好文转： 访问控制的基本概念：访问控制的定义

ref: http://www.cisps.org/knowledge/access_control/ac_basic_concepts_1.htm

1. 访问控制的定义 访问是使信息在主体和对象间流动的一种交互方式。 主体是指主动的实体，该实体造成了信息的流动和系统状态的改变，主体通常包括人、进程和设备。 对象是指包含或接受信息的被动实体。对对象的访问意味着对其中所包含信息的访问。对象通常包括记录、块、页、段、文件、目录、目录树和程序以及位、字节、字、字段、处理器、显示器、键盘、时钟、打印机和网络节点。 访问控制决定了谁能够访问系统，能访问系统的何种资源以及如何使用这些资源。适当的访问控制能够阻止未经允许的用户有意或无意地获取数据。访问控制的手段包括 用户识别代码、 口令、 登录控制、 资源授权（例如用户配置文件、资源配置文件和控制列表）、 授权核查、 日志和审计。 2. 访问控制和内部控制的关系 控制(control)是为了达成既定的目的和目标而采取的管理行动（控制是管理行为）。管理通过计划、组织和指导一系列有效的活动为目的和目标的达成提供保障。这样，控制就成为适当的管理计划、组织和指导的必然结果。 内部控制（internal control）是为了在组织内保障以下目标的实现而采取的方法： （1）信息的可靠性和完整性， （2）政策、计划、规程、法律、法规和合同的执行， （3）资产的保护， （4）资源使用的经济性和有效性， （5）业务及计划既定目的和目标的达成。 访问控制（access control）与计算机信息系统相关（但是并不仅限于computer system)的内容包括 （1）限制主体对客体的访问， （2）限制主体和其它主体通信或使用计算机系统或网络中的功能或服务的权力或能力。比如，人是主体，文件是客体。 “保护资产”是内部控制和访问控制的共同目标。 例如，内部控制涉及所有的资产，包括有形的和无形的资产，包括计算机相关的资产也包括和计算机无关的资产。访问控制涉及无形（知识）资产如程序、数据、程序库以及有形资产如硬件和放置计算机的房产。访问控制是整体安全控制的一部分。 3. 访问控制的类型 安全控制包括六种类型的控制手段如防御型、探测型和矫正型以及管理型、技术型和操作型控制。 防御型控制用于阻止不良事件的发生。 侦测型控制用于探测已经发生的不良事件。 矫正型控制用于矫正已经发生的不良事件。 管理型控制(行政）用于管理系统的开发、维护和使用，包括针对系统的策略、规程、行为规范、个人的角色和义务、个人职能和人事安全决策。 技术型控制是用于为信息技术系统和应用提供自动保护的硬件和软件控制手段。技术型控制应用于技术系统和应用中。 操作型控制是用于保护操作系统和应用的日常规程和机制。它们主要涉及在人们（相对于系统）使用和操作中使用的安全方法。操作型控制影响到系统和应用的环境。 另外三种和控制有关的概念是补偿型控制、综合型控制和规避型控制。 补偿型控制在一个领域的控制能力较弱而在另一个领域控制能力较强，反之亦然。综合型控制使用两个或更多的控制来加强对功能、程序或操作的控制效果。这里，两个控制协同工作能够强化整个控制环境。 规避型控制的原理就是对资源进行分割管理。资源是系统或系统网络中需要管理的实体。资源可以包括物理实体如打印机、盘库、路由器和逻辑实体如用户和用户组。规避型控制的目的是将两个实体彼此分开以保证实体的安全和可靠。规避型控制的例子有 （1）将资产和威胁分隔开来以规避潜在的风险。 （2）计算机设备和无线电接收设备分隔开来以避免扩散的电磁信号被外界截获。 （3）生产系统和测试系统分隔开来以避免对程序代码的污染和数据的破坏。 （4）将系统开发过程和数据输入过程分隔开来。 （5）将系统组件相互分隔开来。 4. 访问控制的手段 以下分类列出部分访问控制手段： 物理类控制手段 防御型手段 文书备份 围墙和栅栏 保安 证件识别系统 加锁的门 双供电系统 生物识别型门禁系统 工作场所的选择 灭火系统 探测型手段 移动监测探头 烟感和温感探头 闭路监控 传感和报警系统 管理类控制手段 防御型手段 安全知识培训 职务分离 职员雇用手续 职员离职手续 监督管理 灾难恢复和应急计划 计算机使用的登记 探测型手段 安全评估和审计 性能评估 强制假期 背景调查 职务轮换 技术类控制手段 防御型手段 访问控制软件 防病毒软件 库代码控制系统 口令 智能卡 加密 拨号访问控制和回叫系统 探测型手段 日志审计 入侵探测系 5. 访问控制模型 访问控制模型是用于规定如何作出访问决定的模型。传统的访问控制模型包括一组由操作规则定义的基本操作状态。典型的状态包含一组主体（S）、一组对象（O）、一组访问权（A［S，O］）包括读、写、执行和拥有。 访问控制模型涵盖对象、主体和操作，通过对访问者的控制达到保护重要资源的目的。对象包括终端、文本和文件，系统用户和程序被定义为主体。操作是主体和对象的交互。访问控制模型除了提供机密性和完整性外，还提供记帐性(accountability 问责）。记帐性是通过审计访问记录实现的，访问记录包括主体访问了什么对象和进行了什么操作。下面介绍三种访问控制模型。 任意访问控制 任意访问控制（discretionary access control  自主访问控制）是一种允许主体对访问控制施加特定限制的访问控制类型。在很多机构中，用户在没有系统管理员介入的情况下，需要具有设定其他用户访问其所控制资源的能力。这使得控制具有任意性。在这种环境下，用户对信息的访问能力是动态的，在短期内会有快速的变化。任意访问控制经常通过访问控制列表实现，访问控制列表难于集中进行访问控制和访问权力的管理。任意访问控制包括身份型（identity-based）访问控制和用户指定型（user-directed）访问控制。 强制访问控制 强制访问控制（mandatory access control）是一种不允许主体干涉的访问控制类型。它是基于安全标识和信息分级等信息敏感性的访问控制。强制访问控制包括规则型（rule-based）访问控制和管理指定型（administratively-based 行政）访问控制。 －－可以简单的理解为rule-based的访问控制基本上是MAC的 非任意访问控制 非任意访问控制（non-discretionary access control）是为满足安全策略和目标而采用的一系列集中管理的控制手段。访问控制是由访问者在机构中的角色决定的。角色包括职务特征、任务、责任、义务和资格。访问者在系统中的角色有管理者赋予或吊销。当员工离开机构时，其在系统中的所有角色都应该吊销。大的公司通常会有频繁的人员流动，基于角色的安全策略是唯一合理的选择。晶格型访问（lattice-based）控制将主体和对象排列成一组元素对，每个元素对的访问权都有上限和下限。 保证系统各部分协调工作对访问控制来说是很重要的。至少必须考虑三种基本的访问控制类型：物理的、操作系统的和应用的。通常，应用层面的访问控制是随应用的不同而各不一样的。但是，为了保证应用层面的访问控制的有效性，必须提供有效的操作系统层面访问控制。否则，就有可能绕过应用控制直接访问应用资源。而操作系统和应用系统都需要物理访问控制的保护。

6. 访问控制管理

访问控制管理涉及访问控制在系统中的部署、测试、监控以及对用户访问的终止。虽然不一定需要对每一个用户设定具体的访问权限，但是访问控制管理依然需要大量复杂和艰巨的工作。访问控制决定需要考虑机构的策略、员工的职务描述、信息的敏感性、用户的职务需求（’need-to-know’）等因素。

有三种基本的访问管理模式：集中式、分布式和混合式。每种管理模式各有优缺点。应该根据机构的实际情况选择合适的管理模式。

集中式管理
集中管理就是由一个管理者设置访问控制。当用户对信息的需求发生变化时，只能由这个管理者改变用户的访问权限。由于只有极少数人有更改访问权限的权力，所以这种控制是比较严格的。每个用户的账号都可以被集中监控，当用户离开机构时，其所有的访问权限可以被很容易地终止。因为管理者较少，所以整个过程和执行标准的一致性就比较容易达到。但是，当需要快速而大量修改访问权限时，管理者的工作负担和压力就会很大。

分布式管理
分布式管理就是把访问的控制权交给了文件的拥有者或创建者，通常是职能部门的管理者(functional managers)。这就等于把控制权交给了对信息负有直接责任、对信息的使用最熟悉、最有资格判断谁需要信息的管理者的手中。但是这也同时造成在执行访问控制的过程和标准上的不一致性。在任一时刻，很难确定整个系统所有的用户的访问控制情况。不同管理者在实施访问控制时的差异会造成控制的相互冲突以致无法满足整个机构的需求。同时也有可能造成在员工调动和离职时访问权不能有效地清除。

混合式管理
混合式管理是集中式管理和分布式管理的结合。它的特点是由集中式管理负责整个机构中基本的访问控制，而由职能管理者就其所负责的资源对用户进行具体的访问控制。混合式管理的主要缺点是难以划分哪些访问控制应集中控制，哪些应在本地控制。