在某种程度上来说,信息安全就是通过控制如何访问信息资源来防范资源泄露或未经授权修改的工作。
访问是主体和客体之间的信息流动,主体是访问中主动的实体,可以是人、程序、进程等;客体是被动的实体,可以是文件、光盘、数据库等。
那如何控制访问就成为了信息安全中最常见的问题之一!
主体访问客体通常需要4个步骤:身份标识、身份验证、授权、审计。
身份标识是指能够证明主体身份的凭证,如我国二代身份证、密码学中的数字签名等。
身份验证是指对主体身份确认二次过程,如去公安局验证身份证真伪、去CA(电子商务认证授权机构)验证数字签名的操作等。
授权是指主体在通过身份验证之后,确认主体具有访问特定资源权限的过程。就像你进入了银行大厅,却进不了金库一样。
审计是最后一步,在访问控制中通常要把主体的操作记录下来,同时保证审计记录的准确性。当问题发生时,通过审计记录可以进行问责操作。
访问控制可以分为三种,即物理性、技术性、管理性访问控制,当这些访问控制机制相互协同工作时,可以更好的保护基础设施及其数据。
物理性访问控制
物理性访问控制是最常见的访问控制手段,包括门锁、栅栏、门卫等物理操作,同时也包括如划分网段(Vlan)等虚拟操作。
技术性访问控制
技术性访问控制是用于限制主体访问客体的软件工具,通常在计算机层面实现,如设置防火墙、设置IPS、对明文进行加密、采用Kerberos等操作。
管理性访问控制
管理性访问控制通常是以公司制度来限制和约束员工行为,如违反了公司规定,会进行罚款或辞退等操作。除了这种奖惩制度外,适当的培训与教育也是必要的。
访问控制通常被视为保护资产的第一道防线,企业中往往也是采用多种访问控制手段进行协同工作。做好访问控制是基础条件,在此之上才可以做好信息安全的落地工作。
