网络安全技术与实践第6章 (3)访问控制
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
可信网络连接 4. 准入控制技术的发展 准入控制技术出现方案整合的趋势。TNC组织促进 标准化的快速发展,希望通过构建框架和规范保证互操作 性,准入控制正在向标准化、软硬件相结合的方向发展。
讨论思考:
(1)访问控制的概念?模式有哪些种? (2)准入控制技术的几种技术方案有何区别和联系?
6.4 计算机安全审计
准入控制技术
2. 准入控制技术方案比较
不同厂商准入控制方案在原理上类似,但实现方式 各不相同。主要区别4个方面。 1)选取协议 2)身份认证管理方式 3)策略管理 4)准入控制
6.3 访问控制技术
3.准入控制技术中的身份认证 身份认证技术的发展过程,从软件到软硬件结合,从 单一因子认证到双因素认证,从静态认证到动态认证。目 前常用的身份认证方式包括:用户名/密码方式、公钥证书 方式、动态口令方式等。采用单独方式都有优劣。 身份认证技术的安全性,关键在于组织采取的安全策 略。身份认证是网络准入控制的基础。
握手验证协议
6.3 访问控制技术
2.远程鉴权拨入用户服务
图6-12 RADIUS模型
(1)RADIUS协议主要工作过程 (2)RADIUS的加密方法 (3)RADIUS的重传机制
3.终端访问控制系统 终端访问控制(TACACS)功能:通过一个或几个中心 服务器为网络设备提供访问控制服务.与上述区别,它是 Cisco专用协议,具有独立身份认证、鉴权和审计等功能.
6.3 访问控制技术
在Linux系统中,访问控制采用了DAC(自主 访问控制)模式,如下图中所示。高优先级主体可将客体 的访问权限授予其他主体。
案例6-3
Linux系统中的自主访问控制
6.3 访问控制技术
(2)强制访问控制 强制访问控制(MAC)是系统强制主体服从访问控制 策略. 是由系统对用户所创建的对象,按照规则控制用户 权限及操作对象的访问.主要特征是对所有主体及其所控 制的进程、文件、段、设备等客体实施强制访问控制. MAC安全级别常用4级:绝密级、秘密级、机密级和无级 别级,其中T>S>C>U.系统中的主体(用户,进程)和客体 (文件,数据)都分配安全标签,以标识安全等级。
1)访问控制列表 访问控制列表(Access Control List,ACL)是应用在路由器 接口的指令列表,用于路由器利用源地址、目的地址、端口号等的特 定指示条件对数据包的抉择。 2)能力关系表 能力关系表(Capabilities List)是以用户为中心建立访问权限 表。与ACL相反,表中规定了该用户可访问的文件名及权限,利用 此表可方便地查询一个主体的所有授权。相反,检索具有授权访问特 定客体的所有主体,则需查遍所有主体的能力关系表。
重点 重点
● 了解访问列表与Telnet访问控制实验
6.3 访问控制技术
6.3.1 访问控制概述
1.访问控制的概念
访问控制( Access Control)指系统对用户身份及其所属的预先定义 的策略组限制其使用数据资源的能力。通常用于系统管理员控制用户对服 务器、目录、文件等网络资源的访问。 访问控制的主要目的是限制访问主体对客体的访问 ,从而保障数据资源 在合法范围内得以有效使用和管理。访问控制包括三个要素: ( 1)主体 S(Subject).是指提出访问资源具体请求,如用户,程序,进 程等。 (2)客体O(Object). 是指被访问资源的实体,如网络、计算机、数据 库、文件、目录、计算机程序、 外设、网络。 (3)控制策略 A( Attribution)。控制规则,对资源的使用,读、写、修 改、删除等操作,例如访问存储器;访问文件、目录、外设;访问数据库; 访问一个网站。
6.3 访问控制技术
6.3.4 认证服务与访问控制系统
1.AAA技术概述 AAA系统主要包括以下3个部分:
①认证:用于识别用户,在允许远程登录访问网络前身份识别。 ②鉴权:为远程访问控制提供方法,如一次性授权或给予特 定命令或服务的鉴权。 ③记帐:用于计费、审计和制作报表。
访问控制系统
2.远程鉴权拨入用户服务 网络 远程鉴权拨入用户服务(RADIUS)主要用于管理远程 存储 服务 用户的网络登入.主要基于C/S架构,客户端最初是NAS服务器, 器 现在任何运行RADIUS客户端软件的计算机都可成为其客户端。 RADIUS协议认证机制灵活, 可采用PAP、CHAP或Unix登入 认证等多种方式.其模型如图6-12所示。 密码认证协议
6.3 访问控制技术
2. 基于身份和规则的安全策略
授权行为是建立身份安全策略和规则安全策略的基础, 两种安全策略为: 1)基于身份的安全策略 (1)基于个人的安全策略。 (2)基于组的安全策略。 2)基于规则的安全策略 在此安全策略系统中,所有数据和资源都标注了安全标记, 用户的活动进程与其原发者具有相同的安全标记.
3)传统C/S 结构应用 的统一访问管理 在传统C/S 结构应用上, 实现管理前台的统一或统 一入口是关键.采用Web客 户端作为前台是企业最为 常见的一种解决方案.
单点登入
图6-10 Web单点登入访问管理系统
6.3 访问控制技术
6.3.3 访问控制的安全策略
安全策略
访问控制的安全策略是指在某个自治区域内(属于某 个组织的一系列处理和通信资源范畴), 用于所有与安全 相关活动的一套访问控制规则. 其安全策略有三种类型: 基于身份的安全策略、基于规则的安全策略和综合访问控 制方式。 1. 安全策略实施原则 访问控制安全策略原则集中在主体、客体和安全控制 规则集三者之间的关系。 (1)最小特权原则。 (2)最小泄露原则。 (3)多级安全策略。
6.3 访问控制技术
2.访问控制机制
访问控制机制
访问控制机制是检测和防止系统未授权访问, 并对保护资源所采 取的各种措施. 是在文件系统中广泛应用的安全防护方法,一般是在操 作系统的控制下,按照事先确定的规则决定是否允许主体访问客体,贯 穿于系统全过程.访问控制矩阵(Access Contro1 Matrix)是最初实现 访问控制机制的概念模型,以二维矩阵 规定主体和客体间访问权限. 2种方法:
任务-资源-权限 (3)基于角色的访问控制 角色(Role)是一定数量的权限的集合。指完成一 项任务必须访问的资源及相应操作权限的集合。角色作 为一个用户与权限的代理层,表示为权限和用户的关系, 所有的授权应该给予角色而不是直接给用户或用户组.
6.3 访问控制技术
基于角色的访问控制(RBAC)是通过对角色的访问 所进行的控制。使权限与角色相关联,用户通过成为适 当角色的成员而得到其角色的权限。可极大地简化权限 管理。RBAC模型的授权管理方法,主要有3种: ① 根据任务实际需要指定具体的角色。 ② 分别为不同角色分配资源和操作权限。 ③ 给一个用户组(Group权限分配的单位与载体) 指定一个角色。 RBAC支持三个著名的安全原则:最小权限原则、 责任分离原则和数据抽象原则。
根据登入的应用类型不同,可分为3种类型. 1)对桌面资源的统一访问管理 对桌面资源的访问管理,包括两个方面: ①登入Windows后统一访问Microsoft应用资源。 ②登入Windows后访问其他应用资源。 2)Web单点登入 由于Web技术体系架构便捷,对Web资源的统一访问管 理易于实现,如图6-10所示。
客体
主体访问控 制信息
访问控制 决策功能 (ADF)
客体访问控 制信息
访问控制策略规则
上下文信息(如时间、地点等)
图6-8 访问控制功能及原理
6.3 访问控制技术
6.3.2 访问控制的模式与分类
用户、设备、网站、安 全环境等方面
访问控制模式
访问控制可以分为两个层次:物理访问控制和逻辑访 问控制(数据、应用、系统、网络和权限层面)。
件控制手段。
⑹ 操作型控制是用于保护操作系统和应用的日常规程和机制。
访问控制手段
访问控制的手段分类
物理类控制手段 文书备份 管理类控制手段 安全知识培训 技术类控制手段 访问控制软件
围墙和栅栏
防 御 型 控 制 保安 证件识别系统
职务分离
职员雇用手续 职员离职手续
防病毒软件
库代码控制系统 口令
加锁的门
双供电系统 生物识别型门禁系统
监督管理
灾难恢复和应急计划 计算机使用的登记
智能卡
加密 拨号访问控制和回叫系统
工作场所的选择
灭火系统 移动监测探头 安全评估和审计 日志审计
探 测 型 手 段
烟感和温感探头
闭路监控 传感和报警系统
性能评估
职务轮换 背景调查
入侵探测系统
6.3 访问控制技术
3. 单点登入的访问管理
访问控制类型
访问控制主要包括六种类型:
⑴防御型控制用于阻止不良事件的发生。
⑵探测型控制用于探测已经发生的不良事件。 ⑶矫正型控制用于矫正已经发生的不良事件。
⑷管理型控制用于管理系统的开发、维护和使用,针对系统的策略、规
程、行为规范、个人的角色和义务、个人职能和人事安全决策。 ⑸ 技术型控制是用于为信息技术系统和应用提供自动保护的硬件和软
6.4.1 计算机安全审计概述
1. 计算机安全审计的概念及目的
计算机安全审计(Audit)是指按照一定的安全策略,利 用记录、系统活动和用户活动等信息,检查、审查和检验操作 事件的环境及活动,发现系统漏洞、入侵行为或改善系统性能 的过程。也是审查评估系统安全风险并采取相应措施的一个过 程。主要作用和目的包括5个方面: (1)对潜在攻击者起到威慑和警示作用。 (2)测试系统的控制情况,及时调整。 (3)对已出现的破坏事件,做出评估并提供依据。 (4)对系统控制、安全策略与规程中的变更进行评价和反馈, 以便修订决策和部署。 (5)协助发现入侵或潜在的系统漏洞及隐患。
6.4 计算机安全审计
2. 安全审计的类型 从审计级别上可分为3种类型: (1)系统级审计。主要针对系统的登入情况、 用户识别号、登入尝试的日期和具体时间、退出的 日期和时间、所使用的设备、登入后运行程序等事 件信息进行审查。 (2)应用级审计。主要针对的是应用程序的活 动信息。 (3)用户级审计。主要是审计用户的操作活动 信息。
6.3 访问控制技术
3. 综合访问控制策略
(1)入网访问控制 (2)网络的权限控制 从用户角度,网络的权限控制可分为3类: ①特殊用户,指具有系统管理权限的用户。 ②一般用户,系统管理员根据用户的实际需要为这些用户 分配操作权限. ③审计用户,负责网络的安全控制与资源使用情况的审计。 (3)目录级安全控制 (4)属性安全控制 (5)网络服务器安全控制 (6)网络监控和锁定控制 (7)网络端口和结点的安全控制
6.4 计算机安全审计
6.4.2 系统日记安全审计
1. 系统日志的内容 系统日志主要根据网络安全级别及强度要求,选 择记录部分或全部的系统操作。 对于单个事件行为,通常系统日志主要包括:事 件发生的日期及时间、引发事件的用户IP地址、事件 源及目的地位置、事件类型等。 2. 安全审计的记录机制 对各种网络系统应采用不同记录日志机制。记录 方式有3种:由操作系统完成,也可以由应用系统或 其他专用记录系统完成。
第6章 身份认证与访问控制
目
录
1 2
6.1 身份认证技术
6.2 身份认证系统与数字签名
6.3 访问控制技术 6.4 计算机安全审计
3
4 5 6
* 6.5Biblioteka Baidu访问列表与远程控制实验
6.6 本章小结
教学目标
教学目标
● 理解身份认证的概念、种类和方法
● 了解登录认证与授权管理 ● 掌握数字签名技术及应用 ● 掌握访问控制技术及应用 ● 理解安全审计技术及应用
1. 访问控制的模式 主要的访问控制模式有3种:
访问控制
自主 访问控制
强制 访问控制
基于角色 访问控制
(1)自主访问控制 自主访问控制(Discretionary Access Control,DAC)是一种 接入控制服务,通过执行基于系统实体身份及其到系统资源的接入授 权。包括在文件、文件夹和共享资源中设置许可。
6.3 访问控制技术
2.访问控制的功能及原理
访问控制的主要功能:保证合法用户访问受权保护的网 络资源,防止非法的主体进入受保护的网络资源,并防止合法 用户对受保护的网络资源进行非授权的访问.访问控制的内 容包括认证、控制策略实现和安全审计,如图6-8所示。
请求访问
用户
访问控制 执行功能 (AEF)
6.3 访问控制技术
6.3.5 准入控制技术及发展
1. 准入控制技术概述
思科公司和微软的网络准入控制NAP其原理和本质一 致,不仅对用户身份进行认证,还对用户的接入设备进行 安全状态评估(包括防病毒软件、系统补丁等),使每个 接入点AP都具有较高的可信度和健壮性,从而保护网络 基础设施。华为2005年推出端点准入防御产品。
讨论思考:
(1)访问控制的概念?模式有哪些种? (2)准入控制技术的几种技术方案有何区别和联系?
6.4 计算机安全审计
准入控制技术
2. 准入控制技术方案比较
不同厂商准入控制方案在原理上类似,但实现方式 各不相同。主要区别4个方面。 1)选取协议 2)身份认证管理方式 3)策略管理 4)准入控制
6.3 访问控制技术
3.准入控制技术中的身份认证 身份认证技术的发展过程,从软件到软硬件结合,从 单一因子认证到双因素认证,从静态认证到动态认证。目 前常用的身份认证方式包括:用户名/密码方式、公钥证书 方式、动态口令方式等。采用单独方式都有优劣。 身份认证技术的安全性,关键在于组织采取的安全策 略。身份认证是网络准入控制的基础。
握手验证协议
6.3 访问控制技术
2.远程鉴权拨入用户服务
图6-12 RADIUS模型
(1)RADIUS协议主要工作过程 (2)RADIUS的加密方法 (3)RADIUS的重传机制
3.终端访问控制系统 终端访问控制(TACACS)功能:通过一个或几个中心 服务器为网络设备提供访问控制服务.与上述区别,它是 Cisco专用协议,具有独立身份认证、鉴权和审计等功能.
6.3 访问控制技术
在Linux系统中,访问控制采用了DAC(自主 访问控制)模式,如下图中所示。高优先级主体可将客体 的访问权限授予其他主体。
案例6-3
Linux系统中的自主访问控制
6.3 访问控制技术
(2)强制访问控制 强制访问控制(MAC)是系统强制主体服从访问控制 策略. 是由系统对用户所创建的对象,按照规则控制用户 权限及操作对象的访问.主要特征是对所有主体及其所控 制的进程、文件、段、设备等客体实施强制访问控制. MAC安全级别常用4级:绝密级、秘密级、机密级和无级 别级,其中T>S>C>U.系统中的主体(用户,进程)和客体 (文件,数据)都分配安全标签,以标识安全等级。
1)访问控制列表 访问控制列表(Access Control List,ACL)是应用在路由器 接口的指令列表,用于路由器利用源地址、目的地址、端口号等的特 定指示条件对数据包的抉择。 2)能力关系表 能力关系表(Capabilities List)是以用户为中心建立访问权限 表。与ACL相反,表中规定了该用户可访问的文件名及权限,利用 此表可方便地查询一个主体的所有授权。相反,检索具有授权访问特 定客体的所有主体,则需查遍所有主体的能力关系表。
重点 重点
● 了解访问列表与Telnet访问控制实验
6.3 访问控制技术
6.3.1 访问控制概述
1.访问控制的概念
访问控制( Access Control)指系统对用户身份及其所属的预先定义 的策略组限制其使用数据资源的能力。通常用于系统管理员控制用户对服 务器、目录、文件等网络资源的访问。 访问控制的主要目的是限制访问主体对客体的访问 ,从而保障数据资源 在合法范围内得以有效使用和管理。访问控制包括三个要素: ( 1)主体 S(Subject).是指提出访问资源具体请求,如用户,程序,进 程等。 (2)客体O(Object). 是指被访问资源的实体,如网络、计算机、数据 库、文件、目录、计算机程序、 外设、网络。 (3)控制策略 A( Attribution)。控制规则,对资源的使用,读、写、修 改、删除等操作,例如访问存储器;访问文件、目录、外设;访问数据库; 访问一个网站。
6.3 访问控制技术
6.3.4 认证服务与访问控制系统
1.AAA技术概述 AAA系统主要包括以下3个部分:
①认证:用于识别用户,在允许远程登录访问网络前身份识别。 ②鉴权:为远程访问控制提供方法,如一次性授权或给予特 定命令或服务的鉴权。 ③记帐:用于计费、审计和制作报表。
访问控制系统
2.远程鉴权拨入用户服务 网络 远程鉴权拨入用户服务(RADIUS)主要用于管理远程 存储 服务 用户的网络登入.主要基于C/S架构,客户端最初是NAS服务器, 器 现在任何运行RADIUS客户端软件的计算机都可成为其客户端。 RADIUS协议认证机制灵活, 可采用PAP、CHAP或Unix登入 认证等多种方式.其模型如图6-12所示。 密码认证协议
6.3 访问控制技术
2. 基于身份和规则的安全策略
授权行为是建立身份安全策略和规则安全策略的基础, 两种安全策略为: 1)基于身份的安全策略 (1)基于个人的安全策略。 (2)基于组的安全策略。 2)基于规则的安全策略 在此安全策略系统中,所有数据和资源都标注了安全标记, 用户的活动进程与其原发者具有相同的安全标记.
3)传统C/S 结构应用 的统一访问管理 在传统C/S 结构应用上, 实现管理前台的统一或统 一入口是关键.采用Web客 户端作为前台是企业最为 常见的一种解决方案.
单点登入
图6-10 Web单点登入访问管理系统
6.3 访问控制技术
6.3.3 访问控制的安全策略
安全策略
访问控制的安全策略是指在某个自治区域内(属于某 个组织的一系列处理和通信资源范畴), 用于所有与安全 相关活动的一套访问控制规则. 其安全策略有三种类型: 基于身份的安全策略、基于规则的安全策略和综合访问控 制方式。 1. 安全策略实施原则 访问控制安全策略原则集中在主体、客体和安全控制 规则集三者之间的关系。 (1)最小特权原则。 (2)最小泄露原则。 (3)多级安全策略。
6.3 访问控制技术
2.访问控制机制
访问控制机制
访问控制机制是检测和防止系统未授权访问, 并对保护资源所采 取的各种措施. 是在文件系统中广泛应用的安全防护方法,一般是在操 作系统的控制下,按照事先确定的规则决定是否允许主体访问客体,贯 穿于系统全过程.访问控制矩阵(Access Contro1 Matrix)是最初实现 访问控制机制的概念模型,以二维矩阵 规定主体和客体间访问权限. 2种方法:
任务-资源-权限 (3)基于角色的访问控制 角色(Role)是一定数量的权限的集合。指完成一 项任务必须访问的资源及相应操作权限的集合。角色作 为一个用户与权限的代理层,表示为权限和用户的关系, 所有的授权应该给予角色而不是直接给用户或用户组.
6.3 访问控制技术
基于角色的访问控制(RBAC)是通过对角色的访问 所进行的控制。使权限与角色相关联,用户通过成为适 当角色的成员而得到其角色的权限。可极大地简化权限 管理。RBAC模型的授权管理方法,主要有3种: ① 根据任务实际需要指定具体的角色。 ② 分别为不同角色分配资源和操作权限。 ③ 给一个用户组(Group权限分配的单位与载体) 指定一个角色。 RBAC支持三个著名的安全原则:最小权限原则、 责任分离原则和数据抽象原则。
根据登入的应用类型不同,可分为3种类型. 1)对桌面资源的统一访问管理 对桌面资源的访问管理,包括两个方面: ①登入Windows后统一访问Microsoft应用资源。 ②登入Windows后访问其他应用资源。 2)Web单点登入 由于Web技术体系架构便捷,对Web资源的统一访问管 理易于实现,如图6-10所示。
客体
主体访问控 制信息
访问控制 决策功能 (ADF)
客体访问控 制信息
访问控制策略规则
上下文信息(如时间、地点等)
图6-8 访问控制功能及原理
6.3 访问控制技术
6.3.2 访问控制的模式与分类
用户、设备、网站、安 全环境等方面
访问控制模式
访问控制可以分为两个层次:物理访问控制和逻辑访 问控制(数据、应用、系统、网络和权限层面)。
件控制手段。
⑹ 操作型控制是用于保护操作系统和应用的日常规程和机制。
访问控制手段
访问控制的手段分类
物理类控制手段 文书备份 管理类控制手段 安全知识培训 技术类控制手段 访问控制软件
围墙和栅栏
防 御 型 控 制 保安 证件识别系统
职务分离
职员雇用手续 职员离职手续
防病毒软件
库代码控制系统 口令
加锁的门
双供电系统 生物识别型门禁系统
监督管理
灾难恢复和应急计划 计算机使用的登记
智能卡
加密 拨号访问控制和回叫系统
工作场所的选择
灭火系统 移动监测探头 安全评估和审计 日志审计
探 测 型 手 段
烟感和温感探头
闭路监控 传感和报警系统
性能评估
职务轮换 背景调查
入侵探测系统
6.3 访问控制技术
3. 单点登入的访问管理
访问控制类型
访问控制主要包括六种类型:
⑴防御型控制用于阻止不良事件的发生。
⑵探测型控制用于探测已经发生的不良事件。 ⑶矫正型控制用于矫正已经发生的不良事件。
⑷管理型控制用于管理系统的开发、维护和使用,针对系统的策略、规
程、行为规范、个人的角色和义务、个人职能和人事安全决策。 ⑸ 技术型控制是用于为信息技术系统和应用提供自动保护的硬件和软
6.4.1 计算机安全审计概述
1. 计算机安全审计的概念及目的
计算机安全审计(Audit)是指按照一定的安全策略,利 用记录、系统活动和用户活动等信息,检查、审查和检验操作 事件的环境及活动,发现系统漏洞、入侵行为或改善系统性能 的过程。也是审查评估系统安全风险并采取相应措施的一个过 程。主要作用和目的包括5个方面: (1)对潜在攻击者起到威慑和警示作用。 (2)测试系统的控制情况,及时调整。 (3)对已出现的破坏事件,做出评估并提供依据。 (4)对系统控制、安全策略与规程中的变更进行评价和反馈, 以便修订决策和部署。 (5)协助发现入侵或潜在的系统漏洞及隐患。
6.4 计算机安全审计
2. 安全审计的类型 从审计级别上可分为3种类型: (1)系统级审计。主要针对系统的登入情况、 用户识别号、登入尝试的日期和具体时间、退出的 日期和时间、所使用的设备、登入后运行程序等事 件信息进行审查。 (2)应用级审计。主要针对的是应用程序的活 动信息。 (3)用户级审计。主要是审计用户的操作活动 信息。
6.3 访问控制技术
3. 综合访问控制策略
(1)入网访问控制 (2)网络的权限控制 从用户角度,网络的权限控制可分为3类: ①特殊用户,指具有系统管理权限的用户。 ②一般用户,系统管理员根据用户的实际需要为这些用户 分配操作权限. ③审计用户,负责网络的安全控制与资源使用情况的审计。 (3)目录级安全控制 (4)属性安全控制 (5)网络服务器安全控制 (6)网络监控和锁定控制 (7)网络端口和结点的安全控制
6.4 计算机安全审计
6.4.2 系统日记安全审计
1. 系统日志的内容 系统日志主要根据网络安全级别及强度要求,选 择记录部分或全部的系统操作。 对于单个事件行为,通常系统日志主要包括:事 件发生的日期及时间、引发事件的用户IP地址、事件 源及目的地位置、事件类型等。 2. 安全审计的记录机制 对各种网络系统应采用不同记录日志机制。记录 方式有3种:由操作系统完成,也可以由应用系统或 其他专用记录系统完成。
第6章 身份认证与访问控制
目
录
1 2
6.1 身份认证技术
6.2 身份认证系统与数字签名
6.3 访问控制技术 6.4 计算机安全审计
3
4 5 6
* 6.5Biblioteka Baidu访问列表与远程控制实验
6.6 本章小结
教学目标
教学目标
● 理解身份认证的概念、种类和方法
● 了解登录认证与授权管理 ● 掌握数字签名技术及应用 ● 掌握访问控制技术及应用 ● 理解安全审计技术及应用
1. 访问控制的模式 主要的访问控制模式有3种:
访问控制
自主 访问控制
强制 访问控制
基于角色 访问控制
(1)自主访问控制 自主访问控制(Discretionary Access Control,DAC)是一种 接入控制服务,通过执行基于系统实体身份及其到系统资源的接入授 权。包括在文件、文件夹和共享资源中设置许可。
6.3 访问控制技术
2.访问控制的功能及原理
访问控制的主要功能:保证合法用户访问受权保护的网 络资源,防止非法的主体进入受保护的网络资源,并防止合法 用户对受保护的网络资源进行非授权的访问.访问控制的内 容包括认证、控制策略实现和安全审计,如图6-8所示。
请求访问
用户
访问控制 执行功能 (AEF)
6.3 访问控制技术
6.3.5 准入控制技术及发展
1. 准入控制技术概述
思科公司和微软的网络准入控制NAP其原理和本质一 致,不仅对用户身份进行认证,还对用户的接入设备进行 安全状态评估(包括防病毒软件、系统补丁等),使每个 接入点AP都具有较高的可信度和健壮性,从而保护网络 基础设施。华为2005年推出端点准入防御产品。