當前位置:首頁 » 密碼管理 » 訪問控制策略

訪問控制策略

發布時間: 2022-01-14 23:09:48

A. 訪問控制技術的概念原理

訪問控制(Access Control)指系統對用戶身份及其所屬的預先定義的策略組限制其使用數據資源能力的手段。通常用於系統管理員控制用戶對伺服器、目錄、文件等網路資源的訪問。訪問控制是系統保密性、完整性、可用性和合法使用性的重要基礎,是網路安全防範和資源保護的關鍵策略之一,也是主體依據某些控制策略或許可權對客體本身或其資源進行的不同授權訪問。
訪問控制的主要目的是限制訪問主體對客體的訪問,從而保障數據資源在合法范圍內得以有效使用和管理。為了達到上述目的,訪問控制需要完成兩個任務:識別和確認訪問系統的用戶、決定該用戶可以對某一系統資源進行何種類型的訪問。
訪問控制包括三個要素:主體、客體和控制策略。
(1)主體S(Subject)。是指提出訪問資源具體請求。是某一操作動作的發起者,但不一定是動作的執行者,可能是某一用戶,也可以是用戶啟動的進程、服務和設備等。
(2)客體O(Object)。是指被訪問資源的實體。所有可以被操作的信息、資源、對象都可以是客體。客體可以是信息、文件、記錄等集合體,也可以是網路上硬體設施、無限通信中的終端,甚至可以包含另外一個客體。
(3)控制策略A(Attribution)。是主體對客體的相關訪問規則集合,即屬性集合。訪問策略體現了一種授權行為,也是客體對主體某些操作行為的默認。 訪問控制的主要功能包括:保證合法用戶訪問受權保護的網路資源,防止非法的主體進入受保護的網路資源,或防止合法用戶對受保護的網路資源進行非授權的訪問。訪問控制首先需要對用戶身份的合法性進行驗證,同時利用控制策略進行選用和管理工作。當用戶身份和訪問許可權驗證之後,還需要對越權操作進行監控。因此,訪問控制的內容包括認證、控制策略實現和安全審計,其功能及原理如圖1所示。
(1)認證。包括主體對客體的識別及客體對主體的檢驗確認。
(2)控制策略。通過合理地設定控制規則集合,確保用戶對信息資源在授權范圍內的合法使用。既要確保授權用戶的合理使用,又要防止非法用戶侵權進入系統,使重要信息資源泄露。同時對合法用戶,也不能越權行使許可權以外的功能及訪問范圍。
(3)安全審計。系統可以自動根據用戶的訪問許可權,對計算機網路環境下的有關活動或行為進行系統的、獨立的檢查驗證,並做出相應評價與審計。 圖1 訪問控制功能及原理

B. 操作系統安全訪問控制策略有哪些內容

訪問類型,文件共享,電腦管理,桌面管理,很多很多,策略可以讓你限制電腦的一切,只不過是復雜了一點而已,現在外面的那些管理軟體只不過是把這些功能統一了一下

C. 訪問控制和用戶策略有什麼區別

訪問控制系統內訪問控制採用的主要技術是「委託監控」。它的原理是把進行存取的實體,如用戶、進程、批作業等作為主體;把被訪問的對象,如文件、數據、程序、磁碟等作為客體。主體對客體的訪問,必須通過委託監控器(也稱安全控製程序)根據安全規則進行檢查、核實。它從用戶識別、用戶驗證、系統資源的使用限制和特權、文件的存取保護等幾個方面,為系統提供安全的訪問控制功能。按用戶身份及其所歸屬的某項定義組來限制用戶對某些信息項的訪問,或限制對某些控制功能的使用。訪問控制通常用於系統管理員控制用戶對伺服器、目錄、文件等網路資源的訪問。

組策略和用戶策略 一個是系統配置,一個是個性化配置。 開始菜單->運行->輸入「gpedit.msc」->確定。是管理員為用戶和計算機定義並控製程序、網路資源及操作系統行為的主要工具。通過使用組策略可以設置各種軟體、計算機和用戶策略。
Windows中的一個MMC管理單元的形式存在,可以幫助系統管理員針對整個計算機或是特定
組策略界面圖。用戶來設置多種配置,包括桌面配置和安全配置。譬如,可以為特定用戶或用戶組定製可用的程序、桌面上的內容,以及「開始」菜單選項等,也可以在整個計算機范圍內創建特殊的桌面配置。簡而言之,組策略是Windows中的一套系統更改和配置管理工具的集合。

D. 什麼事訪問控制訪問控制包括哪幾個要素

訪問控制是幾乎所有系統(包括計算機系統和非計算機系統)都需要用到的一種技術。訪問控制是按用戶身份及其所歸屬的某項定義組來限制用戶對某些信息項的訪問,或限制對某些控制功能的使用的一種技術。

訪問控制包括伺服器、目錄、文件等。訪問控制是給出一套方法,將系統中的所有功能標識出來,組織起來,託管起來,將所有的數據組織起來標識出來託管起來, 然後提供一個簡單的唯一的介面,這個介面的一端是應用系統一端是許可權引擎。

(4)訪問控制策略擴展閱讀

實現機制:訪問控制的實現機制建立訪問控制模型和實現訪問控制都是抽象和復雜的行為,實現訪問的控制不僅要保證授權用戶使用的許可權與其所擁有的許可權對應,制止非授權用戶的非授權行為;還要保證敏感信息的交叉感染。

為了便於討論這一問題,我們以文件的訪問控制為例對訪問控制的實現做具體說明。通常用戶訪問信息資源(文件或是資料庫),可能的行為有讀、寫和管理。為方便起見,我們用Read或是R表示讀操作,Write或是W表示寫操作,Own或是O表示管理操作。

E. 下面不屬於訪問控制策略的是____。

這個怎麼沒有選項啊?訪問控制有很多種,最早的是自主訪問控制和強制訪問控制,結合了他們的各自特點後就有了基於角色的訪問控制。現在很多都是基於角色的訪問控制,還有基於對像訪問控制,基於工作流的訪問控制,還有新型訪問控制使用訪問控制。網路下就好多答案。

F. 訪問控制技術的安全策略

訪問控制的安全策略是指在某個自治區域內(屬於某個組織的一系列處理和通信資源范疇),用於所有與安全相關活動的一套訪問控制規則。由此安全區域中的安全權力機構建立,並由此安全控制機構來描述和實現。訪問控制的安全策略有三種類型:基於身份的安全策略、基於規則的安全策略和綜合訪問控制方式。 訪問控制安全策略原則集中在主體、客體和安全控制規則集三者之間的關系。
(1)最小特權原則。在主體執行操作時,按照主體所需權利的最小化原則分配給主體權力。優點是最大限度地限制了主體實施授權行為,可避免來自突發事件、操作錯誤和未授權主體等意外情況的危險。為了達到一定目的,主體必須執行一定操作,但只能做被允許的操作,其他操作除外。這是抑制特洛伊木馬和實現可靠程序的基本措施。
(2)最小泄露原則。主體執行任務時,按其所需最小信息分配許可權,以防泄密。
(3)多級安全策略。主體和客體之間的數據流向和許可權控制,按照安全級別的絕密(TS)、秘密(S)、機密(C)、限制(RS)和無級別(U)5級來劃分。其優點是避免敏感信息擴散。具有安全級別的信息資源,只有高於安全級別的主體才可訪問。
在訪問控制實現方面,實現的安全策略包括8個方面:入網訪問控制、網路許可權限制、目錄級安全控制、屬性安全控制、網路伺服器安全控制、網路監測和鎖定控制、網路埠和節點的安全控制和防火牆控制。 授權行為是建立身份安全策略和規則安全策略的基礎,兩種安全策略為:
1)基於身份的安全策略
主要是過濾主體對數據或資源的訪問。只有通過認證的主體才可以正常使用客體的資源。這種安全策略包括基於個人的安全策略和基於組的安全策略。
(1)基於個人的安全策略。是以用戶個人為中心建立的策略,主要由一些控制列表組成。這些列表針對特定的客體,限定了不同用戶所能實現的不同安全策略的操作行為。
(2)基於組的安全策略。基於個人策略的發展與擴充,主要指系統對一些用戶使用同樣的訪問控制規則,訪問同樣的客體。
2)基於規則的安全策略
在基於規則的安全策略系統中,所有數據和資源都標注了安全標記,用戶的活動進程與其原發者具有相同的安全標記。系統通過比較用戶的安全級別和客體資源的安全級別,判斷是否允許用戶進行訪問。這種安全策略一般具有依賴性與敏感性。 綜合訪問控制策略(HAC)繼承和吸取了多種主流訪問控制技術的優點,有效地解決了信息安全領域的訪問控制問題,保護了數據的保密性和完整性,保證授權主體能訪問客體和拒絕非授權訪問。HAC具有良好的靈活性、可維護性、可管理性、更細粒度的訪問控制性和更高的安全性,為信息系統設計人員和開發人員提供了訪問控制安全功能的解決方案。綜合訪問控制策略主要包括:
1)入網訪問控制
入網訪問控制是網路訪問的第一層訪問控制。對用戶可規定所能登入到的伺服器及獲取的網路資源,控制准許用戶入網的時間和登入入網的工作站點。用戶的入網訪問控制分為用戶名和口令的識別與驗證、用戶賬號的默認限制檢查。該用戶若有任何一個環節檢查未通過,就無法登入網路進行訪問。
2)網路的許可權控制
網路的許可權控制是防止網路非法操作而採取的一種安全保護措施。用戶對網路資源的訪問許可權通常用一個訪問控制列表來描述。
從用戶的角度,網路的許可權控制可分為以下3類用戶:
(1)特殊用戶。具有系統管理許可權的系統管理員等。
(2)一般用戶。系統管理員根據實際需要而分配到一定操作許可權的用戶。
(3)審計用戶。專門負責審計網路的安全控制與資源使用情況的人員。
3)目錄級安全控制
目錄級安全控制主要是為了控制用戶對目錄、文件和設備的訪問,或指定對目錄下的子目錄和文件的使用許可權。用戶在目錄一級制定的許可權對所有目錄下的文件仍然有效,還可進一步指定子目錄的許可權。在網路和操作系統中,常見的目錄和文件訪問許可權有:系統管理員許可權(Supervisor)、讀許可權(Read)、寫許可權(Write)、創建許可權(Create)、刪除許可權(Erase)、修改許可權(Modify)、文件查找許可權(File Scan)、控制許可權(Access Control)等。一個網路系統管理員應為用戶分配適當的訪問許可權,以控制用戶對伺服器資源的訪問,進一步強化網路和伺服器的安全。
4)屬性安全控制
屬性安全控制可將特定的屬性與網路伺服器的文件及目錄網路設備相關聯。在許可權安全的基礎上,對屬性安全提供更進一步的安全控制。網路上的資源都應先標示其安全屬性,將用戶對應網路資源的訪問許可權存入訪問控制列表中,記錄用戶對網路資源的訪問能力,以便進行訪問控制。
屬性配置的許可權包括:向某個文件寫數據、復制一個文件、刪除目錄或文件、查看目錄和文件、執行文件、隱含文件、共享、系統屬性等。安全屬性可以保護重要的目錄和文件,防止用戶越權對目錄和文件的查看、刪除和修改等。
5)網路伺服器安全控制
網路伺服器安全控制允許通過伺服器控制台執行的安全控制操作包括:用戶利用控制台裝載和卸載操作模塊、安裝和刪除軟體等。操作網路伺服器的安全控制還包括設置口令鎖定伺服器控制台,主要防止非法用戶修改、刪除重要信息。另外,系統管理員還可通過設定伺服器的登入時間限制、非法訪問者檢測,以及關閉的時間間隔等措施,對網路伺服器進行多方位地安全控制。
6)網路監控和鎖定控制
在網路系統中,通常伺服器自動記錄用戶對網路資源的訪問,如有非法的網路訪問,伺服器將以圖形、文字或聲音等形式向網路管理員報警,以便引起警覺進行審查。對試圖登入網路者,網路伺服器將自動記錄企圖登入網路的次數,當非法訪問的次數達到設定值時,就會將該用戶的賬戶自動鎖定並進行記載。
7)網路埠和結點的安全控制
網路中伺服器的埠常用自動回復器、靜默數據機等安全設施進行保護,並以加密的形式來識別結點的身份。自動回復器主要用於防範假冒合法用戶,靜默數據機用於防範黑客利用自動撥號程序進行網路攻擊。還應經常對伺服器端和用戶端進行安全控制,如通過驗證器檢測用戶真實身份,然後,用戶端和伺服器再進行相互驗證。

G. windows操作系統的訪問控制策略基於何種策略

自主訪問控制。

自主訪問控制指對某個客體具有擁有權(或控制權)的主體能夠將對該客體的一種訪問權或多種訪問權自主地授予其它主體,並在隨後的任何時刻將這些許可權回收。

這種控制是自主的,也就是指具有授予某種訪問權力的主體(用戶)能夠自己決定是否將訪問控制許可權的某個子集授予其他的主體或從其他主體那裡收回他所授予的訪問許可權。自主訪問控制中,用戶可以針對被保護對象制定自己的保護策略。



(7)訪問控制策略擴展閱讀

訪問控制的實現機制建立訪問控制模型和實現訪問控制都是抽象和復雜的行為,實現訪問的控制不僅要保證授權用戶使用的許可權與其所擁有的許可權對應,制止非授權用戶的非授權行為;還要保證敏感信息的交叉感染。

以文件的訪問控制為例對訪問控制的實現做具體說明。通常用戶訪問信息資源(文件或是資料庫),可能的行為有讀、寫和管理。用Read或是R表示讀操作,Write或是W表示寫操作,Own或是O表示管理操作。

之所以將管理操作從讀寫中分離出來,是因為管理員也許會對控制規則本身或是文件的屬性等做修改,也就是修改我們在下面提到的訪問控製表。

H. 訪問控制的訪問控制實現的策略

1. 入網訪問控制
2. 網路許可權限制
3. 目錄級安全控制
4. 屬性安全控制
5.網路伺服器安全控制
6.網路監測和鎖定控制
7. 網路埠和節點的安全控制
8.防火牆控制

熱點內容
rhce腳本題 發布:2024-11-17 15:58:44 瀏覽:304
通訊錄上傳失敗 發布:2024-11-17 15:51:26 瀏覽:329
雲存儲存在哪裡 發布:2024-11-17 15:42:09 瀏覽:369
python動態 發布:2024-11-17 15:41:27 瀏覽:115
通用的安卓充電器是什麼型號 發布:2024-11-17 15:40:41 瀏覽:744
解壓天堂 發布:2024-11-17 15:21:24 瀏覽:959
mac桌面文件夾 發布:2024-11-17 15:12:29 瀏覽:590
我的世界在伺服器如何更換材質 發布:2024-11-17 15:12:28 瀏覽:800
為什麼電信連接不上伺服器 發布:2024-11-17 15:12:26 瀏覽:554
ftp的主要功能 發布:2024-11-17 15:10:07 瀏覽:754