DKY_2023信安第四章复习“访问控制技术”_wxc

已于 2023-06-11 10:56:54 修改
阅读量732 收藏 1
点赞数 3
分类专栏: 2021级 信安 文章标签: 安全
于 2023-06-10 14:50:16 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Wxc20212308/article/details/131141996
版权
本文介绍了信息安全系统的基本结构,强调了身份认证和访问控制的重要性。访问控制包括自主访问控制(DAC)、强制访问控制(MAC)和基于角色访问控制(RBAC)三种主要技术,分别阐述了它们的特点和实现机制。此外,文章还讨论了安全审计的概念,包括审计对象的分类和审计系统的作用。
摘要由CSDN通过智能技术生成

目录

一、概述

1、信息安全系统基本结构

2、访问控制三要素

3、访问控制和身份认证

4、访问控制实现机制

二、常见访问控制技术

1、自主访问控制DAC

2、强制访问控制MAC

3、基于角色访问控制RBAC

三、安全审计

1、基本概念

2、分类

3、安全审计系统

一、概述

1、信息安全系统基本结构

理解:
①身份认证是访问控制的基础;
②身份认证是判断用户是否合法,访问控制是授予不同的合法用户不同的权限;
③授权是访问控制的核心,访问控制是一种加强授权的方法;
④审计是事后的责任认定、分析评价。

2、访问控制三要素

访问控制三要素主体客体访问策略

理解:限制哪些主体能够以哪种方式访问哪些对象

3、访问控制和身份认证

身份认证:真实性

访问控制:机密性完整性可用性可控性

4、访问控制实现机制

访问控制矩阵AM:行表示主体、列表示客体、行和列共同表示访问权限

访问能力表CL:基于主体(行)的访问控制,以用户为中心

访问控制列表ACL:基于客体(列)的访问控制,以资源(客体)为中心

理解:
CL   以用户为中心—>资源比较固定(链表)
ACL  以资源为中心—>用户比较固定

ACL是目前采用最多的方式。它可以将相同权限用户分组,对特定资源指定任意用户和组的访问权限。查出对某一特定资源拥有访问权限的所有用户 更有效实施权限管理。例如操作系统的访问控制列表。

二、常见访问控制技术

自主访问控制DAC、强制访问控制MAC、基于角色访问控制RBAC、其他

1、自主访问控制DAC

DAC:根据主体的身份和授权来决定访问模式。

特点:主体能够自主地将自己所拥有的客体访问权限赋予其他主体,也可以撤销

实现机制:访问控制列表ACL、访问能力表CL

缺点:用户之间可以进行任意的权限传递

2、强制访问控制MAC

MAC:系统通过比较主体和客体的安全属性来决定一个主体是否能够访问某个客体

理解:安全属性是主体、客体的级别划分,除系统管理员外无法更改。
安全属性:
绝密级TS
机密级T
秘密级C
无密级U

访问模式:上读、下读、上写、下写、(同级别可读可写)

理解:【主体<操作>客体】

特点:通过分级的安全属性,实现了信息的单向流通,一定程度防范特洛伊木马病毒

BLP模型

BLP模型:下读/上写(机密性)

特点:安全等级低的用户无法读取等级高的信息,防止信息泄露【不上读】;同时禁止信息由高级别流向低级别,实现信息流的单项流通【不下写】

例如,假设一个计算机系统中有三个用户:Alice、Bob和Charlie,他们的安全级别分别为"机密"、"秘密"和"公开"。如果系统中的某个文件具有"机密"级别,那么根据BLP模型,Alice("机密"级别)可以写入该文件,Bob("秘密"级别)可以读取该文件,但Charlie("公开"级别)无法读取或写入该文件。这样,即使特洛伊木马病毒感染了Charlie的账户,它也无法访问高于其安全级别的敏感数据。

缺点:忽略了信息完整性保护,信息可能被越权篡改

记忆:“用暴力破解,下毒上出血”【BLP机:机密性,下读上写】

BIBA模型

BIBA模型:上读/下写(完整性)

特点:不允许低级别用户向上篡改信息【不上写】;不允许高级别用户向下读,不允许级别低的信息流向高级别【不下读】

举个例子,假设一个系统中有两个用户:Alice和Bob,他们的安全级别分别为"高"和"低"。如果Alice("高"级别)拥有一个文件,根据BIBA模型,Bob("低"级别)不能对该文件进行写入操作,以防止他篡改其中的数据。即使Bob的账户被特洛伊木马病毒感染,他也无法改变高于其安全级别的数据内容。

实际应用:用户从公网能读取和写入WEB服务器吗? WEB服务器能读取和写入公网用户主机吗?

缺点:忽略了机密性

记忆:毙霸上毒虾蟹【BIBA,上读下写】

3、基于角色访问控制RBAC

RBAC:用户不是至始至终以同样的注册身份和权限访问系统,而是以一定的角色访问,不同的角色被赋予不同的访问权限,系统的访问控制机制只看到角色,而看不到用户

理解:
①类似“面向对象”,“抽象”,“封装”
②主体是具有角色身份的用户,通过访问控制矩阵AM,获得客体(资源)权限
③角色和组的区别——组=用户集,角色=用户集+权限集

例如,在某教务系统中,可以将用户角色分为教师、学生以及教务处管理人员。不同的角色拥有不同的权限。  

三、安全审计

1、基本概念

安全审计:对事件进行记录和分析,并对特定事件采取相应比较的动作。指按照一定的安全策略,利用记录、系统活动和用户活动等信息,检查、审查和检验操作事件的环境及活动,发现系统漏洞、入侵行为或改善系统性能的过程。

2、分类

审计对象分类:主机审计(系统文件、注册表等)、网络审计(网络数据流)

工作方式分类:集中式、分布式

审计级别分类:系统级审计、应用级审计、用户级审计

3、安全审计系统

日志收集和记录、审计分析(日志分析)、审计跟踪……

Wxc20212308
关注
专栏目录
试验网站#3搜索引擎优化收录情况记录2007-8-6
胡争辉
08-06 747
试验网站#3搜索引擎优化收录情况记录 日期 Yahoo google baidu sogou
[XJTU计算机网络安全与管理]——第十二讲 访问控制
weixin_47692652的博客
06-14 3001
[XJTU计算机网络安全与管理]——第十二讲 访问控制
计算机安全学习笔记(III):强制访问控制 - MAC
weixin_54634208的博客
08-27 1468
强制访问控制 - MAC
CISP 考试教材《第 7 章 知识域:信息安全支撑技术》知识整理
码农UP2U
10-16 5739
第 7 章 知识域:信息安全支撑技术 CISP 考试教材《第 1 章 知识域:信息安全保障》知识整理 CISP 考试教材《第 2 章 知识域:网络安全监管》知识整理 CISP 考试教材《第 3 章 知识域:信息安全管理》知识整理 CISP 考试教材《第 4 章 知识域:业务连续性》知识整理 CISP 考试教材《第 5 章 知识域:安全工程与运营》知识整理 CISP 考试教材《第 6 章 知识域:信息安全评估》知识整理 目录 7.1 知识子域:密码学 7.1.1 密码学基本概念 1
网络安全基础之访问控制模型详解——DAC, MAC, RBAC
Demonslzh的博客
01-04 5716
随着数据泄露事件的频繁发生和网络攻击的日益复杂化,确保敏感数据和关键资源的安全变得越来越重要。在众多网络安全措施中,访问控制模型扮演着至关重要的角色。为用户对系统资源提供最大限度共享的基础上,对用户的访问权进行管理,防止对信息的非授权篡改和滥用。
DKY-2023信安第一章复习“信息安全概述”-wxc
06-20
DKY-2023信安第一章复习“信息安全概述”-wxc
apkdb_v2.0
09-28
《深入理解APKDB_v2.0:解锁Android应用的反编译技术》 在移动应用开发领域,尤其是在Android系统中,对APK文件进行反编译是一项重要的技能。APKDB_v2.0,作为一款64位的反编译工具,为开发者和安全研究人员提供了...
基于Python与HTML的2020版DKY选修课设计源码
最新发布
09-28
本设计源码是基于Python和HTML开发的2020版DKY选修课课程资源,总计包含1201个文件,其中Python源代码文件679个,HTML文件14个,以及其他类型文件如txt、exe、xml等。该源码适用于DKY选修课程的教学需求。
含参数Dai_Yuan共轭梯度法及其收敛性 (2008年)
05-14
通过对 Dai_Yuan共轭梯度法的分析,将βDkY推广到更一般的形式 。根据搜索方向的下降性要求,得出含参数 Dai_Yuan共 轭梯度法 。在Wolfe条件下,证明了方法的收敛性 ;在强Wolfe条件下,证明了方法的充分下降性 。含参数 ...
信息安全概述:六要素与防护策略
DKY-2023信安第一章复习中,"信息安全概述"是核心内容,主要探讨了信息安全的基本概念以及六个关键的安全属性。信息安全的目标是在信息的生命周期中确保其稳定、可靠运行,合理且合法地使用,具体包括: 1. **...
android dns之dns服务器可用性机制,成功率低于门限则惩罚抑制(一)
lkxx_zw的专栏
11-27 632
android dns之服务器可用性惩罚机制1 dns服务器可用性检测1.1 send dns请求前,所有dns server是否可用,可用性结果保存到usable_servers[]。1.2 通过_res_stats_usable_server遍历检查每个DNS server的可用性。如果检测为都不可用,则调整为都可用。 1 dns服务器可用性检测 1.1 send dns请求前,所有dns s...
信息系统安全期末复习总结
大大大鸡腿的博客
06-26 4285
目录 知识点总结 简答题总结 知识点总结 1.信息系统安全:信息网络的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断。 2.PORR模型: 保护、检测、响应、恢复 3.被动攻击:攻击者在未被授权的情况下,非法获取信息或数据文件,但不对数据信息做任何修改。有搭线监听、无线截获、流量分析等。重点在于预防而不是检测。 4.主动攻击:对数据进行篡改和伪造。重点在于检测并从攻击造成的破坏中及时恢复。 5.信息系统安全的目
《CISP》(七)信息安全支撑技术——访问控制
qq_43681877的博客
01-16 2250
本系列是学习《CISP》中易混淆点的记录,文章顺序是按照教材讲解而定 目录一、准备二、自主访问控制DAC1、访问控制矩阵2、访问控制功能:二、强制访问控制模型 MAC三、BLP模型 Bell-LaPadula四、Biba模型五、Clark-Wilson模型六、Chinese Wall模型七、基于角色的访问控制 RBAC八、基于规则的访问控制 RB-ERBAC九、特权管理基础设施 PMI 一、准备 主体:使信息在客体之间流动的一种实体,常指人、进程、设备 客体:一种信息实体,或者从其他主体或客体接收信.
Linux系统安全
网络安全研究
11-05 6649
在 Linux 中,用户层的所有操作,都可以抽象为“主体 -> 请求 -> 客体”这么一个流程。在这个过程中,Linux 内核安全提供了基于权限的访问控制,确保数据不被其他操作获取。
【信息安全案例】—知识点复习(期末不挂科版)
HinsCoder的博客
06-02 2912
信息的定义被交流的知识关于客体(如事实、概念、事件、思想、过程等)的知识,它在一定的上下文中具有特定的意义。网络空间是信息时代人们赖以生存的信息环境,是所有信息系统的集合。载体、资源、主体、操作。国家政府、组织团体、个人。信息保密阶段、网络信息安全阶段、信息保障阶段。信息安全防护的基本原则整体性和分层性。
【区块链】关于访问控制的一些思考
Jenny Doe
01-20 3559
一. 概念 1. 主体 访问的发起者,并造成了信息的流动或者系统状态的改变。如人,进程,设备等。 2. 客体 包含信息或接收信息的被动接受访问的资源,对客体的访问意味着对其中所包含信息的访问。如文件,设备,信号量,网络节点等。 3. 权限 是否允许主体(s)对客体(o)执行某种动作(a),如果主体可以访问,则为允许(pass);否则为禁止(deny)。权限的概念本质上描述的是一种对主体是否拥有许可...
【计算机三级信息安全访问控制模型
开心星人的博客
07-23 5922
在计算机系统中,认证、访问控制(AccessControl)和审计共同建立了保护系统安全的基础。认证是用户进入系统的第一道防线,访问控制是在鉴别用户的合法身份后,控制用户对数据信息的访问,它是通过引用监控器实施这种访问控制的。访问控制是在身份认证的基础上,根据身份对提出的资源访问请求加以控制,是针对越权使用资源的现象进行防御的措施。访问控制是网络安全防范和保护的主要策略,它可以限制对关键资源的访问,防止非法用户或合法用户的不慎操作所造成的破坏。目的主体是访问客体的主动实体;客体是被访问的被动实体。.....
哈工大信息安全概论复习笔记(3)
www01000134的博客
07-05 1391
哈工大信息安全概论复习笔记(3) 考点十五 PKI的体系结构及工作原理 公钥基础设施(PKI)采用数字证书技术来管理公钥,通过第三方的可信任机构——CA认证中心把用户的公钥和用户的其他标识信息捆绑到一起,在互联网上验证用户的身份。 在PKI的组成结构中,处在中心位置的是构建PKI的核心技术,即公钥算法和数字证书技术,在此技术基础上实现的PKI平台包括四个基本功能模块和一个应用接口模块。 1.认证机构CA:CA是PKI的核心执行机构,也称为认证中心。其主要功能包括数字证书的申请注册、证书签发和管理。 2.证书
2019重大信息安全事件_2019上半年信息安全工程师下午案例分析真题与答案解析...
weixin_39855843的博客
12-24 1631
信管网将在2019年上半年信息安全工程师考试结束后免费发布2019上半年信息安全工程师下午案例分析真题与答案解析供各位考友查看和估分,敬请关注信管网。2019年信息安全工程师案例分析真题与答案试题一(共14分)阅读下列说明,回答问题1至问题3,将解答填入答题纸的对应栏内。【说明】访问控制是保障信息系统安全的主要策略之一,其主要任务是保证系统资源不被非法使用和非常规访问。访问控制规定了主体对客体访向...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值