【访问控制】什么是RBAC（基于角色的访问控制）？

语言 Chinese, Simplified

SEO Title

What is RBAC (Role-Based Access Control)?

category

安全技术

RBAC是一个为安全目的而设置的概念。这是一个允许客户根据其在附属关系中的角色对资产进行许可的概念。只要执行正确，RBAC就可以成为保持最小优势标准的适当技术。

基于角色的访问控制已成为最重要的一线访问控制策略之一，它根据个人在连接中的角色限制对网络的访问。RBAC角色定义了代表对组织的访问级别。

代表们只被允许进入数据基础，以明智地履行他们的工作职责。可以设置几个变量，如力量、责任和职业能力。同样，对PC资产的权限可以被限制为进行通信尝试，例如查看、制作或更改编年史的能力。

同样，低级别员工通常不会向敏感信息前进，以防他们不需要为了履行承诺而玩弄它。这在你有不同的工作人员，并利用第三次聚会和工作人员难以大力屏蔽网络访问的情况下特别有用。使用RBAC将有助于获取您所属机构的敏感信息和庞大的应用程序。

RBAC示例
RBAC历史
如果我们谈论非数字资产，RBAC系统可以被认为是非常古老的。自古以来，国家就以特定官员或平民可以访问的方式划分资源和文件。然而，在计算机世界中，这可以追溯到20世纪70年代。

它始于商用计算机时代，当时人们可以在数字世界中定义自己的角色和权利。然而，由于这只是一个开始，此类部署是为特定企业定制的，并且是基于每个网络/系统的场景开发的。

直到1992年，RBAC才开始正式形成。NIST首次将该模型标准化。该模型由Ferraiolo和Kuhn设计，目前主要用于学术、商业和民用领域。直到21世纪初，这两位专业人士领导了一个团队近20年，研究其经济效益和最佳实践。

经过详细的分析和研究，该团队提出了一个统一的模型，该模型具有关于各种角色如何拥有不同权利的全面数据。2004年，该法案最终被正式采纳。

访问控制类型
通过RBAC，您可以管理最终客户端在广泛和精细级别上可以做什么。您可以选择客户是老板、专家客户还是最终客户，并根据代理在协会中的条件更改职业和获得背书。背书的分配无可争议，根据具体情况，工人有足够的机会处理他们的义务。

想象一下终端客户的工作发生变化的情况。你可能必须真正地将他们的职责交给另一个客户，或者你可以以同样的方式将职位交给一个企业聚会，或者利用分配方法从差事包中添加或删除个人。

RBAC设备中的部分分配可以包括：

高管的工作范围——它限制了工作团队被允许监督的抗议活动。
高管工作组-您可以添加和删除个人。
高管的工作——这些是特定角色组可以执行的差事。
高管的工作任务——这将客户与角色组联系起来。
通过将客户端添加到任务包中，客户端会向周围的所有部分前进。如果它们被取出，访问权限就会受到限制。当客户需要对某些信息或项目获得临时同意，并因此在任务完成后执行时，他们也可能被委托参加不同的聚会。

客户端访问的不同替代方案可能包括：

Essential——特定记录或工作的重要联系人。
计费–一个终端客户端访问计费帐户。
专业——分配给执行专业任务的客户。
监管——为执行管理任务的客户提供访问权限。
自主访问控制（DAC）

担保系统或资产的所有者创建了显示谁有权访问它的技术。DAC可以整合物理或自动化措施，并且比其他访问控制结构限制更少，因为它为人们提供了不受限制地访问他们拥有的资产的机会。然而，它的安全性也较低，因为相关任务会获取安全设置，并允许恶意软件在不知情的情况下对其进行错误处理。客户端的RBAC可用于完成DAC。

自主访问控制（DAC）
强制访问控制（MAC）

访问权限由一支基本部队控制，该部队受到不同程度的安全保障。所需的权限控制包括对结构资产以及安全组件或工作框架的分发描述。只有具有基本数据异常状态的客户端或设备才能访问受保护的资产。与不同程度的信息描述的关系，如政府和军事关系，通常使用MAC来设计所有最终客户端。要执行MAC，您可以使用基于工作的验收控制。

强制访问控制（MAC）
访问控制的替代类型
虽然RBAC是处理监督访问控制的一种方法，但它并不是唯一一种开放的方法。出入控制早已成为过去。毫无疑问，您需要您的路径控制框架来满足您的安全需求——所需的繁荣程度、访问权限的定制。更重要的是，在任何情况下，访问控制都是表示您的从属关系可以拥有的指导方针。

一个好的访问控制框架可以获得你的空间，但选择正确的访问控制可以向客人展示你是一个心态正确的前沿关系。

与基于角色的访问控制不同，两个明确无误的选项是访问控制记录（ACL）和基于属性的接受控制（ABAC），这两个选项充分利用了各自的优点和缺点。

继续检查，了解每种访问控制的更多信息，看看哪种最适合您的日常活动。

访问控制列表（ACL）

ACL本质上是一个与特定资源相关的表，描述了允许或拒绝的练习。它解释了哪些客户可以访问资源，以及他们访问资源后可以进行的练习。

这种入口控制最好用于低级访问控制。例如，访问控制列表通常用于防火墙，以显示允许哪些类型的利用率流量从关联的每个系统通过防火墙。一个特别安排的防火墙ACL可以限制对关联的权限，使其很难被攻击。

在业务实现方面，RBAC在所有方面都优于ACL。ACL更适合在单个客户端级别和低级信息上进行安全保护，而RBAC则更好地服务于具有直接控制器的扩展安全结构。例如，ACL可以对特定记录授予结构同意，但它不能选择客户端如何更改文档。

基于属性的访问控制（ABAC）

基于属性的准入控制是RBAC的另一种替代方案。在ABAC系统中，可以为客户分配一系列描述其新情况的特征，例如他们如何成为董事长和会计部门的人员。然后，特定资源的访问规则可以选择用可扩展访问控制标记语言（XACML）编写，以描述布尔推理，该推理描述了应允许客户根据其特征达成的协议。

ABAC
ABAC在安全性和效率之间进行了权衡。使用ABAC，可以轻松地描述监督特定资源归纳的仔细规则。在规则应该具有难以想象的粒度以对资产提供理想的安全性和权威性的情况下，这是理想的。

无论如何，根据这些规则评估客户是否应该转向特定资产设置的路径可能是温和的，计算成本很高。ABAC系统需要调查布尔推理澄清的完整游戏计划，以便为客户的属性集合做出决策。这表明，在访问应该受到严格监督的情况下，ABAC是一个值得尊敬的选择，但在这种情况下，RBAC是一个无与伦比的选择，尤其是对于经常访问的资源。

虽然RBAC依赖于预先描述的位置，但ABAC更令人印象深刻，它使用基于关联的权限控制。您可以使用RBAC来选择具有过度泛化术语的访问控制，而ABAC提供了更突出的粒度。例如，RBAC系统授予所有主管入职培训，而ABAC方法只允许财务部门的主席获得许可。ABAC执行了一个非常惊人的追逐，这需要真正的规划能力和时间，所以当RBAC不足时，您可能应该依赖ABAC。

RBAC模型
组织内的角色可以以不同的方式或层次结构分配给不同的用户。同样，在RBAC模型下，用户的特权或权限也可以通过3种不同的方式分配。这些是：

核心部分
核心模型是关于阐述RBAC中的每个组件。从每个角色到每个权限，一切都是通过这个模型指定的。因此，它不仅是其他两种RBAC的基础，还可以作为管理用户访问权限的独立方法。

首先，所有RBAC模型都必须遵循以下3条规则：

角色分配：只有在分配了特定的用户角色后，主体才能行使此角色所允许的权限/特权。
权限：活动角色必须具有使用所授予权限的权限，即来自指定用户角色的批准。
权限授予：仅当分配给用户的活动角色被允许或授权时，才允许使用权限。
层次化RBAC
在RBAC中，可以有一个角色层次结构，就像你在组织中一样。层次结构中较高级别的用户将拥有更多的权限和更严格的安全实施，而较低级别的用户则拥有更少的权限。在后一种情况下，用户将可以访问公共数据和一组有限的功能。

当您想为多个用户角色引入更高级别的安全性时，此变体非常有用。例如，您可能希望为拥有高级帐户的业务用户添加更多功能和安全安排，而不是为拥有免费帐户的试用用户添加。

在层次结构中对用户进行细分有助于组织降低网络攻击的严重性（如果发生的话）。此外，您可以通过为实际需要的用户保留昂贵的操作（如管理员和经理/主管的网络监控设施）来降低运营成本。

受限RBAC
RBAC部署的责任或职责是通过本标准指定的。它的实现或职责分离（SD）可以是静态的或动态的，具体取决于您的要求。

采用静态模型（SSD）可以防止将互斥的角色分配给同一个人。例如，如果你有一个电子商务市场，你不希望最终客户像商人一样行事，那么购买和销售在这里将是相互排斥的角色。因此，商家只能出售，买家只能购买。

相反，动态模型（DSD）没有这种限制。因此，如果权利发生冲突，个人可以同时拥有这两项权利。但是，此人不可能在同一会话中同时使用这两种（冲突）权限。在这种情况下，任何类型的授权都是必不可少的。例如，要在Windows中更改程序，您需要管理员权限，并通过弹出窗口允许相同的权限。

RBAC示例
在计划实施RBAC系统时，有一本中央手册来指导你是至关重要的。尽管RBAC可能看起来是一个复杂的策略，但你可以在各种广泛使用的系统中找到它。

WordPress CMS客户职业的改革安排可能是最明显的例子。中心客户职业描述为默认WordPress系统中的职业：

超级管理员：具有整个入口的不同部分，就像现场组织能力一样
管理员：接近一个单独的WordPress网站的管理能力
编辑：方法分发和更改帖子，包括不同客户的帖子
作者：方法发布自己的帖子
贡献者：可以撰写自己的帖子，但不能分发
订阅者：只能理解帖子
总的来说，WordPress客户系统确保所有客户都有一些不赋予他们极端权利的工作，并且它使数据远离那些不需要为工作而弄乱的客户。这种结构只是一个“RBAC”方案，尽管WordPress并没有这么称呼它。

‍

RBAC的优点
指导和调查网络访问对信息安全至关重要。必要时，可以而且应该更新访问权限。当有数百或数千名员工时，安全性更容易维护，因为每个客户在公司内部的设置工作都限制了对机密信息的未经授权的访问。好处包括：

合法就业和IT支持正在减少
RBAC可用于降低在工作区域工作的标准，并在雇佣专家或更改其角色时更改奇数键。RBAC可以在整个工作框架、阶段和应用程序中使用，以便轻松地将作业从世界的一端添加、转换和执行到另一端。另一方面，客户分配减少了失望的可能性。减少在监管管理上花费的时间是RBAC为数不多的财务优势之一。RBAC还为他们提供了预构建的场景，以帮助他们将无法访问的客户端正确地集成到业务中。

提高运营可行性
基于角色的访问控制是一种直接且定义明确的方法。也许，除了监督较低级别的访问控制外，所有角色都可以随着业务的合法增长而建立，客户可以更公开、更自由地履行职责。

提高一致性
所有隶属关系都取决于政府、州和指导方针。通过建立RBAC框架，由于IT部门和主管可以监督如何获取和利用信息，因此从属关系可以更完全地满足法律和高管在安全和保证方面的需求。这对于临床相关和现金相关的协会尤其重要，因为它们可以监督许多敏感信息，如PHI和PCI信息。

确保法规的有效实施
正如方法和指导方针所表明的那样，董事会取决于高级领导的工作，使他们能够一点一点地接受首席执行官的技术，允许一种关系在各种框架和客户之间直接可靠地应用不同的职业。通过计算机化的客户背书恢复，支持董事会并支持理事机构的最后一次变更，以反映客户立场和承诺的变化，这是可以实现的。同样，它使用职责协调业务层面的访问控制，包括负责确认客户工会、扩大明确质量（计算需求和保证档案）以及为检查和一致性发现做好准备的协会，就像完整的审查跟踪一样。

技术和工作负责人的其他优势包括为单独的客户分配利益的基本周期，以及客户人力资源数据变化所指示的客户批准的动态更新，类似于工作的变化。标准访问的异常情况，负责人的程序得到了相应的管理，具有可靠、清晰的控制程度和审查周期历史的能力，保证了管理层持有资源和赞助的一致性，并澄清了充分规划安全概述的问题。

执行后，您的组织将比以前更加安全，您的数据也将大大减少被盗的风险。此外，您还可以从提高客户和IT员工的生产力中获得广泛的好处。如果你问我们，这是一个简单的选择。

‍

RBAC与其他系统的比较
如果您在这里想找出要采用的最佳访问管理实践，那么它将适合您的网络层次结构以及您希望如何在组织用户之间分配权限。为了简化，它必须减少网络内的权利冲突，并促进数据/应用程序的安全。

为了实现上述目标，您可能会考虑RBAC和所有其他可用选项（列表、基于策略或属性驱动）。那么，让我们用RBAC逐一比较它们。

RBAC与ABAC（基于属性的访问控制）
ABAC模型依赖于用户名、职位、安全级别、位置等属性，而不是按角色指定用户权限和特权。它对于组织中必不可少的更严格的访问控制非常有用。有时，该模型还利用用户角色和属性来定义对业务资源的访问权限。
为了更好地理解ABAC，你可以考虑一个多分支机构。对于它，分类属性是区域和用户角色。如果您是北卡罗来纳州的管理员，则不得拥有科罗拉多州的管理员权限。因此，除了您在企业/组织中的职位外，您所在的地区也在决定您是否可以访问文档或使用功能方面发挥作用。
RBAC与ACL（访问控制列表）
与基于角色的系统不同，ACL管理可以使用/修改资源的人和不能使用/修改的人的列表。如果你的名字在名单上，你就可以进去。否则，你的请求将不予考虑。通过ACL对2种资源进行访问授权和拒绝。
文件和文件夹（即数据）：对于文档和其他类型的文件，这种访问控制机制维护了允许使用对象或必须停止使用对象的人和机器的对象列表。
路由器/交换：在联网的情况下，ACL检查端点、流量或进程是否允许通过特定的路由器和/或交换机。同样，允许和/或禁止的用户/系统列表用于查找它。
一般来说，当一个特定的资源将由企业内的多个用户使用，或者如果它将被多个用户或用户角色阻止时，这种模型是有用的。
ACL主要应用于涉及网络或流量的场景。通过让访问控制器允许或禁止网络中的每个端点，它确保了高安全性，甚至更高的监控/控制能力。
虽然这种方法适用于低级资源和广泛的用途，但对于业务解决方案来说并不是首选。原因是，RBAC对于此类应用程序来说更实用、更易于管理。
RBAC与PBAC（基于策略的访问控制）
PBAC完全依赖于组织政策和权限级别。该模型利用业务的动态规则/策略，而不是静态地为每个用户角色/类型保留权限列表。因此，当修改业务策略时，您的业务不必对其访问控制机制进行重大更改。
PBAC可以被认为类似于ABAC。但是它的实现更容易。与具有大量属性的复杂ABAC系统相比，它需要更少的It资源和更少的开发资源。
如果部署得当，PBAC可以带来几个好处，如精细监控能力、高灵活性、动态权限控制和提高透明度。
‍
RBAC安全——在业务中的实现
在公司中设置基于角色的访问控制不应掉以轻心。在不造成轻微不便和潜在的工作场所恶化的情况下，在举办聚会方面取得了长足的进步。在进入RBAC之前，有几点需要考虑。
现状
列出所有成功的东西、东西和应用程序。对于绝大多数这些事情来说，这将是一个令人困惑的词。在任何情况下，您可能还需要一份安全获得的专家室列表。认证安全是信息保险的重要组成部分。基本上，列出推动你进行这些练习和区域的条件。这将为您提供当前数据状况的描述。
当前职位
毫无疑问，如果你没有一个真正的计划和一次又一次的职业，弄清楚每个同谋的所作所为可能基本上需要一点对话。尝试收集社会事件，使其不涉及创造性心理和当前文化（每当产生一些令人难以置信的记忆时）。
创建策略
任何进步都应该记录下来，供所有现任和未来的专家查看。当然，即使使用RBAC机械收集，一份明确阐述新设计的记录也将有助于避免潜在问题。
进行修改
当看到当前的安全状态和职业（并形成一种理念）时，这是进行更新的理想时机。
始终如一地适应
主要的RBAC模式需要调整，这是功能性的。很快，你应该定期评估你的职位和安全状况。首先检查想象/创造措施的效果如何，此外，你的组织最终有多安全。
为了在RBAC的更改中获胜，您应该将执行关联视为一系列步骤：
了解您的业务需求——在实施RBAC之前，进行彻底的需求分析，以打破工作限制，支持业务流程和开发。您还应该考虑任何权威或审计要求，并评估您的合作伙伴当前的安全状况。您还可以从各种类型的访问控制中受益。
组织执行级别——考虑RBAC要求的级别，并计划执行以满足联盟的需求。将搜索限制在存储敏感数据的框架或应用程序上。这将有助于你们的关系以积极的方式应对变化。
描述职业——在你完成了必需品评估并观察了人们如何执行任务后，描述你的情况会更容易。注意常见的职业计划陷阱，如粒度限制或缺乏粒度限制、工作覆盖以及为RBAC背书提供无限期规避。
最后的崩溃融合了RBAC的滚动。为了避免大量的义务并减少对业务的阻碍，请分阶段进行。在任何情况下，都要联系客户中心。从粗粒度的验收控制开始，逐步达到粒度。收集客户反馈并评估您当前的情况，以计划未来的执行时间。
确保信息是任何组织的核心业务限制。RBAC设计可以确保从属关系的数据符合确认和安全标准。此外，它可以获得关键的业务指标，如知识产权登记，从野蛮的角度影响业务。