التحكم بالوصول Access Control

من SalamaTech Wiki سلامتك ويكي
اذهب إلى: تصفح، ابحث

مقدمة

يقصد بالتحكم بالوصول Access Control في مجال أمن المعلومات تحديد من يحق له الوصول إلى مكان أو مورد ما وتحت أية شروط. الوصول إلى المورد قد يعني الدخول (فيزيائيا)، معاينة، استخدام أو استهلاك مورد معين... الإذن الذي يتحيح للشخص الوصول إلى المورد يسمى بالتفويض Authorization والتحقق من شخصية هذا الشخص تسمى بالمصادقة Authentication.

فمثلا يقوم الحرس على بوابة مبنى وزارة الداخلية بالسماح للمخولين فقط بالدخول إلى المبنى. بكلمات أخرى، يقوم الحرس على بوابة وزارة الداخلية بالتحكم بالوصول Access Control إلى داخل المبنى. يحمل المخولون بالدخول بطاقة خاصة Identification Card تتيح لهم الدخول إلى المبنى. يقوم الحرس بالتحقق من شخصية حامل الهوية، أي بالمصادقة Authentication على شخصية حامل الهوية والسماح له بدخول المبنى أي إعطائه التفويض Authorization، أو عدم السماح له Access Denied في حال فشلت المصادقة Authentication.

فالحرس في هذه الحالة جزء من منظومة التحكم بالدخول Access Control Framework إلى مبنى الوزارة. يضاف إلى ذلك السور حول مبنى الوزارة الذي يجبر الراغبين في الدخول إلى عبور البوابة التي يديرها الحرس. والبطاقة Identification Card والجهة التي تصدرها ضمن الوزارة، والتقنيات المستخدمة للتأكد من استحالة تزوير البطاقة واستحالة انتحال الشخصية. والإجراءات المتبعة لإدارة منح البطاقات للموظفين الجدد واستردادها من الموظفين المنتهية خدمتهم كلها اجزاء من منظومة التحكم بالوصول Access Control Framework.

إذا تشمل منظومة التحكم بالموارد Access Control Framework السياسات Policies، الإجراءات Procedures والآليات Mechanisms والتقنيات Technology والطرق Methods اللازمة لضمان وصول المخول لهم فقط إلى الموارد المحددة فقط وضمان عدم وصول إي شخص آخر إلى أي مورد ليس مخولا للوصول إليه. وتشمل إدارة المنظومة أيضا مراقبتها Monitoring تقييمها Evaluation وفحصها Auditing وتعديلها Amending وتدريب Training العاملين ضمن المنظومة.

التحكم بالوصول في مجال أمن المعلومات الرقمية

في مجال أمن المعلومات الرقمية والانترنت، نجد موضوع التحكم بالوصول Access Control في كل مكان. فمثلا واجهة تسجيل الدخول Login على جيميل Gmail أو على فيسبوك Facebook هي للتحكم بالوصول Access Control إلى الحساب على الموقع. فلا يمكنك الوصول إلى حسابك إلا بعد أن التأكد من أنك فعلا صاحب الحساب عن طريق اسم المستخدم وكلمة السرّ Password. وإن قمت بإدخال اسم المستخدم وكلمة السرّ الصحيحين فيمكنك الوصول إلى حسابك على الموقع. أي أنك تحصل على التفويض Authorization الازم لمعاينة حسابك واستخدامه.

طبعا نلاحظ هنا أنه من السهل على شخص انتحال شخصية شخص آخر إن عرف اسم المستخدم خاصته وكلمة سره. إذا نلاحظ أيضا أن التحكم بالموارد عن طريق استخدام كلمات السرّ Passwords طريقة غير فعالة لمنع انتحال الشخصية. لذلك تقدم معظم الشركات على الانترنت ميزة التحقق بخطوتين Two Factory Authentication أو ميزة التحقق بخطوات متعددة Multi Factory Authentication MFA.

صفحات فيسبوك Facebook Pages مثال آخر. فإن كان المستخدم مديرا لصفحة فيسبوك Facebook Page Admin معينة فيمكن له التحكم بالصفحة وإعداداتها. أما مستخدموا فيسبوك الآخرون الذين لا يملكون تفويضا لإدارة الصفحة لا يستطيعون ذلك. يمكن لمدير الصفحة أن يجعل مستخدما آخر مديرا إضافيا للصفحة. بالتالي عندما يرغب هذا الشخص بإدارة تلك الصفحة يقوم موقع فيسبوك بمعاينة إذا كان هذا المستخدم مديرا للصفحة، فإن كان مديرا للصفحة يعطيه فيسبوك تفويضا Authorization لإدارتها والتحكم بها، أما إن لم يكن مديرا للصفحة فيمنع فيسبوك المستخدم من إدارتها.

المكونات الأساسية للتحكم بالوصول للموارد Principle Components of Access Control

Under Construction Non Commercial Reuse White Blue.png

هذه الفقرة ما تزال قيد الانشاء

نماذج التحكم بالوصول للموارد Access Control Models

هناك نماذج كثيرة لتطبيق نظم التحكم بالوصول للموارد، نذكر هنا أكثرها شيوعا:

تحكم اختياري بالوصول للموارد (Discretionary Access Control (DAC

أيضا يسمى بالتحكم التقديري بالوصول للموارد. في هذا النوع الذي يسمى اختصارا DAC، يحدد صاحب المورد من يحق له الوصول إلى المورد وحسب أي معايير. فعلى سبيل المثال، ضمن هذا النموذج يستطيع موظف في قسم العلاقات العامة مشاركة ملف قام بإنشائه عن سياسة المؤسسة الاعلامية في الحالات الطارئة، مع زملائه في المؤسسة. أي أنه بطفته مالكا للملف، يعطي حق الوصول إليه ومعاينته إلى زملائه في المؤسسة.

تحكم بالوصول للموارد مبني على الدور (Role-Based Access Control (RBAC

في هذا النموذج الذي يسمى اختصارا RBAC، يتم تحديد حقوق الوصول إلى الموارد بحسب التوصيف الوظيفي للشخص ضمن المؤسسة. على سبيل المثال، بحسب هذا النموذج، لا يملك موظف الموارد البشرية حق إنشاء حساب لموظف آخر على الشبكة، فهذه مهمة موظفي القسم التقني وهم فقط يملكون إمكانية فعل ذلك. بالمقابل لا يملك موظفوا القسم التقني حق الوصول إلى بيانات الموظفين فهذا حق مرتبط بوظيفة قسم الموارد البشرية.

تنقّل في الكتيب eBook Navigation

التالي: التشفير Encryption

أساسيات في الأمن الرقمي Information Security Essentials

الفهرس Index

الفهرس الكامل Full Index

اقرأ أيضا See Also

المصادقة Authentication

كلمات السرّ Passwords

التحقق بخطوتين Two Factor Authentication

التفويض Authorization

مراجع References

Access Control on Wikipedia