访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。访问控制涉及的技术也比较广,包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。 入网访问控制 入网访问控制为网络访问提供了第一层访问控制。它控制哪些用户能够登录到服务器并获取网络资源,控制准许用户入网的时间和准许他们在哪台工作站入网。用户的入网访问控制可分为三个步骤:用户名的识别与验证、用户口令的识别与验证、用户账号的缺省限制检查。三道关卡中只要任何一关未过,该用户便不能进入该网络。对网络用户的用户名和口令进行验证是防止非法访问的第一道防线。为保证口令的安全性,用户口令不能显示在显示屏上,口令长度应不少于6个字符,口令字符最好是数字、字母和其他字符的混合,用户口令必须经过加密。用户还可采用一次性用户口令,也可用便携式验证器(如智能卡)来验证用户的身份。网络管理员可以控制和限制普通用户的账号使用、访问网络的时间和方式。用户账号应只有系统管理员才能建立。用户口令应是每用户访问网络所必须提交的“证件”、用户可以修改自己的口令,但系统管理员应该可以控制口令的以下几个方面的限制:最小口令长度、强制修改口令的时间间隔、口令的唯一性、口令过期失效后允许入网的宽限次数。用户名和口令验证有效之后,再进一步履行用户账号的缺省限制检查。网络应能控制用户登录入网的站点、限制用户入网的时间、限制用户入网的工作站数量。当用户对交费网络的访问“资费”用尽时,网络还应能对用户的账号加以限制,用户此时应无法进入网络访问网络资源。网络应对所有用户的访问进行审计。如果多次输入口令不正确,则认为是非法用户的入侵,应给出报警信息。 权限控制 网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源。可以指定用户对这些文件、目录、设备能够执行哪些操作。受托者指派和继承权限屏蔽(irm)可作为两种实现方式。受托者指派控制用户和用户组如何使用网络服务器的目录、文件和设备。继承权限屏蔽相当于一个过滤器,可以限制子目录从父目录那里继承哪些权限。我们可以根据访问权限将用户分为以下几类:特殊用户(即系统管理员);一般用户,系统管理员根据他们的实际需要为他们分配操作权限;审计用户,负责网络的安全控制与资源使用情况的审计。用户对网络资源的访问权限可以用访问控制表来描述。 目录级安全控制 网络应允许控制用户对目录、文件、设备的访问。用户在目录一级指定的权限对所有文件和子目录有效,用户还可进一步指定对目录下的子目录和文件的权限。对目录和文件的访问权限一般有八种:系统管理员权限、读权限、写权限、创建权限、删除权限、修改权限、文件查找权限、访问控制权限。用户对文件或目标的有效权限取决于以下两个因素:用户的受托者指派、用户所在组的受托者指派、继承权限屏蔽取消的用户权限。一个网络管理员应当为用户指定适当的访问权限,这些访问权限控制着用户对服务器的访问。八种访问权限的有效组合可以让用户有效地完成工作,同时又能有效地控制用户对服务器资源的访问,从而加强了网络和服务器的安全性。 属性安全控制 当用文件、目录和网络设备时,网络系统管理员应给文件、目录等指定访问属性。属性安全在权限安全的基础上提供更进一步的安全性。网络上的资源都应预先标出一组安全属性。用户对网络资源的访问权限对应一张访问控制表,用以表明用户对网络资源的访问能力。属
马红红 信息安全2011级2班 一.访问控制技术 计算机系统的活动主要是在主体(进程、用户)和客体(资源、数据)之间进行的。计算机安全的核心问题是确保主体对客体的访问的合法性,即通过对数据、程序读出、写入、修改、删除和执行等的管理,确保主体对客体的访问是授权的,并拒绝非授权的访问,以保证信息的机密性、完整性和可用性。访问控制是对进入系统的控制,通常作为对资源访问处理的一部分,它的作用是对需要访问系统及其数据的人进行识别,并检查其合法身份。 1.访问控制主要有两种不同的类型:自由访问控制和强制访问控制 1)自主访问控制(又称任选访问控制) 自主访问控制是应用得很广泛的访问控制方法,用这种方法,资源的所有者(也往往是创建者)可任意规定谁可以访问他们的资源。这样,用户或用户进程就可有选择的与其他用户共享资源,它是一种对单个用户执行访问控制的过程和措施。 ①方法(是基于矩阵的行或列来表达访问控制信息) a.基于行的自主访问控制:是在每个主体上都附加一个该主体可访问的客体的明细表。按照表内信息的不同,可分为3种形式。权利表(权能表),根据该表可决定用户是否可以对客体进行访问,以及可以进行何种访问;前缀表,包括受保护的客体名和主体对它的访问权;口令,主体对客体进行访问前,必须向操作系统提供该客体的口令。 b.基于列的自主访问控制:是对每个客体附加一份可访问它的主体的明细表,有两种形式。保护位,它不能完备的表达访问控制矩阵,但可对所有主体、主体组以及该客体的拥有者指明一个访问模式集合,拥有者是唯一能够改变客体保护位的主体;访问控制表,每个客体都有一张访问控制表(ACL)记录该客体可被哪些主体访问以及访问的形式。主体访问控制表可以决定任何一个特定的主体是否可对某一客体进行访问,它是利用在客体上附加一个主体明细表的方法来表示访问控制矩阵的,表中的每一项包括主体的身份和对该客体的访问权。 ②类型 a.等级型:可将对修改客体访问控制表的能力的控制组织成等级型的。优点是可通过选择值得信任的人担任各级领导,使得可用最可信的方式对客体实施控制,缺点是会同时有多个主体有能力修改它的访问控制表。 b.有主型:是对客体设置一个拥有者,它是唯一有权访问客体访问控制表的主体。拥有者对其拥有的客体具有全部控制权,但无权将客体的控制权分配给其它主体。 c.自由型:一个客体的生成者可对任何一个主体分配对它拥有的客体的访问控制表的修改权,还可使其对其它主体具有分配这种权利的能力。 2) 强制访问控制(MAC) 在强制访问控制中,系统给主体和客体分配了不同的安全属性,用户不能改变自身或任何客体的安全属性,即不允许单个用户确定访问权限,只有系统管理员可确定用户和用户组的访问权限。系统通过比较客体和主体的安全属性来决定主体是否可访问客体。此外,强制访问控制不允许一个进程生成共享文件,从而防止进程通过共享文件将信息从一个进程传送到另一个进程。MAC可通过使用敏感标号对所有用户和资源强制执行安全策略,即实现强制访问控制。MAC可抵御特洛依木马和用户滥用职权等攻击,当敏感数据需在多种环境下受到保护时,就需要使用MAC。强制访问控制是比自主访问控制功能更强的访问控制机制,但是这种机制也给合法用户带来许多不便。例如,在用户共享数据方面不灵活且受到限制。因此,一般在保护敏感信息时使用MAC,需对用户提供灵活的保护且更多的考虑共享信息时,使用MAC。 2.基于角色的访问控制(RBAC)
第5章身份认证与访问控制技术 教学目标 ●理解身份认证的概念及常用认证方式方法 ●了解数字签名的概念、功能、原理和过程 ●掌握访问控制的概念、原理、类型、机制和策略 ●理解安全审计的概念、类型、跟踪与实施 ●了解访问列表与Telnet访问控制实验 5.1 身份认证技术概述 5.1.1 身份认证的概念 身份认证基本方法有三种:用户物件认证;有关信息确认或体貌特征识别。 1. 身份认证的概念 认证(Authentication)是指对主客体身份进行确认的过程。 身份认证(Identity Authentication)是指网络用户在进入系统或访问受限系统资源时,系统对用户身份的鉴别过程。 2. 认证技术的类型 认证技术是用户身份认证与鉴别的重要手段,也是计算机系统安全中的一项重要内容。从鉴别对象上,分为消息认证和用户身份认证两种。 (1)消息认证:用于保证信息的完整性和不可否认性。 (2)身份认证:鉴别用户身份。包括识别和验证两部分。识别是鉴别访问者的身份,验证是对访问者身份的合法性进行确认。 从认证关系上,身份认证也可分为用户与主机间的认证和主机之间的认证, 5.1.2 常用的身份认证方式 1. 静态密码方式 静态密码方式是指以用户名及密码认证的方式,是最简单最常用的身份认证方法。 2. 动态口令认证 动态口令是应用最广的一种身份识别方式,基于动态口令认证的方式主要有动态
短信密码和动态口令牌(卡)两种方式,口令一次一密。图5-1动态口令牌 3. USB Key认证 采用软硬件相结合、一次一密的强双因素(两种认证方法) 认证模式。其身份认证系统主要有两种认证模式:基于冲击/响应 模式和基于PKI体系的认证模式。常用的网银USB Key如图5-2 所示。图5-2 网银USB Key 4. 生物识别技术 生物识别技术是指通过可测量的生物信息和行为等特征进行身份认证的一种技术。认证系统测量的生物特征一般是用户唯一生理特征或行为方式。生物特征分为身体特征和行为特征两类。 5. CA认证 国际认证机构通称为CA,是对数字证书的申请者发放、管理、取消的机构。用于检查证书持有者身份的合法性,并签发证书,以防证书被伪造或篡改。发放、管理和认证是一个复杂的过程,即CA认证过程,如表5-1所示。 表5-1 证书的类型与作用 注:数字证书标准有:X.509证书、简单PKI证书、PGP证书和属性证书。 CA主要职能是管理和维护所签发的证书,并提供各种证书服务,包括证书的签发、更新、回收、归档等。CA系统的主要功能是管理其辖域内的用户证书。 CA的主要职能体现在3个方面: (1)管理和维护客户的证书和证书作废表 (CRL)。 (2)维护整个认证过程的安全。 (3)提供安全审计的依据。 5.1.3 身份认证系统概述 1. 身份认证系统的构成
第四章抽样技术 一、名词解释 1、抽样调查 2、总体和样本 3、样本容量 4、重复抽样 5、不重复抽样 6、抽样极限误差 7、点估计 8、区间估计 二、填空 1、抽样调查是从研究的中抽取部分单位作为进行观察研究,并根据这部分单位的调查结果来推断,以达到认识总体的一种统计调查方法。 2、抽样调查分为和两类。抽样调查遵循。 3、是用主观的(非随机的)方法从总体中抽选单位进行调查,它是一种快速、简便且省钱的抽选样本的方法。但非概率抽样具有很大的风险,因为主观选定的样本很难保证其对总体的代表性。所以一般情况下不用来对总体进行推断。主要包括随意抽样,,。 4、概率抽样有两条基本准则:第一,单位是随机抽取的;第二,调查总体中的每个单位都有一个非零的入样概率。概率抽样方法主要有、、分层随机抽样、、、。常用的为前四种。 5、是指包括调查对象所有单位的全体,它是由具有某种共同性质的许多单位组成的。从中按随机原则抽取出来的部分单位所组成的集合体就称为样本。 6、从总体中抽取样本单位有与两种方法。 7、抽样框又称为抽样框架、抽样结构,是指对可以选择作为样本的总体单位列出名册成排序编号,以确定总体的和。设计抽样框式进行抽样调查的前提,常见的抽样框有、等。 8、抽样误差是指指标数值与指标数值之差,即抽样估计值与被估计的未知的真实总体参数值之差。 9、在抽取多个样本时,就其中每个样本来说,都有其相应的抽样误差,而这些抽样误差的平均数,就是,用以反映抽样误差的一般水平。 10、一般来说,在实际应用时,常常采用的方法从总体各单位中抽取样本单位,进行调查;在计算上,为了计算简便,通常可以采用条件下抽样平均误差的计算公式进行计算。 11、概率分布的中心极限定理证明:(1)大量的客观事物总体现象是总体或近似于总体。(2)在大样本的条件下,的分布是或近似地是正态分布,抽样成数的分布是或近似地是正态分布。(3)抽样平均数的平均数总体平均数,抽样成数的平均数总体成数。 12、概率度t越大,估计的可靠性越,样本统计量与总体参数之间正负离差的变动范围也就越。 13、抽样极限误差也叫做,是指样本指标与总体指标之间抽样误差的可能范围。 14、是指在一定概率保证下,用样本统计量和抽样平均误差去推断总体参数的可能范围的估计方法。 15、是在不考虑抽样平均误差和概率度的条件下,直接用样本指标估计总体指标的推断方法。 三、简答 1、抽样调查和其它调查方式相比较具有哪些特点? 2、简答区间估计与点估计得区别。
一、访问控制技术 (一)主体、客体和访问授权 访问控制涉及到三个基本概念,即主体、客体和访问授权。 主体:是一个主动的实体,它包括用户、用户组、终端、主机或一个应用,主体可以访问客体。 客体:是一个被动的实体,对客体的访问要受控。它可以是一个字节、字段、记录、程序、文件,或者是一个处理器、存贮器、网络接点等。 授权访问:指主体访问客体的允许,授权访问对每一对主体和客体来说是给定的。例如,授权访问有读写、执行,读写客体是直接进行的,而执行是搜索文件、执行文件。对用户的访问授权是由系统的安全策略决定的。 在—个访问控制系统中,区别主体与客体很重要。首先由主体发起访问客体的操作,该操作根据系统的授权或被允许或被拒绝。另外,主体与客体的关系是相对的,当一个主体受到另一主体的访问,成为访问目标时,该主体便成为了客体。 (二)访问控制策略 访问控制通常有三种策略: 自主访问控制( Discretionary Access Control ); 强制访问控制( Mandatory Access Control ); 基于角色的访问控制( Ro1e-Based Access Control )。 各种访问控制策略之间并不相互排斥,现存计算机系统中通常都是多种访问控制策略并存,系统管理员能够对安全策略进行配置使其达到安全政策的要求。 1、自主访问控制(DAC)
自主访问控制,又称为随意访问控制,根据用户的身份及允许访问权限决定其访问操作,只要用户身份被确认后,即可根据访问控制表上赋予该用户的权限进行限制性用户访问。使用这种控制方法,用户或应用可任意在系统中规定谁可以访问它们的资源,这样,用户或用户进程就可有选择地与其他用户共享资源。它是一种对单独用户执行访问控制的过程和措施。 由于DAC对用户提供灵活和易行的数据访问方式,能够适用于许多的系统环境,所以DAC被大量采用、尤其在商业和工业环境的应用上。然而,DAC提供的安全保护容易被非法用户绕过而获得访问。例如,若某用户A有权访问文件F,而用户B无权访问F,则一旦A获取F后再传送给B,则B也可访问F,其原因是在自由访问策略中,用户在获得文件的访问后,并没有限制对该文件信息的操作,即并没有控制数据信息的分发。所以DAC提供的安全性还相对较低,不能够对系统资源提供充分的保护,不能抵御特洛伊木马的攻击。 2、强制访问控制(MAC) 与DAC相比,强制访问控制提供的访问控制机制无法绕过。在强制访问控制中,每个用户及文件都被赋予一定的安全级别,用户不能改变自身或任何客体的安全级别,即不允许单个用户确定访问权限,只有系统管理员可以确定用户和组的访问权限。系统通过比较用户和访问的文件的安全级别来决定用户是否可以访问该文件。此外,强制访问控制不允许一个进程生成共享文件,从而访止进程通过共享文件将信息从一个进程传到另一进程。MAC可通过使用敏感标签对所有用户和资源强制执行安全策略,即实行强制访问控制。安全级别一般有四级:绝密级(Top Secret),秘密级(Secret),机密级(Confidential)反无级别级(Unclas sified),其中T>S>C>U。
湖南大学 硕士学位论文 访问控制技术研究及应用姓名:尹绍锋 申请学位级别:硕士 专业:软件工程 指导教师:杨贯中;杨志新 20081001
T f?硕I:学位论文 摘要 访问控制技术是构成信息安全体系不可缺少的重要组成部分。随着信息化进程的深化,尤其是网络应用的迅速増加,信息系统的用户规模在不断膨胀。传统的访问控制技术采用人工方式实现对访问控制体系运行期的维护。当访问控制体系变得庞大时,这种维护方式错误率会增高、维护变得困难、运行成本也随着增长起来。本文希望构建ー种能够适用于大用户数信息系统的访问控制体系,使之运行期的维护工作变得简化。 本文一方面对现有访问控制技术,尤其对基于角色访问控制技术,进行了学习、研究。熟悉掌握了该领域中的各种概念,对比了各种技术在用户管理上的实现模式,分析这些模式对大用户量管理的支持。同时,对访问控制体系的维护管理,尤其是运行期的用户管理与用户授权管理这两项工作进行了研究。从多个角度分析运行期期的维护逻辑与业务逻辑之间的关系,发现在多数.管理信息系统中,用户的权限与业务体系中的信息有着一定的依存关系,提出可以依靠业务系统的信息来驱动访问控制体系的权限分配的思想。基于此,作者提出了一种自适应的访问控制技术,在ー些应用范围内,该技术能够自动适应业务部分的变化,完成用户授权的控制,从而简化访问控制机制运行期的维护管理。通过对基于角色访问控制模型的开放性及可扩展性的分析,以基于角色访问控制模型为基础,构建出自适应访问控制模型。并从技术实现与开发成本等角度分析讨论了该访问控制技术的可行性。 最后,将自适应的访问控制技术在ー个高校人事管理系统中进行了应用。该应用以人事业务为基础,对自适应模块进行了实现,使该系统具备了对用户及其权限进行自维护的能力,解决了人工管理可能存在的问题。通过实际应用,一方面,通过实例验证了自适应访问控制技术实现的可行性,同时也明确了访问控制体系下ー步的研究方向。 关键词:信息安全;访问控制;维护;自适应 Abstract Access control technology takes a vital part in the safety of information system. With the popularization of the information system and especially the rapid increase or internet application, the size of users m access control system needed to be supervised is increasing fast. So to administrate the large number of users by the traditional pure man-managed way is more and more difficult. And this research is intended to find an
《网络互联技术》练习题 第七章:访问控制列表 一、填空题 1、________________是用于控制和过滤通过路由器的不同接口去往不同方向的信息流的一种机制。 2、访问控制列表主要分为____________和扩展访问控制列表。 3、访问控制列表最基本的功能是_____________。 4、标准访问控制列表的列表号范围是__________。 5、将 66 号列表应用到fastethernet 0/0接口的in方向上去,其命令是_________________________。 5、定义77 号列表,只禁止192.168.5.0网络的访问,其命令是______________________________________________。 6、基于时间的访问控制列表,定义时间范围的关键字主要有两个,它们是___________和__________。 二、选择题 1、标准访问控制列表应被放置的最佳位置是在()。 A、越靠近数据包的源越好 B、越靠近数据包的目的地越好 C、无论放在什么位置都行 D、入接口方向的任何位置 2、标准访问控制列表的数字标识范围是()。 A、1-50 B、1-99 C、1-100 D、1-199 3、标准访问控制列表以()作为判别条件。 A、数据包的大小 B、数据包的源地址 C、数据包的端口号 D、数据包的目的地址 4、IP扩展访问列表的数字标示范围是多少? ()。 A、0-99 B、1-99 C、100-199 D、101-200 5、下面哪个操作可以使访问控制列表真正生效:()。 A、将访问控制列表应用到接口上 B、定义扩展访问控制列表 C、定义多条访问控制列表的组合 D、用access-list命令配置访问控制列表 6、以下对思科系列路由器的访问列表设置规则描述不正确的是()。 A、一条访问列表可以有多条规则组成 B、一个接口只可以应用一条访问列表 C、对冲突规则判断的依据是:深度优先
首先简单介绍下ACL cisco里的ACL一共分为4种 1.标准控制列表序号范围在1---99以及1300~1999 标准的控制列表不能过滤数据包中的4层信息,并且只可以过 滤三层的原地址 2.扩展控制列表需要范围在100-199以及2000~2699 扩展的控制列表可以过滤数据包的4层信息,并且可以根据三 层的原目地址进行过滤 3.命名控制列表这里不再用序号表示,而是以字符为命名并且还比前两种好的地方在于,可以自由删除表的随意一个 条目,而前两种都不行 4.基于时间的控制列表这里就是增加了一个时间的选项,前三种都可以引用这个定义的时间(时间可以是周期也可以 是绝对时间) ACL 3p原则 记住 3P 原则,您便记住了在路由器上应用 ACL 的一般规则。您可以为每种协议 (per protocol)、每个方向 (per d (per interface) 配置一个 ACL:每种协议一个 ACL 要控制接口上的流量,必须为 接口上启用的每种协议定义相应的 ACL。每个方向一个 ACL 一个 ACL 只能控制接口上一个方向的流量。 要控制入站流量和出站流量,必须分别定义两个 ACL。每个接口一个 ACL 一个 ACL 只能控制一个接口 (例如快速以太网 0/0)上的流量。ACL 的编写可能相当复杂而且极具挑战性。每个接口上都可以针对多种协议和各个方向进行定义。示例中的路由器有两个接口配置了 IP、AppleTalk 和 IPX。该路由器可能需要 12 个不同的 ACL —协议数 (3) 乘以方向数 (2),再乘以端口数 (2)。 ACL的执行过程 一个端口执行哪条ACL,这需要按照列表中的条件语句执行顺序来判断。如果一个数据包的报头跟表中某个条 件判断语句相匹配,那么后面的语句就将被忽略,不再进行检查。数据包只有在跟第一个判断条件不匹配时,它才被交给ACL中的下一个条件判断语句进行比较。如果匹配(假设为允许发送),则不管是第一条还是最后一条语句,数据都会立即发送到目的接口。如果所有的ACL判断语句都检测完毕,仍没有匹配的语句出口,则该数据包将视为被拒绝而被丢弃。这里要注意,ACL不能对本路由器产生的数据包进行控制。 1、利用ACL检测SYN Flood攻击 服务器每接收到一个SYN报文就需要建立一个连接并为这个链接信息分配核心内存,并将此链接放入半连接,然后向源地址回应SYN+ACK报文。如果SYN报文的源地址是伪造的,则源端无法收到服务器发送的SYN+ACK 报文,也就不会返回ACK确认报文,这时服务器上这个半连接就会一直等待直到超时。 如果短时间内接收到的大量SYN报文,半连接队列就会溢出,使得有效的连接被挤出队列。这种方式的攻击就是SYN Flood攻击。SYN Flood攻击是利用TCP协议三次握手的原理,发送大量伪造源IP的SYN报文,使被攻击主机产生大量的半连接。 由于SYN Flood攻击的发起报文中SYN位为1,所以可以配置一个扩展ACL来匹配这样的报文,由此来观察是否出现SYN攻击。配置的ACL如下: Router(config)#access-list 100 permit tcp any any syn 此ACL表示TCP报文中SYN位为1的数据报文就会匹配此ACL。如果只想检测某台服务器是否被攻击,可以将目的地址改为服务器地址。 由于ACL最后隐含着一条全部拒绝的条目,所以还需要进行如下配置: Router(config)#access-list 100 permit ip any any 在配置完成后需要在连接服务器的接口应用,之后要查看SYN报文的数量可以使用show ip access-list命令进行查看: Router#show ip access-lists
第7章访问列表 访问列表概述 访问列表由一系列语句组成,这些语句主要包括匹配条件和采取的动作(允许或禁止)两个部分;访问列表应用在路由器的接口上,通过匹配数据包信息与访问列表参数来决定允许还是拒绝数据包通过某个接口。数据包是通过还是拒绝,主要通过数据包中的源地址、目的地址、源端口、目的端口、协议等信息来决定。 访问列表的功能: 控制网络流量,提高网络性能控制用户网络行为控制网络病毒的传播 访问列表类型:可分为标准IP访问列表和扩展IP访问列表。 标准访问列表:其只检查数据包的源地址,从而允许或拒绝基于网络、子网或主机的IP 地址的所有通信流量通过路由器的出口。 扩展IP访问列表:它不仅检查数据包的源地址,还要检查数据包的目的地址、特定协议类型、源端口号、目的端口号等 ACL的相关特性: 每一个接口可以在进入(inbound)和离开(outbound)两个方向上分别应用一个ACL,且每个方向上只能应用一个ACL。 ACL语句包括两个动作:拒绝(deny)和允许(permit) 数据包进入路由器时,进入方向(In方向)的ACL起作用。 数据包离开路由器时,出方向(Out方向)的ACL起作用; 每个ACL列表结尾有一个隐含的“拒绝的所有数据包(deny any)”的语句 IP地址与通配符掩码的作用规 32位的IP地址与32位的通配符掩码逐位进行比较,通配符掩码为0的位要求IP地址的对应位必须匹配,通配符掩码为1的位所对应的IP地址位不必匹配 例:IP地址为192.168.1.0,通配符掩码为0.0.0.255对应的二进制为: 11000000 10101000 00000001 00000000 00000000 00000000 00000000 11111111 检查的地址范围为:192.168.1.0~192.168.1.255 通配符掩码示例:通配符掩码掩码的两种特殊形式 host表示一台主机,是通配符掩码0.0.0.0的简写形式 192.168.1.10 0.0.0.0等价于host 192.168.1.10 any表示所有主机,是通配符掩码掩码255.255.255.255的简写形式 192.168.1.10 255.255.255.255等价于any 访问列表配置步骤:第一步是配置访问列表语句;第二步是把配置好的访问列表应用到某个端口上;标准IP访问列表的配置命令 配置标准访问列表 access-list access-list-number deny|permit source-address source-wildcard [log] access-list-number:只能是1~99之间的一个数字 deny|permit:deny表示匹配的数据包将被过滤掉;permit表示允许匹配的数据包通过source-address:表示单台或一个网段内的主机的IP地址
RBAC(Role Based Access Control) 访问控制是通过某种途径显示的准许或限制访问能力及范围,从而限制对目标资源的访问,防止非法用户的侵入或合法用户的不慎操作所造成的破坏[2]。目前流行的访问控制模型有自主访问控制模型(Discretionary Access Control,DAC)、强制访问控制模型(Mandatory Access Control, MAC)和基于角色的访问控制模型(Role-Based Access Control,RBAC)。自主访问控制是访问控制技术中最常见的一种方法,允许资源的所有者自主地在系统中决定可存取其资源客体的主体,此模型灵活性很高,但安全级别相对较低;强制访问控制是主体的权限和客体的安全属性都是固定的,由管理员通过授权决定一个主体对某个客体能否进行访问。无论是DAC 还是MAC 都是主体和访问权限直接发生关系,根据主体/客体的所属关系或主体/客体的安全级别来决定主体对客体的访问权,它的优点是管理集中,但其实现工作量大、不便于管理,不适用于主体或客体经常更新的应用环境。RBAC是一种可扩展的访问控制模型,通过引入角色来对用户和权限进行解耦,简化了授权操作和安全管理,它是目前公认的解决大型企业的统一资源访问控制的有效访问方法,其 2 个特征是:(1) 由于角色/权限之间的变化比角色/用户关系之间的变化相对要慢得多,从而减小授权管理的复杂性,降低管理开销;(2)灵活地支持企业的安全策略,并对企业变化有很大的伸缩性。 2.2 RBAC 模型的基本思想 在 RBAC 模型中,角色是实现访问控制策略的基本语义实体。系统管理员可以根据职能或机构的需求策略来创建角色、给角色分配权限并给用户分配角色,用户能够访问的权限由该用户拥有的角色权限集合决定,即把整个访问控制过程分成2步:访问权限与角色相关联,角色再与用户关联,从而实现用户与访问权限的逻辑分离。 RBAC 模型引入了Role的概念,目的是为了隔离User(即动作主体,Subject)与Pr ivilege(权限,表示对Resource的一个操作,即Operation+Resource),当一个角色被指定给一个用户时,此用户就拥有了该角色所包含的权限。 Role作为一个用户(User)与权限(Privilege)的代理层,解耦了权限和用户的关系,所有的授权应该给予Role而不是直接给User或Group。 2.3 RBAC 基本模型
网络访问控制技术综述 摘要:随着科学的不断进步,计算机技术在各个行业中的运用更加普遍。在计算机技术运用过程中信息安全问题越发重要,网络访问控制技术是保证信息安全的常用方式。本文介绍了研究网络访问控制技术的意义,主流的访问控制技术以及在网络访问控制技术在网络安全中的应用。 关键字:信息安全网络访问控制技术 0.引言 近年来,计算机网络技术在全球范围内应用愈加广泛。计算机网络技术正在深入地渗透到社会的各个领域,并深刻地影响着整个社会。当今社会生活中,随着电子商务、电子政务及网络的普及,信息安全变得越来越重要。在商业、金融和国防等领域的网络应用中,安全问题必须有效得到解决,否则会影响整个网络的发展。一般而言信息安全探讨的课题包括了:入侵检测(Intrusion Deteetion)、加密(Encryption)、认证(Authentieation)、访问控制(Aeeess Control)以及审核(Auditing)等等。作为五大服务之一的访问控制服务,在网络安全体系的结构中具有不可替代的作用。所谓访问控制(Access Control),即为判断使用者是否有权限使用、或更动某一项资源,并防止非授权的使用者滥用资源。网络访问控制技术是通过对访问主体的身份进行限制,对访问的对象进行保护,并且通过技术限制,禁止访问对象受到入侵和破坏。 1.研究访问控制技术的意义 全球互联网的建立以及信息技术飞快的发展,正式宣告了信息时代的到来。信息网络依然成为信息时代信息传播的神经中枢,网络的诞生和大规模应用使一个国家的领域不仅包含传统的领土、领海和领空,而且还包括看不见、摸不着的网络空间。随着现代社会中交流的加强以及网络技术的发展,各个领域和部门间的协作日益增多。资源共享和信息互访的过程逐越来越多,人们对信息资源的安全问题也越发担忧。因此,如何保证网络中信息资源的安全共享与互相操作,已日益成为人们关注的重要问题。信息要获得更大范围的传播才会更能体现出它的价值,而更多更高效的利用信息是信息时代的主要特征,谁掌握的信息资源更多,
访问控制技术: 一、主体、客体和访问授权 二、访问控制策略 自主访问控制DAC 自主访问控制,又称为随意访问控制,根据用户的身份及允许访问权限决定其访问操作,只要用户身份被确认后,即可根据访问控制表上赋予该用户的权限进行限制性用户访问。 强制访问控制:(MAC) 与DAC相比,强制访问控制提供的访问控制机制无法绕过。在强制访问控制中,每个用户及文件都被赋予一定的安全级别,用户不能改变自身或任何客体的安全级别,即不允许单个用户确定访问权限,只有系统管理员可以确定用户和组的访问权限。 下读:用户级别大于文件级别的读操作。 上写:用户级别低于文件级别的写操作。 下写:用户级别大于文件级别的写操作。 上读:用户级别低于文件级别的读操作。 上述读写方式都保证了信息流的单向性,显然上读—下写方式保证了数据的完整性(integrity),上写—下读方式则保证了信息的秘密性。 基于角色的访问控制:(RBAC) 角色访问策略是根据用户在系统里表现的活动性质而定的,活动性质表明用户充当一定的角色,用户访问系统时,系统必须先检查用户的角色。一个用户可以充当多个角色、一个角色也可以由多个用户担任。 优点:便于授权管理 便于根据工作需要分级 便于赋予最小权利 便于任务分担 便于文件分级管理 三、访问控制机制 访问控制机制是为检测和防止系统中的未经授权访问,对资源予以保护所采取的软硬件措施和一系列管理措施等。访问控制一般是在操作系统的控制下,按照事先确定的规则决定是否允许主体访问客体,它贯穿于系统工作的全过程,是在文件系统中广泛应用的安全防护方法。 访问控制矩阵(Access Contro1 Matrix)是最初实现访问控制机制的概念模型 在较大的系统中,访问控制矩阵将变得非常巨大,而且矩阵中的许多格可能都为空,造成很大的存储空间浪费,因此在实际应用小,访问控制很少利用矩阵方式实现 实际应用中常见方法: 访问控制表 能力关系表
第四章抽样技术 第一节抽样调查 一、单项选择题 1.抽样调查所必须遵循的基本原则() A.准确性原则 B.随机性原则 C.可靠性原则 D.灵活性原则 2.抽样调查的主要目的是() A.用样本指标推算总体指标 B.对调查单位作深入研究 C.计算和控制抽样误差 D.广泛运用数学方法 3.所谓大样本一般是指单位数达到或超过() A.20个 B.30个 C.50个 D.100个 4.样本指标的数值() A.与总体指标的数值相同 B. 与总体指标的数值相差不大 C. 是唯一确定的 D.不是唯一确定的 5.在抽样推断中,样本容量() A.越多越好 B.越少越好 C.取决于统一的抽样比例 D.取决于对抽样推断可靠性的要求 6.在抽样调查中() A.总体是唯一确定的 B.总体指标只能有一个 C.样本是唯一确定的 D.样本指标只能有一个 7.对一批灯泡进行使用寿命检查,其最适宜的方法是() A.重点调查 B.抽样调查 C.典型调查 D.普查 8.在抽样时,已抽出的单位再放回总体中参加下一轮抽样,这种抽样方法是() A.多阶段抽样 B.不重复抽样 C.整群抽样 D.重复抽样 9.总体单位数不是很多、各单位间差异程度较小,最适当的抽样方式是() A.整群抽样 B.分层抽样 C.纯随机抽样 D.等距抽样 10.总体内部情况复杂、单位之间差异程度大、单位数又多,宜采用() A.纯随机抽样 B.等距抽样 C.整群抽样 D.分层抽样 11.年终在某储蓄所中按定期储蓄存单账号顺序进行每五户抽取一户进行平均定期存款 的调查方式,属于() A.简单随机抽样 B.等距抽样 C.整群抽样 D.分层抽样 12.先将总体各单位按某一主要标志分组,再从各组中抽取一定单位数组成样本,这种 抽样方式属于() A.简单随机抽样 B.等距抽样 C.整群抽样 D.分层抽样 13.连续生产产品的电子管厂,产品质量检验是这样安排的,在一天中,每隔一小时抽 取5分钟的产品进行试验,这是() A.简单随机抽样 B.等距抽样 C.整群抽样 D.分层抽样 14.下列属于概率抽样的是() A.志愿者抽样 B.判断抽样 C.随意抽样 D.简单随机抽样 15.整群抽样是对被抽中的群作全面调查,所以整群抽样是(B) A. 全面调查 B. 非全面调查 C. 一次性调查 D. 经常性调查
网络层访问权限控制技术 ACL详解 技术从来都是一把双刃剑,网络应用与互联网的普及在大幅提高企业的生产经营效率的同时,也带来了诸如数据的安全性,员工利用互联网做与工作不相干事等负面影响。如何将一个网络有效的管理起来,尽可能的降低网络所带来的负面影响就成了摆在网络管理员面前的一个重要课题。 A公司的某位可怜的网管目前就面临了一堆这样的问题。A公司建设了一个企业网,并通过一台路由器接入到互联网。在网络核心使用一台基于IOS的多层交换机,所有的二层交换机也为可管理的基于IOS的交换机,在公司部使用了VLAN技术,按照功能的不同分为了6个VLAN。分别是网络设备与网管(VLAN1,10.1.1.0/24)、部服务器(VLAN2)、Internet连接(VLAN3)、财务部(VLAN4)、市场部(VLAN5)、研发部门(VLAN6),出口路由器上Fa0/0接公司部网,通过s0/0连接到Internet。每个网段的三层设备(也就是客户机上的缺省网关)地址都从高位向下分配,所有的其它节点地址均从低位向上分配。 自从网络建成后麻烦就一直没断过,一会儿有人试图登录网络设备要捣乱;一会儿领导又在抱怨说互联网开通后,员工成天就知道泡网;一会儿财务的人又说研发部门的员工看了不该看的数据。这些抱怨都找这位可怜的网管,搞得他头都大了。那有什么办法能够解决这些问题呢?答案就是使用网络层的访问限制控制技术――访问控制列表(下文简称ACL)。 那么,什么是ACL呢?ACL是种什么样的技术,它能做什么,又存在一些什么样的局限性呢? ACL的基本原理、功能与局限性 网络中常说的ACL是Cisco IOS所提供的一种访问控制技术,初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机如2950之类也开始提供ACL的支持。只不过支持的特性不是那么完善而已。在其它厂商的路由器或多层交换机上也提供类似的技术,不过名称和配置方式都可能有细微的差别。本文所有的配置实例均基于Cisco IOS的ACL进行编写。 基本原理:ACL使用包过滤技术,在路由器上读取第三层及第四层中的信息如源地址、目的地址、源端口、目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。 功能:网络中的节点资源节点和用户节点两大类,其中资源节点提供服务或数据,用户节点访问资源节点所提供的服务与数据。ACL的主要功能就是一方面保护资源节点,阻止非法用户对资源节点的访问,另一方面限制特定的用户节点所能具备的访问权限。 配置ACL的基本原则:在实施ACL的过程中,应当遵循如下两个基本原则: 最小特权原则:只给受控对象完成任务所必须的最小的权限 最靠近受控对象原则:所有的网络层访问权限控制 局限性:由于ACL是使用包过滤技术来实现的,过滤的依据又仅仅只是第三层和第四层中的部分信息,这种技术具有一些固有的局限性,如无法识别到具体的人,无法识别到应用部的权限级别等。因此,要达到end to end的权限控制目的,需要和系统级及应用级的访问权限控制结合使用。 ACL配置技术详解 “说那么多废话做什么,赶快开始进行配置吧。”,A公司的网管说。呵呵,并不是我想说那么多废话,因为理解这些基础的概念与简单的原理对后续的配置和排错都是相当有用的。说说看,你的第一个需什么。 “做为一个网管,我不期望普通用户能telnet到网络设备”――ACL基础 “补充一点,要求能够从我现在的机器(研发VLAN的10.1.6.66)上telnet到网络设备上去。”。hamm,是个不错的主意,谁都不希望有人在自己的花园中撤野。让我们分析一下,在A公司的网络中,除出口路由器外,其它所有的网络设备段的是放在Vlan1中,那个我只需要在到VLAN 1的路由器接口上配置只允许源地址为10.1.6.66的包通过,其它的包通通过滤掉。这中只管源IP地址的ACL就叫做标准IP ACL: 我们在SWA上进行如下的配置:
防火墙技术原理 1、访问控制及访问控制列表 一、访问控制定义 1、访问控制:安全保障机制的核心内容,是实现数据保密性和完整性的主要手段。访 问控制是为了限制访问主体(或成为发起者,是一个主动的实体:如用户、进程、服务等),对访问客体(需要保护的资源的)访问权限。从而使计算机系统在合法范围内合用访问控制机制决定用户及代表一定用户利益的程序能干什么、及做到什么程度。 2、访问控制重要过程: -通过鉴别(authentication)来检验主体的合法身份 -通过授权(authorization)来限制用户对资源的访问级别 二、与其它安全服务关系模型 三、访问控制原理
四、访问控制分类 1、传统访问控制 -自主访问控制DAC(Discretionary Access Control) -强制访问控制MAC(Mandatory Access Control) 2、新型访问控制 -基于角色的访问控制RBAC(Role-Based Access Control) -基于任务的访问控制TBAC(Task-Based Access Control) ……. 五、自主访问控制技术(DAC) 1、控制思想:自主访问控制机制允许对象的属主针对该对象的保护策略。 2、实现方式:通常DAC通过授权列表(或访问控制列表)来限定那些主体针对那些客 体可以执行什么操作 3、适用范围:通常用于商用,主流的操作系统Windows,防火墙。 六、强制访问控制MAC 1、控制思想:每个主体都有既定的安全属性,每个客体也都有既定安全属性,主体对 客体是否能执行特定的操作取决于两者安全属性之间的关系 2、实现方式:所有主体(用户、进程)和客体(文件、数据)都被分配了安全标签, 安全标签标识一个安全等级 -主体被分配一个安全等,客体也被分配一个安全等级 -访问控制执行时对主体和客体的安全级别进行比较 3、适用范围:强制访问控制进行了很强的等级划分,经常用于军事用途。
网络层访问权限控制技术ACL详解 技术从来都是一把双刃剑,网络应用与互联网的普及在大幅提高企业的生产经营效率的同时,也带来了诸如数据的安全性,员工利用互联网做与工作不相干事等负面影响。如何将一个网络有效的管理起来,尽可能的降低网络所带来的负面影响就成了摆在网络管理员面前的一个重要课题。 A公司的某位可怜的网管目前就面临了一堆这样的问题。A公司建设了一个企业网,并通过一台路由器接入到互联网。在网络核心使用一台基于IOS的多层交换机,所有的二层交换机也为可管理的基于IOS 的交换机,在公司内部使用了VLAN技术,按照功能的不同分为了6个VLAN。分别是网络设备与网管(VLAN1,10.1.1.0/24)、内部服务器(VLAN2)、Internet连接(VLAN3)、财务部(VLAN4)、市场部(VLAN5)、研发部门(VLAN6),出口路由器上Fa0/0接公司内部网,通过s0/0连接到Internet。每个网段的三层设备(也就是客户机上的缺省网关)地址都从高位向下分配,所有的其它节点地址均从低位向上分配。 自从网络建成后麻烦就一直没断过,一会儿有人试图登录网络设备要捣乱;一会儿领导又在抱怨说互联网开通后,员工成天就知道泡网;一会儿财务的人又说研发部门的员工看了不该看的数据。这些抱怨都找这位可怜的网管,搞得他头都大了。那有什么办法能够解决这些问题呢?答案就是使用网络层的访问限制控制技术――访问控制列表(下文简称ACL)。 那么,什么是ACL呢?ACL是种什么样的技术,它能做什么,又存在一些什么样的局限性呢? ACL的基本原理、功能与局限性 网络中常说的ACL是Cisco IOS所提供的一种访问控制技术,初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机如2950之类也开始提供ACL的支持。只不过支持的特性不是那么完善而已。在其它厂商的路由器或多层交换机上也提供类似的技术,不过名称和配置方式都可能有细微的差别。本文所有的配置实例均基于Cisco IOS的ACL进行编写。 基本原理:ACL使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。 功能:网络中的节点资源节点和用户节点两大类,其中资源节点提供服务或数据,用户节点访问资源节点所提供的服务与数据。ACL的主要功能就是一方面保护资源节点,阻止非法用户对资源节点的访问,另一方面限制特定的用户节点所能具备的访问权限。 配置ACL的基本原则:在实施ACL的过程中,应当遵循如下两个基本原则: 最小特权原则:只给受控对象完成任务所必须的最小的权限 最靠近受控对象原则:所有的网络层访问权限控制 局限性:由于ACL是使用包过滤技术来实现的,过滤的依据又仅仅只是第三层和第四层包头中的部分信息,这种技术具有一些固有的局限性,如无法识别到具体的人,无法识别到应用内部的权限级别等。因此,要达到end to end的权限控制目的,需要和系统级及应用级的访问权限控制结合使用。 ACL配置技术详解 “说那么多废话做什么,赶快开始进行配置吧。”,A公司的网管说。呵呵,并不是我想说那么多废话,因为理解这些基础的概念与简单的原理对后续的配置和排错都是相当有用的。说说看,你的第一个需求是什么。 “做为一个网管,我不期望普通用户能telnet到网络设备”――ACL基础 “补充一点,要求能够从我现在的机器(研发VLAN的10.1.6.66)上telnet到网络设备上去。”。hamm,是个不错的主意,谁都不希望有人在自己的花园中撤野。让我们分析一下,在A公司的网络中,除出口路由器外,其它所有的网络设备段的是放在Vlan1中,那个我只需要在到VLAN 1的路由器接口上配置只允许源地址为10.1.6.66的包通过,其它的包通通过滤掉。这中只管源IP地址的ACL就叫做标准IP ACL: 我们在SWA上进行如下的配置:
