آموزش رایگان سکیوریتی پلاس: احراز هویت و تخصیص مجوز چه مفاهیمی هستند؟
بخش بزرگی از فرایند ایمن‌سازی محیط کاری این است که اطمینان حاصل کنید که نوعی از شناسایی و تأیید هویت افراد در سازمان را به مرحله اجرا در آورده‌اید و سپس کنترل کنید که افراد واحد شرایط به چه منابع، وب‌سایت‌ها و بخش‌هایی از شبکه سازمانی دسترسی دارند. در این مقاله با مفاهیم احراز هویت و مجوزدهی آشنا می‌شویم. توجه داشته باشید که هر یک از این مباحث در ادامه به تفضیل مورد توجه قرار خواهند گرفت، اما در این مقاله می‌خواهم مطمئن شوم که شما درک اولیه‌ای از مفاهیم و اصطلاحات مرتبط دارید.

1606683296_1_0.gif

برای مطالعه بخش قبل روی این آدرس کلیک کنید.

شناسایی و احراز هویت

شناسایی قبل از احراز هویت اتفاق می‌افتد و فرآیندی است که کاربران خود را به سیستم معرفی می‌کنند. محبوب‌ترین روشی که شرکت‌ها برای شناسایی تک تک کاربران استفاده می‌کنند، اختصاص یک نام کاربری منحصر به فرد به هر کاربر است. کاربران برای اعلام هویت خود به سیستم از این نام کاربری استفاده می‌کنند.

پس از این‌که کاربر اطلاعات شناسایی (نام کاربری) را وارد کرد، رمز عبور حساب را برای احراز هویت وارد می‌کند. سپس اطلاعات به یک سیستم احراز هویت ارسال می‌شود که مسئول تأیید اعتبار نام کاربری و رمز عبور است. در صورت صحیح بودن نام کاربری و رمز عبور، به کاربر اجازه دسترسی به سیستم داده می‌شود، اما در صورت نادرست بودن اطلاعات، خطا نمایش داده می‌شود و دسترسی صادر نمی‌شود.

کاربران می‌توانند به روش‌های مختلف هویت خود را به سیستم اعلام کرده و از مکانیزم‌های مختلفی برای احراز هویت استفاده کنند. از رایج‌ترین روش‌های قابل استفاده در زمینه شناسایی و احراز هویت به موارد زیر باید اشاره کرد:

■   نام کاربری محبوب‌ترین روش شناسایی کاربران در شبکه، زیرا به هر یک از آن‌ها یک نام کاربری منحصر به فرد تخصیص داده می‌شود. در این روش برای این‌که کاربران بتوانند هویت خود به سامانه را اعلام کنند باید نام کاربری را در صفحه ورود تایپ کنند و در ادامه برای احراز هویت، رمز عبور مرتبط با آن نام کاربری را تایپ کنند.

■   Smartcard: یک کارت هوشمند به اندازه یک کارت اعتباری است و دارای یک ریزتراشه است که می‌تواند حاوی داده‌های مورد استفاده توسط یک سیستم یا برنامه باشد در شکل زیر سمت چپ کارت هوشمندی را مشاهده می‌کنید که برای شناسایی افراد قابل استفاده است. هنگامی که کارت هوشمند در سیستم قرار می‌گیرد، کاربر یک پین مرتبط با کارت هوشمند را وارد می‌کند تا فرایند احراز هویت توسط سیستم انجام شود. در سمت راست تصویر نیز یک رمز SecurID را مشاهده می‌کنید که این ابزار نیز برای احراز هویت استفاده می‌شود.

■   Token: توکن دستگاه کوچکی است که معمولاً برای شناسایی یک فرد استفاده می‌شود و در فرآیند احراز هویت استفاده می‌شود. از بین انواع مختلف توکن‌ها، محبوب‌ترین آن‌ها دستگاهی است که یک عدد تصادفی را برای 30 تا 60 ثانیه نمایش می‌دهد. در تصویر بالا نمونه‌ای از توکن را مشاهده می‌کنید که برای ورود به سیستم از شماره تصادفی، نام کاربری و رمز عبور استفاده می‌کند.

■   بیومتریک: مکانیزم‌های زیستی از ویژگی‌های فیزیکی افراد برای احراز هویت استفاده می‌کنند. به عنوان مثال، می‌توانید اثر انگشت یا شبکیه چشم را برای احراز هویت در یک سیستم اسکن کنید. محیط‌های بسیار امن اغلب از سیستم‌های بیومتریک استفاده می‌کنند زیرا ویژگی‌های فیزیکی قابل تکرار نیستند و منحصر به فرد هستند.

نکته: برای آزمون، بدانید که قبل از دسترسی به منابع (مجوز)، ابتدا باید خود را به سیستم معرفی کنید. سپس اطلاعات شناسایی شما از طریق یک پایگاه داده احراز هویت تأیید می‌شود تا تأیید شود که می‌توانید به سیستم یا تسهیلات دسترسی پیدا کنید این فرایند به عنوان احراز هویت شناخته می‌شود.

مجوز

هنگامی که کاربر احراز هویت شد، قادر است به منابع دسترسی پیدا کند. این رویکرد به‌نام تخصیص مجوز شناخته می‌شود. شما راه‌های زیادی برای تخصیص مجوز به افراد برای دسترسی به منابع مختلف دارید که از مهم‌ترین آن‌ها به موارد زیر باید اشاره کرد:

■   Permissions: مجوزها به فرد یا افراد عضو یک گروه اجازه می‌دهد به فایل‌ها یا منابع موردنیاز دسترسی داشته باشند. تخصیص مجوز یکی از محبوب‌ترین روش‌های برای کنترل دسترسی به منابع است.

■   Router ACLs: ‌فهرست‌های کنترل دسترسی نمونه دیگری از اجرای مجوزها هستند. برای این منظور از قابلیت‌های ذاتی روترها استفاده می‌شود. این فهرست‌های کنترل دسترسی ها تعیین می‌کنند که آیا روتر مجاز است ترافیک خاصی را بپذیرد و آن‌را به شبکه دیگری هدایت کند.

■   Proxy servers: سرورهای پروکسی یکی دیگر از نمونه‌های محبوب مجوزدهی، اجازه دادن یا رد کردن دسترسی به محتوای مختلف وب هستند. سرور پروکسی سروری در شبکه است که تمام ترافیک ارسال شده به اینترنت از آن عبور می‌کند. سرور پروکسی می‌تواند کنترل کند که چه وب‌سایت‌هایی می‌توانند بازدید شوند یا چه نوع برنامه‌های اینترنتی می‌توانند توسط کاربران داخلی استفاده شوند.

■  Facility:   نمونه کارآمد دیگری در ارتباط با مجوزدهی و کنترل دسترسی به بخش‌های مختلف شبکه یا بخش‌های فیزیکی ساختمان یک شرکت هستند. به عنوان مثال، کارت هوشمند باب ممکن است به او اجازه دسترسی به بخشی از ساختمانی که در آن کار می‌کند را بدهد، اما کارت درهای دیگر ساختمان را باز نمی‌کند، زیرا او مجاز به دسترسی به آن مناطق نیست.

نکته: نکته مهمی که باید در این زمینه به آن دقت کنید تفاوت میان احراز هویت و مجوز است. آزمون سکیوریتی‌پلاس دانش شما را در مورد تفاوت بین شناسایی، احراز هویت و مجوز آزمایش می‌کند. بنابراین باید اطلاعات کاملی در این زمینه داشته باشید. به یاد داشته باشید که شناسایی به نحوه ارزیابی کاربر توسط سیستم اشاره دارد که بر مبنای تخصیص نام کاربری انجام می‌شود. تأیید هویت با تعیین رمز عبور انجام می‌شود که فرآیند احراز هویت است. پس از احراز هویت، می‌توانید به سیستم دسترسی پیدا کنید. پس از احراز هویت، مدیر سیستم می‌تواند مواردی که می‌توانید در سیستم از طریق مجوز دسترسی داشته باشید را کنترل کند. یک مثال در ارتباط با مجوزدهی، پیکربندی مجوز ویرایش (Modify) در یک پوشه است. مجوز فوق اجازه می‌دهد تغییراتی در فایل‌های موجود در پوشه اعمال کنید.

آشنایی با اصول و اصطلاحات امنیتی

در این بخش، با برخی از اصول امنیتی محبوب آشنا می‌شوید که نه تنها برای آزمون Security+ مهم هستند، بلکه اصول مهمی هستند که باید هنگام طراحی برنامه امنیتی برای سازمان به آن‌ها دقت کنید.

انواع امنیت

قبل از این‌که به برخی از اصول رایج امنیتی بپردازیم، اجازه دهید اطلاعاتی در ارتباط با انواع مختلف امنیت که ممکن است لازم باشد در سازمانی پیاده‌سازی کنید به‌دست آوریم.

امنیت فیزیکی

اولین نوع امنیتی که باید با آن آشنا شد، امنیت فیزیکی است. امنیت فیزیکی به معنای توانایی کنترل افرادی است که به دارایی‌های درون سازمان دسترسی فیزیکی دارند. به عنوان مثال، اکثر شرکت‌ها دسترسی به سرورهای خود را با قرار دادن آن‌ها در یک اتاق قفل شده به نام اتاق سرور کنترل می‌کنند.

امنیت فیزیکی همچنین با کنترل افرادی که می‌توانند با قرار دادن یک حصار در اطراف محیط تاسیسات و شاید استفاده از حفاظ در دروازه ورودی، وارد محوطه سازمان شوند، ارتباط دارد.

امنیت ارتباطات

امنیت ارتباطات جنبه‌ای از امنیت است که اغلب نادیده گرفته می‌شود، زیرا به نظر می‌رسد شرکت‌ها تمرکز زیادی روی امنیت فیزیکی و همچنین روی تنظیم مجوزها بر روی فایل‌ها و پوشه‌ها دارند. تنظیم مجوزها بر روی فایل‌ها و پوشه‌ها به ایمن کردن دارایی فقط در زمانی که در سرور ذخیره می‌شود کمک می‌کنند. وقتی شخصی از طریق شبکه به فایلی دسترسی پیدا می‌کند چه اتفاقی می‌افتد؟ اگر کاربری که مجوز دسترسی به فایل‌ها از طریق شبکه را دارد، این امکان را دارد که فایلی را دانلود کند. اگر قابلیت فوق فعال باشد، این احتمال وجود دارد که اشخاص غیرقابل اعتماد که قادر به دسترسی به شبکه هستند اطلاعات حساس را به راحتی مشاهده کنند. امنیت ارتباطات با حفاظت از اطلاعاتی که بین مبدا و مقصد در حال حرکت است از طریق رمزگذاری ارتباطات مرتبط است.

امنیت رایانه

امنیت رایانه یکی از محبوب‌ترین انواع امنیت است که با اجرای تعدادی از بهترین روش‌ها مانند احراز هویت، کنترل دسترسی، افزونگی داده‌ها، حفاظت از سامانه‌ها در برابر بدافزارها و تکنیک‌های سخت‌سازی دسترسی به سامانه‌ها به ایمن‌سازی سیستم‌های رایانه‌ای کمک می‌کند. نکته‌ای که باید در مورد امنیت کامپیوترها درک کنید این است که شما باید هم سیستم‌ها را ایمن می‌کنید و هم ارتباط بین سیستم‌ها.

امنیت شبکه

امنیت شبکه یکی دیگر از گرایش‌های محبوب امنیت است که با امنیت شبکه و نه یک سیستم خاص ارتباط دارد. امنیت شبکه شامل مواردی مانند کنترل این‌که چه کسی به شبکه دسترسی پیدا می‌کند (امنیت سوئیچ) و نوع ترافیکی که می‌تواند وارد شبکه شود (دیوارهای آتش) مرتبط است. رویکرد فوق با نظارت بر ترافیک شبکه برای فعالیت‌های مشکوک (یک سیستم تشخیص نفوذ) تکمیل می‌شود.

اکنون که با انواع مختلف امنیت شبکه آشنا شدید، اجازه دهید به برخی از اصول مهم امنیتی که برای آزمون گواهینامه Security+ باید با آنها آشنا باشید نگاهی داشته باشیم.

کمترین امتیاز، تفکیک وظایف و چرخش وظایف

اولین اصل امنیتی که همیشه باید هنگام دسترسی کاربران و مدیران شبکه به منابعی مانند سیستم‌ها یا فایل‌ها رعایت کنید، مفهوم کمترین امتیاز است. حداقل امتیاز به این معنی است که شما فقط حداقل سطح مجوزهای لازم برای انجام وظایف را به کاربر می‌دهید، زیرا تمایلی ندارید بیش از حد نیاز مجوز بدهید تا کاربران غیر مرتبط قادر به مشاهده اطلاعات باشند یا به شکل عمدی یا سهوی اطلاعات را خراب کنند. به عنوان مثال، اگر باب مسئول انجام پشتیبان‌گیری از یک سرور ویندوزی است، نمی‌خواهید او را در گروه Administrators قرار دهید، زیرا او توانایی انجام کارهایی بیشتر از پشتیبان‌گیری را دارد. او می‌تواند هر تغییری در سیستمی که می‌خواهد انجام دهد. در این مثال، باید او را در گروه Backup Operator قرار دهید تا حیطه کاری او محدود به انجام پشتیبان‌گیری باشد.

مثال دیگر شامل مجوزهای فایل است. اگر کاربر فقط باید بتواند محتویات یک فایل را بخواند، مطمئن شوید که فقط مجوز خواندن را به او بدهید و نه بیشتر، زیرا در غیر این صورت ممکن است به‌طور تصادفی محتوا را از فایل حذف کند. اگر مجوزها فراتر از نیاز باشند و فایلی پاک شود، به نظر شما مقصر چه کسی است؟ شخصی که محتوا را حذف کرده یا شخصی که امتیاز حذف محتوا را داده است؟

نکته: برای آزمون، به این نکته دقت کنید که اصطلاح تبانی در حوزه امنیت به معنای جمع شدن چند نفر در یک کار و شرکت در فعالیت‌های متقلبانه است.

تفکیک وظایف

یکی دیگر از اصول مهمی که باید به آن دقت کنید تفکیک وظایف است. تفکیک وظایف به این معنی است که اطمینان حاصل کنید تمام وظایف حیاتی به فرآیندهای مختلف تقسیم می‌شوند و هر فرآیند توسط کارمند متفاوتی انجام می‌شود. به عنوان مثال، در اکثر شرکت‌ها شخصی که چک را برای پرداخت هزینه خرید می‌نویسد با شخصی که چک را امضا می‌کند متفاوت است. به طور معمول، شخصی که چک را می‌نویسد، فردی در بخش حسابداری است، اما چک معمولاً توسط مدیر ارشد مالی (CFO) شرکت امضا می‌شود.

یک مثال دیگر در ارتباط با تفکیک وظایف این است که اطمینان حاصل شود زمانی که یک شرکت تصمیم به انجام ارزیابی امنیت شبکه می‌گیرد، ارزیابی توسط یک متخصص امنیت مستقل و نه توسط مدیر شبکه برای شرکت انجام می‌شود.

مفهوم تفکیک وظایف برای حصول اطمینان از این مسئله انجام می‌شود که فعالیت‌های متقلبانه در سازمان انجام نشود. توجه داشته باشید که تفکیک وظایف شما را از تبانی محافظت نمی‌کند، این اصطلاح برای توصیف زمانی است که طرفین با هم توطئه می‌کنند تا مرتکب یک عمل متقلبانه شوند. به عنوان مثال، شخصی که چک می‌نویسد و شخص امضا کننده چک تصمیم می‌گیرند تا مبلغی را اختلاس کنند.

چرخش وظایف (Rotation of Duties)

یکی دیگر از اصول مهم امنیتی که به پرسنل و عملیات روزمره مربوط می‌شود، مفهوم چرخش وظایف است. چرخش وظایف در اصل به معنای چرخش کارمند در بخش‌های مختلف است. به عنوان مثال، شما یک تیم از مدیران شبکه دارید و این ماه باب مدیریت حساب را بر عهده خواهد گرفت، اما ماه آینده سو این وظیفه را بر عهده خواهد گرفت و باب نقش شغلی که سو داشت را بر عهده خواهد گرفت.

برای آزمون Security+ حتماً تفاوت تفکیک وظایف و چرخش وظایف را بدانید.

چرخش وظایف مزایای متعددی دارد. اول، راهی برای اطمینان از مسئولیت‌پذیری در قبال اقدامات کارکنان است. اگر باب عمداً یا سهواً از امتیازات خود سوء استفاده کرده باشد، سو در ماه بعد متوجه این موضوع می‌شود و آن‌را گزارش می‌دهد. مزیت دیگر چرخش وظایف این است که سازمان به تنها فردی که قادر به انجام یک نقش شغلی است وابسته نیست. با چرخش چندین کارمند از طریق نقش‌های مختلف، سازمان در صورتی که کارمند بیمار شود، به مرخصی برود یا استعفا دهد از فرد دیگری که این مهارت‌ها را دارد استفاده می‌کند.

مفهوم نیاز به دانستن

در مقالات آتی اطلاعات بیشتری در ارتباط با احراز هویت و کنترل دسترسی به‌دست خواهید آورد، اما یکی از اصول امنیتی که بهتر است در این بخش به آن اشاره کنیم مفهوم نیاز به دانستن است، به این معنی که شما فقط به کارمندان اجازه دسترسی به اطلاعاتی که باید در مورد آن بدانند را می‌دهید. به عنوان مثال، به جای این‌که به همه مدیران اجازه دسترسی به داده‌های حسابداری بدهید، باید مطمئن شوید که فقط مدیر حسابداری به داده‌های حسابداری دسترسی دارد. شما به مدیر بازاریابی اجازه دسترسی به داده های حسابداری را نمی‌دهید، زیرا مدیر بازاریابی به این دسترسی نیاز ندارد.

نمونه دیگری از اجرای مفهوم نیاز به دانستن در محیط‌های نظامی است. صرفاً به این دلیل که به یک فرمانده مجوز فوق سری داده شده است، به این معنی نیست که باید بتوانند تمام داده‌های فوق سری را مشاهده کنند. به عنوان مثال، اگر فرمانده درگیر عملیات خاصی نباشد، نیازی به دانستن اطلاعات ارائه شده به پرسنل درگیر در آن عملیات ندارد.

امنیت لایه‌ای و تنوع دفاعی

دو اصل امنیتی بسیار مهم دیگر که باید برای کمک به ایجاد یک محیط امن‌تر رعایت شود، مفاهیم اتخاذ رویکرد امنیتی لایه‌ای و تنوع دفاعی است. امنیت لایه‌ای مفهومی است که با تکیه بر یک نوع راه‌حل امنیتی برای ایجاد یک محیط امن از آن استفاده می‌شود، به این معنا که همه تخم‌های خود را در یک سبد قرار ندهید. به عنوان مثال، اگرچه فایروال‌ها بخش مهمی از امنیت هر سازمانی هستند، اما اگر شخصی فلش درایو آلوده به ویروس را به دفتر بیاورد، فایروال به محافظت از سیستم‌ها کمکی نمی‌کند. اتخاذ یک رویکرد لایه‌ای برای امنیت به این معنی است که شما به انواع مختلفی از کنترل‌های امنیتی مانند احراز هویت، محافظت از ویروس، وصله‌های سیستمی و فایروال‌ها متکی خواهید بود. اتخاذ رویکرد لایه‌ای به امنیت به عنوان دفاع در عمق نیز شناخته می‌شود.

تنوع دفاعی به این معنا است که شما باید از محصولات مختلف برای افزایش سطح امنیت در محیط خود استفاده کنید. به عنوان مثال، هنگام طراحی یک استراتژی فایروال، به احتمال زیاد چندین لایه فایروال خواهید داشت و مهم است که از یک محصول فایروال در هر لایه استفاده نکنید. اگر هکر متوجه شود که چگونه به اولین فایروال نفوذ کند و شما از همان محصول فایروال در جای دیگری در شبکه استفاده کنید، هکر از همان تکنیک برای دور زدن آن فایروال‌ها استفاده می‌کند. اگر از محصولات مختلف ارائه شده توسط سازندگان مختلف استفاده می‌کنید روشی که برای هک کردن فایروال اول استفاده می‌شود لزوماً روی فایروال دوم کار نمی‌کند. مفهوم تنوع به این نکته دلالت دارد که اگرچه همه محصولات دارای آسیب‌پذیری هستند، آسیب‌پذیری‌ها برای هر یک از محصولات مختلف متفاوت است و هکر برای عبور از هر محصول متفاوت باید سخت کار کند.

نمونه دیگری از تنوع دفاعی این است که هنگام خرید نرم‌افزار آنتی‌ویروس برای سرور ضد اسپم، سرور ایمیل و سیستم‌های دسکتاپ خود، حتما از نرم‌افزار آنتی ویروس از فروشندگان مختلف استفاده کنید. هدف از این کار این است که اگر ویروس توسط یکی از محصولات آنتی ویروس آلوده شود، امیدوار خواهید بود که یکی از آنتی‌ویروس‌های دیگر آن‌را بگیرد. مواردی را شنیده‌ام که در آن یک اکسپلویت روز صفر منتشر شد که توسط اسکنر آنتی‌ویروس خارجی که روی سرور ایمیل اجرا می‌شد، از دست رفته بود، اما زمانی که پیوست به سرویس گیرنده ایمیل رسید، توسط نرم‌افزار آنتی‌ویروس در حال اجرا بر روی کلاینت شکار شد. مواردی مانند این به شما کمک می کند هزینه اجرای نرم‌افزار آنتی‌ویروس در لایه‌های مختلف شبکه را توجیه کنید.

دقت و اهتمام لازم

از دیگر اصول مهم امنیت، مفاهیم مراقبت و اهتمام لازم است که به منظور اطمینان از اینکه سازمان اقدامات مناسبی را برای حفاظت از کارکنان و دارایی‌های خود انجام می‌دهد، است. مراقبت لازم به معنای انجام کار درست است. هنگامی که به امنیت مربوط می‌شود، این مفهوم به دقت لازم در مورد اجرای کنترل‌های امنیتی صحیح برای اطمینان از حفاظت از دارایی‌های سازمان اشاره دارد. به عنوان مثال می‌توان به ایجاد خط‌مشی امنیتی، انجام پشتیبان‌گیری منظم و انجام اسکن‌های ویروسی منظم اشاره کرد. نکته کلیدی که باید با دقت به آن توجه کرد این است که شما در حال اجرای یک عمل هستید. از سوی دیگر، دقت لازم در مورد شناسایی ریسک با شما است تا بدانید چه کنترل‌های امنیتی را باید اعمال کنید (مراقبت لازم). دقت لازم شامل انجام ارزیابی‌های منظم و تجزیه و تحلیل نتایج ارزیابی برای شناسایی مسائل امنیتی در محیط است.

در شماره آینده مبحث فوق را ادامه می‌دهیم.

برای مطالعه تمام قسمت‌های آموزش سکوریتی پلاس اینجا کلیک کنید.


معرفی آموزشگاه شبکه و امنیت

تلفن: 02188549150           کانال: Asrehshabakeh@


تبلیغات لینکی: 

استخدام متخصص امنیت  - قیمت گوشی موبایل شیائومی - فروش کابل شبکه 

ماهنامه شبکه را از کجا تهیه کنیم؟
ماهنامه شبکه را می‌توانید از کتابخانه‌های عمومی سراسر کشور و نیز از دکه‌های روزنامه‌فروشی تهیه نمائید.

ثبت اشتراک نسخه کاغذی ماهنامه شبکه     
ثبت اشتراک نسخه آنلاین

 

کتاب الکترونیک +Network راهنمای شبکه‌ها

  • برای دانلود تنها کتاب کامل ترجمه فارسی +Network  اینجا  کلیک کنید.

کتاب الکترونیک دوره مقدماتی آموزش پایتون

  • اگر قصد یادگیری برنامه‌نویسی را دارید ولی هیچ پیش‌زمینه‌ای ندارید اینجا کلیک کنید.

ایسوس

نظر شما چیست؟