التحكم في الوصول الإلزامي MAC: كيف يعمل

التحكم في الوصول هو إجراء أمني يمكن استخدامه لمنع الوصول غير المصرح به إلى البيانات الحساسة. ولكن كيف يساهم التحكم في الوصول الإلزامي (MAC) في الأمن؟ تابع القراءة لمعرفة ذلك.

ما هو التحكم في الوصول؟

كثيرًا ما يتعامل المستخدمون مع الموارد والأصول التي يجب أو لا ينبغي لهم الوصول إليها أثناء استكشافهم للشبكات المادية والرقمية. هذا صحيح بشكل خاص في الأنظمة الرقمية ، حيث يمكن أن يؤدي الترحيل الجانبي إلى مواقع تخزين أو تطبيق أو معالجة منفصلة إلى تعريض البنية التحتية بأكملها لتهديدات أمنية خطيرة.

للإبقاء على الأصول والموارد منفصلة ، يستخدم مديرو الأمن "ضوابط الوصول" ، والتي تحدد من لديه حق الوصول إلى موارد معينة.

بمجرد مصادقة المستخدم والترخيص له للدخول إلى نظام باستخدام حساب مستخدم أو هوية ، يضع نظام التحكم في الوصول قيودًا تحكم من ومتى وأين وكيف يمكن لهذا المستخدم في بعض الحالات تصفح النظام.

بينما على السطح ، تبدو هذه الفكرة واضحة ومباشرة ، فهناك العديد من مخططات التحكم في الوصول المختلفة التي تساعد في تأمين الموارد ضد الوصول غير المصرح به ، لكننا سنركز على واحد هنا - التحكم الإلزامي في الوصول.

ما هو MAC التحكم في الوصول الإلزامي؟

التحكم في الوصول الإلزامي (MAC) هو نموذج للتحكم في الوصول يمنح فيه نظام التشغيل حق الوصول للمستخدمين اعتمادًا على سرية البيانات ومستويات تصريح المستخدم. يتم منح الوصول على أساس الحاجة إلى المعرفة في هذا النموذج: يجب على المستخدمين إظهار الحاجة إلى المعلومات قبل تلقي الوصول.

التحكم في الوصول الإلزامي يُعرف MAC أيضًا بنموذج التحكم غير التقديري ، مما يعني أن التحكم لا يتم منحه وفقًا لتقدير المستخدم أو مالك الملف. تلتزم آليات التحكم في شركة المطوع والقاضي بمبادئ انعدام الثقة.

يعتبر MAC أكثر نماذج التحكم في الوصول أمانًا. في هذا النموذج ، يتم تحديد قواعد الوصول يدويًا بواسطة مسؤولي النظام ويتم فرضها بصرامة بواسطة نظام التشغيل أو نواة الأمان. حتى بالنسبة للبيانات التي تم تطويرها ، لا يمكن للمستخدمين العاديين تغيير خصائص الأمان.

ما هي المفاهيم الأساسية للتحكم الإلزامي في الوصول MAC؟

1. تعتبر خصوصية وسرية موارد المنظمة ذات أهمية قصوى. لا يمتلك أي شخص حق الوصول الافتراضي أو امتيازات التحرير لبيانات شخص آخر.
2. تتم إدارة توفير الوصول مركزيًا.
3. يتم تعيين ملصقات الأمان مع التصنيف والفئة لكل شخص ومورد في النظام.

يكون إجراء الحصول على الوصول مع MAC كما يلي:

1. يقوم المسؤول بتكوين قيود الوصول وإنشاء معلمات الأمان مثل مستويات السرية والتراخيص لمختلف المشاريع وأنواع الموارد.
2. يتم منح كل موضوع (مستخدم أو مورد يصل إلى البيانات) وكائن (ملف ، قاعدة بيانات ، منفذ ، إلخ) مجموعة من السمات من قبل المسؤول.
3. عندما يحاول أحد الأشخاص الوصول إلى كائن ، يقوم نظام التشغيل بتقييم سمات أمان هذا الموضوع ويحدد ما إذا كان الوصول مسموحًا به أم لا.
4. يقوم المستخدم بإدخال بيانات اعتماده للوصول إلى العنصر.

تولي أنظمة التشغيل اهتمامًا لمطابقات الفئة بين الموضوع والعنصر بالإضافة إلى تقييم مستويات السرية والتخليص (تطابق التصنيف بين الموضوع والموضوع). إذا لم يكن المستخدم عضوًا في الفئة المطلوبة للكائن ، فإن التصنيف "سري للغاية" لا يمنحه تلقائيًا حق الوصول الكامل إلى أحد الملفات.

ضع في اعتبارك البيانات ذات مستوى السرية "السري للغاية" وتصنيف أمان "المشروع الهندسي". لا يمكن الوصول إليه إلا للمستخدمين الذين لديهم تصريح "سري للغاية" (تصنيف) وإذن للوصول إلى المستندات الهندسية (الفئة). يمكن لهؤلاء المستخدمين أيضًا الوصول إلى المواد التي تتطلب مستوى أقل من التصريح الأمني. من ناحية أخرى ، لا يمكن للموظفين الذين لديهم مستويات أقل من التخليص أو لا يمكنهم الوصول إلى المستندات الهندسية الوصول إلى هذه المعلومات.

يستفيد نظام الأمن السيبراني بشكل كبير من MAC. ومع ذلك ، هناك العديد من العيوب التي يجب مراعاتها. ضع في اعتبارك مزايا وعيوب التحكم الإلزامي في الوصول.

إيجابيات وسلبيات شركة المطوع والقاضي

الايجابيات

• مستوى عال من أمن البيانات - يتم تحديد الوصول إلى الكائنات من قبل المسؤول ، ولا يمكن للمستخدمين تغيير هذا الوصول.
• تقسيمات - يقوم المسؤول يدويًا بتكوين أذونات وصول المستخدم ومعلمات الوصول إلى الكائن.
• حصانة ضد هجمات حصان طروادة - لا يمكن للمستخدمين رفع السرية عن المواد السرية أو توفير الوصول إليها ، مما يجعلهم محصنين ضد اعتداءات حصان طروادة.
• أخطاء أقل - تساعد السياسات الصارمة والمراقبة بانتظام في الحد من أخطاء النظام التي تؤدي إلى المستخدمين ذوي الامتيازات الزائدة.
• تقسيم صارم - يقسم المسؤولون المستخدمين إلى مجموعات فرعية ويستخدمون سمات الأمان للحد من تعرض الموارد لهذه المجموعات.

سلبيات

• قابلية الصيانة - يتطلب التكوين اليدوي لمستويات الأمان والتخليص الاهتمام المستمر من المسؤولين.
• التدرجية - لا يتسع MAC تلقائيًا. يحتاج المستخدمون والبيانات الجديدة إلى تعديلات متكررة على العناصر وتكوينات الحساب.
• التدخل في عمل المستخدمين - يجب على المستخدمين طلب الوصول إلى كل جزء جديد من البيانات التي يواجهونها ؛ لا يمكنهم تحديد معلمات الوصول لبياناتهم الخاصة.

متى يجب عليك استخدام MAC للتحكم في الوصول الإلزامي؟

يتم استخدام نموذج التحكم في الوصول هذا في الغالب من قبل الوكالات الحكومية والجيوش ووكالات إنفاذ القانون. تستخدم حكومة الولايات المتحدة شركة المطوع والقاضي لتأمين المعلومات السرية وكذلك لدعم سياسات وتطبيقات الأمان المتدرجة. في صناعات التأمين والمصارف ، يتم استخدام MAC للتحكم في الوصول إلى بيانات حساب العميل من أجل حماية أكبر للبيانات والامتثال. يمكن لنموذج التحكم في الوصول غير التقديري هذا أيضًا حماية الوصول إلى قاعدة بيانات ، حيث تكون الكائنات عبارة عن إجراءات وجداول وطرق عرض وميزات أخرى.

من المنطقي استخدام MAC في الشركات التي تعطي الأولوية لأمن البيانات على المرونة التشغيلية والنفقات. نظرًا لتعقيد النظام وعدم مرونته ، فإن تنفيذ MAC في مؤسسة خاصة أمر غير شائع.

يوفر نموذج MAC الخالص أمانًا محببًا وعالي المستوى. ومع ذلك ، من الصعب الإعداد والإدارة. نتيجة لذلك ، يتم دمج MAC بشكل متكرر مع أنظمة التحكم في الوصول الأخرى.

الجمع بينه ، على سبيل المثال ، مع النموذج القائم على الدور يسرع من إنشاء ملفات تعريف المستخدمين. يمكن للمسؤول إنشاء أدوار مستخدم بدلاً من تحديد حقوق الوصول لكل مستخدم فردي. يوجد المستخدمون الذين لهم أدوار وحقوق وصول قابلة للمقارنة في كل مؤسسة: العمال الذين لهم نفس المسمى الوظيفي ، وموردو الجهات الخارجية ، وما إلى ذلك. بدلاً من إنشاء ملفات تعريف مستخدم فردية من البداية ، يمكن للمسؤول تكوين الأدوار لهذه المجموعات.

هناك اقتران متكرر آخر هو MAC مع نموذج التحكم في الوصول التقديري ، والمختصر باسم DAC. يحمي MAC البيانات الحساسة ، بينما يسمح DAC لزملاء العمل بمشاركة المعلومات داخل نظام ملفات الشركة.

طرق أخرى للتحكم في الوصول

# 1. التحكم في الوصول المستند إلى القواعد

تقوم هذه الطريقة بتعيين الأذونات للمستخدمين بناءً على مجموعة محددة مسبقًا من القواعد والسياسات. تحدد هذه القواعد "السياق" الذي يمكن من خلاله الحصول على الوصول إلى الموارد. تم توضيح هذه القيود في قائمة التحكم في الوصول (ACL) المرفقة بـ "كائن" (المورد ، سواء كان أذونات المعالجة أو البيانات أو الوصول إلى الحساب أو أي شيء آخر).

تتضمن بعض أمثلة الوصول المستند إلى القواعد تقييد وصول النظام إلى أوقات أو مواقع محددة من اليوم (على سبيل المثال ، تقييد الوصول إلى الأجهزة الموجودة في موقع المكتب أو بالقرب منه).

# 2. التحكم في الوصول المستند إلى الأدوار

الوصول المستند إلى الدور هو طريقة تحدد فيها أدوار مستخدم المؤسسة أذونات الوصول. سيكون للمؤسسة تسلسل هرمي تنظيمي محدد جيدًا بالإضافة إلى مجموعة محددة بوضوح من الأذونات اعتمادًا على المسؤوليات داخل هذا التسلسل الهرمي. سيتم منح أي مستخدم يتم تعيينه لدور الأذونات المرتبطة بهذا الدور.

الوصول المستند إلى الدور منتشر للغاية. توجد الأذونات المستندة إلى الأدوار بشكل شائع في الأنظمة متعددة المستخدمين. قد يكون لدى مقدم الخدمة الذي يتعامل مع الجمهور (مثل البريد الإلكتروني أو مزود الخدمة السحابية) فئات متعددة من الحسابات (المستخدمون والمستخدمون المهمون والمسؤولون والمشرفون وما إلى ذلك) ، ولكل منها مثاله الخاص للأذونات وعناصر التحكم في الوصول. للسماح ببيئة مشتركة ، سيقيد النظام القائم على الأدوار من يمكنه الوصول إلى ما داخل النظام.

# 3. التحكم في الوصول المستند إلى السمات

تعد الأنظمة المستندة إلى السمات أكثر دقة من الأنظمة المستندة إلى الأدوار والقواعد. بدلاً من النظر إلى قائمة القواعد المرتبطة بالموارد (كما هو الحال في أنظمة القواعد) أو الأدوار (كما هو الحال في أنظمة الأدوار) ، يمكن للأنظمة القائمة على السمات استخراج المعلومات الديناميكية من حسابات المستخدمين لإنشاء أنظمة وصول أكثر مرونة واستجابة.

افترض أن شركة تتعامل مع أمثلة سرية. وبالتالي ، قد يتم تعيين المستخدمين الفرديين للوصول إلى البيانات السرية - قد تكون هذه سمة للشخص ، وليست دورًا أو موردًا.

هذه التقنيات للتحكم في الوصول ليست متعارضة. على سبيل المثال ، يمكن استخدام الأنظمة المستندة إلى السمات والأدوار لضبط أمن النظام والبيانات.

# 4. التحكم في الوصول التقديرية

من ناحية أخرى ، يتيح التحكم في الوصول التقديري (DAC) للعملاء والمستخدمين النهائيين للأعمال تحكمًا إضافيًا في ضوابط الوصول الخاصة بهم. بينما قد ينشئ مسؤول الأمان أدوارًا وأذونات في جميع أنحاء النظام ، يجوز للمستخدم تجاوز هذه الأذونات لتوفير الوصول إلى بعض المستخدمين الذين يجب أن يكون لديهم وصول بناءً على بيانات اعتماد أعمالهم.

يمكن أن توفر هذه الإستراتيجية بعض المرونة من حيث كيفية منح الشركة للأشخاص للوصول. عندما يهمل مسؤولو الأعمال المحليون تحديث أو تكوين الأذونات المحلية الخاصة بهم ، فإن ذلك يؤدي إلى ظهور نقاط ضعف محتملة. ونتيجة لذلك ، فإن تقنية DAC هي تقنية عالية الصيانة تتطلب صيانة مستمرة ، على الرغم من كونها قابلة للتكيف.

ما هو الفرق بين التحكم في الوصول الإلزامي والاختياري؟

MAC و DAC مستقطبان. بينما يمكن أن تتعايش طرق مختلفة للتحكم في الوصول في بعض النواحي ، إلا أنه من الصعب (إن لم يكن مستحيلًا) النجاح في إدخال كل من DAC و MAC دون الدوس على بعضهما البعض.

بعد قولي هذا ، فإن حالات عدم التوافق هذه ناتجة جزئيًا عن التباينات بين التقنيتين. يختلف الإلزامي والتقديري بعدة طرق مهمة:

• حماية: عند تطبيقه بشكل صحيح ، يوفر التقدير الإلزامي حماية أكثر موثوقية ويمكن التنبؤ بها. يمكن أن يمنح التحكم في الوصول التقديري للمؤسسة مرونة مهمة ، ولكن يمكنه أيضًا تقديم تعارضات محتملة بين أذونات فردية وأذونات على مستوى المؤسسة.
• تحكم المستخدم: بالإضافة إلى ذلك ، القيود الإلزامية ليست مرنة للغاية خارج مخططهم ، ولسبب وجيه - لحل تحديات الأمان التنظيمية المرتبطة بالوصول. ومع ذلك ، هناك مواقف حقيقية يجب فيها منح الموظفين في المؤسسة حق الوصول إلى موارد محددة حتى لو كانت وظائفهم أو سمات المستخدم الخاصة بهم لا تسمح بذلك.
• قابلية الصيانة: عادة ، يتم تطوير ضوابط الوصول الإلزامية من الأعلى إلى الأسفل والتخطيط المركزي. أي أنها يمكن أن تدعم التفويض القوي في جميع أنحاء النظام ، مع تنفيذ المتطلبات الأمنية والتنظيمية في مكان واحد.

على الجانب الآخر ، يمكن أن تصبح DAC معقدة إذا نفذ المستخدم النهائي التحكم في الوصول المحلي بلا مبالاة أو فشل في تحديث قائمة الأذونات الخاصة به عندما يغادر الموظفون أو يتم إنهاء خدمتهم.

وفي الختام

التحكم في الوصول الإلزامي (MAC) هو طريقة أمان تحد من قدرة مالكي الموارد الفردية على منح أو منع الوصول إلى كائنات موارد نظام الملفات. يحدد مسؤول النظام متطلبات MAC ، والتي يتم فرضها بصرامة بواسطة نظام التشغيل (OS) أو نواة الأمان ولا يمكن تغييرها بواسطة المستخدمين النهائيين.

التحكم في الوصول الإلزامي ، والذي يشيع استخدامه في المنشآت الحكومية والعسكرية ، يعمل عن طريق تعيين تسمية تصنيف لكل عنصر من عناصر نظام الملفات. هناك ثلاثة مستويات من التصنيف: سري ، وسري ، وسري للغاية. يتم تصنيف ومسح كل مستخدم وجهاز على النظام على نفس المستوى. عندما يحاول شخص أو جهاز الوصول إلى مورد معين ، يتحقق نظام التشغيل أو نواة الأمان من بيانات اعتماد الكيان لتحديد ما إذا كان الوصول مصرحًا أم لا. في حين أنه الخيار الأكثر أمانًا للتحكم في الوصول المتاح ، يتطلب MAC تخطيطًا دقيقًا ومراقبة منتظمة لضمان تصنيف جميع كائنات الموارد والمستخدمين بشكل صحيح.

MAC هي أعلى درجة من التحكم في الوصول ، على عكس التحكم في الوصول التقديري ذي المستوى الأدنى (DAC) ، والذي يسمح لمالكي الموارد الفردية بإنشاء قواعدهم الخاصة وفرض قيود أمنية.

الأسئلة الشائعة حول التحكم في الوصول الإلزامي

ما هو الفرق بين MAC و DAC؟

استخدام DAC أقل أمانًا. استخدام MAC أكثر أمانًا. يمكن لمالك DAC تحديد الوصول والامتيازات ، وكذلك تقييد الموارد ، بناءً على هوية المستخدمين. في شركة المطوع والقاضي ، يقوم النظام فقط بتقييم الوصول ، ويتم تقييد الموارد بناءً على تصريح الأفراد.

هل يستخدم Windows MAC أو DAC؟

تعتمد معظم أنظمة التشغيل ، بما في ذلك جميع إصدارات Windows و Linux و Macintosh ، بالإضافة إلى معظم أنواع Unix ، على نماذج DAC.

ما هو نموذج DAC؟

التحكم في الوصول التقديري (DAC) هو نموذج للتحكم في الوصول يتم فيه تحديد الوصول بواسطة مالك المورد. يتحكم مالك المورد في من لديه حق الوصول ومن لا يملك ، بالإضافة إلى نوع الوصول الذي يمتلكه.

مقالات ذات صلة

• التحكم في الوصول الاختياري: التعريف والأمثلة
• أدوات إدارة الدليل النشط: ما هو وكل ما تحتاج لمعرفته حوله
• إدارة الاستثمار التقديرية: نظرة عامة ، المزايا ، والمخاطر
• تعريف الدخل التقديري: ما هو ، الفرق ، والأمثلة
• برنامج إدارة المدرسة: أفضل اللقطات في عام 2022

مراجع حسابات

• TechTarget
• آي بي إم.كوم
• موقع ScienceDirect