文档介绍:第4讲访问控制回顾在第3讲中介绍了物理安全的基本内容,对机房场地的环境要求,电源安全与电磁防护,容错与容灾等内容。另外介绍了身份认证、Kerberos认证系统、。?环境安全、电源系统安全、设备安全与通信线路安全。,环境安全主要涉及哪些?防水等。?指纹、笔迹、语音、虹膜、DNA等。?支付宝会员在申请数字证书时,将同时获得两张证书,一张用于验证支付宝账户,另一张用于验证会员当前所使用的计算机。第二张证书不能备份,会员必须为每一台计算机重新申请一张。这样即使会员的数字证书被他人非法窃取,仍可保证其账户不会受到损失访问是使信息在主体和对象间流动的一种交互方式。访问控制的目的是为了限制访问主体对访问客体的访问权限,能访问系统的何种资源以及如何使用这些资源。访问控制技术的概念•客体(Object):规定需要保护的资源,又称(target)。•主体(Subject):或称为发起者(Initiator),是一个主动的实体,规定可以访问该资源的实体,(通常指用户或代表用户执行的程序)。主体、客体和授权•授权(Authorization): 规定可对该资源执行的动作(例如读、写、执行或拒绝访问)。􀂾一个主体为了完成任务,可以创建另外的主体,这些子主体可以在网络上不同的计算机上运行,并由父主体控制它们。􀂾主客体的关系是相对的。访问控制的目标基本目标:防止对任何资源(如计算资源、通信资源或信息资源)进行未授权的访问。从而使计算机系统在合法范围内使用;决定用户能做什么,也决定代表一定用户利益的程序能做什么。未授权的访问包括:未经授权的使用、泄露、修改、销毁信息以及颁发指令等。–非法用户进入系统。–合法用户对系统资源的非法使用。访问控制的作用访问控制对机密性、完整性起直接的作用。对于可用性,访问控制通过对以下信息的有效控制来实现: (1)谁可以颁发影响网络可用性的网络管理指令 (2)谁能够滥用资源以达到占用资源的目的 (3)谁能够获得可以用于拒绝服务攻击的信息加密服务于访问控制加密技术是被用来提供实现访问控制的手段之一。方式:,,如加密文件以弥补主机访问控制之不足,以及IPsecVPN采用的强加密机制。控制是为了达成既定的目的和目标而采取的管理行动。管理通过计划、组织和指导一系列有效的活动为目的和目标的达成提供保障。这样,控制就成为适当的管理计划、组织和指导的必然结果。访问控制和安全内部控制的关系内部控制(InternalControl)是为了在组织内保障以下目标的实现而采取的方法:(1)信息的可靠性和完整性;(2)政策、计划、规程、法律、法规和合同的执行;(3)资产的保护;(4)资源使用的经济性和有效性;(5)业务及计划既定目的和目标的达成。访问控制和安全内部控制的关系