關(guān)于訪問控制離線,訪問控制這個問題很多朋友還不知道,今天小六來為大家解答以上的問題,現(xiàn)在讓我們一起來看看吧!
1、按用戶身份及其所歸屬的某預(yù)定義組來限制用戶對某些信息項的訪問,或限制對某些控制功能的使用。
2、訪問控制通常用于系統(tǒng)管理員控制用戶對服務(wù)器、目錄、文件等網(wǎng)絡(luò)資源的訪問。
3、按用戶身份及其所歸屬的某項定義組來限制用戶對某些信息項的訪問,或限制對某些控制功能的使用。
4、訪問控制通常用于系統(tǒng)管理員控制用戶對服務(wù)器、目錄、文件等網(wǎng)絡(luò)資源的訪問。
5、 訪問控制的功能主要有以下: 一. 防止非法的主體進入受保護的網(wǎng)絡(luò)資源。
6、 二. 允許合法用戶訪問受保護的網(wǎng)絡(luò)資源。
7、 三. 防止合法的用戶對受保護的網(wǎng)絡(luò)資源進行非授權(quán)的訪問。
8、 訪問控制實現(xiàn)的策略: 一. 入網(wǎng)訪問控制 二. 網(wǎng)絡(luò)權(quán)限限制 三. 目錄級安全控制 四. 屬性安全控制 五. 網(wǎng)絡(luò)服務(wù)器安全控制訪問控制? 按用戶身份及其所歸屬的某項定義組來限制用戶對某些信息項的訪問,或限制對某些控制功能的使用。
9、訪問控制通常用于系統(tǒng)管理員控制用戶對服務(wù)器、目錄、文件等網(wǎng)絡(luò)資源的訪問。
10、? 訪問控制的功能主要有以下:?一.?防止非法的主體進入受保護的網(wǎng)絡(luò)資源。
11、?二.?允許合法用戶訪問受保護的網(wǎng)絡(luò)資源。
12、?三.?防止合法的用戶對受保護的網(wǎng)絡(luò)資源進行非授權(quán)的訪問。
13、? 訪問控制實現(xiàn)的策略:?一.?入網(wǎng)訪問控制?二.?網(wǎng)絡(luò)權(quán)限限制?三.?目錄級安全控制?四.?屬性安全控制 五.?網(wǎng)絡(luò)服務(wù)器安全控制? 六.?網(wǎng)絡(luò)監(jiān)測和鎖定控制 七.?網(wǎng)絡(luò)端口和節(jié)點的安全控制 八.?防火墻控制? 訪問控制的類型:訪問控制可分為自主訪問控制和強制訪問控制兩大類。
14、? 自主訪問控制,是指由用戶有權(quán)對自身所創(chuàng)建的訪問對象(文件、數(shù)據(jù)表等)進行訪問,并可將對這些對象的訪問權(quán)授予其他用戶和從授予權(quán)限的用戶收回其訪問權(quán)限 強制訪問控制,是指由系統(tǒng)(通過專門設(shè)置的系統(tǒng)安全員)對用戶所創(chuàng)建的對象進行統(tǒng)一的強制性控制,按照規(guī)定的規(guī)則決定哪些用戶可以對哪些對象進行什么樣操作系統(tǒng)類型的訪問,即使是創(chuàng)建者用戶,在創(chuàng)建一個對象后,也可能無權(quán)訪問該對象。
15、? 基于對象的訪問控制模型: 基于對象的訪問控制(OBAC?Model:Object-based?Access?Control?Model):DAC或MAC模型的主要任務(wù)都是對系統(tǒng)中的訪問主體和受控對象進行一維的權(quán)限管理,當用戶數(shù)量多、處理的信息數(shù)據(jù)量巨大時,用戶權(quán)限的管理任務(wù)將變得十分繁重,并且用戶權(quán)限難以維護,這就降低了系統(tǒng)的安全性和可靠性。
16、對于海量的數(shù)據(jù)和差異較大的數(shù)據(jù)類型,需要用專門的系統(tǒng)和專門的人員加以處理,要是采用RBAC模型的話,安全管理員除了維護用戶和角色的關(guān)聯(lián)關(guān)系外,還需要將龐大的信息資源訪問權(quán)限賦予有限個角色。
17、當信息資源的種類增加或減少時,安全管理員必須更新所有角色的訪問權(quán)限設(shè)置,而且,如果受控對象的屬性發(fā)生變化,同時需要將受控對象不同屬性的數(shù)據(jù)分配給不同的訪問主體處理時,安全管理員將不得不增加新的角色,并且還必須更新原來所有角色的訪問權(quán)限設(shè)置以及訪問主體的角色分配設(shè)置,這樣的訪問控制需求變化往往是不可預(yù)知的,造成訪問控制管理的難度和工作量巨大。
18、在這種情況下,有必要引入基于受控對象的訪問控制模型。
19、? 控制策略和控制規(guī)則是OBAC訪問控制系統(tǒng)的核心所在,在基于受控對象的訪問控制模型中,將訪問控制列表與受控對象或受控對象的屬性相關(guān)聯(lián),并將訪問控制選項設(shè)計成為用戶、組或角色及其對應(yīng)權(quán)限的集合;同時允許對策略和規(guī)則進行重用、繼承和派生操作。
20、這樣,不僅可以對受控對象本身進行訪問控制,受控對象的屬性也可以進行訪問控制,而且派生對象可以繼承父對象的訪問控制設(shè)置,這對于信息量巨大、信息內(nèi)容更新變化頻繁的管理信息系統(tǒng)非常有益,可以減輕由于信息資源的派生、演化和重組等帶來的分配、設(shè)定角色權(quán)限等的工作量。
21、? OBAC從信息系統(tǒng)的數(shù)據(jù)差異變化和用戶需求出發(fā),有效地解決了信息數(shù)據(jù)量大、數(shù)據(jù)種類繁多、數(shù)據(jù)更新變化頻繁的大型管理信息系統(tǒng)的安全管理。
22、OBAC從受控對象的角度出發(fā),將訪問主體的訪問權(quán)限直接與受控對象相關(guān)聯(lián),一方面定義對象的訪問控制列表,增、刪、修改訪問控制項易于操作,另一方面,當受控對象的屬性發(fā)生改變,或者受控對象發(fā)生繼承和派生行為時,無須更新訪問主體的權(quán)限,只需要修改受控對象的相應(yīng)訪問控制項即可,從而減少了訪問主體的權(quán)限管理,降低了授權(quán)數(shù)據(jù)管理的復雜性。
23、? 基于任務(wù)的訪問控制模型: 基于任務(wù)的訪問控制模型(TBAC?Model,Task-based?Access?Control?Model)是從應(yīng)用和企業(yè)層角度來解決安全問題,以面向任務(wù)的觀點,從任務(wù)(活動)的角度來建立安全模型和實現(xiàn)安全機制,在任務(wù)處理的過程中提供動態(tài)實時的安全管理。
24、? 在TBAC中,對象的訪問權(quán)限控制并不是靜止不變的,而是隨著執(zhí)行任務(wù)的上下文環(huán)境發(fā)生變化。
25、TBAC首要考慮的是在工作流的環(huán)境中對信息的保護問題:在工作流環(huán)境中,數(shù)據(jù)的處理與上一次的處理相關(guān)聯(lián),相應(yīng)的訪問控制也如此,因而TBAC是一種上下文相關(guān)的訪問控制模型。
26、其次,TBAC不僅能對不同工作流實行不同的訪問控制策略,而且還能對同一工作流的不同任務(wù)實例實行不同的訪問控制策略。
27、從這個意義上說,TBAC是基于任務(wù)的,這也表明,TBAC是一種基于實例(instance-based)的訪問控制模型。
28、? TBAC模型由工作流、授權(quán)結(jié)構(gòu)體、受托人集、許可集四部分組成。
29、? 任務(wù)(task)是工作流程中的一個邏輯單元,是一個可區(qū)分的動作,與多個用戶相關(guān),也可能包括幾個子任務(wù)。
30、授權(quán)結(jié)構(gòu)體是任務(wù)在計算機中進行控制的一個實例。
31、任務(wù)中的子任務(wù),對應(yīng)于授權(quán)結(jié)構(gòu)體中的授權(quán)步。
32、? 授權(quán)結(jié)構(gòu)體(authorization?unit):是由一個或多個授權(quán)步組成的結(jié)構(gòu)體,它們在邏輯上是聯(lián)系在一起的。
33、授權(quán)結(jié)構(gòu)體分為一般授權(quán)結(jié)構(gòu)體和原子授權(quán)結(jié)構(gòu)體。
34、一般授權(quán)結(jié)構(gòu)體內(nèi)的授權(quán)步依次執(zhí)行,原子授權(quán)結(jié)構(gòu)體內(nèi)部的每個授權(quán)步緊密聯(lián)系,其中任何一個授權(quán)步失敗都會導致整個結(jié)構(gòu)體的失敗。
35、? 授權(quán)步(authorization?step)表示一個原始授權(quán)處理步,是指在一個工作流程中對處理對象的一次處理過程。
36、授權(quán)步是訪問控制所能控制的最小單元,由受托人集(trustee-set)和多個許可集(permissions?set)組成。
37、? 受托人集是可被授予執(zhí)行授權(quán)步的用戶的集合,許可集則是受托集的成員被授予授權(quán)步時擁有的訪問許可。
38、當授權(quán)步初始化以后,一個來自受托人集中的成員將被授予授權(quán)步,我們稱這個受托人為授權(quán)步的執(zhí)行委托者,該受托人執(zhí)行授權(quán)步過程中所需許可的集合稱為執(zhí)行者許可集。
39、授權(quán)步之間或授權(quán)結(jié)構(gòu)體之間的相互關(guān)系稱為依賴(dependency),依賴反映了基于任務(wù)的訪問控制的原則。
40、授權(quán)步的狀態(tài)變化一般自我管理,依據(jù)執(zhí)行的條件而自動變遷狀態(tài),但有時也可以由管理員進行調(diào)配。
41、? 一個工作流的業(yè)務(wù)流程由多個任務(wù)構(gòu)成。
42、而一個任務(wù)對應(yīng)于一個授權(quán)結(jié)構(gòu)體,每個授權(quán)結(jié)構(gòu)體由特定的授權(quán)步組成。
43、授權(quán)結(jié)構(gòu)體之間以及授權(quán)步之間通過依賴關(guān)系聯(lián)系在一起。
44、在TBAC中,一個授權(quán)步的處理可以決定后續(xù)授權(quán)步對處理對象的操作許可,上述許可集合稱為激活許可集。
45、執(zhí)行者許可集和激活許可集一起稱為授權(quán)步的保護態(tài)。
46、? TBAC模型一般用五元組(S,O,P,L,AS)來表示,其中S表示主體,O表示客體,P表示許可,L表示生命期(lifecycle),AS表示授權(quán)步。
47、由于任務(wù)都是有時效性的,所以在基于任務(wù)的訪問控制中,用戶對于授予他的權(quán)限的使用也是有時效性的。
48、因此,若P是授權(quán)步AS所激活的權(quán)限,那么L則是授權(quán)步AS的存活期限。
49、在授權(quán)步AS被激活之前,它的保護態(tài)是無效的,其中包含的許可不可使用。
50、當授權(quán)步AS被觸發(fā)時,它的委托執(zhí)行者開始擁有執(zhí)行者許可集中的權(quán)限,同時它的生命期開始倒記時。
51、在生命期期間,五元組(S,O,P,L,AS)有效。
52、生命期終止時,五元組(S,O,P,L,AS)無效,委托執(zhí)行者所擁有的權(quán)限被回收。
53、? TBAC的訪問政策及其內(nèi)部組件關(guān)系一般由系統(tǒng)管理員直接配置。
54、通過授權(quán)步的動態(tài)權(quán)限管理,TBAC支持最小特權(quán)原則和最小泄漏原則,在執(zhí)行任務(wù)時只給用戶分配所需的權(quán)限,未執(zhí)行任務(wù)或任務(wù)終止后用戶不再擁有所分配的權(quán)限;而且在執(zhí)行任務(wù)過程中,當某一權(quán)限不再使用時,授權(quán)步自動將該權(quán)限回收;另外,對于敏感的任務(wù)需要不同的用戶執(zhí)行,這可通過授權(quán)步之間的分權(quán)依賴實現(xiàn)。
55、? TBAC從工作流中的任務(wù)角度建模,可以依據(jù)任務(wù)和任務(wù)狀態(tài)的不同,對權(quán)限進行動態(tài)管理。
56、因此,TBAC非常適合分布式計算和多點訪問控制的信息處理控制以及在工作流、分布式處理和事務(wù)管理系統(tǒng)中的決策制定。
57、? 基于角色的訪問控制模型: 基于角色的訪問控制模型(RBAC?Model,Role-based?Access?Model):RBAC模型的基本思想是將訪問許可權(quán)分配給一定的角色,用戶通過飾演不同的角色獲得角色所擁有的訪問許可權(quán)。
58、這是因為在很多實際應(yīng)用中,用戶并不是可以訪問的客體信息資源的所有者(這些信息屬于企業(yè)或公司),這樣的話,訪問控制應(yīng)該基于員工的職務(wù)而不是基于員工在哪個組或是誰信息的所有者,即訪問控制是由各個用戶在部門中所擔任的角色來確定的,例如,一個學??梢杂薪坦ぁ⒗蠋?、學生和其他管理人員等角色。
59、? RBAC從控制主體的角度出發(fā),根據(jù)管理中相對穩(wěn)定的職權(quán)和責任來劃分角色,將訪問權(quán)限與角色相聯(lián)系,這點與傳統(tǒng)的MAC和DAC將權(quán)限直接授予用戶的方式不同;通過給用戶分配合適的角色,讓用戶與訪問權(quán)限相聯(lián)系。
60、角色成為訪問控制中訪問主體和受控對象之間的一座橋梁。
61、? 角色可以看作是一組操作的集合,不同的角色具有不同的操作集,這些操作集由系統(tǒng)管理員分配給角色。
62、在下面的實例中,我們假設(shè)Tch1,Tch2,Tch3……Tchi是對應(yīng)的教師,Stud1,Stud?2,Stud3?…Studj是相應(yīng)的學生,Mng1,Mng?2,Mng?3…Mngk是教務(wù)處管理人員,那么老師的權(quán)限為TchMN={查詢成績、上傳所教課程的成績};學生的權(quán)限為Stud?MN={查詢成績、反映意見};教務(wù)管理人員的權(quán)限為MngMN={查詢、修改成績、打印成績清單}。
63、那么,依據(jù)角色的不同,每個主體只能執(zhí)行自己所制定的訪問功能。
64、用戶在一定的部門中具有一定的角色,其所執(zhí)行的操作與其所扮演的角色的職能相匹配,這正是基于角色的訪問控制(RBAC)的根本特征,即:依據(jù)RBAC策略,系統(tǒng)定義了各種角色,每種角色可以完成一定的職能,不同的用戶根據(jù)其職能和責任被賦予相應(yīng)的角色,一旦某個用戶成為某角色的成員,則此用戶可以完成該角色所具有的職能。
65、??主體 通常指用戶,或代表用戶意圖運行進程或設(shè)備。
66、主體是訪問操作的主動發(fā)起者,它是系統(tǒng)中信息流的啟動者,可以使信息流在實體之間流動。
67、 編輯本段客體 通常是指信息的載體或從其他主體或客體接收信息的實體。
68、 主體有時也會成為訪問或受控的對象,如一個主體可以向另一個主體授權(quán),一個進程可能控制幾個子進程等情況,這時受控的主體或子進程也是一種客體。
69、 編輯本段訪問控制分類 客體不受它們所依存的系統(tǒng)的限制,可以包括記錄、數(shù)據(jù)塊、存儲頁、存儲段、文件、目錄、目錄樹、庫表、郵箱、消息、程序等,還可以包括比特位、字節(jié)、字、字段、變量、處理器、通信信道、時鐘、網(wǎng)絡(luò)結(jié)點等。
70、 自主訪問控制 管理的方式不同就形成不同的訪問控制方式。
71、一種方式是由客體的屬主對自己的客體進行管理,由屬主自己決定是否將自己客體的訪問權(quán)或部分訪問權(quán)授予其他主體,這種控制方式是自主的,我們把它稱為自主訪問控制(Discretionary Access Control——DAC)。
72、在自主訪問控制下,一個用戶可以自主選擇哪些用戶可以共享他的文件。
73、Linux系統(tǒng)中有兩種自主訪問控制策略,一種是9位權(quán)限碼(User-Group-Other),另一種是訪問控制列表ACL(Access Control List)。
74、 強制訪問控制 強制訪問控制(Mandatory Access Control——MAC),用于將系統(tǒng)中的信息分密級和類進行管理,以保證每個用戶只能訪問到那些被標明可以由他訪問的信息的一種訪問約束機制。
75、通俗的來說,在強制訪問控制下,用戶(或其他主體)與文件(或其他客體)都被標記了固定的安全屬性(如安全級、訪問權(quán)限等),在每次訪問發(fā)生時,系統(tǒng)檢測安全屬性以便確定一個用戶是否有權(quán)訪問該文件。
76、其中多級安全(MultiLevel Secure, MLS)就是一種強制訪問控制策略。
77、 按用戶身份及其所歸屬的某項定義組來限制用戶對某些信息項的訪問,或限制對某些控制功能的使用。
78、訪問控制通常用于系統(tǒng)管理員控制用戶對服務(wù)器、目錄、文件等網(wǎng)絡(luò)資源的訪問。
79、?主體 通常指用戶,或代表用戶意圖運行進程或設(shè)備。
80、主體是訪問操作的主動發(fā)起者,它是系統(tǒng)中信息流的啟動者,可以使信息流在實體之間流動。
81、?編輯本段客體 通常是指信息的載體或從其他主體或客體接收信息的實體。
82、? 主體有時也會成為訪問或受控的對象,如一個主體可以向另一個主體授權(quán),一個進程可能控制幾個子進程等情況,這時受控的主體或子進程也是一種客體。
83、?編輯本段訪問控制分類 客體不受它們所依存的系統(tǒng)的限制,可以包括記錄、數(shù)據(jù)塊、存儲頁、存儲段、文件、目錄、目錄樹、庫表、郵箱、消息、程序等,還可以包括比特位、字節(jié)、字、字段、變量、處理器、通信信道、時鐘、網(wǎng)絡(luò)結(jié)點等。
84、?自主訪問控制 管理的方式不同就形成不同的訪問控制方式。
85、一種方式是由客體的屬主對自己的客體進行管理,由屬主自己決定是否將自己客體的訪問權(quán)或部分訪問權(quán)授予其他主體,這種控制方式是自主的,我們把它稱為自主訪問控制(Discretionary?Access?Control——DAC)。
86、在自主訪問控制下,一個用戶可以自主選擇哪些用戶可以共享他的文件。
87、Linux系統(tǒng)中有兩種自主訪問控制策略,一種是9位權(quán)限碼(User-Group-Other),另一種是訪問控制列表ACL(Access?Control?List)。
88、?強制訪問控制 強制訪問控制(Mandatory?Access?Control——MAC),用于將系統(tǒng)中的信息分密級和類進行管理,以保證每個用戶只能訪問到那些被標明可以由他訪問的信息的一種訪問約束機制。
89、通俗的來說,在強制訪問控制下,用戶(或其他主體)與文件(或其他客體)都被標記了固定的安全屬性(如安全級、訪問權(quán)限等),在每次訪問發(fā)生時,系統(tǒng)檢測安全屬性以便確定一個用戶是否有權(quán)訪問該文件。
90、其中多級安全(MultiLevel?Secure,?MLS)就是一種強制訪問控制策略。
91、?就是你規(guī)定哪些人能夠去訪問,哪些人不能夠去訪問.看你自己怎么設(shè)置了.就是一個權(quán)限的問題.。
本文分享完畢,希望對大家有所幫助。
標簽:
免責聲明:本文由用戶上傳,如有侵權(quán)請聯(lián)系刪除!