信息安全-第七章-访问控制技术原理与应用

访问控制技术原理与应用

访问控制是网络信息系统的基本安全机制。
访问控制的三个要素：主体、客体、授权访问。

概念

访问控制指对资源对象的访问者授权、控制的方法及运行机制。

访问控制的目标：

• 防止非法用户进入系统
• 防止合法用户越权访问

访问控制模型

• 自主访问控制模
• 强制访问控制模型
• 基于角色访问控制模型
• 基于用户访问控制模型

访问控制过程与安全管理

访问控制过程：

• 明确访问控制管理的资产
• 分析管理资产的安全需求
• 制定访问控制策略
• 实现访问控制策略

安全管理：

• 最小特权管理
• 用户访问管理
• 口令安全管理