返回
信息安全技术教程清华大学出版社-第六章节

信息安全技术教程清华大学出版社-第六章节

ID:41302862

大小:554.00 KB

页数:20页

时间:2019-08-21

信息安全技术教程清华大学出版社-第六章节_第1页
信息安全技术教程清华大学出版社-第六章节_第2页
信息安全技术教程清华大学出版社-第六章节_第3页
信息安全技术教程清华大学出版社-第六章节_第4页
信息安全技术教程清华大学出版社-第六章节_第5页
资源描述:

《信息安全技术教程清华大学出版社-第六章节》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、2021/9/18第6章访问控制与权限设置6.1访问控制基本概念6.2访问控制规则的制定原则6.3访问控制分类6.4访问控制实现技术6.5访问控制管理6.6访问控制模型6.7文件和数据所有权6.8相关的攻击方法6.9习题2021/9/186.1访问控制基本概念什么是访问控制?访问控制是一系列用于保护系统资源的方法和组件,依据一定的规则来决定不同用户对不同资源的操作权限,可以限制对关键资源的访问,避免非法用户的入侵及合法用户误操作对系统资源的破坏。四个组成部分主体,客体,访问操作和访问监视器访问控制的一般过程2021/9

2、/186.2访问控制规则的制定原则最小特权原则主体仅仅只被允许对完成任务所必需的那些客体资源进行必要的操作职责分离原则不能让一个管理员拥有对所有主客体的管理权限多级安全原则系统应该对访问主体及客体资源进行分级分类管理,以此保证系统的安全性6.3访问控制分类6.3.1自主访问控制6.3.2强制访问控制6.3.3基于角色的访问控制2021/9/186.3.1自主访问控制定义自主决定哪些主体对自己所拥有的客体具有访问权限,以及具有何种访问权限。特点更加灵活,实施更加方便,适合于对安全性不高的环境信息泄露,用户管理困难,资源管

3、理分散2021/9/186.3.2强制访问控制定义每一个主体和客体都有自己的安全标记,基于主客体的安全标记实施相应的访问控制。特点基于规则进行的安全性更高,灵活性较差2021/9/186.3.3基于角色的访问控制定义在主体和访问权限之间引入了角色的概念,用户与特定的一个或多个角色向联系,角色与一个或多个访问权限相联系。特点通过用户在组织中担当的角色来授予用户相应的访问权限。变形:基于栅格的访问控制2021/9/182021/9/186.4访问控制实现技术访问控制实现技术是为了检测和防止系统中的未授权访问,对资源予以保护

4、所采取的软硬件措施和一系列的管理措施等手段。访问控制矩阵客体1客体2客体3客体4主体1拥有读写拥有写写主体2读拥有读拥有主体3读写读拥有读写拥有读写2021/9/18访问控制表能力关系表2021/9/186.5访问控制管理集中式访问控制通过一个中心访问控制单元来处理系统所有的访问请求RADIUS协议分布式访问控制系统中存在多个地点都可以对同一个客体资源进行管理2021/9/186.6访问控制模型6.6.1状态机模型6.6.2Bell-LaPadula模型6.6.3Biba模型6.6.4Clark-Wilson模型202

5、1/9/186.6.1状态机模型2021/9/186.6.2Bell-LaPadula模型基本思想:“无上读,无下写”访问控制原则通用名字描述简单安全规则无上读给定安全级别的主体不能读取安全级别更高的客体的数据﹡安全规则无下写给定安全级别的主体不能向安全级别更低的客体写入数据2021/9/186.6.3Biba模型基本思想:“无下读,无上写”访问控制原则通用名字描述简单安全规则无下读给定安全级别的主体不能读取安全级别更低的客体的数据﹡安全规则无上写给定安全级别的主体不能向安全级别更高的客体写入数据2021/9/186.

6、6.4Clark-Wilson模型通过少量关系紧密的访问控制程序来限制所有的访问控制Clark-Wilson模型定义几个必需的术语受控数据(CDI):系统中的受控数据。非受控数据(UDI):系统不受控制的数据条目(例如,数据输入或输出)。完整性验证过程(IVP):核查受控数据完整性的程序。变换程序(TP):用来改变受控数据的有效状态。2021/9/186.7文件和数据所有权每一个文件,或数据单元,应该至少有三个责任方。数据所有者具有数据保护的最高责任数据托管者指派数据托管者根据数据安全等级来确保安全策略数据使用者访问数

7、据的用户2021/9/186.8相关的攻击方法穷举攻击尝试所有可能的字母组合来满足认证口令,以获取对客体的访问权限保护方法:1,主动在自己的系统上运行穷举攻击,以此找到系统破绽;2,设置监控系统来监控系统不正常的行为,并及时发出警报字典攻击从一个列表或字典中尝试那些常用的口令。保护方法:1,使用较强的口令策略;2,避免以明文的形式发送口令;3,避免使用HTTP和Telnet2021/9/18欺骗攻击针对访问控制的攻击类型是欺骗攻击,攻击者放置一个伪造的登陆程序来迷惑用户,骗取用户ID和口令。保护方法:1,在用户和服务器

8、之间创造一个可信路径;2,检查所有失败的登陆请求;3,提高安全意识2021/9/186.9习题一、选择题1.以下哪一项不是通过实施访问控制来阻止对敏感客体进行未授权访问攻击?A.欺骗攻击B.暴力攻击C.穷举攻击D.字典攻击2.以下哪个模型通常用来模拟现实的实体以及实体之间状态的转移?A.状态机模型B.Bell-LaPadula模型

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。