訪問控制技術-九游会j9娱乐平台
① 訪問控制技術主要的目的是
訪問控制是在組織或企業內實現內部管理控制的一種常用手段,但並不是唯一手段。很多人通常會將訪問控制與內部管理控制(或簡稱內控)兩者搞混淆,認為兩者的目的是相同的或一致的,但其實並非如此。通常,在組織內實施內控,是為了保障實現以下的目標:(1)信息的可靠性和完整性;(2)政策、計劃、規程、法律、法規和合同執行的正確性;(3)資產的保護;(4)資源使用的經濟性和有效性;(5)業務或計劃既定目標的達成。從以上目標可以看出,在組織或企業內進行內部管理控制是為了達成既定的目的和目標而採取的管理行動,是從組織或者企業的業務角度出發進行控制;而訪問控制是從防止資源被惡意使用的角度採取的保護措施,目的只是從技術上保護程序、數據、系統或網路。通過對比可以看出,只有「對資產的保護」是內控和訪問控制的共同目標,在其他方面,訪問控制與內控的目標是不同的,因此,那種認為內控機制僅包括訪問控制,或者只需要採用訪問控制技術就能夠實現內控機制的認識是錯誤的。而且,兩者所涉及的被保護資產也有明顯的不同:內控涉及所有的資產,包括有形的和無形的資產,既包括計算機相關的資產也包括和計算機無關的資產;訪問控制涉及的無形(知識)資產包括程序、數據、程序庫、網路等,有形資產主要包括硬體和放置計算機的房產等。
② 訪問控制技術的優缺點
控制網路訪問!
③ 訪問控制技術手段有哪些並比較優缺點
訪問控制是網路安全防範和保護的主要策略,它的主要任務是保證網路資源不被非法使用和訪問。它是保證網路安全最重要的核心策略之一。訪問控制涉及的技術也比較廣,包括入網訪問控制、網路許可權控制、目錄級控制以及屬性控制等多種手段。
入網訪問控制
入網訪問控制為網路訪問提供了第一層訪問控制。它控制哪些用戶能夠登錄到伺服器並獲取網路資源,控制准許用戶入網的時間和准許他們在哪台工作站入網。 用戶的入網訪問控制可分為三個步驟:用戶名的識別與驗證、用戶口令的識別與驗證、用戶賬號的預設限制檢查。三道關卡中只要任何一關未過,該用戶便不能進入該網路。 對網路用戶的用戶名和口令進行驗證是防止非法訪問的第一道防線。為保證口令的安全性,用戶口令不能顯示在顯示屏上,口令長度應不少於6個字元,口令字元最好是數字、字母和其他字元的混合,用戶口令必須經過加密。用戶還可採用一次性用戶口令,也可用攜帶型驗證器(如智能卡)來驗證用戶的身份。 網路管理員可以控制和限制普通用戶的賬號使用、訪問網路的時間和方式。用戶賬號應只有系統管理員才能建立。用戶口令應是每用戶訪問網路所必須提交的「證件」、用戶可以修改自己的口令,但系統管理員應該可以控制口令的以下幾個方面的限制:最小口令長度、強制修改口令的時間間隔、口令的唯一性、口令過期失效後允許入網的寬限次數。 用戶名和口令驗證有效之後,再進一步履行用戶賬號的預設限制檢查。網路應能控制用戶登錄入網的站點、限制用戶入網的時間、限制用戶入網的工作站數量。當用戶對交費網路的訪問「資費」用盡時,網路還應能對用戶的賬號加以限制,用戶此時應無法進入網路訪問網路資源。網路應對所有用戶的訪問進行審計。如果多次輸入口令不正確,則認為是非法用戶的入侵,應給出報警信息。
許可權控制
網路的許可權控制是針對網路非法操作所提出的一種安全保護措施。用戶和用戶組被賦予一定的許可權。網路控制用戶和用戶組可以訪問哪些目錄、子目錄、文件和其他資源。可以指定用戶對這些文件、目錄、設備能夠執行哪些操作。受託者指派和繼承許可權屏蔽(irm)可作為兩種實現方式。受託者指派控制用戶和用戶組如何使用網路伺服器的目錄、文件和設備。繼承許可權屏蔽相當於一個過濾器,可以限制子目錄從父目錄那裡繼承哪些許可權。我們可以根據訪問許可權將用戶分為以下幾類:特殊用戶(即系統管理員);一般用戶,系統管理員根據他們的實際需要為他們分配操作許可權;審計用戶,負責網路的安全控制與資源使用情況的審計。用戶對網路資源的訪問許可權可以用訪問控製表來描述。
目錄級安全控制
網路應允許控制用戶對目錄、文件、設備的訪問。用戶在目錄一級指定的許可權對所有文件和子目錄有效,用戶還可進一步指定對目錄下的子目錄和文件的許可權。對目錄和文件的訪問許可權一般有八種:系統管理員許可權、讀許可權、寫許可權、創建許可權、刪除許可權、修改許可權、文件查找許可權、訪問控制許可權。用戶對文件或目標的有效許可權取決於以下兩個因素:用戶的受託者指派、用戶所在組的受託者指派、繼承許可權屏蔽取消的用戶許可權。一個網路管理員應當為用戶指定適當的訪問許可權,這些訪問許可權控制著用戶對伺服器的訪問。八種訪問許可權的有效組合可以讓用戶有效地完成工作,同時又能有效地控制用戶對伺服器資源的訪問 ,從而加強了網路和伺服器的安全性。
屬性安全控制
當用文件、目錄和網路設備時,網路系統管理員應給文件、目錄等指定訪問屬性。屬性安全在許可權安全的基礎上提供更進一步的安全性。網路上的資源都應預先標出一組安全屬性。用戶對網路資源的訪問許可權對應一張訪問控製表,用以表明用戶對網路資源的訪問能力。屬性設置可以覆蓋已經指定的任何受託者指派和有效許可權。屬性往往能控制以下幾個方面的許可權:向某個文件寫數據、拷貝一個文件、刪除目錄或文件、查看目錄和文件、執行文件、隱含文件、共享、系統屬性等。
伺服器安全控制
網路允許在伺服器控制台上執行一系列操作。用戶使用控制台可以裝載和卸載模塊,可以安裝和刪除軟體等操作。網路伺服器的安全控制包括可以設置口令鎖定伺服器控制台,以防止非法用戶修改、刪除重要信息或破壞數據;可以設定伺服器登錄時間限制、非法訪問者檢測和關閉的時間間隔。
④ lan常用的訪問控制技術有哪幾種
區域網常用的訪問控制方式有3種,分別是載波多路訪問/沖突檢測(csma/cd)、令牌環訪問控製法(token ring)和令牌匯流排訪問控製法(toking bus)。
分別適用於:
csma/cd訪問控制方式主要用於匯流排型和樹狀網路拓撲結構、基帶傳輸系統,適用於匯流排型區域網;
令牌環介質訪問控制方法是通過在環狀網上傳輸令牌的方式來實現對介質的訪問控制;
令牌匯流排訪問控製法主要用於匯流排型或樹狀網路結構中,目前微機局域中的主流介質訪問控制方式。
⑤ 訪問控制技術的概念原理
訪問控制(access control)指系統對用戶身份及其所屬的預先定義的策略組限制其使用數據資源能力的手段。通常用於系統管理員控制用戶對伺服器、目錄、文件等網路資源的訪問。訪問控制是系統保密性、完整性、可用性和合法使用性的重要基礎,是網路安全防範和資源保護的關鍵策略之一,也是主體依據某些控制策略或許可權對客體本身或其資源進行的不同授權訪問。
訪問控制的主要目的是限制訪問主體對客體的訪問,從而保障數據資源在合法范圍內得以有效使用和管理。為了達到上述目的,訪問控制需要完成兩個任務:識別和確認訪問系統的用戶、決定該用戶可以對某一系統資源進行何種類型的訪問。
訪問控制包括三個要素:主體、客體和控制策略。
(1)主體s(subject)。是指提出訪問資源具體請求。是某一操作動作的發起者,但不一定是動作的執行者,可能是某一用戶,也可以是用戶啟動的進程、服務和設備等。
(2)客體o(object)。是指被訪問資源的實體。所有可以被操作的信息、資源、對象都可以是客體。客體可以是信息、文件、記錄等集合體,也可以是網路上硬體設施、無限通信中的終端,甚至可以包含另外一個客體。
(3)控制策略a(attribution)。是主體對客體的相關訪問規則集合,即屬性集合。訪問策略體現了一種授權行為,也是客體對主體某些操作行為的默認。 訪問控制的主要功能包括:保證合法用戶訪問受權保護的網路資源,防止非法的主體進入受保護的網路資源,或防止合法用戶對受保護的網路資源進行非授權的訪問。訪問控制首先需要對用戶身份的合法性進行驗證,同時利用控制策略進行選用和管理工作。當用戶身份和訪問許可權驗證之後,還需要對越權操作進行監控。因此,訪問控制的內容包括認證、控制策略實現和安全審計,其功能及原理如圖1所示。
(1)認證。包括主體對客體的識別及客體對主體的檢驗確認。
(2)控制策略。通過合理地設定控制規則集合,確保用戶對信息資源在授權范圍內的合法使用。既要確保授權用戶的合理使用,又要防止非法用戶侵權進入系統,使重要信息資源泄露。同時對合法用戶,也不能越權行使許可權以外的功能及訪問范圍。
(3)安全審計。系統可以自動根據用戶的訪問許可權,對計算機網路環境下的有關活動或行為進行系統的、獨立的檢查驗證,並做出相應評價與審計。 圖1 訪問控制功能及原理
⑥ 訪問控制技術的安全策略
訪問控制的安全策略是指在某個自治區域內(屬於某個組織的一系列處理和通信資源范疇),用於所有與安全相關活動的一套訪問控制規則。由此安全區域中的安全權力機構建立,並由此安全控制機構來描述和實現。訪問控制的安全策略有三種類型:基於身份的安全策略、基於規則的安全策略和綜合訪問控制方式。 訪問控制安全策略原則集中在主體、客體和安全控制規則集三者之間的關系。
(1)最小特權原則。在主體執行操作時,按照主體所需權利的最小化原則分配給主體權力。優點是最大限度地限制了主體實施授權行為,可避免來自突發事件、操作錯誤和未授權主體等意外情況的危險。為了達到一定目的,主體必須執行一定操作,但只能做被允許的操作,其他操作除外。這是抑制特洛伊木馬和實現可靠程序的基本措施。
(2)最小泄露原則。主體執行任務時,按其所需最小信息分配許可權,以防泄密。
(3)多級安全策略。主體和客體之間的數據流向和許可權控制,按照安全級別的絕密(ts)、秘密(s)、機密(c)、限制(rs)和無級別(u)5級來劃分。其優點是避免敏感信息擴散。具有安全級別的信息資源,只有高於安全級別的主體才可訪問。
在訪問控制實現方面,實現的安全策略包括8個方面:入網訪問控制、網路許可權限制、目錄級安全控制、屬性安全控制、網路伺服器安全控制、網路監測和鎖定控制、網路埠和節點的安全控制和防火牆控制。 授權行為是建立身份安全策略和規則安全策略的基礎,兩種安全策略為:
1)基於身份的安全策略
主要是過濾主體對數據或資源的訪問。只有通過認證的主體才可以正常使用客體的資源。這種安全策略包括基於個人的安全策略和基於組的安全策略。
(1)基於個人的安全策略。是以用戶個人為中心建立的策略,主要由一些控制列表組成。這些列表針對特定的客體,限定了不同用戶所能實現的不同安全策略的操作行為。
(2)基於組的安全策略。基於個人策略的發展與擴充,主要指系統對一些用戶使用同樣的訪問控制規則,訪問同樣的客體。
2)基於規則的安全策略
在基於規則的安全策略系統中,所有數據和資源都標注了安全標記,用戶的活動進程與其原發者具有相同的安全標記。系統通過比較用戶的安全級別和客體資源的安全級別,判斷是否允許用戶進行訪問。這種安全策略一般具有依賴性與敏感性。 綜合訪問控制策略(hac)繼承和吸取了多種主流訪問控制技術的優點,有效地解決了信息安全領域的訪問控制問題,保護了數據的保密性和完整性,保證授權主體能訪問客體和拒絕非授權訪問。hac具有良好的靈活性、可維護性、可管理性、更細粒度的訪問控制性和更高的安全性,為信息系統設計人員和開發人員提供了訪問控制安全功能的解決方案。綜合訪問控制策略主要包括:
1)入網訪問控制
入網訪問控制是網路訪問的第一層訪問控制。對用戶可規定所能登入到的伺服器及獲取的網路資源,控制准許用戶入網的時間和登入入網的工作站點。用戶的入網訪問控制分為用戶名和口令的識別與驗證、用戶賬號的默認限制檢查。該用戶若有任何一個環節檢查未通過,就無法登入網路進行訪問。
2)網路的許可權控制
網路的許可權控制是防止網路非法操作而採取的一種安全保護措施。用戶對網路資源的訪問許可權通常用一個訪問控制列表來描述。
從用戶的角度,網路的許可權控制可分為以下3類用戶:
(1)特殊用戶。具有系統管理許可權的系統管理員等。
(2)一般用戶。系統管理員根據實際需要而分配到一定操作許可權的用戶。
(3)審計用戶。專門負責審計網路的安全控制與資源使用情況的人員。
3)目錄級安全控制
目錄級安全控制主要是為了控制用戶對目錄、文件和設備的訪問,或指定對目錄下的子目錄和文件的使用許可權。用戶在目錄一級制定的許可權對所有目錄下的文件仍然有效,還可進一步指定子目錄的許可權。在網路和操作系統中,常見的目錄和文件訪問許可權有:系統管理員許可權(supervisor)、讀許可權(read)、寫許可權(write)、創建許可權(create)、刪除許可權(erase)、修改許可權(modify)、文件查找許可權(file scan)、控制許可權(access control)等。一個網路系統管理員應為用戶分配適當的訪問許可權,以控制用戶對伺服器資源的訪問,進一步強化網路和伺服器的安全。
4)屬性安全控制
屬性安全控制可將特定的屬性與網路伺服器的文件及目錄網路設備相關聯。在許可權安全的基礎上,對屬性安全提供更進一步的安全控制。網路上的資源都應先標示其安全屬性,將用戶對應網路資源的訪問許可權存入訪問控制列表中,記錄用戶對網路資源的訪問能力,以便進行訪問控制。
屬性配置的許可權包括:向某個文件寫數據、復制一個文件、刪除目錄或文件、查看目錄和文件、執行文件、隱含文件、共享、系統屬性等。安全屬性可以保護重要的目錄和文件,防止用戶越權對目錄和文件的查看、刪除和修改等。
5)網路伺服器安全控制
網路伺服器安全控制允許通過伺服器控制台執行的安全控制操作包括:用戶利用控制台裝載和卸載操作模塊、安裝和刪除軟體等。操作網路伺服器的安全控制還包括設置口令鎖定伺服器控制台,主要防止非法用戶修改、刪除重要信息。另外,系統管理員還可通過設定伺服器的登入時間限制、非法訪問者檢測,以及關閉的時間間隔等措施,對網路伺服器進行多方位地安全控制。
6)網路監控和鎖定控制
在網路系統中,通常伺服器自動記錄用戶對網路資源的訪問,如有非法的網路訪問,伺服器將以圖形、文字或聲音等形式向網路管理員報警,以便引起警覺進行審查。對試圖登入網路者,網路伺服器將自動記錄企圖登入網路的次數,當非法訪問的次數達到設定值時,就會將該用戶的賬戶自動鎖定並進行記載。
7)網路埠和結點的安全控制
網路中伺服器的埠常用自動回復器、靜默數據機等安全設施進行保護,並以加密的形式來識別結點的身份。自動回復器主要用於防範假冒合法用戶,靜默數據機用於防範黑客利用自動撥號程序進行網路攻擊。還應經常對伺服器端和用戶端進行安全控制,如通過驗證器檢測用戶真實身份,然後,用戶端和伺服器再進行相互驗證。
⑦ 訪問控制技術是什麼
訪問控制是網路安全防範和保護的主要策略,它的主要任務是保證網路資源不被非法使用,它是保證網路安全最重要的核心策略之一。按用戶身份及其所歸屬的某項定義組來限制用戶對某些信息項的訪問,或限制對某些控制功能的使用的一種技術,如uninac網路准入控制系統的原理就是基於此技術之上。訪問控制通常用於系統管理員控制用戶對伺服器、目錄、文件等網路資源的訪問。
訪問控制涉及到三個基本概念,即主體、客體和訪問授權。
主體:是一個主動的實體,它包括用戶、用戶組、終端、主機或一個應用,主體可以訪問客體。
客體:是一個被動的實體,對客體的訪問要受控。它可以是一個位元組、欄位、記錄、程序、文件,或者是一個處理器、存貯器、網路接點等。
授權訪問:指主體訪問客體的允許,授權訪問對每一對主體和客體來說是給定的。例如,授權訪問有讀寫、執行,讀寫客體是直接進行的,而執行是搜索文件、執行文件。對用戶的訪問授權是由系統的安全策略決定的。
⑧ 《網路信息安全》訪問控制技術概述是什麼
訪問控制是指主體依據某些控制策略或許可權對客體本身或其資源進行的不同授權訪問。
包括三個要素:
1,主體:提出請求或要求的實體,是動作的發起者。某個用戶,進程,服務和設備等。
2,客體:接受其他實體訪問的被動實體,例如信息,資源和對象都可以被認為是客體。
3,控制策略:主體對客體的訪問規則集。簡單地說就是客體對主體的許可權允許。
訪問控制的目的:控制主體對客體資源的訪問許可權。
訪問控制的任務:
識別和確認訪問系統的用戶,決定該用戶可以對某一系統資源進行何種類型的訪問。
⑨ 訪問控制技術的主要類型有哪三種
訪問控制技術主要有3種類型:自主訪問控制、強制訪問控制和基於角色訪問控制。自主訪問控制:用戶通過授權或者回收給其他用戶訪問特定資源的許可權,主要是針對其訪問權進行控制。
強制訪問控制:由系統己經部署的訪問控制策略,按照系統的規定用戶需要服從系統訪問控制策略,比如系統管理員制定訪問策略,其他用戶只能按照規定進行進程、文件和設備等訪問控制。
(9)訪問控制技術擴展閱讀
訪問控制的主要功能包括:保證合法用戶訪問受權保護的網路資源,防止非法的主體進入受保護的網路資源,或防止合法用戶對受保護的網路資源進行非授權的訪問。
訪問控制首先需要對用戶身份的合法性進行驗證,同時利用控制策略進行選用和管理工作。當用戶身份和訪問許可權驗證之後,還需要對越權操作進行監控。因此,訪問控制的內容包括認證、控制策略實現和安全審計。
⑩ 訪問控制技術的類型機制
訪問控制可以分為兩個層次:物理訪問控制和邏輯訪問控制。物理訪問控制如符合標准規定的用戶、設備、門、鎖和安全環境等方面的要求,而邏輯訪問控制則是在數據、應用、系統、網路和許可權等層面進行實現的。對銀行、證券等重要金融機構的網站,信息安全重點關注的是二者兼顧,物理訪問控制則主要由其他類型的安全部門負責。 主要的訪問控制類型有3種模式:自主訪問控制(dac)、強制訪問控制(mac)和基於角色訪問控制(rbac)。
1)自主訪問控制
自主訪問控制(discretionary access control,dac)是一種接入控制服務,通過執行基於系統實體身份及其到系統資源的接入授權。包括在文件,文件夾和共享資源中設置許可。用戶有權對自身所創建的文件、數據表等訪問對象進行訪問,並可將其訪問權授予其他用戶或收回其訪問許可權。允許訪問對象的屬主制定針對該對象訪問的控制策略,通常,可通過訪問控制列表來限定針對客體可執行的操作。
①每個客體有一個所有者,可按照各自意願將客體訪問控制許可權授予其他主體。
②各客體都擁有一個限定主體對其訪問許可權的訪問控制列表(acl)。
③每次訪問時都以基於訪問控制列表檢查用戶標志,實現對其訪問許可權控制。
④dac的有效性依賴於資源的所有者對安全政策的正確理解和有效落實。
dac提供了適合多種系統環境的靈活方便的數據訪問方式,是應用最廣泛的訪問控制策略。然而,它所提供的安全性可被非法用戶繞過,授權用戶在獲得訪問某資源的許可權後,可能傳送給其他用戶。主要是在自由訪問策略中,用戶獲得文件訪問後,若不限制對該文件信息的操作,即沒有限制數據信息的分發。所以dac提供的安全性相對較低,無法對系統資源提供嚴格保護。
2)強制訪問控制
強制訪問控制(mac)是系統強制主體服從訪問控制策略。是由系統對用戶所創建的對象,按照規定的規則控制用戶許可權及操作對象的訪問。主要特徵是對所有主體及其所控制的進程、文件、段、設備等客體實施強制訪問控制。在mac中,每個用戶及文件都被賦予一定的安全級別,只有系統管理員才可確定用戶和組的訪問許可權,用戶不能改變自身或任何客體的安全級別。系統通過比較用戶和訪問文件的安全級別,決定用戶是否可以訪問該文件。此外,mac不允許通過進程生成共享文件,以通過共享文件將信息在進程中傳遞。mac可通過使用敏感標簽對所有用戶和資源強制執行安全策略,一般採用3種方法:限制訪問控制、過程式控制制和系統限制。mac常用於多級安全軍事系統,對專用或簡單系統較有效,但對通用或大型系統並不太有效。
mac的安全級別有多種定義方式,常用的分為4級:絕密級(top secret)、秘密級(secret)、機密級(confidential)和無級別級(unclas sified),其中t>s>c>u。所有系統中的主體(用戶,進程)和客體(文件,數據)都分配安全標簽,以標識安全等級。
通常mac與dac結合使用,並實施一些附加的、更強的訪問限制。一個主體只有通過自主與強制性訪問限制檢查後,才能訪問其客體。用戶可利用dac來防範其他用戶對自己客體的攻擊,由於用戶不能直接改變強制訪問控制屬性,所以強制訪問控制提供了一個不可逾越的、更強的安全保護層,以防範偶然或故意地濫用dac。
3)基於角色的訪問控制
角色(role)是一定數量的許可權的集合。指完成一項任務必須訪問的資源及相應操作許可權的集合。角色作為一個用戶與許可權的代理層,表示為許可權和用戶的關系,所有的授權應該給予角色而不是直接給用戶或用戶組。
基於角色的訪問控制(role-based access control,rbac)是通過對角色的訪問所進行的控制。使許可權與角色相關聯,用戶通過成為適當角色的成員而得到其角色的許可權。可極大地簡化許可權管理。為了完成某項工作創建角色,用戶可依其責任和資格分派相應的角色,角色可依新需求和系統合並賦予新許可權,而許可權也可根據需要從某角色中收回。減小了授權管理的復雜性,降低管理開銷,提高企業安全策略的靈活性。
rbac模型的授權管理方法,主要有3種:
①根據任務需要定義具體不同的角色。
②為不同角色分配資源和操作許可權。
③給一個用戶組(group,許可權分配的單位與載體)指定一個角色。
rbac支持三個著名的安全原則:最小許可權原則、責任分離原則和數據抽象原則。前者可將其角色配置成完成任務所需要的最小許可權集。第二個原則可通過調用相互獨立互斥的角色共同完成特殊任務,如核對賬目等。後者可通過許可權的抽象控制一些操作,如財務操作可用借款、存款等抽象許可權,而不用操作系統提供的典型的讀、寫和執行許可權。這些原則需要通過rbac各部件的具體配置才可實現。 訪問控制機制是檢測和防止系統未授權訪問,並對保護資源所採取的各種措施。是在文件系統中廣泛應用的安全防護方法,一般在操作系統的控制下,按照事先確定的規則決定是否允許主體訪問客體,貫穿於系統全過程。
訪問控制矩陣(access contro1 matrix)是最初實現訪問控制機制的概念模型,以二維矩陣規定主體和客體間的訪問許可權。其行表示主體的訪問許可權屬性,列表示客體的訪問許可權屬性,矩陣格表示所在行的主體對所在列的客體的訪問授權,空格為未授權,y為有操作授權。以確保系統操作按此矩陣授權進行訪問。通過引用監控器協調客體對主體訪問,實現認證與訪問控制的分離。在實際應用中,對於較大系統,由於訪問控制矩陣將變得非常大,其中許多空格,造成較大的存儲空間浪費,因此,較少利用矩陣方式,主要採用以下2種方法。
1)訪問控制列表
訪問控制列表(access control list,acl)是應用在路由器介面的指令列表,用於路由器利用源地址、目的地址、埠號等的特定指示條件對數據包的抉擇。是以文件為中心建立訪問許可權表,表中記載了該文件的訪問用戶名和權隸屬關系。利用acl,容易判斷出對特定客體的授權訪問,可訪問的主體和訪問許可權等。當將該客體的acl置為空,可撤消特定客體的授權訪問。
基於acl的訪問控制策略簡單實用。在查詢特定主體訪問客體時,雖然需要遍歷查詢所有客體的acl,耗費較多資源,但仍是一種成熟且有效的訪問控制方法。許多通用的操作系統都使用acl來提供該項服務。如unix和vms系統利用acl的簡略方式,以少量工作組的形式,而不許單個個體出現,可極大地縮減列表大小,增加系統效率。
2)能力關系表
能力關系表(capabilities list)是以用戶為中心建立訪問許可權表。與acl相反,表中規定了該用戶可訪問的文件名及許可權,利用此表可方便地查詢一個主體的所有授權。相反,檢索具有授權訪問特定客體的所有主體,則需查遍所有主體的能力關系表。 通過介紹單點登入sso的基本概念和優勢,主要優點是,可集中存儲用戶身份信息,用戶只需一次向伺服器驗證身份,即可使用多個系統的資源,無需再向各客戶機驗證身份,可提高網路用戶的效率,減少網路操作的成本,增強網路安全性。根據登入的應用類型不同,可將sso分為3種類型。
1)對桌面資源的統一訪問管理
對桌面資源的訪問管理,包括兩個方面:
①登入windows後統一訪問microsoft應用資源。windows本身就是一個「sso」系統。隨著.net技術的發展,「microsoft sso」將成為現實。通過active directory的用戶組策略並結合sms工具,可實現桌面策略的統一制定和統一管理。
②登入windows後訪問其他應用資源。根據microsoft的軟體策略,windows並不主動提供與其他系統的直接連接。現在,已經有第三方產品提供上述功能,利用active directory存儲其他應用的用戶信息,間接實現對這些應用的sso服務。
2)web單點登入
由於web技術體系架構便捷,對web資源的統一訪問管理易於實現。在目前的訪問管理產品中,web訪問管理產品最為成熟。web訪問管理系統一般與企業信息門戶結合使用,提供完整的web sso解決方案。
3)傳統c/s 結構應用的統一訪問管理
在傳統c/s 結構應用上,實現管理前台的統一或統一入口是關鍵。採用web客戶端作為前台是企業最為常見的一種解決方案。
在後台集成方面,可以利用基於集成平台的安全服務組件或不基於集成平台的安全服務api,通過調用信息安全基礎設施提供的訪問管理服務,實現統一訪問管理。
在不同的應用系統之間,同時傳遞身份認證和授權信息是傳統c/s結構的統一訪問管理系統面臨的另一項任務。採用集成平台進行認證和授權信息的傳遞是當前發展的一種趨勢。可對c/s結構應用的統一訪問管理結合信息匯流排(eai)平台建設一同進行。