Estoy familiarizado con el concepto de control de acceso basado en roles, pero he escuchado los términos RBAC0, etc. que están siendo publicados. ¿Qué significan estos realmente? Encontré esta cita en un sitio web de NIST :
En 1996, Sandhu, Coyne, Feinstein y Youman introdujeron un marco para los modelos RBAC que incorporaron las características RBAC descritas anteriormente en Un arreglo modular. RBAC0 se definió como el modelo base, definido A través de usuarios, roles y permisos. RBAC1 incluye RBAC0 pero incorpora jerarquías como una relación de orden parcial entre roles RBAC2 también incorpora RBAC0, pero agrega restricciones. RBAC1 y Los RBAC2 son independientes entre sí, ya que un sistema puede implementar uno sin el otro RBAC3 es un modelo RBAC con todas las funciones, incorporando RBAC0, RBAC1, y RBAC2. RBAC3 es esencialmente equivalente al modelo Ferraiolo y Kuhn de 1992, con la excepción de que RBAC3 Permite una jerarquía parcial de orden mientras que el modelo Ferraiolo-Kuhn. Define la jerarquía como un árbol enraizado. En términos orientados a objetos, la El modelo SCFY de 1996 se puede considerar como una incorporación de múltiples herencia mientras que Ferraiolo-Kuhn usa herencia única.
Pero estas definiciones son un poco confusas y suenan cerca de technobabble.
¿Cuál es realmente el significado de estos niveles? ¿Tienen valor en la industria o es solo balbuceo de CISSP? ¿Es común que los sistemas solo alcancen ciertos niveles de RBAC?