系统往往用于限制对某些区域的进入和访问,如对某个建筑物、服务器机房等。在一些组织中,卡片或证件系统往往也同时用作网络访问控制的手段,比如,智能卡系统在组织中常常被用作对能够接入网络的服务器机房或网络终端机房的进入进行限制,如果用户没有有效的智能卡,便不能从机房接入企业的网络。生物识别系统,如指纹识别、掌纹识别和语音识别系统也往往用于执行物理访问控制系统的用户身份识别功能。Р身份识别功能的另外一个重要功能就是保证可审计性,一个唯一的身份标识可以使管理员通过日志审计功能,对该标识所属的实体——用户或系统服务所执行过的行为进行跟踪;同时,一个唯一的身份标识也会使用户在执行对系统访问及特定操作时对自己的行为负责。Р2、身份识别使用指导:Р确定性(Issuance):生成身份识别的过程必须是安全并经过文件记录的,从根本上说,身份识别的使用效率及安全性,与身份识别的生成过程密切相关。Р命名标准(Naming Standard):用户或其他系统实体的身份识别必须遵守同一个命名的标准,如,系统中所有用户名的格式必须是名+姓的第一个字母,那么John Smith的用户名就应该是SmithJ。Р不对工作责任进行描述(Non-descriptive for user’s job function):出于安全考虑,用户的身份识别不应该包括对应用户的工作职责,如系统管理员最好不要使用“Administrator“或”Manager”这样的名字做用户名。Р非共享原则(No sharing):一个身份识别在整个系统或网络中应该只由一个用户或实体所有的,否则会造成授权或审计上的麻烦。Р可校验性(Verifiable):身份识别要能够通过简单并有效的方法进行校验,校验方法还应该是任何时候在系统的任何部位都是可用的,自动化的。Р唯一性(Unique):用户或实体的身份识别在整个系统或网络中必须是唯一的。Р图4
全文预览
