基于属性的访问控制(ABAC)

Q: 基于属性的访问控制(ABAC) 是什么?

一种通过对主体、资源、操作和环境属性进行策略评估,来决定是否允许访问请求的授权模型。 它属于网络安全的 身份与访问 分类。

Q: 如何防御 基于属性的访问控制(ABAC)?

针对 基于属性的访问控制(ABAC) 的防御通常结合技术控制与运营实践,详见上方完整定义。

审核人Florian AmetteCybersecurity entrepreneur & security researcher

基于属性的访问控制(ABAC) 是什么?

基于属性的访问控制(ABAC)一种通过对主体、资源、操作和环境属性进行策略评估,来决定是否允许访问请求的授权模型。

基于属性的访问控制用动态策略取代静态的角色分配。决策引擎根据用户部门与密级、资源分类、所请求的操作、时间、设备合规状态等属性进行规则评估。这样可以做出非常细粒度、上下文相关的判断,例如仅在医生值班期间,并通过受管设备访问时,才允许其查看病历。NIST SP 800-162 对 ABAC 进行了描述,常用 XACML 与 OPA Rego 等标准实现。其优势在于灵活性与可扩展性,缺点是策略复杂、审计困难,并依赖可信的属性来源。

● 示例

01
OPA 策略仅在 user.region == resource.region 且 device.compliant == true 时放行。
02
XACML 规则限制只允许欧盟用户从欧盟 IP 段导出个人数据。

● 常见问题

基于属性的访问控制(ABAC) 是什么?

一种通过对主体、资源、操作和环境属性进行策略评估,来决定是否允许访问请求的授权模型。它属于网络安全的身份与访问分类。

基于属性的访问控制(ABAC) 是什么意思?

一种通过对主体、资源、操作和环境属性进行策略评估,来决定是否允许访问请求的授权模型。

如何防御基于属性的访问控制(ABAC)?

针对基于属性的访问控制(ABAC) 的防御通常结合技术控制与运营实践,详见上方完整定义。

基于属性的访问控制(ABAC) 还有哪些其他名称?

常见的别称包括: ABAC, 基于策略的访问控制。

● 相关术语

● 另见

知必要原则(Need-to-Know)