计算机访问控制策略有哪些?
- 编辑:admin -访问控制策略是计算机安全防范和保护的核心策略之一,其任务是保证计算机信息不被非法使用和非法访问,为保证信息基础的安全性提供一个框架,提供管理和访问计算机资源的安全方法,规定各部门要遵守的规范及应负的责任,使计算机网络系统的安全有了可靠的依据。
访问控制策略是计算机安全防范和保护的核心策略之一,其任务是保证计算机信息不被非法使用和非法访问,为保证信息基础的安全性提供一个框架,提供管理和访问计算机资源的安全方法,规定各部门要遵守的规范及应负的责任,使计算机网络系统的安全有了可靠的依据。1.访问控制策略的实施原则
访问控制策略的制定与实施必须围绕主体、客体和安全控制规则集三者之间的关系来展开。具体原则如下。
(1)最小特权原则
最小特权原则指当主体执行操作时,按照主体所需权力的最小化原则分配给主体权力。其优点是最大限度地限制了主体实施授权行为,可以避免来自突发事件、错误和未授权主体的危险。也就是说,为了达到一定目的,主体必须执行一定操作,但他只能做他所被允许做的,其他除外。
(2)最小泄露原则
最小泄露原则指当主体执行任务时,按照主体所需要知道的信息最小化原则分配给主体权力。
(3)多级安全策略
多级安全策略指主体和客体间的数据流向和权限控制按照安全级别的绝密、秘密、机密、限制和无级别这5级来划分。其优点是可避免敏感信息的扩散。对于具有安全级别的信息资源,只有安全级别比它高的主体才能够访问它。
2.访问控制策略的实现
访问控制的安全策略有两种实现方式:基于身份的安全策略和基于规则的安全策略。目前,使用这两种安全策略建立的基础都是授权行为。就其形式而言,基于身份的安全策略等同于自主访问控制DAC安全策略,基于规则的安全策略等同于强制访问控制MAC安全策略。
(1)基于身份的安全策略
基于身份的安全策略与鉴别行为一致,其目的是过滤对数据或资源的访问,只有能通过认证的那些主体才有可能正常使用客体的资源。基于身份的策略包括基于个人的策略和基于组的策略。
①基于个人的策略是指以用户为中心建立的一种策略,它由一些列表组成,这些列表限定了针对特定的客体,哪些用户可以实现何种操作行为。
②基于组的策略是策略①的扩充,指一些用户被允许使用同样的访问控制规则来访问基于身份的安全策略有两种基本实现方法:能力表和访问控制列表
(2)基于规则的安全策略
基于规则的安全策略中的授权通常依赖于敏感性。在一个安全系统中,对数据或资源应该标注安全标记。代表用户进行活动的进程可以得到与其原发者相应的安全标记。
基于规则的安全策略在实现上,由网站建设系统通过比较用户的安全级别和客体资源的安全级别来判断是否允许用户进行访问。