iT邦幫忙

2022 iThome 鐵人賽

DAY 20
0
Security

物聯網與網路的資訊安全-初探系列 第 20

鐵人賽(Day20)-資訊安全的典型應用(2-2 存取控制)

  • 分享至 

  • xImage
  •  

存取控制的目的與原則就是利用使用者與系統互動的環節進行限制與回報,藉此提高資訊安全。
較常見的存取控制的模式大致上可分成四種機制,分別為MAC, RBAC, DAC, RBAC (真的縮寫一樣)。

  1. Mandatory Access Control (MAC)
    此項控制模型屬於當中最嚴格的模型。這種模型方式只讓系統的擁有者可以去調整設定並針對存取或是系統參數進行控制與管理。使用者只能依照系統擁有者給定的許可權限操作系統,無法針對系統的任何設定進行更動。系統的管理者可以依據Security table為資料進行標籤分類(e.g., 常見的classification - high, medium, low ; category - department or project)。

在MAC下有兩種常見的security models - Biba & Bell-LaPadula.

Biba較著重在資料的完整性,因此它允許low-level的使用者閱覽high-level的資料但不能更改;允許high-level的使用者可以閱覽與更改low-level的資料。

Bell-LaPadula 著重在資料的機密性,只允許high-level的使用者更改自己level的資料,對於不是自己level的資料只能閱覽。

  1. Role-based Access Control (RBAC)
    Role-based 顧名思義就是依照使用者的身分給予對應的權限,系統的管理員可以依據組織內的架構或是分工項目,按照對應的職責身分開啟不同的權限,再將使用者賦予這些身分的權限。雖然可以輕易的通過分級制度讓系統被更有效率的使用,卻不能夠准許一次性的權限使用,權限的依歸必須是Role-based。

由於系統的存取權限是依照職務進行調整,若是沒有更新或是複查職務權限表,可能會出現職務定義不清楚或是調換職務後還是能夠看到先前職務內容的role creep情況。

  1. Discretionary Access Control (DAC)
    DAC是屬於模型當中最不嚴謹的一種,每個系統的使用者都可以進行控制與管理,使用者更可以依據自己的規則給予其他使用者存取的權限。每一個使用者就是subjects,他們的資料就是objects。而DAC的機制就是給一個subjects可以依照他們自己不同的objects去定義出不同的權限規則。也就是說每個使用者都像是自己資料的管理者,可以自由調整需要開啟權限的條件。

DAC的範例就像是家庭用硬碟、NAS等系統,每個人可以在既有的權限下自由新增檔案、資料夾,並選擇是否需要設密碼,此外也可以針對自己的資料夾決定哪些平台上的用戶可以瀏覽資料夾的內容。

  1. Rule-based Access Control (RBAC or RB-RBAC)
    有別於RBAC (Role-based),這邊是Rule-based。權限的啟用與管理不再依據組織內的腳色進行設定與調整,而是由既定的規則、情況作為權限的依歸。比如說依靠使用者的位置進行權限開放與否的抉擇、針對使用的時間、裝置等。

上一篇
鐵人賽(Day19)-資訊安全的典型應用(2-1 存取控制)
下一篇
鐵人賽(Day21)-資訊安全的典型應用(2-3 存取控制)
系列文
物聯網與網路的資訊安全-初探30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言