第八章 网络安全技术与应用


             个步骤未通过，该用户便不能进入该网络。

                 （2）网络的权限控制策略
                 是针对网络非法操作所提出的一种安全保护措施。可对下列用户和用户组赋
             予：①特殊用户，指具有系统管理权限的用户；②一般用户，系统管理员根据用
             户的实际需要为他们分配操作权限；③审计用户，负责网络的安全控制与资源使

             用情况的审计。用户对网络资源的访问权限可以用一个访问控制列表来描述。
                 （3）目录级安全控制策略
                 网络应允许控制用户对目录、文件和设备的访问，用户在目录一级指定的权

             限对所有文件目录有效，用户还可进一步指定对目录下的子目录和文件的权限。
                 2.安全策略的实施原则
                 访问控制安全策略的实施原则围绕主体、客体和安全控制规则集三者之间的
             关系展开，具体的安全策略实施原则如下：①最小特权原则。最小特权原则是指

             主体执行操作时，按照主体所需权利的最小化原则给主体分配权力。最小特权
             原则的优点是最大限度地限制了主体实施授权行为，可以避免来自突发事件、错
             误和未授权主体的危险。也就是说，为了达到一定目的，主体必须执行一定操

             作，但他只能做他所被允许做的，其他除外。②最小泄露原则。指主体执行任务
             时，按照主体所需要知道的信息最小化的原则分配给主体权力。③多级安全策
             略。是指主体和客体间的数据流向和权限控制按照安全级别的绝密（TS）、秘

             密（S）、机密（C）、限制（RS）和无级别（U）5级来划分。多级安全策略的
             优点是避免了敏感信息的扩散。具有安全级别的信息资源，只有安全级别比它高
             的主体才能够访问。

                 3.访问控制安全策略的实现
                 访问控制安全策略的实现主要有两种方式：基于身份的安全策略和基于规则
             的安全策略等。
                 一是基于身份的安全策略是过滤对数据或资源的访问，只有能通过认证的那

             些主体才有可能正常使用客体的资源。基于身份的安全策略包括基于个人的策略
             和基于组的策略，主要有两种基本的实现方法，分别为能力表和访问控制列表。
                 ①基于个人的策略。基于个人的策略是指以用户个人为中心建立的一种策

             略，由一些列表组成。这些列表针对特定的客体，限定了哪些用户可以实现何种
             安全策略的操作行为。


                                                                                    277