第三章數(shù)據(jù)訪問(wèn)控制劉曉梅1內(nèi)容目錄訪問(wèn)控制基本概念訪問(wèn)控制步驟與應(yīng)用訪問(wèn)控制模型訪問(wèn)控制技術(shù)訪問(wèn)控制層次控制的分類(lèi)訪問(wèn)控制的管理訪問(wèn)控制實(shí)踐訪問(wèn)控制的威脅2訪問(wèn)控制介紹

訪問(wèn)控制是可以幫助系統(tǒng)管理員直接或者間接可控地對(duì)系統(tǒng)行為、使用和內(nèi)容實(shí)施控制的機(jī)制的集合。管理員可以根據(jù)訪問(wèn)控制定義用戶(hù)可以訪問(wèn)哪些資源，可以進(jìn)行哪些操作。通常，訪問(wèn)控制批準(zhǔn)或者限制任何對(duì)資源的訪問(wèn)，監(jiān)控和記錄訪問(wèn)企圖，識(shí)別訪問(wèn)用戶(hù)，并且確定其訪問(wèn)是否得到授權(quán)的硬件/軟件/策略。3訪問(wèn)控制概念訪問(wèn)控制：針對(duì)越權(quán)使用資源的防御措施目標(biāo)：防止對(duì)任何資源（如計(jì)算資源、通信資源或信息資源）進(jìn)行未授權(quán)的訪問(wèn)，從而使資源在授權(quán)范圍內(nèi)使用，決定用戶(hù)能做什么，也決定代表一定用戶(hù)利益的程序能做什么。未授權(quán)訪問(wèn)：包括未經(jīng)授權(quán)的使用、泄露、修改、銷(xiāo)毀信息以及頒發(fā)指令等。非法用戶(hù)對(duì)系統(tǒng)資源的使用合法用戶(hù)對(duì)系統(tǒng)資源的非法使用作用：機(jī)密性、完整性、和可用性4訪問(wèn)控制概念訪問(wèn)是存在主體和客體之間的信息流訪問(wèn)控制是可以幫助系統(tǒng)管理員直接或者間接可控地對(duì)系統(tǒng)行為、使用和內(nèi)容實(shí)施控制的機(jī)制的集合。主體：訪問(wèn)者（用戶(hù)、程序、進(jìn)程、文件、計(jì)算機(jī)）客體：訪問(wèn)對(duì)象（程序、進(jìn)程、文件、計(jì)算機(jī)、數(shù)據(jù)庫(kù)、打印機(jī)、存儲(chǔ)介質(zhì)）操作：控制主體對(duì)客體的訪問(wèn)權(quán)限（read,write,excute）和訪問(wèn)方式5訪問(wèn)控制概念信息分級(jí)定義評(píng)估組織的信息資產(chǎn)的風(fēng)險(xiǎn)等級(jí)，保障信息資產(chǎn)確實(shí)得到適當(dāng)?shù)陌踩Ｗo(hù)。原因?qū)λ械男畔①Y產(chǎn)實(shí)施同一級(jí)別的安全保護(hù)不但可能會(huì)導(dǎo)致資源的浪費(fèi)，而且會(huì)導(dǎo)致某些資產(chǎn)過(guò)保護(hù)而某些資產(chǎn)則保護(hù)力度不足。信息分級(jí)的好處極大提升組織的安全意識(shí)；關(guān)鍵信息被識(shí)別出來(lái)，同時(shí)得到更好的保護(hù)；對(duì)敏感信息的處理有了更清晰的指導(dǎo)；建立了資產(chǎn)的所有關(guān)系以及管理員和用戶(hù)的關(guān)系；減少非敏感信息存儲(chǔ)的開(kāi)銷(xiāo)。6訪問(wèn)控制概念信息分級(jí)價(jià)值（value）價(jià)值是最通常的數(shù)據(jù)分類(lèi)標(biāo)準(zhǔn)，如果信息對(duì)一個(gè)組織或者其競(jìng)爭(zhēng)對(duì)手有價(jià)值，就需要分類(lèi)。壽命（age）隨著時(shí)間的推移，信息價(jià)值會(huì)降低，其分類(lèi)也會(huì)降低。例如，政府部門(mén)，某些分類(lèi)檔案會(huì)在預(yù)定的時(shí)間期限過(guò)后自動(dòng)解除分類(lèi)。使用期（usefullife）如果由于新信息的替代、公司發(fā)生的真實(shí)變化或者其他原因，信息過(guò)時(shí)了，可以對(duì)其解除分類(lèi)。人員關(guān)聯(lián)（personnelassociation）如果信息與特定個(gè)人相關(guān)，或者法律（如隱私法）、規(guī)章和責(zé)任要求中指出的，需要分類(lèi)。例如，如果調(diào)查信息揭示了調(diào)查者的名字，就需要保留分類(lèi)。7訪問(wèn)控制概念信息分級(jí)所有者（owner）通常是管理層的一員，對(duì)信息的保護(hù)和使用負(fù)有最終的責(zé)任；負(fù)有“適度關(guān)注（duecare）”責(zé)任，保障信息得到合適的安全控制；決定信息的安全級(jí)別；指派管理員數(shù)據(jù)日常保護(hù)以及維護(hù)的職責(zé)。管理者（custodian）負(fù)責(zé)數(shù)據(jù)的日常保護(hù)和維護(hù)；通常由IT人員擔(dān)當(dāng)；負(fù)有“適度勤勉（duediligence）”責(zé)任；日產(chǎn)工作包括周期的備份、恢復(fù)以及驗(yàn)證數(shù)據(jù)的完整性。用戶(hù)（user）在相關(guān)工作中使用數(shù)據(jù)的任何人。8內(nèi)容目錄訪問(wèn)控制基本概念訪問(wèn)控制步驟與應(yīng)用訪問(wèn)控制模型訪問(wèn)控制技術(shù)訪問(wèn)控制層次控制的分類(lèi)訪問(wèn)控制的管理訪問(wèn)控制實(shí)踐訪問(wèn)控制的威脅9訪問(wèn)控制的步驟1、Identification：宣稱(chēng)用戶(hù)的身份確定用戶(hù)：確定用戶(hù)是管理資源的第一步；標(biāo)示誰(shuí)有訪問(wèn)權(quán)限；訪問(wèn)權(quán)限與用戶(hù)的需要和信任的級(jí)別。2、Authentication：驗(yàn)證用戶(hù)的身份確定資源：資源可是信息、應(yīng)用、服務(wù)、打印機(jī)、存儲(chǔ)處理以及任何信息資產(chǎn)；確定資源的CIA。3、Authorization：指定使用確定用戶(hù)的級(jí)別或者是控制級(jí)別；確定用戶(hù)許可的操作。4、Accountability：可追溯性/責(zé)任確定員工對(duì)其行為應(yīng)該承擔(dān)的責(zé)任，記錄了用戶(hù)所做的以及時(shí)間。10身份識(shí)別唯一身份（uniqueidentity）的宣稱(chēng)；應(yīng)用訪問(wèn)控制關(guān)鍵的第一步；是可追溯性（accountability）的前提；有關(guān)身份的三個(gè)最佳安全實(shí)踐：唯一性：在一個(gè)控制環(huán)境中的獨(dú)一無(wú)二的身份；非描述性的：身份標(biāo)識(shí)應(yīng)當(dāng)不暴露用戶(hù)的工作角色；發(fā)布：發(fā)布身份信息的過(guò)程必須是安全和存檔的；身份標(biāo)識(shí)的一般形式UserNameUserIDAccountNumberPersonalIdentificationNumber(PIN)11身份管理身份管理概述（identitymanagement）在管理不同用戶(hù)和技術(shù)的環(huán)境中，提高效率的一系列技術(shù)的集合；在企業(yè)中，身份管理涉及員工身份（identity）、驗(yàn)證（authentication）、授權(quán)（authorization）、保護(hù)（protection）和管理（manegement）;身份管理面臨的挑戰(zhàn)（challenges）一致性（consistent）:輸入不同系統(tǒng)的用戶(hù)數(shù)據(jù)應(yīng)當(dāng)保持一致；效率（efficiency）:更好的選擇是一個(gè)用戶(hù)名可以訪問(wèn)多個(gè)系統(tǒng)；可用性（usability）：對(duì)用戶(hù)而言，多個(gè)系統(tǒng)、多個(gè)用戶(hù)名和多密碼可能是個(gè)較大的負(fù)擔(dān)；可靠性（Reliability）:用戶(hù)個(gè)人數(shù)據(jù)必須是可靠的；12身份管理身份管理技術(shù)目錄（directories）包含分層的對(duì)象，存儲(chǔ)了有關(guān)用戶(hù)（user）、組（group）、系統(tǒng)、服務(wù)器、打印機(jī)等相關(guān)信息；Web訪問(wèn)管理典型的方式是在web服務(wù)器前端使用插件；密碼管理（passwordmanagement）遺留的單點(diǎn)登錄（legacysinglesignon）提供一個(gè)用戶(hù)身份的集中存儲(chǔ)，用戶(hù)登錄通過(guò)一次驗(yàn)證，然后可以訪問(wèn)其他系統(tǒng)而不需要反復(fù)驗(yàn)證；賬號(hào)管理（accountmanagement）用戶(hù)賬號(hào)的創(chuàng)建（creation）、更改（change）、以及撤銷(xiāo)（decommission）；賬戶(hù)管理是訪問(wèn)控制最需要投入財(cái)力和時(shí)間的且有很大潛在風(fēng)險(xiǎn)的一個(gè)環(huán)節(jié)。Profileupdate:用戶(hù)身份信息更新13身份管理目錄技術(shù)目錄服務(wù)目錄服務(wù)就是按照樹(shù)狀信息組織模式，實(shí)現(xiàn)信息管理和服務(wù)接口的一種方法。目錄服務(wù)系統(tǒng)一般由兩部分組成。第一部分是數(shù)據(jù)庫(kù)，一種分布式的數(shù)據(jù)庫(kù)，且擁有一個(gè)描述數(shù)據(jù)的規(guī)劃；第二部分則是訪問(wèn)和處理數(shù)據(jù)庫(kù)有關(guān)的詳細(xì)的訪問(wèn)協(xié)議。典型的方式是在web服務(wù)器前端使用插件；目錄服務(wù)與關(guān)系數(shù)據(jù)庫(kù)的區(qū)別目錄不支持批量更新所需要的事務(wù)處理功能，目錄一般只執(zhí)行簡(jiǎn)單的更新操作，適合于進(jìn)行大量的數(shù)據(jù)的檢索；目錄具有廣泛復(fù)制信息的能力，從而在縮短響應(yīng)時(shí)間的同時(shí)，提高了可用性和可靠性。14身份管理Web協(xié)議（即HTTP）是一個(gè)無(wú)狀態(tài)的協(xié)議瀏覽器和服務(wù)器之間有約定：通過(guò)使用cookie技術(shù)來(lái)維護(hù)應(yīng)用的狀態(tài)Web-SSO完全可以利用Cookie結(jié)束來(lái)完成用戶(hù)登錄信息的保存，將瀏覽器中的Cookie和上文中的Ticket結(jié)合起來(lái)，完成SSO的功能瀏覽器Webserver申請(qǐng)頁(yè)面1返回頁(yè)面1申請(qǐng)頁(yè)面2返回頁(yè)面2瀏覽器Webserver申請(qǐng)頁(yè)面1返回頁(yè)面1，并設(shè)置cookie申請(qǐng)頁(yè)面2，并帶上cookie返回頁(yè)面215鑒別驗(yàn)證（validate）用戶(hù)宣稱(chēng)其身份有效的過(guò)程（process）；驗(yàn)證的類(lèi)型消息驗(yàn)證——一個(gè)人所知道的（whatoneknows）;所有關(guān)系驗(yàn)證——一個(gè)人所擁有的（whatonehas）;生物特征驗(yàn)證——一個(gè)人是什么或者做了什么（whatoneisordoes）.雙因素驗(yàn)證（twofactorsauthentication）以上任何兩種因素結(jié)合；如：ATMCard+PIN，token,Creditcard+signature三因素驗(yàn)證（threefactorsauthentication）Includingallthreefactors16鑒別密碼最常用的驗(yàn)證方式也是最脆弱的方式；類(lèi)型：靜態(tài)密碼動(dòng)態(tài)密碼（dynamicpwd）：周期變更，one-time-password;Passphrase：比密碼更長(zhǎng)，通常是個(gè)虛擬密碼；認(rèn)知密碼：基于個(gè)人事實(shí)，興趣以及個(gè)人相關(guān)的其他方面；密碼驗(yàn)證存在的問(wèn)題容易攻擊：字典攻擊（dictionaryattack）是可行攻擊方式；不便利：組織通常給用戶(hù)發(fā)布計(jì)算機(jī)產(chǎn)生的密碼，往往這些密碼難以記憶；可否認(rèn)性（repudiable）:不像一個(gè)手寫(xiě)的簽名，如果一個(gè)交易的完成僅僅是依靠一個(gè)密碼，那么沒(méi)有任何實(shí)際的證據(jù)表明是某個(gè)用戶(hù)完成的。17鑒別生物技術(shù)什么是生物技術(shù)Biometricsisthescienceofmeasuringandanalyzingbiologicalinformation.生物技術(shù)是度量（measures）和分析生物信息的科學(xué)。為什么使用生物技術(shù)唯一性(Unique)高級(jí)別的安全Moreadvantages:remember(whatoneknows);carriage(whatonehas);with(whatoneis)如何工作的注冊(cè)（enrollment）例行工作（routinework）18鑒別生物技術(shù)身份標(biāo)識(shí)（identification）使用個(gè)人可度量的生物特征（measurablephysicalcharacteristics）來(lái)證明他的身份；在許多可能的主體中標(biāo)識(shí)出一個(gè)特定的主體；完成一個(gè)是一對(duì)多（onetomany）的匹配。驗(yàn)證（authentication）鑒別身份是生物技術(shù)最主要的應(yīng)用；通過(guò)人的生物特征（biometricstraits）來(lái)驗(yàn)證；完成一個(gè)一對(duì)一（onetoone）的匹配。阻止欺詐（Fraudprevetion）是生物技術(shù)的另一個(gè)運(yùn)用19鑒別生物技術(shù)遺傳特性面部識(shí)別DNA匹配手型聲音辨認(rèn)Randotypictraits指紋眼睛掃描血脈模式行為特征簽名分析擊鍵動(dòng)作20鑒別生物技術(shù)度量對(duì)生物系統(tǒng)的準(zhǔn)確性（accuracy）或敏感度（sensitivity）的調(diào)整將導(dǎo)致兩類(lèi)錯(cuò)誤：第一類(lèi)錯(cuò)誤（假陽(yáng)性，falsepositive）當(dāng)精確度提高后，一些合法用戶(hù)將錯(cuò)誤的拒絕；錯(cuò)誤拒絕率，錯(cuò)誤拒絕率越低，生物鑒別系統(tǒng)越好。第二類(lèi)錯(cuò)誤（假陰性，falsenegative）當(dāng)精確性降低時(shí)，那么一些非法的用戶(hù)將

可能會(huì)被錯(cuò)誤接受；錯(cuò)誤接受率，錯(cuò)誤接受率越低，生物鑒別

系統(tǒng)越好。生物系統(tǒng)的度量錯(cuò)誤交叉率（CER，crossequalrate），相

當(dāng)錯(cuò)誤率（EER,equalerrorrate）錯(cuò)誤交叉率越低，那么生物系統(tǒng)的性能越好FARFRRSensitivity%CER21鑒別生物技術(shù)度量?jī)?yōu)化生物技術(shù)（optimalCER）其他方面的考慮對(duì)偽造的抵制數(shù)據(jù)存儲(chǔ)需求用戶(hù)可接受度可用性和精確性22鑒別令牌令牌設(shè)備是常見(jiàn)的一次性密碼（One-TimePassword,OTP）實(shí)現(xiàn)機(jī)制，為用戶(hù)生成向身份驗(yàn)證服務(wù)器提交的一次性密碼。令牌設(shè)備與用戶(hù)訪問(wèn)的計(jì)算機(jī)分離，它與身份驗(yàn)證服務(wù)器以某種方式同步，從而對(duì)用戶(hù)進(jìn)行身份驗(yàn)證。同步模式基于時(shí)間同步基于計(jì)數(shù)器同步異步模式23鑒別令牌操作模式基于時(shí)間同步模式圖1圖224鑒別令牌操作模式異步模式挑戰(zhàn)/響應(yīng)

(1)工作站上顯示挑戰(zhàn)值

（2）用戶(hù)將挑戰(zhàn)值輸入令牌設(shè)備

（3）令牌設(shè)備向用戶(hù)提供一個(gè)不同的值

（4）用戶(hù)將新值和PIN輸入工作站

（5）新值發(fā)送至服務(wù)器上的身份驗(yàn)證服務(wù)

（6）身份驗(yàn)證服務(wù)期望特定值

（7）用戶(hù)通過(guò)身份驗(yàn)證并被允許訪問(wèn)工作站

.5.25應(yīng)用單點(diǎn)登錄（singlesignon）一旦驗(yàn)證通過(guò)就可以訪問(wèn)其他網(wǎng)絡(luò)資源；Kerberos一種網(wǎng)絡(luò)驗(yàn)證協(xié)議（networkauthenticationprotocol）,由MIT的雅典娜項(xiàng)目開(kāi)發(fā)；SESAMESecureEuropeanSystemforApplicationsinaMulti-VendorsEnvironment;解決Kerboros的一些缺點(diǎn)；安全域（securitydomain）在共享統(tǒng)一的安全策略和管理的領(lǐng)域（realm）之間建立信任；訪問(wèn)主客體以及相關(guān)操作事先定義好的；26應(yīng)用單點(diǎn)登錄（singlesignon）單點(diǎn)登錄技術(shù)使用戶(hù)輸入一次憑證就能夠訪問(wèn)指定域內(nèi)的所有預(yù)授權(quán)資源。實(shí)施更健壯的密碼策略27應(yīng)用單點(diǎn)登錄實(shí)現(xiàn)LoginScripts登陸腳本腳本里面包含用戶(hù)名、口令、環(huán)境參數(shù)、登錄命令的批處理文件或者腳本KerberosSESAME(SecureEuropeanSystemforApplicationsinaMulti-VendorsEnvironment)瘦客戶(hù)機(jī)目錄服務(wù)，如LDAP、DNS、ActiveDirectory28應(yīng)用KerberosKerberos鑒別系統(tǒng)MIT設(shè)計(jì)，Athena工程的一部分，名字來(lái)源于希臘神話，一只名叫Kerberos的三頭狗，是地獄的門(mén)衛(wèi)，Currentlyinversion5鑒別和密鑰分發(fā)兩個(gè)目的對(duì)主機(jī)上的多種服務(wù)提供不可偽造的證書(shū)，以識(shí)別單個(gè)用戶(hù)每個(gè)用戶(hù)和每個(gè)服務(wù)都與Kerberos密鑰分發(fā)中心共享一個(gè)密鑰，這些密鑰作為分發(fā)會(huì)話密鑰的主密鑰，也作為KDC的證據(jù)，保證包含在報(bào)文中的信息的正確性能夠解決的問(wèn)題身份認(rèn)證（Authentication），數(shù)據(jù)完整性（Integrity），保密性（Confidentiality）在使用Kerberos之前，必須和服務(wù)器互換秘密密鑰（secretkey）,當(dāng)你連接到系統(tǒng)，告訴服務(wù)器你的用戶(hù)ID，服務(wù)器會(huì)返回一個(gè)經(jīng)過(guò)加密的票據(jù)（ticket）。如果你的身份無(wú)誤，你自然知道密鑰并解密票據(jù)，最終你會(huì)取得信息的訪問(wèn)權(quán)，否則你的訪問(wèn)請(qǐng)求會(huì)遭到拒絕。29應(yīng)用Kerberos組成KDC（KeyDistributionCenter）保存所有用戶(hù)及服務(wù)的key，提供認(rèn)證服務(wù)和key交換功能，client和service信任KDC，這種信任是Kerberos安全的基礎(chǔ)。AS（AuthenticationService）是KDC的一部分，負(fù)責(zé)認(rèn)證PrincipalTGS（TicketGrantingService）也是KDC的一部分，負(fù)責(zé)生成ticket并處理之（授權(quán)）Ticket一個(gè)記錄，客戶(hù)可以用它來(lái)向服務(wù)器證明自己的身份，其中包括客戶(hù)的標(biāo)識(shí)、會(huì)話密鑰、時(shí)間戳，以及其他一些信息。Ticket中的大多數(shù)信息都被加密。Principal主體，由KDC提供安全服務(wù)的實(shí)體，可能是用戶(hù)、應(yīng)用程序或services30應(yīng)用Kerberos組成兩種票據(jù)票據(jù)許可票據(jù)（Ticketgrantingticket）客戶(hù)訪問(wèn)TGS服務(wù)器需要提供的票據(jù)，目的是為了申請(qǐng)某一個(gè)應(yīng)用服務(wù)器的“服務(wù)許可票據(jù)”；票據(jù)許可票據(jù)由AS發(fā)放；服務(wù)許可票據(jù)（Servicegrantingticket）是客戶(hù)時(shí)需要提供的票據(jù)；31應(yīng)用Kerberos通信過(guò)程（1）用戶(hù)向AS進(jìn)行身份驗(yàn)證（2）AS向用戶(hù)發(fā)送初始票證TGT（3）用戶(hù)請(qǐng)求訪問(wèn)文件服務(wù)器（4）TGS使用會(huì)話密鑰創(chuàng)建新的票證，兩個(gè)實(shí)例（5）用戶(hù)提取一個(gè)會(huì)話密鑰，并將票證發(fā)送至文件服務(wù)器用戶(hù)委托人KDCASTGS（1）（2）（3）（4）文件服務(wù)器委托人（5）32應(yīng)用Kerberos總結(jié)在KDC上用戶(hù)必須有一個(gè)賬號(hào)KDC必須是一個(gè)受信任的服務(wù)器KDC與每一個(gè)用戶(hù)共享DES密鑰當(dāng)用戶(hù)訪問(wèn)主機(jī)或者應(yīng)用時(shí)，必須向KDC申請(qǐng)票據(jù)用戶(hù)向應(yīng)用提供票據(jù)和身份驗(yàn)證33應(yīng)用Kerberos弱點(diǎn)KDC可以是一個(gè)單一故障點(diǎn)KDC必須能夠?qū)崟r(shí)處理接受到的大量請(qǐng)求Kerberos要求客戶(hù)端和服務(wù)器的時(shí)鐘同步秘密密鑰、會(huì)話密鑰存放在用戶(hù)工作站中，容易受到攻擊（DES）34內(nèi)容目錄訪問(wèn)控制基本概念訪問(wèn)控制步驟與應(yīng)用訪問(wèn)控制模型訪問(wèn)控制技術(shù)訪問(wèn)控制層次控制的分類(lèi)訪問(wèn)控制的管理訪問(wèn)控制實(shí)踐訪問(wèn)控制的威脅35訪問(wèn)控制模型介紹自主訪問(wèn)控制（DAC,DiscretionaryAccessControl）訪問(wèn)是基于用戶(hù)的授權(quán)對(duì)象的屬主創(chuàng)建或授予其他用戶(hù)訪問(wèn)的權(quán)利主要應(yīng)用是把保護(hù)數(shù)據(jù)同非授權(quán)用戶(hù)分離依靠對(duì)象屬主（owner）來(lái)控制訪問(wèn)桔皮書(shū)：C-levelUsedbyUnix,NT,NetWare,Linux,VINES等DAC類(lèi)型：Identity-base：基于用戶(hù)和資源標(biāo)識(shí)User-directed：直接面向用戶(hù)進(jìn)行限制36訪問(wèn)控制模型介紹Identity-baseAC身份型訪問(wèn)控制基于對(duì)象標(biāo)識(shí)標(biāo)識(shí)既可以是用戶(hù)又可以是組成員數(shù)據(jù)所有者可以選擇允許Bob（用戶(hù)）和Accounting組（組成員）訪問(wèn)他的文件37訪問(wèn)控制模型介紹強(qiáng)制訪問(wèn)控制（MAC，Mandatory

access

control）一般來(lái)說(shuō)，比DAC更安全指定每個(gè)客體的敏感標(biāo)簽，同時(shí)只允許那些不低于客體標(biāo)簽等級(jí)的用戶(hù)訪問(wèn)只有管理員才能更改客體級(jí)別，而不是客體的屬主桔皮書(shū)：B-level使用在安全要求比較高的場(chǎng)所，如軍隊(duì)里強(qiáng)制訪問(wèn)控制難以配置和實(shí)施38訪問(wèn)控制模型介紹強(qiáng)制訪問(wèn)控制MACSecurityPolicy:Public:僅能訪問(wèn)PublicLevelOfficers:能訪問(wèn)Officers和PublicLevelExecutive：能訪問(wèn)Public、fficers和ExecutiveLevelUser：JohnSubjectLevel：OfficersUser：AmySubjectLevel：PublicUser：MarySubjectLevel：ExecutiveReports.docSensitivityLevel：Officers39訪問(wèn)控制模型介紹基于角色訪問(wèn)控制（RBAC，Role-BasedAccessControl）使用集中（central）的訪問(wèn)控制來(lái)決定主體和客體之間的交互；允許對(duì)資源的訪問(wèn)是建立在用戶(hù)所持的角色的基礎(chǔ)上的；管理員給用戶(hù)分配較色同時(shí)給角色賦予一定權(quán)限，比如訪問(wèn)控制是以工作職責(zé)為基礎(chǔ)的；控制機(jī)制：用戶(hù)具有某個(gè)角色、賦予角色某些權(quán)限40訪問(wèn)控制模型介紹基于角色訪問(wèn)控制（RBAC）職責(zé)分離（separateofduty）主要目的是防止欺詐和錯(cuò)誤；對(duì)于某一特定操作在多個(gè)用戶(hù)細(xì)分工作任務(wù)和相關(guān)的權(quán)限；建立檢查-平衡機(jī)制（check-balancemechanism）,相互監(jiān)督工作輪換，雙重控制(dualcontrol)，雙人操作(two-mancontrol)，強(qiáng)制休假(mandatoryvacation)最小特權(quán)(leastprivilege)要求用戶(hù)或進(jìn)程被給予不超過(guò)其工作需要的額外的操作權(quán)限識(shí)別用戶(hù)的工作職責(zé)，以及完成該工作所需的最小權(quán)限集Need-to-know41訪問(wèn)控制模型介紹基于角色訪問(wèn)控制（RBAC）靜態(tài)和動(dòng)態(tài)靜態(tài)職責(zé)分離相對(duì)簡(jiǎn)單，是由單個(gè)的工作角色以及指派給用戶(hù)的一些特定的角色的元素來(lái)決定；動(dòng)態(tài)職責(zé)分離比較復(fù)雜，在系統(tǒng)的操作過(guò)程中決定。適用性必須考慮兩大不同因素：職能的敏感性和工作處理流程的分發(fā)特性評(píng)估指定處理的重要性以及同企業(yè)安全風(fēng)險(xiǎn)、操作和信息資產(chǎn)的關(guān)系；分發(fā)元素識(shí)別元素，重要性和嚴(yán)重程度可操作性用戶(hù)技能和可用性42訪問(wèn)控制模型介紹核心RBAC用戶(hù)、角色、權(quán)限應(yīng)根據(jù)安全策略進(jìn)行定義和對(duì)應(yīng)用戶(hù)和角色是一對(duì)多的關(guān)系用戶(hù)可以屬于多個(gè)組，并擁有每個(gè)組所享有的各種特權(quán)43訪問(wèn)控制模型介紹層次化RBAC該模型對(duì)應(yīng)特定環(huán)境中的組織機(jī)構(gòu)和功能描述。各種業(yè)務(wù)已經(jīng)建立在一個(gè)人員層次化結(jié)構(gòu)中，所以該組件非常有用。行政管理系統(tǒng)中的位置越高，所擁有的訪問(wèn)權(quán)限就越多。44訪問(wèn)控制模型介紹訪問(wèn)控制模型總結(jié)：DAC：數(shù)據(jù)所有者決定誰(shuí)能訪問(wèn)資源，ACL用于實(shí)施安全策略MAC：操作系統(tǒng)通過(guò)使用安全標(biāo)簽來(lái)實(shí)施系統(tǒng)的安全策略RBAC：訪問(wèn)決策基于主體的角色或功能位置45內(nèi)容目錄訪問(wèn)控制基本概念訪問(wèn)控制步驟與應(yīng)用訪問(wèn)控制模型訪問(wèn)控制技術(shù)訪問(wèn)控制層次控制的分類(lèi)訪問(wèn)控制的管理訪問(wèn)控制實(shí)踐訪問(wèn)控制的威脅46訪問(wèn)控制技術(shù)介紹基于規(guī)則的訪問(wèn)控制使用特定規(guī)則來(lái)規(guī)定主體和客體之間可以做什么，不可以做什么系統(tǒng)管理員為用戶(hù)創(chuàng)建規(guī)則指定權(quán)限基于以下規(guī)則：IfXthenY創(chuàng)建一套規(guī)則，用戶(hù)在訪問(wèn)系統(tǒng)前都要先檢測(cè)規(guī)則是一種強(qiáng)制型控制，規(guī)則由管理員制定，用戶(hù)不能更改典型應(yīng)用：路由器、包過(guò)濾防火墻、代理47訪問(wèn)控制技術(shù)介紹限制接口例：menusandshells、databaseviews、physicallyconstrainedinterfaces基于內(nèi)容的訪問(wèn)控制對(duì)客體的訪問(wèn)基于客體的內(nèi)容基于上下文的訪問(wèn)控制基于一組信息的上下文做出訪問(wèn)決策48訪問(wèn)控制技術(shù)介紹訪問(wèn)控制矩陣(AccessControlMatrix)訪問(wèn)能力表(CapabilityTables)訪問(wèn)控制列表（AccessControlLists）目標(biāo)用戶(hù)目標(biāo)x目標(biāo)y目標(biāo)z用戶(hù)aR、W、OwnR、W、Own用戶(hù)bR、W、Own用戶(hù)cRR、W用戶(hù)dRR、W49內(nèi)容目錄訪問(wèn)控制基本概念訪問(wèn)控制步驟與應(yīng)用訪問(wèn)控制模型訪問(wèn)控制技術(shù)訪問(wèn)控制層次控制的分類(lèi)訪問(wèn)控制的管理訪問(wèn)控制實(shí)踐訪問(wèn)控制的威脅50訪問(wèn)控制層次訪問(wèn)控制列表需要用戶(hù)名和密碼進(jìn)行身份驗(yàn)證入侵檢測(cè)系統(tǒng)周邊安全51內(nèi)容目錄訪問(wèn)控制基本概念訪問(wèn)控制步驟與應(yīng)用訪問(wèn)控制模型訪問(wèn)控制技術(shù)訪問(wèn)控制層次控制的分類(lèi)訪問(wèn)控制的管理訪問(wèn)控制實(shí)踐訪問(wèn)控制的威脅52控制分類(lèi)介紹管理性的（administrative）描述了控制系統(tǒng)所有的行為、策略和管理；定義了管理控制環(huán)境的角色、責(zé)任、策略以及管理職能。技術(shù)的（technical）落實(shí)安全策略的應(yīng)用在所有基礎(chǔ)設(shè)施和系統(tǒng)上的各種機(jī)制；在控制被應(yīng)用以及驗(yàn)證的控制環(huán)境中的電子控制手段。物理的（physical）非技術(shù)性的環(huán)境，涉及廣泛的控制范圍，從門(mén)禁、環(huán)境控制窗口、建設(shè)標(biāo)準(zhǔn)以及門(mén)衛(wèi)等。53控制分類(lèi)介紹預(yù)防性的（preventative）阻止未授權(quán)行為，預(yù)防安全事件的發(fā)生；例：柵欄、安全策略、安全意識(shí)（securityawareness）、反病毒、身份識(shí)別、鑒別；威懾性的（deterrent）阻礙安全事件發(fā)生；例：潛在的處罰、身份識(shí)別、監(jiān)視和審計(jì)（monitoringandauditing）;檢測(cè)性的（detective）識(shí)別正在發(fā)生的安全事件（securityevents）例：門(mén)衛(wèi)（guard）、事件調(diào)查（incidentsinbestigation）、入侵檢測(cè)（IDS）糾正性的（corrective）改善環(huán)境/減少損失和恢復(fù)控制；恢復(fù)性的（recovery）恢復(fù)到正常的狀態(tài)補(bǔ)償性的（compensating）54內(nèi)容目錄訪問(wèn)控制基本概念訪問(wèn)控制步驟與應(yīng)用訪問(wèn)控制模型訪問(wèn)控制技術(shù)訪問(wèn)控制層次控制的分類(lèi)訪問(wèn)控制的管理訪問(wèn)控制實(shí)踐訪問(wèn)控制的威脅55訪問(wèn)控制集中管理訪問(wèn)控制集中管理集中式訪問(wèn)控制所有的授權(quán)和校驗(yàn)工作集中在單一實(shí)體或位置上優(yōu)點(diǎn)嚴(yán)格控制，統(tǒng)一訪問(wèn)，高效方便缺點(diǎn)中心負(fù)載，單點(diǎn)故障例子RADIUS（RemoteAuthenticationDial-inUserService）-centralizedserverforsinglepointofnetworkauthenticationTACACS(TerminalAccessControllerAccessControlSystem)-centralizeddatabasewithaccountsthatauthorizesdatarequests56訪問(wèn)控制集中管理RADIUS遠(yuǎn)程撥入用戶(hù)認(rèn)證服務(wù)認(rèn)證服務(wù)器/動(dòng)態(tài)密碼提供密碼管理功能可以實(shí)現(xiàn)認(rèn)證、授權(quán)、日志57訪問(wèn)控制集中管理TACACSTerminalAccessControllerAccessControlSystem與RADIUS一樣，包含集中數(shù)據(jù)庫(kù)，在服務(wù)器端驗(yàn)證用戶(hù)使網(wǎng)絡(luò)設(shè)備能夠根據(jù)用戶(hù)名和靜態(tài)密碼認(rèn)證用戶(hù)實(shí)現(xiàn)3A，認(rèn)證、授權(quán)和審計(jì)三個(gè)版本TACACS:網(wǎng)絡(luò)設(shè)備查詢(xún)服務(wù)器驗(yàn)證密碼ExtendedTACACS（XTACACS）TACACS+增加了（動(dòng)態(tài)密碼）通過(guò)安全令牌實(shí)現(xiàn)雙因素認(rèn)證

58訪問(wèn)控制集中管理TACACS59訪問(wèn)控制集中管理RADIUSTACACS+數(shù)據(jù)包傳輸U(kuò)DPTCP數(shù)據(jù)包加密僅加密在RADIUS客戶(hù)端與RADIUS服務(wù)器之間傳送的認(rèn)證信息加密客戶(hù)端與服務(wù)器之間的所有流量AAA支持組合身份驗(yàn)證和授權(quán)服務(wù)使用AAA體系結(jié)構(gòu)，分離身份驗(yàn)證、授權(quán)和審計(jì)多協(xié)議支持在PPP連接上工作支持其他協(xié)議，如AppleTalk、NetBIOS和IPX響應(yīng)在對(duì)某位用戶(hù)進(jìn)行身份驗(yàn)證時(shí)使用挑戰(zhàn)/響應(yīng)；它適用于所有AAA活動(dòng)對(duì)每個(gè)AAA進(jìn)程都使用多挑戰(zhàn)響應(yīng)；每個(gè)AAA活動(dòng)都必須進(jìn)行身份驗(yàn)證60

訪問(wèn)控制分散管理

訪問(wèn)控制分散管理分散的訪問(wèn)控制資源所有者決定訪問(wèn)控制優(yōu)點(diǎn)：根據(jù)用戶(hù)授權(quán)，不存在單點(diǎn)缺點(diǎn)：缺乏一致性61內(nèi)容目錄訪問(wèn)控制基本概念訪問(wèn)控制步驟與應(yīng)用訪問(wèn)控制模型訪問(wèn)控制技術(shù)訪問(wèn)控制層次控制的分類(lèi)訪問(wèn)控制的管理訪問(wèn)控制實(shí)踐訪問(wèn)控制的威脅62訪問(wèn)控制實(shí)踐拒絕未知用戶(hù)或匿名賬戶(hù)對(duì)系統(tǒng)的訪問(wèn)限制和監(jiān)控管理員以及其他高級(jí)賬戶(hù)的使用在登陸嘗試失敗次數(shù)達(dá)到特定值后掛起或延遲訪問(wèn)功能用戶(hù)一離開(kāi)公司，就立刻刪除他的賬戶(hù)實(shí)施“知其所需”和最小特權(quán)原則禁止不必要的系統(tǒng)功能、服務(wù)和端口更換為賬戶(hù)設(shè)置的默認(rèn)密碼限制和監(jiān)控全局訪問(wèn)規(guī)則確保登錄ID不是對(duì)工作職能的描述從資源訪問(wèn)列表中刪除多余的用戶(hù)ID、賬戶(hù)和角色型賬戶(hù)實(shí)現(xiàn)密碼需求（長(zhǎng)度、內(nèi)容、生命期、分發(fā)、存儲(chǔ)和傳輸）。63內(nèi)容目錄訪問(wèn)控制基本概念訪問(wèn)控制步驟與應(yīng)用訪問(wèn)控制模型訪問(wèn)控制技術(shù)訪問(wèn)控制層次控制的分類(lèi)訪問(wèn)控制的管理訪問(wèn)控制實(shí)踐訪問(wèn)控制的威脅64訪問(wèn)控制的威脅針對(duì)訪問(wèn)控制的攻擊Bruteforce暴力攻擊應(yīng)對(duì)措施：增加登陸時(shí)間間隔，鎖定用戶(hù)，限制登陸失敗IP等字典攻擊應(yīng)對(duì)措施：使用一次性密碼令牌、使用非常難以猜測(cè)的密碼、頻繁更換密碼、使用字典破譯工具來(lái)查找用戶(hù)選定的弱密碼、在密碼內(nèi)使用特殊的字符、數(shù)字以及大小寫(xiě)字母等拒絕服務(wù)攻