1. 1、本文档共38页,可阅读全部内容。
  2. 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
9.第9章

1 第九章 存取控制 本投影片(下稱教用資源)僅授權給採用教用資源相關之旗標書籍為教科書之授課老師(下稱老師)專用,老師為教學使用之目的,得摘錄、編輯、重製教用資源(但使用量不得超過各該教用資源內容之80%)以製作為輔助教學之教學投影片,並於授課時搭配旗標書籍公開播放,但不得為網際網路公開傳輸之遠距教學、網路教學等之使用;除此之外,老師不得再授權予任何第三人使用,並不得將依此授權所製作之教學投影片之相關著作物移作他用。 2 第九章 存取控制 存取控制 ( Access Control ) 包含在資訊安全的許多層面,從實體層面、技術層面以及管理層面,都有存取控制的觀念。本章先介紹基礎認證技術與原理,作為存取控制之基礎,並介紹存取控制之各種型態與其實例說明,讓讀者深入了解存取控制之觀念。最後介紹系統之存取控制管理,以提高系統之安全性。本章包含主要內容如下: 簡介 認證技術 存取控制型式 存取控制技術 系統存取控制管理 存取控制方法與實作 3 9.1 簡介 存取控制 (Access Control),是企業內部控制作業流程中最重要的控制項目之一,其涵蓋範圍相當廣泛,包含企業內所有層級的人員以及各項資源,它包含有實體存取控制和邏輯存取控制。 存取控制之前需要先作認證,以辨識使用者的身分,確認身分之後再給予存取控制的權限,所以認證技術 (Authentication) 是存取控制之重要工作。 存取控制技術,可分為任意存取控制 (Discretionary Access Control; DAC) 與強制存取控制( Mandatory Access Control ; MAC )兩種技術。 存取控制管理是系統安全管理的重要工作,存取控制管理主要目的是為辨識出誰在使用系統資源;可以認證使用者的身份,並且能追蹤該使用者使用系統的軌跡。 4 9.2 認證技術 認證 ( Authentication ) 是為了核對使用者所宣稱的身分是否正確與合法。認證需要輔助資訊,以確信使用者所提供的資訊符合認證規範。認證所提供的資訊主要有三種型式,可作為認證之輔助資料: 型式一: 你所知道的事物 ( Something You Know ),這是一個文字字串,必須記住;認證時,提供原始字串並輸入認證系統。本認證方法較為簡單,但也可能不小心洩漏此字串。 型式二: 你所擁有的事物 ( Something You Have ),這是一個實體的設施,事先發送此設施給使用者。在認證時,使用者需要攜帶此設施接受認證。基本上,此認證設施不容易偽造,但有遺失的可能。 5 9.2 認證技術 例如,圖 9-1 動態密碼鎖、IC 卡、USB 符記、記憶卡等等的符記裝置 ( Token Device)。動態密碼鎖每隔一段時間,(如60 秒),會隨機產生一次動態密碼 (One Time Password),且每組密碼只能使用一次。USB 符記是內含一個可安全儲存資訊的小晶片,功能和晶片卡相同,不同的是晶片卡需要另外具備讀卡機。 圖9-1 各式符記裝置 6 9.2 認證技術 型式三:你具有的特徵 ( Something You Are ),個人生理的或物理的特徵。例如,圖 9-2 所示, 指紋、聲音、虹膜式樣 、視網膜式樣、臉形、手形等。 圖 9-2 各種生理特質 7 9.2 認證技術 除了以上三項認證資訊之外,還有許多其它的認證資訊,例如:利用某些行為結果做為認證資訊,如現場用筆簽名,從筆跡以確認身分。此外,使用設備的位址也可做為認證資訊,在網路上,可以使用電腦的 IP 位址或網路卡的 MAC 位址來認證你的身分。IP 位址或 MAC 位址被廣泛使用於網路上的認證,例如:伺服器僅允許某些特定的 IP 位址連線,也算是一種認證。 每一種認證資訊有其特性與安全性,一般而言,型式三具有生物特徵的認證技術,比較難以偽造。型式一具有方便性,但可能因密碼太複雜而忘記或太簡單而容易遭到破解。防止單一認證技術被攻擊的危險,可以採用不同型式組合的認證,以提高安全性,例如,使用IC卡配合密碼登入系統,結合有 IC 卡是型式二與密碼是型式一的認證資訊,可提高認證安全。 8 9.2 認證技術 密碼是最常被使用的認證技術,但也是較脆弱的認證方式,如果選用的密碼不當,會使系統安全性變得脆弱。若選用有意義的字串當做密碼,很容易被猜中而破解。若選用隨機字串做為密碼,則不容易記憶,因怕忘記,所以會寫下來,反而有被窺視之虞慮。密碼太短也是不好的密碼選用方式,為安全起見,若希望被猜中機率小於百萬分之一,則密碼至少需要6位數以上。 另一種密碼型式為認知密碼 ( Cognitive Password ),認知密碼是被要求提供一連串問題的答案,系統預先設定只有你知道的訊息做為答案,例如: 你的生日? 你父親名字?

您可能关注的文档

文档评论(0)

dlmus + 关注
实名认证
内容提供者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档