D5-06 8–10 分钟 重要程度:高

访问控制模型:DAC、MAC、RBAC、ABAC 与规则/风险控制

授权机制题常考隐式拒绝、ACL、能力表、DAC、MAC、RBAC、ABAC、Rule-based 和 Risk-based。

一、必须记住

  • Implicit deny 是访问控制基本原则:未明确允许即拒绝。
  • ACL 关注对象以及哪些主体可访问它。
  • Capability table 关注主体以及它能访问哪些对象。
  • DAC 由资源所有者决定访问。
  • MAC 由系统根据标签和许可强制执行。
  • RBAC 依据角色授权,适合企业岗位权限。
  • ABAC 依据主体、客体、环境和动作属性动态决策。
  • Rule-based 按规则;Risk-based 按风险和上下文调整。

二、核心概念

授权机制

访问控制矩阵可看作主体和客体权限表。ACL 是按对象列出主体权限;能力表是按主体列出可访问对象。

DAC / MAC / RBAC

DAC 灵活但较难集中控制;MAC 强制且严格,常见于高安全环境;RBAC 把权限绑定到角色,用户通过角色取得权限。

ABAC、规则和风险

ABAC 使用属性做动态判断,例如部门、数据分类、时间、位置和设备状态。Risk-based access 会根据异常行为或风险提升认证要求。

三、CISSP 判断规则

  • 问资源所有者决定,选 DAC。
  • 问标签、许可、强制策略,选 MAC。
  • 问岗位或职务角色,选 RBAC。
  • 问属性、环境、设备状态,选 ABAC。
  • 问未明确允许,默认拒绝,选 Implicit deny。

四、常见陷阱

  • RBAC 是按角色,不是按个人临时授予。
  • ABAC 更动态,但设计和审计复杂度较高。
  • ACL 和 Capability table 只是视角不同:一个以对象为中心,一个以主体为中心。

五、英文关键字

Implicit deny (隐式拒绝) ACL (访问控制列表) Capability table (能力表) Access control matrix (访问控制矩阵) DAC (自主访问控制) MAC (强制访问控制) RBAC (基于角色的访问控制) ABAC (基于属性的访问控制) Rule-based access control (基于规则的访问控制) Risk-based access control (基于风险的访问控制)

小测验

1. 按用户职务角色授予权限,最符合哪种模型?

RBAC 按角色管理权限,用户因角色获得权限。

2. 按主体属性、客体属性、时间、位置和设备状态动态授权,最符合?

ABAC 使用属性和环境上下文做访问决策。

3. 以对象为中心列出哪些主体能访问该对象,称为?

ACL 关注对象以及哪些主体可访问对象。

本节进度

完成后会保存在当前浏览器。线上版可保存;不同手机、平板之间暂不自动同步。

尚未完成