訪問控制與防火墻教學(xué)課件

第八講訪問控制與防火墻概述■訪問控制的目的訪問控制是在主體身份得到認證后,根據(jù)安全策略對主體行為進行限制的機制和手段;是在保障授權(quán)用戶能獲取資源的同時拒絕非授權(quán)用戶的安全機制;訪問控制存在于操作系統(tǒng),數(shù)據(jù)庫,Web等各個層面。■訪問控制三要素客體:系統(tǒng)控制的資源,如,文件、硬件接口等主體:某個用戶、用戶執(zhí)行的程序和服務(wù),它產(chǎn)生對客體的訪問或操作。主體和客體是相對的,主體也可能成為客體。授權(quán):規(guī)定主體對該資源執(zhí)行的動作(如讀、寫、執(zhí)行、從屬權(quán)(own)或拒絕訪問等)概述■訪問控制與其他安全措施的關(guān)系模型全管理杈效據(jù)用廣引用M控器身份臉另系統(tǒng)資源的訪問權(quán)限存放在授權(quán)數(shù)據(jù)庫中;依據(jù)授權(quán)數(shù)據(jù)庫的規(guī)則,確定是否允許訪問操作參考監(jiān)視器(ReferenceMonitor)監(jiān)視用戶對系統(tǒng)資源訪問的行為;可以查詢授權(quán)數(shù)據(jù)庫,確定是否接受訪問請求;記錄有關(guān)活動,供以后審計審計作為一種安全機制,它在主體訪問客體的整個過程中都發(fā)揮著作用,為安全分析提供了有利的證據(jù)支持。它貫穿于身份認證、訪問控制的前前后后。同時,身份認證、訪問控制為審計的正確性提供保障。它們之間是互為制約、相互促進的概述訪問控制與網(wǎng)絡(luò)安全屬性的關(guān)系訪問控制對機密性、完整性起直接的作用。對于可用性,訪問控制通過對以下信息的有效控制來實現(xiàn)1)誰可以頒發(fā)影響網(wǎng)絡(luò)可用性的網(wǎng)絡(luò)管理指令2)誰能夠濫用資源以達到占用資源的目的3)誰能夠獲得可以用于拒絕服務(wù)攻擊的信息概述■網(wǎng)絡(luò)訪問控制的種類、入網(wǎng)訪問控制●控制哪些用戶能登錄到服務(wù)器并獲取網(wǎng)絡(luò)資源,控制用戶入網(wǎng)時間,在哪臺工作站入網(wǎng)?！裼脩舻娜刖W(wǎng)訪問控制可分為三個步驟:用戶名的識別與驗證用戶口令的識別與驗證、用戶帳號的缺省限制檢查?！袢笔∠拗茩z査:如網(wǎng)絡(luò)應(yīng)能控制用戶登錄入網(wǎng)的站點、限制用戶入網(wǎng)的時間、限制用戶入網(wǎng)的工作站數(shù)量概述2、網(wǎng)絡(luò)的權(quán)限控制●用戶和用戶組被賦予一定的權(quán)限:網(wǎng)絡(luò)控制用戶和用戶組可以訪問哪些目錄、子目錄、文件和其他資源?？梢灾付ㄓ脩魧@些文件、目錄、設(shè)備能夠執(zhí)行哪些操作?！袷芡姓咧概珊屠^承權(quán)限屏蔽(IRM)可作為其兩種實現(xiàn)方式。受托者指派控制用戶和用戶組如何使用網(wǎng)絡(luò)服務(wù)器的目錄、文件和設(shè)備。繼承權(quán)限屏蔽相當于一個過濾器,可以限制子目錄從父目錄那里繼承哪些權(quán)限。一、概述3、目錄級安全控制網(wǎng)絡(luò)應(yīng)允許控制用戶對目錄、文件、設(shè)備的訪問。對目錄和文件的訪問權(quán)限一般有八種:系統(tǒng)管理員權(quán)限(Supervisor)、讀權(quán)限(Read)、寫權(quán)限(Write)、創(chuàng)建權(quán)限(reate)、刪除權(quán)限(Erase)、修改權(quán)限(Modify)、文件查找權(quán)限(Filescan)、存取控制權(quán)限(AccessControl)4、屬性安全控制網(wǎng)絡(luò)系統(tǒng)管理員應(yīng)給文件、目錄和網(wǎng)絡(luò)設(shè)備等網(wǎng)絡(luò)資源指定訪問屬性。屬性安全控制在權(quán)限安全的基礎(chǔ)上提供更進一步的安全性。網(wǎng)絡(luò)上的資源都應(yīng)預(yù)先標出一組安全屬性。用戶對網(wǎng)絡(luò)資源的訪問權(quán)限對應(yīng)一張訪問控制表,用以表明用戶對網(wǎng)絡(luò)資源的訪問能力。屬性設(shè)置可以覆蓋已經(jīng)指定的任何受托者指派和有效權(quán)限。概述5、網(wǎng)絡(luò)服務(wù)器安全控制網(wǎng)絡(luò)服務(wù)器的安全控制包括可以設(shè)置口令鎖定服務(wù)器控制臺,以防止非法用戶修改、刪除重要信息或破壞數(shù)據(jù);可以設(shè)定服務(wù)器登錄時間限制、非法訪問者檢測和關(guān)閉的時間間隔6、網(wǎng)絡(luò)監(jiān)測和鎖定控制網(wǎng)絡(luò)管理員應(yīng)對網(wǎng)絡(luò)實施監(jiān)控,服務(wù)器應(yīng)記錄用戶對網(wǎng)絡(luò)資源的訪問,對非法的網(wǎng)絡(luò)訪問,服務(wù)器應(yīng)以圖形或文字或聲音等形式報警,以引起網(wǎng)絡(luò)管理員的注意。如果不法之徒試圖進入網(wǎng)絡(luò),網(wǎng)絡(luò)服務(wù)器應(yīng)會自動記錄企圖嘗試進入網(wǎng)絡(luò)的次數(shù),如果非法訪問的次數(shù)達到設(shè)定數(shù)值,那么該帳戶將被自動鎖定。概述7、網(wǎng)絡(luò)端口和節(jié)點的安全控制網(wǎng)絡(luò)中服務(wù)器的端口往往使用自動回呼設(shè)備、靜默調(diào)制解調(diào)器加以保護,并以加密的形式來識別節(jié)點的身份。自動回呼設(shè)備用于防止假冒合法用戶,靜默調(diào)制解調(diào)器用以防范黑客的自動撥號程序?qū)τ嬎銠C進行攻擊。網(wǎng)絡(luò)還常對服務(wù)器端和用戶端采取控制,用戶必須攜帶證實身份的驗證器(如智能、磁卡、安全密碼發(fā)生器)。在對用戶的身份進行驗證之后,才允許用戶進入用戶端。然后,用戶端和服務(wù)器端再進行相互驗證。8、防火墻控制防火墻是近期發(fā)展起來的一種保護計算機網(wǎng)絡(luò)安全的技術(shù)性措施,在網(wǎng)絡(luò)邊界上通過建立起來的相應(yīng)網(wǎng)絡(luò)通信監(jiān)控系統(tǒng)來隔離內(nèi)部和外部網(wǎng)絡(luò),以阻檔外部網(wǎng)絡(luò)的侵入。訪問控制策略與機制>訪問控制策略(AccessControlPolicy)訪問控制策略在系統(tǒng)安全策略級上表示授權(quán)。具體而言,決定對訪問如何控制,并決定如何訪問。自主訪問控制(DAC,DiscretionaryAccessControl),基于身份的訪問控制(IdentityBasedAccessContro1)強制訪問控制MAC,