关注这个证书的其他相关笔记:NISP 一级 —— 考证笔记合集-CSDN博客
0x01:访问控制基本概念
访问控制是针对越权使用资源的防御措施。 其目标是防止对任何资源(如计算资源、通信资源或信息资源)进行未授权的访问,从而使资源在授权范围内使用。访问控制决定了用户能做什么,同时也决定了代表一定用户利用的程序能做什么。
-
未授权访问:包括未经授权的使用、泄露、修改、销毁信息以及颁发指令等。
-
非法用户对系统资源的使用。
-
合法用户对系统资源的非法使用。
-
0x0101:访问控制三要素
访问控制主要包括主体、客体和控制策略三个要素:
-
主体:提出访问资源具体请求的实体。
-
发起者,是一个主动的实体,可以操作被动实体的相关信息或数据。
-
可以是用户、程序、进程等。
-
-
客体:被访问资源的实体。
-
一种被动实体,被操作的对象,规定了需要保护的资源。
-
可以是文件、存储介质、程序、进程等。
-
-
控制策略:主体对客体的相关访问规则的集合,即属性集合。
-
访问策略体现了一种授权行为,也是客体对主体某些操作行为的默认。
-
授权即规定主体可以对客体执行的操作:读、写、执行、拒绝访问。。。
-
-
访问控制是主体依据某些控制策略或访问权限,对客体本身或其资源赋予不同的访问权限的能力,从而保障数据资源在合法范围内得以有效使用和管理。
-
访问控制安全策略实施遵循最小特权原则。在主体执行操作时,按照主体所需权力的最小化原则分配给主体权力。最大限度地限制主体实施授权行为,避免突发事件、操作错误和未授权主体等意外情况可能给系统造成的威胁。
-
0x0102:主体与客体的关系
主体:接收客体相关信息和数据,也可能改变客体相关信息。
一个主体为了完成任务,可以创建另外的主体,这些子主体可以在网络上不同的计算机上运行,并由父主体控制它们。
客体:始终是提供、驻留信息或数据的实体。
主体与客体的关系是相对的,角色可以互换。
0x02:访问控制技术简介
0x0201:自主访问控制(DAC)
自主访问控制(Discretionary Access Control,DAC)是一种广泛应用的访问控制方法。采用这种方法,资源的所有者(往往也是创建者)可以规定谁有权访问他们的资源,用户(或用户进程)可以选择与其他用户共享资源。
自主访问控制的优缺点如下:
-
优点:
-
根据主体的身份和访问权限进行决策。
-
具有某种访问能力的主体能够自主地将访问权的某个子集授予其它主体。
-
灵活性高,被大量采用。
-
-
缺点:
-
信息在传递过程中其访问权限关系会被改变。
-
0x0202:强制访问控制(MAC)
强制访问控制(Mandatory Access Control,MAC)是指主体和客体都有一个固定的安全属性,系统用该安全属性来决定一个主体是否可以访问某个客体。如果系统认为具有某一个安全属性的主体不适合访问某个客体,那么任何其他主体都无法使该主体具有访问该客体的权利。
强制访问控制具有以下几个特点:
-
主体和客体分配有一个安全属性。
-
应用于军事等安全要求较高的系统。
-
可与自主访问控制结合使用。
自主访问控制与强制访问控制的比较:
-
自主访问控制
-
细粒度
-
灵活性高
-
配置效率低
-
-
强制访问控制
-
控制粒度大
-
灵活性不高
-
安全性强
-
0x0203:基于角色的访问控制(RBAC)
RBAC 的基本思想是根据用户所担任的角色来决定用户在系统中的访问权限。 RBAC 要求一个用户必须扮演某种角色,而且还必须激活这一角色,才能对一个对象进行访问或执行某种操作。
RBAC 模型的特点如下:
-
便于授权管理(角色的变动远远低于个体的变动)
-
便于处理工作分级,如文件等资源分级管理
-
利用安全约束,容易实现各种安全策略,如最小特权、职责分离等。
-
便于任务分担,不同角色完成不同的任务。
0x03:思考题
0x0301:什么是访问控制?
在信息系统中,访问控制在系统资源提供最大限度共享的基础上,对用户的访问权限进行管理,防止对信息的非授权篡改和滥用。
0x0302:访问控制的目的是什么?
访问控制是一种加强的授权方法,它为经过身份验证后的合法用户提供所需要的经过授权后的服务,拒绝非法用户越权的访问请求,同时拒绝非法用户非法授权的请求,保证用户在系统安全的情况下正常工作。
