《网络安全技术资料》第5章 身份认证与访问控制.pptVIP

2. 基于身份和规则的安全策略 综合访问控制策略（HAC）继承并吸取多种主流访问控制技术优点,有效地解决了访问控制问题,保护数据的保密性和完整性，保证授权主体能访问客体和拒绝非授权访问.具有良好灵活性、可维护性,可管理性、更细粒度的访问控制性和更高安全性。 HAC主要包括： （1）入网访问控制。 （2）网络(资源-服务)的权限控制。 （3）目录级安全控制。 （4）属性安全控制。 （5）网络服务器安全控制。 （6）网络监控和锁定控制。 （7）网络端口和结点的安全控制。 5.4 访问控制技术 3.综合访问控制策略 综合访问控制策略（HAC）继承并吸取多种主流访问控制技术优点,有效地解决了访问控制问题,保护数据的保密性和完整性，保证授权主体能访问客体和拒绝非授权访问.具有良好灵活性、可维护性,可管理性、更细粒度的访问控制性和更高安全性。 HAC主要包括： （1）入网访问控制。 （2）网络(资源-服务)的权限控制。 （3）目录级安全控制。 （4）属性安全控制。 （5）网络服务器安全控制。 （6）网络监控和锁定控制。 （7）网络端口和结点的安全控制。 （8）防火墙控制 5.4 访问控制技术 4.网上银行访问控制的安全策略 为了让用户安全、放心地使用网上银行，通常在网上银行系统采取了八大安全策略，以全面保护的信息资料与资金的安全。 （1）加强证书存贮安全。 （2）动态口令卡。 （3）先进技术的保障。 （4）双密码控制，并设定了密码安全强度。 （5）交易限额控制。 （6）信息提示，增加透明度。 （7）客户端密码安全检测。 （8）短信服务 5.4 访问控制技术 5.4.4 准入控制与身份认证管理 1. 准入控制技术概述 思科公司和微软的网络准入控制NAP其原理和本质一致，不仅对用户身份进行认证，还对用户的接入设备进行安全状态评估（包括防病毒软件、系统补丁等），使每个接入点AP都具有较高的可信度和健壮性，从而保护网络基础设施。华为2005年推出端点准入防御产品。 5.4 访问控制技术 2．身份认证管理与准入控制的结合 身份认证技术的发展过程，从软件到软硬件结合，从单一因子认证到双因素认证，从静态认证到动态认证。目前常用的身份认证方式包括：用户名/密码方式、公钥证书方式、动态口令方式等。采用单独方式都有优劣。 身份认证技术的安全性，关键在于组织采取的安全策略。身份认证是网络准入控制的基础。 中国教育和科研计算机网紧急响应组（CCERT）开发组，在开发“某大学校园网端口认证系统”的基础上，多年跟踪研究准入控制系统。在分析了思科的入控制研究方案后，认为应重点研究独立于产品厂商的准入控制方案和相关软件系统。准入控制系统的核心是从网络接入端点的安全控制入手，结合认证服务器，安全策略服务器和网络设备，以及第三方的软件系统（病毒和系统补丁服务器）,完成对接入终端用户的强制认证和安全策略应用，保障网络安全。某大学准入控制系统，通过提供综合管理平台，对用户和接入设备进行集中管理,统一实施校园网的安全策略. 5.4 访问控制技术 3. 准入控制技术方案比较 不同厂商准入控制方案在原理上类似，但实现方式各不相同。主要区别4个方面。 1）选取协议 2）身份认证管理方式 3）策略管理 4）准入控制 4. 某大学准入控制研发及应用 案例5-8 ?讨论思考： （1）访问控制的概念和内容是什么？ （2）访问控制模式主要有哪几种？ （3）访问控制的安全策略有哪几种实现方式？ 5.4 访问控制技术 5. 准入控制技术未来的发展 准入控制发展很快，并且出现各种方案整合的趋势。一方面各主要厂商突出本身的准入控制方案，厂商之间加大了合作力度。思科和微软都承诺支持对方准入控制计划，并开放自己的API。 另一方面，准入控制标准化工作也在加快。 5.5 安全审计技术 5.5.1 安全审计概述 1. 安全审计的概念及目的 计算机安全审计（Audit）是指按照一定的安全策略，利用记录、系统活动和用户活动等信息，检查、审查和检验操作事件的环境及活动，发现系统漏洞、入侵行为或改善系统性能的过程。也是审查评估系统安全风险并采取相应措施的一个过程。主要作用和目的包括5个方面： （1）对潜在攻击者起到威慑和警示作用。 （2）测试系统的控制情况，及时调整。 （3）对已出现的破坏事件，做出评估并提供依据。 （4）对系统控制、安全策略与规程中的变更进行评价和反馈，以便修订决策和部署。 （5）协助发现入侵或潜在的系