系统访问控制与审计技术.pptxVIP

第 11 章系统访问控制与审计技术基本内容除了加强网络安全技术外，一般需要对系统的资源进行访问控制，根据用户需求设置相应的访问权限，并对使用情况进行审计。本章介绍访问控制与审计相关的知识。11.1 访问控制技术 11.1.1 访问控制技术的概念 　访问控制是在保障授权用户能获取所需资源的同时拒绝非授权用户的安全机制。 访问控制也是信息安全理论基础的重要组成部分。 本章讲述访问控制的原理、作用、分类和研究前沿，重点介绍较典型的自主访问控制、强制访问控制和基于角色的访问控制。 11.1 访问控制技术 11.1.2 访问控制原理 　访问控制与其他安全措施之间的关系可以用图11-1来简要说明。 在用户身份认证(如果必要)和授权之后，访问控制机制将根据预先设定的规则对用户访问某项资源(目标)进行控制，只有规则允许时才能访问，违反预定的安全规则的访问行为将被拒绝。 资源可以是信息资源、处理资源、通信资源或者物理资源，访问方式可以是获取信息、修改信息或者完成某种功能，一般情况可以理解为读、写或者执行。 11.1 访问控制技术 11.1.2 访问控制原理 访问控制的目的是为了限制访问主体对访问客体的访问权限，从而使计算机系统在合法范围内使用；它决定用户能做什么，也决定代表一定用户身份的进程能做什么。访问控制一般包括三种类型：自主访问控制、强制访问控制和基于角色的访问控制。 11.1