CISSP的成长之路（二十三）：逻辑访问控制方案

　　在51CTO安全频道特别策划的CISSP的成长之路系列的上一篇文章《用户的生物特征》里，J0ker给大家介绍了访问控制凭证的最后一个分类：用户的生物特征，以及一些应用比较广泛的生物验证手段。以生物特征为验证凭证的访问控制方案能够提供比使用其他两种凭证的同类产品高得多的安全性，但生物特征的访问控制方案的部署和维护成本也最高，而且用户的接受程度也不是很好。

　　企业在选择访问控制方案的时候，往往会综合考虑访问控制方案的技术要求和部署使用成本，在安全要求不是很高的场合，企业往往会倾向于选择不需要添置额外验证设备的逻辑访问控制方案。因此，我们在日常工作中，接触更多的是各种基于密码验证的访问控制系统，在接下去的几个文章里，J0ker就打算介绍一下各种逻辑访问控制方案，首先J0ker将介绍集中式的访问控制方案。

　　在网络化应用广泛使用的今天，用户对信息资源的访问已经从最开始的物理访问为主，到现在的以远程访问为主：企业总部与处在不同地区的分支机构需要频繁的交换信息、出差途中的员工需要从企业的相关部门获取信息并分享业务资料、合作伙伴或外包厂商也需要从企业中获取和进行中的项目的信息。这些目的和技术实现都不相同的场景，一般都需要通过电话拨号、互联网或VPN服务等方式进入企业的内部网络。对企业来说，为用户提供对网络资源的远程访问是一件相当有安全挑战的事情，企业在允许远程用户访问到自己的内部网络和信息资源之前，必须先对远程用户的使用权进行一定的限制，这就是用于确认用户身份的验证（Authentication）、分配用户访问权限的授权（Authorization）和检测用户是否进行违反安全规定操作的审计（Accounting）操作，也就是我们经常可以接触到的AAA概念。