访问控制的基本概念
178 浏览量
2020-07-09
01:33:01
上传
评论
收藏 37KB DOC 举报
访问控制的基本概念
访问控制是对信息系统资源进行保护的重要措施,理解访问控制的基本概念有助于信息系
统的拥有者选择和使用访问控制手段对系统进行防护。这些基本概念包括:
访问控制的定义
访问控制和内部控制的关系
访问控制的类型
访问控制的手段
访问控制模型
访问控制管理
1. 访问控制的定义
访问是使信息在主体和对象间流动的一种交互方式。
主体是指主动的实体,该实体造成了信息的流动和系统状态的改变,主体通常包括人、进
程和设备。
对象是指包含或接受信息的被动实体。对对象的访问意味着对其中所包含信息的访问。对
象通常包括记录、块、页、段、文件、目录、目录树和程序以及位、字节、字、字段、处
理器、显示器、键盘、时钟、打印机和网络节点。
访问控制决定了谁能够访问系统,能访问系统的何种资源以及如何使用这些资源。适当的
访问控制能够阻止未经允许的用户有意或无意地获取数据。访问控制的手段包括用户识别
代码、口令、登录控制、资源授权(例如用户配置文件、资源配置文件和控制列表)、授
权核查、日志和审计。
2. 访问控制和内部控制的关系
控制(control)是为了达成既定的目的和目标而采取的管理行动。管理通过计划、组织和指导
一系列有效的活动为目的和目标的达成提供保障。这样,控制就成为适当的管理计划、组
织和指导的必然结果。
内部控制(internal control)是为了在组织内保障以下目标的实现而采取的方法:( 1)信
息的可靠性和完整性,(2)政策、计划、规程、法律、法规和合同的执行,(3)资产的
保护,(4)资源使用的经济性和有效性,和(5)业务及计划既定目的和目标的达成。
访问控制(access control)与计算机信息系统相关的内容包括(1)限制主体对客体的访问,
(2)限制主体和其它主体通信或使用计算机系统或网络中的功能或服务的权力或能力。比
如,人是主体,文件是客体。
“保护资产”是内部控制和访问控制的共同目标。例如,内部控制涉及所有的资产,包括有
评论0