在提到存取控制系統(Access Control)時,我們談論的往往是為企業的限制區域提供存取權限。但就以熟悉並正確利用存取控制系統來保護專有資訊的方向來看,卻是兩個完全不同的理解層面。例如,誰可以存取什麼?規則是什麼?如何追蹤存取?
使用者必須先通過識別和驗證,然後才能被授予存取私人資訊的權限,這意味著存取控制系統的基本原理包括每次有人「進入」系統時的標準和記錄。
根據企業或機構的類型,應該考慮幾個廣泛的概念:對系統要採取何種程度的所有權,以及如何決定哪些員工可以存取哪些內容。存取控制的模型有許多種,各有不同的優點。
最常見的存取控制系統類型
強制存取控制 (MAC, Mandatory Access Control systems)
強制存取控制系統提供最嚴格的保護,存取權限的核准完全由系統管理員掌握。這代表使用者無法變更拒絕或允許其進入不同區域的權限,為敏感資訊建立強大的安全性。
它甚至限制資源擁有者授予對系統中任何內容的存取權限。員工進入系統後,系統會使用一個獨特的關聯變數「標籤」標記員工,就像數位安全性設定檔一樣,這決定他們擁有的存取權限等級。因此,根據使用者擁有的標籤,他們對資源的存取權限將根據資源所含資訊的敏感性而受到限制。這個系統非常精明,事實上,對機密性有高度保護的特性,而廣泛用於政府機構。
自主存取控制 (DAC, Discretionary Access Control systems)
另一方面,自主存取控制系統將更多的控制權交回給領導層。他們決定誰可以存取哪些資源,即使系統管理員已建立具有特定權限的檔案層次結構,只需提供正確的認證即可獲得存取權限。
當然,唯一的缺點是需要監督最終使用者控制安全等級。由於系統需要更積極地管理權限,因此很容易忽略一些動作。MAC 方法缺乏彈性但是省力,而 DAC 系統則有較高的彈性但需要花費更多心力。
角色型存取控制 (RBAC, Role-Based Access Control systems)
角色型存取控制會根據使用者的業務職責來分配權限。這是最常見的存取控制系統,根據使用者在公司中的角色來決定存取權限,確保較低層級的員工無法存取高層級資訊。
在這種方法中,存取權限是根據一連串與業務相關的變數設計,例如資源、需求、環境、工作、位置等等。許多高階主管喜歡這種方法,因為可以根據員工需要存取的資源類型對員工進行分組。例如,人力資源部門的人員不需要存取私人行銷資料,行銷人員不需要存取員工薪資。RBAC 提供了靈活的模型,不但可以提高可視性,同時還能維持防禦漏洞和資料外洩。
更詳細、更實際的存取控制
雖然存取控制方面有一些既定的做法,但技術為我們提供可使用更多自訂方法的機會。根據企業想要「參與實際操作」的程度,可以有多種不同的考量方式。
規則型存取控制 (Rule-Based Access Control)
您可能已經猜到,這個系統是根據結構化規則和原則授予權限。主要是基於情境,當使用者嘗試存取資源時,作業系統會檢查該特定資源在「存取控制清單」中決定的規則。建立規則、原則和情境會需要投入額外心力才能完成推出工作。此外,這個系統通常會與我們之前討論的角色型方法結合使用。
屬性型存取控制 (ABAC, Attribute-Based Access Control)
深入來看,這種類型的系統根據賦予特定使用者的屬性提供不同的動態和風險智慧控制。將這些屬性視為使用者設定檔的組成部分,透過這些屬性來定義使用者的存取權限。一旦設定了原則,就可以使用這些屬性來判斷使用者是否應該擁有存取權限。這些屬性也可以從單獨的資料庫(例如 Salesforce)取得和匯入。
「更聰明」、更直覺的控制系統
有些控制系統完全超越了技術層面。這些系統在更深層且更直觀的級別運作。
身分型存取控制 (Identity-Based Access Control)
身分型存取控制是最簡單也最複雜的,允許使用者根據其個人視覺或生物識別身分存取資源。然後,根據使用者的身分是否與存取控制清單上出現的名稱相符來拒絕或允許使用者存取。這種方法的一個主要優點是,可以為系統中的個人提供更精細的存取權限,而不是手動將員工分組。這是一種非常詳細、技術導向的方法,為企業主提供充分的控制權。
記錄型存取控制 (History-Based Access Control)
另一個「聰明」的解決方案是記錄型存取控制系統。系統會根據使用者過往的安全行為,來決定使用者是否有權存取他們所要求的資源。然後,系統將抓取該使用者的活動歷史記錄,包括請求之間的時間間隔、請求的內容、近期開啟的門禁紀錄等。例如,如果使用者長期以來只處理受保護的會計資料,卻突然要求存取明年行銷規劃,就可能會被系統標記為異常。
未來:AI 驅動數位身分管理
隨著存取控制的不斷發展,管理系統的責任天平將逐漸從人的一端傾斜至技術的一端。人工智慧 (AI, Artificial Intelligence) 不僅使我們能夠即時評估使用者的存取權限,還能夠預測員工的整個生命週期。這些解決方案不但可以保護我們免受「現在」的風險,還可以在風險和合規問題變得嚴重之前及早識別它們。企業不再需要嚴格監控複雜的原則和存取控制清單之網路,因為 AI 在高層次上簡化了可視性。
總結
雖然存取控制已經從保護存放在實際建築物中的實體文件發展到基於雲端的系統,但保護企業資源的理念永遠不會過時。隨著我們的技術越來越先進,我們的選擇就越多。瞭解重要的變數(例如組織規模、資源需求、員工位置)將有助於您做出決策。
想要詳細瞭解我們如何使用科技和 AI 為您推薦合適的存取模式?在這裡閱讀更多資訊。
