• 90后出纳利用公务之便挪用公款4800万打赏女主播，最终因非法侵占罪被判处12年有期徒刑。
• 蔚来汽车员工利用职务便利使用公司服务器资源挖虚拟货币。
• 华为员工利用公司系统 Bug 越权访问机密数据被判刑。

此类问题频频出现归根结底是公司的相关系统存在访问控制上的安全漏洞，从而导致员工能够未经授权就访问公司的重要信息，这也给我们敲响了警钟，访问控制在网络安全中至关重要。只有严格的访问控制系统才能保护我们的资产不受侵害，今天我们就来谈谈访问控制。

什么是访问控制技术？

访问控制技术，指通过技术手段防止对任何资源进行未授权的访问，从而使计算机系统在合法的范围内使用，通俗讲就是，并不是所有的用户都可以对系统进行不同层次的操作，用户需要通过访问控制的许可，才能进行不同操作，从而对企业的数据信息进行保护。

访问控制的功能

尽管在公司中你是拥有“身份证”的合法用户，但是否能够直接访问网络资源呢？答案是否定的。因为，访问控制的主要功能就包括：

• 防止非法的主体进入受保护的网络资源

• 防止合法用户对受保护的网络资源进行非授权的访问

• 保证合法用户访问授权保护的网络资源

也就是说访问控制首先需要对用户身份的合法性进行验证，确保用户对信息资源在授权范围内的合法使用，否则即使为合法用户也无法越权行使权限以外的功能及访问范围，同时系统可以自动根据用户的访问权限，对计算机网络环境下的有关活动或行为进行系统的、独立的检查验证，并做出相应评价与审计，防止企业重要信息资源泄露。

主要访问控制类型

主要访问控制类型分为自主访问控制（ DAC ）、 强制访问控制（ MAC ）、基于角色的访问控制（ RBAC ）。

自主访问控制中进程与其执行客户，拥有相同权限，能够对文件资源进行读、写、执行三个权限。我们常用的操作系统都采用这种机制，比如我们可以对电脑中的文件进行读、写、执行权限的设置。

自主访问控制灵活性强，但安全性较低，容易被木马利用。

强制访问控制用于将系统中的信息分密级和类进行管理，以保证每个用户只能访问到那些被标明可以由他访问的信息的一种访问约束机制。

强制访问控制能有效保护信息的扩散，保密性好，但权限变更不方便，应用领域较窄使用不灵活，一般只适合政府机构和军事领域等具有严格机密性要求的行业或领域。

基于角色的访问控制通过引入角色对用户进行操作授权，不同的角色对应不同的授权。

基于角色的访问控制能够简化用户的权限管理，减少系统的开销，对企业的安全策略和企业变化有很大的灵活性。

疫情下，远程办公已成为常态。当我们办公环境迁移到家中、酒店等外部环境，这时我们的访问控制就需要满足动态访问控制，针对这种情况，江民科技推出了“零信任+XDR”解决方案，基于动态的、主动的防控策略，提供有效安全管控手段，从认证、身份、环境、评估、授权等五个维度进行精准管控，结合数据加密传输措施，做到全方位的网内安全监防，全生命周期的权限管控和行为规范，此外，基于情报、知识、经验、合规和机器学习等五大类威胁狩猎能力，XDR分析中心能够实现高精度的自动化分析和研判，达到安全管理自动化的效果，极大提高员工体验和运维效率，最终达到降低安全风险的防护效果。