互联网技术访问控制策略制定的原则

9.2.2 访问控制策略制定的原则

按照ISO7498-2中OSI安全体系结构中的定义，访问控制的安全策略有以下两种实现方式：基于身份的安全策略和基于规则的安全策略。目前使用的两种安全策略，建立的基础都是授权行为。就其形式而言，基于身份的安全策略等同于DAC安全策略，基于规则的安全策略等同于MAC安全策略。

安全策略的制定实施围绕主体、客体和安全控制规则集三者之间的关系展开，遵循如下基本原则。

(1)最小特权原则：每一个用户或进程只应该拥有最小访问权集合，只在能完成其任务所必须的权限所组成的最小保护域内执行。

(2)经济性原则：控制机制应该最小和简单，便于实现、检査和证明。

(3)完全中介性：必须可以对系统发生的所有访问请求和主客体权限变化起到完全中介作用，监控不能被旁路。

(4)开放性原则：监控达到的安全作用不应该建立在设计^案的保密或攻击能力不足之上，密码系统的加密算法的公开性就是这一原则的体现。

(5)特权分离原则：对客体的访问应该取决于不止一个条件被满足，把访问某个客体的权力分解成多个子权力，分别由不同主体掌握，当子权力同时都满足时才能对客体访问。

(6)公共机制最小化：指多用户共享的最小化，以消除隐蔽信道，遏止非法获取信息。

(7)便利性原则：应该使用户使用便利。

返回目录：通信工程师互联网技术培训网络安全汇总

编辑相关推荐：

互联网技术考试局域网和城域网汇总

通信工程师考试培训互联网技术重点汇总

通信工程师互联网技术考试网络操作系统

通信工程师考试培训互联网交换技术教程