专业信息安全工程师网站|培训机构|服务商(2019信息安全工程师学习QQ群:327677606,客服QQ:270019001)

软题库 培训课程
当前位置:信管网 >> 信息安全工程师 >> 综合知识 >> 文章内容
访问控制策略和机制-信息安全工程师知识点
来源:信管网  2019年01月28日  【信管网:信息安全工程师专业网站所有评论

信息安全工程师知识点:访问控制策略和机制

访问控制涉及到三个基本概念,即主体、客体和授权访问。

主体:一个主动的实体,该实体造成了信息的流动和系统状态的改变,它包括商户、用户组、终端、主机或一个应用,主体可议访问客体。

客体:指一个包含或接受信息的被动实体,对客体的访问要受控。它可以是一个宇节、字段、记录、程序、文件,或者是一个处理器、存储器、网络节点等。

授权访问:指主体访问客体的允许,授权访问对每一对主体和客体来说是给定的,决定了谁能够访问系统,能访问系统的何种资源以及如何使用这些资源。例如,授权访问有读写、执行,读写客体是直接进行的,而执行是搜索文件、执行文件。对用户的授权访问是由系统的安全策略决定的。

在计算机系统中,访问控制包括以下三个任务:授权,即确定可给予哪些主体存取客体的权力;确定存取权限(读、写、执行、删除、追加等存取方式的组合)实施存取权限。

在一个访问控制系统中,区别主体与客体很重要。首先由主体发起访问客体的操作,该操作根据系统的授权或被允许或被拒绝。另外,主体与客体的关系是相对的,当一个主体受到另一主体的访问,成为访问目标时,该主体便成为了客体。

访问控制的目的是为了限制访问主体对访问客体的访问权限,从而使计算机系统在合法范围内使用;它决定用户能做什么,也决定代表一定用户身份的进程能做什么。

访问控制策略是用于规定如何做出访问决定的策略。传统的访问控制策略包括一组由操作规则定义的基本操作状态。典型的状态包含一组主体(S)、一组对象(O)、一组访问权(A[S ,O]),包括读、写、执行和拥有。

访问控制策略涵盖对象、主体和操作,通过对访问者的控制达到保护重要资源的目的。对象包括终端、文本和文件,系统用户和程序被定义为主体。操作是主体和客体的交互。访问控制模型除了提供机密性和完整性外,还提供记账性。记账性是通过审计访问记录实现的,访问记录包括主体访问了什么客体和进行了什么操作。访问控制一般包括三种类型:自主访问控制、强制访问控制和基于角色的访问控制。

各种访问控制策略之间并不相互排斥,现存计算机系统中通常都是多种访问控制策略并存,系统管理员能够对安全策略进仔配置使其达到安全政策的要求。

访问控制机制是为检测和防止系统中的未经授权访问,对资源予以保护所采取的软硬件措施和一系列管理措施等。访问控制一般是在操作系统的控制下,按照事先确定的规则决定是否允许主体访问客体,它贯穿于系统工作的全过程,是在文件系统中广泛应用的安全防护方法。

访问控制矩阵(Access Control Matrix)是最初实现访问控制机制的概念模型,它利用二维矩阵规定了任意主体和任意客体间的访问权眼。矩辞中的行代表主体的访问权限属性,矩阵中的列代表客体的访问权限属性,矩阵中的每一格表示所在行的主体对所在列的客体的访问授权,如图4-1所示。访问控制的任务就是确保系统的操作是按照访问控制矩阵授权的访问来执行的,它是通过引用监控器协调客体对主体的每次访问而实现,这种方法清晰地实现认证与访问控制的相互分离。

在较大的系统中,访问控制矩阵将变得非常巨大,而且矩阵中的许多格可能都为空,造成很大的存储空间浪费,因此在实际应用小,访问控制很少科用矩辞方式实现。实际上,访问矩阵通常是稀疏的,可以按行或按列分解之。

访问控制表(Access Control Lists)

权能表(Capabilities Lists)

前缀表(Profiles)

保护位(Protection Bits)




分享到: 新浪微博 腾讯朋友 收藏本页
发表评论  查看完整评论  

相关内容

推荐文章
合作网站内容