访问控制的类型与模型

选择正确的访问控制模型是网络安全领域中的一个关键挑战。拥有强大且可靠的访问控制模型非常重要。通过让黑客难以获取敏感数据，从而确保这些数据的安全性。访问控制系统能够排除那些心怀恶意的用户，从而让合法用户能够安全地使用公司的工具。

本文将介绍最常见的访问控制类型，探讨它们的运作方式以及可能的应用场景。此外，我们还将为组织提供一些建议，以帮助它们实施有效的访问控制措施。

访问控制模型的种类

访问控制模型大致可以分为两类。第一类是自主式控制，另一类则是强制性控制。这两种控制方式之间的关键区别在于权力分配问题。谁有权决定应用程序和数据的访问策略呢？谁又负责掌控整体的访问设置呢？

主要的访问控制模型包括：自主访问控制（DAC）、强制访问控制（MAC）、基于角色的访问控制（RBAC）、基于规则的访问控制、基于属性的访问控制（ABAC）、基于策略的访问控制（PBAC）、远程访问控制，以及网络访问控制（NAC）。

自主访问控制（DAC）

在自主访问控制模型中，权力属于每个网络资产的拥有者。资源所有者为每位用户设定访问权限。这样就能形成一个去中心化的访问控制系统。管理员只需关注特定的资源，而整体的管理通常不需要进行集中式的监控。

自主访问模型通常采用访问控制列表（ACL）来管理每个资源的访问权限。这些文档中包含了适用于所有用户的规则集。当用户请求访问时，系统会将其凭证与访问控制列表进行比对。如果用户的身份符合授权条件，那么访问控制列表就会决定该用户的访问级别。

能够设置不同的策略，是自主访问控制的一个关键特性。系统管理员可以为他们所管理的资源设置不同的策略。不过，这样做也带来了一些代价：为每个用户定义具体的权限会占用管理员大量的时间。此外，在规模较大的组织中，由于需要管理大量的ACL，因此出错的可能性也会增加。

2. 强制访问控制（MAC）

在强制访问控制模型中，权力掌握在中央网络管理员手中。在这些访问控制类型中，集中式系统负责定义对所有网络资源的访问权限。通常情况下，单个用户几乎没有机会来管理本地访问权限，或者为各个应用程序定制特定的策略。

强制访问控制是指…极其严格的限制每个用户都拥有不同的权限级别，以及相应的标签标识（例如：机密/绝密/最高机密）。没有相应权限的用户无法访问应用程序和机密数据。由于用户无法自行更改自己的设置，因此任何权限的变更都必须通过中央管理员来实施。

这种缺乏灵活性的特点使得强制性的控制方式受到像美国军方这样的大型政府机构的青睐。不过，对于变化迅速的企业架构来说，强制性控制系统可能过于僵化。此外，这种控制系统也不适合那些给予网络用户自主权的组织。

采用自由访问控制机制的系统，其实比强制访问控制模型更为常见。不过，在实际应用中……访问控制模型通常试图在对特定资产的中央监控与分散式控制之间找到平衡。这种平衡可以通过多种方式来实现。

3. 基于角色的访问控制（RBAC）

在基于角色的系统中，访问权限取决于一个人在组织中的角色。其理念是限制对关键资源的访问。系统只有在用户确实需要这些资源来执行专业任务时，才会授予其访问权限。

基于角色的访问控制 它有助于简化大型组织中的访问控制流程。管理员可以设置具有适当权限的角色。当新员工接入网络时，系统会自动为他们分配相应的权限。无需为每位用户或员工单独创建和维护个人资料。

当角色不明确或经常发生变化时，就会出现问题。例如，企业可能会依赖短期的项目团队来开展工作，而不是采用传统的角色分配方式。在这种情况下，管理员可能难以为员工分配合适的权限，从而让数据面临风险。

管理员还需要了解用户的当前角色以及他们所使用的资源。安全团队需要与各个部门进行沟通，以了解各部门的访问需求。这一过程可能会耗费大量时间，同时也会给人为错误提供机会。

4. 基于规则的访问控制

基于规则的访问控制系统使用一系列规则来管理对网络资源的访问。规则集与上面提到的访问控制列表类似。它们包含了用户必须满足的条件，只有这样，系统才会授予他们访问权限。

访问规则并不一定与基于角色的权限相同。例如，某员工通常有权访问客户的财务记录。但是，针对该资源的规则可能规定，对于使用远程Wi-Fi的用户来说，该员工的访问请求应该被拒绝。在这种情况下，基于规则的访问控制会优先于基于角色的权限。

实际上，基于角色的访问控制与基于规则的访问控制通常会协同工作。ACLs适用于那些最重要的应用程序或数据。不过，基于角色的配置文件则决定了对大多数资源的访问权限。

5. 基于属性的访问控制（ABAC）

基于属性的访问控制模型使用与用户或资产相关的指标来确定访问权限级别。属性的例子可以包括用户的设备类型、位置等信息。此外，还可以包括员工的职位、所属部门，以及一天中的具体时间等。

基于属性的访问控制方式比RBAC等其他方式更加灵活。管理员可以灵活地控制对数据库的访问权限，比如排除某些用户的使用权。他们还可以防止初级员工访问某些应用程序，或者为特定时间内的访问设置相应的限制。

由于它们提供了如此多的自由性，基于属性的访问系统通常具有极高的安全性。管理员可以对特定的数据集实施更精细的控制措施。当安全威胁出现时，他们能够及时应对这些威胁。

另一方面，在大型网络环境中管理各种属性也是一件非常困难的事情。为每个应用程序和用户根据属性来设置访问权限，是一项复杂的任务。安全团队可能会忽略核心目标，而被一些琐碎的细节所困扰。

6. 基于策略的访问控制（PBAC）

根据NIST的说法，在PBAC系统中，“用户的业务角色与相关策略相结合，从而确定每个角色下的用户应拥有哪些访问权限。”

这听起来与基于规则或属性的访问架构非常相似。而这种现象并非偶然。PBAC实际上是一种灵活访问控制系统的衍生形式。

这些政策定义了决定用户访问权限的动态属性。这些策略是由中央部门创建的，可以立即发送到所有相关的终端设备上。此外，这些策略还可以被自动更新，而系统管理员只需进行最少的干预即可。策略中包含的信息各不相同，但可能包括以下内容：

• 诸如用户设备的配置信息、他们的位置，甚至他们使用该应用程序的时长等，都属于与上下文相关的标记。
• 用户试图访问的对象或文件。
• 用户尝试执行的任何操作，比如移动、编辑或删除记录。
• 涉及到的用户的身份与角色。

PBAC的一个重要特点是，其政策是动态的。以规则或属性为中心的解决方案则较为僵化。不过，现代的情况则有所不同。PBAC的解决方案能够快速适应复杂的安全环境，从而有效应对各种安全挑战。.

7. 远程访问控制

远程访问控制将上述模型中的某一个应用于远程工作环境中。远程工作增加了额外的复杂性。那些通过远程方式登录的用户可能会在不同的无线网络之间切换。此外，他们可能会使用不安全的移动设备，这会带来数据安全方面的风险。

远程访问控制对在家工作的员工施加额外的认证要求例如，相关政策可能要求用户在访问网络资源时使用安全令牌。管理员可以阻止来自公共Wi-Fi的连接，或者只允许在办公时间进行访问。

远程访问控制的另一个重要方面是易用性。远程解决方案通常具备单点登录功能以及身份管理系统，从而确保安全的访问体验。此外，VPN工具还会对用户数据进行加密处理。

8. 网络访问控制（NAC）

网络访问控制解决方案在所有网络终端上应用访问策略。NAC涉及对设备群组和应用程序的集中控制。管理员可以跟踪所有连接到的设备，并监控来自外部位置的每一个访问请求。

NAC涵盖了本地工作站以及远程设备。它还包括来自第三方的访问请求，同时试图控制组织所使用的任何云资源的访问权限。因此，NAC是一种用于网络安全的一般性方法。它还可以包含上述许多访问模型。

如何为您的组织选择合适的门禁控制模型呢？

权威/权力

灵活性

可扩展性

错误/风险

适用性/适宜性

自主访问控制

强制访问控制 (MAC)

基于角色的访问控制（RBAC）

基于规则的访问控制