3.2访问控制技术 网络安全 NETWORK SECURITY 基本概念 ■访问控制是指对主体访问客体的权限或能力的限 制,以及限制进入物理区域(出入控制)和限制使 用计算机系统和计算机存储数据的过程(存取控 制)。 ■主要任务是保护网络资源不被非法使用和访问。 ■采用最小特权原则,即在给用户分配权限时,根 据每个用户的任务特点使其获得完成自身任务的 最低权限,不给与用户工作范围之外的任何权限。 12
12 12 3.2 访问控制技术 •基本概念 n 访问控制是指对主体访问客体的权限或能力的限 制,以及限制进入物理区域(出入控制)和限制使 用计算机系统和计算机存储数据的过程(存取控 制)。 n 主要任务是保护网络资源不被非法使用和访问。 n 采用最小特权原则,即在给用户分配权限时,根 据每个用户的任务特点使其获得完成自身任务的 最低权限,不给与用户工作范围之外的任何权限
3.2访问控制技术 网络安全 NETWORK SECURITY 访问控制机制 申请人 (用户) 申请 访问控制执行功能模块 执行 资源(目标) 访问控制决策摸块 判 用户篇性库 资源属性库 ■访问控制涉及的技术主要有:入网访问控制、网络 权限控制、目录级控制以及属性控制等 13
13 13 3.2 访问控制技术 n 访问控制机制 n 访问控制涉及的技术主要有:入网访问控制、网络 权限控制、目录级控制以及属性控制等
入网访问控制 网络安全 NETWORK SECURITY 提供第一层访问控制。 ■控制哪些用户可以进入网络并获得网络资源; ■控制准许用户的入网时间 ■控制通过哪台工作站进入网络 ● 三个步骤 ■用户名的识别与验证 ■用户口令的识别与验证 > 系统管理员可以控制口令的以下几个方面的限制:,最小口令长度、 强制修改口令的时间间隔、口令的唯一性、口令过期失效后允许入 网的宽限次数 ■用户帐号的缺省限制检查 >网络应能控制用户登录入网的站点、限制用户入网的时间、限制用 户入网的工作站数量 14
14 14 入网访问控制 • 提供第一层访问控制。 n 控制哪些用户可以进入网络并获得网络资源; n 控制准许用户的入网时间 n 控制通过哪台工作站进入网络 • 三个步骤 n 用户名的识别与验证 n 用户口令的识别与验证 Ø系统管理员可以控制口令的以下几个方面的限制:最小口令长度、 强制修改口令的时间间隔、口令的唯一性、口令过期失效后允许入 网的宽限次数 n 用户帐号的缺省限制检查 Ø网络应能控制用户登录入网的站点、限制用户入网的时间、限制用 户入网的工作站数量
网络权限控制 网络安全 NETWORK SECURITY ·针对非法操作提出的一种安全保护措施 ■控制哪些用户和组可以访问什么文件什么资源 ·两种实现方式 >受脱者指派一控制用户和用户组如何使用网络服务器的 目录、文件和设备。 >继承权限屏蔽一相当于一个过滤器,可以限制子目录从 父目录那里继承哪些权限。 ■用户操作权限划分:一般用户、特殊用户、审计用 户 15
15 15 网络权限控制 •针对非法操作提出的一种安全保护措施 n 控制哪些用户和组可以访问什么文件什么资源 n 两种实现方式 Ø受脱者指派-控制用户和用户组如何使用网络服务器的 目录、文件和设备。 Ø继承权限屏蔽-相当于一个过滤器,可以限制子目录从 父目录那里继承哪些权限。 n 用户操作权限划分:一般用户、特殊用户、审计用 户
目录级安全控制 网络安全 NETWORK SECURITY ● 网络应允许控制用户对目录、文件、设备的访问。用 户在目录一级指定的权限对所有文件和子目录有效, 用户还可进一步指定对目录下的子目录和文件的权限 ●对目录和文件的访问权限一般有八种:系统管理员权 限、读权限、写权限、创建权限、删除权限、修改权 限、文件查找权限、存取控制权限。 ●用户对文件或目标的有效权限取决于以下三个因素: 用户的受托者指派、用户所在组的受托者指派、继承 权限屏蔽取消的用户权限。 16
16 16 目录级安全控制 • 网络应允许控制用户对目录、文件、设备的访问。用 户在目录一级指定的权限对所有文件和子目录有效, 用户还可进一步指定对目录下的子目录和文件的权限。 • 对目录和文件的访问权限一般有八种:系统管理员权 限、读权限、写权限、创建权限、删除权限、修改权 限、文件查找权限、存取控制权限。 • 用户对文件或目标的有效权限取决于以下三个因素: 用户的受托者指派、用户所在组的受托者指派、继承 权限屏蔽取消的用户权限