信息安全技术培训讲解.pptVIP

* * * * * * * * * * 按用户身份及其所归属的某项定义组来限制用户对某些信息项的访问，或限制对某些控制功能的使用。访问控制通常用于系统管理员控制用户对网络、服务器、目录、文件、数据等网络资源的访问。 访问控制的功能主要有以下： 一. 防止非法的主体进入受保护的网络资源。 二. 允许合法用户访问受保护的网络资源。 三. 防止合法的用户对受保护的网络资源进行非授权的访问。 访问控制实现的策略： 一. 入网访问控制 二. 网络权限限制 三. 目录级安全控制 四. 属性安全控制　五. 网络服务器安全控制 六. 网络监测和锁定控制　七. 网络端口和节点的安全控制　八. 防火墙控制 访问控制的类型：访问控制可分为自主访问控制和强制访问控制两大类。 自主访问控制，是指由用户有权对自身所创建的访问对象(文件、数据表等)进行访问，并可将对这些对象的访问权授予其他用户和从授予权限的用户收回其访问权限 强制访问控制，是指由系统(通过专门设置的系统安全员)对用户所创建的对象进行统一的强制性控制，按照规定的规则决定哪些用户可以对哪些对象进行什么样操作系统类型的访问，即使是创建者用户，在创建一个对象后，也可能无权访问该对象。 基于对象的访问控制模型： 基于对象的访问控制（OBAC Model：Object-based Access Control Model）：DAC或MAC模型的主要任务都是对系统中的访问主体和受控对象进行一维的权限管理，当用户数量多、处理的信息数据量巨大时，用户权限的管理任务将变得十分繁重，并且用户权限难以维护，这就降低了系统的安全性和可靠性。对于海量的数据和差异较大的数据类型，需要用专门的系统和专门的人员加以处理，要是采用RBAC模型的话，安全管理员除了维护用户和角色的关联关系外，还需要将庞大的信息资源访问权限赋予有限个角色。当信息资源的种类增加或减少时，安全管理员必须更新所有角色的访问权限设置，而且，如果受控对象的属性发生变化，同时需要将受控对象不同属性的数据分配给不同的访问主体处理时，安全管理员将不得不增加新的角色，并且还必须更新原来所有角色的访问权限设置以及访问主体的角色分配设置，这样的访问控制需求变化往往是不可预知的，造成访问控制管理的难度和工作量巨大。在这种情况下，有必要引入基于受控对象的访问控制模型。 控制策略和控制规则是OBAC访问控制系统的核心所在，在基于受控对象的访问控制模型中，将访问控制列表与受控对象或受控对象的属性相关联，并将访问控制选项设计成为用户、组或角色及其对应权限的集合；同时允许对策略和规则进行重用、继承和派生操作。这样，不仅可以对受控对象本身进行访问控制，受控对象的属性也可以进行访问控制，而且派生对象可以继承父对象的访问控制设置，这对于信息量巨大、信息内容更新变化频繁的管理信息系统非常有益，可以减轻由于信息资源的派生、演化和重组等带来的分配、设定角色权限等的工作量。 OBAC从信息系统的数据差异变化和用户需求出发，有效地解决了信息数据量大、数据种类繁多、数据更新变化频繁的大型管理信息系统的安全管理。OBAC从受控对象的角度出发，将访问主体的访问权限直接与受控对象相关联，一方面定义对象的访问控制列表，增、删、修改访问控制项易于操作，另一方面，当受控对象的属性发生改变，或者受控对象发生继承和派生行为时，无须更新访问主体的权限，只需要修改受控对象的相应访问控制项即可，从而减少了访问主体的权限管理，降低了授权数据管理的复杂性。 基于任务的访问控制模型： 基于任务的访问控制模型（TBAC Model，Task-based Access Control Model）是从应用和企业层角度来解决安全问题，以面向任务的观点，从任务（活动）的角度来建立安全模型和实现安全机制，在任务处理的过程中提供动态实时的安全管理。 在TBAC中，对象的访问权限控制并不是静止不变的，而是随着执行任务的上下文环境发生变化。TBAC首要考虑的是在工作流的环境中对信息的保护问题：在工作流环境中，数据的处理与上一次的处理相关联，相应的访问控制也如此，因而TBAC是一种上下文相关的访问控制模型。其次，TBAC不仅能对不同工作流实行不同的访问控制策略，而且还能对同一工作流的不同任务实例实行不同的访问控制策略。从这个意义上说，TBAC是基于任务的，这也表明，TBAC是一种基于实例（instance-based）的访问控制模型。 TBAC模型由工作流、授权结构体、受托人集、许可集四部分组成。 任务（task）是工作流程中的一个逻辑单元，是一个可区分的动作，与多个用户相关，也可能包括几个子任务。授权结构体是任务在计算机中进行控制的一个实例。任务中的子任务，对应于授权结构体中的授权步。 授权结构体（authorization unit）：