- 1、本文档共106页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
[企业管理]CISP0203访问控制与审计监控
访问控制与审计监控
贵州亨达集团信息安全技术有限公司
课程内容
2
访问控制与审计监控
知识体
知识域
访问控制模型
访问控制技术
审计和
监控技术
知识子域
知识域:访问控制模型
知识子域:访问控制基本概念
理解标识、鉴别和授权等访问控制的基本概念
理解各种安全模型的分类和关系
3
访问控制的概念和目标
访问控制:针对越权使用资源的防御措施
目标:防止对任何资源(如计算资源、通信资源或信息资源)进行未授权的访问,从而使资源在授权范围内使用,决定用户能做什么,也决定代表一定用户利益的程序能做什么。
资源不是无限开放的,在一定约束条件下使用
网络及信息具有价值,难免会受到各种意外的或者蓄意的未授权的使用和破坏
必须授权才可以访问
4
Window7中的自主访问控制
5
访问控制的作用
未授权访问:包括未经授权的使用、泄露、修改、销毁信息以及颁发指令等。
非法用户对系统资源的使用
合法用户对系统资源的非法使用
作用:机密性、完整性和可用性
6
术语:主体与客体
主体
发起者,是一个主动的实体,可以操作被动实体的相关信息或数据
用户、程序、进程等
客体
一种被动实体,被操作的对象,规定需要保护的资源
文件、存储介质、程序、进程等
7
主体与客体之间的关系
主体:接收客体相关信息和数据,也可能改变客体相关信息
一个主体为了完成任务,可以创建另外的主体,这些子主体可以在网络上不同的计算机上运行,并由父主体控制它们
客体:始终是提供、驻留信息或数据的实体
主体和客体的关系是相对的,角色可以互换
8
授权
规定主体可以对客体执行的操作:
读
写
执行
拒绝访问
…
9
10
标识
标识是实体身份的一种计算机表达,每个实体与计算机内部的一个身份表达绑定
标识的主要作用:访问控制和审计
访问控制:标识用于控制是否允许特定的操作
审计:标识用于跟踪所有操作的参与者,参与者的任何操作都能被明确地标识出来
11
主体标识的实例
主体的标识
在UNIX中,主体(用户)的身份标识为0-65535之间的一个整数,称为用户身份号(UID)
用户登录时的UID可以改变,有效UID是用于访问控制的用户身份
UID=22 permit read
If登录uid=22 and 有效uid=35,then read?
If登录uid=35 and 有效uid=22,then read?
常见的主体标识还包括用户名、卡、令牌等,也可以是指纹、虹膜等生物特征
12
客体标识的实例
客体的标识
文件名
UNIX中提供不同的文件标识:
绝对路径文件名
相对路径文件名
13
鉴别
确认实体是它所声明的,提供了关于某个实体身份的保证,某一实体确信与之打交道的实体正是所需要的实体
口令、挑战-应答、生物特征鉴别
所有其它的安全服务都依赖于该服务
需求:某一成员(声称者)提交一个主体的身份并声称它是那个主体
目的:使别的成员(验证者)获得对声称者所声称的事实的信任
14
访问控制的两个重要过程
第一步:鉴别
检验主体的合法身份
第二步:授权
限制用户对资源的访问权限
15
访问控制模型
16
什么是访问控制模型
对一系列访问控制规则集合的描述,可以是非形式化的,也可以是形式化的。
组成
访问控制模型的分类
访问控制模型
强制访问控制模型
(MAC)
自主访问控制模型
(DAC)
访问矩阵模型
访问控制列表
(ACL)
权能列表
(Capacity List)
Bell-Lapudula 模型
Biba 模型
Clark-Wilson 模型
Chinese Wall 模型
保密性
模型
完整性
模型
基于角色访问控制模型
(RBAC)
混合策
略模型
17
知识域:访问控制模型
知识子域:自主访问控制模型
理解自主访问控制的含义
了解访问矩阵模型,理解和分析应用访问矩阵模型的实现(访问控制列表、权能列表)
18
自主访问控制的含义
允许客体的属主(创建者)决定主体对该客体的访问权限
灵活地调整安全策略
具有较好的易用性和可扩展性
常用于商业系统
安全性不高
19
访问许可
访问许可:
描述主体对客体所具有的控制权
定义了改变访问模式的能力或向其它主体传送这种能力的能力
20
访问许可的类型
有主型(Owner)
每个客体设置一个拥有者(一般是客体的生成者),拥有者是唯一有权修改客体访问控制表的主体,拥有者对其客体具有全部控制权
等级型(Hierarchical)
自由型(Laissez-faire)
21
自主访问控制的实现机制和方法
实现机制
访问控制表/矩阵
实现方法
访问控制表(Access Control Lists)
访问能力表(Capacity List)
22
文档评论(0)