組織為每個(gè)員工分配基于角色的訪問控制角色;該角色確定系統(tǒng)授予用戶的權(quán)限。例如，您可以指定用戶是管理員、專家還是最終用戶，并限制對特定資源或任務(wù)的訪問。組織可能允許某些個(gè)人創(chuàng)建或修改文件，而僅向其他人提供查看權(quán)限。

一個(gè)基于角色的訪問控制示例是一組允許用戶在寫入應(yīng)用程序中讀取、編輯或刪除文章的權(quán)限。有兩個(gè)角色：“編寫者”和“讀取者”，它們各自的權(quán)限級別在此真值表中顯示。使用此表，您可以為每個(gè)用戶分配權(quán)限。

權(quán)限/角色作家讀者編輯是的不 刪除是的不 讀是的是的

在某些情況下，組織會向不同的角色授予不同級別的權(quán)限，或者其權(quán)限級別可能會重疊。在上面的示例中，一個(gè)角色（讀取者）是另一個(gè)具有更多權(quán)限的角色（編寫者）的子集。

訪問控制的類型：補(bǔ)充控制機(jī)制

訪問控制措施控制誰可以查看或使用計(jì)算系統(tǒng)中的資源，通常依賴于基于登錄憑據(jù)的身份驗(yàn)證或授權(quán)。它們對于最大限度地降低業(yè)務(wù)風(fēng)險(xiǎn)至關(guān)重要。門禁系統(tǒng)可以是物理的，限制對建筑物，房間或服務(wù)器的訪問，也可以是邏輯的，控制對數(shù)據(jù)，文件或網(wǎng)絡(luò)的數(shù)字訪問。

角色企業(yè)網(wǎng)絡(luò)電子郵件客戶關(guān)系管理客戶數(shù)據(jù)庫Unix員工信息用戶是的是的不 不 不 不 IT 系統(tǒng)管理員是的是的是的是的是的是的開發(fā) 人員是的是的不 不是的不 銷售顧問 不是的是的是的不 不 人力資源是的是的不 不 不是的

基于角色的訪問控制可以通過其他訪問控制技術(shù)進(jìn)行補(bǔ)充。此類訪問控制的示例包括：

隨機(jī)訪問控制 （DAC）

受保護(hù)系統(tǒng)或資源的所有者設(shè)置策略，定義誰可以訪問它。DAC可以涉及物理或數(shù)字措施，并且比其他訪問控制系統(tǒng)的限制更少，因?yàn)樗箓€(gè)人可以完全控制他們擁有的資源。但是，它也不太安全，因?yàn)殛P(guān)聯(lián)的程序繼承安全設(shè)置并允許惡意軟件在最終用戶不知情的情況下利用它們?？梢允褂?RBAC 實(shí)現(xiàn) DAC。

強(qiáng)制訪問控制 （MAC）

中央機(jī)構(gòu)根據(jù)多個(gè)安全級別來調(diào)節(jié)訪問權(quán)限。MAC 涉及將分類分配給系統(tǒng)資源和安全內(nèi)核或操作系統(tǒng)。只有具有所需信息安全許可的用戶或設(shè)備才能訪問受保護(hù)的資源。具有不同數(shù)據(jù)分類級別的組織（如政府和軍事機(jī)構(gòu)）通常使用 MAC 對所有最終用戶進(jìn)行分類。您可以使用基于角色的訪問控制來實(shí)現(xiàn) MAC。

RBAC 替代/升級方案

其他訪問控制機(jī)制可以作為基于角色的訪問控制的替代方案。

訪問控制列表 （ACL）

訪問控制列表 （ACL） 是一個(gè)表，其中列出了附加到計(jì)算資源的權(quán)限。它告訴操作系統(tǒng)哪些用戶可以訪問對象，以及他們可以執(zhí)行哪些操作。每個(gè)用戶都有一個(gè)條目，該條目鏈接到每個(gè)對象的安全屬性。ACL通常用于傳統(tǒng)的DAC系統(tǒng)。

RBAC vs ACL

對于大多數(shù)業(yè)務(wù)應(yīng)用程序，RBAC 在安全性和管理開銷方面優(yōu)于 ACL。ACL 更適合于在單個(gè)用戶級別實(shí)現(xiàn)安全性以及低級別數(shù)據(jù)，而 RBAC 則更好地為具有監(jiān)督管理員的公司范圍的安全系統(tǒng)提供服務(wù)。例如，ACL 可以授予對特定文件的寫入訪問權(quán)限，但它無法確定用戶如何更改該文件。

基于屬性的訪問控制 （ABAC）

ABAC 評估一組規(guī)則和策略，以根據(jù)特定屬性（如環(huán)境、系統(tǒng)、對象或用戶信息）管理訪問權(quán)限。它應(yīng)用布爾邏輯，根據(jù)對原子或集值屬性及其之間關(guān)系的復(fù)雜評估，向用戶授予或拒絕訪問權(quán)限。

實(shí)際上，這允許您使用可擴(kuò)展訪問控制標(biāo)記語言 （XACML） 編寫規(guī)則，使用鍵值對（如角色=管理器和類別=財(cái)務(wù)）。

RBAC vs ABAC

雖然 RBAC 依賴于預(yù)定義的角色，但 ABAC 更具動態(tài)性，并使用基于關(guān)系的訪問控制?？梢允褂?RBAC 通過寬筆畫確定訪問控制，而 ABAC 則提供更精細(xì)的粒度。例如，RBAC 系統(tǒng)向所有經(jīng)理授予訪問權(quán)限，但 ABAC 策略僅向財(cái)務(wù)部門的經(jīng)理授予訪問權(quán)限。ABAC 執(zhí)行更復(fù)雜的搜索，這需要更多的處理能力和時(shí)間，因此您應(yīng)僅在 RBAC 不足時(shí)才求助于 ABAC。

實(shí)現(xiàn)基于角色的訪問控制

基于角色的訪問控制使組織能夠改善其安全狀況并遵守安全法規(guī)。但是，在整個(gè)組織中實(shí)施基于角色的訪問控制可能很復(fù)雜，并可能導(dǎo)致利益相關(guān)者的阻力。若要成功遷移到 RBAC，應(yīng)將實(shí)現(xiàn)過程視為一系列步驟：

• 了解業(yè)務(wù)需求 - 在遷移到 RBAC 之前，應(yīng)運(yùn)行全面的需求分析來檢查工作職能、支持業(yè)務(wù)流程和技術(shù)。您還應(yīng)考慮任何法規(guī)或?qū)徍艘?，并評估組織的當(dāng)前安全狀況。您還可以從其他類型的訪問控制中受益。
• 規(guī)劃實(shí)施范圍 - 確定 RBAC 要求的范圍，并規(guī)劃實(shí)施以符合組織的需求?？s小范圍，將重點(diǎn)放在存儲敏感數(shù)據(jù)的系統(tǒng)或應(yīng)用程序上。這也將幫助您的組織管理過渡。
• 定義角色 - 一旦您執(zhí)行了需求分析并了解了個(gè)人如何執(zhí)行其任務(wù)，定義角色將變得更加容易。請注意常見的角色設(shè)計(jì)陷阱，例如粒度過多或不足、角色重疊以及為 RBAC 權(quán)限授予過多的異常。
• 實(shí)現(xiàn) - 最后階段涉及推出 RBAC。分階段執(zhí)行此操作，以避免繁重的工作負(fù)載并減少對業(yè)務(wù)的中斷。首先，解決核心用戶組的問題。從粗粒度訪問控制開始，然后再增加粒度。收集用戶的反饋并監(jiān)視您的環(huán)境，以規(guī)劃下一階段的實(shí)施。

• 上一篇：數(shù)據(jù)治理包括哪幾個(gè)方面
• 下一篇：選擇 EAM (資產(chǎn)管理系統(tǒng))時(shí)的 7個(gè)關(guān)鍵因素