访问控制旨在通过身份标识、身份验证和授权来允许,拒绝,限制和撤销对资源的访问。在讨论数据访问管理时,我们必须先把物理访问和逻辑访问弄明白。物理访问是指建筑物,设备和文档,而逻辑访问是指计算机或系统访问。
访问管理概念
让我们仔细探讨一下安全和身份管理概念,这些概念已包含在某些身份管理协会认证计划和考试的范围内了。
身份标识
身份标识是一种能够确保主体(用户、程序或进程)就是其所声称实体的方法。
身份验证
身份验证是将实体提供的凭据与存储在系统上的实体信息进行比较以验证身份的过程。
授权
授权发生在实体的标识和身份验证发生之后,以确定允许他们执行的操作。授权是通过使用访问控制来实现的。
最小特权原则
最小特权原则规定,我们应该只允许对一个实体的最小访问权限,这个实体可以是用户、设备、帐户或进程,使其能够执行所需功能的实体。该概念也适用于计算机服务,这些服务可能被授予比通过不当编程运行系统所需的更多的访问权限和功能。
职责分离原则
职责分离原则是企业各业务部门及业务操作人员之间责任和权限的相互分离机制。主要目的是通过允许两个人完成一项任务来防止剥削和欺诈。例如,为了确保在线转移资金时的安全性,系统可能需要两个人进入系统并批准交易。
访问控制列表