الفصل: التحكم في الوصول

Questions and Answers

• (correct)

______ .

DAC MAC

False (B)

(Subjects)

True (A)

(Actions)

'______ into a[p ,g]' .

enter w

destroy subject .

False (B)

A sub friend .

command TRANSFER(a sub, friend, file) \nif a * is in a[sub, file ] then \nenter a into a[ friend, file]

(MAC) ______ .

(DAC) .

False (B)

(RBAC)

   (D)

r, w e

create subject .

False (B)

`if ______ then` .

own in a[p,f]

Permission Transfer .

True (A)

(MAC) : ______ .

(Least Privilege) (DAC) .

False (B)

Flashcards

کنترل دسترسی چیست؟

مرکز ثقل سیستم امنیتی در کامپیوتر که تعیین می‌کند ارتباط بین کاربران و سیستم چگونه برقرار شود.

هدف کنترل دسترسی

جلوگیری از دسترسی های غیر مجاز به منابع سیستم.

سطوح کنترل دسترسی

وجود سطوح مختلف دسترسی از سخت افزار تا نرم افزار.

کنترل دسترسی اجباری (MAC)

روشی که در آن دسترسی به منابع بر اساس قوانین سختگیرانه تعیین می‌شود.

برچسب امنیتی چیست؟

برچسبی که به هر شیء یا کاربر اختصاص داده می‌شود و سطح دسترسی آن را مشخص می‌کند.

طبقه بندی اطلاعات

تقسیم بندی اطلاعات بر اساس سطح حساسیت.

دسته بندی (Categories)

گروه بندی کاربران و اشیاء بر اساس نقش آنها در سیستم.

دسترسی به هر شیء

برای دسترسی به یک شیء، باید برچسب امنیتی کاربر با مشخصات شیء مطابقت داشته باشد.

سلسله مراتبی دسترسی

یک جدول از سطوح دسترسی که از بالا به پایین سطح دسترسی کاهش می یابد.

مزایا و معایب MAC

امنیت سطح بالا، ایستایی در دسترسی و دشواری بروزرسانی وضعیت کاربران و اشیاء.

کنترل دسترسی اختیاری (DAC)

روشی که در آن کاربران می‌توانند نحوه دسترسی به داده‌ها را تعیین کنند.

فهرست کنترل دسترسی (ACL)

لیستی که مشخص می‌کند چه کاربرانی به چه منابعی دسترسی دارند.

ویژگی های ACL

انعطاف پذیری و مناسب برای سازمان های بزرگ و پویا

انواع فهرست کنترل دسترسی

توزیع شده و قابل تغییر توسط کاربر.

سطح امنیتی DAC

احتمال اعطای حق دسترسی بیشتر از نیاز

کنترل دسترسی بر اساس نقش (RBAC)

روش کنترل دسترسی بر اساس نقش افراد در سازمان.

نقش در RBAC

هر فرد در سازمان دارای نقش می باشد.

دسترسی در RBAC

هر نقش دارای سطح معینی از مجوزها و دسترسی ها است

رابطه بین نقش ها و مجوزها

نمایش سطوح دسترسی با نمایش سطوح دسترسی ماتریسی.

مدل ماتریس دسترسی

مدلی که نحوه دسترسی سیستم را توصیف می کند

چه کسی مدل ماتریس دستیابی را ارائه داد؟

Lampson

عامل ها (Subjects)

موجودیت هایی هستند که درخواست دسترسی به اشیاء را به سیستم ارسال می کنند.

اشیائ (Objects)

فایل ها، برنامه ها و پوشه ها.

عمل ها (Actions)

فعالیت هایی که عامل ها می خواهند روی اشیاء انجام دهند.

عامل ها در سیستم های عامل

کاربر

اشیاء در سیستم های پایگاه داده

جداول، نماها

عمل ها در سیستم های پایگاه داده

Insert, Delete, Update, Select

نقش عامل

میتواند هم نقش عامل و هم نقش شیء را ایفا کند

ایجاد کننده شی مالک آن می شود.

هنگام ایجاد یک شی جدید، عامل ایجاد کننده مالک آن شی می شود.

دستور ایجاد شی

یک شیء جدید می سازد.

انتقال دسترسی ها

به کاربر جدید اجازه مالک فایل را می دهید.

Study Notes

• الفصل: التحكم في الوصول

التحكم في الوصول

• يمثل محور نظام الأمن في الكمبيوتر
• يحدد كيفية إقامة علاقة بين المستخدمين وأنظمة الكمبيوتر
• يحدد أنواع وكيفية الوصول إلى مصادر النظام
• الهدف منه هو منع الوصول غير المصرح به إلى موارد النظام

مستويات التحكم في الوصول

• توجد مستويات مختلفة من التحكم في الوصول
• تشمل المستويات التطبيقات، البرامج الوسيطة، نظام التشغيل، والأجهزة
• نظام التشغيل هو أهم وسيلة للتحكم في الوصول إلى الكيانات
• يزداد تعقيد التحكم في الوصول مع زيادة إمكانية الاعتمادية

أنواع طرق التحكم في الوصول

• التحكم الإلزامي في الوصول (MAC)
• التحكم التقديري في الوصول (DAC)
• التحكم في الوصول المستند إلى الدور (RBAC)

التحكم الإلزامي في الوصول (MAC)

• يعتمد على ملصقات الأمان

• يتضمن تصنيف المعلومات

• يُعيّن مجموعات تحدد الوصول إلى عنصر ما

• يطلب هذا المنهج من كل مستخدم تصنيف وتحديد المجموعة التي ينتمي إليها

• للوصول إلى أي عنصر يجب مطابقة ملصق الأمان مع مواصفات المستخدم

• يتم تنظيم الوصول بشكل هرمي

• الميزة هي الحفاظ على مستوى عالٍ من أمان الوصول

• العيوب تشتمل على استغراق وقت طويل، وصعوبة تحديث حالة المستخدمين والعناصر، وعدم إمكانية المشاركة بسبب الثبات في الوصول

التحكم التقديري في الوصول (DAC)

• يمنح المستخدمين حرية تحديد كيفية الوصول إلى البيانات
• يعتمد على استخدام قائمة التحكم في الوصول (ACL) بدلاً من ملصقات الأمان
• يمكن للمستخدمين تحديد كيفية الوصول إلى البيانات
• تُستخدم قائمة التحكم في الوصول (ACL) بدلاً من ملصق الأمان

أنواع قائمة التحكم في الوصول (ACL)

• مركزية: التحديث يتم فقط من قبل المدير

• موزعة: يمكن للمستخدم تحديثها إذا كان لديه التصريح اللازم

• مناسبة للمؤسسات الكبيرة والديناميكية بسبب مرونتها

• مستوى الأمان في DAC أقل مقارنة بـ MAC

• وذلك لاحتمالية منح حق الوصول أكثر من المطلوب (مبدأ أقل الامتيازات)

التحكم في الوصول المستند إلى الدور (RBAC)

• يتم فيه التحكم في الوصول بناءً على الأدوار
• كل فرد في المؤسسة له دور
• كل دور يمتلك مستوى معينًا من التصاريح وحقوق الوصول
• مناسبة للإدارة في الشبكات والمؤسسات

نموذج مصفوفة الوصول

• نموذج يوصف به نظام

• قدمه Lampson في عام 1971

• يتكون من عوامل Subjects (المستخدمين)، كائنات Objects (الأشياء)، وإجراءات Actions (الأفعال)

• العوامل (Subjects) هي الكيانات التي ترسل طلبات الوصول إلى الكائنات

• نظام التشغيل عبارة عن مستخدمين وعمليات

• الكائنات (Objects) هي الكيانات التي يجب حمايتها بواسطة نظام التحكم في الوصول

• نظام التشغيل عبارة عن ملفات وبرامج ومجلدات

• الإجراءات (Actions) أو حقوق الوصول (Access Rights) هي الأنشطة التي تريد الجهات الفاعلة القيام بها على الكائنات

• امثلة عليها: Read, Write, Append, Execute

• في أنظمة التشغيل:

  • الأشخاص هم المستخدمون
  • الكائنات هي الملفات أو البرامج
  • الإجراءات هي Read, Write, Execute

• في أنظمة قواعد البيانات:

  • الأشخاص هم المستخدمون
  • الكائنات هي الجداول أو طرق العرض
  • الإجراءات هي Insert, Delete, Update, Select

• في نظام الكمبيوتر يمكن أن يكون الفاعل هو نفسه الشيء

• على سبيل المثال، يمكن لمتصفح الويب (Subject = Mozilla) الوصول إلى مشغل الفلاش (Object = Flash Player)

• يمكن في نظام الحاسوب إنشاء عامل واحد أو عدة عوامل أخرى من خلال نظام التشغيل

  • يمكن للعملية أن تنشأ عمليات أخرى Process 1, Process n

خصائص نموذج مصفوفة التحكم

• :SubjectsS = { s1,...,sn }
• :Objects0 = { 01,...,om }
• :RightsR = { r1,...,rk }
• { R توضح الحقوق على كل عنصر A[si, oj] ⊆ R
• تعني أن الفاعل لديه الحقوق على الكائن { rx,..., ry } A[si, oj] = { rx,..., ry }

مثال على نموذج مصفوفة التحكم

• :S = {Marry, John, Bob}

• :O = {File1, File2, File3, Program1}

• Marry لديها صلاحيات RW على File 1 و E على Program 1

• John لديه صلاحية R على File 1 و RW على File 3

• Bob لديه صلاحية R على File 2 و RE على Program1

• لو الحقوق مقتصرة على (Read / write / Execute) فقط:

  • (Marry, File 1, r, w, e) → 111
  • (Bob, File 2, 101) → (john, program1,001)

مثال اَخر علي نموذج مصفوفة التحكم

- subject1 لديه صلاحية owner علي object 1 و صلاحية read علي object 2
- Subject 2 لديه صلاحية owner   علي object 2  و owner control علي object 1

• ‫ ﺗﻤﺮﯾﻦ‬: افتراض وجود نظام جامعي به مستخدمين (طلاب) S1, S2, المادة T1 وموظف e1 كموضوع (فاعل). حقوق الوصول في هذا النظام: (إدراج، حذف، تحديد). يوجد جدول يسمى الدرجة. عناصر هذا الجدول عبارة عن رقم الطالب وكود الدورة التدريبية ككائن. بالنظر إلى كيف يبدو نظام التعليم الجامعي، ارسم مصفوفة التحكم للوصول لهذا التمرين

اربع قواعد اساسية في نموذج مصفوفة التحكم

• القاعدة الاولى: يستطيع المستخدم si ازالة اي قسم فرعي من الحقوق المتاحه للكائن oj, بشرط ان يتحكم si بالكائن oj
• القاعدة الثانية: يستطيع si اضافة حقوق وصول جديده للكائن oj, بشرط ملكية si للكائن oj
• القاعدة الثالثة: يستطيع المستخدم si الغاء اي مجموعة فرعية من مجموعة حقوق الوصول للكائن oj بشرط ملكية si للكائن oj
• القاعدة الرابعة: يتيح القاعدة الرابعة للعناصر الفاعلة منح أي مجموعة فرعية من مجموعة حقوق الوصول لعنصر ما (oj) إلى عنصر فاعل (SK) بطريقتين: مع أو بدون إمكانية النقل بشرط أن مجموعة فرعية حقوق الوصول الممنوحة قابلة للنقل.

العمليات البدائية على مصفوفة التحكم

• الامر الاول: enter w into a[ p , g ]- ١ - أمر منح حق صلاحية w لمستخدم p للكائن g
• الامر الثاني: q create subject b- ٢ - أمر انشاء كائن subject جديد
• الامر الثالث: b create object h- ٣ - أمر انشاء كائن object جديد
• الامر الرابع: p destroy object f- ٤ - أمر لحذف الكائن object
• الامر الخامس: p destroy subject q- ٥ - أمر لحذف الكائن subject
• الامر السادس: delete r from a[b, g]- ٦ - أمر لحذف لصالحية من مستخدم b علي الكائن g

أمثله اخري علي الاوامر

• أمر لإنشاء ملف ومنح حق الملكية للمُنشئ:

  • command create (creator, file)
  • create object file
  • enter own into a [creator, file ]
  • end
    • أمر لإنشاء ملف ومنح حق الملكية للمُنشئ:
      • command create_file (p, f)
      • create object f
      • enter own into a[p , f]
      • enter r into a[p,f]
      • enter w into a[p,f]
      • end

• أمر لإعطاء صلاحية مشروطة r للمالك:

  • command CORNER r ( p , q , f )
    • if own in a[p,f] then
      • enter r into a[q,f]
  • end

• أمر لإلغاء صلاحية مشروطة r للمالك:

  • command REVOKE r ( p , q , f )
    • if own in a[p,f] then
      • delete r from a[q,f]
  • end

• أمر لنقل صلاحية a (sub) إلى صديق friend بدون فقدان حق a من )المستحدم )sub

  • command TRANSFER』(sub, friend, file) - if a * is in a[sub, file ] then - enter a into a[ friend, file ]
  • end

• أمر لنقل صلاحية a (sub) إلى صديق friend مع فقدان حق a من )المستحدم )sub

  • command TRANSFER』(sub, friend, file) - if a* is in a[sub, file ] then - enter a into a[ friend, file ] - delete a from a[ sub, file ]
  • end