物理安全控制通过控制访问和环境来保护系统、设备和设施。例如，组织通常拥有一个 服务器机房，机房内运行着服务器，且通常包含路由器和交换机。物理安全控制的好处是能 提升服务器机房的安全性，例如控制进入服务器机房的密码锁。虽然台式计算机通常不如服 务器有价值，但常规物理安全控制(比如锁)可以提供保护。

逻辑访问控制是一种技术控制，用千保护对信息、系统、设备和应用程序的访问。逻辑 访问控制包括身份认证、授权和权限。将这些逻辑访问控制结合起来，有助千预防对系统及其他设备上的数据和配置的未经授权的访问。例如，个体在系统或网络上通过身份认证之后， 才可以访问数据。权限有助千确保只有经授权的实体可以访问数据。同样，逻辑访问控制限 制系统和网络设备配置的访问权限，仅允许经授权的个体进行访问。许多逻辑访问控制应用 千本地或云上的资源。

问控制有助于确保只有已经授权的主体能够访问客体。如果未经授权的实体 可以访问系统或数据，将导致保密性的丧失。

完整性可以确保主体经授权后才可以修改数据或系统配置，或如果发生未经授 权的变更，安全控制可以检测到变更。如果客体发生了未授权的变更或不需要的变更，会导 致完整性丢失。

必须在合理时间内向主体授予访问客体的权限。换句话说，系统和数据应该在 需要时可以供用户和其他主体使用。一如果系统无法运行或数据无法访间，会导致可用性降低。

主体是一种活动实体，访问被动客体以从客体接收信息或数据。主体可以是用户、 程序、进程、服务、计算机或可以访问资源的其他东西。经授权后，主体可以修改客体。

客体是一个被动实体，可以向活动主体提供信息。文件、数据库、计算机、程序、 进程、服务、打印机和存储介质都可以是客体。

基于已验证的身份授予主体对客体的访问权限。例如，管理员根据用户经过验证 的身份授予用户对文件的访问权限。

在实施审计时，用户和其他主体可以对其行为负责。审计在主体访问客体时追踪 主体和记录，并在一个或多个审计日志中创建审计轨迹。例如，审计可以记录用户何时读取、 修改或删除文件。审计提供问责机制。

脆弱原因

最长期限

口令复杂度

口令长度

最短期限

口令历史

口令必须经过哈希

口令不应该过期

不应要求用户使用特殊字符

用户可以复制和粘贴口令

口令长度至少为 8 个字符，最多为 64 个字符

基千哈希的消息身份认证码 (HMAC)包含一个哈希函数，该函数被基于 HMAC 的一次性口令(HOTP)标准用来创建一次性口令。 HOTP 通常生成六至八位数的 HOTP 值。 HOTP 口令类似于令牌创建的异步动态口令。 HOTP 口令在使用前保持有效。

基千时间的一次性口令(TOTP)标准类似千 HOTP。但是， TOTP 使用时间戳并在 特定时间范围内保持有效，如 30 秒。如果用户未在时间范围内使用 TOTP 口令，则该口令将 过期。 TOTP 口令类似千令牌使用的同步动态口令。

在单个组织内，集中式访问控制系统往往应用千 SSO

在将数字证书集成到传输过程时，公钥基础设施(PK.I)使用 LDAP

权限通常是指授予对客体的访问权限，并明确允许对客体执行的操作。如果具有 文件的读取权限，那么你可打开并读取文件。你可以授予用户创建、读取、编辑或删除文件 的权限。同样，你可以授予用户对某个文件的访问权利，因此在此场景中，访问权利和权限 是同等含义。例如，如果获得应用程序文件的读取和执行权限，你就拥有运行应用程序的权 利。此外，你可以获得某个数据库的数据权利，因而可以检索或更新数据库中的信息。

权利主要是指对某个客体采取行动的能力。例如，用户可以有权利修改计算机系 统时间或恢复备份数据。权利和权限有细微的区别，并不总被刻意强调。然而，你很少看到 在系统上采取行动的权利被称作权限。

特权是权利和权限的组合。例如，计算机管理员将拥有全部特权，即授予计算机 管理员对计算机的全部权利和权限。计算机管理员可以在计算机上执行任意操作并访问所有 数据。

访问控制的基本原则是隐式拒绝

访问控制矩阵是一种包含主体、客体和分配权限的表格

能力表(capabilitytable)是另一种确定主体所分配权限的方式

应用程序利用受约束或受限制的接口

于内容的访问控制依据客体内容来限制对数据的访问

千上下文的访问控制在授予用户权限之前需要用户执行特定的活 动

这个原则确保主体仅能访问为完成工作任务和工作职能而需要知道的内容

最小特权原则确保主体仅拥有执行工作任务和工作职能所需的权限

责分离原则确保将敏感职能划分为两个或多个员工共同执行的任务。职责 分离通过创建一个检查和制衡系统，防止欺诈和错误的发生。

可扩展标记语言 (XML)并非仅通过实际描述数据来描述如何显示数据。 XML 可以包含标 记，从而描述所有所需数据

安全断言标记语言 (SAML)是一种基千 XML 的开放标准，通常用千在联邦纠织之间交换 身份认证和授权(AA)信息。 SAML 提供支持浏览器访间的 SSO 功能。

OAuth 2.0(意含开放授权)是 RFC 6749 中描述并由互联网工程任务组(IETF)维护的授权 框架。互联网上的许多公司使用 0Auth2.0 与第三方网站共享账户信息。

OpenID 也是一个开放标准，但由 OpenID Foundation 维护，它不是 RFC 标准。 OpenID 提供去中心化身份认证，允许用户使用一组凭证登录多个不相关的网站，这些凭证由第三方 服务维护，这类第三方被称为 OpenID 提供商。

提供身份认证、授权和计费的协议被称为AAA协议。 AAA协议通过远程访问系统， 如虚拟专用网络 (VPN)和其他类型的网络访问服务器，提供集中式访问控制。 AAA 协议有 助于确保内部局域网身份认证系统和其他胀务器免受远程攻击。如果你使用单独的系统进 行远程访问，则系统受到的攻击只会影响远程访问用户。换句话说，攻击者将无法访问内 部账户。

票证身份认证是一种采用第三方实体来证明身份并提供身份认证的机制。 Kerberos 是最 常见和最著名的票证身份认证。 Kerberos 的主要目的是身份认证

远程认证拨入用户服务 (RADIUS)集中认证远程访问连接，例如 VPN 或拨号访问。RADIUS 通常适用于组织拥有多台网络访问服务器(或远程访问服务器)的情况。用户可以连 接到任意的网络访问服务器，然后该服务器将用户凭证传送至 RADIUS 服务器，开展身份认 证、授权和跟踪计费。这种情况下，网络访问服务器是 RADIUS 的客户端， RADIUS 服务器 充当身份认证服务器。 RADIUS 服务器还为多个远程访问服务器提供 AAA 服务。

Cisco 开发了增强型终端访问控制器访问控制系统(TACACS+)，后来将其作为开放标准 发布。 TACACS+对早期版本和 RADIUS 进行了多项改进。