门禁系统
门禁系统是一种安全技术,环境中检查或使用资源的安全技术。它是安全的基本概念,可以限度地降低业务或组织的风险。
有两种门禁系统:物理门禁系统和逻辑门禁系统。物理门禁系统限制校园、建筑、房间和物理IT资产的访问。逻辑门禁系统限制与计算机网络、系统文件和数据的连接。
为了确保设施的安全,组织使用依赖用户凭证、门禁读卡器、审计报告的电子门禁系统,跟踪员工对有限业务场所和专有区域(如数据中心)的访问。其中一些系统包括门禁控制面板,以限制进入房间和建筑物,以及报警和锁定功能,以防止未经授权的访问或操作。
门禁系统通过评估所需的登录凭证来验证和授权用户和实体。登录凭证可包括密码、个人身份号码(PIN)、生物特征扫描、安全令牌或其他身份验证因素。多因素认证(MFA)需要两个或两个以上的认证因素,通常是保护门禁系统分层防御的重要组成部分。
为什么门禁系统很重要?
门禁系统的目标是尽量降低未经授权访问物理和逻辑系统的安全风险。门禁系统是安全合规计划的基本组成部分,可以保证安全技术和门禁系统策略到位,保护客户数据等机密信息。大多数组织都有基础设施和程序,限制访问网络、计算机系统、应用程序、文件和敏感数据(如个人识别信息(PII)和知识产权)。
访问控制系统非常复杂,很难在涉及内部部署系统和云服务的动态IT环境中进行管理。在一些引人注目的违规行为之后,技术供应商已经从单点登录(SSO)系统转向统一访问管理,为内部部署和云环境提供访问控制系统。
门禁系统的工作原理。
这些安全控制通过识别个人或实体、验证个人或应用程序的声称、授权访问级别和与用户名或互联网协议(IP)地址相关的一组操作来工作。目录服务和协议,包括轻量级目录访问协议(LDAP)和安全断言标记语言(SAML),提供验证和授权用户和实体的门禁系统,并连接到分布式应用程序和web服务器等计算机资源。
各组织根据法律法规的遵从性要求和试图保护的信息技术(IT)的安全水平,采用不同的门禁系统模型。
门禁系统的类型。
门禁系统的主要模式如下:
强制门禁系统(MAC)。这是一种安全模型,由基于多个安全级别的中央机构管理。分类通常用于和军事环境,分配给系统资源和操作系统(OS)或安全核心。它根据用户或设备的信息安全许可证授予或拒绝访问这些资源对象。例如,安全增强型Linux(SELinux)是MAC在Linux操作系统中的实现。
独立访问控制系统(DAC)。这是一种访问控制系统的方法。在这种方法中,受保护系统、数据或资源的所有者或管理员设置策略来定义谁或谁有权访问资源。许多系统允许管理员限制访问权的传播。DAC系统的一个常见批评是缺乏集中控制。
基于角色的访问控制系统(RBAC)。这是一种广泛使用的访问控制系统机制,基于具有定义业务功能的个人或组(如执行级别、工程师级别1等)。而不是单个用户的身份来限制对计算机资源的访问。基于角色的安全模型依赖于使用角色工程开发的角色分配、角色授权和角色权限的复杂结构来管理员工对系统的访问。RBAC系统可用于实施MAC和DAC框架。
基于规则的访问控制系统。这是一个安全模型,系统管理员定义了管理访问资源对象的规则。通常,这些规则是基于条件的,比如中的时间或地点。使用某种形式的基于规则的访问控制系统和RBAC强制访问策略和过程并不少见。
