信息安全技术10访问控制技术与Windows访问控制
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
自主是指主体能够自主地 (可能是间接的) 将访问权或 访问权的某个子集授予其他主体。简单来说,就是由 拥有资源的用户自己来决定其他一个或一些主体可以 在什么程度上访问哪些资源。即资源的拥有者对资源 的访问策略具有决策权,这是一种限制比较弱的访问 控制策略。
第 6-1讲 访问控制技术与Windows访 问控制
信息安全技术
wk.baidu.com
第 6 讲 访问控制与审计技术
6.1 访问控制技术与Windows访问控制
访问控制的基本概念 Windows XP的访问控制
6.2 审计追踪技术与Windows安全审计功能
第 6-1讲 访问控制技术与Windows访 问控制
1. 访问控制的基本概念
访问控制是在保障授权用户能获取所需资源的同时拒 绝非授权用户的安全机制,也是信息安全理论基础的 重要组成部分。
自主访问控制是一种比较宽松的访问控制机制。一个 主体的访问权限具有传递性,比如大多数交互系统的 工作流程是这样的:用户首先登录,然后启动某个进 程为该用户做某项工作,这个进程就继承了该用户的 属性,包括访问权限。这种权限的传递可能会给系统 带来安全隐患,某个主体通过继承其他主体的权限而 得到了它本身不应具有的访问权限,就可能破坏系统 的安全性。这是自主访问控制方式的缺点。
识别和确认访问系统的用户。 决定该用户可以对某一系统资源进行何种类型访问。
访问控制一般包括3种类型:自主访问控制、强 制访问控制和基于角色的访问控制等。
第 6-1讲 访问控制技术与Windows访 问控制
(1) 自主访问控制 (DAC)
这是常用的访问控制方式,它基于对主体或主体所属 的主体组的识别来限制对客体的访问。
同一用户在不同场合应该以不同的权限访问系统。而 按传统的做法,变更权限必须经系统管理员授权修改 ,因此很不方便。
当用户大量增加时,按每用户一个注册账号的方式将 使得系统管理变得复杂、工作量急剧增加,也容易出 错。
第 6-1讲 访问控制技术与Windows访 问控制
传统访问控制模式不容易实现层次化管理。即按每用 户一个注册账号的方式很难实现系统的层次化分权管 理,尤其是当同一用户在不同场合处在不同的权限层 次时,系统管理很难实现。除非同一用户以多个用户 名注册。
第 6-1讲 访问控制技术与Windows访 问控制
例如,在一个银行系统中,可以定义出纳员、分 行管理者、系统管理员、顾客、审计员等角色。 其中,担任系统管理员的用户具有维护系统文件 的责任和权限,无论这个用户具体是谁。系统管 理员可能是由某个出纳员兼任,他就具有两种角 色。但是出于责任分离的考虑,需要对一些权利 集中的角色组合进行限制,比如规定分行管理者 和审计员不能由同一个用户担任等。
访问控制的目的是为了限制访问主体对访问客体的访 问权限,从而使计算机系统在合法范围内使用;它决 定用户能做什么,也决定代表一定用户身份的进程能 做什么。其中主体可以是某个用户,也可以是用户启 动的进程和服务。
第 6-1讲 访问控制技术与Windows访 问控制
为达到目的,访问控制需要完成以下两个任务:
第 6-1讲 访问控制技术与Windows访 问控制
基于角色的访问控制可以看作是基于组的自主访 问控制的一种变体,一个角色对应一个组。
第 6-1讲 访问控制技术与Windows访 问控制
第 6-1讲 访问控制技术与Windows访 问控制
基于角色的访问控制模式就是为了克服以上问题 而提出来的。
在基于角色的访问控制模式中,用户不是自始至 终以同样的注册身份和权限访问系统,而是以一 定的角色访问,不同的角色被赋予不同的访问权 限,系统的访问控制机制只看到角色,而看不到 用户。
第 6-1讲 访问控制技术与Windows访 问控制
用户在访问系统前,经过角色认证而充当相应的 角色。用户获得特定角色后,系统依然可以按照 自主访问控制或强制访问控制机制控制角色的访 问能力。
第 6-1讲 访问控制技术与Windows访 问控制
1) 角色 (role) 的概念。
角色定义为与一个特定活动相关联的一组动作和责任 。系统中的主体担任角色,完成角色规定的责任,具 有角色拥有的权限。一个主体可以同时担任多个角色 ,它的权限就是多个角色权限的总和。基于角色的访 问控制就是通过各种角色的不同搭配授权来尽可能实 现主体的最小权限 (最小授权指主体在能够完成所有必 需的访问工作基础上的最小权限) 。
在传统的访问控制中,主体始终和特定的实体相 对应。例如,用户以固定的用户名注册,系统分 配一定的权限,该用户将始终以其用户名访问系 统,直至销户。其间,用户的权限可以变更,但 必须在系统管理员的授权下才能进行。
第 6-1讲 访问控制技术与Windows访 问控制
然而,在现实社会中,传统访问控制方式表现出 很多弱点,不能满足实际需求。主要问题在于:
在强制访问控制机制中,将安全级别进行排序,如按 照从高到低排列,规定高级别可以单向访问低级别, 也可以规定低级别可以单向访问高级别。
第 6-1讲 访问控制技术与Windows访 问控制
(3) 基于角色的访问控制 (RBAC)
传统的访问控制 基于角色的访问控制
第 6-1讲 访问控制技术与Windows访 问控制
在用户身份认证和授权之后,访问控制机制将根据预 先设定的规则对用户访问某项资源 (目标) 进行控制, 只有规则允许时才能访问,违反预定的安全规则的访 问行为将被拒绝。
第 6-1讲 访问控制技术与Windows访 问控制
资源可以是信息资源、处理资源、通信资源或者物理 资源,访问方式可以是获取信息、修改信息或者完成 某种功能 (例如可以是读、写或者执行等) 。
第 6-1讲 访问控制技术与Windows访 问控制
(2) 强制访问控制 (MAC)
这是一种较强硬的控制机制,系统为所有的主体和客 体指定安全级别,比如绝密级、机密级、秘密级和无 密级等。不同级别标记了不同重要程度和能力的实体 ,不同级别的主体对不同级别的客体的访问是在强制 的安全策略下实现的。
第 6-1讲 访问控制技术与Windows访 问控制
信息安全技术
wk.baidu.com
第 6 讲 访问控制与审计技术
6.1 访问控制技术与Windows访问控制
访问控制的基本概念 Windows XP的访问控制
6.2 审计追踪技术与Windows安全审计功能
第 6-1讲 访问控制技术与Windows访 问控制
1. 访问控制的基本概念
访问控制是在保障授权用户能获取所需资源的同时拒 绝非授权用户的安全机制,也是信息安全理论基础的 重要组成部分。
自主访问控制是一种比较宽松的访问控制机制。一个 主体的访问权限具有传递性,比如大多数交互系统的 工作流程是这样的:用户首先登录,然后启动某个进 程为该用户做某项工作,这个进程就继承了该用户的 属性,包括访问权限。这种权限的传递可能会给系统 带来安全隐患,某个主体通过继承其他主体的权限而 得到了它本身不应具有的访问权限,就可能破坏系统 的安全性。这是自主访问控制方式的缺点。
识别和确认访问系统的用户。 决定该用户可以对某一系统资源进行何种类型访问。
访问控制一般包括3种类型:自主访问控制、强 制访问控制和基于角色的访问控制等。
第 6-1讲 访问控制技术与Windows访 问控制
(1) 自主访问控制 (DAC)
这是常用的访问控制方式,它基于对主体或主体所属 的主体组的识别来限制对客体的访问。
同一用户在不同场合应该以不同的权限访问系统。而 按传统的做法,变更权限必须经系统管理员授权修改 ,因此很不方便。
当用户大量增加时,按每用户一个注册账号的方式将 使得系统管理变得复杂、工作量急剧增加,也容易出 错。
第 6-1讲 访问控制技术与Windows访 问控制
传统访问控制模式不容易实现层次化管理。即按每用 户一个注册账号的方式很难实现系统的层次化分权管 理,尤其是当同一用户在不同场合处在不同的权限层 次时,系统管理很难实现。除非同一用户以多个用户 名注册。
第 6-1讲 访问控制技术与Windows访 问控制
例如,在一个银行系统中,可以定义出纳员、分 行管理者、系统管理员、顾客、审计员等角色。 其中,担任系统管理员的用户具有维护系统文件 的责任和权限,无论这个用户具体是谁。系统管 理员可能是由某个出纳员兼任,他就具有两种角 色。但是出于责任分离的考虑,需要对一些权利 集中的角色组合进行限制,比如规定分行管理者 和审计员不能由同一个用户担任等。
访问控制的目的是为了限制访问主体对访问客体的访 问权限,从而使计算机系统在合法范围内使用;它决 定用户能做什么,也决定代表一定用户身份的进程能 做什么。其中主体可以是某个用户,也可以是用户启 动的进程和服务。
第 6-1讲 访问控制技术与Windows访 问控制
为达到目的,访问控制需要完成以下两个任务:
第 6-1讲 访问控制技术与Windows访 问控制
基于角色的访问控制可以看作是基于组的自主访 问控制的一种变体,一个角色对应一个组。
第 6-1讲 访问控制技术与Windows访 问控制
第 6-1讲 访问控制技术与Windows访 问控制
基于角色的访问控制模式就是为了克服以上问题 而提出来的。
在基于角色的访问控制模式中,用户不是自始至 终以同样的注册身份和权限访问系统,而是以一 定的角色访问,不同的角色被赋予不同的访问权 限,系统的访问控制机制只看到角色,而看不到 用户。
第 6-1讲 访问控制技术与Windows访 问控制
用户在访问系统前,经过角色认证而充当相应的 角色。用户获得特定角色后,系统依然可以按照 自主访问控制或强制访问控制机制控制角色的访 问能力。
第 6-1讲 访问控制技术与Windows访 问控制
1) 角色 (role) 的概念。
角色定义为与一个特定活动相关联的一组动作和责任 。系统中的主体担任角色,完成角色规定的责任,具 有角色拥有的权限。一个主体可以同时担任多个角色 ,它的权限就是多个角色权限的总和。基于角色的访 问控制就是通过各种角色的不同搭配授权来尽可能实 现主体的最小权限 (最小授权指主体在能够完成所有必 需的访问工作基础上的最小权限) 。
在传统的访问控制中,主体始终和特定的实体相 对应。例如,用户以固定的用户名注册,系统分 配一定的权限,该用户将始终以其用户名访问系 统,直至销户。其间,用户的权限可以变更,但 必须在系统管理员的授权下才能进行。
第 6-1讲 访问控制技术与Windows访 问控制
然而,在现实社会中,传统访问控制方式表现出 很多弱点,不能满足实际需求。主要问题在于:
在强制访问控制机制中,将安全级别进行排序,如按 照从高到低排列,规定高级别可以单向访问低级别, 也可以规定低级别可以单向访问高级别。
第 6-1讲 访问控制技术与Windows访 问控制
(3) 基于角色的访问控制 (RBAC)
传统的访问控制 基于角色的访问控制
第 6-1讲 访问控制技术与Windows访 问控制
在用户身份认证和授权之后,访问控制机制将根据预 先设定的规则对用户访问某项资源 (目标) 进行控制, 只有规则允许时才能访问,违反预定的安全规则的访 问行为将被拒绝。
第 6-1讲 访问控制技术与Windows访 问控制
资源可以是信息资源、处理资源、通信资源或者物理 资源,访问方式可以是获取信息、修改信息或者完成 某种功能 (例如可以是读、写或者执行等) 。
第 6-1讲 访问控制技术与Windows访 问控制
(2) 强制访问控制 (MAC)
这是一种较强硬的控制机制,系统为所有的主体和客 体指定安全级别,比如绝密级、机密级、秘密级和无 密级等。不同级别标记了不同重要程度和能力的实体 ,不同级别的主体对不同级别的客体的访问是在强制 的安全策略下实现的。