@深巷
2年前 提问
1个回答

访问控制的内容包括哪些方面

Andrew
2年前

访问控制(Access Control)指系统对用户身份及其所属的预先定义的策略组限制其使用数据资源能力的手段。访问控制的内容包括三个方面:

  • 认证:包括主体对客体的识别认证和客体对主体检验认证。

  • 控制策略的具体实现:如何设定规则集合从而确保正常用户对信息资源的合法使用,既要防止非法用户,也要考虑敏感资源的泄漏,对于合法用户而言,更不能越权行使控制策略所赋予其权利以外的功能。

  • 安全审计:使系统自动记录网络中的“正常”操作、“非正常”操作以及使用时间、敏感信息等。

访问控制的主要目的是限制访问主体对客体的访问,从而保障数据资源在合法范围内得以有效使用和管理。为了达到上述目的,访问控制需要完成两个任务:识别和确认访问系统的用户、决定该用户可以对某一系统资源进行何种类型的访问。

访问控制的主要功能包括:保证合法用户访问受保护的网络资源,防止非法的主体进入受保护的网络资源,或防止合法用户对受保护的网络资源进行非授权的访问。

访问控制的实现过程和内容:首先需要对用户身份的合法性进行验证,同时利用控制策略进行选用和管理工作,当用户身份和访问权限验证之后,还需要对越权操作进行监控。访问控制的内容包括认证、控制策略实现和安全审计等。