說到技術控制,技術控制其實主要分為3種,在一開始我的認知都是一個就是依角色。
主要分為:
基於角色的存取控制Role-based access control、自主存取控制discretionary access control、強制存取控制mandatory access control。
基於角色的存取控制,定義是:用角色去設定使用者的權限。大家一定很常見就是學校的系統,會分為老師、學生,老師主要的權限就是輸入成績,而學生的權限就是請假、修課之類的,只要是老師就會有輸入成績的權限,而學生就會有請假、修課的權限。
在學校也會有行政人員,那麼他們的權限就會只有學校行政的部分,而不會去輸入學生的成績。然而在角色的存取控制可以兼任多個角色,比如說:有一位老師擔任授課老師也兼任學校的行政,那麼他的權限就會有學校行政和管理授課學生的成績。
當然不只在學校,在銀行也是,基本的行員(櫃員)只能查看客戶的基本資料,但審計的人就能看到更多的資料。
在醫院也是!