الفبای کنترل دسترسی برای حسابرسان داخلی، کنترل های فنی

کنترل های فنی در واقع لایه سوم از لایه های کنترل دسترسی به شمار می روند. کنترل های فنی ابزارهاي نرم‌افزاري هستند كه براي محدود كردن دسترسي به اشيا مورد استفاده قرار مي‌گيرند. اين كنترل‌ها اجزاي اصلي سيستم عامل، افزونه‌هاي امنيتي، برنامه‌هاي كاربردي، تجهيزات شبكه، پروتكل‌ها، مكانيزم‌هاي رمزنگاري و ماتريس‌هاي كنترل دسترسي به شمار مي‌روند. اين كنترل‌ها در لايه‌هاي مختلف شبكه و سيستم‌ها اعمال شده و رابطه‌اي سينرژيك بين آنها باعث مي‌شود تا دسترسي‌هاي غيرمجاز به منابع شبكه محدود شوند. براين اساس يكپارچگي، دسترس‌پذيري و محرمانگي حفظ مي‌شوند. در ادامه برخي از كليدي‌ترين كنترل‌هاي فني معرفي شده‌اند.

 

دسترسي به سيستم

در يك سازمان انواع روش‌هاي مختلف براي دسترسي به سيستم‌ها ممكن است تعريف و پياده‌سازي شوند. اگر يك سازمان از معماري MAC استفاده كند. احراز هويت و تعيين دسترسي كاربران براساس سطوح طبقه‌بندي منابع اطلاعاتي سازمان انجام مي‌شود. در صورتي‌كه معماري DAC در سازمان استقرار يابد ساز و كار كنترل دسترسي بررسي مي‌نمايد كه دسترسي فرد مورد نظر به منبع اطلاعاتي تعريف شده است يا خير. حساسيت‌ها داده‌اي، سطح احراز هويت كاربران و دسترسي‌ها و حقوق كاربران به عنوان كنترل‌هاي منطقي براي دسترسي به منابع استفاده مي‌شود.
كنترل‌هاي فني مي‌توانند به شكل‌هاي مختلفي پياده‌سازي شوند. تركيب شناسه كاربري و رمز عبور، پياده‌سازي Kerberos، بيومتريك، كليد زيرساخت عمومي، RADIUS، TACACS يا احراز هويت از طريق كارت هوشمند برخي از راهكارهاي فني براي كنترل دسترسي به سيستم باشند. زماني كه كاربر احراز هويت انجام مي‌شود مي‌تواند به منابع اطلاعاتي سيستم دسترسي داشته باشد. هريك از اين گزينه‌هاي فني مي‌توانند به تنهايي يا تركيبي مورد استفاده قرار گيرند.

 

معماري شبكه

معماري يك شبكه مي‌تواند از طريق بكارگيري كنترل‌هاي منطقي چندگانه براي محافظت از منابع اطلاعاتي تعريف و پياده‌سازي شود. زماني كه يك شبكه به نحو مطلوبي از لحاظ فيزيكي تفكيك شود مي‌تواند از لحاظ منطقي نيز با تعريف محدوده‌هاي مشخصي از IP و Subnetها از يكديگر جدا شود. چنين گزينه‌هايي جريان‌هاي اطلاعاتي را در شبكه جداسازي مي‌كنند. البته در اين حال اينكه چگونه يك بخش از شبكه با بخش ديگر در ارتباط است حائز اهميت مي‌‌باشد. تعریف شبکه های محلی مجازی (Virtual Local Area Networks) و همچنین تعریف محدوده های DMZ از جمله راهکارهای فنی برای تفکیک منطقی شبکه می باشند. DMZ محدوده ای است که خدمات مورد نیاز کاربران بیرونی سازمان در آنها استقرار یافته و آنها تنها می توانند به این محدوده دسترسی داشته باشند. معمولاً بین DMZ و سایر بخش های داخلی شبکه تفکیک انجام می شود تا کاربران بیرونی نتوانند به محیط داخلی شبکه دسترسی داشته باشند. چنین امری تهدیدهای احتمالی از سوی هکرها را کاهش می دهد.

 

دسترسي به شبكه

سيستم‌ها داراي مكانيزم‌هايي هستند كه مشخص مي‌كنند افراد چگونه مي‌توانند بدان‌ها دسترسي داشته باشند يا اينكه چگونه دسترسي آنها محدود مي‌شود. شبكه‌ها نيز در حالت منطقي داراي مكانيزم‌هاي مشابهي هستند. براي روترها، سوييچ‌ها، فايروال‌ها و ساير تجهيزات شبكه نيز کنترل های فنی وجود دارند كه دسترسي به آنها را محدود مي‌سازند. اگر هكري از طريق اينترنت بخواهد به يك كامپيوتر به صورت غيرمجاز دسترسي داشته باشد بايد از كنترل‌هايي كه براي فايروال، سوييچ‌ها و روترها تنظيم شده‌اند عبور كند. هر يك از اين تجهيزات داراي كنترل‌هاي خاص خود هستند. دسترسي به بخش‌هاي مختلف يك شبكه نيز از الگويي مشابه با اين پيروي مي‌كند. روترها و فايروال‌ها تضمين مي‌كنند كه ترافيك چگونه بين اين بخش‌ها براساس محدوديت‌هاي تعريف شده جريان مي‌يابند.

 

رمزنگاري و پروتكل‌ها

رمزنگاری نیز بخشی از کنترل های فنی به شمار می رود. اين كنترل‌ها از اطلاعات تبادل يافته بر روي يك شبكه محافظت مي‌كنند. اين كنترل‌ها تضمين مي‌كنند كه اطلاعات توسط موجوديت‌ خاص دريافت شده است و در جريان انتقال نيز دستكاري نشده است. اين كنترل منطقي از يكپارچگي و محرمانگي داده‌ها محافظت مي‌كند و مسيرهاي خاصي را براي انتقال داده ايجاد مي‌كنند.

 

پایش

ابزارهاي پایش، كنترل‌هاي منطقي هستند كه فعاليت‌ها را در يك شبكه يا تجهيزات شبكه را پايش مي‌كنند. مميزي به صورت مستمر عملكردي را در شبكه انجام نمي‌دهد ليكن مديران شبكه را در خصوص اتفاقاتي كه در شبكه رخ داده است مطلع مي‌سازد. اين اتفاقات مي‌توانند وقايعي از جمله يك اختلال در شبكه و هشدارهاي به مديران شبكه باشند. اين اطلاعات مي‌توانند براي شناسايي نقاط ضعف ساير كنترل‌ها مورد استفاده قرار مي‌گيرند و به مديران شبكه كمك مي‌كنند تا تصميم‌هاي مناسبي را براي تضمين سطح امنيتي مناسب اتخاذ كنند.

دیدگاه‌ خود را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

Scroll to Top