收藏
下载资源

信息安全技术教程第六章

上传人:哈**** 文档编号:139197970 上传时间:2020-07-20 格式:PPT 页数:20 大小:554KB
返回 下载 相关 举报
信息安全技术教程第六章_第1页
第1页 / 共20页
信息安全技术教程第六章_第2页
第2页 / 共20页
信息安全技术教程第六章_第3页
第3页 / 共20页
信息安全技术教程第六章_第4页
第4页 / 共20页
信息安全技术教程第六章_第5页
第5页 / 共20页
点击查看更多>>
资源描述

《信息安全技术教程第六章》由会员分享,可在线阅读,更多相关《信息安全技术教程第六章(20页珍藏版)》请在金锄头文库上搜索。

1、2020/7/17,第6章 访问控制与权限设置,6.1 访问控制基本概念 6.2 访问控制规则的制定原则 6.3 访问控制分类 6.4访问控制实现技术 6.5 访问控制管理 6.6 访问控制模型 6.7 文件和数据所有权 6.8 相关的攻击方法 6.9 习题,2020/7/17,6.1 访问控制基本概念,什么是访问控制? 访问控制是一系列用于保护系统资源的方法和组件,依据一定的规则来决定不同用户对不同资源的操作权限,可以限制对关键资源的访问,避免非法用户的入侵及合法用户误操作对系统资源的破坏。 四个组成部分 主体,客体,访问操作和访问监视器 访问控制的一般过程,2020/7/17,6.2 访问

2、控制规则的制定原则,最小特权原则 主体仅仅只被允许对完成任务所必需的那些客体资源进行必要的操作 职责分离原则 不能让一个管理员拥有对所有主客体的管理权限 多级安全原则 系统应该对访问主体及客体资源进行分级分类管理,以此保证系统的安全性,6.3 访问控制分类,6.3.1 自主访问控制 6.3.2 强制访问控制 6.3.3 基于角色的访问控制,2020/7/17,6.3.1 自主访问控制,定义 自主决定哪些主体对自己所拥有的客体具有访问权限,以及具有何种访问权限。 特点 更加灵活,实施更加方便,适合于对安全性不高的环境 信息泄露,用户管理困难,资源管理分散,2020/7/17,6.3.2 强制访问

3、控制,定义 每一个主体和客体都有自己的安全标记,基于主客体的安全标记实施相应的访问控制。 特点 基于规则进行的 安全性更高,灵活性较差,2020/7/17,6.3.3 基于角色的访问控制,定义 在主体和访问权限之间引入了角色的概念,用户与特定的一个或多个角色向联系,角色与一个或多个访问权限相联系。 特点 通过用户在组织中担当的角色来授予用户相应的访问权限。 变形:基于栅格的访问控制,2020/7/17,2020/7/17,6.4访问控制实现技术,访问控制实现技术是为了检测和防止系统中的未授权访问,对资源予以保护所采取的软硬件措施和一系列的管理措施等手段。 访问控制矩阵,2020/7/17,访问

4、控制表 能力关系表,2020/7/17,6.5 访问控制管理,集中式访问控制 通过一个中心访问控制单元来处理系统所有的访问请求 RADIUS协议 分布式访问控制 系统中存在多个地点都可以对同一个客体资源进行管理,2020/7/17,6.6 访问控制模型,6.6.1 状态机模型 6.6.2 Bell-LaPadula模型 6.6.3 Biba模型 6.6.4 Clark-Wilson 模型,2020/7/17,6.6.1 状态机模型,2020/7/17,6.6.2 Bell-LaPadula模型,基本思想:“无上读,无下写”,2020/7/17,6.6.3 Biba模型,基本思想:“无下读,无上

5、写”,2020/7/17,6.6.4 Clark-Wilson 模型,通过少量关系紧密的访问控制程序来限制所有的访问控制 Clark-Wilson 模型定义几个必需的术语 受控数据(CDI):系统中的受控数据。 非受控数据(UDI):系统不受控制的数据条目(例如,数据输入或输出)。 完整性验证过程(IVP):核查受控数据完整性的程序。 变换程序(TP):用来改变受控数据的有效状态。,2020/7/17,6.7 文件和数据所有权,每一个文件,或数据单元,应该至少有三个责任方。 数据所有者 具有数据保护的最高责任 数据托管者 指派数据托管者根据数据安全等级来确保安全策略 数据使用者 访问数据的用户

6、,2020/7/17,6.8 相关的攻击方法,穷举攻击 尝试所有可能的字母组合来满足认证口令,以获取对客体的访问权限 保护方法:1,主动在自己的系统上运行穷举攻击,以此找到系统破绽;2,设置监控系统来监控系统不正常的行为,并及时发出警报 字典攻击 从一个列表或字典中尝试那些常用的口令。 保护方法:1,使用较强的口令策略;2,避免以明文的形式发送口令;3,避免使用HTTP和Telnet,2020/7/17,欺骗攻击 针对访问控制的攻击类型是欺骗攻击,攻击者放置一个伪造的登陆程序来迷惑用户,骗取用户ID和口令。 保护方法:1,在用户和服务器之间创造一个可信路径;2,检查所有失败的登陆请求;3,提高安全意识,2020/7/17,6.9 习题,一、选择题 1. 以下哪一项不是通过实施访问控制来阻止对敏感客体进行未授权访问攻击? A. 欺骗攻击 B. 暴力攻击 C. 穷举攻击 D. 字典攻击 2. 以下哪个模型通常用来模拟现实的实体以及实体之间状态的转移? A.状态机模型 B. Bell-LaPadula模型 C. Clark-Wilson 模型 D. Noninterference 模型,2020/7/17,二、 简答题 1. 什么是访问控制,其一般过程是什么? 2. 列举常见访问控制模型,并说明其原理。 3. 访问控制中都有哪些常用的攻击方法,其原理是什么?,

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 大杂烩/其它

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号