访问控制策略

认证

对于具有价值的信息资源的访问都应该通过认证，这可以有效的保证信息访问管理的质量。用户在进行访问之前，通常会被要求提供正确的认证。最常见的认证方法是用户名和密码的组合。结合密码的强度设定，用户名密码对一种灵活的可以满足基本安全保护需要的认证方法。使用用户名和密码保护信息存在的最大问题就是强度不足，因为这是一种静态形式的保护。攻击者可以通过很多手段对用户名及密码进行探察和猜解。尽管我们很容易的更改密码，但是考虑到管理成本和可用性的问题，通常密码更改的频率都会限制在一个不是非常高的水平。不过由于静态认证方式是最容易获得的一种机制，我们在可能的情况下还是要尽量利用这种方法。通过制订更详细的密码使用方案，可以在很大程度上增强静态认证方式的强度，例如我们可以对密码的复杂度和长度进行要求，还可以限制尝试输入密码的次数。总体来说，我们建议对相对低价值的信息采用这种认证手段，对于具有较高价值尤其是可能对企业运营造成严重影响的信息应采用强度更高的认证方法。通过组合多种认证要素可以简单而有效的提高认证强度。一个基本的原则是这两种认证要素必须具有不相关性。例如，除了分配给用户一个访问标识(类似于用户名)，另外通过分配给每个用户的私钥生成一个额外的标识，在认证的时候要求用户同时提供这两个标识。由于分配的标识和用户在访问时生成的标识没有直接的联系，所以这种组合相对于具有相关性的用户名密码对要更加强壮。如果这种方式仍无法满足需要，我们还可以应用一次性密码进一步增强保护水平。增加了一次性密码特性的认证方案可以在极大程度上杜绝暴力破解和密码嗅探等主要的攻击方式。相对来说，这些认证方法都属于分布式类型，是针对每个系统以及每种应用的。近年来另一种集中式的认证手段正在逐渐受到重视，那就是单一登录(SSO)。一个较常见的例子就是微软的Passport，我们使用一个Passport帐号可以登录微软的MSN、E-Mail、Blog等各种服务。总的来说无论是分布式还是集中式的认证都有各自的优点和缺点。单一登录可以在很大程度上减轻认证管理的负担，毕竟记忆十几个不允许重复的密码对任何人都并非乐事。但是想将越多的应用纳入单一登录的管理范畴，就需要付出越多的额外努力，以处理各种技术方面的融合。另外，单一登录信息如果失窃其波及面相对于分布式认证来说也要广泛得多。

授权

在通过了认证之后，用户将被赋予规定的权限。我们在启用一个访问控制体系之前通常已经定义了权限的分配，其基本内容是决定谁在什么时候可以访问什么。通常我们在应用程序的层次进行授权，因为在这个层次授权可以更好的反映我们对整个应用基础设施的理解。在授权时一个典型的问题是只考虑了软件方面的授权而忽略了物理方面的授权。包括服务器和网络接口这样的物理设施一旦被攻击者占据，大部分的安全防御措施都将失效。我们在进行授权的时候通常会利用组的形式来管理具有同样权限的用户集合，在组的基础上结合组成员能够执行的活动进行管理，可以实施基于角色的访问控制。这种访问控制非常适用于被广泛使用的大型数据源，但是基于用户的访问控制通常可以提供更严格的保护。这两种方式并不冲突，为了获得两者的优点我们可以将其结合起来使用。例如，当用户Joey通过了访问认证之后，系统首先根据其所属组向其赋予基本的访问授权；由于Joey还具有单独授予的另外几项附加权限，所以Joey所能够访问的信息实际是组权限和单独设置的特殊权限的组合。实际上，如果Joey同时隶属于多个用户组，那么他的访问权限就是这些组的合集，在通常情况下也可以被看做是一种隐含的基于角色与基于用户方式的组合。

记录

通常的访问控制系统都会对认证和授权过程中产生的各种事件进行记录，并成为安全审计活动的基础。目前大多数的现代操作系统都具有集成的日志系统以记录系统产生的各种事件，其中访问控制事件就是其最重要的组成部分之一。Class UNIX平台的操作系统通常使用符合Syslog标准的日志系统，而微软Windows使用的是自有的事件日志系统。通过这些机制获得的信息对于维持访问控制系统的正常运作是非常重要的，所以如何记录信息以及如何对这些信息进行管理也是访问控制策略中的一个不可或缺的组成部分。我们在启用各种记录系统之前需要仔细的斟酌信息记录的详细程度和事件范围，这不但与记录系统的运行有关，更重要的是会影响到这些信息的管理和应用。在获得了大量的信息素材之后，应该正确的对这些信息进行筛选和判断，以发现不正常的访问事件。规律而有效的进行这项工作，可以不断的改进和完善访问控制策略，为企业的整体信息安全设施提供良好的保障。

本文转自 离子翼 51CTO博客，原文链接：http://blog.51cto.com/ionwing/56947，如需转载请自行联系原作者