What means access management? ماذا تعني إدارة الدخول او الوصول؟ دليل مدير الأمن السيبراني

 What means access management? ماذا تعني إدارة الدخول او الوصول؟

What means access management? ماذا تعني إدارة الدخول او الوصول؟

ماذا نعني بـ "الهوية"؟

 لدينا جميعًا هويات.  في العالم الرقمي ، تتجلى هوياتنا في شكل سمات ومدخلات في قاعدة البيانات.  تميل الخدمات عبر الإنترنت إلى جمع هذه السمات حتى تتمكن من خدمتنا بشكل أفضل ، أو إنشاء تجربة مستخدم فريدة استنادًا إلى البيانات التي تم جمعها حول سماتنا الثابتة والديناميكية.

 سمة فريدة تميزنا عن المستخدمين الآخرين عبر الإنترنت.  يمكن أن تكون هذه السمة عنوان بريد إلكتروني أو رقم هاتف أو رقم ضمان اجتماعي.  نحصل على سمات من أصحاب العمل لدينا في شكل ألقاب ، وفي أي وحدة عمل ننتمي إليها ، أو الأدوار التي لدينا في المشاريع ، أو في التسلسل الهرمي للمؤسسة.  تختلف السمات المتعلقة بحياتنا الخاصة والعملية وتتغير بمرور الوقت عندما نغير وظائفنا ونتنقل ونتزوج وما إلى ذلك.

ما هي  إدارة الهوية

 يتم تحديد هويتك عبر الإنترنت عند التسجيل.  أثناء التسجيل ، يتم جمع بعض السمات وتخزينها في قاعدة البيانات.  يمكن أن تكون عملية التسجيل مختلفة تمامًا اعتمادًا على نوع الهوية الرقمية التي سيتم إصدارها لك.  تستخدم الهوية الإلكترونية الصادرة عن الحكومة عملية شاملة للغاية ، حيث يمكنك التسجيل في مواقع التواصل الاجتماعي بسمات هوية مزيفة تمامًا (وبالتالي لم يتم التحقق منها).

 إدارة الهوية هي كل شيء عن إدارة السمات.  أنت أو مشرفك أو مسؤول الموارد البشرية في شركتك أو مسؤول تكنولوجيا المعلومات أو مسؤول مكتب خدمة موقع التجارة الإلكترونية ما هي إلا عدد قليل من الأمثلة التي يمكن أن تكون مسؤولة عن إنشاء أو تحديث أو حتى حذف السمات المتعلقة بك.

ما هي  الخاصية attribute= الإذن authorize ؟

 بعض سمات الهوية التي لدينا قوية.  يسمحون لنا بالقيام بأشياء عبر الإنترنت.  يمكن لسمة الدور التي تصف منصبًا داخل شركة ، مثل مدير المشتريات على سبيل المثال ، أن تخبر موقعًا على الإنترنت بما يُسمح للشخص بالقيام به على هذا الموقع المحدد.  لذلك ، من الأهمية بمكان أن تتم إدارة وصيانة السمات التي تمنح السلطة للمستخدم بعناية.

 ماذا نعني ب "الوصول access"؟

 قرارات الوصول هي قرارات نعم / لا.  عند نشر عنصر تحكم في الوصول ، سيتم تكليفه باتخاذ قرار نعم / لا عندما يحاول مستخدم عبر الإنترنت الدخول إلى المورد أو استخدامه.  يمكن أن تكون هناك ، وعادة ما تكون ، نقاط تحكم وصول متعددة داخل خدمة عبر الإنترنت.  في المستوى العلوي ، توجد نقطة تحكم في الوصول تحاول تحديد ما إذا كان المستخدم مسموحًا له بدخول الموقع على الإطلاق.  ثم في المستوى الأدنى ، تصل نقطة التحكم في الوصول إلى الملفات الفردية الموجودة في مكان ما على القرص الصلب.  بعض نقاط التحكم في الوصول مرئية للمستخدم النهائي وتتطلب إجراءات.  المثال الأساسي هو المصادقة.

 ماذا نعني ب "المصادقة Authentication "؟

 المصادقة هي عملية يتم فيها تحديد هوية المستخدم.  هناك العديد من الطرق المختلفة لمصادقة المستخدم.  في المستوى الأدنى ، يمكن للمستخدم أن يدعي أنه هو كما يقول ببساطة عن طريق كتابة اسمه كإجابة على السؤال "من أنت؟"  على الطرف الآخر من الطيف ، يمكن للمستخدم تسجيل الدخول إلى الخدمة باستخدام الهوية الإلكترونية الصادرة عن الحكومة (eID).  بين هذين المثالين ، يمكنك العثور على مجموعة واسعة من العمليات والتقنيات المختلفة للمصادقة.

 ما هي ادارة الوصول Access management 

 إذن عند تحديد هوية المستخدم يمكنه الوصول إلى الخدمة؟  خطأ.  المصادقة! = التخويل (! = هي لغة الطالب الذي يذاكر كثيرا ويعني "لا يساوي")  بعد المصادقة يجب أن يكون هناك قرار للتحكم في الوصول.  يعتمد القرار على المعلومات المتاحة عن المستخدم.  هذا هو المكان الذي تلعب فيه السمات.  إذا كان بإمكان عملية المصادقة تسليم المجموعة المطلوبة من السمات إلى نقطة قرار التحكم في الوصول ، فيمكن للعملية بعد ذلك تقييم السمات واتخاذ قرار نعم / لا.

 سياسة التفويض هي أداة يمكن استخدامها لإنشاء نقطة قرار رسمية.  في عالم إدارة الهوية والوصول (IAM) ، يمكن تنفيذ سياسة التفويض في خدمة مركزية ، أو على المستوى المحلي ، أو في كلا الموقعين.  يتمثل دور موفر الهوية في القيام بالمهمة الكبيرة المتمثلة في جمع سمات الهوية المتاحة واتخاذ قرارات الوصول عالية المستوى نيابة عن الخدمة عبر الإنترنت.  لا يُنصح بإنشاء إطار عمل لسياسة التفويض على مستوى الخدمة لأنه يخلق تعقيدات ونفقات صيانة عامة يصعب تغييرها بسرعة ويمكن أن تكون عرضة للأخطاء.

إدارة الوصول والامن السيبراني Access Mangmement and CyberSecurity 

تعد آليات التحكم في الوصول عنصر تصميم ضروريًا وحاسمًا لأمان أي تطبيق.  بشكل عام ، يجب أن يحمي تطبيق الويب البيانات الأمامية والخلفية وموارد النظام من خلال تطبيق قيود التحكم في الوصول على ما يمكن للمستخدمين القيام به ، والموارد التي يمكنهم الوصول إليها ، والوظائف المسموح لهم بأدائها على البيانات.  من الناحية المثالية ، يجب أن يحمي نظام التحكم في الوصول من العرض غير المصرح به أو التعديل أو النسخ للبيانات.  بالإضافة إلى ذلك ، يمكن أن تساعد آليات التحكم في الوصول أيضًا في الحد من تنفيذ التعليمات البرمجية الضارة ، أو الإجراءات غير المصرح بها من خلال مهاجم يستغل تبعيات البنية التحتية (خادم DNS ، خادم ACE ، إلخ).

 غالبًا ما يتم تبديل المصطلحات "التفويض" و "التحكم في الوصول" عن طريق الخطأ.  التفويض هو عملية التحقق لمعرفة ما إذا كان المستخدم لديه الإذن المناسب للوصول إلى ملف معين أو تنفيذ إجراء معين ، بافتراض أن المستخدم قد نجح في مصادقة نفسه.  يركز التفويض إلى حد كبير على بيانات الاعتماد ويعتمد على قواعد محددة وقوائم التحكم في الوصول التي تم إعدادها مسبقًا بواسطة مسؤول (مسؤولي) تطبيق الويب أو مالكي البيانات.  تتضمن فحوصات التفويض النموذجية الاستعلام عن العضوية في مجموعة مستخدمين معينة ، أو حيازة تصريح معين ، أو البحث عن هذا المستخدم في قائمة التحكم في الوصول المعتمدة للمورد ، مثل الحارس في ملهى ليلي حصري.  من الواضح أن أي آلية للتحكم في الوصول تعتمد على ضوابط المصادقة الفعالة والمقاومة للتزوير المستخدمة للترخيص.

 التفويض هو العملية التي يجب فيها منح أو رفض طلبات الوصول إلى مورد معين.  وتجدر الإشارة إلى أن التفويض لا يعادل المصادقة - حيث كثيرًا ما يتم الخلط بين هذه المصطلحات وتعريفاتها.  المصادقة هي توفير الهوية والتحقق منها.  في نظام يستخدم مخططًا بسيطًا لاسم المستخدم وكلمة المرور ، تجمع عملية المصادقة اسم المستخدم وتتحقق من الهوية باستخدام كلمة المرور.  التفويض هو تنفيذ خصائص التحكم في الوصول ، مما يضمن التخصيص المناسب لحقوق الوصول بمجرد نجاح المصادقة.

 التحكم في الوصول هو طريقة أو آلية التخويل لفرض تلك الطلبات إلى مورد النظام أو الوظيفة التي يجب منحها.

 نحتاج إلى معرفة أن الكيانات التي تطلب الوصول إلى الموارد هي موضوعات وأن المورد هو كائن.  ما لم يتم تصميم تطبيقات الويب بخلاف ذلك ، تحتاج إلى عناصر تحكم في الوصول للسماح للمستخدمين (بامتيازات متفاوتة) باستخدام التطبيقات والمسؤولين لإدارة التطبيق.  تتوفر منهجيات مختلفة للتحكم في الوصول.  لاختيار الأنسب ، يجب إجراء تقييم للمخاطر لتحديد التهديدات ونقاط الضعف ، بحيث تخفض المنهجية المحددة قيمة المخاطر إلى مستوى مقبول.

 يشير التحكم في الوصول إلى الطريقة الأكثر عمومية للتحكم في الوصول إلى موارد الويب ، بما في ذلك القيود المستندة إلى أشياء مثل الوقت من اليوم ، وعنوان IP لمتصفح عميل HTTP ، ومجال متصفح عميل HTTP ، ونوع التشفير HTTP  يمكن للعميل دعم ، عدد المرات التي قام فيها المستخدم بالمصادقة في ذلك اليوم ، امتلاك أي عدد من أنواع الرموز المميزة للأجهزة / البرامج ، أو أي متغيرات مشتقة أخرى يمكن استخراجها أو حسابها بسهولة.

 قبل اختيار آليات التحكم في الوصول ، يمكن أن تساعد عدة خطوات تحضيرية في تسريع وتوضيح عملية التصميم ؛

1.  حاول تحديد القيمة النسبية للمعلومات المراد حمايتها من حيث السرية ، والحساسية ، والتصنيف ، والخصوصية ، والنزاهة فيما يتعلق بالمؤسسة وكذلك المستخدمين الفرديين.  ضع في اعتبارك أسوأ حالة للخسارة المالية التي قد يتسبب فيها الكشف غير المصرح به أو التعديل أو رفض خدمة المعلومات.  يمكن أن يؤدي تصميم ضوابط وصول متقنة وغير مريحة حول البيانات غير المصنفة أو غير الحساسة إلى نتائج عكسية للهدف أو الغرض النهائي لتطبيق الويب.
2.  تحديد التفاعل النسبي بين مالكي البيانات ومنشئيها داخل تطبيق الويب.  قد تقيد بعض التطبيقات أي إنشاء أو ملكية للبيانات لأي شخص باستثناء مستخدمي النظام الإداريين أو المدمجين.  هل الأدوار المحددة مطلوبة لمزيد من تقنين التفاعلات بين أنواع مختلفة من المستخدمين والمسؤولين؟
3.  حدد عملية منح وإلغاء حقوق التحكم في وصول المستخدم على النظام ، سواء كانت عملية يدوية ، أو تلقائية عند التسجيل أو إنشاء الحساب ، أو من خلال أداة إدارية أمامية.
4.  حدد بوضوح أنواع الوظائف المدفوعة بالدور التي سيدعمها التطبيق.  حاول تحديد وظائف المستخدم المحددة التي يجب تضمينها في تطبيق الويب (تسجيل الدخول ، وعرض معلوماتهم ، وتعديل معلوماتهم ، وإرسال طلب مساعدة ، وما إلى ذلك) بالإضافة إلى الوظائف الإدارية (تغيير كلمات المرور ، وعرض أي بيانات للمستخدمين ، وإجراء الصيانة  في التطبيق ، وعرض سجلات المعاملات ، وما إلى ذلك).
5.  حاول مواءمة آليات التحكم في الوصول الخاصة بك قدر الإمكان لسياسة أمان مؤسستك.  يمكن تعيين العديد من الأشياء من السياسة جيدًا إلى جانب التنفيذ للتحكم في الوصول (وقت مقبول من اليوم للوصول إلى بيانات معينة ، وأنواع المستخدمين المسموح لهم برؤية بيانات معينة أو أداء مهام معينة ، وما إلى ذلك).  عادةً ما تعمل هذه الأنواع من التعيينات بشكل أفضل مع التحكم في الوصول المستند إلى الدور.

 هناك عدد كبير من نماذج التحكم في الوصول المقبولة في مجال أمن المعلومات.  يحتوي العديد من هذه الجوانب على جوانب تترجم جيدًا في مساحة تطبيق الويب ، بينما لا يفعل البعض الآخر.  من المحتمل أن تجمع آلية حماية التحكم في الوصول الناجحة بين جوانب كل من النماذج التالية ويجب تطبيقها ليس فقط على إدارة المستخدم ، ولكن على تكامل التعليمات البرمجية والتطبيق لوظائف معينة.

ما هي أنواع التحكم في الوصول what are the types of access control 

•  التحكم في الوصول التقديرية او القاموس Discretionary Access Control

 التحكم في الوصول التقديري (DAC) هو وسيلة لتقييد الوصول إلى المعلومات بناءً على هوية المستخدمين و / أو العضوية في مجموعات معينة.  تستند قرارات الوصول عادةً إلى التراخيص الممنوحة للمستخدم بناءً على بيانات الاعتماد التي قدمها في وقت المصادقة (اسم المستخدم وكلمة المرور والرمز المميز للأجهزة / البرامج وما إلى ذلك).  في معظم نماذج DAC النموذجية ، يمكن لمالك المعلومات أو أي مورد تغيير أذوناته وفقًا لتقديره (وبالتالي الاسم).  تحتوي DAC على عيب يتمثل في عدم قدرة المسؤولين على إدارة هذه الأذونات بشكل مركزي على الملفات / المعلومات المخزنة على خادم الويب.  غالبًا ما يعرض نموذج التحكم في الوصول DAC واحدًا أو أكثر من السمات التالية.

1.  يمكن لمالكي البيانات نقل ملكية المعلومات إلى مستخدمين آخرين
2.  يمكن لمالكي البيانات تحديد نوع الوصول الممنوح للمستخدمين الآخرين (قراءة وكتابة ونسخ وما إلى ذلك)
3.  يؤدي فشل التفويض المتكرر للوصول إلى نفس المورد أو الكائن إلى إصدار إنذار و / أو يقيد وصول المستخدم
4.  مطلوب برنامج إضافي أو مكون إضافي خاص للتطبيق على عميل HTTP لمنع النسخ العشوائي من قبل المستخدمين ("قص ولصق" المعلومات)
5.  يجب ألا يتمكن المستخدمون الذين ليس لديهم وصول إلى المعلومات من تحديد خصائصها (حجم الملف واسم الملف ومسار الدليل وما إلى ذلك)
6.  يتم تحديد الوصول إلى المعلومات بناءً على التخويلات للوصول إلى قوائم التحكم بناءً على معرف المستخدم وعضوية المجموعة.

•  التحكم في الوصول الإلزامي Mandatory Access Control

 يضمن التحكم في الوصول الإلزامي (MAC) أن تطبيق سياسة الأمن التنظيمي لا يعتمد على الامتثال الطوعي لمستخدم تطبيق الويب.  يؤمن MAC المعلومات عن طريق تعيين ملصقات حساسية للمعلومات ومقارنة ذلك بمستوى الحساسية الذي يعمل به المستخدم.  بشكل عام ، تعد آليات التحكم في الوصول إلى MAC أكثر أمانًا من DAC ومع ذلك لها مقايضات في الأداء والراحة للمستخدمين.  تقوم آليات MAC بتعيين مستوى أمان لجميع المعلومات ، وتخصيص تصريح أمني لكل مستخدم ، والتأكد من أن جميع المستخدمين لديهم فقط إمكانية الوصول إلى تلك البيانات التي لديهم تصريح خاص بها.  عادةً ما يكون MAC مناسبًا للأنظمة الآمنة للغاية بما في ذلك التطبيقات العسكرية الآمنة متعددة المستويات أو تطبيقات البيانات المهمة للمهام.  غالبًا ما يعرض نموذج التحكم في الوصول إلى MAC واحدة أو أكثر من السمات التالية.

 يقوم المسؤولون فقط ، وليس مالكو البيانات ، بإجراء تغييرات على تسمية أمان المورد.

 يتم تعيين مستوى أمان لجميع البيانات يعكس حساسيتها النسبية وسريتها وقيمة الحماية.

 يمكن لجميع المستخدمين القراءة من تصنيف أقل من التصنيف الممنوح لهم (يمكن للمستخدم "السري" قراءة مستند غير مصنف).

 يمكن لجميع المستخدمين الكتابة إلى تصنيف أعلى (يمكن للمستخدم "السري" نشر المعلومات إلى مورد شديد السرية).

 يتم منح جميع المستخدمين حق الوصول للقراءة / الكتابة إلى كائنات من نفس التصنيف فقط (لا يمكن للمستخدم "السري" سوى القراءة / الكتابة إلى مستند سري).

 الوصول مسموح به أو مقيد للكائنات بناءً على الوقت من اليوم اعتمادًا على التسمية الموجودة على المورد وبيانات اعتماد المستخدم (وفقًا للسياسة).

 الوصول مسموح به أو مقيد للكائنات بناءً على الخصائص الأمنية لعميل HTTP (مثل طول بت SSL ، ومعلومات الإصدار ، وعنوان IP الأصلي أو المجال ، وما إلى ذلك)

•  التحكم في الوصول المستند إلى الدور Role Based Access Control

 في التحكم في الوصول المستند إلى الدور (RBAC) ، تستند قرارات الوصول إلى أدوار ومسؤوليات الفرد داخل المؤسسة أو قاعدة المستخدمين.  عادة ما تعتمد عملية تحديد الأدوار على تحليل الأهداف الأساسية وهيكلية المنظمة وعادة ما تكون مرتبطة بالسياسة الأمنية.  على سبيل المثال ، في مؤسسة طبية ، قد تشمل الأدوار المختلفة للمستخدمين أدوار مثل الطبيب ، والممرضة ، والمرافق ، والممرضة ، والمرضى ، إلخ. من الواضح أن هؤلاء الأعضاء يحتاجون إلى مستويات مختلفة من الوصول من أجل أداء وظائفهم ، ولكن أيضًا الأنواع  تختلف معاملات الويب وسياقها المسموح به اعتمادًا كبيرًا على سياسة الأمان وأي لوائح ذات صلة (HIPAA ، Gramm-Leach-Bliley ، إلخ).

 يجب أن يوفر إطار التحكم في الوصول في RBAC لمسؤولي أمان تطبيقات الويب القدرة على تحديد من يمكنه تنفيذ أي إجراءات ومتى ومن أين وبأي ترتيب وفي بعض الحالات تحت أي ظروف علائقية.  يوفر http://csrc.nist.gov/rbac/ بعض الموارد الرائعة لتنفيذ RBAC.  تعرض الجوانب التالية سمات RBAC لنموذج التحكم في الوصول.

1.  يتم تعيين الأدوار على أساس الهيكل التنظيمي مع التركيز على سياسة الأمن التنظيمي
2.  يتم تعيين الأدوار من قبل المسؤول بناءً على العلاقات النسبية داخل المؤسسة أو قاعدة المستخدمين.  على سبيل المثال ، سيكون لدى المدير بعض المعاملات المصرح بها على موظفيه.  سيكون لدى المسؤول بعض المعاملات المصرح بها على نطاق واجباته المحددة (النسخ الاحتياطي ، وإنشاء الحساب ، وما إلى ذلك)
3.  يتم تخصيص ملف تعريف لكل دور يتضمن جميع الأوامر والمعاملات والوصول المسموح به إلى المعلومات.
4.  تُمنح الأدوار أذونات بناءً على مبدأ الامتياز الأقل.
5.  يتم تحديد الأدوار مع وضع فصل المهام في الاعتبار حتى لا يتداخل دور المطور مع دور مختبِر ضمان الجودة.
6.  يتم تنشيط الأدوار بشكل ثابت وديناميكي حسب الاقتضاء لبعض المشغلات العلائقية (قائمة انتظار مكتب المساعدة ، تنبيه الأمان ، بدء مشروع جديد ، إلخ)
7.  لا يمكن نقل الأدوار أو تفويضها إلا باستخدام إجراءات وإجراءات صارمة.
8.  تتم إدارة الأدوار مركزيًا بواسطة مسؤول الأمان أو قائد المشروع.

•  التحكم في الوصول المستند إلى السمات Attribute Based Access Control

 التحكم في الوصول المستند إلى السمات (ABAC) هو نموذج للتحكم في الوصول حيث يتم اتخاذ قرارات التحكم في الوصول بناءً على مجموعة من الخصائص أو السمات المرتبطة بالطلب و / أو البيئة و / أو المورد نفسه.  كل سمة هي حقل منفصل ومتميز يمكن لنقطة قرار السياسة مقارنتها بمجموعة من القيم لتحديد ما إذا كان سيتم السماح أو رفض الوصول أم لا.  لا يلزم بالضرورة أن تكون السمات مرتبطة ببعضها البعض ، وفي الواقع ، يمكن أن تأتي السمات التي تدخل في اتخاذ القرار من مصادر متباينة وغير ذات صلة.  يمكن أن تكون متنوعة مثل تاريخ تعيين الموظف أو المشاريع التي يعمل فيها الموظف أو الموقع الذي يعمل فيه الموظف أو مزيجًا مما سبق.  يجب أن يلاحظ المرء أيضًا أن دور الموظف في المنظمة يمكن أن يكون بمثابة سمة واحدة يمكن (وغالبًا ما يتم استخدامها) في اتخاذ قرار التحكم في الوصول.

 يتضمن سيناريو ABAC النموذجي الطالب الذي يحاول الوصول إلى نظام إما مباشرة أو من خلال وسيط.  سيتعين على مقدم الطلب بشكل مباشر أو غير مباشر توفير مجموعة من السمات التي سيتم استخدامها لتحديد ما إذا كان سيتم السماح بالوصول أم لا.  بمجرد أن يقدم مقدم الطلب هذه السمات ، يتم فحصها مقابل السمات المسموح بها وسيتم اتخاذ قرار بناءً على قواعد الوصول.

•  التحكم في الوصول المستند إلى السياسة Policy-Based Access Control

 تمتلك معظم المؤسسات نوعًا من السياسة وهيكل الحوكمة لضمان التنفيذ الناجح لمهمة المنظمة ، ولتخفيف المخاطر ، ولضمان المساءلة والامتثال للقوانين واللوائح ذات الصلة.  لقد كان وضع الأمن الداخلي لمعظم الشركات والمؤسسات تقليديًا خارج نطاق القانون والتنظيم ، على الرغم من أن البنوك والهيئات ذات الصلة بالحكومة والبنية التحتية الحيوية هي بعض الأمثلة البارزة للمنظمات التي مارست فيها الحكومة سلطتها للضغط من أجل تشديد الإجراءات الأمنية  ضوابط.  مع مؤسسة التنظيم والتشريع في العديد من الصناعات ، مثل Gramm-Leach-Bliley (GLBA) للخدمات المالية ، وقانون القدرة على التأمين الصحي والمساءلة (HIPAA) للرعاية الصحية ، و Sarbanes-Oxley (SOX) للشركات ، والعديد من المنظمات  يكتشفون أنهم بحاجة إلى وضع سياسات أكثر صرامة وضوابط موحدة عبر المؤسسة من أجل الامتثال.  إنهم بحاجة إلى إنشاء وفرض سياسات تحدد من يجب أن يكون له حق الوصول إلى الموارد وتحت أي ظروف.  يحتاجون أيضًا إلى وضع آليات بحيث يمكن تدقيق الوصول بسهولة لأن هذه القوانين تحمل المديرين التنفيذيين للمؤسسات المسؤولية عن تصرفات مرؤوسيهم.  يعد التحكم في الوصول المستند إلى السياسة (PBAC) نموذجًا ناشئًا يسعى إلى مساعدة المؤسسات على تلبية الحاجة إلى تنفيذ ضوابط وصول ملموسة تستند إلى سياسة مجردة ومتطلبات الحوكمة.

 بشكل عام ، يمكن القول بأن PBAC هو تنسيق وتوحيد نموذج ABAC على مستوى المؤسسة لدعم أهداف الحوكمة المحددة.  يجمع PBAC بين السمات من المورد والبيئة والطالب مع معلومات عن مجموعة معينة من المواقف التي يتم بموجبها تقديم طلب الوصول ، ويستخدم مجموعات القواعد التي تحدد ما إذا كان الوصول مسموحًا به بموجب السياسة التنظيمية لتلك السمات في ظل تلك الظروف  .

•  التحكم في الوصول التكيفي مع المخاطر Risk-Adaptive Access Control =RAdAC

 المنظمات ليست ثابتة ؛  تتطور باستمرار وتستجيب لمجموعة متنوعة من المحفزات ، والتي يمكن أن تشمل المتطلبات القانونية ، والحقائق الاقتصادية والمالية ، وتحديات السوق ، ومجموعة متنوعة من عوامل الخطر ، وأنماط السفن الرائدة.  إن طبيعتها الديناميكية تعني أن السياسات التي توجهها يجب أن تكون قابلة للتكيف أيضًا ؛  هذا يمتد بشكل طبيعي إلى أمن المنظمة ومتطلبات التحكم في الوصول أيضًا.  تعتبر التهديدات الأمنية التي تواجهها المؤسسات ديناميكية أيضًا ، لذا يجب عليها تقييم المخاطر التي تتعرض لها البنية التحتية لتكنولوجيا المعلومات والبيانات المرتبطة بها باستمرار.  حتى نماذج التحكم في الوصول الأكثر تقدمًا ، مثل ABAC و PBAC لا يمكنها تلبية الحاجة إلى الديناميكية والتغييرات في مستويات المخاطر بشكل مناسب.  تم تصميم نموذج التحكم في الوصول التكيفي مع المخاطر (RAdAC) لتوفير التحكم في الوصول في الوقت الفعلي والقابل للتكيف والواعي بالمخاطر للمؤسسة.

 يمثل RAdAC تحولًا أساسيًا في طريقة إدارة التحكم في الوصول.  وهو يمتد إلى نماذج التحكم في الوصول السابقة الأخرى من خلال إدخال الظروف البيئية ومستويات المخاطر في عملية اتخاذ قرار التحكم في الوصول ، بالإضافة إلى مفهوم "الحاجة التشغيلية".  يتجاوز RAdAC الاعتماد التقليدي على السمات والسياسات الثابتة.  فهو يجمع بين المعلومات حول جدارة الفرد (أو الجهاز) بالثقة ، ومعلومات حول البنية التحتية لتكنولوجيا المعلومات للشركة ، وعوامل المخاطر البيئية ، ويستخدم كل هذه المعلومات لإنشاء مقياس مخاطر شامل قابل للقياس الكمي.  يستخدم RAdAC أيضًا العوامل الظرفية كمدخل لعملية صنع القرار.  يمكن أن تتضمن هذه المدخلات الظرفية معلومات عن مستوى التهديد الحالي الذي تواجهه المؤسسة بناءً على البيانات التي تم جمعها من مصادر أخرى ، مثل CERTs أو بائعي الأمن.

ماهي  الدفاعات او إجراءات الوقاية  ضد هجمات التحكم في الوصول

•  تنفيذ التحكم في الوصول المستند إلى الدور لتعيين أذونات لمستخدمي التطبيق لمتطلبات التحكم في الوصول الرأسي
•  تنفيذ التحكم في الوصول إلى سياق البيانات لتعيين أذونات لمستخدمي التطبيق في سياق عناصر بيانات محددة لمتطلبات التحكم في الوصول الأفقي
•  تجنب تعيين الأذونات على أساس كل مستخدم
•  تنفيذ إجراءات متسقة للتحقق من الترخيص في جميع صفحات التطبيق
•  عند الاقتضاء ، قم بتطبيق امتيازات DENY أخيرًا ، وقم بإصدار امتيازات ALLOW على أساس كل حالة على حدة
•  حيثما أمكن تقييد وصول المسؤول إلى الأجهزة الموجودة على شبكة المنطقة المحلية (أي أنه من الأفضل تجنب وصول المسؤول عن بُعد من نقاط الوصول العامة المواجهة)
•  قم بتسجيل جميع طلبات تفويض الوصول الفاشلة إلى موقع آمن لمراجعتها من قبل المسؤولين
•  قم بإجراء مراجعات لمحاولات تسجيل الدخول الفاشلة على أساس دوري
•  استفد من نقاط القوة والوظائف التي يوفرها حل SSO الذي اخترته
•  قم بإجراء مراجعات للتحكم في الوصول فيما يتعلق بمصفوفة التحكم في الوصول لواجهة المستخدم / واجهة الوصول إلى البيانات
•  تأكد من أن مصفوفة التحكم في الوصول تلتزم بالفصل بين الواجبات - وأن مقدم الطلب لا يمكنه تنفيذ التراخيص.

المصطلحات

1. The Risk-Adaptive Access Control = RAdAC  وتعني التحكم في الوصول الخطر التكيفي. 
2. Policy-based Access Control =PBAC وتعني التحكم في الوصول المستند إلى السياسة
3.   Attribute Based Access CONTROL= ABAC وتعني التحكم في الوصول المستند إلى السمات او الصفات
4.  Role Based Access Control  =RBAC وتعني التحكم في الوصول المستند إلى الدور. 
5.  Mandatory Access Control  =MAC وتعني التحكم في الوصول الإلزامي
6.   Discretionary Access Control=  DAC وتعني التحكم في الوصول التقديرية او القاموس 

اقرأ أيضا في دليل محلل الأمن السيبراني 

تكنولوجيا الإنترنت

1.  الشبكات
2.  Wireless LAN Basics - CyberSecurity Analyst guide أساسيات الشبكة المحلية اللاسلكية - دليل محلل الأمن السيبراني
3. Web Basics - CyberSecurity Analyst guide أساسيات الويب - دليل محلل الأمن السيبراني
4. What is Website? - CyberSecurity Analyst guide? ما هو الموقع؟ - دليل محلل الأمن السيبراني؟
5.  What is Information Security? - CyberSecurity Analyst guide? ما هو أمن المعلومات؟ - دليل محلل الأمن السيبراني؟
6.  What is cryptography؟ CyberSecurity Analyst Guide ما هو التشفير؟  دليل محلل الأمن السيبراني 
7.   What is meant  PKI (public key infrastructure)?ما المقصود بـ PKI (البنية التحتية للمفتاح العام)؟ محلل الأمن السيبراني 
8.   What are the differences between  electronic signature,  digital signature and  digitized signature?ما الفرق بين التوقيع الإلكتروني والتوقيع الرقمي والتوقيع الرقمنة؟