访问控制概述
在某种程度上来说,信息安全就是通过控制如何访问信息资源来防范资源泄露或未经授权修改的工作。访问是主体(Subject)和客体(Object)之间的信息流动,主体是访问中主动的实体,可以是人,程序,进程等;客体是被动的实体,可以是文件,光盘,数据库等。
访问控制的4个步骤:
Identification — 身份标识 Authentication — 身份验证
Authorization — 授权 Accountability — 审计
访问控制模型,主要的三种:
自主访问控制:由客体的属主自主的对客体进行管理,自主的决定时候将访问权限授予其他主体。
强制访问控制:安全策略由管理员配置,访问控制由系统实施,安全策略是高于一切的存在。
角色型访问控制:使用集中管理的控制方式来决定主体和客体如何交互,更多的用于企业中,根据不同的职位来分配不同的权限。
逻辑漏洞概述:
逻辑漏洞是因为在代码之后是人的逻辑,人更容易犯错,所以逻辑漏洞一直都在,而且由于逻辑漏洞产生的流量多数为合法流量,一般的防护手段或设备无法阻止,也导致了逻辑漏洞成为了企业防护中的难题。
逻辑漏洞的分类:
验证机制缺陷----会话管理缺陷----权限管理缺陷----业务逻辑缺陷
验证机制:
验证机制是信息系统安全机制中最简单