全校网站建设与管理,网页设计师初学者工资,专业建站公司建站系统该规划哪些内容,wordpress改底部信息授权和访问控制技术是安全防御中的重要组成部分#xff0c;主要用于管理和限制对系统资源#xff08;如数据、应用程序等#xff09;的访问。授权控制用户可访问和操作的系统资源#xff0c;而访问控制技术则负责在授权的基础上#xff0c;确保只有经过授权的用户才能访问…授权和访问控制技术是安全防御中的重要组成部分主要用于管理和限制对系统资源如数据、应用程序等的访问。授权控制用户可访问和操作的系统资源而访问控制技术则负责在授权的基础上确保只有经过授权的用户才能访问相应的资源。
一、授权
授权技术通常包括身份认证和权限管理。 身份认证是验证用户身份的过程确保用户是系统中的合法用户 权限管理则是根据用户的角色和身份为其分配相应的访问权限。通过授权技术可以有效地防止非法用户或未授权的用户访问系统资源从而保护系统的安全。 授权是确定用户访问权限的机制。用户访问权限必须始终遵循最小特权原则该原则规定用户只拥有执行他们的作业功能所必须的访问权限而不能拥有其他权限。为了保证网络资源在受控、合法地情况下使用用户只能根据自己的权限大小访问系统资源不得越权访问。
二、访问控制
访问控制是网络安全防范和保护的主要核心策略它的主要任务是保证网络资源不被非法使用和访问。 访问控制包括三个要素主体、客体和控制策略。 主体SSubject是指提出访问资源具体请求或某一操作动作的发起者但不一定是动作的执行者可能是某一用户也可以是用户启动的进程、服务和设备等。 客体OObject是指被访问资源的实体。所有可以被操作的信息、资源、对象都可以是客体。客体可以是信息、文件、记录等集合体也可以是网络上的硬件设施、无限通信中的终端甚至可以包含另外一个客体。 控制策略AAttribution是主体对客体的相关访问规则集合即属性集合。访问策略体现了一种授权行为也是客体对主体某些操作行为的默认。
1、访问控制模型
典型访问控制模型如图所示
访问控制模型的组成 2、访问控制的机制
访问控制机制是检测和防止系统被未授权访问并保护资源所采取的各种措施。是在文件系统中广泛应用的安全防护方法一般在操作系统的控制下按照事先确定的规则决定是否允许主体访问客体贯穿于系统全过程。 访问控制矩阵Access Contro1 Matrix是最初实现访问控制机制的概念模型以二维矩阵规定主体和客体间的访问权限。行表示主体的访问权限属性列表示客体的访问权限属性矩阵格表示所在行的主体对所在列的客体的访问授权空格为未授权Y为有操作授权。以确保系统操作按此矩阵授权进行访问。通过引用监控器协调客体对主体访问实现认证与访问控制的分离。在实际应用中对于较大系统由于访问控制矩阵将变得非常大其中许多空格造成较大的存储空间浪费因此较少利用矩阵方式主要采用以下2种方法 1访问控制列表 访问控制列表Access Control ListACL是应用在路由器接口的指令列表用于路由器利用源地址、目的地址、端口号等的特定指示条件对数据包的抉择。是以文件为中心建立访问权限表表中记载了该文件的访问用户名和隶属关系。利用ACL容易判断出对特定客体的授权访问可访问的主体和访问权限等。当将该客体的ACL置为空可撤消特定客体的授权访问。 2能力关系表 能力关系表Capabilities List是以用户为中心建立访问权限表。与ACL相反表中规定了该用户可访问的文件名及权限利用此表可方便地查询一个主体的所有授权。相反检索具有授权访问特定客体的所有主体则需查遍所有主体的能力关系表。
3、访问控制的策略
访问控制的安全策略是指在某个自治区域内属于某个组织的一系列处理和通信资源范畴用于所有与安全相关活动的一套访问控制规则。访问控制的安全策略有三种类型基于身份的安全策略、基于规则的安全策略和综合访问控制方式。
1基于身份的安全策略
基于身份的策略包括基于个体的策略和基于组的策略。
基于个体的策略一个基于个体的策略根据哪些用户可对一个目标实施哪一种行为的列表来表示。这个等价于用一个目标的访问矩阵列来描述。基于组的策略一个基于组的策略是基于身份的策略的另一种情形一些用户被允许对一个目标具有同样的访问许可。
2基于规则的安全策略
基于规则的策略包括多级策略和基于间隔的策略。 多级策略通过分配给每个目标一个密级来操作。密级由低到高分为无密级、限制、机密、秘密、绝密。每个用户从相同的层次中分配一个等级。 基于间隔的策略在基于间隔的策略中目标集合关联于安全间隔或安全类别通过他们来分离其他目标。用户需要给一个间隔分配一个不同的等级以便能够访问间隔中的目标。
3综合访问控制方式
综合访问控制策略HAC继承和吸取了多种主流访问控制技术的优点有效地解决了信息安全领域的访问控制问题保护了数据的保密性和完整性保证授权主体能访问客体和拒绝非授权访问。综合访问控制策略主要包括
入网访问控制 入网访问控制是网络访问的第一层访问控制。对用户可规定所能登入到的服务器及获取的网络资源控制准许用户入网的时间和登入入网的工作站点。网络的权限控制 网络的权限控制是防止网络非法操作而采取的一种安全保护措施。用户对网络资源的访问权限通常用一个访问控制列表来描述。目录级安全控制 目录级安全控制主要是为了控制用户对目录、文件和设备的访问或指定对目录下的子目录和文件的使用权限。用户在目录一级制定的权限对所有目录下的文件仍然有效还可进一步指定子目录的权限。属性安全控制 属性安全控制可将特定的属性与网络服务器的文件及目录网络设备相关联。在权限安全的基础上对属性安全提供更进一步的安全控制。网络上的资源都应先标示其安全属性将用户对应网络资源的访问权限存入访问控制列表中记录用户对网络资源的访问能力以便进行访问控制。网络服务器安全控制 网络服务器安全控制允许通过服务器控制台执行的安全控制操作包括用户利用控制台装载和卸载操作模块、安装和删除软件等。操作网络服务器的安全控制还包括设置口令锁定服务器控制台主要防止非法用户修改、删除重要信息。网络监控和锁定控制 在网络系统中通常服务器自动记录用户对网络资源的访问如有非法的网络访问服务器将以图形、文字或声音等形式向网络管理员报警以便引起警觉进行审查。网络端口和结点的安全控制 网络中服务器的端口常用自动回复器、静默调制解调器等安全设施进行保护并以加密的形式来识别结点的身份。自动回复器主要用于防范假冒合法用户静默调制解调器用于防范黑客利用自动拨号程序进行网络攻击。
4、访问控制技术
访问控制技术则是在授权的基础上进一步控制用户对系统资源的访问。它根据用户的角色和权限决定用户可以访问哪些资源以及可以进行哪些操作。常见的访问控制技术包括
强制访问控制Mandatory Access Control这是一种基于安全策略的访问控制方法由系统管理员设定安全级别并按照安全级别对资源进行访问控制。自主访问控制Discretionary Access Control这是一种基于用户身份的访问控制方法由资源的拥有者自行设定访问权限。基于角色的访问控制Role-Based Access Control这是一种基于用户角色的访问控制方法通过将权限分配给角色再将角色分配给用户来实现访问控制。
1强制访问控制技术Mandatory Access Control
强制访问控制MAC将系统中的信息分密级和类进行管理以保证每个用户只能访问到那些被标明可以由他访问的信息的一种访问约束机制。通俗的来说在强制访问控制下主体与客体都被标记了固定的安全属性如安全级、访问权限等在每次访问发生时系统检测安全属性以便确定该主体是否有权访问该客体。基于规则的多级策略就是一种强制访问控制策略。
2自主访问控制技术Discretionary Access Control
自主访问控制又被称为“基于身份的访问控制”允许合法用户以用户或用户组的身份访问策略规定的客体同时阻止非授权用户访问客体。自主访问控制模型的特点是授权的实施主体可以授权的主体、管理授权的客体、授权组自主负责赋予和收回其他主体对客体资源的访问权限。 在自主访问控制机制中存取模式主要有
读允许主体对客体进行读和拷贝的操作。写允许主体写入或修改信息包括扩展、压缩机删除等。执行允许将客体作为一种可执行文件运行在一些系统中该模式还需要同时拥有读模式。空模式主体对客体不具有任何的存取权。
自主访问控制的具体实施可采用以下四种方法
目录表 在目录表访问控制方法中借用了系统对文件的目录管理机制为每一个欲实施访问权限的主体建立一个能被其访问的“客体目录表文件目录表”。如某个主体的客体目录表可能是 客体1 权限1 客体2权限2… 客体目录表中各个客体的访问权限的修改只能由该客体的合法属主确定不允许其他任何用户在客体目录表中进行写操作否则将可能出现对客体访问权限的伪造。操作系统必须在客体的拥有者控制下维护所有的客体目录。访问控制列表 访问控制列表是从客体角度进行设置的是面向客体的访问控制。每个客体都有一个访问控制列表用来说明有权访问该客体的所有主体及其访问权限。访问控制矩阵 访问控制矩阵是对上面两种方法的综合直观地看访问控制矩阵是一张表格每行代表一个主体每列代表一个客体表中纵横对应的项是该主体对该客体的访问权集合。能力表 能力表是访问控制矩阵的改进将矩阵的每一列作为一个客体而形成一个存取表每个存取表只由主体、访问权集合组成。
3基于角色的访问控制技术Role-Based Access Control
基于角色的访问控制RBAC是实施面向企业安全策略的一种有效的访问控制方式。其基本思想是对系统操作的各种权限不是直接授予具体的用户而是在用户集合与权限集合之间建立一个角色集合。每一种角色对应一组相应的权限。一旦用户被分配了适当的角色后该用户就拥有此角色的所有操作权限。这样做的好处是不必在每次创建用户时都进行分配权限的操作只要分配用户相应的角色即可而且角色的权限变更比用户的权限变更要少得多这样将简化用户的权限管理减少系统的开销。 在一个组织内部角色是相对稳定的而用户和权限之间的关系则是易变的比如因用户职务变化而随之发生权限变化。通过角色可以减少授权管理的复杂度降低管理开销它是传统访问控制技术的有效补充。通常角色和用户组在概念上容易混淆它们之间有本质的区别组是用户的集合而角色作为中介既是用户的集合又是权限的集合。 在一个组织内安全管理员可以根据完成某项工作所需的权限创建适当的角色然后根据用户所要完成的任务授予不同的角色从而授予访问权限。用户与角色角色与权限之间关系都是多对多的关系。用户与特定的一个或多个角色相联系角色与一个或多个访问权限相联系。用户根据自己的需求动态地激活自己拥有的角色完成特定的任务避免误操作造成的危害。
授权和访问控制技术是安全防御的重要组成部分可以有效防止未经授权的用户访问系统资源保护系统的安全。在实际应用中需要根据具体的安全需求和场景选择合适的授权和访问控制技术以达到最佳的安全防护效果。 博客http://xiejava.ishareread.com/
