Windows的访问控制机制
访问控制:是指的安全特性,这些安全特性控制谁能够访问操作系统资源。应用程序调用访问控制函数来设置谁能够访问特定资源或控制对由应用程序提供的资源的访问。
C2等级安全:
下面的列表包含在C2等级安全中最重要的一些要求,它们是有美国国防部提出的:
1、必须能够通过授予或拒绝个人用户和组用户访问某个资源来达到控制访问的目的。
2、当一个进程释放内存后,该内存中的内容不能被读取。同样,一个安全文件系统,例如NTFS,必须防止已删除的文件被读取。
3、当用户需要登录,必须提供一种方式来惟一标识用户。所有的可审计的操作同样能够确定它的执行用户。
4、系统管理员必须能够审计与安全相关的事件。然而,授权管理员不能访问与安全相关事件的审计数据。
5、系统必须能抵抗外部干扰、防止诸如篡改运行中系统、存储在硬盘中的系统文件的操作。
访问控制模型:
访问控制模型允许您控制一个进程访问安全对象或执行诸多系统管理任务的能力(控制进程执行xxx的能力)。访问控制模型有两个基本的组件:
1、访问令牌(包含关于登录用户的信息)
2、安全描述符(包含用于保护一个安全对象的安全信息)
当一个用户要登录,系统验证用户的用户名和密码。如果验证成功,系统创建一个访问令牌。所有以这个用户身份运行的进程都有一份令牌的拷贝。访问令牌包含标识用户账户以及所在组账户的安全标识符。当然,访问令牌还包含很多其它信息,比如用户以及用户所在组的特权列表。当进程试图访问安全对象或者执行需要特权的系统管理任务时,系统使用这个访问令牌识别相应的用户。
每当一个安全对象被创建时,系统将一个安全描述符与对象关联起来,安全描述
符中包含由创建者指定的安全信息,如果创建者没有提供安全信息,那么系统将使用默认的安全信息。应用程序可以调用函数来获得和设置一个已经存在的安全对象的安全信息。
一个安全描述符标识用户的所有者和可以包含下面列出的访问控制列表:
1、一个自主访问控制列表,标识那些用户和组允许或拒绝访问一个对象。
2、一个系统访问控制列表,控制系统审计对对象行为的审计方式(访问成功审计还是访问失败审计等等问题)
一个访问控制列表包含访问控制项的列表。每一个访问控制项包含一个访问权限集、权限集的实施对象(用户、组或会话)的安全标识符和实施动作(允许或拒绝)。
我们并没有直接访问安全描述符、安全标识符和访问控制列表的内容,而是通过函数透明的访问它们的内容。这有助于确保这些结构的完整,同时提供一个统一的操作接口。
访问令牌
访问令牌包含下列信息:
1、用户账户的安全标识符。
2、用户所在组账户的安全标识符,一个用户可能是多个组的成员,所以这里可能有多个。
3、登录会话的登录安全标识符。
4、用户或组的特权列表。
5、所有者安全标识符。
6、基本组的安全标识符。
7、默认的自主访问控制列表,当用户在创建安全对象,但没有指定一个安全描述符时,系统将使用这个默认的自主访问控制列表。
8、访问控制令牌的源。
9、令牌的类型,是一个基本令牌还是一个模仿令牌。
10、可选的受限安全标识符列表
11、当前模仿等级。
12、其它策略。
10Mbps以太网称之为标准以太网。以太网主要有两种传输介质,那就是双绞线和光纤。所有的以太网都遵循IEEE 802.3标准,下面列出是IEEE 802.3的一些以太网络标准,在这些标准中前面的数字表示传输速度,单位是“Mbps”,最后的一个数字表示单段网线长度(基准单位是100m),Base表示“基带”的意思,Broad代表“带宽”。 ·10Base-5 使用粗同轴电缆,最大网段长度为500m,基带传输方法; ·10Base-2 使用细同轴电缆,最大网段长度为185m,基带传输方法; ·10Base-T 使用双绞线电缆,最大网段长度为100m; · 1Base-5 使用双绞线电缆,最大网段长度为500m,传输速度为1Mbps; ·10Broad-36 使用同轴电缆(RG-59/U CATV),最大网段长度为3600m,是一种宽带传输方式; ·10Base-F 使用光纤传输介质,传输速率为10Mbps; 二、快速以太网 随着网络的发展,传统标准的以太网技术已难以满足日益增长的网络数据流量速度需求。在1993年10月以前,对于要求1 0Mbps以上数据流量的LAN应用,只有光纤分布式数据接口(FD DI)可供选择,但它是一种价格非常昂贵的、基于100Mpbs光缆的LAN。1993年10月,Grand Junction公司推出了世界上第一
台快速以太网集线器Fastch10/100和网络接口卡FastNIC100,快速以太网技术正式得以应用。随后Intel、SynOptics、3COM、BayNetworks等公司亦相继推出自己的快速以太网装置。与此同时,IEEE802工程组亦对100Mbps以太网的各种标准,如100BAS E-TX、100BASE-T4、MII、中继器、全双工等标准进行了研究。1995年3月IEEE宣布了IEEE802.3u 100BASE-T快速以太网标准(Fast Ethernet),就这样开始了快速以太网的时代。 快速以太网与原来在100Mbps带宽下工作的FDDI相比它具有许多的优点,最主要体现在快速以太网技术可以有效的保障用户在布线基础实施上的投资,它支持3、4、5类双绞线以及光纤的连接,能有效的利用现有的设施。快速以太网的不足其实也是以太网技术的不足,那就是快速以太网仍是基于CSMA/CD技术,当网络负载较重时,会造成效率的降低,当然这可以使用交换技术来弥补。 100Mbps快速以太网标准又分为:100BASE-TX 、100BASE-FX、100BASE-T4三个子类。 · 100BASE-TX:是一种使用5类数据级无屏蔽双绞线或屏蔽双绞线的快速以太网技术。它使用两对双绞线,一对用于发送,一对用于接收数据。在传输中使用4B/5B编码方式,信号频率为125MHz。符合EIA586的5类布线标准和IBM的SPT 1类布线标准。使用同10BASE-T相同的RJ-45连接器。它的最大网段长度为100米。它支持全双工的数据传输。
访问控制 在计算机系统中,认证、访问控制和审计共同建立了保护系统安全的基础。认证是用户进入系统的第一道防线,访问控制是鉴别用户的合法身份后,控制用户对数据信息的访问。访问控制是在身份认证的基础上,依据授权对提出请求的资源访问请求加以控制。访问控制是一种安全手段,既能够控制用户和其他系统和资源进行通信和交互,也能保证系统和资源未经授权的访问,并为成功认证的用户授权不同的访问等级。 访问控制包含的范围很广,它涵盖了几种不同的机制,因为访问控制是防范计算机系统和资源被未授权访问的第一道防线,具有重要地位。提示用户输入用户名和密码才能使用该计算机的过程是基本的访问控制形式。一旦用户登录之后需要访问文件时,文件应该有一个包含能够访问它的用户和组的列表。不在这个表上的用户,访问将会遭到拒绝。用户的访问权限主要基于其身份和访问等级,访问控制给予组织控制、限制、监控以及保护资源的可用性、完整性和机密性的能力。 访问控制模型是一种从访问控制的角度出发,描述安全系统并建立安全模型的方法。主要描述了主体访问客体的一种框架,通过访问控制技术和安全机制来实现模型的规则和目标。可信计算机系统评估准则(TCSEC)提出了访问控制在计算机安全系统中的重要作用,TCSEC要达到的一个主要目标就是阻止非授权用户对敏感信息的访问。访问控制在准则中被分为两类:自主访问控制(Discretionary
Access Control,DAC)和强制访问控制(Mandatory Access Control,MAC)。近几年基于角色的访问控制(Role-based Access Control,RBAC)技术正得到广泛的研究与应用。 访问控制模型分类 自主访问控制 自主访问控制(DAC),又称任意访问控制,是根据自主访问控制策略建立的一种模型。允许合法用户以用户或用户组的身份访问策略规定的客体,同时阻止非授权用户访问客体。某些用户还可以自主地把自己拥有的客体的访问权限授予其他用户。在实现上,首先要对用户的身份进行鉴别,然后就可以按照访问控制列表所赋予用户的权限允许和限制用户使用客体的资源,主题控制权限的通常由特权用户或特权用户(管理员)组实现。
用户访问控制管理规定 1目的 为了明确用户访问控制管理的职责权限、内容和方法要求,特制定本规定。 2适用范围 本规定适用于信息安全管理体系涉及的所有人员(含组织管理人员、普通员工、第三方人员,以下简称“全体员工”)3术语和定义 4职责 4.1IT部门 a)是本规定的归口管理部门; b)负责本规定的修订、解释和说明及协调实施工作。 4.2信息安全 进行本规定修订及实施的协调工作 4.3相关部门 贯彻执行本规定的相关规定。 4.4部门管理者 a)各部门管理者作为本部门重要信息资产的负责人承担对资产的管理责任; b)决定本部门是否要单独制定访问控制方案。 4.5IT负责人 a)负责制定和修改组织的访问控制方案,并使它在资产使用的范围内得到切实的执行; b)指导IT责任人的工作,并在必要时进行协调。 c)有权指定系统管理员 4.6IT责任人 a)具体制定和修改组织的访问控制方案,提交IT方案负责审核; b)指导部门IT责任人实施访问控制方案; c)对访问控制方案的进行定期评审,并提出修改意见。 d)委托系统管理员依照IT部门制定的措施规定进行具体实施和具体操作等。但即使在这种情况下,访问控制方案实施状况的最终责任,仍然由IT责任人承担。 4.7部门IT责任人 a)如果本部门需单独制定访问控制方案,在部门管理者的授权下制定和修改本部门的访问控制方案,并使它在资产使用的范围内得到切实的执行; b)在IT责任人的指导下,实施访问控制方案。 c)针对访问控制方案向IT责任人进行问题反馈和提出改善意见。 4.8系统管理员 对于来自IT责任人委托的措施和相关操作,担负着切实履行的责任。 5管理要求 5.1用户认证 组织主要系统,包含组织重要信息的计算机、网络、系统等信息资产的访问控制方案,必须满足《用户标识与口令管理指南》的规定。 5.1.1用户标识控制 相关信息资产责任人所在部门IT责任人为了实现个人认证,需要采取以下措施,部门IT责任人必须管理从用户注册、数据更新到数据删除的用户标识和整个周期,并必须保证它们在上述信息资产使用范围内得到切实的落实。具体控制包括: 5.1.1.1用户注册分派的流程 a)用户或代理人提交用户标识的申请 b)部门IT责任人核实该用户的身份 c)部门管理者审批 d)用户提交到IT责任人 e)IT责任人委托信息系统管理员实施注册 f)系统管理员向用户分派用户标识。 5.1.1.2用户标识分派的注意事项
Windows消息分类 Windows应用程序都是基于消息驱动的,消息一般分为标准Windows消息、控件通知消息和命令消息三大类。 1. 标准Windows消息 标准Windows消息,除WM_COMMAND消息外,所有以WM为前缀的消息都是标准Windows消息。标准Windows消息只能由窗口类和视图类进行处理。标准Windows消息都有黙认的处理函数,这些函数在CWnd类中过行了预定义,处理函数均以前缀On开头。 标准Windows消息主要分为三类: (1)键盘消息 当用户按下键盘上的某一个键时,会产生WM_CHAR消息。该消息的处理函数为OnChar. (2) 鼠标消息 WM_MOUSEMOVE WM_LBUTTONDOWN WM_RBUTTONDOWN (3)窗口消息 所有窗口的变化,包括内容重绘、窗口最大化、窗口重新定义大小、窗口滚动条滚动等产生的消息均属于窗口消息。当调用成员函数UpdateWindow 或RedrawWindow要求重新绘制窗口内容时,将会发送WM_PAINT消息,当窗口最小化后再还原或被其它窗口遮盖后又移开时,也会发送WM_PAINT消息。WM_PAINT消息的处理函数为OnPaint. 2. 控件消息(WM_COMMAND) 由控件产生的消息,例如按钮,列表框的选择等都会产生通告消息。控件消息是从控件传送给父窗口的消息。发送控件消息的控件在Visual C++中使用唯一ID号来进行标识,使用控件类来操纵相应的控件。与标准Windows消息一样,控件消息也在视图类、窗口类进行处理。但是,如果用户单击按钮控件,所发出的控件通知消息BN_CLICKED将作为命令消息来处理。 3. 命令消息(WM_COMMAND) 命令消息是菜单项、工具栏按钮、加速键等用户界面对象发送的WM_COMMAND消息。命令消息可以被文档、视图、窗口、应用程序等对象处理。发送命令消息的用户界面对象在Visual C++中也使用唯一的ID号来标识。通过给界面和命令消息分配相同的ID号,可以把用户界面对象与命令联系起来。 Windows把非命令消息直接发送给窗口类对象,该窗口类中用于处理该消息的处理函数将被调用。但是,对于命令消息,将把命令消息发送给多个候选对象(称为命令目标),目标中总有一个将调用该命令的处理函数。 注意:由于CWnd类派生于CCmdTarget类,所以凡是从CWnd派生的类,他们既可以接收标准消息,也可以接收命令消息和通告消息。而对于从CCmdTarget类派生的类只能接收命令消息和通告消息,不能接受标准消息。 ********************************************************************************************** MFC是Windows下程序设计的最流行的一个类库,但是该类库比较庞杂,尤其是它的消息映射机制,更是涉及到很多低层的东西,首先我在这里描述一下,Windows 的消息种类: 一般分的话有三种: 1. 标准消息:除了WM_COMMAND,所有的以WM 开头的消息都是标准消息,从CWnd 派生的类,都可以接受此消息。
Web服务访问控制规范及其实现 摘要:提出了一种用于Web服务的访问控制模型,这种模型和Web服务相结合,能够实现Web服务下安全访问控制权限的动态改变,改善目前静态访问控制问题。新的模型提供的视图策略语言VPL用于描述Web服务的访问控制策略。给出了新的安全模型和Web服务集成的结构,用于执行Web服务访问控制策略。关键词: Web服务;访问控制;视图策略语言;访问控制策略 随着Web服务的广泛应用,Web服务中的访问控制策略描述及实现显得尤为重要。目前,Web服务安全标准以及其实现并不完善,Web服务安全多数交由作为应用程序服务器的Web 服务器的安全机制管理。例如,Tomcat服务器为用户、组、角色的管理和为访问Java-Web 应用程序的权限提供了安全管理。但是,Tomcat中的授权是粗粒度的,也就是说,Tomcat 不可能限制对Web服务的单个的访问操作。本文通过示例,探讨如何把一种新的安全模型应用到Web服务中。这种新的安全模型提供了一种规范语言——视图策略语言,其授权可以在Web服务单个的操作层次上细粒度地指定,同时授权还可以通过操作的调用动态地改变。这种模型和Web服务相结合,能够实现Web服务下安全访问控制权限的动态改变,改善目前静态访问控制的问题。1 Web服务访问控制规范1.1 图书中心系统图书中心系统是一个Web服务的简单应用,其结构。 图书中心系统主要提供书店注册服务、书店客户注册服务、书店处理客户注册请求服务、书店管理客户借阅图书信息服务和为所有的用户查询图书信息的服务。其中书店注册是其他所有服务的前提条件。1.2 系统中的访问控制需求图书中心系统的访问控制需求描述如下:BusinessRegistration:书店经理注册自己的书店。这个注册是其他所有服务的前提条件。CustomerRegistration:书店的客户向书店提交注册申请。CustomerRegistrationProcess:书店处理客户的注册申请。CustomerBookList:书店仅能为自己的客户使用此服务。客户可以查询己借阅清单,但不能在此清单上添加新的请求,只有店员可以添加客户的借阅清单。BookSearch:店员和客户都能使用此服务查询图书信息。1.3 系统中的访问控制基于视图的访问控制VBAC(View-Based Access Control)模型是专门用于支持分布式访问控制策略的设计和管理的模型[1],图2是VBAC的简易模型。VBAC模型可以看成是基于角色的访问控制RBAC(Role-Based Access Control)模型的扩展,VBAC增加了视图以及模式的概念。视图描述的是对访问对象的授权,视图被分配给角色。如果一个主体所扮演的角色拥有对某个对象访问的视图,则这个主体就可以访问此对象。如果这个角色没有这个视图,则这个主体就不能访问此对象。模式描述的是视图和角色动态的分配以及删除。视图策略语言VPL(View Policy Language)是一种说明性的语言,用于描述VBAC策略。VPL用于描述角色、视图以及模式。角色在角色声明roles之后,视图以及模式声明使用关键字view和schema。 角色声明描述了策略中的角色以及这些角色初始拥有的视图。图3是图书中心的角色声明。这个例子中有customer和staff两个角色。staff继承了customer,customer能够调用的操作,staff也可以调用。staff拥有初始视图BusinessRegistratoin,关键字holds来说明角色拥有视图,而customer没有初始视图。 图4是图书中心的访问控制需求的VPL视图声明,关键字controls引导的是一个类或者接口。例如,视图BusinessRegistration允许调用类BusinessRegistration的操作processRegisterRequest。VPL视图可以静态地被限制给特定的角色,这些角色罗列在关键字restricted to后面。例如,视图BusinessRegistration只能被赋给角色staff而不能赋
浅谈访问控制策略 身份鉴别与访问控制是信息安全领域的两个十分重要的概念。然而,对这两个概念的含义往往有不同的理解。希望通过本文所引发的讨论能对统一这两个概念的理解有所帮助。 在GB17859中.身份鉴别指的是用户身份的鉴别,包括用户标识和用户鉴别。在这里.用户标识解决注册用户在一个信息系统中的惟一性问题.用户鉴别则解决用户在登录一个信息系统时的真实性问题。一般情况下.当用户注册到一个系统时,系统应给出其惟一性的标识.并确定对其进行鉴别使用的信息(该信息应是保密的、并且是难以仿造的.一方面以一定方式提供给用户.另一方面由系统保存)。当用户登录到该系统时,用户应提供鉴别信息,系统则根据注册时所保留的鉴别信息对用户所提供的鉴别信息的真实性进行鉴别。 其实.从更广义的范围来讲.信息系统中的身份鉴别应包括用户身份鉴别和设备身份鉴别.用户身份鉴别又分为注册用户的身份鉴别和网上数据交换用户的身份鉴别。上述GB17859中的身份鉴别主要指的是注册用户的身份鉴别。网上数据交换时用户的身份鉴别是指非注册用户间进行数据交换时的身份鉴别。也就是通常所说的在相互不知道对方身份的情况下,又要确认对方身份的真实、可信.从而确认数据交换的可信赖性。这就需要通过所谓的可信第三方(如由CA 系统提供的认证机制)实现数据交换双方身份的真实性认证。关于设备的身份鉴别.其实与注册用户的身份鉴别没有多大区别.只是鉴别的对象是接入系统的设备而已。对接入系统的设备进行身份鉴别.同样要先对其进行注册,并在注册时确定鉴别信息(鉴别信息既与设备相关联.又由系统保留)。当需要将设备接入系统时.被接入设备需提供鉴别信息,经系统确认其身份的真实性后方可接入。 访问控制在GB17859中同样有其特定的含义.并对自主访问控制和强制访问控制的策略做了具体的说明。其实.访问控制在更广的范围有着更广泛的含义。在许多情况下.人们往往把身份鉴别也称作是一种访问控制。如果我们把是否允许登录系统看作是是否允许对系统进行访问.把身份鉴别称为访问控制也未尝不可。问题是需要对其具体含义做清晰的描述。这也是我们为什么把身份鉴别与访问控制这两个概念一起进行讨论的原因
信息科技部 系统访问控制程序 A版 2011年6月1日发布2011年6月1日实施
目录 1 目的 (3) 2 范围 (3) 3 相关文件 (3) 4 职责 (3) 5 程序 (3) 5.1 各系统安全登录程序 (3) 5.2 用户身份标识和鉴别 (4) 5.3 口令管理 (5) 5.4 系统实用工具的使用 (5) 5.5 登录会话限制 (6) 5.6 特殊业务链接时间的限定 ...................................................... 错误!未定义书签。 6 记录 (6)
1 目的 为规范阜新银行信息科技部对各系统的访问控制,预防对系统的未授权的访问特制定此文件。 2 范围 本程序适用于阜新银行信息科技部核心系统及外围系统的维护、登录与管理。 3 相关文件 《口令管理规定》 4 职责 4.1 副总经理负责核心系统及外围系统的运行维护管理指导。 4.2 中心机房管理员负责中心机房的维护、运行及管理。 4.3 信息科技部其他人员配合中心机房管理员的工作。 5 程序 5.1 各系统安全登录程序 5.1.1 由中心机房管理员对登录程序应进行检查确保登录程序满足如下要求: (a)不显示系统或应用标识符,直到登录过程已成功完成为止; (b)在登录过程中,不提供对未授权用户有帮助作用的帮助消息; (c)仅在所有输入数据完成时才验证登录信息。如果出现差错情况,系统不应指出数据的哪一部分是正确的或不正确的; (d)限制所允许的不成功登陆尝试的次数(推荐3次)并考虑: 1)使用策略或其他手段记录不成功的尝试; 2)在允许进一步登录尝试之前,强加一次延迟,或在没有特定授权 情况下拒绝任何进一步的尝试;
MFC的类层次结构与运行机制 MFC的类层次结构 如图所示(子类指向父类): 其中: CObject:是MFC提供的绝大多数类的基类。该类完成动态空间的分配与回收,支持一般的诊断、出错信息处理和文档序列化等。 CCmdTarget:主要负责将系统事件(消息)和窗口事件(消息)发送给响应这些事件的对象,完成消息发送、等待和派遣调度等工作,实现应用程序的对象之间的协调运行。 CWinApp:是应用程序的主线程类,它是从CWinThread类派生而来的。CWinThread类用来完成对线程的控制,包括线程的创建、运行、终止和挂起等。 CDocument:是文档类,包含了应用程序在运行期间所用到的数据。 CWnd:是一个通用的窗口类,用来提供Windows中的所有通用特性、对话框和控件。 CFrameWnd是从CWnd类继承来的,并实现了标准的框架应用程序。 CDialog类用来控制对话框窗口。 CView:用于让用户通过窗口来访问文档。 CMDIFrameWnd和CMDIChildWnd:分别用于多文档应用程序的主框架窗口和文档子窗口的显示和管理。CMiniFrameWnd类是一种简化的框架窗口,它没有最大化和最小化窗口按钮,也没有窗口系统菜单,一般很少用到它。 MFC运行机制 在程序中,当定义一个类对象时,它会自动调用相应的构造函数。所谓"类对象",就是用该类定义的"变量",这个"变量"又称为类的一个实例。例如,theApp就是类CSimpApp的一个对象。 MFC正是利用类的这种"自动调用相应的构造函数"特性,使得WinMain()函数的调用变成了应用程序框架内部的调用,所以我们在代码中看不到每个Windows程序所必须有的WinMain()函数。 当应用程序运行到"CSimpApp theApp;"时,系统就会先调用基类CWinApp构造函数,进行一系列的内部初始化操作,然后自动调用CSimpApp的虚函数InitInstance(),该函数会进一步调用相应的函数来完成主窗口的构造和显示工作。下面来看看上述程序中InitInstance的执行过程。 首先执行的是: m_pMainWnd = new CMainFrame; 该语句用来创建从CFrameWnd类派生而来的用户框架窗口CMainFrame类对象,继而调用该类的构造函数,使得Create函数被调用,完成了窗口创建工作。
访问控制:原理及实践 访问控制限制用户可直接进行的操作,以及代表用户的执行程序可进行的操作。通过这种方式访问控制可以阻止违反安全的活动。 Ravi S. Sandhu and Pierangela Samarati 摘要:访问控制的目的是为了限制一个合法的计算机系统用户可执行的活动和操作。访问控制限制用户可直接进行的操作,以及代表用户的执行程序可进行的操作。通过这种方式访问控制可以阻止违反安全的活动。这篇文章解释了访问控制及其与其它安全服务的关系,如身份认证、审计和管理等。然后讨论了访问矩阵模型并描述了在实际系统中实现这种访问矩阵的不同方法,最后讨论了在现行系统中普遍存在的访问控制策略以及对访问控制管理的简单思考。 访问控制和其它安全服务 在计算机系统中访问控制依靠并与其它安全服务共存。访问控制涉及限制合法用户的活动。用户或代表用户的执行程序通过请求监听器对系统中的主体执行访问控制,而监听器促进每一次访问。为了决定用户要进行的操作是否通过,请求监听器要向认证数据库发出请求。认证数据库是通过安全管理员管理和维护的。管理员在安全策略和组织的基础上设置这些认证。用户也可以修改认证数据库中的一些部分。例如,设置个人文件的访问权限、查询监听器和记录系统相关活动的日志。 图1是安全服务及其关系的逻辑图表。它不应该用字面的意思去解释。例如,后面将提到,对象经常是被请求监听器保护着存储在认证数据库中的,而不是被物理上分开的。图表对区别身份认证,访问控制,审计和管理服务的区分较为理想化,可能不如图表显示的明显。他们之间的区分被认为是必要的,但不是在每个系统中都表现得明显。 对认证和访问控制清楚区分开很重要。认证服务的责任是正确地建立用户的身份。访问控制则是假设用户的身份认证被成功核实后通过请求监听器执行访问控制。当一个合法用户通过身份认证并正确地接管了请求监听器时访问控制的作用就停止了。 读者肯定对通过提供一个认证密码登录计算机系统很熟悉。在一个网络环境中,身份认证因为许多原因而变得困难。为了冒充合法用户,只要攻击者能找到网络通道就能重放认证协议。同样,网络中的计算机需要互相认证。在此文中,我们假先设认证已成功通过,然后关注后面即将发生的。 要了解单靠访问控制也不是一个保证计算机系统安全的根本方案,这一点很重要的。审计必须贯穿于整个过程。审计控制涉及对系统中所有请求和活动的后续分析。审计要求对所有用户的登录请求和活动作后续的分析。审计控制作为阻隔入侵和分析查找可能存在的入侵行为是很有用的。最后,审计对于确定被审计者没有滥用特权也是很重要的。换句话说就是保持用户的行为是可审计的。注意,有效的审计要求有合适的身份认证。 在访问控制系统中用策略和机制来区分它们的不同。策略是决定访问的控制方式和的访问决定的产生的高层指导。机制则是执行策略的可配置的底层软硬件程序。安全研究员已经试图将访问控制机制大大地发展为独立于策略,以便可以被他们使用。为了重复使用可适合各种安全目标的机制,这是很可取的。同样的机制经常可以被用于支持安全性、完整性和可用性目标。从另一方面过来看,策略选择如此丰富以至系统执行者可以自主选择。 总之,不存在策略好坏的说法。确切的说,一改是策略提供的保护可能有多有少。不管如何,不是所有的系统都有同样的保护要求。一个系统的策略并不一定适合另外一个系统。例如,非常严格的访问控制策略在某些系统中至关重要,在一个需要灵活环境的系统中也许
用户是如何跟应用软件打交道的 我们来看看,用户究竟是如何与应用软件打交道的(用户不需要知道这个具体过程,但应用软件的开发人员必须知道),如下图所示: 从上图可以看到:在物理上,离用户最近的实际上是输入输出设备,下面我们看看上图中1-6这六个步骤分别表示什么意思(为了简便,在叙述时,我们的标号没有用圆圈): 1. 用户点击鼠标或者键盘; 2. Windows感觉到了鼠标或键盘的动作; 3. Windows把这个消息告诉应用程序; 4. 应用程序告诉Windows去做事,实际上就是应用程序调用Windows的API函数; 5. Windows让输出设备做事; 6. 用户获得输出。 对用户来说,没有必要了解输入输出设备和Windows的相关知识。对程序员(写应用程序的人)来说,没有必要了解输入输出设备,但是必须了解Windows的基本知识。在下面的叙述中,我们就不管输入输出设备了。
上面的过程还是很笼统,为了弄得更清楚,我们有必要了解Windows的消息机制,如图: 下面,我们来慢慢描述(上图中的虚线表示消息的流程): step0: 程序员编程,把WinMain函数和窗口回调函数写好; step1: Windows调用WinMain函数,启动应用程序,Windows会建立一个消息队列,用来存储消息。 step2: WinMain函数调用Windows的API函数,比如调用CreateWindow和ShowWindow, 从而生成并显示一个窗口。在调用CreateWindow函数时,会产生一个消息,这个消息并不进入消息队列,但窗口的回调函数仍然会处理,在此,我们不讨论非队列消息。 step3: WinMain函数调用Windows的API函数,比如调用GetMessage来从消息队列中取出消息。假设用户这个时候在窗口中点击鼠标,那么Windows会把这个事件包装成消息,投到消息队列中,GetMessage会取出这个消息,通过DispatchMessage送到Windows; step4: Windows进而会将该消息发送到窗口的回调函数,并对该函数进行调用; step5:窗口的回调函数可以对这个消息进行相应处理,这个处理的具体方法由程序员自己决定,通常是调用Windows的API函数来实现处理。
XX公司信息安全管理制度(试行) 第一章总则 第一条为保证信息系统安全可靠稳定运行,降低或阻止人为或自然因素从物理层面对公司信息系统的保密性、完整性、可用性带来的安全威胁,结合公司实际,特制定本制度。 第二条本制度适用于XX公司以及所属单位的信息系统安全管理。 第二章职责 第三条相关部门、单位职责: 一、信息中心 (一)负责组织和协调XX公司的信息系统安全管理工作; (二)负责建立XX公司信息系统网络成员单位间的网络访问规则;对公司本部信息系统网络终端的网络准入进行管理; (三)负责对XX公司统一的两个互联网出口进行管理,配置防火墙等信息安全设备;会同保密处对公司本部互联网上网行为进行管理; (四)对XX公司统一建设的信息系统制定专项运维管理办法,明确信息系统安全管理要求,界定两级单位信息安全管理责任; (五)负责XX公司网络边界、网络拓扑等全局性的信息安全管理。 二、人力资源部 (一)负责人力资源安全相关管理工作。 (二)负责将信息安全策略培训纳入年度职工培训计划,并组织实施。 三、各部门 (一)负责本部门信息安全管理工作。 (二)配合和协助业务主管部门完善相关制度建设,落实日常管理工作。 四、所属各单位 (一)负责组织和协调本单位信息安全管理工作。 (二)对本单位建设的信息系统制定专项运维管理办法,明确信息系统安全管理要求,报XX公司信息中心备案。
第三章信息安全策略的基本要求 第四条信息系统安全管理应遵循以下八个原则: 一、主要领导人负责原则; 二、规范定级原则; 三、依法行政原则; 四、以人为本原则; 五、注重效费比原则; 六、全面防范、突出重点原则; 七、系统、动态原则; 八、特殊安全管理原则。 第五条公司保密委应根据业务需求和相关法律法规,组织制定公司信息安全策略,经主管领导审批发布后,对员工及相关方进行传达和培训。 第六条制定信息安全策略时应充分考虑信息系统安全策略的“七定”要求,即定方案、定岗、定位、定员、定目标、定制度、定工作流程。 第七条信息安全策略主要包括以下内容: 一、信息网络与信息系统必须在建设过程中进行安全风险评估,并根据评估结果制定安全策略; 二、对已投入运行且已建立安全体系的系统定期进行漏洞扫描,以便及时发现系统的安全漏洞; 三、对安全体系的各种日志(如入侵检测日志等)审计结果进行研究,以便及时发现系统的安全漏洞; 四、定期分析信息系统的安全风险及漏洞、分析当前黑客非常入侵的特点,及时调整安全策略; 五、制定人力资源、物理环境、访问控制、操作、备份、系统获取及维护、业务连续性等方面的安全策略,并实施。 第八条公司保密委每年应组织对信息安全策略的适应性、充分性和有效性进行评审,必要时组织修订;当公司的组织架构、生产经营模式等发生重大变化时也应进行评审和修订。 第九条根据“谁主管、谁负责”的原则,公司建立信息安全分级责任制,各层级落实信息系统安全责任。 第四章人力资源安全管理 第十条信息系统相关岗位设置应满足以下要求: 一、安全管理岗与其它任何岗位不得兼岗、混岗、代岗。 二、系统管理岗、网络管理岗与应用管理岗不得兼岗、混岗。 三、安全管理岗、系统管理岗、网络管理岗、应用管理岗、设备管
访问控制方式总结 授权是根据实体所对应的特定身份或其他特征而赋予实体权限的过程,通常是以访问控制的形式实现的。访问控制是为了限制访问主体(或称为发起者,是一个主动的实体,如用户、进程、服务等)对访问客体(需要保护的资源)的访问权限,从而使计算机系统在合法范围内使用;访问控制机制决定用户及代表一定用户利益的程序能做什么以及做到什么程度。访问控制依据特定的安全策略和执行机制以及架构模型保证对客体的所有访问都是被认可的,以保证资源的安全性和有效性。 访问控制是计算机发展史上最重要的安全需求之一。美国国防部发布的可信计算机系统评测标准(Trusted Computer System Evaluation Criteria,TCSEC,即橘皮书),已成为目前公认的计算机系统安全级别的划分标准。访问控制在该标准中占有极其重要的地位。安全系统的设计,需要满足以下的要求:计算机系统必须设置一种定义清晰明确的安全授权策略;对每个客体设置一个访问标签,以标示其安全级别;主体访问客体前,必须经过严格的身份认证;审计信息必须独立保存,以使与安全相关的动作能够追踪到责任人。从上面可以看出来,访问控制常常与授权、身份鉴别和认证、审计相关联。 设计访问控制系统时,首先要考虑三个基本元素:访问控制策略、访问控制模型以及访问控制机制。其中,访问控制策略是定义如何管理访问控制,在什么情况下谁可以访问什么资源。访问控制策略是动态变化的。访问控制策略是通过访问机制来执行,访问控制机制有很多种,各有优劣。一般访问控制机制需要用户和资源的安全属性。用户安全属性包括用户名,组名以及用户所属的角色等,或者其他能反映用户信任级别的标志。资源属性包括标志、类型和访问控制列表等。为了判别用户是否有对资源的访问,访问控制机制对比用户和资源的安全属性。访问控制模型是从综合的角度提供实施选择和计算环境,提供一个概念性的框架结构。 目前人们提出的访问控制方式包括:自主性访问控制、强访问控制、基于角色的访问控制等
云的访问控制研究 访问控制是保证信息安全领域的重要技术和安全保障,一方面保证用户的合法访问,另外一方面拒绝合法用户的越权操作。面对纷繁复杂而又庞大的云平台来说,其访问控制机制应该是多级化安全策略的、动态的、自适应的、具备细粒度的访问控制和对象化管理等多个特征,因此云的安全控制策略应该是合成的、综合性的访问控制机制,才能保证云端数据的安全。 标签:云访问控制控制策略 一、访问控制机制 目前的访问控制机制主要有传统的访问控制机制、基于角色的访问控制机制和基于信任的访问控制机制。传统访问控制机制又可以分为自主访问控制机制和强制访问控制机制(如军方)。 二、自主访问控制技术 自主访问控制机制中自主性主要是指客体所有者依据对安全策略的正确理解或意愿可以将对客体的访问权限授予其他用户、撤销或收回,授权用户也可以将权限转移给其他用户。自主访问控制是一种灵活的数据访问形式,应用环境比较广泛,如商业系统。但其安全性不高,随着资源访问权限的用户转移和权限的传递,有可能造成被非法用户绕过从而安全性被削弱,并且权限管理比较复杂,不利于统一管理,不适用于对安全性要求高的复杂网络。 三、强制访问控制技术 强制访问控制是一种多级安全的强制控制策略,特点是主客体的安全等级是分离的,由授权机构或系统管理员分配主体属性的可信级别和客体属性的信息敏感度。用户不能改变主体的可信级别、访问权限和客体资源的安全级别,这些安全级别是预先强制分配的。不同用户级别的用户依据拥有的权限按照资源的安全级别进行访问。强制访问控制实行对权限实行严格集中控制,主要适用于对安全级别要求高的环境,如军方。强制访问控制由于管理过于严格和集中,使得管理工作量巨大、不灵活,不太适用于用户数量多、资源种类多的通用或大型系统。 四、基于角色的访问控制 基于角色的访问控制主要引进了角色的概念。角色是用户和权限之间的代理层,代表着他们之间的访问权限关系。通过对角色的授予访问权限来代替对用户或组的授权。基于角色的访问控制依据用户在系统中扮演的角色,按照相应的角色权限执行相应的资源操作,方便管理,同时按照最小特权的标准,用户拥有了执行特定任务的权限,又不至于权限过大而削弱系统的安全性。基于角色的访问控制机制通过静态的对角色赋予权限,用户获得相应的角色后具有了相应的资源
动态ACL下发与用户访问控制 一、组网需求 如下图,对接入到业务VLAN的用户进行dot1x认证。用户通过认证之前,无法获取IP 地址,也不可能访问任何网络资源。 用户通过认证后,AAA服务器下发ACL101,限制用户只能访问特定网络资源;当AAA 服务器下发ACL100 ,允许用户访问整个园区网。 二、组网拓扑图 三、实验配置信息 SW1(config)# aaa new-model aaa authentication dot1x default group radius aaa authorization network default group radius aaa session-id common ip routing ip dhcp pool vlan24 network 172.16.24.0 255.255.255.0 default-router 172.16.24.1 dot1x system-auth-control interface FastEthernet0/2 switchport access vlan 24 switchport mode access dot1x pae authenticator dot1x port-control auto interface FastEthernet0/3 switchport trunk encapsulation dot1q switchport mode trunk
interface FastEthernet0/6 switchport access vlan 25 switchport mode access ! interface Vlan19 ip address 172.16.19.1 255.255.255.0 ! interface Vlan20 ip address 172.16.20.1 255.255.255.0 ! interface Vlan22 ip address 172.16.22.1 255.255.255.0 ! interface Vlan24 ip address 172.16.24.1 255.255.255.0 ! interface Vlan25 ip address 172.16.25.1 255.255.255.0 ! access-list 100 permit ip any any access-list 101 permit udp any any eq bootps access-list 101 permit udp any any eq bootpc access-list 101 permit ip any 172.16.24.0 0.0.0.255 radius-server host 172.16.25.25 auth-port 1645 acct-port 1646 key jcf 四、AAA服务器的设置 添加AAA客户端:
ISO27001信息网络访问控制程序 1 目的 为加强内部企业网、Internet网络及网络服务的管理,对内部和外部网络的访问均加以控制,防止未授权的访问给网络和网络服务带来的损害,特制定此程序。 2 范围 本程序适用于内部企业网、Internet网络及网络服务的管理。 3 相关文件 4 职责 4.1 网络管理员负责对网络服务的开启与管理。 4.2 网络管理员负责审批与实施内网、外网的开启。 4.3 信息科技部内部员工必须遵守此程序,网络管理员有监督检查的责任。 4.4 文档管理员负责文档的收录与管理。 5 程序 5.1 网络和网络服务使用策略 5.1.1 IT信息科技部定期(每年)对机关办公楼各部(中心)人员的网络配置情况进行一次全面的普查和登记,填写《市行机关办公楼、内外网络接入申请单》备档,严格控制外网入网的人员数量,决不允许一机器登录双网(采用双网卡或双网线)的现象出现,登陆外网的计算机必须装有病毒查杀软件,确保现有的网络资源和网络安全。
5.1.2 IT各部(包括信息科技部)后续需要增加使用内外网结点数量,开展IT 业务,要填写《市行机关办公楼、内外网络接入申请单》如果需要某种网络服务的话请在“网络接入需求原因中体现”,经所在部门总经理签字后递交给信息科技部,由网络管理员实施并交由文档管理员进行备案。 5.1.3 申请使用Internet网,应当具备下列条件之一。 (1)IT开展的营业活动必须要通过网上查询交易的。 (2)助理以上的机关领导干部工作需要上网的。 (3)因工作需要,经部门总经理批准的本部门员工(不能超过员工总数的1/3)。 5.1.4 经批准允许登录内外网的工作人员不得从事下列危害计算机网络安全和信息安全的业务: (1)制作或者故意传播计算机病毒以及其他破坏性程序; (2)非法侵入计算机信息系统或者破坏计算机信息系统功能、数据和应用程序; (3)相关法律、行政法规所禁止的其他行为; (4)有损IT形象的行为; 5.1.5 经批准允许登录Internet网络工作人员不得利用互联网制作、复制、查阅、发布、传播含有下列内容的信息; (1)外泄IT内部商业机密; (2)反对宪法所确定的基本原则的; (3)危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一的; (4)损害国家荣誉和利益的; (5)煽动民族仇恨、民族歧视,破坏民族团结的; (6)破坏国家宗教政策,宣扬邪教和愚昧迷信的; (7)散布谣言,扰乱社会秩序,破坏社会稳定的; (8)散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的; (9)侮辱或者诽谤他人,侵害他人合法权益的; (10)法律、行政法规禁止的其他内容。
Windows的事件驱动机制 在Windosw系统中,程序的设计围绕事件驱动来进行。当对象有相关的事件发生时(如按下鼠标键),对象产生一条特定的标识事件发生的消息,消息被送入消息队列,或不进入队列而直接发送给处理对象,主程序负责组织消息队列,将消息发 送给相应的处理程序,使相应的处理程序执行相应的动作,做完相应的处理后将控制权交还给主程序。 在这种机制中,对象的请求仅仅是向队列中添加相应的消息,耗时的处理则被分离给处理函数。这种结构的程序中各功能模块界限分明,便于扩充,能充分利用CPU 的处理能力,使系统对外界响应准确而及时。 Windows事件驱动机制 我们当中不少使用VC、Delphi等作为开发语言的程序员是一步步从DOS 下的Basic、C++中走过来的,而且大多在刚开始学习编程时也是先从DOS下的编程环境入手的,因此在习惯了DOS下的过程驱动形式的顺序程序设计方法后,往往在向Windows下的开发环境转型的过程中会对Windows所采取的事件驱动方式感到无法适应。因为DOS和Windows这两种操作系统的运行机制是截然不同的,DOS下的任何程序都是使用顺序的、过程驱动的程序设计方法。这种程序都有一个明显的开始、明显的过程以及一个明显的结束,因此通过程序就能直接控制程序事件或过程的全部顺序。即使是在处理异常时,处理过程也仍然是顺序的、过程驱动的结构。而Windows的驱动方式则是事件驱动的,即程序的流程不是由事件的顺序来控制,而是由事件的发生来控制,所有的事件是无序的,所为一个程序员,在编写程序时,并不知道用户会先按下哪个按纽,也就不知道程序先触发哪个消息。因此我们的主要任务就是对正在开发的应用程序要发出的或要接收的消息进行排序和管理。事件驱动程序设计是密切围绕消息的产生与处理而展开的,一条消息是关于发生的事件的消息。 Windows的消息循环 Windows操作系统为每一个正在运行的应用程序保持有一个消息队列。当有事件发生后,Windows并不是将这个激发事件直接送给应用程序,而是先将其翻译成一个Windows消息,然后再把这个消息加入到这个应用程序的消息队列中去。应用程序需要通过消息循环来接收这些消息。在MFC中使用了对WinAPI进行了很好封装的类库,虽然可以为编程提供一个面向对象的界面,使Windows程序员能够以面象对象的方式进行编程,把那些进行SDK编程时最
访问控制管理办法 第一章总则 第一条目的:为了对DXC资产范围内所有的操作系统、数据库系统、应用系统、开发测试系统及网络系统所提供的服务的访问进行合理控制,确保信息被合法使用,禁止非法使用,特制定本管理办法。 第二条依据:本管理办法根据《DXC信息安全管理策略》制订。 第三条范围:本管理办法适用于DXC及所辖分支。 第二章访问控制 第四条对于需要进行访问控制的操作系统、数据库系统、应用系统、开发测试系统及网络系统,要对系统设置,保证在进入系统前必须执行登录操作,并且记录登录成功与失的日志。 第五条在可能的系统中,系统登录界面显示声明“只有合法用户才可用该系统”的警示。登录时设置系统不显示系统信息。 第六条对于具有身份验证功能的系统程序,程序所属部门,应建立登录程序的用户,并对有权限的人授权;对于没有用户验证功能的程序,要通过系统的访问权限控制对程序的访问。 第七条生产网和办公网要实现物理隔离,核心设备要设置特别的物理访问控制,并建立访问日志。 第八条对于信息资源的访问以目录或具体文件设置用户可用的最低权限,并通过属性权限与安全权限控制用的户权限。
第九条访问控制权限设置的基本规则是除明确允许执行情况外一般必须禁止。 第十条访问控制的规则和权限应该符合DXC业务要求,并记录在案。 第十一条对网络系统访问时,通过为用户注册唯一的ID来实现对用户的控制。 第十二条系统管理员必须确保用户的权限被限定在许可的范围内,同时能够访问到有权访问的信息。 第十三条用户必须使用符合安全要求的口令,并对口令做到保密。 第十四条系统管理员必须对分配的权限和口令做定期检查,防止权限被滥用。检查频率为每季度一次,并填写《重要系统关键用户权限及口令季度审查表》。 第十五条明确用户访问的权限与所担负的责任。 第十六条系统管理员必须保证网络服务可用,保证使用网络服务的权限得到合理的分配与控制。 第十七条系统管理员制定操作系统访问的规则,用户必须按规则访问操作系统。 第十八条对各部门使用的应用系统或测试系统,由该部门制定访问规定并按规定执行。 第十九条对信息处理设施的使用情况进行监控,及时发现问题并采取必要的安全措施。