訪問控制技術原理與應用
訪問控制是網絡信息系統的基本安全機制。
訪問控制的三個要素:主體、客體、授權訪問。
概念
訪問控制指對資源對象的訪問者授權、控制的方法及運行機制。
訪問控制的目標:
- 防止非法用戶進入系統
- 防止合法用戶越權訪問
訪問控制模型
- 自主訪問控制模
- 強制訪問控制模型
- 基於角色訪問控制模型
- 基於用戶訪問控制模型
訪問控制過程與安全管理
訪問控制過程:
- 明確訪問控制管理的資產
- 分析管理資產的安全需求
- 制定訪問控制策略
- 實現訪問控制策略
安全管理:
- 最小特權管理
- 用戶訪問管理
- 口令安全管理