基于角色的访问控制(RBAC)系统根据人员在系统中的角色分配访问权限和操作。每个担任该角色的人都拥有相同的权利。担任不同角色的人拥有不同的权利。

为什么系统需要RBAC？

每家公司都有敏感的文件、程序和记录。如果保护得太严格，公司的工作就会陷入停顿。如果让它们保持开放状态，可能会出现灾难性的安全问题。

输入基于角色的访问控制(RBAC)。

使用此方法向需要访问权限的人授予访问权限，同时阻止不需要访问权限的人。根据个人的角色而不是个人属性进行更改。您可以通过按角色更改访问权限来快速进行这些更改。

如果您从事IT工作，了解基于角色的访问控制的细节至关重要。年，美国国家标准协会采用RBAC原则作为行业共识标准。您很可能需要应用RBAC或解释为什么您认为这对您的公司来说不是一个好主意。

基于角色的访问控制到底是什么？

所有基于角色的访问控制系统都共享核心元素，例如：

管理员。他们识别角色、授予权限并以其他方式维护安全系统。

角色。工作人员根据他们执行的任务分组。

权限。每个角色都有访问权限和操作，它们概述了人们可以做什么和不能做什么。

RBAC系统不需要：

个人自由的分化。访问权限是由一个人的角色定义的，而不是由该人的偏好或愿望定义的。这使得管理权限变得容易。

密集维护。权限遵循角色。新的工作职能成为适用于数十（或数百或数千）员工的新角色，而管理员只需完成少量工作。促销涉及更改角色，而不是编辑行项目的权限。

RBAC系统已经存在了几十年。年，在一次全国计算机安全会议上引入了RBAC概念。发起者认为，强制访问控制和自主访问控制对于私营公司和平民来说效果不佳，因为具体需求和安全要求差异很大。他们认为，新方法在非军事、民用环境中效果更好。

从那时起，数千家公司已应用RBAC概念来管理其最敏感文档的安全性。

RBAC中的角色如何工作？

角色决定RBAC系统内的授权。正确定义它们至关重要。否则，公司内的一大群人将无法完成他们的工作。

角色可以通过以下方式定义：

权威。高级管理层需要访问实习生不应该看到的文件。

责任。董事会成员和首席执行官可能在公司内拥有类似的权力，但他们各自负责不同的核心职能。

权限。熟练的工人可以放心地在敏感文档中工作而不会出现错误，而新手可能会犯下灾难性的错误。相应地调整访问权限非常重要。

角色还可以具有重叠的职责和特权。例如，扮演“外科医生”角色的人也可能担任“医生”或“射线照相解释员”。角色层次结构定义了一种拥有许多其他人的属性的人。换句话说，一个角色可以容纳许多其他角色。

什么是基于角色的访问控制权限？

权限指定人们可以访问的内容以及他们可以在系统中执行的操作。将权限视为人们根据您概述的角色遵循的规则。

您的权限应包括：

使用权。谁可以打开特定的驱动器、程序、文件或记录？谁不应该知道这些东西的存在？访问权限将限制人们可以看到的内容。

阅读。谁可以扫描这些文档，即使他们无法更改其中的任何内容？有些角色可能有能力参考材料，但不能对其进行更改。

写作。谁可以更改文件？这些变更是否必须得到其他人的批准，还是永久性的？您将使用您的权限来定义它。

分享。谁可以下载文档或将其作为电子邮件附件发送？与其他权限一样，某些用户即使可以引用材料也将无法共享材料。

财政。谁可以充钱？谁可以提供退款？权限可能涉及处理收费和退款、设立信用账户或取消付款的能力。

重要的是要记住，权限遵循角色，而不是相反。确定每个角色应该做什么，并相应地应用权限。

尽管员工当前角色有限制，但不允许他们请求权限。如果您开始单独更改权限，系统很快就会变得笨拙。

基于角色的访问控制的优点

安全选项比比皆是，为您的公司做出正确的选择并不总是那么容易。RBAC具有许多经过验证的优点，使其在竞争中脱颖而出。

RBAC系统可以：

降低复杂性。新员工根据其角色获得访问权限，而不是根据一长串服务器和文档要求。这简化了策略的创建、维护和审核

允许全局管理。通过更改与角色关联的权限，可以一次性更改许多员工的访问权限。

轻松入职。当人们加入组织、在组织内调动或在组织内晋升时，您不必担心个人的权限，只需确保他们处于正确的位置即可。角色负责剩下的事情。

减少失误。传统的安全管理很容易出错。为个人添加权限会给您带来很多犯错误的选择。更改角色的访问权限，您就不太可能授予某人过多（或过少）的权力。

降低总体成本。当管理职责减少时，公司可以节省安全管理费用。这可以节省您的组织的时间和金钱。

RBAC与ABAC：哪个更好？

在我们深入研究应用基于角色的访问控制模型的实质之前，让我们讨论一个替代方案。ABAC是公司考虑的最著名的模型之一，它在某些情况下可能很有用。

ABAC（基于属性的访问控制）扩展了您的角色选项。您可以考虑以下因素，而不是考虑职位、资历和类似属性：

用户类型。安全许可、财务知识或公民身份都可能在您创建的角色中发挥作用。

一天中的时间。当有意义的工作应该停止时，在夜间锁定文件。在主管不在的时候限制编辑。限制周末获取材料。

地点。例如，确保只能在校园或国内访问文档。如果适用，限制用户在家中访问文档的能力。

像这样的系统依靠策略来加强安全性，而不是静态权限类型。取得正确的平衡稍微困难一些，因为涉及更多的变量。根据您的安全环境，这对于您的组织来说可能是一个明智的选择。

#软件架构#

转载请注明:http://www.aideyishus.com/lkgx/5588.html