- 1、本文档共80页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
访问控制原理PrinciplesofAccessControl-服务计算技术与系统教育
Lecture 1 访问控制 内容 网络与信息安全简介 访问控制概述 系统访问控制 网络访问控制 什么是信息安全 沈昌祥院士:“信息安全必威体育官网网址内容分为:实体安全、运行安全、数据安全和管理安全四个方面。” 我国计算机信息系统安全专用产品分类原则给出的定义是:“涉及实体安全、 运行安全和信息安全三个方面。” 我国相关立法给出的定义是:“保障计算机及其相关的和配套的设备、设施(网络)的安全,运行环境的安全,保障信息安全,保障计算机功能的正常发挥,以维护计算机信息系统的安全”。这里面涉及了物理安全、运行安全与信息安全三个层面。 国家信息安全重点实验室给出的定义是:“信息安全涉及到信息的机密性、完整性、可用性、可控性。综合起来说,就是要保障电子信息的有效性。” 英国BS7799信息安全管理标准给出的定义是:“信息安全是使信息避免一系列威胁,保障商务的连续性,最大限度地减少商务的损失,最大限度地获取投资和商务的回报,涉及的是机密性、完整性、可用性。” 信息安全两种主要观点 信息安全分层结构 面向应用信息安全框架 网络与信息安全涵盖范围 网络与信息安全涵盖范围 网络与信息安全涵盖范围 网络与信息安全涵盖范围 网络与信息安全涵盖范围 网络与信息安全涵盖范围 网络与信息安全涵盖范围 网络与信息安全涵盖范围 网络与信息安全涵盖范围 网络与信息安全框架 访问控制概述 访问控制的有关概念 访问控制的策略和机制 授权管理 访问控制的概念和目标 一般概念 —— 是针对越权使用资源的防御措施。 基本目标: 防止对任何资源(如计算资源、通信资源或信息资源)进行未授权的访问。从而使计算机系统在合法范围内使用;决定用户能做什么,也决定代表一定用户的程序能做什么。 未授权的访问包括:未经授权的使用、泄露、修改、销毁信息以及颁发指令等。 非法用户进入系统。 合法用户对系统资源的非法使用。 访问控制的作用 访问控制对机密性、完整性起直接的作用。 对于可用性,访问控制通过对以下信息的有效控制来实现: (1)谁可以颁发影响网络可用性的网络管理指令 (2)谁能够滥用资源以达到占用资源的目的 (3)谁能够获得可以用于拒绝服务攻击的信息 主体、客体和授权 客体(Object):规定需要保护的资源,又称作目标(target)。 主体(Subject):或称为发起者(Initiator),是一个主动的实体,规定可以访问该资源的实体,(通常指用户或代表用户执行的程序)。 授权(Authorization):规定可对该资源执行的动作(例如读、写、执行或拒绝访问)。 一个主体为了完成任务,可以创建另外的主体,这些子主体可以在网络上不同的计算机上运行,并由父主体控制它们。 主客体的关系是相对的。 访问控制模型基本组成 访问控制与其他安全机制的关系 认证、授权、审计(AAA) 访问控制策略与机制 访问控制策略:是对访问如何控制,如何作出访问决定的高层指南 访问控制机制:是访问控制策略的软硬件低层实现 访问控制机制与策略独立,可允许安全机制的重用 安全策略和机制根据应用环境灵活使用 如何决定访问权限 用户分类 资源 访问规则 用户的分类 (1)特殊的用户:系统管理员,具有最高级别的特权,可以访问任何资源,并具有任何类型的访问操作能力 (2)一般的用户:最大的一类用户,他们的访问操作受到一定限制,由系统管理员分配 (3)作审计的用户:负责整个安全系统范围内的安全控制与资源使用情况的审计 (4)作废的用户:被系统拒绝的用户。 资源 系统内需要保护的是系统资源: 磁盘与磁带卷标 远程终端 信息管理系统的事务处理及其应用 数据库中的数据 应用资源 访问规则 规定若干条件下,可准许访问的资源。 规则使用户与资源配对,指定该用户可在该资源上执行哪些操作,如只读、不许执行或不许访问。 由系统管理人员来应用这些规则,由硬件或软件的安全内核部分负责实施。 访问控制的一般实现机制和方法 一般实现机制—— 基于访问控制属性 ——〉访问控制表/矩阵 基于用户和资源分级(“安全标签”) ——〉多级访问控制 常见实现方法—— 访问控制表ACLs(Access Control Lists) 访问能力表(Capabilities) 授权关系表 访问控制矩阵 访问控制矩阵 按列看是访问控制表内容 按行看是访问能力表内容 访问控制表(ACL) 访问能力表(CL) ACL、CL访问方式比较 鉴别方面:二者需要鉴别的实体不同 保存位置不同 访问权限传递 ACL:困难,CL:容易 访问权限回收 ACL:容易,CL:困难 ACL、CL访问方式比较(续) 多数集中式操作系统使用ACL方法或类似方式 由于分布式系统中很难确定给定客体的潜在主体集,在现代
您可能关注的文档
最近下载
- 人工造林项目投标方案.doc
- 泸州市联合环保产业有限公司2024年第一次公开招聘笔试备考试题及答案解析.docx
- 2024年6月英语四级真题(全3套)及答案解析.pdf
- 大学生健康与安全教育学习通超星期末考试答案章节答案2024年.docx
- 乡村振兴的实践探索(北京大学)超星尔雅学习通网课章节测验答案.doc VIP
- 数学知识点初一上.docx VIP
- 2024年矿山生态修复项目融资计划书.docx
- 四年级上册 数学 期中考试专题 作图题(含答案) 人教版.doc VIP
- 天津市河东区2023-2024学年七年级上学期期末数学试题(含答案).docx VIP
- 2024北京市考行测真题及答案.pdf
文档评论(0)