ما هو التحكم الإلزامي في الوصول (MAC)؟
التحكم الإلزامي بالوصول (MAC) هو استراتيجية أمنية تقيد قدرة مالكي الموارد الفردية على منح أو رفض الوصول إلى كائنات الموارد في نظام الملفات. يتم تحديد معايير MAC من قبل مسؤول النظام، ويتم تطبيقها بصرامة من قبل نظام التشغيل (نظام التشغيل) أو الأمن نواة، ولا يمكن تغييرها من قبل المستخدمين النهائيين.
MAC هي طريقة أو صلاحية التحكم صلاحية الدخول سياسة تهدف إلى تقييد الوصول إلى أحد الموارد (المعروف أيضًا باسم الكائن) استنادًا إلى عاملين رئيسيين: حساسية المعلومات الواردة في هذا المورد ومستوى الترخيص للمستخدم الذي يحاول الوصول إلى هذا المورد ومعلوماته.
تحدد فرق الأمان أو المسؤولين ما إذا كان المورد أم لا هل هو حساس أم لا من خلال تطبيق مستوى أمان، مثل “مقيد” أو “سري” أو “سري” أو “سري للغاية” عليه وتعيين المورد إلى فئة أمان، مثل “القسم M” أو “المشروع X.” يشكل مستوى الأمان وفئة الأمان معًا تسمية الأمان. يقوم المسؤولون أيضًا بتعيين أ تصريح أمني المستوى لكل مستخدم معتمد لتحديد المورد الذي يمكنه الوصول إليه.
بمجرد تطبيق التصنيف والانتهاء من سياسة MAC، يمكن للمستخدمين فقط الوصول إلى تلك الموارد (أو المعلومات الموجودة داخل الموارد) التي يحق لهم الوصول إليها. على سبيل المثال، قد يحق للمستخدم “أ” الوصول إلى المعلومات الموجودة في أحد الموارد المسمى “القسم “م” مقيد”، ولكن قد لا يتمتع المستخدم “ب” بنفس السلطة. وبالمثل، قد يحق للمستخدم “ب” الوصول إلى المورد المسمى “Project X Confidential”، ولكن قد لا يكون المستخدم “A” مصرحًا له بالقيام بذلك.
لماذا يتم استخدام التحكم الإلزامي في الوصول؟
يعد MAC طريقة مهمة للتحكم في الوصول إلى البيانات. غالبا ما يستخدم ل حماية المعلومات والتي في حالة تعرضها للخطر أو الخسارة قد تسبب ضررا للمنظمة. قد تكون هذه المعلومات خاصة أو حساسة أو سرية أو مقيدة. تشمل الأمثلة ما يلي:
إذا وقعت هذه الأنواع من المعلومات في الأيدي الخطأ، فيمكن أن تسبب ضررًا ماليًا أو ضررًا لسمعة الشركة أو الحكومة. ولهذا السبب من المهم حماية المعلومات والحفاظ على سريتها ونزاهتها وتوافرها – المعروف أيضًا باسم ثالوث وكالة المخابرات المركزية – والتأكد من أن المستخدمين المصرح لهم فقط هم من يمكنهم الوصول إلى المعلومات. هنا يمكن أن يكون تطبيق MAC مفيدًا.
كيف يتم استخدام التحكم الإلزامي في الوصول؟
غالبًا ما يتم استخدام التحكم الإلزامي بالوصول في المنشآت الحكومية والعسكرية، عن طريق تعيين علامة تصنيف لكل كائن في نظام الملفات. بالإضافة إلى ذلك، يتم تعيين مستوى أمان أو تصريح لكل مستخدم. لا يجوز لهم الوصول إلى الكائن أو المورد إلا إذا كان مستوى الأمان الخاص بهم مساويًا أو أكبر من تصنيف تصنيف المورد (“مقيد”، “سري”، وما إلى ذلك).
عندما يحاول شخص أو جهاز الوصول إلى مورد معين، سيتحقق نظام التشغيل أو نواة الأمان من بيانات اعتماد الكيان لتحديد ما إذا كان سيتم منح الوصول أم لا. على الرغم من أن MAC هو إعداد التحكم في الوصول الأكثر أمانًا، إلا أنه يتطلب تخطيطًا دقيقًا و المراقبة المستمرة للحفاظ على تحديث كافة تصنيفات كائنات الموارد والمستخدمين.
يلعب المسؤول أ دورا رئيسيا في وضع وتطبيق MAC والحفاظ على نموذجها الهرمي. يقوم هذا الشخص أو هؤلاء الأشخاص بتعيين جميع أذونات المستخدم وعناصر التحكم في من يمكنه الوصول إلى ماذا. ونظرًا لهذه الإدارة المركزية والمحكمة، لا يمكن للمستخدمين غير الإداريين تعيين أذوناتهم الخاصة. ولا يمكنهم أيضًا الوصول إلى الموارد التي تتوافق مع مستوى الأمان الأعلى من المستوى الخاص بهم في التسلسل الهرمي.
ما هي المبادئ الأساسية للتحكم الإلزامي في الوصول؟
يعتمد MAC على عدة مبادئ تساعد عند اتباعها في التحكم في الوصول إلى البيانات، حماية البيانات، والحفاظ على سريتها. أحد هذه المبادئ هو أن MAC تتم إدارته مركزيًا دائمًا بواسطة المسؤول. هذا الشخص مسؤول عن إعداد التصاريح الأمنية للمستخدمين وعلامات الأمان للموارد.
مبدأ آخر هو أنه لا يمكن للمستخدمين الوصول إلا إلى الموارد التي تم منحهم تصريحًا بشأنها. بعد ذلك، لا يمكن للمستخدمين إجراء تغييرات على أذوناتهم أو مستويات التخليص، حتى لو كانوا يمتلكون المورد. وأخيرًا، لا يمكن لأي مستخدم منح امتيازات لمستخدمين آخرين أو تغيير MAC القواعد التي تحكم التحكم في الوصول. ولا يمكنهم أيضًا الوصول إلى معلومات شخص آخر أو تعديلها دون الحصول على إذن صريح للقيام بذلك.
فوائد وعيوب التحكم الإلزامي في الوصول
يعتبر MAC وسيلة آمنة للغاية للتحكم في الوصول إلى الموارد الحساسة أو السرية والمعلومات الواردة فيها. وهو مفيد بشكل خاص للحفاظ على سرية البيانات. وبما أن المسؤول يتحكم في أي مستخدم لديه حق الوصول إلى أي مورد، فلا يمكن للمستخدمين أيضًا إجراء تغييرات على الوصول، مما قد يؤدي إلى تعريض أمان المورد للخطر. هذه الفوائد تجعل شركة MAC مناسبة لحماية البيانات الحساسة في البيئات الحكومية والعسكرية.
أحد عيوب MAC هو أنه قد يكون من الصعب إدارتها بسبب عبء تكوين جميع عمليات الوصول والحفاظ عليها يقع على عاتق المسؤولخاصة مع تزايد عدد الأنظمة والمستخدمين. لنفس السبب، فإن MAC غير مناسب للتطبيقات التي بها العديد من المستخدمين، مثل التطبيقات المستندة إلى الإنترنت.
عيب آخر لـ MAC هو أنه يمكن أن تكون مكلفة لتنفيذ. قد يستغرق السماح للمستخدمين بالوصول إلى نوع واحد أو أكثر من أنواع الموارد وقتًا طويلاً ومكلفًا. وتزداد التكلفة والجهد بشكل أكبر عندما يجب تطبيق مستويات سرية أو مجالات أمان مختلفة داخل نفس نظام تكنولوجيا المعلومات. ولهذه الأسباب، لا يتم استخدام هذه الطريقة غالبًا في بيئات الشركات ذات الميزانية المحدودة.
ما الفرق بين التحكم في الوصول الإلزامي والتحكم في الوصول التقديري؟
باعتباره أعلى مستوى للتحكم في الوصول، يمكن أن يتناقض MAC مع التحكم في الوصول التقديري ذي المستوى الأدنى (لجنة المساعدة الإنمائية)، والذي يتيح لمالكي الموارد الفردية وضع سياساتهم الخاصة وتعيين عناصر التحكم في الأمان.
على عكس MAC، توفر DAC للمستخدمين بعض التحكم في موارد البيانات الخاصة بهم. على سبيل المثال، يمكن لمنشئي المستندات تحديد من يمكنه الوصول إلى المستند ونوع الامتيازات التي سيحصل عليها هؤلاء المستخدمون. ليس مطلوبًا من المسؤول التحكم في عمليات الوصول وتعيين الامتيازات.
هناك اختلاف آخر وهو أن تطبيق MAC يعتمد على مستويات حساسية الموارد ولا يتم تخزين الأذونات في قوائم التحكم في الوصول (قوائم ACL). وفي المقابل، يتم تخزين الأذونات في DAC في قوائم ACL، والتي يتم إنشاؤها وصيانتها بواسطة المسؤول.
يعد تنفيذ DAC أسهل إلى حد ما لأنه لا يتطلب إدارة مركزية. ومع ذلك، فهي طريقة أقل أمانًا للتحكم في الوصول إلى البيانات لأنها لا تتطلب تعيين تسميات للكائنات وتراخيص للمستخدمين.
تعرف على المزيد حول كيفية القيام بذلك إدارة الهوية والوصول يلعب دوراً في أهمية أطر العمل.
