访问控制

## 概述

“访问控制”（Access Control）是**信息安全与资源管理的核心机制**，其核心目标是确保 “合适的主体（如用户、程序、设备）在合适的条件下，仅能访问其被授权的客体（如文件、数据库、服务器、网络端口）”，从而防止未授权访问、数据泄露或资源滥用。

它广泛应用于计算机系统、网络安全、云计算、物联网等领域，是构建安全防护体系的 “第一道防线” 之一。

## 核心要素

任何访问控制场景都围绕以下 4 个基本要素展开，缺一不可：

| 要素                   | 定义                                                         | 示例                                             |
| ---------------------- | ------------------------------------------------------------ | ------------------------------------------------ |
| **主体（Subject）**    | 发起访问请求的 “主动方”，即 “谁在请求访问”。                 | 企业员工、客户端程序、IoT 设备、第三方系统       |
| **客体（Object）**     | 被访问的 “被动资源”，即 “访问的目标是什么”。                 | 办公文档、ERP 数据库、云服务器、打印机           |
| **权限（Permission）** | 主体对客体可执行的操作类型，即 “能做什么”。                  | 读取文件、修改数据库、登录服务器、删除数据       |
| **策略（Policy）**     | 决定 “主体是否有权访问客体” 的规则集合，即 “判断依据是什么”。 | 仅部门成员可访问部门文件、下班时间禁止数据库修改 |

## 核心目标

实施访问控制的最终目的是保障资源安全与合规，具体可拆解为 3 个核心目标：

1. **防止未授权访问**：拒绝 “无权限主体” 对客体的访问（如外部黑客读取企业核心数据、普通员工删除公司财务报表）。
2. **保证资源完整性**：限制主体对客体的操作范围，防止未授权修改（如仅财务经理可修改薪资数据，普通员工仅能查看）。
3. **确保可追溯性（Accountability）**：记录所有访问行为（谁、何时、访问了什么、做了什么操作），便于事后审计与事故溯源（如数据泄露后定位责任人）。

## 主流模型

根据 “策略制定逻辑” 的不同，访问控制可分为 4 种主流模型，适用于不同安全需求场景。

### 自主访问控制

自主访问控制（DAC, Discretionary Access Control）

**核心逻辑**：**客体的所有者决定谁能访问该客体**，且所有者可将权限 “转让” 给其他主体（类似 “自己的文件自己决定给谁看”）。

**特点**：灵活性高，但安全性较弱（若所有者误授权，可能导致权限泄露）。

**适用场景**：个人设备（如个人电脑文件共享）、低安全需求的内部协作场景（如员工间临时共享非敏感文档）。

**示例**：Windows 系统中，用户可将自己的文件夹设置为 “共享给同事 A，且同事 A 可编辑”。

### 强制访问控制

强制访问控制（MAC, Mandatory Access Control）

**核心逻辑**：**权限由系统（而非用户）强制分配**，主体和客体均被标记 “安全级别”（如 “绝密”“机密”“公开”），仅当主体级别≥客体级别时，才允许访问。

**特点**：安全性极高，但灵活性差（权限不可自主转让），管理成本高。

**适用场景**：高安全需求的涉密场景（如政府军事系统、国家安全部门数据、金融核心交易系统）。

**示例**：某军事系统中，“绝密” 级文件仅允许持有 “绝密” 权限的军官访问，即使文件所有者是 “机密” 级军官，也无法将权限转让给他人。

### 基于角色的访问控制

基于角色的访问控制（RBAC, Role-Based Access Control）

**核心逻辑**：**先定义 “角色”，再将权限分配给角色，最后将角色赋予主体**（“按岗授权”，而非直接给用户授权）。

**特点**：权限与用户解耦，管理高效（如员工离职时只需删除角色，无需逐个回收权限），是目前企业最主流的模型。

**适用场景**：企业级系统（如 ERP、OA、CRM）、云平台权限管理（如阿里云 RAM 角色）。

**示例**：某公司定义 “财务专员” 角色，权限为 “查看薪资表 + 录入报销数据”；新入职的财务员工只需被分配 “财务专员” 角色，即可自动获得对应权限，无需单独配置。

### 基于属性的访问控制

基于属性的访问控制（ABAC, Attribute-Based Access Control）

**核心逻辑**：**根据 “主体、客体、环境的属性” 动态判断是否授权**（而非固定角色或所有者），规则更灵活。

**属性维度：**

- 主体属性：用户部门、职位、安全等级；
- 客体属性：文件类型、敏感级别、存储位置；
- 环境属性：访问时间（如工作时间）、访问设备（如公司内网电脑）、网络地址（如办公 IP 段）。

**特点**：动态性强、细粒度高，但规则设计复杂（需定义大量属性与条件）。

**适用场景**：复杂动态场景（如云计算、物联网、移动办公）。

**示例**：某企业规则：“仅当主体是‘市场部员工’（主体属性）、访问‘市场推广方案’（客体属性）、且在‘工作日 9:00-18:00’（环境属性）、通过‘公司内网设备’（环境属性）访问时，才允许读取”。

## 实现技术

| 技术类型                                     | 作用                                                         | 示例                                                         |
| -------------------------------------------- | ------------------------------------------------------------ | ------------------------------------------------------------ |
| **身份认证（Authentication）**               | 验证 “主体身份是否真实”（访问控制的前提，确保 “你是你声称的人”）。 | 密码登录、手机验证码（2FA）、指纹识别、Ukey                  |
| **授权管理（Authorization）**                | 依据策略分配 / 回收权限（如 RBAC 中的角色绑定、ABAC 中的规则执行）。 | 企业 AD 域权限配置、阿里云 RAM 授权、数据库用户权限分配      |
| **访问控制列表（ACL, Access Control List）** | 绑定 “客体” 与 “可访问的主体 / 权限”，是最基础的权限存储方式。 | 服务器文件 ACL（指定哪些用户可读写）、路由器 ACL（限制特定 IP 访问端口） |
| **审计日志（Audit Log）**                    | 记录所有访问行为，用于事后溯源与合规检查（如满足 GDPR、等保 2.0 要求）。 | 服务器登录日志、数据库操作日志、云平台访问记录               |
| **终端 / 网络控制**                          | 从环境层面限制访问条件（如限制设备、网络、时间）。           | 防火墙（阻断外部 IP 访问内网）、VPN（仅允许通过 VPN 访问办公系统）、设备管理（仅公司电脑可访问核心数据） |

## 实践原则

为确保访问控制有效，需遵循以下核心原则：

**最小权限原则（Principle of Least Privilege）**：仅授予主体完成工作必需的最小权限，避免 “过度授权”（如普通员工无需 “删除数据库” 权限）。

**权限分离原则（Separation of Duties）**：关键操作需多人协作完成，避免单人权限过大（如 “会计录入账目” 与 “出纳审核付款” 需由不同人负责）。

**动态调整原则**：权限需随 “主体角色变化”（如员工调岗、离职）或 “客体敏感等级变化”（如文件从 “公开” 变为 “机密”）及时更新，避免 “权限残留”。

**合规性原则**：访问控制需符合行业法规与标准（如金融行业需满足《网络安全法》《个人信息保护法》，企业需满足等保 2.0 要求）。