Access Controls 访问控制
决定谁能进、能进到哪、做了什么留下记录的那一套机制。 是 安全控制 里专门管”接触资产”这一环的子集。
三件事
| 维度 | 回答的问题 | 例子 |
|---|---|---|
| Authentication | 你是谁? | 密码、MFA、生物识别 |
| Authorization | 你能干什么? | RBAC、ABAC、最小权限 |
| Accountability | 你刚才干了什么? | 日志、审计追踪 |
三者缺一不可。只认证不授权 = 进来了爱干嘛干嘛;只授权不记账 = 出事查不到人。
实施模型
- DAC —— 资源 owner 自己决定给谁权限(常见于文件系统)
- MAC —— 系统按 label 强制管控(军方、政府)
- RBAC —— 按角色发权限(企业最常用)
- ABAC —— 按属性动态决策(时间、位置、设备状态)