【正文】 24.10.2024.10.2022:04:2222:04:22October 20, 2024 加強(qiáng)自身建設(shè)，增強(qiáng)個(gè)人的休養(yǎng)。大部分情況下應(yīng)使用公鑰證書(shū)+屬性證書(shū)的方式實(shí)現(xiàn)屬性的管理。 與用戶相比角色是相對(duì)穩(wěn)定的。如果一個(gè)客體的安全級(jí)支配主體的安全級(jí)，則主體可寫(xiě)客體，即主體只能向上寫(xiě)，不能向下寫(xiě)。,2024/10/20,信息安全案例教程：技術(shù)與應(yīng)用,13,4.4 訪問(wèn)控制 4.4.3 強(qiáng)制訪問(wèn)控制,安全級(jí)中包括一個(gè)保密級(jí)別，范疇集包含任意多個(gè)范疇。每個(gè)主體都有一張能力表，用于說(shuō)明可以訪問(wèn)的客體及其訪問(wèn)權(quán)限。 安全訪問(wèn)規(guī)則：用以確定一個(gè)主體是否對(duì)某個(gè)客體擁有某種訪問(wèn)權(quán)力。數(shù)據(jù)庫(kù)是動(dòng)態(tài)的，它會(huì)隨著主體和客體的產(chǎn)生或刪除及其權(quán)限的改變而改變。,2024/10/20,信息安全案例教程：技術(shù)與應(yīng)用,10,4.4 訪問(wèn)控制 4.4.2 自主訪問(wèn)控制,由客體的屬主對(duì)自己的客體進(jìn)行管理，由屬主自己決定是否將自己客體的訪問(wèn)權(quán)或部分訪問(wèn)權(quán)授予其他主體，這種控制方式是自主的，我們把它稱為自主訪問(wèn)控制(DAC，Discretionary Access Control)。如果兩個(gè)安全級(jí)的范疇互不包含，則這兩個(gè)安全級(jí)不可比。,2024/10/20,信息安全案例教程：技術(shù)與應(yīng)用,18,4.4 訪問(wèn)控制 4.4.3 強(qiáng)制訪問(wèn)控制,3. 加強(qiáng)完整性的強(qiáng)制訪問(wèn)控制模型 ClarkWilson模型的特點(diǎn)有以下幾個(gè)方面： 采用主體(Subject)/事務(wù)(Program)/客體(Object)三元素的組成方式，主體要訪問(wèn)客體只能通過(guò)程序進(jìn)行。,2024/10/20,信息安全案例教程：技術(shù)與應(yīng)用,23,4.4 訪問(wèn)控制 4.4.4 基于角色的訪問(wèn)控制,RBAC核心模型中包含了五個(gè)基本靜態(tài)集合：用戶集(Users)、角色集(Roles)、對(duì)象集(Objects)、操作集(Operators)和權(quán)限集(Perms)，以及一個(gè)運(yùn)行過(guò)程中動(dòng)態(tài)維護(hù)的集合——會(huì)話集(Sessions),2024/10/20,信息安全案例教程：技術(shù)與應(yīng)用,24,4.4 訪問(wèn)控制 4.4.4 基于角色的訪問(wèn)控制,RBAC的特點(diǎn) 便于授權(quán)管理 便于根據(jù)工作需要分級(jí) 便于賦予最小權(quán)限 便于任務(wù)分擔(dān) 便于文件分級(jí)管理 便于大規(guī)模實(shí)現(xiàn),信息安全案例教程：技術(shù)與應(yīng)用,25,4.4 訪問(wèn)控制 4.4.5 基于PMI的授權(quán)與訪問(wèn)控制1．構(gòu)建PMI的必要性,PKI通過(guò)方便靈活的密鑰和證書(shū)管理方式，提供了在線身份認(rèn)證——“他是誰(shuí)”的有效手段，并為訪問(wèn)控制、抗抵賴、保密性等安全機(jī)制在系統(tǒng)中的實(shí)施奠定了基礎(chǔ)。,2024/10/20,信息安全案例教程：技術(shù)與應(yīng)用,29,4.4 訪問(wèn)控制 4.4.5 基于PMI的授權(quán)與訪問(wèn)控制 2．PMI基本概念,就像現(xiàn)實(shí)生活中一樣，網(wǎng)絡(luò)世界中的每個(gè)用戶也有各種屬性，屬性決定了用戶的權(quán)力。下午10時(shí)4分22秒下午10時(shí)4分22:04:2224.10.20 每天都是美好的一天，新的一天開(kāi)啟。,2024/10/20,信息安全案例教程：技術(shù)與應(yīng)用,30,4.4 訪問(wèn)控制 4.4.5 基于PMI的授權(quán)與訪問(wèn)控制 3．基于PMI的授權(quán)與訪問(wèn)控制模型,基本模型 控制模型 委托模型 角色模型,2024/10/20,生活中的辛苦阻撓不了我對(duì)生活的熱愛(ài)。 但是，將用戶的身份信息和授權(quán)信息捆綁在一起管理存在以下幾個(gè)方面的問(wèn)題。比如在某個(gè)領(lǐng)域有兩個(gè)競(jìng)爭(zhēng)對(duì)手同時(shí)選擇了一個(gè)投資銀行作為他們的服務(wù)機(jī)構(gòu)，而這個(gè)銀行出于對(duì)這兩個(gè)客戶的商業(yè)機(jī)密的保護(hù)就只能為其中一個(gè)客戶提供服務(wù)。即使是系統(tǒng)安全管理員修改