网络防御手段之访问控制

美洲Assa Abloy Opening Solutions首席技术官Peter Boriskin指出,远程应用现在比以往任何时候都更加重要,而且由于许多人在家工作,因此远程应用也变得越来越有必要。此外,还需要解决方案来控制对无人基础设施的访问。彼得·鲍里斯金(Peter Boriskin)在Asis博客上说:“通过空中发布访问权的能力,消除了密钥持有人去办公室环境进行密钥编程的需要,减少了细菌传播的可能性,并实现了更好的控制和可审核性谁正在访问各个位置”。预计全球访问控制系统市场将从2020年的86亿美元增长到2025年的128亿美元,复合年增长率为8.2%。今天小编就带大家一起了解下访问控制相关的知识,各位看官,且听小编娓娓道来。


访问控制

访问控制技术是什么?

防火墙访问控制列表

计算机系统的活动主要在主体(进程、用户)和客体(资源、数据)之间进行的。计算机安全的核心问题是确保主体对客体的访问的合法性,即通过对数据、程序读出、写入、修改、删除和执行等的管理,确保主体对客体的访问是授权的,并拒绝非授权的访问,以保证信息的机密性、完整性和可用性。访问控制是网络防护的核心策略。通常基于身份认证,规定了用户和进程对系统和资源访问的限制,目的是保证网络资源受控且被合法地访问和使用,用户只能根据自身权限访问系统资源,不能越权访问。

访问控制技术主要有3种类型:自主访问控制、强制访问控制和基于角色的访问控制。


自主访问控制
自主访问控制是应用得最广泛的访问控制方法,用这种方法,资源所有者可以任意规定谁可以访问他们的资源。这样,用户或用户进程就可以有选择地与其他用户共享资源,它是一种对单个用户执行访问控制的过程和措施。一般采用访问控制矩阵来实现,一行表示一个主体,一列表示一个受保护的客体。具体实现访问控制的方法分为基于行的访问能力表和基于列的访问控制表两种。自主访问控制虽然在一定程度上实现了权限隔离和对资源的保护,但是由于资源管理较为分散,无法做到全局控制。其强调的是自主,自己来决定访问策略,其安全风险也来自自主。

在强制访问控制中,系统给主体和客体分配不同的安全属性,用户不能改变自身或者任何客体的安全属性,即不允许单个用户确定访问权限,只有系统管理员可确定用户和用户组的访问权限。系统通过比较客体和主体的安全属性决定主体是否可以访问客体。此外,强制访问控制不允许一个进程生成共享文件,从而防止进程通过共享文件将信息从一个进程传送到另一个进程。其强调的是强制,由系统来决定。

强制访问控制特别适合于多层次的安全级的系统,可以通过使用敏感标号对所有用户和资源强制执行策略,即实现强制访问控制,可抵御特洛伊木马和用户滥用职权等攻击,当敏感数据需在多种环境下受到保护时,就需要使用强制访问控制。但是,这种控制策略给用户带来诸多不便,如在用户共享数据方面不灵活且受到限制,实现工作量较大。所以,通常在保护敏感信息时使用。


基于角色的访问控制核心思想是将访问权限与角色相联系,包括三个实体,即用户、角色、权限。可以为一组执行同样工作并且对资源访问有同样需求的用户分配一个角色,将多个用户分配到某个角色,然后根据访问控制目的为该角色赋予相应的权限,基于角色的访问控制简化了用户访问权限授予和撤销的工作,当存在大量的员工调动或角色变更时非常高效,有利于提高生产力和效率。


随着企业信息系统的建立和规模的不断扩大,存储在系统中的敏感数据和关键数据越来越多,5G技术、人工智能、云技术、容器技术等的飞速发展,打破了原有的网络边界,移动办公、远程组网、多云协同等场景日益复杂化,使得网络安全面临新的需求和挑战,在这样的大背景下,新的访问控制技术和理念成为刚需,在这些技术中,零信任可谓一枝独秀。



基于零信任理念构建零信任架构,打破传统安全架构基于网络边界构筑信任域的理念,基于各类主体的身份进行细粒度的风险度量和访问授权,通过持续信任评估实现动态访问控制,避免核心资产直接暴露,最大程度减少被攻击面以及被攻击的风险。身份认证、信任评估、动态访问控制、业务安全访问是零信任的核心能力。基于零信任的访问控制能够持续依据评估结果建立访问主体和被访问资源之间的映射关系,调整并下发执行控制策略,构建对核心业务资产的保护屏障,将核心业务资产的暴露面隐藏。

版权申明:本站文章均来自网络,如有侵权,请联系01056159998 邮箱:itboby@foxmail.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有

猜你还会喜欢下面的内容

    无相关信息

中国领先的互联网域名及云服务提供商

为您提供域名,比特币,P2P,大数据,云计算,虚拟主机,域名交易最新资讯报道

域名注册云服务器