当前位置:首页 » 文件传输 » 访问控制根据环境不同可分为
扩展阅读
提分平台的账号密码是什么 2023-08-31 22:07:10
webinf下怎么引入js 2023-08-31 21:54:13
堡垒机怎么打开web 2023-08-31 21:54:11

访问控制根据环境不同可分为

发布时间: 2023-04-05 16:06:55

‘壹’ 计算机系统和网络中常用的两种访问控制方式是什么

访问控制分为物理访问控制和逻辑访问控制;物理访问控制,如符合标准规定的用户、设备、门、锁和安全环境等方面的要求,而逻辑访问控制则是在数据、应用、系统、网络和权限等层面进行实现的。

本文操作环境:windows7系统,DELL G3电脑

访问控制分为什么?

访问控制可以分为两个层次:物理访问控制和逻辑访问控制。 物理访问控制如符合标准规定的用户、设备、门、锁和安全环境等方面的要求,而逻辑访问控制则是在数据、应用、系统、网络和权限等层面进行实现的。

访问控制技术,指防止对任何资源进行未授权的访问,从而使计算机系统在合法的范围内使用。意指用户身份及其所归属的某项定义组来限制用户对某些信息项的访问,或限制对某些控制功能的使用的一种技术,如UniNAC网络准入控制系统的原理就是基于此技术之上。

访问控制通常用于系统管理员控制用户对服务器、目录、文件等网络资源的访问。

访问控制的概念及要素

访问控制(Access Control)指系统对用户身份及其所属的预先定义的策略组限制其使用数据资源能力的手段。通常用于系统管理员控制用户对服务器、目录、文件等网络资源的访问。访问控制是系统保密性、完整性、可用性和合法使用性的重要基础,是网络安全防范和资源保护的关键策略之一,也是主体依据某些控制策略或权限对客体本身或其资源进行的不同授权访问。

访问控制的主要目的是限制访问主体对客体的访问,从而保障数据资源在合法范围内得以有效使用和管理。为了达到上述目的,访问控制需要完成两个任务:识别和确认访问系统的用户、决定该用户可以对某一系统资源进行何种类型的访问。

访问控制包括三个要素:主体、客体和控制策略。

(1)主体S(Subject)。是指提出访问资源具体请求。是某一操作动作的发起者,但不一定是动作的执行者,可能是某一用户,也可以是用户启动的进程、服务和设备等。

(2)客体O(Object)。是指被访问资源的实体。所有可以被操作的信息、资源、对象都可以是客体。客体可以是信息、文件、记录等集合体,也可以是网络上硬件设施、无限通信中的终端,甚至可以包含另外一个客体。

(3)控制策略A(Attribution)。是主体对客体的相关访问规则集合,即属性集合。访问策略体现了一种授权行为,也是客体对主体某些操作行为的默认。

访问控制的功能及原理

访问控制的主要功能包括:保证合法用户访问受权保护的网络资源,防止非法的主体进入受保护的网络资源,或防止合法用户对受保护的网络资源进行非授权的访问。访问控制首先需要对用户身份的合法性进行验证,同时利用控制策略进行选用和管理工作。当用户身份和访问权限验证之后,还需要对越权操作进行监控。因此,访问控制的内容包括认证、控制策略实现和安全审计。

(1)认证。包括主体对客体的识别及客体对主体的检验确认。

(2)控制策略。通过合理地设定控制规则集合,确保用户对信息资源在授权范围内的合法使用。既要确保授权用户的合理使用,又要防止非法用户侵权进入系统,使重要信息资源泄露。同时对合法用户,也不能越权行使权限以外的功能及访问范围。

(3)安全审计。系统可以自动根据用户的访问权限,对计算机网络环境下的有关活动或行为进行系统的、独立的检查验证,并做出相应评价与审计。

‘贰’ 局域网从介质访问控制方法的角度可分为哪两类以太网属于其中的哪一类局域网

传输访问控制方式与局域网的拓扑结构/工作过程有密切关系.目前,计算机局域网常用的访问控制方式有三种,分别用于不同的拓扑结构:带有冲突检测的载波侦听多路访问法(CSMA/CD),令牌环访问控制法(Token Ring),令牌总线访问控制法(token bus).

1 CSMA/CD

最早的CSMA方法起源于美国夏威夷大学的ALOHA广播分组网络,1980年美国DEC、Intel和Xerox公司联合宣布Ethernet网采用CSMA技术,并增加了检测碰撞功能,称之为CSMA/CD。这种 方式适用于总线型和树形拓扑结构,主要解决如何共享一条公用广播传输介质。其简单原理 是:在网络中,任何一个工作站在发送信息前,要侦听一下网络中有无其它工作站在发送信 号,如无则立即发送,如有,即信道被占用,此工作站要等一段时间再争取发送权。等待时 间可由二种方法确定,一种是某工作站检测到信道被占用后,继续检测,直到信道出现空闲 。另一种是检测到信道被占用后,等待一个随机时间进行检测,直到信道出现空闲后再发送 。

CSMA/CD要解决的另一主要问题是如何检测冲突。当网络处于空闲的某一瞬间,有两个或两 个以上工作站要同时发送信息,这时,同步发送的信号就会引起冲突,现由IEEE802.3标准确定的CSMA/CD检测冲突的方法是:当一个工作站开始占用信道进行发送信息时,再用碰撞 检测器继续对网络检测一段时间,即一边发送,一边监听,把发送的信息与监听的信息进行比较,如结果一致,则说明发送正常,抢占总线成功,可继续发送。如结果不一致,则说明 有冲突,应立即停止发送。等待一随机时间后,再重复上述过程进行发送。

CSMA/CD控制方式的优点是:原理比较简单,技术上易实现,网络中各工作站处于平等地位 ,不需集中控制,不提供优先级控制。但在网络负载增大时,发送时间增长,发送效率急剧下降。

2 令牌环

令牌环只适用于环形拓扑结构的局域网。其主要原理是:使用一个称之为“令牌”的控制标 志(令牌是一个二进制数的字节,它由“空闲”与“忙”两种编码标志来实现,既无目的地 址 ,也无源地址),当无信息在环上传送时,令牌处于“空闲”状态,它沿环从一个工作站到 另 一个工作站不停地进行传递。当某一工作站准备发送信息时,就必须等待,直到检测并捕获 到经过该站的令牌为止,然后,将令牌的控制标志从“空闲”状态改变为“忙”状态,并发送出一帧信息。其他的工作站随时检测经过本站的帧,当发送的帧目的地址与本站地址相符时,就接收该帧,待复制完毕再转发此帧,直到该帧沿环一周返回发送站,并收到接收站指向发送站的肯定应签信息时,才将发送的帧信息进行清除,并使令牌标志又处于“空闲”状 态,继续插入环中。当另一个新的工作站需要发送数据时,按前述过程,检测到令牌,修改状态,把信息装配成帧,进行新一轮的发送。

令牌环控制方式的优点是它能提供优先权服务,有很强的实时性,在重负载环路中,“令牌 ”以循环方式工作,效率较高。其缺点是控制电路较复杂,令牌容易丢失。但IBM在1985年 已解决了实用问题,近年来采用令牌环方式的令牌环网实用性已大大增强。

3 令牌总线

令牌总线主要用于总线形或树形网络结构中。它的访问控制方式类似于令牌环,但它是把总 线形或树形网络中的各个工作站按一定顺序如按接口地址大小排列形成一个逻辑环。只有令牌持有者才能控制总线,才有发送信息的权力。信息是双向传送,每个站都可检测到其它站 点发出的信息。在令牌传递时,都要加上目的地址,所以只有检测到并得到令牌的工作站, 才能发送信息,它不同于CSMA/CD方式,可在总线和树形结构中避免冲突。

这种控制方式的优点是各工作站对介质的共享权力是均等的,可以设置优先级,也可以不设 ;有较好的吞吐能力,吞吐量随数据传输速率增高而加大,连网距离较CSMA/CD方式大。缺 点是控制电路较复杂、成本高,轻负载时,线路传输效率低。

‘叁’ 访问控制的访问控制的类型

访问控制可分为自主访问控制和强制访问控制两大类。
自主访问控制,是指由用户有权对自身所创建的访问对象(文件、数据表等)进行访问,并可将对这些对象的访问权授予其他用户和从授予权限的用户收回其访问权限。
强制访问控制,是指由系统(通过专门设置的系统安全员)对用户所创建的对象进行统一的强制性控制,按照规定的规则决定哪些用户可以对哪些对象进行什么样操作系统类型的访问,即使是创建者用户,在创建一个对象后,也可能无权访问该对象。 基于对象的访问控制(OBAC Model:Object-based Access Control Model):DAC或MAC模型的主要任务都是对系统中的访问主体和受控对象进行一维的权限管理。当用户数量多、处理的信息数据量巨大时,用户权限的管理任务将变得十分繁重且难以维护,这就降低了系统的安全性和可靠性。
对于海量的数据和差异较大的数据类型,需要用专门的系统和专门的人员加以处理,要是采用RBAC模型的话,安全管理员除了维护用户和角色的关联关系外,还需要将庞大的信息资源访问权限赋予有限个角色。
当信息资源的种类增加或减少时,安全管理员必须更新所有角色的访问权限设置,如果受控对象的属性发生变化,和需要将受控对象不同属性的数据分配给不同的访问主体处理时,安全管理员将不得不增加新的角色,并且还必须更新原来所有角色的访问权限设置以及访问主体的角色分配设置。
这样的访问控制需求变化往往是不可预知的,造成访问控制管理的难度和工作量巨大。所以在这种情况下,有必要引入基于受控对象的访问控制模型。
控制策略和控制规则是OBAC访问控制系统的核心所在,在基于受控对象的访问控制模型中,将访问控制列表与受控对象或受控对象的属性相关联,并将访问控制选项设计成为用户、组或角色及其对应权限的集合;同时允许对策略和规则进行重用、继承和派生操作。
这样,不仅可以对受控对象本身进行访问控制,受控对象的属性也可以进行访问控制,而且派生对象可以继承父对象的访问控制设置,这对于信息量巨大、信息内容更新变化频繁的管理信息系统非常有益,可以减轻由于信息资源的派生、演化和重组等带来的分配、设定角色权限等的工作量。
OBAC访问控制系统是从信息系统的数据差异变化和用户需求出发,有效地解决了信息数据量大、数据种类繁多、数据更新变化频繁的大型管理信息系统的安全管理。并从受控对象的角度出发,将访问主体的访问权限直接与受控对象相关联,一方面定义对象的访问控制列表,增、删、修改访问控制项易于操作,另一方面,当受控对象的属性发生改变,或者受控对象发生继承和派生行为时,无须更新访问主体的权限,只需要修改受控对象的相应访问控制项即可,从而减少了访问主体的权限管理,降低了授权数据管理的复杂性。 基于任务的访问控制模型(TBAC Model,Task-based Access Control Model)是从应用和企业层角度来解决安全问题,以面向任务的观点,从任务(活动)的角度来建立安全模型和实现安全机制,在任务处理的过程中提供动态实时的安全管理。
在TBAC中,对象的访问权限控制并不是静止不变的,而是随着执行任务的上下文环境发生变化。TBAC首要考虑的是在工作流的环境中对信息的保护问题:在工作流环境中,数据的处理与上一次的处理相关联,相应的访问控制也如此,因而TBAC是一种上下文相关的访问控制模型。其次,TBAC不仅能对不同工作流实行不同的访问控制策略,而且还能对同一工作流的不同任务实例实行不同的访问控制策略。从这个意义上说,TBAC是基于任务的,这也表明,TBAC是一种基于实例(instance-based)的访问控制模型。
TBAC模型由工作流、授权结构体、受托人集、许可集四部分组成。
任务(task)是工作流程中的一个逻辑单元,是一个可区分的动作,与多个用户相关,也可能包括几个子任务。授权结构体是任务在计算机中进行控制的一个实例。任务中的子任务,对应于授权结构体中的授权步。
授权结构体(authorization unit):是由一个或多个授权步组成的结构体,它们在逻辑上是联系在一起的。授权结构体分为一般授权结构体和原子授权结构体。一般授权结构体内的授权步依次执行,原子授权结构体内部的每个授权步紧密联系,其中任何一个授权步失败都会导致整个结构体的失败。
授权步(authorization step)表示一个原始授权处理步,是指在一个工作流程中对处理对象的一次处理过程。授权步是访问控制所能控制的最小单元,由受托人集(trustee-set)和多个许可集(permissions set)组成。
受托人集是可被授予执行授权步的用户的集合,许可集则是受托集的成员被授予授权步时拥有的访问许可。当授权步初始化以后,一个来自受托人集中的成员将被授予授权步,我们称这个受托人为授权步的执行委托者,该受托人执行授权步过程中所需许可的集合称为执行者许可集。授权步之间或授权结构体之间的相互关系称为依赖(dependency),依赖反映了基于任务的访问控制的原则。授权步的状态变化一般自我管理,依据执行的条件而自动变迁状态,但有时也可以由管理员进行调配。
一个工作流的业务流程由多个任务构成。而一个任务对应于一个授权结构体,每个授权结构体由特定的授权步组成。授权结构体之间以及授权步之间通过依赖关系联系在一起。在TBAC中,一个授权步的处理可以决定后续授权步对处理对象的操作许可,上述许可集合称为激活许可集。执行者许可集和激活许可集一起称为授权步的保护态。
TBAC模型一般用五元组(S,O,P,L,AS)来表示,其中S表示主体,O表示客体,P表示许可,L表示生命期(lifecycle),AS表示授权步。由于任务都是有时效性的,所以在基于任务的访问控制中,用户对于授予他的权限的使用也是有时效性的。
因此,若P是授权步AS所激活的权限,那么L则是授权步AS的存活期限。在授权步AS被激活之前,它的保护态是无效的,其中包含的许可不可使用。当授权步AS被触发时,它的委托执行者开始拥有执行者许可集中的权限,同时它的生命期开始倒记时。在生命期期间,五元组(S,O,P,L,AS)有效。生命期终止时,五元组(S,O,P,L,AS)无效,委托执行者所拥有的权限被回收。
TBAC的访问政策及其内部组件关系一般由系统管理员直接配置。通过授权步的动态权限管理,TBAC支持最小特权原则和最小泄漏原则,在执行任务时只给用户分配所需的权限,未执行任务或任务终止后用户不再拥有所分配的权限;而且在执行任务过程中,当某一权限不再使用时,授权步自动将该权限回收;另外,对于敏感的任务需要不同的用户执行,这可通过授权步之间的分权依赖实现。
TBAC从工作流中的任务角度建模,可以依据任务和任务状态的不同,对权限进行动态管理。因此,TBAC非常适合分布式计算和多点访问控制的信息处理控制以及在工作流、分布式处理和事务管理系统中的决策制定。 基于角色的访问控制模型(RBAC Model,Role-based Access Model):RBAC模型的基本思想是将访问许可权分配给一定的角色,用户通过饰演不同的角色获得角色所拥有的访问许可权。这是因为在很多实际应用中,用户并不是可以访问的客体信息资源的所有者(这些信息属于企业或公司),这样的话,访问控制应该基于员工的职务而不是基于员工在哪个组或是谁信息的所有者,即访问控制是由各个用户在部门中所担任的角色来确定的,例如,一个学校可以有教工、老师、学生和其他管理人员等角色。
RBAC从控制主体的角度出发,根据管理中相对稳定的职权和责任来划分角色,将访问权限与角色相联系,这点与传统的MAC和DAC将权限直接授予用户的方式不同;通过给用户分配合适的角色,让用户与访问权限相联系。角色成为访问控制中访问主体和受控对象之间的一座桥梁。
角色可以看作是一组操作的集合,不同的角色具有不同的操作集,这些操作集由系统管理员分配给角色。在下面的实例中,我们假设Tch1,Tch2,Tch3……Tchi是对应的教师,Stud1,Stud 2,Stud3 …Studj是相应的学生,Mng1,Mng 2,Mng 3…Mngk是教务处管理人员,那么老师的权限为TchMN={查询成绩、上传所教课程的成绩};学生的权限为Stud MN={查询成绩、反映意见};教务管理人员的权限为MngMN={查询、修改成绩、打印成绩清单}。
那么,依据角色的不同,每个主体只能执行自己所制定的访问功能。用户在一定的部门中具有一定的角色,其所执行的操作与其所扮演的角色的职能相匹配,这正是基于角色的访问控制(RBAC)的根本特征,即:依据RBAC策略,系统定义了各种角色,每种角色可以完成一定的职能,不同的用户根据其职能和责任被赋予相应的角色,一旦某个用户成为某角色的成员,则此用户可以完成该角色所具有的职能。
如今数据安全成疾,蠕虫和病毒横行,如何提高网络安全?选择网络访问控制(NAC)成为必然,它能够帮助企业网络免于多种网络安全威胁。
许多企业往往不愿意实施基于角色的访问控制。因为企业担心冗长而复杂的实施过程,并且由于雇员访问权要发生变化,也会对工作效率带来副作用。完成基于角色的矩阵可能是一个需要花费企业几年时间的复杂过程。有一些新方法可以缩短这个过程,并当即带来好处。企业可以采用人力资源系统作为数据源,收集所有雇员的部门、职位、位置以及企业的层次结构等信息,并将这些信息用于创建每个访问级别的角色。下一步就是从活动目录等位置获得当前的权利,以及与不同角色的雇员有关的数据共享。下一步,使数据标准化,确保相同角色的雇员拥有相同的访问权。可以通过从人力资源和活动目录、修正报告以及雇员的管理者那里收集数据,用于检查和纠正。基于角色的访问控制应用与身份管理系统结合使用,可以实施管理员在自动模式中做出的变化。此过程可以在包含敏感信息的企业网络的其它应用中多次反复实施,确保访问权的正确性。

‘肆’ 访问控制技术的主要类型有哪三种

访问控制技术主要有3种类型:自主访问控制、强制访问控制和基于角色访问控制。自主访问控制:用户通过授权或者回收给其他用户访问特定资源的权限,主要是针对其访问权进行控制。

强制访问控制:由系统己经部署的访问控制策略,按照系统的规定用户需要服从系统访问控制策略,比如系统管理员制定访问策略,其他用户只能按照规定进行进程、文件和设备等访问控制。

(4)访问控制根据环境不同可分为扩展阅读

访问控制的主要功能包括:保证合法用户访问受权保护的网络资源,防止非法的主体进入受保护的网络资源,或防止合法用户对受保护的网络资源进行非授权的访问。

访问控制首先需要对用户身份的合法性进行验证,同时利用控制策略进行选用和管理工作。当用户身份和访问权限验证之后,还需要对越权操作进行监控。因此,访问控制的内容包括认证、控制策略实现和安全审计。

‘伍’ 局域网的访问控制有哪几种,分别适用于哪些网络

1、冲突检测的载波侦听多路访问法:适用于所有局域网。

2、令牌环访问控制法:只适用于环形拓扑结构的局域网。

3、令牌总线访问控制法:主要用于总线形或树形网络结构中。


(5)访问控制根据环境不同可分为扩展阅读

令牌总线访问控制方式类似于令牌环,但把总线形或树形网络中的各个工作站按一定顺序如按接口地址大小排列形成一个逻辑环。只有令牌持有者才能控制总线,才有发送信息的权力。信息是双向传送,每个站都可检测到站点发出的信息。

CSMA/CD要解决的另一主要问题是如何检测冲突。当网络处于空闲的某一瞬间,有两个或两 个以上工作站要同时发送信息,同步发送的信号就会引起冲突。

‘陆’ 访问控制列表有哪几种类型,分别在哪个位置

1、标准IP访问列表

编号范围是从1到99的访问控制列表是标准IP访问控制列表。

2、扩展IP访问

编号范围是从100到199的访问控制列表是扩展IP访问控制列表。

3、命名的IP访问

4、标准IPX访问

标准IPX访问控制列表的编号范围是800-899。

5、扩展IPX访问

扩展IPX访问控制列表的编号范围是900-999。

6、命名的IPX访问

与命名的IP访问控制列表一样,命名的IPX访问控制列表是使用列表名取代列表编号。




相关信息

ACL技术可以有效的在三层上控制网络用户对网络资源的访问,它可以具体到两台网络设备间的网络应用,也可以按照网段进行大范围的访问控制管理,为网络应用提供了一个有效的安全手段。

一方面,采用ACL技术,网络管理员需要明确每一台主机及工作站所在的IP子网并确认它们之间的访问关系,适用于网络终端数量有限的网络。对于大型网络,为了完成某些访问控制甚至不得不浪费很多的IP地址资源。同时,巨大的网络终端数量,同样会增加管理的复杂度和难度。

另一方面,维护ACL不仅耗时,而且在较大程度上增加路由器开销。访问控制列表的策略性非常强,并且牵涉到网络的整体规划,它的使用对于策略制定及网络规划的人员的技术素质要求比较高。因此,是否采用ACL技术及在多大的程度上利用它,是管理效益与网络安全之间的一个权衡。

‘柒’ 访问控制技术的类型机制

访问控制可以分为两个层次:物理访问控制和逻辑访问控制。物理访问控制如符合标准规定的用户、设备、门、锁和安全环境等方面的要求,而逻辑访问控制则是在数据、应用、系统、网络和权限等层面进行实现的。对银行、证券等重要金融机构的网站,信息安全重点关注的是二者兼顾,物理访问控制则主要由其他类型的安全部门负责。 主要的访问控制类型有3种模式:自主访问控制(DAC)、强制访问控制(MAC)和基于角色访问控制(RBAC)。
1)自主访问控制
自主访问控制(Discretionary Access Control,DAC)是一种接入控制服务,通过执行基于系统实体身份及其到系统资源的接入授权。包括在文件,文件夹和共享资源中设置许可。用户有权对自身所创建的文件、数据表等访问对象进行访问,并可将其访问权授予其他用户或收回其访问权限。允许访问对象的属主制定针对该对象访问的控制策略,通常,可通过访问控制列表来限定针对客体可执行的操作。
①每个客体有一个所有者,可按照各自意愿将客体访问控制权限授予其他主体。
②各客体都拥有一个限定主体对其访问权限的访问控制列表(ACL)。
③每次访问时都以基于访问控制列表检查用户标志,实现对其访问权限控制。
④DAC的有效性依赖于资源的所有者对安全政策的正确理解和有效落实。
DAC提供了适合多种系统环境的灵活方便的数据访问方式,是应用最广泛的访问控制策略。然而,它所提供的安全性可被非法用户绕过,授权用户在获得访问某资源的权限后,可能传送给其他用户。主要是在自由访问策略中,用户获得文件访问后,若不限制对该文件信息的操作,即没有限制数据信息的分发。所以DAC提供的安全性相对较低,无法对系统资源提供严格保护。
2)强制访问控制
强制访问控制(MAC)是系统强制主体服从访问控制策略。是由系统对用户所创建的对象,按照规定的规则控制用户权限及操作对象的访问。主要特征是对所有主体及其所控制的进程、文件、段、设备等客体实施强制访问控制。在MAC中,每个用户及文件都被赋予一定的安全级别,只有系统管理员才可确定用户和组的访问权限,用户不能改变自身或任何客体的安全级别。系统通过比较用户和访问文件的安全级别,决定用户是否可以访问该文件。此外,MAC不允许通过进程生成共享文件,以通过共享文件将信息在进程中传递。MAC可通过使用敏感标签对所有用户和资源强制执行安全策略,一般采用3种方法:限制访问控制、过程控制和系统限制。MAC常用于多级安全军事系统,对专用或简单系统较有效,但对通用或大型系统并不太有效。
MAC的安全级别有多种定义方式,常用的分为4级:绝密级(Top Secret)、秘密级(Secret)、机密级(Confidential)和无级别级(Unclas sified),其中T>S>C>U。所有系统中的主体(用户,进程)和客体(文件,数据)都分配安全标签,以标识安全等级。
通常MAC与DAC结合使用,并实施一些附加的、更强的访问限制。一个主体只有通过自主与强制性访问限制检查后,才能访问其客体。用户可利用DAC来防范其他用户对自己客体的攻击,由于用户不能直接改变强制访问控制属性,所以强制访问控制提供了一个不可逾越的、更强的安全保护层,以防范偶然或故意地滥用DAC。
3)基于角色的访问控制
角色(Role)是一定数量的权限的集合。指完成一项任务必须访问的资源及相应操作权限的集合。角色作为一个用户与权限的代理层,表示为权限和用户的关系,所有的授权应该给予角色而不是直接给用户或用户组。
基于角色的访问控制(Role-Based Access Control,RBAC)是通过对角色的访问所进行的控制。使权限与角色相关联,用户通过成为适当角色的成员而得到其角色的权限。可极大地简化权限管理。为了完成某项工作创建角色,用户可依其责任和资格分派相应的角色,角色可依新需求和系统合并赋予新权限,而权限也可根据需要从某角色中收回。减小了授权管理的复杂性,降低管理开销,提高企业安全策略的灵活性。
RBAC模型的授权管理方法,主要有3种:
①根据任务需要定义具体不同的角色。
②为不同角色分配资源和操作权限。
③给一个用户组(Group,权限分配的单位与载体)指定一个角色。
RBAC支持三个着名的安全原则:最小权限原则、责任分离原则和数据抽象原则。前者可将其角色配置成完成任务所需要的最小权限集。第二个原则可通过调用相互独立互斥的角色共同完成特殊任务,如核对账目等。后者可通过权限的抽象控制一些操作,如财务操作可用借款、存款等抽象权限,而不用操作系统提供的典型的读、写和执行权限。这些原则需要通过RBAC各部件的具体配置才可实现。 访问控制机制是检测和防止系统未授权访问,并对保护资源所采取的各种措施。是在文件系统中广泛应用的安全防护方法,一般在操作系统的控制下,按照事先确定的规则决定是否允许主体访问客体,贯穿于系统全过程。
访问控制矩阵(Access Contro1 Matrix)是最初实现访问控制机制的概念模型,以二维矩阵规定主体和客体间的访问权限。其行表示主体的访问权限属性,列表示客体的访问权限属性,矩阵格表示所在行的主体对所在列的客体的访问授权,空格为未授权,Y为有操作授权。以确保系统操作按此矩阵授权进行访问。通过引用监控器协调客体对主体访问,实现认证与访问控制的分离。在实际应用中,对于较大系统,由于访问控制矩阵将变得非常大,其中许多空格,造成较大的存储空间浪费,因此,较少利用矩阵方式,主要采用以下2种方法。
1)访问控制列表
访问控制列表(Access Control List,ACL)是应用在路由器接口的指令列表,用于路由器利用源地址、目的地址、端口号等的特定指示条件对数据包的抉择。是以文件为中心建立访问权限表,表中记载了该文件的访问用户名和权隶属关系。利用ACL,容易判断出对特定客体的授权访问,可访问的主体和访问权限等。当将该客体的ACL置为空,可撤消特定客体的授权访问。
基于ACL的访问控制策略简单实用。在查询特定主体访问客体时,虽然需要遍历查询所有客体的ACL,耗费较多资源,但仍是一种成熟且有效的访问控制方法。许多通用的操作系统都使用ACL来提供该项服务。如Unix和VMS系统利用ACL的简略方式,以少量工作组的形式,而不许单个个体出现,可极大地缩减列表大小,增加系统效率。
2)能力关系表
能力关系表(Capabilities List)是以用户为中心建立访问权限表。与ACL相反,表中规定了该用户可访问的文件名及权限,利用此表可方便地查询一个主体的所有授权。相反,检索具有授权访问特定客体的所有主体,则需查遍所有主体的能力关系表。 通过介绍单点登入SSO的基本概念和优势,主要优点是,可集中存储用户身份信息,用户只需一次向服务器验证身份,即可使用多个系统的资源,无需再向各客户机验证身份,可提高网络用户的效率,减少网络操作的成本,增强网络安全性。根据登入的应用类型不同,可将SSO分为3种类型。
1)对桌面资源的统一访问管理
对桌面资源的访问管理,包括两个方面:
①登入Windows后统一访问Microsoft应用资源。Windows本身就是一个“SSO”系统。随着.NET技术的发展,“Microsoft SSO”将成为现实。通过Active Directory的用户组策略并结合SMS工具,可实现桌面策略的统一制定和统一管理。
②登入Windows后访问其他应用资源。根据Microsoft的软件策略,Windows并不主动提供与其他系统的直接连接。现在,已经有第三方产品提供上述功能,利用Active Directory存储其他应用的用户信息,间接实现对这些应用的SSO服务。
2)Web单点登入
由于Web技术体系架构便捷,对Web资源的统一访问管理易于实现。在目前的访问管理产品中,Web访问管理产品最为成熟。Web访问管理系统一般与企业信息门户结合使用,提供完整的Web SSO解决方案。
3)传统C/S 结构应用的统一访问管理
在传统C/S 结构应用上,实现管理前台的统一或统一入口是关键。采用Web客户端作为前台是企业最为常见的一种解决方案。
在后台集成方面,可以利用基于集成平台的安全服务组件或不基于集成平台的安全服务API,通过调用信息安全基础设施提供的访问管理服务,实现统一访问管理。
在不同的应用系统之间,同时传递身份认证和授权信息是传统C/S结构的统一访问管理系统面临的另一项任务。采用集成平台进行认证和授权信息的传递是当前发展的一种趋势。可对C/S结构应用的统一访问管理结合信息总线(EAI)平台建设一同进行。

‘捌’ 局域网从介质访问控制方法的角度可分为哪两类它们的主要特点是什么

局域网介质访问控制方法的角度可以分为共享式局域网和交换式局域网。
共享式以太网最大的问题是采用CSMA/CD介质访问控制方式,通过集线器级联或堆叠后形成的网络仍是属于同一个冲突域。在同一个冲突域中,任一时刻只允许一个站点发送数据,每一次的传送都会占用整个传输介质。传输介质是共享的,所有站点平分带宽。
交换式以太网是在10Base-T和100Base-TX双绞线基础上发展起来的一种高速网络,它的关键设备是交换机(Switch)。交换机是一种特殊的网桥,它的一个端口是一个冲突域。

‘玖’ 访问控制详细资料大全

访问控制是给出一套方法,将系统中的所有功能标识出来,组织起来,托管起来,将所有的数据组织起来标识出来托管起来, 然后提供一个简单的唯一的接口,这个接口的一端是套用系统一端是许可权引擎。许可权引擎所回答的只是:谁是否对某资源具有实施 某个动作(运动、计算)的许可权。返回的结果只有:有、没有、许可权引擎异常了。

访问控制是几乎所有系统(包括计算机系统和非计算机系统)都需要用到的一种技术。访问控制是按用户身份及其所归属的某项定义组来限制用户对某些信息项的访问,或限制对某些控制功能的使用的一种技术,如UniNAC网路准入控制系统的原理就是基于此技术之上。访问控制通常用于系统管理员控制用户对服务器、目录、档案等网路资源的访问。

基本介绍

  • 中文名 :访问控制
  • 外文名 :Aess Control
  • 限制 :用户对某些信息项的访问
  • 包含 :服务器、目录、档案等
  • 功能 :防止非法的主体进入受保护
  • 套用范围 :几乎所有系统
功能,实现策略,分类,实现,发展,

功能

主要有以下: 一、 防止非法的主体进入受保护的网路资源。 二、允许合法用户访问受保护的网路资源。 三、防止合启颤皮法的用户对受保护的网路资源进行非授权的访问。

实现策略

1. 入网访问控制 2. 网路许可权限制 3. 目录级安全控制 4. 属性安全控制 5.网路服务器安全控制 6.网路监测和锁定控制 7. 网路连线端口和节点的安全控制 8.防火墙控制

分类

访问控制可分为自主访问控制和强制访问控制两大类。 自主访问控制,是指由用户有权对自身所创建的访问对象(档案、数据表等)进行访问,并可将对这些对象的访问权授予其他用户和从授予许可权的用户收回其访问许可权。 强制访问控制,是指由系统(通过专门设定的系统安全员)对用户所创建的对象进行统一的强制性控制,按照规定的规则决定哪些用户可以对哪些对象进行什么样作业系统类型的访问,即使是创建者用户,在创建一个对象后,也可能无权访问该对象。 基于对象的访问控制模型 基于对象的访洞核问控制(OBAC Model:Object-based Aess Control Model):DAC或MAC模型的主要任务都是对系统中的访问主体和受控对象进行一维的许可权管理。当用户数量多、处理的信息数据量巨大时,用户许可权的管理任务将变得十分繁重且难以维护,这就降低了系统的安全性和可靠性。 对于海量的数据和差异较大的数据类型,需要用专门的系统和专门的人员加以处理,要是采用RBAC模型的话,安全管理员除了维护用户和角色的关联关系外,还需要将庞大的信息资源访问许可权赋予有限个角色。 当信息资源的种类增加或减少时,安全管理员必须更新所有角色的访问许可权设定,如果受控对象的属性发生变化,和需要将受控对象不同属性的数据分配给不同的访问主体处理时,安全管理员将不得不增加新的角色,并且还必须更新原来所有角色的访问许可权设定以及访问主体的角色分配设定。 这样的访问控制需求变化往往是不可预知的,造成访问控制管理的难度和工作量巨大。所以在这种情况下,有必要引入基于受控对象的访问控制模型。 控制策略和控制规则是OBAC访问控制系统的核心所在,在基于受控对象的访问控制模型中,将访问控制列表与受控对象或受控对象的属性相关联,并将访问控制选项设计成为用户、组或角色及其对应许可权的集合;同时允许对策略和规则进行重用、继承和派生操作。 这样,不仅可以对受控对象本身进行访问控制,受控对象的属性也可以进行访问控制,而且派生对象可以继承父对象的访问控制设定,这对于信息量巨大、信息内容更新变化频繁的管理信息系统非常有益,可以减轻由于信息资源的派生、演化和重组等带来的分配、设定角色许可权等的工作量。 OBAC访问控制系统是从信息系统的数据差异变化和用户需求出发,有效地解决了信息数据量大、数据种类繁多、数据更新变化频繁的大型管理信息系统的安全管理。并从受控对象的角度出发,将访问主体的访问许可权直接与受控对象相关联,一方面定义对象的访问控制列表,增、删、修改访问控制项易于操作,另一方面,当受控对象的属性发生改变,或者受控对象发生继承和派生行为时,无须更新访问主体的许可权,只需要修改受控对象的相应访问控制项即可,从而减少了访问主体的许可权管理,降低了授权数据管理的复杂性。 基于任务的访问控悄差制模型 基于任务的访问控制模型(TBAC Model,Task-based Aess Control Model)是从套用和企业层角度来解决安全问题,以面向任务的观点,从任务(活动)的角度来建立安全模型和实现安全机制,在任务处理的过程中提供动态实时的安全管理。 在TBAC中,对象的访问许可权控制并不是静止不变的,而是随着执行任务的上下文环境发生变化。TBAC首要考虑的是在工作流的环境中对信息的保护问题:在工作流环境中,数据的处理与上一次的处理相关联,相应的访问控制也如此,因而TBAC是一种上下文相关的访问控制模型。其次,TBAC不仅能对不同工作流实行不同的访问控制策略,而且还能对同一工作流的不同任务实例实行不同的访问控制策略。从这个意义上说,TBAC是基于任务的,这也表明,TBAC是一种基于实例(instance-based)的访问控制模型。 TBAC模型由工作流、授权结构体、受托人集、许可集四部分组成。 任务(task)是工作流程中的一个逻辑单元,是一个可区分的动作,与多个用户相关,也可能包括几个子任务。授权结构体是任务在计算机中进行控制的一个实例。任务中的子任务,对应于授权结构体中的授权步。 授权结构体(authorization unit):是由一个或多个授权步组成的结构体,它们在逻辑上是联系在一起的。授权结构体分为一般授权结构体和原子授权结构体。一般授权结构体内的授权步依次执行,原子授权结构体内部的每个授权步紧密联系,其中任何一个授权步失败都会导致整个结构体的失败。 授权步(authorization step)表示一个原始授权处理步,是指在一个工作流程中对处理对象的一次处理过程。授权步是访问控制所能控制的最小单元,由受托人集(trustee-set)和多个许可集(permissions set)组成。 受托人集是可被授予执行授权步的用户的集合,许可集则是受托集的成员被授予授权步时拥有的访问许可。当授权步初始化以后,一个来自受托人集中的成员将被授予授权步,我们称这个受托人为授权步的执行委托者,该受托人执行授权步过程中所需许可的集合称为执行者许可集。授权步之间或授权结构体之间的相互关系称为依赖(dependency),依赖反映了基于任务的访问控制的原则。授权步的状态变化一般自我管理,依据执行的条件而自动变迁状态,但有时也可以由管理员进行调配。 一个工作流的业务流程由多个任务构成。而一个任务对应于一个授权结构体,每个授权结构体由特定的授权步组成。授权结构体之间以及授权步之间通过依赖关系联系在一起。在TBAC中,一个授权步的处理可以决定后续授权步对处理对象的操作许可,上述许可集合称为激活许可集。执行者许可集和激活许可集一起称为授权步的保护态。 TBAC模型一般用五元组(S,O,P,L,AS)来表示,其中S表示主体,O表示客体,P表示许可,L表示生命期(lifecycle),AS表示授权步。由于任务都是有时效性的,所以在基于任务的访问控制中,用户对于授予他的许可权的使用也是有时效性的。 因此,若P是授权步AS所激活的许可权,那么L则是授权步AS的存活期限。在授权步AS被激活之前,它的保护态是无效的,其中包含的许可不可使用。当授权步AS被触发时,它的委托执行者开始拥有执行者许可集中的许可权,同时它的生命期开始倒记时。在生命期期间,五元组(S,O,P,L,AS)有效。生命期终止时,五元组(S,O,P,L,AS)无效,委托执行者所拥有的许可权被回收。 TBAC的访问政策及其内部组件关系一般由系统管理员直接配置。通过授权步的动态许可权管理,TBAC支持最小特权原则和最小泄漏原则,在执行任务时只给用户分配所需的许可权,未执行任务或任务终止后用户不再拥有所分配的许可权;而且在执行任务过程中,当某一许可权不再使用时,授权步自动将该许可权回收;另外,对于敏感的任务需要不同的用户执行,这可通过授权步之间的分权依赖实现。 TBAC从工作流中的任务角度建模,可以依据任务和任务状态的不同,对许可权进行动态管理。因此,TBAC非常适合分散式计算和多点访问控制的信息处理控制以及在工作流、分散式处理和事务管理系统中的决策制定。 基于角色的访问控制模型 基于角色的访问控制模型(RBAC Model,Role-based Aess Model):RBAC模型的基本思想是将访问许可权分配给一定的角色,用户通过饰演不同的角色获得角色所拥有的访问许可权。这是因为在很多实际套用中,用户并不是可以访问的客体信息资源的所有者(这些信息属于企业或公司),这样的话,访问控制应该基于员工的职务而不是基于员工在哪个组或是谁信息的所有者,即访问控制是由各个用户在部门中所担任的角色来确定的,例如,一个学校可以有教工、老师、学生和其他管理人员等角色。 RBAC从控制主体的角度出发,根据管理中相对稳定的职权和责任来划分角色,将访问许可权与角色相联系,这点与传统的MAC和DAC将许可权直接授予用户的方式不同;通过给用户分配合适的角色,让用户与访问许可权相联系。角色成为访问控制中访问主体和受控对象之间的一座桥梁。 角色可以看作是一组操作的集合,不同的角色具有不同的操作集,这些操作集由系统管理员分配给角色。在下面的实例中,我们假设Tch1,Tch2,Tch3……Tchi是对应的教师,Stud1,Stud 2,Stud3 …Studj是相应的学生,Mng1,Mng 2,Mng 3…Mngk是教务处管理人员,那么老师的许可权为TchMN={查询成绩、上传所教课程的成绩};学生的许可权为Stud MN={查询成绩、反映意见};教务管理人员的许可权为MngMN={查询、修改成绩、打印成绩清单}。 那么,依据角色的不同,每个主体只能执行自己所制定的访问功能。用户在一定的部门中具有一定的角色,其所执行的操作与其所扮演的角色的职能相匹配,这正是基于角色的访问控制(RBAC)的根本特征,即:依据RBAC策略,系统定义了各种角色,每种角色可以完成一定的职能,不同的用户根据其职能和责任被赋予相应的角色,一旦某个用户成为某角色的成员,则此用户可以完成该角色所具有的职能。 如今数据安全成疾,蠕虫和病毒横行,如何提高网路安全?选择网路访问控制(NAC)成为必然,它能够帮助企业网路免于多种网路安全威胁。 许多企业往往不愿意实施基于角色的访问控制。因为企业担心冗长而复杂的实施过程,并且由于雇员访问权要发生变化,也会对工作效率带来副作用。完成基于角色的矩阵可能是一个需要花费企业几年时间的复杂过程。
有一些新方法可以缩短这个过程,并当即带来好处。企业可以采用人力资源系统作为数据源,收集所有雇员的部门、职位、位置以及企业的层次结构等信息,并将这些信息用于创建每个访问级别的角色。下一步就是从活动目录等位置获得当前的权利,以及与不同角色的雇员有关的数据共享。
下一步,使数据标准化,确保相同角色的雇员拥有相同的访问权。可以通过从人力资源和活动目录、修正报告以及雇员的管理者那里收集数据,用于检查和纠正。基于角色的访问控制套用与身份管理系统结合使用,可以实施管理员在自动模式中做出的变化。此过程可以在包含敏感信息的企业网路的其它套用中多次反复实施,确保访问权的正确性。

实现

实现机制 访问控制的实现机制建立访问控制模型和实现访问控制都是抽象和复杂的行为,实现访问的控制不仅要保证授权用户使用的许可权与其所拥有的许可权对应,制止非授权用户的非授权行为;还要保证敏感信息的交叉感染。为了便于讨论这一问题,我们以档案的访问控制为例对访问控制的实现做具体说明。通常用户访问信息资源(档案或是资料库),可能的行为有读、写和管理。为方便起见,我们用Read或是R表示读操作,Write或是W表示写操作,Own或是O表示管理操作。我们之所以将管理操作从读写中分离出来,是因为管理员也许会对控制规则本身或是档案的属性等做修改,也就是修改我们在下面提到的访问控制表。 访问控制表 访问控制表(ACLs:Aess Control Lists)是以档案为中心建立的访问许可权表,简记为ACLs。目前,大多数PC、服务器和主机都使用ACLs作为访问控制的实现机制。访问控制表的优点在于实现简单,任何得到授权的主体都可以有一个访问表,例如授权用户A1的访问控制规则存储在档案File1中,A1的访问规则可以由A1下面的许可权表ACLsA1来确定,许可权表限定了用户UserA1的访问许可权。 访问控制矩阵 访问控制矩阵(ACM:Aess Control Matrix)是通过矩阵形式表示访问控制规则和授权用户许可权的方法;也就是说,对每个主体而言,都拥有对哪些客体的哪些访问许可权;而对客体而言,又有哪些主体对他可以实施访问;将这种关连关系加以阐述,就形成了控制矩阵。其中,特权用户或特权用户组可以修改主体的访问控制许可权。访问控制矩阵的实现很易于理解,但是查找和实现起来有一定的难度,而且,如果用户和档案系统要管理的档案很多,那么控制矩阵将会成几何级数增长,这样对于增长的矩阵而言,会有大量的空余空间。 访问控制能力列表 能力是访问控制中的一个重要概念,它是指请求访问的发起者所拥有的一个有效标签(ticket),它授权标签表明的持有者可以按照何种访问方式访问特定的客体。访问控制能力表(ACCLs:Aess Control Capabilitis Lists)是以用户为中心建立访问许可权表。例如,访问控制许可权表ACCLsF1表明了授权用户UserA对档案File1的访问许可权,UserAF表明了UserA对档案系统的访问控制规则集。因此,ACCLs的实现与ACLs正好相反。定义能力的重要作用在于能力的特殊性,如果赋予哪个主体具有一种能力,事实上是说明了这个主体具有了一定对应的许可权。能力的实现有两种方式,传递的和不可传递的。一些能力可以由主体传递给其他主体使用,另一些则不能。能力的传递牵扯到了授权的实现,我们在后面会具体阐述访问控制的授权管理。 安全标签 安全标签是限制和附属在主体或客体上的一组安全属性信息。安全标签的含义比能力更为广泛和严格,因为它实际上还建立了一个严格的安全等级集合。访问控制标签列表(ACSLLs: Aess Control Security Labels Lists)是限定一个用户对一个客体目标访问的安全属性集合。安全标签能对敏感信息加以区分,这样就可以对用户和客体资源强制执行安全策略,因此,强制访问控制经常会用到这种实现机制。 具体类别 访问控制实现的具体类别访问控制是网路安全防范和保护的重要手段,它的主要任务是维护网路系统安全、保证网路资源不被非法使用和非常访问。通常在技术实现上,包括以下几部分: (1)接入访问控制:接入访问控制为网路访问提供了第一层访问控制,是网路访问的最先屏障,它控制哪些用户能够登录到服务器并获取网路资源,控制准许用户入网的时间和准许他们在哪台工作站入网。例如,ISP服务商实现的就是接入服务。用户的接入访问控制是对合法用户的验证,通常使用用户名和口令的认证方式。一般可 分为三个步骤:用户名的识别与验证、用户口令的识别与验证和用户帐号的预设限制检查。
(2)资源访问控制:是对客体整体资源信息的访问控制管理。其中包括档案系统的访问控制(档案目录访问控制和系统访问控制)、档案属性访问控制、信息内容访问控制。档案目录访问控制是指用户和用户组被赋予一定的许可权,在许可权的规则控制许可下,哪些用户和用户组可以访问哪些目录、子目录、档案和其他资源,哪些用户可以对其中的哪些档案、目录、子目录、设备等能够执行何种操作。系统访问控制是指一个网路系统管理员应当为用户指定适当的访问许可权,这些访问许可权控制着用户对服务器的访问;应设定口令锁定服务器控制台,以防止非法用户修改、删除重要信息或破坏数据;应设定服务器登录时间限制、非法访问者检测和关闭的时间间隔;应对网路实施监控,记录用户对网路资源的访问,对非法的网路访问,能够用图形或文字或声音等形式报警等。档案属性访问控制:当用档案、目录和网路设备时,应给档案、目录等指定访问属性。属性安全控制可以将给定的属性与要访问的档案、目录和网路设备联系起来。
(3)网路连线端口和节点的访问控制:网路中的节点和连线端口往往加密传输数据,这些重要位置的管理必须防止黑客发动的攻击。对于管理和修改数据,应该要求访问者提供足以证明身份的验证器(如智慧卡)。

发展

网路访问控制(NAC)名声不好,我们得让它改改。过去十年里,访问控制出现了部署失败和安全策略过份严格等问题,这使得许多CEO发现按照IT部门实施的访问控制,自己的笔记本电脑无法访问网路。 但是,现在情况已经发生变化。专家指出,访问控制不再只是访问控制;而是提供终端可见性和感知环境的安全性。Enterprise Strategy Group的研究表明,访问控制正演变成一种新的平台产品,它叫终端监控、访问与安全(EVAS),它能够实现感知环境的安全性,可以给其他安全平台提供信息,同时套用这些平台专用的策略。 早期的访问控制解决方案会检查用户设备的状态,保证它们未感染病毒,并且安装了正确的终端安全 软体,然后才允许它们连线网路。之后,访问控制增加了软体补丁和配置检查。现在,访问控制解决进一步发展成为EVAS平台,从而符合企业关于感知环境安全性的需求。

阅读全文

与访问控制根据环境不同可分为相关的内容

本站内容整理源于互联网,如有问题请联系解决。
Copyright design: www.gotrillian.com since 2022