D5-06 8–10 分钟 重要程度:高
访问控制模型:DAC、MAC、RBAC、ABAC 与规则/风险控制
授权机制题常考隐式拒绝、ACL、能力表、DAC、MAC、RBAC、ABAC、Rule-based 和 Risk-based。
一、必须记住
- Implicit deny 是访问控制基本原则:未明确允许即拒绝。
- ACL 关注对象以及哪些主体可访问它。
- Capability table 关注主体以及它能访问哪些对象。
- DAC 由资源所有者决定访问。
- MAC 由系统根据标签和许可强制执行。
- RBAC 依据角色授权,适合企业岗位权限。
- ABAC 依据主体、客体、环境和动作属性动态决策。
- Rule-based 按规则;Risk-based 按风险和上下文调整。
二、核心概念
授权机制
访问控制矩阵可看作主体和客体权限表。ACL 是按对象列出主体权限;能力表是按主体列出可访问对象。
DAC / MAC / RBAC
DAC 灵活但较难集中控制;MAC 强制且严格,常见于高安全环境;RBAC 把权限绑定到角色,用户通过角色取得权限。
ABAC、规则和风险
ABAC 使用属性做动态判断,例如部门、数据分类、时间、位置和设备状态。Risk-based access 会根据异常行为或风险提升认证要求。
三、CISSP 判断规则
- 问资源所有者决定,选 DAC。
- 问标签、许可、强制策略,选 MAC。
- 问岗位或职务角色,选 RBAC。
- 问属性、环境、设备状态,选 ABAC。
- 问未明确允许,默认拒绝,选 Implicit deny。
四、常见陷阱
- RBAC 是按角色,不是按个人临时授予。
- ABAC 更动态,但设计和审计复杂度较高。
- ACL 和 Capability table 只是视角不同:一个以对象为中心,一个以主体为中心。
五、英文关键字
Implicit deny (隐式拒绝) 定义:未明确允许的访问默认拒绝。 ACL (访问控制列表) 定义:以对象为中心列出可访问主体和权限。 Capability table (能力表) 定义:以主体为中心列出可访问对象和权限。 Access control matrix (访问控制矩阵) 定义:主体和客体的权限表;列是 ACL,行是能力列表。 DAC (自主访问控制) 定义:由资源所有者决定访问权限。 MAC (强制访问控制) 定义:系统根据标签、分类和许可强制执行访问策略。 RBAC (基于角色的访问控制) 定义:按角色授予权限。 ABAC (基于属性的访问控制) 定义:按主体、客体、环境和动作属性动态授权。 Rule-based access control (基于规则的访问控制) 定义:依据预定义规则允许或拒绝访问。 Risk-based access control (基于风险的访问控制) 定义:依据当前风险和上下文调整访问要求。
小测验
1. 按用户职务角色授予权限,最符合哪种模型?
RBAC 按角色管理权限,用户因角色获得权限。
2. 按主体属性、客体属性、时间、位置和设备状态动态授权,最符合?
ABAC 使用属性和环境上下文做访问决策。
3. 以对象为中心列出哪些主体能访问该对象,称为?
ACL 关注对象以及哪些主体可访问对象。
本节进度
完成后会保存在当前浏览器。线上版可保存;不同手机、平板之间暂不自动同步。
尚未完成