門禁系統

門禁系統是一種安全技術，它控制誰或什么可以在計算環境中查看或使用資源。它是安全性中的一個基本概念，可以將業務或組織的風險降至最低。

有兩種類型的門禁系統：物理門禁系統和邏輯門禁系統。物理門禁系統限制對校園、建筑物、房間和物理IT資產的訪問。邏輯門禁系統限制與計算機網絡、系統文件和數據的連接。

為了確保設施的安全，組織使用依賴于用戶憑證、門禁讀卡器、審計和報告的電子門禁系統來跟蹤員工對受限業務地點和專有區域（如數據中心）的訪問。其中一些系統包括門禁控制面板，以限制進入房間和建筑物，以及警報和鎖定功能，以防止未經授權的訪問或操作。

門禁系統系統通過評估所需的登錄憑證來執行用戶和實體的身份驗證和授權，登錄憑證可以包括密碼、個人身份號碼（PIN）、生物特征掃描、安全令牌或其他身份驗證因素。多因素認證（MFA）需要兩個或多個認證因素，通常是保護門禁系統系統的分層防御的重要組成部分。

為什么門禁系統很重要？

門禁系統的目標是將未經授權訪問物理和邏輯系統的安全風險降至最低。門禁系統是安全合規計劃的一個基本組成部分，可確保安全技術和門禁系統策略到位，以保護機密信息，如客戶數據。大多數組織都有限制訪問網絡、計算機系統、應用程序、文件和敏感數據（如個人識別信息（PII）和知識產權）的基礎設施和程序。

門禁系統系統非常復雜，在涉及內部部署系統和云服務的動態IT環境中管理起來非常困難。在一些引人注目的違規事件之后，技術供應商已經從單點登錄（SSO）系統轉向了統一訪問管理，該系統為內部部署和云環境提供門禁系統。

門禁系統的工作原理

這些安全控制通過識別個人或實體、驗證個人或應用程序是誰或它聲稱是什么、授權訪問級別和與用戶名或互聯網協議（IP）地址相關的一組操作來工作。目錄服務和協議，包括輕量級目錄訪問協議（LDAP）和安全斷言標記語言（SAML），提供門禁系統，用于驗證和授權用戶和實體，并使其能夠連接到計算機資源，如分布式應用程序和web服務器。

各組織根據其法規遵從性要求和試圖保護的信息技術（IT）的安全級別，使用不同的門禁系統模型。

門禁系統的類型

門禁系統的主要模式如下：

強制門禁系統（MAC）。這是一種安全模型，在該模型中，訪問權限由基于多個安全級別的中央機構進行管理。分類通常用于政府和軍事環境，分配給系統資源和操作系統（OS）或安全內核。它根據用戶或設備的信息安全許可授予或拒絕訪問這些資源對象。例如，安全增強型Linux（SELinux）是MAC在Linux操作系統上的一種實現。

自主門禁系統（DAC）。這是一種門禁系統方法，在這種方法中，受保護系統、數據或資源的所有者或管理員設置策略，定義誰或什么有權訪問資源。其中許多系統允許管理員限制訪問權限的傳播。DAC系統的一個常見批評是缺乏集中控制。

基于角色的門禁系統（RBAC）。這是一種廣泛使用的門禁系統機制，它基于具有已定義業務功能的個人或組（例如，執行級別、工程師級別1等）而不是單個用戶的身份來限制對計算機資源的訪問?；诮巧陌踩Ｐ鸵蕾囉谑褂媒巧こ涕_發的角色分配、角色授權和角色權限的復雜結構，以管理員工對系統的訪問。RBAC系統可用于實施MAC和DAC框架。

基于規則的門禁系統。這是一個安全模型，在該模型中，系統管理員定義了管理對資源對象的訪問的規則。通常，這些規則是基于條件的，例如一天中的時間或地點。使用某種形式的基于規則的門禁系統和RBAC來強制執行訪問策略和過程并不少見。

基于屬性的門禁系統（ABAC）。這是一種通過eva管理訪問權限的方法