存取控制(Access Control)為何?有哪些管理方式與Model ?

最後更新於:September 25, 2022

定義

存取控制是什麼?

存取控制指的是通過驗證與授權等方式,以驗證訪問者,並授權其權限的方式。簡單來說,就是確定該訪客是否真的是該訪客所宣稱之身份的驗證手段。

那存取控制的討論是隨著網路的成熟與普及才開始被廣為討論,但它並非隨著網路興起才有的概念,在大野狼與七隻小羊的童話故事中,大野狼就不斷的通過各種手段假冒綿羊媽媽的身份,嘗試著讓七隻小羊們開門,而最終則是在門洞可以看到的範圍中,用麵粉將下半身抹白,並成功進入房內。

在上面的這一存取控制的手段中,綿羊隊失敗的主要原因就是出在兩點,一為驗證機制的不全面,畢竟它只有從地板下的門洞中判斷訪客下半身的顏色,然而上半身的顏色、習慣、以及是否有約定好的口號卻沒有落實至驗證機制中。

第二個主要因素則是缺乏授權的機制,不過當然在這個時空背景中,電信是不存在的,所以無法讓綿羊爸爸掌控訪問的授權,譬如在驗證成功訪客身份的確是綿羊媽媽後,綿羊爸爸的手機就會收到通知,詢問是否要讓宣稱自己為綿羊媽媽的訪客進入屋內,而綿羊爸爸倘若有任何疑心,則可以在當下就拒絕訪問權限。

那在進一步的討論驗證與授權的各種手段與方法前,我們必須先瞭解有哪些存取控制模型(Model),也就是:自主存取控制、強制存取控制、角色存取控制、屬性存取控制。

自主存取控制(Discretionary Access Control)

簡稱為DAC,在自主存取控制的這一模型中,資料的存取權限是去中心化的,資料擁有者(譬如創造資料的人,或是Admin)可以決定哪些用戶有權限訪問哪些資料,而系統則是通過一個存取控制名單(ACL, Access Control List)來知道哪些用戶分別有哪些權限。而這一去中心化、讓資料擁有者與Admin自行分享資料的權限的模式,也是為何該模型被稱為自主(Discretionary)。

在微軟操作系統中也可以看到DAC的實際運作,譬如當用戶嘗試著建立一個網路共享(Network Share)時,即可以設定該物件的用戶與權限設定。而Unix與Linux等主要操作系統在這一層面上也是以同樣的模型運作。

DAC的好處就是在其簡單與靈敏性,同時用戶可以輕鬆的設定其他用戶訪問其所擁有資料之權限,同時在設定這些資料的過程,也不需經過複雜的流程。 然而相應的,其壞處就是在中央難以管理物件的分享狀況,以同樣是用DAC管理存取的Google Drive為例,當Admin想要了解不同物件的分享狀況時,僅能從頭到尾的去看每一個資料的ACL有涵蓋哪些用戶。

強制存取控制(Mandatory access control)

簡稱為MAC,在強制存取控制這一模型中,其相對於DAC,透過Discretionary的方式管理資料被不同用戶訪問的權限,在MAC的模型中,其則是完全以非自主的方式運作,通過給每一個資料貼標籤(機密程度),以及每一個用戶貼相應的權限(可以訪問多機密的資料的程度),來評估存取控制。

也就是說,用戶只有在其權限的高度與欲存取之資料的機密程度相當時,才能進行訪問。

譬如在美國歐巴馬總統於2009年所下達的行政命令中,我們就可以看到聯邦單位是以MAC機制去落實存取控制的管理,將資料類別為The Secret, Secret, and Confidential,以管理不同資料能夠被訪問的權限。同樣以OS為例,Linux的入侵偵察系統(LIDS, Linux Intrusion Detection System)即是在核心層面上落實了MAC模型的運作。

MAC的好處就是其管理整個組織資安上的容易程度,然而壞處就是在這樣的一個管理體系下,時常使得敏捷性無法落實,每一次的權限調整都必須要經過層層評估。

另外兩種的控制權:角色存取控制(Role-based access control)、以及屬性存取控制(Attribute-based access control),我們將在未來的更新中進行接續的討論。

Cybersecurity

About DOC

我們團隊追蹤各國經濟、政策、貿易,以及7個主要產業的變化與發展,支撐相關產業的大中華企業,在全球供應鏈中部署策略。而DOC系列的文章則是我們團隊所撰寫,盼能支撐所有夥伴可以有結構性的理解相關議題的重點與概念詮釋。

Cyber 小組

我們的Cyber小組聚焦在各國與國際組織的網安規範、資安規範、軟體市場、前沿科技、以及企業案例等面向,支撐Cyber與Compliance客戶會員落實最佳實務的規劃。

More From Us
各國科技發展追蹤
我們針對60+個國家的科技發展進行追蹤,領域包含人工智慧、運算技術、虛擬與延展實境、宇航、生命科學、以及再生能源。
More Glossary Terms
生成式AI
LPWAN
LoRa
知識圖譜
電腦視覺
非結構化數據
結構化數據
開放API

聯繫Cyber 小組

Your Name
Email *
Your Message