- 1、本文档共38页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
9.第9章
1
第九章 存取控制
本投影片(下稱教用資源)僅授權給採用教用資源相關之旗標書籍為教科書之授課老師(下稱老師)專用,老師為教學使用之目的,得摘錄、編輯、重製教用資源(但使用量不得超過各該教用資源內容之80%)以製作為輔助教學之教學投影片,並於授課時搭配旗標書籍公開播放,但不得為網際網路公開傳輸之遠距教學、網路教學等之使用;除此之外,老師不得再授權予任何第三人使用,並不得將依此授權所製作之教學投影片之相關著作物移作他用。
2
第九章 存取控制
存取控制 ( Access Control ) 包含在資訊安全的許多層面,從實體層面、技術層面以及管理層面,都有存取控制的觀念。本章先介紹基礎認證技術與原理,作為存取控制之基礎,並介紹存取控制之各種型態與其實例說明,讓讀者深入了解存取控制之觀念。最後介紹系統之存取控制管理,以提高系統之安全性。本章包含主要內容如下:
簡介
認證技術
存取控制型式
存取控制技術
系統存取控制管理
存取控制方法與實作
3
9.1 簡介
存取控制 (Access Control),是企業內部控制作業流程中最重要的控制項目之一,其涵蓋範圍相當廣泛,包含企業內所有層級的人員以及各項資源,它包含有實體存取控制和邏輯存取控制。
存取控制之前需要先作認證,以辨識使用者的身分,確認身分之後再給予存取控制的權限,所以認證技術 (Authentication) 是存取控制之重要工作。
存取控制技術,可分為任意存取控制 (Discretionary Access Control; DAC) 與強制存取控制( Mandatory Access Control ; MAC )兩種技術。
存取控制管理是系統安全管理的重要工作,存取控制管理主要目的是為辨識出誰在使用系統資源;可以認證使用者的身份,並且能追蹤該使用者使用系統的軌跡。
4
9.2 認證技術
認證 ( Authentication ) 是為了核對使用者所宣稱的身分是否正確與合法。認證需要輔助資訊,以確信使用者所提供的資訊符合認證規範。認證所提供的資訊主要有三種型式,可作為認證之輔助資料:
型式一: 你所知道的事物 ( Something You Know ),這是一個文字字串,必須記住;認證時,提供原始字串並輸入認證系統。本認證方法較為簡單,但也可能不小心洩漏此字串。
型式二: 你所擁有的事物 ( Something You Have ),這是一個實體的設施,事先發送此設施給使用者。在認證時,使用者需要攜帶此設施接受認證。基本上,此認證設施不容易偽造,但有遺失的可能。
5
9.2 認證技術
例如,圖 9-1 動態密碼鎖、IC 卡、USB 符記、記憶卡等等的符記裝置 ( Token Device)。動態密碼鎖每隔一段時間,(如60 秒),會隨機產生一次動態密碼 (One Time Password),且每組密碼只能使用一次。USB 符記是內含一個可安全儲存資訊的小晶片,功能和晶片卡相同,不同的是晶片卡需要另外具備讀卡機。
圖9-1 各式符記裝置
6
9.2 認證技術
型式三:你具有的特徵 ( Something You Are ),個人生理的或物理的特徵。例如,圖 9-2 所示, 指紋、聲音、虹膜式樣 、視網膜式樣、臉形、手形等。
圖 9-2 各種生理特質
7
9.2 認證技術
除了以上三項認證資訊之外,還有許多其它的認證資訊,例如:利用某些行為結果做為認證資訊,如現場用筆簽名,從筆跡以確認身分。此外,使用設備的位址也可做為認證資訊,在網路上,可以使用電腦的 IP 位址或網路卡的 MAC 位址來認證你的身分。IP 位址或 MAC 位址被廣泛使用於網路上的認證,例如:伺服器僅允許某些特定的 IP 位址連線,也算是一種認證。
每一種認證資訊有其特性與安全性,一般而言,型式三具有生物特徵的認證技術,比較難以偽造。型式一具有方便性,但可能因密碼太複雜而忘記或太簡單而容易遭到破解。防止單一認證技術被攻擊的危險,可以採用不同型式組合的認證,以提高安全性,例如,使用IC卡配合密碼登入系統,結合有 IC 卡是型式二與密碼是型式一的認證資訊,可提高認證安全。
8
9.2 認證技術
密碼是最常被使用的認證技術,但也是較脆弱的認證方式,如果選用的密碼不當,會使系統安全性變得脆弱。若選用有意義的字串當做密碼,很容易被猜中而破解。若選用隨機字串做為密碼,則不容易記憶,因怕忘記,所以會寫下來,反而有被窺視之虞慮。密碼太短也是不好的密碼選用方式,為安全起見,若希望被猜中機率小於百萬分之一,則密碼至少需要6位數以上。
另一種密碼型式為認知密碼 ( Cognitive Password ),認知密碼是被要求提供一連串問題的答案,系統預先設定只有你知道的訊息做為答案,例如:
你的生日?
你父親名字?
您可能关注的文档
- 2016年度教育部重点实验室评估结果.doc
- 2016年江苏省新能源汽车推广应用省级财政补贴实施细则.doc
- 20150511-餐饮油烟排放标准解读-金山区环保局.ppt
- 2016年地税个税操作.ppt-洪山地税局纳税人学堂.ppt
- 2015年经济发展远景(2007~2009年).doc
- 2016年度一级建造师考试考点地图及乘车线路.doc
- 2016年西安市软件和服务外包产业发展专项资金项目-西安软件园.ppt
- 2016年国家公派留学项目动员会(宣讲).ppt-西南大学数学与统计学院.ppt
- 2017北京师范大学应用统计硕士考试大纲.doc-北京师范大学统计学院.doc
- 2017年专升本《药学综合》入学测试复习题-西安交通大学网络学院.doc
最近下载
- 结构专业05-重庆市建筑工程钢结构设计导则-工业建筑部分、重庆市工业建筑钢结构工程初步设计和施工图设计文件编制技术规定和审查要点-结构专业解析.ppt VIP
- 苏教版小学数学五年级上册第五单元《小数乘法和除法》单元测试卷(含答案).docx VIP
- 道路改造工程支出绩效评价报告.docx VIP
- 2023中职27 婴幼儿保育 赛题 模块三 婴幼儿早期学习支持(赛项赛题).docx
- 数据、模型与决策(原书第14版)戴维R安德森课后习题答案(部分).pdf
- 创伤学临床诊疗指南.pdf
- 苏教版五年级上册数学 第五单元 小数乘法和除法 单元测试卷.docx
- 项目部突发事件应急预案新版.doc VIP
- 艾默生Mentor MP Mentor MP 高性能直流驱动说明书.pdf
- 变频器使用手册完整版.pdf
文档评论(0)