授权和访问控制技术授权和访问控制技术.pdfVIP

授权与访问控制技术授权与访问控制技术 宣讲人：李春晓 目录 3.1授权概述 33.22访问控制概述访问控制概述 3.2.1访问控制的内容 3.2.2典型访问控制模型 33.33访问控制的策略和机制访问控制的策略和机制 3.3.1访问控制策略 3.3.3访问控制机制访问控制机制 3.1授权概概述 授权是确定用户访问权限的机制。用户访问权限 必须始终遵循最小特权原则，该原则规定用户只 拥有执行他们的作拥有执行他们的作业功能所功能所必需的访问权需的访问权限，而 不能拥有其他权限。为了保证网络资源受控、合 法地使用法地使用，用户只能根据自己的权限大小来访问用户只能根据自己的权限大小来访问 系统资源，不得越权访问。 授权指给予某个用户为了某种目的可以访问某个授权指给予某个用户为了某种目的可以访问某个 目标的权利。访问控制策略在系统安全策略级上 表示授权表示授权，也就是说也就是说，它们直接通过系统部件实它们直接通过系统部件实 施。 3.3访问控制概概述 访问控制(Access Control)是网络安全防范和保护 的主要核的主要核心策略策略，，它的主要任务是保证网络资源它的主要任务是保证网络资源 不被非法使用和访问。 访问控制规定了主体对客体访问的限制访问控制规定了主体对客体访问的限制，，并在身并在身 份识别的基础上，根据身份对提出资源访问的请 求加以控制求加以控制。。它是对信息系统资源进行保护的重它是对信息系统资源进行保护的重 要措施，也是计算机系统最重要和最基础的安全 机制机制。。访问控制的目的是为了保护企业在信息系访问控制的目的是为了保护企业在信息系 统中存储和处理的信息的安全。 3.3访问控制概概述 访问控制决定了谁能够访问系统，能访问系统的何 种资源以及如何使用这些资源种资源以及如何使用这些资源。适当的访问控制能适当的访问控制能 够阻止未经允许的用户有意或无意地获取数据。访 问控制的手段包括用户识别代码问控制的手段包括用户识别代码、口令令、登录控制登录控制、 资源授权（例如用户配置文件、资源配置文件和控 制列表）、授权核查、日志和审计等等。 信息安全的风险（Information Security Risks）可以 被宽泛地归结为被宽泛地归结为CIA:CIA:信息机密性信息机密性(Confidentiality)(Confidentiality)、、信信 息完整性(Integrity)和信息可用性(Availability).访问控 制主要为信息机密性和信息完整性提供保障制主要为信息机密性和信息完整性提供保障。。 3.3.1访问控制的内容 访问控制：基于访问认证和数据对象的一种可以 选择性的允许或禁止某种资源访问的安全技术。 也就是说也就是说对不同的信息的信息和用户户设定定不同的权的权限， 保证只允许授权的用户访问授权的资源。 其中其中，访问控制就是当计算机系统所属的信息资访问控制就是当计算机系统所属的信息资 源遭受未经授权的操作威胁时，能够提供适当的 管制以及防护的措施管制以及防护的措施，来保护信息资源的机密性来保护信息资源的机密性 与正确性。 访问控制实质上是对资源使用的限制访问控制实质上是对资源使用的限制，决定主体决定主体 是否被授权对客体执行某种操作。 3.3.1访问控制的内容 访问控制的目的是为了限制访问主体（用户、进 程程、服务等服务等）对访问客体对访问客体 （文件文件、系统等系统等）的访的访 问权限，从而使计算机系统在合法的范围内使用： 它依赖于鉴别使主体合法化它依赖于鉴别使主体合法化，并将并将组成员关系和成员关系和 特权与主体联系起来。只有经授权的用户，才允 许访问特定的系统资源许访问特定的系统资源。当用户向系统当用户向系统正确确地确确 定并验证了自己的身份后，他们可以请求访问系 统统。但是只有某但是只有某些管管理员才可以完员才可以完全地访问系统访问系统， 多数用户只拥有非常有限的访问权限。 3.3.3典型访问控制模模型 访问控制的相关术语定义如下： 授权授权 资源的所有者或控制者准许其他人访问资源的所有者或控制者准许其他人访问 这种资源； 目标目标 访问控制资源对象访问控制资源对象；； 权威机构 目标的拥有者或控制者； 用户用户 访