2023學年完整公開課版訪問控制

訪問控制什么是訪問控制0102類型機制Content目錄03安全策略01

什么是訪問控制什么是訪問控制訪問控制（AccessControl）指系統(tǒng)對用戶身份及其所屬的預(yù)先定義的策略組限制其使用數(shù)據(jù)資源能力的手段。限制訪問主體對客體的訪問，從而保障數(shù)據(jù)資源在合法范圍內(nèi)得以有效使用和管理訪問控制是系統(tǒng)保密性、完整性、可用性和合法使用性的重要基礎(chǔ)訪問控制是網(wǎng)絡(luò)安全防范和資源保護的關(guān)鍵策略之一訪問控制是主體依據(jù)某些控制策略或權(quán)限對客體本身或其資源進行的不同授權(quán)訪問訪問控制的定義通常用于系統(tǒng)管理員控制用戶對服務(wù)器、目錄、文件等網(wǎng)絡(luò)資源的訪問訪問控制的主要目的訪問控制特征為了達到上述目的，訪問控制需要完成兩個任務(wù)識別和確認訪問系統(tǒng)的用戶決定該用戶可以對某一系統(tǒng)資源進行何種類型的訪問訪問控制要素是指提出訪問資源具體請求。是某一操作動作的發(fā)起者，但不一定是動作的執(zhí)行者，可能是某一用戶，也可以是用戶啟動的進程、服務(wù)和設(shè)備等。主體S（Subject）是指被訪問資源的實體。所有可以被操作的信息、資源、對象都可以是客體?？腕w可以是信息、文件、記錄等集合體，也可以是網(wǎng)絡(luò)上硬件設(shè)施、無限通信中的終端，甚至可以包含另外一個客體?？腕wO（Object）控制策略A（Attribution）是主體對客體的相關(guān)訪問規(guī)則集合，即屬性集合。訪問策略體現(xiàn)了一種授權(quán)行為，也是客體對主體某些操作行為的默認。訪問控制三要素02

類型機制類型機制訪問控制可以分為兩個層次物理訪問控制如符合標準規(guī)定的用戶、設(shè)備、門、鎖和安全環(huán)境等方面的要求自主訪問控制（DAC）基于角色訪問控制（RBAC）強制訪問控制（MAC）主要的訪問控制類型有3種模式物理訪問控制邏輯訪問控制對銀行、證券等重要金融機構(gòu)的網(wǎng)站，信息安全重點關(guān)注的是二者兼顧，物理訪問控制則主要由其他類型的安全部門負責邏輯訪問控制則是在數(shù)據(jù)、應(yīng)用、系統(tǒng)、網(wǎng)絡(luò)和權(quán)限等層面進行實現(xiàn)的03

安全策略基于身份和規(guī)則的安全策略，授權(quán)行為是建立身份安全策略和規(guī)則安全策略的基礎(chǔ)綜合訪問控制策略（HAC）繼承和吸取了多種主流訪問控制技術(shù)的優(yōu)點，有效地解決了信息安全領(lǐng)域的訪問控制問題，保護了數(shù)據(jù)的保密性和完整性，保證授權(quán)主體能訪問客體和拒絕非授權(quán)訪問所有數(shù)據(jù)和資源都標注了安全標記，用戶的活動進程與其原發(fā)者具有相同的安全標記。系統(tǒng)通過比較用戶的安全級別和客體資源的安全級別，判斷是否允許用戶進行訪問安全策略訪問控制的安全策略是指在某個自治區(qū)域內(nèi)（屬于某個組織的一系列處理和通信資源范疇），用于所有與安全相關(guān)活動的一套訪問控制規(guī)則。由此安全區(qū)域中的安全權(quán)力機構(gòu)建立，并由此安全控制機構(gòu)來描述和實現(xiàn)訪問控制的安全策略有三種類型安全策略定義綜合訪問控制方式基于規(guī)則的安全策略基于身份的安全