第6章接入控制與數(shù)據(jù)庫加密

第6章接入控制與數(shù)據(jù)庫加密本章內(nèi)容：6.1接入控制6.2數(shù)據(jù)庫加密16.1接入控制接入或訪問控制---

是保證網(wǎng)絡安全的重要手段，它通過一組機制控制不同級別的主體對目標資源的不同授權(quán)訪問，在對主體認證之后實施網(wǎng)絡資源安全管理使用。計算機系統(tǒng)中有三類入侵者(如黑客Hacker或破門而入者Cracker)：

偽裝者(Masquerader)。非法用戶，喬裝合法用戶滲透進入系統(tǒng)。一般來自系統(tǒng)外部。

違法者(Misfeasor)。合法用戶，他非法訪問未授權(quán)數(shù)據(jù)、程序或資源。一般來自系統(tǒng)內(nèi)部。

地下用戶(Clandestineuser)。掌握了系統(tǒng)的管理控制，并利用它來逃避審計和接入控制或抑制審計作用的人?？赡芟到y(tǒng)外部、內(nèi)部都有。26.1.1接入控制的功能

接入控制功能：①阻止非法用戶進入系統(tǒng)；②允許合法用戶進入系統(tǒng)；③使合法人按其權(quán)限，進行各種信息活動。

接入控制機構(gòu)的組成：①用戶的認證與識別；②對認證的用戶進行授權(quán)。

信息系統(tǒng)入口監(jiān)控器控制策略受保護客體(信息、資源)主體s1

s2………sm接入控制機制3建立接入控制機構(gòu)的主要根據(jù)：

主體(Subjects)，是對目標進行訪問的實體。它可以是用戶、用戶組、終端、主機或一個應用程序。

客體(Objects)，是一個可接受訪問和受控的實體。它可以是一個數(shù)據(jù)文件，一個程序組或一個數(shù)據(jù)庫。

接入權(quán)限，表示主體對客體訪問時可擁有的權(quán)利，接入權(quán)要按每一對主體客體分別限定。權(quán)利包括讀、寫、執(zhí)行等讀、寫權(quán)含義明確，而執(zhí)行權(quán)是指目標為一個程序時它對文件的查找和執(zhí)行。

4接入控制策略最小權(quán)益策略：按主體執(zhí)行任務所需權(quán)利最小化分配權(quán)力；

最小泄露策略：按主體執(zhí)行任務所知道的信息最小化的原則分配權(quán)力；

多級安全策略：主體和客體按普通、秘密、機密、絕密級劃分，進行權(quán)限和流向控制。5接入控制實現(xiàn)方式

（1）自主式(Disretionary)接入控制，也稱辨別接入控制，簡記為DAC，它由資源擁有者分配接入權(quán)，在辨別各用戶的基礎(chǔ)上實現(xiàn)接入控制。每個用戶的接入權(quán)由數(shù)據(jù)的擁有者來建立，常以接入控制表或權(quán)限表實現(xiàn)。這一方法靈活，便于用戶訪問數(shù)據(jù)，在安全性要求不高的用戶之間分享一般數(shù)據(jù)時可采用。如果用戶疏于利用保護機構(gòu)時，會危及資源安全，DAC易受到攻擊。

(2)

強制式(Mandatory)接入控制，簡記為MAC。它由系統(tǒng)管理員來分配接入權(quán)限和實施控制，易于與網(wǎng)絡的安全策略協(xié)調(diào)，常用敏感標記實現(xiàn)多級安全控制。由于它易于在所有用戶和資源中實施強化的安全策略，因而受到重視。為了給用戶提供足夠的靈活性，可以將DAC和MAC組合在一起來實現(xiàn)接入控制。66.2數(shù)據(jù)庫加密技術(shù)6.2.1數(shù)據(jù)加密必要性P95數(shù)據(jù)加密的作用：解決外部黑客侵入網(wǎng)絡后盜竊計算機數(shù)據(jù)的問題解決外部黑客侵入網(wǎng)絡后篡改數(shù)據(jù)的問題解決內(nèi)部黑客在內(nèi)部網(wǎng)上盜竊計算機數(shù)據(jù)的問題解決內(nèi)部黑客在內(nèi)部網(wǎng)上篡改數(shù)據(jù)的問題解決cpu、操作系統(tǒng)等預先安置了黑客軟件或無線發(fā)射裝置的問題76.2.2數(shù)據(jù)加密方法對數(shù)據(jù)庫的加密方法：使用加密軟件加密數(shù)據(jù)使用專用軟件加密數(shù)據(jù)庫數(shù)據(jù)加密橋技術(shù)概念目標優(yōu)點82009年1月10.為數(shù)據(jù)庫加密字段的存儲、檢索、索引、運算、刪除、修改等功能的實現(xiàn)提供接口的技術(shù)是()A.數(shù)字簽名 B.消息摘要C.雙密鑰機制 D.加密橋技術(shù)11.下列不屬于Internet的接入控制技術(shù)主要對付的入侵者是()