基于角色的访问控制(RBAC)是一种根本上有缺陷的方法,用于管理组织中的用户身份和访问权限。RBAC的固有弱点在于它的笨拙性,对手动输入的依赖以及对维护的持续需求。所有这些因素共同构成了风险高且漏洞百出的系统。
解决由RBAC引起的问题的方法是基于策略的访问控制系统(PBAC)。 美国国家标准与技术研究所(NIST)发表的一篇题为《访问控制模型调查》的论文称:“PBAC是一种新兴的模型,旨在帮助企业解决基于抽象策略和治理要求实施具体访问控制的需要。”
可管理性
RBAC的问题在于它不是一个自动的过程,这意味着需要手动对其进行管理。从本质上讲,角色是与授权对象的静态连接,因此,需要进行的任何更改(添加,删除和更新用户的访问权限)都必须由IT经理来完成。掌握谁应该访问哪些资源是一个复杂又令人困惑的过程。因此,当用户请求新权限时,IT经理必须检查以确保允许该用户访问。危险在于,只要涉及“人为因素”,就很容易引入错误。
PBAC的指导原则是,设置策略、用户配置文件和环境条件必须符合允许访问的标准。 由于PBAC支持运行时授权,因此它是动态的,并具有允许实时进行更改的能力。无需维护不断变化的用户角色的存储库,无需从特定组中添加或删除单个用户,也无需在公司的员工状态和职责发生变化时不断维护对资源的授权。由于PBAC是自动过程,因此可以减少与人工干预有关的风险。