訪問控制機制決定
㈠ 不可能破壞信息完整性的是_______。 A.病毒的攻擊 B.黑客的攻擊 C.竊聽 D.修改信息
34. 預防被動攻擊最有效的安全技術是 數據加密
35. 不可能破壞信息完整性的是 竊聽
36. 訪問控制機制決定 用戶程序能做什麼,以及做到什麼程度
㈡ 網路安全管理中訪問控制機制的主要目標是
ACD
㈢ linux系統的訪問控制機制內容有哪些如何闡述
在linux系統下有iptables hosts.allow文件。 selinux等。
㈣ 什麼是訪問控制機制
一、訪問控制機制 (access control mechanisms)
定義:訪問控制機制是指對主體訪問客體的許可權或能力的限制,以及限制進入物理區域(出入控制)和限制使用計算機系統和計算機存儲數據的過程(存取控制)。
訪問控制的目標就是防止對信息系統資源的非授權訪問防止非授權使用信息系統資源。
二、訪問控制機制的分類
基於訪問控製表的訪問控制機制
發起者的訪問控制信息是一個唯一的身份標識。目標的訪問控制信息是一個訪問控製表,該表示一組登記項,每個登記項都有兩個欄位,一個是身份標識,另一個是該標識對應的發起者的動作描述(允許或拒絕的動作)。
基於能力的訪問控制機制
發起者的訪問控制信息是它可以訪問的目標和對目標進行的操作。目標的訪問控制信息是唯一的身份標識。
基於標簽的訪問控制機制
發起者的訪問控制信息是一種安全許可證書,該證書 表示的內容很容易和其他安全標簽比較。目標的訪問 控制信息是其擁有的全部安全標簽。
基於上下文的訪問控制機制
訪問控制信息包括:
上下文控製表:由登記項組成的登記項序列。每個登 記項都有兩個欄位,即上下文描述和操作描述。
上下關聯信息,該信息從執行動作處的上下文獲得
三、訪問控制機制的實現方法
利用存放對等實體訪問權的方法控制信息庫
利用鑒別信息(如口令、證書等)
利用授權
利用安全標簽
利用試圖訪問的時間、路由或持續時間
參考網路:http://ke..com/link?url=50DSX--6aWt8NzHbatDz0Ww_DwFKgfxMl7hMzYJxqs5Hfk_
㈤ android系統怎樣實現訪問控制策略
第一類風險是濫用應用程序許可權。關於這類風險有如下防範策略建議。
應用程序認證
認證是防範惡意程序的有效手段之一。在理想狀態下,一個應用程序在認證之前必須經過完整的測試與代碼審查,確認其許可權使用的合理性,這自然對惡意軟體起到了有力的防範作用。但是,認證的費用高昂,程序復雜,並不具備廣泛的實用性。
選擇使用應用程序許可權
如果能夠在安裝階段,確認某一應用程序僅使用必需的最小許可權,也就是遵循最小許可權原則,則受到惡意軟體攻擊的可能性必將大大降低!對於有經驗的用戶這也許是一種選擇,但對於廣大的普通用戶,恐怕沒人懂得如何驗證應用程序要求的許可權是否合理,在多數情況下用戶會直接授予所要求的許可權。因此需要開發者在申請或設定許可權時,嚴格遵循最小許可權原則。
自動靜態分析與代碼驗證
設計一種自動分析應用程序特性的工具,分析應用程序的功能以及不同應用程序之間的差別,以判斷其合法性。
第二類風險是攻擊Linux內核與系統庫函數的漏洞。目前,針對這種風險,採用更嚴格的訪問控制機制,第6章介紹的限制操作系統用戶許可權的SE Android,是一種實際且有效的選擇。最危險的攻擊就是利用系統漏洞獲取根用戶或超級用戶許可權,進而控制整個系統。SE Android恰好通過控制根用戶或超級用戶許可權實現對安全性的增強,即使攻擊者獲取了根用戶許可權,但可能的危害范圍不至於無限擴大。但是,某些系統命令由於正常使用的需要,可能無法完全禁用,攻擊者如果恰好獲得該類命令的使用權,則SE Android的功能就十分有限了。
第三類風險是破壞私有數據的可用性、數據隱私性以及完好性。可以採取以下策略進行防範。
登錄
使用登錄用戶口令解鎖移動設備的某些功能,以防止安全威脅。這是一種常見的有效方式,尤其是用於保護隱私數據信息。但是,當設備遺失時,如果尚未使用口令解鎖設備,則保護作用存在;如果解鎖之後才遺失設備,則口令保護完全無效。
防火牆
防火牆可以保障用戶私有信息不會經由網路連接被泄露。通常,對網路連接傳輸的內容使用無狀態或有狀態的分析,可以發現是否有私密信息正被泄露,因此可以切斷傳輸線路。由於防火牆工作在操作系統內核中,因此無法直接為外部攻擊所侵害。同時防火牆可以與SE Android提供的訪問控制機制協同工作,提供更高級別的保護。但是,惡意軟體並非只能通過網路介面泄露隱私信息。比如,通過簡訊/彩信的發送,防火牆就無作用了。
數據加密
數據加密是保護隱私數據的最佳手段。由於只有信息所有者才有密鑰,因此即使設備失竊,隱私信息的安全仍然得到保障。
上下文敏感的訪問控制(CAAC,Context Aware Access Control)
CAAC可以根據設備使用的內部與周邊環境決定訪問許可權,比如設備使用的地點、所登錄的移動網路、是否連接Wi-Fi等。但是,如果攻擊恰好發生在允許訪問的環境下,則此類方式無效。
遠程管理
從安全形度,遠程管理能力是必須嚴格限制使用的。但是,與防火牆、CAAC機制相結合,遠程管理實際可以提升安全性。例如,設備遺失後,可以通過遠程管理機制開啟防護機制,保護數據安全。即使在日常使用中,遠程管理也可能發現肆虐移動網路的蠕蟲,通過啟動防火牆等機制限制蠕蟲的活動。但是,所有的遠程管理都需要在受到攻擊的過程中,或受到攻擊之前有人為參與,而且需要耗費設備的資源,以及遠程管理的人力資源等,費用不菲。
第四類風險是耗盡系統資源,可以採取如下的防範手段。
資源管理
系統資源管理的安全方案可以進一步降低耗盡系統資源類風險的危害。其機制是公平分配每個應用程序所需的系統資源。當然,可以根據應用程序的重要性與對資源的需求情況加以分配。比如,電話應用程序非常重要,因此需要得到更多的CPU時間。如果CPU時間、存儲空間限額、網路與磁碟輸入輸出限流,則「拒絕服務」類型的攻擊可被避免。但是,高效實現此類機制仍然十分困難,因此應用較少。
入侵檢測/防護系統
基於宿主(host)的入侵檢測系統可以通過資源使用的異常情況,檢測各種耗盡電池、內存與CPU時間的惡意軟體。但是,高級的惡意軟體通常偽裝為正常軟體,不易檢測。
第五類風險是入侵專用網路連接。建議採用如下的防範策略。
虛擬專網(VPN)
虛擬專網使用成熟的信息認證碼與加密,保護通信的安全,可以防止針對網路的攻擊。
遠程管理
一個集中式的遠程管理中心可以增強安全保護能力,但遠程管理中心的人為因素可能成為另類的安全隱患。
上下文敏感的訪問控制(CAAC)
在內網或虛擬專網的環境下,結合CAAC的機制,可以更好地保護數據安全。比如,當檢測到外網環境時,適時啟動數據傳輸加密機制等。
以上均為宏觀上採取的防範策略,就實施細節而言,重要的是開發者需具備基本的安全意識,充分認識到安全性也是軟體開發周期的一個重要環節,編寫安全的代碼是開發者所必須具備的一項職業技能。雖然不可能確保所編寫的代碼100%安全,但也要盡可能地使用戶對Android系統和應用程序放心。
具體而言,無論是系統工程師還是應用工程師,在Android平台上致力於實現功能的同時,應更深入地理解所編寫的應用程序將如何與Android系統或其他應用程序安全地交互;如何安全地存儲數據到SQLite;如何保護用戶數據尤其是敏感數據的安全,避免惡意軟體的攻擊;如何處理有限的內存、電池電量;如何充分理解許可權機制,使用戶清楚應用程序需要哪些許可權。所有的這些都是開發流程中必不可少的部分。
本文節選自《Android安全機制解析與應用實踐》一書。
㈥ 訪問控制技術的類型機制
訪問控制可以分為兩個層次:物理訪問控制和邏輯訪問控制。物理訪問控制如符合標准規定的用戶、設備、門、鎖和安全環境等方面的要求,而邏輯訪問控制則是在數據、應用、系統、網路和許可權等層面進行實現的。對銀行、證券等重要金融機構的網站,信息安全重點關注的是二者兼顧,物理訪問控制則主要由其他類型的安全部門負責。 主要的訪問控制類型有3種模式:自主訪問控制(DAC)、強制訪問控制(MAC)和基於角色訪問控制(RBAC)。
1)自主訪問控制
自主訪問控制(Discretionary Access Control,DAC)是一種接入控制服務,通過執行基於系統實體身份及其到系統資源的接入授權。包括在文件,文件夾和共享資源中設置許可。用戶有權對自身所創建的文件、數據表等訪問對象進行訪問,並可將其訪問權授予其他用戶或收回其訪問許可權。允許訪問對象的屬主制定針對該對象訪問的控制策略,通常,可通過訪問控制列表來限定針對客體可執行的操作。
①每個客體有一個所有者,可按照各自意願將客體訪問控制許可權授予其他主體。
②各客體都擁有一個限定主體對其訪問許可權的訪問控制列表(ACL)。
③每次訪問時都以基於訪問控制列表檢查用戶標志,實現對其訪問許可權控制。
④DAC的有效性依賴於資源的所有者對安全政策的正確理解和有效落實。
DAC提供了適合多種系統環境的靈活方便的數據訪問方式,是應用最廣泛的訪問控制策略。然而,它所提供的安全性可被非法用戶繞過,授權用戶在獲得訪問某資源的許可權後,可能傳送給其他用戶。主要是在自由訪問策略中,用戶獲得文件訪問後,若不限制對該文件信息的操作,即沒有限制數據信息的分發。所以DAC提供的安全性相對較低,無法對系統資源提供嚴格保護。
2)強制訪問控制
強制訪問控制(MAC)是系統強制主體服從訪問控制策略。是由系統對用戶所創建的對象,按照規定的規則控制用戶許可權及操作對象的訪問。主要特徵是對所有主體及其所控制的進程、文件、段、設備等客體實施強制訪問控制。在MAC中,每個用戶及文件都被賦予一定的安全級別,只有系統管理員才可確定用戶和組的訪問許可權,用戶不能改變自身或任何客體的安全級別。系統通過比較用戶和訪問文件的安全級別,決定用戶是否可以訪問該文件。此外,MAC不允許通過進程生成共享文件,以通過共享文件將信息在進程中傳遞。MAC可通過使用敏感標簽對所有用戶和資源強制執行安全策略,一般採用3種方法:限制訪問控制、過程式控制制和系統限制。MAC常用於多級安全軍事系統,對專用或簡單系統較有效,但對通用或大型系統並不太有效。
MAC的安全級別有多種定義方式,常用的分為4級:絕密級(Top Secret)、秘密級(Secret)、機密級(Confidential)和無級別級(Unclas sified),其中T>S>C>U。所有系統中的主體(用戶,進程)和客體(文件,數據)都分配安全標簽,以標識安全等級。
通常MAC與DAC結合使用,並實施一些附加的、更強的訪問限制。一個主體只有通過自主與強制性訪問限制檢查後,才能訪問其客體。用戶可利用DAC來防範其他用戶對自己客體的攻擊,由於用戶不能直接改變強制訪問控制屬性,所以強制訪問控制提供了一個不可逾越的、更強的安全保護層,以防範偶然或故意地濫用DAC。
3)基於角色的訪問控制
角色(Role)是一定數量的許可權的集合。指完成一項任務必須訪問的資源及相應操作許可權的集合。角色作為一個用戶與許可權的代理層,表示為許可權和用戶的關系,所有的授權應該給予角色而不是直接給用戶或用戶組。
基於角色的訪問控制(Role-Based Access Control,RBAC)是通過對角色的訪問所進行的控制。使許可權與角色相關聯,用戶通過成為適當角色的成員而得到其角色的許可權。可極大地簡化許可權管理。為了完成某項工作創建角色,用戶可依其責任和資格分派相應的角色,角色可依新需求和系統合並賦予新許可權,而許可權也可根據需要從某角色中收回。減小了授權管理的復雜性,降低管理開銷,提高企業安全策略的靈活性。
RBAC模型的授權管理方法,主要有3種:
①根據任務需要定義具體不同的角色。
②為不同角色分配資源和操作許可權。
③給一個用戶組(Group,許可權分配的單位與載體)指定一個角色。
RBAC支持三個著名的安全原則:最小許可權原則、責任分離原則和數據抽象原則。前者可將其角色配置成完成任務所需要的最小許可權集。第二個原則可通過調用相互獨立互斥的角色共同完成特殊任務,如核對賬目等。後者可通過許可權的抽象控制一些操作,如財務操作可用借款、存款等抽象許可權,而不用操作系統提供的典型的讀、寫和執行許可權。這些原則需要通過RBAC各部件的具體配置才可實現。 訪問控制機制是檢測和防止系統未授權訪問,並對保護資源所採取的各種措施。是在文件系統中廣泛應用的安全防護方法,一般在操作系統的控制下,按照事先確定的規則決定是否允許主體訪問客體,貫穿於系統全過程。
訪問控制矩陣(Access Contro1 Matrix)是最初實現訪問控制機制的概念模型,以二維矩陣規定主體和客體間的訪問許可權。其行表示主體的訪問許可權屬性,列表示客體的訪問許可權屬性,矩陣格表示所在行的主體對所在列的客體的訪問授權,空格為未授權,Y為有操作授權。以確保系統操作按此矩陣授權進行訪問。通過引用監控器協調客體對主體訪問,實現認證與訪問控制的分離。在實際應用中,對於較大系統,由於訪問控制矩陣將變得非常大,其中許多空格,造成較大的存儲空間浪費,因此,較少利用矩陣方式,主要採用以下2種方法。
1)訪問控制列表
訪問控制列表(Access Control List,ACL)是應用在路由器介面的指令列表,用於路由器利用源地址、目的地址、埠號等的特定指示條件對數據包的抉擇。是以文件為中心建立訪問許可權表,表中記載了該文件的訪問用戶名和權隸屬關系。利用ACL,容易判斷出對特定客體的授權訪問,可訪問的主體和訪問許可權等。當將該客體的ACL置為空,可撤消特定客體的授權訪問。
基於ACL的訪問控制策略簡單實用。在查詢特定主體訪問客體時,雖然需要遍歷查詢所有客體的ACL,耗費較多資源,但仍是一種成熟且有效的訪問控制方法。許多通用的操作系統都使用ACL來提供該項服務。如Unix和VMS系統利用ACL的簡略方式,以少量工作組的形式,而不許單個個體出現,可極大地縮減列表大小,增加系統效率。
2)能力關系表
能力關系表(Capabilities List)是以用戶為中心建立訪問許可權表。與ACL相反,表中規定了該用戶可訪問的文件名及許可權,利用此表可方便地查詢一個主體的所有授權。相反,檢索具有授權訪問特定客體的所有主體,則需查遍所有主體的能力關系表。 通過介紹單點登入SSO的基本概念和優勢,主要優點是,可集中存儲用戶身份信息,用戶只需一次向伺服器驗證身份,即可使用多個系統的資源,無需再向各客戶機驗證身份,可提高網路用戶的效率,減少網路操作的成本,增強網路安全性。根據登入的應用類型不同,可將SSO分為3種類型。
1)對桌面資源的統一訪問管理
對桌面資源的訪問管理,包括兩個方面:
①登入Windows後統一訪問Microsoft應用資源。Windows本身就是一個「SSO」系統。隨著.NET技術的發展,「Microsoft SSO」將成為現實。通過Active Directory的用戶組策略並結合SMS工具,可實現桌面策略的統一制定和統一管理。
②登入Windows後訪問其他應用資源。根據Microsoft的軟體策略,Windows並不主動提供與其他系統的直接連接。現在,已經有第三方產品提供上述功能,利用Active Directory存儲其他應用的用戶信息,間接實現對這些應用的SSO服務。
2)Web單點登入
由於Web技術體系架構便捷,對Web資源的統一訪問管理易於實現。在目前的訪問管理產品中,Web訪問管理產品最為成熟。Web訪問管理系統一般與企業信息門戶結合使用,提供完整的Web SSO解決方案。
3)傳統C/S 結構應用的統一訪問管理
在傳統C/S 結構應用上,實現管理前台的統一或統一入口是關鍵。採用Web客戶端作為前台是企業最為常見的一種解決方案。
在後台集成方面,可以利用基於集成平台的安全服務組件或不基於集成平台的安全服務API,通過調用信息安全基礎設施提供的訪問管理服務,實現統一訪問管理。
在不同的應用系統之間,同時傳遞身份認證和授權信息是傳統C/S結構的統一訪問管理系統面臨的另一項任務。採用集成平台進行認證和授權信息的傳遞是當前發展的一種趨勢。可對C/S結構應用的統一訪問管理結合信息匯流排(EAI)平台建設一同進行。
㈦ 防火牆是訪問控制機制的具體實現方法之一對嗎
對的。防火牆主要用語對付黑客用的。可以降低中毒幾率。要殺毒還得靠殺毒軟體
防火牆能增強機構內部網路的安全性。防火牆系統決定了哪些內部服務可以被外界訪問;外界的哪些人可以訪問內部的服務以及哪些外部服務可以被內部人員訪問。防火牆必須只允許授權的數據通過,而且防火牆本身也必須能夠免於滲透。
防火牆的五大功能
一般來說,防火牆具有以下幾種功能:
1.允許網路管理員定義一個中心點來防止非法用戶進入內部網路。
2.可以很方便地監視網路的安全性,並報警。
3.可以作為部署NAT(NetworkAddressTranslation,網路地址變換)的地點,利用NAT技術,將有限的IP地址動態或靜態地與內部的IP地址對應起來,用來緩解地址空間短缺的問題。
4.是審計和記錄Internet使用費用的一個最佳地點。網路管理員可以在此向管理部門提供Internet連接的費用情況,查出潛在的帶寬瓶頸位置,並能夠依據本機構的核算模式提供部門級的計費。
㈧ dbms提供的訪問控制機制運用了哪些方法
部科技進步特等獎的COBASE資料庫管理系統為技術基礎,採用了當前先進資料庫管理方法和技術,達到國外同類產品先進水平,適合中國實際的國情與需求.CoDB DBMS具有較強的功能,但安全方面只具備自主訪問控制機制,尚不足以保護機要數據.考慮到相關領域中機要數據的大量出現,因此需要將強制訪問控制機制集成到CoDB DBMS中,使之成為安全資料庫系統,稱之為安全CoDB DBMS.該文的工作目標是在CoDB DBMS中實現強制訪問控
㈨ 訪問控制機制的介紹
訪問控制機制是指對主體訪問客體的許可權或能力的限制,以及限制進入物理區域(出入控制)和限制使用計算機系統和計算機存儲數據的過程(存取控制)。
㈩ 乙太網媒體訪問控制技術CSMA/CD的機制是什麼帶寬
CSMA/CD即載波偵聽多路訪問/沖突檢測,是廣播型信道中採用一種隨機訪問技術的競爭型訪問方法,具有多目標地址的特點。它處於一種匯流排型區域網結構,其物理拓撲結構正逐步向星型發展。CSMA/CD採用分布式控制方法,所有結點之間不存在控制與被控制的關系。
CSNM/CD媒體訪問控制方法的工作原理,可以概括如下:先聽後說,邊聽邊說;一旦沖突,立即停說;等待時機,然後再說;聽,即監聽、檢測之意;說,即發送數據之意。
(10)訪問控制機制決定擴展閱讀
1、CSMA/CD介質訪問控制方法演算法簡單,易於實現。有多種VLSI可以實現CSMA/CD方法,這對降低Ethernet成本、擴大應用范圍是非常有利的。
2、CSMA/CD為一種用戶訪問匯流排時間不確定的隨機競爭匯流排的方法,適用於辦公自動化等對數據傳輸實時性要求不嚴格的應用環境。
3、CSMA/CD在網路通信負荷較低時表現出較好的吞吐率與延遲特性。但是,當網路通信負荷增大時,由於沖突增多,網路吞吐率下降、傳輸延遲增加,因此,CSMA/CD方法用於通信負荷較輕的應用環境中。