




版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡介
1、1、運(yùn)行安全-訪問控制,發(fā)表人:翟健宏Email:辦公室:新技術(shù)大樓509 tel 2,1訪問控制的基本概念2訪問控制的實(shí)現(xiàn)機(jī)制和方法3訪問控制的一般戰(zhàn)略4授權(quán)的管理,3, 3根據(jù)3 ISO7498-2,安全服務(wù)包括實(shí)體身份驗(yàn)證數(shù)據(jù)機(jī)密性數(shù)據(jù)身份數(shù)據(jù)完整性數(shù)據(jù)完整性不可否認(rèn)非重復(fù)性訪問控制access 一般概念:是對越權(quán)使用資源的防御措施。 分類:自主訪問控制強(qiáng)制訪問控制角色訪問控制訪問控制的目的:限制對主體用戶、流程服務(wù)等訪問對象文件系統(tǒng)等資源的訪問權(quán)限,使計(jì)算機(jī)系統(tǒng)在合法范圍內(nèi)使用。 決定用戶能做什么,也決定代表一定用戶利益的程序能做什么。 角色:認(rèn)證需要訪問
2、系統(tǒng)及其數(shù)據(jù)的人,驗(yàn)證合法的身份。也是進(jìn)行記賬審計(jì)等的前提。 5,1.3訪問控制與其他安全措施的關(guān)系模型,6,1訪問控制的基本概念2訪問控制的實(shí)現(xiàn)機(jī)制和方法3訪問控制的一般策略4授權(quán)的管理,7,2訪問控制的實(shí)現(xiàn)機(jī)制和方法,2.1實(shí)現(xiàn)機(jī)制基于訪問控制屬性:訪問控制矩陣基于用戶和資源“安全標(biāo)簽”:多階段主要是訪問控制表ACL(Access Control Lists )訪問能力表(Capabilities )訪問控制矩陣授權(quán)關(guān)系表,9,訪問控制表:每個(gè)對象10、訪問能力表:每個(gè)代理都附有該代理可以訪問的對象的匯總修訂表。 11、訪問控制矩陣:每列訪問控制表的內(nèi)容,每行訪問能力表的內(nèi)容。12、授權(quán)關(guān)
3、系表、13、1訪問控制的基本概念2訪問控制的實(shí)現(xiàn)機(jī)制和方法3訪問控制的一般策略4授權(quán)的管理、14、3訪問控制的一般策略、自主訪問控制強(qiáng)制訪問控制基于自主/strong制訪問問問題角色的訪問控制的實(shí)例rbb 缺點(diǎn):信息在移動過程中訪問權(quán)限的關(guān)系會改變。 例如,用戶a可以將對目標(biāo)o的訪問權(quán)限傳遞給用戶b,而沒有對o的訪問權(quán)限的b可以訪問o。17、強(qiáng)制訪問控制,特點(diǎn):對主題和對象進(jìn)行排名,根據(jù)代理和對象的排名來確定訪問模式。 例如,機(jī)密等級、機(jī)密等級、秘密等級、秘密等級。 其訪問控制關(guān)系有上讀/下寫(完整性)、下讀/復(fù)蓋(機(jī)密性)。 通過坡度安全標(biāo)簽實(shí)現(xiàn)單向信息流通模式。 下級可以看到上級的信息,但
4、不能修改上級的內(nèi)容。 下級可以向上級提出意見,但不能查看上級的信息。 另外,在強(qiáng)制訪問控制、精密描述強(qiáng)制訪問控制(MAC )中,系統(tǒng)包括代理集s和對象集o,每個(gè)s中的代理s和對象集中的對象o屬于固定的安全類SC,安全類SC 構(gòu)成一個(gè)偏差關(guān)系。 Bell-LaPadula :保證機(jī)密性的簡單的安全特性(無上讀取) :只有在SC(o)SC(s )的情況下,s才能讀取o。 *-特性(無寫入) :只有在SC(s) SC(o )的情況下,s才能修改o Biba。 保證完整性與1相反。(無與倫比、無讀取)、(貝拉帕杜拉(Bell-Lapadula )模型多安全級別、強(qiáng)制規(guī)則)、19、強(qiáng)制訪問控制、mac(
5、mandatoryaccesscontrol ) id低效強(qiáng)制訪問控制配置的粒度太大,缺乏靈活性示例: 1000代理訪問10000個(gè)對象需要1000萬次配置,每個(gè)部署需要1秒,每天工作8小時(shí)需要10,000,000/3600 *8=347.2天。 21、基于角色的訪問控制和基于角色的訪問控制是復(fù)合規(guī)則,可以認(rèn)為是初始IBAC和RBAC的結(jié)合。 id會被指派給已核準(zhǔn)的群組。 這取決于UNIX或其它操作系統(tǒng)中的組的概念。22、基于角色的訪問控制,特征:角色分離角色層次角色激活用戶角色關(guān)系約束(constraation ) 角色概念arolecanbedefinedasasetofactionsan
6、dresponsibilitiesassociatedwithaparticularworkingactivity。 每個(gè)角色都與一組用戶和相關(guān)聯(lián)的操作相關(guān)聯(lián),屬于該角色的用戶可以執(zhí)行這些操作。24、角色和組區(qū)分組:用戶集角色:用戶集權(quán)限集。 基于角色的訪問控制相對于DAC和MAC區(qū)分角色控制是獨(dú)立的,需要配置來使一些角色接近DAC,而一些角色可以接近MAC。 在基于角色的訪問控制、25、基于角色的訪問控制示例、銀行環(huán)境中,用戶角色可定義為出納員、分行管理員、客戶、系統(tǒng)管理員和審計(jì)員,訪問控制策略的示例包括由一個(gè)出納員修改客戶帳號記錄(包括存款、取款、轉(zhuǎn)帳等), 允許查詢的一個(gè)分行管理員修改客
7、戶賬號記錄(包括存款和取款,但不包括規(guī)定資金數(shù)量的范圍),允許查詢所有賬號的登記項(xiàng)目, 允許一個(gè)客戶僅查詢自己帳戶的注冊項(xiàng)目允許系統(tǒng)管理員查詢系統(tǒng)的注冊項(xiàng)目和交換機(jī)系統(tǒng),但不允許用戶讀取或更改帳戶信息允許一個(gè)審計(jì)員查詢系統(tǒng)中的design 26、特點(diǎn):此戰(zhàn)略陳述易于非技術(shù)性組織戰(zhàn)略人員理解,并且可以輕松映射到訪問控制矩陣和基于組的策略描述。 具有基于身份策略的特征,也具有基于規(guī)則的策略的特征。 基于組或角色的訪問控制可以限制一個(gè)個(gè)人用戶是多個(gè)組或角色的成員。 中的組合圖層性質(zhì)變更選項(xiàng)。 基于角色的訪問控制實(shí)例、27和RBAC與傳統(tǒng)訪問控制的差異提高了間接性和靈活性。28、RBAC參考模型、co
8、rerbachierarchicalrbacstaticseparationofdutyrelationsdynamicseparationofdutyrelations、29、core RBAC用戶:人、人進(jìn)程權(quán)限:允許對受保護(hù)的目標(biāo)執(zhí)行操作系統(tǒng)ua :用戶權(quán)限:用戶權(quán)限:用戶會話(user _ sessions ) corerbac點(diǎn)說明(1) session由用戶控制,可以動態(tài)地激活/取消角色,實(shí)現(xiàn)最小權(quán)限。 不要同時(shí)激活所有角色。 (2) session和user的分離可解決同一用戶的多個(gè)賬戶所導(dǎo)致的問題,例如審計(jì)、會議訂正等。能夠完成工作的最小權(quán)限、RBAC參考模型、31,2 ) h
9、ierarchical RBAC角色的結(jié)構(gòu)化層次是反映組織權(quán)限和責(zé)任的自然方法。 角色的繼承關(guān)系Role r1 “inherits” role r2已經(jīng)被定義,角色r2的權(quán)限也同樣是r1的權(quán)限。RBAC參考模型,32,2 ) hierarchical RBAC角色關(guān)系:偏差關(guān)系,自反(有sc )傳輸,RBAC參考模型,33,受約束其中包括“靜態(tài)責(zé)任分離”(staticseparationofdutyrelations )。 動態(tài)責(zé)任分離、RBAC參考模型34,3 ) staticseparationofdutyrelations將用戶分配的角色分配給角色RBAC參考模型,35,4 ) dyna
10、micseparationofdutyrelations類似于固態(tài)硬盤,需要限制用戶許可。 SSD直接約束在用戶的許可空間,而DSD支持約束用戶會話進(jìn)程的最小權(quán)限:根據(jù)時(shí)間的不同,具有不同的權(quán)限。 使用DSD,可以為用戶授予多個(gè)不會引起利益沖突的角色。 RBAC參考模型、36、dsd RBAC模型:RBAC參考模型、37和RBAC的優(yōu)點(diǎn)是,許可管理需要系統(tǒng)管理員更改系統(tǒng)設(shè)置,許可管理需要幾個(gè)不同角色的用戶參與并保護(hù)企業(yè)財(cái)務(wù)部門和非財(cái)力部門的員工對企業(yè)財(cái)務(wù)的訪問權(quán)限可以由財(cái)務(wù)負(fù)責(zé)人來區(qū)分。 即使用戶被授予了高級身份,也不一定要使用它來減少損失。 你只有在需要的時(shí)候才能擁有特權(quán)。 任務(wù)分擔(dān)容易,根
11、據(jù)角色完成不同的任務(wù)。 文件分層易于管理,文件本身也分為消息和發(fā)票等角色,可由不同角色的用戶擁有。 38,6.1訪問控制的基本概念6.2訪問控制的實(shí)現(xiàn)機(jī)制和方法6.3訪問控制的一般策略6.4授權(quán)的管理、39,6.4授權(quán)的管理、授權(quán)的管理決定誰能授權(quán),修改授權(quán)的訪問,主要有3種:自主訪問控制的授權(quán)管理角色訪問40 .一種管理策略,該管理策略用于由系統(tǒng)安全管理員給予用戶代理(用戶、進(jìn)程)的安全等級,以及由系統(tǒng)根據(jù)創(chuàng)建該安全等級的用戶所確定的訪問控制41、自主訪問控制授權(quán)管理集中管理:只有單個(gè)管理員或組才能授權(quán)和撤銷用戶訪問控制授權(quán)。 分層管理:一個(gè)中心管理員將管理責(zé)任分配給其他管理員,這些管理員撤銷用戶的訪問權(quán)限和權(quán)限。 可以根據(jù)組織結(jié)構(gòu)來執(zhí)行分層管理。 所有權(quán)管理:如果一個(gè)用戶是對象的所有者,則該用戶可以訪問和撤消其他用戶訪問該對象的權(quán)限。 協(xié)作管理:無法對特定系統(tǒng)資源的訪問作出單獨(dú)的用戶授權(quán)決策。 需要其他用戶的協(xié)作批準(zhǔn)決定。 分布式管
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 2025年中國防爆熒光燈行業(yè)市場運(yùn)行現(xiàn)狀及未來發(fā)展預(yù)測報(bào)告
- 2022-2027年中國保溫板隔墻板行業(yè)發(fā)展監(jiān)測及投資戰(zhàn)略咨詢報(bào)告
- 中國閥門軸承行業(yè)市場前景預(yù)測及投資價(jià)值評估分析報(bào)告
- 2025屆山東省濰坊新高一化學(xué)第二學(xué)期期末預(yù)測試題含解析
- 2025年中國汽車零部件再制造行業(yè)市場發(fā)展現(xiàn)狀及投資策略咨詢報(bào)告
- 2024年中國覆膜砂行業(yè)市場調(diào)查報(bào)告
- 寒假期間安全教育
- 安全生產(chǎn)法建立健全安全生產(chǎn)責(zé)任制
- 生產(chǎn)安全事故信息報(bào)告和處置辦法解讀
- 安全費(fèi)用提取使用管理辦法
- 廣東省茂名市2023-2024學(xué)年八年級下學(xué)期期末數(shù)學(xué)試題
- 遼寧省沈陽沈河區(qū)七校聯(lián)考2024屆物理八下期末考試試題及答案解析
- DZ∕T 0221-2006 崩塌、滑坡、泥石流監(jiān)測規(guī)范(正式版)
- 小學(xué)英語祈使句練習(xí)題
- ?;穫}庫標(biāo)準(zhǔn)
- 《陸上風(fēng)電場工程設(shè)計(jì)概算編制規(guī)定及費(fèi)用標(biāo)準(zhǔn)》(NB-T 31011-2019)
- (高清版)DZT 0426-2023 固體礦產(chǎn)地質(zhì)調(diào)查規(guī)范(1:50000)
- 國家行政區(qū)域代碼表
- 餐飲業(yè)安全生產(chǎn)教育培訓(xùn)(最全面)課件
- 2024屆內(nèi)蒙古重點(diǎn)中學(xué)生物七下期末質(zhì)量檢測試題含解析
- 國家開放大學(xué)2023年7月期末統(tǒng)一試《11376機(jī)械制造裝備及設(shè)計(jì)》試題及答案-開放本科
評論
0/150
提交評論