下载文档原格式
系统安全设计方案建立全面的安全保障体系,包括物理层安全、网络层安全、系统层安全、数据层安全、数据库安全、系统软件安全、应用层安全、接口安全,制定安全防护措施和安全管理运维体系。
目录1.1 总体设计.................................. - 1 - 1.1.1 设计原则................................ - 1 - 1.1.2 参考标准................................ - 2 - 1.2 物理层安全................................ - 2 - 1.2.1 机房建设安全............................ - 2 - 1.2.2 电气安全特性............................ - 3 - 1.2.3 设备安全................................ - 3 - 1.2.4 介质安全措施............................ - 3 - 1.3 网络层安全................................ - 4 - 1.3.1 网络结构安全............................ - 4 - 1.3.2 划分子网络.............................. - 4 - 1.3.3 异常流量管理............................ - 5 - 1.3.4 网络安全审计............................ - 6 - 1.3.5 网络访问控制............................ - 7 - 1.3.6 完整性检查.............................. - 7 - 1.3.7 入侵防御................................ - 8 - 1.3.8 恶意代码防范............................ - 8 - 1.3.9 网络设备防护............................ - 9 - 1.3.10 安全区域边界.......................... - 10 - 1.3.11 安全域划分............................ - 11 - 1.4 系统层安全............................... - 12 - 1.4.1 虚拟化平台安全......................... - 12 -1.4.2 虚拟机系统结构......................... - 12 - 1.4.3 虚拟化网络安全......................... - 13 - 1.5 数据层安全............................... - 14 - 1.5.1 数据安全策略........................... - 14 - 1.5.2 数据传输安全........................... - 14 - 1.5.3 数据完整性与保密性..................... - 15 - 1.5.4 数据备份与恢复......................... - 15 - 1.5.5 Web应用安全监测....................... - 15 - 1.6 数据库安全............................... - 16 - 1.6.1 保证数据库的存在安全................... - 16 - 1.6.2 保证数据库的可用性..................... - 16 - 1.6.3 保障数据库系统的机密性................. - 17 - 1.6.4 保证数据库的完整性..................... - 17 - 1.7 系统软件安全............................. - 17 - 1.8 应用层安全............................... - 20 - 1.8.1 身份鉴别............................... - 20 - 1.8.2 访问控制............................... - 21 - 1.8.3 Web应用安全........................... - 21 - 1.8.4 安全审计............................... - 22 - 1.8.5 剩余信息保护........................... - 22 - 1.8.6 通信保密性............................. - 23 - 1.8.7 抗抵赖................................. - 23 -1.8.8 软件容错............................... - 23 - 1.8.9 资源控制............................... - 24 - 1.8.10 可信接入体系.......................... - 25 - 1.9 接口安全................................. - 27 - 1.10 安全防护措施............................ - 28 - 1.11 安全管理运维体系........................ - 29 -1.1总体设计1.1.1设计原则信息安全是信息化建设的安全保障设施,信息安全的目标是能够更好的保障网络上承载的业务,在保证安全的同时,还要保障业务的正常运行和运行效率。
游乐场智慧系统设计设计方案设计方案:游乐场智慧系统1. 系统概述游乐场智慧系统旨在提升游乐场的管理和运营效率,提供更好的游乐体验和安全保障。
系统主要功能包括游客管理、设备管理、安全监控和统计分析。
2. 系统结构游乐场智慧系统基于物联网技术构建,由中央控制服务器、游客终端、设备终端和安全监控终端组成。
中央控制服务器负责数据管理和决策分析,游客终端用于游客身份验证和信息展示,设备终端用于设备状态监控和维护,安全监控终端用于巡视和安全记录。
3. 体验管理游客终端将配备身份验证设备(如人脸识别)和移动应用程序。
游客在入园前通过身份验证设备,将身份信息与游乐场系统绑定,获取唯一的游客识别码。
在游乐场内,游客通过移动应用程序可以查询游乐场信息、购买门票、预约设备和参加活动等。
游客终端还可以提供导航服务和游玩记录,为游客提供个性化的游乐体验。
4. 设备管理设备终端将配备传感器和监控系统,用于设备状态监控和维护。
传感器可以实时检测设备的运行状况和故障情况,如温度、压力和电涌等。
监控系统可以远程监控设备的实时图像和视频,及时发现异常情况并派遣维修人员。
设备终端还可以提供设备的使用计划和维护记录,方便游乐场管理人员进行设备调度和维护管理。
5. 安全监控安全监控终端将配备摄像头和报警系统,用于游乐场的安全监视和报警。
摄像头可以实时监控游乐场的各个区域,保证游客的人身安全和财产安全。
报警系统可以实时检测游乐场的异常情况,如火灾、盗窃和紧急救援等,及时通知相关人员并采取应急措施。
6. 统计分析中央控制服务器将负责对游乐场的数据进行管理和统计分析。
系统可以自动生成游客数量、设备使用率和收入情况等报表,为游乐场管理人员提供决策依据。
系统还可以分析游客的行为模式和游乐场的热点区域,优化游乐场布局和景点设置。
7. 安全性和保密性游乐场智慧系统将采用加密技术和访问控制策略,保障数据的安全性和保密性。
系统将建立完善的权限管理和日志记录机制,追踪和监控用户的操作行为,以确保系统的安全运行。
系统总体设计原则系统总体设计原则为确保系统的建设成功与可持续发展,在系统的建设与技术方案设计时我们遵循如下的原则:1.统一设计原则:统筹规划和统一设计系统结构,特别是应用系统建设结构、数据模型结构、数据存储结构以及系统扩展规划等内容,需要从全局出发、从长远的角度考虑。
2.先进性原则:系统构成必须采用成熟、具有国内先进水平,并符合国际发展趋势的技术、软件产品和设备。
在设计过程中,我们充分依照国际上的规范和标准,借鉴国内外目前成熟的主流网络和综合信息系统的体系结构,以保证系统具有较长的生命力和扩展能力。
同时,保证先进性的同时还要保证技术的稳定和安全性。
业务应用支撑平台设计原则业务应用支撑平台设计应该遵循以下原则:1.模块化设计原则:业务应用支撑平台应该采用模块化的设计,以便于系统的扩展和维护。
2.服务化设计原则:业务应用支撑平台应该采用服务化的设计,以便于系统的灵活性和可扩展性。
3.高可用性原则:业务应用支撑平台应该具有高可用性,以便于系统的稳定运行。
共享交换区数据库设计原则共享交换区数据库设计应该遵循以下原则:1.数据规范化原则:共享交换区数据库应该采用规范化的数据设计,以便于数据的共享和交换。
2.数据安全性原则:共享交换区数据库应该具有高度的数据安全性,以保证数据的完整性和保密性。
3.数据可扩展性原则:共享交换区数据库应该具有较强的可扩展性,以便于系统的升级和扩展。
档案管理系统设计原则档案管理系统设计应该遵循以下原则:1.档案分类原则:档案管理系统应该采用分类管理的设计,以便于档案的归档和检索。
2.档案安全性原则:档案管理系统应该具有高度的档案安全性,以保证档案的完整性和保密性。
3.档案可扩展性原则:档案管理系统应该具有较强的可扩展性,以便于系统的升级和扩展。
总集成设计原则总集成设计应该遵循以下原则:1.统一标准原则:总集成设计应该采用统一标准的设计,以便于系统的集成和协作。
2.高可用性原则:总集成设计应该具有高可用性,以保证系统的稳定运行。
应用程序的安全性和保密性设计1.认证和授权:在应用程序中,必须确保用户身份的真实性,并根据用户的权限授予合适的访问权限。
为了实现这一点,可以采用多种方法,例如密码登录、指纹识别、双因素身份认证等。
同时,还应该采用访问控制策略,仅允许授权用户访问其需要的数据和功能。
2.数据加密:为了保护敏感数据的机密性,应该对数据进行加密。
对于存储在数据库中的数据,可以使用对称加密或非对称加密的方式进行加密。
对于传输过程中的数据,可以使用安全套接层(SSL)或传输层安全(TLS)协议来加密通信通道。
通过使用加密技术,即使数据被泄露也难以解密,保护用户的隐私和敏感信息。
3.安全漏洞和弱点分析:在应用程序设计阶段和发布后,需要进行安全漏洞和弱点分析。
通过对应用程序进行渗透测试、代码审查和漏洞扫描,可以及时发现和修复潜在的安全漏洞和弱点。
此外,还应密切关注和及时更新应用程序所使用的组件和库的安全补丁,以防止已知的攻击手法和漏洞被利用。
4.安全日志和监控:应用程序应该记录安全事件和用户访问日志,以便进行安全审计和故障排除。
通过监控用户行为和异常活动,可以及时发现潜在的安全威胁和攻击,并采取相应的措施进行应对。
此外,还可以使用入侵检测系统(IDS)和入侵防御系统(IPS)等安全工具来监测和阻止恶意行为。
5.安全更新和管理:对于应用程序的安全性和保密性,持续的更新和管理是必要的。
应该及时修复已知的安全漏洞,并发布安全补丁。
同时,在设计应用程序时应考虑到后续的维护和更新,并制定相应的安全更新策略,以确保应用程序的安全性和保密性能够持续得到保障。
总之,应用程序的安全性和保密性设计是一项重要的工作。
通过认证和授权、数据加密、安全漏洞和弱点分析、安全日志和监控、安全更新和管理等措施,可以提高应用程序的安全性和保密性,保护用户的隐私和数据安全。
2024年系统安全性要求与其主要功1、系统安全性要求系统安全性要求是指对整个系统(包括系统硬件、软件、使用、保障及有关人员)和系统全寿命期的各阶段(包括论证、设计、研制、使用、维护及报废)的所有活动,都要贯彻安全方面的需求,逐项、全面地识别系统中存在的危害,采取保证安全的工程和管理措施,达到消防风险或者将风险控制到可以接受的水平,以防止事故的发生。
2、系统安全的主要功能系统安全的主要功能,是采取科学和工程的方法进行符合任务要求的系统安全性分析与设计,使系统安全性的要求,从设计的源头就作为重要指标,按预先计划和措施,逐项落实到系统总体工程中去,一方面保证系统安全性;另一方面,为系统在寿命期的各个阶段的安全评估工作提供良好的基础和前提条件。
为了做好系统安全性设计与分析工作,应考虑如下要求:(1)吸收已有的或类似系统及分系统的安全性运行经验、教训、数据和信息,特别是相关的行业规范、技术标准,作为安全性设计和分析的根据。
(2)识别系统在寿命周期内的各种状态下,尤其是运行过程中存在的危害,并消除和控制与之相关危险。
此项工作要有专门的文字记录,并且要让有关人员知道,这种文件可以是规范或手册、说明书。
(3)当采用新的设计方法、新工艺、新材料和新技术,或者进行技术改造时,应寻求其在安全性方面具有最小的风险。
(4)在论证、研制及订购系统及其分系统时,要充分考虑其安全性指标,同时要避免在使用或运行时,为改善安全性而进行改装、改造,还必须考虑到系统报废时的回收及处理主法,做到简便、无害、经济。
(5)在设计时,要尽最大努力将安全方面的需求与其他方面的需求作整体考虑,从而达到设计上的优化。
2024年系统安全性要求与其主要功(二)随着信息技术的快速发展,2024年的系统安全性要求变得更加重要。
在这个数字化时代,各种系统都面临着来自外部和内部的威胁,如黑客攻击、数据泄露、网络病毒等。
因此,系统安全性成为了一个迫切需要解决的问题,以确保系统的稳定运行和数据的安全。
系统总体设计原则(信息化项目)目录1.1系统总体设计原则为确保系统的建设成功与可持续发展,在系统的建设与技术方案设计时我们遵循如下的原则:1、统一设计原则统筹规划和统一设计系统结构。
尤其是应用系统建设结构、数据模型结构、数据存储结构以及系统扩展规划等内容,均需从全局出发、从长远的角度考虑。
2、先进性原则系统构成必须采用成熟、具有国内先进水平,并符合国际发展趋势的技术、软件产品和设备。
在设计过程中充分依照国际上的规范、标准,借鉴国内外目前成熟的主流网络和综合信息系统的体系结构,以保证系统具有较长的生命力和扩展能力。
保证先进性的同时还要保证技术的稳定、安全性。
3、高可靠/高安全性原则系统设计和数据架构设计中充分考虑系统的安全和可靠。
4、标准化原则系统各项技术遵循国际标准、国家标准、行业和相关规范。
5、成熟性原则系统要采用国际主流、成熟的体系架构来构建,实现跨平台的应用。
6、适用性原则保护已有资源,急用先行,在满足应用需求的前提下,尽量降低建设成本。
7、可扩展性原则信息系统设计要考虑到业务未来发展的需要,尽可能设计得简明,降低各功用模块耦合度,并充分考虑兼容性。
系统能够支持对多种花式数据的存储。
1.2业务应用支撑平台设计原则业务应用支撑平台的设计遵循了以下原则:1、遵循相关规范或标准遵循J2EE、XML、JDBC、EJB、SNMP、HTTP、TCP/IP、SSL等业界主流标准2、采用先进和成熟的技术系统采用三层体系结构,使用XML规范作为信息交互的标准,充分吸收国际厂商的先进经验,并且采用先进、成熟的软硬件支撑平台及相关标准作为系统的基础。
3、可灵活的与其他系统集成系统采用基于工业标准的技术,方便与其他系统的集成。
4、快速开发/快速修改的原则系统供给了灵活的二次开发手段,在面向组件的应用框架上,能够在不影响系统情况下快速开发新业务、增加新功用,同时供给方便地对业务进行修改和静态加载的支持,保障应用系统应能够方便支持集中的版本控制与晋级管理。
系统设计方法及原则系统设计是指在解决问题或满足需求的过程中,对系统进行规划、设计和实现的一系列活动。
下面是一些常用的系统设计方法和原则:1. 需求分析:在进行系统设计之前,需要充分了解用户需求和系统目标。
通过与用户沟通、收集需求,确保对问题或需求有全面的理解。
2. 模块化设计:将系统划分为多个模块,每个模块负责完成特定的功能。
模块化设计可以提高系统的可维护性和可扩展性,并且方便团队协作开发。
3. 接口设计:合理设计系统的接口,确保不同模块之间的交互顺畅和数据传递正确。
接口设计需要考虑数据格式、通信方式等因素。
4. 数据库设计:根据系统需求,设计合适的数据库结构和表关系,确保数据存储和检索的高效性和准确性。
5. 安全性设计:在系统设计过程中,要考虑系统的安全性。
包括用户身份验证、数据加密、访问控制等方面的设计,确保系统的安全性和保密性。
6. 性能优化:在系统设计中,要考虑系统的性能优化。
通过合理的算法选择、系统架构优化、缓存设计等手段,提高系统的响应速度、吞吐量和并发能力。
7. 可伸缩性设计:在系统设计中,要考虑系统的可伸缩性。
通过合理的系统架构设计、分布式部署、负载均衡等手段,确保系统能够随着需求的增长而扩展。
8. 可靠性设计:在系统设计中,要考虑系统的可靠性。
通过冗余设计、容灾方案、异常处理等手段,提高系统的可用性和稳定性。
9. 可维护性设计:在系统设计中,要考虑系统的可维护性。
通过清晰的代码结构、注释文档、日志记录等手段,方便系统的后续维护和升级。
10. 风险管理:在系统设计中,要考虑风险管理。
通过风险评估和规避策略的制定,减少系统开发和运维过程中的风险和故障。
这些方法和原则是系统设计过程中的基本指导,根据具体的项目和需求,还可以结合其他方法和原则进行设计。
安全系统工程的关键要素与设计原则安全系统工程是为了保护人员、设备和信息免受潜在威胁而设计的一种复合系统。
在设计安全系统工程时,需要考虑一系列关键要素和遵循一些设计原则,以确保系统能够有效地防御、检测和应对各种安全威胁。
一、关键要素1. 风险评估与管理:在设计安全系统工程之前,必须进行全面的风险评估,并制定相应的风险管理计划。
这包括对潜在威胁、漏洞和攻击进行分析,并确定相应的应对策略。
2. 安全意识培训:系统的安全性不仅依赖于技术手段,还需要人员的安全意识和行为习惯。
因此,安全系统工程应该包括对人员的培训和教育,提高他们的安全意识,并教育他们正确的安全操作方法。
3. 访问控制:为了保护系统免受未经授权的访问,需要实施严格的访问控制措施。
这包括身份验证、授权和审计,确保只有经过授权的人员才能访问系统中的敏感信息和资源。
4. 加密与加密技术:对于敏感信息的保护,加密技术是必不可少的。
在设计安全系统工程时,需要考虑如何对数据进行加密,并选择合适的加密算法和密钥管理策略,以确保数据的保密性和完整性。
5. 异常检测与响应:安全系统工程应具备异常检测和响应机制,能够及时发现并回应潜在的安全威胁。
这包括实时监测与分析系统的运行状态,及时检测并阻止异常活动,并采取相应的措施进行应对和恢复。
二、设计原则1. 综合性与全面性:安全系统工程应该是一个综合性的系统,能够涵盖整个组织的安全需求。
设计时应考虑到各个环节的相互关联和影响,确保系统能够全面地应对各种安全威胁。
2. 可扩展性与灵活性:随着安全威胁的不断演变和技术的不断革新,安全系统工程需要具备良好的可扩展性和灵活性。
它应该能够适应不同规模和需求的变化,随时进行升级和扩展,以保持有效的安全性能。
3. 可管理性与可操作性:安全系统工程的管理和操作应该简洁、方便。
同时,管理者需要具备对系统进行监测、维护和调整的能力,以确保系统的连续性和稳定性。
4. 风险导向与紧急响应能力:在设计安全系统工程时,需要以风险为导向,将有限的资源和精力集中在最有可能发生的威胁上。
系统方案设计引言:系统方案设计是为了满足特定业务需求而设计和开发的一种技术方案,该方案旨在提供一个完整的系统解决方案,以满足用户的需求和改善业务流程。
本文将介绍系统方案设计的基本原则、过程和关键要素。
一、系统方案设计的基本原则1. 以用户需求为导向:系统方案设计应始终以满足用户需求为核心,确保系统能够提供用户所需的功能和服务。
2. 可持续发展:系统方案设计应考虑到未来的可持续发展,具备扩展性和灵活性,以适应未来可能的业务需求变化。
3. 安全性和保密性:系统方案设计应充分考虑数据安全性和保密性,采用适当的安全措施来保护用户数据和系统的完整性。
4. 合理性和可行性:系统方案设计应经过充分的分析和评估,确保方案的可行性和经济性。
二、系统方案设计的过程系统方案设计主要包括以下几个关键步骤:1. 需求分析:通过与用户沟通和深入了解业务流程,收集用户需求并进行分析,确保方案满足用户的实际需求。
2. 概要设计:根据需求分析的结果,进行概要设计,确定系统的基本框架和功能模块,包括系统架构、数据库设计、界面设计等。
3. 详细设计:在概要设计的基础上,进行详细设计,具体规划系统的各个模块和功能的实现方式,包括算法设计、数据结构设计等。
4. 开发和测试:根据详细设计的结果,进行开发和编码,并进行相应的测试,确保系统的功能和性能符合预期。
5. 部署和运维:在开发和测试完成后,将系统部署到实际运行环境中,并进行相应的运维工作,保证系统的正常运行和维护。
三、系统方案设计的关键要素1. 系统架构:系统架构是系统方案设计的基础,它描述了系统的组成部分和它们之间的关系,包括硬件架构、网络架构和软件架构。
2. 数据库设计:数据库设计是系统方案设计的重要组成部分,它涉及到数据的存储和管理,包括数据表设计、索引设计和查询优化等。
3. 界面设计:界面设计是系统方案设计中用户与系统交互的重要环节,它应该简洁、直观、易于使用,以提高用户的满意度和效率。
涉密门禁系统设计标准涉密门禁系统是一种重要的安全设施,旨在确保涉密区域的安全和保密。
设计标准是指为了确保门禁系统能够正常运行并满足安全要求,需要符合的一系列规定和要求。
下面是涉密门禁系统设计标准的一些建议:1. 安全性要求:涉密门禁系统设计应满足涉密区域的安全要求,包括防范未经授权人员进入、防范窃取或泄露机密信息等。
设计应考虑二次验证、身份验证和授权管理等安全措施,确保系统的安全性。
2. 可靠性要求:涉密门禁系统设计应具备高可靠性,确保系统可以持续运行,并能够在出现故障时快速恢复。
应采用冗余设计和备份系统等措施,以应对系统故障和自然灾害等突发情况。
3. 兼容性要求:涉密门禁系统设计应与现有的安全系统相兼容,以确保系统可以与其他设备和系统进行有效的信息交互。
应采用标准化的软件接口和通信协议,以实现系统的互联互通。
4. 灵活性要求:涉密门禁系统设计应具备一定的灵活性,以适应不同场景和需求。
设计应考虑支持多种身份验证方式,如指纹、虹膜识别等,以满足用户的个性化需求。
5. 易维护性要求:涉密门禁系统设计应具备易于维护和管理的特性。
应提供友好的用户界面和管理界面,方便用户进行系统的配置、管理和维护。
6. 防灾安全要求:涉密门禁系统设计应采取必要的防灾安全措施,如防雷、防水、防火等。
设计应符合相关规范和标准,并采用合适的设备和材料,以确保系统的安全性和可靠性。
7. 数据保护要求:涉密门禁系统设计应具备对用户数据的保护措施。
设计应采用加密技术和访问控制机制,确保用户数据的安全性和保密性。
8. 系统兼容性和可扩展性要求:涉密门禁系统设计应具备良好的兼容性和可扩展性。
设计应考虑支持不同的硬件设备和第三方软件接口,以方便系统的升级和扩展。
综上所述,涉密门禁系统的设计标准包括安全性要求、可靠性要求、兼容性要求、灵活性要求、易维护性要求、防灾安全要求、数据保护要求和系统兼容性和可扩展性要求等。
有效的设计标准可以确保涉密门禁系统的正常运行和安全性。
●系统的访问控制技术8 . 2 访问控制技术ISO所定义的5 大安全服务功能是:认证、访问控制、数据保密性、数据完整性和防止否认服务。
其中访问控制服务在系统安全体系结构中起着不可替代的作用。
访问控制是通过某种途径显式地准许或限制访问能力及范围的一种方法。
它是针对越权使用资源的防御措施,通过限制对关键资源的访问,防止非法用户的侵入或因为合法用户的不慎操作而造成的破坏.从而保证系统资源受控地、合法地被使用。
用户只能在自己的权限内访问系统资源,不得越权访问。
访问控制技术通常和身份认证密切联系,但并不能取代身份认证,它是建立在身份认证的基础之上的,通俗地说,身份认证解决的是‘你是谁,你是否真的具有你所声称的身份”,而访问控制技术解决的是‘你能做什么,你有什么样的权限”这个问题。
访问控制系统一般包括主体(subject)、客体(object)及安全访问政策几个实体。
访问控制的目的是:限制主体对访问客体的访问权限,从而使计算机系统在合法范围内使用;决定用户能做什么,也决定代表一定用户利益的程序能做什么。
8 . 2 . 1 访问控制的实现方法访问控制的常见实现方法有访问控制矩阵、访问能力表、访问控制表和授权关系表等几种。
1 .访问控制矩阵从数学角度看,访问控制可以表示为一个矩阵的形式,其中行表示客体(各种资源),列表示主体(通常为用户),行和列的交叉点表示某个主体对某个客体的访问权限(如读、写、执行、修改、删除等)。
2 .访问能力表访问控制矩阵虽然直观,但并非每个主体和客体之间都存在着权限关系,相反,实际的系统中虽然可能有很多的主体和客体,但主体和客体之间的权限关系可能并不多,这样就存在着很多空白项。
为了减轻系统的开销与浪费,我们从主体(行)出发,用访问能力表达矩阵某一行的信息;也可以从客体(列)出发,用访问控制表(Access Control List)表达矩阵某一列的信息。
能力(capacity)是受一定机制保护的客体标志,标记了客体以及主体(访问者)对客体的访问权限。
只有当一个主体对某个客体拥有访问的能力时,它才能访问这个客体。
在访问能力表中,由于它着眼于某一主体的访问权限,并以主体为出发点描述控制信息,所以很容易获得一个主体所被授权可以访问的客体及其权限,但如果要求获得对某一特定客体有特定权限的所有主体就比较困难。
在一个安全系统中,正是客体本身需要得到可靠的保护,访问控制服务应该能够控制可访问某一客体的主体集合,并能够授予或取消主体的访问权限,于是出现了以客体为出发点的实现方式― ACL(访问控制表),现代的操作系统大都采用基于ACL 的方法。
3 .访问控制表访问控制表是目前采用最多的一种实现方式。
它可以对某一特定资源指定任意一个用户的访问权限,还可以将有相同权限的用户分组,并授予组的访问权,ACL的优点在于它的表述直观、易于理解,而目比较容易查出对某一特定资源拥有访问权限的所有用户,以便有效实施授权管理。
在一些实际应用中还对ACL 进行了扩展,从而进一步控制用户的合法访问时间,是否需要审计等。
尽管ACL灵活方便,但将它应用到网络规模较大、需求复杂的企业内部网络时,就暴露出了一些问题:1.ACL需对每个资源指定可以访问的用户或组以及相应的权限。
当网络中资源很多时,需要在ACL设定大量的表项。
而且,当用户的职位、职责发生变化时,为反映这些变化,管理员需要修改用户对所有资源的访问权限。
另外,在许多组织中,服务器一般是彼此独立的,各自设置自己的ACL ,为了实现整个组织范围内的一致的控制政策,需要各管理部门的密切合作。
所有这些,都会使得访问控制的授权管理变得费力而繁琐,且容易出错。
2.单纯使用ACL ,不易实现最小权限原则及复杂的安全政策。
4 .授权关系表授权关系表弥补了基于ACL 和基于访问能力表的方法的不足,它的每一行(或称一个元组)都表示主体和客体的一个权限关系。
如果该表按客体进行排序就拥有访问能力表的优势,如果按主体进行排序就拥有了访问控制表的好处。
这种实现方式也特别适合采用关系数据库。
8 . 2 . 2 访问控制策略自主访问控制、强制访问控制和基于角色的访问控制是系统中常用的3种访问控制策略,其中前两种(DAC 和MAC )属于传统的访问控制策略。
以上每种策略不是绝对互斥的,我们可以把几种策略综合起来应用,以获得更好、更安全的系统保护效果。
当使用多重策略的时候,只有各种策略的交集策略被允许,访问才被许可。
当然,在某些场合下,也可能存在着一些冲突,比如被某一策略许可的访问被另一策略所禁止,这样就产生了冲突,这种情况需要在管理层通过协商来协调。
1 .自主访问控制自主访问控制(DAC)是目前计算机系统中使用最多的访问控制机制,它是在确认主体身份以及(或)它们所属组的基础上对访问进行限制的一种方法,称其为自主型是因为在DAC 系统中,一个拥有一定访问权限的主体可以直接或间接地将权限传给其他主体。
其基本思想是:允许某个主体显式地指定其他主体对该主体所拥有的信息资源是否可以访问以及可执行的访问类型。
Windows、UNIX系统都采用了自主型的访问控制技术。
自主访问控制根据访问者的身份和授权来决定访问模式,主体访问者对访问的控制有一定的权利。
但正是这种权利使得信息在移动过程中的访问权限关系会被改变。
如用户A 可以将其对客体目标O 的访问权限传递给用户B ,从而使不具备对0 访问权限的B 也可以访问O ,这样就很容易产生安全漏洞,所以自主访问控制的安全级别很低。
2 .强制访问控制强制访问控制是“强加”给访问主体的,即系统强制主体服从访问控制政策。
MAC 主要用于多层次安全级别的军事应用当中,它预先将主体和客体分级,即定义用户的可信任级别及信息的重要程度(安全级别,比如可以分成绝密级、机密级、秘密级、无密级等),然后根据主体和客体的级别标记来决定访问模式,用户的访问必须遵守安全政策划分的安全级别以及有关访问权限的设定。
当用户提出访问请求时,系统对主客体两者进行比较以确定访问是否合法。
在典型应用中,MAC 的访问控制关系可以分为两种:用上读/下写来保证数据完整性以及利用下读/上写来保证数据的保密性。
它们都是通过梯度安全标签来实现信息的单向流通的。
强制访问控制(MAC)的优势最主要在于它能阻止“特洛伊木马”。
一个“特洛伊木马”是在一个执行某些合法功能的程序中隐藏的代码,它利用运行此程序的主体权限违反安全策略,通过伪装成有用的程序在进程中泄漏信息。
一个“特洛伊木马”能够以直接与非直接泄漏两种方式泄漏信息。
对于前者,“特洛伊木马”使信息的安全表示不正确并泄漏给非授权用户;对于后者,“特洛伊木马”通过编制返回给一个主体的合法信息中的方式非直接泄露信息,例如,可能表面上某些提问需要回答,而实际上用户回答的内容被传送给了“特洛伊木马”。
阻止“特洛伊木马”的策略是基于非循环信息流,所以在一个级别上读信息的主体一定不能在另一个违反非循环规则的安全级别上写。
同样,在一个安全级别上写信息的主体一定不能在另一个违反非循环规则的安全级别上读。
由于MAC 策略是通过梯度安全标签实现信息的单向流通,因而它可以很好地阻止“特洛伊木马”的泄密。
强制访问控制(MAC)的主要缺陷在于实现工作量太大、管理不便、不够灵活,而且MAC 由于过于偏重保密性,对其他方面如系统连续工作能力、授权的可管理性等考虑不足。
3 .基于角色的访问控制20 世纪如年代出现的一种基于角色的访问控制(RBAC)技术有效地克服了传统访问控制技术的不足,可以减少授权管理的复杂性,降低管理开销,而且还能为管理者提供一个比较好的安全实现政策的环境,从而成为了实施面向企业的安全策略的一种有效的访问控制方式。
角色是一个或一群用户在组织内可执行的操作组合。
用户在一定的部门中具有一定的角色,其所执行的操作与其所扮演的角色的职能相匹配,这正是基于角色的访问控制的基本特征、即依据RBAC 策略,系统定义了各种角色,每种角色可以完成一定的职能,不同的用户根据其职能被赋予相应的角色,一旦某个用户成为某个角色的成员,则此用户可以完成该角色所具有的职能。
RBAC 根据用户在组织内所处的角色进行授权与访问控制。
也就是说,传统的访问控制直接将访问主体(发出访问操作、存取要求的主动方)和客体(被调用的程序或欲存取的数据访问)相联系,而RBAC在中间加入了角色,通过角色沟通主体与客体。
在RBAC 中,用户标识对于身份认证以及审计记录是十分有用的,但真正决定访问权限的是用户对应的角色标识。
由于用户与客体无直接联系,他只有通过角色才能享有该角色所对应的权限,从而访问相应的客体,因此用户不能自主地将访问权限授予别的用户,这是RBAC与DAC的根本区别。
RBAC 与MAC 的区别在于:MAC 是基于多级安全需求的,而RBAC 则不是,因为军用系统主要关心的是防止信息从高安全级流向低安全级,即限制“谁可以读/写什么信息”,而RBAC 的系统主要关心的是保护信息的完整性,即“谁可以对什么信息执行何种动作”.角色控制比较灵活,根据配制可以使某些角色接近DAC ,而某些角色更接近于MAC。
角色由系统管理员定义,角色成员的增减也只能由系统管理员来执行,即只有系统管理员有权定义和分配角色,而且授权规定是强加给用户的,用户只能被动接受,不能自主地决定,用户也不能自主地将访问权限转而赋予他人,这是一种非自主型访问控制。
最后要指出的是角色和组的区别。
组通常仅仅作为用户的集合,而角色一方面是用户的集合,另一方面又是权限的集合,作为中间媒介将用户和权限连接起来。
当然角色可以在组的基础上实现,这样就对保持原有系统非常有利。
此时角色就成为了一个策略部件,与组织的授权、责任关系相联系,而组成为实现角色的工具,两者间是策略与实现机制的关系。
●数据的完整性8 . 4 数据完整性数据完整性要求禁止未经授权的数据篡改,它同数据机密性紧密相连,也是更进一步的信息安全目标。
保护数据完整性的方法有很多:可以通过访问控制的方法阻止数据未经授权的篡改;可以通过时间戳来判断数据最后一次修改的时间;可以通过数据校验或消息摘要的方法来判断数据是否已经被篡改。
Biba 修改了Bell-Lapadula 模型,针对数据完整性建立了Biba 数据完整性模型。
本节首先简要介绍Biba模型,然后详细介绍报文摘要算法。
8 . 4 . 1 Biba完整性模型Biba模型规定:( l )如果主体的安全级别高于或等于客体的安全级别,那么主体可以对该客体写访问。
( 2 )如果一个主体仅可以读访问一个客体。
则对于另外一个客体p 来说,如果p 的安全级别低于或等于o的级别,那么该主体对于p 可以有写访问的权限。
Biha 模型可以概括为:( l )读访问策略同Bell-Lapadula模型一样:( 2 )主体不能够更改安全级别比它高的客体。
