組織為每個(gè)員工分配基于角色的訪問(wèn)控制角色;該角色確定系統(tǒng)授予用戶的權(quán)限。例如，您可以指定用戶是管理員、專(zhuān)家還是最終用戶，并限制對(duì)特定資源或任務(wù)的訪問(wèn)。組織可能允許某些個(gè)人創(chuàng)建或修改文件，而僅向其他人提供查看權(quán)限。

一個(gè)基于角色的訪問(wèn)控制示例是一組允許用戶在寫(xiě)入應(yīng)用程序中讀取、編輯或刪除文章的權(quán)限。有兩個(gè)角色：“編寫(xiě)者”和“讀取者”，它們各自的權(quán)限級(jí)別在此真值表中顯示。使用此表，您可以為每個(gè)用戶分配權(quán)限。

權(quán)限/角色作家讀者編輯是的不 刪除是的不 讀是的是的

在某些情況下，組織會(huì)向不同的角色授予不同級(jí)別的權(quán)限，或者其權(quán)限級(jí)別可能會(huì)重疊。在上面的示例中，一個(gè)角色（讀取者）是另一個(gè)具有更多權(quán)限的角色（編寫(xiě)者）的子集。

訪問(wèn)控制的類(lèi)型：補(bǔ)充控制機(jī)制

訪問(wèn)控制措施控制誰(shuí)可以查看或使用計(jì)算系統(tǒng)中的資源，通常依賴于基于登錄憑據(jù)的身份驗(yàn)證或授權(quán)。它們對(duì)于最大限度地降低業(yè)務(wù)風(fēng)險(xiǎn)至關(guān)重要。門(mén)禁系統(tǒng)可以是物理的，限制對(duì)建筑物，房間或服務(wù)器的訪問(wèn)，也可以是邏輯的，控制對(duì)數(shù)據(jù)，文件或網(wǎng)絡(luò)的數(shù)字訪問(wèn)。

角色企業(yè)網(wǎng)絡(luò)電子郵件客戶關(guān)系管理客戶數(shù)據(jù)庫(kù)Unix員工信息用戶是的是的不 不 不 不 IT 系統(tǒng)管理員是的是的是的是的是的是的開(kāi)發(fā) 人員是的是的不 不是的不 銷(xiāo)售顧問(wèn) 不是的是的是的不 不 人力資源是的是的不 不 不是的

基于角色的訪問(wèn)控制可以通過(guò)其他訪問(wèn)控制技術(shù)進(jìn)行補(bǔ)充。此類(lèi)訪問(wèn)控制的示例包括：

隨機(jī)訪問(wèn)控制 （DAC）

受保護(hù)系統(tǒng)或資源的所有者設(shè)置策略，定義誰(shuí)可以訪問(wèn)它。DAC可以涉及物理或數(shù)字措施，并且比其他訪問(wèn)控制系統(tǒng)的限制更少，因?yàn)樗箓€(gè)人可以完全控制他們擁有的資源。但是，它也不太安全，因?yàn)殛P(guān)聯(lián)的程序繼承安全設(shè)置并允許惡意軟件在最終用戶不知情的情況下利用它們?？梢允褂?RBAC 實(shí)現(xiàn) DAC。

強(qiáng)制訪問(wèn)控制 （MAC）

中央機(jī)構(gòu)根據(jù)多個(gè)安全級(jí)別來(lái)調(diào)節(jié)訪問(wèn)權(quán)限。MAC 涉及將分類(lèi)分配給系統(tǒng)資源和安全內(nèi)核或操作系統(tǒng)。只有具有所需信息安全許可的用戶或設(shè)備才能訪問(wèn)受保護(hù)的資源。具有不同數(shù)據(jù)分類(lèi)級(jí)別的組織（如政府和軍事機(jī)構(gòu)）通常使用 MAC 對(duì)所有最終用戶進(jìn)行分類(lèi)。您可以使用基于角色的訪問(wèn)控制來(lái)實(shí)現(xiàn) MAC。

RBAC 替代/升級(jí)方案

其他訪問(wèn)控制機(jī)制可以作為基于角色的訪問(wèn)控制的替代方案。

訪問(wèn)控制列表 （ACL）

訪問(wèn)控制列表 （ACL） 是一個(gè)表，其中列出了附加到計(jì)算資源的權(quán)限。它告訴操作系統(tǒng)哪些用戶可以訪問(wèn)對(duì)象，以及他們可以執(zhí)行哪些操作。每個(gè)用戶都有一個(gè)條目，該條目鏈接到每個(gè)對(duì)象的安全屬性。ACL通常用于傳統(tǒng)的DAC系統(tǒng)。

RBAC vs ACL

對(duì)于大多數(shù)業(yè)務(wù)應(yīng)用程序，RBAC 在安全性和管理開(kāi)銷(xiāo)方面優(yōu)于 ACL。ACL 更適合于在單個(gè)用戶級(jí)別實(shí)現(xiàn)安全性以及低級(jí)別數(shù)據(jù)，而 RBAC 則更好地為具有監(jiān)督管理員的公司范圍的安全系統(tǒng)提供服務(wù)。例如，ACL 可以授予對(duì)特定文件的寫(xiě)入訪問(wèn)權(quán)限，但它無(wú)法確定用戶如何更改該文件。

基于屬性的訪問(wèn)控制 （ABAC）

ABAC 評(píng)估一組規(guī)則和策略，以根據(jù)特定屬性（如環(huán)境、系統(tǒng)、對(duì)象或用戶信息）管理訪問(wèn)權(quán)限。它應(yīng)用布爾邏輯，根據(jù)對(duì)原子或集值屬性及其之間關(guān)系的復(fù)雜評(píng)估，向用戶授予或拒絕訪問(wèn)權(quán)限。

實(shí)際上，這允許您使用可擴(kuò)展訪問(wèn)控制標(biāo)記語(yǔ)言 （XACML） 編寫(xiě)規(guī)則，使用鍵值對(duì)（如角色=管理器和類(lèi)別=財(cái)務(wù)）。

RBAC vs ABAC

雖然 RBAC 依賴于預(yù)定義的角色，但 ABAC 更具動(dòng)態(tài)性，并使用基于關(guān)系的訪問(wèn)控制?？梢允褂?RBAC 通過(guò)寬筆畫(huà)確定訪問(wèn)控制，而 ABAC 則提供更精細(xì)的粒度。例如，RBAC 系統(tǒng)向所有經(jīng)理授予訪問(wèn)權(quán)限，但 ABAC 策略僅向財(cái)務(wù)部門(mén)的經(jīng)理授予訪問(wèn)權(quán)限。ABAC 執(zhí)行更復(fù)雜的搜索，這需要更多的處理能力和時(shí)間，因此您應(yīng)僅在 RBAC 不足時(shí)才求助于 ABAC。

實(shí)現(xiàn)基于角色的訪問(wèn)控制

基于角色的訪問(wèn)控制使組織能夠改善其安全狀況并遵守安全法規(guī)。但是，在整個(gè)組織中實(shí)施基于角色的訪問(wèn)控制可能很復(fù)雜，并可能導(dǎo)致利益相關(guān)者的阻力。若要成功遷移到 RBAC，應(yīng)將實(shí)現(xiàn)過(guò)程視為一系列步驟：

• 了解業(yè)務(wù)需求 - 在遷移到 RBAC 之前，應(yīng)運(yùn)行全面的需求分析來(lái)檢查工作職能、支持業(yè)務(wù)流程和技術(shù)。您還應(yīng)考慮任何法規(guī)或?qū)徍艘?，并評(píng)估組織的當(dāng)前安全狀況。您還可以從其他類(lèi)型的訪問(wèn)控制中受益。
• 規(guī)劃實(shí)施范圍 - 確定 RBAC 要求的范圍，并規(guī)劃實(shí)施以符合組織的需求?？s小范圍，將重點(diǎn)放在存儲(chǔ)敏感數(shù)據(jù)的系統(tǒng)或應(yīng)用程序上。這也將幫助您的組織管理過(guò)渡。
• 定義角色 - 一旦您執(zhí)行了需求分析并了解了個(gè)人如何執(zhí)行其任務(wù)，定義角色將變得更加容易。請(qǐng)注意常見(jiàn)的角色設(shè)計(jì)陷阱，例如粒度過(guò)多或不足、角色重疊以及為 RBAC 權(quán)限授予過(guò)多的異常。
• 實(shí)現(xiàn) - 最后階段涉及推出 RBAC。分階段執(zhí)行此操作，以避免繁重的工作負(fù)載并減少對(duì)業(yè)務(wù)的中斷。首先，解決核心用戶組的問(wèn)題。從粗粒度訪問(wèn)控制開(kāi)始，然后再增加粒度。收集用戶的反饋并監(jiān)視您的環(huán)境，以規(guī)劃下一階段的實(shí)施。

• 上一篇：數(shù)據(jù)治理包括哪幾個(gè)方面
• 下一篇：選擇 EAM (資產(chǎn)管理系統(tǒng))時(shí)的 7個(gè)關(guān)鍵因素