第6章接入控制與數據庫加密本章內容：6.1接入控制6.2數據庫加密16.1接入控制接入或訪問控制---

是保證網絡安全的重要手段，它通過一組機制控制不同級別的主體對目標資源的不同授權訪問，在對主體認證之后實施網絡資源安全管理使用。計算機系統中有三類入侵者(如黑客Hacker或破門而入者Cracker)：

偽裝者(Masquerader)。非法用戶，喬裝合法用戶滲透進入系統。一般來自系統外部。

違法者(Misfeasor)。合法用戶，他非法訪問未授權數據、程序或資源。一般來自系統內部。

地下用戶(Clandestineuser)。掌握了系統的管理控制，并利用它來逃避審計和接入控制或抑制審計作用的人。可能系統外部、內部都有。26.1.1接入控制的功能

接入控制功能：①阻止非法用戶進入系統；②允許合法用戶進入系統；③使合法人按其權限，進行各種信息活動。

接入控制機構的組成：①用戶的認證與識別；②對認證的用戶進行授權。

信息系統入口監控器控制策略受保護客體(信息、資源)主體s1

s2………sm接入控制機制3建立接入控制機構的主要根據：

主體(Subjects)，是對目標進行訪問的實體。它可以是用戶、用戶組、終端、主機或一個應用程序。

客體(Objects)，是一個可接受訪問和受控的實體。它可以是一個數據文件，一個程序組或一個數據庫。

接入權限，表示主體對客體訪問時可擁有的權利，接入權要按每一對主體客體分別限定。權利包括讀、寫、執行等讀、寫權含義明確，而執行權是指目標為一個程序時它對文件的查找和執行。

4接入控制策略最小權益策略：按主體執行任務所需權利最小化分配權力；

最小泄露策略：按主體執行任務所知道的信息最小化的原則分配權力；

多級安全策略：主體和客體按普通、秘密、機密、絕密級劃分，進行權限和流向控制。5接入控制實現方式

（1）自主式(Disretionary)接入控制，也稱辨別接入控制，簡記為DAC，它由資源擁有者分配接入權，在辨別各用戶的基礎上實現接入控制。每個用戶的接入權由數據的擁有者來建立，常以接入控制表或權限表實現。這一方法靈活，便于用戶訪問數據，在安全性要求不高的用戶之間分享一般數據時可采用。如果用戶疏于利用保護機構時，會危及資源安全，DAC易受到攻擊。

(2)

強制式(Mandatory)接入控制，簡記為MAC。它由系統管理員來分配接入權限和實施控制，易于與網絡的安全策略協調，常用敏感標記實現多級安全控制。由于它易于在所有用戶和資源中實施強化的安全策略，因而受到重視。為了給用戶提供足夠的靈活性，可以將DAC和MAC組合在一起來實現接入控制。66.2數據庫加密技術6.2.1數據加密必要性P95數據加密的作用：解決外部黑客侵入網絡后盜竊計算機數據的問題解決外部黑客侵入網絡后篡改數據的問題解決內部黑客在內部網上盜竊計算機數據的問題解決內部黑客在內部網上篡改數據的問題解決cpu、操作系統等預先安置了黑客軟件或無線發射裝置的問題76.2.2數據加密方法對數據庫的加密方法：使用加密軟件加密數據使用專用軟件加密數據庫數據加密橋技術概念目標優點82009年1月10.為數據庫加密字段的存儲、檢索、索引、運算、刪除、修改等功能的實現提供接口的技術是()A.數字簽名 B.消息摘要C.雙密鑰機制 D.加密橋技術11.下列不屬于Internet的接入控制技術主要對付的入侵者是()