【正文】 控制 基于角色 訪問控制 訪問控制 表 52訪問矩陣 客 體 主體 O1 O2 O3 S1 讀 /寫 S2 寫 讀 S3 管理 訪問控制技術(shù) （ DACdiscretionary Access Control） 自主訪問控制是由客體自主地確定各個(gè)主體對它的直接訪問權(quán)限（又稱訪問模式）。 對象包括終端 、 文本和文件 ， 系統(tǒng)用戶和程序被定義為主體 。 訪問控制定義 訪問控制技術(shù) 訪問控制的手段分類說明 物理類控制手段 管理類控制手段 技術(shù)類控制手段 防 御 型 控 制 文書備份 安全知識培訓(xùn) 訪問控制軟件 圍墻和柵欄 職務(wù)分離 防病毒軟件 保安 職員雇用手續(xù) 庫代碼控制系統(tǒng) 證件識別系統(tǒng) 職員離職手續(xù) 口令 加鎖的門 監(jiān)督管理 智能卡 雙供電系統(tǒng) 災(zāi)難恢復(fù)和應(yīng)急計(jì)劃 加密 生物識別型門禁系統(tǒng) 計(jì)算機(jī)使用的登記 撥號訪問控制和回叫系統(tǒng) 工作場所的選擇 滅火系統(tǒng) 訪問控制技術(shù) 訪問控制技術(shù) 訪問控制的手段分類說明 防 御 型 控 制 移動監(jiān)測探頭 安全評估和審計(jì) 日志審計(jì) 煙感和溫感探頭 性能評估 入侵探測系統(tǒng) 閉路監(jiān)控 強(qiáng)制假期 傳感和報(bào)警系統(tǒng) 背景調(diào)查 職務(wù)輪換 物理類控制手段 管理類控制手段 技術(shù)類控制手段 訪問控制模型是用于規(guī)定如何作出訪問決定的模型 。資源可以包括物理實(shí)體如打印機(jī)、盤庫、路由器和邏輯實(shí)體如用戶和用戶組。 （ 8） 綜合型控制 使用兩個(gè)或更多的控制來加強(qiáng)對功能、程序或操作的控制效果。 （ 4） 管理型控制 用于管理系統(tǒng)的開發(fā) 、 維護(hù)和使用 ，針對系統(tǒng)的策略 、 規(guī)程 、 行為規(guī)范 、 個(gè)人的角色和義務(wù) 、個(gè)人職能和人事安全決策 。訪問控制是整體安全控制的一部分 。 例如 ， 人是主體 ， 文件是客體 。 管理通過計(jì)劃 、 組織和指導(dǎo)一系列有效的活動為目的和目標(biāo)的達(dá)成提供保障 。 客體 （ Object） 是指包含或接受信息的被動實(shí)體 。 通過本章的學(xué)習(xí) ， 學(xué)生應(yīng)該掌握以下內(nèi)容： (1)理解訪問控制技術(shù)的定義 、 分類 、 手段 、 模型； (2)理解防火墻基本概念 、 作用 、 分類 、 基本原理 、組成； (3)掌握防火墻基本實(shí)現(xiàn)技術(shù)； (4)掌握網(wǎng)絡(luò)隔離基本原理及實(shí)現(xiàn)技術(shù)； (5)掌握簡單防火墻軟件的使用 。 本章學(xué)習(xí)目標(biāo) 訪問控制技術(shù) 訪問 是使信息在 主體和對象 間流動的一種交互方式 。 對客體的訪問意味著對其中所包含信息的訪問 。 這樣 ， 控制就成為適當(dāng)?shù)墓芾碛?jì)劃 、 組織和指導(dǎo)的必然結(jié)果 。 “ 保護(hù)資產(chǎn) ” 是內(nèi)部控制和訪問控制的共同目標(biāo) 。 訪問控制定義 訪問控制技術(shù) 安全控制包括六種類型的主要控制手段：其功能為： （ 1） 防御型控制 用于阻止不良事件的發(fā)生 。 （ 5） 技術(shù)型控制 是用于為信息技術(shù)系統(tǒng)和應(yīng)用提供自動保護(hù)的硬件和軟件控制手段 。這樣兩個(gè)控制協(xié)同工作能夠強(qiáng)化整個(gè)控制環(huán)境。規(guī)避型控制的目的是將兩個(gè)實(shí)體彼此分開以保證實(shí)體的安全和可靠。傳統(tǒng)的訪問控制模型包括一組由操作規(guī)則定義的基本操作狀態(tài) 。 操作是主體和對象的交互 。 這種方法能夠控制主體對客體的直接訪問，但不能控制主體對客體的間接訪問 (利用訪問的傳遞性，即 A可訪問B， B可訪問 C，于是 A可訪問 C)。它是基于安全標(biāo)識和信息分級等信息敏感性的訪問控制 。用戶的訪問權(quán)限也類似定義，即擁有相應(yīng)權(quán)限的用戶可以訪問對應(yīng)安全級別的數(shù)據(jù)，從而避免了自主訪問控制方法中出現(xiàn)的訪問傳遞問題。角色包括職務(wù)特征、任務(wù)、責(zé)任、義務(wù)和資格。 (3)具有提供最小權(quán)限的能力 ， 由于可以按照角色的具體要求來定義對客體的訪問權(quán)限 ， 因此具有針對性 ， 不出現(xiàn)多余的訪問權(quán)限 ， 從而降低了不安全性 。訪問控制是由訪問者在機(jī)構(gòu)中的角色決定的。 這些授權(quán)對于主體可表示為訪問權(quán)限 ， 對于客體可表示為訪問模式 。 訪問控制技術(shù) 主機(jī)訪問控制的基本方案 User A Own R W O User B R O User C R W O Object1 維護(hù)訪問控表和實(shí)施訪問控制本質(zhì)上是系統(tǒng)和圍繞目標(biāo)的環(huán)境的責(zé)任。 訪問控制技術(shù) 主機(jī)訪問控制的基本方案 身份 類型 允許權(quán)限 拒絕 權(quán)限 時(shí)間限制 位置 限制 用戶 A 個(gè)人 讀、寫、管理 用戶 B 組 讀 用戶 C 角色 寫、 管理 用戶 D 組 讀、寫 管理 8： 0020：00 本地 終端 表 53 訪問控制列表示例 訪問控制技術(shù) 主機(jī)訪問控制的基本方案 訪問控制列表最適合于有相對少的需要補(bǔ)區(qū)分的用戶，并且這些用戶中的絕大多數(shù)是穩(wěn)定的情況。 這種方法的優(yōu)缺點(diǎn)與直 ACL相反 。然而，訪問能力適合于聯(lián)系相對少的目標(biāo)，并且對發(fā)起者訪問控制決策容易實(shí)現(xiàn)的情況。每個(gè)關(guān)系表示一個(gè)主 體對一個(gè)客體的訪問權(quán)限，并使用關(guān)系式數(shù)據(jù)庫來存放 這個(gè) 訪問矩陣 。訪問能力方案的實(shí)施主要依賴于在系統(tǒng)間所采用的安全傳遞能力。 訪問控制決定需要考慮機(jī)構(gòu)的策略 、 員工的職務(wù)描述 、 信息的敏感性 、用戶的職務(wù)需求等因素 。當(dāng)用戶對信息的需求發(fā)生變化時(shí)，只能由這個(gè)管理者改變用戶的訪問權(quán)限。但是，當(dāng)需要快速而大量修改訪問權(quán)限時(shí)，管理者的工作負(fù)擔(dān)和壓力就會很大。 在任一時(shí)刻 ， 很難確定整個(gè)系統(tǒng)所有的用戶的訪問控制情況 。 它的特點(diǎn)是由集中式管理負(fù)責(zé)整個(gè)機(jī)構(gòu)中基本的訪問控制 ，而由職能管理者就其所負(fù)責(zé)的資源對用戶進(jìn)行具體的訪問控制 。它是通過在網(wǎng)絡(luò)邊界上建立起來的相應(yīng)網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)來隔離內(nèi)部和外部網(wǎng)絡(luò)，以確定哪些內(nèi)部服務(wù)允許外部訪問，以及允許哪些外部服務(wù)訪問內(nèi)部服務(wù)，阻擋外部網(wǎng)絡(luò)的入侵。 它們充當(dāng)訪問網(wǎng)絡(luò)的唯一入口點(diǎn) ， 并且判斷是否接收某個(gè)連接請求 。 ? 將不安全網(wǎng)絡(luò)轉(zhuǎn)變成安全網(wǎng)絡(luò) 。 作為訪問的唯一點(diǎn) ， 防火墻能在被保護(hù)的網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間進(jìn)行記錄 ， 對網(wǎng)絡(luò)存取訪問進(jìn)行和統(tǒng)計(jì) 。 因此 ， 網(wǎng)點(diǎn)系統(tǒng)名字和 IP地址都不要提供給 Inter。 SOCKS協(xié)議： IETF的 AFT（ Authenticated Firewall Traversal） 工作組開發(fā)了一種同時(shí)支持 TCP和 UDP應(yīng)用 穿越防火墻的通用認(rèn)證框架。 防火墻可以禁止系統(tǒng)用戶經(jīng)過網(wǎng)絡(luò)連接發(fā)送專有的信息 ， 但用戶可以將數(shù)據(jù)復(fù)制到磁盤 、 磁帶上 ， 放在 公文包中帶出去 。 防火墻概述 防火墻技術(shù) (3)防火墻不能防范病毒 一般防火墻不對專用網(wǎng)提供防護(hù)外部病毒的侵犯 。 防火墻概述 防火墻技術(shù) 防火墻系統(tǒng)的體系結(jié)構(gòu)可以說成為夠成防火墻系統(tǒng)的拓?fù)浣Y(jié)構(gòu) 。 它們被廣泛用于兩個(gè)或多個(gè)局域網(wǎng)的系統(tǒng)中 。 類似的 ， 主機(jī) B可以訪問雙宿主機(jī)上的應(yīng)用程序 B。防火墻內(nèi)部的系統(tǒng)能與雙宿主機(jī)通信，同時(shí)防火墻外部的系統(tǒng)（在 Inter上）能與雙宿主機(jī)通信，但是這些系統(tǒng)不能直接互相通信。 如果路由意外地設(shè)有配置 ， 且 IP轉(zhuǎn)發(fā)允許 ， 那么雙宿主防火墻的應(yīng)用層功能就可能被越過 。 使用一個(gè)單獨(dú)的路由器控制所有出入內(nèi)部網(wǎng)的訪問， 并將所有的請求傳送給堡壘主機(jī) 。 用兩個(gè)分組過濾路由器和一個(gè)堡壘主機(jī) ， 在內(nèi)部網(wǎng)絡(luò)與 Inter之間有一個(gè)小型的獨(dú)立網(wǎng)絡(luò) ， 即通過添加周邊網(wǎng)絡(luò)更進(jìn)一步地把內(nèi)部網(wǎng)絡(luò)與 Inter隔離開， 如圖所示 。 屏蔽子網(wǎng)中的主機(jī)是內(nèi)部網(wǎng)和 Inter都能訪問唯一系統(tǒng) ， 他支持網(wǎng)絡(luò)層和應(yīng)用層安全功能 。 堡壘主機(jī)是一個(gè)組織的網(wǎng)絡(luò)安全的中心主機(jī) 。 ? 每個(gè)代理在堡壘主機(jī)上都以非特權(quán)用戶的身份運(yùn)行在其自己的并且是安全的目錄中。 內(nèi)部路由器為用戶的防火墻執(zhí)行大部分的數(shù)據(jù)包過濾工作 。 限制堡壘主機(jī)和內(nèi)部網(wǎng)之間服務(wù)的理由是減少由此而導(dǎo)致的受到來自堡壘主機(jī)侵襲的機(jī)器的數(shù)量 。 實(shí)際上外部路由器能有效地執(zhí)行的安全任務(wù)之一是：阻止從 Inter上偽造源地址進(jìn)來的任何數(shù)據(jù)包 。 采用哪種技術(shù)主要取決于經(jīng)費(fèi) ， 投資的大小或技術(shù)人員的技術(shù) 、 時(shí)間等因素 。通信接口支配著控制裝置，允許內(nèi)部與外部網(wǎng)絡(luò)之間建立連接。 防火墻技術(shù) 欲保護(hù)網(wǎng)絡(luò)的一種辦法是正確配置過濾器 ， 路由能夠區(qū)分網(wǎng)絡(luò)流量 、 協(xié)議特寫的標(biāo)準(zhǔn) ， 路由在其端口具有區(qū)分分組和限制分組的能力叫作 分組過濾 。 分組過濾路由器對每個(gè)進(jìn)入的 IP分組使用一個(gè)規(guī)則集合 ， 然后轉(zhuǎn)發(fā)或者丟棄該分組 。如圖 513所示數(shù)據(jù)包過濾路由器用于 OSI七層模型中的例子。如果和任何規(guī)則都不能匹配，那就采取一個(gè)默認(rèn)動作。在每個(gè)集合中，規(guī)則是自頂向下應(yīng)用的。 防火墻技術(shù) 動作 我們的主機(jī) 端口 他們的主機(jī) 端口 注釋 阻塞 ＊ ＊ SPIGOT * 我們不相信這些人 允許 OURGW 25 ＊ ＊ 連接到我們的 SMTP端口 （ 1） 過濾規(guī)則 表 56 表 56所示的規(guī)則顯式說明是默認(rèn)策略。 這條規(guī)則的問題在于使用端口 25作為 SMTP接收者只是默認(rèn)的；外部的機(jī)器可能配置成將某個(gè)其他應(yīng)用連接到端口 25。 一旦建立連接 ， 另一方發(fā)送的確認(rèn)報(bào)文段中的 TCP報(bào)文段的 ACK標(biāo)記會被置位 。大多數(shù)服務(wù)器，因此也是大多數(shù)的攻擊目標(biāo)，存在于低編號的端口；大多數(shù)的輸出調(diào)用傾向于使用更高編號的端口，典型 1023以上。 2） 源站選路攻擊 源站說明了分組穿過 Inter應(yīng)該采用的路由 ， 希望可以繞過不對源路由選擇信息進(jìn)行分析的安全檢查 。 攻擊者希望只有第一個(gè)分片被過濾路由器檢查 ， 剩余的分片就會被傳遞過去 。許多路由對欺騙性攻擊很脆弱。 它擔(dān)任應(yīng)用級通信量的中繼 ， 應(yīng)用網(wǎng)關(guān)與 ISO七層模型如圖 514所示 ， 其核心是運(yùn)行于防火墻主機(jī)上的代理服務(wù)器進(jìn)程 ， 代理網(wǎng)絡(luò)用戶完成 TCP/IP功能 。 攻擊者即使攻破了外部的郵件系統(tǒng) ， 也仍然被內(nèi)部路由器所阻擋 ， 無法通過 SMTP連接攻擊內(nèi)部系統(tǒng) 。 防火墻技術(shù) （ 2） 代理服務(wù)器特點(diǎn) 優(yōu)點(diǎn)： 代理服務(wù)器比分組過濾器更安全 。 防火墻技術(shù) （ 1） 代理服務(wù)器特點(diǎn) 缺點(diǎn)： 是每個(gè)連接上增加