网站建设速度如何解决,自建网站迁移,做网站需要准备什么,公益网站的设计与建设信息安全#xff1a;访问控制技术原理与应用.
访问控制是网络信息系统的基本安全机制。访问控制是指对资源对象的访问者授权、控制的方法及运行机制。访问者又称为主体#xff0c;可以是用户、进程、应用程序等#xff1b;而资源对象又称为客体#xff0c;即被访问的对象访问控制技术原理与应用.
访问控制是网络信息系统的基本安全机制。访问控制是指对资源对象的访问者授权、控制的方法及运行机制。访问者又称为主体可以是用户、进程、应用程序等而资源对象又称为客体即被访问的对象可以是文件、应用服务、数据等授权是访问者可以对资源对象进行访问的方式如文件的读、写、删除、追加或电子邮件服务的接收、发送等控制就是对访问者使用方式的监测和限制以及对是否许可用户访问资源对象做出决策如拒绝访问、授权许可、禁止操作等。 目录
访问控制概括
1访问控制目标
访问控制模型
1访问控制参考模型组成要素
2访问控制橾型发展
3访问控制类型
4强制访问控制
5基于角色的访问控制
6基于属性的访问控制
访问控制策略设计与实现
1访问控制策
2访问控制规则
访问控制过程与安全管理
1访问控制过程
2最小特权管理
3用户访问管理
4口令安全管理
访问控制主要产品与技术指标
1访问控制主要产品
访问控制主要技术指标
访问控制技术应用
1访问控制技术应用场景类型 访问控制概括
1访问控制目标
◆ 访问控制的目标有两个一是 防止非法用户进入系统 二是 防止合法用户对系统资源的方法使用 即 禁止合法用户的越权访问 。
◆ 实现 访问控制的 目标 首先要对网络用户进行有效的 身份认证 然后根据不同的用户 授予不同的访问权限 进而保护系统资源。同时还可以进行系统的安全 审计和监控 检测用户对系统的攻击企图。 访问控制模型
1访问控制参考模型组成要素 ◆ 访问控制机制由一组安全机制构成可以抽象为一个简单的模型组成要素主要有主体 、参考监视器、客体、访问控制数据库、审计库. ▶ 主体主体是客体的操作实施者。实体通常是人、进程或设备等一般是代表用户执行操作的进程。比如编辑一个文件编辑进程是存取文件的主体而文件则是客体。 ▶ 客体客体是被主体操作的对象。通常来说对一个客体的访问隐含着对其信息的访问。 ▶ 参考监视器参考监视器是访问控制的决策单元和执行单元的集合体。控制从主体到客体的每一次操作监督主体和客体之间的授权访问行为并将重要的安全事件存入审计文件之中。 ▶ 访问控制数据库记录主体访问客体的权限及其访问方式的信息提供访问控制决策判断的依据也称为访问控制策略库。该数据库随着主体和客体的产生、删除及其权限的修改而动态变化。 ▶ 审计库存储主体访问客体的操作信息包括访问成功、访问失败以及访问操作信息。 2访问控制橾型发展 ◆ 自主访问控制模型、◆ 强制访问控制模型、◆ 基千角色的访问控制模型 自主访问控制模型、强制访问控制模型、基于角色的访问控制模型常用于操作系统、数据库系统的资源访问 ◆ 基于使用的访问控制模型 基于使用的访问控制模型则用于隐私保护、敏感信息安全限制、知识产权保护 ◆ 基于地理位置的访问控制模型 基于地理位置的访问控制模型可用于移动互联网应用授权控制如打车服务中的地理位置授权使用 ◆ 基于属性的访问控制模型 基于属性的访问控制是一个新兴的访问控制方法其主要提供分布式网络环境和 Web 服务的模型访问控制 ◆ 基于行为的访问控制模型 基于行为的访问控制模型根据主体的活动行为提供安全风险的控制如上网行为的安全管理和电子支付操作控制 ◆ 基于时态的访问控制模型 基于时态的访问控制模型则利用时态作为访问约束条件增强访问控制细粒度如手机网络流量包的限时使用。 3访问控制类型 ◆ 自主访问控制是指客体的所有者按照自己的安全策略授予系统中的其他用户对其的访问权。 基于 行 的自主访问控制基于行的自主访问控制方法是在每个主体上都附加一个该主体可访问的客体的明细表根据表 中信息的不同又可分成三种形式即能力表、前缀表 和 口令。 (1) 能力表能力是访问客体的钥匙它决定用户能否对客体进行访问以及具有何种访问模式读、写、执行。拥有一定能力的主体可以按照给定的模式访问客体。 (2) 前缀表前缀表包括受保护客体名和主体对它的访问权限。当主体要访问某客体时自主访问控制机制检查主体的前缀是否具有它所请求的访问权。 (3) 口令在基于口令机制的自主存取控制机制中每个客体都相应地有一个口令。主体在对客体进行访问前必须向系统提供该客体的口令。如果正确它就可以访问该客体。 基于 列 的自主访问控制 在每个客体上都附加一个可访问它的主体的明细表它有两 种形式即 保护位 和 访问控制表 ACL) (1) 保护位这种方法通过对所有主体、主体组以及客体的拥有者指明一个访问模式集合通常以比特位来表示访问权限。 UNIX/Linux 系统就利用这种访问控制方法。 (2) 访问控制表ACL 它是在每个客体上都附加一个主体明细表表示访问控制矩阵。表中的每一项都包括主体的身份和主体对该客体的访问权限。 4强制访问控制 ◆ 强制访问控制 ( MAC) 指系统根据主体和客体的安全属性以强制方式控制主体对客体的访问。 ◆ 在强制访问控制机制下安全操作系统中的每个进程、每个文件等客体都被赋予了相应的安全级别和范畴当一个进程访问一个文件时系统调用强制访问控制机制当且仅当进程的安 级别不小千客体的安 级别并且进程的范畴包含文件的范畴时进程才能访问客体否则就拒绝。 ◆ 与自主访问控制相比较强制访问控制更加严格。用户使用自主访问控制虽然能够防止其 他用户非法入侵自己的网络资源但对于用户的意外事件或误操作则无效。因此自主访问控制不能适应高安全等级需求。在政府部门、军事和金融等领域常利用强制访问控制机制将系统中的资源划分安全等级和不同类别然后进行安全管理。 5基于角色的访问控制 ◆ 基于角色的访问控制 (RBAC) 就是指 根据完成 某些职责 任务 所需要的 访问权限来进行授权和管理 。 RBAC 由用户 (U) 、角色 (R) 会话 (S) 和权限 (P) 四个基本要素组成. ◆ 在一个系统中可以有多个用户和多个角色用户与角色的关系是多对多的关系。权限就是主体对客体的操作能力这些操作能力有读、写、修改、执行等。通过授权角色可以拥有多个权限而一个权限也可以赋予多个角色。同时一个用户可以扮演多个角色一个角色也可以由多个用户承担。 ◆ 在一个采用 RBAC 作为授权存取控制的系统中由系统管理员负责管理系统的角色集合和访问权限集合并将这些权限赋予相应的角色 然后把角色映射到承担不同工作职责的用户身上。 RBAC 的功能相当强大、灵活适用于许多类型的用户需求 。 6基于属性的访问控制 ◆ 基于安全属性的访问控制简称ABAC其访问控制方法是根据主体的属性客体的属性环境的条件访问策略对主体的请求操作进行授权许可或拒绝. 访问控制策略设计与实现 1访问控制策 ◆ 访问控制策略由所要控制的对象、访问控制规则、用户权限或其他访问安全要求组成。在一个网络系统中访问控制策略有许多具体包括机房访问控制策略、拨号服务器访问控制策略、路由器访问控制策略、交换机访问控制策略、防火墙访问控制策略、主机访问控制策略、数据库访问控制策略、客户端访问控制策略、网络服务访问控制策略等。 2访问控制规则 ◆ 访问控制规则实际上就是访问约束条件集是访问控制策略的具体实现和表现形式。目前常见的访问控制规则有基于用户身份、基于时间、基于地址、基于服务数量等多种情况下面分别介绍主要的访问控制规则。 ▶ 基于用户身份的访问控制规则通常以账号名和口令表示用户当用户输入的账号名和口令”都正确后系统才允许用户访问。 ▶ 基于角色的访问控制规则基于角色的访问控制规则是根据用户完成某项任务所需要的权限进行控制的。 ▶ 基于地址的访问控制规则则利用访问者所在的物理位置或逻辑地址空间来限制访问操作。 ▶ 基于时间的访问控制规则例如下班时间不允许访问服务器。 ▶ 基于异常事件的访问控制规则例如当系统中的用户登录出现三次失败后系统会在一段时间内冻结账户。 ▶ 基于服务数量的访问控制规则例如为了防范拒绝服务攻击网站在服务能力接近某个阙值时暂时拒绝新的网络访问请求以保证系统正常运行。 访问控制过程与安全管理 1访问控制过程 ◆ 访问控制的目的是保护系统的资产防止非法用户进入系统及合法用户对系统资源的非使用。要实现访问控制管理一般需要五个步骤 第一步明确访问控制管理的资产例如网络系统的路由器、 Web 服务等 第二步分析管理资产的安全需求例如保密性要求、完整性要求、可用性要求等 第三步制定访问控制策略确定访问控制规则以及用户权限分配 第四步实现访问控制策略建立用户访问身份认证系统并根据用户类型授权用户访问资产 第五步运行和维护访问控制系统及时调整访问策略。 2最小特权管理 ◆ 特权是用户超越系统访问控制所拥有的权限. ◆ 最小特权指系统中每 个主体只能拥有完成任务所必要的权限集. ◆ 最小特权管理的目的是系统不应赋予特权拥有者完成任务的额外权限阻止特权乱用. ◆ 特权 的分配原则是 “ 按需使用 3用户访问管理 ◆ 用户管理是网络安全管理的重要内容之一其主要工作包括用户登记、用户权限分配、访问记录、权限监测、权限取消、撤销用户。 4口令安全管理 ◆ 口令是当前大多数网络实施访问控制进行身份鉴别的重要依据因此口令管理尤为重要一般遵守以下原则 ▶ 口令选择应至少在8个字符以上应选用大小写字母、数字、特殊字符组合 ▶ 禁止使用与账号相同的口令 ▶ 更换系统默认口令避免使用默认口令 ▶ 限制账号登录次数建议为3次 ▶ 禁止共享账号和口令 ▶ 口令文件应加密存放并只有超级用户才能读取 ▶ 禁止以明文形式在网络上传递口令 ▶ 口令应有时效机制保证经常更改并且禁止重用口令 ▶ 对所有的账号运行口令破解工具检查是否存在弱口令或没有口令的账号。 访问控制主要产品与技术指标 1访问控制主要产品 ◆ 访问控制的主要产品类型有 4A 系统、安全网关、系统安令增强等下面分别进行介绍 ◆ 4A 系统4A 是指认证、授权、账号、审计 中文名称为统一安全管理平台平台集中提供账号、认证、授权和审计等网络安全服务。平台常用基于角色的访问控制方法以便于账号授权管理。 ◆ 安全网关安全网关产品的技术特点是利用网络数据包信息和网络安全威胁特征库对网络通信连接服务进行访问控制。这类产品是一种特殊的网络安全产品如防火墙、统一威胁管理(UTM) 等。 ◆ 系统安全增强系统安全增强产品的技术特点是通常利用强制访问控制技术来增强操作系统、数据库系统的安全防止特权滥用。 访问控制主要技术指标 ◆ 产品支持访问控制策略规则类型 ◆ 产品支持访问控制规则最大数量 ◆ 产品访问控制规则检查速度 ◆ 产品自身安全和质量保障级别 访问控制技术应用 1访问控制技术应用场景类型 ◆ 物理访问控制主要针对物理环境或设备实体而设置的安全措施一般包括门禁系统、警卫、个人证件、 门锁、物理安全区域划分。 ◆ 网络访问控制主要针对网络资源而采取的访 问安全措施 一般包括网络接入控制、网络通信连接控制、 网络区域划分、网络路由控制、网络节点认证。 ◆ 操作系统访问控制针对计算机系统资源而采取的访问安全措施例如文件读写访问控制、进程访问控制、内存访问控制等。 ◆ 数据库数据访问控制针对数据库系统及数据而采取的访间安全措施例如数据库表创建、数据生成与分发。 ◆ 应用系统访问控制针对应用系统资源而采取的访问安全措施例如业务执行操作、业务系统文件读取等。 学习书籍信息安全工程师教程...
相关文章:
