روشهای اعمال کنترل دسترسی

انتخاب شیوهٔ پیاده‌سازی یک سیستم کنترل دسترسی به عوامل متعددی وابسته است؛ از جمله میزان حساسیت و اهمیت محل مورد نظر، بودجه‌ای که کارفرما برای مدیریت مجموعهٔ خود در نظر گرفته، مختصات فیزیکی مکان، هدف اصلی از اعمال کنترل و ماهیت کلی فرآیند نظارتی. در ادامه، به ابعاد گوناگون این فرآیند از زمان پیدایش تا حال حاضر که مبتنی بر هوش مصنوعی می باشد خواهیم پرداخت:

- کنترل دسترسی دستی:

بارزترین ویژگی این نوع کنترل دسترسی، حضور افرادی مانند دربان یا نگهبان است که به صورت فیزیکی و با چشم، هویت افراد ورودی را بررسی کرده و بر اساس ضوابط و سیاست‌های تعیین‌شده توسط کارفرما، اجازهٔ ورود یا عدم ورود را صادر می‌کنند.

- کنترل دسترسی فیزیکی:

در مکان‌هایی که نه هویت افراد حائز اهمیت است و نه نیاز مبرمی به نظارت دقیق بر تردد وجود دارد، می‌توان از سیستم‌های کنترل دسترسی فیزیکی بهره گرفت. این سیستم‌ها با به‌کارگیری ابزارهایی مانند درهای گردان، گیت‌های کوتاه‌قامت یا تمام‌قد و موانع حسگر عمل می‌کنند. این شیوه بیشتر در محیط‌هایی با الزامات امنیتی پایین‌تر مورد استفاده قرار می‌گیرد.

- کنترل دسترسی مکانیکی:

این روش از دیرباز مورد استفاده بوده و بر فناوری‌های مکانیکی برای مدیریت ورود و خروج تکیه دارد. کنترل دسترسی مکانیکی که معمولاً در خانه‌ها و مغازه‌ها به کار می‌رود، از امنیت نسبتاً پایینی برخوردار است؛ چرا که هر فردی که کلید مکانیکی مربوطه را در اختیار داشته باشد، می‌تواند وارد محل شود و ماهیت اشخاص در این رویکرد اصلاً مطرح نیست.

- کنترل دسترسی الکترونیکی:

استفاده از تجهیزات الکترونیکی برای اعمال کنترل دسترسی، که از حدود پنجاه سال پیش جایگزین روش‌های دستی شده، مزایای چشمگیری را برای کاربران فراهم آورده است. از جمله این مزایا می‌توان به دقت بالا، سرعت عمل و امنیت بیشتر این تجهیزات اشاره کرد. امروزه بسیاری از دستگاه‌های الکترونیکی کنترل دسترسی که به بازار عرضه می‌شوند، این قابلیت را دارند که فرآیندهای ورود و خروج افراد را ثبت کرده و گزارش‌های نرم‌افزاری دقیقی ارائه دهند. دستگیره‌های الکترونیکی، قفل‌های دیجیتال، قفل‌های برقی مگنتی، و قفل‌های کمدی باشگاهی یا استخری که به صورت مستقل یا از طریق یک دستگاه کنترل دسترسی مرکزی عمل می‌کنند، نمونه‌هایی از این نوع کنترل هستند. همچنین، گیت‌های کنترل تردد الکترونیکی، راهبندهای الکترونیکی، تجهیزات مرتبط با فناوری RFID مانند ریدرها، دستگاه‌های بازرسی ایکس‌ری نفررو یا خودرو نیز از جمله ابزارهای این دسته محسوب می‌شوند.

در روش‌های بیومتریک این رویکرد هدف اصلی، شناسایی دقیق هویت افرادِ دارای مجوز دسترسی به یک منبع خاص میباشد. امروزه، شیوه‌های پیشرفته تشخیص علائم حیاتی، با بهره‌گیری از هوش مصنوعی و الگوریتم‌های پیچیده، به شناسایی دقیق ماهیت افراد می‌پردازند. به کمک این تجهیزات، تشخیص‌هایی مانند شناسایی چشم (اسکن عنبیه یا شبکیه)، اثر انگشت و کف دست با دقتی بی‌نظیر انجام می‌پذیرد. این سیستم‌ها نه تنها امکان صدور یا عدم صدور مجوز دسترسی را فراهم می‌کنند، بلکه قابلیت ارائه گزارش‌های جامع و روزانه از ترددها و دسترسی‌ها را نیز به کارفرما میسر می‌سازند.

در روش‌های غیربیومتریک در این شیوه، تمرکز اصلی کارفرما بر شناسایی دقیق تک‌تک افراد نیست؛ بلکه اهدافی نظیر برقراری نظم، مدیریت پرداخت‌های مالی و جمع‌آوری آمارهای روزانه از ترددها و دسترسی‌ها مدنظر قرار دارد. پیاده‌سازی این سیستم‌ها از طریق فناوری‌های گوناگونی امکان‌پذیر است، از جمله RFID در سه فرکانس ۱۲۵ کیلوهرتز، مایفر و UHF، فناوری بارکد یا کیوآر کد.

سیستم‌های کنترل دسترسی، صرف‌نظر از نوع (بیومتریک یا غیربیومتریک)، به دو شکل آفلاین و آنلاین قابل پیاده‌سازی هستند.

سیستم دسترسی آفلاین: در این حالت، دستگاه کنترل دسترسی به صورت مستقل عمل می‌کند. مجوزهای دسترسی پیش‌تر به صورت انفرادی روی دستگاه تعریف شده‌اند و تخلیه اطلاعات معمولاً از طریق درگاه‌های USB یا روش‌های مشابه صورت می‌گیرد.

سیستم دسترسی آنلاین: برخلاف سیستم آفلاین، این نوع امکان دسترسی لحظه‌ای به اطلاعات را از طریق پورت شبکه فراهم می‌آورد. این ویژگی اجازه می‌دهد تا کنترل و نظارت بر مجوزهای دسترسی به صورت نرم‌افزاری انجام شود. سیستم‌های آنلاین بهترین گزینه برای نظارت آنی و یکپارچه‌سازی با دیگر تجهیزات امنیتی مانند سیستم‌های هشدار، کنترل آسانسور و موارد مشابه به شمار می‌روند.

 

- کنترل دسترسی مکاترونیکی:

این سیستم کنترل دسترسی، تلفیقی از رویکردهای الکترونیکی و مکانیکی است که پیش‌تر به آن‌ها اشاره شد. هدف اصلی آن، فراهم آوردن امنیتی چندلایه برای مدیریت دسترسی‌هاست و غالباً در مراکز بسیار حساس با الزامات امنیتی بالا به کار گرفته می‌شود.

 

- کنترل دسترسی ترکیبی:

در کنترل دسترسی ترکیبی، شناسایی افراد از طریق ادغام روش‌های گوناگونی که پیش‌تر ذکر شد، امکان‌پذیر است. به عنوان مثال، در محیط‌هایی با نیازهای امنیتی بسیار بالا، می‌توان از ترکیبی از روش تشخیص اثر انگشت و کارت هوشمند RFID بهره برد. در این سیستم‌ها، تشخیص دقیق هویت افراد از اهمیت ویژه‌ای برخوردار است تا اطمینان حاصل شود که دسترسی صادر شده صرفاً توسط فرد مشخص و مجاز مورد استفاده قرار می‌گیرد. روش احراز هویت را احراز هویت چندگانه نیز اتلاق می شود.

 

روش های اعمال کنترل دسترسی مدرن :

امروزه؛ کنترل دسترسی یک فرآیند امنیتی است که تعیین می کند کاربران مجاز به مشاهده یا استفاده از منابع فیزیکی یا داده ها ، در یک محیط محاسباتی هستند یا خیر. بدون یک سیستم کنترل دسترسی دقیق، سازمان ها در معرض خطرات بزرگی مانند نشت اطلاعات، حملات سایبری و از دست دادن اعتماد مشتریان قرار می گیرند.

پیاده سازی روش های اعمال کنترل دسترسی مدرن این امکان را می دهد تا ریسک های داخلی و خارجی را به حداقل رسانده و بسته به اندازه سازمان، حساسیت داده ها و ساختار عملیاتی روش مناسلبی را انتخاب نمود و با دیدی بازتر، بهترین استراتژی امنیتی را برای یک سازمان انتخاب نمود که در زیر به این روشها اشاره می گردد:

1-کنترل دسترسی اختیاری یا DAC (Discretionary Access Control)

مدل کنترل دسترسی اختیاری یکی از قدیمی ترین و پایه ای ترین روش های مدیریت دسترسی است. در این روش، مالک داده یا منبع تصمیم می گیرد که چه کسانی اجازه دسترسی به آن را داشته باشند. به عبارت دیگر، این مالک است که مشخص می کند چه افرادی به چه منابعی و در چه سطحی دسترسی داشته باشد .

انعطاف پذیری بالا ، سادگی در اجرا و کنترل غیر متمرکز از  ویژگی های اصلی مدل DAC بوده ولی از نظر امنیتی ضعیف ترین مدل محسوب می شود. بزرگترین مشکل این است که اگر حساب کاربری یک مالک فایل هک شود، نفوذگر به تمام اختیارات او برای تغییر دسترسی ها دست پیدا می کند. همچنین، کنترل بر روی نحوه انتشار داده ها پس از دسترسی اولیه بسیار دشوار است.

 

2-کنترل دسترسی اجباری یا MAC (Mandatory Access Control)

در نقطه مقابل مدل اختیاری، کنترل دسترسی اجباری قرار دارد که سخت گیرانه ترین روش اعمال کنترل دسترسی است. در این مدل، برخلاف DAC، کاربران هیچ اختیاری در تعیین دسترسی ها ندارند. تمام تصمیمات توسط یک مرجع مرکزی یا مدیر سیستم و بر اساس سیاست های امنیتی کلان اتخاذ می شود. این روش معمولاً در محیط هایی که امنیت در آن ها حیاتی است، مانند مراکز نظامی، سازمان های جاسوسی و نهادهای دولتی حساس استفاده می شود.

در مدل MAC، به هر کاربر و هر منبع (فایل، پایگاه داده، دستگاه) یک برچسب امنیتی اختصاص داده می شود. این برچسب ها شامل سطوح حساسیت (مانند محرمانه، خیلی محرمانه، سری) هستند. یک کاربر تنها زمانی می تواند به یک منبع دسترسی پیدا کند که سطح تاییدیه امنیتی او با سطح حساسیت آن منبع مطابقت داشته باشد.

 

3-کنترل دسترسی نقش محور یا RBAC (Role-Based Access Control)

مدل کنترل دسترسی نقش محور امروزه به عنوان محبوب ترین و پرکاربردترین روش در دنیای کسب و کار شناخته می شود. در این روش، دسترسی ها نه بر اساس هویت فردی، بلکه بر اساس نقشی که فرد در سازمان دارد تعریف می شوند و هر یک از این نقش ها به مجموعه ای از دسترسی های مشخص نیاز دارند.

مدیریت آسان تر، انطباق با ساختار سازمانی و امنیت بالاتر در هنگام جابجایی نیروها از مزایای این روش می باشد . استفاده از RBAC باعث می شود که اصل حداقل امتیاز (Least Privilege) به خوبی رعایت شود؛ یعنی هر فرد فقط به اندازه ای که برای انجام وظایف شغلی اش لازم است، به منابع دسترسی خواهد داشت.

 

4-کنترل دسترسی ویژگی محور یا ABAC (Attribute-Based Access Control)

با پیچیده تر شدن سیستم ها، نیاز به روش های هوشمندتر و منعطف تر احساس شد که منجر به ظهور مدل ABAC گردید. این مدل پیشرفته ترین روش اعمال کنترل دسترسی است که تصمیمات را بر اساس مجموعه ای از ویژگی ها (Attributes) اتخاذ می کند. این ویژگی ها می توانند شامل موارد زیر باشند:

ویژگی های کاربر: نام، سمت، بخش، سابقه کار، تاییدیه امنیتی.

ویژگی های منبع: نوع فایل، تاریخ ایجاد، سطح حساسیت، مالک.

ویژگی های محیطی: زمان دسترسی (مثلاً فقط در ساعات اداری)، مکان جغرافیایی (آدرس IP)، نوع دستگاه (موبایل یا لپ تاپ سازمانی).

مدل ABAC به مدیران اجازه می دهد تا قوانین بسیار دقیق و شرطی وضع کنند.

 

5-کنترل دسترسی مبتنی بر تاریخچه (History-Based Access Control) 

در این روش، فعالیت های قبلی کاربر بررسی می شود تا مشخص شود آیا درخواست فعلی و مجوزهای قبلی صادر شده برای یک فرد ایمن است یا خیر. تا بر اساس آن نسبت به افزایش یا کاهش سطح دسترسی اقدام گردد .

 امروزه بسیاری از سازمان ها از مدل های ترکیبی استفاده می کنند تا از مزایای چندین روش به طور همزمان بهره مند شوند. برای مثال، ترکیب RBAC و ABAC می تواند تعادلی عالی میان سادگی مدیریت و دقت در امنیت ایجاد کند.

 

نتیجه گیری

هزینه پیاده سازی، سهولت مدیریت و سطح امنیت مورد نیاز سه فاکتور مهم برای انتخاب روش اعمال کنترل دسترسی می باشد .انتخاب میان روش های اعمال کنترل دسترسی کار ساده ای نیست و نیاز به تحلیل دقیق نیازهای سازمان دارد. در یک سازمان کوچک با تعداد کمی کارمند مدل  DAC ممکن است به دلیل سادگی کافی باشد. اما اگر در یک شرکت بزرگ با صدها کارمند فعالیت می کنید، قطعاً RBAC  بهترین گزینه برای کاهش پیچیدگی های مدیریتی است. در صورتی که سازمان شما با داده های فوق سری سروکار دارد، MAC  تنها گزینه مطمئن خواهد بود. اما برای سازمان های مدرنی که از دورکاری پشتیبانی می کنند و نیاز به امنیت هوشمند دارند،  ABAC به دلیل در نظر گرفتن پارامترهای محیطی (مانند موقعیت مکانی و زمان) بهترین عملکرد را دارد.

امنیت یک مسیر مداوم است که با مدیریت صحیح دسترسی ها هموار می شود و ضرورت دارد متخصصان امنیت با ارزیابی دارایی های اطلاعاتی سازمان ترکیبی از روشهای فوق را بکار گرفته تا احتمال نفوذ و سوء استفاده و خسارتهای مالی و اعتباری به سازمان به حداقل برسد .

 

در مورد اکسس کنترل بیشتر بدانیم :

سیستم‌های کنترل تردد و انواع آن

اجزای تشکیل‌دهنده سیستم‌های اکسس کنترل

ضرورت، مزایا و نکات مهم در انتخاب سیستم اکسس کنترل

فناوری Visible Light در تشخیص چهره دستگاه‌های اکسس کنترل

پورت Wiegand در اکسس کنترل چیست و چه کاربردی دارد؟

المان‌ها یا عناصر اصلی تشکیل‌دهنده سیستم‌های کنترل دسترسی

معرفی قابلیت‌های مهم دستگاه اکسس کنترل

تفاوت مفهوم اکسس کنترل ، تفاوت مفهوم اکسس کنترل، احراز هویت و مجوز در یک سیستم کنترل دسترسی

ویژگی‌های یک سیستم اکسس کنترل مدرن