信息技术 开放系统互连 开放系统安全框架 第3部分:访问控制框架 (GB/T 18794.3-2003) 国家标准《信息技术 开放系统互连 开放系统安全框架 第3部分:访问控制框架》由TC28(全国信息技术标准化技术委员会)归口上报及执行,主管部门为国家标准化管理委员会。
起草单位:四川大学信息安全研究所。
本开放系统安全框架的标准论述在开放系统环境中安全服务的应用,此处术语“开放系统”包括诸如数据库、分布式应用、开放分布式处理和开放系统互连这样一些领域。安全框架涉及定义对系统和系统内的对象提供保护的方法,以及系统间的交互。本安全框架不涉及构建系统或机制的方法学。安全框架论述数据元素和操作的序列(而不是协议元素),这两者可被用来获得特定的安全服务。这些安全服务可应用于系统正在通信的实体,系统间交换的数据,以及系统管理的数据。就访问控制而言,访问既可以是对一个系统(即对系统内正在通信部分的实体)的访问,也可以是对一个系统内部的访问。获取访问所要出示的信息项,以及请求该访问的顺序和该访问结果的通知都在本安全框架的考虑范围之内。不过,任何只依赖于特定应用的和严格限制在一个系统内的本地访问的信息项和操作,则不在本安全框架考虑范围之内。许多应用要求安全措施来防止对资源的威胁,这些资源包括由开放系统互连所产生的信息。在OSI环境中,一些众所周知的威胁以及可用于防范这些威胁的安全服务和机制在GB/T 9387.2中都有所描述。决定开放系统环境中允许使用何资源,以及在适当地方防止未授权访问的过程称作访问控制。本部分为提供访问控制服务定义通用框架。本安全框架:a)定义访问控制的基本概念;b)示范将访问控制的基本概念具体化来支持一些公认的访问控制服务和机制的方法;C)定义这些服务和相应的访问控制机制;d)识别为支持这些访问控制服务和机制的协议的功能需求;e)识别为支持这些访问控制服务和机制的管理需求;f)阐述访问控制服务和机制与其他安全服务和机制的交互。和其他安全服务一样,访问控制只能在为特定应用而定义的安全策略上下文内提供。访问控制策略的定义不属于本部分的范围,但本部分将会讨论到访问控制策略的一些特征。本部分不规定提供访问控制服务可能要执行的协议交换的细节。本部分不规定支持这些访问控制服务的具体机制,也不规定安全管理服务和协议的细节。很多不同类型的标准能使用本框架,包括:1)体现访问控制概念的标准;2)规定含有访问控制的抽象服务的标准;3)规定使用访问控制服务的标准;4)规定在开放系统环境中提供访问控制方法的标准;5)规定访问控制机制的标准。这些标准能按下列方式使用本框架:——标准类型1)、2)、3)、4)和5)能使用本框架的术语;——标准类型2)、3)、4)和5)能使用在本框架第7章定义的设施;——标准类型5)能基于第8章定义的机制类别。