网络安全11访问控制.pdfVIP

网络安全的组成  物理安全性  设备的物理安全：防火、防盗、防毁坏等  通信网络安全性  防止入侵和信息泄露  系统安全性  计算机系统不被入侵和毁坏  用户访问安全性  通过身份鉴别和访问控制,阻止资源被非法用户访问  数据安全性  数据的完整、可用  数据性  信息的加密存储和传输 安全的分层结谈判主要技 术 数据安全 加密 层 应用安全 访问控制 授权 层 用户安全 用户/组管理 单机登录 身份认证 层 系统安全 反病毒 风险评估 入侵检测 审计分析 层 网络安全 防火墙 安全的通信契约 VPN 层 物理安全 存储备份 层 系统安全  保护计算机和网络系统中的资 源  计算机  网络设备  存储介质  软件和程序  数据和数据库  通信资源：端口、带宽等  …… 计算机系统安全技术  访问控制和授权  安全审计  安全风险分析和评估  隔离和阻断（防火墙）  入侵检测  灾难预防和恢复 用户帐户管理  帐户：用于管理访问计算机系统的实体  人  软件实体  其它计算机  ……  用户登录系统时,确定每个用户访问系统资源 的权限  登录计算机  访问文件系  执行系统命令  系统管理  …… 用户登录  用户只有登录才能访问系  用户身份识别  用户名/ 口令  智能卡  身份认证契约：PAP、CHAP、Kerberos、…  ……  对用户的访问授权  根据用户帐户数据库中的信息对登录用户授权  存在多种访问控制方法,相应的授权和管理方法也 不同 访问控制 访问控制  访问控制  为了安全目的,依据策略或权限机制,控制 对资源进行的不同授权访问  保障授权用户能获取所需资源  拒绝非授权用户的资源访问请求  身份认证是访问控制的前提条件  访问控制是应用系统不可缺少的重要部分  访问控制包含3个要素：主体、客体和控 制策略。 访问控制的相关概念  主体（Subject）  是指一个提出请求或要求的实体,是动作的发起者, 但不一定是动作的执行者。通常指用户或代表用户执 行的程序  客体（Object）  是指接受其它实体访问的被动实体,是规定需要保护 的资源,又称作目标。既可以是信息、文件、记录, 也可以是硬件设备  控制策略  是主体对客体的操作行为集和约束条件集。简单讲, 控制策略是主体对客体的访问规则集,体现了一种授 权行为,也就是客体对主体的权限允许,这种允许不 得超过规则集 访问控制的目的  通过访问控制策略显式地准许或限制主体的访问 能力及范围  限制和管理合法用户对关键资源的访问,使得资 源的使用在合法范围内进行  防止和追踪非法用户的侵入,