電子商務(wù)安全(第2版) 課件 第6章-訪問控制技術(shù)

第6章

訪問控制技術(shù)訪問控制的概念與原理訪問控制結(jié)構(gòu)訪問控制策略訪問控制模型本章小結(jié)第6章訪問控制技術(shù)訪問控制的概念與原理Part1訪問控制身份認(rèn)證非法用戶已經(jīng)被身份認(rèn)證擋在了系統(tǒng)之外。訪問控制是對合法用戶進(jìn)行訪問權(quán)限控制。訪問控制的功能允許合法用戶訪問受保護(hù)的網(wǎng)絡(luò)資源。防止合法的用戶對受保護(hù)的網(wǎng)絡(luò)資源進(jìn)行非授權(quán)的訪問。

并非身份合法就什么都可以做，還要根據(jù)不同的訪問者，規(guī)定他們分別可以訪問哪些資源，以及用什么方式訪問這些資源。訪問控制的原理五大要素訪問控制結(jié)構(gòu)Part2訪問控制矩陣（訪問許可矩陣）{主體客體主體對客體訪問權(quán)限的集合表6-1訪問控制矩陣訪問控制結(jié)構(gòu)訪問控制結(jié)構(gòu)訪問能力表訪問控制結(jié)構(gòu)訪問控制表授權(quán)關(guān)系表訪問控制結(jié)構(gòu)訪問控制結(jié)構(gòu)常見訪問控制結(jié)構(gòu)總結(jié)：訪問控制矩陣（空間浪費(fèi)，不予適用）訪問能力表（從主體出發(fā)）訪問控制表（從客體出發(fā)）授權(quán)關(guān)系表（主體、客體關(guān)系）訪問控制策略Part3訪問控制策略訪問控制安全策略自主式強(qiáng)制式｛用戶授權(quán)用戶系統(tǒng)授權(quán)用戶OSI安全體系結(jié)構(gòu)用的不是強(qiáng)制式／自主式的術(shù)語，而是改為用基于身份和基于規(guī)則的策略。

從實(shí)際應(yīng)用來看：基于身份的策略=自主式策略基于規(guī)則的策略=強(qiáng)制式策略訪問控制策略基于身份的安全策略用戶可訪問資源的一部分（訪問控制表），或由系統(tǒng)授予用戶特權(quán)標(biāo)記或權(quán)力。基于身份的策略分為基于個(gè)體的策略和基于組的策略。訪問控制策略基于身份的安全策略基于個(gè)體的策略一個(gè)基于個(gè)體的策略使用用戶可以對一個(gè)目標(biāo)實(shí)施哪一種行為的列表來表示。這等價(jià)于用一個(gè)目標(biāo)的訪問矩陣來描述。基于個(gè)體的策略陳述也總是依賴于一個(gè)暗含的或清晰的缺省策略。這類策略遵循最小特權(quán)原則。訪問控制策略基于身份的安全策略基于組的策略基于組的策略是允許一組用戶對一個(gè)目標(biāo)具有同樣的訪問許可讀4寫2執(zhí)行

1

其他組用戶基于規(guī)則的安全策略所有數(shù)據(jù)和資源以及用戶都標(biāo)注了安全標(biāo)記；系統(tǒng)通過比較用戶的安全級別和客體資源的安全級別，判斷是否允許用戶進(jìn)行訪問基于規(guī)則的安全策略等同于

強(qiáng)制安全策略基于規(guī)則的策略分為多級策

略和基于間隔的策略基于規(guī)則的安全策略多級策略自動控制執(zhí)行，用于保護(hù)數(shù)據(jù)的非法泄露，和數(shù)據(jù)的完整性多級策略分配給每個(gè)目標(biāo)—個(gè)密級，每個(gè)用戶從相同的層次中分配一個(gè)等級。目標(biāo)的分配反映了它的敏感性,用戶的分配反映了它的可信程度基于規(guī)則的安全策略多級策略規(guī)則下讀上寫：保證信息機(jī)密性上讀下寫：保證信息完整性只寫只讀讀寫基于規(guī)則的安全策略基于間隔的策略目標(biāo)集合關(guān)聯(lián)于安全間隔或安全類別，通過它們來分離其他目標(biāo)用戶需要給一個(gè)間隔分配一個(gè)不同的等級，以便能訪問該間隔中的目標(biāo)在一個(gè)間隔中的訪問可能受控于特殊的規(guī)則實(shí)際應(yīng)用Part4單機(jī)讀4寫2執(zhí)行

1

其他組用戶Linux文件系統(tǒng)權(quán)限控制計(jì)算機(jī)網(wǎng)絡(luò)模型計(jì)算機(jī)網(wǎng)絡(luò)模型網(wǎng)絡(luò)協(xié)議http等

報(bào)文

tcp/udp端口

報(bào)文段

分組、路由ip地址

數(shù)據(jù)報(bào)

交換MAC地址

幀

物理信號光纜、電纜、雙絞線、無線電波應(yīng)用層WebAPP的攔截器Spring提供HandlerInterceptor接口實(shí)現(xiàn)攔截器

基于角色進(jìn)行訪問控制傳輸層針對端口進(jìn)行訪問控制

1.HTTP協(xié)議常用端口號：802.FTP（文件傳輸）協(xié)議常用端口號：20、213.Telnet（遠(yuǎn)程登錄）協(xié)議常用端口號：234.SSH（安全登錄）默認(rèn)的端口號為22

路由器的擴(kuò)展ACL（AccessControlList）可以檢查源地址和目標(biāo)地址，特定的協(xié)議，端口號：

ipaccess-groupACL編號

{in|out}網(wǎng)絡(luò)層針對IP進(jìn)行訪問控制

access-list1permit9access-list2deny955denyallipaccess-groupACL編號

{in|out}access-list1deny9access-list101denytcp5555eq21denyall網(wǎng)絡(luò)層經(jīng)理部門/8員工部門/8財(cái)務(wù)部門/8外網(wǎng)/241.員工部門不可訪問外網(wǎng)2.經(jīng)理部門的服務(wù)器不接受財(cái)務(wù)與員工部門的http請求ADCBEFG員工部門不可訪問外網(wǎng)，訪問控制列表需要