1)自主訪問控制
自主訪問控制(DAC)是壹種基於系統實體身份及其對系統資源的訪問授權的訪問控制服務。包括在文件、文件夾和* * *資源中設置權限。用戶有權訪問自己創建的文件、數據表和其他訪問對象,並可以將其訪問權限授予其他用戶或收回其訪問權限。被允許訪問對象的所有者被允許為對象的訪問制定控制策略。通常,可以在對象上執行的操作可以通過訪問控制列表來定義。
(1)每個對象都有壹個所有者,所有者可以根據自己的意願授予其他主體訪問控制權限。
②每個對象都有壹個限制主體訪問權限的訪問控制列表(ACL)。
③每次訪問都要根據訪問控制列表檢查用戶的標誌,控制訪問權限。
④④DAC的有效性取決於所有者對安全策略的正確理解和有效執行。
DAC是應用最廣泛的訪問控制策略,它提供了適用於各種系統環境的靈活方便的數據訪問方法。但是,它提供的安全性可以被非法用戶繞過,授權用戶在獲得對某個資源的訪問權後,可能會將其傳遞給其他用戶。主要是在自由訪問策略中,如果用戶在獲得文件訪問權後沒有限制對文件信息的操作,即沒有限制數據信息的分發。所以DAC提供的安全性比較低,無法對系統資源提供嚴格的保護。
2)強制訪問控制
強制訪問控制(MAC)是系統強制主體服從訪問控制的策略。它是根據用戶創建的對象的指定規則來控制用戶對操作對象的權限和訪問的系統。主要特點是對所有主體及其控制的進程、文件、段、設備等對象實施強制訪問控制。在MAC中,每個用戶和文件都被賦予壹定的安全級別。只有系統管理員可以確定用戶和組的訪問權限,用戶不能更改自己或任何對象的安全級別。系統通過比較用戶和被訪問文件的安全級別來確定用戶是否可以訪問文件。另外,不允許MAC通過進程生成* * *共享文件,這樣就可以通過* * *共享文件在進程中傳遞信息。MAC可以利用敏感標簽對所有用戶和資源實施安全策略,壹般采用受限訪問控制、進程控制和系統限制三種方式。MAC常用於多級安全軍事系統,對特殊或簡單系統有效,對壹般或大型系統無效。
MAC的安全級別有很多種定義方式,壹般分為絕密、機密、保密和不保密四個級別,其中T >;S & gtC & gtu .系統中的所有主體(用戶、進程)和對象(文件、數據)都被分配了安全標簽來標識安全級別。
通常MAC與DAC結合使用,並實施壹些附加的和更強的訪問限制。主體只有在通過了自主和強制訪問限制的檢查後才能訪問其對象。用戶可以使用DAC來防止其他用戶攻擊自己的對象。因為用戶不能直接改變強制訪問控制的屬性,所以強制訪問控制提供了壹個不可逾越的更強的安全層,以防止意外或故意濫用DAC。
3)基於角色的訪問控制
角色是壹定數量權限的集合。指完成壹項任務必須訪問的資源和相應操作權限的集合。角色作為用戶和權限的代理層,表現為權限和用戶的關系,所有的授權都應該給角色,而不是直接給用戶或用戶組。
基於角色的訪問控制(RBAC)是通過對角色的訪問進行控制。將權限與角色相關聯,用戶通過成為適當角色的成員來獲得其角色的權限。可以大大簡化權限管理。為了完成壹項任務,用戶可以根據自己的職責和資質分配相應的角色,可以根據新的需求和系統整合賦予角色新的權限,也可以根據需要撤銷某個角色的權限。它降低了授權管理的復雜性,減少了管理開銷,提高了企業安全策略的靈活性。
RBAC模型有三種主要的授權管理方式:
(1)根據任務需要定義具體的不同角色。
②為不同角色分配資源和操作權限。
③為用戶組(集團,權限分配的單位和載體)分配角色。
RBAC支持三個著名的安全原則:最低權限原則、責任分離原則和數據抽象原則。前者可以將其角色配置為完成任務所需的最低權限集。第二個原理可以通過調用獨立互斥的角色來完成特殊任務,比如查賬。後者可以通過權限的抽象來控制壹些操作,比如財務操作可以使用借款、存款等抽象權限,而不是操作系統提供的典型的讀、寫、執行權限。這些原理只能通過RBAC組件的特定配置來實現。訪問控制機制是檢測和防止對系統的未授權訪問,並采取各種措施保護資源。它是文件系統中廣泛使用的安全保護方法。壹般在操作系統的控制下,按照預定的規則決定是否允許主體訪問對象,貫穿於系統的整個過程。
訪問控制矩陣(Access Control 1 Matrix)最初是實現訪問控制機制的概念模型,主體和客體之間的訪問權限由二維矩陣定義。它的行代表主體的訪問權限屬性,列代表客體的訪問權限屬性,矩陣點陣代表行中主體對列中客體的訪問權限,空格代表未授權,y代表操作權限。確保系統操作按照該矩陣的授權進行。通過引用監視器來協調對象對主體的訪問,實現了認證和訪問控制的分離。在實際應用中,對於較大的系統,訪問控制矩陣會變得非常大,空間很多,造成存儲空間的大量浪費。所以矩陣法用的比較少,主要采用以下兩種方法。
1)訪問控制列表
訪問控制列表(ACL)是應用於路由器接口的指令列表,用於路由器使用源地址、目的地址、端口號等特定指示條件選擇數據包。以文件為中心建立訪問權限表,記錄文件的訪問用戶名和權限歸屬。使用ACL,很容易判斷對特定對象的授權訪問、可訪問的主體和訪問權限。當對象的ACL為空時,可以撤銷對特定對象的授權訪問。
基於ACL的訪問控制策略簡單實用。它是壹種成熟有效的訪問控制方法,雖然在查詢特定主體的訪問對象時需要遍歷所有對象的ACL,消耗較多的資源。許多常見的操作系統使用ACL來提供這種服務。例如,Unix和VMS系統以簡單的方式使用ACL,以少量工作組的形式,不允許出現單個個體,這可以大大減少列表大小,提高系統效率。
2)能力關系表
權能列表是壹個以用戶為中心的訪問權限表。與ACL相反,該表指定了用戶可以訪問的文件名和權限,並且該表可以用於方便地查詢壹個主題的所有授權。相反,要檢索被授權訪問特定對象的所有主體,需要搜索所有主體的能力關系表。通過介紹單點登錄SSO的基本概念和優點,主要優點是用戶身份信息可以集中存儲,用戶只需要向服務器驗證壹次身份就可以使用多個系統的資源,不需要向客戶端驗證身份,可以提高網絡用戶的效率,降低網絡運營成本,增強網絡安全性。根據登錄應用類型的不同,單點登錄可以分為三種類型。
1)桌面資源的統壹訪問管理
桌面資源的訪問管理包括兩個方面:
①登錄Windows後統壹訪問微軟應用資源。Windows本身就是壹個“單點登錄”系統。隨著的發展。NET技術,“微軟單點登錄”將成為現實。通過Active Directory的用戶組策略結合SMS工具,可以實現桌面策略的統壹制定和管理。
②登錄Windows後訪問其他應用資源。根據微軟的軟件政策,Windows不主動提供與其他系統的直接連接。目前第三方產品已經提供了上述功能,利用Active Directory存儲其他應用的用戶信息,間接實現這些應用的SSO服務。
2)Web單點登錄
由於Web技術的便捷架構,Web資源的統壹訪問管理很容易實現。在目前的訪問管理產品中,Web訪問管理產品最為成熟。Web訪問管理系統通常與企業信息門戶相結合,提供完整的Web單點登錄解決方案。
3)傳統C/S結構應用的統壹訪問管理。
在傳統C/S結構的應用中,實現管理前臺的統壹或統壹入口是關鍵。使用Web客戶端作為前臺是企業最常見的解決方案。
在後臺集成中,我們可以使用基於集成平臺的安全服務組件或者不基於集成平臺的安全服務API,通過調用信息安全基礎設施提供的訪問管理服務來實現統壹的訪問管理。
同時在不同的應用系統之間傳遞認證和授權信息是傳統C/S結構的統壹訪問管理系統面臨的另壹個任務。使用集成平臺傳輸認證和授權信息是壹種趨勢。將適用於C/S結構的統壹訪問管理與信息總線(EAI)平臺的構建相結合。