信息安全概论 访问控制.pptVIP

信息安全概论 -访问控制 什么是访问控制Access Control 主体（subject）：访问的发起者 发起者是试图访问某个目标的用户或者是用户行为的代理。必须控制它对客体的访问。 主体通常为进程，程序或用户。 客体（Object）： 接收其他实体访问的被动实体。 可供访问的各种软硬件资源。 控制策略 主体对客体的访问规则集，这个规则集直接定义了主体可以的作用行为和客体对主体的约束条件。 是主体对客体的操作行为集和约束条件集。 体现为一种授权行为。 记录谁可以访问谁。 访问控制策略 任何访问控制策略最终可被模型化为访问矩阵形式。 每一行：用户 每一列：目标 矩阵元素：相应的用户对目标的访问许可。 访问控制关系图 多级信息安全系统 将敏感信息与通常资源分开隔离的系统。 通常存在两种 有层次安全级别。目标按敏感性划分为不同密级：绝密top secret、秘密secret、机密confidential、限制restricted、无密级unclassified。 无层次安全级别。 访问控制过程 首先对合法用户进行验证。（认证） 然后对选用控制策略。（控制策略的具体实现） 最后对非法用户或越权操作进行审计。（审计） 认证 包括主体对客体的识别认证与客体对主体的检验认证。 身份认证。 控制策略具体实现 规则集设定方法。 允许授权用户、限制非法用户。 保护敏感信息。 禁止越权访问。 审计 操作日志。 记录用户对系统的关键操作。 威慑。 访问控制 在安全操作系统领域中，访问控制一般都涉及 自主访问控制（Discretionary Access Control，DAC） 强制访问控制（Mandatory Access Control，MAC）两种形式 安全模型 安全模型就是对安全策略所表达的安全需求的简单、抽象和无歧义的描述，它为安全策略和它的实现机制之间的关联提供了一种框架。 安全模型描述了对某个安全策略需要用哪种机制来满足；而模型的实现则描述了如何把特定的机制应用于系统中，从而实现某一特定安全策略所需的安全保护。 安全模型的特点 能否成功地获得高安全级别的系统，取决于对安全控制机制的设计和实施投入多少精力。但是如果对系统的安全需求了解的不清楚，即使运用最好的软件技术，投入最大的精力，也很难达到安全要求的目的。安全模型的目的就在于明确地表达这些需求，为设计开发安全系统提供方针。 安全模型有以下4个特点： 它是精确的、无歧义的； 它是简易和抽象的，所以容易理解； 它是一般性的：只涉及安全性质，而不过度地牵扯系统的功能或其实现； 它是安全策略的明显表现。 安全模型一般分为两种： 非形式化安全模型仅模拟系统的安全功能； 形式化安全模型则使用数学模型，精确地描述安全性及其在系统中使用的情况。 访问控制准则 在安全操作系统领域中，访问控制一般都涉及 自主访问控制（Discretionary Access Control，DAC） 强制访问控制（Mandatory Access Control，MAC）两种形式 自主访问控制 自主访问控制是最常用的一类访问控制机制，用来决定一个用户是否有权访问一些特定客体的一种访问约束机制。在自主访问控制机制下，文件的拥有者可以按照自己的意愿精确指定系统中的其他用户对其文件的访问权。 亦即使用自主访问控制机制，一个用户可以自主地说明他所拥有的资源允许系统中哪些用户以何种权限进行共享。从这种意义上讲，是“自主”的。另外自主也指对其他具有授予某种访问权力的用户能够自主地（可能是间接的）将访问权或访问权的某个子集授予另外的用户。 强制访问控制MAC 在强制访问控制机制下，系统中的每个进程、每个文件、每个 IPC 客体( 消息队列、信号量集合和共享存贮区)都被赋予了相应的安全属性，这些安全属性是不能改变的，它由管理部门（如安全管理员）或由操作系统自动地按照严格的规则来设置，不像访问控制表那样由用户或他们的程序直接或间接地修改。 当一进程访问一个客体(如文件)时，调用强制访问控制机制，根据进程的安全属性和访问方式，比较进程的安全属性和客体的安全属性，从而确定是否允许进程对客体的访问。代表用户的进程不能改变自身的或任何客体的安全属性，包括不能改变属于用户的客体的安全属性，而且进程也不能通过授予其他用户客体存取权限简单地实现客体共享。如果系统判定拥有某一安全属性的主体不能访问某个客体，那么任何人（包括客体的拥有者）也不能使它访问该客体。从这种意义上讲，是“强制”的。 强制访问控制和自主访问控制 强制访问控制和自主访问控制是两种不同类型的访问控制机制，它们常结合起来使用。仅当主体能够同时通过自主访问控制和强制访问控制检查时，它才能访问一个客体。 用户使用自主访问控制防止其他用户非法入侵自