數(shù)據(jù)訪問控制

第三章數(shù)據(jù)訪問控制劉曉梅1內(nèi)容目錄訪問控制基本概念訪問控制步驟與應(yīng)用訪問控制模型訪問控制技術(shù)訪問控制層次控制的分類訪問控制的管理訪問控制實踐訪問控制的威脅2訪問控制介紹

訪問控制是可以幫助系統(tǒng)管理員直接或者間接可控地對系統(tǒng)行為、使用和內(nèi)容實施控制的機制的集合。管理員可以根據(jù)訪問控制定義用戶可以訪問哪些資源，可以進行哪些操作。通常，訪問控制批準(zhǔn)或者限制任何對資源的訪問，監(jiān)控和記錄訪問企圖，識別訪問用戶，并且確定其訪問是否得到授權(quán)的硬件/軟件/策略。3訪問控制概念訪問控制：針對越權(quán)使用資源的防御措施目標(biāo)：防止對任何資源（如計算資源、通信資源或信息資源）進行未授權(quán)的訪問，從而使資源在授權(quán)范圍內(nèi)使用，決定用戶能做什么，也決定代表一定用戶利益的程序能做什么。未授權(quán)訪問：包括未經(jīng)授權(quán)的使用、泄露、修改、銷毀信息以及頒發(fā)指令等。非法用戶對系統(tǒng)資源的使用合法用戶對系統(tǒng)資源的非法使用作用：機密性、完整性、和可用性4訪問控制概念訪問是存在主體和客體之間的信息流訪問控制是可以幫助系統(tǒng)管理員直接或者間接可控地對系統(tǒng)行為、使用和內(nèi)容實施控制的機制的集合。主體：訪問者（用戶、程序、進程、文件、計算機）客體：訪問對象（程序、進程、文件、計算機、數(shù)據(jù)庫、打印機、存儲介質(zhì)）操作：控制主體對客體的訪問權(quán)限（read,write,excute）和訪問方式5訪問控制概念信息分級定義評估組織的信息資產(chǎn)的風(fēng)險等級，保障信息資產(chǎn)確實得到適當(dāng)?shù)陌踩Ｗo。原因?qū)λ械男畔①Y產(chǎn)實施同一級別的安全保護不但可能會導(dǎo)致資源的浪費，而且會導(dǎo)致某些資產(chǎn)過保護而某些資產(chǎn)則保護力度不足。信息分級的好處極大提升組織的安全意識；關(guān)鍵信息被識別出來，同時得到更好的保護；對敏感信息的處理有了更清晰的指導(dǎo)；建立了資產(chǎn)的所有關(guān)系以及管理員和用戶的關(guān)系；減少非敏感信息存儲的開銷。6訪問控制概念信息分級價值（value）價值是最通常的數(shù)據(jù)分類標(biāo)準(zhǔn)，如果信息對一個組織或者其競爭對手有價值，就需要分類。壽命（age）隨著時間的推移，信息價值會降低，其分類也會降低。例如，政府部門，某些分類檔案會在預(yù)定的時間期限過后自動解除分類。使用期（usefullife）如果由于新信息的替代、公司發(fā)生的真實變化或者其他原因，信息過時了，可以對其解除分類。人員關(guān)聯(lián)（personnelassociation）如果信息與特定個人相關(guān)，或者法律（如隱私法）、規(guī)章和責(zé)任要求中指出的，需要分類。例如，如果調(diào)查信息揭示了調(diào)查者的名字，就需要保留分類。7訪問控制概念信息分級所有者（owner）通常是管理層的一員，對信息的保護和使用負有最終的責(zé)任；負有“適度關(guān)注（duecare）”責(zé)任，保障信息得到合適的安全控制；決定信息的安全級別；指派管理員數(shù)據(jù)日常保護以及維護的職責(zé)。管理者（custodian）負責(zé)數(shù)據(jù)的日常保護和維護；通常由IT人員擔(dān)當(dāng)；負有“適度勤勉（duediligence）”責(zé)任；日產(chǎn)工作包括周期的備份、恢復(fù)以及驗證數(shù)據(jù)的完整性。用戶（user）在相關(guān)工作中使用數(shù)據(jù)的任何人。8內(nèi)容目錄訪問控制基本概念訪問控制步驟與應(yīng)用訪問控制模型訪問控制技術(shù)訪問控制層次控制的分類訪問控制的管理訪問控制實踐訪問控制的威脅9訪問控制的步驟1、Identification：宣稱用戶的身份確定用戶：確定用戶是管理資源的第一步；標(biāo)示誰有訪問權(quán)限；訪問權(quán)限與用戶的需要和信任的級別。2、Authentication：驗證用戶的身份確定資源：資源可是信息、應(yīng)用、服務(wù)、打印機、存儲處理以及任何信息資產(chǎn)；確定資源的CIA。3、Authorization：指定使用確定用戶的級別或者是控制級別；確定用戶許可的操作。4、Accountability：可追溯性/責(zé)任確定員工對其行為應(yīng)該承擔(dān)的責(zé)任，記錄了用戶所做的以及時間。10身份識別唯一身份（uniqueidentity）的宣稱；應(yīng)用訪問控制關(guān)鍵的第一步；是可追溯性（accountability）的前提；有關(guān)身份的三個最佳安全實踐：唯一性：在一個控制環(huán)境中的獨一無二的身份；非描述性的：身份標(biāo)識應(yīng)當(dāng)不暴露用戶的工作角色；發(fā)布：發(fā)布身份信息的過程必須是安全和存檔的；身份標(biāo)識的一般形式UserNameUserIDAccountNumberPersonalIdentificationNumber(PIN)11身份管理身份管理概述（identitymanagement）在管理不同用戶和技術(shù)的環(huán)境中，提高效率的一系列技術(shù)的集合；在企業(yè)中，身份管理涉及員工身份（identity）、驗證（authentication）、授權(quán)（authorization）、保護（protection）和管理（manegement）;身份管理面臨的挑戰(zhàn)（challenges）一致性（consistent）:輸入不同系統(tǒng)的用戶數(shù)據(jù)應(yīng)當(dāng)保持一致；效率（efficiency）:更好的選擇是一個用戶名可以訪問多個系統(tǒng)；可用性（usability）：對用戶而言，多個系統(tǒng)、多個用戶名和多密碼可能是個較大的負擔(dān)；可靠性（Reliability）:用戶個人數(shù)據(jù)必須是可靠的；12身份管理身份管理技術(shù)目錄（directories）包含分層的對象，存儲了有關(guān)用戶（user）、組（group）、系統(tǒng)、服務(wù)器、打印機等相關(guān)信息；Web訪問管理典型的方式是在web服務(wù)器前端使用插件；密碼管理（passwordmanagement）遺留的單點登錄（legacysinglesignon）提供一個用戶身份的集中存儲，用戶登錄通過一次驗證，然后可以訪問其他系統(tǒng)而不需要反復(fù)驗證；賬號管理（accountmanagement）用戶賬號的創(chuàng)建（creation）、更改（change）、以及撤銷（decommission）；賬戶管理是訪問控制最需要投入財力和時間的且有很大潛在風(fēng)險的一個環(huán)節(jié)。Profileupdate:用戶身份信息更新13身份管理目錄技術(shù)目錄服務(wù)目錄服務(wù)就是按照樹狀信息組織模式，實現(xiàn)信息管理和服務(wù)接口的一種方法。目錄服務(wù)系統(tǒng)一般由兩部分組成。第一部分是數(shù)據(jù)庫，一種分布式的數(shù)據(jù)庫，且擁有一個描述數(shù)據(jù)的規(guī)劃；第二部分則是訪問和處理數(shù)據(jù)庫有關(guān)的詳細的訪問協(xié)議。典型的方式是在web服務(wù)器前端使用插件；目錄服務(wù)與關(guān)系數(shù)據(jù)庫的區(qū)別目錄不支持批量更新所需要的事務(wù)處理功能，目錄一般只執(zhí)行簡單的更新操作，適合于進行大量的數(shù)據(jù)的檢索；目錄具有廣泛復(fù)制信息的能力，從而在縮短響應(yīng)時間的同時，提高了可用性和可靠性。14身份管理Web協(xié)議（即HTTP）是一個無狀態(tài)的協(xié)議瀏覽器和服務(wù)器之間有約定：通過使用cookie技術(shù)來維護應(yīng)用的狀態(tài)Web-SSO完全可以利用Cookie結(jié)束來完成用戶登錄信息的保存，將瀏覽器中的Cookie和上文中的Ticket結(jié)合起來，完成SSO的功能瀏覽器Webserver申請頁面1返回頁面1申請頁面2返回頁面2瀏覽器Webserver申請頁面1返回頁面1，并設(shè)置cookie申請頁面2，并帶上cookie返回頁面215鑒別驗證（validate）用戶宣稱其身份有效的過程（process）；驗證的類型消息驗證——一個人所知道的（whatoneknows）;所有關(guān)系驗證——一個人所擁有的（whatonehas）;生物特征驗證——一個人是什么或者做了什么（whatoneisordoes）.雙因素驗證（twofactorsauthentication）以上任何兩種因素結(jié)合；如：ATMCard+PIN，token,Creditcard+signature三因素驗證（threefactorsauthentication）Includingallthreefactors16鑒別密碼最常用的驗證方式也是最脆弱的方式；類型：靜態(tài)密碼動態(tài)密碼（dynamicpwd）：周期變更，one-time-password;Passphrase：比密碼更長，通常是個虛擬密碼；認知密碼：基于個人事實，興趣以及個人相關(guān)的其他方面；密碼驗證存在的問題容易攻擊：字典攻擊（dictionaryattack）是可行攻擊方式；不便利：組織通常給用戶發(fā)布計算機產(chǎn)生的密碼，往往這些密碼難以記憶；可否認性（repudiable）:不像一個手寫的簽名，如果一個交易的完成僅僅是依靠一個密碼，那么沒有任何實際的證據(jù)表明是某個用戶完成的。17鑒別生物技術(shù)什么是生物技術(shù)Biometricsisthescienceofmeasuringandanalyzingbiologicalinformation.生物技術(shù)是度量（measures）和分析生物信息的科學(xué)。為什么使用生物技術(shù)唯一性(Unique)高級別的安全Moreadvantages:remember(whatoneknows);carriage(whatonehas);with(whatoneis)如何工作的注冊（enrollment）例行工作（routinework）18鑒別生物技術(shù)身份標(biāo)識（identification）使用個人可度量的生物特征（measurablephysicalcharacteristics）來證明他的身份；在許多可能的主體中標(biāo)識出一個特定的主體；完成一個是一對多（onetomany）的匹配。驗證（authentication）鑒別身份是生物技術(shù)最主要的應(yīng)用；通過人的生物特征（biometricstraits）來驗證；完成一個一對一（onetoone）的匹配。阻止欺詐（Fraudprevetion）是生物技術(shù)的另一個運用19鑒別生物技術(shù)遺傳特性面部識別DNA匹配手型聲音辨認Randotypictraits指紋眼睛掃描血脈模式行為特征簽名分析擊鍵動作20鑒別生物技術(shù)度量對生物系統(tǒng)的準(zhǔn)確性（accuracy）或敏感度（sensitivity）的調(diào)整將導(dǎo)致兩類錯誤：第一類錯誤（假陽性，falsepositive）當(dāng)精確度提高后，一些合法用戶將錯誤的拒絕；錯誤拒絕率，錯誤拒絕率越低，生物鑒別系統(tǒng)越好。第二類錯誤（假陰性，falsenegative）當(dāng)精確性降低時，那么一些非法的用戶將

可能會被錯誤接受；錯誤接受率，錯誤接受率越低，生物鑒別

系統(tǒng)越好。生物系統(tǒng)的度量錯誤交叉率（CER，crossequalrate），相

當(dāng)錯誤率（EER,equalerrorrate）錯誤交叉率越低，那么生物系統(tǒng)的性能越好FARFRRSensitivity%CER21鑒別生物技術(shù)度量優(yōu)化生物技術(shù)（optimalCER）其他方面的考慮對偽造的抵制數(shù)據(jù)存儲需求用戶可接受度可用性和精確性22鑒別令牌令牌設(shè)備是常見的一次性密碼（One-TimePassword,OTP）實現(xiàn)機制，為用戶生成向身份驗證服務(wù)器提交的一次性密碼。令牌設(shè)備與用戶訪問的計算機分離，它與身份驗證服務(wù)器以某種方式同步，從而對用戶進行身份驗證。同步模式基于時間同步基于計數(shù)器同步異步模式23鑒別令牌操作模式基于時間同步模式圖1圖224鑒別令牌操作模式異步模式挑戰(zhàn)/響應(yīng)

(1)工作站上顯示挑戰(zhàn)值

（2）用戶將挑戰(zhàn)值輸入令牌設(shè)備

（3）令牌設(shè)備向用戶提供一個不同的值

（4）用戶將新值和PIN輸入工作站

（5）新值發(fā)送至服務(wù)器上的身份驗證服務(wù)

（6）身份驗證服務(wù)期望特定值

（7）用戶通過身份驗證并被允許訪問工作站

.5.25應(yīng)用單點登錄（singlesignon）一旦驗證通過就可以訪問其他網(wǎng)絡(luò)資源；Kerberos一種網(wǎng)絡(luò)驗證協(xié)議（networkauthenticationprotocol）,由MIT的雅典娜項目開發(fā)；SESAMESecureEuropeanSystemforApplicationsinaMulti-VendorsEnvironment;解決Kerboros的一些缺點；安全域（securitydomain）在共享統(tǒng)一的安全策略和管理的領(lǐng)域（realm）之間建立信任；訪問主客體以及相關(guān)操作事先定義好的；26應(yīng)用單點登錄（singlesignon）單點登錄技術(shù)使用戶輸入一次憑證就能夠訪問指定域內(nèi)的所有預(yù)授權(quán)資源。實施更健壯的密碼策略27應(yīng)用單點登錄實現(xiàn)LoginScripts登陸腳本腳本里面包含用戶名、口令、環(huán)境參數(shù)、登錄命令的批處理文件或者腳本KerberosSESAME(SecureEuropeanSystemforApplicationsinaMulti-VendorsEnvironment)瘦客戶機目錄服務(wù)，如LDAP、DNS、ActiveDirectory28應(yīng)用KerberosKerberos鑒別系統(tǒng)MIT設(shè)計，Athena工程的一部分，名字來源于希臘神話，一只名叫Kerberos的三頭狗，是地獄的門衛(wèi)，Currentlyinversion5鑒別和密鑰分發(fā)兩個目的對主機上的多種服務(wù)提供不可偽造的證書，以識別單個用戶每個用戶和每個服務(wù)都與Kerberos密鑰分發(fā)中心共享一個密鑰，這些密鑰作為分發(fā)會話密鑰的主密鑰，也作為KDC的證據(jù)，保證包含在報文中的信息的正確性能夠解決的問題身份認證（Authentication），數(shù)據(jù)完整性（Integrity），保密性（Confidentiality）在使用Kerberos之前，必須和服務(wù)器互換秘密密鑰（secretkey）,當(dāng)你連接到系統(tǒng)，告訴服務(wù)器你的用戶ID，服務(wù)器會返回一個經(jīng)過加密的票據(jù)（ticket）。如果你的身份無誤，你自然知道密鑰并解密票據(jù)，最終你會取得信息的訪問權(quán)，否則你的訪問請求會遭到拒絕。29應(yīng)用Kerberos組成KDC（KeyDistributionCenter）保存所有用戶及服務(wù)的key，提供認證服務(wù)和key交換功能，client和service信任KDC，這種信任是Kerberos安全的基礎(chǔ)。AS（AuthenticationService）是KDC的一部分，負責(zé)認證PrincipalTGS（TicketGrantingService）也是KDC的一部分，負責(zé)生成ticket并處理之（授權(quán)）Ticket一個記錄，客戶可以用它來向服務(wù)器證明自己的身份，其中包括客戶的標(biāo)識、會話密鑰、時間戳，以及其他一些信息。Ticket中的大多數(shù)信息都被加密。Principal主體，由KDC提供安全服務(wù)的實體，可能是用戶、應(yīng)用程序或services30應(yīng)用Kerberos組成兩種票據(jù)票據(jù)許可票據(jù)（Ticketgrantingticket）客戶訪問TGS服務(wù)器需要提供的票據(jù)，目的是為了申請某一個應(yīng)用服務(wù)器的“服務(wù)許可票據(jù)”；票據(jù)許可票據(jù)由AS發(fā)放；服務(wù)許可票據(jù)（Servicegrantingticket）是客戶時需要提供的票據(jù)；31應(yīng)用Kerberos通信過程（1）用戶向AS進行身份驗證（2）AS向用戶發(fā)送初始票證TGT（3）用戶請求訪問文件服務(wù)器（4）TGS使用會話密鑰創(chuàng)建新的票證，兩個實例（5）用戶提取一個會話密鑰，并將票證發(fā)送至文件服務(wù)器用戶委托人KDCASTGS（1）（2）（3）（4）文件服務(wù)器委托人（5）32應(yīng)用Kerberos總結(jié)在KDC上用戶必須有一個賬號KDC必須是一個受信任的服務(wù)器KDC與每一個用戶共享DES密鑰當(dāng)用戶訪問主機或者應(yīng)用時，必須向KDC申請票據(jù)用戶向應(yīng)用提供票據(jù)和身份驗證33應(yīng)用Kerberos弱點KDC可以是一個單一故障點KDC必須能夠?qū)崟r處理接受到的大量請求Kerberos要求客戶端和服務(wù)器的時鐘同步秘密密鑰、會話密鑰存放在用戶工作站中，容易受到攻擊（DES）34內(nèi)容目錄訪問控制基本概念訪問控制步驟與應(yīng)用訪問控制模型訪問控制技術(shù)訪問控制層次控制的分類訪問控制的管理訪問控制實踐訪問控制的威脅35訪問控制模型介紹自主訪問控制（DAC,DiscretionaryAccessControl）訪問是基于用戶的授權(quán)對象的屬主創(chuàng)建或授予其他用戶訪問的權(quán)利主要應(yīng)用是把保護數(shù)據(jù)同非授權(quán)用戶分離依靠對象屬主（owner）來控制訪問桔皮書：C-levelUsedbyUnix,NT,NetWare,Linux,VINES等DAC類型：Identity-base：基于用戶和資源標(biāo)識User-directed：直接面向用戶進行限制36訪問控制模型介紹Identity-baseAC身份型訪問控制基于對象標(biāo)識標(biāo)識既可以是用戶又可以是組成員數(shù)據(jù)所有者可以選擇允許Bob（用戶）和Accounting組（組成員）訪問他的文件37訪問控制模型介紹強制訪問控制（MAC，Mandatory

access

control）一般來說，比DAC更安全指定每個客體的敏感標(biāo)簽，同時只允許那些不低于客體標(biāo)簽等級的用戶訪問只有管理員才能更改客體級別，而不是客體的屬主桔皮書：B-level使用在安全要求比較高的場所，如軍隊里強制訪問控制難以配置和實施38訪問控制模型介紹強制訪問控制MACSecurityPolicy:Public:僅能訪問PublicLevelOfficers:能訪問Officers和PublicLevelExecutive：能訪問Public、fficers和ExecutiveLevelUser：JohnSubjectLevel：OfficersUser：AmySubjectLevel：PublicUser：MarySubjectLevel：ExecutiveReports.docSensitivityLevel：Officers39訪問控制模型介紹基于角色訪問控制（RBAC，Role-BasedAccessControl）使用集中（central）的訪問控制來決定主體和客體之間的交互；允許對資源的訪問是建立在用戶所持的角色的基礎(chǔ)上的；管理員給用戶分配較色同時給角色賦予一定權(quán)限，比如訪問控制是以工作職責(zé)為基礎(chǔ)的；控制機制：用戶具有某個角色、賦予角色某些權(quán)限40訪問控制模型介紹基于角色訪問控制（RBAC）職責(zé)分離（separateofduty）主要目的是防止欺詐和錯誤；對于某一特定操作在多個用戶細分工作任務(wù)和相關(guān)的權(quán)限；建立檢查-平衡機制（check-balancemechanism）,相互監(jiān)督工作輪換，雙重控制(dualcontrol)，雙人操作(two-mancontrol)，強制休假(mandatoryvacation)最小特權(quán)(leastprivilege)要求用戶或進程被給予不超過其工作需要的額外的操作權(quán)限識別用戶的工作職責(zé)，以及完成該工作所需的最小權(quán)限集Need-to-know41訪問控制模型介紹基于角色訪問控制（RBAC）靜態(tài)和動態(tài)靜態(tài)職責(zé)分離相對簡單，是由單個的工作角色以及指派給用戶的一些特定的角色的元素來決定；動態(tài)職責(zé)分離比較復(fù)雜，在系統(tǒng)的操作過程中決定。適用性必須考慮兩大不同因素：職能的敏感性和工作處理流程的分發(fā)特性評估指定處理的重要性以及同企業(yè)安全風(fēng)險、操作和信息資產(chǎn)的關(guān)系；分發(fā)元素識別元素，重要性和嚴重程度可操作性用戶技能和可用性42訪問控制模型介紹核心RBAC用戶、角色、權(quán)限應(yīng)根據(jù)安全策略進行定義和對應(yīng)用戶和角色是一對多的關(guān)系用戶可以屬于多個組，并擁有每個組所享有的各種特權(quán)43訪問控制模型介紹層次化RBAC該模型對應(yīng)特定環(huán)境中的組織機構(gòu)和功能描述。各種業(yè)務(wù)已經(jīng)建立在一個人員層次化結(jié)構(gòu)中，所以該組件非常有用。行政管理系統(tǒng)中的位置越高，所擁有的訪問權(quán)限就越多。44訪問控制模型介紹訪問控制模型總結(jié)：DAC：數(shù)據(jù)所有者決定誰能訪問資源，ACL用于實施安全策略MAC：操作系統(tǒng)通過使用安全標(biāo)簽來實施系統(tǒng)的安全策略RBAC：訪問決策基于主體的角色或功能位置45內(nèi)容目錄訪問控制基本概念訪問控制步驟與應(yīng)用訪問控制模型訪問控制技術(shù)訪問控制層次控制的分類訪問控制的管理訪問控制實踐訪問控制的威脅46訪問控制技術(shù)介紹基于規(guī)則的訪問控制使用特定規(guī)則來規(guī)定主體和客體之間可以做什么，不可以做什么系統(tǒng)管理員為用戶創(chuàng)建規(guī)則指定權(quán)限基于以下規(guī)則：IfXthenY創(chuàng)建一套規(guī)則，用戶在訪問系統(tǒng)前都要先檢測規(guī)則是一種強制型控制，規(guī)則由管理員制定，用戶不能更改典型應(yīng)用：路由器、包過濾防火墻、代理47訪問控制技術(shù)介紹限制接口例：menusandshells、databaseviews、physicallyconstrainedinterfaces基于內(nèi)容的訪問控制對客體的訪問基于客體的內(nèi)容基于上下文的訪問控制基于一組信息的上下文做出訪問決策48訪問控制技術(shù)介紹訪問控制矩陣(AccessControlMatrix)訪問能力表(CapabilityTables)訪問控制列表（AccessControlLists）目標(biāo)用戶目標(biāo)x目標(biāo)y目標(biāo)z用戶aR、W、OwnR、W、Own用戶bR、W、Own用戶cRR、W用戶dRR、W49內(nèi)容目錄訪問控制基本概念訪問控制步驟與應(yīng)用訪問控制模型訪問控制技術(shù)訪問控制層次控制的分類訪問控制的管理訪問控制實踐訪問控制的威脅50訪問控制層次訪問控制列表需要用戶名和密碼進行身份驗證入侵檢測系統(tǒng)周邊安全51內(nèi)容目錄訪問控制基本概念訪問控制步驟與應(yīng)用訪問控制模型訪問控制技術(shù)訪問控制層次控制的分類訪問控制的管理訪問控制實踐訪問控制的威脅52控制分類介紹管理性的（administrative）描述了控制系統(tǒng)所有的行為、策略和管理；定義了管理控制環(huán)境的角色、責(zé)任、策略以及管理職能。技術(shù)的（technical）落實安全策略的應(yīng)用在所有基礎(chǔ)設(shè)施和系統(tǒng)上的各種機制；在控制被應(yīng)用以及驗證的控制環(huán)境中的電子控制手段。物理的（physical）非技術(shù)性的環(huán)境，涉及廣泛的控制范圍，從門禁、環(huán)境控制窗口、建設(shè)標(biāo)準(zhǔn)以及門衛(wèi)等。53控制分類介紹預(yù)防性的（preventative）阻止未授權(quán)行為，預(yù)防安全事件的發(fā)生；例：柵欄、安全策略、安全意識（securityawareness）、反病毒、身份識別、鑒別；威懾性的（deterrent）阻礙安全事件發(fā)生；例：潛在的處罰、身份識別、監(jiān)視和審計（monitoringandauditing）;檢測性的（detective）識別正在發(fā)生的安全事件（securityevents）例：門衛(wèi)（guard）、事件調(diào)查（incidentsinbestigation）、入侵檢測（IDS）糾正性的（corrective）改善環(huán)境/減少損失和恢復(fù)控制；恢復(fù)性的（recovery）恢復(fù)到正常的狀態(tài)補償性的（compensating）54內(nèi)容目錄訪問控制基本概念訪問控制步驟與應(yīng)用訪問控制模型訪問控制技術(shù)訪問控制層次控制的分類訪問控制的管理訪問控制實踐訪問控制的威脅55訪問控制集中管理訪問控制集中管理集中式訪問控制所有的授權(quán)和校驗工作集中在單一實體或位置上優(yōu)點嚴格控制，統(tǒng)一訪問，高效方便缺點中心負載，單點故障例子RADIUS（RemoteAuthenticationDial-inUserService）-centralizedserverforsinglepointofnetworkauthenticationTACACS(TerminalAccessControllerAccessControlSystem)-centralizeddatabasewithaccountsthatauthorizesdatarequests56訪問控制集中管理RADIUS遠程撥入用戶認證服務(wù)認證服務(wù)器/動態(tài)密碼提供密碼管理功能可以實現(xiàn)認證、授權(quán)、日志57訪問控制集中管理TACACSTerminalAccessControllerAccessControlSystem與RADIUS一樣，包含集中數(shù)據(jù)庫，在服務(wù)器端驗證用戶使網(wǎng)絡(luò)設(shè)備能夠根據(jù)用戶名和靜態(tài)密碼認證用戶實現(xiàn)3A，認證、授權(quán)和審計三個版本TACACS:網(wǎng)絡(luò)設(shè)備查詢服務(wù)器驗證密碼ExtendedTACACS（XTACACS）TACACS+增加了（動態(tài)密碼）通過安全令牌實現(xiàn)雙因素認證

58訪問控制集中管理TACACS59訪問控制集中管理RADIUSTACACS+數(shù)據(jù)包傳輸UDPTCP數(shù)據(jù)包加密僅加密在RADIUS客戶端與RADIUS服務(wù)器之間傳送的認證信息加密客戶端與服務(wù)器之間的所有流量AAA支持組合身份驗證和授權(quán)服務(wù)使用AAA體系結(jié)構(gòu)，分離身份驗證、授權(quán)和審計多協(xié)議支持在PPP連接上工作支持其他協(xié)議，如AppleTalk、NetBIOS和IPX響應(yīng)在對某位用戶進行身份驗證時使用挑戰(zhàn)/響應(yīng)；它適用于所有AAA活動對每個AAA進程都使用多挑戰(zhàn)響應(yīng)；每個AAA活動都必須進行身份驗證60

訪問控制分散管理

訪問控制分散管理分散的訪問控制資源所有者決定訪問控制優(yōu)點：根據(jù)用戶授權(quán)，不存在單點缺點：缺乏一致性61內(nèi)容目錄訪問控制基本概念訪問控制步驟與應(yīng)用訪問控制模型訪問控制技術(shù)訪問控制層次控制的分類訪問控制的管理訪問控制實踐訪問控制的威脅62訪問控制實踐拒絕未知用戶或匿名賬戶對系統(tǒng)的訪問限制和監(jiān)控管理員以及其他高級賬戶的使用在登陸嘗試失敗次數(shù)達到特定值后掛起或延遲訪問功能用戶一離開公司，就立刻刪除他的賬戶實施“知其所需”和最小特權(quán)原則禁止不必要的系統(tǒng)功能、服務(wù)和端口更換為賬戶設(shè)置的默認密碼限制和監(jiān)控全局訪問規(guī)則確保登錄ID不是對工作職能的描述從資源訪問列表中刪除多余的用戶ID、賬戶和角色型賬戶實現(xiàn)密碼需求（長度、內(nèi)容、生命期、分發(fā)、存儲和傳輸）。63內(nèi)容目錄訪問控制基本概念訪問控制步驟與應(yīng)用訪問控制模型訪問控制技術(shù)訪問控制層次控制的分類訪問控制的管理訪問控制實踐訪問控制的威脅64訪問控制的威脅針對訪問控制的攻擊Bruteforce暴力攻擊應(yīng)對措施：增加登陸時間間隔，鎖定用戶，限制登陸失敗IP等字典攻擊應(yīng)對措施：使用一次性密碼令牌、使用非常難以猜測的密碼、頻繁更換密碼、使用字典破譯工具來查找用戶選定的弱密碼、在密碼內(nèi)使用特殊的字符、數(shù)字以及大小寫字母等拒絕服務(wù)攻