时间管理员可以在一天中的特定时间允许对某些应用程序或数据库的访问。例如，在非办公时间，相关数据可能无法被访问。或者，企业也可以限制在市场开盘前对交易数据的访问。
位置/地点企业可以限制员工进入其办公场所，或者只允许员工在指定的远程工作地点进行工作。在某些情况下，企业可能会限制来自某些地区的员工的进入权限。
角色与资历访问控制机制会评估每个用户在组织结构中的角色。然后，系统会为这些用户分配与其职位相对应的权限。例如，高层管理人员可能需要对各种资源有广泛的访问权限。而市场营销团队或人力资源部门的员工则只能访问相关的数据库。
用户活动先进的基于规则的控制措施能够追踪和分析用户的操作行为。系统可以拒绝那些行为异常的用户访问权限。这样就能有效保护网络免受账户被劫持的威胁。

基于规则的访问控制也可以被实现。静态的还是动态的静态控制机制在管理员对规则数据库进行更改之前保持不变。而动态控制机制则能够根据不同的条件进行调整。例如，当多次登录失败之后，系统可能会拒绝用户访问。

基于规则的访问控制的优势

基于规则的访问控制系统的优点包括：

细粒度控制。基于规则的访问控制非常精确。管理员可以根据多种属性来定义规则。例如，可以规定在一天中的特定时间禁止访问某些客户端数据库，或者只允许特定角色访问这些数据库。此外，管理员还可以允许特定的IP地址进行访问，或者跟踪用户的操作行为。这种细粒度控制是纯基于角色的访问控制所无法实现的。
安全性得到了提升。更高的粒度级别有助于提升数据安全性。管理员可以针对最敏感的网络资产来设置规则。当与多因素认证等技术相结合时，这种安全措施的效果将更加显著。
行政效率基于规则的访问控制方式非常高效。一旦规则数据库建立起来之后，就无需再手动分配权限了。当用户满足预定义的条件时，系统会自动允许其访问。这样也能减少人为错误的发生几率。

基于规则的访问控制所面临的挑战

基于规则的访问控制存在一些重要缺点。实施这种访问控制方式所面临的挑战包括：

建立基于规则的访问系统。配置基于规则的访问系统可能会相当复杂。IT团队需要构建一份全面的规则数据库，其中包括能够允许访问所有网络资源的规则。这个过程可能相当漫长。相比之下，设置基于角色的访问控制则简单得多。
确保配置已准备好进行部署。设置过程必须伴随着测试和质量保证工作。安全团队必须在系统正式上线之前消除所有潜在的问题。进行测试是非常重要的，这样才能确保访问控制机制能够真正发挥其作用，带来实际的好处。
调整并扩展规则集。基于规则的访问系统在处理访问需求发生变化时，有时会遇到困难。更改规则可能需要对规则数据库进行复杂的修改，尤其是当使用嵌套规则时。有些系统还包含不止一套规则。例如，一家公司可以将其访问控制功能分配到不同的分支机构中。在这种情况下，管理员需要修改每个位置的属性，以确保一致性。 RuBAC在高效扩展方面也面临着困难。随着组织的规模不断扩大，添加应用程序或设备可能会变得非常麻烦。
处理计算需求基于规则的访问控制在技术上也要求很高。处理大量基于规则的请求会给网络基础设施带来巨大的压力。如果组织仍然使用旧的硬件设备，那么这个问题就会更加严重。这样一来，网络的性能可能会受到影响。
对访问流程进行审计和测试在仅基于规则的系统中，对访问控制的审计工作可能会比较困难。追踪各个用户的操作行为和权限情况也很困难。此外，管理员可能为特定用户设置了一些例外规则。记录并撤销这些例外规则可能会带来麻烦，从而导致审计过程变得混乱不堪。
用户体验方面的问题。有时候，即使被屏蔽的资源属于用户的角色范围，用户仍然无法访问这些资源。这是因为规则并没有考虑到个人的需求。这些规则是全局性的，且缺乏灵活性。而基于角色的访问控制则可以根据用户的实际需求来制定规则，从而提供更好的用户体验。

何时使用基于规则的访问控制机制

当速度、安全性和效率都非常重要时，基于规则的访问控制方式就非常有意义了。

RuBAC系统能够相对轻松地处理大量的访问请求。系统只需将用户的属性与规则数据库进行比较即可。如果找到匹配项，系统就会允许访问。这种方式比处理角色或个人资料要简单得多，同时还能避免人为错误的发生。

RuBAC是非常适合用于保护关键应用程序或数据。基于规则的管控方式，能够让监管机构确信这些组织确实重视数据保护问题。同时，这种机制也为网络管理员在管理访问权限方面提供了极大的灵活性。

不过，基于规则或属性的访问控制通常无法单独发挥作用。它们通常与基于角色的访问控制结合使用。例如，如果组织希望在其安全设置中引入基于规则的访问控制机制的话，那么就可以这样做。

他们需要控制对关键数据或应用程序的访问权限。
各公司正在应对各种威胁信息，因此需要有针对性的访问控制措施。
工作小组可能会搬到海外工作，或者远程办公变得更加普遍。
威胁的层面暂时发生了变化，这使得现有的访问系统变得不安全。

基于规则的访问控制实施步骤

实施基于规则的访问控制需要仔细的规划。不同系统所使用的属性各不相同。不过，实施过程通常包含以下步骤：

了解网络访问规则。

规划人员必须确定与应用程序和网络访问点相关的具体规则。同时，他们还需要制定适用于整个网络的通用规则。应优先处理那些具有高价值的数据和资源。对于高风险资源，需要单独进行处理，并在必要时采取额外的控制措施。

2. 模拟威胁环境

需要考虑潜在的弱点以及网络威胁。控制措施应该能够抵御那些严重的威胁，并在这些威胁最为紧迫的地方加强防御措施。

3. 创建与相关内容相关的规则数据库。

这些规则应该符合你的组织结构，并且必须严格遵循安全方面的要求。定期检查访问控制规则，确保它们始终符合安全需求。

4. 测试访问系统，以避免出现冲突。

请彻底测试该访问控制系统。确保没有任何因素阻碍授权用户使用相关资源。同时，还要检查该系统是否与其他基于角色的访问控制方式或访问管理工具存在冲突。

5. 制定明确的访问控制政策。

这些政策会向用户说明访问控制系统的工作原理，以及设立该系统的原因。同时，还会提供关于如何使用访问控制功能以及如何处理滥用行为的详细说明。此外，还包含了在出现访问问题时应如何解决的详细步骤。

6. 对访问系统进行审计与改进。

安排审计工作，以确保各项规则具有相关性且能够正常发挥作用。以符合合规要求的方式记录数据。同时，要准备好随着组织的不断发展而更新规则数据库。

基于规则的访问控制与基于角色的访问控制

RuBAC与基于角色的访问控制系统并不互相排斥。不过，在创建访问管理系统时，规划人员通常需要在这两种方案之间进行选择。此外，基于规则的控制与基于角色的控制之间也存在重要的差异：

基于规则的访问控制

使用由管理员创建的强制访问控制机制。这些控制措施基于规则来实施，其中，网络访问权限的确定是通过相关属性来实现的。这些规则适用于组织中的所有角色。
这些控制措施旨在防止未经授权的人员访问网络资源。访问权限并不与单个用户相关联。因此，很难实施零信任访问策略。
能够详细地管理网络中的各种资产。同时，也可以轻松实现对各个数据集、代码库或应用程序的访问权限限制。
不容易受到凭证盗窃的威胁。管理员可以添加诸如位置、IP地址或时间等属性来进一步保护数据的安全性。这样就能为敏感数据提供额外的安全保障。
实施过程相当漫长。管理员需要为每个资源关联相应的属性。还需要进行大量的测试，以确保所制定的规则能够得到有效执行。
用户的入职流程非常简单。无需为用户分配特定的权限。最重要的是，要确保用户的属性能够被访问控制系统所识别。
这些规则是在后台被动地执行的，因此不存在角色膨胀的风险。管理员必须确保这些规则能够随着网络需求的变化而保持适用性。
维护工作非常复杂。规则的变更可能会影响到大量的用户。系统管理员也可能犯错，从而导致严重的安全漏洞。

基于角色的访问控制

使用由管理员创建的强制访问控制机制。控制方式基于角色来实施。用户所扮演的角色，是根据他们在组织结构中的职位来确定的。
控制权限为每个角色提供了一组相应的特权。这样一来，实施“最小权限原则”就变得更容易了。
相对不够精确这些控制措施具有广泛的适用性。为了对资源实施更精细的控制，可能需要引入ABAC系统。
容易受到凭证盗窃的威胁拥有凭据的恶意用户，只要通过认证网关，就可以访问相关资源。
设置起来所需的操作较少。管理员可以根据需要创建不同的角色，同时还可以实现权限管理的自动化处理，从而减轻工作负担。
管理员们需要考虑，哪种角色最适合每个用户。这所需的时间比使用RuBAC系统进行入门培训要长得多。
角色的描述可能不够精确。这可能会导致角色数量的激增，因为用户要求更高的访问权限。这样一来，安全措施的有效性就会降低。
维护过程相对简单。管理员可以更改与每个角色相关的权限。更改某个角色的权限并不会影响其他用户的职位或角色。

结论

马上抢免费试听资格

上一篇：什么是远程访问控制？

下一篇：如何实现基于角色的访问控制（RBAC）

意向课程：		*必选
姓名：		*必填
联系方式：		*必填请填写正确手机号
QQ：