحيانًا “إرهاق كلمة المرور”.
4. التحكم في الوصول المستند إلى المؤسسة (OrBAC)
مثل نموذج التحكم في الوصول المستند إلى الدور، يأخذ OrBac أيضًا في الاعتبار الدور المعين للموضوع، والإجراء الذي يتم تنفيذه، والأذونات المرتبطة بالعنصر. ومع ذلك، قبل تقييم هذه العوامل الأخرى، يأخذ OrBAC أيضًا في الاعتبار مستوى إضافي في أعلى التسلسل الهرمي: المؤسسة المعلنة. يمكن أن يكون هذا خيارًا جيدًا للشركات التي تشكل جزءًا من شركة أم أكبر مع العديد من الشركات التابعة التي تتشارك جميعها نفس الوصول والمعلومات. مع وجود العديد من مستويات المعلومات المختلفة التي تتم مشاركتها في هياكل الشركات مثل هذه، يمكن أن تساعد طريقة التحكم في الوصول هذه في إدارة الأذونات دون إنشاء نماذج فريدة لكل جزء من مؤسستك الأكبر.
التحكم في الوصول المنطقي مقابل التحكم في الوصول المادي
في الأمن السيبراني، غالباً ما يُنظر إلى نماذج التحكم في الوصول هذه من خلال عدسة الشبكات وأنظمة المعلومات. ومع ذلك، فإن اختبار CISSP شامل للغاية، ولكي تجتازه، ستحتاج إلى أن تتذكر خلال الاختبار أن هناك ضوابط وصول منطقية ومادية على حد سواء، وغالباً ما يتم استخدامهما معاً. يميل الوصول المنطقي إلى تغطية الأصول الرقمية، مثل الشبكات والبيانات الرقمية والبرامج وملفات النظام. عادةً ما تكون أذونات الوصول المنطقي محكومة بقوائم التحكم في الوصول وتعيينات الأذونات التي تحلل الشخص الذي يقدم الطلب، والشيء المطلوب، وأحيانًا عوامل أخرى مثل أمان الاتصال والدور وموقع IP.
ومع ذلك، فإن إدارة أنظمة الوصول المادي أمر بالغ الأهمية أيضاً لمساعدة المؤسسة على العمل بسلاسة. يتعلق الوصول المادي بتوفير إمكانية الوصول إلى المباني وغرف محددة ومواقع خارج الموقع والأصول المادية مثل أجهزة الكمبيوتر والمعدات الأخرى. غالبًا ما تستخدم طرق التحكم في الوصول المادي أدوات مصادقة أكثر مباشرة مثل بطاقات المفاتيح الإلكترونية والرموز الرقمية الشخصية والأقفال والأقفال الشائعة ذات الدبابيس والأقفال القابلة للفتح.
تُعد القياسات الحيوية شكلاً شائعاً بشكل متزايد من أشكال التحكم في الوصول المادي، وقد أصبحت جزءاً ملحوظاً من التحكم في الوصول الذي تستخدمه Apple ID. يتضمن الوصول البيومتري مسح وجوه الأشخاص أو بصمات الأصابع أو قزحية العين أو شبكية العين أو الأصوات لتأكيد الهوية ومستويات الوصول. على الرغم من أن القياسات الحيوية غالباً ما تكون أكثر أماناً ودقة من طرق الوصول المنطقية، إلا أنها تمثل بعض العقبات أمام المستخدمين النهائيين بسبب متطلبات الاتساق. على سبيل المثال، يتطلب التعرف السليم على الوجه وبصمات الأصابع إضاءة مناسبة، ويعتمد التعرف الصوتي على بيئة هادئة للعمل. بالإضافة إلى ذلك، يعتمد التعرف على الوجه وقزحية العين والتعرف على الصوت على الاتساق، ولا يمكن أن يبدو كل عضو في المؤسسة بنفس الشكل أو الصوت من يوم لآخر.
احصل على شهادة CISSP مضمونة!
احصل على شهادة CISSP مضمونة!
سواء في الاختبار أو في سيناريوهات الحياة الواقعية، سيعتمد نوع نموذج التحكم في الوصول الذي تستخدمه على حجم المؤسسة ومستوى الأمان المطلوب ونوع العناصر التي ستعمل معها. في بعض الأحيان، تكون المرونة بالنسبة للمستخدمين النهائيين أكثر قيمة في المؤسسات من تشديد الأمان، وفي أحيان أخرى يكون العكس هو الصحيح.
تجمع العديد من المؤسسات بين طريقتين أو أكثر من طرق التحكم في الوصول في نموذج هجين يناسب احتياجاتها بشكل مثالي. ومع نمو المؤسسة وتغيّرها، تتغيّر أشكال التحكم في الوصول، حيث تنتقل من النطاق الواسع إلى النطاق الدقيق. ومع ذلك، فإن المعرفة التي ستكتسبها من اجتياز اختبار شهادة CISSP ستثبت أن لديك المهارات اللازمة للتكيف مع هذا المشهد المتغير باستمرار.
لمعرفة المزيد، اطلع على دورات التحكم في الوصول التي تقدمها SPOTO أو سجل في تدريب ذاتي أو معسكر تدريبي مباشر في CISSP.