網(wǎng)絡(luò)安全

劉敏賢副教授西南科技大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院目前一頁(yè)\總數(shù)八十五頁(yè)\編于十九點(diǎn)第9章訪問(wèn)控制技術(shù)本章的主要內(nèi)容是對(duì)入網(wǎng)訪問(wèn)控制、物理隔離、自主訪問(wèn)控制和強(qiáng)制訪問(wèn)控制等技術(shù)的實(shí)現(xiàn)原理進(jìn)行了詳細(xì)的論述，并介紹了一些新型訪問(wèn)控制技術(shù)。目前二頁(yè)\總數(shù)八十五頁(yè)\編于十九點(diǎn)第9章訪問(wèn)控制技術(shù)9.1訪問(wèn)控制技術(shù)概述9.2入網(wǎng)認(rèn)證9.3物理隔離措施9.4自主訪問(wèn)控制9.5強(qiáng)制訪問(wèn)控制9.6新型訪問(wèn)控制技術(shù)目前三頁(yè)\總數(shù)八十五頁(yè)\編于十九點(diǎn)第9章訪問(wèn)控制技術(shù)要保證計(jì)算機(jī)系統(tǒng)實(shí)體的安全，必須對(duì)計(jì)算機(jī)系統(tǒng)的訪問(wèn)進(jìn)行控制訪問(wèn)控制的基本任務(wù)防止非法用戶即未授權(quán)用戶進(jìn)入系統(tǒng)合法用戶即授權(quán)用戶對(duì)系統(tǒng)資源的非法使用第9章第1節(jié)目前四頁(yè)\總數(shù)八十五頁(yè)\編于十九點(diǎn)問(wèn)題提出例1：學(xué)校的教務(wù)管理系統(tǒng)全校師生都可以使用，但是只有老師可以輸入考試成績(jī)，只有學(xué)生可以對(duì)教學(xué)質(zhì)量進(jìn)行評(píng)價(jià)。。。

例2：作為QQ用戶，執(zhí)行同樣的登錄操作，為什么QQ服務(wù)器可以識(shí)別出有的用戶花了錢(qián)晉升為QQ會(huì)員，有的用戶開(kāi)通了各種鉆，更多的只是普通的QQ用戶呢？

例3：論壇規(guī)定，發(fā)貼或跟貼必須要先注冊(cè)并登錄，而且只有管理員可以刪貼，甚至封貼。目前五頁(yè)\總數(shù)八十五頁(yè)\編于十九點(diǎn)訪問(wèn)控制的最基本概念

主體（subject）一個(gè)提出請(qǐng)求或要求的實(shí)體，是動(dòng)作的發(fā)起者（不一定是動(dòng)作的執(zhí)行者），有時(shí)也稱為用戶或訪問(wèn)者（如被授權(quán)使用計(jì)算機(jī)的人）；主體含義廣泛，可以是用戶、用戶組、計(jì)算機(jī)終端、外設(shè)卡、手持終端設(shè)備、一個(gè)數(shù)據(jù)文件甚至是應(yīng)用服務(wù)程序或進(jìn)程?？腕w（object）接受其他實(shí)體訪問(wèn)的被動(dòng)實(shí)體，凡是可以被操作的信息、資源、對(duì)象都可以作為客體；通常包括文件和文件系統(tǒng)、磁盤(pán)和磁帶卷標(biāo)、遠(yuǎn)程終端、信息管理系統(tǒng)的事務(wù)處理及其應(yīng)用、數(shù)據(jù)庫(kù)中的數(shù)據(jù)、應(yīng)用資源等。

目前六頁(yè)\總數(shù)八十五頁(yè)\編于十九點(diǎn)訪問(wèn)控制的最基本概念

訪問(wèn)（access）

使信息在主體和客體之間流動(dòng)的一種交互方式。對(duì)文件客體來(lái)說(shuō)，典型的訪問(wèn)就是讀、寫(xiě)、執(zhí)行和所有；其中所有權(quán)指誰(shuí)能改變文件的訪問(wèn)權(quán)。訪問(wèn)控制策略（accesscontrolpolicy）主體對(duì)客體的訪問(wèn)規(guī)則集，這個(gè)規(guī)則集直接定義了主體對(duì)客體的作用行為和客體對(duì)主體的條件約束。體現(xiàn)了一種授權(quán)行為，也就是客體對(duì)主體的權(quán)限允許，這種允許不能超越規(guī)則集。目前七頁(yè)\總數(shù)八十五頁(yè)\編于十九點(diǎn)訪問(wèn)控制指主體依據(jù)某些控制策略或者權(quán)限對(duì)客體或其資源進(jìn)行的不同的授權(quán)訪問(wèn)?？梢韵拗圃L問(wèn)主體（或稱為發(fā)起者，是一個(gè)主動(dòng)的實(shí)體，如用戶、進(jìn)程、服務(wù)等）對(duì)訪問(wèn)客體（需要保護(hù)的資源）的訪問(wèn)權(quán)限，從而使計(jì)算機(jī)系統(tǒng)在合法范圍內(nèi)使用。訪問(wèn)控制三要素：

主體、客體、訪問(wèn)控制策略。訪問(wèn)控制的最基本概念

目前八頁(yè)\總數(shù)八十五頁(yè)\編于十九點(diǎn)訪問(wèn)控制系統(tǒng)要素之間的行為關(guān)系參見(jiàn)下圖：訪問(wèn)控制的最基本概念

目前九頁(yè)\總數(shù)八十五頁(yè)\編于十九點(diǎn)訪問(wèn)控制過(guò)程訪問(wèn)控制由兩個(gè)重要過(guò)程組成

1、通過(guò)認(rèn)證來(lái)檢驗(yàn)主體的合法身份；

2、通過(guò)授權(quán)（Authorization）來(lái)限制用戶對(duì)資源的訪問(wèn)級(jí)別。

在認(rèn)證和授權(quán)后，訪問(wèn)控制機(jī)制將根據(jù)預(yù)先設(shè)定的規(guī)則對(duì)用戶訪問(wèn)的資源進(jìn)行控制，只有規(guī)則允許的資源才能訪問(wèn)。目前十頁(yè)\總數(shù)八十五頁(yè)\編于十九點(diǎn)訪問(wèn)控制過(guò)程這種控制通過(guò)監(jiān)控器進(jìn)行，每一次用戶對(duì)系統(tǒng)內(nèi)目標(biāo)進(jìn)行訪問(wèn)時(shí)，都由這個(gè)監(jiān)控器來(lái)進(jìn)行調(diào)節(jié)控制過(guò)程：用戶對(duì)系統(tǒng)進(jìn)行訪問(wèn)時(shí)，監(jiān)控器便依據(jù)訪問(wèn)控制策略，以確定準(zhǔn)備進(jìn)行訪問(wèn)的用戶是否確實(shí)得到了進(jìn)行此項(xiàng)訪問(wèn)的許可。目前十一頁(yè)\總數(shù)八十五頁(yè)\編于十九點(diǎn)訪問(wèn)控制過(guò)程嚴(yán)格區(qū)分身份認(rèn)證和訪問(wèn)控制很重要！原因：正確建立用戶的身份是認(rèn)證服務(wù)的責(zé)任，而訪問(wèn)控制則假定在通過(guò)監(jiān)控器實(shí)施訪問(wèn)控制前，用戶的身份就已經(jīng)得到了驗(yàn)證；因而，訪問(wèn)控制的有效性取決于用戶的正確識(shí)別，同時(shí)也取決于監(jiān)控器正確的控制。目前十二頁(yè)\總數(shù)八十五頁(yè)\編于十九點(diǎn)訪問(wèn)控制技術(shù)概述訪問(wèn)控制是從計(jì)算機(jī)系統(tǒng)的處理能力方面對(duì)信息提供保護(hù)它按照事先確定的規(guī)則決定主體對(duì)客體的訪問(wèn)是否合法當(dāng)一主體試圖非法使用一個(gè)未經(jīng)授權(quán)的資源時(shí)，訪問(wèn)控制機(jī)制將拒絕這一企圖，并將這一事件報(bào)告給審計(jì)跟蹤系統(tǒng)審計(jì)跟蹤系統(tǒng)將給出報(bào)警，并記入日志檔案目前十三頁(yè)\總數(shù)八十五頁(yè)\編于十九點(diǎn)9.1訪問(wèn)控制技術(shù)概述網(wǎng)絡(luò)的訪問(wèn)主要采用基于爭(zhēng)用和定時(shí)兩種方法基于爭(zhēng)用的方法意味著網(wǎng)上所有站點(diǎn)按先來(lái)先服務(wù)原則爭(zhēng)用帶寬對(duì)網(wǎng)絡(luò)的訪問(wèn)控制是為了防止非法用戶進(jìn)入系統(tǒng)和合法用戶對(duì)系統(tǒng)的非法使用訪問(wèn)控制要對(duì)訪問(wèn)的申請(qǐng)、批準(zhǔn)和撤消的全過(guò)程進(jìn)行有效的控制第9章第1節(jié)目前十四頁(yè)\總數(shù)八十五頁(yè)\編于十九點(diǎn)9.1訪問(wèn)控制技術(shù)概述訪問(wèn)控制的內(nèi)容包括用戶身份的識(shí)別和認(rèn)證對(duì)訪問(wèn)的控制授權(quán)、確定訪問(wèn)權(quán)限、實(shí)施訪問(wèn)權(quán)限附加控制除了對(duì)直接的訪問(wèn)進(jìn)行控制外，還應(yīng)對(duì)信息的流動(dòng)和推理攻擊施加控制審計(jì)跟蹤對(duì)用戶使用何種系統(tǒng)資源、使用的時(shí)間、執(zhí)行的操作等問(wèn)題進(jìn)行完整的記錄，以備非法事件發(fā)生后能進(jìn)行有效的追查第9章第1節(jié)目前十五頁(yè)\總數(shù)八十五頁(yè)\編于十九點(diǎn)9.1訪問(wèn)控制技術(shù)概述訪問(wèn)控制的類型自主訪問(wèn)控制（DAC）用戶可以按自己的意愿對(duì)系統(tǒng)參數(shù)做適當(dāng)?shù)男薷?，可以決定哪個(gè)用戶可以訪問(wèn)系統(tǒng)資源強(qiáng)制訪問(wèn)控制（MAC）用戶和資源都是一個(gè)固定的安全屬性，系統(tǒng)利用安全屬性來(lái)決定一個(gè)用戶是否可以訪問(wèn)某個(gè)資源由于強(qiáng)制訪問(wèn)控制的安全屬性是固定的，因此用戶或用戶程序不能修改安全屬性基于角色的訪問(wèn)控制第9章第1節(jié)目前十六頁(yè)\總數(shù)八十五頁(yè)\編于十九點(diǎn)9.2入網(wǎng)認(rèn)證入網(wǎng)認(rèn)證即入網(wǎng)訪問(wèn)控制。它為網(wǎng)絡(luò)訪問(wèn)提供了第一層訪問(wèn)控制入網(wǎng)認(rèn)證控制哪些用戶能夠登錄到服務(wù)器并獲得網(wǎng)絡(luò)資源，也控制準(zhǔn)許用戶入網(wǎng)的時(shí)間和準(zhǔn)許他們?cè)谀呐_(tái)工作站入網(wǎng)入網(wǎng)認(rèn)證實(shí)質(zhì)上就是對(duì)用戶的身份進(jìn)行認(rèn)證第9章第2節(jié)目前十七頁(yè)\總數(shù)八十五頁(yè)\編于十九點(diǎn)9.2入網(wǎng)認(rèn)證身份認(rèn)證身份認(rèn)證過(guò)程指的是當(dāng)用戶試圖訪問(wèn)資源的時(shí)候，系統(tǒng)確定用戶的身份是否真實(shí)的過(guò)程認(rèn)證對(duì)所有需要安全的服務(wù)來(lái)說(shuō)是至關(guān)重要的，因?yàn)檎J(rèn)證是訪問(wèn)控制執(zhí)行的前提，是判斷用戶是否有權(quán)訪問(wèn)信息的先決條件，同時(shí)也為日后追究責(zé)任提供不可抵賴的證據(jù)第9章第2節(jié)目前十八頁(yè)\總數(shù)八十五頁(yè)\編于十九點(diǎn)身份認(rèn)證的概念身份認(rèn)證的作用身份認(rèn)證與鑒別是信息安全中的第一道防線，是保證計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全的重要措施之一,對(duì)信息系統(tǒng)的安全有著重要的意義。身份認(rèn)證可以確保用戶身份的真實(shí)、合法和唯一性。認(rèn)證是對(duì)用戶身份和認(rèn)證信息的生成、存儲(chǔ)、同步、驗(yàn)證和維護(hù)的整個(gè)過(guò)程的管理。作用：可以防止非法人員進(jìn)入系統(tǒng)，防止非法人員通過(guò)各種違法操作獲取不正當(dāng)利益、非法訪問(wèn)受控信息、惡意破壞系統(tǒng)數(shù)據(jù)的完整性的情況的發(fā)生，嚴(yán)防“病從口入”關(guān)口。目前十九頁(yè)\總數(shù)八十五頁(yè)\編于十九點(diǎn)9.2入網(wǎng)認(rèn)證身份認(rèn)證的依據(jù)用戶所知道的密碼用戶所擁有的智能卡用戶的特征生物學(xué)上的屬性根據(jù)特定地點(diǎn)（或特定時(shí)間）通過(guò)信任的第三方Kerberos,IKE第9章第2節(jié)目前二十頁(yè)\總數(shù)八十五頁(yè)\編于十九點(diǎn)身份認(rèn)證技術(shù)方法目前，計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)中常用的身份認(rèn)證方式主要有以下幾種：1.用戶名及密碼方式用戶名及密碼方式是最簡(jiǎn)單也是最常用的身份認(rèn)證方法，由用戶自己設(shè)定，只有用戶本人知道。只要能夠正確輸入密碼，計(jì)算機(jī)就認(rèn)為操作者就是合法用戶。2.智能卡認(rèn)證智能卡是一種內(nèi)置集成的電路芯片，芯片中存有與用戶身份相關(guān)的數(shù)據(jù)，智能卡由專門(mén)的廠商通過(guò)專門(mén)的設(shè)備生產(chǎn)，是不可復(fù)制的硬件。智能卡由合法用戶隨身攜帶，登錄時(shí)必須將智能卡插入專用的讀卡器讀取其中的信息，以驗(yàn)證用戶的身份。目前二十一頁(yè)\總數(shù)八十五頁(yè)\編于十九點(diǎn)身份認(rèn)證技術(shù)方法目前，計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)中常用的身份認(rèn)證方式主要有以下幾種：3.動(dòng)態(tài)令牌認(rèn)證動(dòng)態(tài)口令技術(shù)是一種讓用戶密碼按照時(shí)間或使用次數(shù)不斷變化、每個(gè)密碼只能使用一次的技術(shù)。它采用一種動(dòng)態(tài)令牌的專用硬件，內(nèi)置電源、密碼生成芯片和顯示屏，密碼生成芯片運(yùn)行專門(mén)的密碼算法，根據(jù)當(dāng)前時(shí)間或使用次數(shù)生成當(dāng)前密碼并顯示。用戶使用時(shí)只需要將動(dòng)態(tài)令牌上顯示的當(dāng)前密碼輸入客戶端計(jì)算機(jī)，即可實(shí)現(xiàn)身份認(rèn)證。采用一次一密的方法。例：工行、建行（見(jiàn)備注）目前二十二頁(yè)\總數(shù)八十五頁(yè)\編于十九點(diǎn)身份認(rèn)證技術(shù)方法目前，計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)中常用的身份認(rèn)證方式主要有以下幾種：4.USBKey認(rèn)證基于USBKey的身份認(rèn)證方式是近幾年發(fā)展起來(lái)的一種方便、安全的身份認(rèn)證技術(shù)。它采用軟硬件相結(jié)合、一次一密的強(qiáng)雙因子認(rèn)證模式，很好地解決了安全性與易用性之間的矛盾。USBKey內(nèi)置單片機(jī)或智能卡芯片，可以存儲(chǔ)用戶的密鑰或數(shù)字證書(shū)，利用USBKey內(nèi)置的密碼算法實(shí)現(xiàn)對(duì)用戶身份的認(rèn)證?；赨SBKey身份認(rèn)證系統(tǒng)主要有兩種應(yīng)用模式：一是基于沖擊/響應(yīng)的認(rèn)證模式，二是基于PKI體系的認(rèn)證模式。例：工行、建行（見(jiàn)備注）目前二十三頁(yè)\總數(shù)八十五頁(yè)\編于十九點(diǎn)身份認(rèn)證技術(shù)方法目前，計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)中常用的身份認(rèn)證方式主要有以下幾種：5.生物識(shí)別技術(shù)生物識(shí)別技術(shù)主要是指通過(guò)可測(cè)量的身體或行為等生物特征進(jìn)行身份認(rèn)證的一種技術(shù)。生物特征是指唯一的可以測(cè)量或可自動(dòng)識(shí)別和驗(yàn)證的生理特征或行為方式。生物特征分為身體特征和行為特征兩類。身體特征包括：指紋、掌型、視網(wǎng)膜、虹膜、人體氣味、臉型、手的血管和DNA等；行為特征包括：簽名、語(yǔ)音、行走步態(tài)等。目前采用的有：指紋識(shí)別技術(shù)、視網(wǎng)膜識(shí)別技術(shù)、聲音識(shí)別技術(shù)目前二十四頁(yè)\總數(shù)八十五頁(yè)\編于十九點(diǎn)身份認(rèn)證技術(shù)方法目前，計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)中常用的身份認(rèn)證方式主要有以下幾種：6.CA認(rèn)證CA(CertificationAuthority)是認(rèn)證機(jī)構(gòu)的國(guó)際通稱，它是對(duì)數(shù)字證書(shū)的申請(qǐng)者發(fā)放、管理、取消數(shù)字證書(shū)的機(jī)構(gòu)。CA的作用：是檢查證書(shū)持有者身份的合法性，并簽發(fā)證書(shū)(用數(shù)學(xué)方法在證書(shū)上簽字)，以防證書(shū)被偽造或篡改。網(wǎng)絡(luò)身份證的發(fā)放、管理和認(rèn)證就是一個(gè)復(fù)雜的過(guò)程，也就是CA認(rèn)證。CA職能管理和維護(hù)客戶的證書(shū)和證書(shū)作廢表維護(hù)自身的安全提供安全審計(jì)的依據(jù)目前二十五頁(yè)\總數(shù)八十五頁(yè)\編于十九點(diǎn)9.2入網(wǎng)認(rèn)證身份認(rèn)證的評(píng)價(jià)標(biāo)準(zhǔn)可行性認(rèn)證強(qiáng)度認(rèn)證粒度認(rèn)證數(shù)據(jù)正確不同協(xié)議間的適應(yīng)性第9章第2節(jié)目前二十六頁(yè)\總數(shù)八十五頁(yè)\編于十九點(diǎn)9.2入網(wǎng)認(rèn)證身份認(rèn)證的評(píng)價(jià)標(biāo)準(zhǔn)可行性從用戶的觀點(diǎn)看，認(rèn)證方法應(yīng)該提高用戶訪問(wèn)應(yīng)用的效率，減少多余的交互認(rèn)證過(guò)程，提供一次性認(rèn)證另外所有用戶可訪問(wèn)的資源應(yīng)該提供友好的界面給用戶訪問(wèn)第9章第2節(jié)目前二十七頁(yè)\總數(shù)八十五頁(yè)\編于十九點(diǎn)9.2入網(wǎng)認(rèn)證身份認(rèn)證的評(píng)價(jià)標(biāo)準(zhǔn)認(rèn)證強(qiáng)度認(rèn)證強(qiáng)度取決于采用的算法的復(fù)雜度以及密鑰的長(zhǎng)度采用更復(fù)雜的算法，更長(zhǎng)的密鑰，將能提高系統(tǒng)的認(rèn)證強(qiáng)度，提高系統(tǒng)的安全性第9章第2節(jié)目前二十八頁(yè)\總數(shù)八十五頁(yè)\編于十九點(diǎn)9.2入網(wǎng)認(rèn)證身份認(rèn)證的評(píng)價(jià)標(biāo)準(zhǔn)認(rèn)證粒度身份認(rèn)證只決定是否允許用戶進(jìn)入服務(wù)應(yīng)用。之后如何控制用戶訪問(wèn)的內(nèi)容，以及控制的粒度也是認(rèn)證系統(tǒng)的重要標(biāo)志有些認(rèn)證系統(tǒng)僅限于判斷用戶是否具有合法身份，有些則按權(quán)限等級(jí)劃分成幾個(gè)密級(jí)，嚴(yán)格控制用戶按照自己所屬的密級(jí)訪問(wèn)第9章第2節(jié)目前二十九頁(yè)\總數(shù)八十五頁(yè)\編于十九點(diǎn)9.2入網(wǎng)認(rèn)證身份認(rèn)證的評(píng)價(jià)標(biāo)準(zhǔn)認(rèn)證數(shù)據(jù)正確消息的接受者能夠驗(yàn)證消息的合法性、真實(shí)性和完整性消息的發(fā)送者對(duì)所發(fā)的消息不可抵賴除了合法的消息發(fā)送者外，任何其他人不能偽造合法的消息當(dāng)通信雙方（或多方）發(fā)生爭(zhēng)執(zhí)時(shí)，有公正權(quán)威的第3方解決糾紛第9章第2節(jié)目前三十頁(yè)\總數(shù)八十五頁(yè)\編于十九點(diǎn)9.2入網(wǎng)認(rèn)證身份認(rèn)證的評(píng)價(jià)標(biāo)準(zhǔn)不同協(xié)議間的適應(yīng)性認(rèn)證系統(tǒng)應(yīng)該對(duì)所有協(xié)議的應(yīng)用進(jìn)行有效的身份識(shí)別除了HTTP以外，安全Email訪問(wèn)（包括認(rèn)證SMTP、POP或者IMAP）也應(yīng)該包含在認(rèn)證系統(tǒng)中第9章第2節(jié)目前三十一頁(yè)\總數(shù)八十五頁(yè)\編于十九點(diǎn)9.2入網(wǎng)認(rèn)證口令認(rèn)證的一般過(guò)程用戶名的識(shí)別與驗(yàn)證確定是否存在該用戶的信息用戶口令的識(shí)別與驗(yàn)證確定用戶輸入的口令是否正確用戶帳號(hào)的缺省限制檢查 確定該用戶帳號(hào)是否可用，以及能夠進(jìn)行哪些操作、訪問(wèn)哪些資源等用戶的權(quán)限第9章第2節(jié)目前三十二頁(yè)\總數(shù)八十五頁(yè)\編于十九點(diǎn)9.2入網(wǎng)認(rèn)證口令認(rèn)證口令認(rèn)證也稱通行字認(rèn)證，是一種根據(jù)已知事物驗(yàn)證身份的方法通行字的選擇原則易記難以被別人猜中或發(fā)現(xiàn)抗分析能力強(qiáng)需要考慮的方面選擇方法、使用期限、字符長(zhǎng)度、分配和管理以及在計(jì)算機(jī)系統(tǒng)內(nèi)的保護(hù)第9章第2節(jié)目前三十三頁(yè)\總數(shù)八十五頁(yè)\編于十九點(diǎn)2023/5/1734口令認(rèn)證技術(shù)

安全口令為了防止攻擊者猜測(cè)出口令，選擇的安全口令應(yīng)滿足以下要求：

（1）口令長(zhǎng)度適中（2）不回送顯示（3）記錄和報(bào)告（4）自動(dòng)斷開(kāi)連接（5）口令存儲(chǔ)的安全性目前，口令的存儲(chǔ)有以下兩種方法：①明文存儲(chǔ)；②散列（Hash）函數(shù)存儲(chǔ)。目前三十四頁(yè)\總數(shù)八十五頁(yè)\編于十九點(diǎn)9.2入網(wǎng)認(rèn)證安全性要求口令認(rèn)證方案無(wú)無(wú)口令低合法用戶公用口令中每個(gè)用戶一個(gè)單獨(dú)的口令高要求一次一密，或口令分散*系統(tǒng)中不存儲(chǔ)口令的原文第9章第2節(jié)目前三十五頁(yè)\總數(shù)八十五頁(yè)\編于十九點(diǎn)9.2入網(wǎng)認(rèn)證認(rèn)證方式單向認(rèn)證雙向認(rèn)證詢問(wèn)認(rèn)證受理的用戶可利用他所知道、而別人不太知道的一些信息向申請(qǐng)用戶提問(wèn)一系列不大相關(guān)的問(wèn)題第9章第2節(jié)目前三十六頁(yè)\總數(shù)八十五頁(yè)\編于十九點(diǎn)9.3物理隔離措施物理隔離物理隔離技術(shù)是一種將內(nèi)外網(wǎng)絡(luò)從物理上斷開(kāi)，但保持邏輯連接的網(wǎng)絡(luò)安全技術(shù)任何時(shí)候內(nèi)外網(wǎng)絡(luò)都不存在連通的物理連接，同時(shí)原有的傳輸協(xié)議必須被中斷邏輯連接指能進(jìn)行適度的數(shù)據(jù)交換第9章第3節(jié)目前三十七頁(yè)\總數(shù)八十五頁(yè)\編于十九點(diǎn)9.3物理隔離措施1999年12月29日國(guó)家保密局發(fā)布的《計(jì)算機(jī)信息系統(tǒng)國(guó)際聯(lián)網(wǎng)保密管理規(guī)定》中第二章第六條規(guī)定：“涉及國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)，不得直接或間接地與國(guó)際互聯(lián)網(wǎng)或其他公共信息網(wǎng)絡(luò)相聯(lián)接，必須進(jìn)行物理隔離”第9章第3節(jié)目前三十八頁(yè)\總數(shù)八十五頁(yè)\編于十九點(diǎn)網(wǎng)絡(luò)隔離概述

網(wǎng)絡(luò)隔離（NetworkIsolation）技術(shù)是網(wǎng)絡(luò)安全技術(shù)的一個(gè)大門(mén)類。隨著近幾年隔離技術(shù)的飛速發(fā)展，目前的隔離技術(shù)已比較完善，涵蓋了幾乎所有級(jí)別用戶的網(wǎng)絡(luò)隔離需求。

網(wǎng)絡(luò)隔離技術(shù)基礎(chǔ)

網(wǎng)絡(luò)中的“隔離”一詞與現(xiàn)實(shí)生活中的“隔離”存在某種認(rèn)識(shí)上的區(qū)別，從傳統(tǒng)意義來(lái)理解“隔離”使兩個(gè)網(wǎng)絡(luò)真正分開(kāi)，但這樣來(lái)談網(wǎng)絡(luò)安全是沒(méi)有任何意義的。事實(shí)上，網(wǎng)絡(luò)安全中的“隔離”后的兩個(gè)網(wǎng)絡(luò)并非完全沒(méi)有聯(lián)系，還是需要有正常的應(yīng)用層數(shù)據(jù)交換的。

目前可以采用的隔離方法主要有以下三類：物理隔離：通過(guò)一定軟、硬件方法使得訪問(wèn)內(nèi)、外網(wǎng)的設(shè)備、線路、存儲(chǔ)均相對(duì)獨(dú)立。網(wǎng)絡(luò)隔離：利用協(xié)議轉(zhuǎn)換進(jìn)行網(wǎng)間的數(shù)據(jù)交換。安全隔離：利用專用設(shè)備實(shí)現(xiàn)僅在應(yīng)用層進(jìn)行數(shù)據(jù)交換。目前三十九頁(yè)\總數(shù)八十五頁(yè)\編于十九點(diǎn)

2.網(wǎng)絡(luò)隔離技術(shù)的發(fā)展歷程

到目前為止，整個(gè)網(wǎng)絡(luò)隔離技術(shù)的發(fā)展經(jīng)歷了以下五代：第一代隔離技術(shù)——完全的隔離第二代隔離技術(shù)——硬件卡隔離第三代隔離技術(shù)——網(wǎng)絡(luò)協(xié)議隔離第四代隔離技術(shù)——空氣開(kāi)關(guān)網(wǎng)閘隔離第五代隔離技術(shù)——安全網(wǎng)閘隔離

目前四十頁(yè)\總數(shù)八十五頁(yè)\編于十九點(diǎn)物理隔離原理

物理隔離技術(shù)的指導(dǎo)思想與防火墻有很大的不同：防火墻的思路是在保障互連互通的前提下，盡可能安全，而物理隔離的思路是在保證必須安全的前提下，盡可能互連互通。雖然物理隔離技術(shù)存在多種隔離方式，但是它們的隔離原理卻基本上一樣。

目前四十一頁(yè)\總數(shù)八十五頁(yè)\編于十九點(diǎn)9.3物理隔離措施網(wǎng)絡(luò)物理隔離方案客戶端的物理隔離集線器級(jí)的物理隔離服務(wù)器端的物理隔離主要物理隔離產(chǎn)品

物理隔離卡物理隔離集線器物理隔離網(wǎng)閘。第9章第3節(jié)目前四十二頁(yè)\總數(shù)八十五頁(yè)\編于十九點(diǎn)9.3物理隔離措施網(wǎng)絡(luò)物理隔離方案客戶端的物理隔離第9章第3節(jié)目前四十三頁(yè)\總數(shù)八十五頁(yè)\編于十九點(diǎn)9.3物理隔離措施網(wǎng)絡(luò)安全隔離卡是以物理方式將一臺(tái)PC虛擬為兩個(gè)電腦，實(shí)現(xiàn)工作站的雙重狀態(tài)第9章第3節(jié)目前四十四頁(yè)\總數(shù)八十五頁(yè)\編于十九點(diǎn)9.3物理隔離措施網(wǎng)絡(luò)物理隔離方案集線器級(jí)的物理隔離

第9章第3節(jié)目前四十五頁(yè)\總數(shù)八十五頁(yè)\編于十九點(diǎn)9.3物理隔離措施網(wǎng)絡(luò)物理隔離方案集線器級(jí)的物理隔離物理隔離網(wǎng)閘

第9章第3節(jié)目前四十六頁(yè)\總數(shù)八十五頁(yè)\編于十九點(diǎn)9.3物理隔離措施網(wǎng)絡(luò)物理隔離方案服務(wù)器端的物理隔離

第9章第3節(jié)目前四十七頁(yè)\總數(shù)八十五頁(yè)\編于十九點(diǎn)9.3物理隔離措施物理隔離的優(yōu)點(diǎn)安全級(jí)別高，保障強(qiáng)易于在現(xiàn)有涉密網(wǎng)上安裝物理隔離的未盡之處資源消耗大缺乏管理認(rèn)證、訪問(wèn)控制、審計(jì)、取證妨礙應(yīng)用第9章第3節(jié)目前四十八頁(yè)\總數(shù)八十五頁(yè)\編于十九點(diǎn)9.4自主訪問(wèn)控制自主訪問(wèn)控制由客體自主地來(lái)確定各個(gè)主體對(duì)它的直接訪問(wèn)權(quán)限（又稱訪問(wèn)模式）在自主訪問(wèn)控制下，用戶可以按自己的意愿對(duì)系統(tǒng)的參數(shù)做適當(dāng)?shù)男薷?，以決定哪個(gè)用戶可以訪問(wèn)他們的文件第9章第4節(jié)目前四十九頁(yè)\總數(shù)八十五頁(yè)\編于十九點(diǎn)9.4自主訪問(wèn)控制自主訪問(wèn)控制DiscretionaryAccessControl,簡(jiǎn)稱DAC自主訪問(wèn)控制基于對(duì)主體或主體所屬的主體組的識(shí)別來(lái)限制對(duì)客體的訪問(wèn)，這種控制是自主的自主是指對(duì)其它具有授予某種訪問(wèn)權(quán)力的主體能夠自主地（可能是間接的）將訪問(wèn)權(quán)的某個(gè)子集授予其它主體第9章第4節(jié)目前五十頁(yè)\總數(shù)八十五頁(yè)\編于十九點(diǎn)自主訪問(wèn)控制的實(shí)現(xiàn)機(jī)制DAC一般采用以下三種機(jī)制來(lái)存放不同主體的訪問(wèn)控制權(quán)限，從而完成對(duì)主體訪問(wèn)權(quán)限的限制：

1、訪問(wèn)控制矩陣

2、訪問(wèn)控制列表

3、訪問(wèn)控制能力列表目前五十一頁(yè)\總數(shù)八十五頁(yè)\編于十九點(diǎn)訪問(wèn)控制矩陣ACM從概念上來(lái)說(shuō)，訪問(wèn)控制可以通過(guò)使用和維護(hù)一個(gè)訪問(wèn)控制矩陣（AccessControlMatrix)來(lái)實(shí)現(xiàn)。訪問(wèn)控制矩陣是通過(guò)二維矩陣形式表示訪問(wèn)控制規(guī)則和授權(quán)用戶權(quán)限的方法；包含三個(gè)元素：主體、客體和訪問(wèn)權(quán)限。訪問(wèn)控制矩陣的行對(duì)應(yīng)于主體，列對(duì)應(yīng)于客體；第i行第j列的元素是訪問(wèn)權(quán)限的集合，列出了允許主體si對(duì)客體oj進(jìn)行訪問(wèn)的權(quán)限。目前五十二頁(yè)\總數(shù)八十五頁(yè)\編于十九點(diǎn)9.4自主訪問(wèn)控制訪問(wèn)控制矩陣第9章第4節(jié)目前五十三頁(yè)\總數(shù)八十五頁(yè)\編于十九點(diǎn)訪問(wèn)控制矩陣

訪問(wèn)控制矩陣實(shí)例如下圖所示：

客體主體Bob.docAJohn.exeBob擁有讀、寫(xiě)執(zhí)行Alice寫(xiě)擁有執(zhí)行John讀、寫(xiě)擁有目前五十四頁(yè)\總數(shù)八十五頁(yè)\編于十九點(diǎn)訪問(wèn)控制矩陣

訪問(wèn)控制的任務(wù)就是確保系統(tǒng)的操作是按照訪問(wèn)控制矩陣授權(quán)的訪問(wèn)來(lái)執(zhí)行。優(yōu)點(diǎn)：清晰地實(shí)現(xiàn)認(rèn)證與訪問(wèn)控制的相互分離。缺點(diǎn)：在較大系統(tǒng)中，如果用戶和資源都非常多，那么訪問(wèn)控制矩陣非常巨大；而且每個(gè)用戶可能訪問(wèn)的資源有限，矩陣中許多格可能都為空，浪費(fèi)存儲(chǔ)空間；因此較少使用。簡(jiǎn)單的解決方法：將訪問(wèn)控制矩陣按行或按列進(jìn)行劃分。如果按行劃分，得到訪問(wèn)控制能力表；如果按列劃分，得到廣泛應(yīng)用的訪問(wèn)控制列表。目前五十五頁(yè)\總數(shù)八十五頁(yè)\編于十九點(diǎn)9.4自主訪問(wèn)控制DAC的實(shí)現(xiàn)方法基于行的DAC(訪問(wèn)控制列表)權(quán)力表（CapabilitiesList）前綴表（Profiles）口令（Password）基于列的DAC(訪問(wèn)控制能力列表)保護(hù)位（ProtectionBits）訪問(wèn)控制表（AccessControlList，ACL）第9章第4節(jié)目前五十六頁(yè)\總數(shù)八十五頁(yè)\編于十九點(diǎn)訪問(wèn)控制列表ACL

訪問(wèn)控制列表（AccesscontrolList）是以文件為中心建立訪問(wèn)權(quán)限表。對(duì)于每個(gè)資源，訪問(wèn)控制列表中列出可能的用戶和用戶的訪問(wèn)權(quán)限。

訪問(wèn)控制列表是基于訪問(wèn)控制矩陣中列的自主訪問(wèn)控制區(qū)，它在一個(gè)客體上附加一個(gè)主體明細(xì)表來(lái)表示各個(gè)主體對(duì)這個(gè)客體的訪問(wèn)權(quán)限；明細(xì)表中的每一項(xiàng)都包括主體的身份和主體對(duì)這個(gè)客體的訪問(wèn)權(quán)限。目前五十七頁(yè)\總數(shù)八十五頁(yè)\編于十九點(diǎn)訪問(wèn)控制列表ACL

例如，前面訪問(wèn)控制矩陣實(shí)例對(duì)應(yīng)的訪問(wèn)控制列表如下所示：

acl(Bob.doc）={(Bob,{擁有})，(Alice,{寫(xiě)})，

(John,{讀、寫(xiě)}))}acl(A）={(Bob,{讀、寫(xiě)})，(Alice,{擁有})}

acl(John.exe）={(Bob,{執(zhí)行})，（Alice,{執(zhí)行})，

(John,{擁有}))}目前五十八頁(yè)\總數(shù)八十五頁(yè)\編于十九點(diǎn)訪問(wèn)控制列表ACL

優(yōu)點(diǎn)：實(shí)現(xiàn)簡(jiǎn)單、實(shí)用，大多數(shù)PC、服務(wù)器和主機(jī)都使用ACL作為訪問(wèn)控制的實(shí)現(xiàn)機(jī)制。適用情況：系統(tǒng)需要區(qū)分的用戶相對(duì)較少，并且這些用戶大都比較穩(wěn)定。缺點(diǎn)：如訪問(wèn)控制列表太大或經(jīng)常改變，那么維護(hù)訪問(wèn)控制列表就成為一個(gè)問(wèn)題。目前五十九頁(yè)\總數(shù)八十五頁(yè)\編于十九點(diǎn)訪問(wèn)控制能力列表ACCL

能力指訪問(wèn)請(qǐng)求者所擁有的一個(gè)有效標(biāo)簽，它授權(quán)標(biāo)簽的持有者可以按照何種訪問(wèn)方式訪問(wèn)特定的客體。訪問(wèn)控制能力列表以用戶為中心建立訪問(wèn)權(quán)限表，是常用的基于行的自主訪問(wèn)控制；它為每個(gè)主體附加一個(gè)該主體能夠訪問(wèn)的客體的明細(xì)表。

目前六十頁(yè)\總數(shù)八十五頁(yè)\編于十九點(diǎn)訪問(wèn)控制能力列表ACCL

例如，前面訪問(wèn)控制矩陣實(shí)例對(duì)應(yīng)的訪問(wèn)控制能力表如下所示：

cap(Bob）={(Bob.doc,{擁有})，(A,{讀、寫(xiě)})，

(John.exe,{執(zhí)行})}cap(Alice）={(Bob.doc,{寫(xiě)})，(A,{擁有})

,(John.exe,{執(zhí)行})}

cap(John）={(Bob.doc,{讀、寫(xiě)}),

(John.exe,{擁有})}目前六十一頁(yè)\總數(shù)八十五頁(yè)\編于十九點(diǎn)訪問(wèn)控制能力列表ACCL訪問(wèn)控制能力表在時(shí)間效率和空間效率上都優(yōu)于訪問(wèn)控制矩陣。缺點(diǎn)：對(duì)于一個(gè)給定的客體，要確定所有有權(quán)訪問(wèn)它的主體、用戶生成一個(gè)新的客體并對(duì)其授權(quán)、或刪除一個(gè)客體時(shí)都比較復(fù)雜。目前六十二頁(yè)\總數(shù)八十五頁(yè)\編于十九點(diǎn)9.4自主訪問(wèn)控制DAC的訪問(wèn)類型(控制模式)

等級(jí)型有主型（Owner）自由型（Laissez-faire）第9章第4節(jié)目前六十三頁(yè)\總數(shù)八十五頁(yè)\編于十九點(diǎn)9.4自主訪問(wèn)控制DAC的優(yōu)點(diǎn)方便、實(shí)用可由用戶自由定制可擴(kuò)展性強(qiáng)缺點(diǎn)管理分散、用戶關(guān)系不清權(quán)限易被濫用第9章第4節(jié)目前六十四頁(yè)\總數(shù)八十五頁(yè)\編于十九點(diǎn)9.5強(qiáng)制訪問(wèn)控制強(qiáng)制訪問(wèn)控制MandatoryAccessControl，簡(jiǎn)稱MAC用戶與文件都有一個(gè)固定的安全屬性，系統(tǒng)利用安全屬性來(lái)決定一個(gè)用戶是否可以訪問(wèn)某個(gè)文件安全屬性是強(qiáng)制性的，它是由安全管理員或操作系統(tǒng)根據(jù)限定的規(guī)則分配的，用戶或用戶的程序不能修改安全屬性第9章第5節(jié)目前六十五頁(yè)\總數(shù)八十五頁(yè)\編于十九點(diǎn)9.5強(qiáng)制訪問(wèn)控制強(qiáng)制訪問(wèn)控制如果系統(tǒng)認(rèn)為具有某一安全屬性的用戶不適于訪問(wèn)某個(gè)文件，那么任何人（包括文件的擁有者）都無(wú)法使該用戶具有訪問(wèn)文件的能力強(qiáng)制訪問(wèn)控制是比任意訪問(wèn)控制更強(qiáng)的一種訪問(wèn)控制機(jī)制，它可以通過(guò)無(wú)法回避的訪問(wèn)限制來(lái)防止某些對(duì)系統(tǒng)的非法入侵強(qiáng)制訪問(wèn)控制可以防止一個(gè)進(jìn)程生成共享文件，從而防止一個(gè)進(jìn)程通過(guò)共享文件把信息從一個(gè)進(jìn)程傳送給另一個(gè)進(jìn)程第9章第5節(jié)目前六十六頁(yè)\總數(shù)八十五頁(yè)\編于十九點(diǎn)強(qiáng)制訪問(wèn)控制（MAC）強(qiáng)制訪問(wèn)控制（MandatoryAccessControl）是比DAC更為嚴(yán)格的訪問(wèn)控制策略。具體實(shí)現(xiàn)時(shí)，每個(gè)用戶及文件都被賦予一定的安全級(jí)別，用戶不能改變自身或任何客體的安全級(jí)別，只有系統(tǒng)管理員可以確定用戶和組的訪問(wèn)權(quán)限。系統(tǒng)通過(guò)比較用戶和訪問(wèn)的文件的安全級(jí)別來(lái)決定用戶是否可以訪問(wèn)該文件。目前六十七頁(yè)\總數(shù)八十五頁(yè)\編于十九點(diǎn)Bell-LaPadual模型安全屬性用二元組表示（密級(jí)、類別集合）密級(jí)：絕密、機(jī)密、秘密、公開(kāi)絕密>機(jī)密>秘密>公開(kāi)模型對(duì)系統(tǒng)中的每個(gè)用戶分配一個(gè)安全屬性，它反映了對(duì)用戶不將敏感信息泄露給不持有相應(yīng)安全屬性用戶的置信度。目前六十八頁(yè)\總數(shù)八十五頁(yè)\編于十九點(diǎn)訪問(wèn)模式目前六十九頁(yè)\總數(shù)八十五頁(yè)\編于十九點(diǎn)9.5強(qiáng)制訪問(wèn)控制Bell-LaPadual模型簡(jiǎn)單安全規(guī)則僅當(dāng)主體的敏感級(jí)不低于客體敏感級(jí)且主體的類別集合包含客體時(shí)，才允許該主體讀該客體。即主體只能讀密級(jí)等于或低于它的客體，也就是說(shuō)主體只能從下讀，而不能從上讀星規(guī)則僅當(dāng)主體的敏感級(jí)不高于客體敏感級(jí)且客體的類別集合包含主體的類別集合時(shí)，才允許該主體寫(xiě)該客體。即主體只能寫(xiě)密級(jí)等于或高于它的客體，也就是說(shuō)主體只能向上寫(xiě)，而不能向下寫(xiě)第9章第5節(jié)目前七十頁(yè)\總數(shù)八十五頁(yè)\編于十九點(diǎn)安全策略目前七十一頁(yè)\總數(shù)八十五頁(yè)\編于十九點(diǎn)Biba模型

基于信息完整性保護(hù)

用完整性取代敏感等級(jí)目前七十二頁(yè)\總數(shù)八十五頁(yè)\編于十九點(diǎn)9.5強(qiáng)制訪問(wèn)控制Biba模型簡(jiǎn)單完整規(guī)則僅當(dāng)主體的完整級(jí)大于等于客體的完整級(jí)且主體的類別集合包含客體的類別集時(shí)，才允許該主體寫(xiě)該客體。即主體只能向下寫(xiě)，而不能向上寫(xiě)，也就是說(shuō)主體只能寫(xiě)（修改）完整性級(jí)別等于或低于它的客體完整性制約規(guī)則（星規(guī)則）僅當(dāng)主體的完整級(jí)不高于客體完整級(jí)且客體的類別集合包含主體的類別集合時(shí)，才允許該主體讀讀客體。即主體只能從上讀，而不能從下讀第9章第5節(jié)目前七十三頁(yè)\總數(shù)八十五頁(yè)\編于十九點(diǎn)Biba模型安全策略目前七十四頁(yè)\總數(shù)八十五頁(yè)\編于十九點(diǎn)9.6新型訪問(wèn)控制技術(shù)基于角色的訪問(wèn)控制技術(shù)

RBAC（

Role-BasedAccessControl）

NIST（NationalInstituteofStandardTechnology）

基于任務(wù)的訪問(wèn)控制技術(shù)

TBAC

（Task-BasedAccessControl）

基于組機(jī)制的訪問(wèn)控制技術(shù)

…第9章第6節(jié)目前七十五頁(yè)\總數(shù)八十五頁(yè)\編于十九點(diǎn)9.6新型訪問(wèn)控制技術(shù)四種RBAC模型基本模型RBAC0

角色的層次結(jié)構(gòu)RBAC1約束模型RBAC2混合模型RBAC3第9章第6節(jié)目前七十六頁(yè)\總數(shù)八十五頁(yè)\編于十九點(diǎn)基于角色的訪問(wèn)控制RBAC

Role-basedAccessControl，RBAC基本思想:

將訪問(wèn)許可權(quán)分配給一定的角色，用戶通過(guò)飾演不同的角色獲得角色所擁有的訪問(wèn)許可權(quán)。與MAC和DAC將權(quán)限直接授予用戶的方式不同，RBAC從控制主體的角度出發(fā)，根據(jù)管理中相對(duì)穩(wěn)定的職權(quán)和責(zé)任來(lái)劃分角色，將訪問(wèn)權(quán)限與角色相聯(lián)系；通過(guò)給用戶分配合適的角色，讓用戶與訪問(wèn)權(quán)限相聯(lián)系。角色成為訪問(wèn)控制中訪問(wèn)主體和受控對(duì)象之間的一座橋梁。目前七十七頁(yè)\總數(shù)八十五頁(yè)\編于十九點(diǎn)基于角色的訪問(wèn)控制

RBAC角色可以看做是一組操作的集合，不同的角色具有不同的操作集，這些操作集由系統(tǒng)管理員定義，角色成員的增減也只能由系統(tǒng)管理員來(lái)執(zhí)行，即只有系統(tǒng)管理員有權(quán)定義和分配角色。依據(jù)RBAC策略，系統(tǒng)定義各種角色，每種角色可以完成一定的職能，不同的用戶根