终端访问控制系统原理
终端访问控制系统是基于用户身份的合法性验证,利用预先配置的控制策略进行选用和管理工作。终端访问控制系统主要需要完成三个任务,识别访问用户、分配用户可访问资源的权限以及安全审计。用户在进入可信网络环境后,终端访问控制系统会基于多重因素认证终端设备用户的可信度,根据配置的安全策略和准入策略进行管控,确保合法用户合理使用终端资源,并对越权操作进行监控。当判断出现安全威胁时,会采取告警、锁定、禁止入网的措施,帮助企业降低终端设备潜在的各类风险。
访问控制的三要素
主体
主体(Subject),简称为 S,是一个主动的实体,通常是指提出访问终端或资源具体请求的发起者,发起者可以是用户、用户组、终端、程序、服务等。当一个主体受到另一主体的访问,被访问的主体会成为客体。
客体
客体(Object),简称为 O,是一个被动的实体,客体的访问受权限管理,通常是指被访问的终端或资源。客体不仅限于信息、文件、记录等,也可以是部署在网络中的硬件设备、终端等。
控制策略
控制策略(Attribution),简称 A,包含了主体对客体访问的相关规则。面向企业的终端访问控制系统,控制策略通常包含终端管控、网络准入、应用管理、云端联动等,为企业提供全办公场景的安全可控管理。
访问控制的类型
自主访问控制
自主访问控制是执行访问身份接入授权,用户身份确认后,有权对自己创建的文件、数据表等对象进行访问,并自行管理这些内容的权限和控制策略,是一种接入控制的服务类型。自主访问控制的安全性较低,易造成链式传递,导致数据泄露。
强制访问控制
强制访问控制是由系统根据预先配置的策略管理用户权限和访问权限,对所有资源实施强制访问控制,是一种系统强制主体服从的访问控制类型。只有管理员可以制定访问控制策略,用户无法改变自身权限。强制访问控制通常会定义不同的敏感标签,针对所有用户和资源访问强行执行安全策略,安全性较高。
角色访问控制
角色访问控制是通过将权限与角色进行关联,每个用户根据匹配不同角色获取对应的权限,是一种通过身份定义的访问控制类型。基于角色访问控制,企业可以根据不同的工作需求和职责,为不同角色分配资源和权限,便于任务分担、文件分级管理,降低了管理成本,提高企业安全策略的灵活性。
