门禁系统

门禁系统是一种安全技术，它控制谁或什么可以在计算环境中查看或使用资源。它是安全性中的一个基本概念，可以将业务或组织的风险降至最低。

有两种类型的门禁系统：物理门禁系统和逻辑门禁系统。物理门禁系统限制对校园、建筑物、房间和物理IT资产的访问。逻辑门禁系统限制与计算机网络、系统文件和数据的连接。

为了确保设施的安全，组织使用依赖于用户凭证、门禁读卡器、审计和报告的电子门禁系统来跟踪员工对受限业务地点和专有区域（如数据中心）的访问。其中一些系统包括门禁控制面板，以限制进入房间和建筑物，以及警报和锁定功能，以防止未经授权的访问或操作。

门禁系统系统通过评估所需的登录凭证来执行用户和实体的身份验证和授权，登录凭证可以包括密码、个人身份号码（PIN）、生物特征扫描、安全令牌或其他身份验证因素。多因素认证（MFA）需要两个或多个认证因素，通常是保护门禁系统系统的分层防御的重要组成部分。

为什么门禁系统很重要？

门禁系统的目标是将未经授权访问物理和逻辑系统的安全风险降至最低。门禁系统是安全合规计划的一个基本组成部分，可确保安全技术和门禁系统策略到位，以保护机密信息，如客户数据。大多数组织都有限制访问网络、计算机系统、应用程序、文件和敏感数据（如个人识别信息（PII）和知识产权）的基础设施和程序。

门禁系统系统非常复杂，在涉及内部部署系统和云服务的动态IT环境中管理起来非常困难。在一些引人注目的违规事件之后，技术供应商已经从单点登录（SSO）系统转向了统一访问管理，该系统为内部部署和云环境提供门禁系统。

门禁系统的工作原理

这些安全控制通过识别个人或实体、验证个人或应用程序是谁或它声称是什么、授权访问级别和与用户名或互联网协议（IP）地址相关的一组操作来工作。目录服务和协议，包括轻量级目录访问协议（LDAP）和安全断言标记语言（SAML），提供门禁系统，用于验证和授权用户和实体，并使其能够连接到计算机资源，如分布式应用程序和web服务器。

各组织根据其法规遵从性要求和试图保护的信息技术（IT）的安全级别，使用不同的门禁系统模型。

门禁系统的类型

门禁系统的主要模式如下：

强制门禁系统（MAC）。这是一种安全模型，在该模型中，访问权限由基于多个安全级别的中央机构进行管理。分类通常用于政府和军事环境，分配给系统资源和操作系统（OS）或安全内核。它根据用户或设备的信息安全许可授予或拒绝访问这些资源对象。例如，安全增强型Linux（SELinux）是MAC在Linux操作系统上的一种实现。

自主门禁系统（DAC）。这是一种门禁系统方法，在这种方法中，受保护系统、数据或资源的所有者或管理员设置策略，定义谁或什么有权访问资源。其中许多系统允许管理员限制访问权限的传播。DAC系统的一个常见批评是缺乏集中控制。

基于角色的门禁系统（RBAC）。这是一种广泛使用的门禁系统机制，它基于具有已定义业务功能的个人或组（例如，执行级别、工程师级别1等）而不是单个用户的身份来限制对计算机资源的访问。基于角色的安全模型依赖于使用角色工程开发的角色分配、角色授权和角色权限的复杂结构，以管理员工对系统的访问。RBAC系统可用于实施MAC和DAC框架。

基于规则的门禁系统。这是一个安全模型，在该模型中，系统管理员定义了管理对资源对象的访问的规则。通常，这些规则是基于条件的，例如一天中的时间或地点。使用某种形式的基于规则的门禁系统和RBAC来强制执行访问策略和过程并不少见。

基于属性的门禁系统（ABAC）。这是一种通过eva管理访问权限的方法