欢迎来到天天文库
浏览记录
ID:45077352
大小:438.50 KB
页数:39页
时间:2019-11-09
《信息安全与保密(7)》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、第四章、访问控制•主要内容–访问控制的有关概念–访问控制的策略和机制–授权的管理、网络访问控制组件的分布访问控制•安全服务(SecurityServices)–计算机系统中,主要的安全保护措施被称作安全服务。•根据ISO7498-2,安全服务包括:–数据机密性(DataConfidentiality)–数据完整性(DataIntegrity)–抗抵赖(Non-repudiation)–鉴别(Authentication)–访问控制(AccessControl)基本概念•一般定义–是针对越权使用资
2、源的防御措施•基本目标–防止对任何资源(如计算资源、通信资源或信息资源)进行未授权的访问,从而使计算机系统在合法范围内使用–决定用户能做什么,或代表用户操作的程序能做什么–未授权的访问包括:•非法用户进入系统•合法用户对系统资源的非法使用,如未经授权的使用、泄露、修改、销毁信息以及执行指令等基本概念•主要作用–访问控制直接影响信息的机密性和完整性–对于可用性,访问控制通过对以下信息的有效控制来实现•谁可以颁发影响网络可用性的网络管理指令•谁能够滥用资源以达到占用资源的目的•谁能够获得可以用于拒绝
3、服务攻击的信息基本概念•有关术语–主体(Subject)•或称为发起者(Initiator),是一个主动的实体,根据规定可以访问某些资源(通常指用户或代表用户执行的程序)–客体(Object)•规定需要保护的资源,又称作目标(Target)。–授权(Authorization)•规定可对某资源执行的动作(如读、写、执行或拒绝访问)–主客体的关系是相对的。访问控制系统的组成实现访问控制策略的模型提交访问请求提出访问请求发起者Submit访问控制实施功能Present目标InitiatorAcces
4、sRequestAEFAccessRequestTarget请求决策决策DecisionRequestDecision访问控制决策功能ADF访问控制系统的结构访问控制系统在整个安全系统中的作用访问控制相关概念•有关术语–安全策略•是为了描述系统的安全需求而制定的对用户行为进行约束的一整套严谨的规则。•安全策略主要说明如何控制对信息的访问,说明什么样的信息流是不允许的。–安全模型•是对安全策略所表达的安全需求简单、抽象、无二义的描述,用来为安全系统的设计开发提供指导方针访问控制相关概念•有关术语–
5、访问控制策略(AccessControlPolicy):•访问控制策略在系统安全策略级上表示授权。是对访问如何控制,如何作出访问决定的高层指南–访问控制机制(AccessControlMechanisms):•是访问控制策略的软硬件低层实现。如何决定访问权限•应该从主体和客体的标识方式以及主体对客体的访问方式等多个方面制定访问规则–用户分类–资源–资源及使用–访问规则主体的标识•用户的分类–一般的用户•最大的一类用户,他们的访问操作受到一定限制,由系统管理员分配–特殊的用户•系统管理员,具有最高
6、级别的特权,可以访问任何资源,并具有任何类型的访问操作能力(如UNIX系统中的root用户)•还可以细分不同职责的管理员–作审计的用户•负责整个安全系统范围内的安全控制与资源使用情况的审计–作废的用户•被系统拒绝的用户客体的标识•资源的分类–磁盘与磁带文件–数据库中的数据–系统工具和应用程序–远程终端,外部设备–信息管理系统的事务处理及其应用控制资源的使用•对需要保护的资源定义一个访问控制包(AccessControlPacket),内容包括–资源名及拥有者的标识符–缺省访问权–用户、用户组的特
7、权明细表–允许资源的拥有者对其添加新的可用数据的操作–审计数据访问规则•规定了若干条件,在这些条件下,可准许访问一个资源。•规则使用户与资源配对,指定该用户可在该文件上执行哪些操作,如只读、不许执行或不许访问。•由系统管理人员或资源所有者来定义这些规则,由硬件或软件的安全内核部分负责实施。常用的访问控制策略•即实施授权的指导方案–自主访问控制(DiscretionaryPolicies)–强制访问控制(MandatoryPolicies)–基于角色的访问控制(Role-basedPolicies
8、)–可根据实际情况结合使用访问控制自主强制访问控制访问控制基于角色访问控制自主访问控制•基于身份的访问控制IBAC(IdentityBasedAccessControl),•由客体的所有者自主定义访问规则,确定可以访问的主体•灵活宽松,被广泛使用自主访问控制•记录访问规则的方式–访问控制矩阵–访问控制表(AccessControlList)–访问能力表(AccessCapabilitiesList)自主访问控制•访问控制矩阵–以矩阵形式记录规则:行对应于主体,列对应于目标,每个矩阵元素规定了主体
此文档下载收益归作者所有