软考第7章访问控制技术原理与应用

　　访问控制概述
　　访问控制目标：一是防止非法用户进入系统，二是阻止合法用户对系统资源的非法使用
　　访问控制模型要素：主体、参考监视器、客体、访问控制数据库、审计库
　　访问控制类型
　　自主访问控制（DAC）：客体的所有者按照自己的安全策略授予系统中的其他用户对其的访问权。实现方式有两类：
　　1。基于行的自主访问控制：每个主体上附加一个主体可访问客体的明细表。三种形式：能力表、前缀表、口令。
　　2。基于列的自主访问控制：每个客体上都附加一个可访问它的主体明细表。两种形式：保护位、访问控制表。
　　强制访问控制（MAC）：根据主体和客体的安全属性，以控制主体对客体的访问。进程的安全级别不小于客体的安全级别，并且进程的范畴包含文件的范畴时，进程才能访问客体，否则就拒绝。
　　基于角色的访问控制（RBAC）：通过分配和取消角色来完成用户权限的授予和取消角色来完成用户权限的授予和取消。包括用户（U）、角色（R）、会话（S）、权限（P）四个基本要素。
　　基于属性的访问控制（ABAC）：根据主体的属性、客体的属性、环境的条件以及访问控制策略对主体的请求操作进行授权许可或拒绝。
　　常见的访问控制规则
　　1。基于用户身份的访问控制规则
　　2。基于角色的访问控制规则
　　3。基于地址的访问控制规则
　　4。基于时间的访问控制规则
　　5。基于异常时间的访问控制规则
　　6。基于服务数量的访问控制规则
　　访问控制主要产品与技术指标
　　主要产品：
　　1。4A系统：指认证、授权、账号、审计
　　2。安全网关：防火墙、统一威胁管理等
　　3。系统安全增强
　　主要技术指标：
　　1。产品支持访问控制策略规则类型。
　　2。产品支持访问控制规则最大数量。
　　3。产品访问控制规则检查速度。
　　4。产品自身安全和质量保障级别。
　　访问控制技术应用
　　UNIXLinux系统访问控制：在每个文件上使用9比特位模式来标识访问控制权限信息。共10个字符，第1个字符为文件的类型，文件为，目录为D，后9个字符为不同用户分别对该文件具有的权限，分为文件所有者（owner）、文件所属组用户（group）、其他用户（other）三类，以及可读、可写、可执行三个权限。
　　例如：rwxrr，用数字表示为744。
　　Windows访问控制应用参考：包含用户及所属组的安全标识符（SID），作为用户的身份标识。文件等客体则含有自主访问控制列表（DACL），标明谁有权访问。系统访问控制列表（SACL），标明哪些主体的访问需要被记录。