数据访问控制ppt课件

《数据访问控制ppt课件》由会员分享，可在线阅读，更多相关《数据访问控制ppt课件（70页珍藏版）》请在装配图网上搜索。

1、第三章 数据访问控制刘晓梅刘晓梅1第三章 数据访问控制刘晓梅1内容目录v访问控制基本概念访问控制基本概念v访问控制步骤与应用v访问控制模型v访问控制技术 v访问控制层次v控制的分类v访问控制的管理v访问控制实践v访问控制的威胁2内容目录访问控制基本概念2访问控制介绍访问控制介绍 访问控制是可以帮助系统管理员直接或者间接可控地对系统行为、使用和内容实施控制的机制的集合。管理员可以根据访问控制定义用户可以访问哪些资源，可以进行哪些操作。通常，访问控制批准或者限制任何对资源的访问，监控和记录访问企图，识别访问用户，并且确定其访问是否得到授权的硬件/软件/策略。3访问控制介绍 访问控制是可以帮助系统管

2、理员直接或者访问控制概念访问控制概念v访问控制：针对越权使用资源的防御措施v目标：防止对任何资源（如计算资源、通信资源或信息资源）进行未授权的访问，从而使资源在授权范围内使用，决定用户能做什么，也决定代表一定用户利益的程序能做什么。v未授权访问：包括未经授权的使用、泄露、修改、销毁信息以及颁发指令等。非法用户对系统资源的使用合法用户对系统资源的非法使用v作用：机密性、完整性、和可用性4访问控制概念访问控制：针对越权使用资源的防御措施4访问控制概念访问控制概念v访问是存在主体和客体之间的信息流v访问控制是可以帮助系统管理员直接或者间接可控地对系统行为、使用和内容实施控制的机制的集合。主体：访问者

3、（用户、程序、进程、文件、计算机）客体：访问对象（程序、进程、文件、计算机、数据库、打印机、存储介质）操作：控制主体对客体的访问权限（read,write,excute）和访问方式5访问控制概念访问是存在主体和客体之间的信息流5访问控制概念访问控制概念信息分级信息分级v定义评估组织的信息资产的风险等级，保障信息资产确实得到适当的安全保护。v原因对所有的信息资产实施同一级别的安全保护不但可能会导致资源的浪费，而且会导致某些资产过保护而某些资产则保护力度不足。v信息分级的好处极大提升组织的安全意识；关键信息被识别出来，同时得到更好的保护；对敏感信息的处理有了更清晰的指导；建立了资产的所有关系以及管

4、理员和用户的关系；减少非敏感信息存储的开销。6访问控制概念信息分级6访问控制概念访问控制概念信息分级信息分级v价值（value）价值是最通常的数据分类标准，如果信息对一个组织或者其竞争对手有价值，就需要分类。v寿命（age）随着时间的推移，信息价值会降低，其分类也会降低。例如，政府部门，某些分类档案会在预定的时间期限过后自动解除分类。v使用期（useful life）如果由于新信息的替代、公司发生的真实变化或者其他原因，信息过时了，可以对其解除分类。v人员关联（personnel association）如果信息与特定个人相关，或者法律（如隐私法）、规章和责任要求中指出的，需要分类。例如，如果

5、调查信息揭示了调查者的名字，就需要保留分类。7访问控制概念信息分级7访问控制概念访问控制概念信息分级信息分级v所有者（owner）通常是管理层的一员，对信息的保护和使用负有最终的责任；负有“适度关注（due care）”责任，保障信息得到合适的安全控制；决定信息的安全级别；指派管理员数据日常保护以及维护的职责。v管理者（custodian）负责数据的日常保护和维护；通常由IT人员担当；负有“适度勤勉（due diligence）”责任；日产工作包括周期的备份、恢复以及验证数据的完整性。v用户（user）在相关工作中使用数据的任何人。8访问控制概念信息分级8内容目录v访问控制基本概念v访问控制步

6、骤与应用访问控制步骤与应用v访问控制模型v访问控制技术 v访问控制层次v控制的分类v访问控制的管理v访问控制实践v访问控制的威胁9内容目录访问控制基本概念9访问控制的步骤访问控制的步骤1、Identification：宣称用户的身份确定用户：确定用户是管理资源的第一步；标示谁有访问权限；访问权限与用户的需要和信任的级别。2、Authentication：验证用户的身份确定资源：资源可是信息、应用、服务、打印机、存储处理以及任何信息资产；确定资源的CIA。3、Authorization：指定使用确定用户的级别或者是控制级别；确定用户许可的操作。4、Accountability：可追溯性/责任确定

7、员工对其行为应该承担的责任，记录了用户所做的以及时间。10访问控制的步骤1、Identification：宣称用户的身身份识别身份识别v唯一身份（unique identity）的宣称；v应用访问控制关键的第一步；v是可追溯性（accountability）的前提；v有关身份的三个最佳安全实践：唯一性：在一个控制环境中的独一无二的身份；非描述性的：身份标识应当不暴露用户的工作角色；发布：发布身份信息的过程必须是安全和存档的；v身份标识的一般形式UserNameUser IDAccount NumberPersonal Identification Number(PIN)11身份识别唯一身份（u

8、nique identity）的宣称；1身份管理身份管理v身份管理概述（identity management）在管理不同用户和技术的环境中，提高效率的一系列技术的集合；在企业中，身份管理涉及员工身份（identity）、验证（authentication）、授权（authorization）、保护（protection）和管理（manegement）;v身份管理面临的挑战（challenges）一致性（consistent）:输入不同系统的用户数据应当保持一致；效率（efficiency）:更好的选择是一个用户名可以访问多个系统；可用性（usability）：对用户而言，多个系统、多个用户名

9、和多密码可能是个较大的负担；可靠性（Reliability）:用户个人数据必须是可靠的；12身份管理身份管理概述（identity management身份管理身份管理身份管理技术v目录（directories）包含分层的对象，存储了有关用户（user）、组（group）、系统、服务器、打印机等相关信息；vWeb访问管理典型的方式是在web服务器前端使用插件；v密码管理（password management）v遗留的单点登录（legacy single sign on）提供一个用户身份的集中存储，用户登录通过一次验证，然后可以访问其他系统而不需要反复验证；v账号管理（account mana

10、gement）用户账号的创建（creation）、更改（change）、以及撤销（decommission）；账户管理是访问控制最需要投入财力和时间的且有很大潜在风险的一个环节。vProfile update:用户身份信息更新13身份管理身份管理技术13身份管理身份管理目录技术目录技术v目录服务目录服务就是按照树状信息组织模式，实现信息管理和服务接口的一种方法。目录服务系统一般由两部分组成。第一部分是数据库，一种分布式的数据库，且拥有一个描述数据的规划；第二部分则是访问和处理数据库有关的详细的访问协议。典型的方式是在web服务器前端使用插件；v目录服务与关系数据库的区别目录不支持批量更新所需要

11、的事务处理功能，目录一般只执行简单的更新操作，适合于进行大量的数据的检索；目录具有广泛复制信息的能力，从而在缩短响应时间的同时，提高了可用性和可靠性。14身份管理目录技术14身份管理身份管理vWeb协议（即HTTP）是一个无状态的协议v浏览器和服务器之间有约定：通过使用cookie技术来维护应用的状态vWeb-SSO完全可以利用Cookie结束来完成用户登录信息的保存，将浏览器中的Cookie和上文中的Ticket结合起来，完成SSO的功能浏览器Web server申请页面1返回页面1申请页面2返回页面2浏览器Web server申请页面1返回页面1，并设置cookie申请页面2，并带上coo

12、kie返回页面215身份管理Web协议（即HTTP）是一个无状态的协议浏览器申请鉴别鉴别v验证（validate）用户宣称其身份有效的过程（process）；v验证的类型消息验证一个人所知道的（what one knows）;所有关系验证一个人所拥有的（what one has）;生物特征验证一个人是什么或者做了什么（what one is or does）.v双因素验证（two factors authentication）以上任何两种因素结合；如：ATM Card+PIN，token,Credit card+signaturev三因素验证（three factors authenticat

13、ion）Including all three factors16鉴别验证（validate）用户宣称其身份有效的过程（pro鉴别鉴别密码密码v最常用的验证方式也是最脆弱的方式；v类型：静态密码动态密码（dynamic pwd）：周期变更，one-time-password;Pass phrase：比密码更长，通常是个虚拟密码；认知密码：基于个人事实，兴趣以及个人相关的其他方面；v密码验证存在的问题容易攻击：字典攻击（dictionary attack）是可行攻击方式；不便利：组织通常给用户发布计算机产生的密码，往往这些密码难以记忆；可否认性（repudiable）:不像一个手写的签名，如果一

14、个交易的完成仅仅是依靠一个密码，那么没有任何实际的证据表明是某个用户完成的。17鉴别密码17鉴别鉴别生物技术生物技术v什么是生物技术Biometrics is the science of measuring and analyzing biological information.生物技术是度量（measures）和分析生物信息的科学。v为什么使用生物技术唯一性(Unique)高级别的安全More advantages:remember(what one knows);carriage(what one has);with(what one is)v如何工作的注册（enrollment）例行

15、工作（routine work）18鉴别生物技术18鉴别鉴别生物技术生物技术v身份标识（identification）使用个人可度量的生物特征（measurable physical characteristics）来证明他的身份；在许多可能的主体中标识出一个特定的主体；完成一个是一对多（one to many）的匹配。v验证（authentication）鉴别身份是生物技术最主要的应用；通过人的生物特征（biometrics traits）来验证；完成一个一对一（one to one）的匹配。v阻止欺诈（Fraud prevetion）是生物技术的另一个运用19鉴别生物技术19鉴别鉴别生物技

16、术生物技术v遗传特性面部识别DNA匹配手型声音辨认vRandotypic traits指纹眼睛扫描血脉模式v行为特征签名分析击键动作20鉴别生物技术20鉴别鉴别生物技术度量生物技术度量v对生物系统的准确性（accuracy）或敏感度（sensitivity）的调整将导致两类错误：第一类错误（假阳性，false positive）当精确度提高后，一些合法用户将错误的拒绝；错误拒绝率，错误拒绝率越低，生物鉴别系统越好。第二类错误（假阴性，false negative）当精确性降低时，那么一些非法的用户将可能会被错误接受；错误接受率，错误接受率越低，生物鉴别系统越好。v生物系统的度量错误交叉率（CE

17、R，cross equal rate），相当错误率（EER,equal error rate）错误交叉率越低，那么生物系统的性能越好FARFARFRRFRRSensitivitySensitivity%CERCER21鉴别生物技术度量FARFRRSensitivity%CER2鉴别鉴别生物技术度量生物技术度量v优化生物技术（optimal CER）v其他方面的考虑对伪造的抵制数据存储需求用户可接受度可用性和精确性22鉴别生物技术度量22鉴别鉴别令牌令牌v令牌设备是常见的一次性密码（One-Time Password,OTP）实现机制，为用户生成向身份验证服务器提交的一次性密码。v令牌设备与用户

18、访问的计算机分离，它与身份验证服务器以某种方式同步，从而对用户进行身份验证。同步模式l基于时间同步l基于计数器同步异步模式23鉴别令牌23鉴别鉴别令牌操作模式令牌操作模式v基于时间同步模式 图1图224鉴别令牌操作模式图1图224鉴别鉴别令牌操作模式令牌操作模式v异步模式 挑战/响应 (1)工作站上显示挑战值v （2）用户将挑战值输入令牌设备v （3）令牌设备向用户提供一个不同的值 （4）用户将新值和PIN输入工作站 （5）新值发送至服务器上的身份验证服务 （6）身份验证服务期望特定值 （7）用户通过身份验证并被允许访问工作站v 1.2.3.4.5.25鉴别令牌操作模式1.2.3.4.5.25

19、应用应用v单点登录（single sign on）一旦验证通过就可以访问其他网络资源；vKerberos一种网络验证协议（network authentication protocol）,由MIT的雅典娜项目开发；vSESAMESecure European System for Applications in a Multi-Vendors Environment;解决Kerboros的一些缺点；v安全域（security domain）在共享统一的安全策略和管理的领域（realm）之间建立信任；访问主客体以及相关操作事先定义好的；26应用单点登录（single sign on）26应用应用

20、v单点登录（single sign on）单点登录技术使用户输入一次凭证就能够访问指定域内的所有预授权资源。实施更健壮的密码策略27应用单点登录（single sign on）27应用应用单点登录实现vLogin Scripts登陆脚本脚本里面包含用户名、口令、环境参数、登录命令的批处理文件或者脚本vKerberosvSESAME(Secure European System for Applications in a Multi-Vendors Environment)v瘦客户机v目录服务，如LDAP、DNS、Active Directory28应用单点登录实现28应用应用Kerberosv

21、Kerberos鉴别系统MIT设计，Athena工程的一部分，名字来源于希腊神话，一只名叫Kerberos的三头狗，是地狱的门卫，Currently in version 5v鉴别和密钥分发两个目的对主机上的多种服务提供不可伪造的证书，以识别单个用户每个用户和每个服务都与Kerberos密钥分发中心共享一个密钥，这些密钥作为分发会话密钥的主密钥，也作为KDC的证据，保证包含在报文中的信息的正确性v能够解决的问题身份认证（Authentication），数据完整性（Integrity），保密性（Confidentiality）v在使用Kerberos之前，必须和服务器互换秘密密钥（secret

22、key）,当你连接到系统，告诉服务器你的用户ID，服务器会返回一个经过加密的票据（ticket）。如果你的身份无误，你自然知道密钥并解密票据，最终你会取得信息的访问权，否则你的访问请求会遭到拒绝。29应用Kerberos29应用应用Kerberos组成vKDC（Key Distribution Center）保存所有用户及服务的key，提供认证服务和key交换功能，client和service信任KDC，这种信任是Kerberos安全的基础。vAS（Authentication Service）是KDC的一部分，负责认证PrincipalvTGS（Ticket Granting Service

23、）也是KDC的一部分，负责生成ticket并处理之（授权）vTicket一个记录，客户可以用它来向服务器证明自己的身份，其中包括客户的标识、会话密钥、时间戳，以及其他一些信息。Ticket中的大多数信息都被加密。vPrincipal主体，由KDC提供安全服务的实体，可能是用户、应用程序或services30应用Kerberos组成30应用应用Kerberos组成v两种票据票据许可票据（Ticket granting ticket）客户访问TGS服务器需要提供的票据，目的是为了申请某一个应用服务器的“服务许可票据”；票据许可票据由AS发放；服务许可票据（Service granting tick

24、et）是客户时需要提供的票据；31应用Kerberos组成31应用应用Kerberos通信过程 （1）用户向AS进行身份验证 （2）AS向用户发送初始票证TGT （3）用户请求访问文件服务器 （4）TGS使用会话密钥创建新的票证，两个实例 （5）用户提取一个会话密钥，并将票证发送至文件服务器用户委托人KDCASTGS（1）（2）（3）（4）文件服务器委托人（5）32应用Kerberos通信过程用户委托人ASTGS（1）（2）应用应用Kerberos总结v在KDC上用户必须有一个账号vKDC必须是一个受信任的服务器vKDC与每一个用户共享DES密钥v当用户访问主机或者应用时，必须向KDC申请票据

25、v用户向应用提供票据和身份验证33应用Kerberos总结33应用应用Kerberos弱点vKDC可以是一个单一故障点vKDC必须能够实时处理接受到的大量请求vKerberos要求客户端和服务器的时钟同步v秘密密钥、会话密钥存放在用户工作站中，容易受到攻击（DES）34应用Kerberos弱点34内容目录v访问控制基本概念v访问控制步骤与应用v访问控制模型访问控制模型v访问控制技术 v访问控制层次v控制的分类v访问控制的管理v访问控制实践v访问控制的威胁35内容目录访问控制基本概念35访问控制模型介绍访问控制模型介绍自主访问控制（DAC,Discretionary Access Control

26、）v访问是基于用户的授权v对象的属主创建或授予其他用户访问的权利v主要应用是把保护数据同非授权用户分离v依靠对象属主（owner）来控制访问v桔皮书：C-levelvUsed by Unix,NT,NetWare,Linux,VINES等vDAC类型：Identity-base：基于用户和资源标识User-directed：直接面向用户进行限制36访问控制模型介绍自主访问控制（DAC,Discretiona访问控制模型介绍访问控制模型介绍Identity-base AC 身份型访问控制v基于对象标识v标识既可以是用户又可以是组成员v数据所有者可以选择允许Bob（用户）和Accounting组（

27、组成员）访问他的文件37访问控制模型介绍Identity-base AC 身份型访问访问控制模型介绍访问控制模型介绍强制访问控制（MAC，Mandatoryaccesscontrol）v一般来说，比DAC更安全v指定每个客体的敏感标签，同时只允许那些不低于客体标签等级的用户访问v只有管理员才能更改客体级别，而不是客体的属主v桔皮书：B-levelv使用在安全要求比较高的场所，如军队里v强制访问控制难以配置和实施38访问控制模型介绍强制访问控制（MAC，Mandatorya访问控制模型介绍访问控制模型介绍强制访问控制MACSecurity Policy:Public:仅能访问Public Lev

28、elOfficers:能访问Officers和Public LevelExecutive：能访问Public、fficers和Executive LevelUser：JohnSubject Level：OfficersUser：AmySubject Level：PublicUser：MarySubject Level：ExecutiveReports.docSensitivity Level：Officers39访问控制模型介绍强制访问控制MACUser：JohnUser访问控制模型介绍访问控制模型介绍基于角色访问控制（RBAC，Role-Based Access Control）v使用集中（

29、central）的访问控制来决定主体和客体之间的交互；v允许对资源的访问是建立在用户所持的角色的基础上的；v管理员给用户分配较色同时给角色赋予一定权限，比如访问控制是以工作职责为基础的；v控制机制：用户具有某个角色、赋予角色某些权限40访问控制模型介绍基于角色访问控制（RBAC，Role-Bas访问控制模型介绍访问控制模型介绍基于角色访问控制（RBAC）v职责分离（separate of duty）主要目的是防止欺诈和错误；对于某一特定操作在多个用户细分工作任务和相关的权限；建立检查-平衡机制（check-balance mechanism）,相互监督工作轮换，双重控制(dual contro

30、l)，双人操作(two-man control)，强制休假(mandatory vacation)v最小特权(least privilege)要求用户或进程被给予不超过其工作需要的额外的操作权限识别用户的工作职责，以及完成该工作所需的最小权限集Need-to-know41访问控制模型介绍基于角色访问控制（RBAC）41访问控制模型介绍访问控制模型介绍基于角色访问控制（RBAC）v静态和动态静态职责分离相对简单，是由单个的工作角色以及指派给用户的一些特定的角色的元素来决定；动态职责分离比较复杂，在系统的操作过程中决定。v适用性必须考虑两大不同因素：职能的敏感性和工作处理流程的分发特性评估指定处理

31、的重要性以及同企业安全风险、操作和信息资产的关系；分发元素识别元素，重要性和严重程度可操作性用户技能和可用性42访问控制模型介绍基于角色访问控制（RBAC）42访问控制模型介绍访问控制模型介绍核心RBACv用户、角色、权限应根据安全策略进行定义和对应v用户和角色是一对多的关系v用户可以属于多个组，并拥有每个组所享有的各种特权43访问控制模型介绍核心RBAC43访问控制模型介绍访问控制模型介绍层次化RBACv该模型对应特定环境中的组织机构和功能描述。各种业务已经建立在一个人员层次化结构中，所以该组件非常有用。v行政管理系统中的位置越高，所拥有的访问权限就越多。44访问控制模型介绍层次化RBAC4

32、4访问控制模型介绍访问控制模型介绍访问控制模型总结：vDAC：数据所有者决定谁能访问资源，ACL用于实施安全策略vMAC：操作系统通过使用安全标签来实施系统的安全策略vRBAC：访问决策基于主体的角色或功能位置45访问控制模型介绍访问控制模型总结：45内容目录v访问控制基本概念v访问控制步骤与应用v访问控制模型v访问控制技术访问控制技术 v访问控制层次v控制的分类v访问控制的管理v访问控制实践v访问控制的威胁46内容目录访问控制基本概念46访问控制技术介绍访问控制技术介绍v基于规则的访问控制使用特定规则来规定主体和客体之间可以做什么，不可以做什么系统管理员为用户创建规则指定权限基于以下规则：I

33、f X then Y创建一套规则，用户在访问系统前都要先检测规则是一种强制型控制，规则由管理员制定，用户不能更改典型应用：路由器、包过滤防火墙、代理47访问控制技术介绍基于规则的访问控制47访问控制技术介绍访问控制技术介绍v限制接口例：menus and shells、database views、physically constrained interfacesv基于内容的访问控制对客体的访问基于客体的内容v基于上下文的访问控制基于一组信息的上下文做出访问决策48访问控制技术介绍限制接口48访问控制技术介绍访问控制技术介绍v访问控制矩阵(Access Control Matrix)v访问能力

34、表(Capability Tables)v访问控制列表（Access Control Lists）目标目标用户用户目标目标x x目标目标y y目标目标z z用户aR、W、OwnR、W、Own用户bR、W、Own用户cRR、W用户dRR、W49访问控制技术介绍访问控制矩阵(Access Control 内容目录v访问控制基本概念v访问控制步骤与应用v访问控制模型v访问控制技术 v访问控制层次访问控制层次v控制的分类v访问控制的管理v访问控制实践v访问控制的威胁50内容目录访问控制基本概念50访问控制层次访问控制层次访问控制列表需要用户名和密码进行身份验证入侵检测系统周边安全51访问控制层次访问控

35、制列表需要用户名和密码进行身份验证入侵检测内容目录v访问控制基本概念v访问控制步骤与应用v访问控制模型v访问控制技术 v访问控制层次v控制的分类控制的分类v访问控制的管理v访问控制实践v访问控制的威胁52内容目录访问控制基本概念52控制分类介绍控制分类介绍v管理性的（administrative）描述了控制系统所有的行为、策略和管理；定义了管理控制环境的角色、责任、策略以及管理职能。v技术的（technical）落实安全策略的应用在所有基础设施和系统上的各种机制；在控制被应用以及验证的控制环境中的电子控制手段。v物理的（physical）非技术性的环境，涉及广泛的控制范围，从门禁、环境控制窗口

36、、建设标准以及门卫等。53控制分类介绍管理性的（administrative）53控制分类介绍控制分类介绍v预防性的（preventative）阻止未授权行为，预防安全事件的发生；例：栅栏、安全策略、安全意识（security awareness）、反病毒、身份识别、鉴别；v威慑性的（deterrent）阻碍安全事件发生；例：潜在的处罚、身份识别、监视和审计（monitoring and auditing）;v检测性的（detective）识别正在发生的安全事件（security events）例：门卫（guard）、事件调查（incidents inbestigation）、入侵检测（IDS

37、）v纠正性的（corrective）改善环境/减少损失和恢复控制；恢复性的（recovery）恢复到正常的状态v补偿性的（compensating）54控制分类介绍预防性的（preventative）54内容目录v访问控制基本概念v访问控制步骤与应用v访问控制模型v访问控制技术 v访问控制层次v控制的分类v访问控制的管理访问控制的管理v访问控制实践v访问控制的威胁55内容目录访问控制基本概念55访问控制集中管理访问控制集中管理v访问控制集中管理集中式访问控制所有的授权和校验工作集中在单一实体或位置上v优点严格控制，统一访问，高效方便v缺点中心负载，单点故障v例子RADIUS（Remote Au

38、thentication Dial-in User Service）-centralized server for single point of network authenticationTACACS(Terminal Access Controller Access Control System)-centralized data base with accounts that authorizes data requests56访问控制集中管理访问控制集中管理56访问控制集中管理访问控制集中管理RADIUSv远程拨入用户认证服务认证服务器/动态密码提供密码管理功能可以实现认证、授权、日

39、志57访问控制集中管理RADIUS57访问控制集中管理访问控制集中管理TACACSvTerminal Access Controller Access Control System与RADIUS一样，包含集中数据库，在服务器端验证用户使网络设备能够根据用户名和静态密码认证用户实现3A，认证、授权和审计v三个版本TACACS:网络设备查询服务器验证密码Extended TACACS（X TACACS）TACACS+增加了（动态密码）通过安全令牌实现双因素认证 58访问控制集中管理TACACS58访问控制集中管理访问控制集中管理vTACACS59访问控制集中管理TACACS59访问控制集中管理访问

40、控制集中管理RADIUSRADIUSTACACS+TACACS+数据包传输UDPTCP数据包加密仅加密在RADIUS客户端与RADIUS服务器之间传送的认证信息加密客户端与服务器之间的所有流量AAA支持组合身份验证和授权服务使用AAA体系结构，分离身份验证、授权和审计多协议支持在PPP连接上工作支持其他协议，如AppleTalk、NetBIOS和IPX响应在对某位用户进行身份验证时使用挑战/响应；它适用于所有AAA活动对每个AAA进程都使用多挑战响应；每个AAA活动都必须进行身份验证60访问控制集中管理RADIUSTACACS+数据包传输UDPT访问控制分散管理访问控制分散管理v访问控制分散管

41、理分散的访问控制资源所有者决定访问控制v优点：根据用户授权，不存在单点v缺点：缺乏一致性61访问控制分散管理访问控制分散管理61内容目录v访问控制基本概念v访问控制步骤与应用v访问控制模型v访问控制技术 v访问控制层次v控制的分类v访问控制的管理v访问控制实践访问控制实践v访问控制的威胁62内容目录访问控制基本概念62访问控制实践访问控制实践v拒绝未知用户或匿名账户对系统的访问v限制和监控管理员以及其他高级账户的使用v在登陆尝试失败次数达到特定值后挂起或延迟访问功能v用户一离开公司，就立刻删除他的账户v实施“知其所需”和最小特权原则v禁止不必要的系统功能、服务和端口v更换为账户设置的默认密码v

42、限制和监控全局访问规则v确保登录ID不是对工作职能的描述v从资源访问列表中删除多余的用户ID、账户和角色型账户v实现密码需求（长度、内容、生命期、分发、存储和传输）。63访问控制实践拒绝未知用户或匿名账户对系统的访问63内容目录v访问控制基本概念v访问控制步骤与应用v访问控制模型v访问控制技术 v访问控制层次v控制的分类v访问控制的管理v访问控制实践v访问控制的威胁访问控制的威胁64内容目录访问控制基本概念64访问控制的威胁访问控制的威胁针对访问控制的攻击vBrute force暴力攻击应对措施：增加登陆时间间隔，锁定用户，限制登陆失败IP等v字典攻击应对措施：使用一次性密码令牌、使用非常难以

43、猜测的密码、频繁更换密码、使用字典破译工具来查找用户选定的弱密码、在密码内使用特殊的字符、数字以及大小写字母等v拒绝服务攻击（DoS，Denial of service）：耗尽系统或者网络资源，使目标系统无法处理正常的请求两种方法：系统资源耗尽、网络拥塞攻击类型和工具：SYN flooding、Smurf、Ping of DeathvDDos分布式拒绝服务攻击65访问控制的威胁针对访问控制的攻击65访问控制的威胁访问控制的威胁针对访问控制的攻击vSniffer嗅探被动攻击方式监听明文口令对策：加密、交换网络v欺骗攻击Spoofing网络钓鱼v社会工程学Social Engineeringv木马

44、66访问控制的威胁针对访问控制的攻击66渗透测试渗透测试vPenetration：渗透。攻击成功，入侵者能够突破你的系统环境的边界，安全的一个主要目标就是防止渗透。vPenetration testing，简写为PTv测试安全措施是否强健、目标系统是否具备足够抵抗力的常用方法就是渗透测试，即借助任何必要的攻击手段，对受保护网络实施突破尝试的活动。v渗透测试可以借助自动化攻击工具实施，也可以手工进行。v渗透测试有时和安全评估（security assessments）作用类似，区别在于：渗透测试事先只掌握极少信息（IP地址或域名），目的是找到更多信息，并设法突破。只要能突破，就证明了目标系统的安

45、全弱点。其不足之处：了解并不全面，只知道可以突破，但并不发掘所有弱点，也不包含威胁或风险评估的内容。安全评估通常包含了渗透测试，但还包含更全面的内容。最典型的，你可以访问公司所有的关键系统，评估目前的安全水平。安全评估时，不必努力证明能够突破，要做的是对组织当前存在的各种威胁有一套控制措施。67渗透测试Penetration：渗透。攻击成功，入侵者能够突渗透测试渗透测试v每一项测试，都应该有一个文件化的明确目标，以便考查测试成功与否“从互联网上突破某某公司的网络，并且取得其研发部门文件服务器的访问权”v基于系统类型、预期的威胁水平以及信息的生命期，渗透测试的实施应该有一个确定的期限。v渗透测试

46、一定要明确范围。v渗透测试事先一定要得到相关管理层的正式批准，这一点非常重要。前提目标批准期限范围68渗透测试每一项测试，都应该有一个文件化的明确目标，以便考查测渗透测试渗透测试v对物理基础设施进行测试通常，企业网络最薄弱的环节，往往不是技术上的，而是物理控制上的渗透测试者试图突破物理薄弱点例如：早上随上班人员一同进入公司建筑物，看是否有查证件的控制？一旦进入，再检查是否敏感区域得到加锁等保护？是否能够随意进出办公区域而无人置疑？是否能够随意带出重要物品？v对运营操作进行测试v操作测试通过违背操作程序的做法，试图确定组织的操作程序的有效性例如，正常流程中，Help desk会要求每个用户在得到

47、帮助之前提供个人识别信息，测试者试图通过“社会工程”方式来越过此项控制。再有，如果公司策略要求报废磁盘前一定要消磁，测试者可以检查已报废磁盘，看是否能找到残留信息。v电子测试对计算机系统、网络和通信设施的攻击，可借助手工或者自动化工具69渗透测试对物理基础设施进行测试69渗透测试渗透测试v不要依赖于单一的攻击手法，不同的情况要用不同的方法v选择最容易的突破点v目标是渗透公司网络，从外部防火墙进行正面突破难度较大，但可以选择其他入口，比如Modemv不循规蹈矩，要想真正的黑客那样思维v不要过于相信高技术和自动化工具，社会工程和垃圾潜水是很好的低技术手段v测试者应该避免留下痕迹和证据v如果没有事先批准，严禁对系统进行任何破坏，渗透测试的目的是揭示弱点，而不是破坏信息70渗透测试不要依赖于单一的攻击手法，不同的情况要用不同的方法7