三要诀设计基于角色策略访问控制方案

　　在基于角色访问控制策略的访问控制解决方案中，每个要素都具有重要的作用。因此，在对多因素验证及单点登录解决方案进行验证的时间，每一个要素都需要进行评估。在公司实施解决方案的时间，不要急于对登录方式进行精简而忽略一项或者多项重要测试。

　　--------------------------------------------------------------------------------------------

　　在对网络、系统、网络控制设备进行评估的时间，合并所有类型的身份验证方式，将身份验证和授权统一到基于角色的独立访问控制(RBAC)模式下带来的诱惑会是非常大的。在这个过程中，削减成本(包括执行和管理等方面)通常是重要的推动力。但是，基于角色策略访问控制解决方案的三个要素是服务于不同的特定目的的。因此，在选择访问控制解决方案的时间，设计人员应该从每个要素的角度以及它们之间的关系等多个方面进行全面考虑，以便最终可以实现最佳效果。

　　在本文中，我将对访问控制解决方案进行简单的介绍，对它们在整体访问控制过程中是如何相互协作进行说明的，并提醒实施者注意在选择访问控制解决方案时，哪些测试是经常容易被忽略的。

　　定 义

　　在就如何有效设计基于角色策略的访问控制解决方案进行讨论前，我必须先确定将讨论的问题是正确的，不存在误解或者歧义。

　　· 主体和客体。在访问控制解决方案中，主体指的是试图获取资源的实体。这里的资源被称为对象(例如，网络、应用、服务等)。客体的例子包括用户、业务应用软件及操作系统的服务。

　　· 身份(识别) 。当一个主体尝试访问一个客体的时间，应该进行的第一个步骤就是身份识别操作，这实际上就是我们通常说的认证和授权机制。身份识别使用的一些众所周知的方式。

　　· 身份验证。一旦主体的身份被确认，它就可以获得已知的东西，或者是获得访问客体的权限。验证的时间，必须确保使用的是没有其他人知道的信息。

　　· 授权。获得连接客体的权限必须包含了如何对权限进行管理的问题，这牵扯到主体是怎么使用客体等方面的问题。这种提供角色细化权限的连接方式就是授权。

　　在Windows环境下基于角色策略的访问控制解决方案是怎么工作的

　　基于角色策略的访问控制解决方案需要制定明确有效的策略。对于数据中心和商业用户来说，在实施基于角色的访问控制解决方案的整个过程中对角色作用进行定义往往是最难最耗费时间的部分。在一个基于微软Windows操作系统的环境下，需要按照业务流程分析和最低权限原则等信息进行处理，以便建立有效的基于角色的访问控制模式，保障系统信息的安全。

　　· 首先，我们需要一种方法，将新员工和现有员工的信息统一纳入公司的身份识别系统中。举例来说，生物识别技术、数字证书技术等都是不错的选择。

　　· 我们还需要确定对于网络访问或者其它信息资源来说，哪些连接是必要的。

　　· 建立一个用户帐户的模板，并将它放到新建或者现有的组、组织单位等位置。这个地方将提供验证访问方式。

　　· 创建具有系统级别权限的帐户，用来保存传递身份验证信息的安全应用。确定信息安全策略，对信息进行分级，确保只有拥有相应权限的用户才能查阅相关的信息。

　　一旦身份识别、身份验证和授权的控制模式开始工作，就可以按照设定的规则对用户进行管理。图一显示的就是一个用户登陆到系统中的整个过程。

　　用户必须通过的第一道防线是身份识别。通常情况下，这会是一种基于生物识别技术的解决方案。一旦用户的身份被识别，就来到了身份验证操作的负责范围。一般验证方式采用的是密码、个人识别码等方式，此外，也可以利用位于活动目录中的用户帐户进行验证。

　　通过了第二道防线后，用户就可以连接网络，浏览普通或者大众类资源了。通过对目录服务进行控制和配置网络设备就可以实现对信息的管理，这包括了下面几个方面：

　　· 组成员管理

　　· 组织单位处理

　　· 组策略对象

　　· 虚拟局域网/网段存取控制清单(网络身份验证操作通常是在该装置的基础上进行的)

　　· 数字证书

　　· 本地目录

　　举例来说，就象公司的工资系统，不论该应用是否和整体策略存在联系，它也需要利用身份验证模式来确保安全。在特定规则下，用户信息可以安全有效的进行传递。该应用是否采用了单点登陆或者是否使用了活动目录下的数字证书并不是需要关注的问题。

　　在图一显示的例子中，用户连接上网络后，由于属于活动目录组的成员，所以可以浏览文件或者使用打印服务器。但即使验证系统容许其看到该应用的登陆窗口，他也是无法访问工资系统的，因为在该用户帐户中并没有被授予访问的权限。

　　前面这两道防线经常会被合并为一个效果如图二所示的单独工作过程。图中显示的就是利用指纹或其他类型的标记服务来识别和验证身份。

　　存在的缺陷和改进意见

　　同样地，身份识别和验证功能也往往可以合并为一个单独的登录过程。举例来说，某些基于生物识别技术的解决方案就将这两种功能进行了如下方式的结合：

　　1. 该系统可能会要求提供一个帐户名称或者其它识别信息，不过这并不是必须的。

　　2. 用户将他或她的拇指或其它手指放到生物识别传感器上。利用手指的特性系统将可以建立独特的识别信息。

　　3. 扫描到的识别信息通常保存在本地机器或者一台本地服务器上。如果没有在本地找到识别信息，你可以对中央数据库进行搜索，它经常被保存在活动目录中。

　　4. 基于这一种模式，很多公司就可以实现仅仅是为用户提供连接，而不需要任何额外信息或者活动。

　　这种方式模糊了访问控制过程三个阶段之间的界线。而增加单点登录(SSO)模式又进一步让整个进程的分界变得不明确。

　　访问控制解决方案的目的是简化用户的操作，消除不必要的障碍。然而，这个目标不能在没有对身份识别方式进行分析、了解身份验证模式会带来什么样的影响以及启用授权模式会出现什么样的问题，并得到解决以前达到。

　　身份识别不同于验证或者授权。身份验证和于身份识别或授权也存在区别.....你应该了解这一点。在访问控制解决方案的具体过程中，每个阶段都发挥着独特的作用。在实施多因素验证及单点登录解决方案前，必须进行评估，并且不要急于对正在使用的登录方式进行精简。因为这样有可能导致系统中出现漏洞，从而影响到整个信息安全策略的有效性。