信息系统安全之访问控制




信息系统安全中包括的方面很多，其中访问控制是一个重要的组成部分。

访问控制就是对访问系统资源的用户进行控制，使得有权限的用户访问系统资源，没有权限的用户被拒绝在系统之外。

访问控制策略主要有：自主访问控制，强制访问控制以及基于角色的访问控制等，目前基于角色的访问控制研究、应用的比较多。

访问控制策略对用户的访问请求进行授权判断的时候，依赖的主要是用户的身份，而对用户身份的判断应该分为两个部分：一、用户身份信息的判断，这个过程往往由用户在被系统提出要求时自主提供，提供的信息的正确性需要得到验证，这是验证的第一步；二、系统根据用户提供的身份信息和系统的策略进行决策判断，授予用户权限或者不授予。前者为认证，完成的功能为：判断用户声称的信息是否可信；后者真正进入访问控制的控制范围，根据用户具有的权限资格授予其对特定资源的访问权限。

自主访问控制策略和强制访问控制策略中用户直接对应的是权限，如果权限的数量过大进行权限授予的时候繁琐；而基于角色的访问控制策略，引入角色的概念，类似于权限代理，每个角色具备不同的权限集合，授予用户角色那么用户就具备角色拥有的权限了，这样用户权限的分配效率得到提高。另外，基于角色的访问控制还引入角色层次，提供角色之间的继承，使得权限分配更加有效；还引入职责分离约束等。

随着信息技术的发展，访问控制也在不断的发展已适应更新的技术环境，目前移动计算、普适计算等新概念、新技术已经提出并出现使用，传统的访问控制在这些新领域无法得到很好的适应，现在国内外很多信息安全方面的专家提出了很多新的访问控制模型，以用于新的环境，比如：支持时间（空间）的、环境因素、任务的访问控制等等。每种方案都针对特定的应用环境，基本上每种新的模型都是在旧的模型的基础之上进行的扩展使之支持以上的新增要素，新的模型的能力得到了提高但是不可否认的是访问控制系统的效率是大大降低了，在访问控制完成的功能和它费的资源之间能否达到一种平衡，这些模型往往都没有提到。但是，新的模型替代旧的模型是趋势，

Technorati : 信息系统, 安全, 模型, 策略, 访问控制,Access Control