| 访问控制是指防止对计算机及计算机系统进行非授权访问和存取,主要采用两种方式实现:一种是限制访问系统的人员;另一种是限制进入系统的用户所能做的操作。前一种主要通过用户标识与验证来实现,而后一种则依靠存取控制来实现。手段包括用户识别代码、密码、登录控制、资源授权(例如用户配置文件、资源配置文件和控制列表)、授权核查、日志和审计。
|
|
|
|
|
| 访问控制是对进入系统进行控制,而选择性访问控制是进入系统后,对像文件和程序这类的资源的访问进行控制。一般来说,提供的权限有:读、写、创建、删除、修改等。安全级别指定用户所具有的权限,有管理员任务的人拥有所有的权限,最终用户只有有限的权限。
|
|
|
| 用户标识与验证是访问控制的基础,是对用户身份的合法性验证。三种最常用的方法如下。
|
|
|
|
|
|
|
| .采用生物统计学系统,基于某种特殊的物理特征对人进行唯一性识别,包括签名识别法、指纹识别法、语音识别法。
|
|
|
| 其中,密码是只有系统和用户自己知道的简单字符串,是进行访问控制的简单而有效的方法,但是一旦被别人知道了就不再安全了。除了密码之外,访问控制的特性还包括如下内容。
|
|
|
| .多个密码。即一个密码用于进入系统,另一个密码用于规定操作权限。
|
|
|
| .一次性密码。系统生成一次性密码的清单,例如,第一次用A,第二次用B,第三次用C等。
|
|
|
| .基于时间的密码。访问使用的正确密码随时间变化,变化基于时间和一个秘密的用户钥匙,密码隔一段时间就发生变化,变得难以猜测。
|
|
|
| .智能卡。访问不但需要密码,还需要物理的智能卡才有权限接近系统。
|
|
|
| .挑战反应系统。使用智能卡和加密的组合来提供安全访问控制/身份识别系统。
|
|
|
|
|
| 存取控制是对所有的直接存取活动通过授权进行控制以保证计算机系统安全保密机制,是对处理状态下的信息进行保护。一般有两种方法,一是隔离技术法,二是限制权限法。
|
|
|
| 隔离技术法,即在电子数据处理成分的周围建立屏障,以便在该环境中实施存取规则。隔离技术的主要实现方式包括:物理隔离方式、时间隔离方式、逻辑隔离方式、密码技术隔离方式等。其中物理隔离方式各过程使用不同的物理目标,是一种有效的方式。传统的多网环境一般通过运行两台计算机实现物理隔离。现在我国已经生产出了拥有自主知识产权的涉密计算机,它采用双硬盘物理隔离技术,通过运行一台计算机,即可在物理隔离的状态下切换信息网和公共信息网,实现一机双网或一机多网的功能。还有另外一种方式就是加装隔离卡,一块隔离卡带一块硬盘、一块网卡,连同本机自带的硬盘网卡,使用不同的网络环境。当然,物理隔离方式对于系统的要求比较高,必须采用两整套互不相关的设备,其人力、物力、财力的投入都是比较大的。但也是很有效的方式,因为两者就如两条平行线,永不交叉,自然也就安全了。
|
|
|
| 限制权限法就是限制特权以便有效地限制进入系统的用户所进行的操作。具体来说,就是对用户进行分类管理,安全密级授权不同的用户分在不同类别;对目录、文件的访问控制进行严格的权限控制、防止越权操作;放置在临时目录或通信缓冲区的文件要加密,用完尽快移走或删除。
|
|
|
