《CISP》(七)信息安全支撑技术——访问控制

最新推荐文章于 2024-07-15 18:55:08 发布
最新推荐文章于 2024-07-15 18:55:08 发布
阅读量2.2k 收藏 10
点赞数
分类专栏: 信息安全 文章标签: 网络 安全 信息安全 CISP NISP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43681877/article/details/122523832
版权

本系列是学习《CISP》中易混淆点的记录,文章顺序是按照教材讲解而定

目录

一、准备

  1. 主体:使信息在客体之间流动的一种实体,常指人、进程、设备
  2. 客体:一种信息实体,或者从其他主体或客体接收信息的实体,常值数据块、存储页、文件、目录、程序等
  3. 访问权限:主体对客体所执行的操作,读、写、执行、拒绝访问
  4. 访问控制实施一般过程:① 鉴别主体的合法身份 ② 根据当前系统的访问控制规则授予用户相应的访问权限。

二、自主访问控制DAC

资源的所有者(创建者)可以规定谁有权限访问其资源,是一种对单个用户执行访问过程控制的过程和措施。由于主体权限较容易被改变,不能低于特洛伊木马攻击。

1、访问控制矩阵

请添加图片描述

  1. 行:主体对客体所有的访问权限
  2. 列:客体允许主体进行的操作
  3. 矩阵元素:主体对客体被授予的访问权

2、访问控制功能

  1. 访问控制表ACL(对访问控制矩阵按列读取形成):客体决定主体,即在客体上附加一个主体明细表表示,每一项包括主体的身份以及对该客体的访问权。
  2. 能力表CL(对访问控制矩阵按行读取形成):主体决定客体,每一个用户维护一个能力表,表示器可以访问的客体。
  3. 访问模式:主体对客体的访问操作:读、写、运行
  4. 访问许可:改变访问模式的能力、向其他主体传递这种能力的能力。
    (1)等级型:对主体修改客体访问控制表能力划分等级(树形),有多个主体有能力修改其访问控制表。
    (2)有主型:客体拥有者唯一有权限访问ACL,拥有其所有控制权,但是无权将控制权分配给其他主体。例如UNIX系统。
    (3)自由型:有主型+可以分配修改其拥有客体的ACL权限给其他主体。

二、强制访问控制模型 MAC

主体和客体都拥有一个固定的安全属性,系统通过比较主体和客体的安全属性,根据访问控制规则强制执行,系统中的客体和主体都无权更改。能够有效防止特洛伊木马。

tips: 保护敏感信息使用MAC,需要灵活保护考虑共享信息使用DAC

三、BLP模型 Bell-LaPadula

模拟军事安全,低级不能向高级读、高级不能向低级写,若要通信,只有升降级别。(但是升降级通信之后可能会泄露高级别数据)
安全策略:

  1. 自主安全策略:使用访问控制矩阵,按照矩阵内部表示进行访问
  2. 强制安全策略:对主体和客体定义安全级(由密级和范畴构成)
    (1)简单安全规则:主体可以读客体:当主体安全级可以支配客体and主体对可以有自主性读权限
    (2)*-规则:主体可以写入客体:当客体安全级可以支配主体安全级and主体对客体有自主型写权限。

四、Biba模型

与BLP对偶,按照完整性对主体和客体划分级别,不下读,不上写,防止非授权用户篡改信息,但是可能会泄密。
3. 主体对客体读:当客体完整性级别支配主体完整性级别,即不下读
4. 主体对客体写:当主体完整性级别支配客体完整性级别,即不上写

五、Clark-Wilson模型

确保商业数据完整性

  1. 数据的完整性:如果数据满足给定条件,则称数据处于一致性状态。在每次操作前后数据都应该满足这个一致性条件。
  2. 数据操作的完整性:需要有人检查或验证事务处理是否被正确执行,一个事务需要两个或两个以上不同的人来执行。

六、Chinese Wall模型

用于解决商业应用中的利益冲突问题。用户不能访问利益冲突类的数据集。

例如石油公司A,B和银行A,如果用户访问了石油公司A则不能访问石油公司B,但是可以访问银行A。

围绕用户已有信息建立Chinese Wall,可以任务在墙外的任何数据集均和墙内数据集同属于一个利益冲突组,用户仍然可以自由访问与墙内信息属于不同利益冲突组的信息,但是Chinese Wall会根据新的数据集修改形状。

七、基于角色的访问控制 RBAC

系统内设置了若干角色,要求区分权限Authority和职责Responsibility

  1. RBAC0:基本模型,规定了RBAC系统的最小需求,四个基本要素:用户U、角色R、会话S、权限P
  2. RBAC1:RBAC0+角色等级
  3. RBAC2:RBAC0+约束
  4. RBAC3:包含RBAC1+RBAC2

八、基于规则的访问控制 RB-ERBAC

RBAC+规则

  1. 功能级访问控制模型:基于企业定义的规则集合动态地为用户分配角色,管理权限
  2. 数据级访问控制模型:对系统中包含的数据项进行必要的访问权限管理,包括用户身份认证、方法拦截器、过滤器、权限管理控制器、规则引擎等

九、特权管理基础设施 PMI

在多应用环境中的权限管理和访问控制机制,将权限管理和访问控制从具体应用系统中分离出来,使得访问控制机制和应用系统之间能够灵活而方便地结合。

主要功能:

  1. 对权限管理进行系统地定义和描述
  2. 系统地建立起对用户身份到应用授权的映射
  3. 支持应用访问控制

PMI基于PKI提供的可信身份认证服务基础上
PMI主要进行授权管理,证明该用户有什么权限,“你能干什么”
PKI主要进行身份鉴别,证明用户身份,“你是谁请添加图片描述

杰西啊杰西
关注
专栏目录
CISP学习——信息安全概念
Budtit's blog
05-12 1476
CISP学习-信息安全概念
2023年注册信息安全专业人员CISP知识体系
04-10 337
CISP培训内容包括信息安全保障、网络安全监管、信息安全管理、信息安全评估、安全工程与运营、信息安全支撑技术、业务连续性、物理与网络通信安全、计算环境安全、软件安全开发10个独立知识域。
信息安全支撑技术_V4.2.pdf
12-21
信息安全支撑技术
基于规则的访问控制
IBM技术期刊
04-25 1499
 尽管 Web 服务器能够为应用程序执行用户身份验证和粗粒度的授权检查,但是 Web 服务和面向服务的体系结构(Service-Oriented Architecture,SOA)开发人员通常必须编写自定义代码来限制对某些系统功能的访问,或者基于用户的标识来自定义行为或外观。在应用程序中嵌入授权检查很不灵活,易于出错,并且增加了复杂性。如果授权检查是数据驱动的而不是由程序逻辑实现的,结果会怎么样呢
访问控制系列
最新发布
m0_73514785的博客
07-15 1461
进程既是用户行为的客体,又是其访问对象的主体。在单处理机环境的操作系统中,根据系统设计方法的不同,TCB可以是一个安全内核,也可以是一个前端过滤器,或者就是操作系统的关键单元或包括全部操作系统。访问矩阵中的一行表示一个主体的所有权限,一列则是关于一个客体的所有访问属性,矩阵中的元素是该元素所在行对应的主体对该元素所在列对应的客体的访问权限。例如,操作系统中的文件、目录、管道、消息、信号量、进程和内存页等,数据库系统中的库、表和字段等,信息网络中的通信线路和计算节点等,都是信息系统中的常见客体。
章:信息安全支撑技术
weixin_42454262的博客
03-12 539
RBAC(Rule Based Access Control,基于规则的访问控制
weixin_30455661的博客
05-16 328
RBAC参考模型:  Core RBAC  Hierarchical RBAC  Static Separation of Duty Relations  Dynamic Separation of Duty relations RBAC的优势:  便于授权管理如系统管理员需要修改系统设置等内容时必须有几个不同角色的用户到场方能操作从而保证了安全性  便于根据工作...
信息安全】-访问控制
vector的博客
03-28 4935
Abstract:本文在介绍了基本概念之后,简单介绍了4种访问控制模型。自主访问控制(DAC)的特点是客体的创建者可以授予其他主体对客体的访问权限,十分灵活,实现方式有访问控制矩阵,访问控制列表,访问控制能力列表。访问控制矩阵是一个三元组,包括主体,客体和访问权限;访问控制列表是以文件为中心创建的,而访问控制能力列表则是基于用户为中心创建的。第二种访问控制策略是强访问控制(MAC),这是一种基于安全级别的访问控制,每一个主体和客体都被授予了不同的安全级别,通过判断主客体之间的安全级别进行访问控制。第三种策.
信息安全保障》一2.2 我国信息安全保障工作主要内容
weixin_34203426的博客
07-03 4311
本节书摘来自华章出版社《信息安全保障》一书中的第2章,第2.2节,作者 吴世忠 江常青 孙成昊 李华 李静,更多章节内容可以访问云栖社区“华章计算机”公众号查看 2.2 我国信息安全保障工作主要内容 为构建信息安全保障体系,我国已经在信息安全标准化、应急处理与信息通报、等级保护、风险评估和人才队伍建设等方面展开工作,并取得了一些成果。 2.2.1 信息安...
20位大佬,勾勒出一个中国网络安全江湖
xueshenlaila的博客
06-28 4589
文章目录一、为大家介绍20位大佬?一 西安:西交大、西电、西工大360 集团董事长兼 CEO:周鸿祎赛博英杰 CEO:谭晓生腾讯副总裁:丁珂阿里云:吴翰清知道创宇 CTO&COO:杨冀龙二 合肥:中科大、安医大深信服 CEO:何朝曦360 首席科学家:潘剑锋腾讯安全:TK 教主云深互联 CEO:陈本峰三 哈尔滨:哈工大、哈工程安天集团:肖新光360 集团首席安全官:杜跃进安芯网盾 CEO、CTO:姜向前、姚纪卫四 上海:复旦、同济、上海交大腾讯安全:吴石启明星辰集团 CEO:严望佳同济:季昕华五 .
遇见OFFER,阿里云最强技术团队现身招聘,“职”为你来
热门推荐
遇见OFFER
05-28 6万+
最近还在找工作吗?我们又来放送招聘信息啦!快来看看吧~
rbac:基于简单规则的访问控制-Codeiginter 3
05-15
自述文件 该自述文件通常将记录启动和运行应用程序所需的所有步骤。 该存储库是做什么用的? RBAC-Web应用程序 (基于规则的访问控制) Beta版本1.0 作者:Pudyasto Adi Wibowo 网站: : 联络人: 跟随: : 像: : 许可证: : MIT许可证 如何设置? 安装数据库 将所有* .copy.php复制到常规文件中* .php-config / config.copy.php-config / database.copy.php-config / ion_auth.copy.php-library / Apps.copy.php 自定义您的设置-config / config.php-config / database.php-config / ion_auth.php-库/Apps.php 尝试您的应用 贡献准则 AdminL
tacacs+_什么是TACACS / XTACACS / TACACS +(终端访问控制访问控制系统)?
cunjiu9486的博客
10-05 3657
tacacs+Terminal Access Controller Access Control System or TACACS is a protocol used for AAA (Authentication, Authorization, and Audit). TACACS is created in 1984 .TACACS is heavily used by the Cisco ...
CISP》(五)安全工程与运营
qq_43681877的博客
01-20 434
本系列是学习《CISP》中易混淆点的记录,文章顺序是按照教材讲解而定 目录一、基础1、系统工程SE2、能力成熟度CM3、能力成熟度模型CMM二、系统安全工程能力成熟度模型 SSE-CMM 一、基础 1、系统工程SE 研究:方法论 霍尔三维结构:由时间维、逻辑维、知识维所组成 2、能力成熟度CM CM是指一个具体的工程过程被明确定义、管理、评价、控制和产生实效的程度 3、能力成熟度模型CMM CMM是一种衡量工程实施能力的方法,是一种面向工程的方法 CMM模型就是抽取了这样一组好的工程实践并定义了过程的.
3.2 访问控制
draper-crypto的博客
07-09 2361
3.2 访问控制
第14章 控制和监控访问
HeLLo_a119的博客
12-02 781
控制和监控访问
NISP二级7.1 访问控制基础
Charon_____ajsh的博客
11-28 582
为用户对系统资源提供最大限度共享的基础上,对用户的访问权进行管理,防止对信息的非授权篡改和滥用。
CISSP概念详析-访问控制矩阵,能力表,ACL
郑增亮
04-14 2011
行头,是具体功能(也可以是客体名称),具体表格里面是权限,既可以是简单的允许/不允许,也可以是复杂些的 读/写/执行/修改属性。访问控制列表,就是只有一列的访问控制矩阵。注意:此时表里只有关于X的访问权限,如果要查文件Y的相关权限,就不应该查这个表了。例如,就是针对主体-用户Bob的,表里列出了Bob拥有的对所有客体的权限。访问控制矩阵的每一列都是一个访问控制列表ACL, 表的每一行都是功能列表(也叫能力表)。访问控制矩阵是一个由主体和客体组成的表, 这个表指示了每个主体可以对每个客体执行的动作或功能。
CISP——访问控制(自主访问控制和强制访问控制
honest_gg的博客
02-24 9784
访问控制基本概念 什么是访问控制 为用户对系统资源提供最大限度共享的基础上,对用户的访问权进行管理,防止对信息的非授权篡改和滥用 访问控制作用 保证用户在系统安全策略下正常工作 拒绝非法用户的非授权访问请求 拒绝合法用户越权的服务请求 访问控制模型: 对一系列访问控制规则集合的描述,可以是非形式化的,也可以是形式化的 组成: 主体、客体、实施、决策 访问控制模型的分类 自主访问控制模型(DA...
密码学与访问控制CISP信息安全关键技术解析
CISP信息安全支撑技术知识点涵盖了密码学的各个阶段、身份鉴别技术访问控制机制,这些都是构建和维护安全信息系统的核心元素。理解并掌握这些知识点对于信息安全专业人士来说至关重要,以应对日益复杂的网络威胁...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

杰西啊杰西

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值