» 第一章  信息安全概述



               正好相反。定义能力的重要作用在于能力的特殊性，如果赋予哪个主体具有一种能
               力，事实上是说明了这个主体具有了一定对应的权限。能力的实现有两种方式，即传
               递的和不可传递的。一些能力可以由主体传递给其他主体使用，另一些则不能。能力
               的传递牵扯到了授权的实现，我们在后面会具体阐述访问控制的授权管理。
                   ④安全标签

                   安全标签是限制和附属在主体或客体上的一组安全属性信息。安全标签的含义比
               能力更为广泛和严格，因为它实际上还建立了一个严格的安全等级集合。访问控制标
               签列表（ACSLLs：Access Control Security Labels Lists）是限定一个用户对一个客体

               目标访问的安全属性集合。安全标签能对敏感信息加以区分，这样就可以对用户和客
               体资源强制执行安全策略，因此强制访问控制经常会用到这种实现机制。
                   （3）具体类别
                   访问控制实现的具体类别访问控制是网络安全防范和保护的重要手段，它的主要

               任务是维护网络系统安全、保证网络资源不被非法使用和非常访问。通常在技术实现
               上，包括以下几部分：
                   ①接入访问控制：接入访问控制为网络访问提供了第一层访问控制，是网络访

               问的最先屏障，它控制哪些用户能够登录到服务器并获取网络资源，控制准许用户入
               网的时间和准许他们在哪台工作站入网。例如，ISP服务商实现的就是接入服务。用
               户的接入访问控制是对合法用户的验证，通常使用用户名和口令的认证方式。一般可
               分为三个步骤：用户名的识别与验证、用户口令的识别与验证和用户账号的缺省限制
               检查。

                   ②资源访问控制：是对客体整体资源信息的访问控制管理。其中包括文件系统的
               访问控制（文件目录访问控制和系统访问控制）、文件属性访问控制、信息内容访问
               控制。文件目录访问控制是指用户和用户组被赋予一定的权限，在权限的规则控制许

               可下，哪些用户和用户组可以访问哪些目录、子目录、文件和其他资源，哪些用户可
               以对其中的哪些文件、目录、子目录、设备等能够执行何种操作。
                   系统访问控制是指一个网络系统管理员应当为用户指定适当的访问权限，这些
               访问权限控制着用户对服务器的访问；应设置口令锁定服务器控制台，以防止非法用

               户修改、删除重要信息或破坏数据；应设定服务器登录时间限制、非法访问者检测和
               关闭的时间间隔；应对网络实施监控，记录用户对网络资源的访问，对非法的网络访
               问，能够用图形或文字或声音等形式报警等。文件属性访问控制：当用文件、目录和
               网络设备时，应给文件、目录等指定访问属性。属性安全控制可以将给定的属性与要

               访问的文件、目录和网络设备联系起来。
                   ③网络端口和节点的访问控制：网络中的节点和端口往往加密传输数据，这些重


                                                                                          • 11 •