授权与访问控制 ●访问控制的三个主要研究对象: Subject, Object, Policy ●访问控制的三个主要功能: Authorization Revocation Evaluation ●访问控制定义: 是解决谁(主体)对某个特定对象(客体)县有何 的一填系 包括两方面的关 魔技套体省害阶定香边全 施获鸦
授权与访问控制 y访问控制的三个主要研究对象: S bj u ect,Object,P li o c y y访问控制的三个主要功能: Authorization, Revocation, Evaluation y 访 控制定义 问 : 是解决谁(主体)对某个特定对象(客体)具有何 种权限的一项系统安全技术。它包括两方面的关 键技术 , 一方面是安全策略的制定技术 ,即如何 表达主体对客体有何种权限,另一方面是安全策 略的实现技术,即如何将制定的策略在系统中有 效地执行
审计 ●审计:一个过程一该过程中,为了汇报可以计量的信息同 已建立的标准之间的关系,由一个独立的个体积累和评估 事实 ●检查可接受标准一致性的过程称为审计 ●负责独立检查计算机安全的部门称为审计部门 ●审计促进了实际环境同已建立的策略和指导原则的一致性, 从而提高了企业计算安全的整体级别 ●审计部门必须同他所要服务的计算群体保持一个良好的关 系
审计 y 审计:一个过程-该过程中,为了汇报可以计量的信息同 已建立的标准之间的关系,由 个独立的个体积累和评估 一个独立的个体积累和评估 事实 y 检查可接受标准 检查可接受标准 致性的过程称为审计 一致性的过程称为审计 y 负责独立检查计算机安全的部门称为审计部门 y 审计促进了实际环境同已建立的策略和指导原则的 审计促进了实际环境同已建立的策略和指导原则的 致性 一 , 从而提高了企业计算安全的整体级别 y 审计部门必须同他所要服务的计算群体保持 审计部门必须同他所要服务的计算群体保持 个良好的关 一 系
加密和解密 ●对称加密 DES, 3DES, AES 非对称加密 RSA, ECC ●单向加密 MD5, SHA-1, SHA-256
加密和解密 y 对称加密 y DES,3DES,AES y 非对称加密 y RS A,ECC y 单向加密 y MD5,SH A ‐ 1,SH A ‐256
内容安排 ①安全技术简介 2数据源层的安全 ③应用服务层的安全 ④HTTP安全 6展示层安全
内容安排 1 安全技术简介 2 数据源层的安全 3 应用服务层的安全 4 HTTP安全 5 展示层安全
数据源层的安全问题 ●本身的安全机制 认证 ●访问控制 审计 SQL注入 ●加密存储
数据源层的安全问题 y 本身的安全机制 y 认证 y 访问控制 y 审计 y SQL注入 y 加密存储