访问控制定义 - Read.PPT

本章重点介绍访问控制技术、防火墙技术及网络隔离技术的基本概念、作用、分类、基本原理、防火墙的组成以及基本实现技术等。 通过本章的学习，学生应该掌握以下内容： (1)理解访问控制技术的定义、分类、手段、模型； (2)理解防火墙基本概念、作用、分类、基本原理、组成； (3)掌握防火墙基本实现技术； (4)掌握网络隔离基本原理及实现技术； (5)掌握简单防火墙软件的使用。 5.1??访问控制技术 访问是使信息在主体和对象间流动的一种交互方式。访问控制的目的是为了限制访问主体对访问客体的访问权限，能访问系统的何种资源以及如何使用这些资源。 主体（Subject）是指主动的实体，该实体造成了信息的流动和系统状态的改变，主体通常包括用户、进程和设备。 客体（Object）是指包含或接受信息的被动实体。对客体的访问意味着对其中所包含信息的访问。客体通常包括记录、块、页、段、文件、目录、目录树和程序以及位、字节、字、字段处理器、显示器、键盘、时钟、打印机和网络节点、系统。 5.1??访问控制技术 1.访问控制和其它安全内部控制的关系 控制（Control）是为了达成既定的目的和目标而采取的管理行动。管理通过计划、组织和指导一系列有效的活动为目的和目标的达成提供保障。这样，控制就成为适当的管理计划、组织和指导的必然结果。 内部控制（Internal Control）是为了在组织内保障以下目标的实现而采取的方法： （1）信息的可靠性和完整性； （2）政策、计划、规程、法律、法规和合同的执行； （3）资产的保护； （4）资源使用的经济性和有效性； （5）业务及计划既定目的和目标的达成。 5.1??访问控制技术 1.访问控制和其它安全内部控制的关系 访问控制（Access Control）与计算机信息系统相关的内容包括： （1）限制主体对客体的访问； （2）限制主体和其它主体通信或使用计算机系统或网络中的功能或服务的权力或能力。例如，人是主体，文件是客体。 “保护资产”是内部控制和访问控制的共同目标。例如，内部控制涉及所有的资产，包括有形的和无形的资产，包括计算机相关的资产也包括和计算机无关的资产。访问控制涉及无形（知识）资产如程序、数据、程序库以及有形资产如硬件和放置计算机的房产。访问控制是整体安全控制的一部分。 5.1??访问控制技术 2.访问控制的类型 安全控制包括六种类型的主要控制手段：其功能为： （1）防御型控制用于阻止不良事件的发生。 （2）探测型控制用于探测已经发生的不良事件。 （3）矫正型控制用于矫正已经发生的不良事件。 （4）管理型控制用于管理系统的开发、维护和使用，针对系统的策略、规程、行为规范、个人的角色和义务、个人职能和人事安全决策。 （5）技术型控制是用于为信息技术系统和应用提供自动保护的硬件和软件控制手段。 （6）操作型控制是用于保护操作系统和应用的日常规程和机制。 5.1??访问控制技术 2.访问控制的类型 另外，也有三种和控制有关的概念： （7）补偿型控制在一个领域的控制能力较弱而在另一个领域控制能力较强。 （8）综合型控制使用两个或更多的控制来加强对功能、程序或操作的控制效果。这样两个控制协同工作能够强化整个控制环境。 （9）规避型控制的原理就是对资源进行分割管理。资源是系统或系统网络中需要管理的实体。资源可以包括物理实体如打印机、盘库、路由器和逻辑实体如用户和用户组。规避型控制的目的是将两个实体彼此分开以保证实体的安全和可靠。 5.1??访问控制技术 2.访问控制的类型 规避型控制的例子有：将资产和威胁分隔开来以规避潜在的风险；计算机设备和无线电接收设备分隔开来以避免扩散的电磁信号被外界截获；生产系统和测试系统分隔开来以避免对程序代码的污染和数据的破坏；将系统开发过程和数据输入过程分隔开来；将系统组件相互分隔开来。 5.1??访问控制技术 3.访问控制的手段 访问控制的手段可分为物理类控制手段、管理类控制手段、技术类控制手段三个层次，每个层次又可分为防御型和探测型，以下分类列出部分访问控制手段，如表 5?1所示。 访问控制列表最适合于有相对少的需要补区分的用户，并且这些用户中的绝大多数是稳定的情况。如果访问控制列表太大或经常改动，维护访问控制列表会成为最主要的问题。 网络中通常包括多种安全