通用计算机系统的多用户、多任务工作环境，以及目前广泛应用的计算机网络系统，为非法使用系统资源打开了方便之门。

通用计算机系统的多用户、多任务工作环境，以及目前广泛应用的计算机网络系统，为非法使用系统资源打开了方便之门。因此迫切要求我们]对计算机及网络系统采取有效的安全防范措施，防止非法用户进入系统及合法用户对系统资源的非法使用，这就是访问控制基本任务。具体地讲，访问控制应具有三个功能:一是用户身份认证功能，识别与确认访系统的用户；二是资源访问权限控制功能，决定用户对系统资源的访问权限(读、写、运等)；三是审计功能，记录系统资源被访问的时间和访问者信息。



1.用户身份认证

认证就是证实用户的身份。认证必须和标识符共同起作用。认证过程首先需要输入贴户名、用户标识(Userid)或注册标识(Logonld)，告诉计算机用户是谁。账户名信息应该是秘密的，任何其他用户不应拥有它。但为了防止账户名或ID的泄露而出现非法用户访问，还需进一步用认证技术证实用户的合法身份。口口令是一种种简便易行的认证手段，但因为容易被猜测出来而比较脆弱，也容易被非法用户利用。生物技术是一种严格而有前途的认证方法，如利用指纹、视网膜等，但因技术复杂，目前还没有得到广泛采用。
 
2.授权

系统在正确认证用户以后，根据不同的ID分配不同的使用资源，这项任务称为授权。授权的实现是靠访问控制完成的。访问控制是一项特殊的任务，它用标识符ID做关键字来控推 制用户访问程序和数据。访问控制主要用于大型计算机、主机和服务器，个人计算机很少用。但如果要在个人计算机上增加访问控制功能，可以在DOS环境下安装 Thegate软件，在Windows环境下安装 Mr Burns软件。

下面从三个方面说明如何决定用户的访问权限。
 
(1)用户分类

对一个已被系统识别和认证的用户(合法用户)，还要对它的访问操作实施一定的限制。对一个通用计算机系统来讲，用厂户范围很广，层层次不同，权限也不同。可将用户分为如下4种用户类

①特殊用户。这类用户就是系统管理员，他拥有最高级别的特权，可以访问系统的任何资源，并具有所有类型的访问操作权力。

②一般用户。这是最多的一类用户，也是系统的一般用户，他们们的访问操作要受一定的限制。根据需要，系统管理员对这类用户分配不同的访问操作权力。

③做审计的用户。这类用户负责对整个系统的安全控制与资源使用情况进行审计。④作废用户。这是一类被取消访问权力或拒绝访问系统的用户，又称为非法用用户。
 
(2)资源及使用

系统中的每一个用户至少属于上述用户类中的一种，他们共同分享系统资源。系统内要保护的是系统资源，一个通用计算机系统的资源一般包括磁盘与磁带上的数据集、远程终端、信息管理系统的事务处理组、顾客(用户)信息管理系统事务处理组和程序说明块(PSB)、数据库中的数据、应用资源等。

对需要保护的资源应该定义一个访问控制包(ACP，Access Control Packet)，访问控制包对每一个资源或资源组勾画出一个访问控制表(ACL，Access Control List)，这个表描述了哪个用户可以使用哪个资源及如何使用，它包括①资源名及拥有者识别符。

②默认访问权。它可以授予任意一个用户或全部用户，一般称为全程访问权(UACC)。例例如，可以对某个一般用途的数据集授予UACC=read，对于敏感数据集授予UACC=none

③用户、用户组及它们的特权明细表，称为访问表。全称访问与访问表为用户及用户组访问某一资源设定了他们的权限。

④允许资源拥有者对其数据集添加新的可用数据。

⑤审计数据。逐项记录所有用户对任何资源的访问时间、操作性质、访问次数。
 
(3)访问规则

访问规则规定若千条件，在这些条件下可准许访问一个资源。一般地，规则使用户和资源配对，然后指定该用户可在该资源上执行哪些操作，如只读、不许执行或不许访问。由负责实施安全政策的系统管理员根据最小特权原则来确定这些规则，即在授予用户访问某资源的权限时，只给他访问该资源所需的最小权限。例如，当用户只需读权限时，则不应该授予读写权限。这些规则可以用一个访问控制模型表示。硬件或软件的安全内核部分负责实施这些规则，并将企图违反规则的行为报告给审计系统。

3.文件保护

对该文件提供附加保护，使非授权用户不可读。对于有时可能被截获的文件的附加保护是对文件进行加密。
 
4.审计

记录微信网站制作用户的行动，以说明安全方案的有效性。审计是记录用户使用系统所进行的所有活动的过程，即记录用户违反安全规定的时间、日期及用户活动。因为收集的数据量可能非常大，所以良好的审计系统最低限度应具有准许进行筛选并报告审计记录的工具。此外，还应准许对审计记录做进一步的分析和处理。