邏輯存取控制為限制他人進入系統,或是進入有形資產或區域的電子方法,例如密碼、在資訊資產上的生物識別系統、有與後端系統(如人資系統)連接同步的讀卡機皆可以算是邏輯存取控制。
自貯存取控制(Discretionary Access Control,DAC)是對系統所有主體和客體實施控制的方法,政策允許存取系統的主體可以執行以下操作:
大多數系統皆採用 DAC,讓檔案的擁有者可以與他人分享或傳輸檔案,可以賦予其他使用者與檔案擁有者幾乎相同的權限,基於規則(Rule-based access)的存取控制系統即屬於 DAC。
強制存取控制(Mandatory Access Control,MAC)對所有系統邊界內的主體和客體統一執行政策,只有被指定的管理員為受信任的主體,受信任的主體才能修改任何安全規則,代表其他的使用者主體皆會受到限制,無法執行以下動作:
基於角色的存取控制(Role-based access control,RBAC)代表根據使用者角色給予權限,每個角色下具有相似或相同權限的使用者。
根據使用者的組織中的角色給予權限,只有管理員可以存取所有內容,一般員工僅會有完成所需工作的最低權限。
但如果遇到特殊狀況,依然可以對某位使用者開放該角色其他使用者不同的權限,但需要注意的是其他使用者(尤其是新增使用者)不應繼承這種非常態的角色權限。
多個角色會有不同的權限組合,需要確認所有人都只有所需的權限,建議於新增使用者時,不要使用繼承其他使用者權限的方法,應該依照表准訂定角色權限,在新增使用者時就只要選擇角色即可開放權限。