فرآیند ایجاد کنترل های دسترسی بسیار حیاتی و حساس است . این کنترل های دسترسی هستند که چگونگی و روش برقراری ارتباط بین کاربران و سیستم ها را تعیین می کنند ، به زبانی دیگر کنترل های دسترسی با ایجاد محدودیت یا بهتر بگوییم اعمال کنترل بر روی منابع اطلاعاتی شامل داده ها و یا سیستم ها از اطلاعات موجود در آنها در برابر دسترسی های غیر مجاز محافظت می کنند . سه مدل ابتدایی برای تشریح کنترل های دسترسی وجود دارد . در این مقاله به بررسی مقدماتی این سه مدل ابتدایی و اصلی از کنترل های دسترسی خواهیم پرداخت.


کنترل دسترسی اجباری یا Mandatory Access Control

کنترل دسترسی اجباری که به اختصار MAC نیز نامیده می شود ، مدلی است ایستا که از یک سری سطوح دسترسی از پیش تعریف شده به فایل های روی سیستم تشکیل شده است . این سطوح دسترسی را مدیران سیستم تعریف می کنندو پارامترهای مربوط به آنها را نیز به یک حساب کاربری ، فایل یا منبع اطلاعاتی مرتبط می کنند. کنترل دسترسی MAC بسیار محدود کننده است .در یک مدل MAC مدیران سیستم منابع را تخصیص داده و فقط آنها هستند که توانایی اعمال تغییرات در سطوح دسترسی را دارند . کاربران به هیچ عنوان نمی توانند منبعی را به اشتراک بگذارند ، مگر اینکه قابلیت ایستایی برای به اشتراک گذاشتن منابع از قبل به آنها داده شده باشد . واژه مخفف شده MAC ممکن است در بسیاری از اصطلاحات کامپیوتر اعم از آدرس سخت افزاری کارت شبکه که آن هم MAC نامیده می شود مورد استفاده قرار گیرد ، اما توجه داشته داشته باشید که همیشه در صورت بروز چنین مشکلاتی واژه کامل را به خاطر داشته باشید.

مدل کنترل دسترسی MAC از برچسب یا Label برای تعیین حساسیت امنیتی که به اشیاء اعمال می شود استفاده می کند .زمانی که کاربری قصد استفاده از منبع اطلاعاتی یا شیی را دارد ، این برچسب مورد بررسی قرار می گیرد و بر حسب آن تعین می شود که آیا کاربر می تواند به این منبع اطلاعاتی دسترسی داشته باشد یا خیر. همیشه این کته را به خاطر داشته باشید که زمانی که حرف از کنترل دسترسی MAC می شود پشت سر آن مبحث برچسب یا Label نیز بدون شک وجود خواهد داشت و شما می توانید این نکته را به عنوان الگوی شناسایی این نوع کنترل های دسترسی در نظر بگیرید . بعضا دیده شده است که به این نوع مدل کنترل دسترسی Non-Discretionary Access Control نیز گفته می شود.

کنترل های دسترسی احتیاطی یا Discretionary Access Control

کنترل های دسترسی احتیاطی به اختصار DAC نیز نامیده می شود ، در این نوع مدل از کنترل های دسترسی این مالک منبع است که برای دیگران سطوح دسترسی را تعیین می کند . تفاوت اصلی بین MAC و ِ DAC استفاده از برچسب ها است که در MAC قطعا برچسب امنیت وجود دارد اما در DAC می تواند برچسبی وجود نداشته باشد . کنترل دسترسی DAC به کاربر این اجازه را می دهد که بتواند منابع اطلاعاتی خود را به اشتراک بگذارد و یا از منابع اطلاعاتی به اشترا گذاشته شده توسط دیگران استفاده کند. در این روش لیست کنتر دسترسی یا Access Control List ای به وجود خواهد آمد که نمایانگر این است که چه کاربری ، چه نوع سطح دسترسی به این منبع اطلاعاتی خواهد داشت ، به اینگونه سطوح دسترسی ACL نیز گفته می شود . این قابلیت به مالک منبع این امکان را می دهد که بتواند به اشخاصی که می خواهد دسترسی لازم را داده و یا دسترسی را براحتی از آنها سلب کند . این مدل بسیار پویا است و ذاتا اجازه به اشتراک گذاشتن اطلاعات را به ساده ترین روش می دهد .

کنترل های دسترسی بر اساس نقش یا Role-Based Access Control

کنترل های دسترسی بر اساس نقش به اختصار RBAC نیز نامیده می شوند ، این نوع کنترل های دسترسی به کاربر این اجازه را می دهند که بر اساس یک سری سطوح دسترسی از پیش تعیین شده برای یک نقش در سازمان بتواند به منابع دسترسی داشته باشد ، در این حالت هر شخص بر اساس نقشی که در یک سازمان ایفا می کند دسترسی های لازم را بدست خواهد آورد . معمولا این نقش ها تا حد زیادی با چارت سازمانی یک سازمان مطابقت دارد . در این نوع از کنترل های دسترسی کاربران یک نقش یا Role را در سازمان بر عهده می گیرند ، بر اساس نقشی که بر عهده گرفته اند عملیات ها و فعالیت های خاصی را می توانند انجام دهند و نمی توانند از این سطح دسترسی فراتر بروند.

برای مثال نقشی در سازمان به عنوان فروشنده را تصور کنید ، یک فروشنده صرفا به اطلاعاتی می تواند دسترسی داشته باشد که برای نقش فروشنده در سازمان تعیین شده است .کاربران می توانند به اطلاعات مربوط به نقش خود در هر جای شبکه سازمان که باشند دسترسی داشته باشند ، در همین حین نقش دیگری به نام مدیر فروش را در نظر بگیرید ، طبیعی است که این دو نقش تفاوت هایی در سطوح دسترسی خواهند داشت ، این مدیر فروش می تواند حتی به اطلاعات مربوط به نقش فروشنده نیز دسترسی داشته باشد و این در حالی است که فروشنده ب هیچ عنوان نمی تواند به اطلاعات مدیر فروش دسترسی داشته باشد .

کنترل دسترسی RBAC بیشتر در مدیریت شبکه ها مورد استفاده قرار می گیرد . برای تهیه نسخه پشتیبان از اطلاعات موجود در هارد دیسک به دسترسی نسبتا کمی نیاز است ، این دسترسی را به یک نقش با عنوان اپراتور تهیه نسخه پشتیبان یا backup operator با دسترسی های مورد نیاز داده و بعد از آن به این شخص backup operator گفته می شود . این شخص صرفا به مواردی که برایش توسط نقش تعیین شده از پیش تعیین شده است دسترسی دارد .

کنترل های دسترسی بر اساس قانون یا Rule Based Access Control ، کنترهای دسترسی بر اساس مجوعه قوانین یا Rule Set Based Access Control ، کنترل های دسترسی بر اساس سازمان یا Organization Based Access Control و کنترل دسترسی Bell–LaPadula و Lattice Based از انواع جانبی مدل های کنترل دسترسی هستند که در مقاله ای جداگانه به آنها خواهیم پرداخت .