网络信息访问控制技术.pptVIP

Biba模型要求对主、客体按照完整性级别进行登记划分，它基于以下两条基本规则来确保数据的完整性： （1）当且仅当客体的完整性级别支配主体的完整性级别时，主体才具有对客体“读”的权限，即“不下读”； （2）当且仅当主体的完整性级别支配客体的完整性级别时，主体才具有对客体“写”的权限，即“不上写”。 第六章 访问控制技术 第三节 访问控制模型 二 Biba 模 型 RBAC0——基本模型，规定了任何RBAC系统所必须的最小需求； RBAC1——分级模型，在RBAC0的基础上增加了角色等级的概念； RBAC2——限制模型，在RBAC0的基础上增加了限制的概念； RBAC3——统一模型，包含了RBAC1和RBAC2，由于传递性也间接地包含了RBAC0。 第六章 访问控制技术 第三节 访问控制模型 三 角 色 模 型 角色模型的基本结构 （1）便于授权管理 （2）便于角色划分 （3）便于赋予最小权限原则 （4）便于职责分离 （5）便于客体分类 第六章 访问控制技术 第三节 访问控制模型 三 角 色 模 型 角色模型的优势 * 访问控制技术 第一节 访问控制概述 第二节 访问控制的类型 第三节 访问控制模型 第四节 访问控制模型的实现 访问控制技术 一 访 问 控 制 的 基 本 任 务 访问控制的基本任务是对计算机及其网络系统采取有效的安全防范措施，防止非法用户进入系统及合法用户对系统资源的非法使用。 第一节 访问控制概述 第六章 访问控制技术 认证就是证实用户的身份，认证必须和标识符共同起作用。 1．用户身份认证 第六章 访问控制技术 第一节 访问控制概述 一 访 问 控 制 的 基 本 任 务 系统正确认证用户以后，根据不同的ID分配给不同的使用资源，这项任务称作授权。授权的实现是靠访问控制完成的。 2．授权 第一节 访问控制概述 第六章 访问控制技术 一 访 问 控 制 的 基 本 任 务 如何决定用户的访问权限： （1）用户分类 用户 特殊用户 一般用户 作审计的 用户 作废用户 第六章 访问控制技术 第一节 访问控制概述 一 访 问 控 制 的 基 本 任 务 如何决定用户的访问权限： （2）资源及使用 磁盘与磁带上的数据集、远程终端信息管理系统的事物处理组、顾客（用户）信息管理系统事物处理组和程序说明块（PSB）、数据库中的数据、应用资源等。 第六章 访问控制技术 第一节 访问控制概述 一 访 问 控 制 的 基 本 任 务 如何决定用户的访问权限： 访问规则规定若干条件，在这些条件下可准许访问一个资源。一般地讲，规则使用户和资源配对，然后指定该用户可在该资源上执行哪些操作。 （3）访问规则 第六章 访问控制技术 第一节 访问控制概述 一 访 问 控 制 的 基 本 任 务 对该文件提供附加保护，使非授权用户不可读，对于有时可能被截获的文件的附加保护是对文件进行加密。 3．文件保护 第六章 访问控制技术 第一节 访问控制概述 一 访 问 控 制 的 基 本 任 务 记录用户的行动，以说明安全方案的有效性。审计是记录用户使用系统所进行的所有活动的过程，即记录用户违反安全规定的时间、日期以及用户活动。 4．审计 第六章 访问控制技术 第一节 访问控制概述 一 访 问 控 制 的 基 本 任 务 二 访 问 控 制 的 层 次 权限 控制 目录级 安全 控制 属性安全 控制 服务器 安全 控制 入网 访问控制 访问 控制 第六章 访问控制技术 第一节 访问控制概述 访问控制是指主体依据某些控制策略或权限对客体本身或其他资源进行的不同授权访问。访问控制包括三个要素：主体、客体和控制策略。 三 访 问 控 制 的 要 素 第六章 访问控制技术 第一节 访问控制概述 访问控制策略是计算机安全防范和保护的核心策略之一，其任务是保证计算机信息不被非法使用和非法访问，为保证信息基础的安全性提供一个框架，提供管理和访问计算机资源的安全方法，规定各部门要遵守的规范及应负的责任，使得计算机网络系统的安全有了可靠的依据。 四 访 问 控 制 策 略 第六章 访问控制技术 第一节 访问控制概述 1. 访问控制策略的实施原则 最小特权原则 最小泄漏原则 多级安全策略 第六章 访问控制技术 第一节 访问控制概述 四 访 问 控 制 策 略 2. 访问控制策略的实现 基于身份的安全策略 基于规则的