my eclipse网站开发,建设企业功能型网站,做网站能收多少广告费,wordpress oss 水印本文为作者学习文章#xff0c;按作者习惯写成#xff0c;如有错误或需要追加内容请留言#xff08;不喜勿喷#xff09;
本文为追加文章#xff0c;后期慢慢追加
by 2023年10月
访问控制概念
访问控制是计算机安全的一个重要组成部分#xff0c;用于控制用户或程序如…本文为作者学习文章按作者习惯写成如有错误或需要追加内容请留言不喜勿喷
本文为追加文章后期慢慢追加
by 2023年10月
访问控制概念
访问控制是计算机安全的一个重要组成部分用于控制用户或程序如何使用系统资源。访问控制的目标是确保只有经过授权的用户或程序可以访问特定的资源例如文件、文件夹、系统设置、网络服务和数据库等。
访问控制由以下三个概念构成 主体主体是指被授权或未经授权试图访问系统的用户、程序或进程。 资源资源是指需要被保护的系统资源例如文件、数据、设备或服务等。 访问控制规则访问控制规则是指由系统管理员定义的规则用于限制主体对资源的访问权限。根据访问控制规则的不同主体可以被授予不同的访问权限例如读取、写入、执行或删除等。
在实现访问控制时通常会采用多层次的安全措施例如认证、授权、审计和加密等技术。这些技术可以帮助系统管理员有效地控制和保护敏感信息和系统资源。
访问控制的主要目标
确保只有经过授权的用户、程序或进程可以访问特定的系统资源。以下是访问控制的目标 保护系统资源访问控制的主要目标是保护系统资源免受未经授权的访问或恶意攻击。这可以防止数据泄露、系统崩溃或破坏等安全问题。 实现数据保密性访问控制可以确保只有授权用户可以访问敏感信息从而保护数据的保密性。 管理权限访问控制可以帮助管理员控制和管理用户权限即用户可以做什么和不能做什么。这可以确保用户只能执行必要的任务防止滥用权限和误操作。 管理身份验证访问控制可以提供身份验证机制以确保只有经过身份验证的用户可以访问资源。这可以防止身份伪造和欺诈。 管理审计访问控制可以记录用户活动和系统事件以帮助管理员审计用户行为。这可以帮助发现潜在的安全问题和保证合规性。
综上所述访问控制的目标是保护系统资源实现数据保密性管理权限管理身份验证和管理审计。它是计算机安全的重要组成部分可以帮助组织保护敏感信息和系统资源。
访问控制模型
参考监视器访问控制模型组成要素主要有主体(Subject).(Reference Monitor) 、客体(Object) 、访问控制数据库、审计库。 访问控制模型组成要素
主体是客体的操作实施者。实体通常是人、进程或设备等一般是代表用户执行操作的进程。客体是被主体操作的对象参考监视器是访问控制的决策单元和执行单元的集合体访问控制数据库记录主体访问客体的权限及其访问方式的信息提供访问控制决策判断的依据也称为访问控制策略库。审计库存储主体访问客体的操作信息包括访问成功访问失败以及访问操作信息。
访问控制类型
访问控制列表Access Control ListACL基于角色的访问控制Role-Based Access ControlRBAC强制访问控制Mandatory Access ControlMAC自主访问控制Discretionary Access ControlDAC基于属性的访问控制Attribute-Based Access ControlABAC
自主访问控制
自主访问控制DAC是一种访问控制机制它根据主体如用户对资源如文件或目录的自主权来控制对资源的访问。这意味着主体拥有对自己所拥有的资源进行控制的权力例如决定其他主体是否可以访问、修改或删除该资源。
基于行的自主访问控制方法是在每个主体上都附加一个该主体可访问的客体的明细表根据表中信息的不同又可分成三种形式即能力表(capability list) 、前缀表(profiles) 和口令(password)。
能力表。能力是访问客体的钥匙它决定用户能否对客体进行访问以及具有何种访问模式读、写、执行)。拥有一定能力的主体可以按照给定的模式访问客体。前缀表。前缀表包括受保护客体名和主体对它的访问权限。当主体要访问某客体时自主访问控制机制检查主体的前缀是否具有它所请求的访问权。口令。在基于口令机制的自主存取控制机制中每个客体都相应地有一个口令。主体在对客体进行访问前必须向系统提供该客体的口令。如果正确它就可以访问该客体。
基于列的自主访问控制机制是在每个客体上都附加一个可访问它的主体的明细表它有两种形式即保护位(protection bits)和访问控制表(Access Control List, ACL)。
保护位。这种方法通过对所有主体、主体组以及客体的拥有者指明一个访问模式集合通常以比特位来表示访问权限。UNIX/Linux 系统就利用这种访问控制方法。访问控制表。访问控制表简称ACL,它是在每个客体上都附加一个主体明细表表示访问控制矩阵。表中的每项都包括主体的身份和主体对该客体的访问权限。
自主访问控制优点:访问机制简单、灵活 自主访问控制缺点:实施依赖于用户的安全意识和技能不能满足高安全等级的安全要求。
强制访问控制 强制访问控制(Mandatory Access (ontrol,MAC)是指系统根据主体和客体的安全属性以强制方式控制主体对客体的访问。与自主访问控制相比较强制访问控制更加严格。BLP和Biba模型都属于强制访问控制。
在政府部门、军事和金融等领域常利用强制访问控制机制将系统中的资源划分安全等级和不同类别然后进行安全管理。
基于角色的访问控制
基于角色的访问控制Role-Based Access ControlRBAC是一种常见的访问控制机制用于控制用户对系统资源的访问。在基于角色的访问控制中用户被分配到一个或多个角色而每个角色具有一组权限用于访问系统中的不同资源。用户可以访问与他们角色相对应的资源而不能访问与他们角色不符合的资源。 基于角色的访问控制(RBACL是指根据完成某些职责任务所需要的访问权限来进行授权和管理。RBAC 由用户U、角色R、会话S 和权限P四个基本要素组成。
基于角色的访问控制有以下优点 管理简单通过角色来定义权限降低了管理的复杂性避免了在管理多个用户时需要分别分配权限的麻烦。 安全可控基于角色的访问控制控制了用户对系统资源的访问权限从而保证了系统的安全性。 可扩展性好当系统需要增加新的用户或资源时只需要将新用户分配到相应的角色或将新资源的权限分配给现有的角色即可。 便于审计基于角色的访问控制记录用户访问资源的信息便于对系统的安全性进行审计。
基于属性的访问控制
基于属性的访问控制ABAC是一种访问控制模型它使用多个属性如用户、资源、环境和行为特征进行决策。这种访问控制模型允许管理员为每个属性定义规则并将其组合以形成访问控制策略。属性可以包括任何与访问控制相关的信息例如时间、位置、设备等。基于属性的访问控制可以增强访问控制的精度和灵活性还可以帮助组织遵守安全合规性要求。
访问控制策略
访问控制策略由所要控制的对象、访问控制规则、用户权限或其他访问安全要求组成。访问控制策略常见类型机房、拨号服务器、路由器、交换机、防火墙、主机、数据库、客户端、网络服务访问控制策略等。
访问控制规则 主要的访问控制规则
基于用户身份的访问控制规则基于角色的访问控制规则基于地址的访问控制规则基于时间的访问控制规则基于异常事件的访问控制规则基于服务数量的访问控制规则
访问控制过程 要实现访问控制管理一般需要五个步骤
第一步明确访问控制管理的资产例如网络系统的路由器、Web 服务等第二步分析管理资产的安全需求例如保密性要求、完整性要求、可用性要求等第三步制定访问控制策略确定访问控制规则以及用户权限分配第四步实现访问控制策略建立用户访问身份认证系统并根据用户类型授权用户访问资产第五步运行和维护访问控制系统及时调整访问策略。
最小特权原则(Principle of Least Privilege) 指系统中每一个主体只能拥有完成任务所必要的权限集。特权的分配原则是”按需使用(Need to Use)这条原则保证系统不会将权限过多地分配给用户从而可以限制特权造成的危害。用户管理是网络安全管理的重要内容之一其主要工作包括用户登记、用户权限分配、访问记录、权限监测、权限取消、撤销用户。
口令安全管理原则
口令选择应至少在8 个字符以上应选用大小写字母、数字、特殊字符组合禁止使用与账号相同的口令更换系统默认口令避免使用默认口令限制账号登录次数建议为3次禁止共享账号和口令口令文件应加密存放并只有超级用户才能读取禁止以明文形式在网络上传递口令口令应有时效机制保证经常更改并且禁止重用口令对所有的账号运行口令破解工具检查是否存在弱口令或没有口令的账号。
访问控制主要产品
访问控制的主要产品类型有4A 系统、安全网关、系统安令增强等
4A系统4A 是指认证(Authentication)、授权(Authorization)、账号(Account)、审计(Audit),中文名称为统安全管理平台平台集中提供账号、认证、授权和审计等网络安全服务。该产品的技术特点是集成了访问控制机制和功能提供多种访问控制服务。平台常用基于角色的访问控制方法以便于账号授权管理。安全网关安全网关产品的技术特点是利用网络数据包信息和网络安全威胁特征库对网络通信连接服务进行访问控制。这类产品是一种特殊的网络安全产品如防火墙、统一威胁管理(UTM)等
系统安全增强系统安全增强产品的技术特点是通常利用强制访问控制技术来增强操作系统、数据库系统的安防止特权滥用。如Linux的安全增强系统SELinux、Windows 操作系统加固等
访问控制主要技术指标
产品支持访问控制策略规则类型。一般来说规则类型多有利于安全控制细化和灵活授权管理。产品支持访问控制规则最大数量访问规则的数量多表示该产品具有较高的控制能力。产品访问控制规则检查速度:产品的主要性能指标速度快则意味着产品具有较好的性能产品自身安全和质量保障级别针对产品本身的安全所采用的保护措施产品防范网络攻击的能力产品所达到的国家信息安全产品的等级。
Linux 访问权限与方式
访问权限分为读read、写write、执行execute三种
并且涉及到文件所有者user、文件所属组group、其他人other三个主体。
选取上图红框中的两行为例结合下面的表格先讲一下基本结构
改变文件/目录的放我权限命令chomd [mode] filename 例:chmod 755testsh //755表示”创建者拥有读写可执行权限、同一组用户以及其他用户拥有读和执行权限
windows访问控制权限
Windows 用户登录到系统时WinLogon 进程为用户创建访问令牌包含用户及所属组的安全标识符(SID)作为用户的身份标识。文件等客体则含有自主访问控制列表(DACL),标明谁有权访问还含有系统访问控制列表SACL标明哪些主体的访问需要被记录。 DACL主要用于设置用户以及用户组对安全对象的访问权限 SACL用于配置对安全对象的访问的审计(生成日志) 每个ACL由多个 ACE(Access Control Entries)构成
IIS服务器访问控制权限
IISInternet Information Services服务器是一种Web服务器可以用来托管Web应用程序和网站。在IIS服务器上可以通过访问控制权限来限制用户对网站的访问。
以下是一些常见的访问控制权限 IP地址限制可以通过设置某些IP地址或IP地址范围来限制用户的访问。只有在指定的IP地址范围内的用户才能访问网站。 身份验证可以设置必须进行身份验证才能访问网站或特定页面。可以使用基本身份验证、Windows身份验证或其他第三方身份验证方式。 目录权限可以设置目录级别的权限来限制用户对文件和文件夹的访问。可以使用NTFS权限或IIS权限来实现。 SSL证书可以通过安装SSL证书来加密传输数据并限制只有拥有证书的用户才能访问网站。
以上是一些常见的访问控制权限可以根据实际情况进行选择和设置。
网络访问控制
网络通信连接控制常利用防火墙、路由器、网关等来实现通常将这些设备放在两个不同的通信网络的连接处使得所有的通信流都经过通信连接控制器只有当通信流符合访问控制规则时才允许通信正常进行。
基于VLAN的网络隔离:根据网络的功能和业务用途将网络划分为若干个小的子网(网段)或者是外部网和内部网以避免各网之间多余的信息交换。
