互聯(lián)網(wǎng)技術訪問控制策略制定的原則

9.2.2 訪問控制策略制定的原則

按照ISO7498-2中OSI安全體系結構中的定義，訪問控制的安全策略有以下兩種實現(xiàn)方式：基于身份的安全策略和基于規(guī)則的安全策略。目前使用的兩種安全策略，建立的基礎都是授權行為。就其形式而言，基于身份的安全策略等同于DAC安全策略，基于規(guī)則的安全策略等同于MAC安全策略。

安全策略的制定實施圍繞主體、客體和安全控制規(guī)則集三者之間的關系展開，遵循如下基本原則。

(1)最小特權原則：每一個用戶或進程只應該擁有最小訪問權集合，只在能完成其任務所必須的權限所組成的最小保護域內執(zhí)行。

(2)經濟性原則：控制機制應該最小和簡單，便于實現(xiàn)、檢査和證明。

(3)完全中介性：必須可以對系統(tǒng)發(fā)生的所有訪問請求和主客體權限變化起到完全中介作用，監(jiān)控不能被旁路。

(4)開放性原則：監(jiān)控達到的安全作用不應該建立在設計^案的保密或攻擊能力不足之上，密碼系統(tǒng)的加密算法的公開性就是這一原則的體現(xiàn)。

(5)特權分離原則：對客體的訪問應該取決于不止一個條件被滿足，把訪問某個客體的權力分解成多個子權力，分別由不同主體掌握，當子權力同時都滿足時才能對客體訪問。

(6)公共機制最小化：指多用戶共享的最小化，以消除隱蔽信道，遏止非法獲取信息。

(7)便利性原則：應該使用戶使用便利。

返回目錄：通信工程師互聯(lián)網(wǎng)技術培訓網(wǎng)絡安全匯總

編輯相關推薦：

互聯(lián)網(wǎng)技術考試局域網(wǎng)和城域網(wǎng)匯總

通信工程師考試培訓互聯(lián)網(wǎng)技術重點匯總

通信工程師互聯(lián)網(wǎng)技術考試網(wǎng)絡操作系統(tǒng)

通信工程師考試培訓互聯(lián)網(wǎng)交換技術教程