信息安全:访问控制技术原理与应用.

news2024/12/25 12:25:39

信息安全:访问控制技术原理与应用.

访问控制是网络信息系统的基本安全机制。访问控制是指对资源对象的访问者授权、控制的方法及运行机制。访问者又称为主体,可以是用户、进程、应用程序等;而资源对象又称为客体,即被访问的对象,可以是文件、应用服务、数据等;授权是访问者可以对资源对象进行访问的方式,如文件的读、写、删除、追加或电子邮件服务的接收、发送等;控制就是对访问者使用方式的监测和限制以及对是否许可用户访问资源对象做出决策,如拒绝访问、授权许可、禁止操作等。


目录:

访问控制概括:

(1)访问控制目标:

访问控制模型:

(1)访问控制参考模型组成要素:

(2)访问控制橾型发展:

(3)访问控制类型:

(4)强制访问控制:

(5)基于角色的访问控制:

(6)基于属性的访问控制:

访问控制策略设计与实现:

(1)访问控制策:

(2)访问控制规则:

访问控制过程与安全管理:

(1)访问控制过程:

(2)最小特权管理:

(3)用户访问管理:

(4)口令安全管理:

访问控制主要产品与技术指标:

(1)访问控制主要产品:

访问控制主要技术指标:

访问控制技术应用:

(1)访问控制技术应用场景类型:


访问控制概括:

(1)访问控制目标:

◆ 访问控制的目标有两个:一是 防止非法用户进入系统 ,二是 防止合法用户对系统资源的方法使用 ,即 禁止合法用户的越权访问 

◆  实现 访问控制的 目标 :首先要对网络用户进行有效的 身份认证 ,然后根据不同的用户 授予不同的访问权限 ,进而保护系统资源。同时还可以进行系统的安全 审计和监控 ,检测用户对系统的攻击企图。


访问控制模型:

(1)访问控制参考模型组成要素:

◆  访问控制机制由一组安全机制构成,可以抽象为一个简单的模型,组成要素主要有:主体 、参考监视器、客体、访问控制数据库、审计库.
▶ 主体:主体是客体的操作实施者。实体通常是人、进程或设备等,一般是代表用户执行操作的进程。比如编辑一个文件,编辑进程是存取文件的主体,而文件则是客体。
  
▶ 客体:客体是被主体操作的对象。通常来说,对一个客体的访问隐含着对其信息的访问。
  
▶ 参考监视器:参考监视器是访问控制的决策单元和执行单元的集合体。控制从主体到客体的每一次操作,监督主体和客体之间的授权访问行为,并将重要的安全事件存入审计文件之中。
  
▶ 访问控制数据库:记录主体访问客体的权限及其访问方式的信息,提供访问控制决策判断的依据,也称为访问控制策略库。该数据库随着主体和客体的产生、删除及其权限的修改而动态变化。
   
▶ 审计库:存储主体访问客体的操作信息,包括访问成功、访问失败以及访问操作信息。

(2)访问控制橾型发展:

◆ 自主访问控制模型、◆ 强制访问控制模型、◆ 基千角色的访问控制模型:
自主访问控制模型、强制访问控制模型、基于角色的访问控制模型常用于:操作系统、数据库系统的资源访问
     
◆ 基于使用的访问控制模型:
基于使用的访问控制模型则用于隐私保护、敏感信息安全限制、知识产权保护
     
◆ 基于地理位置的访问控制模型:
基于地理位置的访问控制模型可用于移动互联网应用授权控制,如打车服务中的地理位置授权使用
    
◆ 基于属性的访问控制模型:
基于属性的访问控制是一个新兴的访问控制方法,其主要提供分布式网络环境和 Web 服务的模型访问控制
   
◆ 基于行为的访问控制模型:
基于行为的访问控制模型根据主体的活动行为,提供安全风险的控制,如上网行为的安全管理和电子支付操作控制;
    
◆ 基于时态的访问控制模型:
基于时态的访问控制模型则利用时态作为访问约束条件,增强访问控制细粒度,如手机网络流量包的限时使用。

(3)访问控制类型:

◆ 自主访问控制:是指客体的所有者按照自己的安全策略授予系统中的其他用户对其的访问权。

基于 行 的自主访问控制:基于行的自主访问控制方法是在每个主体上都附加一个该主体可访问的客体的明细表,根据表 中信息的不同又可分成三种形式,即能力表、前缀表 和 口令。

(1) 能力表:能力是访问客体的钥匙,它决定用户能否对客体进行访问以及具有何种访问模式(读、写、执行)。拥有一定能力的主体可以按照给定的模式访问客体
   
(2) 前缀表:前缀表包括受保护客体名和主体对它的访问权限。当主体要访问某客体时,自主访问控制机制检查主体的前缀是否具有它所请求的访问权。
    
(3) 口令:在基于口令机制的自主存取控制机制中,每个客体都相应地有一个口令。主体在对客体进行访问前,必须向系统提供该客体的口令。如果正确,它就可以访问该客体。
   
基于的自主访问控制: 在每个客体上都附加一个可访问它的主体的明细表,它有两 种形式,即 保护位 和 访问控制表 (ACL)
   
(1) 保护位:这种方法通过对所有主体、主体组以及客体的拥有者指明一个访问模式集合,通常以比特位来表示访问权限。 UNIX/Linux 系统就利用这种访问控制方法。
    
(2) 访问控制表(ACL): 它是在每个客体上都附加一个主体明细表,表示访问控制矩阵表中的每一项都包括主体的身份和主体对该客体的访问权限。

(4)强制访问控制:

◆ 强制访问控制 ( MAC) :指系统根据主体和客体的安全属性,以强制方式控制主体对客体的访问。

◆ 在强制访问控制机制下,安全操作系统中的每个进程、每个文件等客体都被赋予了相应的安全级别和范畴,当一个进程访问一个文件时,系统调用强制访问控制机制,当且仅当进程的安 级别不小千客体的安 级别,并且进程的范畴包含文件的范畴时,进程才能访问客体,否则就拒绝。

◆ 与自主访问控制相比较,强制访问控制更加严格。用户使用自主访问控制虽然能够防止其 他用户非法入侵自己的网络资源,但对于用户的意外事件或误操作则无效。因此,自主访问控制不能适应高安全等级需求。在政府部门、军事和金融等领域,常利用强制访问控制机制,将系统中的资源划分安全等级和不同类别,然后进行安全管理。


(5)基于角色的访问控制:

◆  基于角色的访问控制 (RBAC) 就是指 根据完成 某些职责 任务 所需要的 访问权限来进行授权和管理 。 RBAC 由用户 (U) 、角色 (R) ,会话 (S) 和权限 (P) 四个基本要素组成.

◆  在一个系统中,可以有多个用户和多个角色,用户与角色的关系是多对多的关系。权限就是主体对客体的操作能力,这些操作能力有读、写、修改、执行等。通过授权,角色可以拥有多个权限,而一个权限也可以赋予多个角色。同时,一个用户可以扮演多个角色,一个角色也可以由多个用户承担。
  
◆  在一个采用 RBAC 作为授权存取控制的系统中,由系统管理员负责管理系统的角色集合和访问权限集合,并将这些权限赋予相应的角色,
然后把角色映射到承担不同工作职责的用户身上。 RBAC 的功能相当强大、灵活,适用于许多类型的用户需求

(6)基于属性的访问控制:

◆ 基于安全属性的访问控制,简称ABAC,其访问控制方法是根据主体的属性,客体的属性,环境的条件,访问策略对主体的请求操作进行授权许可或拒绝.


访问控制策略设计与实现:

(1)访问控制策:

◆ 访问控制策略由所要控制的对象、访问控制规则、用户权限或其他访问安全要求组成。在一个网络系统中,访问控制策略有许多,具体包括机房访问控制策略、拨号服务器访问控制策略、路由器访问控制策略、交换机访问控制策略、防火墙访问控制策略、主机访问控制策略、数据库访问控制策略、客户端访问控制策略、网络服务访问控制策略等。

(2)访问控制规则:

◆ 访问控制规则实际上就是访问约束条件集,是访问控制策略的具体实现和表现形式。目前,常见的访问控制规则有基于用户身份、基于时间、基于地址、基于服务数量等多种情况,下面分别介绍主要的访问控制规则。
  
▶ 基于用户身份的访问控制规则:通常以账号名和口令表示用户,当用户输入的"账号名和口令”都正确后,系统才允许用户访问。
   
▶ 基于角色的访问控制规则:基于角色的访问控制规则是根据用户完成某项任务所需要的权限进行控制的。
  
▶ 基于地址的访问控制规则:则利用访问者所在的物理位置逻辑地址空间来限制访问操作。
  
▶ 基于时间的访问控制规则:例如,下班时间不允许访问服务器
  
▶ 基于异常事件的访问控制规则:例如,当系统中的用户登录出现三次失败后,系统会在一段时间内冻结账户
  
▶ 基于服务数量的访问控制规则:例如,为了防范拒绝服务攻击,网站在服务能力接近某个阙值时,暂时拒绝新的网络访问请求,以保证系统正常运行。

访问控制过程与安全管理:

(1)访问控制过程:

◆ 访问控制的目的是保护系统的资产防止非法用户进入系统合法用户对系统资源的非使用。要实现访问控制管理,一般需要五个步骤:
   
第一步,明确访问控制管理的资产,例如网络系统的路由器、 Web 服务等;
   
第二步,分析管理资产的安全需求,例如保密性要求、完整性要求、可用性要求等;
   
第三步,制定访问控制策略,确定访问控制规则以及用户权限分配;
   
第四步,实现访问控制策略,建立用户访问身份认证系统,并根据用户类型授权用户访问资产;
   
第五步,运行维护访问控制系统,及时调整访问策略。

(2)最小特权管理:

◆ 特权:是用户超越系统访问控制所拥有的权限.

◆ 最小特权:指系统中每 个主体只能拥有完成任务所必要的权限集.

◆ 最小特权管理的目的:是系统不应赋予特权拥有者完成任务的额外权限,阻止特权乱用.

◆ 特权 的分配原则:是 “ 按需使用 "


(3)用户访问管理:

◆ 用户管理是网络安全管理的重要内容之一,其主要工作包括:用户登记、用户权限分配、访问记录、权限监测、权限取消、撤销用户


(4)口令安全管理:

◆  口令是当前大多数网络实施访问控制进行身份鉴别的重要依据,因此,口令管理尤为重要,一般遵守以下原则:
   
▶ 口令选择应至少在8个字符以上,应选用大小写字母、数字、特殊字符组合
   
▶ 禁止使用与账号相同的口令
   
▶ 更换系统默认口令,避免使用默认口令
   
▶ 限制账号登录次数,建议为3次
   
▶ 禁止共享账号和口令
   
▶ 口令文件应加密存放,并只有超级用户才能读取
   
▶ 禁止以明文形式在网络上传递口令
   
▶ 口令应有时效机制,保证经常更改,并且禁止重用口令
   
▶ 对所有的账号运行口令破解工具,检查是否存在弱口令或没有口令的账号

访问控制主要产品与技术指标:

(1)访问控制主要产品:

◆  访问控制的主要产品类型有 4A 系统、安全网关、系统安令增强等,下面分别进行介绍:
    
◆  4A 系统:4A 是指认证、授权、账号、审计 ,中文名称为统一安全管理平台,平台集中提供账号、认证、授权和审计等网络安全服务。平台常用基于角色的访问控制方法,以便于账号授权管理。
   
◆  安全网关:安全网关产品的技术特点是利用网络数据包信息和网络安全威胁特征库,对网络通信连接服务进行访问控制。这类产品是一种特殊的网络安全产品,如防火墙、统一威胁管理(UTM) 等
   
◆  系统安全增强:系统安全增强产品的技术特点是通常利用强制访问控制技术来增强操作系统、数据库系统的安全,防止特权滥用。

访问控制主要技术指标:

◆  产品支持访问控制策略规则类型
   
◆  产品支持访问控制规则最大数量
  
◆  产品访问控制规则检查速度
    
◆  产品自身安全和质量保障级别

访问控制技术应用:

(1)访问控制技术应用场景类型:

◆  物理访问控制:主要针对物理环境或设备实体而设置的安全措施,一般包括门禁系统、警卫、个人证件、 门锁、物理安全区域划分

◆  网络访问控制:主要针对网络资源而采取的访 问安全措施, 一般包括网络接入控制、网络通信连接控制、 网络区域划分、网络路由控制、网络节点认证。

◆  操作系统访问控制:针对计算机系统资源而采取的访问安全措施,例如文件读写访问控制、进程访问控制、内存访问控制等。

◆  数据库/数据访问控制:针对数据库系统及数据而采取的访间安全措施,例如数据库表创建、数据生成与分发
   
◆  应用系统访问控制:针对应用系统资源而采取的访问安全措施,例如业务执行操作、业务系统文件读取等。

    

    

    

    

学习书籍:信息安全工程师教程... 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/860006.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

搞定libstdc++.so.6 version GLIBCXX_3.4.21 not found

一、问题: 今天在安装whisper的时候,突然间报了这样一个错误: OSError: Could not load shared object file: libllvmlite.so Errors were: [OSError("/lib64/libstdc.so.6: version GLIBCXX_3.4.21 not found (required by /opt/con…

【直接收藏】前端 VUE 高阶面试题(一)

1.说说vue动态权限绑定渲染列表&#xff08;权限列表渲染&#xff09; 首先请求服务器,获取当前用户的权限数据,比如请求 this.$http.get("rights/list"); 获取到权限数据之后,在列表中使用v-if v-if-else的组合来展示不同的内容 <template><div><…

cpu的架构

明天继续搞一下cache,还有后面的, 下面是cpu框架图 开始解释cpu 1.控制器 控制器又称为控制单元&#xff08;Control Unit&#xff0c;简称CU&#xff09;,下面是控制器的组成 1.指令寄存器IR:是用来存放当前正在执行的的一条指令。当一条指令需要被执行时&#xff0c;先按…

nginx基于主机和用户访问控制以及缓存简单例子

一.基于主机访问控制 1.修改nginx.conf文件 2.到其他主机上测试 &#xff08;1&#xff09;191主机 &#xff08;2&#xff09;180主机 二.基于用户访问控制 1.修改nginx.conf文件 2.使用hpasswd为用户创建密码文件&#xff0c;并指定到刚才指定的密码文件webck 3.测试…

腾讯云轻量应用服务器和云服务器有什么区别?

腾讯云轻量服务器和云服务器有什么区别&#xff1f;为什么轻量应用服务器价格便宜&#xff1f;是因为轻量服务器CPU内存性能比云服务器CVM性能差吗&#xff1f;轻量应用服务器适合中小企业或个人开发者搭建企业官网、博客论坛、微信小程序或开发测试环境&#xff0c;云服务器CV…

算法套路二十——单调栈

算法套路二十——单调栈 单调栈是一种特殊的数据结构&#xff0c;用于解决与元素的相对大小有关的问题。它是一个栈&#xff0c;但其中的元素以单调递增或单调递减的顺序排列&#xff0c;用于处理与相对大小有关的问题。 算法示例&#xff1a;下一个更大元素 给定一个数组 nu…

C语言指针之 进阶

前言 今天来较为深入的介绍一下指针&#xff0c;希望大家能有所收获&#xff5e; 那么&#xff0c;先进行一些简单的基础知识复习吧。 字符指针 格式&#xff1a;char * 补充&#xff1a; 表达式“abcdef”的值是首字符a的地址 所以当像下面这么使用时&#xff0c;它的含…

2023软件测试岗必问的100个面试题【含答案】

一、测试理论 1.什么是软件测试&#xff1f; 答&#xff1a;软件测试是通过执行预定的步骤和使用指定的数据&#xff0c;以确定软件系统在特定条件下是否满足预期的行为。 2.测试驱动开发&#xff08;TDD&#xff09;是什么&#xff1f; 答&#xff1a;测试驱动开发是一种开…

LeetCode150道面试经典题--最后一个单词的长度(简单)

1.题目 给你一个字符串 s&#xff0c;由若干单词组成&#xff0c;单词前后用一些空格字符隔开。返回字符串中 最后一个 单词的长度。 单词 是指仅由字母组成、不包含任何空格字符的最大子字符串。 2.示例 3.思路 通过对字符串的反转&#xff0c;转为数组开始遍历&#xff0c…

【Git】版本控制器详解之git的概念和基本使用

版本控制器git 初始Gitgit的安装git的基本使用初始化本地仓库配置本地仓库三区协作添加---add修改文件--status|diff版本回退--reset撤销修改删除文件 初始Git 为了能够更⽅便我们管理不同版本的⽂件&#xff0c;便有了版本控制器。所谓的版本控制器&#xff0c;就是⼀个可以记…

二分查找(详解)

目录 介绍 思路 循环实现 详解 递归实现1 详解 注意 递归实现2 两个递归代码之间的区别 总结 介绍 二分查找法&#xff0c;也称为折半查找法&#xff0c;是一种在有序数组中查找特定元素的高效算法。其基本思路是将目标元素与数组中间的元素进行比较&#xff0c…

跳跃游戏 II——力扣45

文章目录 题目描述解法一 贪心题目描述 解法一 贪心 int jump(vector<int>& nums){in

【剑指offer】栈与队列4题 全刷(详解)

目录 目录 目录 [简单]剑指 Offer 09. 用两个栈实现队列 题目 方法 [简单]剑指 Offer 30. 包含min函数的栈 题目 方法1&#xff1a;笨办法 方法2&#xff1a;辅助栈 [困难]剑指 Offer 59 - I. 滑动窗口的最大值 题目 方法&#xff1a;单调队列 [中等]剑指 Offer 5…

固态硬盘对游戏性能的影响及优势解析

固态硬盘的作用在于提高电脑的读取速度&#xff0c;这对于游戏性能的提升有着重要的影响。在一台电脑中&#xff0c;CPU和显卡是核心硬件&#xff0c;而游戏的流畅度则主要取决于显卡的性能&#xff0c;显卡的性能直接影响游戏的帧数高低。如果我们的电脑配置与朋友的电脑相似&…

异常支出的真实成本意想不到!管理采购异常支出有实招

采购中的异常支出是指合同外支出&#xff0c;或在预先制定的采购政策之外从非首选供应商处购买的支出。不同组织中异常支出的差异会很大&#xff0c;异常支出的比例取决于管理下的支出、采购政策实施的成功程度和采购成熟度。 异常支出会给企业带来多少损失&#xff1f; 曾有…

springboot+mybatis实现简单的增、删、查、改

这篇文章主要针对java初学者&#xff0c;详细介绍怎么创建一个基本的springboot项目来对数据库进行crud操作。 目录 第一步&#xff1a;准备数据库 第二步&#xff1a;创建springboot项目 方法1&#xff1a;通过spring官网的spring initilizer创建springboot项目 方法2&am…

qt creater运行按钮灰色,问题记录

第一次安装还没运行就出了三个错误&#xff1a; 1.F:\wei\Qt\Tools\CMake_64\share\cmake-3.24\Modules\CMakeTestCXXCompiler.cmake:62: error: The C compiler "C:/Program Files (x86)/Microsoft Visual Studio 14.0/VC/BIN/amd64/cl.exe" is not able to compil…

列队 Queue 接口概述

在Java中&#xff0c;Queue&#xff08;队列&#xff09;是一种基本的数据结构&#xff0c;用于按照先进先出&#xff08;FIFO&#xff09;的顺序存储元素。Java提供了多种实现Queue接口的类&#xff0c;以下是几种常见的实现方式&#xff1a; LinkedList&#xff1a;LinkedLis…

linux环形缓冲区kfifo实践4:异步通知fasync

基础知识 异步通知在内核中使用struct fasync_struct数据结构来描述。 <include/linux/fs.h> struct fasync_struct {spinlock_t fa_lock;int magic;int fa_fd;struct fasync_struct *fa_next; /* singly linked list */struct file *fa_file;struct rcu_head fa…

CTF竞赛密码学之 LFSR

概述: 线性反馈移位寄存器&#xff08;LFSR&#xff09;归属于移位寄存器&#xff08;FSR&#xff09;,除此之外还有非线性移位寄存器&#xff08;NFSR&#xff09;。移位寄存器是流密码产生密钥流的一个主要组成部分。 G F ( 2 ) GF(2) GF(2)上一个n级反馈移位寄存器由n个二元…