31、网络安全认证与访问控制全解析

网络安全认证与访问控制全解析

一、访问控制基础概念

1.1 访问掩码与访问控制列表（ACL）

在网络环境中，对于不同的用户、用户组或角色，其访问权限通过一种称为访问掩码的二进制字符串来表示。通常，系统管理员或对象所有者会为对象创建访问控制列表（ACL）。例如，在一个企业网络中，管理员会根据员工的职位和职责，为他们分配不同的访问权限，这些权限就会记录在ACL中。

1.2 网络控制器

负责作为账户（用户/计算机）存储库的网络服务器常被称为网络控制器。以基于Microsoft Active Directory的网络为例，域控制器就是典型的网络控制器。

二、规则与角色基础访问控制

2.1 基于规则的访问控制（RBAC）

规则式访问控制按照既定规则来控制对对象的访问。路由器或防火墙的配置和安全设置就是很好的例子。当配置防火墙时，会设置规则来控制对网络的访问。系统会审查请求，看请求者是否符合通过防火墙的条件。例如，如果防火墙配置为拒绝192.166.x.x IP地址范围内的所有地址，而请求者的IP在此范围内，请求将被拒绝。

2.2 基于角色的访问控制（RBAC）

角色式访问控制中，访问决策由用户在组织内的角色决定。这要求管理员深入了解组织的运作方式、用户数量以及每个用户的具体职能。例如，在学校系统中，教师角色可能有权访问某些数据，如题库、研究材料和备忘录；学校管理员可能有权访问员工记录、财务数据和规划项目等。
使用角色来控制访问是制定和执行企业特定安全策略以及简化安全管理流程的有效手段。角色应仅获得完成相关工作所需的权限级别，这就是最小特权概念