(一)作用
- 规定用户访问资源权限
- 防止资源损失、泄密或非法使用
(二)组成
- 要控制的对象
- 访问控制规则
- 用户权限
- 其他访问安全要求
(三)访问控制策略(对象)
- 机房
- 拨号服务器
- 路由器
- 交换机
- 防火墙
- 主机
- 数据库
- 客户端
- 网络服务
(四)访问控制策略设计
设计要求 | 举例 | |
1 | 不同网络应用的安全需求 | 内部还是外部用户访问 |
2 | 所有和应用相关信息的确认 | 通信端口号、IP地址等 |
3 | 网络信息传播和授权策略 | 信息安全级别和分类 |
4 | 不同系统访问控制和信息分类策略之间的一致性 | |
5 | 关于保护数据和服务的有关法规和合同义务 | |
6 | 访问权限的更新和维护 |
(五)访问控制规则要求
(1)规则应以“未经明确允许的都是禁止的”为前提,而非较弱原则“未经明确禁止的都是允许的”
(2)信息标记的变化,包括由信息处理设备自动引起的或由用户决定引起的
(3)由信息系统和管理人员引起的用户许可变化
(4)规则在颁布前需要管理人员批准或其他形式许可