| 6.
计算机资源的访问控制
在许多多用户系统中,对使用(或禁止使用)各种计算机资源的需求是多种多样的。计算机资源这个词涵盖了信息以及系统资源如程序、子程序和硬件(如调制解调器、通讯线路)。典型的例子是,用户需要访问一些信息,有些是多个用户组或部门需要,有些只是个别人需要。用户不一定非要是人,也可以包括如程序或其它计算机要求使用系统资源的情况。
很明显,用户需要访问信息来完成工作,同样也需要禁止访问和工作无关的信息。控制所赋予的访问类型(如对于一般用户赋予程序的执行权限,但不赋予修改权限)也是很重要的。这些访问限制是出于执行安全策略的考虑同时也可以确保不会发生非法操作。
访问就是对计算机资源进行某种操作(如使用、更改或浏览)的能力。访问控制就是通过某种方式(通常通过物理安全控制和基于系统的控制)对这种能力给予明确的允许或禁止的方法。基于计算机的访问控制被称为逻辑访问控制。逻辑访问控制不仅可以规定谁或什么程序或设备可以访问特定的系统资源(如计算机程序、数据文件、服务器)还可以规定访问的类型。这些控制可以是内建在操作系统中,可以建立在应用程序或主要的功能程序中,可以建立在数据库管理系统或通信系统中,也可以通过安装专门的安全程序包进行部署。逻辑访问控制可以部署在受保护的计算机系统内部,也可以部署在外部设备中。
逻辑访问控制可以协助:(1)防止操作系统或其它系统软件被非法更改或处理进而确保系统的完整性和可用性;(2)通过限制访问用户和进程的数量保证信息的完整性和可用性;(3)防止机密信息被非法泄露。
逻辑访问控制是实施策略决定的技术手段。策略是由负责特定系统、应用、子系统或系统组的管理者制定的。制定策略需要平衡工作效率和安全利益、操作要求、用户友好性以及技术限制的冲突。有些策略可能在技术上不可行,这样适合的技术手段也就不存在了。
|
