网络安全 访问控制

访问控制是一种限制对系统或物理或虚拟资源的访问的方法。在计算中，访问控制是授予用户对系统、资源或信息的访问权限和某些特权的过程。

在访问控制系统中，用户必须出示凭据才能获得访问权限。在物理系统中，这些凭据可能有多种形式，但无法传输的凭据可提供最大的安全性。

例如，钥匙卡可以作为访问控制并授予持有者进入机密区域的权限。由于此凭据可能会被转移甚至被盗，因此它不是处理访问控制的安全方式。

一种更安全的访问控制方法涉及两因素身份验证。希望访问的人必须出示凭据和第二个因素来证实身份。第二个因素可能是访问代码、PIN 甚至生物识别读数。

可以使用三个因素进行身份验证：

只有用户知道的东西，例如密码或 PIN
属于用户的一部分，例如指纹、视网膜扫描或其他生物特征测量
属于用户的东西，例如卡或钥匙
对于计算机安全，访问控制包括对尝试获得访问权限的实体的授权、身份验证和审计。访问控制模型有一个主体和一个客体。主体——人类用户——是试图访问对象的人——通常是软件。在计算机系统中，访问控制列表包含权限列表以及这些权限适用的用户。此类数据可以被某些人而不是其他人查看，并受访问控制控制。这允许管理员保护信息并设置关于哪些信息可以被访问、谁可以访问以及在什么时间可以访问的权限。