التحكم في الوصول التقديري (DAC) هو نوع من نظام التحكم في الوصول الذي يوفر سياسة وصول يحددها مالك البيانات أو المورد. يتمتع المالك بسلطة تقديرية لمنح أو رفض الوصول للمستخدمين أو العمليات الأخرى.
نشأة وتطور التحكم في الوصول التقديري
يعود مفهوم التحكم في الوصول التقديري إلى الأيام الأولى لأنظمة الحوسبة المشتركة، وتحديدًا في نظام Multics (خدمة المعلومات والحوسبة المتعددة الإرسال) الذي تم تطويره في الستينيات. يتضمن نظام Multics شكلاً بدائيًا من DAC، والذي أصبح فيما بعد مصدر إلهام لأنظمة التحكم في الوصول الحديثة. أصبح DAC مفهومًا رسميًا مع إصدار "الكتاب البرتقالي" الصادر عن وزارة الدفاع الأمريكية في الثمانينيات، والذي حدد عدة مستويات من الضوابط الأمنية، بما في ذلك DAC.
توسيع فهم التحكم في الوصول التقديري
يعتمد التحكم في الوصول التقديري على مبادئ الامتيازات التقديرية. وهذا يعني أن الفرد أو الكيان الذي يملك البيانات أو المورد لديه القدرة على تحديد من يمكنه الوصول إلى تلك البيانات أو المورد. يمكن أن يمتد عنصر التحكم هذا إلى أذونات القراءة والكتابة. ضمن DAC، يتم الاحتفاظ بقائمة التحكم في الوصول (ACL)، والتي تحدد نوع الوصول الذي يمتلكه المستخدم أو مجموعة المستخدمين إلى مورد معين.
الهيكل الداخلي وأداء التحكم في الوصول التقديري
يعتمد نموذج DAC بشكل أساسي على مكونين رئيسيين: قوائم التحكم في الوصول (ACLs) وجداول القدرات. ترتبط قوائم ACL بكل مورد أو كائن وتحتوي على قائمة بالمواضيع (المستخدمين أو العمليات) بالإضافة إلى الأذونات الممنوحة لهم. من ناحية أخرى، تحتفظ جداول القدرات بقائمة من الكائنات التي يمكن لموضوع معين الوصول إليها.
عند تقديم طلب للوصول، يقوم نظام DAC بفحص قائمة التحكم بالوصول (ACL) أو جدول القدرة لتحديد ما إذا كان الطالب مسموحًا له بالوصول إلى المورد. إذا كانت قائمة التحكم بالوصول (ACL) أو جدول القدرة تمنح حق الوصول، فستتم الموافقة على الطلب. وإلا فهو مرفوض.
الميزات الرئيسية للتحكم في الوصول التقديري
- الوصول الذي يحدده المالك: يحدد مالك البيانات أو المورد من يمكنه الوصول إليه.
- قوائم التحكم بالوصول: تحدد قائمة التحكم بالوصول (ACL) نوع الوصول الذي يتمتع به كل مستخدم أو مجموعة مستخدمين.
- جداول القدرات: تسرد هذه الجداول الموارد التي يمكن للمستخدم أو مجموعة المستخدمين الوصول إليها.
- المرونة: يمكن للمالكين تغيير الأذونات بسهولة كما هو مطلوب.
- التحكم في الوصول متعدية: إذا كان لدى المستخدم حق الوصول إلى أحد الموارد، فمن المحتمل أن يمنح حق الوصول لمستخدم آخر.
أنواع التحكم في الوصول التقديري
بينما يمكن تنفيذ DAC بطرق مختلفة، فإن النهجين الأكثر شيوعًا هما قوائم ACL وقوائم القدرات.
| يقترب | وصف |
|---|---|
| قوائم التحكم بالوصول (ACLs) | ترتبط قوائم ACL بكائن (ملف، على سبيل المثال) وتحدد المستخدمين الذين يمكنهم الوصول إلى الكائن والعمليات التي يمكنهم تنفيذها عليه. |
| قوائم القدرات | ترتبط قوائم القدرات بالمستخدم وتحدد الكائنات التي يمكن للمستخدم الوصول إليها والعمليات التي يمكنه تنفيذها على تلك الكائنات. |
التطبيقات والتحديات والحلول للتحكم في الوصول التقديري
يتم استخدام DAC على نطاق واسع في معظم أنظمة التشغيل وأنظمة الملفات، مثل Windows وUNIX، مما يسمح للمستخدمين بمشاركة الملفات والموارد مع أفراد أو مجموعات مختارة.
أحد التحديات الرئيسية التي تواجه DAC هو "مشكلة النائب المرتبك"، حيث يمكن للبرنامج أن يسرب حقوق الوصول عن غير قصد. على سبيل المثال، قد يخدع أحد المستخدمين برنامجًا يتمتع بحقوق وصول أكبر لتنفيذ إجراء نيابةً عنه. يمكن تخفيف هذه المشكلة عن طريق البرمجة الدقيقة والاستخدام السليم لامتيازات النظام.
هناك مشكلة أخرى وهي إمكانية النشر السريع وغير المنضبط لحقوق الوصول، حيث يمكن للمستخدمين الذين لديهم حق الوصول إلى أحد الموارد منح هذا الوصول للآخرين. ويمكن معالجة ذلك من خلال التعليم والتدريب المناسبين، بالإضافة إلى الضوابط على مستوى النظام للحد من هذا الانتشار.
مقارنة التحكم في الوصول التقديري مع شروط مماثلة
| شرط | وصف |
|---|---|
| التحكم في الوصول التقديري (DAC) | يتمتع المالكون بالسيطرة الكاملة على بياناتهم ومواردهم. |
| التحكم الإلزامي في الوصول (MAC) | تقيد السياسة المركزية الوصول بناءً على مستويات التصنيف. |
| التحكم في الوصول المستند إلى الدور (RBAC) | يتم تحديد الوصول حسب دور المستخدم داخل المؤسسة. |
من المرجح أن يتطور مستقبل DAC مع تزايد شعبية المنصات السحابية وأجهزة إنترنت الأشياء (IoT). من المتوقع أن يصبح التحكم الدقيق في الوصول، والذي يوفر تحكمًا أكثر تفصيلاً في الأذونات، أكثر شيوعًا. بالإضافة إلى ذلك، مع تقدم تقنيات التعلم الآلي والذكاء الاصطناعي، قد نرى أنظمة DAC يمكنها التعلم والتكيف مع احتياجات الوصول المتغيرة.
الخوادم الوكيلة والتحكم في الوصول التقديري
يمكن للخوادم الوكيلة استخدام مبادئ DAC للتحكم في الوصول إلى موارد الويب. على سبيل المثال، قد تقوم إحدى الشركات بإعداد خادم وكيل يتحقق من هوية المستخدم ودوره قبل السماح بالوصول إلى مواقع ويب معينة أو خدمات قائمة على الويب. وهذا يضمن أن الموظفين المصرح لهم فقط هم من يمكنهم الوصول إلى موارد محددة عبر الإنترنت، مما يوفر طبقة إضافية من الأمان.
روابط ذات علاقة
- أمن الكمبيوتر: الفن والعلوم بقلم مات بيشوب: مورد شامل حول أمن الكمبيوتر، بما في ذلك التحكم في الوصول.
- فهم واستخدام التحكم في الوصول التقديري: مقال بقلم منظمات المجتمع المدني، يستكشف لجنة المساعدة الإنمائية بالتفصيل.
- NIST منشور خاص 800-12: دليل المعهد الوطني الأمريكي للمعايير والتكنولوجيا لأمن الكمبيوتر، بما في ذلك مناقشة حول DAC.
- نماذج التحكم في الوصول: دليل تفصيلي لمختلف نماذج التحكم في الوصول من O'Reilly Media.
- لجنة المساعدة الإنمائية، ماك، وRBAC: مقال علمي يقارن بين نماذج DAC و MAC و RBAC.
