控制手段分为三类:
 
1,管理 主要包括策略和规程,安全意识的培训,背景调查,工作习惯检查,职业历史复查,增加监管等。
 
2,逻辑和技术控制 主要包括 限制访问和信息保护,如加密,智能卡验证,访问控制列表以及传输协议等。
 
3,物理控制 包括安全保卫,如门锁,机房安全,笔记本电脑安全,线缆的保护,责任的分散,文件备份等。
 
控制的实现是以保护域为单位的,保护域是指共享相同资源的一组进程。
 
控制的基础是鉴别,验证和审计。。。。。
 
具体实现主要包括两部分:subject和object,subject指资源的使用者,如人和进程。object则是访问目标,如计算机,文件等资源。
 
访问控制的实现方式多种多样,主要分为几类:
 
1,强制访问控制 用于安全要求较高的场景,采用基于策略的访问控制,资源分成不同的保护等级,如普通,秘密,机密,绝密等。
 
2,基于用户的访问控制 通过访问控制列表实现,访问控制列表是一个矩阵,可以用来表述安全主体对资源的访问权限。
 
3,基于角色的访问控制 适用于资源访问授权经常变化的情况,可以基于角色或任务进行授权,在较大的系统中经常采用。