訪問控制

2015-01-18 15:47:53
admin
2512
最后編輯:ren 于 2015-01-18 16:28:38

a) 應用系統應提供獨立于其運行平臺(如主機操作系統、數據庫和網絡系統等)的訪問控制機制;


b) 應依據安全策略控制用戶對客體的訪問;


c) 自主訪問控制的覆蓋范圍應包括與信息安全直接相關的主體、客體及它們之間的操作;


d) 自主訪問控制的粒度應達到主體為用戶級,客體為文件、數據庫表級;


e) 應由應用程序授權用戶設置對程序功能和用戶數據訪問和操作的權限;


f) 應實現應用程序特權用戶的權限分離,例如將管理與審計的權限分配給不同的應用程序用戶;


g) 權限分離應采用最小授權原則,分別授予不同用戶各自為完成自己承擔任務所需的最小權限,并在它們之間形成相互制約的關系;


h) 應嚴格限制匿名用戶的訪問權限。



發表評論
評論通過審核后顯示。
福彩3d相年富