在跨企業部署ABAC系統之前,必須考慮許多因素。在充分考慮目前技術狀況和總結聯邦政府內部多次嘗試在大型企業中部署ABAC的經驗教訓的基礎上,整理了一些指導原則供讀者借鑒。這些建議按照下圖所示的NIST系統開發生命周期(SDLC)的各個階段分別給出。有關SDLC的更多信息,請參閱[NIST800-100]。企業ABAC部署主要考慮前四個階段:啟動、獲取/開發、實施/評估和操作/維護。

 ACM NIST系統開發生命周期(SDLC)

企業ABAC的開發和部署需要考慮許多影響其設計、安全性和互操作性的因素。這些因素導致了一系列應該考慮的問題:

 • ABAC實施的項目論證。開發/獲取新功能和從舊功能過渡的成本是多少?ABAC提供了哪些重要的好處?ABAC引入了哪些新的風險(如果有的話),需要哪些新的管理結構來管理共享的功能和策略文檔?這些策略以前都是由人工介入的決策。哪些數據集、系統、應用程序和網絡需要ABAC功能?數據丟失或誤用如何管理?

 • 了解運營需求和整個企業架構。如何管理、監視和驗證權限以實現合規?企業將公開哪些接口和客體用于信息共享?將使用什么ACM?如何共享和管理主體和客體屬性?訪問控制規則是什么?它們是如何抽取、評估和執行的?企業內部如何管理信任?

 • 建立或完善業務流程以支持ABAC。訪問規則和策略是否被充分理解和記錄?如何識別和分配所需的屬性?如何以層次化方式應用多個策略并消除沖突?如何處理訪問失敗?新策略由誰創建?如何共享和管理公共策略?

 • 開發和獲取一套可互操作的能力?；ゲ僮餍匀绾螌崿F?如何將身份管理中的主體屬性集成到ABAC中?如何處理不同或特殊的身份需求?如何跨企業實體共享和維護主體屬性?身份驗證、授權、屬性管理、決策或強制執行能力的集中化實現和分布式部署的利弊是什么?如何在策略決策中使用環境條件?在策略決策中,信任在安全、質量、準確等層面是如何量化、傳遞和使用的?如何在組織之間映射主體屬性?如何制定策略以整合最新的可用主體、客體和環境條件屬性集?

 • 性能評估。如何為未連接、帶寬受限或資源受限的用戶管理主體屬性?企業新成員的接口規范如何可用?屬性和策略更改的質量和及時性如何衡量和實現?整個系統和端到端性能是否足夠?

啟動階段的考慮

在啟動階段,企業評估ABAC系統的需求及其潛在用途,確定ABAC系統是一個獨立的信息系統,還是已有系統的一個組件。一旦這些任務完成并確定ABAC的能力需求,在ABAC系統獲得批準之前,還需要一些工作,包括明確定義目標和高級需求。在這個階段,企業需要定義ABAC系統的高級業務、操作需求以及企業架構。

采購/開發階段的考慮

在采購/開發階段,企業通過設計、購買、編程、開發等各種方式來搭建系統。通常,在此階段,組織準備要在企業范圍內運行的業務流程,并定義要部署和集成的系統。在這個階段的第一環節,企業應該同時定義系統的安全性和功能需求。在這一階段的最后環節,在項目進入實施/評估階段之前,組織應對技術和安全特性/功能進行開發性測試,以確保它們能夠按預期運轉。

實施/評估階段的考慮

在實現/評估階段,組織安裝或實現系統,配置并啟用系統的安全特性,測試這些功能特性,最后獲得操作運行該系統的正式授權。在這個階段中,大多數的考慮都集中在優化性能和確保安全功能的正常運行方面上。

操作/維護階段的考慮

在操作/維護階段,系統和產品均已就位,系統的操作、增強和修改已經開發和測試完畢,硬件和軟件也得以到添加或更換。在此階段,組織應當監控系統的性能,以確保其符合預先設定的用戶和安全需求,同時所需的系統修改也已完成。

責任編輯：焦旭