今天我向大家在开始学习之前,大家先来想象一下,如果任何人都能在计算机上访问你的个人信息、聊天记录或者银行账户,这会给我们的隐私和安全带来怎样的威胁?幸好,数字世界中有着一种安全技术能够最大可能的避免上面担心的问题。对没错,是访问控制技术。为了能很好的理解它,咱们再来想象一个小区,在小区中,每个房间都有自己的门锁和钥匙,只有住户才能进入他们自己的房间。这就是一种基于物理访问控制的方式,用于保护住户的私人空间和财产。访问控制技术在数字世界中也同样适用。在数字世界中,访问控制技术也起着类似的作用,它可以确保只有被授权的用户才能进入特定的系统、网络或程序。
在计算机系统中,可不是只有访问控制技术保护了系统的安全,而是由认证、访问控制技术和审计共同建立了保护系统安全的基础。其中认证是用户进入系统的第一道防线,而我要介绍的访问控制技术,它是在认证的基础上实现的,也就是说,有一个用户在被鉴别过合法身份后,再由访问控制技术来控制用户对数据信息的访问,对于不同的用户,访问控制技术也会根据策略为他们授权不同的访问等级。所以访问控制技术既能控制用户和系统与其他系统和资源进行通信和交互,也能保护系统和资源受到未经授权的访问。
了解了访问控制的基本思路后,还要能理解访问控制环境中的主体和客体的概念,因为访问就是在主体和客体之间的一种信息的传输。顾名思义,主体就是一个主动的实体,它提供对客体中的对象或数据的访问要求。而客体是含有访问信息的被动实体。举个例子:
访问控制环境是一家银行,其中有银行员工和客户,银行员工是主体,客户是客体。员工拥有访问银行系统和客户账户的权限,可以执行各种操作,比如查询余额、转账或者更改客户信息。客户只能在经过授权后才能访问自己的账户信息。
在这个例子中,员工和客户是访问控制环境中的主体和客体,通过授权和访问规则的设定,员工和客户可以安全的使用银行的服务,从而保护客户账户免受未经授权的访问。
看这里!因本人学习能力有限,今天只能给大家介绍访问控制技术的概念,明天会继续更新访问控制模型的哦~