网络访问控制是什么意思
网络访问控制是将未经授权的用户和设备排除在专用网络之外的行为。允许组织外部的某些设备或用户偶尔访问网络的组织可以使用网络访问控制来确保这些设备符合公司安全合规性法规。越来越多地使用非公司设备访问公司网络要求企业特别注意 网络安全,包括允许访问的人员或内容。网络安全保护网络的功能,确保只有授权的用户和设备才能访问它,这些设备是干净的,并且用户是他们所认证的那个用户。
网络访问控制技术有以下三大关键要素:
主体:主体是可以在信息客体间流动的一种实体。主体通常指的是访问用户,但是作业或设备也可以成为主体。所以,对文件进行操作的用户是一种主体,用户调度并运行的某个作业也是一种主体,检测电源故障的设备还是一个主体。大多数交互式系统的工作过程是用户首先在系统中注册,然后启动某一进程以完成某项任务,该进程继承了启动它的用户的访问权限。在这种情况下,进程也是一个主体。一般来讲,审计机制应能对主体涉及的某一客体进行的与安全有关的所有操作都做相应的记录和跟踪。
客体:客体本身是一种信息实体,或者是从其他主体或客体接收信息的载体。客体不受它所依存的系统的限制,其可以是记录、数据块、存储页、存储段、文件、目录、目录树、邮箱、信息、程序等,也可以是位、字节、字、域、处理器、通信线路、时钟、网络节点等。主体有时也可以被当作客体,例如,一个进程可能包含多个子进程,这些子进程就可以被认为是一种客体。在一个系统中,作为一个处理单位的最小信息集合就称为一个文件,每一个文件都是一个客体。但是,如果文件可以分成许多小块,并且每个小块又可以单独处理,那么每个小块也都是一个客体。另外,如果文件系统被组织成了一个树形结构,那么这种文件目录也是客体。
控制策略:控制策略是主体对客体的操作行为集和约束条件集,也是主体对客体的控制规则集。这个规则集直接定义了主体对客体可以进行的作用行为和客体对主体的条件约束。控制策略体现了一种授权行为,即客体对主体的权限允许,这种允许不可超越规则集。