网络安全培训课件(PPT 85页).ppt

9.3 物理隔离措施 网络物理隔离方案 客户端的物理隔离 集线器级的物理隔离 服务器端的物理隔离 主要物理隔离产品  物理隔离卡 物理隔离集线器 物理隔离网闸。 第9章 第3节 * 9.3 物理隔离措施 网络物理隔离方案 客户端的物理隔离 第9章 第3节 * 9.3 物理隔离措施 网络安全隔离卡是以物理方式将一台PC虚拟为两个电脑，实现工作站的双重状态 第9章 第3节 * 9.3 物理隔离措施 网络物理隔离方案 集线器级的物理隔离 第9章 第3节 * 9.3 物理隔离措施 网络物理隔离方案 集线器级的物理隔离 物理隔离网闸 第9章 第3节 * 9.3 物理隔离措施 网络物理隔离方案 服务器端的物理隔离 第9章 第3节 * 9.3 物理隔离措施 物理隔离的优点 安全级别高，保障强 易于在现有涉密网上安装 物理隔离的未尽之处 资源消耗大 缺乏管理 认证、访问控制、审计、取证 妨碍应用 第9章 第3节 * 9.4 自主访问控制 自主访问控制 由客体自主地来确定各个主体对它的直接访问权限（又称访问模式） 在自主访问控制下，用户可以按自己的意愿对系统的参数做适当的修改，以决定哪个用户可以访问他们的文件 第9章 第4节 * 9.4 自主访问控制 自主访问控制 Discretionary Access Control,简称DAC 自主访问控制基于对主体或主体所属的主体组的识别来限制对客体的访问，这种控制是自主的 自主 是指对其它具有授予某种访问权力的主体能够自主地（可能是间接的）将访问权的某个子集授予其它主体 第9章 第4节 * 自主访问控制的实现机制 DAC一般采用以下三种机制来存放不同主体的访问控制权限，从而完成对主体访问权限的限制： 1、访问控制矩阵 2、访问控制列表 3、访问控制能力列表 * 访问控制矩阵ACM 从概念上来说，访问控制可以通过使用和维护一个访问控制矩阵（Access Control Matrix)来实现。 访问控制矩阵是通过二维矩阵形式表示访问控制规则和授权用户权限的方法；包含三个元素：主体、客体和访问权限。 访问控制矩阵的行对应于主体，列对应于客体；第i行第j列的元素是访问权限的集合，列出了允许主体si对客体oj进行访问的权限。 * 9.4 自主访问控制 访问控制矩阵 第9章 第4节 * 访问控制矩阵 访问控制矩阵实例如下图所示： 客体 主体 Bob.doc A John.exe Bob 拥有 读、写 执行 Alice 写 拥有 执行 John 读、写 拥有 * 访问控制矩阵 访问控制的任务就是确保系统的操作是按照访问控制矩阵授权的访问来执行。 优点：清晰地实现认证与访问控制的相互分离 。 缺点：在较大系统中，如果用户和资源都非常多，那么访问控制矩阵非常巨大；而且每个用户可能访问的资源有限，矩阵中许多格可能都为空，浪费存储空间；因此较少使用。 简单的解决方法：将访问控制矩阵按行或按列进行划分。如果按行划分，得到访问控制能力表；如果按列划分，得到广泛应用的访问控制列表。 * 9.4 自主访问控制 DAC的实现方法 基于行的DAC (访问控制列表) 权力表（Capabilities List） 前缀表（Profiles） 口令（Password） 基于列的DAC (访问控制能力列表) 保护位（Protection Bits） 访问控制表（Access Control List，ACL） 第9章 第4节 * 访问控制列表ACL 访问控制列表（Access control List）是以文件为中心建立访问权限表。 对于每个资源，访问控制列表中列出可能的用户和用户的访问权限。 访问控制列表是基于访问控制矩阵中列的自主访问控制区，它在一个客体上附加一个主体明细表来表示各个主体对这个客体的访问权限；明细表中的每一项都包括主体的身份和主体对这个客体的访问权限。 * 访问控制列表ACL 例如，前面访问控制矩阵实例对应的访问控制列表如下所示： acl (Bob.doc）= { (Bob, {拥有})，(Alice, {写})， (John, {读、写}))} acl (A）= { (Bob, {读、写})，(Alice, {拥有}) } acl (John.exe）= { (Bob, {执行})，（Alice, {执行})， (John, {拥有}))} * 访问控制列表ACL 优点：实现简单、实用，大多数PC、服务器和主机都使用ACL作为访问控制的实现机制。 适用情