信息安全课件--06-信息安全门户.ppt

第6讲 信息安全门户 访问控制技术 一 访问控制的基本概念 访问控制 (Access Control)就是在身份认证的 基础上，依据授权对提出的资源访问请求加以控 制 。 访问控制是安全防范和保护的主要策略，它可以 限制对关键资源的访问，防止非法用户的入侵或 合法用户的不慎操作所造成的破坏。 访问是使信息在主体和对象间流动的一种交互方式。 访问控制包括主体、对象、安全访问策略。 主体 主体（subject）：是指主动的实体，该实体造成了信息的流动和系统状态的改变，主体通常包括人、进程和设备。 主体是访问的发起者 发起者是试图访问某个目标的用户或者是用户行为的代理。必须控制它对客体的访问。主体通常为进程，程序或用户。 对象 对象是指包含或接受信息的被动实体。对对象的访问意味着对其中所包含信息的访问。对象通常包括记录、块、页、段、文件、目录、目录树和程序以及位、字节、字、字段、处理器、显示器、键盘、时钟、打印机和网络节点。 安全访问策略 安全策略是允许什么、禁止什么的陈述。 安全机制是实施安全策略的方法、工具或者规程。机制与策略独立，可允许安全机制的重用 访问控制对机密性、完整性起直接的作用 访问控制是针对越权使用资源的防御措施 注：身份认证不能取代访问控制 。 访问控制的原理 访问控制的目的 限制访问主体对访问客体的访问权限，从而使计算机系统在合法范围内使用； 访问控制决定用户能