访问控制第1章.pptVIP

身份认证与访问控制技术 教材 课时安排：34+6 考试：闭卷；70%+30% 为什么要访问控制？ 信息技术作为推动信息化进程的核心动力，正以其广泛的渗透性和无与伦比的先进性与传统产业进行着紧密的结合，推动了国家现代化和社会文明的快速发展 CERT有关安全事件的统计 最新报告 计算机面临的威胁的几种类型 1 窃取 :对数据和服务的窃取 2 篡改: 对数据和服务的篡改 3 拒绝服务 4 伪造：伪造虚假数据 5 重放? 6 冒充：冒充身份 7 抵赖 信息系统安全加固思路： 非法人员或黑客进不来 进来了偷不走 偷走了读不懂 应用级及产品层面 密码理论与技术 认证识别理论与技术（PKI技术） 授权与访问控制理论与技术 审计追踪技术 入侵检测技术 网间隔离与访问代理技术 虚拟专用网技术 防病毒技术 数据库安全技术 什么是访问控制？ 主体访问客体的权利或能力的限制，以及限制进入物理区域和使用计算机和计算机存储的数据的过程(存取过程)。 相关概念 实体 主体 客体 控制策略 授权 域 访问控制三要素：主体、客体、控制策略 经典安全模型 首先验证用户，然后选用控制策略和管理，最后管理操作。 认证 控制策略实现 审计 ISO7498-2，包括五类安全服务 身份认证服务 数据保密服务 数据完整性服务 不可否认服务 访问控制服务 访问控制策