信息安全基础培训.ppt

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,信息安全基础,什么是信息？,1,、什么是信息,?,数据,(data),：表征现实世界中实体属性的物理符号（数字、符号、声音、图像、文字等）称为数据。,信息,(information),：信息是经过加工,(,获取、推理、分析、计算、存储等,),的特定形式数据。,知识,(knowledge),：许多相关信息集合起来，就形成了知识。,2,信息的特点：,时效性,新知性,不确定性,总结：信息是有价值的,2,、信息化,电脑的不断普及,露天电影家庭影院,银行业务,电话的改变,邮局业务,电子邮件,电子商务,3,、信息化出现的新问题,互联网经营模式的问题,网上信息可信度差,垃圾电子邮件,安全,病毒,攻击,4,、信息安全：,信息系统抵御意外事件或恶意行为的能力，这些事件和行为将危及所存储、处理或传输的数据，或由这些系统所提供的服务的,可用性、机密性、完整性、非否认性、真实性和可控性。,以上这,6,个属性刻画了信息安全的基本特征和需求，被认为是信息安全的基本属性。,可用性（,Availability,）：,即使在突发事件下，依然能够保障数据和服务的正常使用。,机密性,(Confidentiality),：,能够确保敏感或机密数据的传输和存储不遭受未授权的浏览，甚至可以做到不暴露保密通信的事实。,完整性,(Integrity),：,能够保障被传输、接受或存储的数据是完整的和未被篡改的，在被篡改的情况下能够发现篡改的事实或篡改的位置,非否认性,(Non-repudiation),：,能够保证信息系统的操作者或信息的处理者不能否认其行为或者处理结果，这可以防止参与某次操作或通信的一方事后否认该事件曾发生过。,真实性,(Authenticity),：,亦称可认证性，能够确保实体（如人、进程或系统）身份或信息、信息来源的真实性。,可控性,(Confidentiality),：,能够保证掌握和控制信息与信息系统的基本情况，可对信息和信息系统的使用实施可靠的授权、审计、责任认定、传播源跟踪和监管等控制。,网络安全,从其本质上来讲就是网络上的信息安全。,从广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。,信息安全威胁,信息安全威胁,：,是指某人、物、事件、方法或概念等因素对某信息资源或系统的安全使用可能造成的危害。,一般把可能威胁信息安全的行为称为,攻击。,常见的信息安全威胁：,泄密,：,信息被泄露给未授权的实体，如人、接触或系统；,篡改,：,攻击者可能改动原有的信息内容，但信息的使用者并不能识别出被篡改的事实；,重放,：,攻击者可能截获并存储合法的通信数据，以后出于非法的目的重新发送他们，而接受者可能仍然进行正常的受理，从而被攻击者所利用；,假冒,：,指一个人或系统谎称是另一个人或系统，但信息系统或其管理者可能并不能识别，这可能使得谎称者获得了不该获得的权限。,否认,：指参与某次通信或信息处理的一方事后可能否认这次通信或相关的信息处理曾经发生过，这可能使得这类通信或信息处理的参与者不承担应有的责任；,非授权使用,：指信息资源被某个未授权的人或系统使用，也包括越权使用的情况；,网络与系统攻击,：攻击者利用网络或主机系统中的漏洞进行恶意的侵入和破坏，或者通过对某一信息服务资源进行超负荷的使用或干扰，使系统不能正常工作；,恶意代码,灾害、故障与人为破坏,信息安全技术体系,在互联网时代，信息系统跨越了公用网络和组织内部网络，信息安全的内涵在扩展。保密通信和安全认证是解决机密性、真实性、非否认性和完整性的主要手段，但可用性和可控性的要求不能完全依靠他们来解决。,信息安全技术的主要目标可以归纳为：,在不影响正常业务和通信的情况下，用攻击者有困难的事去制约攻击者，使攻击者能够做到的事情不能构成信息安全威胁。,攻击者能做的事：,攻击地点,数据截获,消息收发,利用漏洞和疏忽,分析和计算,攻击者有困难的事,数字猜测,破解密码,推知私钥,越权访问,截获安全信道,密码学基础,密码技术通过,信息的变换或编码,，将机密的敏感消息变换成“黑客”难以读懂的,乱码型,文字，以此达到两个目的：,其一，使不知道如何解密的“黑客”不可能由其截获的乱码中得到任何有意义的信息；,其二，使“黑客”不可能伪造任何乱码型的信息。,研究密码技术的学科称为密码学。,密码学包含两个分支，既,密码编码学,和,密码分析学,。,密码编码学,对信息进行编码实现信息隐蔽；,密码分析学,研究分析破译密码的学问。两者相互对立，而又相互促进。,采用密码方法可以隐蔽和保护机要消息，使未授权者不能提取信息。,被隐蔽的消息称作,明文,，密码可将明文变换成另一种隐蔽形式，称为,密文,。,由明文到密文的变换称为,加密,。由合法接收者从密文恢复出明文的过程称为,解密,。非法接收者试图从密文分析出明文的过程称为,破译,。,对明文进行加密时采用的一组规则称为,加密算法,。对密文解密时采用的一组规则称为,解密算法,。加密算法和解密算法是在一组仅有合法用户知道的安全参数（,密钥,）的控制下进行的，加密和解密过程中使用的密钥分别称为,加密密钥,和,解密密钥,。,明文,加密算法,加密密钥,K1,网络信道,解密算法,明文,解密密钥,K2,密文,用户,A,用户,B,传送给,B,的信息,B,收到信息,窃听者,C,C,窃听到的信息!#$%,数据安全基于密钥,而不是算法的保密！,一个密码系统中包括密码算法、明文、密文、密钥及其使用方法的总和，亦常被称为密码体制。,根据密钥使用方法的不同，可分为：,私钥密码体制（对称密码体制、单钥密码体制）,公钥密码体制（非对称密码体制、双钥密码体制）,对称密码体制,对称密码,体制就是,加密密钥和解密密钥相同,的密码体制，又称私钥密码体制或单钥密码体制，它采用的解密算法是加密算法的逆运算。,由于加密、解密使用同一个密钥，因此，该密码体制的安全性就是密钥的安全。如果密钥泄露，则此密码系统便被攻破。此时,密钥需经过安全的密钥信道由发方传给收方。,凯撒密码：,将每个字母用该字母后面的第三个字母替换。,明文：,MING CHEN WU DIAN FA DONG FAN GONG,密文：,PLQJ FKHQ ZX GLDQ IDGRQJ IDQ JRQJ,对称密码,的优、缺点：,优点：安全性高、加解密速度快；,缺点：,1.,随着网络规模的扩大，密钥的管理成为一个难点、,2.,无法解决消息确认问题、,3.,缺乏自动检测密钥泄露的能力。,最有影响的,对称密码,是,1977,年美国国家标准局颁布的,DES,算法；,2000,年,10,月，公布了新的数据加密标准,AES,。,公钥密码体制,公钥密码体制就是加密密钥与解密密钥不同，或者由其中一个很难推出另一个的密码体制，亦称为非对称密码体制、双钥密码体制。,公钥密码体制能够提供信息的保密性、完整性、不可否认性和认证性。,采用公钥密码技术的每个用户都有一对密钥：一个是可以公开的（称为加密密钥或公钥），可以象电话号码一样进行注册公布；另一个则是秘密的（称为秘密密钥或解密密钥或私钥，它由用户严格保密保存）。,其主要特点是将加密和解密能力分开，因而可以实现多个用户加密的信息只能由一个用户解读，或由一个用户加密的信息而多个用户可以解读。前者可以用于公共网络中实现通信保密，而后者可以用于实现对用户的认证。代表密码有：,RSA,，,ESIGN,，椭圆密码等。,公钥密码基本思想,加密算法,E,KE,解密算法,D,KD,加密密钥,KE,解密密钥,KD,明文,m,明文,m,公开，其他用户可以像查找电话号码一样查到,若用户,A,想向用户,B,传送一条消息,M,用户,A,用户,B,M,用户,A,用户,B,C,Ke,Kd,对称密钥加密方法,对称密钥加密方法缺点,:,任何人都能够冒充用户,A,给,B,发消息，,B,无法察觉，无法保证信息的真实性,用户,A,用户,B,C,K,eB,K,dB,查找,找到,K,eB,用户,C,此消息对用户,A,可能不利,公开密钥加密方法,A,查到,B,的公开加密钥,KE,B,用它加密,M,后得到,C,将,C,发给,B,，,B,收到,C,以后，用自己保密的解密钥,KD,B,解密,C,得到明文,M,用户,A,用户,B,C,KE,B,KD,B,查找,找到,KE,B,哈希函数,哈希函数：,是一种能够将任意长度的消息,M,压缩到某一固定长度的消息摘要（哈希值）的函数。,消息摘要是消息,M,的所有位的函数并提供错误检测能力：消息中的任何一位或多位的变化都将导致该消息摘要的变化。,又称为：杂凑函数、散列函数、数字指纹（,Digital finger print),、压缩（,Compression),函数、紧缩（,Contraction,）函数等。,h=H(M),，,):,输入为任意长度的消息,M;,输出为一个固定长度的哈希值,h,，亦称为消息摘要。,H,公开，哈希值在信源处被附加在消息上。,接收方通过重新计算哈希值来确认消息未被篡改,如果要提供保密性，需要对哈希值提供另外的加密保护。,几种常用的,HASH,算法：,MD5,、,SHA-0,、,SHA-1,、,RIPEMD-160,等,.,哈希函数可以提供保密性、认证、数字签名的作用；,如果不要求提供保密性，可以采用不对整条消息加密而只对消息摘要加密的方法。,哈希值的不同使用方式：,使用对称密码体制对附加了哈希值的消息进行加密（提供认证及保密性）,使用对称密码仅对附加了哈希值进行加密（提供认证）,使用公钥密码体制，只对哈希值进行加密（提供认证及数字签名）,发送者将消息,M,与通信各方共享的一个秘密值,S,串联后计算出哈希值，将此值附在消息后发出去，则攻击者无法产生假消息（提供认证）,消息认证码,消息认证码,使用一个密钥生成一个固定大小的小数据块，附加在消息后，称,MAC,（,Message Authentication Code,）,收到消息后，只需要根据密钥和消息来计算,MAC,是否等于传过来的,MAC,。,接收者可以确信消息,M,未被改变。,接收者可以确信消息来自所声称的发送者；,MAC,函数类似于加密函数，但不需要可逆性。因此在数学上比加密算法被攻击的弱点要少。,MAC,只提供认证，不提供保密和数字签名,为何要使用消息认证码,?,根本上,信息加密提供的是保密性而非真实性,加密代价大,(,公钥算法代价更大,),认证函数与保密函数的分离能提供功能上的灵活性,某些信息只需要真实性,不需要保密性,广播的信息难以使用加密,(,信息量大,),网络管理信息等只需要真实性,政府,/,权威部门的公告,MAC,算法有密钥参与，其计算结果类似于一个加密的杂凑值，攻击者难以在篡改内容后伪造它。因此，,MAC,值可以单独使用，而杂凑值一般在数字签名中使用。,数字签名,消息认证用以保护双方之间的数据交换不被第三方侵犯；但它并不保证双方自身的相互欺骗。,用户,A,用户,B,MAC,用户,C,篡改、冒充,假定,A,发送一个认证的信息给,B,，双方之间的争议可能有多种形式：,A,可以否认发过该消息，,B,无法证明,A,确实发了该消息。,B,伪造一个不同的消息，但声称是从,A,收到的。,用户,A,用户,B,MAC,伪造,否认,例如：对合同书的抵赖；股票交易指令亏损后抵赖,所以用到“数字签名”这种方式,保证信息的抗否认性,用户,B,SIG,A,用户,A,无法伪造,SIG,A,无法抵赖,SIG,A,传统签名的基本特点,:,能与被签的文件在物理上不可分割,签名者不能否认自己的签名,签名不能被伪造,容易被验证,数字签名是传统签名的数字化,基本要求,:,能与所签文件“绑定”,签名者不能否认自己的签名,签名不能被伪造，容易被自动验证,存在仲裁机构,签名者,时间,签名有效,源文件被修改后，签名无效,数字签名应具有的性质,必须能够验证作者及其签名的日期时间；,必须能够认证签名时刻的内容；,签名必须能够由第三方验证，以解决争议；,因此，数字签名功能包含了认证的功能,用户,A,用户,B,C,K,eB,K,dB,查找,找到,K,eB,K,dA,K,eA,查找,找到,K,eA,A,用自己保密的解密钥,K,dA,解密,M,得到中间密文,S,查到,B,的公开加密钥,K,eB,A,用,K,eB,加密,S,得到,C,A,发,C,给,B,S=D(M,K,dA,),C=E(S,K,eB,),用户,A,B,用自己保密的解密钥,K,dB,解密,C,得到中间密文,S,B,接收,C,用,K,eA,加密,S,得到,M,查到,A,的公开加密钥,K,eA,用户,B,D(C,K,dB,)=S,E(S,K,eA,)=M,保证了数据的秘密性和真实性,实际使用过程,将要签名的消息作为散列函数的输入，产生定长的散列码,对散列码进行签名，并将签名附在消息后面,验证者解密（验证）签名,计算出消息的散列码，和解密后的数据相比较（认证）,密钥管理,所有的密码技术都依赖于密钥,因此，在密码应用中必须对密钥从生成到注销的整个过程进行管理。,密钥管理是保证密码体制安全的关键点。,密钥管理方法因所使用的密码体制（对称密码体制和公钥密码体制）而异。,密钥具有生命周期。,密钥管理的目的,:,维持系统中各实体之间的密钥关系，以抗击各种可能的威胁：,密钥的泄露,秘密密钥或公开密钥的身份的真实性丧失,未经授权使用,密钥管理涉及密钥的生成、使用、存储、备份、恢复以及销毁等，涵盖了密钥的整个生存周期。,1,密钥的生成和登记,密钥的生成一般与生成的算法有关，大部分密钥生成算法采用随机或伪随机过程来产生随机密钥。,各类密码体制中均存在安全性较差的密钥，在实际的密钥生成中需要避免生成它们。,密钥登记是将产生的密钥和特定的应用或使用者捆绑在一起，一般由权威机构或人员来完成。,2,密钥的分配和协商,任何密码系统的实施都需要提前分配密钥，即,将密钥安全地发放给合法用户使用。,密钥分配方法：,人工分配；,用其他密钥加密分配密钥，一般称为分级密钥保护。,在任何密码体制下，密钥都有 一个安全生存期，一般认为，仅加密少量数据的密钥的安全生存期更长，而加密大量数据的对称密钥需要经常更换，后者一般称为会话密钥。,因此，当前用于认证的签名密钥更新周期较长，一般通过密钥分配的方式发放给用户，而加密大量数据的对称密钥每次通过收发双方在认证后协商。,3,密钥的保护：,密钥在分配、使用和存储中需要保护。,最直接的保护方法是在物理上安全或环境可靠的地方保存和使用，或将密钥保存在单位的保密室中或移动介质中，或委托可信方管理密钥。,密钥的保护还可以采用秘密共享方案，亦称为门限方案，其基本原理是：将密钥,k,分成,n,各部分,k,1,k,2,k,3,k,n,满足：,已知任意,t,个,k,i,容易计算出,k;,已知任意（,t-1,）,个,k,i,不容易计算出,k,。,然后将,k,1,k,2,k,3,k,n,分别分配给,n,各用户保管，使得攻击者至少需要获得,t,个,k,i,才能获得密钥。,4,密钥的撤销和销毁,密钥的撤销是指停止已分配密钥的使用。如已到安全使用期的密钥,、被怀疑泄露的密钥，其使用者已退出系统的密钥都需要撤销。,密钥的销毁是指：密钥使用完后，立即在存储中或内存中消除密钥留下的痕迹，这在计算机设备存在系统漏洞时能够保护密钥信息不被窃取。,标识与认证技术,标识,是信息安全系统中实体（人、进程、系统或设备）的数字化表示。,实体往往存在静态和动态两种形式，如可执行文件和运行程序；文件和打开的文件；用户和登陆用户等。实体还可以对应相关的算法、安全属性或管理策略等概念，为了建立信息安全系统，不同性质、类别和形式的实体需要不同的标识。,对信息安全相关实体,建立标识体系,是构建信息安全系统的基础工作之一。,1,）系统资源标识,信息系统资源包括文件、数据库和程序等，它们在各种状态下有相应的标识。,操作系统中，文件通常以文件名和存储路径为标识，当文件被打开后，操作系统生成文件描述符或句柄作为打开实例的标识。,2,）用户、组和角色标识,操作系统或信息系统的用户一般以用户名或账户名为标识，在用户登录后，系统一般分配相应的内部标识。这些内部标识记录或对应了登录用户的访问权限信息。,角色代表一组用户，具有相同角色的用户和进程具有相应的组属性，系统管理员能够同时对这一组用户进行管理。,3,）主机和网络标识,主机标识用于在网络中定位特定的主机，在,Internet,中，可以采用,IP,地址或域名地址做标识，需要注意的是：域名地址需要域名服务器将其解析为,IP,地址。,4,）网络资源标识,网络资源标识一般需要指明网络通信协议、主机地址和资源名称，在,Internet,中，这类标识被称为,URL,（统一资源定位符）。,5,）连接及其状态标识,主机需要提供网络服务时，需要公开其连接端口，这样使用该服务的用户可以向特定的主机和端口发起连接，因此，端口也常用于标识网络服务，如,Internet,中，,Web,服务的端口是,80,，,Ftp,服务的端口是,21,。,主机内部还记录通信连接的状态，如与安全相关的信息。,认证包括,身份认证,和,数据起源,的认证,身份认证,技术是在计算机网络系统中确认操作者身份方法，一般用特定信息对用户身份的真实性进行确认。,用于鉴别的信息一般是非公开的、难以仿造的，如口令、密码、智能卡、指纹、声音、视网膜、签字、笔迹等。,身份认证可分为用户与主机间的认证和主机与主机之间的认证，这里主要指用户与主机间的认证，即主机对操作者身份的识别，在有些应用环境下，如电子商务环境中，还需要提供用户对主机身份的识别，以防止网络钓鱼类攻击的发生。,身份认证技术,身份认证,的实现,包括用户管理和用户鉴别两部分,：,用户管理,访问用户首先需要在系统中进行标识（注册）成为系统的合法用户，并获得系统内的唯一性标识，如唯一的,ID,、用户名等。,系统应提供对用户的标识进行管理的功能：能对系统内的无效用户标识（如因工作调动而离开的用户）及时清除。同时需要确保合法用户信息不被非授权地访问、修改或删除。所有与用户标识信息相关的访问需进行安全审计。,用户鉴别,用户访问系统时，由系统对用户身份进行鉴别，判断其是否是系统的合法用户。用户鉴别时，系统首先通过用户标识，鉴别其是否是合法用户，若是合法用户，系统还将通过鉴别用户提交口令、证件或用户的生物特征来识别用户是否是其所声称的合法用户。,身份认证系统还应提供鉴别失败处理：为不成功的鉴别尝试（包括尝试次数和时间的阈值）定义一个值，并明确规定达到该值时所应采取的动作。,常见的身份认证技术,用户名,/,密码方式,用户名,/,密码（即口令）是最简单也是最常用的身份认证方法，所面临的安全威胁也最多，如,:,口令泄露,口令攻击,线路窃听,对验证方的攻击,ID=zxj,Pwd=dkdf,ID=zxj,Pwd=dkdf,成功,成功,返回应用数据,基于地址的认证,在网络通信中，通信数据中包括发送者的源地址，这为认证提供了一种机制或补充。例如，在,Internet,网络中，通信数据包的包头中包含发送者的,IP,地址；在局域网中，包头中也包含发送者的网卡地址。一般来说，欺诈者伪造这些数据是不便的。从应用的角度来看，很多情况下，一些系统用户所处的网络地址范围代表了他们的身份，可以授予相关的访问权限。,生物特征认证,主要的生物认证有指纹识别、声音识别、人眼虹膜识别等。,理论上说，生物特征认证是最可靠的身份认证方式，因为它直接使用人的物理特征来表示每一个人的数字身份，不同的人具有相同生物特征的可能性可以忽略不计，因此几乎不可能被仿冒。但是，认证需要为系统用户部署生物特征采集和识别设备，这在某些情况下是不方便的。,数字证书认证,数字证书就是个人或单位在网络通讯中的身份证，由权威公正的第三方机构即,CA,中心签发。,以数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证，确保网上传递信息的机密性、完整性，以及交易实体身份的真实性，签名信息的不可否认性，从而保障网络应用的安全性。,数字证书主要用于发送安全电子邮件、访问安全站点、网上证券、网上招标采购、网上签约、网上办公、网上缴费、网上税务等网上安全电子事务处理和安全电子交易活动。,双因子认证,双因子认证是指结合密码以及实物（信用卡、,SMS,手机、令牌或指纹等生物标志）两种条件对用户进行认证的方法。,多种认证技术手段的融合认证方法也称为多因子认证。,USB Key,认证,USB Key,是一种,USB,接口的硬件设备。它内置单片机或智能卡芯片，有一定的存储空间，可以存储用户的私钥以及数字证书，利用,USB Key,内置的公钥算法实现对用户身份的认证。用户使用时，需要将,USB Key,连入电脑，并输入密码。,PKI,（,Public Key Infrastructure,，公钥基础设施,）,PKI,采用数字证书进行公钥管理，通过第三方的可信任机构（认证中心，即,CA,），把用户的公钥和用户的其他标识信息捆绑在一起，其中包括用户名和电子邮件地址等信息，以在,Internet,网上验证用户的身份。,PKI,把公钥密码和对称密码结合起来，在,Internet,网上实现密钥的自动管理，保证网上数据的安全传输。,PKI,的主要目的是通过自动管理密钥和证书，为用户建立起一个安全的网络运行环境，使用户可以在多种应用环境下方便的使用加密和数字签名技术，从而保证网上数据的机密性、完整性、有效性。,证书机构,CA,是,PKI,的信任基础，它管理公钥的整个生命周期，其作用包括：发放证书、规定证书的有效期和通过发布证书废除列表（,CRL,）确保必要时可以废除证书。,注册机构,RA,主要完成收集用户信息和确认用户身份的功能。用户是指向认证中心（即,CA,）申请数字证书的客户，可以是个人，也可以是集团或团体、某政府机构等。,注册管理一般由一个独立的注册机构（即,RA,）来承担。它接受用户的注册申请，审查用户的申请资格，并决定是否同意,CA,给其签发数字证书。,注册机构并不给用户签发证书，而只是对用户进行资格审查,。因此，,RA,可以设置在直接面对客户的业务部门，如银行的营业部、机构认识部门等。,证书发布系统,负责证书的发放，如可以通过用户自己，或是通过目录服务。目录服务器可以是一个组织中现存的，也可以是,PKI,方案中提供的。,PKI,安全策略,建立和定义了一个组织信息安全方面的指导方针，同时也定义了密码系统使用的处理方法和原则。它包括一个组织怎样处理密钥和有价值的信息，根据风险的级别定义安全控制的级别。如：可以确认某一,CA,是在,Internet,上的公有,CA,，还是某一企业内部的私有,CA,统一身份认证技术,统一身份认证,，就是用户基于最初访问的一次身份认证，就能对其被授权的资源进行无缝访问。统一身份认证的有助于实现各业务系统用户身份的统一认证和单点登录，改变原有各系统中的分散式身份认证，实现对用户的集中认证和授权管理，简化用户访问内部各系统的过程，使得用户只需要通过一次身份认证过程就可以访问具有相应权限的所有资源。,统一身份认证应包括以下功能：,集中的用户信息管理,：实现用户资料、认证信息的集中统一管理，在一个用户核心数据库中（,LDAP,数据库,/,关系数据库）完成所有用户的资料操作，从而保证数据的一致性和完整性。,账号关联,：如果用户之前已经在相关的应用系统中拥有账号，同时也已经设置了相应的权限，那么用户能够将这些应用系统的账号与统一身份认证服务的账号进行关联，使得用户登录统一身份认证服务之后，就能够自动使用相关的应用系统用户来访问应用系统。,统一的身份认证服务，将各应用系统的身份认证集中到一个认证服务系统完成，该系统能根据用户的角色、身份、访问范围等对访问用户进行身份认证、服务授权或取消授权，并能支持多种不同的认证方式，保证安全性。,此外，用户授权管理、日志管理等服务，可根据不同系统的要求进行选择。,访问控制技术,现实生活中，企业的正常运行很大程度上依赖于建立一套行之有效的“权限”划分和管理体制，无论是政务机关按照行政级别划分“纵向”职能定位，还是业务部门按照业务性质划分的部门结构，以及“首长负责制”所定义的权限，“权限管理”都是企业正常运行的基本安全保证。计算机系统必须保证“权限”分配和管理得到了良好的实现。事实上，绕过“权限”控制和管理是许多攻击者攻击成功的关键一步。,访问控制技术是权限管理的基础，它通过不同的手段和策略来实现对网络资源的访问控制，其目的是保护网络资源不被非法使用和访问。访问控制规定了主体（访问请求者）对客体（被访问资源）进行访问的限制，并在身份识别的基础上，根据身份对提出资源访问请求加以控制。访问控制技术已广泛应用于操作系统、数据库管理系统、网络安全设备以及各类业务应用系统，成为政府、企业构造网络安全防范体系所采用的主要技术之一。,计算机安全系统中各安全级别对访问控制的要求,安全级别,实施的访问控制机制,D,级,几乎没有安全措施,C1,级,至少具有自主型的访问控制，允许用户保护私有项目或所有信,息，防止数据被其它用户非法读取或破坏,C2,级,实施较,C1,级更细致的自主型的访问控制，通过注册、安全时间,隔离、资源隔离等方式使用户的行为具有个体可查性,B1,级,不但具有自主型的访问控制，而且增加了强制型的访问控制，,由组织统一干预每个用户的访问权限,B2,级,将强制访问控制扩展到计算机的全部主体和全部客体,B3,级,根据最小权限原则，取消特权无限大的特权用户，将系统管理,员、系统操作员、安全管理员的职能分离，各自拥有完整职能,的最小权限,A1,级,安全功能与,B3,级相同，但需对系统的安全性设计进行形式化的,验证,目前访问控制技术主要应用在三个方面：操作系统的访问控制、边界访问控制、应用系统的访问控制。,操作系统的访问控制,首先是开展对安全操作系统的研究。现在的操作系统的大多数是,C1,、,C2,级，安全操作系统可以达到,B1,级。目前各国都在开展安全操作系统的研究，安全操作系统主要是提高了操作系统的强制访问控制能力、安全审计能力、密码存取能力，对进程、文件、目录的保护都得到加强。,边界访问控制系统,用来解决内外网之间、内部子网之间的访问控制，可实现信息系统的安全域划分，实现不同安全域的隔离及访问控制，能够配置成分布式控制和集中管理。边界访问控制主要通过防火墙系统、支持,VLAN,的网络设备来实现。防火墙是最常用的边界访问控制设备，它可以用来集中控制内外网之间的数据流动，限制内外网之间的相互访问。,应用系统的访问控制,一般在应用系统开发中单独实现；有时也可以通过调用底层的操作系统访问控制功能或者数据库管理系统访问控制功能。随着各行业信息化程度的提高，基于应用的访问控制成为各行业亟待解决的难题。,目前,4A,（即统一安全管理平台解决方案）技术成为解决应用系统访问控制的首选方案。,访问控制一般包括主体、客体和控制策略三个要素。,主体,指发出访问请求的用户或用户的某个进程，即访问者。,客体,指被访问的资源，如数据、计算处理能力、网络通信能力，各种受控的网络服务、网络设备等。,控制策略,是主体对客体的操作行为集和约束条件集，它体现了一种授权行为，即主体对客体的操作不允许超越操作行为集和约束条件集。典型的在一个信息系统里，控制策略应该定义并包含所有用户对所有客体的操作行为和约束条件。,访问控制三要素间的关系,系统首先要标识主体和客体，即标识合法用户和所有需要管理的资源，并根据控制策略对合法用户进行授权；,合法用户在进行资源访问时，首先进行身份认证，认证通过后，用户才能访问资源，但并不保证其有权对客体进行操作；,用户对目标资源提出的访问请求首先到达监视器，由监视器根据控制规则集判断是允许还是拒绝访问请求；,用户身份认证及访问资源的全过程，应对用户的行为进行审计，以便进行对非法用户或是越权操作者进行管理。,所以，访问控制应包括认证、控制策略的实现和审计,3,个方面的内容。,实现访问控制的关键是采用何种访问控制策略，即如何向主体授权。目前主要有三种不同类型的访问控制策略：,强制访问控制,MAC,自主访问控制,DAC,基于角色的访问控制技术（,RBAC,）,访问控制是用来实施对资源访问加以限制的策略，这种策略把对资源的访问只限于那些被授权用户。应该建立起申请，建立，发出和关闭用户授权的严格的制度，以及管理和监督用户操作责任的机制。,为了获取系统的安全，授权应该遵守访问控制的三个基本原则：,最小特权原则,多人负责原则,职责分离原则,最小特权原则,所谓最小特权指的是“在完成某种操作时所赋予网络中每个主体（用户或进程）必不可少的特权”。最小特权原则，则是指“应限定网络中每个主体所必须的最小特权，确保可能的事故、错误、网络部件的篡改等原因造成的损失最小”。,最小特权原则使得用户所拥有的权力不能超过他执行工作时所需的权限。,多人负责原则,即授权分散化，对于关键的任务必须在功能上进行划分，由多人来共同承担，保证没有任何个人具有完成任务的全部授权或信息。如将责任作分解使得没有一个人具有重要密钥的完全拷贝。,职责分离原则,职责分离是保障安全的一个基本原则。职责分离是指将不同的责任分派给不同的人员以期达到互相牵制，消除一个人执行两项不相容的工作的风险。例如收款员、出纳员、审计员应由不同的人担任。计算机环境下也要有职责分离，为避免安全上的漏洞，有些许可不能同时被同一用户获得。,4A,随着企业的业务系统的发展，其内部用户数量持续增加，网络规模迅速扩大，安全问题不断出现。而每个业务系统分别维护一套用户信息数据，管理本系统内的账号和口令，孤立的以日志形式审计操作者在系统内的操作行为。现有的这种账号口令管理、访问控制及审计措施已远远不能满足自身业务发展需求，及与国际业务接轨的需求。,问题主要表现在以下几方面：,大量的网络设备、主机系统和应用系统分属不同的部门或业务系统，认证、授权和审计方式没有统一，当需要同时对多个系统进行操作时，工作复杂度成倍增加；,一些设备和业务系统由厂商代维，因缺乏统一监管，安全状况不得而知；,各系统分别管理所属的系统资源，为本系统的用户分配访问权限，缺乏统一的访问控制平台，随着用户数增加，权限管理愈发复杂，系统安全难以得到充分保障；,个别账号多人共用，扩散范围难以控制，发生安全事故时更难以确定实际使用者；,随着系统增多，用户经常需要在各系统间切换，而每次切换都需要输入该系统的用户名和口令，为不影响工作效率，用户往往会采用简单口令或将多个系统的口令设置成相同的，造成对系统安全性的威胁；,对各个系统缺乏集中统一的访问审计，无法进行综合分析，因此不能及时发现入侵行为。,.,由于缺乏统一的安全管理平台，加重了系统管理人员工作负担，同时，因各业务系统安全策略不一致，实质上也大大降低了业务系统的安全系数。,采用,4A,统一安全管理平台解决方案能够解决企业当前在账号口令管理、访问控制及审计措施方面所面临的主要问题。,4A,是指融合,统一用户账号管理,（账号,Account,）、,统一认证管理,（认证,Authentication,）、,统一授权管理,（授权,Authorization,）和,统一安全审计,（审计,Audit,）四要素后的解决方案，该方案涵盖单点登录（,SSO,）、统一用户身份认证等安全功能，为客户提供功能完善的、高安全级别的管理。,统一账号管理子系统功能,。统一实现用户单点登陆，各账号同步，统一账号管理与统一认证授权协作。,统一认证授权子系统功能,。统一实现身份认证，对账号口令集中管理；对网络设备、主机系统、远程接入或,VPN,接入用户、数据库管理员等进行统一的认证和授权。,统一日志审计子系统功能,。统一实现安全日志采集、多维分析、实时展现，以及审计策略配置、审计数据的存储。,网络行为审计子系统功能,。对各种网络协议、操作系统、常用数据库等的各种正常操作及非正常网络行为的审计。,