(2)訪問(wèn)控制

訪問(wèn)控制技術(shù)是計(jì)算機(jī)安全領(lǐng)域一項(xiàng)傳統(tǒng)的技術(shù)，其基本任務(wù)是防止非法用戶進(jìn)入系統(tǒng)及防止合法用戶對(duì)系統(tǒng)資源的非法使用。操作系統(tǒng)的訪問(wèn)控制是操作系統(tǒng)安全控制保護(hù)中重要的一環(huán)，在身份識(shí)別的基礎(chǔ)上，根據(jù)身份對(duì)提出的資源訪問(wèn)請(qǐng)求加以控制。

在訪問(wèn)控制中，對(duì)其訪問(wèn)必須進(jìn)行控制的資源稱為客體；必須控制其對(duì)客體的訪問(wèn)的活動(dòng)資源稱為主體。主體即訪問(wèn)的發(fā)起者，通常為進(jìn)程、程序或用戶。客體包括各種資源，如文件、設(shè)備、信號(hào)量等。訪問(wèn)控制中第三個(gè)元素是保護(hù)規(guī)則，它定義了主體與客體可臺(tái)旨的相互作用途徑。

訪問(wèn)控制的目的是為了限制訪問(wèn)主體對(duì)訪問(wèn)客體的訪問(wèn)權(quán)限，從而使計(jì)算機(jī)系統(tǒng)在合法范圍內(nèi)使用。它決定用戶能做什么，也決定代表一定用戶身份的進(jìn)程禽黽做什么，其中主體是某個(gè)用戶，也可以是用戶啟動(dòng)的進(jìn)程和服務(wù)。

目前常用的訪問(wèn)機(jī)制模型有三種，即自主訪問(wèn)控制、強(qiáng)制訪問(wèn)控制和基于角色的訪問(wèn)控制。

Windows的訪問(wèn)控制

Winclows使用訪問(wèn)控制列表(ACL)來(lái)描述允許的訪問(wèn)權(quán)限信息。ACL可由管理員或?qū)?/p>

象所有者管理。例如管理員可以給其它用戶修改或者訪問(wèn)對(duì)象的權(quán)限，也可以收回用戶不再需要的權(quán)限。Windows里對(duì)每一安全對(duì)象保持一份ACL。ACL是對(duì)象安全描述符中的基本組成部分，它包括有權(quán)訪問(wèn)對(duì)象的用戶和組的SID。如下圖所示：

　　注：Windows系統(tǒng)的ACL存儲(chǔ)在NTFS文件系統(tǒng)的流中，因此必須使用NTFS文件系統(tǒng)才能提供AC己功能。