访问控制技术课件
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
计 7种访问控制策略
算
机
入网访问控制。
网
网络的权限控制。
络
目录级安全控制。
安
属性安全控制。
全
网络服务器安全控制。
技
网络监测和锁定控制。
术
网络端口和节点的安全控制。
入网访问控制
为网络访问提供了第一层访问控制。它控制哪些用户能
计
够登录到服务器并获取网络资源,控制准许用户入网的 时间和准许他们在哪台工作站入网。 用户的入网访问控
算 还可进一步指定对目录下的子目录和文件的权限。对目
机 录和文件的访问权限一般有八种:系统管理员权限、读
网 权限、写权限、创建权限、删除权限、修改权限、文件
络 查找权限、访问控制权限。用户对文件或目标的有效权
安
限取决于以下两个因素:用户的受托者指派、用户所在 组的受托者指派、继承权限屏蔽取消的用户权限。一个
全
技
术
网络监测和锁定控制
网络管理员应对网络实施监控,服务器应记录用户对网络资源的访 问,对非法的网络访问,服务器应以图形或文字或声音等形式报警,
计 以引起网络管理员的注意。如果不法之徒试图进入网络,网络服务
器应会自动记录企图尝试进入网络的次数,如果非法访问的次数达
络
全过程进行有效的控制,从而确保只有合法用
安
户的合法访问才能给予批准,而且相应的访问
全
只能执行授权的操作。
技 访问控制是计算机网络系统安全防范和保护的
术
重要手段,是保证网络安全最重要的核心策略
之一,也是计算机网络安全理论基础重要组成
部分。
计5.1.1 访问控制的定义
算 访问控制是指主体依据某些控制策略或权限对客体本身
全 网络管理员应当为用户指定适当的访问权限,这些访问
技 权限控制着用户对服务器的访问。八种访问权限的有效
术 组合可以让用户有效地完成工作,同时又能有效地控制 用户对服务器资源的访问 ,从而加强了网络和服务器的
安全性。
属性安全控制
当用文件、目录和网络设备时,网络系统管理员应 计 给文件、目录等指定访问属性。属性安全在权限安
算 制可分为三个步骤:用户名的识别与验证、用户口令的
机
识别与验证、用户账号的缺省限制检查。三道关卡中只
网
ቤተ መጻሕፍቲ ባይዱ
要任何一关未过,该用户便不能进入该网络。 用户口令 应是每用户访问网络所必须提交的“证件”、用户可以
络 修改自己的口令, 用户名和口令验证有效之后,再进一
安
步履行用户账号的缺省限制检查。网络应能控制用户登
算 全的基础上提供更进一步的安全性。网络上的资源
机 都应预先标出一组安全属性。用户对网络资源的访
网 问权限对应一张访问控制表,用以表明用户对网络
络 资源的访问能力。属性设置可以覆盖已经指定的任
安
何受托者指派和有效权限。属性往往能控制以下几 个方面的权限:向某个文件写数据、拷贝一个文件、
全 删除目录或文件、查看目录和文件、执行文件、隐
计 算 机 网 络 安 全 技 术
计 本章学习目标
算
机
访问控制的三个要素、7种策略、内容、模 型
网 络
访问控制的安全策略与安全级别
安
安全审计的类型、与实施有关的问题
全
日志的审计
技
Windows NT操作系统中的访问控制与安全 审计
术
计5.1 访问控制概述
算
机 网
访问控制是在保障授权用户能获取所需资源的 同时拒绝非授权用户的安全机制。网络的访问 控制技术是通过对访问的申请、批准和撤销的
机
或是其资源进行的不同授权访问。访问控制包括三个要
网
素,即主体、客体和控制策略。
络
主体S(Subject)是指一个提出请求或要求的实体,是 动作的发起者,但不一定是动作的执行者。主体可以是
安
某个用户,也可以是用户启动的进程、服务和设备。
全 客体O(Object)是接受其他实体访问的被动实体。客
络
安 全
访问控制的目的是为了限制访问主体对访问客体 的访问权限,从而使计算机网络系统在合法范围 内使用;它决定用户能做什么,也决定代表一定
技 用户身份的进程能做什么。为达到上述目的,访
术 问控制需要完成以下两个任务:
识别和确认访问系统的用户。
决定该用户可以对某一系统资源进行何种类型的访问
计 全保护措施。用户和用户组被赋予一定的权限。网络
算
控制用户和用户组可以访问哪些目录、子目录、文件 和其他资源。可以指定用户对这些文件、目录、设备
机 能够执行哪些操作。受托者指派和继承权限屏蔽
网 (irm)可作为两种实现方式。受托者指派控制用户
络
和用户组如何使用网络服务器的目录、文件和设备。 继承权限屏蔽相当于一个过滤器,可以限制子目录从
技 含文件、共享、系统属性等。
术
服务器安全控制
计
网络允许在服务器控制台上执行一系列操作。用户
算 使用控制台可以装载和卸载模块,可以安装和删除
机
软件等操作。网络服务器的安全控制包括可以设置
网
口令锁定服务器控制台,以防止非法用户修改、删
络
除重要信息或破坏数据;可以设定服务器登录时间
安
限制、非法访问者检测和关闭的时间间隔。
技
体的概念也很广泛,凡是可以被操作的信息、资源、对
术
象都可以认为是客体。在信息社会中,客体可以是信息、 文件、记录等的集合体,也可以是网路上的硬件设施,
无线通信中的终端,甚至一个客体可以包含另外一个客
体。
计 控制策略
算
机 网
控制策略A(Attribution)是主体对客体的访问 规则集,即属性集合。访问策略实际上体现了一 种授权行为,也就是客体对主体的权限允许。
安 父目录那里继承哪些权限。我们可以根据访问权限将
全 用户分为以下几类:特殊用户(即系统管理员);一
技 般用户,系统管理员根据他们的实际需要为他们分配
术
操作权限;审计用户,负责网络的安全控制与资源使 用情况的审计。用户对网络资源的访问权限可以用访
问控制表来描述。
目录级安全控制
计 网络应允许控制用户对目录、文件、设备的访问。用户 在目录一级指定的权限对所有文件和子目录有效,用户
全
录入网的站点、限制用户入网的时间、限制用户入网的 工作站数量。当用户对交费网络的访问“资费”用尽时,
技 网络还应能对用户的账号加以限制,用户此时应无法进
术
入网络访问网络资源。网络应对所有用户的访问进行审 计。如果多次输入口令不正确,则认为是非法用户的入
侵,应给出报警信息。
权限控制
网络的权限控制是针对网络非法操作所提出的一种安