什麼是訪問控制策略?
什麼是訪問控制策略?
1什麼是訪問控制策略? 訪問控制策略是網絡安全防範和保護的主要策略,其任務是保證網絡資源不被非法使用和非法訪問。 各種網絡安全策略必須相互配合才能真正起到保護作用,而訪問控制是保證網絡安全最重要的核心策略之一。 2、訪問控制策略的內容有哪些? 訪問控制策略包括入網訪問控制策略、操作權限控制策略、目錄安全控制策略、屬性安全控制策略、網絡服務器安全控制策略、網絡監測、鎖定控制策略和防火牆控制策略等7個方面的內容。
訪問控制技術的安全策略
訪問控制的安全策略是指在某個自治區域內(屬於某個組織的一系列處理和通信資源範疇),用於所有與安全相關活動的一套訪問控制規則。由此安全區域中的安全權力機構建立,並由此安全控制機構來描述和實現。訪問控制的安全策略有三種類型:基於身份的安全策略、基於規則的安全策略和綜合訪問控制方式。 訪問控制安全策略原則集中在主體、客體和安全控制規則集三者之間的關係。(1)最小特權原則。在主體執行操作時,按照主體所需權利的最小化原則分配給主體權力。優點是最大限度地限制了主體實施授權行為,可避免來自突發事件、操作錯誤和未授權主體等意外情況的危險。為了達到一定目的,主體必須執行一定操作,但只能做被允許的操作,其他操作除外。這是抑制特洛伊木馬和實現可靠程序的基本措施。(2)最小洩露原則。主體執行任務時,按其所需最小信息分配權限,以防洩密。(3)多級安全策略。主體和客體之間的數據流向和權限控制,按照安全級別的絕密(TS)、祕密(S)、機密(C)、限制(RS)和無級別(U)5級來劃分。其優點是避免敏感信息擴散。具有安全級別的信息資源,只有高於安全級別的主體才可訪問。在訪問控制實現方面,實現的安全策略包括8個方面:入網訪問控制、網絡權限限制、目錄級安全控制、屬性安全控制、網絡服務器安全控制、網絡監測和鎖定控制、網絡端口和節點的安全控制和防火牆控制。 授權行為是建立身份安全策略和規則安全策略的基礎,兩種安全策略為:1)基於身份的安全策略主要是過濾主體對數據或資源的訪問。只有通過認證的主體才可以正常使用客體的資源。這種安全策略包括基於個人的安全策略和基於組的安全策略。(1)基於個人的安全策略。是以用戶個人為中心建立的策略,主要由一些控制列表組成。這些列表針對特定的客體,限定了不同用戶所能實現的不同安全策略的操作行為。(2)基於組的安全策略。基於個人策略的發展與擴充,主要指系統對一些用戶使用同樣的訪問控制規則,訪問同樣的客體。2)基於規則的安全策略在基於規則的安全策略系統中,所有數據和資源都標註了安全標記,用戶的活動進程與其原發者具有相同的安全標記。系統通過比較用戶的安全級別和客體資源的安全級別,判斷是否允許用戶進行訪問。這種安全策略一般具有依賴性與敏感性。 綜合訪問控制策略(HAC)繼承和吸取了多種主流訪問控制技術的優點,有效地解決了信息安全領域的訪問控制問題,保護了數據的保密性和完整性,保證授權主體能訪問客體和拒絕非授權訪問。HAC具有良好的靈活性、可維護性、可管理性、更細粒度的訪問控制性和更高的安全性,為信息系統設計人員和開發人員提供了訪問控制安全功能的解決方案。綜合訪問控制策略主要包括:1)入網訪問控制入網訪問控制是網絡訪問的第一層訪問控制。對用戶可規定所能登入到的服務器及獲取的網絡資源,控制准許用戶入網的時間和登入入網的工作站點。用戶的入網訪問控制分為用戶名和口令的識別與驗證、用戶賬號的默認限制檢查。該用戶若有任何一個環節檢查未通過,就無法登入網絡進行訪問。2)網絡的權限控制網絡的權限控制是防止網絡非法操作而採取的一種安全保護措施。用戶對網絡資源的訪問權限通常用一個訪問控制列表來描述。從用戶的角度,網絡的權限控制可分為以下3類用戶:(1)特殊用戶。具有系統管理權限的系統管理員等。(2)一般用戶。系統管理員根據實際需要而分配到一定操作權限的用戶。(3)審計用戶。專門負責審計網絡的安全控制與資源使用情況的人員。3)目錄級安全控制目錄級安全控制主要是為了控制用戶對目錄、文件和設備的訪問,或指定對目錄下的子目錄和文件的使用權限。用戶在目錄一級制定的權限對所有目錄下的文件仍然有效,還可......
什麼是訪問控制機制????
防火牆的訪問控制機制是限制應用程序和軟件在訪問網絡時是否帶有數字簽名和根據應用程序規則來判定是否木馬或者病毒。
什麼是訪問控制,基於角色的訪問控制策略有訶特點
RBAC的基本思想是:授權給用戶的訪問權限,通常由用戶在一個組織中擔當的角色來確定。RBAC中許可被授權給角色,角色被授權給用戶,用戶不直接與許可關聯。RBAC對訪問權限的授權由管理員統一管理,RBAC根據用戶在組織內所處的角色作出訪問授權與控制,授權規定是強加給用戶的,用戶不能自主地將訪問權限傳給他人,這是一種非自主型集中式訪問控制方式。例如,在醫院裡,醫生這個角色可以開處方,但他無權將開處方的權力傳給護士。 角色訪問控制(RBAC)引入了Role的概念,目的是為了隔離User(即動作主體,Subject)與Privilege(權限,表示對Resource的一個操作,即Operation+Resource)。 Role作為一個用戶(User)與權限(Privilege)的代理層,解耦了權限和用戶的關係,所有的授權應該給予Role而不是直接給User或Group.Privilege是權限顆粒,由Operation和Resource組成,表示對Resource的一個Operation.例如,對於新聞的刪除操作。Role-Privilege是many-to-many的關係,這就是權限的核心。 基於角色的訪問控制方法(RBAC)的顯著的兩大特徵是:1.由於角色/權限之間的變化比角色/用戶關係之間的變化相對要慢得多,減小了授權管理的複雜性,降低管理開銷。2.靈活地支持企業的安全策略,並對企業的變化有很大的伸縮性。 RBAC的關注點在於Role和User, Permission的關係。稱為User assignment(UA)和Permission assignment(PA)。關係的左右兩邊都是Many-to-Many關係。就是user可以有多個role,role可以包括多個user 在RBAC系統中,User實際上是在扮演角色(Role),可以用Actor來取代User,這個想法來自於Business Modeling With UML一書Actor-Role模式 例子:低級用戶只有向高級用戶寫入文件的權利,但是沒有從高級用戶那裡獲取文件的權利(一般的軍事系統都是這樣的),這樣就保證了信息的流向性,即從低級到高級,從而保證了信息的安全性。
什麼事訪問控制?訪問控制包括哪幾個要素?
訪問控制是指主體依據某些控制策略或權限對客體本身或是其資源進行的不同授權訪問。
訪問控制包括三個要素,即:主體、客體和控制策略。 主體:是可以對其它實體施加動作的主動實體,簡記為S。
客體:是接受其他實體訪問的被動實體, 簡記為O。
控制策略:是主體對客體的操作行為集和約束條件集, 簡記為KS。
訪問控制技術的概念原理
訪問控制(Access Control)指系統對用戶身份及其所屬的預先定義的策略組限制其使用數據資源能力的手段。通常用於系統管理員控制用戶對服務器、目錄、文件等網絡資源的訪問。訪問控制是系統保密性、完整性、可用性和合法使用性的重要基礎,是網絡安全防範和資源保護的關鍵策略之一,也是主體依據某些控制策略或權限對客體本身或其資源進行的不同授權訪問。 訪問控制的主要目的是限制訪問主體對客體的訪問,從而保障數據資源在合法範圍內得以有效使用和管理。為了達到上述目的,訪問控制需要完成兩個任務:識別和確認訪問系統的用戶、決定該用戶可以對某一系統資源進行何種類型的訪問。訪問控制包括三個要素:主體、客體和控制策略。(1)主體S(Subject)。是指提出訪問資源具體請求。是某一操作動作的發起者,但不一定是動作的執行者,可能是某一用戶,也可以是用戶啟動的進程、服務和設備等。(2)客體O(Object)。是指被訪問資源的實體。所有可以被操作的信息、資源、對象都可以是客體。客體可以是信息、文件、記錄等集合體,也可以是網絡上硬件設施、無限通信中的終端,甚至可以包含另外一個客體。(3)控制策略A(Attribution)。是主體對客體的相關訪問規則集合,即屬性集合。訪問策略體現了一種授權行為,也是客體對主體某些操作行為的默認。 訪問控制的主要功能包括:保證合法用戶訪問受權保護的網絡資源,防止非法的主體進入受保護的網絡資源,或防止合法用戶對受保護的網絡資源進行非授權的訪問。訪問控制首先需要對用戶身份的合法性進行驗證,同時利用控制策略進行選用和管理工作。當用戶身份和訪問權限驗證之後,還需要對越權操作進行監控。因此,訪問控制的內容包括認證、控制策略實現和安全審計,其功能及原理如圖1所示。(1)認證。包括主體對客體的識別及客體對主體的檢驗確認。(2)控制策略。通過合理地設定控制規則集合,確保用戶對信息資源在授權範圍內的合法使用。既要確保授權用戶的合理使用,又要防止非法用戶侵權進入系統,使重要信息資源洩露。同時對合法用戶,也不能越權行使權限以外的功能及訪問範圍。(3)安全審計。系統可以自動根據用戶的訪問權限,對計算機網絡環境下的有關活動或行為進行系統的、獨立的檢查驗證,並做出相應評價與審計。 圖1 訪問控制功能及原理
訪問控制和用戶策略有什麼區別
用戶策略是最低的可管理策略級別,訪問控制則是按用戶身份及其所歸屬的某項定義組來限制用戶對某些信息項的訪問,或限制對某些控制功能的使用。
就是用戶策略是針對某個用戶,而這範用戶可能是組成訪問控制下的某個組的一個成員。
組是人員的集合,角色則是指對某種資源的某種訪問權限的集合,本質上沒有區別,組策略控制為大用戶量的系統管理提供了可行的手段。
訪問控制的級別高於用戶策略。
訪問控制技術的類型機制
訪問控制可以分為兩個層次:物理訪問控制和邏輯訪問控制。物理訪問控制如符合標準規定的用戶、設備、門、鎖和安全環境等方面的要求,而邏輯訪問控制則是在數據、應用、系統、網絡和權限等層面進行實現的。對銀行、證券等重要金融機構的網站,信息安全重點關注的是二者兼顧,物理訪問控制則主要由其他類型的安全部門負責。 主要的訪問控制類型有3種模式:自主訪問控制(DAC)、強制訪問控制(MAC)和基於角色訪問控制(RBAC)。1)自主訪問控制自主訪問控制(Discretionary Access Control,DAC)是一種接入控制服務,通過執行基於系統實體身份及其到系統資源的接入授權。包括在文件,文件夾和共享資源中設置許可。用戶有權對自身所創建的文件、數據表等訪問對象進行訪問,並可將其訪問權授予其他用戶或收回其訪問權限。允許訪問對象的屬主制定針對該對象訪問的控制策略,通常,可通過訪問控制列表來限定針對客體可執行的操作。①每個客體有一個所有者,可按照各自意願將客體訪問控制權限授予其他主體。②各客體都擁有一個限定主體對其訪問權限的訪問控制列表(ACL)。③每次訪問時都以基於訪問控制列表檢查用戶標誌,實現對其訪問權限控制。④DAC的有效性依賴於資源的所有者對安全政策的正確理解和有效落實。DAC提供了適合多種系統環境的靈活方便的數據訪問方式,是應用最廣泛的訪問控制策略。然而,它所提供的安全性可被非法用戶繞過,授權用戶在獲得訪問某資源的權限後,可能傳送給其他用戶。主要是在自由訪問策略中,用戶獲得文件訪問後,若不限制對該文件信息的操作,即沒有限制數據信息的分發。所以DAC提供的安全性相對較低,無法對系統資源提供嚴格保護。2)強制訪問控制強制訪問控制(MAC)是系統強制主體服從訪問控制策略。是由系統對用戶所創建的對象,按照規定的規則控制用戶權限及操作對象的訪問。主要特徵是對所有主體及其所控制的進程、文件、段、設備等客體實施強制訪問控制。在MAC中,每個用戶及文件都被賦予一定的安全級別,只有系統管理員才可確定用戶和組的訪問權限,用戶不能改變自身或任何客體的安全級別。系統通過比較用戶和訪問文件的安全級別,決定用戶是否可以訪問該文件。此外,MAC不允許通過進程生成共享文件,以通過共享文件將信息在進程中傳遞。MAC可通過使用敏感標籤對所有用戶和資源強制執行安全策略,一般採用3種方法:限制訪問控制、過程控制和系統限制。MAC常用於多級安全軍事系統,對專用或簡單系統較有效,但對通用或大型系統並不太有效。MAC的安全級別有多種定義方式,常用的分為4級:絕密級(Top Secret)、祕密級(Secret)、機密級(Confidential)和無級別級(Unclas sified),其中T>S>C>U。所有系統中的主體(用戶,進程)和客體(文件,數據)都分配安全標籤,以標識安全等級。通常MAC與DAC結合使用,並實施一些附加的、更強的訪問限制。一個主體只有通過自主與強制性訪問限制檢查後,才能訪問其客體。用戶可利用DAC來防範其他用戶對自己客體的攻擊,由於用戶不能直接改變強制訪問控制屬性,所以強制訪問控制提供了一個不可逾越的、更強的安全保護層,以防範偶然或故意地濫用DAC。3)基於角色的訪問控制角色(Role)是一定數量的權限的集合。指完成一項任務必須訪問的資源及相應操作權限的集合。角色作為一個用戶與權限的代理層,表示為權限和用戶的關係,所有的授權應該給予角色而不是直接給用戶或用戶組。基於角色的訪問控制(Role-Based Access Control,RBAC)是通過對角......
訪問控制的訪問控制實現的策略
1. 入網訪問控制2. 網絡權限限制3. 目錄級安全控制4. 屬性安全控制5.網絡服務器安全控制6.網絡監測和鎖定控制7. 網絡端口和節點的安全控制8.防火牆控制
星型拓撲結構採用什麼訪問控制策略
星型拓撲結構是指網絡中所有結點都連接在一箇中央集線設備上。所有數據的傳送以及信息的交換和管理都通過中央集線設備來實現。
星型拓撲結構採用CSMA/CD(載波監聽多點接入/碰撞檢測)
CSMA/CD工作原理:
發送數據前 先偵聽信道是否空閒 ,若空閒,則立即發送數據。
若信道忙碌,則等待一段時間至信道中的信息傳輸結束後再發送數據;
若在上一段信息發送結束後,同時有兩個或兩個以上的節點都提出發送請求,則判定為衝突。若偵聽到衝突,則立即停止發送數據,等待一段隨機時間,再重新嘗試。