有什么可以帮助您?

立即与美云专家联系,在线咨询产品和数字化解决方案,或致电

400-900-8298

点击咨询

不需要,谢谢

企业如何选择最“硬核”的身份管理技术模型?

  • 分类:身份管理

  • 来源:

  • 发布时间:2020-06-26

作为企业信息安全重要一环,身份权限管理问题对企业发展起着非凡的意义。但由于身份管理涉及角色众多,要实现统一的权限管理平台,首先得梳理好权限。然而对于大多数企业来说不容易,今天我们就权限梳理最常见的5种模型,以及每个模型所适用的场景进行分析探讨,为企业提供解决权限管理难题思路,提升企业信息安全能力。

image.png

  • 管理模型一:自主访问(DAC

系统会识别用户,然后根据被操作对象(Subject)的权限控制列表(ACL:Access Control List)或者权限控制矩阵(ACL: Access Control Matrix)的信息来决定用户的是否能对其进行哪些操作,例如读取或修改:

优势:拥有对象权限的用户,可以将该权限分配给其他用户,称为“自主(Discretionary)”控制;

不足:权限控制较分散,不便于管理,比如无法简单地将一组文件设置统一权限,开放给指定用户;

适用于:这种设计最常见的应用就是文件系统的权限设计,如微软的NTFS。

image.png

  • 管理模型二:强制访问控制(MAC

强制访问控制(MAC)是为了弥补自主访问控制(DAC)权限控制过于分散的问题而诞生的:

优势:每个对象和用户都有一些权限标识,用户能否对该对象进行操作取决于双方权限标识关系,这个限制判断通常由系统硬性限制,比如在影视中我们经常看到特工在查询机密文件时,屏幕提示“无法访问,需要一级安全许可”,这个表示文件上就有“一级安全许可”的权限标识,而用户并不具有;

不足:对类似商业服务系统,不够灵活、不适用;

适用于:适合机密机构或其他等级观念强烈行业。

  • 管理模型三:基于角色访问控制(RBAC

因为自主访问控制(DAC)和强制访问控制(MAC)的诸多限制,于是诞生了基于角色访问控制(RBAC),并且成为了迄今为止最为普及的权限设计模型。RBAC在用户和权限之间引入了“角色(Role)”的概念,能实现两种控制方式,并且支持公认的三大安全原则。

image.png

RBAC的三原两式:

RBAC支持公认的安全原则:最小特权原则、责任分离原则和数据抽象原则;

RBAC实现一般有两种控制方式:隐式的访问控制和显式的访问控制。

  • 管理模型四:基于属性访问控制(ABAC

ABAC有时被称为PBAC(Policy-BasedAccess Control)或CBAC(Claims-BasedAccess Control),亦被称为权限系统设计的未来。不同于常见的将用户通过某种方式关联到权限的形式,ABAC则通过动态计算一个或一组属性是否满足某种条件来进行授权判断,通常分为四类:

用户属性(如用户年龄)

环境属性(如当前时间)

操作属性(如读取)

对象属性(如一篇文章,又称资源属性)

所以理论上能够实现非常灵活的权限控制,几乎能满足所有类型的需求。

  • 管理模型五:基于上下文的访问控制(CBAC

基于上下文的访问控制CBAC提供四个方面的主要功能:流量过滤、流量检测、入侵检测、一般的告警和审计。CBAC会追踪监视的连接,创建包括每个连接信息的状态表,这个表和PIX使用的状态表相似。

CBAC监视TCP、UDP和ICMP的连接并记录到状态表,并为返回的流量创建动态ACL条目,这点和RACL相似。但CBAC能够检测应用层的流量,这点RACL不能实现。CBAC使用状态表和动态ACL条目来检测和防止某些DoS攻击,尤其是TCP洪水攻击。

  • 美云智数身份云重点推荐:RBAC显式方式

为什么说RBAC显式方式更好?RBAC显式方式是基于什么是受保护的,而不是谁可能有能力做什么。看似简单的区别,但后者对系统开发及部署有着深刻的影响:

基于系统的功能(系统的资源及对资源的操作)来进行权限控制,更少的代码重构;

保护资源对象、控制其操作,权限控制更直观;

支持任何安全模型的设计,更有弹性;

权限需求变化时,可实现外部安全策略管理;

基于资源的权限控制代码并不依赖于行为的主体,可在运行环境做修改。

此外,对于上面列出的诸多好处,这种显式的机制带给企业更富有弹性的权限模型,例如你仍想保留或模拟传统的基于角色的权限访问控制,你可以将权限直接分配给某个角色。但新的模型已不必局限于角色,可以将权限直接分配给用户、组或其它觉得可以的对象。

通过对常见的身份权限管理技术模型的分析,再结合美云智数身份云多年的实践总结,目前选用的RBAC显式方式身份权限管理技术,集多方面优势于一体,更全面地保障企业信息管理安全,一站式助力企业实现身份权限管理。

image.png

联系我们,实现卓越运营

留下您的联系方式,专属顾问会尽快联系您

立即咨询