信息安全訪問控制

1、信息安全-訪-問控制概述身份認證：識別“用戶是誰”的問題訪問控制：管理用戶對資源的訪問訪問控制的基本組成元素：主體(Subject):是指提出訪問請求的實體、動作的發(fā)起者，但不一定是動作的執(zhí)行者?！翱腕w(Object):是指可以接受主體訪問的被動實體。凡是可以被操作的信息、資源、對象都可以被認為是客體。訪問控制策略(AccessControlPolicy):主體對客體的操作行為和約束條件的關聯(lián)集合，是主體對客體的訪問規(guī)則集合。(決定主體是否可以對客體實施特定的操作)訪問控制模型自主訪問控制DAC(Discretionaryaccessocontroi)模型“允許合法用戶以用戶或用戶組的身份來訪

2、問系統(tǒng)控制策略許可的客體，同時阻止非授權用戶訪問客體。“某些用戶還可以自主地把自己所擁有的客體的訪問權限授予其它用戶。強制訪問控制MAC“多級訪問控制策略“系統(tǒng)事先給訪問主體和受控客體分配不同的安全級別屬性“在實施訪問控制時，系統(tǒng)先對訪問主體和受控客體的安全級別屬性進行比較，再決定主體能否訪問該受控客體。3.0基于角色的訪問控制RBACRole角色：隔離User與Privilege,作為用戶和權限的代理層。RBAC模型的基本思想是將訪問權限分配給一定的角色，用戶通過飾演不同的角色獲得角色所擁有的許可訪問權。4.指定訪問策略的基本原則最小特權原則：按照主體所需權力的最小原則分配權力。(防止誤操作

3、)最小泄露原則：主體執(zhí)行任務時，按照主體所需要知道的信息的最小化原則分配訪問權限。多級安全策略：主體和客體間的數(shù)據(jù)流方向必須受到安全等級的約束。(避免敏感信息擴散)Windows系統(tǒng)的安全管理1.Windows系統(tǒng)安全體系結構Windows系統(tǒng)的安全性主要圍繞安全主體展開，保護其安全性。安全主體主要包括用戶、組、計算機以及域等。SecurityPolicy安全覽珞計lCccsjCcnird訪問控制Enciyption加密2.Windows系統(tǒng)的訪問控制UserAulhemitiion用戶認證UserAiUtinticatKin用戶認證訪問控制模塊的組成：訪問令牌(AccessToken)和安全描述符(SecurityDescriptor),分別被訪問者和被訪問者持有。訪問控制的基本控制單元“賬戶”。每個賬戶或賬戶組都有一個安全標識符SID。訪問令牌與特定的賬戶相關聯(lián)，包含賬戶的SID、所屬組的SID以及賬戶的特權信息?；顒幽夸浥c組策略活動目錄AD(ActiveDirectory)是一個面向網(wǎng)絡對象管理的綜合目錄服務?！熬W(wǎng)絡對象包括用戶、用戶組、計算機、打印機等?！癆D提供得事各種網(wǎng)絡對象的索引將分散的網(wǎng)絡對象有效的組織起來組策略是依據(jù)特定的用戶或計算機的安全需求定制的安全配置規(guī)則。管理員針對每個組織單元OU定制不同的組策略，并將這些組策略存儲在活動目錄的相關數(shù)據(jù)庫內(nèi)，可以強