本文介绍了访问控制(Access Control)的基本概念,包括它如何与信息安全的CIA三要素(机密性、完整性和可用性)相关联。讨论了身份验证(Authentication)与授权(Authorization)的区别,强调身份验证是确定用户身份,而授权决定用户可以执行的操作。文中通过实例解释了这两个概念,并提到了双因子和多因子认证的重要性。最后,概述了访问控制、身份验证和授权三者的关系。
访问控制(Access Control)的概念
访问控制是指对资源的访问的更通用的控制方法,或者说机制,它与“谁可以做什么”有关。例如,公司的跳板机(Jump Server)只允许在办公网络下访问,这是一种访问控制方式;例如,你需要方舟需要登录账号密码才能使用,这是一种访问控制方式;例如,方舟除了需要账号密码登录外,还需要你拥有方舟的权限才能正常使用,这也是一种访问控制方式。
访问控制可以说是当今使用的最基本和最普遍的安全机制。访问控制几乎出现在所有系统中,并在企业计算的各个层面带来了巨大的架构和管理挑战。从业务的角度来看,访问控制有可能促进资源的最佳共享和交换,但它也有可能使用户感到沮丧,增加大量管理成本,并导致有价值信息的未经授权的披露或损坏。
信息安全基本原理
因为访问控制是信息安全的一个解决方案,在介绍访问控制的核心概念之前,有必要先介绍信息安全的基本原理。只有了解了信息安全的基本原理,我们才能更好地理解访问控制解决了信息安全的什么问题。信息安全的内容可以简化为下列三个基本点,称为CIA三要素(此观点似乎最早在NIST于1977年所发行的出版品中提到):
Confidentiality:指保持信息安全和私密的需要。例如,你的薪资待遇待遇,只有你的上级和HR能知道,如果除此以外的人知道了,那么则说明这个系统是不满足信息安全Confidentiality条件的,换句话说,这个系统是不安全的。
Integrity:是指保护信息不被未经授权的用户不当更改或修改的概念。例如,大多数用户希望确保财务软件使用的银行
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
