کنترل های فنی در واقع لایه سوم از لایه های کنترل دسترسی به شمار می روند. کنترل های فنی ابزارهاي نرمافزاري هستند كه براي محدود كردن دسترسي به اشيا مورد استفاده قرار ميگيرند. اين كنترلها اجزاي اصلي سيستم عامل، افزونههاي امنيتي، برنامههاي كاربردي، تجهيزات شبكه، پروتكلها، مكانيزمهاي رمزنگاري و ماتريسهاي كنترل دسترسي به شمار ميروند. اين كنترلها در لايههاي مختلف شبكه و سيستمها اعمال شده و رابطهاي سينرژيك بين آنها باعث ميشود تا دسترسيهاي غيرمجاز به منابع شبكه محدود شوند. براين اساس يكپارچگي، دسترسپذيري و محرمانگي حفظ ميشوند. در ادامه برخي از كليديترين كنترلهاي فني معرفي شدهاند.
دسترسي به سيستم
در يك سازمان انواع روشهاي مختلف براي دسترسي به سيستمها ممكن است تعريف و پيادهسازي شوند. اگر يك سازمان از معماري MAC استفاده كند. احراز هويت و تعيين دسترسي كاربران براساس سطوح طبقهبندي منابع اطلاعاتي سازمان انجام ميشود. در صورتيكه معماري DAC در سازمان استقرار يابد ساز و كار كنترل دسترسي بررسي مينمايد كه دسترسي فرد مورد نظر به منبع اطلاعاتي تعريف شده است يا خير. حساسيتها دادهاي، سطح احراز هويت كاربران و دسترسيها و حقوق كاربران به عنوان كنترلهاي منطقي براي دسترسي به منابع استفاده ميشود.
كنترلهاي فني ميتوانند به شكلهاي مختلفي پيادهسازي شوند. تركيب شناسه كاربري و رمز عبور، پيادهسازي Kerberos، بيومتريك، كليد زيرساخت عمومي، RADIUS، TACACS يا احراز هويت از طريق كارت هوشمند برخي از راهكارهاي فني براي كنترل دسترسي به سيستم باشند. زماني كه كاربر احراز هويت انجام ميشود ميتواند به منابع اطلاعاتي سيستم دسترسي داشته باشد. هريك از اين گزينههاي فني ميتوانند به تنهايي يا تركيبي مورد استفاده قرار گيرند.
معماري شبكه
معماري يك شبكه ميتواند از طريق بكارگيري كنترلهاي منطقي چندگانه براي محافظت از منابع اطلاعاتي تعريف و پيادهسازي شود. زماني كه يك شبكه به نحو مطلوبي از لحاظ فيزيكي تفكيك شود ميتواند از لحاظ منطقي نيز با تعريف محدودههاي مشخصي از IP و Subnetها از يكديگر جدا شود. چنين گزينههايي جريانهاي اطلاعاتي را در شبكه جداسازي ميكنند. البته در اين حال اينكه چگونه يك بخش از شبكه با بخش ديگر در ارتباط است حائز اهميت ميباشد. تعریف شبکه های محلی مجازی (Virtual Local Area Networks) و همچنین تعریف محدوده های DMZ از جمله راهکارهای فنی برای تفکیک منطقی شبکه می باشند. DMZ محدوده ای است که خدمات مورد نیاز کاربران بیرونی سازمان در آنها استقرار یافته و آنها تنها می توانند به این محدوده دسترسی داشته باشند. معمولاً بین DMZ و سایر بخش های داخلی شبکه تفکیک انجام می شود تا کاربران بیرونی نتوانند به محیط داخلی شبکه دسترسی داشته باشند. چنین امری تهدیدهای احتمالی از سوی هکرها را کاهش می دهد.
دسترسي به شبكه
سيستمها داراي مكانيزمهايي هستند كه مشخص ميكنند افراد چگونه ميتوانند بدانها دسترسي داشته باشند يا اينكه چگونه دسترسي آنها محدود ميشود. شبكهها نيز در حالت منطقي داراي مكانيزمهاي مشابهي هستند. براي روترها، سوييچها، فايروالها و ساير تجهيزات شبكه نيز کنترل های فنی وجود دارند كه دسترسي به آنها را محدود ميسازند. اگر هكري از طريق اينترنت بخواهد به يك كامپيوتر به صورت غيرمجاز دسترسي داشته باشد بايد از كنترلهايي كه براي فايروال، سوييچها و روترها تنظيم شدهاند عبور كند. هر يك از اين تجهيزات داراي كنترلهاي خاص خود هستند. دسترسي به بخشهاي مختلف يك شبكه نيز از الگويي مشابه با اين پيروي ميكند. روترها و فايروالها تضمين ميكنند كه ترافيك چگونه بين اين بخشها براساس محدوديتهاي تعريف شده جريان مييابند.
رمزنگاري و پروتكلها
رمزنگاری نیز بخشی از کنترل های فنی به شمار می رود. اين كنترلها از اطلاعات تبادل يافته بر روي يك شبكه محافظت ميكنند. اين كنترلها تضمين ميكنند كه اطلاعات توسط موجوديت خاص دريافت شده است و در جريان انتقال نيز دستكاري نشده است. اين كنترل منطقي از يكپارچگي و محرمانگي دادهها محافظت ميكند و مسيرهاي خاصي را براي انتقال داده ايجاد ميكنند.
پایش
ابزارهاي پایش، كنترلهاي منطقي هستند كه فعاليتها را در يك شبكه يا تجهيزات شبكه را پايش ميكنند. مميزي به صورت مستمر عملكردي را در شبكه انجام نميدهد ليكن مديران شبكه را در خصوص اتفاقاتي كه در شبكه رخ داده است مطلع ميسازد. اين اتفاقات ميتوانند وقايعي از جمله يك اختلال در شبكه و هشدارهاي به مديران شبكه باشند. اين اطلاعات ميتوانند براي شناسايي نقاط ضعف ساير كنترلها مورد استفاده قرار ميگيرند و به مديران شبكه كمك ميكنند تا تصميمهاي مناسبي را براي تضمين سطح امنيتي مناسب اتخاذ كنند.