iT邦幫忙

2023 iThome 鐵人賽

DAY 13
0

邏輯存取控制為限制他人進入系統,或是進入有形資產或區域的電子方法,例如密碼、在資訊資產上的生物識別系統、有與後端系統(如人資系統)連接同步的讀卡機皆可以算是邏輯存取控制。

自主存取控制(DAC)

自貯存取控制(Discretionary Access Control,DAC)是對系統所有主體和客體實施控制的方法,政策允許存取系統的主體可以執行以下操作:

  • 將資訊傳遞給其他主體或客體
  • 授權給其他主客體
  • 修改主體、客體、系統或元件的安全設定
  • 選擇與新增或修改客體的安全屬性
  • 修改存取控制規則

大多數系統皆採用 DAC,讓檔案的擁有者可以與他人分享或傳輸檔案,可以賦予其他使用者與檔案擁有者幾乎相同的權限,基於規則(Rule-based access)的存取控制系統即屬於 DAC。

強制存取控制(MAC)

強制存取控制(Mandatory Access Control,MAC)對所有系統邊界內的主體和客體統一執行政策,只有被指定的管理員為受信任的主體,受信任的主體才能修改任何安全規則,代表其他的使用者主體皆會受到限制,無法執行以下動作:

  • 將資訊傳遞給其他不受信任的主體或客體
  • 授權給其他主體
  • 修改主體、客體、系統貨源見的任何安全設定
  • 選擇與新增或修改客體的安全屬性
  • 修改存取控制規則

基於角色的存取控制(RBAC)

基於角色的存取控制(Role-based access control,RBAC)代表根據使用者角色給予權限,每個角色下具有相似或相同權限的使用者。
根據使用者的組織中的角色給予權限,只有管理員可以存取所有內容,一般員工僅會有完成所需工作的最低權限。

但如果遇到特殊狀況,依然可以對某位使用者開放該角色其他使用者不同的權限,但需要注意的是其他使用者(尤其是新增使用者)不應繼承這種非常態的角色權限。
多個角色會有不同的權限組合,需要確認所有人都只有所需的權限,建議於新增使用者時,不要使用繼承其他使用者權限的方法,應該依照表准訂定角色權限,在新增使用者時就只要選擇角色即可開放權限。


上一篇
[Day 12] 物理存取控制
下一篇
[Day 14] 網路簡介
系列文
30 天取得 ISC2 Certified in Cybersecurity30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言