الوحدة الخامسة: التحكم بالوصول (Access Control)

1️⃣ مفهوم التحكم بالوصول

التحكم بالوصول (Access Control):

هو مجموعة من السياسات والتقنيات التي تُستخدم لتحديد من يمكنه الوصول إلى أي مورد، ومتى، وكيف.

يتضمن مرحلتين أساسيتين:

• المصادقة (Authentication): التحقق من هوية المستخدم (مثل: اسم المستخدم وكلمة المرور).
• التفويض (Authorization): تحديد الموارد التي يمكن للمستخدم الوصول إليها بعد التحقق من هويته.

2️⃣ أهمية التحكم بالوصول

• منع الوصول غير المصرح به إلى البيانات والأنظمة.
• الحد من انتشار الهجمات في حال اختراق حساب واحد.
• الامتثال للأنظمة والتشريعات (مثل GDPR – HIPAA).
• حماية الخصوصية وسرية المعلومات.

3️⃣ أنواع نماذج التحكم بالوصول

🔐 التحكم الإلزامي (MAC - Mandatory Access Control)

• يحدد النظام مسبقًا من يمكنه الوصول بناءً على تصنيف أمني.
• يُستخدم في البيئات العسكرية.
• لا يمكن للمستخدمين تعديل الأذونات بأنفسهم.
• مثال: ملف مصنف “سري للغاية” لا يمكن فتحه إلا من قبل من يملك التصنيف المناسب.

🧭 التحكم التقديري (DAC - Discretionary Access Control)

• يمنح مالك المورد صلاحية تحديد من يمكنه الوصول.
• أكثر مرونة، لكنه أقل أمانًا.
• مثال: مشاركة ملف على Google Drive مع زميل.

👥 التحكم القائم على الدور (RBAC - Role-Based Access Control)

• يُمنح الوصول بناءً على الوظيفة أو الدور.
• يسهّل إدارة الصلاحيات على مستوى الفرق والإدارات.
• مثال: موظف في قسم الموارد البشرية يمكنه الوصول لملفات الموظفين، لكن لا يمكنه الاطلاع على ملفات الطلاب.

📜 التحكم القائم على السياسات (PBAC / ABAC)

• يعتمد على شروط وسياسات محددة (مثل الوقت، الموقع، نوع الجهاز).
• أكثر ديناميكية وتطورًا.
• مثال: يسمح بالدخول للنظام فقط خلال ساعات العمل، ومن شبكة داخلية محددة.

4️⃣ تقنيات المصادقة الحديثة

1. المصادقة الثنائية (2FA) أو المتعددة (MFA)

دمج أكثر من عامل:

• شيء تعرفه (كلمة مرور)
• شيء تملكه (رمز على الهاتف)
• شيء أنت عليه (بصمة أو وجه)

مثال: تسجيل الدخول إلى البريد الجامعي يتطلب كلمة المرور + رمز يتم إرساله إلى الهاتف المحمول.

2. المصادقة البيومترية

• استخدام خصائص الجسم (بصمة – وجه – قزحية – صوت).
• تنتشر في الأجهزة الذكية وتطبيقات المصارف.

3. المصادقة المستمرة (Continuous Authentication)

• مراقبة السلوك أثناء الجلسة (نمط الكتابة، الموقع) لضمان عدم انتحال الجلسة.

5️⃣ تطبيقات عملية

🏫 في مؤسسة تعليمية:

حالات الاستخدام:

• تقنين الوصول إلى ملفات الدرجات.
• منع دخول الطلاب إلى قواعد بيانات الإدارة.
• السماح للمشرفين فقط بتعديل الجداول الأكاديمية.

التقنيات المستخدمة:

• نظام إدارة الهوية (IAM).
• بوابات تسجيل دخول مركزية (SSO).
• مصادقة ثنائية للوصول إلى نظم إدارة التعلم (LMS).

6️⃣ تحديات التحكم بالوصول

• مشاركة كلمات المرور بين الموظفين.
• ضعف في تصميم الأدوار والصلاحيات.
• عدم تحديث الصلاحيات عند تغيير الوظائف أو مغادرة الموظف.
• تجاهل التحقق متعدد العوامل.

7️⃣ دراسات حالة

🎯 حالة: اختراق بيانات مستشفى بسبب مشاركة كلمة مرور

• السبب: استخدام مشترك لحسابات دخول بين الطاقم.
• النتيجة: اختراق بيانات حساسة للمرضى.
• الدرس: ضرورة وجود تسجيل دخول فردي ومراجعة صلاحيات دورية.

8️⃣ النشاط العملي

مهمة: بناء سياسة تحكم بالوصول لمنصة تعليم إلكتروني.

الخطوات:

1. تحديد الأدوار المختلفة (طالب – أستاذ – مسؤول تقني).
2. تحديد الموارد التي يمكن لكل دور الوصول إليها.
3. اقتراح وسيلة مصادقة لكل فئة.
4. تقديم التوصيات لتقليل مشاركة الحسابات ومخاطر التجاوزات.

9️⃣ مصادر ومراجع مقترحة

• NIST SP 800-53 – Access Control Guidelines
• ISO/IEC 27002 – Control 9: Access Control
• OWASP Access Control Cheat Sheet
• كتاب CISSP CBK – Domain 5: Identity and Access Management
• فيديوهات "Cybrary – Access Control Explained"
• وثائق Microsoft Entra وAzure AD لإدارة الهوية

✅ الخلاصة

التحكم بالوصول هو حجر الأساس لحماية الأصول المعلوماتية.

سياسة وصول فعالة يجب أن تكون مرنة، قائمة على الأدوار والسياسات، ومزودة بإجراءات تحقق قوية لضمان الأمن دون إعاقة الإنتاجية.

التحكم الفعال يبدأ بتحديد من يستطيع الدخول، ثم متى ولماذا وكيف.