目录
7.3.1、自主访问控制(Discretionary Access Control DAC)
7.3.2、强制访问控制(Nandatory Access Control MAC)
7.3.4、基于属性的访问控制(Attribute Based Access Control ABAC)
7.1、概述
7.1.1、访问控制概念
用户对系统资源的访问进行控制,即更具用户的属性给予对资源的不同程度的权限。
7.1.2、目标
基于身份认证,禁止合法用户越权访问、防止非法用户未授权访问。
7.2、访问控制模型
7.2.1、访问控制参考模型
组成:
- 主体:资源访问者
- 客体:待访问的资源
- 参考监视器:访问控制的决策单元和执行单元的集合,控制监视主体。
- 访问控制数据库:记录主体访问客体的权限及访问方式的信息库
- 审计库:储存主体访问客体的操作记录。
7.3、访问控制类型
7.3.1、自主访问控制(Discretionary Access Control DAC)
客体的所有者按照自己的安全策略授予用户对其的访问权,
1、基于行的自主访问控制
每个主体上都附加一个该主体可访问的客体明细表。根据表的信息不同可分为分类:能力表、前缀表、口令
2、基于列的自主访问控制
每个客体上都附加一个可访问它的主体明细表,表有两种形式:保护位、访问控制表
7.3.2、强制访问控制(Nandatory Access Control MAC)
系统根据主体和客体的安全属性,一强制方式控制主体对客体的访问,
要求对每个主体和客体设置安全属性(安全级别、范畴)
7.3.3、基于角色的访问控制(RBAC)
对系统操作的各种权限不是直接授予具体的用户,而是在用户集合与权限集合之间建立一个角色集合。每一种角色对应一组相应的权限。一旦用户被分配了适当的角色后,该用户就拥有此角色的所有操作权限。
基本要素:用户、角色、会话、权限
由系统管理员负责管理系统的角色集合和访问权限集合
7.3.4、基于属性的访问控制(Attribute Based Access Control ABAC)
根据主体属性、客体属性、环境条件、访问策略来控制主体对客体的访问。
(个人感觉和强制访问控制MAC思想相似,都是根据主客体具有的属性根据规则来控制访问,MAC更强调规则的强制性,管理不够灵活;ABAC的规则有一点”动态“的味道)
7.4、访问控制策略设计与实现
7.4.1、访问控制策略
设计要求:
1、不同网络应用的安全需求
2、所有和应用相关的信息确认
3、网络信息传播和授权策略
4、不同系统的访问控制和信息分类策略的一致性
5、关于保护数据和服务的有关法规和合同义务
6、访问权限的更新和维护
访问规则必须做到:
1、未经明确允许的都是禁止
2、信息标记的变化
3、信息系统和管理人员引起的用户权限变化
4、规则在颁布之前要管理人员批准
7.4.2、访问控制规则
- 基于用户身份
- 基于角色
- 基于时间
- 基于异常事件
- 基于服务数量
7.5、访问控制过程与安全管理
7.5.1、访问控制管理过程
步骤:
- 明确访问控制管理资产
- 分析资产安全需求
- 制定访问控制策略
- 实现
- 运行维护
7.5.2、最小特权管理
特权(Privilege)
最小特权原则(Principle of Least Privilege)、按需使用(Need to Use)
即权限的分配原则按需使用,不赋予主体完成任务的额外权限
7.5.3、用户访问管理
7.5.4、口令安全管理
- 口令选择安全:8字符以上,不同字符混合,账号密码不同,避免默认口令
- 口令储存安全:加密储存
- 口令传输安全
- 口令期限设置
- 限制口令验证次数
7.6、访问控制主要产品与技术指标
7.6.1、主要产品
1、4A系统(统一安全管理平台)
4A:认证(Authentication)、授权(Authorization)、账号(Account)、审计(Audit)
2、安全网关
利用网络数据包信息和网络安全威胁特征数据库,对网络通信进行访问控制,如防火墙、统一安全威胁管理(UTM)
3、系统安全增强
7.6.2、技术指标
- 支持访问控制策略规则类型
- 支持访问控制规则最大数量
- 访问控制规则检查速度
- 产品自身安全和质量保障
7.7、访问控制技术应用与应用参考
教程 P151
扫一扫
510
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
