计算机网络中的访问控制

访问控制是一种安全策略，它决定了谁或什么能够查看或使用计算机系统中的资源。这是一种基本的安全概念，能够有效降低企业或组织面临的风险。在本文中，我们将详细讨论与访问控制相关的所有内容。包括：访问控制的认证因素、其组成部分、不同类型的访问控制方式，以及认证与授权的区别。

什么是访问控制？

访问控制是一种限制对某个系统或资源的访问的方法。 访问控制指的是确定谁可以在何种条件下访问网络中的哪些资源的过程。 这是安全领域中的一个基本概念，它能够降低企业或组织面临的风险。 门禁控制系统通过评估所需的登录凭证来实现对用户和实体的识别、认证与授权。这些登录凭证可能包括密码、指纹、生物特征扫描或其他认证方式。多因素认证需要两个或更多的认证因素，这通常是分层防御体系中的重要组成部分，用于保护访问控制系统。

认证因素

• 密码或PIN码
• 生物计量学测量（指纹识别与视网膜扫描）
• 卡片或钥匙

在计算机安全领域，访问控制包括对试图获取访问权限的实体的授权、身份验证以及审计过程。访问控制模型中包含两个要素：主体和客体。

访问控制的相关组件

• 身份验证：身份验证用户身份验证的过程，指的是在用户登录到计算机系统时，对用户的身份进行验证的过程。
• 授权/许可：授权决定了用户对网络的访问权限，以及经过身份验证的用户可以访问哪些类型的服务和资源。授权是实施相关策略的一种方式。
• 访问方式：在成功完成身份验证和授权之后，他们的身份就会得到验证。这样一来，他们就可以访问自己试图登录的资源了。
• 管理：组织可以通过为用户和系统添加或移除认证与授权功能来管理其访问控制系统。在结合了云服务与物理系统的现代IT环境中，管理这些系统可能会变得相当复杂。
• 审计：对财务或业务活动进行核查和审查的过程。这种访问控制审计方法使得组织能够遵循相关原则。通过这种方式，组织可以收集关于用户活动的数据，并对其进行分析，从而识别出可能存在的访问违规行为。

访问控制是如何工作的呢？

访问控制的过程包括：根据用户的凭证来识别该用户，然后在确认后授予其相应的访问权限。 用于识别和验证用户的凭证包括密码、令牌、安全令牌，甚至生物识别技术。 多因素认证（MFA）通过要求用户使用多种验证方式来确保安全性。 一旦用户的身份得到验证，访问控制策略就会授予相应的权限，从而让该用户能够继续进行操作。 根据各自的需求，各组织会采用多种访问控制方法。

访问控制的类型

• 基于属性的访问控制（ABAC）：在这个模型中，是否允许访问取决于对一系列规则、政策以及用户、系统和环境条件的评估结果。
• 自主访问控制（DAC）： In DAC数据的所有者可以决定谁能够访问特定的资源。
• 基于历史的访问控制（HBAC）：是否允许访问，取决于对请求方的活动历史记录的评估。这些活动记录包括行为、请求之间的时间间隔以及请求的内容。
• 基于身份的访问控制（IBAC）：通过使用这种模型，网络管理员能够更高效地管理各种活动以及用户访问权限，从而满足每个人的需求。
• 强制访问控制（MAC）：这是一种控制模型，其中访问权限由中央机构根据多级安全机制来管理和分配。Security Enhanced Linux则是通过MAC机制来实现的。Linux操作系统.
• 基于组织的访问控制（OrBAC）：该模型使得政策制定者能够独立于具体的实施方式来定义安全策略。
• 基于角色的访问控制（RBAC）：RBAC允许根据职位来授予访问权限。通过RBAC机制，在授予对象访问权限时，可以大规模地消除人为决策的必要性。例如，人力资源专家就不应该拥有创建网络账户的权限。
• 基于规则的访问控制（Rule-Based Access Control，RAC）：RAC方法主要依赖于具体的时间安排。例如，可以只允许学生在一天中的特定时间段内使用实验室设备。

根据相关的合规要求以及需要保护的信息技术的安全级别，会采用不同的访问控制模型。基本上，访问控制可以分为两种类型：

• 物理访问控制：物理访问控制措施用于限制对校园、建筑物、房间以及物理IT资产的进入。
• 逻辑访问控制：逻辑访问控制机制能够限制对计算机网络、系统文件以及数据的访问。

访问控制所面临的挑战

• 分布式IT系统：当前的IT系统通常结合了互联网和本地网络。这些系统可能分布在不同的地理位置，由各种设备、资产等组成。虚拟机器。所有这些设备都可以被访问，而对这些设备进行管理则相当具有挑战性。

• 政策管理：组织内的决策者负责制定相关政策，而IT部门则负责将这些政策转化为可执行的代码。这两者之间的协调非常重要，这样才能确保访问控制系统能够保持最新状态，并正常运作。

• 监控与报告：各组织必须定期检查访问控制系统，以确保其符合公司的政策以及相关的法律法规。任何违规行为或变更都必须被及时发现并立即报告。

• 访问控制模型：访问控制机制提供了不同的精度水平。为您的组织选择合适的访问控制策略，可以帮助您在确保安全性与提高员工效率之间找到平衡。

认证机制的类型

• 双因素认证
• 多因素认证
• 一次性密码
• 三因素认证
• 生物识别技术
• 硬令牌
• 软令牌
• 上下文认证
• 设备识别信息

实施访问控制的方法有哪些？

虚拟私有网络这是一种被广泛使用的访问控制技术。它使得用户能够安全地远程访问资源，这一点在员工身处远离实际工作场所的情况下尤为重要。企业可以利用VPN技术，为员工提供安全的网络访问方式，即使员工分布在世界各地。虽然这种做法对于安全性来说非常有效，但也可能引发性能方面的问题。延迟其他访问控制技术还包括身份存储库、监控与报告应用程序、密码管理工具、资源分配工具，以及安全策略执行服务。

差异/区别认证与授权

身份验证

授权/许可

结论

访问控制是计算机网络中不可或缺的一部分。它通过限制对网络资源的访问，从而防止未经授权的访问行为。防火墙生物识别认证、密码策略、基于角色的访问控制、基于属性的访问控制、多因素认证、虚拟专用网络、入侵检测系统以及数据加密，这些都是访问控制措施的例子。通过实施这些控制措施，组织可以确保网络安全，并有效防范各种安全威胁。