1、信息安全-訪-問控制概述身份認證：識別“用戶是誰”的問題訪問控制：管理用戶對資源的訪問訪問控制的基本組成元素：主體(Subject):是指提出訪問請求的實體、動作的發(fā)起者，但不一定是動作的執(zhí)行者?！翱腕w(Object):是指可以接受主體訪問的被動實體。凡是可以被操作的信息、資源、對象都可以被認為是客體。訪問控制策略(AccessControlPolicy):主體對客體的操作行為和約束條件的關(guān)聯(lián)集合，是主體對客體的訪問規(guī)則集合。(決定主體是否可以對客體實施特定的操作)訪問控制模型自主訪問控制DAC(Discretionaryaccessocontroi)模型“允許合法用戶以用戶或用戶組的身份來訪

2、問系統(tǒng)控制策略許可的客體，同時阻止非授權(quán)用戶訪問客體?！澳承┯脩暨€可以自主地把自己所擁有的客體的訪問權(quán)限授予其它用戶。強制訪問控制MAC“多級訪問控制策略“系統(tǒng)事先給訪問主體和受控客體分配不同的安全級別屬性“在實施訪問控制時，系統(tǒng)先對訪問主體和受控客體的安全級別屬性進行比較，再決定主體能否訪問該受控客體。3.0基于角色的訪問控制RBACRole角色：隔離User與Privilege,作為用戶和權(quán)限的代理層。RBAC模型的基本思想是將訪問權(quán)限分配給一定的角色，用戶通過飾演不同的角色獲得角色所擁有的許可訪問權(quán)。4.指定訪問策略的基本原則最小特權(quán)原則：按照主體所需權(quán)力的最小原則分配權(quán)力。(防止誤操作

3、)最小泄露原則：主體執(zhí)行任務時，按照主體所需要知道的信息的最小化原則分配訪問權(quán)限。多級安全策略：主體和客體間的數(shù)據(jù)流方向必須受到安全等級的約束。(避免敏感信息擴散)Windows系統(tǒng)的安全管理1.Windows系統(tǒng)安全體系結(jié)構(gòu)Windows系統(tǒng)的安全性主要圍繞安全主體展開，保護其安全性。安全主體主要包括用戶、組、計算機以及域等。SecurityPolicy安全覽珞計lCccsjCcnird訪問控制Enciyption加密2.Windows系統(tǒng)的訪問控制UserAulhemitiion用戶認證UserAiUtinticatKin用戶認證訪問控制模塊的組成：訪問令牌(AccessToken)和安全描述符(SecurityDescriptor),分別被訪問者和被訪問者持有。訪問控制的基本控制單元“賬戶”。每個賬戶或賬戶組都有一個安全標識符SID。訪問令牌與特定的賬戶相關(guān)聯(lián)，包含賬戶的SID、所屬組的SID以及賬戶的特權(quán)信息。活動目錄與組策略活動目錄AD(ActiveDirectory)是一個面向網(wǎng)絡對象管理的綜合目錄服務?！熬W(wǎng)絡對象包括用戶、用戶組、計算機、打印機等。“AD提供得事各種網(wǎng)絡對象的索引將分散的網(wǎng)絡對象有效的組織起來組策略是依據(jù)特定的用戶或計算機的安全需求定制的安全配置規(guī)則。管理員針對每個組織單元OU定制不同的組策略，并將這些組策略存儲在活動目錄的相關(guān)數(shù)據(jù)庫內(nèi)，可以強