【英语版】国际标准 ISO/IEC 9595:1991/AMD 4:1992 EN Information technology — Open systems Interconnection — Common management information service definition — Amendment 4: Access control 信息技术 开放系统互连 通用管理信息服务定义 修正案 4：访问控制.pdf

ISO/IEC9595:1991/Amd4:1992是关于开放系统互连的标准化组织，其定义了公共管理信息服务的规范。这个规范在开放系统互联环境中被广泛使用，用于管理和控制信息的流动。这个标准规定了信息服务的各个方面，包括访问控制、授权、认证和审计等。

以下是标准中关于访问控制的详细解释：

访问控制是管理信息系统中一个重要的安全机制，它决定了哪些用户或实体可以访问特定的信息或资源。在ISO/IEC9595中，访问控制包括以下几方面：

1.用户认证：这是访问控制的第一步，系统需要确认用户的身份，通常通过用户提供的用户名和密码或其他身份凭证来完成。

2.授权：一旦用户被认证，系统需要根据用户的角色或权限授予他们访问特定信息的权限。这通常在系统管理员的配置中完成。

3.访问控制策略：这是系统内部定义的规则，它决定了哪些用户或实体可以访问哪些信息或资源。这些规则可以是基于角色的、基于时间的、基于用户行为的或其他形式的规则。

4.审计：系统需要记录所有的访问事件，以便在发生问题时可以进行审计和追踪。这也为以后的审计和合规检查提供了基础。

在Amendment4中，该标准还进一步明确了访问控制的要求，包括如何实现访问控制策略的一致性和透明性，如何进行访问控制的故障排除和恢复，以及如何处理违反访问控制的情况等。这些要求对于确保信息系统的安全性和可靠性非常重要。