什么算是信息系统整体访问控制策略？

信息系统整体的安全运行。
身份鉴别与访问控制是信息安全领域的两个十分重要的概念。然而，对这两个概念的含义往往有不同的理解。希望通过本文所引发的讨论能对统一这两个概念的理解有所帮助。
在GB17859中．身份鉴别指的是用户身份的鉴别，包括用户标识和用户鉴别。在这里．用户标识解决注册用户在一个信息系统中的惟一性问题．用户鉴别则解决用户在登录一个信息系统时的真实性问题。一般情况下．当用户注册到一个系统时，系统应给出其惟一性的标识．并确定对其进行鉴别使用的信息(该信息应是保密的、并且是难以仿造的．一方面以一定方式提供给用户．另一方面由系统保存)。当用户登录到该系统时，用户应提供鉴别信息，系统则根据注册时所保留的鉴别信息对用户所提供的鉴别信息的真实性进行鉴别。
其实．从更广义的范围来讲．信息系统中的身份鉴别应包括用户身份鉴别和设备身份鉴别．用户身份鉴别又分为注册用户的身份鉴别和网上数据交换用户的身份鉴别。上述GB17859中的身份鉴别主要指的是注册用户的身份鉴别。网上数据交换时用户的身份鉴别是指非注册用户间进行数据交换时的身份鉴别。也就是通常所说的在相互不知道对方身份的情况下，又要确认对方身份的真实、可信．从而确认数据交换的可信赖性。这就需要通过所谓的可信第三方(如由CA系统提供的认证机制)实现数据交换双方身份的真实性认证。关于设备的身份鉴别．其实与注册用户的身份鉴别没有多大区别．只是鉴别的对象是接入系统的设备而已。对接入系统的设备进行身份鉴别．同样要先对其进行注册，并在注册时确定鉴别信息(鉴别信息既与设备相关联．又由系统保留)。当需要将设备接入系统时．被接入设备需提供鉴别信息，经系统确认其身份的真实性后方可接入。
访问控制在GB17859中同样有其特定的含义．并对自主访问控制和强制访问控制的策略做了具体的说明。其实．访问控制在更广的范围有着更广泛的含义。在许多情况下．人们往往把身份鉴别也称作是一种访问控制。如果我们把是否允许登录系统看作是是否允许对系统进行访问．把身份鉴别称为访问控制也未尝不可。问题是需要对其具体含义做清晰的描述。这也是我们为什么把身份鉴别与访问控制这两个概念一起进行讨论的原因
谈到访问控制．首先必须对访问控制的粒度有所了解。访问控制讲的是对主体访问客体的控制。粒度显然涉及主体和客体两个方面。