《CISP》(七)信息安全支撑技术——访问控制
本系列是学习《CISP》中易混淆点的记录,文章顺序是按照教材讲解而定
目录
- 一、准备
- 二、自主访问控制DAC
- 1、访问控制矩阵
- 2、访问控制功能
- 二、强制访问控制模型 MAC
- 三、BLP模型 Bell-LaPadula
- 四、Biba模型
- 五、Clark-Wilson模型
- 六、Chinese Wall模型
- 七、基于角色的访问控制 RBAC
- 八、基于规则的访问控制 RB-ERBAC
- 九、特权管理基础设施 PMI
一、准备
- 主体:使信息在客体之间流动的一种实体,常指人、进程、设备
- 客体:一种信息实体,或者从其他主体或客体接收信息的实体,常值数据块、存储页、文件、目录、程序等
- 访问权限:主体对客体所执行的操作,读、写、执行、拒绝访问
- 访问控制实施一般过程:① 鉴别主体的合法身份 ② 根据当前系统的访问控制规则授予用户相应的访问权限。
二、自主访问控制DAC
资源的所有者(创建者)可以规定谁有权限访问其资源,是一种对单个用户执行访问过程控制的过程和措施。由于主体权限较容易被改变,不能低于特洛伊木马攻击。
1、访问控制矩阵
- 行:主体对客体所有的访问权限
- 列:客体允许主体进行的操作
- 矩阵元素:主体对客体被授予的访问权
2、访问控制功能
- 访问控制表ACL(对访问控制矩阵按列读取形成):客体决定主体,即在客体上附加一个主体明细表表示,每一项包括主体的身份以及对该客体的访问权。
- 能力表CL(对访问控制矩阵按行读取形成):主体决定客体,每一个用户维护一个能力表,表示器可以访问的客体。
- 访问模式:主体对客体的访问操作:读、写、运行
- 访问许可:改变访问模式的能力、向其他主体传递这种能力的能力。
(1)等级型:对主体修改客体访问控制表能力划分等级(树形),有多个主体有能力修改其访问控制表。
(2)有主型:客体拥有者唯一有权限访问ACL,拥有其所有控制权,但是无权将控制权分配给其他主体。例如UNIX系统。
(3)自由型:有主型+可以分配修改其拥有客体的ACL权限给其他主体。
二、强制访问控制模型 MAC
主体和客体都拥有一个固定的安全属性,系统通过比较主体和客体的安全属性,根据访问控制规则强制执行,系统中的客体和主体都无权更改。能够有效防止特洛伊木马。
tips: 保护敏感信息使用MAC,需要灵活保护考虑共享信息使用DAC
三、BLP模型 Bell-LaPadula
模拟军事安全,低级不能向高级读、高级不能向低级写,若要通信,只有升降级别。(但是升降级通信之后可能会泄露高级别数据)
安全策略:
- 自主安全策略:使用访问控制矩阵,按照矩阵内部表示进行访问
- 强制安全策略:对主体和客体定义安全级(由密级和范畴构成)
(1)简单安全规则:主体可以读客体:当主体安全级可以支配客体and主体对可以有自主性读权限
(2)*-规则:主体可以写入客体:当客体安全级可以支配主体安全级and主体对客体有自主型写权限。
四、Biba模型
与BLP对偶,按照完整性对主体和客体划分级别,不下读,不上写,防止非授权用户篡改信息,但是可能会泄密。
3. 主体对客体读:当客体完整性级别支配主体完整性级别,即不下读
4. 主体对客体写:当主体完整性级别支配客体完整性级别,即不上写
五、Clark-Wilson模型
确保商业数据完整性
- 数据的完整性:如果数据满足给定条件,则称数据处于一致性状态。在每次操作前后数据都应该满足这个一致性条件。
- 数据操作的完整性:需要有人检查或验证事务处理是否被正确执行,一个事务需要两个或两个以上不同的人来执行。
六、Chinese Wall模型
用于解决商业应用中的利益冲突问题。用户不能访问利益冲突类的数据集。
例如石油公司A,B和银行A,如果用户访问了石油公司A则不能访问石油公司B,但是可以访问银行A。
围绕用户已有信息建立Chinese Wall,可以任务在墙外的任何数据集均和墙内数据集同属于一个利益冲突组,用户仍然可以自由访问与墙内信息属于不同利益冲突组的信息,但是Chinese Wall会根据新的数据集修改形状。
七、基于角色的访问控制 RBAC
系统内设置了若干角色,要求区分权限Authority和职责Responsibility
- RBAC0:基本模型,规定了RBAC系统的最小需求,四个基本要素:用户U、角色R、会话S、权限P
- RBAC1:RBAC0+角色等级
- RBAC2:RBAC0+约束
- RBAC3:包含RBAC1+RBAC2
八、基于规则的访问控制 RB-ERBAC
RBAC+规则
- 功能级访问控制模型:基于企业定义的规则集合动态地为用户分配角色,管理权限
- 数据级访问控制模型:对系统中包含的数据项进行必要的访问权限管理,包括用户身份认证、方法拦截器、过滤器、权限管理控制器、规则引擎等
九、特权管理基础设施 PMI
在多应用环境中的权限管理和访问控制机制,将权限管理和访问控制从具体应用系统中分离出来,使得访问控制机制和应用系统之间能够灵活而方便地结合。
主要功能:
- 对权限管理进行系统地定义和描述
- 系统地建立起对用户身份到应用授权的映射
- 支持应用访问控制
PMI基于PKI提供的可信身份认证服务基础上
PMI主要进行授权管理,证明该用户有什么权限,“你能干什么”
PKI主要进行身份鉴别,证明用户身份,“你是谁
”
《CISP》(七)信息安全支撑技术——访问控制相关推荐
- CISP注册信息安全专业人员知识体系大纲(CISE/CISO)
版本4.1 生效日期:2018年10月1日 中国信息安全测评中心 中国信息产业商会信息安全产业分会(CISP运营中心) 概述 适用范围 知识体系框架结构 CISE/CISO的知识体系结构,包括信息安全 ...
- 信息安全与技术期末复习
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录 前言 一.课程知识体系结构 二.信息加密技术 (一).古典密码体制 1.网络信息安全基本概念: 2.数据加密的组成及各部分含 ...
- 四层和七层交换技术-loadbalance
1 四层交换技术简介 我们知道,二层交换机是根据第二层数据链路层的MAC地址和通过站表选择路由来完成端到端的数据交换的.三层交换机是直接根据第三层网络层IP地址来完成端到端的数据交换的. 四 层交换机 ...
- 二、三、四、七层交换技术区别
2019独角兽企业重金招聘Python工程师标准>>> 二.三.四.七层交换技术区别 二层交换技术 二层交换想信大家都已经非常熟悉了,可以简单的解释成以IP与MAC共同确认数据包地址 ...
- 2020年全国信息安全标准化技术委员会大数据安全标准特别工作组全体会议即将召开...
全国信息安全标准化技术委员会(TC260)(以下简称:委员会)大数据安全标准特别工作组(SWG-BDS)2020年首次全体会议即将在5月13-15日召开,会议由清华大学组织开展,工作组320多家成员单 ...
- 交互式计算机图形学总结:第七章 离散技术
第七章 离散技术 OpenGL缓存 帧缓存的写操作 –写模式(Writing Mode) –位写入模式 –异或写入模式:如果对某一个源位执行两次异或操作,那么返回目标位的初始状态 映射方法 –纹理映射 ...
- 国家高性能计算环境的虚拟数据空间运行支撑技术研究
点击上方蓝字关注我们 国家高性能计算环境的虚拟数据空间运行支撑技术研究 何小雨1,2, 邓笋根1, 栾海晶1,2, 牛北方1,2 1 中国科学院计算机网络信息中心,北京 100190 2 中国科学院大 ...
- 软考网络管理员学习笔记7之第七章网络管理技术
第七章网络管理技术 考点1.Windows的基本管理 [考法分析] 本考点的基本考法是能够识别Windows系统下,常见命令的含义与作用 [要点分析] 1.需要熟悉掌握常见命令,如ipconfig.pi ...
- 信息安全工程师考试大纲-科目2:信息安全应用技术
考试科目2:信息安全应用技术 扫一扫加入信息安全工程师备考群 1.密码学应用 1.1 密码算法的实现 * 了解DES/3DES密码算法的软件实现 * 了解AES密码算法的软件实现 * 了解S ...
最新文章
- linux信号机制 - 用户堆栈和内核堆栈的变化【转】
- 7个杀手级的开源监测工具
- 电力系统【第3章:简单电力系统的潮流分布计算】
- 围观窗体与组件01 - 零基础入门学习Delphi23
- JavaSE_NIO_ByteBuffer
- 2021北京高考一分一段成绩查询,2021北京高考总成绩一分一段表出炉
- android+模拟器皮肤,自定义android模拟器皮肤和键盘映射
- JAVA--虚函数,抽象函数,抽象类,接口
- 1029mysql_今日编码学习(1029)
- php的核心类 控制,phpMVC框架的核心启动类定义
- vrep外部控制器力矩控制实例——以matlab脚本控制平面两连杆为例
- 手算逆元及手动模拟扩展欧几里得算法及思路推导
- 结合聚酞菁钴催化材料和碳纳米管载体的有机-无机相结合的复合材料
- 图像融合综述论文整理
- Android设置TabLayout及下划线宽度
- CMWAP和CMNET 的主要区别与适用范围
- iOS之HomeKit
- java字符串去重复_java去除重复的字符串和移除不想要的字符串
- oracle pga的作用,Oracle PGA作用
- 批量压缩多文件-批处理(四)