信息安全技术教程清华大学出版社—第六章.pptVIP

* 第6章 访问控制与权限设置 6.1 访问控制基本概念 6.2 访问控制规则的制定原则 6.3 访问控制分类 6.4访问控制实现技术 6.5 访问控制管理 6.6 访问控制模型 6.7 文件和数据所有权 6.8 相关的攻击方法 6.9 习题 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. * 6.1 访问控制基本概念 什么是访问控制？ 访问控制是一系列用于保护系统资源的方法和组件，依据一定的规则来决定不同用户对不同资源的操作权限，可以限制对关键资源的访问，避免非法用户的入侵及合法用户误操作对系统资源的破坏。 四个组成部分 主体，客体，访问操作和访问监视器 访问控制的一般过程 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. * 6.2 访问控制规则的制定原则 最小特权原则 主体仅仅只被允许对完成任务所必需的那些客体资源进行必要的操作 职责分离原则 不能让一个管理员拥有对所有主客体的管理权限 多级安全原则 系统应该对访问主体及客体资源进行分级分类管理，以此保证系统的安全性 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. 6.3 访问控制分类 6.3.1 自主访问控制 6.3.2 强制访问控制 6.3.3 基于角色的访问控制 * Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. 6.3.1 自主访问控制 定义 自主决定哪些主体对自己所拥有的客体具有访问权限，以及具有何种访问权限。 特点 更加灵活，实施更加方便，适合于对安全性不高的环境 信息泄露，用户管理困难，资源管理分散 * Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. 6.3.2 强制访问控制 定义 每一个主体和客体都有自己的安全标记，基于主客体的安全标记实施相应的访问控制。 特点 基于规则进行的 安全性更高，灵活性较差 * Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. 6.3.3 基于角色的访问控制 定义 在主体和访问权限之间引入了角色的概念，用户与特定的一个或多个角色向联系，角色与一个或多个访问权限相联系。 特点 通过用户在组织中担当的角色来授予用户相应的访问权限。 变形：基于栅格的访问控制 * Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. * 6.4访问控制实现技术 访问控制实现技术是为了检测和防止系统中的未授权访问，对资源予以保护所采取的软硬件措施和一系列的管理措施等手段。 访问控制矩阵 主体1 主体2 主体3 客体1 拥有 读 写 读 读 写 客体2 拥有 读 读 客体3 拥有 写 拥有 读 写 客体4 写 拥有 拥有 读 写 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. * 访问控制表 能力关系表 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. * 6.5 访问控制管理 集中式访问控制 通过