访问控制列表和规则的授权

    在有些情况下，授权也许不起作用，但是可以很好的使用控制列表（ACL）。信息系统也可能使用访问控制列表来决定是否所请求的服务或资源进行授权。在服务器上，对文件的访问通常由在每个文件中所维护的信息进行控制。同样，对于网络设备之间的不同类型的通信的控制能力，可由访问控制列表进行控制。

    网络设备可以用ACL来控制对网络的访问，还可以控制被允许的访问类型。尤其要说明的是在路由器和防火墙上所有的配置的访问控制列表，可以指定哪一台计算机的那一个端口能够允许进入的通信流量，或者哪种类型的流量可以被网络设备接收并转发到相信的网络中。

    基于规则的授权需要开发出规则来保证特定的用户可以在系统上做些什么。这些规则可以提供诸如"用户张三可以访问资源Z但不能访问资源D"之类的信息。更复杂的规则可以指定组合信息，比如"只有当用户李四坐在数据中心的监控台前面时，他才可以读文件P"。在小一些的系统中，基于规则授权可能并不太难，因而还能够进行维护，但在太大的系统和网络中，相应的管理工作极度令人乏味和困难重重的。

    总结

    尽管现在的许多认证系统都是基于硬件的，比如安全令牌和智能卡，认证的过程也被认为是更加安全，例如可以采取一次性口令，但大多数系统仍然依靠口令来进行认证。对用户进行培训和对用户账户进行控制，都是保障认证更加有效的关键部分。另一方面，通过授权来决定通过认证的用户可以在系统和网络上做些什么。已经有了一些控制措施，可以帮助我们比较明确地定义这些访问权限。