基於角色的訪問控制

❶ 簡述什麼是基於角色的訪問控制rbac

訪問是一種利用計算機資源去做某件事情的的能力，訪問控制是一種手段，通過它這種能力在某些情況下被允許或者受限制(通常是通過物理上和基於系統的控
制)。基於計算機的訪問控制不僅可規定是「誰」或某個操作有權使用特定系統資源，而且也能規定被允許的訪問類型。這些控制方式可在計算機系統或者外部設備
中實現。

就基於角色訪問控制而言，訪問決策是基於角色的，個體用戶是某個組織的一部分。用戶具有指派的角色(比如醫生、護士、出納、經理)。定義角色的過程應該基於對組織運轉的徹底分析，應該包括來自一個組織中更廣范圍用戶的輸入。

訪問權按角色名分組，資源的使用受限於授權給假定關聯角色的個體。例如，在一個醫院系統中，醫生角色可能包括進行診斷、開據處方、指示實驗室化驗等;而研究員的角色則被限制在收集用於研究的匿名臨床信息工作上。

控制訪問角色的運用可能是一種開發和加強企業特殊安全策略，進行安全管理過程流程化的有效手段。

❷ 訪問控制分為哪三種

訪問控制主要分為以下三種：

1. 自主訪問控制技術：

   • 基於授權規則：用戶或主體可以自主決定其他用戶或主體對其擁有的資源具有哪些訪問許可權。
   • 自主管理：許可權的分配和撤銷由資源的擁有者自主決定。

2. 強制訪問控制技術：

   • 基於安全級：通過為系統內的所有主體和客體分配不同的安全級別，來控制訪問許可權。
   • 集中管理：許可權的管理和分配由系統管理員或安全策略統一控制，用戶無法自主改變。

3. 基於角色的訪問控制技術：

   • 基於授權規則：通過為用戶分配不同的角色，來間接控制用戶對資源的訪問許可權。
   • 集中管理：角色的定義、分配和許可權的管理都由系統管理員或安全策略統一控制。

這三種訪問控制技術各有優缺點，適用於不同的應用場景和安全需求。