CISSP的成长之路（二十五）：数据访问控制方法（4）

CISSP的成长之路（二十五）：数据访问控制方法（4）　　

基于角色的访问控制(Role Based Access Control, RBAC)：

　　在许多大型的组织和企业中，数据访问控制策略的制定实施往往取决于要求访问的用户在企业中所担任的职务，如公司的财务人员只能访问财务数据，而不能访问人力资源文件，这种访问控制方法被称为基于角色的访问控制，简称RBAC。同样的，基于角色的访问控制策略也根据用户所担任的职务，规定了用户能够对数据进行的操作权限——由企业安全策略确定并授权。因此，在使用基于角色的访问控制方法之前，还需要对组织中的所有数据以及访问者进行角色属性的设置，以使得访问控制系统能够在收到访问请求时，根据访问者和被访问数据的角色属性对比结果，进行访问允许或访问拒绝的操作。

　　这也是基于角色的访问控制与之前J0ker介绍过的自主式和强制访问控制最大的不同点，基于角色的访问控制的访问策略，并不是基于系统管理员或用户的自主设定(自主式访问控制)，也不是根据组织安全策略规定由数据所有者设置的(强制访问策略)。基于角色的访问控制需要考虑的一个问题是，如何限制用户对某种信息进行什么样的操作，从而保护信息的完整性。

　　管理方便是基于角色的访问控制的最大好处，当一个访问策略(也称之为角色)设定好之后，系统管理员就可以方便的将用户加入或移除某个角色，使该用户可以根据角色的权限操作数据。例如，当企业招聘新员工之后，系统管理员只需要将这些新员工加入到对应的角色中，这些新员工就可以按照自己的权限开展工作;当员工从企业辞职之后，管理员只需要直接将该用户移出角色并禁用，即可删除该辞职员工的所有权限。

　　能力表(Capability tables)：作为基于角色的访问控制方法用来控制用户权限的后台部分，能力表存储了用户可以如何操作特定数据的保护标识。能力表往往表现成授权表格的形式，它由三部分所组成：访问者、数据、访问权限，能力表的列描述了访问者对表中所有数据的访问权限，而能力表的列则描述了访问控制和访问者按照其授权对特定数据的访问权限。