: .
第5讲访问控制
崔宝江
北京邮电大学信息安全中心
北邮•佶息安全中心•袒宝江
■ 目录
• 访问控制概念的提出
•
・
・
・
国际标准化组织(ISO)在网络安全标准
I 9CF49&2屮定义了5种层次型安全服务:
□身份认证服务
□访问控制服务
□数据保密服务
□数据完整性服务
□不可否认服务
•访问控制是网络信息安全的-个重要组成
北邮・信息安全中心•袒宝江
・访问控制概念的提出
安金IH务
TCP/1 P协议层
M络浪口
勺联网圧
作输层
应用层
■
Y
Y
Y
故据海第别
■
Y
Y
Y
5何押制槪存7
Y
V
Y
Y
Y
Y
Y
无戏接保密性
Y
Y
Y
Y
透卄城保常件
■
■
Y
浇尿保密性
Y
Y
Y
"恢整功能的辻接处整性
■
Y
Y
无恢虹功偿的il按完棉性
Y
Y
Y
迪扌个域辻按处荒性
■
■
Y
Y
Y
Y
选抒域H连ir;v«n
■
■
Y
源发方怡可古认
■
Y
按牧方水可古认
■
Y
北邮•佶息安全中心•袒宝江
・访问控制概念的提出
•原始概念
□对进入系统的控制
□对需要访问系统及其数据的人进行鉴别,并验证 其合法身份
□进行记账审计等的前提
□针对未授权访问的防御措施,包括:未经授权的 使用、泄露、修改、销毁信息以及颁发指令等。
O非法川门进入系统。
O合法用户对系统资源的IE法使用。
一•访问控制概念的提出
北邮•佶息安全中心•袒宝江
•简单总结,访问控制包括三方面的内容:
□认证
O考虎对合法用户进行验证
□控制策略实现
O対控制策略的选用与管理,对非法用门或是越权操作进行管理
□审计 * *
O非法用户或是越权操作进行追踪
北邮・佶息安全中心•屋宝江
访问控制关系模型
系统安全管理员<
目
身份
别
访m控制
审计
访问控 制策略
/临邮•信息安仝中心•担宝江
I 一•访问控制概念的提出
羯问控制的三个要素:
□客体(Object):规定需耍保护的资源,又称作目标 (target)o (文件系统等)
□主体(Subject):或称为发起者(Initiator),是一个主 动的实体,规定可以访问该资源的实体,(通常指川 户或代表用户执行的程序)o
□控制策略:控制策略是主体对客体的访问规则集,规 定可对该资源执行的动作(例如读、行、执彳亍或拒绝 访问)。
□客体(Object):
o系统内盂要保护的是系统资源:
•:•文件和文件系统
•:•磁盘与磁带卷标
•:•远程勲
•:•侑息链•理系统的躬务处理及其应用
・>数据库中的数据
•:•应用资源
北邮・信总安全中心•袒宝江
一•访问控制概念的提出
•访问控制的三个要素:
□客体(Object):规定需耍保护的资源,又称作目标 (target) o (文件系统等)
□主体(Subject):或称为发起者(Initiator),是一个主 动的实体,规定可以访问该资源的实体,(通常指川 户或代表用户执行的程序)。
□控制策略:控制策略是主体对客体的访问规则集,规 定可对该资源执行的动作(例如读、对、执行或拒绝 访问〉。
□主体(Subject):
(1) 特殊的用户:系统符理员,貝佇最高级别的特 权,町以访问任何资源,并具有任何类型的访问操 作能力
(2) 般的川八 最犬的 啖川户,他们的访问操 作受到一定限制,由系统管理员分配
(3) 作审计的用八:负贵整个安全系统范围内的安 全控制与资源使用情况的审计
(4) 作废的用户:被系统拒绝的用户。
北邮・倍总安全中心•袒宝江
・访问控制概念的提出
•访问控制的三个要素:
□客体(Object):规定需耍保护的资源,又称作目标 (target)o (文件系统等)
□主体(Subject):或称为发起者(Initiator),是一个主 动的实体,规定可以访问该资源的实体,(通常指川 户或代表用户执行的程序)o
□控制策略:控制策略是主体对客体的访问规则集,规 定可对该资源执行的动作(例如读、对、执行或拒绝 访问)。
北摇•倍息安全中心•袒宝江
一•访问控制概念的提出
□控制策略:
4信息安全概论访问控制 来自淘豆网www.taodocs.com转载请标明出处.