CISP问控制与审计监控.pptx

访问控制与审计监控贵州亨达集团信息安全技术有限公司标识和鉴别技术访问控制模型基本概念典型访问控制方法和实现强制访问控制模型自主访问控制模型安全监控信息安全审计课程内容访问控制模型访问控制与审计监控访问控制技术审计和监控技术知识域知识体知识子域知识域：访问控制模型知识子域：访问控制基本概念理解标识、鉴别和授权等访问控制的基本概念理解各种安全模型的分类和关系访问控制的概念和目标访问控制：针对越权使用资源的防御措施目标：防止对任何资源（如计算资源、通信资源或信息资源）进行未授权的访问，从而使资源在授权范围内使用，决定用户能做什么，也决定代表一定用户利益的程序能做什么。资源不是无限开放的，在一定约束条件下使用网络及信息具有价值，难免会受到各种意外的或者蓄意的未授权的使用和破坏必须授权才可以访问Window7中的自主访问控制访问控制的作用未授权访问：包括未经授权的使用、泄露、修改、销毁信息以及颁发指令等。非法用户对系统资源的使用合法用户对系统资源的非法使用作用：机密性、完整性和可用性术语：主体与客体主体发起者，是一个主动的实体，可以操作被动实体的相关信息或数据用户、程序、进程等客体一种被动实体，被操作的对象，规定需要保护的资源文件、存储介质、程序、进程等主体与客体之间的关系主体：接收客体相关信息和数据，也可能改变客体相关信息一个主体为了完成任务，可以创建另外的主体，这些子主体可以在网络上不同的计算机上运行，并由父主体控制它们客体：始终是提供、驻留信息或数据的实体主体和客体的关系是相对的，角色可以互换 授权 规定主体可以对客体执行的操作：读写执行拒绝访问…标识标识是实体身份的一种计算机表达，每个实体与计算机内部的一个身份表达绑定标识的主要作用：访问控制和审计访问控制：标识用于控制是否允许特定的操作审计：标识用于跟踪所有操作的参与者，参与者的任何操作都能被明确地标识出来主体标识的实例主体的标识在UNIX中，主体（用户）的身份标识为0-65535之间的一个整数，称为用户身份号（UID）用户登录时的UID可以改变，有效UID是用于访问控制的用户身份UID=22 permit readIf登录uid=22 and 有效uid=35，then read?If登录uid=35 and 有效uid=22，then read？常见的主体标识还包括用户名、卡、令牌等，也可以是指纹、虹膜等生物特征客体标识的实例客体的标识文件名UNIX中提供不同的文件标识：绝对路径文件名相对路径文件名鉴别确认实体是它所声明的，提供了关于某个实体身份的保证，某一实体确信与之打交道的实体正是所需要的实体口令、挑战-应答、生物特征鉴别所有其它的安全服务都依赖于该服务需求：某一成员（声称者）提交一个主体的身份并声称它是那个主体目的：使别的成员（验证者）获得对声称者所声称的事实的信任访问控制的两个重要过程第一步：鉴别检验主体的合法身份第二步：授权限制用户对资源的访问权限访问控制模型什么是访问控制模型对一系列访问控制规则集合的描述，可以是非形式化的，也可以是形式化的。组成提交访问 请求提出访问 请求访问控制实施主 体客 体请求决策决 策访问控制决策访问控制模型的分类访问控制列表（ACL）自主访问控制模型（DAC）访问矩阵模型权能列表（Capacity List）必威体育官网网址性 模型Bell-Lapudula 模型访问控制模型Biba 模型强制访问控制模型（MAC）完整性 模型Clark-Wilson 模型混合策略模型Chinese Wall 模型基于角色访问控制模型（RBAC）知识域：访问控制模型知识子域：自主访问控制模型理解自主访问控制的含义了解访问矩阵模型，理解和分析应用访问矩阵模型的实现（访问控制列表、权能列表）自主访问控制的含义允许客体的属主（创建者）决定主体对该客体的访问权限灵活地调整安全策略具有较好的易用性和可扩展性常用于商业系统安全性不高访问许可访问许可：描述主体对客体所具有的控制权定义了改变访问模式的能力或向其它主体传送这种能力的能力访问许可的类型有主型（Owner） 每个客体设置一个拥有者（一般是客体的生成者），拥有者是唯一有权修改客体访问控制表的主体，拥有者对其客体具有全部控制权等级型（Hierarchical）自由型（Laissez-faire）自主访问控制的实现机制和方法实现机制 访问控制表/矩阵 实现方法 访问控制表（Access Control Lists） 访问能力表（Capacity List） 访问控制矩阵行：主体（用户）列：客体（文件）矩阵元素：规定了相应用户对应于相应的文件被准予的访问许可、实施行为客体x客体y客体z主体aR、W、OwnR、W主体bRR、W、Own主体cR主体dR、WR、W访问控制表访问控制矩阵按列：访问控制表访问控制