网络安全11-访问控制.ppt

网络安全11-访问控制.ppt网络安全访问控制、审计和备份网络安全的构成?物理安全性?设备的物理安全:防火、防盗、防破坏等?通信网络安全性?防止入侵和信息泄露?系统安全性?计算机系统不被入侵和破坏?用户访问安全性?通过身份鉴别和访问控制,阻止资源被非法用户访问?数据安全性?数据的完整、可用?数据保密性?信息的加密存储和传输安全的分层结构和主要技术物理安全层网络安全层系统安全层用户安全层应用安全层数据安全层加密访问控制授权用户/组管理单机登录身份认证反病毒风险评估入侵检测审计分析安全的通信协议 VPN 防火墙存储备份系统安全?保护计算机和网络系统中的资源?计算机?网络设备?存储介质?软件和程序?数据和数据库?通信资源:端口、带宽等?……?最终目标是保护系统中的信息安全计算机系统安全技术?访问控制和授权?安全审计?安全风险分析和评估?隔离和阻断(防火墙) ?入侵检测?灾难预防和恢复用户帐户管理?帐户:用于管理访问计算机系统的实体?人?软件实体?其它计算机?……?用户登录系统时,确定每个用户访问系统资源的权限?登录计算机?访问文件系统?执行系统命令?系统管理?……用户登录?用户只有登录才能访问系统?用户身份识别?用户名/口令?智能卡?身份认证协议: PAP 、 CHAP 、 Kerberos 、…?……?对用户的访问授权?根据用户帐户数据库中的信息对登录用户授权?存在多种访问控制方法,相应的授权和管理方法也不同访问控制访问控制?访问控制?为了安全目的,依据策略或权限机制,控制对资源进行的不同授权访问?保障授权用户能获取所需资源?拒绝非授权用户的资源访问请求?身份认证是访问控制的前提条件?访问控制是应用系统不可缺少的重要部分?访问控制包含 3个要素:主体、客体和控制策略。访问控制的相关概念?主体( Subject ) ?是指一个提出请求或要求的实体,是动作的发起者,但不一定是动作的执行者。通常指用户或代表用户执行的程序?客体( Object ) ?是指接受其它实体访问的被动实体,是规定需要保护的资源,又称作目标。既可以是信息、文件、记录,也可以是硬件设备?控制策略?是主体对客体的操作行为集和约束条件集。简单讲,控制策略是主体对客体的访问规则集,体现了一种授权行为, 也就是客体对主体的权限允许,这种允许不得超过规则集