第11章 访问控制机制.

Slides:



Advertisements
Similar presentations
颐高集团项目中心 海亮地产开发模式研究报告. 目 录 目 录 第四部分:海亮地产高周转模式执行 第二部分:海亮地产高周转模式原因 第三部分:海亮地产高周转模式内涵 第一部分:海亮地产企业背景 第五部分:海亮地产高周转支撑体系.
Advertisements

偵辦侵害營業秘密犯罪之執行情形 法務部調查局. 一、前言 ( 一 )102 年 1 月 30 日公告施行營業秘密法 ( 一 )102 年 1 月 30 日公告施行營業秘密法 修正案,增加侵害營業秘密之刑事 修正案,增加侵害營業秘密之刑事 責任,對於意圖在境外使用而竊取 責任,對於意圖在境外使用而竊取.
1 認識創業之財務 ( 資金 ) 及稅務問題 講師 : 蘇炳章 日期 : 92 年 8 月 12 日.
1 計量技術人員考訓制度. 2 簡 報 大 綱 計量考訓制度簡介 應考須知說明 考試範圍內容、題型及配分權重.
AIA confidential and proprietary information. Not for distribution. “ 友邦爱心图书馆 ” 项目总结报告 中国区品牌与企业传播部
一、老师申请题目,以下指导老 师操作。 1. 登录教务系统 web 端. 2. 点击 “ 毕业设计 ” 工具栏下拉菜单中的 “ 论文 _ 教师申请题目 ”
徐州工业职业技术学院. 人才市场需求 2013 年我国安全类专业统计表 学历层次专业名称专业代码毕业生数招生数在校生数开设学校数 本科 安全工程 专科 安全技术管理 中专 0000.
职业指导服务系统 欢迎了解职业指导服务系统!
多彩万象旅游城 魅力安顺.
高齡自主學習團體終身學習試辦計畫經費核銷
上海九晶电子材料股份有限公司 招聘简章.
专题十二 中国特色社会主义政治建设.
政府採購錯誤行為態樣 報告人:張錦川 日 期:96年7月.
現代中國 議題: 「一帶一路」.
2009年周口市公共机构高效照明产品推介会
文賢國小101年度上半年在職教師資訊應用培訓 ----自由軟體系列 輕鬆學會做 -Scratch 教材設計:林森富老師.
综合实验 ----实验选作(1/3) 智能五子棋游戏 1. 实验目的
《管理能力基础》 模块五:控制与信息处理能力 郴州职院 谢平楼 副教授.
採購法規概要 報告人:臺北市政府法規委員會 編審 陳世超 土木技師高考及格 結構技師高考及格 公務人員高考及格 國立中興大學土木工程碩士
台北縣98年三鶯區語文研習 --建國國小 修辭與標點符號 福和國中廖惠貞
系统简介 理财顾问 业务 是基于通信平台的技术优势,整合《理财周刊》、第一理财网、乾隆集团等合作伙伴提供的理财产品内容和权威的理财专家资源,以集中式呼叫中心为主的服务方式,让普通百姓可以享受到快捷、全面、专业、权威的资讯及投资理财的服务平台。
運輸安全白皮書(Ⅲ) 軌道安全篇 主辦單位:運輸安全組.
有三件事我很確定: 第一、愛德華是吸血鬼 第二、出於天性,他渴望喝我的血 第三、我無可救藥地愛上他了……
微博红人:留几手.
招投标知识培训 培训人: 日期:2011年04月08日 西安翼舞时风数码科技有限公司.
採購法規概要 報告人:臺北市政府法規委員會 編審 陳世超 土木技師高考及格 結構技師高考及格 公務人員高考及格 國立中興大學土木工程碩士
提高自身素质做好 新时期班主任工作 北京市广渠门中学 高金英.
網頁創意設計 期末 web interactive art
課程:諮商概論 指導老師:李秀玉老師 閱讀書籍:傷癒—低估自我的醫治(一) (P.60~69)
普通话模拟测试 与学习平台 使用指南.
『兩岸四地- 校園節能文化推廣』 座談會 2008年1月26日 澳門大學 校園管理總監 宋傑堯.
第八章 网络课程的设计与开发.
宦官那些事儿 宦官那些事儿 主讲:小学部李永善 主讲:小学部李永善.
中国教科文卫体工会全国委员会 陈志标 (2012年5月9日,中山大学)
你,是扼殺 孩子競爭力的幫兇嗎?.
網路小說劇情建構與伏線營造 Windows98.
电视教育课 【5】 小学生行为习惯养成教育.
工作報告 南投縣教育網路中心 王登儀 于 埔里均頭國中.
教育部教育管理信息中心 教育卡标准化研究所 二00九年七月
中四中五家長講座 同行會考路 (二零零八年三月十五日).
北师大版数学九年级下册第四章 4.2 哪种方式更合算 Jingle bell 青岛开发区第七中学 管荣荣.
东宝大厦简介及服务特色.
滨海学坛 周刊 总第13期 2012年10月22日 本期编辑:李秀青 温州滨海学校教科室主办.
唐骏 Your company slogan.
关于整合检验检测认证机构实施意见的通知(国办发〔2014〕8号)
质量管理 刘春霞
宁波爱地房产市场年报 郊五区
互联网时代班主任的挑战 万玮 2014年9月20日.
推进德育创新 做好新时期班主任工作 北京市广渠门中学 高金英.
An Introduction to Database System
公務員廉政倫理規範.
海洋—21世纪的希望 BEA Confidential. | 1.
組 員: 王 新 惠 吳 映 暄 李 盈 慧 廖 香 涵 盧 姵 華 訪談日期:
財物及勞務採購作業程序及注意事項 報告人 劉麗琴
通过外网访问邮件系统的说明 信息中心.
Windows 2012 Dynamic Access Control (動態存取控管)
鄉村尋根-農具篇.
第10讲 操作系统安全配置 此为封面页,需列出课程编码、课程名称和课程开发室名称。
資訊安全概論與實務 第二篇:安全架構.
歡迎 經濟部中小企業處 長官專家學者 ~蒞臨指導~
會計資訊系統 大帳省財務庫存管理系統(Beyond) 士林高商(資料來源:啟發出版社) 簡報者:黃瑞萍老師.
教 材 介 紹 靈活組合 愉快學習.
股票代號: 年 法人說明會 107/09/05.
2.1 数据库的创建 2.2 表的组成 2.3 表的创建 2.4 表间关系的建立
时政要闻 德国还清一战赔款.
“修身成材” 班级干部培训班 黑龙江大学党委学工部.
第五章 資訊安全概述 5-1 安全定義 5-2 安全標準 5-3 安全元件.
方案假設 因果連結 (如果…就會…) 將問題情況轉變為所需服務 確保方案的合理性 利於方案評估 例:青少年墮胎
組員:.
 主講人:楊文明主任委員   106/06/30 中華電信職工福利委員會台北分會業務簡介.
Presentation transcript:

第11章 访问控制机制

本节主要内容 访问控制概述 操作系统访问控制相关机制 网络访问控制机制 网络攻防技术

访问控制概述 访问控制(Access Control) :从广义的角度来看,访问控制是指对主体访问客体的权限或能力的限制,以及限制进入物理区域(出入控制)和限制使用计算机系统和计算机存储数据的过程(存取控制)。 网络攻防技术

ISO访问控制通用框架 网络攻防技术

访问控制概述 访问控制的三个要素:主体、客体、保护规则 主体:发出访问操作、存取要求的主动方,通常为进程、程序或用户。 客体:被访问的对象,通常可以是被调用的程序、进程,要存取的数据、信息,要访问的文件、系统或各种网络设备、设施等资源。 保护规则:主体与客体之间可能的相互作用途径,用以确定一个主体是否对客体拥有访问能力。 网络攻防技术

访问控制的目的和作用 目的 是为了限制访问主体(用户、进程、服务等)对访问客体(文件、系统等)的访问权限从而使计算机系统在合法范围内使用决定用户能做什么也决定代表一定用户利益的程序能做什么 作用 是对需要访问系统及其数据的人进行鉴别并验证其合法身份;也是进行记账审计等的前提。 网络攻防技术

访问控制概念及分类 访问控制一般分为: 自主访问控制 强制访问控制 基于角色的访问控制 网络攻防技术

访问控制与其他安全措施的关系模型 网络攻防技术

访问控制的一般实现机制和方法 一般实现机制—— 基于访问控制属性 —— 访问控制表/矩阵 基于用户和资源分档“安全标签” —— 多级访问控制 常见实现方法—— 访问控制表ACL) 访问能力表Capabilities) 授权关系表 网络攻防技术

访问控制实现方法 ——访问控制表 网络攻防技术

访问控制实现方法 ——访问能力表 网络攻防技术

访问控制实现方法 ——访问控制矩阵 按列看是访问控制表内容 按行看是访问能力表内容 网络攻防技术

访问控制实现方法 ——授权关系表 网络攻防技术

访问控制的一般策略 网络攻防技术

访问控制的策略 ——自主访问控制 特点 根据主体的身份和授权来决定访问模式 缺点 访问控制的策略 ——自主访问控制 特点 根据主体的身份和授权来决定访问模式 缺点 信息在移动过程中其访问权限关系会被改变,如用户A可将其对目标O的访问权限传递给用户B,从而使不具备对O访问权限的B可访问O。 网络攻防技术

访问控制的策略 ——强制访问控制 特点 1.将主题和客体分级根据主体和客体的级别标记来决定访问模式如绝密级机密级秘密级无密级 访问控制的策略 ——强制访问控制 特点 1.将主题和客体分级根据主体和客体的级别标记来决定访问模式如绝密级机密级秘密级无密级 2.其访问控制关系分为上读/下写下读/上写完整性机密性 3.通过梯度安全标签实现单向信息流通模式 网络攻防技术

访问控制的策略 ——强制访问控制 MAC Information Flow 网络攻防技术

访问控制的策略 ——基于角色的访问控制 基于角色的访问控制是一个复合的规则,可以被认为是IBAC和RBAC的变体。一个身份被分配给一个被授权的组。每个角色与一组用户和有关的动作相互关联,角色中所属的用户可以有权执行这些操作。 角色与组的区别是: 组只是一组用户的集合,而角色则是一组用户的集合加上一组操作权限的集合。 网络攻防技术

访问控制的策略 ——基于角色的访问控制 基于角色的访问控制有如下特点: 访问控制的策略 ——基于角色的访问控制 基于角色的访问控制有如下特点: 该策略陈述易于被非技术的组织策略者理解;同时也易于映射到访问控制矩阵或基于组的策略陈述。 同时具有基于身份策略的特征,也具有基于规则的策略的特征。 在基于组或角色的访问控制中,一个个人用户可能是不只一个组或角色的成员,有时又可能有所限制。 网络攻防技术

访问控制的策略 ——基于角色的访问控制 角色关系 偏序关系partial orders) 自反(reflexive) 访问控制的策略 ——基于角色的访问控制 角色关系 偏序关系partial orders) 自反(reflexive) 传递(transitive) 反对称anti-symmetric) 网络攻防技术

访问控制的策略 ——基于角色的访问控制 角色控制优势 便于授权管理 便于角色划分 便于赋予最小特权 便于职责分担 便于目标分级 网络攻防技术

访问控制模型 BLP保密性模型 BIBA完整性模型 HRU模型 Take-Grant模型 网络攻防技术

Bell-LaPadula (BLP)模型 1973年,David Bell和Len LaPadula提出了第一个正式的安全模型,该模型基于强制访问控制系统,以敏感度来划分资源的安全级别。将数据划分为多安全级别与敏感度的系统称之为多级安全系统 Bell-LaPadula (BLP) 安全模型对主体和客体按照强制访问控制系统的哲学进行分类,这种分类方法一般应用于军事用途。 网络攻防技术

Bell-LaPadula (BLP)模型 数据和用户被划分为以下安全等级  公开(Unclassified)  受限(Restricted)  秘密(Confidential)  机密(Secret)  高密(Top Secret) 网络攻防技术

Bell-LaPadula (BLP)模型 上读(NRU) , 主体不可读安全级别高于它的数据 下写(NWD) , 主检不可写安全级别低于它的数据 BLP模型允许用户读取安全级别比他低的资源;相反地,写入对象的安全级别只能高于用户级别。简言之,信息系统是一个由低到高的层次化结构。 网络攻防技术

Biba模型 七十年代,Ken Biba提出了Biba访问控制模型,该模型对数据提供了分级别的完整性保证,类似于BLP保密性模型,BIBA模型也使用强制访问控制系统。 网络攻防技术

Biba模型 网络攻防技术

Biba模型 数据和用户被划分为以下安全等级 公开(Unclassified) 受限(Restricted)  秘密(Confidential)  机密(Secret)  高密(Top Secret) 网络攻防技术

Biba模型 BIBA模型基于两种规则来保障数据的完整性的保密性。 下读(NRU) 属性, 主体不能读取安全级别低于它的数据 上写(NWD) 属性, 主体不能写入安全级别高于它的数据 BIBA模型并没有被用来设计安全操作系统,但大多数完整性保障机制都基于Biba模型的两个基本属性构建。 网络攻防技术

操作系统访问控制相关机制 网络攻防技术

操作系统访问控制相关机制 目前主流的操作系统均提供不同级别的访问控制功能。通常,操作系统借助访问控制机制来限制对文件及系统设备的访问。 例如:Windows NT/2000操作系统应用访问控制列表来对本地文件进行保护,访问控制列表指定某个用户可以读、写或执行某个文件。文件的所有者可以改变该文件访问控制列表的属性。 网络攻防技术

操作系统访问控制相关机制 访问控制往往嵌入应用程序(或中间件)中以提供更细粒度的数据访问控制。当访问控制需要基于数据记录或更小的数据单元实现时,应用程序将提供其内置的访问控制模型。 网络攻防技术

操作系统访问控制相关机制 操作系统的访问控制机制包括: 认证和授权机制 访问检查机制 对象重用机制 审计和可信通信机制 网络攻防技术

网络访问控制机制 访问控制机制应用在网络安全环境中,主要是限制用户可以建立什么样的连接以及通过网络传输什么样的数据,这就是传统的网络防火墙。防火墙作为网络边界阻塞点来过滤网络会话和数据传输。根据防火墙的性能和功能,这种控制可以达到不同的级别。 网络攻防技术

网络访问控制机制 网络攻防技术

网络访问控制机制 防火墙可实现以下几类访问控制: 1) 连接控制,控制哪些应用程序终结点之间可建立连接。例如,防火墙可控制内部的某些用户可以发起对外部WEB站点间的的连接。 2) 协议控制,控制用户通过一个应用程序可以进行什么操作,例如,防火墙可以允许用户浏览一个页面,同时拒绝用户在非信任的服务器上发布数据。 3) 数据控制,防火墙可以控制应用数据流的通过。如防火墙可以阻塞邮件附件中的病毒。 防火墙实现访问控制的尺度依赖于它所能实现的技术。 网络攻防技术