行业新闻与博客

访问控制系统无处不在，并且在身份和访问管理（IAM）中起着关键作用-让我们分解不同类型的访问控制模型及其工作方式

访问控制是日常生活的一部分，也是企业 IT 和数据安全的组成部分。它是一个广义术语，描述了控制谁可以访问您组织的资源的多种方式。除了为您提供对网络，数据，网站或其他敏感系统或资产的更好控制之外，访问控制还可以帮助您遵守各种行业标准和法规。

通过限制对敏感系统或数据的访问，您可以限制与数据泄露相关的潜在风险。例如，如果更少的人可以访问您的客户数据库，则该数据库不太可能由于凭据泄露或内部威胁而暴露。

但是什么是访问控制？有哪些不同类型的访问控制系统和模型，它们如何工作？实施企业访问控制有哪些挑战？

什么是访问控制？安全中的定义和含义

从最基本的意义上讲，信息安全中的访问控制是关于确定谁可以访问哪些内容（文件，目录，应用程序等）。例如，如果我访问我们公司的文件服务器，则可以看到与营销有关的文档。另一方面，我们财务部门的某人将能够查看财务文件。但是公司外部的人将无法访问这些东西。

由于访问控制确定了谁可以访问什么，所有这些事情都是可能的。

寻找更多技术定义？访问控制是一个广义的术语，描述了确保只有经过验证的个人才能物理或虚拟接触他们有权访问的项目的策略和方法。此过程涉及限制访问或授予允许某人对受保护的项目执行操作的权限。这包括有权对受保护的项目（数字或物理资源）执行以下任一操作：

• 访问，


• 读，


• 修改，


• 通信，


• 删除或以其他方式销毁。

对于长期的 IT 网络安全专家 Greg Scott 而言，访问控制通常可以归结为理解两个特定术语之间的关系：主题和对象。

“对象通常是人或团体。对象通常是文件或目录。关键在于，主题访问对象，因此访问控件将规范主题访问对象的方式。”

在这种理解下，对象可能是您想要防止未经授权的访问，使用或泄露的资源。主题是访问控制适用的用户（或用户组，甚至是非个人实体，例如应用程序或服务）。因此，访问控制（从技术角度而言）是使您能够授予或限制对组织的数字或物理资源的访问的工具，策略，模型和机制。这包括从限制或授予对特定文件和数据库的访问权限到 IT 系统和物理位置的所有内容。

如果您查看美国国家标准技术研究院（NIST）网站上的访问控制定义，则会发现很多变化。但是，它们基本上都以一种 about 回的方式具有相同的含义：访问控制是一种确保您选择的个人（或组）只能访问敏感数据，应用程序，技术和关键基础结构的方式。

基本上，这些类型的物理和逻辑限制可防止未经授权的个人执行您不应该使用您的敏感系统或数据执行的操作。此外，它们还有助于防止意外暴露或泄露敏感物品。

授权和身份验证适合图片的地方

• 身份验证和授权是信息安全，网络安全和访问控制的关键组成部分。它们对于身份和访问管理也是必不可少的。

身份验证就是证明或证明某人就是他们声称的身份。这与身份证明不同，后者是您（或其他人）声称自己是您的身份，但该说法未经验证。身份验证涉及对照您归档的信息来验证某人的标识信息（例如，用户名和密码）。此过程可防止客户服务中的 Carrie 假装成为人力资源部的 Harry 来访问她不需要访问的系统。 

• 授权是指授予某人访问，使用或修改某种类型的资产或资源的能力。因此，一旦他们登录或以其他方式对其进行身份验证，该过程的下一部分将确定他们是否具有执行他们尝试做的系统的权限。  

因此，让我们考虑一个例子。假设我要访问我公司的 Intranet 网站之一，以访问一些与营销相关的文件。

• 身份证明是我在页面的登录字段中输入我的用户名。


• 身份验证是我输入相应的密码（或使用基于 PKI 的无密码身份验证方法，例如客户端身份验证证书）来证明我的身份，以便我可以访问该站点。


• 和授权将是许可或访问权限，我的主管或系统管理员提供给我设定。这些访问控制决定了我一旦证明自己的身份并登录到系统后可以对任何文件执行的操作。

门禁系统的类型

访问控制系统本质上可以是逻辑的或物理的，可以分为三个子类别：

• 技术的控制系统，


• 行政控制系统，以及


• 物理控制系统。

您的组织是否要求您的员工使用 ID 徽章访问特定区域（例如服务器机房）？这是物理访问控制的一个示例，因为它可以防止任何人进入。管理访问控制的示例是限制您的员工（或一组员工）可以更改特定文件。访问控制的一种技术形式是限制哪些 IP 地址（或 IP 地址范围）可以通过防火墙访问您的网络。

例如，在 SSL 商店中，只有某些人可以访问我们的客户记录。与我们的博客相同-并非每个人都有或需要访问权限来添加，修改或删除“哈希”上的帖子。（我很幸运能入选少数几个。）如果每个人都可以访问我们的所有系统，则可能在证书泄露或雇员受到“黑暗面”的力量左右时（如果 Obi-Wan 会这样做，则可能会造成灾难）。说）。

虚拟和物理访问控制系统的一些示例包括：

• 登录凭据（例如用户名和密码）。


• PIN 和一次性密码（OTP）。


• 虚拟专用网络（VPN）访问内部网络。


• 物理访问卡，F​​OB，令牌，锁和钥匙。


• 具有访问列表的安全卫士。


• 生物识别读取器（例如面部，视网膜和指纹扫描）。


• 数字身份验证证书和数字密钥。

虽然访问控制似乎不方便或麻烦，但它们是组织安全的组成部分。通过限制谁可以访问这些数据，它们可以帮助防止由于人为错误或员工流氓而泄露您的敏感数据。  

访问控制列表

访问控制列表，就像名称所暗示的那样，是一系列特权或权限，用于授权或拒绝特定人员或组对特定对象的访问。ACL 由各种访问控制项（ACE）组成，这些项指定主题以及它们对特定对象的任何特权。

ACL 在使用方式和位置方面具有不同的功能，并且是几种不同的访问控制模型的核心-稍后我们将与之详细讨论。同时，这里仅是一些常见访问控制列表的快速示例：

• 文件系统访问控制列表，


• Active Directory 访问控制列表，以及


• 网络访问控制列表。

访问控制如何在组织内发挥作用

在谈论访问控制时，可以通过多种途径来实现它们。让我们考虑您的组织可能已经在使用的访问控制的一些示例。

文件共享平台，如 SharePoint 和 Google 文档

如果您使用这些类型的文件共享平台，则您已经熟悉这种类型的访问控制。每当您创建或共享文档时，您都可以选择控制自己或授予查看者，评论者或编辑者查看或修改文档的权限。

想想上一次有人向您发送指向其 Google 文档文件的链接的想法。与来宾贡献者合作时，这种情况经常发生在我们身上。我们将收到一个我们无权访问的 Google Doc 文件的链接，因此我们将必须请求访问权限以获得查看和编辑该文件的权限。

Windows Active Directory

我们将使用 Windows Active Directory 作为下一个示例。您可以为 Active Directory 中的组和个人设置文件夹权限：

Active Directory 的屏幕快照，显示用户和组权限。图像已被编辑以删除敏感信息。

可以为特定对象或对象组设置这些权限。

Linux 访问控制

别担心，企鹅迷；您还可以对文件系统使用访问控制。此过程涉及使用 Linux ACL 向三个选项之一授予权限：用户，组或其他。这些权限类别中的每一个可能具有的访问级别包括读取，写入和执行。

现在，我不再在这里详细介绍如何设置 Linux ACL。但是，欢迎您从 RedHat 那里获得大量资源，这些资源超过了使用 Linux 设置基本 ACL 的范围。

WordPress 访问控制

在 WordPress 中，您还可以选择实施访问控制。考虑一下 WordPress 中的不同访问控制设置。您可以为几个用户提供管理员访问权限，这使他们可以授予其他用户访问权限，而您可以仅向某些编辑者提供作者访问权限。

您还可以使用 WordPress 插件（例如高级访问管理器（AAM））来设置更具体的粒度访问控制。例如，在 AAM 中，您可以管理任何类型的角色的访问权限：

4 种需要了解的访问控制模型

实际上，在信息安全性中有几种访问控制的模型或种类可供选择，以确定用户访问权限。如果您查看其他网站的访问控制列表，则可能会注意到有两个到五个主要的访问控制类别。在这里，我们将只用四个，并按字母顺序列出它们，以使其易于遵循。

1.自由访问控制（DAC）

任意访问控制使文件或系统所有者可以控制，授予或限制其他人的权限。例如，想想当您在 Google 云端硬盘中创建 Google 表格电子表格时。作为文件所有者，您可以选择授予特定人员访问权限，以访问，阅读或修改文档。您还可以对其进行设置，以便具有链接的任何人都可以访问该文档或向公众开放该文档。

DAC 通常用于操作系统，它依赖于访问控制列表（ACL）。这些列表通常指定个人（或个人组）及其访问权限级别。在我们将要讨论的下一类访问控制中，自由访问控制也更加灵活和限制更少。但是，它们也是最不安全的方法，因为访问控制权由文件或系统所有者决定。

在我们将在这里讨论的不同控制访问模型中，DAC 的限制最少，并且使用最普遍。

2.强制访问控制（Mac）

与 DAC 不同，强制访问控制是非随意的，仅基于中央机构（例如安全管理员）的决定。文件所有者和用户本身对谁可以访问其文件几乎没有发言权。

Mac 依靠标签（例如机密，机密，最高机密等）和许可将任何程序或访问级别与用户相关联。文档会收到标签，这些标签确定您需要访问，修改或披露这些权限的等级。

管理员可以为个人和用户组设置这些访问级别，用户本身不能更改。这种访问控制模型是限制性最强的模型，已被美国政府和军事组织采用以对敏感信息进行控制。

3.基于角色的访问控制（RBAC）

您可能会从名称中猜出，基于角色的访问控制根据用户角色提供访问权限。我所说的“角色”是指员工履行的职能。用户可能具有一个或多个角色，因此可能会被分配一个或多个权限。这样做使具有这些角色的用户可以访问其工作所需的信息，而无需向他们提供不需要的信息。RBAC 是一种比 Mac 更广泛的访问控制形式。

例如，在 Windows 中，您可以使用组来设置 RBAC。

例如，假设您要授予人力资源专家 John Doe，Jane Smith 和 Lois Lane 以及人事经理 Kermit D. Frog 对员工福利信息的访问权限。您不必手动授予每个人访问权限，而可以授予一组人力资源专家及其经理访问权限。由于已经确定他们在您的组织中具有特定角色，因此将自动通过此类 RBAC 授予他们访问权限。

NIST 说，第一个正式的基于通用角色的访问控制模型是在 1992年提出的，尽管指定角色和职责的概念至少在 1970年代就已经出现了。RBAC 模型有多种变体，其中包含了不同层次的层次结构-从部分定义的层次结构到完全定义的层次结构。一个统一的标准获得通过，2004年为 ANSI INCITS 359-2004 国际社会对信息技术标准（INCITS）。

4.基于属性的访问控制（ABAC）

下一类访问模型称为基于属性的访问控制（ABAC）。根据 NIST：

“它代表了从简单的访问控制列表到功能更强大的基于角色的访问，最后到一种基于属性评估提供访问的高度灵活的方法，在逻辑访问控制上的意义。”

ABAC 帮助我们将人员或组与他们可以在特定参数中使用的数据类型相关联。它支持使用布尔逻辑来创建更精细的策略，这些策略也更加灵活。

属性可以是应用于对象（对象属性）或对象（对象属性）的特定特征或规范。主题属性的一些示例包括管理级别，员工 ID，组织角色。

如何使用这种类型的访问控制的一些示例包括：

• 在上午 9 点或周末限制访问您的网络或特定系统。


• 将编辑文档的能力限制为文件所有者。


• 授予特定类别的员工权限，以读取或修改特定文件夹中的文件。


• 限制特定团队中的员工对软件的访问。

为什么访问控制对于数据安全性和合规性至关重要

无论您是小型企业还是大型组织，控制对数据或物理基础结构的访问都是安全不可或缺的。斯科特说，强大的访问控制对所有组织都很重要，无论规模大小。它可以帮助他们：

• 限制责任和攻击造成的损失


• 进行异常跟踪，并


• 增加问责制。

Scott 特别指出了 DAC 的重要性：

“每个组织都需要一个良好的自由访问控制模型，仅向有业务需要的对象授予访问各种对象的权限。就其本身而言，这种简单的访问控制可以限制勒索软件攻击的破坏或保护组织免受巨大的潜在责任。

良好的密码 / 密码管理对所有组织也很重要。大型组织必须解决相同的问题，但是规模更大，因此它们的模型和工具比小型组织更复杂。”

某些人可能没有意识到，权限和访问控制对于一些与行业数据隐私相关的法规至关重要。例如：

• 该支付卡行业数据安全标准（PCI DSS）的企业，手柄信用卡相关的消费数据大纲要求。需求 7、8 和 9 需要实施强大的访问控制来保护所述数据。


• 《健康保险可移植性和责任法案》（HIPAA）的安全规则访问控制标准还概述了限制访问的必要性。是否符合 HIPAA 要求。任何有权访问电子个人健康信息（ePHI）的员工都必须从中央机构分配用户名和 PIN 码。


• 《格拉姆-里奇-布里利法案》（GLBA）还概述了金融机构对用户访问权限和特权的要求。

当然，这不是一个完整的列表。还有其他数据隐私和加密法律要求限制访问。但是，这份简短的清单至少可以使您对企业所面临的某些法规遵从性问题有所了解。

访问控制是零信任安全的核心

维持严格的访问控制对于零信任安全性概念也至关重要。这是因为零信任模型要求用户在访问或修改任何系统或数据之前必须获得授权并进行身份验证，并且他们必须继续这样做以维护所述访问。  

基本上，这里的想法是将所有内容都视为可疑，即使它是来自网络内部的。

Check Point 的 2020年网络安全报告强调了访问控制作为零信任网络的一部分的重要性：

“最佳实践是通过定义“最低特权”访问控制策略来创建非常精细的细分；用户 / 系统只能访问他们打算使用的资源。例如，应仅将源代码访问权限授予研发团队成员。这样，仅允许网段之间的绝对最小合法流量，而其他所有内容均被自动拒绝。”

组织和企业的访问控制挑战

访问控制系统对您组织的整体信息安全和网络安全至关重要。但是，如果不能很好地实施限制和权限，并且如果没有定期维护这些控件，那么对您的企业来说可能是灾难性的。

那么，管理大小企业的访问权限面临哪些挑战？

有人认为访问控制会限制效率

考虑到访问控制是保护您的数据和财产的最基本方法之一，有些组织对此表示抵制，这可能令人惊讶。为什么？答案通常归结为人性。

人们经常抵制变化。他们还希望事情很方便并且完成任务所涉及的步骤更少。基本上，这只是人类的天性。

例如，人们经常在多个帐户中重复使用或回收其密码。但是，考虑到 Verizon 的 2020年数据泄露事件报告（DBIR）认为 37％的数据泄露是由于使用了被盗或受感染的凭证而导致的，因此这可能会导致问题。

斯科特（Scott）说，在组织的各个级别通常都可以发现对访问限制的刻板印象：

“从高级主管到基层的人们可能不会认真对待访问控制。与需要访问您文件的同事共享密码很容易。对于系统管理员而言，只需授予所有人一切权限即可很容易，尤其是在小型组织中。我听说许多高层管理人员抱怨所有安全措施都无法完成工作。”

灵活性和一致性是监视和管理访问控制的关键

传统上，访问控制过程是静态的。但是，要使现代访问控制有效，它们需要灵活地发挥功能并得到一致的支持。

管理员还需要持续监控他们，以发现任何潜在的安全漏洞或不合规问题。例如，应该有一个程序来终止离开您组织的员工的访问权限。无论他们辞职，被解雇还是被解雇，您都不希望某人获得他们不应该得到的东西。

关于访问控制系统，列表和模型的最终想法

我希望本文能使您更​​好地了解什么是访问控制及其在信息安全中的作用。关于访问控制，有很多要知道的地方，而我们的目的是让您对访问控制系统及其工作原理有更全面的了解，而又不会太过技术。

访问控制本质上可以是物理的，技术的或管理的。但是使信息访问控制系统对企业特别有价值的是，它们使您可以更好地控制数据。具体执行方式取决于您选择的方法：

• DACS 非常悠闲，可以更好地控制文件所有者。这是访问控制模型列表中限制最少的方法。


• 另一方面，Mac 将这些控制权留给组织内的中央机构。


• RBAC 使您可以根据其填充的角色或功能来授予或限制对单个用户或组的访问。


• ABAC 依靠分配的属性来确定某人的访问级别以及他们可以做什么。

非常感谢您对亚洲注册的支持与信任！

禁止转载