访问控制(Access Control)
访问控制基础原理
访问控制(Access Control)是指对用户、设备或进程访问系统资源的权限进行管理和限制,防止未授权访问和滥用。它是信息安全的核心机制之一,广泛应用于操作系统、网络设备、数据库、Web应用等各类系统。
- 核心目标:确保只有被授权的主体能够访问特定资源。
- 三要素:主体(Subject)、客体(Object)、权限(Permission)。
- 常见场景:文件访问、网络流量、数据库操作、API接口等。
重点术语解释
- 主体(Subject):发起访问请求的用户、设备或进程。
- 客体(Object):被访问的资源,如文件、数据库、服务等。
- 权限(Permission):主体对客体可执行的操作,如读、写、执行等。
- 授权(Authorization):授予主体访问客体的权限过程。
- 认证(Authentication):验证主体身份的过程。
- 最小权限原则:仅授予完成任务所需的最小权限。