端隐零信任访问控制简介

随着企业信息系统的数量及规模不断扩大，信息资源中敏感数据和关键数据也越来越多，几乎所有信息系统都引进了访问控制对系统中的资源进行保护，通过对访问者进行限制和授权来保证资源的保密性和访问合法性。

访问控制是指当访问者向受保护资源进行访问操作时的控制管理，控制管理区分访问者属性，确保可信者能够访问受保护资源，不可信者无法访问受保护资源。完整的访问控制有主体、客体和访问策略三大要素：

• 主体：访问动作的发起者，可以是用户、设备及服务等；
• 客体：被访问的资源，可以是服务、服务器或文件夹等；
• 访问策略：管理员预定义对于客体进行保护的策略或策略集合，本质是对主体访问行为的授权过程。

通俗来讲就是：【主体】请求对【客体】进行某种访问操作时必须满足【访问策略】的要求。

端隐零信任中的访问控制

端隐零信任安全解决方案在访问控制中引进信任算法模型，由端隐安全控制中心基于用户历史数据进行信任评估，包括终端环境、身份属性、登录行为和访问行为四个感知维度，感知维度覆盖了用户通过端隐零信任访问企业系统资源的全部过程，如用户访问环境是否安全、访问过程中多因子身份认证是否通过、访问主体本身是否安全等。

安全控制中心评估的用户可信值分数(0-100分)按等级划分为低、中等和极高，确定受保护的系统资源安全等级后，端隐零信任将自动匹配出用户对应的控制策略等级，进而根据访问主体可信值分数限制访问，无需管理员再逐条配置访问控制的策略规则。

近年来企业业务场景愈加复杂和多样化，需要既能满足各类复杂场景又能确保安全性的方案，因此端隐零信任安全解决方案在信任算法模型上还支持再添加基于属性的访问控制策略；即在已经设置自动防护策略的同时，根据访问主体属性或环境属性进行预先定义策略集合，如针对访问资源可访问时段、访问主体所在地区及IP、异地访问管控等更加细致具体的访问策略。

端隐零信任通过信任算法模型与基于属性的访问控制结合的方式，结合用户认证、设备认证及多因子身份认证形成了完备的访问控制体系，使复杂的访问场景简单化，并在最大程度上保证了系统的安全性。除了访问控制，端隐零信任还针对访问控制做了安全审计功能；能根据访问控制预先定义的策略集合，产生具备真实、可靠的日志记录，切实保障企业资源的安全，协助IT运维管理人员对安全风险事件进行溯源。