[企业管理]CISP0203访问控制与审计监控.ppt

  1. 1、本文档共106页,可阅读全部内容。
  2. 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
[企业管理]CISP0203访问控制与审计监控

访问控制与审计监控 贵州亨达集团信息安全技术有限公司 课程内容 2 访问控制与审计监控 知识体 知识域 访问控制模型 访问控制技术 审计和 监控技术 知识子域 知识域:访问控制模型 知识子域:访问控制基本概念 理解标识、鉴别和授权等访问控制的基本概念 理解各种安全模型的分类和关系 3 访问控制的概念和目标 访问控制:针对越权使用资源的防御措施 目标:防止对任何资源(如计算资源、通信资源或信息资源)进行未授权的访问,从而使资源在授权范围内使用,决定用户能做什么,也决定代表一定用户利益的程序能做什么。 资源不是无限开放的,在一定约束条件下使用 网络及信息具有价值,难免会受到各种意外的或者蓄意的未授权的使用和破坏 必须授权才可以访问 4 Window7中的自主访问控制 5 访问控制的作用 未授权访问:包括未经授权的使用、泄露、修改、销毁信息以及颁发指令等。 非法用户对系统资源的使用 合法用户对系统资源的非法使用 作用:机密性、完整性和可用性 6 术语:主体与客体 主体 发起者,是一个主动的实体,可以操作被动实体的相关信息或数据 用户、程序、进程等 客体 一种被动实体,被操作的对象,规定需要保护的资源 文件、存储介质、程序、进程等 7 主体与客体之间的关系 主体:接收客体相关信息和数据,也可能改变客体相关信息 一个主体为了完成任务,可以创建另外的主体,这些子主体可以在网络上不同的计算机上运行,并由父主体控制它们 客体:始终是提供、驻留信息或数据的实体 主体和客体的关系是相对的,角色可以互换 8 授权 规定主体可以对客体执行的操作: 读 写 执行 拒绝访问 … 9 10 标识 标识是实体身份的一种计算机表达,每个实体与计算机内部的一个身份表达绑定 标识的主要作用:访问控制和审计 访问控制:标识用于控制是否允许特定的操作 审计:标识用于跟踪所有操作的参与者,参与者的任何操作都能被明确地标识出来 11 主体标识的实例 主体的标识 在UNIX中,主体(用户)的身份标识为0-65535之间的一个整数,称为用户身份号(UID) 用户登录时的UID可以改变,有效UID是用于访问控制的用户身份 UID=22 permit read If登录uid=22 and 有效uid=35,then read? If登录uid=35 and 有效uid=22,then read? 常见的主体标识还包括用户名、卡、令牌等,也可以是指纹、虹膜等生物特征 12 客体标识的实例 客体的标识 文件名 UNIX中提供不同的文件标识: 绝对路径文件名 相对路径文件名 13 鉴别 确认实体是它所声明的,提供了关于某个实体身份的保证,某一实体确信与之打交道的实体正是所需要的实体 口令、挑战-应答、生物特征鉴别 所有其它的安全服务都依赖于该服务 需求:某一成员(声称者)提交一个主体的身份并声称它是那个主体 目的:使别的成员(验证者)获得对声称者所声称的事实的信任 14 访问控制的两个重要过程 第一步:鉴别 检验主体的合法身份 第二步:授权 限制用户对资源的访问权限 15 访问控制模型 16 什么是访问控制模型 对一系列访问控制规则集合的描述,可以是非形式化的,也可以是形式化的。 组成 访问控制模型的分类 访问控制模型 强制访问控制模型 (MAC) 自主访问控制模型 (DAC) 访问矩阵模型 访问控制列表 (ACL) 权能列表 (Capacity List) Bell-Lapudula 模型 Biba 模型 Clark-Wilson 模型 Chinese Wall 模型 保密性 模型 完整性 模型 基于角色访问控制模型 (RBAC) 混合策 略模型 17 知识域:访问控制模型 知识子域:自主访问控制模型 理解自主访问控制的含义 了解访问矩阵模型,理解和分析应用访问矩阵模型的实现(访问控制列表、权能列表) 18 自主访问控制的含义 允许客体的属主(创建者)决定主体对该客体的访问权限 灵活地调整安全策略 具有较好的易用性和可扩展性 常用于商业系统 安全性不高 19 访问许可 访问许可: 描述主体对客体所具有的控制权 定义了改变访问模式的能力或向其它主体传送这种能力的能力 20 访问许可的类型 有主型(Owner) 每个客体设置一个拥有者(一般是客体的生成者),拥有者是唯一有权修改客体访问控制表的主体,拥有者对其客体具有全部控制权 等级型(Hierarchical) 自由型(Laissez-faire) 21 自主访问控制的实现机制和方法 实现机制 访问控制表/矩阵 实现方法 访问控制表(Access Control Lists) 访问能力表(Capacity List) 22

文档评论(0)

qiwqpu54 + 关注
实名认证
内容提供者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档