التحكم بالوصول ACCESS CONTROL

ما هو التحكم بالوصول؟

هو مفهوم أساسي في أمن البيانات مسؤول عن تنظيم وصول الأشخاص أو الأشياء إلى البيانات والموارد أو استخدامها في الأنظمة الحاسوبية. كما يمكن تعريفه أيضاً بأنه تقييد انتقائي لعمليات الوصول إلى البيانات واستخدامها لتخفيض أخطار الوصول غير المصرح به إلى الأنظمة الفيزيائية والمنطقية إلى الحد الأدنى. ويُعد الهدف الأساسي من أنظمة التحكم بالوصول حماية المعلومات الحساسة مثل بيانات العملاء والمعلومات المعرفة شخصياً والملكية الفكرية من الوقوع في الأيدي الخاطئة.

ما أنواع التحكم بالوصول؟

هناك نوعين لأنظمة التحكم بالوصول هما:

1. التحكم بالوصول الفيزيائي: يُقيد الوصول إلى الفروع والأبنية والغرف وغيرها من الأصول الفيزيائية.
2. التحكم بالوصول المنطقي: يُقيد الوصول إلى الأنظمة والحواسيب والشبكات والملفات والبيانات الحساسة.

ما هي عناصر التحكم بالوصول؟

يتألف التحكم بالوصول من عنصرين أساسيين هما:

1. المصادقة: عملية تأكيد الادعاء مثل التحقق من هوية شخص ما بالاعتماد على وثائق الهوية الشخصية، أو مستخدم ما لنظام حاسوبي عن طريق عناصر مصادقة متنوعة مثل كلمات المرور أو المقاييس الحيوية أو غيرها.
2. التفويض: عملية تحديد حقوق الوصول أو الامتيازات للموارد المختلفة؛ مثل تفويض موظفي قسم الموارد البشرية بالوصول إلى سجلات الموظفين.

ما هي نماذجه؟

هناك عدة نماذج للتحكم بالوصول هي:

1. التحكم بالوصول الإلزامي: في هذا النموذج يتم تنظيم حقوق الوصول من قبل سلطة مركزية بالاعتماد على عدة مستويات أمنية، ويستخدم عادةً في البيئات الحكومية والعسكرية.
2. التحكم بالوصول التقديري: في هذا النموذج يضع مالك أو مدير النظام المحمي سياسات الوصول إلى الموارد المختلفة.
3. التحكم بالوصول المُعتمد على الدور الوظيفي: يُعد هذا النموذج من أكثر النماذج استخداماً، ويتم فيه تقييد الوصول إلى الموارد الحاسوبية لفرد أو مجموعة بناءً على دورهم أو وظائف العمل المطلوبة منهم في الشركات والمؤسسات.
4. التحكم بالوصول المُعتمد على القواعد: في هذا النموذج يقوم مدير النظام بتعريف مجموعة من القواعد التي تحكم عمليات الوصول إلى الموارد.
5. التحكم بالوصول المُعتمد على الصفات: يتم في هذا النموذج إدارة حقوق الوصول عن طريق تقييم مجموعة من القواعد والسياسات والعلاقات بالاعتماد على صفات المستخدم والنظام والظروف البيئية.