| 7.
计算机资源的访问条件
在确定是否允许某人访问系统资源时,逻辑访问控制检查用户的这种访问请求是否被允许。系统使用各种条件确定访问请求是否被允许。这些条件包括:身份、角色、位置、时间、事务处理、服务限制和一般访问模式。在实践中,这些条件经常综合使用。
身份
大多数访问控制基于用户的身份(人或进程),通常是通过鉴别和认证手段获得。身份通常是唯一的以支持个人职能,但也可以代表一组身份甚至可以是匿名身份。例如,通过一个叫“研究者”的组的身份访问却并不知道具体的研究者的身份。
对于很多计算机系统,鉴别和认证是第一道防线。鉴别和认证是防止非法的人或进程进入计算机系统的技术手段。访问控制经常要求系统能够鉴别和区分不同的用户。例如,访问控制经常基于最小权力原则,也就是只给予用户完成工作所需的访问权限。用户职能要求将计算机系统中的活动和特定的个人联系起来,所以就需要鉴别用户。
角色
使用角色是提供访问控制的非常有效的手段。信息的访问也受控于访问者的职务设定和作用。这些例子有数据录入员、编程员和项目经理。访问权限根据角色分组,对资源的使用受限于使用者的角色身份。个人可以被赋予多重角色,但是可以被要求在同一时间只能扮演一种角色。改变角色可能要求退出和重新登录或输入一个更改角色的命令。注意,使用角色不同于共享用户帐户。
位置
访问特定系统资源可能也需要基于用户的物理或逻辑位置。类似的,用户可以被限制于特定的网络地址(如来自机构内部的用户可以比来自外部的拥有更大的访问权限)上。
时间
每天几点或每周几这样的约束条件通常用来做为限制访问的条件。例如,使用机密的人事档案可以被限制于正常的工作时间,在所有其它时间都不允许访问。
事务处理
另一种访问控制方法可以用于机构的事务处理(如帐号询问)中。例如,拨入的电话首先由计算机要求呼叫者输入帐号和个人身份识别号。有些事务处理功能可以直接进行,有些更复杂的可能需要人工介入。在这种情况下,已经知道用户帐号的计算机可以在事务处理时间段内将特定的用户访问权限设定给这个帐号。这意味着用户无权选择他们所使用的帐号,也就减少了潜在的危害。而且也可以避免用户浏览帐号列表进而保护了其他用户的隐私。
服务约束
服务约束涉及到在使用应用程序过程中用到的或由资源拥有者或管理者建立的参数。例如,一个特定的软件包可能在同一时刻只被许可机构中的五个用户使用。所以即使第六个用户有权访问应用程序也会被拒绝的。
另一种服务约束基于应用程序的内容或数量的阀值。例如,自动柜员机可能会限制转帐数额或者限制每日最大提款额为500美元。访问也可能基于服务类别选择性地开放。例如,网络中的用户可能可以交换电子邮件,但不允许登录到其它机器中。
|
