什么是信息安全授权?
授权是允许某人做某事的程序。它定义了一种检查用户是否有权需要资源的方法。它可以表示一个用户可以访问哪些数据和信息。
它也被称为 AuthZ。授权通常与身份验证一起使用,以便系统可以了解谁在访问信息。授权是一种安全结构,用于决定与系统资源(例如计算机程序、文件、服务、数据和应用程序功能)相关的用户/客户端权限或访问级别。
授权之前通常是用于客户身份验证的身份验证。系统管理员 (SA) 通常被分配涵盖某些系统和客户资源的权限级别。
在授权期间,系统会检查经过身份验证的用户的访问规则,并授予或浪费资源访问权限。现代和多用户操作系统基于有效设计的授权流程,以支持应用程序部署和管理。
关键因素,例如需要验证的用户类型、数量和凭据以及相关的操作和角色。例如,基于角色的授权可以由需要明确的用户资源跟踪权限的用户组指定。
此外,授权可以基于企业身份验证结构,例如 Active Directory (AD),以实现无缝安全策略集成。例如,ASP.NET与 Internet Information Server (IIS) 和 Microsoft Windows 一起使用,以支持基于 Internet 的 .NET 应用程序的身份验证和授权服务。
Windows 使用新技术文件系统 (NTFS) 来支持某些资源的访问控制列表 (ACL)。ACL 作为资源访问的最终权限。.NET Framework 支持另一种基于角色的安全方法来支持授权。
基于角色的安全性是一种适合服务器应用程序的动态方法,与代码访问安全检查相同,其中授权的应用程序用户根据角色来决定。
授权策略指示身份可以执行的操作。例如,银行的任何客户都可以制作和使用身份(例如,用户名)登录该银行的在线服务,但银行的授权策略应确保一旦身份被授权,只有它可以访问个人帐户。已验证。
授权可用于更精细的级别,而不仅仅是网站或公司内部网。个人身份可以包含在一组共享公共授权策略的身份中。
例如,假设一个数据库包括客户购买以及客户的个人和信用卡数据。
商家可以为此数据库制定授权策略,使营销组可以访问所有客户购买但避免访问所有用户个人和信用卡数据,以便营销团队可以识别知名产品进行推广或销售。
以上是 什么是信息安全授权? 的全部内容, 来源链接: utcz.com/z/297398.html
