指对资源对象的访问者授权、控制的方法及运行机制
访问控制目标实现:首先要对网络用户进行有效的身份认证,然后根据不同的用户授予不同的访问权限,进而保护系统资源。同时还可以进行系统的安全审计和监控,检测用户对系统的攻击企图
访问控制机制由一组安全机制构成,可以抽象为一个简单的模型
访问控制模型 | 用途 |
自主访问控制模型 强制访问控制模型 基于角色的访问控制模型 |
常用于操作系统、数据库系统的资源访问 |
基于使用的访问控制模型 | 用于隐私保护、敏感信息安全限制、 知识产权保护 |
基于地理位置的访问控制模型 | 可用于移动互联网应用授权控制 |
基于属性的访问控制 | 是一个新兴的访问控制方法,主要提供分布式网络环境和Web服务的模型访问控制 |
基于行为的访问控制模型 | 根据主体的活动行为,提供安全风险的控制 |
基于时态的访问控制模型 | 利用时态(时间)作为访问约束条件, 增强访问控制细粒度 |
DAC(Discretionary Access Control) :是指客体的所有者按照自己的安全策略授予系统中的其他用户对其的访问权
DAC实现方式有两大类
在每个主体上都附加一个该主体可访问的客体的明细表,根据表中信息的不同可分三种形式:
在每个客体上都附加一个可访问它的主体的明细表,有两种形式:
MAC(Mandatory Access Control):指根据主体和客体的安全属性,以强制方式控制主体对客体的访问
在该机制下,安全操作系统中的每个进程、每个文件等客体都被赋予了相应的安全级别和范畴,当一个进程访问一个文件时,系统调用强制访问控制机制,当且仅当进程的安全级别不小于客体的安全级别,且进程的范畴包含文件的范畴时,进程才能访问客体,否则就拒绝。
RBAC:指根据完成某些职责任务所需要的访问权限来进行授权和管理
四个基本要素:用户(U)、角色(R)、会话(S)和权限(P)
是目前国际上流行的先进的安全访问控制方法。它通过分配和取消角色来完成用户权限的授予和取消,并且提供角色分配规则
整个访问控制过程分两个部分:访问权限与角色相关联,角色再与用户关联,从而实现了用户与访问权限的逻辑分离
ABAC:Attribute Based Access Control
访问控制方法:根据主体的属性、客体的属性、环境的条件以及访问控制策略对主体的请求操作进行授权许可或拒绝
用于规定用户访问资源的权限,防止资源损失、泄密或非法使用
在设计访问控制策略时,应考虑以下要求:
访问控制策略必须指明禁止什么和允许什么,在说明访问控制规则时,应做到以下几点:
访问控制策略组成:所要控制的对象、访问控制规则、用户权限或其他访问安全要求
实际上就是访问约束条件集,是访问控制策略的具体实现和表现形式
访问控制的目的:保护系统的资产,防止非法用户进入系统及合法用户对系统资源的非法使用
特权是用户超越系统访问控制所拥有的权限
特权设置:有利于系统维护和配置,但不利于系统的安全性。因此,特权的管理应按最小化机制,防止特权误用
最小特权原则:指系统中每一个主体,只能拥有完成任务所必要的权限集
最小特权管理的目的:是系统不应赋予特权拥有者完成任务的额外权限,组织特权乱用
为此,特权的分配原则是:“按需使用”,该原则保证系统不会将权限过多的分配给用户,从而可以限制特权造成的危害
为了防止系统的非授权使用,对系统中的用户权限应进行有效管理
用户管理是网络安全管理的重要内容之一,其主要工作包括:用户登记、用户权限分配、访问记录、权限监测、权限取消、撤销用户
用户管理流程
口令是当前大多数网络实施访问控制进行身份鉴别的重要依据,一般遵守以下原则:
访问控制:是网络安全普遍采用的安全技术
产品表现形式:独立系统形态、功能模块形态、专用设备形态
4A:指认证(Authentication) 、授权(Authorization) 、账号(Account)、审计(Audit)
中文名称:统一安全管理平台, 平台集中提供账号、认证、授权和审计等网络安全服务
产品技术特点:集成了访问控制机制和功能,提供多种访问控制服务。平台常用基于角色的访
问控制方法,以便于账号授权管理。
产品技术特点:是利用网络数据包信息和网络安全威胁特征库,对网络通信连接服务进行访问控制,是一种特殊的网络安全产品,如防火墙、统一威胁管理(UTM)等。
产品技术特点:通常利用强制访问控制技术来增强操作系统、数据库系统的安全,防止特权滥用。如Linux的安全增强系统SELinux、Windows 操作系统加固等
主要针对物理环境或设备实体而设置的安全措施,一般包括门禁系统、警卫、个人证件、门锁、物理安全区域划分
主要针对网络资源而采取的访问安全措施,一般包括网络接入控制、网络通信连接控制、网络区域划分、网络路由控制、网络节点认证
针对计算机系统资源而采取的访问安全措施,例如文件读写访问控制、进程访问控制、内存访问控制等
针对数据库系统及数据而采取的访问安全措施,例如数据库表创建、数据生成与分发
针对应用系统资源而采取的访问安全措施,例如业务执行操作、业务系统文件读取等
实现方法:在每个文件上使用“9比特位模式”来标识访问控制权限信息
文件权限信息:共用10个字符表示
字符位 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 |
权限项 | 读 | 写 | 执行 | 读 | 写 | 执行 | 读 | 写 | 执行 |
字符表示 | r | w | x | r | w | x | r | w | x |
数字表示 | 4 | 2 | 1 | 4 | 2 | 1 | 4 | 2 | 1 |
权限分配 | 文件所有者 | 文件同组用户 | 其他用户 |
表示权限的字符rwx还可以用数字来表示,如:-rw-r--r-- 就是644
Windows用户登录到系统时,WinLogon进程为用户创建访问令牌,包含
用户进程访问客体对象时,通过WIN32子系统向核心请求访问服务,核心的安全参考监视器(SRM)将访问令牌与客体的DACL进行比较,决定客体是否拥有访问权限,同时检查客体的SACL,确定本次访问是否落在既定的审计范围内,是则送至审计子系统
IIS FTP服务器自身提供了访问限制技术手段,实现用户账号认证、匿名访问控制以及 IP 地址限制
FTP 用户仅有两种目录权限:读取和写入
读取即下载,写入即上传,FTP站点的目录权限对所有的FTP用户都有效
网络访问控制:指通过一定技术手段实现网络资源操作限制,使得用户只能访问所规定的的资源
网络访问控制实现方式
利用防火墙、路由器、网关等实现,将这些设备放在两个不同的通信网络的连接处,使得所有的通信流都经过通信连接控制器,只有当通信流符合访问控制规则时,才允许通信正常进行
根据网络的功能和业务用途,将网络划分为若干个小的子网(网段),或者是外部网和内部网,以避免各网之间多余的信息交换
该方案针对系统管理员权限管理工作,实现既可集中管理又可分散管理的目标。该方案采用基于角色的访问控制技术
1.自主访问控制结构
2.强制访问控制结构
友情链接:http://xqnav.top/