A. 訪問控制技術的主要類型有哪三種
訪問控制技術主要有3種類型:自主訪問控制、強制訪問控制和基於角色訪問控制。自主訪問控制:用戶通過授權或者回收給其他用戶訪問特定資源的許可權,主要是針對其訪問權進行控制。
強制訪問控制:由系統己經部署的訪問控制策略,按照系統的規定用戶需要服從系統訪問控制策略,比如系統管理員制定訪問策略,其他用戶只能按照規定進行進程、文件和設備等訪問控制。
(1)強訪問控制技術模型的優缺點擴展閱讀
訪問控制的主要功能包括:保證合法用戶訪問受權保護的網路資源,防止非法的主體進入受保護的網路資源,或防止合法用戶對受保護的網路資源進行非授權的訪問。
訪問控制首先需要對用戶身份的合法性進行驗證,同時利用控制策略進行選用和管理工作。當用戶身份和訪問許可權驗證之後,還需要對越權操作進行監控。因此,訪問控制的內容包括認證、控制策略實現和安全審計。
B. 試論述計算機與外設訪問控制方法有多少種,各有什麼優缺點
網路中常用的數據交換技術可分為兩大類:線路交換和存儲轉發交換,其中存儲轉發交換交換技術又可分為報文交換和分組交換。 1. 線路交換是適用於公用電話網。 2.交換方式是適用於數據報,虛電路。
C. 訪問控制技術的類型機制
訪問控制可以分為兩個層次:物理訪問控制和邏輯訪問控制。物理訪問控制如符合標准規定的用戶、設備、門、鎖和安全環境等方面的要求,而邏輯訪問控制則是在數據、應用、系統、網路和許可權等層面進行實現的。對銀行、證券等重要金融機構的網站,信息安全重點關注的是二者兼顧,物理訪問控制則主要由其他類型的安全部門負責。 主要的訪問控制類型有3種模式:自主訪問控制(DAC)、強制訪問控制(MAC)和基於角色訪問控制(RBAC)。
1)自主訪問控制
自主訪問控制(Discretionary Access Control,DAC)是一種接入控制服務,通過執行基於系統實體身份及其到系統資源的接入授權。包括在文件,文件夾和共享資源中設置許可。用戶有權對自身所創建的文件、數據表等訪問對象進行訪問,並可將其訪問權授予其他用戶或收回其訪問許可權。允許訪問對象的屬主制定針對該對象訪問的控制策略,通常,可通過訪問控制列表來限定針對客體可執行的操作。
①每個客體有一個所有者,可按照各自意願將客體訪問控制許可權授予其他主體。
②各客體都擁有一個限定主體對其訪問許可權的訪問控制列表(ACL)。
③每次訪問時都以基於訪問控制列表檢查用戶標志,實現對其訪問許可權控制。
④DAC的有效性依賴於資源的所有者對安全政策的正確理解和有效落實。
DAC提供了適合多種系統環境的靈活方便的數據訪問方式,是應用最廣泛的訪問控制策略。然而,它所提供的安全性可被非法用戶繞過,授權用戶在獲得訪問某資源的許可權後,可能傳送給其他用戶。主要是在自由訪問策略中,用戶獲得文件訪問後,若不限制對該文件信息的操作,即沒有限制數據信息的分發。所以DAC提供的安全性相對較低,無法對系統資源提供嚴格保護。
2)強制訪問控制
強制訪問控制(MAC)是系統強制主體服從訪問控制策略。是由系統對用戶所創建的對象,按照規定的規則控制用戶許可權及操作對象的訪問。主要特徵是對所有主體及其所控制的進程、文件、段、設備等客體實施強制訪問控制。在MAC中,每個用戶及文件都被賦予一定的安全級別,只有系統管理員才可確定用戶和組的訪問許可權,用戶不能改變自身或任何客體的安全級別。系統通過比較用戶和訪問文件的安全級別,決定用戶是否可以訪問該文件。此外,MAC不允許通過進程生成共享文件,以通過共享文件將信息在進程中傳遞。MAC可通過使用敏感標簽對所有用戶和資源強制執行安全策略,一般採用3種方法:限制訪問控制、過程式控制制和系統限制。MAC常用於多級安全軍事系統,對專用或簡單系統較有效,但對通用或大型系統並不太有效。
MAC的安全級別有多種定義方式,常用的分為4級:絕密級(Top Secret)、秘密級(Secret)、機密級(Confidential)和無級別級(Unclas sified),其中T>S>C>U。所有系統中的主體(用戶,進程)和客體(文件,數據)都分配安全標簽,以標識安全等級。
通常MAC與DAC結合使用,並實施一些附加的、更強的訪問限制。一個主體只有通過自主與強制性訪問限制檢查後,才能訪問其客體。用戶可利用DAC來防範其他用戶對自己客體的攻擊,由於用戶不能直接改變強制訪問控制屬性,所以強制訪問控制提供了一個不可逾越的、更強的安全保護層,以防範偶然或故意地濫用DAC。
3)基於角色的訪問控制
角色(Role)是一定數量的許可權的集合。指完成一項任務必須訪問的資源及相應操作許可權的集合。角色作為一個用戶與許可權的代理層,表示為許可權和用戶的關系,所有的授權應該給予角色而不是直接給用戶或用戶組。
基於角色的訪問控制(Role-Based Access Control,RBAC)是通過對角色的訪問所進行的控制。使許可權與角色相關聯,用戶通過成為適當角色的成員而得到其角色的許可權。可極大地簡化許可權管理。為了完成某項工作創建角色,用戶可依其責任和資格分派相應的角色,角色可依新需求和系統合並賦予新許可權,而許可權也可根據需要從某角色中收回。減小了授權管理的復雜性,降低管理開銷,提高企業安全策略的靈活性。
RBAC模型的授權管理方法,主要有3種:
①根據任務需要定義具體不同的角色。
②為不同角色分配資源和操作許可權。
③給一個用戶組(Group,許可權分配的單位與載體)指定一個角色。
RBAC支持三個著名的安全原則:最小許可權原則、責任分離原則和數據抽象原則。前者可將其角色配置成完成任務所需要的最小許可權集。第二個原則可通過調用相互獨立互斥的角色共同完成特殊任務,如核對賬目等。後者可通過許可權的抽象控制一些操作,如財務操作可用借款、存款等抽象許可權,而不用操作系統提供的典型的讀、寫和執行許可權。這些原則需要通過RBAC各部件的具體配置才可實現。 訪問控制機制是檢測和防止系統未授權訪問,並對保護資源所採取的各種措施。是在文件系統中廣泛應用的安全防護方法,一般在操作系統的控制下,按照事先確定的規則決定是否允許主體訪問客體,貫穿於系統全過程。
訪問控制矩陣(Access Contro1 Matrix)是最初實現訪問控制機制的概念模型,以二維矩陣規定主體和客體間的訪問許可權。其行表示主體的訪問許可權屬性,列表示客體的訪問許可權屬性,矩陣格表示所在行的主體對所在列的客體的訪問授權,空格為未授權,Y為有操作授權。以確保系統操作按此矩陣授權進行訪問。通過引用監控器協調客體對主體訪問,實現認證與訪問控制的分離。在實際應用中,對於較大系統,由於訪問控制矩陣將變得非常大,其中許多空格,造成較大的存儲空間浪費,因此,較少利用矩陣方式,主要採用以下2種方法。
1)訪問控制列表
訪問控制列表(Access Control List,ACL)是應用在路由器介面的指令列表,用於路由器利用源地址、目的地址、埠號等的特定指示條件對數據包的抉擇。是以文件為中心建立訪問許可權表,表中記載了該文件的訪問用戶名和權隸屬關系。利用ACL,容易判斷出對特定客體的授權訪問,可訪問的主體和訪問許可權等。當將該客體的ACL置為空,可撤消特定客體的授權訪問。
基於ACL的訪問控制策略簡單實用。在查詢特定主體訪問客體時,雖然需要遍歷查詢所有客體的ACL,耗費較多資源,但仍是一種成熟且有效的訪問控制方法。許多通用的操作系統都使用ACL來提供該項服務。如Unix和VMS系統利用ACL的簡略方式,以少量工作組的形式,而不許單個個體出現,可極大地縮減列表大小,增加系統效率。
2)能力關系表
能力關系表(Capabilities List)是以用戶為中心建立訪問許可權表。與ACL相反,表中規定了該用戶可訪問的文件名及許可權,利用此表可方便地查詢一個主體的所有授權。相反,檢索具有授權訪問特定客體的所有主體,則需查遍所有主體的能力關系表。 通過介紹單點登入SSO的基本概念和優勢,主要優點是,可集中存儲用戶身份信息,用戶只需一次向伺服器驗證身份,即可使用多個系統的資源,無需再向各客戶機驗證身份,可提高網路用戶的效率,減少網路操作的成本,增強網路安全性。根據登入的應用類型不同,可將SSO分為3種類型。
1)對桌面資源的統一訪問管理
對桌面資源的訪問管理,包括兩個方面:
①登入Windows後統一訪問Microsoft應用資源。Windows本身就是一個「SSO」系統。隨著.NET技術的發展,「Microsoft SSO」將成為現實。通過Active Directory的用戶組策略並結合SMS工具,可實現桌面策略的統一制定和統一管理。
②登入Windows後訪問其他應用資源。根據Microsoft的軟體策略,Windows並不主動提供與其他系統的直接連接。現在,已經有第三方產品提供上述功能,利用Active Directory存儲其他應用的用戶信息,間接實現對這些應用的SSO服務。
2)Web單點登入
由於Web技術體系架構便捷,對Web資源的統一訪問管理易於實現。在目前的訪問管理產品中,Web訪問管理產品最為成熟。Web訪問管理系統一般與企業信息門戶結合使用,提供完整的Web SSO解決方案。
3)傳統C/S 結構應用的統一訪問管理
在傳統C/S 結構應用上,實現管理前台的統一或統一入口是關鍵。採用Web客戶端作為前台是企業最為常見的一種解決方案。
在後台集成方面,可以利用基於集成平台的安全服務組件或不基於集成平台的安全服務API,通過調用信息安全基礎設施提供的訪問管理服務,實現統一訪問管理。
在不同的應用系統之間,同時傳遞身份認證和授權信息是傳統C/S結構的統一訪問管理系統面臨的另一項任務。採用集成平台進行認證和授權信息的傳遞是當前發展的一種趨勢。可對C/S結構應用的統一訪問管理結合信息匯流排(EAI)平台建設一同進行。
D. CSMA/CD與令牌環的介質訪問控制協議的優缺點
CSMA/CD它的工作原理是: 發送數據前 先偵聽信道是否空閑 ,若空閑 則立即發送數據.在發送數據時,邊發送邊繼續偵聽.若偵聽到沖突,則立即停止發送數據.等待一段隨機時間,再重新嘗試.
優點是:原理比較簡單,技術上易實現,網路中各工作站處於平等地位 ,不需集中控制,不提供優先順序控制。缺點是因為不能集中控制沒有優先順序,在網路負載增大時,發送時間增長,發送效率急劇下降。
E. 自主訪問控制和強制訪問控制的區別
強制訪問控制
通過無法迴避的訪問限制來阻止直接或間接地非法入侵。
自主訪問控制
管理的方式不同就形成不同的訪問控制方式。一種方式是由客體的屬主對自己的客體進行管理,由屬主自己決定是否將自己客體的訪問權或部分訪問權授予其他主體,這種控制方式是自主的,我們把它稱為自主訪問控制(Discretionary Access Control——DAC)。在自主訪問控制下,一個用戶可以自主選擇哪些用戶可以共享他的文件。Linux系統中有兩種自主訪問控制策略,一種是9位許可權碼(User-Group-Other),另一種是訪問控制列表ACL(Access Control List)。
強制訪問控制
強制訪問控制(Mandatory Access Control——MAC),用於將系統中的信息分密級和類進行管理,以保證每個用戶只能訪問到那些被標明可以由他訪問的信息的一種訪問約束機制。通俗的來說,在強制訪問控制下,用戶(或其他主體)與文件(或其他客體)都被標記了固定的安全屬性(如安全級、訪問許可權等),在每次訪問發生時,系統檢測安全屬性以便確定一個用戶是否有權訪問該文件。其中多級安全(MultiLevel Secure, MLS)就是一種強制訪問控制策略。
F. 自主訪問控制存在哪些主要的安全性問題
從「震網」、「火焰」病毒的大規模爆發,到索尼在線被黑、CSDN數據泄露等信息安全事件的層出不窮,每一次大規模病毒、黑客攻擊行為的出現,都會對用戶信息系統造成嚴重的危害,引起了安全行業的集體反思。作為信息系統的重要組成部分,操作系統承擔著連接底層硬體和上層業務應用的重任,在諸多安全事件中首當其沖,面臨著巨大的安全壓力。而操作系統本身在安全防護上的脆弱性,特別是系統內自主訪問控制機制存在的安全隱患,使用戶在面對病毒、木馬及黑客攻擊時顯得力不從心,最終導致安全事件密集爆發的信息安全「危局」。
掀開自主訪問控制的面紗
為了增強信息系統安全、可靠運行的能力,操作系統內置了一些防護措施,例如身份鑒別、訪問控制、入侵防範等。其中,訪問控制是計算機安全防護體系中的重要環節,包含主體、客體、控制策略三個要素。其中,主體是指可以對其他實體施加動作的主動實體,例如用戶、進程等;客體包括數據、文件、程序等,是接受其他實體訪問的被動實體;控制策略則定義了主體與客體相互作用的途徑。簡而言之,訪問控制是一種通過控制策略授予、約束主體訪問客體行為的安全機制。
訪問控制分為三種模型,即自主訪問控制(DAC)、強制訪問控制(MAC)和基於角色的訪問控制(RBAC)。其中,自主訪問控制在C2級操作系統中應用廣泛,是根據自主訪問控制策略建立的一種模型,允許合法用戶以用戶或用戶組的身份訪問策略規定的客體,同時阻止非授權用戶訪問客體,某些用戶還可以自主地把自己所擁有的客體的訪問許可權授予其他用戶。
自主訪問控制的實現方式包括目錄式訪問控制模式、訪問控製表(ACL)、訪問控制矩陣、面向過程的訪問控制等,其中,訪問控製表是自主訪問控制機制通常採用的一種方式。訪問控製表是存放在計算機中的一張表,本質上是帶有訪問許可權的矩陣,其訪問許可權包括讀文件、寫文件、執行文件等等。在自主訪問控制機制下,每個客體都有一個特定的安全屬性,同時訪問控製表也授予或禁止主體對客體的訪問許可權。在實際工作中,安全管理員通過維護訪問控製表,控制用戶對文件、數據等IT系統資源的訪問行為,來達到安全防控的目的。
從安全性上看,現有操作系統中基於訪問控製表的自主訪問控制存在著明顯的缺陷:一方面,超級用戶(root/Administrator)權力過度集中,可以隨意修客體的訪問控製表,只要擁有超級管理員許可權就可以對伺服器所有的資源進行任意操作;另一方面,客體的屬主可以自主地將許可權轉授給別的主體,一旦把某個客體的ACL修改權轉授出去以後,擁有者便很難對自己的客體實施控制了。因此,在現有的這種訪問控制模型下,操作系統存在很多安全風險。
自主訪問控制下的安全風險
按照訪問許可機制的不同,自主訪問控制又分為三個類型,即自由型、等級型和宿主型。其中,在自由型自主訪問控制機制中,不同主體之間可以自由轉讓客體訪問控製表的修改許可權,意味著任何主體都有可能對某一客體進行操作,系統安全性很難得到保障;在等級型自主訪問控制機制中,用戶可以將擁有修改客體訪問控製表許可權的主體組織成等級型結構,例如按照等級將不同的主體排列成樹型結構,高等級主體自動獲得低等級客體的控制許可權。這種方案的優點是可以選擇值得信任的人擔任各級領導,從而實現對客體的分級控制,缺點是同時有多個主體有能力修改某一客體的訪問許可權。
從市場應用情況看,等級型自主訪問控制是使用范圍最為廣泛的安全機制,現有C2級大型商用伺服器操作系統(如AIX、HP-UX、Solaris、Windows Server、LinuxServer等)中的訪問控制機制均為等級型自主訪問控制,涉及金融、能源、軍工等國家命脈行業。在這些系統中,位於樹型結構頂端的超級用戶擁有無上的許可權,可以對其他用戶擁有的資源進行任意修改和訪問。許可權的高度集中,客觀上放大了系統的安全風險。針對等級型自主訪問控制,攻擊者可以通過暴力破解、系統漏洞利用、木馬攻擊等多種方式竊取管理員許可權,進而實現對目標系統的完全控制。事實證明確實如此,無論是曾經肆虐全國的「灰鴿子」木馬,還是震驚全球的「震網」、「火焰」等病毒,都將獲得管理許可權作為一種重要手段,在此基礎上成功入侵系統並實施破壞行為。
完善自主訪問控制機制
為了提升信息系統的安全防護能力,我國頒布了《信息安全等級保護管理辦法》,並制定了一系列國家標准,為用戶開展信息安全等級保護工作提供指導意義。其中,《GB/T 20272-2006信息安全技術-操作系統安全技術要求》是專門針對操作系統安全防護的國家標准,該標准在「自主訪問控制」部分提出了明確的要求:「客體的擁有者應是唯一有權修改客體訪問許可權的主體,擁有者對其擁有的客體應具有全部控制權,但是,不充許客體擁有者把該客體的控制權分配給其他主體。」
從技術要求的細節上看,滿足等級保護標準的自主訪問控制機制實質上是宿主型自主訪問控制。在這種機制下,用戶需要對客體設置一個擁有者,並使其成為唯一有權訪問該客體訪問控製表的主體,確保了受保護客體訪問控製表控制權的唯一性,有效規避由於系統管理員信息泄露而給系統帶來的巨大危害,同時也限制了病毒對系統的破壞行為,幫助用戶提升防病毒、防黑客攻擊的能力。
目前,國內已經出現滿足等級保護操作系統技術要求的安全產品,例如椒圖科技推出的JHSE椒圖主機安全環境系統(以下簡稱JHSE),就基於宿主型自主訪問控制機制保障操作系統的安全。此外,JHSE還採用了強制訪問控制模型,為訪問主體和受保護的客體分配不同的安全級別屬性,在實施訪問控制的過程中,系統將對主體和客體的安全級別屬性進行比較,之後再決定主體是否可以訪問受保護的客體,從而實現了細粒度的安全訪問控制機制。可以相信,隨著安全技術的持續進步和用戶安全意識的不斷增強,操作系統將會在面對病毒、木馬及黑客攻擊時扭轉不利局面,為整體信息系統的安全運行提供可靠支撐。
G. 自主訪問控制(DAC)與強制訪問控制(MAC)的原理是什麼,區別在哪裡各有什麼優缺點
是復制的。學習下
自主訪問控制(DAC)是一個接入控制服務,它執行基於系統實體身份和它們的到系統資源的接入授權。這包括在文件,文件夾和共享資源中設置許可。
強制訪問控制是「強加」給訪問主體的,即系統強制主體服從訪問控制政策。強制訪問控制(MAC)的主要特徵是對所有主體及其所控制的客體(例如:進程、文件、段、設備)實施強制訪問控制。為這些主體及客體指定敏感標記,這些標記是等級分類和非等級類別的組合,它們是實施強制訪問控制的依據。系統通過比較主體和客體的敏感標記來決定一個主體是否能夠訪問某個客體。用戶的程序不能改變他自己及任何其它客體的敏感標記,從而系統可以防止特洛伊木馬的攻擊。
強制訪問控制一般與自主訪問控制結合使用,並且實施一些附加的、更強的訪問限制。一個主體只有通過了自主與強制性訪問限制檢查後,才能訪問某個客體。用戶可以利用自主訪問控制來防範其它用戶對自己客體的攻擊,由於用戶不能直接改變強制訪問控制屬性,所以強制訪問控制提供了一個不可逾越的、更強的安全保護層以防止其它用戶偶然或故意地濫用自主訪問控制。
強制訪問策略將每個用戶及文件賦於一個訪問級別,如,最高秘密級(Top Secret),秘密級(Secret),機密級(Confidential)及無級別級(Unclassified)。其級別為T>S>C>U,系統根據主體和客體的敏感標記來決定訪問模式。訪問模式包括:
下讀(read down):用戶級別大於文件級別的讀操作;
上寫(Write up):用戶級別小於文件級別的寫操作;
下寫(Write down):用戶級別等於文件級別的寫操作;
上讀(read up):用戶級別小於文件級別的讀操作;
圖8.1 Bell-Lapala安全模型
依據Bell-Lapala安全模型所制定的原則是利用不上讀/不下寫來保證數據的保密性。見圖8.1。即不允許低信任級別的用戶讀高敏感度的信息,也不允許高敏感度的信息寫入低敏感度區域,禁止信息從高級別流向低級別。強制訪問控制通過這種梯度安全標簽實現信息的單向流通。
依據Biba安全模型所制定的原則是利用不下讀/不上寫來保證數據的完整性。見圖8.2。在實際應用中,完整性保護主要是為了避免應用程序修改某些重要的系統程序或系統資料庫。
圖8.2 Biba安全模型
MAC通常用於多級安全軍事系統。
強制訪問控制對專用的或簡單的系統是有效的,但對通用、大型系統並不那麼有效。一般強制訪問控制採用以下幾種方法:
(1)限制訪問控制。
一個持洛伊木馬可以攻破任何形式的自主訪問控制,由於自主控制方式允許用戶程序來修改他擁有文件的存取控製表,因而為非法者帶來可乘之機。MAC可以不提供這一方便,在這類系統中,用戶要修改存取控製表的唯一途徑是請求一個特權系統調用。該調用的功能是依據用戶終端輸入的信息,而不是靠另一個程序提供的信息來修改存取控制信息。
(2)過程式控制制
在通常的計算機系統中,只要系統允許用戶自己編程,就沒辦法杜絕特洛伊木馬。但可以對其過程採取某些措施,這種方法稱為過程式控制制。例如,警告用戶不要運行系統目錄以外的任何程序。提醒用戶注意,如果偶然調用一個其它目錄的文件時,不要做任何動作,等等。需要說明的一點是,這些限製取決於用戶本身執行與否。
(3)系統限制
要對系統的功能實施一些限制。比如,限制共享文件,但共享文件是計算機系統的優點,所以是不可能加以完全限制的。再者,就是限制用戶編程。不過這種做法只適用於某些專用系統。在大型的,通用系統中,編程能力是不可能去除的。
H. 訪問控制技術手段有哪些並比較優缺點
訪問控制是網路安全防範和保護的主要策略,它的主要任務是保證網路資源不被非法使用和訪問。它是保證網路安全最重要的核心策略之一。訪問控制涉及的技術也比較廣,包括入網訪問控制、網路許可權控制、目錄級控制以及屬性控制等多種手段。
入網訪問控制
入網訪問控制為網路訪問提供了第一層訪問控制。它控制哪些用戶能夠登錄到伺服器並獲取網路資源,控制准許用戶入網的時間和准許他們在哪台工作站入網。 用戶的入網訪問控制可分為三個步驟:用戶名的識別與驗證、用戶口令的識別與驗證、用戶賬號的預設限制檢查。三道關卡中只要任何一關未過,該用戶便不能進入該網路。 對網路用戶的用戶名和口令進行驗證是防止非法訪問的第一道防線。為保證口令的安全性,用戶口令不能顯示在顯示屏上,口令長度應不少於6個字元,口令字元最好是數字、字母和其他字元的混合,用戶口令必須經過加密。用戶還可採用一次性用戶口令,也可用攜帶型驗證器(如智能卡)來驗證用戶的身份。 網路管理員可以控制和限制普通用戶的賬號使用、訪問網路的時間和方式。用戶賬號應只有系統管理員才能建立。用戶口令應是每用戶訪問網路所必須提交的「證件」、用戶可以修改自己的口令,但系統管理員應該可以控制口令的以下幾個方面的限制:最小口令長度、強制修改口令的時間間隔、口令的唯一性、口令過期失效後允許入網的寬限次數。 用戶名和口令驗證有效之後,再進一步履行用戶賬號的預設限制檢查。網路應能控制用戶登錄入網的站點、限制用戶入網的時間、限制用戶入網的工作站數量。當用戶對交費網路的訪問「資費」用盡時,網路還應能對用戶的賬號加以限制,用戶此時應無法進入網路訪問網路資源。網路應對所有用戶的訪問進行審計。如果多次輸入口令不正確,則認為是非法用戶的入侵,應給出報警信息。
許可權控制
網路的許可權控制是針對網路非法操作所提出的一種安全保護措施。用戶和用戶組被賦予一定的許可權。網路控制用戶和用戶組可以訪問哪些目錄、子目錄、文件和其他資源。可以指定用戶對這些文件、目錄、設備能夠執行哪些操作。受託者指派和繼承許可權屏蔽(irm)可作為兩種實現方式。受託者指派控制用戶和用戶組如何使用網路伺服器的目錄、文件和設備。繼承許可權屏蔽相當於一個過濾器,可以限制子目錄從父目錄那裡繼承哪些許可權。我們可以根據訪問許可權將用戶分為以下幾類:特殊用戶(即系統管理員);一般用戶,系統管理員根據他們的實際需要為他們分配操作許可權;審計用戶,負責網路的安全控制與資源使用情況的審計。用戶對網路資源的訪問許可權可以用訪問控製表來描述。
目錄級安全控制
網路應允許控制用戶對目錄、文件、設備的訪問。用戶在目錄一級指定的許可權對所有文件和子目錄有效,用戶還可進一步指定對目錄下的子目錄和文件的許可權。對目錄和文件的訪問許可權一般有八種:系統管理員許可權、讀許可權、寫許可權、創建許可權、刪除許可權、修改許可權、文件查找許可權、訪問控制許可權。用戶對文件或目標的有效許可權取決於以下兩個因素:用戶的受託者指派、用戶所在組的受託者指派、繼承許可權屏蔽取消的用戶許可權。一個網路管理員應當為用戶指定適當的訪問許可權,這些訪問許可權控制著用戶對伺服器的訪問。八種訪問許可權的有效組合可以讓用戶有效地完成工作,同時又能有效地控制用戶對伺服器資源的訪問 ,從而加強了網路和伺服器的安全性。
屬性安全控制
當用文件、目錄和網路設備時,網路系統管理員應給文件、目錄等指定訪問屬性。屬性安全在許可權安全的基礎上提供更進一步的安全性。網路上的資源都應預先標出一組安全屬性。用戶對網路資源的訪問許可權對應一張訪問控製表,用以表明用戶對網路資源的訪問能力。屬性設置可以覆蓋已經指定的任何受託者指派和有效許可權。屬性往往能控制以下幾個方面的許可權:向某個文件寫數據、拷貝一個文件、刪除目錄或文件、查看目錄和文件、執行文件、隱含文件、共享、系統屬性等。
伺服器安全控制
網路允許在伺服器控制台上執行一系列操作。用戶使用控制台可以裝載和卸載模塊,可以安裝和刪除軟體等操作。網路伺服器的安全控制包括可以設置口令鎖定伺服器控制台,以防止非法用戶修改、刪除重要信息或破壞數據;可以設定伺服器登錄時間限制、非法訪問者檢測和關閉的時間間隔。
I. 訪問控制技術的優缺點
控制網路訪問!