1.访问控制
访问控制就是限制访问主体对访问客体的访问权限控制,决定主体对客体能做什么和做到什么程度
访问主体(主动):用户,进程,服务
访问客体(被动):数据库,资源,文件
2.访问控制的两个过程
认证:先由认证来检验主体(用户)的合法身份,在访问控制之前
授权:由管理员决定和限制主体(用户)对资源的访问级别
!!注意:审计也在主体对客体访问的过程中,但是,审计是访问过程中,对访问情况的记录和审查,他只是产生一些log,用来分析安全事故产生的原因,和访问控制无关,就是个辅助用的,可要可不要。
3.访问控制的机制
自主访问控制:主体一开始就有一定的访问权限,主体能自由的使用这个权限,还能将权限转移给另一个主体。
强制访问控制:这是管理员对主体赋予的安全级别,主体不能改变和转移这个级别,访问控制会根据这个级别来限制主体能访问的对象,安全级别:绝密级,秘密,机密,限制,无秘。
基于角色的访问控制:管理员对给主体分配的角色,不同的角色有不同的访问权,主体不能改变和转移,但是能申请其他角色。
基于任务的访问控制:这里的主体的访问权限是动态的,就是主体的权限会随着任务状态不同而不同,这个多用于分布式计算和多点访问控制的信息处理控制,以及在工作流,分布式处理和事务管理系统中的决策动态的赋予进行下一步的权限。
基于对象的访问控制:把主体和客体弄成两个对象,这两个对象之间的关系由系统的不断进化而有不同的访问情况,实现更加灵活的访问。
4.访问控制的应用
MAC地址过滤:根据交换机的MAC地址过滤,限制主机和服务器之间访问。
VLAN隔离:隔离的是用户组,这样两个分组之间不能通信。
ACL访问控制列表:路由器中在网络层上用包过滤中的源地址,目的地址,端口来管理访问权限。
防火墙访问控制:在主机网络通信中的防火墙使用控制访问。
|