信息安全工程师知识点:访问控制策略和机制
访问控制涉及到三个基本概念,即主体、客体和授权访问。
主体:一个主动的实体,该实体造成了信息的流动和系统状态的改变,它包括商户、用户组、终端、主机或一个应用,主体可议访问客体。
客体:指一个包含或接受信息的被动实体,对客体的访问要受控。它可以是一个宇节、字段、记录、程序、文件,或者是一个处理器、存储器、网络节点等。
授权访问:指主体访问客体的允许,授权访问对每一对主体和客体来说是给定的,决定了谁能够访问系统,能访问系统的何种资源以及如何使用这些资源。例如,授权访问有读写、执行,读写客体是直接进行的,而执行是搜索文件、执行文件。对用户的授权访问是由系统的安全策略决定的。
在计算机系统中,访问控制包括以下三个任务:授权,即确定可给予哪些主体存取客体的权力;确定存取权限(读、写、执行、删除、追加等存取方式的组合)实施存取权限。
在一个访问控制系统中,区别主体与客体很重要。首先由主体发起访问客体的操作,该操作根据系统的授权或被允许或被拒绝。另外,主体与客体的关系是相对的,当一个主体受到另一主体的访问,成为访问目标时,该主体便成为了客体。
访问控制的目的是为了限制访问主体对访问客体的访问权限,从而使计算机系统在合法范围内使用;它决定用户能做什么,也决定代表一定用户身份的进程能做什么。
访问控制策略是用于规定如何做出访问决定的策略。传统的访问控制策略包括一组由操作规则定义的基本操作状态。典型的状态包含一组主体(S)、一组对象(O)、一组访问权(A[S ,O]),包括读、写、执行和拥有。
访问控制策
最低0.47元/天 解锁文章
1523
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
