互联网安全手册.docxVIP

互联网安全手册

第1章基础防护与访问控制

1.1身份认证与授权机制

在身份认证阶段，系统需强制用户输入唯一标识符（如用户名、邮箱或生物特征码），并校验其哈希值与数据库中存储的明文密码是否匹配，确保“人证合一”。例如，某电商平台在登录时，会先调用加密接口获取用户的MD5或SHA-256哈希值，再对比后端配置好的盐值（Salt）计算出的最终哈希，若两者不一致则直接拒绝登录，防止重放攻击。授权机制采用基于角色的访问控制（RBAC）模型，将用户细分为管理员、审核员、普通用户等角色，并赋予其对应的资源权限列表。当用户发起访问请求时，服务器实时比对请求中的角色标识与用户角色列表，若用户角色不在授权范围内，则立即拦截请求并返回403错误码。

针对敏感数据，实施基于属性的访问控制（ABAC），通过定义“谁（用户角色）、在什么时间、访问什么资源、在什么环境”等条件动态决定访问权限。例如，财务系统规定只有“财务专员”角色的用户在凌晨0点至6点才能访问“薪资明细表”，其他时间自动锁定，即使普通用户输入密码也无法查看。多因素认证（MFA）作为第二道防线，要求用户在完成密码认证后，还需通过短信验证码、手机APP动态令牌或人脸识别中的一种方式进行二次验证。若某次登录失败超过5次，系统会自动触发MFA流程，并要求用户输入动态令牌才能继续，极大降低了暴力破解风险。