基于角色的访问控制

❶ 简述什么是基于角色的访问控制rbac

访问是一种利用计算机资源去做某件事情的的能力，访问控制是一种手段，通过它这种能力在某些情况下被允许或者受限制(通常是通过物理上和基于系统的控
制)。基于计算机的访问控制不仅可规定是“谁”或某个操作有权使用特定系统资源，而且也能规定被允许的访问类型。这些控制方式可在计算机系统或者外部设备
中实现。

就基于角色访问控制而言，访问决策是基于角色的，个体用户是某个组织的一部分。用户具有指派的角色(比如医生、护士、出纳、经理)。定义角色的过程应该基于对组织运转的彻底分析，应该包括来自一个组织中更广范围用户的输入。

访问权按角色名分组，资源的使用受限于授权给假定关联角色的个体。例如，在一个医院系统中，医生角色可能包括进行诊断、开据处方、指示实验室化验等;而研究员的角色则被限制在收集用于研究的匿名临床信息工作上。

控制访问角色的运用可能是一种开发和加强企业特殊安全策略，进行安全管理过程流程化的有效手段。

❷ 访问控制分为哪三种

访问控制主要分为以下三种：

1. 自主访问控制技术：

   • 基于授权规则：用户或主体可以自主决定其他用户或主体对其拥有的资源具有哪些访问权限。
   • 自主管理：权限的分配和撤销由资源的拥有者自主决定。

2. 强制访问控制技术：

   • 基于安全级：通过为系统内的所有主体和客体分配不同的安全级别，来控制访问权限。
   • 集中管理：权限的管理和分配由系统管理员或安全策略统一控制，用户无法自主改变。

3. 基于角色的访问控制技术：

   • 基于授权规则：通过为用户分配不同的角色，来间接控制用户对资源的访问权限。
   • 集中管理：角色的定义、分配和权限的管理都由系统管理员或安全策略统一控制。

这三种访问控制技术各有优缺点，适用于不同的应用场景和安全需求。