访问控制策略 系统中存取文件或访问信息的一整套严密安全 的规则。通过不同方式建立:Os固有的,管 理员或用户制定的 访问控制机制 对访问控制策略抽象模型的许可状态转换为系 统的物理形态,并对访问和授权进行监测。 是具体实施访问策略的所有功能的集合,这 些功能可通过系统的软硬件实现
11 ❖ 访问控制策略 系统中存取文件或访问信息的一整套严密安全 的规则。通过不同方式建立:OS固有的,管 理员或用户制定的。 ❖ 访问控制机制 对访问控制策略抽象模型的许可状态转换为系 统的物理形态,并对访问和授权进行监测。 是具体实施访问策略的所有功能的集合,这 些功能可通过系统的软硬件实现
第六章访问控制 访问控制的种类 1、入网访问控制 控制哪些用户能登录到服务器并获取网络资源, 控制用户入网时间,在哪台工作站入网。 用户的入网访问控制可分为三个步骤:用户名 的识别与验证、用户口令的识别与验证、用户 帐号的缺省限制检查。 缺省限制检査。如网络应能控制用户登录入网 的站点、限制用户入网的时间、限制用户入网 的工作站数量。 12
12 第六章 访问控制 访问控制的种类 1、入网访问控制 控制哪些用户能登录到服务器并获取网络资源, 控制用户入网时间,在哪台工作站入网。 用户的入网访问控制可分为三个步骤:用户名 的识别与验证、用户口令的识别与验证、用户 帐号的缺省限制检查。 缺省限制检查。如网络应能控制用户登录入网 的站点、限制用户入网的时间、限制用户入网 的工作站数量
第六章访问控制 2、网络的权限控制 用户和用户组被赋予一定的权限。网络控制 用户和用户组可以访问哪些目录、子目录、 文件和其他资源。可以指定用户对这些文件、 目录、设备能够执行哪些操作。 受托者指派和继承权限屏蔽(IRM)可作为 其两种实现方式。受托者指派控制用户和用 户组如何使用网络服务器的目录、文件和设 备。继承权限屏蔽相当于一个过滤器,可以 限制子目录从父目录那里继承哪些权限。 13
13 第六章 访问控制 2、网络的权限控制 用户和用户组被赋予一定的权限。网络控制 用户和用户组可以访问哪些目录、子目录、 文件和其他资源。可以指定用户对这些文件、 目录、设备能够执行哪些操作。 受托者指派和继承权限屏蔽(IRM)可作为 其两种实现方式。受托者指派控制用户和用 户组如何使用网络服务器的目录、文件和设 备。继承权限屏蔽相当于一个过滤器,可以 限制子目录从父目录那里继承哪些权限
第六章访问控制 3、目录级安全控制 网络应允许控制用户对目录、文件、设备的 访问。用户在目录一级指定的权限对所有文 件和子目录有效,用户还可进一步指定对目 录下的子目录和文件的权限。对目录和文件 的访问权限一般有八种:系统管理员权限 ( Supervisor)、读权限(Read)、写权限 ( Write)、创建权限( Create)、删除权限 ( Erase)、修改权限( Modify)、文件查 找权限( File scan)、存取控制权限 (Access control) 14
14 第六章 访问控制 3、目录级安全控制 网络应允许控制用户对目录、文件、设备的 访问。用户在目录一级指定的权限对所有文 件和子目录有效,用户还可进一步指定对目 录下的子目录和文件的权限。对目录和文件 的访问权限一般有八种:系统管理员权限 (Supervisor)、读权限(Read)、写权限 (Write)、创建权限(Create)、删除权限 (Erase)、修改权限(Modify)、文件查 找权限 ( File Scan)、 存取控制权限 (Access Control)
第六章访问控制 4、属性安全控制 当用文件、目录和网络设备时,网络系统管 理员应给文件、目录等指定访问属性。属性 安全控制可以将给定的属性与网络服务器的 文件、目录和网络设备联系起来。属性安全 在权限安全的基础上提供更进一步的安全性。 网络上的资源都应预先标出一组安全属性。 用户对网络资源的访问权限对应一张访问控 制表,用以表明用户对网络资源的访问能力 属性设置可以覆盖已经指定的任何受托者指 派和有效权限。 15
15 第六章 访问控制 4、属性安全控制 当用文件、目录和网络设备时,网络系统管 理员应给文件、目录等指定访问属性。属性 安全控制可以将给定的属性与网络服务器的 文件、目录和网络设备联系起来。属性安全 在权限安全的基础上提供更进一步的安全性。 网络上的资源都应预先标出一组安全属性。 用户对网络资源的访问权限对应一张访问控 制表,用以表明用户对网络资源的访问能力。 属性设置可以覆盖已经指定的任何受托者指 派和有效权限