入网访问控制通常包括哪几方面
入网访问控制通常包括以下这些方面:
主体:是指提出访问资源具体请求。是某一操作动作的发起者,但不一定是动作的执行者,可能是某一用户,也可以是用户启动的进程、服务和设备等。主体是可以在信息客体间流动的一种实体。主体通常指的是访问用户,但是作业或设备也可以成为主体。所以,对文件进行操作的用户是一种主体,用户调度并运行的某个作业也是一种主体,检测电源故障的设备还是一个主体。大多数交互式系统的工作过程是用户首先在系统中注册,然后启动某一进程以完成某项任务,该进程继承了启动它的用户的访问权限。在这种情况下,进程也是一个主体。一般来讲,审计机制应能对主体涉及的某一客体进行的与安全有关的所有操作都做相应的记录和跟踪。
客体:是指被访问资源的实体。所有可以被操作的信息、资源、对象都可以是客体。客体可以是信息、文件、记录等集合体,也可以是网络上硬件设施、无限通信中的终端,甚至可以包含另外一个客体。客体本身是一种信息实体,或者是从其他主体或客体接收信息的载体。客体不受它所依存的系统的限制,其可以是记录、数据块、存储页、存储段、文件、目录、目录树、邮箱、信息、程序等,也可以是位、字节、字、域、处理器、通信线路、时钟、网络节点等。主体有时也可以被当作客体,例如,一个进程可能包含多个子进程,这些子进程就可以被认为是一种客体。在一个系统中,作为一个处理单位的最小信息集合就称为一个文件,每一个文件都是一个客体。但是,如果文件可以分成许多小块,并且每个小块又可以单独处理,那么每个小块也都是一个客体。另外,如果文件系统被组织成了一个树形结构,那么这种文件目录也是客体。
控制策略:是主体对客体的相关访问规则集合,即属性集合。访问策略体现了一种授权行为,也是客体对主体某些操作行为的默认。控制策略是主体对客体的操作行为集和约束条件集,也是主体对客体的控制规则集。这个规则集直接定义了主体对客体可以进行的作用行为和客体对主体的条件约束。控制策略体现了一种授权行为,即客体对主体的权限允许,这种允许不可超越规则集。
认证:包括主体对客体的识别及客体对主体的检验确认,防止非法客体访问主体。
安全审计:系统可以自动根据用户的访问权限,对计算机网络环境下的有关活动或行为进行系统的、独立的检查验证,并做出相应评价与审计。