4.4 选择性访问控制
在网络上使用选择性访问控制应考虑如下几点： （1）某人可以访问什么程序和服务？ （2）某人可以访问什么文件？ （3）谁可以创建、读或删除某个特定的文件？ （4）谁是管理员或“超级用户”？ （5）谁可以创建、删除和管理用户？ （6）某人属于什么组，以及相关的权利是什么？ （7）当使用某个文件或目录时，用户有哪些权利？
（4）备份操作员具有备份和恢复服务器、从控制台 登录到服务器和关掉服务器等权力。
（5）账户操作员具有生成、取消和修改用户、全局 组和局部组，不能修改管理员组或服务器操作员 组的权力。
（6）复制者与目录复制服务联合使用。
（7）用户组可执行授予它们的权力，访问授予它们 访问权的资源。
（8）访问者组仅可执行一些非常有限的权力，所能 访问的资源也很有限。
常见的安全级别内容其中也包括了一些网络 权力。
（1）管理员组享受广泛的权力。
（2）服务器操作员具有共享和停止共享资源、锁住 和解锁服务器、格式化服务器硬盘、登录到服务 器以及备份和恢复服务器的权力。
（3）打印操作员具有共享和停止共享打印机、管理 打印机、从控制台登录到服务器以及关掉服务器 等权力。
(5)B2级
B2级，又叫做结构保护，它要求计算机系统中所 有的对象都要加上标签，是提供较高安全级别的 对象与较低安全级别的对象相通信的第一个级别。
(6)B3级
B3级或又称安全域级别，使用安装硬件的方式来 加强域的安全。
(7)A级
A级或又称验证设计是当前橙皮书的最高级别，它 包括了一个严格的设计、控制和验证过程。
ቤተ መጻሕፍቲ ባይዱ
计算机系统安全与访问控制
2．计算机系统安全技术
（1）实体硬件安全 （2）软件系统安全 （3）数据信息安全 （4）网络站点安全 （5）运行服务安全 （6）病毒防治技术 （7）防火墙技术 （8）计算机应用系统的安全评价
4.2 安全级别
(1)D级 (2)C1级
C级有两个安全子级别：C1和C2。C1级，又称选择 性安全保护。 (3)C2级 除了C1级包含的特性外，C2级别应具有访问控制 环境（controlled-access environment）权力。 (4)B1级 B级中有三个级别，B1级即标志安全保护是支持多 级安全的第一个级别。
4.3 系统访问控制
4.3.1 系统登陆
1． Unix系统登陆 2． Unix账号文件 3. Windows NT系统登录 4. 账户锁定 5. Windows NT安全性标识符（SID）
4.3.2 身份认证
1．用生物识别技术进行鉴别 2．用所知道的事进行鉴别
口令可以说是其中的一种，但口令容易被偷窃， 于是人们发明了一种一次性口令机制 3．使用用户拥有的物品进行鉴别 智能卡（Smart Card）就是一种根据用户拥有 的物品进行鉴别的手段。
小结
1．计算机安全的主要目标 2．安全级别 3．系统访问控制 4．选择性访问控制 5．强制性访问控制
习题与思考题
1．计算机系统安全的主要目标是什么？ 2．简述计算机系统安全技术的主要内容 3．计算机系统安全技术标准有哪些？ 4．访问控制的含义是什么？ 5．如何从Unix系统登录？ 6．如何从Windows NT系统登录？ 7．怎样保护系统的口令？ 8．什么是口令的生命周期？ 9．如何保护口令的安全？ 10．建立口令应遵循哪些规则？